HelpSystems. Οι 6 βασικότεροι κίνδυνοι για την ασφάλεια δεδομένων που μπορούν να επηρεάσουν το bottom line του οργανισμού σας

Τόσο για τον οργανισμό σας, όσο και για άλλους, η ανάπτυξή του αποτελεί αυτονόητα την νούμερο ένα προτεραιότητα. Αλλά όπως πιθανότατα θα γνωρίζετε, το σημερινό αναπτυσσόμενο τοπίο κυβερνοαπειλών έχει ως αποτέλεσμα σε καθημερινή βάση να εμφανίζονται όλο και περισσότεροι κίνδυνοι που απειλούν την βιωσιμότητα και την αειφορία των οργανισμών. Και ενώ η δημιουργία μιας υγιούς στρατηγικής κυβερνοασφάλειας μπορεί να μοιάζει «με βουνό» στις ομάδες που δεν διαθέτουν πόρους, χρόνο ή το απαραίτητο ταλέντο, η κακή διαχείριση των δεδομένων μπορεί να είναι μακροπρόθεσμα πολύ πιο επιζήμια για έναν οργανισμό που θέλει να αναπτυχθεί. Οι παρακάτω έξι κίνδυνοι αποτελούν τη μεγαλύτερη απειλή για την διαρκή ανάπτυξη του οργανισμού σας και αξίζουν την προσοχή της ομάδας ασφαλείας σας. Τα καλά νέα είναι ότι πολλοί από αυτούς τους κινδύνους μπορούν να αντιμετωπιστούν μεθοδικά, με τη βοήθεια αξιόπιστων συνεργατών, οι οποίοι θα σας βοηθήσουν να ενισχύσετε την κυβερνοασφάλεια σας εκεί που χρειάζεται περισσότερο και να προχωρήσετε με την ισχυροποίηση της με την πάροδο του χρόνου.

1.Κυβερνοεπιθέσεις

Σε καθημερινή βάση, βλέπουμε τις κυβερνοεπιθέσεις να γίνονται όλο και συχνότερες, περιπλοκότερες και καταστροφικότερες. Είτε οι hackers επιλέξουν να εισβάλουν στο δίκτυο ενός οργανισμού εκμεταλλευόμενοι μία ευπάθεια (κενό ασφαλείας) μηδενικής μέρας που δεν έχει επιδιορθωθεί, είτε παραδώσουν ένα επικίνδυνο φορτίο (π.χ. μέσω ηλεκτρονικού ψαρέματος) για να διακόψουν τις δραστηριότητές του, είτε αποφασίσουν να παρεμποδίσουν την δικτυακή κίνηση στο εταιρικό δίκτυο για να αποσπάσουν και να κλέψουν δεδομένα, αν ο συγκεκριμένος οργανισμός δεν είναι προετοιμασμένος για οποιαδήποτε επίθεση, τότε το bottom line του μπορεί να δεχθεί σοβαρό χτύπημα.

Η χρήση κακόβουλου λογισμικού από κυβερνοεγκληματίες, και πιο συγκεκριμένα ransomware, έχει σημειώσει δραματική άνοδο από την αρχή της πανδημίας. Σύμφωνα με την Cyber ​​Threat Report 2022 της SonicWall, το έτος 2021 καταγράφηκαν 623,3 εκατομμύρια επιθέσεις ransomware, σημειώνοντας αύξηση άνω του 100% σε σύγκριση με το προηγούμενο έτος και πάνω από 300% αύξηση σε σύγκριση με το 2019. Επιπλέον, τα στοιχεία υποδηλώνουν ότι τόσο οι απαιτήσεις για λύτρα όσο και οι πληρωμές τείνουν προς την ίδια κατεύθυνση. Σύμφωνα με μια ενημέρωση της έκθεσης Unit 42 Ransomware Threat Report 2021 της Palo Alto Networks, η μέση απαίτηση για λύτρα εκτοξεύθηκε στα $5,3 εκατομμύρια ενώ η μέση πληρωμή αυξήθηκε στα εξωπραγματικά $570.000. Η πληρωμή τόσο μεγάλων λύτρων, το κόστος διακοπής της λειτουργίας της επιχείρησης και οποιαδήποτε ζημιά προκληθεί από κακόβουλο λογισμικό (malware) στα συστήματα ενός οργανισμού, όλα τους μπορούν να επηρεάσουν δραματικά την κερδοφορία ενός οργανισμού και αν παραβιαστούν ευαίσθητα δεδομένα, ο λογαριασμός μπορεί να εκτιναχθεί σε ακόμη υψηλότερα επίπεδα. 

2.Απροστάτευτα δεδομένα

Και ενώ μία κυβερνοεπίθεση, όπως αναφέραμε, μπορεί από μόνη της να είναι εξαιρετικά επιζήμια και δαπανηρή, όταν τα ευαίσθητα δεδομένα ενός οργανισμού κλαπούν ή βρεθούν σε κατάσταση ομηρίας, το bottom line του μπορεί να δεχτεί ακόμη μεγαλύτερο πλήγμα. Σύμφωνα με την έκθεση της IBM, Cost of a Data Breach Report 2021, το μέσο κόστος μίας παραβίασης δεδομένων αυξήθηκε κατά 10% σε σύγκριση με το 2020 και σήμερα βρίσκεται στα 4,24 εκατομμύρια δολάρια ανά παραβίαση.

Το να αφήσετε τον οργανισμό σας εκτεθειμένο και ανυπεράσπιστο απέναντι σε μία παραβίαση δεδομένων ενδέχεται να επιδεινώσει τις συνέπειες μιας ήδη δαπανηρής κυβερνοεπίθεσης. Για παράδειγμα, την ώρα που μία πληρωμή λύτρων μπορεί να κοστίσει σε έναν οργανισμό μόνο 570.000 δολάρια, σε αυτό το ποσό δεν έχει προστεθεί το κόστος της αναστολής λειτουργιών της επιχείρησης, την αποκατάσταση των συστημάτων, το κόστος των εγκληματολογικών ερευνών και ενδεχομένως το σημαντικότερο, τα πρόστιμα συμμόρφωσης. Στην πραγματικότητα, το συνολικό μέσο κόστος μιας επίθεσης ransomware ανέρχεται στα 4,62 εκατομμύρια δολάρια. Αν και η ασφάλιση μπορεί να βοηθήσει στο καλύψετε ορισμένες από αυτές τις ζημιές, στην τελική, η λήψη μέτρων για την προστασία των δεδομένων του οργανισμού σας προτού συμβεί κάποια παραβίαση είναι ο πιο σημαντικός παράγοντας για να αποφύγετε τα απρόβλεπτα -και για κάποιες εταιρείες δυσβάσταχτα- κόστη μίας παραβίασης. 

3.Ανθρώπινο σφάλμα

Όταν οι οργανισμοί λαμβάνουν μέτρα για την προστασία των δεδομένων τους από παραβιάσεις, τις περισσότερες φορές, και λανθασμένα, δίνουν προτεραιότητα στην προστασία από εξωτερικές απειλές. Καθώς οι περισσότερες παραβιάσεις πραγματοποιούνται από εξωτερικούς παράγοντες και επιτήδειους με κακόβουλες προθέσεις, μερικές φορές δεν δίνεται η απαραίτητη προσοχή στις εσωτερικές απειλές και τα ατυχή, ακούσια εσωτερικά συμβάντα που παραβλέπονται. Στην έρευνα Insider Data Breach Survey 2021 της Egress διαπιστώθηκε ότι ένα συντριπτικό 94% των οργανισμών βρέθηκε αντιμέτωπο με μία παραβίαση εμπιστευτικών πληροφοριών από εσωτερικούς παράγοντες τους προηγούμενους 12 μήνες ενώ το 84% των οργανισμών αντιμετώπισε τουλάχιστον ένα περιστατικό ασφαλείας από λάθος υπαλλήλου. 

Λαμβάνοντας υπόψη ότι μία παραβίαση δεδομένων κατά μέσο κοστίζει πλέον 4,24 εκατομμύρια δολάρια στους οργανισμούς, είναι μάλλον αυτονόητο να μπαίνει σε δεύτερη μοίρα η προστασία από τις εσωτερικές απειλές σε σχέση με την προστασία από τις σκόπιμες εξωτερικές επιθέσεις. Οι οργανισμοί μπορούν να καταπολεμήσουν τα φαινόμενα ανθρώπινου λάθους διασφαλίζοντας τον τρόπο με τον οποίο οι υπάλληλοί τους μοιράζονται τα δεδομένα τους. Το να διασφαλίσετε ότι τα ευαίσθητα δεδομένα του οργανισμού σας είναι κρυπτογραφημένα κατά τη μεταφορά τους και ότι μπορούν να ανοιχτούν, να διαβαστούν, να τροποποιηθούν και να προωθηθούν μόνο από άτομα με συγκεκριμένα δικαιώματα αποτελεί το κλειδί για την αποφυγή μιας ακούσιας, αλλά εξίσου δαπανηρής, παραβίασης δεδομένων.

4.Επίπεδο δίκτυο

Επειδή το ανθρώπινο λάθος αποτελεί πλέον σημαντική αιτία παραβιάσεων δεδομένων, η παραχώρηση υπερβολικών δικαιωμάτων στους υπαλλήλους σας όσον αφορά την πρόσβαση στο δίκτυο του οργανισμού σας μπορεί να είναι εξαιρετικά επικίνδυνη υπόθεση. Η έκθεση Data Breach Investigations Report 2021 της Verizon αποκαλύπτει ότι στο ένα τέταρτο των παραβιάσεων που πραγματοποιήθηκαν συνολικά τους τελευταίους 12 μήνες έγινε χρήση κλεμμένων διαπιστευτηρίων υπαλλήλων από τους κυβερνοεγκληματίες. Όταν ένας υπάλληλος έχει πλήρη ή σχεδόν πλήρη πρόσβαση στο δίκτυο, και ένας hacker καταφέρει να αποκτήσει τα διαπιστευτήρια του, τότε θα έχει ακριβώς το ίδιο επίπεδο πρόσβασης με τον υπάλληλο σας, και όχι μόνο αυτό, αλλά ότι κάνει, θα μοιάζει ότι έγινε από τον ίδιο τον υπάλληλό σας.  

Ένας τρόπος για να αρχίσουν οι οργανισμοί να καταπολεμούν τον συγκεκριμένο κίνδυνο είναι να τμηματοποιήσουν το δίκτυό τους σωστά. Αντί να κάνουν όλα τα στοιχεία του εταιρικού δικτύου να εξαρτώνται από ένα ενιαίο σύστημα περιμετρικής άμυνας, μπορούν να προχωρήσουν στην τμηματοποίηση του δικτύου σε πολλά μικρότερα υποδίκτυα, ώστε οι υπάλληλοι (ή οποιοσδήποτε κακόβουλος παράγοντας που παρουσιάζεται ως υπάλληλος) να έχει τη μικρότερη δυνατή πρόσβαση. Αν και ο στόχος της αντιμετώπισης των κινδύνων για την ασφάλεια είναι να αποτραπεί μία παραβίαση προτού συμβεί, αν και όταν συμβεί, οι οργανισμοί θα μπορούν να εκμεταλλευτούν το τμηματοποιημένο δίκτυο για να περιορίσουν τις συνέπειες ή τον αντίκτυπο της παραβίασης και να περιορίσουν το ταχύτερο δυνατόν την απειλή.

5.Μη καταρτισμένο προσωπικό

Η έλλειψη κατάρτισης και εκπαίδευσης, όσον αφορά τους υπαλλήλους, αποτελεί σταθερά έναν από τους μεγαλύτερους παράγοντες για τις παραβιάσεις που πραγματοποιούνται ως αποτέλεσμα ανθρώπινου λάθους και αυτή η έλλειψη φαίνεται με πολλούς τρόπους. Πιο συγκεκριμένα, έχει αποδειχτεί ότι οι εργαζόμενοι είναι επιρρεπείς στις επιθέσεις κοινωνικής μηχανικής, και ακόμα πιο συγκεκριμένα, στις επιθέσεις ηλεκτρονικού ψαρέματος (phishing). Σύμφωνα με μία έκθεση του 2021 από την atlasVPN, οι επιθέσεις κοινωνικής μηχανικής ήταν υπεύθυνες για τις περισσότερες παραβιάσεις δεδομένων (14%) σε οργανισμούς το 2020. Επιπλέον, από την πιο πρόσφατη τριμηνιαία έκθεση της PhishLabs, Quarterly Threat Trends & Intelligence Report, διαπιστώθηκε ότι μεταξύ άλλων ανησυχητικών στατιστικών στοιχείων, ο αριθμός των ιστοσελίδων ηλεκτρονικού ψαρέματος το 2021 αυξήθηκε κατά 28% σε σχέση με το παρελθόν.

Η έλλειψη μίας ολοκληρωμένης και συνεπούς εκπαίδευσης μπορεί επίσης να οδηγήσει στην κακή υγιεινή των κωδικών πρόσβασης, στην κλοπή κωδικών πρόσβασης ή ακόμα και σε ακούσιες, τυχαίες παραβιάσεις δεδομένων σαν αυτές που συζητήθηκαν παραπάνω. Από την άλλη πλευρά, η σωστή εκπαίδευση και κατάρτιση των εργαζομένων μπορεί να συμβάλει αποφασιστικά στην ελαχιστοποίηση των συνεπειών του ηλεκτρονικού ψαρέματος (phishing) και των άλλων επιθέσεων κοινωνικής μηχανικής όταν εφαρμόζεται σύμφωνα με τις βέλτιστες πρακτικές. Δυστυχώς, οι οργανισμοί συχνά παραμελούν την εκπαίδευση σε θέματα ασφάλειας και μερικές φορές αποτυγχάνουν ακόμη και να δημιουργήσουν και να επιβάλουν πολιτικές και διαδικασίες ασφάλειας δεδομένων για τους υπαλλήλους τους που θα έπρεπε να ακολουθούν από την πρώτη κιόλας στιγμή.

6.Ψευδής αίσθηση ασφάλειας

Ως επί το πλείστον, οι κίνδυνοι για την ασφάλεια δεδομένων που συζητήθηκαν μέχρι αυτό το σημείο μπορούν να διορθωθούν εφαρμόζοντας συγκεκριμένες αλλαγές στον οργανισμό σας. Τα απροστάτευτα δεδομένα και οι εξωτερικές απειλές όπως οι hackers μπορούν να αντιμετωπιστούν εφαρμόζοντας λύσεις ασφάλειας δεδομένων που ενσωματώνονται με το λογισμικό και τις ροές εργασίας σας. Επίσης, οι ανεπαρκώς καταρτισμένοι υπάλληλοι και το ανθρώπινο λάθος συχνά συμβαδίζουν σε έναν οργανισμό και μπορούν να αντιμετωπιστούν δημιουργώντας ένα ολοκληρωμένο σύνολο εταιρικών πολιτικών ασφάλειας δεδομένων και ακολουθώντας μία περισσότερο ολοκληρωμένη, συνεπή, συχνότερη αλλά και ευχάριστη προσέγγιση στην εκπαίδευση των εργαζομένων σας. Ακόμη και ένα απαρχαιωμένο μοντέλο ασφάλειας δικτύου μπορεί να ενημερωθεί ώστε να ευθυγραμμίζεται με τις βέλτιστες πρακτικές.

Ωστόσο, η ύπαρξη αυτής της ψευδούς αίσθησης ασφάλειας ενδεχομένως να είναι ότι χειρότερο για την ασφάλεια ενός οργανισμού, καθώς για να διορθωθεί απαιτείται σημαντική αλλαγή στη φιλοσοφία σε όλους τους τομείς. Αν τα ηγετικά στελέχη level ενός οργανισμού έχουν τη νοοτροπία του «αυτό δεν θα συμβεί ποτέ σε εμάς» – με το «αυτό» να αναφέρεται σε ένα σημαντικό περιστατικό ασφαλείας- τότε άλλοι σημαντικοί κίνδυνοι για την ασφάλεια ενδέχεται να μην τους φαίνονται σημαντικοί. Τα στοιχεία δείχνουν ότι σχεδόν 8 στους 10 καταναλωτές προτιμούν ή αποφασίζουν να συνεργαστούν με εταιρείες και οργανισμούς που έχουν καλή φήμη όσον αφορά την ασφάλεια των δεδομένων και των πληροφοριών και επειδή δεν απαιτείται παρά μόνο μία παραβίαση δεδομένων για να καταστραφεί η φήμη και το bottom line ενός οργανισμού, το να αλλάξετε τη νοοτροπία του οργανισμού σας όσον αφορά την ασφάλεια προς το καλύτερο, αξίζει και με το παραπάνω τον χρόνο και το έργο, ακόμα και αν δεν είναι η εύκολη λύση.

Πηγή: HelpSystems