Biznes

Si duhet të mbrohet sektori privat nga sulmet kibernetike

Mes një cunami me sulme kibernetike në të gjithë botën, sektori privat ka rritur në mënyrë dramatike shpenzimet për sigurinë kibernetike. Sipas një studimi të fundit, firmat me më shumë se 1.000 punonjës shpenzuan mesatarisht mbi 13 milionë dollarë për mbrojtjen kibernetike në vitin 2019, më shumë se 200% nga vetëm dy vjet më parë.

Sulmet e herëpashershme në botë, që nga sulmi i tubacioneve të OPEC, prodhuesve të vaksinës anti-Covid dhe vjedhja e 600 mln dollarëve kriptomonedha, justifikojnë këto shpenzime.

Megjithatë, deri më tani, rritja e shpenzimeve për sigurinë kibernetike ka ndikuar shumë për shmangien e kërcënimit. Edhe pse kompanitë ndërtojnë mbrojtjen e tyre kibernetike, Anne Neuberger, zëvendës këshilltarja e sigurisë kombëtare të SHBA-së për teknologjinë kibernetike dhe ato në zhvillim, ka vënë në dukje se "numri dhe madhësia" e incidenteve të ransomware janë "rritur ndjeshëm". Raporti i Krimeve në Internet nga FBI ka zbuluar se shumica dërrmuese e sulmeve kibernetike shkaktohen nga gabime bazë, duke përfshirë mashtrimet online dhe korrigjimin e dobësive të njohura, duke i lejuar sulmuesit të përdorin metoda me kosto të ulët për të depërtuar në sisteme të shtrenjta të mbrojtjes kibernetike.

Puna në këtë drejtim është ende e dobët. Kompanitë po reagojnë shumë ngadalë ndaj kërcënimeve kibernetike në zhvillim, ato po blejnë produkte softuerike lehtësisht të aksesueshme dhe po shpenzojnë kot për sigurinë. Në të vërtetë, shumica e bizneseve po neglizhojnë praktikat e shëndetshme të sigurisë, edhe pse bëjnë investime të mëdha.

Por në themel të të gjitha këtyre mangësive qëndron një defekt më i madh: dështimi për të marrë informacion në kohë mbi kërcënimet aktuale kibernetike ndaj industrive që ka më shumë gjasa të jenë target. Në vend të kësaj, informacioni rreth sulmeve specifike  dhe efikasiteti i mbrojtjeve të veçanta, ruhen me shumë kujdes nga siguruesit kibernetik, duke mos i dhënë mundësi kompanive të rinovojnë sistemet e tyre të sigurisë.

Për të adresuar deficitin aktual të sigurisë kibernetike, qeveria amerikane do të duhet të lehtësojë hendekun midis shpërndarjes së të dhënave dhe kërcënimet kibernetike në ekonomi.

Kongresi mund ta bëjë këtë duke miratuar legjislacionin për të rishikuar programin e shkëmbimit të informacionit të Agjencisë së Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA), iniciativën Automated Indicator Sharing (AIS) dhe duke krijuar Byronë e Statistikave Kibernetike për të publikuar rregullisht të dhënat e sigurisë. Por vetëm informacioni nuk do ta zgjidhë krizën aktuale të sigurisë kibernetike. Një strategji gjithëpërfshirëse e mbrojtjes kibernetike do të kërkojë gjithashtu mënyra të reja për t'i bërë vetë kompanitë të veprojnë shpejt ndaj kërcënimeve më të rëndësishme dhe të vendosin mbrojtjen më të mirë.

Po ruhen sekretet e gabuara

Në treg ekziston një pengesë e madhe që kompanitë e sigurisë të ndajnë info mbi kërcënimet. Ndonëse këto kompani kanë mbledhur së bashku të dhënat, ato nuk i tregojnë njëra-tjetrës për shërbimet inteligjente që përdorin për të mbrojtur konkurrencën.

Si rezultat, shumica e kompanive nuk janë të përgatitura për të vlerësuar rreziqet e sigurisë të softuerit me të cilin punojnë. Firma izraelite Cybersixgill ka vlerësuar se 90% e zyrtarëve kryesorë të sigurisë së informacionit të kompanive marrin vendime për sigurinë kibernetike bazuar në të dhëna të vjetruara të inteligjencës. Dhe duke qenë se ka shumë pak shkëmbim informacioni, sulmuesit kibernetikë shpesh janë në gjendje të shfrytëzojnë të njëjtën dobësi herë pas here për të shkaktuar dëme në mijëra ndërmarrje në mbarë botën.

Meqenëse kompanitë nuk blejnë sigurinë bazuar në rrezik, ka pak mundësi që ofruesit e programeve të dallojnë problemin dhe të sigurojnë rrjetin. Produktet softuerike që janë të dizajnuara me detaje mbi sigurinë kibernetike, shumë kompani softuerësh kanë bërë llogaritjen se vendosja e burimeve të shtrenjta në sigurinë kibernetike nuk do të shpërblehet nga tregu. Në fund të fundit, siç kanë theksuar shkencëtarët e kompjuterave Ross Anderson dhe Tyler Moore, klientët e kompanive të softuerit, jo vetë kompanitë e softuerit, janë ata që mbajnë pjesën më të madhe të kostove të një dështimi të sigurisë kibernetike.

Ndërkohë, kompanitë shpesh hezitojnë të publikojnë sulmet kibernetike kur ato ndodhin, nga frika e dëmtimit të reputacionit të tyre ose më keq, duke iu nënshtruar proceseve gjyqësore. Ky kompleks lejon hakerat keqdashës të ripërdorin të njëjtat metoda diku tjetër. Dhe siguruesit kibernetikë, firmat që shkruajnë politika sigurimesh për të mbuluar humbjet financiare të shkaktuara nga shkeljet e të dhënave dhe ndërprerjet digjitale, nuk janë të gatshëm të ndajnë informacione në lidhje me efikasitetin e mbrojtjes së sigurisë. Si rezultat, shumë kompani marrin vendime kritike për investimet e sigurisë kibernetike bazuar në marketing ose fjalë të gojës dhe jo në të dhëna aktuale.

Nëse informacioni rreth kërcënimeve do të shpërndahej shpejt nëpër botë, sulmet kibernetike do të humbnin menjëherë fuqinë e tyre. Kompanitë do të adresonin gabimet në kohë dhe keqdashësit nuk do të mund ta shfrytëzonin më këtë dobësi. Por qeveritë nuk kanë mundur të depërtojnë në sektorin privat.

Problemi nuk është i pashmangshëm. Dy dekada më parë, industria e aviacionit hasi në një vështirësi të ngjashme në linjat ajrore për të ndarë informacione rreth përplasjeve dhe humbjeve të afërta. Por në vitin 2007, Administrata Federale e Aviacionit (FAA) doli me një zgjidhje inovative: një organ vullnetar për ndarjen e informacionit të quajtur programi i analizës dhe shkëmbimit të informacionit të sigurisë së aviacionit (ASIAS), në të cilin linjat ajrore kanë një nxitje të madhe për të marrë pjesë. E drejtuar nga një kontraktues i pavarur, ASIAS ka qenë në gjendje të ketë pjesëmarrje pothuajse universale në industri dhe aktualisht merr të dhëna sigurie nga 99% e transportuesve ajrorë që operojnë në SHBA.

Ka disa shpjegime për këtë sukses. Të gjitha të dhënat e sigurisë të ndara me ASIAS mbahen të sigurta dhe anonime; në 14 vitet e funksionimit të tij, nuk ka pasur asnjëherë shkelje apo rrjedhje të të dhënave. Prandaj, linjat ajrore janë të sigurta se mund të ndajnë të dhënat e sigurisë pa dëmtuar reputacionin e tyre. Në të njëjtën kohë, linjat ajrore marrin imunitet nga shqyrtimi i FAA vetëm nëse ndajnë në mënyrë aktive të dhëna me ASIAS.

Siguria e numrave

Qasja e shpejtë në informacione të ndjeshme për dobësitë në rrjet, nuk është i vetmi element thelbësor në sigurinë kibernetike. Kompanitë gjithashtu duhet të marrin të dhëna më të detajuara në baza të rregullta në lidhje me tendencat më të gjera të sulmeve kibernetike nëpër industri, të dhënat e sigurisë së teknologjive aktuale dhe përfitimet e masave të ndryshme të sigurisë.

Vetë kompanitë e sigurisë kibernetike kanë kuptuar se grupet e të dhënave të tyre janë të paplota: ata mund të kenë pika qorre në industri ose rajone të caktuara që pengojnë performancën e tyre dhe madje kërcënojnë rezultatin përfundimtar. Duke kombinuar të dhënat, ata mund të fitojnë njohuri që janë të dobishme për të gjithë.

Pasi të krijohet Byroja e Statistikave Kibernetike, grupet e të dhënave të saj do të ndihmojnë komunitetin e sigurisë kibernetike të identifikojë kompanitë e softuerit që kanë dobësi sistemike ose të përsëritura të sigurisë dhe të vlerësojë se cilat lloje të investimeve në sigurinë kibernetike japin nivelin më të mirë të mbrojtjes.

Kostot e mosveprimit

Nëpërmjet AIS dhe Byrosë së Statistikave Kibernetike, kompanitë në të gjithë sektorin privat do të kenë akses në informacion si mbi kërcënimet kibernetike ashtu edhe për tendencat afatgjata të sigurisë kibernetike. Megjithatë, nëse kompanitë nuk veprojnë sipas informacionit që marrin, atëherë siguria e përgjithshme kibernetike në sektorin privat nuk do të përmirësohet. Dhe shumë kompani nuk janë të gatshme të miratojnë masa proaktive që rrisin kostot afatshkurtra.

Merrni parasysh rastin e EternalBlue, një veprimtari që prek Microsoft Office. Zhvilluar nga Agjencia Kombëtare e Sigurisë, EternalBlue u vodh nga hakerë me qëllim të keq, të cilët e armatosën atë për të marrë kontrollin dhe kyçjen e kompjuterëve në mijëra organizata të mëdha. Në vitin 2017, 80 spitale britanike ishin viktimat e para, ku shumë prej tyre duhej të mbylleshin përkohësisht dhe të dërgonin pacientë diku tjetër. Ekipet e kujdesit shëndetësor në mbarë botën do të kishin dëgjuar me siguri për këtë sulm keqdashës. Megjithatë, plot dy vjet më vonë, shumë organizata nuk kishin arritur të rregullonin cenueshmërinë. Një raport befasues nga firma kërkimore e sigurisë Armis zbuloi se 40% e organizatave të kujdesit shëndetësor në mbarë botën pësuan një sulm EternalBlue në gjashtë muajt e fundit të 2019-ës.

Rritja e shpejtë e çmimeve mund t'u bëjë presion kompanive që të miratojnë një siguri më të fortë kibernetike.

Për të detyruar kompanitë të jenë më të përgjegjshme ndaj kërcënimeve kibernetike si EternalBlue, disa ekspertë kanë bërë thirrje për një mbikëqyrje më të madhe të qeverisë. Chris Finan, një ish-zyrtar i administratës Obama, ka sugjeruar se rekordi i dobët i sigurisë kibernetike të kompanive amerikane është një "dështim i qartë i tregut që mund të korrigjohet vetëm me rregullore". Por standardet dhe direktivat rregullatore janë shpesh të vështira për t'u zbatuar dhe mund të mos jenë efektive kundër një kërcënimi që ndryshon vazhdimisht. Metodat e reja të sulmit mund t'i bëjnë disa standarde të vjetruara brenda natës.

Megjithatë, qeveria mund të bashkëpunojë me industrinë e sigurimeve kibernetike, e cila ka një interes të veçantë për t'i bërë kompanitë të zbatojnë masa sigurie me kosto efektive për të zvogëluar madhësinë dhe shpeshtësinë e pretendimeve për shkeljet kibernetike.

Katastrofa e ardhshme

Për momentin, barriera është në sektorin privat. Ekonomia globale humb 1.000 miliardë dollarë në vit nga sulmet kibernetike dhe fiton vetëm 5.5 mld nga abonimet në programet e sigurisë.

Me rritjen e sulmeve të ransomware dhe problemet e zinxhirit të furnizimit, shumë operatorë  po largohen nga tregu. Një sondazh nga Resilience zbuloi se 77% e kompanive donin më shumë mbulim të sigurimit kibernetik sesa mund të merrnin.

Shumë sigurues kanë hezituar të zgjerojnë mbulimin sepse atyre u mungon aksesi i fuqishëm i të dhënave, modelimi dhe mjetet e nënshkrimit që tregojnë se si diversifikohet rreziku. Problemi është se rreziku kibernetik trajtohet si një kërcënim monolit. Në realitet, ai përfshin shumë lloje të ndryshme kërcënimesh: MITRE, një kontraktor, ka identifikuar 222 teknika unike që përdorin kundërshtarët kibernetikë. Kohët e fundit, disa sigurues kibernetikë kanë filluar të modelojnë dhe vlerësojnë rreziqe të ndryshme, ose forma të rrezikut. Më pas ata mund të diversifikojnë llojet e sigurimit që ofrojnë në mënyrë që të kufizojnë humbjet

Megjithatë, edhe në një industri të zgjeruar dhe të larmishme, siguruesit e sektorit privat nuk do të jenë në gjendje të mbulojnë sulmet më të rënda kibernetike, veçanërisht sulmet që synojnë rrjetet digjitale në shkallë të gjerë që mund të kryhen nga shtetet kombëtare.

Një zgjidhje për këtë problem është që qeveria të bëhet siguruesi i fundit. Ndihma e qeverisë mbajti shumë biznese jashtë falimentimit kur i goditi pandemia Covid-19, në mënyrë të ngjashme, qeveria mund të ketë nevojë të vijë në ndihmë të sektorit privat në rast të një sulmi kibernetik vërtet katastrofik. Megjithatë, pa parakushte, një parandalim i tillë do të bënte më shumë dëm sesa dobi. Nëse ndërmarrjet e dinë se do të marrin një paketë shpëtimi në rast të një sulmi kibernetik në shkallë të gjerë, ato mund të kenë më pak nxitje për të investuar në sigurinë kibernetike efektive. Në vend të kësaj, qeveria duhet të ofrojë vetëm mbështetje për kompanitë që kanë përmbushur tashmë standardet e rrepta të sigurisë kibernetike, kanë marrë shuma minimale të sigurimit të sektorit privat dhe janë sulmuar nga grupe të sponsorizuara ose të mbështetura nga shteti.

Forcimi i programit AIS dhe krijimi i Byrosë së Statistikave Kibernetike do të bëjë shumë për të barazuar fushën e lojës midis mbrojtësve dhe sulmuesve duke zhbllokuar informacionin e fshehur dhe duke i lejuar kompanitë t'i përdorin ato për mbrojtjen e tyre. Por këto iniciativa do të jenë efektive vetëm nëse plotësohen nga partneritete të reja publiko-private për të inkurajuar praktika më të mira të sigurisë kibernetike dhe për të lejuar matjen dhe çmimin e saktë të rreziqeve kibernetike. Kombinimi i duhur i mjeteve - informacion në kohë reale, standarde të forta, stimuj për praktika të përmirësuara kibernetike nga vetë kompanitë, mbulim sigurimesh me çmim dinamik - do t'i bëjë sulmet kibernetike shumë më të kushtueshme për kryerjen e hakerëve dhe shumë më të lehtë për t'u mbrojtur nga kompanitë amerikane.

Burimi: Foreign Affairs/ Gazeta “Si”


Copyright © Gazeta “Si”


Më Shumë