Cyber security και επιχειρήσεις

Ειδήσεις-Γνώμες
Cyber security και επιχειρήσεις
Γράφει η Technical Editor του CSI Institute, Ελένη Ατσάρου
Της Eλένης Ατσάρου (*)
15/07/2019 | 14:45

Για τις επιχειρήσεις η εξάπλωση του διαδικτύου και η εξέλιξη της τεχνολογίας έχει σαν αποτέλεσμα να δημιουργούνται ευκαιρίες που θα πρέπει να αξιοποιήσουν τα διοικητικά στελέχη με τον καλύτερο τρόπο. Καθημερινά όμως μπορεί να δημιουργηθούν προβλήματα που θα κληθεί να αντιμετωπίσει είτε η ίδια η επιχείρηση, είτε τα διοικητικά της στελέχη. Ειδικά το διαδίκτυο έχει μια διττή φύση καθώς μπορεί να εξασφαλίσει σημαντικά πλεονεκτήματα, όμως την ίδια στιγμή δημιουργούνται κίνδυνοι που αφορούν την ασφάλεια των επιχειρήσεων.

Οι δέκα βασικότεροι κίνδυνοι αναφορικά με τη διαδικτυακή ασφάλεια των επιχειρήσεων είναι οι εξής:

1. Να πέσουν θύματα απάτης που θα τους στοιχίσουν σημαντικά κεφάλαια όπως είναι:

  • a. DDoS attack: το σύστημα ή ο υπολογιστής δεν δέχεται τις εντολές του κατόχου του, αλλά κάποιου τρίτου
  • b. Hacking (Πειρατεία): απόκτηση μη εξουσιοδοτημένης πρόσβασης σε έναν υπολογιστή
  • c. Ιοί υπολογιστών: κακόβουλο λογισμικό που αθέλητα επιλέγει κι εγκαθιστά ένας χρήστης στον υπολογιστή του
  • d. Σκουλήκια: κακόβουλο λογισμικό που μπορεί να αναπαραχθεί ακόμη και με την επίσκεψη σε μια ιστοσελίδα, για τα οποία δεν απαιτείται η εγκατάσταση κάποιου προγράμματος
  • e. Δούρειοι ίπποι: Μεταμφιεσμένα προγράμματα που μετά τη λήψη και την εγκατάστασή τους θα εκτελεστούν αυτόματα
  • f. Spyware και Adware: λογισμικά για διείσδυση σε έναν ξένο υπολογιστή δίχως έγκριση
  • g. Phising: Ηλεκτρονικό ψάρεμα προσωπικών και οικονομικών πληροφοριών
  • h. Pharming: κοινός τύπος ηλεκτρονικής απάτης που μέσω κακόβουλου και παράνομου ιστότοπου ανακατευθύνει τη νόμιμη διεύθυνση URL
  • i. Ransomware: κακόβουλο λογισμικό εξαιτίας του οποίου η πρόσβαση στα αρχεία ή τον υπολογιστή περιορίζεται και για να αρθεί εμφανίζεται μήνυμα περί πληρωμής
  • j. Spoofing: διαδικτυακός τόπος ή διεύθυνση ηλεκτρονικού ταχυδρομείου που μοιάζει να είναι νόμιμη, αλλά έχει σαν στόχο την υποκλοπή πληροφοριών

2. Η επιλεκτική επένδυση σε θέματα ασφαλείας: π.χ. επένδυση για προστασία από ιούς και όχι και για προστασία από επιθέσεις των hackers

3. Οι διαφορές στην τεχνολογική ανάπτυξη μεταξύ των χωρών: διαφορετική προσβασιμότητα σε συστήματα ασφαλείας

4. Προτίμηση επένδυσης σε εξοπλισμό που θα αυξήσει την παραγωγικότητα, αντί για την ασφάλεια

5. Η ιδεολογία – αντίληψη πως ο κίνδυνος δεν αφορά τη δική μου εταιρεία

6. Η διαρροή εταιρικών στοιχείων ή στοιχείων των καταναλωτών

7. Ανεπάρκεια κεφαλαίων για προστασία από διαδικτυακούς κινδύνους

8. Η ελλιπής εκπαίδευση των εργαζομένων επί των διαδικτυακών κινδύνων που μπορεί να αντιμετωπίσει η επιχείρηση

9. Η ελεύθερη πρόσβαση των εργαζομένων στο διαδίκτυο δίχως περιορισμούς: χωρίς φίλτρα που να ελέγχουν την αξιοπιστία του περιεχομένου

10. Η διάθεση των εταιρικών στοιχείων προς αγνώστους από τους εργαζόμενους και η ανοιχτή δημοσίευση των οικονομικών της στοιχείων χωρίς τον απαραίτητο επαναληπτικό έλεγχο

Όλες οι επιχειρήσεις αντιμετωπίζουν καθημερινά αυτούς τους κινδύνους σε μεγαλύτερο ή μικρότερο βαθμό, αναλόγως των ιδιαίτερων χαρακτηριστικών τους. Προκειμένου να μπορέσουν να προστατευθούν από αυτές τις διαδικτυακές απειλές οι σημαντικότερες ενέργειες στις οποίες μπορούν να προβούν είναι:

- Η δημιουργία ενός σχεδίου που θα συμπεριλαμβάνει τις εταιρικές ανάγκες σε θέματα διαδικτυακής ασφαλείας και το κόστος που συνεπάγεται η υλοποίηση αυτού του σχεδίου

- Η ενημέρωση των εργαζομένων σχετικά με τους κινδύνους που υπάρχουν στο διαδίκτυο

- Ο έλεγχος των δεδομένων που πρόκειται να αναρτηθούν στο διαδίκτυο πριν από τη δημοσίευσή τους

- Η αναζήτηση της γνώμης ειδικών με τη συνεργασία των οποίων θα μπορέσει να δημιουργηθεί ή να ενισχυθεί το υφιστάμενο πλαίσιο εταιρικής ασφαλείας

- Το φιλτράρισμα των ηλεκτρονικών μηνυμάτων που λαμβάνουν και των ιστοσελίδων που επισκέπτονται οι εργαζόμενοι

- Η χρήση προγραμμάτων antivirus

- Η περιορισμένη πρόσβαση των επισκεπτών στο εταιρικό δίκτυο και τα δεδομένα αυτού

- Η δημιουργία αντιγράφων σε εξωτερικές μονάδες αποθήκευσης για αποφυγή απώλειας των δεδομένων

Αυτές οι ενέργειες για κάθε επιχείρηση μπορούν να λειτουργήσουν στο μέγιστο αν προσαρμοστούν στις δυνατότητες καθεμιάς. Η σημαντικότερη όμως ενέργεια από την πλευρά μιας επιχείρησης που μπορεί να προκαλέσει και τη μεγαλύτερη αλλαγή στο εσωτερικό της αναφορικά με ζητήματα ασφαλείας στο διαδίκτυο είναι η δημιουργία δεσμών εμπιστοσύνης ανάμεσα στο εργατικό δυναμικό και τη διοίκηση της επιχείρησης μέσω μιας εκπαιδευτικής διαδικασίας που θα τονώνει το αίσθημα της ασφάλειας στους εργαζόμενους ώστε να μπορούν να επικοινωνήσουν με άνεση με τους υφιστάμενους συναδέλφους τους για οτιδήποτε θεωρούν πως αποτελεί ή μπορεί να αποτελέσει πρόβλημα κάποια στιγμή στο μέλλον για την ασφάλεια της εταιρείας.

(*) Η κυρία Ατσάρου είναι Technical Editor του CSI Institute