ΕΠΙΧΕΙΡΗΣΕΙΣ

Ποιες αλλαγές φέρνει το νέο πλαίσιο κυβερνοπροστασίας για εποπτευόμενους φορείς και πολίτες

Ποιες αλλαγές φέρνει το νέο πλαίσιο κυβερνοπροστασίας για εποπτευόμενους φορείς και πολίτες

Ο υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου

ΑΠΕ-ΜΠΕ

Μέσα στο επόμενο δεκαήμερο αναμένεται να κατατεθεί στη Βουλή το νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης που αφορά την ενσωμάτωση της οδηγίας NIS2 της Ευρωπαϊκής Ένωσης. Μίας οδηγίας με ιδιαίτερη σημασία δεδομένου ότι ένας μεγάλος αριθμός οργανισμών του δημοσίου αλλά και του ιδιωτικού τομέα (πάνω από 2000) θα κληθεί να αναβαθμίσει άμεσα το επίπεδο της κυβερνοπροστασίας.

Αυτό που πρέπει να τονισθεί είναι ότι το συγκεκριμένο νομοσχέδιο εισάγει έναν ολιστικό μηχανισμό προστασίας έναντι κυβερνοεπιθέσεων τόσο για τους εποπτευόμενους φορείς όσο και για τους πολίτες, καθώς ενισχύει τη θωράκιση κρίσιμων υποδομών διασφαλίζοντας παράλληλα το απαραβίαστο προσωπικών δεδομένων. Όπως εκτιμάται, ,έσα από τα αυστηρότερα πρότυπα που εισάγει, το ενιαίο κανονιστικό πλαίσιο αρχών και κανόνων για όλους τους εποπτευομένους φορείς, αλλά και τις αυστηρές κυρώσεις που επιφέρει- σε περιπτώσεις μη συμμόρφωσης- λειτουργεί αφενός αποτρεπτικά σε ενδεχόμενες κυβερνοεπιθέσεις, αφετέρου δημιουργεί ένα ασφαλές και αξιόπιστο περιβάλλον, που ενισχύει την εμπιστοσύνη των πολιτών στην αυξημένη ψηφιοποίηση των υπηρεσιών.

«Ως υπουργείο Ψηφιακής Διακυβέρνησης συμμετέχουμε ενεργά στις ευρωπαϊκές πρωτοβουλίες για τη δημιουργία ενός «οικοσυστήματος εμπιστοσύνης» στον κυβερνοχώρο. Σύντομα εισάγουμε στην αρμόδια επιτροπή της Βουλής το νομοσχέδιο για την ενσωμάτωση της οδηγίας NIS2 της ΕΕ για την κυβερνοασφάλεια. Διευρύνουμε τον κύκλο των δημόσιων και ιδιωτικών φορέων που πρέπει να αναβαθμίσουν το επίπεδο Κυβερνοασφάλειας και συμπεριλαμβάνουμε και τομείς της καθημερινότητας, όπως τα τρόφιμα» αναφέρει μιλώντας στο CNN Greece o υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου.

Όπως σπεύδει να προσθέσει ο κ. Παπαστεργίου στο νομοσχέδιο προβλέπονται συγκεκριμένες υποχρεώσεις ως προς τη διαχείριση των κινδύνων, την προστασία των πληροφοριακών συστημάτων καθώς και ως προς την αναφορά περιστατικών στην Εθνική Αρχή Κυβερνοασφάλειας, που είναι και η αρμόδια αρχή απόκρισης. «Το λέω συνεχώς. Απέναντι στην τεχνολογία δεν πρέπει να είμαστε φοβικοί αλλά προσεκτικοί και προνοητικοί, ώστε να διασφαλίζουμε τα δικαιώματα των πολιτών, ώστε να εξασφαλίζουμε την εμπιστοσύνη τους στις ψηφιακές υπηρεσίες» τονίζει ο υπουργός Ψηφιακής Διακυβέρνησης, σεύδοντας να προσθέσει ότι «ζούμε σε μια εποχή τεχνολογικών ευκαιριών αλλά και προκλήσεων και για αυτό όλοι οι φορείς και ιδιαίτερα αυτοί, που διαχειρίζονται δεδομένα, πρέπει να αναβαθμίζουν συνεχώς τα συστήματα, τις δομές και τα πρωτόκολλα ασφαλείας τους».

Τι φέρνει η οδηγία NIS2

Αν και σε πρώτη ανάγνωση, η εφαρμογή της οδηγίας δεν αφορά τους πολίτες, η πραγματικότητα είναι λίγο διαφορετική. Από τη στιγμή που θα υπάρχουν αυστηρότερα πρότυπα ασφαλείας αλλά και θα γίνει εγκατάσταση προηγμένων τεχνολογιών κυβερνοασφάλειας, συστημάτων ανίχνευσης εισβολών αλλά και κρυπτογράφηση δεδομένων, θα είναι εξαιρετικά πιο δύσκολο για τους ενδεχόμενους κυβερνοεισβολείς να αποκτήσουν πρόσβαση στα δίκτυα ελέγχου, αποτρέποντας έτσι καταστροφικές επιθέσεις. Μια εταιρία που δραστηριοποιείται στο ζωτικής σημασίας χώρο της ενέργειας θωρακίζοντας με τον ανωτέρω τρόπο τα συστήματά της λειτουργεί αποτρεπτικά σε ενδεχόμενους κυβερνοεισβολείς που θα μπορούσαν να προκαλέσουν διακοπή στην παροχή ενέργειας, εσωτερική διαταραχή στην λειτουργία της εταιρίας και συνεπεία όλων αυτών, σοβαρότατο πλήγμα στην αξιοπιστία της.

Επιπλέον η υποχρεωτική ενημέρωση και εκπαίδευση του προσωπικού που επιτάσσει μειώνει το ρίσκο από ανθρώπινα λάθη. Για παράδειγμα σε έναν οργανισμό υγείας οι τακτικές εκπαιδεύσεις προσωπικού για κακόβουλα emails μειώνουν τις πιθανότητες να παγιδευτούν από ένα email που φαίνεται ότι προέρχεται από αξιόπιστη πηγή αλλά είναι επίθεση phishing, προστατεύοντας έτσι τα προσωπικά δεδομένα των ασθενών.

Επιπλέον, ο εφαρμοστικός νόμος της NIS2 επιβάλλει σε όλους τους εποπτευόμενους φορείς να αναπτύσσουν στρατηγικές ανάκαμψης περιστατικών που περιλαμβάνουν σχέδια ταχείας ανάκαμψης, όπως η αποκατάσταση δεδομένων και backup που συμβάλλουν στον περιορισμό της εξάπλωσης της επίθεσης. Οι στρατηγικές αυτές, δίνουν για παράδειγμα σε μια εταιρία λυμάτων τη δυνατότητα σε ενδεχόμενη επίθεση ransomware. να συνεχίσει την απρόσκοπτη παροχή της υπηρεσίας της και τη μη καταβολή λύτρων στους κυβερνοεγκληματίες που την έπληξαν.