Η επίθεση εναντίον μιας χώρας, ήδη σήμερα, και πολύ περισσότερο στο μέλλον, μπορεί να γίνει με σύγχρονους τρόπους και να την καταστήσει μη λειτουργική. Η Ελλάδα τι μέτρα έχει λάβει ώστε να προστατευθεί από μια κυβερνοεπίθεση;
Η απάντηση είναι πως έχει πολλά βήματα ακόμη να διανύσει ώστε να είναι ασφαλής. Αυτό το κενό καλείται να καλύψει η κυβέρνηση, με τον αρμόδιο υπουργό Ψηφιακής Διακυβέρνησης Δημήτρη Παπαστεργίου να έχει φέρει ήδη σχετικό νομοσχέδιο που προβλέπει τη δημιουργία μιας κεντρικής δημόσιας αρχής, με τη μορφή νομικού προσώπου δημοσίου δικαίου, με την επωνυμία Εθνική Αρχή Κυβερνοασφάλειας, η οποία έως τώρα ήταν διεύθυνση του υπουργείου Ψηφιακής Διακυβέρνησης και πλέον αναβαθμίζεται σε οργανισμό.
Βασικό στόχο της νέας Αρχής αποτελεί η αποτελεσματική πρόληψη και διαχείριση κυβερνοεπιθέσεων σε μια σειρά από φορείς που σήμερα είναι εκτεθειμένοι.
Tροφική αλυσίδα
Αν τα παραπάνω σας φαίνονται βγαλμένα από ταινία και μακριά από την καθημερινότητα του μέσου Ελληνα πολίτη, πρέπει να καταστήσουμε σαφές πως δεν είναι. Για παράδειγμα, μια κυβερνοεπίθεση μπορεί να χτυπήσει τον κεντρικό επεξεργαστή μεγάλης γαλακτοκομικής εταιρείας και να μπλοκάρει για λίγες ημέρες την παραγωγή γάλακτος.
Το πρόγραμμα NIS1, που αφορούσε έως σήμερα την κυβερνοασφάλεια, επεκτεινόταν σε συγκεκριμένους τομείς, όπως οι μεταφορές (για παράδειγμα, χτύπημα σε ένα αεροδρόμιο), οι τράπεζες, οι υποδομές των χρηματοπιστωτικών αγορών ή η υγεία. Πλέον με ευρωπαϊκή οδηγία έχει εκδοθεί το NIS2, το οποίο επεκτείνεται σε πολλούς τομείς και αναμένεται να εφαρμοστεί από τον Οκτώβριο του 2024.
Στο εξής η κυβερνοασφάλεια θα επεκταθεί σε πάνω από 2.000 φορείς, μεταξύ των οποίων όλος ο δημόσιος τομέας και οι περιφέρειες, οι ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, η διαχείριση αποβλήτων, και φυσικά σε ιδιωτικές επιχειρήσεις που δραστηριοποιούνται σε κρίσιμους τομείς, όπως η παρασκευή, παραγωγή και διανομή χημικών προϊόντων, η παραγωγή και μεταποίηση τροφίμων, ο κατασκευαστικός τομέας. Ο κανόνας είναι πως θα εντάσσονται μεσαίες επιχειρήσεις με πάνω από 50 εργαζομένους και ισολογισμό πάνω από 10 εκατ. ευρώ. Είναι βέβαιο όμως ότι τα κριτήρια ένταξης μιας επιχείρησης στην κυβερνοασφάλεια συνεχώς θα διευρύνονται.
Στόχος, η προστασία του Δημοσίου, αλλά και ιδιωτικών επιχειρήσεων που δραστηριοποιούνται σε τομείς όπως η παρασκευή και διανομή χημικών προϊόντων και τροφίμων.
Αυτή τη στιγμή το υφιστάμενο σύστημα κυβερνοασφάλειας στην Ελλάδα «διασπάται» σε μια σειρά από φορείς, με κυριότερους τη Γενική Διεύθυνση Κυβερνοασφάλειας του υπουργείου Ψηφιακής Διακυβέρνησης, τη Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ, την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (CERT) της ΕΥΠ και τη Δίωξη Ηλεκτρονικού Εγκλήματος. Παρά τα βήματα που έχουν γίνει, η διαρκής εξέλιξη της τεχνολογίας και του κυβερνοχώρου καθιστά αναγκαία την προσαρμογή στα νέα δεδομένα, με τη νέα Αρχή να λειτουργεί σαν ομπρέλα που θα εποπτεύει όλους τους εμπλεκόμενους φορείς, διευρύνοντας –όπως προαναφέρθηκε– τις κατηγορίες που θα ελέγχονται.
Η Αρχή θα εποπτεύεται από το υπουργείο Ψηφιακής Διακυβέρνησης και θα αποτελεί την ενιαία και λειτουργική δομή που θα αναλάβει τον σχεδιασμό και την υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, πάντοτε όμως σε συνεργασία με άλλες αρμόδιες αρχές.
Οι απειλές στον κυβερνοχώρο γίνονται κάθε μέρα περισσότερες και πιο σύνθετες, γεγονός που δυσκολεύει πολύ έναν «στατικό» προσδιορισμό τους. Χαρακτηριστικά του προβλήματος που υπάρχει είναι όσα ειπώθηκαν στην τελευταία σύσκεψη της αρμόδιας επιτροπής.
Οι αναφορές είχαν να κάνουν με το κόστος των κυβερνοεπιθέσεων, το οποίο σίγουρα είναι μεγαλύτερο από το κόστος λειτουργίας της νέας Εθνικής Αρχής Κυβερνοασφάλειας, αν κανείς συνυπολογίσει και την αξία των δεδομένων που μπορεί να χαθούν ή να διαρρεύσουν. Ενδεικτικό είναι πως το ετήσιο κόστος του κυβερνοεγκλήματος για το 2021 έχει μετρηθεί παγκοσμίως στα 5,5 τρισ. ευρώ, ενώ αναμένεται να ξεπεράσει τα 10 τρισ. ευρώ για το 2023. Ενα πρόβλημα στη στελέχωση της νέας εθνικής αρχής είναι το κατά πόσο θα βρεθεί το κατάλληλο προσωπικό.