Η κυβερνοασφάλεια αποτελεί έναν από τους σημαντικότερους πυλώνες της Εθνικής Ψηφιακής Στρατηγικής, καθώς είναι αυτή που «χτίζει» την εμπιστοσύνη των πολιτών στις ΤΠΕ.
Καθώς η κοινωνία μας εξαρτάται όλο και περισσότερο από τα συστήματα επικοινωνιών και πληροφορικής, η ασφάλειά τους αποτελεί πλέον μείζον θέμα εθνικού ενδιαφέροντος, ενώ ταυτόχρονα παρατηρείται μία συνεχώς αυξανόμενη ανάγκη για προστασία των χρηστών ψηφιακών υπηρεσιών και ιδίως εκείνων που είναι σε νεαρή ηλικία.
Στο πλαίσιο αυτό το υπουργείο Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης (ΥΨΗΠΤΕ) κατέθεσε το σχέδιο νόμου για την ενσωμάτωση της Οδηγίας 216/1148 του Ευρωπαϊκού Κοινοβουλίου σχετικά με τα μέτρα που θα διασφαλίσουν το υψηλό επίπεδο ασφαλείας συστημάτων και πληροφοριών στην ΕΕ.
Παράλληλα έχει ήδη εγκριθεί η Εθνική Στρατηγική Κυβερνοασφάλειας, τη συνολική ευθύνη για την εφαρμογή της οποίας έχει η Εθνική Αρχή Κυβερνοασφάλειας, που συστάθηκε και λειτουργεί στη Γενική Γραμματεία Ψηφιακής Πολιτικής του Υπουργείου Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης. Η Αρχή αυτή, ως φορέας υψηλού πολιτικού-κυβερνητικού επιπέδου με εξειδικευμένα στελέχη, παρακολουθεί και υλοποιεί τις δράσεις της Εθνικής Στρατηγικής Κυβερνοασφάλειας και είναι αρμόδια για το συντονισμό μεταξύ των φορέων που δραστηριοποιούνται στην Ελλάδα στον τομέα της ασφάλειας στον κυβερνοχώρο.
Την ίδια στιγμή η χώρα μας κατάφερε ουσιαστικά να μετατραπεί σε μόνιμη έδρα του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ύστερα από την υπογραφή αναθεώρησης της συμφωνίας για την έδρα του μεταξύ του υπουργού, κ. Νίκου Παππά και του εκτελεστικού διευθυντή του ENISA, καθηγητή Udo Helmbrecht. Πρόκειται για μία ιδιαίτερα σημαντική εξέλιξη καθώς ο ENISA θα προσελκύσει υψηλών προσόντων ανθρώπινο δυναμικό από όλη την Ευρώπη.
Να σημειωθεί ότι με τον νέο κανονισμό που υπεγράφη, ο ENISA έχει κομβικό ρόλο στην πρόληψη και αντιμετώπιση των κυβερνοεπιθέσεων, την τυποποίηση και τη διαχείριση των κινδύνων ασφάλειας, ενώ ορίζεται ως Ευρωπαϊκή Αρχή κυβερνοασφάλειας.
Για το υπουργείο αλλά και τη Γενική Γραμματεία Ψηφιακής Πολιτικής η θωράκιση των κρίσιμων υποδομών της χώρας από τις κυβερνο-απειλές αποτελεί ζήτημα πρώτης προτεραιότητας. Ταυτόχρονα ιδιαίτερη σημασία δίνεται στην καλλιέργεια κλίματος εμπιστοσύνης στους πολίτες καθώς αυτοί είναι που θα κληθούν να προβούν σε ψηφιακές συναλλαγές, οι οποίες με τη σειρά τους αποτελούν προϋπόθεση για την ανάπτυξη της ψηφιακής οικονομίας που αποτελεί και το μέλλον της Ελλάδας.
Το νομοσχέδιο που εισήχθη στη Βουλή:
– Δημιουργεί ενισχυμένο πλαίσιο ασφάλειας για συστήματα δικτύου και πληροφοριών σε εναρμόνιση με τα υπόλοιπα κράτη-μέλη της ΕΕ.
– Ορίζει τρεις εθνικές αρχές και το γενικό πλαίσιο λειτουργίας τους, εκ των οποίων η Εθνική Αρχή Κυβερνοασφάλειας και το Εθνικό Ενιαίο Κέντρο Επαφής ορίζονται εντός του ΥΨΗΠΤΕ ενώ η τρίτη, που είναι και η αρμόδια Αρχή για την άμεση ανταπόκριση σε περιστατικά Ασφάλειας (CSIRT) ορίζεται σε Υπουργείο με τεχνογνωσία στον τομέα αυτό, στο ΥΠΕΘΑ, χωρίς να θίγονται υφιστάμενες διατάξεις περί ασφάλειας και απορρήτου ή ειδικές διατάξεις ή τομεακών ευρωπαϊκών πολιτικών. Η Εθνική Αρχή Κυβερνοασφάλειας βρίσκεται σε συνεργασία με τις αρμόδιες ρυθμιστικές/εποπτικές αρχές και τους λοιπούς εμπλεκόμενους εθνικούς φορείς.
– Αφορά κρίσιμους τομείς της κοινωνικοοικονομικής ζωής: ενέργεια, μεταφορές, τράπεζες, χρηματοπιστωτικές υπηρεσίες, υγεία, πόσιμο νερό, ψηφιακές υποδομές.
– Καθορίζει τους εμπλεκόμενους ιδιωτικούς και δημόσιους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) καθώς επίσης και τα κριτήρια που ορίζουν τα σοβαρά περιστατικά ασφάλειας. Η σοβαρότητα των συμβάντων, για τα οποία απαιτείται γνωστοποίηση κρίνεται από τον αριθμό των χρηστών που επηρεάζονται από τη διατάραξη, από τη διάρκεια των συμβάντων και από το γεωγραφικό εύρος της περιοχής που επηρεάζεται.
– Προβλέπει υποχρεώσεις κοινοποίησης συμβάντων για τους ΦΕΒΥ και τους παρόχους ψηφιακών υπηρεσιών προς το κράτος αλλά και λήψης μέτρων προστασίας. Σε περίπτωση μη συμμόρφωσης ορίζει χρηματικά πρόστιμα που φτάνουν έως και τα 200.000 ευρώ εάν υπάρχει υποτροπή.
Αποτελεί λοιπόν αυτονόητη υποχρέωση της Πολιτείας και όλων των εμπλεκομένων στη διαμόρφωση πολιτικών και ανάπτυξης των ΤΠΕ η θωράκιση των συστημάτων έναντι των κυβερνοεπιθέσεων που θα εγγυάται την προστασία της ιδιωτικότητας των πολιτών, τη δημόσια ασφάλεια και σε τελική ανάλυση την ίδια τη δημοκρατία.
Ωστόσο η νομοθετική θωράκιση δεν είναι από μόνη της αρκετή. Θα πρέπει να συνδυαστεί με άλλες πρωτοβουλίες και δράσεις ενημέρωσης των πολιτών για τους τρόπους αυτοπροστασίας σε κυβερνοεπιθέσεις αλλά και για τα δικαιώματά τους όταν τα δεδομένα τους αποτελούν αντικείμενο επεξεργασίας από τρίτους.
Στην κατεύθυνση αυτή κινείται η Γενική Γραμματεία Ψηφιακής Πολιτικής δίνοντας ιδιαίτερη σημασία στα θέματα ασφάλειας στο σχεδιασμό των έργων ΤΠΕ. Γι’ αυτόν το λόγο ορίζουμε απαιτήσεις και κανόνες ασφαλείας που αποτελούν αναπόσπαστο μέρος του κάθε έργου ΤΠΕ του δημοσίου (security by default) και ενσωματώνονται σε αυτά από τη φάση της σχεδίασης (security by design), ως απαραίτητη προϋπόθεση των αρχών του ενιαίου σχεδιασμού.
* Ο Στέλιος Ράλλης είναι γενικός γραμματέας Ψηφιακής Πολιτικής
ΑΠΕ-ΜΠΕ
