Η προστασία των κρίσιμων υποδομών δεν είναι πλέον μόνο θέμα φυσικής ασφάλειας. Η ενέργεια, οι τηλεπικοινωνίες, οι μεταφορές, τα λιμάνια, τα νοσοκομεία, το χρηματοπιστωτικό σύστημα, η ύδρευση και η δημόσια διοίκηση εξαρτώνται όλο και περισσότερο από ψηφιακά δίκτυα, λογισμικό, δεδομένα, αισθητήρες και υπηρεσίες cloud. Επομένως, μια κυβερνοεπίθεση δεν είναι απλώς ένα τεχνικό περιστατικό. Μπορεί να εξελιχθεί σε κρίση εθνικής ασφάλειας.
Για την Ελλάδα, το ζήτημα είναι ιδιαίτερα κρίσιμο. Η χώρα βρίσκεται σε γεωπολιτικά ευαίσθητη περιοχή, έχει έντονη νησιωτικότητα, σημαντικά λιμάνια, ενεργειακές διασυνδέσεις, τουρισμό μεγάλης κλίμακας και δημόσιες υπηρεσίες που ψηφιοποιούνται ταχύτατα. Αυτό σημαίνει ότι η κυβερνοασφάλεια πρέπει να αντιμετωπίζεται ως βασικός πυλώνας άμυνας και όχι ως υποστηρικτική λειτουργία της πληροφορικής.
Η πρώτη ψηφιακή ικανότητα που χρειάζεται η χώρα είναι η εθνική επίγνωση κατάστασης στον κυβερνοχώρο. Το κράτος πρέπει να γνωρίζει, σε σχεδόν πραγματικό χρόνο, ποιες απειλές στοχεύουν κρίσιμους φορείς και ποιες υπηρεσίες επηρεάζονται. Αυτό απαιτεί ισχυρά κέντρα επιχειρήσεων ασφαλείας, κοινά πρότυπα αναφοράς περιστατικών, ασφαλή ανταλλαγή πληροφοριών μεταξύ δημόσιου και ιδιωτικού τομέα και σαφείς διαδικασίες συντονισμού σε περίοδο κρίσης.
Η δεύτερη ικανότητα είναι η χαρτογράφηση των κρίσιμων ψηφιακών εξαρτήσεων. Δεν μπορεί να προστατευθεί κάτι που δεν έχει καταγραφεί. Η Ελλάδα χρειάζεται πλήρη εικόνα των πληροφοριακών συστημάτων, των βιομηχανικών συστημάτων ελέγχου, των παρόχων cloud, των τηλεπικοινωνιακών κόμβων, των προμηθευτών λογισμικού και των σημείων διασύνδεσης μεταξύ κρίσιμων τομέων. Η απογραφή αυτή πρέπει να είναι διαρκής και όχι περιστασιακή.
Η τρίτη ικανότητα είναι η ασφάλεια των επιχειρησιακών και βιομηχανικών συστημάτων, δηλαδή των OT και ICS υποδομών που στηρίζουν την ενέργεια, την ύδρευση, τις μεταφορές και τη βιομηχανία. Τα συστήματα αυτά συχνά έχουν παλαιότερο εξοπλισμό και υψηλές απαιτήσεις διαθεσιμότητας. Χρειάζονται διαχωρισμό δικτύων, έλεγχο πρόσβασης, ασφαλή απομακρυσμένη διαχείριση, εφεδρικά σενάρια λειτουργίας και τακτικές ασκήσεις αποκατάστασης.
Η τέταρτη ικανότητα είναι η ανθεκτικότητα από τον σχεδιασμό. Η χώρα δεν πρέπει να σχεδιάζει με την υπόθεση ότι κάθε επίθεση θα αποτρέπεται. Πρέπει να σχεδιάζει ώστε, ακόμη και όταν μια επίθεση πετύχει, η ζημιά να περιορίζεται. Αυτό σημαίνει ισχυρή ταυτοποίηση, πολυπαραγοντική αυθεντικοποίηση, αρχές μηδενικής εμπιστοσύνης, ελάχιστα αναγκαία δικαιώματα πρόσβασης, κρυπτογράφηση, αντίγραφα ασφαλείας και σχέδια επιχειρησιακής συνέχειας.
Η πέμπτη ικανότητα είναι η ασφάλεια της τεχνολογικής εφοδιαστικής αλυσίδας. Οι κρίσιμες υποδομές εξαρτώνται από προμηθευτές, εργολάβους, λογισμικό τρίτων και εξωτερικές υπηρεσίες. Κάθε δημόσια ή ιδιωτική σύμβαση που αφορά κρίσιμη υπηρεσία πρέπει να περιλαμβάνει σαφείς απαιτήσεις κυβερνοασφάλειας, δικαίωμα ελέγχου, υποχρέωση αναφοράς περιστατικών και διαδικασίες διαχείρισης ευπαθειών.
Εξίσου σημαντική είναι η επένδυση στο ανθρώπινο δυναμικό. Η Ελλάδα χρειάζεται ειδικούς στην ασφάλεια δικτύων, στο cloud, στα βιομηχανικά συστήματα, στην ανάλυση κακόβουλου λογισμικού, στην ψηφιακή εγκληματολογία και στη διαχείριση κρίσεων. Χρειάζεται επίσης στελέχη διοίκησης που αντιλαμβάνονται τον κυβερνοκίνδυνο ως επιχειρησιακό και εθνικό κίνδυνο.
Τέλος, η χώρα πρέπει να αξιοποιήσει την τεχνητή νοημοσύνη με ρεαλισμό. Η TN μπορεί να βοηθήσει στην ανίχνευση ανωμαλιών, στην ανάλυση απειλών και στην ιεράρχηση ευπαθειών. Ταυτόχρονα, όμως, μπορεί να χρησιμοποιηθεί και από αντιπάλους για phishing, παραπληροφόρηση, αυτοματοποιημένες επιθέσεις και deepfakes. Άρα χρειάζεται ανθρώπινη εποπτεία, κανόνες χρήσης και θεσμικός έλεγχος.
Η κυβερνοανθεκτικότητα των κρίσιμων υποδομών είναι πλέον μορφή εθνικής αποτροπής. Μια χώρα που εντοπίζει έγκαιρα τις απειλές, αντέχει πλήγματα, αποκαθιστά γρήγορα τις υπηρεσίες της και συνεχίζει να λειτουργεί μέσα στην κρίση, μειώνει την αξία κάθε επίθεσης εναντίον της. Για την Ελλάδα, η ψηφιακή άμυνα δεν είναι μελλοντική επιλογή. Είναι άμεση προϋπόθεση ασφάλειας, κυριαρχίας και κοινωνικής συνέχειας.
Γράφει ο Αθανάσιος Στάβερης-Πολυκαλάς, AI & Cybersecurity Specialist
Το άρθρο δημοσιεύθηκε στο περιοδικό InfoCom
