Στα τέλη της προηγούμενης εβδομάδας ‘εισήχθη προς συζήτηση’ (για να τηρήσουμε την επίσημη ορολογία) στη Βουλή, αρχικά στην αρμόδια Επιτροπή και στη συνέχεια στην ολομέλεια, όπου αναμένεται να ψηφιστεί και να ενταχθεί στην ελληνική νομοθεσία, το νομοσχέδιο σχετικά με την οδηγία NIS2, η οποία έχει ως στόχο την αποκατάσταση ‘υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση’.
Μ’ άλλα λόγια, δεν αφήνεται κάθε χώρα-μέλος να ορίσει εκείνη ‘στο περίπου’ και καταπώς ταιριάζει με τις δικές της προϋποθέσεις και ανάγκες τον τρόπο που θα προφυλαχθεί από κυβερνοεπιθέσεις, αλλά η ΕΕ βάζει η ίδια τον πήχη ψηλά, ορίζοντας το επίπεδο της κοινής ασφάλειας.
Ο λόγος προφανής: στην εποχή των ανοικτών οριζόντων, όπου η ψηφιακή τεχνολογία συνδέει τους πάντες και τα πάντα, καταργώντας σύνορα και υπερπηδώντας -αφού ο καθένας από εμάς είναι μονίμως και σχεδόν αδιάλειπτα ασύρματα συνδεδεμένος- κάθε λογής ‘περιμέτρους’, η ασφάλεια δεν μπορεί να είναι θέμα του ενός, αλλά πρόβλημα των πολλών. Όπως τόνισε και ο Υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου, εισάγοντας το νομοσχέδιο, αυτό «άπτεται, στην ουσία, της κοινωνικής ζωής, των υπηρεσιών κοινωνικής ωφέλειας και πάρα πολλών άλλων σημαντικών τομέων της ζωής μας».
Έτσι, η NIS2 (που αντικαθιστά την ξεπερασμένη πλέον από τις εξελίξεις NIS) μπαίνει στη ζωή μας εισάγοντας σύγχρονες τεχνικές προδιαγραφές και -παράλληλα- υποχρεώσεις για σχεδόν δεκαπλάσιο ‘κύκλο εμπλεκομένων’, που πλέον φτάνουν τους 2.000. Όλοι αυτοί, δημόσιοι και ιδιωτικοί οργανισμοί οι οποίοι έχουν ο καθένας το δικό του μικρό ή μεγαλύτερο μέρος στην ομαλή ροή της καθημερινότητάς μας, έχουν πλέον την υποχρέωση όχι μόνο να λαμβάνουν ενισχυμένα μέτρα προστασίας και πρόληψης έναντι των κυβερνοεπιθέσεων, αλλά και να αναφέρουν άμεσα τα περιστατικά που τυχόν εκδηλώνονται με αυτούς ως στόχο.
Μιλάμε για ένα ευρύτατο φάσμα, που περιλαμβάνει ‘κλασικούς’ κρίσιμους κλάδους, όπως η ενέργεια, η παραγωγή τροφίμων και οι τηλεπικοινωνίες, αλλά και νέους, όπως οι ταχυδρομικές υπηρεσίες, οι ταχυμεταφορές και η διαχείριση λυμάτων. Κάθε επιτυχημένη κυβερνοεπίθεση εις βάρος τους, θα προκαλέσει (περισσότερο ή λιγότερο) σοβαρά ζητήματα στην κοινωνική και οικονομική ζωή, επηρεάζοντας πολλούς ακόμα τομείς και ‘εξάγοντας’ ενδεχομένως το πρόβλημα και εκτός συνόρων. Εξ ου και η ανάγκη συνολικής και ενιαίας αντιμετώπισης με τις minimum προδιαγραφές που επιβάλλονται από την NIS2.
Επόπτης και ‘θεματοφύλακας’ όλων αυτών, η Εθνική Αρχή Κυβερνοασφάλειας, που ιδρύθηκε φέτος τον Φεβρουάριο και ήδη στελεχώνεται (με αρκετές δυσκολίες, βέβαια, κυρίως λόγω της έλλειψης προσωπικού στη δημόσια διοίκηση με τις κατάλληλες δεξιότητες, όπως παραδέχθηκε πρόσφατα ο διοικητής της, Μιχάλης Μπλέτσας), προκειμένου να αναλάβει -πιθανότατα από τις αρχές του καινούριου χρόνου- αυτόν τον ρόλο. Για την ώρα, πάντως, αλλά και μελλοντικά υπάρχει, όσον αφορά στην αναγκαία Ομάδα Άμεσης Ανταπόκρισης, στήριξη από την «εξαιρετικά καλή» (κατά τον υπουργό) ομάδα στις ένοπλες δυνάμεις.
Παράλληλα, δημιουργείται σώμα εξωτερικών ελεγκτών που στην αρχή θα βοηθήσει και στη συνέχεια θα ελέγχει για τη σωστή εφαρμογή της οδηγίας, αυτές τις 2.000 οντότητες –οργανισμούς (περιλαμβανομένων πλέον και των ΟΤΑ) στον δημόσιο και ιδιωτικό τομέα, συνήθως μεγάλους, μεσαίους και ενίοτε, ανάλογα με την κρισιμότητα του ρόλου τους, ακόμα και μικρομεσαίους.
Η ΕΑΚ έχει, επίσης, την αρμοδιότητα να επιβάλει τις απαραίτητες κυρώσεις και (τσουχτερά) πρόστιμα, «όταν επανειλημμένα κάποιες επιχειρήσεις αρνούνται να κάνουν αυτά τα οποία η λογική, αλλά και η τεχνολογία επιβάλλει για την κυβερνοασφάλεια» τη δική τους και όλων μας, ενώ συνεργάζεται και με όλους τους συναρμόδιους, ανάλογα με την περίπτωση, φορείς.
Κι αν αναρωτιέστε πόσο εύκολη ή δύσκολη είναι στην πράξη η αλλαγή νοοτροπίας και η ανάπτυξη κουλτούρας κυβερνοασφάλειας (γιατί περί αυτού πρόκειται, ουσιαστικά, με τον απλό χρήστη να παραμένει ‘ο πιο αδύναμος κρίκος’), πρόσφατη ετήσια έρευνα της NordPass (Research Insights) σε 44 χώρες, ανάμεσά τους και στην Ελλάδα, έδειξε ότι σχεδόν οι μισοί από τους συνηθισμένους κωδικούς πρόσβασης είναι αριθμοσειρές όπως «123456» και «111111». Επίσης, παραλλαγές του QWERTY όπως «qwerty» και «Qwerty123?».
Σ’ εμάς παίζουν, επίσης, ονόματα ή/και χαρακτηρισμοί, όπως “Katerina” ή “malakas”, ενώ είναι γνωστή και η πρακτική του Post-it με το password κολλημένο στην οθόνη, σε κοινή θέα. Βέβαια, οι κακόβουλοι έχουν πολύ περισσότερα εργαλεία, -της Τεχνητής Νοημοσύνης, πλέον, περιλαμβανομένης- στη διάθεσή τους για να χτυπήσουν (στο 95% των περιπτώσεων με οικονομικό κίνητρο, σύμφωνα με έρευνα της Verizon), όμως η πρόληψη, από κάτι τέτοια μικρά ξεκινάει…
