The Great Reset: Επαναπροσδιορίζοντας την Κυβερνοασφάλεια σε έναν Zero Trust Κόσμο

Το πιο επιδραστικό για την ασφάλεια της πληροφορίας συνέδριο, χαρτογράφησε προκλήσεις και προοπτικές, αλλά και τις νέες φιλοσοφίες και στρατηγικές, που έρχονται να ορίσουν την συνθήκη της ασφαλούς διαχείρισης της πληροφορίας σε έναν κόσμο που μεταβάλλεται ραγδαία.

Για 10η συνεχή χρονιά και με κεντρικό θέμα «The Great Reset: Rethinking Cyber Security in a Zero Trust World» το 10th Information Security Conference διεξήχθη την Τετάρτη 22 Φεβρουαρίου 2023 στο Αμφιθέατρο του Ιδρύματος Ευγενίδου, με Χρυσό χορηγό την Space Hellas και την υποστήριξη των Dell Technologies, Infinitum, InTtrust/vmware, Microsoft, Palo Alto Networks. Στο καθιερωμένο πια συνέδριο των επαγγελματιών της ασφάλειας και των InfoSec experts του netweek, κορυφαίοι γνώστες σε θέματα Cyber Security από την Ελλάδα και το εξωτερικό, τοποθετήθηκαν στα φλέγοντα ζητήματα της ασφάλειας, κατέθεσαν την εμπειρία τους αναλύοντας τις σύγχρονες τάσεις, βάσει πραγματικών case studies, αλλά και λύσεων που βασίζονται στην καινοτομία και την τεχνολογία. Στελέχη των μεγαλύτερων επιχειρήσεων που αντιμετωπίζουν καθημερινά τις ψηφιακές απειλές, decision-makers, experts της αγοράς, ακαδημαϊκοί και ειδικοί αποκάλυψαν στρατηγικές, πρακτικές και τεχνολογίες που κάνουν τη διαφορά στην ψηφιακή ασφάλεια, αλλά και αντάλλαξαν απόψεις στα πλαίσια ενός πολύτιμου για τα συμπεράσματα του διαλόγου.

Ο συντονιστής του συνεδρίου δημοσιογράφος Παναγιώτης Μαρκέτος άνοιξε την πρώτη ενότητα, η οποία εστίασε στο τοπίο της κυβερνοασφάλειας σήμερα, τις πολιτικές, τα trends και τις ανάγκες σε compliance που προβάλουν.

Ο συντονιστής της, καθηγητής Δημήτρης Γκρίτζαλης, Διευθυντής του Προγράμματος Μεταπτυχιακών Σπουδών στην Ασφάλεια & Ανάπτυξη Πληροφοριακών Συστημάτων του Τμήματος Πληροφορικής στο Οικονομικό Πανεπιστήμιο Αθηνών, έδωσε τον λόγο στον Δρ. Ευάγγελο Ουζούνη, Head of Policy Development and Implementation Unit της ENISA, ο οποίος ανέλυσε το τοπίο των απειλών κυβερνοασφαλείας που αντιμετωπίζει η Ευρώπη, τις Ευρωπαϊκές πολιτικές που αναπτύχθηκαν για να τις αντιμετωπίσουν, αλλά και το ρόλο της ΕΝΙSΑ και των κρατών μελών σε αυτό.

Στη συνέχεια ο Δρ. Ιωάννης Αλεξάκης, Διευθυντής στην Εθνική Αρχή Κυβερνο-ασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης παρουσίασε τις νέες ευρωπαϊκές απαιτήσεις στη δημόσια πολιτική κυβερνοασφάλειας, την Οδηγία 2022/2555 (NIS2), τη σημασία της κυβερνοασφάλειας ως μέρος της δημόσιας πολιτικής​ και τις εθνικές προτεραιότητες σε σχέση με τις ρυθμιστικές πρωτοβουλίες σε επίπεδο Ε.Ε.

Ο Στέφανος Γκρίτζαλης, Καθηγητής Ασφάλειας Πληροφοριακών & Επικοινωνιακών Συστημάτων στο Πανεπιστήμιο Πειραιώς, ανέλυσε τα σύγχρονα προβλήματα στην «Κοινωνία της Διακινδύνευσης» όπως την όρισε με άξονες την κυβερνοασφάλεια, το απόρρητο των ηλεκτρονικών επικοινωνιών και την προστασία δεδομένων και τα συνέδεσε με τα ψηφιακά δικαιώματα των πολιτών.

Στον αντίποδα της εξίσωσης της ασφάλειας θα μπορούσε να πει κανείς ήταν το σημείο αναφοράς του Δρ. Βασίλη Καραγιαννόπουλου, Αναπληρωτή Καθηγητή Κυβερνοεγκλήματος και Κυβερνοασφάλειας στο Πανεπιστήμιο Πόρτσμουθ, στο Ηνωμένο Βασίλειο. Αφού θέμα του ήταν ο «χακτιβισμός» ως ένα σύγχρονο φαινόμενο πολιτικού ακτιβισμού και ταυτόχρονα παράγοντα κυβερνοασφάλειας, που εμπεριέχει πολλές και διαφορετικές δράσεις με βασικό στοιχείο τη χρήση μεθόδων hacking ως μέσο διαμαρτυρίας και πολιτικής πίεσης.

Ακολούθησε η Νάντια Λιάπη, Group Director/ IT Services/Governance, Risk & Compliance Services, της Space Hellas Group of Companies, η οποία έριξε φως στις στρατηγικές εκείνες που ξεχωρίζουν τα security incidents από τα security breaches σε έναν οργανισμό και τον τρόπο με τον οποίο αυτός προετοιμάζεται, αλλά και ανταπεξέρχεται μετά από ένα ή περισσότερα περιστατικά.

«Η κυβερνοασφάλεια ήταν πάντα ένας συνεχής αγώνας που δεν τελειώνει ποτέ, όμως οι αλλαγές επιταχύνονται τα τελευταία χρόνια» είπε χαρακτηριστικά ο Χριστάκης Τόπακας, CISO & DPO του Ομίλου Τράπεζας Πειραιώς, ο οποίος παρουσίασε τις μεγαλύτερες από τις τελευταίες κυβερνο-επιθέσεις, πριν παραθέσει την δυναμική σχέση ανάμεσα στους ανθρώπους, την τεχνολογία και τις διαδικασίες, ως τους τρεις βασικότερους παράγοντες ασφαλείας διαμόρφωσης ενός συστήματος κυβερνοασφάλειας.

Ο Ηλίας Πολυχρονιάδης, Regional Systems Engineer της Palo Alto Networks ανέλυσε τα προβλήματα ασφαλείας που η «Work is an Activity, Not a Place» φιλοσοφία και η πρακτική της υβριδικής και απομακρυσμένης εργασίας δημιουργεί στους οργανισμούς στη μετά Covid εποχή, την εποχή της τηλεργασίας και του στοιχήματος πως μπορεί η ασφάλεια να διατηρηθεί όταν διεργασίες και εφαρμογές βγαίνουν εκτός του εταιρικού μας data center.

Στη συνέχεια η Ευγενία Τσαπραλή, Προϊσταμένη Διεύθυνσης Επιχειρησιακής Συνέχειας, στην Εθνική Αρχή Κυβερνοασφάλειας, εστίασε στο ρόλο των γυναικών στην κυβερνοασφάλεια και τον τρόπο που η εντατικότερη ένταξη των γυναικών στο χώρο -όπου όπως όλοι σημειώνουν υπάρχει έντονη υποεκπροσώπηση- μπορεί να απαντήσει στο πρόβλημα της έλλειψης εξειδικευμένου εργατικού δυναμικού στη αγορά κυβερνοασφαλείας, η οποία όπως ανέφερε δείχνει να απαιτεί ακόμα 3,5 εκατομμύρια ειδικούς, για την αποτελεσματική λειτουργία της.

Το πρώτο μέρος του συνεδρίου έκλεισε με μια παρουσίαση από την «μάχιμη» -όπως χαρακτηρίστηκε από τον συντονιστή- πλευρά της τεχνολογίας και τον Σταμάτη Τσολακίδη, Data Center Sales Executive (Greece, Malta) της Dell Technologies, ο οποίος ανέλυσε τους τρόπους με τους οποίους η είσοδος μας στην «εποχή των δεδομένων» μέσω της ατέλειωτης πορείας του ψηφιακού μετασχηματισμού διαμορφώνει νέες απαιτήσεις ασφαλείας και πως αυτές απαντώνται από την ίδια την ταχύτατα εξελισσόμενη τεχνολογία από την πλευρά των providers.

Cyber security in the real world
Το δεύτερο μέρος του συνεδρίου άνοιξε ο Υπουργός Ψηφιακής Διακυβέρνησης, Κυριάκος Πιερρακάκης, αναφέροντας μεταξύ άλλων χαρακτηριστικά ότι ο τρόπος με τον οποίο διενεργήθηκαν οι πρώτες απλές επιθέσεις -ακόμα και DDoS attacks- κατά της υποδομής του Ελληνικού δημοσίου έδειξαν εξαρχής ότι οι ελληνικές αρχές δεν είχαν τα απλά εργαλεία για να τις διαχειριστούν. Για να συμπληρώσει «τα αναφέρω αυτά τόσο απλά γιατί πια έχουμε τα εργαλεία και αυτά τα ζητήματα ευτυχώς τα έχουμε λύσει. Μέσα στις επόμενες εβδομάδες θα δείτε μάλιστα να δημοπρατούνται νέα έργα…γιατί κάθε πρόκληση που θα κληθούμε να αντιμετωπίσουμε σα χώρα στο μέλλον θα εμπεριέχει και το ζήτημα της κυβερνοασφάλειας μας».

Διαδικτυακά και εξ αποστάσεως αλλά με εξίσου ενδιαφέρουσα παρουσία ακολούθησε στο πόντιουμ του συνεδρίου ο Arthur Keleti, συγγραφέας, Cyber Secret Futurist, Cybersecurity Expert και TEDx Speaker, ο οποίος ανέλυσε τις προκλήσεις και τις ανάγκες κυβερνοασφάλειας όπως αυτές ανατέλλουν στον εικονικό κόσμο του Metaverse.

Στο microsegmentation και τι το ακολουθεί εστίασε στη συνέχεια ο Παναγιώτης Λουμπαρδιάς, Senior Systems Engineer της Ιnfinitum, προτείνοντας μια νέα αρχιτεκτονική της πληροφορίας καταλληλότερη για την αντιμετώπιση των νέων κυβερνο-απειλών.

Ακολούθησε μια ιδιαίτερα ενδιαφέρουσα συζήτηση για τον ρόλο του CISO στον πραγματικό κόσμο της οποίας τον συντονισμό ανέλαβε ο Μιχάλης Μωραϊτης, IT strategist & CIO, Actus Valida Partner, itSMF Hellas Board Member. Το πάνελ της σχημάτισαν οι Νίκος Καβούλης, CISO και Director of Digital Business Operations, στο Ιατρικό Κέντρο Αθηνών, Άγγελος Καρώνης, CISO της Kaizen Gaming (Stoiximan/Betano), Αφροδίτη Λουδάρου,Information Security Officer, της Fraport Greece, Παναγιώτης Μερκούρης, CISO, της PeopleCert, Χρήστος Συγγελάκης, Επικεφαλής Υπηρεσίας Ασφαλείας Πληροφοριακών Συστημάτων, Υπεύθυνος Προστασίας Δεδομένων, της Group Motor Oil Hellas και Λευτέρης Τζελέπης, CISO, της Steelmet – Viohalco Companies, οι οποίοι συζήτησαν το ρόλο του CISO στην ελληνική αγορά σήμερα, τις κυριότερες προκλήσεις που αντιμετωπίζει στο καθημερινό του έργο, τη σχέση του με τη διοίκηση και την σημασία των soft skills στην δουλειά τους. Στη συνέχεια ο Δρ. Δημήτριος Πατσός, Senior Security Specialist, της Microsoft, παρουσίασε τα αποτελέσματα της έρευνας Digital Defense Report της Microsoft στο χώρο της κυβερνοασφάλειας, αναλύοντας έναν πολύ μεγάλο όγκο δεδομένων ασφάλειας και αναδεικνύοντας τις στρατηγικές προτεραιότητες των Οργανισμών.

Η Δανάη Παϊδούση, Account Executive της Darktrace παρουσίασε τον ρόλο των συστημάτων τεχνητής νοημοσύνης στην ανάπτυξη αυτό-εκπαιδευόμενων ΑΙ λύσεων κυβερνο-ασφαλείας, τόσο στην πρόβλεψη όσο και στο damage control από κυβερνοεπιθέσεις.

Ο Σταύρος Σταυρινουδάκης, Senior Security Analyst της InTTrust ανέλυσε την διαδικασία των penentration testings της Darktrace, αλλά και το ζωτικό ρόλο στην δοκιμή, αξιολόγηση και βελτίωση των συστημάτων ασφαλείας ενός οργανισμού.

Σε μια πολύτιμη για τις γνώσεις της παρουσίαση ο Δημήτρης Α. Γκρίτζαλης, Kαθηγητής Κυβερνοασφάλειας στο Οικονομικό Πανεπιστήμιο Αθηνών, παρέθεσε τα τελευταία δεδομένα γύρω από τις τεχνολογίες Spyware μαζί με τις τάσεις που φαίνεται να διαγράφουν για το μέλλον, αλλά και τη διττή φύση του spyware.

Αμέσως μετά ο Δημοσθένης Γεωργακόπουλος, Managing Director της SysteCom ανέλαβε να παρουσιάσει τα βήματα και τη μέθοδο με την οποία ένας οργανισμός ξεκινά την ποσοστικοποίηση, την εκτίμηση και τελικά την μείωση της έκθεσης σε κίνδυνο στον οποίο εκτίθεται στον κυβερνοχώρο.

Μια κατατοπιστική, ρεαλιστική, όσο και πλήρη, εικόνα της πορείας ενός οργανισμού προς το SASE (Secure access service edge) ανέλαβε να σχηματίσει για το κοινό ο Αναστασόπουλος Γιώργος, Senior Systems Engineer της Fortinet, πριν ο Θεόδωρος Στεργίου, Director, Consulting, της KPMG στην Ελλάδα παραθέσει τα έξι βασικά μαθήματα που η εμπειρία δείχνει ότι η επιχειρηματική κοινότητα στην Ελλάδα δείχνει να μην έχει ακόμα μάθει για την κυβερνο-ασφάλεια.

Building cyber resilience
Το τρίτο μέρος του συνεδρίου εστίασε στο χτίσιμο της ανθεκτικότητας απέναντι στις κυβερνοαπειλές. Έτσι ο πρώτος ομιλητής της ενότητας, Carlos Valderrama, Πρόεδρος του IoT Cybersecurity Expert Group UNE3+, ανέδειξε την σημασία αυτής της αντοχής αλλά και την ανάγκη για την μεταφορά του κέντρου βάρους της ασφάλειας σε ότι αφορά ειδικά τα δεδομένα των οργανισμών. Στο ίδιο σημείο εστίασης παρέμεινε και ο Ιωάννης Σολωμάκος, Chief Security Officer της Huawei, για τα Νότια Βαλκάνια μιλώντας για το χτίσιμο και την ανάπτυξη της εμπιστοσύνης στο ψηφιακό περιβάλλον, ενώ αναφέρθηκε στην zero trust φιλοσοφία στο χώρο της ασφάλειας και τον τρόπο που σήμερα πρέπει να δομείται και αυξάνεται ξεκινώντας από μηδενική πρακτικά βάση.

Ο Enrique Serrano, Sales Engineer Lead, Southern EMEA της Delinea, εστίασε στην ανάγκη για ανάπτυξη λύσεων βασισμένων στην ανθεκτικότητα των οργανισμών και ειδικότερα την διαχείριση του ρίσκου σε privilege access εφαρμογές.

Στη συνέχεια ο Γιώργος Χ. Στεργιόπουλος, Επίκουρος Καθηγητής του Πανεπιστήμιο Αιγαίου στην ουσία γεφύρωσε τα ζητήματα της zero trust security στρατηγικής και όλων των προβλημάτων της εφαρμογής της με το μεγάλο ζητούμενο της αντοχής των οργανισμών στις κυβερνοεπιθέσεις και το συνδυασμό τους στο μέλλον.

Ο Marco Romagnoli, Senior Regional Sales Director – Southern Europe της Gigamon, παρουσίασε την δυναμική των λύσεων που τα εξειδικευμένα εργαλεία επισκόπησης και παρακολούθησης των δικτύων προσφέρουν και πως η αναβάθμιση τους, ειδικά στην εποχή του cloud, ενισχύει την ασφάλεια.

Ο Ανδρέας Ντάκας, Cyber Security Architect της Neurosoft, ανέδειξε τον τρόπο με τον οποίο ένας οργανισμός μπορεί να αυξήσει την αντοχή του στις προσβολές και κυβερνοαπειλές, χρησιμοποιώντας μια κάθετη διάρθρωση στο σύστημα αντιμετώπισης απειλών του.
Ένα blueprint διαχείρισης της επιβεβαίωσης και ενεργοποίησης της ταυτότητας ανθρώπων και μηχανών και κατ’ επέκταση της ασφαλούς αλλά λειτουργικής πρόσβασης σε ένα σύστημα, παρουσίασε στην συνέχεια ο Παναγιώτης Πανταζής, Sales Manager, Balkans της CyberArk.

Στη συνέχεια ο Γιάννης Ηλιάδης, Board Member του(ISC)2 Hellenic Chapter και IT Infrastructure Manager της TEIRESIAS S.A. συντόνισε την συζήτηση γύρω από το risk management και την σχέση του με την ίδια την αντοχή των οργανισμών στις κυβερνοαπειλές. Το πάνελ συνέθεσαν ο καθηγητής Σωκράτης Κάτσικας, Διευθυντής του Norwegian Center for Cybersecurity in Critical Sectors (NORCICS), Δημήτρης Μανώλης, Cyber Defense Operations Manager της Coca Cola Hellenic Bottling Company, Γιώργος Τσινός, CISO της Εθνικής Ασφαλιστικής, Παναγιώτης Καλαντζής, CISO, της Omilia, Παύλος Γεράρδος, Information Security Officer & IT Infrastructure Supervisor της Thenamaris, οι οποίοι συζήτησαν τις εξελίξεις στο χώρο του risk management, αλλά και το μέλλον του με όλες τις προκλήσεις και τις ενδείξεις για τις καλύτερες πρακτικές του.

The future of security – Προκλήσεις πιθανότητες και προοπτικές
Το τέταρτο και τελευταίο μέρος του συνεδρίου αφιερώθηκε στο μέλλον της ασφάλειας της πληροφορίας, τις προκλήσεις που διαφαίνονται ήδη σε αυτό, τις πιθανότητες, αλλά και τις προοπτικές που οι εξελίξεις δείχνουν αναμένονται.
Ο Δημήτρης Γεωργίου, Treasurer, (ISC)2 Hellenic Chapter και Chief Security Officer-Partner της Alphabit SA, ανέλαβε να προσφέρει τα πολύτιμα στοιχεία της μελέτης «(ISC)2 Cybersecurity Workforce Study», η οποία ανιχνεύει τις διαστάσεις του προβλήματος ανεύρεσης εξειδικευμένου ανθρώπινου δυναμικού στην αγορά της κυβερνο-ασφάλειας, αλλά -και ίσως το σημαντικότερο- το πως αυτές οι ελλείψεις επηρεάζουν το συνολικό επίπεδο ασφαλείας του παγκόσμιου ΙΤ.
Σε ένα από τα πιο δυναμικά κομμάτια της Ελληνικής οικονομίας, αυτό της εμπορικής ναυτιλίας και των αναγκών της για κυβερνο-ασφάλεια έριξε τον προβολέα του συνεδρίου στη συνέχεια ο Δημήτρης Μακρής, IT Manager & Information Security Officer, της Andriaki Shipping και μέλος του ΔΣ της AMMITEC. Μέσα από τα δεδομένα της παρουσίασης του που προήλθαν από την σχετική έρευνα της AMMITEC, ιχνηλάτησε τα κορυφαία cyber security trends, τις καλές πρακτικές, τις προκλήσεις και τα πιο πρόσφορα για βελτίωση πεδία της ασφάλειας της πληροφορίας στη ναυσιπλοΐα, αλλά και του ευρύτερου ΟΤ οικοσυστήματος των υποδομών και διαδικασιών της, που εμπλέκει CIOs, CTOs, CISOs, IT Directors και & IT Managers.

Την ανάγκη για ευαισθητοποίηση γύρω από την κυβερνοασφάλεια ανάδειξε στη συνέχεια το συνέδριο με την συζήτηση με θέμα «Cyber Security Awareness Challenges in the new zero trust world» στα πλαίσια της οποίας οι Δρ. Βασίλης Καραγιαννόπουλος, Αναπληρωτής Καθηγητής Κυβερνοεγκλήματος και Κυβερνοασφάλειας στο Πανεπιστήμιο Πόρτσμουθ του Ηνωμένου Βασιλείου, Σταυρούλα Καραγιάννη, CISO, Head of Protection & Resilience της Allianz Ελλάδος & Κύπρου, Κωνσταντίνος Παπαχριστοφής, Group Information Security Officer του Olympia Group, Νικόλαος Πέππας, Group CISO του HELLENiQ ENERGY Group of Companies και Αργύρης Μακρυγεώργου, Υπεύθυνος Μελών του Ηellenic (ISC)2 Chapter και Operations Director της Cyber Noesis, αντάλλαξαν απόψεις αλλά και τις δικές τους προσωπικές εμπειρίες για το επίπεδο συνειδητοποίησης γύρω από την ασφάλεια της πληροφορίας σε συντονισμό της Στέλλας Τσιτσούλα, Managing Partner της RED.comm και Vice-President & Comms Lead του Women4Cyber Greece.

Το συνέδριο ολοκληρώθηκε με την παρουσίαση του Rafay Baloch, Cyber Security Researcher και Published Author on Ethical Hacking με θέμα το μέλλον της κυβερνοασφάλειας και την βασικότερη επιταγή και πρόκληση του που δεν είναι άλλη από την προετοιμασία για το απρόβλεπτο.

Το 10ο Information Security Conference έφερε για άλλη μια φορά σε πέρας μια δύσκολη αποστολή. Ανέδειξε τις ανάγκες ασφαλείας σε ένα κόσμο αυξημένης αβεβαιότητας και συνεχών αλλαγών -με τα metaverse οικοσυστήματα, την πανδημία και τη γεωπολιτική αστάθεια να έχουν εγκαινιάσει μια νέα εποχή κυβερνοεπιθέσεων- για τους οποίους οι πληροφοριακές υποδομές χρειάζεται περισσότερο από ποτέ να θωρακιστούν και να προστατευτούν. Αλλά και τους τρόπους με τους οποίους οι CISOs θα μπορέσουν να ανταποκριθούν στις προκλήσεις της νέας εποχής. Απάντησε στο πότε και πως χρειάζεται να κάνουν ένα reset στον τρόπο σκέψης τους, να επανεξετάσουν τις στρατηγικές τους, να ασπαστούν νέες τεχνικές προστασίας και να εξελίξουν τα συστήματά τους, υιοθετώντας μια “Zero Trust” αρχιτεκτονική, «κρύβοντας» το εταιρικό δίκτυο από το Internet, περιορίζοντας την πρόσβαση στους εταιρικούς πόρους από τον έξω κόσμο και αξιοποιώντας ένα δίκτυο ενημέρωσης για την αποτελεσματικότερη αντιμετώπιση των ψηφιακών επιθέσεων του σήμερα και του αύριο.