Μεταφράζει η Πέννυ Τζανετοπούλου, φοιτήτρια Ψυχολογίας
Μόνο το 2022, οι επιθέσεις στον κυβερνοχώρο παγκοσμίως αυξήθηκαν κατά 38%, προκαλώντας ουσιώδεις απώλειες στην άσκηση της επιχειρηματικής δραστηριότητας, τόσο σε οικονομικό επίπεδο, όσο και επίπεδο επιχειρηματικής υπόληψης. Στο μεταξύ, ο προϋπολογισμός των υπηρεσιών ασφαλείας έχει αυξηθεί σημαντικά, λόγω της αυξανόμενης πολυπλοκότητας των επιθέσεων, όπως επίσης και ο αριθμός των νέων μεθόδων που χρησιμοποιούνται για την παροχή κυβερνοασφάλειας . Με αυτήν την αύξηση, λοιπόν, που παρατηρείται στις απειλές, στον προϋπολογισμό και στις μεθόδους παροχής ασφάλειας, πόσο προετοιμασμένες είναι οι χώρες και η βιομηχανία να αντιμετωπίσουν τον τωρινό κίνδυνο στον κυβερνοχώρο;
Η νέα αναφορά ληκτότητας του 2023 για την κυβερνοασφάλεια από το CYE, δίνει απάντηση στο παραπάνω ερώτημα, εξετάζοντας την ισχύ της κυβερνοασφάλειας σε διάφορους τομείς, ανάλογα με το μέγεθος των επιχειρήσεων και των χωρών. Υπογραμμίζει ποιες εταιρείες και χώρες έχουν τις πιο ισχυρές υποδομές όσον αφορά τον κυβερνοχώρο, και ποιες υστερούν, καθώς επίσης και ποιες είναι οι πιο συνηθισμένες αδυναμίες στο τοπίο των σύγχρονων απειλών στον κυβερνοχώρο.
Τα δεδομένα της ανάλυσης συλλέχθηκαν σε διάρκεια δύο χρόνων από περισσότερους από 500 οργανισμούς σε 15 χώρες καλύπτοντας 11 κλάδους κι ένα εύρος εταιρειών. Η έρευνα εξετάζει το επίπεδο ωριμότητας της κυβερνοασφάλειας, σε εφτά διαφορετικούς κλάδους ασφαλείας, συμπεριλαμβάνοντας μεταξύ άλλων το επίπεδο ασφάλειας στις εφαρμογές, στο δίκτυο, στην διαχείριση της ταυτότητας, στην απομακρυσμένη σύνδεση κ.ά.
Τα κυριότερα ευρήματα είναι τα εξής:
1ο Εύρημα: Μεγαλύτεροι προϋπολογισμοί δεν σημαίνουν απαραίτητα μεγαλύτερη παροχή κυβερνοασφάλειας.
Από τις χώρες που ερευνήθηκαν, η Νορβηγία σημείωσε τον υψηλότερο βαθμό συνολικής ασφάλειας στον κυβερνοχώρο, με την Κροατία και την Ιαπωνία να ακολουθούν. Αν και οι προαναφερθείσες χώρες δεν διαθέτουν τους μεγάλους προϋπολογισμούς που διαθέτουν άλλες χώρες, όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο και η Γερμανία, διαθέτουν εξελιγμένα ρυθμιστικά προγράμματα. Επιπλέον, το γεγονός ότι η Νορβηγία, η Κροατία και η Ιαπωνία υιοθέτησαν από νωρίς μεθόδους παροχής ασφάλειας στον κυβερνοχώρο, με μαζικούς σχεδιασμούς από τις κυβερνήσεις και τους οργανισμούς, αποτελούν επίσης λόγους για τους οποίους οι τρεις αυτές χώρες κατέχουν την πρώτη θέση.
Το συγκεκριμένο εύρημα, λοιπόν, αποδεικνύει πως οι μεγάλοι προϋπολογισμοί μιας χώρας δεν εγγυώνται πάντα και την ανάλογη κυβερνοασφάλεια.
2ο Εύρημα: Οι τεχνολογικές εταιρείες παρουσιάζουν μέτριο βαθμό επίδοσης.
Ανάμεσα σε διάφορους τομείς, οι ενεργειακοί και οικονομικοί τομείς ήταν αυτοί που κατέκτησαν την πρώτη θέση όσον αφορά το ζήτημα της συνολικής κυβερνοασφάλειας. Αντίθετα, οι τομείς της υγείας, του λιανικού εμπορίου, καθώς και οι κυβερνητικές υπηρεσίες, βρίσκονται στις χαμηλότερες θέσεις. Έκπληξη προκαλεί το γεγονός ότι οι τεχνολογικές εταιρείες σημείωσαν μέτριο βαθμό επίδοσης στο συγκεκριμένο ζήτημα, γεγονός που πιθανόν οφείλεται στο μεγαλύτερο φάσμα επιθέσεων που αυτές καλούνται να αντιμετωπίσουν, συγκριτικά με τους προαναφερθέντες τομείς.
Οι μέτριες επιδόσεις θα μπορούσαν επίσης να οφείλονται στην τάση των τεχνολογικών εταιρειών να υιοθετούν νέες τεχνολογικές μεθόδους, οι οποίες ενδέχεται να είναι πιο απροστάτευτες απέναντι σε επιθέσεις και εκμεταλλεύσεις στον κυβερνοχώρο. Επιπρόσθετα, οι τομείς της τεχνολογίας τείνουν να αναπτύσσονται πολύ πιο γρήγορα από άλλους τομείς, δυσχεραίνοντας ακόμα περισσότερο την προσπάθειά τους να διατηρήσουν μία δυνατή άμυνα απέναντι στα ζητήματα ηλεκτρονικού εγκλήματος.
3ο Εύρημα: Οι μικρές και μεσαίες επιχειρήσεις σημειώνουν υψηλότερες βαθμολογίες από τις μεγαλύτερες επιχειρήσεις.
Έκπληξη προκαλεί, επίσης, το γεγονός ότι οι μικρές και μεσαίες επιχειρήσεις σημείωσαν καλύτερες επιδόσεις όσον αφορά την ασφάλεια στον κυβερνοχώρο, σε σύγκριση με μεγαλύτερες εταιρείες που απασχολούν πάνω από 10.000 υπαλλήλους. Αυτό μπορεί να οφείλεται στο ότι οι μικρότερες επιχειρήσεις είναι σε θέση να αντιμετωπίζουν πιο εύκολα τις απειλές, λόγω του μικρότερου εύρους τους. Όσον αφορά τις μεσαίες επιχειρήσεις, η έρευνα έδειξε ότι η επένδυση σε αποτελεσματικές μεθόδους κυβερνοασφάλειας αποτελεί βασική τους προτεραιότητα. Από την άλλη, οι μεγαλύτερες επιχειρήσεις που καλούνται να αντιμετωπίσουν μεγαλύτερο αριθμό και εύρος ηλεκτρονικών εγκλημάτων, δεν σημειώνουν υψηλές επιδόσεις όσον αφορά το επίπεδο κυβερνοασφάλειας που παρέχουν.
4ο Εύρημα: Σχεδόν το 1/3 των επιχειρήσεων δεν διαθέτει αποτελεσματικές μεθόδους ασφαλείας των κωδικών πρόσβασης.
Η έρευνα αποκάλυψε ότι το 32% των επιχειρήσεων παρουσίασαν αδύναμες πολιτικές ασφαλείας των κωδικών πρόσβασης – ένα επιλύσιμο πρόβλημα το οποίο οι εταιρείες δεν έχουν καταφέρει ακόμα να καταπολεμήσουν επαρκώς. Επιπρόσθετα, ένα 23% των επιχειρήσεων βρέθηκε να μην διαθέτει μηχανισμούς επαλήθευσης. Το φαινόμενο αυτό είναι ιδιαίτερα ανησυχητικό, καθώς ο συνδυασμός των δύο παραπάνω προβλημάτων, διευκολύνει ακόμα περισσότερο την δράση των χάκερ, οι οποίοι μπορούν να συνδεθούν καταβάλλοντας την λιγότερο δυνατή προσπάθεια.
Προτάσεις για βέλτιστη παροχή κυβερνοασφάλειας
Το συνολικό συμπέρασμα που προκύπτει από την παρούσα έρευνα είναι ότι οι περισσότερες επιχειρήσεις δεν είναι επαρκώς προετοιμασμένες για να αντιμετωπίσουν φαινόμενα επιθέσεων στον κυβερνοχώρο. Ωστόσο, οργανισμοί και εταιρείες μπορούν ακόμα να εγκαθιδρύσουν ισχυρές μεθόδους παροχής κυβερνοασφάλειας, χωρίς αυτό απαραίτητα να συνεπάγεται την ύπαρξη μεγάλων προϋπολογισμών, αρκεί να σχεδιαστούν τα κατάλληλα πλάνα δράσης και να πραγματοποιηθούν σωστές επενδύσεις.
Για να προστατευτούν οι ίδιοι οι οργανισμοί, θα πρέπει να επενδύσουν περισσότερο στις δυνατότητές τους, παρά στα εργαλεία τους. Θα πρέπει επίσης, να προβούν σε ολική αποτίμηση των αδυναμιών τους, προκειμένου να εμποδίσουν τους χάκερ από το να τις εκμεταλλευτούν. Τέλος, μία καλή πρόταση θα ήταν να ενσωματώσουν μία προσέγγιση κυβερνοασφάλειας σε επίπεδο διοικητικού συμβουλίου. Εγκεκριμένες λύσεις για την βέλτιστη παροχή της κυβερνοασφάλειας, όπως το CYE, μπορούν να συμβάλλουν με τον κατάλληλο συνδυασμό τεχνολογιών, ανθρώπινου δυναμικού και διεργασιών, στον προσδιορισμό και την διαχείριση των κινδύνων στον κυβερνοχώρο, προκειμένου οι επιχειρήσεις να συνειδητοποιήσουν το μέγεθος των απειλών και να θέσουν ως προτεραιότητά τους τον περιορισμό τους.
Πηγή:
https://thehackernews.com/2023/03/2023-cybersecurity-maturity-report.html
Volunteer Team