Πολιτική Ασφάλειας: Τι είναι και γιατί τη ζητά η ΑΔΑΕ

Η δήλωση της πολιτικής ασφάλειας για τη διασφάλιση του Απορρήτου των παρεχόμενων υπηρεσιών ή δικτύων ηλεκτρονικών επικοινωνιών από τις εταιρείες που δραστηριοποιούνται στο χώρο, είναι πλέον υποχρεωτική σύμφωνα με την ΑΔΑΕ. 

Πολλές εταιρείες, οι οποίες δραστη­ριο­ποιούνται στην παροχή τηλε­πικοι­νωνιακών υπηρεσιών και υπηρεσιών διαδικτύου, λαμβάνουν τον τελευταίο καιρό επιστολές από την ΑΔΑΕ (Αρχή Διασφάλισης Απορρήτου Επικοινωνιών) με τις οποίες καλούνται:

• Εντός 20-ημέρου να δηλώσουν προς την ΑΔΑΕ, με υπεύθυνη δήλωση του εκπροσώπου τους, τις ¶δειες Υπηρεσιών που διαθέτει η εταιρεία τους από την ΕΕΤΤ (Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων) καθώς και ποιες από αυτές είναι ενεργές ή όχι.
• Εντός δύο μηνών να υποβάλουν στην ΑΔΑΕ έγγραφη πολιτική ασφάλειας, σε εφαρμογή του άρθρου 6 παρ. 1 του Ν.3115/2003 (ΦΕΚ Α’47/27-2-2003) και των Αποφάσεων της ΑΔΑΕ ΦΕΚ 87/2005 και 88/2005.

Η εν λόγω πολιτική ασφάλειας αφορά τη διασφάλιση του Απορρήτου των παρεχόμενων υπηρεσιών/δικτύων ηλεκτρονικών επικοινωνιών. Το άρθρο αυτό έρχεται να δώσει μερικές βασικές πληροφορίες για το θέμα, μιας και από ό,τι γνωρίζουμε, οι υπεύθυνοι πολλών εταιρειών έχουν κυριολεκτικά «πελαγώσει» με το θέμα και δεν γνωρίζουν το πώς και το γιατί.

Τι χρειάζεται η πολιτική ασφάλειας και ποιες υπηρεσίες καλύπτει ;
Καταρχάς, γιατί πολιτική ασφάλειας, τι χρειάζεται και γιατί η ΑΔΑΕ επισείει τη σπάθη του Νόμου για όσες εταιρείες δεν συμμορφωθούν και δεν υποβάλλουν εγκαίρως την πολιτική ασφάλειας της εταιρείας τους;
Ο λόγος είναι ότι οι εν λόγω εταιρείες έχουν εκταμιευμένες και διακινούν προσωπικές πληροφορίες των πελατών τους, πιθανή διαρροή των οποίων ενδέχεται να επιφέρει μεγάλη ζημία σ’ αυτούς. Οι εν λόγω πληροφορίες δεν περιορίζονται στις περιπτώσεις υποκλοπών (όπως το γνωστό σκάνδαλο που συντάραξε τον πολιτικό βίο της χώρας πριν από δύο χρόνια), αλλά και περιπτώσεις ηλεκτρονικών συναλλαγών και ηλεκτρονικού εμπορίου, οι οποίες χρήζουν ιδιαίτερης προστασίας, με τη λήψη κατάλληλων μέτρων ασφαλείας.
Οι σχετικές αποφάσεις (ΦΕΚ 87 & 88/26.1.2005) που εξέδωσε η ΑΔΑΕ, αφορούν:

• Τον κανονισμό για τη Διασφάλιση του Απορρήτου κατά την Παροχή Σταθερών, Κινητών και Ασύρματων Τηλεπικοινωνιακών Υπηρεσιών.
• Τον κανονισμό για την Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές, τις Διαδικτυακές Υποδομές και τη Διασφάλιση του Απορρήτου Εφαρμογών και του Χρήστη Διαδικτύου.

Τι πρέπει να περιέχει η Πολιτική Ασφάλειας (ΠΑ) μιας εταιρείας

Η ΠΑ μιας εταιρείας θα πρέπει κατ’ ελάχιστο να καθορίζει:

• Την πολιτική πρόσβασης στα συστήματα και τις πληροφορίες (φυσική ασφάλεια κτιρίων και συστημάτων, καθώς και μεθόδους ελέγχου της αυθεντικότητας των χρηστών).
• Τις ενέργειες που ακολουθούνται για τη διατήρηση της ασφάλειας.
• Τα μέτρα που εφαρμόζονται σε περιπτώσεις παραβίασης της ασφάλειας ή σε έκτακτα γεγονότα.

Τι θα πρέπει να έχει υπόψη του αυτός που θα προετοιμάσει την ΠΑ μιας εταιρείας:
Όποιος επιφορτιστεί με την προετοιμασία της ΠΑ μιας εταιρείας, θα πρέπει να ακολουθήσει συγκεκριμένα βήματα, τα οποία θα τον βοηθήσουν στην προετοιμασία του κειμένου. Στη συνέχεια δίνονται μερικές γενικές συμβουλές, χωρίς τα παρακάτω να αποτελούν τη μοναδική και ολοκληρωτική προσέγγιση στο θέμα.

• Στην αρχή θα πρέπει να καταγραφούν οι βασικές δραστηριότητες της εταιρείας, σε σχέση και με τις υπηρεσίες Γενικής ή Ειδικής ¶δειας της εταιρείας, που είναι εγκεκριμένες από την ΕΕΤΤ.
• Στη συνέχεια θα πρέπει να εντοπιστούν τα στοιχεία (υποδομές, πληροφορίες κ.λπ.) που πρέπει να προστατευτούν.
• Να γίνει προσδιορισμός των κινδύνων που απειλούν τα εν λόγω στοιχεία.
• Να προσδιοριστεί η πιθανότητα να πραγματοποιηθούν οι παραπάνω απειλές.
• Να καταγραφούν τα μέτρα προστασίας των στοιχείων που χρήζουν προστασίας (με κριτήριο τις παραμέτρους ρίσκο/κόστος υλοποίησης ή μη υλοποίησης των μέτρων ασφαλείας).
• Να καθοριστεί η διαδικασία αναθεώρησης της ΠΑ, όπως και τα αρμόδια στελέχη για την υπογραφή και την αναθεώρηση.

Ο υπεύθυνος Ασφαλείας και η τεκμηρίωση της ΠΑ
Πολύ βασικό θέμα είναι να οριστούν οι αρμοδιότητες και το άτομο το οποίο θα είναι επιφορτισμένο με το σχεδιασμό, τη λήψη και υλοποίηση μέτρων ελέγχου ασφαλείας.
Ο υπεύθυνος ασφαλείας θα πρέπει να φροντίζει για την αναθεώρηση των μέτρων ασφαλείας, όταν αλλάζουν οι συνθήκες και ο τρόπος λειτουργίας της εταιρείας (modum of operandi). Πρέπει να σημειωθεί ότι οι κανονισμοί και οι αποφάσεις της ΑΔΑΕ προβλέπουν τον ορισμό υπευθύνων για πολλές δραστηριότητες της εταιρείας που σχετίζονται με την ασφάλεια, όπως:

• Υπεύθυνος Πολιτικής Ασφάλειας Περιμέτρου
• Υπεύθυνος Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού
• Υπεύθυνος λήψης αντιγράφων ασφαλείας (back-up)
• Υπεύθυνος Ομάδας Ελέγχου Ασφαλείας Δικτύου
• Υπεύθυνος αποτίμησης κινδύνων
• Υπεύθυνος συστήματος

Η Πολιτική Ασφαλείας αποτελείται από πολλά επιμέρους τμήματα, όπως είναι:

• Η πολιτική διαχείρισης και εγκατάστασης τηλεπικοινωνιακού εξοπλισμού
• Η πολιτική λήψης αντιγράφων ασφαλείας
• Η πολιτική δημιουργίας και χρήσης κωδικών ασφαλείας
• Η πολιτική προστασίας από κακόβουλο λογισμικό (ιούς, σκουλήκια κ.λπ.)
• Η πολιτική ασφαλείας Παρόχου υπηρεσίας εφαρμογής
• Η πολιτική αποδεκτής χρήσης και πρόσβασης
• Η πολιτική διασφάλισης του απορρήτου των επικοινωνιών κ.λπ.

Για την υλοποίηση των πολιτικών που προβλέπουν οι κανονισμοί της ΑΔΑΕ, θα πρέπει να συνταχθούν και να τηρούνται συγκεκριμένες φόρμες, αλλά και να υπάρχει γραπτή τεκμηρίωση σε συγκεκριμένα θέματα, τα οποία αφορούν στην ασφάλεια.

Συμπεράσματα:
Η ασφάλεια είναι ένα συνεχές μέλημα μιας εταιρείας. Αν σήμερα έχουμε επιτύχει ένα ικανοποιητικό επίπεδο ασφάλειας, αυτό δεν σημαίνει ότι αυτό θα ισχύει και αύριο, αν δεν ληφθούν κατάλληλα μέτρα και δεν γίνονται τακτικοί έλεγχοι (μεταξύ των οποίων πιθανώς και penetration testing).Τα μέτρα ασφαλείας αποδίδουν στην περίοδο κρίσης, αλλά πρέπει να έχουν ληφθεί σε ανύποπτο χρόνο (πολύ πριν).Οι επιπτώσεις από πλημμελή τήρηση των μέτρων ασφαλείας είναι σημαντικές για την εταιρεία και για την εικόνα της στους πελάτες της. Πέραν των ανωτέρω, η εταιρεία έχει να αντιμετωπίσει και πιθανές κυρώσεις από τις Αρχές (ΑΔΑΕ, Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ΕΕΤΤ κ.λπ.). Πάντα ζυγίζουμε το κόστος λήψης μέτρων ασφαλείας, σε σχέση με τις πιθανές επιπτώσεις και το κόστος υλοποίησης των μέτρων.