Μία νέα έκθεση για τις προκλήσεις κυβερνοασφάλειας που αντιμετωπίζουν σήμερα οι μικρομεσαίες επιχειρήσεις (ΜΜΕ) καθώς και συστάσεις για την αντιμετώπισή τους, εξέδωσε ο οργανισμός της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο (ENISA).
Η έκθεση «Cybersecurity for SMEs» του οργανισμού παραθέτει συμβουλές για τις ΜΜΕ για να αντιμετωπίσουν επιτυχώς τις προκλήσεις στην κυβερνοασφάλεια, ιδίως αυτές που προκύπτουν από την πανδημία. Με την τρέχουσα κρίση, οι παραδοσιακές επιχειρήσεις έπρεπε να καταφύγουν σε τεχνολογίες όπως κωδικούς QR ή ανεπαφικές πληρωμές που δεν είχαν χρησιμοποιήσει ποτέ πριν.
Αν και οι ΜΜΕ (που θεωρούνται η ραχοκοκαλιά της ευρωπαϊκής οικονομίας, καθώς 25 εκατομμύρια ΜΜΕ δραστηριοποιούνται σήμερα στην ΕΕ και απασχολούν περισσότερους από 100 εκατομμύρια εργαζόμενους) έχουν στραφεί σε τέτοιες νέες τεχνολογίες για να διατηρήσουν τις δραστηριότητές τους, συχνά απέτυχαν να αυξήσουν την ασφάλειά τους σε σχέση με αυτά τα νέα συστήματα. Η έρευνα και η εμπειρία στην πραγματική ζωή δείχνουν ότι οι καλά προετοιμασμένοι οργανισμοί αντιμετωπίζουν τα περιστατικά στον κυβερνοχώρο με πολύ πιο αποτελεσματικό τρόπο από εκείνους που δεν σχεδιάζουν ή δεν διαθέτουν τις ικανότητες που χρειάζονται για να αντιμετωπίσουν σωστά τις απειλές στον κυβερνοχώρο.
Τα ευρήματα
Το 85% των ΜΜΕ που συμμετείχαν στην έρευνα της έκθεσης συμφωνούν ότι τα ζητήματα ασφάλειας στον κυβερνοχώρο θα έχουν σοβαρές και επιζήμιες επιπτώσεις στις επιχειρήσεις τους, ενώ το 57% δηλώνει ότι πιθανότατα θα βγουν εκτός λειτουργίας. Από σχεδόν 250 ΜΜΕ που ερευνήθηκαν, το 36% ανέφερε ότι είχαν βιώσει ένα συμβάν τα τελευταία 5 χρόνια.
Παρόλα αυτά, οι κυβερνοεπιθέσεις εξακολουθούν να μην θεωρούνται σημαντικοί κίνδυνοι για μεγάλο αριθμό ΜΜΕ και παραμένει η πεποίθηση ότι τα κυβερνοεπιθέσεις έχουν ως στόχο μόνο μεγαλύτερους οργανισμούς.
Ωστόσο, η μελέτη αποκαλύπτει πως παρότι οι επιθέσεις ηλεκτρονικού ψαρέματος (phishing) είναι από τα πιο κοινά περιστατικά στον κυβερνοχώρο, οι ΜΜΕ είναι πιθανό να εκτεθούν εκτός από επιθέσεις ransomware, από κλεμμένους φορητούς υπολογιστές και από «απάτες του διευθύνοντος συμβούλου».
Για παράδειγμα, με τις ανησυχίες που προκαλούνται από την πανδημία οι εγκληματίες στον κυβερνοχώρο επιδιώκουν να θέσουν σε κίνδυνο λογαριασμούς χρησιμοποιώντας ηλεκτρονικά μηνύματα ηλεκτρονικού «ψαρέματος» με την πανδημία ως θέμα. Οι «απάτες των διευθυντών» αποσκοπούν στο να παρασύρουν έναν υπάλληλο να ενεργήσει σύμφωνα με τις οδηγίες ενός ψευδούς μηνύματος ηλεκτρονικού ταχυδρομείου που εμφανίζεται σαν να αποστέλλεται από τον διευθύνοντα σύμβουλό τους, και συνήθως ζητά, γοα παράδειγμα, μια πληρωμή να πραγματοποιηθεί επειγόντως.
Οι προκλήσεις
Ειδικότερα, η έκθεση αποκαλύπτει τις ακόλουθες προκλήσεις που αντιμετωπίζουν οι ΜΜΕ:
- Χαμηλή επίγνωση των απειλών στον κυβερνοχώρο.
- Ανεπαρκής προστασία για κρίσιμες και ευαίσθητες πληροφορίες.
- Έλλειψη προϋπολογισμού για την κάλυψη δαπανών για την εφαρμογή μέτρων ασφάλειας στον κυβερνοχώρο ·
- Έλλειμμα διαθεσιμότητας τεχνογνωσίας και προσωπικού στον τομέα της ασφάλειας στον κυβερνοχώρο.
- Απουσία κατάλληλων κατευθυντήριων γραμμών προσαρμοσμένων στον τομέα των ΜΜΕ
- Ελλιπής ψηφιακή ασφάλεια των εργαζόμενων που λειτουργούν online ενώ μετακινούνται
- Χαμηλή υποστήριξη της διαχείρισης κινδύνων
Πώς αντιμετωπίζονται οι προκλήσεις
Η έκθεση του ENISA περιλαμβάνει συστάσεις για τέσσερις κατηγορίες
- Ανθρωποι
Οι άνθρωποι διαδραματίζουν ουσιαστικό ρόλο στο οικοσύστημα ασφάλειας στον κυβερνοχώρο. Η έκθεση εφιστά την προσοχή στη σημασία της ευθύνης, της αγοράς και της ευαισθητοποίησης των εργαζομένων, της εκπαίδευσης στον κυβερνοχώρο και των πολιτικών ασφάλειας στον κυβερνοχώρο, καθώς και της διαχείρισης τρίτων σε σχέση με εμπιστευτικές ή / και ευαίσθητες πληροφορίες.
- Διαδικασίες
Η παρακολούθηση των εσωτερικών επιχειρηματικών διαδικασιών περιλαμβάνει τη διενέργεια ελέγχων, τον σχεδιασμό συμβάντων και την απόκριση, τους κωδικούς πρόσβασης, τις ενημερώσεις κώδικα λογισμικού και την προστασία δεδομένων.
- Τεχνικοί
Σε τεχνικό επίπεδο, η έκθεση αναφέρει ότι πρέπει να ληφθούν υπόψη ορισμένες πτυχές σε σχέση με την ασφάλεια του δικτύου, την προστασία από ιούς, την κρυπτογράφηση, την παρακολούθηση της ασφάλειας, τη φυσική ασφάλεια και την εξασφάλιση αντιγράφων ασφαλείας.
Στοχευμένο κοινό
Η έκθεση παρέχει επίσης καθοδήγηση στους ιδιοκτήτες και τους υπαλλήλους των ΜΜΕ, ενώ φιλοδοξεί να χρησιμεύσει και σε άλλες οντότητες που εμπλέκονται στο οικοσύστημα των ΜΜΕ, όπως οι εθνικές και ευρωπαϊκές ενώσεις, οι υπεύθυνοι χάραξης πολιτικής και οι φορείς υλοποίησης, οι πάροχοι ΤΠΕ ΜΜΕ και άλλοι.
Ο δωδεκάλογος της ασφάλειας
Εκτός από την παραπάνω έκθεση, ο ENISA δημοσίευσε επίσης και τον οδηγό ασφάλειας στον κυβερνοχώρο για τις ΜΜΕ «12 βήματα για την ασφάλεια της επιχείρησής σας». Αυτός ο σύντομος οδηγός για την ασφάλεια στον κυβερνοχώρο παρέχει στις ΜΜΕ πρακτικές δράσεις υψηλού επιπέδου για την καλύτερη ασφάλεια των συστημάτων τους.
