Η κυβερνοασφάλεια δεν είναι ένας φάκελος πολιτικών, μια λίστα ελέγχων ή ένα εντυπωσιακό dashboard. Είναι η αποδεδειγμένη ικανότητα ενός οργανισμού να εντοπίζει, να αξιολογεί, να αποφασίζει, να ενεργεί και να τεκμηριώνει υπεύθυνα όταν προκύπτει ένα πραγματικό περιστατικό.

Κωνσταντίνος Νικολούζος
Msc Computer Science
Founder & CEO, Civera
civera.gr
Η συζήτηση γύρω από τη NIS2 έχει πλέον περάσει σε μια πιο ώριμη και απαιτητική φάση. Δεν αφορά μόνο την κατανόηση μιας ευρωπαϊκής οδηγίας ή την προσαρμογή σε ένα νέο κανονιστικό πλαίσιο. Αφορά το κατά πόσο ένας οργανισμός μπορεί, στην πράξη, να συνεχίσει να λειτουργεί όταν βρεθεί αντιμέτωπος με μια σοβαρή κυβερνοεπίθεση, μια διακοπή κρίσιμης υπηρεσίας, μια παραβίαση δεδομένων ή μια αδυναμία σε έναν βασικό προμηθευτή του.
Για αρκετά χρόνια, η κυβερνοασφάλεια αντιμετωπιζόταν συχνά ως τεχνικό ζήτημα της πληροφορικής. Κάτι που αφορούσε firewalls, antivirus, servers, passwords και, στην καλύτερη περίπτωση, έναν εξωτερικό συνεργάτη που «παρακολουθεί τα συστήματα».
Αυτή η αντίληψη δεν αρκεί πλέον.
Σήμερα, η ψηφιακή υποδομή είναι η ίδια η λειτουργία ενός οργανισμού. Όταν σταματήσει το δίκτυο, το ERP, η τηλεφωνία, η πρόσβαση στους φακέλους, η επικοινωνία με πελάτες, ένα δημοτικό σύστημα, ένα σύστημα πληρωμών ή μια κρίσιμη εφαρμογή, δεν υπάρχει απλώς ένα τεχνικό πρόβλημα. Υπάρχει επιχειρησιακή διακοπή, κίνδυνος για δεδομένα, επιβάρυνση ανθρώπων, απώλεια εμπιστοσύνης και, σε ορισμένες περιπτώσεις, άμεση επίπτωση σε πολίτες, πελάτες ή κρίσιμες υπηρεσίες.
Η NIS2 έρχεται να υπενθυμίσει μια απλή αλλά θεμελιώδη αλήθεια: η κυβερνοασφάλεια δεν είναι μόνο τεχνολογία. Είναι διακυβέρνηση, ευθύνη, διαδικασία, άνθρωποι, τεκμηρίωση και επιχειρησιακή ετοιμότητα.
Η πιο επικίνδυνη ψευδαίσθηση: «έχουμε συμμορφωθεί»
Ο μεγαλύτερος κίνδυνος σήμερα δεν είναι μόνο οι κυβερνοεπιθέσεις. Είναι η ψευδαίσθηση ότι ένας οργανισμός είναι έτοιμος επειδή διαθέτει ορισμένα έγγραφα, έχει εγκαταστήσει κάποια εργαλεία ή έχει ολοκληρώσει μια αρχική αξιολόγηση.
Μια πολιτική κυβερνοασφάλειας είναι απαραίτητη. Ένα σχέδιο αντιμετώπισης περιστατικών είναι απαραίτητο. Τα αντίγραφα ασφαλείας, η πολυπαραγοντική ταυτοποίηση, οι ενημερώσεις λογισμικού, η παρακολούθηση υποδομών και η εκπαίδευση του προσωπικού είναι απαραίτητα.
Τίποτα από αυτά, όμως, δεν εγγυάται από μόνο του ότι ένας οργανισμός είναι πραγματικά έτοιμος.
Η ουσία βρίσκεται στα ερωτήματα που πρέπει να μπορεί να απαντήσει ένας οργανισμός χωρίς καθυστέρηση:
- Ποιες υπηρεσίες είναι κρίσιμες για τη λειτουργία του;
- Ποια συστήματα, δεδομένα και προμηθευτές τις υποστηρίζουν;
- Πώς θα καταλάβει ότι ένα τεχνικό συμβάν εξελίσσεται σε σοβαρό περιστατικό;
- Ποιος αξιολογεί τη σοβαρότητα και τον πιθανό αντίκτυπο;
- Ποιος έχει την αρμοδιότητα να πάρει αποφάσεις;
- Πώς τεκμηριώνονται οι ενέργειες που έγιναν;
- Πώς αποδεικνύεται εκ των υστέρων ότι ο οργανισμός ενήργησε υπεύθυνα;
Αυτά είναι τα ερωτήματα που ξεχωρίζουν την τυπική συμμόρφωση από την πραγματική κυβερνοανθεκτικότητα.
Η αφετηρία δεν είναι το εργαλείο. Είναι η πραγματικότητα του οργανισμού.
Πριν από οποιαδήποτε συζήτηση για λογισμικό, εξοπλισμό ή υπηρεσίες ασφάλειας, κάθε οργανισμός πρέπει να χαρτογραφήσει την πραγματική του λειτουργία.
Ποια είναι τα κρίσιμα επιχειρησιακά του αποτελέσματα; Ποια συστήματα τα υποστηρίζουν; Πού βρίσκονται τα δεδομένα; Ποιοι άνθρωποι έχουν κρίσιμη γνώση ή πρόσβαση; Ποιες εξωτερικές εταιρείες, cloud υπηρεσίες, τηλεπικοινωνιακοί πάροχοι, εφαρμογές ή τεχνικοί συνεργάτες αποτελούν κρίκους της αλυσίδας;
Στην πράξη, η μεγάλη δυσκολία δεν είναι να βρεθεί ένας server ή ένα firewall. Η μεγάλη δυσκολία είναι να κατανοηθεί η αλληλεξάρτηση.
Ένα πρόβλημα σε έναν πάροχο internet μπορεί να επηρεάσει την πρόσβαση σε cloud εφαρμογές. Ένα περιστατικό σε έναν προμηθευτή λογισμικού μπορεί να επηρεάσει κρίσιμες επιχειρησιακές διαδικασίες. Ένας λογαριασμός χρήστη με αυξημένα δικαιώματα μπορεί να αποτελέσει αφετηρία για πρόσβαση σε πολλά συστήματα. Ένα backup που υπάρχει θεωρητικά αλλά δεν έχει δοκιμαστεί ουσιαστικά μπορεί, σε μια κρίσιμη στιγμή, να αποδειχθεί άχρηστο.
Η κυβερνοανθεκτικότητα ξεκινά όταν ο οργανισμός καταλάβει όχι μόνο τι διαθέτει τεχνικά, αλλά και τι σημαίνει η απώλεια ή η δυσλειτουργία κάθε κρίσιμου στοιχείου για τη λειτουργία του.
Ένα τεχνικό σήμα δεν είναι αυτομάτως περιστατικό
Σε ένα σύγχρονο περιβάλλον, δημιουργούνται καθημερινά δεκάδες, εκατοντάδες ή χιλιάδες τεχνικά σήματα: αποτυχημένες προσπάθειες σύνδεσης, ασυνήθιστη δικτυακή κίνηση, ειδοποιήσεις antivirus, ευπάθειες, αλλαγές ρυθμίσεων, alerts από firewalls, emails phishing ή προβλήματα πρόσβασης σε υπηρεσίες.
Η ύπαρξη πολλών δεδομένων δεν σημαίνει ότι υπάρχει και καθαρή εικόνα.
Ένα ύποπτο login μπορεί να είναι απλώς ένας χρήστης που ξέχασε τον κωδικό του. Μπορεί όμως να είναι και ένδειξη προσπάθειας μη εξουσιοδοτημένης πρόσβασης. Μια ευπάθεια σε έναν server μπορεί να είναι χαμηλής σημασίας, εάν το σύστημα είναι απομονωμένο και δεν εξυπηρετεί κρίσιμη λειτουργία. Η ίδια ευπάθεια, όμως, σε ένα σύστημα που συνδέεται με κρίσιμα δεδομένα ή εξυπηρετεί βασικές υπηρεσίες, μπορεί να απαιτεί άμεση ενέργεια.
Γι’ αυτό χρειάζεται μια ώριμη διαδικασία που να μετατρέπει τον τεχνικό θόρυβο σε επιχειρησιακή γνώση.
Η διαδρομή πρέπει να είναι σαφής:
τεχνικό σήμα → αρχική αξιολόγηση → πιθανό περιστατικό → εκτίμηση σοβαρότητας και αντίκτυπου → απόφαση → ενέργεια → τεκμηρίωση → ανασκόπηση και βελτίωση.
Αυτό δεν είναι γραφειοκρατία. Είναι ο μηχανισμός μέσω του οποίου ένας οργανισμός αποκτά έλεγχο της κατάστασης.
Χωρίς αυτή τη διαδρομή, το αποτέλεσμα είναι συνήθως γνωστό: logs σε διαφορετικά συστήματα, emails μεταξύ τεχνικών, excel αρχεία, τηλεφωνικές οδηγίες, tickets χωρίς κοινή εικόνα και αποφάσεις που μπορεί να ελήφθησαν σωστά, αλλά δεν μπορούν να ανακτηθούν ή να αποδειχθούν όταν χρειαστεί.
Η αλυσίδα αποδεικτικών στοιχείων είναι εξίσου σημαντική με την τεχνική αντιμετώπιση
Όταν προκύψει ένα σοβαρό περιστατικό, η πρώτη ανάγκη είναι να περιοριστεί η ζημιά και να προστατευτεί η λειτουργία του οργανισμού. Όμως, αμέσως μετά προκύπτουν κρίσιμα ερωτήματα:
Τι ακριβώς συνέβη; Πότε ξεκίνησε; Πότε εντοπίστηκε; Ποια συστήματα επηρεάστηκαν; Υπήρξε διαρροή ή απώλεια δεδομένων; Ποιος ενημερώθηκε; Ποιες αποφάσεις ελήφθησαν; Ποιες ενέργειες πραγματοποιήθηκαν; Τι απομένει να γίνει;
Η σωστή απάντηση δεν μπορεί να βασίζεται στη μνήμη των ανθρώπων ή στην αναζήτηση μέσα σε αλληλογραφία και αποσπασματικά αρχεία.
Χρειάζεται ένα αξιόπιστο αποδεικτικό ίχνος. Αυτό σημαίνει ότι για κάθε ουσιαστικό περιστατικό πρέπει να μπορούν να συνδεθούν:
- τα αρχικά τεχνικά στοιχεία,
- η αξιολόγηση του κινδύνου,
- η απόφαση για την κλιμάκωση ή μη του περιστατικού,
- οι αναθέσεις ενεργειών,
- οι ενέργειες αποκατάστασης,
- οι υπεύθυνοι,
- τα αποδεικτικά ολοκλήρωσης,
- η τελική αξιολόγηση και τα συμπεράσματα.
Η τεκμηρίωση δεν είναι κάτι που φτιάχνουμε μετά από ένα συμβάν για να «είμαστε καλυμμένοι». Πρέπει να δημιουργείται οργανικά μέσα στη λειτουργία.
Όταν η τεκμηρίωση είναι μέρος της ίδιας της διαδικασίας, ο οργανισμός δεν αποκτά μόνο συμμόρφωση. Αποκτά γνώση. Μπορεί να εντοπίσει επαναλαμβανόμενα προβλήματα, να βελτιώσει διαδικασίες, να αξιολογήσει προμηθευτές, να εκπαιδεύσει ανθρώπους και να επενδύσει εκεί όπου υπάρχει πραγματικό ρίσκο.
Η διοίκηση πρέπει να έχει εικόνα, όχι τεχνικό θόρυβο
Η NIS2 μεταφέρει την κυβερνοασφάλεια στο επίπεδο της διοίκησης. Αυτό δεν σημαίνει ότι ο γενικός διευθυντής, το διοικητικό συμβούλιο ή ο επικεφαλής ενός φορέα πρέπει να γνωρίζουν τεχνικές λεπτομέρειες για ports, logs ή ευπάθειες.
Σημαίνει, όμως, ότι πρέπει να έχουν καθαρή εικόνα για το επίπεδο κινδύνου του οργανισμού, τις κρίσιμες εκκρεμότητες, την πρόοδο των ενεργειών και τις αποφάσεις που απαιτούνται.
Η διοίκηση χρειάζεται να μπορεί να απαντά σε ερωτήματα όπως:
Ποιοι είναι σήμερα οι σημαντικότεροι κίνδυνοι; Ποιες κρίσιμες υπηρεσίες έχουν μεγαλύτερη έκθεση; Υπάρχουν ανοιχτά περιστατικά; Ποια μέτρα καθυστερούν; Υπάρχουν ελλείψεις σε ανθρώπους, διαδικασίες ή τεχνολογία; Πόσο εξαρτάται ο οργανισμός από εξωτερικούς παρόχους; Έχουν δοκιμαστεί ουσιαστικά τα σχέδια αποκατάστασης;
Η σωστή διοικητική ενημέρωση δεν είναι μια υπερβολικά αισιόδοξη αναφορά που λέει ότι «όλα είναι εντάξει». Είναι μια ειλικρινής και κατανοητή εικόνα, που αναδεικνύει τόσο τα μέτρα που λειτουργούν όσο και τα κενά που χρειάζονται απόφαση, χρηματοδότηση ή άμεση παρέμβαση.
Η κυβερνοασφάλεια δεν απαιτεί από τη διοίκηση να γίνει τεχνική ομάδα. Απαιτεί, όμως, από τη διοίκηση να αναλάβει τον ρόλο που της αναλογεί: να θέτει προτεραιότητες, να διαθέτει πόρους, να ζητά τεκμηρίωση και να διασφαλίζει ότι οι αποφάσεις δεν παραμένουν θεωρητικές.
Οι χρόνοι αναφοράς αποκαλύπτουν την πραγματική ετοιμότητα
Οι απαιτήσεις αναφοράς σημαντικών περιστατικών αναδεικνύουν γιατί η ετοιμότητα δεν μπορεί να δημιουργείται την ώρα της κρίσης.
Η έγκαιρη προειδοποίηση εντός 24 ωρών, η πληρέστερη ενημέρωση εντός 72 ωρών και η τελική αναφορά σε μεταγενέστερο στάδιο προϋποθέτουν ότι ο οργανισμός γνωρίζει ήδη ποιος κάνει τι, ποιος ενημερώνεται, ποια στοιχεία συλλέγονται και ποιος έχει την ευθύνη της συντονισμένης απόκρισης.
Δεν είναι ρεαλιστικό να περιμένει κανείς ότι μέσα στην πίεση ενός σοβαρού περιστατικού θα βρεθούν ξαφνικά οι σωστοί άνθρωποι, θα αναζητηθούν οι κρίσιμες πληροφορίες, θα ερμηνευτούν τα logs, θα αποφασιστεί ποιος υπογράφει και θα συνταχθεί αξιόπιστη αναφορά από το μηδέν.
Η προετοιμασία πρέπει να έχει γίνει πριν.
Αυτό περιλαμβάνει σαφείς ρόλους, διαδικασίες κλιμάκωσης, επαφές έκτακτης ανάγκης, ελεγμένα αντίγραφα ασφαλείας, δυνατότητα αποκατάστασης, προεγκεκριμένα πρότυπα επικοινωνίας και ασκήσεις προσομοίωσης. Η άσκηση δεν είναι πολυτέλεια. Είναι ο μόνος τρόπος να διαπιστωθεί αν μια διαδικασία λειτουργεί πραγματικά ή υπάρχει μόνο σε ένα αρχείο.
Η εφοδιαστική αλυσίδα είναι μέρος του κινδύνου
Κανένας οργανισμός δεν λειτουργεί πλέον μόνος του.
Υπάρχουν πάροχοι cloud, εταιρείες λογισμικού, τηλεπικοινωνιακοί πάροχοι, εξωτερικοί τεχνικοί, εταιρείες υποστήριξης, συνεργάτες με απομακρυσμένη πρόσβαση, πλατφόρμες πληρωμών, εφαρμογές τρίτων και εξαρτήσεις που συχνά δεν έχουν αποτυπωθεί επαρκώς.
Η κυβερνοασφάλεια ενός οργανισμού δεν κρίνεται μόνο από το δικό του firewall. Κρίνεται και από το πόσο καλά γνωρίζει τις κρίσιμες εξαρτήσεις του και πόσο ώριμα διαχειρίζεται τη σχέση του με τους προμηθευτές.
Χρειάζεται να υπάρχουν σαφείς ερωτήσεις: Ποιος έχει πρόσβαση; Με ποιον τρόπο; Τι δεδομένα επεξεργάζεται; Πώς ενημερώνει για περιστατικά; Τι υποχρεώσεις έχει σε περίπτωση παραβίασης; Υπάρχει δυνατότητα ανάκτησης δεδομένων και συνέχισης λειτουργίας; Υπάρχει εναλλακτικό σχέδιο αν μια κρίσιμη υπηρεσία πάψει να είναι διαθέσιμη;
Η διαχείριση προμηθευτών δεν πρέπει να περιορίζεται σε μια υπογεγραμμένη σύμβαση. Πρέπει να αποτελεί συνεχές κομμάτι της διαχείρισης κινδύνου.
Η τεχνητή νοημοσύνη μπορεί να βοηθήσει, αλλά δεν μπορεί να υποκαταστήσει την ευθύνη
Η τεχνητή νοημοσύνη μπορεί να προσφέρει σημαντική βοήθεια στην κυβερνοασφάλεια: να οργανώσει πληροφορίες, να προτείνει κατηγοριοποιήσεις, να εντοπίσει κενά τεκμηρίωσης, να συσχετίσει τεχνικά στοιχεία και να επιταχύνει την πρώτη αξιολόγηση.
Όμως η χρήση της πρέπει να γίνεται με σοβαρότητα.
Δεν είναι αποδεκτό ένα σύστημα να χαρακτηρίζει σιωπηρά ένα περιστατικό ως χαμηλής σημασίας, να δηλώνει έναν έλεγχο ως ολοκληρωμένο ή να δημιουργεί μια ψευδή εικόνα συμμόρφωσης χωρίς ανθρώπινη επιβεβαίωση.
Η τεχνητή νοημοσύνη πρέπει να λειτουργεί ως βοηθός του ανθρώπου, όχι ως ανεξέλεγκτος αποφασιστής.
Μια υπεύθυνη εφαρμογή οφείλει να διατηρεί διαφάνεια: τι προτάθηκε, με ποια δεδομένα, με ποια βεβαιότητα, ποιος αποδέχθηκε ή απέρριψε την πρόταση και ποια τελική απόφαση ελήφθη. Αυτό είναι ιδιαίτερα σημαντικό σε θέματα κυβερνοασφάλειας και συμμόρφωσης, όπου η λανθασμένη αυτοματοποίηση μπορεί να δημιουργήσει μεγαλύτερο κίνδυνο από εκείνον που υποτίθεται ότι αντιμετωπίζει.
Τι πρέπει να ζητούν οι οργανισμοί από μια σοβαρή προσέγγιση
Οι οργανισμοί δεν πρέπει να αναζητούν μια «γρήγορη NIS2 λύση». Πρέπει να αναζητούν μια λειτουργική και επαναλαμβανόμενη ικανότητα.
Μια σοβαρή προσέγγιση πρέπει να επιτρέπει στον οργανισμό:
- να γνωρίζει τις κρίσιμες υπηρεσίες, υποδομές, δεδομένα και εξαρτήσεις του,
- να μετατρέπει τα τεχνικά σήματα σε τεκμηριωμένη αξιολόγηση κινδύνου,
- να διαχειρίζεται περιστατικά με σαφή ρόλους, αποφάσεις και ενέργειες,
- να διατηρεί αποδεικτικό ίχνος για όσα έγιναν,
- να δίνει στη διοίκηση απλή αλλά αξιόπιστη εικόνα,
- να ενσωματώνει τη διαχείριση προμηθευτών στον συνολικό σχεδιασμό,
- να δοκιμάζει διαδικασίες και σχέδια αποκατάστασης,
- να βελτιώνεται συνεχώς μέσα από πραγματικά δεδομένα και ασκήσεις.
Δεν υπάρχει μαγική συμμόρφωση. Υπάρχει σοβαρή μεθοδολογία, κατάλληλη τεχνολογία, εκπαιδευμένοι άνθρωποι, σαφής λογοδοσία και καθημερινή λειτουργία.
Η ευκαιρία για την Ελλάδα
Η Ελλάδα έχει σήμερα μια σημαντική ευκαιρία.
Μπορεί να αντιμετωπίσει τη NIS2 ως μία ακόμη υποχρέωση, με βιαστικές αγορές, πρόχειρες πολιτικές και επιφανειακές δηλώσεις συμμόρφωσης. Ή μπορεί να τη δει ως αφορμή για να αποκτήσει πραγματική κυβερνοανθεκτικότητα.
Αυτό σημαίνει να επενδύσει σε ανθρώπους, διαδικασίες, τεχνολογία και κουλτούρα ευθύνης. Να αναγνωρίσει ότι η κυβερνοασφάλεια είναι κρίσιμη λειτουργία του οργανισμού και όχι ένα περιφερειακό θέμα που αντιμετωπίζεται όταν εμφανιστεί πρόβλημα.
Το σημαντικότερο, όμως, είναι να αλλάξει η ερώτηση.
Όχι: «Έχουμε συμπληρώσει τις απαιτήσεις;»
Αλλά:
Αν συμβεί αύριο το πρωί ένα σοβαρό περιστατικό, μπορούμε να το εντοπίσουμε, να καταλάβουμε τον αντίκτυπό του, να πάρουμε αποφάσεις, να δράσουμε συντονισμένα και να αποδείξουμε υπεύθυνα τι κάναμε;
Από την απάντηση σε αυτή την ερώτηση θα κριθεί η πραγματική κυβερνοανθεκτικότητα των οργανισμών μας.







