«Η Οδηγία NIS έχει βοηθήσει σημαντικά την Ευρωπαϊκή Ένωση να ενισχύσει το επίπεδο κυβερνοασφάλειας και μας έχει επιτρέψει να έχουμε ένα κοινό επίπεδο κυβερνοασφάλειας στην Ευρώπη…». Η Δέσποινα Σπανού, Director for Digital Society, Trust and Cybersecurity, European Commission, κλείνει σήμερα με το καλύτερο τρόπο το μαραθώνιο αφιέρωμα του NetFAX στο Ευρωπαϊκό Μήνα Κυβερνοασφάλειας, αποτυπώνοντας την επίσημη θέση της Κομισιόν στο σημαντικό και καίριο για την εποχή μας θέμα του cyber security.

Πόσο ασφαλείς είμαστε σήμερα; Τι ενέργειες κάνει (και πρόκειται να κάνει) η Κομισιόν για να ενισχύσει το cyber security;
Η ψηφιακή τεχνολογία καλύπτει σήμερα ένα ευρύ φάσμα ραγδαία αναπτυσσόμενων ψηφιακών τεχνολογιών πληροφορικής και επικοινωνιών, όπως για παράδειγμα το διαδίκτυο των αντικειμένων (Internet of Things), το cloud, η τεχνητή νοημοσύνη (AI) και τα δίκτυα επικοινωνίας 5ης γενιάς (5G).

Οι τεχνολογίες αυτές μας επιτρέπουν να αναπτύξουμε έξυπνες και καινοτόμες εφαρμογές μέσα στα σπίτια μας, σύντομα θα μας επιτρέψουν να κινούμαστε με μεταφορικά μέσα που δεν μολύνουν το περιβάλλον, προβλέπουν για την ασφάλεια και προσφέρουν χρόνο στους οδηγούς για άλλες δραστηριότητες.

Θα μπορούμε να εξασφαλίζουμε ιατρικές υπηρεσίες που δεν υπάρχουν στη χώρα μας μέσω τεχνολογικών λύσεων εξ αποστάσεως, και θα έχουμε πρόσβαση σε δημόσιες υπηρεσίες γρήγορα και εύκολα και κυρίως με πλήρη σεβασμό στην ιδιωτικότητά μας. Ταυτόχρονα με τη διείσδυση των νέων ψηφιακών τεχνολογιών στην οικονομία μας και την κοινωνία μας διευρύνεται και το πεδίο δράσης των κυβερνοεγκληματιών με δυνητικές επιπτώσεις σε όλους τους τομείς της ζωής μας.

Οι κυβερνοεπιθέσεις είναι μια πραγματικότητα η οποία δεν αντιμετωπίζεται με ένα τρόπο, ούτε προέρχονται από μια μόνο πηγή. Εξαπλώνονται μέσω κοινών εγκληματιών που χρησιμοποιούν το διαδίκτυο προς όφελος τους με στόχο την αποκόμιση κέρδους ή την τέλεση εγκλημάτων. Άλλα και λόγω των γεωπολιτικών εξελίξεων που οδηγούν σε μια νέα κοινωνικοπολιτική πραγματικότητα που εκφράζεται είτε μέσω κυβερνοεπίθεσέων είτε μέσω εξασφάλισης πληροφοριών που αποσπώνται ηλεκτρονικά με παράνομες παρεμβάσεις. Η προστασία του κυβερνοχώρου είναι άμεση ανάγκη και προτεραιότητα για τη εύρυθμη λειτουργία της σύγχρονης οικονομίας και κοινωνίας.

Η Ευρωπαϊκή Ένωση έχει θέσει την κυβερνοαφάλεια ως μια από τις βασικές της πολιτικές προτεραιότητες. Αυτό έχει εκφραστεί ξεκάθαρα στο πιο υψηλό πολιτικό επίπεδο, τόσο από τον Πρόεδρο της Ευρωπαϊκής Επιτροπής,  Jean-Claude Juncker, με την υιοθέτηση το 2017 ενός πακέτου μέτρων για την κυβερνοασφάλεια όσο και από την νέα προτεινομένη Πρόεδρο, Ursula Von der Leyen, κατά τις προγραμματικές της δηλώσεις στο Ευρωπαϊκό Κοινοβούλιο η οποία ανεβάζει τον πήχη ψηλά θέτοντας την κυβερνοασφάλεια και ως δική της προτεραιότητα.

Ο πρόσφατος Ευρωπαϊκός Κανονισμός 2019/881 – Ευρωπαϊκή Πράξη για την Κυβερνοασφάλεια σχετικά με τον οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και το πλαίσιο για την πιστοποίηση της κυβερνοασφάλειας για τεχνολογικά προϊόντα, υπηρεσίες και διαδικασίες (the EU Cybersecurity Act), η Ευρωπαϊκή Οδηγία 2016/1148 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ευρωπαϊκή Ένωση (NIS Directive), η πρόσφατη Σύσταση 2019/2335 της Ευρωπαϊκής Επιτροπής για την κυβερνοασφάλεια των δικτύων 5ης γενιάς καθώς και η Σύσταση 2017/1584 της Ευρωπαϊκής Επιτροπής για τη συντονισμένη αντιμετώπιση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο αποτελούν μερικές από τις πιο χαρακτηριστικές πολιτικές δράσεις που έχει υιοθετήσει η Ευρωπαϊκή Ένωση για την ενίσχυσης της κυβερνοασφάλειας στην Ευρώπη.

Τα παραπάνω συμπληρώνονται από στοχευμένη χρηματοδότηση για την ενίσχυση της έρευνας και της καινοτομίας στην κυβερνοασφάλεια (κυρίως μέσω του προγράμματος Horizon 2020), την ανάπτυξη οργανωτικών δομών και υποδομών κυβερνοασφάλειας (μέσω του χρηματοδοτικού προγράμματος Connecting Europe Facility), την ενίσχυση προγραμμάτων που προωθούν τη διεξαγωγή ενεργειών εκπαίδευσης, ενημέρωσης και κατάρτισης σε όλη την Ευρωπαϊκή επικράτεια. Επιπλέον, η Ευρωπαϊκή Επιτροπή έχει συμπράξει με τον ιδιωτικό τομέα ώστε να προωθήσει ακόμη μεγαλύτερες επενδύσεις στον νευραλγικό αυτό τομέα.

Στην ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση βοηθά σημαντικά και η υιοθέτηση του Ευρωπαϊκού Κανονισμού για την προστασία των προσωπικών δεδομένων – γνωστός και ως GDPR –  ο οποίος μεταξύ άλλων θέτει και συγκεκριμένες υποχρεώσεις σε όσους τηρούν και επεξεργάζονται προσωπικά δεδομένα. Επίσης, η Ευρωπαϊκή Οδηγία για την εμπιστευτικότητα των ηλεκτρονικών επικοινωνιών (ePrivacy Directive) και ειδικότερα η νέα σχετική πρόταση της Ευρωπαϊκής Επιτροπής για την υιοθέτηση ενός Ευρωπαϊκού Κανονισμού που να καλύπτει και της επικοινωνίες μέσω διαδικτύου (για παράδειγμα WhatsApp, Messanger, Skype, κλπ) θα βοηθήσει εξαιρετικά στην προστασία της ιδιωτικότητας ενισχύοντας και την κυβερνοασφάλεια.

Στην Ευρώπη έχουμε ως στόχο μας να αναπτύξουμε την τεχνολογία και να ενισχύσουμε την κυβερνοασφάλεια αλλά πάντα με σεβασμό στα βασικά ανθρώπινα δικαιώματα και στις αρχές της Ευρωπαϊκής Ένωσης. Τα επόμενα βήματα για την ομάδα μας είναι η ολοκλήρωση των διαπραγματεύσεων σε Ευρωπαϊκό επίπεδο της πρότασης για τη σύσταση ενός ευρωπαϊκού βιομηχανικού, τεχνολογικού και ερευνητικού κέντρου στον τομέα της κυβερνοασφάλειας και του δικτύου εθνικών κέντρων συντονισμού αλλά και η πλήρης εφαρμογή τόσο της Οδηγίας NIS όσο και της Ευρωπαϊκής Πράξης για την κυβερνοασφάλεια (EU Cybersecurity Act).

Πόσο αποτελεσματική είναι η οδηγία NIS σε κρίσιμους τομείς, όπως είναι  οι μεταφορές, ο υγειονομικός τομέας, οι οικονομικές υπηρεσίες και η ενέργεια;
Η Ευρωπαϊκή Οδηγία NIS επιβάλλει τη λήψη συγκεκριμένων μέτρων από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης με στόχο την ενίσχυση της κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση. Απαιτεί από τους παρόχους κρίσιμων υποδομών (critical infrastructure) να λαμβάνουν μέτρα για την ασφάλεια των συστημάτων τους αλλά και να ενημερώνουν τις αρμόδιες κρατικές αρχές για κυβερνοεπίθεσεις που τους αφορούν.

Αυτή η αρχή ανταλλαγής πληροφοριών και ενημέρωσης μεταξύ των παρόχων και αρχών οδηγεί σε συνεργασία αλλά και σε ανάπτυξη γνώσης και στις δυο πλευρές σε ένα χώρο που το έλλειμμα πείρας και δεξιοτήτων είναι πραγματικότητα. Το κατά πόσον είναι αποτελεσματικές θα φανεί από τον τρόπο εφαρμογής της Οδηγίας. Η Ευρωπαϊκή Επιτροπή παρακολουθεί στενά την εφαρμογή της Οδηγίας NIS με στόχο μια Ευρώπη καλύτερα προστατευμένη στον κυβερνοχώρο και με ψηλές προδιαγραφές κυβερνοασφάλειας στους νευραλγικούς τομείς της οικονομίας και της κοινωνίας. Είμαστε πρωτοπόροι σε αυτή την προσέγγιση.

Πρόκειται για μία ολοκληρωμένη προσέγγιση σε ευρωπαϊκό επίπεδο η οποία διαμορφώνει ένα πλαίσιο ελάχιστων απαιτήσεων κυβερνοασφάλειας σε εθνικό επίπεδο, προβλέπει την ανταλλαγή σχετικών πληροφοριών αλλά και τη συνεργασίας για τους παρόχους ψηφιακών επικοινωνιών και υπηρεσιών και τους φορείς που δραστηριοποιούνται στους τομείς των κρίσιμων υποδομών (όπως για παράδειγμα πάροχοι ενέργειας, υπηρεσιών υγείας, ύδρευσης, τραπεζικών υπηρεσιών), επιτρέποντας παράλληλα σε όλους αυτούς τους φορείς να εφαρμόζουν μέτρα αυστηρότερα από εκείνα που προβλέπει η Οδηγία.

Επιπλέον, η Οδηγία προνοεί την θέσπιση εθνικών στρατηγικών κυβερνοασφάλειας από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης και τη δημιουργία ομάδας συνεργασίας αυτών (NIS Cooperation Group). Επίσης, προβλέπει τη δημιουργία ευρωπαϊκού δικτύου ομάδων αντιμετώπισης έκτακτων περιστατικών κυβερνοασφάλειας (δίκτυο CSIRT), το οποίο και αυτό αποσκοπεί στην ανάπτυξη της εμπιστοσύνης μεταξύ των κρατών μελών και προωθεί την ταχεία και αποτελεσματική επιχειρησιακή τους συνεργασία.

Τέλος, η Οδηγία NIS θεσπίζει απαιτήσεις κυβερνοασφάλειας και κοινοποίησης σχετικών σοβαρών περιστατικών για τους φορείς εκμετάλλευσης βασικών υπηρεσιών (π.χ. ενέργεια, τραπεζικός τομέας, μεταφορές) και για τους παρόχους ψηφιακών υπηρεσιών και προβλέπει τις υποχρεώσεις των κρατών μελών να ορίζουν εθνικές αρμόδιες αρχές, ενιαία κέντρα επαφής και CSIRT με αρμοδιότητες σχετικές με την κυβερνοασφάλεια.

Γενικότερα η Οδηγία NIS έχει βοηθήσει σημαντικά την Ευρωπαϊκή Ένωση να ενισχύσει το επίπεδο κυβερνοασφάλειας και μας έχει επιτρέψει να έχουμε ένα κοινό επίπεδο κυβερνοασφάλειας στην Ευρώπη και όχι μόνο τα κράτη μέλη που παραδοσιακά είχαν δεξιότητες και πραγματοποιούσαν επενδύσεις στο χώρο της κυβερνοασφάλειας.Αλλά όπως καταδεικνύει και η σχετική ετήσια έκθεση του ENISA, οι κυβερνοαπειλές γίνονται πιο σύνθετες και επομένως απαιτείται να συνεχίσουμε να δουλεύουμε προς μια πιο ανθεκτική απέναντι σε κυβερνοεπιθέσεις Ενιαία Ευρωπαϊκή ψηφιακή αγορά.

Και τι γίνεται με το 5G και την ασφάλεια του;
Τα δίκτυα 5G αποτελούν τη μελλοντική ραχοκοκαλιά των όλο και πιο ψηφιοποιημένων οικονομιών και κοινωνιών μας. Λόγω της κρισιμότητας δικτύων 5ης γενιάς (5G) για την οικονομία και την κοινωνία, το ζήτημα της ασφάλειας της τεχνολογία αυτής αποτελεί θέμα μείζονος σημασίας διεθνώς, με ισχυρές γεωπολιτικές προεκτάσεις. Τα κράτη μέλη της Ευρωπαϊκής Ένωσης, αναγνωρίζοντας τον πολυδιάστατο και κρίσιμο ρόλο των τεχνολογιών και δικτύων 5G ζήτησαν μία συντονισμένη προσέγγιση σε Ευρωπαϊκό επίπεδο με συγκεκριμένες δράσεις για την αξιολόγηση των κινδύνων και την προετοιμασία σχετικών μέτρων για την αντιμετώπισή τους.

Μέσω της Σύστασης 2019/2335 της Ευρωπαϊκή Επιτροπής για την κυβερνοασφάλεια των δικτύων 5ης γενιάς, προτάθηκαν άμεσες πρωτοβουλίες και δράσεις που ήδη κάποιες από αυτές έχουν υλοποιηθεί. Στις 9 Οκτωβρίου, τα κράτη μέλη της Ευρωπαϊκής Ένωσης, με την υποστήριξη της Ευρωπαϊκής Επιτροπής και του Ευρωπαϊκού Οργανισμού για την Κυβερνοασφάλεια (ENISA), που εδρεύει στην Ελλάδα, δημοσίευσαν έκθεση σχετικά με τη συντονισμένη από την Ευρωπαϊκή Ένωση. αξιολόγηση της επικινδυνότητας των δικτύων πέμπτης γενιάς (5G) όσον αφορά την κυβερνοασφάλεια.

Στην έκθεση αυτή επισημαίνονται ορισμένα σημαντικά προβλήματα στον τομέα της ασφάλειας, τα οποία συνδέονται κυρίως με τις βασικές καινοτομίες που εισάγει η τεχνολογία 5G (οι οποίες θα επιφέρουν επίσης και κάποιες βελτιώσεις στον τομέα της ασφάλειας), ιδίως στο κομμάτι του λογισμικού (software) και στο ευρύ φάσμα υπηρεσιών και εφαρμογών που καθίστανται δυνατές με το 5G τον ρόλο των προμηθευτών στην δημιουργία και λειτουργία δικτύων 5G, και τον βαθμό εξάρτησης από μεμονωμένους προμηθευτές.

Μέχρι το τέλος του έτους η Ευρωπαϊκή Επιτροπή θα προτείνει μία εργαλειοθήκη (toolbox) στοχευμένων μέτρων άμβλυνσης ή εξάλειψης των απειλών αυτών. Εντός του 2020 θα υπάρξει νέα αξιολόγηση της αποτελεσματικότητας των μέτρων που θα ληφθούν ώστε να εξεταστεί αν χρειάζονται επιπλέον δράσεις για την ασφάλεια αυτής της τόσο κρίσιμης δικτυακής τεχνολογίας. Ο ΕΝISA επίσης δημιουργεί ειδική ομάδα δράσης για το 5G που θα καλύπτει όλους τους αναδυόμενους κινδύνους παρακολουθώντας στενά την δυναμική εξέλιξη της τεχνολογίας δικτύων 5G.

Τι μέτρα λαμβάνει η ΕΕ για την ενίσχυση της αγοράς cyber security και την ενίσχυση της ανταγωνιστικότητάς της;
Όλα τα μέτρα και οι πρωτοβουλίες στοχεύουν στην ενίσχυση της κυβερνοασφάλειας στην Ενιαία Ευρωπαϊκή ψηφιακή αγορά και ταυτόχρονα στην ανταγωνιστικότητα μας στην παγκόσμια αγορά κυβερνοασφάλειας. Χαρακτηριστικό παράδειγμα αποτελεί ο Κανονισμός 2019/881 – Ευρωπαϊκή Πράξη για την Κυβερνοασφάλεια (the EU Cybersecurity Act), με τον οποίο για πρώτη φορά εισάγεται η πιστοποίηση κυβερνοασφάλειας για τεχνολογικά προϊόντα, διαδικασίες και υπηρεσίες.

Πλέον, στη βάση διεθνών ή ευρωπαϊκών προτύπων ή τεχνικών προδιαγραφών, είναι εφικτή η απόκτηση Ευρωπαϊκού Πιστοποιητικού Κυβερνοαασφάλειας, το οποίο αναγνωρίζεται σε όλη την Ευρωπαϊκή Ένωση. Μέχρι τώρα αν μία εταιρεία ήθελε να πιστοποιήσει την κυβερνοασφάλεια των τεχνολογικών της προϊόντων, για παράδειγμα την πιστοποίηση ενός ψηφιακού μετρητή ηλεκτρικής ενέργειας, ήταν αναγκασμένη να υποβάλλει διαφορετικές σχετικές πιστοποιήσεις σε κάθε ευρωπαϊκή χώρα στην οποία ήθελε να πουλήσει το εν λόγω προϊόν.

Με το νέο αυτό ευρωπαϊκό κανονισμό αντιμετωπίζουμε τον κατακερματισμό που υπήρχε στην αγορά και οδηγούμαστε σε μία ενιαία ψηφιακή αγορά. Επιπλέον, η πιστοποίηση αυτή ευνοεί τις μικρές και μεσαίες Ευρωπαϊκές επιχειρήσεις που δραστηριοποιούνται στην κυβερνοασφάλεια, οι οποίες πολλές φορές είναι ιδιαίτερα καινοτόμες και αποτελούν την ραχοκοκαλιά της ευρωπαϊκής οικονομίας, καθότι τους παρέχεται η δυνατότητα να απευθύνουν σε μία ενιαία αγορά. Ταυτόχρονα, τα ευρωπαϊκά τεχνολογικά προϊόντα και υπηρεσίες μέσα από αυτή την πιστοποίηση αποκτούν ακόμη ένα ποιοτικό στοιχείο που τα καθιστά ανταγωνιστικά στη διεθνή αγορά.

Τι ρόλο μπορούν να παίξουν οι cyber security πλατφόρμες και providers όσον αφορά την προστασία της δημοκρατίας; Oι εκλογές, για παράδειγμα, θα μπορούσαν να οριστούν ως κρίσιμες υποδομές στο νόμο για το cyber security;
Η διείσδυση των νέων τεχνολογιών σε όλους τους τομείς των δραστηριοτήτων αναβαθμίζει τη σημαντικότητα του κυβερνοχώρου και περιλαμβάνει αναπόφευκτα και διαδικασίες που σχετίζονται με την δημοκρατική λειτουργία των κρατών, όπως είναι, για παράδειγμα, η εκλογική διαδικασία. O κυβερνοχώρος αποτελεί πεδίο πολλών ευκαιριών για όλους αποτελεί όμως και χώρο δράσης κακόβουλών χρηστών, οι οποίοι συνδυάζοντας συμβατικά και μη συμβατικά μέσα, απειλούν όχι μόνο την κυβερνοασφάλεια, αλλά και προκαλούν και υβριδικές απειλές με πολιτικές ή και γεωπολιτικές προεκτάσεις.

Χαρακτηριστικό παράδειγμα σχετικής υβριδικής απειλής είναι οι εκστρατείες παραπληροφόρησης του εκλογικού κοινού μέσω ψηφιακών κοινωνικής δικτύωσης. Είναι λοιπόν σημαντικό να υπάρχει αναλυτική προσέγγιση των αναδυόμενων υβριδικών απειλών, συμπεριλαμβανομένης της αυξανόμενης αλληλεπίδρασης των δημοκρατικών θεσμών και διαδικασιών με την ψηφιακή τεχνολογία ώστε να μπορούν να ληφθούν κατάλληλα μέτρα προστασίας αντιμετωπίζοντας αυτό το πολυσύνθετο και πολυδιάστατο ζήτημα με ολοκληρωμένο τρόπο.

Η εξασφάλιση της ανθεκτικότητας των δημοκρατικών συστημάτων της Ευρωπαϊκής Ένωσης αποτελεί μέρος της Ένωσης Ασφάλειας. Μάλιστα προκειμένου να εξασφαλιστεί η διοργάνωση των τελευταίων ευρωεκλογών με τρόπο ελεύθερο, δίκαιο και ασφαλή, στην ετήσια ομιλία του για την κατάσταση της Ένωσης το 2018, ο Πρόεδρος Γιούνκερ παρουσίασε μια δέσμη συγκεκριμένων μέτρων συμπεριλαμβανομένου συστάσεων της Ευρωπαϊκής Επιτροπής σχετικά με τα εκλογικά δίκτυα συνεργασίας, τη διαδικτυακή διαφάνεια, την προστασία από περιστατικά κυβερνοασφάλειας και την καταπολέμηση εκστρατειών παραπληροφόρησης.

Επίσης, η Οδηγία NIS καλύπτει και τις ψηφιακές υποδομές και συγκεκριμένα τους παρόχους ψηφιακών υπηρεσιών τους οποίους αναγνωρίζει στο ίδιο επίπεδο με τους φορείς που δραστηριοποιούνται στους τομείς των κρίσιμων υποδομών. Ειδικότερα, η Οδηγία επιβάλει και στους παρόχους ψηφιακών υπηρεσιών να προσδιορίσουν και να λάβουν κατάλληλα μέτρα για τη διαχείριση των κινδύνων και την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια.

Ταυτόχρονα, θα πρέπει να κοινοποιούν στην αρμόδια εθνική αρχή ή την CSIRT κάθε κυβερνοεπίθεση που έχει σημαντικό αντίκτυπο και η οδηγία ορίζει τα κριτήρια που καθορίζουν τι μπορεί να χαρακτηριστεί ως σοβαρή. Όσες οντότητες δεν έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών και δεν είναι πάροχοι ψηφιακών υπηρεσιών μπορούν να κοινοποιούν σε εθελούσια βάση συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των υπηρεσιών που παρέχουν.

Σημαντικό επίσης ότι παρόμοιες υποχρεώσεις προβλέπονται και από τον Ευρωπαϊκό Κανονισμό για την προστασία των προσωπικών δεδομένων (GDPR), ο οποίος είναι σαφής ως προς την υποχρέωση αναφοράς στις κρατικές αρμόδιες αρχές σε περιπτώσεις παραβίασης προσωπικών δεδομένων, ένα φαινόμενο που παίρνει τεράστιες διαστάσεις με την ανάπτυξη της οικονομίας δεδομένων (data economy) αλλά και με τη διάθεση προσωπικών δεδομένων σε όλο και περισσότερες υπηρεσίες. Επομένως, όλοι οι φορείς μπορούν να παίξουν ρόλο στην προστασία απέναντι στις κυβερνοαπειλές ή στις υβριδικές απειλές που δύνανται να υπονομεύσουν τους δημοκρατικούς θεσμούς και κατ’ επέκταση τη δημοκρατία μας.