Στη θωράκιση από κυβερνοεπιθέσεις των κρίσιμων δομών και φορέων του προχωρά το υπουργείο Ψηφιακής Διακυβέρνησης με στόχο την ενίσχυση της Κυβερνοασφάλειας.

Αυτός είναι και ο σκοπός του ανοικτού διεθνούς διαγωνισμού που βρίσκεται στον «αέρα» με τίτλο «Δράσεις για την Ενίσχυση της Ασφάλειας των Πληροφοριών και των Συστημάτων του Δημοσίου Τομέα».

Πρόκειται για ένα έργο συνολικού προϋπολογισμού 102,1 εκατ. ευρώ συμπεριλαμβανομένου ΦΠΑ, το οποίο χρηματοδοτείται από το Εθνικό Σχέδιο Ανάκαμψης και Ανθεκτικότητας «Ελλάδα 2.0».

Στο ποσό συμπεριλαμβάνεται η εκτιμώμενη αξία του δικαιώματος προαίρεσης ως προς το φυσικό αντικείμενο κατά 50% της αξίας της σύμβασης, ήτοι στο ποσό των 23,6 εκατ. ευρώ, καθώς επίσης και η εκτιμώμενη αξία του δικαιώματος προαίρεσης ως προς τη συντήρηση των συστημάτων που ανέρχεται στο ποσό των 31,2 εκατ. ευρώ.

Η διάρκεια της σύμβασης ορίζεται σε 20 μήνες από την υπογραφή της

Οι φορείς που θα θωρακιστούν διαχειρίζονται και λειτουργούν υποδομές εθνικής σημασίας και είναι οι εξής: η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης, η ΗΔΙΚΑ Α.Ε, το «Ελληνικό Κτηματολόγιο» και η ΕΔΥΤΕ. Α.Ε. (Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας).

Μεταξύ των υπηρεσιών, οι οποίες θα προστατευτούν κατά προτεραιότητα συγκαταλέγονται:

• Η Εθνική Κυβερνητική Πύλη gov.gr για την εξυπηρέτηση πολιτών και επιχειρήσεων

• Κρίσιμα πληροφοριακά συστήματα στο χώρο της υγείας και της Κοινωνικής Ασφάλισης (Μητρώο ΑΜΚΑ, Ηλεκτρονική Συνταγογράφηση, ΠΣ Προνοιακών επιδομάτων, Σύστημα ασφαλιστικής ιστορίας ΑΤΛΑΣ, ΠΣ ασφαλιστικών εισφορών μη μισθωτών κα)

• Κρίσιμα Πληροφοριακά Συστήματα στο χώρο της φορολογίας και της Δημοσιονομικής Πολιτικής (Taxis, IcisNet, mydata, ΠΣ Δημοσιονομικής Πολιτικής κα)

• Κρίσιμα Πληροφοριακά Συστήματα στο χώρο της χωροταξίας και της κτηματογράφησης (ΠΣ Κτηματολογίου, Ψηφιακός Χάρτης, κλπ).

Στο πλαίσιο του έργου θα υλοποιηθούν μια σειρά δράσεων σε επίπεδο χρηστών, διαδικασιών και τεχνολογικών υποδομών, με στόχο τη θωράκιση των κρίσιμων υποδομών, την αποτελεσματικότερη αντιμετώπιση περιστατικών κυβερνοεπιθέσεων και την ανάπτυξη των κατάλληλων δεξιοτήτων των δημοσίων υπαλλήλων σε θέματα προστασίας δεδομένων.

Έμφαση στην πρόληψη

Πιο συγκεκριμένα, στον διαγωνισμό προβλέπονται:

• Υπηρεσίες Security Operation Center (SOC) για τον έλεγχο και την παρακολούθηση των πληροφοριακών συστημάτων
• Αγορά εξοπλισμού για θέματα Κυβερνοασφάλειας
• Εξειδικευμένο λογισμικό προστασίας δεδομένων
• Συμβουλευτικές υπηρεσίες για τη διαμόρφωση πολιτικών ασφαλείας έναντι κυβερνοεπιθέσεων.

Ο ανοιχτός διεθνής διαγωνισμός υλοποιείται από την Κοινωνία της Πληροφορίας (ΚτΠ) με στόχο να υπάρξει μια ολιστική προσέγγιση που θα εστιάζει στην πρόληψη ώστε να βελτιστοποιηθεί η κυβερνοανθεκτικότητα των οργανισμών.

Όπως επισημαίνεται στο κείμενο διακήρυξης του διαγωνισμού, σε ό,τι αφορά τους χρήστες, κρίσιμο θεωρείται να κατανοήσουν και να ακολουθήσουν βασικές αρχές ασφαλείας όπως η σωστή διαχείριση των passwords, να προσέχουν τα συνημμένα αρχεία, να μπορούν να κρίνουν ποια sites μοιάζουν επικίνδυνα, να κάνουν συχνά backup και γενικότερα να ενημερωθούν κατάλληλα για να μπορούν να αναγνωρίσουν τις απειλές.

Κι αυτό δεδομένου πως «ό,τι εργαλεία και να χρησιμοποιηθούν, εάν ο τελικός χρήστης δεν έχει γνώση για να εποπτεύει τις διαδικασίες και τα εργαλεία ή δεν μπορεί να αναγνωρίσει τις κυβερνοαπειλές, είναι ο αδύνατος κρίκος στην αλυσίδα της», όπως επισημαίνεται.

Σε επίπεδο διαδικασιών, ο κάθε Οργανισμός θα πρέπει να έχει μελετήσει και εφαρμόσει ένα πλαίσιο αντιμετώπισης αναφορικά με απόπειρες κυβερνοεπιθέσεων, ενώ ως προς τις τεχνολογικές υποδομές, προτεραιότητα είναι η προστασία μέσω τεχνολογικών εργαλείων βασικών οντοτήτων, όπως τα τερματικά, οι έξυπνες συσκευές και routers, το δίκτυο στο σύνολο του, αλλά και το Cloud.

Η κυβερνοεπίθεση στα ΕΛΤΑ και το πρόστιμο των 2,9 εκατ. ευρώ

Το υπουργείο Ψηφιακής Διακυβέρνησης χαρακτηρίζει επιτακτική την ανάγκη προστασίας των κρίσιμων συστημάτων.

Άλλωστε παραμένουν ακόμα νωπές οι μνήμες από τη μεγάλη κυβερνοεπίθεση στα ΕΛΤΑ προ διετίας, εξαιτίας της οποίας ευαίσθητα προσωπικά δεδομένα τεράστιου αριθμού χρηστών που υπολογίζεται μεταξύ 4 και 5 εκατομμυρίων εκλάπησαν και αναρτήθηκαν στο «σκοτεινό» διαδίκτυο, καταδεικνύοντας με τον πιο εφιαλτικό τρόπο τις «τρύπες» στο σύστημα κυβερνοασφάλειας των Ελληνικών Ταχυδρομείων.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε μάλιστα πριν λίγους μήνες πρόστιμο – μαμούθ στα ΕΛΤΑ ύψους άνω των 2,9 εκατομμυρίων ευρώ, εξαιτίας:

• Του μεγάλου εύρος των επηρεαζόμενων προσώπων ήτοι 4.000.000 – 5.000.000, μεταξύ των οποίων υπάλληλοι ΕΛΤΑ, στελέχη, μέλη Δ.Σ., εκμισθωτές, πελάτες, εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές.
• Του υψηλού ύψους της ζημίας, ήτοι εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά στοιχεία, οικονομικά δεδομένα κλπ. και η απώλεια διαθεσιμότητας υπηρεσιών.
• Του γεγονότος ότι έλαβε χώρα παραβίαση του συστήματος του υπευθύνου επεξεργασίας, μη εξουσιοδοτημένη πρόσβαση σε πόρους, εγκατάσταση κακόβουλων λογισμικών και δημοσιοποίηση δεδομένων στο σκοτεινό ιστό.
• Του ότι υπήρξαν παραλείψεις εφαρμογής της πολιτικής ασφαλείας, αδυναμία διασφάλισης της πρόσβασης σε δεδομένα από μη εξουσιοδοτημένους χρήστες, μη επαρκής τεχνική τεκμηρίωση σχετικά με τα ζητήματα της συλλογής των κωδικών πρόσβασης τομέα και της μη αξιοποίησης των μηνυμάτων προειδοποίησης ασυνήθιστης δραστηριότητας από τους μηχανισμούς προστασίας.
• Του ότι επηρεάστηκαν ιδιαίτερης σημασίας κατηγορίες προσωπικών δεδομένων, όπως οικονομικά στοιχεία υπευθύνου επεξεργασίας και επηρεαζόμενων εταιριών/φορέων, στοιχεία εργαζομένων, αλληλογραφία, διαγωνισμοί, πρακτικά ΔΣ, φωτογραφίες προσωπικού αρχείου και πελατών, στοιχεία κλήσης μαρτύρων, έκθεση κατάθεσης μάρτυρα, έκθεση καθολικής επιθεώρησης, εγγραφές βάσεων δεδομένων, κατάλογος συνταξιούχων ΟΓΑ, στοιχεία πελατών/προμηθευτών, υπεύθυνες δηλώσεις/εξουσιοδοτήσεις