Επιθέσεις στον Κυβερνοχώρο (4 βήματα για να προστατεύσετε την επιχειρήσή σας)
Ο κ. Κώστας Βούλγαρης, Financial Lines & Casualty Manager στην AIG Ελλάς, δίνει χρήσιμες συμβουλές για την προστασία των επιχειρήσεων από επιθέσεις στον κυβερνοχώρο.
Οι επιθέσεις στον κυβερνοχώρο είναι πιθανώς ένας από τους πιο σημαντικούς κινδύνους που αντιμετωπίζει μια επιχείρηση. Αυτό, βέβαια, δεν αποτελεί έκπληξη για κανέναν, αφού η παγκόσμια οικονομία είναι πλήρως δικτυωμένη και εξαρτάται απόλυτα από τη συνεχή, ασφαλή και αδιάλειπτη ροή δεδομένων.
Η ελληνική πραγματικότητα δεν αποτελεί εξαίρεση σε αυτό, καθώς η ανάγκη της ασφάλισης στον κυβερνοχώρο αυξάνεται ταχύτατα, με τις εταιρείες να αναζητούν τρόπους προστασίας των περιουσιακών στοιχείων, των εργαζομένων και των πελατών τους από την ειδική αυτή κατηγορία κινδύνου.
Αυτό οφείλεται τόσο στην αύξηση του αριθμού των επιθέσεων που καταγράφονται, όσο και στο υψηλό κόστος που συνδέεται με αυτές. Μπροστά σε τέτοιους πολύπλοκους κινδύνους, τι μπορεί να κάνει μια εταιρεία για να προστατευθεί;
Μιλήσαμε με τον κ. Κώστα Βούλγαρη, Financial Lines & Casualty Manager στην AIG Ελλάς, ως τον πλέον ειδικό στις ασφαλίσεις κινδύνων όπως οι επιθέσεις στον κυβερνοχώρο, ο οποίος δίνει τις παρακάτω συμβουλές:
Οι εταιρείες στην Ελλάδα, προκειμένου να είναι έτοιμες να αντιμετωπίσουν μια επίθεση στον κυβερνοχώρο, πρέπει να έχουν κάνει την κατάλληλη προετοιμασία, έτσι ώστε σε ένα ενδεχόμενο περιστατικό να μπορέσουν να αντιδράσουν άμεσα.
Η πρόληψη είναι σημαντική, γι’ αυτό και προτείνονται τα παρακάτω βήματα:
Έλεγχος συστημάτων
Το πρώτο και σημαντικότερο βήμα για κάθε επιχείρηση είναι να διεξάγει προληπτικά όλους τους απαραίτητους ελέγχους στα συστήματά της. Συγκεκριμένα:
- Διατήρηση καταλόγου εγκεκριμένων και μη εγκεκριμένων συσκευών αποθήκευσης ή διαβίβασης δεδομένων.
- Διατήρηση καταλόγου εγκεκριμένων και μη εγκεκριμένων λογισμικών.
- Ανάπτυξη και συντήρηση ρυθμίσεων παραμέτρων ασφαλείας για όλες τις συσκευές αποθήκευσης ή διαβίβασης δεδομένων.
- Διεξαγωγή τακτικών και, ιδανικά, αυτοματοποιημένων ελέγχων ευπάθειας των πληροφοριακών συστημάτων και δημιουργία πλάνου αποκατάστασης σε περίπτωση ευρημάτων.
- Τακτικός έλεγχος χρήσης των λογαριασμών των διαχειριστών πληροφοριακών συστημάτων.
Οι παραπάνω ενέργειες μπορούν να αποτρέψουν έως και το 80% των επιθέσεων στον κυβερνοχώρο.
Πλάνο αντίδρασης
Ο προληπτικός αυτός έλεγχος των συστημάτων είναι μια πολύ σημαντική αρχή για κάθε εταιρεία, δεν επαρκεί όμως από μόνη της, αφού δεν μπορεί να αποτρέψει όλες τις επιθέσεις. Έτσι, η δημιουργία ενός αναλυτικού πλάνου αντίδρασης, σε περίπτωση που μια επίθεση συμβεί, είναι το επόμενο πολύ σημαντικό βήμα.
Κάθε εταιρεία οφείλει να ορίσει μια ομάδα υψηλόβαθμων στελεχών από όλα τα τμήματά της, προκειμένου από κοινού να παρακολουθούν τις εξελίξεις των πιθανών απειλών και να δημιουργήσουν μοντέλα αντίδρασης για κάθε διαφορετική περίπτωση.
Για να γίνει ένα αναλυτικό σχέδιο δράσης, πρέπει αρχικά να γίνει η χαρτογράφηση του κινδύνου. Η ομάδα μελετά τους πιθανούς τρόπους επίθεσης και δημιουργεί σενάρια, αναλύοντας συγκεκριμένα πρότυπα και μοτίβα, προκειμένου να αναπτύξει ένα σχέδιο για την προστασία των περιουσιακών στοιχείων της εταιρείας.
Σε αυτό το σημείο και κυρίως για την πρώτη συνάντηση, η βοήθεια εξωτερικού εμπειρογνώμονα για την ασφάλεια στον κυβερνοχώρο είναι ιδιαίτερα χρήσιμη, προκειμένου να προσδιοριστούν σωστά οι επιθέσεις στις οποίες η κάθε επιχείρηση είναι πιο ευάλωτη.
Τα πιθανά αυτά σενάρια επίθεσης είναι ιδιαίτερα αποτελεσματικά, βάζοντάς μας στη διαδικασία να καταλάβουμε από τι πρέπει να προστατευτούμε, ποιες είναι οι ευπάθειές μας αλλά και να αναλογιστούμε τις επιπτώσεις ενός τέτοιου περιστατικού.
Η δημιουργία ενός τέτοιου πλάνου μπορεί να μειώσει σημαντικά τόσο το κόστος όσο και τον χρόνο αποκατάστασης της ζημίας σε περίπτωση παραβίασης.
Αξιολόγηση – μέτρηση κινδύνου
Το επόμενο βήμα στη διαδικασία είναι η αξιολόγηση και η μέτρηση του κινδύνου. Όσο δύσκολο και αποθαρρυντικό και αν ακούγεται το συγκεκριμένο βήμα, είναι πολύ σημαντικό στο να καταλάβουμε αν είναι κάτι εφικτό, αρκεί να αποφύγουμε την «παράλυση της ανάλυσης».
Δεν χρειαζόμαστε ακριβείς εκτιμήσεις και η αλήθεια είναι ότι κανείς δεν μπορεί να ξέρει με βεβαιότητα πόση ζημιά θα προκαλέσει μια επίθεση από την άποψη οικονομικών απωλειών και βλάβης στη φήμη της κάθε εταιρείας.
Το μόνο που χρειάζεται είναι μια εκτίμηση, που θα προκύψει από την ανάλυση πληροφοριών από γεγονότα που έχουν συμβεί, προκειμένου να δημιουργηθεί μια στρατηγική για να περιοριστούν οι κίνδυνοι.
Ολοκληρωμένη πρόταση Διαχείρισης Κινδύνων από την AIG
Ο μετριασμός των κινδύνων, στη συνέχεια, μπορεί να λάβει πολλές μορφές.
Ο πιο αποτελεσματικός τρόπος για μια επιχείρηση είναι να επενδύσει σε τρόπους που θα μετριάσουν τις πιθανές επιθέσεις και θα προστατεύσουν κατά προτεραιότητα τα περιουσιακά στοιχεία που κινδυνεύουν περισσότερο.
Όμως, όσο καλά και να προετοιμαστούμε, η έκθεση στον κίνδυνο μιας επίθεσης μπορεί να μετριαστεί, αλλά όχι να εξαλειφθεί πλήρως.
Για τον λόγο αυτό, είναι πολύ σημαντικό κάθε επιχείρηση να αποκτήσει ένα ασφαλιστήριο συμβόλαιο για Cyber Insurance, που να μπορεί να προσφέρει τόσο το απαιτούμενο κεφάλαιο για να καλυφθούν ζημιές και απαιτήσεις αλλά και, το σημαντικότερο, να προσφέρει εξειδικευμένη βοήθεια όταν συμβεί ένα τέτοιο περιστατικό.
Το συγκεκριμένο ασφαλιστήριο καλύπτει κινδύνους όπως έξοδα, ζημίες, πρόστιμα, διακοπή λειτουργίας επιχειρήσεων, προστασία φήμης, εκβιασμούς, κ.λπ.
Η AIG στην Ελλάδα είναι μια ασφαλιστική εταιρεία με μακρά εμπειρία και τεχνογνωσία για την κάλυψη τέτοιων κινδύνων.
Το CyberEdge που προσφέρουμε, δεν είναι απλώς ένα ασφαλιστικό προϊόν αλλά μια ολοκληρωμένη πρόταση Διαχείρισης Κινδύνων, η οποία προσφέρει μαζί με την παραδοσιακή ασφαλιστική αποζημίωση, υπηρεσίες που θα βοηθήσουν μια επιχείρηση να αντιμετωπίσει αποτελεσματικά μια ενδεχόμενη κρίση στον κυβερνοχώρο.
Προσφέρει υπηρεσίες διαθέσιμες 24 ώρες το 24ωρο σε παγκόσμιο επίπεδο, μέσω μιας ειδικής τηλεφωνικής γραμμής. Στην AIG δεσμευόμαστε πλήρως, με αποδεδειγμένη τεχνογνωσία τόσο για την ανάληψη κινδύνων όσο και για τη διεκπεραίωση αξιώσεων, να προσφέρουμε για άλλη μια φορά μια καινοτόμο ασφαλιστική λύση, προσαρμοσμένη στις ανάγκες των ελληνικών επιχειρήσεων.
Και μια τελευταία συμβουλή από τη μεριά μας: ξεκινήστε άμεσα τον προγραμματισμό σας. Το να μπορέσετε να προστατευθείτε από μια επίθεση στον κυβερνοχώρο δεν είναι κάτι για το οποίο θα καταφέρετε να προετοιμαστείτε από τη μια ημέρα στην άλλη. Βήμα βήμα, δημιουργήστε τις απαραίτητες προϋποθέσεις, ώστε η επιχείρησή σας, που με τόσο κόπο αποκτήσατε, να μην μπει στο στόχαστρο κακόβουλων ενεργειών του διαδικτύου.