Ο ειδικός σε θέματα ασφάλειας του διαδικτύου κ. Ντίνος Παστός μας μιλά για τις προκλήσεις που αντιμετωπίζουν οι επιχειρήσεις από τους χάκερ.

«Η εκπαίδευση του προσωπικού των επιχειρήσεων σε θέματα διαδικτυακής ασφάλειας είναι πάρα πολύ σημαντική, γιατί ένα μεγάλο πρόβλημα σε αυτόν τον τομέα είναι η άγνοια». Αυτά τονίζει σε συνέντευξή του στο Capital Today ο ειδικός σε θέματα ασφάλειας διαδικτύου κ. Ντίνος Παστός, ο οποίος εξηγεί τους τρόπους, με τους οποίους μπορεί κάποιος να πέσει θύμα επίθεσης. Σύμφωνα με τον κ. Παστό, «με βάση τα τελευταία κρούσματα, οι βασικότερες προκλήσεις που καλούνται να αντιμετωπίσουν οι επιχειρήσεις στο διαδίκτυο είναι η διαρροή, κλοπή και καταστροφή πληροφοριών». Επισημαίνει πως «από τη στιγμή που όλες σχεδόν οι εταιρείες έχουν υπολογιστές και smartphones που είναι ενωμένα στο διαδίκτυο, τότε όλοι είναι πιθανά θύματα και οι χάκερ δεν έχουν λόγο να αγνοήσουν ένα υποψήφιο θύμα (εταιρεία) βάσει του μεγέθους της».

Ποιες είναι οι βασικότερες προκλήσεις που έχουν να αντιμετωπίσουν οι επιχειρήσεις στην ψηφιακή εποχή;

Βάσει των τελευταίων κρουσμάτων που παρατηρούμε, οι βασικότερες προκλήσεις που έχουν να αντιμετωπίσουν οι επιχειρήσεις στο διαδίκτυο, είναι η διαρροή, κλοπή και καταστροφή πληροφοριών μετά από μια επίθεση από χάκινγκ ή από κακόβουλο λογισμικό που «έτρεξε» ένας υπάλληλος από λάθος.

Αυτά μπορεί να είναι κωδικοί πρόσβασης, προσωπικά δεδομένα, ηλεκτρονική αλληλογραφία και πνευματική ιδιοκτησία. Οι κωδικοί πρόσβασης είναι σαν τα κλειδιά μιας πόρτας! Όποιος τους έχει μπορεί να μπαινοβγαίνει σε ένα σύστημα και ταυτόχρονα να παριστάνει τον υπάλληλο μιας εταιρείας. Αυτό είναι ένα πολύ επικίνδυνο σενάριο, γιατί από τη στιγμή που θα εισέλθει κάποιος σε ένα σύστημα εξ αποστάσεως και θα κλέψει πληροφορίες είναι ήδη αργά για κάποιον να αποτρέψει τη διαρροή πληροφοριών.

Ένας άλλος τρόπος, με τον οποίο μπορεί ένας χάκερ να έχει κέρδος, είναι η πρόσβαση στο email κάποιου άλλου ατόμου. Για παράδειγμα, μπορεί να περιμένει να γίνει μια αποστολή τιμολογίου προς το θύμα, να το αλλάξει με ένα ψεύτικο τιμολόγιο και να περιμένει το θύμα να πληρώσει το παραποιημένο τιμολόγιο που έχει ως παραλήπτη έναν λογαριασμό που ελέγχει ο ίδιος. Όσο απλό και αν ακούγεται, αυτό είναι κάτι που συμβαίνει, διότι το θύμα εκτελεί την εντολή πληρωμής ωσάν να είναι κανονική για μια υπηρεσία ή προϊόντα που παρήγγειλε για την επιχείρησή του. (Fake Invoice Fraud)

Έξυπνες επιθέσεις

Ποιοι είναι οι συχνότεροι κίνδυνοι για εταιρείες που δραστηριοποιούνται διαδικτυακά και πού θα πρέπει να εστιάσουν για περαιτέρω προστασία;

Οι κίνδυνοι που ελλοχεύουν στο διαδίκτυο είναι πολλοί. Τον τελευταίο καιρό παρατηρούμε ότι οι μέθοδοι και οι τρόποι επίθεσης που χρησιμοποιούνται είναι ακόμη πιο έξυπνοι, με τρόπο που μπορούν να παραπλανήσουν τον ανθρώπινο παράγοντα να υποπέσει σε λάθος και να εμπιστευθεί ένα ψεύτικο email, μια ψεύτικη ιστοσελίδα ακόμη και μια καλοστημένη παγίδα που έχει ως στόχο την ανάκτηση πληροφοριών από μια εταιρεία.

Είναι δεδομένο ότι πολύ πιο εύκολα μπορούν να κλαπούν κωδικοί ή πληροφορίες από τον ανθρώπινο παράγοντα παρά από ένα σύστημα που πιθανόν να προστατεύεται από λογισμικά και πολιτικές ασφαλείας. Αυτός είναι και ένας από τους λόγους που οι χάκερ εστιάζουν στη μέθοδο του Phishing («ψάρεμα»), ξεγελώντας με τρόπο απλό το ίδιο το θύμα να τους παραδώσει τις πληροφορίες που αναζητούν (κωδικούς, πληροφορίες, προσωπικά δεδομένα κ.λπ).

Στο σημείο αυτό είναι σημαντικό να τονίσω ότι δεν υπάρχει 100% ασφάλεια σε συστήματα και ειδικά όταν παρεμβαίνουν ή χρησιμοποιούνται από τον ανθρώπινο παράγοντα. Η εκπαίδευση του προσωπικού είναι πάρα πολύ σημαντική και η άγνοια είναι ένα από τα μεγαλύτερα προβλήματα που υπάρχει στον τομέα αυτό.

Ποιες επιχειρήσεις έχουν περισσότερες πιθανότητες να πέσουν θύματα χάκερ και διαδικτυακής απάτης;

Τη στιγμή που όλες σχεδόν οι εταιρείες έχουν υπολογιστές και smartphones, που είναι ενωμένα στο διαδίκτυο, τότε όλοι είναι πιθανά θύματα και οι χάκερ δεν έχουν λόγο να αγνοήσουν ένα υποψήφιο θύμα (εταιρεία) βάσει του μεγέθους της. Δηλαδή, τα οφέλη για έναν χάκερ να παραβιάσει κάποιο σύστημα δεν βασίζονται μόνο στον τζίρο της εταιρείας, αλλά στον παράγοντα πιθανού κέρδους με τακτικές εκφοβισμού. Αρκετά είναι τα θύματα που έχουμε και στην Κύπρο, όπου μετά από επιθέσεις Randsomware ζητούν από το θύμα να πληρώσει ένα μεγάλο ποσό για επιστροφή των αρχείων του μετά την κρυπτογράφηση και αχρήστευσή τους. Ορισμένοι πλήρωσαν, ορισμένοι όχι (αναλόγως της κρισιμότητας και της προετοιμασίας αρχείου που είχαν).

Χαμηλή ασφάλεια

Πώς αξιολογείτε το επίπεδο διαδικτυακής ασφάλειας στην Κύπρο;

Το επίπεδο είναι αρκετά χαμηλό, αλλά όχι μόνο στην Κύπρο. Φαίνεται πως από μικρομεσαίες επιχειρήσεις δεν δίνεται η ανάλογη σημασία σε τέτοια ζητήματα. Μπορώ να πω ότι οι περισσότεροι δεν αντιλαμβάνονται τον κίνδυνο και δεν προετοιμάζονται για μια τυχόν επίθεση με τη δικαιολογία, «δεν έχω κάτι που θέλουν, γιατί να με χακάρουν εμένα ή την εταιρεία μου;». Δυστυχώς, αυτή η αντιμετώπιση καταλήγει πάντα σε περιπέτειες, ειδικά όταν έρθει η μέρα που θα πέσουν θύματα. Δεν ξεχωρίζουν πρόσωπα οι επιθέσεις.

Πώς ξεχωρίζουμε ένα ψεύτικο email και πώς προστατεύουμε τον υπολογιστή, το κινητό μας τηλέφωνο ή άλλες συσκευές; Δώστε μας κάποια παραδείγματα.

Ένα ψεύτικο email μπορεί να μοιάζει πολύ με το αυθεντικό. Για παράδειγμα, εάν κάποιου το email είναι info@alithinieteria.com, πολύ εύκολα μπορεί να παραπλανηθεί κάποιος, εάν αποσταλεί το email από τη διεύθυνση info@aIithinieteria.com. Η διαφορά είναι ότι το πρώτο “l” στη λέξη alithinieteria, στη δεύτερη διεύθυνση δεν είναι “l”, αλλά “i” κεφάλαιο, που μοιάζει πολύ με το γράμμα “l”. Αυτό μπορεί να συμβεί και με απλά και παραπλήσια ονόματα που εγγράφονται με σκοπό την παραπλάνηση (δηλαδή με άλλη κατάληξη alithinieteria.co.uk, alithinieteria.biz κλπ).

Οι υπολογιστές, όπως και τα έξυπνα κινητά, τρέχουν ένα λειτουργικό σύστημα. Γι’ αυτό πρέπει πάντοτε να αναβαθμίζουμε την έκδοση του λογισμικού/λειτουργικού, που χρησιμοποιούμε, διότι μόνο έτσι γίνονται και οι αναβαθμίσεις των γνωστών κενών ασφαλείας. Ταυτόχρονα, δεν πρέπει να αγνοούμε κάποιες συσκευές που είναι συνδεδεμένες στο διαδίκτυο (ακόμη και κάμερες ασφαλείας, συστήματα που μας ειδοποιούν εξ αποστάσεως κ.λπ), διότι, εάν είναι συνδεδεμένες στο εσωτερικό μας δίκτυο, τότε είναι ακόμη ένας τρόπος να εισβάλει κάποιος χάκερ στα συστήματά μας. Αυτό ισχύει και για εταιρείες που εφησυχάζουν, όταν έχουν ένα σύστημα που μπλοκάρει επικίνδυνες σελίδες στο διαδίκτυο, τη στιγμή που οι υπάλληλοι μπορεί να «φέρουν» ένα κακόβουλο λογισμικό μέσω του φορητού υπολογιστή ή του κινητού τους τηλεφώνου, τα οποία συνδέονται απευθείας στο 3G/4G δίκτυο για πρόσβαση, αλλά και στο WiFi της εταιρείας, όταν βρίσκονται στη δουλειά ή στο σπίτι τους.

Καταλήγοντας, θα ήθελα να τονίσω ότι η ασφάλεια στο διαδίκτυο πρέπει να αντιμετωπίζεται ως καθημερινή συνήθεια και όχι ως ένα προϊόν που θα μας δώσει την ψευδαίσθηση της ολοκληρωτικής ασφάλειας. Τα δεδομένα αλλάζουν μέρα με τη μέρα. Σαν την υγεία μας, ορισμένοι από εμάς μόνο όταν τη χάσουμε, την εκτιμούμε. Έτσι, η ενημέρωση και η πρόληψη είναι οι καλύτερες θεραπείες.