Στην παρ. 1 του άρθρου 18 του ν. 4961/2022 (Α’ 146), περί του Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, οι λέξεις «ΠΕ ή ΤΕ Πληροφορικής» αντικαθίστανται από τις λέξεις «ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή υπάλληλος κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE)», β) προστίθεται νέο, δεύτερο, εδάφιο και η παρ. 1 διαμορφώνεται ως εξής:
«1. Σε κάθε φορέα κεντρικής Κυβέρνησης κατά την έννοια της περ. γ` της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α` 143) ορίζεται, με απόφαση του αρμόδιου Υπουργού ή του οργάνου διοίκησης του φορέα, ένας (1) υπάλληλος κατηγορίας ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή υπάλληλος κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE) ως Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του. Ελλείψει υπαλλήλου κατηγορίας ΠΕ ή ΤΕ κλάδου Πληροφορικής, με την απόφαση του πρώτου εδαφίου ορίζεται υπάλληλος οποιουδήποτε κλάδου κατηγορίας ΠΕ ή ΤΕ. Ο Υ.Α.Σ.Π.Ε. ορίζεται βάσει της εμπειρίας που διαθέτει στον τομέα της κυβερνοασφάλειας.».
Καμία αλλαγή επί των προσόντων. Δεν μιλάμε μόνο για τυπικές διαδικασίες και Επαγγελματικά Δικαιώματα των Πληροφορικών, που κάποια στιγμή πρέπει να κατοχυρωθούν, ΕΠΙΤΕΛΟΥΣ!…
Θα έπρεπε ΗΔΗ, και πριν από αυτόν τον νόμο, να υπήρχε κατοχύρωση δικαιωμάτων Πληροφορικών και η δημιουργία Επιμελητηρίου Πληροφορικής!
Αποτελεί θέμα Ποιότητας υπηρεσιών αυτό που, τελικά, αναζητούμε…
Άλλωστε, τι κυρώσεις ή ποινικές ευθύνες θα μπορούσαν να αποδοθούν σε μη κατάλληλα εκπαιδευμένο και καταρτισμένο προσωπικό?!
(προσπαθήστε να ορίσετε αρμόδιο προσωπικό σε Μονάδες Τεχνικών Υπηρεσιών που δεν ανήκει στον κλάδο των Μηχανικών… για να δούμε πώς θα πάει αυτό… )
Θα πρέπει να προστεθούν παράγραφοι που να ενισχύουν την ανεξαρτησία του ΥΑΣΠΕ. Σε διαφορετική περίπτωση ο ρόλος του θα είναι πολύ περιορισμένος.
Ενδεικτικά, να προστεθούν οι εξής παράγραφοι (οι οποίες προέρχονται από το άρθρο 7 του Ν.4624/2019):
– Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΑΣΠΕ μετέχει δεόντως και έγκαιρα σε όλα τα ζητήματα σχετικά με την ασφάλεια δεδομένων.
– Ο δημόσιος φορέας υποστηρίζει τον ΥΑΣΠΕ κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 19, παρέχοντάς του τους απαραίτητους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα, επεξεργασίας, και για τη διατήρηση των ειδικών γνώσεών του.
– Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΑΣΠΕ δεν λαμβάνει εντολές κατά την άσκηση των καθηκόντων του, αναφέρεται απευθείας στο ανώτατο ιεραρχικά προϊστάμενο όργανο του δημόσιου φορέα, δεν απολύεται ούτε υφίσταται κυρώσεις επειδή επιτέλεσε τα καθήκοντά του.
Ο ΥΑΣΠ θα πρέπει να έχει τουλάχιστον κάποιο τίτλο σπουδών Ελληνικό η Ξένο και φυσικά πιστοπίοιση και χρόνια εμπειρίας.
Θα πρέπει να οριστούν συγκεκριμένα κριτήρια που θα πληροί ο ΥΑΣΠ και με υποχρεωτικές αντίστοιχες πιστοποιήσεις, προϋπηρεσία, κλπ. Σε διαφορετική περίπτωση πάντα θα μιλάμε για φωτογραφική ανάθεση.
Προτείνεται η εισαγωγή του λεκτικού εντός των αστερίσκων ως κάτωθι:
«1. Σε κάθε φορέα κεντρικής Κυβέρνησης κατά την έννοια της περ. γ` της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α` 143) ορίζεται, με απόφαση του αρμόδιου Υπουργού ή του οργάνου διοίκησης του φορέα, ένας (1) υπάλληλος κατηγορίας ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή υπάλληλος κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE) ως Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του.
**********************************************************************
Συνεκτιμάται θετικώς στον ορισμό, η ήδη ενασχόληση υπαλλήλου Κατηγορίας ΠΕ / ΤΕ Κλάδου Πληροφορικής σε αντικείμενα κυβερνοασφάλειας, διαχείρισης κρίσιμων υποδομών Δικτύωσης (ενδεικτικώς Firewalls / IPS / Routers) καθώς και συναφών καθηκόντων αυτού.
**********************************************************************
Ελλείψει υπαλλήλου κατηγορίας ΠΕ ή ΤΕ κλάδου Πληροφορικής, με την απόφαση του πρώτου εδαφίου ορίζεται υπάλληλος οποιουδήποτε κλάδου κατηγορίας ΠΕ ή ΤΕ. Ο Υ.Α.Σ.Π.Ε. ορίζεται βάσει της εμπειρίας που διαθέτει στον τομέα της κυβερνοασφάλειας.».
Σε ποιους θα αναθέσουμε την κατασκευή ενός κτηρίου: Θαλή και Πυθαγόρα ή Ικτίνο και Καλλικράτη;
Κατάργηση της Τριτοβάθμιας Εκπαίδευσης και της θεωρητικής/επιστημονικής θεμελίωσης των πεδίων υπέρ της εμπειρικής μεθόδου;
*
*
Απλά, χρειαζόμαστε Εξειδικευμένους Πληροφορικούς με θεωρητική και πρακτική κατάρτιση και εμπειρία στο συγκεκριμένο αντικείμενο!
Από προ-χθές, λοιπόν, δημιουργία στοχευμένων πτυχίων (προ/μετά, διδακτορικά) για τους Επιστήμονες Πληροφορικής && Εθνική Ακαδημία ΚυβερνοΑσφάλειας, υιοθέτηση προτύπων δεξιοτήτων κτλ. … και συνεχής non-stop training.
Πλέον, υπάρχει το ΙΤ και
υπάρχει και το CyberSecurity: προέρχεται από το ΙΤ, αλλά είναι ένα *εντελώς* άλλο επίπεδο…
Παρακαλώ όπως εξεταστεί η προσθήκη εξαίρεσης ορισμού Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ) στα Υπουργεία Ναυτιλίας και Νησιωτικής Πολιτικής και Κλιματικής Κρίσης και Πολιτικής Προστασίας. Στο πρώτο Υπουργείο εντάσσεται το Λιμενικό Σώμα-Ελληνική Ακτοφυλακή και στο δεύτερο το Πυροσβεστικό. Καθότι τα Αρχηγεία των δύο Σωμάτων αποτελούν μέρη των οικείων Υπουργείων, ενδέχεται να παρουσιαστούν προβλήματα και εμπόδια αναφορικά με την εκτέλεση των προβλεπόμενων καθηκόντων του ΥΑΣΠΕ, σε περίπτωση ορισμού ένστολου υπαλλήλου, λαμβάνοντας υπόψη την ιδιαίτερη ιεραρχία, πειθαρχία και την τήρηση διαδικασιών που απαντώνται σε αυτήν την κατηγορία του προσωπικού σύμφωνα με τους οικείους κανονισμούς και διατάξεις. Επιπλέον, προστίθεται σημαντικό βάρος και ευθύνη στον ΥΑΣΠΕ σε Υπηρεσίες που κρίνονται αρκετά ιδιαίτερες και οι οποίες βρίσκονται σε διάφορα μέρη της Ελλάδας αλλά και του εξωτερικού (στην περίπτωση του Λιμενικού Σώματος). Σημειώνεται ότι τα Υπουργεία Εθνικής Άμυνας (Ένοπλες Δυνάμεις) και Προστασίας του Πολίτη (Ελληνική Αστυνομία) εξαιρούνται ήδη από τον ορισμό ΥΑΣΠΕ. Τα δύο τελευταία Υπουργεία, ωστόσο, διαθέτουν οργανική μονάδα σχετική με την κυβερνοάμυνα και την κυβερνοασφάλεια, κάτι που στις περιπτώσεις των Υπουργείων Ναυτιλίας και Νησιωτικής Πολιτικής και Κλιματικής Κρίσης και Πολιτικής Προστασίας κάτι τέτοιο -εξετάζοντας την οικεία νομοθεσία- δε φαίνεται να ισχύει. Οπότε, σε μελλοντικό χρόνο θα μπορούσε να εξεταστεί και η δημιουργία οργανικής μονάδας σχετική με την κυβερνοασφάλεια είτε στις διοικήσεις των δύο Αρχηγείων είτε σε επίπεδο Υπουργείων.
Ο εκάστοτε ορισμένος Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του, θα πρέπει να έχουν και τις αντίστοιχες πρόσφατες πιστοποιήσεις στην Κυβερνοασφάλεια & στην ασφάλεια υποδομών On Premises & On Cloud ώστε να μπορούν να κατανοήσουν και να εφαρμόσουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας. Το ίδιο ισχύει και για τον ΥΠΔ του ΓΚΠΔ καθώς ένας νομικός ή δικηγόρος δεν μπορεί να κατανοήσει θέματα πληροφορικής καθώς δεν έχει τις απαιτούμενες γνώσεις.
Κατα την γνωμη μου μεγαλυτερη βαρυτητα στα προσοντα του ΥΑΣΠΕ θα πρεπει να ειναι τα χρονια εργασιακης εμπειριας στο συγκεκριμενο κομματι. Καποιος που ειναι 15 χρονια ΥΑΣΠΕ σε μια εταιρεια αλλα εινα αποφοιτος Μαθηματικου πανεπιστημιου, δεν μπορει να υποσκελιζεται απο αποφοιτο πληροφρικης που εχει 10 χρονια εμπειρια σε αναπτυξη κωδικα (developer). Επισης δεν γινεται να ζηταμε κοσμο στο δημοσιο αλλα τα χρονια εργασιας στον ιδωτικο τομεα δεν προσμετρουνται για την μισθολογικη κλιμακα. Ανρθωπος με 20 χρονια στον ιδωτικο τομεα οταν προσλαμβανεται στο δημοσιο εντασσεται στην πρωτη βαθμιδα… Δηλαδη σαν να βγηκε τωρα απο το πανεπιστημιο…
Εκτός από τους κλάδους της Πληροφορικής , καλό θα ήταν να συμπεριληφθούν και Μηχανικοί Ηλεκτρονικής (ΠΕ84). Επίσης να λαμβάνονται υπόψιν Μεταπτυχιακοί και Διδακτορικοί Τίτλοι στην Κυβερνοασφαλεια και σχετικές εκπαιδεύσεις από Κρατικούς φορείς. Ειναι αναγκαία η δημιουργία ομάδας : Διαχειριστής Ασφάλειας Λειτουργίας Πληροφοριακού Συστήματος (ΔΑΛΠΣ) , Διαχειριστής Ασφάλειας Βάσεων Δεδομένων (ΔΑΒΔ), Διαχειριστής Ασφάλειας Δικτύου Πληροφοριακού Συστήματος (ΔΑΔΠΣ), Διαχειριστής Ασφάλειας Λογισμικών προγραμμάτων και εφαρμογών(ΔΑΛΠΕ) και Διαχειριστής Ασφάλειας Ηλεκτρονικού Εξοπλισμού (ΔΑΗΕ), για αποφυγή επιθέσεων supply chain.
«Σε κάθε φορέα κεντρικής Κυβέρνησης …. ορίζεται, … ένας (1) υπάλληλος κατηγορίας ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή υπάλληλος κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE) ως Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του. Ελλείψει υπαλλήλου κατηγορίας ΠΕ ή ΤΕ κλάδου Πληροφορικής, με την απόφαση του πρώτου εδαφίου ορίζεται υπάλληλος οποιουδήποτε κλάδου κατηγορίας ΠΕ ή ΤΕ. Ο Υ.Α.Σ.Π.Ε. ορίζεται βάσει της εμπειρίας που διαθέτει στον τομέα της κυβερνοασφάλειας.»
Δύο υπάλληλοι ΔΕΝ φτάνουν!!! Το έργο τους είναι εξαιρετικά σοβαρό και εκτενές. Απαιτείται Ομάδα – Μονάδα ΚυβερνοΑσφάλειας, στελεχωμένη με Πληροφορικούς με εμπειρία στο αντικείμενο.
Οι φορείς ΟΦΕΙΛΟΥΝ να προσλάβουν εξειδικευμένο προσωπικό και όχι να λέμε «εν ελλείψει»!!! Θα ξεχειλώσει η διάταξη και θα ορίζουν όποιον βρουν!…
Bravo