Συνέντευξη με τον Νίκο Φωτίου
 CEO, EXCID  https://excid.io/

 

 

 

Ποιους οργανισμούς και προϊόντα αφορά ο νέος Κανονισμός Κυβερνοανθεκτικότητας (Cyber Resilience Act – CRA); Ποια είναι τα βασικά ορόσημα εφαρμογής, ποιες υποχρεώσεις δημιουργεί και πώς μπορούν οι επιχειρήσεις να προετοιμαστούν έγκαιρα. Πως μπορεί η ExcID να υποστηρίξει την συμμόρφωση;

Ο κανονισμός Cyber Resilience Act (CRA) αποτελεί μία από τις σημαντικότερες ευρωπαϊκές νομοθετικές παρεμβάσεις στον χώρο της κυβερνοασφάλειας. Αφορά σχεδόν όλα τα προϊόντα με ψηφιακά στοιχεία που διατίθενται στην ευρωπαϊκή αγορά, από λογισμικό και IoT συσκευές μέχρι βιομηχανικά συστήματα και εφαρμογές.

Ο Κανονισμός εισάγει την αρχή secure by design και καθιστά  απαιτήσεις κυβερνοασφάλειας καθ’ όλη τη διάρκεια ζωής ενός προϊόντος. Οι κατασκευαστές καλούνται να πραγματοποιούν αξιολόγηση κινδύνων, να διαχειρίζονται ευπάθειες, να παρέχουν ενημερώσεις ασφαλείας, να τηρούν τεχνική τεκμηρίωση και να εφαρμόζουν διαδικασίες ασφαλούς ανάπτυξης λογισμικού. Τα πρώτα ορόσημα εφαρμογής ξεκινούν το 2026, ενώ από τον Δεκέμβριο του 2027 οι περισσότερες απαιτήσεις καθίστανται πλήρως υποχρεωτικές.

Παρότι αρκετές επιχειρήσεις έχουν ήδη ενημερωθεί για τον CRA, η πρακτική τους ετοιμότητα παραμένει περιορισμένη, καθώς η συμμόρφωση απαιτεί συνδυασμό τεχνικών, οργανωτικών και διαδικαστικών αλλαγών. Η έγκαιρη προετοιμασία περιλαμβάνει αποτύπωση των προϊόντων, αξιολόγηση των υφιστάμενων διαδικασιών ανάπτυξης, ενσωμάτωση εργαλείων ασφαλείας στις γραμμές παραγωγής λογισμικού και δημιουργία μηχανισμών διαχείρισης ευπαθειών.

Η ExcID υποστηρίζει τις επιχειρήσεις σε όλα τα στάδια της συμμόρφωσης, παρέχοντας υπηρεσίες αξιολόγησης ετοιμότητας, υπηρεσίες ανάλυσης κινδύνου, σχεδιασμό διαδικασιών για την διαχείριση ευπαθειών και λύσεις που διευκολύνουν τη δημιουργία της απαραίτητης τεχνικής τεκμηρίωσης αλλά και την ουσιαστική συμμόρφωση με τον κανονισμό. Μέσα από τη σελίδα μας ExcID.io μπορείτε να κλείσετε μια δωρεάν 15λεπτη συνάντηση για να συζητήσουμε τις ανάγκες σας σχετικά με τα προϊόντα σας και τον κανονισμό.

 

Ποιες είναι οι σημαντικότερες απειλές για το λογισμικό και τα ψηφιακά προϊόντα, ποιες τεχνολογίες και πρακτικές αναδύονται για την ενίσχυση της εμπιστοσύνης και της διαφάνειας και πώς η ExcID συμβάλλει στην προστασία των software supply chains.

Η ασφάλεια των εφοδιαστικών αλυσίδων λογισμικού έχει αναδειχθεί σε μία από τις μεγαλύτερες προκλήσεις της κυβερνοασφάλειας. Οι επιθέσεις πλέον δεν στοχεύουν μόνο τις τελικές εφαρμογές, αλλά και τα εργαλεία ανάπτυξης, τις βιβλιοθήκες ανοικτού λογισμικού, τα συστήματα CI/CD (Continuous Integration and Continuous Delivery/Deployment), τους παρόχους λογισμικού και τις διαδικασίες ενημέρωσης. Περιστατικά όπως οι επιθέσεις SolarWinds (2020) και Log4Shell (2021) κατέδειξαν ότι μία μόνο αδυναμία μπορεί να επηρεάσει χιλιάδες οργανισμούς παγκοσμίως.

Σε απάντηση αυτών των αδυναμιών, αναδύονται νέες πρακτικές όπως τα Software Bills of Materials (SBOMs), η ψηφιακή υπογραφή λογισμικού, transparency logs, η παραγωγή επαληθεύσιμων αποδείξεων προέλευσης (provenance), καθώς και πλαίσια όπως το SLSA και το Sigstore που ενισχύουν τη διαφάνεια και την ιχνηλασιμότητα. Παράλληλα, η συνεχής παρακολούθηση ευπαθειών και η αυτοματοποίηση των ελέγχων ασφαλείας καθίστανται βασικά στοιχεία κάθε σύγχρονης διαδικασίας ανάπτυξης.

Η ExcID αναπτύσσει λύσεις που επιτρέπουν την ασφαλή υπογραφή λογισμικού με βραχύβια πιστοποιητικά, την καταγραφή των υπογραφών σε αρχεία διαφάνειας (transparency logs), την παραγωγή και αξιολόγηση SBOMs και τη διασύνδεση των εργαλείων αυτών με σύγχρονες DevSecOps υποδομές. Με αυτόν τον τρόπο οι οργανισμοί μπορούν να ενισχύσουν την εμπιστοσύνη στα προϊόντα τους, να αντιμετωπίσουν πιο γρήγορα μία παραβίαση ασφάλειας, καθώς και να ανταποκριθούν στις νέες κανονιστικές απαιτήσεις.

Πώς διαμορφώνεται το νέο τοπίο του Identity and Access Management (IAM), ποιες προκλήσεις δημιουργούν τα συστήματα AI και οι αυτόνομοι agents, πώς εξελίσσονται τα μοντέλα ελέγχου πρόσβασης και ποιες λύσεις προσφέρει η ExcID για ασφαλή και ευέλικτη διαχείριση δικαιωμάτων.

Η διαχείριση ταυτότητας και ο έλεγχος πρόσβασης (Identity and Access Management – IAM) μετασχηματίζονται ραγδαία λόγω της εξάπλωσης των υπηρεσιών Cloud, των διασυνδεδεμένων οικοσυστημάτων και, πλέον, της τεχνητής νοημοσύνης. Οι αυτόνομοι πράκτορες τεχνητής νοημοσύνης (AI agents) αποκτούν τη δυνατότητα να αλληλεπιδρούν με πολλαπλές υπηρεσίες, να εκτελούν εργασίες για λογαριασμό χρηστών και να λαμβάνουν αποφάσεις, δημιουργώντας νέες απαιτήσεις ως προς την αυθεντικοποίηση, την εξουσιοδότηση και τη λογοδοσία. Τα παραδοσιακά μοντέλα βασισμένα αποκλειστικά σε στατικούς ρόλους δεν επαρκούν πλέον για δυναμικά περιβάλλοντα όπου οι σχέσεις μεταξύ χρηστών, εφαρμογών, δεδομένων και υπηρεσιών μεταβάλλονται συνεχώς.

Η τάση οδηγεί σε μοντέλα Zero Trust, πολιτικές βασισμένες σε χαρακτηριστικά και σχέσεις (ABAC και ReBAC), συνεχή αξιολόγηση κινδύνου και διαρκή έλεγχο δικαιωμάτων. Παράλληλα, καθίσταται αναγκαία η ασφαλής διαχείριση των ψηφιακών ταυτοτήτων των ίδιων των AI agents.

Η ExcID αναπτύσσει λύσεις IAM που αξιοποιούν σύγχρονα πρότυπα όπως OAuth 2.0, OpenID Connect και Verifiable Credentials, επιτρέποντας ευέλικτο και διαλειτουργικό έλεγχο πρόσβασης μεταξύ οργανισμών. Οι λύσεις αυτές υποστηρίζουν πολύπλοκες αλλά ευέλικτες πολιτικές εξουσιοδότησης, ασφαλή ανταλλαγή διαπιστευτηρίων και διαχείριση δικαιωμάτων σε σύγχρονα οικοσυστήματα δεδομένων και υπηρεσιών.

Τι αλλάζει με το eIDAS 2.0, τι είναι τα ψηφιακά πορτοφόλια (wallets) για πολίτες και επιχειρήσεις, ποιες νέες δυνατότητες δημιουργούνται για ταυτοποίηση, ηλεκτρονικές συναλλαγές και age verification, ποιοι είναι οι κίνδυνοι και πώς η ExcID μπορεί να βοηθήσει στην αξιοποίηση των τεχνολογιών αυτών;

Ο κανονισμός eIDAS 2.0 εισάγει μια νέα γενιά ευρωπαϊκών ψηφιακών ταυτοτήτων μέσω των European Digital Identity Wallets. Τα ψηφιακά πορτοφόλια θα επιτρέπουν σε πολίτες και επιχειρήσεις να αποθηκεύουν και να παρουσιάζουν με ασφαλή τρόπο ψηφιακά διαπιστευτήρια, όπως στοιχεία ταυτότητας, επαγγελματικές ιδιότητες, άδειες, πιστοποιητικά και αποδεικτικά ηλικίας. Η νέα αυτή υποδομή δημιουργεί σημαντικές ευκαιρίες για απλούστερες ηλεκτρονικές συναλλαγές, ασφαλέστερη ταυτοποίηση, διασυνοριακές υπηρεσίες και προστασία της ιδιωτικότητας μέσω της επιλεκτικής αποκάλυψης πληροφοριών. Παράλληλα, αναδύονται νέες προκλήσεις σχετικά με την προστασία προσωπικών δεδομένων, την ασφάλεια των ψηφιακών πορτοφολιών, τη διαχείριση της ανάκλησης διαπιστευτηρίων και την αποτροπή καταχρήσεων. Ιδιαίτερο ενδιαφέρον παρουσιάζει και η δυνατότητα αξιόπιστης επαλήθευσης ηλικίας χωρίς αποκάλυψη περισσότερων προσωπικών δεδομένων από όσα απαιτούνται.

Η ExcID συμμετέχει ενεργά στην ανάπτυξη τεχνολογιών ψηφιακών διαπιστευτηρίων και πορτοφολιών, προσφέροντας λύσεις για την έκδοση, επαλήθευση και διαχείριση ψηφιακών ταυτοτήτων που βασίζονται σε ανοικτά ευρωπαϊκά πρότυπα και υποστηρίζουν ασφαλείς και διαλειτουργικές υπηρεσίες με προστασία της ιδιωτικότητας.

Ποιες είναι οι πρόσφατες εξελίξεις στην κβαντικά ανθεκτική κρυπτογραφία, ποιοι είναι οι κίνδυνοι από την έλευση των κβαντικών υπολογιστών, γιατί οι οργανισμοί πρέπει να ξεκινήσουν από σήμερα την προετοιμασία τους και πώς μπορεί να βοηθήσει η ExcID στη μετάβαση προς το post-quantum περιβάλλον.

Η κβαντικά ανθεκτική κρυπτογραφία (Post-Quantum Cryptography – PQC) αποτελεί σήμερα μία από τις σημαντικότερες τεχνολογικές προκλήσεις για την κυβερνοασφάλεια. Παρότι οι κβαντικοί υπολογιστές δεν έχουν ακόμη αποκτήσει την απαιτούμενη ισχύ ώστε να σπάσουν τους σημερινούς αλγορίθμους δημόσιου κλειδιού, ο κίνδυνος “harvest now, decrypt later” καθιστά αναγκαία την έγκαιρη προετοιμασία. Ευαίσθητα δεδομένα που συλλέγονται σήμερα ενδέχεται να αποκρυπτογραφηθούν στο μέλλον όταν η τεχνολογία ωριμάσει.

Τα τελευταία χρόνια έχουν ήδη τυποποιηθεί οι πρώτοι αλγόριθμοι post-quantum από το NIST, ενώ διεθνείς οργανισμοί και κυβερνήσεις εκδίδουν οδικούς χάρτες μετάβασης. Η προσαρμογή δεν αφορά μόνο την αντικατάσταση αλγορίθμων, αλλά απαιτεί πλήρη απογραφή των κρυπτογραφικών μηχανισμών, σχεδιασμό κρυπτογραφικής ευελιξίας, αναβάθμιση υποδομών PKI, καθώς και την αξιολόγηση επιπτώσεων σε επιδόσεις και συμβατότητα με υφιστάμενα συστήματα.

Η ExcID δραστηριοποιείται ενεργά στον χώρο της post-quantum μετάβασης, υποστηρίζοντας οργανισμούς στην καταγραφή του κρυπτογραφικού τους αποτυπώματος, στην αξιολόγηση κινδύνων, στην υιοθέτηση υβριδικών λύσεων και στην ενσωμάτωση post-quantum τεχνολογιών σε προϊόντα, υπηρεσίες και διαδικασίες ανάπτυξης λογισμικού, ώστε η μετάβαση να πραγματοποιηθεί σταδιακά, με ασφάλεια και χωρίς επιχειρησιακές διαταραχές.

Η ExcID δραστηριοποιείται ενεργά στον χώρο της post-quantum μετάβασης, υποστηρίζοντας οργανισμούς στην καταγραφή του κρυπτογραφικού τους αποτυπώματος, στην αξιολόγηση κινδύνων