Το μπαράζ κυβερνοεπιθέσεων και η νέα ευρωπαϊκή οδηγία για την κυβερνοασφάλεια, που φέρνει πρόστιμα έως και 10 εκατ. ευρώ, σπρώχνουν περισσότερες από τις μισές επιχειρήσεις στην Ελλάδα να ανεβάσουν τον προϋπολογισμό τους για την ενίσχυση των ψηφιακών τους «οχυρώσεων».
Οι κυβερνοεπιθέσεις στη χώρα έχουν λάβει διαστάσεις επιδημίας, με μεγάλους και μικρούς, ιδιωτικούς και δημόσιους οργανισμούς να πέφτουν θύματα χάκερ, αφήνοντας «τρύπες» ακόμη και εκατομμυρίων ευρώ στα λογιστικά βιβλία, ενώ παράλληλα τα δεδομένα των πολιτών τίθενται σε κίνδυνο.
Με νομοσχέδιο του υπ. Ψηφιακής Διακυβέρνησης που θα κατατεθεί σύντομα στη Βουλή η κυβέρνηση θα προχωρήσει στην ενσωμάτωση της οδηγίας NIS2, που θα υποχρεώσει επιχειρήσεις και οργανισμούς να αυξήσουν τους προϋπολογισμούς τους για την κυβερνοάμυνα.
Είναι χαρακτηριστικό πως, σε περιπτώσεις ελλιπών μέτρων κυβερνοασφάλειας, θα προβλέπει πρόστιμα που φθάνουν έως 10 εκατ. ευρώ ή 2% του παγκόσμιου τζίρου των επιχειρήσεων, ειδικά για εταιρείες που δραστηριοποιούνται σε σημαντικούς κλάδους όπως η ενέργεια, οι μεταφορές, η υγεία, οι υπηρεσίες ψηφιακού νέφους και κέντρων δεδομένων, οι τηλεπικοινωνίες, τα τρόφιμα, η παραγωγή χημικών προϊόντων και φαρμάκων, η διαχείριση αποβλήτων και οι ταχυμεταφορές.
Το 2025 το κόστος των κυβερνοεπιθέσεων αναμένεται να ξεπεράσει τα 10,5 τρισ. δολάρια, καθώς πάνω από το 50% των επιχειρήσεων δεν γνωρίζουν τα τρωτά τους σημεία. Πάνω από το 40% των επιθέσεων πραγματοποιούνται σε μικρές επιχειρήσεις.
Το νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης θα προβλέπει σειρά μέτρων για περίπου 3.000 οντότητες του δημόσιου και ιδιωτικού τομέα, προσφέροντας ένα πιο ισχυρό πλαίσιο για την προστασία των κρίσιμων υποδομών, τόσο σε δημόσιο όσο και σε ιδιωτικό επίπεδο.
Ειδικότερα η Οδηγία NIS2 αφορά:
- Όλες τις µικρομεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκατ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανομής τροφίμων, παραγωγής χημικών προϊόντων, φαρμακευτικών προϊόντων, διαχείρισης λυμάτων και αποβλήτων, εταιρειών ταχυµεταφορών.
- Ανεξάρτητα από το μέγεθός τους, τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανώτατου επιπέδου.
- Την Κεντρική Κυβέρνηση, τις Περιφέρειες και Δήμους.
Με τις προτεινόμενες διατάξεις του νέου νομοσχεδίου που προωθεί το υπουργείο Ψηφιακής Διακυβέρνησης:
- Ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρμόδια αρχή και ως αρμόδια ομάδα απόκρισης.
- Ενισχύεται η συνεργασία μεταξύ του δημόσιου και ιδιωτικού τομέα.
- Ενισχύεται ο εθνικός στρατηγικός σχεδιασμός κυβερνοασφάλειας.
- Καθορίζεται πλαίσιο για τη συντονισμένη γνωστοποίηση ευπαθειών.
Αυξάνουν τις επενδύσεις οι επιχειρήσεις
Σύμφωνα με έρευνα της Pylones Hellas, περισσότερες από τις μισές επιχειρήσεις στην Ελλάδα (52%) έχουν προχωρήσει σε αύξηση του προϋπολογισμού τους για την κυβερνοάμυνα, ενώ το 37% των επιχειρήσεων διατήρησαν σταθερά τα ποσά που επενδύουν στην ψηφιακή τους ασφάλεια. Αντιθέτως ένα ποσοστό της τάξης του 4,8% απάντησε πως μείωσε τον διαθέσιμο προϋπολογισμό για την κυβερνοάμυνα τον τελευταίο χρόνο.
Όπως αναφέρουν οι επιχειρήσεις, όταν δέχονται μια κυβερνοεπίθεση το 34,82% επικεντρώνεται στη διαχείριση των περιστατικών, ενώ το 34,41% των επιχειρήσεων στρέφεται στη συνέχεια της επιχειρηματικής τους λειτουργίας ως πρακτικές αντιμετώπισης της.
Τα μέτρα που λαμβάνουν οι επιχειρήσεις στρέφονται στις συνηθισμένες λύσεις για την ψηφιακή τους θωράκιση. Το 91,93% χρησιμοποιούν firewalls, το 77,42% επενδύουν σε email security, ενώ το penetration testing και η διαχείριση ευπαθειών αποτελούν βασικές στρατηγικές με ποσοστά 65% και 64% αντίστοιχα. Πάντως, οι εταιρείες στοχεύουν να επενδύσουν περαιτέρω στην κυβερνοάμυνά τους, και στρέφονται πως λύσεις όπως το 19% σε Data Loss Prevention (DLP), ενώ το 22% θα στραφεί σε λύσεις προστασίας email.
Ωστόσο, παρά την αύξηση του προϋπολογισμού για την κυβερνοάμυνα, το 18% των επιχειρήσεων έχουν δεχθεί κυβερνοεπίθεση μέσα στη φετινή χρονιά χωρίς να αντιμετωπίσουν συνέπειες, ενώ το 4% υπέστησαν σοβαρές συνέπειες από κυβερνοεπίθεση που δέχθηκαν μέσα στο 2024. Οι συνέπειες για μια επιχείρηση δεν ξεπερνιούνται άμεσα, όπως αναφέρει η έρευνα καθώς περίπου 5% των επιχειρήσεων ανέφεραν ότι χρειάστηκαν από έναν έως τρεις μήνες για επανέλθουν σε πλήρη λειτουργικότητα, ενώ το 2% των εταιρειών χρειάστηκαν πάνω από τρεις μήνες για να ανακάμψουν μετά την κυβερνοεπίθεση.
Από τις μεγαλύτερες προκλήσεις που έχουν να αντιμετωπίσουν οι επιχειρήσεις απέναντι στις απειλές των κυβερνοεπιθέσεων, είναι η έλλειψη εξειδικευμένου προσωπικού αλλά και πόρων όπως επισημαίνει το 54% και 43% των επιχειρήσεων αντίστοιχα, ενώ το 35% θεωρεί πρόβλημα την έλλειψη εκπαίδευσης του ανθρώπινου δυναμικού.
Οι επιχειρήσεις από την πλευρά τους προσπαθούν να αντιμετωπίσουν τις προκλήσεις με το 33% να έχουν προχωρήσει σε εκπαίδευση του προσωπικού τους ώστε να αναγνωρίζει πιθανούς κινδύνους κυβερνοασφάλειας, ενώ το 31% ενσωματώνουν την κυβερνοασφάλεια στην εταιρική κουλτούρα. Εντούτοις, και παρά το γεγονός ότι οι επιχειρήσεις γνωρίζουν πλέον τις σοβαρές συνέπειες που μπορεί να προκαλέσει μια κυβερνοεπίθεση, το 12,5% ανέφεραν πως δεν έχουν πραγματοποιήσει εκπαίδευση του προσωπικού τους.