Κυβερνοασφάλεια: Οι μεγάλες προκλήσεις του 2025 - πώς εξελίσσεται το τοπίο στην Προστασία Δεδομένων

Στην πραγματικότητα θα πρέπει να αντιμετωπίζεται ως ευκαιρία, αν αναλογιστεί κανείς πως δίνεται μια έξτρα προοπτική στις εταιρείες να ενισχύσουν την αφοσίωση και την εμπιστοσύνη των πελατών.

Παράλληλα, τα μέτρα κυβερνοασφάλειας μετριάζουν τον κίνδυνο παραβιάσεων που βλάπτουν τη φήμη και τα οικονομικά τους. Αν οι εταιρείες δουν το 2025 μέσα από αυτό το πρίσμα οι επόμενοι 12 μήνες θα μπορούσαν να ανοίξουν την πόρτα σε νέες επαγγελματικές δυνατότητες.

6+1 προκλήσεις στον τομέα της κυβερνοασφάλειας

Σύμφωνα με τις εκτιμήσεις των ειδικών και το 2025, επιχειρήσεις, οργανισμοί και απλοί χρήστες έχουν να αντιμετωπίσουν μια σειρά προκλήσεων. Μερικές από τις μεγαλύτερες προκλήσεις περιλαμβάνουν:

Αναβάθμιση και υπέρβαση των κυβερνοεπιθέσεων με AI: Οι επιθέσεις που χρησιμοποιούν τεχνητή νοημοσύνη (AI) και μηχανική μάθηση (ML) θα γίνουν πιο εξελιγμένες. Οι χάκερ θα χρησιμοποιούν AI για να αναπτύξουν πιο αποτελεσματικές επιθέσεις, δημιουργώντας εξαιρετικά προσαρμοσμένα κακόβουλα λογισμικά και phishing campaigns.

Ασφάλεια του Internet of Things (IoT): Καθώς αυξάνεται ο αριθμός των συνδεδεμένων συσκευών (έξυπνα σπίτια, βιομηχανικά συστήματα κ.ά.), η ασφάλεια των IoT συσκευών καθίσταται πιο δύσκολη. Πολλές συσκευές IoT έχουν αδύνατες διασυνδέσεις και δεν διαθέτουν ισχυρά μέτρα ασφάλειας.

Ασφάλεια στο Cloud Computing: Με την αυξανόμενη μετάβαση των οργανισμών στο cloud, οι κυβερνοεπιθέσεις σε cloud υπηρεσίες και τα δεδομένα που αποθηκεύονται σε αυτά τα περιβάλλοντα θα αποτελούν σημαντικό σημείο κινδύνου. Η ασφάλεια των δεδομένων σε cloud υποδομές είναι κρίσιμη για την προστασία από παραβιάσεις.

Απειλές από το Ransomware και τις επιθέσεις μέσω κρυπτονομισμάτων: Η κακόβουλη χρήση του ransomware, όπου οι επιτιθέμενοι κρυπτογραφούν δεδομένα και ζητούν λύτρα, θα συνεχίσει να είναι μια από τις πιο επικίνδυνες απειλές. Τα κρυπτονομίσματα θα συνεχίσουν να χρησιμοποιούνται για την ανωνυμία στις επιθέσεις αυτού του τύπου.

Απειλές για τα δεδομένα προσωπικού χαρακτήρα: Με την αυστηροποίηση της νομοθεσίας για την προστασία προσωπικών δεδομένων (όπως το GDPR στην Ε.Ε.), οι κυβερνοεπιθέσεις που στοχεύουν την προσωπική πληροφορία, όπως κλοπή δεδομένων και επιθέσεις σε πληροφορίες υγείας ή οικονομικές πληροφορίες, θα είναι πιο συχνές.

Διαχείριση και προστασία της ψηφιακής ταυτότητας: Η χρήση ψηφιακών ταυτοτήτων σε κάθε πτυχή της καθημερινής ζωής και των επαγγελματικών δραστηριοτήτων αυξάνεται. Η προστασία της ταυτότητας των χρηστών και η αποτροπή από απάτες όπως η κλοπή ταυτότητας θα παραμείνουν κρίσιμης σημασίας.

Απειλές στην αλυσίδα εφοδιασμού (Supply Chain Attacks): Οι επιθέσεις στην αλυσίδα εφοδιασμού, όπως εκείνες που αφορούν την παραβίαση προμηθευτών ή τρίτων μερών, αναμένονται να γίνουν πιο συχνές και επιζήμιες. Αυτές οι επιθέσεις μπορούν να επηρεάσουν μεγάλες οργανώσεις και να προκαλέσουν εκτεταμένες ζημιές.

Προστασία Δεδομένων: Τι έγινε το 2024, τι να αναμένουμε φέτος

Οι τελευταίοι 12 μήνες ήταν μια σημαντική περίοδος για την προστασία της ιδιωτικής ζωής διεθνώς, χάρη σε νέους νόμους, σημαντικές νομικές αποφάσεις και αναδυόμενες τάσεις τεχνολογίας και απειλών. Το 2024 υπήρξαν σημαντικά πρόστιμα και διακανονισμοί, κάτι που δεν περνά απαρατήρητο για το πως διαμορφώνεται η εικόνα ενός τομέα σύνθετου. Μεταξύ άλλων έλαβε χώρα:

• πρόστιμο 310 εκατ. ευρώ στο LinkedIn βάσει του ΓΚΠΔ, επειδή δεν ζήτησε συγκατάθεση από τους χρήστες για την επεξεργασία προσωπικών δεδομένων,
• πρόστιμο ύψους 294 εκατ. ευρώ στην Uber βάσει του ΓΚΠΔ επειδή δεν διασφάλισε επαρκώς τα δεδομένα των οδηγών που ήταν αποθηκευμένα στις ΗΠΑ,
• πρόστιμο ύψους 91 εκατ. ευρώ στην Meta βάσει του ΓΚΠΔ, επειδή αποθήκευε τους κωδικούς πρόσβασης των χρηστών σε απλό κείμενο,
• διακανονισμός ύψους 1,4 δισ. δολαρίων μεταξύ της Meta και της πολιτείας του Τέξας για παράνομη συλλογή και χρήση βιομετρικών δεδομένων πολιτών.

Όπως σημειώνει επίσης η ESET, σημαντικές αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) θα έχουν σοβαρές επιπτώσεις για τις εταιρείες που δραστηριοποιούνται στην ΕΕ. Σε αυτές περιλαμβάνονται:

• Η υπόθεση Lindenpotheke, όπου το ΔΕΕ έκρινε ότι οι επιχειρήσεις μπορούν να μηνύουν τους ανταγωνιστές τους για παραβιάσεις του ΓΚΠΔ βάσει των νόμων περί αθέμιτου ανταγωνισμού. Η ίδια απόφαση διεύρυνε τον ορισμό των δεδομένων υγείας.
• Η υπόθεση C-621/22, στην οποία το ΔΕΕ καθόρισε τα «έννομα συμφέροντα » ως νόμιμη βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον οι εταιρείες ακολουθούν αυστηρά μέτρα προστασίας της ιδιωτικής ζωής.

Περισσότεροι νόμοι σχετικά με την κυβερνοασφάλεια

Μεταξύ των νόμων που ψηφίστηκαν ή προωθήθηκαν το 2024 ήταν:

• Η οδηγία NIS2, η οποία συμπεριλαμβάνει περισσότερες εταιρείες και απαιτεί την εφαρμογή αυστηρών ελέγχων κυβερνοασφάλειας.
• Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο (CRA), ο οποίος επιβάλλει ένα αυστηρό σύνολο απαιτήσεων κυβερνοασφάλειας για το υλικό και το λογισμικό που πωλείται στην ΕΕ.
• Η πράξη αλληλεγγύης στον κυβερνοχώρο (CSA), η οποία έχει σχεδιαστεί για να βοηθήσει τα κράτη μέλη να εντοπίζουν καλύτερα, να προετοιμάζονται και να ανταποκρίνονται σε απειλές μεγάλης κλίμακας για την κυβερνοασφάλεια.

Διεθνείς πρωτοβουλίες διακυβέρνησης της Τεχνητής Νοημοσύνης

Αυτές περιλάμβαναν:

• Ο κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη
• Περισσότερες χώρες (συμπεριλαμβανομένου του Ηνωμένου Βασιλείου, της ΕΕ και των ΗΠΑ) υπέγραψαν τη Σύμβαση-πλαίσιο του Συμβουλίου της Ευρώπης για την Τεχνητή Νοημοσύνη
• Το πλαίσιο διακυβέρνησης της Κίνας για την ασφάλεια της Τεχνητής Νοημοσύνης.

Τι να περιμένουμε το 2025

Ο αντίκτυπος αυτών των γεγονότων θα είναι αισθητός καθ’ όλη τη διάρκεια του 2025 και πέραν αυτού, ενώ οι επερχόμενοι νόμοι και οι μακροπρόθεσμες τάσεις του τοπίου απειλών θα δημιουργήσουν επείγουσες ανάγκες για τις ομάδες κυβερνοασφάλειας και συμμόρφωσης.

Οι εταιρείες θα πρέπει να είναι προετοιμασμένες για:

• Περισσότερους νόμους για την προστασία των δεδομένων
• Περισσότερα μέτρα

Επίσης θα δούμε τις ρυθμιστικές αρχές να ασκούν μεγαλύτερη πίεση, καθώς οι νόμοι που ψηφίστηκαν το 2024 αρχίζουν να εφαρμόζονται και να τίθενται σε ισχύ, όπως υπογραμμίζει χαρακτηριστικά η ESET. Για παράδειγμα, η Πράξη της ΕΕ για την Τεχνητή Νοημοσύνη θα φέρει:

• Απαγόρευση των συστημάτων τεχνητής νοημοσύνης (ΤΝ) που ενέχουν απαράδεκτους κινδύνους (συμπεριλαμβανομένης της κοινωνικής βαθμολόγησης και της μη στοχευμένης απόσπασης δεδομένων προσώπου) από τις 2 Φεβρουαρίου
• Απαιτήσεις για τα μοντέλα ΤΝ γενικής χρήσης που θα τεθούν σε ισχύ στις 2 Αυγούστου. Αυτές θα περιλαμβάνουν εντολή για τους προγραμματιστές γενετικής τεχνητής νοημοσύνης (GenAI) να αξιολογούν και να μετριάζουν τους συστημικούς κινδύνους και να τεκμηριώνουν τα μέτρα κυβερνοασφάλειας.