Ψηφιακή θωράκιση στις κρίσιμες υποδομές της χώρας

260

Η υπουργική απόφαση με την οποία οι φορείς εκμετάλλευσης «βασικών υπηρεσιών» καλούνται να λάβουν τα σχετικά μέτρα.

Κωδικός «κυβερνοασφάλεια». Ετσι, εφεξής οι υπουργοί και τα άλλα στελέχη υπουργείων και υπηρεσιών δεν μπορούν πλέον να βάζουν κωδικούς 1, 2, 3, 4, 5, 6, 7… στους επιτραπέζιους υπολογιστές τους και νοσοκομεία, οργανισμοί και άλλοι φορείς του δημοσίου που χειρίζονται ή εποπτεύουν κρίσιμες υποδομές του κοινωνικού συνόλου δεν μπορούν να συνάπτουν συμβάσεις για προμήθεια δικτύων ή υποστήριξής τους χωρίς αντίστοιχες συμβάσεις συντήρησης.

Η εποχή της ανεμελιάς για τα δίκτυα των λεγόμενων κρίσιμων υποδομών –είτε αυτά λειτουργούν στο πλαίσιο δημόσιων είτε ιδιωτικών φορέων– παίρνει τέλος. Νοσοκομεία με πάνω από 500 κλίνες, αεροδρόμια με πάνω από το 10% της επιβατικής κίνησης, συστημικές τράπεζες, σιδηροδρομικές εταιρείες, διυλιστήρια, εταιρείες εμπορίας ρεύματος και αερίου, λιμάνια που διακινούν πάνω από 400.000 εμπορευματοκιβώτια (TEUS), κλειστοί αυτοκινητόδρομοι όπως η Αττική Οδός οφείλουν να προστατεύουν τα δίκτυά τους, να τηρούν αντίγραφα ασφαλείας και να αξιολογούν συχνά-πυκνά τα μέτρα προστασίας τους από ανεπιθύμητους εισβολείς.

Τις επόμενες ημέρες ο υπουργός Ψηφιακής Διακυβέρνησης Κυριάκος Πιερρακάκης στέλνει στους φορείς εκμετάλλευσης «βασικών υπηρεσιών», όπως αποκαλούνται στη γλώσσα του Ελληνα νομοθέτη οι φορείς που λειτουργούν κρίσιμες υποδομές, έγγραφο με το οποίο οι φορείς που ορίστηκαν ως τέτοιοι καλούνται να λάβουν τα εξής μέτρα:

1. Να ορίσουν υπεύθυνο κυβερνοασφάλειας το αργότερο δύο μήνες μετά τη δημοσίευση σχετικής υπουργικής απόφασης, δηλαδή ώς τις 8 Δεκεμβρίου 2019.

2. Να προχωρήσουν στην αυτοαξιολόγηση των μέτρων που έχουν λάβει το αργότερο έξι μήνες μετά την έκδοση του οδηγού που θα τους στείλει η Διεύθυνση Κυβερνοασφάλειας (σ.σ. σύμφωνα με πληροφορίες της «Κ» η αποστολή του οδηγού θα γίνει σχετικά γρήγορα).

3. Να κοινοποιήσουν περιστατικά παραβιάσεων (περιπτώσεις σοβαρής διατάραξης) στην αρμόδια «Ομάδα Αντιμετώπισης (Computer Security Incident Response Team – CSIRT)» και στη Δ/νση Κυβερνοασφάλειας, χωρίς αδικαιολόγητη καθυστέρηση.

Επίσης, σύμφωνα με τη σχετική υπουργική απόφαση:

• Η πρόσβαση (φυσική ή με ηλεκτρονικά μέσα) στα συστήματα δικτύου και πληροφοριών και στις συναφείς εγκαταστάσεις, περιορίζεται στους εξουσιοδοτημένους προς τούτο χρήστες, διεργασίες και συσκευές. Για τον σκοπό αυτό γίνεται χρήση κατάλληλων μηχανισμών «αυθεντικοποίησης και διαδικασιών ελέγχου πρόσβασης».

• Τα συστήματα και οι εφαρμογές εγκαθίστανται, αναπτύσσονται και διαχειρίζονται με τρόπο που λαμβάνει υπόψη τις αρχές της ασφάλειας «από τον σχεδιασμό» και «εξ ορισμού», και τηρούνται κατάλληλες και αναλογικές απαιτήσεις ασφάλειας σε όλο τον κύκλο της ζωής τους (σ.σ. άρα διασφαλίζεται και η συντήρησή τους),

• Τα δεδομένα τα οποία είναι απαραίτητα για την παροχή των βασικών υπηρεσιών διασφαλίζονται από πιθανή απώλειά τους μέσω της τήρησης αντιγράφων ασφαλείας σε κατάλληλη μορφή, η οποία δίνει τη δυνατότητα για άμεση ανάκτησή τους. Για τον σκοπό αυτό εφαρμόζονται κατάλληλες πολιτικές, διαδικασίες και αυτοματοποιημένα συστήματα λήψης και διατήρησης αντιγράφων ασφαλείας.

• Για τη διασφάλιση της ανθεκτικότητας των συστημάτων έναντι απειλών εγκαθίστανται και χρησιμοποιούνται κατάλληλες και αναλογικές προς τον σκοπό αυτό τεχνολογικές λύσεις ασφαλείας. Ειδικότερα, ενθαρρύνεται η χρήση τεχνολογικών λύσεων σχετικά με ανίχνευση, καταγραφή και ανάλυση απειλών.

Η υπουργική απόφαση ορίζει παράλληλα με λεπτομέρειες πώς γίνεται η γνωστοποίηση των συμβάντων ψηφιακής επίθεσης στη συγκεκριμένη ευαίσθητη υποδομή:

– Κάθε Οργανισμός κοινοποιεί στη Γενική Διεύθυνση Κυβερνοασφάλειας χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει αντίκτυπο στη συνεχή παροχή της υπηρεσίας που προσφέρει.

– Η αναφορά δίνεται στη Γενική Διεύθυνση Κυβερνοασφάλειας σε εύλογο χρόνο και, σε κάθε περίπτωση, εντός 24 ωρών αφότου ο Οργανισμός έλαβε γνώση του περιστατικού.

Οι πληροφορίες

Μάλιστα, η κοινοποίηση πρέπει να περιέχει τουλάχιστον τις ακόλουθες πληροφορίες: α) Τον χρόνο, κατά τον οποίο διαγνώστηκε το συμβάν. β) Την ακριβή διάρκεια του περιστατικού, από τη στιγμή που διαγνώστηκε μέχρι την πλήρη αντιμετώπισή του, εάν αυτό θεωρείται λήξαν. γ) Πληροφορίες για τη φύση του συμβάντος, καθώς και μία πρώτη εκτίμηση του αντικτύπου του. δ) Πληροφορίες για τις ενέργειες που ακολουθήθηκαν και τα μέτρα περιορισμού του αντικτύπου του συμβάντος που έχουν ήδη ληφθεί. ε) Πληροφορίες σχετικά με την πιθανότητα επηρεασμού περισσοτέρων κρατών-μελών της Ευρωπαϊκής Ενωσης από το συμβάν.

Να σημειωθεί ότι η Γενική Διεύθυνση Κυβερνοασφάλειας δεν ενημερώνει σε κάθε περίπτωση το κοινό για «το συμβάν» όπως αναφέρεται στη σχετική υπουργική απόφαση. «Η ενημέρωση του κοινού δεν ενδείκνυται όταν αφορά ευαίσθητες ή διαβαθμισμένες πληροφορίες ή επηρεάζει δυσανάλογα τα έννομα συμφέροντα του Οργανισμού».

Η εικόνα των εταιρειών της αγοράς δεν είναι ομοιόμορφη. Το αεροδρόμιο της Αθήνας ενημερώνει ήδη το Εθνικό Κέντρο Περιστατικών Ασφάλειας, ενώ έχει τοποθετήσει υπεύθυνο κυβερνοασφάλειας. Η Fraport διατηρεί το επίπεδο κυβερνοασφάλειας και στα μικρότερα αεροδρόμια, δηλαδή και σε εκείνα που δεν είναι υποχρεωμένα με βάση τη σημερινή κίνηση να αναφέρουν τα περιστατικά ή να λαμβάνουν τα απαιτούμενα μέτρα. Ο ΟΛΠ έχει διαχωρίσει τα αρχεία κρίσιμων υποδομών του προκειμένου να περιορίσει τον κίνδυνο από κυβερνοεπίθεση.

Νομικές πηγές διευκρίνιζαν στην «Κ» ότι ο υπεύθυνος για την εφαρμογή του γενικού κανονισμού προστασίας δεδομένων (DPO) δεν μπορεί και δεν πρέπει να είναι το ίδιο πρόσωπο που ασχολείται με την κυβερνοασφάλεια, καθώς ο πρώτος μπορεί να χρειαστεί να ελέγξει τον δεύτερο ή και αντίστροφα.

Επίσης, οι εταιρείες που διαχειρίζονται κρίσιμες υποδομές φαίνεται ότι δεν είναι σε θέση να κάνουν outsourcing τις σχετικές υποχρεώσεις τους όπως σημειώνουν πηγές κοντά στον νομοθέτη. Πάντως, στο θέμα αυτό υπάρχουν διιστάμενες απόψεις, καθώς παράγοντες της αγοράς σημείωναν στην «Κ» ότι η ανάληψη της υποχρέωσης από τρίτες εταιρείες είναι θεμιτή εφόσον τηρούνται αυστηρά οι προϋποθέσεις του νόμου.

Πηγή: kathimerini.gr