Grecia

La Ciberseguridad, es decir, la protección de redes, sistemas informáticos y datos contra el cibercrimen, se ha convertido en una prioridad de política nacional en muchos países que se dan cuenta de su importancia.

Se están desarrollando nuevas estrategias de seguridad cibernética para proporcionar protección contra las ciberamenazas y salvaguardar la prosperidad económica y social.

El objetivo de tales estrategias es mejorar la coordinación gubernamental y definir roles y responsabilidades con respecto a cómo abordar el delito cibernético, pero también apuntalar la cooperación del público y entidades privadas, particularmente proveedores de servicios de Internet.

Aunque la mayoría de los Estados miembros europeos han publicado una estrategia de seguridad cibernética, hay muchas discrepancias entre los propios Estados miembros, principalmente en lo que respecta a la red y la seguridad de la información (NIS).

De hecho, mientras que algunos Estados miembros han demostrado claros avances en este campo, existe poca cooperación entre los Estados miembros y no existe un mecanismo efectivo a nivel de la UE para la cooperación e intercambio de información sobre incidentes y riesgos de seguridad.

Veamos la normativa existente en Grecia en materia de ciberseguridad.

Legislación

Los desarrollos regulatorios clave durante el año pasado incluyen el Reglamento General de Protección de Datos de la UE, aplicable a partir del 25 de mayo de 2018, y la Directiva (UE) 2016 / 1148 sobre seguridad de redes y sistemas de información (NISD), adoptada por el Parlamento Europeo el 6 de julio de 2016, que es la primera parte de la legislación de la UE sobre ciberseguridad.

Las principales leyes en materia de ciberseguridad en Grecia son:

Ley 4577/2018 que implementa la Directiva NIS de la UE

En esta ley se establecen responsabilidades específicas para los operadores de servicios esenciales. Dentro de estos están los sectores de transportes, energía, banca y finanzas, salud, agua e infraestructuras de TI.

La Autoridad Helénica de Ciberseguridad, en cooperación con las autoridades reguladoras relevantes, es la responsable de identificar esos operadores de servicios esenciales y crear un catálogo que se renovará cada dos años.

Los operadores de servicios esenciales deben adoptar medidas técnicas y organizativas para identificar los posibles riesgos de seguridad. Y para prevenir y reducir el impacto de esos incidentes cuando se produzcan.

El cumplimiento de esta ley es supervisado por la Autoridad Helénica de Ciberseguridad. Y, en caso de incumplimientos, pueden aplicarse sanciones de hasta 200.000 euros.

Ley 4624/2019 de implementación del RGPD en Grecia

En esta ley se adaptan las normas del RGPD al país y se incorpora también la Directiva UE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales
por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

Se establece también la obligación de los responsables y encargados del tratamiento de datos personales de aplicar las adecuadas medidas de seguridad para evitar o reducir los efectos de incidentes que afecten a esos datos. Dentro de esas medidas de seguridad están la seudonimización y el cifrado, combinados con otras tecnologías y herramientas para el descubrimiento y catalogación de datos, clasificación de datos, prevención de pérdida de datos, tokenización, seguridad de punto final, gestión de dispositivos móviles, seguridad de perímetro, antimalware, pruebas de seguridad de aplicaciones, pruebas de vulnerabilidad y gestión de identidad y acceso.

Además, se exige la notificación de cualquier ciberataque que afecte a los datos personales y suponga un riesgo para los derechos y libertades de los afectados.

Debe garantizarse en todo caso la integridad, confidencialidad, resistencia y disponibilidad de los sistemas de TI.

Ley 205/2013 de la Autoridad Helénica para la seguridad y privacidad de las comunicaciones

Aquí se establecen las medidas técnicas y organizativas que deben adoptar los proveedores de redes de comunicaciones públicas o servicios de comunicaciones electrónicas disponibles para el público.

Los proveedores deben notificar cualquier incidente que ponga en peligro la seguridad de las redes o los servicios, de forma inmediata, a la Autoridad Helénica para la seguridad y privacidad de la comunicación y a los principales ejecutivos de la empresa.

Ley 4411/2016, por la que se ratifica la Convención de Budapest

Este es el primer tratado internacional sobre crímenes cometidos a través del Internet y otras redes informáticas, que aborden, entre otras cuestiones, violaciones de la seguridad de la red y también asuntos de cooperación internacional y asistencia mutua entre las partes a los fines de investigaciones o procedimientos relacionados con delitos penales relacionados con sistemas y datos informáticos, o para recopilación de pruebas en forma electrónica de un delito penal.

Ley 4070/2012 sobre la organización y funcionamiento del sector de las comunicaciones electrónicas

Según esta ley, los proveedores de comunicaciones electrónicas deben proporcionar a la Comisión Helénica de Telecomunicaciones y Correos la información necesaria para evaluar la seguridad e integridad de sus servicios y redes. Incluirán sus políticas de seguridad documentadas.

También notificarán a dicha autoridad cualquier incidente de seguridad que afecte significativamente al funcionamiento de las redes o servicios.

Estrategia nacional griega de Ciberseguridad

En 2017 se aprobó en Grecia la Estrategia nacional de Ciberseguridad.

El crecimiento y la protección de los servicios y mercados digitales es un pilar clave de apoyo a la economía nacional y confiere una ventaja competitiva tanto a nivel nacional como europeo. Con el continuo crecimiento de Grecia y su inversión en mercados digitales, redes y servicios, tanto en el sector público como privado, era necesaria la creación de una Estrategia Nacional de Seguridad Cibernética.

Principios

Los principios de la Estrategia Nacional de Seguridad Cibernética son:

  • El desarrollo y establecimiento de un ciberespacio seguro y resistente que será regulado de acuerdo con las normas y estándares nacionales, de la UE e internacionales y buenas prácticas y en las cuales los ciudadanos y los interesados ​​del sector público y privado puede ser activos e interactuar de forma segura, según los valores que rigen el estado de derecho como son la libertad, justicia y transparencia.
  • La mejora continua de las capacidades para la protección contra ataques cibernéticos, con énfasis en infraestructura crítica y la salvaguarda de la continuidad de las operaciones.
  • El blindaje institucional del marco nacional de seguridad cibernética, para un efectivo manejo de incidentes de ciberataques y minimización del impacto de las amenazas en el ciberespacio.
  • El desarrollo de una fuerte cultura de seguridad en los ciudadanos y el público y sectores privados, utilizando las capacidades relevantes de la comunidad académica y de otras partes interesadas del sector público y privado.

Objetivos

Los objetivos individuales de la Estrategia Nacional de Seguridad Cibernética pueden ser resumidos de la siguiente manera:

  1. Mejorar el nivel de prevención, evaluación, análisis y disuasión de amenazas contra la seguridad de los sistemas y la infraestructura de las TIC.
  2. Mejorar la capacidad de las partes interesadas del sector público y privado para prevenir y manejar incidentes de seguridad cibernética y mejorar la capacidad de recuperación de sistemas TIC tras un ciberataque.
  3. Crear un marco efectivo de coordinación y cooperación determinando las competencias y roles individuales de los diversos sectores público y privado y partes interesadas involucradas.
  4. Garantizar la participación activa de Grecia en la ciberseguridad internacional para la mejora de la seguridad nacional.
    5. Sensibilizar a todas las instituciones sociales e informar a los usuarios sobre la seguridad del uso del ciberespacio.
    6. Adaptar continuamente el marco institucional nacional a las nuevas tecnologías, requisitos e instrucciones de la UE para el manejo efectivo de actos ilegales vinculados a actividad en el ciberespacio.
    7. Promover la innovación, la investigación y el desarrollo en temas de seguridad y cooperación entre los actores involucrados.
    8. Hacer uso de las mejores prácticas internacionales.

Autoridades en materia de ciberseguridad

Las principales autoridades con competencia en temas de ciberseguridad en Grecia son las siguientes.

Autoridad Helénica de Protección de datos

Esta autoridad fue creada por la ley 2472/97 de Protección de datos y sus competencias se han ampliado con la ley 4624/2019, de implementación del RGPD.

Se le atribuye la tarea de supervisar la implementación de esta ley y todas las demás regulaciones relacionadas con la protección de las personas sobre el procesamiento de datos personales. Es una autoridad pública independiente y contará con la asistencia de su propia Secretaría. No estará sujeta a ningún control administrativo.

En el ejercicio de sus funciones, los miembros de la Autoridad disfrutarán de independencia personal y funcional. La Autoridad informa al Ministro de Justicia y su sede está en Atenas.

Autoridad Helénica para la seguridad y privacidad de las comunicaciones

La Autoridad Helénica para la Seguridad y la Privacidad de las Comunicaciones (ADAE) se estableció en 2003 según lo prescrito en la Constitución Helénica, que exige el establecimiento de una autoridad independiente con la misión de garantizar la confidencialidad del correo y todas las demás formas de correspondencia o comunicación gratuita.

Tiene, entre otras, las competencias para:

  • emitir regulaciones con respecto a la garantía de la confidencialidad de las comunicaciones,
  • realizar auditorías en la red de comunicaciones / proveedores de servicios, entidades públicas y la Inteligencia Nacional Helénica Servicio,
  • celebrar audiencias de las entidades antes mencionadas,
  • investigar quejas relevantes de los miembros del público y
  • recopilar información relevante utilizando poderes especiales de investigación.

Además, es la autoridad administrativa independiente responsable de monitorizar la implementación de toda la legislación relevante para la interceptación legal de comunicaciones y, para este propósito, está autorizada a recibir todas las órdenes de interceptación legal emitidas por las autoridades judiciales. La Autoridad no tiene permitido evaluar el juicio de las autoridades judiciales competentes.

Comisión Helénica de Telecomunicaciones y correos

Fue creada por la ley 2075/1992. Es una autoridad independiente que monitoriza, regula y supervisa:

  • el mercado de comunicaciones electrónicas, dentro del que operan los operadores de telefonía fija y móvil, comunicaciones inalámbricas y acceso a Internet y
  • el mercado de los servicios postales, en el que operan los proveedores de servicios postales y de mensajería.

Autoridad nacional de Ciberseguridad

Fue creada por la ley de implementación de la Directiva NIS de la UE. Tiene las siguientes funciones:

  • Evaluar el cumplimiento de las empresas responsables, según la Ley 4577/2018
  • Ordenar a las empresas responsables que proporcionen la información necesaria, incluidas las políticas de seguridad.
  • Ordenar a las empresas responsables que corrijan cualquier incumplimiento.

También tiene la función de cooperar con las autoridades competentes de otros países miembros de la UE.

CSIRT

La Autoridad Nacional para la Respuesta de Ataques Electrónicos de Grecia fue creada también por la ley de implementación de la Directiva NIS en 2018.

La misión de la Autoridad Nacional para la Respuesta a los Ataques Electrónicos es garantizar la prevención y la respuesta estática y activa a los ataques electrónicos contra las redes de comunicaciones, las instalaciones de almacenamiento de información y los sistemas de información. Además, la Autoridad es responsable de recopilar, procesar datos e informar a los organismos pertinentes.

En particular, los servicios proporcionados por National CERT son los siguientes:

  • Informar al organismo público sobre incidentes de seguridad.
  • Coordinación de los involucrados en el manejo de incidentes de seguridad.
  • Análisis y evaluación de incidentes de seguridad.
  • Propuesta de las medidas de protección necesarias para eliminar el impacto de un incidente de seguridad.
  • Análisis de malware.
  • Realizar controles de seguridad en PS del sector público.
  • Emisión de pautas generales para salvaguardar a los médicos generales del sector público.

Obligaciones de ciberseguridad para empresas

En Grecia, al igual que en el resto de países de la UE, las principales obligaciones que tienen las empresas en materia de ciberseguridad son las siguientes:

  • Crear un marco para gestionar el riesgo que pueda ser entendido en toda la organización, incluso por profesionales que no sean ciberseguridad. Debe utilizar indicadores de riesgo que sean representativos de las principales áreas de riesgo para proporcionar un barómetro general del riesgo de ciberseguridad y garantizar que se mantenga como parte de la conversación comercial. .
  • Asegurarse de que la ciberseguridad es parte del diálogo en los niveles más altos de la organización.
  • Crear una función de instrucción y conciencia de seguridad y nombrar a un líder superior responsable de ejecutar campañas de concienciación de seguridad y supervisar la capacitación en seguridad.
  • Elaborar programas de incentivos para recompensar y reforzar el comportamiento positivo de seguridad. Por ejemplo, la capacitación en simulación de phishing se podría hacer más agradable a través de pequeños premios para aquellos que reportan la mayor cantidad de phishing.
    Asegurar que los empleados conozcan el canal correcto para informar rápidamente de actividades sospechosas y asegurarse de que esta información sea fácilmente recuperable y accesible. Proporcione múltiples canales para la comunicación: una mesa de ayuda de TI, una línea telefónica dedicada de informes cibernéticos, correo electrónico o incluso mensajes de texto y redes sociales.
  • Comunicarse continuamente. Para tener en mente la ciberseguridad, debe comunicarse con frecuencia y de manera continua a través de múltiples canales. Los boletines, los blogs y los carteles de la compañía son buenos lugares para promocionar desde un consejo o lema del día sobre seguridad cibernética, hasta una entrevista con un alto ejecutivo de la compañía sobre el tema del ciber fraude.

Principales ciberactividades penalizadas

Según el Código Penal griego, la Ley de Protección de Datos y las leyes de PI, las siguientes actividades cibernéticas han sido penalizadas:

  • fraude informático;
  • violación del secreto;
  • uso de software;
  • acceso no autorizado a datos;
  • pornografía infantil;
  • elusión de medidas tecnológicas;
  • elusión de la información de gestión de derechos; y
  • violación de datos personales.

Sanciones

Las sanciones penales por delitos informáticos son las siguientes:

  • El fraude informático se castiga con prisión de entre tres meses y cinco años.
  • La pornografía infantil se castiga con prisión de al menos dos años. La pornografía infantil que es habitual, o que está relacionada con la explotación de la necesidad, la debilidad mental o intelectual o el uso de un menor menor de quince años, se castiga con prisión de hasta 10 años. Si el primer acto causó graves daños corporales a la víctima, conllevará una pena de al menos diez años de prisión y una multa de 100.000 a 500.000 euros.
  • La violación del secreto se castiga con prisión de entre tres meses y cinco años. Si los datos secretos son de gran valor económico, la violación se castiga con prisión de entre uno y cinco años.
  • El mal uso del software se castiga con prisión de hasta seis meses. La Ley de PI (2121/1993) establece además que la infracción de los derechos de autor se castiga con una pena de prisión de al menos un año. Ciertas circunstancias agravantes, como ganancias financieras o crimen organizado, incurrirán en sanciones penales más severas.
  • El acceso a datos no autorizado se castiga con prisión de hasta seis meses.
  • La exposición indecente a personas menores de quince años es sentenciada a una prisión de al menos dos años. En caso de que esta actividad se realice repetidamente o se haya producido un encuentro, esto conllevará una pena de al menos tres años de prisión.
  • La elusión de medidas tecnológicas que infrinjan la Ley de medidas de protección tecnológica (2121/1993) se castiga con una pena de prisión de al menos un año.
  • La elusión de la información de gestión de derechos se castiga con prisión de al menos un año.

Ejemplos de ciberataques

Grecia ha sido víctima de numerosos ciberataques. Aquí os contamos algunos de los más importantes.

Varios ciberataques a la Universidad Aristóteles de Salónica

En 2017 la Universidad Aristóteles de Salónica fue víctima de una serie de ataques cibernéticos con el virus ransomware.

Fuentes policiales dijeron que la situación fue resuelta por el personal de la universidad sin la ayuda de la policía, aunque la universidad informó el ataque cibernético a la Fiscalía de Delitos Electrónicos de la Dirección de Seguridad de Tesalónica y se creó un archivo para La Fiscalía.

Ciberataque al Parlamento griego

El ataque al Parlamento griego es el mayor ataque cibernético que Grecia ha recibido.

Junto con el ataque también hubo fuga de datos, ya que el objetivo era todo el sistema de información del Parlamento. Los detalles exactos del ataque cibernético se enviaron por correo electrónico anónimo con un remitente ciego y se publicaron en el sitio web de Anonymous en el extranjero, donde señalaron las razones que los impulsaron a hacerlo.

Los hacktivistas anónimos atacaron servidores que son responsables de la gestión de todos los usuarios de la red del Parlamento (nombre de usuario y contraseña), entre los que se encuentran los códigos de todos los parlamentarios, activos o no. Por lo tanto, tienen una lista completa de todos los nombres de usuario que se utilizan para acceder a las computadoras del Parlamento, incluso las del primer ministro.