Η αυξανομένη εξάρτηση από την ψηφιοποίηση και τη συνδεσιμότητα έχει καταστήσει τις βιομηχανίες, μεταξύ των πιο βιώσιμων στόχων για τους δράστες του εγκλήματος στον κυβερνοχώρο. Η θετική πλευρά, ωστόσο, είναι ότι οι βιομηχανίες γίνονται όλο και πιο προσεκτικές, όσον αφορά στην κυβερνοασφάλεια.
Λίγο καιρό μετά την περιβόητη επίθεση της SolarWinds, η ρωσική ομάδα χάκερ REvil ανέλαβε την ευθύνη για την κυβερνοεπίθεση στην JBS, μία από τις μεγαλύτερες εταιρείες επεξεργασίας κρέατος στον κόσμο. Ήταν, επίσης, περίπου την ίδια εποχή που συνέβη η κυβερνοεπίθεση στην Colonial Pipeline. Κατά τη διάρκεια του περασμένου έτους, περισσότερες από 40 βιομηχανίες τροφίμων μπήκαν στο στόχαστρο κυβερνοεγκληματιών.
Τέτοιες επιθέσεις σε βιομηχανίες σπάνια συνέβαιναν πριν από μια δεκαετία, αλλά σήμερα γίνονται απόπειρες καθημερινά. Η αυξανόμενη εξάρτηση από την ψηφιακή τεχνολογία και το διαδίκτυο έχει καταστήσει τις βιομηχανίες μεταξύ των πιο βιώσιμων στόχων για τους δράστες του ηλεκτρονικού εγκλήματος. Η κατάσταση αυτή απαιτεί μεγαλύτερη κατανόηση της ασφάλειας στον κυβερνοχώρο από τις βιομηχανίες, αλλά και άλλες επιχειρήσεις που ασχολούνται με την παραγωγή αγαθών.
Η επίθεση, άλλωστε, στη Norsk Hydro δείχνει την κλίμακα της ζημιάς που μπορεί να προκληθεί από μία επίθεση και τον αντίκτυπο στην τελική γραμμή μιας επιχείρησης. Και ποια ήταν η αιτία αυτής της παγκόσμιας διαταραχής και της σημαντικής οικονομικής απώλειας; Ένας υπάλληλος που άνοιξε ένα «μολυσμένο» email από έναν πελάτη.
Αυτό αποτελεί ένα σημαντικό μάθημα για τις επιχειρήσεις – ένα μόνο ανθρώπινο λάθος μπορεί να κοστίσει εκατομμύρια σε μια επιχείρηση. Καθώς οι εγκληματίες του κυβερνοχώρου γίνονται όλο και πιο εξελιγμένοι στην προσαρμογή και τη στόχευση των επιθέσεών τους, ακόμη και οι πιο ενημερωμένοι για την ασφάλεια υπάλληλοι μπορούν να ξεγελαστούν και να κάνουν κλικ σε έναν επικίνδυνο σύνδεσμο, θέτοντας σε κίνδυνο τα δίκτυα και τις λειτουργίες των επιχειρήσεων. Απέναντι στη διαρκώς μεταβαλλόμενη απειλή είναι σχεδόν αδύνατο να εκπαιδευτεί το προσωπικό να την αποφεύγει – ακόμη και ειδικοί σε θέματα ασφάλειας με δεκαετίες εμπειρίας μπορούν να υποπέσουν σε λάθη.
Αξίζει να σημειωθεί ότι το 75% των περιστατικών στον κυβερνοχώρο προέρχονται από το εσωτερικό της εταιρείας. Επιπλέον, το 40% ξεκινά από έναν εργαζόμενο, συχνά αφού πέσει θύμα μιας απάτης phishing ή κοινωνικής μηχανικής (social engineering). Οι εσωτερικές απειλές μπορεί επίσης να είναι άλλα άτομα με πρόσβαση στα γραφεία και τους υπολογιστές ενός εργαζομένου, συμπεριλαμβανομένων των εργολάβων και των φρουρών ασφαλείας. Αυτό είναι πραγματικά σημαντικό να σημειωθεί, επειδή είναι κάτι που μπορεί να ελέγξει μια εταιρεία.
Κυβερνοεπιθέσεις στην Ελλάδα
Σε επαγρύπνηση όσον αφορά στις κυβερνοεπιθέσεις φαίνεται πως είναι οι ελληνικές επιχειρήσεις καθώς, σύμφωνα με την ΕΛΣΤΑΤ, στόχος ψηφιακών επιθέσεων έγινε σχεδόν μία στις πέντε (17,8%) από αυτές το 2022, με την Ελλάδα να βρίσκεται στην 15η θέση της ευρωπαϊκής κατάταξης. Το ποσοστό αυτό, ωστόσο, είναι χαμηλότερο από τον ευρωπαϊκό μέσο όρο, καθώς στη διάρκεια του περασμένου έτους το 22,2% των εταιρειών στην Ευρώπη με περισσότερους από 10 εργαζόμενους υπέστη τουλάχιστον ένα περιστατικό παραβίασης των ψηφιακών του συστημάτων.
Ρίχνοντας μια ματιά στη Φινλανδία, σχεδόν οι μισές επιχειρήσεις (43,8%), δέχτηκαν τουλάχιστον μία κυβερνοεπίθεση στη διάρκεια του 2022. Στον αντίποδα, οι επιχειρήσεις, που δέχτηκαν τις λιγότερες επιθέσεις, ήταν αυτές στη Βουλγαρία, όπου το σχετικό ποσοστό το 2022 ήταν μόλις 11% και στην Πορτογαλία, όπου μόνο το 11,5% των εταιρειών έπεσε θύμα κυβερνοεπίθεσης.
Σύμφωνα με τα ίδια στοιχεία, όπου δεν περιλαμβάνονται επιθέσεις σε επιχειρήσεις του χρηματοπιστωτικού τομέα, οι συνέπειες των επιθέσεων του ψηφιακού εγκλήματος προς επιχειρήσεις στην Ελλάδα αλλά πανευρωπαϊκά ήταν κάτι παραπάνω από βαριές. Σχετίζονται δε άμεσα με την αδυναμία λειτουργίας των συστημάτων Πληροφορικής μιας εταιρείας και μπορεί να σημαίνουν την καταστροφή, απώλεια ή και διαρροή κρίσιμων/εμπιστευτικών εταιρικών δεδομένων.
Τα περιστατικά, που οδήγησαν σε απώλεια ή καταστροφή εταιρικών δεδομένων ήταν λιγότερο συχνά τόσο στην Ελλάδα και στην ΕΕ. Ειδικότερα, η απώλεια κρίσιμων επιχειρησιακών data, λόγω αστοχιών στο hardware ή το λογισμικό μετά από επίθεση, αφορούσε το 3,9% των περιπτώσεων, ενώ η καταστροφή δεδομένων λόγω μόλυνσης από κακόβουλο λογισμικό ή μη εξουσιοδοτημένη εισβολή αφορούσε το 2,1%.
Οι βιομηχανίες στο επίκεντρο των επιθέσεων
Οι ειδικοί της Kaspersky ανακάλυψαν μια νέα, ραγδαία εξελισσόμενη, σειρά εκστρατειών λογισμικού κατασκοπείας (spyware), που έχουν επιτεθεί σε περισσότερες από 2.000 βιομηχανικές επιχειρήσεις παγκοσμίως. Σε αντίθεση με πολλές mainstream εκστρατείες λογισμικού κατασκοπείας, οι εν λόγω επιθέσεις ξεχωρίζουν λόγω του περιορισμένου αριθμού στόχων σε κάθε επίθεση και της ιδιαίτερα σύντομης διάρκειας ζωής κάθε κακόβουλου δείγματος. Η μελέτη εντόπισε περισσότερες από 25 αγορές όπου κλεμμένα δεδομένα διατίθενται προς πώληση. Αυτά και πολλά επιπλέον ευρήματα δημοσιεύτηκαν στη νέα έκθεση ICS CERT της Kaspersky.
Κατά το πρώτο εξάμηνο του 2021, οι ειδικοί του Kaspersky ICS CERT παρατήρησαν μια ασυνήθιστη ανωμαλία στα στατιστικά στοιχεία που αναφέρονταν στις απειλές λογισμικών κατασκοπείας, τα οποία είχαν αποκλειστεί σε υπολογιστές ICS. Παρόλο που το κακόβουλο λογισμικό που χρησιμοποιείται στις συγκεκριμένες επιθέσεις συμπεριλαμβάνεται σε γνωστές οικογένειες λογισμικών κατασκοπείας, όπως οι Agent Tesla/Origin Logger, HawkEye και άλλες, οι εν λόγω επιθέσεις ξεχωρίζουν από τις mainstream λόγω του εξαιρετικά περιορισμένου αριθμού στόχων σε κάθε επίθεση (από ελάχιστοι έως ορισμένες δωδεκάδες) και την πολύ σύντομη διάρκεια ζωής κάθε κακόβουλου δείγματος.
Μια πιο λεπτομερής ανάλυση 58.586 δειγμάτων λογισμικού κατασκοπείας που αποκλείστηκαν σε υπολογιστές ICS κατά το πρώτο εξάμηνο του 2021, αποκάλυψε ότι περίπου το 21,2% αυτών ήταν μέρος της νέας αυτής σειράς επιθέσεων περιορισμένου εύρους και σύντομης διάρκειας. Ο κύκλος ζωής τους περιορίζεται σε περίπου 25 ημέρες, διάστημα αρκετά συντομότερο από τη διάρκεια ζωής μιας «παραδοσιακής» εκστρατείας λογισμικού κατασκοπείας.
Αν και καθένα από αυτά τα «αντικανονικά» δείγματα λογισμικού κατασκοπείας είναι βραχύβιο και δεν διανέμεται ευρέως, στο σύνολό τους αντιπροσωπεύουν ένα δυσανάλογα μεγάλο μερίδιο του συνόλου των επιθέσεων λογισμικού κατασκοπείας. Στην Ασία, για παράδειγμα, ένας στους έξι υπολογιστές που δέχτηκε επίθεση spyware, προσβλήθηκε από κάποιο από τα προαναφερθέντα δείγματα λογισμικού αυτής της κατηγορίας (2,1% από το 11,9%).
Αξίζει να σημειωθεί ότι οι περισσότερες από αυτές τις εκστρατείες εξαπλώνονται από τη μια βιομηχανική επιχείρηση στην άλλη μέσω καλοφτιαγμένων μηνυμάτων phishing. Αφού διεισδύσει στο σύστημα του θύματος, ο εισβολέας χρησιμοποιεί τη συσκευή ως διακομιστή C2 (εντολών και ελέγχου) για την επόμενη επίθεση. Χάρη στην πρόσβαση στη λίστα ηλεκτρονικής αλληλογραφίας του θύματος, οι εγκληματίες μπορούν να παραβιάσουν το εταιρικό email και να διασπείρουν το λογισμικό κατασκοπείας ευρύτερα.
Σύμφωνα με την τηλεμετρία του Kaspersky ICS CERT, περισσότεροι από 2.000 βιομηχανικοί οργανισμοί ανά τον κόσμο έχουν ενσωματωθεί στην κακόβουλη δομή και έχουν χρησιμοποιηθεί από συμμορίες εγκληματιών του κυβερνοχώρου για τη διασπορά επιθέσεων σε οργανισμούς με τους οποίους έχουν επαφή καθώς και στους επιχειρηματικούς εταίρους τους. Ο συνολικός αριθμός των παραβιασμένων ή κλεμμένων εταιρικών λογαριασμών ως αποτέλεσμα αυτών των επιθέσεων είναι πάνω από 7.000.
Τα ευαίσθητα δεδομένα που λαμβάνονται από υπολογιστές ICS συχνά καταλήγουν σε διάφορες αγορές. Οι ειδικοί της Kaspersky εντόπισαν περισσότερες από 25 διαφορετικές αγορές όπου πωλούνταν τα κλεμμένα διαπιστευτήρια από αυτές τις βιομηχανικές εκστρατείες. Η ανάλυση των εν λόγω αγορών αποκάλυψε υψηλή ζήτηση για διαπιστευτήρια εταιρικού λογαριασμού, ειδικά για λογαριασμούς απομακρυσμένης επιφάνειας εργασίας (RDP). Πάνω από το 46% όλων των λογαριασμών RDP που πωλούνται σε αγορές και αποτέλεσαν αντικείμενα ανάλυσης ανήκουν σε εταιρείες στις ΗΠΑ, ενώ οι υπόλοιποι προέρχονται από την Ασία, την Ευρώπη ή τη Λατινική Αμερική. Σχεδόν το 4% (περίπου 2.000 λογαριασμοί) όλων των λογαριασμών RDP που πωλήθηκαν ανήκαν σε βιομηχανικές επιχειρήσεις.
Μια ακόμη αναπτυσσόμενη αγορά είναι το Spyware-as-a-Service. Δεδομένου ότι οι πηγαίοι κώδικες ορισμένων δημοφιλών προγραμμάτων κατασκοπείας έχουν δημοσιοποιηθεί, η διαθεσιμότητά τους στα ηλεκτρονικά καταστήματα με τη μορφή υπηρεσίας έχει αυξηθεί – οι προγραμματιστές προσφέρουν επί πληρωμή όχι μόνο το κακόβουλο λογισμικό ως προϊόν αλλά και την άδεια για ένα πρόγραμμα δημιουργίας κακόβουλου λογισμικού, καθώς και πρόσβαση σε μια δομή διαμορφωμένη εκ των προτέρων για τη δημιουργία του κακόβουλου λογισμικού.
Η σύγκλιση IT & OT
Πολλές βιομηχανίες έχουν ήδη αρχίσει να φέρνουν σε επαφή τα οικοσυστήματα της τεχνολογίας πληροφοριών (IT) και της επιχειρησιακής τεχνολογίας (OT) σε μια προσπάθεια να βελτιώσουν τη λειτουργική αποδοτικότητα και την εξυπηρέτηση των πελατών. Αυτό έχει οδηγήσει σε νέες προκλήσεις στον τομέα της ασφάλειας. Μια κυβερνοεπίθεση σε ένα συνδεδεμένο λειτουργικό περιβάλλον μπορεί να έχει καταστροφικές συνέπειες. Η αυξανόμενη ψηφιακή συνδεσιμότητα των βιομηχανικών δικτύων τα ανοίγει σε απειλές στον κυβερνοχώρο, υπογραμμίζοντας τη σημασία της προστασίας όχι μόνο των συστημάτων πληροφορικής, αλλά και των συστημάτων επιχειρησιακής τεχνολογίας.
Μια πρόσφατη έκθεση ανάλυσης αναφέρει ότι «υπάρχουν ορισμένοι τομείς όπου οι άνθρωποι, οι διαδικασίες και η τεχνολογία επικαλύπτονται μεταξύ των οικοσυστημάτων ΙΤ και ΟΤ – τομείς όπου οι αντίστοιχες στρατηγικές πρέπει να συγχρονιστούν. Ωστόσο, η πραγματικότητα αυτών των τεχνολογιών και ο τρόπος χρήσης τους είναι συχνά αισθητά διαφορετικός.
Είναι συχνό φαινόμενο οι επενδύσεις σε επιχειρησιακή τεχνολογία να αποφασίζονται από τα άτομα που βρίσκονται στο χώρο του εργοστασίου με ελάχιστη συμμετοχή από τα εταιρικά τμήματα πληροφορικής ή τις ομάδες κυβερνοασφάλειας. Αυτό δημιουργεί μια αδυναμία στη στάση άμυνας στον κυβερνοχώρο των οργανισμών με πολλαπλές τεχνολογίες, ορισμένες από τις οποίες δεν περνούν από τον έλεγχο και την παρακολούθηση του τμήματος πληροφορικής.
Επιπλέον, η χρήση συσκευών IoT στη μεταποίηση θολώνει το διαχωρισμό μεταξύ της τεχνολογίας πληροφοριών και της επιχειρησιακής τεχνολογίας. Αυτό καθιστά αναπόφευκτη την αντιμετώπιση της ανάγκης θέσπισης καλύτερων πολιτικών και μέτρων ασφαλείας, που μπορούν να συμβάλουν στην πρόληψη της εμφάνισης νέων κενών ασφαλείας, ορισμένα από τα οποία αργούν να ανακαλυφθούν εν μέσω της «φασαρίας» στο περιβάλλον της μεταποιητικής επιχείρησης και της παραγωγής.
Επιπλέον, η άμυνα κατά των επιθέσεων ransomware είναι ένα από τα πιο πιεστικά ερωτήματα ασφάλειας που αντιμετωπίζει σήμερα η βιομηχανία. Οι επιτυχείς επιθέσεις ransomware δεν επηρεάζουν μόνο την ικανότητα λειτουργίας μιας μεταποιητικής εταιρείας, αλλά ενδεχομένως και τις ευρύτερες λειτουργίες της αλυσίδας εφοδιασμού. Οι κίνδυνοι που αντιμετωπίζουν οι εταιρείες είναι τόσο οικονομικοί όσο και κίνδυνοι φήμης, και μια επίθεση μπορεί ενδεχομένως να προκαλέσει ανεπανόρθωτη ζημία στις σχέσεις με συνεργάτες και πελάτες.
Το 2022, οι επιθέσεις ransomware αυξήθηκαν κατά 80% σε ετήσια βάση, και αυτή η ανοδική τάση δεν δείχνει σημάδια ανάσχεσης. Καθώς η μεταποίηση εξακολουθεί να αποτελεί κορυφαίο στόχο για τις εγκληματικές ομάδες, η μερική άμυνα γίνεται όλο και πιο προβληματική. Το διαδίκτυο είναι ο κύριος φορέας επίθεσης του ransomware, οπότε με τη στροφή σε λύσεις ασφαλείας όπως η απομόνωση του προγράμματος περιήγησης, οι βιομηχανικές επιχειρήσεις μπορούν να εξαλείψουν αυτές τις απειλές που βασίζονται στο διαδίκτυο.
Εν κατακλείδι, καθώς οι επιχειρήσεις ψηφιοποιούνται και συνδέονται στο διαδίκτυο, είναι απαραίτητο να αγκαλιάσουν την κυβερνοασφάλεια και να τη θεωρήσουν ως έναν από τους πυλώνες της επιχειρηματικής λειτουργίας, δεδομένης της εφευρετικότητας των κυβερνοεπιθέσεων. Η υποτίμηση των απειλών και η μη προετοιμασία για τις επιθέσεις μπορεί να οδηγήσει σε καταστροφικές συνέπειες.