Δέσποινα Σπανού: O κυβερνοχώρος έχει καταστεί πλέον ένα νέο πεδίο πολέμου

Η συντονίστρια της Ευρωπαϊκής Ένωσης για θέματα κυβερνοασφάλειας μιλάει αποκλειστικά στο netweek, περιγράφοντας τις μεγάλες προκλήσεις που αντιμετωπίζουμε σε καθημερινή βάση, με τις ραγδαία αυξανόμενες απειλές, αλλά και τα αντίμετρα που πρέπει από κοινού να πάρουμε, με καταλύτη την ίδια την Τεχνητή Νοημοσύνη που αξιοποιούν και οι κακόβουλοι.

Με θητεία που ήδη ξεπερνάει τα 23 χρόνια, σε διαφορετικές θέσεις ευθύνης στην Ευρωπαϊκή Επιτροπή και επιπλέον -τα τελευταία έξι- επισκέπτρια καθηγήτρια στο Kennedy School του Harvard, η Δέσποινα Σπανού, σήμερα αναπληρώτρια γενική διευθύντρια (Deputy Director General for Networks & Technology – Cybersecurity coordination, ο πλήρης τίτλος της) με ευθύνη τον συντονισμό της ευρωπαϊκής πολιτικής σε θέματα κυβερνοασφάλειας, είναι ο πλέον κατάλληλος άνθρωπος για να δώσει το στίγμα της κοινής θέσης των 27, σ’ αυτό το -πολύ περισσότερο ‘φλέγον’ στην εποχή μας- θέμα. Να τι απάντησε στις ερωτήσεις του netweek…

Ποια είναι σήμερα τα πιο πιεστικά και σημαντικά θέματα στο ευρωπαϊκό οικοσύστημα κυβερνοασφάλειας;

Το ευρωπαϊκό οικοσύστημα κυβερνοασφάλειας προσπαθεί, ακολουθεί την πολιτική πραγματικότητα και τις εξελισσόμενες απειλές. Σε αυτόν τον κόσμο δεν μπορούμε πλέον να αντιμετωπίζουμε την κυβερνοασφάλεια ως απλό ζήτημα ασφάλειας πληροφοριακών συστημάτων. Η κυβερνοασφάλεια αποτελεί ουσιαστικό στοιχείο προστασίας της κοινωνίας μας, της οικονομίας μας και της δημοκρατίας. Είναι, στην πραγματικότητα, καθοριστικής σημασίας για την ειρήνη στον κόσμο, καθώς ο κυβερνοχώρος έχει καταστεί πλέον ένα νέο πεδίο πολέμου.

Στο ευρωπαϊκό σύστημα κυβερνοασφάλειας, πρωταρχικό μέλημα παραμένει πάντοτε η προστασία των κρίσιμων υποδομών — αυτή είναι η βάση για τη λειτουργία της οικονομίας και των κοινωνιών μας. Είναι επίσης απαραίτητο να θωρακίσουμε τις κρίσιμες υποδομές, ώστε να μην αποτελούν πίσω πόρτα για εχθρικούς παράγοντες που επιδιώκουν να αποσταθεροποιήσουν, ή ακόμα και να καταστρέψουν , τη λειτουργία της Ευρώπης. Αρκεί να θυμηθούμε πώς μια απλή ευπάθεια λογισμικού παρέλυσε τη λειτουργία μεγάλου ευρωπαϊκού αεροδρομίου για μέρες — μια απλή επίθεση ransomware στο σύστημα check-in. Και πως, στο πλαίσιο της τρέχουσας σύρραξης, η αμερικανική εταιρεία ιατρικής τεχνολογίας Stryker δέχτηκε εκτεταμένη κυβερνοεπίθεση με αποτέλεσμα την παράλυση των συστημάτων της σε δεκάδες χώρες. Η Ευρώπη μπορεί να αισιοδοξεί: με τη νομοθεσία που επιβάλλει τα υψηλότερα πρότυπα κυβερνοασφάλειας για τις κρίσιμες υποδομές, μπορούμε ήδη να θωρακιστούμε αποτελεσματικά απέναντι σε σημαντικές πτυχές του κυβερνοπολέμου — είτε αυτός αποσκοπεί σε οικονομικό κέρδος, είτε σε αποσταθεροποίηση της δημοκρατίας, είτε έχει αμιγώς πολεμικούς στόχους.

Ποιες οι μεγάλες προκλήσεις για την Ευρώπη και τον κόσμο, με δεδομένες τις πάμπολλες κυβερνοεπιθέσεις κακόβουλων, με τη βοήθεια μάλιστα εφαρμογών ΑΙ, αλλά και την έξαρση των deep fakes;

Μια βασική πρόκληση για την ευρωπαϊκή ανθεκτικότητα στον κυβερνοχώρο έγκειται σε μια θεμελιώδη αντίθεση: την ανάγκη να προβλέπουμε και να προετοιμαζόμαστε για αναδυόμενες απειλές πριν αυτές εκδηλωθούν πλήρως, ενώ παράλληλα βελτιστοποιούμε τις υπάρχουσες διαδικασίες για να αντιμετωπίζουμε αποτελεσματικότερα τον σημερινό όγκο περιστατικών — και όλα αυτά εντός των ίδιων προϋπολογισμών και ανθρώπινου δυναμικού. Αυτό σημαίνει τη διαχείριση γνωστών κινδύνων, όπως το phishing, το ransomware και οι ευπάθειες της αλυσίδας εφοδιασμού, με μεγαλύτερη αποδοτικότητα, χωρίς να χάνουμε από τα μάτια μας την επόμενη γενιά απειλών που ήδη διαμορφώνεται.

Η Τεχνητή Νοημοσύνη έχει καταστεί κεντρικό στοιχείο του σύγχρονου οικοσυστήματος κυβερνοασφάλειας: από τη μια, ενισχύει τις λύσεις ασφαλείας, από την άλλη, δυστυχώς, ενισχύει και τις κακόβουλες δραστηριότητες, λειτουργώντας ως πολλαπλασιαστής για την εξάπλωση τόσο απλών όσο και εξαιρετικά σύνθετων κυβερνοεπιθέσεων. Περάσαμε από τη χρήση της ΤΝ ως απλού πολλαπλασιαστή για επιθέσεις ransomware, στο Agentic AI που εκτελεί ολόκληρες επιθέσεις αυτόνομα, από την αρχή ως το τέλος.

Είναι επιτακτική ανάγκη να αξιοποιούμε την Τεχνητή Νοημοσύνη με… νοημοσύνη, ενισχύοντας τα συστήματά μας, διατηρώντας παράλληλα πάντοτε τον ανθρώπινο παράγοντα ως αναπόσπαστο μέρος της εξίσωσης. Πρόσφατα παραδείγματα αυτόβουλης δράσης AI agents, που ανακαλύφθηκαν από εταιρείες του κλάδου, αποτελούν ηχηρό σήμα κινδύνου για το πώς οφείλουμε να σχεδιάζουμε τα συστήματα. Η ευρωπαϊκή νομοθεσία για την Τεχνητή Νοημοσύνη θα μας παράσχει —μέσω του AI Act—στο μέλλον αυξημένο έλεγχο επί αυτών των συστημάτων, ιδίως εκείνων που ενδέχεται να εγκυμονούν υψηλούς κινδύνους.

Παρότι οι Ευρωπαίοι σπουδαστές διαρκώς πρωτεύουν στους σχετικούς διαγωνισμούς, η άμυνά μας ‘υποφέρει’ λόγω της έλλειψης εξειδικευμένου προσωπικού. Ποιά είναι τα σχέδιά σας σ’ αυτόν τον τομέα και ποια η κατάσταση, όσον αφορά στην ευρωπαϊκή Cybersecurity Academy;

Η Ακαδημία Δεξιοτήτων Κυβερνοασφάλειας αποκτά νέα δυναμική με την ανάληψη της διακυβέρνησής της από τα κράτη-μέλη. Πρέπει να τονίσουμε τον ρόλο που διαδραματίζει η Ελλάδα σε αυτόν τον τομέα, συμπληρώνοντας το οικοσύστημα που διαμορφώνεται μέσα από την παρουσία της Υπηρεσίας Κυβερνοασφάλειας της ΕΕ, της ENISA, η οποία εδρεύει στην Αθήνα — η Εθνική Αρχή Κυβερνοασφάλειας της Ελλάδας υποστηρίζει, μάλιστα, το Ευρωπαϊκό Συνέδριο Δεξιοτήτων Κυβερνοασφάλειας. Στο πλαίσιο της πρόσφατης πρότασης για τη νέα πράξη Κυβερνοασφάλειας, έχουμε προτείνει η ENISA να αναλάβει καθήκοντα πιστοποίησης δεξιοτήτων κυβερνοασφάλειας, με στόχο την προσέλκυση περισσότερων επαγγελματιών στον κλάδο. Το χάσμα δεξιοτήτων έχει μερικώς βελτιωθεί χάρη στη χρήση της ΤΝ για την κάλυψη ορισμένων αναγκών που δεν μπορούν να αυτοματοποιηθούν πλήρως — και αυτό είναι ένας τομέας όπου η τεχνητή νοημοσύνη αποδεικνύει την αξία της για την κυβερνοασφάλεια. Υπενθυμίζεται ότι σήμερα περίπου 300.000 ειδικοί κυβερνοασφάλειας λείπουν από την ευρωπαϊκή αγορά εργασίας — ένα έλλειμμα που καθιστά ακόμα πιο επείγουσα την ανάγκη για συντονισμένη δράση.

Από πλευράς νέων πρωτοβουλιών (όπως πχ. τα χρηματοδοτικά προγράμματα που συχνά – πυκνά προωθεί η Επιτροπή), υπάρχει κάτι στον ορίζοντα, για θέματα κυβερνοασφάλειας;

Η σημαντικότερη πρόσφατη εξέλιξη είναι η πρόταση της Ευρωπαϊκής Επιτροπής για τη νέα Πράξη για την Κυβερνοασφάλεια, για τη ρύθμιση της ασφάλειας της αλυσίδας εφοδιασμού ηλεκτρονικών συστημάτων. Η πρόταση αποσκοπεί στην ενίσχυση της ανθεκτικότητας των κρίσιμων υποδομών της Ευρώπης μέσω της δημιουργίας οριζόντιου πλαισίου για την ασφάλεια αξιόπιστων αλυσίδων εφοδιασμού ΤΠΕ, επιτρέποντας στην ΕΕ και τα κράτη-μέλη να αντιμετωπίσουν τους στρατηγικούς κινδύνους από αδικαιολόγητη ξένη παρέμβαση και κρίσιμες εξαρτήσεις. Η πρόταση βρίσκεται ήδη στα χέρια των συν-νομοθετών και ελπίζουμε να παράσχει μια συγκεκριμένη, βήμα-προς-βήμα μεθοδολογία για τον εντοπισμό, την αντιμετώπιση και την εξάλειψη παρόχων υψηλού κινδύνου από τις αλυσίδες εφοδιασμού μας — γνωρίζοντας ότι τέτοιες εξαρτήσεις δεν αποτελούν μόνο τρωτά σημεία, αλλά και στρατηγικούς κινδύνους για την Ευρωπαϊκή Ένωση. Παράλληλα, η πρόταση ενισχύει τον ρόλο της ENISA και προετοιμάζει το έδαφος για το επερχόμενο Cloud & AI Development Act (CADA) , που αποτελεί μέρος της ευρύτερης στρατηγικής για την τεχνολογική κυριαρχία της Ευρώπης στους τομείς της ΤΝ, του cloud και των ημιαγωγών.

Πώς βλέπετε την επόμενη ημέρα;

Όταν μιλάμε για ασφάλεια, είναι δύσκολο να προβλέψουμε την πορεία των εξελίξεων, καθώς κάθε μέρα που ξυπνάμε βρισκόμαστε αντιμέτωποι με νέες προκλήσεις. Η τρέχουσα σύγκρουση στη Μέση Ανατολή, που έχει δημιουργήσει νέα μέτωπα και στον κυβερνοχώρο, είναι χαρακτηριστικό παράδειγμα. Ωστόσο, ωριμάζουμε κάθε μέρα και είμαστε πλέον πιο αποφασισμένοι να καλλιεργούμε τη συνεργασία μεταξύ δημόσιου και ιδιωτικού τομέα, αλλά και μεταξύ ομοφρόνων χωρών, ώστε να αντιμετωπίζουμε από κοινού τους κακόβουλους παράγοντες. Ο τομέας της κυβερνοασφάλειας είναι εξαιρετικά ευμετάβλητος και δυναμικός. Η τεχνολογική ανάπτυξη θα ενισχύσει τον ρόλο της στην προστασία των κοινωνιών μας και στην εδραίωση της ειρήνης.