- Η ασφάλεια των κρίσιμων υποδομών είναι ένα από τα πλέον ραγδαία αναπτυσσόμενα πεδία της δημόσιας πολιτικής και της πολιτικής ασφάλειας και προστασίας, στο οποίο η Ε.Ε. έχει κάνει σημαντικά βήματα τα τελευταία χρόνια.
- Οι τρομοκρατικές επιθέσεις που συγκλόνισαν τα κράτη-μέλη της Ε.Ε. κατά την περίοδο 2015- 2016, και ορισμένες εξ αυτών είχαν ως στόχο αεροδρόμια, μετρό και τρένα, κατέστησαν την προστασία των κρίσιμων υποδομών σημαντική προτεραιότητα.
- Η εξέλιξη των απειλών, με την ραγδαία αύξηση των κινδύνων στον τομέα της κυβερνοασφάλειας και τις υβριδικές απειλές, οδήγησαν και στην μετεξέλιξη του Ευρωπαϊκού πλαισίου ασφάλειας των κρίσιμων υποδομών
- Η Ε.Ε., στα τέλη Δεκεμβρίου 2022, προχώρησε στην πρόταση μίας ακόμη Οδηγίας για την Ανθεκτικότητα των Κρίσιμων Οντοτήτων (Critical Entities Resilience), γνωστή και ως Οδηγία CER.
- Η εισβολή της Ρωσίας στην Ουκρανία και η πολεμική σύγκρουση που την ακολούθησε κατέστησε την ασφάλεια των ενεργειακών υποδομών ως βασική προτεραιότητα της Ε.Ε.
- Στην Ελλάδα υπάρχουν διαχρονικές ελλείψεις και προβλήματα στον σχεδιασμό μίας ολιστικής πολιτικής για την ασφάλεια των κρίσιμων υποδομών.
- Ο ψηφιακός τομέας είναι ο μόνος που έχει κάνει σημαντικά βήματα προς τη δημιουργία ενός συνολικού πλαισίου προστασίας.
- Η μεγάλη μεταρρύθμιση είναι ο καθορισμός προδιαγραφών ασφάλειας σε όλες τις κρίσιμες υποδομές και ο έλεγχος εφαρμογής τους.
Το Policy brief υπογράφει ο Τριαντάφυλλος Καρατράντος, Κύριος Ερευνητής, ΕΛΙΑΜΕΠ.
Διαβάστε το εδώ εδώ σε μορφή pdf.
ΤΟ ΤΡΑΓΙΚΟ ΔΥΣΤΥΧΗΜΑ ΣΤΑ ΤΕΜΠΗ έχει προκαλέσει μεγάλη συζήτηση για την ασφάλεια των σιδηροδρόμων στην Ελλάδα. Το συγκεκριμένο όμως ζήτημα είναι τμήμα της γενικότερης πολιτικής για την ασφάλεια των κρίσιμων υποδομών. Ένας τομέας που αποτελεί προτεραιότητα για την Ε.Ε., η οποία, μετά την εισβολή της Ρωσίας στην Ουκρανία και τις δολιοφθορές στους αγωγούς Nord Stream δίνει έμφαση στον ενεργειακό τομέα. Σε αυτή την κατεύθυνση κινείται και η διαδικασία της Οδηγίας Critical Entities Resilience, της τελευταίας εξέλιξης του ρυθμιστικού πλαισίου της Ένωσης, η οποία και αποτελεί μία σημαντική αλλαγή φιλοσοφίας. Στόχος του συγκεκριμένου Κειμένου Πολιτικής είναι να παρουσιάσει το ευρωπαϊκό και το εθνικό πλαίσιο προστασίας των κρίσιμων υποδομών, να αναλύσει τις παθογένειες στην περίπτωση της Ελλάδας και να προτείνει μία δέσμη πολιτικών που μπορούν να αποτελέσουν μία ολοκληρωμένη μεταρρύθμιση του συγκεκριμένου τομέα.
Η Εξέλιξη της Ασφάλειας των Κρίσιμων Υποδομών στην Ε.Ε. και στην Ελλάδα
Συνηθίζουμε πολλές φορές να εστιάζουμε στις αλλαγές που έφεραν οι νέες απειλές ασφάλειας και κυρίως η διεθνής τρομοκρατία στην καθημερινότητα των πολιτών. Ο τομέας που ίσως αποτυπώνει με τον πλέον εμφατικό τρόπο αυτές τις διαφοροποιήσεις είναι οι μεταφορές. Οι επιθέσεις της 11ης Σεπτεμβρίου στις Η.Π.Α. που βασίστηκαν στην χρήση αεροπλάνων ως όπλα των τρομοκρατών, αλλά και οι επιθέσεις της 11ης Μαρτίου 2004 στο σιδηροδρομικό δίκτυο της Μαδρίτης, έφεραν στη δημόσια συζήτηση, με τον πλέον δραματικό τρόπο, την ασφάλεια των μεταφορών. Σύντομα, τόσο η Ε.Ε., όσο και οι Η.Π.Α., ενέταξαν την ασφάλεια των μεταφορών στο ευρύτερο πεδίο των κρίσιμων υποδομών.
Η ασφάλεια λοιπόν των κρίσιμων υποδομών είναι ένα από τα πλέον ραγδαία αναπτυσσόμενα πεδία της δημόσιας πολιτικής και της πολιτικής ασφάλειας και προστασίας, στο οποίο η Ε.Ε. έχει κάνει σημαντικά βήματα τα τελευταία χρόνια.
Η ασφάλεια λοιπόν των κρίσιμων υποδομών είναι ένα από τα πλέον ραγδαία αναπτυσσόμενα πεδία της δημόσιας πολιτικής και της πολιτικής ασφάλειας και προστασίας, στο οποίο η Ε.Ε. έχει κάνει σημαντικά βήματα τα τελευταία χρόνια. Ωστόσο, δεν είναι μία εύκολη διαδικασία, καθώς προϋποθέτει την εμπλοκή και τη συνεργασία πολλών και διαφορετικών φορέων του δημοσίου, αλλά και του ιδιωτικού τομέα. Είναι χαρακτηριστικό πως σε αρκετές περιπτώσεις πολλές χώρες δεν έχουν προσδιορίσει τις κρίσιμες υποδομές τους, ενώ και όπου αυτές έχουν προσδιοριστεί, υπάρχουν σημαντικές διαφοροποιήσεις μεταξύ των χωρών.
Σε μία από τις λίγες μελέτες που έχουν γίνει στην Ελλάδα για το θέμα, την οποία εκπόνησε το Εργαστήριο Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών του Οικονομικού Πανεπιστημίου Αθηνών για την διαΝΕΟσις, γίνεται μία προσπάθεια ορισμού της έννοιας κρίσιμες υποδομές:
«Κρίσιμη Υποδομή (KY) (Critical Infrastructure – CI) ή Υποδομή Ζωτικής Σημασίας (ΥΖΣ) ορίζεται ένα αγαθό, σύστημα ή υποσύστημα που είναι απαραίτητο για τη διατήρηση των ζωτικών λειτουργιών της κοινωνίας, την υγεία, τη φυσική προστασία (safety), την ασφάλεια (security), την οικονομική και την κοινωνική ευημερία των ανθρώπων»[1].
Ως Υποδομές Ζωτικής Σημασίας αναφέρονται «τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών τα οποία είναι ουσιώδη για τη διατήρηση των λειτουργιών ζωτικής σημασίας της κοινωνίας, της υγείας, της ασφάλειας, της οικονομικής και κοινωνικής ευημερίας των μελών της, και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο για τη Χώρα, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών».
Το πρώτο Νομοθετικό κείμενο στην Ελλάδα, στο οποίο γίνεται αναφορά στις Κρίσιμες Υποδομές είναι το Π.Δ. 39 της 6ης Μαΐου 2011, με το οποίο πραγματοποιείται ενσωμάτωση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου της 8ης Δεκεμβρίου 2008 «σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας, και σχετικά με την αξιολόγηση της ανάγκης βελτίωσης της προστασίας τους». Στο Π.Δ. ως Υποδομές Ζωτικής Σημασίας αναφέρονται «τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών τα οποία είναι ουσιώδη για τη διατήρηση των λειτουργιών ζωτικής σημασίας της κοινωνίας, της υγείας, της ασφάλειας, της οικονομικής και κοινωνικής ευημερίας των μελών της, και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο για τη Χώρα, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών».
Επιπρόσθετα, δίνεται και ο ορισμός των Ευρωπαϊκών Υποδομών Ζωτικής Σημασίας: «νοούνται οι υποδομές ζωτικής σημασίας που βρίσκονται εντός της ελληνικής επικράτειας ή άλλου κράτους μέλους και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο στη Χώρα και ταυτόχρονα σε ένα ή περισσότερα κράτη μέλη. Η σπουδαιότητα των επιπτώσεων εκτιμάται βάσει οριζόντιων κριτηρίων. Συμπεριλαμβάνονται οι επιπτώσεις από οριζόντιες εξαρτήσεις από άλλες κατηγορίες υποδομών».
Σε τεχνικό επίπεδο η Οδηγία και το Π.Δ. εισάγουν την έννοια της ανάλυσης κινδύνων «ανάλυση των σχετικών σεναρίων περί απειλών, προκειμένου να αξιολογηθούν τα τρωτά σημεία και οι δυνητικές επιπτώσεις της διακοπής λειτουργίας ή της καταστροφής υποδομών ζωτικής σημασίας», η οποία αποτελεί συστατικό μέρος της μηχανικής προστασίας μίας υποδομής.
Σχήμα 1: Διαδικασία Ασφάλειας Κρίσιμων Υποδομών
Οι τρομοκρατικές επιθέσεις που συγκλόνισαν τα κράτη-μέλη της Ε.Ε. κατά την περίοδο 2015- 2016, και ορισμένες εξ αυτών είχαν ως στόχο αεροδρόμια, μετρό και τρένα κατέστησαν την προστασία των κρίσιμων υποδομών σημαντική προτεραιότητα.
Οι τρομοκρατικές επιθέσεις που συγκλόνισαν τα κράτη-μέλη της Ε.Ε. κατά την περίοδο 2015-2016, και ορισμένες εξ αυτών είχαν ως στόχο αεροδρόμια, μετρό και τρένα κατέστησαν την προστασία των κρίσιμων υποδομών σημαντική προτεραιότητα. Παράλληλα, οι επιθέσεις σε θέατρα, όπως το Bataclan, σε γήπεδα, σε πλατείες και σε εμπορικά κέντρα ανέδειξαν την ανάγκη προστασίας των δημοσίων χώρων, αλλά και των λεγόμενων μαλακών στόχων (soft targets). Αυτές οι δύο κατηγορίες, σε συνδυασμό με την ασφάλεια των κρίσιμων υποδομών, αποτελούν το πυρηνικό στοιχείο της ευθύνης προστασίας (Protection Duty) που χαρακτηρίζει τις ευρωπαϊκές στρατηγικές για την καταπολέμηση της τρομοκρατίας, αλλά και τα επιμέρους πλάνα δράσης.
Η εξέλιξη όμως των απειλών, με την ραγδαία αύξηση των κινδύνων στον τομέα της κυβερνοασφάλειας και ο συνδυασμός τους με τις υβριδικές απειλές, αλλά και τη λεγόμενη «απειλή εκ των έσω» (Insider threat), οδήγησαν και στη μετεξέλιξη του Ευρωπαϊκού πλαισίου ασφάλειας των κρίσιμων υποδομών.
Η εξέλιξη όμως των απειλών, με την ραγδαία αύξηση των κινδύνων στον τομέα της κυβερνοασφάλειας και ο συνδυασμός τους με τις υβριδικές απειλές, αλλά και τη λεγόμενη «απειλή εκ των έσω» (Insider threat),[2] οδήγησαν και στη μετεξέλιξη του ευρωπαϊκού πλαισίου ασφάλειας των κρίσιμων υποδομών.
Σχήμα 2: Οι απειλές για τις Κρίσιμες Υποδομές
Τον Ιούλιο του 2016, στο πλαίσιο της Ευρωπαϊκής Στρατηγικής για την ασφάλεια στον κυβερνοχώρο, εκδόθηκε η Οδηγία 2016/1148 με τίτλο μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση. Τα βασικά μέτρα που περιελάμβανε η Οδηγία NIS ήταν τα ακόλουθα:
- προβλέπει τις υποχρεώσεις να θεσπιστεί εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών από όλα τα κράτη μέλη.
- δημιουργεί ομάδα συνεργασίας με σκοπό την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών μελών, καθώς και την ανάπτυξη της εμπιστοσύνης και της αξιοπιστίας μεταξύ τους.
- δημιουργεί δίκτυο ομάδων απόκρισης συμβάντων που αφορούν την ασφάλεια των υπολογιστών («δίκτυο CSIRT»), προκειμένου να συμβάλει στην ανάπτυξη της αξιοπιστίας και εμπιστοσύνης μεταξύ των κρατών μελών και να προωθήσει την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία.
- θεσπίζει απαιτήσεις ασφάλειας και κοινοποίησης για τους φορείς εκμετάλλευσης βασικών υπηρεσιών και για τους παρόχους ψηφιακών υπηρεσιών.
- προβλέπει τις υποχρεώσεις των κρατών-μελών να ορίζουν εθνικές αρμόδιες αρχές, ενιαία κέντρα επαφής και CSIRT με καθήκοντα σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
Η Οδηγία ενσωματώθηκε στην ελληνική νομοθεσία το Δεκέμβριο του 2018 με το νόμο 4577/2018. Επιπρόσθετα, θέματα εφαρμογής του νόμου εξειδικεύτηκαν περαιτέρω με την Υπουργική Απόφαση 1027/2019.
Σε συνέχεια της NIS, τον Δεκέμβριο του 2022, η Ε.Ε. δημοσίευσε την Οδηγία 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση.
Σε συνέχεια της NIS, τον Δεκέμβριο του 2022, η Ε.Ε. δημοσίευσε την Οδηγία 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) αριθ. 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2). Οι βασικές προβλέψεις αυτής της Οδηγίας είναι οι αυστηρότερες υποχρεώσεις κυβερνοασφάλειας για τη διαχείριση κινδύνων, τις υποχρεώσεις υποβολής εκθέσεων και την ανταλλαγή πληροφοριών. Μεταξύ άλλων οι απαιτήσεις καλύπτουν την αντιμετώπιση συμβάντων, την ασφάλεια της αλυσίδας εφοδιασμού, την κρυπτογράφηση και τη δημοσιοποίηση τρωτών σημείων. Οι νέοι κανόνες θα προστατεύσουν επίσης τους λεγόμενους «σημαντικούς τομείς», όπως οι ταχυδρομικές υπηρεσίες, η διαχείριση αποβλήτων, τα χημικά προϊόντα, τα τρόφιμα, η παραγωγή ιατροτεχνολογικών προϊόντων, τα ηλεκτρονικά είδη, τα μηχανήματα, τα μηχανοκίνητα οχήματα και οι πάροχοι ψηφιακών υπηρεσιών. Τέλος, θεσπίζεται ένα πλαίσιο για καλύτερη συνεργασία και ανταλλαγή πληροφοριών μεταξύ των διαφόρων αρχών και των κρατών μελών, ενώ δημιουργείται και μια ευρωπαϊκή βάση δεδομένων περί τρωτών σημείων.
Συμπληρωματικά με την Οδηγία NIS 2, η Ε.Ε., στα τέλη Δεκεμβρίου 2022, προχώρησε στην πρόταση μίας ακόμη Οδηγίας για την Ανθεκτικότητα των Κρίσιμων Οντοτήτων (Critical Entities Resilience), γνωστή και ως Οδηγία CER.
Συμπληρωματικά με την Οδηγία NIS 2, η Ε.Ε., στα τέλη Δεκεμβρίου 2022, προχώρησε στην πρόταση μίας ακόμη Οδηγίας για την Ανθεκτικότητα των Κρίσιμων Οντοτήτων (Critical Entities Resilience), γνωστή και ως Οδηγία CER. Η συγκεκριμένη Οδηγία έχει δύο βασικές αλλαγές στο σχήμα των κρίσιμων υποδομών. Η πρώτη αφορά στην μετάβαση από τις υποδομές στις οντότητες. Οι ευρωπαϊκές υποδομές και κυρίως τα δίκτυα, στην εποχή της 4ης βιομηχανικής επανάστασης, έχουν γίνει περισσότερο διασυνδεδεμένες και αλληλεξαρτώμενες, γεγονός που τις καθιστά ισχυρότερες και αποτελεσματικότερες, αλλά και πιο ευάλωτες σε περίπτωση περιστατικού. Είναι σημαντικό πως οι υποδομές, εκτός από το φυσικό πεδίο, έχουν πλέον και ένα ξεκάθαρο ψηφιακό, κάτι που οδήγησε την Ε.Ε. στην μετάβαση στην έννοια Κρίσιμες Οντότητες. Το δεύτερο στοιχείο αφορά στην έννοια της Ανθεκτικότητας (Resilience) η οποία προτάσσεται από την παλιότερη έννοια της Προστασίας (Protection). Αυτή η αλλαγή σχετίζεται και με την απειλή από τις φυσικές καταστροφές, αλλά και τη γενικότερη έμφαση που δίνει η Ε.Ε. στην ανθεκτικότητα έναντι της κλιματικής κρίσης.
Σχήμα 3: Από τις Κρίσιμες Υποδομές στις Κρίσιμες Οντότητες. Η αλλαγή φιλοσοφίας της Ε.Ε.
Η συγκεκριμένη πρωτοβουλία είναι αποτέλεσμα και της εισβολής της Ρωσίας στην Ουκρανία και της πολεμικής σύγκρουσης που την ακολούθησε και διαρκεί ένα χρόνο, η οποία κατέστησε την ασφάλεια των ενεργειακών υποδομών ως βασική προτεραιότητα της Ε.Ε. Κάτι που εντατικοποιήθηκε μετά την δολιοφθορά στον αγωγό Nord Stream.
Πρέπει να τονιστεί πως η συγκεκριμένη πρωτοβουλία είναι αποτέλεσμα και της εισβολής της Ρωσίας στην Ουκρανία και της πολεμικής σύγκρουσης που την ακολούθησε και διαρκεί ένα χρόνο, η οποία κατέστησε την ασφάλεια των ενεργειακών υποδομών ως βασική προτεραιότητα της Ε.Ε. Κάτι που εντατικοποιήθηκε μετά την δολιοφθορά στον αγωγό Nord Stream, με αποτέλεσμα η Ένωση να πιέζει τα κράτη-μέλη να τρέξουν δοκιμές αντοχής των υποδομών ενέργειας έναντι διαφόρων μορφών απειλών. Η απειλή της Ρωσίας και η επιστροφή των διακρατικών πολέμων στην ευρωπαϊκή ήπειρο κατέστησε σαφές πως η Ε.Ε. πρέπει να δώσει έμφαση στην ασφάλεια των κρίσιμων οντοτήτων και στην ευρύτερη γειτονιά της, διάσταση που υπάρχει στην Οδηγία CER. Πρέπει να τονιστεί πως η συγκεκριμένη πρωτοβουλία σχετίζεται και με την προσπάθεια της Ένωσης να μετεξελίξει τον μηχανισμό διαχείρισης κρίσεων, δίνοντας έμφαση στις κρίσεις του μέλλοντος που θα συνδυάζουν περισσότερα του ενός στοιχεία, καθώς και στη διάσταση των πολύ-κρίσεων.
Η βασική φιλοσοφία της Οδηγία αφορά στη μεγιστοποίηση και την επιτάχυνση των εργασιών για την προστασία των κρίσιμων οντοτήτων σε τρεις τομείς προτεραιότητας: ετοιμότητα, αντίδραση και διεθνής συνεργασία.
Η βασική φιλοσοφία της Οδηγίας αφορά στη μεγιστοποίηση και την επιτάχυνση των εργασιών για την προστασία των κρίσιμων οντοτήτων σε τρεις τομείς προτεραιότητας: ετοιμότητα, αντίδραση και διεθνής συνεργασία. Για τον σκοπό αυτό, προβλέπει ισχυρότερο ρόλο στήριξης και συντονισμού από την Επιτροπή για την ενίσχυση της ετοιμότητας και της αντίδρασης έναντι των σημερινών απειλών, καθώς και ενισχυμένη συνεργασία μεταξύ των κρατών μελών και με γειτονικές τρίτες χώρες. Θα πρέπει να δοθεί προτεραιότητα στους βασικούς τομείς της ενέργειας, των ψηφιακών υποδομών, των μεταφορών και του διαστήματος.
Οι τομείς των Κρίσιμων Οντοτήτων, σύμφωνα με την Οδηγία CER, είναι οι ακόλουθοι:
Πίνακας 1: Τομείς Κρίσιμων Οντοτήτων
Όπως είναι ευνόητο από τον πίνακα και από το πεδίο εφαρμογής της προστασίας των Κρίσιμων Οντοτήτων, πρόκειται για μία αρκετά σύνθετη και απαιτητική άσκηση που προϋποθέτει τον συντονισμό και τη συνεργασία φορέων από διαφορετικούς τομείς.
Όπως είναι ευνόητο από τον πίνακα και από το πεδίο εφαρμογής της προστασίας των Κρίσιμων Οντοτήτων, πρόκειται για μία αρκετά σύνθετη και απαιτητική άσκηση που προϋποθέτει τον συντονισμό και τη συνεργασία φορέων από διαφορετικούς τομείς.
Παθογένειες και Καθυστερήσεις στην Ελλάδα
Παρότι, όπως έχει ήδη παρουσιαστεί, η ασφάλεια των κρίσιμων υποδομών, είναι ένας από τους σημαντικότερους τομείς για την ασφάλεια και την προστασία μίας χώρας, αλλά και της Ε.Ε. συνολικά, στην Ελλάδα υπάρχουν διαχρονικές ελλείψεις και προβλήματα στον σχεδιασμό μίας ολιστικής πολιτικής. Δεν είναι τυχαίο πως, παρά το γεγονός πως η Ε.Ε. βρίσκεται στη φάση του νέου πλαισίου για τις κρίσιμες οντότητες, στην Ελλάδα δεν έχουμε εθνική πολιτική για τις υποδομές. Άξιο αναφοράς είναι πως η σχετική Οδηγία της Ε.Ε. μας πηγαίνει πίσω στο 2008, κάτι που δείχνει τη διαχρονική αστοχία στον σχεδιασμό και στην υλοποίηση πολιτικής. Το πρόβλημα γίνεται μεγαλύτερο, αν σε αυτό προσθέσουμε την απουσία μίας εθνικής βάσης δεδομένων για τις κρίσιμες υποδομές, κάτι που σχετίζεται και με την χαρακτηριστική καθυστέρηση του ορισμού τους, με κάποιες εξαιρέσεις στους τομείς της ενέργειας και των μεταφορών.
Στην Ελλάδα υπάρχουν διαχρονικές ελλείψεις και προβλήματα στον σχεδιασμό μίας ολιστικής πολιτικής. […] Ο ψηφιακός τομέας είναι ο μόνος που έχει κάνει σημαντικά βήματα προς τη δημιουργία ενός συνολικού πλαισίου προστασίας. Σε αυτό συμβάλλουν ο χαρακτηρισμός των ψηφιακών κρίσιμων υποδομών, αλλά και η εκπόνηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, η οποία ήταν και βασικό προαπαιτούμενο της Οδηγίας NIS.
Ο ψηφιακός τομέας είναι ο μόνος που έχει κάνει σημαντικά βήματα προς τη δημιουργία ενός συνολικού πλαισίου προστασίας. Σε αυτό συμβάλλουν ο χαρακτηρισμός των ψηφιακών κρίσιμων υποδομών, αλλά και η εκπόνηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, η οποία ήταν και βασικό προαπαιτούμενο της Οδηγίας NIS.
Υπάρχουν τρεις δομικές παθογένειες για την ασφάλεια των κρίσιμων υποδομών στην Ελλάδα:
α) Ο κατακερματισμός της πολιτικής εσωτερικής ασφάλειας, μιας και σε αυτή ως υποσύνολο εντάσσεται η ασφάλεια των υποδομών, μεταξύ διαφορετικών υπουργείων και υπηρεσιών. Μία οριζόντια πολιτική, όπως αυτή της προστασίας των κρίσιμων υποδομών, συναντά σημαντικές δυσκολίες, σε ένα δαιδαλώδες σύστημα δημόσιας διοίκησης, όπως είναι το ελληνικό. Αξίζει αναφοράς πως μόνο σε επίπεδο βασικών παρόχων ασφάλειας εμπλέκονται τέσσερα διαφορετικά Υπουργεία (Προστασίας του Πολίτη, Πολιτικής Προστασίας και Κλιματικής Κρίσης, Ψηφιακής Διακυβέρνησης, Ναυτιλίας και Νησιωτικής Πολιτικής), καθώς και το Υπουργείο Εθνικής Άμυνας και η Ε.Υ.Π.
Σχήμα 4: Τα Υπουργεία που εμπλέκονται στο σχεδιασμό πολιτικής για τις κρίσιμες υποδομές
β) Η προβληματική συνεργασία μεταξύ δημοσίου και ιδιωτικού τομέα. Τις περισσότερες κρίσιμες υποδομές τις λειτουργούν ιδιωτικές εταιρείες, οι οποίες έχουν τον δικό τους σχεδιασμό ασφάλειας. Το πρόβλημα ξεκινά από το γεγονός ότι το δημόσιο δεν έχει ένα ολοκληρωμένο πλαίσιο και συγκεκριμένα standards, τα οποία θα πρέπει να ακολουθεί ο λειτουργός της υποδομής, είτε είναι δημόσιος, είτε ιδιωτικός.
γ) Απουσία κουλτούρας ασφάλειας από το ανθρώπινο δυναμικό που τρέχει στην καθημερινότητα τις κρίσιμες υποδομές. Οι λόγοι αυτής της παθογένειας πολλοί, από τις στρεβλώσεις του συνδικαλισμού, από τα πολιτισμικά τραύματα για την έννοια της ασφάλειας έως και την απροθυμία των διοικητικών στελεχών να επενδύσουν στην ευαισθητοποίηση του προσωπικού σε ζητήματα ασφάλειας και προστασίας. Εδώ πρέπει να προσθέσουμε και μία διάσταση άρνησης στην αξιοποίηση της τεχνολογίας, που πολλές φορές εσφαλμένα συνδέεται με πιθανές απολύσεις ανθρωπίνου δυναμικού.
Προβλήματα, όμως, υπάρχουν και στη μεγάλη εικόνα. Ο σχεδιασμός ασφάλειας της Ελλάδας βασίζονταν για πολλά χρόνια σε αυτόν των Ολυμπιακών Αγώνων. Όμως ο κόσμος άλλαξε πολλές φορές από τότε και η τεχνολογία έκανε κυριολεκτικά άλματα. Δεν είναι τυχαίο πως, μέχρι το 2020, η Ελλάδα δεν είχε εθνικό μηχανισμό διαχείρισης κρίσεων και καταστροφών. Πρέπει εδώ να προσθέσουμε και δύο δομικά προβλήματα του σχεδιασμού. Το πρώτο είναι η μη αξιοποίηση των μελλοντικών τάσεων. Ο σχεδιασμός ασφάλειας δεν μπορεί να ακολουθεί τις απειλές και τους κινδύνους, αλλά να προσπαθεί να τους προβλέψει ώστε να κινηθεί εμπροσθοβαρώς (Foresight Led Planning). Το δεύτερο είναι η μη επένδυση στην ανάδειξη των τρωτοτήτων. Επιτυχής σχεδιασμός σημαίνει εντοπισμός τρωτοτήτων και θωράκισή τους.
Προτάσεις Πολιτικής
Η μεγάλη όμως μεταρρύθμιση είναι ο καθορισμός προδιαγραφών ασφάλειας σε όλες τις κρίσιμες υποδομές και ο έλεγχος εφαρμογής τους. Δεν υπάρχει άλλος δρόμος για να περιορίσουμε τις πιθανότητες ατυχημάτων και τις επιπτώσεις των καταστροφών.
Το ζητούμενο της εποχής μας είναι η ανθεκτικότητα. Το αποδεικνύουν κάθε μέρα οι κρίσεις που αντιμετωπίζουμε. Η Ελλάδα ως μία χώρα που έχει έντονη την αίσθηση της εξωτερικής απειλής, πρέπει να επενδύσει και άλλο στον τομέα της προστασίας. Η δημιουργία του μηχανισμού Διαχείρισης Κρίσεων και Αντιμετώπισης Κινδύνων και του αυτόνομου Υπουργείου Κλιματικής Κρίσης και Πολιτικής Προστασίας είναι δύο σημαντικά βήματα, τα οποία συνέβαλαν δομικά στην αναβάθμιση των δυνατοτήτων ανταπόκρισης. Η μεγάλη όμως μεταρρύθμιση είναι ο καθορισμός προδιαγραφών ασφάλειας σε όλες τις κρίσιμες υποδομές και ο έλεγχος εφαρμογής τους. Δεν υπάρχει άλλος δρόμος για να περιορίσουμε τις πιθανότητες ατυχημάτων και τις επιπτώσεις των καταστροφών. Σε αυτή την κατεύθυνση κινούνται και οι ακόλουθες προτάσεις πολιτικής:
- Ενίσχυση του ρόλου του Επιτελικού Κράτους στη λογική διαμόρφωσης μιας οριζόντιας και κάθετης διαδικασίας διακυβέρνησης ασφάλειας.
- Εκπόνηση Εθνικής Στρατηγικής για την ασφάλεια και την προστασία των κρίσιμων οντοτήτων, η οποία θα συμβαδίζει με τις τελικές προβλέψεις της Οδηγίας CER.
- Καθορισμός ενός φορέα που θα έχει την ευθύνη παρακολούθησης και ελέγχου της πολιτικής προστασίας των κρίσιμων υποδομών.
- Καθορισμός των εθνικών κρίσιμων υποδομών ανά τομέα ακολουθώντας τη λογική της Οδηγίας CER.
- Δημιουργία ψηφιακής εθνικής βάσης κρίσιμων υποδομών.
- Καθορισμός εθνικών standards ασφάλειας υποδομών και διαδικασιών ελέγχου και πιστοποίησης της εφαρμογής τους.
- Έλεγχος των Σχεδίων και των διαδικασιών ασφάλειας των κρίσιμων υποδομών.
- Συχνές εκπαιδεύσεις του προσωπικού που απασχολείται σε κρίσιμες υποδομές.
- Αναζήτηση και υιοθέτηση βέλτιστων πρακτικών για την ασφάλεια των κρίσιμων υποδομών.
- Συνέργειες με την ακαδημαϊκή και την ερευνητική κοινότητα, τόσο για την ανάδειξη μελλοντικών τάσεων, όσο και για τον καλύτερο σχεδιασμό ασφάλειας.
- Αξιοποίηση μεθοδολογιών foresight για τις μελέτες επικινδυνότητας.
- Χρήση νέων τεχνολογικών εργαλείων και συστημάτων έγκαιρης προειδοποίησης για την ενίσχυση της ασφάλειας και την αποτροπή των κινδύνων.
- Ενδυνάμωση των διαδικασιών διαλειτουργικότητας και συνδεσιμότητας των Κέντρων Ελέγχου και Επιχειρήσεων των Κρίσιμων Υποδομών με τα Συντονιστικά Κέντρα Επιχειρήσεων της Ελληνικής Αστυνομίας και της Γενικής Γραμματείας Πολιτικής Προστασίας.
- Ενίσχυση των συνεργειών δημοσίου και ιδιωτικού τομέα.
[1] Εργαστήριο Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, Οικονομικό Πανεπιστήμιο Αθηνών, Ολιστική Προστασία Κρίσιμων Υποδομών: Ανθεκτικότητα και Προστασία Διασυνδέσεων, διαΝΕΟσις, Ιούνιος 2016. https://www.dianeosis.org/2016/06/critical_infrastructure_synopsis/
[2] Ως «απειλή εκ των έσω» αναφέρεται η πιθανότητα ένας εργαζόμενος σε μία κρίσιμη υποδομή να προχωρήσει σε δολιοφθορά ή ενέργειες όπως το σαμποτάζ, τρομοκρατική επίθεση ή εγκληματική δραστηριότητα κατά της υποδομής.