Το «Catch-22» της κυβερνοασφάλειας

Τα συνεχώς αυξανόμενα κρούσματα κυβερνοεπιθέσεων σε επιχειρηματικούς κολοσσούς όπως η SolarWinds, η Colonial Pipeline και η JBS Foods, ενίσχυσαν τις ανησυχίες για τρωτά σημεία στην εθνική ασφάλεια των ΗΠΑ και έφεραν στο προσκήνιο ένα πάγιο αίτημα: θα πρέπει να δαπανηθούν περισσότερα για την προστασία του έθνους.

Υπάρχει όμως ένα πρόβλημα: σε πολλές περιπτώσεις, οι αυξημένες δαπάνες για ασφάλεια στον κυβερνοχώρο τα τελευταία χρόνια δεν οδήγησαν σε καλύτερη προστασία από τους χάκερ.

Οι δημόσιες και οι ιδιωτικές επιχειρήσεις συχνά λένε ότι οι μεγαλύτεροι προϋπολογισμοί για την κυβερνοασφάλεια τους έχουν κάνει λιγότερο ευάλωτους σε επιθέσεις, ένα εύρημα που επιβεβαιώνεται σε πολλαπλές έρευνες, συμπεριλαμβανομένων εκείνων που πραγματοποιήθηκαν από το Εκτελεστικό Συμβούλιο Τεχνολογίας του CNBC. Ωστόσο ειδικοί στην κυβερνοασφάλεια λένε ότι συχνά αντανακλά μια ψευδή αίσθηση εμπιστοσύνης, κάτι παρόμοιο με τη μαγική πεποίθηση ότι η λύση θα έρθει απλώς με το να δαπανήσει κανείς περισσότερα στην τεχνολογία.

Η Microsoft για παράδειγμα, αποφάσισε να τετραπλασιάσει τα χρήματα για την κυβερνοασφάλεια στα 20 δισ. δολ. μέσα στην επόμενη 5ετία.

Ωστόσο, όπως επισημαίνει το CNBC, καθώς η κυβερνοασφάλεια ξεκινά έναν νέο κύκλο επενδύσεων ως απάντηση στο πρόσφατο κύμα επιθέσεων υπάρχει ένα Catch-22 στο γεγονός ότι περισσότερες δαπάνες δεν σήμαιναν καλύτερη άμυνα.

Ο όρος «Catch-22» προέρχεται από τον ομώνυμο τίτλο του βιβλίου του Αμερικανού συγγραφέα Joseph Heller και σημαίνει «μία προβληματική κατάσταση, η μοναδική λύση της οποίας είναι ανέφικτη λόγω των εγγενών συνθηκών της ή εξαιτίας ενός κανόνα».

«Είναι ένα μεγάλο πρόβλημα», δήλωσε ο Larry Ponemon , πρόεδρος και ιδρυτής του think tank για την ασφάλεια των πληροφοριών Ponemon Institute. «Βλέπουμε πολλούς οργανισμούς να επενδύουν σε τεχνολογία που δεν αναπτύσσουν ποτέ.»

Ο πρόεδρος της Microsoft , Μπραντ Σμιθ, επικεντρώνεται στις περισσότερες δαπάνες. Σε συνέντευξή του στο «Squawk Box» του CNBC την Τρίτη είπε ότι ορισμένες από τις νέες δαπάνες του τεχνολογικού κολοσσού αφιερώνονται στην παροχή βοήθειας στους πελάτες των επιχειρήσεων, ειδικά σε τοπικό, κρατικό και κυβερνητικό επίπεδο.

«Νομίζω ότι έχουμε πραγματική έλλειψη», είπε ο Σμιθ στο CNBC. ″Πολλές επιχειρήσεις δεν έχουν τους ανθρώπους που χρειάζονται, ούτε για να εφαρμόσουν τις προστασίες για τις οποίες, σε ορισμένες περιπτώσεις, πληρώνουν ήδη”.

Η έλλειψη επαγγελματιών στον τομέα της ασφάλειας στον κυβερνοχώρο δεν είναι πρόβλημα στον τομέα της τεχνολογίας, αλλά είναι ένα σημαντικό πρόβλημα σε όλες τις μεγάλες βιομηχανίες.

Μετά από μια πρόσφατη συνάντηση στον Λευκό Οίκο, ο ιδιωτικός τομέας δεσμεύτηκε να παράσχει εκπαίδευση δεξιοτήτων για να καλύψει ένα κενό περίπου 500.000 κενών θέσεων εργασίας στην κυβερνοασφάλεια των ΗΠΑ. Μόνο η Google δεσμεύτηκε να επενδύσει περισσότερα από 10 δισεκατομμύρια δολάρια σε πέντε χρόνια και να εκπαιδεύσει 100.000 άτομα.

«Το βλέπουμε αυτό όλη την ώρα στους πελάτες μας», έγραψε ο David Kennedy, ιδρυτής και διευθύνων σύμβουλος της Trusted Sec, σε ένα email. «Αυτές οι εταιρείες θα αγοράσουν προϊόντα, αλλά δεν θα περιλαμβάνουν άμεσο προσωπικό για να το υποστηρίξουν, αλλιώς δεν μπορούν να λάβουν έγκριση εσωτερικής χρηματοδότησης για να το υποστηρίξουν. Έτσι, οι επενδύσεις στον κυβερνοασφάλεια έχουν εγκατασταθεί μόνο κατά το ήμισυ ή καθόλου και απλώς υποχωρούν. Μετά βίας αποκτούν καμία αξία ».