Το κόστος επένδυσης σε μέτρα κυβερνοασφάλειας είναι άμεσο, μετρήσιμο και ορατό. Το κόστος, όμως, μιας κυβερνοεπίθεσης διαπιστώνεται δυστυχώς τη στιγμή που θα συμβεί ανέφερε μεταξύ άλλων ο Ιωάννης Αλεξάκης, Προϊστάμενος Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού, Εθνική Αρχή Κυβερνοασφάλειας, μιλώντας στο συνέδριο Information Security conference που διοργάνωσε η Boussias events.
Σύμφωνα με τα στοιχεία, που παρουσίασε ο κ. Αλεξάκης στο κοινό του Information Security conference οι οργανισμοί που έχουν δεχτεί επίθεση με ransomware, η πλέον διαδεδομένη μορφή κυβερνοεπίθεσης, κι αποφασίζουν να πληρώσουν τα λύτρα, έχει διαπιστωθεί πως το 70% των επιχειρήσεων, δέχονται εκ νέου επίθεση εντός έξι μηνών, συχνά από τον ίδιο δράστη. «Η πληρωμή δεν διασφαλίζει την προστασία• αντιθέτως, ενδέχεται να εντάξει τον οργανισμό σε έναν φαύλο κύκλο στοχοποίησης» σχολίασε ο κ. Αλεξάκης.
Στη συνέχεια ο Προϊστάμενος Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού υποστήριξε πως ο μέσος χρόνος που απαιτείται για να εντοπίσει ένας οργανισμός ότι έχει υποστεί κυβερνοεπίθεση παραμένει σταθερός από το 2017. «Ο χρόνος διαπίστωσης ξεπερνά τους έξι μήνες, ενώ ο αντίστοιχος μέσος χρόνος περιορισμού (containment time) ενός περιστατικού παραβίασης δεδομένων υπερβαίνει τους δύο μήνες» είπε ο ίδιος για να συμπληρώσει στη συνέχεια, «όσον αφορά την πλήρη αποκατάσταση (total recovery), των οργανισμών που έχουν δεχτεί κυβερνοεπίθεση αυτή επιτυγχάνεται σε ελάχιστες περιπτώσεις και συχνά απαιτεί σημαντικό χρονικό διάστημα, με μικρό μόνο ποσοστό οργανισμών ανακάμπτουν περίπου το 6 με 7% των οργανισμών που έχουν πληγεί να ανακάμπτει ουσιαστικά εντός δύο μηνών» ανέφερε ο ίδιος.
Στη παρουσίασή του ο κ. Αλεξάκης αναφέρθηκε και στο ρόλο της Ευρωπαϊκής Ένωσης για τη διαχείριση της κυβερνοασφάλειας υποστηρίζοντας πως η Ευρωπαϊκή Ένωση αποτελεί έναν από τους τέσσερις βασικούς παγκόσμιους παίκτες στη διαχείριση της κυβερνοασφάλειας, καθώς έχει υιοθετήσει μια ολοκληρωμένη στρατηγική προσέγγιση που καλύπτει τους πυλώνες: πρόληψη (prevent), ανίχνευση (detect), απόκριση (respond) και αποτροπή (deter). «Το ρυθμιστικό πλαίσιο δεν περιορίζεται μόνο στην Οδηγία NIS2. Σήμερα, το ευρωπαϊκό δίκαιο περιλαμβάνει πολυάριθμους κανονισμούς και οδηγίες που επηρεάζουν άμεσα ή έμμεσα την κυβερνοασφάλεια» ανέφερε ο ίδιος σχολιάζοντας πως η αυξημένη ρυθμιστική παραγωγή δημιουργεί μια νέα πραγματικότητα για τις επιχειρήσεις, ιδίως για όσες δραστηριοποιούνται σε περισσότερα από ένα κράτη-μέλη.
Ο κ. Αλεξάκης ολοκληρώνοντας την παρουσίασή του υποστήριξε πως η κυβερνοασφάλεια δεν αποτελεί πλέον αποκλειστικά τεχνικό ζήτημα. «Είναι οριζόντιο, διεπιστημονικό αντικείμενο που επηρεάζει τη στρατηγική, τη διακυβέρνηση, τη νομική συμμόρφωση και τη βιωσιμότητα των οργανισμών» σχολίασε ο ίδιος για να συμπληρώσει στη συνέχεια πως το πραγματικό δίλημμα δεν είναι αν θα επενδύσει ένας οργανισμός στην κυβερνοασφάλεια — αλλά πότε και με ποιο κόστος: το προβλέψιμο κόστος πρόληψης ή το απρόβλεπτο και πολλαπλάσιο κόστος μιας επίθεσης. «Η έγκαιρη προσαρμογή στο νέο κανονιστικό και επιχειρησιακό περιβάλλον αποτελεί κρίσιμο παράγοντα ανθεκτικότητας και ανταγωνιστικότητας στη σύγχρονη ψηφιακή οικονομία» κατέληξε ο ίδιος.
