Μπορεί τα φώτα της δημοσιότητας να έχει πέσει στο GDPR, όμως εξίσου πολύ σημαντική είναι και η οδηγία NIS (Network and Information Systems) που θα αρχίσει να εφαρμόζεται τον Μάιο του 2018 και στοχεύει στην υιοθέτηση μέτρων από όλα τα κράτη μέλη της E.E για ένα υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου
- Ευαγγελία Βαγενά
Δικηγόρος, ΔΝ, DEA Droit et Informatique, CIPP/E
Αντιπρόεδρος Hellenic Association of Data Protection & Privacy
Τελευταία, όλοι ασχολούνται με τον νέο Γενικό Κανονισμό για την Προστασία Δεδομένων, γνωστό ως GDPR (General Data Protection Regulation)[1] ο οποίος τίθεται σε εφαρμογή στις 25 Μαΐου του 2018. Ωστόσο, την ίδια εποχή -συγκεκριμένα έως τις 9 Μαΐου 2018 – θα πρέπει τα κράτη μέλη να έχουν θεσπίσει τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με ένα άλλο κρίσιμο νομοθέτημα της ΕΕ, την οδηγία για την ασφάλεια των πληροφοριακών συστημάτων, γνωστή ως οδηγία NIS, η οποία δεν έχει λάβει την ίδια δημοσιότητα με τον κανονισμό GDPR αλλά έχει σημαντικές συνέπειες τόσο για τους φορείς που δραστηριοποιούνται στον τομέα των κρίσιμων υποδομών όσο και για τις επιχειρήσεις παροχής ψηφιακών υπηρεσιών σε ό,τι αφορά στην προστασία και στη διαχείριση των κυβερνοεπιθέσεων.
Συγκεκριμένα, η Οδηγία 2016/1148/ΕΕ σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση – καλούμενη και ως οδηγία NIS από τα αρχικά του αγγλικού όρου Network and Information Systems – στοχεύει στην υιοθέτηση μέτρων από όλα τα κράτη μέλη για ένα υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε όλη την ΕΕ.
Η προθεσμία ενσωμάτωσής της λήγει στις 9.5.2018 και τα μέτρα που προβλέπει θα πρέπει να τεθούν σε εφαρμογή από τις 10.5.2018. Βάσει της οδηγίας θα πρέπει τα κράτη-μέλη βάσει κριτηρίων, να ορίσουν καταρχήν ποιες επιχειρήσεις παρέχουν βασικές ή ζωτικής σημασίας υπηρεσίες σε τομείς ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες. Οι επιχειρήσεις αυτές καλούμενες και ως φορείς εκμετάλλευσης βασικών υπηρεσιών/ Operators of Essential Services (OES) θα πρέπει να λάβουν τα κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων, την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων και να κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην αρμόδια αρχή ή στην CSIRT συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν. Η σοβαρότητα των συμβάντων κρίνεται: α) από τον αριθμό των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας, β) η διάρκεια του συμβάντος και γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν.
Η οδηγία επίσης επιβάλει στους παρόχους ψηφιακών υπηρεσιών/ Digital Service Providers (DSPs) στους οποίους περιλαμβάνονται τα ηλεκτρονικά καταστήματα, οι μηχανές αναζήτησης και οι υπηρεσίες νεφοϋπολογιστικής (cloud computing), να προσδιορίσουν και να λάβουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων και την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια. Ταυτόχρονα, θα πρέπει να κοινοποιούν στην αρμόδια αρχή ή την CSIRT χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο. Και σε αυτήν την περίπτωση τα κριτήρια που θέτει η οδηγία για τον καθορισμό της σοβαρότητας του συμβάντος είναι: α) ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών, β) η διάρκεια του συμβάντος, γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν δ) η έκταση της διατάραξης της λειτουργίας της υπηρεσίας και ε) η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες. Όσες οντότητες δεν έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών και δεν είναι πάροχοι ψηφιακών υπηρεσιών μπορούν να κοινοποιούν σε εθελούσια βάση συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των υπηρεσιών που παρέχουν.
Τα ανωτέρω αποφασίστηκαν λόγω «έλλειψης επαρκούς καταγραφής», καθώς τα περιστατικά που γνωστοποιούνται ή για τα οποία ενημερώνονται οι αρχές είναι πολύ λιγότερα από το πλήθος των κυβερνοεγκλημάτων που πραγματοποιούνται. Είναι γνωστό ότι έως σήμερα οι εταιρίες συνήθως που δέχονται επιθέσεις, προτιμούν να μη δώσουν στοιχεία και λεπτομέρειες καθώς φοβούνται ότι θα πλήξουν τη δημόσια εικόνα τους, τη φήμη, την αξιοπιστία και την εμπιστοσύνη των πελατών τους.
Η οδηγία επιβάλει επίσης ιδιαίτερες υποχρεώσεις στα κράτη μέλη. Τα κράτη θα πρέπει καταρχήν να καταστρώσουν μια εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών και να ορίσουν ένα εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των συστημάτων δικτύου και πληροφοριών («ενιαίο κέντρο επαφής»). Στο πλαίσιο της οδηγίας προβλέπεται επίσης η ίδρυση ενός δικτύου–national CSIRTs (Computer Security Incident Response Teams), γνωστών επίσης ως «ομάδων αντιμετώπισης έκτακτων αναγκών στην πληροφορική» [2] και η σύσταση και λειτουργία μιας «Ομάδας Συνεργασίας»/ Cooperation Group αποτελούμενη από εκπροσώπους των κρατών μελών, της Επιτροπής, του ENISA[3] για την υποστήριξη και διευκόλυνση της στρατηγικής συνεργασίας καθώς και της ανταλλαγής πληροφοριών, και την καλλιέργεια πνεύματος αξιοπιστίας και εμπιστοσύνης.
Υπενθυμίζεται ότι μόλις πριν ένα χρόνο, στη χώρα μας εκσυγχρονίσθηκε το εθνικό νομοθετικό πλαίσιο για το κυβερνοέγκλημα, μετά από πολλά έτη επεξεργασίας του σχετικού νομοθετήματος. Συγκεκριμένα στις 3.8.2016 ψηφίσθηκε ο ν.4411/2016 με τίτλο «Κύρωση της Σύμβασης του Συμβουλίου της Ευρώπης για το έγκλημα στον Κυβερνοχώρο και του Προσθέτου Πρωτοκόλλου της, σχετικά με την ποινικοποίηση πράξεων ρατσιστικής και ξενοφοβικής φύσης, που διαπράττονται μέσω Συστημάτων Υπολογιστών – Μεταφορά στο ελληνικό δίκαιο της Οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης – πλαισίου 2005/222/ΔΕΥ του Συμβουλίου, ρυθμίσεις σωφρονιστικής και αντεγκληματικής πολιτικής και άλλες διατάξεις».
Δεν υπάρχει ωστόσο επίσημη εθνική στρατηγική για την κυβερνοασφάλεια, ενώ υπάρχουν πολλοί διαφορετικοί δημόσιοι αλλά και ιδιωτικοί φορείς που ασχολούνται θεσμικά στο πλαίσιο των αρμοδιοτήτων τους με την αντιμετώπιση του κυβερνοεγκλήματος.
Σε αυτούς περιλαμβάνονται, για παράδειγμα, από πλευράς Υπουργείου αρμόδιου για την Εθνική Άμυνα η Διεύθυνση Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Άμυνας (ΓΕΕΘΑ) αλλά και το ΓΕΕΘΑ ως αρμόδιο για την έκδοση του Εθνικού Κανονισμού Ασφάλειας[4], σχετικά με τις πολιτικές ασφαλείας και τα ειδικά σχέδια που εφαρμόζονται από τα υπουργεία, τις δημόσιες υπηρεσίες και τα Ν.Π.Δ.Δ. που κατέχουν διαβαθμισμένο υλικό. Η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ), σύμφωνα με το ν. 39/2008 είναι υπεύθυνη για το εθνικό CERT (Computer Emergency and Response Team) και αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων[5]. Ταυτόχρονα, αποτελεί Αρχή Ασφάλειας Πληροφοριών (INFOSEC) και φροντίζει για την ασφάλεια των επικοινωνιών και συστημάτων πληροφοριών σε εθνικό επίπεδο, καθώς και για την πιστοποίηση του διαβαθμισμένου (απόρρητου) υλικού των εθνικών επικοινωνιών[6]. Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος με έδρα την Αθήνα, έχει ως αποστολή την πρόληψη, έρευνα και καταστολή των εγκλημάτων ή αντικοινωνικών συμπεριφορών, που διαπράττονται μέσω του διαδικτύου ή άλλων μέσων ηλεκτρονικής επικοινωνίας. Είναι αυτοτελής υπηρεσία που υπάγεται απευθείας στον Αρχηγό της ΕΛΑΣ. Βάσει του νέου για το κυβερνοέγκλημα (α.5) ορίζεται ως το σημείο επαφής για την εκπλήρωση των σκοπών του άρθρου 35 της Σύµβασης («Δίκτυο 24/7»). Στο πλαίσιο του Υπουργείο Εσωτερικών η Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ), καταρτίζει τα σχέδια εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας ΔΔ και Ηλεκτρονικής Διακυβέρνησης. Υπάρχει επίσης το “Κέντρο Μελετών Ασφαλείας(ΚΕΜΕΑ)[7] που υπάγεται στο Υπουργείο Εσωτερικών & Διοικητικής Ανασυγκρότησης και αποτελεί ιδρυτικό μέλος του “Ευρωπαϊκού Οργανισμού Ασφαλείας” στο Βέλγιο[8].
Όσοι ασχολούνται με την κυβερνοασφάλεια συμφωνούν ωστόσο ότι η πρόληψη είναι ο πιο αποφασιστικός παράγοντας για την μείωση της τέλεσης των κυβερνοεπιθέσεων και των κυβερνοεγκλημάτων αυτού του είδους. Όσα χρήματα και αν ξοδέψει κανείς για να προστατευτεί για παράδειγμα από μια διαδικτυακή επίθεση, ο πιο αδύναμος κρίκος παραμένει ο ανθρώπινος παράγοντας καθώς έχει αποδειχθεί ότι μέσω της αποκαλούμενης «κοινωνικής μηχανικής» τελικά η εξαπάτηση, η άγνοια ή η ευήθεια κάποιου ανθρώπου σε θέση κλειδί είναι που θα ανοίξει την «κερκόπορτα» για την διάπραξη ενός ηλεκτρονικού εγκλήματος ή/και την επίθεση σε ένα πληροφοριακό σύστημα[9]. Η πρόληψη είναι προτιμότερη της καταστολής του εγκλήματος και στο πλαίσιο αυτό η δράση φορέων ενημέρωσης και ευαισθητοποίησης για τις δυνατότητες και τις συνέπειες των κυβερνοπεπιθέσεων θα είναι καθοριστική. Η χώρα μας έχει το ανθρώπινο δυναμικό και την τεχνογνωσία να ανταποκρίνεται εγκαίρως στις προκλήσεις της αντιμετώπισης των κυβερνοεπιθέσεων αρκεί να υπάρχει η σχετική θεσμική βούληση και ένας κεντρικός συντονισμός όλων των διεσπαρμένων εμπλεκόμενων φορέων, όπως επιβάλλεται πλέον και από τις νομοθετικές και θεσμικές εξελίξεις σε επίπεδο ΕΕ.
[1] Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση Οδηγίας 95/46/ΕΚ)
[2]Υπάρχει ήδη σε επίπεδο ΕΕ το CSIRT Network, που προάγει την επιχειρησιακή συνεργασία σε περίπτωση συμβάντων κυβερνοασφάλειας. Λειτουργεί ακόμα στο πλαίσιο της πολιτικής ΕΕ για την κυβερνοασφάλεια από τον Ιούνιο του 2013 μια πλατφόρμα ανταλλαγής τεχνογνωσίας για την ασφάλεια των πληροφοριακών συστημάτων με διαθέσιμα δημόσια έγγραφα στην ακόλουθη διεύθυνση, https://resilience.enisa.europa.eu/nis-platform/shared-documents(διαθέσιμη στις 13.09.2016).
[3] The European Network and Information Security Agency (ENISA) εδρεύει στην Ελλάδα και επικεντρώνεται στην ενίσχυση της συνεργασίας για την αντιμετώπιση απειλών και περιστατικών προσβολής της ασφάλειας των πληροφοριών και την ανταλλαγή καλών πρακτικών μεταξύ των κρατών μελών.
[4]Βλ. Π.Δ. 17/1974.
[5]Βλ. α. 4 παρ. 8 ν. 3649/2008.
[6]Βλ. α. 2 παρ. 4 ΠΔ 325/2003.
[7]Βλ. ίδρυση και λειτουργία του με ν. 3387/2005, όπως τροποποιήθηκε με α. 4 Ν. 3938/2011.
[8]Βλ. European Organization for Security – EOS,http://www.eos-eu.com.(διαθέσιμη στις 13.09.2016).
[9]Ο παράγοντας του ανθρώπινου λάθους άλλωστε είναι καίριος και στα συμβάντα σχετικά με την ασφάλεια πληροφοριακών συστημάτων, βλ. Annual Incident Reports 2015, ENISA, σελ. 33.
