Ελλάδα|19.11.2024 04:55

Ασφάλεια δικτύων: Για κίνδυνο επιβολής διπλών προστίμων και σύγκρουσης αρμοδιοτήτων προειδοποιεί η ΑΔΑΕ

Μαρία Λιλιοπούλου

Καμπανάκι κινδύνου για τη σύγκρουση αρμοδιοτήτων αλλά και για το ενδεχόμενο επιβολής δύο διαφορετικών προστίμων από δύο διαφορετικές Αρχές για την ίδια παραβίαση έκρουσε ο πρόεδρος της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), Χρηστος Ράμμος μιλώντας στο πλαίσιο ακρόασης εξωκοινοβουλευτικών φορέων αναφορικά με το νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης για την κυβερνασφάλεια που συζητείται από την αρμόδια επιτροπή της Βουλής.

Όπως προέκυψε από τα λεγόμενα του κ. Ράμμου, το εν λόγω σχέδιο νόμου, το οποίο ο ίδιος παρά τις διαβεβαιώσεις του υπουργού, Δημήτρη Παπαστεργίου, επιμένει ότι ψαλιδίζει κρίσιμες αρμοδιότητες της Αρχής, όπως έχει ήδη επισημάνει σε ρεπορτάζ του το «Εθνος», ενδέχεται να δημιουργήσει περισσότερα προβλήματα από όσα επιχειρεί να επιλύσει.

H προστασία του απορρήτου είναι δύσκολο να διαχωριστεί από την ασφάλεια των δικτύων

Άλλωστε όπως εξήγησε ο πρόεδρος της ΑΔΑΕ, η προστασία του απορρήτου είναι δύσκολο - εάν όχι αδύνατο - να διαχωριστεί από την ασφάλεια των δικτύων. Κάνοντας μία αναδρομή, ανέφερε ότι το απόρρητο προστατεύεται από το Σύνταγμα, αλλά σιγά σιγά διαπιστώθηκε ότι αποτελεί «ένα κομματάκι της γενικότερης έννοιας της ασφάλειας των δικτύων. Όταν δεν υπάρχει ασφαλές δίκτυο, αυτομάτως το απόρρητο πάσχει. Υπό αυτή την έννοια, σιγά σιγά εξελίχθηκε αναγκαστικά επειδή δεν γινόταν αλλιώς, στις καταγγελίες των πολιτών, σε καταγγελίες περιστατικών, πάντα να ελέγχουμε και την ασφάλεια του δικτύου. Αυτή ήταν η αρμοδιότητα η οποία σιγά σιγά μας αναγνωρίστηκε», ανέφερε χαρακτηριστικά.

Ουσιαστικά, βάσει των επιχειρημάτων του κ. Ράμμου, το νομοσχέδιο έρχεται να αφαιρέσει από την ΑΔΑΕ τις διευρυμένες αρμοδιότητες ως προς την ασφάλεια των δικτύων και υπηρεσιών κατά την παροχή δημόσιων δικτύων ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, που είχε ήδη από το 2012, και μάλιστα χωρίς αυτό να επιβάλλεται από την Οδηγία η οποία δεν επιβάλλει την ύπαρξη μιας μόνο αρχής διαχείρισης κυβερνοκρίσεων σε κάθε κράτος μέλος.

Άλλωστε - όπως είπε - χώρες όπως είναι η Σλοβενία, η Κροατία, η Φιλανδία και η Ιρλανδία διατηρούν τις Αρχές και με την ενσωμάτωση της Οδηγίας. «Δεν σημαίνει ότι με τη νέα Οδηγία καταργούνται αυτομάτως όλες οι παλιές αρμοδιότητες. Η Οδηγία δεν προβλέπει μόνο μία αρχή. Το άρθρο 8.1 προβλέπει τη δυνατότητα να υπάρχουν και περισσότερες αρχές».

Σύμφωνα με τον επικεφαλής της ΑΔΑΕ, απόρρητο και ασφάλεια δικτύων είναι άρρηκτα συνδεδεμένα με αποτέλεσμα η Αρχή να σημειώνει ότι θα εξακολουθήσει να εξετάζει και τα δύο και «να επιβάλει κυρώσεις σε παρόχους ηλεκτρονικών επικοινωνιών όταν θα έχουν παραβιάσει την πολιτική ασφαλείας που η ΑΔΑΕ τους έχει επιβάλει να τηρούν για την διασφάλιση του απορρήτου των επικοινωνιών · κάτι που θα είναι συνέπεια της διαπίστωσης της παραβίασης του απορρήτου των ύστερα από καταγγελία πολίτη».

Για το λόγο αυτό ο κ. Ράμμος επισημαίνει ότι η εν λόγω πρόβλεψη του νομοσχεδίου είναι ανορθολογική, δημιουργεί συγκρούσεις αρμοδιοτήτων και την περίπτωση να υπάρξουν δύο κυρώσεις για τα αυτά πραγματικά περιστατικά.

«Θα δημιουργήσει κινδύνους συρροής αρμοδιοτήτων και θα επιβληθούν δύο κυρώσεις σε μία οντότητα, δηλαδή μια κύρωση από την Εθνική Αρχή Κυβερνοασφάλειας για παραβίαση των υποχρεώσεων που θεσπίζει το παρόν νομοσχέδιο και μια κύρωση για τα αυτά πραγματικά περιστατικά από την ΑΔΑΕ, η οποία θα εξακολουθήσει να επιβάλλει κυρώσεις σε παρόχους ηλεκτρονικών επικοινωνιών όταν θα έχουν παραβιάσει πολιτική ασφαλείας που τους έχει επιβληθεί, κάτι που θα είναι συνέπεια μιας έρευνας που έγινε μετά από καταγγελία του πολίτη και το οποίο θα το διατηρήσει, διότι το Σύνταγμα της δίνει αυτή την αρμοδιότητα».

Είναι χαρακτηριστικό μάλιστα ότι την ανησυχία αυτή είχε εκφράσει και ένας εκ των παρόχων ηλεκτρονικών επικοινωνιών. Στο πλαίσιο της δημόσιας διαβούλευσης του νομοσχεδίου, η Vodafone σε ένα από τα σχόλιά της ανέφερε ότι θα πρέπει να προβλεφθεί ρητά τι θα ισχύει καθώς υφίσταται ήδη ο Κανονισμός 28/2024 για την Ασφάλεια Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών της ΑΔΑΕ:

«Για την αποφυγή ρυθμιστικής αβεβαιότητας, προτείνουμε να καταστεί εξαρχής σαφής ο διαχωρισμός αρμοδιοτήτων ως προς την εποπτεύουσα αρχή για θέματα ασφάλειας του τομέα των δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς θα πρέπει με τη θέση σε ισχύ του νέου νόμου αφενός ο κλάδος να γνωρίζει τις υποχρεώσεις που θα ισχύουν σε αυτόν και αφετέρου οι αρχές να αποφύγουν την τυχόν αλληλοκάλυψη. Εναλλακτικά, εάν το θέμα αυτό πρόκειται να διευκρινιστεί με μελλοντική Υπουργική Απόφαση βάσει του Άρθρου 29, θα πρέπει να προβλεφθεί ρητά τι θα ισχύει στο ενδιάμεσο διάστημα».

Ο κ. Ράμμος αναφέρθηκε για ακόμα μία φορά στη μη διενέργεια διαβούλευσης της Αρχής με το αρμόδιο υπουργείο για το νομοσχέδιο, σημειώνοντας πως «δεν είναι η πρώτη φορά που συμβαίνει κάτι τέτοιο. Ποτέ μέχρι σήμερα δεν έγινε διαβούλευση με την Αρχή για τα νομοσχέδια που την αφορούν (πχ ο νόμος 5002/2022 ο σχετικός με τις άρσεις του απορρήτου των επικοινωνιών)».

Ένα από τα βασικά μελανά σημεία που εντοπίζει η Αρχή στο νομοσχέδιο είναι πως μια ανεξάρτητη αρχή συνταγματικά κατοχυρωμένη τίθεται υπό την εποπτεία και «επιβολή» καθώς και την κυρωτική εξουσία της Εθνικής Αρχής Κυβερνοασφάλειας, δηλαδή μιας δημόσιας Υπηρεσίας, η οποία αν και ονομάζεται Αρχή, είναι, νομικό πρόσωπο δημοσίου δικαίου, του οποίου τα όργανα διοικήσεως διορίζονται, ο μεν Διοικητής με Πράξη του Υπουργικού Συμβουλίου η οποία εκδίδεται μετά από εισήγηση του Υπουργού Ψηφιακής Διακυβέρνησης, ο δε Υποδιοικητής με απλή απόφαση του Υπουργού. «Όμως μια συνταγματικά κατοχυρωμένη ανεξάρτητη αρχή υπόκειται μόνο στην εποπτεία και τον έλεγχο του Κοινοβουλίου, σύμφωνα με τα οριζόμενα στον Κανονισμό της Βουλής, την δικαστική εξουσία και σε καμία περίπτωση δεν δέχεται εντολές ούτε υπόκειται σε κυρώσεις μιας απλής διοικητικής αρχής. Αν ήθελε συμβεί το τελευταίο αυτό θα αντέκειτο στο Σύνταγμα», υπογράμμισε.

Μπλέτσας: Ο ρόλος της ΑΔΑΕ παραμένει ίδιος

Υπεραμυνόμενος του νομοσχεδίου ο Διοικητής της Εθνικής Αρχής Κυβερνοσφάλειας, Μιχαήλ Μπλέτσας, επεσήμανε ότι ο ρόλος της ΑΔΑΕ παραμένει ίδιος και δεν της αφαιρείται καμία απολύτως αρμοδιότητα όσον αφορά το θεμα της προστασίας του θεμελιώδους δικαιώματος των πολιτών για προστασία του απορρήτου. Οσον αφορά την έλλειψη διαβούλευσης που κατήγγειλε ο κ. Ράμμος ανεφερε πως «εμείς ζητήσαμε τις απόψεις της ΑΔΑΕ, αλλά δεν τις πήραμε όταν τις ζητήσαμε. Τις πήραμε στο τέλος διαδικασίας».

Παράλληλα προσέθεσε ότι η Αρχή δεν ενημέρωνε εγκαίρως για περιστατικά παραβιάσεων του απορρήτου.

Απαντώντας ο κ. Ράμμος σημείωσε ότι από την ΕΑΚ εστάλη το καλοκαίρι ένα email για συνάντηση την επόμενη εβδομάδα, κατά την οποία είχε αυξημένες υποχρεώσεις η ΑΔΑΕ. «Απάντησα ότι την ημερομηνία που προτείνετε δεν μπορεί να γίνει. Στείλτε μας πρώτα έγγραφο να μας πείτε ποια είναι τα θέματα, να τα μελετήσουμε και να σας απαντήσουμε. Έτσι γίνεται η διαβούλευση. Όχι να έρθουμε να σας δούμε μια μέρα όπου εμείς αποφασίζουμε αν θα είναι 17 ή 18 Ιουλίου. Το έγγραφο δεν εστάλη ποτέ».

Ως προς τις αιτιάσεις για μη κοινοποίηση περιστατικών ασφαλείας, ο πρόεδρος της ΑΔΑΕ ανέφερε ότι η Αρχή δεν ολιγώρησε, απλά βάσει της νομοθεσίας υπάρχει μια διαδικασία ομάδων ελέγχου η οποία πρέπει πάντα να τηρείται και να εγκρίνεται από την ολομέλεια.

Παπαστεργίου: Η ΑΔΑΕ εξακολουθεί να διασφαλίζει το απόρρητο

Για σύγχυση έκανε λόγο από την πλευρά του ο κ. Παπαστεργίου σημειώνοντας ότι η ΕΑΚ υφίσταται ως εθνικός συντονιστής για την κυβερνοασφάλεια και όχι για το απόρρητο των επικοινωνιών προσφέροντας ότι αυτό που θα αλλάξει είναι ότι θα δίνεται τεχνική βοήθεια στην Αρχή και δε θα γίνεται έλεγχος: «Έλεγχο θα είχαμε αν υπήρχε έλεγχος σε ιεραρχικό επίπεδο αν η Αρχή έπρεπε να περνάει η σκοπιμότητα και η νομιμότητα των αποφάσεών της από Υπουργεία. Δεν υπάρχει κάτι τέτοιο. Μιλάμε ξεκάθαρα για την τεχνική βοήθεια, πολύ απλά», τόνισε.

Συμπλήρωσε ότι απαιτείται συνεργασία υπογραμμίζοντας: «Αυτό το πράγμα ότι είμαι μόνος μου σε ένα κέλυφος και δεν θέλω καμία βοήθεια από κανέναν δεν στέκει στην εποχή μας, όπου θα πρέπει όλοι να συνεργαζόμαστε. Δηλαδή, αν αύριο το πρωί η ΡΑΑΕΥ βληθεί από μία κυβερνοεπίθεση, θα πάει μόνη της να λύσει το πρόβλημα; Προφανώς και όχι. Λέμε ότι είμαστε εδώ, να βοηθήσουμε και να ανταλλάξουμε καλές πρακτικές, πρωτόκολλα και διαδικασίες που υπάρχουν και προβλέπονται και από την NIS για να μπορέσουμε όλοι να είμαστε πολύ πιο ασφαλείς».

νομοσχέδιοτηλεφωνικό απόρρητοκυβερνοασφάλειαειδήσεις τώραΕθνική Αρχή ΚυβερνοασφάλειαςΑΔΑΕυπουργείο Ψηφιακής Διακυβέρνησης