Αυτό αναφέρει το Special Report του ΣΕΒ, με θέμα:"Κυβερνοασφάλεια: Οι προτάσεις του ΣΕΒ για ασφαλείς επιχειρήσεις στην εποχή της 4ης Βιομηχανικής Επανάστασης" που κυκλοφορεί σήμερα, Τρίτη 17 Νοεμβρίου 2020.

Σύμφωνα με τον ΣΕΒ:

• Ο κλάδος της βιομηχανίας αντιμετωπίζει αυξανόμενες απειλές στην εποχή της 4ης Βιομηχανικής επανάστασης. Σε ευρωπαϊκό επίπεδο, το 2018 4 στις 10 βιομηχανικές επιχειρήσεις επηρεάστηκαν από σοβαρό συμβάν ασφάλειας, τα περιστατικά εκβιασμών αυξήθηκαν 3500%, η ψηφιακή απάτη κατά 250%. Η μέση οικονομική ζημιά ανήλθε σε €330.000 ανά περιστατικό ενώ η αντίστοιχη μέση ζημιά από παραβίαση οικονομικών και εμπιστευτικών δεδομένων ήταν €7,5 εκ. Σημειώνεται πως τα νούμερα παρουσιάζουν ισχυρά αυξητική τάση το 2019, ενώ η πανδημία αναμένεται να τα αυξήσει περισσότερο.
• Οι μεσαίες και μεγάλες επιχειρήσεις υιοθετούν εκτενώς νέες ψηφιακές τεχνολογίες (βλέπε πρόσφατη μελέτη σε 16 κλάδους) και βιώνουν ψηφιακές παραβιάσεις ιδιαίτερης σοβαρότητας. Την περίοδο 2014-2019, οι παραβιάσεις αυξήθηκαν κατά 67%, με αποτέλεσμα το 2019, το 40% των επιχειρήσεων να βιώσει ψηφιακές παραβιάσεις, με αυξημένο κόστος και χρόνο αποκατάστασης. Το μέσο κόστος αποκατάστασης μαζί με τη μέση επίπτωση στην καθημερινή λειτουργία υπολογίζεται σε €13 εκ. ανά παραβίαση. Η ζημιά αυτή παρουσιάζει σημαντική αυξητική τάση κατά 72% την τελευταία πενταετία. Το 2020 πάνω από το 50% των μεσαίων και μεγάλων επιχειρήσεων αναμένεται να απειληθεί από κάποιας μορφής κυβερνοεπίθεση.
• Για επιχειρήσεις με σημαντικό όγκο εμπιστευτικών πληροφοριών (όπως η πνευματική ιδιοκτησία), είναι ιδιαίτερα κρίσιμη η επαρκής προστασία. Σε πρόσφατη ανάλυση, το μέσο κόστος αποκατάστασης (τεχνική και λειτουργική) από κυβερνοεπίθεση ανέρχεται σε €3,9 εκ. ανά παραβίαση, ενώ το μέσο χρονικό διάστημα για τον εντοπισμο και περιορισμό του περιστατικού φτάνει τις 280 ημέρες. Στην ίδια ανάλυση αναδεικνύονται και οι συνέπειες της πανδημίας, καθώς 3 στις 4 επιχειρήσεις αναμένουν σημαντική αύξηση του χρόνου εντοπισμού και αποκατάστασης τέτοιων περιστατικών, κυρίως λόγω της δυσκολίας ψηφιακής προστασίας σε περιπτώσεις απομακρυσμένης εργασίας.

Στο πλαίσιο αυτό όπως καταγράφεται στην ανάλυση του ΣΕΒ, «η επιχείρηση πρέπει να λάβει υπόψη τις ευκαιρίες, αλλά και τους κινδύνους που ενδέχεται να προκύψουν από την υιοθέτηση disruptive τεχνολογιών. Έτσι, φενός πρέπει να σταθμίσει τις ανάγκες υιοθέτησης καινοτομιών που είναι απαραίτητες για την ανάπτυξή της και αφετέρου να προσδιορίσει τις ανάγκες προστασίας που θα προκύψουν, τόσο από τις υπάρχουσες, όσο και τις επερχόμενες απειλές. Επομένως, χρειάζεται να καταρτίσει ένα ολιστικό σχέδιο κυβερνοασφάλειας, ακολουθώντας τα εξής βασικά βήματα:

1. Κατανομή ρόλων και δημιουργία ομάδας για την κατάρτιση του σχεδίου. Αρχικά, η επιχείρηση πρέπει να θεσπίσει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO), ο οποίος αποτελεί μέλος της Διοίκησης, αλλά και σύμβουλο της Εκτελεστικής Διοίκησης σε θέματα τεχνολογίας και ασφάλειας πληροφοριών και δεδομένων. Ακολούθως, σχηματίζεται μια ομάδα η οποία θα αναλάβει το σχεδιασμό και εποπτεία του πλάνου κυβερνοασφάλειας της επιχείρησης, με τη συμμετοχή της Εκτελεστικής Διοίκησης (C-Suite), του Υπεύθυνου Ασφάλειας Πληροφοριών και στελεχών του τμήματος ΙΤ (π.χ. Υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων (ΙΤ Security Officer)). Τέλος, δημιουργείται το τμήμα κυβερνοασφάλειας, το οποίο ο CISO στελεχώνει με τις κατάλληλες δεξιότητες.
2. Εξέταση του μοντέλου λειτουργίας. Η ομάδα σχεδιασμού ξεκινάει την κατάρτιση του πλάνου κυβερνοασφάλειας με την καταγραφή και κατανόηση του τρόπου με τον οποίο λειτουργεί η επιχείρηση, των διαδικασιών που χρησιμοποιεί και των στόχων που έχουν τεθεί.
3. Αξιολόγηση του υφιστάμενου επιπέδου κυβερνοασφάλειας. Για κάθε μια από τις διαδικασίες που καταγράφονται στο προηγούμενο βήμα, προσδιορίζεται ο βαθμός προστασίας τους από επιθέσεις και επομένως η ωριμότητα του τωρινού επιπέδου κυβερνοασφάλειας της επιχείρησης. Με τον τρόπο αυτό, εντοπίζονται πιθανά κενά (breaches) στην ασφάλεια του οργανισμού, και γενικότερα τομείς για βελτίωση του επιπέδου προστασίας.Το βήμα αυτό, μπορεί να υλοποιηθεί είτε ενδοεπιχειρησιακά, είτε από εξωτερικούς εξειδικευμένους συμβούλους.
4. Διερεύνηση και αξιολόγηση των υφιστάμενων και αναπτυσσόμενων κινδύνων και απειλών στον κυβερνοχώρο. Απαραίτητη προϋπόθεση κατάρτισης της στρατηγικής για μια αποτελεσματική κυβερνοασφάλεια, αποτελεί η εξέταση του εξωτερικού περιβάλλοντος, με τον εντοπισμό των απειλών στον κυβερνοχώρο και των συνεπειών που ενδέχεται να έχουν στην επιχείρηση. Για να αποτυπωθεί σωστά ο χάρτης με τις πηγές προέλευσης και τη φύση των κινδύνων και απειλών, πρέπει να διερευνηθεί προσεκτικά το περιβάλλον στο οποίο λειτουργεί η επιχείρηση. Ενδεικτικά, να καταγραφούν / προσδιοριστούν: οι πελάτες, οι προμηθευτές, διάφοροι τρίτοι με τους οποίους έχουν καταρτιστεί συνεργασίες, οι κυριότεροι ανταγωνιστές, οι απειλές που αντιμετωπίζουν οι ανταγωνιστές ή τους έχουν επηρεάσει στο παρελθόν, ποιοι θα μπορούσαν να επωφεληθούν από μια επίθεση στα συστήματα της επιχείρησης και τη διακοπή της λειτουργίας της, οι μέθοδοι που χρησιμοποιούν κυρίως οι επιτιθέμενοι, τα κίνητρά τους, κ.λπ.
5. Προσδιορισμός των αγαθών στρατηγικής σημασίας που πρέπει να προστατευθούν. Η ομάδα κυβερνοπροστασίας καθορίζει ποια είναι τα σημαντικότερα αγαθά (assets) της επιχείρησης που είναι περισσότερο έκθετα σε κυβερνοεπιθέσεις, ή επιθέσεις εκ των έσω, και επομένως προκύπτουν ανάγκες προστασίας τους. Τα αγαθά είναι: διαδικασίες, πληροφοριακά συστήματα, συσκευές, τεχνολογικός & μηχανολογικός εξοπλισμός, ανθρώπινο δυναμικό που εργάζεται σε ενδεχομένως στοχοποιημένες θέσεις ευθύνης, πληροφορίες και δεδομένα.
6. Ανάπτυξη πλαισίου και προτύπων διαχείρισης της κυβερνοασφάλειας. Πριν την κατάρτιση του στρατηγικού σχεδίου, η ομάδα κυβερνοπροστασίας καθορίζει το υποστηρικτικό πλαίσιο διαχείρισης της κυβερνοασφάλειας που θα χρησιμοποιηθεί. Πρόκειται για τις μεθοδολογίες και πρότυπα που χρησιμοποιούνται για την αξιολόγηση της ανθεκτικότητας ενός οργανισμού σε θέματα κυβερνοασφάλειας και τη διαχείριση των κινδύνων που προκύπτουν. Τα πιο γνωστά πρότυπα που εφαρμόζονται διεθνώς είναι τα ISO 2700x, NIST και IRAM2.
7. Κατάρτιση στρατηγικής κυβερνοασφάλειας. Μετά τη χαρτογράφηση του εσωτερικού και εξωτερικού περιβάλλοντος και την επιλογή του πλαισίου διαχείρισης, καταρτίζεται η στρατηγική κυβερνοασφάλειας, με τη συμμετοχή της Διοίκησης, σε συμφωνία όμως με τη γενικότερη επιχειρησιακή στρατηγική και το μοντέλο λειτουργίας της επιχείρησης. Λαμβάνεται υπόψη το υφιστάμενο επίπεδο ωριμότητας της ασφάλειας, αλλά και το επίπεδο που θέλει να φτάσει η επιχείρηση. Προτείνεται η κατάρτιση στρατηγικής με δύο χρονικούς ορίζοντες: μεσοπρόθεσμα (1 έτος) και μακροπρόθεσμα (5 έτη). Περιέχονται: διαδικασίες, πόροι, τεχνολογίες, στόχος (σε ποιο επίπεδο κυβερνοασφάλειας επιθυμεί η επιχείρηση να φτάσει), προϋπολογισμός.
8. Υιοθέτηση κουλτούρας κυβερνοασφάλειας. Η ομάδα σχεδιασμού κυβερνοπροστασίας, στα πλαίσια της εφαρμογής της στρατηγικής, αναλαμβάνει την υλοποίηση προγραμμάτων ευαισθητοποίησης, ώστε όλα τα επίπεδα της επιχείρησης να είναι ενήμερα σε θέματα κυβερνοπροστασίας και σε ετοιμότητα. Π.χ. πρόγραμμα εκπαίδευσης του προσωπικού, υιοθέτηση ρόλων και αρμοδιοτήτων σε κάθε τμήμα.
9. Ανάπτυξη και εφαρμογή σχεδίου ανθεκτικότητας. Το σχέδιο ανθεκτικότητας περιλαμβάνει συστηματικές δοκιμές σε ελεγχόμενο περιβάλλον, για να αξιολογείται η αποτελεσματικότητα των συστημάτων ασφάλειας και να βελτιώνεται συνεχώς το επίπεδο προστασίας. Περιλαμβάνει: σχεδιασμό σεναρίων για επιθέσεις που ενδέχεται να συμβούν και ενεργειών αντιμετώπισής τους, δοκιμαστικά σχέδια αντιμετώπισης περιστατικών, π.χ. προσομοίωση περιστατικών ασφάλειας (war gaming), προσομοίωση ρεαλιστικών επιθέσεων από ανεξάρτητη εταιρεία, χωρίς τη γνώση της ομάδας αντιμετώπισης (red teaming). Κατά τη διεξαγωγή των προσομοιώσεων, συμμετέχουν τα μέλη της ομάδας κυβερνοασφάλειας που ασχολούνται με τη διαχείριση κρίσεων.
10. Περιοδικός έλεγχος. Το σχέδιο ανθεκτικότητας πρέπει να ελέγχεται και να επικαιροποιείται τουλάχιστον μια φορά το χρόνο, ώστε να διαπιστώνεται ο βαθμός αποτελεσματικής λειτουργίας του. Λαμβάνονται υπόψη τόσο οι αλλαγές στο περιβάλλον της επιχείρησης, όσο και νέοι κίνδυνοι ή απειλές που ενδέχεται να έχουν προκύψει.»

Γιώργος Αλεξάκης