Σε μία εποχή που η διαδικτυακή ασφάλεια των εταιρειών καθίσταται καθοριστική για τη συνέχειά τους και που η Ευρωπαϊκή Ένωση αυστηροποιεί τη διαχείριση δεδομένων προσωπικού χαρακτήρα για να προστατεύσει τους καταναλωτές, οι περισσότερες εταιρείες στην Ελλάδα δεν έχουν αναπτύξει δομές και συστήματα ασφαλείας για τον κυβερνοχώρο. Αυτό αναφέρει στη συνέντευξη που παραχώρησε στο ΑΜ ο κ. Σφακιανάκης, Ιδρυτής των CSI και GRISS και πρώην Επικεφαλής της Δίωξης Ηλεκτρονικού Εγκλήματος, ο οποίος μιλά για διάτρητα συστήματα ασφαλείας στις επιχειρήσεις της Ελλάδας, τη στιγμή που η χώρα είναι στόχος κυβερνοεγκληματιών. Προσθέτει ότι θα υπάρξει έκρηξη στη ζήτηση του cyber insurance και πως η ασφαλιστική αγορά θα πρέπει να προετοιμαστεί κατάλληλα στελεχώνοντας τμήματα και εξειδικεύοντας ανθρώπους. Οι ασφαλίσεις, τονίζει, θα πρέπει επίσης να φέρουν πιστοποιήσεις ασφαλείας για να μπορούν οι εταιρείες να γνωρίζουν τον κίνδυνο που ασφαλίζουν
συνέντευξη του Εμμανουήλ Σφακιανάκη, Επικεφαλής CSI και GRISS, πρώην Επικεφαλής της δίωξης ηλεκτρονικού εγκλήματος
στη Βίκυ Γερασίμου
Έχουμε στην Ελλάδα περιπτώσεις παραβιάσεων σε επιχειρήσεις;
Είναι τόσα πολλά τα «χτυπήματα» που γίνονται στις επιχειρήσεις, που τελικά αυτό που φτάνει προς τα έξω είναι απλά η κορυφή του παγόβουνου. Η Ελλάδα είναι, δυστυχώς, στόχος κυβερνοεγκληματιών και αυτό αναφέρεται και σε διεθνή έντυπα και μέσα ενημέρωσης. Το σημείο στο οποίο πρέπει να εστιάσουμε είναι πώς θα καταφέρουμε σαν επιχειρήσεις και σαν πολιτεία να είμαστε προετοιμασμένοι για μία τέτοια επίθεση. Ο ευρωπαϊκός κανονισμός για τα προσωπικά δεδομένα GDPR που θα τεθεί σε ισχύ τον Μάιο του 2018 θέτει ήδη πολλά πράγματα σε τάξη στις επιχειρήσεις και οδηγεί σε «τσουνάμι» νομοθετικών εργαλείων που θα πρέπει να υιοθετήσει ο κάθε επιχειρηματίας, ο οποίος πλέον αναγκάζεται να επενδύσει σημαντικά κεφάλαια στο κομμάτι της ασφάλειας.
Η εικόνα που έχετε εσείς ποια είναι; Είναι επαρκώς θωρακισμένες οι εταιρείες απέναντι σε διαδικτυακές επιθέσεις; Όσον αφορά τον GDPR, του οποίου η εφαρμογή θα γίνει μέσα στους επόμενους μήνες έχουν οι εταιρείες προετοιμαστεί κατάλληλα;
Σήμερα ελάχιστες εταιρείες έχουν επενδύσει στο cyber security και αυτό σημαίνει ότι τα συστήματά τους είναι διάτρητα. Επίσης ελάχιστες έχουν προετοιμαστεί για το νέο Κανονισμό Προσωπικών Δεδομένων, εντάσσοντας στην πράξη στην κουλτούρα λειτουργίας τους όλα όσα ορίζονται για να προστατεύονται τα προσωπικά δικαιώματα των καταναλωτών. Και εδώ το πρόβλημα είναι ότι εξαιρετικά μικρός αριθμός εταιρειών έχει γνώση για τον GDPR και θα αποκτήσει στις 25 Μαΐου, όταν η Ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού χαρακτήρα θα αρχίσει να «τρέχει» τη διαδικασία ελέγχου. Κι αυτό γιατί υπάρχει κενό ενημέρωσης, όπως λόγου χάρη μία ενημερωτική καμπάνια.
Υπάρχουν νούμερα καταγεγραμμένα που να αποτυπώνουν το μέγεθος του προβλήματος;
Αυτοί που κάνουν τις επιθέσεις βρίσκονται εκτός Ελλάδος και επιτίθενται σε πολλούς στόχους ταυτόχρονα. Δεν είναι εύκολο να συλληφθούν και σπάνια εντοπίζονται. Αυτοί που κάνουν επιθέσεις εντός Ελλάδος όμως συλλαμβάνονται. Η δίωξη ηλεκτρονικού εγκλήματος έχει αναπτύξει μηχανισμούς και έχει εντοπίσει τα τελευταία χρόνια αρκετούς εγχώριους crackers, γιατί ο hacker δεν κάνει τέτοιου είδους επιθέσεις. Και θα εξηγήσω τι εννοώ: Εδώ υπάρχει μια παρερμηνεία που θέλω να σας αναφέρω για να τοποθετούμε κάθε έννοια στη σωστή της βάση. Ο hacker είναι αυτός που στην ουσία κάνει ένα «τεστ διείσδυσης» και ελέγχει το σύστημα ασφαλείας μίας επιχείρησης ή ενός δημόσιου οργανισμού. Εντοπίζει λοιπόν κενά στην ασφάλεια και ενημερώνει το διαχειριστή του συστήματος. Υπάρχει περίπτωση ο hacker που θα εντοπίσει τα κενά σε μια εταιρεία αν υπάρχει θέση ακόμα και να προσληφθεί. Ο cracker κάνει το ίδιο αλλά έχει ως στόχο ψηφιακούς βανδαλισμούς, κλοπές δεδομένων, αλλοίωση στοιχείων κ.ο.κ. Καταστρέφει, είναι ο κακός του διαδικτύου. Ο hacker είναι ο καλός του διαδικτύου.
Ποια είναι η άποψή σας για την ασφαλιστική αγορά και ειδικά στο κομμάτι της κυβερνοασφάλειας και ασφάλισης;
Η ασφαλιστική αγορά εκ των πραγμάτων –είτε θέλει είτε όχι– θα μπει στον άξονα των διαδικτυακών ασφαλίσεων και επενδύσεων.
Θα ασφαλίζεται οτιδήποτε σχετίζεται με υπολογιστικά συστήματα. Αυτή τη στιγμή ελάχιστες εταιρείες είναι ήδη ασφαλισμένες.
Επομένως θα υπάρξει «έκρηξη» στη ζήτηση ασφαλειών στο κομμάτι αυτό και για αυτό θα πρέπει μεσιτικές και ασφαλιστικές εταιρείες να είναι προετοιμασμένες και κατάλληλα στελεχωμένες με εξειδικευμένους ανθρώπους. Επίσης κάθε κίνδυνος που ασφαλίζεται θα πρέπει να έχει πιστοποιητικό ότι έχει σωστό cyber security.
Κι αυτό γιατί δεν μπορεί να ασφαλιστεί ένα σύστημα χωρίς να έχει προηγηθεί penetration test. Καλό θα είναι επομένως οι ασφαλιστικές εταιρείες που πουλάνε κυβερνο-ασφαλίσεις να ενσωματώσουν στις ομάδες τους νέους με γνώση στην τεχνολογία, να τους εξειδικεύσουν στο χώρο και εν συνεχεία να στελεχώσουν με αυτούς τα τμήματα cyber insurance. Στον τομέα της ιντερνετικής ασφάλειας και των δεδομένων ανοίγονται πολλές ευκαιρίες για την ασφαλιστική αγορά. Ας μην ξεχνάμε πως σταδιακά πάμε προς έναν κόσμο διαδικτυακό με αυτόνομα οχήματα, έξυπνα σπίτια, πλοία χωρίς πλήρωμα κ.λπ.
Με ποιον τρόπο και ποιος πιστοποιεί στην Ελλάδα ότι μία εταιρεία έχει ένα επαρκές σύστημα διαδικτυακής προστασίας και μπορεί να ασφαλιστεί;
Υπάρχουν εταιρείες όπως η GRISS, που κάνουν Penetration test και βλέπουν μέσα από ειδικούς ελέγχους εάν η εταιρεία που θέλει να ασφαλιστεί έχει και τα εχέγγυα να το κάνει ή αν δεν μπορεί σε τι βελτιώσεις μπορεί να προβεί. Οι διαδικτυακές ασφαλίσεις διαφέρουν πολύ από άλλους κλάδους όπως λόγω χάρη την ασφάλιση αυτοκινήτου και λόγω της ιδιαιτερότητας που φέρουν καθιστούν αναγκαίες τις πιστοποιήσεις. Δεν μπορούμε να ασφαλίζουμε με λίγα λόγια «σαπάκια». Πρώτα φτιάχνουμε δομές και μετά ασφαλίζουμε.
Σε εσάς απευθύνονται οι επιχειρήσεις που θέλουν να βελτιώσουν τα συστήματά τους και να ασφαλιστούν ή οι ασφαλιστικές εταιρείες;
Σε εμάς έρχονται και οι δύο πλευρές. Έχουμε καταρχήν συνεργασία και συμβάσεις με ασφαλιστικές εταιρείες, όπου εξειδικευμένα στελέχη μάς δίνουν πιστοποιήσεις προκειμένου να γίνουν συμβόλαια cyber insurance. Η διαδικασία με απλά λόγια είναι η εξής: ανοίγεται ένας φάκελος, γίνεται το penetration test και μπορούμε να προτείνουμε σε κάθε εταιρεία τι πρέπει να αλλάξει. Είναι εξαιρετικά σημαντικό η εταιρεία να έχει γνώση του κινδύνου που θα αναλάβει και να μπορεί με τη βοήθεια των ανθρώπων μας να τεστάρει τα συστήματά της. Θέλω επίσης να προσθέσω πως ο αριθμός των εταιρειών που έρχονται από μόνες τους για να τεστάρουν τα συστήματά τους είναι μικρός και αυτό οφείλεται στην άγνοια. Θεωρώ δεδομένο ότι το 2018 θα δούμε μεγάλη στροφή των εταιρειών προς τη διασφάλιση της διαδικτυακής τους προστασίας καθώς θα είναι μία χρονιά που οι εταιρείες θα αφιερώσουν πολύ χρόνο στο κομμάτι του GDPR και του cyber security. Ήδη ένας ασφαλιστικός οργανισμός έχει υπογράψει συμφωνία με την GRISS για να μπορέσει να εξετάζει τις υπό ασφάλιση εταιρείες.
Επανέρχομαι στα νούμερα. Έχουμε στην Ελλάδα καταγεγραμμένα στοιχεία;
Όχι βέβαια. Και αυτό γιατί μέχρι τώρα οι εταιρείες που έπεφταν θύματα κυβερνοεπιθέσεων δεν ήταν υποχρεωμένες βάσει νόμου να το δηλώσουν.
Αλλάζει η κατάσταση αυτή με το νέο κανονιστικό πλαίσιο;
Σαφώς, με τον GDPR τα πράγματα αλλάζουν και εντός 72 ωρών οφείλει ο DPO να αναφέρει την επίθεση και όσων τα προσωπικά δικαιώματα εκτίθενται ενημερώνονται με βάση όσα ορίζει ο κανονισμός. Και η εξέλιξη αυτή είναι εξαιρετικά θετική γιατί όταν μία εταιρεία γίνεται στόχος θα βλέπουμε από ποιον απειλήθηκε και αυτό θα παίζει καταλυτικό ρόλο στη θωράκιση των υπολοίπων και την ενημέρωση όλων των αρμόδιων αρχών. Θα ξέρουμε τους κινδύνους και τη μορφή της εκάστοτε επίθεσης.
Αυτήν τη στιγμή οι επιχειρήσεις αντιμετωπίζουν μία διαδικτυακή απειλή που λέγεται cryptolocker και έχει οδηγήσει πολλές εταιρείες σε κλείσιμο.
Μέσα σε ένα δίμηνο έχω επισκεφθεί 42 επιχειρήσεις που δέχθηκαν επίθεση. Επειδή στη χώρα μας οι επιχειρήσεις δεν είναι σωστά προστατευμένες ο ιός αυτός βρίσκει δίοδο μέσα στα συστήματα της εταιρείας.
Με ποιους τρόπους βρίσκει δίοδο στα συστήματα των επιχειρήσεων ο συγκεκριμένος ιός;
Ο ιός προσβάλλει τα συστήματα των εταιρειών όταν ένας υπάλληλος χρησιμοποιήσει ένα μέσο κοινωνικής δικτύωσης ή κατεβάσει δωρεάν λογισμικό, εφαρμογή ή πρόγραμμα. Πρέπει να ξέρετε πως ό,τι κατεβάζετε δωρεάν από το διαδίκτυο είναι επικίνδυνο. Επίσης είναι απαραίτητο να υπάρχει πολιτική ασφάλειας ως προς το ποιος έχει πρόσβαση σε ποιες σελίδες. Ο ιός κρυπτογραφεί όλα τα υπολογιστικά συστήματα της εταιρείας μέχρι και το backup. Αυτήν τη στιγμή που μιλάμε υπάρχουν εταιρείες με κρυπτογραφημένο back up που δεν μπορούν να κάνουν τίποτα, καθώς δεν υπάρχει antivirus και δεν μπορεί κανείς να αποκρυπτογραφήσει την εταιρεία. Περιμέναμε να βρούμε κλειδί από το FBI και ξένες υπηρεσίες για να βρούμε τρόπο να λύσουμε το πρόβλημα. Ο μόνος τρόπος να ξεκλειδώσει η εταιρεία τα συστήματά της είναι να δώσει 3 Bitcoins των 15.000 ευρώ, δηλαδή 45.000 ευρώ. Ο ρόλος ο δικός μας είναι να βρούμε λύση στην εταιρεία χωρίς να πληρωθούν τα «λύτρα».
Οι κυβερνοεπιθέσεις αφορούν όλες τις επιχειρήσεις κάθε μεγέθους και εντοπίζονται σε όλους τους κλάδους; Υπάρχουν βιομηχανίες ή τομείς που οι κυβερνοαπατεώνες εστιάζουν σε μεγαλύτερο βαθμό;
Το ερώτημα δεν είναι το εάν αλλά το πότε μία επιχείρηση θα γίνει στόχος crackers. Οπότε η απάντησή μου είναι ότι οι επιθέσεις αφορούν όλες τις εταιρείες, κάθε μεγέθους και όλων των κλάδων. Υπάρχει άλλωστε και το «κεφάλαιο» βιομηχανική αντικατασκοπεία. Υπάρχουν επιχειρήσεις στον κλάδο τροφίμων, τη βιομηχανία όπλων ή την υγεία κ.λπ. που πληρώνουν ανθρώπους για να έχουν πρόσβαση σε πληροφορίες και σχέδια, κλέβοντας δεδομένα των αντιπάλων τους. Πρέπει να αντιληφθούμε ότι όταν δίνεις το email σου είναι σαν να δίνεις το κλειδί του σπιτιού σου. Έχω να σας πω εκατοντάδες περιστατικά στελεχών εταιρειών που έδωσαν τα email τους και ανταγωνίστριες εταιρείες κατάφεραν να μπουν στα συστήματά τους. Μεγάλο deal στην Ελλάδα για την πώληση εταιρείας ακυρώθηκε με αυτό τον τρόπο.
Οπότε όποια εταιρεία έχει data κινδυνεύει;
Ναι, θέλει μεγάλη προσοχή η πολιτική ασφάλειας. Για αυτό γίνεται και το data protection μέσω του GDPR, για να προστατευτεί τελικά ο καταναλωτής και να θωρακιστούν οι εταιρείες. Γιατί δεν μπορεί να κλαπεί μία βάση δεδομένων με αριθμούς πιστωτικών καρτών από ένα super market και το βράδυ να πωλείται στο darknet. Μία ματιά αν ρίξουμε αυτήν τη στιγμή θα δείτε ότι 100 πιστωτικές αγοράζονται έναντι 10 ευρώ. Γιατί έχουν πάρει βάσεις μη κρυπτογραφημένες με πιστωτικές κάρτες και τις πουλάνε μαζικά.
Βρίσκονται και οι ασφαλιστικές εταιρείες στο στόχαστρο crackers;
Βέβαια από τη στιγμή που έχουν υπολογιστές, email κ.λπ. είναι μέσα στη λίστα των υποψηφίων θυμάτων.
Τώρα με τον GDPR θα υπάρχει κάποιος φορέας να συλλέγει δεδομένα παραβιάσεων;
Η Αρχή Προστασίας Προσωπικών Δεδομένων θα πρέπει να αναπτύξει εργαλεία και συστήματα έτσι ώστε να ενημερώνει τους ανθρώπους από τι κινδυνεύουν και πώς κινδυνεύουν.
Ποια είναι η εικόνα σε διεθνές και ευρωπαϊκό επίπεδο;
Ο GDPR για να υλοποιηθεί στην Ευρώπη εκτιμάται ότι οι εταιρείες θα δαπανήσουν 14 δισ. ευρώ, χωρίς στο ποσό αυτό να περιλαμβάνονται και τα κόστη των προγραμμάτων για κρυπτογράφηση.
Έχει επομένως σίγουρα ανοίξει μία τεράστια αγορά μέσα από το κανάλι αυτό για το cyber security.
Θα μου πείτε δύο λόγια για το CSIi; Ποιες δράσεις κάνετε εκεί;
Το CSIi είναι κατά κάποιο τρόπο το αγαπημένο μου «παιδί». Είναι ένα μη κερδοσκοπικό Ινστιτούτο που έχει σαν στόχο να εκπαιδεύσει γονείς και παιδιά πώς να πλοηγούνται με ασφάλεια στο ίντερνετ. Ταυτόχρονα υποστηρίζει μαθητές και σπουδαστές παρέχοντάς τους εκπαίδευση πάνω στους υπολογιστές. Η δράση του επεκτείνεται συνεχώς, καθώς πλέον διεξάγει σε νομούς της Ελλάδας ένα πρόγραμμα για επιχειρηματίες. Τους μαθαίνουμε πως να αξιοποιήσουν το διαδίκτυο για να επεκτείνουν τις επαγγελματικές τους δραστηριότητες εντός και εκτός Ελλάδας. Επίσης, με το facebook έχουμε υπογράψει συμφωνία και κάνουμε το πρόγραμμα “boost your business” στα Χανιά με στόχο σιγά σιγά να το επεκτείνουμε και σε άλλες περιοχές. Στο Διεθνές Ινστιτούτο Κυβερνοασφάλειας τρέχουμε δύο εξαιρετικά σημαντικά έργα: α) συμπράξαμε με την Wind για να κάνουμε την πρώτη διαδικτυακή «Ακαδημία Γονέων» που θα ξεκινήσει με 300 συμμετοχές και β) χρησιμοποιούμε την πλατφόρμα blackboard που την έχει το Harvard και η NASA και μας την έχει παραχωρήσει δωρεάν η εταιρεία Cosmolearn για την εκπαίδευση παιδιών σε κώδικα και προγραμματισμό. Έχουμε ήδη ξεκινήσει πιλοτικά προγράμματα για αυτό. Ο Ομπάμα είπε «όποιο παιδί δεν γνωρίζει κώδικα και προγραμματισμό θα είναι ανένταχτο στις νέες κοινωνίες». Θεωρώντας και εμείς το ίδιο, κάνουμε –με τη συμβολή δύο κορυφαίων εταιρειών– ένα διαδικτυακό σχολείο για να μαθαίνουν τα παιδιά δωρεάν κώδικα και προγραμματισμό και εν συνεχεία καλώς εχόντων των πραγμάτων και ρομποτική.
Πηγή: Ασφαλιστικό Μarketing Ιανουαρίου 2018
