Γ. Αλεξάκης: Πώς προετοιμάζεται η Ελλάδα για τη νέα «γενιά» κυβερνοαπειλών
- 10/07/2024, 12:33
- SHARE
Ζώντας σε μια εποχή που το ψηφιακό αποτύπωμα είναι εξίσου ισχυρό με το πραγματικό, οι προκλήσεις και οι απειλές για οργανισμούς και επιχειρήσεις, είναι πολλές, και εξαρτώνται συνήθως από το βαθμό «ελκυστικότητάς» τους για τους κυβερνοεγκληματίες. Θα έλεγε κανείς ότι αποτελούν συνάρτηση της αξίας των πληροφοριακών του αγαθών και του κινήτρου που έχει κάποιος επιτιθέμενος να δαπανήσει πόρους για να υλοποιήσει μια επιτυχή επίθεση.
Οι σημαντικότερες απειλές σήμερα φαίνεται να είναι αυτές που σχετίζονται με την εφοδιαστική αλυσίδα και τις εξαρτήσεις που υπάρχουν μεταξύ αλληλοσυνδεμένων πληροφοριακών συστημάτων, καθώς και η χρήση συστημάτων τα οποία δεν υποστηρίζονται επαρκώς ή δεν είναι ενημερωμένα με τις πλέον πρόσφατες ενημερώσεις ασφαλείας. Ταυτόχρονα, το τεράστιο έλλειμα σε ειδικούς κυβερνοασφάλειας εντείνει το πρόβλημα, ενώ συχνά συνοδεύεται από μειωμένη ευαισθητοποίηση στο σύνολο του προσωπικού, ακόμη και στην ανώτατη διοίκηση, για τα θέματα κυβερνοασφάλειας.
Ο Ιωάννης Αλεξάκης, Προϊστάμενος Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού, Εθνική Αρχή Κυβερνοασφάλειας, Υπουργείο Ψηφιακής Διακυβέρνησης μιλά στο Fortune και απαντά σε καίρια ερωτήματα που αφορούν στην καλύτερη προστασία των προσωπικών και εταιρικών μας δεδομένων, ενώ αναφέρεται στις κινήσεις που γίνονται σε θεσμικό επίπεδο για την επίτευξη αυτού του σκοπού.
Κύριε Αλεξάκη, μιλώντας για τρωτά σημεία στα συστήματα ή τα δίκτυά μας που ρίχνει αυτή τη στιγμή το μεγαλύτερο βάρος το Υπουργείο Ψηφιακής Διακυβέρνησης;
Το Υπουργείο Ψηφιακής Διακυβέρνησης από την πρώτη στιγμή της σύστασής του με τη νέα του μορφή το 2019 έχει αναδείξει την κυβερνοασφάλεια σε βασικό πυλώνα των δράσεων του. Αφενός προστατεύοντας επαρκώς τα συστήματα και τα δεδομένα ευθύνης του από πληθώρα απειλών, αφετέρου έχοντας την ευθύνη για την οργάνωση και συντονισμό ενός πλέγματος δρώντων, του δημόσιου και του ιδιωτικού τομέα, για την ενίσχυση της «κυβερνοανθεκτικότητας» της κρίσιμης σε εθνικό επίπεδο ψηφιακής υποδομής, από τις οποίες εξαρτάται η παροχή υπηρεσιών ζωτικής σημασίας για την ελληνική κοινωνία και την οικονομία. Απαιτείται μια συνολική στρατηγική αντιμετώπιση για ένα ζήτημα το οποίο είναι μεν τεχνικό στον πυρήνα του, πλην όμως σε εθνικό επίπεδο αποτελεί μια διακριτή, οριζόντια δημόσια πολιτική, που διατρέχει ένα σύνολο άλλων τομέων, από την εκπαίδευση και τις επενδύσεις έως την προστασία πτυχών της εθνικής ασφάλειας και της προστασίας των ατομικών δικαιωμάτων στον κυβερνοχώρο.
Το Υπουργείο κάνει σημαντικά βήματα για την ενίσχυση του επιπέδου κυβερνοασφάλειας των κρίσιμων υποδομών της χώρας: από τη θέσπιση και υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020 – 2025 έως και την πρόσφατη ίδρυση της Εθνικής Αρχής Κυβερνοασφάλειας, ως ανεξάρτητο νομικό πρόσωπο δημοσίου δικαίου, υπό την εποπτεία του Υπουργού Ψηφιακής Διακυβέρνησης με ρυθμιστικές, εποπτικές, επιχειρησιακές, τεχνικές και ελεγκτικές λειτουργίες. Σημαντικό βάρος δίνεται και στην υλοποίηση έργων κυβερνοασφάλειας που υλοποιούνται με την αξιοποίηση διαθέσιμων ευρωπαϊκών πόρων.
Η κυβερνοασφάλεια σε έναν οργανισμό εμπλέκει το σύνολο των υπαλλήλων του, με διαφορετικό βέβαια ρόλο και σε διαφορετικό βαθμό.
Ποιο είναι το σχέδιο αντιμετώπισης περιστατικών σε περίπτωση παραβίασης της ασφάλειας ή επίθεσης στον κυβερνοχώρο;
Σε επίπεδο οργανισμού, ένα σχέδιο αντιμετώπισης περιστατικών πρέπει να καθορίζει συγκεκριμένα πρόσωπα και εσωτερικές δομές, να αναθέτει συγκεκριμένους ρόλους και ευθύνες, καθώς και την υλοποίηση ενεργειών, με στόχο την ανίχνευση του περιστατικού, την ανάλυσή του, την απομόνωση της μόλυνσης από το υπόλοιπο δίκτυο, την εξάλειψή της, καθώς και την ανάκαμψη των επιχειρηματικών λειτουργιών. Μέρος του σχεδίου περιλαμβάνει τη γνωστοποίηση και την αναφορά του περιστατικού στην ΕΑΚ, με στόχο την παροχή συνδρομής και την ανταλλαγή χρήσιμων πληροφοριών για την αντιμετώπιση του περιστατικού. Σε επίπεδο χώρας, αντίστοιχα, πρέπει να καθορίζονται τα καθήκοντα και οι αρμοδιότητες των εθνικών αρμόδιων αρχών, οι διαδικασίες διαχείρισης κρίσεων και δίαυλοι ανταλλαγής πληροφοριών, τα μέτρα ετοιμότητας, συμπεριλαμβανομένων των ασκήσεων και δραστηριοτήτων κατάρτισης. Ήδη τον προηγούμενο μήνα η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) συμμετείχε ενεργά στην πανευρωπαϊκη άσκηση “Cyber Europe 2024” και συντόνισε δεκάδες κρίσιμες υποδομές της χώρας στην αντιμετώπιση σεναρίων εξελιγμένων κυβερνοεπιθέσεων, δοκιμάζοντας στην πράξη τα μέτρα ετοιμότητας και αντλώντας πολύ σημαντικά συμπεράσματα.
Στην αλυσίδα της ψηφιακής ασφάλειας ο πιο αδύναμος κρίκος είναι ο άνθρωπος. Δεν είναι μόνο οι υποδομές που πλήττονται αλλά και η εταιρική φήμη σε περίπτωση ανθρώπινου λάθους. Είναι επαρκώς καταρτισμένοι οι εργαζόμενοι των ελληνικών εταιρειών σε θέματα κυβερνοασφάλειας;
Η κυβερνοασφάλεια σε έναν οργανισμό εμπλέκει το σύνολο των υπαλλήλων του, με διαφορετικό βέβαια ρόλο και σε διαφορετικό βαθμό. Ιδίως κρίσιμες και ευαίσθητες υποδομές, όπως για παράδειγμα στον χώρο των τραπεζών, της ενέργειας, των τηλεπικοινωνιών, εταιριών τεχνολογίας κ.λπ., υπάρχει ένα ικανοποιητικό επίπεδο ευαισθητοποίησης. Ωστόσο, επειδή το τοπίο απειλών στον κυβερνοχώρο είναι εξαιρετικά δυναμικό, πρόκειται για μια προσπάθεια που είναι διαρκής και αποτελεί μια σημαντική ευθύνη της ανώτατης διοίκησης κάθε επιχείρησης να μεριμνά, τόσο για την ευαισθητοποίηση του συνόλου του προσωπικού της, όσο και για την παροχή εξειδικευμένης εκπαίδευσης στο προσωπικό πληροφορικής, τους διαχειριστές, τους υπεύθυνους κυβερνοασφάλειας.
Παρατηρείται, ωστόσο, ένα διαφορετικό επίπεδο ωριμότητας μεταξύ των επιχειρήσεων, μέχρι και μεταξύ ολόκληρων τομέων. Ιδίως στο χώρο της υγείας, αλλά και στο δημόσιο τομέα παρατηρείται μεγαλύτερη έλλειψη τέτοιου τύπου κατάρτισης και πρέπει να αναληφθούν περισσότερες δράσεις.
Τι τάξεως είναι ο προϋπολογισμός που διατίθεται από την πλευρά του Υπουργείου για πρωτοβουλίες στον κυβερνοχώρο και πώς αναμένεται να δαπανηθεί τα επόμενα χρόνια;
Το Υπουργείο Ψηφιακής Διακυβέρνησης παράλληλα με το πρόγραμμα ψηφιακού μετασχηματισμού της χώρας, επενδύει αντίστοιχα στην ενίσχυση της κυβερνοανθεκτικότητας, ακολουθώντας έναν συγκεκριμένο επενδυτικό προγραμματισμό για την υλοποίηση των στρατηγικών στόχων και του σχεδίου δράσης της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020-2025. Στο πλαίσιο αυτό αξιοποιούνται πόροι ευρωπαϊκοί και εθνικοί, ιδίως από προγράμματα, όπως το Digital Europe Program, Connecting Europe Facility, Horizon 2020, Horizon Europe, το Ταμείο Ανάκαμψης. Ως τάξη μεγέθους, ήδη η ΕΑΚ συμμετέχει στην υλοποίηση ευρωπαϊκών προγραμμάτων και έργων που υπερβαίνουν τα 50 εκ. ευρώ και αυτό είναι μόνο ένα μέρος του συνολικού προϋπολογισμού. Το αμέσως επόμενο διάστημα προτεραιότητα αποτελεί η ανάπτυξη του «ενοποιημένου κέντρου αναφοράς κυβερνοασφάλειας» στην ΕΑΚ, με στόχο την κάλυψη του συνόλου των κρίσιμων και ευαίσθητων υποδομών της χώρας.
Το ΑΙ χρησιμοποιείται και από τους αμυνόμενους και από τους επιτιθέμενους, είναι μία τεχνολογία που σιγά σιγά θα πρωταγωνιστήσει στο ψηφιακό τοπίο.
Υπάρχουν επαρκείς πόροι (π.χ. προσωπικό, εξοπλισμός, λογισμικό) για την εφαρμογή και τη διατήρηση της στρατηγικής κυβερνοασφάλειας;
Η εξεύρεση προσωπικού με εξειδικευμένες γνώσεις κυβερνοασφάλειας αναδεικνύεται ως “critical success factor” αυτή τη στιγμή. Είναι πρόβλημα διεθνές, ευρωπαϊκό, προφανώς επηρεάζει και τη χώρα μας και τις ελληνικές επιχειρήσεις. Εκτιμάται ότι αυτή τη στιγμή το έλλειμα σε ειδικούς διαφόρων ειδικοτήτων πανευρωπαϊκά ανέρχεται σε 500.000, ενώ έχει έντονα αυξητικές τάσεις. Απαιτείται επένδυση στο re-skilling και up-skilling του εργατικού δυναμικού, με έμφαση στις μεταπτυχιακές σπουδές, στα προγράμματα επιμόρφωσης και σε αντίστοιχες πιστοποιήσεις σε εξειδικευμένα πεδία της κυβερνοασφάλειας (όπως ISMS trainings, penetration test, digital forensics, malware analysis κ.α.). Μια πολύ σημαντική πρωτοβουλία που αναπτύσσεται σε ευρωπαϊκό επίπεδο και στην οποία η χώρα μας πρωτοστατεί, είναι η υλοποίηση της Cybersecurity Skills Academy, προκειμένου η ΕΕ συνολικά να αντιμετωπίσει αυτό το πρόβλημα, που επηρεάζει όλα τα κράτη μέλη, και απαιτεί συντονισμένη δράση.
Το ΑΙ είναι ευλογία ή κατάρα στον κυβερνοχώρο; Θα βρίσκονται οι hackers πάντα ένα βήμα μπροστά;
Ναι, παραδοσιακά, και ανεξαρτήτως τεχνολογίας, οι hackers βρίσκονται πάντα ένα βήμα μπροστά από τους αμυνόμενους. Το ΑΙ χρησιμοποιείται και από τους αμυνόμενους και από τους επιτιθέμενους, είναι μία τεχνολογία που σιγά σιγά θα πρωταγωνιστήσει στο ψηφιακό τοπίο. Τα πάντα, σε σύντομο χρόνο θα είναι “AI-driven” και είναι βέβαιο ότι τα παιδιά μας θα ζήσουν σε έναν πολύ διαφορετικό και πολύ πιο συναρπαστικό κόσμο από τον δικό μας.
Ωστόσο, οι hackers είναι εκείνοι που ανακαλύπτουν και εφαρμόζουν καινοφανείς τεχνικές επίθεσης και εν συνεχεία η ερευνητική κοινότητα και οι εταιρείες τεχνολογίας υλοποιούν τα αντίστοιχα αμυντικά μέσα. Πρόκειται για έναν διαρκή «αγώνα», καθώς προϋπόθεση για να αντλήσουμε τα οφέλη της τεχνολογίας, είναι η ανάπτυξη ενός περιβάλλοντος ασφάλειας και εμπιστοσύνης, με σεβασμό των ατομικών δικαιωμάτων και διασφάλισής τους έναντι νέων προκλήσεων και απειλών.
Είστε ικανοποιημένος από το επίπεδο ψηφιακού μετασχηματισμού της Ελλάδας; Που βρισκόμαστε συγκριτικά με άλλες ευρωπαϊκές χώρες;
Η Ελλάδα τα τελευταία χρόνια έχει κάνει σημαντικά βήματα στο πεδίο του ψηφιακού μετασχηματισμού και στο δημόσιο και στον ιδιωτικό τομέα. Ιδίως στο δημόσιο τομέα, όπου η ψηφιοποίηση πρέπει να συνοδεύεται από απλούστευση των διαδικασιών και μείωση των διοικητικών βαρών, ορισμένες φορές απαιτείται τεράστια προσπάθεια που συχνά δεν είναι ορατή στο ευρύ κοινό, καθώς αφορά back-office λειτουργίες. Υπάρχουν μάλιστα περιπτώσεις, όπως η εμβολιαστική κάλυψη του πληθυσμού στην περίοδο του κορονοϊού, όπου η Ελλάδα βρέθηκε να πρωτοστατεί διεθνώς. Ασφαλώς πρέπει να έχουμε επίγνωση ότι ξεκινήσαμε αργά και από χαμηλά, καθώς και ότι ο κόσμος δεν μένει στάσιμος: δεν αρκεί να κάνουμε βήματα, πρέπει τα βήματά μας να είναι γρηγορότερα και μεγαλύτερα των άλλων. Πλέον η Ελλάδα, τουλάχιστον τα τελευταία έτη, υλοποιεί με στρατηγική προσέγγιση ένα ολοκληρωμένο πλάνο, τόσο για τον ψηφιακό μετασχηματισμό της όσο και για την ασφάλεια των εν λόγω συστημάτων και αυτό αντικατοπτρίζεται και στους διεθνείς δείκτες.
Το 2023 το κόστος από τις κυβερνοεπιθέσεις σε παγκόσμιο επίπεδο ανερχόταν σε 10 τρις δολάρια και οι εκτιμήσεις κάνουν λόγο ότι μέσα σε δύο χρόνια, το 2025, θα έχει διπλασιαστεί, αγγίζοντας τα 20 τρισ. Δολάρια. Υπάρχει τρόπος να ανατραπούν τα παραπάνω δεδομένα;
Πρόκειται για τη μεγαλύτερη πρόκληση και ίσως το δυσκολότερο εγχείρημα. Όπως το διαδίκτυο είναι ένα παγκόσμιο φαινόμενο, έτσι και η ασφάλεια στον κυβερνοχώρο απαιτεί διακρατικές συνεργασίες, οι οποίες είναι εφικτές μόνο σε πλαίσιο αμοιβαίας εμπιστοσύνης. Απαιτείται εναρμόνιση στο επίπεδο του ποινικού δικαίου, της δικονομίας, της αστυνομικής και δικαστικής συνεργασίας, τόσο σε διμερές όσο και σε πολυμερές επίπεδο, στο πλαίσιο διεθνών οργανισμών, όπως ο ΟΗΕ.
Πρώτα βήματα έχουν γίνει με τη Συνθήκη της Βουδαπέστης για το έγκλημα στον Κυβερνοχώρο, η οποία χρονολογείται από το 2001, αλλά υπάρχουν και αρκετές άλλες πρωτοβουλίες για τη διεθνή συνεργασία, τουλάχιστον μεταξύ κρατών που μοιραζόμαστε κοινές αντιλήψεις και αξίες, όπως είναι η Counter Ransomware Initiative, στην οποία μετέχει η χώρα μας. Παράλληλα, είναι αναγκαίος ο σεβασμός των αρχών του διεθνούς δικαίου από τα κράτη και στον ψηφιακό κόσμο, όπως ισχύει και στον φυσικό κόσμο, κυρίως μέσω της εφαρμογής της αρχής της «υπεύθυνης συμπεριφοράς των κρατών» στον κυβερνοχώρο. Η διεθνής κοινότητα αλλά και περιφερειακά, στο πλαίσιο της Ε.Ε., του ΟΑΣΕ, του ΝΑΤΟ, του ASEAN, τα κράτη επιδιώκουν τη συνεργασία έναντι κοινών αντιπάλων, πλην όμως η παραγωγή του διεθνούς δικαίου είναι μια διαδικασία χρονοβόρα και απαιτεί κοινές προσεγγίσεις, που δεν πρέπει να θεωρούνται δεδομένες.
Δεδομένου ότι η ψηφιακή μας ταυτότητα τείνει να καταστεί συνώνυμη της πραγματικής, τι είναι αυτό που σας φοβίζει;
Η σχεδόν καθολική διάδοση των ψηφιακών συναλλαγών συνεπάγεται τη σταθερή μείωση των αντίστοιχων συναλλαγών με φυσική παρουσία. Ο μεγάλος κίνδυνος έχει να κάνει με την υποκλοπή ταυτότητας πολιτών από κυβερνοεγκληματίες, που μπορεί να έχει ως συνέπεια και την απώλεια μεγάλων χρηματικών ποσών. Περαιτέρω, η χρήση τεχνικών ΑΙ από κυβερνοεγκληματίες, όπως είναι τα deep fakes ή διάφορες εκστρατείες εξαπάτησης που ήδη λαμβάνουν χώρα κυρίως στα μέσα κοινωνικής δικτύωσης, ενέχουν ακόμα μεγαλύτερους κινδύνους, καθώς ενισχύεται περισσότερο η αίσθηση της αληθοφάνειας ψευδών εικόνων και video με σκοπό την εξαπάτηση. Είναι επίσης γνωστές οι προσπάθειες επηρεασμού της κοινής γνώμης δημοκρατικών κρατών ακόμη και σε εθνικές εκλογικές διαδικασίες. Ιδίως οι θεσμοί των χωρών του δημοκρατικού δυτικού κόσμου είναι περισσότερο ευάλωτοι έναντι απολυταρχικών καθεστώτων, τα οποία αξιοποιούν συστηματικά τα μέσα αυτά για να πετύχουν έως και γεωπολιτικούς στόχους.
Απέναντι στις προκλήσεις αυτές, δεν πρέπει να σταθούμε φοβικά, αλλά με αίσθημα ευθύνης. Σε ατομικό επίπεδο, πρέπει να λειτουργούμε στο ψηφιακό περιβάλλον χρησιμοποιώντας μέτρα «προσωπικής ψηφιακής υγιεινής» και να επαγρυπνούμε, ελέγχοντας την πηγή κάθε είδησης. Σε εθνικό επίπεδο, η πολιτεία πρέπει να λαμβάνει θετικά μέτρα, ώστε να μειωθεί το ψηφιακό χάσμα και να λαμβάνονται θετικά μέτρα για την ενεργό συμμετοχή όλων στις υπηρεσίες της κοινωνίας της πληροφορίας.