Σκοπός του παρόντος μέρους είναι η επίτευξη υψηλού επιπέδου κυβερνοασφάλειας με την ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2, L 333).
Κατά την προετοιμασία του σχεδίου νόμου για την ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555, το Υπουργείο Ψηφιακής Διακυβέρνησης δεν ζήτησε ποτέ τις απόψεις της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) παρόλο που το Απόρρητο, η Ασφάλεια, η Διαθεσιμότητα και Αδιάλειπτη λειτουργία είναι Αρμοδιότητα της Συνταγματικά Κατοχυρωμένης Ανεξάρτητης Αρχής της ΑΔΑΕ.
Να σημειωθεί ότι η Αρχή Κυβερνοασφάλειας είναι Ν.Π.Δ.Δ. και όχι Συνταγματικά Κατοχυρωμένη Ανεξάρτητη Αρχή ή Ρυθμιστική Αρχή.
Σύμφωνα, λοιπόν, με το σχέδιο νόμου και την ενσωμάτωση της Ευρωπαϊκής Οδηγίας, προκύπτει ότι ένα Ν.Π.Δ.Δ. αναλαμβάνει καθήκοντα και ρόλο που ασκεί η Ανεξάρτητη Αρχή ΑΔΑΕ και αναθέτει καθήκοντα σε μια ανεξάρτητη αρχή. Η ΑΔΑΕ, η οποία είναι Συνταγματικά Κατοχυρωμένη, σύμφωνα με το σχέδιο νόμου δύναται να δέχεται εντολές από ένα Ν.Π.Δ.Δ., κάτι που εγείρει σοβαρά ζητήματα σχετικά με την ανεξαρτησία και τη λειτουργία της.
Επιπλέον, η Ευρωπαϊκή Οδηγία δεν αναφέρεται σε κανένα σημείο της, στην Αρχή Κυβερνοασφάλειας, αλλά μόνο σε φορέα ή αρμόδια Αρχή της χώρας. Ως εκ τούτου, προτείνεται ότι οι αόριστες αναφορές σε «Φορέα ή Αρμόδια Αρχή» θα πρέπει να αντικατασταθούν στο Σχέδιο Νόμου με την «Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών» ΑΔΑΕ στο μέρος των αρμοδιοτήτων και του ρόλου που ασκεί και την αφορά.
Η Αρχή Κυβερνοασφάλειας θα πρέπει να δύναται να λαμβάνει εντολές από την ΑΔΑΕ η οποία θα πρέπει να συντονίζει το έργο και όχι το αντίστροφο (δηλαδή Ν.Π.Δ.Δ. να δίνει εντολές σε Ανεξάρτητη Αρχή). Κατά συνέπεια, η ενσωμάτωση της Ευρωπαϊκής Οδηγίας και του NIS2 περιλαμβάνει λανθασμένες διατυπώσεις στο σχέδιο νόμου, γεγονός που καθιστά αναγκαία την ριζική αλλαγή του και την επαναφορά του με τις σχετικές διορθώσεις.
Τέλος, δεν είναι αποδεκτό να καταργούνται ισχύουσες διατάξεις και αρμοδιότητες που εφαρμόζονται και εκτελούνται από την ΑΔΑΕ, περιορίζοντας την άσκηση αρμοδιότητας, το εποπτικό, κανονιστικό και δικαιοδοτικό ρόλο της, καθώς αυτό οδηγεί στην κατάργηση των αρμοδιοτήτων της Αρχής, συμπεριλαμβανομένου του ζητήματος του απορρήτου, της Ασφάλειας της διαθεσιμότητας και αδιάλειπτης λειτουργίας των δικτύων και των υπηρεσιών και εκχώρηση αυτών σε μια Ν.Π.Δ.Δ. εγείροντας σημαντικά θέματα διαφάνειας και ανεξαρτησίας, καθώς ο διοικητής και υποδιοικητές του Ν.Π.Δ.Δ. ορίζονται από τον εκάστοτε Υπουργό και όχι από τη διάσκεψη των Προέδρων της Βουλής και δεν είναι Συνταγματικά Κατοχυρωμένη Αρχή.
Κατά συνέπεια, το Σχέδιο Νόμου θα πρέπει να διορθωθεί εξ αρχής. Οποιαδήποτε προσπάθεια περιορισμού των αρμοδιοτήτων και άσκησης καθηκόντων και ρόλου (Κανονιστικού, Ελεγκτικού, Εποπτικού, Διοικητικού κλπ) Ανεξάρτητης Αρχής ΑΔΑΕ (βλ Σχεδιο νόμου περί αρμοδιοτήτων Ν.Π.Δ.Δ. Αρχής Κυβερνοασφάλειας και καταργούμενες διατάξεις) και η ανάθεση αυτών σε Ν.Π.Δ.Δ. Αρχή Κυβερνοασφάλειας δεν μπορεί να γίνει αποδεκτή. Ο ρόλος του Ν.Π.Δ.Δ. μπορεί να περιοριστεί μόνο στον τομέα των Κυβερνοεπιθέσεων σε Δημοσίους Φορείς, ενώ ο συντονισμός και η ανάθεση έργου μπορεί να γίνει μόνο από την Ανεξάρτητη Αρχή ΑΔΑΕ σε Ν.Π.Δ.Δ. Να σημειωθεί επίσης, ότι η Ευρωπαϊκή Οδηγία δεν αναφέρεται σε κανένα σημείο στην Αρχή Κυβερνοασφάλειας, αλλά μόνο τη λέξη φορέα ή τη φράση αρμόδια Αρχή της χώρας.
Προσπάθησα να φτιάξω ένα Gantt chart για να αντιληφθώ την εξέλιξη του έργου της Κ-Ασφάλειας.
Στα άρθρα 4 και 14, αναφέρεται η υποχρέωση των οντοτήτων να αναφέρουν στην ΕΑΚ τα στοιχεία τους και να καταρτίσουν + εγκρίνουν τα σχέδια διαχείρισης κινδύνου, σε 2 και 3 μήνες αντίστοιχα.
Στο άρθρο 29, αναφέρεται ότι η ΕΑΚ θα: καταρτίσει τον Κανονισμό Ελέγχου & Εποπτείας, προσδιορίσει τα κριτήρια χαρακτηρισμού τον οντοτήτων και ικανότητες, μέσα, πάγια, διαδικασίες κτλ σε 3 και 4 μήνες αντίστοιχα.
Θεωρώ ότι δεν είναι λογικό αυτό. Πρέπει να προηγηθούν οι ενέργειες τις ΕΑΚ και μετά να ανταποκριθούν οι οντότητες, για να γνωρίζουν το πώς και τι…
Επίσης, το χρονοδιάγραμμα για την Στρατηγική και το Σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας, πρέπει να συντομευθούν.
Τέλος, και γενικά, εκφράσεις όπως «αμελλητί», «συστηματικά», «με κατάλληλο και συστηματικό τρόπο», «σε τακτική βάση» κτλ. είναι χρήσιμο/απαραίτητο να καθορίζονται σαφώς.
A. Παραδοχές
~ Είναι βέβαιο ότι σχεδόν σε όλους τους Φορείς υπάρχει (σημαντικό) έλλειμα (Κυβερνο)Ασφάλειας. Για βελτίωση της κατάστασης χρειάζεται πολλή δουλειά, προσήλωση στο στόχο και… χρηματοδότηση.
~ Cyber-Governance: όχι απλά Cyber-Security
~ Τρεις+1 Πυλώνες Επιτυχίας: ΑΝΘΡΩΠΟΙ, Διαδικασίες, Τεχνολογία && Προτυποποίηση
B. Προκλήσεις – Δυσχέρειες Υλοποίησης
~Κουλτούρα (Κυβερνο)Ασφάλειας !!!
~Υποδομές υψηλής διαχειριστικής δυσκολίας
~Βιωσιμότητα
~Στελέχωση => Διαχείριση / υλοποίηση από στελέχη με τεχνογνωσία και εμπειρία
~Επικαλύψεις: συνάθροιση απαιτήσεων, ανασχεδιασμός, χρήση συμβάσεων-πλαίσιο για την πραγματοποίησή τους
~Operational Excellence
~Cost Optimization
C. Προϋποθέσεις
α.ΟΡΑΜΑ
β.Σταθερή και επαρκής στήριξη από Ηγεσία και Επιτελικό Δυναμικό, με ΣΟΒΑΡΕΣ Κυρώσεις σε αντίθετη περίπτωση (σοβαρότερες από τις αναφερόμενες π.χ. αφαίρεση του δικαιώματος του εκλέγειν και εκλέγεσθαι κτλ.)
γ.Αναθεώρηση Οργανισμού ΕΑΚ, Διοικητικό Συμβούλιο
δ.Θεσμοθέτηση Οργανωτικής Δομής εντός των οντοτήτων (βλέπε σημείο D)
ε.*Δεσμευτικό* σχέδιο δράσης συνολικά για όλους
στ.Στοχοθεσία – αξιολόγηση – KPIs
ζ.ΣΔΙΤ, με μεγάλη προσοχή (…)
D. Επειδή η προτεινόμενη λύση του ΥΑΣΠΕ ΔΕΝ είναι ΛΥΣΗ
Σε αναλογία με το άρθρο 9 του ν. 4727/2020:
Σε κάθε βασική και σημαντική οντότητα να δημιουργηθεί «Υπηρεσία/Μονάδα ΚυβερνοΑσφάλειας», επιπέδου Διεύθυνσης, ως αυτοτελής και ανεξάρτητη διοικητική δομή, υπαγόμενη απευθείας στο Ανώτατο Διοικητικό Όργανο του Φορέα.
Για να αποφευχθούν οι επικαλύψεις και να υπάρξει Αγαστή Συνεργασία με την Μονάδα Πληροφορικής (ΙΤ), θα μπορούσε να δημιουργηθεί αυτοτελής και ανεξάρτητη Γενική Διεύθυνση Τεχνολογιών Πληροφορικής, η οποία θα περιλαμβάνει αυτές τις δύο Διευθύνσεις.
Η οργανωτική δομή της Μονάδας ΚυβερνοΑσφάλειας οφείλει να υποστηρίζει τους άξονες: 1.Awareness, 2.Prevent, 3.Detect, 4.Respond, 5.Continuity && Resilience, 6.Legal.
E. Συμπερασματικά
1.Ενσωμάτωση στην NIS2 όσο το δυνατόν περισσότερων φορέων, αφού εξεταστεί η «διαλειτουργικότητα» μεταξύ τους (διοικητικό, νομικό, τεχνολογικό επίπεδο). Αιτιολόγηση και αξιολόγηση των «συνδέσεων».
2.ΠΡΟΛΗΨΗ – Αντίδραση – Ανάκαμψη: δημιουργία *Σαφούς Πλαισίου* πρότυπων ενεργειών ανά τομέα, μέγεθος και «πελατολόγιο» ꓯ φορέα.
3.Σταθερή Υποστήριξη «αδύναμων» ή πολύπλοκων φορέων π.χ. ΟΤΑ Β’ βαθμού κτλ.
4.«Δυναμική» εποπτεία εκ μέρους της ΕΑΚ. Όχι εθελοντική ανατροφοδότηση/ανταλλαγή πληροφοριών.
a. Ένταξη όλων των βασικών και σημαντικών φορέων (και όσων άλλων το ζητήσουν) στο εργαλείο monitoring της ΕΑΚ.
b. Άμεση έναρξη των πιστοποιήσεων ατόμων από ΕΑΚ && ΕΚΔΔ: τα πρότυπα και το υλικό υπάρχουν, να ξεκινήσει ΑΜΕΣΑ η διαδικασία
c. Αποκέντρωση Υπηρεσιών της ΕΑΚ: να δημιουργηθούν Τμήματα τουλάχιστον σε 3 περιοχές-πόλεις, εκτός από την Αθήνα για άμεση αντιμετώπιση περιστατικών και ορθή ανατροφοδότηση
5. Initial Assessment σε όλους τους φορείς, χρήση εργαλείων SWOT, PESTEL, pen tests, Risk Assessment κτλ. κτλ.
6. Δημιουργία Ολοκληρωμένης Συνεργατικής Πλατφόρμας (χωρίς να γίνεται single point of failure) για:
a. Μητρώο Φορέων, Οντοτήτων κτλ.
b. Μητρώο SWE και πιστοποιημένων Πληροφορικών
c. Μητρώα SW, HW, Κτηρίων, Τεχνολογικών Λύσεων που ήδη/θα εφαρμόζονται
d. καταγραφή περιστατικών
e. καταγραφή λύσεων / αντιμετώπισης
f. ανταλλαγή πληροφοριών
g. βέλτιστων πρακτικών
h. workflows κτλ
i. κτλ κτλ κτλ
Αυτά τα λίγα… :-)
https://www.sepe.gr/press/sepe/22492149/megali-zitisi-gia-dexiotites-kai-eidikous-stin-kuvernoasfaleia-ta-epomena-hronia/
https://cyberhubs.eu/
Ως σύμβουλος κυβερνοασφάλειας με εκτενή εμπειρία στον τομέα της προστασίας πληροφοριακών συστημάτων, αλυσίδων εφοδιασμού λογισμικού και IT υποδομών, θα ήθελα να καταθέσω τις προτάσεις μου σχετικά με το υπό διαβούλευση νομοσχέδιο για την ενσωμάτωση της Οδηγίας NIS 2 στην ελληνική νομοθεσία.
Θέμα: Θεσμοθέτηση Υποχρεωτικών Ελέγχων Κυβερνοασφάλειας και Διενέργειας Penetration Testing για Μικρότερες Εταιρείες και Συνεργάτες των Οντοτήτων που Εμπίπτουν στο NIS 2 – Ενίσχυση της Ασφάλειας της Αλυσίδας Εφοδιασμού Λογισμικού και της IT Υποδομής
Αιτιολόγηση:
Η αλυσίδα εφοδιασμού λογισμικού (Software Supply Chain) και η ασφάλεια της IT υποδομής αποτελούν πλέον από τα πιο κρίσιμα σημεία ευπάθειας σε παγκόσμιο επίπεδο. Οι επιθέσεις μέσω της αλυσίδας εφοδιασμού και οι παραβιάσεις της IT υποδομής έχουν αυξηθεί δραματικά, με σοβαρές επιπτώσεις στην εθνική ασφάλεια και την οικονομία.
Οι μικρότερες εταιρείες και οι συνεργάτες των βασικών και σημαντικών οντοτήτων συχνά δεν διαθέτουν τους απαραίτητους πόρους ή την τεχνογνωσία για την εφαρμογή προηγμένων πρακτικών ασφαλείας, όπως τακτικά penetration tests (δοκιμές διείσδυσης) στην IT υποδομή τους. Αυτό δημιουργεί ευπάθειες που μπορούν να εκμεταλλευτούν κακόβουλοι παράγοντες για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε κρίσιμα συστήματα και δεδομένα.
Πρακτικά Βήματα που Πρέπει να Επιβάλλει ο Νόμος:
Υποχρεωτικοί Ελέγχοι Κυβερνοασφάλειας και Penetration Testing:
Περιοδικότητα και Πλαίσιο:
Υποχρεωτική διενέργεια ετήσιων ελέγχων κυβερνοασφάλειας που να περιλαμβάνουν τόσο την αξιολόγηση της αλυσίδας εφοδιασμού λογισμικού όσο και penetration testing της IT υποδομής.
Πιστοποιημένοι Φορείς Ελέγχου:
Οι έλεγχοι και τα penetration tests πρέπει να διενεργούνται από ανεξάρτητους, πιστοποιημένους φορείς ή επαγγελματίες με αναγνωρισμένα προσόντα (π.χ., OSCP, CEH, CISSP).
Ασφάλεια της Αλυσίδας Εφοδιασμού και IT Υποδομής:
Συμβατικές Υποχρεώσεις:
Οι βασικές και σημαντικές οντότητες πρέπει να απαιτούν από τους προμηθευτές και συνεργάτες τους την τήρηση συγκεκριμένων προτύπων κυβερνοασφάλειας, συμπεριλαμβανομένης της διενέργειας penetration tests.
Αξιολόγηση Ρίσκου Προμηθευτών:
Καθιέρωση διαδικασιών αξιολόγησης του κινδύνου που προέρχεται από την IT υποδομή των προμηθευτών, καθώς και από τα προϊόντα και τις υπηρεσίες τους.
Πιστοποίηση Προϊόντων, Υπηρεσιών και Υποδομών:
Απαίτηση Πιστοποίησης:
Όλα τα προϊόντα λογισμικού, οι υπηρεσίες και οι IT υποδομές που παρέχονται από μικρότερες εταιρείες πρέπει να είναι πιστοποιημένα ως προς την ασφάλειά τους.
Επαλήθευση και Δοκιμές:
Διενέργεια δοκιμών ασφαλείας, όπως vulnerability assessments και penetration tests, για την επαλήθευση της ανθεκτικότητας των συστημάτων.
Εκπαίδευση και Ευαισθητοποίηση:
Υποχρεωτική Εκπαίδευση Προσωπικού:
Παροχή εκπαιδεύσεων σχετικά με ασφαλείς πρακτικές στην ανάπτυξη λογισμικού, στη διαχείριση συστημάτων και στην αντιμετώπιση κυβερνοαπειλών.
Πρακτική Εξάσκηση:
Διοργάνωση εργαστηρίων και ασκήσεων που προσομοιώνουν πραγματικές επιθέσεις (π.χ., red teaming exercises).
Δημιουργία Μητρώου Πιστοποιημένων Συνεργατών και Υποδομών:
Κεντρικό Μητρώο:
Καταγραφή εταιρειών που έχουν συμμορφωθεί με τις απαιτήσεις κυβερνοασφάλειας και έχουν διενεργήσει επιτυχώς penetration tests στις υποδομές τους.
Διαφάνεια και Αξιοπιστία:
Παροχή πρόσβασης στις βασικές και σημαντικές οντότητες για την επιλογή αξιόπιστων και ασφαλών συνεργατών.
Υποστήριξη και Κίνητρα για Μικρομεσαίες Επιχειρήσεις (ΜΜΕ):
Οικονομική Ενίσχυση:
Προγράμματα επιδότησης για τη διενέργεια penetration tests και την ενίσχυση της ασφάλειας της IT υποδομής.
Τεχνική Βοήθεια:
Παροχή οδηγών, εργαλείων και συμβουλευτικών υπηρεσιών για την υλοποίηση ασφαλών πρακτικών.
Κυρώσεις για Μη Συμμόρφωση:
Πρόστιμα και Αποκλεισμοί:
Επιβολή διοικητικών προστίμων και δυνατότητα αποκλεισμού από συμβάσεις σε περίπτωση μη συμμόρφωσης με τις απαιτήσεις ασφαλείας.
Εντατικοί Έλεγχοι:
Διεξαγωγή τακτικών και έκτακτων ελέγχων για τη διασφάλιση της συμμόρφωσης.
Διαφάνεια και Αναφορά Περιστατικών:
Υποχρεωτική Αναφορά Περιστατικών:
Υποχρέωση αναφοράς περιστατικών ασφαλείας που επηρεάζουν την IT υποδομή ή την αλυσίδα εφοδιασμού λογισμικού.
Κοινοποίηση Αποτελεσμάτων Penetration Testing:
Παροχή αναφορών και ευρημάτων από τα penetration tests στις αρμόδιες αρχές και στους συνεργάτες.
Συνεργασία και Ανταλλαγή Πληροφοριών:
Δικτύωση και Φόρουμ:
Δημιουργία δικτύων συνεργασίας για την ανταλλαγή πληροφοριών σχετικά με νέες απειλές και τεχνικές άμυνας.
Συμμετοχή σε CSIRTs:
Ενθάρρυνση της συμμετοχής σε Ομάδες Αντιμετώπισης Περιστατικών Ασφαλείας Υπολογιστών (CSIRTs).
Προσδοκώμενα Οφέλη:
Ολοκληρωμένη Προστασία:
Με την ενσωμάτωση του penetration testing, οι εταιρείες θα μπορούν να εντοπίζουν και να αντιμετωπίζουν ευπάθειες στην IT υποδομή τους πριν αυτές εκμεταλλευτούν από επιτιθέμενους.
Μείωση Επιτυχημένων Επιθέσεων:
Η προληπτική προσέγγιση θα μειώσει σημαντικά τον αριθμό των επιτυχημένων κυβερνοεπιθέσεων και των παραβιάσεων δεδομένων.
Αύξηση Εμπιστοσύνης:
Οι πελάτες και οι συνεργάτες θα έχουν μεγαλύτερη εμπιστοσύνη στις εταιρείες που επενδύουν στην ασφάλεια της IT υποδομής τους.
Ευθυγράμμιση με Διεθνή Πρότυπα:
Η διενέργεια penetration tests είναι πρακτική που υιοθετείται ευρέως διεθνώς, και η ενσωμάτωσή της θα τοποθετήσει τη χώρα μας σε πρωτοποριακή θέση.
Ανάπτυξη Εθνικής Εξειδίκευσης:
Θα ενισχυθεί ο τομέας της κυβερνοασφάλειας με τη δημιουργία νέων θέσεων εργασίας και την ανάπτυξη εξειδικευμένων επαγγελματιών.
Ανθεκτικότητα σε Εξελισσόμενες Απειλές:
Η συνεχής αξιολόγηση και βελτίωση της ασφάλειας θα καταστήσει τις επιχειρήσεις πιο ανθεκτικές σε νέες μορφές επιθέσεων.
Συμπεράσματα και Συστάσεις:
Η προσθήκη της διενέργειας penetration testing ως υποχρεωτικό μέτρο για τις μικρότερες εταιρείες και τους συνεργάτες των βασικών και σημαντικών οντοτήτων θα ενισχύσει σημαντικά το επίπεδο κυβερνοασφάλειας. Η ολοκληρωμένη προσέγγιση που περιλαμβάνει τόσο την αλυσίδα εφοδιασμού λογισμικού όσο και την IT υποδομή θα δημιουργήσει ένα ισχυρό τείχος προστασίας απέναντι στις κυβερνοαπειλές.
Προτείνω την ενσωμάτωση των παραπάνω προτάσεων στο νομοσχέδιο, ώστε να διασφαλιστεί η προστασία των κρίσιμων υποδομών και να ενισχυθεί η εμπιστοσύνη στις ψηφιακές υπηρεσίες της χώρας μας.
«Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2, L 333)»
Η Οδηγία (ΕΕ) 2016/1148 είναι η NIS όχι η NIS2 (2555/2022)
Bravo