Κυβερνοαπειλές και ανθεκτικότητα σε ένα διαρκώς μεταβαλλόμενο περιβάλλον
Τα τελευταία χρόνια παρουσιάζονται αυξητικές τάσεις επιθέσεων από ομάδες που είναι προσκείμενες στο οργανωμένο κυβερνο-έγκλημα, οι οποίες μέσω των λύτρων από ransomware καθώς και την πώληση ευαίσθητων πληροφοριών στο «σκοτεινό διαδίκτυο» (dark web), πέραν του οικονομικού οφέλους χρηματοδοτούν κι άλλες παράνομες δραστηριότητες. Από το 2021 παρουσιάζεται πιο έντονα το φαινόμενο του “hacker-as-a-service” και “ransomware-as-a-service” όπου οι επιτήδειοι ενεργούν επί πληρωμή μέσω κάποιου συμβολαίου.
Παράλληλα, η αβεβαιότητα που προκαλείται από γεωπολιτικά γεγονότα, όπως ο πόλεμος στην Ουκρανία, δημιουργεί ένα περιβάλλον που ευνοεί το κυβερνο-έγκλημα το οποίο εκμεταλλευόμενο τις ελλείψεις σε πρώτες ύλες τροφίμων και στην ενέργεια, επιχειρεί σε πραγματικό χρόνο να προκαλέσει εκτεταμένη αστάθεια στην διεθνή αλυσίδα εφοδιασμού.
Η πολυπλοκότητα της εφοδιαστικής αλυσίδας αυξάνει τον κίνδυνο
Το έτος 2020 ήταν σημαδιακό για την ασφάλεια στην εφοδιαστική αλυσίδα. Η αποκάλυψη ενός σοβαρού περιστατικού παραβίασης και εγκατάστασης κακόβουλου κώδικα στο λογισμικό Solarwinds Orion, αποτέλεσε μια από τις μεγαλύτερες παραβιάσεις που έχουν καταγραφεί ποτέ καθώς έθεσε σε κίνδυνο χιλιάδες οργανισμούς και κυβερνητικές υπηρεσίες ανά το παγκόσμιο. Η παραβίαση του συγκεκριμένου λογισμικού έγινε από ομάδα με προηγμένες τεχνικές και αλλότρια κίνητρα. Φυσικά αυτή δεν ήταν η μόνη περίπτωση καθώς στην πορεία του χρόνου καταγράφηκαν κι άλλα σημαντικά περιστατικά παραβίασης σε λογισμικά ή υπηρεσίες προμηθευτών, καθιστώντας έτσι τις απειλές μέσω της εφοδιαστικής αλυσίδας έναν από τους μεγαλύτερους κινδύνους που καλούνται να αντιμετωπίσουν οι Οργανισμοί σήμερα. Η τελευταία ετήσια έκθεση του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας – ENISA, η οποία χαρτογραφεί το τοπίο των κυβερνοαπειλών, καταδεικνύει ότι οι επιθέσεις στην εφοδιαστική αλυσίδα παρουσιάζουν αυξητικές τάσεις χρόνο με τον χρόνο. Η πολυπλοκότητα της εφοδιαστικής αλυσίδας, η μη λήψη επαρκών μέτρων προστασίας και ελέγχου τόσο από τους οργανισμούς αλλά και από τους ίδιους τους προμηθευτές, καθώς και η ελκυστικότητα των στόχων, παρέχει στους κυβερνοεγκληματίες τα κίνητρα αλλά και το κατάλληλο πεδίο δράσης.
Οι οργανισμοί θα πρέπει να λαμβάνουν τα κατάλληλα μέτρα προστασίας ξεκινώντας από την κατανόηση του οικοσυστήματος στο οποίο βρίσκονται και την αναγνώριση των κρίσιμων προμηθευτών τους, τη δημιουργία ενός ισχυρού πλαισίου διαχείρισης κινδύνων στην εφοδιαστική αλυσίδα, τη μετάβαση από μια προσέγγιση που βασίζεται στη συμμόρφωση σε μια πιο προληπτική προσέγγιση, την χρήση αυτοματισμού και συνεχούς παρακολούθησης των προμηθευτών μέσω λύσεων Supply Chain Defense και τη συλλογή και αξιολόγηση πληροφοριών (Threat Intelligence). Το όλο εγχείρημα για την αντιμετώπιση απειλών και περιστατικών πρέπει να γίνεται σε συνεργασία με τους προμηθευτές γι’ αυτό και η ανταλλαγή πληροφοριών είναι κομβικής σημασίας.
Η σημαντικότητα του ζητήματος διαχείρισης τρίτων μερών/προμηθευτών αναδεικνύεται και μέσα από τον πρόσφατο κανονισμό της ΕΕ για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA).
Νέα «όπλα» στην εργαλειοθήκη των κυβερνοεγκληματιών – Τεχνητή νοημοσύνη
Οι τεχνολογίες δημιουργικής τεχνητής νοημοσύνης όπως το ChatGPT έχουν τεράστιες δυνατότητες - ειδικά αν μπορούν να ενσωματωθούν στην στρατηγική δεδομένων ενός οργανισμού. Ωστόσο, πρέπει να είμαστε προσεκτικοί.
Η ικανότητα των εργαλείων αυτών να δημιουργούν κείμενο, όπως για παράδειγμα, ηλεκτρονικά μηνύματα (email) που δεν διακρίνονται από αυτά που γράφτηκαν από ανθρώπους, καθώς και κείμενα για αναρτήσεις σε Μέσα κοινωνικής δικτύωσης και οτιδήποτε χρειάζεται κάποιος για να δημιουργήσει μια ψεύτικη παρουσία και προσωπικότητα στο διαδίκτυο για σκοπούς παραπλάνησης, γίνεται πλέον πολύ πιο απλή και προσβάσιμη διαδικασία. Τι συνεπάγεται αυτό; Αύξηση των κυβερνοεπιθέσεων με μεθόδους κοινωνικής μηχανικής (Social Engineering), καθώς η παραγωγή διαφορετικών σεναρίων κειμένου και κακόβουλου κώδικα πολλαπλασιάζεται σε μηδενικό χρόνο με τον αυτοματισμό που παρέχεται μέσω των εργαλείων αυτών.
Για όλους τους πιο πάνω λόγους, η ενημέρωση και τα εκπαιδευτικά σεμινάρια του προσωπικού κάθε οργανισμού ναι μεν είναι απαραίτητα αλλά θα πρέπει να μετεξελιχθούν. Η αναγνώριση ενός κειμένου ως κακόβουλο δεν πρέπει να θεωρείται πλέον τρόπος εντοπισμού phishing email. Η τεχνητή νοημοσύνη βρίσκεται και στην εργαλειοθήκη των οργανισμών μέσω λύσεων κυβερνοασφάλειας για εντοπισμό και αντιμετώπιση κακόβουλων ενεργειών. Συνεπώς η αξιοποίησή τους θα πρέπει να βρίσκεται στην ατζέντα κάθε οργανισμού.
Η κυβερνοανθεκτικότητα αποτελεί ευθύνη όλων
Το Μάρτιο του 2021, το φορτηγό πλοίο της Ever Given ακινητοποιείται στη Διώρυγα του Σουέζ, με αποτέλεσμα τον αποκλεισμό της για περίπου μία βδομάδα, προκαλώντας σημαντική διαταραχή στην εφοδιαστική αλυσίδα με τεράστιες οικονομικές επιπτώσεις παγκόσμια. Υπολογίζεται πως το 13% του παγκόσμιου εμπορίου περνάει από εκείνο το σημείο. Ας αναλογιστούμε τι θα σήμαινε ένα αντίστοιχο συμβάν στο κυβερνοχώρο σε κρίσιμες υποδομές και προμηθευτές και πως μπορεί μια αδυναμία να αποδειχθεί αρκετή ώστε να επηρεάσει όλη την εφοδιαστική αλυσίδα. Γι’ αυτόν το λόγο είναι ευθύνη όλων μας να εξασφαλίσουμε την κυβερνητικοανθεκτικότητα του οικοσυστήματος του οποίου είμαστε μέρος.
Οι Διοικήσεις των Οργανισμών καλούνται να λάβουν όλα τα απαραίτητα μέτρα, ξεκινώντας με τη δημιουργία μιας πολυεπίπεδης στρατηγικής κυβερνοασφάλειας, στηριζόμενης στους παράγοντες άνθρωπος-διαδικασίες-τεχνολογία. Χρειάζεται να προχωρήσουν στη δημιουργία του σχετικού προγράμματος διακυβέρνησης και διαχείρισης κινδύνου και την υλοποίηση των σχετικών μέτρων για προστασία, εντοπισμό και απόκριση, καθώς και ανάκτηση από περιστατικά. Ένα ολοκληρωμένο πρόγραμμα θέτει τα θεμέλια για τη δημιουργία κουλτούρας κυβερνοασφάλειας στον οργανισμό ώστε ο κάθε υπάλληλος και το κάθε τμήμα να λειτουργούν με γνώμονα την προστασία των δεδομένων και των πληροφοριακών συστημάτων. Η εκπαίδευση του προσωπικού σε τέτοια θέματα επιβάλλεται και είναι απαραίτητη, παράλληλα με την αξιοποίηση τεχνολογικών λύσεων για τον έγκαιρο εντοπισμό και αντιμετώπιση περιστατικών.
Παράλληλα, κάποιοι οργανισμοί θα πρέπει να αναθεωρήσουν τις υπάρχουσες υποδομές και να προχωρήσουν στον εκσυγχρονισμό τους. Καλούνται να προχωρήσουν στον σχεδιασμό υποδομών με βάση τις αρχές μηδενικής εμπιστοσύνης (zero trust) όπως microsegmentation, identity and privileged access management, immutable storage, κτλ. Παράλληλα, η αξιολόγηση των συστημάτων και διαδικασιών μέσω ασκήσεων τύπου cyber-attack simulation, penetration testing και red teaming βοηθούν στον εντοπισμό ευπαθειών που πιθανόν να μην εντοπίζονται από αυτοματοποιημένα συστήματα ασφαλείας και λογισμικά σάρωσης.
Είναι παραδεκτό ότι οι κυβερνοεπιθέσεις θα εντείνονται και θα γίνονται όλο και πιο εξειδικευμένες. Γι’ αυτόν τον λόγο, η συζήτηση πλέον έχει μεταφερθεί από το «εάν» γίνει κάποιο περιστατικό στο «όταν θα γίνει» και στο πως να γίνουμε ανθεκτικοί. Οι Διοικήσεις καλούνται πλέον να είναι ενημερωμένες και να εξασφαλίζουν την επιχειρησιακή ανθεκτικότητα, λαμβάνοντας τα απαραίτητα μέτρα τα οποία θα ενισχύσουν το επίπεδο ασφάλειας των πληροφοριακών συστημάτων, διασφαλίζοντας την επαρκή στελέχωση με εξειδικευμένο προσωπικό και δημιουργώντας σταδιακά κουλτούρα κυβερνοασφάλειας. Επιπρόσθετο ζητούμενο είναι η ταχύτητα και η ευελιξία με την οποία θα κινηθούμε συλλογικά για να εφαρμόσουμε τα απαραίτητα μέτρα. Το δεδομένο είναι πως η κυβερνοασφάλεια αποτελεί πλέον απαραίτητο συστατικό για τη δημιουργία ενός περιβάλλοντος εμπιστοσύνης και σταθερότητας.
Associate Director, CEE&EM Security & Resilience services Partner, Kyndryl.