Ο Πάνος Παναγιώτου, ιδρυτής και CEO της Circl3.tech, μοιράζεται τις απόψεις του για το σημερινό τοπίο της κυβερνοασφάλειας, για το πώς η Κύπρος πρέπει να προσεγγίζει το ζήτημα και για την ανάγκη σωστής διαχείρισης των κυβερνοαπειλών.
Τι σας ώθησε να ξεκινήσετε την Circl3.tech;
Μετά από περισσότερα από 20 χρόνια ως Chief Information Security Officer (CISO) στις μεγαλύτερες τράπεζες της χώρας, ήθελα να αντιμετωπίσω μια προσωπική πρόκληση – να βγω από ένα πολύ δομημένο περιβάλλον ως υψηλόβαθμο στέλεχος και να αποδείξω στον εαυτό μου ότι μπορώ να χτίσω τη δική μου εταιρεία από το μηδέν. Το 2022 έκανα αυτό το βήμα και γεννήθηκε η Circl3.tech, με τη βαθιά τεχνογνωσία και πειθαρχία που απέκτησα όλα αυτά τα χρόνια στον χρηματοπιστωτικό τομέα, για οργανισμούς που χρειάζονται την κυβερνοασφάλεια να λειτουργεί με ασφάλεια στην καθημερινή πράξη, όχι μόνο θεωρητικά. Και μια προσωπική παρατήρηση: η επιχειρηματικότητα σε αναγκάζει να είσαι υπεύθυνος με έναν επιπλέον τρόπο. Δεν μπορείς απλώς να φέρεις έναν τίτλο – η παράδοση αξιόπιστων αποτελεσμάτων προηγείται πάντα.
Όλοι γνωρίζουμε ότι η κυβερνοασφάλεια δεν είναι πια μόνο ζήτημα πληροφορικής. Πώς, κατά την άποψή σας, έχει εξελιχθεί ο ρόλος της τα τελευταία χρόνια;
Για μένα, η κυβερνοασφάλεια ποτέ δεν ήταν «μόνο ζήτημα πληροφορικής». Αρχικά ήταν κοντά στην πληροφορική, αλλά η βιομηχανία κατάλαβε πολύ γρήγορα ότι αυτή ήταν κακή πρακτική. Άλλωστε, η νομοθεσία δεν το επέτρεπε και πρακτικά, η ασφάλεια δεν μπορεί να είναι αποτελεσματική αν αντιμετωπίζεται ως υποτμήμα της πληροφορικής. Αυτό που έχει αλλάξει τα τελευταία χρόνια είναι η πίεση και το μέγεθος των στοιχημάτων. Σήμερα, όλα είναι συνδεδεμένα: επιχειρησιακές διαδικασίες, συστήματα, προμηθευτές, παραγωγή, μηχανήματα, ακόμα και αυτοκίνητα. Αν κάτι πάει στραβά, δεν είναι απλώς ότι «έπεσε ο διακομιστής». Οι λειτουργίες ενός οργανισμού σταματούν, οι πελάτες επηρεάζονται, οι ρυθμιστικές αρχές κάνουν ερωτήσεις, η φήμη πλήττεται και η μάρκα χάνει. Η εξέλιξη στην κυβερνοασφάλεια τράβηξε την προσοχή των Διοικητικών Συμβουλίων, που χρειάζονταν περισσότερη απλότητα και ορατότητα, όχι τεχνικές λεπτομέρειες. Αυτό που πραγματικά θέλουν να γνωρίζουν τα Διοικητικά Συμβούλια είναι: «Ποιους είναι οι κύριοι κίνδυνοί μας;», «Ποια είναι η κατάσταση ετοιμότητάς μας;», «Τι μπορεί να διαλύσει την επιχείρηση;» και «Τι κάνουμε αυτό το τρίμηνο για να μειώσουμε οποιονδήποτε κίνδυνο;». Ένας εξαιρετικός ηγέτης συνήθιζε να λέει: «Μην μου λες τι ξέρεις. Πες μου τι χρειάζεται να ξέρω». Αυτό ισχύει και εδώ.
Πώς προσεγγίζουν την κυβερνοασφάλεια οι εταιρείες στην Κύπρο και στην περιοχή; Στρατηγικά ή αντιδραστικά;
Η Κύπρος βελτιώνεται, αλλά πολλοί οργανισμοί παραμένουν ακόμα αντιδραστικοί και, ακόμα και όταν κινούνται, συχνά το κάνουν λόγω κανονιστικής υποχρέωσης. Αν το συγκρίνουμε με πριν από 10-20 χρόνια, η διαφορά είναι τεράστια: τότε, πολλοί οργανισμοί δεν είχαν καθόλου την κυβερνοασφάλεια στον ορίζοντά τους. Δεν την καταλάβαιναν και δεν αντιμετωπιζόταν ως θέμα διοίκησης (ήταν, πράγματι, «μόνο ζήτημα πληροφορικής» που δεν ήθελαν να ασχοληθούν). Σήμερα, με τις οδηγίες NIS2, DORA και τώρα CRA, η ευαισθητοποίηση αυξάνεται, αλλά βλέπουμε ακόμα την ίδια κοινή συμπεριφορά: πολλές εταιρείες κάνουν το ελάχιστο για να παραμείνουν συμμορφωμένες, ενώ κάποιες αρνούνται να συμμορφωθούν. Και έχουμε δει το ίδιο ακόμα και μετά από σοβαρές επιθέσεις: αντί να αναδομήσουν σωστά, συχνά ρωτούν: «Ποια είναι η ελάχιστη επένδυση που μπορούμε να κάνουμε για να προχωρήσουμε;». Τουλάχιστον, όμως, έχουμε μετακινηθεί από το «Δεν καταλαβαίνουμε το cyber» στο «Ας το συζητήσουμε».
Η Κύπρος έχει δεχθεί αρκετές κυβερνοεπιθέσεις. Από την εμπειρία σας με την κυβέρνηση, τι μπορεί να βελτιωθεί και πώς μπορεί να αντιμετωπιστεί αποτελεσματικά το πρόβλημα;
Αυτή είναι δύσκολη ερώτηση! Πολλοί υποθέτουν ότι η κυβερνοασφάλεια είναι ίδια παντού: εφαρμόζεις τα ίδια πλαίσια, αγοράζεις τα ίδια εργαλεία και τελείωσες. Αυτό δεν είναι ρεαλιστικό. Η δημόσια διοίκηση είναι διαφορετικό οικοσύστημα. Το τοπίο απειλών διαφέρει (σκοπός, επιμονή, ορατότητα) και το επιχειρησιακό μοντέλο είναι συχνά αποκεντρωμένο. Αυτό μπορεί να βοηθήσει την ευελιξία, αλλά χωρίς ισχυρό συντονισμό δημιουργεί άνιση ωριμότητα και «τυφλά σημεία». Με επιπλέον πραγματικούς περιορισμούς - έλλειψη προσωπικού, κενά δεξιοτήτων, αργές/άκαμπτες διαδικασίες προμηθειών - η εκτέλεση γίνεται πιο δύσκολη από ό,τι στον ιδιωτικό τομέα. Έτσι, έχουν τεθεί πρακτικές προτεραιότητες: κεντρικός συντονισμός βασικών διαδικασιών κυβερνοασφάλειας και δημόσιο-ιδιωτικές συνεργασίες για προσέλκυση δεξιοτήτων και ανάπτυξη εσωτερικής ικανότητας.
Ποιο είναι το μεγαλύτερο λανθασμένο συμπέρασμα που έχουν οι CEOs για τις στρατηγικές κυβερνοασφάλειας;
Το μεγαλύτερο λάθος είναι να θεωρούν ότι η κυβερνοασφάλεια είναι μια «μια και έξω» αγορά. «Προσλάβαμε CISO», «Το αναθέσαμε σε εξωτερικό», «Κάναμε penetration test», «Εγκαταστήσαμε firewall - καλύφθηκαμε…». Όλα αυτά είναι χρήσιμα βήματα, αλλά κανένα δεν είναι η ίδια η κυβερνοασφάλεια. Το cyber δεν είναι ένα έργο με ημερομηνία λήξης. Είναι μια ικανότητα - με συνεχή ιδιοκτησία και ρυθμό - γιατί οι κίνδυνοι μετακινούνται: ευπάθειες, νομοθεσία, απαιτήσεις πελατών, αλυσίδες εφοδιασμού, ψηφιοποίηση, νέες μέθοδοι επιθέσεων. Οι CEOs που το καταλαβαίνουν σωστά αντιμετωπίζουν το cyber σαν ασφάλεια ή ποιότητα: χρειάζεται σαφή υπευθυνότητα, πειθαρχημένα βασικά και συνεχόμενη βελτίωση. Η κυβερνοασφάλεια δεν είναι κάτι που ολοκληρώνεις – είναι κάτι που διαχειρίζεσαι.
Με τα νέα πλαίσια κυβερνοασφάλειας, όπως τα NIS2 και DORA, που εφαρμόζονται σε όλη την ΕΕ, οι οργανισμοί στην Κύπρο είναι έτοιμοι;
Όχι πλήρως και εξαρτάται από τον τομέα. Σχετικά με το NIS2, η Κύπρος πέρασε από την ευαισθητοποίηση στη νομική υποχρέωση. Οι εθνικές νομικές προσδοκίες είναι πλέον συγκεκριμένες για πολύ ευρύτερο φάσμα (600+ οντότητες), αλλά πολλοί παραμένουν σε «ελάχιστη συμμόρφωση» - ορίζοντας ρόλους και απαντώντας σε ερωτηματολόγια - αντί να χτίζουν επαναλαμβανόμενα συστήματα διαχείρισης ασφάλειας. Οι χρηματοοικονομικές υπηρεσίες αισθάνονται μεγαλύτερη πίεση γιατί η DORA εφαρμόστηκε νωρίτερα. Οι τράπεζες είναι γενικά μπροστά, αλλά το μεγαλύτερο κενό είναι στην υλοποίηση - δοκιμή, επιβολή εποπτείας τρίτων και απόδειξη ανθεκτικότητας, όχι απλώς τεκμηρίωση. Υπάρχει δυναμική. Η νομοθεσία το επιβάλλει, αλλά πολλοί οργανισμοί δεν είναι πρακτικά «έτοιμοι». Οι νικητές θα αντιμετωπίσουν τα NIS2/DORA ως αλλαγή μοντέλου λειτουργίας, όχι ως έργο συμμόρφωσης. Ας προσθέσω κάτι ίσως μη δημοφιλές: πολλοί λένε ότι η Ευρώπη είναι υπερρυθμισμένη, αλλά διαφωνώ. Χωρίς κανονισμούς, το cyber μένει πίσω, γιατί όλα τα άλλα θεωρούνται «επείγοντα». Η νομοθεσία θέτει βασικό επίπεδο, αναγκάζει σε υπευθυνότητα και προωθεί πιο ασφαλή οικοσυστήματα. Η νομοθεσία είναι ο επιταχυντής, η αντιμετώπισή της ως γραφειοκρατία αντί για ανθεκτικότητα είναι λάθος.
Πώς η τεχνητή νοημοσύνη αναδιαμορφώνει τόσο τις κυβερνοεπιθέσεις όσο και την κυβερνοασφάλεια;
Η AI κινείται γρήγορα. Όποιος ισχυρίζεται βεβαιότητα για το πού θα καταλήξει και πώς θα αναδιαμορφώσει τις διαδικασίες είναι απλώς υποθέτοντας. Από την πραγματική εμπειρία μπορώ να πω: είναι εδώ και καθιστά τις επιθέσεις πιο κλιμακούμενες και πειστικές – ειδικά όταν εξαπατά ανθρώπους ή διανέμει κακόβουλο λογισμικό. Βοηθά τους εγκληματίες να κλιμακώσουν ό,τι απαιτούσε περισσότερη προσπάθεια – πιο πειστικά phishing, ταχύτερη αναγνώριση, καλύτερη κοινωνική μηχανική, γρηγορότερη επανάληψη. Δεν δημιουργεί νέα εγκλήματα, αλλά κάνει γνωστές επιθέσεις φθηνότερες και πιο αποτελεσματικές.
Στην άμυνα, η AI βοηθά στην ταχύτητα - ταξινόμηση, ανίχνευση ανωμαλιών, ιεράρχηση και σύνοψη τεράστιου όγκου logs και alerts, αλλά μόνο αν ο οργανισμός έχει θέσει τα θεμέλια. Η AI δεν διορθώνει αδύναμους ελέγχους ταυτότητας, μη ενημερωμένα συστήματα ή κακές εφεδρικές διαδικασίες. Πρέπει να προσεγγίζουμε την AI όπως κάθε μεγάλη αλλαγή: μην πανικοβάλλεστε και μην τη λατρεύετε, ενισχύστε τα θεμέλια, χτίστε ανθεκτικότητα και χρησιμοποιήστε την προς όφελός σας.
Κοιτάζοντας πίσω στην καριέρα σας, ποια είναι η πιο καθοριστική αλλαγή στην κυβερνοασφάλεια που έχετε παρατηρήσει;
Είναι η κανονιστική επέκταση, από «καλό να υπάρχει» σε λίγους τομείς σε βασικές προσδοκίες σε κάθε βιομηχανία. Σήμερα, η νομοθεσία, η εποπτική πίεση και οι προσδοκίες πελατών και συνεργατών αναγκάζουν τους οργανισμούς να παίρνουν το cyber πιο σοβαρά, ακόμα κι αν δεν δραστηριοποιούνται σε παραδοσιακά «ρυθμιζόμενο» τομέα. Δεν είναι μόνο οι νόμοι αλλά η δευτερογενής επίδραση: αν οι πελάτες σας είναι ρυθμιζόμενοι, γίνεστε μέρος της αλυσίδας συμμόρφωσής τους. Προμηθευτές, πάροχοι υπηρεσιών, cloud vendors, όλοι καλούνται να αποδείξουν τους ελέγχους, την ανθεκτικότητα και την ετοιμότητα για περιστατικά. Αυτό ανέβασε την κυβερνοασφάλεια από μια άτυπη πρακτική σε μια δομημένη, τεκμηριωμένη, μετρήσιμη και συνεχώς βελτιούμενη πειθαρχία. Η νομοθεσία δεν έκανε την κυβερνοασφάλεια πιο δύσκολη. Την έκανε πραγματική.
Συνέντευξη: Νικόλας Πράκας
Photo by TASPHO
Από το αγγλιό επιχειρηματικό περιοδικό GOLD, τεύχος Μαρτίου 2026
