Η κυβερνοασφάλεια έχει εξελιχθεί σε ένα από τα πιο κρίσιμα ζητήματα της σύγχρονης εποχής, επηρεάζοντας όχι μόνο επιχειρήσεις και θεσμούς αλλά και ολόκληρους τομείς της οικονομίας, όπως ο τουρισμός και οι μεταφορές. Με αφορμή τον Οκτώβριο, που έχει καθιερωθεί από την Ευρωπαϊκή Ένωση ως μήνας ευαισθητοποίησης για την κυβερνοασφάλεια, η Λαμπρινή Γυφτοκώστα, νομικός και ειδική σε θέματα προστασίας προσωπικών δεδομένων και νέων τεχνολογιών, μιλά στο Tornos News για τις προκλήσεις που φέρνει η ψηφιακή εποχή, τη νέα ευρωπαϊκή νομοθεσία, αλλά και την ανάγκη καλλιέργειας μιας κουλτούρας εμπιστοσύνης και πρόληψης.
Ο Οκτώβριος έχει καθιερωθεί ως μήνας ευαισθητοποίησης για την κυβερνοασφάλεια από την Ευρωπαϊκή Ένωση, με στόχο την ενημέρωση πολιτών και οργανισμών για τις ψηφιακές απειλές. Πόσο έχει ωριμάσει αυτός ο διάλογος στην Ευρώπη και στην Ελλάδα, ιδίως όταν ο ευρωπαϊκός οργανισμός για την κυβερνοασφάλεια έχει την έδρα του στην Αθήνα;Ο Οκτώβριος είναι παραδοσιακά αφιερωμένος στον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας, την ετήσια εκστρατεία της Ευρωπαϊκής Ένωσης που ξεκίνησε το 2012 και στοχεύει στην ευαισθητοποίηση των πολιτών και οργανισμών γύρω από ζητήματα ψηφιακής ασφάλειας. Η πρωτοβουλία διοργανώνεται από την Ευρωπαϊκή Επιτροπή και τον Ευρωπαϊκό Οργανισμό για την Κυβερνοασφάλεια (ENISA), με την υποστήριξη των κρατών-μελών και ιδιωτικών φορέων σε όλη την Ευρώπη.
Για το 2025, το επίκεντρο της καμπάνιας είναι το phishing, η πιο συνηθισμένη μέθοδος για την έναρξη κυβερνοεπιθέσεων. Σύμφωνα με τα στοιχεία της ENISA, περίπου το 60% των περιστατικών ξεκινούν με τέτοιες πρακτικές, που μπορεί να λάβουν πολλές μορφές: email phishing, quishing μέσω QR codes, smishing μέσω SMS, vishing με φωνητικές κλήσεις, spear phishing σε συγκεκριμένα άτομα, whaling σε ηγετικά στελέχη, BEC (Business Email Compromise) και απάτες που αξιοποιούν τεχνητή νοημοσύνη όπως τα deep fakes. Είναι χαρακτηριστικό ότι έως τις αρχές του 2025, πάνω από το 80% των περιστατικών κοινωνικής μηχανικής παγκοσμίως συνδέονταν με καμπάνιες βασισμένες σε AI.
Στην Ελλάδα, οι καμπάνιες ευαισθητοποίησης επικεντρώνονται κυρίως σε γονείς, παιδιά και εκπαιδευτικούς μέσα από δράσεις όπως αυτές του Saferinternet4kids. Ωστόσο, για τις επιχειρήσεις και τους οργανισμούς απαιτείται πιο συστηματική προσέγγιση. Όπως έχει επισημάνει και ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, κ. Μπλέτσας, «έχουμε πολύ δρόμο ακόμα μπροστά μας».
Η φετινή ετήσια αναφορά της Ευρωπαϊκής Υπηρεσίας Κυβερνοασφάλειας κατατάσσει τις μεταφορές – και ειδικά τα αεροδρόμια και τα λιμάνια – στις πιο ευάλωτες κατηγορίες σε κυβερνοεπιθέσεις. Τι δείχνει αυτό για την ετοιμότητα των κρίσιμων υποδομών και πόσο θωρακισμένα είναι τα δίκτυα των μεταφορών στην Ευρώπη;Σύμφωνα με την πρόσφατη αναφορά της ENISA (ENISA Threat Landscape Report 2025), στην οποία αναλύθηκαν 4.875 ευρωπαϊκά περιστατικά από τον Ιούλιο του 2024 έως τον Ιούνιο του 2025, οι πέντε πιο ευάλωτοι τομείς είναι η δημόσια διοίκηση, οι ψηφιακές υποδομές και υπηρεσίες, τα χρηματοοικονομικά, η βιομηχανία και οι μεταφορές. Οι θαλάσσιες και εναέριες μεταφορές έχουν πληγεί περισσότερο, γεγονός που αποκαλύπτει τόσο τις αδυναμίες ετοιμότητας όσο και τα κίνητρα πίσω από τις επιθέσεις.
Περίπου το 80% των περιστατικών είχαν ιδεολογικό χαρακτήρα, κυρίως από την ομάδα NoName057(16), που στοχοποιεί την ΕΕ λόγω των θέσεών της σε διεθνή ζητήματα. Στα πρόσφατα περιστατικά στα ευρωπαϊκά αεροδρόμια, οι χάκερς εκμεταλλεύτηκαν κλεμμένα διαπιστευτήρια υπαλλήλου για να αποκτήσουν πρόσβαση στα συστήματα της Collins Aerospace, παρόχου τεχνολογίας για τα check-in. Έτσι ανέδειξαν τον συστημικό κίνδυνο που προκαλεί η αλληλεξάρτηση των κρίσιμων υποδομών: χακάροντας έναν πάροχο, μπορούν να επηρεαστούν πολλαπλά αεροδρόμια ταυτόχρονα.
Οι κυβερνοαπειλές δεν γνωρίζουν σύνορα και η ανθεκτικότητα δεν μπορεί να είναι υπόθεση ενός μόνο κράτους. Αυτή τη λογική προσπαθεί να ενισχύσει η ευρωπαϊκή νομοθεσία NIS2, που ενσωματώθηκε και στην ελληνική έννομη τάξη.
Η νέα ευρωπαϊκή νομοθεσία για την προστασία των ψηφιακών υποδομών επιβάλλει πλέον αυστηρότερες υποχρεώσεις σε δημόσιους και ιδιωτικούς φορείς. Πώς αλλάζει αυτό το πλαίσιο ευθύνης για οργανισμούς όπως τα αεροδρόμια και τα δίκτυα ενέργειας και ποιες είναι οι μεγαλύτερες προκλήσεις για την Ελλάδα;Η NIS2 αυξάνει σημαντικά τόσο τις υποχρεώσεις όσο και το εύρος ευθύνης των οργανισμών. Για πρώτη φορά, ευθύνη φέρουν όχι μόνο οι τεχνικοί πάροχοι ή οι διαχειριστές συστημάτων, αλλά και τα μέλη της διοίκησης, που οφείλουν να διασφαλίζουν τη συμμόρφωση με το νομικό πλαίσιο και να αναλαμβάνουν προσωπική ευθύνη σε περίπτωση παράλειψης. Στο παράδειγμα της Collins Aerospace, η ευθύνη δεν περιορίζεται στα αεροδρόμια, αλλά εκτείνεται και στον πάροχο υπηρεσιών.
Το ζητούμενο είναι να περάσουμε από τη θεωρητική συμμόρφωση σε ουσιαστική εφαρμογή των κανόνων, με πραγματικούς μηχανισμούς ελέγχου. Στην Ελλάδα, το έργο αυτό δυσκολεύεται από την υποστελέχωση των εποπτικών αρχών και την έλλειψη εξειδικευμένου προσωπικού. Η νομοθεσία έχει γίνει πιο αυστηρή, αλλά χωρίς επιχειρησιακή ικανότητα οι στόχοι της δεν θα επιτευχθούν.
Η κυβερνοασφάλεια δεν αφορά μόνο την τεχνολογία αλλά και την εμπιστοσύνη – των πολιτών, των ταξιδιωτών και των επιχειρήσεων. Πόσο έτοιμοι είμαστε να περάσουμε από τη λογική της «αντίδρασης μετά την κρίση» σε μια κουλτούρα πρόληψης και ψηφιακής ανθεκτικότητας;Η αλλαγή κουλτούρας απαιτεί χρόνο και σταθερή προσπάθεια. Οι περισσότεροι άνθρωποι, αλλά και οι οργανισμοί, αντιδρούν μόνο αφού προκύψει το πρόβλημα. Χρειάζεται εκπαίδευση, ευαισθητοποίηση και κυρίως κατανόηση του κόστους μιας κυβερνοεπίθεσης, όχι μόνο οικονομικού αλλά και φήμης. Η εμπιστοσύνη χτίζεται δύσκολα και χάνεται εύκολα. Μια επιχείρηση που χειρίζεται κρίσιμα δεδομένα δεν πρέπει να σκέφτεται αν θα στοχοποιηθεί, αλλά πότε.
Η πρόληψη, η εκπαίδευση προσωπικού, η προσομοίωση σεναρίων κρίσης και η σωστή επικοινωνία μετά από ένα περιστατικό είναι κρίσιμα εργαλεία. Η κυβερνοασφάλεια δεν είναι μόνο τεχνική υπόθεση. Είναι στρατηγική επιλογή που αφορά την κοινωνία, την οικονομία και την αξιοπιστία ενός κράτους.
