Skip to main content

Κυβερνοασφάλεια: Υπόχρεοι για λήψη μέτρων προστασίας φορείς και επιχειρήσεις υψηλής κρισιμότητας

Ώρα κυβερνοασφάλειας για 2.000 οντότητες

Υποχρεώσεις σε ένα ευρύ κατάλογο δημοσίων και ιδιωτικών φορέων (οντοτήτων) όπως η αναφορά περιστατικών κυβερνοεπίθεσης θεσπίζει το σε διαβούλευση νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης για την κυβερνοασφάλεια.

Σύμφωνα με τον διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ) Μιχάλη Μπλέτσα, η εφαρμογή της νέας νομοθεσίας (ενσωμάτωση της κοινοτικής οδηγίας   NIS 2) όσο αφορά τους ελέγχους και την επιβολή προστίμων, θα ξεκινήσει με την υποχρέωση αναφοράς περιστατικών, αρχές του 2025 και θα επεκταθεί σταδιακά στους ελέγχους για την εφαρμογή των προβλεπόμενων μέτρων προστασίας από κυβερνοεπιθέσεις.

Σε κάθε περίπτωση οι οντότητες που αφορά η νέα νομοθεσία χρειάζεται να ενημερωθούν άμεσα διαβάζοντας τη νομοθεσία, ενώ το επόμενο διάστημα ενημερωτικό υλικό θα είναι διαθέσιμο στην ιστοσελίδα της ΕΑΚ.

Το υπουργείο Ψηφιακής Διακυβέρνησης αναφέρεται σε 2.000 οντότητες που είναι υπόχρεες μέτρων κυβερνοασφάλειας, ωστόσο, είναι πιθανό στην πορεία το νούμερο αυτό να μεγαλώσει.

Όπως ήδη έχει γράψει η «Ν» (14.10.24) συγκεκριμένα μέτρα για την κυβερνοασφάλεια τους οφείλουν να λάβουν τομείς υψηλής κρισιμότητας όπως, μεταξύ άλλων, επιχειρήσεις, υγείας, ενέργειας, μεταφορών, υποδομών, νερού, χρηματοοικονομικών αγορών και ψηφιακές υποδομές. Για πρώτη φορά οι υποχρεώσεις επεκτείνονται στο δημόσιο τομέα (κεντρική διοίκηση και τοπική αυτοδιοίκηση) στις επιχειρήσεις διαχείρισης Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) του Διαστήματος και των λυμάτων.

Κρίσιμοι τομείς χαρακτηρίζονται επίσης όσοι σχετίζονται με τις ταχυδρομικές υπηρεσίες, την παρασκευή, παραγωγή και διανομή χημικών προϊόντων, μεταποίησης και διανομής τροφίμων, προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων και οι ψηφιακοί πάροχοι όπως επιγραμμικών / διαδικτυακών αγορών, διαδικτυακών μηχανών αναζήτησης, πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης και οργανισμοί έρευνας.

Από τον ιδιωτικό τομέα στη νέα νομοθεσία εντάσσονται οι επιχειρήσεις των προαναφερόμενων τομέων με 50 και πλέον υπαλλήλους και τζίρο από 10 εκατ. μέχρι 50 εκατ. ευρώ (οι μικρομεσαίες) ωστόσο είναι πιθανή η ένταξη και μικρότερων εταιριών εφόσον θεωρηθεί ότι η συνεισφορά τους στην αλυσίδα δραστηριότητας μιας κρίσιμης οντότητας είναι σημαντική.

Ο κ. Μπλέτσας (ερευνητής και διευθυντής υπολογιστικών συστημάτων του ΜΙΤ Media Lab) σε σχετική με το νομοσχέδιο ενημέρωση επεσήμανε πως «η κυβερνοασφάλεια είναι ομαδικό σπορ και αν δεν μπλέξουμε όλους τους φορείς δεν θα μπορέσουμε να ανεβάσουμε το επίπεδο. Η υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας δεν υπήρχε μέχρι σήμερα. Ως εκ τούτου, δεν είχαμε καλή εικόνα του τοπίου και των αδυναμιών. Δεν μπορείς να βελτιώσεις κάτι που δεν μπορείς να μετρήσεις.».

Σχετικά με το επίπεδο στο οποίο βρίσκεται σήμερα η Ελλάδα όσο αφορά την κυβερνοασφάλεια, ο διοικητής της ΕΑΚ, σημείωσε: «Η κυβερνοασφάλεια είναι τεράστιος τομέας που είναι παραμελημένος και στην Ελλάδα και στην ΕΕ, γιατί δεν έχει άμεση συνεισφορά στο τελικό αποτέλεσμα. Στη χώρα μας δεν έχει γίνει ζημιά γιατί είμαστε μικρός στόχος και όχι …ζουμερός.»

Ο κ. Μπλέτσας επισημαίνει ακόμη ότι ο ίδιος και η ΕΑΚ δεν έχουν αρμοδιότητα και δεν πρέπει να ασχολούνται με απλά περιστατικά όπως π.χ. είναι οι επιθέσεις σε ιστοσελίδες ή σε λογαριασμούς μέσων κοινωνικής δικτύωσης, ενώ εφιστά την προσοχή στην δημοσιότητα που λαμβάνουν περιστατικά κυβερνοεπιθέσεων καθώς στις περισσότερες των περιπτώσεων το τι έχει συμβεί δεν γίνεται αμέσως αντιληπτό. «Ο κατηγορητικός λόγος δεν βοηθάει και δεν έχει πολλές φορές σχέση με την πραγματικότητα» υπογραμμίζει.

Να σημειωθεί ότι το μεγαλύτερο πρόβλημα που αντιμετωπίζει αυτή τη στιγμή η ΕΑΚ είναι η στελέχωσή της. Έχει εξασφαλίσει περίπου τα μισά από τα 150 στελέχη που της είναι αναγκαία. Μέχρι στιγμής έχει προσωπικό που μετατάχθηκε από άλλους φορείς του δημοσίου. Ωστόσο, χρειάζεται να επιλυθούν θέματα που άπτονται των αποδοχών της Αρχής καθώς υπήρξαν περιπτώσεις που τεχνικοί έφυγαν από την ΕΑΚ, όχι για να πάνε στον ιδιωτικό τομέα όπως θα υπέθετε κανείς, αλλά σε άλλο φορέα του δημοσίου που προσφέρει καλύτερες αποδοχές. Πάντως, η έλλειψη στελεχών του τομέα κυβερνοασφάλειας αποτελεί παγκόσμιο πρόβλημα.

Πώς οι πολίτες αντιλαμβάνονται το ζήτημα της κυβερνοασφάλειας

«Η κατανόηση της απειλής από τους πολίτες είναι εξαιρετικά κρίσιμη για τα ζητήματα κυβερνοασφάλειας», επισημαίνεται στο policy paper «Κυβερνοασφάλεια: Πώς θωρακίζουμε το ψηφιακό μέλλον της χώρας;» το οποίο συνοψίζει και εμβαθύνει στα βασικά συμπεράσματα της συζήτησης στρογγυλής τραπέζης που είχε διοργανώσει τον Μάρτιο του 2024 το Center for Cyber Resilience του Οικονομικού Φόρουμ των Δελφών, σε συνεργασία με τον ΕΛΙΑΜΕΠ και με την υποστήριξη της Vodafone Ελλάδας.

Σύμφωνα με την έρευνα της Metron Analysis, που παρουσιάστηκε στο πλαίσιο της προαναφερόμενης συζήτησης, παρότι το 84% των πολιτών δηλώνει πως αντιμετωπίζει κινδύνους στο διαδίκτυο, το 67% είναι αυτό που λαμβάνει μέτρα προστασίας κατά τη διάρκεια της περιήγησής του. Σε αυτά συμπεριλαμβάνονται: α) η επίσκεψη μόνο σε ιστοσελίδες που γνωρίζουν και εμπιστεύονται, β) το μη άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου από αποστολείς που δεν γνωρίζουν, γ) η αποκλειστική χρήση του προσωπικού υπολογιστή και δ) η εγκατάσταση λογισμικού antivirus.

Όπως σημειώνεται προκαλεί προβληματισμό πως το 38% του γενικού πληθυσμού δηλώνει όχι τόσο (25%) και καθόλου (13%) ενημερωμένο για τους κινδύνους ασφάλειας στο διαδίκτυο. Οι περιστασιακοί χρήστες και οι μεγαλύτερες ηλικίες είναι λιγότερο ενημερωμένοι για τους κινδύνους, ενώ οι περισσότερο ευαισθητοποιημένοι είναι οι νεότεροι ηλικιακά (83% των Millennials), οι υψηλότερης κοινωνικής τάξης και μορφωτικού επιπέδου (78%), και οι φοιτητές (89%).

Στις ελληνικές εταιρίες το ένα τρίτο αναφέρει περιστατικά κυβερνοεπίθεσης ή κυβερνοεγκλήματος που αφορούν, κατά κύριο λόγο, παραπλανητικά emails και δευτερευόντως κακόβουλο λογισμικό ή χακάρισμα κοινωνικών δικτύων και emails, ενώ ελάχιστα σχετίζονται με παραβίαση προσωπικών δεδομένων πελατών.

Παρά την κλιμάκωση των κινδύνων, οι ελληνικές επιχειρήσεις, και ειδικά οι μεγαλύτερες σε μέγεθος, δηλώνουν σήμερα πιο ασφαλείς και θωρακισμένες συγκριτικά με πέντε χρόνια νωρίτερα, με το 41% να θεωρεί ότι τα προσωπικά δεδομένα είναι πλέον πιο ασφαλή.

Το 85% των επιχειρήσεων δηλώνουν ότι λαμβάνουν μέτρα ασφάλειας στις ηλεκτρονικές αγορές – συναλλαγές με την τάση αυτή να είναι εντονότερη μεταξύ των μεγαλύτερων επιχειρήσεων.

Σημαντικά μικρότερο είναι το ποσοστό των επιχειρήσεων που δηλώνει ότι διαθέτει σχέδιο πρόληψης/αντιμετώπισης κυβερνοεπιθέσεων: σχεδόν 6 στις 10 εταιρείες στην Ελλάδα (57%) απαντούν ότι διαθέτουν σχέδιο πρόληψης των περιστατικών κυβερνοασφάλειας, ποσοστό που στις μεγαλύτερες εταιρείες φτάνει το 85%.

Την ίδια στιγμή αν και η εκπαίδευση θεωρείται κομβικό σημείο, πρακτικά, μόνο 3 στις 10 επιχειρήσεις παρείχαν τον τελευταίο χρόνο εκπαίδευση στο προσωπικό τους σε θέματα ασφάλειας.

Σύμφωνα με το policy paper υπάρχουν τρεις δομικές παθογένειες για την κυβερνοασφάλεια στην Ελλάδα:

1. Ο κατακερματισμός της πολιτικής εσωτερικής ασφάλειας, μιας και σε αυτή ως υποσύνολο εντάσσεται η κυβερνοασφάλεια, μεταξύ διαφορετικών υπουργείων και υπηρεσιών. Μόνο σε επίπεδο βασικών παρόχων ασφάλειας εμπλέκονται τέσσερα διαφορετικά υπουργεία (Προστασίας του Πολίτη, Πολιτικής Προστασίας και Κλιματικής Κρίσης, Ψηφιακής Διακυβέρνησης, Ναυτιλίας και Νησιωτικής Πολιτικής), καθώς και το υπουργείο Εθνικής Άμυνας και η Ε.Υ.Π.

2. Η προβληματική συνεργασία μεταξύ δημοσίου και ιδιωτικού τομέα. Τις περισσότερες κρίσιμες υποδομές, για παράδειγμα, τις διαχειρίζονται ιδιωτικές εταιρείες, οι οποίες έχουν τον δικό τους σχεδιασμό ασφάλειας. Το πρόβλημα ξεκινά από το γεγονός ότι το δημόσιο δεν έχει ένα ολοκληρωμένο πλαίσιο και συγκεκριμένα standards, τα οποία θα πρέπει να ακολουθεί ο διαχειριστής της υποδομής, είτε είναι δημόσιος, είτε ιδιωτικός.

3. Απουσία κουλτούρας ασφάλειας από το ανθρώπινο δυναμικό που «τρέχει» στην καθημερινότητα τις κρίσιμες υποδομές και δύο δομικά προβλήματα του σχεδιασμού. Το πρώτο είναι η μη αξιοποίηση των μελλοντικών τάσεων. Ο σχεδιασμός ασφάλειας δεν μπορεί να ακολουθεί τις απειλές και τους κινδύνους, αλλά να προσπαθεί να τους προβλέψει ώστε να κινηθεί εμπροσθοβαρώς (Foresight Led Planning). Το δεύτερο είναι η μη επένδυση στην ανάδειξη των τρωτοτήτων. Επιτυχής σχεδιασμός σημαίνει εντοπισμός τρωτοτήτων και θωράκισή τους.

Διαβάστε ακόμη

Επιβολή νέων μέτρων για την ασφάλεια στο διαδίκτυο