Η Αγγελική Δέλγα, Senior Manager στο Τμήμα Υπηρεσιών Κυβερνοασφάλειας και Ιδιωτικότητας της EY Ελλάδος, μιλάει στο Infocom για το ζήτημα της κυβερνοασφάλειας και τις σημαντικότερες απειλές που έχουν κάνει την εμφάνιση τους, σημειώνοντας πως «παρατηρείται μία γενική αύξηση των κυβερνοεπιθέσεων» και τονίζοντας ότι «οι επενδύσεις των επιχειρήσεων για την ενίσχυση της κυβερνοασφάλειάς τους, έχουν πλέον αυξηθεί».
Πώς διαμορφώνεται, αυτή τη στιγμή, το τοπίο στον τομέα της κυβερνοασφάλειας στην Ελλάδα; Ποιες οι προκλήσεις και ποιες οι προοπτικές;
Το τελευταίο διάστημα, παρατηρείται μία γενική αύξηση των κυβερνοεπιθέσεων, με στόχο επιχειρήσεις οι οποίες υποστηρίζουν κρίσιμες, και μη, υποδομές. Παράλληλα, ιδιωτικοί και δημόσιοι οργανισμοί στην Ελλάδα, ιδιαίτερα στο πλαίσιο του Εθνικού Σχεδίου «Ελλάδα 2.0», προχωρούν με γρήγορους ρυθμούς σε σημαντικές ενέργειες με στόχο τον ψηφιακό μετασχηματισμό τους.
Τα ανωτέρω, σε συνδυασμό με την ταχύτατη εμφάνιση και υιοθέτηση νέων τεχνολογιών, οι οποίες, ωστόσο βρίσκονται, ακόμα σε πρώιμο στάδιο, όπως, για παράδειγμα, η τεχνητή νοημοσύνη (AI), η μηχανική μάθηση (machine learning) και το blockchain, εισάγουν σημαντικές προκλήσεις στη διαχείριση της κυβερνοασφάλειας.
Σε αυτό το περιβάλλον, οι επιχειρήσεις προχωρούν σε ολοένα και σημαντικότερες επενδύσεις, προκειμένου να προσαρμοστούν αποτελεσματικότερα στις νέες προκλήσεις και απαιτήσεις που απορρέουν από τις σχετικές εξελίξεις, ενώ, παράλληλα, ενισχύεται σημαντικά και το νομοθετικό και κανονιστικό πλαίσιο κυβερνοασφάλειας, με την εισαγωγή σχετικών νομοσχεδίων, κανονισμών και οδηγιών, όπως, για παράδειγμα, το Digital Operational Resilience Act (DORA) και η Οδηγία NIS 2.
Μάλιστα, η κανονιστική συμμόρφωση αναδεικνύεται σε μία δύσκολη «άσκηση» για τις ελληνικές επιχειρήσεις, καθώς, σύμφωνα με πρόσφατη μελέτη της EY Ελλάδος και της Microsoft, πάνω από τις μισές (54%) επιχειρήσεις του δείγματος αναφέρουν ότι ο διαχειριστικός χρόνος και τα έξοδα για τη διασφάλιση της συμμόρφωσης με τους κανονισμούς αποτελούν επιβάρυνση για την επιχείρηση.
Ποιες οι σημαντικότερες κυβερνοαπειλές που αντιμετωπίζουν οι επιχειρήσεις; Ποια τα trends; Έχει αυξηθεί ο αριθμός και ο αντίκτυποός τους;
Οι κυβερνοαπειλές και οι σχετικές κυβερνοεπιθέσεις, έχουν αυξηθεί σημαντικά τα τελευταία χρόνια, τόσο από άποψη αριθμού, όσο και από άποψη σοβαρότητας του αντικτύπου τους. Οι σημαντικότερες κυβερνοαπειλές, αυτή τη στιγμή, είναι οι επιθέσεις ransomware και οι επιθέσεις phishing, ειδικά ως αποτέλεσμα της πανδημίας και της στροφής πολλών οργανισμών και επιχειρήσεων προς την τηλεργασία.
Σύμφωνα με έκθεση της Checkpoint, 1 στις 31 επιχειρήσεις παγκοσμίως, είχαν υποστεί κάποια επίθεση με ransomware κατά τους πρώτους τρεις μήνες του 2023, το οποίο αποτελεί αύξηση 15% σε σχέση με την αντίστοιχη περίοδο του 2022. Παράλληλα, μελέτη της Zscaler δείχνει ότι οι επιθέσεις από phishing campaigns αυξήθηκαν κατά 47,2% το 2022, σε ετήσια βάση.
Οι τελευταίες, αποτελούν πλέον τους πιο συνηθισμένους κόμβους μέσω των οποίων ο εκάστοτε επιτιθέμενος αποκτά αρχική πρόσβαση σε μία επιχείρηση, εκμεταλλευόμενος την εφοδιαστική αλυσίδα. Ειδικότερα, σύμφωνα με την έκθεση της Anchore για το 2022, τα περιστατικά παραβίασης δεδομένων τα οποία προήλθαν από επιθέσεις σε εφοδιαστικές αλυσίδες επιχειρήσεων, είχαν αντίκτυπο σε περισσότερα από 10 εκατομμύρια άτομα, ενώ τρεις στις πέντε επιχειρήσεις έχουν πλέον δεχτεί κυβερνοεπιθέσεις στις εφοδιαστικές αλυσίδες τους.
Παράλληλα, το έγκλημα στον κυβερνοχώρο έχει πλέον διευκολυνθεί σε μεγάλο βαθμό, με την εμφάνιση της έννοιας «Κυβερνοέγκλημα-ως-Υπηρεσία» (Cybercrime-as-a-Service), καθώς και της έννοιας «Ηλεκτρονικό Ψάρεμα-ως-Υπηρεσία» (Phishing-as-a-Service). Βάσει αυτών, οποιοδήποτε κακόβουλο μέρος είναι διατεθειμένο να προκαλέσει ζημιά σε κάποια επιχείρηση ή οργανισμό, μπορεί να το καταφέρει, πληρώνοντας κυβερνοεγκληματίες σε κρυπτονόμισμα, για να προχωρήσουν στις αντίστοιχες ενέργειες, χωρίς το ίδιο να κατέχει την απαραίτητη τεχνογνωσία.
Τέλος, έχει σημειωθεί και αύξηση του αριθμού των κυβερνοεπιθέσεων με κρατική ανάμειξη (state-sponsored attacks), ενάντια σε κρίσιμες, αλλά και μη κρίσιμες, υποδομές άλλων κρατών.
Πόσο προετοιμασμένες είναι οι ελληνικές επιχειρήσεις, κάθε μεγέθους, για αυτό το νέο ψηφιακό τοπίο; Πραγματοποιούν τις επενδύσεις που απαιτούνται; Πού θα πρέπει να στρέψουν το ενδιαφέρον τους;
Πράγματι, οι επενδύσεις των επιχειρήσεων για την ενίσχυση της κυβερνοασφάλειάς τους, έχουν πλέον αυξηθεί, ενώ παρατηρείται ότι ακόμα και επιχειρήσεις σε τομείς που παραδοσιακά δεν επένδυαν σε αυτή, προχωρούν πλέον στις απαραίτητες ενέργειες.
Πρέπει να τονιστεί, φυσικά, και ο καταλυτικός ρόλος του GDPR σε αυτή τη θετική στροφή προς την κυβερνοασφάλεια. Ενώ μέχρι πρότινος, οι επενδύσεις των επιχειρήσεων πραγματοποιούνταν «after the fact» –δηλαδή, εφόσον είχαν πρώτα δεχτεί κάποια σημαντική κυβερνοεπίθεση, με αποτέλεσμα την παραβίαση δεδομένων– οι νομικές και κανονιστικές απαιτήσεις που απορρέουν από το GDPR, τις έχουν ωθήσει στην υιοθέτηση πιο ισχυρών πρακτικών κυβερνοασφάλειας.
Σε αυτό το πλαίσιο, και με στόχο την επίτευξη μεγαλύτερης ωριμότητας στο επίπεδο της κυβερνοασφάλειας, οι επιχειρήσεις πρέπει να υιοθετήσουν μία «risk-based» προσέγγιση, δηλαδή να προσδιορίσουν τις κατάλληλες δράσεις, με βάση τόσο τις λειτουργικές ανάγκες, όσο και τις απαιτήσεις κυβερνοασφάλειας, οι οποίες απορρέουν από τους σχετικούς πραγματικούς κινδύνους. Αυτό, φυσικά, προϋποθέτει ισχυρή δέσμευση από την πλευρά της διοίκησης για βελτίωση των δυνατοτήτων κυβερνοασφάλειας, εξασφαλίζοντας, παράλληλα, τους κατάλληλους πόρους και τη χάραξη μίας εμπεριστατωμένης στρατηγικής κυβερνοασφάλειας.
Ποιες οι ευκαιρίες καριέρας που προσφέρει ο τομέας της κυβερνοασφάλειας στην Ελλάδα: Ποια η ζήτηση που υπάρχει για ταλέντα και ποια τα skills που απαιτούνται;
Ο τομέας της κυβερνοασφάλειας στην Ελλάδα, θα λέγαμε, είναι ακόμα ένα «work in progress». Καθώς οι επιχειρήσεις προχωρούν με γρήγορους ρυθμούς στην υλοποίηση νέων απαιτητικών τεχνολογιών, υπάρχει αντίστοιχα μεγάλη ζήτηση για ταλέντα τα οποία θα μπορέσουν να τις υποστηρίξουν στις προκλήσεις.
Βάσει σχετικής έρευνας της Cybersecurity Ventures, αυτή τη στιγμή, υπάρχει 0% ανεργία στον κλάδο της κυβερνοασφάλειας παγκοσμίως. Αυτό φυσικά οφείλεται και στο γεγονός ότι υφίστανται πολλά career paths τα οποία μπορεί κάποιος να ακολουθήσει, με πολλές και διαφορετικές απαιτήσεις – από το πιο τεχνικό κομμάτι του ethical hacking και engineering, μέχρι το πιο στρατηγικό κομμάτι της συμμόρφωσης και της διακυβέρνησης.
Ειδικά για τη συμμόρφωση, το έλλειμμα σε εξειδικευμένο ανθρώπινο κεφάλαιο είναι σημαντικό στη χώρα μας, με οκτώ στις δέκα επιχειρήσεις να αναφέρουν ότι είναι δύσκολο να βρουν τους κατάλληλους ανθρώπινους πόρους για την αποτελεσματική αντιμετώπιση των προκλήσεων συμμόρφωσης, όπως έδειξε και η μελέτη που παρουσίασαν από κοινού η EY Ελλάδος με τη Microsoft τον Ιούνιο.
Ως εκ τούτου, πέρα από τις αμιγώς τεχνικές ή πρακτικές δεξιότητες τις οποίες μπορεί να αποκτήσει κάποιος μέσω σχετικής εξειδίκευσης, ο κλάδος χρειάζεται άτομα τα οποία, πρωτίστως, έχουν το πάθος και τη θέληση να ασχοληθούν με την κυβερνοασφάλεια σε οποιαδήποτε διάσταση και να γίνουν οι επαγγελματίες κυβερνοασφάλειας του αύριο.
Ο κλάδος του cybersecurity είναι πολυδιάστατος και απαιτεί στελέχωση από άτομα πολλών διαφορετικών backgrounds, για να υποστηρίξουν το προαναφερθέν τεχνικό κομμάτι, το κομμάτι της διακυβέρνησης, της συμμόρφωσης και της υλοποίησης. Έτσι, η σημαντικότερη δεξιότητα, είναι το έντονο ενδιαφέρον στον ευρύτερο χώρο του cyber και η θέληση να ανακαλύψει κανείς το κομμάτι, ή τα κομμάτια, τα οποία τον ή την αντιπροσωπεύουν.
Υπάρχει αυτή τη στιγμή ίση αντιπροσώπευση των γυναικών στον χώρο της κυβερνοασφάλειας; Υπάρχουν στατιστικά στοιχεία; Ποιοι οι λόγοι για τους οποίους διαμορφώνεται αυτή η εικόνα;
Στην παρούσα φάση, υπάρχει σημαντική υποαντιπροσώπευση των γυναικών στον τομέα της κυβερνοασφάλειας. Συγκεκριμένα, βάσει στοιχείων του Cybersecurity Ventures, οι γυναίκες στελεχώνουν μόλις το 25% των θέσεων εργασίας κυβερνοασφάλειας παγκοσμίως, ενώ μόνο το 17% των εταιρειών της λίστας Fortune 500 έχουν ορίσει γυναίκα CISO.
Αυτή η υποαντιπροσώπευση, οφείλεται σε μεγάλο βαθμό στη λανθασμένη αντίληψη ότι ο κλάδος απευθύνεται αποκλειστικά σε άτομα με αμιγώς τεχνικό υπόβαθρο, στην έλλειψη εμπεριστατωμένης ενημέρωσης αναφορικά με τις ευκαιρίες τις οποίες προσφέρει ο κλάδος σε άτομα όλων των δεξιοτήτων, καθώς και στην έλλειψη γυναικείων προτύπων στον ευρύτερο χώρο της κυβερνοασφάλειας.
Στην EY, εργαζόμαστε ενεργά για την ενίσχυση της ίσης αντιπροσώπευσης των γυναικών και του ρόλου τους στον χώρο της κυβερνοασφάλειας και της τεχνολογίας, με πρωτοβουλίες, όπως το CyberSecurity Women’s Academy που «τρέχει» αυτή την περίοδο, σε συνεργασία με τη Microsoft και την Infolab.
Κλείνοντας, κοιτώντας προς το μέλλον, πώς θα διαμορφωθεί ο τομέας της κυβερνοασφάλειας τα επόμενα χρόνια; Ποιος ο ρόλος των νέων τεχνολογιών, τι θα πρέπει να προσέξουμε;
Ο τομέας της κυβερνοασφάλειας είναι άρρηκτα συνδεδεμένος με –και, σε μεγάλο βαθμό, εξαρτώμενος από– τις νέες τεχνολογίες, που κάνουν την εμφάνισή τους με ραγδαίους ρυθμούς. Η πολυπλοκότητα αυτών των τεχνολογικών εξελίξεων, οδηγεί σε ολοένα αυξανόμενες ανάγκες, καθώς οι επιχειρήσεις όλων των κλάδων και μεγεθών, πρέπει να προσαρμόζονται διαρκώς.
Η εκθετική υλοποίηση αυτών των τεχνολογιών, αν και αδιαμφισβήτητα διευκολύνει τις καθημερινές επιχειρησιακές λειτουργίες, εισάγει και νέες διαστάσεις κυβερνοασφάλειας. Τεχνολογίες, όπως το AI και το blockchain, αλλά και οι συσκευές IoT και το cloud computing, επιφέρουν πρόσθετες απειλές στο περιβάλλον των επιχειρήσεων και διευρύνουν το «attack surface» τους, αυξάνοντας την ευαλωτότητά τους σε νέες και πιο καταστροφικές επιθέσεις.