Κατακόρυφη άνοδο σημειώνουν οι ηλεκτρονικές 'επιθέσεις' σε εταιρείες και επιχειρήσεις το διάστημα 2006 - 2009.*
Η άνοδος των επιθέσεων έχει και ποιοτικό χαρακτήρα καθώς μεγάλη αύξηση εμφανίζουν πέραν από τις εξωτερικές (ανταγωνιστές, κακόβουλοι τρίτοι κλπ) και οι 'εσωτερικές' επιθέσεις, επιθέσεις δηλαδή που δέχονται οι επιχειρήσεις από το προσωπικό που απασχολούν. Αποτέλεσμα αυτής της εξέλιξης είναι ολοένα και περισσότερες επιχειρήσεις να αναζητούν φόρμουλες προστασίας καθώς το ιδιαίτερο χαρακτηριστικό αυτών των επιθέσεων είναι η εκτεταμένη ζημία που υφίσταται σε νευραλγικούς τομείς δραστηριότητας η επιχείρηση.
Η αντίδραση των επιχειρήσεων συνήθως περιορίζεται στην αναβάθμιση των τεχνικών μέτρων ασφαλείας όμως αυτή η ενέργεια δεν εξασφαλίζει την απαλοιφή των γενεσιουργιών αιτιών του προβλήματος. Για παράδειγμα, στις περιπτώσεις κατά τις οποίες την επίθεση την προκαλεί εργαζόμενος της επιχείρησης, μια αναβάθμιση των κωδικών ασφαλείας ή του τρόπου κρυπτογράφησης των εμπιστευτικών πληροφοριών, δεν αποτελεί λύση καθώς, ο εν λόγω εργαζόμενος θα λάβει γνώση των νέων μέτρων ασφαλείας όπως και των αντίστοιχων κωδικών καθιστώντας εκ προοιμίου άχρηστη σχετική αναβάθμιση.
Σε αυτές τις περιπτώσεις ακόμη και όταν οι επιχειρήσεις λαμβάνουν γνώση της εσωτερικής επίθεσης, δυσκολεύονται, αφενός να αναγνωρίσουν το πρόσωπο το οποίο πραγματοποίησε την επίθεση, και, αφετέρου να αποδείξουν την ταυτότητα του δράστη και να τη συνδέσουν με το γεγονός.
Η λύση που προτείνεται σε αυτές τις περιπτώσεις είναι ένας συνδυασμός αποτρεπτικών μέτρων και ενός ισχυρού κατασταλτικού μηχανισμού. Έτσι λοιπόν, ενώ στην δεύτερη περίπτωση (καταστολή) οι επιχειρήσεις εμφανίζονται να δαπανούν αρκετούς από τους εταιρικούς πόρους, στην πρώτη (αποτροπή), εμφανίζουν μια 'εγκληματική' αδιαφορία, άγνοια, αμέλεια κλπ.
Η ανάπτυξη ενός μηχανισμού αποτροπής ηλεκτρονικών επιθέσεων χρησιμοποιείται από τις πλέον πρωτοπόρες/ισχυρά αναπτυσσόμενες επιχειρήσεις κάθε κλάδου τόσο στην Ελλάδα όσο και στο εξωτερικό. Αυτό έμμεσα αποδεικνύει ότι πέραν του ανταγωνιστικού προϊόντος/ υπηρεσίας που προσφέρουν αυτές οι επιχειρήσεις σημαντικό παράγοντα για την επιτυχία αποτελεί και η προάσπιση/ προστασία - οργάνωση των λειτουργιών της (εταιρικά θέματα).
Ενδεικτικά αναφέρεται ότι μια επιχείρηση η οποία διαθέτει στην αγορά ένα καινοτόμο προϊόν (πέραν από τις επιμέρους τεχνικές πώλησης - προώθησης κλπ που χρησιμοποιεί) σημαντικό ρόλο στην επιτυχία της λαμβάνει και το ίδιο το καινοτόμο προϊόν/ υπηρεσία που προσφέρει. Είναι λοιπόν προφανές ότι για την διατήρηση αυτής της ηγεμονικής θέσης στην αγορά η επιχείρηση οφείλει να διαφυλάξει (πολλές φορές ως επτασφράγιστο μυστικό) τις πληροφορίες σχετικά με τη φύση, κατασκευή, τεχνικά θέματα κλπ του προϊόντος ή υπηρεσίας προκειμένου να μην επιτρέψει τους ανταγωνιστές της να δημιουργήσουν και να προωθήσουν προϊόντα ή υπηρεσίες εφάμιλλα με τα δικά της.
Ο κίνδυνος για την διαρροή/ κλοπή των εμπιστευτικών πληροφοριών σχετικά με το προϊόν ή την υπηρεσία που προέρχονται από το εσωτερικό της επιχείρησης όχι μόνο είναι ρεαλιστικός, αλλά, όπως αποδεικνύουν και οι πρόσφατες έρευνες εξίσου σημαντικός με τις εξωτερικές επιθέσεις. Οι δε μέθοδοι για την απαλοιφή των εκ των έσω κινδύνων πρέπει να αναζητηθούν στην υλοποίηση ενός μηχανισμού αποτροπής ο οποίος θα βασίζεται στην αποθάρρυνση του προσωπικού στην συμμετοχή και υλοποίηση επιθέσεων κλοπής, οικειοποίησης και εξαγωγής/ διασποράς/ δημοσιοποίησης των εταιρικών θεμάτων και/ ή μυστικών.
Η διασφάλιση της εχεμύθειας και εμπιστευτικότητας των εργαζομένων εξασφαλίζεται με την έγγραφη προειδοποίηση -αποσαφήνιση προς αυτούς του είδους των (εμπιστευτικών) πληροφοριών που θα χειριστούν κατά τη διάρκεια της απασχόλησής τους η οποία θα πρέπει απαραιτήτως να συνοδεύεται από α) ρητή δήλωση εμπιστευτικότητας, και β) από ρήτρα ικανοποίησης της ζημίας σε περίπτωση παράβασης των ανωτέρω οδηγιών. Με αυτό τον τρόπο καθίσταται λιγότερο ως καθόλου ελκυστική η προοπτική υπεξαίρεσης/κλοπής εμπιστευτικών πληροφοριών καθώς η αποζημίωση που θα οφείλεται στον εργοδότη θα υπερκερνά οποιαδήποτε πρόσκαιρα οφέλη από την δημοσιοποίηση της πληροφορίας.
Περαιτέρω, κάθε ηλεκτρονική επίθεση εγείρει και ποινικές κυρώσεις οι οποίες μπορούν, αναλόγως της σοβαρότητας της επίθεσης να αποτελέσουν μέχρι και κακουργηματικές πράξεις οι οποίες επισείουν αυστηρότατες ποινές (κάθειρξη κλπ).
Καθίσταται λοιπόν σαφές ότι η εύρυθμη λειτουργία ενός συστήματος αποτροπής ηλεκτρονικών επιθέσεων το οποίο απαρτίζεται τόσο από τεχνικά μέσα όσο και από ένα νομικό πλέγμα ανάληψης και απόδοσης ευθυνών αποτελεί ένα ολοκληρωμένο σύστημα διασφάλισης του εταιρικού απορρήτου. Σε αυτή την κατεύθυνση κινείται άλλωστε και η τροποποίηση των άρθρων του ποινικού κώδικα (370Γ) με το νόμο 2943/2001 ο οποίος προϋποθέτει την ανάληψη μέσων ασφαλείας και την ρητή απαγόρευση με εσωτερικό κανονισμό και/ή έγγραφη ενημέρωση από την επιχείρηση.
