Το πρόσφατο περιστατικό κυβερνοεπίθεσης στην Τράπεζα Θεμάτων αποτελεί ένα από τα δεκάδες περιστατικά που καταγράφονται κάθε χρόνο πολλά από τα οποία δεν βλέπουν το φως της δημοσιότητας, παρά μόνο εάν πρόκειται για μεγάλους οργανισμούς ή επιχειρήσεις.
Παρόμοια περιστατικά που έλαβαν δημοσιότητα ήταν αυτό της κυβερνοεπίθεσης στα ΕΛΤΑ και στην ΔΕΣΦΑ το 2022 στα Ελληνικά Αμυντικά Συστήματα, αλλά και η περίπτωση επίθεσης σε μεγάλη εισηγμένη εταιρεία τροφίμων και σε μια μεγάλη τεχνική εταιρεία που συνέβησαν στο πρόσφατο παρελθόν αλλά έγιναν λιγότερο γνωστά.
Σύμφωνα με τα επίσημα στοιχεία της Ένωσης Ασφαλιστικών Εταιρειών Ελλάδος (ΕΑΕΕ) τα περιστατικά κυβερνοεπίθεσης σε ελληνικές επιχειρήσεις που ήταν ασφαλισμένες το 2021 ανήλθαν σε 26 σε σύνολο 707 επιχειρήσεων που διέθεταν ασφαλιστική κάλυψη IT-cyber (για το 2022 δεν υπάρχουν ακόμη επίσημη καταγραφή). Πρόκειται όμως για μικρό μέρος του πραγματικού αριθμού των κυβερνοεπιθέσεων που έλαβε χώρα και καταγράφηκε. Αυτό γιατί η συντριπτική πλειοψηφία των ελληνικών επιχειρήσεων είναι ανασφάλιστες έναντι του cyber risk. Σύμφωνα με το μέλος της Επιτροπής Αστικής Ευθύνης της ΕΑΕΕ Κώστα Βούλγαρη ο αριθμός των ασφαλισμένων επιχειρήσεων το 2022 δεν ξεπέρασε τις 1.000 περίπου και αφορούν ένα πολύ μικρό ποσοστό της αγοράς. Το ποσοστό των ασφαλισμένων επιχειρήσεων κρίνεται πενιχρό και σύμφωνα με τον κ. Βούλγαρη «αποδίδεται στην χαμηλή ασφαλιστική συνείδηση που χαρακτηρίζει την ελληνική κοινωνία και την επιχειρηματικότητα στην χώρα».
Οι κυβερνοεπιθέσεις αποτελούν έναν από τους ταχύτερα αναπτυσσόμενους κινδύνους παγκοσμίως με ζημιές που σύμφωνα με τις εκτιμήσεις της Cybersecurity Ventures θα φτάσουν τα 10,5 τρισ. δολλάρια το 2025 με συνέπεια οι ειδικοί να συγκρίνουν τον τζίρο αυτής της σύγχρονης απειλής με τα έσοδα από παράνομες δραστηριότητες, όπως αυτός των ναρκωτικών. Η Munich Re ανεβάζει τα ασφάλιστρα για την κάλυψη των απειλών στον κυβερνοχώρο παγκοσμίως σε 9,2 δισ. δολάρια ΗΠΑ (αρχές 2022) και εκτιμά ότι θα φτάσουν σε αξία περίπου 22 δισ. δολάρια μέχρι το 2025. Το τοπίο των απειλών το 2022 έχει επίκεντρο τους εκβιασμούς στον κυβερνοχώρο (ransomware), τις αλυσίδες εφοδιασμού και κρίσιμες υποδομές.
Οι αδύναμοι κρίκοι
Σύμφωνα με τον κ. Βούλγαρη στόχος επίδοξων hackers δεν είναι μόνο μεγάλοι κρατικοί οργανισμοί ή μεγάλες ιδιωτικές επιχειρήσεις, αλλά και μικρές επιχειρήσεις, όπως μικρές τουριστικές μονάδες ή ακόμη και ελεύθεροι επαγγελματίες, όπως γιατροί και λογιστές, που διατηρούν στην βάση δεδομένων τους ευαίσθητα προσωπικά δεδομένα των πελατών τους. Κοινός παρονομαστής των επιθέσεων είναι συνήθως ο εκβιασμός για λίτρα και έναντι αυτής της απειλής σύμφωνα με τον κ. Βούλγαρη «κανείς δεν είναι στο απυρόβλητο». Μεταξύ των επιχειρήσεων που είναι ευάλωτοι, εκτός από τους μεγάλους χρηματοοικονομικούς οργανισμούς όπως οι τράπεζες ή οι επιχειρήσεις υποδομών η πλειοψηφία των οποίων είναι ασφαλισμένες, είναι οι ξενοδοχειακές μονάδες, που συναλλάσσονται με κατοίκους του εξωτερικού και οι οποίοι είναι ευαίσθητοι και πιο «υποψιασμένοι» σε θέματα προστασίας προσωπικών δεδομένων. Στο στόχαστρο δεν είναι μόνοι στοιχεία οικονομικού περιεχομένου, όπως τα δεδομένα των καρτών για πληρωμές στο διαδίκτυο ή σε φυσικά καταστήματα, αλλά και δεδομένα υγείας. Χαρακτηριστικό παράδειγμα θα μπορούσε να αποτελέσει μια μικρή ξενοδοχειακή μονάδα που προσφέρει υπηρεσίες wellness όπως spa, για την χρήση των οποίων ο επισκέπτης συμπληρώνει ένα μικρό ιατρικό ενημερωτικό. Αντίστοιχα οι γιατροί ή οι δικηγόροι μπορούν να αποτελέσουν στόχο για την πρόσβαση στα προσωπικά δεδομένα πελατών τους με απώτερο στόχο τον εκβιασμό επώνυμων πελατών, αλλά και οι λογιστές που έχουν πρόσβαση στα οικονομικά στοιχεία των πελατών τους, τηρώντας μάλιστα και κωδικούς εισόδου σε βάσεις δεδομένων της κρατικής φορολογικής αρχής.
«Η μικρή επιχείρηση είναι πιο ευάλωτη γιατί εύλογα έχει πιο περιορισμένα μέσα προστασίας των δεδομένων και των υποδομών της», υπογραμμίζει ο κ. Βούλγαρης. Η ζημιά που θα προκληθεί σε ένα μικρό ξενοδοχείο που τα συστήματά του θα χτυπηθούν και θα μείνει κλειστό για 2 εβδομάδες μπορεί να έχει πολλαπλάσια επίπτωση από αυτή που θα προκληθεί σε έναν μεγάλο όμιλο που μπορεί να αποκαταστήσει την ζημιά σε μικρό διάστημα για τον προφανή λόγο ότι, για μια μικρή επιχείρηση η απώλεια εσόδων που θα επιφέρει, μπορεί να είναι μη αναστρέψιμη.
Η πλειοψηφία των περιστατικών που έχουν καταγραφεί στην ελληνική αγορά έληξε χωρίς την πληρωμή ιδιαίτερα μεγάλων ποσών για λύτρα, χωρίς ωστόσο όπως εξηγεί ο κ. Βούλγαρης να παραγνωρίζεται το γεγονός ότι «πολλοί μεταξύ των hackers μπορεί να το κάνουν απλώς για να αποδείξουν ότι μπορούν, κάτι ως τρόπαιο». Πολλές φορές οι επιθέσεις δεν είναι τόσο στοχευμένες και δεν είναι λίγες οι περιπτώσεις στις οποίες οι hackers ανακαλύπτουν ένα κενό ασφαλείας σε ένα πρόγραμμα και «χτυπούν» όποια εταιρεία έχει στα συστήματά της αυτό το πρόγραμμα. Η υπόθεση με το WannaCry που ήταν μια από τις μεγαλύτερες επιθέσεις στην Ευρώπη το 2017 ήταν απλώς ένα κενό ασφαλείας που επηρέασε 250.000 επιχειρήσεις, από τράπεζες έως το εθνικό σύστημα υγείας της Αγγλίας NHS (National Health Service), χωρίς να γίνει διάκριση. Οι τυφλές επιθέσεις είναι αρκετά συνηθισμένες εκδηλώνονται ακτιβισμού, δηλαδή κάποια εταιρεία να έχει κάνει κάτι και για αυτό να αποτελέσει στόχο.
Η διεθνής εμπειρία
Οι επιχειρήσεις ransomware «προσελκύουν» όλο και περισσότερους κυβερνο-εγκληματίες και σύμφωνα με στοιχεία της Chainalysis το 2021 οι εκβιαστές έλαβαν λύτρα κατά μέσο όρο 118.000 δολάρια ΗΠΑ ανά επιτυχημένη επίθεση (σε σύγκριση με 88.000 δολάρια ΗΠΑ το 2020). Μόνο η CNA Financial πλήρωσε ένα ποσό ρεκόρ 40 εκατομμυρίων δολαρίων σε μέλη της ομάδας χάκερ «Phoenix». Σύμφωνα με την Cybersecurity Ventures, μια επίθεση ransomware συνέβαινε κάθε 11 δευτερόλεπτα το 2021 και το ransomware θα παραμείνει η κύρια πηγή ζημιών το 2023. Οι αριθμοί είναι σημαντικοί. Σύμφωνα με την Cybersecurity Ventures, το ransomware θα κοστίζει στα θύματά του περίπου 265 δισεκατομμύρια δολάρια ΗΠΑ ετησίως έως το 2031. Η κατάσταση γίνεται πιο ανησυχητική από ορισμένες αναδυόμενες τάσεις, καθώς οι ειδικοί μας βλέπουν μια τάση προς την καταστροφή δεδομένων, την προσποίηση της κλοπής δεδομένων ως νέα επιτυχημένη μορφή εκβιασμού και τη συγκέντρωση επιθέσεων ransomware στην υποδομή cloud.
Από τις αρχές του 2020 έως τις 31 Μαρτίου 2023, η ομάδα του Munich Re Data Analytics παρατήρησε ότι το ransomware ήταν, μακράν, η κύρια αιτία απωλειών στον κυβερνοχώρο. Ενώ οι επιχειρηματικές και επαγγελματικές υπηρεσίες ήταν ο κλάδος με τον υψηλότερο αριθμό συνολικών αξιώσεων, ο οικονομικός αντίκτυπος από την απώλεια αγοράς ήταν μεγαλύτερος στον χρηματοοικονομικό κλάδο.
Εκτεταμένες ήταν επίσης οι επιθέσεις στην εφοδιαστική αλυσίδα και σύμφωνα με τον ENISA, ο αριθμός των επιθέσεων στην αλυσίδα εφοδιασμού τετραπλασιάστηκε το 2021 σε σύγκριση με το 2020, ενώ οι ψηφιακές επιθέσεις σε παρόχους ενέργειας, παρόχους τροφίμων, νοσοκομεία, διοικητικούς φορείς και άλλους τομείς υποδομής ζωτικής σημασίας κορυφώθηκαν το 2021-2022. Η εφοδιαστική αλυσίδα θα παραμείνει το προτιμώμενο όχημα για κυβερνοεπιθέσεις, κυρίως γιατί τα κρίσιμα σημεία συμφόρησης και οι στόχοι συστημικού κινδύνου (π.χ. υπηρεσίες cloud) αυξάνονται λόγω της ταχείας ανάπτυξης ψηφιακών προϊόντων, υπηρεσιών και διασύνδεσης. Σύμφωνα με την Gartner, έως το 2025, το 45% των οργανισμών παγκοσμίως θα έχουν υποστεί επιθέσεις στις αλυσίδες εφοδιασμού λογισμικού τους, που αντιστοιχεί σε τριπλασιασμό σε σχέση με το 2021.
Οι επιτιθέμενοι συχνά σχεδιάζουν τις επιθέσεις τους μακροπρόθεσμα και μεγιστοποιούν τον αντίκτυπο στοχεύοντας τις αλυσίδες εφοδιασμού και τις βιομηχανικές ή αυτοματοποιημένες διαδικασίες, επισημαίνει ανάλυση της Munich Re. Χαρακτηριστικά παραδείγματα η επίθεση στον αγωγό Colonial, κατά την οποία οι ελλείψεις καυσίμων και ο πανικός στις αγορές παρέλυσαν προσωρινά τις περιφερειακές υποδομές στην ανατολική ακτή των ΗΠΑ και έγιναν πρωτοσέλιδα παγκοσμίως. Λιγότερη προσοχή από τα μέσα ενημέρωσης έλαβε μια επίθεση – που όμως απετράπη εγκαίρως – στην πολιτεία της Φλόριντα των ΗΠΑ, κατά την οποία ένας χάκερ προσπάθησε να παραβιάσει την παροχή χημικών σε μια μονάδα επεξεργασίας νερού και να δηλητηριάσει τα αποθέματα νερού.
Η υποβολή αιτημάτων για λύτρα δεν είναι το μοναδικό κίνητρο των επιτιθέμενων υποδομών ζωτικής σημασίας. Τέτοιοι παράγοντες έχουν συχνά πολιτικά ή άλλα κίνητρα για να προκαλέσουν τη μέγιστη αναστάτωση ή ακόμα και την καταστροφή διαδικασιών και συστημάτων, προκειμένου να πυροδοτήσουν οικονομικές και πολιτικές αστάθειες. Ορισμένοι εγκληματίες συνεργάζονται και με κρατικούς φορείς.
Η ευαισθητοποίηση
Οι ειδικοί της ασφάλισης συγκρίνουν την ευαισθητοποίηση των εταιρειών απέναντι στον κίνδυνο των επιθέσεων στον κυβερνοχώρο με τον χρόνο που απαιτήθηκε στον αναλογικό κόσμο για να καταστεί υποχρεωτική η ζώνη στα αυτοκίνητα για την υποχρεωτική χρήση της οποίας χρειάστηκαν 15 χρόνια και ακόμη περισσότερα για να συνειδητοποιηθεί η αξίας της. Προς το παρόν παρά το υψηλό επίπεδο συνειδητοποίησης της απειλής στον κυβερνοχώρο, εξακολουθεί να υπάρχει κενό όσον αφορά την πραγματική ασφάλιση του κινδύνου. Η Παγκόσμια Μελέτη Κινδύνου και Ασφάλισης στον Κυβερνοχώρο της Munich Re δείχνει ότι το ποσοστό των υπευθύνων λήψης αποφάσεων που ανησυχούν σοβαρά για πιθανές κυβερνοεπιθέσεις στις εταιρείες τους έχει αυξηθεί σημαντικά στο 38%το 2022 , σε σύγκριση με το 30% του προηγούμενου έτους.
Οι μελλοντικές επιθέσεις στον κυβερνοχώρο θα επιταχύνονται ολοένα και περισσότερο, ακολουθώντας τις βασικές τάσεις της τεχνολογίας, όπως η τεχνητή νοημοσύνη, όπως το ChatGPT, το λεγόμενο «metaverse» και οι διευρυνόμενοι κόσμοι της πληροφορικής, του Διαδικτύου των πραγμάτων (IoT) και της επιχειρησιακής τεχνολογίας (OT). Εκτός από την αυξανόμενη πολυπλοκότητα των εγκληματικών δραστηριοτήτων στον κυβερνοχώρο, οι οργανισμοί παγκοσμίως αντιμετωπίζουν μεγαλύτερη έκθεση από ποτέ σε γεωπολιτικές συγκρούσεις, οι οποίες έχουν ήδη αρχίσει να έχουν άνευ προηγουμένου αντίκτυπο στην ασφάλεια στον κυβερνοχώρο.
Επί του παρόντος, 4,7 εκατομμύρια ειδικοί σε όλο τον κόσμο εργάζονται στον τομέα της κυβερνοασφάλειας, προσπαθώντας να περιορίσουν το παγκόσμιο κόστος του εγκλήματος στον κυβερνοχώρο. Αυτά αναμένεται να αυξηθούν τα επόμενα πέντε χρόνια, αυξάνοντας από 8,44 τρισεκατομμύρια δολάρια ΗΠΑ το 2022 σε περίπου 11 τρισεκατομμύρια δολάρια ΗΠΑ το 2023 και δυνητικά φτάνοντας τα 24 τρισεκατομμύρια δολάρια ΗΠΑ έως το 2027. Ωστόσο, όπως προβλέπεται σε μελέτη εργατικού δυναμικού από το ISC εξακολουθεί να υπάρχει έλλειψη δεξιοτήτων, με ένα κενό 3,4 εκατομμυρίων εργαζομένων στον τομέα της κυβερνοασφάλειας που χρειάζονται για την επαρκή προστασία των οργανισμών, και αυτό το κενό δεν θα καλυφθεί στο εγγύς μέλλον. Ειδικότερα, τα εξειδικευμένα ταλέντα – για την ασφάλεια περιβαλλόντων cloud ή OT, για παράδειγμα – είναι ελάχιστα διαθέσιμα. Οι ειδικοί της Munich Re στον κυβερνοχώρο και τη διαχείριση κινδύνων προβλέπουν ότι αυτή η έλλειψη ταλέντων, όλο και πιο περίπλοκων συστημάτων και ψηφιακών υποδομών, ο αυξανόμενος αντίκτυπος της γεωπολιτικής, καθώς και οι καθιερωμένοι κίνδυνοι στον κυβερνοχώρο, θα οδηγήσουν σε ένα ταραχώδες τοπίο απειλών από το 2023 και μετά.
Ο βαθμός στον οποίο θα επιταχυνθούν οι κίνδυνοι στον κυβερνοχώρο λόγω γεωπολιτικών εντάσεων ενισχύεται όχι μόνο από τη ρωσική εισβολή στην Ουκρανία αλλά και από τις εντάσεις σε άλλα σημεία του πλανήτη. Στο εξής, αυτή η σύγκρουση και οι παγκόσμιες δυνάμεις που αναλαμβάνουν θέση θα αποτελέσουν βασικό μοχλό της (ανα)ασφάλειας στον κυβερνοχώρο και θα καταστήσουν πιο πιθανό ένα συστημικό, καταστροφικό συμβάν στον κυβερνοχώρο. Η Munich Re αναμένει ότι η στόχευση κρίσιμων υποδομών, πνευματικής ιδιοκτησίας ή διεργασιών όπως οι κυβερνητικές εκλογές, οι οποίες μόνο το 2023 θα πραγματοποιηθούν σε περίπου 70 χώρες, θα είναι μέρος αυτών των γεωπολιτικών κινδύνων στον κυβερνοχώρο.
Πηγή: Καθημερινή