Κυβερνοασφάλεια στις κρίσιμες υποδομές και υπηρεσίες της χώρας

Τον ορισμό των κρίσιμων υποδομών και υπηρεσιών της χώρας για την Κυβερνοασφάλεια περιλαμβάνει η απόφαση που υπέγραψε πριν από λίγες ημέρες, και δημοσιεύθηκε την Τρίτη 08 Οκτωβρίου στην Εφημερίδα της Κυβερνήσεως, ο υπουργός Ψηφιακής Διακυβέρνησης, κ. Κυριάκος Πιερρακάκης.

Με την συγκεκριμένη απόφαση, που αποτελούσε εκκρεμή ενωσιακή υποχρέωση της χώρας και σχετίζεται άμεσα με την υπ’ αρ. 2016/1148 οδηγία, γνωστή και ως NIS – Network and Information Systems, ορίζονται οι κρίσιμες υποδομές και υπηρεσίες των οποίων, εάν η ομαλή δραστηριότητα διαταραχθεί, αναμένεται να υπάρξουν σημαντικές επιπτώσεις στην εύρυθμη λειτουργία του κρατικού μηχανισμού και στη ζωή των πολιτών.

Τα δίκτυα ενέργειας, καθώς και τα δίκτυα μεταφοράς στο σύνολό τους, οι τράπεζες, οι χρηματοκοικονομικές αγορές, η υγεία, τα δίκτυα ύδρευσης και οι ψηφιακές υποδομές είναι οι τομείς που συμπεριλαμβάνουν υποδομές και υπηρεσίες που εντάσσονται στις κρίσιμες υποδομές. Αυτές ορίζονται ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ).

Μέσω της απόφασης αυτής εξουσιοδοτείται η Εθνική Αρχή Κυβερνοασφάλειας να σχεδιάσει και να ορίσει τις απαιτήσεις για την εφαρμογή μιας Ενιαίας Πολιτικής Ασφάλειας. Με αυτό τον τρόπο διασφαλίζεται ένα ελάχιστο βασικό επίπεδο ασφάλειας των πληροφοριακών συστημάτων και δικτύων του κράτους.

Ποιοι φορείς μπορούν να χαρακτηριστούν ως Φ.Ε.Β.Υ

Σύμφωνα με την Υπουργική Απόφαση, ένας φορέας για να πληροί τις προϋποθέσεις και να χαρακτηριστεί ως ΦΕΒΥ, πρέπει να ανήκει σε τομέα ή υποτομέα του ν. 4577/2018 (Α΄ 199), να προσφέρει βασική υπηρεσία με βάση το παράρτημα 1 της παρούσης απόφασης, η παροχή υπηρεσίας του να βασίζεται σε ψηφιακά συστήματα και να καλύπτει τουλάχιστον ένα από τα κριτήρια του παρόντος άρθρου 16, ανά τομέα. Οι τομείς αυτοί είναι: Ενέργεια (Ηλεκτρική, πετρέλαιο και αέριο), μεταφορές (αεροπορικές, σιδηροδρομικές, πλωτές και οδικές), τράπεζες, υποδομές χρηματοπιστωτικών αγορών, υγεία, νερό και ψηφιακές υποδομές.

Κάθε ΦΕΒΥ ή Πάροχος Ψηφιακών Υπηρεσιών (ΠΨΥ), οφείλει να λαμβάνει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την εναρμόνιση με τις κανονισμούς και τις οδηγίες της ΕΕ. Επίσης θα πρέπει να είναι υπεύθυνος για το σύνολο των πράξεων οποιουδήποτε συνεργάτη, φυσικού ή νομικού προσώπου, που χρησιμοποιεί για την κατασκευή, εγκατάσταση, συντήρηση ή λειτουργία των συστημάτων δικτύου και πληροφοριών του για την παροχή των βασικών υπηρεσιών του καθώς οφείλει να ενημερώνει τους συνεργάτες του σχετικά με τα τηρούμενα μέτρα για την Ασφάλεια Συστημάτων Δικτύου και Πληροφοριών, λαμβάνοντας υπόψη τη φύση της παρεχόμενης εργασίας, και να απαιτεί την αποδοχή, εκ μέρους τους, της υποχρέωσης τήρησης αυτών.

Σε περιπτώσεις εκδήλωσης περιστατικού ασφάλειας, κάθε Οργανισμός οφείλει να συνεργάζεται κατά τις διατάξεις του ν. 4577/2018 (Α΄ 199), με τις Αρμόδιες Αρχές, και να εφαρμόζει τις προβλεπόμενες διαδικασίες προς άμεση επίλυση του περιστατικού και περιορισμό του αντίκτυπου αυτού.

Οι βασικές απαιτήσεις

Η οδηγία και, κατ’ επέκταση, η υπουργική απόφαση αφορά την έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών καθώς και τη διαδικασία παροχής πληροφοριών και κοινοποίησης συμβάντων ασφαλείας στις αρμόδιες Αρχές.

Οι βασικές απαιτήσεις ασφάλειας, όπως ορίζονται από την υπουργική απόφαση,  χωρίζονται στις κατηγορίες «Αναγνώριση», «Προστασία» και «Αντιμετώπιση». Οι απαιτήσεις της πρώτης κατηγορίας είναι απαραίτητες για την κατανόηση του επιχειρηματικού πλαισίου, των πόρων που υποστηρίζουν τις βασικές υπηρεσίες και την σχετική διακινδύνευση για την ασφάλεια των συστημάτων δικτύου και πληροφοριών και επιτρέπουν στον Οργανισμό να εστιάσει τις προσπάθειές του και να διαχειριστεί τους πόρους του, με αποτελεσματικό και αποδοτικό τρόπο.

Στο κομμάτι της «Προστασίας», οι απαιτήσεις είναι απαραίτητες προκειμένου να διασφαλιστούν όλοι οι πόροι (άνθρωποι, διαδικασίες και τεχνολογίες) που υποστηρίζουν τις βασικές υπηρεσίες του Οργανισμού. Τα μέτρα που επιλέγονται για την ικανοποίηση των απαιτήσεων αυτής της κατηγορίας, θα πρέπει να λαμβάνουν υπόψη την στρατηγική διαχείρισης διακινδύνευσης.

Στην κατηγορία «Αντιμετώπιση» οι απαιτήσεις είναι απαραίτητες για την ανίχνευση, την απόκριση, και την εν γένει διαχείριση ενός συμβάντος ασφάλειας που ενδέχεται να επηρεάσει την παροχή βασικών υπηρεσιών του Οργανισμού. Παράλληλα αυτή η κατηγορία προωθεί τη μείωση του αντίκτυπου από ένα περιστατικό ασφάλειας, μέσω της διασφάλισης της συνέχειας και της αποκατάστασης της παροχής βασικών υπηρεσιών του Οργανισμού σε αποδεκτό και προκαθορισμένο επίπεδο.

Τέλος, η απόφαση καθορίζει τη μεθοδολογία προσδιορισμού των Φ.Ε.Β.Υ., τη μεθοδολογία αξιολόγησης και ελέγχου του επιπέδου ασφαλείας των συστημάτων αυτών, ενώ ορίζονται συγκεκριμένα πρωτόκολλα τόσο πρόληψης όσο και αντιμετώπισης περιστατικών Κυβερνοασφάλειας.