Η έξαρση των κυβερνοεπιθέσεων το τελευταίο διάστημα, που δημιουργεί σημαντικά προβλήματα παγκοσμίως, αλλά και η κοινοτική νομοθεσία οδήγησαν το Υπουργείο Ψηφιακής Διακυβέρνησης στην έκδοση Οδηγού Αυτοαξιολόγησης της ασφάλειας των συστημάτων δικτύου και πληροφοριών των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ).
Όπως αναφέρεται στη σχετική απόφαση, «η αυτοαξιολόγηση διενεργείται σε ετήσια βάση ή κατόπιν πρόκλησης σοβαρής διατάραξης της παροχής βασικής υπηρεσίας από συμβάν κυβερνοασφάλειας, με τη χρήση του Οδηγού. Ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων του οργανισμού κοινοποιεί στην Εθνική Αρχή Κυβερνοασφάλειας τα αποτελέσματα της αυτοαξιολόγησης, συνοδευόμενα από σχετικό πλάνο διορθωτικών ή βελτιωτικών ενεργειών, εντός προθεσμίας που τάσσεται από την ως άνω Αρχή».
Η απόφαση υπογράφεται από τον γενικό γραμματέα Τηλεπικοινωνιών και Ταχυδρομείων Δ.Α. Σταβέρη-Πολυκαλά και απευθύνεται κυρίως σε δημόσιους και ιδιωτικούς Οργανισμούς που αποτελούν σημαντικές και κρίσιμες υποδομές για τη χώρα, όπως είναι οι φορείς εκμετάλλευσης βασικών υπηρεσιών καθώς και κρατικοί φορείς (Υπουργεία, Ανεξάρτητες Αρχές, Βουλή των Ελλήνων, Προεδρία της Δημοκρατίας).
Ζητούμενο για τους εν λόγω Οργανισμούς είναι η επίτευξη ενός υψηλού επιπέδου κυβερνοασφάλειας, προκειμένου τα συστήματα δικτύου και πληροφοριών τους να προστατεύονται επαρκώς από τις συνεχώς εξελισσόμενες κυβερνοαπειλές, να αποκτήσουν την ικανότητα να ανταποκρίνονται έγκαιρα σε περιστατικά κυβερνοεπιθέσεων και να ανακτούν άμεσα τη λειτουργικότητα και τη συνέχιση της παροχής των υπηρεσιών τους.
Με τον Οδηγό Αυτοαξιολόγησης ολοκληρώνεται η Δράση «Ανάπτυξη πλαισίου προαγωγής της αριστείας στον τομέα της κυβερνοασφάλειας (cybersecurity excellence management framework)» της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020-2025. Η Δράση ολοκληρώθηκε εξ ολοκλήρου in-house από την Εθνική Αρχή Κυβερνοασφάλειας-Διεύθυνση Στρατηγικού Σχεδιασμού Κυβερνοασφάλειας και περιλαμβάνει τον Οδηγό αυτοαξιολόγησης καθώς και το Εγχειρίδιο Κυβερνοασφάλειας (Cybersecurity Handbook).
Ο Οδηγός αποτελεί έναν μηχανισμό με τον οποίο οι Οργανισμοί μπορούν να διενεργήσουν αυτοαξιολόγηση του επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών τους. Ο Οδηγός περιέχει συνολικά 234 σημεία ελέγχου χωρισμένα σε 19 θεματικές ενότητες, οι οποίες είναι οι εξής:
- Διοίκηση κυβερνοασφάλειας και διαχείριση επικινδυνότητας
- Καταγραφή υλικού και λογισμικού
- Ασφαλής παραμετροποίηση εξοπλισμού και εφαρμογών
- Έλεγχος εκτέλεσης προγραμμάτων και υπηρεσιών
- Διαχείριση λογαριασμών και έλεγχος πρόσβασης
- Αυθεντικοποίηση χρηστών
- Ασφάλεια δικτύων
- Προστασία από κακόβουλο λογισμικό
- Τήρηση και ανάλυση αρχείων καταγραφής συμβάντων (event logs)
- Ασφάλεια διαδικτυακών εφαρμογών
- Απομακρυσμένη εργασία
- Χρήση κρυπτογραφίας
- Εκπαίδευση και ευαισθητοποίηση σε θέματα κυβερνοασφάλειας
- Διαχείριση κινδύνων στην εφοδιαστική αλυσίδα
- Υλοποίηση τεχνικών ελέγχων κυβερνοασφάλειας
- Μέτρα φυσικής ασφάλειας εγκαταστάσεων
- Λήψη αντιγράφων ασφαλείας (backup)
- Αντιμετώπιση περιστατικών κυβερνοασφάλειας
- Διασφάλιση επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή
Ο Οδηγός Αυτοαξιολόγησης και το Εγχειρίδιο Κυβερνοασφάλειας θα πρέπει να χρησιμοποιούνται από κοινού, καθώς τα σημεία ελέγχου του Οδηγού στηρίζονται σε πολύ μεγάλο βαθμό στα controls του Εγχειριδίου Κυβερνοασφάλειας.
Όπως χαρακτηριστικά αναφέρεται στην απόφαση, το επίπεδο κυβερνοασφάλειας σε έναν Οργανισμό ισούται με το επίπεδο κυβερνοασφάλειας του πιο αδύναμου κρίκου (weakestlink). Για τον λόγο αυτό, οι Οργανισμοί οφείλουν να εφιστούν την προσοχή τους στα επιμέρους διαγράμματα, ανά θεματική ενότητα, προκειμένου να εντοπίσουν τις συγκεκριμένες ελλείψεις που πρέπει να διορθωθούν.
Οι κύριοι στόχοι του Οδηγού Αυτοαξιολόγησης είναι:
- Να παρέχει ένα πρακτικό μέσο μέτρησης του επιπέδου κυβερνοασφάλειας ενός Οργανισμού σε συγκεκριμένα βασικά θεματικά πεδία.
- Να αποτελέσει χρήσιμο βοήθημα για τους Οργανισμούς ώστε να εντοπίσουν τις ελλείψεις που αυξάνουν σημαντικά τον βαθμό επικινδυνότητας για τα πληροφοριακά τους συστήματα, προκειμένου να προβούν στην επιλογή των κατάλληλων τεχνικών και οργανωτικών μέτρων που θα ενδυναμώσουν το επίπεδο κυβερνοασφάλειας.
- Να αποτελέσει απαραίτητο εργαλείο για την εισήγηση και λήψη αποφάσεων (evidence-based decision making) σε σχέση με την κυβερνοασφάλεια.