Γράφει η Κατερίνα Τσάλιου, Νομικός – Information Security Analyst 

Ραγδαία βήματα φαίνεται πως κάνει η χώρα μας στο τομέα της κυβερνοασφάλειαες αφού, στη φάση των τελικών υπογραφών βρίσκεται νομοσχέδιο για την του υπουργείου Ψηφιακής Διακυβέρνησης, με το οποίο θα ενσωματωθεί στο εθνικό δίκαιο η Οδηγία 2022/2555 (NIS2). Αναμένεται να έχει ψηφιστεί από τη Βουλή εντός του 2024, όπως αναφέρουν σχετικές πηγές.
Γιατί όμως είναι τόσο σημαντική η κυβερνοασφάλεια και τί εννοούμε με τον όρο κυβερνοεπίθεση;
Ας ξεκινήσουμε από τα βασικά:

Με τον όρο κυβερνοεπίθεση εννοούμε την προσπάθεια ενός εισβολέα να αποκτήσει πρόσβαση με σκοπό την τροποποίηση, καταστροφή, κλοπή, υποκλοπή ή και την μη εξουσιοδοτημένη πρόσβαση στις πληροφορίες του νόμιμου κατόχου. Οι πιο συχνές επιθέσεις είναι το Malware κατά το οποίο παραβιάζεται ένα δίκτυο μέσω μιας ευπάθειας (vulnerability) συμπεριλαμβανομένων του ιών και των worms. Το επικίνδυνο και κακόβουλο λογισμικό εγκαθίσταται στον υπολογιστή του χρήστη όταν ο χρήστης κάνει κλικ σε έναν επικίνδυνο σύνδεσμο ή σε ένα συνημμένο email.
Χωρίς_τίτλο_1_1_1.jpg

Άλλη μία συχνή επίθεση αποτελεί το Phishing. Είναι η πρακτική της αποστολής ηλεκτρονικών μηνυμάτων συνήθως μέσω ηλεκτρονικού ταχυδρομείου τα οποία στην αρχή φαίνονται να προέρχονται από αξιόπιστη πηγή. Στόχος είναι η κλοπή ευαίσθητων δεδομένων, όπως πληροφορίες πιστωτικών καρτών ή η εγκατάσταση κακόβουλου λογισμικού στον υπολογιστή του θύματος. Το «ψάρεμα» είναι μια ολοένα και πιο συχνή απειλή στον κυβερνοχώρο.

Η οδηγία λοιπόν που προαναφέρθηκε υποχρεώνει όλες τις επιχειρήσεις να «θωρακιστούν» κατά των κυβερνοεπιθέσεων. Σύμφωνα με αναλυτές, το 2023 το έγκλημα στον κυβερνοχώρο παγκοσμίως ξεπέρασε τα 10,5 τρισ. Δολάρια. Αυτό δείχνει σε πόσο μεγάλο κίνδυνο βρίσκονται τα ανθρώπινα δικαιώματα όπως και τα προσωπικά δεδομένα πολιτών-πελατών καθημερινώς από τις συνεχείς κυβερνοεπιθέσεις[1].

H Οδηγία NIS2 θα αφορά:

  • Όλες τις µεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιριών ταχυµεταφορών.
  • Ανεξάρτητα από το μέγεθός τους σε παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου, και παρόχους υπηρεσιών συστήματος ονομάτων τομέα.
  • Την Κεντρική Κυβέρνηση, τις Περιφέρειες και Δήμους.

Με τις προτεινόμενες διατάξεις:

  • Ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρµόδια αρχή και ως αρµόδια οµάδα απόκρισης.
  • Ενισχύεται η συνεργασία µεταξύ του δηµόσιου και ιδιωτικού τοµέα.
  • Ενισχύεται ο εθνικός στρατηγικός σχεδιασµός κυβερνοασφάλειας.
  • Καθορίζεται πλαίσιο για τη συντονισµένη γνωστοποίηση ευπαθειών.

Αξίζει να σημειωθεί ότι προβλέπονται συγκεκριμένες κυρώσεις και διοικητικά πρόστιμα σε περίπτωση παραβίασης απαιτήσεων σχετικά µε τα µέτρα διαχείρισης κινδύνων ή μη συµµόρφωσης µε τις υποχρεώσεις αναφοράς περιστατικού.

Με την εφαρμογή της οδηγίας θα αυξηθεί η ζήτηση υπηρεσιών όπως και ειδικών κυβερνοασφάλειας. Η Εθνική Αρχή Κυβερνοασφάλειας θα προετοιμάσει και θα παρέχει τη δυνατότητα πιστοποίησης υπαλλήλων σε συνεργασία με συναρμοδίους φορείς.

Γιατί φτάνουμε όμως στο σημείο να αναφέρουμε τη σημαντικότητα αυτού του εγχειρήματος;

Πολλές ελληνικές εταιρίες διαθέτουν βασικές λύσεις για την προστασία από τις κυβερνοεπιθέσεις, με τις πιο σημαντικές να είναι η χρήση firewalls και ασφάλεια στο ηλεκτρονικό ταχυδρομείο. Οι στρατηγικές βέβαια του penetration testing μαζί με τη διαχείριση των ευπαθειών (vulnerability management) είναι δημοφιλείς με ποσοστά 65% και 64%, αντίστοιχα[2]. Ενθαρρυντικό βέβαια φαίνεται το γεγονός ότι οι επιχειρήσεις φαίνεται να δίνουν ιδιαίτερη έμφαση σε λύσεις όπως το Data Loss Prevention (DLP)[3] για την προστασία διαρροής προσωπικών δεδομένων από πιθανές κυβερνοεπιθέσεις.

Πολλές όμως εταιρίες και δημόσιοι φορείς δεν έχουν στοχεύσει στο σημαντικότερο παράγοντα για την αποτροπή των κυβερνοεπιθέσεων. Ποιος είναι αυτός;
Μα φυσικά, ο ανθρώπινος παράγοντας. Το 90% των κυβερνοεπιθέσεων βασίζεται σε ανθρώπινο λάθος.[4] Σε εταιρίες και δημόσιους οργανισμούς όπου η διαχείριση αρχείων και δεδομένων πραγματοποιείται σε μεγάλο βαθμό, οι υπάλληλοι δεν έχουν βασικές γνώσεις αποτροπής κυβερνοεπίθεσης.
Σύμφωνα με την έρευνα, το 54% των επιχειρήσεων δηλώνει ότι η έλλειψη εξειδικευμένου προσωπικού είναι το κύριο εμπόδιο στην ανάπτυξη ολοκληρωμένων σχεδίων κυβερνοασφάλειας.

Συνεπώς μία τέτοια οδηγία όπως η NIS2, θα οδηγήσει στην καλύτερη θωράκιση εταιριών και οργανισμών απέναντι σε κυβερνοεπιθέσεις, Το σημαντικότερο όμως όλων είναι η επένδυση σε εκπαίδευση του προσωπικού ώστε να αντιμετωπίζουν όσο το δυνατόν καλύτερα τις περιπτώσεις κυβερνοεπίθεσης με την ενεργοποίηση ενός σχεδίου αντιμετώπισης περιστατικών όπως και την υιοθέτηση προτύπων και πιστοποιήσεων.

[1] Σύμφωνα με τις εκτιμήσεις της Cybersecurity Ventures.

[2] Σύμφωνα με την έρευνα της Metron Analysis για λογαριασμό της Vodafone.

[3] Πρόκειται ουσιαστικά για μια λύση κυβερνοασφάλειας που περιλαμβάνει πολιτικές, διαδικασίες, μέτρα και τεχνολογίες που αποτρέπουν τη διαρροή πληροφοριών και δεδομένων.

[4] Σύμφωνα με τον Οδηγό Κυβερνοασφάλειας που δημοσίευσε ο Σύνδεσμος Ελλήνων Βιομηχάνων.