Ε. Ουζούνης, ENISA: Ακρογωνιαίος λίθος του ψηφιακού μετασχηματισμού η κυβερνοασφάλεια

Σύμφωνα με την 10η έκδοση της έκθεσης Threat Landscape (που καλύπτει μια περίοδο αναφοράς από τον Ιούλιο του 2021 έως τον Ιούλιο του 2022), με μια κλοπή δεδομένων που ξεπερνά τα 10 terabytes δεδομένων μηνιαίως, το ransomware εξακολουθεί να θεωρείται μία από τις κυρίαρχες απειλές, με το phishing να αναγνωρίζεται ως ο πιο συνηθισμένος φορέας τέτοιων επιθέσεων. Άλλες σημαντικές απειλές είναι οι λεγόμενες DDoS (Distributed Denial of Service).

Ωστόσο, σύμφωνα με τον ENISA, οι γεωπολιτικές καταστάσεις, ιδιαίτερα η ρωσική εισβολή στην Ουκρανία, άλλαξαν το «παιχνίδι». Ενώ συνεχίζει να παρατηρείται μια αύξηση του αριθμού των απειλών, αρχίζει, επίσης, να εμφανίζεται ένα ευρύτερο φάσμα φορέων, όπως τα exploits zero-day, η παραπληροφόρηση με δυνατότητες AI και τα deepfakes. Ως αποτέλεσμα, κάνουν την εμφάνιση τους περισσότερες κακόβουλες και εκτεταμένες επιθέσεις, με καταστροφικότερες επιπτώσεις.

Η ανάλυση (που είναι διαθέσιμη από εδώ) δείχνει ότι κανένας τομέας δεν ξεφεύγει από τις κυβερνοεπιθέσεις. Αποκαλύπτει, επίσης, πως σχεδόν το 50% των απειλών στοχεύουν τις ακόλουθες κατηγορίες: τη δημόσια διοίκηση και τις κυβερνήσεις (24%), τους παρόχους ψηφιακών υπηρεσιών (13%) και το ευρύ κοινό (12%), ενώ το άλλο μισό μοιράζεται σε στους υπόλοιπους τομείς της οικονομίας.

Ο Ευρωπαϊκός Οργανισμός για την Κυβερνοασφάλεια (ENISA) εδρεύει στην Ελλάδα, με γραφεία σε Αθήνα και Κρήτη. Τι σημαίνει αυτό για τον ευρύτερο ρόλο της χώρας μας στην ανάπτυξη του ευρωπαϊκού τομέα της κυβερνοασφάλειας;

Τα κεντρικά γραφεία του Ευρωπαϊκoύ Οργανισμού για την Κυβερνοασφάλεια βρίσκονται στην Αθήνα, ενώ διαθέτουμε και γραφείο στο Ηράκλειο, το οποίο αποτελούσε την αρχική έδρα. Ένα επιπλέον γραφείο βρίσκεται στις Βρυξέλλες.

Όλα τα κράτη μέλη της Ευρωπαϊκή Ένωσης (ΕΕ), ανεξάρτητα από το πού έχει την έδρα του ο ENISA, εφαρμόζουν την Οδηγία NIS (ΝΙS Directive), η οποία είναι το πρώτο κομμάτι της νομοθεσίας για την ασφάλεια στον κυβερνοχώρο σε επίπεδο ΕΕ που καταφέρνει να εναρμονίσει τις εθνικές δυνατότητες κυβερνοασφάλειας, προωθώντας ταυτόχρονα τη διασυνοριακή συνεργασία, με στόχο την ενίσχυση της ασφάλειας στον ευρωπαϊκό κυβερνοχώρο.

Ο ENISA παρέχει βοήθεια στα κράτη μέλη (για παράδειγμα, έχει υποστηρίξει πολλές ομάδες εργασίας με τεχνική εμπειρογνωμοσύνη) και διοργανώνει ασκήσεις – προσομοίωσης περιστατικών κυβερνοασφάλειας μεγάλης κλίμακας και τις λεγόμενες (Cyber Europe Exercises) που κλιμακώνονται και εξελίσσονται σε κρίσεις στον κυβερνοχώρο.

Ο ENISA λειτουργεί περαιτέρω ως κέντρο εμπειρογνωμοσύνης για την εθνική υποδομή σε τομείς ζωτικής σημασίας όπως η υγεία, οι μεταφορές και η ενέργεια και υποστηρίζει ενεργά την ανάπτυξη των εθνικών στρατηγικών κυβερνοασφάλειας των κρατών μελών καθώς και την εφαρμογή και αξιολόγησή τους.

Συγκεκριμένα, στην περίπτωση της Ελλάδας, ο ENISA, σε στενή συνεργασία με το Υπουργείο Ψηφιακής Διακυβέρνησης, έχει παράσχει την τεχνογνωσία του και την πλήρη υποστήριξή του στην ανάπτυξη της Εθνικής Στρατηγικής Κυβερνοασφάλειας. Η Ελλάδα έχει προχωρήσει σε περαιτέρω σημαντικά βήματα, θέτοντας ένα σύνολο στρατηγικών στόχων, εστιάζοντας σε δραστηριότητες που καλύπτουν όλο το εύρος του κύκλου ζωής των κυβερνοεπιθέσεων (π.χ. εντοπισμός, πρόληψη, προστασία και ανάκαμψη).

Επί του παρόντος συγκεκριμένες δράσεις αναμένονται που περιλαμβάνουν την ανάπτυξη ενός σχεδίου δράσης και την ενίσχυση της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα, ώστε να υπάρξει επιτυχία σε αυτό το εγχείρημα.

Ποια είναι, αυτή τη στιγμή, η ευρωπαϊκή στρατηγική σε σχέση με την κυβερνοασφάλεια; Ποιοι είναι οι άξονες πάνω στους οποίους αναπτύσσεται;

Ο ENISA είναι ο οργανισμός της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια που είναι αφιερωμένος στην επίτευξη ενός υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο, σε ολόκληρη την Ευρώπη. Έχοντας ιδρυθεί το 2004 και ενισχυθεί από την πράξη της Ευρωπαϊκής Ένωσης (ΕΕ) για την κυβερνοασφάλεια (Cybersecurity Act), ο ΕΝΙSΑ συμβάλλει στην πολιτική της ΕΕ στον κυβερνοχώρο, ενισχύει την αξιοπιστία των προϊόντων τεχνολογίας πληροφοριών και επικοινωνίας (ΤΠΕ), καθώς και των υπηρεσιών και διαδικασιών που ακολουθούνται με συστήματα πιστοποίησης κυβερνοασφάλειας (cybersecurity certification schemes). Ο ΕΝΙSA, επίσης, συνεργάζεται με κράτη μέλη και φορείς της ΕΕ και βοηθά την Ευρώπη να προετοιμαστεί για τις προκλήσεις που θα αντιμετωπίσει ο κυβερνοχώρος.

Μέσω της ανταλλαγής γνώσεων, της οικοδόμησης ικανοτήτων και της ευαισθητοποίησης, συνεργάζεται με τους βασικούς ενδιαφερόμενους φορείς για την ενίσχυση της εμπιστοσύνης στη οικονομία, την ενίσχυση της ανθεκτικότητας της υποδομής της Ένωσης και, τελικά, τη διατήρηση της ψηφιακής ασφάλειας της κοινωνίας και των πολιτών της Ευρώπης.

Ο Οργανισμός διαθέτει μια σειρά «πρωτοβουλιών» που μπορούν να χρησιμοποιηθούν ως πλατφόρμα για την έναρξη νέων, πιο φιλόδοξων υπηρεσιών, που στόχο θα έχουν την υποστήριξη της Ευρωπαϊκής Επιτροπής, των κρατών μελών, των θεσμικών οργάνων της ΕΕ και των πολιτών.

Στα παραδείγματα συμπεριλαμβάνονται οι ασκήσεις κυβερνοασφάλειας «Pan-European Cybersecurity Exercises», το «European & International Cybersecurity Challenge», το «ENISA Threat Landscape», καθώς και η υποστήριξη που παρέχει ο ΕΝΙSA για την εφαρμογή των υποχρεώσεων σε σχέση με το Security & Data Breach Notification και φυσικά ο μήνας κυβερνοασφάλειας της ΕΕ, «EU Cybersecurity Month».

Ο ENISA παρέχει περαιτέρω υποστήριξη στις Computer Incident Response Teams (CSIRT Network) στην Ευρώπη, που αποτελούν ένα δίκτυο το οποίο αποτελείται από τις CSIRT που έχουν οριστεί από τα κράτη μέλη της ΕΕ και τα CERT-EU (μέλη του δικτύου των CSIRT) που είναι αφιερωμένα στην αντιμετώπιση περιστατικών και επιθέσεων στον κυβερνοχώρο.

Ποιος είναι ο αριθμός του προσωπικού που απασχολεί ο ENISA στην Ελλάδα; Ποιες είναι οι ψηφιακές δεξιότητες που απαιτούνται για να εργαστεί κάποιος στον οργανισμό; Γενικότερα, όσον αφορά στον κλάδο της πληροφορικής, υπάρχει η απαιτούμενη δεξαμενή ταλέντου στην χώρα μας;

Για να εκπληρώσει την αποστολή του, ο ENISA βασίζεται σε υψηλά καταρτισμένο και αφοσιωμένο προσωπικό. Το σύνολο του προσωπικού ανέρχεται σε 106 άτομα, που εδρεύουν κυρίως στην Ελλάδα. Μόνο δέκα συνάδελφοι από τους 106 έχουν την έδρα τους στις Βρυξέλλες.

Όσον αφορά στις δεξιότητες που απαιτούνται για να γίνει κάποιος μέλος της οικογένειας του ENISA, οι ψηφιακές δεξιότητες δεν αποτελούν απαραίτητα προαπαιτούμενο. Ωστόσο, είναι επιθυμητή η καλή κατανόηση του πλαισίου πολιτικής της ΕΕ για την κυβερνοασφάλεια, καθώς και κάποια εμπειρία και γνώση επί του τομέα, που αποκτάται σε εθνικό, διεθνές ή ευρωπαϊκό περιβάλλον που είναι αδιαμφισβήτητα επωφελής.

Δώστε μας μια εικόνα και από την Ελλάδα, καθώς εδώ βρίσκεται η βάση σας. Γίνονται κυβερνοεπιθέσεις στη χώρα μας; Έχει αυξηθεί ο αριθμός τους;

Η Ελλάδα ως κράτος μέλος της ΕΕ, δεν θα μπορούσε να μείνει εκτός του αυξανόμενου αριθμού κυβερνοαπειλών στα δίκτυα και τα συστήματα που λαμβάνουν χώρα σε ένα συνεχώς εξελισσόμενο ψηφιακό περιβάλλον. Καθώς οι κρίσιμες εθνικές υποδομές γίνονται όλο και πιο ευάλωτες σε κυβερνοεπιθέσεις, ο αριθμός τους αυξάνεται και η προστασία τους γίνεται σημαντικό ζήτημα, όχι μόνο για την Ελλάδα αλλά και για όλα τα κράτη μέλη της ΕΕ.

Τα τελευταία χρόνια, η Ελλάδα έχει κάνει τεράστια βήματα προς τη διασφάλιση των δικτύων της. Το πιο ενδιαφέρον είναι ότι η πανδημία του COVID-19 τόνισε την αναγκαιότητα ύπαρξης ασφαλών δικτύων. Η κυβερνοασφάλεια έγινε ο ακρογωνιαίος λίθος του ψηφιακού μετασχηματισμού και η ανάγκη για αυτήν διαπερνά όλους τους τομείς.

Ο ENISA δεν θα μπορούσε παρά να είναι υποστηρικτικός σε μια τέτοια προσπάθεια, παρέχοντας την τεχνογνωσία, τις συμβουλές και τη βοήθεια για να συμβάλει ενεργά σε αυτόν τον στρατηγικό στόχο της Ελλάδας, για την ενίσχυση της ψηφιακής εμπιστοσύνης και την οικοδόμηση ανθεκτικότητας στον κυβερνοχώρο.

Σε αυτή την κατεύθυνση, ο ENISA συνεργάζεται στενά με το ελληνικό Υπουργείο Ψηφιακής Διακυβέρνησης τα τελευταία χρόνια, σε θέματα όπως η ασφάλεια των πληροφοριών, η τυποποίηση και η ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο. Ο Οργανισμός εστιάζει στην περαιτέρω υποστήριξη της Ελλάδας στην οικοδόμηση ικανοτήτων για ανθεκτικά δίκτυα, μέσω συνεδρίων και εκπαιδεύσεων που προάγουν τις δεξιότητες και την ανάπτυξη στην κυβερνοασφάλεια.

Όσον αφορά στις επιχειρήσεις, ποιος είναι ο βαθμός ετοιμότητάς τους απέναντι στις διάφορες κυβερνοεπιθέσεις; Καθώς η πλειοψηφία των ευρωπαϊκών επιχειρήσεων είναι μικρές, υπάρχει η απαραίτητη ετοιμότητα; Μπορούμε να τους προσφέρουμε κάποιες συμβουλές;

Οι μικρές και μεσαίες επιχειρήσεις (ΜμΕ) αντιπροσωπεύουν το 99% του συνόλου των ευρωπαϊκών επιχειρήσεων και αποτελούν τη ραχοκοκαλιά της οικονομίας της ΕΕ. Χρησιμεύουν τόσο ως παράγοντες για τον ψηφιακό μετασχηματισμό, όσο και ως βασικό στοιχείο του κοινωνικού ιστού της ΕΕ.

Σε ένα συνεχώς εξελισσόμενο ψηφιακό περιβάλλον, όπου οι απειλές για το δίκτυο και τα συστήματα πληροφορικής στην Ευρώπη αυξάνονται, οι ΜμΕ αντιμετωπίζουν σημαντικές προκλήσεις στον κυβερνοχώρο, που μπορούν να επηρεάσουν σοβαρά την ανταγωνιστικότητά τους.

Μεταξύ των σημαντικότερων είναι η χαμηλή ευαισθητοποίηση για την ασφάλεια στον κυβερνοχώρο, η σχετική έλλειψη ειδικών και δεξιοτήτων στον τομέα προϊόντων τεχνολογίας πληροφοριών και επικοινωνίας (ΤΠΕ), το κόστος εφαρμογής των μέτρων κυβερνοασφάλειας σε συνδυασμό με την έλλειψη ειδικού προϋπολογισμού και, τέλος, η έλλειψη κατάλληλων κατευθυντήριων γραμμών και υποστήριξης από το management.

Δεδομένης της νέας πραγματικότητας που έθεσε η πανδημία του Covid-19, οι μικρομεσαίες επιχειρήσεις πιέστηκαν περαιτέρω να επανεξετάσουν την ψηφιακή τους νοοτροπία και την ετοιμότητά τους απέναντι στις κυβερνοαπειλές. Ως ένα βαθμό, έπρεπε να λάβουν μέτρα για την επιχειρησιακή συνέχεια, όπως προσαρμογή στις υπηρεσίες cloud, αναβάθμιση των υπηρεσιών που παρέχουν μέσω του διαδικτύου, βελτίωση των ιστοσελίδων τους και παροχή δυνατότητας στο προσωπικό για εξ αποστάσεως εργασία.

Σε αυτό το πλαίσιο, ο ENISA έχει δημιουργήσει κατευθυντήριες γραμμές και εργαλεία για τις μικρές και μεσαίες επιχειρήσεις και έχει μεταφράσει το έργο του σε όλες τις γλώσσες της ΕΕ προκειμένου να τις βοηθήσει. Οι αποκαλούμενες πρακτικές «κυβερνο-υγιεινής» προωθούνται από τον ENISA σε μια προσπάθεια να προστατεύσει τους χρήστες και τις επιχειρήσεις και δεν είναι τυχαίο που προωθεί το moto «SECURITY for PRIVACY» και το «Think Before You Click» που είναι ένας καλός κανόνας για την ασφάλεια στον κυβερνοχώρο.

Τέλος, καθώς ένας από τους άξονες της δραστηριότητάς σας είναι και το λεγόμενο foresight και αφού ήδη μιλάμε για καινοτομίες όπως η τεχνητή νοημοσύνη και το μετασύμπαν, υπάρχουν, εκεί, κίνδυνοι στον κυβερνοχώρο; Πώς προετοιμαζόμαστε για αυτούς;

Υπάρχει μια σειρά από προκλήσεις στον κυβερνοχώρο που σχετίζονται με την Τεχνητή Νοημοσύνη (AI). Αν και υπάρχει αναμφισβήτητα μια ωφέλιμη πτυχή της για την καθημερινότητά μας, δεν πρέπει να παρακάμψουμε το γεγονός ότι η τεχνητή νοημοσύνη και η εφαρμογή της στην αυτοματοποιημένη λήψη αποφάσεων -ειδικά σε κρίσιμους, για την ασφάλεια, τομείς, όπως τα αυτόνομα οχήματα- μπορεί να ανοίξει νέους δρόμους σε μεθόδους χειραγώγησης και επιθέσεων, δημιουργώντας και νέες προκλήσεις σε θέματα προστασίας της ιδιωτικής ζωής. Επομένως, η κυβερνοασφάλεια είναι το κλειδί για την αξιόπιστη ανάπτυξη της τεχνητής νοημοσύνης και του «Metaverse» στο μέλλον.

Η αναγκαία έκκληση για ηθική στην τεχνητή νοημοσύνη βασίζεται στην ασφάλεια στον κυβερνοχώρο, καθώς η κυβερνοασφάλεια είναι εκείνο το στοιχείο που θα εγγυηθεί και θα διασφαλίσει τη σωστή εφαρμογή της εν λόγω ηθικής. Επιπλέον, η ανάγκη να διασφαλιστεί η τεχνητή νοημοσύνη, ώστε να μπορούμε να την εμπιστευτούμε, είναι επίσης εμφανής. Ο ENISA έχει εργαστεί ενεργά για τη χαρτογράφηση του οικοσυστήματος κυβερνοασφάλειας της τεχνητής νοημοσύνης και την παροχή συστάσεων ασφάλειας για τις προβλεπόμενες προκλήσεις.