Η πληρωμή λύτρων μετά από επίθεση ransomware όχι μόνο δεν προστατεύει, αλλά αυξάνει δραματικά την πιθανότητα νέου χτυπήματος, προειδοποιεί η Εθνική Αρχή Κυβερνοασφάλειας. Τα στοιχεία δείχνουν ότι η έλλειψη έγκαιρης ανίχνευσης και η αργή αποκατάσταση υπονομεύουν την ανθεκτικότητα των οργανισμών στη ψηφιακή οικονομία.
Η εκρηκτική άνοδος των επιθέσεων ransomware μετατρέπει την κυβερνοασφάλεια σε κρίσιμο ζήτημα επιχειρησιακής συνέχειας και οικονομικού ρίσκου για επιχειρήσεις και οργανισμούς. Μιλώντας στο Information Security Conference της Boussias, ο Ιωάννης Αλεξάκης, Προϊστάμενος Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού στην Εθνική Αρχή Κυβερνοασφάλειας, έστειλε σαφές μήνυμα: η πληρωμή λύτρων δεν αποτελεί λύση, αλλά παράγοντα επιδείνωσης του προβλήματος.
Ransomware: Ο φαύλος κύκλος της πληρωμής λύτρων
Σύμφωνα με τα στοιχεία που παρουσίασε ο κ. Αλεξάκης, το 70% των οργανισμών που πέφτουν θύματα επίθεσης ransomware και επιλέγουν να πληρώσουν τα ζητούμενα λύτρα, δέχονται νέα επίθεση εντός έξι μηνών, συχνά από τον ίδιο δράστη. «Η πληρωμή δεν διασφαλίζει την προστασία· αντιθέτως, ενδέχεται να εντάξει τον οργανισμό σε έναν φαύλο κύκλο στοχοποίησης», υπογράμμισε.
Η εικόνα αυτή αναδεικνύει ένα επικίνδυνο κίνητρο για τους κυβερνοεγκληματίες: οι οργανισμοί που πληρώνουν καταγράφονται άτυπα ως «πρόθυμοι πελάτες», αυξάνοντας τη διάθεση των επιτιθέμενων να τους ξαναχτυπήσουν ή να μεταπωλήσουν τα στοιχεία τους σε άλλα εγκληματικά δίκτυα. Το οικονομικό κόστος δεν περιορίζεται στο ποσό των λύτρων, αλλά επεκτείνεται σε διακοπή λειτουργίας, απώλεια δεδομένων, φθορά φήμης και πιθανές νομικές συνέπειες.
Καθυστερημένη ανίχνευση, αργή αποκατάσταση
Ακόμη πιο ανησυχητικό είναι ότι, όπως τόνισε ο κ. Αλεξάκης, ο μέσος χρόνος που απαιτείται για να αντιληφθεί ένας οργανισμός ότι έχει υποστεί κυβερνοεπίθεση παραμένει αμετάβλητος από το 2017. Η διαπίστωση της παραβίασης ξεπερνά κατά μέσο όρο τους έξι μήνες, ενώ ο χρόνος περιορισμού (containment) ενός περιστατικού υπερβαίνει τους δύο μήνες.
Η πλήρης αποκατάσταση (total recovery) επιτυγχάνεται σε ελάχιστες περιπτώσεις. Μόλις περίπου το 6% με 7% των οργανισμών που έχουν πληγεί καταφέρνουν ουσιαστικά να επανέλθουν εντός δύο μηνών. Τα στοιχεία αυτά καταδεικνύουν ότι η επιχειρησιακή ανθεκτικότητα στη χώρα –και ευρύτερα στην Ευρώπη– παραμένει ανεπαρκής απέναντι στη δυναμική και τη συχνότητα των κυβερνοαπειλών.
Η ευρωπαϊκή ρυθμιστική πίεση και οι νέες υποχρεώσεις
Ο κ. Αλεξάκης στάθηκε ιδιαίτερα στον ρόλο της Ευρωπαϊκής Ένωσης, η οποία, όπως είπε, αποτελεί έναν από τους τέσσερις βασικούς παγκόσμιους παίκτες στη διαχείριση της κυβερνοασφάλειας, υιοθετώντας μια ολοκληρωμένη στρατηγική γύρω από τους πυλώνες «prevent – detect – respond – deter».
Τόνισε ότι το ρυθμιστικό πλαίσιο δεν εξαντλείται στην Οδηγία NIS2, αλλά περιλαμβάνει πλέον πληθώρα κανονισμών και οδηγιών που επηρεάζουν άμεσα ή έμμεσα την κυβερνοασφάλεια. Η έντονη ρυθμιστική παραγωγή δημιουργεί μια νέα πραγματικότητα για τις επιχειρήσεις, ιδίως για όσες δραστηριοποιούνται σε περισσότερα από ένα κράτη-μέλη, αυξάνοντας τις απαιτήσεις συμμόρφωσης, διακυβέρνησης και τεκμηρίωσης.
Από τεχνικό ζήτημα σε στρατηγικό πυλώνα βιωσιμότητας
Κομβικό σημείο της παρέμβασης ήταν η διαπίστωση ότι η κυβερνοασφάλεια δεν είναι πλέον στενά τεχνικό αντικείμενο. «Είναι οριζόντιο, διεπιστημονικό αντικείμενο που επηρεάζει τη στρατηγική, τη διακυβέρνηση, τη νομική συμμόρφωση και τη βιωσιμότητα των οργανισμών», ανέφερε. Το πραγματικό δίλημμα για τις διοικήσεις δεν είναι αν θα επενδύσουν στην κυβερνοασφάλεια, αλλά πότε και με ποιο κόστος: το προβλέψιμο, μετρήσιμο κόστος πρόληψης ή το απρόβλεπτο και πολλαπλάσιο κόστος μιας σοβαρής επίθεσης.
Η έγκαιρη προσαρμογή στο νέο κανονιστικό και επιχειρησιακό περιβάλλον αναδεικνύεται, κατά τον κ. Αλεξάκη, σε κρίσιμο παράγοντα ανθεκτικότητας και ανταγωνιστικότητας στη σύγχρονη ψηφιακή οικονομία, όπου κάθε διακοπή λειτουργίας μεταφράζεται άμεσα σε οικονομική ζημία και απώλεια εμπιστοσύνης.
Σχόλιο 
: Η παρέμβαση της Εθνικής Αρχής Κυβερνοασφάλειας λειτουργεί ως σαφής προειδοποίηση προς τις διοικήσεις: η λογική του «πληρώνω για να τελειώνω» σε επιθέσεις ransomware είναι οικονομικά, επιχειρησιακά και στρατηγικά αυτοκαταστροφική. Σε περιβάλλον αυξημένης ευρωπαϊκής ρύθμισης, η μη επένδυση σε πρόληψη και ανθεκτικότητα δεν αποτελεί εξοικονόμηση, αλλά συσσώρευση κρυφού ρίσκου που αργά ή γρήγορα θα αποτυπωθεί σε ισολογισμούς και φήμη.
#κυβερνοασφάλεια #ransomware #επιχειρήσεις #ΕΕ
