ΣΤΟΝ: ΧΡΗΣΤΟ ΚΟΤΣΑΚΑ
Η Αγγελική Δέλγα, Senior Manager στο Τµήµα Υπηρεσιών Κυβερνοασφάλειας και Ιδιωτικότητας της EY Ελλάδος, µιλάει στο Infocom για το ζήτηµα της κυβερνοασφάλειας και τις σηµαντικότερες απειλές που έχουν κάνει την εµφάνιση τους, σηµειώνοντας πως «παρατηρείται µία γενική αύξηση των κυβερνοεπιθέσεων» και τονίζοντας ότι «οι επενδύσεις των επιχειρήσεων για την ενίσχυση της κυβερνοασφάλειάς τους, έχουν πλέον αυξηθεί».
Πώς διαμορφώνεται, αυτή τη στιγμή, το τοπίο στον τομέα της κυβερνοασφάλειας στην Ελλάδα; Ποιες είναι οι προκλήσεις και οι προοπτικές;
Το τελευταίο διάστηµα, παρατηρείται µία γενική αύξηση των κυβερνοεπιθέσεων, µε στόχο επιχειρήσεις οι οποίες υποστηρίζουν κρίσιµες, και µη, υποδοµές. Παράλληλα, ιδιωτικοί και δηµόσιοι οργανισµοί στην Ελλάδα, ιδιαίτερα στο πλαίσιο του Εθνικού Σχεδίου «Ελλάδα 2.0», προχωρούν µε γρήγορους ρυθµούς σε σηµαντικές ενέργειες µε στόχο τον ψηφιακό µετασχηµατισµό τους.
Τα ανωτέρω, σε συνδυασµό µε την ταχύτατη εµφάνιση και υιοθέτηση νέων τεχνολογιών, οι οποίες ωστόσο βρίσκονται ακόµα σε πρώιµο στάδιο, όπως για παράδειγµα, η τεχνητή νοηµοσύνη (AI), η µηχανική µάθηση (machine learning) και το blockchain, εισάγουν σηµαντικές προκλήσεις στη διαχείριση της κυβερνοασφάλειας.
Σε αυτό το περιβάλλον, οι επιχειρήσεις προχωρούν σε ολοένα και σηµαντικότερες επενδύσεις, προκειµένου να προσαρµοστούν αποτελεσµατικότερα στις νέες προκλήσεις και απαιτήσεις που απορρέουν από τις σχετικές εξελίξεις, ενώ παράλληλα ενισχύεται σηµαντικά το νοµοθετικό και κανονιστικό πλαίσιο κυβερνοασφάλειας, µε την εισαγωγή σχετικών νοµοσχεδίων, κανονισµών και οδηγιών, όπως για παράδειγµα το Digital Operational Resilience Act (DORA) και η Οδηγία NIS 2.
Μάλιστα, η κανονιστική συµµόρφωση αναδεικνύεται σε µία δύσκολη «άσκηση» για τις ελληνικές επιχειρήσεις, καθώς, σύµφωνα µε πρόσφατη µελέτη της EY Ελλάδος και της Microsoft, πάνω από τις µισές (54%) επιχειρήσεις του δείγµατος αναφέρουν ότι ο διαχειριστικός χρόνος και τα έξοδα για τη διασφάλιση της συµµόρφωσης µε τους κανονισµούς αποτελούν επιβάρυνση για την επιχείρηση.
Ποιες είναι οι σημαντικότερες κυβερνοαπειλές που αντιμετωπίζουν οι επιχειρήσεις; Ποια είναι τα trends; Έχει αυξηθεί ο αριθμός και ο αντίκτυπός τους;
Οι κυβερνοαπειλές και οι σχετικές κυβερνοεπιθέσεις, έχουν αυξηθεί σηµαντικά τα τελευταία χρόνια, τόσο από άποψη αριθµού, όσο και από άποψη σοβαρότητας του αντικτύπου τους. Οι σηµαντικότερες κυβερνοαπειλές, αυτή τη στιγµή, είναι οι επιθέσεις ransomware και οι επιθέσεις phishing, ειδικά ως αποτέλεσµα της πανδηµίας και της στροφής πολλών οργανισµών και επιχειρήσεων προς την τηλεργασία.
Παράλληλα, το έγκληµα στον κυβερνοχώρο έχει πλέον διευκολυνθεί σε µεγάλο βαθµό, µε την εµφάνιση της έννοιας «Κυβερνοέγκληµα-ως-Υπηρεσία» (Cybercrime-as-a-Service), καθώς και της έννοιας «Ηλεκτρονικό Ψάρεµα-ως-Υπηρεσία» (Phishing-as-a-Service). Βάσει αυτών, οποιοδήποτε κακόβουλο µέρος είναι διατεθειµένο να προκαλέσει ζηµιά σε κάποια επιχείρηση ή οργανισµό, µπορεί να το καταφέρει, πληρώνοντας κυβερνοεγκληµατίες σε κρυπτονόµισµα, για να προχωρήσουν στις αντίστοιχες ενέργειες, χωρίς το ίδιο να κατέχει την απαραίτητη τεχνογνωσία. Τέλος, έχει σηµειωθεί και αύξηση του αριθµού των κυβερνοεπιθέσεων µε κρατική ανάµειξη (state-sponsored attacks), ενάντια σε κρίσιµες, αλλά και µη κρίσιµες, υποδοµές άλλων κρατών.
Πόσο προετοιμασμένες είναι οι ελληνικές επιχειρήσεις, κάθε μεγέθους, γι’ αυτό το νέο ψηφιακό τοπίο; Πραγματοποιούν τις επενδύσεις που απαιτούνται; Πού θα πρέπει να στρέψουν το ενδιαφέρον τους;
Πράγµατι, οι επενδύσεις των επιχειρήσεων για την ενίσχυση της κυβερνοασφάλειάς τους, έχουν πλέον αυξηθεί, ενώ παρατηρείται ότι ακόµα και επιχειρήσεις σε τοµείς που παραδοσιακά δεν επένδυαν σε αυτή, προχωρούν πλέον στις απαραίτητες ενέργειες.
Πρέπει να τονιστεί, φυσικά, και ο καταλυτικός ρόλος του GDPR σε αυτή τη θετική στροφή προς την κυβερνοασφάλεια. Ενώ µέχρι πρότινος, οι επενδύσεις των επιχειρήσεων πραγµατοποιούνταν «after the fact» -δηλαδή, εφόσον είχαν πρώτα δεχτεί κάποια σηµαντική κυβερνοεπίθεση, µε αποτέλεσµα την παραβίαση δεδοµένων- οι νοµικές και κανονιστικές απαιτήσεις που απορρέουν από το GDPR, τις έχουν ωθήσει στην υιοθέτηση πιο ισχυρών πρακτικών κυβερνοασφάλειας.
Σε αυτό το πλαίσιο, και µε στόχο την επίτευξη µεγαλύτερης ωριµότητας στο επίπεδο της κυβερνοασφάλειας, οι επιχειρήσεις πρέπει να υιοθετήσουν µία «risk-based» προσέγγιση, δηλαδή να προσδιορίσουν τις κατάλληλες δράσεις, µε βάση τόσο τις λειτουργικές ανάγκες, όσο και τις απαιτήσεις κυβερνοασφάλειας, οι οποίες απορρέουν από τους σχετικούς πραγµατικούς κινδύνους. Αυτό, φυσικά, προϋποθέτει ισχυρή δέσµευση από την πλευρά της διοίκησης για βελτίωση των δυνατοτήτων κυβερνοασφάλειας, εξασφαλίζοντας, παράλληλα, τους κατάλληλους πόρους και τη χάραξη µίας εµπεριστατωµένης στρατηγικής κυβερνοασφάλειας.
Ποιες είναι οι ευκαιρίες καριέρας που προσφέρει ο τομέας της κυβερνοασφάλειας στην Ελλάδα; Ποια είναι η ζήτηση που υπάρχει για ταλέντα και ποια είναι τα skills που απαιτούνται;
Ο τοµέας της κυβερνοασφάλειας στην Ελλάδα, θα λέγαµε, είναι ακόµα ένα «work in progress». Καθώς οι επιχειρήσεις προχωρούν µε γρήγορους ρυθµούς στην υλοποίηση νέων απαιτητικών τεχνολογιών, υπάρχει αντίστοιχα µεγάλη ζήτηση για ταλέντα, τα οποία θα µπορέσουν να τις υποστηρίξουν στις προκλήσεις.
Βάσει σχετικής έρευνας της Cybersecurity Ventures, αυτή τη στιγµή, υπάρχει 0% ανεργία στον κλάδο της κυβερνοασφάλειας παγκοσµίως. Αυτό φυσικά οφείλεται και στο γεγονός ότι υφίστανται πολλά career paths τα οποία µπορεί κάποιος να ακολουθήσει, µε πολλές και διαφορετικές απαιτήσεις – από το πιο τεχνικό κοµµάτι του ethical hacking και engineering, µέχρι το πιο στρατηγικό κοµµάτι της συµµόρφωσης και της διακυβέρνησης. Ειδικά για τη συµµόρφωση, το έλλειµµα σε εξειδικευµένο ανθρώπινο κεφάλαιο είναι σηµαντικό στη χώρα µας, µε 8 στις 10 επιχειρήσεις να αναφέρουν ότι είναι δύσκολο να βρουν τους κατάλληλους ανθρώπινους πόρους για την αποτελεσµατική αντιµετώπιση των προκλήσεων συµµόρφωσης, όπως έδειξε και η µελέτη που παρουσίασαν από κοινού η EY Ελλάδος µε τη Microsoft τον Ιούνιο.
Ως εκ τούτου, πέρα από τις αµιγώς τεχνικές ή πρακτικές δεξιότητες, τις οποίες µπορεί να αποκτήσει κάποιος µέσω σχετικής εξειδίκευσης, ο κλάδος χρειάζεται άτοµα τα οποία πρωτίστως έχουν το πάθος και τη θέληση να ασχοληθούν µε την κυβερνοασφάλεια σε οποιαδήποτε διάσταση, και να γίνουν οι επαγγελµατίες κυβερνοασφάλειας του αύριο.
Ο κλάδος του cybersecurity είναι πολυδιάστατος, και απαιτεί στελέχωση από άτοµα πολλών διαφορετικών backgrounds, για να υποστηρίξουν το προαναφερθέν τεχνικό κοµµάτι, το κοµµάτι της διακυβέρνησης, της συµµόρφωσης και της υλοποίησης. Έτσι, η σηµαντικότερη δεξιότητα είναι το έντονο ενδιαφέρον στον ευρύτερο χώρο του cyber, και η θέληση να ανακαλύψει κάποιος το κοµµάτι, ή τα κοµµάτια, τα οποία τον αντιπροσωπεύουν.
Υπάρχει αυτή τη στιγμή ίση αντιπροσώπευση των γυναικών στον χώρο της κυβερνοασφάλειας; Υπάρχουν στατιστικά στοιχεία; Ποιοι είναι οι λόγοι για τους οποίους διαμορφώνεται αυτή η εικόνα;
Στην παρούσα φάση, υπάρχει σηµαντική υποαντιπροσώπευση των γυναικών στον τοµέα της κυβερνοασφάλειας. Συγκεκριµένα, βάσει στοιχείων του Cybersecurity Ventures, οι γυναίκες στελεχώνουν µόλις το 25% των θέσεων εργασίας κυβερνοασφάλειας παγκοσµίως, ενώ µόνο το 17% των εταιρειών της λίστας Fortune 500 έχουν ορίσει γυναίκα CISO.
Αυτή η υποαντιπροσώπευση, οφείλεται σε µεγάλο βαθµό στη λανθασµένη αντίληψη ότι ο κλάδος απευθύνεται αποκλειστικά σε άτοµα µε αµιγώς τεχνικό υπόβαθρο, στην έλλειψη εµπεριστατωµένης ενηµέρωσης αναφορικά µε τις ευκαιρίες τις οποίες προσφέρει ο κλάδος σε άτοµα όλων των δεξιοτήτων, καθώς και στην έλλειψη γυναικείων προτύπων στον ευρύτερο χώρο της κυβερνοασφάλειας.
Στην EY, εργαζόµαστε ενεργά για την ενίσχυση της ίσης αντιπροσώπευσης των γυναικών και του ρόλου τους στον χώρο της κυβερνοασφάλειας και της τεχνολογίας, µε πρωτοβουλίες, όπως το CyberSecurity Women’s Academy που «τρέχει» αυτή την περίοδο, σε συνεργασία µε τη Microsoft και την Infolab.
Κλείνοντας, κοιτώντας προς το μέλλον, πώς θα διαμορφωθεί ο τομέας της κυβερνοασφάλειας τα επόμενα χρόνια; Ποιος είναι ο ρόλος των νέων τεχνολογιών, και τι θα πρέπει να προσέξουμε;
Ο τοµέας της κυβερνοασφάλειας είναι άρρηκτα συνδεδεµένος µε -και, σε µεγάλο βαθµό, εξαρτώµενος από- τις νέες τεχνολογίες, που κάνουν την εµφάνισή τους µε ραγδαίους ρυθµούς. Η πολυπλοκότητα αυτών των τεχνολογικών εξελίξεων, οδηγεί σε ολοένα αυξανόµενες ανάγκες, καθώς οι επιχειρήσεις όλων των κλάδων και µεγεθών, πρέπει να προσαρµόζονται διαρκώς.
Η εκθετική υλοποίηση αυτών των τεχνολογιών, παρ’ όλο που αδιαµφισβήτητα διευκολύνει τις καθηµερινές επιχειρησιακές λειτουργίες, εισάγει και νέες διαστάσεις κυβερνοασφάλειας. Τεχνολογίες, όπως το AI και το blockchain, όπως επίσης οι συσκευές IoT και το cloud computing, επιφέρουν πρόσθετες απειλές στο περιβάλλον των επιχειρήσεων, και διευρύνουν το «attack surface» τους, αυξάνοντας την ευαλωτότητά τους σε νέες και πιο καταστροφικές επιθέσεις.