«Με την οδηγία NIS θα δημιουργηθεί μια πανευρωπαϊκή υποδομή, πάνω στην οποία η Ευρώπη θα μπορεί να κτίσει και να κάνει περισσότερα πράγματα για την προστασία των κρίσιμων υποδομών της». Ο Δρ. Ευάγγελος Ουζούνης, Επικεφαλής της μονάδας Secure Infrastructure & Services του ENISA, συνεχίζει το μαραθώνιο των καθημερινών συνεντεύξεων του NetFAX με CISOs και διευθυντικά στελέχη της ελληνικής και διεθνούς αγοράς cyber security, στο πλαίσιο του Ευρωπαϊκού Μήνα Κυβερνοασφάλειας.

Ποιος είναι ο ρόλος σας στον ENISA; Τι κάνει ο ENISA για την κυβερνοασφάλεια;
Είμαι υπεύθυνος του τμήματος κρίσιμων υποδομών του ENISA και σκοπός μας είναι να βοηθάμε τα κράτη μέλη για την υλοποίηση της νέας οδηγίας για την κυβερνοασφάλεια (NIS Directive). Επίσης, διεξαγάγουμε μελέτες για την περιοχή του ΙοΤ, των έξυπνων υποδομών και την τεχνητή νοημοσύνη.

Ο ΕΝΙSA, ένας ευρωπαϊκός οργανισμός με έδρα στην Ελλάδα από την έναρξη λειτουργίας του (το 2004), ασχολείται με ένα πολύ σημαντικό θέμα για όλες τις κοινωνίες – και δη τις ευρωπαϊκές που είναι αναπτυγμένες και βασίζονται σε ICT υποδομές – όπως είναι το cyber security. Όλες οι υποδομές που χρησιμοποιούν πληροφοριακά συστήματα είναι ευάλωτες σε πιθανές επιθέσεις, κάτι που καταδεικνύει ακόμα περισσότερο το κρίσιμο ρόλο του cyber security για την εξέλιξη της κοινωνίας και την ανάπτυξη της οικονομίας.

Η Ευρώπη, τελικά, κάνει αρκετά όσον αφορά τις υποδομές κυβερνοάμυνας ή χρειάζεται να γίνουν περισσότερα;
Πιστεύω ότι η Ευρωπαϊκή Ένωση ασχολείται όλο και περισσότερο με το θέμα του cyber security, το οποίο είναι διαφορετικό από το cyber defense. H Ευρωπαϊκή Επιτροπή έχει αναγνωρίσει τη μεγάλη σημασία του cyber security, κάτι που την οδήγησε να ιδρύσει πριν από περίπου 15 χρόνια τον ENISA, ενώ έχει αναλάβει μια δέσμη από πρωτοβουλίες, νομικές και μη νομικές, οι οποίες βοηθάνε προς τη σωστή κατεύθυνση.

Στο πλαίσιο αυτό η ΕΕ αναβάθμισε πρόσφατα το ρόλο του οργανισμού, προσδίδοντάς του ένα μόνιμο χαρακτήρα. Παράλληλα, του απέδωσε μια πολύ σημαντική αρμοδιότητα, ήτοι να διαχειρίζεται το θέμα των πιστοποιήσεων (certifications). Όλα τα παραπάνω αποτελούν δείγματα γραφής για τη σημαντικότητα του ENISA και για το πόσο πολύ η Ευρώπη ενδιαφέρεται για το αντικείμενό του.

Βέβαια, εκτός από τον ENISA υπάρχουν και άλλοι οργανισμοί στην Ευρώπη που δραστηριοποιούνται στο χώρο του cyber security, όπως είναι το European Cybercrime Centre (EC3) της Europol, το οποίο ασχολείται, επίσης, με το cyber security, το CERT-EU (Computer Emergency Response Team for the EU Institutions, bodies and agencies), το οποίο εξετάζει την πτυχή του cyber security στους ευρωπαϊκούς οργανισμούς, την Ευρωπαϊκή Επιτροπή και τα ευρωπαϊκά ινστιτούτα και, τέλος, το European Defense Agency (EDA), το οποίο έχει εντάξει στις δραστηριότητές του το cyber security. O ENISA συνεργάζεται με όλους αυτούς τους οργανισμούς για να εξασφαλίσει το καλύτερο δυνατό επίπεδο ασφάλειας για την Ευρώπη, τις κοινωνίες και την ευρωπαϊκή οικονομία.

Έχετε μια εικόνα για το πώς θα εξελιχθεί το τοπίο των απειλών στο μέλλον; Πιστεύετε ότι θα χειροτερέψουν ακόμα περισσότερο τα πράγματα; Και τι πρέπει να κάνει ο ENISA γι’ αυτό;
Όσο και οι κοινωνίες και οι άνθρωποι εξαρτώνται όλο και περισσότερο από καινούργιες τεχνολογίες, μεταφέροντας όλο και περισσότερες διαδικασίες ηλεκτρονικά, τόσο περισσότερο ευάλωτοι θα γινόμαστε. Άρα, προφανώς, το τοπίο των απειλών (threat landscape) θα γίνεται όλο και πιο πολύπλοκο, αυξάνοντας την πληθώρα και την ποικιλομορφία των κινδύνων.

Εμείς από την πλευρά μας θα γινόμαστε συνεχώς καλύτεροι ώστε να αντιμετωπίζουμε αποτελεσματικότερα τις απειλές, αλλά ταυτόχρονα με εμάς θα εξελίσσονται και οι κυβερνοεγκληματίες. Το ποιος θα κερδίσει στο τέλος, αυτό είναι κάτι που θα μας το δείξει το μέλλον.

Όσον αφορά τις κρίσιμες υποδομές και τις μεγάλες βιομηχανικές εγκαταστάσεις, τι ενέργειες κάνει ο ENISA για να τις προστατεύσει σε όλη την ΕΕ, λαμβάνοντας υπόψη το πόσο σημαντικές και ευαίσθητες είναι αυτές;
Πριν από 5-6 χρόνια, η Ευρωπαϊκή Επιτροπή ξεκίνησε διάλογο με τα κράτη μέλη για την οδηγία NIS. Μετά από πολλές διαβουλεύσεις η οδηγία αυτή πήρε μια τελική μορφή και τα τελευταία χρόνια τα κράτη μέλη έχουν μπει στη διαδικασία υλοποίησής της – εδώ και 2,5 περίπου χρόνια που έχει τεθεί σε ισχύ. Πρόκειται για μια πολύ σημαντική οδηγία, η οποία, καταρχάς, προσπαθεί να δημιουργήσει ένα “common level playing field” ανάμεσα στα κράτη, ήτοι να τα εξομοιώσει όσον αφορά την ικανότητά τους στη διαχείριση τέτοιων γεγονότων.

Η οδηγία NIS ορίζει ποιες είναι οι βασικές κρίσιμες υποδομές σε εθνικό επίπεδο, και αναγκάζει – ή ζητά – από τα κράτη μέλη να κάνουν διάφορα πράγματα τα οποία είναι πάρα πολύ σημαντικά, όπως είναι η δημιουργία μιας αρχής για την κυβερνοασφάλεια.

Παράλληλα, η οδηγία προδιαγράφει τη συνεργασία με τις εταιρείες που δραστηριοποιούνται σε αυτές τις κρίσιμες υποδομές και την κοινή λήψη μέτρων. Αυτό είναι ένα πάρα πολύ σημαντικό βήμα που θα βοηθήσει πάρα πολύ στο να δημιουργηθεί μια πανευρωπαϊκή υποδομή, πάνω στην οποία η Ευρώπη θα μπορεί να κτίσει παραπέρα και να κάνει περισσότερα πράγματα για την προστασία των κρίσιμων υποδομών της.

Σχετικά με τις κυβερνοεπιθέσεις έχετε μια εικόνα για το πόσο κοστίζουν στις ελληνικές και ευρωπαϊκές επιχειρήσεις;
Η διεξαγωγή τέτοιων μελετών δεν περιλαμβάνεται στις αρμοδιότητές μας. Υπάρχουν, ωστόσο, έρευνες από εταιρείες που δραστηριοποιούνται εμπορικά στο χώρο, οι οποίες καταλήγουν σε ποικίλα συμπεράσματα. Εν γένει αυτά τα νούμερα δεν συγκλίνουν μεταξύ τους, καθώς κάποιες εταιρείες τα διογκώνουν, ενώ κάποιες άλλες είναι πιο συγκρατημένες. Προσωπικά, δεν είμαι ενήμερος για στοιχεία που σχετίζονται με την Ελλάδα.

Και δεν ξέρω αν υπάρχει κάποια μελέτη για τη χώρα μας. Αλλά σε πανευρωπαϊκό επίπεδο το κόστος αντικατοπτρίζεται σε ένα πολύ μεγάλο νούμερο, θα έλεγα της τάξης των δισεκατομμυρίων ευρώ (ενδεχομένως και σε διψήφιο επίπεδο). Πιστεύω ότι έχουμε να κάνουμε εν τέλει με μια σκληρή μάχη ανάμεσα στους «καλούς» που θα γίνονται καλύτεροι, και στους «κακούς» που θα προσπαθούν να εκμεταλλευτούν τις αδυναμίες μας. Ποιος θα κερδίσει στο τέλος θα το δούμε. Θεωρώ, πάντως, ότι αυτό το κόστος είναι πολύ πιθανό να αυξηθεί μεσοπρόθεσμα.

Συζητώντας για το μέλλον, ποιες θεωρείται ότι είναι οι κυριότερες προκλήσεις εστιάζοντας στο Enterprise IT Security;
Γενικά, παρατηρούμε μια μεταφορά των δραστηριοτήτων όλων των εταιρειών στο cloud. Η χρήση του cloud και η ασφάλειά του είναι ένα πάρα πολύ σημαντικό θέμα. Το cloud, φυσικά, δεν είναι κάτι νέο και ο ENISA έχει κάνει πάρα πολλές μελέτες γι’ αυτό. Οπότε ένα θέμα που μας ενδιαφέρει αρκετά είναι η σωστή και ασφαλής χρήση του cloud σε εταιρικό περιβάλλον.

Επιπλέον, βλέπουμε ότι έχουν αρχίσει να παίρνουν σάρκα και οστά καινούργια business models, τα οποία στο παρελθόν ήταν αδύνατο να εφαρμοστούν, όπως είναι, για παράδειγμα, τα connected cars κ. α. Πρόκειται για μοντέλα που απαιτούν ευρεία χρήση του 5G, το οποίο αποτελεί ένα δίκτυο νέας αρχιτεκτονικής που κτίζεται αυτήν την περίοδο και που εγείρει αρκετά θέματα σχετικά με την ασφάλεια. Και αυτό είναι σίγουρα κάτι το οποίο μας προβληματίζει.

Η χρήση του cloud και του 5G μας δίνει τη δυνατότητα να δημιουργήσουμε πολλούς τρόπους συλλογής δεδομένων μέσω των διαφόρων αισθητήρων, αξιοποιώντας το ΙοΤ. Μέσω αυτών των αισθητήρων μπορούμε να συλλέξουμε άπειρα δεδομένα, τα οποία θα μπορούμε να τα χρησιμοποιούμε για να παίρνουμε καλύτερες αποφάσεις.

Η ασφάλεια αυτών των ΙοΤ συσκευών είναι ένα θέμα προς συζήτηση. Καθώς πρόκειται, συνήθως, για φθηνές συσκευές οι οποίες γενικά έχουν περιορισμένες υπολογιστικές ικανότητες. Και σε αυτό το θέμα ο ENISA έχει κάνει αρκετή δουλειά.

Τέλος, ένα ακόμα θέμα που θα απασχολεί όλο και περισσότερο στο μέλλον είναι η χρήση της τεχνητής νοημοσύνης για την επεξεργασία δεδομένων που αποθηκεύονται στο cloud, με σκοπό την αξιοποίησή της για τη λήψη καλύτερων και πιο έξυπνων αποφάσεων. Σε αυτήν την περιοχή υπάρχουν σίγουρα προκλήσεις, οι οποίες θα επηρεάσουν το Enterprise IT Security στο απώτερο μέλλον.