Οι ευθύνες των εταιρειών
Οι Hackers αποκτώντας τον έλεγχο του τηλεφωνικού δικτύου της επιχείρησης μπορούν να προκαλέσουν και άμεση οικονομική ζημία.
Επιβάλλονται όμως και πρόστιμα αν δεν αναλάβουν την ευθύνη που έχουν οι εταιρείες.
Πιο αναλυτικά τέσσερις είναι οι τρόποι ηλεκτρονικής απάτης.
Phishing Phishing : είναι η επικοινωνία μέσω ηλεκτρονικής αλληλογραφίας, η οποία προέρχεται φαινομενικά από μια νόμιμη πηγή και προτρέπει τους χρήστες να αποκαλύψουν προσωπικά ή εταιρικά στοιχεία ή να ακολουθήσουν κάποιο σύνδεσμο σε άλλο ιστότοπο, με απώτερο σκοπό την κλοπή δεδομένων ή την εγκατάσταση κακόβουλου λογισμικού. Αποτελεί μέθοδο κοινωνικής μηχανικής (Social engineering).
Pharming Pharming : είναι είδος επίθεσης που στόχο έχει την ανακατεύθυνση του προγράμματος περιήγησης (browser) σε άλλες ψεύτικες ιστοσελίδες με απώτερο σκοπό την κλοπή δεδομένων ή την εγκατάσταση κακόβουλου λογισμικού. Σε περίπτωση επιτυχημένης επίθεσης Pharming, ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή διεύθυνση του διαδικτυακού τόπου που θέλει να επισκεφτεί, θεωρώντας πως βρίσκεται σε ασφαλή χώρο, η ανακατεύθυνση θα τον οδηγεί πάντα σε ψεύτικη.
Social engineering Social engineering (κοινωνική μηχανική): είναι η τακτική πίσω από μερικές από τις πιο διάσημες επιθέσεις χάκερ. Είναι μια μέθοδος που βασίζεται στην έρευνα και την πειθώ που είναι συνήθως στη ρίζα του spam, phishing, και spear phishing απατών, οι οποίες διαδίδονται μέσω ηλεκτρονικού ταχυδρομείου. Ο σκοπός των επιθέσεων social engineering είναι να κερδίσει την εμπιστοσύνη του θύματος για να κλέψει δεδομένα και χρήματα. Τα περιστατικά Social engineering συχνά περιλαμβάνουν τη χρήση κακόβουλου λογισμικού, όπως ransomware και trojans.
Telephone Hacking : Το τηλεφωνικό δίκτυο μιας επιχείρησης δεν είναι απλά το άθροισμα των τηλεφώνων που διαθέτει ούτε καν ένα απλό ψηφιακό κέντρο που κατανέμει γραμμές. Είναι ένα σύγχρονο ηλεκτρονικό σύστημα που καταγραφεί κλήσεις, διανέμει πόρους δικτύου, προσφέρει ψηφιακές υπηρεσίες, έχει υψηλό κόστος αγοράς και είναι μια κρίσιμη υποδομή της κάθε εταιρίας. Η παραβίαση του θα έχει λοιπόν τις ίδιες συνέπειες που έχει και η παραβίαση κάθε άλλης ηλεκτρονικής υποδομής, δηλαδή διακοπή εργασιών, διαρροή προσωπικών δεδομένων και εμπιστευτικών εταιρικών πληροφοριών, ζημιά στη φήμη και την αξιοπιστία της εταιρίας .
Οι Hackers αποκτώντας τον έλεγχο του τηλεφωνικού δικτύου της επιχείρησης μπορούν να προκαλέσουν και άμεση οικονομική ζημία μέσω τηλεφωνικών χρεώσεων για τις οποίες είναι υπεύθυνη η Εταιρεία ως αποτέλεσμα της αυθαίρετης χρήσης των τηλεφωνικών συστημάτων της. Με δεδομένο ότι είναι πολύ πιθανό η Εταιρία να μην αντιληφθεί την παραβίαση ίσως και για 2 μήνες, (μέχρι να εμφανιστεί ο επόμενος λογαριασμός!) και λαμβάνοντας υπόψη το κόστος που έχουν οι κλήσεις σε αριθμούς αυξημένης χρέωσης, το κέρδος για τους hackers μπορεί να είναι μεγάλο και αντίστοιχα μεγάλη να είναι η ζημιά για την Εταιρία
Πιστοποιήσεις και συμβατικές ευθύνες εταιρειών
PCI DSS To PCI DSS, (Payment Card Industry Data Security Standard), είναι το πρότυπο ηλεκτρονικής ασφάλειας δεδομένων που έχουν υιοθετήσει οι εκδότριες εταιρίες πιστωτικών καρτών, (Visa, Mastercard κ.λ.π.) και έχει ως σκοπό να προστατέψει τα δεδομένα των χρηστών και να μειώσει την απάτη που γίνεται με τη χρήση πιστωτικών καρτών. Προκειμένου μια εταιρία να λάβει την πιστοποίηση PCI DSS πρέπει να πληροί 12 σημαντικές (τεχνικές) προϋποθέσεις ασφαλείας. Δεν είναι υποχρεωτικό για μια εταιρία να έχει λάβει την πιστοποίηση αυτή για να κάνει συναλλαγές με πιστωτικές κάρτες, είναι κάτι όμως που της προσδίδει κύρος και αξιοπιστία και έτσι ιδιαίτερα οι μεγάλες εμπορικές εταιρίες το επιδιώκουν. Εφόσον όμως λάβουν την πιστοποίηση αυτή, οι εταιρίες αναλαμβάνουν ταυτόχρονα και κάποιες συμβατικές υποχρεώσεις διαρκούς συμμόρφωσης. Οι υποχρεώσεις αυτές δεν θα υπήρχαν αλλιώς. Δεν προβλέπονται από κάποια νομοθεσία. Είναι το «αντάλλαγμα» που δέχεται η εταιρία για να λάβει την πιστοποίηση αυτή. Έτσι σε περίπτωση που υπάρξει μη συμμόρφωση με οποιοδήποτε Πρότυπο Ασφαλείας Προσωπικών Δεδομένων PCI, άρα ουσιαστικά παραβίαση ασφαλείας μιας εταιρίας, εκτός των άλλων «κλασικών» συνεπειών, στην εταιρία μπορεί να επιβληθεί και χρηματικό πρόστιμο από το φορέα διαχείρισης του PCI DSS. Το πρόστιμο αυτό μπορεί να αποτελέσει αντικείμενο ασφαλιστικής κάλυψης.
Έλ.Ερμείδου
www.bankingnews.gr
Επιβάλλονται όμως και πρόστιμα αν δεν αναλάβουν την ευθύνη που έχουν οι εταιρείες.
Πιο αναλυτικά τέσσερις είναι οι τρόποι ηλεκτρονικής απάτης.
Phishing Phishing : είναι η επικοινωνία μέσω ηλεκτρονικής αλληλογραφίας, η οποία προέρχεται φαινομενικά από μια νόμιμη πηγή και προτρέπει τους χρήστες να αποκαλύψουν προσωπικά ή εταιρικά στοιχεία ή να ακολουθήσουν κάποιο σύνδεσμο σε άλλο ιστότοπο, με απώτερο σκοπό την κλοπή δεδομένων ή την εγκατάσταση κακόβουλου λογισμικού. Αποτελεί μέθοδο κοινωνικής μηχανικής (Social engineering).
Pharming Pharming : είναι είδος επίθεσης που στόχο έχει την ανακατεύθυνση του προγράμματος περιήγησης (browser) σε άλλες ψεύτικες ιστοσελίδες με απώτερο σκοπό την κλοπή δεδομένων ή την εγκατάσταση κακόβουλου λογισμικού. Σε περίπτωση επιτυχημένης επίθεσης Pharming, ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή διεύθυνση του διαδικτυακού τόπου που θέλει να επισκεφτεί, θεωρώντας πως βρίσκεται σε ασφαλή χώρο, η ανακατεύθυνση θα τον οδηγεί πάντα σε ψεύτικη.
Social engineering Social engineering (κοινωνική μηχανική): είναι η τακτική πίσω από μερικές από τις πιο διάσημες επιθέσεις χάκερ. Είναι μια μέθοδος που βασίζεται στην έρευνα και την πειθώ που είναι συνήθως στη ρίζα του spam, phishing, και spear phishing απατών, οι οποίες διαδίδονται μέσω ηλεκτρονικού ταχυδρομείου. Ο σκοπός των επιθέσεων social engineering είναι να κερδίσει την εμπιστοσύνη του θύματος για να κλέψει δεδομένα και χρήματα. Τα περιστατικά Social engineering συχνά περιλαμβάνουν τη χρήση κακόβουλου λογισμικού, όπως ransomware και trojans.
Telephone Hacking : Το τηλεφωνικό δίκτυο μιας επιχείρησης δεν είναι απλά το άθροισμα των τηλεφώνων που διαθέτει ούτε καν ένα απλό ψηφιακό κέντρο που κατανέμει γραμμές. Είναι ένα σύγχρονο ηλεκτρονικό σύστημα που καταγραφεί κλήσεις, διανέμει πόρους δικτύου, προσφέρει ψηφιακές υπηρεσίες, έχει υψηλό κόστος αγοράς και είναι μια κρίσιμη υποδομή της κάθε εταιρίας. Η παραβίαση του θα έχει λοιπόν τις ίδιες συνέπειες που έχει και η παραβίαση κάθε άλλης ηλεκτρονικής υποδομής, δηλαδή διακοπή εργασιών, διαρροή προσωπικών δεδομένων και εμπιστευτικών εταιρικών πληροφοριών, ζημιά στη φήμη και την αξιοπιστία της εταιρίας .
Οι Hackers αποκτώντας τον έλεγχο του τηλεφωνικού δικτύου της επιχείρησης μπορούν να προκαλέσουν και άμεση οικονομική ζημία μέσω τηλεφωνικών χρεώσεων για τις οποίες είναι υπεύθυνη η Εταιρεία ως αποτέλεσμα της αυθαίρετης χρήσης των τηλεφωνικών συστημάτων της. Με δεδομένο ότι είναι πολύ πιθανό η Εταιρία να μην αντιληφθεί την παραβίαση ίσως και για 2 μήνες, (μέχρι να εμφανιστεί ο επόμενος λογαριασμός!) και λαμβάνοντας υπόψη το κόστος που έχουν οι κλήσεις σε αριθμούς αυξημένης χρέωσης, το κέρδος για τους hackers μπορεί να είναι μεγάλο και αντίστοιχα μεγάλη να είναι η ζημιά για την Εταιρία
Πιστοποιήσεις και συμβατικές ευθύνες εταιρειών
PCI DSS To PCI DSS, (Payment Card Industry Data Security Standard), είναι το πρότυπο ηλεκτρονικής ασφάλειας δεδομένων που έχουν υιοθετήσει οι εκδότριες εταιρίες πιστωτικών καρτών, (Visa, Mastercard κ.λ.π.) και έχει ως σκοπό να προστατέψει τα δεδομένα των χρηστών και να μειώσει την απάτη που γίνεται με τη χρήση πιστωτικών καρτών. Προκειμένου μια εταιρία να λάβει την πιστοποίηση PCI DSS πρέπει να πληροί 12 σημαντικές (τεχνικές) προϋποθέσεις ασφαλείας. Δεν είναι υποχρεωτικό για μια εταιρία να έχει λάβει την πιστοποίηση αυτή για να κάνει συναλλαγές με πιστωτικές κάρτες, είναι κάτι όμως που της προσδίδει κύρος και αξιοπιστία και έτσι ιδιαίτερα οι μεγάλες εμπορικές εταιρίες το επιδιώκουν. Εφόσον όμως λάβουν την πιστοποίηση αυτή, οι εταιρίες αναλαμβάνουν ταυτόχρονα και κάποιες συμβατικές υποχρεώσεις διαρκούς συμμόρφωσης. Οι υποχρεώσεις αυτές δεν θα υπήρχαν αλλιώς. Δεν προβλέπονται από κάποια νομοθεσία. Είναι το «αντάλλαγμα» που δέχεται η εταιρία για να λάβει την πιστοποίηση αυτή. Έτσι σε περίπτωση που υπάρξει μη συμμόρφωση με οποιοδήποτε Πρότυπο Ασφαλείας Προσωπικών Δεδομένων PCI, άρα ουσιαστικά παραβίαση ασφαλείας μιας εταιρίας, εκτός των άλλων «κλασικών» συνεπειών, στην εταιρία μπορεί να επιβληθεί και χρηματικό πρόστιμο από το φορέα διαχείρισης του PCI DSS. Το πρόστιμο αυτό μπορεί να αποτελέσει αντικείμενο ασφαλιστικής κάλυψης.
Έλ.Ερμείδου
www.bankingnews.gr
Σχόλια αναγνωστών