PwC: Ημερίδα για την κυβερνοασφάλεια σε κρίσιμες υποδομές

Ημερίδα ενημέρωσης πραγματοποίησε την Δευτέρα 16 Δεκεμβρίου, 2019 η PwC Ελλάδας με θέμα την Ευρωπαϊκή Οδηγία NIS για την κυβερνοασφάλεια στο χώρο της Ενέργειας (ηλεκτρική, πετρέλαιο, αέριο). Στόχος ήταν η διερεύνηση της ετοιμότητας του κλάδου, η ενημέρωση αναφορικά με τις τελευταίες εξελίξεις στην ελληνική νομοθεσία, καθώς και η ανταλλαγή απόψεων για ένα κρίσιμο θέμα, όπως αυτό της κυβερνοασφάλειας.

Η εκδήλωση πραγματοποιήθηκε με τη συμμετοχή εξειδικευμένων εμπειρογνωμόνων από το διεθνές δίκτυο της PwC και παρουσία στελεχών Οργανισμών που έχουν αναγνωριστεί ως κρίσιμες υποδομές στον κλάδο της Ενέργειας από την Ανεξάρτητη Αρχή Κυβερνοασφάλειας.

Η Υπουργική Απόφαση 1027/8.10.2019 που δημοσιεύτηκε πριν από λίγους μήνες για τη ρύθμιση θεμάτων εφαρμογής και διαδικασιών του ελληνικού εφαρμοστικού νόμου 4577/2018, αποσκοπεί στον καθορισμό της μεθοδολογίας και των κριτηρίων προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ), στην έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, στον προσδιορισμό της διαδικασίας κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες Αρχές καθώς και της μεθοδολογίας αξιολόγησης και ελέγχου.

Στο πλαίσιο της ημερίδας παρουσιάστηκαν τα βασικά σημεία της Υπουργικής Απόφασης 1027/8.10.2019 και υπογραμμίστηκαν οι προκλήσεις που αναμένεται να αντιμετωπίσουν οι
Οργανισμοί στο ταξίδι τους για την επίτευξη της συμμόρφωσης. Την εμπειρία του αναφορικά με την προσαρμογή άλλων κρατών – μελών της Ευρωπαϊκής Ένωσης μοιράστηκε ο James Hunt, εξειδικευμένος σύμβουλος της PwC Αγγλίας, παρουσιάζοντας, μεταξύ άλλων, τα αποτελέσματα ωριμότητας του κλάδου της Ενέργειας στο Ηνωμένο Βασίλειο, τις καλές πρακτικές και εναλλακτικές προσεγγίσεις που ακολουθήθηκαν.

Μεγάλη έμφαση δόθηκε στις προκλήσεις που αντιμετωπίζουν οι Φορείς για την διατήρηση της
ασφάλειας των Υποδομών και Δικτύων τους. Από την συζήτηση με τους Φορείς αναδείχθηκαν ως πλέον σημαντικές προκλήσεις:

● O προσδιορισμός των κρίσιμων υπηρεσιών και επιχειρησιακών λειτουργιών των Φορέων και κατ’ επέκταση των Πληροφοριακών Συστημάτων και Υποδομών που τις υποστηρίζουν για την καλύτερη στόχευση και αποτελεσματική διαχείριση, η οποία θα βασίζεται στην διαχείριση των κινδύνων που θα αναγνωριστούν (risk-based approach)

● Ο σχεδιασμός ενός αποτελεσματικού Μοντέλου Διακυβέρνησης, που θα λαμβάνει υπόψη τις ιδιαιτερότητες των Φορέων και το Μοντέλο Λειτουργίας τους, με σαφείς ρόλους και αρμοδιότητες, υποστηριζόμενο από ένα συνεκτικό Πλαίσιο Ασφάλειας Πληροφοριών

● Ο σχεδιασμός μιας συνολικής προσέγγισης που θα καλύπτει τόσο τον κόσμο του «παραδοσιακού» Περιβάλλοντος Πληροφορικής όσο και των επιχειρησιακά κρίσιμων υποδομών για την υποστήριξη των βασικών Λειτουργιών των Φορέων.

● Η δήλωση εντός 24 ωρών ενός περιστατικού ασφαλείας, ως μια υποχρέωση που προϋποθέτει την αποτελεσματική συνεργασία πολλών μερών και επιτυγχάνεται μέσω συχνών ασκήσεων ετοιμότητας

Την εμπειρία του αναφορικά με την ασφάλεια στα βιομηχανικά συστήματα (Operational Technology - Industrial Systems) μοιράστηκε ο Cesar Tascon Alvarez, Partner της PwC Ισπανίας, παρουσιάζοντας “case studies” μεγάλων Ευρωπαϊκών Οργανισμών στον κλάδο της Ενέργειας καθώς και εναλλακτικών προσεγγίσεων που έχουν υιοθετηθεί.

Όπως προέκυψε από τη διαδραστική συζήτηση που πραγματοποιήθηκε, μεταξύ των συμμετεχόντων, ο αντίκτυπος της νέας Οδηγίας στις επιχειρήσεις στην Ελλάδα είναι μάλλον θετικός καθώς οι συζητήσεις τόσο για τον ορισμό του «Υπεύθυνου Ασφάλειας Πληροφοριών και Δικτύων» όσο και ευρύτερα για θέματα διακυβέρνησης της Ασφάλειας Πληροφοριών έχουν ανάγει το θέμα της ασφάλειας σε κρίσιμο για τις Διοικήσεις των επηρεαζόμενων Οργανισμών.