Οι κυβερνοεπιθέσεις «Ransomware» και μέτρα για μείωση του κινδύνου από μια παραβίαση προσωπικών δεδομένων

του Παντελή Αγγελίδη, Διευθύνοντος Συμβούλου, QuadPrime Ltd, μέλους του Ομίλου MAP S.Platis

Η κυβερνοεπίθεση με λογισμικό κακόβουλης λειτουργίας υπολογιστή (Ransomware/Λυτρισμικό) σε συγκεκριμένο εκπαιδευτικό ίδρυμα στην Κύπρο άνοιξε με θόρυβο τη συζήτηση για την κυβερνοασφάλεια, θέτοντας ξανά επί τάπητος το θεμελιώδες ερώτημα κάθε οργανισμού: πως μπορούν να προστατευτούν από τέτοιες επιθέσεις και ποια μέτρα πρέπει προληπτικά να λαμβάνουν;

Την ανησυχία επέτεινε ο εκβιασμός των χάκερς οι οποίοι ζητούσαν χρήματα για να μην δημοσιοποιήσουν δεδομένα  του  εκπαιδευτικού ιδρύματος. Δεδομένα τα οποία είχαν προφανώς εξάγει προτού κλειδώσουν τα συστήματα του οργανισμού απαιτώντας λύτρα. Τα συγκεκριμένα δεδομένα αφορούσαν απλά και ευαίσθητα στοιχεία προσωπικού χαρακτήρα, σχετιζόμενα με φοιτητές, αποφοίτους, ακαδημαϊκό και διοικητικό προσωπικό, ερευνητές ή/και συνεργάτες του εκπαιδευτικού ιδρύματος. Αυτή η εξέλιξη προκάλεσε και την εμπλοκή του Γραφείου της  Επιτρόπου Δεδομένων Προσωπικού Χαρακτήρα, το οποίο ζήτησε να ενημερωθεί για τις συνθήκες γύρω από το περιστατικό αλλά και για τα μέτρα τα οποία είχε λάβει το εκπαιδευτικό ίδρυμα για προστασία των προσωπικών δεδομένων. Όπως για παράδειγμα, κατά πόσο ο οργανισμός εφάρμοζε τα απαραίτητα τεχνικά και οργανωτικά μέτρα, τον όγκο των δεδομένων που επηρεάστηκαν και ιδιαίτερα τι προτίθεται να πράξει ο οργανισμός στη συνέχεια. Ερωτήματα που αφορούν την εφαρμογή του γενικού κανονισμού για την προστασία των δεδομένων, γνωστός ως GDPR, ο οποίος θέτει συγκεκριμένες προδιαγραφές και ευθύνες για την επεξεργασία προσωπικών δεδομένων.

Εκ του αποτελέσματος, οι κυβερνοεπιθέσεις Ransomware είναι οι πιο ζημιογόνες για ένα οργανισμό. Σε τέτοιες περιπτώσεις οι χάκερς στοχεύουν σε πληροφορίες που έχουν ιδιαίτερη αξία για ένα οργανισμό, απαιτώντας λύτρα για την απελευθέρωση των δεδομένων. Οι επιτιθέμενοι γνωρίζουν πολύ καλά ότι από τη στιγμή που αποκτούν πρόσβαση σε προσωπικά δεδομένα, έστω και χωρίς να τα εξάγουν από τα συστήματα του οργανισμού (exfiltration), έχουν στα χέρια τους ένα ισχυρό μοχλό πίεσης και εκβιασμού. Σημειώνεται συναφώς ότι σύμφωνα με το  Άρθρο 4 του GDPR, η μη εξουσιοδοτημένη πρόσβαση σε αυτά θεωρείται αυτόματα παραβίαση προσωπικών δεδομένων.

Αν το θύμα της κυβερνοεπίθεσης δεν υποκύψει στον αρχικό εκβιασμό για καταβολή λύτρων, τότε οι χάκερς συνήθως επανέρχονται με δεύτερο εκβιασμό, ανακοινώνοντας δημοσίως ότι έχουν στην κατοχή τους προσωπικά δεδομένα, μέρος των οποίων συχνά δημοσιοποιούν ως πειστήρια. Αυτός ο διπλός εκβιασμός λειτουργεί ως μεγαλύτερος μοχλός πίεσης γιατί πλέον η παραβίαση γίνεται γνωστή στις αρμόδιες αρχές, τα υποκείμενα των δεδομένων – δηλαδή τα πρόσωπα που αφορούν – αλλά και το ευρύτερο κοινό. Μια τέτοια δημοσιοποίηση έχει αναπόδραστα αρνητική επίδραση στη φήμη οποιουδήποτε οργανισμού, επισύρει ενδεχομένως χρηματικές ποινές για ελλιπή μέτρα ασφαλείας στη φύλαξη προσωπικών δεδομένων, επιφέρει πλημμυρίδα παραπόνων από ανυποψίαστους πληγέντες, και καταλήγει ακόμα  και σε αγωγές από τα υποκείμενα των δεδομένων.  

Το εν λόγω εκπαιδευτικό ίδρυμα που δέχτηκε την επίθεση  βρέθηκε σε αυτή τη δεινή θέση του διπλού εκβιασμού αφού η ομάδα των χάκερς έδωσε δημοσίως προθεσμίες για την καταβολή των λύτρων. Έκτοτε, το Γραφείο της Επιτρόπου Προστασίας Δεδομένων ανέφερε ότι είναι δέκτης παραπόνων και ανησυχιών από επηρεαζόμενα υποκείμενα δεδομένων που ενημερώθηκαν.

Ο εφιάλτης όμως δεν τελειώνει εδώ. Υπάρχει και το σενάριο του τριπλού εκβιασμού. Σε αυτό το σενάριο, δεδομένου ότι το θύμα δεν υποκύψει, οι χάκερς στοχεύουν πλέον στα ίδια τα υποκείμενα αφού έχουν τα προσωπικά δεδομένα τους και τους απειλούν ότι θα τα αποκαλύψουν. Εάν τα δεδομένα αυτά είναι ευαίσθητα, τα ποσοστά επιτυχίας του εκβιασμού αυξάνονται.

Πέραν των επιβεβλημένων μέτρων κυβερνοασφάλειας για προστασία και πρόληψη επιθέσεων τύπου Ransomware, συστήνεται όπως ο οργανισμός προχωρήσει στην επαύξηση της ανθεκτικότητάς του. Αφενός αυτό θα περιορίσει τη ζημιά σε μια επιτυχημένη κυβερνοεπίθεση, αφετέρου δε, μειώνει σημαντικά το χρόνο τον οποίο χρειάζεται ο οργανισμός  για να επανέλθει σε κανονική λειτουργία.

Υπάρχουν πολλά πράγματα τα οποία ένας οργανισμός τέτοιου μεγέθους μπορεί και πρέπει να κάνει. Παραθέτουμε πιο κάτω πέντε βασικές και απλές συμβουλές που αφορούν τη μείωση του κινδύνου από παραβιάσεις προσωπικών δεδομένων και τη βελτίωση της ανθεκτικότητας:

1. Ο όγκος των προσωπικών δεδομένων είναι αποφασιστικός παράγοντας, τόσο στην επιμέτρηση τυχουσών ποινών, όσο και στην προσπάθεια του οργανισμού να εντοπίσει και να ενημερώσει όσα υποκείμενα των δεδομένων επηρεάζονται. Συνεπώς, συνιστάται η μείωση στο ελάχιστο των προσωπικών δεδομένων που φυλάσσονται.
2. Η κρυπτογράφηση είναι πολύ σημαντικός μηχανισμός για την άμυνα του οργανισμού, κάτι που επίσης συστήνεται στα άρθρα του Κανονισμού Προστασίας Δεδομένων. Γι’ αυτό ο οργανισμός θα πρέπει να έχει κρυπτογραφημένα τα προσωπικά δεδομένα που επεξεργάζεται σε εφεδρικά αρχεία (backups) και βάσεις δεδομένων.
3. Συχνά παρατηρείται δισταγμός για καταστροφή προσωπικών δεδομένων που δεν χρειάζονται πλέον. Η διαχείριση αρχείων αποκτά ιδιαίτερη σημασία όπως έχει προαναφερθεί, και για αυτό συστήνεται περιοδικό νοικοκύρεμα και καταστροφή των προσωπικών δεδομένων που έχουν λήξει, είναι αδρανή ή αποκτήθηκαν και φυλάσσονται χωρίς συγκεκριμένο σκοπό.
4. Πρέπει να υπάρχει εκ των προτέρων ένα απλό και καλά δοκιμασμένο σχέδιο ανταπόκρισης σε παραβιάσεις δεδομένων το οποίο να περιέχει ενέργειες συντονισμού και σενάρια γνωστοποίησης στις αρχές, επικοινωνίας με τα υποκείμενα των δεδομένων και άλλων ενδιαφερομένων μερών, ώστε να εξασφαλιστεί διαφάνεια για το συμβάν. Ιδιαίτερης σημασίας είναι επίσης να μπορεί ο οργανισμός να ανταποκριθεί και να γνωστοποιήσει το περιστατικό εντός 72 ωρών από την ώρα που αυτό περιήλθε σε γνώση του, κάτι το οποίο δύναται να καταστεί ιδιαίτερη πρόκληση όταν μεσολαβούν αργίες και Σαββατοκύριακα.
5. Τέλος, πολλοί οργανισμοί λανθασμένα φοβούνται το κόστος μιας εις βάθος διερεύνησης, αγνοώντας ότι αυτή θα τους επιτρέψει να ποσοτικοποιήσουν τον κίνδυνο για τα υποκείμενα και έτσι να αποφύγουν αχρείαστες ενέργειες και χρηματικές ποινές που ενίοτε ενδέχεται να υπερβαίνουν το κόστος της διερεύνησης. Μια λεπτομερής διαδικασία διερεύνησης σε νομικό, τεχνικό και επιχειρησιακό επίπεδο κρίνεται ιδιαίτερης σημασίας, επιβάλλεται από τον ίδιο τον GDPR, και αναμένεται από τις αρμόδιες αρχές ως μέρος της αρχής της λογοδοσίας του οργανισμού κατόπιν παραβίασης.

Σαφέστατα δεν υπάρχει εύκολος δρόμος για έναν οργανισμό που έχει δεχθεί κυβερνοεπίθεση Ransomware και έχουν παραβιαστεί προσωπικά δεδομένα που επεξεργάζεται. Οι απώλειες σε χρόνο, πόρους και φήμη ενίοτε μπορεί να καταστούν τεράστιες. Η διαδικασία από τη στιγμή που το περιστατικό ανακαλύπτεται είναι επίπονη και δοκιμάζει σε πολύ ψηλό βαθμό τις αντοχές του οποιουδήποτε οργανισμού ανεξαρτήτως μεγέθους.

Αντλώντας τα μαθήματα από οργανισμούς που πλήγηκαν από επιθέσεις Ransomware διεθνώς, αναντίλεκτα η στόχευση και η μετάβαση σε μια πιο ανθεκτική κατάσταση είναι μονόδρομος. Ανθεκτικός οργανισμός είναι ο οργανισμός που έχει πρωτίστως τις ικανότητες (capabilities) να ανταπεξέλθει και την απαραίτητη χωρητικότητα (capacity) να απορροφήσει τις συνέπειες  από οποιασδήποτε φύσης περιστατικό ασφάλειας. Η αναμονή, η προετοιμασία, η εγρήγορση και η συντονισμένη ανταπόκριση είναι στοιχεία που αυξάνουν την χωρητικότητα του οργανισμού και παραμένουν κρίσιμες παράμετροι πλοήγησης στο σημερινό αυξανόμενο κύμα ψηφιακών απειλών.