Των Πάνου Τρυφιάτη* και Κώστα Ιωάννου**
Διανύουμε την εποχή της 4ης βιομηχανικής επανάστασης, με αναδυόμενες τεχνολογίες και αναγκαιότητα νέων εφαρμογών και πληροφοριακών συστημάτων για την επιτάχυνση του ψηφιακού μετασχηματισμού σε όλο το φάσμα των υπηρεσιών και των γραμμών παραγωγής προϊόντων, προκειμένου να επιτευχθεί η ικανοποιητική ανταπόκριση στις ανάγκες και προκλήσεις της σημερινής πραγματικότητας.
Το νέο περιβάλλον που έχει διαμορφωθεί, συνεπεία της εφαρμογής της τεχνητής νοημοσύνης και της υιοθέτησης ολοένα και περισσότερων ψηφιακών εφαρμογών με ευρυζωνικές προσβάσεις στο πεδίο λειτουργίας του κυβερνοχώρου, έχει αλλάξει ριζικά τη λειτουργία δραστηριοτήτων της κοινωνικής και οικονομικής ζωής της ανθρωπότητας.
Η εταιρική διακυβέρνηση είναι το σύστημα με το οποίο οι εταιρείες παρακολουθούνται και ελέγχονται. Είναι το αποτέλεσμα των σχέσεων και επαφών μεταξύ των συμμετεχόντων σε μια εταιρία όπως οι μέτοχοι, οι πιστωτές, οι εργαζόμενοι, το διοικητικό συμβούλιο και διευθυντικά στελέχη. Στην εταιρική διακυβέρνηση οι διοικούντες (εντολοδόχοι) έχουν την υποχρέωση λογοδοσίας στους μετόχους (εντολείς), στους πελάτες, στην αλυσίδα εφοδιασμού. Ο ρόλος του Διοικητικού Συμβουλίου είναι σημαντικός, γιατί με τις πολιτικές και τις αποφάσεις του καθορίζεται η βιωσιμότητα, η μεγέθυνση των οικονομικών και του πεδίου των δραστηριοτήτων μιας εταιρίας και η διασφάλιση των συμφερόντων των ενδιαφερομένων μερών. Το Διοικητικό Συμβούλιο είναι ο συνδετικός κρίκος μεταξύ των μετόχων και των στελεχών της διοίκησης, που εφαρμόζει τα σχέδια και τις αποφάσεις τους και αξιοποιεί τα οικονομικά για τις καλύτερες αποδόσεις της επιχείρησης. Η εταιρική διακυβέρνηση λοιπόν, συνιστά τη δομή μέσω της οποίας προσεγγίζονται και τίθενται οι εταιρικοί στόχοι, προσδιορίζονται τα μέσα επίτευξης αυτών, εντοπίζονται οι βασικοί κίνδυνοι και οργανώνεται το σύστημα διαχείρισης αυτών των κινδύνων.
Ένα από τα σημαντικότερα θέματα που απασχολεί σήμερα την παγκόσμια κοινότητα σε επίπεδο κυβερνήσεων, επιχειρήσεων, επιστήμης και πολιτών είναι η κυβερνοασφάλεια. Με τον όρο κυβερνοασφάλεια εννοούμε το σύνολο των τεχνικών και οργανωτικών μέτρων που λαμβάνονται για την προστασία των συστημάτων, των πληροφοριών αλλά και των χρηστών, έναντι μιας μη εξουσιοδοτημένης πρόσβασης, με σκοπό να διασφαλισθεί η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των δεδομένων.
Είναι γεγονός ότι σήμερα οι οργανισμοί, οι επιχειρήσεις και οι εταιρείες, ανεξαρτήτως μεγέθους, υποστηρίζουν ολοένα και περισσότερο τους τομείς της λειτουργίας τους, με ολοκληρωμένα πληροφοριακά συστήματα. Αυξάνεται λοιπόν η επιφάνεια επίθεσης και το εύρος των ευκαιριών, για την πραγματοποίηση κακόβουλων ενεργειών και εκδήλωση κυβερνοεπιθέσεων, σε σχέση με το παρελθόν. Η κυβερνοασφάλεια ανάγεται σε καθοριστικό παράγοντα για την εύρυθμη λειτουργία τους, ώστε να προστατεύονται από κυβερνοεπιθέσεις, οι οποίες μπορεί να στοχεύουν, αφενός στην αποκομιδή κερδών, αφετέρου στην πρόκληση ζημιών στα πλαίσια του αθέμιτου ανταγωνισμού όμορων εταιρειών και επιχειρήσεων.
Σε μια εταιρία, το Διοικητικό Συμβούλιο, μεταξύ των άλλων, έχει την ευθύνη για την εκπόνηση της στρατηγικής κυβερνοασφάλειας και τον έλεγχο εφαρμογής της από τα στελέχη της διοίκησης, με στόχο την βέλτιστη ανθεκτικότητα της εταιρίας. Προς αυτή την κατεύθυνση πρέπει να αξιοποιούνται ευέλικτα εργαλεία αξιολόγησης για την υπευθυνότητα, σε τρεις άξονες: άνθρωποι, διαδικασίες και τεχνολογία.
Αποτελεί πρωταρχική ευθύνη του διοικητικού συμβουλίου ο προσδιορισμός, η αξιολόγηση και η ιεράρχηση των κινδύνων για να ελαχιστοποιηθεί, παρακολουθηθεί και ελεγχθεί η πιθανότητα εκδήλωσης ενός περιστατικού ασφάλειας, αλλά και το επίπεδο κινδύνου που μια εταιρία είναι διατεθειμένη να αποδεχθεί. Οι εταιρίες πρέπει να έχουν εκπονήσει επιχειρησιακά σχέδια και διαδικασίες, ώστε να είναι εφικτός ο εντοπισμός , η απαρίθμηση και η προτεραιοποίηση των πιθανών απειλών από την άποψη ενός υποθετικού επιτιθέμενου. Πρέπει να έχουν τη δυνατότητα να προσδιορίσουν και να αναλύουν τα μελλοντικά γεγονότα, που μπορεί να έχουν αρνητικό αντίκτυπο στην εταιρία. Στόχος είναι, να κρίνεται η ανθεκτικότητα της εταιρίας βάσει της ανάλυσης κινδύνου και να εισάγονται μέτρα για την εξάλειψη ή την μείωση των συνεπειών που σχετίζονται με τον κίνδυνο, προκειμένου να μην διαταραχθεί και επηρεαστεί ουσιωδώς η επιχειρηματική στρατηγική μιας εταιρίας. Καθίσταται λοιπόν επιτακτική, η ανάγκη ύπαρξης στρατηγικής κυβερνοασφάλειας, και ύπαρξη δομών εταιρικής διακυβέρνησης με κουλτούρα κυβερνοασφάλειας.
Η εμπλοκή των μελών του Διοικητικού Συμβουλίου στο καθορισμό της στρατηγικής κυβερνοασφάλειας, είναι επιβεβλημένη. Η στρατηγική πρέπει να καθορίζει την σαφή και ενεργό εμπλοκή των μελών του διοικητικού συμβουλίου στα θέματα κυβερνοασφάλειας, με συνεχή επίβλεψη, καθορισμό, αλλά και αξιολόγηση των κινδύνων που απειλούν την επιχειρησιακή λειτουργία της εταιρίας. Είναι ιδιαίτερα σημαντικό τουλάχιστον ένας ή και περισσότερα μέλη του διοικητικού συμβουλίου να έχουν εξειδίκευση στους τομείς των τεχνολογιών πληροφορίας και επικοινωνιών και δη στην κυβερνοασφάλεια. Θα πρέπει επίσης να υφίστανται και να ορίζεται συγκεκριμένη ομάδα, επιτροπή ή δομή εντός της εταιρείας με καθορισμένες ευθύνες και αρμοδιότητες, για την αξιολόγηση των κινδύνων και την διαχείριση των ζητημάτων σχετικά με την κυβερνοασφάλεια. Τα τελευταία χρόνια είναι συνήθης πρακτική η ανάθεση της κυβερνοασφάλειας, σε εξειδικευμένους εξωτερικούς αναδόχους και συμβούλους. Η εταιρία οφείλει να έχει μια ολοκληρωμένη προσέγγιση και καθορισμένη στρατηγική, για την προετοιμασία, την προστασία, τον εντοπισμό και την αποτελεσματική απόκριση της εταιρίας, σε συμβάντα που εκδηλώνονται στον κυβερνοχώρο. Σε κάθε περίπτωση, όμως, τα διοικητικά συμβούλια πρέπει να ενημερώνονται, επιβλέπουν και παρεμβαίνουν, προκειμένου να εφαρμόζεται αποτελεσματικά η στρατηγική κυβερνοασφάλειας, αλλά και να αξιολογείται συνεχώς, προκειμένου να είναι σύμφωνη με τα νέα δεδομένα στον κυβερνοχώρο.
Στη χώρα μας, παρότι τα τελευταία χρόνια – και ειδικότερα τα δύο τελευταία χρόνια στην πανδημία covid 19- αυξάνονται εκθετικά οι ρυθμοί επένδυσης στις νέες τεχνολογίες και η ενίσχυση των επιχειρήσεων με σύγχρονα πληροφοριακά συστήματα, παρατηρείται ότι τα διοικητικά συμβούλια αυτών δεν διαθέτουν την κατάλληλη κουλτούρα ασφάλειας, παρά το γεγονός ότι το ψηφιακό αποτύπωμα των εταιριών έχει διερυνθεί, αφού ένα μεγάλο μέρος των λειτουργιών της εταιρίας στηρίζεται στις τεχνολογίες πληροφορίας και επικοινωνιών. Στις περισσότερες εταιρίες, για πολλά στελέχη της διοίκησης, ο κυβερνοχώρος και οι κίνδυνοι που υφίσταται, αλλά και οι συνέπειες στην επιχειρησιακή λειτουργία τους από την εκδήλωση ενός περιστατικού ασφάλειας, είναι έννοιες αδιάφορες. Σήμερα ο κίνδυνος που απειλεί την επιχειρησιακή λειτουργία και συνέχεια μιας εταιρίας, έχει μετατοπιστεί από την διαχείριση ζημιογόνων φυσικών κινδύνων, στη επαύξηση της ανθεκτικότητας για την αποτροπή ή την διαχείριση περιστατικών ασφάλειας στο κυβερνοχώρο. Προκύπτει λοιπόν το ερώτημα: μια διοίκηση με έλλειψη κουλτούρας και εξειδίκευσης στην κυβερνοασφάλεια μπορεί να λάβει τις σωστές αποφάσεις για να υποστηριχθεί η ασφαλής λειτουργία μιας εταιρίας με διερυμένο αποτύπωμα στον ψηφιακό χώρο;
Αδιαμφισβήτητα οι εταιρίες πρέπει να αναθεωρήσουν την προσέγγισή τους για να αντιμετωπίσουν αποτελεσματικά τους κινδύνους και το κόστος των επιπτώσεων που σχετίζονται με παραβιάσεις ασφάλειας. Ο προϋπολογισμός των εταιριών πρέπει να αναθεωρηθεί και να συγχρονιστεί με τις σύγχρονες τάσεις της κυβερνοασφάλειας. Σε σύγκριση με τους κινδύνους που διαχειρίζονταν οι εταιρίες μέχρι σήμερα, οι κίνδυνοι από κυβερνοεπιθέσεις, είναι διαρκώς αυξανόμενοι και αποτελούν μια νέα αχαρτογράφητη περιοχή. Δυστυχώς, η πραγματικότητα επιβεβαιώνει ότι πληθώρα διοικητικών συμβουλίων δεν αντιμετωπίζουν τους κινδύνους στον κυβερνοχώρο με στρατηγική, υιοθετώντας σταθερούς σχεδιασμούς και πρωτόκολλα διοίκησης και ελέγχου.
Προκειμένου η εταιρία να μεγιστοποιήσει την ασφαλή ψηφιακή της δραστηριότητα, το διοικητικό συμβούλιο πρέπει να αναλαμβάνει πρωτοβουλίες για την ενίσχυση της κουλτούρας ασφάλειας σε όλα τα επίπεδα. Η κυβερνοασφάλεια καθίσταται σημαντική ευθύνη και πρακτική εταιρικής διακυβέρνησης, που περιλαμβάνει διαχείριση κινδύνου, συνεχείς ελέγχους, δοκιμές, συνεχείς εκπαιδεύσεις, αξιολογήσεις και υπευθυνότητα στελεχών.
Για την ενίσχυση της ανθεκτικότητας της εταιρίας στον κυβερνοχώρο πρέπει εκ μέρους της δομής της εταιρικής διακυβέρνησης και ειδικά από το διοικητικό συμβούλιο, να υιοθετηθεί μια ολιστική προσέγγιση για την κυβερνοασφάλεια σε τρείς άξονες: τεχνολογία, άνθρωποι και διαδικασίες. Επιβάλλεται η λήψη αποφάσεων θεσμικών παρεμβάσεων, διοικητικής αναδιάρθρωσης, λειτουργικής αξιοποίησης του στελεχιακού δυναμικού, αναθεώρησης δαπανών προϋπολογισμού και τεχνολογικού εκσυγχρονισμού. Ενδεικτικά οι παρεμβάσεις στη δομή της εταιρικής διακυβέρνησης μπορούν να περιλαμβάνουν:
• Ορισμό στο Διοικητικό Συμβούλιο εκτελεστικού μέλους με εξειδίκευση στις τεχνολογίες πληροφορίας και επικοινωνιών, αλλά και στην κυβερνοασφάλεια.
• Εκχώρηση αρμοδιοτήτων στο εν λόγω μέλος να εκπονεί στρατηγική με συγκεκριμένες δράσεις ενίσχυσης της κυβερνοασφάλειας (τεχνολογικές επενδύσεις, ενίσχυση κουλτούρας ασφάλειας του ανθρωπίνου δυναμικού με συνεχείς εκπαιδεύσεις στην ασφαλή χρήση των νέων τεχνολογιών και την ευαισθητοποίηση τους σε θέματα κυβερνοασφάλειας, εκπόνηση σχεδίων και πολιτικών) και φυσικά να εισηγείται στο Διοικητικό Συμβούλιο.
• Συγκρότηση επιτροπής/ομάδας διαχείρισης κινδύνων και κρίσεων, στελεχωμένη με εξειδικευμένο προσωπικό, η οποία θα υπάγεται στο αρμόδιο εκτελεστικό μέλος του Διοικητικού Συμβουλίου
• Ένταξη, από το αρμόδιο μέλος, θεμάτων κυβερνοασφάλειας στην ημερήσια διάταξη των συνεδριάσεων του διοικητικού συμβουλίου
• Προσαρμογή των δαπανών του προϋπολογισμού της εταιρίας ώστε να ανταποκρίνεται στις τεχνολογικές απαιτήσεις της ψηφιακής εποχής και στις ανάγκες της κυβερνοασφάλειας.
Σήμερα, η ψηφιακή οικονομία και η οικονομία της γνώσης είναι μια ισχυρή μηχανή των ανεπτυγμένων χωρών και έχει γίνει βασικός μοχλός οικονομικής ανάπτυξης που μπορεί να αντιπροσωπεύει σημαντικό ποσοστό στο ΑΕΠ. Η οικονομική προσέγγιση για την ασφάλεια των πληροφοριών, επικεντρώνεται στα κίνητρα αυτών των παραγόντων και στο κατά πόσον αυτά τα κίνητρα συνάδουν με ένα υψηλού επιπέδου ασφάλεια για το κοινωνικό σύνολο.
Σε κάθε περίπτωση η πολιτεία με επαρκείς δημόσιες πολιτικές και σε συνεργασία με τους αντιπροσωπευτικούς φορείς των εταιρειών και επιχειρήσεων και με κατάλληλη αξιοποίηση των ευρωπαϊκών χρηματοδοτήσεων, μπορεί να συμβάλει στον τεχνολογικό εκσυγχρονισμό των για την αποτελεσματική αντιμετώπιση των σύγχρονων απειλών στον κυβερνοχώρο.
Η εξασφάλιση της ανθεκτικότητας και ενός αποδεκτού επιπέδου κυβερνοασφάλειας για την προστασία μιας εταιρίας με την υλοποίηση στρατηγικής κυβερνοασφάλειας, πρέπει να αποτελεί μέρος της επιχειρησιακής στρατηγικής της, για να μπορεί να υποστηρίζει τις επιχειρησιακές της λειτουργίες και δραστηριότητες αποτελεσματικά και με αξιοπιστία.
*Ο Πάνος Τρυφιάτης είναι Οικονομολόγος – ΔΜΣ Πολιτικών Επιστημών.
Ήταν Αξιωματικός του Πολεμικού Ναυτικού και έχει διατελέσει Διευθύνων Σύμβουλος στα Ελληνικά Αμυντικά Συστήματα και Διευθυντής στο Κέντρο Μελετών Ασφαλείας
**Ο Κώστας Ιωάννου είναι Δρ. Ηλεκτρολόγος Μηχανικός και Τεχνολογίας Υπολογιστών.
Είναι Προϊστάμενος του Τμήματος Κυβερνοασφάλειας του Υπουργείου Εσωτερικών, έχει διατελέσει μέλος του Διοικητικού Συμβουλίου στο Κέντρο Μελετών Ασφάλειας του Υπουργείου Προστασίας του Πολίτη και Αντιπρόεδρος της Ένωσης Μηχανικών Δημοσίων Υπαλλήλων Διπλωματούχων Ανωτάτων Σχολών Αττικής
Πηγή: militaire.gr