Το μόνο βέβαιο είναι το αβέβαιο

Σε αυτό το πλαίσιο μάλλον έκπληξη αποτελεί ο τίτλος μιας πρόσφατης μελέτης της McKinsey, η οποία με τίτλο “From risk management to strategic resilience”, δημιουργεί ερωτηματικά για την πηγή της υπεραισιοδοξίας των των διοικητικών στελεχών που συμμετείχαν στην υλοποίηση της. Σύμφωνα λοιπόν με τη μελέτη, υψηλόβαθμα στελέχη θεωρούν ότι πρέπει να αφοσιωθούν σε μια προσπάθεια να μετουσιώσουν τις παθητικές διαδικασίες διαχείρισης ρίσκου σε μια στρατηγική στο πλαίσιο της οποίας οι προβλέψεις θα εξασφαλίσουν τη μακραίωνη αντοχή των κορυφαίων οργανισμών. Είναι δηλαδή σαν να λέμε ότι σε ένα κόσμο που η μεταβολή έχει γίνει σχεδόν καθημερινότητα, οι άνθρωποι αυτοί θεωρούν ότι μπορούν να χαράξουν ένα ασφαλές μονοπάτι, ανεξάρτητα με το τι συμβαίνει γύρω τους.

Πανδημία και κλιματική κρίση σπάνε τα κοντέρ της ανησυχίας
Οι παράγοντες της πανδημίας και της κλιματικής κρίσης έχουν κοινά χαρακτηριστικά, αλλά και ειδοποιούς διαφορές. Η πανδημία μοιάζει περισσότερο με ένα μάθημα που μας έδειξε τις αδυναμίες ανθρώπων και συστημάτων, αλλά θεωρητικά τουλάχιστον έχει ένα τέλος. Η κλιματική αλλαγή είναι μια χρόνια κατάσταση, την οποία αντιλαμβανόμαστε με διαφορετικό τρόπο, ανάλογα με τα επίπεδα αισιοδοξίας μας και τις ορατές της εκφάνσεις. Μια δεύτερη ομάδα παραγόντων, όπως οι κυβερνοεπιθέσεις, ο πληθωρισμός και η επιτάχυνση του ψηφιακού μετασχηματισμού, ορίζουν ένα δεύτερο επίπεδο ανησυχίας, μάλλον ηπιότερης, δεδομένου ότι η εμπειρία των οργανισμών κάνει τις προβλέψεις σε αυτούς τους τομείς πιο ρεαλιστικές.

Σε αυτό το πλαίσιο, η McKinsey, για λογαριασμό της Federation of European Risk Management Associations (FERMA), εκπόνησε μια μελέτη, βασισμένη σε 200 υψηλόβαθμα στελέχη από διαφορετικούς τομείς της αγοράς και σε διαφορετικές χώρες. Το θεμελιώδες αποτέλεσμα της μελέτης ήταν η στροφή των risk managers από ένα μικρό αριθμό σαφώς καθορισμένων κινδύνων, κυρίως οικονομικής φύσης, σε ένα ιστό κινδύνων, ο οποίος θα πρέπει να εκλαμβάνεται ως ένα δομικό στοιχείο της στρατηγικής μακρόχρονης αντοχής των οργανισμών.

Το ενδιαφέρον είναι ότι το 60% των ατόμων που συμμετείχαν, θεωρούν ότι ακόμα και σε αυτό το δύσκολο περιβάλλον, οι οργανισμοί έχουν εξαιρετικές ή πολύ καλές δυνατότητες μακρόχρονης αντοχής σε κινδύνους. Υπερβολική αισιοδοξία ή άγνοια κινδύνου;

Μάλλον τίποτα από τα δύο. Πολλά παραδείγματα μας δείχνουν ότι για τους μεγάλους οργανισμούς, ισχύει το “to big to fall”. Με πρόσφατο το παράδειγμα της Boeing, η οποία πέρασε την πιο δύσκολη κρίση της ιστορίας της, αλλά και των Monsanto και BP, οι οποίες υπέστησαν μεγάλες ζημιές από συμβάντα που θα μπορούσαμε να εντάξουμε σε ένα ευρύτερο κύκλο οικολογικών καταστροφών, φαίνεται ότι με τα ανάλογα κεφάλαια, όλα διορθώνονται. Η τεράστια πληγή των κόκκινων δανείων για τις ελληνικές τράπεζες, παρότι ανοιχτή για δεκαετίες τώρα, δε φάνηκε να απειλεί την αντοχή τους στο χρόνο. Οπότε, μπορούν οι οργανισμοί αυτοί να εφησυχάσουν, θεωρώντας ότι για κάθε πρόβλημα υπάρχει λύση;

Έχουμε δει τα χειρότερα;
Σε αυτήν την ερώτηση, μάλλον κανένας δεν μπορεί να δώσει απάντηση. Ακόμα και σε μια παγκοσμιοποιημένη αγορά που δε γνωρίζουμε αν θα παραμείνει παγκοσμιοποιημένη, τα χειρότερα δεν είναι τα ίδια για τους οργανισμούς κάθε χώρας.

Επιπλέον, η προσπάθεια του ανθρώπινου είδους να ελέγξει τις φυσικές δυνάμεις, φαίνεται να αποτυγχάνει με φρικτό τρόπο. Δικαιολογημένα λοιπόν κάποιοι διανοητές έχουν σταματήσει να μιλούν για αντιμετώπιση της κλιματικής αλλαγής και να θεωρούν πιο πιθανό το σενάριο προσαρμογής στις διαθέσεις της. Σε ένα τέτοιο περιβάλλον, μάλλον θα ήταν περισσότερο λογικό να πούμε ότι δεν έχουμε δει τα χειρότερα, αλλά μπορούμε τουλάχιστον να προετοιμαστούμε για τα χειρότερα. Με αυτό το σκεπτικό το dynamic risk management φαίνεται να κερδίζει διαρκώς έδαφος στις προτιμήσεις των οργανισμών.

Η χρήση των τεράστιων ποσοτήτων δεδομένων που απαιτούνται για τη δυναμική μεταβολή σε ξαφνικές μεταβολές, αν είναι δυνατόν ακόμα και σε πραγματικό χρόνο, δεν είναι πλέον τεχνολογικά ανέφικτη, αλλά αυτό δε σημαίνει ότι είναι κάθε φορά αποτελεσματική. Μπορεί οι προμηθευτές να προσπαθούν να μας πείσουν ότι η τεχνητή νοημοσύνη είναι πανάκεια. Πέρα όμως του γεγονότος ότι ακόμα και με την καλύτερη ποιότητα δεδομένων, μακρά ακόμα απέχει από το να είναι επαρκής, η εξάρτησή της από τη ροή πληροφορίας είναι το αδύνατο σημείο της. Όταν οι κυβερνοεπιθέσεις στοχεύουν πλέον σε διακοπή ροής πληροφοριών με αντίτιμο λύτρα και όχι δόξα, όπως στο παρελθόν, είναι σαφές ότι η ασφάλεια των ψηφιακών υποδομών είναι στρατηγικής σημασίας για την μακροπρόθεσμη επιβίωση των οργανισμών.

Πέρα όμως από τις εξωτερικές δυνάμεις που μπορούν να επηρεάσουν τη μακροβιότητα ενός οργανισμού, υπάρχουν και δυνάμεις που μπορούν να κάνουν το ίδιο στο εσωτερικό του, κάτι δηλαδή σαν τα αυτοάνοσα νοσήματα στο ανθρώπινο σώμα. Οι εταιρείες κολοσσοί διοικούμενοι τις περισσότερες φορές από αρκετούς μεγαλομετόχους, έχουν μεν τη δυνατότητα να αντέχουν τις ζημιές, αλλά όχι κάθε φορά και την επιθυμία. Η σκέψη αυτή ανατρέπει σε ένα βαθμό το “to big to fall”, γιατί μπορεί η πτώση να μην είναι εύκολη από εξωτερικές δυνάμεις, μπορεί να δημιουργηθεί όμως από “διαβρωμένα” θεμέλια.

Επομένως, η δυναμική διαχείριση ρίσκου δεν αποσκοπεί μόνο στον περιορισμό της ζημιάς από κινδύνους, αλλά και στη διατήρηση της κερδοφορίας. Σε ένα πρόσφατο άρθρο που δημοσιεύτηκε σε προηγούμενο τεύχος του περιοδικού Digital Finance και αφορούσε μια επένδυση της Υδρόγειος Ασφαλιστικής σε τεχνολογία πρόβλεψης κινδύνου, ο εκπρόσωπος της εταιρείας κάνει σαφές ότι πρωταρχικός στόχος της επένδυσης είναι η μείωση των απατηλών περιστατικών που επηρεάζουν άμεσα την κερδοφορία της εταιρείας.

Συνεχίζει να έχει νόημα ο ορισμός του slow moving risk;
Παραδοσιακά, οι χρηματοοικονομικοί οργανισμοί χωρίζουν τους κινδύνους σε αυτούς που αναδύονται με αργό ρυθμό και σε αυτούς που αναδύονται ξαφνικά. Θεωρητικά, ένας σεισμός ανήκει στη δεύτερη κατηγορία, αν και υπάρχουν στατιστικά μοντέλα που προϋπολογίζουν σε ένα βαθμό τις συνέπειες του, ενώ η παροχή καταναλωτικών δανείων σε δημόσιους υπαλλήλους ανήκει στην πρώτη κατηγορία.

Όλοι λίγο πολύ γνωρίζουμε ότι ένας δημόσιος υπάλληλος στην οικογένεια, είναι σχεδόν εμπράγματη εξασφάλιση για ένα δάνειο.

Ας φανταστούμε λοιπόν ότι τον Μάρτιο του 2021, μια ελληνική τράπεζα, αποφασίζει να μετατρέψει κάποια από τα κεφάλαια της σε καταναλωτικά δάνεια μέχρι 5000 ευρώ. Αναθέτει στην τεχνητή της νοημοσύνη να εντοπίσει την κατηγορία πελατών με τη μικρότερη πιθανότητα κινδύνου και αυτή επιστρέφει μια λίστα, στην οποία οι δημόσιοι υπάλληλοι είναι το 90%.

Η τράπεζα δημιουργεί ένα προϊόν που το ονομάζει “Δάνειο express”, το οποίο διατίθεται από τα ψηφιακά της κανάλια και εγκρίνεται σε λίγα λεπτά.

Όλα βαίνουν καλά, μέχρι που τον Ιούνιο του 2021, εμφανίζεται στους λογαριασμούς ρεύματος η άγνωστη μέχρι τότε χρέωση “Ρήτρα Αναπροσαρμογής”. Η συγκεκριμένη χρέωση διπλασιάζει ή και τριπλασιάζει το κόστος ενέργειας για ένα νοικοκυριό με αποτέλεσμα ένα μεγάλο ποσοστό των ληπτών του προαναφερόμενου καταναλωτικού δανείου, να επιλέγουν να πληρώνουν τους λογαριασμούς ρεύματος, αντί να αποπληρώνουν το δάνειο.

Θα μπορούσαμε να πούμε σε αυτή την περίπτωση ότι η τεχνητή νοημοσύνη που αξιοποίησε η τράπεζα ήταν ανεπαρκής;

Η απάντηση θα μπορούσε να είναι “Ναι”, αν η τράπεζα είχε αναθέσει στην τεχνητή νοημοσύνη να παρακολουθεί τις γεωπολιτικές εξελίξεις και να ενσωματώνει τους κινδύνους στις προτάσεις της. Επειδή όμως μάλλον η τράπεζα δεν είχε κάνει κάτι τέτοιο, δεν μπορούμε να ρίξουμε την ευθύνη στην τεχνητή νοημοσύνη.

Πόσο ευφυείς θεωρούμε τις τεχνητές νοημοσύνες;
Ένα ερώτημα που θα χρειαστεί να απαντήσουν όλοι οι οργανισμοί που θα αξιοποιήσουν το dynamic risk management, είναι το μέγεθος του ποσοστού των αποφάσεων που θα επιτρέψουν στις τεχνητές τους νοημοσύνες και επομένως την ευρύτητα των δεδομένων που θα τις τροφοδοτήσουν. Οι τεχνολογίες μηχανικής μάθησης, αν και γνωρίζουν μια νέα περίοδο αναγέννησης, έχουν μακρά ιστορία. Πολλοί από τους αλγόριθμους που χρησιμοποιούνται σήμερα, έχουν τις ρίζες τους ακόμα και τη δεκαετία του 1960. Επομένως, αυτό που κάνουν οι περισσότεροι κατασκευαστές αλγόριθμων, οι οποίοι στη συνέχεια τους ενσωματώνουν στις εφαρμογές τους, είναι μια βελτιστοποίηση της λειτουργίας τους, αλλά κυρίως αναλαμβάνουν την εκπαίδευσή τους. Θεωρητικά, πριν ο αλγόριθμος εφαρμοστεί σε κάποιο προϊόν, έχει δοκιμαστεί σε συνθήκες εργαστηρίου.

Ωστόσο, η πραγματική εκπαίδευση ξεκινά από την στιγμή που θα λειτουργήσει στον πραγματικό επιχειρηματικό κόσμο. Για παράδειγμα, τα λάθη των αλγόριθμων που χρησιμοποιήθηκαν για την έκδοση αποφάσεων σε απλές νομικές υποθέσεις, έδειξαν τα προβλήματά τους, μόνο όταν εφαρμόστηκαν πιλοτικά σε μεγάλο αριθμό πραγματικών υποθέσεων. Κατά συνέπεια, είναι καθοριστικής σημασίας σε ποιες εφαρμογές και κατ’ επέκταση σε ποιους αλγόριθμους που αυτές εμπεριέχουν θα εμπιστευτούμε τις αποφάσεις διαχείρισης κινδύνου. Επίσης, η ποσότητα των δεδομένων που θα τροφοδοτήσουν τον αλγόριθμο είναι καταλυτικής σημασίας.

Τι νόημα έχει για παράδειγμα ένας αλγόριθμος που προβλέπει τις προμήθειες εποχικών προϊόντων σε μια αλυσίδα λιανικής, αν δεν τροφοδοτείται με ακριβείς προβλέψεις για τον καιρό. Κατ’ αναλογία, τι νόημα έχει ένας αλγόριθμος που υπολογίζει το ρίσκο σε επενδύσεις ανανεώσιμων πηγών ενέργειας, αν δεν έχει τη δυνατότητα να κάνει μακροπρόθεσμες προβλέψεις για τη μεταβολή του κλίματος. Στα πρώτα βήματα, τα οποία μπορεί να έχουν και διάρκεια ενός ή δύο ετών, η επίβλεψη του αλγόριθμου είναι επιβεβλημένη. Άλλωστε, με την επίβλεψη, ο οργανισμός δεν θα αποφύγει μόνο λάθη, αλλά θα έχει τη δυνατότητα να κάνει τις μικρορυθμίσεις που χρειάζονται για την καλύτερη εκπαίδευση του αλγόριθμου.

Επίσης επιβεβλημένη, είναι η συμφωνία ανάμεσα στη διοίκηση και την ομάδα των data scientists, όσον αφορά τις ρεαλιστικές προσδοκίες των αποτελεσμάτων πρόβλεψης.

Μπορεί ο CEO της εταιρείας να είναι συνεπαρμένος από μια ταινία επιστημονικής φαντασίας που είδε το προηγούμενο βράδυ, αλλά αυτό δε σημαίνει ότι την επόμενη μέρα θα έχει στη διάθεση του έναν κβαντικό υπολογιστή για να βάλει τον οργανισμό που διοικεί στη θέση του πρωταγωνιστή του σεναρίου.

Η πανδημία ήταν μια ευκαιρία για τις τράπεζες
Παρά το γεγονός ότι μια πανδημία ακούγεται πάντα σαν κάτι τρομακτικό, τελικά τα αποτελέσματα της στο σύνολο του παγκόσμιου πληθυσμού δεν ήταν και για ρεκόρ Guinness. Ευτυχώς φυσικά για ανθρώπινο είδος, το οποίο με τη βοήθεια της τεχνολογίας και της πειθαρχίας, κατάφερε αυτή τη φορά να επιβιώσει.

Ωστόσο, η πανδημία ήταν μια εξαιρετική άσκηση για τις τράπεζες, οι οποίες δοκίμασαν σε ένα τελείως διαφορετικό περιβάλλον τα μοντέλα διαχείρισης κινδύνου που χρησιμοποιούν. Σύμφωνα με μια μελέτη της McKinsey, η πανδημία επηρέασε την αποτελεσματικότητα των μοντέλων παγκοσμίως, περιλαμβανομένων και μοντέλων με υψηλή αξιοπιστία, όπως αυτά των κινδύνων πίστωσης και απατηλών συναλλαγών.

Η ανταπόκριση των χρηματοοικονομικών οργανισμών, ήταν η εφαρμογή μέτρων έκτακτης ανάγκης, τα οποία λόγω αναγκαίας προχειρότητας, είτε μετρίαζαν υπερβολικά τον κίνδυνο, είτε απαιτούσαν μεγαλύτερες δαπάνες για monitoring.

Πλέον με την πανδημία σε ελεγχόμενη κατάσταση, οι χρηματοοικονομικοί οργανισμοί επαναξιολογούν τα μοντέλα τους και ήδη προβαίνουν σε αλλαγές, όπως για παράδειγμα γίνεται στην Ασία και στη Βόρεια Αμερική, είτε βρίσκονται σε ένα στάδιο αξιολόγησης, όπως γίνεται στην Ευρώπη.


Το δυναμικό risk management που ενσωματώνεται στην στρατηγική μακροχρόνιας αντοχής του οργανισμού, περιλαμβάνει τη δυνατότητα πρόβλεψης κινδύνου, τη διάθεση ανάληψης ρίσκου και τις αποφάσεις δράσεων

Οι πέντε δράσεις που απαιτούνται για τη μετάβαση σε δυναμικό risk management

  • Αλλαγή της νοοτροπίας risk management
    Μετατόπιση της βαρύτητας από την πρόληψη στη συνύφανση με την στρατηγική και τη δημιουργία αξίας.
  • Δημιουργία ευέλικτων πρακτικών risk management
    Βασικό στοιχείο είναι η δημιουργία ομάδων σε διαφορετικά τμήματα που συνεργάζονται με στόχο τις γρήγορες αποφάσεις σε επιχειρηματικές επιλογές, καινοτόμες ιδέες και τους κινδύνους που εμπεριέχουν.
  • Αξιοποίηση της ανάλυσης δεδομένων
    Ψηφιοποίηση των ροών διαδικασιών, αξιοποίηση των δεδομένων για ευρύτερη κατανόηση των κινδύνων, χρήση αλγορίθμων για ταχύτερη εύρεση σφαλμάτων και προβλέψεις μεγαλύτερης ακρίβειας.
  • Βελτίωση της αντίληψης του κινδύνου
    Περισσότερη γνώση που αποσκοπεί στην πληρέστερη εικόνα του περιβάλλοντος και των κινδύνων του.
  • Θεμελίωση της κουλτούρας διαχείρισης κινδύνου
    Οι ομάδες που βρίσκονται στην πρώτη γραμμή, έχουν κάνει δική τους τη νοοτροπία διαχείρισης ρίσκου του οργανισμού, οι διοικητές των ομάδων έχουν καθορισμένες ευθύνες, η κουλτούρα του risk management συνυφαίνεται με τις καθημερινές επιχειρηματικές δράσεις και τα αποτελέσματά τους.

Nικήτας Κλαδάκης: Ολοκληρωμένες, πρωτοποριακές και ποιοτικές υπηρεσίες ασφάλειας

Μετρώντας εννέα χρόνια παρουσίας, η Netbull απολαμβάνει την εμπιστοσύνη μεγάλου αριθμού εταιρειών και οργανισμών σε ό,τι αφορά την ασφάλεια των πληροφοριών και την προστασία των δεδομένων τους. Η εξαγορά της από την Adacom έρχεται να υποστηρίξει περαιτέρω την εταιρεία στην υλοποίηση του οράματός της και τη διασφάλιση της επιτυχίας της.

Πρόσφατα ανακοινώθηκε η συμφωνία εξαγοράς της Netbull από τη θυγατρική της IDEAL Holdings, ADACOM. Τι σημαίνει αυτή η κίνηση και πώς διαμορφώνεται πλέον η στρατηγική σας;

Από την ίδρυσή της Netbull, όραμά μας ήταν να αποτελέσουμε έναν από τους μεγαλύτερους παρόχους υπηρεσιών και τεχνολογιών κυβερνοασφάλειας στην Ευρώπη. Στα εννέα χρόνια που πέρασαν καταφέραμε να μας εμπιστευτεί την ασφάλεια του πλήθος Οργανισμών του Δημοσίου και Ιδιωτικού τομέα με αποτέλεσμα σήμερα να λειτουργούμε ένα από τα πλέον βραβευμένα Κέντρα Ασφαλούς Παρακολούθησης Συμβάντων (SOC), αλλά και να έχουμε συμβάλει με επιτυχία στην αντιμετώπιση ορισμένων εκ των μεγαλύτερων κυβερνοεπιθέσεων στην χώρα μας.

Όμως για να υλοποιήσουμε το όραμά μας και να πετύχουμε ακόμα περισσότερα στο σύγχρονο ανταγωνιστικό περιβάλλον της παγκοσμιοποίησης που δραστηριοποιούμαστε, θα έπρεπε να αλλάξουμε στρατηγική και να ενώσουμε δυνάμεις με μια εταιρεία η οποία θα είχε κοινούς στόχους και αξίες με εμάς. Με την εξαγορά μας από την ADACOM, και πλέον την κοινή μας στρατηγική και συμπόρευση, εκμεταλλευόμαστε τις συνέργειες και αποκτούμε τα εχέγγυα που απαιτούνται, όπως την επέκταση σε νέες αγορές, τη διεύρυνση του πελατολογίου αλλά και την πρόσβαση σε κεφάλαια που μας εξασφαλίζει το κύρος της IDEAL Holdings, για να δώσουμε σάρκα και οστά στο όραμά μας. Μαζί δημιουργούμε τη μεγαλύτερη εταιρεία κυβερνοσφάλειας στην Ελλάδα, με ισχυρή παρουσία στην Ελλάδα και σε αρκετές χώρες στο εξωτερικό, με περισσότερους από 120 έμπειρους συμβούλους κυβερνοασφάλειας και με ένα χαρτοφυλάκιο λύσεων και υπηρεσιών που μας επιτρέπει να είμαστε πλέον ο μοναδικός πάροχος στην Ελλάδα με τέτοια ολιστική πρόταση, η οποία μπορεί να βοηθήσει οποιοδήποτε μέγεθος οργανισμού να αντιμετωπίσει τις σύγχρονες προκλήσεις κυβερνοασφάλειας του πλέον εξελισσόμενου τοπίου απειλών.

Πώς διαμορφώνονται σήμερα οι τάσεις σε ό,τι αφορά τις κυβερνοαπειλές και τις προκλήσεις που καλούνται να διαχειριστούν οι σύγχρονες εταιρείες και οργανισμοί; Η πανδημία και τα lockdown πώς έχουν επηρεάσει;

Η πανδημία έχει τροποποιήσει σημαντικά τον τρόπο λειτουργίας των οργανισμών, καθώς ο ψηφιακός μετασχηματισμός και η τηλεργασία αποτελούν πλέον κεντρική στρατηγική ανάπτυξης ενώ παράλληλα προσθέτει νέες προκλήσεις για την ασφάλεια στον κυβερνοχώρο. Παράλληλα, η χρήση των υπηρεσιών νέφους, η απομακρυσμένη πρόσβαση και οι νέες τεχνολογίες έχουν ως αποτέλεσμα την αύξηση των κυβερνοεπιθέσεων μέσω malware, ransomware, phishing κ.λπ. που δεν μπορούν να αντιμετωπιστούν με τις κλασικές λύσεις και αρχιτεκτονικές ασφαλείας.

Γι’ αυτό τον τελευταίο καιρό γίνεται συζήτηση για νέες σύγχρονες αρχιτεκτονικές ασφαλείας ολιστικής ασφάλειας (Defense in Depth) και μηδενικής εμπιστοσύνης (Zero Trust), καθώς και υπηρεσιών παρακολούθησης και διαχείρισης περιστατικών ασφαλείας 24×7 σε πραγματικό χρόνο μέσω τεχνητής νοημοσύνης, προκειμένου οι οργανισμοί να θωρακίσουν τα δεδομένα τους, τις υπηρεσίες νέφους που έχουν υιοθετήσει, το δίκτυο των υποδομών τους και τη νέα τους περίμετρο που πλέον είναι οι απομακρυσμένοι σταθμοί εργασίας.

Ειδικότερα σε ό,τι αφορά τους χρηματοοικονομικούς οργανισμούς ποιες είναι οι ιδιαίτερες ανάγκες των χρηματοοικονομικών οργανισμών σε ό,τι αφορά την ασφάλεια; Ποια η πρόταση αξίας της Netbull;

Οι περισσότεροι οργανισμοί στον χρηματοοικονομικό τομέα έχουν legacy συστήματα τα οποία δεν δέχονται εύκολα τις όποιες επεμβάσεις, ή τροποποιήσεις έτσι ώστε να ενταχθούν σε ένα σύγχρονο αποτελεσματικό περιβάλλον στα θέματα της ασφάλειας συστημάτων και δεδομένων. Παρ’ όλα αυτά, η υποδομή της εταιρείας μας και η αρχιτεκτονική ασφάλειας που έχουμε σχεδιάσει, επιτρέπει να επέμβουμε στα σημεία εκείνα που δεν εμποδίζουν τη λειτουργία των legacy συστημάτων, έτσι ώστε να χτίσουμε πριν από αυτά διάφορους μηχανισμούς προστασίας. Στο σημείο που ενώνονται τα legacy συστήματα με την υπόλοιπη πληροφοριακή υποδομή, εμείς χτίζουμε τους κατάλληλους μηχανισμούς ανίχνευσης και προστασίας από απειλές.

Αναλύοντας τη δομή των επιθέσεων, διαπιστώνουμε ότι η φάση προετοιμασίας μιας επίθεσης από εισβολείς έχει μεγάλη διάρκεια. Άρα, αν κάποιοι θέλουν να επιτεθούν σε μια τράπεζα ή μια ασφαλιστική εταιρεία, η προετοιμασία τους χωρίζεται σε δύο στάδια, στη συγκέντρωση πληροφοριών και στην επιλογή του τρόπου («όπλου»), δηλαδή του χτυπήματος που θα κάνουν. Έτσι ξεκινά η αναζήτηση του εισβολέα, ο οποίος ψάχνει στα κοινωνικά δίκτυα, στο website του οργανισμού /στόχου, αλλά και σε άλλα σημεία για διάφορες πληροφορίες, προκειμένου να σχηματίσει μια σαφέστερη εικόνα για τον στόχο. Αυτήν η εικόνα αναφέρεται συνήθως ως σημείο ή επιφάνεια επίθεσης, και αποτελεί το σημείο όπου ο επιτιθέμενος θα προσπαθήσει να εισβάλει. Οι επιθέσεις συνήθως είναι μέσω email ή post σε website, που σκοπό έχει να παραπλανήσει τον αποδέκτη τους, δηλαδή το μέσο επίθεσης είναι ένα phishing email ή σελίδα. Εκεί θα οδηγηθεί ο χρήστης του οργανισμού για να μπορέσει να κάνει την πρώτη εισαγωγή πληροφοριών. Μέσω αυτής της διασύνδεσης, ο επιτιθέμενος θα χρησιμοποιήσει τα συστήματα τους για να περάσει προς το υπόλοιπο δίκτυο, να φτάσει με άλλα λόγια στο legacy περιβάλλον του οργανισμού.

Η προσέγγιση της Netbull είναι να χτίσει τείχη άμυνας, φράγματα δηλαδή, πριν τα legacy συστήματα. Για τον λόγο αυτό παρέχουμε υπηρεσίες έγκαιρης προειδοποίησης (early warning services), μέσω των οποίων, την ώρα που ο επιτιθέμενος συγκεντρώνει πληροφορίες και δεν είναι ορατός στα συστήματα μας, εμείς με κατάλληλους ελέγχους που κάνουμε στα σημεία επιθέσεων, στο dark web, και σε διάφορα άλλα μέσα πληροφοριών, μπορούμε να καταλάβουμε τι πάει να κάνει ο επιτιθέμενος και να στοχεύσουμε στην έγκαιρη ανίχνευση της επίθεσης. Άρα πριν καταφέρει ο χάκερ να περάσει στα legacy συστήματα, εμείς έχουμε ενεργοποιήσει κατάλληλους μηχανισμούς προστασίας, ανίχνευσης και απόκρισης σε απειλές. Πλέον μέσα από σύγχρονες τεχνολογίες μπορούμε να αποκριθούμε σε πολύ σύντομο χρονικό διάστημα, και μέσω της τεχνητής νοημοσύνης να δημιουργήσουμε ένα πλάνο το οποίο να μας επιτρέψει την γρήγορη εξάλειψη των επιθέσεων.

Ειδικοί αναλυτές αλλά και η πρακτική εμπειρία αναδεικνύουν την ανάγκη για ολιστική προσέγγιση σε ό,τι αφορά την ασφάλεια των πληροφοριών. Τι περιλαμβάνει αυτό και πώς μπορεί η τεχνογνωσία της Netbull να βοηθήσει και να το διασφαλίσει;

Είναι γεγονός ότι σήμερα ο ψηφιακός μετασχηματισμός και η τηλεργασία έχει οδηγήσει τις επιχειρήσεις σε όλο και μεγαλύτερη χρήση πληροφοριακών συστημάτων και υπηρεσιών. Συνεπώς αυξάνεται η επιφάνεια επίθεσης και το εύρος των ευκαιριών, για την πραγματοποίηση νέων πολύπλοκων και εξελιγμένων κυβερνοεπιθέσεων, σε σχέση με τα προηγούμενα έτη.

Για την αντιμετώπιση των κυβερνοεπιθέσεων η εταιρεία μας, μετά από χρόνια έρευνας, έχει αναπτύξει μία αρχιτεκτονική ασφαλείας την netbull Security Architecture (nSA), η οποία εφαρμόζεται από τα πρώιμα στάδια σχεδιασμού έως την υλοποίηση, τον έλεγχο και την παρακολούθηση των κυβερνοεπιθέσεων με μηχανισμούς τεχνητής νοημοσύνης και μηχανικής εκμάθησης.

Ο κύριος σκοπός της αρχιτεκτονικής είναι η προστασία των πληροφοριών, βασίζεται στην ασφάλεια δικτύου για την ανάπτυξη των απαραίτητων μηχανισμών ασφαλείας και περιλαμβάνει μηχανισμούς ασφαλείας σε κάθε επίπεδο.

Η αρχιτεκτονική nSA, χωρίζεται σε δομικούς άξονες για την Ασφάλεια Δικτύου, Προστασία από διαρροή δεδομένων, Διακυβέρνηση Κινδύνου & Συμμόρφωση, Διαχείριση Ασφάλειας Πληροφοριών, Διαχείριση Ταυτοποίησης & Πρόσβασης, Ασφάλεια Εφαρμογών & Βάσεων Δεδομένων, Ασφάλεια τελικού σημείου καθώς και Ασφάλεια νέφους. Η nSA επιτρέπει την προστασία πολύτιμων πληροφοριών σε τρεις διαστάσεις: την χρήση τεχνολογιών τεχνητής νοημοσύνης, την εκπαίδευση των ανθρώπων και την εφαρμογή κατάλληλων πολιτικών και διαδικασιών.

Η εν λόγω αρχιτεκτονική μας επιτρέπει να αναπτύξουμε ένα ολοκληρωμένο σύνολο τεχνολογικών λύσεων και υπηρεσιών η οποία επιτρέπει στους οργανισμούς την ανάπτυξη άμυνας εις βάθος.

Πώς μπορούν οι προηγμένες τεχνολογίες Artificial Intelligence και machine learning τις οποίες αξιοποιείτε στην Netbull στην προστασία των δεδομένων; Ποια είναι τα οφέλη που προσφέρουν αλλά και ποια τα σημεία που χρήζουν ιδιαίτερης προσοχής;

Οι υπηρεσίες τεχνητής νοημοσύνης και μηχανικής εκμάθησης επεκτείνουν τη λειτουργικότητα γνωσιακής ανάλυσης της πλατφόρμας διαχείρισης απειλών eASIS (που βασίζεται στην λύση IBM QRadar), βοηθώντας τους αναλυτές μας στη διερεύνηση και αντιμετώπιση απειλών. Ουσιαστικά αξιοποιούν τις γνωσιακές βάσεις της εταιρείας, προσθέτοντας μη δομημένα στοιχεία, όπως για παράδειγμα πληροφορίες από ιστότοπους ασφάλειας, από ιστολόγια (blogs) και ερευνητικές μελέτες και συσχετίζοντάς τα με τα περιστατικά ασφάλειας που εντοπίζονται στους πελάτες μας. Με αυτό τον τρόπο μπορεί να συμβάλει σημαντικά στον εντοπισμό εξειδικευμένων μόνιμων απειλών ακόμα και μη ταξινομημένων καθώς και στην αυτόματη παροχή πληροφοριών για την βέλτιστη λήψη αποφάσεων.

Από την άλλη όμως, θα πρέπει να γίνει κατανοητό ότι η τεχνητή νοημοσύνη δημιουργήθηκε για να βοηθήσει την ανθρώπινη ικανότητα των αναλυτών ασφαλείας και όχι να την αντικαταστήσει.
Οι ομάδες ασφάλειας της εταιρείας μας αξιοποιούν την εμπειρία και την τεχνογνωσία τους για να παρέχουν προηγμένες υπηρεσίες για την αντιμετώπιση κυβερνοαπειλών. Αξίες όπως η ακεραιότητα, η καινοτομία, η δημιουργικότητα και η ευελιξία μας καθοδήγησαν στο να γίνουμε αυτό που είμαστε σήμερα, μια εταιρεία της οποίας κύριος στόχος είναι η ικανοποίηση των πελατών και η εκπλήρωση των δεσμεύσεών της, διότι επιτυχία μας θεωρούμε την επιτυχία των πελατών μας.

Ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί έναν από τους μεγαλύτερους κινδύνους. Γιατί πιστεύετε ότι συμβαίνει αυτό ακόμα -αν και πια καταναλωτές και εργαζόμενοι έχουν υψηλά επίπεδα εξοικείωσης με τις ψηφιακές λειτουργίες; Τι κάνουν «λάθος» οι οργανισμοί σε αυτό το πλαίσιο και πώς μπορεί αυτός ο κίνδυνος να ελαχιστοποιηθεί;

Ο ανθρώπινος παράγοντας είναι η κινητήρια δύναμη κάθε οργανισμού ώστε όλες οι επιχειρηματικές δραστηριότητες να εκτελούνται με συνέπεια και ακρίβεια. Η εκπαίδευση του προσωπικού των περισσότερων επιχειρήσεων παρόλο που έχουν υψηλά επίπεδα εξοικείωσης με ψηφιακές λειτουργίες, εντούτοις σε θέματα κυβερνοασφάλειας είναι ελλιπής. Αυτό είναι κάτι που οι περισσότεροι κυβερνοεγκληματίες το γνωρίζουν και το εκμεταλλεύονται κατά τα πρώιμα στάδια μίας κυβερνοεπίθεσης. Οι επιθέσεις ηλεκτρονικού ψαρέματος μέσω ηλεκτρονικού ταχυδρομείου, είναι αυτές που έχουν θέσει σε κίνδυνο την επιχειρηματική δραστηριότητα μερικών από τους μεγαλύτερους οργανισμούς.

Έτσι αποτελεί επιτακτική ανάγκη, η εκπαίδευση και η τακτική ενημέρωση όλου του προσωπικού, σε θέματα κυβερνοασφάλειας διότι οι κυβερνοεπιθέσεις συνεχώς εξελίσσονται. Με αυτόν τον τρόπο διαμορφώνεται θετική κουλτούρα κυβερνοασφάλειας στον οργανισμό, και τον καθιστά πιο αποτελεσματικό στην αντιμετώπιση προκλήσεων και τεχνασμάτων κυβερνοεγκληματιών, όντας σε θέση να αναγνωρίσει άμεσα απειλές τέτοιου είδους.

Πώς μπορεί ένας οργανισμός να μετρήσει την αποτελεσματικότητα των επενδύσεων σε ασφάλεια;

Ένα σημαντικό μέρος της εφαρμογής του πλαισίου Κυβερνοασφάλειας σε έναν οργανισμό είναι η δημιουργία ενός Συστήματος Διαχείρισης Κινδύνων (Risk Management System), το οποίο πέρα των άλλων θα διαθέτει και τους απαραίτητους μετρικούς παράγοντες (key metrics) για την αποτελεσματικότητα των επενδύσεων στην κυβερνοασφάλεια.

Το εν λόγω σύστημα θα χρησιμοποιείται για την αποτίμηση του επιπέδου της επικινδυνότητας που διατρέχει η επιχείρηση και θα αποτελείται από ένα σύνολο διαδικασιών, μεθοδολογιών και μετρικών που στοχεύουν στη μείωση του σχετικού κινδύνου. Η μείωση αυτή επιτυγχάνεται µέσω της δημιουργίας, επιλογής και εφαρμογής των κατάλληλων μέτρων για την ασφάλεια δεδομένων και συστημάτων του οργανισμού.

Ποιο είναι το ανταγωνιστικό πλεονέκτημα της Netbull σε έναν τόσο κρίσιμο τομέα όσο αυτός της ασφάλειας των πληροφοριών;

Η Netbull αναπτύσσει συνεχώς τις παρεχόμενες υπηρεσίες και προηγμένες λύσεις της στον τομέα της ασφάλειας πληροφοριών και της προστασίας δεδομένων και οι δραστηριότητές της περιλαμβάνουν κυρίως:

  • παροχή εξειδικευμένων υπηρεσιών ασφαλείας όπως μελέτες ασφάλειας, δοκιμές διείσδυσης, διερεύνηση περιστατικών εισβολής, ανάλυση κινδύνου, ανάλυση GAP και συμμόρφωση με νομικά και ρυθμιστικά πλαίσια όπως NIS, GDPR, ISO/IEC 27001 κ.λπ.
  • σχεδιασμός και εφαρμογή ολοκληρωμένων λύσεων ασφάλειας πληροφοριών
  • διαχειριζόμενες υπηρεσίες που παρέχονται μέσω του ιδιόκτητου Επιχειρησιακού Κέντρου Ασφαλείας (netbull SOC)
  • ασφάλεια ως υπηρεσία για υποδομές cloud
  • εμπειρογνώμονες ασφάλειας πληροφοριών για πολύπλοκα περιβάλλοντα και απαιτητικά έργα ασφάλειας
  • ολιστική προσέγγιση σε θέματα ασφάλειας στον κυβερνοχώρο και προστασίας δεομένων.

Η κύρια στρατηγική μας είναι η παροχή πρωτοποριακών και ποιοτικών υπηρεσιών διαχειριζόμενης ασφάλειας (Managed Security Services) και όχι η απλή μεταπώληση προϊόντων.
Για την υλοποίηση της κύρια αυτής στρατηγικής:

Έχουμε υιοθετήσει μια ολιστική προσέγγιση για την ασφάλεια που καλύπτει τομείς ασφάλειας για Πρόβλεψη, Πρόληψη, Ανίχνευση και Απόκριση κυβερνοαπειλών
Το τοπίο των απειλών αλλάζει καθημερινά. Οι απειλές για μια επιχείρησή δεν είναι πλέον μόνο τοπικές. Ο τρόπος με τον οποίο οι χρήστες συνδέονται με το Διαδίκτυο και την εταιρεία τους μέσω της ανταλλαγής πληροφοριών, η προσβασιμότητα που απολαμβάνουν μέσω της τεχνολογίας κινητής τηλεφωνίας και η ευκολία με την οποία οι άνθρωποι, τα προϊόντα και οι πληροφορίες διακινούνται πέρα από τα σύνορα δημιουργούν τρωτά σημεία. Για την αντιμετώπιση αυτών των απειλών, έχει αναπτυχθεί μια αρχιτεκτονική που χαρακτηρίζεται από την αρχή ότι η πληροφοριακή υποδομή ενός οργανισμού είναι σε κίνδυνο και βασίζεται σε πιθανά σενάρια επίθεσης και καλύπτει όλους τους τομείς Πρόβλεψης, Πρόληψης, Ανίχνευσης και Απόκρισης, χρησιμοποιώντας τεχνολογίες Τεχνητής Νοημοσύνης, Ανάλυσης Συμπεριφοράς Δικτύου, Ανάλυσης Συμπεριφοράς Χρηστών και Ανίχνευσης & Απόκρισης Τελικού Σημείου.

Διατηρούμε στρατηγικές συνεργασίες και συνέργειες με κορυφαίους προμηθευτές τεχνολογίας
Συνεργαζόμαστε στενά με επιλεγμένους τεχνολογικούς ηγέτες σε εφαρμογές λογισμικού, υποδομές και συμβουλευτικές υπηρεσίες για να ενισχύσουμε το δικό μας μοναδικό χαρτοφυλάκιο λύσεων και προηγμένων υπηρεσιών. Η αξιοποίηση των ικανοτήτων αυτών των ηγετών του κλάδου της ασφάλειας μας επιτρέπει να επικεντρωθούμε στον στόχο μας που είναι η ασφαλής ανάπτυξη των δραστηριοτήτων των πελατών μας. Μέσω της ολοκληρωμένης, έξυπνης ενσωμάτωσης λύσεων που βασίζονται σε προϊόντα συνεργατών, υποστηρίζουμε και συμπληρώνουμε τις δικές μας βασικές υπηρεσίες για να μεγιστοποιήσουμε την παραγωγικότητά των πελατών μας. Διαθέτουμε τεχνογνωσία τόσο σε θέματα ασφάλειας όσο και πληροφορικής και συνεργαζόμαστε με τους παγκόσμιους στρατηγικούς τεχνολογικούς συνεργάτες μας για να διασφαλίσουμε την παροχή λύσεων παγκόσμιας κλάσης που δημιουργούν πραγματικά και απτά επιχειρηματικά οφέλη σε πελάτες σε όλες τις αγορές και επιχειρηματικούς τομείς.

Έχουμε αποδεδειγμένη εμπειρία, στον σχεδιασμό και την υλοποίηση λύσεων καθώς και προηγμένων υπηρεσιών ασφαλείας
Αυτό που ξεχωρίζει στην εταιρεία μας δεν είναι η τεχνολογία αλλά η εκπαίδευση και η ικανότητα των στελεχών της, καθώς και η η αφοσίωση τους στην εξαιρετική εξυπηρέτηση. Η Netbull έχει μακρά ιστορία επιτυχίας και στελεχώνεται από ανθρώπους με μέσο όρο 14+ χρόνια αποδεδειγμένης εμπειρίας στην παροχή υπηρεσιών και λύσεων. Οι μηχανικοί μας είναι πιστοποιημένοι με σχετικές πιστοποιήσεις που αποδεικνύουν την τεχνογνωσία τους σε διάφορα επίπεδα που σχετίζονται με την ασφάλεια συστημάτων όπως η πιστοποίηση τεχνολογίας CCSA, CCNA, SSCE, καθώς και τον κίνδυνο επιχειρηματικών δεδομένων όπως οι πιστοποιήσεις DPO & ISO 27001 Lead Auditor. Οι διευθυντές μας έχουν δει από πρώτο χέρι τις απαιτήσεις στην εργασία που αντιμετωπίζουν οι πελάτες μας σε διάφορους κλάδους και κατανοούν τις προκλήσεις που παρουσιάζονται σε καθημερινή βάση. Οι ομάδες μας αξιοποιούν την εμπειρία και την τεχνογνωσία τους για να παρέχουν εξαιρετικές υπηρεσίες.

Παρέχουμε προτάσεις και υπηρεσίες ανεξαρτήτως κατασκευαστών, με χρήση των καλυτέρων τεχνολογιών και λύσεων
Οι περισσότεροι παραδοσιακοί ολοκληρωτές (integrators) τεχνολογίας προωθούν τον εαυτό τους με βάση τη σχέση τους με συγκεκριμένους προμηθευτές. Η υπηρεσία τους συνδέεται αποκλειστικά με τα οφέλη του υλικού και του λογισμικού που μεταπωλούν και έχουν κίνητρο να προωθήσουν συγκεκριμένα προϊόντα που βασίζονται αποκλειστικά σε συμβάσεις. Σε αντίθεση με τους παραδοσιακούς ολοκληρωτές, η Netbull δεν βασίζεται σε μια λίστα προτιμώμενων προμηθευτών. Αντίθετα, η εταιρεία μας αξιοποιεί το εκτεταμένο δίκτυο συνεργατών της για λύσεις δικτύωσης και ασφάλειας και τη μακρά ιστορία της στην τεχνική γνώση, την παροχή συμβουλών και την υποστήριξη για τον εντοπισμό πιθανών λύσεων. Η εταιρεία ακολουθεί μια αυστηρή διαδικασία ελέγχου τεχνολογιών, διασφαλίζοντας ότι όλα τα στοιχεία της λύσης πρέπει να πληρούν τις τεχνικές και οικονομικές απαιτήσεις του πελάτη. Οι πελάτες μας είναι βέβαιοι ότι αυτή η προσέγγιση διασφαλίζει ότι η εταιρεία αναπτύσσει προσαρμοσμένες λύσεις που είναι ανεξάρτητες από τις σχέσεις προμηθευτών, πληρούν τις τεχνικές απαιτήσεις, τον προϋπολογισμό και επιλύουν τα προβλήματα τους.