Βασικό προαπαιτούμενο για τον ψηφιακό μετασχηματισμό της ελληνικής κοινωνίας και οικονομίας συνιστά η διαφύλαξη ενός υψηλού επιπέδου ασφάλειας των ψηφιακών συστημάτων και υπηρεσιών. Η προαγωγή της κυβερνοασφάλειας των συστημάτων δικτύων και υπηρεσιών αποτελεί μία από τις βασικότερες προϋποθέσεις για την εμπέδωση εμπιστοσύνης στους χρήστες των ψηφιακών υπηρεσιών και εφαρμογών στις νέες τεχνολογίες, με σημαντικό όφελος για το συνολικό επίπεδο της «ψηφιακής» ανάπτυξης και της συνολικής κοινωνικής και οικονομικής ευημερίας. Παράλληλα, νέες τεχνολογίες (5G, Artificial Intelligence, IoT, Cloud Computing, Big Data κλπ.) που μπορούν να μεταβάλουν ριζικά τον τρόπο εξυπηρέτησης των πολιτών και των επιχειρήσεων -σε όρους ταχύτητας, εύρους και ποιότητας ψηφιακών υπηρεσιών- αυξάνουν τη συνολική επιφάνεια για ενδεχόμενες κυβερνοεπιθέσεις.
Υπό το πρίσμα αυτό, η διαφύλαξη υψηλού επιπέδου κυβερνοασφάλειας προϋποθέτει μια ολιστική στρατηγική προσέγγιση, μέσω της οποίας: α) προσδιορίζονται οι άξονες παρεμβάσεων, β) τίθενται στόχοι, γ) αναπτύσσεται ένα ολοκληρωμένο πλαίσιο δράσεων και δ) επιτυγχάνεται η ενεργοποίηση και ο συντονισμός όλων των εμπλεκόμενων φορέων.
Επιπλέον, ο στρατηγικός σχεδιασμός οφείλει να ανατροφοδοτείται, ώστε να ανταποκρίνεται στις διαρκώς μεταβαλλόμενες προκλήσεις του σύνθετου περιβάλλοντος κυβερνοαπειλών και κυβερνοεπιθέσεων. Σε ενωσιακό επίπεδο, πρόσφατα εκδόθηκε η Στρατηγική της Ε.Ε. για την Ένωση Ασφάλειας 2020 -2025 (COM(2020) 605 final), στην οποία αναδεικνύεται η σημασία της κυβερνοασφάλειας για την ευρύτερη ψηφιακή αναβάθμιση των κρατών μελών της Ε.Ε.. Παράλληλα, η Οδηγία 2016/1148/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (Network and Information Security-NIS Directive) θεσπίζει ένα κοινό πλαίσιο κανόνων για όλα τα κράτη μέλη, μεταξύ των οποίων η αναγνώριση των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) και των Παρόχων Ψηφιακών Υπηρεσιών (Π.Ψ.Υ.), η πρόβλεψη ενισχυμένων μέτρων ασφάλειας και η λειτουργία ομάδων απόκρισης για πιθανά συμβάντα (CSIRTs), οι οποίες θα συνεργάζονται σε Ευρωπαϊκό επίπεδο, με ιδιαίτερη έμφαση στην κοινοποίηση συμβάντων και τη διαχείριση απειλών. Επιπλέον, η Ε.Ε. έχει ιδρύσει τον Ευρωπαϊκό Οργανισμό για την Κυβερνοασφάλεια (ENISA), ο οποίος έχει την έδρα του στην Ελλάδα και στηρίζει τα κράτη-μέλη και τις αντίστοιχες ομάδες παρέχοντας τεχνογνωσία και συμβουλές και διευκολύνοντας την ανταλλαγή βέλτιστων πρακτικών, ώστε να υπάρχει ενιαία στρατηγική αντιμετώπισης των κινδύνων.
Στη χώρα μας, αρμόδια υπηρεσία για τον εθνικό στρατηγικό σχεδιασμό κυβερνοασφάλειας είναι η Γενική Διεύθυνση Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης. Επιπλέον, η εν λόγω Υπηρεσία έχει οριστεί ως Εθνική Αρχή Κυβερνοασφάλειας (National Cyber Security Authority – NCSA), εποπτεύει την εφαρμογή του νόμου 4577/2018 (Α’ 199), και λειτουργεί ως το εθνικό ενιαίο σημείο επαφής για την ασφάλεια δικτύου και πληροφοριών, ενεργώντας επίσης ως σύνδεσμος διασφάλισης της διασυνοριακής συνεργασίας εντός της Ε.Ε.. Με την Εθνική Στρατηγική Κυβερνοασφάλειας (2018), ξεκίνησε μια σημαντική προσπάθεια αναβάθμισης του επιπέδου κυβερνοασφάλειας των δικτύων και υπηρεσιών, καλύπτοντας συνολικά δεκατρείς (13) στόχους, σε ευθυγράμμιση με τις ευρωπαϊκές και διεθνείς πρακτικές. Επιπλέον, με τις διατάξεις τoυ ν. 4577/2018 (Α’ 199) και της υ.α. με αριθμ. 1027/2019 (Β’ 3739) η νομοθεσία της χώρας μας εναρμονίσθηκε με τις διατάξεις της Οδηγίας NIS. Τα εν λόγω θεσμικά κείμενα περιλαμβάνουν, μεταξύ άλλων, τις υποχρεώσεις των φορέων, τις βασικές απαιτήσεις ασφάλειας συστημάτων δικτύου και πληροφοριών, και προσδιορίζουν τις διαδικασίες διαμοιρασμού πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες αρχές.
Κατόπιν των ανωτέρω, η Γενική Διεύθυνση Κυβερνοασφάλειας, σε συνέχεια της συνεργασίας της με τον ENISA έχει ήδη προβεί σε αξιολόγηση του υφιστάμενου στρατηγικού σχεδιασμού και αναπτύσσει κατάλληλη μεθοδολογία για την επικαιροποίησή του στο πλαίσιο πέντε (5) θεμελιωδών αξόνων παρέμβασης, ήτοι:
- ένα λειτουργικό σύστημα διακυβέρνησης,
- θωράκιση κρίσιμων υποδομών, ασφάλεια και νέες τεχνολογίες,
- βελτιστοποίηση διαχείρισης περιστατικών και καταπολέμηση του κυβερνοεγκλήματος,
- ένα σύγχρονο επενδυτικό περιβάλλον με έμφαση στην Έρευνα και Ανάπτυξη, και
- βελτίωση ικανοτήτων (capacity building), προαγωγή της ενημέρωσης και ευαισθητοποίησης.
Οι ανωτέρω εμβληματικοί άξονες θα εξειδικευτούν σε επιμέρους στόχους, δραστηριότητες και εκροές – παραδοτέα, που καλύπτουν όλο το φάσμα των πυλώνων: αναγνώριση, προστασία και αντιμετώπιση. Περαιτέρω, στο πλαίσιο των ανωτέρω εμβληματικών αξόνων, αποσκοπείται η αξιοποίηση τεχνικών συνεργασιών και συνεργειών με ανάλογους μηχανισμούς της Ε.Ε. (DG Reform), τον ENISA, αλλά και φορείς του ιδιωτικού τομέα. Συγκεκριμένα:
Α) Ένα λειτουργικό σύστημα διακυβέρνησης
Θεμελιώδη προτεραιότητα για την εφαρμογή της Εθνικής Στρατηγικής Κυβερνοασφάλειας συνιστά η ανάπτυξη ενός ολοκληρωμένου συστήματος διακυβέρνησης, στο πλαίσιο του οποίου θα αντιμετωπίζονται ολιστικά όλοι οι τομείς παρέμβασης για την κυβερνοασφάλεια (Δημόσιος τομέας, Φ.Ε.Β.Υ., Ιδιωτικός τομέας), θα καθορίζονται σαφείς ρόλοι και αρμοδιότητες για όλους τους εμπλεκόμενους φορείς και θα προβλέπονται σαφείς, εκ των προτέρων καθορισμένες διαδικασίες, βάσει των οποίων το σύστημα διακυβέρνησης λειτουργεί και εξελίσσεται. Ειδικότερα, στο πλαίσιο του εν λόγω άξονα θα πραγματοποιηθούν παρεμβάσεις που αφορούν την υιοθέτηση και εφαρμογή μεθοδολογιών και πρακτικών ανάλυσης κινδύνου και διαχείρισης καταστάσεων έκτακτης ανάγκης, τη δημιουργία ολοκληρωμένου πλαισίου και πρακτικών διαχείρισης για φορείς του δημοσίου, την ανάπτυξη βάσεων παρακολούθησης, ανάλυσης και αξιολόγησης δεδομένων που αφορούν την κυβερνοασφάλεια και τις κυβερνοεπιθέσεις, καθώς και την ανάπτυξη ενός ολοκληρωμένου πλαισίου αριστείας στον τομέα της κυβερνοασφάλειας (cybersecurity excellence framework) στο πλαίσιο του οποίου θα εκπονηθούν εγχειρίδια και οδηγοί καλών πρακτικών, checklists και εύχρηστα εργαλεία για βελτίωση του επιπέδου κυβερνοασφάλειας.
Β) Θωράκιση κρίσιμων υποδομών, ασφάλεια και νέες τεχνολογίες
Ο ψηφιακός μετασχηματισμός της δημόσιας διοίκησης και η παροχή προηγμένων ηλεκτρονικών υπηρεσιών στους πολίτες είναι άρρηκτα συνδεδεμένα με τις εξελίξεις στον τομέα ΤΠΕ (όπως ενδεικτικά 5G, ΙοΤ, Τεχνητή Νοημοσύνη, κλπ.). Οι εν λόγω τεχνολογίες αφενός επηρεάζουν τη δομή της ψηφιακής διακυβέρνησης μέσω της παροχής κατάλληλων εργαλείων για την άμεση εξυπηρέτηση των αιτημάτων των πολιτών και τη μείωση της γραφειοκρατίας, αφετέρου επιτάσσουν την υιοθέτηση αρχών κυβερνοασφάλειας ήδη από τον σχεδιασμό (π.χ. security by design and by default), ώστε να διασφαλιστεί η προστασία υποδομών και δεδομένων και η συμμόρφωση με την κείμενη νομοθεσία και τους κανονισμούς (όπως ενδεικτικά EU GDPR και 4624/2019 NIS Directive και 4577/2018, ePrivacy, κλπ.). Παράλληλα, στο πλαίσιο του εν λόγω άξονα αναπτύσσονται δράσεις που αφορούν τη δημιουργία μητρώου δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας (asset registry), την εκπόνηση ενισχυμένων απαιτήσεων ασφαλείας, τη δημιουργία συστήματος ενημέρωσης για ευπάθειες (vulnerability alerts), αλλά και ελέγχων – επιθεωρήσεων. Κάθε φορέας θα πρέπει να θεσπίζει, να υλοποιεί και να διατηρεί επικαιροποιημένες και κατάλληλα προσαρμοσμένες πολιτικές ασφαλείας για τα συστήματα δικτύου και πληροφοριών.
Επιπλέον, για την παρακολούθηση και συνεχή βελτίωση της ορθής εφαρμογής των παραπάνω απαιτήσεων, σχεδιάζεται η εφαρμογή ενός πλαισίου αξιολόγησης, το οποίο θα μπορεί να χρησιμοποιείται είτε από τους ίδιους τους φορείς, ως εργαλείο αυτοαξιολόγησης, είτε σαν βάση αναφοράς σε πιθανές επιθεωρήσεις. Τα αποτελέσματα από την εφαρμογή του Οδηγού δύναται να αξιοποιηθούν για το σχεδιασμό διορθωτικών ή βελτιωτικών ενεργειών από τους ίδιους τους φορείς αλλά και ως εργαλείο άσκησης οριζόντιων παρεμβάσεων από την Εθνική Αρχή Κυβερνοασφάλειας. Ιδιαίτερα, σημαντικό εργαλείο, κατά τη φάση αυτή, αποτελεί η έννοια της βαθμολόγησης του επιπέδου της κυβερνοασφάλειας οργανισμών αλλά και τομέων, ως σημείο αναφοράς.
Γ) Βελτιστοποίηση διαχείρισης περιστατικών και καταπολέμηση του κυβερνοεγκλήματος
Ξεχωριστό άξονα στο στρατηγικό σχεδιασμό συνιστά η βελτιστοποίηση διαχείρισης περιστατικών και η καταπολέμηση του κυβερνοεγκλήματος. Στο πλαίσιο του εν λόγω άξονα αναπτύσσονται δράσεις που αφορούν τη βελτιστοποίηση μεθόδων, τεχνικών και εργαλείων παρακολούθησης, ανάλυσης, απόκρισης και κοινοποίησης συμβάντων. Ιδιαίτερη έμφαση δίνεται στη συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με τους οργανισμούς για την προστασία των υποδομών τους έναντι επιθέσεων. Επιπλέον, οι δράσεις του εν λόγω άξονα αφορούν και τη βελτιστοποίηση της ανταλλαγής τεχνογνωσίας και πληροφοριών μεταξύ των ομάδων απόκρισης ή/και των εκάστοτε υπευθύνων ασφάλειας πληροφοριών και δικτύων, που συνιστά ένα ακόμα βασικό συστατικό επιτυχίας στην αντιμετώπιση απειλών. Με την διάχυση της τεχνογνωσίας και των πληροφοριών μεταξύ των εμπλεκομένων μπορεί να επιτευχθεί αμεσότερη, εγκυρότερη και εν τέλει αποδοτικότερη αντιμετώπιση των περιστατικών ασφάλειας και διαχείριση των ζητημάτων κυβερνοασφάλειας εν γένει. Ήδη υπάρχει συνέργεια σε αυτό τον τομέα, τόσο μεταξύ των αρμόδιων ομάδων απόκρισης όσο και των λοιπών εμπλεκομένων, αλλά απαιτείται η περαιτέρω ενίσχυσή της μέσω ενός πλέγματος κατάλληλων δράσεων. Τέτοιες δράσεις αφορούν στη θεσμοθέτηση διαδικασιών ανταλλαγής πληροφοριών, στη συγκρότηση ομάδων εργασίας με τακτικές συναντήσεις και στην ανάπτυξη κατάλληλων υποστηρικτικών εργαλείων ανταλλαγής πληροφοριών. Μέσα από σχετικές συνέργειες και διεξαγωγή εργαστηρίων (workshops) μπορούν να υλοποιούνται και να προωθούνται, με συντονισμένο τρόπο, κατάλληλοι αμυντικοί μηχανισμοί, μέθοδοι αντιμετώπισης περιστατικών, τεχνικές μετριασμού επιπτώσεων και καλές πρακτικές. Για την επίτευξη των ανωτέρω ενθαρρύνεται η χρήση κατάλληλων εργαλείων ανοιχτού λογισμικού με στόχο την αυτοματοποιημένη και ομοιογενή διαχείρισή τους. Τέλος, ειδική έμφαση δίνεται στη συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με τις κατά περίπτωση αρμόδιες αρχές σε θέματα αντιμετώπισης του κυβερνοεγκλήματος.
Δ) Ένα σύγχρονο επενδυτικό περιβάλλον με έμφαση στην Έρευνα και Ανάπτυξη
Σημαντικό πυλώνα διαφύλαξης ενός υψηλού επιπέδου κυβερνοασφάλειας στη νέα εποχή συνιστά ο ολοκληρωμένος σχεδιασμός μιας στοχευμένης επενδυτικής πολιτικής με κατάλληλα κίνητρα, αλλά και η δημιουργία ενός ολοκληρωμένου πλαισίου έρευνας και ανάπτυξης. Ειδικότερα, σε ό,τι αφορά τις επενδύσεις, επιδιώκεται η δημιουργία ενός μεσοπρόθεσμου πλάνου – εργαλειοθήκης με κατάλληλα κίνητρα για επενδύσεις στον τομέα της κυβερνοασφάλειας (Cybersecurity Investment Toolkit), αλλά και η συνολική βελτιστοποίηση των μηχανισμών χρηματοδότησης. Σε ό,τι αφορά την έρευνα και ανάπτυξη, σημαντικές παρεμβάσεις αφορούν κυρίως τη δικτύωση των ερευνητικών φορέων και των επιχειρήσεων, με στόχο την ανάπτυξη καινοτόμων εφαρμογών και υπηρεσιών, την προαγωγή των συνεργειών με ακαδημαϊκούς και ερευνητικούς φορείς, αλλά και η διαμόρφωση μιας μεσοπρόθεσμης ατζέντας προτεραιοτήτων στους τομείς της έρευνας και ανάπτυξης ειδικά για την κυβερνοασφάλεια (Cybersecurity R&D Agenda).
Ε) βελτίωση ικανοτήτων (capacity building), προαγωγή της ενημέρωσης και ευαισθητοποίησης
Εξέχουσα σημασία για το συνολικό εγχείρημα της αναβάθμισης του επιπέδου κυβερνοασφάλειας φορέων και υπηρεσιών αποκτά ο άξονας της βελτίωσης ικανοτήτων, προαγωγής της ενημέρωσης και ευαισθητοποίησης σε θέματα κυβερνοασφάλειας. Υπό το πρίσμα αυτό, καίριο ρόλο διαδραματίζει τόσο η οργάνωση, υλοποίηση και συμμετοχή σε ασκήσεις, αλλά και η υλοποίηση συστηματοποιημένων προγραμμάτων κατάρτισης και επανεκπαίδευσης του προσωπικού που εμπλέκεται στην ανάπτυξη, την υλοποίηση και την παραγωγική λειτουργία συστημάτων και εφαρμογών. Περαιτέρω, στο πλαίσιο του εν λόγω άξονα, αναπτύσσεται μια ολοκληρωμένη στρατηγική διάχυσης και ευαισθητοποίησης των χρηστών των ψηφιακών υπηρεσιών, με στόχο την ενημέρωσή τους και την προαγωγή κουλτούρας κυβερνοασφάλειας – ασφαλούς χρήσης.
8.5.1.Έργα
Παρακάτω παρουσιάζονται ενδεικτικά έργα και δράσεις για την ενίσχυση της κυβερνοασφάλειας.
Επικαιροποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας και εκπόνηση σχεδίου δράσης
Επικαιροποίηση του εθνικού στρατηγικού σχεδιασμού για την κυβερνοασφάλεια, με λεπτομερές πλάνο δραστηριοτήτων (στρατηγικοί – ειδικοί στόχοι, δραστηριότητες, εκροές/παραδοτέα, KPIs, χρονοδιαγράμματα), λαμβάνοντας υπόψη βέλτιστες ευρωπαϊκές και διεθνείς πρακτικές.
Ανάπτυξη ολοκληρωμένου συστήματος – πλαισίου διαχείρισης κυβερνοασφάλειας
Ολιστική αναβάθμιση του συστήματος διαχείρισης κυβερνοασφάλειας, με έμφαση σε δομές και διαδικασίες κρίσιμων υποδομών, συστημάτων – υποσυστημάτων, και υπηρεσιών του δημοσίου. (baseline security measures, διαδικασίες εκπόνησης και εφαρμογής πολιτικών ασφάλειας, ρυθμιστικό πλαίσιο)
Ανάπτυξη εγχειριδίου – οδηγού (handbook) καλών πρακτικών κυβερνοασφάλειας
Ενδυνάμωση του επιπέδου κυβερνοασφάλειας φορέων και προαγωγή της αριστείας (excellence) στον τομέα της κυβερνοασφάλειας μέσα από την εκπόνηση και διάθεση από τη Γενική Διεύθυνση Κυβερνοασφάλειας οδηγού με καλές πρακτικές, οδηγίες και συστάσεις, αλλά και ενέργειες υποστήριξης για την εφαρμογή του.
Εκπόνηση μελέτης αποτίμησης επικινδυνότητας σε εθνικό επίπεδο
Ανάπτυξη και εφαρμογή μεθοδολογίας για την αποτίμηση κινδύνου σε κρίσιμες ψηφιακές υποδομές, συστήματα, υποσυστήματα και υπηρεσίες της χώρας, με σκοπό τη λήψη στοχευμένων μέτρων βελτίωσης του επιπέδου κυβερνοασφάλειας.
Διαμόρφωση και εφαρμογή Οδηγού Αξιολόγησης επιπέδου ωριμότητας φορέων
Δημιουργία ενός πρακτικού εργαλείου αξιολόγησης που, σε συνδυασμό με τον πρακτικό οδηγό (cybersecurity handbook), θα επιτρέψει την αξιολόγηση του επιπέδου κυβερνοασφάλειας φορέων βάσει συγκεκριμένων κριτηρίων με σκοπό την ενδυνάμωσή τους.
Δράσεις υποστήριξης για την αναβάθμιση των συστημάτων και των δυνατοτήτων ασφάλειας κρίσιμων υποδομών
Παροχή συνεχούς υποστήριξης, συστάσεων, οδηγιών και εργαλείων προς τους οικείους φορείς με σκοπό την επαύξηση του επιπέδου κυβερνοασφάλειάς τους.
Εκπόνηση Σχεδίου Έκτακτης Ανάγκης για την αντιμετώπιση κρίσεων στον κυβερνοχώρο
Προσδιορισμός εμπλεκομένων φορέων, διαδικασιών και σεναρίων για την αντιμετώπιση έκτακτων αναγκών – διαχείριση κρίσεων που σχετίζονται με περιστατικά ασφαλείας και κυβερνοεπιθέσεις σε συστήματα πληροφορικής και επικοινωνιών.
Εγκαθίδρυση πλατφόρμας διαμοιρασμού πληροφοριών που σχετίζονται με απειλές και περιστατικά κυβερνοασφάλειας
Πλατφόρμα ανταλλαγής πληροφοριών (information sharing) στην οποία θα έχουν πρόσβαση οι αρμόδιοι φορείς με σκοπό τη βελτιστοποίηση του πλαισίου διαχείρισης συμβάντων και περιστατικών ασφαλείας.
Πραγματοποίηση δράσεων ενημέρωσης και ευαισθητοποίησης (σεμιναρίων, workshops και ημερίδων) σχετικά με κυβερνοασφάλεια
Εκπόνηση και εφαρμογή ολοκληρωμένου σχεδίου δράσεων για την εκπαίδευση και την ευαισθητοποίηση (ανάλυση υφιστάμενης κατάστασης, προσδιορισμός αναγκών – target groups, λήψη στοχευμένων μέτρων) στον τομέα της κυβερνοασφάλειας.
Λειτουργία πλατφόρμας προστασίας ιστοτόπων έναντι κυβερνοεπιθέσεων
Λειτουργία πλατφόρμας μέσω της οποίας παρέχονται υπηρεσίες αυξημένης προστασίας ιστοτόπων από κυβερνοεπιθέσεις του κυβερνοχώρου (πχ. DDOS, Application Level Attacks) και γίνεται η παρακολούθηση των περιστατικών ασφαλείας.
Λειτουργία πλατφόρμας αξιολόγησης ασφάλειας των κρίσιμων υποδομών της χώρας και εποπτική παρακολούθηση του Ελληνικού Κυβερνοχώρου
Λειτουργία πλατφόρμας η οποία υποστηρίζει την αξιολόγηση κρίσιμων υποδομών και την παρακολούθηση του επιπέδου κυβερνοασφάλειας του Ελληνικού Κυβερνοχώρου με συγκεκριμένη μεθοδολογία και τεχνικές, παρέχοντας άμεση ενημέρωση για το επίπεδο κυβερνοασφάλειας. (cybersecurity rating)
Εγκαθίδρυση συστήματος παρακολούθησης σε πραγματικό χρόνο της διαθεσιμότητας των ιστοτόπων των Κυβερνητικών Οργανισμών και των κρίσιμων υποδομών της χώρας
Εγκατάσταση και λειτουργία συστήματος για την παροχή συνεχούς πληροφόρησης του τρέχοντος επιπέδου διαθεσιμότητας ιστοτόπων των οικείων φορέων. (website availability status)
Εγκαθίδρυση πλατφόρμας και εργαλείων για πραγματοποίηση vulnerability Assessment & pen testing
Πλατφόρμα μέσω της οποίας παρέχεται η δυνατότητα αξιοποίησης εργαλείων ανάλυσης ευπαθειών και ελέγχων παρείσδυσης (penetration testing) σε συστήματα και ψηφιακές υποδομές των οικείων φορέων.
Έλεγχος τρωτότητας (Penetration Testing) των ιστοτόπων και των δικτύων των Κυβερνητικών Οργανισμών και των κρίσιμων υποδομών της χώρας
Πραγματοποίηση στοχευμένων ελέγχων σε ιστοτόπους και δίκτυα των οικείων οργανισμών και φορέων με σκοπό την αξιολόγηση του επιπέδου ασφάλειας και την παροχή συστάσεων – οδηγιών για τη λήψη συγκεκριμένων μέτρων αντιμετώπισης απειλών-ευπαθειών.
Ανάπτυξη και τήρηση Μητρώου-αποθετηρίου (Asset Registry) δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας
Ανάπτυξη και τήρηση μητρώου στο οποίο θα καταχωρούνται δεδομένα δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας, με σκοπό την υποστήριξη του σχεδιασμού μέτρων ασφαλείας, αλλά και των διαδικασιών αντιμετώπισης συμβάντων (ιδίως για τα αλληλεξαρτώμενα συστήματα).
Σχεδιασμός και θεσμοθέτηση πλαισίου ελέγχων – επιθεωρήσεων στις κρίσιμες υποδομές της χώρας
Σχεδιασμός ενός ολοκληρωμένου πλαισίου για την πραγματοποίηση εσωτερικών και εξωτερικών ελέγχων – επιθεωρήσεων, με τη σύσταση κλιμακίων της Γενικής Διεύθυνσης Κυβερνοασφάλειας, την εκπόνηση και εφαρμογή οδηγού ελέγχου, την έκδοση συστάσεων – οδηγιών και την εκπόνηση περιοδικών εκθέσεων.
Διενέργεια ελέγχων – επιθεωρήσεων στις κρίσιμες υποδομές της χώρας
Πραγματοποίηση ελέγχων σύμφωνα με συγκεκριμένη μεθοδολογία και τεχνικές, στο πλαίσιο προγράμματος τακτικών και έκτακτων ελέγχων της Γενικής Διεύθυνσης Κυβερνοασφάλειας.
Εκπόνηση Cybersecurity R&D Agenda
Εκπόνηση μεσοπρόθεσμης ατζέντας καθορισμού προτεραιοτήτων στην Έρευνα και Ανάπτυξη (R&D) για τον τομέα της κυβερνοασφάλειας, και υλοποίηση ολοκληρωμένου πλαισίου δράσεων, λαμβάνοντας υπόψη ευρωπαϊκές και διεθνείς πρακτικές.
Εκπόνηση Cybersecurity Investment Toolkit
Εκπόνηση εργαλειοθήκης (toolkit), σε συνεργασία με τις κατά περίπτωση αρμόδιες Υπηρεσίες, με σκοπό την παροχή στοχευμένων κινήτρων στον ιδιωτικό τομέα για επενδύσεις σε μέτρα, υποδομές, υπηρεσίες και εξοπλισμό κυβερνοασφάλειας.
Πίνακας 16: Ενδεικτικά Έργα
Πηγή: Ιδία επεξεργασία
Σελ 162: “Λειτουργία πλατφόρμας προστασίας ιστοτόπων έναντι κυβερνοεπιθέσεων”
Με την εφαρμογή και λειτουργία ειδικών τεχνολογικών λύσεων για την αντιμετώπιση περιστατικών άρνησης υπηρεσίας (denial of service) και επιθέσεων σε επίπεδο εφαρμογών (application-level attacks) καλύπτεται ένα περιορισμένο εύρος πιθανών κυβερνοεπιθέσεων. Σε πρόσφατη έκθεση του ENISA (Οκτώβριος 2020), σημειώνεται ότι τα προαναφερόμενα δύο περιστατικά αποτελούν μόνο 2 από τις συνολικά 15 κυριότερες απειλές για την ασφάλεια των πληροφοριών. Συνιστάται να εξεταστεί η εφαρμογή ενός μεγαλύτερου φάσματος μηχανισμών για την περαιτέρω προστασία τόσο των ιστοτόπων ειδικότερα όσο και των πληροφοριακών και επικοινωνιακών συστημάτων γενικότερα.
Στα ενδεικτικά έργα θα μπορούσατε να εισάγετε:
~την ανάπτυξη υπηρεσίας back-up σε περίπτωση κυβερνοεπιθετικού γεγονότος.
Παρατηρώντας όλο το σχέδιο ξεκινάμε με τα βασικά.
i) καμία πρόβλεψη για GAP όπου θα μπορεί να αξιολογηθεί το τι χρειάζεται πραγματικά και να αναδιαμορφωθεί το όλο εγχείρημα ως πρέπει και οχι όπως έχει γραφτεί (προφανώς τυποποιημένα σαν project plan χωρίς σύνδεση με την πραγματικότητα). Μια προσέγγιση που πάντα είναι ενάντια στην ορθή διαχείριση κόστους.
ii) Το Cyber Security είναι εφάμιλο αν όχι μεγαλύτερο σε όγκο αυτών των έργων καθώς είναι βασικό θεμέλιο επιχειρησιακής λειτουργίας. Με απλά λόγια, κατά το security by design, πρώτα σχεδιάζουμε το πλάνο στο πλαίσιο που ορίζει η ασφάλεια και το επίπεδο που θέλουμε (αναλόγως πληροφοριών) και μετά το τοποθετούμε σαν συνδυαστικό έργο και οχι υπομέρος ενός πλάνου.
iii) Δεν είδαμε πουθενά στα έργα την εκπόνηση σχεδίου για την διασύνδεση με τον ιδιωτικό τομέα και πώς αυτό θα ολοκληρωθεί. Υπενθυμίζεται πως η δομή ενός ψηφιακού συστήματος βασίζεται κυρίως στα όμοια επίπεδα ικανότητας επιχειρησιακής και ασφαλούς λειτουργίας.
iv) θα σύστηνα επίσης μια πρόβλεψη που να αφορά την κλιμακωτή επέκταση δομών και προδιαγραφών ασφαλείας σε ίδιο χρόνο και πράξεις μέσα από ομάδα ανθρώπων που θα διέπουν όλο το φάσμα των έργων. Είναι προφανές πώς η ανάπτυξη μια ψηφιακής υποδομής σε όλο της το φάσμα, δεν μπορεί να είναι αυτοτελές έργο.
Ενώ σε έναν από τους πέντε (5) θεμελιώδεις άξονες παρέμβασης και πιο συγκεκριμένα στον άξονα «Ε) βελτίωση ικανοτήτων (capacity building), προαγωγή της ενημέρωσης και ευαισθητοποίησης», γίνεται αναφορά για την κουλτούρα κυβερνοασφάλειας, δεν επαρκεί μόνο το έργο:
«Πραγματοποίηση δράσεων ενημέρωσης και ευαισθητοποίησης (σεμιναρίων, workshops και ημερίδων) σχετικά με κυβερνοασφάλεια
Εκπόνηση και εφαρμογή ολοκληρωμένου σχεδίου δράσεων για την εκπαίδευση και την ευαισθητοποίηση (ανάλυση υφιστάμενης κατάστασης, προσδιορισμός αναγκών – target groups, λήψη στοχευμένων μέτρων) στον τομέα της κυβερνοασφάλειας.»
Είναι πλέον γνωστό ότι ακρογωνιαίος λίθος για την κυβερνοασφάλεια κρίσιμο ρόλο παίζει ο κλάδος της Εκπαίδευσης και Ευαισθητιποίησης στην Ασφάλεια Πληροφοριών (Information Security Awareness and Training (ISAT)). Τα πιο ασφαλή συστήματα και διαδικασίες να υπάρχουν, αν το προσωπικό δεν έχει εκπαιδευτεί κατάλληλα είναι σίγουρο ότι θα υπάρχουν παραβιάσεις που θα κοστίσουν.
Άρα χρειάζεται ένα σχέδιο για προαγωγή όχι μόνο της επιμόρφωσης μέσω σεμιναρίων και workshops χωρίς ουσιαστικό αντίκρυσμα. Απαιτείται να αναπτυχθούν διαδικασίες που θα παρέχουν στοχευμένη ISAT, μέσω όλων των μέσω που παρέχει η τεχνολογία σήμερα. Ένα από αυτά τα μέσα είναι η ISAT μέσω της επιστήμης gamification, ώστε μέσω απλών εργαλείων διαθέσιμων online να μπορούν οι διάφορες πληθυσμιακές ομάδες (μαθητές, διοικητικό προσωπικό, υπάλληλοι κυβερνοασφάλειας) να προάγουν συνεχως την εκπαίδευση και την ευαισθητοποίηση τους, με μετρήσιμους στόχους. Άρα απαιτείται και σε κυβερνητικό επίπεδο η προαγωγή για την ανάπτυξη και υλοποίηση τέτοιων εργαλείων και η εφαρμογή τους σε ευρεία κλίμακα.
Καθίδρυση προγραμμάτων «bug bounty», έτσι ώστε να επιτραπεί τόσο σε ιδιώτες όσο και ερευνητές από το εξωτερικό να αναφέρουν σφάλματα και κενά ασφαλείας το συντομότερο δυνατόν.
Ανάπτυξη ολοκληρωμένου συστήματος – πλαισίου διαχείρισης κυβερνοασφάλειας
Η πρότασή μου για την ανάπτυξη ενός ολοκληρομένου συστήματος είναι χρήση υπαρχόντων πλαισίων όπως το NIST καθώς αφορά κυβερνητικές αλλα κι ιδιωτικές υπηρεσίες σε συνδιασμό με ISO27xxx. Κατά την άποψή μου δε χρειάζεται να δημιουργηθεί εξ’αρχής ένα ειδικό πλαίσιο.
Δράσεις υποστήριξης για την αναβάθμιση των συστημάτων και των δυνατοτήτων ασφάλειας κρίσιμων υποδομών
Οι δράσεις πρέπει να είναι σχετικές με ένα αρχικό vulnerability and risk assessment (για παράδειγμα την χρήση TLS σε ΟΛΑ τα κυβερνητικά sites κλπ). Με αυτό τον τρόπο θα μπορέσετε να διαχειριστείτε συγκεκριμένα προβλήματα στην αρχή ώστε να εμπίπτουν στο Πλαίσιο Διαχείρησης Κυβερνοασφάλειας.
Έλεγχος τρωτότητας (Penetration Testing) των ιστοτόπων και των δικτύων των Κυβερνητικών Οργανισμών και των κρίσιμων υποδομών της χώρας
Security by design και Pentest σε περιβάλλον Pre-Production σε ΚΑΘΕ νέο webapp, η MobileApp το οποίο έχει public exposure.
Ανάπτυξη και τήρηση Μητρώου-αποθετηρίου (Asset Registry) δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας
Αυτοματοποιημένο και συνδεδεμένο με τις οικονομικές υπηρεσίες, την υπηρεσία κυβερνοασφάλειας, την υπηρεσία προσωπικού και τις τεχνικές ομάδες οι οποίες χειρίζονται προβλήματα στον εξοπλισμό για τον πλήρη έλεγχο κατα την εισοδο, εργασία κι έξοδο εργαζομένων αλλά και εξοπλισμού (on maintenance, damage). Είναι σωστή η εγκατάσταση agent για την ειδοποίηση του SOC (security operations center) σε περίπτωση επίθεσης στο asset (SIEM solution κι EDR)
Αναγκαία η ίδρυση SOC για incident και crisis management. Απαραίτητος ο έλεγχος όλων των websites με εργαλείο το οποίο ελέγχει κάνει καθημερινό assessment σύμφωνα με OWASP, DarkWeb notifications.
Όσον αφορά το KYC, οι καλύτεροι οργανισμοί αυτοί τη στιγμή είναι οι τράπεζες (πρόσφατα ενημερωμένα KYC DBs), υπάρχουν συστήματα τα οποία μπορούν να συνδέσουν το τραπεζικό KYC DB με κυβερνητικά συστήματα για την είσοδο κι υπογραφή εγγράφων απο τους πολίτες. Σε διαφορετική περίπτωση η είσοδος σε κυβερνητικές σελίδες πρέπει να υποστηρίζουν MFA (app, token, etc αλλα οχι SMS – βλεπε SIM Swapping).
1)Προτείνω μερικοί από τους όρους που χρησιμοποιούνται να είναι λίγο πιο συγκεκριμένοι. Για παράδειγμα, όταν λέμε υψηλό επίπεδο κυβερνοασφάλειας, πως μεταφράζεται αυτό πρακτικά. Η μόνη σύγκριση μπορεί να γίνει αναφορικά με το υφιστάμενο επίπεδο. Γι αυτό το λόγο πρέπει να καταρτιστούν συγκεκριμένα metrics και πάνω σε αυτά να εστιάσουμε.
2)Τι σημαίνει «ολιστική στρατηγική προσέγγιση»; Θα μπορούσε να είναι απλά ολιστική.
3)Αναφορικά με τα 19 έργα τα οποία έχετε ορίσει για την ενίσχυση της κυβερνοασφάλειας, θα πρέπει να γίνει απόλυτα κατανοητό ότι πολλά από αυτά όταν υλοποιηθούν πχ. βραχυπρόθεσμα, από εκεί και πέρα θα απότελούν συνεχή δραστηριότητα. Το τονίζω διότι μερικοί βλέπουν τα έργα αυτά ως project που μόλις ολοκληρωθούμ, δεν υποστηρίζονται πλέον, με αποτελέσμα να απαξιωθούν.
4)Τέλος, στα 19 έργα (που στην τελική είναι και αυτά που πρέπει να απασχολήσουν ουσιαστικά τους εμπλεκόμενους για την ορθή υλοποίηση) ο ιδιωτικός τομέας αναφέρεται γενικόλογα μόνο στο τελευταίο. Αυτό είναι λάθος. Η λογική των Συνεργειών Δημόσιου – Ιδιωτικού Τομέα (Public Private Partnerships) είναι πολύ διαδομένη και αποτελεσματική στο εξωτερικό διότι ως γνωστό ο ιδιωτικός τομέας είναι πολύ εξελιγμένος σε αυτόν τον τομέα. Με άλλα λόγια, μπορούν μετά από συνεννόηση με ιδιωτικούς φορείς να υιοθετηθούν έτοιμες λύσεις οι οποίες θα προσαρμοσθούν κατά περίπτωση για το κάθε έργο.