Η κυβερνοασφάλεια αποτελεί έναν από τους σημαντικότερους πυλώνες της Εθνικής Ψηφιακής Στρατηγικής, καθώς είναι αυτή που «χτίζει» την εμπιστοσύνη των πολιτών στις ΤΠΕ.
Καθώς η κοινωνία μας εξαρτάται όλο και περισσότερο από τα συστήματα επικοινωνιών και πληροφορικής, η ασφάλειά τους αποτελεί πλέον μείζον θέμα εθνικού ενδιαφέροντος, ενώ ταυτόχρονα παρατηρείται μία συνεχώς αυξανόμενη ανάγκη για προστασία των χρηστών ψηφιακών υπηρεσιών και ιδίως εκείνων που είναι σε νεαρή ηλικία.
Παράλληλα έχει ήδη εγκριθεί η Εθνική Στρατηγική Κυβερνοασφάλειας, τη συνολική ευθύνη για την εφαρμογή της οποίας έχει η Εθνική Αρχή Κυβερνοασφάλειας, που συστάθηκε και λειτουργεί στη Γενική Γραμματεία Ψηφιακής Πολιτικής του Υπουργείου Ψηφιακής Πολιτικής Τηλεπικοινωνιών και Ενημέρωσης.
Η Αρχή αυτή, ως φορέας υψηλού πολιτικού-κυβερνητικού επιπέδου με εξειδικευμένα στελέχη, παρακολουθεί και υλοποιεί τις δράσεις της Εθνικής Στρατηγικής Κυβερνοασφάλειας και είναι αρμόδια για το συντονισμό μεταξύ των φορέων που δραστηριοποιούνται στην Ελλάδα στον τομέα της ασφάλειας στον κυβερνοχώρο.
Να σημειωθεί ότι με τον νέο κανονισμό που υπεγράφη, ο ENISA έχει κομβικό ρόλο στην πρόληψη και αντιμετώπιση των κυβερνοεπιθέσεων, την τυποποίηση και τη διαχείριση των κινδύνων ασφάλειας, ενώ ορίζεται ως Ευρωπαϊκή Αρχή κυβερνοασφάλειας.
Το νομοσχέδιο που εισήχθη στη Βουλή:
– Δημιουργεί ενισχυμένο πλαίσιο ασφάλειας για συστήματα δικτύου και πληροφοριών σε εναρμόνιση με τα υπόλοιπα κράτη-μέλη της ΕΕ.
– Ορίζει τρεις εθνικές αρχές και το γενικό πλαίσιο λειτουργίας τους, εκ των οποίων η Εθνική Αρχή Κυβερνοασφάλειας και το Εθνικό Ενιαίο Κέντρο Επαφής ορίζονται εντός του ΥΨΗΠΤΕ ενώ η τρίτη, που είναι και η αρμόδια Αρχή για την άμεση ανταπόκριση σε περιστατικά Ασφάλειας (CSIRT) ορίζεται σε Υπουργείο με τεχνογνωσία στον τομέα αυτό, στο ΥΠΕΘΑ, χωρίς να θίγονται υφιστάμενες διατάξεις περί ασφάλειας και απορρήτου ή ειδικές διατάξεις ή τομεακών ευρωπαϊκών πολιτικών. Η Εθνική Αρχή Κυβερνοασφάλειας βρίσκεται σε συνεργασία με τις αρμόδιες ρυθμιστικές/εποπτικές αρχές και τους λοιπούς εμπλεκόμενους εθνικούς φορείς.
– Αφορά κρίσιμους τομείς της κοινωνικοοικονομικής ζωής: ενέργεια, μεταφορές, τράπεζες, χρηματοπιστωτικές υπηρεσίες, υγεία, πόσιμο νερό, ψηφιακές υποδομές.
– Καθορίζει τους εμπλεκόμενους ιδιωτικούς και δημόσιους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) καθώς επίσης και τα κριτήρια που ορίζουν τα σοβαρά περιστατικά ασφάλειας. Η σοβαρότητα των συμβάντων, για τα οποία απαιτείται γνωστοποίηση κρίνεται από τον αριθμό των χρηστών που επηρεάζονται από τη διατάραξη, από τη διάρκεια των συμβάντων και από το γεωγραφικό εύρος της περιοχής που επηρεάζεται.
– Προβλέπει υποχρεώσεις κοινοποίησης συμβάντων για τους ΦΕΒΥ και τους παρόχους ψηφιακών υπηρεσιών προς το κράτος αλλά και λήψης μέτρων προστασίας. Σε περίπτωση μη συμμόρφωσης ορίζει χρηματικά πρόστιμα που φτάνουν έως και τα 200.000 ευρώ εάν υπάρχει υποτροπή.
Αποτελεί λοιπόν αυτονόητη υποχρέωση της Πολιτείας και όλων των εμπλεκομένων στη διαμόρφωση πολιτικών και ανάπτυξης των ΤΠΕ η θωράκιση των συστημάτων έναντι των κυβερνοεπιθέσεων που θα εγγυάται την προστασία της ιδιωτικότητας των πολιτών, τη δημόσια ασφάλεια και σε τελική ανάλυση την ίδια τη δημοκρατία.
Ωστόσο η νομοθετική θωράκιση δεν είναι από μόνη της αρκετή. Θα πρέπει να συνδυαστεί με άλλες πρωτοβουλίες και δράσεις ενημέρωσης των πολιτών για τους τρόπους αυτοπροστασίας σε κυβερνοεπιθέσεις, αλλά και για τα δικαιώματά τους όταν τα δεδομένα τους αποτελούν αντικείμενο επεξεργασίας από τρίτους.
Γι’ αυτόν το λόγο ορίζουμε απαιτήσεις και κανόνες ασφαλείας που αποτελούν αναπόσπαστο μέρος του κάθε έργου ΤΠΕ του δημοσίου (security by default) και ενσωματώνονται σε αυτά από τη φάση της σχεδίασης (security by design), ως απαραίτητη προϋπόθεση των αρχών του ενιαίου σχεδιασμού.
* Ο Στέλιος Ράλλης είναι γενικός γραμματέας Ψηφιακής Πολιτικής – Το κείμενο δημοσιεύθηκε στο ΑΠΕ-ΜΠΕ
Το σύστημα Patriot ή τις κυρώσεις: Τελεσίγραφο της Ουάσιγκτον στον Ερντογάν για τους S-400