Μια νέα έκθεση της Google Cloud Security, με τίτλο «Cybersecurity Forecast 2026», η οποία αντλεί δεδομένα και από τη Mandiant, προειδοποιεί για μια διπλή κλιμάκωση των παγκόσμιων κυβερνοαπειλών. Η ανάλυση προβλέπει ότι το 2026 η Τεχνητή Νοημοσύνη θα μετατραπεί σε «τυπικό όπλο» για τους κυβερνοεγκληματίες, ενώ παράλληλα το ransomware και ο εκβιασμός δεδομένων θα εδραιωθούν ως η πιο οικονομικά καταστροφική κατηγορία εγκλήματος. Η έκθεση εστιάζει σε τρεις βασικούς άξονες: την επιθετική και αμυντική χρήση της ΤΝ, την κυριαρχία του οικονομικού κυβερνοεγκλήματος και τις κρατικές επιχειρήσεις, βασιζόμενη σε δεδομένα που παρατηρούνται σε πραγματικό χρόνο.
Η έκθεση προβλέπει ότι η χρήση της Τεχνητής Νοημοσύνης από τους δράστες θα μεταβεί «από την εξαίρεση στον κανόνα». Αναμένεται ότι η ΤΝ θα επιταχύνει δραστικά τις επιθέσεις κοινωνικής μηχανικής, τη δημιουργία κακόβουλου λογισμικού και τις εκστρατείες πλαστοπροσωπίας. Η έκθεση αναφέρει ως παράδειγμα επιτυχίας του 2025 την ομάδα ShinyHunters (UNC6240), η οποία εστίασε στο «voice phishing» (vishing). Για το 2026, προβλέπεται ότι τα πολυτροπικά εργαλεία παραγωγικής ΤΝ, ικανά να χειρίζονται φωνή, κείμενο και βίντεο, θα τροφοδοτήσουν ένα νέο κύμα υπερ-ρεαλιστικού «phishing» και απατών «Business Email Compromise», θολώνοντας τα όρια μεταξύ ανθρώπινης και μηχανικής απάτης, κυρίως μέσω της κλωνοποίησης φωνής.
Παράλληλα με την επιθετική χρήση, η ίδια η ενσωμάτωση της ΤΝ στις επιχειρήσεις δημιουργεί νέες ευπάθειες. Η έκθεση εκτιμά ότι θα αυξηθούν σημαντικά οι επιθέσεις «Prompt Injection», η τεχνική χειραγώγησης όπου οι επιτιθέμενοι «ξεγελούν» τα Μεγάλα Γλωσσικά Μοντέλα ώστε να παρακάμψουν τα πρωτόκολλα ασφαλείας τους και να εκτελέσουν κρυφές, κακόβουλες εντολές, οδηγώντας δυνητικά σε μαζικές παραβιάσεις δεδομένων. Η Google σημειώνει ότι αμύνεται σε αυτή την απειλή μέσω μιας προσέγγισης πολλαπλών επιπέδων, που περιλαμβάνει το model hardening), συστημικά προστατευτικά κιγκλιδώματα και φιλτράρισμα περιεχομένου.
Μια άλλη αναδυόμενη απειλή είναι αυτή των «Shadow Agents». Πρόκειται για μη εξουσιοδοτημένους, αυτόνομους πράκτορες ΤΝ που οι εργαζόμενοι αναπτύσσουν ανεξάρτητα για να αυτοματοποιήσουν εργασίες. Αυτή η πρακτική δημιουργεί «αόρατους και ανεξέλεγκτους αγωγούς δεδομένων» που εκθέτουν τους οργανισμούς σε κινδύνους ασφάλειας, παραβιάσεις συμμόρφωσης και κλοπή πνευματικής ιδιοκτησίας. Η έκθεση υπογραμμίζει ότι η πλήρης απαγόρευσή τους δεν αποτελεί βιώσιμη λύση, καθώς απλώς ωθεί τη χρήση τους εκτός εταιρικού δικτύου, εξαλείφοντας κάθε ορατότητα. Αντ’ αυτού, απαιτείται μια νέα «διακυβέρνηση ασφάλειας ΤΝ» που θα αντιμετωπίζει τους πράκτορες ως διαχειριζόμενες ψηφιακές οντότητες.
Στον τομέα της άμυνας, η έκθεση προβλέπει την έλευση του «Agentic SOC». Σε αυτό το μοντέλο, οι αναλυτές ασφαλείας θα πάψουν να «πνίγονται στις ειδοποιήσεις» και θα αναλάβουν ρόλο «κατευθυντή» των πρακτόρων ΤΝ. Η ΤΝ θα αναλαμβάνει την παροχή αυτόματων περιλήψεων περιστατικών και την αποκωδικοποίηση κακόβουλων εντολών. Ομοίως, θα διευρύνει το «κυνήγι απειλών», επιτρέποντας στον αναλυτή να υποβάλλει ερωτήματα σε φυσική γλώσσα, αλλά και την παραγωγή πληροφοριών, αναλαμβάνοντας τη σύνταξη προσχεδίων αναφορών για κακόβουλο λογισμικό.
Πέρα από την ΤΝ, η έκθεση επιβεβαιώνει ότι ο συνδυασμός ransomware, κλοπής δεδομένων και πολύπλευρου εκβιασμού θα παραμείνει η «πιο οικονομικά καταστροφική κατηγορία κυβερνοεγκλήματος παγκοσμίως» το 2026. Η Sandra Joyce, Αντιπρόεδρος της Google Threat Intelligence, δήλωσε σχετικά: «Αναμένουμε να δούμε περισσότερα ransomware και εκβιασμούς. Αυτό το πρόβλημα θα συνεχιστεί και θα αυξηθεί το 2026». Η τεράστια οικονομική επίπτωση, όπως εξηγεί η έκθεση, δεν οφείλεται μόνο στον όγκο των περιστατικών, αλλά κυρίως στις «διαδοχικές οικονομικές επιπτώσεις» που πλήττουν προμηθευτές, πελάτες και κοινότητες πέραν του αρχικού θύματος.
Η κλιμάκωση του φαινομένου επιβεβαιώνεται από τα στατιστικά στοιχεία. Το πρώτο τρίμηνο του 2025 καταγράφηκαν 2.302 θύματα σε ιστότοπους διαρροής δεδομένων (DLS), αριθμός που αποτελεί τον υψηλότερο που έχει παρατηρηθεί ποτέ σε ένα τρίμηνο από το 2020. Η έκθεση αποδίδει αυτή την κλίμακα σε εξειδικευμένες τακτικές, όπως η στόχευση λογισμικού Managed File Transfer (MFT) για μαζική εξαγωγή δεδομένων, η εκμετάλλευση ευπαθειών zero-day και η χρήση vishing για την παράκαμψη του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Ένα ακόμη «κρίσιμο τυφλό σημείο» που αναδεικνύεται για το 2026 είναι η υποδομή εικονικοποίησης (virtualization). Καθώς η ασφάλεια βελτιώνεται στα λειτουργικά συστήματα, οι δράστες στρέφονται στο υποκείμενο επίπεδο του «hypervisor», το οποίο συχνά παραμένει χωρίς παρακολούθηση. Η έκθεση προειδοποιεί ότι ένας μεμονωμένος συμβιβασμός σε αυτό το επίπεδο θα μπορούσε να παραχωρήσει τον έλεγχο εκατοντάδων συστημάτων «μέσα σε λίγες ώρες». Σημειώνεται ότι λύσεις όπως το Google Cloud VMware Engine (GCVE) μετριάζουν αυτόν τον κίνδυνο περιορίζοντας την άμεση πρόσβαση στα υποκείμενα στοιχεία.
Δύο ακόμη τομείς του κυβερνοεγκλήματος που αναμένεται να κλιμακωθούν είναι η «On-Chain» οικονομία και οι επιθέσεις σε βιομηχανικά συστήματα. Οι δράστες αναμένεται να εκμεταλλευτούν το blockchain για να καταστήσουν βασικά στοιχεία των επιθέσεών τους, όπως τα συστήματα Διοίκησης και Ελέγχου (C2), ανθεκτικά στις παραδοσιακές προσπάθειες κατάργησης. Στον βιομηχανικό τομέα (ICS/OT), η κύρια απειλή παραμένει το κυβερνοέγκλημα, το οποίο θα στοχεύει συστήματα IT, όπως το ERP, με σκοπό να διακόψει την αλυσίδα δεδομένων προς τη λειτουργική τεχνολογία (OT), παραλύοντας την παραγωγή.
Στο γεωπολιτικό πεδίο, ο Charles Carmakal, CTO της Mandiant Consulting, δήλωσε ότι «οι κρατικοί αντίπαλοι θα συνεχίσουν να διεισδύουν σε οργανισμούς και να παραμένουν μέσα στα περιβάλλοντα των θυμάτων για μεγάλα χρονικά διαστήματα». Η έκθεση προβλέπει ότι οι ρωσικές επιχειρήσεις θα μετατοπιστούν από την τακτική υποστήριξη του πολέμου στην Ουκρανία σε μακροπρόθεσμους παγκόσμιους στρατηγικούς στόχους. Οι ρωσικές επιχειρήσεις παραπληροφόρησης αναμένεται να συνεχίσουν να στοχεύουν εκλογές, όπως συνέβη το 2025 σε Πολωνία, Γερμανία, Καναδά και Μολδαβία, ενώ φιλο-ρώσοι hacktivists παραμένουν απειλή, όπως έδειξε η παραβίαση νορβηγικού φράγματος τον Απρίλιο του 2025.
Ο όγκος των κινεζικών κυβερνοεπιχειρήσεων αναμένεται «να συνεχίσει να ξεπερνά» αυτόν άλλων εθνών, με εστίαση σε συσκευές «edge», ευπάθειες zero-day και παρόχους τρίτων, και με ιδιαίτερο ενδιαφέρον για τον τομέα των ημιαγωγών. Οι επιχειρήσεις του Ιράν προβλέπεται ότι θα καθοδηγούνται από την περιφερειακή αστάθεια, θολώνοντας τις γραμμές μεταξύ κατασκοπείας, επιθέσεων διακοπής λειτουργίας και hacktivism, ενώ ο κίνδυνος ανάπτυξης λογισμικού wiper παραμένει αυξημένος.
Τέλος, η Βόρεια Κορέα θα διατηρήσει τη διπλή εστίαση στη δημιουργία εσόδων και την κατασκοπεία κατά των ΗΠΑ και της Νότιας Κορέας. Το 2025 σημειώθηκε η «μεγαλύτερη καταγεγραμμένη ληστεία κρυπτονομισμάτων» από τη χώρα, αξίας περίπου 1,5 δισεκατομμυρίου δολαρίων. Οι τακτικές της περιλαμβάνουν πλέον τη χρήση βίντεο «deepfake» για την εξαπάτηση προσωπικού υψηλής αξίας, καθώς και την τοποθέτηση εργαζομένων IT σε εταιρείες-στόχους. Σε μία περίπτωση, ένας τέτοιος υπάλληλος έκλεψε ευαίσθητα δεδομένα από αμυντικό εργολάβο που ανέπτυσσε τεχνολογία ΤΝ.
Η έκθεση καταλήγει στο συμπέρασμα ότι το 2026 θα εισαγάγει μια νέα εποχή για την ασφάλεια, με τον Jon Ramsey, Αντιπρόεδρο της Google Cloud Security, να δηλώνει ότι «οι οργανισμοί πρέπει να είναι προετοιμασμένοι για απειλές και αντιπάλους που αξιοποιούν την τεχνητή νοημοσύνη». Οι αμυνόμενοι καλούνται να δώσουν προτεραιότητα σε προληπτικές στρατηγικές άμυνας πολλαπλών επιπέδων και να επενδύσουν στη διακυβέρνηση της ΤΝ για να διασφαλίσουν την επιχειρησιακή τους ανθεκτικότητα.
