Προβληματισμό προκαλούν στις ΗΠΑ τα αλλεπάλληλα περιστατικά παραβίασης και υποκλοπής δεδομένων από ηλεκτρονικά συστήματα και ήδη η αμερικανική Επιτροπή Κεφαλαιαγοράς (SEC) έθεσε σε ισχύ ένα νέο νομοθετικό πλαίσιο για την ενίσχυσης της Κυβερνοασφάλειας.
Σύμφωνα με τη νέα νομοθεσία που τέθηκε σε ισχύ από τη Δευτέρα (18/12), στο εξής όλες οι εταιρείες και οι υπηρεσίες του αμερικανικού Δημοσίου υποχρεούνται να αναφέρουν στις Αρχές τυχόν παραβιάσεις των ηλεκτρονικών τους συστημάτων σε διάστημα μόλις τεσσάρων εργάσιμων ημερών από τη στιγμή που θα δεχθούν κυβερνοεπίθεση.
Επί της ουσίας, το νέο ρυθμιστικό πλαίσιο δεν αφήνει περιθώρια στις εταιρείες να απαντούν ετεροχρονισμένα, όταν υφίσταται «ουσιώδες περιστατικό που άπτεται της κυβερνοασφάλειας».
Όπως εκτιμούν οι ειδικοί, το 2024 θα είναι μια κρίσιμη χρονιά για την Κυβερνοασφάλεια. Ενδεικτικά, σημειώνεται ότι οι κακόβουλες επιθέσεις έχουν κυριαρχήσει στον κύκλο των ειδήσεων πρόσφατα, με την Interpol να αναφέρει σε έκθεσή της αύξηση 200% στις συλλήψεις φέτος.
Ειδικότερα, η εταιρεία Comcast αντιμετώπισε παραβίαση δεδομένων που επηρέασε 36 εκατομμύρια λογαριασμούς σύμφωνα με την Wall Street Journal την Τρίτη (19/12), θέτοντας ενδεχομένως σε κίνδυνο κάθε λογαριασμό στην υπηρεσία Xfinity. Η συμμορία Ransomware Rhysida διέρρευσε ένα επερχόμενο βιντεοπαιχνίδι Marvel από το PlayStation την Τρίτη, ενώ η 23andMe απώλεσε τα βιοδεδομένα 6,9 εκατομμυρίων πελατών εξαιτίας μιας επίθεσης χάκερ.
Η περίπτωση της 23andMe
Σύμφωνα με αμερικανικά ΜΜΕ, οι νέοι κανόνες θεσπίστηκαν στον απόηχο της αποκάλυψης μέσα στο Δεκέμβριο της πρωτοφανούς παραβίασης δεδομένων που σημειώθηκε στην εταιρεία 23andMe. Ενδεικτικά, οι χρήστες έμαθαν ότι 6,9 εκατομμύρια άνθρωποι είχαν δεχθεί παραβίαση των βιολογικών του δεδομένων, παρόλο που η επίθεση χάκερ συνέβη στις αρχές Οκτωβρίου. Στην περίπτωση αυτή, δεν είναι σαφές πότε η 23andMe κατανόησε τη σοβαρότητα της παραβίασης και πόσο σημαντική ήταν, αλλά είναι πιθανό οι χρήστες να είχαν ειδοποιηθεί πολύ νωρίτερα.
Μέχρι και σήμερα, οι εταιρείες του αμερικανικού Δημοσίου χρειάζονταν περίπου 80 ημέρες για να αναφέρουν περιστατικά στην Επιτροπή Κεφαλαιαγοράς, σύμφωνα με την τελευταία έρευνα της Gartner. Ο αριθμός αυτός έχει αυξηθεί μόνο τα τελευταία χρόνια, από 60 ημέρες το 2020, καθώς οι εταιρείες χρειάζονται περισσότερο χρόνο για να ανταποκριθούν, ενώ επιμελούνται τις απαντήσεις δημοσίων σχέσεων σε μαζικές παραβιάσεις δεδομένων.
Η φράση - κλειδί σε αυτή τη νομοθεσία είναι το «ουσιώδες περιστατικό», επειδή είναι διφορούμενη και δύσκολο να καθοριστεί πότε ακριβώς ένα περιστατικό κυβερνοασφάλειας προσδιορίζεται ως τέτοιο. Για παράδεριγμα, ένας διευθύνων σύμβουλος θα μπορούσε να μάθει για μια παραβίαση δεδομένων τον Ιανουάριο, αλλά να αποφασίσει ότι ήταν ουσιώδης μόνο τον Φεβρουάριο, μετά από εβδομάδες εσωτερικής έρευνας.
Η νομοθεσία της SEC, που ψηφίστηκε τον Ιούλιο αλλά τέθηκε σε ισχύ στις 18 Δεκεμβρίου, απαιτεί επίσης από τις εταιρείες να δίνουν περισσότερες λεπτομέρειες σχετικά με τη φύση, την έκταση και τον χρόνο ενός περιστατικού. Αυτό σημαίνει ότι το κοινό θα γνωρίζει περισσότερα για τις παραβιάσεις δεδομένων πιο γρήγορα από ό,τι πριν. Οι αντιδράσεις για την ασφάλεια στον κυβερνοχώρο υπονομεύονται εδώ και καιρό από τις εταιρείες του Δημοσίου, οι οποίες επωφελούνται από εκατομμύρια δεδομένα χρηστών, αλλά διαθέτουν σχετικά αδύναμα συστήματα ασφαλείας.
Επιχείρηση - «σκούπα» της Interpol: Χειροπέδες σε 3.500 υπόπτους για εγκλήματα στον Κυβερνοχώρο
Υπενθυμίζεται ότι νωρίτερα μέσα στην εβδομάδα, η Interpol συνέλαβε σχεδόν 3.500 άτομα που φέρονται να συνδέονται με το έγκλημα στον κυβερνοχώρο σε μια επιχείρηση - «σκούπα».
Σύμφωνα με την Interpol, κατασχέθηκαν περιουσιακά στοιχεία αξίας 300 εκατομμυρίων δολαρίων σε 34 χώρες. Η επιχείρηση υπό την ονομασία Haechi IV μπλόκαρε πάνω από 80.000 ύποπτους τραπεζικούς λογαριασμούς και προειδοποίησε τους κυβερνητικούς αξιωματούχους για νέους τύπους απάτης που χρησιμοποιούν Τεχνητή Νοημοσύνη και ψεύτικα NFTs.
«Η κατάσχεση 300 εκατομμυρίων δολαρίων αντιπροσωπεύει ένα εντυπωσιακό ποσό και καταδεικνύει σαφώς το κίνητρο πίσω από τη σημερινή εκρηκτική ανάπτυξη του διεθνικού οργανωμένου εγκλήματος», δήλωσε ο Στίβεν Κάβανο, Εκτελεστικός Διευθυντής Αστυνομικών Υπηρεσιών της Interpol. «Αυτή η τεράστια συσσώρευση παράνομου πλούτου αποτελεί σοβαρή απειλή για την παγκόσμια ασφάλεια και αποδυναμώνει την οικονομική σταθερότητα των εθνών παγκοσμίως».
Η πλειονότητα των συλλήψεων σχετίζεται με απάτη σε επενδύσεις, παραβίαση ηλεκτρονικού ταχυδρομείου επιχειρήσεων και απάτη στο ηλεκτρονικό εμπόριο, ανέφερε η υπηρεσία. Ωστόσο, η Haechi IV προειδοποίησε τις συμμετέχουσες χώρες για δύο νέες τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Η Ιντερπόλ διαπίστωσε ότι το περιεχόμενο που δημιουργήθηκε από τεχνητή νοημοσύνη χρησιμοποιήθηκε αρκετές φορές σε απάτες με πλαστοπροσωπία, διαδικτυακό σεξουαλικό εκβιασμό και επενδυτική απάτη σε όλο το Ηνωμένο Βασίλειο. Η τεχνολογία κλωνοποίησης φωνής χρησιμοποιήθηκε συχνά για να υποδυθεί άτομα γνωστά στα θύματα.
Η πώληση NFTs ήταν μια άλλη τακτική απάτης που εντόπισε η Interpol, η οποία συναντάται συνήθως στην Κορέα και στην οποία τα θύματα υπόσχονται υψηλές αποδόσεις για τις επενδύσεις τους. Ωστόσο, αυτά τα έργα κρυπτογράφησης - παρωδία συχνά εγκαταλείπονται μετά την αρχική επένδυση. Και οι δύο αυτές απάτες χρησιμοποιούν νέες τεχνολογίες που εκμεταλλεύονται την περιορισμένη κατανόηση του θέματος από τους ανθρώπους. Ο Κάβανο λέει ότι η αύξηση των συλλήψεων κατά 200% δείχνει την «επίμονη πρόκληση της εγκληματικότητας στον κυβερνοχώρο, υπενθυμίζοντάς μας να είμαστε σε εγρήγορση και να βελτιώνουμε συνεχώς τις τακτικές μας κατά της διαδικτυακής απάτης».
