Ο Μιχάλης Μπλέτσας, Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, μιλώντας στο InfoCom, τονίζει πως «η κυβερνοασφάλεια είναι ένας πολύ σημαντικός και συχνά παραμελημένος παράγοντας για την ομαλή λειτουργία της κοινωνίας». Αναφέρεται στις προκλήσεις που αντιμετωπίζει η χώρα στον τομέα της κυβερνοασφάλειας, όπως η έλλειψη εξειδικευμένου προσωπικού, υπογραμμίζοντας τη σημασία της διεθνούς συνεργασίας και σημειώνοντας πως, παρά την πρόοδο που έχει σημειωθεί, «έχουμε μακρύ δρόμο να διανύσουμε». Θέτει, παράλληλα, ως βασικό στόχο την ταχεία ανάπτυξη και ενίσχυση της Εθνικής Αρχής Κυβερνοασφάλειας.
I.C.: Ποιοι λόγοι σας ώθησαν να αποδεχτείτε την πολύ σημαντική θέση του Διοικητική της Εθνικής Αρχή Κυβερνοασφάλειας; Ποιοι είναι οι βασικοί στόχοι πο υ θέτετε για τα πρώτα χρόνια της λειτουργίας της;
Μ.Μ.: H κυβερνοασφάλεια είναι ένας πολύ σημαντικός και συχνά παραμελημένος παράγοντας για την ομαλή λειτουργία της κοινωνίας σήμερα. Από τη στιγμή που η Ευρωπαϊκή Ένωση και η Ελληνική Κυβέρνηση αποφάσισαν να δώσουν μεγαλύτερο βάρος σε αυτή, θεώρησα ότι το στήσιμο της Εθνικής Αρχής αποτελεί για εμένα μία σημαντική πρόκληση, σε προσωπικό και επαγγελματικό επίπεδο, και αποδέχθηκα με χαρά την πρόσκληση του υπουργού Ψηφιακής Διακυβέρνησης. Βραχυπρόθεσμα, σκοπός μου είναι να στηθεί η Αρχή όσο το δυνατόν πιο γρήγορα στα πόδια της. Μακροπρόθεσμα, η αξιολόγηση της χώρας από την ENISA στον τομέα της κυβερνοασφάλειας, να ανέβει από λίγο κάτω από τον μέσο όρο της ΕΕ, στις υψηλότερες θέσεις της σχετικής βαθμολογίας.
I.C.: Ποιες είναι οι κύριες προκλήσεις που αντιμετωπίζετε ως Εθνική Αρχή Κυβερνοασφάλειας, με βάση τις σύγχρονες απειλές που μπορεί να αντιμετωπίζουμε ως χώρα; Μπορείτε να ιεραρχήσετε τους σημαντικότερους κινδύνους στον κυβερνοχώρο σήμερα;
Μ.Μ.: Η κύρια πρόκληση που αντιμετωπίζουμε αυτή την στιγμή είναι η έλλειψη εξειδικευμένου προσωπικού, η οποία γίνεται όλο και πιο αισθητή, καθώς όλο και περισσότερες λειτουργίες της καθημερινότητας μας, ψηφιοποιούνται. Το γεγονός ότι η ΕΑΚ είναι ΝΠΔΔ, μας δημιουργεί επιπλέον δυσκολίες, δεδομένου ότι οι αμοιβές του προσωπικού μας, είναι οι δεύτερες χαμηλότερες στην ΕΕ. Δε νομίζω ότι η Ελλάδα διαφέρει δραστικά από την υπόλοιπη Δύση, επομένως χωρίς ιεράρχηση θα αναφέρω το κυβερνοέγκλημα, την παραπληροφόρηση και το «τηλεσαμποτάζ», σαν τους μεγαλύτερους κινδύνους στον κυβερνοχώρο. Ένας από τους τομείς στους οποίους η χώρα υστερεί σημαντικά, είναι στην αναφορά των περιστατικών, κάτι που δεν μας επιτρέπει να έχουμε ξεκάθαρη εικόνα, και η βελτίωση του οποίου αποτελεί προτεραιότητα για την αρχή.
I.C.: Πώς αξιολογείτε το υπάρχον θεσμικό πλαίσιο για την κυβερνοασφάλεια στην Ευρώπη και στην Ελλάδα; Ποια είναι τα επόμενα βήματα για την εφαρμογή του και τη συμμόρφωση; Υπάρχουν σημεία που χρειάζονται ιδιαίτερη προσοχή ή βελτίωση;
Μ.Μ.: Το υπάρχον θεσμικό πλαίσιο στην Ευρώπη και στην Ελλάδα είναι ξεκάθαρα ανεπαρκές, γι’ αυτό και όλα τα κράτη-μέλη της ΕΕ ετοιμάζονται για την εφαρμογή της Ευρωπαϊκής Οδηγίας NIS2, της οποίας οι εφαρμοστικοί νόμοι θα πρέπει να τεθούν σε ισχύ έως τις 18 Οκτωβρίου. Η NIS2 επιβάλλει πολύ πιο αυστηρούς κανονισμούς σε όλες τις πτυχές της κυβερνοασφάλειας, από τις υποχρεώσεις αναφοράς περιστατικών, τις τεχνικές προδιαγραφές, το διευρυμένο πεδίο εφαρμογής και εποπτείας, έως τις νομικές ευθύνες της διοίκησης των εποπτευόμενων οργανισμών. Βασικό μέλημα της αρχής αποτελεί η ρεαλιστικότητα και η αποτελεσματικότητα του ρυθμιστικού πλαισίου, έτσι ώστε αυτό να δημιουργήσει τις κατάλληλες συνθήκες για την ανάπτυξη του ελληνικού οικοσυστήματος κυβερνοασφάλειας.
I.C.: Θα μπορούσατε να συγκρίνετε την Ελλάδα με άλλες χώρες, σε ό,τι αφορά στο επίπεδο προστασίας και τους αμυντικούς μηχανισμούς κυβερνοασφάλειας; Υπάρχουν διεθνή παραδείγματα ή success stories που θα μπορούσαμε να ακολουθήσουμε;
Μ.Μ.: Με βάση την ετήσια αξιολόγηση της ENISA, η Ελλάδα βρίσκεται λίγο πιο κάτω από τον μέσο όρο των κρατών-μελών της ΕΕ. Η προσωπική μου εντύπωση, στον λίγο χρόνο που ηγούμαι της Αρχής, βασιζόμενος στις πολύ λίγες αναφορές περιστατικών που έχω δει, είναι ότι η έκθεση της ENISA είναι μάλλον ιδιαίτερα επιεικής. Έχουμε μακρύ δρόμο να διανύσουμε, και ευτυχώς πολλά παραδείγματα καλών πρακτικών να αντιγράψουμε. Εσθονία και Βέλγιο, για παράδειγμα, έχουν να μας δείξουν πολλές καλές πρακτικές, χωρίς να χρειαστεί να βγούμε έξω από τα σύνορα της ΕΕ.
I.C.: Ποιο είναι το σχέδιό σας, για την ενίσχυση της ανθεκτικότητας των κρίσιμων υποδομών της Ελλάδας, απέναντι στις διάφορες κυβερνοεπιθέσεις; Ποιες είναι οι υποδομές στις οποίες πρέπει να δώσουμε προτεραιότητα;
Μ.Μ.: Βασική αρχή αποτελεί ότι δεν μπορείς να βελτιώσεις κάτι το οποίο δεν μπορείς να μετρήσεις. Η ΕΑΚ, σαν συντονιστικό όργανο, χρειάζεται να συνεχίσει να επικαιροποιεί και να εμπλουτίζει το μητρώο των εποπτευόμενων οργανισμών, το οποίο θα μεγαλώσει πολύ με την εφαρμογή της NIS2. Προφανώς η προτεραιότητα μίας υποδομής καθορίζεται από το πόσο επώδυνη για την κοινωνία είναι η οποιαδήποτε δυσλειτουργία της, και αυτό παραμένει ως κριτήριο για την κυβερνοασφάλεια, μιας και όλες οι υποδομές έχουν πλέον κάποια έμμεση ή άμεση σύνδεση με τον κυβερνοχώρο. Δεδομένης της διευρυμένης εποπτείας που επιβάλλει η NIS2, η προτεραιοποίηση είναι πολύ σημαντική, και όχι πάντα προφανής. Από εκεί και πέρα, η συμμόρφωση με τις απαιτήσεις της NIS2 θα ανεβάσει πολύ το επίπεδο ασφαλείας, οπότε η ανάπτυξη ενός πλαισίου ελέγχου της συμμόρφωσης αυτής, αποτελεί προτεραιότητα για την ΕΑΚ.
I.C.: Ποια είναι η γνώμη σας για τη διεθνή συνεργασία στην αντιμετώπιση των κυβερνοαπειλών, και τί βήματα σκοπεύετε να κάνετε για να προωθήσετε τη συνεργασία αυτή;
Μ.Μ.: Είναι προφανές ότι μία χώρα με μικρό τεχνολογικό αποτύπωμα, όπως η Ελλάδα, δεν μπορεί παρά να δίνει μεγάλη σημασία στη διεθνή συνεργασία. Η προπομπός της Αρχής, η Γενική Διεύθυνση Κυβερνοασφάλειας του υπουργείου Ψηφιακής Διακυβέρνησης, είχε να δείξει σημαντική δραστηριότητα στον συγκεκριμένο τομέα, κάτι το οποίο αναγνωρίζεται από την ΕΕ, και το οποίο θα συνεχιστεί και θα επεκταθεί από την Αρχή και εκτός ΕΕ. Σε πιο πρακτικό επίπεδο, έργα για την αυτοματοποιημένη ανταλλαγή πληροφορίας περιστατικών ασφαλείας μεταξύ των διαφόρων Επιχειρησιακών Κέντρων Ασφαλείας (SOC) είναι ήδη σε εξέλιξη.
I.C.: Πόσο σημαντικός είναι ο ρόλος της εκπαίδευσης, και της ευαισθητοποίησης ευρύτερα, των πολιτών στα ζητήματα ψηφιακής ασφάλειας στη χώρα μας; Θα αναλάβετε κάποια σχετική πρωτοβουλία ως Εθνική Αρχή Κυβερνοασφάλειας;
Μ.Μ.: H ενημέρωση του κοινού είναι εξαιρετικά σημαντική, και η ΕΑΚ θα δραστηριοποιηθεί έντονα στον συγκεκριμένο τομέα. Οι τράπεζες είναι ένα καλό παράδειγμα της αναγκαιότητας για ενημέρωση. Παρ’ όλο που τα συστήματα τους είναι πολύ ασφαλή, και επενδύουν περισσότερο από οποιοδήποτε άλλο τομέα στην κυβερνοασφάλεια, λόγω της δραστηριότητάς τους έχουν τα περισσότερα περιστατικά κυβερνοεγκλήματος. Αυτό μας σπρώχνει προς μία πιο ολιστική προσέγγιση, που θα δίνει έμφαση στην ενημέρωση των χρηστών των υπηρεσιών, και όχι μόνο στην ασφάλεια των συστημάτων, που θεωρητικά αποτελεί την κύρια αποστολή της ΕΑΚ.
I.C.: Ισχύει ότι η βασική παράμετρος στα ζητήματα κυβερνοασφάλειας παραμένει ο άνθρωπος, γι’ αυτό η ζήτηση για ταλέντα και επαγγελματίες σε αυτό τον τομέα είναι μεγάλη. Πως σκοπεύετε να διαχειριστείτε αυτή την απαίτηση, και ποιες συμβουλές θα δίνατε στους νέους που ενδιαφέρονται για μία καριέρα σε αυτό τον τομέα;
Μ.Μ.: Η έλλειψη εξειδικευμένου προσωπικού κυβερνοασφάλειας είναι το κυρίαρχο πρόβλημα σε παγκόσμιο επίπεδο. Η στενή συνεργασία με όλους τους εμπλεκομένους φορείς, ιδιωτικούς και δημόσιους, είναι μονόδρομος εάν θέλουμε να εκμεταλλευτούμε στο έπακρο τις δυνατότητες που έχει το ανθρώπινο δυναμικό μας. Ταυτόχρονα θα προσπαθήσουμε να συνδέσουμε πιο στενά τα πανεπιστήμια και τα ερευνητικά μας κέντρα, με τις ανάγκες της ΕΑΚ, και να δημιουργήσουμε έτσι ένα οικοσύστημα ανάπτυξης δεξιοτήτων. Η συμβουλή που θα έδινα στους νέους που θέλουν να ασχοληθούν με την κυβερνοασφάλεια, είναι να φροντίσουν να θεμελιώσουν στις σπουδές τους, τις βάσεις που θα τους επιτρέψουν να μπορούν να προσαρμόζονται εύκολα στις ραγδαίες εξελίξεις του τομέα. Η κυβερνοασφάλεια, εκτός από τους μηχανικούς πληροφορικής, χρειάζεται νομικούς, ψυχολόγους, ειδικούς στην αλληλεπίδραση ανθρώπου-μηχανής, και ανθρώπους ευπροσάρμοστους σε ένα περιβάλλον που αλλάζει συνεχώς.
Η συνέντευξη δημοσιεύθηκε στο περιοδικό Infocom