Κυβερνοασφάλεια: Τρόποι προστασίας των επιχειρήσεων από το ransomware

Ολόκληρες εβδομάδες ή και μήνες ενδέχεται να απαιτηθούν, μέχρι μια επιχείρηση να επανέλθει σε πλήρη λειτουργία έπειτα από χτύπημα κακόβουλου λογισμικού τύπου «ransomware», όπως έδειξε και η εμπειρία από τα πλήγματα που δέχτηκαν το 2022 ελληνικές επιχειρήσεις. Στη μία περίπτωση, αυτή των ΕΛΤΑ, η επίθεση με ransomware (το οποίο κρυπτογραφεί τα αρχεία και τα κάνει μη προσβάσιμα, με απαίτηση λύτρων από το θύμα για να τα «απελευθερώσει») ανακοινώθηκε στις 23 Μαρτίου και η πλήρης αποκατάστασή της γνωστοποιήθηκε στις 7 Απριλίου.

Σε άλλη περίπτωση, εταιρείας cloud commerce, οι servers «έπεσαν» στις 28 Αυγούστου και στις 14 Οκτωβρίου το πρόβλημα δεν είχε ακόμα αποκατασταθεί πλήρως. Κυβερνοεπίθεση με ransomware δέχτηκε πέρυσι τον Αύγουστο και ο ΔΕΣΦΑ, με αποτέλεσμα αρχεία όγκου 361 GB να περάσουν στα χέρια των κυβερνοεγκληματιών, ενώ θύμα ransomware έπεσε και γνωστή αλυσίδα σούπερ μάρκετ.

Αύξηση του όγκου των κυβερνοεπιθέσεων το 2023

Τα παραπάνω στοιχεία παρουσίασε, σε εκδήλωση του Συνδέσμου Βιομηχανιών Ελλάδος (ΣΒΕ), ο Γιώργος Νώλης, ιδρυτής και CEO της εταιρείας Lancom, ελληνικής εταιρείας με έδρα τη Θεσσαλονίκη, που έχει δημιουργήσει τρία Κέντρα Δεδομένων (data centers) κι έχει ανακοινώσει τη δημιουργία τέταρτου στην Κρήτη το 2024. Επισήμανε δε, ότι κάθε επιχείρηση, όσο καλά προστατευμένη και αν πιστεύει πως είναι, πρέπει να θεωρεί δεδομένο ότι ενδέχεται να χτυπηθεί από ransomware, το οποίο μπορεί να παραμείνει «αόρατο» ακόμα και για μήνες στον υπολογιστή που έχει χτυπήσει, μέχρις ότου ενεργοποιηθεί την ιδανική στιγμή, για να απλωθεί πιο συστηματικά και να προκαλέσει τη μεγαλύτερη ζημία.

Δεν υπάρχει άλλη λύση…

«Από τη στιγμή που κάποιος χτυπηθεί από ransomware δεν υπάρχει άλλη λύση, παρά μόνο -θεωρητικά- η καταβολή των λύτρων. Ωστόσο, ακόμα και αν πληρώσει, οι πιθανότητες να ανακτήσει τα αρχεία είναι 50%-50%» επισήμανε ο κ. Νώλης και πρόσθεσε ότι υπάρχουν και περιπτώσεις data breaches (παραβιάσεων δεδομένων), κατά τις οποίες οι χάκερ θα δώσουν -ακόμα και εκδικητικά- τα δεδομένα στο Dark Web (σκοτεινό Διαδίκτυο), από όπου μπορεί να τα «τραβήξουν» τυχόν ενδιαφερόμενοι -και ανταγωνιστικές επιχειρήσεις- αποκτώντας πρόσβαση στο σύστημα ERP (προγραμματισμού εταιρικών πόρων), τα τιμολόγια, το πελατολόγιο και τα σχέδια προϊόντων του θύματος, χωρίς να χρειαστεί να καταφύγουν οι ίδιοι σε βιομηχανική κατασκοπεία. «Εφιαλτικό, αλλά απόλυτα πραγματικό», είπε χαρακτηριστικά ο κ. Νώλης και πρόσθεσε πως οποιοδήποτε μηχάνημα «κουμπωμένο» στο Διαδίκτυο, είτε μόνιμα είτε περιοδικά ανοιχτό, μπορεί να χτυπηθεί.

Συχνά, ο λόγος που οι επιχειρήσεις πέφτουν θύματα τέτοιων επιθέσεων ή αδυνατούν να σταθούν γρήγορα στα πόδια τους μετά από αυτές είναι ότι δεν εφαρμόζουν τρία βασικά βήματα προστασίας, συμπλήρωσε. Πρώτον, δεν κάνουν αυτοματοποιημένο και τριπλό backup (ένα on-site, μέσα στην επιχείρηση ή το εργοστάσιο και δύο off-site, σε απομακρυσμένο σημείο). Δεύτερον, δεν έχουν Σχέδιο Ανάκαμψης από Καταστροφή (Disaster Recovery Plan- DRP) για την ταχύτατη ανάκτηση των αρχείων τους: «το DPR δεν είναι πια πολυτέλεια και τα κόστη δεν είναι τόσο υψηλά όσο παλιά» σημείωσε, διευκρινίζοντας ωστόσο ότι για να λειτουργήσει σωστά το DPR πρέπει να απέχει περισσότερα από 180 χλμ από την έδρα την επιχείρησης, ώστε αν για παράδειγμα χτυπήσει την περιοχή ένας καταστροφικός σεισμός, να μην επηρεαστεί το απομακρυσμένο σημείο ανάκτησης των αρχείων. Και τρίτον, δεν έχουν συνεργασίες με εταιρείες που παρέχουν υπηρεσίες Κέντρων Επιχειρήσεων Ασφαλείας (SOC), οι οποίες παρακολουθούν τα συστήματα της επιχείρησης σε 24ωρη βάση, με αποτέλεσμα να αντιλαμβάνονται αυτοστιγμεί τυχόν ασυνήθιστη δραστηριότητα.

Σύνδεση κυβερνοεγκλήματος με… παραδοσιακά εγκλήματα

Τον τρόπο με τον οποίο έχει αλλάξει το τοπίο των κυβερνοεπιθέσεων στην εποχή του ψηφιακού μετασχηματισμού παρουσίασε στην εκδήλωση ο Ηρακλής Καναβάρης, Principal, Risk Advisory, Cyber Risk της Deloitte, επισημαίνοντας ότι το κυβερνοέγκλημα έχει γίνει πιο οργανωμένο και πολύπλοκο. Σε πολλές περιπτώσεις, τις επιθέσεις δεν τις πραγματοποιούν πλέον χάκερ ή hacktivists, που χτυπούν τυχαία για κάποιο έσοδο ή για κοινωνικούς και πολιτικούς λόγους, αλλά άτομα με πολύ υψηλό κίνητρο, γνώσεις και δεξιότητες, που κάνουν πολύ στοχευμένες επιθέσεις, με στόχο να αντληθεί όσο το δυνατόν περισσότερη πληροφορία και χρήμα.

Επιπλέον, το οργανωμένο έγκλημα συνδέει τις κυβερνοεπιθέσεις με πιο… παραδοσιακά εγκλήματα, όπως ξέπλυμα μαύρου χρήματος, διακίνηση ναρκωτικών και human trafficking. Ένα ακόμα νέο χαρακτηριστικό στο τοπίο είναι ότι δεν κινδυνεύουν πια μόνο συστήματα υπολογιστών, αλλά και ολόκληρα βιομηχανικά συστήματα παραγωγής, ενώ κυβερνοεπιθέσεις πραγματοποιούνται πλέον και από κυβερνήσεις, για απόσπαση πληροφοριών από άλλα κράτη.

Σύμφωνα με έρευνα της Deloitte, ως κυριότερη επίπτωση κυβερνοεπιθέσεων που δέχτηκαν, οι επιχειρήσεις αναφέρουν τις διακοπές στη λειτουργία τους (32%), την κλοπή πνευματικής ιδιοκτησίας (22%), την πτώση της τιμής της μετοχής τους (19%), τα πρόστιμα, π.χ., για διαρροή προσωπικών δεδομένων πελατών (17%) και την απώλεια εσόδων (14%).

Ενδιαφέρον στοιχείο είναι επίσης, σύμφωνα με τον κ.Καναβάρη, ότι παρότι η συχνότητα των περιστατικών κυβερνοεπιθέσεων δεν έχει αυξηθεί σημαντικά (μόλις κατά 3%), ωστόσο οι επιχειρήσεις δηλώνουν σε ποσοστό 58% ότι θα αυξήσουν την επένδυση στην κυβερνοσαφάλεια τον επόμενο χρόνο. Παράλληλα, το 70% δηλώνει ότι τα θέματα κυβερνοασφάλειας, που παλιά απασχολούσαν αποκλειστικά τα τμήματα πληροφορικής των εταιρειών, πλέον συζητιούνται και στα διοικητικά συμβούλια ανά μήνα ή δίμηνο.

Πηγή: ΑΠΕ-ΜΠΕ