Ο Μιχάλης Μπλέτσας, Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ), παρουσίασε τις προκλήσεις της εφαρμογής του κανονισμού NIS 2 σε ιδιωτικό και δημόσιο τομέα, προκλήσεις που καθιστούν μικρές και μεγάλες οντότητες ευάλωτες σε επιθέσεις.
«Έχουμε μεγάλο πρόβλημα με τον δημόσιο τομέα»
«Έχουμε μεγάλο πρόβλημα με το δημόσιο τομέα. Το πρώτο τετράμηνο του 2025 είχαμε τρεις φορές περισσότερα καταμετρημένα περιστατικά κυβερνοεπιθέσεων – περιστατικά που δεν ήταν σαχλαμάρες, ήταν σοβαρά».
Όπως εξήγησε, «ο κανονισμός NIS 2 δεν είναι εύκολα εφαρμόσιμος στο ελληνικό περιβάλλον με τις πολλές μικρομεσαίες οντότητες σε ιδιωτικό και δημόσιο τομέα, που έχουν τρομάξει με αυτούς τους κανονισμούς.
Προχωράμε σταδιακά χωρίς να εκπλήσσουμε κανέναν, με τη φιλοδοξία να φτιάξουμε ένα πλαίσιο που θα είναι εφαρμόσιμο. Το μεγάλο πρόβλημα είναι πώς θα απαιτήσουμε από τον ιδιωτικό τομέα να εφαρμόσει τεχνικά μέτρα που δεν εφαρμόζει ο δημόσιος τομέας».
Ο κ. Μπλέτσας τόνισε την ανάγκη η κυβερνοασφάλεια να γίνει «κομμάτι της κουλτούρας σε όλους τους φορείς» και σημείωσε ότι το πρόβλημα εν μέρει προκύπτει από το πόσο εύκολο έχει γίνει να δραστηριοποιηθεί κανείς στον κυβερνοχώρο χωρίς βαθιές τεχνικές γνώσεις.
πως ανέφερε το 2025 εκδόθηκαν όλες οι ΚΥΑ που απαιτεί ο κανονισμός NIS2 και ανακοίνωσε ότι το 2026 θα εκδοθούν οι υπόλοιπες κανονιστικές αποφάσεις.
Παράλληλα, ο Διοικητής υπογράμμισε την ανάγκη εκπαίδευσης του κοινού και ενίσχυσης της προστασίας στο τραπεζικό σύστημα, όπου έχουν εντοπιστεί πολλαπλές απάτες και παράπονα πολιτών που έχασαν χρήματα. «Η ενημέρωση του κοινού είναι πολύ σημαντική», είπε, και χαρακτήρισε την τεχνητή νοημοσύνη «έναν τεράστιο εφιάλτη για την κυβερνοασφάλεια», δίνοντας έμφαση στις αναδυόμενες απειλές (π.χ. κβαντικοί υπολογιστές).
Έχει επιτευχθεί ουσιαστική πρόοδος
Η κυρία Λαζαράκου σημείωσε ότι από την 1η Ιανουαρίου 2025 οι χρηματοπιστωτικές οντότητες έχουν ήδη ενσωματώσει βασικές απαιτήσεις του κανονισμού, αναπτύσσοντας πλαίσια με σαφή κατανομή αρμοδιοτήτων, πολιτικές για τη διασφάλιση τηλεπικοινωνιών και μηχανισμούς επαναφοράς. Υπογράμμισε επίσης ότι η εφαρμογή της δευτερογενούς νομοθεσίας θα προσφέρει πρακτικές λεπτομέρειες για την ομοιογένεια εφαρμογής σε ευρωπαϊκό επίπεδο και ότι η Επιτροπή Κεφαλαιαγοράς συμμετέχει ενεργά στην ευρωπαϊκή προσπάθεια εποπτείας.
Η πρόεδρος επεσήμανε ότι στην Ελλάδα οι μεγάλες οντότητες έχουν ολοκληρώσει τα πρώτα στάδια συμμόρφωσης, ενώ οι μικρότερες αξιοποιούν την αρχή της αναλογικότητας εισάγοντας απλουστευμένα συστήματα κινδύνου.
«Είναι σημαντικό να δημιουργηθεί μία κουλτούρα κυβερνοασφάλειας εντός των επιχειρήσεων. Η εφαρμογή του κανονισμού DORA είναι μία πολυεπίπεδη διαδικασία. Τώρα μαθαίνουν τα διοικητικά συμβούλια πώς θα συμμετέχουν ουσιαστικά» τόνισε, προσθέτοντας ότι «έχουν αναπτυχθεί από την Αρχή Κεφαλαιαγοράς πρωτοβουλίες που εφαρμόζονται πιλοτικά, ώστε οι εταιρείες να ελέγχουν τα συστήματά τους» και σημειώνοντας ότι η εφαρμογή του DORA είναι συλλογική ευθύνη μεταξύ εποπτικών αρχών, επιχειρήσεων και παρόχων.
«Μοιραζόμαστε έναν κοινό στόχο: ότι το σύστημα είναι λειτουργικό, ασφαλές και αξιόπιστο, ανεξάρτητα από τις επιθέσεις» τόνισε. «Έχει επιτευχθεί ουσιαστική πρόοδος, αλλά δεν τελειώνει εδώ ο δρόμος, υπάρχει μία διαρκής διαδικασία προσαρμογής και μάθησης. Εμείς θα συνεχίσουμε να στηρίζουμε αυτές τις προσπάθειες» διαβεβαίωσε.
Ο σύγχρονος CISO – γεωπολιτικές προκλήσεις, AI και insider threats
Ο Κώστας Γεωργακόπουλος, Global CISO Pfizer, υπογράμμισε ότι η τεχνητή νοημοσύνη έχει «απελευθερώσει τη δημιουργικότητα», αλλά στην πράξη δίνει στον επιτιθέμενο την ικανότητα να εντοπίζει ευπάθειες που πριν ήταν αδιόρατες. Τόνισε την ανάγκη μείωσης των ευπαθειών εντός των οργανισμών, καθώς ακόμα και χωρίς Τεχνητή Νοημοσύνη κάποιος μπορεί εύκολα να γίνει στόχος.
Ιδιαίτερα σημαντική ήταν η επισήμανσή του για την εφοδιαστική αλυσίδα: σε οργανώσεις με εκατοντάδες χιλιάδες vendors, όπως η Pfizer, αρκετοί τρίτοι έχουν πρόσβαση στα συστήματα· παραδείγματα επιθέσεων μέσω απλών «entry points» – από εκτυπωτές μέχρι μηχανήματα πώλησης – δείχνουν ότι η εποπτεία όλων των entry points είναι κρίσιμη.
Τέλος, σημείωσε ότι «το πιο επικίνδυνο είναι η σύμπραξη κρατών με ομάδες εγκληματικών για τη στόχευση συγκεκριμένων στόχων», με παραδείγματα που σχετίζονται με τον πόλεμο στην Ουκρανία και την εκμετάλλευση πληροφοριών για κέρδη στις χρηματαγορές.
Ο Michael Sentonas, President CrowdStrike, τόνισε ότι η διάδοση εργαλείων Τεχνητής Νοημοσύνης έχει καταστήσει τις επιθέσεις ιδιαίτερα προσιτές: «Τα εργαλεία κυβερνοεπιθέσεων είναι τόσο καλά που επιτρέπουν σε επιτιθέμενους χωρίς βαθιές γνώσεις να κάνουν επιθέσεις – τους λένε πώς να κάνουν τις επιθέσεις, τους λένε πόσα χρήματα να ζητήσουν». Υπογράμμισε ότι αυτή η ευχρηστία των εργαλείων έχει πολλαπλασιάσει την ένταση των επιθέσεων, με ζημιές στην Ευρώπη ύψους εκατομμυρίων ευρώ τους τελευταίους μήνες.
Ο κ. Sentonas επισήμανε επίσης ένα ανησυχητικό μοτίβο: οι επιτιθέμενοι συχνά προσλαμβάνονται ως προσωπικό για να αποκτήσουν πρόσβαση από μέσα — οι insiders, όπως ανέφερε, προκαλούν σήμερα μερικούς από τους πιο σοβαρούς κινδύνους, λειτουργώντας ως «έμπιστοι χρήστες» που επιτρέπουν την είσοδο στο δίκτυο. Όπως εξήγησε, οι περισσότερες τέτοιες απειλές προέρχονται από agents σε Βόρεια Κορέα και Κίνα.
«Έχουμε δει ομάδες από Βόρεια Κορέα ή Κίνα που προσπαθούν να έχουν πρόσβαση σε εργαζόμενους επιχειρήσεων και προσφέρουν χιλιάδες δολάρια για έγγραφα ή για πρόσβαση στο λάπτοπ της επιχείρησης» ανέφερε χαρακτηριστικά. «Ζούμε σε έναν πολύ διαφορετικό κόσμο σήμερα γεωπολιτικά και αυτό είναι μία από τις μεγαλύτερες προκλήσεις», σημείωσε ο κ. Sentonas, προσθέτοντας ότι δεν υπάρχει συχνά ο χρόνος να σκεφτούμε πώς θα αντιμετωπίσουμε τις μελλοντικές επιθέσεις- πρέπει να αρχίσουμε να σκεφτόμαστε διαφορετικά, αλλιώς δεν θα μπορέσουμε να προστατευτούμε.
Τη συζήτηση συντόνισε ο κ. Μπλέτσας, ο οποίος από τη πλευρά του επανέφερε την προειδοποίηση για το δημόσιο τομέα και επέμεινε ότι όλο και περισσότεροι επιτιθέμενοι έχουν τη δυνατότητα να «τρέχουν πολύπλοκα μοντέλα για κυβερνοεπιθέσεις».
Τέλος, ο Σταύρος Παπαγιαννόπουλος, CEO της EXL Consulting, επεσήμανε ότι το Cyber Security Forum έχει εξελιχθεί σε ένα αξιόπιστο σημείο συνάντησης δημόσιου και ιδιωτικού τομέα και τόνισε ότι «το θέμα της κυβερνοασφάλειας είναι ένα ζήτημα στρατηγικό, οικονομικό και κοινωνικό». Υπέδειξε ότι η συνεργασία ανάμεσα στην τεχνολογία, τη διακυβέρνηση και την ασφάλιση – ιδίως μέσω μοντέλων cyber insurance – μπορεί να ενισχύσει την θωράκιση των οργανισμών.
Πηγή: ot.gr
