Κατερίνα Τασιοπούλου (ThreatScene): Η επιχειρησιακή συνέχεια είναι ετοιμότητα που χτίζεται μόνο μέσα από συνεχή προετοιμασία και επανάληψη

Η κυβερνοασφάλεια δεν αφορά πλέον μόνο την προστασία ενός συστήματος ή ενός δικτύου. Αφορά την προστασία ολόκληρων λειτουργιών: επιχειρησιακών, κρατικών, κοινωνικών. Γιατί μια κυβερνοεπίθεση δεν σημαίνει απλώς «πέφτει το σύστημα». Σημαίνει ότι διακόπτονται κρίσιμες υπηρεσίες, παραλύουν αλυσίδες εφοδιασμού και, σε ακραίες περιπτώσεις, τίθεται σε κίνδυνο η ανθρώπινη ζωή. Για να αναπτυχθεί μια ισχυρή κουλτούρα κυβερνοασφάλειας, η ασφάλεια πρέπει να γίνει μέρος της επιχειρησιακής συμπεριφοράς. Μια καθημερινή πειθαρχία και γνώση που ενισχύουν τη συνολική ανθεκτικότητα του οργανισμού.

Σε μια εποχή που η κυβερνοασφάλεια αποκτά ολοένα μεγαλύτερη σημασία, η θέση της Κατερίνας Τασιοπούλου έχει βαρύνουσα σημασία.

Η ίδια, άλλωστε, σε ηλικία µόλις 21 ετών, υπήρξε ηγετικό µέλος της οµάδας X-Force IR της IBM, αναλαµβάνοντας τη διαχείριση κρίσεων κυβερνοασφάλειας σε πανευρωπαϊκό επίπεδο και προστατεύοντας πολυεθνικούς κολοσσούς όπως η Maersk και η Saudi Aramco.

Σήµερα ξεχωρίζει ως η νεότερη και µοναδική γυναίκα CEO στον χώρο της κυβερνοασφάλειας στην Ελλάδα, κρατώντας σταθερά το πηδάλιο της ThreatScene, μιας εξειδικευμένης εταιρείας κυβερνοασφάλειας που υποστηρίζεται επενδυτικά από το family office του Γιάννη Β. Βαρδινογιάννη.

Με εκτενή εμπειρία σε μονάδες αντιμετώπισης συμβάντων παγκόσμιας εμβέλειας, έχει αναλάβει τη διαχείριση σημαντικών συμβάντων στον κυβερνοχώρο και παρέχει συμβουλές σε κορυφαίους οργανισμούς και κυβερνητικούς αξιωματούχους σε θέματα κυβερνοασφάλειας. Το τεχνικό της υπόβαθρο στους ελέγχους διείσδυσης και τη συλλογή πληροφοριών, σε συνδυασμό με τις στρατηγικές ηγετικές της ικανότητες, αποτελεί την κινητήρια δύναμη πίσω από τη δέσμευση της ThreatScene να παρέχει λύσεις κυβερνοασφάλειας κορυφαίου επιπέδου.

Ακολουθεί η συνέντευξη της Κατερίνας Τασιοπούλου:

Η ThreatScene δραστηριοποιείται σε ένα περιβάλλον όπου η κυβερνοασφάλεια συνδέεται όλο και περισσότερο με κρίσιμες υποδομές και ευρύτερα οικοσυστήματα. Πώς αλλάζει αυτό τις απαιτήσεις από πλευράς στρατηγικής και ετοιμότητας για τους οργανισμούς;

Αυτό που αλλάζει θεμελιακά είναι ότι η κυβερνοασφάλεια δεν αφορά πλέον μόνο την προστασία ενός συστήματος ή ενός δικτύου. Αφορά την προστασία ολόκληρων λειτουργιών — επιχειρησιακών, κρατικών, κοινωνικών. Όταν μιλάμε για κρίσιμες υποδομές, μιλάμε για ενέργεια, μεταφορές, υγεία, ναυτιλία, χρηματοπιστωτικό σύστημα. Μια διακοπή εκεί δεν είναι απλώς τεχνικό πρόβλημα. Είναι κρίση που ακουμπά την καθημερινότητα χιλιάδων ανθρώπων.

Αυτή η πραγματικότητα αλλάζει ριζικά τις απαιτήσεις. Πρώτον, η στρατηγική ασφάλειας δεν μπορεί πια να σχεδιάζεται αποκλειστικά από το τμήμα IT. Πρέπει να είναι αποτέλεσμα συνεργασίας μεταξύ διοίκησης, λειτουργικών μονάδων, νομικής υπηρεσίας και τεχνολογίας. Η κυβερνοασφάλεια είναι πλέον θέμα διοικητικού συμβουλίου, όχι server room.

Δεύτερον, η ετοιμότητα δεν μετριέται πια με τη λογική «έχουμε εργαλεία, άρα είμαστε καλυμμένοι». Μετριέται από το αν ο οργανισμός γνωρίζει τι θα κάνει τη στιγμή που θα χτυπηθεί. Αν έχει σχέδιο, αν το έχει δοκιμάσει, αν οι άνθρωποί του ξέρουν τον ρόλο τους. Η πραγματική ετοιμότητα είναι αποτέλεσμα εξάσκησης, όχι προμήθειας.

Και τρίτον, η διασύνδεση μεταξύ οργανισμών, προμηθευτών και συνεργατών σημαίνει ότι κανείς δεν είναι τόσο ασφαλής όσο ο πιο αδύναμος κρίκος στην αλυσίδα του. Η ασφάλεια δεν είναι ατομική υπόθεση — είναι οικοσυστημική. Χρειάζονται κοινά πρότυπα, μηχανισμοί ανταλλαγής πληροφοριών και συντονισμένη δράση.

Στην ThreatScene, αυτή ακριβώς τη λογική ακολουθούμε. Δεν βλέπουμε έναν οργανισμό ως μεμονωμένο σύστημα. Εξετάζουμε ολιστικά το περιβάλλον του, με τις εξαρτήσεις, τους κινδύνους και τις ευθύνες που αυτό συνεπάγεται. Γιατί μόνο έτσι μπορείς να χτίσεις πραγματική ανθεκτικότητα.

Η αυξανόμενη εξάρτηση από ψηφιακές υποδομές αφορά πλέον όχι μόνο τις επιχειρήσεις αλλά και κρίσιμους τομείς της οικονομίας και του κράτους. Πώς επηρεάζει αυτό τον τρόπο με τον οποίο οι οργανισμοί πρέπει να προσεγγίζουν την έννοια της επιχειρησιακής συνέχειας;

Η επιχειρησιακή συνέχεια ήταν παραδοσιακά συνδεδεμένη με φυσικές καταστροφές ή τεχνικές βλάβες. Σήμερα, η μεγαλύτερη απειλή είναι ψηφιακή. Και όταν ένα νοσοκομείο, ένα λιμάνι ή μια ενεργειακή εταιρεία εξαρτάται πλήρως από ψηφιακά συστήματα, μια κυβερνοεπίθεση δεν σημαίνει απλώς «πέφτει το σύστημα». Σημαίνει ότι διακόπτονται κρίσιμες υπηρεσίες, παραλύουν αλυσίδες εφοδιασμού και, σε ακραίες περιπτώσεις, τίθεται σε κίνδυνο η ανθρώπινη ζωή.

Αυτό αλλάζει εντελώς τη λογική. Η επιχειρησιακή συνέχεια δεν μπορεί να παραμένει ένα θεωρητικό σχέδιο που συντάχθηκε μια φορά και δεν επανεξετάστηκε ποτέ. Πρέπει να αποτελεί μέρος της καθημερινής λειτουργίας — με ρεαλιστικά σενάρια κυβερνοεπίθεσης, σαφείς ρόλους και ομάδες που έχουν δοκιμαστεί υπό πίεση.

Υπάρχει και κάτι που συχνά υποτιμάται: η αλληλεξάρτηση. Ένας οργανισμός μπορεί να διαθέτει άρτιες υποδομές, αλλά να καταρρεύσει επειδή ο πάροχος cloud ή κάποιος εξωτερικός συνεργάτης του δέχτηκε επίθεση. Η συνέχεια λειτουργίας σχεδιάζεται πλέον με βάση ολόκληρη την αλυσίδα αξίας — όχι μόνο τα εσωτερικά συστήματα του οργανισμού.

Αυτό που επιβεβαιώνεται στην πράξη είναι ξεκάθαρο: οι οργανισμοί που επενδύουν σε προσομοιώσεις και ρεαλιστική αξιολόγηση κινδύνων αντιδρούν ταχύτερα και με σημαντικά μικρότερο αντίκτυπο. Η επιχειρησιακή συνέχεια δεν είναι έγγραφο. Είναι ετοιμότητα που χτίζεται μόνο μέσα από συνεχή προετοιμασία και επανάληψη.

Ποια είναι, στην πράξη, η διαφορά μεταξύ «compliance» και πραγματικής ετοιμότητας απέναντι σε ένα σοβαρό κυβερνο-περιστατικό;

Η συμμόρφωση και η πραγματική ετοιμότητα δεν είναι το ίδιο πράγμα. Η συμμόρφωση δείχνει ότι ένας οργανισμός έχει υιοθετήσει συγκεκριμένες πολιτικές, διαδικασίες και ελέγχους ώστε να καλύπτει κανονιστικές ή συμβατικές απαιτήσεις. Η ετοιμότητα, όμως, αποδεικνύεται τη στιγμή της κρίσης. Εκεί φαίνεται αν ο οργανισμός μπορεί πράγματι να εντοπίσει έγκαιρα ένα περιστατικό, να το περιορίσει, να πάρει σωστές αποφάσεις υπό πίεση και να επαναφέρει τις λειτουργίες του χωρίς σοβαρή επιχειρησιακή ζημιά.

Στην πράξη, πολλές εταιρείες είναι compliant στα χαρτιά, αλλά όχι έτοιμες επιχειρησιακά. Μπορεί να έχουν policies, να έχουν περάσει audits και να καλύπτουν τυπικές απαιτήσεις, αλλά να μην έχουν δοκιμάσει ποτέ αν η ομάδα τους μπορεί να λειτουργήσει συντονισμένα σε πραγματικές συνθήκες επίθεσης. Η πραγματική ετοιμότητα απαιτεί ασκήσεις, σενάρια κρίσης, σαφείς ρόλους, γρήγορη λήψη αποφάσεων και ικανότητα συνεργασίας μεταξύ IT, διοίκησης, νομικών, επικοινωνίας και επιχειρησιακών μονάδων.

Άρα, η συμμόρφωση είναι η βάση. Δεν αρκεί, όμως, από μόνη της. Αυτό που τελικά προστατεύει έναν οργανισμό δεν είναι μόνο αν έχει καλύψει ένα framework, αλλά αν μπορεί να ανταποκριθεί αποτελεσματικά όταν το περιστατικό συμβεί πραγματικά.

Ο ανθρώπινος παράγοντας παραμένει κρίσιμος, αλλά πλέον το διακύβευμα είναι πολύ μεγαλύτερο. Πώς μπορεί μια επιχείρηση να χτίσει ουσιαστική κουλτούρα κυβερνοασφάλειας, χωρίς να περιορίζεται σε επιφανειακές δράσεις awareness;

Η κουλτούρα κυβερνοασφάλειας δεν χτίζεται με μεμονωμένα awareness campaigns. Χτίζεται όταν η ασφάλεια ενσωματώνεται στον τρόπο που λειτουργεί καθημερινά η επιχείρηση. Σήμερα το διακύβευμα είναι πολύ μεγαλύτερο, γιατί ένα λάθος, μια καθυστέρηση ή μια λανθασμένη απόφαση δεν επηρεάζει μόνο ένα σύστημα. Μπορεί να επηρεάσει τη λειτουργία, τη φήμη, τη συμμόρφωση, ακόμη και τη συνολική ανθεκτικότητα του οργανισμού.

Στην πράξη, αυτό σημαίνει ότι η κυβερνοασφάλεια πρέπει να πάψει να αντιμετωπίζεται ως αποκλειστική ευθύνη του IT. Η διοίκηση, τα στελέχη, οι επιχειρησιακές ομάδες και οι εργαζόμενοι πρέπει να γνωρίζουν όχι μόνο τι δεν πρέπει να κάνουν, αλλά και ποιος είναι ο ρόλος τους όταν προκύψει ένα πραγματικό περιστατικό. Η ουσιαστική κουλτούρα χτίζεται με σαφείς ευθύνες, ρεαλιστικά σενάρια, ασκήσεις, επανάληψη και σύνδεση της ασφάλειας με τις πραγματικές αποφάσεις της επιχείρησης.

Επίσης, χρειάζεται αλλαγή νοοτροπίας. Το awareness από μόνο του συχνά μένει σε γενικές υπενθυμίσεις. Αυτό που έχει αξία είναι η πρακτική εκπαίδευση, προσαρμοσμένη στον ρόλο κάθε ομάδας, ώστε οι άνθρωποι να καταλαβαίνουν πώς μια κυβερνοαπειλή επηρεάζει τη δική τους λειτουργία και πώς πρέπει να αντιδράσουν υπό πίεση. Εκεί αρχίζει να δημιουργείται πραγματική ετοιμότητα και όχι απλώς τυπική ευαισθητοποίηση.

Τελικά, ισχυρή κουλτούρα κυβερνοασφάλειας σημαίνει ότι η ασφάλεια γίνεται μέρος της επιχειρησιακής συμπεριφοράς. Όχι μια θεωρητική έννοια, αλλά μια καθημερινή πειθαρχία και γνώση που ενισχύουν τη συνολική ανθεκτικότητα του οργανισμού.

Ποιος είναι ο ρόλος της ηγεσίας στη διαμόρφωση κυβερνοανθεκτικότητας σήμερα;

Καθοριστικός. Και θα εξηγήσω γιατί.
Η κυβερνοανθεκτικότητα δεν μπορεί να προέλθει αποκλειστικά από το τεχνικό τμήμα ενός οργανισμού. Μπορεί εκεί να υλοποιείται, αλλά η κατεύθυνση, η προτεραιοποίηση και η δέσμευση πόρων είναι αποφάσεις ηγεσίας. Όταν η διοίκηση αντιμετωπίζει την κυβερνοασφάλεια ως αμιγώς τεχνικό ζήτημα, ο οργανισμός παραμένει εκτεθειμένος — ανεξάρτητα από τα εργαλεία που διαθέτει.

Ο ρόλος της ηγεσίας σήμερα έχει τρεις σαφείς διαστάσεις.

Η πρώτη είναι η στρατηγική τοποθέτηση. Η κυβερνοασφάλεια πρέπει να βρίσκεται στην ατζέντα του διοικητικού συμβουλίου, με τον ίδιο τρόπο που βρίσκεται η οικονομική διαχείριση ή η εταιρική διακυβέρνηση. Δεν είναι δευτερεύον θέμα. Είναι προϋπόθεση επιχειρησιακής συνέχειας.

Η δεύτερη είναι η κουλτούρα. Ο τρόπος που η ηγεσία μιλά για την ασφάλεια, ο χρόνος που της αφιερώνει, η σοβαρότητα με την οποία τη μεταχειρίζεται — όλα αυτά διαμορφώνουν τη συμπεριφορά ολόκληρου του οργανισμού. Αν η ηγεσία δεν δείχνει ότι η ασφάλεια είναι προτεραιότητα, κανείς άλλος δεν θα την αντιμετωπίσει ως τέτοια.

Και η τρίτη είναι η ετοιμότητα στην κρίση. Όταν συμβεί ένα σοβαρό περιστατικό — και κάποια στιγμή θα συμβεί — η αντίδραση του οργανισμού καθορίζεται σε μεγάλο βαθμό από την ψυχραιμία, τη σαφήνεια και την αποφασιστικότητα της ηγεσίας. Η κρίση δεν διαχειρίζεται μόνο με τεχνικά μέσα. Διαχειρίζεται με αποφάσεις, επικοινωνία και συντονισμό — και αυτά ξεκινούν από την κορυφή.

Η κυβερνοανθεκτικότητα δεν είναι project που ανατίθεται και ολοκληρώνεται. Είναι στάση λειτουργίας. Και αυτή τη στάση τη διαμορφώνει πρωτίστως η ηγεσία.

Ποιες είναι οι μεγαλύτερες αδυναμίες που εξακολουθούν να έχουν οι εταιρείες στην προστασία συσκευών, δικτύων, cloud περιβαλλόντων και ευαίσθητων δεδομένων;

Οι αδυναμίες που αντιμετωπίζουν σήμερα οι οργανισμοί είναι πολλές και δεν περιορίζονται μόνο σε αυτά τα τέσσερα πεδία. Ωστόσο, σε καθένα από αυτά υπάρχουν πραγματικά κενά που βλέπουμε επανειλημμένα στην καθημερινή μας δουλειά.

Στις συσκευές, το βασικό πρόβλημα παραμένει η ορατότητα. Πολλοί οργανισμοί δεν έχουν πλήρη εικόνα για το τι λειτουργεί στο περιβάλλον τους, ποιες συσκευές είναι ενημερωμένες και ποιες αποτελούν σημεία έκθεσης. Σε μια εποχή που η εργασία γίνεται από οπουδήποτε, αυτό είναι σημαντικό κενό.

Στα δίκτυα, η πιο συχνή αδυναμία είναι η ανεπαρκής κατάτμηση. Κρίσιμα και μη κρίσιμα συστήματα συνυπάρχουν στο ίδιο δίκτυο, με αποτέλεσμα μια παραβίαση σε ένα σημείο να μπορεί να εξαπλωθεί ανεξέλεγκτα σε ολόκληρη την υποδομή.

Στα cloud περιβάλλοντα, η πρόκληση είναι ότι η υιοθέτησή τους προχώρησε ταχύτερα από τη δυνατότητα ελέγχου. Λανθασμένες ρυθμίσεις, ασαφής διαχείριση δικαιωμάτων πρόσβασης και απουσία ξεκάθαρων πολιτικών για τη μετακίνηση δεδομένων είναι ευρήματα που καταγράφουμε συστηματικά.

Και στα ευαίσθητα δεδομένα, το ζήτημα δεν είναι μόνο η αποθήκευση. Είναι το αν ο οργανισμός γνωρίζει πού βρίσκονται τα κρίσιμα δεδομένα του, ποιος έχει πρόσβαση και αν υπάρχει πραγματική πολιτική ταξινόμησης και προστασίας. Συχνά, δεδομένα υψηλής κρισιμότητας αντιμετωπίζονται χωρίς καμία διαφοροποίηση από τις υπόλοιπες πληροφορίες.

Σε όλα αυτά τα πεδία, τα εργαλεία υπάρχουν. Αυτό που λείπει είναι μια συνεκτική στρατηγική που να τα συνδέει — με σαφείς διαδικασίες, ξεκάθαρες ευθύνες και τακτική επανεκτίμηση.