«Θα ξεπεράσουν τα 20 τρισ. δολάρια οι κυβερνοεπιθέσεις το 2025»
Σε μία εποχή που οι κυβερνοαπειλές εξελίσσονται ραγδαία και το νομικό πλαίσιο γίνεται ολοένα και πιο απαιτητικό, οι επιχειρήσεις οφείλουν να συμβαδίζουν με τις συνεχώς αυξανόμενες απαιτήσεις και ευρωπαϊκές οδηγίες προκειμένου να επιτύχουν την ενίσχυση της κυβερνοασφάλειας.
Το Ελληνικό Ινστιτούτο Κυβερνοασφάλειας, o μη κερδοσκοπικός φορέας που στοχεύει στη δημιουργία ενός πεδίου σκέψης, ανταλλαγής ιδεών και συνεργασίας μεταξύ όλων των εμπλεκομένων μερών, προωθώντας το όραμα μιας κοινωνίας με ασφάλεια στον κυβερνοχώρο, διοργάνωσε εκδήλωση με τίτλο «NIS2,CRA & DORA – Beyond Compliance».
Θεσμικοί, ακαδημαϊκοί και στελέχη της αγοράς μέσα από τις τοποθετήσεις τους ανέλυσαν τους ευρωπαϊκούς κανονισμούς, το το νέο αναδυόμενο τοπίο απειλών που οδηγείται από την AI, ενώ παρουσίασαν αποτελεσματικές πρακτικές αντιμετώπισης διαφόρων περιστατικών.
Μεγάλες οι προκλήσεις που έρχονται
Για τον ρυθμιστικό και το συντονιστικό ρόλο του ENISA μίλησε ο Μιχάλης Μπλέτσας, Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, απευθύνοντας κάλεσμα στις επιχειρήσεις να επενδύσουν προς αυτή την κατεύθυνση καθώς οι προκλήσεις που θα υπάρξουν στο μέλλον είναι μεγάλες. Δεν πρέπει να βλέπουν το cybersecurity ως κόστος, αλλά ως επένδυση, ήταν το κεντρικό μήνυμα.
«Το cybersecurity είναι σαν τα σκουπίδια, κανείς δεν θέλει να ασχοληθεί μαζί τους αλλά, ούτε και να τα βλέπει στην πόρτα του. Η κυβερνοασφάλεια ανεβαίνει στις προτεραιότητες, μπαίνουν αυστηρότερες τεχνικές προδιαγραφές και ανοίγει το πεδίο επίβλεψης. Κάτι τέτοιο επιτρέπει να ομογενοποιηθούν οι απαιτήσεις από χώρα σε χώρα. Έχουμε πολύ δουλειά μπροστά μας το πρώτο σχέδιο των εφαρμοστικών νόμων είναι έτοιμο και η προθεσμία που έχει δοθεί από την Ευρωπαϊκή Ένωση είναι στις 18 Οκτωβρίου».
Στο ίδιο μήκος κύματος και ο Ευάγγελος Ουζούνης, Head of Policy Development Unit, ENISA, ο οποίος αναγνώρισε πως η Ευρώπη είναι ιδιαίτερα παραγωγική την τελευταία πενατετία στο θέμα της κυβερνοασφάλειας, με την χώρα μας να κάνει αργά αλλά σταθερά βήματα προόδου στο συγκεκριμένο κομμάτι.
«Ορισμένοι κλάδοι, όπως για παράδειγμα αυτός των τραπεζών, δίνουν μεγαλύτερη έμφαση και σκοράρουν ψηλότερα συγκριτικά με κάποιους άλλους στο πεδίο του cybersecurity. Υπάρχει μία σχετική εμπειρία σε θέματα αναφοράς συμβάντων. Η Ελλάδα πρέπει να συμμορφωθεί με τους ευρωπαϊκούς κανονισμούς. Η εκτίμηση είναι ότι από τους 80 φορείς θα φτάσουμε τους 2.000, όταν όμως στη Γερμανία ο αριθμός τους ανέρχεται σε 25.000».
Πρόσθεσε πως μόνο δύο χώρες της Ε.Ε. έχουν καταφέρει να περάσουν από τα κοινοβούλια τους την νομοθεσία για το cybersecurity, γεγονός που δείχνει ότι η Ελλάδα δεν είναι ουραγός όπως μας έχει συνηθίσει κατά το παρελθόν.
«Ήδη δημιουργείται πεδίο συνεργασίας μεταξύ των αρχών και ο ENISA λειτουργεί ως γέφυρα επικοινωνίας. Ο πόλεμος στην Ουκρανία έφερε στην επιφάνεια το θέμα συνεργασίας μεταξύ των κρατών μελών. Δημιουργήθηκαν μεν επιτυχημένοι μηχανισμοί, αλλά πρέπει να μονιμοποιηθούν σε ανώτερο επίπεδο. Η κυβερνοασφάλεια βρίσκεται κοντά σε ευαίσθητα θέματα που έχουν να κάνουν με την εθνική κυριαρχία. Ίσως θα ήταν σκόπιμο να δημιουργηθεί μηχανισμός stress test όπως συνέβη και με τις τράπεζες».
Στην αλυσίδα της ψηφιακής ασφάλειας ο πιο αδύναμος κρίκος είναι ο άνθρωπος
Το παρών έδωσε και ο Βασίλης Παπακώστας, Διευθυντής Δίωξης Ηλεκτρονικού Εγκλήματος, Υπουργείο Προστασίας του Πολίτη, ο οποίος παρουσίασε το κυβερνοέγκλημα στη νέα ψηφιακή εποχή.
«Παράλληλα με την διάδοση της τεχνολογίας αυξάνεται και η εγκληματικότητα καθώς οι χάκερς βρίσκονται σε επαγρύπνηση για να αποσπούν μεγάλα χρηματικά ποσά. Στην Ελλάδα τα τελευταία χρόνια έχει διπλασιαστεί ο αριθμός των κυβερνοεπιθέσεων. Κυρίαρχο έγκλημα είναι το phishing– κυρίως η υποκλοπή τραπεζικών δεδομένων – και το ransomware. Αφορά και ιδιώτες και επιχειρήσεις».
Ο κ. Παπακώστας συνέχισε λέγοντας πως σε ότι αφορά τα κρυπτονομίσματα δεν λαμβάνονται σωστά μέτρα θωράκισης.
«Στην αλυσίδα της ψηφιακής ασφάλειας ο πιο αδύναμος κρίκος είναι ο άνθρωπος. Δεν είναι μόνο οι υποδομές που πλήττονται αλλά και η εταιρική φήμη. Πολύ συχνά βλέπουμε το φαινόμενο του deep fake, της παραπληροφόρησης και των επιθέσεων μεγάλης κλίμακας με την αξιοποίηση της τεχνητής νοημοσύνης».
Όπως εύστοχα επισημάνθηκε, χρειάζεται καλύτερη εκπαίδευση και ενημέρωση, τόσο των πολιτών, όσο και του προσωπικού της εκάστοτε εταιρείας, ενώ απαιτείται ανάπτυξη καλύτερων συστημάτων κρυπτογράφησης των δεδομένων.
«Εκτός από τα κρυπτονομίσματα βλέπουμε και απευθείας επιθέσεις σε ανταλλακτήρια. Γενικότερα, μην ξεχνάτε ότι δίνουμε πληροφορία στους κακόβουλους χρήστες ανάλογα με το τι δημοσιεύουμε στα social media. Και συλλέγονται στοιχεία ακόμη και από το βιογραφικό μας που έχουμε αναρτημένο στο προφίλ μας στο LinkedIn».
Το κυβερνοέγκλημα είναι η 3η μεγαλύτερη οικονομία
Μεταξύ των ομιλητών ο Ιωάννης Αλεξάκης, Γενικός Διευθυντής Επιτελικού Σχεδιασμού, Εθνική Αρχή Κυβερνοασφάλειας – Υπουργείο Ψηφιακής Διακυβέρνησης ο οποίος έκανε λόγο για τεράστια έκθεση στο διαδίκτυο του οικονομικού και προσωπικού μας προφίλ που μεταφέρεται σταδιακά στον ψηφιακό κόσμο και μας κάνει περισσότερο ευάλωτους σε καινούριες απειλές.
Θέλοντας να υπογραμμίσει τη σημασία των επενδύσεων στην κυβερνοασφάλεια, υπενθύμισε πως το 2023 το κόστος από τις κυβερνοεπιθέσεις σε παγκόσμιο επίπεδο ανερχόταν σε 10 τρις δολάρια και οι εκτιμήσεις κάνουν λόγο ότι μέσα σε δύο χρόνια, το 2025, θα έχει διπλασιαστεί, αγγίζοντας τα 20 τρισ. δολάρια. Πρόσθεσε πως εάν το κυβερνοέγκλημα ήταν οικονομία, θα ήταν σε μέγεθος η 3η μεγαλύτερη παγκοσμίως.
«Δυστυχώς στις περισσότερες περιπτώσεις περνάνε αρκετοί μήνες μέχρι ένας οργανισμός να καταλάβει ότι έχει δεχτεί κυβερνοεπίθεση. Ο δυτικός κόσμος είναι ευάλωτος στο disinformation και στο misinformation. Οι μηχανές, σε αντίθεση με τους ανθρώπους, δεν κουράζονται και δεν κοιμούνται ποτέ. Κάνουν επιθέσεις 24 ώρες το εικοσιτετράωρο, εφτά ημέρες την εβδομάδα και πια δεν απαιτείται ιδιαίτερη γνώση αρκεί μόνο η σύνδεση στο διαδίκτυο».
Ολοκλήρωσε την ομιλία του λέγοντας πως, όσο πιο πολύ ψηφίοποιούμε τα δεδομένα μας, τόσο πιο ευάλωτοι είμαστε στις επιθέσεις και αυτό είναι ένας φάκελος κύκλος που δείχνει ότι απαιτούνται διαρκείς επενδύσεις για τη δημιουργία ισχυρότερων πλεγμάτων ασφαλείας.
Δεν έχουμε πλήρη εικόνα της καταστροφής
Στην ομιλία του με τίτλο: «Cyber Security Framework – Προειδοποίηση, ανίχνευση και αντιμετώπιση κυβερνοεπιθέσεων», ο Θωμάς Δομπρίδης, Γενικός Διευθυντής Επιχειρησιακού Σχεδιασμού, Εθνική Αρχή Κυβερνοασφάλειας – Υπουργείο Ψηφιακής Διακυβέρνησης, εστίασε στην ηθική υποχρέωση που έχει κάθε χώρα απέναντι στους πολίτες της για την οχύρωση της ψηφιακής τους ασφάλειας.
«Υπάρχει νομοθέτηση σχεδίων έκτακτης ανάγκης, αποτίμησης κινδύνων και αντιμετώπισης των προβλημάτων, ωστόσο το ανησυχητικό στοιχείο είναι όπως ότι δεν έχουμε πλήρη εικόνα του μεγέθους των κυβερνοαπειλών γιατί συνήθως μαθαίνουμε μόνο τα μεγάλα περιστατικά» δήλωσε χαρακτηριστικά.
Από την πλευρά του ο Χρήστος Ξενάκης, Καθηγητής Κυβερνοασφάλειας, Πανεπιστήμιο Πειραιά αναφέρθηκε στην κακή χρήση και τις ηθικές προεκτάσεις του ΑΙ και Gen AI, τονίζοντας πως, αυτή τη στιγμή, δε γνωρίζουμε με ποιον τρόπο επιλέγουν οι αλγόριθμοι τα δεδομένα και πώς τελικά τα επεξεργάζονται. Μεταξύ άλλων μίλησε για το AI ACT που αφορά την ασφαλή χρήση και την ηθική λειτουργία των αλγορίθμων τεχνητής νοημοσύνης.
«Η εφαρμογή του AI ACT αφορά, τόσο τους παρόχους, όσο και τους χρήστες, από τον ιδιωτικό και τον δημόσιο τομέα. Θα πρέπει να βρεθεί μία ισορροπία μεταξύ καινοτομίας και ρυθμιστικού πλαισίου. Αυτή θα είναι η μεγαλύτερη πρόκληση τα επόμενα χρόνια».
