Η κυβερνοασφάλεια στην εποχή του Covid-19 έχει εξελιχθεί σε μείζον θέμα το οποίο συζητείται από όλους τους οργανισμούς.
του Θεόδωρου Στεργίου, Director, Cyber Security, Συμβουλευτικό τμήμα, KPMG
Όχι άδικα, αν ληφθούν υπόψη οι ενέργειες στις οποίες έπρεπε να προβούν οι επιχειρήσεις ώστε να είναι σε θέση να διασφαλίσουν τις επιχειρησιακές και επιχειρηματικές τους δραστηριότητες μέσω ενός μοντέλου εργασίας (εκ περιτροπής, τηλεργασία, κ.λπ.) και εξυπηρέτησης πελατών το οποίο συνεχίζει να απέχει αρκετά από το να είναι θεσμοθετημένο ή επαρκώς διαχειρίσιμο.
Από την άλλη πλευρά, προξενεί ιδιαίτερη εντύπωση το πόσο απροετοίμαστοι εμφανίστηκαν αρκετοί οργανισμοί στο να διασφαλίσουν την επιχειρησιακή τους συνέχεια, ιδίως αυτοί με θεσμοθετημένα σχέδια επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφές.
Ουσιαστικά, η πανδημία, σε τεχνολογικό επίπεδο, αποτέλεσε την αφορμή για να αναδειχθεί πληθώρα ελλείψεων σε θέματα προστασίας πληροφοριών, αλλά, ακόμα περισσότερο, η ανάγκη για την εγκαθίδρυση «υγιεινής κυβερνοασφάλειας» (cyber hygiene), η οποία θα διέπει τη διασφάλιση των πληροφοριακών πόρων ανεξαρτήτως μοντέλου εργασίας και μέσων εξυπηρέτησης πελατών.
Κατά γενική ομολογία, και βάσει επίσημων ερευνών, η αναγκαία μεταστροφή σε περιβάλλον τηλεργασίας και η χρήση, σχεδόν καθολικά, ηλεκτρονικών καναλιών για την παροχή υπηρεσιών σε πελάτες, αποτέλεσε την αιτία έξαρσης κυβερνοεγκλημάτων, όπως ransomware και extortion scams. Δράττοντας (α) της έλλειψης κατάλληλων μέτρων προστασίας στο οικιακό περιβάλλον, με αρκετούς εργαζόμενους να κάνουν χρήση είτε προσωπικών συσκευών είτε εταιρικών που δεν διέθεταν όλες τις απαιτούμενες δικλείδες ασφάλειας, καθώς και (β) της ανησυχίας αναφορικά με την πανδημία και της επιθυμίας για συνεχή ενημέρωση, οι κυβερνοεγκληματίες βρήκαν πρόσφορο έδαφος για να εξαπολύσουν επιθέσεις με γνώμονα το άμεσο οικονομικό όφελος.
Ενδεικτικά παραδείγματα αποτέλεσαν (i) το κακόβουλο λογισμικό που εισήγαγαν σε εφαρμογές ενημέρωσης για την πανδημία, (ii) οι εφαρμογές που παρουσίαζαν γειτονικά κρούσματα επί πληρωμή (coronavirus finders), καθώς και (iii) τα κακόβουλα μηνύματα τα οποία φαίνονταν ότι είχαν ως αποστολέα επίσημες αρχές και οργανισμούς υγείας.
Ταυτόχρονα, οι ενέργειες διασφάλισης δεδομένων και πληροφοριών στηρίχθηκαν στην καλή θέληση κάθε υπαλλήλου να συμμορφωθεί με τις καλές πρακτικές και οδηγίες που εκδόθηκαν από τα τμήματα πληροφορικής, χωρίς οι τελευταίοι να είναι σε θέση να διεξάγουν ελέγχους λόγω της απουσίας των καθορισμένων ορίων του εταιρικού περιβάλλοντος.
