Τι να κρατήσεις (Takeaways)
- Η AI είναι σύμμαχος στην άμυνα-ασφάλεια (εντοπισμός ανωμαλιών, περιστατικά, επιτάχυνση SOC).
- Ταυτόχρονα ανοίγει νέο πεδίο απειλών: πρέπει να εξασφαλίζεις και την ίδια την AI και να προετοιμάζεσαι...
- Ενσωμάτωση όλων των ρίσκων στο risk register της επιχείρησης.
Η τεχνητή νοημοσύνη αποκτά ρόλο στην άμυνα των επιχειρήσεων, γιατί λειτουργεί ταυτόχρονα ως επιταχυντής απειλών και ως κορυφαίο αμυντικό εργαλείο. Οι επιτιθέμενοι δημιουργούν εξελιγμένα phishing, deepfakes, malware και αυτοματοποιημένες επιθέσεις, ενώ οι οργανισμοί απαντούν με AI-driven threat detection, anomaly monitoring, behavioral analysis και predictive defense. Η ασφάλεια πληροφοριών δεν αρκείται μόνο σε firewalls ή λογισμικά προστασίας, (πρέπει να) ενσωματώνει “AI by design”, δηλαδή στον πυρήνα των πολιτικών, διαδικασιών και ελέγχων. Υποστηρίζει τη συμμόρφωση με NIS2, ISO 27001 και risk assessments.
Στην πράξη, το ζήτημα δεν είναι τεχνολογικό αλλά επιχειρηματικό. Ένα επιτυχημένο cyber περιστατικό δεν κοστίζει μόνο τα δεδομένα, αλλά μπορεί να φέρει διακοπή λειτουργίας, απώλεια πελατών, πρόστιμα συμμόρφωσης και κακή φήμη. Η ΤΝ, λοιπόν, δεν είναι “εργαλείο IT”, αλλά μηχανισμός επιχειρησιακής ανθεκτικότητας. Οι επιχειρήσεις κάνουν τρία βήματα:
- Συνεχή εκπαίδευση ανθρώπων, αναπτύσσοντας ισχυρή εσωτερική κουλτούρα ασφάλειας.
- Συνεχή risk assessments για να συνδέουν τις απειλές με πραγματικά επιχειρησιακά δεδομένα.
- Πιστοποιήσεις και συμμόρφωση με όλα τα διεθνή πρότυπα (όπως ISO 27001, ISO 27701, NIS2, ISO 42001) για να διασφαλίσουν θεσμική και τεχνική ετοιμότητα.
Έχουμε τεράστιες αλλαγές στην Aσφάλεια Πληροφοριών, δηλαδή στα ψηφιακά συστήματα, τις διαδικασίες και τους χρήστες-ανθρώπους της επιχείρησης. Η ασφάλεια καλύπτει ένα μεγάλο πλέγμα δράσεων: προσωπικά δεδομένα, πληροφοριακά συστήματα και άμυνα, επιχειρηματικά δεδομένα (ERP, τιμολογήσεις, οικονομικά στοιχεία). Δεν νομίζω πως έχουν γίνει ακόμη κτήμα των επιχειρήσεων. Ούτε πως σε όλη την Ε.Ε. ήδη οι επιθέσεις κατευθύνονται προς μικρομεσαίες επιχειρήσεις που είναι πιο vulnerable. Η Kaspersky εξηγεί πως μόλις το 7% των επιχειρήσεων αντιμετωπίζουν τα αδύναμα σημεία τους. Oι ειδικοί επαναλαμβάνουν συχνά τη φράση: «Δεν είναι θέμα αν, αλλά πότε».
Για αυτό η NIS-2 θέλει να προστατέψει (εκτός από λιμάνια-νοσοκομεία-αεροδρόμια) τις επιχειρήσεις τροφίμων και κύριων υπηρεσιών που αν πληγούν είτε μέσω άμεσης επίθεσης, είτε μέσω συνεργατών ή/και πελατών (σε apps, βάσεις δεδομένων), θα δημιουργηθεί κοινωνικός πανικός. Αν δεν πιστεύετε, διαβάστε στο 2045.gr πως οι παράνομοι του ψηφιακού κόσμου δεν έμειναν ήσυχοι (ούτε) το 2025. Και όσο αφορά στην ΤΝ μας έχει πει ξεκάθαρα η Gartner (που μιλά με όλες τις τεχνολογικές και τηλεπικοινωνιακές εταιρείες), επισημαίνει ότι οι οργανισμοί που επενδύουν σε AI-enabled detection μειώνουν έως και 40% τον χρόνο εντοπισμού περιστατικών (MTTD). Η διαφορά δεν είναι τεχνολογική, αλλά δείχνει οργανωτική ωριμότητα (μην ξεχνούμε, το 75% όλων των IT εργασιών θα εκτελείται από ανθρώπους με υποστήριξη AI και το 25% από μηχανές).
Πως θα πετύχουμε ασφάλεια; Το AI να ενσωματώνεται προσεκτικά “by design” στις διαδικασίες-συστήματα, ώστε η επιχείρηση να έχει σαφείς κανόνες, ακόμη κι αν η χρήση του αφορά για παράδειγμα σε entry level ChatGTP. Ακόμη και αυτό το entry level, μην ξεχνούμε, βγάζει κώδικα για tech companies, ή επεξεργάζεται στατιστικά τα προσωπικά δεδομένα που τηρεί η επιχείρηση (πεδία a priori εμπιστευτικά). Εφόσον η ΑΙ ενεργοποιείται και χρησιμοποιείται δεν είναι δυνατόν η επιχείρηση να μην έχει σαφείς πολιτικές διακυβέρνησης, ηθικής χρήσης και ελέγχου. Οι οδηγίες της Ε.Ε και το ISO 42001 δίνουν έμφαση στην ηθική διάσταση (AI Ethics), τη διαφάνεια αλγορίθμων (Explainable AI) και τον τρόπο χρήσης. Το πρόβλημα στα παραπάνω είναι πως αρκετά περιβάλλοντα (βιομηχανίες, μεταποίηση, τράπεζες, υπηρεσίες) έχουν legacy (ή/και παλιές;) υποδομές που δυσκολεύουν την ασφαλή ενσωμάτωση και παράλληλα στελέχη τους κάνουν ανεπίσημη χρήση μη εγκεκριμένων εργαλείων AI (Shadow AI), άρα υπάρχει σοβαρός κίνδυνος διαρροής δεδομένων. Στην πράξη, ένα ρεαλιστικό πλάνο για μια ΜμΕ μπορεί να ακολουθήσει 4 βήματα:
- Χαρτογράφηση: πού χρησιμοποιείται ήδη AI (επίσημα ή ανεπίσημα).
- Ταξινόμηση κινδύνου: ποια συστήματα επηρεάζουν προσωπικά ή κρίσιμα δεδομένα.
- Governance & Policies: κανόνες χρήσης, έγκρισης και logging.
- Monitoring: συνεχής έλεγχος, alerts, εσωτερικά audits.
Χωρίς αυτά, η AI μετατρέπεται από επιταχυντή παραγωγικότητας σε επιταχυντή ρίσκου. Επίσης, ο EU AI Act (νέο κανονιστικό πλαίσιο της Ε.Ε) ζητάει από κάθε Διοίκηση να αποδείξει ότι έχει λάβει τεκμηριωμένα μέτρα πρόληψης, άρα το AI Governance γίνεται θέμα λογοδοσίας Διοικητικού Συμβουλίου, όχι απλώς τεχνικής υλοποίησης του IT. O κανονισμός ταξινομεί τα συστήματα πληροφορικής-ασφάλειας σε τέσσερις κατηγορίες κινδύνου: minimal, limited, high, prohibited και απαιτεί σαφές governance, accountability και certification. Οι επιθέσεις μέσω phising, data poisoning, model inversion, και deepfakes αυξάνονται, άρα η ασφάλεια πρέπει να είναι στον πυρήνα κάθε εφαρμογής (και χρήσης).
AI Governance Policy: η νέα προτεραιότητα
Κάθε οργανισμός ασχέτως μεγέθους και αντικειμένου (εργοστάσιο, υπηρεσίες, call centers, διαφημιστικές, και όποιος θα χρησιμοποιήσει ΑΙ ολικά, ή κατά μέρος) χρειάζεται να αναπτύξει το δικό του AI Governance Policy, ακόμη και αν απλά βρίσκεται στο στάδιο σχεδιασμού για το πως θα χρησιμοποιήσει το ΑΙ. Για να δημιουργήσει μια ενιαία κουλτούρα στα εσωτερικά κοινά (δεν αφορά μόνο τα τμήματα IT αλλά και marketing, product, οικονομικό κ.λπ), και προς όλου τους προμηθευτές-συνεργάτες καλύπτοντας με κανόνες-μέτρα και εγκρίσεις τα εξής:
- αξιολόγηση και έγκριση όλων των AI εργαλείων που χρησιμοποιούνται,
- ταξινόμηση όλων των έργων-projects-προϊόντων που έχουν AI ανά επίπεδο κινδύνου,
- εκπαίδευση προσωπικού τι σημαίνει και να τι κάνεις για ethical & explainable AI,
- ενσωμάτωση του AI governance στο σύστημα ασφάλειας πληροφοριών (ISMS) και συσχέτιση με ISO,
- συνεχή εσωτερική παρακολούθηση, auditing και επικαιροποίηση.
Ενσωμάτωση του AI στο Risk Assessment
Υπάρχουν πολλές εταιρείες και οργανισμοί σε διάφορους τομείς που γνωρίζουν και κάνουν Risk Assessment (αξιολόγηση κινδύνων) στα πλαίσια του business planning ή με αφορμή πιστοποιήσεις ISO 9001, ISO 27001 κ.ά.:
- Φορείς και επιθεωρητές πιστοποίησης συστημάτων (Certification Bodies).
- Εταιρείες συμβούλων σε διαχείριση κινδύνων (Risk & Governance Consulting).
- Σύμβουλοι για αρχιτεκτονική ISMS (Information Security Management System).
- Εξειδικευμένοι πάροχοι στον τομέα της ασφάλειας πληροφοριών / κυβερνοασφάλειας.
- Ομάδες και στελέχη επιχειρήσεων που εφαρμόζουν το ISO 27001.
- Εταιρείες σε τομείς όπως ποιότητα, περιβάλλον, υγεία & ασφάλεια.
Η τεχνητή νοημοσύνη πρέπει να ενταχθεί επίσημα στο Risk Assessment κάθε οργανισμού, ακόμη και για αυτούς που προβλέπουν πως ΘΑ τη χρησιμοποιήσουν κάποια στιγμή στο κοντινό μέλλον. Δυστυχώς, δημιουργούνται αναρίθμητοι νέοι κίνδυνοι: αλλοίωση δεδομένων (Integrity Risk), επιθέσεις σε συγκεκριμένες υποδομές, μη εξουσιοδοτημένη χρήση πληροφοριών (Confidentiality Risk), λάθος αποφάσεις (Accountability Risk) ή ακόμη και Regulatory Risk λόγω μη συμμόρφωσης με τους κανονισμούς. Η αναθεώρηση του Risk Register (που έτσι κι αλλιώς πρέπει να γίνεται κάθε έτος) με καταγραφή AI-related κινδύνων, τακτικά reviews και περιορισμό πρόσβασης στα εργαλεία AI είναι βήματα κρίσιμα για ένα ασφαλές και υπεύθυνο μέλλον κάθε επιχείρησης.
Η τεχνητή νοημοσύνη δεν είναι ούτε απειλή ούτε σωτήρας. Είναι πολλαπλασιαστής. Αν ο οργανισμός έχει πειθαρχία, διαδικασίες και κουλτούρα ασφάλειας, πολλαπλασιάζει την άμυνα. Αν όχι, πολλαπλασιάζει την έκθεση σε κινδύνους, άρα η επιλογή δεν είναι τεχνολογική. Είναι διοικητική!!
Είμαι ο Τάσος Παγκάκης. Βοηθώ leaders και ομάδες να μετατρέπουν την αλλαγή σε ανάπτυξη, δουλεύοντας στο τρίγωνο Στρατηγική-Επικοινωνία-Υλοποίηση. Παρεμβαίνω όπου υπάρχει ασάφεια, για να δώσω πλαίσιο αποφάσεων, καθαρό narrative και roadmap. Λιγότερο θόρυβο, περισσότερη ευθυγράμμιση, σωστή υλοποίηση. Αν θέλεις ξεκάθαρη κατεύθυνση στη στρατηγική, μίλησέ μου και θα σε βοηθήσω.
