Η συχνότητα των Κυβερνοεπιθέσεων και κυρίως των επιθέσεων ransomware, όπου ο επιτιθέμενος κρυπτογραφεί τα δεδομένα ή αρχεία μιας επιχείρησης, έχει αναγκάσει τους ειδικούς να στραφούν στην Τεχνητή Νοημοσύνη για τη δημιουργία αποτελεσματικών εργαλείων Κυβερνοάμυνας.
Ετσι, η τεχνητή νοημοσύνη (ΤΝ) έχει αναδειχθεί ως ένα από τα πιο ισχυρά εργαλεία προσφέροντας τη δυνατότητα ανάλυσης τεράστιων ποσών δεδομένων σε πραγματικό χρόνο, τον εντοπισμό ανωμαλιών και την αυτοματοποίηση της απόκρισης σε περιστατικά. Παράλληλα, όμως, η υιοθέτησή της συνοδεύεται από αυξημένες ευθύνες για τα στελέχη και τη διοίκηση μιας εταιρείας, καθώς το ρυθμιστικό πλαίσιο στην Ευρωπαϊκή Ενωση και την Ελλάδα γίνεται ολοένα και πιο αυστηρό.
Το ρυθμιστικό περιβάλλον στην ΕΕ διαμορφώνεται γύρω από τρεις βασικούς πυλώνες: την αναθεωρημένη Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών (NIS2), τον Κανονισμό για την Ψηφιακή Λειτουργική Ανθεκτικότητα (DORA) και τον Κανονισμό για την Κυβερνοανθεκτικότητα (CRA).
Η NIS2 στοχεύει κρίσιμους τομείς όπως η ενέργεια, η υγεία, οι μεταφορές και οι βασικές ή ψηφιακές υποδομές. Ο DORA επικεντρώνεται στις χρηματοπιστωτικές υπηρεσίες, καλύπτοντας τράπεζες, ασφαλιστικές εταιρείες, εταιρείες κρυπτονομισμάτων και τους κρίσιμους προμηθευτές τους στον τομέα των ΤΠΕ, με πλήρη εφαρμογή από τον Ιανουάριο του 2025.
Ο CRA επιβάλλει οριζόντιες απαιτήσεις κυβερνοασφάλειας για ψηφιακά προϊόντα, συμπεριλαμβανομένων των συστημάτων ΤΝ και των συσκευών ΙοΤ (Internet of Things), απαιτώντας αρχές ασφαλούς σχεδιασμού, συνεχή εντοπισμό και διαχείριση τρωτών σημείων, καθώς και διαφάνεια προς τους χρήστες.
Στην Ελλάδα, οι νόμοι 4961/2022, 5086/2024 και 5160/2024 διαμορφώνουν το εθνικό πλαίσιο της κυβερνοασφάλειας θέτοντας υψηλά πρότυπα για τη διακυβέρνηση, τη διαφάνεια και τη λογοδοσία. Η Εθνική Αρχή Κυβερνοασφάλειας αναλαμβάνει ρόλο εποπτείας και πιστοποίησης ψηφιακών προϊόντων, ενώ οι εταιρείες που εμπίπτουν στον έλεγχό της (είτε δημοσίου είτε ιδιωτικού τομέα) υποχρεούνται να υιοθετήσουν πολιτικές ασφάλειας, διαδικασίες τακτικής εκτίμησης κινδύνων και συνεχείς ενημερώσεις για τη διατήρηση της ανθεκτικότητας των συστημάτων ΤΝ.
Υποχρεώσεις, ευθύνες και κυρώσεις
Η ΤΝ, αν και ενισχύει την αποτελεσματικότητα της κυβερνοασφάλειας, δεν απαλλάσσει τα στελέχη των εταιρειών από την ευθύνη. Το ΔΣ τους παραμένει πλήρως υπεύθυνο για τη συμμόρφωση με τα πρότυπα της NIS2, του DORA και του CRA, ανεξάρτητα από το πόσο προηγμένη είναι η τεχνολογία που χρησιμοποιείται. Μάλιστα ο ν.5160/2024 προβλέπει και προσωπική ευθύνη σε επίπεδο όχι μόνο ΔΣ αλλά managers (C level), δημιουργώντας επιπρόσθετο άγχος σε όσους κατέχουν θέσεις με αποφασιστικές αρμοδιότητες.
Οι κυρώσεις για μη συμμόρφωση είναι σημαντικές: ο DORA προβλέπει πρόστιμα έως 2% του παγκόσμιου κύκλου εργασιών για χρηματοπιστωτικές οντότητες και έως 1.000.000 ευρώ για φυσικά πρόσωπα, ενώ οι κρίσιμοι τρίτοι πάροχοι μπορεί να αντιμετωπίσουν πρόστιμα έως 5.000.000 ευρώ. Η NIS2 και ο CRA επιβάλλουν επίσης αυστηρές κυρώσεις, ενισχύοντας την πίεση για συμμόρφωση.
Οδηγός συμμόρφωσης και καλές πρακτικές
Για την αποτελεσματική ενσωμάτωση της ΤΝ στην κυβερνοασφάλεια, απαιτείται ολιστική διαχείριση κινδύνων, συνεχείς εκτιμήσεις και ετήσιες αναθεωρήσεις ευπάθειας. Η ΤΝ μπορεί να επιταχύνει τη συμμόρφωση, αλλά μόνο υπό αυστηρό έλεγχο και με ανθρώπινη εποπτεία. Κάθε συνεπής ηγετική ομάδα πρέπει να τεκμηριώνει την αποτελεσματικότητα των συστημάτων.
Η συνέπεια σε όλη την αλυσίδα εφοδιασμού είναι κρίσιμη, με συμβατικές ρήτρες που επιβάλλουν τη συμμόρφωση σε εσωτερικές ομάδες και τρίτους παρόχους. Και όλα αυτά ξεκινούν από την αποτελεσματική κατανόηση των διαδικασιών και των αναγκών μιας επιχείρησης.
Αν δεν υπάρχει ένα επαρκές πρόγραμμα διακυβέρνησης των δεδομένων (Data Governance) δεν γίνεται κατανοητή η αξία των εσωτερικών ελέγχων των διαδικασιών και, συνακόλουθα, δεν υπάρχει δομημένη εποπτεία των συστημάτων. Από το ξεκαθάρισμα των δεδομένων (προσωπικών και μη) μέχρι την εισαγωγή καινοτόμων εφαρμογών ΤΝ, η διαφάνεια, η λογοδοσία και η ανθρώπινη εποπτεία παραμένουν στο επίκεντρο, καθώς οι ρυθμιστικές αρχές ενδιαφέρονται περισσότερο για τη δέουσα επιμέλεια της διοίκησης μιας εταιρείας παρά για την πολυπλοκότητα της τεχνολογίας που εφαρμόζει.
Η ΤΝ μπορεί να εντοπίσει απειλές, αλλά μόνο μία σωστά ενημερωμένη (και εκπαιδευμένη) διοικητική ομάδα μπορεί να διαχειριστεί τις συνέπειες ενός συμβάντος ασφαλείας, εξισορροπώντας την καινοτομία με την υπεύθυνη διακυβέρνηση και τη συμμόρφωση.
Ο κ. Σπύρος Τάσσης είναι δικηγόρος, εταίρος δικηγορικής εταιρείας «PotamitisVekris», πρόεδρος Ενωσης Προστασίας Δεδομένων και Ιδιωτικότητας. Ο κ. Κωνσταντίνος Β. Τραντόπουλος είναι σύμβουλος Στρατηγικής, Fellow, IMD Business School, Ελβετία.
