Στη νέα εποχή το παραδοσιακό μοντέλο προστασίας των πληροφοριακών συστημάτων δεν επαρκεί. Το τοπίο της ασφάλειας αλλάζει και δημιουργείται ένας καινούργιος τρόπος αλληλεπίδρασης μεταξύ χρηστών και συστημάτων, μεταφέροντας μας από μια πραγματικότητα παθητικότητας σε έναν κόσμο ιδεατής πραγματικότητας, όπου η κυβερνοασφάλεια θα βρεθεί αντιμέτωπη με νέες καταστάσεις.
Στο πλήρως ψηφιακό 9o Information Security Conference με τίτλο «Enabling a Secure Future: Managing Risks in a Constantly Changing World» που διοργανώθηκε από την Boussias, InfoSec experts και κορυφαίοι γνώστες σε θέματα Cyber Security από την Ελλάδα και το εξωτερικό, τοποθετήθηκαν στα φλέγοντα ζητήματα της ασφάλειας, και κατέθεσαν την εμπειρία τους αναλύοντας τις σύγχρονες τάσεις, βάσει πραγματικών case studies, αλλά και λύσεων που βασίζονται στην καινοτομία και στην τεχνολογία.
Το συνέδριο άνοιξε με τον χαιρετισμό του Υπουργού Ψηφιακής Διακυβέρνησης, Κυριάκου Πιερρακάκη, ο οποίος εξήγησε πως, καθώς η χώρα επενδύει στον ψηφιακό και τον τεχνολογικό της μετασχηματισμό είναι δεδομένο πως πρέπει να επενδύσει και στην ασφάλεια των συστημάτων αυτών.
Στη συνέχεια, ακολούθησε ο χαιρετισμός του Προέδρου του ISACA Athens Chapter, Νίκου Δράκου, ο οποίος ανέφερε πως το Υπουργείο Ψηφιακής Διακυβέρνησης και ο ISACA υπέγραψαν μνημόνιο συνεργασίας για την ασφάλεια στον κυβερνοχώρο. Έτσι, το Υπουργείο θα αξιοποιήσει τις παγκόσμιες γνώσεις, την εκπαίδευση, τις διεθνείς πιστοποιήσεις και τα διεθνή πρότυπα του ινστιτούτου, ώστε να ενισχυθεί η ανθεκτικότητα των υποδομών και των υπηρεσιών, τόσο στον δημόσιο, όσο και στον ιδιωτικό τομέα στην Ελλάδα. Μέσα από τον χαιρετισμό του, ο κύριος Δημήτρης Γεωργίου, Treasurer του (ISC)2 Hellenic Chapter και Chief Security Officer της Alphabit, ανέφερε ότι στο Cyberthreat Defense Report του (ISC)2 του 2021, καταγράφεται πως, ενώ πριν από οχτώ χρόνια, μόλις, το 36% των ανθρώπων του security πίστευαν πως θα δεχτούν κάποια πετυχημένη κυβερνοεπίθεση, σήμερα το ποσοστό αυτό αγγίζει το 76%, γεγονός που υποδεικνύει την ανάγκη για τον κατάλληλο και έγκαιρο σχεδιασμό στρατηγικών ψηφιακής ασφάλειας.
Διαμορφώνοντας το τοπίο της κυβερνοασφάλειας
Στη συνέχεια τον λόγο έλαβε ο πρόεδρος της οργανωτικής επιτροπής του συνεδρίου, καθηγητής Δημήτρης Α. Γκρίτζαλης, Διευθυντής του Προγράμματος Μεταπτυχιακών Σπουδών στην Ασφάλεια & Ανάπτυξη Πληροφοριακών Συστημάτων στο OΠΑ, ο οποίος και συντόνισε την πρώτη ενότητα του συνεδρίου αναδεικνύοντας τις νέες τάσεις και τις πολιτικές στον χώρο της κυβερνοασφάλειας.
Στην παρουσίαση του, ο κύριος Θωμάς Δομπρίδης, Προϊστάμενος της Γενικής Διεύθυνσης Κυβερνοασφάλειας στο Υπουργείο Ψηφιακής Διακυβέρνησης, αναφέρθηκε στο εγχειρίδιο κυβερνοασφάλειας που συντάχθηκε από το Υπουργείο και περιλαμβάνει 183 τεχνικά και οργανωτικά μέτρα για την εύρυθμη λειτουργία οργανισμών και επιχειρήσεων. Σε συνέχεια αυτού του εγχειριδίου έχει δημιουργηθεί και ένα εργαλείο αυτοαξιολόγησης της κυβερνοασφάλειας των οργανισμών. Το εργαλείο αυτό αποτελεί έναν μηχανισμό με τον οποίο οι οργανισμοί μπορούν από μόνοι τους να πραγματοποιήσουν αυτοαξιολόγηση του επιπέδου της ασφάλειας των πληροφοριακών συστημάτων και των δικτύων τους.
Ακολούθησε η, από κοινού, παρουσίαση του κυρίου Gonzalo Caro, Associate DPO της Meta, της κυρίας Denise Murtagh-Dunne, Security Manager της Meta και της κυρίας Feni Gourda, Security Program Manager της Meta. Στην παρουσίαση τους εστίασαν στη σχέση των συστημάτων προστασίας των δεδομένων με τα συστήματα ασφάλειας των πληροφοριών. Στόχος των συστημάτων ασφάλειας των πληροφοριών είναι να προστατέψουν τα δεδομένα από πολλαπλές εσωτερικές και εξωτερικές απειλές, ώστε να διασφαλιστεί η εμπιστευτικότητα και να εξασφαλιστεί η διαθεσιμότητα, τόσο των εκάστοτε συστημάτων, όσο και των δεδομένων. Τα συστήματα προστασίας των δεδομένων ασχολούνται με τη σωστή διαχείριση, επεξεργασία, αποθήκευση και χρήση των προσωπικών δεδομένων. Συνεπώς, μέσα από τη συνεργασία των δύο συστημάτων εξασφαλίζεται πως τα προγράμματα ασφαλείας εφαρμόζουν τα κατάλληλα μέτρα ώστε να διασφαλιστεί η περιφρούρηση της ιδιωτικότητας.
«Η ασφάλεια αποτελεί ένα δομικό συστατικό της καινοτομίας», επισήμανε ο κύριος Δημήτριος Πατσός, Senior Security Specialist στη Microsoft. Στο πλαίσια του ψηφιακού μετασχηματισμού, κανένας χρήστης, καμία εφαρμογή και κανένα σύστημα δεν πρέπει να υστερεί από άποψη ασφάλειας, γι’ αυτό οι αυτοματισμοί μεγάλης κλίμακας πρέπει να έχουν ενσωματωμένα συστήματα ασφαλείας και οι άνθρωποι να ενδυναμώνονται και να εκπαιδεύονται στα νέα μοντέλα σκέψης και συνεργασίας.
Εν συνεχεία, ο καθηγητής Κώστας Λαμπρινουδάκης, Καθηγητής του Πανεπιστημίου Πειραιώς και Μέλος της Αρχής Προστασίας Προσωπικών Δεδομένων, επισήμανε πως η πιεστική απαίτηση για νέες ψηφιακές υπηρεσίες, πολλές φορές, μπορεί να οδηγήσει στην ψηφιοποίηση της υπάρχουσας γραφειοκρατίας και στο να αμεληθούν οι ορθές πρακτικές ασφαλείας. Στόχος είναι οι νέες υπηρεσίες να αξιολογούνται, ώστε να επιτευχθεί καλύτερη λειτουργικότητα, αλλά και να αναπτυχθούν ασφαλέστερες υπηρεσίες που να προστατεύουν την ιδιωτικότητα των χρηστών τους.
Εκτιμήσεις για το μέλλον
Σύμφωνα με την IDC, έως το 2022, 55 δισεκατομμύρια συσκευές θα είναι συνδεδεμένες παγκοσμίως, ανέφεραν στην από κοινού τους παρουσίαση ο κύριος Θανάσης Τσιλδερίκης, Solutions Consultant, για την Ελλάδα και την Κύπρο της HPE Aruba και ο κύριος Eυκλείδης Βολωτάς, Business Development Manager-Networking της Ιnfinitum. Η Gartner προβλέπει πως μέχρι το 2029 περίπου, τα 15 δισεκατομμύρια από αυτές τις συσκευές θα είναι IoT devices εταιρικών δικτύων. Παράλληλα, 8 στις 10 επιχειρήσεις, παραδέχονται πως δυσκολεύονται να ελέγχουν όλες τις IoT συσκευές που βρίσκονται συνδεδεμένες στο δίκτυο τους. Αυτό, βεβαίως, οδηγεί σε πολλές και ηχηρές περιπτώσεις κυβερνοεπιθέσεων, με μεγάλο οικονομικό κόστος, το οποίο αυξάνεται κάθε έτος. Διαπιστώνουμε λοιπόν, πως ο όγκος των IoT συσκευών και το ανεξέλεγκτο πλήθος και η ποικιλομορφία τους δημιουργεί προβλήματα. Επισημάνθηκε βέβαια, πως η αξιοποίηση του AI και μιας machine learning λογικής μπορεί να επιδράσει καταλυτικά στην αναβάθμιση των πρακτικών ασφαλείας.
Στην παρουσίαση του, ο Δρ. Ευάγγελος Ουζούνης, Head of Policy Development Unit της European Union Agency for Cybersecurity (ENISA), εξήγησε πως η Ευρωπαϊκή επιτροπή, μαζί με τα κράτη μέλη, προωθεί την επέκταση της ντιρεκτίβας NIS με την καινούργια πρόταση της, την NISD 2.0. Η ντιρεκτίβα αυτή βελτιώνει την NIS, προσθέτοντας καινούργιους τομείς και βοηθάει τα κράτη μέλη να συνεργαστούν καλύτερα σε θέματα κρίσεων.
Στη συνέχεια πραγματοποιήθηκε η, από κοινού, παρουσίαση του κυρίου Αχιλλέα Γκίκα, Imaging & Printing Specialist της Infinitum και του κυρίου Χάρη Αμούργη, Διευθυντή Πωλήσεων Μεγάλων Πελατών Ιδιωτικού & Δημόσιου Τομέα και Security Expert της HP για την Ελλάδα και την Κύπρο. Σύμφωνα με το τελευταίο report της Kyocera, το 66% των οργανισμών κατατάσσουν τις υποδομές εκτύπωσης στους 5 κορυφαίους κινδύνους ασφαλείας. Παράλληλα, το 77% των στελεχών πληροφορικής πιστεύει πως η απομακρυσμένη εργασία οδηγεί σε μεγαλύτερη ευπάθεια. Είναι ξεκάθαρο λοιπόν, πως οι επιχειρήσεις πρέπει να επιλέξουν λύσεις που να τους προσφέρουν ασφάλεια σε όλα τα επίπεδα.
Ο κύριος Χρόνης Καπαλίδης, Principal at the Information Security Forum, παρουσίασε την έκθεση Threat Horizon του ISF, μέσω της οποίας γίνεται εμφανές πως ο ψηφιακός και ο φυσικός κόσμος πλέον ενώνονται. Παράλληλα όμως, έχει παρατηρηθεί πως υπάρχει μια κρίση εμπιστοσύνης η οποία υποσκάπτει τις ψηφιακές επιχειρήσεις. Συνεπώς, η ασφάλεια των πληροφοριών αφορά όλα τα στελέχη μιας επιχείρησης και οι CISO οφείλουν να εμπνεύσουν ένα πνεύμα υπευθυνότητας στο προσωπικό του οργανισμού.
Εξασφαλίζοντας την κυβερνοανθεκτικότητα
Στην ασφάλεια των βιομηχανικών συστημάτων εστίασε την παρουσίαση του ο κύριος Γιώργος Στεργιόπουλος, Επίκουρος Καθηγητής Κυβερνοασφάλειας στο Πανεπιστήμιο Αιγαίου. Στους πιο συνηθισμένους φορείς επίθεσης περιλαμβάνονται το spear phishing μέσω email, οι εξωτερικές επιθέσεις σε εκτεθειμένες συσκευές και τα λάθη των χρηστών. Παράλληλα όμως, η μεγαλύτερη μάστιγα στη βιομηχανία, αυτή τη στιγμή, είναι τα legacy συστήματα, τα οποία και χρήζουν ειδικής διαχείρισης.
Σε παρόμοιο πλαίσιο κινήθηκε και η ομιλία του Δρ. Σωκράτη Κάτσικα, Director στο Norwegian Center for Cybersecurity in Critical Sectors (NORCICS), εστιάζοντας στο ζήτημα της κυβερνοασφάλειας στην εποχή του ψηφιακού μετασχηματισμού της βιομηχανίας. Παραδοσιακά, η έννοια της ασφάλειας συνδέεται με τρία χαρακτηριστικά, την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα. Για τα βιομηχανικά συστήματα, ωστόσο, πρέπει να προστεθούν και κάποια καινούργια χαρακτηριστικά τα οποία αφορούν τη δυνατότητα ελέγχου, τη παρατηρησιμότητα και τη λειτουργικότητα.
Προστασία και άμυνα
Εν συνεχεία, ο κύριος Νικήτας Κλαδάκης, CEO της Netbul, εξήγησε πως πλέον τα drone μπορούν να αποτελέσουν εργαλεία στα χέρια των κυβερνοεγκληματειών που θέλουν να επιτεθούν σε έναν οργανισμό. Ουσιαστικά, με τη χρήση απλών τεχνολογιών, το drone μπορεί να μετατραπεί σε μια ιπτάμενη πλατφόρμα κυβερνοεπίθεσης, την οποία μπορεί να χειριστεί κάποιος απομακρυσμένα.
Στις τεχνολογίες πληροφορικής που θα χρησιμοποιηθούν κατά την κατασκευή της Γραμμής 4 του Αττικού Μετρό, με σκοπό την προστασία της ανθρώπινης ζωής, εστίασε η παρουσίαση του κύριου Παναγιώτη Αναγνώστου, Διευθυντή Τεχνολογιών και Συστημάτων της Avax Group. Κάποιες από αυτές τις τεχνολογίες αφορούν τα συστήματα γεωμηχανικής και δομητικής παρακολούθησης, το building information modelling, τη διαχείριση περιστατικών, και τα συστήματα αδιάληπτης λειτουργίας.
Σήμερα οι κόσμοι του IT και του OT συγκλίνουν περισσότερο από ποτέ, δήλωσε η κυρία Nάντια Λιάπη, Director Governance, Risk & Compliance Services της Space Hellas. Η σύγκλιση IT-OT ανοίγει μια μεγάλη πόρτα σε νέες ευκαιρίες, ωστόσο εισάγει και ένα τεράστιο σύνολο απειλών για την ασφάλεια στον κυβερνοχώρο, συνεπώς οι οργανισμοί πρέπει να λάβουν τα κατάλληλα μέτρα για την προστασία των περιουσιακών στοιχείων υψηλού κινδύνου.
Στην παρουσίαση του, ο κύριος Σπύρος Παπαγεωργίου, Διευθυντής Κυβερνοάμυνας στο Υπουργείο Εθνικής Άμυνας, εξήγησε πως για να υπάρχει ικανοποιητική κυβερνοάμυνα και κυβερνοασφάλεια ο οργανισμός πρέπει να διαθέτει διαδικασίες, όπως η περιοδική μέτρηση του επιπέδου ωριμότητας, να κατανοεί και να υιοθετεί τις νέες τεχνολογίες ασφάλειας και να έχει επαγγελματίες που να υποστηρίζουν τη λειτουργικότητα, την παραγωγικότητα και την ανταγωνιστικότητα του οργανισμού.
Zero trust μοντέλα
Στη συνέχεια, ο κύριος Αντώνης Παράβαλος, Networking Unit Manager και Solution Architect της Performance, ανέφερε πως για να σχεδιαστεί ένα επιτυχημένο zero-trust μοντέλο ασφάλειας θα πρέπει, από τον σχεδιασμό του, να υποθέτει πως ένας εισβολέας είναι παρόν, αυτή τη στιγμή, στο περιβάλλον μας. Για να επιτύχει, λοιπόν, το μοντέλο θα πρέπει να έχει αυξημένη ορατότητα, ικανοποιητικό καταμερισμό και υψηλή αυτοματοποίηση.
Τα νέα χαρακτηριστικά των δικτύων 5G τα καθιστούν ευαίσθητα σε επιθέσεις, δήλωσε ο καθηγητής Αθανάσιος Κανάτας, Καθηγητής του Πανεπιστημίου Πειραιώς και Διευθυντής του Εργαστηρίου Τηλεπικοινωνιακών Συστημάτων. Η αυξημένη χρήση λογισμικού στη λειτουργία τους συνεπάγεται αυξημένη έκθεση σε κυβερνοεπιθέσεις και απαιτείται η μετάβαση σε ένα zero-trust μοντέλο. Συγχρόνως, η αυξημένη εξάρτηση των παρόχων από συγκεκριμένους προμηθευτές μπορεί να οδηγήσει και σε αυξημένη επικινδυνότητα.
Εν συνεχεία, ο κύριος Ιωάννης Ξανθάκος, Technology Consultant της SysteCom, εξήγησε πώς μια αυτοματοποιημένη λύση επικύρωσης ασφαλείας μπορεί να μειώσει και να διατηρήσει σε πολύ χαμηλά επίπεδα το ρίσκο κυβερνοασφάλειας και παρουσίασε την πλατφόρμα PenTera και τις δυνατότητες που παρέχει.
Η Δρ. Γεωργία Λύκου, Ηλεκτρονικός Μηχανικός Ασφάλειας στην Αρχή Πολιτικής Αεροπορίας, αναφέρθηκε σε εργαλεία αυτο-αξιολόγησης, τα οποία παρέχουν εξατομικευμένες αξιολογήσεις των ευπαθειών ενός οργανισμού, απέναντι στις απειλές του κυβερνοχώρου. Αυτά τα εργαλεία δημιουργούν αναλύσεις των επιπέδων συμμόρφωσης, έχοντας ως βάση συγκεκριμένα διεθνή πρότυπα κυβερνοασφάλειας, παρέχοντας στατιστικά στοιχεία αξιολόγησης και συστάσεις ασφαλείας. Με αυτό τον τρόπο, λειτουργούν επικουρικά στην κλασική αξιολόγηση κινδύνου.
Στο ζήτημα της ασφάλειας των IoT συσκευών εστίασε ο κύριος Βασίλης Νικολόπουλος, Check Point Security Engineer. Καθώς δεν μπορούμε να προστατέψουμε κάτι το οποίο δεν το γνωρίζουμε, ο στόχος είναι να μπορούμε να ανιχνεύσουμε όλο το πλήθος των συσκευών που υπάρχουν στον οργανισμό, γεγονός που μπορεί να επιτευχθεί μέσα από τη λύση Quantum.
Η κυβερνοασφάλεια στην πράξη
Ο κύριος Μιχάλης Καμπριάνης, Director of Cyber Security στο Hexagon Manufacturing Intelligence, παρότρυνε τις επιχειρήσεις να αναρωτηθούν κατά πόσο οι επενδύσεις τους έχουν νόημα, θέτοντας ερωτήματα όπως: Σε ένα μοντέρνο περιβάλλον που στηρίζεται σε containers και serverless computing, πόσο νόημα έχει να επενδύσουμε σε anti-malware; Σε ένα περιβάλλον, το οποίο βασίζεται σε cloud υπηρεσίες, πόσο νόημα έχει να μιλήσουμε για απομακρυσμένη πρόσβαση, κ.α.
«Η ασφάλεια ξεκινάει από την πιστοποίηση των χρηστών», επισήμανε ο κύριος Νίκος Σίμος, Technical Manager στην Pylones Hellas. Καθώς το πλήθος των εφαρμογών που χρησιμοποιούν οι οργανισμοί αυξάνεται, δημιουργείται η ανάγκη για ταχεία πρόσβαση, με ελάχιστες έως καθόλου αλλαγές, και κυρίως με ασφάλεια.
Στην από κοινού τους παρουσίαση, η κυρία Κωνσταντίνα Συντίλλα, Cisco Cyber Security Sales Specialist και η κυρία Εύη Καστανιά, Senior Presales Engineer της InfoQuest, εστίασαν στις αρχιτεκτονικές που πρέπει να υπάρχουν, ώστε να είναι εφικτή η αποτελεσματική αντιμετώπιση των εξελιγμένων απειλών στο καινούργιο υβριδικό περιβάλλον εργασίας.
Ο στρατηγικός ρόλος του CISO
Σύμφωνα με τον κύριο Κωνσταντίνο Ανδρεόπουλο, Group CISO & IT Operations της ICAP CRIF, στις ικανότητες που χρειάζεται να έχει ένας CISO συμπεριλαμβάνονται η βαθιά γνώση πληροφορικής, σε όσους περισσότερους τομείς γίνεται, καθώς και η εμπειρία στη διαχείριση του κινδύνου. Παράλληλα, είναι απαραίτητο να κατανοεί σε βάθος τον οργανισμό και να μπορεί να επικοινωνήσει, με άνεση, με τα στελέχη όλων των επιπέδων του οργανισμού. Εν συνεχεία, ο κύριος Απόστολος Πανδρούλας, Gerenal Manager της Odyssey Cybersecurity, τόνισε τη σημασία του cyber resilience, επισημαίνοντας ότι σύμφωνα με το Security Outlook Report, του World Economic Forum, το 68% των CISOs θεωρούν πως η ψηφιακή ανθεκτικότητα αποτελεί ένα μεγάλο κομμάτι της στρατηγικής που απαιτείται για την ευρύτερη διαχείριση του ρίσκου.
Ο Δρ. Γιάννης Ηλιάδης, Board Member (ISC)2 Hellenic Chapter και IT Infrastructure Manager στην TEIRESIAS, τόνισε ότι σύμφωνα με την παγκόσμια ετήσια μελέτη του (ISC)2 σχετικά με το ανθρώπινο δυναμικό των επαγγελματιών ασφάλειας πληροφορικής, οι οργανισμοί αρχικά πρέπει να εντοπίσουν τα κενά που έχουν σε θέσεις επαγγελματιών ασφάλειας πληροφορικής και εν συνεχεία, για να τα καλύψουν, μπορούν να εστιάσουν και σε επαγγελματίες που προέρχονται από διάφορους χώρους και έχουν μεταβεί μετέπειτα στον χώρο της ασφάλειας, να ενισχύσουν τις ομάδες, να επενδύσουν στους ανθρώπους και βεβαίως να αγκαλιάσουν την απομακρυσμένη εργασία. Σύμφωνα με τον κύριο Γεώργιο Βερνάδο, Digital Identity Lead στην Accenture, η ταυτοποίηση πρέπει να είναι στην καρδιά της επιχειρηματικής και της IT στρατηγικής των οργανισμών, ώστε να επιτυγχάνεται η αποδοτική διακυβέρνηση, να ελαχιστοποιούνται οι κίνδυνοι και να αποφευχθεί η διαρροή των πληροφοριών.
Ψηφιακή διακυβέρνηση
Στο πρώτο πάνελ στο οποίο συμμετείχαν οι κύριοι Λευτέρης Τζελέπης, Technology & Digital / IT Security Team Director στον OΠΑΠ, Γεώργιος Τσινός, CISO της Εθνική Ασφαλιστική, Χρήστος Συγγελάκης, CISO/DPO της Group Motor Oil Hellas, Παναγιώτης Σούλος, Information Security Officer της Intrum Hellas και Κωνσταντίνος Ανδρεόπουλος, συζητήθηκαν εκτενώς, μεταξύ άλλων, η σημασία γεφύρωσης των επιχειρηματικών λειτουργιών με τον χώρο της ασφάλειας, ο αντίκτυπος των απειλών και η ποσοτική μέτρηση του, καθώς και μετάφραση του ρίσκου σε επιχειρηματικούς όρους.
Ο κύριος Jordan M. Bonagura, CISO της NEART Investments, εξήγησε πως ο CSO είναι πλέον υπεύθυνος για όλες τις περιοχές κινδύνου, την προστασία των δεδομένων και την εκτέλεση των στρατηγικών ασφαλείας. Γι’ αυτό, οι CSO, θα πρέπει να μάθουν να σκέφτονται χωρίς στεγανά και να μπορούν να αντιληφθούν τον τρόπο με τον οποίο δρουν οι κακόβουλοι χρήστες, ώστε να εντοπίσουν εγκαίρως και να επιδιορθώσουν τις αδυναμίες του συστήματος.
Αδύναμος κρίκος;
Ο κύριος Ελευθέριος Γιαννάκης, Director EU, Information Security & Risk management στην AholdDelhaize, τόνισε πως το ανθρώπινο δυναμικό μιας επιχείρησης μπορεί να είναι είτε ο πιο αδύναμος κρίκος, είτε το πιο δυνατό της πλεονέκτημα, όσον αφορά την κυβερνοασφάλεια της. Για να επιτευχθεί η βέλτιστη απόδοση θα πρέπει να εδραιωθεί μια κουλτούρα ασφάλειας, η οποία να έχει μετρήσιμα αποτελέσματα, ώστε να μπορούν να αξιολογηθούν, και οι άνθρωποι της επιχείρησης να θέλουν να συμμετάσχουν ενεργά σε αυτήν.
Στη συνέχεια, ο κύριος Χρηστάκης Τόπακας, CISO της Τράπεζα Πειραιώς, επισήμανε την επικινδυνότητα των τεχνικών phishing προτρέποντας το κοινό να είναι ιδιαίτερα προσεκτικό, τόσο με τα email που λαμβάνουν, όσο και με τα SMS, καθώς μπορεί να προέρχονται από hackers σε μια προσπάθεια social engineering.
Ο κύριος Γιάννης Γιαννακάκης, Chief Compliance Officer & Group DPO της Avramar, εξήγησε πως η διαχείριση κινδύνου χωρίζεται σε τρεις βασικές κατηγορίες, την εκτίμηση του κινδύνου, την αντιμετώπιση του κινδύνου και την τελική αξιολόγηση του συμβάντος. Παράλληλα, επισήμανε πως το 90% όλων των επιτυχημένων κυβερνοεπιθέσεων βασίζονται στην ανθρώπινη ευπάθεια.
Διερευνώντας τις δυνατότητες κυβερνοασφάλισης
Η κυρία Andrea Garcia Beltran, UK & International Head of Cyber Insurance του RSA, στην παρουσίαση της, εστίασε στις επιθέσεις τρίτων στην εφοδιαστική αλυσίδα των επιχειρήσεων και έδωσε ιδιαίτερη έμφαση στην ανάγκη ύπαρξης μιας ανθεκτικής στρατηγικής, στην οποία η κυβερνοασφάλιση θα αποτελεί μέρος της λύσης, καθώς και στην υιοθέτηση τεχνολογιών που εντοπίζουν και αντιμετωπίζουν τους κινδύνους, όταν ο εχθρός βρίσκεται ήδη εντός των τειχών.
Σύμφωνα με τον κύριο Γεώργιο Τσινό, CISO της Εθνική Ασφαλιστική, το 81% των διοικητικών στελεχών παραδέχτηκαν πως κατά τη διάρκεια της πανδημίας παράκαμψαν διαδικασίες κυβερνοασφάλειας για να βγουν πιο γρήγορα στην αγορά. Όμως, οι εταιρείες αντασφάλισης απορρίπτουν τις αιτήσεις από οργανισμούς που δεν έχουν σταθερή στάση απέναντι στις στρατηγικές ασφαλείας. Μέσα από την παρουσίαση του λοιπόν, ο κ. Τσινός, μοιράστηκε πολύτιμες συμβουλές για επιχειρήσεις που θέλουν να προετοιμαστούν για την κυβερνοασφάλιση τους.
Ο κύριος Winn Schwartau, Security, Privacy, Infowar, & Cyber-Terrorism Expert, εξήγησε πως η ασφάλεια βασίζεται σε πιθανοκρατικά και όχι ντετερμινιστικά μοντέλα. Συνεπώς για να υπάρχει μια ξεκάθαρη εικόνα πρέπει να γίνονται ακριβείς μετρήσεις των διαδικασιών εντοπισμού και αντίδρασης, καθώς και αξιολόγηση της απόδοσης του παρόχου και των υπηρεσιών που προσφέρει.
Η αξία της κουλτούρας
Το συνέδριο έκλεισε με το δεύτερο πάνελ στο οποίο συμμετείχαν ο κύριος Winn Schwartau, ο κύριος Άγγελος Bαρθαλίτης, CISO και Director of IT Operations & Service Delivery στην Transdev Nederland, ο κύριος Παναγιώτης Καλαντζής, CISO & DPO της Omilia Conversational Intelligence, ο κύριος Σώτος Σπινος, Chief Information Security Officer στην DoubleVerify, ο κύριος Θεμιστοκλής Σάρδης, Πρόεδρος της AMMITEC και IT Manager στην Costamare. Ιδιαίτερης σημασίας είναι η αντίληψη που έχει το προσωπικό μιας επιχείρησης γύρω από το θέμα της ασφάλειας και η εκπαίδευση που θα του δοθεί, επισήμανε ο Α. Βαρθαλίτης. Για να δημιουργηθεί η κατάλληλη κουλτούρα πρέπει να είναι ξεκάθαρος ο τρόπος που σκέφτονται οι άνθρωποι της επιχείρησης και να τους δοθούν τα κατάλληλα κίνητρα, εξήγησε ο W. Schwartau. Βεβαίως, η αλλαγή της κουλτούρας είναι μια σταδιακή διαδικασία που διαρκεί καιρό και θα πρέπει να αποδομηθεί σε ορατά βήματα, εξήγησε ο Π. Καλαντζής. Η απαιτούμενη κουλτούρα της επιχείρησης θα δημιουργηθεί μέσα από ξεκάθαρα δομημένες διαδικασίες, εκπαίδευση και μέσα από την εδραίωση της εμπιστοσύνης. Οι άνθρωποι πρέπει να νιώθουν ασφαλείς, τόνισε ο Θ. Σάρδης. Παράλληλα, η εξέλιξη των αυτοματισμών μπορεί στο μέλλον να βοηθήσει ιδιαίτερα στην πρόληψη των επαναλαμβανόμενων επιθέσεων, ανέφερε ο Σ. Σπίνος. NW