Η κυβερνοασφάλεια σε κίνδυνο: Νέα νομοθετικά μέτρα και οι απαραίτητες δεξιότητες των επιχειρήσεων κατά των κυβερνοεπιθέσεων

«Υπάρχουν δύο τύποι επιχειρήσεων: Αυτές που έχουν ήδη δεχτεί κυβερνοεπίθεση και αυτές που δεν γνωρίζουν ότι έχουν δεχτεί επίθεση». Η ρήση αυτή του John Chambers, πρώην CEO της Cisco Systems, συνοψίζει αυτό που συμβαίνει αυτή τη στιγμή στον πλανήτη μας. Οι κυβερνοεπιθέσεις είναι η σημαντικότερη μορφή πολέμου που θα γίνει ακόμα εντονότερη τα επόμενα χρόνια.

Η διαφορά με άλλες μορφές πολέμου ή τρομοκρατίας είναι ότι οι επιχειρήσεις είναι πλέον υποχρεωμένες να λαμβάνουν συγκεκριμένα μέτρα που καθορίζονται σε ένα πολύ αυστηρό νομικό πλαίσιο. Πρόκειται κατά βάση για ευρωπαϊκά νομοθετήματα, τα οποία εστιάζουν όχι μόνο στην προστασία των προσωπικών δεδομένων (που είναι και η πιο προφανής αδυναμία σε περίπτωση κυβερνοεπίθεσης), αλλά και στη γενικότερη προστασία των κρίσιμων υποδομών, με τις επιχειρήσεις να καλούνται να εντοπίζουν νωρίς τις πηγές κινδύνου και να αναφέρουν κάθε περιστατικό άμεσα.

Το ζητούμενο πλέον, που γίνεται όρος ζωτικής σημασίας για τις επιχειρήσεις, είναι η ικανότητά τους να προλαμβάνουν, αντιδρούν, μετριάζουν και ανακάμπτουν από περιστατικά και κινδύνους κυβερνοασφάλειας. Μιλάμε, πλέον, για μια καινούρια «δεξιότητα» των επιχειρήσεων, την κυβερνοανθεκτικότητα.

Σοκαριστικές κυβερνοεπιθέσεις και η κατάσταση στην Ελλάδα

Το τελευταίο διάστημα ακούμε ολοένα και συχνότερα για μείζονες κυβερνοεπιθέσεις με στόχους μεγάλες εταιρείες ή κυβερνητικούς οργανισμούς, υποδεικνύοντας τις καίριες ελλείψεις που υπάρχουν επί του παρόντος ως προς την ασφάλεια στον κυβερνοχώρο.

Περιβόητη υπόθεση ήταν η υποκλοπή, τον Μάρτιο του 2024, από Ρώσους χάκερς συνομιλίας μεταξύ Γερμανών στρατιωτικών αξιωματούχων σχετικά με την υποστήριξη της Γερμανίας στην Ουκρανία. Η συνομιλία περιελάμβανε συζητήσεις για την πιθανή προμήθεια πυραύλων Taurus στην Ουκρανία και σχολιασμό της διστακτικότητας του Γερμανού Καγκελάριου Όλαφ Σολτς να στείλει αυτούς τους πυραύλους, κάτι που δημιούργησε μεγάλη ανησυχία για την πιθανότητα διχασμών μέσα στη Γερμανία αλλά και στην Ευρώπη.

Λίγο καιρό νωρίτερα, τον Φεβρουάριο του ίδιου έτους, ο ransomware ALPHV επιτέθηκε στο Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου, κλέβοντας 7 terabytes δεδομένων. Η επίθεση προκάλεσε καθυστερήσεις στην παροχή ιατρικών υπηρεσιών και έντονη ανησυχία για την ασφάλεια των προσωπικών δεδομένων των ασθενών.

Εκτός, όμως, από κρατικούς φορείς, στο στόχαστρο εξαιρετικά συχνά είναι και μεγάλες εταιρείες που έχουν υποστεί βαρύτατες απώλειες δεδομένων, όπως η βρετανική εταιρεία κυβερνοασφάλειας DarkBeam, η Huyndai Motor Europe και η Microsoft.

Από αυτή τη γενικευμένη κατάσταση κυβερνοαπειλής δεν έχει ξεφύγει ούτε η Ελλάδα. Από τη σοβαρή κυβερνοεπίθεση στον ΔΕΣΦΑ που οδήγησε στην προσωρινή απενεργοποίηση μέρους της υποδομής πληροφορικής της εταιρείας και τη διαρροή ορισμένων δεδομένων μέχρι την περυσινή επίθεση στο σύστημα πανελλαδικών εξετάσεων και την επίθεση στα ΕΛΤΑ, είναι σαφές ότι η εντατική ψηφιακή διασύνδεση έχει συνέπειες σε όλο το φάσμα των δραστηριοτήτων σε όλο τον πλανήτη.

Στην Ελλάδα, πάντως, ο πρόσφατος νόμος 5086/2024 επιδιώκει τη δημιουργία ενός σύγχρονου και ασφαλούς ψηφιακού περιβάλλοντος για πολίτες και οικονομικούς φορείς, ενισχύοντας τον ρόλο της Εθνικής Αρχής Κυβερνοασφάλειας και αναβαθμίζοντας τις αρμοδιότητές της. Ωστόσο, είναι πασίδηλο ότι το παιχνίδι δεν μπορεί να εξελιχθεί σε τοπικό επίπεδο, αλλά οι αποφάσεις για τον εκσυγχρονισμό της νομοθεσίας λαμβάνονται σε κεντρικό επίπεδο.

Οδηγία NIS 1 vs. NIS 2: Η εξέλιξη της νομοθεσίας για την κυβερνοασφάλεια στην Ευρώπη

Με την ταχύτατη πρόοδο της ψηφιοποίησης και την αυξανόμενη απειλή των κυβερνοεπιθέσεων, η ΕΕ έχει ενισχύσει το νομικό πλαίσιο για την κυβερνοασφάλεια με την εισαγωγή της νέας Οδηγίας NIS 2. Αυτή η Οδηγία αντικαθιστά την παλαιότερη Οδηγία NIS 1, προσθέτοντας νέες απαιτήσεις και ενισχύοντας τα μέτρα ασφαλείας.

Οδηγία NIS 1

Η Οδηγία NIS 1 (2016/1148) θεσπίστηκε το 2016 και ήταν το πρώτο νομοθετικό πλαίσιο της ΕΕ που αποσκοπούσε στην επίτευξη υψηλού επιπέδου ασφάλειας δικτύων και πληροφοριών. Οι βασικές απαιτήσεις της περιλάμβαναν:

• Υιοθέτηση εθνικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο από τα κράτη-μέλη.
• Ορισμό ομάδων αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT) και εθνικών αρμόδιων αρχών για την ασφάλεια στον κυβερνοχώρο.
• Συνεργασία μεταξύ των κρατών-μελών μέσω της ομάδας συνεργασίας NIS και του δικτύου CSIRTs.

Τα μέτρα αυτά επιβάλλονταν σε επτά κρίσιμους τομείς: ενέργεια, μεταφορές, τραπεζικές υπηρεσίες, υποδομές χρηματοπιστωτικών αγορών, πόσιμο νερό, υγειονομική περίθαλψη και ψηφιακές υποδομές. Επομένως, το πεδίο εφαρμογής της πρώτης αυτής Οδηγίας ήταν σαφώς περιορισμένο και μη επαρκές, όπως φάνηκε από όσα ακολούθησαν.

Η αλματώδης ανάπτυξη της διασύνδεσης των συστημάτων μεταξύ τους και των σχετικών κυβερνοεπιθέσεων σύντομα κατέστησε την Οδηγία αυτή παρωχημένη. 6 χρόνια μετά ήταν ξεκάθαρο ότι δεν αρκούσε το να λαμβάνονται ορισμένα προληπτικά μέτρα και μάλιστα σε περιορισμένους τομείς, αφού το πρόβλημα πλέον ήταν γενικευμένο.

Με αυτό το σκεπτικό, υιοθετήθηκε η εξέλιξη της πρώτης Οδηγίας, η NIS 2.

Οδηγία NIS 2

Η νέα Οδηγία NIS 2 (2022/2555) ενισχύει και επεκτείνει τις διατάξεις της προηγούμενης Οδηγίας, για να ανταποκριθεί στις αυξανόμενες απειλές και την εξέλιξη της ψηφιακής οικονομίας. Οι κύριες διαφορές και νέες απαιτήσεις της NIS 2 περιλαμβάνουν:

• Διεύρυνση του πεδίου εφαρμογής: Η NIS 2 καλύπτει περισσότερους τομείς, όπως η δημόσια διοίκηση και οι πάροχοι υπηρεσιών cloud, διαχείριση αποβλήτων και παραγωγή και διανομή τροφίμων.
• Ενίσχυση των απαιτήσεων ασφάλειας: Εισάγει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφάλειας που πρέπει να εφαρμόζουν όλες οι εταιρείες, όπως ο χειρισμός περιστατικών με έγκαιρη ανίχνευση και αντίδραση, η αναγνώριση και αντιμετώπιση ευπαθειών στα συστήματα, η κρυπτογράφηση δεδομένων και η αναβάθμιση των δικτύων και των πληροφοριακών συστημάτων με τρόπο που να εξασφαλίζει την προστασία από απειλές.
• Αυστηρότερες υποχρεώσεις αναφοράς: Οι επιχειρήσεις πρέπει να υποβάλλουν έγκαιρη προειδοποίηση εντός 24 ωρών και πλήρη έκθεση εντός 72 ωρών από τη στιγμή που θα αντιληφθούν ένα περιστατικό που θέτει σε κίνδυνο την κυβερνοασφάλεια.
• Αντιμετώπιση κινδύνων στην αλυσίδα εφοδιασμού: Απαιτείται από τις εταιρείες να διαχειρίζονται τους κινδύνους ασφάλειας που προκύπτουν από τους προμηθευτές και τους συνεργάτες τους. Αυτό περιλαμβάνει την αξιολόγηση και την επιβολή μέτρων ασφάλειας σε όλη την αλυσίδα εφοδιασμού, ενώ κάθε συμφωνία με τους προμηθευτές πρέπει να περιλαμβάνει συγκεκριμένες ρήτρες ασφάλειας.

Η μη συμμόρφωση με την Οδηγία αυτή θα έχει ως αποτέλεσμα πρόστιμα έως 2% του παγκόσμιου ετήσιου κύκλου εργασιών ή 10 εκατομμύρια ευρώ. Επιπλέον, εισάγονται διατάξεις για την ευθύνη των φυσικών προσώπων που κατέχουν ανώτερες διοικητικές θέσεις στις εταιρείες.

Βεβαίως, να σημειώσουμε εδώ ότι η Οδηγία δεν εφαρμόζεται προφανώς σε όλες τις επιχειρήσεις, αλλά σε όσες έχουν 250 ή περισσότερους εργαζόμενους και κύκλο εργασιών τουλάχιστον 50 εκατομμύρια ευρώ.

Η Οδηγία θα πρέπει να έχει ενσωματωθεί στην εσωτερική νομοθεσία των κρατών-μελών μέχρι τις 17 Οκτωβρίου 2024 και προς το παρόν δεν έχει μεταφερθεί στο ελληνικό δίκαιο.

Κανονισμός DORA: Η ανθεκτικότητα του χρηματοπιστωτικού τομέα στο επίκεντρο

Ο Κανονισμός DORA (Digital Operational Resilience Act) θα ξεκινήσει να εφαρμόζεται άμεσα σε όλα τα κράτη-μέλη χωρίς την ανάγκη ενσωμάτωσης στις 25 Ιανουαρίου 2025. Πρόκειται για ένα εξαιρετικά σημαντικό νομοθέτημα, αφού καλύπτει την ψηφιακή ανθεκτικότητα των χρηματοπιστωτικών οργανισμών, οι οποίοι αποτελούν βασικό στόχο των κυβερνοεπιθέσεων.

Ο Κανονισμός DORA εφαρμόζεται σε ένα ευρύ φάσμα χρηματοπιστωτικών οργανισμών, συμπεριλαμβανομένων των τραπεζών, των ασφαλιστικών εταιρειών, των επενδυτικών επιχειρήσεων και των παρόχων υπηρεσιών πληρωμών. Επιπλέον, καλύπτει και τις κεντρικές υποδομές της χρηματοπιστωτικής αγοράς, όπως τα κεντρικά αποθετήρια τίτλων και τα συστήματα πληρωμών.

Στόχος του είναι η ενίσχυση της ψηφιακής ανθεκτικότητας του χρηματοπιστωτικού τομέα της ΕΕ, μειώνοντας τους κινδύνους από τις ψηφιακές απειλές και ενισχύοντας την εμπιστοσύνη των πελατών στις χρηματοπιστωτικές υπηρεσίες με ενιαία εφαρμογή των κανόνων σε όλα τα κράτη-μέλη.

Εισάγονται λεπτομερείς και ολοκληρωμένες απαιτήσεις για την ενίσχυση της ανθεκτικότητας των χρηματοπιστωτικών οργανισμών απέναντι στις ψηφιακές απειλές, αλλάζοντας δραστικά τον τρόπο διαχείρισης των κινδύνων Τεχνολογίας, Πληροφοριών και Επικοινωνιών (ΤΠΕ). Οι βασικές απαιτήσεις περιλαμβάνουν:

• Διαχείριση Κινδύνων ΤΠΕ: Οι χρηματοπιστωτικοί οργανισμοί πρέπει να εφαρμόζουν ένα ολοκληρωμένο πλαίσιο για τη διαχείριση των κινδύνων ΤΠΕ, το οποίο θα καλύπτει όλες τις πτυχές της ασφάλειας πληροφοριών και της προστασίας των δεδομένων, με σαφείς διαδικασίες για την ανίχνευση, την απόκριση και την ανάκαμψη από περιστατικά ασφάλειας.
• Δοκιμές ετοιμότητας: Ο Κανονισμός προβλέπει την υποχρέωση διενέργειας τακτικών δοκιμών για την αξιολόγηση της ετοιμότητας του χρηματοπιστωτικού ιδρύματος για συμβάντα που σχετίζονται με ΤΠΕ και την άμεση αντιμετώπιση των ελλείψεων που εντοπίζονται κατά τη διάρκεια των δοκιμών ή την εφαρμογή σχετικών διορθωτικών μέτρων για τον μετριασμό τους.
• Συνεργασία με τρίτους παρόχους υπηρεσιών: Ο Κανονισμός απαιτεί από τους χρηματοπιστωτικούς οργανισμούς να αξιολογούν και να διαχειρίζονται τους κινδύνους που προκύπτουν από τη συνεργασία τους με τρίτους παρόχους υπηρεσιών ΤΠΕ (π.χ. υπηρεσίες δεδομένων, γραφεία πίστης κλπ). Το ζητούμενο είναι οι πάροχοι υπηρεσιών να συμμορφώνονται με τις ίδιες απαιτήσεις ασφαλείας και ανθεκτικότητας όπως και οι ίδιοι χρηματοπιστωτικοί οργανισμοί.
• Διαδικασία Αναφοράς Συμβάντων: Ο DORA θεσπίζει ένα συνεπές και τυποποιημένο πλαίσιο για την αναφορά περιστατικών ασφάλειας. Οι οργανισμοί πρέπει να αναφέρουν τα περιστατικά στις αρμόδιες αρχές εντός καθορισμένων χρονικών πλαισίων, διευκολύνοντας έτσι την παρακολούθηση και την αντιμετώπιση των περιστατικών.

Θα έχουν αποτέλεσμα οι νομοθετικές παρεμβάσεις;

Αυτό είναι ένα ερώτημα που απασχολεί όχι μόνο τις επιχειρήσεις αλλά και τους ίδιους τους νομοθέτες. Το γεγονός ότι όλες οι πρωτοβουλίες λαμβάνονται κεντρικά είναι σίγουρα ενθαρρυντικό, όμως η αποτελεσματικότητά τους δεν είναι δεδομένη.

Η συμμόρφωση με τους Κανονισμούς και τις Οδηγίες είναι εξαιρετικά δαπανηρή για τις επιχειρήσεις, αφού απαιτεί σημαντικές επενδύσεις για την αναβάθμιση των υφιστάμενων υποδομών και συστημάτων πληροφορικής, ενώ παράλληλα υπάρχουν αρκετές αλληλοεπικαλύψεις με άλλα νομοθετήματα του κανονιστικού πλαισίου, όπως ο GDPR.

Επιπλέον, ο ταχύς ρυθμός των τεχνολογικών εξελίξεων αναδεικνύει και τον μεγαλύτερο προβληματισμό: Πώς θα καταστεί εφικτό οι αργές διαδικασίες νομοθέτησης να μη δημιουργούν ένα κείμενο, το οποίο τη στιγμή της έναρξης ισχύος του θα είναι ήδη ξεπερασμένο;

Το γεγονός ότι οι κυβερνοεπιθέσεις αποτελούν πλέον έναν από τους σημαντικότερους κινδύνους στον σύγχρονο κόσμο καθιστά αυτόν τον… τετραγωνισμό του κύκλου τη μεγαλύτερη ίσως πρόσκληση μετά την ίδια την αντιμετώπιση των κυβερνοεπιθέσεων.