Την εκτίμηση ότι η εικόνα που υπάρχει αυτή τη στιγμή γύρω από την κυβερνοασφάλεια στην Ελλάδα δεν ανταποκρίνεται στην πραγματικότητα, γεγονός σημαντικό, καθώς «αν δεν μετρήσεις κάτι, δεν μπορείς να το βελτιώσεις» διατύπωσε σήμερα, από τη Θεσσαλονίκη, ο διοικητής της νεοσύστατης Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας. Για αυτόν ακριβώς τον λόγο, από τις 18 Οκτωβρίου, οπότε τίθεται σε ισχύ η κοινοτική οδηγία NIS2, οι φορείς που εποπτεύει η Αρχή θα πρέπει υποχρεωτικά να αναφέρουν σε αυτή όλα τα περιστατικά παραβίασης κυβερνοασφάλειας -σε διαφορετική περίπτωση προβλέπεται να υπάρξουν και κυρώσεις. «Προχθές ζήτησα έναν κατάλογο των περιστατικών που μας έχουν αναφερθεί. Πέρυσι αυτά ήταν 19. Λέω, “παιδιά δουλευόμαστε”. Τα περιστατικά δεν μπορούν να είναι μόνο τόσα και στο συγκεκριμένο θα είμαστε πολύ αυστηροί» προειδοποίησε ο κ.Μπλέτσας, μιλώντας σε ημερίδα που διοργανώνει ο Σύνδεσμος Επιχειρήσεων Τεχνολογίας Πληροφορικής Ελλάδος (ΣΕΤΠΕ).
Κατά τον κ. Μπλέτσα, ο οποίος έχει στο βιογραφικό του και την ιδιότητα του διευθυντή υπολογιστικών συστημάτων στο περίφημο MIT MediaLab στις ΗΠΑ, χρειάζεται να σταματήσουμε να βλέπουμε την κυβερνοασφάλεια σαν ένα φράχτη γύρω από τον οποίο υπάρχει επιπλέον μια τάφρος με κροκόδειλους και να αρχίσουμε να την προσεγγίζουμε σαν ένα ανοσοποιητικό σύστημα, καθώς «θα ζήσουμε με αυτά τα μικρόβια και θα πρέπει να έχουμε έναν συνεχή τρόπο αντιμετώπισής τους. Ο εχθρός είναι μέσα στα τείχη πλέον». Αφού επισήμανε ότι οι εποπτευόμενοι φορείς της Αρχής ενδέχεται να αυξηθούν από μόλις 72 σήμερα σε 2000 ή και περισσότερους, ο κ.Μπλέτσας τόνισε: «υπάρχουν δύο είδη οργανισμών. Αυτοί που έχουν χακαριστεί και το ξέρουν κι αυτοί που έχουν χακαριστεί και δεν το ξέρουν ακόμα. Θα πρέπει λοιπόν να αλλάξουμε νοοτροπία, δεν έχει κάποια ντροπή να χακαριστείς, όλοι την έχουμε πατήσει με τον ένα τρόπο ή τον άλλο. Καλό θα είναι να μάθουμε όλοι από τις εμπειρίες μας. Η NIS2, παρεμπιπτόντως, έχει πολλές υποχρεώσεις και για διακρατική αναφορά. Για να μαθαίνουμε όλοι από τα παθήματά μας. Και τελικά, σε βάθος χρόνου, έχουμε τη δυνατότητα επιβολής προστίμων σε οργανισμούς, οι οποίοι δεν συμμορφώνονται κανονιστικά με τα απαραίτητα μέτρα».
Πώς θα γίνεται όμως γνωστό ποιοι δεν συμμορφώνονται; Όπως γνωστοποίησε ο κ.Μπλέτσας, μετά την ψήφιση του (εφαρμοστικού) νόμου (για τη NIS2), θα δημιουργηθεί ένα πλαίσιο πιστοποίησης ελεγκτών από τον ιδιωτικό τομέα. «Μετά από την πιστοποίηση των ελεγκτών αυτών από εμάς, θα δημιουργηθεί ένα μητρώο ελεγκτών, στο οποίο θα πηγαίνει κάθε φορέας για να πιστοποιηθεί» προανήγγειλε, ενώ πρόσθεσε πως στόχος είναι η δημιουργία ενός ρυθμιστικού πλαισίου, το οποίο δεν θα είναι στη συνήθη πρακτική της ελληνικής νομοθεσίας και θα είναι εφαρμόσιμο το ταχύτερο δυνατόν. «Προφανώς και θα δώσουμε μεγάλα περιθώρια σταδιακής συμμόρφωσης, δεν θα πάμε ξαφνικά από το μηδέν στο ένα, θα προσπαθήσουμε να κάνουμε τη διαδικασία όσο το δυνατόν ευκολότερη για τους υπόχρεους» διευκρίνισε ο πρόεδρος της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία αυτή τη στιγμή «τρέχει» και το πρότζεκτ δημιουργίας Κέντρου Επιχειρησιακής Ασφάλειας (SOC), μέσω του οποίου μεταξύ άλλων θα συγκεντρώνεται πληροφορία από όλους τους επιχειρησιακούς φορείς στον χώρο της κυβερνοασφάλειας.
Βασική προτεραιότητα η δημιουργία οικοσυστήματος που θα παράγει εξειδικευμένο προσωπικό
Για να πετύχει τους στόχους της, η Αρχή θα χρειαστεί να τριπλασιάσει το προσωπικό της. Είναι αυτό εφικτό στη σημερινή αγορά εργασίας, όπου η έλλειψη εξειδικευμένου ανθρώπινου ταλέντου αποδεικνύεται υψηλή; «Η μεγαλύτερη μου πρόκληση αυτή τη στιγμή προφανώς είναι η στελέχωση. Ο βασικός παράγοντας επιτυχίας και ο βασικός περιορισμός μας έχει να κάνει με το προσωπικό. Ψάχνουμε για εξειδικευμένο προσωπικό και στόχος μας είναι η δημιουργία δυνατοτήτων για το ανθρώπινο ταλέντο στην Ελλάδα. Αυτό θα γίνει μέσω του εκπαιδευτικού μας ρόλου. Δεν φαίνεται τόσο στον ιδρυτικό νόμο της Αρχής, αλλά αποτελεί βασική μας προτεραιότητα η δημιουργία ενός οικοσυστήματος το οποίο θα παράγει εξειδικευμένο προσωπικό. Προσωπικό ικανό να φέρει σε πέρας τη συλλογική μας αποστολή για ένα πιο υγιές κι ασφαλές περιβάλλον στον ελληνικό κυβερνοχώρο» υπογράμμισε ο κ.Μπλέτσας, επισημαίνοντας πως η Αρχή δεν χρειάζεται μόνο αποφοίτους πληροφορικής, αλλά και νομικούς, λογιστές και σε βάθος χρόνου ψυχολόγους.
Αναφερόμενος στο εκπαιδευτικό σύστημα της Ελλάδας, ο κ. Μπλέτσας, επί δεκαετίες ερευνητής στο ΜΙΤ, επισήμανε: «βάζουμε τα εκπαιδευτικά ιδρύματα να σηκώσουν ένα μεγάλο βάρος, που σε άλλες χώρες του κόσμου καλύπτεται από τις μεγάλες εταιρείες (αυτό της απόκτησης δεξιοτήτων προσαρμοσμένων στις ανάγκες της αγοράς και της συνεχούς επικαιροποίησής τους). Χρειάζεται να γίνουν πολύ δραστικές αλλαγές και να σταματήσει η μεγάλη πλάνη που υπάρχει στην Ελλάδα, το να μπερδεύουμε δηλαδή την παιδεία με την επαγγελματική κατάρτιση».
Η βιομηχανία κλοπής ταυτοτήτων κι ο «αυτοφωράκιας» CSO
Ολοένα και περισσότερα προσωπικά δεδομένα των πολιτών «ανεβαίνουν» πλέον στις διάφορες πλατφόρμες του Δημοσίου και το cloud. Μπορούν οι πολίτες να αισθάνονται ασφαλείς ως προς το πώς θα χρησιμοποιηθούν αυτά; «Δεν νομίζω ότι υπάρχει μεγάλος λόγος ανησυχίας (…) Υπάρχουν τα βασικά μέτρα ασφάλειας. Επιπλέον -κι αυτό είναι το πιο σημαντικό- δεν υπάρχει ακόμα στην Ελλάδα μεγάλη εγκληματική βιομηχανία κλοπής ταυτοτήτων. Στις Ηνωμένες Πολιτείες για παράδειγμα, προσωπικά σε εμένα έχουν προσπαθήσει δύο φορές να βγάλουν κάποιοι σύνταξη στο όνομά μου (…) Εν πάση περιπτώσει, εδώ στην Ελλάδα δεν κινδυνεύουμε τόσο πολύ. Αυτό δεν σημαίνει ότι είμαι ευχαριστημένος, γιατί αν έλεγα κάτι τέτοιο, δεν θα έκανα τη δουλειά μου, η οποία με καλεί να είμαι και λίγο παρανοϊκός. Έχουμε να κάνουμε πολλά βήματα ακόμα» σημείωσε, επισημαίνοντας πως σταδιακά ενεργοποιούνται μηχανισμοί όπως ο δεύτερος παράγοντας ταυτοποίησης σε πολλές εφαρμογές, στις οποίες δεν υπάρχει αυτή τη στιγμή.
Ο διεθνούς φήμης επιστήμονας πληροφορικής, που επέστρεψε στην Ελλάδα 34 χρόνια αφότου έφυγε για τις ΗΠΑ, για να αναλάβει επικεφαλής της Εθνικής Αρχής Κυβερνοασφάλειας με πενταετή θητεία, σημείωσε τέλος πως η κυβερνοασφάλεια εξελίσσεται πλέον σε μέριμνα των ίδιων των ηγεσιών επιχειρήσεων και οργανισμών. «Παλιά οι οργανισμοί προσλάβαναν έναν υπεύθυνο ασφαλείας, έναν ταλαίπωρο που λεγόταν CSO, τον οποίο είχαν εκεί σαν “αυτοφωράκια” και αν γινόταν κάτι έφταιγε ο CSO (…). Από εδώ και μπρος όμως, βλέπουμε ότι οι ευθύνες για την κυβερνοασφάλεια ανεβαίνουν στο ανώτερο επίπεδο. Δεν είναι πλέον κάτι περιφερειακό, που σας φωνάζει να κάνετε ο ενοχλητικός CSO. Είναι κάτι που αποτελεί ευθύνη των ανώτερων διοικητικών οργάνων για τις ανώνυμες εταιρείες -του διοικητικού συμβουλίου. Και, φυσικά, υπάρχουν μέτρα λογοδοσίας» κατέληξε._
Αλεξάνδρα Γούτα