Γιατί οι κυβερνοεπιθέσεις έχουν διπλασιαστεί σε σχέση με το 2015; Η συμβολή του εσωτερικού ελέγχου
Του Γιάννη Χαλκιαδάκη. Για τις κυβερνοεπιθέσεις, που έχουν διπλασιαστεί σε σχέση με το 2015 και συμβαίνουν κυρίως σε αναπτυγμένες οικονομίες, αναφέρθηκε ο Group Corporate Security Officer & Chief Information Security Officer, της Eurobank Γιάννης Τζάνος, κατά τις εργασίες του το 2ο Banking Forum που διοργάνωσε το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας – IIA Greece στο Μέγαρο Καρατζά, θέτοντας επί τάπητος τα ζητήματα ελέγχου, ετοιμότητας και αντιμετώπισης κυβερνοεπιθέσεων στο τραπεζικό σύστημα.
Ο κ. Τζάνος, μιλώντας στην πολύ ενδιαφέρουσα ενότητα “Kυβερνοασφάλεια, κυβερνοέγκλημα, πρόσφατες τάσεις και ανάπτυξη”, ξεκίνησε την τοποθέτησή του, δίνοντας σε λίγες λέξεις τη μεγάλη εικόνα των κυβερνοεπιθέσεων εν έτει 2023: «Έξω έχουμε πόλεμο, όπου υπάρχει χρήμα, υπάρχει δυνατότητα επίθεσης. Οι κυβερνοπιθέσεις χρόνο με το χρόνο εξελίσσονται. Κάθε μέρα ένα καινούριο κάστρο πέφτει».
Κατά τον ίδιο, οι κυβερνοεπιθέσεις έχουν διπλασιαστεί σε σχέση με το 2015, συμβαίνουν κυρίως σε αναπτυγμένες οικονομίες και είναι χαρακτηριστικό ότι οι ΗΠΑ, παρότι συνιστά την πιο δυνατή οικονομία, έχει δεχθεί το 50% των κυβερνοεπιθέσεων, σύμφωνα με στοιχεία από έκθεση της ΕΚΤ. Στο ίδιο πλαίσιο, η Ευρώπη έχει δεχθεί το 13% των κυβερνοεπιθέσεων, με τον τραπεζικό χώρο να πλήττεται, λιγότερο, ωστόσο, από άλλους κλάδους όπως ο δημόσιος τομέας, τα πανεπιστήμια και ο τομέας της υγείας.
Σημείωσε δε, ότι ο νούμερο 1 ψηφιακός κίνδυνος στην παρούσα φάση, είναι το ransomware, το οποίο έχει εξελιχθεί σε τρομερή απειλή, οι κίνδυνοι μέσω του social engineering, αλλά και οι απειλές σε τρίτους παρόχους (providers), ενώ υπάρχει και μια τριπλή μορφή εκβιασμού, η οποία γίνεται κυρίως μέσω email και λιγότερο μέσω browsing. Ολοκληρώνοντας, είπε ότι «το ψηφιακό έγκλημα ακολουθεί τα trends της κοινωνίας και του εμπορίου».
Συνεισφέροντας στη συζήτηση, ο IT Audit Manager της Alpha Bank Λάμπρος Σπερνοβασίλης,υποστήριξε ότι o εσωτερικός έλεγχος μπορεί να συμβάλει στην κυβερνοασφάλεια ενός οργανισμού: «Καλούμαστε να είμαστε πάντα προετοιμασμένοι μέχρι την επόμενη επίθεση» ανέφερε χαρακτηριστικά, αναπτύσσοντας πυλώνες προετοιμασίας όπως την αναγνώριση των εκτεθειμένων χώρων, της διασφάλισή τους, την ανάπτυξη ενός καλού μηχανισμού εποπτείας για τον περιορισμό ζημιάς από πιθανή επίθεση, την όσο το δυνατόν πιο αποτελεσματική απάντηση στην επίθεση, αλλά και την επιτάχυνση στην επιστροφή στην αρχική κατάσταση. Κατά τον κ. Σπερνοβασίλη «ο εσωτερικός έλεγχος μπορεί συμβάλει στην κυβερνοασφάλεια, προσαρμόζοντας την προσοχή του και την πρακτική του στις παραπάνω κατευθύνσεις».
Παίρνοντας τον λόγο, η Head of Group Operational Risk της Εθνικής Τράπεζας Ιωσηφίνα Δεγαΐτα, διεμήνυσε , επιβεβαιώνοντας τα λόγια του Γιάννη Τζάνου, ότι τα τελευταία χρόνια η κυβερνοεπιθέσεις είναι «ένας πόλεμος που θα μείνει, όσο υπάρχει ψηφιακός μετασχηματισμός και συνεχής τεχνολογική εξέλιξη».
Σύμφωνα με όσα σημείωσε στην εισήγησή της, το risk είναι ένας κίνδυνος που είναι πολύ ψηλά στην ατζέντα στους οργανισμούς, αλλά είναι πολυπαραγοντικός, με την ύπαρξη κινδύνων εσωτερικής και εξωτερικής απάτης και διαρροής ευαίσθητων πληροφοριών, αλλά και διακυβευσης φήμης της κάθε επιχείρησης που δέχεται επίθεση, λέγοντας: «Χρειαζόμαστε διακυβέρνηση, ο κάθε χώρος πρέπει να θέσει ρόλους, ευθύνες, και είναι καθήκον όλων μας η διαχείριση του cyber risk σε έναν οργανισμό», ενώ για την ίδια, είναι απαραίτητη η στρατηγική και οι πολιτικές του κάθε κλάδου για την αντιμετώπισή του.
Από την πλευρά του, ο Internal Audit Director, της τράπεζας Πειραιώς Δημήτρης Φράγκος, σημείωσε πως η κυβερνοασφάλεια έχει ιδιαιτερότητες όπως την τεχνική της φύση, το εύρος των υπηρεσιών λόγω του μεγέθους των απειλών, ωστόσο, την ίδια στιγμή, υπάρχει απώλεια ελέγχου λόγω outsourcing. Όπως υπογράμμισε στην τοποθέτησή του «το εποπτικό πλαίσιο είναι ιδιαιτέρως εμπλουτισμένο αυτή τη στιγμή και στην πρώτη γραμμή άμυνας υπάρχει ο σχεδιασμός ελέγχου, η ανάπτυξη και η αρχιτεκτονική των συστημάτων και στη δεύτερη γραμμή, ο κανονιστικός κίνδυνος, ενώ υπάρχει η δυνατότητα και άλλων, πιο εξειδικευμένων δομών. Η τρίτη γραμμή περιλαμβάνει όλο το εύρος διακυβέρνησης και δεξιοτήτων, καθώς και τη διαχείριση κινδύνων. «Υπάρχουν δυνατότητες συνέργειας μεταξύ των γραμμών άμυνας, ομως ο αγώνας είναι δύσκολος γιατί συνεχώς αλλάζουν οι απειλές» τόνισε.
Για τη σχέση cyber risk και compliance risk έκανε λόγο ο Deputy Head of Group Business Regulatory Compliance & Client Conduct Division της Εθνικής Τράπεζας, Gerry Kounadis, υποστηρίζοντας ότι ένας από τους μεγαλύτερους κινδύνους κυβερνοεπίθεσης είναι αυτός που προκύπτει από τις διαδικασίες του Γενικού Κανονισμού για την Ασφάλεια Δεδομένων. Σε επίπεδο χρηματοπιστωτικής νομοθεσίας, κατά τον ίδιο, μια ακόμα μεγάλη πηγή κινδύνου είναι οι διαδικασίες outsourcing, ενώ, συμπλήρωσε ότι ο ρόλος της κανονιστικής συμμόρφωσης για την προετοιμασία απέναντι στις κυβερνοπιθέσεις έχει πέντε πυλώνες:
Τη διαρκή ενημέρωση για τις κανονιστικές εξελίξεις, τη συνδιαμόρφωση του πλαισίου που πρέπει να κινηθεί ο οργανισμός, την αξιολόγηση των κινδύνων συμμόρφωσης, έτσι ώστε να βρίσκονται οι κατάλληλες λύσεις, την παρακολούθηση της συμμόρφωσης σε περιοχές με υψηλό κίνδυνο, καθώς και τη σημασία της έγκαιρης αναφοράς (reporting).
Σημειώνεται πως το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας (IEEE, ΙΙΑ Greece – https://hiia.gr/) είναι επαγγελματικός φορέας με έδρα την Ελλάδα, συνδεδεμένο μέλος του Διεθνούς Ινστιτούτου Εσωτερικών Ελεγκτών (Institute of Internal Auditors – IIA – https://www.theiia.org/) και απαριθμεί 1.000 περίπου μέλη. Το Διεθνές Ινστιτούτο ιδρύθηκε το 1941 στις ΗΠΑ, απαριθμεί 218000 μέλη σε 170 χώρες.
Το έργο του στηρίζεται στον ανιδιοτελή εθελοντισμό αφοσιωμένων επαγγελματιών με σκοπό να κάνουν τον εσωτερικό έλεγχο ένα περήφανο και διακεκριμένο επάγγελμα. Το ΙΙΑ, εκδότης και διαχειριστής των Διεθνών Προτύπων (Standards) για τον εσωτερικό έλεγχο, προάγει και καθοδηγεί το επάγγελμα παγκοσμίως, εκδίδει μετά από εξετάσεις τη διεθνείς αναγνωρισμένες Πιστοποιήσεις Certified Internal Auditor (CIA) και Certification in Risk Management Assurance (CRMA), εξειδικευμένα certificates, αναλυτικούς οδηγούς και βοηθήματα, διενεργεί επιστημονική έρευνα και πάνω από όλα συνεργάζεται και επικοινωνεί άμεσα με όλα τα μέλη του με αριστοτεχνικό τρόπο, δημιουργώντας δεσμούς μεταξύ τους και αναδεικνύοντας τη δύναμη του ΕΜΕΙΣ (the power of WE).
Στην Ελλάδα το ΙΕΕΕ λειτουργεί επί σχεδόν 40 έτη, διοικείται από 7μελές Διοικητικό Συμβούλιο το οποίο εκλέγεται για 3 έτη από τη γενική συνέλευση των μελών του. Χαρακτηρίζεται από το πλούσιο έργο με δράσεις, συνέδρια, forums, συνεντεύξεις, συμμετοχή στα νομοσχέδια, υποστήριξη στο δημόσιο τομέα, εκτενές εκπαιδευτικό πρόγραμμα, συμμετοχή σε δράσεις άλλων σημαντικών Οργανισμών ιδιωτικού και δημόσιου τομέα, συνεργασίες με Πανεπιστήμια που διδάσκουν Ελεγκτική. Είναι μέλος του European Confederation of Institutes of Internal Auditing – ECIIA (https://www.eciia.eu/), συμμετέχει ενεργά στη διακυβέρνησή του έχοντας καταφέρει τα τελευταία χρόνια να εκλέγεται ένα μέλος από το IIA Greece στο Διοικητικό Συμβούλιο στην Ευρώπη και να συμμετέχουν αρκετοί Έλληνες εσωτερικοί ελεγκτές στα working groups και τις επιτροπές του, όπως στο ECIIA Banking Committee, Industrial Committee, Advocacy Committee.
Μέλη του IEEE είναι εσωτερικοί ελεγκτές από όλες τις εισηγμένες στο ΧΑ εταιρίες (συμπεριλαμβανομένων των Τραπεζών), τις ελεγκτικές εταιρείες, εταιρείες Δημοσίου, Δημόσιο κλπ. με υψηλό επιστημονικό υπόβαθρο και η πλειονότητά τους είναι πιστοποιημένοι εσωτερικοί ελεγκτές (Certified Internal Auditors) από το ΙΙΑ Global.
