Κατερίνα Τασιοπούλου (ThreatScene Greece): Οι κυβερνοεπιθέσεις δεν είναι πιθανότητα. Είναι καθημερινότητα

H Κατερίνα Τασιοπούλου, Co-Founder και CEO της ThreatScene Greece καταγράφει τη σύγχρονη πραγματικότητα σχετικά με τους ψηφιακούς κινδύνους για ιδιώτες και επιχειρήσεις.

Όταν η Κατερίνα Τασιοπούλου αποφάσισε να επιστρέψει στην Ελλάδα, δεν γύρισε απλώς µε γεµάτο βιογραφικό. Γύρισε µε µια αποστολή. Μετά από χρόνια εµπειρίας σε διεθνείς οργανισµούς στον τοµέα της κυβερνοασφάλειας, ήξερε πως αυτό που στην Ελλάδα αντιµετωπίζεται ακόµη σαν τεχνικό ζήτηµα, στο εξωτερικό θεωρείται κρίσιµη υποδοµή, θεµέλιο εµπιστοσύνης, ανταγωνιστικότητας και ανθεκτικότητας.

Έτσι γεννήθηκε η ThreatScene Greece, µια 100% ελληνική εταιρεία µε διεθνές αποτύπωµα, αλλά βαθιά κατανόηση της τοπικής πραγµατικότητας. Με την ίδια στη θέση της CEO και Co-Founder, η εταιρεία φέρνει ένα νέο µοντέλο. Η κυβερνοασφάλεια δεν είναι «θέµα του IT», είναι οικοσύστηµα και απαιτεί κουλτούρα, στρατηγική και φυσική παρουσία εκεί που συµβαίνει η κρίση. ∆εν είναι τυχαίο ότι κορυφαία στελέχη του επιχειρηµατικού και τεχνολογικού κόσµου έχουν πιστέψει σε αυτό το όραµα και συµµετέχουν ενεργά. Μάλιστα στο διοικητικό συµβούλιο της ThreatScene συµµετέχουν ο Νικόλαος Γιαννακάκης (CIO Motor Oil Hellas), ο Βαρδής Βαρδινογιάννης (CEO Couch Heroes), ο Αλέξανδρος Μπρέγιαννης (CEO Nova ICT) και ο Γεώργιος Μενεξής (CEO Scytalys).

Σήµερα, η ThreatScene συνεργάζεται µε οργανισµούς σε κρίσιµους τοµείς όπως η ναυτιλία, οι χρηµατοοικονοµικές υπηρεσίες, η βιοµηχανία και το ∆ηµόσιο. Κοινός παρονοµαστής; Η ανάγκη για πραγµατική ανθεκτικότητα σε έναν κόσµο όπου οι κυβερνοεπιθέσεις δεν είναι πια απειλή, αλλά καθηµερινότητα, λέει στη συνέντευξή της στο Fortune Greece, η Κατερίνα Τασιοπούλου. Η ίδια εξηγεί γιατί η Ελλάδα µπορεί να µετατραπεί σε πυλώνα ψηφιακής ανθεκτικότητας, αν τολµήσει να επενδύσει σοβαρά σε αυτό που µέχρι χθες θεωρούσε απλώς τεχνικό ζήτηµα.

Κυρία Τασιοπούλου, τι ήταν αυτό που σας έκανε να αφήσετε μια διεθνή καριέρα για να χτίσετε από το μηδέν ένα οικοσύστημα κυβερνοασφάλειας στην Ελλάδα;

Η απόφαση να επιστρέψω στην Ελλάδα και να ιδρύσω την ThreatScene δεν ήταν µόνο επαγγελµατική, ήταν και βαθιά προσωπική. Είχα την τύχη να εργαστώ στο εξωτερικό, σε µεγάλους οργανισµούς και να αποκτήσω πολύτιµη εµπειρία και τεχνογνωσία. Αυτό που ήθελα, όµως, ήταν να επιστρέψω αυτή τη γνώση στη χώρα µου και να συµβάλω στη διαµόρφωση ενός πιο ώριµου και αυτόνοµου οικοσυστήµατος κυβερνοασφάλειας στην Ελλάδα.

Η ελληνική αγορά έχει ανάγκη από λύσεις υψηλού επιπέδου, που µιλούν τη γλώσσα της τοπικής πραγµατικότητας αλλά στηρίζονται σε διεθνή standards. Το NIS2 είναι µια καµπή: ναι, είναι πρόκληση, αλλά ταυτόχρονα ευκαιρία για την ελληνική επιχειρηµατική σκηνή να ανέβει επίπεδο. Κι εµείς θέλουµε να είµαστε παρόντες – για να βοηθήσουµε ουσιαστικά.

Ένα από τα πράγµατα που επίσης µε απασχολούν έντονα είναι η «διαρροή» ταλέντου στο εξωτερικό. Πολλοί Έλληνες επαγγελµατίες φεύγουν επειδή το επάγγελµα της κυβερνοασφάλειας δεν αναγνωρίζεται και δεν υποστηρίζεται επαρκώς. Στόχος µου είναι να δηµιουργήσουµε ένα περιβάλλον στην Ελλάδα όπου οι νέοι θα µπορούν να µείνουν, να εξελιχθούν και να εργάζονται σε συνθήκες αντίστοιχες µε αυτές του εξωτερικού.

Πιστεύω ότι η κυβερνοασφάλεια πρέπει να αποτελεί στρατηγική προτεραιότητα για κάθε κράτος – και ότι η Ελλάδα έχει τη δυνατότητα να σταθεί ανεξάρτητη, χωρίς να βασίζεται σε οργανισµούς του εξωτερικού για την προστασία των κρίσιµων ψηφιακών της υποδοµών.

Οι προκλήσεις ήταν και είναι πολλές: καχυποψία, έλλειψη θεσµικής κατεύθυνσης, ανεπαρκής κουλτούρα πρόληψης. Όταν όµως υπάρχει όραµα και επιµονή, οι ευκαιρίες ξεπροβάλλουν µέσα από τα κενά. Και σήµερα, περισσότερο από ποτέ, νιώθω ότι η παρουσία µας εδώ µπορεί να κάνει τη διαφορά.

Όμως η κυβερνοασφάλεια συχνά θεωρείται τεχνικό θέμα, ενώ εσείς μιλάτε για οικοσύστημα και στρατηγική αξία. Ποιες είναι οι προκλήσεις στο να πείσετε οργανισμούς που την αντιμετωπίζουν μόνο ως «firewall και antivirus»;

Η µεγαλύτερη πρόκληση είναι να βοηθήσεις έναν οργανισµό να αντιληφθεί ότι η κυβερνοασφάλεια δεν είναι απλώς θέµα IT, αλλά στρατηγικής σηµασίας. ∆εν περιορίζεται σε ένα firewall ή ένα antivirus – αφορά διαδικασίες, πολιτικές, ανθρώπους, θεσµικό πλαίσιο και, κυρίως, κουλτούρα. Στη ThreatScene λέµε συχνά: η κυβερνοασφάλεια είναι ένα ζωντανό οικοσύστηµα που επηρεάζει τη φήµη, τη λειτουργικότητα, τις οικονοµικές επιδόσεις και τις σχέσεις µε τους πελάτες.

Όταν µια εταιρεία δεχτεί επίθεση, δεν «πέφτει» απλώς ένα σύστηµα. Πλήττεται η αξιοπιστία της, αναστέλλονται βασικές λειτουργίες, χάνεται η εµπιστοσύνη, αναβάλλονται έργα, παγώνουν συνεργασίες. Αυτές οι επιπτώσεις είναι ορατές και χειροπιαστές.

Η πρόκληση είναι να περάσεις αυτό το µήνυµα πριν συµβεί το κακό. Και αυτό γίνεται σήµερα πιο εύκολα, γιατί όλοι βλέπουν την εκρηκτική αύξηση των επιθέσεων – σε συχνότητα, ένταση και κόστος. Παράλληλα, η διάχυση της τεχνολογίας σε κάθε πτυχή της επιχειρησιακής ζωής έχει πολλαπλασιάσει το πεδίο των κινδύνων. Για όλους αυτούς τους λόγους, η επένδυση στην κυβερνοασφάλεια δεν είναι πια θέµα επιλογής. Είναι αναγκαία προϋπόθεση για ανθεκτικότητα και βιώσιµη ανάπτυξη.

Η επένδυση στην κυβερνοασφάλεια δεν είναι πια θέμα επιλογής. Είναι αναγκαία προϋπόθεση για ανθεκτικότητα και βιώσιμη ανάπτυξη.

Η ThreatScene εστιάζει στον ναυτιλιακό τομέα, που παραδοσιακά κινείται με τους δικούς του ρυθμούς. Πώς πείθετε τους πλοιοκτήτες και ασφαλιστικούς οργανισμούς ότι η κυβερνοασφάλεια είναι κρίσιμη για την ανταγωνιστικότητα και ανθεκτικότητα, και όχι απλώς ένας κανονιστικός περιορισμός;

Η ναυτιλία αλλάζει. Ψηφιοποιείται µε ραγδαίους ρυθµούς, και µαζί µε τις ευκαιρίες έρχονται και οι νέες απειλές. Ο κλάδος δέχεται όλο και περισσότερες κυβερνοεπιθέσεις και το πρόβληµα έχει πλέον αναγνωριστεί. Οι πλοιοκτήτες συζητούν µεταξύ τους, µοιράζονται εµπειρίες και προβληµατισµούς. Το αφήγηµα έχει αρχίσει να αλλάζει: η κυβερνοασφάλεια δεν είναι ζήτηµα συµµόρφωσης, αλλά όρος βιωσιµότητας και ανταγωνιστικότητας. Στη ThreatScene, συζητάµε µε τις ναυτιλιακές εταιρείες και θέλουµε να κατανοήσουµε µε ακρίβεια τον τρόπο λειτουργίας τους, τα ρίσκα που αντιµετωπίζουν και τα πιθανά κενά που µπορεί να προκύψουν σε πραγµατικές συνθήκες. Από εκεί και πέρα, σχεδιάζουµε λύσεις που έχουν νόηµα – όχι µόνο για τις ρυθµιστικές αρχές, αλλά και για τους συνεργάτες τους, τα πληρώµατα, τα συστήµατα και τους πελάτες τους.

Η κυβερνοασφάλεια είναι πλέον ανταγωνιστικό πλεονέκτηµα. Μια ναυτιλιακή που ακολουθεί τα σύγχρονα πρότυπα προστασίας, κερδίζει την εµπιστοσύνη και νέες συνεργασίες. Αντίθετα, µια εταιρεία που παραµένει εκτεθειµένη σε απειλές, χάνει σηµαντικό µερίδιο στην αγορά. Η αγορά έχει γίνει πιο απαιτητική – και η ψηφιακή ανθεκτικότητα είναι πλέον προαπαιτούµενη. Στη σύγχρονη ναυτιλία, η κυβερνοασφάλεια δεν πρέπει να αντιµετωπίζεται ως κόστος αλλά ως κεφάλαιο εµπιστοσύνης. Και η εµπιστοσύνη είναι το πιο σταθερό νόµισµα στον παγκόσµιο ανταγωνισµό.

Η Ελλάδα βρίσκεται σε μεταβατική περίοδο ψηφιακής ωρίμανσης. Πώς επηρεάζει η οδηγία NIS2 το τοπίο και πώς προετοιμάζετε τους πελάτες σας για ουσιαστική συμμόρφωση;

Ο NIS2 δεν είναι απλώς ένας νέος κανονισµός – είναι ένα καµπανάκι που υπενθυµίζει ότι η ασφάλεια πρέπει να είναι ουσιαστική και όχι επιφανειακή. ∆εν αρκεί να διαθέτεις «κάποια µέτρα». Οφείλεις να αποδεικνύεις ότι είναι λειτουργικά, αποτελεσµατικά και ενσωµατωµένα στη στρατηγική και την καθηµερινότητα της επιχείρησής σου.

Η αλήθεια είναι ότι ως χώρα δεν είµαστε ακόµη έτοιµοι να ανταποκριθούµε σε αυτό το επίπεδο απαιτήσεων. Στη ThreatScene δουλεύουµε ακριβώς γι’ αυτό: να εκπαιδεύσουµε τους πελάτες µας και να τους βοηθήσουµε να κατανοήσουν τι σηµαίνει ουσιαστική συµµόρφωση. Ξεκινάµε µε gap analysis για να εντοπίσουµε τα αδύναµα σηµεία τους, αξιολογούµε κατά πόσο υπάρχουν ουσιαστικά επίπεδα προστασίας και προτείνουµε ενέργειες µε βάση πραγµατικά ρίσκα – όχι θεωρητικά σενάρια. Παράλληλα, οργανώνουµε workshops και εκπαιδευτικές δράσεις, όχι µόνο για τα τεχνικά στελέχη, αλλά και για τη διοίκηση, ώστε να αρχίσει να αλλάζει η κουλτούρα. Γιατί χωρίς εκπαίδευση και εσωτερική κατανόηση του «γιατί», δεν µπορεί να υπάρξει µακροχρόνια ανθεκτικότητα.

Το κόστος συµµόρφωσης µε τη NIS2 είναι, στην πραγµατικότητα, αµελητέο µπροστά στο κόστος µιας σοβαρής επίθεσης. Το ζητούµενο, εποµένως, δεν είναι η ελάχιστη συµµόρφωση. Είναι η µετάβαση από την αντίδραση στην πρόβλεψη. Και βλέπουµε πως όλο και περισσότεροι οργανισµοί αρχίζουν να το καταλαβαίνουν.

Η κυβερνοασφάλεια είναι οικοσύστημα. Και το οικοσύστημα χρειάζεται κουλτούρα, όχι μόνο τεχνολογία.

Σε έναν κλάδο όπου η τεχνογνωσία είναι πολύτιμο κεφάλαιο, πώς οικοδομείτε την εμπιστοσύνη και προάγετε τη συνεργασία, ιδιαίτερα με διεθνείς εταίρους και θεσμικούς φορείς;

Η κυβερνοασφάλεια δεν είναι χώρος για µοναχικές στρατηγικές. Κάθε φορά που ένας οργανισµός παραβιάζεται, το σύνολο του οικοσυστήµατος αποδυναµώνεται. Κι όµως, σε πολλούς τοµείς, η γνώση παραµένει κλειδωµένη: περιστατικά δεν κοινοποιούνται, µεθοδολογίες δεν ανταλλάσσονται, καλές πρακτικές µένουν εσωτερικά. Αυτή η κουλτούρα είναι κατανοητή, αλλά δεν είναι βιώσιµη.

Στη ThreatScene επενδύουµε σε µια διαφορετική λογική: κουλτούρα εµπιστοσύνης, διαφάνειας και θεσµικής σύµπραξης. ∆ηµιουργήσαµε το MARINE Framework για τη ναυτιλία και το διαθέσαµε ελεύθερα ως χρήσιµο εργαλείο για όλους τους παίκτες του κλάδου. ∆εν είναι ένα «εσωτερικό asset». Είναι µια υποδοµή ασφάλειας µε κοινωνικό αποτύπωµα, που σχεδιάστηκε σε συνεργασία µε θεσµικούς φορείς όπως το Ναυτικό Επιµελητήριο Ελλάδος και αναγνωρίστηκε από το Bureau Veritas. Αυτό, για εµάς, είναι συλλογική απάντηση στην απειλή.

Επιπλέον, η επιλογή µας να παρέχουµε µόνο συµβουλευτικές υπηρεσίες και όχι προϊόντα κυβερνοασφάλειας, δεν είναι σύµπτωση. Είναι στρατηγική απόφαση, ώστε να παραµένουµε αντικειµενικοί, ανεξάρτητοι και χωρίς σύγκρουση συµφερόντων. Όταν συµµετέχουµε σε διεθνή σχήµατα, ευρωπαϊκές πρωτοβουλίες ή θεσµικές συζητήσεις, η παρουσία µας δεν εξυπηρετεί εµπορική ατζέντα. Εξυπηρετεί την κοινή στόχευση.

Η εµπιστοσύνη, τελικά, δεν χτίζεται µε λόγια ή NDAs. Χτίζεται µε συνέργειες, επιτυχίες και γνώση που µοιράζεται. Μόνο έτσι χτίζεις ανθεκτικότητα σε επίπεδο κλάδου.

Ο κυβερνοχώρος δεν έχει σύνορα, αλλά η άμεση απόκριση απαιτεί τοπική γνώση. Πώς γεφυρώνετε αυτό το χάσμα;

Ο κυβερνοχώρος είναι χωρίς σύνορα, αλλά οι επιθέσεις αφήνουν τοπικά αποτυπώµατα. Και εκεί, έχουµε ένα καθαρό πλεονέκτηµα απέναντι στους επιτιθέµενους: τη φυσική µας παρουσία στο σηµείο της κρίσης. Όταν χτυπάει ένα περιστατικό, ο οργανισµός δεν χρειάζεται µόνο τεχνική υποστήριξη εξ αποστάσεως. Χρειάζεται κάποιον που µιλά τη γλώσσα του, καταλαβαίνει το νοµικό και πολιτισµικό του περιβάλλον και είναι δίπλα του, στο πεδίο.

Γι’ αυτό στη ThreatScene λειτουργούµε µε υβριδικό µοντέλο απόκρισης. Επενδύουµε σε τοπικές οµάδες και συνεργασίες, ενισχύουµε τις επιχειρησιακές µας δυνατότητες µε ένα κοινό επιχειρησιακό πλαίσιο και real-time διασύνδεση και διατηρούµε ενιαία πρότυπα και µεθοδολογίες, ώστε να µπορούµε να ανταποκρινόµαστε γρήγορα, µε συνέπεια, όπου κι αν προκύψει η ανάγκη.

Ταυτόχρονα, αναγνωρίζουµε ότι ως εταιρείες έχουµε φυσικά όρια στους διαθέσιµους ανθρώπινους πόρους. Ειδικά σε περιόδους πολλαπλών κρίσεων. Για να αντιµετωπίσουµε αυτή την πρόκληση αναβαθµίζουµε την οµάδα µας συστηµατικά, µε στόχο να είναι ικανή να ανταπεξέλθει σε κάθε τύπο περιστατικού, ανεξαρτήτως κλίµακας.

Και κάτι πολύ βασικό: το incident response δεν διδάσκεται πλήρως. Κατακτιέται µέσα από πραγµατικές κρίσεις, από αποφάσεις που παίρνονται σε δευτερόλεπτα και από εµπειρίες που δεν καταγράφονται σε manuals. Εµείς κατέχουµε αυτές τις εµπειρίες και συνεχώς εξελίσσουµε την οµάδα µας. Γιατί τελικά, στην κρίσιµη στιγµή, η εµπιστοσύνη χτίζεται στο πεδίο. Και εκεί φροντίζουµε να είµαστε παρόντες.

Η κυβερνοεπίθεση είναι πλέον καθημερινότητα. Πώς προετοιμάζετε έναν οργανισμό όχι μόνο τεχνολογικά, για να ανταποκριθεί με ψυχραιμία και αποτελεσματικότητα;

Οι κυβερνοεπιθέσεις δεν είναι πλέον πιθανότητα. Είναι καθηµερινότητα. Το ερώτηµα δεν είναι «αν» θα συµβεί, αλλά «πότε» και «πώς» θα αντιδράσει ο οργανισµός. Η τεχνολογική προετοιµασία είναι απαραίτητη, αλλά δεν είναι το πιο δύσκολο κοµµάτι. Το δύσκολο είναι το ανθρώπινο στοιχείο: πώς θα λειτουργήσει µια οµάδα υπό πίεση, πώς θα συντονιστούν τα στελέχη, πώς θα αποφευχθεί ο πανικός.

Γι’ αυτό, στη ThreatScene, δίνουµε ιδιαίτερη έµφαση στην καλλιέργεια κουλτούρας ετοιµότητας. Πέρα από τα τεχνικά µέτρα, σχεδιάζουµε µαζί µε τους πελάτες µας simulated επιθέσεις και ασκήσεις κρίσης, που προσοµοιώνουν πραγµατικές συνθήκες περιστατικών. Εκεί δοκιµάζονται η ψυχραιµία, η ταχύτητα και η συνέπεια. Εκεί αποκαλύπτονται οι ρόλοι που είναι ασαφείς, τα κενά στις διαδικασίες και τα ρίσκα στην επικοινωνία.

Η εκπαίδευση δεν αφορά µόνο το IT. Αφορά το διοικητικό συµβούλιο, την επικοινωνιακή οµάδα, τα operations. Γιατί όταν χτυπήσει η κρίση, δεν είναι ώρα για αυτοσχεδιασµούς. Είναι ώρα για πράξη βάσει προετοιµασίας. Η ψυχραιµία σε µια κυβερνοεπίθεση δεν είναι έµφυτη. Είναι δεξιότητα που καλλιεργείται. Και η συνέπεια δεν είναι θέµα τύχης. Είναι προϊόν εξάσκησης, δοµής και κουλτούρας.

*Το άρθρο δημοσιεύεται στο νέο τεύχος του Fortune Greece κυκλοφορεί από την Τετάρτη 14/05 στα περίπτερα.

Κυρία Τασιοπούλου, τι ήταν αυτό που σας έκανε να αφήσετε μια διεθνή καριέρα για να χτίσετε από το μηδέν ένα οικοσύστημα κυβερνοασφάλειας στην Ελλάδα;

Η Ελλάδα βρίσκεται σε μεταβατική περίοδο ψηφιακής ωρίμανσης. Πώς επηρεάζει η οδηγία NIS2 το τοπίο και πώς προετοιμάζετε τους πελάτες σας για ουσιαστική συμμόρφωση;

Ο κυβερνοχώρος δεν έχει σύνορα, αλλά η άμεση απόκριση απαιτεί τοπική γνώση. Πώς γεφυρώνετε αυτό το χάσμα;

Η κυβερνοεπίθεση είναι πλέον καθημερινότητα. Πώς προετοιμάζετε έναν οργανισμό όχι μόνο τεχνολογικά, για να ανταποκριθεί με ψυχραιμία και αποτελεσματικότητα;

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΑ: