Στη φάση των τελικών υπογραφών βρίσκεται το νομοσχέδιο για την κυβερνοασφάλεια του υπουργείου Ψηφιακής Διακυβέρνησης, καθώς τις επόμενες ημέρες θα κατατεθεί στη Βουλή, με στόχο να έχει ψηφιστεί μέχρι τις 17 Οκτωβρίου.
Πρόκειται για μια οδηγία που υποχρεώνει όλες τις επιχειρήσεις να «θωρακιστούν» κατά των κυβερνοεπιθέσεων, που στοιχίζουν «ακριβά». Δεν είναι τυχαίο ότι σύμφωνα με αναλυτές, το 2023 το έγκλημα στον κυβερνοχώρο παγκοσμίως ξεπέρασε τα 10,5 τρισ. δολάρια, καθώς πάνω από το 50% των επιχειρήσεων δεν γνωρίζει ακόμα τα τρωτά του σημεία.
Στο νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης θα ενσωματώνεται ευρωπαϊκή οδηγία (NIS2), που προβλέπει σειρά μέτρων για περίπου 3.000 οντότητες του δημόσιου και ιδιωτικού τομέα και προωθεί τη δημιουργία ενός υψηλού και κοινού επιπέδου ασφάλειας για όλες τις χώρες της ΕΕ, προσφέροντας ένα πιο ισχυρό πλαίσιο για την προστασία των κρίσιμων υποδομών, τόσο σε δημόσιο όσο και σε ιδιωτικό επίπεδο.
Ποιοι περιλαμβάνονται στην Οδηγία
Πέρα από την κεντρική κυβέρνηση περιλαμβάνονται περιφέρειες και δήμοι, αλλά και επιχειρήσεις που απασχολούν από 50 έως 250 εργαζομένους με κύκλο εργασιών έως 250 εκατ. ευρώ, καθώς και επιχειρήσεις με δραστηριότητα σε κρίσιμους κλάδους της οικονομίας.
Ειδικότερα η Οδηγία NIS2 αφορά:
- Όλες τις µικρομεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκατ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανομής τροφίμων, παραγωγής χημικών προϊόντων, φαρμακευτικών προϊόντων, διαχείρισης λυμάτων και αποβλήτων, εταιρειών ταχυµεταφορών.
- Ανεξάρτητα από το μέγεθός τους τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανώτατου επιπέδου.
- Την Κεντρική Κυβέρνηση, τις Περιφέρειες και Δήμους.
Με τις προτεινόμενες διατάξεις του νέου νομοσχεδίου που προωθεί το υπουργείο Ψηφιακής Διακυβέρνησης:
- Ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρμόδια αρχή και ως αρμόδια ομάδα απόκρισης.
- Ενισχύεται η συνεργασία μεταξύ του δημόσιου και ιδιωτικού τομέα.
- Ενισχύεται ο εθνικός στρατηγικός σχεδιασμός κυβερνοασφάλειας.
- Καθορίζεται πλαίσιο για τη συντονισμένη γνωστοποίηση ευπαθειών.
Τα πρόστιμα
Το νομοσχέδιο που θα ενσωματώνει την οδηγία NIS2 στο εθνικό δίκαιο αναμένεται να κατατεθεί προς συζήτηση και κύρωση στη Βουλή το προσεχές διάστημα και μεταξύ άλλων, σε περιπτώσεις ελλιπών μέτρων κυβερνοασφάλειας, θα προβλέπει πρόστιμα που φθάνουν έως 10 εκατ. ευρώ ή 2% του παγκόσμιου τζίρου των επιχειρήσεων, ειδικά για εταιρείες που δραστηριοποιούνται σε κλάδους όπως η ενέργεια, οι μεταφορές, η υγεία, οι υπηρεσίες ψηφιακού νέφους και κέντρων δεδομένων, οι τηλεπικοινωνίες, τα τρόφιμα, η παραγωγή χημικών προϊόντων και φαρμάκων, η διαχείριση αποβλήτων και οι ταχυμεταφορές.
Οι κυβερνοεπιθέσεις
Διαστάσεις χιονοστιβάδας παίρνουν οι κυβερνοεπιθέσεις στη χώρα μας δημιουργώντας «μαύρες τρύπες» εκατομμυρίων ευρώ και σημαντικούς κινδύνους σε ελληνικές εταιρείες και δημόσιους φορείς.
Σύμφωνα με παλαιότερη έρευνα που διενήργησε η Metron Analysis, για λογαριασμό της Vodafone Ελλάδας το ένα τρίτο των ελληνικών εταιρειών αναφέρει περιστατικά κυβερνοεπίθεσης ή κυβερνοεγκλήματος, ουσιαστικά δείχνοντας την ανάγκη για λήψη μέτρων που θα διασφαλίσει τη συνέχιση της εύρυθμης λειτουργίας τους.
Σε εξέλιξη «mega» διαγωνισμός
Η Κοινωνία της Πληροφορίας προκήρυξε τον Ιούλιο το έργο «Δράσεις για την Ενίσχυση της Ασφάλειας των Πληροφοριών και των Συστημάτων του Δημοσίου Τομέα». Πρόκειται για έργο με προϋπολογισμό πάνω από 100 εκατ. ευρώ, που αφορά τη θωράκιση του Δημοσίου Τομέα από κυβερνοεπιθέσεις.
Ειδικότερα η συνολική εκτιμώμενη αξία της σύμβασης ανέρχεται σε 102.168.000 ευρώ, συμπεριλαμβανομένου ΦΠΑ 24%.
Όλα τα μέτρα για την Κυβερνοασφάλεια πρέπει να εστιάζουν σε τρεις βασικούς και κρίσιμους παράγοντες:
- Στους χρήστες. Οι χρήστες πρέπει να κατανοήσουν και να ακολουθήσουν βασικές αρχές ασφαλείας όπως η σωστή διαχείριση των passwords, να προσέχουν τα συνημμένα αρχεία, να μπορούν να κρίνουν ποια sites μοιάζουν επικίνδυνα, να κάνουν συχνά backup και γενικότερα να ενημερωθούν κατάλληλα για να μπορούν να αναγνωρίσουν τις απειλές. Ό,τι εργαλεία και να χρησιμοποιηθούν, εάν ο τελικός χρήστης δεν έχει γνώση για να εποπτεύει τις διαδικασίες και τα εργαλεία ή δεν μπορεί να αναγνωρίσει τις κυβερνοαπειλές, είναι ο αδύνατος κρίκος στην αλυσίδα της κυβερνοασφάλειας.
- Στις διαδικασίες που θέτει ένας οργανισμός. Οι οργανισμοί πρέπει να έχουν μελετήσει και εφαρμόσει ένα πλαίσιο στο πώς θα αντιμετωπίζουν οι χρήστες τις επιτυχημένες ή αποτυχημένες απόπειρες κυβερνοεπιθέσεων. Διαδικασίες φυσικά υπάρχουν ακόμα και σε ατομικό επίπεδο, για παράδειγμα η σωστή διαχείριση των passwords, ασφαλής καταστροφή ευαίσθητων δεδομένων, οι ενέργειες που πρέπει να κάνει κάποιος για να διασφαλίσει τα προσωπικά του δεδομένα και αρκετά άλλα θέματα που πρέπει να μελετηθούν. Ακόμα και η εκπαίδευση των ίδιων των χρηστών ή των μελών ενός οργανισμού ανήκει στις διαδικασίες της κυβερνοασφάλειας.
- Στις τεχνολογικές υποδομές. Η τεχνολογία είναι απαραίτητη ούτως ώστε να δώσει στους οργανισμούς και στους ιδιώτες τα εργαλεία τα οποία απαιτούνται για να προστατευτούν από τις κυβερνοεπιθέσεις. Οι βασικές οντότητες που πρέπει να προστατευτούν μέσω των τεχνολογικών εργαλείων είναι: Endpoints (τερματικά), έξυπνες συσκευές και routers, το δίκτυο στο σύνολό του αλλά και το cloud.
Στο παραπάνω πλαίσιο η Δράση για την ενίσχυση της κυβερνοανθεκτικότητας των κρίσιμων οντοτήτων του Υπουργείου Ψηφιακής Διακυβέρνησης και των εποπτευόμενων φορέων του πρέπει να εστιάσει σε ένα πλέγμα δράσεων που αφορά το σύνολο των παραπάνω παραγόντων και περιλαμβάνει πολιτικές διαδικασίες και μέτρα αντιμετώπισης και πρόληψης, καθώς και εξειδικευμένες λύσεις ασφάλειας πληροφοριών, εγγράφων και εφαρμογών.