Το 2020 επέφερε τεράστιες αλλαγές στο τοπίο των κινδύνων στην κυβερνοασφάλεια. Οι επιπτώσεις της πανδημίας του COVID-19 εξακολουθούν να υφίστανται και οι ευκαιρίες για νέες κυβερνοεπιθέσεις σε διαφορετικούς τομείς είναι πιο πραγματικές από ποτέ.
Η γνώση της στάσης σας έναντι των βέλτιστων πρακτικών για την ασφάλεια στον κυβερνοχώρο και, στη συνέχεια, η αποτελεσματική αποκατάσταση είναι δύο βήματα για την ενίσχυση της ασφάλειας μεταξύ των οργανισμών. Πριν κάνετε την πρώτη σας εκτίμηση, ωστόσο, είναι σημαντικό να ενημερώνεστε για το πού στοχεύουν οι hackers και να κατανοήσετε τον κίνδυνο που προκύπτει με τις αλλαγές στο τρέχον τοπίο. Η εστίαση των προσπαθειών σας θα σας βοηθήσει να ενημερώσετε τη στρατηγική διαχείρισης για τις κυβερνοεπιθέσεις για το 2020 και μετά.
Κίνδυνος ασφάλειας στον κυβερνοχώρο στην εφοδιαστική αλυσίδα
Οι επιθέσεις της αλυσίδας εφοδιασμού αυξήθηκαν κατά 78% το 2019 σύμφωνα με τη Symantec και αυτή η εκθετική αύξηση δεν αναμένεται να επιβραδυνθεί μέσα στο 2020. Η ασφάλεια στον κυβερνοχώρο της εφοδιαστικής αλυσίδας είναι ένας σταθερός τομέας ασχολίας πολλών επιχειρήσεων.
Οργανισμοί χωρίς ειδικούς προμηθευτές ή ομάδες κινδύνου τρίτων συχνά δυσκολεύονται να αξιολογήσουν την ασφάλεια της αλυσίδας εφοδιασμού τους. Η πολυπλοκότητα που δημιουργείται από την αυξημένη ψηφιοποίηση, την ανάπτυξη των επιχειρήσεων και τις συνεργασίες τρίτων αυξάνει την ανάγκη προστασίας ευαίσθητων πληροφοριών, συμπεριλαμβανομένων οικονομικών, προσωπικών και στρατηγικών πληροφοριών όπως η πνευματική ιδιοκτησία.
Ο COVID-19 προκάλεσε απαγορεύσεις ταξιδιών οι οποίες περιόρισαν τον αριθμό των οργανισμών αξιολόγησης και των παρόχων υπηρεσιών που μπορούσαν να πραγματοποιήσουν επιτόπιες αξιολογήσεις, δημιουργώντας ένα κενό στις δραστηριότητες του προγράμματος ασφάλειας της εφοδιαστικής αλυσίδας. Ορισμένες επιχειρήσεις προσεγγίζουν αυτό το ζήτημα ζητώντας από τους προμηθευτές αναφορές σχετικά με τον τρόπο με τον οποίο έχουν αλλάξει τη στρατηγική διαχείρισης κινδύνων στον κυβερνοχώρο για να μπορούν να καλύψουν αυτές τις αλλαγές. Εάν είναι δυνατόν, οι ομάδες διαχείρισης κινδύνου προμηθευτών ενθαρρύνονται να παρακολουθούν τη στάση του κινδύνου στον κυβερνοχώρο του προμηθευτή όχι μόνο με εκτιμήσεις κινδύνου, αλλά και με ελέγχους ασφαλείας, πολιτικής και διαδικασιών μέσω ενός ενιαίου συστήματος αναφοράς, όπως μια ολοκληρωμένη λύση διαχείρισης κινδύνου.
Ειδικά για οργανισμούς που συνεργάζονται με πολλές μικρές επιχειρήσεις, οι οποίες διατρέχουν τον μεγαλύτερο κίνδυνο για επιθέσεις στον κυβερνοχώρο, το να γνωρίζουν πού βρίσκονται τα κενά ασφαλείας στην αλυσίδα εφοδιασμού είναι ζωτικής σημασίας.
Κίνδυνος κυβερνοασφάλειας στο να είσαι άνθρωπος
Σε περιόδους κρίσης και αβεβαιότητας, οι ομάδες ασφάλειας στον κυβερνοχώρο πρέπει να παραμείνουν σε εγρήγορση και να ενεργούν προληπτικά για να διασφαλίσουν ότι οι εργαζόμενοι σε ολόκληρη την επιχείρηση τους δεν θα πιαστούν στην “φάκα”. Η ευαισθητοποίηση και η εκπαίδευση καθώς και η προτεραιότητα της ψυχικής υγείας των εργαζομένων πρέπει να είναι προτεραιότητα των εταιρειών.
Οι εγκληματίες στον κυβερνοχώρο προσπαθούν να σας εκμεταλλευτούν μέσω των αδυναμιών σας – είτε ότι δεν έχετε ενεργοποιήσει το 2FA είτε είστε απρόσεκτοι και κάνετε κλικ σε έναν σύνδεσμο σε ένα φαινομενικά αθώο email. Και τα δύο αυτά είναι παραδείγματα ευκαιριών για συμβάντα στον κυβερνοχώρο που προκύπτουν από το ανθρώπινο λάθος. Η εφαρμογή ενός εικονικού προγράμματος ευαισθητοποίησης και κατάρτισης ή η διεξαγωγή εβδομαδιαίας εκπαίδευσης ασφαλείας που περιγράφει λεπτομερώς τις πιο κοινές επιθέσεις στον κυβερνοχώρο και πώς να τις εντοπίζετε καθημερινά μπορεί να είναι αυτό που οι οργανισμοί να πρέπει να κάνουν για να ενημερώσουν σωστά τους υπαλλήλους τους.
Ειδικά σε τομείς όπως τα νοσοκομεία και η υγειονομική περίθαλψη, η προτεραιότητα της ευαισθητοποίησης και της κατάρτισης είναι απαραίτητη. Οι επιθέσεις DDoS σε τομείς της Υγείας και των Ανθρωπίνων Υπηρεσιών ήταν μόνο η αρχή. Αξίζει επίσης να σημειωθεί ότι ενώ πολλές από αυτές τις κυβερνοεπιθέσεις έχουν σχεδιαστεί για να εκδηλώνονται γρήγορα και να προκαλούν γρήγορη αναστάτωση, μερικοί από τους πιο εξελιγμένους κρατικούς hackers θα εκμεταλλευτούν οργανισμούς που είναι απασχολημένοι με τη διατήρηση των καθημερινών εργασιών και τη μετάβαση σε απομακρυσμένη εργασία ακολουθώντας μια πιο μακροπρόθεσμη προσέγγιση για τη δημιουργία διαταραχών.
Το ανθρώπινο σφάλμα εμφανίζεται με διάφορους τρόπους και τα δεδομένα δείχνουν ότι δεν είναι μόνο η ευαισθητοποίηση και η εκπαίδευση που μπορούν να κάνουν τη διαφορά. Ο άλλος τομέας στον οποίο πρέπει να επικεντρωθούμε – η ψυχική υγεία – μπορεί να μην συζητηθεί τόσο πολύ, αλλά σε πρωτοφανείς στιγμές όπως αυτές που έχουμε βιώσει το 2020, είναι πιο σημαντικό από ποτέ να υποστηρίξουμε την ανάγκη ξεκούρασης των υπαλλήλων μας. Το θετικό ηθικό και η ψυχική ευελιξία και εγρήγορση που προέρχεται από έναν υγιή ψυχή είναι σε μεγάλο βαθμό ευθύνη των διευθυντών και του εργοδότη.
Η οικοδόμηση μιας υγιούς και ισορροπημένης κουλτούρας σε περιόδους αβεβαιότητας θα μπορούσε να βοηθήσει στην αποφυγή των ευκαιριών για εγκληματίες στον κυβερνοχώρο.
Κίνδυνος κυβερνοασφάλειας στην εταιρική διακυβέρνηση
Οι interconnected κίνδυνοι που τροφοδοτήθηκαν από τα γεγονότα του 2020 απαιτούν μεγαλύτερη επίβλεψη από τις ομάδες ασφάλειας πληροφοριών και κυβερνοασφάλειας και το διοικητικό συμβούλιο. Ένας σαφής τομέας του κινδύνου ασφάλειας στον κυβερνοχώρο το 2020 θα προέλθει από την αδυναμία των λειτουργιών εταιρικής διακυβέρνησης που δεν θα έχουν το ίδιο επίπεδο αποτελεσματικότητας που είχαν όταν γίνονταν από κοντά.
Εάν τα μέλη του διοικητικού συμβουλίου αρρωστήσουν ή δεν μπορούν να εκπληρώσουν τα καθήκοντά τους, πρέπει να υπάρχει σχέδιο. Η οργανωτική ηγεσία πρέπει να είναι πεπεισμένη ότι η επιχείρησή τους θα είναι σε θέση να διατηρεί τις λειτουργίες ανεξάρτητα από τα συμβάντα ασφάλειας στον κυβερνοχώρο. Οι εκτελεστικές συναντήσεις πρέπει να οργανώνονται με εικονικούς ή υβριδικούς τρόπους, διατηρώντας παράλληλα την ικανότητά τους να εργάζονται ομαδικά και να αντιδρούν γρήγορα και με ακρίβεια σε περιόδους κρίσης, ειδικά εάν συμβεί ένα συμβάν ασφάλειας στον κυβερνοχώρο.
Η δημιουργία σαφών σχεδίων αντιμετώπισης συμβάντων και η διατήρηση της κυβερνοασφάλειας μέσω μιας ολοκληρωμένης προσέγγισης διαχείρισης κινδύνου συνιστάται για την ηγεσία ανεξάρτητα από την επιχειρηματική κλίμακα.
