Καθώς η Τεχνητή Νοημοσύνη μετασχηματίζει τον επιχειρηματικό κόσμο, η κυβερνοασφάλεια αναδεικνύεται σε κρίσιμη στρατηγική προτεραιότητα. Με βάση τις εξελίξεις των δύο τελευταίων ετών (από την προστασία μοντέλων και δεδομένων έως τους ΑΙ Browser wars) το άρθρο αυτό παρουσιάζει τους τρεις βασικούς πυλώνες πάνω στους οποίους οι ελληνικές επιχειρήσεις θα κληθούν, το 2026 και μετέπειτα, να δομήσουν μια ολιστική προσέγγιση που προστατεύει τα επιχειρηματικά τους δεδομένα συνδυάζοντας τεχνολογία και ηθική.
1. Deepfakes – Όταν η Πραγματικότητα Γίνεται Όπλο
Το 2025, τα deepfakes έχουν εξελιχθεί από τεχνολογικό πείραμα σε σοβαρή επιχειρηματική και πολιτική απειλή. Από ψεύτικες καμπάνιες μέχρι παραπλανητικές δηλώσεις, οι επιπτώσεις στην εταιρική φήμη και στην εμπιστοσύνη του κοινού είναι μεγάλες.
Το πιο χαρακτηριστικό περιστατικό σημειώθηκε στο Χονγκ Κονγκ τέλη του 2024, όταν υπάλληλος πολυεθνικής εταιρείας μετέφερε 25 εκατομμύρια δολάρια ύστερα από βιντεοκλήση με deepfake του CFO της εταιρείας. Η ανίχνευση της πλαστότητας έγινε μόνο αφού η συναλλαγή είχε ολοκληρωθεί.
Οι ελληνικές επιχειρήσεις πρέπει να προετοιμαστούν για σενάρια παραπλάνησης μέσω deepfakes, αναπτύσσοντας πολιτικές επαλήθευσης με σχετική εκπαίδευση του προσωπικού τους. Μέτρα όπως η επαλήθευση μέσω δεύτερου καναλιού (Callback Verification), η υιοθέτηση Multi-Factor Authentication (αποτρέποντας τη διεκπεραίωση κρίσιμων ενεργειών) και η χρήση εργαλείων AI-based deepfake detection είναι κρίσιμα. Ένα σχέδιο απόκρισης μίας επιχείρησης (Response Plan) θα πρέπει πια να λαμβάνει υπόψη του σενάρια για περιστατικά πλαστογράφησης βίντεο, ήχου, και εικόνων ως κύρια απειλή.
2. Δικαιώματα Δεδομένων Εκπαίδευσης και Data Poisoning
Η ασφάλεια των δεδομένων εκπαίδευσης και των ίδιων των μοντέλων αποτελεί θεμέλιο της αξιοπιστίας κάθε συστήματος ΤΝ. Τα δεδομένα καθορίζουν όχι μόνο την απόδοση, αλλά και την ανθεκτικότητα του συστήματος.
Οι ελληνικές επιχειρήσεις οφείλουν όχι μόνο να προστατεύουν τα δεδομένα τους, εμπορικά απόρρητα και ιδιόκτητα datasets, αλλά και να ξεχωρίσουν ποια από αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν προς εκπαίδευση μοντέλων ΤΝ. Χαρακτηριστικό είναι το περιστατικό της Samsung το 2023, όταν μηχανικοί της εταιρείας εισήγαγαν εμπιστευτικό κώδικα και εσωτερικά έγγραφα συναντήσεων στο ChatGPT για βελτιστοποίηση. Η Samsung αναγκάστηκε να απαγορεύσει προσωρινά τη χρήση του ChatGPT, καθώς τα δεδομένα αυτά θα μπορούσαν να ενσωματωθούν στο μοντέλο και να διαρρεύσουν σε τρίτους. Το περιστατικό υπογραμμίζει την κρισιμότητα της επαρκούς κατάρτισης του προσωπικού και της θέσπισης σαφών πολιτικών για το ποια δεδομένα μπορεί να μεταβιβάσει σε εξωτερικά συστήματα ΤΝ.
Παράλληλα, επιχειρήσεις που χρησιμοποιούν off-the-shelf μοντέλα ΤΝ όπως το ChatGPT, το Claude Sonnet, ή το Llama 2, θα πρέπει να αναλογιστούν ότι αυτά τα μοντέλα μπορεί να έχουν υποστεί κακόβουλη αλλοίωση (data poisoning) κατά την εκπαίδευσή τους, ειδικά αν αυτή αφορά θέματα στην ελληνική γλώσσα, καθώς αυτό κάνει πιο δύσκολο το detection του data poisoning. Το 2024, ερευνητές ασφάλειας ανακάλυψαν ότι δημοφιλή open-source datasets για εκπαίδευση μοντέλων γλώσσας (συμπεριλαμβανομένων datasets με ελληνικό περιεχόμενο) περιείχαν υποβληθέντα δηλητηριασμένα δεδομένα από κακόβουλους χρήστες. Σε ένα παράδειγμα, μοντέλα που εκπαιδεύτηκαν με τέτοια datasets παρήγαγαν συστηματικά παραπλανητικές απαντήσεις σε ερωτήσεις σχετικές με χρηματοοικονομικές συμβουλές ή φαρμακευτικές πληροφορίες. Για επιχειρήσεις που λειτουργούν στην ελληνική αγορά, ο κίνδυνος μεγεθύνεται λόγω του περιορισμένου όγκου δεδομένων ελληνικής γλώσσας, γεγονός που καθιστά δυσκολότερη την ανίχνευση τυχόν ανωμαλιών.
3. ΑΙ Browser Wars και Επιχειρηματικά Δεδομένα – Η Νέα Μάχη της Κυβερνοασφάλειας
Η εμφάνιση των AI-powered browsers όπως το ChatGPT Atlas της OpenAI και το Comet της Perplexity σηματοδοτεί μια νέα εποχή στον τρόπο που αλληλεπιδρούμε με το διαδίκτυο. Αυτά τα εργαλεία υπόσχονται να λειτουργήσουν ως “προσωπικοί βοηθοί”, ικανοί να αυτοματοποιούν εργασίες, να διαβάζουν και να συνοψίζουν κείμενα, ακόμη και να πραγματοποιούν αγορές για λογαριασμό του χρήστη. Ωστόσο, για τις ελληνικές επιχειρήσεις, αυτή η εξέλιξη φέρνει σημαντικούς κινδύνους κυβερνοασφάλειας που απαιτούν άμεση προσοχή.
Το πρόβλημα ξεκινά από το ότι υπάλληλοι που διατηρούν προσωπικές συνδρομές σε ChatGPT Plus, Claude Pro, ή χρησιμοποιούν δωρεάν εργαλεία όπως το Comet, συχνά δεν αντιλαμβάνονται τις επιπτώσεις για την εταιρική ασφάλεια. Όταν ένας υπάλληλος ανοίγει το Google Drive της εταιρείας ή το εταιρικό του email σε έναν AI browser, το σύστημα μπορεί να αποκτήσει πρόσβαση και να “διαβάσει” ευαίσθητα εταιρικά δεδομένα, από οικονομικά reports έως στρατηγικά σχέδια.
Τον Οκτώβριο 2025, ερευνητές ασφάλειας της LayerX ανακάλυψαν το “CometJacking”, μια σοβαρή τρωτότητα στο Comet browser που επέτρεπε σε κακόβουλους ιστότοπους να εξάγουν προσωπικά και εταιρικά δεδομένα των χρηστών. Το πρόβλημα δεν ήταν απλώς τεχνικό, καθώς οι AI browsers σχεδιάστηκαν να “εμπιστεύονται” το περιεχόμενο που βλέπουν στον ιστό, χωρίς να διακρίνουν μεταξύ νόμιμων εντολών από τον χρήστη και κακόβουλων οδηγιών ενσωματωμένων σε ιστοσελίδες (prompt injections).
Το ChatGPT Atlas, που κυκλοφόρησε τον ίδιο μήνα, εισήγαγε το “browser memories”, μια λειτουργία που επιτρέπει στο ChatGPT να αποθηκεύει και να θυμάται κάθε ιστοσελίδα που επισκέπτεται ο χρήστης. Ενώ η OpenAI υποστηρίζει ότι από προεπιλογή δεν χρησιμοποιεί αυτά τα δεδομένα για εκπαίδευση μοντέλων, το γεγονός παραμένει ότι όλα αυτά τα δεδομένα μεταφέρονται και αποθηκεύονται στους servers της εταιρείας. Όπως τονίζει η Lena Cohen από το Electronic Frontier Foundation, “μόλις τα ευαίσθητα σας δεδομένα βρεθούν στους servers άλλης εταιρείας, έχετε ελάχιστο έλεγχο για το τι θα γίνει με αυτά.”
Συμπεράσματα
Η κυβερνοασφάλεια στην εποχή της Τεχνητής Νοημοσύνης δεν είναι πλέον τεχνικό ζήτημα, αλλά στρατηγική επιλογή που καθορίζει την επιβίωση κάθε σύγχρονης επιχείρησης.
Οι τρεις πυλώνες που περιγράψαμε απαιτούν ολιστική προσέγγιση με τεχνολογική επάρκεια, εκπαίδευση προσωπικού και σαφή εταιρική πολιτική. Η προληπτική δράση σήμερα είναι οικονομικότερη από την αντιμετώπιση κρίσης αύριο. Μια απώλεια δεδομένων ή μια επίθεση deepfake μπορεί να καταστρέψει τη φήμη μιας επιχείρησης και να απωλέσει πελάτες.
Οι λύσεις υπάρχουν και είναι προσβάσιμες σε όλες τις επιχειρήσεις. Απαιτείται δέσμευση από τη διοίκηση, επένδυση σε κατάλληλη τεχνολογία και συνεχής εκπαίδευση του προσωπικού. Οι εταιρείες που θα υιοθετήσουν, ότι η κυβερνοασφάλεια της ΤΝ δεν είναι κόστος αλλά επένδυση για την επιχείρησή τους, θα αποκτήσουν ουσιαστικό ανταγωνιστικό πλεονέκτημα. Το 2026 δεν είναι μακριά. Η προετοιμασία ξεκινά σήμερα.
Το άρθρο δημοσιεύθηκε στο περιοδικό Infocom
Γράφει ο Γιάννης Παυλόσογλου, Υποδιοικητής, Εθνική Αρχή Κυβερνοασφάλειας
