Δημήτρης Μαλλάς
Ψηλά στην ατζέντα της κυβέρνησης βρίσκεται το θέμα της κυβερνοασφάλειας όπου η Ελλάδα παραμένει αρκετά πίσω σε σχέση με την Ευρώπη και το πλάνο είναι να γίνουν όσο περισσότερες δράσεις στο προσεχές μέλλον.
Μιλώντας σήμερα το πρωί στο συνέδριο της KPMG για την κυβερνοασφάλεια, ο αρμόδιος υπουργός Ψηφιακής Διακυβέρνησης, Κυριάκος Πιερρακάκης ανακοίνωσε ότι εξέδωσε την απαιτούμενη από το νόμο 4577/2018 υπουργική απόφαση, η οποία θεσπίζει κανόνες για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, εκπληρώνοντας με αυτό τον τρόπο μια ιδιαίτερα σημαντική υποχρέωση της χώρας απέναντι στην Ευρωπαϊκή Ένωση.
Η υπουργική απόφαση αφορά την έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, της διαδικασίας παροχής πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες αρχές, τη μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) καθώς και τη μεθοδολογία αξιολόγησης και ελέγχου του επιπέδου ασφάλειας των συστημάτων αυτών.
Ο υπουργός ανέφερε ότι με βάση την υπουργική αυτή απόφαση, να σχεδιάζει και να ορίζει τις απαιτήσεις για την εφαρμογή μίας «Ενιαίας Πολιτικής Ασφάλειας». Σύμφωνα με τον υπουργό, με αυτό τον τρόπο εξασφαλίζεται η ύπαρξη ενός ελάχιστου βασικού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, το οποίο είναι ενιαίο για όλους, καθώς επίσης θεσπίζονται και οι κανόνες ελέγχου της τήρησής του. Σκοπός της ενιαίας πολιτικής ασφαλείας είναι μεταξύ άλλων η διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων, συστημάτων και υπηρεσιών έναντι εκούσιων ή ακούσιων απειλών, η ικανοποίηση των νομικών και κανονιστικών απαιτήσεων σχετικών με την ασφάλεια και προστασία δεδομένων και η επιχειρησιακή συνέχεια των βασικών υπηρεσιών του Οργανισμού έναντι περιστατικών κυβερνοεπιθέσεων. Όσον αφορά τις βασικές αρχές ασφαλείας αυτές είναι τρεις: η αναγνώριση, η προστασία και η αντιμετώπιση.
Στο δεύτερο μέρος της υπουργικής απόφασης αναφέρονται οι διαδικασίες που ακολουθούνται σε περιπτώσεις συμβάντων ασφαλείας. Αρχικά, δίνεται ο ακριβής προσδιορισμός ενός συμβάντος ως «σοβαρή διατάραξη» για τους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών. Έτσι, ως σοβαρή διατάραξη θεωρείται ένα συμβάν που υπάγεται σε μια από τις ακόλουθες περιστάσεις:
α) Κάθε συμβάν κατά το οποίο η συνέχεια της υπηρεσίας που παρέχεται από τον φορέα επηρεάζεται για πάνω από 100.000 χρηστοώρες.
β) Κάθε συμβάν που επηρεάζει πληθυσμό τουλάχιστον 50.000 χρηστών .
γ) Απειλή σε ανθρώπινη ζωή.
δ) το συμβάν έχει προκαλέσει υλικές ζημιές στον ίδιο τον φορέα ή σε άλλους φορείς που υπερβαίνουν το 1.000.000 ευρώ.
Το τρίτο μέρος, όπως ανέφερε ο κ. Πιερρακάκης, αφορά στη διαδικασία ελέγχου των οργανισμών από την Εθνική Αρχή Κυβερνοασφάλειας και το τέταρτο στις ενδεχόμενες κυρώσεις σε περίπτωση που διαπιστωθεί η μη τήρηση των απαιτούμενων μέτρων ασφαλείας. Οι κυρώσεις αυτές είναι η σύσταση, η επίπληξη και, σε περιπτώσεις μη συμμόρφωσης του οργανισμού, το διοικητικό πρόστιμο.
Ο υπουργός Ψηφιακής Διακυβέρνησης τόνισε αρκετές φορές κατά την ομιλία του ότι η Ελλάδα είναι πίσω στον τομέα της κυβερνοασφάλειας και επεσήμανε ότι στα πλάνα του υπουργείου είναι να επανεξεταστεί η εθνική στρατηγική για την κυβερνοασφάλεια, ενώ θα υπάρξουν και αρκετά έργα επί του συγκεκριμένου τομέα.