Ευάλωτες σε ψηφιακές επιθέσεις αποδεικνύονται οι ναυτιλιακές εταιρείες, παγκοσμίως, μεταξύ αυτών και οι ελληνικές

Ευάλωτες σε ψηφιακές επιθέσεις αποδεικνύονται οι ναυτιλιακές εταιρείες, παγκοσμίως, μεταξύ αυτών και οι ελληνικές. Όσο προχωρά ο ψηφιακός μετασχηματισμός του τομέα και όσο αυξάνεται η συνδεσιμότητα, ο ναυτιλιακός κλάδος μπαίνει στο στόχαστρο του κυβερνο-εγκλήματος.

Το σύνολο των ελληνικών ναυτιλιακών επιχειρήσεων, που συμμετείχαν στην έρευνα, διαπιστώνει αύξηση των καταστροφικών κυβερνοεπιθέσεων κατά το τελευταίο δωδεκάμηνο. Οι μισές από τις αυτές εκτιμούν ότι η αύξηση των περιστατικών ήταν μικρότερη από 10%, με το 25% να αναφέρει ότι τα περιστατικά κυβερνοεπιθέσεων αυξήθηκαν κατά 25% ή και περισσότερο.

Πάντως, παρά την αύξηση των κρουσμάτων, σύμφωνα με τη μελέτη “Global Information Security Survey 2020” της ΕΥ, για τις ελληνικές ναυτιλιακές το ζήτημα της κυβερνοασφάλειας αποτελεί χαμηλότερη προτεραιότητα, σε σύγκριση με το σύνολο των επιχειρήσεων, που συμμετείχαν στην παγκόσμια έρευνα. Για την ακρίβεια, το θέμα των ψηφιακών επιθέσεων βρίσκεται χαμηλά στη λίστα των προτεραιοτήτων των διοικήσεων των εταιρειών. Το 57% των στελεχών του ελληνικού ναυτιλιακού κλάδου απαντά ότι τα Διοικητικά Συμβούλια των επιχειρήσεών τους δεν αντιμετωπίζουν τις κυβερνοαπειλές, ως κρίσιμο κίνδυνο. Επιπλέον, το 71% των στελεχών αναφέρει ότι τα Διοικητικά Συμβούλια ασχολούνται με ζητήματα κυβερνοασφάλειας σε ad hoc βάση.

Σύμφωνα πάντα με την έρευνα, το 71% των ελληνικών ναυτιλιακών επιχειρήσεων δαπανά λιγότερο από $100.000 ετησίως για την κυβερνοασφάλεια. Μάλιστα, παράλληλα, καμία ελληνική ναυτιλιακή επιχείρηση δεν δαπανά πάνω από $1 εκατ. για αυτόν τον σκοπό.

Ρυθμιστικό πλαίσιο
Ενδιαφέρον παρουσιάζει το εύρημα της έρευνας ότι ένας στους δύο ερωτώμενους στην Ελλάδα (50%) εκτιμά ότι το ρυθμιστικό καθεστώς για την κυβερνοασφάλεια είναι ανεπαρκές.

Παρά το ανεπαρκές ρυθμιστικό περιβάλλον και τις χαμηλότερες δαπάνες, ένα στα τέσσερα στελέχη (25%), θεωρεί ότι είναι πολύ πιθανό να αντιληφθεί μια κυβερνοεπίθεση με κακόβουλο λογισμικό (malware), που χρησιμοποιεί αρχεία, προγράμματα και βιβλιοθήκες, τα οποία προσφέρονται από το λειτουργικό σύστημα και όχι προσαρμοσμένα, customized malware (“living off the land” attacks).

“Η ολοένα και μεγαλύτερη εξάρτηση της ναυτιλίας από ψηφιακά συστήματα και ο αυξανόμενος ρυθμός υιοθέτησης νέων τεχνολογιών, καθιστούν την κυβερνοασφάλεια άμεση προτεραιότητα για τις ναυτιλιακές επιχειρήσεις. Ο αυξημένος βαθμός έκθεσης σε κινδύνους στον κυβερνοχώρο, συναρτάται άμεσα με την αύξηση στη συνδεσιμότητα”, διαπιστώνει η ΕΥ Ελλάδος.

Πλαίσιο κυβερνοασφάλειας
Με στόχο τη θωράκιση από τα περιστατικά, η ΕΥ συνιστά στις επιχειρήσεις του κλάδου μερικές βασικές αρχές, όπως η εκπαίδευση και ενημέρωση του πληρώματος, η κατάτμηση των δικτύων, το ενημερωμένο λογισμικό, η ασφαλής παραμετροποίηση και η τήρηση αντιγράφων ασφαλείας.

Βασικό εργαλείο για τις ναυτιλιακές εταιρείες παγκοσμίως θα αποτελέσει το πλαίσιο κυβερνοασφάλειας του Διεθνούς Ναυτιλιακού Οργανισμού (International Maritime Organization – IMO), το οποίο θα τεθεί σε ισχύ την 1η Ιανουαρίου 2021. Το πλαίσιο βασίζεται σε πέντε πυλώνες: αναγνώριση, ανταπόκριση, προστασία, ανάκαμψη και εντοπισμός.

Πηγή: sepe.gr

Ένας «σεισμός» για το οργανωμένο έγκλημα: οι δικαστικές και αστυνομικές αρχές της Γαλλίας και της Ολλανδίας ανακοίνωσαν χθες ότι διέλυσαν ένα παγκόσμιο δίκτυο κρυπτογραφημένων επικοινωνιών με την ονομασία EncroChat

Ένας «σεισμός» για το οργανωμένο έγκλημα: οι δικαστικές και αστυνομικές αρχές της Γαλλίας και της Ολλανδίας ανακοίνωσαν χθες ότι διέλυσαν ένα παγκόσμιο δίκτυο κρυπτογραφημένων επικοινωνιών με την ονομασία EncroChat, το οποίο χρησιμοποιούνταν σχεδόν αποκλειστικά από εγκληματικές οργανώσεις.

Λαθρεμπόριο ναρκωτικών, δολοφονίες, ξέπλυμα χρημάτων, εκβιασμοί, απαγωγές… Η κοινή αυτή επιχείρηση οδήγησε σε «πολλές συλλήψεις» σε ευρωπαϊκές χώρες και εμπόδισε την πραγματοποίηση πολλών εγκληματικών πράξεων, εξήγησαν οι γαλλικές και οι ολλανδικές αρχές σε συνέντευξη Τύπου που δόθηκε στη Χάγη της Ολλανδίας, στην έδρα του Eurojust, του οργανισμού δικαστικής συνεργασίας των ευρωπαϊκών χωρών.

«Είναι σαν να βρισκόμασταν απ’ ευθείας στο τραπέζι των συζητήσεων εγκληματιών», συνόψισε η Ζανίν φαν ντεν Μπεργκ, η αρχηγός της ολανδικής αστυνομίας, και «αυτό είναι που καθιστά την έρευνα αυτή μοναδική». «Χρησιμοποιήσαμε το γεγονός ότι οι εγκληματίες εμπιστεύονται τυφλά την κρυπτογραφημένη επικοινωνία και μιλούν ελεύθερα», πρόσθεσε ο συνάδελφός της Άντι Κράαγκ, ο οποίος παρομοίασε τις πληροφορίες αυτές με «ένα χρυσωρυχείο που μας προσφέρει αποδείξεις για τις οποίες θα είχαμε χρειαστεί χρόνια υπό κανονικές συνθήκες».

Η εισαγγελέας της Λίλλης Καρόλ Ετιέν, ο υποδιευθυντής της δικαστικής αστυνομίας της γαλλικής Χωροφυλακής Ζαν-Φιλίπ Λεκούφ και ο ολλανδός γενικός εισαγγελέας Τζον Λούκας συμμετείχαν κυρίως στη συνέντευξη αυτή.

Η κοινή γαλλο-ολλανδική έρευνα, υπό την αιγίδα της Eurojust, η οποία άρχισε το 2019 από τη Γαλλία και με την υποστήριξη της Europol, της ευρωπαϊκής εγκληματολογικής υπηρεσίας, επέτρεψε τους τελευταίους μήνες να υποκλαπούν και να αποκωδικοποιηθούν σε πραγματικό χρόνο, εν αγνοία των εγκληματιών, «περισσότερα από 100 εκατομμύρια μηνύματα» που είχαν ανταλλαγεί μέσω της EncroChat μεταξύ εγκληματιών σε όλο τον κόσμο.

Αυτή η μεγάλης έκτασης διείσδυση έλαβε τέλος στις 13 Ιουνίου όταν το δίκτυο αντελήφθη, σύμφωνα με μήνυμα «συναγερμού» που απηύθυνε σε όλους τους πελάτες του, πως είχε «παραβιασθεί παρανόμως» από «κυβερνητικές οντόητες» και τους συνέστησε τότε να ξεφορτωθούν «αμέσως» τα τηλέφωνά τους. Όμως ήταν «πολύ αργά γι’ αυτούς», διότι «είχαμε ήδη πρόσβαση σε εκατομμύρια μηνύματα», υπογράμμισε ο Κράαγκ.

«Διαρροές» στους κόλπους των δυνάμεων της τάξης;
Σύμφωνα με τις αρχές, σχεδόν το σύνολο των πελατών της EncroChat («από 90% έως 100%») συνδέονται με το οργανωμένο έγκλημα. Περίπου 50.000 από τα τηλέφωνα αυτά ήταν σε χρήση το 2020.

Η χρήση αυτών των κρυπτογραφημένων τηλεφώνων από εγκληματίες είχε εντοπισθεί από το 2017 στη Γαλλία στη διάρκεια επιχειρήσεων εναντίον του οργανωμένου εγκληματος από το Ινστιτούτο Εγκληματολογικής Έρευνας της Χωροφυλακής, το οποίο εργάσθηκε στη συνέχεια πάνω στη λειτουργία αυτών των κωδικοποιημένων επικοινωνιών.

Από το 2018 και μετά η έρευνα διεξήχθη από την εισαγγελία της Λίλλης, επειδή οι σέρβερ που εξασφάλιζαν τη λειτουργία της EncroChat εντοπίσθηκαν στην περιοχή της αρμοδιότητάς της.

Οι ολλανδικές αρχές διαβεβαιώνουν πως η διείσδυση στην EncroChat επέτρεψε να εμποδισθεί η διάπραξη «δεκάδων βίαιων εγκληματικών πράξεων», ανάμεσα στις οποίες απαγωγές, φόνοι και πυροβολισμοί.

«Προκαλεί σοκ να διαπιστώνει κανείς με πόση ευκολία και χωρίς τον παραμικρό ενδοιασμό συζητούνται και σχεδιάζονται αυτού του είδους οι σοβαρές εγκληματικές πράξεις» στην EncroChat, επιμένουν οι Ολλανδοί. «Αυτή η επιχείρηση, που προχώρησε και συντονίσθηκε σε διεθνές επίπεδο, είχε την επίδραση ενός σεισμού για το οργανωμένο έγκλημα».

Μόνο στην Ολλανδία, η έρευνα επέτρεψε τη σύλληψη «περισσοτέρων των 100 υπόπτων», την κατάσχεση «άνω των 8.000 κιλών κοκαΐνης και 1,2 τόνου κρυσταλλικής μεθαμφεταμίνης», τη διάλυση «19 εργαστηρίων συνθετικών ναρκωτικών», την κατάσχεση «δεκάδων αυτόματων πυροβόλων όπλων», «ρολογιών πολυτελείας» «25 αυτοκινήτων, μερικά από τα οποία περιέχουν κρύπτες», καθώς και «σχεδόν 25 εκατομμύρια ευρώ σε μετρητά».

Όμως οι έρευνες, τα αποτελέσματα των οποίων θα εξακολουθήσουν να χρησιμεύουν «για χρόνια», αποκάλυψαν επίσης «ενδείξεις διαρροής στο επίπεδο των αστυνομικών υπηρεσιών», οι οποίες «αντμετωπίζονται πολύ σοβαρά», υπογράμμισε η φαν ντεν Μπεργκ. Κατέδειξαν «ξεκάθαρα τον ρόλο της διαφθοράς σε όλο το μήκος της αλυσίδας του παράνομου εμπορίου», υπογράμμισε και ο Βιλ φαν Χέμερτ, αναπληρωτής διευθυντής επιχειρήσεων στη Europol.

Πηγή: https://www.csii.gr/

Διαδικτυακή συζήτηση στρογγυλής τραπέζης, με αντικείμενο την παρουσίαση της παγκόσμιας έρευνας της EY για την κυβερνοασφάλεια

Διαδικτυακή συζήτηση στρογγυλής τραπέζης, με αντικείμενο την παρουσίαση της παγκόσμιας έρευνας της EY για την κυβερνοασφάλεια, Global Information Security Survey 2020 (GISS 2020), και των εξειδικευμένων αποτελεσμάτων της για τον ελληνικό ναυτιλιακό κλάδο, διοργάνωσε την Πέμπτη 25 Ιουνίου, η EY Ελλάδος. Στη συζήτηση συμμετείχαν στελέχη των τμημάτων κυβερνοασφάλειας και πληροφορικής, κορυφαίων ελληνικών ναυτιλιακών επιχειρήσεων, οι οποίες είχαν, επίσης, λάβει μέρος στην έρευνα.

Τα αποτελέσματα της έρευνας παρουσίασε ο κος Παναγιώτης Παπαγιαννακόπουλος, Associate Partner και Υπεύθυνος των Υπηρεσιών Cybersecurity, Data Protection & Privacy, και ορισμένων Υπηρεσιών Τεχνολογίας της ΕΥ Ελλάδος και της EY Νοτιοανατολικής Ευρώπης. Ο ομιλητής εξήγησε ότι, όσον αφορά την Ελλάδα, η έρευνα επικεντρώθηκε στις επιχειρήσεις του ναυτιλιακού κλάδου, καθώς η ναυτιλία αποτελεί βασικό πυλώνα της εθνικής οικονομίας και η κυβερνοασφάλεια στη θάλασσα κρίνεται ως βασική προτεραιότητα για το μέλλον.

Από τα ευρήματα της έρευνας προκύπτει ότι, για τις ελληνικές ναυτιλιακές επιχειρήσεις, το ζήτημα της κυβερνοασφάλειας φαίνεται να αποτελεί χαμηλότερη προτεραιότητα, σε σύγκριση με το σύνολο των επιχειρήσεων που συμμετείχαν στην παγκόσμια έρευνα GISS 2020 της ΕΥ. Το 71% των ελληνικών ναυτιλιακών επιχειρήσεων δαπανά λιγότερο από 100.000 δολάρια ετησίως για την κυβερνοασφάλεια, ενώ, παράλληλα, καμία ελληνική ναυτιλιακή επιχείρηση δε δαπανά πάνω από ένα εκατομμύριο δολάρια για αυτόν τον σκοπό.

Σύμφωνα με το 57% των ερωτηθέντων του ελληνικού ναυτιλιακού κλάδου, τα Διοικητικά Συμβούλια των επιχειρήσεών τους, δεν αντιμετωπίζουν τις κυβερνοαπειλές ως κρίσιμο κίνδυνο. Επιπλέον, το 71% ανέφεραν ότι τα Διοικητικά Συμβούλια ασχολούνται με ζητήματα κυβερνοασφάλειας σε ad hoc βάση.

Την ίδια ώρα, το σύνολο των ελληνικών ναυτιλιακών επιχειρήσεων που συμμετείχαν στην έρευνα, διαπιστώνουν αύξηση των καταστροφικών κυβερνοεπιθέσεων κατά το τελευταίο δωδεκάμηνο. Οι μισές εξ αυτών, εκτιμούν ότι η αύξηση των περιστατικών ήταν μικρότερη από 10%, και το 25% αναφέρουν ότι τα περιστατικά κυβερνοεπιθέσεων αυξήθηκαν κατά 25% ή και περισσότερο.

Τέλος, ενδιαφέρον παρουσιάζει το εύρημα ότι ένας στους δύο ερωτώμενους στην Ελλάδα (50%), εκτιμά ότι το ρυθμιστικό καθεστώς για την κυβερνοασφάλεια είναι ανεπαρκές. Ωστόσο, παρά το ανεπαρκές ρυθμιστικό περιβάλλον και τις χαμηλότερες δαπάνες, ένα στα τέσσερα στελέχη (25%), εκτιμά ότι είναι πολύ πιθανό να αντιληφθεί μια κυβερνοεπίθεση με κακόβουλο λογισμικό (malware), που χρησιμοποιεί αρχεία, προγράμματα και βιβλιοθήκες τα οποία προσφέρονται από το λειτουργικό σύστημα, και όχι προσαρμοσμένα, customized malware (“living off the land” attacks).     

Κατά την επόμενη ενότητα, ο κος Βασίλης Μαρίτσας, Senior Manager στο τμήμα Υπηρεσιών Cybersecurity, Data Protection & Privacy, και Υπηρεσιών Τεχνολογίας της EY Ελλάδος, εξήγησε ότι η ολοένα και μεγαλύτερη εξάρτηση της ναυτιλίας από ψηφιακά συστήματα, και ο αυξανόμενος ρυθμός υιοθέτησης νέων τεχνολογιών, καθιστούν την κυβερνοασφάλεια, άμεση προτεραιότητα για τις ναυτιλιακές επιχειρήσεις. Ο ομιλητής τόνισε ότι ο αυξημένος βαθμός έκθεσης σε κινδύνους στον κυβερνοχώρο, συναρτάται άμεσα με την αύξηση στη συνδεσιμότητα.

Στη συνέχεια, ο κος Μαρίτσας αφού ανέλυσε τα κίνητρα και τις συνήθεις πρακτικές των δραστών κυβερνοεπιθέσεων, καθώς και τη διαδικασία μίας κυβερνοεπίθεσης στη ναυτιλία, παρέθεσε επτά βασικές αρχές για ένα προστατευμένο και ανθεκτικό, έναντι των κυβερνοεπιθέσεων, πλοίο. Οι αρχές αυτές συμπεριλαμβάνουν την εκπαίδευση και ενημέρωση του πληρώματος, την κατάτμηση των δικτύων, το ενημερωμένο λογισμικό, την ασφαλή παραμετροποίηση, και την τήρηση αντιγράφων ασφαλείας.

Τέλος, ο κος Φώτης Σωφρόνης, Manager στο τμήμα Υπηρεσιών Cybersecurity, Data Protection & Privacy, και Υπηρεσιών Τεχνολογίας της EY Ελλάδος, επικεντρώθηκε στις κατευθυντήριες γραμμές και τις οδηγίες του Διεθνούς Ναυτιλιακού Οργανισμού (International Maritime Organization – IMO), σχετικά με την κυβερνοασφάλεια στη θάλασσα. Ο ομιλητής εξήγησε ότι, ενώ παλαιότερα οι οδηγίες του IMΟ επικεντρώνονταν κυρίως σε θέματα ασφάλειας πλεύσης και ρύπανσης, η ψηφιοποίηση του κλάδου αποτέλεσε το έναυσμα για τη θέσπιση δεσμευτικών κανονισμών και για την κυβερνοασφάλεια.

Ο κος Σωφρόνης ανέφερε ότι το πλαίσιο κυβερνοασφάλειας του IMO, το οποίο θα τεθεί σε ισχύ την 1^η Ιανουαρίου 2021, βασίζεται σε πέντε πυλώνες: αναγνώριση, ανταπόκριση, προστασία, ανάκαμψη και εντοπισμός. Ολοκληρώνοντας την εισήγησή του, ο ομιλητής παρουσίασε και έναν οδικό χάρτη για τη συμμόρφωση με τις νέες οδηγίες του IMO, ο οποίος εκκινεί από τη θέσπιση μιας στρατηγικής για την κυβερνοασφάλεια, και καταλήγει στην εγκαθίδρυση μίας κουλτούρας ετοιμότητας και ανταπόκρισης σε σχετικά περιστατικά.

Για περισσότερες πληροφορίες μπείτε στο ey.com/gr