Ερχονται μέτρα για αποτροπή των κυβερνοεπιθέσεων

Δεκαπέντε πρωτοβουλίες για την αντιμετώπιση των κυβερνοεπιθέσεων σχεδιάζει το υπουργείο Ψηφιακής Διακυβέρνησης, όπως προκύπτει και από την υπό τελική διαμόρφωση «Βίβλο Ψηφιακού Μετασχηματισμού».

Η αντιμετώπιση του εγκλήματος στον κυβερνοχώρο ήρθε στην επικαιρότητα μετά την πρόσφατη επίθεση στα τεχνολογικά συστήματα της Cosmote και τις συχνές εισβολές χάκερ στους δικτυακούς τόπους κρατικών ή άλλων ελληνικών υπηρεσιών. Μάλιστα όσο αυξάνονται οι ηλεκτρονικές υπηρεσίες που προσφέρει το δημόσιο ή ο ιδιωτικός τομέας στην Ελλάδα, τόσο μεγαλώνει και η ανάγκη θωράκισης των τεχνολογικών συστημάτων από κυβερνοεπιθέσεις.

Στον κατάλογο των 15 πρωτοβουλιών περιλαμβάνονται άμεσα μέτρα όπως η εκπόνηση σχεδίου δράσης για την εθνική στρατηγική κυβερνοασφάλειας και η ανάπτυξη εργαλείων αποτίμησης της προόδου υλοποίησής της, η διαμόρφωση και εφαρμογή Οδηγού Αξιολόγησης επιπέδου ωριμότητας φορέων, η εκπόνηση Σχεδίου Έκτακτης Ανάγκης για την αντιμετώπιση κρίσεων στον κυβερνοχώρο, η εγκαθίδρυση πλατφόρμας διαμοιρασμού πληροφοριών που σχετίζονται με απειλές και περιστατικά κυβερνοασφάλειας και η πραγματοποίηση δράσεων ενημέρωσης και ευαισθητοποίησης (σεμιναρίων, workshops και ημερίδων) σχετικά με την κυβερνοασφάλεια.

Στα μεσοπρόθεσμα μέτρα περιλαμβάνονται η αναβάθμιση δικτυακών υποδομών και συστημάτων πρόσβασης, περιφερειακής ασφάλειας και φυσικής πρόσβασης, η επιθεώρηση, η αποτίμηση ή και αυτο-αποτίμηση και βελτίωση διαδικασιών διαχείρισης και ασφάλειας πληροφοριακών συστημάτων και ψηφιακών υπηρεσιών, η αναβάθμιση εφαρμογών και συστημάτων λαμβάνοντας υπόψη την προστασία και την ιδιωτικότητα ήδη από τον σχεδιασμό (security and privacy-by-design), οι δράσεις υποστήριξης για την αναβάθμιση των συστημάτων και των δυνατοτήτων ασφάλειας κρίσιμων υποδομών καθώς και η εφαρμογή διαδικασιών με βάση το πρότυπο ISO 27001 στο Κέντρο Δεδομένων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (ΓΓΠΣΔΔ).

Υπενθυμίζεται πως η Ελλάδα υιοθέτησε με καθυστέρηση την οδηγία 2016/1148/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (Network and Information Security - NIS Directive).

Για την ακρίβεια, όπως συμβαίνει με πολλές κοινοτικές οδηγίες, ο νόμος με τον οποίο ενσωματώνεται στο ελληνικό δίκαιο ψηφίστηκε το 2018, αλλά η εφαρμογή του καθυστερούσε. Τον τελευταίο χρόνο επιχειρήθηκε από τη σημερινή ηγεσία του υπουργείου Ψηφιακής Διακυβέρνησης, όπως έχει δηλώσει και ο κ. Κυριάκος Πιερρακάκης, να προχωρήσουν ορισμένα από τα μέτρα που προέβλεπε η οδηγία.

Η Γενική Διεύθυνση Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης «έχει οριστεί ως Εθνική Αρχή Κυβερνοασφάλειας (National Cyber Security Authority - NCSA) και ρόλος της είναι να παρακολουθεί την εφαρμογή του νόμου 4577/2018, να λειτουργεί ως το εθνικό ενιαίο σημείο επαφής για την ασφάλεια δικτύου και πληροφοριών, ενεργώντας επίσης ως σύνδεσμος διασφάλισης της διασυνοριακής συνεργασίας εντός της Ε.Ε. και να προάγει εν γένει το επίπεδο κυβερνοασφάλειας της χώρας».

Αυτή την περίοδο, όπως αναφέρεται και στη Βίβλο Ψηφιακού Μετασχηματισμού, η Δημόσια Διοίκηση «σχεδιάζει την αναδιαμόρφωση της εθνικής στρατηγικής για την κυβερνοασφάλεια». Παράλληλα, «δίνει έμφαση σε μια σειρά από δράσεις οι οποίες θα ενισχύσουν τους 3 βασικούς πυλώνες (Αναγνώριση, Προστασία, Αντιμετώπιση), όπως αυτοί περιγράφονται στην Ενιαία Πολιτική Ασφάλειας και στις Βασικές Απαιτήσεις Ασφάλειας (ΥΑ 1027/2019).

Προτεραιότητα θα δοθεί σε δράσεις όπως η διαμόρφωση ενός οδηγού αξιολόγησης του επιπέδου ασφάλειας των φορέων, η υποστήριξη της εφαρμογής των αρχών της ασφάλειας «από τον σχεδιασμό» και «εξ ορισμού» (security by design & by default) στην ανάπτυξη συστημάτων δικτύου και πληροφοριών, η περαιτέρω θωράκιση των κρίσιμων υποδομών μέσα από τη μεταφορά τεχνογνωσίας μεταξύ των ομάδων CSIRT (σ.σ. οι ομάδες απόκρισης για πιθανά συμβάντα που πρέπει να λειτουργούν με βάση την κοινοτική οδηγία), η αυτοματοποίηση διαδικασιών που αφορούν στην προαγωγή και διαχείριση της κυβερνοασφάλειας, η διάχυση καλών πρακτικών κ.ά.

Η κοινοτική οδηγία προβλέπει και την εφαρμογή συγκεκριμένων πολιτικών κυβερνοασφάλειας από τις κρίσιμες υποδομές κάθε χώρας (από τα συστήματα τηλεπικοινωνιών μέχρι τη διαχείριση υποδομών όπως γέφυρες ή δίκτυα ηλεκτρικής ενέργειας).

Τον τελευταίο χρόνο δημιουργήθηκε, πάντα με βάση την οδηγία, ο κατάλογος αυτών των κρίσιμων υποδομών και οι φορείς (δημόσιοι ή ιδιωτικοί) κλήθηκαν να εκπονήσουν τα σχέδια αντιμετώπισης κυβερνοεπιθέσεων.

Στη Βίβλο Ψηφιακού Μετασχηματισμού αναφέρεται πως «φορείς που ήδη έχουν εκπονήσει είτε εκπονούν μελέτες αποτίμησης επικινδυνότητας ή/και επιδιώκουν να συμμορφώνονται με πρότυπα όπως το ISO 27001 (Διαχείριση Ασφάλειας Πληροφοριών / Information Security Management) κινούνται προς την ορθή κατεύθυνση».

Επισημαίνεται, ταυτόχρονα, πως «στη νέα στρατηγική κυβερνοασφάλειας θα πρέπει, εκτός από τα παραπάνω, να προταθεί σειρά από επιθεωρήσεις και αποτιμήσεις της ασφάλειας που θα πρέπει να γίνονται στα συστήματα και στις υπηρεσίες που οι φορείς αυτοί χρησιμοποιούν και λειτουργούν. Έτσι, μπορεί να διαμορφωθεί ή να υιοθετηθεί ένας ενιαίος οδηγός αξιολόγησης της ασφάλειας και της εμπιστευσιμότητας συστημάτων και υπηρεσιών που σε τεχνικό επίπεδο θα μπορεί να εξειδικεύεται κατάλληλα». Ο οδηγός αυτός καθώς και τα αποτελέσματα των αξιολογήσεων «σε συνδυασμό με τις εκθέσεις και τις πολιτικές της Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης θα καθοδηγεί έργα αναβάθμισης πληροφοριακών συστημάτων και δικτυακών υποδομών, καθώς και δράσεις για την αναβάθμιση συστημάτων πρόσβασης, βελτίωσης της περιφερειακής ασφάλειας και φυσικής πρόσβασης σε φορείς και υπηρεσίες».