Την προσπάθεια να επιταχύνει την μεταρρύθμιση για την κυβερνοασφάλεια στην Ελλάδα τόνισε ο Υπουργός Ψηφιακής Διακυβέρνησης, Κυριάκος Πιερρακάκης, κατά τη διάρκεια του συνεδρίου Cyber security Conference που διοργάνωσε η KPMG την Τρίτη 8 Οκτωβρίου 2019 στην Αθήνα. Στο συνέδριο της KPMG εξετάστηκαν όλες οι πτυχές του κρίσιμου ζητήματος της κυβερνοασφάλειας τόσο οι οικονομικές όσο και οι ευρύτερες κοινωνικές και πολιτικές, ενώ προτάθηκαν και μοντέλα ηλεκτρονικής διακυβέρνησης στο εξωτερικό, όπως για παράδειγμα αυτό της Εσθονίας από την καθ. Katrin Nyman Metcalf, η οποία διευθύνει θέματα έρευνας και νομικής εφαρμογής στο Estonian e-Governance Academy.

Οι βασικές κατευθύνσεις για την κυβερνοασφάλεια
Ο υπουργός Ψηφιακής Διακυβέρνησης, Κυριάκος Πιερρακάκης ανακοίνωσε ότι εξέδωσε την απαιτούμενη από το νόμο 4577/2018 υπουργική απόφαση, η οποία θεσπίζει κανόνες για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, εκπληρώνοντας με αυτό τον τρόπο μια ιδιαίτερα σημαντική υποχρέωση της χώρας απέναντι στην Ευρωπαϊκή Ένωση.

Η υπουργική απόφαση αφορά την έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, τη διαδικασία παροχής πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες αρχές, τη μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.), καθώς και τη μεθοδολογία αξιολόγησης και ελέγχου του επιπέδου ασφάλειας των συστημάτων αυτών.

Σκοπός της ενιαίας πολιτικής ασφαλείας είναι, μεταξύ άλλων, η διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων, συστημάτων και υπηρεσιών έναντι εκούσιων ή ακούσιων απειλών, η ικανοποίηση των νομικών και κανονιστικών απαιτήσεων σχετικών με την ασφάλεια και την προστασία δεδομένων και η επιχειρησιακή συνέχεια των βασικών υπηρεσιών του Οργανισμού έναντι περιστατικών κυβερνοεπιθέσεων.

Όσον αφορά τις βασικές αρχές ασφαλείας αυτές είναι τρεις: η αναγνώριση, η προστασία και η αντιμετώπιση.
Στο δεύτερο μέρος της υπουργικής απόφασης αναφέρονται οι διαδικασίες που ακολουθούνται σε περιπτώσεις συμβάντων ασφαλείας. Αρχικά, δίνεται ο ακριβής προσδιορισμός ενός συμβάντος ως «σοβαρή διατάραξη» για τους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών. Έτσι, ως σοβαρή διατάραξη θεωρείται ένα συμβάν που υπάγεται σε μια από τις ακόλουθες περιστάσεις:

α) Κάθε συμβάν κατά το οποίο η συνέχεια της υπηρεσίας που παρέχεται από τον φορέα επηρεάζεται για πάνω από 100.000 χρηστοώρες

β) Κάθε συμβάν που επηρεάζει πληθυσμό τουλάχιστον 50.000 χρηστών

γ) Απειλή σε ανθρώπινη ζωή

δ) το συμβάν έχει προκαλέσει υλικές ζημιές στον ίδιο τον φορέα ή σε άλλους φορείς που υπερβαίνουν το 1.000.000 ευρώ.

Το τρίτο μέρος, όπως ανέφερε ο Κ. Πιερρακάκης, αφορά τη διαδικασία ελέγχου των οργανισμών από την Εθνική Αρχή Κυβερνοασφάλειας και το τέταρτο στις ενδεχόμενες κυρώσεις σε περίπτωση που διαπιστωθεί η μη τήρηση των απαιτούμενων μέτρων ασφαλείας. Οι κυρώσεις αυτές είναι η σύσταση, η επίπληξη και, σε περιπτώσεις μη συμμόρφωσης του οργανισμού, το διοικητικό πρόστιμο.

Το μοντέλο της Εσθονίας και e-governance
Η καθηγήτρια Katrin Nyman Metcalf, υπεύθυνη για θέματα έρευνας και νομολογίας στην Estonian e-Governance Academy, παρουσίασε το πώς μέσω e-governance οι πολίτες όχι μόνο διαχειρίζονται τα θέματα με το δημόσιο ,αλλά υπάρχει μία ανοικτή πλατφόρμα επικοινωνίας μέσω της οποίας μπορεί κάθε Εσθονός που έχει δικαίωμα, να επικοινωνεί και με ιδιωτικούς φορείς και κάθε φορέας να έχει πρόσβαση στους υπόλοιπους. Το μοντέλο λειτουργίας θα πρέπει να διακρίνεται από διαλειτουργικότητα (interoperability) και διαφάνεια.

Αυτό βέβαια απαιτεί υψηλό επίπεδο κυβερνοασφάλειας, καθώς κάθε επίθεση στις υποδομές μπορεί να επιφέρει τεράστια κοινωνικά και οικονομικά προβλήματα αλλά και θέματα νομικής προστασίας. Σε αποκλειστικές της δηλώσεις στο NetFAX και ερωτώμενη εάν μπορεί το εσθονικό μοντέλο να εφαρμοστεί και στην Ελλάδα, η κα. Metcalf επεσήμανε ότι «κάθε χώρα έχει τις δικές της κοινωνικές, νομικές και οικονομικές ιδιαιτερότητες γι’ αυτό δεν υπάρχει ένα συγκεκριμένο μοντέλο που θα πρέπει να εφαρμοστεί.

Θα πρέπει να αναζητηθούν οι πολιτικές που κάθε χώρα θέλει να εφαρμόσει για να επιλύσει τα δικά της προβλήματα. Η Ελλάδα θα πρέπει να αναζητήσει ένα μοντέλο που θα εξυπηρετεί και τους πολίτες της, αλλά και θα ταυτίζεται με το κοινωνικό πρόσωπό, την οικονομία της και τον νομικό πολιτισμό της».

Ο ρόλος του ENISA
O Δρ. Ευάγγελος Ουζούνης, Head Of Critical Infrastructure Unit στον ENISA, παρουσίασε τις εργασίες του ευρωπαϊκού οργανισμού τόσο διεθνώς όσο και στην Ελλάδα. Ο ENISA είναι ένας ευρωπαϊκός οργανισμός που ασχολείται με θέματα κυβερνοασφάλειας, αλλά δεν έχει επιχειρησιακό ρόλο. Βοηθά κράτη μέλη και εταιρείες. Στόχος είναι να εφαρμοστεί η Οδηγία NIS μέσα σε ένα ενιαίο ευρωπαικό πλαίσιο συνεργασίας.

Στην Ελλάδα η NIS θα περιλαμβάνει τη δημιουργία μίας νέα αρχής κυβερνο-ασφάλειας, δύο σχημάτων διαχείρισης, ένα στρατηγικό και ένα επιχειρησιακό (operational). O καθηγητής Ουζούνης τόνισε, παράλληλα, πόσο σημαντική είναι η συνεργασία του Δημόσιου με τον Ιδιωτικό τομέα σε θέματα κυβερνοασφάλειας.

Cyber Peace
Tην ιστορική εξέλιξη της ροής της πληροφορίας, τις ευκαιρίες αλλά και τους κινδύνους από τη διάχυση της πληροφορίας στην κοινωνία παρουσίασε ο Daniel Domscheit-Berg, εκπρόσωπος των Wikileaks στη Γερμανία, φέρνοντας παραδείγματα πως η διάχυση fake news μέσα από μεγάλα δίκτυα κοινωνικής πληροφόρησης μπορεί να δημιουργήσει προβλήματα.

Σε σύντομη συζήτηση που είχε με το NetFAX o Domscheit-Berg επεσήμανε τους τεράστιους κινδύνους που φέρει η συγκέντρωση δύναμης και πληροφορίας στους μεγάλους κολοσσούς, προασπίστηκε την ελεύθερη διάχυση της πληροφορίας και θεώρησε καταστροφικό για την επιστήμη και την γνώση το copyright

Data Privacy & Artificial intelligence
Η ασφάλεια των προσωπικών δεδομένων μέσω της χρήσης της τεχνητής νοημοσύνης αποτελεί μία σημαντική παράμετρος για την κυβερνοασφάλεια, ανέφερε ο πρόεδρος της Hellenic-Association of Data Protection & Privacy, Σπύρος Τάσσης. Θα πρέπει να σημειωθεί ότι ο κ. Τάσσης αντιμετωπίζοντας το θέμα από μία νομική και ανθρωποκεντρική σκοπιά τόνισε ότι η επιτυχία της προστασίας των δεδομένων και η χρήση της τεχνητής νοημοσύνης θα πρέπει να αντιμετωπίζονται πάντα στη βάση της ηθικής.

Cyber Security και Επιχειρήσεις
Ιδιαίτερο ενδιαφέρον είχε το πάνελ συζήτησης ανάμεσα στους κ.κ. Βασίλη Βασιλόπουλο (DPO ΕΡΤ), Kωνσταντίνο Πανάγο (Head of Corporate Security Risk and Compliance της Vodafone), Κατερίνα Ραπτάκη (Διευθύντρια Πληροφορικής και Τηλεπικοινωνιών του ναυτιλιακού ομίλου Navios) και Γιώργο Σωτηρόπουλο (CISO, Praxia Bank) οι οποίοι τόνισαν ότι οι επιχειρήσεις είναι πάντα ένα βήμα πίσω από τους επίδοξους attackers και ότι αποτελεί πολύ κρίσιμη εργασία στις επιχειρήσεις η προστασία των προσωπικών δεδομένων και των Big Data.

Το μείζον θέμα της ευαισθητοποίησης των χρηστών για τήρηση των πολιτικών ψηφιακής ασφάλειας αναφέρθηκε πολλές φορές κατά τη διάρκεια του συνεδρίου. Ωστόσο, ο βραβευμένος CISO Thom Langford ανέτρεψε το κλισέ που θέλει τους χρήστες να είναι ο «αδύναμος κρίκος», δηλώνοντας ότι «το security awareness απαιτεί την έλλειψη αλαζονείας και “ξύλινης” γλώσσας, ενώ μπορεί να ωφεληθεί από τη χρήση χιούμορ».

Επίσης στο συνέδριο εξετάστηκαν θέματα όπως η καλλιέργεια της συνείδησης της προστασίας και του cyber security, η χρήση του Machine Learning ως μέσο αντιμετώπισης και προστασίας, θέματα προστασίας και εφαρμογής GDPR, ενώ ο Achiad Alter, ιδρυτής του Cyber Security Unit στο Israel Export Institute έδωσε παραδείγματα για το πώς το Ισραήλ έγινε ένας παγκόσμιος ηγέτης σε θέματα cyber security.

Το NetFAX ήταν χορηγός επικοινωνίας της εκδήλωσης.