Η εικόνα των χάκερς έχει διαμορφωθεί σε μεγάλο βαθμό από ταινίες, τηλεοπτικά προγράμματα και την τηλεόραση. Σε αυτές, οι χάκερς παρουσιάζονται ως ικανοί να εισβάλουν ακόμη και στα πιο ασφαλή συστήματα με ένα απλό πάτημα πλήκτρων.
Όλοι έχουμε δει κάποια στιγμή ταινίες όπου οι χάκερς εισβάλλουν στα υπερπροστατευμένα συστήματα κυβερνήσεων, οργανισμών και εταιρειών και παίρνουν τον πλήρη έλεγχο της διαδικασίας, προκαλώντας αμέτρητα προβλήματα.
Είναι όμως πραγματικά τόσο απλό; Δεν απέχει πολύ από την πραγματικότητα; Πού τελειώνει ο μύθος και πού αρχίζει η αλήθεια; Για να απαντήσουμε σε αυτά τα ερωτήματα, επικοινωνήσαμε με τον Michael Migo, τεχνικό διευθυντή της TicTac, μιας εταιρείας που ειδικεύεται στις υπηρεσίες κυβερνοασφάλειας και ανάκτησης δεδομένων, για να αναλύσει τις πιο συνηθισμένες αντιλήψεις που έχουν οι εταιρείες και οι χρήστες σχετικά με την κυβερνοασφάλεια.
Μύθος 1: “Η επιχείρησή μου είναι πολύ μικρή, οι χάκερ δεν ενδιαφέρονται για μένα
Πραγματικότητα: “Οι περισσότεροι χάκερς πραγματοποιούν τυχαίες επιθέσεις, οπότε όλες οι επιχειρήσεις και οι ιδιώτες κινδυνεύουν.
Μία από τις πιο συνηθισμένες παρανοήσεις σχετικά με την ασφάλεια στον κυβερνοχώρο είναι η ιδέα ότι οι μικρές επιχειρήσεις είναι ασφαλείς από τις επιθέσεις στον κυβερνοχώρο επειδή δεν είναι σημαντικές. Στην πραγματικότητα, καμία επιχείρηση δεν είναι πολύ μικρή για τέτοιου είδους απειλές.
Οι επιθέσεις που πραγματοποιούνται από χάκερς χωρίζονται σε δύο κύριες κατηγορίες: οι στοχευμένες επιθέσεις εναντίον μεγάλων επιχειρήσεων και οργανισμών απαιτούν μεγάλη προσπάθεια, χρόνο και χρήμα από την πλευρά του χάκερ και είναι συνήθως το αποτέλεσμα μιας μαζικής και συντονισμένης προσπάθειας. Από την άλλη πλευρά, οι τυχαίες, τυφλές, μη στοχευμένες επιθέσεις εναντίον χιλιάδων email ή IPs έχουν ως στόχο να βρουν κενά ασφαλείας σε οποιοδήποτε σύστημα, ώστε να μπορέσουν να ελέγξουν τους υπολογιστές και να κλειδώσουν ή να κλέψουν αρχεία.
Φυσικά, οι χάκερς δεν μπορούν να βγάλουν χρήματα από όλους. Αυτό οφείλεται στο γεγονός ότι οι ιδιώτες ή οι μικρές επιχειρήσεις δεν έχουν την οικονομική δυνατότητα να προβούν σε οικονομικές απαιτήσεις για την επιστροφή αρχείων. Ωστόσο, η ζημιά έχει ήδη γίνει και τα δεδομένα είναι πιθανό να έχουν ήδη χαθεί. Ως εκ τούτου, δεν έχει σημασία αν είστε ο πρωταρχικός στόχος και μπορούν να βγάλουν χρήματα από εσάς. Υπάρχει κίνδυνος σοβαρών προβλημάτων που προκαλούνται από τυχαία και τυφλά χτυπήματα.
Εκτός από τα παραπάνω, θα πρέπει να προστεθεί ότι, ανεξάρτητα από το μέγεθος της επιχείρησής σας, ο κίνδυνος απώλειας δεδομένων λόγω απειλών στον κυβερνοχώρο είναι τόσο μεγάλος που η προστασία και η διαθεσιμότητα των δεδομένων και των πληροφοριών σας πρέπει να αποτελεί ύψιστη προτεραιότητα.
Τρόποι αντιμετώπισης
Οι μικρομεσαίες επιχειρήσεις θα πρέπει να αναγνωρίσουν ότι δεν έχουν ανοσία στις κυβερνοεπιθέσεις και θα πρέπει να λάβουν μέτρα για την προστασία των συστημάτων και των δεδομένων τους. Αυτό περιλαμβάνει:
- Εκσυγχρονισμό των συστημάτων backup τους ώστε να συμπεριλάβουν και το ρίσκο μιας κυβερνοεπίθεσης
- Εφαρμογή καλών πρακτικών ασφάλειας, όπως ισχυροί κωδικοί πρόσβασης και Two-factor authentication (2FA)
- Εκπαίδευση του προσωπικού της επιχείρησης για την αναγνώριση και αντιμετώπιση διαδικτυακών απειλών
- Έλεγχο και τακτική αναθεώρηση των μέτρων ασφαλείας
- Συνεργασία με κάποια εταιρεία παροχής υπηρεσιών κυβερνοασφάλειας για να ελέγξει την ασφάλεια των συστημάτων
Μύθος 2: “Είμαι συνδρομητής σε ένα πρόγραμμα προστασίας από ιούς και το πληρώνω κάθε χρόνο.
Πραγματικότητα: “Το καλύτερο antivirus μπλοκάρει το 99% των κακόβουλων αρχείων, αλλά το 1% των απειλών είναι οι χιλιάδες απειλές την ημέρα που το antivirus δεν μπορεί να ανιχνεύσει.
Τα antivirus και τα τείχη προστασίας είναι μερικά από τα πιο συνηθισμένα εργαλεία προστασίας που χρησιμοποιούνται από χρήστες και επιχειρήσεις για την προστασία των συστημάτων τους από επιθέσεις στον κυβερνοχώρο. Ωστόσο, η αντίληψη ότι αυτά τα λογισμικά από μόνα τους μπορούν να παρέχουν ολοκληρωμένη προστασία είναι επικίνδυνα λανθασμένη.
Ακόμη και αν το πιο προηγμένο λογισμικό που κυκλοφορεί σήμερα στην αγορά μπορεί να αντιμετωπίσει το 99% των απειλών, το υπόλοιπο 1% είναι αρκετό για να προκαλέσει τεράστια ζημιά σε μια επιχείρηση. Με εκατομμύρια επιθέσεις να λαμβάνουν χώρα καθημερινά, αυτό το 1% δεν είναι και τόσο μικρός αριθμός.
Όλα αυτά τα προγράμματα προστασίας εξελίσσονται καθημερινά μέσω επιδιορθώσεων και ενημερώσεων. Αυτό σημαίνει ότι νέες απειλές που δημιουργούν “παραβιάσεις” ή “ευπάθειες” δημιουργούνται πρώτες και όταν εντοπίζονται, αυτά τα προγράμματα προστασίας προσαρμόζονται και τις αντιμετωπίζουν.
Τι σημαίνει αυτό στην πράξη; Σημαίνει ότι χιλιάδες χρήστες θα μπορούσαν να “μολυνθούν” άμεσα από τη στιγμή της επίθεσης έως ότου αυτή αντιμετωπιστεί κεντρικά από την εταιρεία λογισμικού.
Τρόποι αντιμετώπισης
Οι κύριοι τρόποι αντιμετώπισης είναι η ανθρώπινη παρακολούθηση και τα πολλαπλά επίπεδα προστασίας. Αυτό οφείλεται στο γεγονός ότι η ασφάλεια στον κυβερνοχώρο απαιτεί μια ολιστική προσέγγιση που περιλαμβάνει πολλαπλά επίπεδα προστασίας. Μια μονόπλευρη προσέγγιση που χρησιμοποιεί μόνο λογισμικό προστασίας από ιούς αφήνει πολλά κενά ασφαλείας που μπορούν να εκμεταλλευτούν οι χάκερ. Η ανάπτυξη των ψηφιακών τεχνολογιών είναι συνεχής και συχνά πολύπλοκη. Για το λόγο αυτό, η ασφάλεια πρέπει να είναι δυναμική και πολυεπίπεδη (όπως τα στρώματα κρεμμυδιού).
Μύθος 3: “Ο κωδικός πρόσβασής μου είναι πολύ ισχυρός”.
Πραγματικότητα Οι “ισχυροί” κωδικοί πρόσβασης είναι το πρώτο βήμα, αλλά όχι το μοναδικό.
Οι πολύ ισχυροί κωδικοί πρόσβασης αποτελούν την πρώτη γραμμή άμυνας κατά των διαδικτυακών απειλών. Ωστόσο, γίνεται εύκολα αντιληπτό ότι αυτό δεν αρκεί.
Οι χάκερ διαθέτουν εξελιγμένα εργαλεία και διάφορες τεχνικές για να αποκτήσουν κωδικούς πρόσβασης. Για να το θέσουμε πιο ωμά, οι χάκερ δεν χρειάζεται καν να γνωρίζουν ή να μαντεύουν ποιος είναι ο κωδικός πρόσβασης.
Για παράδειγμα, αν ένας χρήστης χρησιμοποιεί ένα κοινόχρηστο δίκτυο καφετεριών και ένας χάκερ δημιουργήσει έναν “κλώνο” αυτού του δικτύου και μας ξεγελάσει ώστε να συνδεθούμε σε αυτό το δίκτυο αντί για το κατάστημα, μπορεί να υποκλέψει όλες τις ανοιχτές συνεδρίες και να χρησιμοποιήσει τις χωρίς να γνωρίζει τους κωδικούς μας, και ξαφνικά να διαπιστώσει ότι έχει πρόσβαση ακόμη και στους τραπεζικούς μας λογαριασμούς.
Μια άλλη μέθοδος που χρησιμοποιούν συχνά οι χάκερς είναι το phishing, το οποίο πολλοί από εμάς γνωρίζουμε. Βασικά, οι χάκερς χρησιμοποιούν αυτή τη μέθοδο για να προσπαθήσουν να “ψαρέψουν” κωδικούς πρόσβασης με έναν περιστροφικό τρόπο, εξαπατώντας παράλληλα τον χρήστη. Για παράδειγμα, στέλνουν ένα email που παριστάνει μια πλατφόρμα όπως το gov.gr και κατευθύνουν τον χρήστη σε ένα ακριβές αντίγραφο του αρχικού ιστότοπου. Εκεί, οι ανυποψίαστοι χρήστες εισάγουν οι ίδιοι το όνομα χρήστη και τον κωδικό πρόσβασής τους και δίνουν απλόχερα τα στοιχεία τους στους απατεώνες.
Τρόποι αντιμετώπισης
- Χρήση VPN υπηρεσιών όταν πραγματοποιούμε σύνδεση σε ξένα Wi-Fi δίκτυα, ώστε να γίνεται κρυπτογράφηση των στοιχείων
- Συχνή αλλαγή κωδικών, ώστε σε περίπτωση που έχει διαρρεύσει κάποιος, να μην είναι πλέον ενεργός
- Επιλέξτε διαφορετικούς κωδικούς για κάθε ιστοσελίδα, ώστε αν αποκτήσει κάποιος έναν κωδικό να μην μπορέσει να έχει πρόσβαση σε όλους τους λογαριασμούς σας
- Two-factor authentication (2FA), ώστε να υπάρχει ένα επιπλέον επίπεδο ασφάλειας που θα προϋποθέτει μια έξτρα έγκριση για την είσοδο από διαφορετική συσκευή
Μύθος 4: “Αν τα αρχεία σας κρυπτογραφηθούν από ransomware, τα χάνετε για πάντα
Πραγματικότητα: “Είναι δυνατόν να ανακτήσετε τα αρχεία σας και σε ορισμένες περιπτώσεις είναι δυνατόν να τα επαναφέρετε χωρίς να χρειαστεί να πληρώσετε γι’ αυτά.
Οι επιθέσεις Ransomware είναι μία από τις πιο διαδεδομένες και καταστροφικές μορφές κυβερνοεπιθέσεων που αντιμετωπίζουμε σήμερα. Όταν ένας χρήστης “μολύνεται” από αυτόν τον ιό, του παρουσιάζεται μια οθόνη που τον ενημερώνει ότι όλα τα αρχεία στον σκληρό δίσκο ή τη συσκευή του έχουν κλειδωθεί και ότι πρέπει να πληρώσει λύτρα για να τα πάρει πίσω.
Η ανάκτηση δεδομένων σε τέτοιες περιπτώσεις απαιτεί πολύ λεπτούς χειρισμούς, ώστε να διασφαλιστεί ότι τα αρχεία στο δίσκο δεν έχουν αλλοιωθεί από την κρυπτογραφημένη κατάστασή τους και ότι τα αρχεία που πραγματικά υπάρχουν μπορούν να ανακτηθούν πλήρως μετά την καταβολή του ποσού.
Στο σημείο αυτό θα πρέπει να αναφερθεί ότι η καταβολή λύτρων αποτελεί έσχατη λύση και θα πρέπει να χρησιμοποιείται μόνο αφού έχουν αποτύχει όλα τα εναλλακτικά μέσα ανάκτησης των αρχείων του πελάτη. Ανάλογα με τον τύπο της κρυπτογράφησης που πραγματοποιείται, στο 10% των περιπτώσεων είναι δυνατή η πλήρης ανάκτηση δεδομένων σε σκληρούς δίσκους και διακομιστές χωρίς την καταβολή λύτρων.
Τέλος, όταν αντιμετωπίζονται τέτοιες απειλές, η όλη διαδικασία θα πρέπει να διεξάγεται από εξειδικευμένους τεχνικούς ασφάλειας στον κυβερνοχώρο και ανάκτησης δεδομένων με στόχο να ανακαλύψουν ποια είναι η ομάδα που βρίσκεται πίσω από την κυβερνοεπίθεση, ποιο είναι το προφίλ της και αν είναι συνεργάσιμη, προκειμένου να αναπτυχθεί η κατάλληλη στρατηγική αντιμέτρων Είναι ζωτικής σημασίας να γίνει αυτό. Δεν είναι ασυνήθιστο για οργανισμούς και εταιρείες που έχουν καταβάλει λύτρα σε χάκερς να μην καταφέρνουν να πάρουν πίσω τα αρχεία τους ή να χάσουν την επαφή με τους χάκερς λόγω της πίεσης της διαπραγμάτευσης μαζί τους.
Τρόποι αντιμετώπισης
Όπως συμβαίνει με τις περισσότερες ψηφιακές απειλές, η καλύτερη στρατηγική για την αντιμετώπιση του ransomware είναι η προληπτική προσέγγιση. Ως εκ τούτου, όλες οι επιχειρήσεις θα πρέπει να προστατεύουν τα δεδομένα τους με ισχυρές διαδικασίες προστασίας και ανάκτησης αρχείων, ειδικό λογισμικό και εκπαίδευση, όπως
- Υβριδικό Cloud Backup & Disaster Recovery
- Διαδικασίες ανάκτησης αρχείων σε περίπτωση καταστροφής
- Penetration Test (Έλεγχος Παρείσδυσης)
- Λογισμικό Antivirus με Security Operation Center
- Συμβόλαιο Ασφάλισης Κυβερνοεπιθέσεων (Cyber Security Insurance)
Μύθος 5: “Είμαι ασφαλής επειδή φέρνω τον προσωπικό μου φορητό υπολογιστή στο γραφείο.
Πραγματικότητα: “Οι προσωπικοί υπολογιστές αποτελούν ένα μεγάλο κενό ασφαλείας στο γραφείο”.
Καθώς η τεχνολογία διαπερνά όλες τις πτυχές της ζωής μας, συμπεριλαμβανομένης της τηλεργασίας, πολλοί εργαζόμενοι τείνουν να φέρνουν τις προσωπικές τους συσκευές στο γραφείο.
Στην πραγματικότητα, στην περίπτωση αυτή ισχύει το ακριβώς αντίθετο: η πρακτική αυτή καθιστά τις επιχειρήσεις πιο ευάλωτες. Συγκεκριμένα, στους προσωπικούς υπολογιστές, οι άνθρωποι είναι λιγότερο προσεκτικοί όταν περιηγούνται στο διαδίκτυο. Ως αποτέλεσμα, κατεβάζουμε χαλασμένα προγράμματα ή επισκεπτόμαστε κακόβουλους ιστότοπους.
Ως αποτέλεσμα, μπορεί να εγκατασταθεί στη συσκευή ένα “RAT“ που παρακολουθεί ό,τι κάνουμε. Επομένως, όταν αυτή η προσωπική συσκευή συνδεθεί στο δίκτυο της εταιρείας, μπορεί να αποκτήσει πρόσβαση στα συστήματα και τα δεδομένα της επιχείρησης.
Τρόποι αντιμετώπισης
Ως εκ τούτου, είναι σημαντικό όχι μόνο να κρατάτε τους προσωπικούς και τους εταιρικούς υπολογιστές χωριστά ανά πάσα στιγμή, αλλά και να χρησιμοποιείτε μόνο εξουσιοδοτημένα προγράμματα ελέγχου ταυτότητας στους εταιρικούς υπολογιστές για να αποφύγετε τη λήψη κακόβουλου λογισμικού.
Μύθος 6: “Τα πληροφοριακά μας συστήματα είναι τέλεια και δεν μπορούν να παραβιαστούν”.
Πραγματικότητα: “Δεν υπάρχει σύστημα που να μην έχει παραβιαστεί. Είναι απλώς θέμα χρόνου που χρειάζονται οι χάκερς για να εισβάλουν.
Τα τέλεια συστήματα ανήκουν στη σφαίρα της φαντασίας και του κινηματογράφου. Δεν υπάρχει τέλειο σύστημα, σύμφωνα με τα διάσημα λόγια του Dmitry Alperovich, αντιπροέδρου της McAffee: εταιρείες που έχουν υποστεί hacking και το γνωρίζουν, και εταιρείες που δεν το γνωρίζουν ακόμη.
Οι επιθέσεις στον κυβερνοχώρο είναι συχνές και εξελίσσονται συνεχώς, και αν δεν αναγνωρίσετε και δεν αντιμετωπίσετε τις αδυναμίες σας, θα μείνετε ευάλωτοι.
Για να είστε προετοιμασμένοι για κυβερνοεπιθέσεις, πρέπει να παραμείνετε προετοιμασμένοι, επανεξετάζοντας και βελτιώνοντας συνεχώς τα συστήματά σας. Ο στόχος είναι να θέσετε σε εφαρμογή πολλαπλά επίπεδα ασφάλειας, έτσι ώστε κάθε προσπάθεια ενός χάκερ να εισέλθει στα συστήματα μιας εταιρείας να είναι ασύμφορη από άποψη χρόνου και κόστους.
Σε αυτό το σημείο, πρέπει να σημειωθεί ότι δεν υπάρχει τέλειο σύστημα, οπότε αν οι χάκερς βάλουν στο στόχαστρο μια εταιρεία, είναι πιθανό να βρουν κάποια στιγμή ένα κενό ασφαλείας. Επομένως, είναι σημαντικό να υπάρχει ένα σχέδιο ετοιμότητας για την αντιμετώπιση τέτοιων ζητημάτων.
Τρόποι αντιμετώπισης
Εάν εσείς ή το τμήμα πληροφορικής σας πιστεύετε ότι τα συστήματά σας είναι τέλεια, μπορείτε να προσλάβετε μια εταιρεία δοκιμών διείσδυσης για να ελέγξει πόσο ασφαλή είναι στην πραγματικότητα. Ο έλεγχος διείσδυσης είναι, στην πραγματικότητα, μια υπηρεσία όπου προσλαμβάνετε χάκερς για να προσπαθήσουν να εισέλθουν στο σύστημά σας και να σας δείξουν πώς εισέβαλαν.
Ένας άλλος τρόπος αντιμετώπισης αυτού του προβλήματος είναι να εισαγάγετε έναν εφεδρικό κανόνα 3-2-1. Σύμφωνα με αυτόν τον κανόνα, θα πρέπει να έχουμε συνολικά τρία αντίγραφα (κατά προτίμηση διαφορετικές εκδόσεις) των αρχείων μας σε δύο διαφορετικά μέσα (π.χ. εφεδρικό αντίγραφο στο cloud και τοπικό σκληρό δίσκο), με το ένα αντίγραφο σε διαφορετική τοποθεσία από το άλλο εφεδρικό αντίγραφο (κατά προτίμηση σε USB flash drive ή εξωτερικό offline), όπως σε μονάδα flash USB ή εξωτερικό σκληρό δίσκο).
Είναι επίσης σημαντικό να αναπτύξετε και να εφαρμόσετε ένα αποτελεσματικό σχέδιο αποκατάστασης μετά από καταστροφή, ώστε οι λειτουργίες να μπορούν να αποκατασταθούν με όσο το δυνατόν λιγότερες δυσκολίες και χρόνο.
Μύθος 7: “Οι επιθέσεις γίνονται μόνο στο διαδίκτυο”.
Πραγματικότητα: “Οι διαρροές πληροφοριών στις μέρες μας μπορούν να προέλθουν από οποιοδήποτε κανάλι επικοινωνίας.
Η λογική ότι “οι επιθέσεις είναι μόνο κυβερνοεπιθέσεις” υποτιμά τη σοβαρότητα και το εύρος των επιθέσεων στον κυβερνοχώρο. Αυτό οφείλεται στο γεγονός ότι οι περισσότερες επιθέσεις δεν είναι μεμονωμένες, αλλά πολύπλοκες, πολυάριθμες και συνεχώς διαφοροποιούμενες.
Όσο παράξενο και αν φαίνεται σε πολλούς, πολλές διαδικτυακές απάτες δεν αφορούν το διαδίκτυο.
Φανταστείτε ένα σενάριο όπου λαμβάνετε ένα τηλεφώνημα από κάποιον που εμφανίζεται να εκπροσωπεί μια γνωστή εταιρεία κινητής τηλεφωνίας, σας ζητάει να συνάψετε νέο συμβόλαιο και σας ζητάει μερικά στοιχεία, όπως τον αριθμό ταυτότητας, τον αριθμό τηλεφώνου και τη διεύθυνση κατοικίας σας.
Λίγο αργότερα, λαμβάνετε ένα άλλο τηλεφώνημα, αυτή τη φορά από κάποιον άλλον, υποτίθεται από δημόσιο οργανισμό, που σας ζητά κάποια στοιχεία για να συμπληρώσετε μια έρευνα που διενεργούν, όπως το ΑΦΜ, τον αριθμό κοινωνικής ασφάλισης, το email σας κ.λπ.
Συνδυάζοντας αυτά τα στοιχεία που τους έχετε δώσει, τα προαναφερθέντα άτομα μπορούν, εν αγνοία σας, να διαπράξουν αμέτρητες απάτες στο όνομά σας.
Τρόποι αντιμετώπισης
Επομένως, το συμπέρασμα είναι ότι αν δεν γνωρίζετε ποιος είναι το άτομο, μην δίνετε ποτέ προσωπικά στοιχεία και να επαληθεύετε πάντα την ταυτότητά του.
Επιπλέον, κλείστε το τηλέφωνο και καλέστε ξανά στα κεντρικά γραφεία της εταιρείας για να επιβεβαιώσετε ότι το άτομο με το όνομα και τα στοιχεία του καλούντος εργάζεται για την εν λόγω εταιρεία και ζητήστε να σας συνδέσουν με αυτό το άτομο.
Μύθος 8: “Οι μηχανικοί είναι υπεύθυνοι για την ασφάλεια“.
Πραγματικότητα: “Τις περισσότερες φορές, οι τεχνικοί και οι μηχανικοί δεν γνωρίζουν από τι πρέπει να προστατευτούν”.
Μπορεί να υπάρχει κάποια αλήθεια σε αυτόν τον μύθο, αλλά εξαρτάται από το πώς αντιλαμβάνεται κανείς τον ρόλο του και την ποιότητα της εργασίας του. Σίγουρα, επιφανειακά, ένας εκπαιδευμένος τεχνικός σε μια εταιρεία μπορεί να είναι υπεύθυνος για την ασφάλεια στον κυβερνοχώρο.
Ωστόσο, η εμπειρία μας έχει αποδείξει ότι οι τεχνικοί που νομίζουν ότι γνωρίζουν τα πάντα δεν είναι καλοί τεχνικοί. Οι ψηφιακές απειλές εξελίσσονται τόσο γρήγορα που είναι σχεδόν αδύνατο για ένα άτομο να αποτρέψει όλες τις επιθέσεις, όσο καλός τεχνικός κι αν είναι.
Στόχος όλων των τεχνικών θα πρέπει να είναι ο συνεχής έλεγχος των συστημάτων και των διαδικασιών τους, ώστε να διασφαλίζεται η αποτελεσματική λειτουργία τους. Όσοι νομίζουν ότι είναι τέλειοι συνήθως δεν βελτιώνονται και αγνοούν τους κινδύνους.
Οι εταιρείες ασφάλειας στον κυβερνοχώρο ξεκινούν με δοκιμές διείσδυσης (δοκιμές ευπάθειας), οι οποίες συχνά αποκαλύπτουν ευπάθειες που θα μπορούσαν να αποβούν μοιραίες αν τις εκμεταλλευτούν οι χάκερ.
Τρόποι αντιμετώπισης
Οι επιχειρήσεις και οι τεχνικοί τους δεν θα πρέπει να αισθάνονται ότι απειλούνται από εξωτερικούς συμβούλους ασφάλειας στον κυβερνοχώρο. Αντίθετα, θα πρέπει να το βλέπουν ως μια ευκαιρία να βελτιώσουν τα συστήματά τους μέσω συνεχών δοκιμών και αναφοράς τυχόν ευπαθειών ασφαλείας που μπορεί να υπάρχουν.
Μύθος 9: “Δεν χρειάζομαι έλεγχο του συστήματος ή εκπαίδευση”.
Πραγματικότητα: “Πάρα πολλές επιθέσεις στον κυβερνοχώρο θα μπορούσαν να είχαν αποτραπεί εάν το προσωπικό είχε εκπαιδευτεί και είχε υποβληθεί σε έλεγχο διείσδυσης”.
Το Διαδίκτυο αλλάζει συνεχώς και νέες απειλές και κίνδυνοι αναδύονται συνεχώς. Χωρίς τον ανθρώπινο έλεγχο των συστημάτων και την ανάγκη αναγνώρισης των νέων απειλών, οι εταιρείες θα είναι ευάλωτες σε επιθέσεις με καταστροφικές συνέπειες.
Η ολοκληρωμένη κατάρτιση των εργαζομένων όλων των εταιρειών θα πρέπει να αποτελεί κορυφαία προτεραιότητα το 2023. Και αυτό γιατί έρευνες έχουν δείξει ότι σχεδόν πάντα ο απλός υπάλληλος είναι αυτός που κάνει το λάθος να επιτρέψει σε ένα κακόβουλο πρόγραμμα να εισέλθει στα συστήματα μιας εταιρείας, που πατάει το λάθος κουμπί και κατεβάζει το αρχείο στο ηλεκτρονικό του ταχυδρομείο.
Ακόμα και με τα καλύτερα εργαλεία και διαδικασίες, αυτή η μικρή ανθρώπινη απροσεξία μπορεί να ανοίξει την πόρτα σε μια εισβολή στο σύστημα. Συγκεκριμένα, ο Michael Migos δηλώνει: “Όταν συμβαίνει παραβίαση πληροφοριών σε μια εταιρεία ή έναν οργανισμό, συχνά ακούτε τον υπεύθυνο να κατηγορεί τον υπάλληλο που έκανε κλικ σε έναν κακόβουλο σύνδεσμο ή άνοιξε ένα κακόβουλο αρχείο. Εκεί η ευθύνη δεν βαραίνει τον εργαζόμενο, αλλά τους υπεύθυνους για την αποτυχία εκπαίδευσης και ελέγχου των χρηστών”.
Τρόποι αντιμετώπισης
Η εκπαίδευση του προσωπικού για την αναγνώριση και την πρόληψη των απειλών και την ορθή αντίδραση σε περίπτωση παραβίασης της ασφάλειας είναι ζωτικής σημασίας για την αποφυγή τέτοιων λαθών. Πράγματι, είναι εξίσου σημαντικό να δοκιμάζονται τακτικά οι διαδικασίες (π.χ. με τη χρήση ψεύτικων συνδέσμων ψαρέματος) προκειμένου να ελέγχεται το επίπεδο και ο βαθμός ετοιμότητας κάθε εταιρείας.
Πόσο μεγάλο ρίσκο αναλαμβάνουμε ως χρήστες ή ως εταιρεία;
Η ασφάλεια στον κυβερνοχώρο πρέπει να αποτελεί προτεραιότητα για κάθε εταιρεία, ανεξαρτήτως μεγέθους ή κλάδου, που θέλει να προστατεύσει τα δεδομένα, τη φήμη και την εμπιστοσύνη της στον ψηφιακό κόσμο. Η Ευρωπαϊκή Ένωση (ΕΕ) ασχολείται ενεργά με το θέμα αυτό και έχει δημοσιεύσει νέους κανόνες για την ενίσχυσή του.
Ευτυχώς ή δυστυχώς, το διαδίκτυο έχει διεισδύσει σε κάθε πτυχή της ζωής μας και η εκθετική ανάπτυξη της τεχνολογίας ενισχύεται με ευκαιρίες και κινδύνους για την ασφάλεια των δεδομένων και την προστασία της ιδιωτικής ζωής.
Η αδιαμφισβήτητη αλήθεια είναι ότι καμία εταιρεία ή χρήστης δεν μπορεί να είναι σίγουρος ότι δεν θα αντιμετωπίσει τέτοιες πιθανές απειλές κάποια στιγμή στη ζωή του, γι’ αυτό και η σωστή ευαισθητοποίηση και εκπαίδευση είναι πιο αναγκαία από ποτέ.
Πηγή: newsbomb.gr
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.