Μια απειλή που αντιμετωπίζουν σήμερα πολλά κράτη, θεσμοί, τραπεζικά ιδρύματα, βιομηχανίες και μαζικοί φορείς, είναι οι κυβερνοεπιθέσεις. Η μετεξέλιξη τους αποτελεί ταυτόχρονα μια αυξανόμενη απειλή τόσο για τις κυβερνήσεις όσο και για τις εθνικές οικονομίες και την κοινωνία ευρύτερα.
Ταυτόχρονα, καθώς προχωρούμε βαθύτερα στην ψηφιακή εποχή, την εποχή της λεγόμενης 4ης Βιομηχανικής Επανάστασης, αυτό αναπτύσσεται και εξελίσσεται με ανυπολόγιστες συνέπειες, καθώς οι εγκληματίες του κυβερνοχώρου γίνονται ολοένα και πιο επιθετικοί και επικίνδυνοι.
Οι κυβερνοεπιθέσεις μπορεί να κυμαίνονται από εισβολή (hacking) σε συστήματα και μέσα κοινωνικής δικτύωσης, επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing), κακόβουλο λογισμικό, συμπεριλαμβανομένου του ransomware, κλοπή ταυτότητας, κοινωνική μηχανική (social engineering attacks) και επιθέσεις άρνησης εξυπηρέτησης (Denial-of-Service (DoS) attack). Αυτό είναι οδυνηρό τόσο προσωπικά όσο και οικονομικά, προκαλώντας ανυπολόγιστες ζημιές και μεγάλες καταστροφές, καθώς η κοινωνία και οι πολίτες γίνονται πιο ευάλωτοι κι ανυπεράσπιστοι.
Σύμφωνα με την McAfee, την εταιρεία λογισμικού ασφάλειας υπολογιστών, το κόστος αυτών των κυβερνοεπιθέσεων αυξάνεται, συνεχώς. Μόνο το 2020 στοίχησε 1 περίπου τρισεκατομμύριο δολάρια.
Αυξανόμενος παγκόσμιος κίνδυνος
Με την πανδημία COVID-19 να έχει ενσωματώσει περαιτέρω την αυξανόμενη εξάρτησή στα ψηφιακά συστήματα, δεν προκαλεί έκπληξη το γεγονός ότι η Έκθεση Παγκόσμιων Κινδύνων 2022 του World Economy Forum συμπεριέλαβε για άλλη μια φορά την απειλή για την ασφάλεια στον κυβερνοχώρο ως έναν από τους αυξανόμενους κινδύνους που αντιμετωπίζει ο κόσμος. Οι αποτυχίες στον κυβερνοχώρο, αναφέρει, έχουν επιδεινωθεί σημαντικά και απειλούν τη μακροπρόθεσμη ευημερία.
Ωστόσο, η οικοδόμηση ενός καλού συστήματος κυβερνοάμυνας καθώς και η πρόβλεψη απειλών αποτελούν βασικά στοιχεία για την καταπολέμηση του εγκλήματος σε αυτό τον τομέα. Χωρίς αξιόπιστα και εξελιγμένα σχέδια διαχείρισης κινδύνων στον κυβερνοχώρο ούτε η ανθεκτικότητα ούτε η διακυβέρνηση μπορούν να λειτουργήσουν αποτρεπτικά. “Το έγκλημα στον κυβερνοχώρο είναι τόσο εθνικό όσο και διεθνές φαινόμενο που εξαπλώνεται με μεγάλη ταχύτητα, επηρεάζοντας τις επιχειρήσεις, τις κυβερνήσεις και την κοινωνία στο σύνολό της. Η κλίμακα και η πολυπλοκότητα αυτής της εγκληματικής δραστηριότητας έχει εκτεταμένες και επιζήμιες συνέπειες και η κατάσταση είναι θολή καθώς οι εγκληματίες του κυβερνοχώρου λειτουργούν, χρησιμοποιώντας τεχνική υποδομή, πέρα από τα εθνικά σύνορα», λέει ο ειδικός στον κυβερνοχώρο καθηγητής Δρ Edward Humphreys. Ως αποτέλεσμα, προσθέτει, η διεθνής συνεργασία επιβάλλεται και τα Διεθνή Πρότυπα είναι απαραίτητα για την παγκόσμια προστασία.
Λύσεις και έλεγχοι
Τα Διεθνή Πρότυπα παρέχουν λύσεις που επιτρέπουν στους οργανισμούς να θεσπίσουν πλαίσια και συστήματα για να αξιολογήσουν και να διαχειριστούν την κατάσταση – να προστατεύσουν τις πληροφορίες, να εξασφαλίσουν εφαρμογές, υπηρεσίες και εθνικές υποδομές.
Το πρώτο βήμα για την αντιμετώπιση του εγκλήματος στον κυβερνοχώρο είναι να γνωρίζει κανείς τους κινδύνους που αντιμετωπίζει και στη συνέχεια να αποφασίσει τους ελέγχους που πρέπει να εφαρμοστούν για την ελαχιστοποίηση αυτών των κινδύνων.
Ο Dr Humphreys επισημαίνει επίσης ότι πρότυπα όπως η οικογένεια ISO/IEC 27000, που αναπτύχθηκαν από τον Διεθνή Οργανισμό Τυποποίησης ISO και το Διεθνή Οργανισμό Ηλεκτροτεχνικής Τυποποίησης (IEC), ως de facto επιλογή για κάθε οργανισμό που επιθυμεί να δημιουργήσει ισχυρές λύσεις κατά του εγκλήματος στον κυβερνοχώρο. Αυτή η σειρά διεθνών προτύπων καθορίζει ένα σύστημα διαχείρισης που μπαίνει στη διαδικασία διαχείρισης κινδύνων, για την αξιολόγηση των κινδύνων και στη συνέχεια τον προσδιορισμό των ελέγχων που απαιτούνται για την αντιμετώπιση τους. “Υπάρχει μια σειρά προτύπων που υποστηρίζουν το πρότυπο ISO/IEC 27001, όπως το ISO/IEC 27005 για τη διαχείριση κινδύνων ασφάλειας πληροφοριών και τις κατευθυντήριες γραμμές εφαρμογής του ISO/IEC 27003”, αναφέρει. “Και υπάρχουν πολλά άλλα πρότυπα που παρέχουν τεχνική υποστήριξη για το ISO/IEC 27001, για παράδειγμα για την ασφάλεια δικτύων και την ενσωμάτωση χαρακτηριστικών ασφαλείας στην τεχνολογία, τις υπηρεσίες και τις εφαρμογές”.
Ο Δρ Humphreys επαναλαμβάνει την ανάγκη για τις εταιρείες να είναι προετοιμασμένες και έτοιμες να αντιμετωπίσουν αυτές τις επιθέσεις. “Οι κυβερνοεπιθέσεις μπορούν να πραγματοποιηθούν οποτεδήποτε και οπουδήποτε και αυτό που είναι βέβαιο είναι ότι αυτές οι επιθέσεις είναι βέβαιο ότι θα συμβούν, αλλά δεν μπορούμε ποτέ να είμαστε σίγουροι πότε ή πού”. “Το να είσαι έτοιμος και προετοιμασμένος είναι μια βασική επιχειρηματική δραστηριότητα για επιβίωση. Περιλαμβάνει μια επιχείρηση που έχει θέσει σε εφαρμογή μια διαδικασία για να είναι σε θέση να προβλέψει, να εντοπίσει, και να αναφέρει περιστατικά και να αναλύσει αυτά τα περιστατικά και να αποφασίσει πώς να ανταποκριθεί σε αυτά.” Όλα αυτά πρέπει να γίνουν με γρήγορο και έγκαιρο τρόπο για να περιοριστεί ο αντίκτυπος που θα μπορούσε να προκαλέσει το περιστατικό.
Πώς μπορούν λοιπόν οι επιχειρήσεις να είναι καλύτερα προετοιμασμένες; Μόλις μια επιχείρηση εντοπίσει την παρουσία μιας κακόβουλης επίθεσης κώδικα ή μιας επίθεσης άρνησης εξυπηρέτησης (Denial-of-Service (DoS) attack), όσο πιο γρήγορα ανταποκρίνεται με τα κατάλληλα μέτρα ασφαλείας, τόσο μεγαλύτερη είναι η πιθανότητα περιορισμού της εξάπλωσης αυτών των επιθέσεων, καθώς και τον περιορισμό των επιπτώσεων και ζημιών. Υπάρχουν πρότυπα που βοηθούν τις επιχειρήσεις να είναι καλύτερα προετοιμασμένες προκειμένου να ανταποκριθούν, σύμφωνα με το πρότυπο διαχείρισης συμβάντων ISO / IEC 27035, το πρότυπο για τη διαχείριση της επιχειρησιακής συνέχειας (incident management standard) ISO 22301 και το πρότυπο ετοιμότητας ΤΠΕ (ICT readiness standard ) ISO / IEC 27031.
Συλλογική δράση
Σε έναν ήδη αβέβαιο κόσμο, το έγκλημα στον κυβερνοχώρο μπορεί να είναι οικονομικά καταστροφικό, να διαταράσσει τις επιχειρηματικές δραστηριότητες και τις εθνικές υποδομές, καθώς και να επηρεάζει τους πολίτες και την κοινωνία. Για παράδειγμα, μια επίθεση σε ένα μέρος μιας αλυσίδας εφοδιασμού μπορεί να εξαπλωθεί, να διαταράξει και να βλάψει άλλα μέρη της αλυσίδας. Προκειμένου να προωθηθούν ασφαλέστερα και ανθεκτικά συστήματα κυβερνοασφάλειας, η διαχείριση μιας αλυσίδας εφοδιασμού είναι ένα καλό παράδειγμα για συλλογική δράση σε όλα τα μέρη της αλυσίδας προκειμένουνα διατηρηθεί ασφαλής.
Υπάρχουν πρότυπα που βοηθούν στην ασφάλεια της εφοδιαστικής αλυσίδας, όπως το ISO 28000 και το ISO/IEC 27036. Απαιτείται επίσης συλλογική δράση σε διάφορα σενάρια που αφορούν επιχειρηματικές σχέσεις και επικοινωνίες με άλλους οργανισμούς. Υπάρχει μια ομάδα προτύπων διαχείρισης που θα βοηθήσουν στην οικοδόμηση ανθεκτικότητας για την αντιμετώπιση της διαταραχής των επιχειρήσεων και τη διασφάλιση της επιβίωσης και του συστήματος διακυβέρνησης. Αυτές περιλαμβάνουν το ISO 22301 (συστήματα διαχείρισης επιχειρησιακής συνέχειας) και το ISO/IEC 27001 (συστήματα διαχείρισης ασφάλειας πληροφοριών) και το ISO/IEC 27014 (διακυβέρνηση ασφάλειας πληροφοριών).
Με την ανάπτυξη και την εξάρτηση από τη συνδεσιμότητα για τις επιχειρήσεις, την υποδομή που την υποστηρίζει και τη χρήση του Διαδικτύου και των κινητών συσκευών, υπάρχει ακόμη μεγαλύτερη ανάγκη για ασφάλεια και ανθεκτικότητα του συστήματος. Ο Δρ Humphreys αναγνωρίζει ότι τα πρότυπα πρέπει να εξελιχθούν για να ταιριάζουν με τις ραγδαίες εξελίξεις στην τεχνολογία. «Η τρίτη έκδοση του ISO/IEC 27002, για παράδειγμα, δημοσιεύθηκε το πρώτο τρίμηνο του 2022. Αυτό το πρότυπο υψηλού προφίλ ασχολείται με τους ελέγχους ασφάλειας πληροφοριών και έχει ενημερωθεί ώστε να ταιριάζει με την πρόοδο στην τεχνολογία, τις επιχειρηματικές εξελίξεις και πρακτικές και τους νέους νόμους και κανονισμούς.»
Tο 2021 υπήρξαν πολλές άλλες εξελίξεις στην τυποποίηση, όπως της ασφάλειας και της ιδιωτικότητας του Διαδικτύου των Πραγμάτων (IoT), της ασφάλειας και της ιδιωτικής ζωής των λεγόμενων Big Data, της ασφάλειας και της ιδιωτικής ζωής σε θέματα της τεχνητής νοημοσύνης και της προστασίας των βιομετρικών πληροφοριών. Όλα αυτά συμπληρώνονται από πρόσφατες τεχνικές προδιαγραφές, όπως το ISO/IEC TS 27570, το οποίο παρέχει καθοδήγηση σχετικά με την προστασία της ιδιωτικής ζωής του οικοσυστήματος έξυπνων πόλεων, και το ISO/IEC TS 27100, το οποίο καθορίζει τον τρόπο δημιουργίας ή βελτίωσης ισχυρών συστημάτων στον κυβερνοχώρο για την προστασία από κυβερνοεπιθέσεις. Η πλήρης οικογένεια προτύπων ISO/IEC 27000 και αυτές οι τεχνολογικές προδιαγραφές αποτελούν το θεμέλιο για την οικοδόμηση και τη διαχείριση ενός ασφαλούς μέλλοντος.
Η υιοθέτηση και εφαρμογή των Ευρωπαϊκών και Διεθνών Προτύπων στη Κύπρο γίνεται μέσω του Κυπριακού Οργανισμού Τυποποίησης (CYS), ο οποίος είναι ο Εθνικός φορέας για την τυποποίηση. Ενημέρωση για οποιεσδήποτε εξελίξεις στο εν λόγω θέμα, οι ενδιαφερόμενοι μπορούν να λάβουν από τους αρμόδιους λειτουργούς του (CYS) και το Κέντρο Πληροφόρησης & Εξυπηρέτησης (ΚΕΠΕ).
Πηγή ISO
Dr Γκιούρωφ Στέφανου, Λειτουργός Τυποποίησης CYS
