Ένα ενδιαφέρον στατιστικό προέκυψε από πρόσφατη μελέτη που διεξήγαγε η IDC για λογαριασμό της Microsoft Κεντρικής και Ανατολικής Ευρώπης: το 62,5% των εταιρειών στην Ελλάδα δηλώνουν πως διαθέτουν μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας, ποσοστό που ξεπερνά κατά πολύ όλες τις υπόλοιπες χώρες που συμμετείχαν στη έρευνα.
Σχεδόν το ίδιο ποσοστό επιχειρήσεων (59,5%) είναι πολύ ικανοποιημένο από την ασφάλεια των IT συστημάτων που διαθέτει, ενώ ένα 32% είναι «σχετικά» ευχαριστημένο. Αν προστεθούν αυτά τα δύο ποσοστά, φτάνουμε σε ένα ποσοστό της τάξεως του 91,5% το οποίο δηλώνει πως είναι πολύ ή σχετικά ευχαριστημένο από το επίπεδο προστασίας που υιοθετείται, αυτή τη στιγμή, στον οργανισμό. Πάντως, όπως προαναφέρθηκε, το 62,50% αναφέρει πως έχει αναπτύξει μια συνολική στρατηγική επί του θέματος, ενώ στο 27% εντοπίζεται «μερικώς ανεπτυγμένη». Ένα 5% δεν διαθέτει αλλά δεν θέλει να αναπτύξει και ένα 4,5% λέει πως... δεν χρειάζεται.
Σε κάθε περίπτωση, τον περασμένο ένα χρόνο, 4 στις 10 ελληνικές εταιρείες (ποσοστό 39%) αντιμετώπισαν πρόκληση που σχετιζόταν με επίθεση ransomware ή malware. Στις επόμενες θέσεις, όσον αφορά πάντα στις προκλήσεις, ακολούθησε η χρήση ξεπερασμένων συστημάτων για την ασφάλεια (26,5%), η χρήση συνεπών ελέγχων ασφαλείας στις εγκαταστάσεις και στο cloud (26%) και το κόστος της ασφάλειας (21%). 1 στις 10 εταιρείες αντιμετώπισε προκλήσεις που σχετίζονταν με το GDPR και, με ίδιο ποσοστό, διαρροή δεδομένων σε μη εξουσιοδοτημένα μέρη. Ένα 27%, παραδόξως, δεν αντιμετώπισε καμία πρόκληση.
Για τους επόμενους 6 - 18 μήνες, ένα ποσοστό της τάξεως του 56% έχει ως βασική προτεραιότητα την προστασία ενάντια σε επιβλαβείς επιθέσεις, δηλαδή το antimalware - το ποσοστό αυτό είναι υψηλότερο σε άλλες χώρες στις οποίες πραγματοποιήθηκε η έρευνα, όπως η Τσεχία, η Πολωνία και η Ρωσία (82,50%, 77,67% και 68,50% αντίστοιχα). Ακολουθούν η ασφαλής τηλεεργασία, η υιοθέτηση ενός επιπλέον επιπέδου στην πιστοποίηση των χρηστών, ο έλεγχος του επιπέδου ιδιωτικότητας για συμμόρφωση με τους διάφορους κανονισμούς, ο έλεγχος επιθέσεων σε πραγματικό χρόνο κ.α.
Οι περισσότερες εταιρείες στην Ελλάδα εμπιστεύονται το θέμα της κυβερνοασφάλειας σε CIO/IT manager (64%) και σε Chief information security officer (CISO) (27,50%). Σε ελάχιστες, ως υπεύθυνος για αυτά τα θέματα εμφανίζεται ο ιδιοκτήτης της εταιρείας, ο CEO / General manager (GM) ή κάποιος εξωτερικός πάροχος. Την ίδια στιγμή, όσον αφορά στο προσωπικό, οι μισές εταιρείες (52,50%) εκπαιδεύουν τους υπαλλήλους τους σε ad-hoc βάση, γύρω από θέματα που σχετίζονται με το πώς να αποφεύγουν τους κυβερνοκινδύνους, ενώ, από την άλλη, ένα 37,50% διαθέτει αναλυτικό πρόγραμμα.
Αναφορικά με τα βήματα που πρέπει να ακολουθήσει ο οργανισμός για να αυξήσει το επίπεδο ασφάλειας, ευτυχώς μόλις το 8% λέει πως δεν απαιτείται κάτι επιπρόσθετο. 6 στις 10 εταιρείες αναφέρουν πως χρειάζεται να υπάρξει εκπαίδευση των εργαζομένων, ενώ ακολουθεί η αύξηση του επιπέδου γνώσεων του IT, η δημιουργία στρατηγικής ή η επέκταση της τρέχουσας και η αύξηση της κατανόησης γύρω από την αξία της ασφάλειας για την επιχείρηση.
Η αύξηση των κυβερνοαπειλών είχε γίνει εμφανής και από το Digital Defense Report 2020 της Microsoft, που δημοσιεύθηκε τον περασμένο Σεπτέμβριο. Βάσει των δεδομένων που προέρχονται από τις διάφορες λύσεις ασφαλείας της γνωστής εταιρείας, το 2019, η εταιρεία απέκλεισε περισσότερα από 13 δισεκατομμύρια κακόβουλα και ύποπτα email, εκ των οποίων πάνω από 1 δισεκατομμύριο αποτελούσαν διευθύνσεις URL που είχαν δημιουργηθεί με σαφή σκοπό την έναρξη μιας επίθεσης ηλεκτρονικού «ψαρέματος» για τη συλλογή διαπιστευτηρίων. Την ίδια στιγμή, το ransomware ήταν ο πιο συνήθης τρόπος επίθεσης, ενώ αύξηση 35% είχαν παρουσιάσει και οι επιθέσεις στο IoT.
Περίπου 2 εκατομμύρια ωφέλιμα φορτία διευθύνσεων URL δημιουργούνται κάθε μήνα για τη συλλογή διαπιστευτηρίων, τα οποία ενορχηστρώνονται μέσα από χιλιάδες εκστρατείες ηλεκτρονικού «ψαρέματος». Χρειάζονται λιγότερα από 45 λεπτά από την αρχική εισβολή, για να γίνει στόχος μόλυνσης ολόκληρο το δίκτυο μιας επιχείρησης εμφανίζοντας μηνύματα που απαιτούν να καταβληθεί αμοιβή για να λειτουργήσει ξανά το σύστημα (ransoming). Αυτές οι κυβερνοεπιθέσεις μπορούν να προέρχονται από οπουδήποτε.
Λαμβάνοντας υπόψη πως η έρευνα της IDC πραγματοποιήθηκε σε 200 «μεγάλες» εταιρείες στην Ελλάδα (με προσωπικό που ξεπερνά τα 50 άτομα), μας δίνει μια καλή εικόνα για το πώς αντιμετωπίζουν οι μεγάλοι ελληνικοί οργανισμοί το θέμα της κυβερνοασφάλειας. Από την μια, φαίνεται ότι (θεωρούν πως) διαθέτουν μια ολοκληρωμένη στρατηγική είναι και πολύ ικανοποιημένοι από το επίπεδο ασφάλειας, ενώ υπάρχουν και εκείνοι που βλέπουν πως είναι «μερικώς» ανεπτυγμένοι σε αυτό το θέμα (οπότε είναι μάλλον και εκείνοι που δηλώνουν «σχετικά» ευχαριστημένοι).
Φυσικά, υπάρχει και μια πολύ μικρή μειοψηφία που κάνει την... αρνητική διαφορά. Ένα πολύ μικρό ποσοστό λέει πως δεν χρειάζεται να αναπτύξει καμία στρατηγική για το θέμα της κυβερνοασφάλειας και πως δεν χρειάζεται να κάνει κάτι επιπρόσθετο. Σε εξίσου μικρά ποσοστά, υπεύθυνος για θέματα κυβερνοασφάλειας είναι ο ιδιοκτήτης ή ο CEO της επιχείρησης. Είναι μια σκέψη, αλλά αν τα παραπάνω ποσοστά αντιστοιχούν στις ίδιες επιχειρήσεις (που μπορεί να απασχολούν 50, 100 ή και παραπάνω άτομα), η εικόνα δεν είναι ιδιαίτερη αισιόδοξη για αυτές (τις λίγες).
Πάντως, είναι σημαντικό να θυμάται κανείς πως κάθε επιχείρηση μπορεί να βρεθεί στο στόχαστρο μιας κυβερνοεπίθεσης, όσο μικρή κι αν είναι. Και αυτό γιατί οι κυβερνοεπιθέσεις εξελίσσονται και μεταλλάσσονται, γίνονται περισσότερο «αυτοματοποιημένες». Σαν κάποιος να «ρίχνει δίχτυα» και ότι πιάσει - εξ ου και το 1 δισεκατομμύριο phisihing mail που «αναφέρθηκε» στην Microsoft. Και από την άλλη, οι μεγάλες επιχειρήσεις πρέπει πάντα να λαμβάνουν τα μέτρα τους. Με απλά λόγια, ούτε κανείς είναι πολύ μικρός για να «τραβήξει» κυβερνοεπιθέσεις, ούτε το ότι κάποιος οργανισμός είναι πολύ μεγάλος σημαίνει απαραίτητα πως είναι και απολύτως προστατευμένος.
Σχόλια