Συνέντευξη στη Βάσια Καττή
Στον απόηχο του κύµατος κυβερνοεπιθέσεων που έπληξε την Κύπρο, ο Σάιµον Ζένιος, ∆ικηγόρος Ειδικός σε Θέµατα Fintech & Εταιρικό ∆ίκαιο, ∆ιευθυντής της ∆ικηγορικής Εταιρείας Simon Zenios & Co LLC και Ιδρυτικό Μέλος της Επιτροπής Τεχνολογίας του Παγκύπριου ∆ικηγορικού Συλλόγου, σε συνέντευξή του στο Economy Today αναλύει τις νέες προκλήσεις που προκύπτουν από την εξέλιξη των κυβερνοεπιθέσεων και τη χρήση Τεχνητής Νοηµοσύνης (AI). Τονίζει την επιτακτική ανάγκη αναθεώρησης του νοµικού πλαισίου στην Κύπρο, προκειµένου να ανταποκριθεί στις σύγχρονες απειλές. Εστιάζει στην αναγκαιότητα ενίσχυσης της κυβερνοάµυνας της χώρας, µέσω της εκπαίδευσης των υπαλλήλων, ενώ παράλληλα υπογραµµίζει τη σηµασία της διεθνούς συνεργασίας για την προστασία των κρίσιµων υποδοµών και τη διασφάλιση της ανθεκτικότητας της Κύπρου απέναντι στις µελλοντικές κυβερνοαπειλές.
Συνεχείς προκλήσεις και η ανάγκη προσαρμογής του νομικού πλαισίου
Πιστεύετε ότι το υπάρχον νοµικό πλαίσιο στην Κύπρο είναι επαρκές για την αντιµετώπιση της αυξηµένης απειλής κυβερνοεπιθέσεων; Υπάρχουν νοµικά κενά που πρέπει να καλυφθούν;
Η Κύπρος έχει υιοθετήσει ένα συνεκτικό νοµικό πλαίσιο για την αντιµετώπιση κυβερνοεπιθέσεων, το οποίο ενισχύεται συνεχώς για να ανταποκρίνεται στις εξελισσόµενες απειλές. Η Στρατηγική Κυβερνοασφάλειας της Κυπριακής ∆ηµοκρατίας (2020) παρέχει κατευθυντήριες γραµµές για την προστασία των κρίσιµων υποδοµών και δεδοµένων, ενώ η ενσωµάτωση της ευρωπαϊκής οδηγίας NIS2 στο εθνικό δίκαιο, η οποία βρίσκεται σε εξέλιξη και αναµένεται να ολοκληρωθεί σύντοµα, θα επεκτείνει τις κρίσιµες υποδοµές από 70 σε 700, ενισχύοντας την ετοιµότητα της χώρας.
Παρόλα αυτά, η ταχεία εξέλιξη της τεχνολογίας και η ανάπτυξη νέων µεθόδων κυβερνοεπιθέσεων δηµιουργούν συνεχείς προκλήσεις. Το νοµικό πλαίσιο δεν είναι απόλυτα επαρκές, καθώς οι επιθέσεις που στόχευσαν τη CYTA, την κυβερνητική πύλη gov.cy και το Τµήµα Κτηµατολογίου ανέδειξαν αδυναµίες στη διαχείριση κρίσεων και την πρόληψη. Οι επιθέσεις λύτρων, όπως σε µορφή κρυπτονοµισµάτων, κάνουν πιο δύσκολο το έργο των ∆ιερευνητικών Αρχών και της Αστυνοµίας, καθώς υπάρχει ανωνυµία. Ειδικότερα, υπογραµµίζουν την ανάγκη ενίσχυσης της κυβερνοάµυνας µέσω καλύτερου συντονισµού και τεχνολογικής ενίσχυσης.
Η Κύπρος πρέπει να επενδύσει περαιτέρω στην εκπαίδευση υπαλλήλων και τη δηµιουργία µηχανισµών άµεσης ανταπόκρισης. Παράλληλα, η ανάπτυξη διεθνών συνεργασιών µε κράτη και φορείς που διαθέτουν προηγµένα συστήµατα κυβερνοασφάλειας θα ενισχύσει τη θωράκιση της χώρας.
Η προσαρµογή του νοµικού πλαισίου στις σύγχρονες ανάγκες, µε έµφαση στη διαφάνεια και την πρόληψη, είναι ζωτικής σηµασίας για την ασφάλεια και τη σταθερότητα στον κυβερνοχώρο. Πιο σηµαντικό είναι το νοµικό πλαίσιο να αναπτύσσεται και να εξελίσσεται στις προκλήσεις που δηµιουργούνται µε την ανάπτυξη του κυβερνοεγκλήµατος. Αυτή η εξέλιξη οφείλεται στη ραγδαία ανάπτυξη της τεχνολογίας, η οποία εξελίσσεται µε γοργούς ρυθµούς που πολλαπλασιάζονται τα τελευταία χρόνια. Παρά το ότι µε την ενσωµάτωση της ευρωπαϊκής οδηγίας NIS2 και την επέκταση των κρίσιµων υποδοµών από 70 σε 700 επιτυγχάνεται σηµαντική πρόοδος, θα χρειάζεται συνεχής εκσυγχρονισµός και αναβάθµιση των πλατφορµών ασφαλείας.
Νομικές ευθύνες, προστασία δεδομένων και αποζημιώσεις
Ποια είναι η νοµική ευθύνη των εταιρειών και των κρατικών φορέων να προστατεύουν τα δεδοµένα και τις υποδοµές τους από τέτοιες επιθέσεις; Υπάρχουν προβλέψεις για αποζηµιώσεις σε περίπτωση παραβίασης;
Οι εταιρείες και οι κρατικοί φορείς στην Κύπρο έχουν σαφή νοµική υποχρέωση να προστατεύουν τα δεδοµένα και τις υποδοµές τους από κυβερνοεπιθέσεις. Ο Γενικός Κανονισµός για την Προστασία ∆εδοµένων (GDPR), που εφαρµόζεται σε όλα τα κράτη-µέλη της Ε.Ε., αποτελεί τη βάση για την προστασία προσωπικών δεδοµένων και έχει ενσωµατωθεί στην κυπριακή νοµοθεσία µέσω του Νόµου 125(Ι)/2018.
Σύµφωνα µε το άρθρο 32 του GDPR, οι Οργανισµοί υποχρεούνται να εφαρµόζουν τεχνικά και οργανωτικά µέτρα για την αποτροπή παραβιάσεων, όπως η µη εξουσιοδοτηµένη πρόσβαση, η απώλεια δεδοµένων ή η καταστροφή πληροφοριών. Σε περίπτωση παραβίασης, οι υπεύθυνοι επεξεργασίας δεδοµένων πρέπει να ενηµερώνουν την αρµόδια Εποπτική Αρχή, το Γραφείο Επιτρόπου Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, εντός 72 ωρών. Η µη συµµόρφωση µπορεί να επιφέρει πρόστιµα έως και €20 εκατ. ή το 4% του ετήσιου παγκόσµιου κύκλου εργασιών του Οργανισµού.
Η ευρωπαϊκή υπόθεση Österreichische Post (C-300/21), που εξετάστηκε από το ∆ικαστήριο της Ε.Ε., υπογράµµισε ότι για να διεκδικηθεί αποζηµίωση από παραβίαση δεδοµένων, πρέπει να αποδεικνύονται σωρευτικά οι τρεις προϋποθέσεις: 1. Παραβίαση του GDPR, 2. Υλική ή ηθική βλάβη, 3. Αιτιώδης συνάφεια. Ωστόσο, στην Κύπρο δεν υπάρχει σηµαντική νοµολογία για τέτοιες περιπτώσεις, γεγονός που αναδεικνύει την ανάγκη περαιτέρω ανάπτυξης του νοµικού πλαισίου.
Καταληκτικά, παρά την ύπαρξη νοµικού πλαισίου και νοµολογίας από το ∆ικαστήριο της Ε.Ε., η παράβαση από µόνη της δεν συνιστά δικαίωµα αποζηµίωσης.
Κλειδί η εκπαίδευση των υπαλλήλων
Με δεδομένο ότι πολλές επιθέσεις ξεκινούν από ανθρώπινα λάθη, πόσο σημαντική είναι η εκπαίδευση των υπαλλήλων στις εταιρείες και στους κρατικούς φορείς για την αποτροπή κυβερνοεπιθέσεων;
Η εκπαίδευση υπαλλήλων είναι κρίσιµη για την αποτροπή κυβερνοεπιθέσεων, καθώς πολλές βασίζονται σε ανθρώπινα λάθη, όπως το phishing ή η µη ασφαλής διαχείριση κωδικών. Η Στρατηγική Κυβερνοασφάλειας της Κύπρου (2020) αναγνωρίζει τη σηµασία της εκπαίδευσης, ενώ η Κυπριακή Ακαδηµία ∆ηµόσιας ∆ιοίκησης (ΚΑ∆∆) και ιδιωτικοί φορείς διοργανώνουν σεµινάρια για την ανάπτυξη δεξιοτήτων. ∆ιεθνείς πρωτοβουλίες, όπως η Ακαδηµία ∆εξιοτήτων για την Κυβερνοασφάλεια της Ε.Ε., ενισχύουν τις γνώσεις µέσω πιστοποιήσεων και διαδικτυακών µαθηµάτων.
Η επένδυση στην κατάρτιση µειώνει τον κίνδυνο επιθέσεων, ενισχύοντας την ανθεκτικότητα Οργανισµών µε κρίσιµες υποδοµές. Η Κύπρος καλείται να υιοθετήσει διεθνείς βέλτιστες πρακτικές και να επενδύσει σε προγράµµατα προσαρµοσµένα στις σύγχρονες απειλές, βελτιώνοντας την κυβερνοασφάλειά της.
Καταληκτικά, ό,τι συστήµατα ασφαλείας και να υπάρχουν, δεν είναι αρκετά ως προς την πρόληψη παραβίασης της ασφάλειας, εκτός και αν το προσωπικό είναι εκπαιδευµένο ώστε να αποτρέπονται στον µεγαλύτερο βαθµό τα ανθρώπινα λάθη. ∆ηλαδή, υπάρχει τεράστια ανάγκη στην αναγνώριση του phishing, π.χ. µπορεί να γίνει από το να πατήσουµε ένα link που δεν θα έπρεπε ή να ανοίξουµε ένα ηλεκτρονικό µήνυµα και τα επισυναπτόµενά του, ενώ θα έπρεπε να γνωρίζουµε ότι δεν έπρεπε. Άλλο παράδειγµα είναι, να λάβουµε κλήσεις από κάποιον που ισχυρίζεται ότι είναι ο ΙΤ Provider του κρατικού ή ιδιωτικού φορέα που εργαζόµαστε και ζητά πρόσβαση στον υπολογιστή µας και εµείς πέφτουµε στην παγίδα να το δώσουµε. Τέλος, ακόµα ένα παράδειγµα, είναι να δεχθούµε κάποια κλήση στην οποία ισχυρίζονται ότι είναι από την τράπεζα και χρειάζονται τους κωδικούς του e-banking µας και πέφτουµε στην παγίδα να τους δώσουµε.
Οι υπάλληλοι πρέπει συνεχώς να εκπαιδεύονται ως προς τους τρόπους που µπορεί να γίνει µία κυβερνοεπίθεση λόγω ανθρώπινου λάθους. Αυτή η εκπαίδευση πρέπει να γίνεται ανά τακτά χρονικά διαστήµατα µε απλά και κατανοητά παραδείγµατα προς τους υπαλλήλους, αλλά επίσης και να εκσυγχρονίζονται λόγω του ότι συνεχώς γεννιούνται νέων ειδών κυβερνοεπιθέσεις που ξεκινούν από ανθρώπινα λάθη.
Όταν «χτυπά» το AI
Τι προκλήσεις προκύπτουν σε σχέση με την απόδοση ευθύνης όταν μια κυβερνοεπίθεση είναι αυτοματοποιηµένη και πραγματοποιείται από συστήματα AI;
Οι αυτοµατοποιηµένες κυβερνοεπιθέσεις από συστήµατα AI δηµιουργούν σοβαρά προβλήµατα στην απόδοση ευθύνης. Η αυτονοµία τους δυσχεραίνει την ανίχνευση του υπεύθυνου, ενώ η έλλειψη διαφάνειας στους αλγόριθµους καθιστά την ταυτοποίηση δύσκολη. Το παραδοσιακό νοµικό πλαίσιο δεν καλύπτει τέτοιες περιπτώσεις. Χρειάζονται διαφανείς και σαφείς κανονισµοί για την ευθύνη.
Φανταστείτε ένα AI-ελεγχόµενο botnet που στοχεύει µια τράπεζα, παρακάµπτοντας µέτρα ασφαλείας µε αυτοµατοποιηµένες προσαρµογές. Ο αλγόριθµός του, αν και σχεδιάστηκε για έρευνα, διατέθηκε δηµόσια από τον δηµιουργό του. Μετά την επίθεση, γεννιούνται ερωτήµατα: Ευθύνεται ο αρχικός δηµιουργός, η πλατφόρµα που φιλοξένησε τον κώδικα ή ο άγνωστος δράστης; Αυτό δείχνει την ανάγκη για ανιχνευσιµότητα και κανονισµούς για την υπεύθυνη χρήση του AI.
Ο Elon Musk θεωρεί το AI υπαρξιακή απειλή και ζητά προληπτική ρύθµιση. Έχει προειδοποιήσει για κινδύνους, όπως απώλεια ελέγχου, διάδοση προπαγάνδας και κοινωνικές αναταραχές. Υποστηρίζει ότι η ανάπτυξη AI χωρίς περιορισµούς µπορεί να οδηγήσει σε καταστροφή, τονίζοντας την ανάγκη για διεθνή συνεργασία και έγκαιρη παρέµβαση.
Προσωπικά, θεωρώ ότι η αυξανόµενη χρήση της Τεχνητής Νοηµοσύνης στις κυβερνοεπιθέσεις αποτελεί έναν από τους µεγαλύτερους κινδύνους που αντιµετωπίζουµε στη σύγχρονη εποχή. Η Τεχνητή Νοηµοσύνη είναι ένα εργαλείο µε τεράστιες δυνατότητες, αλλά αν δεν διαχειριστεί σωστά, µπορεί να εξελιχθεί σε κίνδυνο για την κοινωνία και την ασφάλεια. Συνεπώς, είναι χρέος µας να προλάβουµε τις καταστροφικές συνέπειες και να διασφαλίσουµε ότι το AI θα λειτουργεί προς όφελος της ανθρωπότητας, όχι εις βάρος της.
Διεθνείς συνεργασίες και ενίσχυση της κυβερνοάμυνας
Πιστεύετε ότι η Κύπρος έχει επενδύσει αρκετά στη διεθνή συνεργασία, είτε μέσω θεσµών της Ε.Ε. είτε µε άλλους διεθνείς Οργανισμούς, για την ενίσχυση της κυβερνοάμυνάς της;
Η Κύπρος συµµετέχει ενεργά σε διεθνείς συνεργασίες για την ενίσχυση της κυβερνοάµυνάς της, αξιοποιώντας τη συνεργασία της µε ευρωπαϊκούς Θεσµούς και Οργανισµούς, όπως ο ENISA, για την προστασία κρίσιµων υποδοµών. Η υιοθέτηση της οδηγίας NIS2 και η διοργάνωση της πρώτης εθνικής άσκησης κυβερνοασφάλειας το 2024 υπογραµµίζουν τη δέσµευσή της για αναβάθµιση της κυβερνοασφάλειας.
Παράλληλα, συµµετέχει σε ευρωπαϊκά έργα όπως η Ευρωπαϊκή Πλατφόρµα Κυβερνοασφάλειας, εστιάζοντας στην ενίσχυση συνεργασιών και λύσεων. Η γεωπολιτική της θέση την καθιστά στρατηγικό εταίρο για διεθνείς συµµαχίες, ενώ η επένδυση σε εκπαίδευση και καινοτόµες λύσεις είναι κρίσιµη για τη θωράκιση υποδοµών.
Η συνεχής συνεργασία µε την Ε.Ε. ενισχύει την ασφάλεια και τη σταθερότητα απέναντι σε κυβερνοαπειλές.
Συνοψίζοντας, παρά το ότι η Κύπρος έχει λάβει πάρα πολύ σοβαρά την ενίσχυση τής κυβερνοάµυνάς της, πάντα υπάρχουν περιθώρια εξέλιξης και βελτίωσής της, τα οποία είναι απαραίτητα, καθώς η τεχνολογία συνεχώς αναπτύσσεται µε ρυθµούς, στους οποίους η ταχύτητα ανάπτυξης πολλαπλασιάζεται. Ως εκ τούτου, δεν υπάρχει όριο ή «τοίχος» ως προς το πού πρέπει να φτάνει η επένδυση της Κύπρου για την ενίσχυση της κυβερνοάµυνάς της. Όσο πιο πολύ επενδύει η Κύπρος στην ασφάλειά της, τόσο πιο πολύ προστατεύεται από κυβερνοεπιθέσεις.
Διαβάστε επίσης: Είναι έτοιμη για... κυβερνοπόλεμο η Κύπρος ή απλώς περιμένει το επόμενο «χτύπημα»;