Οι ερευνητές της ΑIG ζήτησαν τις απόψεις ειδικών σχετικά με την ασφάλεια και τον κίνδυνο στον κυβερνοχώρο, προκειμένου να κατανοήσουν βαθύτερα την πιθανότητα και τον αντίκτυπο μιας συστημικής κυβερνοεπίθεσης.

Ενώ η ερώτηση «είναι ο κίνδυνος στον κυβερνοχώρο συστημικός;» φαίνεται απλή, οι λεπτομέρειες έχουν πολλές αποχρώσεις. Μπορεί μια επίθεση να επηρεάσει δεκάδες, εκατοντάδες ή και χιλιάδες ιδρύματα παράλληλα; Είναι το μέγεθος του γεγονότος αντιστρόφως ανάλογο με την πιθανότητα να συμβεί; Είναι ορισμένες βιομηχανίες πιο εκτεθειμένες στον συστημικό κίνδυνο σε σχέση με άλλες; Σε αυτές τις ερωτήσεις επικεντρώνεται η έρευνα, σύμφωνα με τα όσα ανακοίνωσε ο οργανισμός.

Ένα ηχηρό «Ναι»: Ο κίνδυνος στον κυβερνοχώρο είναι συστημικός

Πάνω από το 90% των ερωτηθέντων πιστεύουν ότι ο κίνδυνος στον κυβερνοχώρο είναι πράγματι συστημικός, δηλαδή μπορεί να επηρεάσει πολλές εταιρείες την ίδια στιγμή. Αυτό έχει ευρείες συνέπειες για τα πάντα, από την ασφάλεια στον κυβερνοχώρο μέχρι τις ασφάλειες και τις πρακτικές διαχείρισης κινδύνου. Οι επιχειρήσεις, οι πόλεις και οι άνθρωποι πρέπει να αρχίσουν να σκέφτονται διαφορετικά σχετικά με την τρωτότητά τους στον κυβερνοχώρο, καθώς κάνουν προσλήψεις, τοποθετούν δεδομένα στο cloud και χρησιμοποιούν διασυνδεδεμένα μηχανήματα και συσκευές, πράγματα που μπορεί να αλλάξουν το προφίλ κινδύνου τους. Παράλληλα, οι ασφαλιστές και οι πάροχοι υπηρεσιών πρέπει να συνεργαστούν προκειμένου να βελτιώσουν την προστασία και την υποστήριξη που παρέχουν στους πελάτες τους για να βοηθήσουν να αμβλυνθεί αυτός ο αυξανόμενος κίνδυνος.

Πόσο μεγάλος είναι ο κίνδυνος;

Ο προσδιορισμός του δυνητικού συστημικού κινδύνου είναι μια αρχή. Παράλληλα, είναι επίσης σημαντικό να κατανοήσουμε την πιθανότητα και την κλίμακα μιας συστημικής επίθεσης. Όταν ζητήθηκε να αξιολογήσουν την πιθανότητα διαφορετικού μεγέθους επιθέσεων εντός των επόμενων δώδεκα μηνών, μια μεγάλη πλειοψηφία των ερωτηθέντων απάντησε ότι πιστεύουν πως είναι πιο πιθανή μια επίθεση που θα επηρεάσει 5 με 10 εταιρείες παρά μια επίθεση που θα επηρεάσει 100 ή σημαντικά περισσότερες εταιρείες.

Παρ' όλα αυτά, πρόσφατα περιστατικά, όπως τα λύτρα MongoDB, η κατανεμημένη άρνηση υπηρεσίας της Dyn (DDoS) και οι τραπεζικές επιθέσεις SWIFT, υπογραμμίζουν την πολύ πραγματική απειλή των μεγαλύτερων συστημικών γεγονότων.

Πρώτη στη σειρά; Η βιομηχανία χρηματοπιστωτικών υπηρεσιών

Το 85% των ερωτηθέντων πιστεύει ότι ορισμένοι κλάδοι είναι πιο ευάλωτοι σε συστημικές επιθέσεις σε σχέση με άλλους. Οι χρηματοπιστωτικές υπηρεσίες (19%), η ενέργεια (15%), οι τηλεπικοινωνίες και υπηρεσίες κοινής ωφέλειας (14%), η υγεία (13%) και ο κλάδος των τεχνολογιών πληροφορίας αξιολογήθηκαν ως οι πιο πιθανές να γίνουν μέρος μιας συστημικής επίθεσης μέσα στους επόμενους δώδεκα μήνες. 

Οι εταιρείες τεχνολογιών πληροφορίας, μεταξύ των οποίων και οι πάροχοι software και hardware που αποτελούν τον σκελετό της ψηφιακής οικονομίας, είναι μεταξύ των πιθανών στόχων. Η υψηλά διασυνδεδεμένη μας οικονομία στηρίζεται στην ασφάλεια και στη συνεχή ροή δεδομένων και στην ηλεκτρονική επικοινωνία. Διαταραχές στην ροή και την ασφάλεια των δεδομένων θα μπορούσε να έχει καταρρακτώδεις επιπτώσεις και αρνητικό αντίκτυπο σε οργανισμούς που βασίζονται σε τέτοια δεδομένα, επισημαίνει η AIG.

Η μεγαλύτερη απειλή: Μαζική DDoS (Κατανεμημένη Άρνηση Υπηρεσιών)

Όταν ζητήθηκε να αξιολογήσουν την πιθανότητα των πιο σοβαρών σεναρίων, οι συμμετέχοντες στην έρευνα απάντησαν ότι μια DDoS επίθεση σε ένα μεγάλο πάροχο cloud είναι το πιο πιθανό γεγονός που θα μπορούσε να επηρεάσει πολλούς τομείς. Αυτό είναι ιδιαίτερα σημαντικό υπό το πρίσμα  της έντονης ανάπτυξης του cloud computing και του πολλαπλασιασμού των συσκευών IoT που έχουν χρησιμοποιηθεί για να πραγματοποιηθούν τεράστιες DDoS επιθέσεις. 

Μάλιστα, ιδιαίτερα πιθανά θεωρούνται τα περιστατικά που αφορούν συστημικές χρηματοπιστωτικές υπηρεσίες, την υγεία και την λιανική. Στις περιπτώσεις κλοπής ή καταστροφής δεδομένων, αυτό που ήταν πολύ ανησυχητικό ήταν οι ατέλειες στο hardware και στο software που χρησιμοποιούνται ευρέως από τη βιομηχανία.

Οι επιθέσεις σε κρίσιμες υποδομές, οι οποίες θα μπορούσαν να προκαλέσουν απώλεια ζωής και σωματικό τραυματισμό, κατέγραψαν τη χαμηλότερη θέση στη λίστα των σεναρίων.

Μάλιστα, όπως δείχνουν τα πορίσματα της έρευνας, η εκτέλεση επιθέσεων μεγάλης κλίμακας σε υποδομές (π.χ. υπηρεσίες κοινής ωφέλειας, αεροπορία ή μεταφορές) θα απαιτούσε πιθανώς έναν υψηλό βαθμό εξειδίκευσης που μπορεί να περιορίσει την ομάδα ικανών δραστών, αν και πάντα η απειλή παραμένει.

Πώς μετριάζεται ο κίνδυνος;

Όπως επισημαίνει και η έρευνα της AIG, η τεχνολογική πρόοδος προχωρά τις κοινωνίες μπροστά, αλλά κάθε αλλαγή συνεπάγεται κινδύνους και την πιθανότητα αυτοί οι κίνδυνοι να είναι διαφορετικοί από τους καθιερωμένους. Το ηλεκτρονικό εμπόριο για παράδειγμα, περισσότερο από κάθε άλλο κοινωνικό παράγοντα, διαμορφώνει το προφίλ ρίσκου της σύγχρονης οικονομίας.

Ωστόσο, όπως επισημαίνεται, το ρίσκο μπορεί να γίνει διαχειρίσιμο, καθώς η πλειοψηφία των ερωτηθέντων στην έρευνα συμφώνησε ευρέως ότι η συστημική έκθεση σε κινδύνους στον κυβερνοχώρο μπορεί να μετριαστεί με τις κατάλληλες επενδύσεις σε ασφάλιση. Η ασφάλιση αυτή θα πρέπει να περιλαμβάνει προσεκτικό έλεγχο του πωλητή και διαχείριση και εκπαίδευση σε κατάλληλες πρακτικές ασφαλείας, προκειμένου να μετριάσουμε τον αντίκτυπο ενός συστημικού γεγονότος στον κυβερνοχώρο. Ενώ οι διαδικτυακές απειλές θα συνεχίζουν να αναβαθμίζονται και να επεκτείνονται, οι άμυνες θα πρέπει να συμβαδίζουν.