Η τήρηση βασικών κανόνων «κυβερνο-υγιεινής», όπως οι τακτικές ενημερώσεις λογισμικού και λειτουργικών συστημάτων, οι ισχυροί κωδικοί, η ενεργοποίηση του δεύτερου παράγοντα ταυτοποίησης και η προσοχή στο phishing, παραμένουν ευθύνη κάθε οργανισμού, επιχείρησης και χρήστη, αναφέρει ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας, επισημαίνοντας πως στον νέο ψηφιακό κόσμο, η κυβερνοασφάλεια πρέπει να γίνει μέρος της κουλτούρας όλων.
Σε συνέντευξή του στα Μακεδονικά Νέα, ο κ.Μπλέτσας «δείχνει» τη μέθοδο του phishing, του ηλεκτρονικού «ψαρέματος» δηλαδή, ως την κύρια απειλή για τις μικρομεσαίες επιχειρήσεις, τονίζοντας ότι η έλλειψη ενημέρωσης, η χρήση ξεπερασμένων υπολογιστών και λειτουργικών συστημάτων που δεν ενημερώνονται πλέον και η γενικότερη ελλιπής ψηφιακή ωριμότητα, είναι οι παράγοντες που τις εκθέτουν στους ψηφιακούς κινδύνους.
Ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, μιλάει για τη νέα πραγματικότητα που δημιουργεί η Α.Ι, η τεχνητή νοημοσύνη, που πλέον χρησιμοποιείται τόσο στις διαδικτυακές επιθέσεις και στο phishing, όσο και ως εργαλείο για το γράψιμο κακόβουλου κώδικα, από άτομα που κανονικά δεν γνωρίζουν τον τρόπο. Επισημαίνει ωστόσο πως η Α.Ι μπορεί να λειτουργήσει και για την άμυνα, βοηθώντας τους χρήστες με συγκεκριμένες οδηγίες.
Επίσης, εξηγεί γιατί η κυβέρνοασφάλεια μπορεί να αποτελέσει μια επενδυτική ευκαιρία για τη χώρα μας και το κατά πόσο έχει κάνει βήματα η Ελλάδα στον τομέα αυτόν από στρατιωτική άποψη.
Μιλώντας για την Αρχή, αναφέρεται σε συγκεκριμένα παραδείγματα που αφορούν στον ρόλο της ως συμβουλευτικού και ρυθμιστικού οργάνου, ενώ μιλάει για τις αυστηρές συστάσεις που έκανε στο Ελληνικό Δημόσιο το οποίο κάλεσε να υιοθετήσει την ταυτοποίηση δύο παραγόντων στις ηλεκτρονικές του υπηρεσίες.
Ο κ. Μπλέτσας τέλος, σκιαγραφεί και το πλαίσιο στο οποίο θα κινείται η νέα Εθνική Στρατηγική Κυβερνοασφάλειας η οποία θα δημοσιευτεί την 1η Ιανουαρίου και η οποία όπως λέει, θα περιλαμβάνει τις νέες απειλές, αλλά και για πρώτη φορά, πολλούς περισσότερους μετρήσιμους στόχους.
Ακολουθεί το πλήρες κείμενο της συνέντευξης του κ. Μιχάλη Μπλέτσα, στον Αλέξανδρο Αλεξιάδη:
Ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας Μιχάλης Μπλέτσας
-Η χώρα μας βρίσκεται σε μια μεταβατική φάση ως προς την υλοποίηση του ψηφιακού μετασχηματισμού. Ωστόσο, κυρίως οι μικρομεσαίες επιχειρήσεις αντιμετωπίζουν έναν διαρκώς αυξανόμενο κίνδυνο κυβερνοεπιθέσεων. Αυτό έχει αναδειχθεί και στο παρελθόν. Έχουν γίνει βήματα; Υπάρχει μια στρατηγική έτσι ώστε οι επιχειρήσεις να μπορέσουν να προστατευτούν αποτελεσματικά;
Κοιτάξτε, ειδικά οι μικρομεσαίες επιχειρήσεις έχουν μια πάρα πολύ μικρή επιφάνεια έκθεσης στον κίνδυνο. Η επιφάνεια αυτή λέγεται συνήθως fishing.
Δηλαδή θα πάρεις ένα κακόβουλο μήνυμα, θα ακολουθήσεις έναν σύνδεσμο και θα εγκαταστήσεις κάτι στον υπολογιστή σου το οποίο θα σου κάνει ζημιά στη συνέχεια ή θα σου κρυπτογραφήσει όλα τα αρχεία, θα μπει στο τοπικό δίκτυό σου, κτλ. Επομένως, εκεί μπορούμε να κάνουμε δύο πράγματα. Εμείς, από «μακριά», όταν βλέπουμε καμπάνιες μεγάλης έκτασης, παράδειγμα πρόσφατα, πριν από λίγες μέρες, κυκλοφόρησε ένα SMS που σε παρέπεμπε σε έναν απατηλό ιστότοπο που μιμείται το Gov.gr, για να σου πάρουν τους κωδικούς που χρησιμοποιείς στο Gov.gr.
Εκεί, αν δούμε τέτοιου είδους μεγάλες καμπάνιες, προσπαθούμε να φτιάξουμε τώρα το νομικό πλαίσιο, έτσι ώστε να μπορούμε να κόβουμε αυτές τις προσβάσεις για όλη τη χώρα.
Από εκεί και πέρα, όμως - αυτό είναι δευτερεύον - το πρωτεύον είναι η ενημέρωση που πρέπει να έχουν οι μικρομεσαίες επιχειρήσεις, για να μην πέφτουν θύματα τέτοιας απάτης.
Και το να μην πέφτεις θύμα τέτοιας απάτης, σημαίνει ότι δεν «κλικάρεις» σε πράγματα τα οποία δεν περιμένεις, φαίνονται πολύ καλά για να είναι αληθινά κτλ. Εκεί είναι πιο πολύ χακάρισμα ανθρώπινου εγκεφάλου και λιγότερο συστημάτων. Επομένως, δεν υπάρχει τρόπος για να προστατευτεί ολόκληρη η χώρα χωρίς να κάνουμε όλοι το κομμάτι μας στην κυβερνοασφάλεια. Η κυβερνοασφάλεια είναι ομαδικό «σπορ».
Απ' την άλλη, όταν έχεις πεπαλαιωμένο εξοπλισμό, για παράδειγμα, μάλλον έχετε διαβάσει ότι τα Windows 10, που χρησιμοποιούνται ευρέως ακόμα, δεν παίρνουν αναβαθμίσεις ασφαλείας πλέον. Εκεί, μια μικρομεσαία επιχείρηση όταν πρέπει να αλλάξει 5 PC πχ, έχει ένα πρόβλημα γιατί τα Windows 11 δεν «μπαίνουν». Επομένως χρειάζεται μία προσπάθεια και μία δαπάνη, αλλά είναι προφανές ότι είναι ένα κόστος λειτουργίας. Αν θέλεις να έχεις συστήματα πληροφορικής, πρέπει να τα συντηρείς. Πρέπει να υπολογίζεις ότι όλα αυτά τα συστήματα έχουν ένα κόστος συντήρησης. Αυτό στην Ελλάδα δεν το κάνουμε. Δηλαδή, βλέπετε, υπήρχαν ένα σωρό προγράμματα για μικρομεσαίες επιχειρήσεις να αγοράσουν εξοπλισμό.
-Δεν υπήρχε ενδιαφέρον για αυτά τα προγράμματα;
Αυτά έγιναν και πήραν εξοπλισμό. Όλα αυτά τα χρόνια. Αυτός ο εξοπλισμός όμως δεν είναι τελείως δωρεάν. Από ένα σημείο και πέρα έχει ένα κόστος συντήρησης. Όμως οι περισσότεροι δεν κρατάνε αναβαθμισμένα τα συστήματα τους… Με στεναχωρεί που πχ πέρυσι, άκουσα για μία φαρμακαποθήκη η οποία «κλειδώθηκε» πολύ εύκολα γιατί χρησιμοποιούσαν Windows XP. Μια συνοικιακή φαρμακαποθήκη. Κάτι το οποίο δεν είναι στην εποπτεία τη δική μας. Μία μικρομεσαία επιχείρηση, η οποία όμως έχει πολύ νευραλγική θέση. Κάποιοι άνθρωποι για κάποιες μέρες δεν πήραν τα φάρμακα τους εκεί.
-Αυτό χαρακτηρίζεται ως ελλιπής ψηφιακή ωριμότητα από τις επιχειρήσεις;
Ναι… Δεν δίνουμε σημασία επειδή σου λέει ο άλλος «δουλεύει αυτό, μην το πειράξεις. Μου κάνει τη δουλειά μου, γιατί να το πειράξω, γιατί να το αναβαθμίσω κλπ». Επομένως, το πρώτο δίδαγμα είναι ότι πρέπει ο εξοπλισμός μας να είναι «τρέχων» όσον αφορά τις αναβαθμίσεις της ασφαλείας. Αν τρέχουμε Windows 10 ας πούμε εσωτερικά στο δίκτυό μας, έχουμε ένα πρόβλημα. Το ίδιο συνέβη στα ΕΛΤΑ. Το ίδιο συνέβη στον Δήμο Θεσσαλονίκης. Όπου επιθέσεις οι οποίες μπορούσαν να είχαν αποφευχθεί αν ο εξοπλισμός ήταν «τρέχων», δημιούργησαν τεράστιο πρόβλημα λειτουργικότητας.
Επομένως, εμείς μπορούμε να κάνουμε κάποια πράγματα, αλλά από εκεί και πέρα, το να ακολουθήσεις κάποιους βασικούς κανόνες «κυβερνο-υγιεινής» είναι στην ευθύνη του καθενός. Δεν μπορώ εγώ να πάω να τους επιβάλλω αυτούς τους κανόνες, ούτε μπορώ να πάω να φτιάξω τα συστήματα όλων των μικρομεσαίων επιχειρήσεων στην Ελλάδα.
Από την άλλη, επειδή όλο και περισσότερες υπηρεσίες παρέχονται μέσω του νέφους διαδικτυακά, δηλαδή μπαίνεις στο σύστημα διαχείρισης από το web browser, δεν έχεις τοπικά δεδομένα, δεν αποθηκεύεις στοιχεία κτλ, αυτό προφανώς βολεύει από άποψη ασφάλειας, διότι κάποιος άλλος είναι υπεύθυνος για την ασφάλεια και συνήθως το κάνει καλύτερα από εσένα που δεν έχεις τις επιλογές. Επομένως και αυτό είναι μία λύση για τις μικρομεσαίες επιχειρήσεις, να χρησιμοποιούν συστήματα τα οποία είναι στο υπολογιστικό νέφος και τα οποία συντηρούν κάποιοι άλλοι συστηματικά.
Ο κύριος, αυτή τη στιγμή πανευρωπαϊκά και στην Ελλάδα, τρόπος διείσδυσης στα συστήματα των εταιριών και τα περιστατικά ασφάλειας, είναι το phishing. Αυτά τα απατηλά μηνύματα. Δεν μπορώ εγώ να εμποδίσω όλα τα απατηλά μηνύματα. Κάνουμε διάφορες δράσεις έτσι ώστε να κόβονται κάποια από αυτά και να μην φτάνουν στους παραλήπτες. Αλλά αυτές οι δράσεις μπορούν να έχουν μόνο περιορισμένο αποτέλεσμα. Κάποιος που σε ξέρει πολύ καλά - και δυστυχώς όλοι αφήνουμε ένα ψηφιακό αποτύπωμα πίσω μας, κάποιοι πολύ περισσότερο από ό,τι θα έπρεπε, διότι βγάζουμε όλη μας τη ζωή φόρα παρτίδα στα social media, για τον απατεώνα να μας γνωρίσει καλύτερα και να μας πει ακριβώς την ιστορία που θα είναι πιο εύκολο για εμάς να πιστέψουμε - θα προσπαθήσει να σε ξεγελάσει. Εμείς δεν μπορούμε να κάνουμε κάτι.
-Και η χρήση της AI φαντάζομαι ότι διευκολύνει πάρα πολύ.
Αυτό σε κάνει ακόμα περισσότερο ευάλωτο, βέβαια. Ο «Νιγηριανός πρίγκιπας» που είναι μακρινός σας συγγενής και θέλει να σας δώσει την κληρονομιά του, μιλάει πολύ καλά ελληνικά πλέον μέσω του AI. Ή η απατηλή ιστοσελίδα, ας πούμε, μοιάζει πάρα πολύ με το site της τράπεζάς σας πλέον. Διότι το AI βοηθάει τον κάθε απατεώνα να γίνει πολύ καλός ή καλός προγραμματιστής.
- Εκτός από τις μικρομεσαίες, μια έρευνα της Kaspersky αναφέρει ότι η Ελλάδα είναι πρώτη στη Νότια Ευρώπη σε συχνότητα επιθέσεων με στόχο βιομηχανικά συστήματα….
Αυτά είναι σαχλαμάρες. Υπάρχει μεγάλο πρόβλημα, υπάρχει ψηφιακός αναλφαβητισμός, υπάρχουν παλιά συστήματα, αλλά το γεγονός ότι τα antivirus λογισμικά της Kaspersky έπιασαν κάτι, επειδή ο κόσμος χρησιμοποιεί εδώ περισσότερο Kaspersky από ότι σε άλλα μέρη, δεν λέει κάτι.. H Kaspersky καταρχήν είναι Ρώσικη εταιρεία. Επομένως, το τι λέει κάθε εταιρεία, πρέπει να είμαστε και λίγο υποψιασμένοι και να καταλάβουμε και ποιο είναι το συμφέρον της.
Για να μην παρεξηγηθώ. Το πρόβλημα είναι σοβαρό και υπαρκτό. Και ο τελευταίος άνθρωπος που θα σας πει ότι είναι ικανοποιημένος από το επίπεδο ασφάλειας της χώρας είμαι εγώ. Δεν είμαι καθόλου ικανοποιημένος. Αλλά για μένα, από το να πας να αγοράσεις antivirus Kaspersky για να βάλεις στον υπολογιστή σου - ο οποίος τρέχει Windows 10 και δεν παίρνει αναβαθμίσεις ασφαλείας, επομένως το καινούργιο malware, το οποίο δεν το έχει δει η Kaspersky ακόμα, θα μπει κατευθείαν μέσα στον υπολογιστή σου - είναι πολύ πιο σημαντικό να αναβαθμίσεις τον υπολογιστή σου και να έχεις καινούργιο εξοπλισμό και να τον κρατάς αναβαθμισμένο, από το να πας απλώς να αγοράσεις ένα αντι-ιϊκό και να πεις «είμαι προστατευμένος».
Για παράδειγμα, στη διάρκεια της Black Friday, είχαμε μία μεγάλη επίθεση άρνησης υπηρεσίας (DoS/DDoS) στη χώρα. Είδατε και οι τράπεζες είχαν πρόβλημα με τις συναλλαγές κτλ. Ήρθε ο εκπρόσωπος της εταιρείας που φτιάχνει το σύστημα προστασίας που χρησιμοποιούμε στο Gov.gr και το καταμέτρησε ως εκατομμύρια επιθέσεις. Ακούγεται πολύ εντυπωσιακό, επειδή είχαμε κίνηση η οποία «μπούκωνε» την πρόσβαση σε πολλούς σέρβερς στην Ελλάδα από εκατομμύρια άλλες διευθύνσεις. Έτσι γίνονται. Αυτό όμως δεν είναι εκατομμύρια επιθέσεις, μία επίθεση είναι. Σαν να λέμε ότι στο Βατερλό έγιναν εκατομμύρια μάχες ή δέκα χιλιάδες μάχες ή εκατό χιλιάδες μάχες, επειδή υπήρχαν εκατό χιλιάδες στρατιώτες. Μία μάχη έγινε.
Ναι, οι vendors (προμηθευτές/πωλητές τεχνολογικών προϊόντων και υπηρεσιών) με εκνευρίζουν πολύ γιατί θέλουν να δημιουργούν ένα κλίμα. Και δυστυχώς αυτά τα επαναλαμβάνει και πάρα πολύς κόσμος. Δεν λέω ότι δεν έχουμε πρόβλημα, να μην παρεξηγηθώ - το τονίζω ξανά - αλλά αν δείτε σε άλλες χώρες τι γίνεται, που είναι πιο πλούσιες από εμάς, δεν έχει καμία σχέση το επίπεδο στην Ελλάδα.
- Και στις Ηνωμένες Πολιτείες, μαζικές επιθέσεις και τεράστιο το κόστος…
Και στην Ευρώπη και στη Βόρεια Ευρώπη. Εμείς δεν είμαστε ακριβώς ο πιο πλούσιος στόχος.
Οι κυβερνο-απατεώνες γενικά από το εξωτερικό, πάνε πιο πολύ εκεί που υπάρχουν τα λεφτά. Εμάς μας απασχολούν άλλα πράγματα εδώ περισσότερο, τα οποία δεν τα βλέπει ο κόσμος. Και δεν τα βλέπει και η Kaspersky....
- Κάποιες στιγμές έχουμε έξαρση στις πολιτικές κυρίως επιθέσεις από ξένες χώρες.
Αυτό δεν είναι έξαρση, αυτό υπήρχε παραδοσιακά, διότι γενικότερα η Ελλάδα είναι πάρα πολύ ευάλωτη στην παραπληροφόρηση. Έχει το μεγαλύτερο ποσοστό ανθρώπων που χρησιμοποιούν τα μέσα κοινωνικής δικτύωσης ως πρωταρχικό μέσο ενημέρωσης, επομένως, εκ των πραγμάτων, όταν το κάνεις αυτό, είσαι και πιο ευάλωτος σε εκστρατεία παραπληροφόρησης.
-Αντιμετωπίζετε εσείς, επεμβαίνετε σε τέτοια περιστατικά;
Δεν έχουμε επέμβει ακόμα. Είναι στα σχέδιά μας να επέμβουμε. Δεν είναι δικιά μας αρμοδιότητα, όμως. Είναι αρμοδιότητα της Εθνικής Επιτροπής Τηλεπικοινωνιών και Ταχυδρομείων.
-Η κυβέρνοασφάλεια μπορεί να αποτελέσει μια επενδυτική ευκαιρία για τη χώρα μας;
Τεράστια. Καταρχήν, έχουμε πολλές εταιρείες που δραστηριοποιούνται ορμώμενες από την Ελλάδα στο εξωτερικό, στον τομέα της κυβερνοασφάλειας. Ξέρετε, όταν θέλουμε επενδυτικές ευκαιρίες, όταν μιλάμε για επενδυτικές ευκαιρίες, για επιχειρηματικές ευκαιρίες, πάντα θα πρέπει να κοιτάμε προς τα έξω. Η Ελλάδα είναι μια μικρή και κακή αγορά. Και μικρή και κακή. Επομένως, οι υγιείς εταιρείες θα πρέπει να κοιτάνε πώς θα δραστηριοποιηθούν στο εξωτερικό.
Και έχουμε πολλά παραδείγματα εταιρειών, ειδικά κυβερνοασφάλειας, οι οποίες παρέχουν υπηρεσίες και στην Ευρώπη και στη Μέση Ανατολή.
- Και είναι επιτυχημένες στο έργο τους;
Έχουν επιτυχία και, παρεμπιπτόντως, η Ευρωπαϊκή Οδηγία - την οποία η Ελλάδα ήταν από τις πρώτες χώρες που ενσωμάτωσαν στο εθνικό τους δίκαιο, από τα πρώτα πράγματα που έκανε η Εθνική Αρχή Κυβερνοασφάλειας - δημιουργεί απαιτήσεις για τις μεγαλύτερες οντότητες και τις σημαντικές, οι οποίες κάπως πρέπει να καλυφθούν.
Επομένως, πεδίον δόξης λαμπρόν για τις εταιρείες που παρέχουν υπηρεσίες κυβερνοασφάλειας.
-Τώρα έχουμε και μία άλλη αγορά παράλληλη, σε σχέση με τις κυβερνοεπιθέσεις. Έχουμε την ασφάλιση έναντι κινδύνων από κυβερνοεπιθέσεις.
Ισχύει. Αλλά αυτό, όπως καταλαβαίνετε, αφορά μεσαίες και μεγάλες επιχειρήσεις ως επί το πλείστον.
-Παρέχει κάποιου είδους ασφάλεια….
Προφανώς. Είναι ένας κίνδυνος υπαρκτός και όπως σε όλους τους υπόλοιπους κίνδυνους κάποιος μπορεί να ασφαλιστεί και κάποιοι βγάζουν λεφτά κάνοντας αυτή τη δουλειά. Υπάρχουν ασφάλειες για οποιαδήποτε ρίσκα.
- Στο επίπεδο της στρατιωτικής χρήσης, η Ελλάδα έχει κάνει κάποια βήματα αξιοποίησης της τεχνολογίας;
Και έχει κάνει και μπορεί να κάνει και θα κάνει αναγκαστικά. Ξέρετε, οι περισσότερες τεχνολογίες πλέον είναι διττής χρήσης. Η Ελλάδα εδώ και πολλά χρόνια έχει μονάδα κυβερνοασφάλειας, Διεύθυνση Κυβερνοάμυνας λέγεται, στο ΓΕΕΘΑ, με την οποία έχουμε και πάρα πολύ καλή συνεργασία. Η Ελλάδα αποτελεί παράδειγμα στο συγκεκριμένο θέμα. Ενώ στις υπόλοιπες χώρες η συνεργασία μεταξύ πολιτικών και στρατιωτικών αρχών είναι δύσκολη, σε εμάς ο τομέας της κυβερνοασφάλειας είναι από τα καλά και ισχυρά μας σημεία.
Και αυτοί έχουν τα ίδια προβλήματα προφανώς που αντιμετωπίζει ο χώρος της κυβερνοασφάλειας και ειδικά στο δημόσιο, όπως η έλλειψη προσωπικού που είναι το μεγαλύτερο πρόβλημα. Αυτό είναι ένα παγκόσμιο πρόβλημα όμως και δεν είναι ελληνική πρωτοτυπία. Και είναι και κάτι στο οποίο εμείς δραστηριοποιούμαστε πολύ έντονα. Πρόσφατα κερδίσαμε ένα μεγάλο ευρωπαϊκό έργο για να κάνουμε Ακαδημία Δεξιοτήτων Κυβερνοασφάλειας στην Ελλάδα και το οποίο θα το αντιμετωπίσουμε έτσι.
Δηλαδή εγώ, την Αρχή τη βλέπω και λίγο σαν εκπαιδευτικό κέντρο. Όταν θα αρχίσουμε να λειτουργούμε πλήρως δηλαδή, θα είμαστε και ένα μεγάλο εκπαιδευτικό κέντρο.
- Πάνω σε αυτό το κομμάτι ο ρόλος των ελληνικών πανεπιστημίων ποιος είναι;
Τα ελληνικά πανεπιστήμια έχουν ήδη προγράμματα μεταπτυχιακά για την κυβερνοασφάλεια και έχουμε και απόφοιτους αυτών των προγραμμάτων. Και προφανώς θα παίξουν ένα πολύ σημαντικό ρόλο, αλλά ξέρετε η κυβερνοασφάλεια είναι κάτι που αλλάζει πολύ γρήγορα. Δηλαδή η κατάρτιση θα πρέπει να είναι συνεχής.
-Πάντως είναι ένα πεδίο που φαντάζομαι εξελίσσεται.
Συνεχώς. Επομένως γι' αυτό σας λέω, ότι από τη στιγμή που δουλεύεις στην κυβερνοασφάλεια θα πρέπει να θεωρείς τον εαυτό σου μαθητή. Για την υπόλοιπη σου ζωή.
-Είχατε μιλήσει στο συνέδριο του ΣΕΠΕ για το πόσο εύκολο είναι πλέον να γράφει κάποιος κώδικα, χωρίς να ξέρει, με τη βοήθεια της Α.Ι. Αλλάζει τα δεδομένα αυτό;
Υπάρχει μια μεγάλη ασυμμετρία αυτή τη στιγμή στο πόση βοήθεια δίνει η τεχνητή νοημοσύνη στους επιτιθέμενους, σε σχέση με τους αμυνόμενους. Διότι οι επιτιθέμενοι πλέον, με τη χρήση της τεχνητής νοημοσύνης, χωρίς πολλές τεχνικές δεξιότητες, μπορούν να κάνουν μια καμπάνια, η οποία αν γίνει αρκετά μαζικά θα είναι επιτυχημένη. Κάποιος θα πέσει θύμα.
Εμείς απ' την άλλη πλευρά δεν μπορούμε. Δεν έχουμε τη δυνατότητα του σφάλματος. Πρέπει να τους πιάνουμε όλους για να είμαστε επιτυχημένοι. Επομένως υπάρχει μια πολύ μεγάλη ασυμμετρία εκεί, διότι αυτό έχει αυξήσει και την ταχύτητα και την ποσότητα των επιθέσεων συνολικά παγκοσμίως.
-Σε ατομικό επίπεδο μπορεί η χρήση της τεχνητής νοημοσύνης να λειτουργήσει σαν άμυνα;
Βεβαίως, όταν έχεις πρόσβαση σε ένα από τα τελευταία γλωσσικά μοντέλα και ψάχνεις για κάποιες τεχνικές πληροφορίες, για παράδειγμα «πώς να στήσω αυτό» «πώς να αποφύγω το άλλο», δουλεύει πάρα πολύ καλά. Οι τεχνικές οδηγίες που θα σου δώσει, μπορούν να σε επιταχύνουν πάρα πολύ.
Ειδικά αν μπορείς να τις αξιολογήσεις. Για μένα π.χ, το Gemini της Google το χρησιμοποιώ κάθε μέρα σχεδόν για τεχνικές πληροφορίες. Διότι είναι πολύ πιο εύκολο από να ανατρέξεις στο manual. Του κάνω την ερώτηση με φυσική γλώσσα και τις περισσότερες φορές απαντάει πολύ εύστοχα. Επομένως με επιταχύνει. Και αν μου πει σαχλαμάρα μπορώ να την καταλάβω.
Ο επιτιθέμενος δεν τον νοιάζει. Αν του πει και κάποια σαχλαμάρα και δεν δουλέψει, δεν έχει πρόβλημα, τα υπόλοιπα εννιά θα δουλέψουν. Αυτή η ασυμμετρία δηλαδή που έχεις και το γεγονός ότι πολλές φορές σου λέει παραισθησιακά πράγματα, hallucinations, για τον επιτιθέμενο δεν είναι πρόβλημα, για μένα είναι πρόβλημα. Δεν μπορώ να βασιστώ απόλυτα. Δηλαδή πρέπει την πληροφορία να την αξιολογήσω.
-Τώρα όσον αφορά τη νέα Εθνική Στρατηγική Κυβερνοασφάλειας;
Σε σχέση με την προηγούμενη η οποία λήγει τώρα, τον Δεκέμβριο οι βασικές διαφορές είναι ότι έχει πια πολύ περισσότερους μετρήσιμους στόχους.
Έχουμε μέτρα, διότι δεν μπορείς να βελτιώσεις κάτι που δεν μετράς. Παίρνει υπόψη και τις καινούργιες απειλές που έχουν εμφανιστεί.
-Με βασικές ποιες απειλές;
Την A.I και κβαντικούς υπολογιστές. Μέχρι το 2030 δηλαδή, οι κρίσιμες υποδομές θα πρέπει να έχουν κρυπτογράφηση η οποία να μην «σπάει» με τους κβαντικούς υπολογιστές. Γενικά είναι αρκετά πιο συγκεκριμένοι οι στόχοι. Λιγότερο ευχολόγιο και περισσότερα και συγκεκριμένα μέτρα και στόχους.
-Η επίτευξη των στόχων της Εθνικής Στρατηγικής Κυβερνοασφάλειας επαφίεται κυρίως σε ποιους;
Στον πατριωτισμό των Ελλήνων, όπως λέει το Σύνταγμα, επαφίεται και αυτή. Εμείς κοιτάξτε, είμαστε ένα συμβουλευτικό και ρυθμιστικό όργανο. Τώρα αν «εσύ» δεν θες να πάρεις τα απαραίτητα μέτρα, εγώ ως Αρχή σε κάποιους μπορώ να το επιβάλλω, αλλά για τον περισσότερο κόσμο η Αρχή έχει συμβουλευτικό ρόλο.
-Χρειάστηκε να επιβάλλετε κάτι στο τελευταίο διάστημα;
Έχουμε αρχίσει… Για παράδειγμα, βγάλαμε πρόσφατα, την περασμένη εβδομάδα μια ανακοίνωση σε πολύ έντονο τόνο, ότι επιτέλους στο Ελληνικό Δημόσιο ενεργοποιήστε τον δεύτερο παράγοντα ταυτοποίησης (μέθοδος ασφαλείας που απαιτεί δύο διαφορετικά στοιχεία για την πρόσβαση σε έναν λογαριασμό, εκτός από τον απλό κωδικό πρόσβασης), το οποίο είναι από τα υποχρεωτικά μέτρα της NIS2 (Ευρωπαϊκή οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών). Πρόστιμα δεν έχουμε βάλει ακόμα, ούτε έχουμε ορίσει, διότι καταλαβαίνουμε και το περιβάλλον και την ωριμότητα του περιβάλλοντος μέσα στο οποίο λειτουργούμε. Δηλαδή πριν αρχίσεις να βάζεις πρόστιμα, θα πρέπει να ξέρεις ότι ο άλλος έχει την τεχνική δυνατότητα να το κάνει σχετικά εύκολα.
Για το συγκεκριμένο θέμα, στο ελληνικό δημόσιο, υπάρχει αυτή η δυνατότητα να γίνει, επομένως αρχίζουμε και «φωνάζουμε» σιγά σιγά, διότι ο δεύτερος παράγοντας ταυτοποίησης που είναι κάτι για όλους, κόβει το 90% των επιθέσεων από κλεμμένους κωδικούς.
-Βέβαια υπάρχει τρόπος παράκαμψης…
Πάντα υπάρχουν τρόποι παράκαμψης. Ξέρετε στην ασφάλεια δεν υπάρχει τίποτα που να είναι 100% ασφαλές. Αλλά γνωρίζετε πως όταν εσείς είστε 90% ασφαλείς και ο άλλος είναι 70%, στόχος θα γίνει ο άλλος πρώτα. Όταν σε κυνηγάει η αρκούδα αρκεί να μην είσαι ο τελευταίος. Τον τελευταίο θα φάει.
-Κάτι άλλο που θεωρείτε ότι είναι σημαντικό ο κόσμος να γνωρίζει;
Εμείς θα έχουμε πετύχει όταν η κυβερνοασφάλεια θα έχει φύγει από το μυαλό των ανθρώπων σαν μια σειρά από μέτρα ας πούμε - τεχνικά και κανονισμοί - που επιβάλλουμε στον κόσμο και γίνει κομμάτι της κουλτούρας μας.
Το σπίτι μας δεν φωνάζουμε κλειδαρά για να μας το κλειδώνει κάθε βράδυ. Γι' αυτό ακριβώς σας λέω ότι είναι θέμα να γίνει κουλτούρα, γιατί η ζωή μας πια είναι σε μεγάλο βαθμό στο ψηφιακό επίπεδο. Και θα πρέπει να αρχίσουμε να σκεφτόμαστε και έτσι. Είμαστε σε μια μεταβατική περίοδο και ως προς τον κόσμο. Έχουμε κάποια πλεονεκτήματα στην Ελλάδα τα οποία πρέπει να τα εκμεταλλευτούμε, ένα εκ των οποίων βασικό, είναι η διαγενεακή επικοινωνία που είναι σε πολύ μεγαλύτερο βαθμό από τα υπόλοιπα ευρωπαϊκά κράτη. Επομένως βοηθήστε τον παππού και τη γιαγιά.
