Γιατί αξίζει οι εταιρείες να επενδύουν στο Cyber Security
03.11.2020 από τον Μανώλη Σφακιανάκη για το brokerstime.gr

Γιατί αξίζει οι εταιρείες να επενδύουν στο Cyber Security

Ξεκινάω με τα λόγια του πρώην προέδρου των ΗΠΑ, Μπαράκ Ομπάμα, ο οποίος είπε λίγες ημέρες πριν εγκαταλείψει τον Λευκό Οίκο: «Τα παιδιά μας χωρίς γνώση κώδικα και προγραμματισμού, θα είναι ανένταχτα στις κοινωνίες που έρχονται!». Αυτό και μόνο στέλνει το μήνυμα σε όλα τα μήκη και τα πλάτη, πορευόμαστε μέσα από τις τεχνολογίες και μόνο… Υπάρχουν πολλοί μύθοι και πραγματικότητες γύρω από το διαδίκτυο.

Επειδή πολλά κυκλοφορούν γύρω από τη διαδικτυακή ασφάλεια σας δίδω κάποιους κανόνες, διότι υπάρχουν πολλές παρερμηνείες:

  • Στο διαδίκτυο δεν είμαστε ανώνυμοι, αλλά κάθε ενέργειά μας αφήνει ηλεκτρονικά ίχνη.
  • Ό,τι δημοσιεύουμε στο διαδίκτυο δεν διαγράφεται ποτέ, ακόμη κι αν εμείς το διαγράψουμε γιατί υπάρχει μηχανισμός που διαφυλάττει τα πάντα.
  • Ό,τι διαβάζουμε στο διαδίκτυο, δεν είναι πάντα αλήθεια και πρέπει να επαληθεύουμε την πηγή.
  • Δεν υπάρχει 100% προστασία στο Διαδίκτυο. «Ο μόνος ασφαλής υπολογιστής, είναι ο κλειστός υπολογιστής!»
  • Το διαδίκτυο είναι πάρα πολύ ευάλωτο και απόλυτη ασφάλεια δεν υπάρχει, γι’ αυτό όλοι πρέπει να είμαστε υποψιασμένοι πάντα!
  • Η πλειονότητα των ελληνικών επιχειρήσεων δεν επενδύει σε πολιτικές ασφάλειας των τεχνολογικών συστημάτων με αποτέλεσμα να πέφτουν εύκολα θύματα επιτήδειων, καθώς τα υπολογιστικά τους συστήματα είναι ευάλωτα.
  • Τα στατιστικά δείχνουν πως τα κρούσματα επιθέσεων μέσω Διαδικτύου παρουσιάζουν ανησυχητική έξαρση. Η συντριπτική πλειονότητα των εγκληματικών πράξεων στο Διαδίκτυο γίνεται πλέον μέσω των κοινωνικών δικτύων.

Για παράδειγμα, μόνο στη χώρα μας οι χρήστες του Facebook ξεπερνούν πλέον τα 6,5 εκατομμύρια. Καθημερινά βλέπεις, πλέον, δημοσιεύματα όπως το εξής: «χάκαραν και πήραν λύτρα €80.000 σε Bitcoin!» «Κρυπτογράφησαν υπολογιστικό σύστημα και στη συνέχεια εκβίασαν για να δώσουν το κλειδί της αποκρυπτογράφησης» Επίσης συναντάμε καθημερινά περιστατικά τα οποία δείχνουν άγνοια διαδικτυακού κινδύνου και αυτά είναι: Άνδρας έκανε ροζ περιήγηση στο διαδίκτυο μεταμεσονύκτιες ώρες με αποτέλεσμα το πρωί να του έλθει βίντεο εκβιαστικό με αυτά που το βράδυ διαδραματίστηκαν… στην καλύτερη στο e-mail του και κατόπιν εάν δεν υποκύψει στον εκβιασμό στην κοινωνική δικτύωση και σε δημόσια θέα, παρουσιάζοντάς τον σε βίντεο CYBER SEX, που είναι ένα συνηθισμένο πλέον καθημερινό φαινόμενο και αυτό.

Τα στελέχη που διαχειρίζονται πληρωμές σε μία εταιρεία και ειδικότερα οι λογιστές ή απλοί διαδικτυακοί χρήστες κάνουν συναλλαγές μέσα από το e – banking διότι είτε βρήκαν μία ευκαιρία σε προϊόν είτε θέλουν να πληρώσουν μια αγορά που ήδη έχουν εκτελέσει και εκεί που είναι έτοιμοι να κάνουν την εκτέλεση της συναλλαγής έρχεται email και τους λέει «σε παρακαλώ στείλε σε αυτό τον αριθμό το έμβασμα» και αυτός το πράττει αβίαστα και χωρίς να επιβεβαιώσει αν το email είναι αληθινό ή ψεύτικο… με απλά λόγια κακόβουλο… εκτελεί χωρίς να διασταυρώσει την πληροφορία που μόλις έλαβε και δυστυχώς το έμβασμα πάει σε άλλα χέρια, τρίτα και εμείς ουδέποτε παίρνουμε προϊόν στα χέρια μας η ουδέποτε εξοφλούμαι τις υποχρεώσεις μας.

Κάποιοι καθημερινά στη χώρα μας, χάνουν χιλιάδες ευρώ από τις συναλλαγές που πήγαν σε λάθος χέρια

Κάποιοι καθημερινά στη χώρα μας, χάνουν χιλιάδες ευρώ από τις συναλλαγές που πήγαν σε λάθος χέρια. Δυστυχώς και τώρα που διαβάζετε αυτό το κείμενο ίσως κάποιοι να έχετε στα υπολογιστικά σας συστήματα τον άγνωστο κράκερ, που έχει παραβιάσει τον υπολογιστή σας και βλέπει όλες σας τις κινήσεις και καραδοκεί την κατάλληλη ώρα… για να χτυπήσει. Διαδικτυακοί κυνηγοί Ευκαιριών νομίζουν ότι βρήκαν κατά το σερφάρισμά τους ένα προϊόν που ήθελαν να έχουν, αλλά να ξόδευαν ελάχιστα χρήματα για να το αποκτήσουν. Αυτοί πληρώνουν διαδικτυακά, αλλά ποτέ δεν λαμβάνουν το προϊόν αυτό. Ήταν μια ακόμη παγίδα του διαδικτύου, μία από τις πολλές που υπάρχουν και δεν γνωρίζουμε. Υπάλληλοι εταιρειών δέχονται email με κακόβουλο λογισμικό – διότι δεν υπάρχει ως είθισται πολιτική ασφαλείας με παράλληλα συστήματα προστασίας στις περισσότερες εταιρείες – στη συνέχεια εξαπλώνεται ο ιός σε ολόκληρη την εταιρεία και κρυπτογραφεί όλα τα δεδομένα που υπάρχουν μέσα στους υπολογιστές της. Στο σημείο αυτό κάνω μία έκκληση στους υπεύθυνους υπολογιστικών συστημάτων ΙΤ επειδή γνωρίζουν πολλά, αλλά πράττουν λιγότερα λόγω φόρτου εργασίας: «Προσοχή θέλει στο σημείο που λαμβάνονται τα εταιρικά email.

Όταν άνθρωποι των εταιρειών δίνουν το email τους, ο τρόπος που η εταιρεία θα το λαμβάνει και θα το κατανέμει σε αυτούς θέλει ιδιαίτερο τρόπο και προσοχή διότι είναι πάρα πολύ απλή η διείσδυση στα υπολογιστικά συστήματα όπου οι τρόποι μεταλλάσσονται καθημερινώς με αποτέλεσμα όταν δίνεις το εταιρικό email εάν αυτό δεν λαμβάνεται σωστά και με διαδικασίες είναι σαν να δίνεις το κλειδί της εταιρείας σου.» Ηθικό δίδαγμα της καθημερινής εμπειρίας μου είναι ένα και μοναδικό: εκπαιδεύουμε τους υπαλλήλους μας με τρόπους πολλούς και διάφορους εκτός των άλλων και στο πώς θα λαμβάνουν την ηλεκτρονική αλληλογραφία τους και θωρακίζουμε την εταιρεία μας για να υπάρχουν λιγότερες πιθανότητες παράνομων διεισδύσεων. Θεωρώ αδιανόητο τη στιγμή που οι επιχειρήσεις δαπανούν σημαντικά ποσά για τη φυσική προστασία των εγκαταστάσεών τους αποφεύγουν να επενδύσουν στην ασφάλεια των τεχνολογικών τους συστημάτων. Διενεργήθηκε έρευνα όπου διαπιστώθηκαν εταιρείες να ξοδεύουν περισσότερα σε καφέ απ’ ότι σε cyber security!

Καλό θα είναι οι εταιρείες να κοιτάξουν το cyber security για την ασφάλειά τους, γιατί έρχεται μεγάλο τσουνάμι με τον ιό «crypto locker», τον ιό που κρυπτογραφεί τα δεδομένα των υπολογιστών. Εάν η εταιρεία δεν πληρώσει το δράστη και δεν έχει Backup δεν θα μπορεί να λειτουργήσει ποτέ! Ο κώδικας κρυπτογράφησης δεν μπορεί να σπάσει, κανείς δεν μπορεί να αποκρυπτογραφήσει τα ψηφιακά δεδομένα και είναι μονόδρομος η πληρωμή των λύτρων. Οι εταιρείες πλέον για να ξαναλειτουργήσουν επιλέγουν να διαπραγματευτούν στο σκοτεινό διαδίκτυο και να πληρώσουν.

Η GDPR Greece είναι ίσως η πρώτη εταιρεία στο χώρο της που ιδρύθηκε πριν από ενάμιση χρόνο από εμένα και τον κ. Γιάννη Μακρυπούλια. Από την εμπειρία μου, επειδή έχουμε εκτελέσει και υλοποιήσει αρκετά έργα και έχουμε κάνει awareness σε περισσότερα διαπιστώνουμε ότι στην Ελλάδα οι επιχειρήσεις έχουν αφενός κάνει βήματα για να ενημερωθούν και να βελτιωθούν αλλά αφετέρου βρίσκονται ακόμα πολύ πίσω σε σχέση με όσα ορίζονται από τον Κανονισμό. Πιστεύω ότι για κάθε εργαζόμενο θα πρέπει να δημιουργείται ένα αρχείο από τον Προσωπάρχη της κάθε εταιρείας στο οποίο θα υπάρχει ένα τρίπτυχο πιστοποίησης που θα αποτελείται από βεβαιώσεις ενημέρωσης, εκπαίδευσης, και αξιολόγησης που θα αφορά τον GDPR και θα παραδίδεται στην Αρχή σε περίπτωση καταγγελίας. Το αρχείο αυτό θα αποδεικνύει την υπευθυνότητα της εταιρείας σχετικά με τον Κανονισμό.

Η GDPR Greece δημιούργησε την υπηρεσία GDPR ALERT στην οποία θα μπορούν να απευθύνονται όσοι έχουν απορίες ή ενδοιασμούς σχετικά με τον κανονισμό GDPR σε νομικό και τεχνικό επίπεδο με 24ωρη εξυπηρέτηση. Από την καθημερινή ενασχόλησή μου με τον Ευρωπαϊκό Κανονισμό διαπιστώνω και μπορώ να καταθέσω και σε αυτό το άρθρο μου ότι στην Αρχή Προστασίας Προσωπικών Δεδομένων φτάνουν καθημερινά καταγγελίες από πολλές πλευρές και εξετάζονται όλες με σειρά προτεραιότητας. Έτσι εάν κάποιοι πιστεύουν ότι η Αρχή δεν δουλεύει και οι υποθέσεις δεν αξιολογούνται κάνουν μεγάλο λάθος. Ο Πρόεδρος και τα στελέχη της Αρχής δίνουν με αγωνία καθημερινά τον αγώνα τους.

Τέλος, ένας σύντομος απολογισμός από την Αρχή και τον Πρόεδρό της για τον πρώτο χρόνο λειτουργίας του Κανονισμού GDPR στην Ελλάδα. Διαπιστώθηκε στην πρώτη μεγάλης κλίμακας έρευνα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε 65 διαδικτυακούς ιστότοπους μη επαρκής συμμόρφωση με τη νομοθεσία για τα cookies, ελλιπής ενημέρωση για τις πράξεις επεξεργασίας και τους αποδέκτες των δεδομένων και υστέρηση, κυρίως του δημόσιου τομέα, ως προς τις υποχρεώσεις που σχετίζονται με τη διαφάνεια. Επίσης από τις 25/5/2018 έως σήμερα είχαν υποβληθεί στην ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων 930 καταγγελίες και 136 γνωστοποιήσεις περιστατικών παραβίασης δεδομένων.