Αρχική ΣΥΣΤΑΣΗ ΓΕΝΙΚΗΣ ΓΡΑΜΜΑΤΕΙΑΣ ΨΗΦΙΑΚΗΣ ΠΟΛΙΤΙΚΗΣΆρθρο 02-Αρμοδιότητες της Γενικής Γραμματείας Ψηφιακής ΠολιτικήςΣχόλιο του χρήστη Tim Kabasilas | 8 Φεβρουαρίου 2016, 22:44
- Αρχική
- Πρωθυπουργός της Ελλάδας
- Ανοικτή Διακυβέρνηση
- Δικτυακός Τόπος Υπουργείου
- Διαβουλεύσεις Υπουργείων
Μου προκαλεί έκπληξη η μεταβίβαση των αρμοδιοτήτων CERT, Infosec και Tempest από την ΕΥΠ στο νέο φορέα, επειδή αυτό σημαίνει πρακτικά την κατάργηση της Ε΄ Δνσης της ΕΥΠ. Επομένως, θεωρώ ότι έχει γίνει κάποια παρανόηση στην έννοια της ασφάλειας. Η έννοια της ασφάλειας (information security) έχει πολλές διαστάσεις: (α) εμπιστευτικότητα (β) ακεραιότητα (γ) διαθεσιμότητα (δ) αυθεντικότητα (ε) μη-αποποίηση Η Ε΄ Δνση της Εθνικής Υπηρεσίας Πληροφοριών είναι υπεύθυνη για την ασφάλεια των Εθνικών Επικοινωνιών. Στην πραγματικότητα όμως εστιάζει στη διάσταση (α) δηλαδή την εμπιστευτικότητα. Δηλαδή η Ε΄ Δνση μεριμνα για την μη αποκάλυψη των διαβαθμισμένων κρατικών πληροφοριών. Με αυτή την ιδιότητα, η Ε Δνση εξυπηρετεί (προστατεύει) άλλα κρίσιμα Υπουργεία που διαχειρίζονται διαβαθμισμένες πληροφορίες, όπως το Υπουργείο Αμύνης και το Υπουργείο Εξωτερικών. Στο βαθμό που αντιλαμβάνομαι το υπό διαβούλευση νομοσχέδιο, οι διαστάσεις της ασφάλειας που αφορούν τον ελληνικό δημόσιο τομέα στο σύνολό τους είναι κατά κύριο λόγο οι (β - ε) και λιγότερο η (α). Με την υπάρχουσα διατύπωση του νομοσχεδίου, μεταβιβάζονται στη ΓΓΨΠ όλες οι αρμοδιότητες ασφαλείας, άρα και η εμπιστευτικότητα, καταργώντας ουσιαστικά την Ε΄ Δνση της ΕΥΠ. Πρακτικά αυτό σημαίνει ότι η υπό σύσταση ΓΓΨΠ θα κληθεί: (α) να αξιολογεί αλγορίθμους κρυπτογράφησης (β) να αξιολογεί κρυπτοσυστήματα (γ) να συμμετέχει σε επιτροπές διαπίστευσης ασφαλείας Το παραπάνω περιγραφόμενο έργο απαιτεί μεγάλη εξειδικευμένη εμπειρία η οποία δεν αποκτάται εύκολα και γρήγορα. Δεν θα μπορούσα να διανοηθώ μια τέτοια μεταβίβαση αρμοδιότητας με ορίζοντα μικρότερο από μια πενταετία. Επίσης το παραπάνω περιγραφόμενο έργο είναι αρκετό από μόνο του για να μην περισσεύουν πόροι της ΓΓΨΠ για καμία άλλη από τις αρμοδιότητες που της έχουν ανατεθεί. Επανερχόμενη λοιπόν στο αρχική μου απορία, θεωρώ ότι πρέπει να γίνει διάκριση των διαστάσεων της ασφάλειας. Είναι σαφές ότι η υπό σύσταση ΓΓΨΠ πρέπει να έχει αρμοδιότητες ασφαλείας (κυρίως τις β - ε) αλλά αυτό δε σημαίνει ότι πρέπει να γίνει εθνική αρχή infosec και εθνική αρχή tempest. Οι εθνικές αυτές αρχές αφορούν στις διαβαθμισμένες πληροφορίες και στα κράτη-μέλη της ΕΕ έχουν ανατεθεί άμεσα ή έμμεσα στις αντίστοιχες υπηρεσίες πληροφοριών.