Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...Άρθρο 10 Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10 της Οδηγίας (ΕΕ) 2022/2555)

Άρθρο 10 Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10 της Οδηγίας (ΕΕ) 2022/2555)

 

  1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team- CSIRT) για τις οντότητες που εντάσσονται στο πεδίο εφαρμογής του παρόντος μέρους. Ειδικά για τους οργανισμούς της περ. στ) της παρ. 2 του άρθρου 3, ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) ορίζεται η Διεύθυνση Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών (Ε.Υ.Π.).
  2. Εφόσον κριθεί αναγκαίο για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας, δύναται να καθορίζονται και έτερες CSIRTs, σύμφωνα με την παρ. 8 του άρθρου 29.
  3. Η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας επιτελεί συντονιστικό ρόλο των CSIRTs, για την επίτευξη των σκοπών του παρόντος άρθρου. Οι CSIRTs συμμορφώνονται με τις απαιτήσεις που ορίζονται στην παρ. 1 του άρθρου 11, καλύπτουν τουλάχιστον τους τομείς και τους υποτομείς που αναφέρονται στα παραρτήματα Ι και ΙΙ και είναι υπεύθυνες για τον χειρισμό περιστατικών. Οι CSIRTs επιλαμβάνονται συμβάντων που αφορούν στην ασφάλεια υπολογιστών του οικείου τομέα, εφόσον ζητηθεί η συνδρομή τους από την Εθνική Αρχή Κυβερνοασφάλειας, ιδίως σε περιπτώσεις σοβαρών, επειγόντων ή σημαντικού αριθμού συμβάντων που εξελίσσονται ταυτόχρονα. Οι CSIRTs υποχρεούνται να ενημερώνουν αμελλητί την Εθνική Αρχή Κυβερνοασφάλειας για περιπτώσεις συμβάντων που διαπιστώνουν και αφορούν στην κυβερνοασφάλεια, καθώς και να την συνδράμουν αμελλητί στην εκτέλεση των καθηκόντων της σύμφωνα με την παρ. 1, εφόσον ζητηθεί από την ίδια.
  4. Οι CSIRTs ανταλλάσσουν πληροφορίες με βασικές και σημαντικές οντότητες και άλλα σχετικά ενδιαφερόμενα μέρη, μέσω ασφαλών εργαλείων ανταλλαγής πληροφοριών. H CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας και οι άλλες CSIRTs, συνεργάζονται και, κατά περίπτωση, ανταλλάσσουν μέσω της Εθνικής Αρχής Κυβερνοασφάλειας πληροφορίες σύμφωνα με το άρθρο 21 του παρόντος με τομεακές ή διατομεακές κοινότητες βασικών και σημαντικών οντοτήτων. Επιπλέον, συμμετέχουν σε αξιολογήσεις από ομοτίμους που διοργανώνονται σύμφωνα με το άρθρο 19 της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (L 333) και επιδιώκουν την αποτελεσματική, αποδοτική και ασφαλή συνεργασία τους στο πλαίσιο του δικτύου CSIRTs.
  5. Οι CSIRTs μπορούν να συνάπτουν σχέσεις συνεργασίας με τις εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές τρίτης χώρας, ιδίως με την ανταλλαγή πληροφοριών, χρησιμοποιώντας σχετικά πρωτόκολλα ανταλλαγής πληροφοριών, συμπεριλαμβανομένου του πρωτοκόλλου φωτεινού σηματοδότη (traffic light protocol – TLP), καθώς και να ανταλλάσσουν σχετικές πληροφορίες με αυτές, συμπεριλαμβανομένων δεδομένων προσωπικού χαρακτήρα σύμφωνα με τη νομοθεσία της Ένωσης για την προστασία των δεδομένων. Επιπλέον, μπορούν να συνεργάζονται με εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές τρίτης χώρας ή με ισοδύναμους φορείς τρίτης χώρας, ιδίως με σκοπό την παροχή συνδρομής στον τομέα της κυβερνοασφάλειας.
  6. Για την αντιμετώπιση συμβάντων στον τομέα της κυβερνοασφάλειας, δύνανται να συστήνονται ειδικές ομάδες απόκρισης, σύμφωνα με την παρ. 9 του άρθρου 29. Οι εν λόγω ομάδες απόκρισης αποτελούνται από εκπροσώπους της Εθνικής Αρχής Κυβερνοασφάλειας, και εκπροσώπους είτε της αρμόδιας οργανικής μονάδας του Γενικού Επιτελείου Εθνικής Άμυνας για θέματα κυβερνοασφάλειας/κυβερνοάμυνας, είτε της Διεύθυνσης Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών είτε κατά περίπτωση των National Sectorial Focal Points (NSFP) της παρ. 6 του άρθρου 13. Καθήκοντα Συντονιστή ανατίθενται σε εκπρόσωπο της Εθνικής Αρχής Κυβερνοασφάλειας. Οι εκπρόσωποι των λοιπών υπηρεσιών υποδεικνύονται από τα κατά περίπτωση αρμόδια όργανα μετά από αίτημα του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας. Σε περίπτωση μη υπόδειξης εκπροσώπου εντός της ταχθείσας από τον Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας προθεσμίας, η απόφαση του Διοικητή περί σύστασης της ομάδας απόκρισης εκδίδεται χωρίς τη συμμετοχή εκπροσώπου της οικείας υπηρεσίας. Για κάθε συμβάν, κάθε ειδική ομάδα απόκρισης καταθέτει στην αρμόδια οργανική μονάδα της Εθνικής Αρχής Κυβερνοασφάλειας προκαταρτική αναφορά εντός είκοσι τεσσάρων (24) ωρών, πληρέστερη επικαιροποιημένη αναφορά εντός εβδομήντα δύο (72) ωρών, ή οποτεδήποτε ζητηθεί από την αρμόδια οργανική μονάδα της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και αναλυτική αναφορά για το συμβάν και τη διαχείρισή του, εντός ενός (1) μηνός από την έκδοση της απόφασης σύστασης της ομάδας. Τα έξοδα των μελών της Ομάδας για την εκτέλεση του έργου που τους ανατίθεται βαρύνουν τον προϋπολογισμό της Εθνικής Αρχής Κυβερνοασφάλειας.
  7. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, αμελλητί, την ταυτότητα των CSIRTs της παρ. 1, των τυχόν άλλων CSIRTs που ορίζονται με την απόφαση της παρ. 8 του άρθρου 29, τα αντίστοιχα καθήκοντά τους σε σχέση με βασικές και σημαντικές οντότητες, την CSIRT στην οποία ανατίθενται συντονιστικά καθήκοντα σύμφωνα με το παρόν άρθρο, καθώς και τυχόν μεταγενέστερες αλλαγές.

 

Σχόλια
  • 1 Νοεμβρίου 2024, 12:40 | MG

    §2 Κριτήρια ορισμού έτερων CSIRTs ανά τομέα: αδρή, έστω, περιγραφή των κριτηρίων αυτών

  • 22 Οκτωβρίου 2024, 22:04 | Δημήτρης Γεωργίου

    Είναι σημαντικό, θεωρώ, προς αποφυγή σύγχυσης να γίνει πολύ προσεκτική διαχείριση της ορολογίας στον τρόπο περιγραφής της κατάστασης ασφάλειας στην οποία βρίσκεται μια οντότητα σε σχέση με τις ενέργειες που καταγράφονται σε κάθε λογής συστήματα που την υποστηρίζουν.
    Είναι σημαντικό να είναι αντιληπτό και να περνά και στο κείμενο ότι τα «συμβάντα» (events) που συνήθως καταγράφονται στα αρχεία καταγραφων (log files) είναι συνεχή και πάρα πολλά σε αριθμό και διαχωρίζονται σε πολλά επίπεδα με βάση τη σοβαρότητά τους, αλλά δεν αποτελούν κατ’ανάγκη συνθήκη που εκκινεί μια ειδική διαδικασία αντιμετώπισης μια βλαπτικής κατάσταση.
    Τα «συμβάντα» τυγχάνουν αξιολόγησης από επάλληλα επίπεδα αναλυτών καθώς κλιμακώνονται και αναλύονται από εμπειρότερα στελέχη μέχρι την οριστική κλιμάκωση του στο επόμενο επίπεδο, αυτό του «περιστατικού» (incident) το οποίο παράγει ένα βλαπτικό αποτέλεσμα για τον οργανισμό και το οποίο συναπαρτίζουν κατά κανόνα ένας μεγάλος αριθμός «συμβάντων». Η πιθανότητα ένα «συμβάν ασφαλείας» να αναβιβαστεί σε «περιστατικό ασφαλείας» είναι βάσει της καθαρά αριθμητικής συσχέτισης των δύο στατιστικά πολύ σπάνια, ωστόσο μόνο αν μια σειρά «συμβάντων» αναβιβαστούν σε «περιστατικό ασφάλειας» μπορούν να κινητοποιήσούν την έναρξη μιας οργανωμένης «διαδικασίας αντιμετώπισης περιστατικού ασφάλειας», η οποία μπορεί να μετριάσει την επίδραση του «περιστατικού» αποτρέποντας την ευρύτςρης κλίμακας «παραβίαση» (breach), όταν αποδεδειγμένα ένα «περιστατικό» έχει οδηγήσει σε συγκεκριμένα αρνητικά αποτελέσματα όπως μη εξουσιοδοτημένη πρόσβαση, κλοπή δεδομένων, κρυπτογράφηση αρχείων κ.λπ..
    Παράδειγμα περίπτωσης είναι η καταγραφή χιλιάδων «συμβάντων» αναγνώρισης των ορίων ανοχής ενός διακομιστή ιστού, με σκοπό να αντιληφθεί ένας επιτιθέμενος τα όρια μέσα στα οποία μπορεί να «πιέσει» τον διακομιστή χωρίς να μπλοκαριστεί από συστήματα ασφαλείας, ώστε να γνωρίσει ποιο είναι το βέλτιστο κατώφλι στο οποίο θα πρέπει να προγραμματίσει τις ενέργειες προσπέλασης ενός δικτύου κακόβουλα ελεγχόμενων υπολογιστών (botnet), ώστε κάθε ένα ελεγχόμενο μηχάνημα κατά μόνας να μπορεί να τραβήξει το μέγιστο αριθμό πόρων από τον διακομιστή χωρίς να μπλοκάρεται και έτσι να τον απασχολεί άσκοπα. Τα συμβάντα αυτά κατά κανόνα, ενώ καταγράφονται, δεν αξιολογούνται από τους αναλυτές και μένουν απλώς «συμβάντα» στο αρχείο καταγραφής ενός διακομιστή ιστού που εντοπίζει μια αναδρομική (ex-post) ανάλυση ψηφιακής εγκληματολογίας (digital forensics). Κατά τη στιγμή της επίθεσης Κατανεμημενης Αρνησης Υπηρεσίας (DDoS), όμως, όταν de facto ο διακομιστής χάνει τη διαθεσιμότητά του και δεν εξυπηρετεί πλέον, τότε τα χιλιάδες «συμβάντα» που τον ωθούν σε αυτή την κατάσταση από κοινού κλιμακώνονται συλλήβδην σε ένα «περιστατικό» κυβερνοεπίθεσης Κατανεμημενης Αρνησης Υπηρεσίας και ενεργοποιούν αυτόματα (ή σχεδόν αυτόματα) τη διαδικασία αντιμετώπισης περιστατικών κυβερνοασφάλειας. Ωστόσο, μια τέτοια κυβερνοεπίθεση (δηλ. ένα τέτοιο «περιστατικό») δεν θα κλιμακωθεί ποτέ στο επίπεδο της «παραβίασης» από μόνη της, εκτός και αν λειτουργεί επιβοηθητικά για την εκτέλεση παράλληλων επιθέσεων ως αντιπερισπασμός ή με σκοπό να καταλυθούν σημεία ελέγχου στον διακομιστή ή στην διαδικτυακή εφαρμογή λόγω της προηγούμενης επίθεσης.
    Συνεπώς:
    event = συμβάν (πολύ μεγάλος αριθμός)
    incident = περιστατικό (μικρός αριθμός)
    breach = παραβίαση (πολύ μικρός αριθμός)

  • 21 Οκτωβρίου 2024, 14:05 | Vasily Psarommatis

    Bravo

Σχόλια