Η Κυβερνοασφάλεια στον πυρήνα του ψηφιακού μετασχηματισμού των επιχειρήσεων

Άρθρο κ. Δημήτρη Βέργαδου,  Διευθυντή Τομέα ΜΜΕ και Ενημέρωσης του ΣΕΒ, στην ετήσια έκδοση «Ηλεκτρονική Διακυβέρνηση ’23» με τίτλο: “Η Κυβερνοασφάλεια στον πυρήνα του ψηφιακού μετασχηματισμού των επιχειρήσεων”,  Μάρτιος 2024.

Οι διοικήσεις των επιχειρήσεων οφείλουν να κατανοήσουν και να προσεγγίσουν την ασφάλεια στον κυβερνοχώρο ως στρατηγικό, επιχειρηματικό κίνδυνο.

O κόσμος της παραγωγής και της εργασίας δεν θα είναι ποτέ πια ο ίδιος. Το κύμα των αλλαγών του ψηφιακού μετασχηματισμού και της τεχνολογικής καταιγίδας του ΑΙ, η κλιματική κρίση και οι δεσμεύεις  για την επίτευξη κλιματικής ουδετερότητας, οι γεωπολιτικές αναταράξεις και οι ανατροπές στις αλυσίδες αξίας, και η δημογραφική γήρανση προκαλούν τεκτονικές αλλαγές.

Σε αυτό το σύνθετο και απαιτητικό περιβάλλον, ο ουσιαστικός επιχειρησιακός μετασχηματισμός αποτελεί μια σημαντική ευκαιρία, με τις ψηφιακές τεχνολογίες να προσφέρουν το υπόστρωμα για πιο ευέλικτες, προσαρμοστικές και εντέλει ανθεκτικές επιχειρήσεις. Αυτό το ταξίδι, όμως, των επιχειρήσεων δεν είναι απρόσκοπτο: αναπόσπαστο κομμάτι του είναι η κυβερνοασφάλεια, καθώς συνδέεται άμεσα με τις τεχνολογικές υποδομές που στηρίζουν τη λειτουργία τους, τις διαδικασίες διοίκησής τους, αλλά και τους ανθρώπους τους. Νέα επιχειρηματικά και οργανωτικά μοντέλα, όπως είναι το ψηφιακό εργοστάσιο, η λειτουργία στο cloud, η απομακρυσμένη εργασία, αποτελούν πρόσφορο έδαφος για να γιγαντωθούν οι κίνδυνοι των κυβερνοεπιθέσεων και να εξελιχθούν αυτές με εκθετική ταχύτητα.

Ενδεικτικά, στην πρόσφατη έκθεση Global Risks Report 2024 του WEF, η κυβερνοασφάλεια αναδεικνύεται ως ο 4^ος μεγαλύτερος άμεσος κίνδυνος για την οικονομία και τις επιχειρήσεις για την επόμενη διετία. Καθώς μάλιστα οι επιχειρήσεις  αγωνίζονται να υιοθετήσουν τις νέες ψηφιακές τεχνολογίες, όπως την Παραγωγική Τεχνητή Νοημοσύνη (Gen AI), απαιτείται να κατανοήσουν και να προετοιμαστούν για τις άμεσες, όσο και πιο μακροπρόθεσμες επιπτώσεις των τεχνολογιών αυτών. Να γίνουν δηλαδή ανθεκτικές  στον κυβερνοχώρο.

Ο Οδηγός για την Κυβερνοασφάλεια του ΣΕΒ

Ο Οδηγός  που εκπόνησε πρόσφατα ο ΣΕΒ για την Κυβερνοασφάλεια, επισημαίνει  ότι η κυβερνοασφάλεια είναι κρίσιμης σημασίας προϋπόθεση για τις επιχειρήσεις. Η διάρρηξη της ψηφιακής ασφάλειας μιας επιχείρησης επηρεάζει τους ανθρώπους της, τη συνέχεια των εργασιών της, τις υποχρεώσεις της απέναντι στις αρχές και το νόμο, τα περιουσιακά στοιχεία της, τη φήμη της, ακόμα και το δίκτυο των συνεργατών της. Συγκεκριμένα, όπως σημειώνεται:

• Το 43% των μεσαίων και μικρών επιχειρήσεων, που υφίστανται απώλεια δεδομένων, δεν επαναλειτουργεί.
• Χρειάζονται 23 ημέρες κατά μέσο όρο για να αποκατασταθεί η λειτουργία έπειτα από μια επίθεση.
• Το κόστος αποκατάστασης έπειτα από ένα περιστατικό κυβερνοασφάλειας οδηγεί περισσότερες από τις μισές επιχειρήσεις (57%) σε αύξηση της τιμής των προϊόντων και υπηρεσιών τους, πλήττοντας την ανταγωνιστικότητά τους.
• Το 85% – 90% των κυβερνοεπιθέσεων που βρήκαν πρόσφορο έδαφος βασίζεται σε αποτρέψιμο ανθρώπινο λάθος, ενώ η ίδια επίθεση μπορεί να επιφέρει διπλό ή τριπλό εκβιασμό.

H κυβερνοασφάλεια στρατηγική προτεραιότητα και ευθύνη των Διοικήσεων  

Για να θωρακιστούν οι ελληνικές επιχειρήσεις απέναντι στους ψηφιακούς κινδύνους, πρέπει να θέσουν την κυβερνοασφάλεια ως στρατηγική προτεραιότητα. Η πολιτική κυβερνοασφάλειας δεν είναι απλώς υπόθεση του Τμήματος Πληροφορικής της επιχείρησης (ποτέ δεν θα έπρεπε να είναι), αλλά της Διοίκησης της επιχείρησης και όλων των εργαζομένων της.

Ήδη, τα θέματα της κυβερνοασφάλειας απασχολούν σοβαρά τα Διοικητικά Συμβούλια των επιχειρήσεων –ενώ έχει εκδοθεί σχετική ευρωπαϊκή οδηγία που επιχειρεί να ορίσει τις ευθύνες των μελών τους στα θέματα αυτά. Συγκεκριμένα, τα Διοικητικά Συμβούλια οφείλουν να κατανοήσουν και να προσεγγίσουν την ασφάλεια στον κυβερνοχώρο ως στρατηγικό, επιχειρηματικό κίνδυνο –όχι μόνο ως κίνδυνο που αφορά την πληροφορική.

Ειδικότερα, τα μέλη των Διοικητικών Συμβουλίων θα πρέπει να μεριμνήσουν για την  υιοθέτηση μέτρων διαχείρισης των σχετικών κινδύνων  και να επιβλέπουν την εφαρμογή τους στις επιχειρήσεις των οποίων ηγούνται, καθώς σε αντίθετη περίπτωση μπορεί να καταστούν προσωπικά υπεύθυνα.  

Η οδηγία NIS2 (επικαιροποιημένη νομοθεσία της ΕΕ για την ασφάλεια στον κυβερνοχώρο που βασίζεται στην αρχική οδηγία ΑΔΠ-NISD), αποσκοπεί στην ενίσχυση της κυβερνοασφάλειας, στην απλούστευση της υποβολής εκθέσεων ασφαλείας και στη δημιουργία συνεκτικών κανόνων και κυρώσεων σε ολόκληρη την ΕΕ.  Με βάση τελευταίες πληροφορίες από το NED Club (Ελληνική Λέσχη μελών ΔΣ), η νέα οδηγία NIS2 ως προς τις ευθύνες των μελών ΔΣ για την κυβερνοασφάλεια έχει επεκτείνει το πεδίο εφαρμογής της, προκειμένου να συμπεριλάβει την κατασκευή ορισμένων κρίσιμων προϊόντων, όπως είναι τα φαρμακευτικά προϊόντα, οι ιατρικές συσκευές και τα χημικά.

Εν κατακλείδι, πέρα και πάνω από τις εκκολαπτόμενες νομοθετικές ρυθμίσεις η θωράκιση από ψηφιακούς κινδύνους και απειλές -που πηγαίνει παράλληλα με την ενίσχυση της ψηφιακής ωριμότητας- αποτελεί προϋπόθεση για την επιχειρησιακή συνέχεια μιας επιχείρησης, δηλαδή την επιβίωσή της. Οφείλει, συνεπώς,  να αποτελεί κεντρικό στοιχείο της ψηφιακής της στρατηγικής και κουλτούρας.