Κυβερνοεπιθέσεις: Γιατί κάποιες είναι μεγαλύτερες από κάποιες άλλες και πως μπορούμε να τις αποφύγουμε

Οι κυβερνοεπιθέσεις σε κρίσιμες υποδομές μιας χώρας δεν είναι ασυνήθιστες και μπορεί να προκαλέσουν μεγάλες ζημιές. Η Βρετανική Βιβλιοθήκη για παράδειγμα λειτουργεί χωρίς μεγάλο μέρος του ψηφιακού της περιεχομένου καθώς δέχτηκε επίθεση χάκερ τον Οκτώβριο του 2023.

Η ρωσική ομάδα χάκερ Rhysida ανέλαβε την ευθύνη και απαίτησε λύτρα 20 bitcoin (που αντιστοιχούσαν σε 600.000 λίρες εκείνη την εποχή). Αφού η Βρετανική Βιβλιοθήκη αρνήθηκε να πληρώσει, οι χάκερ διέρρευσαν τα σχεδόν 600 GB απόρρητων πληροφοριών στο Dark Web.

Μόλις τον Ιανουάριο του 2024 ο διαδικτυακός κατάλογος έγινε και πάλι χρησιμοποιήσιμος, και ακόμη και αυτή ήταν μια ελλιπής έκδοση.

Ο οργανισμός ενημέρωσε ότι η διαδικασία ανάκτησης των δεδομένων θα πάρει πολύ καιρό, σημειώνοντας ότι μπορεί να χρειαστούν αρκετοί μήνες μόνο για την ανάλυση των δεδομένων που διέρρευσαν. Η βιβλιοθήκη δεν έχει προσδιορίσει χρονοδιάγραμμα για την περαιτέρω ανάκτηση, αλλά εξωτερικοί παρατηρητές πιστεύουν ότι θα μπορούσε να χρειαστεί ένας χρόνος.

Όπως τονίζει το BBC, σύμφωνα με τον ιστότοπο δεδομένων Statista, από το 2020 έως τα μέσα του 2022, ο μέσος χρόνος διακοπής λειτουργίας μετά από μια επίθεση ransomware στις ΗΠΑ ήταν 24 ημέρες.

Μια έρευνα της βρετανικής κυβέρνησης που διεξήχθη το 2022-23 διαπίστωσε ότι το 88% των επιχειρήσεων και το 84% των φιλανθρωπικών οργανώσεων ήταν σε θέση να αποκαταστήσουν τις λειτουργίες τους εντός 24 ωρών από την πιο καταστροφική παραβίαση ή επίθεση στον κυβερνοχώρο.

Αλλά η παρατεταμένη αποκατάσταση δεν είναι κάτι το ανήκουστο. Από τον εντοπισμό των προσβεβλημένων συστημάτων ΤΠ έως την αποκρυπτογράφηση των διακομιστών, την απεγκατάσταση μη λειτουργικών εφαρμογών, τον αποκλεισμό συνδέσεων, την απενεργοποίηση λογαριασμών και την αποκατάσταση μη μολυσμένων αντιγράφων ασφαλείας, κάθε βήμα μπορεί να δημιουργήσει εμπλοκές.

Από τι εξαρτάται η ανάκαμψη

Σε κάποιο βαθμό, ο χρόνος ανάκαμψης εξαρτάται από το μέγεθος της ανοικοδόμησης ή της κατασκευής νέων συστημάτων που πραγματοποιεί ένας οργανισμός μετά από μια επίθεση στον κυβερνοχώρο.

Για τον Οργανισμό Προστασίας Περιβάλλοντος της Σκωτίας (SEPA), ο οποίος επλήγη από επίθεση ransomware τον Δεκέμβριο του 2020, η διαδικασία αυτή συνεχίζεται σήμερα καθώς «πήρε την απόφαση να ξαναχτίσει καλύτερα νέα αντί να επαναφέρει τα παλαιά συστήματα».

Υπάρχουν πολλές μεταβλητές που καθορίζουν τη διάρκεια της αποκατάστασης από κυβερνοεπιθέσεις. Σε αυτές περιλαμβάνονται ο τύπος και ο αριθμός των συστημάτων που επηρεάζονται, η ποιότητα και η ποσότητα των αντιγράφων ασφαλείας, η εμπειρία του προσωπικού πληροφορικής και η πολυπλοκότητα τόσο της επίθεσης όσο και της αρχικής αντίδρασης.

Οι επιτιθέμενοι ransomeware μπορούν να κρυπτογραφήσουν τον hypervisor - κλειδώνοντας πολλά συστήματα και προγράμματα με τη μία. 

Σε μια κατάσταση όπου ένας hypervisor εκτελεί πολλά προγράμματα κρίσιμα για τις επιχειρηματικές λειτουργίες, «ο αντίκτυπος είναι πιο σημαντικός και σε ορισμένες περιπτώσεις μπορεί να επηρεάσει πραγματικά την υποκείμενη υποδομή που θα χρησιμοποιούσε ο οργανισμός για να μπορέσει να επανέλθει και να λειτουργήσει πιο γρήγορα», λέει η Kimberly Goody, επικεφαλής της ανάλυσης εγκλημάτων στον κυβερνοχώρο της Mandiant.

Το μέγεθος του οργανισμού μπορεί επίσης να αποτελεί παράγοντα. «Ένας μεγαλύτερος οργανισμός θα μπορούσε να χρειαστεί περισσότερο χρόνο για να ανακάμψει, διότι όταν εξετάζετε την αναλογία προσωπικού προς συστήματα, αυτή θα μπορούσε να είναι πολύ υψηλότερη από ό,τι σε έναν μικρότερο οργανισμό, λέει η κα Goody.

Στις ανώμαλες περιπτώσεις όπου η αποκατάσταση διαρκεί μήνες ή και χρόνια, ένας πιθανός λόγος είναι ότι «τα αντίγραφα ασφαλείας ενός οργανισμού μπορεί να έχουν κρυπτογραφηθεί και δεν ήταν σε θέση να τα επαναφέρουν», σχολιάζει η κα Goody. Για παράδειγμα, η απόκτηση ενός κλειδιού αποκρυπτογράφησης μπορεί να είναι μια επίπονα αργή διαδικασία.

Η διασφάλιση της συχνής δημιουργίας και δοκιμής των αντιγράφων ασφαλείας είναι ένας τρόπος με τον οποίο οι οργανισμοί μπορούν να γίνουν πιο ανθεκτικοί στις επιθέσεις στον κυβερνοχώρο.

Ένα άλλο είναι να αποφεύγεται η εξάρτηση από ένα μόνο είδος πρόληψης. Ένας μόνο λόγος που το antivirus αποτυγχάνει, λέει η κα Goody, είναι ότι «σήμερα υπάρχει μια ολόκληρη υπόγεια αγορά» όπου οι εγκληματίες μπορούν να δοκιμάζουν φτηνά δείγματα κακόβουλου λογισμικού ενάντια σε διαφορετικά προγράμματα antivirus. Εάν δουν ότι το κακόβουλο λογισμικό τους δεν ανιχνεύεται από ένα συγκεκριμένο προϊόν προστασίας από ιούς, μπορούν να στοχεύσουν έναν οργανισμό με αυτές τις αδύναμες άμυνες.

Η ενίσχυση της κυβερνοασφάλειας το κλειδί

Η ενίσχυση της άμυνας θα περιλάμβανε επενδύσεις σε προσωπικό και εργαλεία κυβερνοασφάλειας. Η κ. Goody προσφέρει επίσης ορισμένες συμβουλές σε οργανισμούς που έχουν κατακλυστεί από την πληθώρα των προϊόντων κυβερνοασφάλειας που κυκλοφορούν στην αγορά.

Ακόμη και καλά προετοιμασμένοι οργανισμοί μπορεί να πέσουν θύματα κυβερνοεπιθέσεων. Σε αυτές τις περιπτώσεις, η ασφάλιση κινδύνων στον κυβερνοχώρο μπορεί να βοηθήσει στην απορρόφηση των οικονομικών απωλειών. 

Οι οικονομικές απώλειες από τη διακοπή της λειτουργίας μπορούν να επισκιάσουν την αρχική απαίτηση λύτρων. «Το μεγαλύτερο μέρος του κόστους μπορεί να αφορά την πλευρά της διακοπής της λειτουργίας των επιχειρήσεων και όχι τον εκβιασμό», λέει ο Simon West, επικεφαλής της Resilience για την παροχή συμβουλών στον κυβερνοχώρο.

Αυτό ισχύει για τη Βρετανική Βιβλιοθήκη, η ψηφιακή ανακατασκευή της οποίας θα κοστίσει εκατομμύρια λίρες, απαιτώντας από τον οργανισμό να χρησιμοποιήσει τα αποθεματικά του.

Διαβάστε ακόμη

Συνέδριο ΣΥΡΙΖΑ: Ο υπό προθεσμία Κασσελάκης, τα κέρδη του Παππά, το χαμένο κόμμα του Τσίπρα

Σαρώνει τη χώρα η κακοκαιρία με ισχυρές βροχές και καταιγίδες - Πώς θα κινηθούν τα φαινόμενα

Αθήνα σαν καμίνι: Χειρότερους καύσωνες «βλέπουν» οι ειδικοί έως το 2046 - Πόσο θα αυξηθεί η θερμοκρασία

Κυβερνοεπιθέσεις: Γιατί κάποιες είναι μεγαλύτερες από κάποιες άλλες και πως μπορούμε να τις αποφύγουμε