Η πρόσφατη μαζική διαδικτυακή επίθεση μέσω του λογισμικού WannaCry που κράτησε «ομήρους» εκατοντάδες χιλιάδες υπολογιστές ανά τον κόσμο ανέδειξε για άλλη μια φορά τους κινδύνους που κρύβει η τεχνολογία για όλες τις επιχειρήσεις μικρές ή μεγάλες και τους οργανισμούς.
Τα παλαιότερα χρόνια σε μια επιχείρηση δεν χρειαζόταν ν’ ανησυχούν για την ασφάλεια τους στον κυβερνοχώρο, επειδή το Διαδίκτυο δεν υπήρχε ακόμα και είχε να καλύψει το εμπόρευμά της, τους χώρους της και τα μηχανήματά της από φυσικές καταστροφές, πυρκαγιά ή κλοπή.
Κάτι τέτοιο δεν ισχύει πλέον, καθώς οι ψηφιακοί κίνδυνοι αυξάνονται καθημερινά και σε πολλές περιπτώσεις ξεπερνούν και τους φυσικούς κινδύνους, ειδικά σε κλάδος όπως η υγεία, ο τουρισμός, η πληροφορική, το λιανεμπόριο και η τραπεζική».
Σήμερα όμως το κυβερνοέγκλημα είναι τόσο διαδεδομένο στην κοινωνία μας και γεμάτο διψασμένους για χρήμα ή δόξα ανθρώπους, οι οποίοι στρέφονται προς αυτό για να αναζητήσουν υποψήφια θύματα.
Tα Στελέχη της BENEFIT financial services με την εμπειρία τους στο Risk Management τις γνώσεις τους σχετικά με τον κανονισμό GDPR αλλά και το Cyber incurance μπορούν να βοηθήσουν τα στελέχη και τις επιχειρήσεις να γνωρίσουν κάποιες από τις πιθανές απειλές στον κυβερνοχώρο για τις επιχειρήσεις τους και να ξέρουν πώς να τις ελαττώσουν.
Δείτε το άρθρο: Αποκτήστε με ένα κλικ .... το Εργαλείο εκτίμησης ελλείψεων συμμόρφωσης GDPR της ΕΕ
1. Ασφαλείς συσκευές που προέρχονται από το σπίτι
Οι χώροι εργασίας που περιλαμβάνουν υπαλλήλους που φέρνουν gadgets όπως φορητούς υπολογιστές και tablet από το σπίτι στο επιχειρηματικό περιβάλλον μπορούν να σώσουν απο τις επιχειρήσεις χρήματα και να επιτρέψουν στους ανθρώπους να δουλέψουν σε συσκευές που γνωρίζουν καλά και αισθάνονται άνετα χρησιμοποιώντας τες. Ωστόσο, αυτές οι συσκευές είναι επίσης ευάλωτες σε χάκερ, ειδικά αν δεν έχουν ασφαλιστεί σωστά.
Ένας τρόπος να μειωθεί ο κίνδυνος για μια επιχείρηση είναι να γράψει και να υποστηρίξει μια πολιτική του BYOD που διευκρινίζει πώς οι εργαζόμενοι θα πρέπει να χειρίζονται τις συσκευές τους, είτε εργάζονται είτε όχι.
Για παράδειγμα, η διατήρηση του συνόλου του λογισμικού, η αποφυγή της σύνδεσης σε δημόσια δίκτυα Wi-Fi και ο αποκλεισμός των διασυνδέσεων του υπολογιστή με τους κωδικούς πρόσβασης μπορούν να μειώσουν τους κινδύνους ασφαλείας σε φορητές συσκευές, ανεξάρτητα από το πού βρίσκονται οι χρήστες κατά τη χρήση τους.
Η ομάδα πληροφορικής σε έναν οργανισμό θα πρέπει επίσης να υιοθετήσει μια πρακτική περιοδικών ελέγχων των συσκευών BYOD για να διασφαλίσει ότι συμμορφώνονται με την πολιτική.
2. Ξεπερασμένες ή ανύπαρκτες πρακτικές ασφάλειας στον κυβερνοχώρο
Οι στατιστικές δείχνουν ότι υπάρχουν 59 εγγραφές που χάνονται κάθε δευτερόλεπτο. Είτε λόγω ανεπαρκών εσωτερικών πρακτικών, είτε από πειρατικούς υπολογιστές που στοχεύουν σε στελέχη, επιχειρήσεις και οργανώσεις. Ο αριθμός αυτός υποδεικνύει ότι οι εταιρείες δεν κάνουν αρκετά για να κλειδώσουν τα δεδομένα τους.
Μια έρευνα πάνω από 4.000 επιχειρήσεις διαπίστωσε ότι επτά στους δέκα δεν ήταν έτοιμοι για κυβερνοεπιθέσεις. Σε ορισμένες περιπτώσεις, αυτό μπορεί να σημαίνει ότι η επιχείρηση δεν έχει ενημερώσει τις στρατηγικές ασφαλείας της, για αρκετά χρόνια. Ίσως βέβαια, ποτέ να μην έχουν ενσωματώσει επίσημα τις προσπάθειες ασφάλειας στον κυβερνοχώρο σε επιχειρηματικές δραστηριότητες.
Η διεξαγωγή ενός ελέγχου ασφάλειας είναι μια απαραίτητη δραστηριότητα που επιτρέπει στους επικεφαλής των επιχειρήσεων να δουν πού βρίσκονται οι εταιρείες τους και να εντοπίζουν τις πιο έντονες ελλείψεις. Οι ανακαλυφθείσες ιδέες επιτρέπουν στις επιχειρήσεις να ξεκινήσουν την αντιμετώπιση της ασφάλειας του κυβερνοχώρου ή να επεξεργαστούν τις τρέχουσες πρακτικές, ώστε να ανταποκρίνονται καλύτερα στις αναδυόμενες ανάγκες
3. Προσωπικά λάθη
Τα μη εκπαιδευμένα και απρόσεκτα μέλη του προσωπικού προκαλούν επίσης ένα σημαντικό ποσοστό των περιστατικών στον κυβερνοχώρο. Από τα δεδομένα που συλλέχθηκαν το 2016 διαπιστώθηκε ότι το 57% των κρουσμάτων παραβίασης ασφαλείας, οφείλεται σε ανθρώπινο λάθος, παράγοντας το 14% του χρόνου διακοπής του συστήματος σε αυτές τις καταστάσεις.
Μερικές φορές, η ίδια η εκπαίδευση δεν είναι επαρκής, ειδικά αν οι εργαζόμενοι δεν συνειδητοποιούν το ρόλο τους στη διατήρηση μιας επιχείρησης από τις εξωτερικές απειλές. Η περιεκτική εκπαίδευση που εξελίσσεται καθώς φτάνουν οι νέες απειλές είναι καθοριστική για την ελαχιστοποίηση των κινδύνων που οφείλονται σε λάθη του προσωπικού.
Είναι επίσης χρήσιμο να εξετάσετε εάν οι υπεύθυνοι στον τομέα της ασφάλειας των συστημάτων και του κυβερνοχώρου μιλούν στο προσωπικό σας για να βοηθήσετε τα μέλη του προσωπικού να κατανοήσουν τις έννοιες, ν΄αναλογιστούν τον κίνδυνο και να θέσουν ερωτήσεις.
4. Οι δυσαρεστημένοι πρώην υπάλληλοι
Τα άτομα που απογοητεύονται μετά την αποχώρησή τους, απολύονται ή αποκλείονται από την ευκαιρία προώθησης είναι όλοι οι άνθρωποι που θα μπορούσαν να χρησιμοποιήσουν τις εμπιστευτικές τους γνώσεις για να θέσουν σε κίνδυνο τα δεδομένα μιας επιχείρησης αφού εγκαταλείψουν τον οργανισμό.
Οι παράγοντες που παρακινούν σε κακόβουλους εμπιστευτικούς παράγοντες περιλαμβάνουν την απληστία, την αναζήτηση συγκίνησης και την επιθυμία να εκδικηθούν μετά από μια αντιληπτή αδίκημα.
Οι εταιρείες μπορούν να μειώσουν τον κακόβουλο κίνδυνο εμπιστευτικότητας, απενεργοποιώντας αμέσως τα διαπιστευτήρια μετά την έξοδο των ατόμων από την εταιρεία και την προσεκτική παρακολούθηση κάθε ευαίσθητου υλικού, συμπεριλαμβανομένης της ενθάρρυνσης των ανθρώπων να μην εκτυπώνουν ή να παραλαμβάνουν απόρρητα έγγραφα.
5. Επιθέσεις από χάκερ
Είναι ζωτικής σημασίας για τις εταιρείες να μην έχουν αποκλειστικά εγχώρια νοοτροπία όταν σκέφτονται την ασφάλεια στον κυβερνοχώρο. Ενώ οι κυβερνητικοί οργανισμοί έχουν συνήθως τους πόρους για να αντιμετωπίσουν τους εγκληματίες του κυβερνοχώρου από άλλες χώρες και να αποτρέψουν τις επιθέσεις τους, το ίδιο δεν ισχύει συχνά για οντότητες σε επίπεδο επιχείρησης, καθιστώντας τις πιθανές επιθέσεις ιδιαίτερα δαπανηρές.
Η ομάδα των ΙΤ για την ασφάλεια του κυβερνοχώρου σε μια επιχείρηση πρέπει να την βοηθήσουν να συνειδητοποιήσει ότι η απόσταση από τους χακερ δεν είναι μακριά. Θα πρέπει να το λάβουν σοβαρά υπόψη κατά την προστασία των δικτύων τους και την παρακολούθηση για νέες απειλές.
Όσο όμως προσεκτικοί και να είστε, για να αποφύγετε τις καταστροφές, πάντα θα υπάρχουν κενά.
Πολλές φορές τα στελέχη επιχειρήσεων δεν έχουν την οικονομική δυνατότητα να υποθέσουν ότι οι χάκερ δεν θα τους στοχεύσουν ή κάποιοι από αυτούς τους κινδύνους είναι λιγότερο εμφανείς.
Αυτούς τους σύγχρονους κινδύνους έρχονται να καλύψουν τα προγράμματα Cyber insurance που παρέχει η BENEFIT financial services μέσω μεγάλων πολυεθνικών ομίλων.
Αυτά τα ειδικά προγράμματα που απευθύνονται σε επιχειρήσεις που διαχειρίζονται προσωπικά δεδομένα ψηφιακά ή έντυπα και αποτελούν τους βασικούς στόχους των hackers που θέλουν να τα χρησιμοποιήσουν είτε για δική τους χρήση, είτε να τα κρατήσουν «ομήρους» για να ζητήσουν λύτρα.
Τα στελέχη λοιπόν πρέπει να συνειδητοποιήσουν τις αποθαρρυντικές δυνατότητες και να βασιστούν σε εξειδικευμένους εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο - και στον εργασιακό χώρο γενικότερα - για την ελαχιστοποίηση των δαπανηρών και αγχωτικών απειλών.
Το Cyber insurance είναι κάτι παραπάνω από μια ασφάλιση
Τα προγράμματα ασφάλισης διαδικτυακών κινδύνων διαφέρουν από τα «παραδοσιακά» ασφαλιστήρια στο γεγονός ότι όχι μόνο αποζημιώνουν σε περίπτωση κλοπής των δεδομένων, αλλά προσφέρουν και μια σειρά υπηρεσιών για την αντιμετώπιση της κρίσης που προκαλεί ένα διαδικτυακό χτύπημα ακόμα και το κόστος των ειδικών συμβούλων που θα εκτιμήσουν και θα διαχειριστούν την ζημιά.
Εξάλλου οι πιθανές οικονομικές συνέπειες από μια διαδικτυακή επίθεση είναι πολλές και σοβαρές:
κόστος κοινοποιήσεων, εμπειρογνώμονες για τον έλεγχο της ζημιάς, κόστος παρακολούθησης χρήσης στοιχείων, κόστος έρευνας, αστική ευθύνη προς τρίτους, κόστος δυσφήμισης και διακοπή λειτουργίας της επιχείρησης.
Δείτε ακόμη το άρθρο: Ένα συμβόλαιο CYBER μαζί με το 'ΕΝΤΥΠΟ ΣΥΜΜΟΡΦΩΣΗΣ GDPR' που χρειάζεται να έχετε σε πρώτη ζήτηση, θα σας βοηθήσουν να οδηγήσετε απερίσπαστοι την επιχείρηση σας στο αύριο!
Ένα Cyber insurance καλύπτει:
Ευθύνη δεδομένων
Καλύπτει τις οικονομικές συνέπειες της απώλειας ή χρήσης ευαίσθητων δεδομένων πελατών ή υπαλλήλων.
Διαχείριση Κρίσεων και εκπαίδευση σε θέμα διαρροής δεδομένων
Καλύπτει την παροχή συμβουλευτικών υπηρεσιών από εξειδικευμένες ομάδες αντιμετώπισης ηλεκτρονικών και διαδικτυακών κινδύνων, καθώς και από αναγνωρισμένες εταιρίες δημοσίων σχέσεων που βοηθούν στη στρατηγική αντιμετώπιση της κρίσης.
Διοικητικές Υποχρεώσεις
Παρέχεται κάλυψη για εύλογες επαγγελματικές αμοιβές για νομικές συμβουλές και εκπροσώπηση σε σχέση με έρευνα για την προστασία δεδομένων
Ηλεκτρονικά Δεδομένα
Παρέχει κάλυψη για τα έξοδα αποκατάστασης, εκ νέου συλλογής ή αναδημιουργίας δεδομένων μετά από διαρροή ή παραβίαση.
Ακόμη περιλαμβάνονται και οι εξής προαιρετικές καλύψεις:
Διακοπή Λειτουργίας Εταιρικού Δικτύου,
Πνευματικά Δικαιώματα,
Εκβιασμός αποκάλυψης προσωπικών δεδομένων στον κυβερνοχώρο.
Παραδείγματα περιστατικών
Όταν υπάλληλος ενός μεγάλου οργανισμού ελέγχου πιστοληπτικής ικανότητας έκλεψε τις προσωπικές πληροφορίες εκατομμυρίων πελατών το πρόγραμμα κάλυψε:
Το κόστος των εγκληματολόγων που θα καθορίσουν ποια στοιχεία έχουν κλαπεί και από ποια άτομα.
Το κόστος της ενημέρωσης των εκατομμυρίων ατόμων των οποίων τα δεδομένα έχουν κλαπεί.
Το κόστος παρακολούθησης της χρήσης των στοιχείων για τα πρόσωπα που έχουν επηρεαστεί. για να διασφαλιστεί ότι δεν υφίστανται συνεχείς απώλειες μετά την κλοπή των πληροφοριών.
Το κόστος του συμβούλου παραβιάσεων που θα προετοιμάσει την επιχείρηση απέναντι σε έρευνα των αρχών.
Το κόστος της εκπροσώπησης και υπεράσπισης της επιχείρησης στην επακόλουθη προσφυγή που ασκήθηκε εναντίον της
Πόσο κοστίζει
Το κόστος των προγραμμάτων ασφάλισης εξαρτάται από την δραστηριότητα της επιχείρησης αλλά και τον ετήσιο κύκλο εργασιών της. Όσο μεγαλύτερος ο κύκλος εργασιών της επιχείρησης τόσο αυξάνονται και τα ασφάλιστρα.
Οι εταιρείες που το αντικείμενο τους είναι μεταξύ άλλων σχετικό με: υγεία, τηλεπικοινωνίες, τηλεφωνικές πωλήσεις, ηλεκτρονικές πωλήσεις, καλούνται να πληρώσουν πιο ακριβά ασφάλιστρα
Όπως και σε όλα τα ασφαλιστικά προγράμματα το τελικό κόστος εξαρτάται από το όριο ευθύνης της ασφαλιστικής και από την απαλλαγή ανά γεγονός.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου