Κυβερνοασφάλεια Industry 4.0: Η πρόκληση της ψηφιακής ωριμότητας και ανταγωνιστικότητας για τις ελληνικές επιχειρήσεις
Άρθρο Δρος Μαρίας Μποζούδη, Senior Advisor του Τομέα Βιομηχανίας, Ανάπτυξης, Τεχνολογίας και Καινοτομίας του ΣΕΒ, στο περιοδικό Μετάδοση Ισχύος
Στην εποχή της έξυπνης παραγωγής (smart manufacturing) και της ψηφιακής μετάβασης, η κυβερνοασφάλεια είναι παράγοντας επιχειρηματικής ανθεκτικότητας και ανταγωνιστικότητας.
Η διαχείριση κινδύνων στο περιβάλλον της εποχής του Industry4.0 γίνεται όλο και πιο σύνθετη αλλά και πιο συνδεδεμένη με την επιχειρηματική ανάπτυξη και ανθεκτικότητα. Παγκοσμίως, 2 στα 3 διοικητικά στελέχη θεωρούν την κυβερνοασφάλεια συντελεστή εσόδων, ενώ οι επιχειρήσεις με περισσότερο ώριμες κυβερνοάμυνες επιτυγχάνουν 43% υψηλότερα επίπεδα μεγέθυνσης σε βάθος 5ετίας, σε σχέση με τις λιγότερο θωρακισμένες.
Ο ΣΕΒ αναγνωρίζει την κυβερνοασφάλεια ως πρόκληση ανταγωνιστικότητας και επιχειρησιακής συνέχειας, ειδικά για τη βιομηχανία, όπου το 2023 εκδηλώθηκε 39% των κυβερνοεπιθέσεων κρίσιμης και υψηλής σημασίας. Εργάζεται συστηματικά για την ενδυνάμωση και εγρήγορση των ελληνικών επιχειρήσεων, με τακτικές δράσεις ενημέρωσης και μεταφοράς τεχνογνωσίας από ειδικούς του Industry 4.0, για παράδειγμα μέσα από τις
εξειδικευμένες συζητήσεις Industry 4.0 Roundtables, ή την έκδοση επιχειρηματικού οδηγού για την υιοθέτηση καλών πρακτικών κυβερνοασφάλειας.
Επιπλέον, σε συνεργασία με τις αρμόδιες εθνικές και ευρωπαϊκές αρχές, όπως και με άλλους φορείς της αγοράς, εστιάζει στην ανάγκη ανάπτυξης δεξιοτήτων για την κυβερνοασφάλεια, αλλά και στη διευκόλυνση της συμμόρφωσης των επιχειρήσεων στο σχετικό ρυθμιστικό πλαίσιο, όπως είναι το NIS2, το Cyber Resilience Act και το Cyber Security Act. Οι αριθμοί μάς δείχνουν πως η διάρρηξη της ψηφιακής ασφάλειας μιας επιχείρησης έχει πολυδιάστατη επίδραση. Το 51% των μικρομεσαίων επιχειρήσεων που υφίστανται απώλεια δεδομένων δεν επαναλειτουργούν, και 43% κλείνουν εντός διετίας. Περίπου 6 στις 10 επιχειρήσεις που δέχονται κυβερνοεπίθεση αυξάνουν τις τιμές τους, προκειμένου να ανταπεξέλθουν στα κόστη. Μια επιτυχημένη επίθεση έχει πιθανότητα μέχρι και 60% να επηρεάσει το σύνολο των συνεργατών μιας επιχείρησης, ενώ χρειάζονται τουλάχιστον 23 ημέρες για την αποκατάσταση της λειτουργίας της. Σε ό,τι αφορά την επίδραση των ψηφιακών απειλών στο φυσικό κόσμο, περίπου 50% των περιστατικών σε συστήματα επιχειρησιακών τεχνολογιών (Operational Technology [OT]) που καταγράφηκαν το 2021 είχαν φυσικές Κυβερνοασφάλεια Industry 4.0 Η πρόκληση της ψηφιακής ωριμότητας και ανταγωνιστικότητας για τις ελληνικές επιχειρήσεις. Το 51% των μικρομεσαίων επιχειρήσεων που υφίστανται απώλεια δεδομένων δεν επαναλειτουργούν, ενώ το 43% κλείνουν εντός διετίας συνέπειες, με εκτιμώμενες ζημίες 140 εκατ. αμερικανικά δολάρια ανά περιστατικό.
Ανθεκτικότητα ελληνικών επιχειρήσεων
Πόσο έτοιμες είναι οι ελληνικές επιχειρήσεις μπροστά σε αυτούς τους κινδύνους; Σύμφωνα με τη Eurostat, υπάρχουν διαφορές από τον ευρωπαϊκό μέσο όρο ως προς τη συχνότητα των επικαιροποιήσεων της πολιτικής κυβερνοασφάλειας (7% στην Ελλάδα, έναντι 25,5% στην ΕΕ), την υιοθέτηση πολλαπλών επιπέδων και μεθόδων κυβερνοπροστασίας (34,3% έναντι 50,6%), και την κατάρτιση του προσωπικού (31,5% έναντι 56,7%). Έρευνα του ΣΕΒ στις αρχές του 2023 κατέγραψε αυξανόμενα αντανακλαστικά κυβερνοασφάλειας. Πιο συγκεκριμένα η συντριπτική πλειοψηφία των επιχειρήσεων του δείγματος (περίπου 95%) αντιλαμβάνεται τους κινδύνους και διαθέτει περισσότερο ή λιγότερο ολοκληρωμένη στρατηγική κυβερνοασφάλειας. Από τις επιχειρήσεις, 4 στις 10 διεξάγουν τακτικές ενημερώσεις για το προσωπικό (αν και μόνο 18% των μικρών και το 33% των μεσαίων επιχειρήσεων), ενώ 1 στις 3 διαθέτει βασική πιστοποίηση ISO27001. Η περαιτέρω όξυνση αυτών των αντανακλαστικών συνάδει με την ευρύτερη επιτάχυνση του ψηφιακού βηματισμού των ελληνικών επιχειρήσεων. Εκτός από τεχνική γνώση, προϋποθέτει δέσμευση της διοίκησης, στρατηγικό σχεδιασμό και επενδύσεις σε συστήματα, ανθρώπους και διαδικασίες.
Στον Οδηγό του ΣΕΒ για την κυβερνοασφάλεια αποτυπώνονται τα βασικά συνθετικά μιας τέτοιας προσπάθειας. Με σημείο εκκίνησης την αξιολόγηση των επιπέδων κυβερνοασφάλειας, ο Οδηγός περιλαμβάνει βήματα για την κατάρτιση οδικού χάρτη και μηχανισμού κυβερνοασφάλειας, για τη θωράκιση του εξοπλισμού, την ευαισθητοποίηση του ανθρώπινου δυναμικού, την ενσωμάτωση της κυβερνοασφάλειας στο σχέδιο επιχειρησιακής συνέχειας, την ικανότητα ενεργοποίησης του σχεδίου αντιμετώπισης περιστατικών, τη συμμόρφωση με πρότυπα, την επιδίωξη πιστοποιήσεων, την αξιοποίηση εργαλείων κυβερνοασφάλισης, αλλά και για τη συνεργασία με πελάτες και προμηθευτές.
Προκλήσεις για τα συστήματα ΟΤ/ICS
Στο χώρο της βιομηχανίας ειδικότερα, όπου ο ψηφιακός μετασχηματισμός αίρει στεγανά μεταξύ συστημάτων, οι παγκόσμιες επιθέσεις σε συστήματα επιχειρησιακών τεχνολογιών και βιομηχανικού ελέγχου(Operational Technology / Industrial Control Sy-stems [ΟΤ/ICS]) αυξάνονται κατά 50% ετησίως από το 2019. Η πρόκληση βρίσκεται στο γεγονός ότι τα εγγενή χαρακτηριστικά των συστημάτων παραγωγής περιορίζουν την εφαρμογή πρακτικών κυβερνοασφάλειας που σχεδιάστηκαν για ψηφιακά συστήματα. Αυτό κάνει απαραίτητη την εξειδικευμένη αξιολόγηση των τρωτών σημείων που εντοπίζει ένας έλεγχος κυβερνοασφάλειας σε συστήματα τεχνολογιών πληροφορικής και συστήματα επιχειρησιακών τεχνολογιών (Οperational Τechnology / Ιnformation Τechnology [ΙΤ/ΟΤ]), καθώς απλά σφάλματα ρύθμισης μπορούν να οδηγήσουν στη σπατάλη πόρων σε ευπάθειες χαμηλού κινδύνου. Εφτά στις δέκα φορές, οι ευπάθειες αντιμετωπίζονται με παρακολούθηση του δικτύου για ενδείξεις κακόβουλης διείσδυσης, με κατάτμησή του ανάλογα με τη λειτουργία του εξοπλισμού, και με χρήση αυθεντικοποίησης πολλαπλών παραγόντων, που διαφοροποιείται στα διαφορετικά τμήματα της αρχιτεκτονικής ασφαλείας. Βεβαίως, οι προσπάθειες αυτές οφείλουν να είναι συνεχείς, όπως άλλωστε είναι οι προσπάθειες των κακόβουλων τρίτων.
Στην εποχή του Industry 4.0 δεν μπορούμε να παραβλέψουμε την εντεινόμενη επίδραση της τεχνητής νοημοσύνης (artificial intelligence [ΑΙ]) στην κυβερνοασφάλεια, καθώς η ΑΙ μπορεί να συμβάλει στην ενίσχυση της ψηφιακής θωράκισης των επιχειρήσεων, αλλά και να αυξήσει τις απειλές. Στο πλαίσιο ανάπτυξης μιας ολοκληρωμένης στρατηγικής, η τεχνητή νοημοσύνη μπορεί να αναβαθμίσει τα επίπεδα κυβερνοάμυνας αναλύοντας μεγάλο όγκο δεδομένων, αυτοματοποιώντας ελέγχους ασφαλείας και επισημαίνοντας ανωμαλίες. Εφαρμογές κυβερνοασφάλειας που ενσωματώνουν την τεχνητή νοημοσύνη προσφέρουν 40% υψηλότερες αποδόσεις επενδύσεων σε ασφάλεια (Return On Security Investment [ROSI]), 70% καλύτερο εντοπισμό κακόβουλου κώδικα, και μέχρι 51% εξοικονόμηση χρόνου σε εντοπισμό και διαχείριση εισβολών. Σε έναν κόσμο που το 85% των περιστατικών κυβερνοασφάλειας προκύπτει από ανθρώπινο λάθος και το κυβερνοέγκλημα είναι ιδιαίτερα προσοδοφόρο (αναμένεται να ξεπεράσει τα 10,5 τρισεκ. αμερικανικά δολάρια το 2025), η καθυστέρηση στην ανάπτυξη ψηφιακής άμυνας αυξάνει το επιχειρηματικό ρίσκο.
Οι δράσεις του ΣΕΒ για την κυβερνοασφάλεια έχουν ως στόχο την ταχύτερη και πιο ολοκληρωμένη θωράκιση των ελληνικών επιχειρήσεων απέναντι στους ψηφιακούς κινδύνους με γνώμονα την ανθεκτικότητα και ανταγωνιστικότητά τους στην εποχή του Industry 4.0.