Αδύναμος κρίκος της Ευρωπαϊκής Ένωσης στην κυβερνοασφάλεια αναδεικνύονται οι ελληνικές επιχειρήσεις, οι οποίες κατατάσσονται στην τελευταία θέση όσον αφορά στη λήψη μέτρων προστασίας από κυβερνοεπιθέσεις.
Λίγες ημέρες μετά από τη δημοσιοποίηση στοιχείων της Kaspersky που φέρνουν την Ελλάδα να έχει τη θλιβερή πρωτιά του πιο επικίνδυνου ιντερνετικού περιβάλλοντος στον κόσμο, στοιχεία της Eurostat κατατάσσουν στο κόκκινο τις ελληνικές επιχειρήσεις, οι οποίες αποδεικνύονται ανοχύρωτες σε κυβερνοεπιθέσεις.
Σύμφωνα με τα τελευταία στοιχεία της Eurostat, η πλειονότητα των επιχειρήσεων στην Ευρωπαϊκή Ένωση (ΕΕ) έχει υιοθετήσει μέτρα για την ενίσχυση της κυβερνοασφάλειας, ωστόσο υπάρχουν σημαντικές αποκλίσεις ανάμεσα στα κράτη – μέλη. Για την ακρίβεια, οι ελληνικές εταιρείες αποδεικνύονται “ουραγοί” της Ευρώπης στα μέτρα ασφαλείας έναντι κυβερνοπιθέσεων.
Στην Ελλάδα, το ποσοστό των επιχειρήσεων που εφαρμόζουν τρία ή περισσότερα μέτρα κυβερνοασφάλειας ανέρχεται στο 52%, τοποθετώντας τη χώρα στην τελευταία θέση της λίστας. Παρόμοια ποσοστά καταγράφονται μόνο στη Ρουμανία και τη Βουλγαρία (53%). Στον αντίποδα, οι επιχειρήσεις στη Φινλανδία (93%), τη Δανία (90%) και την Ολλανδία (87%) εμφανίζονται να πρωτοπορούν, εφαρμόζοντας εκτεταμένες πολιτικές ασφαλείας, με τις ελληνικές να βρίσκονται στην ψηφιακή σκιά της Ένωσης και τα μέτρα ασφαλείας να είναι μάλλον πλημμελή.
Θέμα χρόνου η κυβερνοεπίθεση
«Υπάρχουν δύο ειδών επιχειρήσεις: εκείνες που έχουν πέσει θύματα κυβερνοασφάλειας και εκείνες που έχουν πέσει θύματα, αλλά δεν το ξέρουν». Με τον τρόπο αυτό ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, κ. Μιχάλης Μπλέτσας, εξηγούσε πρόσφατα το μέγεθος του προβλήματος των κυβερνοεπιθέσεων, σημειώνοντας μάλιστα ότι ο λόγος που στην Ελλάδα δεν έχει γίνει καμία μεγάλη ζημιά σε επίπεδο κυβερνοασφάλειας είναι επειδή «είμαστε μικρός στόχος και όχι πολύ ζουμερός».
Δεν είναι τυχαίο ότι -σύμφωνα με πηγές που βρίσκονται μέσα στο οικοσύστημα κυβερνοασφάλειας της χώρας- το 2024 υπήρξε έκρηξη των κυβερνοεπιθέσεων στην Ελλάδα, αν και ελάχιστες εξ αυτών είδαν το φως της δημοσιότητας. Ο ίδιος άλλωστε ο επικεφαλής της Εθνικής Αρχής Κυβερνοασφάλειας και διευθυντής Πληροφορικής στο Media Lab του ΜΙΤ, σε πρόσφατη δημόσια τοποθέτησή του, σχολίασε ότι οι περισσότερες κυβερνοεπιθέσεις στην Ελλάδα δεν αναφέρονται, καθώς οι φορείς δεν αντιλαμβάνονται ότι έχουν υποστεί επίθεση.
Είναι χαρακτηριστικό ότι σύμφωνα με στοιχεία της CheckPoint Software Technologies, οι τράπεζες στην Ελλάδα δέχονται περίπου 757 κυβερνοεπιθέσεις κάθε εβδομάδα, με ανθρώπους του κλάδου να σημειώνουν ότι «τα νούμερα είναι κατά πολύ μεγαλύτερα».
Τα πιο δημοφιλή μέτρα κυβερνοασφάλειας
Σε επίπεδο ΕΕ, σύμφωνα με τα στοιχεία της Eurostat, το 93% των επιχειρήσεων έχουν εφαρμόσει τουλάχιστον ένα μέτρο για την προστασία της ακεραιότητας, διαθεσιμότητας και εμπιστευτικότητας των δεδομένων τους. Τα πιο διαδεδομένα μέτρα περιλαμβάνουν την ισχυρή πιστοποίηση με κωδικό πρόσβασης (84%), που είναι η βασική μορφή προστασίας είναι σχεδόν καθολική στις επιχειρήσεις της ΕΕ.
Η δημιουργία αντιγράφων ασφαλείας σε ξεχωριστή τοποθεσία (79%) είναι επίσης ένα από τα μέτρα προστασίας, απαραίτητο για την ανάκτηση δεδομένων σε περίπτωση κυβερνοεπίθεσης, ενώ ο έλεγχος πρόσβασης στο δίκτυο (65%) επικεντρώνεται στη διασφάλιση ότι μόνο εξουσιοδοτημένα άτομα έχουν πρόσβαση στα κρίσιμα συστήματα.
Παρά την αυξανόμενη απειλή των κυβερνοεπιθέσεων, η χρήση προηγμένων τεχνολογιών παραμένει περιορισμένη. Η βιομετρική πιστοποίηση, όπως η αναγνώριση προσώπου ή δακτυλικών αποτυπωμάτων, υιοθετείται μόλις από το 18% των επιχειρήσεων, κυρίως λόγω κόστους και τεχνικών δυσκολιών.
Η ενσωμάτωση μέτρων κυβερνοασφάλειας παραμένει πρόκληση για πολλές επιχειρήσεις, ειδικά σε μικρότερες οικονομίες, όπως η Ελλάδα. Η έλλειψη χρηματοδότησης, τεχνογνωσίας και εξειδικευμένου προσωπικού, δυσχεραίνουν την προσπάθεια ενίσχυσης της ασφάλειας.
Επιπλέον, η αυξανόμενη εξάρτηση από το ψηφιακό περιβάλλον καθιστά τις επιχειρήσεις πιο ευάλωτες σε επιθέσεις, ενώ ταυτόχρονα αυξάνει την ανάγκη για συμμόρφωση με ευρωπαϊκές οδηγίες, όπως η NIS2.
Οι πιο ευάλωτοι χρήστες οι Έλληνες
Τα στοιχεία της Kaspersky για το 2024 φέρνουν την Ελλάδα στην κορυφή μιας εξαιρετικά δυσοίωνης παγκόσμιας λίστας των χωρών με το πιο επικίνδυνο ιντερνετικό περιβάλλον στον κόσμο. Για την ακρίβεια, σχεδόν περισσότεροι από ένας στους πέντε Έλληνες (το 22%), δέχθηκαν τουλάχιστον μία επίθεση κακόβουλου λογισμικού κατά το τελευταίο έτος.
Η αρνητική αυτή επίδοση (σ.σ. αφορά απόπειρες που απέτρεψε η εταιρεία κυβερνοασφάλειας Kaspersky) φέρνει την Ελλάδα στην πρώτη θέση του top20 των χωρών με το πιο ευάλωτο στις κυβερνοεπιθέσεις περιβάλλον του πλανήτη. Μιας λίστας, η οποία μάλιστα, πλην της Σλοβακίας, δεν περιλαμβάνει κανένα άλλο ευρωπαϊκό κράτος, με την Ελλάδα να έχει χειρότερες επιδόσεις από κράτη, όπως το Περού, το Εκουαδόρ, το Κατάρ και η Τυνησία ως προς την επικινδυνότητα του διαδικτυακού τοπίου.
Εξίσου, δυσοίωνα είναι τα δεδομένα από τα οποία προκύπτει μια δραματική αύξηση των κυβερνοεπιθέσεων στην Ελλάδα τόσο σε ιδιώτες όσο και σε επιχειρήσεις το τελευταίο 12μηνο. Μέσα στο 2024, τα προϊόντα της Kaspersky, σύμφωνα με τον κ. Βλάχο, απέτρεψαν πάνω από 15,2 εκατ. διαδικτυακές απειλές στην Ελλάδα.
Από τα ίδια στοιχεία προκύπτει ότι οι επιθέσεις ransomware αυξήθηκαν κατά δέκα φορές, φθάνοντας τις 25.650 τους τελευταίους 12 μήνες, ενώ οι ανιχνεύσεις κακόβουλου λογισμικού, που στοχεύουν τραπεζικά δεδομένα, αυξήθηκαν κατά 25 φορές, φθάνοντας τις 117.329 μέσα σ’ έναν χρόνο (σ.σ. μόνο αυτές που απέτρεψε η εταιρεία κυβερνοασφάλειας).
Τι φέρνει η NIS2
Απέναντι σε αυτήν την «τέλεια καταιγίδα» των κυβερνοεπιθέσεων η Ελλάδα προσβλέπει σε σημαντικά οφέλη από ενσωμάτωση στο εθνικό δίκαιο της NIS 2, μίας από τις σημαντικότερες οδηγίες της Ένωσης, που αφορά την κυβερνοπροστασία των κρίσιμων υποδομών μίας χώρας. Μιας οδηγίας που αφορά πάνω από 2.000 επιχειρήσεις, φορείς και οργανισμούς, η εφαρμογή της οποίας ανοίγει τον δρόμο, ώστε από τις αρχές του 2025 να ξεκινήσουν οι έλεγχοι σε επιχειρήσεις και φορείς, που εμπίπτουν στις ρυθμίσεις του, με στόχο να διακριβωθεί το επίπεδο «κυβερνο-ετοιμότητάς» τους.
Μεταξύ άλλων, ο νέος νόμος προβλέπει «τσουχτερά» πρόστιμα για τους παραβάτες, που μπορεί να φθάνουν μέχρι και τα 10 εκατ. ευρώ ή το 2% του κύκλου παγκόσμιου κύκλου εργασιών μιας εταιρείας, ενώ εισάγει και τη λογική του «τέλους κυβερνοασφάλείας». Η νέα οδηγία εισάγει την υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας. Μάλιστα, η υποχρέωση της πρώτης αναφοράς πρέπει να γίνεται από τις επιχειρήσεις και τους φορείς εντός 24 ωρών από τη στιγμή που εντοπίζουν το κρούσμα.
Πέρα από την υποχρέωση πρώτης αναφοράς εντός 24 ωρών από την ώρα που θα αντιληφθεί μια εταιρεία ένα κρούσμα κυβερνοασφάλειας, μια από τις βασικές αλλαγές που εισάγει η NIS2 είναι ότι πλέον η ευθύνη για την ψηφιακή ασφάλεια μεταφέρεται στα υψηλότερα κλιμάκια. Μέχρι τώρα την ευθύνη είχαν οι υπεύθυνοι ασφαλείας των πληροφοριακών συστημάτων. Πλέον, η ευθύνη μεταφέρεται στη διοίκηση μιας εταιρείας.
Η λίστα των επιχειρήσεων, φορέων και οργανισμών, που καλούνται να συμμορφωθούν με τις προβλέψεις της NIS2 είναι μακρά. Περιλαμβάνει όλες τις μεσαίες επιχειρήσεις, που απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκατ. ευρώ. Αλλά και μεγάλες επιχειρήσεις, που δραστηριοποιούνται σε κρίσιμους τομείς, όπως αυτοί της ενέργειας, των μεταφορών, της υγείας, των τηλεπικοινωνιών, των υπηρεσιών cloud και data centers, της παραγωγής και διανοµής τροφίµων, της παραγωγής χηµικών και φαρµακευτικών προϊόντων, της διαχείρισης λυµάτων και αποβλήτων, αλλά και τις εταιρείες ταχυµεταφορών.
Επίσης, ο νόμος αφορά, ανεξαρτήτως μεγέθους, όλους τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα. Στη σχετική λίστα περιλαμβάνεται, προφανώς, η κεντρική κυβέρνηση, καθώς και οι περιφέρεις αλλά και οι δήμοι της χώρας. Υπόχρεες στις προβλέψεις του νόμου μπορεί να είναι πάντως και πολύ μικρές εταιρείες, οι οποίες έχουν κρίσιμο αντικείμενο κυρίως στον ψηφιακό κλάδο.
