Στην εποχή της υβριδικής εργασίας, του Internet of Things, της ιντερνετικής δημόσιας διοίκησης και της συνεχούς ψηφιοποίησης στον ιδιωτικό τομέα, πολλαπλασιάζονται συνεχώς οι “πύλες” από τις οποίες μπορούν οι κυβερνοεγκληματίες να εισβάλλουν σε ένα κεντρικό σύστημα υπολογιστή. Το διαδικτυακό έγκλημα αυξάνεται σε όλο τον κόσμο και στοχεύει σε επιχειρήσεις, οργανισμούς και φυσικά πρόσωπα.
της Βίκυς Γερασίμου (Αναδημοσίευση από την ειδική έκδοση Οδηγός Ασφάλισης που κυκλοφόρησε με την Καθημερινή της Κυριακής 13/11)
Οι τραπεζικές συναλλαγές μέσω διαδικτύου, τα ηλεκτρονικά αρχεία των ασθενών, οι online αγορές, ένα παιχνίδι ερωτήσεων στα μέσα κοινωνικής δικτύωσης, το σύστημα παρακολούθησης μιας επιχείρησης ή κατοικίας που είναι διασυνδεδεμένο με το κινητό ή ακόμα και η διεύθυνση ενός email, όλα αποτελούν “οχήματα” που ενδεχομένως να αξιοποιήσει ένας hacker για να εντοπίσει κάποιο “κενό” στην ασφάλειά μας και να πάρει τον έλεγχο του λογισμικού ή να κλέψει δεδομένα που εν συνεχεία θα τα πουλήσει στο darkweb.
Σύμφωνα με τo “Checkpoint Report” το 2020, τη χρονιά των μεγάλων περιορισμών στην κινητικότητα λόγω της πανδημίας και της εξ αποστάσεως εργασίας, σε παγκόσμια κλίμακα καταγράφηκε αύξηση 93% στις επιθέσεις διαδικτυακών κινδύνων. Προκειμένου να περιορίσουν τους κινδύνους και τις επιπτώσεις από μία επίθεση τόσο οι δημόσιοι οργανισμοί όσοι και οι επιχειρήσεις διεθνώς προστατεύουν τη λειτουργία τους με ασφαλιστήρια συμβόλαια. H παγκόσμια αγορά ασφάλισης για διαδικτυακούς κινδύνους σύμφωνα με την έκθεση Fortune Business Insights αναμένεται να αυξηθεί σχεδόν κατά 500% μέσα σε μία επταετία και να ανέλθει από 7,1 δις δολάρια το 2021 σε 36,85 δις δολάρια το 2028.
Οικοδόμηση μιας ευρωπαϊκής κυβερνοασπίδας
H κυβερνοασφάλεια αποτελεί αναπόσπαστο μέρος της ασφάλειας των πολιτών της Ευρωπαικής Ένωσης. Σε όλο το φάσμα της κοινωνικής και οικονομικής ζωής που χρησιμοποιούνται δίκτυα και διασυνδεδεμένα συστήματα, οι πολίτες πρέπει να αισθάνονται και να είναι ασφαλείς.
Στο πλαίσιο της στρατηγικής της ΕΕ για την επόμενη δεκαετία, στα τέλη του 2020 προτάθηκε η αναθεώρηση της οδηγίας NIS προκειμένου να διασφαλιστεί ότι οι πολίτες και οι επιχειρήσεις επωφελούνται από αξιόπιστες ψηφιακές τεχνολογίες. Εν συνεχεία το Δεκέμβριο του 2021 το Συμβούλιο καθόρισε τη θέση του σχετικά με το ποια πρέπει να είναι τα μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την ΕΕ και για την περαιτέρω βελτίωση της ανθεκτικότητας του δημόσιου και του ιδιωτικού τομέα. Μόλις εγκριθεί η νέα οδηγία «NIS2», θα αντικαταστήσει την ισχύουσα για την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
Με την NIS2 η Ευρώπη επιχειρεί να ενισχύσει την ασφάλεια στις δημόσιες ψηφιακές υποδομές (από τις υπηρεσίες ηλεκτρονικών επικοινωνιών μέχρι τη διαχείριση αποβλήτων), στον τομέα της υγείας (π.χ. κατασκευαστές ιατρο-τεχνολογικών προϊόντων), στην ενέργεια και τις μεταφορές. Βάσει του πλαισίου που ορίζεται, οι εταιρείες που δραστηριοποιούνται στους συγκεκριμένους τομείς θα πρέπει να έχουν διαδικασίες διαχείρισης ρίσκου.
Ειδικότερα με τη νέα οδηγία:
- Αυξάνονται οι οντότητες που θα πρέπει να διαθέτουν σχέδιο προστασίας από διαδικτυακούς κινδύνους με στόχο να ενταθεί μεσοπρόθεσμα και μακροπρόθεσμα η ασφάλεια
- Ενισχύονται οι απαιτήσεις κυβερνοασφάλειας που επιβάλλονται στις εταιρείες
- Εισάγεται η υποχρέωση λογοδοσίας των ανώτατων διοικητικών στελεχών σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις κυβερνοασφάλειας.
- Εξορθολογίζονται οι υποχρεώσεις υποβολής εκθέσεων
- Γίνονται αυστηρότερα τα εποπτικά μέτρα για τις εθνικές αρχές
Το Μάιο του 2022 επετεύχθη συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και των κρατών μελών της ΕΕ επί της οδηγίας NIS2. Η πολιτική συμφωνία πρέπει πλέον να εγκριθεί επισήμως από τους δύο συν-νομοθέτες. Μετά από τη δημοσίευσή της στην Επίσημη Εφημερίδα θα τεθεί σε ισχύ 20 ημέρες και τα κράτη μέλη θα πρέπει, μέσα σε 21 μήνες, να ενσωματώσουν τα νέα στοιχεία της οδηγίας στο εθνικό τους δίκαιο.
Τα πεδία που βάζουν στο στόχαστρο οι hackers
Οι απειλές για την ασφάλεια στον κυβερνοχώρο επηρεάζουν τομείς ζωτικής σημασίας για την κοινωνία και την οικονομία. Σύμφωνα με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (Enisa), την περίοδο Απρίλιος 2020 – Ιούλιος 2021 καταγράφηκαν επιθέσεις που αφορούσαν:
- δημόσια διοίκηση/κυβέρνηση (198 περιστατικά)
- παρόχους ψηφιακών υπηρεσιών (152)
- το ευρύ κοινό (151)
- την υγειονομική περίθαλψη /ιατρικές υπηρεσίες (143)
- τον χρηματοπιστωτικό κλάδο (97)
Οι τύποι των επιθέσεων
Το Ransomware θεωρείται η πιο ανησυχητική διαδικτυακή απειλή αυτή τη στιγμή στην ΕΕ. Αποτελεί ένα κακόβουλο λογισμικό που σχεδιάστηκε με στόχο να εμποδίσει έναν χρήστη ή οργανισμό από το να έχει πρόσβαση σε αρχεία του υπολογιστή του. Μόλις το εν λόγω λογισμικό “μολύνει” το σύστημα οι εισβολείς απαιτούν πληρωμή λύτρων για να αποκαταστήσουν την πρόσβαση.
Τα στοιχεία που παραθέτει ο Οργανισμός για την Κυβερνοασφάλεια της ΕΕ δείχνουν ότι το 2021 το κόστος από τις επιθέσεις αυτού του τύπου φτάνουν στα 18 δις ευρώ, ποσό αυξημένο κατά 57 φορές σε σχέση με το 2015. Η μέση πληρωμή λύτρων επίσης διπλασιάστηκε από 71.000 ευρώ το 2019 σε 150.000 ευρώ το 2020, ενώ εκτιμάται ότι ανά περίπου 11 δευτερόλεπτα σημειώνεται μία επίθεση.
Σύμφωνα με τον ENISA υπάρχουν εννέα κύριες ομάδες απειλών:
- Ransomware: Οι εισβολείς κρυπτογραφούν τα δεδομένα ενός οργανισμού και απαιτούν πληρωμή για να αποκαταστήσουν την πρόσβαση
- Κακόβουλο λογισμικό (malware): Πρόκειται για κακόβουλη ενέργεια με στόχο να βλάψει την αξιοπιστία ή τη διαθεσιμότητα ενός συστήματος
- Επιθέσεις cryptojacking: Ασκούνται από εγκληματίες του κυβερνοχώρου που χρησιμοποιούν κρυφά την υπολογιστική ισχύ ενός θύματος για να δημιουργήσουν κρυπτονομίσματα
- Απάτες μέσω e-mail: Στοχεύει στη χειραγώγηση χρηστών του διαδικτύου ώστε να πέσουν θύματα μιας επίθεσης μέσω email.
- Απειλές των ψηφιακών δεδομένων: Αφορούν παραβιάσεις/διαρροές δεδομένων
- Απειλές κατά της διαθεσιμότητας των αρχείων και της ακεραιότητας των δεδομένων: Πρόκειται για επιθέσεις που εμποδίζουν τους χρήστες ενός συστήματος να έχουν πρόσβαση στις πληροφορίες τους.
- Παραπληροφόρηση: Διάδοση παραπλανητικών πληροφοριών.
- Μη κακόβουλες απειλές: Ανθρώπινα λάθη και συστημικές δυσλειτουργίες που μπορεί να οδηγήσουν σε διαρροές δεδομένων.
- Επιθέσεις κατά αλυσίδων εφοδιασμού: Συνήθως στόχο έχουν την απόκτηση πρόσβασης στα δεδομένα πελατών παρόχων υπηρεσιών.
Το δίχτυ ασφαλείας του Cyber Insurance
Τελευταία, οι επιχειρήσεις θωρακίζονται σε μεγαλύτερο βαθμό από ότι στο παρελθόν απέναντι στο κυβερνοέγκλημα, καθώς πλέον έχει καταστεί σαφές ότι το ζήτημα δεν είναι το εάν, αλλά το πότε θα στοχοποιηθούν από hackers. Πέρα όμως από τη μεγάλη αύξηση των επιθέσεων, έχουμε τα τελευταία χρόνια – με στόχο την προστασία των ευρωπαίων πολιτών – την αυστηροποίηση των οδηγιών και των κανονισμών της ΕΕ που αφορούν στην προστασία των προσωπικών πληροφοριών, στην ορθή συλλογή/επεξεργασία των δεδομένων και στην αντιμετώπιση των ιντερνετικών κινδύνων.
Όλοι αυτοί οι παράγοντες έχουν συντελέσει ως προς τη συνεχή αύξηση της ζήτησης για ασφαλιστήρια cyber insurance και συστήματα ασφαλείας διεθνώς. Ο κλάδος της Υγείας που λόγω των ευαίσθητων πληροφοριών που διατηρεί είναι από τους πρώτους κλάδους στις λίστες των hackers την περίοδο 2020- 2025, υπολογίζεται ότι θα δαπανήσει 125 δισ. δολάρια για να προστατευτεί από επιθέσεις και τη διαρροή ευαίσθητων προσωπικών δεδομένων ασθενών.
Σύμφωνα με στοιχεία της έκθεσης Check Point gia το πρώτο εξάμηνο του 2021 ο αριθμός των επιχειρήσεων που δέχτηκε επίθεση ransomware αυξήθηκε κατά 102%.
Αξίζει να σημειωθεί ότι κατά την περίοδο της πανδημίας τα “κενά” ασφαλείας στη λειτουργία των επιχειρήσεων πολλαπλασιάστηκαν, λόγω της ταχύτητας με την οποία καθιερώθηκε η ψηφιοποίηση πολλών διαδικασιών και εργασιών, με αποτέλεσμα να αυξηθούν αισθητά οι «πύλες» εισόδου για κυβερνοεπιθέσεις.
Προστασία από ανάλογα συμβάντα προσφέρουν τα ειδικά σχεδιασμένα ασφαλιστήρια συμβόλαια που καλύπτουν κόστη και οικονομικές ζημίες από επιθέσεις hackers, όπως έξοδα διαχείρισης παραβιάσεων ηλεκτρονικών συστημάτων, δαπάνες για ειδικούς ερευνητές, νομικούς συμβούλους, διαπραγματευτές σε περιπτώσεις λύτρων, πρόστιμα λόγω διαρροής δεδομένων και δημόσιες σχέσεις για την αποκατάσταση της φήμης της επιχείρησης. Εξαιρετικά σημαντική είναι η συμβολή των ασφαλιστικών εταιρειών πριν την έλευση του κινδύνου, καθώς έχουν ρόλο συμβουλευτικό και μπορούν να βοηθήσουν μέσω εργαλείων όπως το penetration test στην ενίσχυση της ασφάλειας των εταιρειών.
Η μεγάλη άνοδος στις επιθέσεις τα τελευταία 4 χρόνια έφερε και σημαντική αύξηση στο κόστος των καλύψεων του cyberinsurance (+ 30-80%), στις αξιώσεις και τις αποζημιώσεις. Σύμφωνα με τον Marco Henrique, Head of Cyber Continental Europe στην Guy Carpenter, σε συζήτηση της ΕΑΕΕ για τη διαδικτυακή ασφάλεια και ασφάλιση, τo ransomware αποτελεί κεντρικό σημείο στις αναφορές για την κυβερνοασφάλεια, καθώς για τους εγκληματίες αποτελεί μία «κερδοφόρα επιχείρηση» με μικρό κόστος και περιορισμένες απώλειες. Όπως ανέφερε χαρακτηριστικά, πρόκειται για επιχειρήσεις πιο “προσοδοφόρες” και από το εμπόριο κοκαίνης.
