Κυβερνοασφάλεια: Τι είναι ο Κανονισμός DORA, οι κίνδυνοι, οι επενδύσεις και η έλλειψη προσωπικού

Σε μια εποχή που στην Ελλάδα έχουν γίνει σημαντικά βήματα στην ψηφιοποίηση δεδομένων και υπηρεσιών, η κυβερνοασφάλεια δεν είναι απλά μια τεχνολογία, αλλά μια επένδυση στην ανάπτυξη και τη βιωσιμότητα της ψηφιακής οικονομίας που χτίζει η χώρα. Την ίδια ώρα, όμως, αυτή η επένδυση αντιμετωπίζει σημαντικές προκλήσεις, όπως την έλλειψη εξειδικευμένου προσωπικού.

Τα παραπάνω συζητήθηκαν από τους συμμετέχοντες σε πάνελ για τη διαχείριση περιστατικών σχετικών με την κυβερνοασφάλεια, στο πλαίσιο του Cyber Security Forum, που οργανώθηκε στην Αθήνα, υπό την αιγίδα της Ελληνικής Επιτροπής Κεφαλαιαγοράς.

Υπερψηφίστηκε το σχεδίου νόμου για την ενσωμάτωση της ευρωπαϊκής Οδηγίας NIS 2

Κυβερνοασφάλεια και Κανονισμός DORA

Η πρόεδρος της Επιτροπής Κεφαλαιαγοράς Βασιλική Λαζαράκου κατά την έναρξη του Συνεδρίου αναφέρθηκε στον ευρωπαϊκό κανονισμό για τη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), ο οποίος έρχεται να αντιμετωπίσει ένα σημαντικό πρόβλημα στο χρηματοπιστωτικό οικοσύστημα της ΕΕ, και του πώς μπορεί να παραμείνει ανθεκτικός κατά τη διάρκεια επιχειρησιακών διαταραχών.

Σημείωσε ότι η έναρξη εφαρμογής του Κανονισμού DORA στις 17 Ιανουαρίου 2025 έρχεται να διαμορφώσει ένα ενιαίο κανονιστικό πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα υποστηρίζοντας έτσι τις επιχειρήσεις ώστε να αξιοποιήσουν τις ευκαιρίες του ψηφιακού μετασχηματισμού αλλά και να διαχειριστούν αποτελεσματικά τους κινδύνους που προκύπτουν.

Η πρόεδρος της Επιτροπής Κεφαλαιαγοράς Βασιλική Λαζαράκου

Ο νέος κανονισμός θα αρχίσει να εφαρμόζεται από τις 17 Ιανουαρίου του 2025 εστιάζοντας στους τομείς που αφορούν στις χρηματοοικονομικές οντότητες και τους παρόχους υπηρεσιών Τεχνολογίας Πληροφορικής και επικοινωνιών (ICT-ΤΠΕ), προκειμένου να συμμορφωθούν με τις νέες υποχρεώσεις, στο πλαίσιο διαχείρισης κινδύνου ΤΠΕ, την τήρηση αρχείων, την αναφορά περιστατικών και τις συμβάσεις που υπογράφουν με τους παρόχους υπηρεσιών ΤΠΕ.

Σύμφωνα με τον κα Λαζαράκου «ο DORA δεν πρέπει να εκλαμβάνεται μόνο ως μια επιπρόσθετη δαπάνη συμμόρφωσης που επηρεάζει αρνητικά τον ισολογισμό μιας επιχείρησης, αλλά μάλλον περισσότερο ως αναπτυξιακό εργαλείο που στηρίζει την αξιοπιστία των παρεχόμενων χρηματοοικονομικών υπηρεσιών δημιουργώντας παράλληλα προστιθέμενη αξία για τις επιχειρήσεις». Επεσήμανε επίσης ότι «η ταχύτητα με την οποία εφαρμόζονται οι τεχνολογικοί νεωτερισμοί στον χρηματοοικονομικό χώρο επιβάλει τη συμμετοχή όλων των εμπλεκόμενων φορέων ώστε να επιτευχθεί η χρήσιμη ισορροπία ανάμεσα στην καινοτομία και την κανονιστική συμμόρφωση για μια επιχειρησιακά ανθεκτική χρηματοοικονομική βιομηχανία».

Τι είναι ο Κανονισμός DORA

Ο DORA είναι η κύρια νομοθεσία του χρηματοοικονομικού τομέα της ΕΕ, η οποία εναρμονίζει τους κανόνες ψηφιακής επιχειρησιακής ανθεκτικότητας. Από ένα σύνολο υποχρεώσεων διασκορπισμένων σε διάφορες νομοθεσίες οι ρυθμίσεις τώρα συγκεντρώνονται συντεταγμένα σε ένα νομοθετικό πλαίσιο. Ο DORA τέθηκε σε εφαρμογή το 2023 και θα ισχύσει από την 17η Ιανουαρίου 2025. Βρισκόμαστε πολύ κοντά στην ημερομηνία εφαρμογής έχοντας αρκετά που πρέπει να ολοκληρωθούν ως προς την εφαρμογή του.

Ο DORA εφαρμόζεται οριζόντια στις χρηματοοικονομικές οντότητες. Στόχος της Κομισιόν είναι η εφαρμογή του στο σύνολο των εποπτευόμενων χρηματοοικονομικών οντοτήτων, περίπου 20.000 εταιρείες. Οι εξαιρέσεις είναι πολύ περιορισμένες και αφορούν σε οντότητες που είναι ιδιαίτερα μικρές, όπως μικρές εταιρείες, ασφαλιστών ή μικρούς μεσίτες ασφαλίσεων. Ο γενικός κανόνας είναι ότι ο DORA επηρεάζει ή/και αφορά όλες τις χρηματοοικονομικές οντότητες στην ΕΕ με κάποιο τρόπο από τις συστημικές τράπεζες μέχρι τις μικρότερες νεοσύστατες εταιρείες. Το γεγονός αυτό αναδεικνύει για συζήτηση στις εποπτικές αρχές και στις εποπτευόμενες εταιρείες το ζήτημα της αναλογικότητας.

Για τη διαχείριση της κυβερνοασφάλειας και των απειλών πρέπει να υπάρξει «αλλαγή αντίληψης, ρόλων και ελεγκτικών μηχανισμών στις επιχειρήσεις»

Κυβερνοασφάλεια και κανονιστικό πλαίσιο

Ο καθηγητής Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων στο Πανεπιστήμιο Πειραιώς, Στέφανος Γκρίτζαλης, αναφέρθηκε σε μερικά από τα συχνότερα και πιο επικίνδυνα περιστατικά κυβερνοεπιθέσεων και παρατήρησε ότι «ήδη από τον σχεδιασμό πρέπει να έχουμε μεριμνήσει να αντιμετωπίσουμε τέτοια προβλήματα».

Η καθηγήτρια στο Πανεπιστήμιο Αιγαίου, Λίλιαν Μήτρου παρατήρησε ότι το κανονιστικό πλαίσιο της Ευρωπαικής Ένωσης «χάνει πολύ συχνά το στοιχείο της συνεκτικότητας των ρυθμίσεων», ωστόσο υπογράμμισε ότι για τη διαχείριση της κυβερνοασφάλειας και των απειλών πρέπει να υπάρξει «αλλαγή αντίληψης, ρόλων και ελεγκτικών μηχανισμών στις επιχειρήσεις και κυρίως να αντιληφθούν ότι μιλάμε για μια ανάγκη συμμόρφωσης σε καθημερινό επίπεδο».

Αναφερόμενη στο παράδειγμα του GDPR η κ. Μήτρου περιέγραψε ότι «σε πολλούς οργανισμούς αντιμετωπίστηκε ως μια μοναδική στιγμή, δεν έγινε αντιληπτό και αυτό είναι το κρίσιμο ζήτημα και σε σχέση με την κυβερνοασφάλεια και σε σχέση γενικότερα με την ασφάλεια πληροφοριων, δικτύων, συστημάτων, ότι είναι μία διαδικασία επαναλαμβανόμενη, εξελισσόμενη και μια διαδικασία που σημαίνει ότι ταυτόχρονα θα πρέπει να εκπαιδεύεσαι και να εκπαιδεύεις το προσωπικό σου. Άρα θα πρέπει κανείς να αναδιαρθρώσει όλη του την αντίληψη για το πώς πρέπει να λειτουργεί στην καθημερινότητά της μία επιχείρηση. Αυτό είναι μια πολύ σημαντική αντίληψη, η ολιστική, καθημερινή και διαρκής αναδιάρθρωση».

Ο Γρηγόρης Λαζαράκος, δικηγόρος και πρώην αναπληρωματικό μέλος της Αρχής Προστασίας Προσωπικών Δεδομένων, τόνισε ότι σε περίπτωση κυβερνοεπιθέσεων «έχει πολύ μεγάλη σημασία να έχουμε στο μυαλό μας πάντα ότι η ενημέρωση των πελατών πρέπει να γίνεται. Περίπου 15%-20% των επιχειρήσεων όταν τους λέμε να κάνουν ενημέρωση δεν το κάνουν γιατί φοβούνται την εταιρική δυσφήμιση, η οποία όμως δεν σκέφτονται ότι θα επέλθει ούτως ή άλλως. Εκτός από την εταιρική δυσφήμιση και τα πρόστιμα υπάρχει και η πιθανότητα μαζικών αγωγών σε περίπτωση που η εταιρεία δεν έχει χειριστεί σωστά την περίπτωση παραβίασης προσωπικών δεδομένων».

«Το πρώτο που πρέπει να θυμηθούμε είναι το brain gain, να φέρουμε πίσω τα παιδιά που έχουν φύγει»

Έλλειψη εξειδικευμένου προσωπικού

Ο Θεόφιλος Μυλωνάς, πρόεδρος του Συνδέσμου Επιχειρήσεων Τεχνολογίας και Πληροφορικής Ελλάδας, παρατήρησε ότι τα τελευταία χρόνια έχουν γίνει πολύ σημαντικά βήματα στη χώρα μας που αφορούν την ψηφιοποίηση. Ωστόσο, «αυτό έγινε γρήγορα και με την πανδημία της Covid χωρίς να διαμορφωθεί στους πολίτες μια ψηφιακή κουλτούρα». Όπως πρόσθεσε, «η ανάγκη ψηφιοποίησης, οι πολυεθνικές που ήρθαν, οι μικρομεσαίες που προσπάθησαν μέσα στην κρίση να κάνουν διεθνή τα προϊόντα τους, όλα αυτά θέλουν ανθρώπους και υπάρχει έλλειμμα εξειδικευμένου προσωπικού και στον ιδιωτικό και στον δημόσιο τομέα».

Σχετικά με αυτή την έλλειψη εξειδικευμένου προσωπικού στην πληροφορική και την κυβερνοασφάλεια, ο κ. Γκρίτζαλης παρέθεσε στοιχεία της Eurostat σύμφωνα με τα οποία στην Ευρώπη κατά μέσο όρο το ποσοστό των εργαζόμενων στον τομέα τεχνολογιών πληροφορικής και επικοινωνιών (ICT) είναι 4,6% του συνόλου των εργαζομένων. Ωστόσο, η Ελλάδα είναι τελευταία στη λίστα με 2,5%.

Την ίδια ώρα, παρατήρησε ο ίδιος, στην Ελλάδα «είμαστε σε μία χρονική περιόδο, όπου οι πόροι από το Ταμείο Ανάκαμψης για τα ψηφιακά έργα έχουν προϋπολογισμό 4,5 δισεκατομμύρια ευρώ και το τομεακό του ΕΣΠΑ για έργα πληροφορικής είναι ένα δισεκατομμύριο ευρώ. Δυσκολεύομαι να φανταστώ πότε στο μέλλον η Ελλάδα θα έχει τόσα πολλά χρήματα για ψηφιακά έργα. Το πρόβλημα είναι ότι δεν υπάρχουν άνθρωποι».

Αυτό το πρόβλημα δεν είναι μόνο ελληνικό, πρόσθεσε ο κ. Γκρίτζαλης, καθώς υπολογίζεται ότι παγκοσμίως λείπουν δύο εκατομμύρια άνθρωποι για κυβερνοασφάλεια και στην Ευρώπη 400.000 άνθρωποι. Συγχρόνως, έχει διαπιστωθεί ότι μόνο το 11% των εργαζόμενων στην κυβερνοασφάλεια είναι γυναίκες.

Σχετικά με τις προτάσεις για την αντιμετώπιση της έλλειψης προσωπικού, ο κ. Γκρίτζαλης ανέφερε ότι «το πρώτο που πρέπει να θυμηθούμε είναι το brain gain, να φέρουμε πίσω τα παιδιά που έχουν φύγει».

Ο κ. Μυλωνάς παρατήρησε ότι οι προτάσεις του Συνδέσμου Επιχειρήσεων Τεχνολογίας και Πληροφορικής Ελλάδας είναι μεταξύ άλλων η χορήγηση επιστημονικής βίζας για την προσέλκυση ανθρώπων από γειτονικές χώρες μη ενταγμένες στην ΕΕ, καθώς και η διενέργεια εξειδικευμένων προγραμμάτων reskilling/upskilling για ανθρώπους από άλλους κλάδους. Επιπλέον, τόνισε, χρειάζεται μια προσαρμογή των προγραμμάτων στα πανεπιστήμια γιατί ο κλάδος εξελίσσεται πάρα πολύ γρήγορα.

Η τεχνητή νοημοσύνη μπορεί να βοηθήσει και να ενισχύσει τις δυνατότητες της κυβερνοασφάλειας

Κυβερνοασφάλεια και τεχνητή νοημοσύνη

Για την ενίσχυση της κυβερνοασφάλειας, η Λίλιαν Μήτρου πρότεινε να υπάρχει «security by design και να μην παραλαμβάνεις το έργο αν δεν σου δείξει ο άλλος πώς θα έχει εξασφαλίσει προοπτικά την ασφάλεια». Ο κ. Μυλωνάς επεσήμανε ότι «πρέπει να δοθεί ιδιαίτέρη προσοχή στο Δημόσιο όταν παραλαμβάνει λογισμικό γιατί μπορεί να έχει κενά ασφάλειας, οπότε χρειάζεται να δημιουργηθούν πιο ολοκληρωμένες διαδικασίες στην παραλαβή λογισμικού».

Τέλος, ο Τριαντάφυλλος Καρατράντος, κύριος ερευνητής στο ΕΛΙΑΜΕΠ αναφέρθηκε στη θέση της τεχνητής νοημοσύνης στο πεδίο της κυβερνοασφάλειας επισημαίνοντας ότι «πριν από 1,5 χρόνο οι στρατηγικές της ΕΕ για ζητήματα ασφάλεια δεν ανέφεραν τις αναδυόμενες τεχνολογίες και τώρα προσπαθούν να τρέξουν, να ενσωματώσουν αυτό το κομμάτι».

Όπως παρατήρησε, «η τεχνητή νοημοσύνη μοιάζει λίγο με την παραδοσιακή συζήτηση υπέρ της τεχνολογίας ή την τεχνοφοβία. Από τη μια κάνει τα πράγματα δυσκολότερα με deepfakes ή τον δηλητηριασμό των δεδομένων, αλλά από την άλλη είναι και ευκαιρία και εργαλείο στα χέρια μας, όπως γενικότερα οι νέες τεχνολογίες. Μπορεί να βοηθήσει και να ενισχύσει τις δυνατότητες της κυβερνοασφάλειας, για να γίνει καλύτερος σχεδιασμός, εγκυρότερη και πιο έγκαιρη αναγνώριση απειλής και επίθεσης».

Πηγή: ΑΠΕ-ΜΠΕ