Σε έναν κόσμο όπου οι κυβερνοεπιθέσεις αποτελούν καθημερινή απειλή, η κυβερνοασφάλεια έχει αναδειχθεί σε κορυφαία προτεραιότητα για κυβερνήσεις, επιχειρήσεις αλλά και για τους απλούς πολίτες. Οι έλεγχοι ωριμότητας κυβερνοασφάλειας παίζουν έναν κρίσιμο ρόλο στην αξιολόγηση της ανθεκτικότητας ενός οργανισμού απέναντι σε κυβερνοεπιθέσεις και στην εντοπισμό αδυναμιών και ευάλωτων σημείων που πρέπει να αντιμετωπιστούν.

Η νέα νομοθεσία της Αρχής Ψηφιακής Ασφάλειας Κ.Δ.Π. 245/2024 «Έλεγχοι Ωριμότητας Κυβερνοασφάλειας» αποτελεί ένα σημαντικό ορόσημο για την ενίσχυση της κυβερνοασφάλειας στην Κύπρο. Η νέα αυτή απόφαση αποτελεί, κατά κάποιον τρόπο, την εξέλιξη και περισσότερο λεπτομερή ρύθμιση της προηγούμενης απόφασης Κ.Δ.Π. 389/2020 «Μέτρα Ασφάλειας Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών και Φορέων Κρίσιμων Υποδομών Πληροφοριών», όπου καθορίζει τις βασικές υποχρεώσεις των οργανισμών που ταυτοποιήθηκαν ως κρίσιμες υποδομές του Κράτους, μετά από μελέτη ανάλυσης κρισιμότητας στις παρεχόμενες υπηρεσίες τους και τις επιπτώσεις που θα είχε στο Κράτος και στην κοινωνία μας η μη διαθεσιμότητά τους.

Οι έλεγχοι ωριμότητας κυβερνοασφάλειας παρέχουν ένα ολοκληρωμένο πλαίσιο ελέγχων για αξιολόγηση του οργανισμού έναντι των μέτρων ασφαλείας που έχουν καθοριστεί στην Απόφαση Κ.Δ.Π. 389/2020. Το πλαίσιο αυτό περιλαμβάνει, μεταξύ άλλων, την αξιολόγηση πολιτικών και διαδικασιών, αξιολόγηση και χρήση της τεχνολογικής υποδομής, την αξιολόγηση του ανθρώπινου δυναμικού και της εκπαίδευσης που τυγχάνει σε θέματα κυβερνοασφάλειας αλλά και την ενεργή υποστήριξη της ανώτατης διοίκησης του οργανισμού στα θέματα αυτά.

Φυσικά, η διενέργεια των ελέγχων συνοδεύεται από μια σειρά προκλήσεων για τους οργανισμούς, ανάλογα με τον κλάδο που δραστηριοποιούνται, το μέγεθος τους, το ανθρώπινο δυναμικό που απασχολούν αλλά και τις τεχνολογικές υποδομές του.

Οι πιο συχνές προκλήσεις είναι ο χρόνος διεκπεραίωσης του ελέγχου, η έλλειψη εξειδικευμένου προσωπικού αλλά και η πολύπλοκη διαδικασία του ελέγχου σε περιβάλλοντα όπου υπάρχει ποικιλομορφία τεχνολογιών, συνδυασμός IT και OT συστημάτων και εφαρμογών. Επιπρόσθετα, μέσω των αποτελεσμάτων του ελέγχου, υπάρχει η πιθανότητα να εντοπιστεί μη συμμόρφωση με τις νομοθετικές υποχρεώσεις του εκάστοτε οργανισμού, κάτι που θα φέρει σε δύσκολη θέση τον οργανισμό και την διοίκηση του.

Αυτό που πρέπει να γίνει όμως αντιληπτό είναι ότι, η διενέργεια ελέγχων ωριμότητας κυβερνοασφάλειας δεν έχει ως πρωταρχικό στόχο την επιβολή προστίμων, αλλά την προαγωγή της κυβερνοασφάλειας και την προστασία των οργανισμών από κυβερνοεπιθέσεις, γεγονός που επιβεβαιώνεται μέσω στατιστικών στοιχείων από έρευνες.
Αυτές οι έρευνες δείχνουν ότι οι οργανισμοί που διενεργούν τακτικούς ελέγχους και εφαρμόζουν τις απαραίτητες βελτιώσεις και εισηγήσεις:

  • Είναι λιγότερο πιθανό να πέσουν θύματα κυβερνοεπιθέσεων, και σε περίπτωση που συμβεί αυτό, είναι σε θέση να αντιμετωπίσουν τις απειλές πολύ πιο γρήγορα και αποτελεσματικά.
  • Έχουν μικρότερες οικονομικές απώλειες σε περίπτωση περιστατικών, καθώς έχουν λάβει ήδη μέτρα για μετριασμό της επίπτωσης από ένα περιστατικό.

Σκοπός της Αρχής Ψηφιακής Ασφάλειας, μέσω της νέας απόφασης Κ.Δ.Π. 245/2024 «Έλεγχοι Ωριμότητας Κυβερνοασφάλειας», είναι η αξιολόγηση της τρέχουσας κατάστασης κυβερνοασφάλειας στις κρίσιμες υποδομές του Κράτους και ο εντοπισμός σημαντικών κενών ασφαλείας, μέσω των αποτελεσμάτων των ελέγχων. Επιπρόσθετα, μέσα από αυτά τα αποτελέσματα θα προσδιοριστούν τομείς που χρειάζονται περαιτέρω στήριξη και ενίσχυση και θα βοηθήσει στην προτεραιοποίηση δράσεων με στόχο την βελτίωση της ανθεκτικότητας και μείωσης των κινδύνων και συνεπειών, έναντι των αυξανόμενων και πιο έξυπνων κυβερνοεπιθέσεων. Επιπλέον, η απόφαση Κ.Δ.Π. 245/2024 μπορεί να χρησιμεύσει ως οδηγός, για τις κρίσιμες υποδομές του Κράτους και όχι μόνο, προκειμένου να βελτιώσουν σταδιακά την κυβερνοασφάλεια τους.

Οι οργανισμοί που δεν επενδύουν στην κυβερνοασφάλεια και δεν διενεργούν τακτικούς ελέγχους, όχι μόνο θέτουν σε κίνδυνο τα δικά τους δεδομένα, τη φήμη τους στην αγορά και την εμπιστοσύνη των πελατών τους, αλλά μπορεί να βλάψουν τη διεθνή εικόνα του κράτους, να αποθαρρύνουν τις ξένες επενδύσεις και να θέσουν σε κίνδυνο και την εθνική ασφάλεια. Για το λόγο αυτό, η διενέργεια ελέγχων ωριμότητας κυβερνοασφάλειας δεν είναι απλώς μια επιλογή, είναι το κλειδί στην αξιολόγηση του επιπέδου ωριμότητας κυβερνοασφάλειας σε εθνικό επίπεδο και το εργαλείο για την ανάπτυξη αποτελεσματικών στρατηγικών για ενίσχυση της κυβερνοανθεκτικότητας του Κράτους.