NIS Η κα Γιαννακάκη εξήρε τη συνεργασία του Υπουργείου με τον ENISA, η έδρα του οποίου -μετά την κύρωση της σχετικής συμφωνίας αλλαγής έδρας με το ν. 4627/2019- έμεινε στην Ελλάδα και μεταφέρθηκε στην Αθήνα. Κλείνοντας τόνισε ότι σκοπός της Εθνικής Αρχής Κυβερνοασφάλειας δεν είναι η εξάντληση της αυστηρότητας των προβλεπόμενων κυρώσεων, καθώς προέχει η άμεση συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με τους ΦΕΒΥ και τους Παρόχους Ψηφιακών Υπηρεσιών και η έκδοση κατευθυντήριων γραμμών. Αναφέρθηκε μάλιστα στην αναγκαιότητα της «Κυβερνο-υγιεινής», δηλαδή της υιοθέτησης απλών μέτρων ρουτίνας τα οποία, όταν εφαρμόζονται και εκτελούνται τακτικά από πολίτες, οργανισμούς και επιχειρήσεις, ελαχιστοποιούν την έκθεσή τους σε κινδύνους από κυβερνοαπειλές. Αποτυχία η επιβολή προστίμου «Αν επιβληθεί πρόστιμο σε ΦΕΒΥ, θα έχουμε αποτύχει και εμείς», είναι η χαρακτηριστική τοποθέτηση του κ. Γιώργου Δρίβα, Διευθυντή Κυβερνοασφάλειας της Εθνικής Αρχής Κυβερνοασφάλειας στο πάνελ που ακολούθησε. Η πολιτική της Αρχής και του Υπουργείου εν γένει κατευθύνεται στην ορθή ενημέρωση και σύμπλευση με τους ΦΕΒΥ προκειμένου να αυξηθεί το επίπεδο ωριμότητας τους σε θέματα Κυβερνοασφάλειας και όχι στην τιμωριτική οδό των προστίμων που γενούν και επιπλέον γραφειοκρατία. Η Εθνική Αρχή Κυβερνοασφάλειας αξιοποιεί πλέον μια εργαλειοθήκη για την εφαρμογή της Οδηγίας NIS, με πρωτεύουσα την Εθνική Στρατηγική Κυβερνοασφάλειας, η οποία ενσωματώνει 18 από τις 20 προτεινόμενες δράσεις του ENISA, όντας από τις πληρέστερες σε πανευρωπαϊκό επίπεδο και πλέον θα δημιουργηθεί action plan για την εφαρμογή της με στόχο να φέρει αποτελέσματα στην αγορά. Η κα Δήμητρα Λιβέρη, Μέλος ΔΣ, ENISA αναφέρθηκε στην ευρωπαϊκή εμπειρία του Οργανισμού μέσα από το CSIRT Network (όπου συμμετέχουν όλες οι αντίστοιχες εθνικές ομάδες), αλλά και το Cooperation Group, όπου συμμετέχουν 27 Αρχές Κυβερνοασφάλειας δημιουργώντας αντίστοιχες ομάδες εργασίας (Work streams). Πλέον σε Ευρωπαϊκό επίπεδο έχουν αρχίσει να δημιουργούνται κλαδικά workstreams, όπως για ενέργεια, μεταφορές και υγεία, που εξειδικεύουν την Οδηγία ΝIS σε συνεργασία με τις επιμέρους Εθνικές Αρχές που έχουν υπό την εποπτεία τους, τους ΦΕΒΥ. Εν προκειμένω στον τομέα ενέργειας, συμμετέχει η ΡΑΕ (Ρυθμιστική Αρχή Ενέργειας). Στόχος του ENISA είναι να μεταφέρει βέλτιστες πρακτικές, αλλά και πολιτικές εναρμόνισης μεταξύ των φορέων διαφόρων κλάδων. Ο κ. Ροβέρτος Γκόγκλης, Διευθυντής Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών της ALPHA BANK, ανέφερε ότι η «Οδηγία NIS επιχειρεί να παντρέψει τον φυσικό κόσμο με τον αμιγώς ψηφιακό κόσμο, δύο κόσμους με αντικρουόμενες προτεραιότητες». Σύμφωνα με τον ίδιο οι κυβερνο-απειλές πλέον χωρίζονται σε 2 κατηγορίες: αυτές που έχουν στόχο το χρήμα και αυτές που αποκαλούνται cyber-terrorism και είναι χρηματοδοτούμενες από κράτη. Κανένας οργανισμός μόνος του δεν μπορεί να ανταπεξέλθει σε καμία από τις 2 μορφές επιθέσεων, σύμφωνα με τον κ. Γκόγκλη και η Οδηγία NIS προσφέρει πλέον το υπόβαθρο 28 infocom•03•20
για συνεργασία των φορέων και των κλάδων, ιδανικά σε μια πανεθνική άσκηση IT & ΟΤ συστημάτων σε όλες τις κρίσιμες υποδομές της χώρας (όπως αντίστοιχα συμβαίνει στην άσκηση του TIBER-EU στον τραπεζικό κλάδο), ώστε να βρεθούν οι αδυναμίες και να εξαλειφθούν τα τρωτά σημεία στην κυβερνοασφάλεια. Ο κ. Φίλιππος Κομνηνός, Ειδικός Ασφάλειας Πληροφοριών του Διεθνή Αερολιμένα Αθηνών, τόνισε από την πλευρά του ότι η Οδηγία NIS ήρθε να προστεθεί μέσα σε ένα πλέγμα κανονιστικών απαιτήσεων στο θέμα της κυβερνοασφάλειας και από άλλες απαιτήσεις του κλάδου των αερομεταφορών (ΑΔΑΕ, GDPR, Πολιτική Αεροπορία), οπότε χρειάστηκε να γίνει αρχικά η ομαλοποίηση των απαιτήσεων και η δόμηση ενός ελάχιστου επιπέδου συμμόρφωσης που να λαμβάνει υπόψη όλα τα κανονιστικά πλαίσια. Ο ΔΑΑ σε σχέση με το NIS Directive και τη συμμόρφωση, έχει ήδη προχωρήσει σε Gap Analysis, εμπλουτίζει το εφαρμοζόμενο ISMS προκειμένου να είναι ώριμο ως προς τις νέες απαιτήσεις, σε ομαλοποίηση του GDPR, καθώς και επενδύσεις σε ασφάλεια πληροφοριών σε συστήματα ΙΤ, αλλά και σε συστήματα ΟΤ, που είναι εξίσου σημαντικά για την Οδηγία NIS. ΙΤ & OT Από την εταιρεία PRIORITY, ο κ. Δημήτρης Ξερνός, Technology Manager, στην παρουσίαση του με τίτλο: «NIS Directive - Ενσωμάτωση στην Ελληνική Νομοθεσία & Απαιτήσεις Συμμόρφωσης» τόνισε την αναγκαιότητα να ληφθούν από τους ΦΕΒΥ τεχνικά και οργανωτικά μέτρα, αναφέροντας ότι ο ανθρώπινος παράγοντας εξακολουθεί να παραμένει ο πιο σημαντικός στην αλυσίδα της κυβερνοασφάλειας. Τόνισε μάλιστα την αντίφαση των ΙΤ με τα ΟΤ συστήματα των οργανισμών ως προς τις προτεραιότητες τους, ωστόσο η συμμόρφωση με την Οδηγία NIS προϋποθέτει τη δημιουργία ενός Πλαισίου Διασφάλισης της Επιχειρησιακής Συνέχειας και της Ασφάλειας Πληροφοριών, που περιλαμβάνει προβλέψεις και διαδικασίες και για τα 2 συστήματα (ΙΤ & OT) και λαμβάνει υπόψη τα διεθνή standard και βέλτιστες πρακτικές. infocom•03•20 29
Facebook
Twitter