Σε αυξημένη επιφυλακή για τους νέους και κλιμακούμενους κινδύνους κυβερνοασφάλειας που απορρέουν από την εξάπλωση των λεγόμενων «frontier» μοντέλων Τεχνητής Νοημοσύνης (ΤΝ) καλεί το σύνολο των εποπτευόμενων οργανισμών η Επιτροπή Κεφαλαιαγοράς Κύπρου (ΕΚΚ).
Σύμφωνα με την εγκύκλιο με θέμα "Πρωτοποριακά μοντέλα τεχνητής νοημοσύνης και κίνδυνοι στον τομέα της κυβερνοασφάλειας στο πλαίσιο του Νόμου για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), τα σύγχρονα προηγμένα μοντέλα ΤΝ είναι πλέον ικανά όχι μόνο να ενισχύουν την άμυνα στον κυβερνοχώρο, αλλά και να εντοπίζουν και να εκμεταλλεύονται ευπάθειες λογισμικού «με πρωτοφανή ταχύτητα και κλίμακα».
Η ΕΚΚ προειδοποιεί ότι οι τεχνολογικές αυτές εξελίξεις δύνανται να επιταχύνουν δραματικά τον κύκλο εντοπισμού και εκμετάλλευσης ευπαθειών, να αυξήσουν τη συχνότητα και την πολυπλοκότητα κυβερνοεπιθέσεων και να εντείνουν τον συστημικό κίνδυνο για το χρηματοπιστωτικό σύστημα και τους παρόχους υπηρεσιών ΤΠΕ (Τεχνολογίες Πληροφορικής και Επικοινωνιών).
Ιδιαίτερη έμφαση δίνεται στον κίνδυνο κακόβουλης χρήσης της τεχνητής νοημοσύνης, γεγονός που μεταβάλλει ριζικά το τοπίο απειλών για επενδυτικές εταιρείες, διαχειριστές κεφαλαίων, παρόχους crypto-assets και λοιπούς εποπτευόμενους φορείς.
Υποχρεώσεις στο πλαίσιο του DORA
Η εγκύκλιος εντάσσει το ζήτημα στο πλαίσιο του Κανονισμού (ΕΕ) 2022/2554 (DORA), υπενθυμίζοντας ότι οι οργανισμοί οφείλουν να διαθέτουν ανθεκτικά και επικαιροποιημένα πλαίσια διαχείρισης κινδύνων.
Συγκεκριμένα, οι εποπτευόμενες οντότητες πρέπει να προστατεύουν τα πληροφοριακά τους συστήματα από κακόβουλες ενέργειες, να εντοπίζουν εγκαίρως ανωμαλίες και περιστατικά, να διασφαλίζουν τη συνέχεια λειτουργίας μέσω ισχυρών μηχανισμών backup και recovery, να διενεργούν τακτικές δοκιμές και αξιολογήσεις ευπαθειών και να διαχειρίζονται αποτελεσματικά τους κινδύνους από τρίτους παρόχους τεχνολογίας.
Παράλληλα, η ΕΚΚ υπογραμμίζει ότι οι οργανισμοί οφείλουν να επανεξετάσουν εάν τα υφιστάμενα μέτρα είναι επαρκή απέναντι στις νέες απειλές από ΤΝ και, όπου απαιτείται, να λάβουν ενισχυμένα μέτρα.
Πέντε κρίσιμες περιοχές ενίσχυσης
Η εποπτική αρχή εντοπίζει συγκεκριμένους άξονες στους οποίους θα πρέπει να δοθεί προτεραιότητα:
1. Διαχείριση ευπαθειών
Οι εποπτευόμενοι καλούνται να ενισχύσουν τη συλλογή πληροφοριών απειλών (threat intelligence), τη συνεχή παρακολούθηση ευπαθειών, την ταχύτητα αποκατάστασης και εφαρμογής patches, ιδίως σε κρίσιμα και legacy συστήματα.
2. Πρόληψη και προστασία
Ιδιαίτερη σημασία αποδίδεται στον σχεδιασμό ασφαλών συστημάτων (“security by design”), στον έλεγχο ταυτοτήτων και προσβάσεων και στη θωράκιση των κρίσιμων υποδομών ΤΠΕ και της εφοδιαστικής αλυσίδας.
3. Εντοπισμός απειλών
Η ΕΚΚ καλεί σε ενίσχυση μηχανισμών monitoring παρακολούθησης και αξιοποίηση της αυτοματοποίησης ώστε να αντιμετωπίζονται ταχύτερα τα περιστατικά.
4. Απόκριση και ανάκαμψη
Οι οργανισμοί πρέπει να διασφαλίζουν αξιόπιστα σχέδια disaster recovery, απομονωμένα και ελεγμένα backup και δοκιμές υπό πραγματικές συνθήκες.
5. Διακυβέρνηση και συνεχής βελτίωση
Η εγκύκλιος απαιτεί ενσωμάτωση των κινδύνων ΤΝ στη στρατηγική διαχείρισης κινδύνων, συνεχή μάθηση από περιστατικά και δοκιμές και ενίσχυση των μηχανισμών εποπτείας και λογοδοσίας.
Αυξημένη εποπτεία και επόμενα βήματα
Η ΕΚΚ τονίζει ότι θα συνεχίσει να παρακολουθεί στενά τις εξελίξεις γύρω από τα προηγμένα μοντέλα ΤΝ και να αξιολογεί την ετοιμότητα των εποπτευόμενων φορέων. Δεν αποκλείει, μάλιστα, περαιτέρω παρεμβάσεις ή στοχευμένες εποπτικές δράσεις, εφόσον διαπιστωθούν αδυναμίες στα επίπεδα κυβερνοασφάλειας, στη διακυβέρνηση τεχνολογικών κινδύνων, ή στην εφαρμογή του DORA.
