του Παντελή Αγγελίδη, Διευθύνοντος Συμβούλου, QuadPrime Ltd, μέλους του Ομίλου MAP S.Platis
Η κυβερνοεπίθεση με λογισμικό κακόβουλης λειτουργίας υπολογιστή (Ransomware/Λυτρισμικό) σε συγκεκριμένο εκπαιδευτικό ίδρυμα στην Κύπρο άνοιξε με θόρυβο τη συζήτηση για την κυβερνοασφάλεια, θέτοντας ξανά επί τάπητος το θεμελιώδες ερώτημα κάθε οργανισμού: πως μπορούν να προστατευτούν από τέτοιες επιθέσεις και ποια μέτρα πρέπει προληπτικά να λαμβάνουν;
Την ανησυχία επέτεινε ο εκβιασμός των χάκερς οι οποίοι ζητούσαν χρήματα για να μην δημοσιοποιήσουν δεδομένα του εκπαιδευτικού ιδρύματος. Δεδομένα τα οποία είχαν προφανώς εξάγει προτού κλειδώσουν τα συστήματα του οργανισμού απαιτώντας λύτρα. Τα συγκεκριμένα δεδομένα αφορούσαν απλά και ευαίσθητα στοιχεία προσωπικού χαρακτήρα, σχετιζόμενα με φοιτητές, αποφοίτους, ακαδημαϊκό και διοικητικό προσωπικό, ερευνητές ή/και συνεργάτες του εκπαιδευτικού ιδρύματος. Αυτή η εξέλιξη προκάλεσε και την εμπλοκή του Γραφείου της Επιτρόπου Δεδομένων Προσωπικού Χαρακτήρα, το οποίο ζήτησε να ενημερωθεί για τις συνθήκες γύρω από το περιστατικό αλλά και για τα μέτρα τα οποία είχε λάβει το εκπαιδευτικό ίδρυμα για προστασία των προσωπικών δεδομένων. Όπως για παράδειγμα, κατά πόσο ο οργανισμός εφάρμοζε τα απαραίτητα τεχνικά και οργανωτικά μέτρα, τον όγκο των δεδομένων που επηρεάστηκαν και ιδιαίτερα τι προτίθεται να πράξει ο οργανισμός στη συνέχεια. Ερωτήματα που αφορούν την εφαρμογή του γενικού κανονισμού για την προστασία των δεδομένων, γνωστός ως GDPR, ο οποίος θέτει συγκεκριμένες προδιαγραφές και ευθύνες για την επεξεργασία προσωπικών δεδομένων.
Εκ του αποτελέσματος, οι κυβερνοεπιθέσεις Ransomware είναι οι πιο ζημιογόνες για ένα οργανισμό. Σε τέτοιες περιπτώσεις οι χάκερς στοχεύουν σε πληροφορίες που έχουν ιδιαίτερη αξία για ένα οργανισμό, απαιτώντας λύτρα για την απελευθέρωση των δεδομένων. Οι επιτιθέμενοι γνωρίζουν πολύ καλά ότι από τη στιγμή που αποκτούν πρόσβαση σε προσωπικά δεδομένα, έστω και χωρίς να τα εξάγουν από τα συστήματα του οργανισμού (exfiltration), έχουν στα χέρια τους ένα ισχυρό μοχλό πίεσης και εκβιασμού. Σημειώνεται συναφώς ότι σύμφωνα με το Άρθρο 4 του GDPR, η μη εξουσιοδοτημένη πρόσβαση σε αυτά θεωρείται αυτόματα παραβίαση προσωπικών δεδομένων.
Αν το θύμα της κυβερνοεπίθεσης δεν υποκύψει στον αρχικό εκβιασμό για καταβολή λύτρων, τότε οι χάκερς συνήθως επανέρχονται με δεύτερο εκβιασμό, ανακοινώνοντας δημοσίως ότι έχουν στην κατοχή τους προσωπικά δεδομένα, μέρος των οποίων συχνά δημοσιοποιούν ως πειστήρια. Αυτός ο διπλός εκβιασμός λειτουργεί ως μεγαλύτερος μοχλός πίεσης γιατί πλέον η παραβίαση γίνεται γνωστή στις αρμόδιες αρχές, τα υποκείμενα των δεδομένων – δηλαδή τα πρόσωπα που αφορούν – αλλά και το ευρύτερο κοινό. Μια τέτοια δημοσιοποίηση έχει αναπόδραστα αρνητική επίδραση στη φήμη οποιουδήποτε οργανισμού, επισύρει ενδεχομένως χρηματικές ποινές για ελλιπή μέτρα ασφαλείας στη φύλαξη προσωπικών δεδομένων, επιφέρει πλημμυρίδα παραπόνων από ανυποψίαστους πληγέντες, και καταλήγει ακόμα και σε αγωγές από τα υποκείμενα των δεδομένων.
Το εν λόγω εκπαιδευτικό ίδρυμα που δέχτηκε την επίθεση βρέθηκε σε αυτή τη δεινή θέση του διπλού εκβιασμού αφού η ομάδα των χάκερς έδωσε δημοσίως προθεσμίες για την καταβολή των λύτρων. Έκτοτε, το Γραφείο της Επιτρόπου Προστασίας Δεδομένων ανέφερε ότι είναι δέκτης παραπόνων και ανησυχιών από επηρεαζόμενα υποκείμενα δεδομένων που ενημερώθηκαν.
Ο εφιάλτης όμως δεν τελειώνει εδώ. Υπάρχει και το σενάριο του τριπλού εκβιασμού. Σε αυτό το σενάριο, δεδομένου ότι το θύμα δεν υποκύψει, οι χάκερς στοχεύουν πλέον στα ίδια τα υποκείμενα αφού έχουν τα προσωπικά δεδομένα τους και τους απειλούν ότι θα τα αποκαλύψουν. Εάν τα δεδομένα αυτά είναι ευαίσθητα, τα ποσοστά επιτυχίας του εκβιασμού αυξάνονται.
Πέραν των επιβεβλημένων μέτρων κυβερνοασφάλειας για προστασία και πρόληψη επιθέσεων τύπου Ransomware, συστήνεται όπως ο οργανισμός προχωρήσει στην επαύξηση της ανθεκτικότητάς του. Αφενός αυτό θα περιορίσει τη ζημιά σε μια επιτυχημένη κυβερνοεπίθεση, αφετέρου δε, μειώνει σημαντικά το χρόνο τον οποίο χρειάζεται ο οργανισμός για να επανέλθει σε κανονική λειτουργία.
Υπάρχουν πολλά πράγματα τα οποία ένας οργανισμός τέτοιου μεγέθους μπορεί και πρέπει να κάνει. Παραθέτουμε πιο κάτω πέντε βασικές και απλές συμβουλές που αφορούν τη μείωση του κινδύνου από παραβιάσεις προσωπικών δεδομένων και τη βελτίωση της ανθεκτικότητας:
Σαφέστατα δεν υπάρχει εύκολος δρόμος για έναν οργανισμό που έχει δεχθεί κυβερνοεπίθεση Ransomware και έχουν παραβιαστεί προσωπικά δεδομένα που επεξεργάζεται. Οι απώλειες σε χρόνο, πόρους και φήμη ενίοτε μπορεί να καταστούν τεράστιες. Η διαδικασία από τη στιγμή που το περιστατικό ανακαλύπτεται είναι επίπονη και δοκιμάζει σε πολύ ψηλό βαθμό τις αντοχές του οποιουδήποτε οργανισμού ανεξαρτήτως μεγέθους.
Αντλώντας τα μαθήματα από οργανισμούς που πλήγηκαν από επιθέσεις Ransomware διεθνώς, αναντίλεκτα η στόχευση και η μετάβαση σε μια πιο ανθεκτική κατάσταση είναι μονόδρομος. Ανθεκτικός οργανισμός είναι ο οργανισμός που έχει πρωτίστως τις ικανότητες (capabilities) να ανταπεξέλθει και την απαραίτητη χωρητικότητα (capacity) να απορροφήσει τις συνέπειες από οποιασδήποτε φύσης περιστατικό ασφάλειας. Η αναμονή, η προετοιμασία, η εγρήγορση και η συντονισμένη ανταπόκριση είναι στοιχεία που αυξάνουν την χωρητικότητα του οργανισμού και παραμένουν κρίσιμες παράμετροι πλοήγησης στο σημερινό αυξανόμενο κύμα ψηφιακών απειλών.