Συνέντευξη στο Techblog με την Δέσποινα Σπανού, Διευθύντρια στην Ευρωπαϊκή Επιτροπή, υπεύθυνη για τη «Ψηφιακή Κοινωνία, Εμπιστοσύνη και την Κυβερνοασφάλεια»

Στο πλαίσιο του Ευρωπαϊκού συνεδρίου ICT 2018: “Imagine Digital – Connect Europe” το οποίο διοργάνωσε η Ευρωπαϊκή Επιτροπή μαζί με την Αυστριακή Προεδρία της Ευρωπαϊκής Ένωσης στη Βιέννη αρχές Δεκεμβρίου είχα την ευκαιρία να συναντηθώ και να μιλήσω με την Δέσποινα Σπανού, Διευθύντρια στην Ευρωπαϊκή Επιτροπή για τη «Ψηφιακή Κοινωνία, Εμπιστοσύνη και Κυβερνοασφάλεια».
Η συζήτηση μας εστίασε στη Ευρωπαϊκή πολιτική για την κυβερνοασφάλεια, τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών που εδρεύει στην Ελλάδα αλλά και βέβαια για τον τρόπο που η Ελλάδα εφαρμόζει τις σχετικές Ευρωπαϊκές πολιτικές σ’ αυτόν τον τόσο σημαντικό τομέα για τη σύγχρονη πραγματικότητα.
Κώστας Βλαχάκης: Λίγα μόλις χρόνια πριν, ο όρος «κυβερνοεπίθεση» φάνταζε στο μέσο πολίτη πως ανήκε περισσότερο στη σφαίρα της επιστημονικής φαντασίας ή στην καλύτερη των περιπτώσεων πως δεν είχε σχέση με τηv καθημερινή μας ζωή. Σήμερα η συζήτηση για την ασφάλεια του κυβερνοχώρου (cybersecurity) είναι πιο έντονη. Όμως, ποιους τελικά αφορά το θέμα της κυβερνοασφάλειας;
Δέσποινα Σπανού: H ασφάλεια του κυβερνοχώρου δεν αφορά μόνο τους ειδικούς στους ηλεκτρονικούς υπολογιστές, ή κάποιες εταιρείες, ή μόνο τις κυβερνήσεις ή συγκεκριμένους τομείς της οικονομίας, όπως για παράδειγμα τον χρηματοοικονομικό τομέα. Είναι ένα θέμα που μας αφορά όλους. Σήμερα σχεδόν όλοι χρησιμοποιούμε καθημερινά το διαδίκτυο ή συσκευές που με τον έναν ή τον άλλο τρόπο διασυνδέονται στον παγκόσμιο ιστό ή επικοινωνούν και αλληλεπιδρούν μεταξύ τους. Επιπλέον, ακόμη και τα πιο προσωπικά μας δεδομένα διακινούνται μέσω του διαδικτύου, όπως για παράδειγμα όταν καταθέτουμε τη φορολογική μας δήλωση, ή αποθηκεύονται σε συσκευές που συνδέονται στο διαδίκτυο, όπως για παράδειγμα όταν αποθηκεύομαι φωτογραφίες ή μηνύματα στο κινητό μας τηλέφωνό. Με κάθε ενέργεια μας λοιπόν στον ψηφιακό κόσμο θα πρέπει ταυτόχρονα να μας απασχολεί και η κυβερνοασφάλεια διότι άγνοια, απροσεξία ή αμέλεια στο τρόπο που αξιοποιούμε τις εκπληκτικές δυνατότητες που μας προσφέρει η ψηφιακή τεχνολογία μπορεί να μας καταστήσει ευάλωτους στόχους σε πιθανές κυβερνοεπιθέσεις που μπορεί να οδηγήσει στην κλοπή των προσωπικά μας δεδομένων, με ό,τι κινδύνους μία τέτοια διαρροή εγκυμονεί. Όλοι μπορούμε δυνητικά να πέσουμε θύματα κάποιας μορφής κυβερνοεγκλήματος, και για αυτό ακριβώς το λόγο πρέπει να γνωρίζουμε πως να προστατευθούμε αλλά και να αντιδράσουμε σε τέτοιες περιπτώσεις. Η Ευρωπαϊκή Επιτροπή (DG CONNECT) και ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) θέλοντας να ευαισθητοποιήσουμε πολίτες και οργανισμούς για τη σημασία της ασφάλειας των πληροφοριών στον κυβερνοχώρο κάθε χρόνο αφιερώνουμε το μήνα Οκτώβριο στην κυβερνοασφάλεια διοργανώνοντας την εκστρατεία «Ευρωπαϊκός Μήνας για την Ασφάλεια στον Κυβερνοχώρο (European Cyber Security Month)».
Κώστας Βλαχάκης: Η Ευρωπαϊκή Επιτροπή συνεργάζεται με τις κυβερνήσεις των κρατών μελών σε θέματα κυβερνοασφάλειας;
Δέσποινα Σπανού: Ναι, συνεργαζόμαστε με όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης (Ε.Ε.) ώστε να ενισχύσουμε την κυβερνοασφάλεια στην Ευρώπη και να σχεδιάσουμε τις αναγκαίες πολιτικές. Πλέον, και χάρη στην Ευρωπαϊκή Οδηγία για την ασφάλεια των πληροφοριακών συστημάτων, γνωστή ως Οδηγία NIS (από τα αρχικά του αγγλικού όρου Network and Information Systems), κάθε κράτος μέλος της Ε.Ε. είναι νομικά υποχρεωμένο να έχει μια εθνική στρατηγική για την ασφάλεια των κρίσιμων εθνικών υποδομών και ψηφιακών συστημάτων απo κυβερνοεπιθέσεις. Επιπλέον, κάθε κράτος μέλος πρέπει να ορίζει ένα εθνικό ενιαίο κέντρο επαφής υπεύθυνο για τον συντονισμό θεμάτων σχετικά με την κυβερνοασφάλεια των κρίσιμων εθνικών υποδομών και ψηφιακών συστημάτων και τη διασυνοριακή συνεργασία σε επίπεδο Ε.Ε. και αρμόδιες εθνικές αρχές γνωστές επίσης ως «ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική» (Computer Emergency Response Teams — CERT ή CSIRT) για την εκτέλεση των καθηκόντων που συνδέονται με την ασφάλεια των συστημάτων δικτύου και πληροφοριών των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών. Φυσικά αυτές οι αρχές πρέπει να είναι στελεχωμένες με το κατάλληλα εκπαιδευμένο προσωπικό και να διαθέτουν τον κατάλληλο εξοπλισμό. Η Ευρωπαϊκή Ένωση προσπαθεί να παρέχει και επιδοτήσεις για την ενίσχυση των CERT/CSIRT.
Αυτό που κάνουμε λοιπόν εμείς, είναι να βοηθάμε τα κράτη μέλη, τις 28 αυτές ομάδες αλλά και τα 28 υπουργεία που εργάζονται για αυτό το θέμα, έτσι ώστε οι 28 εθνικές αρχές για την κυβερνοασφάλεια να βρίσκονται μαζί, να ανταλλάσουν απόψεις και να συνεργάζονται.
Να σημειώσω εδώ πως η Ευρωπαϊκή ‘Ένωση συνεργάζεται και με κυβερνήσεις πολλών άλλων τρίτων χωρών αλλά και με διεθνείς οργανισμούς με στόχο την ενίσχυση της ασφάλειας και της αποτροπής ή περιορισμό των συνεπειών των κυβερνοεπιθέσεων. Πρέπει όλοι να κατανοήσουμε πως οι επιθέσεις αυτές όχι μόνο μας αφορούν όλους αλλά δεν γνωρίζουν εθνικά σύνορα και μπορούν να προκαλέσουν τρομερή οικονομική βλάβη αλλά ακόμη και να στοιχίσουν ζωές. Επομένως, η συνεργασία, η ανταλλαγή πληροφοριών και τεχνογνωσίας αλλά και η καθιέρωση αυστηρών διεθνών προτύπων στο τομέα της κυβερνοασφάλειας είναι εξαιρετικά σημαντικό.

Κώστας Βλαχάκης: Η χώρα μας έχει στρατηγική για την κυβερνοασφάλεια;
Δέσποινα Σπανού: Ναι η Ελλάδα έχει εθνική στρατηγική για την κυβερνοασφάλεια καθότι όπως εξηγήσαμε είναι πλέον νομική υποχρέωση για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Οι αναγνώστες μας μπορούν να διαβάσουν την ελληνική στρατηγική κυβερνοασφάλειας στο σχετικό διαδικτυακό τόπο της Ευρωπαϊκής Επιτροπής. Επιπλέον, η Ελλάδα έχει ενσωματώσει στην ελληνική νομοθεσία την Ευρωπαϊκή Οδηγία NIS. Ωστόσο, να σημειώσω πως η Ελλάδα έχει λίγη ακόμη δουλειά ώστε να εφαρμόσει πλήρως τις διατάξεις της οδηγίας NIS.
Κώστας Βλαχάκης: Στην Ελλάδα υπάρχει ομάδα CERT;
Δέσποινα Σπανού: Ναι και η Ελλάδα έχει CERT ή Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων. Μπορείτε να βρείτε επιπλέον πληροφορίες για την αποστολή της αλλά και τις υπηρεσίες που προσφέρει στο διαδικτυακό τόπο της ελληνικής Εθνικής Αρχής Αντιμετώπισης Ηλεκτρονικών Επιθέσεων.
Κώστας Βλαχάκης: Δηλαδή υπάρχουν στους κόλπους της Ευρωπαϊκής Ένωσης ομάδες οι οποίες αντιμετωπίζουν επιθέσεις στον κυβερνοχώρο από τρίτους;
Δέσποινα Σπανού: Η Ευρωπαϊκή Ένωση φροντίζει να υπάρχει ενιαία νομοθεσία για όλα τα κράτη μέλη προκειμένου να έχουμε μια ενιαία και ασφαλή εσωτερική αγορά. Στον τομέα της ασφάλειας στον κυβερνοχώρο λοιπόν, επιδιώκουμε να έχουν όλες οι χώρες την ίδια ικανότητα αντιμετώπισης τέτοιων συμβάντων, εξ ου και οι ομάδες CERT, που τώρα βρίσκονται σε όλα τα κράτη μέλη της Ε.Ε..
Επίσης, η Ευρωπαϊκή Ένωση για να προστατέψει και ενισχύσει την ασφάλεια των δικών της ηλεκτρονικών συστημάτων έχει επίσης συστήσει από το Σεπτέμβριο του 2012 τη δική της ομάδα για την αντιμετώπιση ηλεκτρονικών επιθέσεων, το CERT-EU. Η Ευρωπαϊκή ομάδα αντιμετώπισης ηλεκτρονικών επιθέσεων αποτελείται κυρίως από ειδικούς, μεταξύ αυτών και αρκετοί Έλληνες, σε θέματα κυβερνοασφάλειας που προέρχονται από τα κύρια όργανα της Ευρωπαϊκής Ένωσης (Ευρωπαϊκό Κοινοβούλιο, Συμβούλιο της Ευρωπαϊκής Ένωσης, Ευρωπαϊκή Επιτροπή, Ευρωπαϊκή Επιτροπή των Περιφερειών, Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή (ΕΟΚΕ) και συνεργάζεται στενά και με τις εθνικές αρχές κυβερνοασφάλειας.
Κώστας Βλαχάκης: Πείτε μας ποιος ακριβώς είναι ο σκοπός του ENISA;
Δέσποινα Σπανού: Ο ENISA, ο οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών, αποτελεί έναν πολύ σημαντικό οργανισμό για όλα τα κράτη μέλη της Ε.Ε., διότι αυξάνει την ικανότητα όλων σε επίπεδο τεχνογνωσίας, πληροφορίας αλλά και συνεργασίας σε θέματα κυβερνοασφάλειας. Βοηθά τις αρχές των κρατών μελών που είναι αρμόδιες για την κυβερνοασφάλεια ώστε να προστατεύουν καλύτερα την Ευρωπαϊκή Ένωση από κυβερνοεπιθέσεις. Η έδρα του ENISA είναι η Ελλάδα. Ο οργανισμός είναι στελεχωμένος με πολλούς ειδικούς στην κυβερνοασφάλεια αλλά επίσης λειτουργεί και σαν ένας κόμβος που φέρνει κοντά ειδικούς στην κυβερνοασφάλεια, και δεν είναι πολλοί οι ειδικοί στο θέμα της ασφάλειας του κυβερνοχώρου, έχουμε πολύ λίγους ανά τον κόσμο, όχι μόνο στην Ευρώπη. Υπάρχει έλλειμμα ανθρώπινου δυναμικού σε αυτόν το χώρο.
Κώστας Βλαχάκης: Αυτό είναι ωραίο να επικοινωνηθεί ιδίως σε άτομα που ψάχνουν ευκαιρίες σταδιοδρομίας.
Δέσποινα Σπανού: Η ψηφιακή τεχνολογία δημιουργεί και θα συνεχίσει τα επόμενα χρόνια να δημιουργεί νέες επαγγελματικές αλλά και επιχειρηματικές ευκαιρίες και γι΄ αυτό το λόγο πρέπει να στρέψουμε τα παιδιά μας προς αυτή την επαγγελματική κατεύθυνση ή σε τομείς οι οποίοι είναι κοντά στη ψηφιακή οικονομία και κοινωνία. Για παράδειγμα στον τομέα της κυβερνοασφάλειας αλλά και στον τομέα της τεχνητής νοημοσύνης (ΑΙ), η οποία και αυτή από τον άνθρωπο θα καθορίζεται, θα χρειαστεί ειδικευμένο προσωπικό με γνώση και κατάλληλες δεξιότητες και σήμερα μας λείπει αυτό το ανθρώπινο δυναμικό. Στην Ευρώπη γνωρίζουμε ότι στο χώρο της ασφάλειας του κυβερνοχώρου θα μας λείπουν 350.000 ειδικοί μέχρι το 2025. Και ακριβώς το ίδιο έλλειμμα έχουν και οι ΗΠΑ. Σήμερα οι εθνικές αρχές κυβερνοασφάλειας αντιμετωπίζουν δυσκολία στο να βρουν το κατάλληλα εξειδικευμένο προσωπικό.
Κώστας Βλαχάκης: Θα ήθελα να επανέλθω στον ENISA. Γνωρίζω πως η διεύθυνση σας είναι υπεύθυνη για τον ENISA. Είστε περήφανη για τον ENISA;
Δέσποινα Σπανού: Νομίζω ότι όλοι οι πολίτες της Ευρωπαϊκής Ένωσης πρέπει να είμαστε περήφανοι για τον ENISA και για τις υπηρεσίες που μας προσφέρει. Είναι ένας οργανισμός της Ευρωπαϊκής Ένωσης (Ε.Ε.) με τη συμμετοχή στη διοίκηση του όλων των κρατών μελών της Ε.Ε. και τον οποίο μέσω των φόρων μας πληρώνουμε όλοι οι Ευρωπαίοι πολίτες. Το πολυεθνικό του προσωπικό του δουλεύει μαζί για το καλό του Ευρωπαίου πολίτη και ενισχύει την συνεργασία των κρατών μελών στον τομέα της κυβερνοασφάλειας. Επίσης, η σημασία του γίνεται ακόμη πιο σημαντική για τις μικρές χώρες της Ε.Ε. που δεν διαθέτουν τις δυνατότητες που έχουν μεγάλες χώρες όπως η Γαλλία ή Γερμανία. Για παράδειγμα η Γερμανία έχει κάποιες εκατοντάδες άτομα που δουλεύουν στην ειδική αρχή για την ασφάλεια του κυβερνοχώρου. Στις μικρές χώρες μιλάμε για 10 με 20 άτομα. Τώρα όμως μπορούν και δουλεύουν όλοι μαζί, και η ENISA είναι εκεί για να βοηθάει και τα κράτη μέλη που δεν μπορούν γρήγορα να αποκτήσουν είτε την τεχνογνωσία, είτε το προσωπικό ώστε να μπορούν να αντιμετωπίσουν αυτές τις προκλήσεις, και με τον τρόπο αυτό μπορούν όλοι να φτάσουν στο ίδιο επίπεδο κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Μάλιστα, σύμφωνα με το νέο Ευρωπαϊκό Κανονισμό European Cybersecurity Act που έχουμε προτείνει, ο ρόλος του ENISA ενισχύεται και επομένως ενισχύεται και η Ευρωπαϊκή αλληλεγγύη στον τομέα της κυβερνοασφάλειας.

Κώστας Βλαχάκης: Βλέπουμε πως η κυβερνοασφάλεια είναι ένας τομέας στον οποίο η Ευρωπαϊκή Ένωση και ειδικότερα η Ευρωπαϊκή Επιτροπή έχει κατανοήσει τη σημασία του και εστιάζει πολύ τα τελευταία χρόνια, τόσο επιδοτώντας την έρευνα στον τομέα αυτό, όσο και με προτάσεις κατάλληλων πολιτικών, όπως η πρόταση European Cybersecurity Act αλλά και με πρωτοβουλίες όπως για παράδειγμα ο «Ευρωπαϊκός Μήνας για την Ασφάλεια στον Κυβερνοχώρο» που μας αναφέρατε νωρίτερα. Θα ήθελα όμως να σας ρωτήσω να μας πείτε λίγα λόγια παραπάνω για τη πρόταση European Cybersecurity Act και ειδικότερα για το κομμάτι που αφορά το European Cybersecurity Certification Framework που ετοιμάζει η Ευρωπαϊκή Επιτροπή.
Δέσποινα Σπανού: Χάρη στην ενιαία Ευρωπαϊκή εσωτερική αγορά (the European Single Market), όταν οι Ευρωπαίοι πολίτες αγοράζουν για παράδειγμα ένα τηλέφωνο, πιθανότατα πια ένα “έξυπνο” τηλέφωνο, γνωρίζουν πως αυτό το αντικείμενο, το προϊόν, για να κυκλοφορεί στην Ευρωπαϊκή αγορά σέβεται τα Ευρωπαϊκά πρότυπα. Δηλαδή, το προϊόν έχει ελεγχθεί και πληροί όλες τις ευρωπαϊκές προδιαγραφές ως προς την ασφάλεια και την προστασία της υγείας και του περιβάλλοντος. Έτσι ο καταναλωτής ή μια εταιρεία (μικρή ή μεγάλη) γνωρίζει πως αυτό το προϊόν ή υπηρεσία είναι ασφαλής για χρήση. Σ΄ αυτή τη βασική αρχή, στην προστασία του καταναλωτή, στηρίζεται και το Cybersecurity Certification Framework που προτείνουμε. Θα έχουμε για πρώτη φορά Ευρωπαϊκή νομοθεσία που να πιστοποιεί σε Ευρωπαϊκό επίπεδο πως τα προϊόντα τεχνολογίας και υπηρεσίες που μας προσφέρουν ψηφιακές συσκευές και προϊόντα σέβονται κάποια βασικά πρότυπα κυβερνοασφάλειας. Με τον τρόπο αυτό προσπαθούμε να ενισχύσουμε την προστασία του χρήστη-καταναλωτή τεχνολογίας έναντι κυβερνοεπιθέσεων. Βλέπουμε ότι υπάρχει πολύ μεγάλη διάθεση και από την αγορά να αγκαλιάσει αυτή την πρωτοβουλία διότι είναι αναγκαίο να μπορεί ο καταναλωτής και οποιοσδήποτε αγοραστής, να έχει την επιλογή να αγοράζει πιστοποιημένα προϊόντα.
Κώστας Βλαχάκης: Κλείνοντας, ποιο είναι το μήνυμα που θέλετε να περάσετε προς τα έξω;
Δέσποινα Σπανού: Αρχικά θα ήθελα να αναφέρω πως η Ελλάδα έχει πάρα πολύ καλούς ηλεκτρολόγους μηχανικούς και μηχανικούς ηλεκτρονικών υπολογιστών αλλά και προγραμματιστές. Το γνωρίζω καλά διότι και στη δική μου ομάδα στην Ευρωπαϊκή Επιτροπή έχω Έλληνες με υψηλή ειδίκευση και γνώσεις στον τομέα της κυβερνοασφάλειας. Κατά τη γνώμη μου η ύπαρξη τέτοιου εξειδικευμένου προσωπικού είναι ένα μεγάλο συγκριτικό πλεονέκτημα για μια χώρα.
Το βασικό μου μήνυμα προς την Ελλάδα αλλά και γενικότερα προς στην Ευρώπη είναι πως πρέπει να εντείνουμε τις προσπάθειες μας ώστε όλο και περισσότεροι νέοι να στραφούν προς τους τομείς των νέων τεχνολογιών καθότι εκεί υπάρχουν πολλές επαγγελματικές ευκαιρίες. Επίσης, η Ευρώπη έχει ανάγκη από τέτοιο εξειδικευμένο προσωπικό.
Το δεύτερο που θέλω να επισημάνω είναι ότι η Ευρωπαϊκή Ένωση αλλάζει. Πρέπει να φροντίσουμε ώστε η αλλαγή να είναι θετική για τη ζωή του Ευρωπαίου πολίτη. Η Ευρωπαϊκή Επιτροπή είναι προσηλωμένη στο στόχο αυτό. Ακούμε τους πολίτες και προσπαθούμε να βάλουμε όλες μας τις δυνάμει προκειμένου να βοηθήσουμε τα κράτη μέλη και τους πολίτες της Ευρωπαϊκής Ένωσης. Και η Ελλάδα, ως χώρα που έχει περάσει μια οικονομική κρίση και αντιμετωπίζει οικονομικές δυσκολίες, έχει βρει μεγάλη στήριξη από την Ευρωπαϊκή Ένωση. Πρέπει να συνεχίσουμε να επενδύουμε σε μια Ευρώπη που βοηθάει τα κράτη μέλη της να συνεργάζονται και να ανταλλάσσουν μεταξύ τους γνώσεις και εμπειρίες. Και ειδικά στον τομέα της κυβερνοασφάλειας μπορώ να σας πως ότι η ανταλλαγή εμπειριών και πληροφοριών αλλά και η Ευρωπαϊκή αλληλεγγύη μεταξύ των κρατών μελών της Ε.Ε. είναι έκδηλη.