Ημερίδα ενημέρωσης πραγματοποίησε την Δευτέρα 16 Δεκεμβρίου, 2019 η PwC Ελλάδας με θέμα την Ευρωπαϊκή Οδηγία NIS για την κυβερνοασφάλεια στο χώρο της Ενέργειας (ηλεκτρική, πετρέλαιο, αέριο). Στόχος ήταν η διερεύνηση της ετοιμότητας του κλάδου, η ενημέρωση αναφορικά με τις τελευταίες εξελίξεις στην ελληνική νομοθεσία, καθώς και η ανταλλαγή απόψεων για ένα κρίσιμο θέμα, όπως αυτό της κυβερνοασφάλειας.
Η εκδήλωση πραγματοποιήθηκε με τη συμμετοχή εξειδικευμένων εμπειρογνωμόνων από το διεθνές δίκτυο της PwC και παρουσία στελεχών Οργανισμών που έχουν αναγνωριστεί ως κρίσιμες υποδομές στον κλάδο της Ενέργειας από την Ανεξάρτητη Αρχή Κυβερνοασφάλειας.
Η Υπουργική Απόφαση 1027/8.10.2019 που δημοσιεύτηκε πριν από λίγους μήνες για τη ρύθμιση θεμάτων εφαρμογής και διαδικασιών του ελληνικού εφαρμοστικού νόμου 4577/2018, αποσκοπεί στον καθορισμό της μεθοδολογίας και των κριτηρίων προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ), στην έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, στον προσδιορισμό της διαδικασίας κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες Αρχές καθώς και της μεθοδολογίας αξιολόγησης και ελέγχου.
Στο πλαίσιο της ημερίδας παρουσιάστηκαν τα βασικά σημεία της Υπουργικής Απόφασης 1027/8.10.2019 και υπογραμμίστηκαν οι προκλήσεις που αναμένεται να αντιμετωπίσουν οι
Οργανισμοί στο ταξίδι τους για την επίτευξη της συμμόρφωσης. Την εμπειρία του αναφορικά με την προσαρμογή άλλων κρατών – μελών της Ευρωπαϊκής Ένωσης μοιράστηκε ο James Hunt, εξειδικευμένος σύμβουλος της PwC Αγγλίας, παρουσιάζοντας, μεταξύ άλλων, τα αποτελέσματα ωριμότητας του κλάδου της Ενέργειας στο Ηνωμένο Βασίλειο, τις καλές πρακτικές και εναλλακτικές προσεγγίσεις που ακολουθήθηκαν.
Μεγάλη έμφαση δόθηκε στις προκλήσεις που αντιμετωπίζουν οι Φορείς για την διατήρηση της
ασφάλειας των Υποδομών και Δικτύων τους. Από την συζήτηση με τους Φορείς αναδείχθηκαν ως πλέον σημαντικές προκλήσεις:
- O προσδιορισμός των κρίσιμων υπηρεσιών και επιχειρησιακών λειτουργιών των Φορέων και κατ’ επέκταση των Πληροφοριακών Συστημάτων και Υποδομών που τις υποστηρίζουν για την καλύτερη στόχευση και αποτελεσματική διαχείριση, η οποία θα βασίζεται στην διαχείριση των κινδύνων που θα αναγνωριστούν (risk-based approach)
- Ο σχεδιασμός ενός αποτελεσματικού Μοντέλου Διακυβέρνησης, που θα λαμβάνει υπόψη τις ιδιαιτερότητες των Φορέων και το Μοντέλο Λειτουργίας τους, με σαφείς ρόλους και αρμοδιότητες, υποστηριζόμενο από ένα συνεκτικό Πλαίσιο Ασφάλειας Πληροφοριών
- Ο σχεδιασμός μιας συνολικής προσέγγισης που θα καλύπτει τόσο τον κόσμο του «παραδοσιακού» Περιβάλλοντος Πληροφορικής όσο και των επιχειρησιακά κρίσιμων υποδομών για την υποστήριξη των βασικών Λειτουργιών των Φορέων.
- Η δήλωση εντός 24 ωρών ενός περιστατικού ασφαλείας, ως μια υποχρέωση που προϋποθέτει την αποτελεσματική συνεργασία πολλών μερών και επιτυγχάνεται μέσω συχνών ασκήσεων ετοιμότητας
Την εμπειρία του αναφορικά με την ασφάλεια στα βιομηχανικά συστήματα (Operational Technology - Industrial Systems) μοιράστηκε ο Cesar Tascon Alvarez, Partner της PwC Ισπανίας, παρουσιάζοντας “case studies” μεγάλων Ευρωπαϊκών Οργανισμών στον κλάδο της Ενέργειας καθώς και εναλλακτικών προσεγγίσεων που έχουν υιοθετηθεί.
Όπως προέκυψε από τη διαδραστική συζήτηση που πραγματοποιήθηκε, μεταξύ των συμμετεχόντων, ο αντίκτυπος της νέας Οδηγίας στις επιχειρήσεις στην Ελλάδα είναι μάλλον θετικός καθώς οι συζητήσεις τόσο για τον ορισμό του «Υπεύθυνου Ασφάλειας Πληροφοριών και Δικτύων» όσο και ευρύτερα για θέματα διακυβέρνησης της Ασφάλειας Πληροφοριών έχουν ανάγει το θέμα της ασφάλειας σε κρίσιμο για τις Διοικήσεις των επηρεαζόμενων Οργανισμών.
Ο Γιώργος Κολλιδάς, Director της PwC στο Τμήμα Συμβουλευτικών Υπηρεσιών Τεχνολογίας ανέφερε σχετικά “Είναι επιτακτική η ανάγκη ανάπτυξης πνεύματος συνεργασίας και σύμπραξης δυνάμεων μεταξύ των Φορέων του κλάδου αλλά και της Εθνικής Αρχής Κυβερνοασφάλειας με στόχο την υιοθέτηση μιας ενιαίας προσέγγισης που θα λαμβάνει υπόψη τις ιδιαίτερες απαιτήσεις του κλάδου της Ενέργειας”.
Ο Μιχάλης Σαμιωτάκης, Senior Manager της PwC στο Τμήμα Συμβουλευτικών Υπηρεσιών Ασφάλειας Πληροφοριών (CyberSecurity & Data Privacy) ανέδειξε την ανάγκη για άμεση κινητοποίηση των Οργανισμών που έχουν αναγνωριστεί ως “ΦΕΒΥ” ώστε να εξασφαλιστεί επαρκής χρόνος αντίδρασης. Ως προς αυτό ανέφερε ότι το πρώτο ορόσημο στο πρόγραμμα συμμόρφωσης τους είναι η έγκαιρη αναγνώριση τυχόν ελλείψεων ή περιοχών προς βελτίωση και ο σχεδιασμός ανάλογων δράσεων στις τρεις βασικές περιοχές της Οδηγίας που αφορούν σε μέτρα για τη Προστασία των Υποδομών, Αναγνώριση και Αντιμετώπιση Περιστατικών εστιάζοντας στα συστήματα που υποστηρίζουν τις κρίσιμες υπηρεσίες.
Η PwC, κατέχει σημαντική εμπειρία και τεχνογνωσία στο χώρο της Ενέργειας και ηγετική θέση στη διεθνή αγορά παροχής συμβουλευτικών υπηρεσιών στην Ασφάλεια Πληροφοριών και Δικτύων. Ως εκ τούτου, λειτουργεί επιτυχώς ως αμφίπλευρος δίαυλος επικοινωνίας μεταξύ των εμπλεκόμενων μερών.