Τετάρτη, 4 Απριλίου 2012

Ασφάλεια και ακεραιότητα δικτύων και υπηρεσιών


Ι. Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως (ΦΕΚ 82/Α'/2012) ο Νόμος 4070/2012 με τίτλο «Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών, Δημοσίων Έργων και άλλες διατάξεις» με τον οποίο αναθεωρείται το ισχύον πλαίσιο για την παροχή δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών. Μεταξύ άλλων διατάξεων, το άρθρο 37 του νέου νόμου περιλαμβάνει ρυθμίσεις για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών.
Ειδικότερα:
Σύμφωνα με την εν λόγω διάταξη οι πάροχοι δημόσιων δικτύων επικοινωνιών ή υπηρεσιών η-επικοινωνιών οφείλουν να λαμβάνουν πρόσφορα τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά στην ασφάλεια των δικτύων και υπηρεσιών. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες αλλά και να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υφιστάμενο κίνδυνο. Τα εν λόγω μέτρα θα πρέπει να στοχεύουν στην αποτροπή και ελαχιστοποίηση των επιπτώσεων από περιστατικά ασφαλείας που επηρεάζουν τους χρήστες και τα διασυνδεόμενα δίκτυα καθώς και να εξασφαλίζουν την ακεραιότητα των δικτύων των παρόχων με τέτοιο τρόπο ώστε να διασφαλίζεται η συνέχεια της παροχής των υπηρεσιών που διανέμονται μέσω των δικτύων αυτών.
Αξίζει να σημειωθεί ότι αν και στο εν λόγω άρθρο προβλέπεται ότι τα προαναφερόμενα μέτρα θα καθορίζονται από την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) με «κανονιστικές πράξεις», ταυτόχρονα προβλέπεται ρητή αρμοδιότητα της Εθνικής Επιτροπής Τηλεπικοινωνιών & Ταχυδρομείων (Ε.Ε.Τ.Τ.) να λαμβάνει γνώση κατόπιν ενημέρωσης των Παρόχων κάθε παραβίασης της ασφάλειας ή απώλειας της ακεραιότητας που είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών, και να κοινοποιεί με τη σειρά της στην ΑΔΑΕ κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας.
Επίσης, σύμφωνα με τη διάταξη του άρθρου 37 του προς ψήφιση σχεδίου νόμου η η Α.Δ.Α.Ε. αναλαμβάνει να ενημερώνει τις αρμόδιες εθνικές αρχές στα άλλα κράτη μέλη, καθώς και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ενώ η Ε.Ε.Τ.Τ. δύναται να ενημερώσει το κοινό ή να απαιτήσει την ενημέρωση αυτή από τις επιχειρήσεις, εφόσον κρίνει ότι η αποκάλυψη της παραβίασης είναι προς το δημόσιο συμφέρον.
Το νομοσχέδιο προβλέπει επίσης δυνατότητα της ΕΕΤΤ να εκδίδει «δεσμευτικές υποδείξεις», στο πλαίσιο εφαρμογής των κανονιστικών πράξεων που θα έχουν εκδοθεί από την ΑΔΑΕ, όσον αφορά στην ασφάλεια των δικτύων και υπηρεσιών και στην εξασφάλιση της ακεραιότητας των δικτύων τους, συμπεριλαμβανομένων εκείνων που αφορούν τις προθεσμίες  εφαρμογής, προς τις επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών διαθέσιμες στο κοινό.
Επιπροσθέτως, η ΕΕΤΤ μπορεί να απαιτεί από τους παρόχους να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας και της ακεραιότητας των υπηρεσιών και δικτύων τους, περιλαμβανομένων τεκμηριωμένων πολιτικών ασφαλείας, κατ’ εφαρμογή των κανονιστικών πράξεων  που εκδίδονται από την ΑΔΑΕ.
Τέλος, προβλέπεται η διενέργεια ελέγχων ασφαλείας από την ΑΔΑΕ, το κόστος των οποίων (ελέγχων) επιβαρύνει την ελεγχόμενη επιχείρηση. Τα αποτελέσματα / πορίσματα των ανωτέρω ελέγχων τίθενται στη διάθεση της ΕΕΤΤ.
 
 
ΙΙ. Δυστυχώς, για μια ακόμα φορά η εν λόγω διάταξη του άρθρου 37 έρχεται να προσθέσει στους παρόχους περαιτέρω πολυπλοκότητα και ανασφάλεια κατά την εφαρμογή του ρυθμιστικού και κανονιστικού πλαισίου για την ασφάλεια και ακεραιότητα των δικτύων και υπηρεσιών τους.

Πρώτον, αμέσως μετά την δημοσίευση του νόμου θα πρέπει να αξιολογηθεί από τα αρμόδια Υπουργεία και τις συναρμόδιες Ανεξάρτητες Αρχές (ΕΕΤΤ & ΑΔΑΕ) εάν απαιτείται και σε ποιο βαθμό η προσαρμογή της προσφάτως δημοσιευθείσας - την 21/02/2012 - Κοινής Υπουργικής Απόφασης (ΚΥΑ) αναφορικά με τις Ελάχιστες Υποχρεώσεις των Παρόχων για τη διασφάλιση της ακεραιότητας δημόσιων τηλεφωνικών δικτύων και διαθεσιμότητας δημόσιων τηλεφωνικών υπηρεσιών σε σταθερές θέσεις (ΦΕΚ 305/Β’/14.02.2012). Συγκεκριμένα, στο άρθρο 20 της ΚΥΑ ορίζεται ρητά ότι η ΕΕΤΤ διενεργεί ελέγχους σχετικά με την συμμόρφωση των παρόχων με τις διατάξεις της εν λόγω ΚΥΑ, η οποία δύναται να τους επιβάλει και τις προβλεπόμενες κυρώσεις. Σύμφωνα με την εν λόγω ΚΥΑ οι έλεγχοι από την ΕΕΤΤ της Πολιτικής Διασφάλισης της Ακεραιότητας και Διαθεσιμότητας κάθε παρόχου περιλαμβάνουν τόσο τον έλεγχο πληρότητας και αποτελεσματικότητας της εν λόγω Πολιτικής όσο και το βαθμό εφαρμογής αυτής. Επίσης, προβλέπεται και η έκδοση Κανονισμού από την ΕΕΤΤ με τον οποίο θα καθορίζονται οι αναγκαίες λεπτομέρειες εφαρμογής της εν λόγω ΚΥΑ. Από την άλλη με τη νέα διάταξη του άρθρου 37 (εφόσον ψηφιστεί ως έχει) οι αρμοδιότητες της διενέργειας ελέγχων ασφαλείας και της έκδοσης των σχετικών με την ακεραιότητα και διαθεσιμότητα των δικτύων και υπηρεσιών κανονιστικών πράξεων ανατίθενται στην ΑΔΑΕ και όχι στην ΕΕΤΤ. Εάν και εφόσον δεν γίνει προσαρμογή της εν λόγω ΚΥΑ τότε οι πάροχοι θα υπόκεινται σε έλεγχο συμμόρφωσης τόσο από την ΕΕΤΤ όσο και και από την ΑΔΑΕ, ενώ δεν αποκλείεται το ενδεχόμενο παράλληλης έκδοσης κανονιστικών πράξεων και από τις δύο ανεξάρτητες αρχές.  

Δεύτερον, η διάταξη του άρθρου 37 προβλέπει υποχρέωση των παρόχων να γνωστοποιούν στην ΕΕΤΤ, η οποία με τη σειρά της θα ενημερώνει και την ΑΔΑΕ, κάθε παραβίαση της ασφάλειας ή απώλειας της ακεραιότητας που είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών. Ωστόσο, στον Κανονισμό Διασφάλισης του Απορρήτου των Επικοινωνιών της ΑΔΑΕ (Απόφαση 165/2011,ΦΕΚ Β' 2715/17-11-2011) προβλέπεται, μεταξύ άλλων, υποχρέωση των παρόχων για την εφαρμογή ειδικής Διαδικασίας Διαχείρισης Περιστατικών Ασφάλειας (άρθρο 9 του Κανονισμού), η οποία θα ενεργοποιείται αμελλητί σε κάθε περίπτωση περιστατικού ασφάλειας. Στην εν λόγω Διαδικασία προβλέπεται μεταξύ άλλων και υποχρέωση των παρόχων να ενημερώνουν αμελλητί απευθείας την Α.Δ.Α.Ε., υποβάλλοντας, για κάθε περιστατικό ασφαλείας, σχετική έγγραφη Έκθεση Άμεσης Αναφοράς Περιστατικού Ασφάλειας. Αυτό θα έχει ως αποτέλεσμα κάποια περιστατικά ασφάλειας να κοινοποιούνται στην ΑΔΑΕ μέσω της ΕΕΤΤ και κάποια περιστατικά ασφάλειας να κοινοποιούνται απευθείας στην ΑΔΑΕ. Λαμβάνοντας υπόψη ότι ενδεχόμενη παραβίαση της ασφάλειας ή απώλειας της ακεραιότητας με σημαντικό αντίκτυπο στη λειτουργία των δικτύων και υπηρεσιών ενός παρόχου ενέχει κατά πάσα πιθανότητα και  παραβίαση του απορρήτου των η-επικοινωνιών που πραγματοποιούνται μέσω των δικτύων και υπηρεσιών των παρόχων είναι σχεδόν βέβαιο ότι η εν λόγω ρύθμιση θα οδηγήσει τους παρόχους σε ταυτόχρονη κοινοποίηση του συνόλου των περιστατικών ασφαλείας τόσο στην ΕΕΤΤ όσο και στην ΑΔΑΕ.

Μένει να δούμε πως οι εμπλεκόμενοι φορείς (ΠάροχοιΑρχές) θα ανταπεξέλθουν στις προκλήσεις του νέου νομοθετικού πλαισίου.   

Αριάννα Σέκερη*
Δικηγόρος  


*οι απόψεις είναι προσωπικές.

2o InfoCom Security





2ο InfoCom Security
Οικονομία σε κρίση, τεχνολογία σε έξαρση!
Ποια είναι η αξία και η θέση της Ασφάλειας Πληροφοριών
στο Νέο Επιχειρηματικό Περιβάλλον
Η προστασία των πληροφοριών είναι σήμερα περισσότερο από ποτέ άλλοτε κρίσιμη για τη διατήρηση της ανταγωνιστικότητας και ουσιαστικά για την ίδια την επιβίωση των επιχειρήσεων και των Οργανισμών που έχουν να κάνουν (και όλοι έχουν πια...) με ψηφιακό περιεχόμενο.
Το 2ο Infocom Security έχει ως στόχο του να αναδείξει τους κάθε λογής κινδύνους οι οποίοι θέτουν σήμερα εν αμφιβόλω την ασφάλεια των πληροφοριών και παράλληλα να αποτυπώσει με τον καλύτερο δυνατό τρόπο – και όσο αυτό είναι εφικτό μέσα σ’ ένα διαρκώς μεταβαλλόμενο τεχνολογικό τοπίο - τις υφιστάμενες τεχνολογίες, τις μελλοντικές τάσεις και τις απαραίτητες στρατηγικές που πρέπει να υιοθετηθούν, προκειμένου να προστατευτούν κρίσιμα επιχειρηματικά ή επιχειρησιακά δεδομένα και καίριες λειτουργίες.
When: 5th April 2012, from 09:30 to 18:30
Where: Divani Caravel Athens