Εθνική Στρατηγική Κυβερνοασφάλειας: Οι δράσεις της ΕΑΚ το 2024 και οι στόχοι για το 2025

Η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), μέσω των Γενικών Διευθύνσεων Επιχειρησιακού και Επιτελικού Σχεδιασμού, εργάζεται μεθοδικά και πολυεπίπεδα για την εδραίωση ενός ολοκληρωμένου εθνικού πλαισίου κυβερνοασφάλειας, αναγνωρίζοντας την ανάγκη για ένα ισχυρό, συντονισμένο και δυναμικό πλαίσιο ψηφιακής ανθεκτικότητας της χώρας.

Από την ενίσχυση της πρόληψης και προστασίας μέχρι τη διαχείριση περιστατικών και την επιχειρησιακή συνέχεια, η ΕΑΚ υλοποιεί στρατηγικές και δράσεις που διασφαλίζουν την ακεραιότητα των κρίσιμων ψηφιακών υποδομών, προάγοντας τη συνεχή εκπαίδευση και τη διεθνή συνεργασία και αλληλεπίδραση.

Υπό το πρίσμα αυτό, το 2024, η Γενική Διεύθυνση Επιχειρησιακού Σχεδιασμού εστίασε στην πρόληψη κυβερνοαπειλών, τη θωράκιση δικτύων και τη συνεργασία με διεθνείς φορείς.

Παράλληλα, η Γενική Διεύθυνση Επιτελικού Σχεδιασμού διαδραμάτισε καθοριστικό ρόλο στην ενσωμάτωση της Οδηγίας NIS2 την εθνική έννομη τάξη, την ενίσχυση της ρυθμιστικής συμμόρφωσης, τη διεθνή συνεργασία και τη συνεχή εκπαίδευση του προσωπικού.

Ακολουθούν επιγραμματικά οι εκθέσεις των δύο γενικών διευθύνσεων της ΕΑΚ για τα πεπραγμένα του 2024, αλλά και το όραμα και τους στόχους του 2025.

I. Γενική Διεύθυνση Επιχειρησιακού Σχεδιασμού της Εθνικής Αρχής Κυβερνοασφάλειας

Ενίσχυση του πλαισίου ελέγχου, οργανωτική ωρίμανση, διεθνή εκπροσώπηση και συμμετοχή σε ευρωπαϊκά έργα και ασκήσεις, αποτυπώνονται στο μακροσκελές πόνημα για τα πεπραγμένα του 2024 της Διεύθυνσης Επιχειρησιακού Σχεδιασμού της Εθνικής Αρχής Κυβερνοασφάλειας.

Συγκροτούμενη από τη Διεύθυνση Πρόληψης και Προστασίας (ΔΠΠ) και τη Διεύθυνση Επιχειρησιακής Συνέχειας (ΔΕΣ), η Διεύθυνση Επιχειρησιακού Σχεδιασμού της ΕΑΚ, θέτει τους στόχους και καθορίζει το όραμα και τις στρατηγικές σύμφωνα και με τις απαιτήσεις της NIS2 για το 2025.

Εστιάζοντας στην ενίσχυση της κυβερνοασφάλειας, την προστασία κρίσιμων υποδομών και τη συνεργασία με εθνικούς και διεθνείς φορείς για την αντιμετώπιση κυβερνοαπειλών, επιδεικνύει ένα σημαντικό, πολυδιάστατο έργο για το 2024.

H Διεύθυνση Επιχειρησιακού Σχεδιασμού της ΕΑΚ έχει ως κύριο στόχο την ανάπτυξη και εφαρμογή στρατηγικών και εργαλείων που θα επιτρέψουν την αποτελεσματική διαχείριση των κινδύνων, την αναβάθμιση των τεχνολογικών υποδομών στον τομέα της κυβερνοασφάλειας και τη συνεχιζόμενη εκπαίδευση του προσωπικού της ΕΑΚ αλλά και εμπλεκόμενων φορέων.

Συνοψίζοντας τις στρατηγικές κατευθύνσεις, οι δράσεις της Διεύθυνσης το 2024 εστίασαν στην πρόληψη, την έγκαιρη αναγνώριση ευπαθειών, τη συμμετοχή σε διακρατικές κυβερνοασκήσεις, τη θωράκιση κρίσιμων υποδομών και την επιχειρησιακή ωρίμανση με την εισαγωγή εργαλείων αξιολόγησης κινδύνων και ενημερωτικών πλατφορμών.

Ειδικότερα ανά Διεύθυνση:

I.Α. Διεύθυνση Πρόληψης και Προστασίας (ΔΠΠ)

Έχει ως αποστολή τη διαχείριση διακινδύνευσης, την εποπτεία φορέων, την έκδοση οδηγιών και την αναβάθμιση της ικανότητας πρόληψης και ανίχνευσης απειλών. Διαρθρώνεται σε τρία τμήματα: (α) Εποπτείας και Ελέγχου, (β) Ασφάλειας Λογισμικού και Αγαθών και (γ) Ασφάλειας Υποδομών – Δικτύου.

Κυριότερες δράσεις:
1. Εγχειρίδιο Ελέγχων Κυβερνοασφάλειας: Αναπτύχθηκε η πρώτη έκδοση, βασισμένη στο θεσμικό και κανονιστικό πλαίσιο της ΕΑΚ, προσδιορίζοντας τη μεθοδολογία για audits και ενσωματώνοντας οδηγίες ENISA και ΥΑ1027/2019. Κοινοποιήθηκε στη Διοίκηση και προγραμματίζεται νέα έκδοση ενόψει της NIS2.
2. Νέο πλαίσιο ελέγχων (Inspections/Audits): Συμμετοχή της ΔΠΠ στην ανάπτυξη νέου κανονιστικού πλαισίου ελέγχων, με ενεργό ρόλο σε ενημερωτικές ημερίδες.
3. Συνεργασία με Microsoft GSP: Αξιοποίηση πηγών CTI και διαχείριση ευπαθειών μέσω εξειδικευμένης πρόσβασης σε πλατφόρμες Microsoft.
4. Newsletter προς φορείς: Τακτική ηλεκτρονική αποστολή ενημερώσεων για ευπάθειες προϊόντων και προτεινόμενες ενέργειες. Υπό σχεδιασμό επέκταση σε πληροφορίες από NIST και MITRE.
5. Αναβάθμιση αδειών Microsoft E3 σε E5: Ενίσχυση των δυνατοτήτων ασφάλειας της ΕΑΚ με εκπαίδευση προσωπικού.
6. KPMG Risk Management Tool (KRM): Υλοποίηση εργαλείου αξιολόγησης κινδύνων βασισμένο σε διεθνή πρότυπα (ISO, NIST, GDPR). Ανάπτυξη BI dashboard και δοκιμές client-server υποδομής.
7. Cyber Europe 2024: Σχεδιασμός, οργάνωση και εκτέλεση της άσκησης ENISA. Η ΕΑΚ είχε ρόλο εθνικού συντονιστή και συμμετείχε ενεργά στην υποομάδα NLO και τα Task Forces GTF/STF. Πραγματοποιήθηκαν ενημερωτικές ημερίδες, Dry Runs και αξιολόγηση της συμμετοχής από την ΕΑΚ και συνεργαζόμενους φορείς.
8. Αναβάθμιση περιεχομένου ενημέρωσης για την ΕΑΚ στην ιστοσελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης: Παραγωγή περιεχομένου για έλεγχο συμμόρφωσης και υλικού σε infographics.
9. Συμμετοχές σε διεθνή Fora: Δράσεις σε ομάδες εργασίας 5G, WS16 (risk assessment), CAV και ENISA, καθώς και στο πλαίσιο της τετραμερούς συνεργασίας Ελλάδας, Κύπρου, Ισραήλ, ΗΠΑ.
10. Εκπαίδευση προσωπικού: Συμμετοχή σε προγράμματα του ΕΚΔΔΑ, ISACA (CISA/CISM) και ESDC, με έμφαση σε Pen Testing, Cybersecurity Risk Management και RangeForce.

I.B. Διεύθυνση Επιχειρησιακής Συνέχειας (ΔΕΣ)

Έχει ως αποστολή τη διαχείριση περιστατικών, τη συνεχή παρακολούθηση της λειτουργίας του ελληνικού κυβερνοχώρου και την προάσπιση της επιχειρησιακής συνέχειας κρίσιμων υπηρεσιών.

Κυριότερες δράσεις:
1. Προστασία Ιστοτόπων μέσω Akamai CDN: Υλοποιήθηκε πρωτοβουλία για την προστασία ιστοτόπων της κυβέρνησης από επιθέσεις DDoS.
2. Bitsight Rating: Αξιολόγηση κυβερνοασφάλειας φορέων και συνεχής παρακολούθηση επιπέδου κινδύνου.
3. Διαχείριση Περιστατικών & CVEs: Ανάπτυξη διαδικασιών απόκρισης και ενεργή παρακολούθηση τρωτοτήτων (Common Vulnerabilities and Exposures).
4. Πλατφόρμα CTI: Υλοποίηση και χρήση πλατφόρμας συλλογής και διαμοιρασμού CTI. Συμμετοχή σε δίκτυο CyCLONe.
5. Συμμετοχή σε έργα: – JCOP (joint cybersecurity operations) – ATHENA (cross-border συνεργασία) – GR-SME-SOC & EL-SOCs: Υλοποίηση λύσεων SOC για μικρομεσαίους οργανισμούς και τη δημόσια διοίκηση.

Συμπερασματικά, το 2024 χαρακτηρίστηκε από επιχειρησιακή εδραίωση, διεθνοποίηση, αναβάθμιση των ψηφιακών εργαλείων, και σταθερή ενίσχυση των ικανοτήτων της ΕΑΚ. Οι Διευθύνσεις Πρόληψης και Προστασίας και Επιχειρησιακής Συνέχειας συνέβαλαν στην ενίσχυση της ανθεκτικότητας της χώρας, μέσω στρατηγικών συνεργασιών με διεθνείς και ευρωπαϊκούς φορείς.

Στο όραμα του 2025 συγκαταλέγονται, η εμβάθυνση του θεσμικού πλαισίου (NIS2/Cyber Resilience Act), η περεταίρω αξιοποίηση των εργαλείων που δημιουργήθηκαν (KRM, CTI, Dashboard), η ενίσχυση των υποδομών και της ανταπόκρισης σε περιστατικά και η διαρκής επιμόρφωση και ενδυνάμωση των στελεχών με έμφαση σε hands-on εκπαιδευτικά περιβάλλοντα.

II. Γενική Διεύθυνση Επιτελικού Σχεδιασμού της Εθνικής Αρχής Κυβερνοασφάλειας

Στη διαμόρφωση του εθνικού πλαισίου κυβερνοασφάλειας ενσωματώνοντας επιτυχώς την Οδηγία NIS2 στην εθνική έννομη τάξη, στην ενίσχυση της ψηφιακής ετοιμότητας της δημόσιας διοίκησης και στην εδραίωση της διεθνούς παρουσίας της Ελλάδας στο πεδίο της ψηφιακής πολιτικής και ασφάλειας, συνέβαλε με το έργο της για το 2024, η Γενική Διεύθυνση Επιτελικού Σχεδιασμού της Εθνικής Αρχής Κυβερνοασφάλειας.

Η Διεύθυνση συγκροτείται από δύο βασικές επιχειρησιακές μονάδες: (α) τη Διεύθυνση Στρατηγικού Σχεδιασμού Κυβερνοασφάλειας και (β) τη Διεύθυνση Συντονισμού Φορέων.

Υλοποίησε ένα συνεκτικό και στρατηγικά ευθυγραμμισμένο πλαίσιο δράσεων, ενισχύοντας την ανθεκτικότητα της χώρας έναντι των κυβερνοαπειλών, προωθώντας τη διεθνή συνεργασία και ενισχύοντας την επιχειρησιακή και ρυθμιστική επάρκεια του εθνικού μηχανισμού κυβερνοασφάλειας.

Επιγραμματικά ανά Διεύθυνση αναπτύχθηκαν οι ακόλουθες δράσεις:

ΙΙ.Α. Διεύθυνση Στρατηγικού Σχεδιασμού Κυβερνοασφάλειας

Η Διεύθυνση απαρτίζεται -με βάση την παρούσα οργανωτική διάρθρωση- από τρία βασικά τμήματα:
• Τμήμα Στρατηγικού Σχεδιασμού
• Τμήμα Κανονιστικής Συμμόρφωσης
• Τμήμα Απαιτήσεων και Αρχιτεκτονικής Ασφάλειας

Το Τμήμα Στρατηγικού Σχεδιασμού είχε κομβικό ρόλο στην ανάπτυξη και παρακολούθηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, ενσωματώνοντας τις εξελίξεις του ευρωπαϊκού κανονιστικού πλαισίου. Ιδιαίτερη έμφαση δόθηκε:
– Στην υποστήριξη και λειτουργία του Εθνικού Κέντρου Συντονισμού (NCC-EL), το οποίο απέκτησε διαχειριστική επάρκεια, καθιστώντας το ικανό να διαχειρίζεται ευρωπαϊκά κονδύλια για έργα κυβερνοασφάλειας.
– Στην ανάπτυξη πλατφόρμας διαχείρισης και παρακολούθησης της Εθνικής Στρατηγικής Κυβερνοασφάλειας, με χρήση εργαλείων BI και αυτοματοποιημένων φορμών αναφοράς.
– Στην επιτυχή υποβολή προτάσεων σε ευρωπαϊκά χρηματοδοτικά προγράμματα (DEP), όπως τα έργα AKADIMOS, CADMUS και CURIUM, με αντικείμενα όπως η κατάρτιση επαγγελματιών, η συμμόρφωση με το Cyber Resilience Act και η ενίσχυση των δεξιοτήτων κυβερνοασφάλειας σε ΜΜΕ και δημόσιους οργανισμούς.
– Στη διαχείριση και υλοποίηση ως επικεφαλής των Κοινοπραξιών για τα έργα AKADIMOS και CADMUS. Ειδικότερα, το έργο AKADIMOS στοχεύει στην υποστήριξη της δημιουργίας και της αρχικής λειτουργίας της Ευρωπαϊκής Ακαδημίας Δεξιοτήτων στον χώρο της Κυβερνοασφάλειας (European Cybersecurity Skills Academy), ενώ το έργο CADMUS εντάσσεται στο ευρύτερο πλαίσιο της εμβληματικής ευρωπαϊκής πολιτικής για την αναβάθμιση των δεξιοτήτων στον τομέα της κυβερνοασφάλειας.

Το Τμήμα Κανονιστικής Συμμόρφωσης συνέβαλε καθοριστικά:
– Στη νομοτεχνική υποστήριξη για την ενσωμάτωση της Οδηγίας NIS2.
– Στην προετοιμασία πλήθους ρυθμιστικών παρεμβάσεων για την εφαρμογή του νέου θεσμικού πλαισίου.
– Στη συμμετοχή σε ευρωπαϊκές ομάδες της ENISA, ECCG, και ECCC, που διαμορφώνουν το ρυθμιστικό και πολιτικό περιβάλλον για την κυβερνοασφάλεια στην ΕΕ.

Το Τμήμα Απαιτήσεων και Αρχιτεκτονικής Ασφάλειας διαμόρφωσε:
– Το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας για κρίσιμες και σημαντικές οντότητες.
– Διαδικασίες αυτοαξιολόγησης για δημόσιους φορείς.
– Εξειδικευμένες τεχνικές οδηγίες και οδηγούς εφαρμογής.
– Συμμετοχή σε επιτόπιους ελέγχους και τεχνικές ομάδες NIS.

ΙΙ.Β. Διεύθυνση Συντονισμού Φορέων

Αποτελεί τον βασικό μηχανισμό διασύνδεσης της ΕΑΚ με φορείς της δημόσιας διοίκησης και οργανισμούς κρίσιμων υποδομών.
Περιλαμβάνει τα Τμήματα: (α) Συντονισμού CISO, (β) Εκπαίδευσης και Υποστήριξης και (γ) Διεθνών Συνεργασιών.

Το Τμήμα Συντονισμού Φορέων CISO προώθησε:
– Την επικαιροποίηση του Μητρώου CISO και την οργάνωση εκπαιδευτικών ασκήσεων (π.χ. ΠΑΝΟΠΤΗΣ).
– Τη συγγραφή και διάθεση του “CISO Handbook”.
– Την παροχή τεχνικών οδηγιών, πρότυπων εγγράφων και εργαλείων επικοινωνίας.
– Συμμετοχή σε ευρωπαϊκά έργα JCOP, PHOENI2X, SecAwarenessTruss.

Το Τμήμα Εκπαίδευσης και Υποστήριξης:
– Συντόνισε συνεργασίες με το ΠΑΠΕΙ, το ΕΚΔΔΑ και το Ελληνικό Κέντρο Ασφαλούς Διαδικτύου.
– Υλοποίησε το Εθνικό Πρόγραμμα Ευαισθητοποίησης και το πακέτο εκπαίδευσης για κοινωνική μηχανική.
– Παρήγαγε ενημερωτικό υλικό για εκπαιδευτικούς και στελέχη δημόσιων φορέων.

Το Τμήμα Διεθνών Θεμάτων και Συνεργασιών:
– Υπέγραψε μνημόνια συνεργασίας με Ισραήλ, Κύπρο, ΗΠΑ και Αυστρία.
– Ανέπτυξε τη συνεργασία στο σχήμα 3+1 στους τομείς ναυτιλίας και ενέργειας.
– Ανέδειξε τον ρόλο της ΕΑΚ μέσω συμμετοχής σε ENISA, ITU, και το Counter Ransomware Initiative.

Οι στρατηγικές προτεραιότητες της Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού για το 2025

Για το 2025 οι στρατηγικές προτεραιότητες της Γενικής Διεύθυνσης Επιτελικού Σχεδιασμού της ΕΑΚ περιλαμβάνουν την πλήρη εφαρμογή του Cyber Resilience Act και νέων ευρωπαϊκών πλαισίων, την ολοκλήρωση και αποδοτική αξιοποίηση των έργων που εγκρίθηκαν το 2024, την ανάπτυξη νέων πλατφορμών συνεργασίας με την τοπική αυτοδιοίκηση και τον ιδιωτικό τομέα και την ενδυνάμωση των μηχανισμών πρόληψης, αποτροπής και αποκατάστασης επιθέσεων μέσω της εδραίωσης της κυβερνοασφάλειας.

Οι στόχοι της ΕΑΚ για το 2025

Εν κατακλείδι η εθνική στρατηγική κυβερνοασφάλειας για την πενταετία 2020-2025 θέτει κρίσιμους παράγοντες επιτυχίας για την αποτελεσματική υλοποίησή της, όπως επαρκή στελέχωση, ενίσχυση του ρυθμιστικού πλαισίου, ευέλικτες συμπράξεις με τον ιδιωτικό τομέα, επαρκή χρηματοδότηση και κατάλληλο εξοπλισμό.

Ωστόσο, οι προκλήσεις για την Εθνική Αρχή Κυβερνοασφάλειας αυξάνονται συνεχώς. Τόσο η αυξανόμενη επίδραση της Τεχνητής Νοημοσύνης στον τομέα της κυβερνοασφάλειας, ιδίως σε επίπεδο απειλών, όσο και η ραγδαία χρήση των συσκευών ΙοΤ, δημιουργούν νέες ανάγκες αλλά και πολλές ευκαιρίες.

Για την αντιμετώπιση αυτών των προκλήσεων αλλά και την εκμετάλλευση τυχόν ευκαιριών, η ΕΑΚ προχωρά σε άμεσες ενέργειες με σκοπό τη θέσπιση νέου ρυθμιστικού πλαισίου, την αναβάθμιση της στελέχωσης με εξειδικευμένο προσωπικό, την εξασφάλιση κατάλληλης στέγασης και εξοπλισμού, καθώς και την καλύτερη διαχείριση της συνεργασίας με τον ιδιωτικό τομέα.

Στόχος της Εθνικής Αρχής Κυβερνοασφάλειας είναι η Ελλάδα να μπορέσει άμεσα να ανταποκριθεί στις ευρωπαϊκές υποχρεώσεις και τις αυξανόμενες προκλήσεις του ψηφιακού περιβάλλοντος.