Περί τις 2.000 οντότητες (δημόσιους και ιδιωτικούς φορείς) αφορούν οι υποχρεώσεις, όπως η αναφορά περιστατικών κυβερνοεπίθεσης, που θεσπίζει το σε διαβούλευση νομοσχέδιο του Υπουργείου Ψηφιακής Διακυβέρνησης για την κυβερνοασφάλεια.
Οι οντότητες αυτές, οι οποίες είναι πιθανό στην πορεία εφαρμογής της νέας νομοθεσίας να αυξηθούν, οφείλουν να ενημερωθούν άμεσα για τις υποχρεώσεις τους, ενώ το επόμενο διάστημα ενημερωτικό υλικό θα είναι διαθέσιμο στην ιστοσελίδα της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ).
Σύμφωνα με τον διοικητή της ΕΑΚ, Μιχάλη Μπλέτσα, η εφαρμογή της νέας νομοθεσίας (ενσωμάτωση της κοινοτικής οδηγίας NIS 2) όσο αφορά τους ελέγχους και την επιβολή προστίμων θα ξεκινήσει με την υποχρέωση αναφοράς περιστατικών, αρχές του 2025, και θα επεκταθεί σταδιακά στους ελέγχους για την εφαρμογή των προβλεπόμενων μέτρων προστασίας από κυβερνοεπιθέσεις.
Όπως ήδη έχει γράψει το infocom (14.10.24), συγκεκριμένα μέτρα για την κυβερνοασφάλεια τους οφείλουν να λάβουν τομείς υψηλής κρισιμότητας, όπως, μεταξύ άλλων, επιχειρήσεις υγείας, ενέργειας, μεταφορών, υποδομών, νερού, χρηματοοικονομικών αγορών και ψηφιακές υποδομές. Για πρώτη φορά οι υποχρεώσεις επεκτείνονται στον δημόσιο τομέα (κεντρική διοίκηση και τοπική αυτοδιοίκηση), στις επιχειρήσεις διαχείρισης Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ), του διαστήματος και των λυμάτων.
Κρίσιμοι τομείς χαρακτηρίζονται επίσης όσοι σχετίζονται με τις ταχυδρομικές υπηρεσίες, την παρασκευή, παραγωγή και διανομή χημικών προϊόντων, τη μεταποίηση και διανομή τροφίμων, προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων, και οι ψηφιακοί πάροχοι όπως επιγραμμικών/διαδικτυακών αγορών, διαδικτυακών μηχανών αναζήτησης, πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης και οργανισμοί έρευνας.
Από τον ιδιωτικό τομέα στη νέα νομοθεσία εντάσσονται οι επιχειρήσεις των προαναφερόμενων τομέων με 50 και πλέον υπαλλήλους και τζίρο από 10 εκατ. μέχρι 50 εκατ. ευρώ (οι μικρομεσαίες). Ωστόσο, είναι πιθανή η ένταξη και μικρότερων εταιριών, εφόσον θεωρηθεί ότι η συνεισφορά τους στην αλυσίδα δραστηριότητας μιας κρίσιμης οντότητας είναι σημαντική.
Ο κ. Μπλέτσας (ερευνητής και διευθυντής υπολογιστικών συστημάτων του MIT Media Lab) σε σχετική με το νομοσχέδιο ενημέρωση επεσήμανε πως «η κυβερνοασφάλεια είναι ομαδικό σπορ και αν δεν μπλέξουμε όλους τους φορείς, δεν θα μπορέσουμε να ανεβάσουμε το επίπεδο. Η υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας δεν υπήρχε μέχρι σήμερα. Ως εκ τούτου, δεν είχαμε καλή εικόνα του τοπίου και των αδυναμιών. Δεν μπορείς να βελτιώσεις κάτι που δεν μπορείς να μετρήσεις».
Αναφορικά με το επίπεδο της Ελλάδας σήμερα όσο αφορά την κυβερνοασφάλεια, ο διοικητής της ΕΑΚ σημείωσε: «Η κυβερνοασφάλεια είναι τεράστιος τομέας που είναι παραμελημένος και στην Ελλάδα και στην ΕΕ, γιατί δεν έχει άμεση συνεισφορά στο τελικό αποτέλεσμα. Στη χώρα μας δεν έχει γίνει ζημιά γιατί είμαστε μικρός στόχος και όχι …ζουμερός».
Σημειώνεται ότι το μεγαλύτερο πρόβλημα που αντιμετωπίζει αυτή τη στιγμή η ΕΑΚ είναι η στελέχωσή της. Έχει εξασφαλίσει περίπου τα μισά από τα 150 στελέχη που της είναι αναγκαία. Μέχρι στιγμής έχει προσωπικό που μετατάχθηκε από άλλους φορείς του δημοσίου. Ωστόσο, χρειάζεται να επιλυθούν θέματα που άπτονται των αποδοχών της Αρχής, καθώς υπήρξαν περιπτώσεις που τεχνικοί έφυγαν από την ΕΑΚ, όχι για να πάνε στον ιδιωτικό τομέα όπως θα υπέθετε κανείς, αλλά σε άλλο φορέα του δημοσίου που προσφέρει καλύτερες αποδοχές. Πάντως, η έλλειψη στελεχών του τομέα κυβερνοασφάλειας αποτελεί παγκόσμιο πρόβλημα.
Πώς οι πολίτες αντιλαμβάνονται το ζήτημα της κυβερνοασφάλειας
«Η κατανόηση της απειλής από τους πολίτες είναι εξαιρετικά κρίσιμη για τα ζητήματα κυβερνοασφάλειας», επισημαίνεται στο policy paper «Κυβερνοασφάλεια: Πώς θωρακίζουμε το ψηφιακό μέλλον της χώρας;», το οποίο συνοψίζει και εμβαθύνει στα βασικά συμπεράσματα της συζήτησης στρογγυλής τραπέζης που είχε διοργανώσει τον Μάρτιο του 2024 το Center for Cyber Resilience του Οικονομικού Φόρουμ των Δελφών, σε συνεργασία με τον ΕΛΙΑΜΕΠ και με την υποστήριξη της Vodafone Ελλάδας.
Σύμφωνα με την έρευνα της Metron Analysis, που παρουσιάστηκε στο πλαίσιο της προαναφερόμενης συζήτησης, παρότι το 84% των πολιτών δηλώνει πως αντιμετωπίζει κινδύνους στο διαδίκτυο, το 67% είναι αυτό που λαμβάνει μέτρα προστασίας κατά τη διάρκεια της περιήγησής του. Σε αυτά συμπεριλαμβάνονται: α) η επίσκεψη μόνο σε ιστοσελίδες που γνωρίζουν και εμπιστεύονται, β) το μη άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου από αποστολείς που δεν γνωρίζουν, γ) η αποκλειστική χρήση του προσωπικού υπολογιστή και δ) η εγκατάσταση λογισμικού antivirus.
Όπως σημειώνεται, προκαλεί προβληματισμό πως το 38% του γενικού πληθυσμού δηλώνει όχι τόσο (25%) και καθόλου (13%) ενημερωμένο για τους κινδύνους ασφάλειας στο διαδίκτυο. Οι περιστασιακοί χρήστες και οι μεγαλύτερες ηλικίες είναι λιγότερο ενημερωμένοι για τους κινδύνους, ενώ οι περισσότερο ευαισθητοποιημένοι είναι οι νεότεροι ηλικιακά (83% των Millennials), οι υψηλότερης κοινωνικής τάξης και μορφωτικού επιπέδου (78%), και οι φοιτητές (89%).
Το 11% του συνόλου δηλώνει πως έχει πέσει θύμα εγκληματικής δραστηριότητας, κάτι που, ωστόσο, αλλάζει ριζικά στους εντατικούς χρήστες, με το 60% να έχει εντοπίσει κακόβουλο λογισμικό ή παραπλανητικό email.
Το ένα τρίτο των ελληνικών εταιρειών αναφέρει περιστατικά κυβερνοεπίθεσης ή κυβερνοεγκλήματος, που αφορούν κατά κύριο λόγο παραπλανητικά emails και δευτερευόντως κακόβουλο λογισμικό ή χακάρισμα κοινωνικών δικτύων και emails, ενώ ελάχιστα σχετίζονται με παραβίαση προσωπικών δεδομένων πελατών.
Παρά την κλιμάκωση των κινδύνων, οι ελληνικές επιχειρήσεις, και ειδικά οι μεγαλύτερες σε μέγεθος, δηλώνουν σήμερα πιο ασφαλείς και θωρακισμένες συγκριτικά με πέντε χρόνια νωρίτερα, με το 41% να θεωρεί ότι τα προσωπικά δεδομένα είναι πλέον πιο ασφαλή.
Το 85% των επιχειρήσεων δηλώνει ότι λαμβάνει μέτρα ασφάλειας στις ηλεκτρονικές αγορές – συναλλαγές, με την τάση αυτή να είναι εντονότερη μεταξύ των μεγαλύτερων επιχειρήσεων.
Σημαντικά μικρότερο είναι το ποσοστό των επιχειρήσεων που δηλώνει ότι διαθέτει σχέδιο πρόληψης/αντιμετώπισης κυβερνοεπιθέσεων: σχεδόν 6 στις 10 εταιρείες στην Ελλάδα (57%) απαντούν ότι διαθέτουν σχέδιο πρόληψης των περιστατικών κυβερνοασφάλειας, ποσοστό που στις μεγαλύτερες εταιρείες φτάνει το 85%.
Την ίδια στιγμή, αν και η εκπαίδευση θεωρείται κομβικό σημείο, πρακτικά, μόνο 3 στις 10 επιχειρήσεις παρείχαν τον τελευταίο χρόνο εκπαίδευση στο προσωπικό τους σε θέματα ασφάλειας.
Σύμφωνα με το policy paper, υπάρχουν τρεις δομικές παθογένειες για την κυβερνοασφάλεια στην Ελλάδα:
- Ο κατακερματισμός της πολιτικής εσωτερικής ασφάλειας, μιας και σε αυτή ως υποσύνολο εντάσσεται η κυβερνοασφάλεια, μεταξύ διαφορετικών υπουργείων και υπηρεσιών. Μόνο σε επίπεδο βασικών παρόχων ασφάλειας εμπλέκονται τέσσερα διαφορετικά υπουργεία (Προστασίας του Πολίτη, Πολιτικής Προστασίας και Κλιματικής Κρίσης, Ψηφιακής Διακυβέρνησης, Ναυτιλίας και Νησιωτικής Πολιτικής), καθώς και το Υπουργείο Εθνικής Άμυνας και η Ε.Υ.Π.
- Η προβληματική συνεργασία μεταξύ δημοσίου και ιδιωτικού τομέα. Τις περισσότερες κρίσιμες υποδομές, για παράδειγμα, τις διαχειρίζονται ιδιωτικές εταιρείες, οι οποίες έχουν τον δικό τους σχεδιασμό ασφάλειας. Το πρόβλημα ξεκινά από το γεγονός ότι το δημόσιο δεν έχει ένα ολοκληρωμένο πλαίσιο και συγκεκριμένα standards, τα οποία θα πρέπει να ακολουθεί ο διαχειριστής της υποδομής, είτε είναι δημόσιος είτε ιδιωτικός.
- Απουσία κουλτούρας ασφάλειας από το ανθρώπινο δυναμικό που «τρέχει» στην καθημερινότητα τις κρίσιμες υποδομές και δύο δομικά προβλήματα του σχεδιασμού. Το πρώτο είναι η μη αξιοποίηση των μελλοντικών τάσεων. Ο σχεδιασμός ασφάλειας δεν μπορεί να ακολουθεί τις απειλές και τους κινδύνους, αλλά να προσπαθεί να τους προβλέψει ώστε να κινηθεί εμπροσθοβαρώς (Foresight Led Planning). Το δεύτερο είναι η μη επένδυση στην ανάδειξη των τρωτοτήτων. Επιτυχής σχεδιασμός σημαίνει εντοπισμός τρωτοτήτων και θωράκισή τους.