Αν κάτι χαρακτηρίζει τη φετινή χρονιά, είναι ότι οι συγκρούσεις δεν φαίνονται πάντα. Δεν ακούμε εκρήξεις. Βλέπουμε διακοπές σε υπηρεσίες, κυβερνητικά sites που πέφτουν, αερομεταφορές που μπλοκάρουν, εταιρικά δίκτυα που παραλύουν.
Η νέα ετήσια αποτύπωση του τοπίου απειλών από τον ENISA, τον Ευρωπαϊκό Οργανισμό Κυβερνοασφάλειας, δείχνει ότι οι κυβερνοεπιθέσεις έχουν ωριμάσει, έχουν οργανωθεί και πλέον «κουμπώνουν» πάνω στις γεωπολιτικές εντάσεις με έναν σχεδόν προβλέψιμο ρυθμό.
Το χρονικό παράθυρο που εξετάζει ο οργανισμός (Ιούλιος 2024 – Ιούνιος 2025) στην έκθεση ENISA Threat Landscape 2025 περιλαμβάνει σχεδόν 4.900 επιλεγμένα περιστατικά και σκιαγραφεί ένα περιβάλλον που εκμεταλλεύεται τρωτότητες γρήγορα και σε κλίμακα.
Στην καρδιά της εικόνας παραμένει το ransomware. Όχι μόνο δεν υποχώρησε, αλλά προσαρμόστηκε: πιο αποκεντρωμένες «ομάδες», επιθετικότερη εκβίαση, αξιοποίηση του φόβου της συμμόρφωσης για να ανέβουν οι απαιτήσεις. Οι υπηρεσίες “as-a-service” μείωσαν το κατώφλι εισόδου, οι “access brokers” πουλάνε έτοιμη πρόσβαση, ενώ διαρροές εργαλείων και builders δημιουργούν συνεχώς νέες οικογένειες κακόβουλου λογισμικού. Το αποτέλεσμα είναι μια επαγγελματοποιημένη «οικονομία του εγκλήματος» που αντέχει στα χτυπήματα των αρχών και επιστρέφει πιο ευέλικτη.
Την ίδια στιγμή, οι δραστηριότητες που ευθυγραμμίζονται με κρατικά συμφέροντα δεν κάνουν θόρυβο, αλλά αφήνουν βαθύ αποτύπωμα. Μακρόσυρτες επιχειρήσεις κατασκοπείας στοχεύουν τηλεπικοινωνίες, logistics και βιομηχανία στην Ευρώπη, με τεχνικές που ξεφεύγουν από το «κλασικό» phishing: διακινδύνευση εφοδιαστικής αλυσίδας λογισμικού, “stealthy” πλαίσια κακόβουλου κώδικα, κακόβουλη χρήση drivers. Αυτές οι επιχειρήσεις δεν έχουν πάντα άμεσο θεαματικό αντίκτυπο, αλλά συσσωρευτικά υπονομεύουν αξιοπιστία, πνευματική ιδιοκτησία και επιχειρησιακή συνέχεια.
Στο προσκήνιο – και συχνά στα πρωτοσέλιδα – εμφανίζονται οι λεγόμενοι hacktivists. Σύμφωνα με τα στοιχεία, σχεδόν οκτώ στα δέκα καταγεγραμμένα περιστατικά αφορούν τέτοιες καμπάνιες, που βασίζονται κυρίως σε χαμηλού κόστους επιθέσεις άρνησης υπηρεσίας (DDoS). Το εντυπωσιακό δεν είναι η τεχνική δυσκολία τους, αλλά η κλίμακα: εργαλεία που στήνονται γρήγορα, συντονισμός μέσω καναλιών ανοιχτής επικοινωνίας, στόχοι που αλλάζουν με τον ρυθμό της επικαιρότητας. Ο αντίκτυπος μεμονωμένα ίσως είναι περιορισμένος, αλλά η αδιάκοπη επανάληψη «ροκανίζει» την ανθεκτικότητα υπηρεσιών και οργανισμών.
Οι στόχοι δεν είναι τυχαίοι. Η δημόσια διοίκηση βρίσκεται σταθερά στην κορυφή της λίστας, συγκεντρώνοντας περίπου το 38% της στόχευσης, είτε πρόκειται για πολιτικά μηνύματα είτε για δοκιμή των αμυνών ενός κράτους. Ο τομέας των μεταφορών αναδεικνύεται σε υψηλής αξίας στόχο – ειδικά ναυτιλία και logistics – ενώ αερομεταφορές και cargo καταγράφουν διαταραχές λόγω ransomware. Η ψηφιακή υποδομή και οι σχετικές υπηρεσίες παραμένουν στρατηγικός στόχος τόσο για κατασκοπεία όσο και για εκβιασμό. Με απλά λόγια, οι επιτιθέμενοι «χτυπούν εκεί που πονάει το σύστημα».
Στο επίπεδο των τεχνικών, η εικόνα είναι ξεκάθαρη: το phishing εξακολουθεί να είναι το βασικό κανάλι αρχικής διείσδυσης, αγγίζοντας περίπου το 60% των περιπτώσεων. Δεν μιλάμε πλέον για πρόχειρα emails. Μιλάμε για «βιομηχανία phishing-as-a-service» που δίνει σε αρχάριους επιτιθέμενους έτοιμες καμπάνιες με υποδομή, templates, ακόμη και υποστήριξη πελατών. Παράλληλα, η εκμετάλλευση τρωτοτήτων παραμένει θεμέλιο της αρχικής πρόσβασης (περίπου 21%), με το «παράθυρο» από την αποκάλυψη μιας ευπάθειας μέχρι την όπλισή της να μετριέται πλέον σε ημέρες. Όταν αυτό συνδυάζεται με εξαρτήσεις λογισμικού, κακόβουλες επεκτάσεις browser ή παραβιάσεις παρόχων υπηρεσιών, ο κίνδυνος μεταδίδεται γρήγορα σε αλληλοσυνδεδεμένα οικοσυστήματα.
Ένας ακόμη επιταχυντής είναι η τεχνητή νοημοσύνη. Μέχρι τις αρχές του 2025, καμπάνιες κοινωνικής μηχανικής που υποβοηθούνται από AI εκτιμάται ότι ξεπερνούν το 80% των περιστατικών αυτού του τύπου παγκοσμίως. Με μοντέλα που «σπάνε» τους περιορισμούς τους, συνθετικά media και τεχνικές δηλητηρίασης, οι επιτιθέμενοι πετυχαίνουν πιο πειστικά μηνύματα, καλύτερο targeting και μεγαλύτερη απόδοση στον ίδιο χρόνο. Δεν είναι επιστημονική φαντασία — είναι η καθημερινότητα των ομάδων άμυνας σήμερα.
Όλα τα παραπάνω δεν οδηγούν απαραίτητα σε «μία μεγάλη κρίση», αλλά σε μια μορφή συνεχούς πίεσης. Αντί για λίγα, μεμονωμένα περιστατικά υψηλού αντίκτυπου, βλέπουμε περισσότερες, ποικίλες και συχνά συγκλίνουσες καμπάνιες που μαζί φθείρουν την ανθεκτικότητα οργανισμών και υποδομών. Αυτή η μετάβαση αλλάζει και τον τρόπο που πρέπει να σκεφτόμαστε την άμυνα: όχι μόνο αποτροπή και ανάκτηση, αλλά και ικανότητα να λειτουργούμε υπό συνεχή παρενόχληση.
Σε ευρωπαϊκό επίπεδο, η απάντηση είναι να «δέσουμε» καλύτερα το οικοσύστημα. Η NIS2 ανεβάζει την μπάρα υποχρεώσεων για κρίσιμους κλάδους, ο Cyber Resilience Act πιάνει το πρόβλημα από τη ρίζα – το ίδιο το προϊόν λογισμικού και hardware – και η Cyber Solidarity Act στοχεύει σε κοινές ασκήσεις, κοινή αντίδραση και διαμοιρασμό ικανοτήτων για μεγάλες κρίσεις. Ο οργανισμός λειτουργεί ως κόμβος: παρακολούθηση, ανάλυση, συντονισμός, τεχνική στήριξη. Στόχος δεν είναι να μηδενιστεί ο κίνδυνος – αυτό δεν γίνεται – αλλά να μειωθεί ο χρόνος ανίχνευσης, να περιοριστεί ο αντίκτυπος και να διατηρηθεί η εμπιστοσύνη πολιτών και αγορών όταν κάτι πάει στραβά.
Το πρακτικό συμπέρασμα για δημόσιους φορείς και επιχειρήσεις είναι τριπλό. Πρώτον, βασική υγιεινή: ενημέρωση συστημάτων, ελαχιστοποίηση εξουσιών, συνεχής παρακολούθηση και τεστ ανάκαμψης. Δεύτερον, κατανόηση εξαρτήσεων: προμηθευτές, αλυσίδα εφοδιασμού λογισμικού, τρίτα μέρη που αν παραβιαστούν «φέρνουν» τον κίνδυνο μέσα. Τρίτον, ετοιμότητα επικοινωνίας: σε μια εποχή όπου το τεχνικό περιστατικό συνοδεύεται από παραπληροφόρηση, το να μιλήσεις γρήγορα, καθαρά και αξιόπιστα είναι κομμάτι της ασφάλειας, όχι «θέμα PR». Τα στοιχεία στη φετινή έκθεση ενισχύουν ακριβώς αυτό: ο κυβερνοχώρος είναι ήδη πεδίο σύγκρουσης και όποιος επιβιώνει είναι αυτός που προετοιμάζεται για μαραθώνιο, όχι για σπριντ.
Ακολουθεί ολόκληρη η έκθεση:
