Η Ελλάδα κατέχει την 5η θέση παγκοσμίως στη λίστα των χωρών με τις περισσότερες επιθέσεις στα βιομηχανικά συστήματα – χώρες όπως η Λιβύη και το Πακιστάν βρίσκονται ψηλότερα στη συγκεκριμένη λίστα (Kaspersky, 2021).

Παράλληλα το 32% των ελληνικών επιχειρήσεων/οργανισμών έχουν υποστεί τουλάχιστον μία κυβερνοεπίθεση, ενώ το 50% από αυτές τις επιχειρήσεις αδυνατεί να ανταποκριθεί στις απαιτήσεις για αντιμετώπιση των επιθέσεων αυτών.

Έχουν πραγματοποιηθεί αμέτρητες επιθέσεις στα βιομηχανικά συστήματα της χώρας, από την επίθεση στον ΔΕΣΦΑ από όπου υποκλάπηκε υλικό μεγέθους άνω των 350 GB, στις Ιστοσελίδες της Βουλής, του Υπ. Εξωτερικών, του Χρηματιστηρίου Αθηνών και της ΕΥΠ, όπου οι δράστες προκάλεσαν τεχνητή κίνηση στις ιστοσελίδες αποκλείοντας πρόσβαση άλλων χρηστών. Το πιο χαρακτηριστικό παράδειγμα επίθεσης είναι στο Δήμο Θεσσαλονίκης, από όπου χάθηκαν δεδομένα τριών (3) μηνών του Οργανισμού, λόγω επίθεσης με χρήση Ransomware από Hackers.

Η επένδυση στην Κυβερνοασφάλεια για μία Επιχείρηση είναι επένδυση στην Επιβίωση και στην ομαλή λειτουργία της.

Εφαρμογή των μέτρων που προβλέπονται βάσει του αρ. 20 του Ν. 4961/2022

Η Ελληνική Αρχή Κυβερνοασφάλειας από το 2020 έχει εκδώσει ένα εγχειρίδιο με προτεινόμενα μέτρα για όλους τους Οργανισμούς, βάσει των αρχών του πρότυπου ISO 27000, προκειμένου να ενισχυθεί το επίπεδο κυβερνοασφάλειας και να προστατευτούν καλύτερα οι Οργανισμοί από τις κυβερνοεπιθέσεις. Τον Ιούλιο του 2022 η Ελληνική Κυβέρνηση προχώρησε σε νομοθετική ρύθμιση για όλους τους Δημόσιους Οργανισμούς προκειμένου να επιτευχθεί ένα βασικό επίπεδο προστασίας από τις Κυβερνοαπειλές και να θωρακιστούν αποτελεσματικότερα τα πληροφοριακά τους συστήματα.

Η Εταιρεία μας έχοντας εμπειρία μεγαλύτερη των τριάντα (30) χρόνων στην παροχή υπηρεσιών Πληροφορικής και στην θωράκιση των πληροφοριακών συστημάτων των επιχειρήσεων και των Δημόσιων Οργανισμών προχωρά στις εξής δράσεις, οι οποίες είναι πλήρως συνυφασμένες με τις απαιτήσεις του Νόμου για την Συμμόρφωση των Οργανισμών.

Α. Συλλογή Δεδομένων και Καταγραφή Πληροφοριακών assets

1. τις υποδομές πληροφορικής και επικοινωνιών, όπως ιδίως σταθμούς εργασίας, διακομιστές, δικτυακές συσκευές, εκτυπωτές,
2. το λογισμικό, όπως ιδίως λειτουργικά συστήματα και εφαρμογές,
3. τα πληροφοριακά αγαθά του φορέα ανά κτιριακή υποδομή,

Β. Εκπόνηση Vulnerability Assessment και Penetration Testing

1. κατάλογο με τις διαφορετικές εκτιμώμενες απειλές που δύνανται να εκδηλωθούν στους πόρους της περ. A,
2. κατάλογο με τις ευπάθειες συστημάτων πληροφορικής και επικοινωνιών του φορέα που είναι δυνατό να αποτελέσουν αντικείμενο εκμετάλλευσης από συγκεκριμένες πηγές απειλών,

Γ. Report Συνολικού Κινδύνου

• υπολογισμό του συνολικού κινδύνου, ως συνδυασμού της πιθανότητας πραγματοποίησης των απειλών που έχουν αναγνωριστεί και της εκτίμησης της επίπτωσής τους στις υποδομές, τα αγαθά, τις λειτουργίες και το προσωπικό του φορέα, καθώς και σε άλλους φορείς

Δ. Σχέδιο Ανάπτυξης Διορθωτικών Ενεργειών και Disaster Recovery Plan

• προσδιορισμό του τρόπου αντιμετώπισης των κινδύνων, των τεχνικών και οργανωτικών μέτρων προστασίας και του υπολειπόμενου κινδύνου μετά την εφαρμογή τους.

Ε. Ενιαία Πολιτική Συστημάτων Πληροφορικής και Επικοινωνιών

Δημιουργεί ενιαία πολιτική ασφάλειας συστημάτων πληροφορικής και επικοινωνιών, η οποία περιλαμβάνει, κατ’ ελάχιστον, τις εξής πληροφορίες:

1. τους στόχους ασφάλειας του φορέα και την προσέγγιση διαχείρισής τους,
2. τον τρόπο διαχείρισης των απαιτήσεων που δημιουργούνται από:

• • την επιχειρησιακή στρατηγική του φορέα, τις νομοθετικές, κανονιστικές και συμβατικές υποχρεώσεις του, το διεθνές περιβάλλον κυβερνοαπειλών,
  • την ανάθεση γενικών και ειδικών ρόλων και αντίστοιχων ευθυνών για τη διαχείριση της ασφάλειας πληροφοριακών συστημάτων,
  • διαδικασίες για τον χειρισμό αποκλίσεων και εξαιρέσεων και

3. την παραπομπή σε επιμέρους θεματικές ενότητες, όπως ενδεικτικά: την πολιτική ασφάλειας δικτύων, την πολιτική ορθής χρήσης, την πολιτική διαχείρισης ταυτότητας και ελέγχου πρόσβασης, την πολιτική αντιγράφων ασφαλείας, την πολιτική διαχείρισης περιστατικών και επιχειρησιακής συνέχειας και την πολιτική φυσικής ασφάλειας.

Άρθρο 18 του Ν. 4961/2022

Κάθε Φορέας της κεντρικής Κυβέρνησης πρέπει να οριστεί ένας (1) υπάλληλος ως Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ).

Καθήκοντα:

• • η διαρκής μέριμνα για την ασφάλεια των συστημάτων δικτύου και πληροφοριών του φορέα κατά την έννοια της περ. 2 του άρθρου 3 του ν. 4577/2018 (Α’ 199),
  • η συνεργασία με τους αρμόδιους φορείς στον τομέα της κυβερνοασφάλειας και η μέριμνα για την εφαρμογή των κατευθυντήριων οδηγιών, απαιτήσεων και μέτρων ασφαλείας που εκδίδουν,
  • η τήρηση μητρώου του φορέα με τις υποδομές πληροφορικής και επικοινωνιών, το λογισμικό και τα πληροφοριακά αγαθά,
  • η συμμετοχή στη διενέργεια ελέγχων σε συστήματα πληροφορικής και επικοινωνιών του φορέα για τη διακρίβωση του υφιστάμενου επιπέδου ασφάλειας,
  • η εποπτεία της τήρησης της πολιτικής ασφάλειας συστημάτων πληροφορικής και επικοινωνιών του φορέα,
  • η παρακολούθηση και αξιοποίηση νέων τεχνολογιών και εργαλείων ασφάλειας συστημάτων πληροφορικής και επικοινωνιών για την ενίσχυση του επιπέδου κυβερνοασφάλειας του φορέα και
  • η διενέργεια αξιολογήσεων του επιπέδου κυβερνοασφάλειας του φορέα σε συνεργασία με τις κατά περίπτωση αρμόδιες αρχές.

 Η Εταιρεία μας αναλαμβάνει το ρόλο του ΥΑΣΠΕ σε Επιχειρήσεις του Ιδιωτικού Τομέα, αλλά και να στηρίζει τον κάθε Δημόσιο Οργανισμό, παρέχοντας τις υπηρεσίες της συμβουλευτικά στον ΥΑΣΠΕ του Οργανισμού – Ο ΥΑΣΠΕ πρέπει να είναι υπάλληλος του Οργανισμού κατηγορίας ΠΕ ή ΤΕ

Το Data Classification είναι η διαδικασία διαχωρισμού και οργάνωσης δεδομένων σε σχετικές ομάδες («τάξεις») με βάση τα κοινά χαρακτηριστικά τους, όπως το επίπεδο ευαισθησίας, οι κίνδυνοι που παρουσιάζουν και οι κανονισμοί Συμμόρφωσης που τα προστατεύουν. Για την προστασία ευαίσθητων δεδομένων, πρέπει να εντοπίζονται, να ταξινομούνται ανάλογα με το επίπεδο ευαισθησίας τους και να επισημαίνονται με ακρίβεια. Στη συνέχεια, οι Οργανισμοί πρέπει να χειρίζονται κάθε ομάδα δεδομένων με τρόπους που διασφαλίζουν ότι μόνο εξουσιοδοτημένα άτομα μπορούν να έχουν πρόσβαση, τόσο εσωτερικά όσο και εξωτερικά, και ότι τα δεδομένα διαχειρίζονται πάντα σε πλήρη συμμόρφωση με όλους τους σχετικούς κανονισμούς.

Όταν γίνεται σωστά, η ταξινόμηση δεδομένων καθιστά τη χρήση και την προστασία των δεδομένων ευκολότερη και πιο αποτελεσματική.

Το Data Classification έχει οριστεί υποχρεωτικό για κάθε νέο πληροφοριακό σύστημα το οποίο υλοποιείται, αλλά και για κάθε σύστημα και πλειάδα δεδομένων τα οποία πλέον αναρτώνται στο cloud. Συνολικά για κάθε μέρος στο οποίο επεξεργάζονται και αποθηκεύονται δεδομένα, θα πρέπει να συνοδεύεται πλέον από Μελέτη Data Classification προκειμένου να θεωρείται ασφαλές και ότι ακολουθεί τους κανονισμούς συμμόρφωσης.

Ειδικότερα:

• Νόμος 4727/2020:
  “Κάθε νέο πληροφοριακό σύστημα των φορέων του δημοσίου τομέα πρέπει να συνοδεύεται από μελέτη ταξινόμησης των δεδομένων (data classification), η οποία περιλαμβάνεται υποχρεωτικά στις μελέτες ανάλυσης και σχεδιασμού του έργου”

• Νόμος 4961/2022:
  Περαιτέρω ρυθμίσεις της υποκείμενης υποχρέωσης

Τι προσφέρει μία Μελέτη Data Classification:

• Κατανόηση των δεδομένων που τηρεί, επεξεργάζεται και διαχειρίζεται ένας οργανισμός
• Χαρακτηρισμός των δεδομένων ως προς:
• Το είδος τους
• Το επίπεδο ευαισθησίας τους
• Την αξία και την επιχειρησιακή κρισιμότητά τους

Μεθοδολογία Υλοποίησης:

• Καταγραφή των πηγών και αποθετηρίων δεδομένων
• Ενδελεχής καταγραφή των επιμέρους σημασιολογικών τύπων δεδομένων
• Χαρτογράφηση των σημασιολογικών συσχετίσεων μεταξύ των δεδομένων
• Εντοπισμός των ιδιοτήτων των δεδομένων
• Χαρακτηρισμός των δεδομένων
• Επίπεδο εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας, ιδιωτικότητας
• Θέματα διακυβέρνησης δεδομένων (data governance)