Ανδρέας Ιωάννου

26 Οκτωβρίου 2025

Επιχειρείν

Παγκόσμια συνεργασία στον κυβερνοχώρο

Η ασφάλεια στον κυβερνοχώρο αποτελεί βασικό στοιχείο της παγκόσμιας οικονομικής σταθερότητας και της εθνικής ασφάλειας.

Κυριακή 26 Οκτ 2025

Η ασφάλεια στον κυβερνοχώρο έχει γίνει παγκόσμια προτεραιότητα, με τον Πρόεδρο Εμμανουέλ Μακρόν να προτρέπει τη διεθνή συνεργασία και κοινά πρότυπα κατά τη διάρκεια της ομιλίας του στον ΟΗΕ τον Σεπτέμβριο του 2025 (UNGA 80). Το άρθρο αυτό υπογραμμίζει τις επιπτώσεις για τους ελεγκτές πληροφορικής, δίνοντας έμφαση στη σύγκλιση των πλαισίων, στην ανθεκτικότητα των υποδομών και στην ανάγκη συνεχούς παρακολούθησης για την προστασία από παγκόσμιες απειλές.

Κατά τη διάρκεια της ομιλίας του τον Σεπτέμβριο του 2025 στην 80ή Γενική Συνέλευση των Ηνωμένων Εθνών, ο Γάλλος Πρόεδρος Εμμανουέλ Μακρόν επιβεβαίωσε τον επείγοντα χαρακτήρα της παγκόσμιας συνεργασίας για την αντιμετώπιση των απειλών στον κυβερνοχώρο, ζητώντας κοινά πρότυπα και ισχυρότερη προστασία της ψηφιακής υποδομής. Ακόμη και αν η ασφάλεια στον κυβερνοχώρο δεν ήταν το κεντρικό θέμα της ομιλίας του, το μήνυμα φέρει αναμφισβήτητο βάρος - ευθυγραμμίζοντας στενά με τις προκλήσεις που αντιμετωπίζουν καθημερινά οι ελεγκτές πληροφορικής και οι επαγγελματίες κινδύνου.

Η ασφάλεια στον κυβερνοχώρο δεν αποτελεί πλέον καθαρά τεχνικό πρόβλημα, αποτελεί βασικό στοιχείο της παγκόσμιας οικονομικής σταθερότητας και της εθνικής ασφάλειας. Η άνοδος των εξελιγμένων εκστρατειών ransomware, των επιθέσεων αλυσίδας εφοδιασμού και των κρατικών επιχειρήσεων στον κυβερνοχώρο σημαίνει ότι τα τρωτά σημεία σε μια δικαιοδοσία μπορούν να κυμανθούν σε ολόκληρο το διασυνδεδεμένο ψηφιακό οικοσύστημα. Από την άποψη της διασφάλισης, αυτός είναι ακριβώς ο λόγος για τον οποίο οι ρυθμιστικές Αρχές (π.χ. η ΕΕ στο πλαίσιο της DORA και του NIS2) και τα επαγγελματικά πλαίσια (COBIT 2019, ISO 27002:2022) μετατοπίζονται από εθελοντικά σε υποχρεωτικά περιβάλλοντα ελέγχου.

Η έκκληση του Μακρόν για κοινά πρότυπα υπογραμμίζει πολλά κρίσιμα θέματα για την κοινότητά μας:

  • Σύγκλιση των παγκόσμιων πλαισίων – Παρατηρούμε τη σύγκλιση των απαιτήσεων κυβερνοασφάλειας: DORA στις χρηματοπιστωτικές υπηρεσίες, NIS2 για βασικές / σημαντικές οντότητες, ISO 27001/27002 για πιστοποίηση και τομεακές κατευθυντήριες γραμμές (EBA/ΕΚΤ, GDPR). Η σύγκλιση αυτή αποτελεί ευκαιρία εναρμόνισης των ελέγχων σε όλες τις γεωγραφικές περιοχές, αλλά αυξάνει επίσης την πολυπλοκότητα της συμμόρφωσης για τους πολυεθνικούς οργανισμούς.
  • Ανθεκτικότητα στις ψηφιακές υποδομές - Οι επιθέσεις στοχεύουν όλο και περισσότερο σε κρίσιμες υποδομές (τηλεπικοινωνίες, τραπεζικές υπηρεσίες, ενέργεια). Οι επαγγελματίες διασφάλισης πρέπει να αξιολογούν όχι μόνο τεχνικούς ελέγχους (π.χ. εφαρμογή ενημερωτικών διορθώσεων, τμηματοποίηση δικτύου) αλλά και οργανωτική ετοιμότητα: σχέδια αντιμετώπισης περιστατικών, επιχειρησιακή συνέχεια και διαχείριση κινδύνου τρίτων. Οι επιθέσεις αλυσίδας εφοδιασμού όπως το SolarWinds μάς έδειξαν ότι ένας Οργανισμός μπορεί να κληρονομήσει ευπάθειες από έμπιστους παρόχους.
  • Κοινή νοημοσύνη και συνεργασία δημόσιου-ιδιωτικού τομέα - Η έμφαση του Μακρόν στη διεθνή συνεργασία θα πρέπει να ενθαρρύνει τη μεγαλύτερη διασυνοριακή ανταλλαγή πληροφοριών σχετικά με απειλές και τρωτά σημεία. Οι ομάδες ελέγχου και διασφάλισης Πληροφορικής μπορούν να συνηγορήσουν στη συμμετοχή σε κοινότητες ανταλλαγής πληροφοριών απειλών και να αξιολογήσουν εάν οι εν λόγω πληροφορίες αξιοποιούνται στη διαδικασία διαχείρισης κινδύνου της οντότητας.
  • Δέσμευση Διοικητικού Συμβουλίου και C–Suite - Η παγκόσμια πολιτική προσοχή στην ασφάλεια στον κυβερνοχώρο ενισχύει ότι οι φορείς διακυβέρνησης πρέπει να αντιμετωπίζουν τον κίνδυνο στον κυβερνοχώρο ως επιχειρηματικό κίνδυνο. Οι ελεγκτές πληροφορικής έχουν καθήκον να αυξήσουν τα ευρήματα πέρα από τις τεχνικές ομάδες, διασφαλίζοντας ότι οι ελλείψεις αναφέρονται σε εκείνους που είναι επιφορτισμένοι με τη διακυβέρνηση βάσει του ISA 260/265.

Για τους ελεγκτές πληροφορικής, η δήλωση του Μακρόν είναι μια υπενθύμιση ότι η χαρτογράφηση των ελεγκτικών μηχανισμών του Οργανισμού δεν απορρέει μόνο από τους τοπικούς κανονισμούς αλλά και τις παγκόσμιες βέλτιστες πρακτικές και τα σημεία αναφοράς από ομότιμους. Θέτει υπό αμφισβήτηση τις θέσεις των διοικήσεων εάν οι εκτιμήσεις κινδύνου στον κυβερνοχώρο λαμβάνουν υπόψη τις γεωπολιτικές απειλές και τις διασυνοριακές εξαρτήσεις. Υπογραμμίζει τη σημασία της έγκαιρης αποκατάστασης των ευρημάτων υψηλού κινδύνου και τεκμηρίωση των αποφάσεων αποδοχής κινδύνου από τις διοικήσεις. Προωθεί τη συνεχή παρακολούθηση αντί για ελέγχους σε συγκεκριμένες χρονικές στιγμές – σε ευθυγράμμιση με τις αρχές του ISA 315 (αναθεωρημένο) και του ISQM 1 για τη συνεχή αξιολόγηση κινδύνου.

Οπότε, ως Ελεγκτές Πληροφορικής, θα χρειαστεί να μπορούμε να απαντήσουμε στα καίρια ερωτήματα:

  1. Έχουν χαρτογραφηθεί και ταξινομηθεί τα κρίσιμα συστήματά μας (Δεδομένα, υποδομές και εξαρτήσεις);
  2. Πότε πραγματοποιήθηκε η τελευταία συνολική (σε επίπεδο Οργανισμού) αξιολόγηση κινδύνων στον κυβερνοχώρο;
  3. Διαθέτουμε ορατότητα στους κινδύνους που προκύπτουν από τρίτα μέρη και την αλυσίδα εφοδιασμού;
  4. Κλιμακώνονται τα σημαντικά περιστατικά κυβερνοασφάλειας προς τα πρόσωπα που έχουν την ευθύνη διακυβέρνησης;
  5. Ευθυγραμμίζονται οι δυνατότητες παρακολούθησης και ανίχνευσης με τις πλέον πρόσφατες πληροφορίες απειλών;

Εν ολίγοις, η ασφάλεια στον κυβερνοχώρο αποτελεί κοινή ευθύνη και η δήλωση Μακρόν αποτελεί μια κλήση για παγκόσμια συνεργασία, που δεν μπορούμε να αγνοήσουμε. Εάν οι παγκόσμιοι ηγέτες ζητούν κοινά πρότυπα στον κυβερνοχώρο, τότε ως επαγγελματίες ελέγχου πληροφορικής πρέπει να οδηγήσουμε τη συζήτηση μέσα στους Οργανισμούς μας - διασφαλίζοντας ότι η διακυβέρνηση κινδύνου, ο σχεδιασμός ελέγχου και η διασφάλιση συμβαδίζουν με το εξελισσόμενο τοπίο απειλών.

*Principal, IT Audit Services, KPMG Limited

Όλα τα τεύχη
Όλα τα τεύχη