Η αυλαία του 16ου InfoCom Security 2026 έπεσε στο Ωδείο Αθηνών, αφήνοντας πίσω ένα ιδιαίτερα πυκνό και ουσιαστικό σύνολο συμπερασμάτων για την επόμενη ημέρα της κυβερνοασφάλειας και της ψηφιακής ανθεκτικότητας στη χώρα μας. Το φετινό concept, «The Da Vinci Code of Cybersecurity – From Renaissance to Resilience», αποδείχθηκε κάτι περισσότερο από ένα δημιουργικό θεματικό πλαίσιο. Λειτούργησε ως ένας τρόπος να περιγραφεί η ίδια η μετάβαση που βρίσκεται σήμερα σε εξέλιξη: από την αποσπασματική άμυνα στην ολιστική ανθεκτικότητα, από την τεχνική προστασία στη στρατηγική διαχείριση κινδύνου, από τη συμμόρφωση ως υποχρέωση στη συμμόρφωση ως μηχανισμό εμπιστοσύνης.
του Χρήστου Κοτσακά
Το συνέδριο επιβεβαίωσε ότι η κυβερνοασφάλεια έχει πλέον περάσει σε μια νέα φάση ωριμότητας. Δεν αποτελεί πια ένα θέμα που αφορά αποκλειστικά τα IT τμήματα, τους τεχνικούς ή τους ειδικούς. Είναι ζήτημα διοίκησης, επιχειρησιακής συνέχειας, κανονιστικής ευθύνης, φήμης, ανταγωνιστικότητας και τελικά επιβίωσης. Η μεγάλη μετατόπιση που αναδείχθηκε μέσα από τις δύο ημέρες δεν αφορά μόνο τα εργαλεία ή τις τεχνολογίες, αλλά τον τρόπο σκέψης. Οι οργανισμοί δεν καλούνται απλώς να αποτρέψουν μια επίθεση, αλλά να αποδείξουν ότι μπορούν να συνεχίσουν να λειτουργούν, να αντιδράσουν γρήγορα, να ανακάμψουν οργανωμένα και να μάθουν από κάθε κρίση.
Σε αυτό το περιβάλλον, η έννοια της ψηφιακής ανθεκτικότητας αναδείχθηκε ως ο νέος κεντρικός άξονας του κλάδου. Η ανθεκτικότητα δεν είναι ένα προϊόν που αγοράζεται, ούτε ένα έργο που ολοκληρώνεται μία φορά. Είναι μια συνεχής ικανότητα που χτίζεται πριν από την κρίση, δοκιμάζεται κατά τη διάρκειά της και βελτιώνεται μετά από αυτήν. Προϋποθέτει στρατηγική, διαδικασίες, ρόλους, ευθύνη, τεκμηρίωση, δοκιμασμένα playbooks και σαφείς μηχανισμούς απόκρισης. Όπως αναδείχθηκε μέσα από τις παρουσιάσεις και τις συζητήσεις, η επιτυχία σε ένα περιστατικό δεν αποφασίζεται τη στιγμή που αυτό εκδηλώνεται, αλλά πολύ νωρίτερα, όταν ο οργανισμός έχει ήδη αποφασίσει τι είναι κρίσιμο, ποιος ενεργεί, ποιος επικοινωνεί και ποια λειτουργία πρέπει να προστατευθεί κατά προτεραιότητα.
Η κεντρική συζήτηση μετακινήθηκε, έτσι, από το ερώτημα «πώς δεν θα δεχθούμε επίθεση» στο ερώτημα «πώς θα αντέξουμε όταν δεχθούμε επίθεση». Πρόκειται για μια ουσιαστική αλλαγή φιλοσοφίας. Η πρόληψη παραμένει κρίσιμη, αλλά δεν αρκεί. Η πραγματική αξιοπιστία ενός οργανισμού κρίνεται από την ικανότητά του να διατηρεί τη λειτουργία του, να περιορίζει το εύρος της ζημιάς, να ανακτά γρήγορα κρίσιμες υπηρεσίες και να αποφεύγει τον πανικό. Η αποκατάσταση και η επιχειρησιακή συνέχεια δεν είναι δευτερεύοντα στάδια μετά την άμυνα. Είναι αναπόσπαστο μέρος της ίδιας της κυβερνοασφάλειας.
Η τεχνητή νοημοσύνη βρέθηκε αναπόφευκτα στο επίκεντρο, όχι όμως με όρους γενικού ενθουσιασμού, αλλά μέσα από μια πολύ πιο απαιτητική και ώριμη οπτική. Το AI παρουσιάστηκε ταυτόχρονα ως εργαλείο άμυνας, ως επιταχυντής της επιχειρησιακής αποτελεσματικότητας, ως νέα επιφάνεια επίθεσης και ως παράγοντας που αλλάζει τη φύση των απειλών. Οι επιτιθέμενοι μπορούν πλέον να αυτοματοποιούν βήματα, να αναλύουν ευπάθειες, να δημιουργούν πιο πειστικά σενάρια εξαπάτησης και να κινούνται με ταχύτητα που ξεπερνά τα παραδοσιακά ανθρώπινα αντανακλαστικά. Αυτό σημαίνει ότι οι αμυνόμενοι οργανισμοί δεν μπορούν να βασίζονται σε αργές χειροκίνητες διαδικασίες.
Ταυτόχρονα, το συνέδριο ανέδειξε ότι το ίδιο το AI πρέπει πλέον να αντιμετωπίζεται ως κρίσιμο σύστημα που χρειάζεται προστασία. Τα μοντέλα, τα δεδομένα εκπαίδευσης, τα prompts, οι agents, τα APIs, τα εργαλεία που καλούνται από αυτοματοποιημένες διαδικασίες και τα αποτελέσματα που παράγονται συνθέτουν μια νέα, πολύπλοκη επιφάνεια κινδύνου. Όταν ένα σύστημα τεχνητής νοημοσύνης δεν απαντά απλώς σε ερωτήματα, αλλά διαβάζει, αποφασίζει, εκτελεί ενέργειες και συνδέεται με εταιρικά δεδομένα, τότε δεν μπορεί να παραμένει εκτός του πλαισίου ασφάλειας. Χρειάζεται threat modeling, red teaming, έλεγχο πρόσβασης, καταγραφή, σαφή ευθύνη και διακυβέρνηση.
Σε αυτό το σημείο αναδείχθηκε και ένα από τα πιο κρίσιμα συμπεράσματα του συνεδρίου: η ασφάλεια των δεδομένων γίνεται η βάση πάνω στην οποία θα κριθεί η ασφάλεια της εποχής του AI. Οι οργανισμοί δεν μπορούν πλέον να αρκούνται στο ότι διαθέτουν δεδομένα. Πρέπει να γνωρίζουν πού βρίσκονται, πώς μετακινούνται, ποιος τα χρησιμοποιεί, ποια είναι ευαίσθητα, ποια είναι κρίσιμα και ποια μπορούν να εκτεθούν μέσω εργαλείων που δεν έχουν εγκριθεί ή ελεγχθεί. Κάθε ερώτημα προς ένα AI σύστημα μπορεί να αποτελεί μεταφορά πληροφορίας. Κάθε αυτοματισμός μπορεί να δημιουργεί μια νέα διαδρομή διαρροής. Η ορατότητα δεν είναι πια τεχνική πολυτέλεια, αλλά προϋπόθεση άμυνας.
Η ίδια ανάγκη για ορατότητα διαπέρασε και τη συζήτηση γύρω από τα Security Operations Centers. Το παραδοσιακό μοντέλο που βασίζεται στην απλή παρακολούθηση alerts δείχνει πλέον τα όριά του. Οι οργανισμοί δεν χρειάζονται περισσότερα σήματα, χρειάζονται καλύτερη κατανόηση κινδύνου. Ένα alert έχει αξία μόνο όταν μπορεί να ερμηνευθεί μέσα στο πραγματικό επιχειρησιακό πλαίσιο: ποιο asset αφορά, ποια είναι η κρισιμότητά του, αν συνδέεται με άλλα γεγονότα, αν δημιουργεί attack path και αν μπορεί να οδηγήσει σε ουσιαστικό επιχειρησιακό πλήγμα. Η μετάβαση από το Security Operations Center στο Risk Operations Center αποτυπώνει αυτή τη νέα ανάγκη: λιγότερη μηχανική παρακολούθηση και περισσότερη στρατηγική ερμηνεία.
Στο ίδιο πλαίσιο, ιδιαίτερα σημαντική ήταν η ανάδειξη της ανάγκης για νέα προτεραιοποίηση των ευπαθειών. Ένα εύρημα με υψηλή τεχνική βαθμολογία δεν είναι απαραίτητα το πιο κρίσιμο για κάθε οργανισμό, ενώ μια φαινομενικά μικρότερη αδυναμία μπορεί, σε συνδυασμό με άλλες, να δημιουργήσει πραγματικό κίνδυνο. Οι επιτιθέμενοι δεν κινούνται με βάση στατικούς δείκτες. Αναζητούν τον πιο εύκολο, πιο αθόρυβο και πιο αποτελεσματικό δρόμο προς τον στόχο. Άρα και οι αμυνόμενοι πρέπει να αξιολογούν τις ευπάθειες όχι ως απομονωμένα τεχνικά ευρήματα, αλλά ως πιθανές διαδρομές επίθεσης μέσα στο δικό τους περιβάλλον.
Ισχυρή παρουσία είχε και η κανονιστική διάσταση της κυβερνοασφάλειας. NIS2, DORA, Cyber Resilience Act, AI Act, GDPR και τα υπόλοιπα ευρωπαϊκά πλαίσια δεν αντιμετωπίστηκαν ως απλές υποχρεώσεις συμμόρφωσης, αλλά ως μηχανισμοί που μετακινούν την αγορά προς μεγαλύτερη λογοδοσία, διαφάνεια και ωριμότητα. Η συμμόρφωση όμως από μόνη της δεν ισοδυναμεί με πραγματική ασφάλεια. Ένας οργανισμός μπορεί να διαθέτει πολιτικές και έγγραφα, αλλά αν αυτά δεν λειτουργούν σε πραγματικές συνθήκες πίεσης, παραμένουν θεωρητικά. Η ουσία βρίσκεται στη μετατροπή της συμμόρφωσης σε επιχειρησιακή ικανότητα.
Ιδιαίτερα το Cyber Resilience Act ανέδειξε μια μεγάλη αλλαγή στον τρόπο με τον οποίο πρέπει να σχεδιάζονται και να διατίθενται προϊόντα με ψηφιακά στοιχεία. Η ασφάλεια δεν μπορεί πλέον να προστίθεται εκ των υστέρων, ούτε να αντιμετωπίζεται ως τεχνικό χαρακτηριστικό δεύτερης φάσης. Πρέπει να ενσωματώνεται από τον αρχικό σχεδιασμό, να τεκμηριώνεται, να διατηρείται σε όλο τον κύκλο ζωής του προϊόντος και να συνδέεται με διαδικασίες χειρισμού ευπαθειών, αναφοράς περιστατικών, υποστήριξης και αξιολόγησης κινδύνου. Η λογική του secure by design και του secure by default περνά από τη θεωρία στην κανονιστική πράξη.
Μία ακόμη βασική διαπίστωση ήταν ότι η ταυτότητα εξελίσσεται στη νέα περίμετρο. Σε ένα περιβάλλον όπου οι εργαζόμενοι βρίσκονται παντού, οι εφαρμογές μετακινούνται στο cloud, οι συσκευές πολλαπλασιάζονται και οι μη ανθρώπινες ταυτότητες αποκτούν ρόλο, η παραδοσιακή περίμετρος χάνει το νόημά της. Η πρόσβαση πρέπει να ελέγχεται συνεχώς, να περιορίζεται δυναμικά και να συνδέεται με τον χρήστη, τη συσκευή, το περιβάλλον, τη συμπεριφορά και την κρισιμότητα του πόρου. Το Zero Trust, όπως έγινε σαφές, δεν είναι ένα προϊόν. Είναι φιλοσοφία συνεχούς επαλήθευσης.
Η διαχείριση προνομιακής πρόσβασης αναδείχθηκε ως κρίσιμο στοιχείο αυτής της νέας αρχιτεκτονικής. Οι λογαριασμοί με αυξημένα δικαιώματα, οι εξωτερικοί συνεργάτες, τα service accounts, οι διαχειριστές και πλέον οι AI agents δεν μπορούν να λειτουργούν με μόνιμη και ανεξέλεγκτη πρόσβαση. Η νέα λογική απαιτεί just-in-time δικαιώματα, πλήρη καταγραφή, έγκριση, παρακολούθηση συνεδριών, ανάλυση συμπεριφοράς και δυνατότητα άμεσης ανάκλησης πρόσβασης. Όταν ένα σύστημα μπορεί να εκτελεί ενέργειες, η ερώτηση δεν είναι μόνο ποιος το χρησιμοποιεί, αλλά τι ακριβώς μπορεί να κάνει, υπό ποιες συνθήκες και με ποια λογοδοσία.
Η σύγκλιση IT, OT και φυσικής ασφάλειας αποτέλεσε επίσης ένα από τα πιο ουσιαστικά σημεία του συνεδρίου. Οι κρίσιμες υποδομές, τα βιομηχανικά περιβάλλοντα, η ενέργεια, οι τηλεπικοινωνίες, η υγεία, οι μεταφορές και τα συστήματα επιχειρησιακής λειτουργίας δεν μπορούν να προστατευθούν μέσα από απομονωμένες προσεγγίσεις. Οι απειλές κινούνται ανάμεσα σε τεχνολογικά, φυσικά και οργανωτικά επίπεδα. Ένα περιστατικό μπορεί να ξεκινήσει από έναν εξωτερικό συνεργάτη, ένα παλαιό λειτουργικό, μια απομακρυσμένη σύνδεση, ένα λάθος δικαίωμα ή ακόμη και από μια φυσική καταστροφή. Η ανθεκτικότητα πρέπει να βλέπει τον οργανισμό ως ενιαίο σύστημα.
Η εφοδιαστική αλυσίδα παρουσιάστηκε ως ένας από τους πιο δύσκολους και κρίσιμους χώρους κινδύνου. Κανένας οργανισμός δεν είναι ασφαλής μόνος του. Οι πάροχοι, οι συνεργάτες, οι προμηθευτές λογισμικού, οι cloud υπηρεσίες, οι integrators και τα τρίτα μέρη διαμορφώνουν το πραγματικό περιβάλλον ασφάλειας. Η αξιολόγηση συνεργατών δεν μπορεί να είναι μια τυπική διαδικασία στην αρχή της συνεργασίας. Χρειάζεται συνεχής παρακολούθηση, τεχνικά controls, συμβατική σαφήνεια και μηχανισμοί έγκαιρης αντίδρασης όταν ένας κρίκος της αλυσίδας επηρεάζεται.
Ο ανθρώπινος παράγοντας αποτέλεσε τον πιο σταθερό κοινό παρονομαστή σε όλες τις θεματικές του συνεδρίου. Από τη μία πλευρά, παραμένει μία από τις βασικές πηγές κινδύνου, μέσα από phishing, λανθασμένες αποφάσεις, κακή διαχείριση πρόσβασης ή άτυπη χρήση εργαλείων. Από την άλλη, είναι ο μόνος παράγοντας που μπορεί να ασκήσει κρίση, να αναλάβει ευθύνη, να συνθέσει πληροφορίες και να δημιουργήσει κουλτούρα ασφάλειας. Το awareness δεν μπορεί να περιορίζεται σε ετήσια εκπαιδευτικά προγράμματα και τυπικά κουίζ. Πρέπει να μετατραπεί σε συμπεριφορική εκπαίδευση, με σενάρια, ασκήσεις, decision drills, μετρήσιμα αποτελέσματα και πραγματική αλλαγή νοοτροπίας.
Η αγορά ανθρώπινου δυναμικού στην κυβερνοασφάλεια αναδείχθηκε ως μία από τις μεγαλύτερες προκλήσεις της επόμενης ημέρας. Το πρόβλημα δεν είναι μόνο αριθμητικό. Δεν λείπουν απλώς άνθρωποι, λείπουν συγκεκριμένες δεξιότητες, πρακτική εμπειρία, ωριμότητα και σαφείς διαδρομές εξέλιξης. Η θεωρητική γνώση είναι απαραίτητη, αλλά δεν αρκεί. Η κυβερνοασφάλεια απαιτεί real world exposure, συμμετοχή σε έργα, επαφή με περιστατικά, κατανόηση πίεσης και συνεργασία με διαφορετικούς ρόλους. Το reskilling, τα micro-credentials, η συνεργασία επιχειρήσεων και πανεπιστημίων και η εκπαίδευση μέσα στην πράξη αποτελούν πλέον στρατηγικές ανάγκες.
Σημαντική ήταν και η συζήτηση για τη διατήρηση των ταλέντων. Οι αμοιβές παραμένουν κρίσιμες, αλλά δεν αρκούν. Οι επαγγελματίες του κλάδου χρειάζονται καθαρό career path, καλή ηγεσία, συνεχή εκπαίδευση, αναγνώριση, πρόσβαση σε σύγχρονες τεχνολογίες και αίσθηση ότι η δουλειά τους έχει πραγματικό αντίκτυπο. Σε ένα περιβάλλον έντονης πίεσης, η οργανωτική κουλτούρα γίνεται παράγοντας κυβερνοανθεκτικότητας. Οι εταιρείες που επενδύουν στους ανθρώπους τους δεν προστατεύουν μόνο το ανθρώπινο δυναμικό τους, αλλά και την επιχειρησιακή τους συνέχεια.
Το ζήτημα του burnout έδωσε μια ιδιαίτερα ουσιαστική διάσταση στο συνέδριο. Η ανθεκτικότητα των οργανισμών δεν μπορεί να υπάρξει χωρίς ανθρώπινη ανθεκτικότητα. Οι ομάδες κυβερνοασφάλειας λειτουργούν συχνά σε καθεστώς μόνιμης εγρήγορσης, με περιστατικά που εμφανίζονται εκτός ωραρίου, με συνεχή ανάγκη μάθησης, με υψηλή ευθύνη και με την πίεση ότι ένα λάθος μπορεί να έχει σοβαρές συνέπειες. Το burnout δεν είναι ατομικό πρόβλημα που αφορά μόνο τον εργαζόμενο. Είναι επιχειρησιακό ρίσκο, γιατί επηρεάζει την κρίση, την προσοχή, την ποιότητα της απόκρισης και τη συνεργασία μέσα στις ομάδες.
Το συνέδριο ανέδειξε, τέλος, την ανάγκη για μεγαλύτερη πολυμορφία στη σκέψη. Η κυβερνοασφάλεια δεν χρειάζεται μόνο τεχνικούς ειδικούς. Χρειάζεται ανθρώπους που κατανοούν τη συμπεριφορά, την επικοινωνία, το ρίσκο, τη στρατηγική, τη νομοθεσία, την επιχειρησιακή λειτουργία και την κοινωνική διάσταση της τεχνολογίας. Όπως το πνεύμα της Αναγέννησης στηρίχθηκε στη σύνθεση διαφορετικών πεδίων γνώσης, έτσι και η επόμενη ημέρα της κυβερνοασφάλειας απαιτεί συνδυαστική σκέψη. Οι απειλές είναι πολυδιάστατες και άρα οι απαντήσεις δεν μπορούν να είναι μονοδιάστατες.
Συνολικά, το 16ο InfoCom Security 2026 αποτύπωσε μια αγορά που έχει ωριμάσει, αλλά βρίσκεται ταυτόχρονα μπροστά σε μια νέα καμπή. Η Ελλάδα διαθέτει πλέον πιο ενεργούς θεσμούς, ισχυρότερη επαγγελματική κοινότητα, μεγαλύτερη επίγνωση και περισσότερες εταιρείες με τεχνογνωσία. Την ίδια στιγμή, οι απειλές επιταχύνονται, οι κανονιστικές απαιτήσεις αυξάνονται, η τεχνητή νοημοσύνη μετασχηματίζει το πεδίο και οι οργανισμοί καλούνται να λειτουργήσουν σε ένα περιβάλλον όπου η αδράνεια κοστίζει περισσότερο από ποτέ. Η κυβερνοασφάλεια δεν μπορεί να είναι αποσπασματική, αμυντική και αντιδραστική. Πρέπει να γίνει στρατηγική, συνεργατική και ανθεκτική.
Αν υπάρχει ένα συμπέρασμα που συμπυκνώνει το αποτύπωμα του συνεδρίου, είναι ότι η επόμενη ημέρα της κυβερνοασφάλειας θα κριθεί από τη σύνδεση. Σύνδεση τεχνολογίας και ανθρώπου. Σύνδεση διοίκησης και τεχνικών ομάδων. Σύνδεση συμμόρφωσης και πράξης. Σύνδεση δημόσιου και ιδιωτικού τομέα. Σύνδεση πρόληψης, απόκρισης και αποκατάστασης. Όπως ο Da Vinci δεν αντιμετώπιζε τη γνώση ως άθροισμα απομονωμένων πεδίων, αλλά ως ενιαίο σύστημα σκέψης, έτσι και η κυβερνοασφάλεια της νέας εποχής δεν μπορεί να περιοριστεί σε εργαλεία, τίτλους και διαδικασίες. Χρειάζεται όραμα, πειθαρχία, συνεργασία και ικανότητα να διαβάζουμε τα μοτίβα πριν γίνουν κρίσεις. Αυτό είναι, τελικά, το πραγματικό ταξίδι από την Αναγέννηση στην Ανθεκτικότητα.
