Ο Γιάννης Ιωαννίδης, Partner και Cyber Leader στη Deloitte Κύπρου, επισημαίνει ότι η κυβερνοασφάλεια έχει μετατραπεί από ένα καθαρά τεχνικό ζήτημα σε ένα στρατηγικό επιχειρηματικό κίνδυνο και αναλύει τα κρίσιμα λάθη που μπορεί να κοστίσουν ακριβά στους οργανισμούς.

Συνέντευξη στον Ξένιο Μεσαρίτη

Κανένας οργανισμός, ανεξαρτήτως μεγέθους ή κλάδου, δεν μπορεί πλέον να θεωρεί ότι βρίσκεται εκτός στοχάστρου κυβερνοεπιθέσεων. Όπως αναφέρει στο Economy Today ο Γιάννης Ιωαννίδης, οι απειλές εξελίσσονται με μεγάλη ταχύτητα, αξιοποιώντας ακόμη και Τεχνητή Νοημοσύνη, ενώ η πραγματική άμυνα δεν περιορίζεται στην τεχνολογία, αλλά απαιτεί συνδυασμό στρατηγικής, δομών και ανθρώπινης ετοιμότητας. Από τα supply chain attacks μέχρι τα κρίσιμα λάθη του πρώτου 24ώρου, η κυβερνοασφάλεια αναδεικνύεται σε ζήτημα διοίκησης, ευθύνης και εταιρικής κουλτούρας.

Πόσο προετοιμασμένοι είναι σήμερα οι oργανισμοί απέναντι σε επιθέσεις; 

Τα πρώτα περιστατικά επιθέσεων που αξιοποιούν Τεχνητή Νοημοσύνη, κυρίως phishing και deepfakes, έχουν ήδη καταγραφεί και με τον ρυθμό εξέλιξης της τεχνολογίας προβλέπεται αύξησή τους. Ενώ για το phishing υπάρχουν τεχνολογίες ανίχνευσης, για τα deepfake οι διαθέσιμες στο ευρύ κοινό τεχνολογίες για την ανίχνευσή τους δεν έχουν ακόμη φτάσει σε ώριμο επίπεδο. Σε κάθε περίπτωση, η τεχνολογία αποτελεί μόνο το πρώτο επίπεδο άμυνας και ο ανθρώπινος παράγοντας παραμένει κρίσιμος και για αυτό είναι απαραίτητη η συνεχής εκπαίδευση του ανθρώπινου δυναμικού, για τη διασφάλιση του απαιτούμενου επίπεδου γνώσης και ετοιμότητας.

Τα supply chain attacks είναι από τις πιο επικίνδυνες και αποτελεσματικές επιθέσεις. Στοχεύοντας πολλούς οργανισμούς ταυτόχρονα μέσω ευάλωτων σημείων σε συνεργάτες ή προμηθευτές, οι οποίοι πιθανότατα να μη διαθέτουν το ίδιο επίπεδο ασφάλειας ή τις απαραίτητες πολιτικές προστασίας που εφαρμόζει ο τελικός οργανισμός-στόχος, πολλαπλασιάζουν την έκταση και τον αντίκτυπο της επίθεσης. Είναι κρίσιμη η εκτενής αξιολόγηση όλων των συνεργατών και προμηθευτών, ειδικά για όσους έχουν πρόσβαση στο εσωτερικό περιβάλλον ή σε κρίσιμες υποδομές και δεδομένα ενός οργανισμού. Η αξιολόγηση αυτή πρέπει να περιλαμβάνει ελέγχους ασφάλειας, συμμόρφωση με πρότυπα και αξιολόγηση των διαδικασιών διαχείρισης κινδύνων. 

Η διαχείριση του κινδύνου δεν σταματά στην αρχική αξιολόγηση, αλλά απαιτεί συνεχή παρακολούθηση μέσα από εργαλεία παρακολούθησης και τακτική αναθεώρηση των δικαιωμάτων πρόσβασης.

Ποιος πρέπει να έχει την τελική ευθύνη για την κυβερνοασφάλεια; 

Η κυβερνοασφάλεια δεν μπορεί πλέον να αντιμετωπίζεται αποκλειστικά ως τεχνικό ζήτημα, αλλά ως κρίσιμος επιχειρηματικός κίνδυνος. Η πολυπλοκότητα και η διαρκής εξέλιξη των απειλών καθιστούν αναγκαία τη σαφή κατανομή ευθυνών και ρόλων εντός του oργανισμού, κάτι που συχνά είναι πολύπλοκο.

Το Διοικητικό Συμβούλιο φέρει την τελική λογοδοσία, καθώς είναι υπεύθυνο για τον καθορισμό του αποδεκτού επιπέδου ρίσκου και εγκρίνει τους απαραίτητους προϋπολογισμούς. Ο Chief Information Security Officer (CISO) είναι καθοριστικός καθώς έχει την επιχειρησιακή ευθύνη να σχεδιάσει και να υλοποιήσει ένα ολοκληρωμένο πλαίσιο ασφάλειας, συνδέοντας τη στρατηγική με την τεχνική εφαρμογή. Το Τμήμα Πληροφορικής (IT) είναι υπεύθυνο για την εφαρμογή των τεχνικών μέτρων που ορίζει ο CISO, διασφαλίζοντας την ασφαλή λειτουργία υποδομών και συστημάτων.

Είναι απαραίτητο ο CISO να εμπλέκεται ενεργά με τις εργασίες για την αποτελεσματική διαχείριση της κυβερνοασφάλειας, συνδυάζοντας τεχνικές λύσεις με οργανωτικές πρακτικές και τον ανθρώπινο παράγοντα. 

Η απουσία σαφούς ρόλου CISO μπορεί να οδηγήσει σε σημαντικά κενά, όπως η έλλειψη συστηματικών αξιολογήσεων κινδύνων, η εφαρμογή ασύνδετων ή ανεπαρκών μέτρων ασφαλείας και η μη ευθυγράμμιση με τις προτεραιότητες και ανάγκες του οργανισμού. Επιπλέον, η απουσία CISO μπορεί να δημιουργήσει κενά που θέτουν τον oργανισμό σε κίνδυνο και αυξάνει την πιθανότητα επιθέσεων, αφού ο οργανισμός γίνεται πιο ευάλωτος σε ανθρώπινα λάθη, κακή διαχείριση δικαιωμάτων πρόσβασης και έλλειψη σαφών κατευθυντήριων γραμμών.

Τι θα λέγατε σε έναν οργανισμό που πιστεύει ότι «δεν αποτελεί στόχο» κυβερνοεπίθεσης; 

Η πεποίθηση αυτή είναι μια επικίνδυνη ψευδαίσθηση και δεν υπάρχει λόγος επανάπαυσης. Η εμπειρία μάς έχει δείξει ότι ο κάθε οργανισμός, ανεξαρτήτως μεγέθους ή φήμης, μπορεί να αποτελέσει στόχο και να βρεθεί στο επίκεντρο μιας κυβερνοεπίθεσης με διάφορους τρόπους:

• Απευθείας στόχος για οικονομικό κέρδος, ή/και για τη διατάραξη της λειτουργίας του.
• Ευκαιριακός στόχος λόγω ευκαιριακών παραγόντων, όπως η ύπαρξη μιας ευπάθειας που ανακαλύφθηκε από τους επιτιθέμενους, χωρίς να είναι ο αρχικός ή κύριος στόχος τους.
• Ενδιάμεσος στόχος όπου ο οργανισμός χρησιμοποιείται ως μέσο πρόσβασης στον τελικό στόχο, με τον οποίο συνεργάζεται.

Η προετοιμασία και η λήψη κατάλληλων μέτρων ασφάλειας είναι απαραίτητες, καθώς οι επιτιθέμενοι συχνά εκμεταλλεύονται αδύναμα σημεία σε συνεργάτες ή μικρότερους οργανισμούς για να φτάσουν στον τελικό στόχο.

Ποια είναι η πιο συχνή ψευδαίσθηση που συναντάτε σε επιχειρήσεις σχετικά με το επίπεδο προστασίας τους; 

Η πιο συχνή ψευδαίσθηση είναι η υπερβολική εμπιστοσύνη στα εργαλεία και τις τεχνολογίες που έχουν ήδη εγκαταστήσει ή που σκοπεύουν να εγκαταστήσουν. Πολλοί θεωρούν ότι η απλή εγκατάσταση τεχνολογίας είναι αρκετή για να διασφαλίσει την ασφάλειά τους, παραβλέποντας όμως την ανάγκη για συνεχή επίβλεψη, διαρκή ενημέρωση και προσαρμογή όπου απαιτείται για να παραμείνουν αποτελεσματικά τα μέτρα προστασίας.

Ενώ η τεχνολογία είναι μεν βασικός πυλώνας η πραγματική ασφάλεια απαιτεί μια ολιστική προσέγγιση που συνδυάζει τεχνολογία, οργανωτική δομή με σαφείς πολιτικές και διαδικασίες, συνεχή εκπαίδευση του προσωπικού και διαρκή αξιολόγηση και προσαρμογή των μέτρων, ώστε να διασφαλίζεται η ορθή χρήση και η αποτελεσματική διαχείριση των κινδύνων. Χωρίς αυτά, τα τεχνικά μέτρα μόνα τους μπορεί να γίνουν αναποτελεσματικά ή να αφήσουν κενά που οι επιτιθέμενοι μπορούν να εκμεταλλευτούν.

Στο πρώτο κρίσιμο 24ωρο ενός περιστατικού, πού γίνονται συνήθως τα πιο κοστοβόρα λάθη; 

Το πρώτο 24ωρο είναι εξαιρετικά σημαντικό για την αποτελεσματική διαχείριση, ειδικά σε περιπτώσεις κυβερνοεπιθέσεων που εξελίσσονται ραγδαία. Τα πιο κοστοβόρα λάθη προκύπτουν συνήθως από έλλειψη προετοιμασίας, δηλαδή απουσίας καταγεγραμμένων διαδικασιών αντιμετώπισης, μη-δομημένων σχεδίων δράσης και ασαφείς ρόλοι που προκαλούν σύγχυση για το ποιος κάνει τι. Αυτά οδηγούν σε καθυστέρηση στις λήψεις αποφάσεων με συνέπεια την καθυστέρηση στην αντιμετώπιση. 

Τι είδους υπηρεσίες προσφέρετε σε Επιχειρήσεις και οργανισμούς; 

Οι υπηρεσίες που παρέχουμε είναι αποκλειστικά συμβουλευτικές και καλύπτουν όλους τους τομείς της κυβερνοάμυνας. Εστιάζουμε στην αναγνώριση, εκτίμηση και διαχείριση κινδύνων κυβερνοασφάλειας, στην κανονιστική συμμόρφωση και στην παροχή ολοκληρωμένων εκπαιδευτικών προγραμμάτων για το προσωπικό. 
Συνεργαζόμαστε στενά με τους οργανισμούς για τον σχεδιασμό μιας ολιστικής στρατηγικής κυβερνοασφάλειας, η οποία περιλαμβάνει μεσοπρόθεσμα και μακροπρόθεσμα πλάνα. Στόχος είναι η αύξηση του επιπέδου ωριμότητας της ασφάλειας, διασφαλίζοντας ότι η κυβερνοασφάλεια ενσωματώνεται στις βασικές επιχειρησιακές διαδικασίες, ενισχύοντας έτσι τη βιώσιμη διαχείριση κινδύνων και την ανθεκτικότητα απέναντι στις εξελισσόμενες απειλές στον κυβερνοχώρο.

Maximos Plaza - Block 1, 3ος Όροφος, 
Αρχιεπισκόπου Μακαρίου Γ’ 213, Λεμεσός 3030
Τηλ: +357 25 868849
[email protected] 
www.deloitte.com/cy

ΔΙΑΒΑΣΤΕ ΑΚΟΜΑ

Κυβερνοασφάλεια: Η ανθεκτικότητα ξεκινά από τον άνθρωπο