Δεν έχουμε πλήρη εικόνα των απειλών που αντιμετωπίζουμε

Ο κλάδος της χρηματοοικονομικής τεχνολογίας (fintech) βρίσκεται σε εντυπωσιακή τροχιά ανάπτυξης, με την παγκόσμια αγορά να αναμένεται να φτάσει το 1,54 τρισ. δολάρια έως το 2034, σύμφωνα με την Polaris Market Research. Ωστόσο, αυτή η ραγδαία ανάπτυξη συνοδεύεται από μια ανησυχητική πραγματικότητα που υπονομεύει τη συλλογική μας ικανότητα να αντιμετωπίσουμε τις απειλές. Το χάσμα μεταξύ των πραγματικών κυβερνοεπιθέσεων και των επίσημα αναφερόμενων περιστατικών διευρύνεται επικίνδυνα, ειδικά σε τομείς γρήγορων εξελίξεων, όπως οι fintech επιχειρήσεις.

Τα μη αναφερόμενα περιστατικά

Σύμφωνα με την έρευνα 2024 Cyber Threat Landscape Report της VikingCloud, το 40% των ομάδων κυβερνοασφάλειας δεν έχουν αναφέρει περιστατικό από φόβο απώλειας της εργασίας τους -μια αποκάλυψη που υποδηλώνει σοβαρή υποαναφορά των παραβιάσεων παγκοσμίως. Στην Ελλάδα, αν και δεν υπάρχουν ακόμα σχετικά δημοσιευμένα δεδομένα επί του θέματος, η κατάσταση εκτιμάται ότι είναι παρόμοια, με πολλές fintech επιχειρήσεις να επιλέγουν τη σιωπή από φόβο, απώλεια εμπιστοσύνης των πελατών ή ρυθμιστικές κυρώσεις.

Το αποτέλεσμα; Οι Αρχές, συμπεριλαμβανομένης και της Εθνικής Αρχής Κυβερνοασφάλειας, στερούνται της πλήρους εικόνας των απειλών που αντιμετωπίζει η αγορά και κατά συνέπεια και η χώρα. Χωρίς ολοκληρωμένα δεδομένα είναι αδύνατο να σχεδιαστούν αποτελεσματικές πολιτικές πρόληψης και να ενισχυθεί η κυβερνοασφάλεια σε τομεακό καθώς και σε εθνικό επίπεδο.

Σύμφωνα με την έκθεση IBM Cost of a Data Breach 2024, το μέσο κόστος παραβίασης δεδομένων για επιχειρήσεις του χρηματοοικονομικού κλάδου ανέρχεται σε 6,08 εκατ. δολάρια -ποσό κατά 22% υψηλότερο από τον παγκόσμιο μέσο όρο. Οι επιθέσεις με κλεμμένα διαπιστευτήρια (π.χ. passwords), αποτελούν το 16% όλων των παραβιάσεων και απαιτούν κατά μέσο όρο 292 ημέρες για εντοπισμό και αντιμετώπιση. Σκεφτείτε λοιπόν την οικονομική επίπτωση, όταν ομάδες κακόβουλων έχουν πρόσβαση σε passwords σας για παραπάνω από 7 μήνες, έως ότου το πρόβλημα αντιμετωπιστεί.

Τα στοιχεία δείχνουν ότι πάνω από 2.200 κυβερνοεπιθέσεις συμβαίνουν καθημερινά παγκοσμίως (έρευνα της Keepnet Labs για το 2024-2025) ενώ το 50% των επιχειρήσεων στο Ηνωμένο Βασίλειο αναφέρουν ότι έχουν υποστεί κάποια μορφή παραβίασης ή επίθεσης κυβερνοασφάλειας, σύμφωνα με την κυβερνητική έρευνα Cyber Security Breaches Survey 2024.

Η αλλαγή της κουλτούρας

Οι σύγχρονες κυβερνοαπειλές έχουν εξελιχθεί δραματικά. Για τις ελληνικές επιχειρήσεις του κλάδου FinTech, η προσαρμογή στο νέο πρόσωπο της κυβερνοασφάλειας δεν είναι πλέον επιλογή, αλλά επιχειρηματική αναγκαιότητα. Αυτό σημαίνει όχι μόνο επενδύσεις σε τεχνολογία και εκπαίδευση προσωπικού, αλλά και αλλαγή νοοτροπίας. Από την κουλτούρα της απόκρυψης ή την κουλτούρα «δεν έγινε και τίποτα αν δεν το αναφέρω», στην κουλτούρα της διαφάνειας.

Η άμεση αναφορά κυβερνοεπιθέσεων προσφέρει πολλαπλά οφέλη. Πρώτον, επιτρέπει στις Αρχές να εντοπίζουν μοτίβα και να προειδοποιούν έγκαιρα άλλες επιχειρήσεις για αναδυόμενες απειλές. Δεύτερον, διευκολύνει τη συντονισμένη αντίδραση σε μαζικές επιθέσεις που μπορεί να στοχεύουν ολόκληρο τον κλάδο. Τρίτον, δημιουργεί ένα εθνικό αρχείο κυβερνοαπειλών που ενισχύει την ερευνητική δραστηριότητα και την ανάπτυξη εξειδικευμένων λύσεων.

Σύμφωνα με έρευνα της IBM, οργανισμοί που διαθέτουν ομάδες αντίδρασης σε περιστατικά και ξέρουν πώς να τα επικοινωνήσουν εξοικονομούν κατά μέσο όρο 248.000 δολάρια ετησίως. Συνεπώς, η διαφάνεια στη διαχείριση περιστατικών μπορεί να ενισχύσει, αντί να βλάψει, τη φήμη μιας εταιρείας, καθώς πελάτες και επενδυτές εκτιμούν όλο και περισσότερο την ειλικρίνεια και την ετοιμότητα.

Η ευρωπαϊκή και ελληνική νομοθεσία έχει ενισχύσει σημαντικά τις υποχρεώσεις αναφοράς. Ο GDPR επιβάλλει την κοινοποίηση παραβιάσεων δεδομένων εντός 72 ωρών, ενώ η οδηγία NIS2 επεκτείνει τις απαιτήσεις σε περισσότερους κρίσιμους τομείς.

Ιδιαίτερα σημαντική είναι η νέα οδηγία DORA (Digital Operational Resilience Act) που τέθηκε σε ισχύ στις 17 Ιανουαρίου 2025, επιβάλλοντας αυστηρότερα πρότυπα για την κυβερνοανθεκτικότητα των χρηματοοικονομικών ιδρυμάτων στην Ευρωπαϊκή Ένωση. Η DORA εφαρμόζεται σε 20 διαφορετικούς τύπους χρηματοοικονομικών οντοτήτων, συμπεριλαμβανομένων τραπεζών, ασφαλιστικών εταιρειών, επενδυτικών εταιρειών και παρόχων υπηρεσιών κρυπτονομισμάτων.

Οι κυρώσεις για μη συμμόρφωση με τη DORA μπορεί να φτάσουν έως το 2% του συνολικού ετήσιου κύκλου εργασιών των χρηματοοικονομικών οντοτήτων. Ωστόσο, το κίνητρο δεν θα πρέπει να είναι μόνο η αποφυγή προστίμων, αλλά η κατανόηση ότι η συλλογική προστασία ενισχύει την εταιρική μας κυβερνοασφάλεια.

Προς μία ανθεκτική ψηφιακή οικονομία

Η επένδυση στην πρόληψη αποδεικνύεται οικονομικά πιο αποδοτική από την αντιμετώπιση των συνεπειών μιας παραβίασης. Η ενίσχυση της εθνικής κυβερνοασφάλειας απαιτεί συλλογική δράση. Οι fintech επιχειρήσεις πρέπει να αντιληφθούν ότι δεν ανταγωνίζονται στο πεδίο της ασφάλειας, αλλά συνεργάζονται. Η δημιουργία ενός κοινού μετώπου με ανταλλαγή πληροφοριών και best practices μπορεί να μετατρέψει την Ελλάδα σε πρότυπο κυβερνοανθεκτικότητας στην περιοχή.

Η συστηματική αναφορά περιστατικών θα επιτρέψει στις Αρχές να έχουν συνολική εικόνα των απειλών, να προβλέψουν τάσεις και να σχεδιάσουν στοχευμένες παρεμβάσεις. Μόνο έτσι η χώρα μας μπορεί να οικοδομήσει ένα πραγματικά ανθεκτικό ψηφιακό οικοσύστημα που θα προστατεύει τόσο τις επιχειρήσεις όσο και τους πολίτες. Ο χρόνος για προσαρμογή τελείωσε. Η ώρα για δράση και διαφάνεια είναι τώρα.

 *Ο Ιωάννης Παυλόσογλου είναι Υποδιευθυντής της Εθνικής Αρχής Κυβερνοασφάλειας.