Επικίνδυνη ψευδαίσθηση ασφάλειας αποδεικνύεται η πληρωμή λύτρων σε επιθέσεις ransomware, καθώς 7 στις 10 επιχειρήσεις που υποκύπτουν στους εκβιαστές δέχονται δεύτερη επίθεση μέσα σε έξι μήνες. Τα στοιχεία που παρουσίασε ο Ιωάννης Αλεξάκης της Εθνικής Αρχής Κυβερνοασφάλειας αναδεικνύουν το πραγματικό κόστος της αδράνειας σε μέτρα προστασίας.
Η πληρωμή λύτρων σε επιθέσεις ransomware όχι μόνο δεν λύνει το πρόβλημα, αλλά μετατρέπει τις επιχειρήσεις σε «εύκολους στόχους» για νέα χτυπήματα. Σύμφωνα με στοιχεία που παρουσίασε ο Ιωάννης Αλεξάκης, Προϊστάμενος Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού της Εθνικής Αρχής Κυβερνοασφάλειας, στο Information Security Conference της Boussias, το 70% των οργανισμών που πληρώνουν λύτρα δέχονται δεύτερη επίθεση εντός έξι μηνών, συχνά από τον ίδιο δράστη.
Το πραγματικό κόστος των κυβερνοεπιθέσεων
Ο κ. Αλεξάκης υπογράμμισε ότι το κόστος επένδυσης σε μέτρα κυβερνοασφάλειας είναι άμεσο και ορατό, σε αντίθεση με το κόστος μιας επιτυχημένης κυβερνοεπίθεσης, το οποίο αποκαλύπτεται μόνο όταν το περιστατικό εκδηλωθεί. Η επιλογή πληρωμής λύτρων, τόνισε, «δεν διασφαλίζει την προστασία· αντιθέτως, ενδέχεται να εντάξει τον οργανισμό σε έναν φαύλο κύκλο στοχοποίησης», καθώς οι επιτιθέμενοι αντιλαμβάνονται ότι έχουν απέναντί τους έναν οργανισμό διατεθειμένο να πληρώσει.
Ανησυχητικά είναι και τα στοιχεία για τον επιχειρησιακό χρόνο αντίδρασης. Ο μέσος χρόνος που απαιτείται για να αντιληφθεί ένας οργανισμός ότι έχει υποστεί κυβερνοεπίθεση παραμένει από το 2017 πάνω από έξι μήνες. Ο χρόνος περιορισμού ενός περιστατικού παραβίασης δεδομένων υπερβαίνει τους δύο μήνες, ενώ η πλήρης αποκατάσταση επιτυγχάνεται σε ελάχιστες περιπτώσεις. Μόλις περίπου 6% έως 7% των πληγέντων οργανισμών καταφέρνουν ουσιαστική ανάκαμψη εντός δύο μηνών.
Η ευρωπαϊκή ρυθμιστική πίεση και οι επιχειρήσεις
Στο ευρύτερο πλαίσιο, ο κ. Αλεξάκης ανέδειξε τον ρόλο της Ευρωπαϊκής Ένωσης ως ενός από τους τέσσερις βασικούς παγκόσμιους παίκτες στη διαχείριση της κυβερνοασφάλειας. Η ΕΕ έχει υιοθετήσει μια ολοκληρωμένη στρατηγική που στηρίζεται στους πυλώνες πρόληψης (prevent), ανίχνευσης (detect), απόκρισης (respond) και αποτροπής (deter). Το ρυθμιστικό πλαίσιο, όπως σημείωσε, δεν περιορίζεται στην οδηγία NIS2, αλλά περιλαμβάνει πλέγμα κανονισμών και οδηγιών που επηρεάζουν άμεσα ή έμμεσα την κυβερνοασφάλεια.
Η αυξημένη ρυθμιστική παραγωγή δημιουργεί μια νέα πραγματικότητα για τις επιχειρήσεις, ιδίως για όσες δραστηριοποιούνται σε περισσότερα του ενός κράτη-μέλη, καθώς καλούνται να διαχειριστούν πολυεπίπεδες υποχρεώσεις συμμόρφωσης. Η κυβερνοασφάλεια, όπως τόνισε, δεν είναι πια στενά τεχνικό ζήτημα, αλλά «οριζόντιο, διεπιστημονικό αντικείμενο που επηρεάζει τη στρατηγική, τη διακυβέρνηση, τη νομική συμμόρφωση και τη βιωσιμότητα των οργανισμών».
Στρατηγική επιλογή: πρόληψη ή βέβαιο ρίσκο
Το κρίσιμο δίλημμα για τις επιχειρήσεις, σύμφωνα με τον κ. Αλεξάκη, δεν είναι αν θα επενδύσουν στην κυβερνοασφάλεια, αλλά πότε και με ποιο κόστος: το προβλέψιμο, συγκριτικά χαμηλότερο κόστος πρόληψης ή το απρόβλεπτο και πολλαπλάσιο κόστος μιας επιτυχημένης επίθεσης, που μπορεί να πλήξει έσοδα, φήμη, νομική θέση και επιχειρησιακή συνέχεια. Η έγκαιρη προσαρμογή στο νέο κανονιστικό και επιχειρησιακό περιβάλλον αναδεικνύεται σε κρίσιμο παράγοντα ανθεκτικότητας και ανταγωνιστικότητας στη σύγχρονη ψηφιακή οικονομία.
Σχόλιο 
: Τα στοιχεία που παρουσιάστηκαν επιβεβαιώνουν ότι η λογική «πληρώνω για να τελειώνω» είναι στρατηγικά καταστροφική: οι επιχειρήσεις που δεν επενδύουν εγκαίρως σε δομημένη κυβερνοασφάλεια, διακυβέρνηση κινδύνων και συμμόρφωση, ουσιαστικά στοιχηματίζουν την ίδια τους τη συνέχεια σε ένα περιβάλλον όπου οι επιθέσεις γίνονται πιο συχνές, πιο σύνθετες και πιο ακριβές.
#κυβερνοασφάλεια #επιχειρήσεις #ransomware #ΕΕ
