Η Ελλάδα διανύει μια περίοδο ραγδαίου ψηφιακού μετασχηματισμού, με το κράτος, τις επιχειρήσεις και τους πολίτες να μεταφέρουν κρίσιμες λειτουργίες στο διαδίκτυο. Αυτή η επιταχυνόμενη μετάβαση, ωστόσο, δημιουργεί ένα πρωτοφανές πεδίο ευκαιριών, όχι μόνο για την ανάπτυξη, αλλά και για τους κινδύνους. Το κρίσιμο στοίχημα δεν είναι πλέον η ίδια η ψηφιοποίηση, αλλά η θωράκισή της. Σε ένα τοπίο όπου οι απειλές είναι οργανωμένες, κρατικά υποστηριζόμενες και συχνά αόρατες, πώς χτίζει η χώρα την εθνική της άμυνα; Αυτό το σύνθετο ζήτημα βρέθηκε στο επίκεντρο του νέου επεισοδίου των SmartTalks, με καλεσμένο τον Δρ. Γιάννη Παυλόσογλου, Υποδιοικητή της Εθνικής Αρχής Κυβερνοασφάλειας. Στη συζήτηση, ο κ. Παυλόσογλου ανέλυσε το όραμα της νέας Εθνικής Στρατηγικής Κυβερνοασφάλειας, εξήγησε γιατί η μεγαλύτερη πρόκληση για τις επιχειρήσεις δεν είναι οι εξελιγμένοι hackers αλλά η έλλειψη βασικής «κυβερνοϋγιεινής», και αποκάλυψε ποια τεχνολογία –πέρα από το πολυσυζητημένο ΑΙ– θα αποτελέσει την επόμενη μεγάλη δοκιμασία για την ασφάλεια.
Η συζήτηση ξεκίνησε με μια αποτίμηση του σύγχρονου τοπίου των κυβερνοαπειλών, το οποίο ο κ. Παυλόσογλου χαρακτήρισε «πολύπλοκο», τονίζοντας την «αυξανόμενη πολυπλοκότητα καθώς και τη συχνότητα των επιθέσεων». Ξεκαθάρισε ότι η εποχή του ρομαντικού, μοναχικού hacker έχει παρέλθει. Οι σημερινές απειλές δεν προέρχονται από «έναν μοναχικό κακόβουλο», αλλά είναι «αρκετά οργανωμένες». Στην κορυφή των κινδύνων που αντιμετωπίζει η χώρα, ο Υποδιοικητής τοποθέτησε τα λυτρισμικά (Ransomware), όπου οι δράστες κρυπτογραφούν αρχεία και απειλούν με δημοσίευση δεδομένων απαιτώντας λύτρα. Παράλληλα, μίλησε για τις επιθέσεις στην εφοδιαστική αλυσίδα, με χαρακτηριστικό παράδειγμα το «business email compromise», όπου οι δράστες παρεμβαίνουν σε πληρωμές προς τρίτους παρόχους, με τη ζημιά να την υφίσταται τελικά η επιχείρηση που πληρώνει τον κακόβουλο. Τέλος, αναφέρθηκε στα λεγόμενα Advanced Persistent Threats (APTs), πιο στρατηγικές απειλές, συχνά από «κρατικούς ή παρακρατικούς φορείς», όπου ο στόχος δεν είναι το άμεσο οικονομικό κέρδος αλλά η διαλειτουργικότητα και ο συντονισμός των κρίσιμων υποδομών της χώρας.
Απέναντι σε αυτό το τοπίο, η χώρα απαντά με τη νέα Εθνική Στρατηγική Κυβερνοασφάλειας. Ποιο είναι το κεντρικό όραμα; «Το κύριο όραμα είναι πολύ απλό… είναι η ψηφιακή ανθεκτικότητα της χώρας», υπογράμμισε ο κ. Παυλόσογλου. Χρησιμοποιώντας μια ισχυρή μεταφορά, τόνισε: «αυτός είναι ο στόχος, αυτός είναι ο Όλυμπος, τον οποίο προσπαθούμε να κατακτήσουμε και να ανέβουμε όλοι μαζί». Η στρατηγική, όπως εξήγησε, δεν εστιάζει μόνο σε τεχνικά μέτρα, αλλά προτάσσει την «προληπτική ασφάλεια και την εκπαίδευση» ως βασικούς πυλώνες, με απώτερο σκοπό την «ενίσχυση της εμπιστοσύνης του πολίτη στο ψηφιακό οικοσύστημα». Σε αυτό το πλαίσιο, κρίσιμος είναι και ο εθνικός μηχανισμός συντονισμού. Ο κ. Παυλόσογλου σημείωσε ότι η Ελλάδα έχει το πλεονέκτημα οι αρμόδιοι φορείς να «μετριούνται στα δάχτυλα του ενός χεριού», κάτι που, σε αντίθεση με άλλες χώρες, επιτρέπει την άμεση συνεργασία και την αποφυγή «δακτυλοδεικτούμενων συναντήσεων» εν μέσω μιας κρίσης.
Παρότι οι τεχνικές επιθέσεις είναι εξελιγμένες, ο κ. Παυλόσογλου εστίασε στον ανθρώπινο παράγοντα ως το μεγαλύτερο κενό ασφαλείας. Απαντώντας στο δίλημμα μεταξύ τεχνικών επιθέσεων και παραπληροφόρησης, επέλεξε το δεύτερο, αλλά με μια κρίσιμη διευκρίνιση: το πρόβλημα είναι η «κυβερνοϋγιεινή» (cyber hygiene). «Πολύ λίγα είναι τα πράγματα τα οποία μπορούμε να κάνουμε αν πραγματικά το password μας είναι password123», είπε χαρακτηριστικά, δίνοντας το στίγμα της πρόκλησης. Αυτή η έλλειψη «cyber awareness» εντοπίζεται ως η μεγαλύτερη πρόκληση στην ετοιμότητα των ελληνικών επιχειρήσεων, ειδικά των μικρομεσαίων που αποτελούν τον «πυρήνα της αγοράς». Το πρόβλημα, όπως είπε, είναι η «έλλειψη γνώσης για το ποια μέτρα μπορούμε πολύ εύκολα να υλοποιήσουμε, τα οποία θα κάνουν τη μεγάλη διαφορά». Το κλασικό παράδειγμα είναι ο πολυπαραγοντικός τρόπος ταυτοποίησης (MFA). «Αν το password μας το έχει ένας κακόβουλος, δεν θα μπορέσει να έχει πρόσβαση στο λογαριασμό μας», εξήγησε, τονίζοντας ότι η εξωστρέφεια της Αρχής, όπως η παρουσία του στα SmartTalks, είναι κρίσιμη για να φτάσει αυτή η γνώση στις επιχειρήσεις.
Φυσικά, η εφαρμογή όλων αυτών απαιτεί ταλέντο. Ο κ. Παυλόσογλου αναγνώρισε ότι υπάρχει ένα «μεγάλο κενό» σε ανθρώπινο δυναμικό, το οποίο όμως είναι «παγκόσμιο». Ωστόσο, εμφανίστηκε αισιόδοξος για την «τάση της βελτίωσης» στην Ελλάδα. Τα πανεπιστήμια πλέον προσφέρουν πτυχία στο αντικείμενο, αλλά το πιο σημαντικό, όπως είπε, είναι ότι η κυβερνοασφάλεια δεν αφορά μόνο πληροφορικάριους. «Έχω δει πάρα πολλούς δικηγόρους, αρχιτέκτονες, αρχαιολόγους να παίρνουν πιστοποιήσεις», σημείωσε, κάνοντας ειδική μνεία στο «πολύ μεγάλο δίκτυο mentoring» και στην επιτυχία της ελληνικής ομάδας στον ευρωπαϊκό διαγωνισμό «Capture the Flag». Σχετικά με την τεχνητή νοημοσύνη, ο Υποδιοικητής της Εθνικής Αρχής Κυβερνοασφάλειας αναγνώρισε ότι «έχει ενδυναμώσει και το βαθμό επίθεσης», οδηγώντας σε πολύ πιο εξελιγμένα μηνύματα phishing. Εντούτοις, εδώ εντόπισε ένα ελληνικό πλεονέκτημα: το «ελληνικό τσαγανό». Όπως είπε, «υπάρχει μια μεγαλύτερη πιθανότητα ως Έλληνες να μην το πιστέψουμε ένα deepfake και να ασχοληθούμε λίγο παραπάνω» με την προέλευσή του.
Αυτή η ελληνική ιδιαιτερότητα επεκτείνεται και στον διεθνή ρόλο της χώρας. Με τον Ευρωπαϊκό Οργανισμό Κυβερνοασφάλειας (ENISA) να εδρεύει στην Αθήνα, η Ελλάδα δεν είναι απλός δέκτης εντολών. Λόγω της γεωγραφίας της (π.χ. τα πολλά νησιά και η ανάγκη διαθεσιμότητας) και του συγκεκριμένου μοντέλου διακυβέρνησης, η χώρα λειτουργεί ως μοντέλο. «Αυτό το οποίο πάντα ενδιαφέρει τους ομολόγους μας είναι: “δουλεύει για εσάς στην Ελλάδα; Το έχετε κάνει να πετύχει; Αν ναι, πώς, για να μάθουμε από εσάς”». Αυτή η αλληλεπίδραση, τόνισε, μας βάζει σε θέση να έχουμε «ισάξια παρουσία» στην παγκόσμια συζήτηση. Κλείνοντας, και κοιτώντας τα επόμενα 3-5 χρόνια, ο Δρ. Παυλόσογλου απέφυγε την εύκολη απάντηση της τεχνητής νοημοσύνης. Η μεγαλύτερη πρόκληση, όπως είπε, θα έρθει από αλλού. Η επόμενη μεγάλη απειλή, κατέληξε, αφορά «τον τρόπο που χρησιμοποιούμε κβαντικές τεχνολογίες για θέματα κρυπτογράφησης και αποκρυπτογράφησης δεδομένων». Είναι ένα πεδίο, το «Quantum Cyber Security», για το οποίο η Ελλάδα, μέσω φορέων όπως ο «Δημόκριτος», τρέχει ήδη έργα για να θωρακιστεί απέναντι στη μελλοντική αυτή καινοτομία.
