5 βασικές αρχές για τη σωστή διαχείριση των κινδύνων στον κυβερνοχώρο
Η προσέγγιση ενός οργανισμού για την ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί κομμάτι της συνολικότερης προσέγγισής του σε σχέση με τη διαχείριση επιχειρησιακών κινδύνων, με τα διοικητικά συμβούλια να είναι υπεύθυνα για τον καθορισμό της σωστής κουλτούρας και των αναγκαίων λειτουργικών πλαισίων, εξηγούν οι κ.κ. Sebastian Hess, Cyber Risk Advisor, EMEA AIG, και Stephen Morton, Head of Multinational AIG Europe S.A.
Οι εταιρείες και τα διοικητικά τους συμβούλια αντιμετωπίζουν ένα δυναμικό μεταλλασσόμενο τοπίο κινδύνων στον κυβερνοχώρο, συμπεριλαμβανομένων περισσότερο στοχευμένων απειλών, μέσα από κακόβουλα λογισμικά και, πιο πρόσφατα, απειλών που σχετίζονται με την αύξηση της εξ αποστάσεως εργασίας. Το τελευταίο εγχειρίδιο της Ευρωπαϊκής Συνομοσπονδίας Εταιρικών Διευθυντών (ecoDa) και της Συμμαχίας Ασφάλειας Διαδικτύου (ISA) προσφέρει στα ευρωπαϊκά εταιρικά συμβούλια καθοδήγηση και μια σειρά στρατηγικών συστάσεων, βάσει των οποίων μπορεί να διαμορφωθεί σε επιχειρησιακό επίπεδο ένα πλαίσιο σωστής διαχείρισης των κινδύνων στον κυβερνοχώρο.
Υπό συνεχή πολιορκία
Ένας κόσμος σε καραντίνα αποτελεί έναν κόσμο όπου οι επιτιθέμενοι προσπαθούν να εκμεταλλευτούν τους φόβους και τις πιθανές αδυναμίες στην ασφάλεια, όπως αυτοί προκύπτουν από την εξ αποστάσεως εργασία. Από τα πρόσφατα ερευνητικά πορίσματα διαμορφώνεται μία ξεκάθαρη εικόνα. Ακόμη και σε μία εποχή αυστηρών κανονισμών για την προστασία των προσωπικών δεδομένων και αύξησης των δαπανών για την ασφάλεια στον κυβερνοχώρο, οι εταιρείες παραμένουν ευάλωτες στις παραβιάσεις των ευαίσθητων δεδομένων τους. Ο αριθμός των παραβιασμένων αρχείων παγκοσμίως αυξήθηκε κατά 273% το πρώτο τρίμηνο του 2020, σε σύγκριση με το πρώτο τρίμηνο του 2019, σύμφωνα με την υπηρεσία προστασίας απορρήτου Atlas VPN1.
Τρία χρόνια μετά από την επίθεση του κακόβουλου λογισμικού WannaCry, που έβλαψε επιχειρήσεις σε 150 χώρες, οι κυβερνοεπιθέσεις έχουν γίνει συχνότερες και με σοβαρές επιπτώσεις, σύμφωνα με στατιστικά στοιχεία της AIG. Αυτό υποστηρίζεται από μια εξωτερική μελέτη2, η οποία δείχνει ότι ο αριθμός των επιθέσεων αυξάνεται πράγματι συνεχώς κάθε χρόνο, από το 2017. Δεν είναι μόνο η επικράτηση του κακόβουλου λογισμικού ransomware που αποτελεί απειλή, σημειώνει ο κ. Mark Camillo, επικεφαλής της κυβερνοασφάλειας της AIG για τις χώρες ΕΜΕΑ. Είναι επίσης γεγονός ότι οι επιθέσεις πλέον έχουν γίνει περισσότερο στοχευμένες, με λύτρα που συχνά ξεκινούν από έξι ή ακόμη και επτά ψηφία.
Καθώς οι εταιρείες βελτιώνουν την προσέγγισή τους στο ζήτημα της ασφάλειας στον κυβερνοχώρο, αυξάνονται οι δυσκολίες για τους επιτιθέμενους, οι οποίοι πρέπει να γίνουν πιο μεθοδικοί, ώστε να διατηρήσουν τις ροές εσόδων τους. «Στο παρελθόν, αντιμετωπίζαμε ένα απλό κακόβουλο λογισμικό, με το οποίο οι εγκληματίες ζητούσαν μικρά ποσά», λέει ο κ. Camillo. «Τώρα, αφιερώνουν χρόνο για να πραγματοποιήσουν πιο στοχευμένες επιθέσεις και βασίζουν τα λύτρα που ζητούν στον αριθμό των server (διακομιστές εξυπηρέτησης) που έχουν καταφέρει να αποκρυπτογραφήσουν. Έτσι, βλέπουμε τα ποσά για λύτρα να αυξάνονται δραματικά».
Οι κατηγορίες των θυμάτων για επιθέσεις κακόβουλων λογισμικών διευρύνθηκαν με την πάροδο του χρόνου, όπως φαίνεται από τα ιδιόκτητα δεδομένα της AIG στο πλαίσιο του αφιερώματος Cyber Claims Intelligence. Τα χρηματοπιστωτικά ιδρύματα, οι επιχειρήσεις λιανικής και άλλοι οργανισμοί που κατέχουν σημαντικό όγκο ευαίσθητων δεδομένων, εξακολουθούν να αποτελούν στόχο κυβερνοεπιθέσεων, αλλά ο τρόπος δράσης των εγκληματιών έχει μεταβληθεί, επηρεάζοντας τον τομέα της διαχείρισης επιχειρησιακών κινδύνων των επιχειρήσεων. Πολλές από τις πιο σοβαρές διεκδικήσεις που αναφέρθηκαν στην AIG προέρχονται από επιχειρήσεις που παραδοσιακά δεν αγόραζαν ασφάλιση για κυβερνοεπιθέσεις, συμπεριλαμβανομένων επιχειρήσεων στον κατασκευαστικό κλάδο και τις μεταφορές.
Η ευθύνη του διοικητικού συμβουλίου
Το εγχειρίδιο εποπτείας κινδύνων στον κυβερνοχώρο της Συμμαχίας Ασφάλειας Διαδικτύου (ISA), το οποίο αναπτύχθηκε σε συνεργασία με την Ευρωπαϊκή Συνομοσπονδία Εταιρικών Διευθυντών (ecoDa) και την AIG, έχει ως στόχο να υποστηρίξει τα ευρωπαϊκά εταιρικά συμβούλια στην προσπάθειά τους να προστατεύσουν τις επιχειρήσεις και τους ανθρώπους τους από τις απειλές στον κυβερνοχώρο. Το εγχειρίδιο εποπτείας αναγνωρίζει ότι τέτοιου είδους απειλές αποτελούν ευθύνη του διοικητικού συμβουλίου, με νομικές συνέπειες και αρνητικές επιπτώσεις για τη φήμη τους στην περίπτωση που λαμβάνουν χώρα παραβιάσεις και άλλα αρνητικά συμβάντα στον κυβερνοχώρο.
Το εγχειρίδιο αποσκοπεί στην προώθηση της συνεχούς και ενιαίας υιοθέτησης ομοιόμορφων αρχών ασφάλειας στον κυβερνοχώρο από τα εταιρικά συμβούλια, όχι μόνο στην Ευρώπη αλλά και σε ολόκληρο τον κόσμο. Αναγνωρίζει ότι η κουλτούρα ενός οργανισμού σχετικά με την ασφάλεια στον κυβερνοχώρο αποτελεί πλέον βασική προτεραιότητα και όχι ένα απλό τεχνικό ζήτημα, που μπορεί να αφεθεί ως μία ήσσονος σημασίας οργανωτική εκκρεμότητα. «Τα διοικητικά συμβούλια οφείλουν να κατέχουν επαρκώς τις γνώσεις γύρω από αυτόν τον κίνδυνο, δοκιμάζοντας την εκτελεστική διοίκηση στα ζητήματα σχετικά με την ασφάλεια στον κυβερνοχώρο, ώστε να βεβαιωθούν πως, ανεξάρτητα από το ποια είναι η προσέγγισή τους στα ζητήματα σχετικά με την ασφάλεια, αυτή δεν παύει ποτέ να αντικατοπτρίζει ταυτοχρόνως και τις ανάγκες της επιχείρησης», επισημαίνει ο κ. Camillo.
Παρακάτω ακολουθεί μία σύνοψη των πέντε βασικών αρχών για τη διαχείριση των κινδύνων στον κυβερνοχώρο, σε συνδυασμό με ορισμένες συστάσεις.
Αρχή 1η
Οι διευθυντές πρέπει να κατανοήσουν και να προσεγγίσουν την κυβερνοασφάλεια ως ζήτημα που ανήκει στη διαχείριση επιχειρησιακών κινδύνων και όχι ως απλό ζήτημα πληροφορικής
Βασικές συστάσεις:
- Η προστασία δεδομένων δεν πρέπει να θεωρείται αποκλειστικά τεχνικό ζήτημα, που το χειρίζεται το τμήμα πληροφορικής της εταιρείας.
- Η ασφάλεια στον κυβερνοχώρο πρέπει να γίνει αντιληπτή ως ζήτημα διαχείρισης κινδύνου σε ολόκληρο το επιχειρησιακό επίπεδο και σε ολόκληρο τον κύκλο ζωής της εταιρείας.
- Η επίβλεψη κινδύνου πρέπει να αποτελεί ευθύνη όλου του Διοικητικού Συμβουλίου.
- Το Διοικητικό Συμβούλιο δεν πρέπει να βασίζεται σε ένα ενιαίο πλάνο που εφαρμόζεται και ισχύει καθολικά –τα μέλη πρέπει να είσαι σε θέση να προσδιορίσουν μεμονωμένες προσεγγίσεις για κάθε ξεχωριστή περίπτωση.
- Το διοικητικό συμβούλιο θα πρέπει να αναπτύξει τη σωστή κουλτούρα μέσα στην εταιρεία, ώστε να διασφαλίσει ότι όλοι οι εργαζόμενοι λαμβάνουν σοβαρά υπόψη τους το ζήτημα της κυβερνοασφάλειας.
- Το καθήκον της διοίκησης είναι να θέτει στη διάθεση του διοικητικού συμβουλίου πληροφορίες που σχετίζονται με τις δυνατότητες πρόληψης, ανίχνευσης και απόκρισης, αλλά και γνώσης του κατά πόσο οι διαδικασίες έχουν ωριμάσει και δοκιμαστεί επιτυχώς. Με αυτόν τον τρόπο, η διοίκηση δεν θα πρέπει να λαμβάνει υπόψη μόνο τα δικά της δίκτυα, αλλά και το μεγαλύτερο οικοσύστημα, εντός του οποίου λειτουργεί η εταιρεία.
Αρχή 2η
Οι διευθυντές πρέπει να κατανοήσουν τις επιπτώσεις στη φήμη αλλά και τις νομικές επιπτώσεις των κινδύνων στον κυβερνοχώρο, όπως αυτά σχετίζονται με το συγκεκριμένο ρυθμιστικό πλαίσιο εντός του οποίου λειτουργεί η εταιρεία
Βασικές συστάσεις:
- Η ασφάλεια στον κυβερνοχώρο δεν επηρεάζει μόνο ζητήματα φήμης, αλλά και την ευθύνη που έχουν τα μέλη του διοικητικού συμβουλίου.
- Τα μέλη του διοικητικού συμβουλίου οφείλουν να έχουν καλή γνώση των υφιστάμενων νομοθεσιών, είτε σε ευρωπαϊκό είτε σε εθνικό επίπεδο, ή ακόμη και σε συγκεκριμένους κλάδους, προκειμένου να ασκήσουν σωστά το καθήκον που σχετίζεται με την προστασία απέναντι σε κυβερνοαπειλές.
Αρχή 3η
Τα διοικητικά συμβούλια πρέπει να διασφαλίζουν επαρκή πρόσβαση στους κατάλληλους εμπειρογνώμονες και στις σωστές αναφορές σχετικά με την κυβερνοασφάλεια, τόσο σε επίπεδο διοικητικού συμβουλίου όσο και σε επίπεδο επιτροπών
Βασικές συστάσεις:
- Τα μέλη του διοικητικού συμβουλίου πρέπει να εφαρμόζουν τις ίδιες αρχές έρευνας και εποικοδομητικής πρόκλησης που εφαρμόζουν και στις στρατηγικές τους αποφάσεις.
- Το διοικητικό συμβούλιο έχει καθήκον να προσδιορίζει με ακρίβεια τις προσδοκίες του στη διοίκηση και να είναι καθοδηγητικό σχετικά με τον τύπο των πληροφοριών που επιθυμεί να λάβει.
- Ακόμα κι αν το ζήτημα της κυβερνοασφάλειας έχει ανατεθεί σε ειδική επιτροπή, ολόκληρο το διοικητικό συμβούλιο θα πρέπει να βρίσκεται σε εγρήγορση και να λαμβάνει τουλάχιστον τριμηνιαίες αναφορές από τη διοίκηση σχετικά με το ζήτημα.
- Η ασφάλεια στον κυβερνοχώρο δεν πρέπει να αντιμετωπίζεται ως αυτόνομο θέμα. Πρέπει να ενσωματωθεί σε όλες τις πτυχές της στρατηγικής της εταιρείας.
Αρχή 4η:
Τα μέλη του διοικητικού συμβουλίου πρέπει να διασφαλίζουν ότι η διοίκηση θεσπίζει ένα πλαίσιο διαχείρισης κινδύνων στον κυβερνοχώρο σε επιχειρησιακό επίπεδο, το οποίο περιλαμβάνει καλλιέργεια αντίστοιχης κουλτούρας, δυνατότητες πρόληψης, εντοπισμού και απόκρισης, καθώς και παρακολούθηση και επικοινωνία σε όλα τα επίπεδα. Οι πόροι πρέπει να είναι επαρκείς και να κατανέμονται κατάλληλα από τις στρατηγικές που υιοθετούνται
Βασικές συστάσεις:
- Η διοίκηση πρέπει να θεσπίσει τόσο ένα επιχειρησιακό τεχνικό πλαίσιο, όσο και ένα πλαίσιο συστημικής λειτουργίας (με μια προσέγγιση που θα λαμβάνει υπόψη τις μελλοντικές προοπτικές) για τη διευκόλυνση της επίβλεψης των κινδύνων στον κυβερνοχώρο από το διοικητικό συμβούλιο.
- Η διοίκηση πρέπει να έχει μια ολοκληρωμένη προσέγγιση για τους κινδύνους που ενυπάρχουν στον κυβερνοχώρο, προκειμένου να δημιουργήσει ένα σαφές πλαίσιο λογοδοσίας, σωστές διαδικασίες και κατευθυντήριες γραμμές επικοινωνίας.
- Η διοίκηση πρέπει να επιλέξει μια bottom-up συγκεντρωτική προσέγγιση στο συγκεκριμένο ζήτημα.
- Το διοικητικό συμβούλιο και τα ανώτερα διευθυντικά στελέχη πρέπει να θέσουν τον τόνο σχετικά με το ζήτημα της κυβερνοασφάλειας, προσπαθώντας να αναπτύξουν τη σωστή κουλτούρα ώστε να επιτύχουν την αντίστοιχη ευαισθητοποίηση για την ανάπτυξη της ανθεκτικότητας ενάντια στους κινδύνους του κυβερνοχώρου.
Αρχή 5η:
Η συζήτηση στο διοικητικό συμβούλιο για τον κίνδυνο στον κυβερνοχώρο θα πρέπει να περιλαμβάνει στρατηγικές για τη διαχείρισή του (μετριασμός, μεταφορά μέσω ασφάλισης ή συνεργασίες κ.λπ.)
Βασικές συστάσεις:
- Το διοικητικό συμβούλιο θα πρέπει να επανεξετάσει την απόδοση των επενδύσεων στον κυβερνοχώρο και να στραφεί σε μια προσέγγιση που θα βασίζεται στον υπολογισμό του κινδύνου.
- Η ασφάλεια στον κυβερνοχώρο πρέπει να θεωρηθεί ως ένα μέτρο υπολογισμού μελλοντικών απωλειών.
Ο ρόλος της μετατόπισης του κινδύνου
Η ασφάλιση από κυβερνοεπιθέσεις διαδραματίζει σημαντικό ρόλο στην αποφασιστική μετατόπιση του κινδύνου οικονομικών απωλειών από επίθεση στον κυβερνοχώρο. Αποτελεί, όμως, μόνο ένα μέρος της διαχείρισης των κινδύνων στον κυβερνοχώρο από τους οργανισμούς. Ο ρόλος των ασφαλιστών στον κυβερνοχώρο και των διαμεσολαβούντων είναι να συνεργάζονται προληπτικά με τους πελάτες, ώστε να μετριάσουν τις πιθανότητες απωλειών. Με τους πελάτες που είναι εκτεθειμένοι σε επίθεση κακόβουλων λογισμικών, η AIG επικεντρώνεται στην πρόληψη παρέχοντας υπηρεσίες όπως εκπαίδευση, σάρωση για εντοπισμό ευπαθειών και παροχή πληροφόρησης για ενδεχόμενες απειλές, ώστε να βοηθήσει τους πελάτες να αποφύγουν απώλειες.
Είναι ευθύνη του διοικητικού συμβουλίου, αλλά και της διοίκησης να βρουν τη σωστή ισορροπία μεταξύ των κινδύνων που θα μοιραστούν με τον ασφαλιστή και των δαπανών που γίνονται για την ενίσχυση της κυβερνοασφάλειας του οργανισμού, που θα περιορίσουν σημαντικά τα πεδία στα οποία ο οργανισμός είναι περισσότερο εκτεθειμένος.
Υπήρξε μια φυσική πρόοδος στην κατεύθυνση της ασφάλισης πολυεθνικών για ζητήματα κυβερνοασφάλειας. Για τους πολυεθνικούς οργανισμούς, η απόφαση για το πού και πώς θα εφαρμοστεί μια τοπική πολιτική μπορεί να είναι ιδιαίτερα περίπλοκη. Είναι σημαντικό να κατανοήσουμε τα πεδία στα οποία είναι περισσότερο εκτεθειμένοι οι οργανισμοί αυτοί για μία ενδεχόμενη κυβερνοεπίθεση, συμπεριλαμβανομένων των πελατών, των προμηθευτών και των διακομιστών τους, καθώς και πού ενδέχεται να απαιτείται περαιτέρω κάλυψη από τους τοπικούς αντισυμβαλλόμενους και κατά πόσον μια αξίωση θα πρέπει να πληρωθεί στη συγκεκριμένη χώρα.
Καθώς η ασφαλιστική βιομηχανία κυβερνοκινδύνων συνεχίζει να μεγαλώνει και να ωριμάζει, με αυξανόμενη έμφαση στην ξεκάθαρη παροχή κάλυψης (affirmative cover), είναι σημαντικό να διασφαλιστεί ότι δεν θα υπάρξουν ευάλωτα πεδία τα οποία δεν θα ληφθούν υπόψη και, ως εκ τούτου, θα παραμείνουν εκτεθειμένα.
1) https://atlasvpn.com/blog/number-of-breached-records-surged-by-273-in-2020-q1
(2) https://www.infosecurity-magazine.com/news/rise-in-ransomware-payments Α|Α