Πηγή Εικόνας: απε - μπεΤης Τέτης Ηγουμενίδη
Η υποχρεωτική αναφορά περιστατικών κυβερνοεπίθεσης αποτελεί βασική υποχρέωση που θεσπίζεται με το σε διαβούλευση νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης για την κυβερνοασφάλεια.
Η νέα νομοθεσία αφορά σε περίπου 2.000 οντότητες, φορείς του δημοσίου και ιδιωτικού τομέα, χωρίς να αποκλείεται το νούμερο αυτό να μεγαλώσει στην πορεία εφαρμογής της νέας νομοθεσίας.
Όπως ήδη έχει γράψει το economix (21.10.24) συγκεκριμένα μέτρα για την κυβερνοασφάλεια τους οφείλουν να λάβουν τομείς υψηλής κρισιμότητας όπως, μεταξύ άλλων, επιχειρήσεις, υγείας, ενέργειας, μεταφορών, υποδομών, νερού, χρηματοοικονομικών αγορών και ψηφιακές υποδομές. Για πρώτη φορά οι υποχρεώσεις επεκτείνονται στο δημόσιο τομέα (κεντρική διοίκηση και τοπική αυτοδιοίκηση) στις επιχειρήσεις διαχείρισης Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) του Διαστήματος και των λυμάτων.
Κρίσιμοι τομείς χαρακτηρίζονται επίσης όσοι σχετίζονται με τις ταχυδρομικές υπηρεσίες, την παρασκευή, παραγωγή και διανομή χημικών προϊόντων, μεταποίησης και διανομής τροφίμων, προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων και οι ψηφιακοί πάροχοι όπως επιγραμμικών / διαδικτυακών αγορών, διαδικτυακών μηχανών αναζήτησης, πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης και οργανισμοί έρευνας.
Από τον ιδιωτικό τομέα στη νέα νομοθεσία εντάσσονται οι επιχειρήσεις των προαναφερόμενων τομέων με 50 και πλέον υπαλλήλους και τζίρο από 10 εκατ. μέχρι 50 εκατ. ευρώ (οι μικρομεσαίες) ωστόσο είναι πιθανή η ένταξη και μικρότερων εταιριών εφόσον θεωρηθεί ότι η συνεισφορά τους στην αλυσίδα δραστηριότητας μιας κρίσιμης οντότητας είναι σημαντική.
Σύμφωνα με τον διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ) Μιχάλη Μπλέτσα, η εφαρμογή της νέας νομοθεσίας (ενσωμάτωση της κοινοτικής οδηγίας NIS 2) όσο αφορά τους ελέγχους και την επιβολή προστίμων, θα ξεκινήσει με την υποχρέωση αναφοράς περιστατικών, αρχές του 2025 και θα επεκταθεί σταδιακά στους ελέγχους για την εφαρμογή των προβλεπόμενων μέτρων προστασίας από κυβερνοεπιθέσεις.
Ο κ. Μπλέτσας (ερευνητής και διευθυντής υπολογιστικών συστημάτων του ΜΙΤ Media Lab) σε σχετική με το νομοσχέδιο ενημέρωση επεσήμανε πως «η κυβερνοασφάλεια είναι ομαδικό σπορ και αν δεν μπλέξουμε όλους τους φορείς δεν θα μπορέσουμε να ανεβάσουμε το επίπεδο. Η υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας δεν υπήρχε μέχρι σήμερα. Ως εκ τούτου, δεν είχαμε καλή εικόνα του τοπίου και των αδυναμιών. Δεν μπορείς να βελτιώσεις κάτι που δεν μπορείς να μετρήσεις.».
Σε κάθε περίπτωση οι οντότητες που αφορά η νέα νομοθεσία χρειάζεται να ενημερωθούν άμεσα διαβάζοντας τη νομοθεσία, ενώ το επόμενο διάστημα ενημερωτικό υλικό θα είναι διαθέσιμο στην ιστοσελίδα της ΕΑΚ.
Σχετικά με το επίπεδο στο οποίο βρίσκεται σήμερα η Ελλάδα όσο αφορά την κυβερνοασφάλεια, ο διοικητής της ΕΑΚ, σημειώνει: «Η κυβερνοασφάλεια είναι τεράστιος τομέας που είναι παραμελημένος και στην Ελλάδα και στην ΕΕ, γιατί δεν έχει άμεση συνεισφορά στο τελικό αποτέλεσμα. Στη χώρα μας δεν έχει γίνει ζημιά γιατί είμαστε μικρός στόχος και όχι …ζουμερός.»
Ο κ. Μπλέτσας επισημαίνει ακόμη ότι ο ίδιος και η ΕΑΚ δεν έχουν αρμοδιότητα και δεν πρέπει να ασχολούνται με απλά περιστατικά όπως π.χ. είναι οι επιθέσεις σε ιστοσελίδες ή σε λογαριασμούς μέσων κοινωνικής δικτύωσης, ενώ εφιστά την προσοχή στην δημοσιότητα που λαμβάνουν περιστατικά κυβερνοεπιθέσεων καθώς στις περισσότερες των περιπτώσεων το τι έχει συμβεί δεν γίνεται αμέσως αντιληπτό. «Ο κατηγορητικός λόγος δεν βοηθάει και δεν έχει πολλές φορές σχέση με την πραγματικότητα» υπογραμμίζει.
Να σημειωθεί ότι το μεγαλύτερο πρόβλημα που αντιμετωπίζει αυτή τη στιγμή η ΕΑΚ είναι η στελέχωσή της. Έχει εξασφαλίσει περίπου τα μισά από τα 150 στελέχη που της είναι αναγκαία. Μέχρι στιγμής έχει προσωπικό που μετατάχθηκε από άλλους φορείς του δημοσίου. Ωστόσο, χρειάζεται να επιλυθούν θέματα που άπτονται των αποδοχών της Αρχής καθώς υπήρξαν περιπτώσεις που τεχνικοί έφυγαν από την ΕΑΚ, όχι για να πάνε στον ιδιωτικό τομέα όπως θα υπέθετε κανείς, αλλά σε άλλο φορέα του δημοσίου που προσφέρει καλύτερες αποδοχές. Πάντως, η έλλειψη στελεχών του τομέα κυβερνοασφάλειας αποτελεί παγκόσμιο πρόβλημα.
