«Την ώρα που συζητούσαμε το νομοσχέδιο στη Βουλή, μου ήρθε μήνυμα από την εταιρεία κινητής τηλεφωνίας στην οποία είμαι συνδρομητής, που έλεγε ότι χάρη στα προγράμματα ασφαλείας που εφαρμόζει προστάτευσε το δίκτυό της από 4.893.000 διαδικτυακές απειλές τις τελευταίες ημέρες σε συσκευές συνδρομητών της. Και μιλάμε για μία μόνο εταιρεία» λέει στην «Κ» ο Δημήτρης Παπαστεργίου, υπουργός Ψηφιακής Διακυβέρνησης, κατά τη συζήτησή μας με αφορμή τη σύσταση της Εθνικής Αρχής Κυβερνοασφάλειας.
Είναι ενδεικτικό πως μέσα σε μία μόνο εβδομάδα, αποκρούστηκαν 13,3 εκατομμύρια κυβερνοεπιθέσεις, 500.000 εξ αυτών σοβαρές, σε ποικίλες κυβερνητικές ιστοσελίδες, προσθέτει και εξηγεί ότι στόχος είναι η Αρχή να είναι έτοιμη μέχρι το τέλος της άνοιξης. Θα λειτουργεί και ως Εθνική Αρχή Πιστοποίησης και ως Εθνικό Κέντρο Συντονισμού, όχι μόνο για τον δημόσιο τομέα αλλά και για κρίσιμες ιδιωτικές υποδομές.
Στην ερώτηση γιατί προέκυψε τώρα η ανάγκη για τη σύστασή της, εξηγεί ότι πρόσφατα η Ευρωπαϊκή Επιτροπή ενέκρινε το πρώτο ευρωπαϊκό σύστημα πιστοποίησης της κυβερνοασφάλειας, σύμφωνα με τον κανονισμό της Ε.Ε. για την κυβερνοασφάλεια.
Την επίσπευση της δημιουργίας της Αρχής έφερε και η ευρωπαϊκή Οδηγία 2022/2555 (Οδηγία NIS2) η οποία θα τεθεί σε εφαρμογή τον Οκτώβριο του 2024. Η εν λόγω οδηγία αυξάνει τον αριθμό των φορέων που έχουν νομικές υποχρεώσεις στη λήψη μέτρων κυβερνοασφάλειας. «Πια, ολοένα και περισσότερα συστήματα “κουμπώνουν” πάνω στο διαδίκτυο, έχουμε το «Διαδίκτυο των Πραγμάτων» (Internet of Things), σένσορες, τεχνητή νοημοσύνη. Υπάρχει λοιπόν η ανάγκη να βοηθήσουμε τους φορείς που βρίσκονται γύρω από το κράτος να είναι πιο ασφαλείς» σημειώνει ο κ. Παπαστεργίου. Στην Ελλάδα οι εποπτευόμενοι φορείς για την κυβερνοασφάλεια από 70 που είναι τώρα θα φτάσουν τους 2.000.
Ανάμεσά τους βρίσκονται τα υπουργεία, Νομικά Πρόσωπα Δημοσίου Δικαίου και Περιφέρειες, εταιρείες κινητής τηλεφωνίας, εταιρείες που ασχολούνται με την επεξεργασία/διανομή τροφίμων, όπως μεγάλες γαλακτοβιοβιομηχανίες, εταιρείες παραγωγής φαρμακευτικών και χημικών προϊόντων, διαχείρισης λυμάτων, ταχυμεταφορές και courier.
Πώς θα λειτουργεί η Εθνική Αρχή Κυβερνοασφάλειας
Η νέα Αρχή συστήνεται ως Νομικό Πρόσωπο Δημοσίου Δικαίου (ΝΠΔΔ) και αποτελεί μετεξέλιξη της Γενικής Διεύθυνσης Κυβερνοασφάλειας. Θα διαθέτει 155 οργανικές θέσεις, από τις περίπου 45 που διαθέτει τώρα η Γενική Διεύθυνση Κυβερνοασφάλειας. Δεδομένου ότι για την ώρα στη χώρα μας δεν γίνεται monitoring των επιθέσεων από κάποιον φορέα, με αποτέλεσμα να μην υπάρχει μία πανοπτική εικόνα, η Εθνική Αρχή Κυβερνοασφάλειας θα είναι το κεντρικό σημείο συγκέντρωσης της πληροφορίας. «Δημιουργούνται τα Security Operation Centers. Ενα τέτοιο φτιάχνει σήμερα η ΕΥΠ με επίσημο διαγωνισμό που τρέχει για τον σκληρό πυρήνα του Δημοσίου και τέτοιο κέντρο διαθέτει και το ΓΕΕΘΑ. Η Εθνική Αρχή θα έχει ένα SOC που θα παρακολουθεί τα κέντρα όλων των εποπτευομένων φορέων», σημειώνει.
Το σχήμα θα έχει έναν διοικητή και δύο υποδιοικητές. Δεν θα διαθέτει Δ.Σ. και ένας από τους λόγους, σύμφωνα με τον κ. Παπαστεργίου, είναι η ανάγκη για ευελιξία και ταχύτητα.
«Η “ομάδα πρώτης απόκρισης” (CERT) του ΓΕΕΘΑ θα υπαχθεί σταδιακά στην Εθνική Αρχή Κυβερνοασφάλειας. Είναι η καλύτερη ομάδα κυβερνοάμυνας στην Ελλάδα σήμερα. Εχουν την εμπειρία να βλέπουν τι μπορούν να σώσουν και πώς μπορούν γρήγορα να επαναφέρουν τα συστήματα σε λειτουργία».
«Σύμφωνα και με τις καλές πρακτικές διεθνώς, αλλά και τις επίσημες συστάσεις της ENISA, του Οργανισμού της Ευρωπαϊκής Ενωσης για την Κυβερνοασφάλεια, η σύσταση διακριτού νομικού προσώπου αποτελεί τη μοναδική επιλογή για την αποτελεσματική υλοποίηση της Αρχής. Οι ανεξάρτητες αρχές έρχονται για να προασπίσουν ένα θεμελιώδες συνταγματικά κατοχυρωμένο δικαίωμα. Εδώ μιλάμε για ασφάλεια συστημάτων. Βάσει και της νομοθεσίας μιλάμε για έναν τεχνολογικό φορέα. Σήμερα στη χώρα μας, με την ασφάλεια συστημάτων ασχολούνται τέσσερις φορείς: η Γενική Διεύθυνση Κυβερνοασφάλειας του υπουργείου Ψηφιακής Διακυβέρνησης, η Δίωξη Ηλεκτρονικού Εγκλήματος, όταν πρόκειται για ποινικές πράξεις, η Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ και η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων της ΕΥΠ (CERT). Θα συνεργαζόμαστε με όλους όπως και με την Αρχή Προστασίας Προσωπικών Δεδομένων και την ΕΥΠ, όπου πρέπει, αλλά δεν μπλεκόμαστε με τηλεπικοινωνίες. Η δουλειά μας είναι ένα βήμα πριν. Να διασφαλίζουμε ότι δεν θα υπάρχει είσοδος στις επικοινωνίες, στα συστήματα υπολογιστών κ.τ.λ.».
Σύμφωνα με το νομοσχέδιο προβλέπεται ότι η «ομάδα πρώτης απόκρισης» (CERT) του ΓΕΕΘΑ θα υπαχθεί σταδιακά στην Εθνική Αρχή Κυβερνοασφάλειας. «Είναι η καλύτερη ομάδα κυβερνοάμυνας στην Ελλάδα σήμερα», λέει ο κ. Παπαστεργίου και συμπληρώνει: «Εχουν την εμπειρία να βλέπουν τι μπορούν να σώσουν και πώς μπορούν γρήγορα να επαναφέρουν τα συστήματα σε λειτουργία. Αυτή η ομάδα θα έρθει λοιπόν στη νέα Αρχή, με το ΓΕΕΘΑ να κρατά βέβαια το δικό του κομμάτι στην κυβερνοάμυνα».
Οσον αφορά στην προσέλκυση των εργαζομένων στην Αρχή, ο υπουργός παραδέχεται πως υπάρχει δυσκολία εξεύρεσης στελεχών, καθώς η ιδιωτική αγορά πληροφορικής έχει μεγαλώσει πάρα πολύ, παρέχοντας υψηλούς μισθούς. «Σε αυτή τη φάση αναζητούμε στον δημόσιο τομέα τα καλύτερα στελέχη που θα θελήσουν να εργαστούν στην Αρχή ενώ κάνουμε και συναντήσεις με ανθρώπους από την ιδιωτική αγορά που θα θελήσουν να συμμετάσχουν στο όραμα ενός σημαντικού φορέα που δημιουργείται».
Πρόστιμα σε όσους μένουν πίσω
Στο ξεκίνημα της λειτουργίας της, η Αρχή θα δρα υποστηρικτικά γύρω από το μεγάλο πλήθος των 2.000 εποπτευόμενων φορέων, δείχνοντας το μονοπάτι για τη δημιουργία συστημάτων ασφαλείας. Στη συνέχεια, θα παρακολουθεί αν οι φορείς τηρούν τις υποχρεώσεις τους. «Δεν θα ελέγχουμε έναν προς έναν 2.000 φορείς. Θα πιστοποιήσουμε εταιρείες οι οποίες θα συνεργάζονται μαζί τους» σημειώνει ο κ. Παπαστεργίου και εξηγεί πως «εάν ένας φορέας ή μια εταιρεία επιμένει να μην πράττει αυτό που πρέπει, τότε θα επιβάλλεται πρόστιμο».
Η φύση των κυβερνοεπιθέσεων και ποιοι πλήττονται περισσότερο
Σε ό,τι αφορά τη φύση των κυβερνοεπιθέσεων, όπως αποτυπώνεται στην έκθεση του Οργανισμού της Ευρωπαϊκής Ενωσης για την Κυβερνοασφάλεια (ENISA), στο δεύτερο μέρος του 2022 και το πρώτο εξάμηνο του 2023, υπήρξε σημαντική αύξηση τόσο στον αριθμό και στην ποικιλία όσο και στις συνέπειες που αυτές προκαλούν.
Στην Ελλάδα οι περισσότερες κυβερνοεπιθέσεις είναι κατά βάση DDοS επιθέσεις, κατά τις οποίες μεγάλος όγκος διαδικτυακής κίνησης στοχεύει σε μια υπηρεσία, με σκοπό να καταστεί αδύνατο από τα συστήματά της να εξυπηρετήσουν νόμιμα αιτήματα.
Οι πρωταρχικές απειλές που εντοπίστηκαν περιλαμβάνουν:
- Ransomware: τύπος κακόβουλου λογισμικού που απειλεί το θύμα καταστρέφοντας ή εμποδίζοντας την πρόσβαση σε κρίσιμα δεδομένα ή συστήματα έως ότου καταβληθούν λύτρα. Τα εν λόγω περιστατικά αυξήθηκαν κατακόρυφα το πρώτο εξάμηνο του 2023.
- Κακόβουλο λογισμικό (Malware)
- Κοινωνική μηχανική (Social Engineering)
- Απειλές κατά δεδομένων
- Απειλές κατά της διαθεσιμότητας: Αρνηση παροχής υπηρεσιών (DDoS)
- Χειραγώγηση πληροφοριών
- Επιθέσεις στην αλυσίδα εφοδιασμού
Η δημόσια διοίκηση είναι ο τομέας που δέχεται τις περισσότερες κυβερνοεπιθέσεις σε ποσοστό 19%, ακολουθούν οι επιθέσεις σε στοχευμένα άτομα (11%), στην Υγεία (8%), τις ψηφιακές υποδομές (7%) και στη συνέχεια στον τομέα των κατασκευών, στον χρηματοπιστωτικό τομέα και στις μεταφορές. Οι επιθέσεις κοινωνικής μηχανικής αυξήθηκαν επίσης σημαντικά με την Τεχνητή Νοημοσύνη να κάνει είσοδο στο κυβερνοέγκλημα, ενώ το phishing –όπου ζητείται από το θύμα να αποκαλύψει ευαίσθητες πληροφορίες– παραμένει ο κορυφαίος τρόπος επίθεσης λογισμικού.
Στην Ελλάδα, σύμφωνα με τον κ. Παπαστεργίου, οι περισσότερες κυβερνοεπιθέσεις είναι κατά βάση DDοS επιθέσεις, κατά τις οποίες μεγάλος όγκος διαδικτυακής κίνησης στοχεύει σε μια υπηρεσία, με σκοπό να καταστεί αδύνατο από τα συστήματά της να εξυπηρετήσουν νόμιμα αιτήματα. Αυτές οι επιθέσεις εκμεταλλεύονται την πεπερασμένη χωρητικότητα των συστημάτων.
Οπως εξηγεί ο υπουργός: «Είναι, για να δώσω ένα τυχαίο παράδειγμα, αυτό που βλέπει ένας χρήστης όταν προσπαθεί να μπει στην ιστοσελίδα του ΕΦΚΑ και δεν μπορεί να συνδεθεί. Φανταστείτε εκατομμύρια υπολογιστές, που στην πραγματικότητα δεν είναι υπολογιστές αλλά ρομπότ, να επιτίθενται σε κυβερνητικές σελίδες. Υπάρχουν και πιο σοβαρές επιθέσεις, όπως οι υποκλοπές κωδικών μέσω phishing. Σε αυτές τις περιπτώσεις, αρχίζεις να βλέπεις μια συμπεριφορά στα συστήματα που δεν είναι αναμενόμενη. Για παράδειγμα, τη μέρα που βγήκε στον αέρα το mAIgov.gr, είδαμε κίνηση προερχόμενη από Ρωσία, Κίνα και Ινδία, η οποία δεν ήταν φυσιολογική».
Σύμφωνα με τον κ. Παπαστεργίου, υπάρχουν τομείς που βρίσκονται σε ένα σχετικά καλό επίπεδο προστασίας, όπως το τραπεζικό σύστημα και η ενέργεια, παρότι όπως διευκρινίζει «η μετάβαση στα συστήματα ασφαλείας τους πήρε χρόνο».
Η δημόσια διοίκηση, όμως, πάσχει. «Το παράδειγμα των ΕΛΤΑ μας δείχνει ότι μεγάλοι φορείς δεν είναι έτοιμοι. Οι μεταφορές δεν έχουν ακόμα καταλάβει το διακύβευμα» λέει ο κ. Παπαστεργίου και συμπληρώνει: «Τα διυλιστήρια επίσης δέχθηκαν κυβερνοεπιθέσεις και έμαθαν τι πρέπει να κάνουν. Το θέμα είναι να μη μάθουν όλοι με τον κακό τρόπο».
Τέλος, ο υπουργός σημειώνει ότι οι δήμοι είναι άλλος ένας πολύ ευαίσθητος χώρος της δημόσιας διοίκησης και για αυτό κατά τον ίδιο πρέπει να συμπεριληφθούν στους φορείς που θα εποπτεύονται. «Τα προηγούμενα δύο χρόνια, είδαμε δύο πολύ σκληρές επιθέσεις σε δήμους: η μία σε δήμο στη Θεσσαλονίκη και η άλλη στον Δήμο Ηλιδας. Στην τελευταία περίπτωση, οι κυβερνοεγκληματίες ζήτησαν λύτρα για να απελευθερώσουν τα αρχεία, λύτρα που φυσικά οι δήμοι δεν δικαιοδοτούνται να δίνουν».