Αρχική Εθνική Αρχή Κυβερνοασφάλειας και λοιπές διατάξεις του Υπουργείου Ψηφιακής ΔιακυβέρνησηςΜΕΡΟΣ Α’ ΟΡΓΑΝΩΣΗ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ ΚΕΦΑΛΑΙΟ Α’ ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ Άρθρο 1 ΣκοπόςΣχόλιο του χρήστη Ιάσωνας Παρισινός | 15 Ιανουαρίου 2024, 22:06
Γενικά σχόλια Το σχέδιο νόμου έρχεται έστω και με μεγάλη καθυστέρηση - λόγω πολιτικής αναποφασιστικότητας και απρονοησίας προηγούμενων ετών - να αντιμετωπίσει κρίσιμα ζητήματα στον τομέα της κυβερνοασφάλειας στην Ελλάδα. Θετικό σημείο το γεγονός ότι το εν λόγω σχέδιο νόμου έρχεται να προσδιορίσει ένα επαρκές; (θα φανεί εν τοις πράγμασι) θεσμικό πλαίσιο και να αποτελέσει τον βασικό πυλώνα για την ενίσχυση της δημόσιας πολιτικής κυβερνοασφάλειας και την υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, στο πλαίσιο των εθνικών αναγκών και των ενωσιακών δεσμεύσεων της χώρας. Δυστυχώς, οι νόμοι στην Ελλάδα θεσπίζονται χωρίς να εφαρμόζονται στην πράξη, ενώ ταυτόχρονα απουσιάζει η αξιολόγησή τους μέσω μίας συγκεκριμένης μεθοδολογίας αποτίμησης ως προς την αποτελεσματικότητα, την αποδοτικότητα και την προστιθέμενη αξία τους. Τυχαίνει ως Έλληνας να εργάζομαι σε οργανισμό της Ευρωπαϊκής Ένωσης και να έχω μία πολύ σαφή και εκ του σύνεγγυς (συγκριτική) εικόνα της ελληνικής κατάστασης στον τομέα της κυβερνοασφάλειας έναντι των άλλων ευρωπαϊκών χωρών. Δυστυχώς, η χώρα μας έχει ήδη μείνει αρκετά πίσω παρά τις πολύ σημαντικές, ουσιαστικές και φιλότιμες ενέργειες κάποιων λίγων ανθρώπων του δημόσιου τομέα που ασχολούνται με την κυβερνοασφάλεια στην πατρίδα μας. Από προσωπική εμπειρία επισημαίνω την εξαιρετική κατάρτιση, το υψηλό επίπεδο προετοιμασίας και τη διαρκή παρουσία των ελληνικών αποστολών κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης σε ευρωπαϊκές επιτροπές και ομάδες εργασίας για θέματα αρμοδιότητάς τους. Όμως, πέραν αυτού, μία απλή και μόνο αναζήτηση στις ιστοσελίδες των οργανισμών κυβερνοασφάλειας των άλλων ΚΜ της ΕΕ και κυρίως του έργου που παράγουν οι περισσότερες εξ αυτών, αρκούν για να γίνουν κάποιες χρήσιμες, κρίσιμες αλλά και απογοητευτικές διαπιστώσεις. Χωρίς να υπεισέρχομαι στην ουσία και χωρίς επιπλέον σχόλια, η εικόνα και μόνο της ιστοσελίδας κυβερνοασφάλειας του ελληνικού Υπουργείου Ψηφιακής Διακυβέρνησης μιλάει από μόνη της. Για να μπορέσει η νέα Αρχή της Ελλάδας να εξελιχθεί και να παράξει έργο, απαιτείται σοβαρή και διαρκής χρηματοδότηση, σαφές και άμεσα εφαρμόσιμο θεσμικό πλαίσιο, στελέχωση με εξειδικευμένο προσωπικό, συνεχείς εκπαιδεύσεις και – το βασικότερο - συντονισμό σε ανώτατο πολιτικό επίπεδο με ισχυρές, άμεσες, ουσιαστικές και ευέλικτες πολιτικές αποφάσεις - σε συνεργασία με τη διοίκηση της Αρχής - και όχι ατέρμονες θεωρητικολογίες και αναβλητικότητες. Τη στιγμή που τα άλλα ΚΜ εξελίσσονται στον τομέα της κυβερνοασφάλειας με ραγδαίους ρυθμούς, συνεργάζονται, αναπτύσσουν συμμαχίες και κοινότητες με το σχετικό γνωστικό υπόβαθρο, η χώρα μας ακολουθεί αγκομαχώντας ελλείψει ορθών πολιτικών πρωτοβουλιών και αποφάσεων. Η ατολμία και οι γραφειοκρατικές αγκυλώσεις δεν συνάδουν με το έργο που θα κληθεί να επιτελέσει η Αρχή το προσεχές διάστημα μέσα σε ένα διαρκώς εξελισσόμενο και μεταβαλλόμενο παγκοσμιοποιημένο περιβάλλον κυβερνοαπειλών. Η Ελλάδα οφείλει να βρίσκεται στο ίδιο επίπεδο ανάπτυξης, ετοιμότητας, τεχνογνωσίας, με τα άλλα κράτη – μέλη και όχι να αποτελεί τον φτωχό συγγενή ή την ψωροκώσταινα της ΕΕ. Ειδικότερα σχόλια επί των άρθρων: Άρθρο 1 Σύμφωνα με τη παράγραφο 2 «ο καθορισμός ενός διαφανούς πλαισίου ρόλων, ευθυνών και λογοδοσίας» δεν αποτυπώνεται σε κανένα σημείο του σχεδίου νόμου. Φράση κενή νοήματος και περιεχομένου. Προτείνεται να διαγραφεί ή να επαναδιατυπωθεί. Άρθρο 6 Προτείνεται ο Διοικητής να ορίζεται μέσω διαφανών και αδιάβλητων διαδικασιών (επιτροπή ΑΣΕΠ) κατόπιν ελέγχου των φακέλων τουλάχιστον 3-4 υποψηφίων και όχι κατόπιν εισήγησης του Υπουργού Ψηφιακής Διακυβέρνησης ενός και μόνο προτεινόμενου. Οι συγκεκριμένες θέσεις δεν πρέπει να έχουν πολιτική απόχρωση ως προς την επιλογή αλλά να βασίζονται στην τεχνογνωσία, την εμπειρογνωμοσύνη, και – αυτονόητα – την απαραίτητη τεχνική κατάρτιση επί του αντικειμένου, τα οποία θα αποδεικνύονται εμπράκτως από αρμόδια επιτροπή. Άρθρο 8 Ισχύουν τα αναφερόμενα στο άρθρο 6. Επίσης, οφείλουν και οι Υποδιοικητές να διαθέτουν κατ’ ελάχιστον μεταπτυχιακό τίτλο σπουδών. Επιπρόσθετα, θα πρέπει να προσδιοριστούν με σαφήνεια οι αρμοδιότητές τους κατ’ αναλογία μ’ εκείνες του Διοικητή. Άρθρο 9 Σύμφωνα με την παρ. 2, άρθρο 14, το προσωπικό της Αρχής έχει υποχρέωση διαβάθμισης για χειρισμό Εθνικά Διαβαθμισμένων Πληροφοριών και Υλικού. Πώς αυτό συμβιβάζεται με τους μετακλητούς υπαλλήλους του άρθρου 9, ως συνεργάτες της διοίκησης της Αρχής; Πώς εξασφαλίζεται η εχεμύθειά τους μετά την ολοκλήρωση της θητείας τους και οι πληροφορίες που απέκτησαν δεν θα χρησιμοποιηθούν στο μέλλον σε άλλο περιβάλλον εργασίας; Προτείνεται οι συνεργάτες Διοικητή και Υποδιοικητών να μην καλύπτονται από μετακλητούς υπαλλήλους αλλά αποκλειστικά από έμπειρο και καταρτισμένο προσωπικό της ίδιας της Αρχής ή από άλλους συναφείς φορείς του δημοσίου τομέα. Άρθρο 20 Η άσκηση μίας πληθώρας νέων αρμοδιοτήτων της Αρχής απαιτεί όχι μόνο τη διατήρησή του όποιου υπάρχοντος έμψυχου δυναμικού της αλλά και τη στελέχωσή της με επιπλέον εξειδικευμένο προσωπικό για να μπορέσει να τις υλοποιήσει με σοβαρότητα, επάρκεια και αποτελεσματικότητα. Με τις πενιχρές αποδοχές του δημοσίου τομέα και χωρίς επιπλέον οικονομικά κίνητρα (η φράση «δύναται να προβλέπεται ειδικό επίδομα…» με βάση την ελληνική εμπειρία μεταφράζεται σε ‘δεν γίνεται να…’ ή ‘δεν δίνεται…’ και παραπέμπεται στις καλένδες), ως ένα σημαντικό μέσο προσέλκυσης ικανών στελεχών, η πλήρωση των οργανικών θέσεων θα παραμείνει σε πολύ χαμηλά επίπεδα. Ίσως να οδηγούσε μέσω νέας πρόσληψης και τον γράφοντα - και όχι μόνο - στην επιστροφή του στην Ελλάδα. Συνεπώς, το έργο που καλείται να επιτελέσει η Αρχή, παραμένει εξαρχής και εν πολλοίς μη εφαρμόσιμο με τις όποιες συνέπειες αυτό συνεπάγεται για την ασφάλεια της χώρας. Οι έμπειροι και καταρτισμένοι στο τομέα της κυβερνοασφάλειας αμείβονται πλουσιοπάροχα στον ιδιωτικό τομέα ή/και σε διεθνείς οργανισμούς εντός και εκτός της χώρας μας. Άρα, ελάχιστοι θα επιλέξουν να στελεχώσουν την ελληνική Αρχή, καθώς θα μπορούν με μεγάλη ευκολία να προσληφθούν σε μεγάλες ιδιωτικές εταιρείες της Ελλάδας ή του εξωτερικού με πολλαπλάσιο μισθό. Άρθρο 21 Σύμφωνα με το τελευταίο εδάφιο του της παρ. 4 «Από την 1η Ιανουαρίου 2025 το συνολικό κόστος μισθοδοσίας, καθώς και κάθε είδους αποδοχές, βαρύνουν την Αρχή και καταβάλλονται από αυτήν». Όμως, κατά το άρθρο 13 «οι αποσπώμενοι, κατά τον χρόνο της απόσπασής τους, μισθοδοτούνται και ασφαλίζονται από τον φορέα προέλευσής τους, και εξακολουθούν να λαμβάνουν τις πρόσθετες αποδοχές, επιδόματα και την ασφαλιστική κάλυψη που λάμβαναν από αυτόν προ της απόσπασης, εξαιρουμένου του επιδόματος θέσης ευθύνης.» Δεν προσδιορίζεται με σαφήνεια το μισθοδοτούμενο καθεστώς του προσωπικού που παραμένει ως αποσπασμένο στη νέα Αρχή. Σχόλια επί της Ανάλυσης Συνεπειών Ρύθμισης: Τα όσα πολυσέλιδα αναφέρονται στην αιτιολογική έκθεση ανάλυσης συνεπειών θα πρέπει να αποτυπωθούν εμπράκτως στο σχέδιο νόμου. Ενδεικτικά, τι ακριβώς σημαίνει η φράση «Ακολουθώντας μια ολοκληρωμένη προσέγγιση, προκειμένου να μην καταλείπονται τυχόν κενά και αρρυθμίες στην επίτευξη του αναγκαίου συντονισμού όλων των εμπλεκομένων δρώντων» (σελ. 3) και πώς αυτό απτά και ουσιαστικά αποτυπώνεται στο σχέδιο νόμου; Επίσης, μπορείτε, ενδεικτικά, να προσδιορίσετε με σαφήνεια ποιες είναι οι «ειδικές ρυθμίσεις για το προσωπικό του»; (σελ. 8). Οι βραχυπρόθεσμοι και μακροπρόθεσμοι στόχοι απαιτούν επάρκεια προσωπικού το οποίο απ’ ότι φαίνεται θα καθυστερήσει αρκετά μεγάλο χρονικό διάστημα για να ενταχθεί στη νέα Αρχή, με δεδομένο ότι με βάση το άρθρο 20 του σχεδίου νόμου προβλέπεται προεδρικό διάταγμα, που θα ορίζει τον Οργανισμό της Αρχής (περιγράμματα θέσεων, μετατάξεις, προσλήψεις, αποσπάσεις). Οι καλές πρακτικές άλλων χωρών που αναφέρετε, ενδεχομένως να μην βρίσκουν έρεισμα καθώς θα έπρεπε ήδη αυτές να έχουν αποτυπωθεί σε σχέδιο προεδρικού διατάγματος για την Αρχή σε συνεργασία και με τα στελέχη της υφιστάμενης δομής, τα οποία προφανώς διαθέτουν την απαραίτητη εμπειρία ως προς τα προαπαιτούμενα στελέχωσης της Αρχής. Εάν έχει ήδη γίνει τέτοια προετοιμασία, παρακαλώ αγνοήστε το σχόλιό μου. Η Εθνική Αρχή Κυβερνοασφάλειας της χώρας μας οφείλει να αποτελέσει την αιχμή του δόρατος στον τομέα της κυβερνοασφάλειας στη χώρα μας. Για το λόγο αυτό, πρέπει να περιβάλλεται και να επενδύεται με το ανάλογο, αυξημένο κύρος για να πετύχει τους επιδιωκόμενους σκοπούς της. Η λύση του “shop in a shop” (η Εθνική Αρχή Κυβερνοασφάλειας να εδρεύει εντός του κτηρίου του Υπουργείου Ψηφιακής Διακυβέρνησης) δεν είναι δυνατόν να αποτελεί την ενδεδειγμένη λύση για τους κάτωθι ενδεικτικά αναφερόμενους λόγους: · Λόγοι ασφαλείας: κατόπιν μελέτης κρίνεται απαραίτητη η άμεση μετεγκατάσταση της Αρχής σε δικές της κτηριακές εγκαταστάσεις, οι οποίες θα τηρούν συγκεκριμένες προδιαγραφές ασφαλείας, όπως ενδεικτικά η απόσταση ασφαλείας από άλλα γειτνιάζοντα κτήρια, φωτισμός και περίφραξη κτηρίου, συστήματα ελέγχου πρόσβασης επισκεπτών και εργαζομένων, διαχείριση διαφορετικών επιπέδων πρόσβασης προσωπικού και επισκεπτών με χρήση ηλεκτρονικών καρτών ή/και βιομετρικών συστημάτων, εγκατάσταση ψηφιακών υποδομών (computer room, servers, δίκτυα, κλπ.), ασφάλεια δικτύου υπολογιστών, ασφαλείς χώροι αποθήκευσης (π.χ. ερμάρια με αντικλεπτικούς μηχανισμούς), κρυπτογράφηση ψηφιακών δεδομένων, κρυπτογράφηση επικοινωνιών με χρήση ανάλογου εξοπλισμού κλπ. · Επωνυμία και ταυτότητα (branding): Ένα ξεχωριστό κτίριο επιτρέπει στην Αρχή να καθιερώσει τη δική της ταυτότητα και την εννοιολογική μεταξύ άλλων οντότητά της. Να αναδείξει το σκοπό και την αποστολή της και να βοηθήσει στην οικοδόμηση μιας ξεχωριστής οργανωτικής κουλτούρας τόσο σε εσωτερικό επίπεδο όσο και ως προς την εικόνα που θα εμφανίζει προς τα έξω. Αυτά σε συνδυασμό και με ένα λογότυπο το οποίο θα αποτελεί ένα ξεκάθαρο σημείο αναφοράς του έργου με το οποίο είναι επιφορτισμένη η Αρχή. · Λειτουργική ανεξαρτησία, προστασία απορρήτου, εμπιστευτικότητα: Η ύπαρξη δικού της κτιρίου παρέχει στον Αρχή έναν βαθμό επιχειρησιακής ανεξαρτησίας, ενισχύει την εμπιστευτικότητα και την ιδιωτικότητα (μειωμένος κίνδυνος διαρροής πληροφοριών).