Με την ενότητα «Kυβερνοασφάλεια – κυβερνοέγκλημα, πρόσφατες τάσεις και ανάπτυξη» ξεκίνησε τις εργασίες του το 2ο Banking Forum που διοργανώνει το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας στο Μέγαρο Καρατζά, θέτοντας επί τάπητος τα ζητήματα ελέγχου, ετοιμότητας και αντιμετώπισης κυβερνοεπιθέσεων στο τραπεζικό σύστημα.
O Γιάννης Τζάνος, Group Corporate Security Officer & Chief Information Security Officer, της Eurobank ξεκίνησε την τοποθέτησή του, δίνοντας σε λίγες λέξεις τη μεγάλη εικόνα των κυβερνοεπιθέσεων στο τρέχων έτος: «Έξω έχουμε πόλεμο, όπου υπάρχει χρήμα, υπάρχει δυνατότητα επίθεσης. Οι κυβερνοπιθέσεις χρόνο με το χρόνο εξελίσσονται. Κάθε μέρα ένα καινούριο κάστρο πέφτει».
Κατά τον ίδιο, οι κυβερνοεπιθέσεις έχουν διπλασιαστεί σε σχέση με το 2015, συμβαίνουν κυρίως σε αναπτυγμένες οικονομίες και είναι χαρακτηριστικό το γεγονός ότι οι ΗΠΑ, παρότι συνιστά την πιο δυνατή οικονομία, έχει δεχθεί το 50% των κυβερνοεπιθέσεων, σύμφωνα με στοιχεία από έκθεση της ΕΚΤ.
Στο ίδιο πλαίσιο, η Ευρώπη έχει δεχθεί το 13% των κυβερνοεπιθέσεων, με τον τραπεζικό χώρο να πλήττεται, λιγότερο, ωστόσο, από άλλους κλάδους όπως ο δημόσιος τομέας, τα πανεπιστήμια και ο τομέας της υγείας.
Πρόσθεσε, δε, ότι ο νούμερο 1 ψηφιακός κίνδυνος στην παρούσα φάση, είναι το ransomware, το οποίο έχει εξελιχθεί σε τρομερή απειλή, οι κίνδυνοι μέσω του social engineering, αλλά και οι απειλές σε τρίτους παρόχους»
Πυλώνες προετοιμασίας
Συνεισφέροντας στη συζήτηση, ο Λάμπρος Σπερνοβασίλης, IT Audit Manager της Alpha Bank υπογράμμισε ότι o εσωτερικός έλεγχος μπορεί να συμβάλει στην κυβερνοασφάλεια ενός οργανισμού:
«Καλούμαστε να είμαστε πάντα προετοιμασμένοι μέχρι την επόμενη επίθεση» ανέφερε χαρακτηριστικά, αναπτύσσοντας πυλώνες προετοιμασίας όπως την αναγνώριση των εκτεθειμένων χώρων, της διασφάλισή τους, την ανάπτυξη ενός καλού μηχανισμού εποπτείας για τον περιορισμό ζημιάς από πιθανή επίθεση, την όσο το δυνατόν πιο αποτελεσματική απάντηση στην επίθεση, αλλά και την επιτάχυνση στην επιστροφή στην αρχική κατάσταση».
Από την πλευρά της, η Ιωσηφίνα Δεγαΐτα, Head of Group Operational Risk της Εθνικής Τράπεζας ,σημείωσε, επιβεβαιώνοντας τα λόγια του Γιάννη Τζάνου, ότι τα τελευταία χρόνια η κυβερνοεπιθέσεις είναι «ένας πόλεμος που θα μείνει, όσο υπάρχει ψηφιακός μετασχηματισμός και συνεχής τεχνολογική εξέλιξη».
Στην εισήγησή της, σημείωσε ότι το risk είναι ένας κίνδυνος που είναι πολύ ψηλά στην ατζέντα στους οργανισμούς, αλλά είναι πολυπαραγοντικός, με την ύπαρξη κινδύνων εσωτερικής και εξωτερικής απάτης και διαρροής ευαίσθητων πληροφοριών, αλλά και διακύβευσης φήμης της κάθε επιχείρησης που δέχεται επίθεση.
Γραμμές άμυνας
Ο Δημήτρης Φράγκος Internal Audit Director, της τράπεζας Πειραιώς τόνισε με έμφαση ότι η κυβερνοασφάλεια έχει ιδιαιτερότητες όπως την τεχνική της φύση, το εύρος των υπηρεσιών λόγω του μεγέθους των απειλών, ωστόσο, την ίδια στιγμή, υπάρχει απώλεια ελέγχου λόγω outsourcing.
Όπως υπογράμμισε στην τοποθέτησή του «το εποπτικό πλαίσιο είναι ιδιαιτέρως εμπλουτισμένο αυτή τη στιγμή και στην πρώτη γραμμή άμυνας υπάρχει ο σχεδιασμός ελέγχου, η ανάπτυξη και η αρχιτεκτονική των συστημάτων και στη δεύτερη γραμμή, ο κανονιστικός κίνδυνος, ενώ υπάρχει η δυνατότητα και άλλων, πιο εξειδικευμένων δομών.
Η τρίτη γραμμή περιλαμβάνει όλο το εύρος διακυβέρνησης και δεξιοτήτων, καθώς και τη διαχείριση κινδύνων.
Για τη σχέση cyber risk και compliance risk έκανε λόγο ο Gerry Kounadis, Deputy Head of Group Business Regulatory Compliance & Client Conduct Division της Εθνικής Τράπεζας, υποστηρίζοντας ότι ένας από τους μεγαλύτερους κινδύνους κυβερνοεπίθεσης είναι αυτός που προκύπτει από τις διαδικασίες του Γενικού Κανονισμού για την Ασφάλεια Δεδομένων.
Σε επίπεδο χρηματοπιστωτικής νομοθεσίας, κατά τον ίδιο, μια ακόμα μεγάλη πηγή κινδύνου είναι οι διαδικασίες outsourcing.
Το προφίλ του Ινστιτούτου Εσωτερικών Ελεγκτών Ελλάδας
Το Ινστιτούτο Εσωτερικών Ελεγκτών Ελλάδας (IEEE, ΙΙΑ Greece) είναι επαγγελματικός φορέας με έδρα την Ελλάδα, συνδεδεμένο μέλος του Διεθνούς Ινστιτούτου Εσωτερικών Ελεγκτών (Institute of Internal Auditors – IIA) και απαριθμεί 1.000 περίπου μέλη. Το Διεθνές Ινστιτούτο ιδρύθηκε το 1941 στις ΗΠΑ, απαριθμεί 218.000 μέλη σε 170 χώρες.
Στην Ελλάδα το ΙΕΕΕ λειτουργεί επί σχεδόν 40 έτη, διοικείται από 7μελές Διοικητικό Συμβούλιο το οποίο εκλέγεται για 3 έτη από τη γενική συνέλευση των μελών του.
Μέλη του IEEE είναι εσωτερικοί ελεγκτές από όλες τις εισηγμένες στο ΧΑ εταιρίες συμπεριλαμβανομένων και των Τραπεζών, τις ελεγκτικές εταιρείες, εταιρείες Δημοσίου, Δημόσιο κλπ. με υψηλό επιστημονικό υπόβαθρο και η πλειονότητά τους είναι πιστοποιημένοι εσωτερικοί ελεγκτές (Certified Internal Auditors) από το ΙΙΑ Global.
