Οι έννοιες «κυβερνοάμυνα» και «κυβερνοαπειλές», έχουν εισέλθει στο λεξιλόγιο και την ατζέντα όλων των οργανισμών, με τις επιθέσεις μέσω διαδικτύου να αυξάνονται κάθε χρόνο σε ευθεία αναλογία με την ανάπτυξη της ψηφιοποίησης των διεργασιών. Σήμερα, η ανάγκη για προστασία των διακινούμενων μέσω δικτύου δεδομένων είναι επιτακτικότερη από ποτέ στις κρατικές, αλλά και εταιρικές οντότητες. Ακριβώς αυτά τα ζητήματα αναλύθηκαν εκτενώς στο 2ο Cyber Intelligence Conference που έλαβε χώρα στο Μέγαρο Μουσικής Αθηνών και τελούσε υπό την αιγίδα του Υπουργείου Εθνικής Άμυνας, του Υπουργείου Ψηφιακής Διακυβέρνησης της Ελλάδας και των Υπουργείων Άμυνας και Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής της Κυπριακής Δημοκρατίας. Στο συνέδριο έδωσαν το παρόν εκπρόσωποι της πολιτικής ηγεσίας, ανώτεροι αξιωματικοί, αλλά και εκπρόσωποι των εταιριών, προσπαθώντας να δώσουν λύσεις στην απαιτητική εξίσωση της θωράκισης των ψηφιακών υποδομών.
.
Governance: Η διαφάνεια και η NIS 2 στο επίκεντρο
Η ευρωπαϊκή οδηγία αναφοράς για τον κυβερνοχώρο, δεν είναι άλλη από τη NIS 2, η οποία θέτει το νομικό πλαίσιο της θωράκισης των οργανισμών, αλλά και του διαμοιρασμού των πληροφοριών. Όπως ανέφεραν οι ομιλητές, η κυβερνοασφάλεια σήμερα είναι «όχι μόνο τεχνολογικό ζήτημα, αλλά οργανωσιακή, επιχειρησιακή και κανονιστική πρόκληση, που αφορά το σύνολο των οργανισμών – από τις αμυντικές εφαρμογές έως τον ιδιωτικό τομέα και την αγορά».
Το κανονιστικό πλαίσιο που φέρουν οι οδηγίες NIS και NIS 2, αντιμετωπίζεται – όχι σπάνια – ως μια άσκηση συμμόρφωσης, πράγμα το οποίο έχουμε δει να συμβαίνει και για πολλές άλλες υποχρεωτικές ευρωπαϊκές οδηγίες. Ο Γενικός Γραμματέας Μεταφορών, κ. Στέλιος Σακαρέτσιος ανέφερε επί του θέματος: «Η εφαρμογή της Οδηγίας NIS2 δεν φέρνει μόνο υποχρεωτικότητα, αλλά και μια ουσιαστική αλλαγή κουλτούρας, καθιστώντας αναγκαία τη συστηματική επένδυση σημαντικού μέρους του προϋπολογισμού στην κυβερνοασφάλεια». Ενώ από την πλευρά των εταιριών, ο Γιώργος Σπανουδάκης, CEO της SPHYNX Hellas, υπογράμμισε ότι οι δύο οδηγίες εισάγουν δύο κρίσιμες απαιτήσεις που μόνο θετική εξέλιξη μπορεί να έχουν για τους οργανισμούς: «Τη συνεχή παρακολούθηση των συστημάτων και τον έλεγχο της ασφάλειας των προμηθευτών».
Το παράδοξο των προστίμων του θύματος
Ένας ακόμα λόγος που παρακωλύεται η διαφάνεια στον τομέα της κυβενοασφάλειας, είναι το γεγονός ότι οι υφιστάμενες νομοθεσίες «τιμωρούν» με πρόστιμο και το … θύμα! Πιο συγκεκριμένα, η αρχή των νομοθεσιών παίρνει ως παραδοχή ότι ο εκάστοτε οργανισμός θα δεχθεί επίθεση, επομένως «τιμωρεί» την ελλιπή προετοιμασία, την ενδεχόμενη διαρροή προσωπικών δεδομένων, ή την διακοπή κάποιας κρίσιμης λειτουργίας λόγω της επίθεσης.
Όπως αναφέρουν οι ειδικοί του συγκεκριμένου πεδίου, ο φόβος του προστίμου δημιουργεί συχνά καταστάσεις μυστικοπάθειας και απόκρυψης των επιθέσεων που φέρνει ένα δυνατό πλήγμα στην διάχυση των πληροφοριών. Ο Κωνσταντίνος Βουζόπλης, επικεφαλής του τομέα κυβερνοασφάλειας της Accenture στην Ελλάδα, μίλησε σε σχετικό πάνελ, τονίζοντας ότι πρέπει να καλλιεργηθεί εμπιστοσύνη ώστε οι οργανισμοί να αναφέρουν απρόσκοπτα περιστατικά κυβερνοεπιθέσεων, ακόμη και αν αυτό συνεπάγεται κυρώσεις, καθώς η κοινοποίηση μπορεί να προστατεύσει άλλους οργανισμούς, αλλά και τη χώρα συνολικά.
Social: Το open source intelligence «αντίδοτο» στην εμπορία ανθρώπων
Στον άξονα Social των ESG, η κυβερνοασφάλεια αποκτά μια κοινωνική διάσταση, ιδίως στην αντιμετώπιση σειράς παραβατικών συμπεριφορών. Στο 2ο Cyber Intelligence Conference, δόθηκε το χαρακτηριστικό παράδειγμα της εμπορίας ανθρώπων, η οποία έχει καταστεί μια σύγχρονη, διασυνοριακή και ιδιαίτερα «προσαρμοστική» εγκληματική δραστηριότητα, που αξιοποιεί τις ψηφιακές τεχνολογίες με την ίδια ταχύτητα που τις αξιοποιούν και οι διωκτικές αρχές.
Σε σχετική συζήτηση ο Dr. Darren Hayes, Director of Cybersecurity Programs στο Πανεπιστήμιο Pace υπογράμμισε ότι καθοριστικό ρόλο στην αποδόμηση αυτών των δικτύων μπορεί να διαδραματίσει το open source intelligence, όταν ενσωματώνεται σε δομημένα μοντέλα ανάλυσης. Συγκεκριμένα ανέφερε ότι η χρήση τεχνητής νοημοσύνης και τεχνολογιών αναγνώρισης προσώπου μπορεί να αποδειχθεί καθοριστική, ιδίως όταν φωτογραφίες απαχθέντων παιδιών, λ.χ., αξιοποιούνται για τον εντοπισμό τους.
Παράλληλα, η τεχνητή νοημοσύνη προσφέρει ισχυρά εργαλεία προγνωστικής ανάλυσης και επιτήρησης, χωρίς όμως να υποκαθιστά την ανθρώπινη κρίση. Όπως υπογράμμισε ο Παναγιώτης Φιλήμης, CEO της Cyric, το AI μπορεί να υποστηρίξει την ανάλυση και τον εντοπισμό κινδύνων – ακόμη και μέσω drones σε περιοχές υψηλού ρίσκου – αλλά δεν πρέπει να λαμβάνει τις τελικές αποφάσεις.
Όσο η τεχνολογία προχωράει με την ταυτόχρονη αύξηση των απειλών, οι οργανισμοί καλούνται να προχωρήσουν μεθοδικότερα και ταχύτερα τον ψηφιακό τους μετασχηματισμό. Άλλωστε οι έννοιες της ενεργειακής και ψηφιακής μετάβασης έχουν στοιχεία ταυτοχρονικότητας αφού παρουσιάστηκαν ως προκλήσεις σε κοντινές περιόδους, ενώ μπορούν να σταθούν και συμπληρωματικές. Σήμερα, περιβαλλοντικό και ψηφιακό αποτύπωμα, οφείλουν να βρίσκονται στην κορυφή της ατζέντας των οργανισμών, σε συνδυασμό με τις αξίες ESG, ώστε να μπορέσουν να παραμείνουν εντός εποχής, αλλά και εντός αγοράς.
