Ποιος έχει πρόσβαση; Τι είδους; Πού; Γιατί;

Τα ερωτήματα που (σχεδόν) κανείς δεν απαντά άμεσα και με ακρίβεια στις ελληνικές επιχειρήσεις

Γιάννης Κωνσταντινίδης

Group CISO at SPB Group

Πώς φτάσαμε εδώ;

Τα ερωτήματα αυτά ακούγονται απλά. Στην πράξη, όμως, ελάχιστες ελληνικές επιχειρήσεις μπορούν να τα απαντήσουν άμεσα, με ακρίβεια και τεκμηρίωση. Η σημερινή πραγματικότητα είναι, σε μεγάλο βαθμό, αποτέλεσμα μιας χαοτικής ψηφιακής εξέλιξης χωρίς ενιαίο σχεδιασμό και χωρίς σαφές πλαίσιο διακυβέρνησης.

Σε πολλές περιπτώσεις, τα προβλήματα ξεκινούν με τη χειροκίνητη διαχείριση των δικαιωμάτων πρόσβασης (access rights ή permissions) στα συστήματα και στις εφαρμογές. Με την πάροδο του χρόνου, συσσωρεύονται πλεονάζοντα δικαιώματα (access creep), ενώ η συνολική εποπτεία της πρόσβασης καθίσταται ολοένα και πιο δύσκολη.

Παράλληλα, η ανάγκη για ευελιξία οδηγεί συχνά τα επιμέρους τμήματα μιας επιχείρησης στην υιοθέτηση δικών τους τεχνολογικών λύσεων (π.χ. εφαρμογές και υπηρεσίες υπολογιστικής νέφους – cloud) χωρίς την επίσημη έγκριση ή την εποπτεία από το τμήμα πληροφορικής. Το φαινόμενο αυτό ονομάζεται «shadow IT» και δημιουργεί σημαντικά «τυφλά σημεία» στην ασφάλεια της επιχείρησης. Ως ακόλουθο, τα δεδομένα, οι λογαριασμοί (accounts) και τα δικαιώματα πρόσβασης παραμένουν εκτός του κεντρικού πλαισίου διακυβέρνησης.

Την ίδια στιγμή, η μετάβαση στο υπολογιστικό νέφος και η ευρεία υιοθέτηση εφαρμογών τύπου Software-as-a-Service (SaaS) πολλαπλασιάζουν τα πιθανά σημεία πρόσβασης. Ένας εργαζόμενος μπορεί πλέον να διαθέτει δεκάδες λογαριασμούς σε διαφορετικές εφαρμογές, πολλές φορές με διαφορετικά διαπιστευτήρια (credentials). Το φαινόμενο αυτό, γνωστό ως «SaaS Sprawl», δυσχεραίνει σημαντικά τον αποτελεσματικό έλεγχο της πρόσβασης και εκθέτει την επιχείρηση σε επιπρόσθετους κινδύνους.

Το αποτέλεσμα είναι ένα κατακερματισμένο και συχνά ανεξέλεγκτο ψηφιακό περιβάλλον, όπου η επιχείρηση δυσκολεύεται να κατανοήσει το ποιος έχει πρόσβαση, σε ποια συστήματα, με τι είδους δικαιώματα και για ποιους λόγους.

Γιατί η αποτελεσματική διαχείριση των ψηφιακών ταυτοτήτων και των δικαιωμάτων πρόσβασης αποτελεί πλέον επιτακτική ανάγκη;

Ένα χαοτικό ψηφιακό περιβάλλον δε θεωρείται πλέον βιώσιμο για τις ελληνικές επιχειρήσεις. Στην πράξη, η Διαχείριση Ταυτότητας και Πρόσβασης (Identity and Access Management – IAM) έχει μετατραπεί από μια προαιρετική τεχνολογική βελτιστοποίηση σε μια αδιαπραγμάτευτη επιχειρησιακή και κανονιστική απαίτηση, κυρίως λόγω του νέου ευρωπαϊκού πλαισίου:

GDPR (General Data Protection Regulation): Ο GDPR απαιτεί την εφαρμογή «κατάλληλων τεχνικών και οργανωτικών μέτρων» (technical and organisational measures) για την προστασία των προσωπικών δεδομένων. Στην πράξη, όμως, μια επιχείρηση δεν μπορεί να αποδείξει τη συμμόρφωση (accountability) εάν δεν γνωρίζει ποιος είχε πρόσβαση στα δεδομένα, πότε, υπό ποιες συνθήκες και με ποια «δικαιολογία». Σε αυτή την κατεύθυνση, τα συστήματα IAM υποστηρίζουν διαδικασίες και για την περιοδική ανασκόπηση των δικαιωμάτων πρόσβασης (access reviews ή re-certifications).
NIS2 (Network and Information Security Directive 2): Η NIS2 έχει ένα διευρυμένο πεδίο εφαρμογής και επηρεάζει πλέον ένα μεγάλο πλήθος «βασικών οντοτήτων» (essential entities) και «σημαντικών οντοτήτων» (important entities). Παράλληλα, εισάγει αυξημένες απαιτήσεις περί ασφάλειας, συμπεριλαμβανομένων των πολιτικών ελέγχου πρόσβασης (access control policies) και των μηχανισμών ισχυρής αυθεντικοποίησης με χρήση πολλαπλών παραγόντων Multi-Factor Authentication (MFA) που τυπικά υλοποιούνται στα συστήματα IAM.
DORA (Digital Operational Resilience Act): O DORA αποτελεί ορόσημο για τον χρηματοπιστωτικό τομέα (π.χ. τράπεζες και ασφαλιστικές εταιρείες) και ανεβάζει τον «πήχη» της ψηφιακής ανθεκτικότητας. Πρακτικά, οδηγεί στην εφαρμογή ορισμένων «αρχών» όπως π.χ. αυτής του ελάχιστου προνομίου (Principle of Least Privilege – PoLP) και του διαχωρισμού των καθηκόντων (Separation of Duties – SoD). Παράλληλα, ενθαρρύνει την υιοθέτηση MFA και την προστασία των λογαριασμών με διακεκριμένα δικαιώματα πρόσβασης (Privileged Access Management – PAM) σε συνδυασμό με τον αυστηρό έλεγχο και την τακτική αναθεώρηση της πρόσβασης που παραχωρείται σε τρίτους συνεργάτες και παρόχους.

Εν ολίγοις, σε αυτό το πολύπλοκο περιβάλλον, η «άγνοια» γύρω από τη διαχείριση της ταυτότητας και της πρόσβασης δεν αποτελεί αποκλειστικά και μόνο μία τεχνική αδυναμία.

Ποια είναι τα ρεαλιστικά βήματα για τη θωράκιση των ελληνικών επιχειρήσεων;

Η μετάβαση από μια χαοτική σε μία ελεγχόμενη κατάσταση απαιτεί μια σταδιακή, στοχευμένη, και (κυρίως) επιχειρηματικά καθοδηγούμενη (business-driven) προσέγγιση.

Το πρώτο βήμα είναι η κατανόηση της υφιστάμενης κατάστασης. Για παράδειγμα, η επιχείρηση μπορεί να διενεργήσει μια αξιολόγηση του επιπέδου ωριμότητας (maturity assessment) και να χαρτογραφήσει τις υφιστάμενες διαδικασίες, τα συστήματα και τα δικαιώματα πρόσβασης. Σε πολλές περιπτώσεις, το πιο κρίσιμο σημείο δεν είναι η τεχνολογία (αυτή καθαυτή) αλλά η σωστή μοντελοποίηση των επιχειρησιακών ρόλων των χρηστών (role modeling ή role engineering).

Ουσιαστικά, η επιχείρηση καλείται να ορίσει με σαφήνεια όλους τους επιχειρησιακούς ρόλους (π.χ. «Υπεύθυνος Πωλήσεων» ή «Υπάλληλος Οικονομικού Τμήματος») και να αντιστοιχίσει σε αυτούς τους ρόλους μόνο τα απολύτως απαραίτητα δικαιώματα πρόσβασης σε όλα τα επιμέρους συστήματα και τις εφαρμογές. Φυσικά, δε χρειάζεται να συμπεριληφθούν όλα τα συστήματα και οι εφαρμογές εξαρχής. Η επιχείρηση μπορεί να προτεραιοποιήσει τα κρίσιμα συστήματα με βάση το εκτιμώμενο επίπεδο του κινδύνου και τις απαιτήσεις συμμόρφωσης.

Στη συνέχεια, η επιχείρηση μπορεί να προχωρήσει στη βελτιστοποίηση των διαδικασιών μέσω της αυτοματοποίησης. Για παράδειγμα, η δημιουργία των λογαριασμών των χρηστών, η απόδοση των κατάλληλων δικαιωμάτων πρόσβασης, η τροποποίηση των ρόλων ή ακόμη και η απενεργοποίηση των λογαριασμών κατά την αποχώρηση των εργαζομένων μπορούν να πραγματοποιούνται με έναν ελεγχόμενο και αυστηρά τυποποιημένο τρόπο. Με στοχευμένες παρεμβάσεις, συνδυαστικά με τις περιοδικούς ελέγχους, μειώνεται σημαντικά η συσσώρευση των υπερβολικών ή/και συχνά αχρείαστων δικαιωμάτων πρόσβασης.

Εν κατακλείδι, η αποτελεσματική διαχείριση της πρόσβασης αποτελεί ένα από τα σημαντικότερα και (ταυτόχρονα) πιο παραμελημένα προβλήματα των ελληνικών επιχειρήσεων. Το σύγχρονο ρυθμιστικό και επιχειρησιακό περιβάλλον δεν αφήνει πλέον περιθώρια για αβεβαιότητα ή εικασίες. Οι απαντήσεις σε ερωτήματα του τύπου «Ποιος έχει πρόσβαση; Τι είδους; Που; Γιατί;» πρέπει να βασίζονται σε τεκμηριωμένα δεδομένα. Πλέον, η υιοθέτηση μιας ολοκληρωμένης στρατηγικής για τη διαχείριση της ταυτότητας και της πρόσβασης αποτελεί βασική προϋπόθεση για την ενίσχυση της κυβερνοασφάλειας και της ψηφιακής ανθεκτικότητας σε ένα ιδιαίτερα πολύπλοκο ψηφιακό περιβάλλον.

*Ο αρθρογράφος Γιάννης Κωνσταντινίδης είναι Group Chief Information Security Officer (CISO) σε έναν πανευρωπαϊκό όμιλο ασφαλιστικών εταιρειών και σύμβουλος κυβερνοασφάλειας με ειδίκευση στη Διαχείριση της Ταυτότητας και της Πρόσβασης (Identity and Access Management – IAM).

16ο INFOCOM SECURITY 2026 : Από την Αναγέννηση στην Ανθεκτικότητα της Ψηφιακής Εποχής

Η Ανατομία της Ψηφιακής Ανθεκτικότητας

Η Ταυτότητα είναι η Νέα Περίμετρος

Μετάβαση στην προληπτική άμυνα με πλατφόρμες τεχνητής νοημοσύνης

Από την αντίδραση στην πρόβλεψη επιθέσεων: Η νέα γενιά του Agentic SIEM

The State of Cybersecurity 2026 – Εκεί που η αγορά συναντά την πραγματικότητα

Σε μια αγορά με περιορισμένο ταλέντο, το ανταγωνιστικό πλεονέκτημα δεν είναι η ταχύτητα – είναι η προετοιμασία.

Η Φαουστική Συμφωνία της Τεχνητής Νοημοσύνης

Οι Qualified Trust Service Providers στο νέο κανονιστικό πλαίσιο της ΤΝ