Η expert στην κυβερνοασφάλεια Κατερίνα Τασιοπούλου στην «Π»: «Σαν να κλειδώνουμε το σπίτι μας» ΒΙΝΤΕΟ
Ο ψηφιακός κόσμος, η ραγδαία εξέλιξη της τεχνολογίας, οι κίνδυνοι για ανθρώπους και επιχειρήσεις αλλά και το μέλλον
Στη σημερινή ψηφιακή εποχή, όπου η τεχνολογία διαπερνά κάθε πτυχή της καθημερινότητας, η ασφάλεια στον ψηφιακό κόσμο δεν αποτελεί πλέον τεχνική λεπτομέρεια, αλλά ζήτημα ζωτικής σημασίας για πολίτες, επιχειρήσεις και κράτη. Σε αυτό το περιβάλλον, η κυβερνοασφάλεια αναδεικνύεται σε κρίσιμο πυλώνα ανθεκτικότητας και εμπιστοσύνης. Η συνέντευξη που ακολουθεί φιλοξενεί μια γυναίκα που βρίσκεται στην πρώτη γραμμή αυτής της μάχης. Η Κατερίνα Τασιοπούλου, με διεθνή εμπειρία σε κορυφαίες υποθέσεις κυβερνοασφάλειας, είναι σήμερα η νεότερη και μοναδική γυναίκα CEO στον κλάδο στην Ελλάδα. Ιδρύτρια της ThreatScene και της Exelasis, με σημαντικές διακρίσεις και θεσμικό ρόλο σε ευρωπαϊκό και διεθνές επίπεδο, μιλά για τους σύγχρονους ψηφιακούς κινδύνους, την προσωπική ευθύνη, τις επιχειρήσεις και το μέλλον της κυβερνοάμυνας.
ΣΥΝΕΝΤΕΥΞΗ ΣΤΟΥΣ ΘΕΟΔΩΡΟ ΛΟΥΛΟΥΔΗ ΚΑΙ ΣΩΤΗΡΗ ΠΑΠΑΝΔΡΕΟΥ
Σήμερα έχουμε τη χαρά να φιλοξενούμε μια γυναίκα που βρίσκεται στην πρώτη γραμμή της προστασίας μας στον ψηφιακό κόσμο. Εξηγήστε μας, τι είναι η κυβερνοασφάλεια και γιατί μας αφορά όλους.
Η κυβερνοασφάλεια είναι ένας σχετικά καινούριος κλάδος ο οποίος εστιάζει στην προστασία μας στον ψηφιακό κόσμο και στη ραγδαία εξάρτησή μας ως κοινωνία από την τεχνολογία. Οχι μόνο σε επίπεδο εταιριών, αλλά και ως απλοί πολίτες.
Στον ψηφιακό κόσμο, πιστεύετε ότι ο καθένας πολίτης πρέπει να αντιλαμβάνεται την ασφάλεια και ως τη δική του προσωπική ευθύνη;
Η κυβερνοασφάλεια αποφορά τους πολίτες ως φυσικά πρόσωπα και τις επιχειρήσεις. Σε επίπεδο φυσικών προσώπων, οι μεγαλύτεροι κίνδυνοι αυτή τη στιγμή είναι από το λεγόμενο «fishing» ή «social engineering». Δηλαδή, πολλοί από εμάς λαμβάνουμε μηνύματα, είτε SMS, είτε email, είτε τηλεφωνήματα, στα οποία κάποιοι κακόβουλοι προσποιούνται ότι είναι κάποιος άλλος, για να μας υποκλέψουν στοιχεία. Εχουμε πολλά τέτοια παραδείγματα που έχουν προκαλέσει πολύ μεγάλη οικονομική ζημιά στον απλό κόσμο. Στον κόσμο των επιχειρήσεων οι ψηφιακές επιθέσεις ξεκινάνε πάλι με τον ίδιο τρόπο. Στο 99% των περιπτώσεων οι επιθέσεις ξεκινάνε πάλι από τον ανθρώπινο παράγοντα. Δηλαδή, αν κάποιος θέλει να επιτεθεί ψηφιακά σε μια εταιρεία, στοχεύει πρώτα τους υπαλλήλους της.
Η μεγαλύτερες ψηφιακές επιθέσεις που συμβαίνουν αυτή τη στιγμή προέρχονται από ανατολικές χώρες και αφορούν σε ransomware. Δηλαδή επιθέσεις με κακόβουλο λογισμικό που κρυπτογραφεί δεδομένα ή κλειδώνει συσκευές, απαιτώντας λύτρα, συνήθως σε κρυπτονομίσματα, για την αποκατάσταση της λειτουργίας της επιχείρησης. Το ransomware ξεκινάει και αυτό από τον ανθρώπινο παράγοντα. Γι΄αυτό λέμε πως η κυβερνοασφάλεια είναι και προσωπική μας ευθύνη, όχι μόνο για εμάς, για την οικογένειά μας, αλλά ακόμα και για το οικοσύστημα που υπάρχει γύρω μας. Ζούμε σε έναν κόσμο όπου στα ζητήματα της ασφάλειας υπάρχει πια έντονο και το στοιχείο της προσωπικής ευθύνης.
Εσείς είστε μια νέα γυναίκα η οποία έχει δουλέψει σε πολύ μεγάλες εταιρείες στο εξωτερικό σε αυτό το τομέα. Θα μπορούσατε να μας πείτε κάποιες περιπτώσεις κρίσεων, κυβερνοασφάλειας που αντιμετωπίσατε;
Ημουν πολύ τυχερή που ξεκίνησα την καριέρα μου στην Αγγλία, στην πολυεθνική IBM, που μου έδωσε την ευκαιρία από πολύ νέα ηλικία να δουλέψω πάνω σε αυτό τον κλάδο και σε μεγάλες επιθέσεις που είχαν γίνει τότε στην Saudi Aramco και στην MAERSK. Ηταν ένα λογισμικό μιας ομάδας, η οποία χτύπησε με ransomware για να κλέψει στοιχεία και να βάλει ιούς. Κλείδωσαν τα πάντα και ζητούσαν λίτρα. Στη περίπτωση της Aramco ήταν πάρα πολύ μεγάλο το πρόβλημα και θυμάμαι ότι επειδή είχε κλειδώσει όλη η επιχείρηση εκείνη τη στιγμή, είχαμε χιλιόμετρα από βυτιοφόρα φορτηγά που δεν μπορούσαν να φορτώσουν, κάτι που προκάλεσε τεράστια ζημιά.
Στην περίπτωση της Maersk, ο συγκεκριμένος ιός εξαπλωνόταν σε δευτερόλεπτα, σαν μια φωτιά. Δεν μπορούσαμε να το σταματήσουμε. Για να ανακάμψουν από αυτό, χρειάστηκε στο τέλος να πουλήσουν και τους υπολογιστές που είχαν.
Είναι τρομερό το πρόβλημα, και τις ίδιες επιθέσεις που ζούσα τότε, πριν από δέκα χρόνια, τις ζω και τώρα στην Ελλάδα. Απλά δεν τις ακούτε στα νέα. Οπότε, αυτό είναι το μεγαλύτερο πρόβλημα που έχουν σήμερα οι επιχειρήσεις. Δεν είναι τόσο πολύ το business email compromise, να κλέβουν λεφτά με ψεύτικα τιμολόγια. Αυτό δεν δημιουργεί τόσο μεγάλο πρόβλημα. Είναι οι μεγάλες επιθέσεις που σταματάνε τη λειτουργικότητα της εταιρείας και έτσι επηρεάζεται όλη η αλυσίδα εφοδιασμού.
Εχουμε την προσωπική ευθύνη των πολιτών και των επιχειρηματιών. Αλλά το κράτος μας αναπτύσσει δομές για να αντιμετωπίζει τέτοιου είδους επιθέσεις;
Το πρόβλημα είναι πάρα πολύ μεγάλο, όχι μόνο στη δική μας χώρα. Η Ευρώπη αντιμετωπίζει πάρα πολύ μεγάλο πρόβλημα και γι΄αυτό έχει εκδώσει μια οδηγία, το NIS2 που αποτελεί το αναθεωρημένο ευρωπαϊκό νομικό πλαίσιο για την ενίσχυση της κυβερνοασφάλειας σε κρίσιμους τομείς. Επεκτείνει το πεδίο εφαρμογής, επιβάλλει αυστηρότερα μέτρα διαχείρισης κινδύνου, υποχρεώσεις αναφοράς περιστατικών και αυστηρές κυρώσεις για μη συμμόρφωση. Οσον αφορά το κράτος, ναι έχουμε ξεκινήσει να κάνουμε βήματα, αλλά είμαστε λίγα βήματα πίσω. Στην Ελλάδα ιδρύσαμε την Εθνική Αρχή Κυβερνοασφάλειας. Επίσης το NIS2 αποδίδει για πρώτη φορά ευθύνη και στις επιχειρήσεις αν δεν συμμορφωθούν με τον κανονισμό αυτό. Αλλά δεν φτάνει μόνο αυτό. Πρέπει ταυτόχρονα να υπάρχει και ένας έλεγχος στις επιχειρήσεις που παρέχουν λύσεις κυβερνοασφάλειας.
Πως θα αξιολογούσατε την Ελλάδα σε επίπεδο κρατικών οργανισμών ως προς τα μέτρα κυβερνοασφάλειας; Και με την ευκαιρία, πείτε μας και για τη συνεργασία που έχετε αναπτύξει με το Ναυτικό Επιμελητήριο Ελλάδος και τη δημιουργία του πλαισίου Marine για την κυβερνοασφάλεια.
Είτε είναι δημόσιος, είτε είναι ιδιωτικός τομέας, η τεχνολογία είναι ίδια. Το μόνο που αλλάζει είναι η νοοτροπία και ο τρόπος με τον οποίο ελέγχεται η υλοποίηση αυτών των έργων. Μια ιδιωτική επιχείρηση είναι πολύ πιο εύκολο να έχει το budget για να αγοράσει μια λύση κυβερνοασφάλειας, απ΄ ότι ο δημόσιος τομέας. Το σύστημα προμηθειών στη χώρα μας, είναι πολύ πιο αργό. Αλλά, όλα πλέον ψηφιοποιούνται. Οπότε η ευθύνη είναι πολύ πιο μεγάλη στις κρίσιμες υποδομές.
Τώρα, όσον αφορά στη συνεργασία μας με το Ναυτικό Επιμελητήριο, όταν ξεκίνησε η εταιρεία μας, από τα πρώτα κομμάτια που κοιτάξαμε ήταν η ναυτιλία, επειδή η πρώτη επίθεση που δουλέψαμε ήταν μια ναυτιλιακή εταιρεία. Και έτσι μαζί με το Ναυτικό Επιμελητήριο είχαμε μια σοβαρή συζήτηση για την προστασία της ναυτιλίας μας. Μην ξεχνάμε ότι το 90% του παγκόσμιου εμπορίου γίνεται μέσω της ναυτιλίας και η Ελλάδα έχει το μεγαλύτερο στόλο στον κόσμο με 5.500 βαπόρια. Πρακτικά η Ελλάδα αντιπροσωπεύει όλη την ναυτιλία του κόσμου. Αλλά η ναυτιλία είναι ένας κόσμος από μόνος του, και για το αν υπάγεται κάτω από τους κανόνες της NIS2 είναι ακόμα γκρίζο. Οπότε αυτό που κάναμε μαζί με το Επιμελητήριο, ήταν να αναπτύξουμε ένα πλαίσιο καθοδήγησης γύρω από την κυβερνοασφάλεια, που μιλάει την γλώσσα τους, τους δίνει οδηγίες και το μοιράσαμε απλόχερα σε 12.000 ναυτιλιακές εταιρείες. Ετσι έχουν τώρα έναν οδηγό για οποιοδήποτε δουλεύει στο Πληροφορικής να ενδυναμώσει την εταιρεία του.
Οι επιχειρήσεις στην Ελλάδα στη συντριπτική τους πλειοψηφία είναι μικρές ή και ατομικές, χωρίς οργανωμένα τμήματα πληροφορικής. Αυτές οι επιχειρήσεις πώς μπορούν να προστατευθούν απέναντι στον νέο ψηφιακό περιβάλλον;
Αυτό είναι ένα μεγάλο πρόβλημα που έχουμε γενικότερα σαν χώρα. Κυβερνοασφάλεια δεν σημαίνει να αγοράζεις απλά προϊόντα προστασίας. Η κυβερνοασφάλεια είναι ένα σύστημα 360ο στο οποίο πρέπει να κοιτάς και τον ανθρώπινο παράγοντα και τις πολιτικές και τις διαδικασίες και τα συστήματα. Οπότε, όταν μιλάμε για μικρές επιχειρήσεις, πρέπει να συνδυάζουν όλα τα παραπάνω. Πρέπει να κοιτάξουμε τι επιχείρηση είμαστε, πόσα άτομα έχουμε, σε ποιο κλάδο δραστηριοποιόμαστε, τι τεχνολογία έχουμε, και να κάνουμε τουλάχιστον τα βασικά, για να μπορούμε να προστατευτούμε. Ο ψηφιακός κόσμος επεκτείνεται με τεράστιο ρυθμό. Κατά συνέπεια, η κυβερνοασφάλεια είναι ένα ζήτημα που μας απασχολεί όλους και θα μας απασχολεί περισσότερο.
Σπουδάσατε και δουλέψατε στο εξωτερικό, σε πάρα πολύ ψηλό επίπεδο. Ήρθατε, φτιάξατε τη δική σας εταιρεία στην Ελλάδα, στην οποία επένδυσαν πολύ σημαντικοί επενδυτές. Καταλαβαίνω ότι επειδή είστε και νέα στην ηλικία, θέλατε επιστρέφοντας στην Ελλάδα να αφήσετε το αποτύπωμά σας, να συμβάλλετε στο να διαμορφωθεί μια κατάσταση με σωστό τρόπο. Θέλετε να μας πείτε λίγο περισσότερο γι’ αυτό;
Γενικότερα, ο κλάδος της τεχνολογίας έχει προσελκύσει πολλούς επενδυτές. Σε εμάς επένδυσε πριν από 1,5 χρόνο το family office του κύριου Γιάννη Βαρδινογιάννη. Οσον αφορά το όραμά μας, όσο μεγάλωνε η καριέρα μου στο εξωτερικό, πάντα σκεφτόμουν την χώρα μου. Και θυμάμαι ότι είχε βγει μια λίστα, που μας είχε κατηγοριοποιήσει στο τέρμα. Τότε ένοιωσαν σαν Ελληνίδα, ότι το timing ήταν το σωστό, για όσα πράγματα έκανα στο εξωτερικό να τα φέρω πίσω στη χώρα μου.
Βλέπουμε τώρα ότι γεωπολιτικά οι εξελίξεις δεν είναι καλές. Δηλαδή η κυβερνοεπίθεση είναι ένας τέταρτος κλάδος και στον πόλεμο. Και ήθελα, να έχουμε μια εταιρεία ελληνική και από όλη αυτή την τεχνογνωσία να μένει κάτι στη χώρα μας, αλλά παράλληλα, να συνδυάσουμε και το επαγγελματικό στοιχείο, για να κρατήσουμε το ταλέντο στη χώρα μας, τα παιδιά αυτά που θέλουν να δουλέψουν στο κλάδο και δεν έχουν τόσες ευκαιρίες. Γι΄αυτό υλοποιήσαμε την εταιρεία με το όραμα να γίνουμε από τις μεγαλύτερες στον κλάδο της κυβερνοασφάλειας στη χώρα, να κρατάμε το ταλέντο και τη τεχνογνωσία εδώ και να εξελισσόμαστε, να μην εξαρτιόμαστε από την Ευρώπη και το εξωτερικό.
Πώς βλέπετε το μέλλον της κυβερνοασφάλειας τα επόμενα χρόνια;
Πριν από δύο χρόνια δεν περιμέναμε ότι η Τεχνητή Νοημοσύνη θα εξελισσόταν τόσο πολύ, οπότε αυτή είναι μια δύσκολη ερώτηση. Ο δικός μου φόβος είναι ότι αυτή τη στιγμή δεν έχουμε ούτε τα βασικά. Με τις επιθέσεις που γίνονται, βλέπουμε ότι εταιρείες δεν είχαν ούτε τα βασικά για κυβερνοασφάλεια και τώρα με τις υποχρεώσεις που επιβάλλονται στις εταιρείες για να συμμορφωθούν, βλέπουμε ότι πάλι δεν έχουμε καλύψει ούτε τις πιο βασικές προϋποθέσεις. Οπότε πιστεύω ότι στο μέλλον η κυβερνοασφάλεια θα προσλάβει στρατηγικό χαρακτήρα και όχι απλά τεχνικό. Θα είναι κάτι αυτονόητο, σαν να κλειδώνουμε φεύγοντας από το σπίτι μας.
Σε προσωπικό επίπεδο, πως θα μπορέσουν 10 εκατομμύρια Έλληνες, ο καθένας ξεχωριστά να μάθει ότι στον υπολογιστή του, στο κινητό του πρέπει να έχει μια συγκεκριμένη συμπεριφορά;
Νομίζω όλοι το νιώθουμε αυτό. Ολοι έχουν κινητά, social media, τραπεζικούς λογαριασμούς και e-banking και είναι ένα μεγάλο πρόβλημα αυτό. Το έχω πει και το αναφέρω πάλι, πρέπει η Εθνική Αρχή Κυβερνοασφάλειας να συνεργάζεται πιο στενά με εταιρείες σαν εμάς. Γιατί εμείς είμαστε το μακρύ χέρι του υπουργείου όταν βγάζει έναν κανονισμό για να μπορέσει να υλοποιηθεί στην πράξη. Και δεν είμαστε μόνο το χέρι αλλά και το μάτι τους, γι΄αυτό πρέπει να έχουμε μια πιο επιτυχημένη συνεργασία γύρω από τη συμμόρφωση.
Τώρα το ανθρώπινο κομμάτι είναι πολύ δύσκολο γιατί μιλώντας φιλοσοφικά, είμαστε σε μια εποχή αυτή τη στιγμή που στα αγγλικά λέγεται «paradigm shift». Είναι μια στιγμή στην ιστορία που αλλάζει δραστικά η κοινωνία, αλλάζουν οι απόψεις, η λειτουργία, η οργάνωση. Μετά τον ηλεκτρισμό έγινε η βιομηχανική επανάσταση, ήρθε το διαδίκτυο και τώρα έχουμε την τεχνητή νοημοσύνη. Από το 1980 μέχρι τώρα ζούμε μια τρελή αλλαγή γύρω μας και οι άνθρωποι δεν έχουμε συνειδητοποιήσει ακόμα την αλλαγή που γίνεται γύρω μας. Αυτή τη στιγμή έχουμε το χάσμα γενεών, η τεχνολογία εξελίσσεται συνεχόμενα, οι επιχειρήσεις δεν έχουν ούτε τα βασικά να τους προστατεύουν, όλοι οι άνθρωποι έχουμε κινητά από τα οποία εξαρτιόμαστε, το χρήμα γίνεται ψηφιακό και δεν έχουμε συνειδητοποιήσει ακόμα τι σημαίνει όλο αυτό. Οπότε η εκπαίδευση θα είναι πολύ δύσκολη και πρέπει να γίνει. Αυτή τη στιγμή όλοι οι κανονισμοί πρέπει να εστιάζουν περισσότερο στις εταιρείες. Πρέπει να βγουν πιο δυναμικά πράγματα που αφορούν τον κόσμο.
Ανοίξατε ένα μεγάλο κεφάλαιο με την τεχνητή νοημοσύνη και εμείς στα ΜΜΕ ερχόμαστε καθημερινά αντιμέτωποι με πάρα πολλά περιστατικά εξαπάτησης πολιτών. Υπάρχουν κάποιες απλές συμβουλές που θα δίνατε στους ανθρώπους που δεν είναι εξοικειωμένοι με τόσο τεχνικά θέματα;
Θα σας πω τρεις συμβουλές, γιατί η τεχνητή νοημοσύνη βοηθάει πλέον τους κακόβουλους που τη χρησιμοποιούν ήδη, στο να είναι πιο επιτυχημένες οι επιθέσεις τους. Η πρώτη έχει να κάνει με τους κωδικούς οι οποίοι πρέπει να έχουν τουλάχιστον 16 χαρακτήρες γιατί έτσι δεν σπάνε εύκολα. Η δεύτερη συμβουλή είναι να προσέχουμε πολύ που μπαίνουμε και τι πατάμε στο διαδίκτυο. Πλέον με την Τεχνητή Νοημοσύνη οι απάτες έχουν εξελιχθεί πάρα πολύ. Στην Κίνα χάκερς πήραν την φωτογραφία ενός υπεύθυνου λογιστηρίου και έφτιαξαν ένα ψεύτικο video call με την εταιρεία, όπου το ψηφιακό αντίγραφο του στελέχους ζήτησε να γίνει μεταφορά χρημάτων της εταιρείας. Θυμάμαι σε μια συζήτηση που είχαμε με το FBI, μια λύση που προτάθηκε είναι τα στελέχη των εταιρειών να έχουν συνθήματα μεταξύ τους, για να ξέρουν ότι αυτός με τον οποίο μιλούν σε μια βίντεοκλήση είναι πραγματικό πρόσωπο. Πλέον πρέπει να προσέχουμε πάρα πολύ. Η τράπεζα ποτέ δεν θα σε πάρει τηλέφωνο για να ζητήσει τον κωδικό σου. Οπότε αν δεχόμαστε τηλεφωνικά τέτοιες κλήσεις από οποιονδήποτε να καλούμε εμείς πίσω και να επιβεβαιώνουμε.
Και η τρίτη συμβουλή είναι η εκπαίδευση. Ο κόσμος να κοιτάζει τι γίνεται εκεί έξω, να διαβάζει, να κάνει ενημέρωση στα λογισμικά, να κοιτάξουμε την προσωπική ευθύνη και έτσι νομίζω θα δυναμώσουμε.
Η «Πελοπόννησος» και το pelop.gr σε ανοιχτή γραμμή με τον Πολίτη
Η φωνή σου έχει δύναμη – στείλε παράπονα, καταγγελίες ή ιδέες για τη γειτονιά σου.
Ακολουθήστε μας για όλες τις ειδήσεις στο Bing News και το Google News
