Recommendations for Cyber Security

The Greek Cybecrime Center published its Guide to Cyber Security, on December, 1st, 2015. The Guide is available at: http://www.cybercc.gr/m/GCC_POLICY_RECOMMENDATIONS_FOR_CYBER_SECURITY.pdf

The Guide includes a Legal Component and the most important Security Principles, as well as Advices on Security, and Gaps and Recommendations for Policy Makers.

Some information on the Greek Cybercrime Center:

The Greek Cybercrime Center (www.cybercc.gr), provided a first step in the following fields:  LEA Information and Training. The Consortium organized three 2-day seminars where Law Enforcement Agencies, judicial authorities and industry employees took part. Divided to parallel sessions, the attendees had the opportunity to choose the topic they were interested in and learn more about how to address an incident of cybercrime not only in theory but also in practice. In the seminars speakers from core scientific organizations of cybercrime, such as ENISA, Cyber Crime Unit of the Greek Police, Law School of University of Athens, Europol, Democritus University of Thrace, EC3, Hellenic Data Protection Authority, Hellenic Ministry of the Interior, Hellenic Telecommunications Organizations, ISACA, etc. were invited. Therefore, expertise from academia, LEA, industry could be combined.  Research. The Consortium carried out research which was focused (i) on monitoring and detecting infected machines and (ii) on social forensics. Additionally, GCC through the publications in Journals and Conferences and presentations in Conferences contributed in the field of information security.  Education at the University Level. At Law School of Aristotle University of Thessaloniki, a new course title “Legal Aspects of Cybercrime” was added in the list of modules. The module referred to crimes that occur in cyberspace and the legal framework that is currently in place. At the national level, the Greek Cybercrime Center empowered its constituency through periodic advisory board meetings. Representatives from LEA, judicial authorities, ISPs, industry, independent governmental authorities participated and shared views and experiences with other bodies/authorities. At the international level, the Center is part of a European-wide activity to create a network of similar Centers of Excellence that will facilitate sharing of expertise and best practices. By publishing this guide, the Center hopes to contribute in raising awareness in the area of cybercrime and to identify gaps and recommendations at the policy level that can make the Internet a Safer Place for personal and professional use.

Ασφάλεια Συστημάτων Πληροφορικής και Δικτύων στην Ελλάδα


Στη Χώρα μας,μέτρα για ασφάλεια συστημάτων πληροφορικής και δικτύων προβλέπονται, σήμερα, μόνο σε σχέση με την προστασία προσωπικών δεδομένων και την προστασία του απορρήτου της επικοινωνίας. Ειδικότερα, σχετικές διατάξεις υφίστανται στο Ν. 2472/1997 και τον Ν. 3471/2006.
   Καταρχήν, στο Ν.2472/1997 (άρθρο 10 παρ. 3) που διέπει την προστασία προσωπικών δεδομένων, γενικά προβλέπεται η υποχρέωση του υπεύθυνου επεξεργασίας να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Σύμφωνα με την ίδια διάταξη, αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
   Παραπέρα, στο Ν.3471/2006, ο οποίος βρίσκει εφαρμογή κατά την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της παροχής υπηρεσιών ηλεκτρονικών επικοινωνιών, προβλέπεται ότι «ο φορέας παροχής διαθεσίµων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαµβάνει τα ενδεδειγµένα τεχνικά και οργανωτικά µέτρα, προκειµένου να προστατεύεται η ασφάλεια των υπηρεσιών του, καθώς και η ασφάλεια του δηµοσίου δικτύου ηλεκτρονικών επικοινωνιών. Τα µέτρα αυτά, εφόσον είναι αναγκαίο, λαµβάνονται από κοινού µε τον φορέα παροχής του δηµοσίου δικτύου ηλεκτρονικών επικοινωνιών, πρέπει δε να εγγυώνται επίπεδο ασφαλείας ανάλογο προς τον υπάρχοντα κίνδυνο, λαµβανοµένων υπόψη αφ’ ενός των πλέον προσφάτων τεχνικών δυνατοτήτων αφ’ ετέρου δε του κόστους εφαρµογής τους» (άρθρο 12 παρ. 1).
Πιο ειδικά, στην περίπτωση που υφίσταται ιδιαίτερος κίνδυνος παραβίασης της ασφάλειας του δηµοσίου δικτύου ηλεκτρονικών επικοινωνιών, ο φορέας που παρέχει διαθέσιµη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών οφείλει να ενηµερώσει τους συνδροµητές. Εφόσον ο κίνδυνος αυτός είναι εκτός του πεδίου των µέτρων που οφείλει να λαµβάνει ο πάροχος της υπηρεσίας, ο φορέας έχει την υποχρέωση να ενηµερώνει τους συνδροµητές και για όλες τις δυνατότητες αποτροπής του κινδύνου, καθώς και για το αναµενόµενο κόστος.
Σχετικές ρυθμίσεις προβλέπονται και στο Ν. 4070/2012 όσον αφορά την ασφάλεια και την ακεραιότητα δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών. Ειδικότερα, σύμφωνα με το άρθρο 37 παρ. 1 του νόμου, «οι επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό λαμβάνουν πρόσφορα τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά στην ασφάλεια των δικτύων και υπηρεσιών. Τα μέτρα αυτά, λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υφιστάμενο κίνδυνο. Οι επιχειρήσεις αυτές λαμβάνουν ιδίως μέτρα για την αποτροπή και ελαχιστοποίηση των επιπτώσεων από περιστατικά ασφαλείας που επηρεάζουν τους χρήστες και τα διασυνδεμένα δίκτυα». Σημαντικό είναι ότι, σύμφωνα με άλλη διάταξη του ίδιου νόμου (άρθρο 37 παρ. 4), κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών, πρέπει να κοινοποιείται από τις επιχειρήσεις που παρέχουν πρόσβαση σε δίκτυα ή υπηρεσίες ηλεκτρονικών επικοινωνιών στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.), η οποία με τη σειρά της κοινοποιεί κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.), η οποία ενημερώνει τις αρμόδιες εθνικές αρχές σε άλλα κράτη μέλη της ΕΕ και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), όπως, ενδεχομένως και το κοινό.
Οι ρυθμίσεις της νομοθεσίας για τα προσωπικά δεδομένα και τις ηλεκτρονικές επικοινωνίες έχουν, ωστόσο, περιορισμένο πεδίο εφαρμογής και, ως εκ τούτου, εύλογα γίνεται η διαπίστωση ότι υφίσταται ρυθμιστικό έλλειμμα σε ό,τι αφορά την προστασία από τους κινδύνους και τις απειλές για την ασφάλεια των συστημάτων και των δικτύων πληροφορικής, στη Χώρα μας.
Για την αντιμετώπιση των σχετικών κινδύνων απαιτείται συντονισμένη προσπάθεια και ειδικότερα, η κατάρτιση εθνικής στρατηγικής κυβερνοασφάλειας και η θέσπιση μέτρων ασφάλειας δικτύων και πληροφοριών, όπως και αντιμετώπισης κινδύνων που να εμπλέκουν όλους τους φορείς, δηλ. τις δημόσιες αρχές, τους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας και τους ιδιώτες που παρέχουν υπηρεσίες της κοινωνίας της πληροφορίας.
Αξίζει να σημειωθεί ότι και στη Χώρα μας έχει συνταχθεί προσχέδιο Εθνικής Στρατηγικής Κυβερνοασφάλειας που προβλέπει μέτρα, ανάλογα με όσα προβλέπονται και σε αντίστοιχα ρυθμιστικά κείμενα της αλλοδαπής. Σε αυτό προβλέπονται ως στρατηγικές κατευθύνσεις: α) η δημιουργία ενός ασφαλούς, ανθεκτικού και αξιόπιστου διαδικτυακού περιβάλλοντος όπου θα διασφαλίζεται η ακεραιότητα, διαθεσιμότητα και η εμπιστευτικότητα της διακινούμενης πληροφορίας, β) η ανάδειξη της κυβερνοασφάλειας ως θέματος κοινού ενδιαφέροντος και υπευθυνότητας όλων των εμπλεκόμενων φορέων, δημόσιων και ιδιωτικών, γ) η ευαισθητοποίηση του πληθυσμού για την ευθύνη καθενός εντός του κυβερνοχώρου και δ) η δραστηριοποίηση της Ελληνικής Δημοκρατίας σε διεθνές επίπεδο και ειδικότερα μέσω της ανταλλαγής πληροφοριών, της διαμόρφωσης διεθνών στρατηγικών, της ανάπτυξης και υιοθέτησης κανονισμών, της συμμετοχής σε κοινές ασκήσεις και την ανάληψη πρωτοβουλιών ή κοινών έργων με άλλες χώρες. Ιδιαίτερα σημαντικό είναι ότι προβλέπεται η δημιουργία Εθνικής Αρχής Κυβερνοασφάλειας, με διευρυμένες αρμοδιότητες και με διοικητική και επιχειρησιακή δομή ανάλογη με ένα εθνικό κέντρο αντιμετώπισης έκτακτων περιστατικών ασφάλειας (CERT). H Aρχή αυτή θα φέρει την ευθύνη υλοποίησης της Εθνικής Στρατηγικής και θα παρακολουθεί, συντονίζει και αξιολογεί το έργο των εμπλεκόμενων φορέων με σκοπό την υλοποίηση της Εθνικής Στρατηγικής.  
Βεβαίως, πρέπει να αναφερθεί ότι ήδη λειτουργεί στη Χώρα μας, η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) – στο πλαίσιο της Εθνικής Υπηρεσίας Πληροφοριών –, η οποία   έχει ως αποστολή να μεριμνά για την πρόληψη και τη στατική και ενεργητική αντιμετώπιση ηλεκτρονικών επιθέσεων κατά δικτύων επικοινωνιών, εγκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής, καθώς και για τη συλλογή, την επεξεργασία δεδομένων και την ενημέρωση των αρμόδιων φορέων[1]. Η αρμοδιότητά της, ωστόσο, είναι περιορισμένη, καθ’ όσον αφορά μόνο τις ηλεκτρονικές απειλές προς τον Δημόσιο τομέα και τις κρίσιμες υποδομές της χώρας.
Σε επίπεδο Ευρωπαϊκής Ένωσης, έχουν ληφθεί μεμονωμένα νομοθετικά μέτρα για την αντιμετώπιση του ηλεκτρονικού εγκλήματος με πιο πρόσφατη, την οδηγία 2013/40/EE για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου.
 Στις 7.2.2013 κατατέθηκε από την Ευρωπαϊκή Επιτροπή Πρόταση Οδηγίας σχετικά με την εξασφάλιση κοινού υψηλού επιπέδου ασφάλειας δικτύωνκαι πληροφοριών, η οποία αναμένεται να εγκριθεί σύντομα και η οποία θα αποτελέσει ορόσημο για την αντιμετώπιση των σύγχρονων προκλήσεων στο ζήτημα της Κυβερνοασφάλειας.
Ειδικότερα, η ψήφιση της οδηγίας θα επιφέρει βελτίωση της ασφάλειας του διαδικτύου και των ιδιωτικών δικτύων και συστημάτων πληροφοριών που υποστηρίζουν τη λειτουργία των Ευρωπαϊκών κοινωνιών και των οικονομιών. Οι στόχοι αυτοί θα επιτευχθούν απαιτώντας από τα κράτη μέλη της ΕΕ να αυξήσουν την ετοιμότητά τους, να βελτιώσουν τη μεταξύ τους συνεργασία, και ζητώντας από τους φορείς εκμετάλλευσης των υποδομών ζωτικής σημασίας, όπως είναι η ενέργεια, οι μεταφορές, καθώς και από τους βασικούς παρόχους υπηρεσιών της κοινωνίας της πληροφορίας (πλατφόρμες ηλεκτρονικού εμπορίου, κοινωνικά δίκτυα κλπ), όπως και από τις δημόσιες διοικήσεις να θεσπίσουν κατάλληλα μέτρα για τη διαχείριση των κινδύνων για την ασφάλεια και να αναφέρουν τα σοβαρά συμβάντα στις αρμόδιες εθνικές αρχές. Η οδηγία είναι μέτρο ελάχιστης εναρμόνισης και αυτό σημαίνει ότι τα κράτη μέλη μπορούν να λάβουν μέτρα που να εξασφαλίζουν υψηλότερο επίπεδο ασφαλείας.
Μεταξύ των άλλων, προβλέπεται στο σχέδιο οδηγίας, κατά πρώτον, η κατάρτιση Εθνικής στρατηγικής για την ασφάλεια δικτύων και πληροφοριών και εθνικό σχέδιο συνεργασίας για την ασφάλεια δικτύων και πληροφοριών. Κατά δεύτερον, προβλέπεται η δημιουργία αρμόδιας εθνικής αρχής για την ασφάλεια των συστημάτων δικτύων και πληροφοριών, αλλά και η κατάρτιση ομάδας αντιμετώπισης έκτακτων αναγκών στην πληροφορική (“CERT”) που θα είναι υπεύθυνη για τον χειρισμό συμβάντων και κινδύνων. Περαιτέρω, ρυθμίζονται ζητήματα συνεργασίας μεταξύ αρμόδιων αρχών, στο πλαίσιο της οποίας προβλέπεται η δημιουργία δικτύου συνεργασίας και ενός ασφαλούς συστήματος ανταλλαγής πληροφοριών, η παροχή έγκαιρων ειδοποιήσεων κοκ. Ιδιαίτερα σημαντικές είναι οι ουσιαστικού δικαίου ρυθμίσεις (στο κεφάλαιο IV), όπου θεσπίζονται οι απαιτήσεις ασφάλειας που αφορούν τη δημόσια διοίκηση και τους φορείς της αγοράς κλπ. Τέλος, προβλέπεται η θέσπιση κυρώσεων σε περίπτωση παραβίασης των εθνικών διατάξεων που θεσπίζονται κατ’ εφαρμογή της οδηγίας, οι οποίες πρέπει να είναι ουσιαστικές, αναλογικές και αποτρεπτικές.




The draft EU Cybersecurity Directive


On February 2013, the EU Commission presented the Proposal for a Directive concerning measures to ensure a high common level of network and information security across the Union (COM(2013) 48 final.

The aim of the proposed Directive is to ensure a high common level of network and informationsecurity (NIS) across the EU. Ensuring NIS is vital to boost trust and to the smooth functioning of the EU internal market. Regulatory obligations are required to create a level playing field and close existing legislative loopholes.
According to this proposal:
·        Member States will have to put in place a minimum level of national capabilities by establishing NIS national competent authorities, by setting up well-functioning Computer Emergency Response Teams (CERTs), and by adopting national NIS strategies and national NIS cooperation plans;
·        NISnational competent authorities will have to exchange information and to cooperate so as to counter NISthreats and incidents;
·        operators of critical infrastructure (such as energy, transport, banking, stock exchange, healthcare), key Internet enablers (e-commerce platforms, social networks, etc) and public administrations will be required to assess the risks they face and to adopt appropriate and proportionate measures to ensure NIS. These entities will also be required to report to competent authorities incidents with a significant impact on core services provided.
On 13 March 2014 the European Parliament adopted its report on the proposed Directive, in which it made amendments to the Commission’s text, such as:
·        the removal of “public administrations” and “internet enablers” (e.g. e-commerce platforms or application stores) from the scope of key compliance obligations;
·        the exclusion of software developers and hardware manufacturers;
·        the inclusion of a number of parameters to be considered by market operators to determine the significance of incidents and thus whether they must be reported to the NCA;
·        the enabling of Member States to designate more than one NCA;
·        the expansion of the concept of “damage” to include non-intentional force majeure damage;
·        the expansion of the list of critical infrastructure to include, for example, freight auxiliary services; and
·        the reduction of the burden on market operators including that they would be given the right to be heard or anonymised before any public disclosure and sanctions would only apply if they intentionally failed to comply or were grossly negligent.
Consequently, the Directive was disucssed bu the Council in May-October 2014 and thenthe Commission, Parliament and Council started talks, but without an agreement.
Although there is political desire to adopt the Directive, its adoption is still pending.

See also: A. de Gaye/M. Brown, Progress update on the draft EU Cybersecurity Directive,