Στρατηγικός καταλύτης η Κυβερνοασφάλεια, για τη μετάβαση της ΔΕΗ σε μια σύγχρονη PowerTech εταιρεία

Συνέντευξη με τον Συμεών Μυστακίδη, Group Chief Information Security Officer του Ομίλου ΔΕΗ

Ο Συμεών Μυστακίδης, Group Chief Information Security Officer του Ομίλου ΔΕΗ, μιλά στο IT SECURITY PRO  για το πώς η ασφάλεια ενσωματώνεται στον πυρήνα του ψηφιακού μετασχηματισμού, τις προκλήσεις των βιομηχανικών υποδομών και το όραμα για μια ανθεκτική, καινοτόμο εταιρεία του μέλλοντος δίνοντας μεταξύ άλλων έμφαση στις νέες τεχνολογίες και στον ανθρώπινο παράγοντα.

Στα πλαίσια της ραγδαίας ανάπτυξης του Ομίλου ΔΕΗ, ποιες στρατηγικές αλλαγές έχουν γίνει στον τρόπο που προσεγγίζετε την κυβερνοασφάλεια;

Στο πλαίσιο της ραγδαίας ανάπτυξής του, ο Όμιλος ΔΕΗ έχει επανασχεδιάσει στρατηγικά την προσέγγισή του στην κυβερνοασφάλεια, συνδυάζοντας διεθνείς συνεργασίες, καινοτόμα έργα και ψηφιακές επενδύσεις. Δημιουργήθηκε το Cloud Center of Excellence, που αξιοποιεί υποδομές Azure, Τεχνητή Νοημοσύνη και εκπαιδευτικά προγράμματα, ενισχύοντας την ανθεκτικότητα και την ασφάλεια του οργανισμού. Παράλληλα, η συμμετοχή στο ευρωπαϊκό έργο XTRUST-6G φέρνει την εταιρεία στην πρωτοπορία εφαρμογής λύσεων Zero Trust και κβαντικά ασφαλών τεχνολογιών, με πιλοτικές δοκιμές σε τομείς όπως η ηλεκτροκίνηση.

Η ψηφιοποίηση του εργασιακού περιβάλλοντος και η υιοθέτηση ευφυών υποδομών όπως SCADA, GIS, δίκτυα οπτικών ινών, data centers και έργα τεχνητής νοημοσύνης, δεν ενισχύουν αυτόματα την ασφάλεια αντιθέτως, εισάγουν νέες και σύνθετες προκλήσεις που απαιτούν καινοτόμες, ευέλικτες και προσαρμοστικές λύσεις για την αποτελεσματική διαχείρισή τους. Η αντιμετώπιση αυτών των προκλήσεων προϋποθέτει ενιαία στρατηγική προσέγγιση, προηγμένα εργαλεία κυβερνοασφάλειας και συνεχή εκπαίδευση του ανθρώπινου δυναμικού.

Έτσι, η ΔΕΗ δεν αντιμετωπίζει την κυβερνοασφάλεια ως παθητική άμυνα, αλλά ως κεντρικό άξονα του μετασχηματισμού της σε Powertech εταιρεία. Με αυτόν τον τρόπο εξασφαλίζει την επιχειρησιακή συνέχεια, τη συμμόρφωση με τα διεθνή πρότυπα και κυρίως την εμπιστοσύνη των πελατών και των συνεργατών της.

Πώς συνδέεται σήμερα η ψηφιακή ασφάλεια με τη συνολική επιχειρησιακή στρατηγική και τον ψηφιακό μετασχηματισμό του Ομίλου;

Η ψηφιακή ασφάλεια αποτελεί πλέον αναπόσπαστο μέρος της επιχειρησιακής στρατηγικής και του ψηφιακού μετασχηματισμού του Ομίλου ΔΕΗ, λειτουργώντας ως θεμέλιο για την ανάπτυξη καινοτόμων υπηρεσιών και υποδομών. Στον σχεδιασμό του Ομίλου, η ασφάλεια δεν αντιμετωπίζεται ως συμπληρωματική διαδικασία, αλλά ως βασική προϋπόθεση για την αξιοποίηση τεχνολογιών όπως το cloud, η Τεχνητή Νοημοσύνη και τα έξυπνα δίκτυα. Μέσα από στρατηγικές συνεργασίες, ενσωματώνονται προηγμένα συστήματα κυβερνοπροστασίας και πλαίσια συμμόρφωσης που θωρακίζουν τις νέες ψηφιακές πλατφόρμες.

Η συμμετοχή της ΔΕΗ σε ερευνητικά έργα ενισχύει τη στρατηγική της θέση σε ευρωπαϊκό επίπεδο, προωθώντας την υιοθέτηση προηγμένων μοντέλων ασφάλειας όπως το Zero Trust και τεχνολογιών ανθεκτικών στην κβαντική υπολογιστική

Οι επενδύσεις σε έξυπνους μετρητές, δίκτυα οπτικών ινών, βιομηχανικές τεχνολογίες και data centers ενισχύουν καθοριστικά την ανθεκτικότητα και την αποδοτικότητα των ενεργειακών υποδομών. Η ψηφιακή ασφάλεια αναδεικνύεται ως κρίσιμος παράγοντας, άμεσα συνδεδεμένος με την αξιοπιστία των υπηρεσιών, τη διασφάλιση της επιχειρησιακής συνέχειας και την ενίσχυση της εμπιστοσύνης πελατών και επενδυτών. Αποτελεί στρατηγικό καταλύτη για τη μετάβαση της ΔΕΗ σε μια σύγχρονη PowerTech εταιρεία με διεθνή προσανατολισμό και τεχνολογική υπεροχή.

Ποιες είναι οι μεγαλύτερες προκλήσεις που αντιμετωπίζετε σήμερα στα βιομηχανικά περιβάλλοντα και τις μονάδες παραγωγής (ICS/SCADA, OT συστήματα);

Οι σύγχρονες βιομηχανικές εγκαταστάσεις και μονάδες παραγωγής ανά τον κόσμο αντιμετωπίζουν ολοένα και μεγαλύτερες προκλήσεις, οι οποίες απορρέουν από την αυξανόμενη πολυπλοκότητα και την κρισιμότητα των συστημάτων που τις υποστηρίζουν. Οι υποδομές αυτές έχουν σχεδιαστεί με έμφαση στη διαθεσιμότητα και την αδιάλειπτη λειτουργία, παραμερίζοντας την κυβερνοασφάλεια, γεγονός που οδηγεί στην ενσωμάτωση παλαιών τεχνολογιών, συχνά μη συμβατών με σύγχρονες μεθόδους προστασίας.

Η ανάγκη για διασύνδεση IT και OT δικτύων, καθώς και η ομοιογένεια των τεχνολογιών ελέγχου βιομηχανικού εξοπλισμού ελέγχου (ICS)  διευρύνει την επιφάνεια επίθεσης και επιτρέπει στους επιτιθέμενους να εφαρμόζουν κοινές πρακτικές, δημιουργώντας νέους κινδύνους για κρίσιμες λειτουργίες. Η απαίτηση για συνεχή παραγωγή περιορίζει τις δυνατότητες τακτικών ενημερώσεων και προγραμματισμένων διακοπών για συντήρηση, ενώ η εξάρτηση από πολλαπλούς προμηθευτές και η ετερογένεια των εγκαταστάσεων δυσχεραίνουν την ενιαία εφαρμογή πολιτικών ασφαλείας.

Οι αυξανόμενες κυβερνοαπειλές κατά κρίσιμων υποδομών, ιδιαίτερα μετά το 2015 αλλά και μέχρι και σήμερα, ανέδειξαν την ανάγκη για ενίσχυση της κυβερνοανθεκτικότητας σε παγκόσμιο επίπεδο. Οι σοβαρές επιθέσεις που σημειώθηκαν στην Ουκρανία, με στόχο ενεργειακές εγκαταστάσεις, δίκτυα επικοινωνίας και άλλες κρίσιμες λειτουργίες, αποτέλεσαν σημείο καμπής για την αντίληψη της κυβερνοασφάλειας ως θεμελιώδους πυλώνα εθνικής και επιχειρησιακής ασφάλειας. Οι επιθέσεις αυτές δεν ήταν απλώς τεχνικά συμβάντα· είχαν άμεσο αντίκτυπο στην καθημερινότητα των πολιτών, προκαλώντας διακοπές ρεύματος, αποδιοργάνωση κρίσιμων υπηρεσιών και υπονόμευση της κοινωνικής σταθερότητας. Ως εκ τούτου, καθίσταται επιτακτική η ενίσχυση των μηχανισμών ανίχνευσης, απόκρισης και ανθεκτικότητας, με στόχο την προστασία των κρίσιμων υποδομών μας από εξελισσόμενες και συνδυασμένες απειλές.

Η έλλειψη εξειδικευμένου προσωπικού στον τομέα της βιομηχανικής ασφάλειας αποτελεί μια διαρκή και κρίσιμη πρόκληση, αναδεικνύοντας την ανάγκη για συνεχή εκπαίδευση, επιμόρφωση και ανάπτυξη δεξιοτήτων. Στον τομέα της κυβερνοασφάλειας, οι επιχειρήσεις καλούνται να υιοθετήσουν καινοτόμες προσεγγίσεις για την προσέλκυση, αξιοποίηση και ανάπτυξη εξειδικευμένων ταλέντων. Η ΔΕΗ αναγνωρίζει τη στρατηγική σημασία αυτής της πρόκλησης και σχεδιάζει να δώσει ιδιαίτερη έμφαση τα επόμενα χρόνια στην ενίσχυση του ανθρώπινου δυναμικού της στον χώρο της κυβερνοασφάλειας.

Με ποιον τρόπο διασφαλίζετε την ανθεκτικότητα κρίσιμων υποδομών όπως η ηλεκτροπαραγωγή και τα δίκτυα διανομής απέναντι σε κυβερνοαπειλές;

Η ανθεκτικότητα των κρίσιμων υποδομών, όπως η ηλεκτροπαραγωγή στην περίπτωση της ΔΕΗ, διασφαλίζεται μέσω μιας πολυεπίπεδης στρατηγικής κυβερνοασφάλειας. Σε κάθε νέα ή επανασχεδιασμένη υποδομή εφαρμόζουμε το μοντέλο “Defense in Depth“, το οποίο περιλαμβάνει συνεχή παρακολούθηση, ανίχνευση και άμεση απόκριση σε περιστατικά ασφαλείας.

Το βιομηχανικό περιβάλλον θωρακίζεται μέσω αυστηρής τμηματοποίησης των δικτύων, ελεγχόμενης πρόσβασης και εφαρμογής αυστηρών πολιτικών ενημέρωσης, διαχείρισης ευπαθειών και συνεχούς παρακολούθησης. Παράλληλα, μέσα από στρατηγικές συνεργασίες με κορυφαίους τεχνολογικούς παρόχους, αξιοποιούμε προηγμένα εργαλεία cloud και τεχνητής νοημοσύνης, ενισχύοντας την προληπτική και αποτρεπτική ικανότητα των συστημάτων μας απέναντι σε σύγχρονες απειλές

Τέλος, επενδύουμε συστηματικά στην εκπαίδευση του προσωπικού και στην υλοποίηση σεναρίων προσομοίωσης, ώστε να διασφαλίζεται υψηλό επίπεδο ετοιμότητας και επιχειρησιακής συνέχειας σε περιβάλλοντα αυξημένης κρισιμότητας.

Σε ποιο βαθμό η σύγκλιση IT και OT έχει αλλάξει το μοντέλο ασφάλειας της ΔΕΗ;

Η σύγκλιση των τεχνολογιών IT και OT για τις ανάγκες λειτουργίας και ελέγχου έχει επιφέρει έναν ριζικό μετασχηματισμό στο μοντέλο ασφάλειας των βιομηχανικών περιβαλλόντων. Ενώ παραδοσιακά τα OT συστήματα λειτουργούσαν απομονωμένα, χωρίς σύγχρονες συνδέσεις και με περιορισμένη έκθεση σε εξωτερικές απειλές, η σημερινή τους διασύνδεση με εταιρικά δίκτυα και υποδομές cloud έχει διευρύνει σημαντικά την επιφάνεια επίθεσης.

Αυτός ο νέος ψηφιακός ορίζοντας απαιτεί μια ενοποιημένη και προληπτική προσέγγιση στην κυβερνοασφάλεια, με έμφαση στην πρόληψη και την ανθεκτικότητα. Στο πλαίσιο αυτό, υιοθετήθηκε στο σχεδιασμό μας το μοντέλο Zero Trust, το οποίο βασίζεται σε αυστηρή επαλήθευση ταυτοτήτων, τμηματοποίηση δικτύων και συνεχή παρακολούθηση της δραστηριότητας, ώστε να διασφαλίζεται η ακεραιότητα και η ασφάλεια των συστημάτων σε πραγματικό χρόνο.

Πώς αντιμετωπίζετε ζητήματα που αφορούν την ασφάλεια στα διάφορα στάδια της εφοδιαστικής αλυσίδας και των τρίτων παρόχων και συνεργατών;

Η ασφάλεια στην εφοδιαστική αλυσίδα και στις συνεργασίες με τρίτους αποτελεί κρίσιμο άξονα της στρατηγικής μας και αντιμετωπίζεται με συνδυασμό τεχνικών, οργανωτικών και κανονιστικών μέτρων. Εφαρμόζουμε αυστηρές πολιτικές Vendor Risk Management, με αξιολόγηση κυβερνοασφάλειας και κανονιστικής συμμόρφωσης σε όλα τα στάδια επιλογής και συνεργασίας. Τα συμβόλαια με παρόχους περιλαμβάνουν ρήτρες ασφαλείας, απαιτήσεις για ενημερώσεις λογισμικού, καθώς και διαδικασίες ελέγχου πρόσβασης στα συστήματά μας. Παράλληλα, χρησιμοποιούμε μηχανισμούς συνεχούς παρακολούθησης και ελέγχου για την έγκαιρη ανίχνευση τυχόν αδυναμιών. Επενδύουμε επίσης στην ευαισθητοποίηση και εκπαίδευση συνεργατών, ώστε να τηρούνται ενιαία πρότυπα ασφάλειας.

Ποιος είναι ο ρόλος του προσωπικού στον τομέα της κυβερνοασφάλειας και τι πολιτικές εκπαίδευσης εφαρμόζετε;

Ο ανθρώπινος παράγοντας αποτελεί κρίσιμο πυλώνα στην άμυνα απέναντι στις σύγχρονες κυβερνοαπειλές. Το προσωπικό είναι η πρώτη γραμμή προστασίας, ιδιαίτερα απέναντι σε επιθέσεις που εκμεταλλεύονται την ανθρώπινη συμπεριφορά, όπως το phishing, το social engineering και το κακόβουλο λογισμικό.

Για την ενίσχυση της ανθεκτικότητας, εφαρμόζουμε πολιτικές συνεχούς εκπαίδευσης και ευαισθητοποίησης, ώστε όλοι οι εργαζόμενοι να μπορούν να αναγνωρίζουν και να αντιμετωπίζουν πιθανούς κινδύνους. Περιλαμβάνονται τακτικά σεμινάρια, προσομοιώσεις επιθέσεων και προγράμματα e-learning, προσαρμοσμένα στα επίπεδα ευθύνης και ρόλων κάθε εργαζομένου.

Η εκπαίδευση των ομάδων που διαχειρίζονται κρίσιμες υποδομές αποτελεί στρατηγική προτεραιότητα για την ενίσχυση της κυβερνοασφάλειας. Δίνουμε ιδιαίτερη έμφαση στην ενσωμάτωση πρακτικών ασφαλούς λειτουργίας, στην έγκαιρη αναγνώριση περιστατικών και στη μείωση των λειτουργικών κινδύνων που ενδέχεται να επηρεάσουν την επιχειρησιακή συνέχεια.

Στο πλαίσιο του στρατηγικού μας σχεδιασμού, προβλέπεται η υλοποίηση εξειδικευμένων εκπαιδεύσεων με τεχνικές προσομοίωσης ΟΤ περιστατικών σε ελεγχόμενο και ασφαλές περιβάλλον δοκιμών. Στόχος είναι η απόκτηση πρακτικής εμπειρίας από τις επιχειρησιακές ομάδες στην αντιμετώπιση κρίσιμων περιστατικών, η ενίσχυση της επιχειρησιακής ετοιμότητας και η βελτίωση της ανταπόκρισης σε πραγματικές συνθήκες.

Αντιμετωπίζετε προκλήσεις στην προσέλκυση και διατήρηση εξειδικευμένων στελεχών ασφάλειας;

Η προσέλκυση και διατήρηση εξειδικευμένων στελεχών στον τομέα της κυβερνοασφάλειας αποτελεί στρατηγική πρόκληση, καθώς η διεθνής ζήτηση για τέτοια ταλέντα είναι ιδιαίτερα αυξημένη. Ο έντονος ανταγωνισμός με μεγάλους οργανισμούς και τεχνολογικές εταιρείες δυσχεραίνει την εξεύρεση έμπειρων επαγγελματιών.

Για την αντιμετώπιση αυτής της πρόκλησης, επενδύουμε σε στοχευμένα εκπαιδευτικά προγράμματα και πιστοποιήσεις, ενισχύουμε τις συνεργασίες με ακαδημαϊκά και ερευνητικά ιδρύματα, και υιοθετούμε ευέλικτα και σύγχρονα μοντέλα στελέχωσης. Στόχος μας είναι η κάλυψη των αυξανόμενων αναγκών και η ενίσχυση της επιχειρησιακής ανθεκτικότητας.

Παράλληλα, δημιουργούμε ένα ελκυστικό εργασιακό περιβάλλον που προάγει τη συνεργασία και την καινοτομία. Προσφέρουμε ανταγωνιστικά πακέτα αποδοχών και δυνατότητες ευέλικτης εργασίας, ενισχύοντας την αφοσίωση και την επαγγελματική ανάπτυξη. Με αυτόν τον τρόπο, επιδιώκουμε όχι μόνο να προσελκύουμε αλλά και να διατηρούμε μακροπρόθεσμα κορυφαία στελέχη στον χώρο της ασφάλειας.

Πώς επηρεάζουν κανονισμοί όπως το NIS2 και το Cyber Resilience Act τη στρατηγική σας;

Κανονισμοί όπως το NIS2 και το Cyber Resilience Act διαμορφώνουν σημαντικά τη στρατηγική μας στον τομέα της κυβερνοασφάλειας, εισάγοντας αυστηρότερες απαιτήσεις για την προστασία κρίσιμων υποδομών και την ενίσχυση της ψηφιακής ανθεκτικότητας. Αν και οι τεχνικές απαιτήσεις βασίζονται σε διεθνώς αναγνωρισμένες βέλτιστες πρακτικές, οι εν λόγω κανονισμοί δεν αποτελούν τον κύριο μοχλό του σχεδιασμού μας. Αντιθέτως, λειτουργούν ως μηχανισμός επιβεβαίωσης ότι οι αρχές και οι πρακτικές που εφαρμόζουμε είναι ορθά δομημένες, τεχνικά τεκμηριωμένες και ευθυγραμμισμένες με τις σύγχρονες απαιτήσεις του κανονιστικού πλαισίου. Η συμμόρφωση με τους κανονισμούς ενισχύει την αξιοπιστία της στρατηγικής μας, χωρίς να περιορίζει την ευελιξία και την καινοτομία στον σχεδιασμό.

Η ΔΕΗ προσαρμόζει τις πολιτικές της ώστε να διασφαλίζεται πλήρης συμμόρφωση, ενισχύοντας τα πλαίσια διακυβέρνησης, διαχείρισης κινδύνων και αναφοράς περιστατικών. Αυτό συνεπάγεται αυξημένες επενδύσεις σε συστήματα παρακολούθησης, δοκιμές ανθεκτικότητας και βελτιστοποίηση των διαδικασιών απόκρισης σε συμβάντα.

Επιπλέον, η συμμόρφωση με το Cyber Resilience Act ενισχύει την ενσωμάτωση αρχών ασφάλειας ήδη από το στάδιο σχεδιασμού νέων ψηφιακών λύσεων (security by design), διασφαλίζοντας ότι η ασφάλεια δεν είναι προσθήκη εκ των υστέρων αλλά θεμελιώδες στοιχείο της αρχιτεκτονικής τους.

Οι κανονισμοί αυτοί λειτουργούν όχι ως περιορισμοί, αλλά ως επιταχυντές του ψηφιακού μας μετασχηματισμού, ενισχύοντας την εμπιστοσύνη των πελατών, των επενδυτών και των στρατηγικών μας συνεργατών.

Ποιες τεχνολογίες ή τάσεις θεωρείτε ότι θα καθορίσουν την ασφάλεια στη βιομηχανία τα επόμενα χρόνια και πώς προετοιμάζεται η ΔΕΗ;

Τα επόμενα χρόνια, η ασφάλεια στον βιομηχανικό τομέα αναμένεται να επαναπροσδιοριστεί μέσα από την υιοθέτηση τεχνολογιών αιχμής και την αξιοποίηση αναδυόμενων τάσεων. Μεταξύ αυτών, η Τεχνητή Νοημοσύνη θα διαδραματίσει καθοριστικό ρόλο στην έγκαιρη ανίχνευση και πρόβλεψη απειλών, ενισχύοντας την προληπτική προστασία των συστημάτων. Παράλληλα, η κβαντικά ασφαλής κρυπτογραφία θα αποτελέσει θεμέλιο για την ασφάλεια δεδομένων σε ένα περιβάλλον αυξανόμενων υπολογιστικών δυνατοτήτων. H αυτοματοποιημένη και ενοποιημένη διαχείριση βιομηχανικών συστημάτων σαν τεχνολογική τάση αναμένεται να προσφέρει σημαντικά οφέλη σε επίπεδο ευελιξίας και αποδοτικότητας. Ωστόσο, συνοδεύεται και από νέες προκλήσεις στον τομέα της κυβερνοασφάλειας, ιδιαίτερα όσον αφορά την προστασία κρίσιμων υποδομών. Για τον λόγο αυτό, ο αυστηρός σχεδιασμός με βάση διεθνή πρότυπα και κανονιστικά πλαίσια πρέπει να αποτελεί βασική προτεραιότητα. Η εφαρμογή τεχνικά τεκμηριωμένων αρχών και η ενσωμάτωση μηχανισμών ασφάλειας από το στάδιο του σχεδιασμού είναι καθοριστικής σημασίας, καθώς οι υποδομές αυτές ενδέχεται να διαδραματίσουν κρίσιμο ρόλο στη διασφάλιση της επιχειρησιακής συνέχειας και της εθνικής ασφάλειας στο μέλλον.

Η ΔΕΗ προετοιμάζεται ενεργά για αυτή τη μετάβαση, επενδύοντας σε προηγμένα εργαλεία παρακολούθησης και ανάλυσης, αξιοποιώντας τεχνολογίες AI για την έγκαιρη απόκριση σε κυβερνοεπιθέσεις. Μέσω της συμμετοχής σε ευρωπαϊκά ερευνητικά έργα, δοκιμάζει καινοτόμες λύσεις σε ελεγχόμενο περιβάλλον, ενώ οι στρατηγικές συνεργασίες με τεχνολογικούς εταίρους ενισχύουν τις δυνατότητες cloud και την ψηφιακή προστασία.

Παράλληλα, δίνεται ιδιαίτερη έμφαση στην εκπαίδευση του προσωπικού και στην καλλιέργεια κουλτούρας ασφάλειας σε όλα τα επίπεδα του οργανισμού.