Εύκολος στόχος για τους κυβερνοεγκληματίες οι μικρές επιχειρήσεις
Πηγή: kathimerini.gr
Πολύ πιο εύκολοι στόχοι οι μικρές επιχειρήσεις για τους κακόβουλους χάκερ, σύμφωνα με έρευνα της Symantec, στην οποία γίνεται λόγος για «απάθεια» από πλευράς πολλών εν δυνάμει «θυμάτων».
«Οι μικρές επιχειρήσεις είναι εύκολα θηράματα, εξαρτάται από το τι έχουν να προσφέρουν…τα πάντα είναι συνδεδεμένα μεταξύ τους με κάποιον τρόπο, οπότε είναι ένας πολύ ωραίος χώρος στον οποίον κάποιος θα μπορούσε να ‘παίξει’» ανέφερε μιλώντας στο BBC χάκερ, ο οποίος επισημαίνει τους λόγους για τους οποίους μία μικρή εταιρεία δεν είναι σε καμία περίπτωση ασφαλής λόγω μεγέθους από επιθέσεις κακόβουλων χάκερ- κυβερνοεγκληματιών.
Ο εν λόγω χάκερ, ο οποίος μίλησε υπό καθεστώς ανωνυμίας, ισχυρίζεται πως προβαίνει μόνο σε επιθέσεις «White Hat», με στόχο τον εντοπισμό τρωτών σημείων σε νέα συστήματα, έτσι ώστε οι κατασκευαστές τους να μπορέσουν να κάνουν διορθώσεις. Ωστόσο, όπως λέει ο ίδιος, η μικρές επιχειρήσεις αποτελούν πολύ εύκολους στόχους. «Δεν είναι δύσκολο να πιάσεις ένα χάκερ. Αν χτυπήσεις κυβερνητικούς στόχους, υπάρχει σοβαρό ενδεχόμενο να συλληφθείς, αλλά με τις επιχειρήσεις τα πράγματα είναι ευκολότερα. Πολύ συχνά είναι ασφαλισμένες, και σπάνια θα δεις να κυνηγούν ένα χάκερ επειδή του έκλεψε λεφτά- αν και με έργα πνευματικής ιδιοκτησίας τα πράγματα διαφέρουν».
Πρόσφατη έρευνα της Symantec, στην οποία συμμετείχαν 1.900 μικρές επιχειρήσεις από όλο τον κόσμο, έδειξε ότι όλοι γνωρίζουν τον κίνδυνο που συνεπάγεται η άνοδος του κυβερνοεγκλήματος: ως βασικότερες απειλές επισημάνθηκαν οι στοχευμένες επιθέσεις, το keystroke logging και η χρήση smartphones για εταιρικούς σκοπούς. Ωστόσο, η Threat Awareness Survey έδειξε ότι υπάρχει μία αξιοσημείωτη απάθεια απέναντι σε θέματα ασφαλείας, καθώς οι μισοί συμμετέχοντες θεωρούν ότι δεν υπάρχει σημαντικός κίνδυνος, καθώς οι εταιρείες τους είναι μικρές- και οι κυβερνοεγκληματίες στοχεύουν συνήθως «μεγάλους στόχους».
Ως εκ τούτου, τρεις στις πέντε μικρές επιχειρήσεις δεν χρησιμοποιούν antivirus τεχνολογία σε όλους τους υπολογιστές, με δύο από τις τρεις να μην έχουν «ασφαλή» μηχανήματα για online banking. Η έρευνα της Symantec έδειξε ότι από την αρχή του 2010, το 40% του συνόλου των στοχευμένων επιθέσεων ήταν εναντίον μικρών και μεσαίων επιχειρήσεων, τη στιγμή που μόνο το 28% είχε ως στόχο μεγάλες εταιρείες.
«Οι χάκερ κυνηγούν ‘εύκολα φρούτα’, εταιρείες που δεν έχουν ασχοληθεί ιδιαίτερα με την ασφάλεια και δεν έχουν σημαντικές άμυνες» είπε σχετικά ο Ρος Γουόκερ, διευθυντής του τμήματος της Symantec που έχει να κάνει με μικρές επιχειρήσεις. «Οι χάκερ στοχεύουν όλο και πιο μικρούς, ‘μαλακούς’ και πιθανότερο να μην αντιδράσουν στόχους, οι οποίοι συνεπάγονται μικρότερο ρίσκο».
Οι ανταμοιβές αυτής της δραστηριότητας μπορούν να είναι πολλά πράγματα τα οποία μπορούν να πωληθούν στον υπόκοσμο του κυβερνοχώρου: αριθμοί πιστωτικών καρτών, δεδομένα σχετικά με εργαζομένους και κωδικοί και usernames είναι κάποια από τα δημοφιλέστερα «λάφυρα». Επίσης, μπορούν να ανεβάσουν στο site malware το οποίο πλήττει τους επισκέπτες χωρίς να γίνεται αντιληπτό, ή να καταλαμβάνει τον server, ο οποίος μπορεί να χρησιμοποιηθεί ως βάση για επιθέσεις κατά τρίτων.
Λόγω του περιορισμένου προϋπολογισμού μίας μικρής εταιρείας, των ανεπαρκών πολιτικών ασφαλείας και μία γενικότερη έλλειψη γνώσεων πάνω στο αντικείμενο, τα τρωτά σημεία κάθε είδους είναι πολλά.
«Κάποια παραδείγματα είναι η ανάπτυξη ιστοσελίδων και εφαρμογών για πελάτες, η υιοθέτηση υπηρεσιών cloud, η άδεια σε εργαζομένους να χρησιμοποιούν τις δικές τους φορητές συσκευές για σκοπούς της επιχείρησης και άλλα» λέει ο Πίερς Γουΐλσον, της PricewaterhouseCoopers.
Από την «έκρηξη» των φορητών συσκευών και μετά, όλο το προσωπικό θα έπρεπε να έχει γνώσεις περί θεμάτων ασφαλείας- αλλά κάτι τέτοιο δεν ισχύει: σύμφωνα με έρευνα της εταιρείας συμβούλων ΙΤ Modis, το 20% των εργαζομένων στέλνουν τακτικά πληροφορίες εμπιστευτικού χαρακτήρα μέσω μη ασφαλών wi-fi hotspots: πρόκειται για το όνειρο ενός χάκερ.
«Ο πιο ‘αδύναμος κρίκος’ είναι πάντα οι άνθρωποι» λέει σχετικά ο ανώνυμος χάκερ. «Μπορείς να επιτεθείς σε μία εταιρεία από οπουδήποτε- ακόμα και μέσω mail. Μπορείς να τους στείλεις διαφημιστικό υλικό- ίσως με ένα CD το οποίο θα βάλουν στον υπολογιστή τους, και είσαι μέσα. Μπορείς να κάνεις ένα αίτημα, και μόλις σου δώσουν ένα όνομα και ένα email να στείλεις ένα mail με ένα attachment, το οποίο θα ανοίξουν επειδή σε αναγνωρίζουν».
Κατά τον Ντέιβιντ Τζέημς της Ascentor, εταιρείας ειδικών risk management, το 80% των επιθέσεων μπορούν να σταματηθούν απλά και μόνο κάνοντας βασικά, όπως η χρήση «δύσκολων» κωδικών, οι οποίοι αλλάζουν συχνά, η εγκατάσταση λογισμικού antivirus και η τακτική ενημέρωσή του, η χρήση firewall και κρυπτογράφησης και το πέρασμα patches στο λογισμικό που χρησιμοποιείται.