Βασικό προαπαιτούμενο για τον ψηφιακό μετασχηματισμό της ελληνικής κοινωνίας και οικονομίας συνιστά η διαφύλαξη ενός υψηλού επιπέδου ασφάλειας των ψηφιακών συστημάτων και υπηρεσιών. Η προαγωγή της κυβερνοασφάλειας των συστημάτων δικτύων και υπηρεσιών αποτελεί μία από τις βασικότερες προϋποθέσεις για την εμπέδωση εμπιστοσύνης στους χρήστες των ψηφιακών υπηρεσιών και εφαρμογών στις νέες τεχνολογίες, με σημαντικό όφελος για το συνολικό επίπεδο της «ψηφιακής» ανάπτυξης και της συνολικής κοινωνικής και οικονομικής ευημερίας. Παράλληλα, νέες τεχνολογίες (5G, Artificial Intelligence, IoT, Cloud Computing, Big Data κλπ.) που μπορούν να μεταβάλουν ριζικά τον τρόπο εξυπηρέτησης των πολιτών και των επιχειρήσεων -σε όρους ταχύτητας, εύρους και ποιότητας ψηφιακών υπηρεσιών- αυξάνουν τη συνολική επιφάνεια για ενδεχόμενες κυβερνοεπιθέσεις.
Υπό το πρίσμα αυτό, η διαφύλαξη υψηλού επιπέδου κυβερνοασφάλειας προϋποθέτει μια ολιστική στρατηγική προσέγγιση, μέσω της οποίας: α) προσδιορίζονται οι άξονες παρεμβάσεων, β) τίθενται στόχοι, γ) αναπτύσσεται ένα ολοκληρωμένο πλαίσιο δράσεων και δ) επιτυγχάνεται η ενεργοποίηση και ο συντονισμός όλων των εμπλεκόμενων φορέων.
Επιπλέον, ο στρατηγικός σχεδιασμός οφείλει να ανατροφοδοτείται, ώστε να ανταποκρίνεται στις διαρκώς μεταβαλλόμενες προκλήσεις του σύνθετου περιβάλλοντος κυβερνοαπειλών και κυβερνοεπιθέσεων. Σε ενωσιακό επίπεδο, πρόσφατα εκδόθηκε η Στρατηγική της Ε.Ε. για την Ένωση Ασφάλειας 2020 -2025 (COM(2020) 605 final), στην οποία αναδεικνύεται η σημασία της κυβερνοασφάλειας για την ευρύτερη ψηφιακή αναβάθμιση των κρατών μελών της Ε.Ε.. Παράλληλα, η Οδηγία 2016/1148/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (Network and Information Security-NIS Directive) θεσπίζει ένα κοινό πλαίσιο κανόνων για όλα τα κράτη μέλη, μεταξύ των οποίων η αναγνώριση των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) και των Παρόχων Ψηφιακών Υπηρεσιών (Π.Ψ.Υ.), η πρόβλεψη ενισχυμένων μέτρων ασφάλειας και η λειτουργία ομάδων απόκρισης για πιθανά συμβάντα (CSIRTs), οι οποίες θα συνεργάζονται σε Ευρωπαϊκό επίπεδο, με ιδιαίτερη έμφαση στην κοινοποίηση συμβάντων και τη διαχείριση απειλών. Επιπλέον, η Ε.Ε. έχει ιδρύσει τον Ευρωπαϊκό Οργανισμό για την Κυβερνοασφάλεια (ENISA), ο οποίος έχει την έδρα του στην Ελλάδα και στηρίζει τα κράτη-μέλη και τις αντίστοιχες ομάδες παρέχοντας τεχνογνωσία και συμβουλές και διευκολύνοντας την ανταλλαγή βέλτιστων πρακτικών, ώστε να υπάρχει ενιαία στρατηγική αντιμετώπισης των κινδύνων.
Στη χώρα μας, αρμόδια υπηρεσία για τον εθνικό στρατηγικό σχεδιασμό κυβερνοασφάλειας είναι η Γενική Διεύθυνση Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης. Επιπλέον, η εν λόγω Υπηρεσία έχει οριστεί ως Εθνική Αρχή Κυβερνοασφάλειας (National Cyber Security Authority – NCSA), εποπτεύει την εφαρμογή του νόμου 4577/2018 (Α’ 199), και λειτουργεί ως το εθνικό ενιαίο σημείο επαφής για την ασφάλεια δικτύου και πληροφοριών, ενεργώντας επίσης ως σύνδεσμος διασφάλισης της διασυνοριακής συνεργασίας εντός της Ε.Ε.. Με την Εθνική Στρατηγική Κυβερνοασφάλειας (2018), ξεκίνησε μια σημαντική προσπάθεια αναβάθμισης του επιπέδου κυβερνοασφάλειας των δικτύων και υπηρεσιών, καλύπτοντας συνολικά δεκατρείς (13) στόχους, σε ευθυγράμμιση με τις ευρωπαϊκές και διεθνείς πρακτικές. Επιπλέον, με τις διατάξεις τoυ ν. 4577/2018 (Α’ 199) και της υ.α. με αριθμ. 1027/2019 (Β’ 3739) η νομοθεσία της χώρας μας εναρμονίσθηκε με τις διατάξεις της Οδηγίας NIS. Τα εν λόγω θεσμικά κείμενα περιλαμβάνουν, μεταξύ άλλων, τις υποχρεώσεις των φορέων, τις βασικές απαιτήσεις ασφάλειας συστημάτων δικτύου και πληροφοριών, και προσδιορίζουν τις διαδικασίες διαμοιρασμού πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες αρχές.
Κατόπιν των ανωτέρω, η Γενική Διεύθυνση Κυβερνοασφάλειας, σε συνέχεια της συνεργασίας της με τον ENISA έχει ήδη προβεί σε αξιολόγηση του υφιστάμενου στρατηγικού σχεδιασμού και αναπτύσσει κατάλληλη μεθοδολογία για την επικαιροποίησή του στο πλαίσιο πέντε (5) θεμελιωδών αξόνων παρέμβασης, ήτοι:
- ένα λειτουργικό σύστημα διακυβέρνησης,
- θωράκιση κρίσιμων υποδομών, ασφάλεια και νέες τεχνολογίες,
- βελτιστοποίηση διαχείρισης περιστατικών και καταπολέμηση του κυβερνοεγκλήματος,
- ένα σύγχρονο επενδυτικό περιβάλλον με έμφαση στην Έρευνα και Ανάπτυξη, και
- βελτίωση ικανοτήτων (capacity building), προαγωγή της ενημέρωσης και ευαισθητοποίησης.
Οι ανωτέρω εμβληματικοί άξονες θα εξειδικευτούν σε επιμέρους στόχους, δραστηριότητες και εκροές – παραδοτέα, που καλύπτουν όλο το φάσμα των πυλώνων: αναγνώριση, προστασία και αντιμετώπιση. Περαιτέρω, στο πλαίσιο των ανωτέρω εμβληματικών αξόνων, αποσκοπείται η αξιοποίηση τεχνικών συνεργασιών και συνεργειών με ανάλογους μηχανισμούς της Ε.Ε. (DG Reform), τον ENISA, αλλά και φορείς του ιδιωτικού τομέα. Συγκεκριμένα:
Α) Ένα λειτουργικό σύστημα διακυβέρνησης
Θεμελιώδη προτεραιότητα για την εφαρμογή της Εθνικής Στρατηγικής Κυβερνοασφάλειας συνιστά η ανάπτυξη ενός ολοκληρωμένου συστήματος διακυβέρνησης, στο πλαίσιο του οποίου θα αντιμετωπίζονται ολιστικά όλοι οι τομείς παρέμβασης για την κυβερνοασφάλεια (Δημόσιος τομέας, Φ.Ε.Β.Υ., Ιδιωτικός τομέας), θα καθορίζονται σαφείς ρόλοι και αρμοδιότητες για όλους τους εμπλεκόμενους φορείς και θα προβλέπονται σαφείς, εκ των προτέρων καθορισμένες διαδικασίες, βάσει των οποίων το σύστημα διακυβέρνησης λειτουργεί και εξελίσσεται. Ειδικότερα, στο πλαίσιο του εν λόγω άξονα θα πραγματοποιηθούν παρεμβάσεις που αφορούν την υιοθέτηση και εφαρμογή μεθοδολογιών και πρακτικών ανάλυσης κινδύνου και διαχείρισης καταστάσεων έκτακτης ανάγκης, τη δημιουργία ολοκληρωμένου πλαισίου και πρακτικών διαχείρισης για φορείς του δημοσίου, την ανάπτυξη βάσεων παρακολούθησης, ανάλυσης και αξιολόγησης δεδομένων που αφορούν την κυβερνοασφάλεια και τις κυβερνοεπιθέσεις, καθώς και την ανάπτυξη ενός ολοκληρωμένου πλαισίου αριστείας στον τομέα της κυβερνοασφάλειας (cybersecurity excellence framework) στο πλαίσιο του οποίου θα εκπονηθούν εγχειρίδια και οδηγοί καλών πρακτικών, checklists και εύχρηστα εργαλεία για βελτίωση του επιπέδου κυβερνοασφάλειας.
Β) Θωράκιση κρίσιμων υποδομών, ασφάλεια και νέες τεχνολογίες
Ο ψηφιακός μετασχηματισμός της δημόσιας διοίκησης και η παροχή προηγμένων ηλεκτρονικών υπηρεσιών στους πολίτες είναι άρρηκτα συνδεδεμένα με τις εξελίξεις στον τομέα ΤΠΕ (όπως ενδεικτικά 5G, ΙοΤ, Τεχνητή Νοημοσύνη, κλπ.). Οι εν λόγω τεχνολογίες αφενός επηρεάζουν τη δομή της ψηφιακής διακυβέρνησης μέσω της παροχής κατάλληλων εργαλείων για την άμεση εξυπηρέτηση των αιτημάτων των πολιτών και τη μείωση της γραφειοκρατίας, αφετέρου επιτάσσουν την υιοθέτηση αρχών κυβερνοασφάλειας ήδη από τον σχεδιασμό (π.χ. security by design and by default), ώστε να διασφαλιστεί η προστασία υποδομών και δεδομένων και η συμμόρφωση με την κείμενη νομοθεσία και τους κανονισμούς (όπως ενδεικτικά EU GDPR και 4624/2019 NIS Directive και 4577/2018, ePrivacy, κλπ.). Παράλληλα, στο πλαίσιο του εν λόγω άξονα αναπτύσσονται δράσεις που αφορούν τη δημιουργία μητρώου δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας (asset registry), την εκπόνηση ενισχυμένων απαιτήσεων ασφαλείας, τη δημιουργία συστήματος ενημέρωσης για ευπάθειες (vulnerability alerts), αλλά και ελέγχων – επιθεωρήσεων. Κάθε φορέας θα πρέπει να θεσπίζει, να υλοποιεί και να διατηρεί επικαιροποιημένες και κατάλληλα προσαρμοσμένες πολιτικές ασφαλείας για τα συστήματα δικτύου και πληροφοριών.
Επιπλέον, για την παρακολούθηση και συνεχή βελτίωση της ορθής εφαρμογής των παραπάνω απαιτήσεων, σχεδιάζεται η εφαρμογή ενός πλαισίου αξιολόγησης, το οποίο θα μπορεί να χρησιμοποιείται είτε από τους ίδιους τους φορείς, ως εργαλείο αυτοαξιολόγησης, είτε σαν βάση αναφοράς σε πιθανές επιθεωρήσεις. Τα αποτελέσματα από την εφαρμογή του Οδηγού δύναται να αξιοποιηθούν για το σχεδιασμό διορθωτικών ή βελτιωτικών ενεργειών από τους ίδιους τους φορείς αλλά και ως εργαλείο άσκησης οριζόντιων παρεμβάσεων από την Εθνική Αρχή Κυβερνοασφάλειας. Ιδιαίτερα, σημαντικό εργαλείο, κατά τη φάση αυτή, αποτελεί η έννοια της βαθμολόγησης του επιπέδου της κυβερνοασφάλειας οργανισμών αλλά και τομέων, ως σημείο αναφοράς.
Γ) Βελτιστοποίηση διαχείρισης περιστατικών και καταπολέμηση του κυβερνοεγκλήματος
Ξεχωριστό άξονα στο στρατηγικό σχεδιασμό συνιστά η βελτιστοποίηση διαχείρισης περιστατικών και η καταπολέμηση του κυβερνοεγκλήματος. Στο πλαίσιο του εν λόγω άξονα αναπτύσσονται δράσεις που αφορούν τη βελτιστοποίηση μεθόδων, τεχνικών και εργαλείων παρακολούθησης, ανάλυσης, απόκρισης και κοινοποίησης συμβάντων. Ιδιαίτερη έμφαση δίνεται στη συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με τους οργανισμούς για την προστασία των υποδομών τους έναντι επιθέσεων. Επιπλέον, οι δράσεις του εν λόγω άξονα αφορούν και τη βελτιστοποίηση της ανταλλαγής τεχνογνωσίας και πληροφοριών μεταξύ των ομάδων απόκρισης ή/και των εκάστοτε υπευθύνων ασφάλειας πληροφοριών και δικτύων, που συνιστά ένα ακόμα βασικό συστατικό επιτυχίας στην αντιμετώπιση απειλών. Με την διάχυση της τεχνογνωσίας και των πληροφοριών μεταξύ των εμπλεκομένων μπορεί να επιτευχθεί αμεσότερη, εγκυρότερη και εν τέλει αποδοτικότερη αντιμετώπιση των περιστατικών ασφάλειας και διαχείριση των ζητημάτων κυβερνοασφάλειας εν γένει. Ήδη υπάρχει συνέργεια σε αυτό τον τομέα, τόσο μεταξύ των αρμόδιων ομάδων απόκρισης όσο και των λοιπών εμπλεκομένων, αλλά απαιτείται η περαιτέρω ενίσχυσή της μέσω ενός πλέγματος κατάλληλων δράσεων. Τέτοιες δράσεις αφορούν στη θεσμοθέτηση διαδικασιών ανταλλαγής πληροφοριών, στη συγκρότηση ομάδων εργασίας με τακτικές συναντήσεις και στην ανάπτυξη κατάλληλων υποστηρικτικών εργαλείων ανταλλαγής πληροφοριών. Μέσα από σχετικές συνέργειες και διεξαγωγή εργαστηρίων (workshops) μπορούν να υλοποιούνται και να προωθούνται, με συντονισμένο τρόπο, κατάλληλοι αμυντικοί μηχανισμοί, μέθοδοι αντιμετώπισης περιστατικών, τεχνικές μετριασμού επιπτώσεων και καλές πρακτικές. Για την επίτευξη των ανωτέρω ενθαρρύνεται η χρήση κατάλληλων εργαλείων ανοιχτού λογισμικού με στόχο την αυτοματοποιημένη και ομοιογενή διαχείρισή τους. Τέλος, ειδική έμφαση δίνεται στη συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με τις κατά περίπτωση αρμόδιες αρχές σε θέματα αντιμετώπισης του κυβερνοεγκλήματος.
Δ) Ένα σύγχρονο επενδυτικό περιβάλλον με έμφαση στην Έρευνα και Ανάπτυξη
Σημαντικό πυλώνα διαφύλαξης ενός υψηλού επιπέδου κυβερνοασφάλειας στη νέα εποχή συνιστά ο ολοκληρωμένος σχεδιασμός μιας στοχευμένης επενδυτικής πολιτικής με κατάλληλα κίνητρα, αλλά και η δημιουργία ενός ολοκληρωμένου πλαισίου έρευνας και ανάπτυξης. Ειδικότερα, σε ό,τι αφορά τις επενδύσεις, επιδιώκεται η δημιουργία ενός μεσοπρόθεσμου πλάνου – εργαλειοθήκης με κατάλληλα κίνητρα για επενδύσεις στον τομέα της κυβερνοασφάλειας (Cybersecurity Investment Toolkit), αλλά και η συνολική βελτιστοποίηση των μηχανισμών χρηματοδότησης. Σε ό,τι αφορά την έρευνα και ανάπτυξη, σημαντικές παρεμβάσεις αφορούν κυρίως τη δικτύωση των ερευνητικών φορέων και των επιχειρήσεων, με στόχο την ανάπτυξη καινοτόμων εφαρμογών και υπηρεσιών, την προαγωγή των συνεργειών με ακαδημαϊκούς και ερευνητικούς φορείς, αλλά και η διαμόρφωση μιας μεσοπρόθεσμης ατζέντας προτεραιοτήτων στους τομείς της έρευνας και ανάπτυξης ειδικά για την κυβερνοασφάλεια (Cybersecurity R&D Agenda).
Ε) βελτίωση ικανοτήτων (capacity building), προαγωγή της ενημέρωσης και ευαισθητοποίησης
Εξέχουσα σημασία για το συνολικό εγχείρημα της αναβάθμισης του επιπέδου κυβερνοασφάλειας φορέων και υπηρεσιών αποκτά ο άξονας της βελτίωσης ικανοτήτων, προαγωγής της ενημέρωσης και ευαισθητοποίησης σε θέματα κυβερνοασφάλειας. Υπό το πρίσμα αυτό, καίριο ρόλο διαδραματίζει τόσο η οργάνωση, υλοποίηση και συμμετοχή σε ασκήσεις, αλλά και η υλοποίηση συστηματοποιημένων προγραμμάτων κατάρτισης και επανεκπαίδευσης του προσωπικού που εμπλέκεται στην ανάπτυξη, την υλοποίηση και την παραγωγική λειτουργία συστημάτων και εφαρμογών. Περαιτέρω, στο πλαίσιο του εν λόγω άξονα, αναπτύσσεται μια ολοκληρωμένη στρατηγική διάχυσης και ευαισθητοποίησης των χρηστών των ψηφιακών υπηρεσιών, με στόχο την ενημέρωσή τους και την προαγωγή κουλτούρας κυβερνοασφάλειας – ασφαλούς χρήσης.
8.5.1.Έργα
Παρακάτω παρουσιάζονται ενδεικτικά έργα και δράσεις για την ενίσχυση της κυβερνοασφάλειας.
Επικαιροποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας και εκπόνηση σχεδίου δράσης
Επικαιροποίηση του εθνικού στρατηγικού σχεδιασμού για την κυβερνοασφάλεια, με λεπτομερές πλάνο δραστηριοτήτων (στρατηγικοί – ειδικοί στόχοι, δραστηριότητες, εκροές/παραδοτέα, KPIs, χρονοδιαγράμματα), λαμβάνοντας υπόψη βέλτιστες ευρωπαϊκές και διεθνείς πρακτικές.
Ανάπτυξη ολοκληρωμένου συστήματος – πλαισίου διαχείρισης κυβερνοασφάλειας
Ολιστική αναβάθμιση του συστήματος διαχείρισης κυβερνοασφάλειας, με έμφαση σε δομές και διαδικασίες κρίσιμων υποδομών, συστημάτων – υποσυστημάτων, και υπηρεσιών του δημοσίου. (baseline security measures, διαδικασίες εκπόνησης και εφαρμογής πολιτικών ασφάλειας, ρυθμιστικό πλαίσιο)
Ανάπτυξη εγχειριδίου – οδηγού (handbook) καλών πρακτικών κυβερνοασφάλειας
Ενδυνάμωση του επιπέδου κυβερνοασφάλειας φορέων και προαγωγή της αριστείας (excellence) στον τομέα της κυβερνοασφάλειας μέσα από την εκπόνηση και διάθεση από τη Γενική Διεύθυνση Κυβερνοασφάλειας οδηγού με καλές πρακτικές, οδηγίες και συστάσεις, αλλά και ενέργειες υποστήριξης για την εφαρμογή του.
Εκπόνηση μελέτης αποτίμησης επικινδυνότητας σε εθνικό επίπεδο
Ανάπτυξη και εφαρμογή μεθοδολογίας για την αποτίμηση κινδύνου σε κρίσιμες ψηφιακές υποδομές, συστήματα, υποσυστήματα και υπηρεσίες της χώρας, με σκοπό τη λήψη στοχευμένων μέτρων βελτίωσης του επιπέδου κυβερνοασφάλειας.
Διαμόρφωση και εφαρμογή Οδηγού Αξιολόγησης επιπέδου ωριμότητας φορέων
Δημιουργία ενός πρακτικού εργαλείου αξιολόγησης που, σε συνδυασμό με τον πρακτικό οδηγό (cybersecurity handbook), θα επιτρέψει την αξιολόγηση του επιπέδου κυβερνοασφάλειας φορέων βάσει συγκεκριμένων κριτηρίων με σκοπό την ενδυνάμωσή τους.
Δράσεις υποστήριξης για την αναβάθμιση των συστημάτων και των δυνατοτήτων ασφάλειας κρίσιμων υποδομών
Παροχή συνεχούς υποστήριξης, συστάσεων, οδηγιών και εργαλείων προς τους οικείους φορείς με σκοπό την επαύξηση του επιπέδου κυβερνοασφάλειάς τους.
Εκπόνηση Σχεδίου Έκτακτης Ανάγκης για την αντιμετώπιση κρίσεων στον κυβερνοχώρο
Προσδιορισμός εμπλεκομένων φορέων, διαδικασιών και σεναρίων για την αντιμετώπιση έκτακτων αναγκών – διαχείριση κρίσεων που σχετίζονται με περιστατικά ασφαλείας και κυβερνοεπιθέσεις σε συστήματα πληροφορικής και επικοινωνιών.
Εγκαθίδρυση πλατφόρμας διαμοιρασμού πληροφοριών που σχετίζονται με απειλές και περιστατικά κυβερνοασφάλειας
Πλατφόρμα ανταλλαγής πληροφοριών (information sharing) στην οποία θα έχουν πρόσβαση οι αρμόδιοι φορείς με σκοπό τη βελτιστοποίηση του πλαισίου διαχείρισης συμβάντων και περιστατικών ασφαλείας.
Πραγματοποίηση δράσεων ενημέρωσης και ευαισθητοποίησης (σεμιναρίων, workshops και ημερίδων) σχετικά με κυβερνοασφάλεια
Εκπόνηση και εφαρμογή ολοκληρωμένου σχεδίου δράσεων για την εκπαίδευση και την ευαισθητοποίηση (ανάλυση υφιστάμενης κατάστασης, προσδιορισμός αναγκών – target groups, λήψη στοχευμένων μέτρων) στον τομέα της κυβερνοασφάλειας.
Λειτουργία πλατφόρμας προστασίας ιστοτόπων έναντι κυβερνοεπιθέσεων
Λειτουργία πλατφόρμας μέσω της οποίας παρέχονται υπηρεσίες αυξημένης προστασίας ιστοτόπων από κυβερνοεπιθέσεις του κυβερνοχώρου (πχ. DDOS, Application Level Attacks) και γίνεται η παρακολούθηση των περιστατικών ασφαλείας.
Λειτουργία πλατφόρμας αξιολόγησης ασφάλειας των κρίσιμων υποδομών της χώρας και εποπτική παρακολούθηση του Ελληνικού Κυβερνοχώρου
Λειτουργία πλατφόρμας η οποία υποστηρίζει την αξιολόγηση κρίσιμων υποδομών και την παρακολούθηση του επιπέδου κυβερνοασφάλειας του Ελληνικού Κυβερνοχώρου με συγκεκριμένη μεθοδολογία και τεχνικές, παρέχοντας άμεση ενημέρωση για το επίπεδο κυβερνοασφάλειας. (cybersecurity rating)
Εγκαθίδρυση συστήματος παρακολούθησης σε πραγματικό χρόνο της διαθεσιμότητας των ιστοτόπων των Κυβερνητικών Οργανισμών και των κρίσιμων υποδομών της χώρας
Εγκατάσταση και λειτουργία συστήματος για την παροχή συνεχούς πληροφόρησης του τρέχοντος επιπέδου διαθεσιμότητας ιστοτόπων των οικείων φορέων. (website availability status)
Εγκαθίδρυση πλατφόρμας και εργαλείων για πραγματοποίηση vulnerability Assessment & pen testing
Πλατφόρμα μέσω της οποίας παρέχεται η δυνατότητα αξιοποίησης εργαλείων ανάλυσης ευπαθειών και ελέγχων παρείσδυσης (penetration testing) σε συστήματα και ψηφιακές υποδομές των οικείων φορέων.
Έλεγχος τρωτότητας (Penetration Testing) των ιστοτόπων και των δικτύων των Κυβερνητικών Οργανισμών και των κρίσιμων υποδομών της χώρας
Πραγματοποίηση στοχευμένων ελέγχων σε ιστοτόπους και δίκτυα των οικείων οργανισμών και φορέων με σκοπό την αξιολόγηση του επιπέδου ασφάλειας και την παροχή συστάσεων – οδηγιών για τη λήψη συγκεκριμένων μέτρων αντιμετώπισης απειλών-ευπαθειών.
Ανάπτυξη και τήρηση Μητρώου-αποθετηρίου (Asset Registry) δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας
Ανάπτυξη και τήρηση μητρώου στο οποίο θα καταχωρούνται δεδομένα δικτύων, υλικού, συσκευών, συστημάτων και πληροφοριακών αγαθών των κρίσιμων υποδομών της χώρας, με σκοπό την υποστήριξη του σχεδιασμού μέτρων ασφαλείας, αλλά και των διαδικασιών αντιμετώπισης συμβάντων (ιδίως για τα αλληλεξαρτώμενα συστήματα).
Σχεδιασμός και θεσμοθέτηση πλαισίου ελέγχων – επιθεωρήσεων στις κρίσιμες υποδομές της χώρας
Σχεδιασμός ενός ολοκληρωμένου πλαισίου για την πραγματοποίηση εσωτερικών και εξωτερικών ελέγχων – επιθεωρήσεων, με τη σύσταση κλιμακίων της Γενικής Διεύθυνσης Κυβερνοασφάλειας, την εκπόνηση και εφαρμογή οδηγού ελέγχου, την έκδοση συστάσεων – οδηγιών και την εκπόνηση περιοδικών εκθέσεων.
Διενέργεια ελέγχων – επιθεωρήσεων στις κρίσιμες υποδομές της χώρας
Πραγματοποίηση ελέγχων σύμφωνα με συγκεκριμένη μεθοδολογία και τεχνικές, στο πλαίσιο προγράμματος τακτικών και έκτακτων ελέγχων της Γενικής Διεύθυνσης Κυβερνοασφάλειας.
Εκπόνηση Cybersecurity R&D Agenda
Εκπόνηση μεσοπρόθεσμης ατζέντας καθορισμού προτεραιοτήτων στην Έρευνα και Ανάπτυξη (R&D) για τον τομέα της κυβερνοασφάλειας, και υλοποίηση ολοκληρωμένου πλαισίου δράσεων, λαμβάνοντας υπόψη ευρωπαϊκές και διεθνείς πρακτικές.
Εκπόνηση Cybersecurity Investment Toolkit
Εκπόνηση εργαλειοθήκης (toolkit), σε συνεργασία με τις κατά περίπτωση αρμόδιες Υπηρεσίες, με σκοπό την παροχή στοχευμένων κινήτρων στον ιδιωτικό τομέα για επενδύσεις σε μέτρα, υποδομές, υπηρεσίες και εξοπλισμό κυβερνοασφάλειας.
Πίνακας 16: Ενδεικτικά Έργα
Πηγή: Ιδία επεξεργασία