Για τη νέα εποχή εξελιγμένων και δυνητικά πιο καταστροφικών επιθέσεων στον κυβερνοχώρο, που εισάγεται πλέον με τη χρήση της τεχνητής νοημοσύνης, καθιστώντας κατά συνέπεια τους οργανισμούς εκτεθειμένους σε σημαντικούς κινδύνους, μιλούν στο "Forbes" ο Παναγιώτης Παπαγιαννακόπουλος και ο Βασίλης Μαρίτσας, εταίροι της EY Ελλάδος που εξειδικεύονται σε θέματα κυβερνοασφάλειας
Συνέντευξη στη Ματίνα Χαρκοφτάκη
- Τι καθιστά την κυβερνοασφάλεια τόσο κρίσιµη για τις επιχειρήσεις; Πώς µπορεί να επηρεάσει τη λειτουργία τους;
Στην ψηφιακή εποχή που διανύουµε η κυβερνοασφάλεια είναι πιο σηµαντική από ποτέ. Tόσο η ολοένα αυξανόµενη εξάρτηση από την τεχνολογία και η υιοθέτηση νέων τεχνολογικών λύσεων όσο και η συνεχής εξέλιξη των κυβερνοαπειλών σε πολυπλοκότητα και σε αριθµό καθιστούν τους οργανισµούς εκτεθειµένους σε σηµαντικούς κινδύνους. Ως εκ τούτου, η πρόληψη µέσω ισχυρών δικλίδων ασφαλείας κρίνεται πλέον απαραίτητη, καθώς µια ενδεχόµενη κυβερνοεπίθεση µπορεί να έχει σηµαντικές ή –σε ορισµένες περιπτώσεις– ακόµα και καταστροφικές συνέπειες για τις επιχειρήσεις.
Πιο συγκεκριµένα, εκτός από τις προφανείς άµεσες επιπτώσεις σε οικονοµικό επίπεδο –για παράδειγµα, από την επιβολή κάποιου διοικητικού προστίµου ή την καταβολή λύτρων σε περίπτωση ransomware και την απώλεια κερδών εξαιτίας της διακοπής της επιχειρησιακής λειτουργίας–, ενδέχεται, ακόµα, να επέλθουν και έµµεσες συνέπειες, µε πιο σηµαντική τον αντίκτυπο στη φήµη της εταιρείας.
Βεβαίως, οι κίνδυνοι στον κυβερνοχώρο δεν αφορούν µόνο τις επιχειρήσεις, αλλά και τον καθέναν από εµάς, ατοµικά. Ενδεικτικά, µε βάση τις προβλέψεις της Gartner για το 2025, οι επιτιθέµενοι θα µπορούν να χρησιµοποιούν τις κυβερνοεπιθέσεις ακόµα και για να προκαλούν ανθρώπινες απώλειες. Συνεπώς, η ανάγκη για ενίσχυση της κυβερνοάµυνας των επιχειρήσεων, αλλά και συνολικά, είναι πλέον επιτακτική.
- Με βάση τα δεδοµένα που έχετε στη διάθεσή σας, εκτιµάτε ότι πλέον οι διοικήσεις των εταιρειών έχουν συνειδητοποιήσει τη σηµασία της κυβερνοασφάλειας;
Αντίθετα µε παλαιότερα, η κυβερνοασφάλεια, ιδίως στην πλειονότητα των ψηφιακά ώριµων οργανισµών, αποτελεί πλέον βασικό κοµµάτι της ατζέντας της διοίκησης. Σε αυτό το πλαίσιο, αναδεικνύεται διαρκώς ως κρίσιµος παράγοντας κινδύνου αναφορικά µε την ανθεκτικότητα, τη φήµη και την κανονιστική συµµόρφωση των επιχειρήσεων.
Παράλληλα, ο ρόλος του υπευθύνου ασφάλειας έχει αναβαθµιστεί, σε πολλές περιπτώσεις, σε ανώτατου διοικητικού στελέχους –σε "C-level", δηλαδή–, όπως αυτός του Chief Information Security Officer (CISO). Λόγω αυτού, οι υπεύθυνοι ασφάλειας/CISOs µπορούν πλέον να εξασφαλίζουν ευκολότερα τους απαιτούµενους πόρους για να ανταποκρίνονται στις προκλήσεις του κυβερνοχώρου.
Ωστόσο έχουµε µπροστά µας αρκετό δρόµο ώστε να µειωθεί περαιτέρω το χάσµα µεταξύ της διοίκησης και των CISOs. Κλειδί προς αυτή την κατεύθυνση αποτελεί η βελτίωση της επικοινωνίας µεταξύ της ανώτατης διοίκησης και του CISO, που θα εξασφαλίσει ότι υπάρχει κοινή αντίληψη σε θέµατα κυβερνοασφάλειας. Έτσι, µπορεί να διασφαλιστεί ότι οι επιχειρησιακές προτεραιότητες και στρατηγικές ευθυγραµµίζονται µε τις ανάγκες ασφάλειας του οργανισµού.
- Ποιος είναι ο µέσος όρος των κεφαλαίων που µια επιχείρηση διοχετεύει ετησίως για την κυβερνοασφάλεια;
Είναι αδιαµφισβήτητο ότι οι επενδύσεις των επιχειρήσεων για την ενίσχυση της κυβερνοασφάλειάς τους έχουν πλέον αυξηθεί. Όπως αναδεικνύεται από την έρευνα της EY, 2023 Global Cybersecurity Leadership Insights Study, η µέση ετήσια δαπάνη των οργανισµών των ερωτηθέντων CISOs κυµαίνεται στα 35 εκατ. δολάρια. Αντίστοιχα, σύµφωνα µε πρόσφατα στοιχεία του International Data Corporation (IDC), οι δαπάνες κυβερνοασφάλειας θα παρουσιάσουν αύξηση 12,1% σε σχέση µε το 2022, φτάνοντας συνολικά τα 219 δισ. δολάρια, ενώ προβλέπεται ότι θα αγγίξουν τα 300 δισ. δολάρια το 2026.
Τα κεφάλαια, ωστόσο, ενδέχεται να διαφέρουν σηµαντικά µεταξύ των εταιρειών, λόγω διαφόρων χαρακτηριστικών τους, όπως ο κλάδος, το µέγεθος και η γεωγραφική θέση. Την ίδια στιγµή, παρατηρείται ότι ακόµα και επιχειρήσεις σε τοµείς οι οποίοι παραδοσιακά δεν επένδυαν στην κυβερνοασφάλεια προχωρούν πλέον στις απαραίτητες ενέργειες.
Παρ’ όλα αυτά, θα πρέπει να σηµειωθεί πως οι επενδύσεις από µόνες τους δεν διασφαλίζουν την επίτευξη ενός ικανοποιητικού επιπέδου προστασίας έναντι των κυβερνοαπειλών. Οι οργανισµοί θα πρέπει να προσεγγίζουν το ζήτηµα της κυβερνοασφάλειας ολιστικά, καθορίζοντας µία ενιαία στρατηγική, η οποία θα προβλέπει ευθυγράµµιση των αντίστοιχων απαιτήσεων ασφαλείας µε τους επιχειρησιακούς στόχους.
- Με τη χρήση της τεχνητής νοηµοσύνης, πόσο πιο επικίνδυνες και εξεζητηµένες µπορεί να γίνουν οι κυβερνοεπιθέσεις;
Στην εξελισσόµενη σφαίρα του κυβερνοπολέµου, η χρήση της τεχνητής νοηµοσύνης αλλάζει το σκηνικό, εισάγοντας µια νέα εποχή εξελιγµένων και δυνητικά πιο καταστροφικών επιθέσεων. Αξιοποιώντας την τεχνητή νοηµοσύνη, οι επιτιθέµενοι µπορούν αυτόνοµα να αναγνωρίσουν, να εκµεταλλευτούν, ακόµα και να δηµιουργήσουν, νέα τρωτά σηµεία (zero-day vulnerabilities) σε συστήµατα, διεξάγοντας κυβερνοεπιθέσεις σε µαζική κλίµακα, µε ακρίβεια και αποτελεσµατικότητα.
Από την ικανότητα της τεχνητής νοηµοσύνης να µιµείται τη συµπεριφορά των χρηστών και να προσαρµόζεται δυναµικά σε διαφορετικά πρωτόκολλα ασφάλειας, µέχρι τη δηµιουργία εξαιρετικά πειστικών deepfakes και την ενορχήστρωση σχολαστικά εξατοµικευµένων επιθέσεων ηλεκτρονικού ψαρέµατος (phishing), η τεχνητή νοηµοσύνη εξοπλίζει τους "εγκληµατίες" του κυβερνοχώρου µε εργαλεία για να εξαπατήσουν, να χειραγωγήσουν και να εκµεταλλευτούν ψηφιακά περιβάλλοντα και χρήστες.
Ωστόσο οφείλουµε να τονίσουµε ότι η τεχνητή νοηµοσύνη δεν είναι µόνο ένας καταλύτης για τις απειλές στον κυβερνοχώρο. Είναι και ένα κρίσιµο στοιχείο για την ενίσχυση της άµυνας σε αυτόν, επιφορτισµένη µε την έγκαιρη αναγνώριση και εξουδετέρωση απειλών. Ως εκ τούτου, η ενσωµάτωση της τεχνητής νοηµοσύνης στις διεργασίες κυβερνοασφάλειας συνοψίζει το παράδοξο της τεχνολογικής εξέλιξης, καθώς αναδεικνύεται τόσο σε τροµερή απειλή όσο και σε απαραίτητο σύµµαχο.
- Πιστεύετε ότι χρειάζεται οι εργαζόµενοι µιας εταιρείας να ενηµερώνονται και να εκπαιδεύονται σε θέµατα κυβερνοασφάλειας;
Είναι σαφές ότι, για να αντιµετωπίσει κανείς αποτελεσµατικά τις κυβερνοαπειλές, πρέπει να επενδύσει και στον "αδύναµο κρίκο": τον άνθρωπο. Το ανθρώπινο λάθος εξακολουθεί να είναι η κύρια αιτία παραβιάσεων στον κυβερνοχώρο, ανεξάρτητα µε τις επιχειρησιακές επενδύσεις σε τεχνολογίες ασφάλειας. Οι ώριµοι οργανισµοί συνδυάζουν τα εργαλεία αυτοµατοποίησης και πρόληψης που διαθέτουν µε τη συστηµατική εκπαίδευση και ευαισθητοποίηση των εργαζόµενων, προάγοντας, έτσι, µια κουλτούρα κυβερνοασφάλειας. Επιπλέον, η ανάπτυξη ενός ισχυρού πλαισίου ασφάλειας, που περιλαµβάνει στοχευµένες πολιτικές και διαδικασίες που καθίστανται διαθέσιµες στους εργαζόµενους, θα µπορούσε να είναι µόνο µία από τις κινήσεις που ενισχύουν σε µεγάλο βαθµό την κυβερνοάµυνα.
Τέλος, επιτακτική για την υλοποίηση των παραπάνω είναι µια διοίκηση η οποία θα χαράσσει µια ολοκληρωµένη στρατηγική, βασισµένη στην αξιολόγηση του ρίσκου (risk-based), βοηθώντας τις επιχειρήσεις να δικαιολογήσουν τις επενδύσεις ασφάλειας που πραγµατοποιούν.
- Ποιες είναι µερικές από τις πιο κοινές προκλήσεις κυβερνοασφάλειας που αντιµετωπίζουν οι επιχειρήσεις;
Με βάση την έρευνα της EY, 2023 Global Cybersecurity Leadership Insights Study, η πιο κοινή πρόκληση που αντιµετωπίζουν οι επιχειρήσεις παγκοσµίως είναι το πολύ ευρύ, πλέον, φάσµα των πιθανών κυβερνοεπιθέσεων (attack surfaces). Αυτό σε µεγάλο βαθµό οφείλεται στη συνεχόµενη υιοθέτηση νέων τεχνολογιών (π.χ., Cloud, IoT). Συνολικά, το 53% των CISOs που συµµετείχαν στην έρευνα συµφωνούν ότι δεν υπάρχει ασφαλής περίµετρος στο σηµερινό ψηφιακό οικοσύστηµα. Επίσης, η ολοένα αυξανόµενη εξάρτηση από τρίτα µέρη καθιστά τις επιχειρήσεις ευάλωτες σε επιθέσεις στην εφοδιαστική αλυσίδα, οι οποίες αυξάνονται µε εκθετικό ρυθµό παγκοσµίως, ιδίως µετά την πανδηµία.
Τέλος, σε άλλο πλαίσιο, µία από τις βασικότερες προκλήσεις που αντιµετωπίζουν οι επιχειρήσεις, σε όλο τον κόσµο, αλλά και στην Ελλάδα, είναι η έλλειψη εξειδικευµένου ανθρώπινου δυναµικού. Ενδεικτικά, οκτώ στις δέκα επιχειρήσεις αναφέρουν ότι είναι δύσκολο να βρουν τους κατάλληλους ανθρώπινους πόρους, σύµφωνα µε πρόσφατη µελέτη της EY Ελλάδος µε τη Microsoft για το κανονιστικό και νοµικό τοπίο κυβερνοασφάλειας στη χώρα µας.