Κορυφαίος στόχος των κυβερνοεγκληματιών ο επιχειρηματικός κόσμος των κατασκευών διεθνώς. Πόσο σοβαρή είναι η απειλή; Στελέχη της διεύθυνσης IT από εταιρείες του κλάδου περιγράφουν το φαινόμενο και τους τρόπους προστασίας.
Ηαλματώδης ανάπτυξη της τεχνολογίας αλλά και οι συνθήκες που διαμορφώθηκαν εκτάκτως την τελευταία διετία εξαιτίας της πανδημίας επιτάχυναν τη ραγδαία ψηφιοποίηση του επιχειρηματικού κόσμου διεθνώς. Χαρακτηριστικά, το 2021, η παγκόσμια αγορά της κυβερνοασφάλειας ανήλθε στα 185 δισ. δολ., σύμφωνα με εκθέσεις της Grand Review Research, ενώ εκτιμάται πως από το 2022 έως το 2030 θα παρουσιάζει ρυθμό ανάπτυξης της τάξης του 12%.
Στο επίκεντρο του κεφαλαιώδους και σύγχρονου ζητήματος της κυβερνοασφάλειας δεσπόζουν τα δεδομένα (data) και ο ρόλος που διαδραματίζουν στην παγκόσμια οικονομία. Ο Economist μάλιστα θέλοντας να αναδείξει τη συνεχώς αυξανόμενη σημασία των δεδομένων στην οικονομία, τα χαρακτήρισε «ως σπουδαιότερο εμπόρευμα, ακόμη και από το πετρέλαιο» (The world’s most valuable resource is no longer oil, but data).
Όπως μαρτυρούν λοιπόν οικονομικές αναλύσεις διεθνών οργανισμών, η ανάπτυξη που συντελείται στις ψηφιακές τεχνολογίες -και κατ’ επέκταση στα δεδομένα- σε όλους τους βιομηχανικούς κλάδους και τις αγορές συνοδεύεται από νέες και μεγαλύτερες απειλές.
Προτεραιότητα η ασφάλεια, αλλά απέχουμε…
Ως αδιαπραγμάτευτη προτεραιότητα των επικεφαλής των εταιρειών παγκοσμίως χαρακτηρίζεται η ολιστική προσέγγιση στην κυβερνοασφάλεια καθώς οι κυβερνοαπειλές συνεχίζουν να αυξάνονται σε συχνότητα και να γίνονται πιο επιτηδευμένες, σύμφωνα με την ετήσια έρευνα της PwC «Global Digital Trust Insights», η οποία πραγματοποιήθηκε με τη συμμετοχή περισσότερων από 3.500 ανώτερων στελεχών από 65 χώρες.
Παρά το γεγονός ότι οι κυβερνοεπιθέσεις συνεχίζουν να κοστίζουν εκατομμύρια δολάρια σε επιχειρήσεις, λιγότερα από τέσσερα στα δέκα στελέχη δηλώνουν ότι έχουν περιορίσει πλήρως τον κίνδυνο έκθεσης σε θέματα κυβερνοασφάλειας σε μια σειρά από τομείς υψίστης σημασίας. Σε αυτούς περιλαμβάνονται η δυνατότητα εξ αποστάσεως ή υβριδικής εργασίας (38% δηλώνει ότι οι κίνδυνοι έχουν περιοριστεί πλήρως), η επιτάχυνση υιοθέτησης υπηρεσιών cloud (35%), η αυξημένη χρήση του Internet of Things (34%), η αυξημένη ψηφιοποίηση της εφοδιαστικής αλυσίδας (32%) και οι λειτουργίες back office (31%).
Η πλειονότητα των στελεχών που συμμετείχαν στην έρευνα δηλώνουν ότι οι οργανισμοί τους συνεχίζουν να αυξάνουν τον προϋπολογισμό τους που αφορά την κυβερνοασφάλεια με το 69% να δηλώνει ότι είναι ήδη αυξημένος το 2022 και το 65% να σχεδιάζει μεγαλύτερες επενδύσεις το 2023. Η αύξηση αντικατοπτρίζει την εξέχουσα θέση των ζητημάτων κυβερνοασφάλειας στην ατζέντα ανθεκτικότητας των επιχειρήσεων.
Ο Γιώργος Κολλιδάς, Partner, Advisory, Technology Leader της PwC Ελλάδας, ανέφερε: «Παρά την πρόοδο που έχει σημειωθεί στα θέματα κυβερνοασφάλειας απαιτούνται ακόμη σημαντικά βήματα προκειμένου οι επιχειρήσεις να αρχίσουν να ανταποκρίνονται επαρκώς στις προκλήσεις του ψηφιακού τους μετασχηματισμού.
Οι μεγάλοι οργανισμοί έχουν ήδη αρχίσει να λαμβάνουν τα κατάλληλα μέτρα, ωστόσο πολλές μικρότερες, κυρίως, επιχειρήσεις εξακολουθούν να αντιλαμβάνονται τη θωράκισή τους έναντι των διαδικτυακών κινδύνων ως δαπάνη παρά ως επένδυση. Καθώς η ψηφιοποίηση των συστημάτων και των οργανισμών θα εντείνεται, δύο είναι οι κινήσεις που πρέπει να ολοκληρωθούν προκειμένου να ανταπεξέλθουν οι επιχειρήσεις στις προκλήσεις του ψηφιακού μετασχηματισμού και να μπορέσουν να βοηθήσουν ώστε να εξασφαλιστεί η εμπιστοσύνη του κοινού:
Η πρώτη είναι η κατάρτιση στρατηγικής διαχείρισης κυβερνοασφάλειας και η δεύτερη ο σχεδιασμός ενός πλάνου επιχειρησιακής συνέχειας και εναλλακτικών σχεδίων ανάκαμψης των λειτουργιών του οργανισμού σε περίπτωση κυβερνοεπίθεσης».
Γιατί είναι ευάλωτες οι κατασκευές;
Από αυτό το κύμα ψηφιοποίησης των λειτουργιών και διαδικασιών ενός επιχειρηματικού οργανισμού δεν θα μπορούσε να απουσιάζει η βιομηχανία υποδομών και ο κατασκευαστικός κλάδος. Οι τεχνολογίες των δεδομένων έχουν επεκταθεί στις κατασκευές, την αρχιτεκτονική και τα δομικά-οικοδομικά υλικά, με τα λογισμικά να αποτελούν τον βασικότερο κινητήριο μοχλό του ψηφιακού μετασχηματισμού των επιχειρήσεων. Η ταχύτατη ψηφιακή μεταστροφή όμως των επιχειρήσεων όλου του φάσματος των κατασκευών, που υιοθέτησαν μέσα σε δύο χρόνια τουλάχιστον όση τεχνολογία δεν είχαν αποκτήσει τα τελευταία τριάντα χρόνια, προκάλεσε το ενδιαφέρον των κυβερνοεγκληματιών.
Σε αυτές τις συνθήκες λοιπόν ζητούμενο παραμένει το πόσο σημαντική θεωρούν οι εταιρείες του οικοσυστήματος των υποδομών τη θωράκιση έναντι των διαδικτυακών απειλών.
Σύμφωνα με τον Μπάμπη Χαραλάμπους, Head of IT της Vitex, «η κυβερνοασφάλεια αποτελεί έναν από τους πυλώνες του στρατηγικού πλάνου της Διεύθυνσης Πληροφορικής της εταιρείας μας, καθώς οι απειλές στον κυβερνοχώρο, όπως πειρατεία, κακόβουλο λογισμικό και παραβιάσεις δεδομένων, είναι ικανές να προκαλέσουν σημαντική ζημιά σε κάθε οργανισμό ανεξαρτήτως κλάδου ή δραστηριότητας.
Ως εκ τούτου, υπάρχει ένα εγκεκριμένο πλάνο επενδύσεων, σε επίπεδο εξειδικευμένων λύσεων και εκπαίδευσης του προσωπικού, ώστε να ενισχυθεί η ψηφιακή θωράκιση των συστημάτων και των δεδομένων μας.
Στόχοι μας είναι τα συστήματά μας να αλληλοεπιδρούν με ασφαλή τρόπο, τόσο με προμηθευτές όσο και με τους πελάτες μας, ελαχιστοποιώντας τον κίνδυνο είτε μετάδοσης προβλημάτων είτε διαρροής δεδομένων. Να διασφαλιστεί η απρόσκοπτη λειτουργία τους για να μην ανασχεθεί η τροφοδοσία της αγοράς και τέλος να προφυλαχθεί η πνευματική μας περιουσία». Στο ίδιο μήκος κύματος κινείται και ο Ελευθέριος Κοψίδης, IT Manager της Mapei, τονίζοντας το πόσο σημαντική είναι για την εταιρεία η διαφύλαξη των δεδομένων της. «Ο ψηφιακός κόσμος δεν διαφέρει σε τίποτα από τον πραγματικό. Έτσι λοιπόν όσο σημαντική και αναγκαία είναι η ασφάλεια στον πραγματικό κόσμο ασχέτως αν ζητά πρόσθετη επένδυση χρημάτων, διότι η ασφάλεια είναι μια επένδυση, άλλο τόσο είναι σημαντικό για τον ψηφιακό.
H Mapei, αν και δεν θα το φανταζόταν κάποιος είναι μια εταιρεία τεχνολογίας, όπου η ‘‘προίκα’’ της είναι οι πληροφορίες που έχει ή δημιουργεί. Είναι μια εταιρεία που με ένα ισχυρό τμήμα R&D δημιουργεί πρωτοποριακές συνταγές για τα προϊόντα της. Μια εταιρεία που σπάει την πέτρα στο βουνό και την καταλήγει τελικό προϊόν για τους πελάτες της.
Όλα αυτά καταγράφονται μέσα σε ένα ομοιογενές περιβάλλον. Έχετε φανταστεί το πόσο καταστροφικό θα ήταν για τη Mapei αν αυτές οι πληροφορίες διέρρεαν στον ανταγωνισμό, παραποιούνταν ή χανόντουσαν;».
Ransomware και phising, οι μεγαλύτερες απειλές
Το 2021, σύμφωνα με μια έρευνα της εταιρείας κυβερνοσφάλειας NordLocker, ήταν το έτος κατά το οποίο η κατασκευαστική αγορά είχε δεχθεί τις περισσότερες επιθέσεις ransomware ανάμεσα σε 35 βιομηχανικούς κλάδους (βάσει της αξιολόγησης των περιστατικών από 1.200 εταιρείες διεθνώς). Το ransomware, δηλαδή το λογισμικό (ή λυτρισμικό) στο πλαίσιο του οποίου οι χάκερ κρυπτογραφούν αρχεία ηλεκτρονικών υπολογιστών και στη συνέχεια ζητούν λύτρα για να τα ξεκλειδώσουν, είναι ένα από τα εργαλεία των κυβερνοεγκληματιών.
«Το ransomware αποτελεί ίσως τη μεγαλύτερη απειλή, ικανή να επηρεάσει την εφοδιαστική αλυσίδα ενός οργανισμού στο σύνολό της, με σοβαρές συνέπειες στην ομαλή λειτουργία μιας εταιρείας», σημειώνει επ’ αυτού ο κ. Χαραλάμπους της Vitex. «Εξίσου σημαντική είναι και η απειλή επιθέσεων phishing (μέσω email ή τηλεφωνικά), οι οποίες γίνονται όλο και πιο περίπλοκες και με δυνατότητες να υπερκεράσουν τα όποια μέτρα προστασίας (τεχνολογικές λύσεις και διαδικασίες) έχει αναπτύξει ο κάθε οργανισμός, για οικονομικό όφελος».
Πώς θα ενισχυθεί η κυβερνοασφάλεια
Η δημιουργία ενός ισχυρού πλέγματος προστασίας των επιχειρήσεων στον κυβερνοχώρο δεν είναι εύκολη υπόθεση. Απαιτεί την υιοθέτηση μιας πειθαρχημένης και πλήρους στρατηγικής η οποία θα διαπνέεται από την υπευθυνότητα που θα επιδεικνύουν όλα τα εμπλεκόμενα μέρη – οι ίδιοι οι εργαζόμενοι της εταιρείας και οι συνεργάτες της. Σε αυτή την προσπάθεια, είναι κρίσιμη η πρόληψη και προετοιμασία των ανθρώπων. Όσο περισσότερο εξελίσσονται τα κακόβουλα λογισμικά, άλλο τόσο ενισχύεται η αναγκαιότητα της ανάπτυξης ψηφιακών δεξιοτήτων και της σωστής εκπαίδευσης, ευαισθητοποίησης από την πλευρά του ανθρώπινου δυναμικού. Για αυτό το ζήτημα, ο Ελευθέριος Κοψίδης της Mapei επισημαίνει σχετικά με τους κινδύνους που απειλούν μια εταιρεία αυτού του αντικειμένου:
«Καμία απειλή συστήματος παραγωγής δεν μπορεί να μπει σε βαθμίδες μεγέθους κρισιμότητας. Όσο πιο ‘‘ελαφριά’’ αντιμετωπίζεται μια απειλή ή το proactiveness maturity level αυτής είναι χαμηλό, τόσο πιο επικίνδυνη μπορεί να γίνει». Μιλώντας πιο συγκεκριμένα για την εταιρεία του, ο κ. Κοψίδης σημειώνει: «H Mapei Hellas στο κομμάτι της πληροφορικής έχει δύο μότο. Το πρώτο είναι το ‘‘Mentor your people’’ και το δεύτερο το ‘‘Are you a Mapei member? Prove it’’. Όπως καταλαβαίνετε, η εκπαίδευση των χρηστών μας είναι το μέγιστο μέλημά μας για την ορθή χρήση των συστημάτων μας. Όσο επίπονο και να είναι για το δικό μας τμήμα, κανείς δεν γεννήθηκε με έτοιμες γνώσεις. Εμείς είμαστε αυτοί που θα τις μεταλαμπαδεύσουμε και θα καθοδηγήσουμε τους χρήστες μας να τις κάνουν κτήμα τους. Όσον αφορά το σύνθημά μας, το Zero Trust security model είναι το μοντέλο που χρησιμοποίησε και χρησιμοποιεί η εταιρεία μας πριν ακόμα και την εποχή που η τηλεργασία έγινε ανάγκη και trend. Ο βασικός νόμος του Zero Trust security model λέει ‘‘never trust, always verify’’. Εμείς για τις ανάγκες τις εταιρείας μας το ονομάσαμε ‘‘Are you a Mapei member? Prove it’’.
Αυτοί οι δύο πυλώνες ορίζουν τη στρατηγική της εταιρείας μας προς τους χρήστες. Όσον αφορά εμάς στο τμήμα ΙΤ & Information Security, οφείλω να ομολογήσω πως κανείς μας δεν μπορεί να νιώθει ασφαλής στις μέρες μας. Συνεχώς ενημερωνόμαστε για νέες απειλές και σχεδιάζουμε το αύριο με σκοπό την ασφαλή λειτουργία των παραγωγικών μας συστημάτων. Επιπρόσθετα σε αυτό, για οτιδήποτε δεν μπορούμε να προβλέψουμε ή να είμαστε proactive, προσπαθούμε να ελαχιστοποιήσουμε το ρίσκο ζημίας των παραγωγικών μας συστημάτων (mitigation risk)».
Από την πλευρά του, ο κ. Χαραλάμπους της Vitex υπογραμμίζει για τη στρατηγική κυβερνοπροστασίας που εφαρμόζει η εταιρεία του: «Οι διαδικτυακές απειλές συνεχώς εξελίσσονται και μεταλλάσσονται με αποτέλεσμα μια σειρά από μέτρα προφύλαξης και αποτροπής που έχει αναπτύξει ένας οργανισμός να μην είναι αρκετά για να αποτρέψουν μια τέτοια απειλή.
Η προσέγγισή μας βασίζεται στο τρίπτυχο ‘‘συνεχείς αξιολογήσεις ευπάθειας, συντήρηση-βελτιστοποίηση των εξειδικευμένων λύσεων-διαδικασιών αποτροπής κυβερνοαπειλών και ανάπτυξη νέων, και συνεχής εκπαίδευση-ενημέρωση τόσο των στελεχών της Διεύθυνσης Πληροφορικής αλλά και των τελικών χρηστών μας’’».
Γιατί ο κατασκευαστικός κλάδος είναι στόχος: 3+1 λόγοι
- Αργός ψηφιακός μετασχηματισμός, απροετοίμαστες εταιρείες ψηφιακά
- Περίπλοκο δίκτυο συνεργατών, με κενά ασφαλείας
- Κινητικότητα μεγάλων χρηματικών ποσών
- Απουσία εθνικού ρυθμιστικού πλαισίου που να προωθεί την κυβερνοασφάλεια
Κατασκευαστικές που έπεσαν θύματα κυβερνοεγκλήματιων
- Τον Ιανουάριο του 2020, η γαλλική κατασκευαστική εταιρεία Bouygues έπεσε θύμα επίθεσης ransomware που έκλεισε προσωρινά και διέκοψε ορισμένα από τα κρίσιμα συστήματα υπολογιστών της.
- Την ευθύνη της επίθεσης ανέλαβε η συμμορία του Maze ransomware, η οποία κατάφερε να αποσπάσει 1,2 GB ευαίσθητων δεδομένων της εταιρείας. Λίγες ημέρες νωρίτερα, η ίδια συμμορία «χτύπησε» την καναδική εργοληπτική εταιρεία Bird με τον ίδιο τρόπο.
- Τον Μάιο του 2021, οι βρετανικές κατασκευαστικές εταιρείες που ειδικεύονται στις νοσοκομειακές υποδομές, Bam Construct και Interserve, έπεσαν θύματα κυβερνοεπίθεσης που έκλεισε σημαντικά συστήματα του δικτύου υπολογιστών τους.
- Μετά τη ρωσική εισβολή στην Ουκρανία, τον Φεβρουάριο του 2022, πολλαπλασιάστηκαν οι προειδοποιήσεις για ενισχυμένες ρωσικές κυβερνοεπιθέσεις σε κατασκευαστικές εταιρείες του ευρωπαϊκού χώρου (constructiondive.com).