ΤΗΣ ΕΜΙΛΥΣ ΜΙΝΤΗ
Αν μας έλεγε κανείς πριν από μερικά χρόνια ότι ο υπολογιστής μας κινδυνεύει από υποκλοπή δεδομένων όσο και το σπίτι μας, πολλοί ενδεχομένως να μην έδιναν την απαραίτητη σημασία ή να θεωρείτο η θέση αυτή ως υπερβολική.
Σήμερα όμως τα πράγματα έχουν αλλάξει και η πραγματικότητα μάς λέει πως το Cyber Security μάς αφορά όλους. Κράτος, επιχειρήσεις και ιδιώτες αντιλαμβάνονται πλέον τη σημασία και την κρισιμότητα της κυβερνοασφάλειας. Αποδεδειγμένα, οι συνέπειες για μια επιχείρηση ή Οργανισμό που έχει δεχθεί κακόβουλη ενέργεια είναι τεράστιες και αλυσιδωτές. Αρχίζοντας από το οικονομικό κόστος και τα έξοδα, οι συνέπειες επεκτείνονται σε θέματα ψυχολογίας και δη, στη φήμη της εταιρείας.
ΑΥΞΗΤΙΚΗ ΤΑΣΗ ΣΤΙΣ ΕΠΙΘΕΣΕΙΣ
Ομολογουμένως τους τελευταίους μήνες το Cyber Security έχει απασχολήσει πιο έντονα την κυπριακή κοινωνία, μετά και τα συνεχή «χτυπήματα» που είχαμε σε μεγάλες επιχειρήσεις και Κρατικούς Οργανισμούς οι οποίοι «πληρώνουν» μεγάλο τίμημα από τις κακόβουλες επιθέσεις που δέχθηκαν.
Το φαινόμενο αυτό δεν αφορά βεβαίως μόνο την Κύπρο και ούτε είναι σημερινό. Και σίγουρα δεν είναι μεμονωμένο. Σύμφωνα με τις εκτιμήσεις, η τάση στις κυβερνοεπιθέσεις θα συνεχίσει να είναι αυξητική σε παγκόσμιο επίπεδο. Θα έλεγε κανείς ότι είναι ο εφιάλτης της εποχής και επειδή θεωρείται ως θέμα ζωτικής σημασίας, η συστηματική λήψη μέτρων και η πρόληψη είναι εκ των ων ουκ άνευ. Για παράδειγμα η Ε.Ε. αναγνωρίζοντας την τεράστια σημασία του Cyber Security και σε μια προσπάθεια να αντιμετωπίσει την κάθετη αύξηση των επιθέσεων αυτών, φιλοδοξεί να εφοδιαστεί με μια «κυβερνοασπίδα», η οποία μεταξύ άλλων θα βελτιώσει τον εντοπισμό των επιθέσεων σε προγενέστερο στάδιο. Στις 18 Απριλίου 2023, η Επιτροπή ενέκρινε πρόταση για την πράξη της ΕΕ για την αλληλεγγύη στον κυβερνοχώρο με σκοπό την ενίσχυση των ικανοτήτων κυβερνοασφάλειας στην ΕΕ.
ΜΕΤΑ ΤΟ ΚΤΥΠΗΜΑ ΤΙ;
Τι συμβαίνει όμως σε μια εταιρεία/Οργανισμό μετά την επίθεση; Ποιος είναι το αντίκτυπος του Cyberattack και ποια τα επόμενα βήματα; Επίσης, σε ποιες εταιρείες επιδιώκουν να «κτυπήσουν» οι γνωστοί χάκερ και πού μια κυβερνοεπίθεση μπορεί να είναι επιτυχημένη;
Για όλα αυτά (και πολλά άλλα), είναι άκρως ενδιαφέροντα τα συμπεράσματα που προκύπτουν από έρευνα που πραγματοποίησαν ο καθηγητής Χρηματοοικονομικής στο Πανεπιστήμιο Κύπρου δρ Ανδρέας Μιλιδώνης με τους συνεργάτες του Shinichi Kamiya, Jun-Koo Kang, Jungmin Kim και Rene M. Stulz, σε ό,τι αφορά τα εξής ερωτήματα:
• Πώς μια επιτυχημένη κυβερνοεπίθεση αλλάζει τον τρόπο διαχείρισης κινδύνων και τη φήμη της εταιρείας;
• Ποιες είναι οι οικονομικές επιπτώσεις των κυβερνοεπιθέσεων;
• Ποιες εταιρείες είναι πιο πιθανόν να επηρεαστούν;
• Ποιος είναι ο αντίκτυπος των κυβερνοεπιθέσεων στον πλούτο των μετόχων, στην αύξηση των πωλήσεων της εταιρείας, στη λειτουργική απόδοση και οικονομική ευρωστία, στα κίνητρα ανάληψης διαχείρισης κινδύνου και στη φήμη της εταιρείας;
Θα πρέπει να σημειωθεί πως για την έρευνα αναλύθηκαν δεδομένα από 200 περίπου δημόσιες εταιρείες που δραστηριοποιούνται στις ΗΠΑ από το 2005-2017. Το δείγμα που χρησιμοποιήθηκε περιλάμβανε δεδομένα που αναφέρονται από το Privacy Rights Clearinghouse. Οι ερευνητές εστίασαν μεταξύ άλλων στο hacking ή την ηλεκτρονική είσοδο κακόβουλου λογισμικού από εξωτερικό μέρος που προκάλεσε απώλεια προσωπικών πληροφοριών (κυβερνοεπιθέσεις).
Για την έρευνα αυτή, συνομιλήσαμε με τον δρα Ανδρέα Μιλιδώνη, ο οποίος μάς εξήγησε πώς ο λόγος που επιλέχθηκαν εταιρείες της Αμερικής οφείλεται στο γεγονός πως στις ΗΠΑ οι εταιρείες που δέχονται κυβερνοεπίθεση έχουν την υποχρέωση να ενημερώνουν τις Εποπτικές Αρχές, κάτι που δεν συμβαίνει σε αρκετές άλλες αναπτυγμένες χώρες.
Αξίζει δε να σημειωθεί πως τα αποτελέσματα της έρευνας έχουν δημοσιευθεί ως ακαδημαϊκό άρθρο υπό τον τίτλο «Risk management, firm reputation, and the impact of successful cyberattacks on target firms» στο ακαδημαϊκό περιοδικό Journal of Financial Economics.
ΟΙ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΙΣ ΔΕΝ ΕΙΝΑΙ ΟΛΕΣ ΙΔΙΕΣ
Μιλώντας στο περιοδικό Εconomy Today ο καθηγητής Χρηματοοικονομικής στο Πανεπιστήμιο Κύπρου, Ανδρέας Μιλιδώνης, κληθείς να σχολιάσει την αυξητική τάση των κυβερνοεπιθέσεων σημείωσε πως: «Από το 2005-2017 που εξετάζουμε δεδομένα επιθέσεων στις ΗΠΑ, αυτό που βλέπουμε είναι πως οι επιθέσεις αυτές γίνονται πιο συχνές και η φύση των επιθέσεων αλλάζει. Δηλαδή η συχνότητα και η ένταση των επιθέσεων αλλάζει. Επίσης, σε περιόδους αυξημένης γεωπολιτικής έντασης οι κυβερνοεπιθέσεις αυξάνονται όχι μόνο σε εταιρείες αλλά και σε κυβερνητικούς Οργανισμούς».
ΤΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΗΣ ΕΡΕΥΝΑΣ
Αναλύοντας κάποια από τα σημαντικά ευρήματα της έρευνας, ο δρ Μιλιδώνης ερωτηθείς ποιες εταιρείες είναι πιθανόν να δεχθούν μια πετυχημένη κυβερνοεπίθεση αναφέρθηκε σε έξι κατηγορίες οι οποίες είναι: μεγάλες επιχειρήσεις, εταιρείες με μεγαλύτερη προβολή (Fortune 500), εταιρείες υψηλής αξίας, επιχειρήσεις με άυλα περιουσιακά στοιχεία, επιχειρήσεις των οποίων ο ανταγωνισμός στην αγορά προϊόντων είναι λιγότερο έντονος και τέλος, εταιρείες που δίνουν λιγότερη προσοχή στη διαχείριση κινδύνου.
ΑΝΤΙΚΤΥΠΟΣ ΣΤΟΝ ΠΛΟΥΤΟ ΤΩΝ ΜΕΤΟΧΩΝ
Όσον αφορά στο δεύτερο ερευνητικό ερώτημα το οποίο εστιάζει στον αντίκτυπο που έχει η επίθεση στον πλούτο των μετόχων μετά από μια κυβερνοεπίθεση, ο δρ Μιλιδώνης εξήγησε πως «λόγω του ότι οι εταιρείες αυτές διαπραγματεύονται στο Χρηματιστήριο η επίδραση των αγορών είναι άμεση. Οι επενδυτές το βλέπουν ως κάτι αρνητικό. Αυτό που προκύπτει είναι τις τρεις μέρες γύρω από τη μέρα της επίθεσης, δηλαδή, τη μέρα πριν, τη μέρα της επίθεσης και την επόμενη μέρα παρατηρείται πτώση στην τιμή της μετοχής κατά 1,10%. Η ζημιά είναι μεγαλύτερη εάν οι εταιρείες έχουν απολέσει ευαίσθητες πληροφορίες όπως ταυτότητες, αριθμούς λογαριασμών κ.ά..
Οι απώλειες αυτές με βάση το δείγμα που αναλύσαμε μεταφράζονται σε $607 εκατ. ανά εταιρεία, κατά μέσον όρο».
ΤΙ ΑΛΛΑΖΕΙ ΣΤΗΝ ΕΤΑΙΡΙΚΗ ΠΟΛΙΤΙΚΗ
Η έρευνα εστιάζει επίσης και στις αλλαγές που επιφέρει μια κυβερνοεπίθεση στις εταιρικές πολιτικές, (πώς αλλάζουν οι εταιρικές πολιτικές μετά από μια κυβερνοεπίθεση). Σύμφωνα με την έρευνα μετά την κακόβουλη επίθεση παρατηρούνται κάποιες αξιοσημείωτες αλλαγές σε σχέση με την απόδοση της εταιρείας, την οικονομική ευρωστία και τις επενδυτικές πολιτικές. Συγκεκριμένα προκύπτει:
1. Μείωση στην αύξηση των πωλήσεων για τα επόμενα τρία χρόνια ειδικότερα για μεγάλες επιχειρήσεις και επιχειρήσεις που δραστηριοποιούνται στον τομέα του λιανικού εμπορίου.
2. Μείωση της πιστοληπτικής ικανότητας και της περιουσίας των μετόχων.
3. Μείωση ή αστάθεια των χρηματικών ροών ή και αύξηση της πιθανότητας πτώχευσης.
4. Μείωση των βραχυπρόθεσμων επενδύσεων.
5. Χρηματικό έλλειμμα και ανάγκη για νέο δανεισμό σε μακροπρόθεσμο ορίζοντα.
ΠΟΛΙΤΙΚΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΟΥ
Οι πολιτικές διαχείρισης κινδύνου είναι ένας άλλος άξονας στον οποίο θα εστιάσουν οι εταιρείες μετά που θα δεχθούν την κυβερνοεπίθεση. Συγκεκριμένα:
1. Δίνεται περισσότερη προσοχή από πλευράς των Δ.Σ. στη διαχείριση κινδύνων (π.χ δημιουργία επιτροπής κινδύνου στο διοικητικό συμβούλιο).
2. Αλλαγές στις πολιτικές αποζημίωσης των CEO μετά από μια κυβερνοεπίθεση. Στο σημείο αυτό διευκρινίζεται πως αν και δεν υπάρχει κάποια αλλαγή σε ό,τι αφορά στη συνολική αποζημίωσή τους, εντούτοις υπάρχει μείωση στο bonus (φιλοδώρημα). Σε ό,τι αφορά τον άξονα της διαχείρισης κινδύνου, από την έρευνα προκύπτει πως οι εταιρείες που δέχονται κακόβουλη επίθεση παρουσιάζουν μείωση στη διάθεση ανάληψης ρίσκου. «Αν μια εταιρεία πριν την επίθεση είχε τη διάθεση να αναλάβει ένα νέο ρίσκο, ένα νέο πρότζεκτ ή ακόμα και να προχωρήσει σε εξαγορά μιας άλλης εταιρείας μετά την κυβερνοεπίθεση αναθεωρεί τη στρατηγική της μειώνοντας τα κίνητρα ανάληψης ρίσκου και αυξάνοντάς τα για περισσότερη μεσοπρόθεσμη σταθερότητα στα έσοδα των εταιρειών», εξήγησε ο κ. Μιλιδώνης.
ΤΟ ΚΟΣΤΟΣ ΦΗΜΗΣ…
Ένα από τα πλέον σημαντικά ερωτήματα της έρευνας σχετίζεται με τη φήμη της εταιρείας. Στο ερώτημα, «Ποιος είναι ο αντίκτυπος στη φήμη της εταιρείας μετά από μια κυβερνοεπίθεση» ο δρ Μιλιδώνης ανέφερε πως «το κόστος φήμης υπολογίζεται ως η διαφορά του συνολικού κόστους των μετόχων (κεφαλαιουχική αξία) μείον το κόστος σε μετρητά που θα κλειθεί να πληρώσει η εταιρεία μετά την επίθεση». Το κόστος σε μετρητά χωρίζεται στις τρεις πιο κάτω κατηγορίες:
1. Το κόστος που θα πρέπει να πληρωθεί για να καταλάβουν από που δέχθηκαν επίθεση και πώς θα μετριάσουν την επίδρασή της στην εταιρεία.
2. Το κόστος που θα προκύψει από νομικά έξοδα και άλλα πρόστιμα που θα πρέπει να πληρώσει η εταιρεία προς τους πελάτες της γιατί τους έχει θέσει σε κίνδυνο.
3. Το κόστος που θα πρέπει να πληρώσει στις εποπτικές αρχές.
Για να αντιληφθούμε το μέγεθος της ζημιάς ως προς το κόστος της φήμης της εταιρείας μετά που θα δεχθεί την κυβερνοεπίθεση, οι αριθμοί που ακολουθούν είναι ενδεικτικοί: Σύμφωνα με τον κ. Μιλιδώνη και με βάση τον υπολογισμό που έχει γίνει στο δείγμα που εξετάστηκε για τις ανάγκες τής εν λόγω έρευνας, «η συνολική ζημιά που δέχονται οι μέτοχοι στην Αμερική ανέρχεται στα $104 δις (ενώ ο μέσος όρος ζημιάς για την κάθε εταιρεία τις τρεις πρώτες μέρες είναι κοντά στα $600 εκατ.). Συνεπώς, αφού η συνολική απώλεια στην περιουσία των μετόχων της εταιρείας είναι περίπου $104 δις και τα έξοδα πληρωτέα με μετρητά όπως τα έχουμε αναφέρει πιο πάνω περίπου $1 δις, τότε το κόστος φήμης είναι περίπου $103 δις ή το 98,5% της συνολικής απώλειας περιουσίας των μετόχων», κατέληξε.
Διαβάστε επίσης: Σάββας Πεντάρης: Οι τράπεζες πρέπει να αντιμετωπίσουν τις μελλοντικές προκλήσεις