Διάπραξη διαδικτυακών εγκλημάτων από το χώρο εργασίας: Μία απροσδόκητη απειλή

Η διάπραξη ενός διαδικτυακού εγκλήματος από το χώρο εργασίας είναι κάτι που μπορεί να συμβεί σε οποιαδήποτε εταιρεία ή επιχείρηση. Εφόσον συμβεί και διαπιστωθεί από τις αστυνομικές αρχές, είναι σίγουρο πως η εταιρεία ή η επιχείρηση θα κληθούν να αντιμετωπίσουν μία δυσάρεστη και ιδιαίτερη κατάσταση.

Η «δικτυακή ασφάλεια» σήμερα καθίσταται ιδιαίτερα σημαντική ακόμα και για την πιο μικρής εμβέλειας επιχείρηση, καθώς εντός του πληροφοριακού δικτύου της διακινούνται σημαντικές πληροφορίες, σχετικές με τη διαχείριση και την αποδοτικότητά της. Επίσης, το σύνολο των σύγχρονων επιχειρήσεων και εταιρειών διαθέτουν σημαντικά χρηματικά ποσά από τον προϋπολογισμό τους προκειμένου να καταστήσουν τα πληροφοριακά τους δίκτυα ασφαλή και είναι γεγονός ότι σε κάποιο βαθμό τα καταφέρνουν. Όμως παρ’ όλα τα ποσά που δαπανούνται, αυτό που αποδεικνύεται πολλές φορές ως ο πιο αδύναμος κρίκος σε σχέση με την ασφάλεια είναι ο ανθρώπινος παράγοντας, του οποίου οι εκδηλώσεις πολλές φορές είναι αδύνατο να προβλεφθούν.

Ένα εφιαλτικό .αλλά πιθανό σενάριο
Στην ασφάλεια πληροφοριακών δικτύων επικρατεί πολλές φορές η άποψη ότι επικίνδυνο είναι αυτό που «εισέρχεται απ’ έξω» (εκτός του εσωτερικού δικτύου δηλαδή). Όμως στην πραγματικότητα το ίδιο επικίνδυνο και ίσως και περισσότερο είναι αυτό που φεύγει και προς τα έξω (από το εσωτερικό δίκτυο προς το internet ή άλλα δίκτυα). Ας φανταστούμε μία εταιρεία ή μία επιχείρηση, το κεντρικό συμβούλιο της οποίας έχει δαπανήσει ένα σημαντικό χρηματικό ποσό για την κατασκευή και κυρίως την ασφάλεια του πληροφοριακού της δικτύου. Ενώ όλα λοιπόν βαίνουν καλώς και όπως φαίνεται τα χρήματα που έχουν δαπανηθεί έχουν πιάσει τόπο, κάποια στιγμή οι αστυνομικές αρχές εισέρχονται στην εταιρεία και κατάσχουν ένα μεγάλο αριθμό σκληρών δίσκων, ανακρίνουν το σύνολο των υπαλλήλων και του διοικητικού συμβουλίου, καθόσον έχει διαπιστωθεί ότι μέσω του πληροφοριακού δικτύου της εταιρείας έχει διακινηθεί υλικό πορνογραφίας ανηλίκων στο internet ή ότι έχει διαπραχθεί μία διαδικτυακή απάτη.
Όλοι φυσικά μπορούν να φανταστούν πόσο σημαντική ζημιά μπορεί να προκαλέσει μία τέτοια εξέλιξη σε μία εταιρεία ή επιχείρηση. Μόνο και μόνο η επέμβαση της αστυνομίας προκαλεί ζημιά στο κύρος και την αξιοπιστία της, άσχετα από τον τύπο του εγκλήματος το οποίο διαπράχθηκε. Ειδικότερα, αν η επιχείρηση σχετίζεται με τις νέες τεχνολογίες, αντιλαμβάνεται κανείς τι ζημιά θα προκληθεί στο κύρος της αν διαπιστωθεί η διάπραξη ηλεκτρονικού εγκλήματος μέσα από αυτή. Ακόμα και αν εξακριβωθεί το ποιος μέσα από την εταιρεία διέπραξε το έγκλημα, θα πρέπει να θεωρήσουμε ότι η ζημιά στο κύρος της εταιρείας έχει ήδη γίνει. Άλλωστε επικρατεί γενικότερα η άποψη ότι οι πράξεις των στελεχών μίας επιχείρησης, σε κάποιο βαθμό εκφράζουν και την ίδια την επιχείρηση. Μία τέτοια εξέλιξη λοιπόν σε μία εταιρεία μπορεί κυριολεκτικά να τινάξει στον αέρα ολόκληρη την επικοινωνιακή πολιτική και τις στρατηγικές marketing τις οποίες ακολουθεί.
Εκτός των επιπτώσεων στο κύρος και στην επικοινωνιακή πολιτική είναι σίγουρο ότι θα υπάρξουν και άλλες επιπτώσεις, όπως η απώλεια μεγάλου ποσοστού ή ακόμα και του συνόλου των αποθηκευτικών μέσων της επιχείρησης. Οι εν λόγω απώλειες φυσικό είναι να προκαλέσουν μεγάλη δυσλειτουργία στην επιχείρηση, ειδικότερα αν κατασχεθεί το σύνολο των σκληρών δίσκων του υπολογιστικού δικτύου της εταιρείας. Η κατάσχεση των σκληρών δίσκων συνιστά πάγια τακτική των αστυνομικών αρχών όταν διερευνάται ηλεκτρονικό έγκλημα. Οι δίσκοι που κατάσχονται αποστέλλονται σε ειδικά εργαστήρια της αστυνομίας, προκειμένου να γίνει έλεγχος προς διαπίστωση διάπραξης εγκλημάτων. Σε αυτή την περίπτωση αν δεν έχει υπάρξει από προηγουμένως ειδική μέριμνα εναλλακτικής αποθήκευσης των σημαντικών αρχείων λειτουργίας, μία συνολική κατάσχεση μπορεί να σημαίνει ακόμα και προσωρινή παύση της λειτουργίας της εταιρείας, με όσα αποτελέσματα μπορεί κάτι τέτοιο να συνεπάγεται. Εκτός αυτού μπορεί εντός των σκληρών δίσκων να υπάρχουν αρχεία τα οποία η διοίκηση της εταιρείας θεωρεί εμπιστευτικά και ότι δεν θα πρέπει να «βγουν» εκτός αυτής. Φυσικά, με την κατάσχεση η αστυνομία θα αποκτήσει πρόσβαση σε αυτά τα αρχεία. Θα σημειώσουμε στο σημείο αυτό ότι κατά την κατάσχεση των αποθηκευτικών μέσων από τις αστυνομικές αρχές, ακολουθούνται πρωτόκολλα τα οποία διασφαλίζουν τη μη διαρροή δεδομένων. Συνεπώς, θα πρέπει να θεωρηθεί σχεδόν αδύνατο να διαρρεύσουν αρχεία μέσα από τα ειδικά εργαστήρια της αστυνομίας. Πολλές είναι όμως οι φορές που σε κάποια αρχεία μίας εταιρείας κρίνεται απαραίτητο να μην αποκτήσει πρόσβαση καμία κρατική αρχή, όπως είναι για παράδειγμα η αστυνομία.

Ηλεκτρονικό έγκλημα μέσα από το δίκτυο της εταιρείας μπορεί να διαπράξει ο οποιοσδήποτε έχει πρόσβαση στο δίκτυο της εταιρείας. Συνεπώς, ακόμα και ένας απλός υπάλληλος στον οποίο το μόνο προνόμιο που του έχει δοθεί είναι ένας ηλεκτρονικός υπολογιστής, μπορεί θεωρητικά να διαπράξει ηλεκτρονικό έγκλημα. Αυτό το αναφέρουμε προκειμένου να φανεί ότι ακόμα και ένας απλός υπάλληλος μπορεί να προκαλέσει με τον παραπάνω τρόπο, μέχρι και την προσωρινή παύση του συνόλου των εργασιών της εταιρείας στην οποία εργάζεται. Φυσικά, διαδικτυακά εγκλήματα μπορούν να διαπράξουν όχι μόνο οι απλοί υπάλληλοι, αλλά το σύνολο στελεχών και εργαζομένων, ακόμα και αυτών που βρίσκονται στη διοίκηση.
Μία άλλη σοβαρή συνέπεια από τη διάπραξη ηλεκτρονικού εγκλήματος στο χώρο εργασίας είναι η εμπλοκή ακόμα και του συνόλου των στελεχών σε προανακριτικές ή και ανακριτικές διαδικασίες. Σε περίπτωση που δεν διαπιστωθεί άμεσα το φυσικό πρόσωπο το οποίο διέπραξε το ερευνώμενο αδίκημα, θα πρέπει να θεωρηθεί ως ύποπτο το σύνολο των στελεχών. Συνεπώς, το σύνολο των στελεχών θα υποστεί τις προανακριτικές ή ανακριτικές (σε περίπτωση που η υπόθεση φύγει από τη διαχείριση της αστυνομίας και μέσω της εισαγγελίας ανατεθεί σε ανακριτή) διαδικασίες, σε όλο τους το εύρος. Τα προβλήματα στο σημείο αυτό, εκτός της ψυχολογικής φθοράς είναι και οικονομικά, καθόσον το σύνολο των στελεχών θα χρειαστεί εκπροσώπηση από δικηγόρους. Το πιθανότερο είναι πως τα χρήματα αυτά θα επιβαρύνουν φυσικά την εταιρεία, εφόσον αναφερόμαστε για αδίκημα το οποίο διαπράχθηκε μέσα από αυτή. Εκτός αυτού, μία τέτοια περιπέτεια φυσικό είναι ότι θα επηρεάσει την αποδοτικότητα του προσωπικού, ενώ ένα ποσοστό από αυτό υπάρχει και το ενδεχόμενο να αποχωρήσει από την εταιρεία λόγω του συγκεκριμένου γεγονότος.

Το παραπάνω υποθετικό παράδειγμα, φυσικά και δεν είναι απίθανο να συμβεί. Ειδικότερα σε επιχειρήσεις με μεγάλο αριθμό στελεχών είναι ακόμα πιθανότερο, όπως επίσης είναι και πιο δύσκολος ο εντοπισμός του ενός ατόμου (μπορεί όμως να εμπλέκονται και περισσότερα), το οποίο προέβη στην εγκληματική πράξη. Όσο μεγαλύτερος ο αριθμός των εργαζομένων, τόσο πιθανότερο είναι κάποιος να προβεί σε παράνομη ενέργεια μέσω του διαδικτύου και φυσικά είναι και πολύ πιο δύσκολο να εντοπιστεί, καθώς ο όγκος δεδομένων που κινούνται εντός του πληροφοριακού δικτύου αλλά και προς τα έξω είναι αρκετά μεγάλος, συνεπώς ελέγχεται πολύ δυσκολότερα. Ας φανταστεί κάποιος τον όγκο δεδομένων που κινείται (traffic) σε μία εταιρεία στην οποία εργάζονται 1000 άτομα. Αν κάποιος διαπράξει ηλεκτρονικό έγκλημα μέσα από την εταιρεία, για να εντοπιστεί θα πρέπει να εξεταστεί το σύνολο του όγκου των δεδομένων όλων των υπαλλήλων και αυτό εφόσον υπάρχει πρόβλεψη για διατήρηση του λεγόμενου traffic. O εντοπισμός λοιπόν είναι πάρα πολύ δύσκολος και φυσικά η διαδικασία εντοπισμού θα επηρεάσει την εταιρεία σε μεγάλο βαθμό. Είναι πιθανό πως σε μία τέτοια κατάσταση αρκετές επιχειρήσεις ενδεχομένως να μην «αντέξουν» αυτή τη διαδικασία και να αναστείλουν μόνιμα τη λειτουργία τους. Σε περίπτωση ειδικά που μία εταιρεία σχετιζόμενη με νέες τεχνολογίες (π.χ. εταιρεία λογισμικού) αντιμετωπίσει μία τέτοια κατάσταση, το πιθανότερο είναι ότι δεν πρόκειται να επιβιώσει, αφού θα χάσει τελείως το κύρος της και η πελατεία της θα χάσει τελείως την εμπιστοσύνη της σε αυτή.

Πρόληψη, η καλύτερη θεραπεία
Από τα παραπάνω καθίσταται σαφές πόσο ιδιάζουσα είναι η κατάσταση που περιγράφηκε παραπάνω. Εδώ η έννοια της καταστολής (το να βρεθεί δηλαδή ο ένοχος, να οδηγηθεί στις αρχές και φυσικά να απολυθεί), ενδεχομένως να μην υπάρχει περίπτωση να προσφέρει τίποτα στην επιχείρηση, αφού η όλη ζημιά θα έχει ήδη γίνει. Συνεπώς, ή όλη αντιμετώπιση θα πρέπει να εστιαστεί στο πεδίο της πρόληψης, στο να διαμορφωθεί δηλαδή μία εργασιακή κατάσταση η οποία δεν θα αφήνει περιθώρια στο σύνολο των στελεχών της επιχείρησης να προβούν σε κάποια παράνομη ενέργεια μέσα από αυτή. Αλλά και πάλι κάτι τέτοιο κρύβει πάρα πολλές ιδιαιτερότητες, καθόσον αδίκημα δεν θα μπορούσαν να διαπράξουν μόνο οι υπάλληλοι της επιχείρησης, αλλά και τα μέλη της διοίκησης ή ακόμα και οι διαχειριστές της ασφάλειας του δικτύου. Συνεπώς, σε πρώτη φάση θα πρέπει να εγκαταλειφθεί το μοντέλο της πυραμιδικής ιεραρχίας και να υιοθετηθούν πιο οριζόντιες δομές διοίκησης, προκειμένου να προβλεφθεί και αποφευχθεί μία τέτοια κατάσταση. Επίσης σημαντικότατο ρόλο παίζει η επιλογή των σωστών ανθρώπων σε θέσεις κλειδιά (όπως είναι οι διαχειριστές ασφάλειας του δικτύου, αλλά και οι διευθυντές), αλλά και η δημιουργία δικλείδων ασφαλείας εντός της διοικητικής δομής, οι οποίες θα αποτρέψουν το προσωπικό από το να προβεί σε τέτοιες ενέργειες.
Συνεχίζοντας, θα αναφερθούμε ακροθιγώς σε πιο ειδικά μέτρα αντιμετώπισης, ξεκινώντας από τη γενική άποψη ότι οι διαχειριστές του πληροφοριακού δικτύου μίας εταιρείας θα πρέπει να υιοθετήσουν πολιτικές ασφάλειας, οι οποίες, εκτός των άλλων θα καθιστούν δυνατή την πρόληψη και αποτροπή διάπραξης παράνομων ενεργειών από το εταιρικό δίκτυο. Ειδικότερα, καλό θα ήταν το πληροφοριακό δίκτυο να είναι δομημένο σε αρκετά υποδίκτυα (Subnets), ώστε να μπορεί να ελέγχεται πιο εύκολα από το IT τμήμα. Θα μπορούσε για παράδειγμα η διαίρεση του δικτύου σε υποδίκτυα, να πραγματοποιηθεί ανάλογα με τα τμήματα που λειτουργούν στην επιχείρηση και φυσικά να ακολουθηθεί διαφορετική πολιτική ασφάλειας στο καθένα από αυτά.
Επίσης προτείνεται να υπάρχει πρόβλεψη επίβλεψης (monitoring), καταγραφής και διατήρησης του συνόλου του traffic κάθε υποδικτύου για κάποιο συγκεκριμένο χρονικό διάστημα, του οποίου ο καθορισμός θα εξαρτάται κατά κανόνα από το μέγεθος και τις δραστηριότητες της εταιρείας. Η επίβλεψη, καταγραφή και διατήρηση μπορούν να γίνουν μέσα από χρήση ειδικών λογισμικών. Αυτό θα έχει σαν αποτέλεσμα σε περίπτωση που υπάρξει κάποια επιπλοκή να μπορεί να απομονωθεί άμεσα ένα συγκεκριμένο υποδίκτυο και εν συνεχεία να μελετηθεί διεξοδικά. Σε περίπτωση που υπάρχει μία τέτοια δομή στο δίκτυο της εταιρείας και προκύψει κάποιο πρόβλημα, δεν θα επηρεαστεί όλη η εταιρεία, αλλά μόνο το τμήμα στο οποίο έχει εντοπιστεί το πρόβλημα. Συνεπώς, εξασφαλίζεται η βιωσιμότητα της εταιρείας και η μη αναστολή της λειτουργίας της, αφού στη χειρότερη περίπτωση θα ανασταλεί η λειτουργία του τμήματος που παρουσιάστηκε το πρόβλημα και όχι ολόκληρης της εταιρείας. Παρόλο λοιπόν που αρχικά η εξασφάλιση δυνατότητας επιτήρησης, καταγραφής και διατήρησης μπορεί να θεωρηθεί ως περιττό έξοδο (ιδιαίτερα σε καιρούς οικονομικής κρίσης), σε περίπτωση που θα υπάρξει κάποιο πρόβλημα (και όχι απαραίτητα διάπραξη εγκλήματος) το «περιττό έξοδο» θα είναι αυτό που θα σώσει την εταιρεία.
Τέλος, ιδιάζουσας σημασίας πρέπει να θεωρηθεί και η πολιτική που θα ακολουθηθεί σχετικά με τη διαδικτυακή πρόσβαση. Θα πρέπει να εξεταστεί με χαρακτηριστική σοβαρότητα πού θα επιτρέπεται πρόσβαση και σε ποιους. Θεωρείται ιδιαίτερης σημασίας τους κανόνες αυτούς να ακολουθήσουν και τα διοικητικά και διευθυντικά στελέχη. Μία τέτοια επιλογή θα μπορούσε να έχει πολλαπλά οφέλη (εκτός της αποτροπής και αυτών από τη διάπραξη ηλεκτρονικού εγκλήματος), καθόσον θα λειτουργούσε ως κίνητρο για το σύνολο των υπαλλήλων και φυσικά δεν θα υπήρχαν και αντιδράσεις από πλευράς τους, αφού δεν θα εξαιρείται κανένας από τις σχετικές με το διαδίκτυο πολιτικές. Αν επίσης όλοι ακολουθούν την ίδια πολιτική σχετικά με τη διαδικτυακή πρόσβαση, αυτός που θα προσπαθήσει να κάνει κάτι το διαφορετικό (όπως για παράδειγμα να διαπράξει ένα αδίκημα) θα γίνει και πιο εύκολα αντιληπτός.
Τα παραπάνω δεν αποτελούν προτάσεις, γιατί αν ειδωθούν ως τέτοιες, θα χαρακτηριστούν ως εξαιρετικά ελλιπείς. Απλά είναι κάποιες γενικές κατευθύνσεις, οι οποίες καλό θα ήταν ληφθούν υπόψη κατά τη διαμόρφωση των προτάσεων και των πολιτικών που θα πρέπει να ακολουθηθούν σχετικά με τη δικτυακή ασφάλεια μίας εταιρείας. Άλλωστε, συγκεκριμένες προτάσεις δεν θα ήταν δυνατό να συνταχθούν μέσα στις λίγες γραμμές ενός άρθρου. Ο σχεδιασμός και η εφαρμογή μίας λειτουργικής και πραγματιστικής πολιτικής δικτυακής ασφάλειας θα πρέπει να είναι προϊόν εμπεριστατωμένης κατά περίπτωση μελέτης και ανάλυσης πολλών ανεξάρτητων φαινομενικά παραγόντων. Θα πρέπει κάθε επιχείρηση και εταιρεία να αντιμετωπίζεται μοναδικά, αφού κάθε εταιρεία και επιχείρηση είναι μοναδικές και λειτουργούν κάτω από μοναδικές συνθήκες η κάθε μία. Δεν μπορεί να εφαρμόζεται ακριβώς η ίδια πολιτική σε διαφορετικές εταιρείες, γιατί ακριβώς είναι διαφορετικές. Η πολιτική ασφαλείας που θα ακολουθείται σε κάθε επιχείρηση είναι κάτι το εξειδικευμένο και θα πρέπει να είναι σχεδιασμένη πάνω στις ειδικές συνθήκες, κάτω από τις οποίες θα λειτουργεί. Μόνο με αυτόν τον τρόπο θα μπορεί να λειτουργήσει αποδοτικά και να παράσχει ουσιαστική ασφάλεια και όχι «τύποις» ασφάλεια. Άλλωστε, μία «τύποις» ασφάλεια, δεν είναι ασφάλεια, με ό,τι αυτό μπορεί να συνεπάγεται.
Φάνηκε παραπάνω μέσα από την παρουσίαση κάποιων συνεπειών, πως αν μία εταιρεία ή επιχείρηση βρεθούν μέσα σε μία τέτοια κατάσταση μπορεί να απειληθεί άμεσα ακόμα και η βιωσιμότητά τους. Συνεπώς η διάπραξη ηλεκτρονικού εγκλήματος μέσα από το χώρο εργασίας συνιστά μία σημαντική απειλή για τον ίδιο το χώρο εργασίας και φυσικά θα πρέπει να ειδωθεί και να αντιμετωπιστεί ως τέτοια. Πολλοί είναι εκείνοι οι οποίοι όταν σχεδιάζουν τις πολιτικές ασφαλείας δεν συμπεριλαμβάνουν και μία τέτοια περίπτωση στο σχεδιασμό τους. Αυτό είναι σημαντικό λάθος, γιατί είναι ουσιαστικά μία άμεση απειλή που δεν λαμβάνεται υπόψη και δεν συμπεριλαμβάνεται στις πολιτικές ασφαλείας που ακολουθούνται. Αυτό μπορεί να έχει σοβαρές συνέπειες για την εταιρεία ή την επιχείρηση. Μία στρατηγική ασφαλείας θα πρέπει να προσανατολίζεται στο να παρέχει ουσιαστική ασφάλεια (εντοπίζοντας το σύνολο των ενδεχόμενων απειλών) και όχι τυπική ασφάλεια (αφήνοντας κάποιες απ’ έξω). Επειδή λοιπόν οι απειλές σχετικά με την ασφάλεια των πληροφοριακών δικτύων ολοένα και αυξάνουν, καλό θα ήταν να υπάρξει μία αναθεώρηση στις πολιτικές ασφαλείας, με κατεύθυνση περισσότερο στην ουσία και λιγότερο στους τύπους.

Του Παναγιώτη Κικίλια
Στέλεχος της Υπηρεσίας Δίωξης Ηλεκτρονικού Εγκλήματος

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Διάπραξη διαδικτυακών εγκλημάτων από το χώρο εργασίας: Μία απροσδόκητη απειλή

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Penetration Testing… με το βλέμμα του hacker

Διάπραξη διαδικτυακών εγκλημάτων από το χώρο εργασίας: Μία απροσδόκητη απειλή

Ηλεκτρονική Διακυβέρνηση: Βήματα για διαλειτουργικότητα και ασφάλεια, μέρος Β