Στην άμεση ανάγκη συμμόρφωσης των ελληνικών χρηματοπιστωτικών ιδρυμάτων στους διαρκείς και μεταλλασσόμενους κινδύνους στον κυβερνοχώρο αναφέρθηκε στην εισήγησή του ο Διοικητής της Τράπεζας της Ελλάδος Γιάννης Στουρνάρας, στο 2ο Banking Forum που διοργάνωσε την Τρίτη 16 Μαϊου 2023 το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας – IIA Greece στο Μέγαρο Καρατζά.
Κατά τον Διοικητή της Τράπεζας της Ελλάδος «η ελληνική οικονομία έχει καταφέρει να σημειώσει σημαντική πρόοδο, μετά την κρίση χρέους, παρουσιάζοντας ισχυρή ανθεκτικότητα, ως αποτέλεσμα της αναδιάρθρωσης του τραπεζικου συστήματος και των μεταρρυθμίσεων. Η ανταγωνιστικότητα σε όρους σχετικών τιμών έχει βελτιωθεί σημαντικά από το 2010 και μετά, κάτι που οφείλεται, μεταξύ άλλων, στη μεταρρύθμιση του ευρύτερου θεσμικού πλαισίου και της απελευθέρωση της αγοράς εργασίας, ενώ μέσω των ξένων επενδύσεων εξασφαλίζονται η χρηματοδότηση της ανάπτυξης και η εισαγωγή καινοτόμων τεχνολογιών».
Ο κ. Στουρνάρας ανέφερε ότι είναι δεδομένο ότι η χρήση της τεχνολογίας έχει συμβάλει στην καλύτερη διαχείριση πόρων και στις δραστηριότητές των τραπεζών, ενώ παράλληλα η ψηφιακή μετάβαση έχει ως πλεονέκτημα το μειωμένο κόστος λειτουργίας και την άμεση πρόσβαση σε διαδικτυακές υπηρεσίες.
Ωστόσο, «οι κίνδυνοι στον κυβερνοχώρο αλλάζουν διαρκώς, τα χρηματοπιστωτικά ιδρύματα οφείλουν να αντιμετωπίσουν ένα ευρύ φάσμα απειλών. Είναι σημαντικό η επικοινωνία μεταξύ των τραπεζών να διεξάγεται με ασφαλή τρόπο, καθώς είναι πιθανό να ανακύψουν κίνδυνοι από τη διαδεδομένη μορφή καινοτόμων μορφών χρηματοπιστωτικών μέσων όπως είναι τα κρυπτοστοιχεία και η αποκεντρωμένη χρηματοδότηση» ανέφερε χαρακτηριστικά.
«Η μετάβαση από την αλληλεπίδραση με τον πελάτη, στα διαδικτυακά κανάλια δημιουργεί μια σειρα προκλήσεων όσον αφορά τη συμμόρφωσή των χρηματοπιστωτικών ιδρυμάτων με το θεσμικό πλαίσιο πρόληψης. Αυτές οι προκλήσεις απευθύνονται τόσο στην εποπτική αρχή που οφείλει να θωρακίσει το σύστημα, όσο και στις εταιρείες του χρηματοπιστωτικού τομέα που θα πρέπει να προσαρμόσουν τις επιχειρηματικές τους πρακτικές, προκειμένου να παραμείνουν ανταγωνιστικές, αξιολογώντας παράλληλα και αντιμετωπίζοντας τους νέους και αναδυόμενους κινδύνους» υπογράμμισε ο Διοικητής της Τράπεζας της Ελλάδος.
Εξάλλου, κατά όσα ανέφερε στην εισήγησή του ο κ. Στουρνάρας, η στρατηγική ψηφιακού μετασχηματισμού θα πρέπει να έχει την έγκριση του Διοικητικού Συμβουλίου του χρηματοπιστωτικού ιδρύματος και να υπάρχει εναρμόνιση μεταξύ της υπηρεσιακής στρατηγικής και της στρατηγικής της πληροφορικής.
Ως εκ τούτου, έκανε λόγο για ενέργειες που έχουν γίνει σε αυτό το πλαίσιο, όπως οι πρωτοβουλίες της Ευρωπαϊκής Επιτροπής και η λήψη δέσμης μέτρων από πλευράς Ευρωπαϊκής Ένωσης που στοχεύεουν σε μια εκ βάθρων αναδόμηση του συστήματος.
Ο διοικητής της ΤτΕ συνοψίζοντας, υπογράμμισε ότι τα πιστωτικά ιδρύματα θα πρέπει να συμμορφωθούν στα νέα δεδομένα, αναπτύσσοντας τους κατάλληλους μηχανισμούς, με την πρακτική αντιμετώπισης των κινδύνων να προβλέπει στενή συνεργασία τόσο εντός του ίδιου του ιδρύματος, όσο και με τις εποπτικές αρχές, θωρακίζοντας την ασφάλεια και τη σταθερότητα όλου του συστήματος.
Γιάννης Τζάνος (Εurobank): No 1 ψηφιακή απειλή το Ransomware – Στο στόχαστρο ο τραπεζικός χώρος, το δημόσιο, τα πανεπιστήμια και ο τομέας της υγείας
Στο ίδιο συνέδριο ο Γιάννης Τζάνος, Group Corporate Security Officer & Chief Information Security Officer, της Eurobank ξεκίνησε την τοποθέτησή του, δίνοντας σε λίγες λέξεις τη μεγάλη εικόνα των κυβερνοεπιθέσεων εν έτει 2023: «Έξω έχουμε πόλεμο, όπου υπάρχει χρήμα, υπάρχει δυνατότητα επίθεσης. Οι κυβερνοπιθέσεις χρόνο με το χρόνο εξελίσσονται. Κάθε μέρα ένα καινούριο κάστρο πέφτει».
Κατά τον ίδιο, οι κυβερνοεπιθέσεις έχουν διπλασιαστεί σε σχέση με το 2015, συμβαίνουν κυρίως σε αναπτυγμένες οικονομίες και είναι χαρακτηριστικό ότι οι ΗΠΑ, παρότι συνιστά την πιο δυνατή οικονομία, έχει δεχθεί το 50% των κυβερνοεπιθέσεων, σύμφωνα με στοιχεία από έκθεση της ΕΚΤ. Στο ίδιο πλαίσιο, η Ευρώπη έχει δεχθεί το 13% των κυβερνοεπιθέσεων, με τον τραπεζικό χώρο να πλήττεται, λιγότερο, ωστόσο, από άλλους κλάδους όπως ο δημόσιος τομέας, τα πανεπιστήμια και ο τομέας της υγείας.
Πρόσθεσε, δε, ότι ο νούμερο 1 ψηφιακός κίνδυνος στην παρούσα φάση, είναι το ransomware, το οποίο έχει εξελιχθεί σε τρομερή απειλή, οι κίνδυνοι μέσω του social engineering, αλλά και οι απειλές σε τρίτους παρόχους (providers), ενώ υπάρχει και μια τριπλή μορφή εκβιασμού, η οποία γίνεται κυρίως μέσω email και λιγότερο μέσω browsing. Κατέληξε, εξάλλου, ότι «το ψηφιακό έγκλημα ακολουθεί τα trends της κοινωνίας και του εμπορίου».
Συνεισφέροντας στη συζήτηση, ο Λάμπρος Σπερνοβασίλης, IT Audit Manager της Alpha Bank υπογράμμισε ότι o εσωτερικός έλεγχος μπορεί να συμβάλει στην κυβερνοασφάλεια ενός οργανισμού: «Καλούμαστε να ειμαστε πάντα προετοιμασμένοι μέχρι την επόμενη επίθεση» ανέφερε χαρακτηριστικά, αναπτύσσοντας πυλώνες προετοιμασίας όπως την αναγνώριση των εκτεθειμένων χώρων, της διασφάλισή τους, την ανάπτυξη ενός καλού μηχανισμού εποπτείας για τον περιορισμό ζημιάς από πιθανη επίθεση, την όσο το δυνατόν πιο αποτελεσματική απάντηση στην επίθεση, αλλά και την επιτάχυνση στην επιστροφή στην αρχική κατάσταση. Κατά τον κ. Σπερνοβασίλη «ο εσωτερικός έλεγχος μπορεί συμβάλει στην κυβερνοασφάλεια, προσαρμόζοντας την προσοχή του και την πρακτική του στις παραπάνω κατευθύνσεις».
Από την πλευρά της, η Ιωσηφίνα Δεγαΐτα, Head of Group Operational Risk της Εθνικής Τράπεζας ,σημείωσε, επιβεβαιώνοντας τα λόγια του Γιάννη Τζάνου, ότι τα τελευταία χρόνια η κυβερνοεπιθέσεις είναι «ένας πόλεμος που θα μείνει, όσο υπάρχει ψηφιακός μετασχηματισμός και συνεχής τεχνολογική εξέλιξη».
Κατά όσα σημείωσε στην εισήγησή της, το risk είναι ένας κίνδυνος που είναι πολύ ψηλά στην ατζέντα στους οργανισμούς, αλλά είναι πολυπαραγοντικός, με την ύπαρξη κινδύνων εσωτερικής και εξωτερικής απάτης και διαρροής ευαίσθητων πληροφοριών, αλλά και διακυβευσης φήμης της κάθε επιχείρησης που δέχεται επίθεση. «Χρειαζόμαστε διακυβέρνηση, ο κάθε χώρος πρέπει να θέσει ρόλους, ευθύνες, και είναι καθήκον όλων μας η διαχείριση του cyber risk σε έναν οργανισμό» ανέφερε η κυρία Δεγαΐτα, ενώ για την ίδια, είναι απαραίτητη η στρατηγική και οι πολιτικές του κάθε κλάδου για την αντιμετώπισή του.
Για τον Δημήτρη Φράγκο Internal Audit Director, της τράπεζας Πειραιώς η κυβερνοασφάλεια έχει ιδιαιτερότητες όπως την τεχνική της φύση, το εύρος των υπηρεσιών λόγω του μεγέθους των απειλών, ωστόσο, την ίδια στιγμή, υπάρχει απώλεια ελέγχου λόγω outsourcing. Όπως υπογράμμισε στην τοποθέτησή του «το εποπτικό πλαίσιο είναι ιδιαιτέρως εμπλουτισμένο αυτή τη στιγμή και στην πρώτη γραμμή άμυνας υπάρχει ο σχεδιασμός ελέγχου, η ανάπτυξη και η αρχιτεκτονική των συστημάτων και στη δεύτερη γραμμή, ο κανονιστικός κίνδυνος, ενώ υπάρχει η δυνατότητα και άλλων, πιο εξειδικευμένων δομών. Η τρίτη γραμμή περιλαμβάνει όλο το εύρος διακυβέρνησης και δεξιοτήτων, καθώς και τη διαχείριση κινδύνων. «Υπάρχουν δυνατότητες συνέργειας μεταξύ των γραμμών άμυνας, ομως ο αγώνας είναι δύσκολος γιατί συνεχώς αλλάζουν οι απειλές» τόνισε.
Για τη σχέση cyber risk και compliance risk έκανε λόγο ο Gerry Kounadis, Deputy Head of Group Business Regulatory Compliance & Client Conduct Division της Εθνικής Τράπεζας, υποστηρίζοντας ότι ένας από τους μεγαλύτερους κινδύνους κυβερνοεπίθεσης είναι αυτός που προκύπτει από τις διαδικασίες του Γενικού Κανονισμού για την Ασφάλεια Δεδομένων. Σε επίπεδο χρηματοπιστωτικής νομοθεσίας, κατά τον ίδιο, μια ακόμα μεγάλη πηγή κινδύνου είναι οι διαδικασίες outsourcing, ενώ, συμπλήρωσε ότι ο ρόλος της κανονιστικής συμμόρφωσης για την προετοιμασία απέναντι στις κυβερνοπιθέσεις έχει πέντε πυλώνες: Τη διαρκή ενημέρωση για τις κανονιστικές εξελίξεις, τη συνδιαμόρφωση του πλαισίου που πρέπει να κινηθεί ο οργανισμός, την αξιολόγηση των κινδύνων συμμόρφωσης, έτσι ώστε να βρίσκονται οι κατάλληλες λύσεις, την παρακολούθηση της συμμόρφωσης σε περιοχές με υψηλό κίνδυνο, καθώς και τη σημασία της έγκαιρης αναφοράς (reporting).
Από αριστερά: Γιάννης Τζάνος, Group Corporate Security Officer & Chief Information Security Officer, της Eurobank – Λάμπρος Σπερνοβασίλης, IT Audit Manager της Alpha Bank – Ιωσηφίνα Δεγαΐτα, Head of Group Operational Risk της Εθνικής Τράπεζας – Δημήτρης Φράγκος, Internal Audit Director, της τράπεζας Πειραιώς και Gerry Kounadis, Deputy Head of Group Business Regulatory Compliance & Client Conduct Division της Εθνικής Τράπεζας