Σύνθετο είναι το νομικό και κανονιστικό πλαίσιο για την αποτροπή των κυβερνοεπιθέσεων στην Ελλάδα και τη συμμόρφωση των επιχειρήσεων με τις απαιτήσεις της νομοθεσίας, σύμφωνα με μελέτη που πραγματοποίησαν η συμβουλευτική εταιρεία EY Ελλάδας και η τεχνολογική εταιρεία Microsoft σε αριθμό επαγγελματιών κυβερνοασφάλειας από μεγάλες ελληνικές επιχειρήσεις.
Ειδικότερα, οκτώ στους δέκα ερωτηθέντες συμφωνούν απόλυτα (27%) ή εν μέρει (53%) ότι το ρυθμιστικό τοπίο για την κυβερνοασφάλεια είναι κατακερματισμένο, ενώ περισσότεροι από τους μισούς (54%) αναφέρουν ότι ο διαχειριστικός χρόνος και τα έξοδα για τη διασφάλιση της συμμόρφωσης με τους κανονισμούς αποτελούν επιβάρυνση για την επιχείρηση.
Παράλληλα, μόλις ένας στους δέκα ερωτώμενους συμφωνεί απόλυτα (13%) ότι η επιχείρησή του έχει εφαρμόσει τα κατάλληλα τεχνολογικά μέσα ελέγχου για τη συνεχή παρακολούθηση της συμμόρφωσης, ενώ οκτώ στις δέκα επιχειρήσεις αναφέρουν ότι είναι δύσκολο να βρουν το κατάλληλο προσωπικό για να συμμορφωθούν με τις κανονικές απαιτήσεις. Επίσης, η πλειοψηφία των ερωτηθέντων σημειώνει ότι ο κίνδυνος μη συμμόρφωσης με το κανονιστικό τοπίο έχει αυξηθεί εξαιτίας της πανδημίας και της εξάπλωσης του υβριδικού μοντέλου εργασίας.
Ταυτόχρονα, υποστηρίζουν ότι οι επιχειρήσεις προχωρούν στην ανάπτυξη νέων τεχνολογιών με εξαιρετικά γρήγορους ρυθμούς που δεν παρέχουν τα απαιτούμενα χρονικά περιθώρια για την κατάλληλη αξιολόγηση ή εποπτεία σε επίπεδο κανονιστικής συμμόρφωσης.
Ποιοι κλάδοι στοχοποιούνται
Σύμφωνα με τα στοιχεία που αναφέρει η έρευνα, από το 2019 παρατηρείται σταθερή αύξηση των επιθέσεων ransomware, όπου ο χάκερ «κλειδώνει» ένα σύστημα ζητώντας λύτρα προκειμένου αυτό να καταστεί ξανά λειτουργικό. Οι κλάδοι που στοχοποιούνται περισσότερο είναι η βιομηχανία (28%) και η υγεία (20%), ακολουθούμενοι από τη λιανική πώληση καταναλωτικών αγαθών (16%). Αυξανόμενη απειλή αποτελεί και η ενορχήστρωση κυβερνοεπιθέσεων που προσφέρεται, έναντι συνδρομής, από κυβερνοεγκληματίες ως ολοκληρωμένη υπηρεσία.
Περιγράφοντας το ευρωπαϊκό κανονιστικό πλαίσιο, η μελέτη σημειώνει ότι τον Ιανουάριο του 2023 εκδόθηκαν οι οδηγίες NIS 2 για τη θέσπιση ενιαίων (από όλα τα κράτη-μέλη) μέτρων κατά των κυβερνοεπιθέσεων και CER για την ανθεκτικότητα των κρίσιμων οντοτήτων. Η εφαρμογή της οδηγίας NIS 2 θα ξεκινήσει τον Οκτώβριο του 2024, ενώ τον Ιανουάριο του 2025 θα τεθεί σε ισχύ η εφαρμογή της πράξης για την ψηφιακή επιχειρησιακή ανθεκτικότητα. Αργότερα, τον Ιανουάριο του 2026 θα εφαρμοστεί η οδηγία CER.
Στην Ελλάδα, μετά την ίδρυση της Εθνικής Αρχής Κυβερνοασφάλειας, το υπουργείο Ψηφιακής Διακυβέρνησης υιοθέτησε την Εθνική Στρατηγική Κυβερνοασφάλειας 2020-2025, που θέτει πέντε στόχους. Σε αυτούς ανήκουν η δημιουργία λειτουργικού συστήματος διακυβέρνησης της κυβερνοασφάλειας, η θωράκιση των κρίσιμων υποδομών, η βελτιστοποίηση της διαχείρισης περιστατικών και η καταπολέμηση του κυβερνοεγκλήματος.
«H μελέτη αποτυπώνει, με χαρακτηριστικό τρόπο, τις μεγαλύτερες προκλήσεις των ελληνικών οργανισμών: το εξελισσόμενο ρυθμιστικό πλαίσιο, που επιβάλλει –διαρκώς– νέες απαιτήσεις, τη διαχείριση συμμόρφωσης των τρίτων μερών, ως αποτέλεσμα των αλλαγών του επιχειρηματικού μοντέλου των οργανισμών, καθώς και τη μεγάλη έλλειψη εξειδικευμένων στελεχών κυβερνοασφάλειας, που αποτελεί μια παγκόσμια πρόκληση», ανέφερε ο Δημήτρης Πατσός, Senior Security Specialist, της Microsoft σε Ελλάδα, Κύπρο και Μάλτα.
