Οι χάκερ ξεπερνούν τα κέρδη των ναρκεμπόρων
Πέντε τρισ. στην 5ετία το κόστος των κυβερνοεπιθέσεων στην Ευρώπη, λέει στην «Κ» ο CEO του ομίλου Thales, Πατρίς Κεν
ΔΗΜΗΤΡΗ ΔΕΛΕΒΕΓΚΟΥ
Κατά τρεις φορές περισσότερα κέρδη, σε σύγκριση ακόμη και με το εμπόριο ναρκωτικών, αποφέρουν οι κυβερνοεπιθέσεις κατά ιδιωτικών και δημόσιων επιχειρήσεων, ιδιωτών και κάθε είδους πληροφοριακού συστήματος που περιέχει πολύτιμα δεδομένα. Για την πενταετία 2020-2024, το κόστος της παράνομης εισόδου σε ηλεκτρονικά συστήματα τοποθετείται, σε πανευρωπαϊκό επίπεδο, σε 5 τρισεκατομμύρια ευρώ. Τα ανησυχητικά αυτά στοιχεία παρέθεσε, κατά την πρόσφατη εκδήλωση (media day) της Thales στο Παρίσι, όπου η «Κ» έδωσε το «παρών», ο διευθύνων σύμβουλος του γαλλικού τεχνολογικού ομίλου Πατρίς Κεν, που μαζί με τον γενικό διευθυντή της γαλλικής Εθνικής Υπηρεσίας Ασφάλειας Συστημάτων Πληροφορικής Guillaume Poupard, έκρουσαν τον κώδωνα του κινδύνου για την ιδιαίτερα σοβαρή και συστημική απειλή των κυβερνοεπιθέσεων.
Μήπως όμως τα μεγέθη αυτά να μοιάζουν υπερβολικά; Μάλλον όχι, εάν ληφθεί υπόψη ότι μία στις πέντε επιθέσεις αυτού του είδους σχετίζεται με ransomware, όπου ο χάκερ «κλειδώνει» ένα σύστημα, ζητώντας λύτρα πολλών χιλιάδων εάν όχι εκατοντάδων χιλιάδων ευρώ, προκειμένου αυτό να καταστεί ξανά λειτουργικό. Τέτοια, εξάλλου, ήταν η επίθεση που δέχτηκαν τα Ελληνικά Ταχυδρομεία πριν από μερικούς μήνες, με τον οργανισμό να ανακτά, ύστερα από μερικές ημέρες, τον πλήρη έλεγχο των συστημάτων του. Οι εκτιμώμενες ακόμη απώλειες των 5 τρισ. ευρώ, πανευρωπαϊκά, έως το 2024, περιλαμβάνουν και τη μάστιγα της μη εξουσιοδοτημένης πρόσβασης σε τραπεζικούς λογαριασμούς και του ταυτόχρονου... αδειάσματός τους.
«Απαιτείται ακόμη σημαντική πρόοδος προκειμένου οι επιχειρήσεις, εν συνόλω, να αρχίσουν να λαμβάνουν σοβαρά υπόψη τα ζητήματα των κυβερνοεπιθέσεων. Παρατηρούμε ότι οι μεγάλοι οργανισμοί λαμβάνουν μέτρα, σε αντίθεση με τις μικρότερες επιχειρήσεις που αντιμετωπίζουν τη θωράκιση έναντι των διαδικτυακών επιθέσεων περισσότερο ως δαπάνη, παρά ως επένδυση. Θα λέγαμε όμως ότι πρόκειται για ασφάλιση. Η δαπάνη, που αντιμετωπίζεται ως κόστος όταν πραγματοποιείται, δεν αποτελεί παρά επένδυση όταν ένα σύστημα καταφέρει να αποκρούσει μία επίθεση», εξηγεί στην «Κ» ο CEO της Thales.
Υπάρχει όμως κάποια κατηγορία κυβερνοχτυπήματος που προκαλεί τον μεγαλύτερο κίνδυνο; «Δεν μπορούμε να κατατάξουμε τις απειλές στο Διαδίκτυο με κριτήριο το ποια είναι περισσότερο ή λιγότερο σημαντική. Για παράδειγμα, στην Thales παρέχουμε λύσεις για την αντιμετώπισή τους, αλλά ταυτόχρονα δεχόμαστε και επιθέσεις, ως εταιρεία, τις οποίες, βέβαια, αποκρούουμε. Την ίδια στιγμή, βλέπουμε αρκετές, χαμηλής τεχνολογίας, όπως συνηθίζουμε να τις αποκαλούμε, επιθέσεις, οι οποίες είναι εύκολο να προληφθούν, να εντοπιστούν και να αντιμετωπιστούν. Ωστόσο, συμβαίνει, αν και λιγότερο συχνά, να βρισκόμαστε αντιμέτωποι με περισσότερο εξεζητημένες επιθέσεις. Βέβαια, οι κυβερνοπειρατές προτιμούν να επιτίθενται σε εύκολους παρά σε καλά προφυλαγμένους στόχους», εξηγεί ο Πατρίς Κεν.
Ο επικεφαλής της Thales ξεκαθαρίζει ότι παρά την πρόοδο των τεχνολογικών εργαλείων προστασίας, οι πολίτες δεν μπορούν να νιώθουν πλήρως ασφαλείς έναντι των κυβερνοεπιθέσεων. «Για να αποκρούσει κάποιος ένα διαδικτυακό χτύπημα, θα πρέπει να έχει γνώση του κινδύνου. Θα λέγαμε ότι υπάρχει σε σημαντικό βαθμό άγνοια μεταξύ των πολιτών για τον βαθμό επικινδυνότητας από μία online επίθεση, αλλά και για το πόσο τρωτό είναι ένα σύστημα. Για παράδειγμα, πολλοί δεν αντιλαμβάνονται ούτε κατά διάνοια ότι δημοσιεύοντας στα μέσα κοινωνικής δικτύωσης σειρά προσωπικών δεδομένων τους, δίνουν στους επιτήδειους τη δυνατότητα να βρουν τόπους για να ενορχηστρώσουν μια επίθεση εναντίον τους. Να αποκτήσουν, για παράδειγμα, πρόσβαση σε έναν τραπεζικό λογαριασμό ή να δημιουργήσουν μία ψεύτικη ταυτότητα. Θα πρέπει να συνεχίσουμε να εκπαιδεύουμε τους ανθρώπους για τους κινδύνους που παρουσιάζουν τα μέσα κοινωνικής δικτύωσης», αναφέρει, υπονοώντας ότι, σε μεγάλο βαθμό, η επιτυχία των διαδικτυακών απειλών
σχετίζεται με το πόσο ευάλωτος είναι ο επιτιθέμενος.
Οπως προσθέτει, ως αντίβαρο λειτουργεί, σε ένα βαθμό, ο ευρωπαϊκός κανονισμός GDPR για την προστασία των προσωπικών δεδομένων. «Χάρη στο ρυθμιστικό αυτό καθεστώς, η Ευρώπη έχει πρωτοπορήσει στην προστασία της ιδιωτικότητας, καθώς ο κανονισμός GDPR προβλέπει αυστηρές δικλίδες προστασίας των προσωπικών δεδομένων και επεξεργασίας τους».
Η περαιτέρω ψηφιοποίηση των συστημάτων και των οργανισμών, λόγω και της χρηματοδότησης από το Ταμείο Ανάκαμψης σημαντικών ψηφιακών έργων, δημιουργεί οφέλη και απειλές, «αποτελώντας ένα νόμισμα με δύο όψεις», όπως σημειώνει ο διευθύνων σύμβουλος της Thales. Οσον αφορά τη λήψη αποφάσεων, σε επίπεδο κρατών-μελών, για την υιοθέτηση στρατηγικής θωράκισης έναντι των κυβερνοεπιθέσεων, παρότι, όπως επισημαίνει, ο βαθμός κατανόησης του προβλήματος, σε πολιτικό επίπεδο, έχει αυξηθεί, παραμένει ζήτημα εθνικών προτεραιοτήτων.
Αύξηση χτυπημάτων
Στην Ελλάδα, σύμφωνα με την τελευταία έρευνα (δημοσιεύθηκε πριν από 11 μήνες) της συμβουλευτικής εταιρείας EY, η συχνότητα των διαδικτυακών χτυπημάτων σε ελληνικές επιχειρήσεις, οργανισμούς και φορείς βαίνει αυξανόμενη. Σύμφωνα με το 86% των ερωτηθέντων υπευθύνων ασφαλείας πληροφοριών στην Ελλάδα, σε χρονικό ορίζοντα δώδεκα μηνών, ο αριθμός των κυβερνοεπιθέσεων, σε σχέση με προηγούμενα έτη, έχει αυξηθεί κατά 10%-20%. Κατά μέσον όρο, το κόστος από τα χτυπήματα αυτού του είδους στις μικρομεσαίες επιχειρήσεις ανέρχεται έως 50.000 ευρώ, στις μεγάλες επιχειρήσεις (έως 1.000 εργαζομένους) ξεπερνάει τις 130.000 ευρώ και στις εταιρείες που αριθμούν πάνω από 1.000 εργαζομένους ξεπερνάει το μισό εκατομμύριο ευρώ. Η έρευνα της EY για το 2021 κατέγραψε αυξημένο, σε σύγκριση με το 2020, κατά 10% μέσο κόστος κυβερνοεπιθέσεων, το οποίο εκτιμάται πως θα έχει ενισχυθεί ακόμη περισσότερο φέτος.
Κατά τη φετινή χρονιά, εκτός από τα Ελληνικά Ταχυδρομεία θύμα κυβερνοεπίθεσης τύπου ransomware έπεσαν τα ηλεκτρονικά συστήματα στα νοσοκομεία «Σωτηρία» και «Ασκληπιείο Βούλας». Αντίστοιχη επίθεση δέχτηκαν πέρυσι τα Ελληνικά Αμυντικά Συστήματα, των οποίων τα συστήματα με όλα τα πολύτιμα αρχεία έγιναν απροσπέλαστα από τους εξουσιοδοτημένους χρήστες τους. Η λίστα των φορέων που δέχτηκαν επιθέσεων ransomware περιλαμβάνει τον Δήμο Θεσσαλονίκης και το υπουργείο Περιβάλλοντος, ενώ το 2020 υποκλάπηκε αρχείο με στοιχεία κλήσεων των συνδρομητών τηλεπικοινωνιακού παρόχου.
Παράλληλα, όμως, με τις οργανωμένες επιθέσεις, ιδιαίτερα διαδεδομένη είναι η πρακτική της εξαπάτησης πολιτών αλλά και εργαζομένων μέσω αποστολής e-mail. Στην πρώτη περίπτωση, ο παραλήπτης δέχεται, συνήθως, ένα μήνυμα που παραπέμπει σε ένα σύνδεσμο το οποίο «μολύνει» τον υπολογιστή ή το κινητό του με αποτέλεσμα την υποκλοπή των κωδικών του τραπεζικού λογαριασμού του. Στη δεύτερη κατηγορία, οι απατεώνες ζητούν από στελέχη εταιρειών την τροποποίηση των στοιχείων του τραπεζικού λογαριασμού ενός δικαιούχου πληρωμής (π.χ. προμηθευτή).
Βάσει της Εθνικής Στρατηγικής Κυβερνοασφάλειας 20202025 βασικός πυλώνας (για την αποτροπή διαδικτυακών χτυπημάτων) είναι η Εθνική Αρχή Κυβερνοασφάλειας, με την ενέργεια, τις μεταφορές, τις τράπεζες, τις υποδομές χρηματιστηριακών αγορών, την υγεία, το πόσιμο νερό, τις τηλεπικοινωνίες, τη Δικαιοσύνη και την παιδεία να αποτελούν κρίσιμους τομείς για τους οποίους θα πρέπει να διασφαλίζεται η επιχειρησιακή συνέχεια. Αντίστοιχα, στον ιδιωτικό τομέα θα πρέπει να διασφαλίζεται η θωράκιση, μεταξύ άλλων, των υπηρεσιών εξυπηρέτησης πολιτών και των υποδομών των επιχειρήσεων.
Οι κυβερνοπειρατές προτιμούν να επιτίθενται σε εύκολους παρά σε καλά προφυλαγμένους στόχους.