Διεθνή

Οι προβλέψεις της Aon για την κυβερνοασφάλεια το 2018


Καθώς οι επιθέσεις στον κυβερνοχώρο απειλούν ολοένα και περισσότερο κάθε επιχειρηματική πτυχή και αυξάνονται τόσο σε όγκο όσο και σε κλίμακα, οι επιχειρήσεις θα υποχρεωθούν να λάβουν νέα μέτρα για την ολιστική αντιμετώπισή τους, ενσωματώνοντάς τους πιο ενεργά στη διαχείριση επιχειρηματικών κινδύνων. Η τάση αυτή αποτυπώνεται στην έκθεση της Aon σχετικά με τις προβλέψεις για την κυβερνοασφάλεια το 2018, η οποία σκιαγραφεί συγκεκριμένες δράσεις τις οποίες η Aon πιστεύει ότι οι επιχειρήσεις θα αναλάβουν το νέο έτος για να αντιμετωπίσουν τις απειλές στον κυβερνοχώρο, καθώς και άλλες τάσεις στον κυβερνοχώρο που αναμένονται να εμφανιστούν.


 Οι προβλέψεις της Aon για το 2018, εξετάζουν τους τρόπους με τους οποίους η αυξανόμενη κλίμακα των επιθέσεων στον κυβερνοχώρο και οι επιπτώσεις τους, σε συνδυασμό με τις επιχειρήσεις που αναγκάζονται να δεχτούν περισσότερη ευθύνη και λογοδοσία για επιθέσεις στον κυβερνοχώρο, θα οδηγήσουν σε σημαντικές αλλαγές στο επιχειρηματικό περιβάλλον. Η έκθεση προβλέπει την επέκταση του ρόλου του υπεύθυνου διαχείρισης κινδύνων (CRO), τη σημασία του ελέγχου πολλαπλής ταυτοποίησης, τον αυξημένο κίνδυνο από τις εσωτερικές απειλές και την επέκταση των προγραμμάτων αναφοράς σφαλμάτων και ευπάθειας λογισμικού έναντι αμοιβής.

 Ακολουθούν τα κύρια σημεία της έκθεσης:

·         Οι επιχειρήσεις υιοθετούν αυτόνομες ασφαλιστικές καλύψεις κυβερνοκινδύνων, καθώς τα διοικητικά συμβούλια και τα στελέχη συνειδητοποιούν την ευθύνη στον κυβερνοχώρο. Καθώς τα διοικητικά συμβούλια και τα στελέχη βιώνουν και παρακολουθούν τον αντίκτυπο των επιθέσεων στον κυβερνοχώρο, συμπεριλαμβανομένων των μειωμένων κερδών, της διακοπής εργασιών και των απαιτήσεων που εμφανίζονται λόγω ευθύνης των μελών ΔΣ & στελεχών επιχείρησης (D&O), οι επιχειρήσεις θα στραφούν στην επιλογή προσαρμοσμένων ασφαλιστικών καλύψεων έναντι των κυβερνοκινδύνων σε εταιρικό επίπεδο, αντί άλλων επιλογών. Η τάση αυτή θα επεκταθεί, πέρα από τους παραδοσιακούς λήπτες ασφάλισης στον κυβερνοχώρο, όπως τον κλάδο λιανικού εμπορίου, τον χρηματοπιστωτικό κλάδο και τον κλάδο υγειονομικής περίθαλψης, σε άλλους κλάδους που είναι ευάλωτοι στη διακοπή εργασιών λόγω επιθέσεων στον κυβερνοχώρο, όπως η μεταποίηση, οι μεταφορές, οι υποδομές, το πετρέλαιο και το φυσικό αέριο.

 

·         Καθώς ο πραγματικός κόσμος και ο κυβερνοχώρος αλληλεπιδρούν ολοένα και περισσότερο, οι υπεύθυνοι διαχείρισης κινδύνων βρίσκονται στο επίκεντρο για να διαχειριστούν τον κυβερνοκίνδυνο ως επιχειρηματικό κίνδυνο. Καθώς οι εξελιγμένες επιθέσεις στον κυβερνοχώρο δημιουργούν απτές συνέπειες που επηρεάζουν τις επιχειρηματικές δραστηριότητες σε αυξανόμενη κλίμακα, τα ανώτατα στελέχη θα αντιληφθούν την επιχειρηματική διάσταση των κυβερνοκινδύνων. Το 2018, αναμένεται ότι οι υπεύθυνοι διαχείρισης κινδύνων (CROs) θα έχουν αυξημένο ρόλο και θα συνεργαστούν στενά με τους επικεφαλής ασφάλειας πληροφοριακών συστημάτων (CISOs), προκειμένου να βοηθήσουν τις επιχειρήσεις να κατανοήσουν τις ολιστικές επιπτώσεις των κυβερνοκινδύνων.

 

·         Οι κανονισμοί διευρύνονται και γίνονται πιο περίπλοκοι, δημιουργώντας την ανάγκη για συμμόρφωση. Η Ευρωπαϊκή Ένωση υποχρεώνει διεθνείς επιχειρήσεις να λογοδοτήσουν σε περίπτωση παραβίασης του GDPR, ενώ οργανισμοί που συλλέγουν δεδομένα σε μεγάλη κλίμακα βρίσκονται υπό έλεγχο στις Ηνωμένες Πολιτείες. Το 2018, οι ρυθμιστικές αρχές σε διεθνές και εθνικό επίπεδο θα εφαρμόσουν αυστηρότερα τους υφιστάμενους κανονισμούς για την ασφάλεια στον κυβερνοχώρο και θα αυξήσουν τις πιέσεις για συμμόρφωση στις επιχειρήσεις, εισάγοντας νέες ρυθμίσεις. Η Ευρωπαϊκή Επιτροπή αναμένεται να υποχρεώσει διεθνείς επιχειρήσεις να λογοδοτήσουν σε περίπτωση παραβίασης του GDPR. Στις Ηνωμένες Πολιτείες, οργανισμοί που συλλέγουν δεδομένα σε μεγάλη κλίμακα (aggregators και μεταπωλητές), θα εξεταστούν λεπτομερώς για τον τρόπο με τον οποίο συλλέγουν, χρησιμοποιούν και προστατεύουν τα δεδομένα. Υπό το βάρος των σημαντικών και ολοένα αυξανόμενων κανονιστικών πιέσεων, οι κλαδικές οργανώσεις θα ασκήσουν πίεση με τη σειρά τους στις ρυθμιστικές αρχές, ζητώντας την ευθυγράμμιση των κανονισμών στον κυβερνοχώρο.

 

·         Οι εγκληματίες θέλουν να επιτεθούν σε επιχειρήσεις που είναι πιο ενεργές με το διαδίκτυο των πραγμάτων (IoT), στοχεύοντας κυρίως τις μικρές και μεσαίες επιχειρήσεις που παρέχουν υπηρεσίες σε παγκόσμιους οργανισμούς. Το 2018, οι παγκόσμιοι οργανισμοί θα πρέπει να εξετάσουν την αυξημένη πολυπλοκότητα του τρόπου με τον οποίο χρησιμοποιούν το διαδίκτυο των πραγμάτων (IoT), αναφορικά με τη διαχείριση κινδύνων προερχόμενων από τους εξωτερικούς τους συνεργάτες. Ωστόσο, η έκθεση προβλέπει ότι αυτό δεν θα συμβεί και ως εκ τούτου, εκτιμάται ότι μια μεγάλη επιχείρηση μπορεί να υποστεί επίθεση που στοχεύει στο διαδίκτυο των πραγμάτων, μέσω ενός μικρού προμηθευτή ή ανάδοχου, χρησιμοποιώντας τον τρόπο αυτό ως μέσο διείσδυσης στο δίκτυό της. Ανάλογα γεγονότα θα αποτελέσουν σημείο αφύπνισης για μεγάλους οργανισμούς, ώστε να επικαιροποιήσουν τις πρακτικές διαχείρισης κινδύνων που σχετίζονται με τους εξωτερικούς τους συνεργάτες. Παράλληλα, θα δώσει την ευκαιρία σε μικρές και μεσαίες επιχειρήσεις να εφαρμόσουν αποτελεσματικότερα μέτρα ασφάλειας, ώστε να αποφύγουν απώλειες στις επιχειρηματικές τους δραστηριότητες.

 

·         Καθώς οι κωδικοί πρόσβασης εξακολουθούν να παραβιάζονται και οι επιτιθέμενοι παρακάμπτουν τα μέτρα βιομετρικής ασφάλειας, ο έλεγχος πολλαπλής ταυτοποίησης γίνεται πιο σημαντικός από ποτέ. Πέρα από τους κωδικούς πρόσβασης, οι επιχειρήσεις εφαρμόζουν νέες μεθόδους πιστοποίησης, όπως αναγνώριση προσώπου και δακτυλικά αποτυπώματα. Ωστόσο, αυτές οι τεχνολογίες εξακολουθούν να είναι ευάλωτες και ως εκ τούτου, η έκθεση προβλέπει ότι ένα νέο κύμα επιχειρήσεων θα συμπεριλάβει τον έλεγχο πολλαπλής ταυτοποίησης για την καταπολέμηση της επίθεσης σε κωδικούς πρόσβασης και βιομετρικά στοιχεία. Αυτό θα απαιτήσει από τα άτομα να παρουσιάσουν διάφορα αποδεικτικά στοιχεία σε ένα μέσο επαλήθευσης ταυτότητας. Με τη νέα ανάγκη για έλεγχο πολλαπλής ταυτοποίησης και την απαίτηση των καταναλωτών για διακριτικά επίπεδα ασφάλειας, αναμένεται να δούμε την εφαρμογή τεχνολογιών βιομετρικής συμπεριφοράς.

 

·         Οι εγκληματίες θα επικεντρωθούν σε συναλλαγές που χρησιμοποιούν πόντους ως νόμισμα, προωθώντας τη γενική υιοθέτηση προγραμμάτων αναφοράς σφαλμάτων και ευπαθειών λογισμικού έναντι αμοιβής: Οι επιχειρήσεις πέρα από τους κλάδους της τεχνολογίας, της αυτοκινητοβιομηχανίας και των χρηματοπιστωτικών υπηρεσιών, θα εισαγάγουν προγράμματα αναφοράς σφαλμάτων και ευπαθειών λογισμικού έναντι αμοιβής, ως μέρος των γενικότερων τακτικών ασφαλείας τους έναντι κυβερνοαπειλών. Οι επιχειρήσεις με προγράμματα επιβράβευσης, όπως οι αεροπορικές εταιρείες, οι επιχειρήσεις λιανικού εμπορίου και οι επιχειρήσεις φιλοξενίας, θα είναι το επόμενο κύμα που θα υιοθετήσουν ανάλογα προγράμματα, καθώς οι εγκληματίες του κυβερνοχώρου στοχεύουν σε συναλλαγές που χρησιμοποιούν πόντους ως νόμισμα. Καθώς περισσότεροι οργανισμοί υιοθετούν τα προγράμματα, θα χρειαστούν υποστήριξη από εξωτερικούς ειδικούς για να αποφευχθεί η εμφάνιση νέων κινδύνων από ελλιπή διαμορφωμένα προγράμματα.

 

·         Το κακόβουλο λογισμικό που ζητάει λύτρα (λυτρισμικό) είναι πλέον στο στόχαστρο και τα κρυπτονομίσματα βοηθούν τη βιομηχανία λυτρισμικού να ανθίσει.  Το 2018, οι εγκληματίες λυτρισμικού θα εξελίξουν την τακτική τους. Η έκθεση προβλέπει ότι οι εισβολείς που χρησιμοποιούν μορφές κακόβουλου λογισμικού, όπως το λογισμικό που έχει σχεδιαστεί για να προκαλέσει επιθέσεις DDoS ή να εκκινήσει προβολή διαφημίσεων σε χιλιάδες συστήματα, θα προκαλέσουν νέα μεγάλα κρούσματα. Ενώ οι επιτιθέμενοι θα συνεχίσουν να εκτοξεύουν επιθέσεις για να διαταράξουν όσο το δυνατόν περισσότερα συστήματα, η έκθεση προβλέπει αύξηση των επιθέσεων που στοχεύουν σε συγκεκριμένες εταιρείες και απαιτούν πληρωμές σε λύτρα, ανάλογα με την αξία των κρυπτογραφημένων περιουσιακών τους στοιχείων. Τα κρυπτονομίσματα θα συνεχίσουν να υποστηρίζουν την ανθηρή βιομηχανία λυτρυσμικού συνολικά, παρόλο που η επιβολή του νόμου γίνεται πιο προηγμένη σχετικά με την ικανότητά του να ανιχνεύει επιθέσεις όπως για παράδειγμα μέσω του bitcoin.

 

·         Οι εσωτερικές απειλές (κακόβουλες ή λανθασμένες ενέργειες που οφείλονται σε εργαζόμενους ή συνεργάτες) πλήττουν τις επιχειρήσεις καθώς αυτές υποτιμούν την ευπάθεια και την ευθύνη τους, με αποτέλεσμα αρκετές επιθέσεις να πραγματοποιούνται χωρίς να γίνονται αντιληπτές. Το 2017, οι επιχειρήσεις δεν επένδυσαν επαρκώς σε προληπτικές δράσεις μείωσης των κινδύνων που προέρχονται από εσωτερικές απειλές και η εικόνα δεν αναμένεται να αλλάξει το 2018. Σύμφωνα με την έκθεση, η συνεχιζόμενη έλλειψη κατάρτισης στον τομέα της ασφάλειας και των τεχνικών ελέγχων, σε συνδυασμό με τη μεταβαλλόμενη δυναμική του σύγχρονου εργατικού δυναμικού, έχουν ως αποτέλεσμα οι επιθέσεις στον κυβερνοχώρο να μην γίνονται επαρκώς αντιληπτές. Πολλές επιχειρήσεις θα συνεχίσουν να αντιδρούν στα περιστατικά αφότου πραγματοποιηθούν, έχοντας ελλιπή πληροφόρηση για το πραγματικό κόστος και τον σημαντικό κίνδυνο που παρουσιάζουν οι εσωτερικές απειλές για την επιχείρηση.