Ειδικότερα, τα 4 στα 10 στελέχη ελληνικών επιχειρήσεων θεωρούν ότι ο τομέας της Ψηφιακής Ασφάλειας, θα είναι ο πρώτος και βασικός πυλώνας για τις προκλήσεις που πρέπει ν΄ αντιμετωπίσουν οι επιχειρήσεις.

Κυβερνοσφάλεια, ανθεκτικότητα, ικανό ανθρώπινο δυναμικό με κατάλληλες δεξιότητες, και συμμόρφωση με το κανονιστικό πλαίσιο είναι οι τέσσερις βασικοί πυλώνες των προκλήσεων, που θ΄ αντιμετωπίσουν οι ελληνικές επιχειρήσεις, τα επόμενα χρόνια, καθώς οι τεχνολογίες Πληροφορικής (ΙΤ) αποκτούν ολοένα και περισσότερο στρατηγικό ρόλο.

Αυτό δείχνει τουλάχιστον η έρευνα που έγινε από τη «Global Link», για λογαριασμό της εταιρείας «Boussias Εvents» και παρουσιάστηκε στο Φόρουμ για Διευθυντές Πληροφορικής. Η έρευνα επιβεβαίωσε τα προβλήματα και τις προοπτικές των επιχειρήσεων τον καιρό της τεχνητής νοημοσύνης και το γεγονός ότι οι εφαρμογές είναι ακόμη σε εμβρυϊκό στάδιο. Καθώς έχουν φανεί οι παιδικές ασθένειες των Ψηφιακών Συστημάτων, οι επενδύσεις στην Κυβερνοασφάλεια αποτελούν μονόδρομο.   

Το γεγονός αυτό βέβαια δεν είναι ξένο προς τη συνολική ευρωπαϊκή στρατηγική με ορίζοντα το 2030. Η ΕΕ στοχεύει τα επόμενα 5 χρόνια να έχουν πρόσβαση στο διαδίκτυο υψηλής ταχύτητας πάνω από το 90% των μικρομεσαίων επιχειρήσεων, το 75% των εταιρειών να χρησιμοποιούν υπολογιστικό νέφος, μεγάλα δεδομένα ή Τεχνητή Νοημοσύνη και να υπάρχει βελτίωση στις προηγμένες ψηφιακές δεξιότητες.

Το προφίλ των ανθρώπων που απάντησε στα ερωτηματολόγια ήταν κατά 91% άνδρες και μόλις κατά 9% γυναίκες. Επομένως, η έρευνα δεν διατυπώνει διαφοροποιήσεις σε επίπεδο φύλου. Ούτως ή άλλως δυστυχώς το γυναικείο φύλο είναι μειωμένο σε υψηλόβαθμες διοικητικές θέσεις.

Τα στελέχη των επιχειρήσεων, που απάντησαν στην έρευνα ηλικιακά ήταν:  35-44, 15%, στο 45-54, 47% και στο 55+, 39%, γεγονός που επιβεβαιώνει πως έχει κατέβει ο μέσος όρος ηλικίας υψηλόβαθμων στελεχών και στη χώρα μας.

Η εκπαίδευσή των ερωτώμενων στελεχών αφορούσε: 13% μεταλυκειακές ιδιωτικές σχολές – ΤΕΙ, 16% ΑΕΙ, 60% με μεταπτυχιακό τίτλο (μάστερ) και με διδακτορικό τίτλο 11%. Το προφίλ των στελεχών εργαζόταν σε διαφορετικούς κλάδους αλλά υπερτερούσαν στην πρώτη τριάδα τα στελέχη που προέρχονταν από τους τομείς: Τεχνολογίας, Μεταφορών κι Ενέργειας.

Κατά την άποψή τους στην πρώτη πεντάδα των μεγαλύτερων ψηφιακών προκλήσεων των επιχειρήσεων σήμερα ήταν:

• 40% Κυβερνοασφάλεια και ανθεκτικότητα
• 33% Έλλειψη εξειδικευμένων δεξιοτήτων (Τεχνητή Νοημοσύνη, Υπολογιστικό Νέφος, Δεδομένα)
• 28% Προσαρμογή στην εποχή της Τεχνητής Νοημοσύνης
• 28% Συμμόρφωση με νομοθετικό – κανονιστικό πλαίσιο
• 27% Εσωτερική πολιτισμική αντίσταση στην αλλαγή

Οι 6 στους 10 γενικούς διευθυντές Πληροφορικής θεωρούν πως πλέον ο ρόλος τους είναι πιο στρατηγικός και καθοριστικός για τη λήψη αποφάσεων σε σχέση με το παρελθόν. Διαπιστώνουν πως ο τωρινός Γενικός Διευθυντής Πληροφορικής μετατρέπεται σε αρμόδιο υπεύθυνο του Ψηφιακού Μετασχηματισμού (40%) και στρατηγικό εταίρο της διοίκησης (36%). Ο τωρινός επικεφαλής της Διεύθυνσης Πληροφορικής (38%) μετατρέπεται σταδιακά σε υπεύθυνο για τον ψηφιακό μετασχηματισμό των επιχειρήσεων. Αυτός ο ψηφιακός μετασχηματισμός συμβαίνει μέσω:

• Τεχνητών εφαρμογών
• Επιτελικών διαδικασιών
• Συμμετοχής στη λήψη αποφάσεων και στο αμιγώς Εταιρικό Κομμάτι

Τα στελέχη παραδέχονται πως οι τεχνολογίες Πληροφορικής που επηρέασαν περισσότερο τον χώρο των επιχειρήσεων είναι η Κυβερνοασφάλεια (56%), το Υπολογιστικό Νέφος (55%), το Ψηφιακό Περιβάλλον, τα ψηφιακά εργαλεία για τη Συνεργασία/Σύμπραξη (39%) καθώς και τα Μεγάλα Δεδομένα και  η Εταιρική Νοημοσύνη (36%), που θέτουν τον πυρήνα για το επόμενο κύμα καινοτομίας.

Επενδύσεις: Η κατεύθυνση των επενδύσεων στον τομέα της Πληροφορικής, σύμφωνα με την έρευνα και οι προτεραιότητες στα τμήματα ΙΤ επικεντρώνονται σε:

•            Ασφάλεια και Ρίσκο Διοίκησης (77%),

•            Τεχνητή Νοημοσύνη και Γενιά Τεχνητής Νοημοσύνης (69%),

•            Εταιρική Νοημοσύνη και Αναλυτικά Δεδομένα (41%).

Κυβερνοασφάλεια: Οι βασικοί παράγοντες που διαμορφώνουν το νέο περιβάλλον αλλά αφορούν και στον προϋπολογισμό των επιχειρήσεων για το επόμενο έτος είναι η κυβερνοασφάλεια (49%) υποδεικνύοντας την ανάγκη για βελτιωμένη Τεχνική Υποστήριξη.

Τεχνητή Νοημοσύνη: Παρά την αυξανόμενη σημασία της Τεχνητής Νοημοσύνης μόλις το 18% των επιχειρήσεων έχει εφαρμόσει τεχνητή νοημοσύνη σε βασικές λειτουργίες. Το 71% βρίσκεται σε στάδιο διερεύνησης ή πιλοτικής εφαρμογής. Στη χώρα μας επομένως η ψηφιακή ωριμότητα βρίσκεται ακόμη σε πρώιμο στάδιο, με κύριο εμπόδιο την έλλειψη ικανοτήτων και τεχνογνωσίας.

Παρόλο, που η Ελλάδα είναι πιο πίσω σε σχέση με άλλες χώρες της Ευρώπης, η διαφορά συνδέεται με το γεγονός ότι δεν έχει μεγάλες σε προσωπικό, επιχειρήσεις, σε σύγκριση με άλλες ευρωπαϊκές χώρες του Βορρά ή της Δυτικής Ευρώπης. Το 2024, το 34,08% των επιχειρήσεων στον ευρωπαϊκό χώρο που χρησιμοποιούσαν τεχνολογίες Τεχνητής Νοημοσύνης έκαναν χρήση λογισμικών, συστημάτων μάρκετινγκ ή πωλήσεων και το 27,51% για την οργάνωση διαδικασιών ή διαχείρισης επιχειρηματικής διοίκησης. Το λογισμικό ή τα συστήματα Τεχνητής Νοημοσύνης για την εφοδιαστική αλυσίδα χρησιμοποιήθηκαν λιγότερο.

Προϋπολογισμός επιχειρήσεων: Ο ετήσιος προϋπολογισμός για ζητήματα πληροφορικής, σε ό, τι αφορά στους ερωτώμενους μέχρι στιγμής για το 72% των επιχειρήσεων, παραμένει σε χαμηλό επίπεδο. Καλύπτει το έως 9% του μπάτζετ στο 72% των εταιρειών,  έως 11% για το 10-19% των επιχειρήσεων και μόλις το 7% των επιχειρήσεων δαπανά πάνω από 20%.

Σε κάθε περίπτωση, πέρα από την έρευνα στο κομμάτι των Διευθύνσεων Πληροφορικής, οι επενδύσεις στον τομέα της ψηφιακής αγοράς σπάνε το ένα ρεκόρ πίσω από το άλλο. Όταν άλλοι κρατούν μικρό καλάθι και μιλούν για 2 τρις δολάρια, ο κόμβος Statista εξηγεί πως η αγορά ψηφιακών επενδύσεων προβλέπεται να φτάσει στα 3,1 τρις δολάρια μόνο για τις ΗΠΑ το 2025. Στον χάρτη ψηφιακών επενδύσεων, ως προς τα δεδομένα φιγουράρουν στην πρώτη πεντάδα, οι ΗΠΑ, η Κίνα, η Ινδία, το Ηνωμένο Βασίλειο και η Ιαπωνία.  Ο τομέας των επενδύσεων στην Ψηφιακή Οικονομία, σύμφωνα με έκθεση των Ηνωμένων Εθνών, δείχνει πως αυξάνονται κατά μέσο όρο 122 δισεκατομμύρια δολάρια ετησίως τα τελευταία χρόνια.

Νομικό Πλαίσιο: Παρόλα αυτά, όπως σωστά εξηγούν και τα στελέχη που πήραν μέρος στην έρευνα το νομοθετικό πλαίσιο είναι θολό. Στην Ευρώπη έχουν δημιουργηθεί το πρώτο κανονιστικό πλαίσιο μόλις το 2008 (Κανονισμός 300/2008). Με τον κανονισμό 1689/2024 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρώπης της 13^ης Ιουνίου αναγνωρίζεται ότι: «Τα συστήματα ΤΝ μπορούν εύκολα να εφαρμοστούν σε ευρύ φάσμα κλάδων της οικονομίας και σε πολλούς τομείς της κοινωνίας, μεταξύ άλλων και σε διασυνοριακό επίπεδο, μπορούν δε να κυκλοφορούν εύκολα σε ολόκληρη την Ένωση», τονίζει η ΕΕ, που ζητά εναρμόνιση των κρατών, με τη θέσπιση κοινών κανόνων εσωτερικής αγοράς ώστε να επιτευχθεί ένα αξιόπιστο πλαίσιο για την Τεχνητή Νοημοσύνη με υψηλό επίπεδο προστασίας, για τους πολίτες, τα κράτη και τις επιχειρήσεις.

Πως ορίζεται η Τεχνητή Νοημοσύνη (ΤΝ) από τους ευρωπαϊκούς θεσμούς: Κατά την Ευρωπαϊκή Ένωση «η ΤΝ είναι ένα ταχέως εξελισσόμενο σύνολο τεχνολογιών που συμβάλλει στην επίτευξη πολλών και ποικίλων οικονομικών, περιβαλλοντικών και κοινωνικών οφελών σε ολόκληρο το φάσμα των κλάδων της οικονομίας και των κοινωνικών δραστηριοτήτων αλλά επισημαίνονται και οι κίνδυνοι και οι βλάβες που μπορούν να προκληθούν για δημόσια συμφέροντα και θεμελιώδη δικαιώματα και γι΄ αυτό υπογραμμίζει πως η Τεχνητή Νοημοσύνη θα πρέπει να είναι «μία τεχνολογία ανθρωποκεντρική».

Επιχειρήσεις και ΤΝ: Παρότι η έρευνα δείχνει από τα λεγόμενα των ερωτώμενων στελεχών, πως η Ελλάδα βρίσκεται γύρω στο 18% στην Τεχνητή Νοημοσύνη, αυτό δεν συνάδει με τα στοιχεία της ΕΕ, που τη δείχνουν πιο κάτω από τον μέσο όρο της ΕΕ. Με μέσον όρο άνοδο γύρω στο 5% ετησίως, το 2024, μόλις το 13,48% των επιχειρήσεων της ΕΕ χρησιμοποίησε τεχνολογίες τεχνητής νοημοσύνης:

• Τεχνολογίες ανάλυσης γραπτού λόγου (εξόρυξη κειμένου)
• Τεχνολογίες που μετατρέπουν την προφορική γλώσσα σε μορφή αναγνώσιμη από μηχανές (αναγνώριση ομιλίας)
• Τεχνολογίες που παράγουν γραπτή ή προφορική γλώσσα (παραγωγή φυσικής γλώσσας)
• Τεχνολογίες που αναγνωρίζουν αντικείμενα ή άτομα με βάση εικόνες (αναγνώριση εικόνας, επεξεργασία εικόνας)
• Μηχανική μάθηση (π.χ. βαθιά μάθηση) για ανάλυση δεδομένων
• Τεχνολογίες που αυτοματοποιούν διαφορετικές ροές εργασίας ή βοηθούν στη λήψη αποφάσεων (αυτοματοποίηση ρομποτικών διαδικασιών με βάση το λογισμικό τεχνητής νοημοσύνης)
• Τεχνολογίες που επιτρέπουν στις μηχανές να κινούνται φυσικά παρατηρώντας το περιβάλλον τους και λαμβάνοντας αυτόνομες αποφάσεις.

Την ίδια χρονιά όμως το 41,17% των μεγάλων επιχειρήσεων της ΕΕ χρησιμοποίησαν τεχνολογίες τεχνητής νοημοσύνης. Είναι σαφές πως το ψηφιακό χάσμα μεγαλώνει σε χώρες της Ευρώπης, που έχουν κυρίως μικρομεσαίες αντί για μεγάλες επιχειρήσεις. Το 2024, το 11,21% των μικρών επιχειρήσεων, το 20,97% των μεσαίων επιχειρήσεων και το 41,17% των μεγάλων επιχειρήσεων χρησιμοποίησαν την Τεχνητή Νοημοσύνη, γεγονός που εξηγείται από την πολυπλοκότητα της εφαρμογής τεχνολογιών Τεχνητής Νοημοσύνης σε μια επιχείρηση, τις οικονομίες κλίμακας ή το κόστος αγοράς, λειτουργίας κ.ο.κ.

Σκοποί Τεχνητής Νοημοσύνης: Η μεγαλύτερη διαφορά και παρατηρήθηκε στον ευρωπαϊκό χώρο μεταξύ μικρών και μεγάλων επιχειρήσεων καταγράφηκε για εκείνες που χρησιμοποιούσαν λογισμικό ή συστήματα Τεχνητής Νοημοσύνης για την ασφάλεια: 46,44% μεγάλες επιχειρήσεις, 17,19% μικρές επιχειρήσεις, ακολουθούμενες από εκείνες που τα χρησιμοποιούσαν για παραγωγικές διαδικασίες: 34,65% μεγάλες επιχειρήσεις, 21,62% μικρές επιχειρήσεις κι εκείνες που τα χρησιμοποιούσαν για διαχείριση και αποθήκευση υλικού (logistics), 15,85% μεγάλες επιχειρήσεις, 4,48% μικρές επιχειρήσεις.

Δυστυχώς, αυτό που παραδέχονται εμμέσως τα στελέχη, που έλαβαν μέρος στην έρευνα είναι πως οι δυνατότητες των ελληνικών μικρομεσαίων επιχειρήσεων, για ψηφιακό μετασχηματισμό είναι περιορισμένες, γεγονός που γιγαντώνει το ψηφιακό χάσμα ανάμεσα στις μεγάλες, τις μεσαίες και τις μικρές επιχειρήσεις. Κι αυτό θα πρέπει να προβληματίσει τους διοικούντες στην Ευρώπη. Παρότι θεωρητικά θέλουν να βοηθήσουν τις μικρομεσαίες επιχειρήσεις και ν΄ ανταγωνιστούν ΗΠΑ και Κίνα, στρέφουν αμιγώς μόλις, 1,33 δις ευρώ 226 εκατ. ευρώ — ΜΣΕ Ψηφιακός τομέας κι 1,1 δισεκατ. Ευρώ με το πρόγραμμα «Ψηφιακή Ευρώπη» και προσβλέπουν στην Πολεμική Οικονομία με ό, τι κινδύνους αυτό συνεπάγεται για τη γενίκευση πολεμικών συγκρούσεων στη γηραιά Ήπειρο.

Ρούλα Μαντή

Εάν θέλετε πραγματικά να εμβαθύνετε στις λεπτομέρειες της ψηφιακής ασφάλειας, διαβάστε τις τετράτομες Οδηγίες Ψηφιακής Ταυτότητας από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST). Είναι ένα τεράστιο έγγραφο και μεγάλο μέρος του απευθύνεται σε ομοσπονδιακές υπηρεσίες που χρειάζονται εξαιρετικά ισχυρή ασφάλεια. Υπάρχουν επίσης πολλές πρακτικές, ευανάγνωστες πληροφορίες, όπως η συζήτηση για το πόσο μεγάλοι και πολύπλοκοι κωδικοί πρέπει πραγματικά να είναι.

Οι άνθρωποι του NIST έχουν δημιουργήσει μια απλή σελίδα Βασικών οδηγιών Κυβερνοασφάλειας που συνοψίζει όλες αυτές τις τεχνικές πληροφορίες σε μια σειρά από σαφείς οδηγίες για ιδιοκτήτες και διευθυντές μικρών επιχειρήσεων.

Για μια απλούστερη, πιο πρακτική συλλογή οδηγιών, δοκιμάστε τον ιστότοπο Secure Our World , που διαχειρίζεται η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA). Απευθύνεται σε ένα κοινό καταναλωτών χωρίς τεχνικό υπόβαθρο, γεγονός που το καθιστά μια σταθερή πηγή πληροφοριών που μπορείτε να μοιραστείτε με φίλους και συγγενείς για να τους βοηθήσετε να αντιμετωπίσουν κοινές απειλές.

Σύμφωνα με τις πιο πρόσφατες εκδόσεις όλων αυτών των εγγράφων παρακάτω είναι μια λίστα με επτά κανόνες που πρέπει να ακολουθούνται όταν πρόκειται για κωδικούς πρόσβασης.

1. Βεβαιωθείτε ότι όλοι οι κωδικοί πρόσβασης είναι αρκετά ισχυροί
   

Τι κάνει έναν κωδικό πρόσβασης ισχυρό;

Είναι αρκετά μεγάλος — τουλάχιστον 12 χαρακτήρες και ιδανικά περισσότεροι.
Είναι τυχαίο, με συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων που δεν βρίσκονται σε ένα λεξικό και δεν περιλαμβάνουν κανένα μέρος του ονόματός σας ή το όνομα της υπηρεσίας που ξεκλειδώνουν.
Δεν είναι εύκολο να μαντέψεις.
Από όλους αυτούς τους παράγοντες, οι ειδικοί συμφωνούν ότι το μήκος είναι το πιο σημαντικό. Στην πραγματικότητα, οι ειδικοί στο NIST λένε ότι οι πρόσφατες αναλύσεις των βάσεων δεδομένων με παραβιασμένους κωδικούς πρόσβασης δείχνουν ότι το να έχεις μεγαλύτερο κωδικό πρόσβασης είναι πολύ πιο σημαντικό από το να προσπαθείς να τον κάνεις περίπλοκο.

Οι φράσεις πρόσβασης που αποτελούνται από τρεις ή περισσότερες άσχετες λέξεις που χωρίζονται με σύμβολα και αριθμούς μπορούν επίσης να είναι αποτελεσματικές.

2. Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης
   

Ο μέσος άνθρωπος έχει δεκάδες κωδικούς πρόσβασης. Ένα εξαιρετικά δραστήριο διαδικτυακά άτομο μπορεί να έχει εκατοντάδες διαπιστευτήρια. Κανένας άνθρωπος δεν μπορεί να απομνημονεύσει ακόμη και μια χούφτα μακρών, τυχαίων, μοναδικών κωδικών πρόσβασης. Αυτός είναι ο λόγος για τον οποίο χρειάζεστε έναν διαχειριστή κωδικών πρόσβασης , ο οποίος εκφορτώνει τη δουλειά της δημιουργίας μοναδικών, αδύνατων να μαντέψετε κωδικών πρόσβασης και τους αποθηκεύει σε έναν ασφαλή, κρυπτογραφημένο θύλακα.

Τεχνικά, ένα σημειωματάριο με στυλό και χαρτί μπορεί να κάνει μέρος αυτής της δουλειάς, αν και με πολύ περισσότερη δυσκολία. Ένας διαχειριστής κωδικών πρόσβασης που βασίζεται σε λογισμικό, ωστόσο, κάνει πολλά περισσότερα: δημιουργεί αμέσως πραγματικά τυχαίους κωδικούς πρόσβασης, αποθηκεύει τα διαπιστευτήριά σας σε μια κρυπτογραφημένη βάση δεδομένων και συγχρονίζει τα πάντα σε πολλές συσκευές.

Το πιο σημαντικό επίπεδο προστασίας, ωστόσο, είναι αυτό που δεν είναι αμέσως προφανές. Ο διαχειριστής κωδικών πρόσβασης γνωρίζει ποιος τομέας (ή τομείς) σχετίζεται με ένα αποθηκευμένο σύνολο διαπιστευτηρίων και δεν θα εισάγει κωδικό πρόσβασης σε έναν τομέα που δεν είναι εξουσιοδοτημένος. Έτσι, εάν ένας έμπειρος εισβολέας δημιουργήσει ένα email που σας ξεγελάει ώστε να πιστεύετε ότι προέρχεται από την τράπεζά σας ή τον μεσίτη σας και κάνετε κλικ σε έναν σύνδεσμο που πηγαίνει σε έναν ψεύτικο τομέα, ο διαχειριστής κωδικών πρόσβασης θα αρνηθεί να εισαγάγει τα διαπιστευτήριά σας.

Αυτό είναι ένα ισχυρό εργαλείο κατά του phishing.

3. Μην επαναχρησιμοποιείτε ποτέ έναν κωδικό πρόσβασης
   

Είναι φυσικό ανθρώπινο ένστικτο να έχετε ένα αγαπημένο σύνολο διαπιστευτηρίων (όνομα χρήστη και κωδικό πρόσβασης) που χρησιμοποιείτε ξανά σε πολλούς ιστότοπους. Ναι, αυτό κάνει τα πράγματα πιο εύκολα να θυμούνται, αλλά διασφαλίζει επίσης ότι μια παραβίαση δεδομένων σε έναν ιστότοπο θα δώσει στους εισβολείς πρόσβαση σε αυτό το σύνολο διαπιστευτηρίων, τα οποία θα δοκιμάσουν με τη σειρά τους σε άλλους ιστότοπους που δεν επηρεάστηκαν από την παραβίαση.

Επίσης: Όταν εξαντληθεί η υποστήριξη των Windows 10, έχετε 5 επιλογές, αλλά μόνο 2 αξίζει να εξεταστούν

Ένας καλός διαχειριστής κωδικών πρόσβασης θα πρέπει να επισημαίνει τους επαναχρησιμοποιημένους κωδικούς πρόσβασης και να προσφέρει τη δημιουργία ισχυρών, μοναδικών αντικαταστατών.

Σημείωση: Η απλή επισήμανση ενός θαυμαστικού ή ενός αριθμού στο τέλος του παλιού σας κωδικού πρόσβασης δεν πληροί τις προϋποθέσεις για τη δημιουργία νέου κωδικού πρόσβασης. Ούτε η δημιουργία μιας νέας παραλλαγής ενός από τους κωδικούς πρόσβασης που χρησιμοποιείτε συνήθως.

4. Αποφύγετε τις υποδείξεις κωδικού πρόσβασης
   

Η όλη ιδέα μιας υπόδειξης κωδικού πρόσβασης είναι ότι αποτελείται από κάποια λέξη ή όνομα ή ημερομηνία που έχει νόημα για εσάς. Εξ ορισμού, αυτό το είδος κωδικού πρόσβασης είναι εύκολο να μαντέψει κανείς και η προσθήκη μιας υπόδειξης κωδικού πρόσβασης κάνει τη δουλειά ακόμα πιο εύκολη για κάποιον που θέλει να εισβάλει στους λογαριασμούς σας.

Η καλύτερη υπόδειξη κωδικού πρόσβασης είναι τέσσερις λέξεις: “Έλεγχος διαχείρισης κωδικών πρόσβασης”.

5. Αλλάξτε τους προεπιλεγμένους κωδικούς πρόσβασης
   

Ένας από τους πιο ύπουλους τρόπους για να εισβάλουν οι εισβολείς σε ένα οικιακό ή επαγγελματικό δίκτυο είναι να περάσουν από μια συσκευή σε αυτό το δίκτυο, χρησιμοποιώντας τρωτά σημεία στη διεπαφή διαχείρισης. Αυτός θα μπορούσε να είναι ο δρομολογητής σας Wi-Fi, για παράδειγμα, με τον προεπιλεγμένο κωδικό πρόσβασής του, ο οποίος συχνά είναι απλώς ο κωδικός πρόσβασης . Οι κάμερες που βασίζονται σε IP και τα κουδούνια πόρτας που εγκαθιστάτε ως μέρος ενός συστήματος οικιακής ασφάλειας είναι επίσης πιθανά σημεία εισόδου.

Εάν έχετε κάποια από αυτές τις συσκευές στο δίκτυό σας, αντικαταστήστε αυτούς τους προεπιλεγμένους κωδικούς πρόσβασης με πιο ισχυρά διαπιστευτήρια.

6. Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων όποτε είναι δυνατόν
   

Ανεξάρτητα από το πόσο ισχυρούς κάνετε τους κωδικούς πρόσβασής σας και πόσο προσεκτικά προσπαθείτε να τους προστατεύσετε από τον παραβιασμό, κάτι συμβαίνει. (Δεν είναι ακριβώς έτσι η έκφραση, αλλά είναι αρκετά κοντά.)

Η πιο αποτελεσματική προστασία, με διαφορά, είναι να διασφαλίσετε ότι κανείς δεν μπορεί να συνδεθεί στους λογαριασμούς σας σε μια νέα συσκευή, εκτός εάν μπορεί να παρέχει μια δεύτερη μορφή αναγνώρισης, ιδανικά χρησιμοποιώντας μια εφαρμογή ελέγχου ταυτότητας σε μια συσκευή που διαθέτετε. (Οι κωδικοί που αποστέλλονται στο τηλέφωνό σας μέσω SMS είναι μια αποδεκτή επιλογή, αλλά διατρέχουν μεγαλύτερο κίνδυνο να παραληφθούν από έναν αποφασισμένο εισβολέα.)

7. Μην αλλάξετε τους κωδικούς πρόσβασής σας εκτός και αν χρειαστεί
   

Οι ειδικοί συμφωνούν ότι η τακτική αλλαγή κωδικών πρόσβασης δεν είναι απαραίτητη και ότι οι οργανισμοί που απαιτούν από τους χρήστες να αλλάξουν τον κωδικό πρόσβασής τους χωρίς λόγο, στην πραγματικότητα κάνουν τα δίκτυά τους λιγότερο ασφαλή.

Γιατί; Επειδή οι άνθρωποι που αναγκάζονται να αλλάζουν τους κωδικούς πρόσβασης τακτικά είναι πιθανό να επιλέξουν έναν αδύναμο, εύκολο να μαντέψεις κωδικό πρόσβασης. Εάν έχετε κάνει καλή δουλειά στην επιλογή ενός ισχυρού και μοναδικού κωδικού πρόσβασης, δεν χρειάζεται να τον αλλάξετε υπό κανονικές συνθήκες.

Λοιπόν, πότε πρέπει να αλλάξετε τον κωδικό πρόσβασής σας;

Προφανώς, θα πρέπει να αντικαταστήσετε έναν κωδικό πρόσβασης εάν είναι απαράδεκτα αδύναμος ή εάν είναι αντίγραφο αυτού που χρησιμοποιείτε αλλού. Θα πρέπει επίσης να αλλάξετε οποιονδήποτε κωδικό πρόσβασης με την πρώτη υπόδειξη ότι έχει παραβιαστεί ως μέρος παραβίασης δεδομένων.

Τούτου λεχθέντος, εάν το τμήμα πληροφορικής σας ή μια ηλεκτρονική υπηρεσία επιμένει να επιβάλει αλλαγή κωδικού πρόσβασης, θα πρέπει να κάνετε ό,τι λένε. Απλώς αφήστε τον διαχειριστή κωδικών πρόσβασης να δημιουργήσει τον μεγαλύτερο, ισχυρότερο κωδικό πρόσβασης που ανταποκρίνεται στις απαιτήσεις του.

Ως αποτέλεσμα αυτής της αύξησης, όλοι βρίσκονται σε κόκκινο συναγερμό: οι καταναλωτές δίνουν μεγαλύτερη προσοχή στο πού πηγαίνουν τα δεδομένα τους. Οι κυβερνήσεις θεσπίζουν κανονισμούς για την προστασία των πολιτών τους και οι οργανισμοί ξοδεύουν περισσότερο χρόνο, ενέργεια και χρήματα για να προστατεύσουν τις δραστηριότητές τους από το έγκλημα στον κυβερνοχώρο.

Για τους οργανισμούς, η αυξανόμενη συνειδητοποίηση των κινδύνων στον κυβερνοχώρο, τόσο από τους καταναλωτές όσο και από τις ρυθμιστικές αρχές, δεν είναι απαραίτητο ότι δημιουργεί προβλήματα. Στην πραγματικότητα, το τρέχον κλίμα θα μπορούσε να παρουσιάσει στους έμπειρους ηγέτες μια σημαντική ευκαιρία ανάπτυξης. Η έρευνα της McKinsey δείχνει ότι οι οργανισμοί που βρίσκονται στην καλύτερη θέση για την οικοδόμηση ψηφιακής εμπιστοσύνης είναι πιο πιθανό από άλλους να δουν ετήσια ανάπτυξη  τουλάχιστον 10%.

Ποια είναι η τρέχουσα κατάσταση της κυβερνοασφάλειας για τους καταναλωτές, τις ρυθμιστικές αρχές και τους οργανισμούς; Και πώς μπορούν οι οργανισμοί να μετατρέψουν τους κινδύνους σε ανταμοιβές;

Τι είναι η κυβερνοεπίθεση;

Προτού μάθουμε πώς οι οργανισμοί και τα άτομα μπορούν να προστατεύσουν τον εαυτό τους, ας ξεκινήσουμε με ένα βασικό ερώτημα: από τι προστατεύονται; Τι είναι η κυβερνοεπίθεση; Είναι οποιαδήποτε κακόβουλη επίθεση σε σύστημα υπολογιστή, δίκτυο ή συσκευή για την απόκτηση πρόσβασης και πληροφοριών. Υπάρχουν πολλοί διαφορετικοί τύποι κυβερνοεπιθέσεων.

Εδώ είναι μερικοί από τους πιο κοινούς:

• Το κακόβουλο λογισμικό είναι λογισμικό, συμπεριλαμβανομένων των spyware, ransomware και ιών. Έχει πρόσβαση σε ένα δίκτυο μέσω μιας αδυναμίας—για παράδειγμα, όταν ένα μέλος του δικτύου κάνει κλικ σε έναν αμφιλεγόμενο σύνδεσμο ή συνημμένο email. Μόλις το κακόβουλο λογισμικό ελέγξει ένα σύστημα, μπορεί να απαιτήσει πληρωμή σε αντάλλαγμα για πρόσβαση σε αυτό το σύστημα (ransomware), να μεταδώσει κρυφά πληροφορίες από το δίκτυο (spyware) ή να εγκαταστήσει πρόσθετο επιβλαβές λογισμικό στο δίκτυο. Το 2021, μόνο οι επιθέσεις ransomware αυξήθηκαν κατά 105 τοις εκατό .
• Το ηλεκτρονικό ψάρεμα περιλαμβάνει έναν κακό ηθοποιό που στέλνει ένα δόλιο μήνυμα που φαίνεται να προέρχεται από μια νόμιμη πηγή, όπως μια τράπεζα ή μια εταιρεία, ή από κάποιον με λάθος αριθμό. Οι επιθέσεις phishing γίνονται μέσω email, μηνυμάτων κειμένου ή μέσων κοινωνικής δικτύωσης. Συνήθως, ο στόχος είναι η κλοπή πληροφοριών εγκαθιστώντας κακόβουλο λογισμικό ή προτρέποντας το θύμα να αποκαλύψει προσωπικά στοιχεία.
• Οι επιθέσεις Man-in-the-Middle είναι περιστατικά στα οποία ένας εισβολέας έρχεται μεταξύ δύο μελών μιας συναλλαγής για να κρυφακούσει προσωπικές πληροφορίες. Αυτές οι επιθέσεις είναι ιδιαίτερα συχνές σε δημόσια δίκτυα Wi-Fi, τα οποία μπορούν εύκολα να χακαριστούν.
• Οι επιθέσεις άρνησης υπηρεσίας κατακλύζουν τα συστήματα με κίνηση για να φράζουν το εύρος ζώνης, έτσι ώστε να μην μπορούν να ικανοποιήσουν τα νόμιμα αιτήματα. Ο στόχος αυτού του τύπου επίθεσης είναι να τερματίσει τα συστήματα.
• Οι επιθέσεις κωδικών πρόσβασης δημιουργούνται από εγκληματίες του κυβερνοχώρου που προσπαθούν να κλέψουν κωδικούς πρόσβασης με εικασίες ή απάτη.

Τα άτομα και οι εταιρείες μπορούν να προστατευτούν από κυβερνοεπιθέσεις με διάφορους τρόπους—από κωδικούς πρόσβασης έως φυσικές κλειδαριές σε σκληρούς δίσκους. Η ασφάλεια δικτύου προστατεύει ένα ενσύρματο ή ασύρματο δίκτυο υπολογιστών από εισβολείς. Η ασφάλεια των πληροφοριών—όπως τα μέτρα προστασίας δεδομένων στον Γενικό Κανονισμό για την Προστασία Δεδομένων της Ευρώπης (GDPR)—προστατεύει ευαίσθητα δεδομένα από μη εξουσιοδοτημένη πρόσβαση. Υπάρχουν πολλά περισσότερα είδη κυβερνοασφάλειας, όπως λογισμικό προστασίας από ιούς και τείχη προστασίας. Η κυβερνοασφάλεια είναι μεγάλη επιχείρηση: μια εταιρεία τεχνολογικής έρευνας και παροχής συμβουλών εκτιμά ότι οι επιχειρήσεις θα δαπανήσουν περισσότερα από 188 δισεκατομμύρια δολάρια για την ασφάλεια των πληροφοριών το 2023.

Παρά τα εκτεταμένα μέτρα που εφαρμόζουν οι οργανισμοί για την προστασία τους, συχνά δεν φτάνουν αρκετά μακριά. Οι εγκληματίες του κυβερνοχώρου εξελίσσουν συνεχώς τις μεθόδους τους για να επωφεληθούν από τις αλλαγές των καταναλωτών και τα πρόσφατα εκτεθειμένα κενά. Όταν ο κόσμος στράφηκε βιαστικά στην απομακρυσμένη εργασία στην αρχή της πανδημίας, για παράδειγμα, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν τα νέα τρωτά σημεία του λογισμικού για να προκαλέσουν όλεθρο στα συστήματα υπολογιστών. Το Κέντρο Παραπόνων Διαδικτυακού Εγκλήματος του Ομοσπονδιακού Γραφείου Ερευνών των ΗΠΑ (FBI) ανέφερε αύξηση σχεδόν 50 τοις εκατό στα ύποπτα εγκλήματα στο Διαδίκτυο το 2020 από το 2019. Οι αναφερόμενες ζημίες ξεπέρασαν τα 4,2 δισεκατομμύρια δολάρια.

Ποιες τάσεις στον κυβερνοχώρο προβλέπονται τα επόμενα τρία έως πέντε χρόνια;

Ο κίνδυνος στον κυβερνοχώρο δεν είναι στατικός και δεν εξαφανίζεται ποτέ. Μόνο αν υιοθετήσουν μια δυναμική, στραμμένη προς το μέλλον στάση μπορούν οι εταιρείες να συμβαδίσουν με την κατάσταση του παιχνιδιού και να μετριάσουν τις διαταραχές στο μέλλον. Αυτές οι τρεις μεγάλες τάσεις στον κυβερνοχώρο  μπορεί να έχουν τις μεγαλύτερες επιπτώσεις για τους οργανισμούς:

1. Η πρόσβαση κατ’ απαίτηση σε πανταχού παρούσες πλατφόρμες δεδομένων και πληροφοριών αυξάνεται. Οι πρόσφατες μετατοπίσεις προς τις πλατφόρμες κινητής τηλεφωνίας και την απομακρυσμένη εργασία απαιτούν πρόσβαση υψηλής ταχύτητας σε πανταχού παρόντα, μεγάλα σύνολα δεδομένων. Αυτή η εξάρτηση επιδεινώνει την πιθανότητα παραβίασης. Οι οργανισμοί συλλέγουν περισσότερα δεδομένα από ποτέ για τους πελάτες τους, επομένως μια τέτοια παραβίαση θα μπορούσε να είναι ιδιαίτερα δαπανηρή. Για την αποθήκευση, τη διαχείριση και την προστασία των δεδομένων, οι οργανισμοί χρειάζονται πλατφόρμες νέας τεχνολογίας.
2. Οι χάκερ χρησιμοποιούν τεχνητή νοημοσύνη, μηχανική μάθηση και άλλες τεχνολογίες για να εξαπολύσουν όλο και πιο εξελιγμένες επιθέσεις. Πέρασαν οι εποχές του χάκερ με κουκούλα που εργαζόταν μόνος σε ένα δωμάτιο με σκιές συσκότισης. Σήμερα, το hacking είναι μια βιομηχανία πολλών δισεκατομμυρίων δολαρίων, πλήρης με θεσμικές ιεραρχίες και προϋπολογισμούς Ε&Α. Οι επιτιθέμενοι που χρησιμοποιούν προηγμένα εργαλεία όπως η τεχνητή νοημοσύνη, ο αυτοματισμός και η μηχανική μάθηση θα μειώσουν τον κύκλο ζωής μιας επίθεσης από βδομάδες σε ημέρες ή και ώρες. Άλλες τεχνολογίες και δυνατότητες καθιστούν γνωστές μορφές επιθέσεων, όπως ransomware και phishing, ευκολότερες και πιο κοινές.
3. Το αυξανόμενο ρυθμιστικό τοπίο και τα συνεχιζόμενα κενά σε πόρους, γνώση και ταλέντο σημαίνουν ότι οι οργανισμοί πρέπει να εξελίσσονται συνεχώς και να προσαρμόζουν την προσέγγισή τους στον τομέα της κυβερνοασφάλειας. Πολλοί οργανισμοί δεν έχουν αρκετή γνώση, ταλέντο και εξειδίκευση  σε θέματα κυβερνοασφάλειας. Το έλλειμμα αυξάνεται καθώς οι ρυθμιστικές αρχές αυξάνουν την παρακολούθηση της κυβερνοασφάλειας στις εταιρείες.

Αυτές είναι οι τρεις τάσεις στον κυβερνοχώρο που προβλέπει η McKinsey για τα επόμενα χρόνια.

Πώς προσεγγίζουν οι ρυθμιστικές αρχές την κυβερνοασφάλεια;

Καθώς οι κυβερνοεπιθέσεις υψηλού προφίλ εκτοξεύουν την ασφάλεια δεδομένων στο διεθνές προσκήνιο, οι υπεύθυνοι χάραξης πολιτικής δίνουν αυξημένη προσοχή στον τρόπο με τον οποίο οι οργανισμοί διαχειρίζονται τα δεδομένα του κοινού. Στις Ηνωμένες Πολιτείες, η ομοσπονδιακή κυβέρνηση και τουλάχιστον 45 πολιτείες και το Πουέρτο Ρίκο έχουν εισαγάγει  ή έχουν εξετάσει περισσότερα από 250 νομοσχέδια ή ψηφίσματα που αφορούν την ασφάλεια στον κυβερνοχώρο. Στην Ευρώπη, ο Γενικός Κανονισμός για την Προστασία Δεδομένων επιβάλλει πρόστιμα έως και 4 τοις εκατό του παγκόσμιου τζίρου σε εταιρείες που δεν προστατεύουν τα δεδομένα των πελατών τους.

Πώς μπορούν οι μεγάλοι οργανισμοί, κυρίως των ΗΠΑ, να προετοιμαστούν για νέους κανονισμούς στον κυβερνοχώρο;

Ορισμένοι από τους πιο σημαντικούς συμβιβασμούς βασικών υπηρεσιών ή πληροφοριών τα τελευταία χρόνια αφορούσαν επιθέσεις εναντίον μεγάλων αμερικανικών εταιρειών. Το 2021, το FBI έλαβε τον μεγαλύτερο αριθμό καταγγελιών για εγκλήματα στον κυβερνοχώρο και ανέφερε συνολικές απώλειες στην ιστορία: σχεδόν 850.000 καταγγελίες, που αντικατοπτρίζουν ζημίες άνω των 6,9 δισεκατομμυρίων δολαρίων. Η νέα νομοθεσία θα επηρεάσει τον τρόπο με τον οποίο οι εταιρείες αναφέρουν και αποκαλύπτουν το έγκλημα στον κυβερνοχώρο και πώς διέπουν τις προσπάθειές τους για την καταπολέμησή του.

Υπάρχουν τρία βήματα που μπορούν να λάβουν οι αμερικανικοί οργανισμοί για να βοηθήσουν στην προετοιμασία για νέους κανονισμούς.

• Ετοιμότητα. Οι εταιρείες μπορούν να αυξήσουν την ετοιμότητά τους για κυβερνοεπιθέσεις ελέγχοντας διπλά την ικανότητά τους να τις εντοπίζουν και να τις αναγνωρίζουν και δημιουργώντας σαφείς διαδικασίες αναφοράς. Οι υπάρχουσες διαδικασίες θα πρέπει να δοκιμαστούν και να τελειοποιηθούν μέσω ασκήσεων προσομοίωσης.
• Απάντηση. Οι εταιρείες μπορούν να αναβαθμίσουν την απόκρισή τους στις κυβερνοεπιθέσεις βελτιώνοντας την ικανότητά τους να εντοπίζουν, να περιορίζουν, να εξαλείφουν και να ανακτούν από αυτές. Μπορούν, για παράδειγμα, να δημιουργήσουν νευρικά κέντρα κρίσης, να προσλάβουν εξωτερικούς ειδικούς για να διασταυρώσουν τα σχέδιά τους και να εφαρμόσουν πρωτόκολλα για τη χρήση εναλλακτικής υποστήριξης και υπηρεσιών κατά τη διάρκεια μιας επίθεσης.
• Αποκατάσταση. Στον απόηχο μιας κρίσης, οι εταιρείες μπορούν να αναλογιστούν τα διδάγματα που αντλήθηκαν και να τα εφαρμόσουν σε καλύτερες στρατηγικές για μεγαλύτερη ανθεκτικότητα.

Οι εταιρείες μπορούν να αυξήσουν την ετοιμότητά τους για κυβερνοεπιθέσεις ελέγχοντας διπλά την ικανότητά τους να τις εντοπίζουν και να τις εντοπίζουν και δημιουργώντας σαφείς διαδικασίες αναφοράς.

Πώς μπορούν να βοηθήσουν οι πάροχοι τεχνολογίας και υπηρεσιών κυβερνοασφάλειας;

Οι κυβερνοεπιθέσεις είναι σε καλό δρόμο για να προκαλέσουν ζημιά 10,5 τρισεκατομμυρίων δολαρίων ετησίως έως το 2025. Αυτό είναι μια αύξηση 300 τοις εκατό από τα επίπεδα του 2015. Για την προστασία από την επίθεση, οι οργανισμοί σε όλο τον κόσμο ξόδεψαν περίπου 150 δισεκατομμύρια δολάρια για την ασφάλεια στον κυβερνοχώρο το 2021, και το ποσό αυτό αυξάνεται κατά 12,4 τοις εκατό ετησίως. Αλλά ακόμη και αυτό μάλλον δεν είναι αρκετό: ο όγκος των απειλών προβλέπεται να αυξηθεί τα επόμενα χρόνια.

Το χάσμα μεταξύ της τρέχουσας αγοράς και της συνολικής διευθυνσιοδοτούμενης αγοράς είναι τεράστιο. Μόνο το 10 τοις εκατό της αγοράς λύσεων ασφαλείας έχει διεισδύσει επί του παρόντος. Η συνολική ευκαιρία είναι από 1,5 τρισεκατομμύρια δολάρια έως 2 τρισεκατομμύρια δολάρια .

Δεδομένων των τρεχουσών τάσεων, οι πάροχοι κυβερνοασφάλειας μπορούν να επικεντρωθούν σε τέσσερις βασικούς τομείς :

Τεχνολογίες cloud. Για το άμεσο μέλλον, η μετάβαση στο cloud  θα συνεχίσει να κυριαρχεί στις τεχνολογικές στρατηγικές πολλών οργανισμών. Επομένως, οι πάροχοι θα πρέπει να μπορούν να προστατεύουν τόσο τις γενικές όσο και τις εξειδικευμένες διαμορφώσεις cloud.

Μηχανισμοί τιμολόγησης. Οι περισσότερες λύσεις στον κυβερνοχώρο που κυκλοφορούν αυτή τη στιγμή στην αγορά δεν απευθύνονται σε μικρομεσαίες επιχειρήσεις. Οι πάροχοι κυβερνοασφάλειας μπορούν να κατακτήσουν αυτήν την αγορά δημιουργώντας προϊόντα προσαρμοσμένα σε αυτήν.

Τεχνητή νοημοσύνη. Υπάρχουν τεράστιες δυνατότητες για καινοτόμο AI και μηχανική μάθηση στον χώρο της κυβερνοασφάλειας. Αλλά οι χειριστές αγωνίζονται να εμπιστευτούν αυτόνομες έξυπνες πλατφόρμες και προϊόντα κυβερνοάμυνας. Αντίθετα, οι πάροχοι θα πρέπει να αναπτύξουν προϊόντα τεχνητής νοημοσύνης και μηχανικής μάθησης που θα κάνουν τους ανθρώπινους αναλυτές πιο αποτελεσματικούς.

Διαχειριζόμενες υπηρεσίες. Η ζήτηση για πλήρεις προσφορές υπηρεσιών αναμένεται να αυξηθεί έως και 10 τοις εκατό ετησίως τα επόμενα τρία χρόνια. Οι πάροχοι θα πρέπει να αναπτύξουν ομαδοποιημένες προσφορές που να περιλαμβάνουν θήκες χρήσης κουμπιών. Και θα πρέπει να επικεντρωθούν στα αποτελέσματα, όχι στην τεχνολογία.

Κάντε μια βαθύτερη βουτιά σε συγκεκριμένα βήματα που θα μπορούσαν να κάνουν οι πάροχοι υπηρεσιών κυβερνοασφάλειας .

Τι είναι το ransomware; Τι είδους ζημιά μπορεί να κάνει;

Κακόβουλο λογισμικό που χειρίζεται τα δεδομένα ενός θύματος και τα κρατά ως λύτρα κρυπτογραφώντας τα είναι ransomware. Τα τελευταία χρόνια, έχει επιτύχει ένα νέο επίπεδο πολυπλοκότητας και οι απαιτήσεις για πληρωμή έχουν εκτοξευθεί σε δεκάδες εκατομμύρια δολάρια. Οι επιχειρήσεις «smash and grab» του παρελθόντος έχουν μετατραπεί σε ένα μακρύ παιχνίδι: οι χάκερ παραμονεύουν απαρατήρητοι στο περιβάλλον των θυμάτων τους για να βρουν τις πιο πολύτιμες πληροφορίες και δεδομένα. Και η κατάσταση προβλέπεται μόνο να επιδεινωθεί: ο οργανισμός έρευνας αγοράς και ο εκδότης του περιοδικού Cybercrime Magazine Cybersecurity Ventures εκτιμά  ότι το κόστος του ransomware θα μπορούσε να φτάσει τα 265 δισεκατομμύρια δολάρια έως το 2031. Ακολουθούν ορισμένα συγκεκριμένα κόστη που έχουν αντιμετωπίσει οι εταιρείες ως αποτέλεσμα επιθέσεων ransomware:

• Η Colonial Pipeline πλήρωσε λύτρα 4,4 εκατομμυρίων δολαρίων  μετά την παύση λειτουργίας της εταιρείας.
• Η παγκόσμια παραγωγός κρέατος JBS πλήρωσε 11 εκατομμύρια δολάρια .
• Ο παγκόσμιος ασφαλιστικός πάροχος CNA Financial κατέβαλε 40 εκατομμύρια δολάρια .
• Μια επίθεση ransomware στην αμερικανική εταιρεία παροχής λογισμικού Kaseya στόχευσε το εργαλείο διαχείρισης απομακρυσμένου υπολογιστή της και έθεσε σε κίνδυνο έως και 2.000 εταιρείες σε όλο τον κόσμο.

Αυτά τα στοιχεία δεν περιλαμβάνουν κόστη όπως πληρωμές σε τρίτους—για παράδειγμα, νόμους, δημόσιες σχέσεις και εταιρείες διαπραγμάτευσης. Ούτε περιλαμβάνουν το κόστος ευκαιρίας της απομάκρυνσης των στελεχών και των εξειδικευμένων ομάδων από τους καθημερινούς τους ρόλους για εβδομάδες ή μήνες για να αντιμετωπίσουν μια επίθεση ή με τα προκύπτοντα χαμένα έσοδα.

Τι μπορούν να κάνουν οι οργανισμοί για να μετριάσουν τις μελλοντικές απειλές στον κυβερνοχώρο;

Οι διαχειριστές κυβερνοασφάλειας θα πρέπει να λαμβάνουν υπόψη τις ακόλουθες δυνατότητες , οι οποίες θα πρέπει να προσαρμόζονται στα μοναδικά πλαίσια μεμονωμένων εταιρειών.

• Αρχιτεκτονική μηδενικής εμπιστοσύνης (ZTA). Σε αυτόν τον σχεδιασμό συστήματος ασφαλείας, όλες οι οντότητες —εντός και εκτός του δικτύου υπολογιστών του οργανισμού— δεν είναι αξιόπιστες από προεπιλογή και πρέπει να αποδείξουν την αξιοπιστία τους. Το ZTA μετατοπίζει το επίκεντρο της κυβερνοάμυνας μακριά από τις στατικές περιμέτρους γύρω από τα φυσικά δίκτυα και προς τους χρήστες, τα περιουσιακά στοιχεία και τους πόρους, μετριάζοντας έτσι τον κίνδυνο από τα αποκεντρωμένα δεδομένα.
• Αναλύσεις συμπεριφοράς. Αυτά τα εργαλεία μπορούν να παρακολουθούν τα αιτήματα πρόσβασης των εργαζομένων ή την υγεία των συσκευών και να προσδιορίζουν την ανώμαλη συμπεριφορά των χρηστών ή τη δραστηριότητα της συσκευής.
• Ελαστική παρακολούθηση καταγραφής για μεγάλα σύνολα δεδομένων. Χάρη στην πρόοδο στα μεγάλα δεδομένα και στο Internet of Things  (IoT), τα σύνολα δεδομένων είναι μεγαλύτερα από ποτέ. Ο τεράστιος όγκος δεδομένων που πρέπει να παρακολουθείται καθιστά ακόμη πιο δύσκολη την παρακολούθηση του ποιος έχει πρόσβαση σε αυτά. Η ελαστική παρακολούθηση αρχείων καταγραφής επιτρέπει στις εταιρείες να αντλούν δεδομένα καταγραφής από οπουδήποτε στον οργανισμό σε μια ενιαία τοποθεσία και στη συνέχεια να τα αναζητούν, να τα αναλύουν και να τα οπτικοποιούν σε πραγματικό χρόνο.
• Ομομορφική κρυπτογράφηση. Αυτή η μέθοδος επιτρέπει στους χρήστες να εργάζονται με κρυπτογραφημένα δεδομένα χωρίς πρώτα να τα αποκρυπτογραφήσουν, παρέχοντας έτσι σε τρίτα μέρη και άλλους συνεργάτες ασφαλή πρόσβαση σε μεγάλα σύνολα δεδομένων.
• Αυτοματισμός με βάση τον κίνδυνο. Καθώς τα επίπεδα ψηφιοποίησης αυξάνονται, οι οργανισμοί μπορούν να χρησιμοποιήσουν την αυτοματοποίηση για να χειριστούν διαδικασίες χαμηλότερου κινδύνου και βασικές διαδικασίες, απελευθερώνοντας άλλους πόρους για δραστηριότητες υψηλότερης αξίας.
• Αμυντικό AI και μηχανική μάθηση για την ασφάλεια στον κυβερνοχώρο. Δεδομένου ότι οι κυβερνοεπιθέσεις υιοθετούν την τεχνητή νοημοσύνη και τη μηχανική μάθηση, οι ομάδες κυβερνοασφάλειας πρέπει να κλιμακώσουν τις ίδιες τεχνολογίες. Οι οργανισμοί μπορούν να τα χρησιμοποιήσουν για τον εντοπισμό και την επιδιόρθωση μη συμμορφούμενων συστημάτων ασφαλείας.
• Τεχνικές και οργανωτικές απαντήσεις σε ransomware . Καθώς η πολυπλοκότητα, η συχνότητα και το εύρος του ransomware αυξάνεται, οι οργανισμοί πρέπει να συμβαδίζουν με αυτό.
• Ασφαλής ανάπτυξη λογισμικού. Οι εταιρείες θα πρέπει να ενσωματώσουν την ασφάλεια στον κυβερνοχώρο στο σχεδιασμό του λογισμικού από την αρχή. Οι ομάδες κινδύνου ασφάλειας και τεχνολογίας θα πρέπει να συνεργάζονται με προγραμματιστές σε κάθε στάδιο ανάπτυξης. Οι ομάδες ασφαλείας θα πρέπει επίσης να υιοθετήσουν πιο συστηματικές προσεγγίσεις στα προβλήματα, όπως το agile  και το kanban.
• Υποδομή και ασφάλεια ως κωδικός. Η τυποποίηση και η κωδικοποίηση της υποδομής και των διαδικασιών ελέγχου-μηχανικής μπορεί να απλοποιήσει τη διαχείριση πολύπλοκων περιβαλλόντων και να αυξήσει την ανθεκτικότητα ενός συστήματος.
• Δελτίο υλικών λογισμικού. Καθώς αυξάνονται οι απαιτήσεις συμμόρφωσης, οι οργανισμοί μπορούν να μετριάσουν τον διοικητικό φόρτο δίνοντας επίσημα λεπτομέρειες όλων των στοιχείων και των σχέσεων της αλυσίδας εφοδιασμού που χρησιμοποιούνται στο λογισμικό. Αυτή η προσέγγιση βοηθά επίσης να διασφαλιστεί ότι οι ομάδες ασφαλείας είναι προετοιμασμένες για ρυθμιστικές έρευνες.

Η τυποποίηση και η κωδικοποίηση της υποδομής και των διαδικασιών ελέγχου-μηχανικής απλοποιούν τη διαχείριση πολύπλοκων περιβαλλόντων και αυξάνουν την ανθεκτικότητα ενός συστήματος.

Για περισσότερα σχετικά με καθεμία από αυτές τις δυνατότητες και γιατί μπορούν να ενισχύσουν τις δυνατότητες κυβερνοάμυνας που βρίσκονται πάνω από τον ορίζοντα, διαβάστε το άρθρο μας σχετικά με τις τάσεις της κυβερνοασφάλειας .

Πώς μπορεί ένα πρόγραμμα «πρωταθλητές της ασφάλειας» να προωθήσει μια ισχυρότερη εσωτερική κουλτούρα ασφάλειας στον κυβερνοχώρο;

Ένας οργανισμός είναι τόσο καλός όσο οι άνθρωποί του και η ασφάλειά του είναι τόσο ισχυρή όσο το να κατανοούν γιατί έχει σημασία η ασφάλεια. Η McKinsey μίλησε με την MongoDB, μια εταιρεία ανάπτυξης πλατφόρμας δεδομένων, για τον τρόπο με τον οποίο δημιούργησε ένα πρόγραμμα ασφαλείας  για να βοηθήσει τους υπαλλήλους της να κάνουν την ασφάλεια κορυφαία προτεραιότητα.

Για να αυξήσει την ευαισθητοποίηση σε θέματα ασφάλειας και να δημιουργήσει μια ισχυρή κουλτούρα ασφάλειας, η MongoDB επανεκκίνησε το πρόγραμμα για τους πρωταθλητές ασφαλείας κατά τη διάρκεια της πανδημίας. Από τον Οκτώβριο του 2022, το πρόγραμμα είχε φιλοξενήσει περισσότερες από 20 εκδηλώσεις, φέρνοντας κοντά τους υπαλλήλους για να μάθουν για την ασφάλεια μέσω του σχεδιασμού σεναρίων και να συμμετάσχουν σε δραστηριότητες δημιουργίας ομάδας, όπως η λήψη της σημαίας.

Στόχος της MongoDB είναι να συμμετάσχει το 10 τοις εκατό των εργαζομένων της στο πρόγραμμα Security Championships. Οι συμμετέχοντες ορκίζονται να δίνουν μερικές ώρες κάθε εβδομάδα και στη συνέχεια να υπηρετούν ως πρεσβευτές ασφαλείας στις ομάδες και τα τμήματα τους. Οι ηγέτες της εταιρείας βλέπουν επίσης το πρόγραμμα ως μέσο εκπαίδευσης, επειδή βοηθά τους υπαλλήλους να έχουν υψηλό επίπεδο δεξιοτήτων, οι οποίοι μπορούν στη συνέχεια να λάβουν θέσεις στις ομάδες ασφάλειας και συμμόρφωσης. «Αυτό είναι υπέροχο», λέει η επικεφαλής της MongoDB για την ασφάλεια πληροφοριών Lena Smart , «σε μια εποχή που είναι πολύ δύσκολο να βρεις εξειδικευμένο ταλέντο [κυβερνοασφάλειας]».

Πώς γνωρίζει η εταιρεία ότι το πρόγραμμα λειτουργεί; «Εξετάζουμε τις τάσεις με την πάροδο του χρόνου», λέει ο Felix Chen, ανώτερος αναλυτής εκπαίδευσης και υπεράσπισης στον τομέα της κυβερνοασφάλειας στο MongoDB. «Για παράδειγμα, στις καμπάνιες προσομοίωσης phishing, εξετάζουμε πόσα άτομα έκαναν κλικ σε έναν σύνδεσμο phishing. Εξετάζουμε τη συμμετοχή σε εκδηλώσεις και τις αναφερόμενες ευπάθειες. Και, κυρίως, επικοινωνούμε με την ηγεσία της προόδου μας».

Πώς μπορεί το ταλέντο να βοηθήσει στον μετριασμό του κινδύνου στον κυβερνοχώρο;

Οι τεχνικοί έλεγχοι και οι δυνατότητες είναι, και θα είναι πάντα, απαραίτητοι για την ασφάλεια του περιβάλλοντος οποιουδήποτε οργανισμού. Ωστόσο, θα είναι ακόμη καλύτερα σε θέση να μειώσει την έκθεσή της στον κίνδυνο κυβερνοασφάλειας εάν υιοθετήσει μια νέα προσέγγιση για την πρόσληψη ταλέντων στον τομέα της κυβερνοασφάλειας . Αυτή η προσέγγιση εστιάζει στον προσχεδιασμό και την κατανόηση των αναγκών στον κυβερνοχώρο ολιστικά. Η πρόσληψη εργαζομένων στον τομέα της κυβερνοασφάλειας δεν είναι εύκολη, ειδικά δεδομένης της παγκόσμιας έλλειψης ειδικευμένων: σύμφωνα με μια μελέτη του 2022, υπάρχει ένα χάσμα 3,4 εκατομμυρίων εργαζομένων στον τομέα της κυβερνοασφάλειας .

Ένας τρόπος αντιμετώπισης του προβλήματος είναι η προσέγγιση προστασίας από ταλέντο σε αξία . Χρησιμοποιώντας αυτήν την προσέγγιση, οι ηγέτες ορίζουν τους ρόλους που μπορούν να μειώσουν τον μεγαλύτερο κίνδυνο ή να δημιουργήσουν τη μεγαλύτερη αξία ασφάλειας. Οι ρόλοι που προσδιορίζονται ως προτεραιότητες θα πρέπει να καλυφθούν το συντομότερο δυνατό. Αυτή η προσέγγιση επιτρέπει στους οργανισμούς να προσλαμβάνουν τους κατάλληλους ανθρώπους την κατάλληλη στιγμή, διασφαλίζοντας ότι οι δαπάνες για το προσωπικό ευθυγραμμίζονται με τις φιλοδοξίες ανάπτυξης.

Ακολουθούν τρία βήματα για την εφαρμογή προστασίας με καλές προοπτικές:

1. Προσδιορίστε τις πιο σημαντικές δραστηριότητες κυβερνοασφάλειας δεδομένων των αναγκών του οργανισμού, καθώς και των πιο πιεστικών κινδύνων που θα πρέπει να μετριαστούν. Αυτά μπορούν να προσδιοριστούν μέσω μοντελοποίησης κινδύνου και κατάταξης πιθανών τρωτών σημείων ανάλογα με το βαθμό κινδύνου που ενέχουν.
2. Καθορίστε τους ρόλους προτεραιότητας που μειώνουν τον κίνδυνο πιο αποτελεσματικά.
3. Δημιουργήστε περιγραφές θέσεων εργασίας για αυτούς τους ρόλους προτεραιότητας και καθορίστε εάν η αναβάθμιση δεξιοτήτων ή η πρόσληψη είναι ο καλύτερος τρόπος για να καλύψετε καθέναν από αυτούς.

Ο υπουργός Ψηφιακής Διακυβέρνησης εξέφρασε την ικανοποίησή του για την αποδοχή της πρότασης από τον κ. Μπλέτσα σε συνάντηση που πραγματοποίησαν χθες στο Υπουργείο Ψηφιακής Διακυβέρνησης. Συγκεκριμένα, ο κ. Παπαστεργίου δήλωσε ότι «ο Μιχάλης Μπλέτσας είναι ο κατάλληλος άνθρωπος στην κατάλληλη θέση. Η επαγγελματική του εμπειρία τόσο σε τεχνολογικό όσο και διοικητικό επίπεδο, η ερευνητική του δραστηριότητα, η κατάρτιση και η συγκρότησή του τον καθιστούν την ενδεδειγμένη επιλογή για τη θέση του διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας. Νιώθω μεγάλη ικανοποίηση για το γεγονός ότι ενώνουμε τις δυνάμεις μας με έναν επιστήμονα αυτού του κύρους σε έναν τόσο κρίσιμο τομέα όσο η Κυβερνοασφάλεια. Είμαι σίγουρος ότι θα έχουμε μια εξαιρετική συνεργασία με τον Διοικητή και όλους τους υπαλλήλους της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία πλέον ξεκινά ως νέος Οργανισμός».

Από την πλευρά του, ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας Μιχάλης Μπλέτσας τόνισε ότι «χαίρομαι πολύ για την ευκαιρία που μου δίνεται να συνεισφέρω ουσιαστικά στον ψηφιακό μετασχηματισμό της χώρας μου και να εφαρμόσω από ένα διαφορετικό, πιο επιτελικό πόστο την πρακτική εμπειρία δεκαετιών σε ένα ιδιαίτερα απαιτητικό περιβάλλον. Η Κυβερνοασφάλεια είναι κάτι που αγγίζει όλους μας και οι απαιτήσεις της θα πρέπει πλέον να αποτελούν κυρία συνιστώσα κάθε ψηφιακής υπηρεσίας. Ευχαριστώ πολύ τον υπουργό για την ευκαιρία και την πρόκληση και αναλαμβάνω χωρίς ψευδαισθήσεις για τις δυσκολίες του εγχειρήματος».

 Ποιος είναι ο Μιχάλης Μπλέτσας

Ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας είναι πτυχιούχος Ηλεκτρολόγος Μηχανικός του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης και M.Sc. Μηχανικός υπολογιστών του Πανεπιστημίου της Βοστώνης. Είναι ερευνητής και διευθυντής υπολογιστικών συστημάτων του ΜΙΤ Media Lab και με την ιδιότητα του αυτή είναι υπεύθυνος για τον σχεδιασμό, τη λειτουργία και την ασφάλεια όλης της ψηφιακής υποδομής που χρησιμοποιεί το εργαστήριο για να φέρει σε πέρας την αποστολή του. Είναι ένα από τα ιδρυτικά στελέχη της One Laptop Per Child, μη κερδοσκοπικής εταιρείας που σχεδίασε και κατασκεύασε ένα laptop πολύ χαμηλού κόστους – μιας τεχνολογίας που στόχευε να βοηθήσει στο το πώς μορφώνονται τα παιδιά στον κόσμο. Κατά τη διάρκεια της θητείας του στην OLPC, συνέβαλε στον βιομηχανικό σχεδιασμό, τα ηλεκτρονικά καθώς και το λογισμικό του laptop XO-1 της OLPC.

Πριν προσχωρήσει στο Media Lab, ήταν μηχανικός συστημάτων στην Aware, Inc., όπου σχεδίασε και έγραψε βιβλιοθήκες λογισμικού υψηλής απόδοσης για τους παράλληλους υπερυπολογιστές κατανεμημένης μνήμης της Intel, και ασχολήθηκε με την εφαρμογή της τεχνολογίας ADSL για παροχή διαδικτυακής πρόσβασης σε οικιακούς χρήστες.

 Έχει εκτεταμένη συμβουλευτική δραστηριότητα γύρω από θέματα τεχνολογίας και τεχνολογικής πολιτικής. Υπήρξε συνιδρυτής δύο εταιρειών και μέλος ΔΣ ή σύμβουλος σε πολλές άλλες.

«Πλέον, με αυτό το νομοσχέδιο, οι τέσσερις διαφορετικοί πυρήνες που είναι αρμόδιοι για την κυβερνοασφάλεια μπαίνουν κάτω από μία “ομπρέλα”, την Εθνική Αρχή Κυβερνοασφάλειας, προκειμένου η Ελλάδα να είναι ασφαλέστερη και να καλύπτουμε όχι μονάχα 70 φορείς που σήμερα είναι “υπόλογοι” σε θέματα κυβερνοασφάλειας, αλλά 2.000 δημόσιους και ιδιωτικούς φορείς κρίσιμων υποδομών, οι οποίοι πρέπει να ακολουθούν συγκεκριμένα βήματα», επεσήμανε ακόμη.

Το τρίπτυχο για τη νέα πραγματικότητα των γηπέδων

«Το τρίπτυχο για τη νέα πραγματικότητα των γηπέδων αφορά: Νέα νομοθέτηση, κάμερες στα γήπεδα και ταυτοποίηση εισιτηρίου. Αυτό που θα παρουσιάσουμε, είναι η ροή που θα ακολουθούν άνθρωποι που θα εισέρχονται στο γήπεδο με τα παιδιά τους, παιδιά φίλων, ηλικιωμένοι, αλλά και άνθρωποι που δεν ζουν στην Ελλάδα. Για να ξέρουμε ποιοι είναι. Όλη αυτή η διαδικασία θα υλοποιείται μέσω κινητού», υπογράμμισε ακόμη ο υπουργός Ψηφιακής Διακυβέρνησης.

Ακόμη ο κ. Παπαστεργίου προανήγγειλε την κατάργηση του πιστοποιητικού γέννησης. Πιο συγκεκριμένα τόνισε ότι στόχος είναι η διευκόλυνση των πολιτών και η μείωση της γραφειοκρατίας. Στο ερώτημα για το πότε αναμένεται η κατάργησή του, ο κ. Παπαστεργίου υπολόγισε ότι μέχρι τον Μάρτιο θα υπάρχουν εξελίξεις γύρω από το θέμα.

Μάλιστα, υπέγραψε κοινή διακήρυξη με τον γενικό διευθυντή του National Cyber Directorate, Yigal Unna για τη στενότερη συνεργασία των δύο χωρών στον τομέα της κυβερνοασφάλειας με έμφαση στην εκπαίδευση στελεχών και την ανταλλαγή καλών πρακτικών, αναγνωρίζοντας την αυξανόμενη εξάρτηση των κοινωνιών και των οικονομιών των δύο χωρών στο τομέα της κυβερνοασφάλειας.

Παράλληλα, χαιρέτισαν τις προσπάθειες περαιτέρω ενίσχυσης της συνεργασίας των αντίστοιχων εθνικών διευθύνσεων των δύο χωρών, μέσω της ανταλλαγής τεχνογνωσίας και καλών πρακτικών. Ακόμη, ο Κυριάκος Πιερρακάκης συναντήθηκε με τον διευθυντή της Εθνικής Αρχής Καινοτομίας του Ισραήλ Dr. Ami Applebaum, τον διευθυντή του Τεχνολογικού Πάρκου «Gav Yam Negev» Uzy Zwebner, καθώς και με εκπροσώπους νεοφυών επιχειρήσεων της χώρας. Σε όλες τις συζητήσεις, τονίστηκε η ανάγκη ενίσχυσης του διαλόγου και της ανταλλαγής τεχνογνωσίας ανάμεσα στην Ελλάδα και το Ισραήλ.

Σε τηλεφωνική συνέντευξη σε τηλεοπτική εκπομπή της ΕΤ1 σήμερα το πρωί, ο υπουργός αναφέρθηκε στις σχετικές συναντήσεις τονίζοντας ότι «αν έπρεπε να διαλέξω ένα μόνο στοιχείο από αυτά που καθιέρωσαν το Ισραήλ στην καινοτομία και θα ήθελα να εφαρμοστεί στην Ελλάδα, θα σας έλεγα ότι είναι ο τρόπος που το κάνανε, περισσότερο ακόμη κι από τις ιδέες που έχουν γεννηθεί εκεί.

Πολλές από τις ισραηλινές εταιρείες έχουν θέση στο να καλύψουν ανάγκες δικές μας. Ανέφερα πριν την κυβερνοασφάλεια, μπορώ να αναφέρω πολλούς άλλους τομείς, όπως η γεωργία ακριβείας αλλά και θέματα που έχουν σχέση με την τεχνολογία της ενέργειας. Όλη η στρατηγική που στήσαμε τον τελευταίο χρόνο στον ψηφιακό μετασχηματισμό αφορούσε το να δούμε τι έκαναν όλοι οι άλλοι καλά και τι από όλα αυτά εμείς μπορούμε να ερμηνεύσουμε δημιουργικά στο ελληνικό πλαίσιο. Είδαμε τι έκαναν οι Άγγλοι, είδαμε τι έκαναν οι Εσθονοί.

Νομίζω ότι από το Ισραήλ μπορούμε να διδαχθούμε πάνω από όλα δυο πράγματα: το ένα έχει σχέση με την κυβερνοασφάλεια και με τις δομές κυβερνοασφάλειας, το δεύτερο έχει σχέση με το πώς έκαναν το μεγαλύτερο οικοσύστημα καινοτομίας έξω από τη Silicon Valley, έξω από τις ΗΠΑ, σε αυτό εδώ το σημείο. Και το έκαναν με συγκεκριμένες πολιτικές, με συγκεκριμένους τρόπους ανάπτυξης και με συγκεκριμένη κουλτούρα που αφορούσε και τα Πανεπιστήμια και τα ερευνητικά τους κέντρα».

Πηγή: ΑΠΕ-ΜΠΕ