10.6 C
Athens
Δευτέρα, 20 Ιανουαρίου, 2025

«Μέτρηση» κυβερνοασφάλειας για δημόσιους και ιδιωτικούς οργανισμούς

  • Γράφει η Μαρία Μόσχου 

Να εντοπίσει τα σημαντικά κενά κυβερνοασφάλειας και να λάβει άμεσα αποφάσεις για υπουργεία και ιδιωτικούς και δημόσιους Οργανισμούς θα επιχειρήσει το Υπουργείο Ψηφιακής Διακυβέρνησης. Ήδη ενέκρινε τον Οδηγό Αυτοξιολόγησης της κυβερνοασφάλειας Οργανισμών ώστε να προστατευθούν βασικές δομές από κυβερνοεπιθέσεις.

Η έξαρση των κυβερνοεπιθέσεων το τελευταίο διάστημα που δημιουργεί σημαντικά προβλήματα παγκοσμίως αλλά και η κοινοτική νομοθεσία οδήγησαν το Υπουργείο Ψηφιακής Διακυβέρνησης στην έκδοση Οδηγού Αυτοαξιολόγησης της ασφάλειας των συστημάτων δικτύου και πληροφοριών των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ).

Όπως αναφέρεται στην σχετική απόφαση «η αυτοαξιολόγηση διενεργείται σε ετήσια βάση ή κατόπιν πρόκλησης σοβαρής διατάραξης της παροχής βασικής υπηρεσίας από συμβάν κυβερνοασφάλειας, με τη χρήση του  Οδηγού.  Ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων του οργανισμού κοινοποιεί στην Εθνική Αρχή Κυβερνοασφάλειας τα αποτελέσματα της αυτοαξιολόγησης, συνοδευόμενα από σχετικό πλάνο διορθωτικών ή βελτιωτικών ενεργειών, εντός προθεσμίας που τάσσεται από την ως άνω Αρχή».

Η απόφαση για την κυβερνοασφάλεια

Η απόφαση υπογράφεται από τον Γενικό Γραμματέα Τηλεπικοινωνιών και Ταχυδρομείων, Δ. Α. Σταβέρη – Πολυκαλά και απευθύνεται κυρίως σε δημόσιους και ιδιωτικούς Οργανισμούς που αποτελούν σημαντικές και κρίσιμες υποδομές για τη χώρα, όπως είναι οι φορείς εκμετάλλευσης βασικών υπηρεσιών, καθώς και κρατικοί φορείς (Υπουργεία, Ανεξάρτητες Αρχές, Βουλή των Ελλήνων, Προεδρία της Δημοκρατίας).

Ζητούμενο για τους εν λόγω Οργανισμούς είναι η επίτευξη ενός υψηλού επιπέδου κυβερνοασφάλειας, προκειμένου τα συστήματα δικτύου και πληροφοριών τους να προστατεύονται επαρκώς από τις συνεχώς εξελισσόμενες κυβερνοαπειλές, να αποκτήσουν την ικανότητα να ανταποκρίνονται έγκαιρα σε περιστατικά κυβερνοεπιθέσεων και να ανακτούν άμεσα τη λειτουργικότητα και τη συνέχιση της παροχής των υπηρεσιών τους.

Με τον Οδηγό αυτοαξιολόγησης ολοκληρώνεται η Δράση «Ανάπτυξη πλαισίου προαγωγής της αριστείας στον τομέα της κυβερνοασφάλειας (cybersecurity excellence management framework)» της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020-2025. Η Δράση ολοκληρώθηκε εξ ολοκλήρου in-house από την Εθνική Αρχή Κυβερνοασφάλειας – Διεύθυνση Στρατηγικού Σχεδιασμού Κυβερνοασφάλειας και περιλαμβάνει τον Οδηγό αυτοαξιολόγησης καθώς και το Εγχειρίδιο Κυβερνοασφάλειας (Cybersecurity Handbook).

Ο οδηγός αυτοαξιολόγησης

Ο Οδηγός αποτελεί ένα μηχανισμό με τον οποίο οι Οργανισμοί μπορούν να διενεργήσουν αυτοαξιολόγηση του επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών τους. Περιέχει συνολικά 234 σημεία ελέγχου χωρισμένα σε 19 θεματικές ενότητες, οι οποίες είναι οι εξής:

  1. Διοίκηση κυβερνοασφάλειας και διαχείριση επικινδυνότητας
  2. Καταγραφή υλικού και λογισμικού
  3. Ασφαλής παραμετροποίηση εξοπλισμού και εφαρμογών
  4. Έλεγχος εκτέλεσης προγραμμάτων και υπηρεσιών
  5. Διαχείριση λογαριασμών και έλεγχος πρόσβασης
  6. Αυθεντικοποίηση χρηστών
  7. Ασφάλεια δικτύων
  8. Προστασία από κακόβουλο λογισμικό
  9. Τήρηση και ανάλυση αρχείων καταγραφής συμβάντων (event logs)
  10. Ασφάλεια διαδικτυακών εφαρμογών
  11. Απομακρυσμένη εργασία
  12. Χρήση κρυπτογραφίας
  13. Εκπαίδευση και ευαισθητοποίηση σε θέματα κυβερνοασφάλειας
  14. Διαχείριση κινδύνων στην εφοδιαστική αλυσίδα
  15. Υλοποίηση τεχνικών ελέγχων κυβερνοασφάλειας
  16. Μέτρα φυσικής ασφάλειας εγκαταστάσεων
  17. Λήψη αντιγράφων ασφαλείας (backup)
  18. Αντιμετώπιση περιστατικών κυβερνοασφάλειας
  19. Διασφάλιση επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή

Ο Οδηγός αυτοαξιολόγησης και το Εγχειρίδιο Κυβερνοασφάλειας θα πρέπει να χρησιμοποιούνται από κοινού, καθώς τα σημεία ελέγχου του Οδηγού στηρίζονται σε πολύ μεγάλο βαθμό στα controls του Εγχειριδίου Κυβερνοασφάλειας.

Όπως χαρακτηριστικά αναφέρεται στην απόφαση το  το επίπεδο κυβερνοασφάλειας σε έναν Οργανισμό ισούται με το επίπεδο κυβερνοασφάλειας του πιο αδύναμου κρίκου (weakestlink).Για το λόγο αυτό, ο ιΟργανισμοί οφείλουν να εφιστούν την προσοχή τους στα επίμέρους διαγράμματα, ανά θεματική ενότητα, προκειμένου να εντοπίσουν τις συγκεκριμένες ελλείψεις που πρέπει να διορθωθούν.

Οι κύριοι στόχοι του Οδηγού Αυτοαξιολόγησης είναι:

  • Να παρέχει ένα πρακτικό μέσο μέτρησης του επιπέδου κυβερνοασφάλειας ενός Οργανισμού σε συγκεκριμένα βασικά θεματικά πεδία.
  • Να αποτελέσει χρήσιμο βοήθημα για τους Οργανισμούς στο να εντοπίσουν τις ελλείψεις εκείνες που αυξάνουν σημαντικά το βαθμό επικινδυνότητας για τα πληροφοριακά τους συστήματα, προκειμένου να προβούν στην επιλογή των κατάλληλων τεχνικών και οργανωτικών μέτρων που θα ενδυναμώσουν το επίπεδο κυβερνοασφάλειας.
  • Να αποτελέσει απαραίτητο εργαλείο για την εισήγηση και λήψη αποφάσεων (evidence-based decision making) σε σχέση με την κυβερνοασφάλεια.

Κοινοποιηση αρθρου

Τελευταια Νεα

Οι νέες τάσεις για το 2025: Πώς θα αναδείξετε την επιχείρησή σας

Το 2024, τα brands αξιοποίησαν το TikTok με πρωτοποριακούς τρόπους, αγκαλιάζοντας την ευρύτερη κοινότητα της πλατφόρμας, διευρύνοντας τα όρια της δημιουργικότητας, ακολουθώντας τις πολιτισμικές...

Η Sparkle συνεργάζεται με την Oceanic Environmental Cables για ανάκτηση και ανακύκλωση υποβρυχίων καλωδίων

Η Sparkle, ο πρώτος διεθνής πάροχος υπηρεσιών στην Ιταλία που συγκαταλέγεται στους δέκα κορυφαίους παγκοσμίως, υπέγραψε συμφωνία με την Oceanic Environmental Cables (OEC) για...

Απλά Ψηφιακά 161: Τι βλέπει η ΕΕΤΤ (Κ. Μασσέλος) για τις τηλεπικοινωνίες το 2025

Την πορεία και τις σημαντικότερες προκλήσεις για την αγορά των τηλεπικοινωνιών ανέλυσε ο Πρόεδρος της Εθνικής Επιτροπής Τηλεπικοινωνιών και Ταχυδρομείων, Καθηγητής Κωνσταντίνος Μασσέλος, στον...

Ενισχύεται η παρουσία του Ομίλου Motor Oil στη λιανική αγορά των Convenience Stores

Η Core Innovations, θυγατρική του Ομίλου Motor Oil, προχώρησε στην εξαγορά της αλυσίδας καταστημάτων μικρής λιανικής TWENTY 4 SHOPEN, ενισχύοντας την παρουσία της στη...

Λογαριασμοί ταξιδιωτικών πρακτορείων πέφτουν θύματα υποκλοπης λόγω πλαστοπροσωπίας

Πρόσφατα, μέσα σε διάστημα μιας εβδομάδας, μια νέα και εκτεταμένη εκστρατεία phishing έθεσε σε κίνδυνο περισσότερες από 7.300 επιχειρήσεις και 40.000 άτομα σε όλο...