Η διοίκηση της επιχείρησης απέναντι στο ransomware
Άρθρο κ. Γιώργου Ναθαναήλ, Συμβούλου του Τομέα Απασχόλησης και Αγοράς Εργασίας του ΣΕΒ, στο Moneyreview.gr
«Τι πήγε στραβά; Πώς συνέβη σε μας; Νομίζαμε ότι είχατε τα πράγματα υπό έλεγχο». Αυτά είναι τα πρώτα πράγματα που θα ακούσει ένας διευθυντής πληροφορικής (ή CIO αν η επιχείρηση είναι μεγάλη και η πληροφορική της βαριά) από το Διοικητικό Συμβούλιο της επιχείρησης μετά από μία κυβερνοεπίθεση που κατάφερε να κρυπτογραφήσει τα δεδομένα της ώστε να μην είναι πλέον διαθέσιμα, παραλύοντας έτσι τις νευραλγικές λειτουργίες της. Κάτι που είναι πιο πιθανό να συμβεί σήμερα, όπου ένα μεγάλο μέρος των στελεχών εργάζεται από το σπίτι, και τα συστήματα ασφαλείας μπορούν να τρυπήσουν σε απρόσμενα σημεία.
Αντιμέτωπος με αυτά τα ερωτήματα, ο υπεύθυνος πρέπει να αναπτύξει με στοιχεία και όχι με εικοτολογίες ή φανταστικά σενάρια, πώς σκοπεύει να αντιμετωπίσει την κρίση ένα πλάνο αντιμετώπισης, για το σήμερα και για το μετά. Ποιος όμως έχει την τελική ευθύνη; Ο υπεύθυνος της πληροφορικής που υλοποιεί το σχέδιο κυβερνοασφάλειας της επιχείρησης, ή η διοίκηση που ορίζει τους ρόλους και παίρνει τις στρατηγικές αποφάσεις; Για να το αποφασίσουμε αυτό πρέπει πρώτα να κάνουμε μία επισκόπηση του τοπίου καθώς και να δούμε πώς αναπτύσσεται και πώς εκδηλώνεται μία επίθεση ransomware.
Το Τοπίο των Κυβερνοεκβιασμών Σήμερα
Το κυβερνοέγκλημα έχει πάρει την ανιούσα τα τελευταία χρόνια και αυτή η τάση προβλέπεται να ενισχυθεί. Η σημαντικότερη κατηγορία είναι το ransomware: το 2020 αποτέλεσε το 23% των κυβερνοεγκλημάτων με τζίρο 350 εκατομμυρίων δολαρίων. Το 2021 παρακολουθήσαμε -με μεγάλη δημοσιότητα- αρκετά δράματα να εκτυλίσσονται: κρίσιμες υποδομές, κυβερνητικοί οργανισμοί, πάροχοι υπηρεσιών πληροφορικής, πολιτικοί και, βεβαίως, επιχειρήσεις, όλοι αυτοί έπεσαν θύματα ransomware. Οι σπείρες κλείδωσαν και σε ορισμένες περιπτώσεις έκλεψαν τα δεδομένα τους και μετά τους ζήτησαν λύτρα. Ο χάρτης του εγκλήματος επίσης αναδιατάχθηκε: Κάποιες σπείρες «παύθηκαν» ενώ νέοι παίκτες εμφανίστηκαν. Και χάρη σε μερικές περιπτώσεις υψηλού προφίλ, όλοι άρχισαν να καταλαβαίνουν τις επιπτώσεις μίας επίθεσης ransomware. Ότι δηλαδή καμία επιχείρηση, ανεξάρτητα από το μέγεθος ή το σημείο της στον χάρτη (και η Ελλάδα φυσικά, όπως απέδειξε πρόσφατα και η περίπτωση με τα Ελληνικά Αμυντικά Συστήματα) δεν είναι ασφαλής. Εδώ αξίζει να σημειώσουμε ότι οι προνομιακοί στόχοι των τρομοκρατών, ενώ αρχικά ήταν οι ΗΠΑ, φαίνεται ότι σταδιακά μετακινήθηκαν στην Ευρώπη, όπου επικεντρώνεται σχεδόν το 60% των επιθέσεων ransomware παγκοσμίως.
Στις 8 Μαΐου 2021, η κυβερνοσπείρα Darkside (που εικάζεται ότι κατοικοεδρεύει στη Ρωσία), επιτέθηκε στην Colonial Pipeline, την μεγαλύτερη εταιρεία πετρελαιαγωγών στις ΗΠΑ, και την ανάγκασε να διακόψει απότομα την λειτουργία της. Το αποτέλεσμα; Ουρές στα βενζινάδικα και κήρυξη κατάστασης έκτακτης ανάγκης από την πρόεδρο Τζο Μπάϊντεν. Η εταιρεία -παρόλο που οι ομοσπονδιακές διωκτικές αρχές την συμβούλευσαν να μην καταβάλει τα λύτρα- μέσα σε λίγες ώρες αποφάσισε να τα πληρώσει. Καταβλήθηκαν 75 bitcoin, το ισοδύναμο των 4 εκατομμυρίων δολαρίων, για να πάρει η επιχείρηση τα «κλειδιά», να ξεκλειδώσει τα δεδομένα της και να μπορέσει να λειτουργήσει ξανά. Το ότι οι ομοσπονδιακές αρχές μπόρεσαν να ανακτήσουν το μεγαλύτερο μέρος των λύτρων και να το επιτρέψουν είναι μία παρηγοριά, που όμως δεν αναιρεί σε τίποτα την σοβαρότητα της κατάστασης. Η Darkside λίγο μετά την επίθεση δήλωσε ότι το κίνητρό της ήταν να βγάλει χρήματα και όχι «να δημιουργήσει προβλήματα στην κοινωνία», και αργότερα ανακοίνωσε ότι «λόγω πίεσης από τις ΗΠΑ θα ανέστελε την δραστηριότητα της». Ωστόσο, όπως πιστεύουν οι ειδικοί σε θέματα κυβερνοεγκλήματος, τα παλιά μέλη απλώς δημιούργησαν μία καινούργια σπείρα, την «οικογένεια» Blackmatter. Επρόκειτο απλώς για rebranding, όπως κάνουν πολλές ακόμη ομάδες.
Λίγο αργότερα, στις 30 Μαΐου, ήταν η σειρά της βραζιλιάνικης JBS, της μεγαλύτερης εταιρείας επεξεργασίας και συσκευασίας κρεάτων στον κόσμο. Οι εγκαταστάσεις της JBS στις ΗΠΑ (όπου η εταιρεία διακινεί το ένα πέμπτο της συνολικής κατανάλωσης της χώρας σε κρέας) και στην Αυστραλία παρέλυσαν. Αυτή την φορά η σπείρα ήταν η διαβόητη Revil, πάλι με ρωσικές καταβολές. Οι ομοσπονδιακές αρχές και σε αυτή την περίπτωση παρότρυναν την JBS να μην καταβάλει λύτρα, εκείνη ωστόσο -αποφεύγοντας αρχικά να το παραδεχτεί- πλήρωσε 11 εκ. δολάρια σε bitcoin, κυρίως για να εξασφαλίσει ανακωχή αόριστης διαρκείας με την σπείρα.
Ο Λευκός Οίκος τότε συνειδητοποίησε για τα καλά ότι το ransomware είχε πια κλιμακωθεί σε απειλή για την εθνική ασφάλεια των ΗΠΑ. Στις 2 Ιουλίου 2021 έστειλε μία ανοιχτή επιστολή στους επικεφαλής των επιχειρήσεων και οργανισμών παροτρύνοντάς τους να πάρουν ενεργά μέτρα ασφαλείας και τονίζοντας ότι το ransomware είναι «μία απειλή στις κρίσιμες επιχειρησιακές δραστηριότητές τους, και όχι μόνον ένα ρίσκο κλοπής δεδομένων». Πρότεινε επίσης μία σειρά μέτρων ασφαλείας —κοινής λογικής, που οι εταιρείες και οι σύμβουλοί τους τα ήξεραν από χρόνια, αλλά ήταν άγνωστο αν είχαν εφαρμοστεί αποτελεσματικά.
Στις 9 Ιουλίου ο Πρόεδρος Μπάιντεν τηλεφώνησε στον Ρώσο ομόλογό του Βλαντιμίρ Πούτιν και του ζήτησε να λάβει δραστικά μέτρα για τον περιορισμό του κύβερνοεγκλήματος. Αν δεν το έκανε εκείνος, οι ΗΠΑ θα αναλάμβαναν δράση με κάθε πρόσφορο μέσο. Στις 13 Ιουλίου η Revil εξαφανίστηκε από το Ίντερνετ.
Αναφερθήκαμε παραπάνω σε σπείρες. Είναι σημαντικό να κατανοήσουμε ότι οι επιθέσεις αυτές δεν γίνονται από διεστραμμένες ευφυΐες, από μοναχικούς λύκους που δουλεύουν στο σπίτι τους, ή -έστω- στο γκαράζ τους. Πρόκειται για οργανωμένο έγκλημα, μία τεχνολογική μαφία, που λειτουργεί με ιεραρχία, οργανωτική δομή, κανόνες, στόχους «παραγωγικότητας», και όλη την υποδομή που θα ζήλευαν πολλά software houses. Διαθέτουν μάλιστα και τμήματα customer service και help desk για να διευκολύνουν τους εκβιαζόμενους!
Oι σπείρες αυτές όχι μόνον συνεργάζονται μεταξύ τους, ανταλλάσσοντας υποδομές, τεχνογνωσία και πληροφορίες, αλλά διαθέτουν πλέον τις υπηρεσίες τους σε τρίτους: Ransomware-As-A-Service. Με άλλα λόγια και τηρουμένων των αναλογιών, η οργανωτική δομή του (ρωσικού κυρίως) κλάδου ransomware λειτουργεί ως franchise -όπως είναι τα McDonalds ή η Avis- ώστε να μπορούν να μπουν στην «αγορά» μικρότεροι παίκτες, ως συνδεδεμένοι franchisee, στους οποίους παρέχονται δοκιμασμένες επιχειρηματικές πρακτικές και τεχνικές. Τέλος εικάζεται ότι ορισμένες από αυτές τις οργανώσεις διατηρούν υπόγεια κανάλια επικοινωνίας (και υποστήριξης) με παρακρατικούς οργανισμούς, με ότι αυτό συνεπάγεται για την εθνική ασφάλεια μίας χώρας.-στόχου.
Η Ανατομία Ενός Κυβερνοεγκλήματος
Η ημέρα μηδέν, τότε που θα ανακαλύψετε ότι σας έχουν κλειδώσει έξω από τα δεδομένα, στην ουσία έξω από την επιχείρησή σας, είναι το αποτέλεσμα μίας μακρόχρονης και συστηματικής προσπάθειας που έχει ξεκινήσει τουλάχιστον 50 ημέρες πριν, μερικές φορές και 200 ημέρες νωρίτερα. Ως αποτέλεσμα -συνήθως- ενός απρόσεκτου ηλεκτρονικού «ψαρέματος» (phishing) κάποιου στελέχους της εταιρείας που τσίμπησε το δόλωμα, η σπείρα αρχικά αποκτά πρόσβαση στα συστήματά σας. Αργά και μεθοδικά θα ψάξει για να βρει όλες τις κρίσιμες εφαρμογές, τα δεδομένα και τα αρχεία, καθώς και τις μεθόδους εφεδρικών αντιγράφων που χρησιμοποιείτε. Την κρίσιμη ημέρα θα κρυπτογραφήσει όλα τα δεδομένα σας, και θα «σπάσει» όλα τα αντίγραφα ασφαλείας, καθώς και τις «φωτογραφίες» της κατάστασης του συστήματος. Πρέπει να σημειώσουμε ότι τα σημερινά συστήματα πληροφορικής είναι εξαιρετικά περίπλοκα και τα αντίγραφα ασφαλείας είναι ένα σχετικό και όχι απόλυτο μέσο προστασίας, η δε ενημερότητά τους μπορεί να βρίσκεται αρκετά πίσω από την ώρα της επίθεσης.
Τι σημασία λοιπόν έχει αν είστε στα γραφεία σας και όχι δεμένοι και φιμωμένοι σε ένα απόμακρο κρησφύγετο; Η σπείρα σας κρατάει όμηρο. Την επόμενη μέρα θα επικοινωνήσει μαζί σας και θα απαιτήσει λύτρα. Αν σας ζητήσει λύτρα απλώς για να σας δώσει μία εφαρμογή με την οποία θα αποκρυπτογραφήσετε τα αρχεία σας τα πράγματα είναι κάπως καλύτερα: ο εκβιασμός είναι απλός. Αν όμως επιπρόσθετα απειλήσει να δημοσιοποιήσει τα στοιχεία σας, τα οποία έχει ήδη κλέψει, τότε ο εκβιασμός είναι διπλός. Δεν είναι ασυνήθιστο μάλιστα οι σπείρες να βγάζουν τα κλεμμένα δεδομένα σε δημοπρασία και να τα πωλούν στον πλειοδότη, ο οποίος μετά κάνει την δική του διαπραγμάτευση, και αν αποτύχει τα βγάζει στην φόρα.
Η άμεση προσπάθεια της εταιρείας θα είναι βέβαια να αποκαταστήσει συστήματα, εφαρμογές, δεδομένα και αρχεία. Εκτός και αν αποφασίσει να πληρώσει τα λύτρα, μία παρακινδυνευμένη κίνηση που δεν εγγυάται ότι θα πάρει όλα τα δεδομένα της πίσω. Αν -όπως αναφέραμε και παραπάνω- η σπείρα δεν έχει καταστρέψει τα πρόσφατα αντίγραφα ασφαλείας σας, χωρίς να το έχετε αντιληφθεί, και αν έχετε αξιοποιήσιμα αντίγραφα ασφαλείας, (δυο ανεξάρτητα «αν») τότε η μάχη είναι με τον χρόνο. Η ανάκαμψη μπορεί να πάρει πολύ χρόνο, και όλον αυτό τον καιρό δεν θα μπορείτε να λειτουργήσετε.
Κρίσιμα Ερωτήματα για το Πριν —Όχι το Μετά
Και εδώ τίθενται κρίσιμα ερωτήματα που πρέπει να απασχολήσουν όχι μόνο την πληροφορική, αλλά και όλη την διοίκηση μίας επιχείρησης. Το πρώτο: «Πόσο σίγουροι -ή ανήσυχοι- είστε για την ικανότητα του οργανισμού σας να ανακάμψει από μίαν επίθεση ransomware;» Η ενστικτώδης απάντηση είναι προφανής: «πολύ σίγουροι, αφού παίρνουμε αντίγραφα ασφαλείας!». Αυτή η απάντηση όμως, χωρίς να είναι προφανώς αυταπόδεικτη, με την σειρά της γεννά νέα ερωτήματα που, ξανά, δεν πρέπει να απασχολούν μόνον την πληροφορική, αλλά και την διοίκηση:
- Πότε ήταν η τελευταία φορά που η εταιρεία επανέφερε μεγάλο όγκο δεδομένων από αντίγραφα ασφαλείας; Σε σχετικές έρευνες, το 57% των εταιρειών απάντησε ότι δεν έχει τεστάρει το σχέδιο ανάκαμψης (το σχέδιο δηλαδή συνέχισης της επιχειρηματικής τους δραστηριότητας) τους τελευταίους 2 μήνες. Ακόμη χειρότερα, ένα 39% δεν το έχει τεστάρει ποτέ. Και εδώ δεν εννοούμε το τεστάρισμα μιας τυπικής διαδικασίας επαναφοράς δεδομένων, αλλά ένα ρεαλιστικό σενάριο ανάκαμψης.
- Πόσος χρόνος χρειάστηκε; Το 66% των εταιρειών ανέφερε ότι χρειάστηκε περισσότερες από 5 ημέρες για να ανακάμψει από μία επίθεση ransomware, ενώ ο μέσος χρόνος ανάκαμψης τοποθετείται στις 21 μέρες —για να αρχίσει απλώς η επιχείρηση να λειτουργεί. Για να ανακάμψουν πλήρως, ωστόσο, είναι πολλές εκείνες οι επιχειρήσεις που χρειάστηκαν έως και 1 έτος!
- Τι ακριβώς καλύπτουν -αν έχετε- τα συμβόλαια εγγυημένης παροχής υπηρεσιών (SLA) για την επαναφορά στην προηγούμενη κατάσταση; Είναι εδώ που τα ψιλά γράμματα των συμβολαίων παύουν να είναι ψιλά, και αναλόγως αρχίζουν οι πονοκέφαλοι.
- Ποια είναι τα σημεία «συμφόρησης» της υποδομής και των ανθρώπων σας; Δύσκολο να εκτιμηθεί a priori, αλλά καλύτερα να έχετε μια εκτίμηση στα χέρια σας από το να μην έχετε τίποτα.
- Θα πετύχετε τους στόχους που έχετε θέσει με το υφιστάμενο επίπεδο υπηρεσιών που έχετε υπογράψει εν καιρώ ηρεμίας και ειρήνης; Τώρα είναι που θα αρχίσουν να επιπλέουν οι θαμμένες εκπτώσεις και παραδοχές, τις οποίες έχετε κάνει για να μειώσετε το κόστος, πιθανά υποτιμώντας τους κινδύνους.
Η Διοίκηση Απέναντι στο Ransomware
Εκτός από τον Λευκό Οίκο και η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) των ΗΠΑ, ανησυχεί σοβαρά για τις επιπτώσεις του ransomware. Απευθύνθηκε λοιπόν στις αμερικανικές επιχειρήσεις και επέστησε την προσοχή των διοικητικών συμβουλίων των εταιρειών: «Μην υποτιμάτε τον ρόλο σας στην εποπτεία της ασφάλειας των δεδομένων». Τις παρότρυνε να θέσουν την ασφάλεια των δεδομένων ως υψηλή προτεραιότητα, λέγοντας ότι, αντίθετα απ΄ ότι πιστεύουν οι περισσότεροι, η ασφάλεια των δεδομένων ξεκινάει από το Διοικητικό Συμβούλιο. Θέτοντας την ασφάλεια των δεδομένων ως υψηλή προτεραιότητα, η διοίκηση δίνει τον τόνο σε όλη την οργάνωση, εγκαθιδρύοντας μία κουλτούρα ασφαλείας και καθορίζοντας ισχυρούς στόχους προστασίας από απειλές. Επιπλέον, αυτή η αντιμετώπιση σπάει τα στεγανά «σιλό» της εταιρείας που εμποδίζουν στρατηγικές συνεργασίες μεταξύ των τμημάτων σε θέματα ασφαλείας.
Μερικές από τις βασικές και δοκιμασμένες πρακτικές που έχουν υιοθετήσει εταιρίες (σχεδόν ανεξαρτήτως μεγέθους) είναι:
- Η δημιουργία μίας ομάδας «ενδιαφερομένων μερών» σε όλη την επιχείρηση. Οι διευθύνοντες σύμβουλοι στην πλειονότητα τους (89% σύμφωνα με μία πρόσφατη έρευνα) θεωρούν ότι κυβερνοασφάλεια είναι μία λειτουργία της Διεύθυνσης Πληροφορικής. Όπως είπαμε όμως αφορά στο σύνολο της επιχείρησης. Η ομάδα που θα δημιουργηθεί θα πρέπει να συμπεριλαμβάνει ενδιαφερόμενους από την επιχειρησιακή, νομική, και τεχνολογική πλευρά. Θα πρέπει να μετέχουν εξειδικευμένα στελέχη τόσο υψηλού επιπέδου, όσο και επιχειρησιακό προσωπικό, και θα πρέπει να λειτουργεί έτσι ώστε να μπορούν όλοι -ανεξάρτητα από την θέση τους στην ιεραρχία-να εκφράζουν ελευθέρα την γνώμη τους και τις ανησυχίες τους.
- Η καθιέρωση εποπτείας σε επίπεδο Διοικητικού Συμβουλίου. Η εποπτεία του κινδύνου που διατρέχει μία εταιρεία από κυβερνοεπιθέσεις δεν πρέπει να εκχωρείται σε μία επιτροπή ελέγχου (audit), ή ακόμη και σε μία υποπεπιτροπή του ΔΣ. Επιβάλλεται να αποτελεί προτεραιότητα του ίδιου του ΔΣ, προκειμένου να διασφαλιστεί ότι οι κυβερνοαπειλές, οι άμυνες της επιχείρησης και τα μέτρα αντιμετώπισης έχουν την προσοχή που τους αρμόζει, αλλά και τους κατάλληλους πόρους για να υλοποιηθούν. Αυτό σημαίνει συχνές και σε βάθος ενημερώσεις, από τα αρμόδια στελέχη , αλλά και από τυχόν εξωτερικούς συνεργάτες.
- Η διάκριση νομικής συμμόρφωσης και ασφάλειας. Η εμπειρία δείχνει ότι η υποδειγματική συμμόρφωση δεν μεταφράζεται αυτόματα σε αποτελεσματική ασφάλεια, διότι οι απειλές εξελίσσονται και μεταλλάσσονται διαρκώς. Για παράδειγμα, η συμμόρφωση με τον κανονισμό GDPR απαιτεί ότι η επιχείρηση πρέπει να λάβει «όλα τα τεχνικά και οργανωτικά μέτρα» προκειμένου να αποφύγει την παραβίαση των δεδομένων της. Αυτό όμως πρέπει να εξειδικευτεί κατάλληλα και να προσαρμόζεται διαρκώς. Το Διοικητικό Συμβούλιο είναι εκείνο που πρέπει να φροντίσει ώστε τα προγράμματα ασφαλείας να ταιριάξουν με τις ιδιαίτερες ανάγκες, την τεχνολογία και τα δεδομένα της εταιρείας. Επίσης πρέπει να επωμιστεί το καθήκον να κάνει τις «δύσκολες ερωτήσεις» γενικότερου ενδιαφέροντος όπως π.χ. «Είναι οι πρακτικές ασφαλείας που ακολουθούμε σε ευθυγράμμιση με τις πολιτικές μας και με τις δημόσιες διαβεβαιώσεις μας;».
- Η αντιμετώπιση πέρα από την πρόληψη. Η επιχείρηση μπορεί να διαθέτει ένα ισχυρό πρόγραμμα ασφαλείας για να προστατέψει το δίκτυό της, αλλά αυτό δεν είναι άτρωτο. Οι πρόσφατες επιθέσεις έχουν καταδείξει ότι πέραν από την πρόληψη η επιχείρηση χρειάζεται ένα αποτελεσματικό και ταχύ μηχανισμό μείωσης των επιπτώσεων των επιθέσεων, όταν αυτές συμβούν —τότε που ακόμη και τα δευτερόλεπτα μετρούν. Η διοίκηση θα εστιάσει καλύτερα στο πρόβλημα και θα το αντιμετωπίσει αποτελεσματικότερα αν είναι «μέσα στο κύκλωμα», αν δηλαδή διατηρεί την εποπτεία, όπως αναφέρθηκε παραπάνω: Η επιχείρηση έτσι θα είναι πολύ πιο ευέλικτη, η δε κλιμάκωση της αντιμετώπισης στα υψηλότερα επίπεδα -όταν απαιτηθεί- θα γίνει πολύ ταχύτερα.
- Η διαρκής εκπαίδευση και ευαισθητοποίηση όλου του προσωπικού. Η συντριπτική πλειονότητα των συμβάντων (πάνω από 85%) οφείλεται σε κάποιον υπάλληλο, τον οποίον «ψάρεψαν» οι κυβερνοεγκληματίες. Ακόμη και αν έχει υπάρξει μία αρχική εκπαίδευση -συχνά μόνον ενημέρωση- για την προφύλαξη από τέτοιου είδους απειλές, η ασφαλής συμπεριφορά του προσωπικού σπάνια γίνεται αυτοματισμός· μετά από λίγο, αν δεν γίνουν αναμνηστικές δόσεις ευαισθητοποίησης, ξεχνιέται.
Συμπερασματικά, η διοίκηση κάθε επιχείρησης πρέπει να φροντίσει ώστε η προστασία από το ransomware να μην αποτελεί μια δεύτερη σκέψη της, ανάμεσα στα άλλα φλέγοντα θέματα, αλλά να ενσωματωθεί στον πυρήνα των επιχειρησιακών διαδικασιών, από την ανάπτυξη των προϊόντων, μέχρι την πώληση, το μάρκετινγκ και το ανθρώπινο δυναμικό. Οι εταιρείες ούτως ή άλλως δυσκολεύονται να αναδιοργανώσουν τις διαδικασίες τους, ιδιαίτερα αν υποπτεύονται ότι έτσι θα αυξηθεί το κόστος, αλλά η σημερινή αδήριτη ανάγκη του ψηφιακού μετασχηματισμού τους προσφέρει μια σπάνια ευκαιρία να γίνουν ταυτόχρονα και πιο αποτελεσματικές και πιο ασφαλείς.