Ηλίας Χάντζος, Symantec: Ο κίνδυνος κυβερνοεπίθεσης σε μια ελληνική επιχείρηση «είναι πραγματικός»

Ως εκπρόσωπος της Symantec σε κυβερνητικούς οργανισμούς και επίσημες Αρχές, ποιος θα λέγατε ότι είναι ο βαθμός ετοιμότητας της ελληνικής πολιτείας απέναντι σε «χτυπήματα» σε κρίσιμες υποδομές;

Ο χαρακτηρισμός μιας υποδομής ως κρίσιμης έχει να κάνει με την λειτουργία της και την παραδοχή ότι εφόσον παρουσιαστεί πρόβλημα σε αυτή τότε οι συνέπειες για την ασφάλεια, ευημερία και ομαλή λειτουργία μιας χώρας/κοινωνίας/οικονομίας είναι ιδιαίτερα σοβαρές. Αυτό σημαίνει ότι υπάρχουν πολλές κρίσιμες υποδομές σε διαφορετικούς τομείς και με διαφορετικές ανάγκες ασφάλειας.

Για παράδειγμα, οι ανάγκες ασφάλειας μια συστημικής τράπεζας είναι διαφορετικές από αυτές ενός κυρίου πάροχου τηλεπικοινωνιών και είναι πάλι διαφορετικές από αυτές ενός πάροχου ενέργειας. Συνεπώς δεν φτάνει ένα συγκεκριμένο μέτρο για να προστατευτούν όλες αυτές οι υποδομές αποτελεσματικά αλλά απαιτείται εξειδίκευση σειράς μέτρων ανάλογα με τις ανάγκες της κάθε προστατευόμενης υποδομής μέσα σε ένα συνολικό πλαίσιο.

Σε ότι αφορά στην Ελλάδα, η γεωπολιτική μας θέση, η εξάρτηση μας από τεχνολογίες και οι νέες μορφές συγκρούσεων μας επιβάλλουν να αντιμετωπίσουμε το συγκεκριμένο θέμα σοβαρά. Τόσο στο υπουργείο άμυνας, στην Ελληνική αστυνομία, στην ΕΥΠ και στο υπουργείο ψηφιακής πολιτικής έχουν δημιουργηθεί ομάδες και φορείς με ειδικότητα στην κυβερνοάμυνα, το ηλεκτρονικό έγκλημα, την προστασία της κρίσιμης υποδομής και η σχετική νομοθεσία που ενσωματώνει την Ευρωπαϊκή οδηγία βρίσκεται στην φάση της επεξεργασίας.

Προφανώς πρέπει να υπάρξει και εφαρμογή αλλά το πλαίσιο είναι υπό εξέλιξη, κάτι που αποτελεί λόγο αισιοδοξίας. Προφανώς και οι ίδιοι οι φορείς που θεωρούνται κρίσιμη υποδομή έχουν δικές τους ομάδες που τους προστατεύουν και έχουν κάνει κάποιες επενδύσεις προς αυτή την κατεύθυνση. Η Ελλάδα διεξάγει εθνικές και συμμετέχει σε ευρωπαϊκές ασκήσεις κυβερνοασφάλειας με επιτυχία. Ο τελικός και απόλυτος κριτής όμως θα είναι πάντα το πως θα χειριστούμε μια πραγματική κρίση.

Μιλήστε μας για τη στρατηγική της Ευρωπαϊκής Ένωσης επί του θέματος της κυβερνοασφάλειας, με βάση και την εμπειρία που έχετε αποκομίσει από την θητεία σας σε διάφορους ευρωπαϊκούς φορείς.

Η ευρωπαϊκή στρατηγική είναι πολύπλοκη και εδράζεται σε μια σειρά από δράσεις. Υπάρχει σημαντική νομοθετική προσπάθεια στα πλαίσια της οδηγίας για την προστασία των κρίσιμων υποδομών και του εφαρμοστικού της πλαισίου που αφορά δημόσιο και ιδιωτικό τομέα. Υπάρχει ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και γίνεται μεγάλη προσπάθεια μέσω Europol/αστυνομικής συνεργασίας για ζητήματα ηλεκτρονικού εγκλήματος.

Όπως σίγουρα γνωρίζετε, ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) εδρεύει στην Ελλάδα και είναι ιδιαίτερα δραστήριος. Στα πλαίσια του υπό διαπραγμάτευση Κανονισμού για την Κυβερνοασφάλεια, ο ENISA θα αναλάβει και ρόλο πιστοποίησης τεχνολογιών και διαδικασιών. Η Ευρώπη κάνει πολύ σημαντικές επενδύσεις σε θέματα έρευνας και ανάπτυξης νέων τεχνολογιών. Το Ίδρυμα Τεχνολογίας και Έρευνας στο Ηράκλειο αποτελεί προνομιακό συνομιλητή της Symantec και ακαδημαϊκό ίδρυμα υψηλής ποιότητας με το οποίο επιλέγουμε συστηματικά να συμμετέχουμε σε τέτοιου είδους προγράμματα. Εγώ προσωπικά συμμετέχω στο συμβουλευτικό όργανο της ENISA και της Europol, κατά συνέπεια έχω ιδία αντίληψη της προόδου που γίνεται.

Ένα από τα θέματα που έχουν προκύψει τα τελευταία χρόνια είναι οι καταγγελίες από χώρες για ηλεκτρονικές παρεμβάσεις σε διαδικασίες εκλογών (ΗΠΑ εναντίον Ρωσίας κτλ). Τελικά, πόσο υπαρκτός είναι αυτός ο κίνδυνος;

Ο κίνδυνος αυτός είναι υπαρκτός όπως έχει δημοσιευτεί/συζητηθεί πολλές φορές. Δεν είναι τυχαίο άλλωστε ότι λαμβάνεται πολύ σοβαρά υπόψη, όχι μόνο στο κομμάτι της ασφάλειας συστημάτων που χρησιμοποιούνται για την διενέργεια της εκλογικής διαδικασίας, αλλά πολύ περισσότερο στο κομμάτι που έχει να κάνει με τον επηρεασμό του εκλογικού σώματος και της διενέργειας ψυχολογικών επιχειρήσεων. Ο κίνδυνος της προπαγάνδας, διασποράς ψευδών ειδήσεων, εσκεμμένης παραπληροφόρησης και χειραγώγησης είναι κάτι που έχει παρουσιασθεί εκτενώς υπό τον όρο fake news. Η Symantec πρόσφατα διέθεσε σχετική εργαλειοθήκη σε μια προσπάθεια να βοηθήσει στην αντιμετώπιση αυτού του κινδύνου.

Πόσο σοβαρός είναι σήμερα ο κίνδυνος των κυβερνοεπιθέσεων για μια ελληνική επιχείρηση, τι θα πρέπει να κάνει για να προστατευτεί - ως μέρος και του ψηφιακού μετασχηματισμού - και ποιο το κόστος;

Ο κίνδυνος είναι πραγματικός και θα έχει συνέπειες και στην εξωστρέφεια των Ελληνικών εταιρειών. Στο βαθμό που μια επιχείρηση έχει ενδιαφέροντα δεδομένα ή αποτελεί τμήμα της εφοδιαστικής αλυσίδας μεγαλύτερων επιχειρήσεων, αποτελεί ξεκάθαρα δυνητικό στόχο. Άλλωστε, επιθέσεις εκβιαστικής κρυπτογράφησης, όπως αυτές του Wannacry, απέδειξαν ότι δεν χρειάζεται να είσαι «στόχος» για να πληγείς από ψηφιακές απειλές.

Λαμβάνουν σήμερα οι μικρομεσαίες επιχειρήσεις τα απαραίτητα μέτρα επί του θέματος; Ποια θα λέγατε πως είναι τα συχνότερα λάθη που κάνουν, όσον αφορά στην προστασία τους;

Οι μικρομεσαίες επιχειρήσεις λαμβάνουν κάποια μέτρα. Συχνά όχι αρκετά. Το βασικότερο λάθος είναι να υποθέσουν ότι η ψηφιακή ασφάλεια δεν τους αφορά ή ότι δεν είναι στόχοι γιατί δεν έχουν τίποτα αξιόλογο να χάσουν. Η ανάγκη για οικονομίες εξακολουθεί να είναι σημαντική στην Ελλάδα της κρίσης αλλά προσωπικά θεωρώ ότι το κόστος της βασικής ασφάλειας και της βασική πληροφοριακής «υγιεινής» έχει πέσει σημαντικά. Περισσότερο είναι ίσως το διαχειριστικό κόστος και η ανάγκη εξειδίκευσης σε θέματα ασφάλειας. Αυτός είναι και ο λόγος που οι τεχνολογίες νέφους δίνουν μια ουσιαστική λύση στις μικρομεσαίες επιχειρήσεις αφού τους παρέχουν σχετικά μικρό κόστος απόκτησης και χρήσης, σχεδόν μηδενικό διαχειριστικό κόστος και ελάχιστη ανάγκη εξειδίκευσης.

Δημιουργεί ο τομέας της κυβερνοασφάλειας νέες θέσεις εργασίας; Υπάρχει η κατάλληλη τεχνογνωσία για να καλυφθούν οι ανάγκες στην Ελλάδα;

Ο τομέας κυβερνοασφάλειας μπορεί σίγουρα να δημιουργήσει νέες θέσεις εργασίας στην Ελλάδα. Γίνονται κάποιες ενέργειες σε μεγάλες εταιρείες που έχουν την ανάγκη εξειδικευμένου προσωπικού. Ο μεγάλος κίνδυνος αυτή τη στιγμή για την Ελλάδα είναι η απώλεια εξειδικευμένου έμψυχου δυναμικού. Εγώ τον βλέπω πολύ έντονα στις Βρυξέλλες και αλλού όπου υπάρχει ανάγκη από ανθρώπους με γνώση στο αντικείμενο και οι Έλληνες που το διαθέτουν μεταναστεύουν μαζικά και βρίσκουν δουλειά με εξαιρετικούς όρους. Η προσέλκυση επενδύσεων και η δημιουργία συνθηκών επιστροφής όσων επέλεξαν να φύγουν αποτελούν τα μεγάλα στοιχήματα για τη χώρα.

Ποια η σχέση της 4ης βιομηχανικής επανάστασης με το επιχειρείν και πως το επηρεάζει;

Η 4η επανάσταση θα επηρεάσει το επιχειρείν με τρόπους που δεν μπορούμε ακόμη πλήρως να κατανοήσουμε. Ο αυτοματισμός και η ρομποτική είναι δύο ξεκάθαροι τομείς, σε ότι αφορά στα μέσα παραγωγής. Τα μεγάλα ερωτηματικά όμως βρίσκονται στην πληθώρα των δεδομένων που θα παράγει η αυτοματισμός και η ρομποτική καθώς και στην χρήση της τεχνητής νοημοσύνης δια την διαχείριση του όλου συστήματος. Η πληθώρα δεδομένων και η τεχνητή επεξεργασία τους θα παρέχει ερωτήσεις, απαντήσεις, συμπεράσματα και δυνατότητες που ακόμη δεν μπορούμε να διανοηθούμε. Όλη αυτή η τεχνολογία θα δημιουργήσει νέα επιχειρηματικά μοντέλα αλλά θα θέσει υπό αμφισβήτηση βασικούς κανόνες ηθικής και κοινωνικά πρότυπα.

Σε μια εποχή που τα πάντα είναι δικτυωμένα, ακολουθούν οι μεγάλες εταιρείες του διαδικτύου και της τεχνολογίας τα απαραίτητα νομικά πλαίσια, όσον αφορά στα δεδομένα χρήστη; Υπάρχουν αλλαγές που θα πρέπει να γίνουν;

Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων φέρνει επαναστατικές αλλαγές στον τρόπο που γίνεται η προστασία προσωπικών δεδομένων και μπορεί δυνητικά να καταστεί το παγκόσμιο πρότυπο. Οι μεγάλες εταιρείες προσαρμόζονται στον κανονισμό και μπορώ να σας διαβεβαιώσω ότι είδα μεγάλη μεταβολή στον τρόπο που λειτουργεί η αγορά και στο πως οι εταιρείες αντιμετωπίζουν ζητήματα ιδιωτικότητας. Ο δρόμος είναι ακόμη μακρύς, διότι μην ξεχνάτε ότι ενώ ο κανονισμός είναι σε ισχύ, ακόμη δεν έχει εφαρμοστεί πρακτικά. Δεν έχουμε νομολογία και αποφάσεις κατά εταιρειών. Η προηγούμενη νομοθεσία παρέμεινε σε ισχύ για 20 χρόνια. Προσωπικά θα ήθελα να πιστεύω ότι με λίγη τύχη η καινούργια νομοθεσία θα μακροημερεύσει και θα κοντεύω στην σύνταξη όταν ξαναδιαπραγματευτούμε τον επόμενο Κανονισμό για τα προσωπικά δεδομένα.

Γενικότερα, τι μπορούμε να περιμένουμε από το μέλλον στον τομέα της κυβερνοασφάλειας, λαμβάνοντας υπόψιν και εξελίξεις όπως το blockchain, το AI και το internet of things;

Η ερώτηση είναι πολύ δύσκολη για να απαντηθεί σε μερικές γραμμές. Μπορούμε να περιμένουμε σημαντικές αλλαγές, τόσο στον τρόπο που γίνονται οι επιθέσεις όσο και στον τρόπο που κτίζεται και εφαρμόζεται η αρχιτεκτονική ασφάλειας. Μπορούμε επίσης να περιμένουμε με βεβαιότητα ηλεκτρονικές επιθέσεις οι οποίες θα επηρεάσουν όχι μόνο την πληροφοριακή υποδομή αλλά το περιβάλλον στο οποίο ζούμε, λόγω της διασύνδεσης της ψηφιακής με την φυσική υποδομή. Η χρήση τεχνητής νοημοσύνης θα παίξει καταλυτικό ρόλο και στον πως εξαπολύονται οι επιθέσεις και στην άμυνα κατά αυτών. Η τεχνολογία Blockchain θα παρέχει σημαντικές εφαρμογές στο να χτιστεί μια αλυσίδα εμπιστοσύνης γύρω από την ακρίβεια δεδομένων και συναλλαγών, εφόσον όμως αναπτυχθούν μέχρι τότε κβαντικοί υπολογιστές όλη η υποδομή κρυπτογραφίας και αλγορίθμων όπως την γνωρίζουμε σήμερα θα τεθεί υπό αίρεση.

Ο Ηλίας Χάντζος θα μιλήσει στο συνέδριο της KPMG «Leaders of Digital Economy Conference» στις 6 Νοεμβρίου στο ξενοδοχείο Grand Hyatt Athens.