Τεράστιο το κύμα των κυβερνοεπιθέσεων στις ελληνικές τράπεζες

Οι κυβερνοεπιθέσεις γίνονται όλο και πιο ισχυρές και συχνές με τα πιο πρόσφατα θύματα να είναι οι ελληνικές τράπεζες.

Από API breaches και δισεκατομμύρια προσπάθειες εισόδου από bots μέχρι στοχευμένες επιθέσεις στα συστήματα ταυτοποίησης, οι απειλές είναι καθημερινές και εξελιγμένες. Στο πλαίσιο του Cyber Security Forum 2025, αναδείχθηκε πώς η κυβερνοανθεκτικότητα, η ψηφιακή συμμόρφωση, η ασφάλιση κυβερνοκινδύνων και η Διαχείριση Ταυτότητας και Πρόσβασης (Identity and Access Management – IAM) αποτελούν πλέον εργαλεία στρατηγικής επιβίωσης για τράπεζες και επιχειρήσεις.

Η Ευαγγελία (Λία) Δουδέση, Senior Manager, Piraeus Bank, υπογράμμισε ότι οι ελληνικές τράπεζες έχουν πραγματοποιήσει σημαντικά βήματα για τη θωράκιση των συστημάτων τους, αλλά παραμένουν προκλήσεις. Οι τράπεζες λειτουργούν σε υβριδικά περιβάλλοντα, όπου παλιά τραπεζικά συστήματα συνυπάρχουν με σύγχρονες cloud εφαρμογές. Η Τράπεζα Πειραιώς, όπως ανέφερε, έχει υιοθετήσει ένα ψηφιακό υβριδικό μοντέλο, μια «γέφυρα» που επιτρέπει την επικοινωνία παλαιών και νέων εφαρμογών, διατηρώντας παράλληλα υψηλά επίπεδα ασφαλείας. Η ίδια στάθηκε ιδιαίτερα στη σημασία της εκπαίδευσης και της αλλαγής κουλτούρας των στελεχών, σημειώνοντας ότι η ανθρώπινη παράμετρος παραμένει κρίσιμη για την ασφάλεια.

Ο Αντώνης Μαυρομιχάλης, Akamai BU Director στην ATCOM, ανέλυσε τις νέες απειλές που αντιμετωπίζουν τα χρηματοπιστωτικά ιδρύματα. Αναφέρθηκε στο μπαράζ επιθέσεων που δέχτηκε πέρυσι ο ελληνικός τραπεζικός τομέας – με τη χώρα να κατατάσσεται τον Αύγουστο του 2024 στο top 5 της Ε.Ε. σε όγκο και διάρκεια επιθέσεων. Ιδιαίτερη έμφαση έδωσε στις API επιθέσεις, οι οποίες στοχεύουν στις «γέφυρες εμπιστοσύνης» του IAM, επιτρέποντας στους εισβολείς να εκμεταλλευτούν συστήματα ταυτοποίησης και πρόσβασης. Σύμφωνα με τον ίδιο, καταγράφονται έως και 1 δισεκατομμύριο προσπάθειες εισόδου την ημέρα από bots, αριθμός που δείχνει τη δυναμική των σύγχρονων επιθέσεων.

«Μία από τις νέες και ταχύτερα εξελισσόμενες τάσεις στις κυβερνοεπιθέσεις αφορά στα API (Application Programming Interfaces), τα σημεία όπου «ζει» η ψηφιακή ταυτότητα κάθε χρήστη ή υπηρεσίας» εξήγησε ο κ. Μαυρομιχάλης. Οι επιτιθέμενοι, εκμεταλλευόμενοι τις «γέφυρες» επικοινωνίας μεταξύ διαφορετικών συστημάτων, εντοπίζουν «πίσω πόρτες» για να διεισδύσουν σε κρίσιμες υποδομές, χωρίς να χρειάζεται να στοχεύσουν απευθείας τον τελικό χρήστη.

«Οι επιθέσεις αυτές είναι πλέον ιδιαίτερα εξελιγμένες (sophisticated), καθώς αξιοποιούν τη σχέση εμπιστοσύνης που έχει αναπτυχθεί ανάμεσα στο IAM (Identity and Access Management) και στα API, καθιστώντας τη διαχείριση ταυτοτήτων και προσβάσεων το πιο ευάλωτο,αλλά και πιο καθοριστικό, σημείο άμυνας» είπε.

Ο Βασίλης Παναγιωτίδης, Senior Director, Hellenic Bank Association, εστίασε στον κανονισμό DORA, ο οποίος καθιστά υποχρεωτική τη διαμόρφωση πολιτικών IAM, τη διαχείριση τρίτων παρόχων, καθώς και την εφαρμογή δοκιμών διείσδυσης (penetration tests) για την ανίχνευση αδυναμιών. Οι νέες απαιτήσεις, όπως σημείωσε, συνδέουν πλέον τη συμμόρφωση με την πραγματική ανθεκτικότητα των τραπεζών απέναντι στις κυβερνοαπειλές.

Τη συζήτηση συντόνισε η Λέττα Καλαμαρά, δημοσιογράφος της Ναυτεμπορικής.

Ανάγκη θωράκισης από τις κυβερνοεπιθέσεις, αλλά και τις κυρώσεις

Ο Γεώργιος Μπανάβας, Επικεφαλής του Περιφερειακού Γραφείου Θεσσαλονίκης της Επιτροπής Κεφαλαιαγοράς, υπογράμμισε ότι οι χρηματοοικονομικές οντότητες οφείλουν να κινηθούν σε δύο βασικούς άξονες: την κατανόηση του τοπίου των κυβερνοαπειλών και τη μελέτη της επιχειρησιακής ευστάθειας. Οι επιτιθέμενοι, όπως είπε, στρέφονται πλέον «στον πυρήνα» – κεντρικές τράπεζες και παρόχους κρίσιμων υπηρεσιών – γεγονός που καθιστά την προστασία των IT υποδομών στρατηγικής σημασίας. Τόνισε επίσης τη σημασία των δοκιμών ανθεκτικότητας (penetration tests, crisis simulations) ως εργαλείο αποκάλυψης κενών και ενίσχυσης της διαχείρισης κινδύνου.

Ο Ηρακλής Καναβάρης, Partner Cyber, Deloitte, σημείωσε ότι οι συστημικές τράπεζες παρουσίασαν υψηλό βαθμό ωριμότητας στα cyber stress tests της ΕΚΤ, όμως η συμμόρφωση των μικρότερων εταιρειών παραμένει χαμηλή, λόγω έλλειψης πόρων και εξειδικευμένων στελεχών. Επεσήμανε ότι η συμμόρφωση δεν είναι γραφειοκρατική διαδικασία αλλά επένδυση επιβίωσης.

Από την πλευρά του, ο Νικήτας Κλαδάκης, General Manager, ADACOM, τόνισε ότι οι παραδοσιακοί μηχανισμοί ασφάλειας έχουν ξεπεραστεί. Οι επιχειρήσεις πρέπει να υιοθετήσουν αρχιτεκτονικές βασισμένες στην ταυτότητα και την αρχή του Zero Trust, ενώ η Τεχνητή Νοημοσύνη θα αποτελέσει σύντομα κρίσιμο παράγοντα απειλών.

Η κυρία Ναταλία Σούλια, Counsel on Privacy, Cybersecurity and Technology Law, Kyriakides Georgopoulos Law Firm, έκανε λόγο για μια «καταιγίδα υπερρύθμισης», τονίζοντας ότι τα πλημμελή μέτρα εκθέτουν τις εταιρείες σε σοβαρές κυρώσεις. Η ευθύνη της διοίκησης είναι πλέον νομική υποχρέωση, με αυστηρά πρόστιμα στα πρότυπα του GDPR. Προέτρεψε τις εταιρείες να ξεκινήσουν άμεσα αυτοαξιολόγηση, gap analysis και risk assessment, ενόψει της πλήρους εφαρμογής της οδηγίας NIS2.

Η κυβερνοασφάλιση πρέπει να αποτελεί αναπόσπαστο μέρος της εταιρικής πολιτικής ασφάλειας

Στο πλαίσιο του Φόρουμ, συζητήθηκαν οι εξελίξεις στην αγορά cyber insurance, με έμφαση στην προστασία από κινδύνους τρίτων μερών, τις αλυσίδες εφοδιασμού και τη χρήση Τεχνητής Νοημοσύνης στις κυβερνοεπιθέσεις.

Η Μαρία Μπάρμπαρα, Senior Underwriter, Financial Lines & Cyber AXA XL Insurance Company, υπογράμμισε ότι οι επιχειρήσεις πρέπει να ενσωματώνουν τον κίνδυνο από vendors και παρόχους υπηρεσιών στη συνολική στρατηγική ασφάλειας, καθώς μια επίθεση σε τρίτο μέρος μπορεί να επιφέρει ίδιας έκτασης ζημιά με μια άμεση κυβερνοεπίθεση. Τόνισε ότι η NIS2 οδηγία διευρύνει σημαντικά το φάσμα των υπόχρεων κλάδων και πως η κυβερνοασφάλιση πρέπει να αποτελεί αναπόσπαστο μέρος της εταιρικής πολιτικής ασφάλειας.

«Μία επίθεση σε ένα από τα τρίτα μέρη με τα οποία συνεργάζεται μία επιχείρηση, μπορεί να προκαλέσει την ίδια ζημιά σαν να έγινε η επίθεση στην ίδια την εταιρεία» τόνισε.

Ο Lewis Gayle, Underwriter – Cyber & Technology, Canopius, σημείωσε ότι οι κυβερνοεπιθέσεις δεν πλήττουν πλέον μόνο τα δίκτυα IT, αλλά και προμηθευτές της εφοδιαστικής αλυσίδας, δημιουργώντας τεράστιες ζημιές από φαινομενικά μικρές επιχειρήσεις. Αναφέρθηκε επίσης στις δυσκολίες της ασφαλιστικής αγοράς να κοστολογήσει σωστά αυτούς τους μη απτούς κινδύνους.

Ο William Wright, Chief Commercial Officer, Price Forbes επεσήμανε ότι, πέρα από τα οικονομικά λύτρα, πολλές επιθέσεις σήμερα στοχεύουν απλώς στη διατάραξη της λειτουργίας επιχειρήσεων. Τόνισε ότι η Τεχνητή Νοημοσύνη χρησιμοποιείται πλέον από τους δράστες για εξαιρετικά πειστικά phishing σενάρια, καθιστώντας την καθολική προστασία όλων των οργανισμών πιο αναγκαία από ποτέ.