Iva Tasheva: «Πρέπει να αυξήσουμε την ευαισθητοποίηση εργαζομένων και χρηστών σε θέματα κυβερνοασφάλειας»
- 03/08/2022, 13:03
- SHARE
Στο ερώτημα του πώς οι επιχειρήσεις μπορούν να οχυρωθούν απέναντι στις κυβερνοεπιθέσεις και να διαφυλάξουν σαν κόρη οφθαλμού πολύτιμες πληροφορίες και προσωπικά δεδομένα, απαντά η Iva Tasheva, συν-ιδρύτρια και επικεφαλής cybersecurity της CyEn, η οποία προσφέρει συμβουλευτικές υπηρεσίες στον τομέα της διακυβέρνησης ασφάλειας πληροφοριών, των κινδύνων και της συμμόρφωσης.
Σε αποκλειστική συνέντευξη που παραχώρησε στο Fortune Greece, η κα Tasheva αναφέρει πως το ανθρώπινο λάθος βρίσκεται πίσω από το 90% των παραβιάσεων δεδομένων, ενώ εξηγεί γιατί είναι επιτακτική η ανάγκη για γενναίες επενδύσεις στην κυβερνοασφάλεια, όχι μόνο από τις επιχειρήσεις και τους οργανισμούς, αλλά και από τα ίδια τα Κράτη. Αποκαλύπτει δε τον τρόπο με τον οποίο αντιμετωπίστηκαν αντίστοιχες κρίσεις, σε Ελλάδα και στη γενέτειρά της τη Βουλγαρία, όπου hackers επιτέθηκαν στα συστήματα του Δημόσιου Οργανισμού Εσόδων, θέτοντας σε κίνδυνο τα προσωπικά δεδομένα των πολιτών.
Παράλληλα με το CyEn, τρέχει τον Οργανισμό Κυβερνοασφάλειας της ΕΕ (ENISA), αρχικά με έδρα την Κρήτη και τώρα με νέα έδρα στην Αθήνα. Είναι μέλος δύο ομάδων εργασίας ENISA για την ανάπτυξη της πιστοποίησης κυβερνοασφάλειας της ΕΕ για τις Υπηρεσίες Cloud και την ασφάλεια στον κυβερνοχώρο Enterprise (SME) και όπως λέει είναι ένα πεδίο με λαμπρές επαγγελματικές προοπτικές, τόσο για άνδρες, όσο και για τις γυναίκες.
Κα Tasheva, πόσο ασφαλείς είναι οι επιχειρήσεις σήμερα στο Διαδίκτυο και πού πρέπει να επενδύσουν έτσι ώστε να είναι σε θέση να προβλέψουν πιθανούς κινδύνους και να μπορέσουν να επιδείξουν γρήγορα αντανακλαστικά όταν εμφανίζονται απροσδόκητοι εξωτερικοί παράγοντες;
Για το 85% των ΜμΕ, η κυβερνοασφάλεια αποτελεί ένα σοβαρό ζήτημα, σύμφωνα με την τελευταία μελέτη του ENISA. Η ανησυχία είναι γνήσια. Με την εισαγωγή νέων τεχνολογιών και τη μεταφορά βασικών επιχειρηματικών διαδικασιών στο διαδίκτυο, οι επιχειρήσεις γίνονται ευάλωτες σε επιθέσεις χάκερ. Με ανεπαρκή προετοιμασία για την αντιμετώπιση νέων απειλών στον κυβερνοχώρο, οι εταιρείες είναι κύριος στόχος για τους εγκληματίες του κυβερνοχώρου.
Σε έναν συνδεδεμένο κόσμο, η ασφάλεια στον κυβερνοχώρο της εφοδιαστικής αλυσίδας έχει γίνει ένας σημαντικός κίνδυνος. Σύμφωνα με το Παγκόσμιο Οικονομικό Φόρουμ, το 88% των ηγετών επιχειρήσεων ανησυχεί για την κυβερνοασφάλεια των ΜμΕ στο οικοσύστημά τους. Ωστόσο, η κυβερνοασφάλεια προμηθευτών είναι δύσκολο να εκτιμηθεί, καθώς η αξιολόγηση της ασφάλειας απαιτεί πόρους, ειδική συμφωνία και τεχνογνωσία.
Για να βελτιώσουν την ανθεκτικότητά τους στον κυβερνοχώρο, οι επιχειρήσεις εφαρμόζουν πρότυπα ασφάλειας πληροφοριών, όπως το ISO27001. Επικεντρώνεται στην προσέγγιση που βασίζεται στον κίνδυνο και στη συνεχή βελτίωση σε πέντε βασικές διαδικασίες: αναγνώριση, προστασία, ανίχνευση, απόκριση και ανάκτηση. Εφαρμόζοντας βιομηχανικά πρότυπα, οι επιχειρήσεις μπορούν εύκολα να επιδείξουν την προσπάθεια και την αριστεία τους σε συνεργάτες και ρυθμιστικές αρχές.
Τέλος, το ανθρώπινο λάθος βρίσκεται πίσω από το 90% των παραβιάσεων δεδομένων. Απλά μέτρα, όπως η ευαισθητοποίηση των εργαζομένων σχετικά με τις τρέχουσες επιθέσεις phishing, η καλή διαχείριση κωδικών πρόσβασης, ο έλεγχος ταυτότητας πολλαπλών παραγόντων, η επιλογή ασφαλών εργαλείων για τη μεταφορά αρχείων, μπορούν να συμβάλουν σημαντικά στην προστασία της εταιρείας. Αυτά είναι μέτρα ασφαλείας χαμηλής προσπάθειας και υψηλών επιπτώσεων που μπορεί να λάβει κάθε εταιρεία, ακόμη και η πιο μικρή.
Τα τελευταία χρόνια ακούμε συνεχώς να μιλάμε για Big Data, IoT, AI, Machine Learning, έννοιες που ήταν σε θεωρητικό επίπεδο και βρίσκουν πλέον πρακτική εφαρμογή στον τρόπο λειτουργίας μιας επιχείρησης. Ποια είναι τα υπέρ και τα κατά αυτής της νέας πραγματικότητας;
Έχουμε νέες και καλύτερες υπηρεσίες με ψηφιοποίηση, ανάλυση μεγάλων δεδομένων και τεχνητή νοημοσύνη. Η τεχνητή νοημοσύνη συμβάλλει στην εξοικονόμηση κόστους χάρη στην προγνωστική και προκαθοριστική ανάλυση. Η υγειονομική περίθαλψη, οι μεταφορές και η ενέργεια είναι ορισμένοι τομείς που έφεραν την επανάσταση μέσω της αξιοποίησης των συγκεκριμένων τεχνολογιών, αναβαθμίζοντας το επίπεδο της υγειονομικής περίθαλψης και διασφαλίζοντας ευέλικτα και προσαρμόσιμα δίκτυα μεταφορών και ενέργειας. Επιπλέον, η τεχνητή νοημοσύνη ενισχύει την ασφάλεια, μετριάζοντας τις προηγμένες τεχνικές hacking και τα δίκτυα παρακολούθησης σε πραγματικό χρόνο για τον εντοπισμό ύποπτης συμπεριφοράς και απάτης.
Ωστόσο, αυτές οι νέες ευκαιρίες συνοδεύονται από μεγαλύτερους κινδύνους για την ασφάλεια στον κυβερνοχώρο. Την τελευταία δεκαετία, αναπτύξαμε προηγμένους κανόνες ασφάλειας σε επίπεδο ΕΕ. Τώρα πρέπει να μεταφράσουμε γρήγορα αυτούς τους στόχους στον τομέα της κυβερνοασφάλειας. Υπάρχει μια αίσθηση επείγουσας ανάγκης για δράση και πολλές περιπλοκές για επίλυση των προβλημάτων. Ένα παράδειγμα είναι το IoT, με 4,3 δισεκατομμύρια συσκευές IoT στην Ευρώπη το 2025. Αν δεν είναι ασφαλείς, θα μπορούσαν όλες να χρησιμοποιηθούν σε μια τεράστια επίθεση botnet σε οποιαδήποτε επιχείρηση. Τέτοιες συσκευές χρησιμοποιούνται στην υγειονομική περίθαλψη, επηρεάζοντας άμεσα τη ζωή και την υγεία των ανθρώπων. Είναι επίσης δύσκολο να διαχειριστούμε και να διασφαλίσουμε τον αυξημένο όγκο δεδομένων που δημιουργείται από τα μεγάλα δεδομένα.
Μπορεί η ψηφιακή υποδομή να προστατευτεί αποτελεσματικά ή οι χάκερ θα είναι πάντα ένα βήμα μπροστά; Στη Βουλγαρία, για παράδειγμα, έγινε επίθεση στο ασφαλιστικό σύστημα του οργανισμού εσόδων και πήραν όλα τα στοιχεία των πολιτών. Πώς διαχειριστήκατε αυτή την κρίση;
Δεν υπάρχει 100% ασφάλεια – πρόκειται για διαχείριση του κινδύνου. Θα έχουμε πάντα επιθέσεις στον κυβερνοχώρο, ορισμένες από τις οποίες θα είναι επιτυχείς με σημαντικό αντίκτυπο. Δεν μπορούμε να το σταματήσουμε αυτό. Ωστόσο, μπορούμε να ενεργήσουμε ανάλογα με τη συχνότητα και τον αντίκτυπο των επιθέσεων. Οι επιχειρήσεις πρέπει να κατανοήσουν τους κινδύνους τους και να καταστήσουν πιο δύσκολη τη διακοπή λειτουργίας και την κλοπή των ευαίσθητων δεδομένων τους. Οι στρατηγικές για τη βελτίωση της ασφάλειας στον κυβερνοχώρο των κρίσιμων για τις επιχειρήσεις διεργασιών και δεδομένων, όπως η τμηματοποίηση δικτύου, η δημιουργία αντιγράφων ασφαλείας δεδομένων και οι διαδικασίες κυβερνοσυμβάντος/κρίσης, θα ελαχιστοποιήσουν τον αντίκτυπο της επίθεσης. Επιπλέον, αν αυξήσουμε την ευαισθητοποίηση εργαζομένων και χρηστών σε θέματα κυβερνοασφάλειας, μπορούμε να μειώσουμε τον αριθμό των επιτυχημένων επιθέσεων κατά 90%.
Όσο για το hack του βουλγαρικού οργανισμού εσόδων, μάθαμε ότι η διαχείριση της κρίσης θα μπορούσε να είναι εξίσου σημαντική με την προστασία των περιουσιακών στοιχείων. Χωρίς παρακολούθηση, στρατηγική εντοπισμού και ανάκτησης και κακή επικοινωνία, ο αντίκτυπος της επίθεσης πολλαπλασιάστηκε και ο κίνδυνος για τους πολίτες αυξήθηκε.
Αν και σπάνια βλέπουμε γυναίκες να ιδρύουν εταιρείες τεχνολογίας, δημιουργήσατε το CyEn, το οποίο δραστηριοποιείται στον χώρο της ασφάλειας στον κυβερνοχώρο. Ποιες είναι οι κύριες υπηρεσίες που προσφέρετε και σε ποιους τομείς υπάρχουν μεγαλύτερες ανάγκες;
Η Cyen προσφέρει συμβουλευτικές υπηρεσίες στον τομέα της διακυβέρνησης ασφάλειας πληροφοριών, των κινδύνων και της συμμόρφωσης. Βοηθάμε τις επιχειρήσεις να ανακαλύψουν και να συνειδητοποιήσουν την επιχειρηματική αξία στην ασφάλεια στον κυβερνοχώρο και να συμμορφωθούν με τους νομικούς κανονισμούς και τις βέλτιστες πρακτικές του κλάδου. Με τους αυξημένους κανόνες της ΕΕ για την κυβερνοασφάλεια, οι επιχειρήσεις χρειάζονται υποστήριξη για τον εντοπισμό των εφαρμοστέων κανόνων και την εφαρμογή κατάλληλων και αναλογικών μέτρων για τους κινδύνους τους.
Ποιο ήταν το ερέθισμα που σας έκανε να εργαστείτε σε αυτόν τον τομέα; Το φύλο έχει σταθεί ποτέ εμπόδιο στο πώς σας αντιμετωπίζουν;
Το 2015 αναγνώρισα ένα αυξανόμενο ζήτημα κυβερνοασφάλειας και ήθελα να το λύσω. Η επιχειρηματική και πολιτική μου εμπειρία με βοήθησε να εξελιχθώ στον τομέα. Ωστόσο, εξακολουθεί να είναι ένα ανδροκρατούμενο περιβάλλον εμπνευσμένο από τον στρατό. Υπήρχαν στιγμές που ήμουν η μόνη γυναίκα σε μια ομάδα δέκα ατόμων, που έπρεπε να αποδείξω ότι το διαφορετικό υπόβαθρο και οι δεξιότητες βελτιώνουν τα αποτελέσματα της κυβερνοασφάλειας. Εάν προσελκύουμε μόνο ανθρώπους που γνωρίζουν τα ίδια πράγματα και σκέφτονται με τον ίδιο τρόπο, δεν θα μπορέσουμε να κάνουμε μεγάλη διαφορά στην ασφάλεια στον κυβερνοχώρο. Θα παραμείνει ένα εξειδικευμένο ζήτημα. Αυτό δεν ήταν εύκολο να γίνει αποδεκτό και εξακολουθεί να αποτελεί το μεγαλύτερο «αγκάθι» για την ανάπτυξη του κλάδου.
Πολλοί υποστηρίζουν ότι η κυβερνοασφάλεια είναι ένας τομέας που θα μπορούσε να απορροφήσει περισσότερες γυναίκες. Τι είδους κίνητρα πρέπει να δοθούν στα κορίτσια για να το επιλέξουν ως επάγγελμα;
Από το 2020 η κυβερνοασφάλεια έχει καταστεί σημαντικό μέλημα για τους υπεύθυνους χάραξης πολιτικής και τις επιχειρήσεις. Ωστόσο, μας λείπει η τεχνογνωσία στον τομέα της κυβερνοασφάλειας, με 500.000 κενές θέσεις εργασίας στον τομέα της κυβερνοασφάλειας στην Ευρώπη και 2,7 εκατομμύρια παγκοσμίως. Πιστεύω ότι θα δούμε μια φυσική στροφή προς την ένταξη περισσότερων γυναικών στον τομέα για την επίλυση αυτών των προβλημάτων. Αλλά αυτό δεν θα συμβεί χωρίς αγώνα ή εν μία νυκτί.
Οι εταιρείες και οι υπεύθυνοι χάραξης πολιτικής πρέπει να λάβουν σοβαρά υπόψη την ποικιλομορφία, συμπεριλαμβανομένου του φύλου, του υπόβαθρου, της περιοχής και της γλώσσας, για να ενθαρρύνουν την ταχύτερη και καλύτερη υιοθέτηση λύσεων κυβερνοασφάλειας που λειτουργούν για όλες αυτές τις διαφορετικές ομάδες στην κοινωνία. Επιπλέον, η παροχή περισσότερων πληροφοριών στις γυναίκες σχετικά με την κυβερνοασφάλεια, γιατί έχει σημασία και πώς άλλες γυναίκες συνεισφέρουν και ευδοκιμούν σε αυτήν, θα έκανε το πεδίο πολύ πιο ελκυστικό για εκείνες.
Σε επαγγελματικό επίπεδο υπάρχει ισχυρός δεσμός με την Κρήτη. Τι είδους έργα τρέχετε στο νησί;
Έχω την ευκαιρία να ταξιδέψω στην όμορφη Ελλάδα για να υποστηρίξω τον Οργανισμό Κυβερνοασφάλειας της ΕΕ (ENISA), αρχικά με έδρα την Κρήτη και τώρα με νέα έδρα στην Αθήνα. Είμαι μέλος δύο ομάδων εργασίας ENISA: ανάπτυξη της πιστοποίησης κυβερνοασφάλειας της ΕΕ για τις Υπηρεσίες Cloud και την ασφάλεια στον κυβερνοχώρο Enterprise (SME). Πολλές άλλες ομάδες εργασίας του ENISA και φόρουμ ενδιαφερομένων φέρνουν επίσης εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας από όλη την Ευρώπη για συναντήσεις και συνέδρια στην Ελλάδα.
Έχει επενδύσει η Ελλάδα όσο θα έπρεπε σε θέματα κυβερνοασφάλειας;
Στην κυβερνοασφάλεια, όλα είναι σχετικά. Αρκετή ασφάλεια στον κυβερνοχώρο εξαρτάται από τον στόχο της ελληνικής κυβέρνησης και της κοινωνίας, την ψηφιοποίηση και πόσο κίνδυνο είναι διατεθειμένοι να δεχτούν. Αλλά υπάρχουν δείκτες που προσπαθούν να βάλουν σε τάξη τις προσπάθειες για την ασφάλεια στον κυβερνοχώρο. Ένας τέτοιος δείκτης είναι ο Εθνικός Δείκτης Κυβερνοασφάλειας (NCSI), μια live κατάταξη όπου η Ελλάδα κατατάσσεται 1η στην Ευρώπη και 28η παγκοσμίως. Αυτό σημαίνει ότι η Ελλάδα τα καταφέρνει καλύτερα από τις ευρωπαϊκές χώρες στην προετοιμασία της πρόληψης των κυβερνοαπειλών και της διαχείρισης των περιστατικών στον κυβερνοχώρο.
Ενώ δεν γνωρίζουμε πολλά για την ιστορία των περιστατικών κυβερνοασφάλειας στη χώρα, τα Ελληνικά Ταχυδρομεία (ΕΛΤΑ) έπεσαν θύμα επίθεσης κακόβουλου λογισμικού τον Αύγουστο του 2021, αναστέλλοντας τα εμπορικά συστήματα πληροφοριών τους. Παρόμοια επίθεση παρατηρήθηκε και σε βουλγαρικά φυλάκια. Αυτό δείχνει ότι συγκεκριμένοι τομείς υστερούν όσον αφορά την ασφάλεια στον κυβερνοχώρο.
Η νομοθεσία της ΕΕ για την κυβερνοασφάλεια (οδηγία NIS και η αναθεώρησή της NIS2 του 2022) στοχεύει σε αυτό, αυξάνοντας το συνολικό επίπεδο κυβερνοασφάλειας σημαντικών οργανισμών, όπως οι ταχυδρομικές υπηρεσίες αλλά και οι μεταφορές, οι επιχειρήσεις κοινής ωφέλειας (νερό, ενέργεια), οι κυβερνητικές και τηλεπικοινωνιακές εταιρείες, μεταξύ άλλων.
Επιπλέον, η Ελλάδα φιλοξενεί τον οργανισμό κυβερνοασφάλειας της ΕΕ, ο οποίος έχει συμβάλει στην ανάπτυξη ενός οικοσυστήματος κυβερνοασφάλειας, με εταιρείες ασφάλειας και ρυθμιστικές αρχές να εργάζονται χέρι-χέρι για την προστασία της ευρωπαϊκής και της ελληνικής οικονομίας και κοινωνίας.