Οι μικρές και μικρομεσαίες επιχειρήσεις, χωρίς καμία υπερβολή, είναι ο πιο ευάλωτος κρίκος τόσο στην Ελλάδα όσο και διεθνώς σε θέματα κυβερνοασφάλειας.
- του Βασίλη Κορκίδη – Πρόεδρος ΕΒΕΠ
Η πραγματική εικόνα είναι πως 6 στις 10 ΜμΕ δέχονται τουλάχιστον ένα σοβαρό συμβάν «cyber-incident» μέσα σε 12 μήνες και περίπου το 50% των επιθέσεων παγκοσμίως στοχεύει πλέον τις μικρότερες επιχειρήσεις και όχι τους μεγάλους επιχειρηματικούς ομίλους. Ο δε κίνδυνος μπορεί να είναι τόσο μεγάλος, ώστε μετά από μια κυβερνοεπίθεση που προκαλεί ένα σοβαρό «ransomware», για 1 στις 3 ΜμΕ κινδυνεύει η λειτουργία της για διάστημα 6 έως 12 μηνών. Οι πολύ μικρές, μικρές και μικρομεσαίες επιχειρήσεις δεν κινδυνεύουν από «cyber risk» μόνο επειδή είναι «μικρές», αλλά επειδή είναι πιο εύκολες και πολλές.
Στην Ελλάδα, κάτω από το 35% των ΜμΕ έχει είτε σχέδιο αντιμετώπισης περιστατικού, είτε τακτικά backups εκτός δικτύου, είτε βασική εκπαίδευση προσωπικού. Οι ΜμΕ είναι ευάλωτες γιατί πιστεύουν πως κανείς δεν θα ασχοληθεί μαζί τους, κάτι που είναι φυσικά λάθος, αφού οι επιθέσεις είναι μαζικές και αυτοματοποιημένες και όχι μεμονωμένα στοχευμένες. Επίσης, οι ΜμΕ περιορίζονται μόνο σε Antivirus μέτρα, χωρίς Multi-Factor Authentication (MFA), χωρίς monitoring, χωρίς Security Operations Center (SOC), που για τους επιτιθέμενους είναι «ανοιχτή πόρτα» και ένα κλικ αρκεί. Ένα περιστατικό κυβερνοεπίθεσης σε μια ελληνική ΜμΕ μπορεί να έχει άμεσο κόστος 15.000-50.000 ευρώ, πρόστιμα GDPR από 2.000 ευρώ και άνω, έμμεσο κόστος με πλήγμα αξιοπιστίας, απώλεια πελατών, ακόμα και διακοπή λειτουργίας.
Φυσικά, ο ανθρώπινος παράγοντας παίζει σημαντικό ρόλο στη διαχείριση των «phishing emails» για τιμολόγια, παραγγελίες και πλαστά e-mails πελατών και προμηθευτών. Επίσης, η πολλαπλή εξάρτηση από τρίτους όπως λογιστές, ERP, cloud apps, courier, marketplaces δημιουργεί συνθήκες για επιθέσεις στην εφοδιαστική αλυσίδα που χτυπούν πρώτα τις ΜμΕ. Τα είδη των επιθέσεων που βλέπουμε συχνότερα στις ΜμΕ είναι το κλείδωμα δεδομένων «ransomware», η αλλαγή IBAN λογαριασμού και τα πλαστά τιμολόγια «BEC fraud», η κακόβουλη χρήση λίστας πελατών, ΑΦΜ και mails «data breaches», τα δήθεν GDPR πρόστιμα και, τέλος, η κατάληψη ιστοσελίδων και ηλεκτρονικών καταστημάτων «website & e-shop takeovers».
Το κρίσιμο σημείο αποφάσεων και σωστών επιλογών έρχεται φέτος, όπου περισσότερες ΜμΕ θα μπαίνουν σε καθεστώς υποχρεώσεων Network and Information Security Directive NIS2, αφού οι μεγάλες εταιρείες θα ζητούν «cyber-compliance» από τους συνεργάτες τους, με αποτέλεσμα όποια ΜμΕ δεν συμμορφώνεται να βγαίνει εκτός αλυσίδας. Χωρίς υπερβολικό κόστος, την πραγματική διαφορά στη κυβερνοασφάλεια κάνει ο έλεγχος MFA παντού, στα backups offline & cloud, με «phishing training» εργοδοτών και εργαζομένων, SOC-as-a-Service με ασφάλεια διαχείρισης και «cyber hygiene» στο σύνολο της διαχείρισης της επιχείρησης και όχι μόνο στο IT. Όποια ΜμΕ επενδύσει λίγα αλλά σωστά, περνά άμεσα πάνω από τον μέσο όρο ασφάλειας.
Αντικειμενικά, η χώρα μας βρίσκεται σε μεσαίο έως καλό επίπεδο κυβερνοασφάλειας, όχι στην πρωτοπορία, αλλά σαφώς πάνω από τον ευρωπαϊκό μέσο όρο σε ορισμένους τομείς. Πρακτικά κατατάσσεται σε ευρωπαϊκό επίπεδο στη 2η ταχύτητα, που σημαίνει μεσαία προς ανώτερη κατηγορία, καθώς επίσης άνω του μέσου όρου βρίσκεται και σε παγκόσμιο επίπεδο, αλλά όχι στις Top 20 χώρες. Ταυτόχρονα, ο δημόσιος τομέας και οι κρίσιμες ψηφιακές υποδομές, αν και ανομοιογενείς, καταγράφουν καλή πρόοδο, ενώ στον ιδιωτικό τομέα οι μικρομεσαίες επιχειρήσεις κινούνται με τη βασική προστασία.
Η Ελλάδα πλεονεκτεί έναντι άλλων χωρών σε θεσμικό πλαίσιο, με την εναρμόνιση του NIS2, του GDPR και τη λειτουργία της Εθνικής Αρχής Κυβερνοασφάλειας έχει σημειώσει σημαντική βελτίωση σε ενέργεια, τηλεπικοινωνίες, τράπεζες, είναι σε καλό επίπεδο σε ναυτιλία και λιμένες, λόγω της διεθνοποίησης των κινδύνων, συνεργάζεται με ΕΕ και ΝΑΤΟ, συμμετέχει σε ευρωπαϊκές ασκήσεις κυβερνοεπιθέσεων και έχει πραγματοποιήσει τη μετάβαση σε υποδομές cloud με τα καλύτερα στάνταρ ασφαλείας. Εκεί που υστερεί είναι στην τοπική αυτοδιοίκηση και στις πολλές μικρές επιχειρήσεις, όπου παρατηρείται χαμηλή ετοιμότητα, ανισομερής εφαρμογή κανόνων μεταξύ φορέων, κενό γνώσης κινδύνου και έλλειψη ανθρώπινου δυναμικού.
Στον χάρτη της Ευρώπης, η Ελλάδα στους σχετικούς δείκτες βρίσκεται μπροστά από αρκετές χώρες της ΝΑ Ευρώπης, κοντά στην Ιταλία και την Ισπανία και πίσω από τις Εσθονία, Φινλανδία, Γερμανία, Ολλανδία και Γαλλία. Αυτό που χρειάζεται για να ανέβει κατηγορία είναι να κάνει υποχρεωτικό το «cyber-risk management» για τις ΜμΕ των κρίσιμων αλυσίδων, να εκπαιδεύσει διοικήσεις και προσωπικό σε δήμους και μικρούς φορείς και, τέλος, να συνδέσει τη κυβερνοασφάλεια με ναυτιλία, logistics, ενέργεια και άμυνα. Η Ελλάδα δεν είναι αδύναμος κρίκος στο cyber risk, αλλά δεν είναι ακόμα και cyber leader, έχει όμως τις βάσεις και το κίνητρο να γίνει.
