Κατερίνα Τασιοπούλου (ThreatScene Greece): Οι ελληνικές ναυτιλιακές εταιρείες υστερούν σε επενδύσεις και μέτρα κυβερνοασφάλειας

Στην εποχή της ψηφιοποίησης της ναυτιλίας και της τεχνολογικής εξέλιξης είναι πλέον επιτακτική η ανάγκη να θωρακιστούν όλες οι εταιρείες και όλες οι υπηρεσίες του ελληνικού ναυτιλιακού cluster από τη μάστιγα των κυβερνοεπιθέσεων.

Στο πλαίσιο αυτό το Ναυτικό Επιμελητήριο Ελλάδος ανέλαβε να δώσει στα 26.000 μέλη του από όλο το φάσμα της ναυτιλίας τις κατευθυντήριες γραμμές με στόχο, σε συνεργασία με την ThreatScene Greece, εταιρεία παροχής συμβουλευτικών υπηρεσιών πάνω στο θέμα αυτό, να θωρακίσουν τη ναυτιλία και να διασφαλίσουν τη σταθερότητα σε έναν από τους πιο σημαντικούς τομείς της ελληνικής οικονομίας.

Για τον αχαρτογράφητο για τους περισσότερους τομέα στη ναυτιλία, αυτόν της κυβερνοασφάλειας, μίλησε στο «business stories» η διευθύνουσα σύμβουλος της ThreatScene Greece Κατερίνα Τασιοπούλου, η οποία αναφέρθηκε και στα σχέδια της εταιρείας.

– Επιλέξατε να δημιουργήσετε ένα εξειδικευμένο τμήμα, το ThreatScene Marine, για την κυβερνοασφάλεια στη ναυτιλία με έδρα την Ελλάδα. Ποιο ήταν το σκεπτικό σας;

Οι λόγοι που μας οδήγησαν στην ίδρυση της TS Marine είναι η σπουδαιότητα της ελληνικής ναυτιλίας, αλλά και η ιδιαιτερότητα του κλάδου. Η Ελλάδα έχει τη μεγαλύτερη ναυτιλιακή δύναμη στον κόσμο με 5.500 ποντοπόρα πλοία. Επίσης, η Ελλάδα αντιπροσωπεύει το 60% του στόλου της Ευρωπαϊκής Ενωσης και συνεισφέρει στην οικονομική ευημερία της Ευρώπης με έσοδα περίπου των 40 δισ. ευρώ, ένα πολύ εντυπωσιακό νούμερο. Η ναυτιλία είναι ιδιαίτερη, έχει ιδιαίτερες υποδομές, ιδιαίτερες τεχνολογίες, ιδιαίτερες απαιτήσεις, ιδιαίτερη κουλτούρα, και έτσι οι λύσεις για την προστασία της επίσης πρέπει να είναι ιδιαίτερες. Η κυβερνοασφάλεια δεν είναι αυτό που λέμε στην Αγγλία one size fits all, δηλ. ένα μέγεθος χωράει τους πάντες. Πρέπει κι αυτή να προσαρμοστεί στις ιδιαίτερες ανάγκες που έχει κάθε τομέας – αν και οι αρχές ενός δικτύου παραμένουν ίδιες, πολλά άλλα διαδικαστικά κομμάτια αλλάζουν.

– Κάνοντας μία έρευνα αγοράς σε ποια συμπεράσματα έχετε καταλήξει σε ό,τι αφορά το επίπεδο κυβερνοασφάλειας της ελληνικών συμφερόντων ναυτιλίας; Ποια η σύγκριση με τις ξένες ναυτιλιακές εταιρείες;

Η ελληνική ναυτιλία, αν και κατέχει ηγετική θέση παγκοσμίως, αντιμετωπίζει προκλήσεις στον τομέα της κυβερνοασφάλειας. Σύμφωνα με έρευνα της EY το 2020, το 71% των ελληνικών ναυτιλιακών επιχειρήσεων δαπανούσε λιγότερο από 100.000 δολάρια ετησίως για την κυβερνοασφάλεια, ενώ όλες οι επιχειρήσεις ανέφεραν αύξηση των κυβερνοεπιθέσεων τον τελευταίο χρόνο. Αντίστοιχα, έρευνα της AMMITEC το 2023 έδειξε ότι η προσαρμογή της ελληνικής ναυτιλίας στις ανάγκες της ψηφιοποίησης και της κυβερνοασφάλειας είναι σταδιακή. Σε σύγκριση με ξένες ναυτιλιακές εταιρείες, οι ελληνικές φαίνεται να υστερούν σε επενδύσεις και μέτρα κυβερνοασφάλειας. Πολλές διεθνείς εταιρείες έχουν ήδη ενσωματώσει προηγμένα συστήματα προστασίας και συμμορφώνονται με διεθνή πρότυπα, όπως το ISO/IEC 27001 και το ISO 22301. Επιπλέον, η οδηγία NIS της Ε.Ε., που αφορά την ασφάλεια δικτύων και πληροφοριών, επηρεάζει άμεσα τις ναυτιλιακές εταιρείες, καθιστώντας την κυβερνοασφάλεια κρίσιμο ζήτημα.

Συνολικά, ενώ η ελληνική ναυτιλία αναγνωρίζει τη σημασία της κυβερνοασφάλειας, απαιτούνται περαιτέρω επενδύσεις και ενίσχυση των μέτρων προστασίας για να ανταγωνιστεί αποτελεσματικά σε διεθνές επίπεδο.

– Πώς μπορεί να χτυπηθεί μία εταιρεία ή ένα πλοίο και ποιο από τα δύο είναι πιο εύκολο να συμβεί;

Μια κυβερνοεπίθεση μπορεί να στοχεύσει είτε μια ναυτιλιακή εταιρεία είτε ένα πλοίο με διαφορετικούς τρόπους και επιπτώσεις. Οι εταιρείες είναι πιο εκτεθειμένες, καθώς διαχειρίζονται μεγάλο όγκο δεδομένων και λειτουργούν μέσω συστημάτων όπως email, ERP και CRM που είναι προσβάσιμα στο Διαδίκτυο. Συχνές επιθέσεις περιλαμβάνουν phishing, ransomware-λύτρα και παραβιάσεις δεδομένων, που μπορούν να οδηγήσουν σε οικονομικές ζημιές, απώλεια εμπιστοσύνης πελατών και νομικές κυρώσεις, ειδικά στο πλαίσιο του GDPR και της NIS2.

Η Κατερίνα Τασιοπούλου με τον πρόεδρο του Ναυτικού Επιμελητηρίου Ελλάδος, δρα Γιώργο Πατέρα

Αντίθετα τα πλοία, αν και πιο απομονωμένα, γίνονται ευάλωτα λόγω της αυξανόμενης εξάρτησής τους από συστήματα αυτοματισμού και IoT [σ.σ.: η σύνδεση όλων των ηλεκτρονικών συσκευών μεταξύ τους (τοπικό δίκτυο) ή με δυνατότητα σύνδεσης στο Διαδίκτυο (παγκόσμιος ιστός)]. Επιθέσεις μπορεί να στοχεύουν συστήματα όπως το ECDIS για αλλοίωση πλοήγησης, το AIS για ψευδή δεδομένα θέσης, ή ακόμα και τα συστήματα πρόωσης και επικοινωνίας μέσω malware. Αν και οι επιθέσεις στα πλοία απαιτούν εξειδικευμένη γνώση, οι συνέπειες είναι συνήθως πιο σοβαρές, καθώς μπορούν να θέσουν σε κίνδυνο ανθρώπινες ζωές και να προκαλέσουν τεράστιες οικονομικές απώλειες.

– Εχουν αντιληφθεί οι μέτοχοι της ναυτιλιακής βιομηχανίας τη σοβαρότητα του κινδύνου;

Παρόλο που οι μέτοχοι της ναυτιλιακής βιομηχανίας αρχίζουν να αντιλαμβάνονται τη σοβαρότητα των κινδύνων που σχετίζονται με την κυβερνοασφάλεια, δεν αποτελεί ακόμη προτεραιότητα για πολλούς οργανισμούς. Ενα χαρακτηριστικό παράδειγμα είναι η αναλογία μηχανικών προς IT προσωπικό στις ναυτιλιακές εταιρείες, η οποία παραμένει σημαντικά υψηλότερη από τον μέσο όρο της βιομηχανίας. Αυτό αποδεικνύει ότι συγκριτικά οι επενδύσεις και η στελέχωση στον τομέα της πληροφορικής και της κυβερνοασφάλειας υπολείπονται. Ενώ πολλές εταιρείες αρχίζουν να αυξάνουν τις δαπάνες για την ασφάλεια στον κυβερνοχώρο, οι IT υποδομές και η εξειδικευμένη υποστήριξη είναι ακόμα ανεπαρκείς σε σχέση με τις αυξανόμενες απαιτήσεις που δημιουργούν οι κυβερνοαπειλές.

Ετσι, αν και υπάρχει αυξανόμενη ευαισθητοποίηση, η προτεραιότητα παραμένει στις παραδοσιακές λειτουργίες, με αποτέλεσμα η αντιμετώπιση των κυβερνοκινδύνων να γίνεται συχνά αποσπασματικά.

– Η ναυτιλία είναι αγαπημένος στόχος των χάκερ ή δεν έχει στοχοποιηθεί όσο άλλες βιομηχανίες και γιατί;

Η ναυτιλία είναι μια βιομηχανία που αρχίζει να γίνεται ολοένα περισσότερο στόχος χάκερ, αλλά παραμένει λιγότερο στοχοποιημένη σε σύγκριση με άλλους τομείς, όπως ο τραπεζικός ή ο υγειονομικός. Αυτό οφείλεται σε διάφορους παράγοντες. Αρχικά, η ναυτιλία παραδοσιακά λειτουργούσε με πιο απομονωμένα και αναλογικά συστήματα, γεγονός που την έκανε λιγότερο ευάλωτη σε κυβερνοεπιθέσεις. Ωστόσο, η ψηφιοποίηση των λειτουργιών της, όπως τα συστήματα πλοήγησης (ECDIS), το AIS και οι δορυφορικές επικοινωνίες, την έχουν φέρει στο προσκήνιο των χάκερ, καθώς αυτά τα συστήματα είναι πλέον συνδεδεμένα στο Διαδίκτυο και πολλές φορές ανεπαρκώς προστατευμένα.

Η ναυτιλία αποτελεί αγαπημένο στόχο χάκερ λόγω της στρατηγικής σημασίας της για το παγκόσμιο εμπόριο και της δυνατότητας να προκαλέσουν σοβαρές διαταραχές, όπως καθυστερήσεις στη μεταφορά αγαθών ή ακόμα και περιβαλλοντικές καταστροφές. Παρ’ όλα αυτά, σε σχέση με άλλες βιομηχανίες ο κλάδος υστερεί σε οργανωμένα συστήματα κυβερνοασφάλειας, ενώ η έλλειψη εξειδικευμένου IT προσωπικού και οι χαμηλότερες επενδύσεις κάνουν τις ναυτιλιακές επιχειρήσεις πιο ευάλωτες. Την ίδια στιγμή, οι χάκερ βλέπουν την πιθανότητα μεγάλης χρηματικής απόδοσης μέσω ransomware ή επιθέσεων που στοχεύουν κρίσιμες λειτουργίες πλοίων και λιμένων.

– Ποια είναι η στρατηγική που ακολουθείτε για την κυβερνοασφάλεια μιας εταιρείας ή ενός πλοίου;

Η στρατηγική για την κυβερνοασφάλεια μιας ναυτιλιακής εταιρείας ή ενός πλοίου βασίζεται σε μια ολοκληρωμένη και προληπτική προσέγγιση που συνδυάζει την ανάλυση των απειλών, τη συμμόρφωση με κανονιστικά πλαίσια και την υιοθέτηση τεχνολογικών λύσεων. Σε αυτό το πλαίσιο, έχουμε αναπτύξει το MARINE Cybersecurity Framework, ένα εξειδικευμένο εργαλείο για τη ναυτιλιακή βιομηχανία, το οποίο εστιάζει στη διαρκή παρακολούθηση απειλών, τον έλεγχο πρόσβασης, τη συμμόρφωση με κανονισμούς και κινδύνους, τον σχεδιασμό αντιμετώπισης περιστατικών, την ασφάλεια δικτύων και την κρυπτογράφηση.

Η στρατηγική μας ξεκινά από τη βαθιά κατανόηση της λειτουργίας της επιχείρησης ή του πλοίου και των συγκεκριμένων απειλών που αντιμετωπίζουν. Για τις εταιρείες, δίνουμε έμφαση στην προστασία κρίσιμων δεδομένων, την ενίσχυση των συστημάτων IT και τη διασφάλιση της συμμόρφωσης με οδηγίες όπως το NIS2 και το GDPR. Για τα πλοία, εστιάζουμε στην προστασία συστημάτων πλοήγησης, επικοινωνίας και αυτοματισμού, που είναι ευάλωτα σε επιθέσεις όπως η παραβίαση του ECDIS ή του AIS.

Στο πλαίσιο του MARINE Framework, εφαρμόζουμε λύσεις όπως:

■ Monitoring threats: Συνεχής παρακολούθηση και αξιολόγηση απειλών μέσω εξειδικευμένων εργαλείων.

■ Access control: Περιορισμός της πρόσβασης σε συστήματα με αυστηρούς ελέγχους ταυτότητας.

■ Regulatory and risk compliance: Συμμόρφωση με κανονισμούς όπως το IMO MSC 428.98, το NIS2 και το NIST CSF.

■ Incident response planning: Δημιουργία σχεδίων για την ταχεία αντιμετώπιση περιστατικών.

■ Network security: Προστασία των δικτύων από παραβιάσεις μέσω τείχους προστασίας και δικτυακού διαχωρισμού.

■ Education: Εκπαίδευση του προσωπικού για την αναγνώριση και διαχείριση κυβερνοαπειλών, καθώς και την ενίσχυση της ευαισθητοποίησης σχετικά με την κυβερνοασφάλεια.

– Η ευρεία χρήση smart τηλεφώνου από τον καθένα, είτε στο γραφείο είτε στο πλοίο, πόσο δυσκολεύει τη δουλειά σας;

Η ευρεία χρήση κινητών και smart τηλεφώνων, τόσο στα γραφεία όσο και στα πλοία, δυσχεραίνει την κυβερνοασφάλεια, καθώς αυτά αποτελούν συχνά τον πιο αδύναμο κρίκο. Οι κίνδυνοι περιλαμβάνουν την εγκατάσταση κακόβουλων εφαρμογών, την απώλεια ή υποκλοπή δεδομένων και τη σύνδεση σε ανασφαλή δίκτυα, κάτι που μπορεί να οδηγήσει σε σοβαρές παραβιάσεις. Στη ναυτιλία, η σύνδεση κινητών με τα δίκτυα του πλοίου αυξάνει τους κινδύνους. Για την αντιμετώπιση εφαρμόζουμε πολιτικές Mobile Device Management, διαχωρισμό δικτύων και εκπαίδευση του προσωπικού, ενώ παραμένει πρόκληση η συνεχής προσαρμογή στις νέες απειλές.

– Ποιο το αρχικό κόστος και στη συνέχεια το κόστος συντήρησης και εφαρμογής των συνεχών εξελίξεων της τεχνολογίας;

Το αρχικό κόστος για την κυβερνοασφάλεια μιας εταιρείας εξαρτάται από το μέγεθος της επιχείρησης, την πολυπλοκότητα των συστημάτων και το επίπεδο προστασίας που απαιτείται. Κυμαίνεται από δεκάδες χιλιάδες έως εκατοντάδες χιλιάδες ευρώ, συμπεριλαμβάνοντας την εγκατάσταση εξοπλισμού, λογισμικού και τις πρώτες αξιολογήσεις. Το κόστος συντήρησης και εφαρμογής τεχνολογικών εξελίξεων είναι συνεχές και συνήθως κυμαίνεται στο 10%-20% του αρχικού κόστους ετησίως, καλύπτοντας ενημερώσεις λογισμικού, παρακολούθηση δικτύων, εκπαίδευση προσωπικού και συμμόρφωση με νέους κανονισμούς. Αν και είναι σημαντική αυτή η επένδυση, είναι απαραίτητη για την αποφυγή πολύ μεγαλύτερων οικονομικών και επιχειρησιακών ζημιών από κυβερνοεπιθέσεις.

– Αναφέρατε πρόσφατα, στην εκδήλωση με το Ναυτικό Επιμελητήριο Ελλάδος, το πρόβλημα της μη ύπαρξης επαρκούς αριθμού εξειδικευμένων ατόμων σε υψηλό επίπεδο για θέματα κυβερνοασφάλειας.

Πράγματι, υπάρχει σημαντική έλλειψη εξειδικευμένων επαγγελματιών στην κυβερνοασφάλεια, τόσο στην Ελλάδα όσο και διεθνώς, λόγω της ραγδαίας εξέλιξης της τεχνολογίας που δημιούργησε τεράστια ζήτηση, την οποία η αγορά εργασίας δεν μπόρεσε να καλύψει εγκαίρως. Στην Ελλάδα, το πρόβλημα είναι ακόμα πιο έντονο, καθώς λείπει ένα ευρύτερο οικοσύστημα επενδύσεων από εταιρείες που θα μπορούσε να ενισχύσει τη ζήτηση και την ανάπτυξη του τομέα. Επιπλέον, τα πανεπιστήμια δεν προσφέρουν εξειδικευμένα προγράμματα σπουδών, ενώ οι διεθνείς βιομηχανικές πιστοποιήσεις, που αποτελούν βασικό κριτήριο σε άλλες χώρες, συχνά δεν αναγνωρίζονται επαρκώς εδώ. Αυτό καθιστά ακόμα πιο δύσκολη την ανάπτυξη εξειδικευμένων ταλέντων στον κλάδο.

– Πρόσφατα ανακοινώσατε δύο σημαντικές πρωτοβουλίες της ThreatScene Greece: α) τον νέο Κώδικα Κυβερνοασφάλειας για τη Ναυτιλία και β) το Πιστοποιητικό Εκτίμησης Κινδύνου. Εξηγήστε μας τους στόχους.

Με τον νέο Κώδικα Κυβερνοασφάλειας για τη Ναυτιλία προσφέρουμε ένα πρακτικό, εύκολα κατανοητό πλαίσιο που καλύπτει το πλήρες φάσμα της κυβερνοασφάλειας. Πρόκειται για έναν οδηγό βημάτων που διατίθεται δωρεάν ώστε να βοηθήσει ακόμα και τις μικρότερες ναυτιλιακές εταιρείες, οι οποίες αποτελούν την πλειοψηφία στον κλάδο, να υιοθετήσουν βέλτιστες πρακτικές και να συμμορφωθούν με τα διεθνή πρότυπα.

Με το Πιστοποιητικό Εκτίμησης Κινδύνου, που τελεί υπό την αιγίδα του Ναυτικού Επιμελητηρίου Ελλάδος, παρέχουμε στις ναυτιλιακές εταιρείες ένα επίσημο έγγραφο για την υποστήριξή τους στις ασφαλιστικές τους ανάγκες. Οι ασφαλιστές (A grade underwriters) του Λονδίνου έχουν εγκρίνει τη συνεργασία της ThreatScene, αναγνωρίζοντας το πιστοποιητικό ως σημαντικό εργαλείο για την εκτίμηση των ασφαλίστρων. Το πιστοποιητικό αυτό βοηθά τις εταιρείες όχι μόνο να προετοιμαστούν πριν από μια κυβερνοεπίθεση, αλλά και να διαχειριστούν τις συνέπειες μετά από αυτήν, εξασφαλίζοντας καλύτερους όρους ασφάλισης και υποστήριξη.

Η στρατηγική μας, μέσα από αυτά τα εργαλεία, ενδυναμώνει ακόμα και τις μικρές ναυτιλιακές, εξοπλίζοντάς τες με τα μέσα για να αξιολογήσουν τη θέση τους και να επιδείξουν την κυβερνοασφαλή τους κατάσταση στους ιδιοκτήτες και τις ασφαλιστικές.

– Κυρία Τασιοπούλου, ποια είναι η μέχρι τώρα διαδρομή σας στον κλάδο της κυβερνοασφάλειας;

Εργάζομαι στον κλάδο της κυβερνοασφάλειας εδώ και περίπου 10 χρόνια. Ξεκίνησα την καριέρα μου στην IBM, μία από τις μεγαλύτερες πολυεθνικές εταιρείες, και έχω βραβευτεί πολλές φορές στο Ηνωμένο Βασίλειο για τη συνεισφορά μου στον κλάδο, την ηγεσία μου, αλλά και ως πρότυπο για τις γυναίκες στην κυβερνοασφάλεια. Ζούσα και δραστηριοποιούμουν στο εξωτερικό για περίπου μία δεκαετία, αλλά πάντα είχα ως στόχο να επιστρέψω στην Ελλάδα, φέρνοντας μαζί μου την τεχνογνωσία και τις εμπειρίες που απέκτησα.

– Ποια η δομή και οι στόχοι της εταιρείας στην οποία είστε διευθύνουσα σύμβουλος αλλά και μέτοχος;

Η ThreatScene είναι μια νεοσυσταθείσα εταιρεία που αναπτύσσεται καθημερινά. Στόχος μας είναι να γίνουμε ο πιο αξιόπιστος σύμβουλος κυβερνοασφάλειας στην Ελλάδα, προσφέροντας εξειδικευμένη υποστήριξη σε κάθε εταιρεία που χρειάζεται να προστατεύσει τα δεδομένα και τα συστήματά της. Αν και έχουμε σημαντική εστίαση στη ναυτιλία, δεν περιοριζόμαστε σε αυτόν τον κλάδο. Εργαζόμαστε για την προστασία συνολικά της ελληνικής βιομηχανίας, συμπεριλαμβανομένων τομέων όπως οι επιχειρήσεις, οι υποδομές και άλλοι κρίσιμοι κλάδοι. Θέλουμε να είμαστε η πρώτη σκέψη για υποστήριξη, τόσο στην πρόληψη όσο και στην αποκατάσταση, όταν μια εταιρεία αντιμετωπίσει την πρόκληση μιας κυβερνοεπίθεσης.

Διαβάστε ακόμη

Πλειστηριασμοί: Το «καταραμένο» οικόπεδο των Λαϊνόπουλων και το ξεχασμένο «φιλέτο» της οικογένειας Κούτλα (pics)

Στο τραπέζι νέα νομοθετική παρέμβαση για τις τραπεζικές προμήθειες

Προϋπολογισμός: Eκμηδενίζονται τα ελλείμματα, αυξάνονται οι παροχές (πίνακας)

Για όλες τις υπόλοιπες ειδήσεις της επικαιρότητας μπορείτε να επισκεφτείτε το Πρώτο Θέμα

designed & developed by

ΝΑΥΤΙΛΙΑ

ΣΥΝΕΝΤΕΥΞΗ ΣΤΟΝ ΜΗΝΑ ΤΣΑΜΟΠΟΥΛΟ

Δείτε επίσης

designed & developed by

ΣΥΝΕΝΤΕΥΞΗ ΣΤΟΝ ΜΗΝΑ ΤΣΑΜΟΠΟΥΛΟ

Jan De Blauwe (NVISO Security): Η επένδυσή μας στην Ελλάδα είναι μία τεράστια επιτυχία – Νέα γραφεία στη Θεσσαλονίκη

Kaspersky: Η Ελλάδα πρώτη ως προς την έκθεση σε κακόβουλο λογισμικό

Κυβερνοασφάλεια και βιομηχανίες στην Ελλάδα: Πώς αντιμετωπίζει τις προκλήσεις η Atlas Tapes

Η μαγεία των Χριστουγέννων κρύβεται στην προσφορά και έρχεται σε όλη την Ελλάδα από την Coca-Cola

Ελληνικός Χρυσός: Το 2023 δημιούργησε μετρήσιμη και ουσιαστική αξία για τους κοινωνικούς εταίρους της

Business Banking Εθνικής Τράπεζας: Στο επίκεντρο η ανάπτυξη της μικρομεσαίας επιχειρηματικότητας

Δείτε επίσης