Το Ινστιτούτο του Αλέξη Τσίπρα δημοσιεύει κείμενο παρέμβασης για την κυβερνοασφάλεια και την κυβερνοανθεκτικότητα στην Ελλάδα. Το κείμενο αποτυπώνει την κατάσταση της χώρας απέναντι στις σύγχρονες κυβερνοαπειλές και προτείνει συγκεκριμένες, μετρήσιμες και δημοσιονομικά ρεαλιστικές κατευθύνσεις πολιτικής για τη θωράκιση κρίσιμων λειτουργιών του κράτους, της οικονομίας και της κοινωνίας.
Η δημοσίευση έρχεται σε συγκυρία που καθιστά το ζήτημα επιτακτικά επίκαιρο. Η παραπλάνηση του Συμβούλου Εθνικής Ασφάλειας, Θάνου Ντόκου, κατέδειξε ότι στοιχειώδη πρωτόκολλα ασφαλούς επικοινωνίας δεν τηρήθηκαν στον πυρήνα του επιτελικού κράτους· και μάλιστα, όπως προκύπτει από τις περιγραφές των ίδιων των δραστών, χωρίς να απαιτηθεί καμία «προηγμένη τεχνολογία». Το περιστατικό επιβεβαιώνει την κεντρική διαπίστωση του κειμένου: η χώρα διαθέτει πλέον θεσμούς και κανόνες, όχι όμως αντίστοιχη επιχειρησιακή ετοιμότητα και λογοδοσία. Αυτό το κενό διακυβέρνησης έχει κόστος που άπτεται της εθνικής ασφάλειας και της διεθνούς αξιοπιστίας της χώρας.
Η εικόνα σε αριθμούς
Παρά τη σημαντική πρόοδο σε κανονιστικό και θεσμικό επίπεδο, η επιχειρησιακή ετοιμότητα παραμένει ανομοιογενής. Στην Ελλάδα:
- Το 35,73% των επιχειρήσεων εφαρμόζουν τουλάχιστον πέντε βασικά μέτρα ασφάλειας στις τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ), έναντι 55,74% στην ΕΕ.
- Το 6,2% των επιχειρήσεων ανέφερε κυβερνοεπιθέσεις που οδήγησαν σε μη διαθεσιμότητα υπηρεσιών ΤΠΕ, σχεδόν διπλάσιο ποσοστό από τον μέσο όρο της ΕΕ.
- Μόλις το 71,8% των επιχειρήσεων εφαρμόζει τουλάχιστον ένα μέτρο κυβερνοασφάλειας, έναντι 92,8% στην ΕΕ.
- Μόνο το 31,7% εκπαιδεύει συστηματικά το προσωπικό του, ποσοστό σχεδόν υποδιπλάσιο του ευρωπαϊκού μέσου όρου.
- Η Ελλάδα κατατάσσεται στην τελευταία θέση μεταξύ των κρατών-μελών ως προς την υιοθέτηση βασικών μέτρων κυβερνοασφάλειας από τις επιχειρήσεις.
Οι προτάσεις
Το κείμενο προτείνει την ανάπτυξη ενιαίου συστήματος επιχειρησιακής αποτίμησης και παρακολούθησης της κυβερνοανθεκτικότητας, με σαφή ελάχιστα επίπεδα ανθεκτικότητας, συγκρίσιμους δείκτες ωριμότητας και κοινά πρότυπα αξιολόγησης, καθώς και πέντε παρεμβάσεις άμεσου αντίκτυπου:
- Επιχειρησιακούς ελέγχους κυβερνοανθεκτικότητας σε κρίσιμους τομείς (Υγεία, Ενέργεια, Μεταφορές, Επικοινωνίες, Ύδρευση).
- Ενίσχυση του εξειδικευμένου ανθρώπινου δυναμικού στην Εθνική Αρχή Κυβερνοασφάλειας, σε κρίσιμους δημόσιους φορείς και στις περιφερειακές δομές.
- Υποστήριξη των μικρομεσαίων επιχειρήσεων μέσω εθνικής ψηφιακής πλατφόρμας με δωρεάν εργαλεία ανοικτού κώδικα, πρότυπα και εκπαίδευση.
- Διοικητική λογοδοσία και μετρήσιμη πρόοδο με σαφή κατανομή αρμοδιοτήτων και τακτική αποτίμηση αποτελεσμάτων.
- Συστηματοποίηση των ασκήσεων κυβερνοκρίσεων και ενσωμάτωση των συμπερασμάτων τους στον εθνικό σχεδιασμό.
Η κυβερνοανθεκτικότητα αναδεικνύεται σε ζήτημα εθνικής ασφάλειας και δημόσιου συμφέροντος, που απαιτεί συνεκτική δημόσια πολιτική, κεντρικό συντονισμό και ρητή διοικητική λογοδοσία.
Αναλυτικά το σχετικό κείμενο:
Η κυβερνοασφάλεια στην Ελλάδα έχει ενισχυθεί σε κανονιστικό και θεσμικό επίπεδο τα τελευταία χρόνια κυρίως μέσω της εναρμόνισης με το ευρωπαϊκό κανονιστικό πλαίσιο, της σύστασης της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ) και της διαμόρφωσης εθνικών στρατηγικών κατευθύνσεων. Παρά τη σημαντική αυτήν πρόοδο, η επιχειρησιακή ετοιμότητα παραμένει ανομοιογενής μεταξύ φορέων, διοικητικών επιπέδων και τεχνολογικών περιβαλλόντων. Το πραγματικό επίπεδο κυβερνοανθεκτικότητας της χώρας εξακολουθεί να καθορίζεται σε μεγάλο βαθμό από τις πιο ευάλωτες συνιστώσες του συστήματος, ιδίως στις μικρομεσαίες επιχειρήσεις (ΜΜΕ), στους περιφερειακούς φορείς και στα παραδοσιακά πληροφοριακά (IT) και επιχειρησιακά/βιομηχανικά συστήματα (OT/ICS).
Η βασική πρόκληση δεν αφορά πλέον τη θέσπιση κανόνων ή τη δημιουργία θεσμών, αλλά τη διασφάλιση ενός συνεκτικού και επιχειρησιακά αποτελεσματικού πλαισίου εφαρμογής. Η απόσταση μεταξύ θεσμικής πρόβλεψης και πραγματικής επιχειρησιακής ικανότητας συνιστά κρίσιμο κενό διακυβέρνησης (governance gap), το οποίο αυξάνει τον συστημικό κυβερνοκίνδυνο για την οικονομία, τη διοίκηση και τις κρίσιμες λειτουργίες της χώρας.
Σε ένα περιβάλλον σύνθετων και διαρκώς εντεινόμενων κυβερνοαπειλών, η κυβερνοανθεκτικότητα αποτελεί ζήτημα εθνικής ασφάλειας και δημόσιου συμφέροντος. Απαιτεί συνεκτική δημόσια πολιτική, κεντρικό συντονισμό, σαφείς μηχανισμούς εποπτείας και ρητή διοικητική λογοδοσία. Το παρόν κείμενο αναδεικνύει τις βασικές προκλήσεις εφαρμογής και προτείνει κατευθύνσεις δημόσιας παρέμβασης για τη μετάβαση από την τυπική συμμόρφωση σε ένα ενιαίο, εθνικά συντονισμένο και επιχειρησιακά μετρήσιμο μοντέλο κυβερνοανθεκτικότητας με στόχο τη μείωση του συστημικού κινδύνου και την ουσιαστική θωράκιση της χώρας.
1. Το περιβάλλον απειλών και το πλαίσιο κυβερνοανθεκτικότητας κρίσιμων οντοτήτων
Οι κυβερνοαπειλές αποτελούν πλέον διαρκή και δομικό παράγοντα κινδύνου για τη λειτουργία κρατικών δομών, κρίσιμων υποδομών και οικονομικών δραστηριοτήτων. Η αυξανόμενη εξάρτηση κρατών, οικονομιών και υποδομών από ψηφιακά συστήματα καθιστά ακόμη και ένα μεμονωμένο κυβερνοπεριστατικό δυνητικό παράγοντα ευρύτερης κρίσης. Πρόσφατα περιστατικά σε ευρωπαϊκές κρίσιμες υποδομές, όπως αεροδρόμια και δίκτυα ενέργειας, καταδεικνύουν ότι οι ψηφιακές αδυναμίες μπορούν να έχουν σοβαρές επιχειρησιακές και κοινωνικές συνέπειες.
Το κυβερνοέγκλημα εξελίσσεται σε μία από τις μεγαλύτερες οικονομικές απειλές παγκοσμίως. Διεθνείς αναλύσεις εκτιμούν το συνεχώς αυξανόμενο ετήσιο κόστος του σε επίπεδα αρκετών τρισεκατομμυρίων δολαρίων, συγκρίσιμο με τα ΑΕΠ μεγάλων οικονομιών, εφόσον συνυπολογιστούν οι άμεσες ζημίες, το κόστος αποκατάστασης συστημάτων, οι διακοπές κρίσιμων υπηρεσιών και οι ευρύτερες οικονομικές επιπτώσεις. Υπό αυτές τις συνθήκες, η κυβερνοασφάλεια συνδέεται άμεσα με τη θεσμική σταθερότητα, την οικονομική ανθεκτικότητα και την κοινωνική συνοχή.
Από το 2022 και μετά, η Ευρωπαϊκή Ένωση (ΕΕ) προσεγγίζει την προστασία των κρίσιμων λειτουργιών μέσα από το πρίσμα των υβριδικών απειλών, οι οποίες συνδυάζουν κυβερνοεπιθέσεις, φυσικές δολιοφθορές, παραπληροφόρηση, οικονομική πίεση και δράση προηγμένων επίμονων απειλών (Advanced Persistent Threats – APTs). Έτσι, μετατοπίζει το επίκεντρο από τη στενή έννοια της προστασίας προς την ανθεκτικότητα ήτοι, την ικανότητα πρόληψης, έγκαιρης αντίδρασης, απορρόφησης και ταχείας ανάκαμψης (επαναφοράς) από σοβαρά συμβάντα. Η διάσταση αυτή αποκτά ιδιαίτερη σημασία σε περιβάλλοντα διασυνδεδεμένων πληροφοριακών και επιχειρησιακών/βιομηχανικών συστημάτων (IT και OT/ICS) όπου ένα ψηφιακό περιστατικό μπορεί να έχει άμεσες φυσικές και λειτουργικές συνέπειες.
Το πλαίσιο αυτό καθιστά κρίσιμη τη συστηματική ενίσχυση της επιχειρησιακής κυβερνοανθεκτικότητας των κρίσιμων οντοτήτων, ιδίως σε ένα περιβάλλον αυξανόμενης πολυπλοκότητας και αλληλεξάρτησης συστημάτων.
1.2 Η κατάσταση στην Ελλάδα – Θεσμικό πλαίσιο και επιχειρησιακή εικόνα
Το κανονιστικό πλαίσιο κυβερνοασφάλειας και ανθεκτικότητας της Ελλάδας έχει ενισχυθεί σημαντικά τα τελευταία χρόνια κυρίως μέσω της εναρμόνισης με το ευρωπαϊκό πλαίσιο. Κεντρικό ρόλο διαδραματίζει η Οδηγία (ΕΕ) 2022/2555 (NIS2, ν. 5124/2024), η οποία θεσπίζει υποχρεώσεις διαχείρισης κυβερνοαπειλών, εποπτείας και αναφοράς περιστατικών με στόχο την επίτευξη υψηλού επιπέδου κυβερνοανθεκτικότητας. Συμπληρωματικά, η Οδηγία (ΕΕ) 2022/2557 (Critical Entities Resilience – CER, ν. 5236/2025) μετατοπίζει το επίκεντρο της πολιτικής από την προστασία μεμονωμένων υποδομών στη συνολική επιχειρησιακή και φυσική ανθεκτικότητα των κρίσιμων οντοτήτων.
Το πλαίσιο ενισχύεται από τον Κανονισμό (ΕΕ) 2019/881 (Cybersecurity Act), τον Κανονισμό (ΕΕ) 2024/2847 (Cyber Resilience Act – CRA), τον Κανονισμό (ΕΕ) 2024/2848 (Cyber Solidarity Act – CSA) καθώς και από τομεακές πράξεις όπως ο Κανονισμός (ΕΕ) 2022/2554 (DORA) για τον χρηματοπιστωτικό τομέα. Παράλληλα, ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) επιβάλλει αυξημένες απαιτήσεις ασφάλειας και λογοδοσίας ως προς την προστασία των προσωπικών δεδομένων. Επιπλέον, οι κατευθυντήριες γραμμές του ENISA παρέχουν τεχνικό και μεθοδολογικό σημείο αναφοράς για την εφαρμογή βέλτιστων πρακτικών.
Η σύσταση της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ) και η δημοσίευση της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2026–2030 διαμορφώνουν ένα θεσμικό και στρατηγικό πλαίσιο και θέτουν βασικές προϋποθέσεις για την ενίσχυση της κυβερνοανθεκτικότητας της χώρας. Το κρίσιμο επόμενο στάδιο αφορά τη συστηματική, ομοιόμορφη και μετρήσιμη εφαρμογή των κατευθύνσεων αυτών σε όλα τα επίπεδα διοίκησης, όπως και σε καίριους τομείς της οικονομίας.
Θέση της Ελλάδας σε ευρωπαϊκούς δείκτες.
Η αποτίμηση της θέσης της Ελλάδας σε ευρωπαϊκό επίπεδο δεν βασίζεται σε έναν ενιαίο δείκτη. Προκύπτει συνθετικά από δείκτες ψηφιακού μετασχηματισμού (DESI/Digital Decade), δεδομένα επιχειρησιακής ανθεκτικότητας, επίπεδο ψηφιακών δεξιοτήτων και κυβερνοδεξιοτήτων, όπως και βαθμό εφαρμογής της NIS2. Με βάση τα στοιχεία αυτά, η Ελλάδα παρουσιάζει πρόοδο σε βασικές ψηφιακές υποδομές και δημόσιες υπηρεσίες, χωρίς όμως αντίστοιχη ενίσχυση της επιχειρησιακής κυβερνοανθεκτικότητας.
Σύμφωνα με τις εκθέσεις Digital Decade 2025 και Digital Decade 2026 Country Report – Greece της Ευρωπαϊκής Επιτροπής, οι ελληνικές επιχειρήσεις εμφανίζουν σχεδόν διπλάσιο ποσοστό περιστατικών μη διαθεσιμότητας υπηρεσιών Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) σε σχέση με τον μέσο όρο της ΕΕ, ενώ η υιοθέτηση μέτρων κυβερνοασφάλειας και η συστηματική εκπαίδευση του προσωπικού υπολείπονται σημαντικά του ευρωπαϊκού μέσου όρου. Ενδεικτικά:
- 6,2% των επιχειρήσεων ανέφεραν περιστατικά κυβερνοεπιθέσεων τα οποία οδήγησαν σε μη διαθεσιμότητα υπηρεσιών ΤΠΕ, έναντι 3,4% στην ΕΕ.
- 71,8% των επιχειρήσεων εφαρμόζουν τουλάχιστον ένα μέτρο κυβερνοασφάλειας, έναντι 92,8% στην ΕΕ
- 35,73% των επιχειρήσεων εφαρμόζουν τουλάχιστον πέντε μέτρα ασφάλειας στις ΤΠΕ, έναντι 55,74% στην ΕΕ
- 31,7% των επιχειρήσεων εκπαιδεύουν συστηματικά το προσωπικό τους σε θέματα κυβερνοασφάλειας, έναντι σχεδόν διπλάσιου ποσοστού στην ΕΕ
Η εικόνα αυτή επιβεβαιώνεται και από πρόσφατη ανάλυση του ευρωπαϊκού έργου CS-AWARE-NEXT (2025) η οποία, αξιοποιώντας στοιχεία της Eurostat, κατατάσσει την Ελλάδα στην τελευταία θέση μεταξύ των κρατών-μελών ως προς την υιοθέτηση βασικών μέτρων κυβερνοασφάλειας από τις επιχειρήσεις, με μόλις το 52% να εφαρμόζει τρία ή περισσότερα μέτρα προστασίας3.
Παρά την ενίσχυση του θεσμικού και κανονιστικού πλαισίου, η συνολική εικόνα χαρακτηρίζεται από έντονες επιχειρησιακές ανισότητες. Η ανθεκτικότητα της χώρας επηρεάζεται δυσανάλογα από την κατάσταση σε μικρομεσαίες επιχειρήσεις (ΜΜΕ), περιφερειακούς φορείς, κρίσιμες υποδομές και παλαιά πληροφοριακά και βιομηχανικά συστήματα (legacy IT/OT), τα οποία συχνά διαθέτουν περιορισμένες δυνατότητες πρόληψης και απόκρισης.
Οι βασικές αιτίες εντοπίζονται στη μη ομοιόμορφη και μη συστηματική εφαρμογή των υφιστάμενων πολιτικών, στο έλλειμμα εξειδικευμένου ανθρώπινου δυναμικού ιδίως στο Δημόσιο, στη διατήρηση παλαιών τεχνολογικών υποδομών και στην εξάρτηση από εξωτερικούς αναδόχους χωρίς επαρκή μεταφορά τεχνογνωσίας.
Οι παράγοντες αυτοί αυξάνουν την έκθεση σε επιθέσεις ransomware, phishing και Business Email Compromise (BEC) και ενισχύουν τον κίνδυνο διακοπής κρίσιμων υπηρεσιών σε τομείς όπως η ενέργεια, οι επικοινωνίες, η ύδρευση και οι μεταφορές. Η αυξανόμενη διασύνδεση πληροφοριακών και επιχειρησιακών συστημάτων σε συνδυασμό με τον υβριδικό χαρακτήρα των σύγχρονων απειλών, καθιστά τα κυβερνοπεριστατικά δυνητικούς πολλαπλασιαστές φυσικών, οικονομικών και κοινωνικών κρίσεων.
Αντιθέτως, χώρες όπως η Εσθονία, η Ολλανδία και η Γαλλία, έχουν επενδύσει συστηματικά σε ανθρώπινο δυναμικό, επιχειρησιακές ικανότητες και μηχανισμούς συνεχούς αξιολόγησης. Παρά τις επιμέρους διαφοροποιήσεις τους, συγκλίνουν σε βασικές αρχές όπως ισχυρή κεντρική κυβερνοδιακυβέρνηση και εποπτεία, ενσωμάτωση της ασφάλειας στον σχεδιασμό του ψηφιακού κράτους (security by design), θεσμοθετημένη συνεργασία δημόσιου και ιδιωτικού τομέα και καλλιέργεια συλλογικής ετοιμότητας. Κοινός παρονομαστής είναι η έμφαση στη μετρήσιμη επιχειρησιακή ανθεκτικότητα και όχι στην τυπική συμμόρφωση.
1.3 Κύριες διαπιστώσεις και ανάγκη ενίσχυσης της κυβερνοανθεκτικότητας
Η συγκριτική εικόνα δείχνει ότι παρά την ύπαρξη αρμόδιας Εθνικής Αρχής, θεσμοθετημένων μηχανισμών απόκρισης σε κυβερνοπεριστατικά (CERTs/CSIRTs) και εναρμόνισης με το ευρωπαϊκό πλαίσιο, η επιχειρησιακή ετοιμότητα στην Ελλάδα παραμένει άνιση μεταξύ φορέων, επιπέδων διοίκησης και τεχνολογικών περιβάλλοντων (IT και OT/ICS). Η ανομοιογένεια αυτή οδηγεί σε ένα συνολικό επίπεδο ανθεκτικότητας που διαμορφώνεται από τις πιο ευάλωτες λειτουργικές συνιστώσες του διοικητικού και οικονομικού συστήματος.
Κεντρική διαπίστωση αποτελεί η ανάγκη για ομοιόμορφη εφαρμογή του κανονιστικού πλαισίου, για ενίσχυση του ανθρώπινου δυναμικού και για μετάβαση από την τυπική συμμόρφωση στην ουσιαστική επιχειρησιακή ανθεκτικότητα και εφαρμοστική ικανότητα. Η προσέγγιση αυτή προϋποθέτει τη μετάβαση από τη λογική της απόλυτης αποτροπής σε ένα μοντέλο «ανθεκτικότητας εξ ορισμού» (resilience-by-design) το οποίο δίνει έμφαση στην έγκαιρη ανίχνευση απειλών, την αποτελεσματική απόκριση σε περιστατικά και την ταχεία αποκατάσταση κρίσιμων λειτουργιών.
Έμφαση θα πρέπει να δοθεί στον ρόλο της ΕΑΚ, στη ρυθμιστική εποπτεία και στον αποτελεσματικό κρατικό συντονισμό με αξιοποίηση πρακτικών συνεργασίας δημόσιου-ιδιωτικού τομέα και προσεγγίσεων security-by-design και resilience-by-design από ώριμα ευρωπαϊκά μοντέλα.
Τα ανωτέρω καταδεικνύουν αυξημένη ανάγκη συντονισμένης δημόσιας παρέμβασης και για λόγους οικονομικού και κοινωνικού ορθολογισμού. Η κυβερνοασφάλεια ενέχει χαρακτηριστικά δημόσιου αγαθού, καθώς οι επιπτώσεις μιας σοβαρής κυβερνοεπίθεσης σπάνια περιορίζονται στον φορέα που πλήττεται. Επηρεάζουν ευρύτερα δίκτυα, εφοδιαστικές αλυσίδες, δημόσιες υπηρεσίες και πολίτες. Το κόστος της πρόληψης είναι άμεσο και επιβαρύνει κυρίως τον εκάστοτε οργανισμό, ενώ τα οφέλη είναι συλλογικά και μακροπρόθεσμα. Υπό αυτές τις συνθήκες, ιδίως στις ΜΜΕ, η αγορά δεν αυτορυθμίζεται επαρκώς. Χωρίς συντονισμένη κρατική παρέμβαση, το συνολικό επίπεδο κυβερνοασφάλειας τείνει να καθορίζεται από τους λιγότερο ώριμους φορείς, αυξάνοντας τον συστημικό κίνδυνο. Η ενίσχυση της κυβερνοανθεκτικότητας δεν μπορεί επομένως, να αφεθεί στη μεμονωμένη πρωτοβουλία των φορέων, αλλά απαιτεί συνεκτική, κεντρικά συντονισμένη και επιχειρησιακά προσανατολισμένη δημόσια πολιτική.
- Κατευθύνσεις παρέμβασης και επιχειρησιακές επιλογές
2.1 Περιγραφή παρεμβάσεων και εκτιμώμενα αποτελέσματα
Οι παρεμβάσεις που εξετάζονται δεν εισάγουν νέο θεσμικό επίπεδο, ούτε παράλληλες δομές. Σκοπός τους είναι η επιχειρησιακή εξειδίκευση και συστηματική εφαρμογή των κατευθύνσεων που αποτυπώνονται στο ισχύον ευρωπαϊκό και εθνικό πλαίσιο με στόχο τη μετάβαση από την τυπική συμμόρφωση στη μετρήσιμη και επαληθεύσιμη ανθεκτικότητα.
Στο πλαίσιο αυτό προτείνεται η ανάπτυξη ενιαίου συστήματος επιχειρησιακής αποτίμησης και παρακολούθησης της κυβερνοανθεκτικότητας, το οποίο θα εξειδικεύει τις στρατηγικές κατευθύνσεις σε:
- Σαφώς ορισμένα ελάχιστα επίπεδα ανθεκτικότητας για κρίσιμους φορείς
- Συγκρίσιμους δείκτες ωριμότητας
- Κοινά πρότυπα ελέγχου και αξιολόγησης
Το σύστημα αυτό θα λειτουργεί συμπληρωματικά προς το υφιστάμενο κανονιστικό πλαίσιο, μεταφράζοντας τις γενικές υποχρεώσεις συμμόρφωσης σε πρακτικά και μετρήσιμα επιχειρησιακά αποτελέσματα. Στόχος είναι η μείωση της ανομοιογένειας εφαρμογής πολιτικών μεταξύ φορέων, επιπέδων διοίκησης και τεχνολογικών περιβαλλόντων (IT και OT) και η μετατροπή της υφιστάμενης τεχνογνωσίας και ικανότητας σε συστηματική επιχειρησιακή πρακτική με έμφαση στα αποτελέσματα και όχι μόνο στην τυπική συμμόρφωση.
Η ΕΑΚ διαδραματίζει καθοριστικό ρόλο στην υλοποίηση αυτής της προσέγγισης, ιδίως μέσω του συντονισμού και της διαλειτουργικότητας των CERTs/CSIRTs, της ανάπτυξης μηχανισμών παρακολούθησης των επιπέδων ωριμότητας των κρίσιμων φορέων και της εθνικής αποτύπωσης της επιχειρησιακής ετοιμότητας. Η ενίσχυση της συνεργασίας μεταξύ της ΕΑΚ, των σχετικών ευρωπαϊκών μηχανισμών και των αρμόδιων διωκτικών αρχών αποτελεί επίσης κρίσιμο στοιχείο για την αποτελεσματική αντιμετώπιση του κυβερνοεγκλήματος και την ενίσχυση της συνολικής εθνικής ετοιμότητας και ανθεκτικότητας.
Παρεμβάσεις άμεσου αντίκτυπου
Προτείνονται οι κάτωθι παρεμβάσεις:
1. Επιχειρησιακοί έλεγχοι κυβερνοανθεκτικότητας και επιχειρησιακής ετοιμότητας.
- Τακτική διενέργεια ελέγχων (Cyber Resilience Audits) σε κρίσιμους τομείς (Υγεία, Ενέργεια, Μεταφορές, Επικοινωνίες, Ύδρευση), με ιδιαίτερη έμφαση:
- Στη διασύνδεση IT και OT
- Στη συνέχεια κρίσιμων λειτουργιών
- Στη διαχείριση περιστατικών μεγάλης κλίμακας
Οι έλεγχοι αποσκοπούν στην έγκαιρη ανάδειξη επιχειρησιακών κενών, στη μείωση του κινδύνου διακοπής κρίσιμων υπηρεσιών και στη συστηματική αναβάθμιση επιπέδων ωριμότητας.
Ενίσχυση της ικανότητας ταχείας αποκατάστασης λειτουργιών μετά από σοβαρά κυβερνοπεριστατικά, μέσω της ανάπτυξης και συστηματικής δοκιμής σχεδίων επιχειρησιακής συνέχειας και αποκατάστασης (business continuity και disaster recovery plans). Η διάσταση αυτή αποτελεί βασικό στοιχείο της κυβερνοανθεκτικότητας, δεδομένου ότι ακόμη και ώριμα συστήματα κυβερνοασφάλειας δεν μπορούν να αποκλείσουν πλήρως την επιτυχία επιθέσεων.
2. Ενίσχυση ανθρώπινου δυναμικού. Συστηματική ανάπτυξη εξειδικευμένων δεξιοτήτων:
- Στην ΕΑΚ
- Σε κρίσιμους δημόσιους φορείς
- Σε περιφερειακές δομές
Η επένδυση αυτή αφορά όχι μόνο την αύξηση της στελέχωσης αλλά και τη δημιουργία βιώσιμων μηχανισμών προσέλκυσης, διατήρησης και διαρκούς αναβάθμισης δεξιοτήτων ώστε να υποστηρίζονται αποτελεσματικά οι επιχειρησιακές λειτουργίες, η διαχείριση κρίσεων και η συνεχής αξιολόγηση της ανθεκτικότητας.
Η ενίσχυση του ανθρώπινου δυναμικού στον τομέα της κυβερνοασφάλειας προϋποθέτει παράλληλα την καλλιέργεια βασικής κουλτούρας ψηφιακής ασφάλειας και την ανάπτυξη σχετικών δεξιοτήτων ήδη από τη δευτεροβάθμια εκπαίδευση. Με τον τρόπο αυτό μπορεί να δημιουργηθεί μακροπρόθεσμα μια ευρύτερη δεξαμενή γνώσεων, ενδιαφερόντων και ικανοτήτων στον τομέα καθώς και ένα συνεκτικό «pipeline» δεξιοτήτων κυβερνοασφάλειας, από την εκπαίδευση έως την αγορά εργασίας.
3. Υποστήριξη ΜΜΕ και κρίσιμων αλυσίδων.
Ανάπτυξη εθνικής ψηφιακής πλατφόρμας ανοικτής αρχιτεκτονικής και, όπου είναι εφικτό, ανοικτού κώδικα (open source), δωρεάν εργαλείων, προτύπων και εκπαίδευσης για την ουσιαστική συμμόρφωση με τις απαιτήσεις της NIS2, με στόχο τη μείωση του χάσματος ωριμότητας.
4. Διοικητική λογοδοσία και μετρήσιμη πρόοδος.
Η κυβερνοανθεκτικότητα δεν αποτελεί αποκλειστικά τεχνικό ζήτημα, συνιστά και ευθύνη της διοίκησης των φορέων. Η ενσωμάτωση της ανθεκτικότητας στη λήψη αποφάσεων προϋποθέτει:
- Σαφή κατανομή αρμοδιοτήτων
- Ανάθεση ευθύνης σε επίπεδο διοικητικής ηγεσίας
- Τακτική αναφορά προόδου και αποτίμηση αποτελεσμάτων
Η μετάβαση από την τεχνική συμμόρφωση στη διοικητική λογοδοσία συνιστά κρίσιμο παράγοντα ωρίμανσης του συστήματος.
5. Συστηματική αξιοποίηση και διασύνδεση ασκήσεων κυβερνοκρίσεων. Η υφιστάμενη διοργάνωση ασκήσεων κυβερνοκρίσεων από αρμόδιους φορείς, αποτελεί σημαντικό στοιχείο ενίσχυσης της εθνικής ετοιμότητας. Η περαιτέρω συστηματοποίηση, η διατομεακή διεύρυνση της συμμετοχής και η ενσωμάτωση των συμπερασμάτων των ασκήσεων στο ενιαίο σύστημα αποτίμησης και παρακολούθησης θα ενισχύσουν τη συλλογική μάθηση, τον διακυβερνητικό συντονισμό και τη συνολική επιχειρησιακή ωρίμανση.
Οι παρεμβάσεις αυτές εκτιμάται ότι θα επιτρέψουν την οριζόντια αναβάθμιση του ελάχιστου επιπέδου κυβερνοασφάλειας με περιορισμένο δημοσιονομικό κόστος, θα μειώσουν τον συστημικό κίνδυνο που προκύπτει από φορείς χαμηλής ωριμότητας και θα ενισχύσουν τη συνολική εθνική κυβερνοανθεκτικότητα.
Παράλληλα, η ενίσχυση της συμμετοχής της χώρας στο ευρωπαϊκό οικοσύστημα πιστοποίησης κυβερνοασφάλειας, στο πλαίσιο του Cybersecurity Act και των σχετικών ευρωπαϊκών σχημάτων πιστοποίησης όπως το EUCC (European Union Cybersecurity Certification Scheme on Common Criteria), μπορεί να συμβάλει στην ανάπτυξη εθνικής ικανότητας αξιολόγησης και πιστοποίησης, να ενισχύσει την εμπιστοσύνη στην ψηφιακή αγορά και να υποστηρίξει την ανάπτυξη της εγχώριας αγοράς κυβερνοασφάλειας.
Συνολικά, οι παρεμβάσεις αυτές συγκροτούν ένα συνεκτικό πλαίσιο ενίσχυσης της εθνικής κυβερνοανθεκτικότητας, το οποίο συνδυάζει θεσμικό συντονισμό, επιχειρησιακές ικανότητες και ανάπτυξη ανθρώπινου δυναμικού.
Ενδεικτικοί στόχοι και δείκτες παρακολούθησης
Για την αποτύπωση της προόδου, το ενιαίο σύστημα αποτίμησης και παρακολούθησης μπορεί να περιλαμβάνει μετρήσιμους και επαληθεύσιμους στόχους όπως:
- Καθολική εφαρμογή πολυπαραγοντικού ελέγχου αυθεντικότητας (Multifactor Authentication – MFA) σε όλους τους κρίσιμους δημόσιους φορείς και σε κρίσιμα συστήματα.
- Διασφάλιση δοκιμασμένων και λειτουργικών αντιγράφων ασφαλείας σε κρίσιμα πληροφοριακά και επιχειρησιακά συστήματα.
- Υποχρεωτική διενέργεια ετήσιων ασκήσεων κυβερνοασφάλειας και διαχείρισης κυβερνοπεριστατικών ανά κρίσιμο φορέα, με συμμετοχή διοίκησης και τεχνικών ομάδων.
- Σταδιακή μείωση των σοβαρών περιστατικών ransomware και διακοπής λειτουργίας, ιδίως στις ΜΜΕ που εντάσσονται στο οικοσύστημα κρίσιμων υπηρεσιών και εφοδιαστικών αλυσίδων.
Οι στόχοι αυτοί λειτουργούν ως κοινό σημείο αναφοράς για όλους τους φορείς και επιτρέπουν την εθνική αποτύπωση της επιχειρησιακής ετοιμότητας, συνδέοντας τη στρατηγική κατεύθυνση με μετρήσιμα αποτελέσματα. Η επίτευξή τους συνδέεται με ρητή διοικητική λογοδοσία.
Εκτιμώμενα οφέλη.
Η εφαρμογή των ανωτέρω εκτιμάται ότι μπορεί να επιφέρει οφέλη:
- Για τον πολίτη, διότι διασφαλίζεται η συνέχεια και η αξιοπιστία κρίσιμων υπηρεσιών και ενισχύεται η εμπιστοσύνη στο ψηφιακό κράτος.
- Για την οικονομία και ιδίως για τις ΜΜΕ, διότι μειώνεται η έκθεση σε κυβερνοεπιθέσεις, ενισχύεται η επιχειρησιακή συνέχεια και βελτιώνεται η συνολική ανθεκτικότητα των εφοδιαστικών αλυσίδων.
- Για το κράτος, διότι ενισχύεται η ικανότητα προληπτικής διαχείρισης κινδύνων, περιορίζεται η συχνότητα και η ένταση κυβερνοκρίσεων, μειώνεται το δημοσιονομικό κόστος αντιμετώπισης έκτακτων περιστατικών.
- Επιπλέον, η μετάβαση από την τυπική συμμόρφωση στην ανθεκτικότητα και η ουσιαστική ευθυγράμμιση με τις ευρωπαϊκές βέλτιστες πρακτικές στον τομέα της κυβερνοασφάλειας και της ανθεκτικότητας κρίσιμων οντοτήτων, ενισχύει την εικόνα της χώρας και περιορίζει τον κίνδυνο θεσμικών ή επιχειρησιακών αποτυχιών με πολιτικό κόστος.
Συνολικά, εκτιμάται ότι μετατοπίζεται η δημόσια παρέμβαση από την εκ των υστέρων διαχείριση κρίσεων στη συστηματική πρόληψη και ενίσχυση της ανθεκτικότητας, εδραιώνοντας μια συνεκτική και επιχειρησιακά λειτουργική προσέγγιση κυβερνοδιακυβέρνησης σε εθνικό επίπεδο.
2.2 Κόστος και πόροι
Η υλοποίηση των προτεινόμενων παρεμβάσεων μπορεί να βασισθεί πρωτίστως στην αποτελεσματικότερη αξιοποίηση και ανακατανομή υφιστάμενων ευρωπαϊκών και εθνικών πόρων, οι οποίοι προβλέπουν δράσεις ψηφιακού μετασχηματισμού, ασφάλειας και ανθεκτικότητας.
Σε επίπεδο κράτους, το κύριο κόστος αφορά στοχευμένες προσλήψεις και ενίσχυση εξειδικευμένου ανθρώπινου δυναμικού κυβερνοασφάλειας στην ΕΑΚ και σε κρίσιμες δημόσιες δομές, με στόχο την αποτελεσματικότερη επιχειρησιακή ικανότητα, την εποπτεία και τον συντονισμό. Παράλληλα, θα μπορούσε να εξετασθεί περιορισμένης κλίμακας και αυστηρά στοχευμένη συγχρηματοδότηση βασικών μέτρων κυβερνοανθεκτικότητας για ΜΜΕ που εντάσσονται σε κρίσιμες υπηρεσίες ή εφοδιαστικές αλυσίδες, με υποχρεωτική ιδία συμμετοχή και σαφή εστίαση σε μετρήσιμα μέτρα (π.χ. MFA, αντίγραφα ασφαλείας, βασική εκπαίδευση).
Ιδιαίτερη σημασία έχει ότι σημαντικό μέρος της παρέμβασης μπορεί να υλοποιηθεί μέσω εργαλείων ελάχιστου δημοσιονομικού κόστους, όπως κρατικά παρεχόμενες ψηφιακές πλατφόρμες αυτοαξιολόγησης, βασικοί αυτοματοποιημένοι έλεγχοι ευπαθειών, πρότυπα σχέδια επιχειρησιακής συνέχειας και δωρεάν διαδικτυακή εκπαίδευση για ΜΜΕ. Τα εργαλεία αυτά επιτρέπουν τη μαζική αναβάθμιση του ελάχιστου επιπέδου κυβερνοασφάλειας χωρίς άμεση χρηματοδοτική επιβάρυνση και περιορίζουν τον συστημικό κίνδυνο που προκύπτει από τους λιγότερο ώριμους φορείς.
Συνολικά, εκτιμάται ότι το κόστος των παραπάνω προληπτικών παρεμβάσεων είναι πολλαπλάσια μικρότερο από το οικονομικό, δημοσιονομικό και κοινωνικό κόστος το οποίο συνεπάγεται η διαχείριση σοβαρών κυβερνοπεριστατικών και παρατεταμένων διακοπών κρίσιμων υπηρεσιών.
2.3 Εκτίμηση ωριμότητας και χρονικός ορίζοντας εφαρμογής
Η εφαρμογή των παρεμβάσεων προϋποθέτει κυρίως διοικητικά μέτρα, την έκδοση κατευθυντήριων οδηγιών και την υιοθέτηση ενιαίων προτύπων εφαρμογής και αξιολόγησης τα οποία μπορούν να τεθούν σε ισχύ σε σύντομο χρονικό ορίζοντα. Ως εκ τούτου, οι παρεμβάσεις εκτιμάται ότι παρουσιάζουν υψηλό βαθμό ωριμότητας και εφικτότητας, επιτρέποντας την ταχεία μετάβαση από τη θεσμική πρόβλεψη στην μετρήσιμη επιχειρησιακή ανθεκτικότητα. Σε ό,τι αφορά τον χρονικό ορίζοντα εφαρμογής, τα μέτρα διαφοροποιούνται ως εξής:
- Βραχυπρόθεσμα (έως 12 μήνες): ευρεία εφαρμογή πολυπαραγοντικού ελέγχου αυθεντικότητας, ενίσχυση πολιτικών αντιγράφων ασφαλείας, και υποχρεωτική βασική εκπαίδευση προσωπικού.
- Μεσοπρόθεσμα (1 έως 3 έτη): ανάπτυξη και διασύνδεση Κέντρων Επιχειρήσεων Ασφαλείας, θεσμοθέτηση πολιτικών ασφάλειας, τακτικές ασκήσεις κυβερνοασφάλειας και σύνθετες ασκήσεις υβριδικών απειλών και προηγμένων επίμονων απειλών.
- Μακροπρόθεσμα (3 έως 5 έτη): συστηματική ανάπτυξη εθνικού ανθρώπινου δυναμικού κυβερνοασφάλειας, ενίσχυση ερευνητικών και εκπαιδευτικών υποδομών και θεσμοθέτηση μηχανισμών μακροχρόνιας διατήρησης δεξιοτήτων.
Η σταδιακή αυτή κλιμάκωση επιτρέπει ρεαλιστική εφαρμογή, με έμφαση στη μετάβαση από την τυπική συμμόρφωση στην ουσιαστική επιχειρησιακή ικανότητα.
2.4 Διαβούλευση και δοκιμή εφαρμογής
Η διαβούλευση με δημόσιους και ιδιωτικούς φορείς με έμφαση τις κρίσιμες οντότητες και τις αρμόδιες αρχές εποπτείας, μπορεί να συμβάλει στην διασφάλιση της σαφήνειας των ρόλων και της επιχειρησιακής εφικτότητας των μέτρων.
Η οργάνωση δομημένων διαβουλεύσεων με εκπροσώπους επιχειρήσεων και φορέων επιτρέπει την προσαρμογή των εργαλείων και των απαιτήσεων στις πραγματικές δυνατότητες της αγοράς, μειώνοντας τον κίνδυνο δυσανάλογων επιβαρύνσεων.
Τέλος, η αξιοποίηση σεναριακών ασκήσεων διαχείρισης κυβερνοκρίσεων (tabletop exercises) μπορεί να λειτουργήσει ως εργαλείο πιλοτικής δοκιμής των παρεμβάσεων, επιτρέποντας την έγκαιρη ανάδειξη επιχειρησιακών κενών, την ενίσχυση του συντονισμού και την βελτίωση της συνολικής ετοιμότητας πριν από τη γενικευμένη εφαρμογή τους.
Αντί Επιλόγου
Η ενίσχυση της κυβερνοασφάλειας και της κυβερνοανθεκτικότητας δεν αποτελεί τεχνική επιλογή, αλλά στρατηγική πολιτική προτεραιότητα. Σε ένα περιβάλλον αυξανόμενης γεωπολιτικής αστάθειας, ψηφιακής αλληλεξάρτησης και υβριδικών απειλών, η προστασία των κρίσιμων λειτουργιών της χώρας συνδέεται άμεσα με την εθνική ασφάλεια, τη θεσμική αξιοπιστία και την κοινωνική συνοχή.
Η μετάβαση από τη θεσμική πρόβλεψη στην επιχειρησιακή απόδοση απαιτεί σαφή πολιτική βούληση, διαρκή εποπτεία και λογοδοσία σε όλα τα επίπεδα διοίκησης. Η κυβερνοανθεκτικότητα αποτελεί προϋπόθεση εθνικής σταθερότητας και ως τέτοια, οφείλει να αποτελέσει οριζόντια δημόσια πολιτική, με μετρήσιμους στόχους, διαφανείς μηχανισμούς παρακολούθησης και συστηματική αξιολόγηση.
Η πρόληψη και η ανθεκτικότητα δεν είναι δευτερεύουσα επιλογή· είναι η μόνη βιώσιμη στρατηγική απέναντι σε κρίσεις που μπορούν και πρέπει να αποτραπούν.
ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΨΗΦΙΑΚHΣ ΠΟΛΙΤΙΚHΣ, ΤΕΧΝΗΤHΣ ΝΟΗΜΟΣYΝΗΣ ΚΑΙ ΚΑΙΝΟΤΟΜIΑΣ, ΙNΑΤ
Γραμματή Πάντζιου: Καθηγήτρια Αλγορίθμων, Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών, Πανεπιστήμιο Δυτικής Αττικής.
Βαγγέλης Κανούλας: Καθηγητής Τεχνητής Νοημοσύνης, Πανεπιστήμιο Άμστερνταμ.
Σπύρος Κασάπης: Μεταδιδακτορικός Ερευνητής Αστροφυσικής, Πανεπιστήμιο Πρίνστον.
Δώρα Κοτσακά: Ερευνήτρια, Δρ. Πολιτικής Επιστήμης, Πανεπιστήμιο Αθηνών, Αναπληρώτρια Συντονίστρια ΙNΑΤ.
Βασίλης Κωστάκης: Καθηγητής Τεχνολογικής Διακυβέρνησης και Βιωσιμότητας, Τεχνολογικό Πανεπιστήμιο του Τάλιν, Ερευνητής στο Πανεπιστήμιο του Χάρβαρντ.
Άρης Μαγκλάρας: Δρ. Ηλεκτρολόγος Μηχανικός και Αρχιτέκτονας Λογισμικού.































