ΣΕΒ: 4 στις 10 βιομηχανίες αντιμέτωπες με κυβερνο-απειλή
Ο κλάδος της βιομηχανίας αντιμετωπίζει αυξανόμενες απειλές στην εποχή της 4ης Βιομηχανικής επανάστασης σύμφωνα με τον ΣΕΒ, που σημειώνει σε μελέτη του ότι σε ευρωπαϊκό επίπεδο, το 2018 4 στις 10 βιομηχανικές επιχειρήσεις επηρεάστηκαν από σοβαρό συμβάν ασφάλειας.
Τα περιστατικά εκβιασμών αυξήθηκαν 3500%, η ψηφιακή απάτη κατά 250%, η μέση οικονομική ζημιά ανήλθε σε 330.000 ευρώ ανά περιστατικό ενώ η αντίστοιχη μέση ζημιά από παραβίαση οικονομικών και εμπιστευτικών δεδομένων ήταν 7,5 εκατ. ευρώ.
Σημειώνεται πως τα νούμερα παρουσιάζουν ισχυρά αυξητική τάση το 2019, ενώ η πανδημία αναμένεται να τα αυξήσει περισσότερο.
Οι μεσαίες και μεγάλες επιχειρήσεις υιοθετούν εκτενώς νέες ψηφιακές τεχνολογίες και βιώνουν ψηφιακές παραβιάσεις ιδιαίτερης σοβαρότητας. Την περίοδο 2014-2019, οι παραβιάσεις αυξήθηκαν κατά 67%, με αποτέλεσμα το 2019, το 40% των επιχειρήσεων να βιώσει ψηφιακές παραβιάσεις, με αυξημένο κόστος και χρόνο αποκατάστασης. Το μέσο κόστος αποκατάστασης μαζί με τη μέση επίπτωση στην
καθημερινή λειτουργία υπολογίζεται σε 13 εκατ. ευρώ ανά παραβίαση. Η ζημιά αυτή παρουσιάζει σημαντική αυξητική τάση κατά 72% την τελευταία πενταετία. Το 2020 πάνω από το 50% των μεσαίων και μεγάλων επιχειρήσεων αναμένεται να απειληθεί από κάποιας μορφής κυβερνοεπίθεση. Για επιχειρήσεις με σημαντικό όγκο εμπιστευτικών πληροφοριών (όπως η πνευματική ιδιοκτησία), είναι ιδιαίτερα
κρίσιμη η επαρκής προστασία.
Σε πρόσφατη ανάλυση, το μέσο κόστος αποκατάστασης (τεχνική και λειτουργική) από κυβερνοεπίθεση ανέρχεται σε 3,9 εκατ. ευρώ ανά παραβίαση, ενώ το μέσο χρονικό διάστημα για τον εντοπισμο και περιορισμό του περιστατικού φτάνει τις 280 ημέρες.
Το Παρατηρητήριο Ψηφιακού Μετασχηματισμού του ΣΕΒ για την κυβερνοασφάλεια με τη συνεργασία της Deloitte, προτείνει ένα πλέγμα 35 καλών πρακτικών κυβερνοασφάλειας καθώς και έναν οδικό χάρτη προετοιμασίας για την αντιμετώπιση ψηφιακών επιθέσεων, ώστε οι επιχειρήσεις να αναβαθμίσουν την ασφάλειά τους μέσα από την απάντησή τους σε 10 κρίσιμα ερωτήματα:
1. Ποιος έχει τη θέση του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO); Έχει η θέση επαρκείς διοικητικές
αρμοδιότητες για το σχεδιασμό και εποπτεία της κυβερνοασφάλειας;
2. Διατίθεται επαρκής προϋπολογισμός και ανθρώπινοι πόροι για θέματα κυβερνο-προστασίας;
Προστασία: λειτουργίες και συστήματα που προστατεύονται με καλές πρακτικές και δικλείδες ασφαλείας
3. Ποιες διαδικασίες της επιχείρησης βασίζονται καταλυτικά σε ψηφιακά συστήματα και πως επηρεάζεται η
καθημερινή λειτουργία της επιχείρησης από προβλήματα στα συστήματα αυτά;
4. Ποια είναι τα κρίσιμα προϊόντα / υπηρεσίες / πληροφορίες / γραμμές παραγωγής / ΤΠΕ που χρήζουν προστασίας;
5. Ποιοι είναι οι νέοι κίνδυνοι που αναπτύσσονται στον κυβερνοχώρο για τις κρίσιμες διαδικασίες και συστήματα της
επιχείρησης;
6. Ποιο είναι το υφιστάμενο και ποιο το επιθυμητό επίπεδο κυβερνοασφάλειας στις διαδικασίες και στα συστήματα
της επιχείρησης;
Ανθεκτικότητα: με αρχιτεκτονική ψηφιακής ασφάλειας και συνεχείς προληπτικούς ελέγχους
7. Ποια πρότυπα ασφαλείας πρέπει να χρησιμοποιήσει η επιχείρηση;
8. Ποιες είναι οι προτεραιότητες για την κυβερνοπροστασία της επιχείρησης, με μεσοπρόθεσμο (1 έτος) και
μακροπρόθεσμο ορίζοντα (5 έτη);
9. Πως υιοθετείται μια κουλτούρα ασφαλούς χρήσης ψηφιακών συστημάτων από όλους τους εργαζόμενους;
10. Κάθε πότε γίνονται δοκιμές ανθεκτικότητας της προστασίας και κάθε πότε επικαιροποιείται η στρατηγική;
Η τοπική αγορά
Στην Ελλάδα, οι επιχειρήσεις, αν και υλοποιούν (ή σχεδιάζουν να υλοποιήσουν) δράσεις ψηφιακής μετάβασης, εν τούτοις δεν προσδίδουν πάντα την απαιτούμενη σημασία στα θέματα ασφάλειας. Οι
κύριες αιτίες του φαινομένου εντοπίζονται στην έλλειψη κουλτούρας, στην υλοποίηση μεμονωμένων ενεργειών, στην περιορισμένη στόχευση στο μέλλον, στη διάθεση χαμηλών προϋπολογισμών και στην ανεπαρκή στελέχωση των τμημάτων κυβερνοασφάλειας και ανεπάρκειες στην τεχνική κατάρτιση των στελεχών.
Σύμφωνα με μελέτη των Deloitte και MAPI (Manufacturer’s Alliance for Productivity and Innovation): 4 στις 10 βιομηχανικές επιχειρήσεις τους τελευταίους 12 μήνες επηρεάστηκαν από κάποιο συμβάν ασφάλειας. Τα περιστατικά εκβιασμών αυξήθηκαν 35 φορές, ενώ τα περιστατικά εξαπάτησης 2,5 φορές. Η οικονομική ζημιά από περιστατικά ασφάλειας που σχετίζονται με δίκτυα Internet of Things ανήλθε σε 330.000 ευρώ κατά μέσο όρο και η οικονομική ζημιά από παραβίαση δεδομένων ανήλθε σε 7,5 εκατ. ευρώ κατά μέσο όρο.
Η μελέτη προτείνει 10 βήματα για ένα ολιστικό σχέδιο κυβερνοασφάλειας
Κατανομή ρόλων και δημιουργία ομάδας για την κατάρτιση του σχεδίου.
Εξέταση του μοντέλου λειτουργίας.
Αξιολόγηση του υφιστάμενου επιπέδου κυβερνοασφάλειας.
Διερεύνηση και αξιολόγηση των υφιστάμενων και αναπτυσσόμενων κινδύνων και απειλών στον κυβερνοχώρο.
Προσδιορισμός των αγαθών στρατηγικής σημασίας που πρέπει να προστατευθούν.
Ανάπτυξη πλαισίου και προτύπων διαχείρισης της κυβερνοασφάλειας.
Κατάρτιση στρατηγικής κυβερνοασφάλειας.
Υιοθέτηση κουλτούρας κυβερνοασφάλειας.
Ανάπτυξη και εφαρμογή σχεδίου ανθεκτικότητας.