Δ. Ζαφειριάδης: H εσφαλμένη εκτίμηση οργανισμών που θα τους στοιχίσει... ακριβά

«Οι επιχειρήσεις που αδιαφορούν για την ασφάλειά τους γίνονται ευάλωτες σε επιθέσεις, οι οποίες ενισχύονται και από γεωπολιτικές εξελίξεις», προειδοποίησε ο Διαμαντής Ζαφειριάδης, Προϊστάμενος της Αρχής Ψηφιακής Ασφάλειας. Ο ίδιος εξέφρασε προβληματιμό για το γεγονός ότι το 40% των επιχειρήσεων που δεν έχουν δεχθεί επίθεση θεωρούν εσφαλμένα ότι δεν αποτελούν στόχο, την ώρα που οι απειλές DDos και Ransomware συνεχίζουν να βρίσκονται στην κορυφή του τοπίου κυβερνοαπειλών κατά το τρέχον έτος.

Σε ομιλία στο πλαίσιο του 4ου Cyber Security Conference, τόνισε τη σημαντικότητα της προστασίας των κρίσιμων υποδομών σε ένα συνεχώς μεταβαλλόμενο ψηφιακό περιβάλλον, καθώς και στις νέες προκλήσεις που φέρνει η Οδηγία NIS2. Η Αρχή Ψηφιακής Ασφάλειας παίζει κομβικό ρόλο στην υποστήριξη και επίβλεψη των μέτρων που λαμβάνουν οι επιχειρήσεις για να προστατευτούν από αυξανόμενες απειλές στον κυβερνοχώρο.

Ένα από τα βασικά σημεία της παρουσίασης αφορούσε τη μεθοδολογία ανάλυσης κρισιμότητας που εφαρμόζεται για τον εντοπισμό ευπαθειών σε εθνικό επίπεδο. Αυτό περιλαμβάνει αξιολογήσεις κινδύνων και τη δημιουργία πλαισίου ασφάλειας που παρέχει κατευθυντήριες γραμμές στις επιχειρήσεις, ώστε να ελαχιστοποιήσουν τις αδυναμίες τους.

Ο κ.Ζαφειριάδης τόνισε τη σημασία των εθνικών στρατηγικών και τη δυνατότητα των επιχειρήσεων να ενισχύσουν την κυβερνοασφάλειά τους μέσα από εργαλεία που προσφέρει η Αρχή, όπως το ελεύθερο πακέτο τεκμηρίωσης και το Πλαίσιο Ωρίμανσης Ασφάλειας που προσαρμόζεται ανάλογα με το επίπεδο κάθε επιχείρησης.

Μέσα από ένα σύστημα επιθεωρήσεων και ελέγχων, η Αρχή Ψηφιακής Ασφάλειας συμβάλλει στην διαρκή βελτίωση της ασφάλειας. Ιδιαίτερα σημαντικές είναι οι επιτόπιες και μετεπεισοδιακές αξιολογήσεις συμμόρφωσης, οι οποίες παρέχουν επιπλέον ασφάλεια σε περιπτώσεις κυβερνοεπιθέσεων. Επιπλέον, το Εθνικό Κέντρο Επιχειρήσεων Ασφαλείας (SOC) λειτουργεί σε 24ωρη βάση, προσφέροντας πρώιμη προειδοποίηση για κυβερνοαπειλές.

Ο Ζαφειριάδης παρουσίασε σημαντικά στοιχεία που πρέπει να λάβουν υπόψη οι επιχειρήσεις. Μεταξύ άλλων, το γεγονός ότι σχεδόν 7 στις 10 επιχειρήσεις έχουν πραγματοποιήσει αξιολόγηση κινδύνου τους τελευταίους 12 μήνες. Επίσης, οι μισές επιχειρήσεις χρησιμοποιούν εργαλεία παρακολούθησης ασφαλείας όπως συστήματα ανίχνευσης εισβολών.

Ακόμη, το 40% των επιχειρήσεων που δεν έχουν δεχθεί επίθεση θεωρούν εσφαλμένα ότι δεν αποτελούν στόχο. Η πεποίθηση είναι ανησυχητική, ειδικά εξαιτίας του γεγονότος ότι οι απειλές DDos και Ransomware συνεχίζουν να βρίσκονται στην κορυφή του τοπίου κυβερνοαπειλών για το 2024. «Οι επιχειρήσεις που αδιαφορούν για την ασφάλειά τους γίνονται ευάλωτες σε επιθέσεις, οι οποίες ενισχύονται και από γεωπολιτικές εξελίξεις», προειδοποίησε.

Ένα άλλο σημαντικό σημείο που ανέδειξε ο Ζαφειριάδης είναι η χρήση εργαλείων τεχνητής νοημοσύνης από εγκληματίες του κυβερνοχώρου. Παραδείγματα είναι το FraudGPT και μοντέλα μεγάλων γλωσσών χρησιμοποιούνται για να δημιουργούν κακόβουλα emails ή scripts. Παράλληλα, η ανερχόμενη απειλή του Malware-as-a-Service (MaaS) επιτρέπει την ανάπτυξη εξελιγμένων επιθέσεων από μη εξειδικευμένους χρήστες.

Η Οδηγία NIS2 καθιστά σαφές ότι η ασφάλεια δεν είναι απλώς ευθύνη της κυβέρνησης, αλλά κάθε επιχείρησης που διαχειρίζεται κρίσιμες υποδομές. Ο κ.Ζαφειριάδης επεσήμανε ότι οι επιχειρήσεις πρέπει να επενδύσουν τόσο σε τεχνολογίες όπως το antivirus, όσο και σε εκπαίδευση ευαισθητοποίησης, καθώς η ανθρώπινη αδυναμία αποτελεί συχνά «το πρώτο σημείο επίθεσης».