Ο κυβερνοπολιτικός κίνδυνος αναδύεται ως κρίσιμη πρόκληση για τις επιχειρήσεις και την κοινωνία
Τον 19ο αιώνα, ο Πρώσος στρατηγός Carl von Clausewitz δήλωσε περίφημα ότι ο πόλεμος είναι πολιτική με άλλα μέσα. Σχεδόν διακόσια χρόνια αργότερα, μια άλλη αρένα έχει ανοίξει για τα κράτη να επιτύχουν τους πολιτικούς τους στόχους: το πεδίο του κυβερνοχώρου.
Article by
Ήδη, τα κράτη έχουν αρχίσει να επιδεικνύουν τις πραγματικές επιπτώσεις της σύγκρουσης στον κυβερνοχώρο, με τις αυξανόμενες γεωπολιτικές εντάσεις σε ολόκληρο τον κόσμο να απειλούν να απελευθερώσουν μια νέα εποχή διαταραχής στον κυβερνοχώρο. Η απειλή μιας κυβερνοεπίθεσης δεν περιορίζεται πλέον στον κόσμο των εγκληματιών με οικονομικά κίνητρα ή των εφήβων χακτιβιστών. Σήμερα, η κυβερνοεπίθεση που καταρρέει τους διακομιστές μιας εταιρείας ή κλέβει τις πολύτιμες πληροφορίες των πελατών της είναι εξίσου πιθανό να προέλθει από τον ανταγωνισμό και τη σύγκρουση μεταξύ των εθνών-κρατών σε ένα νέο πεδίο πολιτικής.
Η κατανόηση των προκλήσεων που απορρέουν από τον «κυβερνοπολιτικό κίνδυνο», η περίπλοκη αλληλεπίδραση μεταξύ διεθνούς πολιτικής και ασφάλειας στον κυβερνοχώρο, έχει καταστεί ζωτικής σημασίας για τους CEO και τις εκτελεστικές τους ομάδες καθώς πλοηγούνται σε έναν κόσμο που χαρακτηρίζεται από συνεχώς εξελισσόμενη διεθνή πολιτική. Ίσως κανένα άλλο περιστατικό δεν δείχνει καλύτερα τον αντίκτυπο του κυβερνοπολιτικού κινδύνου από την επίθεση NotPetya του 2017, την πιο καταστροφική κυβερνοεπίθεση μέχρι σήμερα. Αυτό το άρθρο υπογραμμίζει τον άμεσο αντίκτυπο παγκόσμιων γεγονότων όπως η κυβερνοεπίθεση NotPetya και ο πόλεμος Ρωσίας-Ουκρανίας στις διεθνείς επιχειρήσεις και το εμπόριο – και σκιαγραφεί πολλά βασικά στοιχεία για τους οργανισμούς που προσαρμόζονται σε νέες απειλές που προέρχονται από τη διασταύρωση γεωπολιτικής και κυβερνοχώρου.
Σχέδιο για το χάος
Από τις 27 Ιουνίου 2017, ο πόλεμος Ρωσίας-Ουκρανίας σιγοβράζει για περισσότερα από τρία χρόνια, με τις ρωσικές, ουκρανικές και αυτονομιστικές δυνάμεις εγκλωβισμένες σε μια αιματηρή στάση που χαρακτηρίζεται από στατικό κυρίως πόλεμο χαρακωμάτων στα αμφισβητούμενα εδάφη της ανατολικής και νότιας Ουκρανίας. Εκείνη την ημέρα, ωστόσο, η γεωπολιτική διαμάχη για την κυριαρχία και το έδαφος θα έπαιρνε μια δραματική, άνευ προηγουμένου τροπή στον κυβερνοχώρο. Το πρωί της 27ης Ιουνίου, άρχισαν τα πρώτα σημάδια ότι μια μεγάλη κυβερνοεπίθεση βρισκόταν σε εξέλιξη στην Ουκρανία, με κυβερνητικές υπηρεσίες, τράπεζες, νοσοκομεία, την κρατική εταιρεία ηλεκτρισμού, το αεροδρόμιο και τα συστήματα του μετρό του Κιέβου και το σύστημα παρακολούθησης της ακτινοβολίας του Τσερνόμπιλ όλα εκτός σύνδεσης.
Σύντομα, έγινε σαφές ότι η επίθεση δεν περιοριζόταν στην Ουκρανία, καθώς εταιρείες σε όλο τον κόσμο, συμπεριλαμβανομένων των Mondelēz International, Merck και του ναυτιλιακού γίγαντα AP Moller-Maersk, ανέφεραν ότι τα συστήματά τους είχαν παραλύσει από κακόβουλο λογισμικό. Αργότερα την ίδια μέρα, η Kaspersky Lab, ένας ρωσικός πάροχος κυβερνοασφάλειας και προστασίας από ιούς που πρόσφατα απαγορεύθηκε από την κυβέρνηση Μπάιντεν, εντόπισε τις επιθέσεις σε περίπου 2.000 θύματα σε Ουκρανία, Πολωνία, Ιταλία, Ηνωμένο Βασίλειο, Γερμανία, Γαλλία και Ηνωμένες Πολιτείες. Το NotPetya, όπως ονομάστηκαν οι επιθέσεις, είχε εξαπολυθεί στην παγκόσμια σκηνή.
Μέσα σε λίγες ώρες, η NotPetya είχε παραλύσει την κυβέρνηση, τις μεταφορές, την ενέργεια και τον χρηματοπιστωτικό τομέα της Ουκρανίας και στη συνέχεια εξαπλώθηκε για να κλείσει τις δραστηριότητες ορισμένων από τις μεγαλύτερες διεθνείς εταιρείες του κόσμου. Οι επιθέσεις κέρδισαν το όνομά τους λόγω της αρχικής ομοιότητάς τους με το ransomware Petya, έναν κωδικό κρυπτογράφησης που εμφανίστηκε το 2016 που στόχευε τα συστήματα της Microsoft που βασίζονται στα Windows και εκβίαζε πληρωμές σε ψηφιακό νόμισμα από τα θύματα με αντάλλαγμα ένα κλειδί για να ξεκλειδώσει τα συστήματα και τα αρχεία τους. Ωστόσο, καθώς η επίθεση εξαπλώθηκε παγκοσμίως, οι ειδικοί στον κυβερνοχώρο γρήγορα διαπίστωσαν ότι το NotPetya ήταν ένα εντελώς διαφορετικό κτήνος.
Το NotPetya διέφερε σημαντικά από τον προκάτοχό του στην ικανότητά του να εξαπλώνεται γρήγορα και να προκαλεί ζημιά σε μολυσμένα συστήματα. Το κακόβουλο λογισμικό εισήγαγε δύο βασικές εκμεταλλεύσεις που στοχεύουν υπολογιστές που εκτελούν ξεπερασμένες εκδόσεις λογισμικού Windows που ονομάζονται EternalBlue, το οποίο παρέχει απομακρυσμένη πρόσβαση σε τρίτους για να τρέξουν τον δικό τους κώδικα και Mimikatz, που εξάγει τους κωδικούς πρόσβασης χρήστη από τη μνήμη RAM ενός υπολογιστή, επιτρέποντας πρόσβαση σε άλλα μηχανήματα σε κοινό δίκτυο. Αν και η Microsoft είχε επιδιορθώσει την ευπάθεια EternalBlue πριν από την επίθεση, ο συνδυασμός του EternalBlue και του Mimikatz επέτρεψε στο NotPetya να μολύνει υπολογιστές που εκτελούν παλιό λογισμικό, να κλέβει τους κωδικούς πρόσβασής τους και στη συνέχεια να χρησιμοποιεί αυτά τα διαπιστευτήρια για να μολύνει ενημερωμένους υπολογιστές που εκτελούνται στο ίδιο δίκτυο.
Επιπλέον, έγινε σαφές ότι ο στόχος του NotPetya δεν ήταν να εκβιάσει για οικονομικό όφελος, αλλά να προκαλέσει χάος, όχι μόνο εντός της Ουκρανίας αλλά και εναντίον διεθνών οργανισμών που δραστηριοποιούνται εκεί. Σε αντίθεση με τον αρχικό κώδικα, ο οποίος κρυπτογραφεί τις κύριες εγγραφές εκκίνησης (MBR) που επιτρέπουν στους υπολογιστές να εκκινούν και να φορτώνουν τα Windows μέχρι να πληρωθούν τα λύτρα, το NotPetya σχεδιάστηκε για να κρυπτογραφεί τα MBR και τα αρχεία ενός υπολογιστή. Κυρίως, το έκανε χωρίς να δημιουργήσει κλειδί αποκρυπτογράφησης. Αν και εταιρείες σε όλο τον κόσμο έλαβαν μηνύματα που ζητούσαν λύτρα για να ξεκλειδώσουν τα συστήματά τους, ήταν απλώς ένα τέχνασμα. Χωρίς κλειδί αποκρυπτογράφησης, το NotPetya άφησε τα θύματά του χωρίς κανένα μέσο για να ανακτήσουν τα κρυπτογραφημένα δεδομένα τους. Καθώς το κακόβουλο λογισμικό εξαπλώθηκε από την Ουκρανία στον ευρύτερο κόσμο, άφησε ένα ίχνος πρωτοφανούς ζημιάς στο πέρασμά του.
Ο νέος κόσμος του κυβερνοπολιτικού κινδύνου
Τις πρώτες ημέρες του χάους που προκάλεσε η NotPetya ακολούθησαν μήνες προσπάθειας από τους επηρεαζόμενους διεθνείς οργανισμούς να αποκαταστήσουν την κανονική λειτουργικότητα του λογισμικού. Οι εταιρείες σε όλο τον κόσμο ανέφεραν συγκλονιστικές απώλειες που προέκυψαν από τη διακοπή. Μεταξύ των συνολικών ζημιών ύψους 10 δισεκατομμυρίων δολαρίων που αποδίδονται στην επίθεση ήταν απώλειες 870 εκατομμυρίων δολαρίων από τη Merck με έδρα τις ΗΠΑ, 384 εκατομμυρίων δολαρίων από τη Saint-Gobain με έδρα τη Γαλλία και 129 εκατομμυρίων δολαρίων από την Reckitt Benckiser με έδρα το Ηνωμένο Βασίλειο. Η AP Moller-Maersk με έδρα τη Δανία, υπεύθυνη για το ένα πέμπτο της παγκόσμιας ναυτιλίας, ανέφερε απώλειες μεταξύ 250 και 300 εκατομμυρίων δολαρίων λόγω πολλών ημερών πλήρους τεχνολογικής παράλυσης στα παγκόσμια γραφεία και λιμάνια της. Καμία βιομηχανία ή γεωγραφική περιοχή του κόσμου, όπως φάνηκε, δεν είχε μείνει ανέγγιχτη από την ταχεία και καταστροφική εξάπλωση του NotPetya.
Αργότερα, αφού κατακάθισε μεγάλο μέρος της σκόνης, το NotPetya εντοπίστηκε σε μια επιχείρηση λογισμικού στο Κίεβο που ήταν υπεύθυνη για τη διανομή ενημερώσεων στο λογιστικό λογισμικό MEDoc, ένα πρόγραμμα φορολογικής δήλωσης που χρησιμοποιούν οι περισσότεροι άνθρωποι που ζουν ή δραστηριοποιούνται στην Ουκρανία. Κάποια στιγμή τους μήνες πριν από την επίθεση NotPetya, στους διακομιστές της επιχείρησης είχαν διεισδύσει χάκερ. Στις 27 Ιουνίου 2017 ξεκίνησαν την επίθεση τους. Στις 27 Ιουνίου, οι χάκερ χρησιμοποίησαν τους διακομιστές που διείσδυσαν για να αναπτύξουν το NotPetya σε οποιονδήποτε υπολογιστή εντός της Ουκρανίας και σε ολόκληρο τον κόσμο που είχε εγκαταστήσει το MEDoc. Οι ένοχοι, όταν τελικά αναγνωρίστηκε η καταγωγή τους, δεν θα ήταν καθόλου έκπληξη για εκείνους στην Ουκρανία που είχαν εμπλακεί σε περισσότερα από τρία χρόνια πολέμου στην ανατολική τους πλευρά. Το 2018, ο Λευκός Οίκος απέδωσε επισήμως «την πιο καταστροφική και δαπανηρή κυβερνοεπίθεση στην ιστορία» στον ρωσικό στρατό.
Αν και δεν ήταν η πρώτη κυβερνοεπίθεση από τη Ρωσία κατά της Ουκρανίας, η επίθεση NotPetya τιμώρησε πιο δυναμικά την Ουκρανία και έδειξε στους παγκόσμιους οικονομικούς εταίρους της ότι δεν εξαιρούνταν από αντίποινα. Σε μια στιγμή, η τεχνολογική υποδομή που στηρίζει ορισμένες από τις μεγαλύτερες εταιρείες του κόσμου, που λειτουργούν στην άλλη άκρη του κόσμου και φαινομενικά αποκομμένες από τη σύγκρουση, κατέρρευσε. Το NotPetya έδειξε ότι η απειλή μιας μεγάλης κυβερνοεπίθεσης σε επιχειρηματικά συμφέροντα δεν περιοριζόταν πλέον σε εγκληματίες χάκερ με σκοπό το κέρδος ή άτακτους έφηβους χάκερ. Επιπλέον, έδειξε ότι δεν χρειάζεται να δέχονται άμεση επίθεση. Σήμερα, η κυβερνοεπίθεση που παραλύει τις λειτουργίες ενός οργανισμού μπορεί να είναι η διάχυση που προκύπτει από τον γεωπολιτικό ανταγωνισμό μεταξύ των αντιπάλων ενός έθνους-κράτους σε απόσταση ενός ωκεανού.
Ο κυβερνοπολιτικός κίνδυνος, η τομή μεταξύ γεωπολιτικής και κυβερνοασφάλειας, θέτει νέες και ισχυρές απειλές για τις τεχνολογίες και τα δεδομένα από τα οποία εξαρτώνται όλες οι παγκόσμιες επιχειρήσεις και οργανισμοί, ανεξάρτητα από τον κλάδο ή τη γεωγραφική τους θέση. Στα χρόνια μετά το NotPetya, οι κυβερνοεπιθέσεις με πολιτικά κίνητρα έχουν γίνει ένα φυσιολογικό χαρακτηριστικό του Πολέμου Ρωσίας-Ουκρανίας και, όλο και περισσότερο, έχουν γίνει παγκόσμιο φαινόμενο. Μετά την εισβολή της Ρωσίας στην Ουκρανία, οι αρχές κυβερνοασφάλειας των ΗΠΑ, του Ηνωμένου Βασιλείου, της Αυστραλίας, του Καναδά και της Νέας Ζηλανδίας εξέδωσαν κοινή Συμβουλευτική Κυβερνοασφάλεια (CSA) «για να προειδοποιήσουν τους οργανισμούς ότι η εισβολή της Ρωσίας στην Ουκρανία θα μπορούσε να εκθέσει οργανισμούς τόσο εντός όσο και εκτός της περιοχής σε αυξημένο κακόβουλη δραστηριότητα στον κυβερνοχώρο”. Η συμβουλή ακολούθησε κοινή γνωμοδότηση που εξέδωσε η CISA, το FBI και η NSA για απειλές στον κυβερνοχώρο που χρηματοδοτούνται από το ρωσικό κράτος σε υποδομές ζωτικής σημασίας των ΗΠΑ. Πιο πρόσφατα, οι Ολυμπιακοί Αγώνες έγιναν ένας πλούσιος στόχος ευκαιριών για τους φορείς απειλών στον κυβερνοχώρο. Φιλοξενώντας τους Ολυμπιακούς Αγώνες, η Γαλλία έπρεπε να αντιμετωπίσει μια αυξημένη απειλή κυβερνοεπιθέσεων κατά τη διάρκεια του διαγωνισμού, συμπεριλαμβανομένων επιθέσεων άρνησης υπηρεσίας και επιθέσεων ransomware. Σύμφωνα με τη Microsoft , η Ρωσία ενίσχυσε επίσης τις εκστρατείες παραπληροφόρησης κατά της Γαλλίας ενόψει των Ολυμπιακών Αγώνων, η οποία ήρθε με φόντο την απαγόρευση της ΔΟΕ το 2022 στους Ρώσους αθλητές να αγωνίζονται για τη χώρα τους και την υποστήριξη της Γαλλίας στην Ουκρανία.
Οι κυβερνοεπιθέσεις με πολιτικά κίνητρα έχουν συχνά επηρεάσει άμεσα τα ιδιωτικά επιχειρηματικά και επενδυτικά συμφέροντα. Τον Δεκέμβριο του 2023, μια ομάδα που συνδέεται με το Ισραήλ ανέλαβε την ευθύνη για τη διακοπή της λειτουργίας του 70% περίπου των πρατηρίων καυσίμων που λειτουργούσαν στο Ιράν «σε απάντηση στην επιθετικότητα της Ισλαμικής Δημοκρατίας και των πληρεξουσίων της στην περιοχή». Τον Οκτώβριο του 2023, Βορειοκορεάτες χάκερ στόχευσαν βασικές ναυπηγικές εταιρείες της Νότιας Κορέας, προσπαθώντας να συγκεντρώσουν ναυτικές πληροφορίες που θα επέτρεπαν στην Πιονγκγιάνγκ να κατασκευάσει μεγαλύτερα πλοία. Τον Ιούνιο του 2022, το FBI, η NSA και η CISA αποκάλυψαν ότι τουλάχιστον από το 2020, Κινέζοι κρατικά χορηγοί χάκερ εκμεταλλεύονταν τα συστήματα μεγάλων αμερικανικών εταιρειών τηλεπικοινωνιών, αναπτύσσοντας μια βάση για να εξαπολύσουν πρόσθετες, πιο εξελιγμένες επιθέσεις.
Σήμερα, με τις γεωπολιτικές εντάσεις να αυξάνονται μεταξύ των εθνών σε όλη τη Βόρεια Αμερική, την Ευρώπη, την Ασία και τη Μέση Ανατολή, η απειλή κυβερνοεπιθέσεων με πολιτικά κίνητρα και οι προκλήσεις που παρουσιάζει ο κυβερνοπολιτικός κίνδυνος πολλαπλασιάζονται. Οι διευθύνοντες σύμβουλοι και οι εκτελεστικές ομάδες τους πρέπει να αναγνωρίσουν και να αντιμετωπίσουν τις πραγματικές προκλήσεις στον κυβερνοχώρο που προκύπτουν από ένα νέο πεδίο ανταγωνισμού για τη διεθνή πολιτική: τον κυβερνοχώρο. Ενώ οι μελλοντικές γεωπολιτικές εξελίξεις μπορεί να φαίνονται αβέβαιες, η ανθεκτικότητα των οργανισμών τους απέναντι στις απειλές για την ασφάλεια στον κυβερνοχώρο δεν μπορεί να είναι.
Σκέψεις για στελέχη
Ιστορικά, οι εταιρείες του Fortune Global 500 υπήρξαν στόχοι κυβερνοεπιθέσεων υψηλής αξίας λόγω των πόρων, των δεδομένων και της πνευματικής ιδιοκτησίας και του κύρους τους. Σήμερα, η απειλή μιας κυβερνοεπίθεσης που επηρεάζει τις μεγάλες διεθνείς εταιρείες επιδεινώνεται από πιθανές διαρροές από γεωπολιτικές επιθέσεις στον κυβερνοχώρο που έχουν σχεδιαστεί για να τιμωρούν ή να διαταράσσουν τους αντιπάλους και τους αντιπάλους των εθνών-κρατών. Ως απάντηση σε αυτές τις εξελισσόμενες απειλές, καταγράφουμε πολλά βασικά ζητήματα και ενέργειες που μπορούν να εξετάσουν οι οργανισμοί κατά την πλοήγηση στο σημερινό γεωπολιτικό τοπίο:
- Ετοιμότητα για την ασφάλεια στον κυβερνοχώρο:Το NotPetya εξαπλώθηκε με την εκμετάλλευση ευπαθειών σε υπολογιστές που εκτελούν παλιές εκδόσεις των Microsoft Windows. Στην περίπτωση της AP Moller-Maersk, στην παγκόσμια τεχνολογική υποδομή της εταιρείας διείσδυσαν μέσω ενός μόνο υπολογιστή που είχε εγκαταστήσει την εφαρμογή MEDoc. Η επίθεση υπογράμμισε την κρίσιμη ανάγκη για τους οργανισμούς να θεσπίσουν ισχυρά μέτρα κυβερνοασφάλειας για την προστασία των συστημάτων και των δεδομένων τους, συμπεριλαμβανομένων τακτικών αντιγράφων ασφαλείας δεδομένων, ενημερώσεων λογισμικού, επαναφοράς κωδικών πρόσβασης, τμηματοποίησης δικτύου, προγραμμάτων ανίχνευσης απειλών, ισχυρών ελέγχων πρόσβασης και ευαισθητοποίησης και εκπαίδευσης για την ασφάλεια των εργαζομένων.
- Γεωπολιτική επίγνωση: Οι διευθύνοντες σύμβουλοι και οι εκτελεστικές ομάδες πρέπει να έχουν επίγνωση των γεωπολιτικών πλαισίων εντός των οποίων λειτουργούν οι οργανισμοί και οι συνεργάτες τους. Η κατανόηση των γεωπολιτικών κινδύνων που προέρχονται από το εθνικό και περιφερειακό πλαίσιο είναι ζωτικής σημασίας για την προστασία των λειτουργιών, των επενδύσεων και των ανθρώπων μιας εταιρείας από πολιτικούς, οικονομικούς και, όλο και περισσότερο, κυβερνο-κλυδωνισμούς. Η διατήρηση αυξημένης γεωπολιτικής ευαισθητοποίησης επιτρέπει στους ηγέτες να προβλέπουν πιθανές απειλές για τις δραστηριότητές τους και τις υποδομές στον κυβερνοχώρο, καθώς και τις αλυσίδες εφοδιασμού από τις οποίες εξαρτώνται, βελτιώνοντας έτσι την επιχειρησιακή συνέχεια σε περίπτωση κρίσης.
- Ασφάλεια εφοδιαστικής αλυσίδας:Η NotPetya εκμεταλλεύτηκε το λογισμικό τρίτων κατασκευαστών, το MEDoc, για να διεισδύσει και να διακόψει διακριτικά συστήματα δικτύου. Οι οργανισμοί πρέπει να ελέγχουν με συνέπεια τους τρίτους παρόχους λογισμικού και υπηρεσιών τους για να διασφαλίσουν ότι συμμορφώνονται με τα ίδια πρότυπα ασφάλειας στον κυβερνοχώρο και προβλέπουν παρόμοιους κινδύνους για την ασφάλεια στον κυβερνοχώρο. Η κατανόηση του τρόπου με τον οποίο οι τρίτοι πάροχοι ενημερώνουν τα προϊόντα τους και προστατεύουν τα δεδομένα πελατών, περιορίζοντας ταυτόχρονα την πρόσβασή τους στο δίκτυο της εταιρείας, μπορεί να βοηθήσει στον μετριασμό του κινδύνου κυβερνοεπίθεσης.
- Σχεδιασμός αντιμετώπισης περιστατικών:Οι ασκήσεις σχεδιασμού σεναρίων και ασκήσεων προσομοίωσης σε εκτελεστικό επίπεδο αποτελούν κρίσιμα στοιχεία για την ανάπτυξη ενός ολοκληρωμένου σχεδίου αντιμετώπισης περιστατικών. Η κατανόηση του αντίκτυπου ενός πιθανού περιστατικού κυβερνοασφάλειας στις λειτουργίες μιας εταιρείας εξορθολογίζει τα πιθανά σχέδια απόκρισης σε περίπτωση πραγματικού σεναρίου. Οι ασκήσεις σχεδιασμού απόκρισης συμβάντων θα πρέπει να ενσωματώνουν στοιχεία της ομάδας IT ενός οργανισμού, διασφαλίζοντας έτσι ότι οι τεχνικές εκτιμήσεις σχετικά με τον αντίκτυπο του χρόνου διακοπής λειτουργίας του δικτύου, της απώλειας δεδομένων και των προσπαθειών ανάκτησης ενσωματώνονται σε οποιοδήποτε σχέδιο αντιμετώπισης κρίσεων.
Πηγή: teneo.com
