Γιατί τα δικηγορικά γραφεία δεν πρέπει να αγνοούν τους κινδύνους που προέρχονται από κυβερνοεπιθέσεις;

Αναφορές μετά τα πρόσφατα γεγονότα που σχετίζονται με τη διαρροή πληροφοριών από το δικηγορικό γραφείο Mossack Fonseca, φέρνουν στην επιφάνεια τα προβλήματα που ενυπήρχαν στα πληροφοριακά του συστήματα.

Η  διαδικτυακή πύλη του γραφείου η οποία χρησιμοποιούνταν από τους πελάτες του για την πρόσβαση σε πληροφορίες που σχετίζονταν με υποθέσεις τους, βασιζόταν σε open source σύστημα το οποίο δεν είχε αναβαθμιστεί από το 2013. Διαπιστώθηκε ότι υπήρχαν 25 ευπάθειες οι οποίες δεν είχαν αντιμετωπιστεί με τις κατάλληλες ενημερώσεις λογισμικού από τον κατασκευαστή του. Μία από τις ευπάθειες καθιστούσε τη διαδικτυακή πύλη της δικηγορικής φίρμας τρωτή σε επιθέσεις του τύπου «DROWN». Οι διαδικτυακοί εγκληματίες εκμεταλλεύτηκαν τη συγκεκριμένη αδυναμία και κατάφεραν να εκτελέσουν τις απαραίτητες ενέργειες για να υποκλέψουν δεδομένα από τα συστήματά της. Οι κλοπές δεδομένων δεν είναι αποτέλεσμα μόνο σχεδιασμένων και στοχευμένων κυβερνοεπιθέσεων που σκοπό έχουν να πλήξουν τη λειτουργία ή την αξιοπιστία μίας επιχείρησης ή οργανισμού. Ευπάθειες πληροφοριακών συστημάτων μπορούν να εντοπιστούν από «ευκαιριακούς»  κακόβουλους χρήστες οι οποίοι χρησιμοποιούν εξειδικευμένα εργαλεία με τα οποία «σαρώνουν» το διαδίκτυο και βρίσκουν συστήματα με τρωτά σημεία.  Δυστυχώς υπάρχουν αρκετές επιχειρηματικές μονάδες και οργανισμοί οι οποίοι δεν εφαρμόζουν άμεσα τις αναβαθμίσεις λογισμικού που απαιτούνται για την αντιμετώπιση αδυναμιών στα συστήματα που χρησιμοποιούν, με αποτέλεσμα να καθίστανται εύκολος στόχος κακόβουλων χρηστών. Το γεγονός αυτό έρχεται να πιστοποιήσει έρευνα η οποία αναφέρει ότι το 99,9%  των περιπτώσεων εκμετάλλευσης ευπαθειών, γίνεται μετά από έναν χρόνο από τη στιγμή της ανακοίνωσής τους.

Τα προαναφερθέντα στοιχεία και γεγονότα αναδεικνύουν την ανάγκη λήψης μέτρων προστασίας των πληροφοριακών υποδομών των σύγχρονων επιχειρήσεων προκειμένου να διαφυλάξουν τις επιχειρησιακές τους λειτουργίες. Τα δικηγορικά γραφεία αποτελούν στόχο διαδικτυακών εγκληματιών που μπορεί είτε να θέλουν να υποκλέψουν στοιχεία που σχετίζονται με υποθέσεις πελατών τους είτε να πλήξουν την αξιοπιστία τους. Για το λόγο αυτό θα πρέπει να ακολουθούν τις ενέργειες που απαιτούνται για να προσδιορίζουν με συστηματικό τρόπο τις ευπάθειες των πληροφοριακών τους συστημάτων και να λαμβάνουν τα απαραίτητα μέτρα εξάλειψής τους. Παράλληλα, η ανάπτυξη και εφαρμογή ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών  μπορεί να διαμορφώσει το πλαίσιο λειτουργίας τους ώστε να εξασφαλίζεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών που διαχειρίζονται.

Η υιοθέτηση Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών που είναι συμβατά με πρότυπα Ασφάλειας Πληροφοριών όπως το 27001:2013 από επιχειρηματικές μονάδες και οργανισμούς, πιστοποιεί τη θέληση των Διοικήσεών τους να προστατέψουν τις πληροφορίες που διαχειρίζονται, ενώ  ταυτόχρονα προσδίδει αίσθημα εμπιστοσύνης και ασφάλειας στους πελάτες τους και σε άλλα ενδιαφερόμενα μέρη.

Κατηγορία ΕΠΙΚΑΙΡΟΤΗΤΑ ΠΛΗΡΟΦΟΡΙΚΗ