ENISA: Πηγή συμβουλών και γνώσεων για την ασφάλεια

Ένας πολύ σημαντικός Ευρωπαϊκός Οργανισμός, ο οποίος έχει στόχο να προωθήσει τη διάδοση μιας ορθής αντίληψης για την ασφάλεια των δικτύων και πληροφοριών, εδρεύει στο Ηράκλειο της Κρήτης και αποτελεί σίγουρα μια ξεχωριστή και χρήσιμη οντότητα για όλη την E.E.

Σύντομο Ιστορικό
Ο ENISA είναι ένας Ευρωπαϊκός Οργανισμός, που δημιουργήθηκε από το Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο, προκειμένου να προαγάγει την Ασφάλεια Δικτύων και Πληροφοριών στην Ευρώπη. Η ιδέα για τη δημιουργία του ENISA γεννήθηκε όταν τα κράτη μέλη της Ε.Ε. άρχισαν να συνειδητοποιούν τη σπουδαιότητα της Ασφάλειας Δικτύων και Πληροφοριών και ότι στο εξής θα έπρεπε να καταβάλουν ολοένα και μεγαλύτερη προσπάθεια στον τομέα αυτό. Η σπουδαιότητα της διασφάλισης της καλής λειτουργίας της κοινωνίας της πληροφορίας έγινε σταδιακά πιο ξεκάθαρη, κυρίως λόγω του αντίκτυπου που είχε στην καθημερινή ζωή των πολιτών, στις επιχειρήσεις και την ψηφιακή οικονομία. Εκείνη την εποχή (Άνοιξη του 2001), η συνεργασία και η ανταλλαγή πληροφοριών μεταξύ των κρατών μελών και της βιομηχανίας στον τομέα της ασφάλειας πληροφοριών, ήταν ελάχιστη έως ανύπαρκτη. Ο ENISA ιδρύθηκε για να καλύψει αυτό το κενό και να προωθήσει την ορθή πρακτική και τη διάδοση μιας συγκεκριμένης αντίληψης για την ασφάλεια σε ολόκληρη την Ευρώπη.

Βασιζόμενος στην «ανοιχτή μέθοδο συντονισμού» μεταξύ των κρατών μελών και της βιομηχανίας του κλάδου, ο ENISA διευκολύνει και προωθεί σε μεγάλο βαθμό την ανταλλαγή γνώσεων στον τομέα της ασφάλειας πληροφοριών και την ευρεία υιοθέτηση ορθής πρακτικής μεταξύ των κρατών μελών. Στην ουσία, ο ENISA είναι:

• Κέντρο αριστείας για τα κράτη μέλη και τα όργανα της Ε.Ε. στην ασφάλεια δικτύων και πληροφοριών.
• Κέντρο πληροφοριών για τις βέλτιστες πρακτικές.
• Οργανισμός που διευκολύνει τις επαφές μεταξύ των οργανισμών της Ε.Ε., των κρατών μελών και του επιχειρηματικού και βιομηχανικού κλάδου.

Με αυτόν τον τρόπο, ο ENISA συμβάλλει στον εκσυγχρονισμό της Ευρώπης και στη διασφάλιση της απρόσκοπτης λειτουργίας της ψηφιακής οικονομίας και της κοινωνίας της πληροφορίας.
Ποιος είναι υπεύθυνος για την ασφάλεια δικτύων και πληροφοριών;
Στη μεγάλη τους πλειονότητα, τα συστήματα ηλεκτρονικής επικοινωνίας και πληροφοριών αναπτύσσονται από τον ιδιωτικό τομέα, ο οποίος έχει και την κυριότητά τους. Γι’ αυτό, ο ENISA άρχισε να δημιουργεί διαύλους επικοινωνίας με διάφορους τομείς του κλάδου για την ανταλλαγή πληροφοριών, με απώτερο στόχο τη θέσπιση ενός τακτικού διαλόγου υψηλού επιπέδου. Κατ’ αυτόν τον τρόπο, ο ENISA προσπαθεί να καλύψει τα υπάρχοντα κενά και να προωθήσει τη συνεργασία όλων των ενδιαφερόμενων φορέων, των κρατών μελών της Ε.Ε. και του κλάδου. Επιπλέον, ο ENISA εκπροσωπεί την Ε.Ε. στην επικοινωνία της με τον έξω κόσμο στα θέματα αυτά και έχει επαφές με πολλούς διεθνείς οργανισμούς που δραστηριοποιούνται σε αυτόν τον τομέα.
Ποιος μεριμνούσε για την ασφάλεια πληροφοριών πριν από τη σύσταση του ENISA;
Είναι λανθασμένη η αντίληψη ότι μόνον ο ENISA είναι υπεύθυνος για την ασφάλεια των πληροφοριών στην Ευρώπη. Σύμφωνα με τη φιλοσοφία των κατευθυντήριων γραμμών ασφαλείας του ΟΟΣΑ, η ασφάλεια των πληροφοριών αποτελεί ευθύνη όλων των ενδιαφερόμενων μερών. Αυτό σημαίνει ότι ακόμη και οι χρήστες στο σπίτι, οι πάροχοι υπηρεσιών και οι εταιρείες ανάπτυξης προϊόντων, έχουν την ευθύνη να διασφαλίζουν ότι τα συστήματα πληροφοριών χρησιμοποιούνται με ασφαλή τρόπο. Τέλος, εξαρτάται από κάθε κράτος μέλος της Ε.Ε. να διασφαλίσει την επίτευξη και διαρκή ενίσχυση επαρκούς επιπέδου ασφαλείας για την προστασία των κρίσιμων υποδομών πληροφοριών. Ο ρόλος του ENISA σε αυτό το πλαίσιο, συνίσταται στη συγκέντρωση των διαθέσιμων γνώσεων σχετικά με το πώς μπορεί να επιτευχθεί αυτός ο στόχος και τη μετάδοση πληροφοριών ασφαλούς συμπεριφοράς σε οικείους ενδιαφερομένους, οργανισμούς και κράτη μέλη της Ε.Ε..

Καθήκοντα
Σύμφωνα με τον κανονισμό ίδρυσής του, ο ENISA έχει τις ακόλουθες αρμοδιότητες:

• Συλλογή πληροφοριών για την ανάλυση των υφιστάμενων, μελλοντικών και άμεσων κινδύνων, ιδίως στο ευρωπαϊκό επίπεδο και διαβίβαση των αποτελεσμάτων της ανάλυσης αυτής στα κράτη μέλη και την Επιτροπή.
• Παροχή συμβουλών και συνδρομής στο Ευρωπαϊκό Κοινοβούλιο, σε ευρωπαϊκούς φορείς και σε αρμόδιους εθνικούς φορείς, που ορίζουν τα κράτη μέλη στο πλαίσιο των στόχων του.
• Ενίσχυση της συνεργασίας μεταξύ των διαφόρων φορέων που δραστηριοποιούνται στον τομέα της ασφάλειας δικτύων και πληροφοριών, όπως τη βιομηχανία, τα πανεπιστήμια, κοινοτικούς φορείς, φορείς του δημόσιου τομέα που ορίζουν τα κράτη μέλη, φορείς του ιδιωτικού τομέα και οργανώσεις καταναλωτών.
• Διευκόλυνση της συνεργασίας μεταξύ της Επιτροπής και των κρατών μελών, κατά την ανάπτυξη κοινών μεθοδολογιών πρόληψης και αντιμετώπισης σε ζητήματα ασφάλειας δικτύων και πληροφοριών.
• Συμβολή στην ευαισθητοποίηση και στη διαθεσιμότητα έγκαιρης και αντικειμενικής πληροφόρησης όσον αφορά τα θέματα ασφάλειας δικτύων και πληροφοριών για όλους τους χρήστες, ιδίως μέσω της ανταλλαγής βέλτιστων πρακτικών.
• Παροχή συνδρομής στην Επιτροπή και στα κράτη μέλη, κατά τη διεξαγωγή του διαλόγου τους με τον κλάδο για την αντιμετώπιση προβλημάτων ασφάλειας όσον αφορά τα προϊόντα υλικού και λογισμικού.
• Παρακολούθηση της εξέλιξης των προτύπων για προϊόντα και υπηρεσίες, που αφορούν την ασφάλεια των δικτύων και των πληροφοριών.
• Παροχή συμβουλών στην Επιτροπή, σχετικά με την έρευνα στον τομέα της ασφάλειας των δικτύων και των πληροφοριών, καθώς επίσης και της αποτελεσματικής χρήσης των τεχνολογιών πρόληψης κινδύνων.
• Προώθηση των δραστηριοτήτων εκτίμησης και διαχείρισης κινδύνων, στους οργανισμούς του δημόσιου και του ιδιωτικού τομέα.
• Συμβολή στις κοινοτικές προσπάθειες συνεργασίας με τρίτες χώρες και, κατά περίπτωση, με διεθνείς οργανισμούς, με στόχο την προώθηση κοινής σφαιρικής προσέγγισης σε θέματα ασφάλειας δικτύων και πληροφοριών, συμβάλλοντας έτσι στη διαμόρφωση μιας ενιαίας αντίληψης για την ασφάλεια δικτύων και πληροφοριών.
• Ανεξάρτητη έκφραση συμπερασμάτων και συμβουλών σχετικά με θέματα που άπτονται της εμβέλειας και των στόχων του.

Ευαισθητοποίηση. Ένας από τους σημαντικότερους τομείς δράσης του ENISA
Στη σημερινή ψηφιακή εποχή στην οποία ζούμε και εργαζόμαστε, τόσο τα άτομα όσο και οι επιχειρήσεις θεωρούν ανεκτίμητη τη χρήση των τεχνολογιών πληροφοριών και επικοινωνιών (ΤΠΕ) στις καθημερινές τους εργασίες. Ωστόσο, αν ληφθούν υπόψη τα τρωτά σημεία που εντοπίζονται σε αυτά τα νέα περιβάλλοντα, καθώς και η διαρκής και εκθετική αύξηση των χρηστών, ολοένα και μεγαλύτερος αριθμός πολιτών και επιχειρήσεων διατρέχουν τον κίνδυνο να υποστούν παραβιάσεις της ασφάλειας δικτύων.
Σε μια εποχή που βασίζεται όλο και περισσότερο στην ψηφιακή πληροφορία, υπάρχει αυξημένος αριθμός κινδύνων, ενώ σημαντικός αριθμός πολιτών εξακολουθούν να αγνοούν τους κινδύνους που διατρέχει η ασφάλεια των συστημάτων τους. Δεδομένης της εξέλιξης και της εξάπλωσης των κινδύνων αυτών, οι σύγχρονες λύσεις για την ασφάλεια των πληροφοριών θα είναι αύριο παρωχημένες. Το τοπίο στον τομέα της ασφάλειας μεταβάλλεται συνεχώς. Εάν όμως, όπως ισχυρίζονται οι εκθέσεις των περισσότερων αναλυτών, ο πιο αδύναμος κρίκος σε κάθε πλαίσιο ασφαλείας πληροφοριών είναι το ανθρώπινο στοιχείο, τότε μόνο μια σημαντική αλλαγή στη νοοτροπία των χρηστών ή στη φιλοσοφία των επιχειρήσεων, μπορεί να μειώσει πραγματικά τον αριθμό των παραβιάσεων ασφαλείας. Κατά συνέπεια, η πλήρης επίγνωση των κινδύνων και των διαθέσιμων δικλείδων ασφαλείας σε ατομικό επίπεδο, έχει αναγνωριστεί ως η πρώτη γραμμή άμυνας για την ασφάλεια των συστημάτων πληροφοριών και των δικτύων. Αυτό σημαίνει ότι όλοι οι παράγοντες, η βιομηχανία, οι ενδιαφερόμενοι, καθώς και οι τελικοί χρήστες, πρέπει να αναλάβουν σε ατομικό επίπεδο την ευθύνη που τους αναλογεί.

Γι’ αυτό λοιπόν και ο ENISA στοχεύει στον τομέα της ευαισθητοποίησης, επιχειρώντας:

• Να συμβάλει στην παρακολούθηση της προόδου που συντελείται σχετικά με την ευαισθητοποίηση σε εθνικό επίπεδο.
• Να βοηθήσει στην κατανόηση των διαφόρων ειδών προβλημάτων που αντιμετωπίζουν σήμερα οι χώρες, όσον αφορά την ασφάλεια των πληροφοριών.
• Να καταρτίσει κατάλογο επιτυχημένων πρακτικών που εφαρμόστηκαν στα κράτη μέλη, ο οποίος θα περιλαμβάνει παραδείγματα εκστρατειών και άλλων πρωτοβουλιών ευαισθητοποίησης στα κράτη μέλη.
• Να προετοιμάσει υλικό που να μπορεί να προσαρμοστεί και να παρουσιαστεί στα κράτη μέλη, προς διευκόλυνση του έργου τους στον τομέα της ευαισθητοποίησης. Το υλικό αυτό περιλαμβάνει παραδείγματα μηνυμάτων υψηλού επιπέδου, μη τεχνικού περιεχομένου, τα οποία εντάσσονται σε μια τυπική εκστρατεία ευαισθητοποίησης.
• Να προσφέρει ένα πλαίσιο επικοινωνίας, βασισμένο σε παραδείγματα αντλούμενα από διάφορες χώρες.
• Να συμβάλει στην ανάπτυξη μιας συγκεκριμένης αντίληψης για την ασφάλεια των πληροφοριών στα κράτη μέλη, ενθαρρύνοντας τους χρήστες να ενεργούν υπεύθυνα και συνεπώς να δρουν με μεγαλύτερη ασφάλεια.

Ο ENISA έχει συντάξει και έναν πρακτικό οδηγό σχετικά με το πώς μπορεί να ευαισθητοποιηθεί το κοινό, αναφορικά με την ασφάλεια δικτύων και πληροφοριών. Στόχος του εν λόγω οδηγού – που φέρει τον τίτλο «Οδηγός χρήστη: ευαισθητοποίηση σε θέματα ασφάλειας πληροφοριών» είναι να παράσχει πρακτικές συμβουλές στα κράτη μέλη, για την προετοιμασία και την υλοποίηση πρωτοβουλιών ευαισθητοποίησης. Ο οδηγός παρουσιάζει συμβουλές βήμα προς βήμα, οι οποίες θα αποτελέσουν τη βάση μιας αποτελεσματικής και στοχοθετημένης εκστρατείας ευαισθητοποίησης, που θα απευθύνεται σε διαφορετικά ακροατήρια, όπως οι δημόσιοι και οι ιδιωτικοί οργανισμοί.
Εν κατακλείδι, η ομάδα ευαισθητοποίησης βοηθάει τα κράτη μέλη να αυξήσουν την ευαισθητοποίησή τους σχετικά με την ασφάλεια των πληροφοριών, αφενός βελτιώνοντας τα ήδη υπάρχοντα και αφετέρου ξεκινώντας νέα προγράμματα.

ENISA (Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών)
Ταχ. Θυρίδα 1309, 71001 Ηράκλειο – Κρήτη, Ελλάδα
Τηλ.: +30 28 10 39 1280, Φαξ: +30 28 10 39 1410
www.enisa.europa.eu