Το υπουργείο Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης (ΥΨΗΠΤΕ) κατέθεσε το σχέδιο νόμου για την ενσωμάτωση της Οδηγίας 216/1148 του Ευρωπαϊκού Κοινοβουλίου σχετικά με τα μέτρα που θα διασφαλίσουν το υψηλό επίπεδο ασφαλείας συστημάτων και πληροφοριών στην ΕΕ.
Παράλληλα έχει ήδη εγκριθεί η Εθνική Στρατηγική Κυβερνοασφάλειας, τη συνολική ευθύνη για την εφαρμογή της οποίας έχει η Εθνική Αρχή Κυβερνοασφάλειας, που συστάθηκε και λειτουργεί στη Γενική Γραμματεία Ψηφιακής Πολιτικής του Υπουργείου Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης. Η Αρχή αυτή, ως φορέας υψηλού πολιτικού-κυβερνητικού επιπέδου με εξειδικευμένα στελέχη, παρακολουθεί και υλοποιεί τις δράσεις της Εθνικής Στρατηγικής Κυβερνοασφάλειας και είναι αρμόδια για το συντονισμό μεταξύ των φορέων που δραστηριοποιούνται στην Ελλάδα στον τομέα της ασφάλειας στον κυβερνοχώρο.
Την ίδια στιγμή η χώρα μας κατάφερε ουσιαστικά να μετατραπεί σε μόνιμη έδρα του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ύστερα από την υπογραφή αναθεώρησης της συμφωνίας για την έδρα του μεταξύ του υπουργού, κ. Νίκου Παππά και του εκτελεστικού διευθυντή του ENISA, καθηγητή Udo Helmbrecht. Πρόκειται για μία ιδιαίτερα σημαντική εξέλιξη καθώς ο ENISA θα προσελκύσει υψηλών προσόντων ανθρώπινο δυναμικό από όλη την Ευρώπη. Να σημειωθεί ότι με τον νέο κανονισμό που υπεγράφη, ο ENISA έχει κομβικό ρόλο στην πρόληψη και αντιμετώπιση των κυβερνοεπιθέσεων, την τυποποίηση και τη διαχείριση των κινδύνων ασφάλειας, ενώ ορίζεται ως Ευρωπαϊκή Αρχή κυβερνοασφάλειας.
Ταυτόχρονα ιδιαίτερη σημασία δίνεται στην καλλιέργεια κλίματος εμπιστοσύνης στους πολίτες καθώς αυτοί είναι που θα κληθούν να προβούν σε ψηφιακές συναλλαγές, οι οποίες με τη σειρά τους αποτελούν προϋπόθεση για την ανάπτυξη της ψηφιακής οικονομίας που αποτελεί και το μέλλον της Ελλάδας.
Για το υπουργείο αλλά και τη Γενική Γραμματεία Ψηφιακής Πολιτικής η θωράκιση των κρίσιμων υποδομών της χώρας από τις κυβερνο-απειλές αποτελεί ζήτημα υψηλής προτεραιότητας.
Το νομοσχέδιο που εισήχθη στη Βουλή:
– Δημιουργεί ενισχυμένο πλαίσιο ασφάλειας για συστήματα δικτύου και πληροφοριών σε εναρμόνιση με τα υπόλοιπα κράτη-μέλη της ΕΕ.
– Ορίζει τρεις εθνικές αρχές και το γενικό πλαίσιο λειτουργίας τους, εκ των οποίων η Εθνική Αρχή Κυβερνοασφάλειας και το Εθνικό Ενιαίο Κέντρο Επαφής ορίζονται εντός του ΥΨΗΠΤΕ ενώ η τρίτη, που είναι και η αρμόδια Αρχή για την άμεση ανταπόκριση σε περιστατικά Ασφάλειας (CSIRT) ορίζεται σε Υπουργείο με τεχνογνωσία στον τομέα αυτό, στο ΥΠΕΘΑ, χωρίς να θίγονται υφιστάμενες διατάξεις περί ασφάλειας και απορρήτου ή ειδικές διατάξεις ή τομεακών ευρωπαϊκών πολιτικών. Η Εθνική Αρχή Κυβερνοασφάλειας βρίσκεται σε συνεργασία με τις αρμόδιες ρυθμιστικές/εποπτικές αρχές και τους λοιπούς εμπλεκόμενους εθνικούς φορείς.
– Αφορά κρίσιμους τομείς της κοινωνικοοικονομικής ζωής: ενέργεια, μεταφορές, τράπεζες, χρηματοπιστωτικές υπηρεσίες, υγεία, πόσιμο νερό, ψηφιακές υποδομές.
– Καθορίζει τους εμπλεκόμενους ιδιωτικούς και δημόσιους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) καθώς επίσης και τα κριτήρια που ορίζουν τα σοβαρά περιστατικά ασφάλειας. Η σοβαρότητα των συμβάντων, για τα οποία απαιτείται γνωστοποίηση κρίνεται από τον αριθμό των χρηστών που επηρεάζονται από τη διατάραξη, από τη διάρκεια των συμβάντων και από το γεωγραφικό εύρος της περιοχής που επηρεάζεται.
– Προβλέπει υποχρεώσεις κοινοποίησης συμβάντων για τους ΦΕΒΥ και τους παρόχους ψηφιακών υπηρεσιών προς το κράτος αλλά και λήψης μέτρων προστασίας. Σε περίπτωση μη συμμόρφωσης ορίζει χρηματικά πρόστιμα που φτάνουν έως και τα 200.000 ευρώ εάν υπάρχει υποτροπή.
Αποτελεί λοιπόν αυτονόητη υποχρέωση της Πολιτείας και όλων των εμπλεκομένων στη διαμόρφωση πολιτικών και ανάπτυξης των ΤΠΕ η θωράκιση των συστημάτων έναντι των κυβερνοεπιθέσεων που θα εγγυάται την προστασία της ιδιωτικότητας των πολιτών, τη δημόσια ασφάλεια και σε τελική ανάλυση την ίδια τη δημοκρατία. Ωστόσο, η νομοθετική θωράκιση δεν είναι από μόνη της αρκετή. Θα πρέπει να συνδυαστεί με άλλες πρωτοβουλίες και δράσεις ενημέρωσης των πολιτών για τους τρόπους αυτοπροστασίας σε κυβερνοεπιθέσεις αλλά και για τα δικαιώματά τους όταν τα δεδομένα τους αποτελούν αντικείμενο επεξεργασίας από τρίτους. Στην κατεύθυνση αυτή κινείται η Γενική Γραμματεία Ψηφιακής Πολιτικής δίνοντας ιδιαίτερη σημασία στα θέματα ασφάλειας στο σχεδιασμό των έργων ΤΠΕ. Γι’ αυτόν το λόγο ορίζουμε απαιτήσεις και κανόνες ασφαλείας που αποτελούν αναπόσπαστο μέρος του κάθε έργου ΤΠΕ του δημοσίου (security by default) και ενσωματώνονται σε αυτά από τη φάση της σχεδίασης (security by design), ως απαραίτητη προϋπόθεση των αρχών του ενιαίου σχεδιασμού.
ΣΧΟΛΙΟ "ΚΟΥΡΗΤΗΣ": ΑΥΤΑ ΓΡΑΦΕΙ Ο ... Στέλιος Ράλλης (Γενικός Γραμματέας Ψηφιακής Πολιτικής). ΔΥΟ ΠΡΩΤΑ ΕΡΩΤΗΜΑΤΑ.
- ΠΟΙΑ Η ΠΡΑΓΜΑΤΙΚΗ ΑΝΑΓΚΑΙΟΤΗΤΑ ΤΩΝ ΤΡΙΩΝ ΑΡΧΩΝ ΜΕ ΙΔΙΟ (ΣΥΝΑΦΕΣ-ΟΜΟΕΙΔΕΣ) ΑΝΤΙΚΕΙΜΕΝΟ, ΕΚ ΤΩΝ ΟΠΟΙΩΝ ΜΑΛΙΣΤΑ ΟΙ ΔΥΟ ΕΝΤΟΣ ΤΟΥ ΙΔΙΟΥ ΥΠΟΥΡΓΕΙΟΥ;
- ΤΟ ΙΔΙΟ ΤΟ ΥΠΟΥΡΓΕΙΟ ΠΟΥ ΘΑ ΣΤΕΓΑΖΕΙ ΤΙΣ 2 ΑΠΟ ΤΙΣ 3 ΑΡΧΕΣ Ο ΓΕΝΙΚΟΣ ΓΡΑΜΜΑΤΕΑΣ ΤΟ ΘΕΩΡΕΙ ΑΣΦΑΛΕΣ;
Παράλληλα έχει ήδη εγκριθεί η Εθνική Στρατηγική Κυβερνοασφάλειας, τη συνολική ευθύνη για την εφαρμογή της οποίας έχει η Εθνική Αρχή Κυβερνοασφάλειας, που συστάθηκε και λειτουργεί στη Γενική Γραμματεία Ψηφιακής Πολιτικής του Υπουργείου Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης. Η Αρχή αυτή, ως φορέας υψηλού πολιτικού-κυβερνητικού επιπέδου με εξειδικευμένα στελέχη, παρακολουθεί και υλοποιεί τις δράσεις της Εθνικής Στρατηγικής Κυβερνοασφάλειας και είναι αρμόδια για το συντονισμό μεταξύ των φορέων που δραστηριοποιούνται στην Ελλάδα στον τομέα της ασφάλειας στον κυβερνοχώρο.
Την ίδια στιγμή η χώρα μας κατάφερε ουσιαστικά να μετατραπεί σε μόνιμη έδρα του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ύστερα από την υπογραφή αναθεώρησης της συμφωνίας για την έδρα του μεταξύ του υπουργού, κ. Νίκου Παππά και του εκτελεστικού διευθυντή του ENISA, καθηγητή Udo Helmbrecht. Πρόκειται για μία ιδιαίτερα σημαντική εξέλιξη καθώς ο ENISA θα προσελκύσει υψηλών προσόντων ανθρώπινο δυναμικό από όλη την Ευρώπη. Να σημειωθεί ότι με τον νέο κανονισμό που υπεγράφη, ο ENISA έχει κομβικό ρόλο στην πρόληψη και αντιμετώπιση των κυβερνοεπιθέσεων, την τυποποίηση και τη διαχείριση των κινδύνων ασφάλειας, ενώ ορίζεται ως Ευρωπαϊκή Αρχή κυβερνοασφάλειας.
Ταυτόχρονα ιδιαίτερη σημασία δίνεται στην καλλιέργεια κλίματος εμπιστοσύνης στους πολίτες καθώς αυτοί είναι που θα κληθούν να προβούν σε ψηφιακές συναλλαγές, οι οποίες με τη σειρά τους αποτελούν προϋπόθεση για την ανάπτυξη της ψηφιακής οικονομίας που αποτελεί και το μέλλον της Ελλάδας.
Για το υπουργείο αλλά και τη Γενική Γραμματεία Ψηφιακής Πολιτικής η θωράκιση των κρίσιμων υποδομών της χώρας από τις κυβερνο-απειλές αποτελεί ζήτημα υψηλής προτεραιότητας.
Το νομοσχέδιο που εισήχθη στη Βουλή:
– Δημιουργεί ενισχυμένο πλαίσιο ασφάλειας για συστήματα δικτύου και πληροφοριών σε εναρμόνιση με τα υπόλοιπα κράτη-μέλη της ΕΕ.
– Ορίζει τρεις εθνικές αρχές και το γενικό πλαίσιο λειτουργίας τους, εκ των οποίων η Εθνική Αρχή Κυβερνοασφάλειας και το Εθνικό Ενιαίο Κέντρο Επαφής ορίζονται εντός του ΥΨΗΠΤΕ ενώ η τρίτη, που είναι και η αρμόδια Αρχή για την άμεση ανταπόκριση σε περιστατικά Ασφάλειας (CSIRT) ορίζεται σε Υπουργείο με τεχνογνωσία στον τομέα αυτό, στο ΥΠΕΘΑ, χωρίς να θίγονται υφιστάμενες διατάξεις περί ασφάλειας και απορρήτου ή ειδικές διατάξεις ή τομεακών ευρωπαϊκών πολιτικών. Η Εθνική Αρχή Κυβερνοασφάλειας βρίσκεται σε συνεργασία με τις αρμόδιες ρυθμιστικές/εποπτικές αρχές και τους λοιπούς εμπλεκόμενους εθνικούς φορείς.
– Αφορά κρίσιμους τομείς της κοινωνικοοικονομικής ζωής: ενέργεια, μεταφορές, τράπεζες, χρηματοπιστωτικές υπηρεσίες, υγεία, πόσιμο νερό, ψηφιακές υποδομές.
– Καθορίζει τους εμπλεκόμενους ιδιωτικούς και δημόσιους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) καθώς επίσης και τα κριτήρια που ορίζουν τα σοβαρά περιστατικά ασφάλειας. Η σοβαρότητα των συμβάντων, για τα οποία απαιτείται γνωστοποίηση κρίνεται από τον αριθμό των χρηστών που επηρεάζονται από τη διατάραξη, από τη διάρκεια των συμβάντων και από το γεωγραφικό εύρος της περιοχής που επηρεάζεται.
– Προβλέπει υποχρεώσεις κοινοποίησης συμβάντων για τους ΦΕΒΥ και τους παρόχους ψηφιακών υπηρεσιών προς το κράτος αλλά και λήψης μέτρων προστασίας. Σε περίπτωση μη συμμόρφωσης ορίζει χρηματικά πρόστιμα που φτάνουν έως και τα 200.000 ευρώ εάν υπάρχει υποτροπή.
Αποτελεί λοιπόν αυτονόητη υποχρέωση της Πολιτείας και όλων των εμπλεκομένων στη διαμόρφωση πολιτικών και ανάπτυξης των ΤΠΕ η θωράκιση των συστημάτων έναντι των κυβερνοεπιθέσεων που θα εγγυάται την προστασία της ιδιωτικότητας των πολιτών, τη δημόσια ασφάλεια και σε τελική ανάλυση την ίδια τη δημοκρατία. Ωστόσο, η νομοθετική θωράκιση δεν είναι από μόνη της αρκετή. Θα πρέπει να συνδυαστεί με άλλες πρωτοβουλίες και δράσεις ενημέρωσης των πολιτών για τους τρόπους αυτοπροστασίας σε κυβερνοεπιθέσεις αλλά και για τα δικαιώματά τους όταν τα δεδομένα τους αποτελούν αντικείμενο επεξεργασίας από τρίτους. Στην κατεύθυνση αυτή κινείται η Γενική Γραμματεία Ψηφιακής Πολιτικής δίνοντας ιδιαίτερη σημασία στα θέματα ασφάλειας στο σχεδιασμό των έργων ΤΠΕ. Γι’ αυτόν το λόγο ορίζουμε απαιτήσεις και κανόνες ασφαλείας που αποτελούν αναπόσπαστο μέρος του κάθε έργου ΤΠΕ του δημοσίου (security by default) και ενσωματώνονται σε αυτά από τη φάση της σχεδίασης (security by design), ως απαραίτητη προϋπόθεση των αρχών του ενιαίου σχεδιασμού.
ΣΧΟΛΙΟ "ΚΟΥΡΗΤΗΣ": ΑΥΤΑ ΓΡΑΦΕΙ Ο ... Στέλιος Ράλλης (Γενικός Γραμματέας Ψηφιακής Πολιτικής). ΔΥΟ ΠΡΩΤΑ ΕΡΩΤΗΜΑΤΑ.
- ΠΟΙΑ Η ΠΡΑΓΜΑΤΙΚΗ ΑΝΑΓΚΑΙΟΤΗΤΑ ΤΩΝ ΤΡΙΩΝ ΑΡΧΩΝ ΜΕ ΙΔΙΟ (ΣΥΝΑΦΕΣ-ΟΜΟΕΙΔΕΣ) ΑΝΤΙΚΕΙΜΕΝΟ, ΕΚ ΤΩΝ ΟΠΟΙΩΝ ΜΑΛΙΣΤΑ ΟΙ ΔΥΟ ΕΝΤΟΣ ΤΟΥ ΙΔΙΟΥ ΥΠΟΥΡΓΕΙΟΥ;
- ΤΟ ΙΔΙΟ ΤΟ ΥΠΟΥΡΓΕΙΟ ΠΟΥ ΘΑ ΣΤΕΓΑΖΕΙ ΤΙΣ 2 ΑΠΟ ΤΙΣ 3 ΑΡΧΕΣ Ο ΓΕΝΙΚΟΣ ΓΡΑΜΜΑΤΕΑΣ ΤΟ ΘΕΩΡΕΙ ΑΣΦΑΛΕΣ;
Οι τεχνολογίες των Πληροφοριακών Συστημάτων και Τηλεπικοινωνιών (CIS) ως βασικός άξονας της προσπάθειας διεθνοποίησης της αγοράς και των κρατικών οικονομιών θα επιφέρει σημαντικούς κινδύνους (risks) μαζικής διαρροής (confidentiality) πληροφοριών (data), καθώς και προβλήματα στην εύρυθμη και απρόσκοπτη λειτουργία πληροφοριακών συστημάτων (integrity, availability) σε κρίσιμους τομείς της κοινωνικοοικονομικής ζωής ("ενέργεια, μεταφορές, τράπεζες, χρηματοπιστωτικές υπηρεσίες, υγεία, πόσιμο νερό, ψηφιακές υποδομές.").
ReplyDeleteΤο Ιντερνετ δεν έχει φτιαχτεί στη λογική της ιδιωτικότητας, απορρήτου και ασφάλειαs (no privacy in mind). Δημιουργήθηκε για την ανταλλαγή πληροφοριών και παραμένει για αυτό το λόγο “The Internet is at once a world-wide broadcasting capability, a mechanism for information dissemination, and a medium for collaboration and interaction between individuals and their computers without regard for geographic location”.
(https://www.internetsociety.org/internet/history-internet/brief-history-internet/
H κυβερνοασφάλεια στηρίζεται βασικά σε εμπορικές/ιδιωτικές τεχνολογίες και η τεχνογνωσία για τρωτότητες (vulnerabilities) και κενά αυτών, είναι εύκολο να αποκτηθούν μέσω κατάλληλων πηγών (βλ. dark web).
Δεν υπάρχει και ούτε μπορεί να υπάρξει δικαστική και ποινική δίωξη σε περίπτωση ηλεκτρονικού εγκλήματος (computer crime) σε διεθνές επίπεδο, πχ η αποστολή ενός απλού email εντός της εθνικής επικράτειας, μπορεί να υποκλαπεί από κάποια άλλη χώρα εκτός Ευρώπης. Δεν υπάρχει και ούτε μπορεί να υπάρξει καθορισμός το τι συνιστά ηλεκτρονικό έγκλημα σε διεθνές επίπεδο και ούτε τα ποινικά αδικήματα και νομοθεσίες είναι συμβατά μεταξύ των χωρών σε διεθνές επίπεδο λόγω διαφορετικών θρησκευτικοεθνικών διαφορών. Κατά συνέπεια η ποινική νομοθεσία και δικαιοσύνη θα περιοριστεί στην καλύτερη περίπτωση μεταξύ των κρατών μελών εντός της ΕΕ, στο μέτρο που είναι δυνατόν και πάλι τα κράτη μέλη να συνενοηθούν και να συμφωνήσουν μεταξύ τους...
Δεν είναι δυνατόν οι παραπάνω φορείς ασφαλείας και προσωπικό να λειτουργήσουν αντικειμενικά και ανεξάρτητα, όσο υπάρχουν διαθέσιμες πληροφορίες περί προσωπικού και φυσικών εγκαταστάσεων σ' ένα ασταθές εθνικοκοινωνικό περιβάλλον (πρώην Ελληνικός χώρος), το οποίο αποτελείται από πολλούς αγνώστου ταυτότητας και ποινικού μητρώου "πρόσφυγες" και "οικονομικούς μετανάστες".
ΣΥΜΠΕΡΑΣΜΑΤΙΚΑ
Η μαζική διαρροή πληροφοριών και προσβολή ή/και καταστροφή τηλεπικοινωνιακών / πληροφοριακών συστημάτων (CIS) και ζωτικών κοινωνικοοικονομικών λειτουργιών (βλ. ενέργεια) και υπηρεσιών θεωρείται δεδομένη στα πλαίσια ισορροπιών των δυνάμενων σε διεθνές επίπεδο (βλ δόγμα Ψυχρού Πολέμου). Κατά συνέπεια πρέπει να δοθεί ιδιαίτερη βαρύτητα και μελέτη από εξειδικευμένο προσωπικό (όχι απλά και μόνο ακαδημαικό) των δυνάμεων και υπηρεσιών ασφαλείας στους τομείς Risk Management (mitigation), Emergency Procedures και Disaster Recovery Planning για όσο το δυνατόν μετριασμό της απώλειας ή καταστροφής (fail or loss) πληροφοριών, πληροφοριακών συστημάτων, ζωτικών κοινωνικοοικονομικών λειτουργιών και προσωπικού!
“Tech allows almost anyone to spy on almost anyone”
Edward Snowden
INFOteller
INFOteller
ReplyDeleteΕΞΑΙΡΕΤΙΚΗ Η ΠΕΡΙΓΡΑΦΗ ΣΟΥ, ΤΗΣ ΥΦΙΣΤΑΜΕΝΗΣ ΚΑΤΑΣΤΑΣΕΩΣ