Το άνοιγμα του εμπορίου, ο συνεχώς αυξανόμενος ρυθμός των τεχνολογικών αλλαγών και η ανάπτυξη της κοινωνίας της γνώσης έχουν ανάγει πλέον σε βασική προϋπόθεση για την κοινωνικοοικονομικής ανάπτυξης την αποτελεσματική χρήση των τηλεπικοινωνιακών συστημάτων και της τεχνολογίας της πληροφορίας. Η πληροφορία αναδεικνύεται ως αγαθό και η ασφάλειά της ως βασική ανάγκη. Αντίθετα, η απουσία συγκροτημένων διοικητικών δομών, τεχνογνωσίας, ρυθμιστικού πλαισίου και οργάνωσης για την προστασία των πληροφοριών δημιουργεί πρόσφορο έδαφος για οικονομικό έγκλημα και εμπορική κατασκοπία, που μπορεί να επηρεάσει την πολιτική σταθερότητα και να απειλήσει σοβαρά την Εθνική Ασφάλεια.
Οι επικρατέστεροι λόγοι που ανάγουν σήμερα την Ασφάλεια των Πληροφοριών ως υψίστης σημασίας, διεθνώς και στην Ελλάδα, είναι:
1. Η ολοένα αυξανόμενη εξάρτηση από τα πληροφοριακά συστήματα για τη λειτουργία φορέων και δημόσιων υπηρεσιών.
2. Η ψηφιοποίηση μεγάλου όγκου πληροφοριών, κρίσιμων για την αποτελεσματικότητα του κάθε φορέα.
3. Η ανάγκη προστασίας του απορρήτου των πληροφοριών και των προσωπικών δεδομένων των πολιτών μιας χώρας.
4. Η ανάγκη εξασφάλισης της ακεραιότητας και της αξιοπιστίας των πληροφοριών και πληροφοριακών συστημάτων.
5. Η συνεχώς αυξανόμενη πολυπλοκότητα των νέων τεχνολογιών πληροφορικής και τηλεπικοινωνιών.
6. Η παρατηρούμενη αύξηση της ψηφιακής τρομοκρατίας και του ηλεκτρονικού εγκλήματος.
7. Η Εθνική Ασφάλεια και η ανάγκη προστασίας από κυβερνοεπιθέσεις στις κρίσιμες υποδομές μιας χώρας.
Στην Ελλάδα χωρίς ολοκληρωμένο νομικό πλαίσιο, σαφή όρια αρμοδιοτήτων και υποχρεώσεων, την πραγματική αντίληψη του προβλήματος και εμπειρία σε πραγματικές συνθήκες, οι φορείς παρέμειναν προσηλωμένοι στη θεσμοθέτηση επιτροπών και οργάνων, την ανάθεση μελετών και τη διοργάνωση συνεδρίων χωρίς μετρήσιμους στόχους, κεντρικό συντονισμό και στοιχειώδη συνέχεια, επιμηκύνοντας, δηλαδή, τη γραφειοκρατία.
Οι σημαντικότερες παθογένειες στη δημόσια διοίκηση είναι:
- Έλλειψη Κεντρικής Πολιτικής: Στις περισσότερες υπηρεσίες (αν όχι σε όλες), απουσιάζουν ο υπεύθυνος και οι πολιτικές Ασφάλειας Πληροφοριών, αλλά και τα στοιχειώδη μέτρα ασφάλειας για την προστασία των, ευαίσθητων και μη, πληροφοριών του πολίτη. Οι υπηρεσίες αδυνατούν να γνωρίζουν σε πραγματικό χρόνο «ποιος έχει πρόσβαση και πού» και ποιες πληροφορίες βρίσκονται στο πεδίο ευθύνης τους. Υπηρεσιακοί δημόσιοι υπάλληλοι διατηρούν πρόσβαση σε ευαίσθητα πληροφοριακά συστήματα και πληροφορίες ακόμα και μετά την αποχώρηση. Εξωτερικοί συνεργάτες ή/και προμηθευτές συνεχίζουν να έχουν πρόσβαση σε απόρρητα δεδομένα, σε πολλές περιπτώσεις ακόμα και την ηλεκτρονική αλληλογραφία στελεχών Δημόσιας Διοίκησης, ακόμη και μετά την ολοκλήρωση του έργου.
- Απουσία Κεντρικού Συντονισμού: Η απουσία κεντρικού συντονισμού και δια-τομεακής πολιτικής για την ασφάλεια των πληροφοριών επιτρέπει σε προμηθευτές να προσφέρουν υπηρεσίες «αξιολόγησης της ασφάλειας πληροφοριών» αλλά και «πολιτικής ασφάλειας πληροφοριών» ξεχωριστά σε κάθε δημόσια υπηρεσία, για κάθε εφαρμογή που αναπτύσσουν, για κάθε μελέτη που συντάσσουν και για κάθε σύστημα που προμηθεύουν. Η τακτική αυτή έχει σαν αποτέλεσμα την έλλειψη κεντρικής διαχείρισης της ασφάλειας, την ανομοιογένεια μεταξύ των πληροφοριακών υποδομών και, κυρίως, την αναποτελεσματική διαχείριση του κινδύνου για τα Δημόσια πληροφοριακά συστήματα.
- Ανυπαρξία Διαβάθμισης Πληροφοριών (Information Classification): Στη Δημόσια Διοίκηση δεν υφίσταται διαδικασία διαβάθμισης πληροφοριών (Εμπιστευτικές, Εσωτερικές, Δημόσιες). Η διαχείριση όλων των πληροφοριών πραγματοποιείται από τους κρατικούς λειτουργούς, με βάση την προσωπική κρίση και εμπειρία με αποτέλεσμα επαναλαμβανόμενες διαρροές εμπιστευτικών πληροφοριών στον Τύπο, με χαρακτηριστική ευκολία.
- Καθυστέρηση στην υιοθέτηση σύγχρονων τεχνολογιών: Οι ελλείψεις στην ασφάλεια οδηγούν στην καθυστέρηση, αν όχι αδυναμία, υιοθέτησης σύγχρονων τεχνολογικών λύσεων οι οποίες μπορούν να βοηθήσουν στην ποιοτική αναβάθμιση των υπηρεσιών του Δημοσίου. Στον τομέα Υγείας, για παράδειγμα, δεν μπορεί να δημιουργηθεί ηλεκτρονικός φάκελος ασθενούς και παρατηρείται χαμηλή διαθεσιμότητα ιατρικής πληροφορίας στο ΕΣΥ, έλλειψη αξιόπιστων στατιστικών αναφορών και αδυναμία ελέγχου των δαπανών.
- Προμήθειες χωρίς προδιαγραφές ασφάλειας: Τα περισσότερα συστήματα που προμηθεύεται το ελληνικό δημόσιο παρουσιάζουν σοβαρότατες αδυναμίες ασφάλειας. Οι αδυναμίες αυτές επιτρέπουν την παραβίαση των συστημάτων ασφαλείας και την ανεξέλεγκτη πρόσβαση σε κρίσιμα δεδομένα και υποδομές. Οι τακτικοί έλεγχοι στις κρατικές προμήθειες γίνονται πλημμελώς, δεν ακολουθούν ενιαία μεθοδολογία και σύστημα αξιολόγησης κινδύνου (Risk Assessment) και δεν είναι αξιόπιστοι, καθώς στις περισσότερες των περιπτώσεων εκτελούνται από τους ίδιους τους προμηθευτές ή τους τεχνικούς συμβούλους και όχι από ανεξάρτητους εμπειρογνώμονες.
- Ευάλωτες Κρίσιμες Υποδομές: Στον κρατικό μηχανισμό και στις κρίσιμες υποδομές, το προληπτικό και κατασταλτικό επίπεδο ασφάλειας είναι υποδεέστερο των αναγκών. Σημαντικά πιο επικίνδυνο όμως είναι το γεγονός ότι οι υπάρχουσες υποδομές και διοικητικοί μηχανισμοί διαθέτουν ελάχιστες δυνατότητες παρακολούθησης σε πραγματικό χρόνο, εντοπισμού και έγκαιρης προειδοποίησης παραβίασης της ασφάλειας των πληροφοριών σε πραγματικό ή σε δεύτερο χρόνο. Ο κρατικός μηχανισμός δεν είναι καν σε θέση να παράγει τα ελάχιστα απαραίτητα τεκμήρια ως αποδεικτικά στοιχεία, αν αυτό ζητηθεί από τις δικαστικές αρχές.
Για αποτελεσματική διαχείριση των παραπάνω προβλημάτων, έμφαση θα πρέπει να δοθεί στα εξής:
1. Ανάπτυξη τεχνογνωσίας εσωτερικά στον κρατικό μηχανισμό, σε όλα τα επίπεδα (Στρατός, Υπηρεσία Πληροφοριών, Δημόσια Τάξη και Δίωξη) αλλά με διατομεακό συντονισμό και υποστήριξη.
2. Δημιουργία Κεντρικού Φορέα για την Ασφάλεια των Πληροφοριών και δικτύων κατά τα πρότυπα άλλων χωρών (π.χ. Γερμανία (Bundesamt für Sicherheit in der Informationstechnik, BSI)) για το συντονισμό της Ασφάλειας Πληροφοριών σε όλα τα επίπεδα και τους τομείς.
3. Ειδικευμένο επιτελείο διαχείρισης κρίσεων με τη συμμετοχή αναγνωρισμένων στελεχών της αγοράς και εκπρόσωπων της κυβέρνησης.
4. Άμεση οριζόντια αξιολόγηση του κρατικού μηχανισμού, ξεκινώντας από την κρίσιμη υποδομή (Ενέργεια, Τηλεπικοινωνίες, Δημόσια Διοίκηση).
5. Κατάρτιση MASTER PLAN για την εφαρμογή οριζόντιων ενεργειών σε επιχειρησιακό, οργανωτικό και τεχνολογικό επίπεδο με κοινοποίηση στον Πρωθυπουργό ως θέμα ύψιστης εθνικής ασφάλειας.
6. Ασκήσεις Κυβερνοάμυνας σε πραγματικές συνθήκες και ανθεκτικότητας των κρίσιμων υποδομών της χώρας.
7. Αξιοποίηση της παρουσίας του ENISA που φιλοξενείται στην Ελλάδα. Υποστήριξη των δραστηριοτήτων του οργανισμού και προώθηση της έρευνας στο σχετικό με την ασφάλεια γνωσιακό τομέα.
O Γιώργος Πατσής είναι διευθύνων σύμβουλος στην Οbrela Security Industries GR
Σχόλια