Παρασκευή, Νοέμβριος 22, 2024
Follow Us
Τετάρτη, 15 Μαϊος 2024 22:12

Η κυβερνοασφάλεια στο επίκεντρο των δράσεων της ΕΕ.

Του Κωνσταντίνου Μαργαρίτη
Δημοσιογράφος

Οι πολίτες νιώθουν  ανασφαλείς από τις πληροφορίες για παρακολουθήσεις. Αναμένουν εξηγήσεις από τις κυβερνήσεις τους, αλλά κάτι τέτοιο δεν κατέστη εφικτό ακόμη. Υπάρχουν κενά που δεν έχουν καλυφθεί, με αποτέλεσμα η αγωνία και η ανησυχία να αυξάνονται.

Οι ευρωεκλογές του Ιουνίου θα έπρεπε να έχουν στην ατζέντα τους την κυβερνοασφάλεια.

Τα πολιτικά κόμματα στην Ελλάδα δεν συνεργάζονται και το πρόβλημα αποκτά μεγαλύτερες διαστάσεις.

Η πολεμική σύγκρουση Ρωσίας-Ουκρανίαςέχει ανοίξει πολλά μέτωπα και θα κληθούν τα αρμόδια όργανα να τα διαχειριστούν. Τα δεδομένα έχουν αλλάξει και οι επιθέσεις στο διαδίκτυο πολλαπλασιάστηκαν. Οι πολίτες νιώθουνφόβο και εξετάζουν όλες τις ειδήσεις από πολλές πλευρές.

Ο αριθμός των κυβερνοεπιθέσεωνστα όργανα της ΕΕ σημειώνει ραγδαία αύξηση. Ο βαθμός ετοιμότητας των οργάνων αυτών στον τομέα της κυβερνοασφάλειαςποικίλλει και συνολικά δεν είναι ανάλογος των εντεινόμενων απειλών. Δεδομένης της ισχυρής αλληλοσύνδεσής τους, υπάρχει το ενδεχόμενο οι αδυναμίες του ενός να εκθέσουν τα άλλα σε απειλές κατά της ασφάλειάς τους. Αυτό είναι το συμπέρασμα ειδικής έκθεσης του Ευρωπαϊκού Ελεγκτικού Συνεδρίου, η οποία εξετάζει τον βαθμό ετοιμότητας των φορέων διακυβέρνησης της ΕΕ κατά των κυβερνοαπειλών. Οι ελεγκτές συνιστούν τη θέσπιση δεσμευτικών κανόνωνγια την κυβερνοασφάλεια και την αύξηση των πόρων που διατίθενται στην ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT-ΕΕ). Επίσης, σύμφωνα με τους ελεγκτές, η Ευρωπαϊκή Επιτροπή πρέπει να προωθήσει την περαιτέρω συνεργασία μεταξύ των ενωσιακών οργάνων, ενώ η CERT-ΕΕ και ο οργανισμός της Ευρωπαϊκής Ένωσηςγια την κυβερνοασφάλεια πρέπει να αυξήσουν την εστίασή τους σε αυτά που διαθέτουν μικρότερη πείρα στη διαχείριση της κυβερνοασφάλειας.

Τα σημαντικά περιστατικά κυβερνοασφάλειας στα διάφορα όργανα της ΕΕ υπερδεκαπλασιάστηκαν μεταξύ 2018 και 2021· η τηλεργασίααύξησε σημαντικά τον αριθμό των δυνητικών σημείων πρόσβασης για τους επιτιθέμενους. Τα σημαντικά περιστατικά προκαλούνται κατά κανόνα από πολύπλοκες κυβερνοεπιθέσεις, που συνήθως προϋποθέτουν τη χρήση νέων μεθόδων και τεχνολογιώνκαι μπορεί να χρειαστούν εβδομάδες, αν όχι μήνες, για τη διερεύνησή τους και την ανάκαμψη από αυτά. Ενδεικτικό παράδειγμα ήταν η κυβερνοεπίθεση στον ευρωπαϊκό οργανισμό φαρμάκων, όταν διέρρευσαν ευαίσθητα δεδομένα, τα οποία παραποιήθηκαν έτσι ώστε να υπονομευθεί η εμπιστοσύνη των πολιτών στα εμβόλια.

«Τα θεσμικά και λοιπά όργανακαι οι οργανισμοί της ΕΕ αποτελούν ελκυστικούς στόχους για δυνητικούς επιτιθέμενους, ιδίως για ομάδες που είναι ικανές να εκτελούν εξαιρετικά εξελιγμένες αόρατες επιθέσεις στο πλαίσιο κυβερνοκατασκοπείας ή για άλλους κακόβουλους σκοπούς», δήλωσε η καBettina Jakobsen, μέλος του ΕΕΣκαι επικεφαλής του ελέγχου. «Επιθέσεις αυτού του είδους μπορεί να έχουν σημαντικές πολιτικές προεκτάσεις, να βλάψουν τη συνολική φήμη της ΕΕ και να υπονομεύσουν την εμπιστοσύνη στους θεσμούς της. Η ΕΕ πρέπει να εντείνει τις προσπάθειές της για την προστασία των οργανισμών της

Κύρια διαπίστωση των ελεγκτών ήταν ότι δεν είναι πάντοτε επαρκής η προστασία των θεσμικών και λοιπών οργάνων και οργανισμών της ΕΕ από κυβερνοαπειλές. Η κυβερνοασφάλεια δεν προσεγγίζεται με συνέπεια, δεν εφαρμόζονται πάντοτε συναφείς βασικές δικλίδες και ορθές πρακτικές, ενώ δεν παρέχεται συστηματικά σχετική επιμόρφωση. Οι πόροιπου διατίθενται για την κυβερνοασφάλεια ποικίλλουν σε μεγάλο βαθμό, καθώς διαπιστώθηκε ότι ορισμένα όργανα δαπανούν πολύ λιγότερο σε σχέση με άλλα παρόμοιου μεγέθους. Μολονότι οι διαφορές στα επίπεδα κυβερνοασφάλειας θα μπορούσαν θεωρητικά να δικαιολογηθούν από τα διαφορετικά προφίλ κινδύνου κάθε οργανισμού και τα ποικίλα επίπεδα ευαισθησίας των δεδομένων που αυτοί χειρίζονται, οι ελεγκτές τονίζουν ότι οι αδυναμίες στον τομέα της κυβερνοασφάλειας ενός ενωσιακού οργάνου μπορούν να εκθέσουν σε κυβερνοαπειλές σειρά άλλων (τα όργανα της ΕΕ όχι μόνο αλληλοσυνδέονται, αλλά συχνά υπάρχει σύνδεση και με δημόσιους και ιδιωτικούς οργανισμούς στα κράτη μέλη).

Η ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CCERT-ΕΕ) και ο οργανισμός της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια(ENISA) αποτελούν τις δύο βασικές οντότητες που είναι επιφορτισμένες με την παροχή υποστήριξηςσε θέματα κυβερνοασφάλειας. Ωστόσο, δεν κατάφεραν να παράσχουν στα όργανα της ΕΕ όλη τη στήριξη που αυτά χρειάζονται, λόγω των περιορισμένων πόρωνή του γεγονότος ότι είχαν προτεραιότητα άλλοι τομείς. Σύμφωνα με τους ελεγκτές, αδυναμίες παρουσιάζει επίσης η ανταλλαγή πληροφοριών: παραδείγματος χάριν, δεν προβαίνουν όλα τα όργανα της ΕΕ στην έγκαιρη κοινοποίηση πληροφοριών σχετικά με τα τρωτά σημεία και τα σημαντικά περιστατικά κυβερνοασφάλειαςπου έχουν πλήξει τα ίδια και ενδέχεται να πλήξουν και άλλα.

Μέχρι στιγμής, δεν έχει θεσπιστεί νομικό πλαίσιογια την ασφάλεια των πληροφοριών και την κυβερνοασφάλεια στα θεσμικά και λοιπά όργανα και στους οργανισμούς της ΕΕ, καθώς αυτά δεν υπόκεινται στην ευρύτερη νομοθεσία της ΕΕ για την κυβερνοασφάλεια, την οδηγία NIS του 2016, ούτε στην προτεινόμενη αναθεώρησή της, την οδηγία NIS2. Επίσης, δεν υπάρχουν ολοκληρωμένες πληροφορίες σχετικά με τα ποσά που αυτά δαπανούνγια την κυβερνοασφάλεια.

Η ΕΕπρότεινε επίσης τη θέσπιση νέας νομικής βάσης για τη CERT-ΕΕ, με σκοπό την ενίσχυση της εντολής και της χρηματοδότησης της. Απαιτούνται τολμηρές αποφάσεις που θα δίνουν λύσεις στα προβλήματα. Υπάρχει μεγάλο περιθώριο βελτίωσης. Τα κράτη-μέλη της ΕΕ καλούνται να λειτουργήσουν με γρήγορα αντανακλαστικά και να προστατέψουν τους πολίτες τους.