Στα πλαίσια της παγκοσμιοποιημένης και άμεσα εξαρτημένης από τον κυβερνοχώρο επιχειρηματικότητας, ο σύγχρονος διευθύνων σύμβουλος (CEO) και ο οικονομικός διευθυντής (CFO) βρίσκονται πλέον αντιμέτωποι με νέες προκλήσεις.
Οι επιχειρήσεις λόγω της άμεσης εξάρτησής τους από τα σύγχρονα πληροφοριακά και τηλεπικοινωνιακά συστήματα είναι διαρκώς εκτεθειμένες στους κινδύνους κυβερνοχώρου. Αυτοί οι κίνδυνοι εντάσσονται στους λειτουργικούς κινδύνους στους οποίους είναι εκτεθειμένες οι επιχειρήσεις. Σύμφωνα με την Επιτροπή Βασιλείας1 οι λειτουργικοί κίνδυνοι ορίζονται ως οι κινδυνοι που απορρέουν από ανεπαρκείς εσωτερικές διαδικασίες ή παραβιάσεις των διαδικασιών αυτών, ανθρώπινη συμπεριφορά, συστήματα ή από εξωτερικούς παράγοντες. Ειδικότερα οι κίνδυνοι κυβερνοχώρου αναφέρονται στην ενδεχόμενη ζημία που μπορεί να προκύψει από μη εξουσιοδοτημένη πρόσβαση, χρήση, διαρροή, δυσλειτουργία, τροποποίηση ή καταστροφή δεδομένων ή/και πληροφοριακών συστημάτων και επικοινωνιών μιας επιχείρησης. Ωστόσο, ακόμη και σήμερα ένα μέρος της αγοράς αλλά και της ακαδημαϊκής κοινότητας θεωρεί ότι η διαχείριση αυτών των κινδύνων αποτελεί υπόθεση του τμήματος πληροφορικής μιας επιχείρησης. Ωστόσο, σιγά σιγά διαφαίνεται ο καθοριστικός ρόλος του CEO και CFO στην ολιστική αντιμετώπιση αυτού του κινδύνου. Η εμπλοκή αυτών των υψηλόβαθμων στελεχών γίνεται ακόμα πιο επιβεβλημένη με την εφαρμογή πλέον του νέου Ευρωπαϊκού Κανονισμού περί Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (GDPR), καθώς η μη σωστή διαχείριση κινδύνων κυβερνοχώρου που μπορεί να θέσει σε κίνδυνο προσωπικά δεδομένα τα οποία διατηρεί μια επιχείρηση θα επιφέρει σημαντικές οικονομικές και όχι μόνο επιπτώσεις.
Για την αποτελεσματική διαχείριση αυτών των κινδύνων οι CEO και CFO θα πρέπει πρώτα να κατανοήσουν τα χαρακτηριστικά αυτών των κινδύνων. Για το σκοπό αυτό θα μπορούσε να γίνει χρήση της παρακάτω ταξινόμησης των κινδύνων κυβερνοχώρου που έχει παρουσιαστεί σε σχετικά πρόσφατη εργασία (Livanis, 2016).
Η συγκεκριμένη ταξινόμηση αποτελείται από έξι πυλώνες οι οποίοι αναφέρονται στους φορείς των κινδύνων, στα κίνητρα, στους στόχους, στις μεθόδους, στα περιουσιακά στοιχεία που βρίσκονται σε κίνδυνο και στις επιπτώσεις τους.
Πηγή: Livanis, Efstratios, Financial Aspects of Cyber Risks and Taxonomy for the Efficient Handling of These Risks (May 2016). Economic and Social Development (Book of Proceedings), 14th International Scientific Conference on Economic and Social Development, Belgrade, Serbia, May 13-14 2016. Available at SSRN: https://ssrn.com/abstract=2790564
Ο πρώτος πυλώνας αναφέρεται στους φορείς των κινδύνων κυβερνοχώρου. Αυτοί μπορούν να διακριθούν σε εσωτερικούς και εξωτερικούς. Στους εσωτερικούς έχουμε τις κακόβουλες ανθρώπινες ενέργειες (π.χ. από δυσαρεστημένους υπαλλήλους της επιχείρησης), τις μη κακόβουλες ανθρώπινες ενέργειες (π.χ. σφάλμαα προσωπικού) και τη βλάβη πληροφοριακών συστημάτων της ίδιας της επιχείρησης που μπορεί να την καταστήσουν ευάλωτη σε εξωτερικές επιθέσεις. Στους εξωτερικούς φορείς έχουμε τους εγκληματίες (οι σύγχρονοι εγκληματίες όλο και περισσότερο χρησιμοποιούν το διαδίκτυο και ηλεκτρονικά μέσα), τους χακτιβιστές, τους τρομοκράτες, τους βιομηχανικούς κατασκόπους, τα κράτη αλλά και τις βλάβες πληροφοριακών συστημάτων τρίτων (π.χ. προμηθευτών, πελατών και λοιπών συνεργατών της επιχείρησης).
Ο δεύτερος πυλώνας περιλαμβάνει τα κίνητρα που μπορεί να είναι το άμεσο οικονομικό όφελος, η εκδίκηση, η διαμαρτυρία, η απόκτηση στρατηγικού πλεονεκτήματος, η περιέργεια, πολιτικά, θρησκευτικά αλλά και η προσέλκυση εργοδοτών.
Ο τρίτος πυλώνας αναφέρεται στους στόχους που είναι δημόσιοι οργανισμοί, ιδιωτικές επιχειρήσεις, στελέχη επιχειρήσεων και σημαντικές εθνικές υποδομές (π.χ. εταιρίες παραγωγης και διάθεσης ηλεκτρικού ρεύματος).
Ο τέταρτος πυλώνας αφορά τους τρόπους με τους οποίους θα μπορούσε να συμβεί ένα περιστατικό παραβίασης και οι οποίοι μπορεί να είναι η απώλεια ψηφιακών συσκευών, κακόβουλες διαδικτυακές επιθέσεις, σφάλματα προσωπικού, βλάβη πληροφοριακών συστημάτων και φυσικές καταστροφές.
Ο πέμπτος πυλώνας περιγράφει τα περιουσιακά στοιχεία που κινδυνεύουν και είναι οι υποδομές συστημάτων πληροφοριών, πληροφορίες και άυλα περιουσιακά στοιχεία και η παρουσία μιας επιχείρησης στο διαδίκτυο.
Ο έκτος πυλώνας περιλαμβάνει τις βασικές επιπτώσεις των κινδύνων κυβερνοχώρου. Αυτές μπορεί να έχουν άμεσο χρηματοοικονομικό κόστος, να καταστρέψουν τη φήμη μιας επιχείρησης, να είναι νομικής φύσης, να αφορούν τη λειτουργία της επιχείρησης (π.χ. διακοπή εργασιών) ή να έχουν σχέση με τα ιδιαίτερα χαρακτηριστικά της κάθε επιχείρησης.
Οι σύγχρονοι CEOs και CFOs, θα πρέπει να εξετάσουν αν κάποιος έχει κίνητρο να δημιουργήσει ένα περιστατικό παραβίασης στην επιχείρηση, ποια περιουσιακά της στοιχεία κινδυνεύουν, εάν κινδυνεύει από εσωτερικούς ή εξωτερικούς φορείς, πως θα μπορούσε να συμβεί ένα περιστατικό παραβίασης και τι επιπτώσεις θα μπορούσε να έχει αυτό για την επιχείρηση. Από τη στιγμή που κατανοηθούν αυτά τα χαρακτηριστικά των κινδύνων κυβερνοχώρου ο CEO θα πρέπει να συντονίσει όλα τα τμήματα της επιχείρησης για την ανάπτυξη ενός ολοκληρωμένου πλαισίου διαχείρισης αυτών των κινδύνων. Από την άλλη ο CFO είναι αυτός ο οποίος θα εστιάσει στη χρηματοοικονομική ανάλυση των κινδύνων κυβερνοχώρου, προσδιορίζοντας τις χρηματοοικονομικές επιπτώσεις τους, αξιολογώντας επενδύσεις που πρέπει να γίνουν σε λογισμικό, υλικό και εξειδικευμένο ανθρώπινο δυναμικό σε θέματα ασφάλειας πληροφοριακών και τηλεπικοινωνιακών συστημάτων. Επιπλέον, o CFO θα πρέπει να προσδιορίσει το μέρος του κινδύνου που μπορεί να αναλάβει η ίδια η επιχείρηση και το μέρος του κινδύνου που θα αντισταθμίσει αγοράζοντας ασφάλεια για κινδύνους κυβερνοχώρου (cyber insurance) ή μέσω εξωτερικής ανάθεσης σε εξειδικευμένους συμβούλους κυβερνοασφάλειας.
1. Basel Committee on Banking Supervision, Operational Risk: Supporting Document to the New Basel Capital Accord Document, Bank for International Settlements, 2001