Το δυσθεώρητο ποσό των 10 τρισεκατομμυρίων δολαρίων άγγιξε το 2023 το κόστος του κυβερνοεγκλήματος, το οποίο εμφανίζει μια διαρκή ανοδική πορεία που με τη σειρά της επηρεάζει αρνητικά την εμπιστοσύνη των πολιτών στην ψηφιακή μετάβαση συνολικά.

Την ίδια στιγμή, σειρά ατομικών δικαιωμάτων βρίσκονται αντιμέτωπα με νέες και σύνθετες απειλές στον κυβερνοχώρο, την ώρα μάλιστα που παρατηρείται μια τεράστια έλλειψη σε επιστήμονες του κλάδου.

Στο πλαίσιο αυτό και με γνώμονα τη λήψη μέτρων για την κυβερνοασφάλεια μέσω της ανάπτυξης μηχανισμών αποτελεσματικής συνεργασίας μεταξύ των αρμόδιων αρχών και των οργανισμών που παρέχουν κρίσιμες υπηρεσίες για την οικονομική και κοινωνική ζωή, το υπουργείο Ψηφιακής Διακυβέρνησης ανάρτησε σε δημόσια διαβούλευση έως τις 2 Νοεμβρίου, νομοσχέδιο με το οποίο ενσωματώνεται η Οδηγία του Ευρωπαϊκού Κοινοβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (Οδηγία NIS 2).

Σύμφωνα με το υπουργείο, το προτεινόμενο σχέδιο νόμου καλύπτει κενά, τα οποία διαπιστώθηκαν κατά την περίοδο εφαρμογής της Οδηγίας NIS 1, τόσο στον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους διευρυμένους τομείς τους οποίους καλύπτει, όπως η ενέργεια, οι μεταφορές, η υγεία, η δημόσια διοίκηση, η εφοδιαστική αλυσίδα, η παραγωγή τροφίμων, οι τηλεπικοινωνίες και οι ψηφιακές υποδομές, όσο και στην ομοιόμορφη αντιμετώπιση των σχετικών ζητημάτων στο σύνολο των κρατών μελών της Ευρωπαϊκής Ένωσης.

Με το σχέδιο νόμου προβλέπεται η εισαγωγή ρυθμίσεων για την εθνική στρατηγική κυβερνοασφάλειας, ο ορισμός αρμόδιας αρχής για την κυβερνοασφάλεια και τη διαχείριση κυβερνοκρίσεων, ο καθορισμός μέτρων διαχείρισης κινδύνων, η εισαγωγή κανόνων και υποχρεώσεων σχετικά με την ανταλλαγή πληροφοριών και η θέσπιση διατάξεων για την εν γένει εποπτεία ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα.

Το νομοσχέδιο προβλέπει τη σύνταξη Εθνικής Στρατηγικής Κυβερνοασφάλειας (Ε.Σ.Κ.), η οποία περιλαμβάνει κατ’ ελάχιστον πρόβλεψη στρατηγικών στόχων και προτεραιότητες για την επίτευξη και διατήρηση υψηλού επιπέδου κυβερνοασφάλειας και συνεκτικό πλαίσιο διακυβέρνησης για την επίτευξή τους, τους αναγκαίους πόρους για την επίτευξη των εν λόγω στόχων και τα αναγκαία κανονιστικά μέτρα και μέτρα πολιτικής.

Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια αρχή, παρακολουθεί την εφαρμογή του νόμου και αποτελεί το ενιαίο σημείο επαφής για τη διευκόλυνση της διασυνοριακής συνεργασίας.

Με τη νέα οδηγία αυστηροποιείται η υποχρέωση υποβολής αναφοράς περιστατικών, η οποία υποβάλλεται στην ΕΑΚ.

Συγκεκριμένα, οι φορείς υποχρεούνται:

• Να υποβάλουν εντός 24 ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, προειδοποίηση, η οποία κατά περίπτωση αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο
• Εντός 72 ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες και, επιπλέον, περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης
• Κατόπιν αιτήματος της Εθνικής Αρχής Κυβερνοασφάλειας, να υποβάλουν ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης
• Να υποβάλουν τελική έκθεση το αργότερο εντός ενός μήνα μετά από την υποβολή της κοινοποίησης περιστατικού. Η έκθεση πρέπει να περιλαμβάνει λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό, εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού, κατά περίπτωση, τον διασυνοριακό αντίκτυπο του περιστατικού. Σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης υποβάλλεται έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

Στόχος είναι ο μετριασμός της πιθανής εξάπλωσης σοβαρών περιστατικών και η έγκαιρη επίγνωση της κατάστασης σε εθνικό επίπεδο.

Ενημέρωση των πολιτών για σοβαρά περιστατικά

Όταν η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση σημαντικού εν εξελίξει περιστατικού, ή όταν η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Εθνική Αρχή Κυβερνοασφάλειας δύναται να ενημερώσει το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσει από τον φορέα να ενημερώσει το κοινό εντός ορισμένης προθεσμίας.

Σε κάθε περίπτωση οι φορείς υποχρεώνονται να λάβουν μέτρα ώστε να είναι προετοιμασμένοι για περιστατικά σχετιζόμενα με την κυβερνοασφάλεια.

Ειδικότερα να έχουν σχεδιάσει πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων, να έχουν σχέδιο διαχείρισης περιστατικών, να εξασφαλίζουν την επιχειρησιακή συνέχεια, μέσω διαχείρισης αντιγράφων ασφαλείας και αποκατάστασης έπειτα από καταστροφή, καθώς και διαχείρισης των κρίσεων. Επίσης τα μέτρα που οφείλουν να λάβουν σχετίζονται με την ασφάλεια της αλυσίδας εφοδιασμού, την ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών, τις βασικές πρακτικές κυβερνοϋγιεινής και κατάρτισης στην κυβερνοασφάλεια, πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων και χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.

Το νομοσχέδιο προβλέπει αυστηρές κυρώσεις και πρόστιμα, τα οποία μπορούν να φτάσουν έως και τα 10 εκατομμύρια ευρώ στην περίπτωση που διαπιστωθούν παραβάσεις στα μέτρα διαχείρισης κινδύνων, αλλά και στην γνωστοποίηση περιστατικών κυβερνοεπιθέσεων.

Τεράστιος ο κίνδυνος, ελάχιστοι οι ειδικοί

Στο μεταξύ, ενώ αυξάνονται συνεχώς τα κρούσματα κυβερνοεπιθέσεων, παρατηρείται τεράστιο έλλειμμα σε εξειδικευμένο ανθρώπινο δυναμικό. Το γεγονός αυτό μάλιστα έχει οδηγήσει τον Ευρωπαϊκό Οργανισμό Κυβερνοασφάλειας να συμπεριλάβει την έλλειψη επιστημονικά καταρτισμένου ανθρώπινου δυναμικού ως μια από τις δέκα βασικές απειλές στον κυβερνοχώρο που αντιμετωπίζουν το σύνολο των κρατών μελών της Ευρωπαϊκής Ένωσης κατά την τρέχουσα δεκαετία.

Αντίστοιχα και στην Ελλάδα, σύμφωνα με έρευνα του ΣΕΠΕ, του Οικονομικού Πανεπιστημίου Αθηνών (ΟΠΑ) και της ομάδας του καθηγητή Κυβερνοασφάλειας Δημήτρη Γκρίτζαλη, η ζήτηση για επαγγελματίες Κυβερνοασφάλειας δεν ήταν ποτέ μεγαλύτερη, καθώς οι απειλές στον κυβερνοχώρο αυξάνονται ραγδαία και οι επιχειρήσεις και οργανισμοί επιδιώκουν να ενισχύσουν την προστασία και ακεραιότητα των δεδομένων τους και την απρόσκοπτη και εύρυθμη λειτουργία τους. Ωστόσο, παρατηρείται σημαντική έλλειψη προσφοράς ακαδημαϊκών προγραμμάτων, κυρίως σε προπτυχιακό επίπεδο, με αποτέλεσμα να καταγράφεται σοβαρή αναντιστοιχία μεταξύ προσφοράς και ζήτησης σε δεξιότητες Κυβερνοασφάλειας.

Αναφορικά με την εκπαίδευση του ανθρώπινου δυναμικού στον τομέα της Κυβερνοασφάλειας στη χώρα μας επισημαίνονται τα εξής:

• Δεν υπάρχει Πανεπιστήμιο στην Ελλάδα, το οποίο να παρέχει βασικό τίτλο σπουδών (Πτυχίο/ B.Sc) στην Κυβερνοασφάλεια. Υπάρχουν, όμως, Κολλέγια (4) που παρέχουν τέτοιο τίτλο σπουδών.
• Η πλειοψηφία (65%) των εκπαιδευμένων/ καταρτιζόμενων σε Κυβερνοασφάλεια προέρχεται από Προγράμματα Μεταπτυχιακών Σπουδών (M.Sc.) (5 Πανεπιστήμια, 6 Προγράμματα).
• Ολιγάριθμα (7) Κέντρα Επιμόρφωσης και Δια Βίου Μάθησης (ΚΕΔΙΒΙΜ) παρέχουν κατάρτιση σε Κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία στην Ελλάδα με περιορισμένο αριθμό εκπαιδευόμενων.
• Οι διεθνείς σύνδεσμοι επαγγελματιών (ISC2, ISACA) παρέχουν έναν αξιόλογο αριθμό πιστοποιήσεων (480) σε σειρά επιμέρους πεδίων της Κυβερνοασφάλειας και των συναφών της γνωστικών πεδίων.
• Οι απόφοιτοι προγραμμάτων/ σεμιναρίων σε Κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία είναι στη μεγάλη πλειονότητά τους άνδρες, χωρίς να υπάρχει αξιοσημείωτη τάση εξισορρόπησης.
• Στην Ελλάδα, η χαμηλή αναλογία συμμετοχής των γυναικών (24-28%) στην Κυβερνοασφάλεια ή σε συναφή γνωστικά πεδία ισχύει ανεξαρτήτως προγραμμάτων ακαδημαϊκών σπουδών.

Στη μελέτη συμμετείχαν 140 επιχειρήσεις και οργανισμοί στους οποίους περιλαμβάνονται: Πάροχοι κυβερνοασφάλειας, εταιρείες Τεχνολογιών Πληροφορικής και Επικοινωνιών, ιδιωτικοί και δημόσιοι φορείς με εσωτερικές ανάγκες κυβερνοασφάλειας, ακαδημαϊκά ιδρύματα και άλλοι. Παράλληλα, η μελλοντική ζήτηση διερευνήθηκε περαιτέρω μέσω γνωμοδοτήσεων εμπειρογνωμόνων για την πρόβλεψη τάσεων και απαιτήσεων σε δεξιότητες.