Στο πλαίσιο του 2nd Cyber Security Summit @ Costa Navarino πραγματοποιήθηκε το Summit Talk με τίτλο «Confronting with Supply Chain Cybersecurity Risks: we must do more than pray» στο οποίο, διακεκριμένοι επαγγελματίες του χώρου της κυβερνοασφάλειας αντάλλαξαν απόψεις για τις προκλήσεις που αντιμετωπίζουν οι επιχειρήσεις στη διαχείριση των κινδύνων από την αλυσίδα προμηθευτών τους.
Τη συζήτηση συντόνισε ο Γιάννης Ηλιάδης, Διευθυντής Υποδομών Πληροφορικής στην ΤΕΙΡΕΣΙΑΣ και Πρόεδρος του ISC2 Hellenic Chapter, ενώ στο πάνελ συμμετείχαν οι Χρήστος Συγγελάκης, Group CISO και Group DPO στη Motor Oil GROUP, Λευτέρης Τζελέπης, CISO στη Steelmet, Δρ. Άννα Βαζιντάρη, ICT Manager στην Unisea Shipping Ltd., Νικόλαος Πέππας, Group CISO στη HELLENiQ ENERGY, και Νίκος Καβούλης, CIO και CISO στο Athens Medical Group.

Το θέμα της εφοδιαστικής αλυσίδας δεν είναι καινούριο στον τομέα της κυβερνοασφάλειας, αλλά όπως ανέφερε η Δρ. Άννα Βαζιντάρη, τα προβλήματα που υπάρχουν εντάθηκαν μετά την πανδημία του COVID-19. Επεσήμανε ότι η εξάρτηση των εταιρειών από το λογισμικό αυξάνει την επιφάνεια επίθεσης και δημιουργεί νέους κινδύνους για τις εταιρείες. Ιδιαίτερη αναφορά έκανε σε περιστατικό στον τομέα της ναυτιλίας το 2020-21, όπου μια κυβερνοεπίθεση σε συγκεκριμένο προμηθευτή προκάλεσε σοβαρά προβλήματα σε πολλές ναυτιλιακές εταιρείες.

Η εμπειρία αυτή έδειξε ότι τα προβλήματα με την εφοδιαστική αλυσίδα δεν είναι θεωρητικά, αλλά πραγματικά και με σοβαρές συνέπειες. Ακόμα, σχολιάζοντας τους νέους κανονισμούς ασφαλείας, σημείωσε ότι αποτελούν κρίσιμο μοχλό πίεσης για τη βελτίωση της κατάστασης στην Ναυτιλία.

Δεν υπάρχει μαγική συνταγή
Από την πλευρά του, Νικόλαος Πέππας, Group CISO της HELLENiQ ENERGY, υπογράμμισε την αύξηση του οικοσυστήματος των οργανισμών, το οποίο περιλαμβάνει πλέον πολλούς προμηθευτές. Όπως τόνισε, οι επιτιθέμενοι έχουν εντοπίσει την εφοδιαστική αλυσίδα ως έναν «δούρειο ίππο», ενώ επεσήμανε ότι δεν υπάρχει μια «μαγική» συνταγή για την αντιμετώπιση των κινδύνων και απαιτείται σημαντική επένδυση σε χρόνο, χρήμα και κόπο για την ανάπτυξη των κατάλληλων μέτρων ασφαλείας. Προέτρεψε τις εταιρείες να μειώσουν τον αριθμό των προμηθευτών τους και να επικεντρωθούν σε έναν αυστηρό και συνεχή έλεγχο καθ’ όλη τη διάρκεια του κύκλου ζωής των συνεργασιών τους. Όπως τόνισε, σημαντική πρόκληση παραμένει η εξουσία που έχουν οι οργανισμοί να «κόψουν» έναν προμηθευτή που δεν πληροί τα κριτήρια ασφαλείας. Από την πλευρά του, ο Λευτέρης Τζελέπης ανέδειξε τη σημασία της ακριβούς κατανομής ευθυνών στη διαδικασία ελέγχου των προμηθευτών. Όπως υπογράμμισε, είναι σημαντικό να υπάρχει ένα εξειδικευμένο τμήμα εντός της εταιρείας που θα αναλάβει τη διαχείριση του ρίσκου. Όπως είπε, αν ένας βασικός προμηθευτής δημιουργήσει πρόβλημα κανείς δεν θα θυμάται μια αόριστη προειδοποίηση με αποτέλεσμα η ευθύνη να καταλήξει σε όλους. Επίσης, υπογράμμισε ότι πρέπει να γίνονται έγκαιροι έλεγχοι, ώστε όταν εντοπιστεί ένα πρόβλημα, η αντίδραση να είναι άμεση.

Τα κανονιστικά πλαίσια
Παίρνοντας τον λόγο ο Νίκος Καβούλης, CIO και CISO στο Athens Medical Group, αναφέρθηκε στα κανονιστικά πλαίσια και την αξία τους στη διαχείριση των κινδύνων. Με την εισαγωγή του NIS2 και άλλων νέων κανονισμών επεσήμανε ότι πλέον τα τμήματα ασφάλειας έχουν την εξουσία να επιβάλλουν τεχνικούς ελέγχους στους προμηθευτές τους, ενώ προσφέρεται και νομική κάλυψη στις εταιρείες. Ωστόσο, τόνισε ότι το 30-40% των εταιρειών δεν τηρούν όσα υπογράφουν και πρόσθεσε ότι η ευθύνη θα πρέπει να μεταβιβαστεί στις αρχές κυβερνοασφάλειας, ώστε να αναλάβουν τον έλεγχο των ελληνικών εταιρειών και να απαλλάξουν τις επιχειρήσεις από την υποχρέωση ελέγχου τρίτων.

Τέλος, ο Χρήστος Συγγελάκης, Group CISO και Group DPO στη Motor Oil GROUP, έκλεισε τη συζήτηση, δίνοντας έμφαση στην ανάγκη για ρεαλισμό. Ενώ πολλοί ποντάρουν στις αναδυόμενες τεχνολογίες όπως η τεχνητή νοημοσύνη, ο κ. Συγγελάκης τόνισε ότι πρέπει πρώτα να σταθούμε στα πόδια μας και να μην βασιζόμαστε μόνο στις ελπίδες μας για την τεχνολογία. Σημείωσε ακόμα ότι πολλοί προμηθευτές λογισμικού και συσκευών ζητούν από τις επιχειρήσεις να τους εμπιστευτούν απόλυτα, ενώ προειδοποίησε ότι οι εταιρείες που παρέχουν ασφάλεια μπορεί να γίνουν πιο ελκυστικοί στόχοι από τους ίδιους τους πελάτες τους.