Σε έναν κόσμο που βασίζεται ολοένα και περισσότερο στην τεχνολογία, υπάρχει ένα ερώτημα που συνεχίζει να μας προβληματίζει. Eίμαστε πραγματικά ασφαλείς; Από τους δήμους και τα νοσοκομεία μέχρι τους τραπεζικούς κολοσσούς και τις πολυεθνικές εταιρείες, θα έπρεπε όλοι να συμμερίζονται έναν κοινό προβληματισμό, την επόμενη κυβερνοεπίθεση. Ωστόσο, αυτός ο προβληματισμός συχνά απουσιάζει, όχι επειδή ο κίνδυνος είναι μικρός, αλλά επειδή ακόμα και σήμερα, σε μεγάλο βαθμό, δεν είμαστε επαρκώς ενημερωμένοι. Οι ψηφιακές επιθέσεις δεν γνωρίζουν σύνορα, κλάδους ή μεγέθη. Δεν κάνουν διακρίσεις. Και όσο η εξάρτησή μας από τα πληροφοριακά συστήματα αυξάνεται, τόσο μεγαλώνει και η έκθεσή μας στους κινδύνους του ψηφιακού κόσμου.
Παρά τις επενδύσεις σε νέες τεχνολογίες και σε σύγχρονα μέτρα ασφαλείας, οι ψηφιακές επιθέσεις δεν δείχνουν σημάδια επιβράδυνσης. Αντίθετα, γίνονται όλο και πιο έξυπνες, στοχευμένες, και τελικά επιτυχημένες.
Τον Φεβρουάριο του 2024 η εταιρεία Change Healthcare, θυγατρική της UnitedHealth Group, έπεσε θύμα κυβερνοεπίθεσης, με τους επιτιθέμενους να διεισδύουν στα συστήματα της εταιρείας, υποκλέπτοντας ευαίσθητα δεδομένα και ενεργοποιώντας ransomware που παρέλυσε τις λειτουργίες της. Ενώ το 2023, μέσω ευπάθειας στην πλατφόρμα MOVEit, κυβερνήσεις και επιχειρήσεις σε περισσότερες από 40 χώρες είδαν τα δεδομένα τους να υποκλέπτονται μαζικά.
Προφανώς ούτε η Ελλάδα έχει μείνει ανεπηρέαστη. Επιθέσεις σε εταιρείες από ολόκληρο το επιχειρηματικό φάσμα, δημόσιες δομές και πανεπιστήμια, κατέδειξαν ότι και στο εσωτερικό μέτωπο υπάρχουν πολλά τρωτά σημεία.
Και ενώ υφίσταται νομικό πλαίσιο το οποίο και ισχυροποιείται σταδιακά, η συμμόρφωση δεν είναι πάντα δεδομένη. Εταιρείες και οργανισμοί συνεχίζουν να παραμένουν απροστάτευτοι παρά την ύπαρξη σαφών ευρωπαϊκών και διεθνών οδηγιών. Η Οδηγία NIS2 και ο νέος κανονισμός DORA έχουν τεθεί σε ισχύ για να διασφαλιστεί περαιτέρω η επιχειρησιακή ανθεκτικότητα. Ωστόσο, πολλές επιχειρήσεις, είτε αγνοούν είτε καθυστερούν να εφαρμόσουν τις απαιτήσεις των κανονισμών/οδηγιών. Το αποτέλεσμα; Κακόβουλοι χρήστες έχουν τη δυνατότητα να συνεχίζουν να εκμεταλλεύονται τις ελλιπώς προστατευμένες πληροφοριακές υποδομές.
Το μεγαλύτερο πρόβλημα όμως δεν είναι η τεχνολογία, είναι οι άνθρωποι. Σύμφωνα με μελέτη του (ISC)² για το έτος 2023, παρουσιάζεται έλλειμα άνω των τεσσάρων εκατομμυρίων σε επαγγελματίες στον τομέα της κυβερνοασφάλειας παγκοσμίως.
Και δεν μιλάμε απλώς για τεχνικούς. Ο σύγχρονος επαγγελματίας στον τομέα της κυβερνοασφάλειας οφείλει να διαθέτει ένα πολυδιάστατο προφίλ. Πρέπει να γνωρίζει τις νέες τεχνολογικές τάσεις, να κατανοεί επαρκώς το νομικό πλαίσιο, να διαθέτει τα κατάλληλα εργαλεία για την πρόβλεψη κινδύνων, να ελέγχει αποτελεσματικά τα εταιρικά συστήματα αλλά και τη συμμόρφωση των προμηθευτών, καθώς και να αντιμετωπίζει κρίσεις, μεταξύ άλλων.
Η απάντηση στο πρόβλημα αυτό βρίσκεται στην ανώτατη εκπαίδευση. Πανεπιστήμια και κολέγια καλούνται να γεφυρώσουν αυτό το χάσμα. Όχι με θεωρητικά σχήματα και αφηρημένες έννοιες, αλλά με προγράμματα σπουδών που θα προετοιμάζουν τους επαγγελματίες του μέλλοντος. Αυτό απαιτεί (α) πρακτική εκπαίδευση σε εργαστηριακά περιβάλλοντα, (β) συνδυαστικά μαθήματα που αντιμετωπίζουν το φαινόμενο «ασφάλεια» ολιστικά, (γ) ορθή και υπεύθυνη ενσωμάτωση της τεχνητής νοημοσύνης, (δ) συνεργασία με κορυφαίες εταιρείες του χώρου για την παροχή εφαρμοσμένης πρακτικής άσκησης, που θα επιτρέπει στους φοιτητές να αποκτήσουν εμπειρία σε πραγματικά έργα και επιχειρησιακά περιβάλλοντα, (ε) εξοικείωση με σύγχρονα εργαλεία, πλατφόρμες και μεθόδους κυβερνοασφάλειας, (στ) ενσωμάτωση επαγγελματικών πιστοποιήσεων στα ακαδημαϊκά προγράμματα αναλόγως με την κατεύθυνση που θέλει να λάβει ο εκάστοτε φοιτητής.
Στη χώρα μας, υπάρχουν ιδρύματα που επενδύουν σε σύγχρονα προγράμματα σπουδών υιοθετώντας το σύνολο των συνεχώς αυξανόμενων απαιτήσεων. Σε ορισμένα από αυτά, όπως και στο Αμερικανικό Κολλέγιο Ελλάδος, έχουν αναπτυχθεί προγράμματα κυβερνοασφάλειας σε προπτυχιακό και μεταπτυχιακό επίπεδο τα οποία καλύπτουν τις σύγχρονες απαιτήσεις εταιρειών και οργανισμών στον τομέα, εστιάζοντας σε πραγματικά σενάρια επιθέσεων, ενσωματώνοντας τις διεθνείς οδηγίες, καλλιεργώντας παράλληλα δεξιότητες που ανταποκρίνονται στις παγκόσμιες ανάγκες. Οι απόφοιτοι τέτοιων προγραμμάτων έχουν καταφέρει να σταδιοδρομήσουν όχι μόνο στην Ελλάδα αλλά και στο εξωτερικό, αποδεικνύοντας ότι η κατάλληλη εκπαίδευση έχει αντίκρισμα στην παγκόσμια αγορά εργασίας.
Είναι πλέον απολύτως σαφές ότι η ασφάλεια στον κυβερνοχώρο δεν μπορεί να αντιμετωπίζεται ως μια απομονωμένη ή αμιγώς τεχνική υπόθεση. Αντιθέτως, αποτελεί ένα πολυδιάστατο ζήτημα που αγγίζει τη λειτουργία όλων των τομέων της κοινωνίας, την οικονομία, την εκπαίδευση, τη δημόσια διοίκηση, την υγεία, τη δικαιοσύνη, τη δημοκρατία. Η κυβερνοασφάλεια σήμερα είναι, πρωτίστως, θέμα κουλτούρας, ενός συλλογικού τρόπου σκέψης που στηρίζεται στην πρόληψη, τη γνώση και την υπευθυνότητα.
Η αμυντική προσέγγιση απέναντι στους ψηφιακούς κινδύνους δεν μπορεί να βασίζεται αποκλειστικά σε τεχνολογικά εργαλεία όπως για παράδειγμα λύσεις firewall, endpoint protection, zero trust, SIEM. Αυτά είναι βεβαίως κρίσιμα συστατικά της συνολικής προστασίας μιας σύγχρονης πληροφοριακής υποδομής, όμως αν δεν συνοδεύονται από διαρκή εκπαίδευση των χρηστών και από μια στρατηγική αντίληψη για το τι σημαίνει ψηφιακή ασφάλεια, τότε καθίστανται αναποτελεσματικά. Οι περισσότερες κυβερνοεπιθέσεις σήμερα δεν εκμεταλλεύονται απλώς αδυναμίες σε υλικά και λογισμικά, αλλά κυρίως ανθρώπινα σφάλματα, από αφελή κλικ σε κακόβουλους συνδέσμους μέχρι αποτυχία εφαρμογής πολιτικών πρόσβασης ή αποκάλυψη προσωπικών στοιχείων στο πλαίσιο μιας επίθεσης κοινωνικής μηχανικής.
Πέρα όμως από την επαρκή εκπαίδευση σύγχρονων επαγγελματιών, η εκπαίδευση στον τομέα της κυβερνοασφάλειας σε ένα πρώιμο στάδιο, είναι ακόμη πιο κρίσιμη τη στιγμή που αφορά τα παιδιά και τους νέους ανθρώπους, οι οποίοι αποτελούν τους πιο ενεργούς χρήστες της ψηφιακής τεχνολογίας αλλά ταυτόχρονα και τους πιο ευάλωτους. Η ελλιπής ενημέρωση γύρω από τους κινδύνους του διαδικτύου, όπως ο διαδικτυακός εκφοβισμός, η παραπληροφόρηση, η υποκλοπή προσωπικών στοιχείων ή η έκθεση σε ακατάλληλο περιεχόμενο, δημιουργεί τεράστιες απειλές για τη σωματική, ψυχολογική και κοινωνική τους ευημερία.
Για να είμαστε πραγματικά ανθεκτικοί ως κοινωνία και ως οικονομία, πρέπει να ενσωματώσουμε τη γνώση της κυβερνοασφάλειας στην ίδια τη διαδικασία της εκπαίδευσης όχι μόνο των τεχνολόγων, αλλά και των πολιτών του αύριο. Αυτό σημαίνει πως η διδασκαλία της κυβερνοασφάλειας πρέπει να ξεκινά από τα σχολεία και να επεκτείνεται συστηματικά στην τριτοβάθμια εκπαίδευση, αλλά και στη δια βίου μάθηση για ενήλικες, επαγγελματίες και δημόσιους λειτουργούς. Δεν αρκεί να δημιουργούμε ειδικούς. Οφείλουμε να διαμορφώσουμε μια κουλτούρα ασφάλειας σε όλα τα επίπεδα.
Και όταν μιλάμε για εκπαίδευση στην κυβερνοασφάλεια, δεν αρκεί να είναι αποσπασματική ή θεωρητική η προσέγγιση του φαινομένου. Πρέπει να είναι ολιστική, να καλύπτει τεχνικά ζητήματα, νομικά και κανονιστικά πλαίσια, κοινωνικές επιπτώσεις, ηθικά διλήμματα καθώς και διαχείριση κρίσεων. Πρέπει να είναι πρακτική, με πραγματικές αναλύσεις σε εργαστηριακά περιβάλλοντα, σενάρια επίθεσης και άμυνας, προσομοιώσεις περιστατικών και επαφή με πραγματικά εργαλεία. Πρέπει να είναι στοχευμένη, προσαρμοσμένη στις ανάγκες κάθε επαγγελματικού τομέα, είτε πρόκειται για την υγεία, την οικονομία, τη δημόσια διοίκηση ή την επιχειρηματικότητα.
Η ερώτηση δεν είναι αν θα υπάρξουν επιθέσεις. Οι επιθέσεις ήδη συμβαίνουν, καθημερινά, και θα συνεχίσουν να συμβαίνουν και να εξελίσσονται συνεχώς. Το πραγματικό ερώτημα είναι αν και κατά πόσο θα είμαστε έτοιμοι να τις αντιμετωπίζουμε επαρκώς. Και η απάντηση εξαρτάται από το αν θα επενδύσουμε σήμερα στην εκπαίδευση μιας νέας γενιάς πολιτών και επαγγελματιών που θα κατανοούν τους κινδύνους και θα μπορούν να ανταποκριθούν, να προστατεύσουν, να ανακάμψουν και, ιδανικά, να προλάβουν το επόμενο περιστατικό.
Εκπαιδεύοντας αυτή τη νέα γενιά, όχι μόνο σε τεχνικές δεξιότητες, αλλά και σε στρατηγική σκέψη, ηθική υπευθυνότητα και διατομεακή κατανόηση, χτίζουμε την πρώτη γραμμή άμυνας απέναντι σε έναν διαρκώς μεταβαλλόμενο ψηφιακό κόσμο. Και αυτή η γραμμή άμυνας δεν βρίσκεται στα data centers, αλλά στις αίθουσες διδασκαλίας.
Οι επιθέσεις δεν θα σταματήσουν. Μπορούμε όμως και πρέπει να εκπαιδεύσουμε μια νέα γενιά που θα μπορεί να ανταποκριθεί επαρκώς στις σύγχρονες ανάγκες και απειλές.
Κωνσταντίνος Βαβούσης, Πρόεδρος Τμήματος Πληροφορικής, Κυβερνοασφάλειας και Επιστήμης Υπολογιστών του Αμερικανικού Κολλεγίου Ελλάδος
