Ζούμε σε μια εποχή όπου σχεδόν κάθε όψη της ζωής και της εργασίας μας εξαρτάται και επηρεάζεται θετικά από την ψηφιακή τεχνολογία. Ωστόσο μαζί με τα σημαντικά οφέλη δημιουργούνται, διαρκώς και συνεχώς αυξητικά, και σημαντικοί κίνδυνοι. Τα σύγχρονα ψηφιακά εργαλεία βελτιώνουν τη ζωή όλων μας, προάγουν την καινοτομία και την παραγωγικότητα των οργανισμών και των επιχειρήσεών μας, αλλά μπορούν συγχρόνως να μας εκθέσουν σε νέες, σύνθετες απειλές, όπως παραδείγματος χάριν είναι:
Το ransomware: ένα είδος κακόβουλου λογισμικού (malware) που αρχικά κρυπτογραφεί τα δεδομένα των υπολογιστών, και στη συνέχεια οι κυβερνοεγκληματίες απαιτούν λύτρα σε bitcoins για την αποκρυπτογράφηση των δεδομένων.
Το phishing: μια τεχνική εξαπάτησης (το λεγόμενο ηλεκτρονικό «ψάρεμα») που επιδιώκει την απόκτηση προσωπικών ή ευαίσθητων πληροφοριών μέσω πλαστών ηλεκτρονικών μηνυμάτων (e-mails) ή ιστοσελίδων.
Οι απειλές IoT: είναι απειλές που οφείλονται στη χρήση μη ασφαλών πρωτοκόλλων επικοινωνίας και στην έλλειψη αυθεντικοποίησης συσκευών που συνδέονται πλέον στο διαδίκτυο των πραγμάτων (Internet of Things – IoT). Οι απειλές IoT (ΙοT threats) είναι πηγές ευπαθειών για την ιδιωτικότητα και για την ασφάλεια των δεδομένων συσκευών στο διαδίκτυο των πραγμάτων.
Η κυβερνοκατασκοπεία: είναι η μη εξουσιοδοτημένη παρακολούθηση (cyber espionage) και η συλλογή διαβαθμισμένων και απόρρητων πληροφοριών μέσω του κυβερνοχώρου.
Στο παρόν άρθρο θα παρουσιαστούν σύντομα οι επιπτώσεις που έχουν αυτοί οι ψηφιακοί κίνδυνοι για τους οργανισμούς και τις επιχειρήσεις μας. Προκειμένου να γίνει απολύτως κατανοητή η σοβαρότητα των ψηφιακών κινδύνων, ειδικά για την επιχειρηματικότητα και την οικονομία στη χώρα μας, θα αναφερθούν ενδεικτικά παραδείγματα πρόσφατων κυβερνοεπιθέσεων σε ελληνικές επιχειρήσεις και οργανισμούς. Στη συνέχεια, θα περιγράψουμε σύντομα τη νομοθετική ασπίδα που έχουμε πλέον στη διάθεσή μας, μέσω του Νόμου 5160/2024 για την κυβερνοασφάλεια. Κατόπιν θα παρουσιάσουμε συγκεκριμένες προτάσεις για την οικοδόμηση της ανθεκτικότητας των επιχειρήσεων και των οργανισμών έναντι στις διαρκώς εξελισσόμενες ψηφιακές απειλές. Τέλος, θα καταλήξουμε στα συμπεράσματα και σε ένα κάλεσμα για δράση και αφύπνιση σε συγκεκριμένους τομείς (διαδικασίες, καινοτομία, ανθρώπινο δυναμικό, συνεχής εκπαίδευση, κουλτούρα και ευαισθητοποίηση).
Ψηφιακές απειλές
Καταρχάς πρέπει να κάνουμε σαφές ότι όταν μιλάμε για ψηφιακούς κινδύνους και ψηφιακές απειλές (digital threats), αναφερόμαστε στην πιθανότητα πρόκλησης ζημίας κάθε τύπου, όχι μόνο σε ζημίες οικονομικής φύσεως, αλλά και σε πλήγματα στη φήμη και, προφανώς, σε προβλήματα στη λειτουργία των οργανισμών. Οι ψηφιακοί κίνδυνοι εκμεταλλεύονται τις ευπάθειες (vulnerabilities), δηλαδή τις «κερκόπορτες» που υπάρχουν στα ψηφιακά συστήματα που χρησιμοποιούνται από τους οργανισμούς, και αφορούν μια πληθώρα διαφορετικών περιπτώσεων, από παραβιάσεις προσωπικών δεδομένων πολιτών και υποκλοπές δεδομένων εταιρειών, έως βλάβες των ψηφιακών/πληροφοριακών συστημάτων των επιχειρήσεων που μπορούν να παραλύσουν τις επιχειρησιακές τους λειτουργίες. Μόλις πέρυσι, το 2024, o ENISA, ο Οργανισμός της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια, ανακοίνωσε τα αποτελέσματα μιας ερευνητικής εργασία όπου προβλέπει τις δέκα πιο σημαντικές αναδυόμενες ψηφιακές απειλές που αναμένεται να έχουν σοβαρό αντίκτυπο στις επιχειρήσεις από σήμερα έως το 2030. Αυτές είναι:
- Οι κυβερνοεπιθέσεις σε εφοδιαστικές αλυσίδες εξαιτίας των εξαρτήσεων τους από τα συστήματα λογισμικού.
- Η μεγάλη έλλειψη ανθρώπινου δυναμικού με εξειδικευμένες γνώσεις και δεξιότητες στον τομέα της κυβερνοασφάλειας.
- Τα ανθρώπινα λάθη και οι παραβιάσεις σε παρωχημένα τεχνολογικά ψηφιακά και πληροφοριακά συστήματα.
- Οι επιθέσεις σε ψηφιακά συστήματα και σε συστήματα λογισμικού που δεν είναι επαρκώς συντηρημένα, ενημερωμένα και προστατευμένα.
- Η άνοδος του λεγόμενου «ψηφιακού αυταρχισμού» (digital authoritarianism), που συνδέεται με την ψηφιακή παρακολούθηση (digital surveillance) όλων και παντού καθώς και με την απώλεια της προστασίας της ιδιωτικότητας (privacy) των πολιτών.
- Οι κυβερνοεπιθέσεις στις διαδικτυακές εταιρείες παροχής ψηφιακών υπηρεσιών που λειτουργούν, διασυνοριακά, σε διάφορες χώρες, αφού αποτελούν στόχους όπου οι επιθέσεις θα επιφέρουν εκτεταμένες δυσλειτουργίες.
- Οι προηγμένες τεχνολογικά μαζικές εκστρατείες παραπληροφόρησης (misinformation) και διάδοσης ψευδών ειδήσεων (fake news) στα ΜΜΕ και στα κοινωνικά δίκτυα, μέσω σύγχρονων τεχνολογιών της Τεχνητής Νοημοσύνης (Artificial Intelligence) και της Μηχανικής Μάθησης (Machine Learning), όπως είναι τα λεγόμενα Deepfakes, δηλαδή εξαιρετικά ρεαλιστικά βίντεο που είναι παραποιημένα και διαδίδονται ταχύτατα και μαζικά, χωρίς να μπορεί εύκολα και γρήγορα να ελεγχθεί η ορθότητα τους.
- Η αύξηση της συχνότητας εμφάνισης συνδυαστικών (υβριδικών) ψηφιακών απειλών.
- Η κακή χρήση και η κατάχρηση των δυνατοτήτων που μας προσφέρουν η Τεχνητή Νοημοσύνη και η Μηχανική Μάθηση, με σκοπό τη δημιουργία σύνθετων και εκτεταμένων κυβερνοεπιθέσεων.
- Οι δυσλειτουργίες και πολλές φορές οι ανεπανόρθωτες βλάβες στις ψηφιακές υποδομές των εταιρειών και των οργανισμών, εξαιτίας της ολοένα και πιο συχνής εμφάνισης σοβαρών περιβαλλοντικών καταστροφών.
Πώς αμυνόμαστε έναντι αυτών των απειλών; Η άμυνά μας είναι η κυβερνοασφάλεια (cybersecurity), ο τομέας της επιστήμης της πληροφορικής και της μηχανικής υπολογιστών, που ασχολείται με την προστασία των δικτύων υπολογιστών, των ψηφιακών συσκευών, των συστημάτων λογισμικού και των δεδομένων τους, από μη εξουσιοδοτημένη πρόσβαση και από ψηφιακές επιθέσεις. Σκεφτείτε την κυβερνοασφάλεια ως την ψηφιακή μας ασπίδα, ένα διαρκώς εξελισσόμενο σύνολο τεχνικών και εργαλείων που διασφαλίζουν την ακεραιότητα και την ασφάλεια των πληροφοριών μας.
Με την υιοθέτηση των εργαλείων της κυβερνοασφάλειας έχουμε στόχο να εξασφαλίσουμε την ψηφιακή ανθεκτικότητα (digital resilience) για τους οργανισμούς και τις επιχειρήσεις. Η ψηφιακή ανθεκτικότητα είναι ο παράγοντας που συντελεί στην απρόσκοπτη εκτέλεση τόσο των επιχειρηματικών, όσο και των επιχειρησιακών λειτουργιών, και ιδιαίτερα των κρίσιμων επιχειρησιακών λειτουργιών κάθε οργανισμού. Η επιχειρησιακή ψηφιακή ανθεκτικότητα (operational digital resilience) δεν σημαίνει μόνο την άμυνα και την αποτροπή των κυβερνοεπιθέσεων, αλλά και την ικανότητα μιας επιχείρησης να αντέχει και να ανακάμπτει γρήγορα από περιστατικά κυβερνοεπιθέσεων, εξασφαλίζοντας την ασφαλή και την, όσο είναι δυνατό, αδιάλειπτη λειτουργία των ψηφιακών και πληροφοριακών συστημάτων και υπηρεσιών.
Πρόσφατες κυβερνοεπιθέσεις σε Ελληνικές επιχειρήσεις και οργανισμούς
Τα τελευταία χρόνια, παρατηρούμε ότι οι ψηφιακές επιθέσεις δεν είναι πλέον ασυνήθιστες και στη χώρα μας. Σύμφωνα με στοιχεία της Eurostat, στόχος ψηφιακών επιθέσεων έγινε σχεδόν μία στις πέντε (το 17,8%) ελληνικές επιχειρήσεις το 2022, με την Ελλάδα να κατατάσσεται στην 15η θέση της Ευρώπης όσον αφορά τη συχνότητα των κυβερνοεπιθέσεων προς επιχειρήσεις. Επίσης, κατά τη διάρκεια του 2022, περίπου το 22,2% των ευρωπαϊκών επιχειρήσεων, με πάνω από 10 εργαζόμενους, υπέστη τουλάχιστον ένα περιστατικό παραβίασης των ψηφιακών τους συστημάτων. Με βάση πηγές από δημοσιεύματα στα ΜΜΕ, ας παρουσιάσουμε ορισμένα χαρακτηριστικά πρόσφατα παραδείγματα κυβερνοεπιθέσεων σε οργανισμούς και επιχειρήσεις στη χώρα μας.
Μία από τις πιο πρόσφατες επιθέσεις μεγάλας κλίμακας σημειώθηκε στις 25 Οκτωβρίου του 2024 εναντίον του Ελληνικού Ανοικτού Πανεπιστημίου, όπου η ομάδα των κυβερνοεγκληματιών RansomHub, παρουσιάζεται ότι ανέλαβε την ευθύνη, ισχυριζόμενη ότι κατάφεραν να υποκλέψουν 813 GB δεδομένων. Η τακτική των κυβερνοεγκληματιών αυτής της κατηγορίας είναι πρώτα να υποκλέπτουν ευαίσθητες πληροφορίες και στη συνέχεια να απαιτούν λύτρα σε bitcoins (κρυπτονομίσματα) για να μην δημοσιοποιήσουν τα δεδομένα στο Dark Web.
Ένα άλλο εντυπωσιακό παράδειγμα, που δημοσιεύθηκε προσφάτως στα μέσα ενημέρωσης, είναι μια άλλη κυβερνοεπίθεση τύπου ransomware που έγινε στον όμιλο Fourlis. Το συμβάν έλαβε χώρα στις 27 Νοεμβρίου 2024 και οι δράστες κατάφεραν να θέσουν σε κίνδυνο κρίσιμα επιχειρησιακά δεδομένα του ομίλου. Aντιμετώπισαν δυσλειτουργίες μεταξύ άλλων το ΙΚΕΑ και το Intersport. Από την κυβερνοεπίθεση δεν λειτούργησε το e-shop του ΙΚΕΑ και η εξυπηρέτηση των πελατών γινόταν μόνο στα φυσικά καταστήματα. Λόγω και των προσφορών της Black Friday στις 29 Νοεμβρίου 2024 και της αυξημένης ζήτησης εμφανίστηκαν μεγάλες ουρές και καθυστερήσεις στις επιχειρησιακές λειτουργίες.
Λίγο παλιότερα, το Μάρτιο του 2022, η επίθεση στα ΕΛΤΑ, από την ομάδα hackers Vice Society, οδήγησε σε υποκλοπή αρχείων που περιείχαν οικονομικά στοιχεία, προσωπικά δεδομένα υπαλλήλων του οργανισμού και πολιτών, μεταξύ άλλων. Η Αρχή Προστασίας Δεδομένων είχε τότε εκτιμήσει ότι η συγκεκριμένη επίθεση αφορούσε δεδομένα περίπου 4 έως 5 εκατομμύρια πολιτών.
Σύμφωνα με την Check Point Software Technologies, μια από τις πιο γνωστές εταιρείες διεθνώς σε παροχή λύσεων προστασίας δεδομένων, στο δεύτερο εξάμηνο του 2024 οι ελληνικές τράπεζες δέχτηκαν κατά μέσο όρο 757 κυβερνοεπιθέσεις την εβδομάδα.
Με βάση πρόσφατη έκθεση της Kaspersky, που είναι μια από τις μεγαλύτερες διεθνώς εταιρείες παροχής λύσεων cybersecurity, οι χρήστες στην Ελλάδα είναι από τους πλέον εκτεθειμένους σε κυβερνοαπειλές παγκοσμίως και σχεδόν ένας στους πέντε Έλληνες χρήστες του διαδικτύου δέχτηκε κατά το 2024 διαδικτυακή επίθεση από κακόβουλο λογισμικό.
Κοιτάζοντας προς το μέλλον, το ψηφιακό τοπίο θα συνεχίσει να εξελίσσεται. Τα στοιχεία όμως δείχνουν ότι πολλές ελληνικές επιχειρήσεις παραμένουν ευάλωτες. Για παράδειγμα, ενώ χώρες όπως η Φινλανδία και η Δανία εφαρμόζουν εκτεταμένα μέτρα κυβερνοασφάλειας, μόνο περίπου το 52% των ελληνικών επιχειρήσεων εφαρμόζει τρία ή περισσότερα μέτρα ασφαλείας, και αυτό είναι ένα σαφές κάλεσμα αφύπνισης. Αυτά τα στοιχεία θα πρέπει τουλάχιστον να μας προβληματίζουν – για να μη πω ότι θα πρέπει να μας ανησυχούν – και καταδεικνύουν ότι χωρίς ισχυρά μέτρα προστασίας, τόσο η οικονομία όσο και η καθημερινότητά μας διατρέχουν σοβαρό κίνδυνο.
Νομική θωράκιση έναντι των ψηφιακών απειλών
Πώς θα αμυνθούμε έναντι των ψηφιακών απειλών και των κυβερνοεπιθέσεων;
Καταρχάς αυτό θα επιτευχθεί έχοντας την απαραίτητη νομική θωράκιση. Στην Ελλάδα πολύ πρόσφατα, από το Νοέμβριο του 2024, έχουμε σε ισχύ την νομοθετική μας απάντηση. Είναι ο Νόμος 5160/2024 για την Κυβερνοασφάλεια. Ο νόμος αυτός αποτελεί την εθνική μας απάντηση στις σύγχρονες ψηφιακές απειλές καθώς ενσωματώνει πλήρως την Οδηγία 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, γνωστή και ως οδηγία NIS2 (Network and Information Security Directive) για την ενίσχυση της κυβερνοασφάλειας στην ΕΕ.
Ο Νόμος 5160/2024 ευθυγραμμίζεται με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), διασφαλίζοντας συμμόρφωση τόσο με τις απαιτήσεις κυβερνοασφάλειας όσο και προστασίας προσωπικών δεδομένων. Στόχος του Νόμου είναι η κατάρτιση της εθνικής μας στρατηγικής για την ασφάλεια στον κυβερνοχώρο με τον ορισμό και την ενδυνάμωση της Εθνικής Αρχής Κυβερνοασφάλειας, προκειμένου να ασκεί αποτελεσματικά τις αρμοδιότητές της ως η αρμόδια εθνική ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών δηλ. η λεγόμενη Computer Security Incident Response Team – CSIRT. Ο Νόμος 5160/2024 ορίζει τις δημόσιες και ιδιωτικές οντότητες (οργανισμούς και επιχειρήσεις) που υπόκεινται σε αυστηρές υποχρεώσεις, καλύπτοντας κρίσιμους τομείς της οικονομίας (όπως π.χ. η ενέργεια, οι μεταφορές και η υγειονομική περίθαλψη). Επιβάλλει στις επιχειρήσεις να τηρούν πρωτόκολλα διαχείρισης κινδύνων και να κάνουν αναφορές περιστατικών κυβερνοεπιθέσεων. Οι παραβάτες αντιμετωπίζουν μεγάλα πρόστιμα έως 10 εκατομμύρια ευρώ ή το 2% του παγκόσμιου κύκλου εργασιών τους, υπογραμμίζοντας ότι η κυβερνοασφάλεια είναι μια σοβαρή υποχρέωση με σοβαρές νομικές και οικονομικές συνέπειες.
Πώς οι οργανισμοί και οι επιχειρήσεις μας θα οικοδομήσουν την ψηφιακή τους ανθεκτικότητα;
Ποιες είναι οι κατάλληλες στρατηγικές για την οικοδόμηση της ψηφιακής ανθεκτικότητας για τους οργανισμούς και τις επιχειρήσεις μας; Πρέπει να υπογραμμιστεί ότι, ενώ το τοπίο των απειλών είναι πολυσύνθετο, δεν είμαστε αβοήθητοι. Η ψηφιακή ανθεκτικότητα, δηλαδή η ικανότητα, όχι μόνο να αμυνόμαστε έναντι ψηφιακών επιθέσεων, αλλά και να ανακάμπτουμε γρήγορα όταν αυτές συμβαίνουν, είναι ρεαλιστικός και εφικτός στόχος, αρκεί να αντιμετωπιστεί μεθοδικά, με τη δέουσα σοβαρότητα και προσοχή.
Συγκεκριμένα, για την οικοδόμηση της ψηφιακής ανθεκτικότητας απαιτείται να σχεδιαστεί και να εφαρμοστεί μια συστηματική και πολυεπίπεδη προσέγγιση στις επιχειρήσεις και στους οργανισμούς μας που αφορά τους ακόλουθους πέντε (5) άξονες:
- Καλλιέργεια κουλτούρας κυβερνοασφάλειας
Η συνεχής εκπαίδευση και κατάρτιση καθώς και η ευαισθητοποίηση του προσωπικού των επιχειρήσεών μας είναι θεμελιώδεις διαδικασίες. Κάθε εργαζόμενος είναι απαραίτητο να γνωρίζει τουλάχιστον τα βασικά, όπως π.χ. την αναγνώριση ενός phishing e-mail ή τη σημασία της τήρησης των πρωτοκόλλων προστασίας δεδομένων. Τακτικές εκπαιδεύσεις και ασκήσεις προσομοίωσης αντιμετώπισης περιστατικών κυβερνοεπιθέσεων συμβάλλουν στην αποφυγή των ανθρώπινων λαθών και αμελειών.
- Εφαρμογή πολιτικών και διαδικασιών
Είναι απαραίτητο να υιοθετούνται και να εφαρμόζονται αυστηρές πολιτικές κυβερνοασφάλειας που να περιλαμβάνουν σχέδια αντιμετώπισης περιστατικών κυβερνοεπιθέσεων, διαδικασίες διαχείρισης δεδομένων και σαφείς ρόλους και αρμοδιότητες. Οι πολιτικές αυτές πρέπει να αναθεωρούνται τακτικά ώστε να αντικατοπτρίζουν τις νέες απειλές καθώς και τυχόν κανονιστικές ή νομοθετικές αλλαγές.
- Επενδύσεις στις σύγχρονες τεχνολογίες και στην καινοτομία, με μέριμνα όμως και για τους κινδύνους που δημιουργούν
Η επένδυση σε προηγμένες τεχνολογίες αποτελεί κρίσιμο παράγοντα. Συστήματα ανίχνευσης εισβολών (intrusion detection systems) που παρακολουθούν το δίκτυο της επιχείρησής μας για κάθε ύποπτη δραστηριότητα και ισχυρά πρωτόκολλα κρυπτογράφησης (encryption protocols) για την προστασία των κρίσιμων και των ευαίσθητων δεδομένων, κατά τη μετάδοση, τη μεταφορά και την αποθήκευσή τους, είναι πλέον πολύ απαραίτητα. Επιπρόσθετα, η αξιοποίηση των συστημάτων Τεχνητής Νοημοσύνης και της Μηχανικής Μάθησης μπορεί να βοηθήσει για προβλεφθούν και να εντοπιστούν απειλές προτού εξελιχθούν σε κρίσιμα περιστατικά. Παρά όμως τα οφέλη της Τεχνητής Νοημοσύνης, πρέπει να επισημανθούν και οι κίνδυνοι που υπάρχουν όταν τα συστήματα Τεχνητής Νοημοσύνης εκμεταλλεύονται αδυναμίες της προστασίας της ιδιωτικότητας, οδηγώντας στη διαρροή μεγάλου όγκου προσωπικών ή κρίσιμων επιχειρησιακών δεδομένων. Ειδικά, η έλλειψη επαρκών μηχανισμών προστασίας προσωπικών δεδομένων μπορεί να οδηγήσει σε παραβιάσεις και διαρροές μεγάλου όγκου ευαίσθητων πληροφοριών, όπως πολύ πρόσφατα αποκαλύφθηκε ότι συνέβη με την εφαρμογή DeepSeek, την Κινέζικη εφαρμογή Τεχνητής Νοημοσύνης που ανταγωνίζεται ισάξια το ChatGPT. Σύμφωνα με πρόσφατα δημοσιεύματα, που αναφέρθηκαν τέλη Ιανουαρίου του 2025 στις ιστοσελίδες των Wiz Research, Forbes και Reuters, υπήρξε διαρροή δεδομένων (data leak) στο DeepSeek που επηρέασε περίπου 1.000.000 ευαίσθητων εγγραφών. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στη χώρα μας, ανακοίνωσε στις 6 Φεβρουαρίου του 2025 ότι κίνησε αυτεπάγγελτη έρευνα σε σχέση με τη νομιμότητα, βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων, της εφαρμογής DeepSeek, η οποία είναι διαθέσιμη στην Ελλάδα. Και αυτά είναι μόνο κάποια ενδεικτικά παραδείγματα για το πόσο κρίσιμη είναι η ενίσχυση των μέτρων της προστασίας των δεδομένων, ειδικά στις πλατφόρμες μηχανικής μάθησης των λεγόμενων Μεγάλων Γλωσσικών Μοντέλων (Large Language Models) που χρησιμοποιούν εφαρμογές όπως το ChatGPT και DeepSeek.
- Προώθηση της συνεργασίας, της διάχυσης της γνώσης και της ανταλλαγής πληροφοριών
Κανένας οργανισμός δεν είναι απόλυτα αυτόνομος στο σύγχρονο ψηφιακό οικοσύστημα. Η στενή συνεργασία με ομάδες απόκρισης για συμβάντα που αφορούν ψηφιακές επιθέσεις, με βάση και τη σύσταση της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και η συμμετοχή σε εθνικές και ευρωπαϊκές πρωτοβουλίες, επιτρέπουν την ανταλλαγή πληροφοριών και τη διάχυση της γνώσης για τις σύγχρονες ψηφιακές απειλές καθώς και για τις βέλτιστες πρακτικές πρόληψης και αντιμετώπισης των ψηφιακών κινδύνων. Η προώθηση της συνεργασίας και η διάχυση της γνώσης είναι τα κλειδιά για την επιτυχία. Η συνεργασία μεταξύ δημόσιου και ιδιωτικού τομέα, η συνεργασία των οργανισμών/φορέων του δημοσίου και των επιχειρήσεων με τα Πανεπιστημιακά Τμήματα Πληροφορικής / Ψηφιακών Συστημάτων και με ερευνητικά κέντρα καθώς και η συνεργασία του Εθνικού Δικτύου SOC (Security Operations Center) – που συστήθηκε τον Οκτώβριο του 2023 από το Υπουργείο Ψηφιακής Διακυβέρνησης – με το Ευρωπαϊκό Δίκτυο και Κέντρο Ικανοτήτων Κυβερνοασφάλειας (European Cybersecurity Competence Centre), θα ενισχύσουν τη συνολική μας άμυνα, δημιουργώντας στη χώρα μας ένα πιο ασφαλές ψηφιακό οικοσύστημα.
- Σχεδιασμός επιχειρησιακής συνέχειας
Ο σχεδιασμός της επιχειρησιακής συνέχειας (business continuity plan) σε μια επιχείρηση δεν περιορίζεται στη δημιουργία και στη διατήρηση εφεδρικών συστημάτων (συστημάτων backup), αλλά πρέπει να περιλαμβάνει την ανάπτυξη ολοκληρωμένων σχεδίων αντιμετώπισης περιστατικών επιθέσεων, με σαφείς ρόλους, αρμοδιότητες και συγκεκριμένες διαδικασίες αντιμετώπισης και ανάκαμψης. Η τακτική δοκιμή και ανανέωση αυτών των σχεδίων, σε συνδυασμό με μέτρα όπως τα εξωτερικά αντίγραφα ασφαλείας και η χρήση των τεχνολογιών του υπολογιστικού νέφους (cloud), μπορούν να κάνουν τη διαφορά μεταξύ ενός μικρού προβλήματος και μιας καταστροφικής κρίσης.
Προτάσεις – Συμπεράσματα – Κάλεσμα για δράση
Ειδική μέριμνα θα πρέπει να δοθεί στις Μικρομεσαίες Επιχειρήσεις, για τις οποίες η ανθεκτικότητα απέναντι στους ψηφιακούς κινδύνους είναι κρίσιμη. Η οικονομική υποστήριξη των Μικρομεσαίων Επιχειρήσεων, μέσω στοχευμένων χρηματοδοτήσεων, ώστε να μπορούν να επενδύουν σε συστήματα και πολιτικές κυβερνοασφάλειας, αποτελεί βασικό παράγοντα για τη διασφάλιση της επιχειρησιακής συνέχειας και την προστασία του ανταγωνιστικού τους πλεονεκτήματος.
Η νομοθεσία όπως ο Νόμος 5160/2024 και η Ευρωπαϊκή Οδηγία NIS2 σαφέστατα παίζουν καθοριστικό ρόλο, θέτοντας αυστηρά πρότυπα και μέτρα που υποχρεώνουν τους οργανισμούς να λάβουν στα σοβαρά τα μέτρα κυβερνοασφάλειας. Όμως, το νομικό πλαίσιο από μόνο του δεν αρκεί. Η πραγματική αλλαγή απαιτεί δράση. Οι ηγεσίες των επιχειρήσεων, οι υπεύθυνοι χάραξης πολιτικής και οι ειδικοί στους τομείς της ασφάλειας υπολογιστών και της κυβερνοασφάλειας πρέπει να συνεργαστούν για να μετατρέψουν το νομικό πλαίσιο σε καθημερινή πρακτική. Η δέσμευση κάθε επιχείρησης και οργανισμού για συνεχή βελτίωση των διαδικασιών, των τεχνολογιών και των προγραμμάτων κατάρτισης προσωπικού είναι απαραίτητη για να παραμείνουμε μπροστά από τις αναδυόμενες απειλές.
Η καινοτομία πρέπει επίσης να είναι βασικός στόχος της κάθε επιχειρηματικής στρατηγικής. Οι επενδύσεις σε τεχνολογίες αιχμής – όπως η ανάλυση ψηφιακών απειλών μέσω Τεχνητής Νοημοσύνης, οι προηγμένες τεχνικές κρυπτογράφησης και οι σύγχρονες λύσεις cloud για αντίγραφα ασφαλείας – θα έχουν ως αποτέλεσμα να έχουμε τα εργαλεία που χρειαζόμαστε για να προλάβουμε και να αντιμετωπίσουμε αποτελεσματικά τις ψηφιακές απειλές.
Σε αυτό το πλαίσιο, η γνώση είναι το κλειδί. Κάθε οργανισμός χρειάζεται οπωσδήποτε να αξιοποιήσει κατάλληλα καταρτισμένους επιστήμονες και επαγγελματίες. Όμως η έλλειψη εξειδικευμένου προσωπικού είναι ένα από τα μεγαλύτερα προβλήματα που αντιμετωπίζει ο τομέας της κυβερνοασφάλειας στις επιχειρήσεις. Σε ευρωπαϊκό επίπεδο, ο κλάδος καλείται να καλύψει κενό 250.000 έως 500.000 θέσεων εργασίας. Στην Ελλάδα, με βάση πρόσφατη μελέτη του Συνδέσμου Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας και της Deloitte, έως το 2030 θα απαιτούνται, κάθε χρόνο, περίπου 7.000 – 7.500 επιπλέον εργαζόμενοι στις ψηφιακές τεχνολογίες, σε σχέση με τους 8.000 – 8.500 ειδικούς στις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ) που προσφέρονται κάθε χρόνο στην αγορά εργασίας από το εκπαιδευτικό μας σύστημα. Να σημειωθεί ότι το 1/3 περίπου από τις απαιτούμενες θέσεις εργασίας στο χώρο των ΤΠΕ αφορά πλέον σε ειδικούς στην κυβερνοασφάλεια.
Να επιμείνουμε τέλος στο ότι είναι σημαντικό να καλλιεργηθεί γενικότερα μια κουλτούρα για την κυβερνοασφάλεια που οπωσδήποτε πρέπει να στοχεύει στην ευαισθητοποίηση όλων για ζητήματα ιδιωτικότητας και προστασίας εμπιστευτικών προσωπικών δεδομένων καθώς και επιχειρησιακών δεδομένων. Πριν λίγες μέρες, στις 28η Ιανουαρίου, ήταν παγκοσμίως η Ημέρα Προστασίας Προσωπικών Δεδομένων (Data Privacy Day). Το θέμα γενικά πέρασε απαρατήρητο στη χώρα μας από τα ΜΜΕ και τα social media, γεγονός που είναι ενδεικτικό της παντελούς έλλειψης ενδιαφέροντος για το σημαντικό θέμα της ασφάλειας και της ιδιωτικότητας των προσωπικών μας δεδομένων. Και αυτό συμβαίνει σε μια εποχή όπου οι ραγδαίες εξελίξεις στην Τεχνητή Νοημοσύνη και στη Μηχανική Μάθηση καθιστούν επισφαλείς τις περισσότερες υπάρχουσες τεχνικές ανωνυμοποίησης προσωπικών δεδομένων.
Καταλήγοντας, ας αναφέρουμε την κλισέ φράση ότι η ψηφιακή τεχνολογία είναι ένα «δίκοπο μαχαίρι». Από τη μία πλευρά, προσφέρει απίστευτες ευκαιρίες για ανάπτυξη, αποτελεσματικότητα και καινοτομία. Από την άλλη, μας εκθέτει σε κινδύνους που μπορούν να διαταράξουν όχι μόνο τις επιχειρηματικές μας δραστηριότητες αλλά και την εμπιστοσύνη που έχουμε μεταξύ μας, να διαταράξουν την εμπιστοσύνη που έχουμε ο ένας στον άλλον. Είτε είστε οι ηγέτες των εταιριών σας, είτε στελέχη της διοίκησης, είτε ειδικοί στις Τεχνολογίες Πληροφορικής και Επικοινωνιών, καλείστε να επενδύσετε στους ανθρώπους, στην τεχνολογία και σε καινοτόμες διαδικασίες. Καλλιεργήστε μια κουλτούρα συνεχούς βελτίωσης και, πάνω απ’ όλα, συνεργαστείτε και αναζητήστε την προστασία των ειδικών, διότι στον τομέα της κυβερνοασφάλειας η συνεργασία και η τεχνογνωσία είναι η ισχυρότερη άμυνά μας.
Στόχος όλων (πολιτείας, φορέων/οργανισμών, επιχειρήσεων, εργαζομένων και πολιτών) είναι να οικοδομήσουμε ένα ανθεκτικό και ασφαλές ψηφιακό μέλλον για τους οργανισμούς και τις επιχειρήσεις μας, αντιμετωπίζοντας τα σημερινά τρωτά μας σημεία και μετατρέποντας τις αδυναμίες μας σε πλεονεκτήματα.
