Άρθρο του Γενικού Γραμματέα Ψηφιακής Πολιτικής, Στέλιου Ράλλη, στο περιοδικό της ΕΕΤΤ “Επικοινωνίες εν τάχει”.
Η Κυβερνοασφάλεια αποτελεί έναν από τους σημαντικότερους πυλώνες της Εθνικής Ψηφιακής Στρατηγικής, καθώς είναι αυτή που «χτίζει» την εμπιστοσύνη των πολιτών στις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ).
Η Ευρωπαϊκή ένωση υψώνει κοινή ασπίδα προστασίας, με στόχο την επίτευξη υψηλού επιπέδου ασφάλειας συστημάτων δικτύου, πληροφοριών και κρίσιμων υποδομών, απέναντι στο κυβερνοέγκλημα. Καθώς η κοινωνία μας εξαρτάται όλο και περισσότερο από τα συστήματα επικοινωνιών και πληροφορικής, η ασφάλειά τους αποτελεί πλέον μείζον θέμα εθνικού ενδιαφέροντος, ενώ ταυτόχρονα παρατηρείται μία συνεχώς αυξανόμενη ανάγκη για προστασία των χρηστών ψηφιακών υπηρεσιών και ιδίως εκείνων που είναι σε νεαρή ηλικία.
Στο πλαίσιο αυτό, αποτελεί πλέον νόμο του κράτους και η ρύθμιση που κατέθεσε το υπουργείο Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης (ΥΨΗΠΤΕ) για την ενσωμάτωση της Οδηγίας 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τα μέτρα που θα διασφαλίσουν το υψηλό επίπεδο ασφαλείας συστημάτων και πληροφοριών στην Ε.Ε. Στόχος είναι η προστασία κρίσιμων υποδομών αλλά και των θεμελιωδών δικαιωμάτων των πολιτών και των επιχειρήσεων σε ότι αφορά την αδιάλειπτη, αξιόπιστη και αποδοτική παροχή υπηρεσιών και βασικών αγαθών ζωτικής σημασίας για την κοινωνία, στους τομείς της ενέργειας, των μεταφορών, της τραπεζικής και χρηματοπιστωτικής αγοράς, της υγείας, του πόσιμου ύδατος, των ψηφιακών υποδομών, των επιγραμμικών υπηρεσιών αγοράς και μηχανών αναζήτησης καθώς και ψηφιακών υπηρεσιών νεφοϋπολογιστικής.
Αναλυτικά με το συγκεκριμένο νόμο:
- Δημιουργείται ενισχυμένο πλαίσιο ασφάλειας για συστήματα δικτύου και πληροφοριών σε εναρμόνιση με τα υπόλοιπα κράτη μέλη της ΕΕ.
- Ορίζονται τρεις εθνικές αρχές και το γενικό πλαίσιο λειτουργίας τους, εκ των οποίων η Εθνική Αρχή Κυβερνοασφάλειας και το Εθνικό Ενιαίο Κέντρο Επαφής ορίζονται εντός του ΥΨΗΠΤΕ ενώ η τρίτη, που είναι και η αρμόδια Αρχή για την άμεση ανταπόκριση σε περιστατικά Ασφάλειας (CSIRT) ορίζεται σε Υπουργείο με τεχνογνωσία στον τομέα αυτό, στο ΥΠΕΘΑ, χωρίς να θίγονται υφιστάμενες διατάξεις περί ασφάλειας και απορρήτου ή ειδικές διατάξεις τομεακών ή ευρωπαϊκών πολιτικών.
- Αφορά 7 τομείς της κοινωνικοοικονομικής ζωής και τους αρμόδιους σχετικούς φορείς του δημόσιου και ιδιωτικού τομέα, οι οποίοι είναι: ενέργεια, μεταφορές, τράπεζες, χρηματοπιστωτικές υπηρεσίες, υγεία, πόσιμο νερό, ψηφιακές υποδομές [π.χ. Πάροχοι υπηρεσιών συστήματος ονομάτων χώρου (DNS)].
- Οι εμπλεκόμενοι ιδιωτικοί και δημόσιοι Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) καθορίζονται κυρίως από τα κριτήρια που ορίζουν τα σοβαρά περιστατικά ασφάλειας (π.χ. Σύστημα Διανομής Ηλεκτρικής Ενέργειας δέχεται κυβερνοεπίθεση με αποτέλεσμα να διακοπεί η παροχή για σημαντικό χρονικό διάστημα [π.χ. 3 ώρες] και για σημαντικό αριθμό χρηστών [π.χ. 100.000]
- Προβλέπονται υποχρεώσεις κοινοποίησης συμβάντων για τους ΦΕΒΥ και τους παρόχους ψηφιακών υπηρεσιών [π.χ. πάροχος νεφουπολογιστικής], προς το κράτος (στην Εθνική Αρχή Κυβερνοασφάλειας) επί ποινή χρηματική και διοικητική και από το κράτος προς την ΕΕ (από το Ενιαίο Κέντρο Επαφής υπό προϋποθέσεις)
Ήδη, ο Υπουργός Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, Νίκος Παππάς έχει εγκρίνει από τον Μάρτιο του 2018, την Εθνική Στρατηγική Κυβερνοασφάλειας. Τη συνολική ευθύνη για την εφαρμογή της Στρατηγικής, έχει η Εθνική Αρχή Κυβερνοασφάλειας, που συστάθηκε και λειτουργεί στη Γενική Γραμματεία Ψηφιακής Πολιτικής. Η Αρχή αυτή, ως φορέας υψηλού πολιτικού-κυβερνητικού επιπέδου με εξειδικευμένα στελέχη, παρακολουθεί και υλοποιεί τις δράσεις της Εθνικής Στρατηγικής Κυβερνοασφάλειας και είναι αρμόδια για τον συντονισμό μεταξύ των φορέων που δραστηριοποιούνται στην Ελλάδα στον τομέα της ασφάλειας στον κυβερνοχώρο.
Το βασικό στοίχημα που πρέπει να κερδηθεί είναι η καλλιέργεια κλίματος εμπιστοσύνης στους πολίτες καθώς εκείνοι είναι που θα κληθούν να προβούν σε ψηφιακές συναλλαγές και να συμμετάσχουν στον ψηφιακό μετασχηματισμό της χώρας που αποτελεί το κλειδί για το μέλλον της Ελλάδας.
Αποτελέσματα πρόσφατων μελετών δείχνουν ότι, παρόλο που οι Ευρωπαίοι πολίτες πιστεύουν ότι οι ψηφιακές τεχνολογίες θα έχουν θετικό αντίκτυπο στην κοινωνία (64%), την ποιότητα ζωής τους (67%) και την οικονομία (75%), το 86% αυτών θεωρεί ότι με την εισαγωγή των νέων τεχνολογιών η πιθανότητα να πέσουν θύματα κυβερνοεγκλήματος αυξάνεται σημαντικά.
Η σημασία της κυβερνοασφάλειας καταδεικνύεται και από τη σημαντική αύξηση των επιθέσεων με κακόβουλο λογισμικό (ransomware) τα τελευταία χρόνια. Σύμφωνα με τα διαθέσιμα στοιχεία, οι συγκεκριμένες επιθέσεις έχουν αυξηθεί κατά 300% από το 2015.
Είναι χαρακτηριστικό ότι μόνο το 2016 είχαμε περισσότερες από 4.000 «επιθέσεις» κακόβουλων λογισμικών ανά ημέρα, ενώ το 80% των εταιρειών της Ευρώπης είχαν εμπειρία από τουλάχιστον ένα περιστατικό κυβερνoασφάλειας το περασμένο έτος.
Συνολικά υπολογίζεται ότι οι οικονομικές επιπτώσεις των κυβερνοεγκλημάτων πενταπλασιάστηκαν από το 2013 έως το 2017, και εκτιμάται θα μπορούσαν να αυξηθούν περαιτέρω με βαρύτατες συνέπειες για την οικονομία.
Άλλωστε, πρόσφατη έκθεση εκτιμά πως μια σοβαρή επίθεση στον κυβερνοχώρο θα μπορούσε να κοστίσει στην παγκόσμια οικονομία περισσότερα από 100 δισ. ευρώ.
Αποτελεί λοιπόν αυτονόητη υποχρέωση της Πολιτείας και όλων των εμπλεκομένων στη διαμόρφωση πολιτικών και ανάπτυξης των ΤΠΕ η θωράκιση των συστημάτων έναντι των κυβερνοεπιθέσεων που θα εγγυάται την προστασία της ιδιωτικότητας των πολιτών, τη δημόσια ασφάλεια και σε τελική ανάλυση την ίδια τη δημοκρατία.
Στον ενοποιημένο κόσμο των ΤΠΕ η κυβερνοασφάλεια δεν επιτυγχάνεται σε κλειστά γραφεία δημόσιων υπηρεσιών.
Χρειάζεται κτίσιμο κοινοτήτων, ενημέρωση, ανάπτυξη δεξιοτήτων, στενή συνεργασία δημόσιου και ιδιωτικού τομέα, πολιτών και επιχειρήσεων και επαγρύπνηση. Σε αυτό το «οικο-σύστημα», η ασφάλεια του συνόλου καθορίζεται από τον πιο αδύναμο κρίκο του και για το λόγο αυτό, όλοι οι εμπλεκόμενοι είναι εξίσου σημαντικοί.
