Οι εταιρείες στην Ελλάδα δυστυχώς δεν επενδύουν στη διαδικτυακή τους ασφάλεια, καθώς δεν υφίσταται ακόμα η κουλτούρα και η γνώση γύρω από τους κινδύνους που αντιμετωπίζουν.
Τα ποσά που δαπανώνται στη χώρα μας στο cyber security είναι ελάχιστα με αποτέλεσμα να υπάρχει μεγάλο κενό στην ασφάλεια των επιχειρήσεων, που τις κάνει εξαιρετικά ευάλωτες σε κυβερνοεγκληματίες.
Καθημερινά έρχονται στην εταιρεία μου GRISS, επιχειρήσεις που έχουν δεχτεί επίθεση και έχουν χάσει χρήματα ή τους έχουν κλειδώσει τα συστήματά τους ή τους έχουν κλέψει δεδομένα. Κάθε επιχείρηση πλέον επιβάλλεται βάσει του ρίσκου που διατρέχει να έχει πολιτική ασφαλείας.
Όσοι δεν επενδύουν στο cyber security και δεν κάνουν ενημέρωση στο προσωπικό και τα στελέχη τους κάποια στιγμή θα βρεθούν αντιμέτωποι με μία επίθεση που μπορεί να τους κοστίσει πολύ ακριβά σε σχέση με τη δημιουργία ενός συστήματος ασφάλειας.
Τι πρέπει να προσέχουν οι επιχειρήσεις:
Δεν επιτρέπεται στις εταιρείες να χρησιμοποιούν στικάκια καθώς υπάρχουν πολλές πιθανότητες να πέσουν θύμα hackers. Τα στικάκια είναι πλέον απαγορευτικά για τις επιχειρήσεις. Υπάρχει ειδικός σχεδιασμός για να μπορούν οι επιχειρήσεις να διακινούν μεταξύ τους πληροφορίες και μεγάλα σε μέγεθος αρχεία με την απαραίτητη ασφάλεια μέσω συστημάτων cloud.
Είναι αδιανόητο για την ασφάλεια μίας εταιρείας να επιτρέπεται στους εργαζόμενους να μπαίνουν σε μέσα κοινωνικής δικτύωσης μέσω του ηλεκτρονικού υπολογιστή. Οι περισσότεροι κακόβουλοι ιοί εισέρχονται στα συστήματα των εταιρειών μέσα από τα social media.
Όποιος υπάλληλος θέλει να χρησιμοποιεί τα μέσα κοινωνικής δικτύωσης μπορεί να το κάνει από το κινητό του, ωστόσο είναι απαγορευτικό να το κάνει από τα μηχανήματα της εταιρείας του. Μεγάλες εταιρείες επίσης στην Ελλάδα λειτουργούν χωρίς την εφαρμογή του συστήματος SOC.
Security Operations Center (SOC)
Το σύστημα αυτό παρέχει 24ωρο έλεγχο και επιτήρηση στην εκάστοτε επιχείρηση. Πρόκειται για ένα πρόγραμμα το οποίο εγκαθιστούμε σε όλες τις επιχειρήσεις με τις οποίες συνεργαζόμαστε και το οποίο ανιχνεύει τις επιθέσεις και ειδοποιεί αυτόματα.
Πολλές φορές επίσης μας βοηθάει να ενημερώσουμε την εταιρεία ακόμα και πριν δεχθεί επίθεση.
Οι συνηθέστεροι τύποι επιθέσεων στην Ελλάδα Στην Ελλάδα οι επιθέσεις που συνήθως συναντάμε είναι:
Ransomware: Εμείς βλέπουμε καθημερινά επιχειρήσεις που δέχονται επιθέσεις ransomware. Ξαφνικά ο επιχειρηματίας συνειδητοποιεί ότι έχουν κρυπτογραφηθεί τα συστήματά του και οι κυβερνοεγκληματίες απαιτούν από εκείνον την πληρωμή λύτρων.
Εν προκειμένω αρχίζει μία διαπραγμάτευση, την οποία αναλαμβάνει η εταιρεία μου GRISS η οποία πρέπει να γίνει σε σωστή βάση ώστε το πρόβλημα του επιχειρηματία με την αποστολή του «κλειδιού» από τους crackers να λυθεί άμεσα και να μπορέσει να ξαναθέσει σε πλήρη λειτουργία τις εργασίες του.
Στη δική μου εταιρεία μέσα στο τελευταίο εξάμηνο έχουν στραφεί αρκετές επιχειρήσεις που έχουν πέσει θύματα τέτοιων επιθέσεων.
Η σωστή αντιμετώπιση των υποθέσεων αυτών έχει οδηγήσει στο να ξεκλειδώσουν τα συστήματα των εταιρειών. Στατιστικά πάντως οδηγούμαστε στο συμπέρασμα ότι υπάρχουν εκατοντάδες καταγγελίες με τέτοιες υποθέσεις.
Αυτό που πρέπει να ξέρουν οι εταιρείες είναι ο κώδικας και εννοώ την κρυπτογράφηση που βάζουν οι κακοποιοί για να κλειδώσουν τα εταιρικά συστήματα ότι δεν σπάει. Και δυστυχώς οι κακοποιοί εισέρχονται επειδή δεν υπάρχει πολιτική ασφάλειας στις περισσότερες εταιρείες. Οι κυβερνοεγκληματίες βρίσκουν κενά ασφαλείας και εισέρχονται στα συστήματα των επιχειρήσεων.
Man in the middle: Η επίθεση man in the middle είναι ένας τρόπος παραβίασης της ασφαλείας των δικτύων. Ο cracker έχει διεισδύσει πάλι λόγω των κενών ασφαλείας στην επικοινωνία μεταξύ δύο μερών της επιχείρησης. Παρακολουθεί όλη την επικοινωνία στους κεντρικούς server, του διευθύνοντα συμβούλου, του προέδρου, του CFO, των στελεχών κ.ο.κ. και περιμένει την κατάλληλη στιγμή για να «χτυπήσει».
Μόλις υπάρχει λοιπόν επικοινωνία για χρήματα επεμβαίνει με ένα email που δήθεν στέλνεται από τον CFO και οδηγεί τα χρήματα στο λογαριασμό που θέλει. Με αυτό τον τρόπο έχουν χάσει εκατοντάδες χιλιάδες ευρώ επιχειρήσεις στην Ελλάδα, ενώ καθημερινά φτάνουν στο γραφείο μας περιπτώσεις με ποσά των 50.000-100.000 ευρώ.
Η μεγαλύτερη υπόθεση που διαχειρίστηκα ήταν μία μεγάλη εταιρεία στην Ελλάδα η οποία έχασε με αυτό τον τρόπο 6 εκατομμύρια ευρώ.
Σε μία άλλη περίπτωση ένας επιχειρηματίας αγόρασε ένα πολυτελές αμάξι και με την απάτη man in the middle του έκλεψαν 500.000 ευρώ. Επειδή οι απάτες αυτές αυξάνονται έχουμε αναπτύξει ένα εξειδικευμένο νομικό τμήμα, μέσω του οποίου ο επιχειρηματίας μπορεί να διεκδικήσει τα χρήματά του από το τραπεζικό δίκτυο, διότι εντοπίζονται παραλείψεις σε διάφορα τραπεζικά ιδρύματα ανά τον κόσμο.
Στις περιπτώσεις αυτές το 40% των υποθέσεων που διαχειριζόμαστε στην εταιρεία μας GRISS τα χρήματα επιστρέφονται καθώς υπάρχουν όπως προανέφερα από την πλευρά των τραπεζών λάθη και παραλείψεις όπου εξειδικευμένοι Νομικοί και οικονομολόγοι τα εντοπίζουν αναγκάζοντας σε αποζημιώσεις των θυμάτων.
