Κοινωνία της Πληροφορίας ΑΕ · Senior Manager, Ernst και Young Α.Ε....

ΚΚοοιιννωωννίίαα ττηηςς ΠΠλληηρροοφφοορρίίααςς ΑΑ..ΕΕ.. e-Government Forum

Ομάδα Εργασίας για την Προστασία των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της

Δημόσιας Διοίκησης (CICIP)

Προστασία

Κρίσιμω

ν Πληροφοριακών και

Επικοινωνιακών Υποδομώ

ν της Δη

μόσιας

Διοίκησης

ΕΕ ιισσ ηηγγ ηηττ ήήςς ΟΟμμ άάδδ ααςς ΕΕ ρργγ αασσ ίίαα ςς

:: ΑΑνν ααππ λλ

.. ΚΚαα θθ

.. ΔΔηη μμήή ττρρ ηηςς

ΓΓκκ ρρίί ττζζ ααλλ ηηςς ,,

ΤΤ μμ

ήή μμαα ΠΠλλ ηηρρ οοφφ οορρ ιικκ ήήςς ,, ,

, ΟΟιι κκοο ννοο μμιι κκόό ΠΠαα ννεε ππιι σσττ ήήμμ ιιοο ΑΑθθ ηηνν ώώνν

ΠΠρροοσστταασσίίαα ΚΚρρίίσσιιμμωωνν ΠΠλληηρροοφφοορριιαακκώώνν κκααιι ΕΕππιικκοοιιννωωννιιαακκώώνν ΥΥπποοδδοομμώώνν

ττηηςς ΔΔηημμόόσσιιααςς ΔΔιιοοίίκκηησσηηςς:: ΣΣττρρααττηηγγιικκόόςς ΣΣχχεεδδιιαασσμμόόςς

ΕΕππιισσττηημμοοννιικκήή ΕΕππιιμμέέλλεειιαα:: ΔΔηημμήήττρρηηςς ΓΓκκρρίίττζζααλληηςς,, ΟΟιικκοοννοομμιικκόό ΠΠααννεεππιισσττήήμμιιοο ΑΑθθηηννώώνν

ΝΝίίκκοοςς ΜΜήήττρροουυ,, ΕΕθθννιικκόό ΜΜεεττσσόόββιιοο ΠΠοολλυυττεεχχννεείίοο ΒΒιικκττωωρρίίαα ΣΣκκοουυλλααρρίίδδοουυ,, ΥΥπποουυρργγεείίοο ΕΕσσωωττεερριικκώώνν

eGovForum-CICIP-D1-v2.3/29.09.2008

Σεπτέμβρης 2008

e-Government Forum Ομάδα Εργασίαςς CICIP

Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης

2

Σύνθεση Ομάδας Εργασίας Συντονιστής: Σπύρος Καρούσος

Κοινωνία της Πληροφορίας Α.Ε. Εισηγητής: Δημήτρης Γκρίτζαλης

Αναπληρωτής Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών Μέλη (αλφαβητικά): Αλέξανδρος Ζαχαρής

Εμπορικός Διευθυντής SYNET, Eκπρόσωπος ΣΕΠΕ

Μαριάνθη Θεοχαρίδου Ερευνήτρια, Οικονομικό Πανεπιστήμιο Αθηνών

Παναγιώτης Κοτζανικολάου Ειδικός Επιστήμονας, Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ)

Δημήτριος Λέκκας Λέκτορας, Πανεπιστήμιο Αιγαίου

Νίκος Μήτρου Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο

Δέσποινα Πολέμη Επίκουρη Καθηγήτρια, Πανεπιστήμιο Πειραιώς

Ιωάννα Σαμπράκου Μηχανικός Η/Υ και Πληροφορικής, Σύμβουλος Υπουργού Μεταφορών και Ε-πικοινωνιών

Βικτωρία Σκουλαρίδου Υπαστυνόμος Α’ (Ειδικών Καθηκόντων) Πληροφορικής, Ελληνική Αστυνομία, Υπουργείο Εσωτερικών

Βασίλης Τσούμας Senior Manager, Ernst και Young Α.Ε.

Γραμματεία: Αγγελική Κλάδη Κοινωνία της Πληροφορίας Α.Ε.

Επιτροπή Παρακολούθησης και Παραλαβής Έργου Πρόεδρος: Στέφανος Ξαρχουλάκος Κοινωνία της Πληροφορίας Α.Ε. Μέλη: Ηλίας Κοντάκος Κοινωνία της Πληροφορίας Α.Ε.

Θεόδωρος Σαμπατακάκης Κοινωνία της Πληροφορίας Α.Ε.



3

““ ΑΑ ιι ττ ιι μμ αα ίί μμ εε γγ άά λλ αα ιι αα νν αα ππ οο κκ ττ εε ίί νν εε ιι ττ ιι ςς οο υυ κκ λλ έέ ππ ττ εε ιι νν ,, αα λλ λλ άά ττ ύύ ρρ αα νν νν οο νν ””

AAρριισσττοοττέέλληηςς

Περίληψη1: Η λειτουργία της σύγχρονης Δημόσιας Διοίκησης εξαρτάται, σε ολοένα και μεγα-

λύτερο βαθμό, από την εύρυθμη λειτουργία των πληροφοριακών και επικοινωνια-κών υποδομών της. Οι υποδομές αυτές είναι εκτεθειμένες σε σωρεία απειλών, οι ο-ποίες μπορεί να προκαλέσουν την υποβάθμιση ή τη διακοπή της λειτουργίας τους, πράγμα που θα προκαλέσει, με τη σειρά του, την υποβάθμιση ή τη διακοπή των παρεχόμενων υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για την αποφυγή του ενδε-χομένου αυτού η σύγχρονη Δημόσια Διοίκηση, διεθνώς, έχει καταφύγει στη σχεδί-αση, ανάπτυξη και θέση σε λειτουργία σειράς οργανωτικών και διοικητικών σχη-μάτων, τα οποία αποβλέπουν στην αντιμετώπιση των σχετικών απειλών. Στο πα-ρόν παραδοτέο προτείνεται ένα τέτοιο σχήμα, με στόχο την προστασία των κρίσι-μων πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας Διοί-κησης. Για τη σχεδίαση του σχήματος αυτού λήφθηκε υπόψη τόσο η σχετική διεθ-νής εμπειρία - η οποία περιγράφεται συνοπτικά και συστηματικά στο κείμενο - όσο και ορισμένες υπάρχουσες και αναπτυσσόμενες κρίσιμες υπηρεσίες ηλεκτρονικής διακυβέρνησης στην Ελλάδα (πχ. Σύζευξις, ΤaxisNET, Κέντρα Εξυπηρέτησης Πο-λιτών, Κέντρα Δεδομένων ΚτΠ Α.Ε κλπ.). Για τη συστηματικότερη μελέτη του ζη-τηματος διοργανώθηκε ειδική ημερίδα διαβούλευσης με ενδιαφερόμενα μέρη, στα οποία δόθηκε η ευκαιρία να διατυπώσουν τις σχετικές θέσεις και προτάσεις τους. Οι απόψεις αυτές καταγράφονται στο παρόν παραδοτέο. Το προτεινόμενο σχήμα περιγράφεται στο παραδοτέο αναλυτικά, πλαισιούμενο από σειρά εναλλακτικών λύσεων που αφορούν τη δομή του, μια από τις οποίες θα μπορούσε να υιοθετηθεί από την αρμόδια πολιτική ηγεσία για την έγκαιρη και αποτελεσματική προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημό-σιας Διοίκησης. Στο παραδοτέο περιλαμβάνοναι, επίσης, για λόγους πληρότητας, τρία ενδεικτικά σενάριο αξιοποίησης του προτεινόμενου φορέα σε περιπτώσεις μείζονων κρίσεων.

Λέξεις κλειδιά: Κρίσιμες Υποδομές, Προστασία Κρίσιμων Υποδομών, Πληροφοριακές Υποδομές,

Επικοινωνιακές Υποδομές, Ασφάλεια Πληροφοριών, Ασφάλεια Υπολογιστών, Α-σφάλεια Δικτύων, Ασφάλεια Πληροφοριακών Συστημάτων, Ηλεκτρονική Διακυ-βέρνηση.

Ευχαριστίες: Τα μέλη της ΟΕ εκφράζουμε τις θερμές ευχαριστίες μας στη Συντονιστική Επιτρο-

πή του e-Government Forum και στο Διοικητικό Συμβούλιο της ΚτΠ Α.Ε. για την ανάθεση του παρόντος έργου. Επίσης, ευχαριστούμε ιδιαίτερα τους (αλφαβητικά) κκ. Κώστα Βασιλείου (ΚτΠ), Στέφανο Ξαρχουλάκο (ΚτΠ), Στάθη Παναγιωτόπου-λο (ΥΠΟΙΚ), Κώστα Τζοάννη (ΚτΠ) και Πέτρο Τσώνη (ΚτΠ), καθώς και όλους τους συναδέλφους που συμμετείχαν στη διαδικασία διαβούλευσης.

1 Η επιτελική σύνοψη του παραδοτέου παρατίθεται (σελ. 10-24) ειδικά για τους αναγνώστες που ενδιαφέρο-νται για μια μεστή και συνοπτική ενημέρωση για το περιεχόμενο, τα συμπεράσματα και τις προτάσεις που περιλαμβάνονται στο παραδοτέο, χωρίς τεχνικές λεπτομέρειες.



4

Τα αναφερόμενα στο παρόν πόνημα απηχούν, αυστηρά και μόνον, τις προσωπικές απόψεις των μελών της Ομάδας Εργασίας. Δεν εκφράζουν, κατ’ ανάγκην, ούτε δεσμεύουν με οποιονδήποτε τρόπο τη Συντονιστική Επιτροπή του eGovernment Forum, το Διοικητικό Συμβούλιο της Κοινωνίας της

Πληροφορίας Α.Ε. ή οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο.

Η ακρίβεια των περιεχομένων του κειμένου ελέγχθηκε με βάση τους διαθέσιμους πόρους και τα διαθέσιμα μέσα κατά το χρόνο της συγγραφής του. Παραταύτα, τυχόν σποραδικές αποκλίσεις από τα κατά περίπτωση ισχύοντα δεν μπορούν να αποκλεισθούν και, εάν υπάρχουν, βαρύνουν αποκλειστικά

και μόνο τα μέλη της Ομάδας Εργασίας.



5

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ

ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ ................................................................................................................... 10 1. ΕΙΣΑΓΩΓΗ ΚΑΙ ΣΤΟΧΟΙ ΤΟΥ ΕΡΓΟΥ ................................................................................. 26 2. ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ ΚΑΙ ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ ....................................... 28

2.1 ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ .................................................................................................................. 28 2.2 ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ ................................................................................................................................ 29

3. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ ................................. 36 3.1 ΕΙΣΑΓΩΓΗ ................................................................................................................................................ 36 3.2 ΚΡΙΣΙΜΕΣ ΥΠΟΔΟΜΕΣ ΚΑΙ ΠΡΟΣΕΓΓΙΣΕΙΣ CICIP ..................................................................................... 36

3.2.1 Κρίσιμες Υποδομές ....................................................................................................................... 36 3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP ............................................................................ 36 3.2.3 Προσεγγίσεις CIP ......................................................................................................................... 37 3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων ........................................................................................... 38

3.3 ΚΑΤΑΓΡΑΦΗ ΟΡΓΑΝΩΤΙΚΩΝ ΣΧΗΜΑΤΩΝ ................................................................................................ 38 3.3.1 Εισαγωγή ..................................................................................................................................... 38 3.3.2 Ευρώπη ........................................................................................................................................ 39 3.3.3 Χώρες εκτός Ευρώπης .................................................................................................................. 58 3.3.4 Άλλες Χώρες ................................................................................................................................. 74 3.3.5 Διεθνείς Οργανισμοί ..................................................................................................................... 74 3.3.6 Διεθνείς Φορείς ............................................................................................................................ 79 3.3.7 Άλλοι Διεθνείς Οργανισμοί ........................................................................................................... 80

3.4 ΑΠΟΤΙΜΗΣΗ ΚΑΙ ΣΥΓΚΡΙΣΗ - ΣΥΜΠΕΡΑΣΜΑΤΑ ....................................................................................... 80 3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP .......................................................... 80

3.5 ΠΡΟΤΕΙΝΟΜΕΝΟ ΠΛΑΙΣΙΟ CICIP ............................................................................................................ 81 3.5.1 Προτεινόμενο Μοντέλο συνεργασίας ............................................................................................ 81

4. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΚΑΙ ΕΠΟΠΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗΝ ΕΛΛΑΔΑ ...................................................... 86 4.1 ΕΙΣΑΓΩΓΗ ................................................................................................................................................ 86 4.2 ΕΛΛΗΝΙΚΟΙ ΕΠΟΠΤΙΚΟΙ/ΚΑΝΟΝΙΣΤΙΚΟΙ/ΔΙΩΚΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ ................................................ 86

4.2.1 ΓΕΕΘΑ– Εθνική Αρχή Ασφάλειας ................................................................................................ 86 4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ ............................................................................. 86 4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ ....................................................... 86 4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ .................................................................... 87 4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών ................................................................................... 87 4.2.6 Τράπεζα Ελλάδος ......................................................................................................................... 88 4.2.7 Ελληνική Αστυνομία – Διεύθυνση Εγκληματολογικών Ερευνών ................................................... 88

4.3 ΡΥΘΜΙΣΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ ........................................................................................................... 89 4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) ................................................ 89 4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) ................................................................. 91 4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) ................................................... 93 4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας

(GRNET-CERT) ........................................................................................................................... 95 4.3.5 European Network Information Security Agency (ENISA) .......................................................... 95

4.4 ΕΛΛΗΝΙΚΟΙ ΦΟΡΕΙΣ/ΙΣΤΟΧΩΡΟΙ ΕΝΗΜΕΡΩΣΗΣ ....................................................................................... 98 4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ) ............................................ 99 4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας ......................................... 99 4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus .................................................... 100 4.4.4 SafeLine ..................................................................................................................................... 100 4.4.5 DART (Digital Awareness and Response to Threats) ................................................................ 100 4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α) .................................................................................... 101 4.4.7 Ινστιτούτο Ερευνών / Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιαοανατολικής

Ευρώπης (ΙΝΑ) .......................................................................................................................... 102 4.5 ΣΥΓΚΕΝΤΡΩΤΙΚΗ ΠΑΡΟΥΣΙΑΣΗ ΦΟΡΕΩΝ ................................................................................................ 103



6

5. ΚΡΙΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΑΚΕΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΕΣ ΥΠΟΔΟΜΕΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ ............................................................................. 107 5.1 ΑΞΙΟΛΟΓΗΣΗ ΚΡΙΣΙΜΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΤΗΣ ΔΗΜΟΣΙΑΣ

ΔΙΟΙΚΗΣΗΣ ............................................................................................................................................ 107 5.1.1 Σκοπός ....................................................................................................................................... 107 5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας ........................................................... 107 5.1.3 Κριτήρια επικινδυνότητας .......................................................................................................... 108 5.1.4 Ταξινόμηση και αποτίμηση επιπτώσεων σε ΠΕΥ ΔΔ .................................................................. 110 5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ ............................................................................ 112

5.2 ΔΙΚΤΥΟ ‘ΣΥΖΕΥΞΙΣ’ .............................................................................................................................. 117 5.2.1 Στοιχεία ταυτότητας έργου ......................................................................................................... 117 5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου ...................................................................................................... 119 5.2.3 Παρεχόμενες υπηρεσίες .............................................................................................................. 121 5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ ...................................................................................... 121 5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου ............................................................................................... 122 5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής ............................................. 123 5.2.7 Ένταξη στις εθνικές ΠΕY ........................................................................................................... 123 5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής .................................................... 124 5.2.9 Συμπεράσματα ............................................................................................................................ 126

5.3 TAXISNET ............................................................................................................................................ 127 5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας .................................................. 127 5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης ...................................................................................... 129 5.3.3 TAXISnet .................................................................................................................................... 132 5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet ................................................................................. 135 5.3.5 Υφιστάμενο επίπεδο ασφάλειας .................................................................................................. 140 5.3.6 Ελλείψεις – Συμπεράσματα – Προτεινόμενες Δράσεις ................................................................ 142 5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής ...................................... 142 5.3.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής .................................................... 142 5.3.9 Συμπεράσματα ............................................................................................................................ 145

5.4 DATA CENTERS ΚΤΠ ΑΕ ...................................................................................................................... 146 5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης ............. 147 5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού ........................................ 153 5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου

(ΥΛΠΗΣΔΕΔ) ............................................................................................................................ 158 5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Υγείας, Δημόσιας

Υγιεινής και Κοιvωνικής Πρόνοιας ............................................................................................ 162 5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Εμπορίου και

Ανωνύμων Εταιριών .................................................................................................................. 167 5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή Πολεοδομίας

................................................................................................................................................... 173 5.4.7 ΡΑΠΤΑΡΧΗΣ ............................................................................................................................ 180 5.4.8 Εθνική Πύλη ΕΡΜΗΣ ................................................................................................................ 183 5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση Υδάτινων Πόρων

................................................................................................................................................... 195 5.4.10 Αρχιτεκτονική ΟΠΣ/Δικτύου ...................................................................................................... 196 5.4.11 Πολεοδομία ΙΙ ............................................................................................................................ 198 5.4.12 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής ............................................. 201 5.4.13 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής .................................................... 202 5.4.14 Συμπεράσματα ............................................................................................................................ 205

5.5 ΟΠΣ ΚΕΠ ............................................................................................................................................. 206 5.5.1 Στοιχεία ταυτότητας έργου ......................................................................................................... 206 5.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου ...................................................................................................... 206 5.5.3 Παρεχόμενες Υπηρεσίες ............................................................................................................. 209 5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ ...................................................................................... 210 5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου ............................................................................................... 213 5.5.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής ............................................. 215 5.5.7 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής .................................................... 215 5.5.8 Συμπεράσματα ............................................................................................................................ 218



7

6. ΠΡΟΤΕΙΝΟΜΕΝΟ ΟΡΓΑΝΩΤΙΚΟ ΣΧΗΜΑ ....................................................................... 221 6.1 ΠΕΡΙΓΡΑΦΗ ........................................................................................................................................... 221

6.1.1 Μορφές οργάνωσης .................................................................................................................... 221 6.1.2 Οργανωτικό Σχήμα .................................................................................................................... 223

6.2 ΕΠΙΜΕΡΟΥΣ ΟΜΑΔΕΣ ............................................................................................................................. 226 6.2.1 Συντονιστική Επιτροπή............................................................................................................... 226 6.2.2 Ομάδα Ελέγχου .......................................................................................................................... 227 6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων .................................................................................... 230 6.2.4 Ομάδα Διαχείρισης Κρίσεων ...................................................................................................... 231 6.2.5 Ομάδα για τη συλλογή πληροφοριών – περιστατικών ................................................................. 232 6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη ................................................................................... 233 6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών ............................................................................... 235 6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation) ............................................................ 236 6.2.9 Αλλες ομάδες .............................................................................................................................. 237

6.3 ΕΝΔΕΙΚΤΙΚΑ ΣΕΝΑΡΙΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΚΡΙΣΙΜΑ ΠΛΗΡΟΦΟΡΙΑΚΑ & ΕΠΙΚΟΙΝΩΝΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΤΗΣ ΔΔ ............................................................................................................................. 239 6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ .... 239 6.3.2 Σενάριο 2 - Άγνωστου τύπου Επίθεση στο Υπουργείο Χ ............................................................. 241 6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος) .............................. 244

7. ΔΙΑΒΟΥΛΕΥΣΗ ........................................................................................................................ 248 7.1 ΕΙΣΑΓΩΓΗ – ΑΝΑΓΚΗ ΓΙΑ ΔΙΑΒΟΥΛΕΥΣΗ ............................................................................................... 248 7.2 ΠΡΩΤΟΒΟΥΛΙΕΣ ΔΙΑΒΟΥΛΕΥΣΗΣ ........................................................................................................... 248 7.3 ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ – ΣΥΝΟΠΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ .............................................................................. 249

7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1 ................................................... 250 7.3.2 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε2 ................................................... 251 7.3.3 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε3 ................................................... 252

7.4 ΗΜΕΡΙΔΑ ΔΙΑΒΟΥΛΕΥΣΗΣ ..................................................................................................................... 253 7.4.1 Σκοπός και διάρθρωση .............................................................................................................. 253 7.4.2 Επί μέρους θέματα συζήτησης ................................................................................................... 253 7.4.3 Σταχυολόγηση απόψεων – Συμπεράσματα ................................................................................. 254

8. ΣΥΜΠΕΡΑΣΜΑΤΑ - ΠΡΟΤΑΣΕΙΣ ....................................................................................... 257 8.1 ΚΩΔΙΚΟΠΟΙΗΣΗ ΣΥΜΠΕΡΑΣΜΑΤΩΝ ΚΑΙ ΠΡΟΤΑΣΕΩΝ ............................................................................. 257 8.2 ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΠΑΡΕΜΒΑΣΕΙΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΚΡΙΣΙΜΩΝ ΠΕΥ ΤΗΣ ΔΔ .............................. 259

ΒΙΒΛΙΟΓΡΑΦΙΑ .............................................................................................................................. 261 ΑΚΡΩΝΥΜΙΑ .................................................................................................................................. 266 ΠΑΡΑΡΤΗΜΑ Α: ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ .................................................................................... 275 ΠΑΡΑΡΤΗΜΑ Β: ΠΡΟΓΡΑΜΜΑ ΗΜΕΡΙΔΑΣ .......................................................................... 294



8

ΣΧΗΜΑΤΑ

Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07] ............................................................. 29 Σχήμα 2: Μέθοδος εργασίας O.E. CICIP ............................................................................................. 34 Σχήμα 3: Πυλώνες CICIP [Sut-07] ....................................................................................................... 37 Σχήμα 4: Αρμοδιότητες BMI [BSI-05b] .............................................................................................. 41 Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b] ....................................................... 42 Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b] .......................... 43 Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP .................................................................................. 66 Σχήμα 8: European Unio - From PASR to the FP7 Theme «Security» (Πηγή: Information Day on Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007) ........................................ 78 Σχήμα 9: European Union CICIP – Policies and RTD (Πηγή: Information Day on Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007) ..................................................... 79 Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07] .................................................................... 82 Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07] .................................................................. 82 Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07] .................................................... 83 Σχήμα 13: Δομή CCB [Sut-07] ............................................................................................................ 83 Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07] ............................................................................ 84 Σχήμα 15: Σύγκριση CCB και OCB [Sut-07]....................................................................................... 84 Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας .............................................................................. 89 Σχήμα 17: Αρμοδιότητες ENISA ......................................................................................................... 97 Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι αναφερόμενες τιμές είναι ενδεικτικές) ............................................................................................... 111 Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές) ............................... 112 Σχήμα 20: Απεικόνιση νησίδας δικτύου ‘Σύζευξις’ ........................................................................... 120 Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet ........................................................................ 137 Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet .............................................................. 138 Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ............................................................................................. 149 Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ................ 150 Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ....................................................................................................................... 155 Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ...................................................................... 159 Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ........... 169 Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ................... 174 Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ..................................... 185 Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου) .................................... 186 Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ............ 194 Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ......................................................................................................... 196 Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ................................... 199 Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ........................... 200 Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου) ............ 207 Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα ..................................................................................... 224 Σχήμα 38: Διασύνδεση με άλλους φορείς .......................................................................................... 225 Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου ....................................................................................... 229 Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2 ............................................................................. 243 Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3 ............................................................................. 246



9

ΠΙΝΑΚΕΣ Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP .................................................................... 80 Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP .................................................................... 81 Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07] ............................................. 82 Πίνακας 4: Στόχοι ENISA .................................................................................................................... 97 Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί Φορείς Ασφάλειας.................................................................... 104 Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα ............................................... 105 Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων ..... 108 Πίνακας 8: Αποτίμηση επιπτώσεων [NCIAP-04] .............................................................................. 110 Πίνακας 9: Κριτήρια επιλογής Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) ......................................................................................................... 114 Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές) .................................................................................................... 116 Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής .............................................................. 125 Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ .......................................................... 130 Πίνακας 13: Ταυτότητα έργου TAXISnet .......................................................................................... 132 Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης .......................................... 139 Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής .............................................................. 142 Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS – TAXISnet ............................. 144 Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ .................................................................................... 146 Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε. ............................................................ 147 Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης ... 148 Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογ/μός Τουρισμού και Παρατηρητήριο Τουρισμού .... 153 Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ ......................................................................... 159 Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας ........ 163 Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E. .............................................................. 168 Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας ...................................................................... 174 Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ ................................................................................... 180 Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ ....................................................................... 184 Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων.... 196 Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ .......................................................................... 198 Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών .. 204 Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ ......................................................................................... 206 Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών .. 217



10

ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ

Εισαγωγή και οριοθέτηση έργου Η ραγδαία διείσδυση των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) στη Δημόσια Διοί-κηση (ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρωμένων πληροφοριακών συστημάτων και της διά-χυσης και συνδυαστικής αξιοποίησης των ευρυζωνικών επικοινωνιακών υποδομών, επέφερε σημα-ντικές και πολλαπλές διαφοροποιήσεις στις υπηρεσίες ηλεκτρονικής διακυβέρνησης (e-Government services). Μια από τις βασικές διαφοροποιήσεις είναι η μετατόπιση του κέντρου βάρους των ζητη-μάτων Ασφάλειας στις ΤΠΕ από την Ασφάλεια Πληροφοριακών Συστημάτων (ΠΣ) στην Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών2.

Στις τρέχουσες συνθήκες,, το διακύβευμα της προστασίας τείνει να μην είναι μόνον - ή κυρίως - τα Ολοκληρωμενα Πληροφοριακά Συστήματα, αλλά πρωτίστως οι Κρίσιμες Πληροφοριακές και Επι-κοινωνιακές Υποδομές (ΠΕΥ). Αυτό ισχύει γιατί μέσω των υποδομών αυτών καθίσταται δυνατή - αλλά και από αυτές εξαρτάται σε μεγάλο βαθμό - η λειτουργία των πληροφοριακών συστημάτων της ΔΔ, καθώς και η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για να επιτευχθεί η αναγκαία προστασία των κρίσιμων ΠΕΥ της ΔΔ απαιτείται έγκαιρη, μεθοδική και συστηματική εργασία των αρμόδιων φορέων της Πολιτείας, σε συνεργασία με τα ενδιαφερόμενα μέρη, όπως οι πανεπιστημια-κοί και ερευνητικοί φορείς που δραστηριοποιούνται στη γνωστική αυτή περιοχή, οι επιχειρήσεις του κλάδου των ΤΠΕ, αλλά και οι εκπρόσωποι των εργαζομένων και της κοινωνίας των πολιτών.

Οι αναγκαίες πρωτοβουλίες δεν πρέπει να περιορίζονται μόνον - ούτε κυρίως - στην ταχεία και απο-τελεσματική επίλυση των όποιων μείζονων προβλημάτων τυχόν εμφανιστούν, αλλά πολύ περισσότε-ρο, στην προληπτική αντιμετώπιση και την αποφυγή των προβλημάτων αυτών. Ειδικά σε χώρες όπως η Ελλάδα, όπου η εφαρμογή των ΤΠΕ έχει σημαντικά περιθώρια περαιτέρω βελτίωσης, αλλά και η ε-μπιστοσύνη των πολιτών στη ΔΔ είναι ακόμη σχετικά περιορισμένη, η ασφαλής και ποιοτική παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης αποτελεί μείζονα στόχο των εμπλεκομένων επιστημόνων και τεχνικών, αλλά και βασικό μέσο για τη σταδιακή καταξίωση της ΔΔ.

Η δυνατότητα προληπτικής αντιμετώπισης των απειλών που αντιμετωπίζουν οι ΠΕΥ της ΔΔ προϋπο-θέτει οργάνωση, σχεδιασμό, ενημέρωση, συνεργασία και διαρκή εξάσκηση. Για να υπάρξει πραγμα-τική δυνατότητα πρόληψης χρειάζεται αξιόλογη επένδυση σε ανθρώπινους και υλικούς πόρους, Η ε-πένδυση αυτή, που πρωτίστως αποτελεί στόχο και καθήκον της ΔΔ έναντι των πολιτών, μπορεί να α-ποσβεσθεί γρήγορα μέσω του πολύ σημαντικού οικονομικού οφέλους που προκύπτει από την αποφυ-γή μείζονων προβλημάτων στη λειτουργία των ΠΕΥ της ΔΔ3.

2 Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία της ΔΔ, της Οικονομίας, της Κοινωνίας ή/και άλλων υποδομών. Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση, διακοπή ή δυσλει-τουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία της ΔΔ ή/και της Οικονομίας. Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πληροφοριών, υπηρεσιών επι-κοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών. Κρίσιμη ΠΕΥ (Critical Information and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό σύστημα που είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών. Προστασία Κρίσιμης ΠΕΥ (Critical Information and Communication Infrastructure Protection): Ενέργειες των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας Διοίκησης ή/και κανονιστικών/ρυθμιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, καθώς και για την ανάκαμψη, σε εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα.

3 Σε περιπτώσεις επιτυχών προληπτικών δράσεων συμβαίνει το εξής φαινόμενο. Όσο πιο αποτελεσματική είναι η προστα-σία ενός ΠΣ, τόσο λιγότερα περιστατικά ανασφάλειας συμβαίνουν. Όσο λιγότερα περιστατικά συμβαίνουν, τόσο λιγότε-ρη συζήτηση γίνεται σε θέματα ασφάλειας. Το γεγονός αυτό συχνά υποβιβάζει την ασφάλεια στην agenda της κοινής γνώμης, αλλά και των διοικήσεων ορισμένων φορέων και οργανισμών. Πιθανή συνέπεια αυτού είναι ο περιορισμός των επενδύσεων σε θέματα ασφάλειας και - ως εκ τούτου - η εμφάνιση μιας νέας απειλής. Αντίθετα, η κατά καιρούς εμφάνι-ση μείζονων περιστατικών ανασφάλειας (horror stories) προκαλεί αύξηση των επενδύσεων σε ασφάλεια. Τελικά, η εμπει-ρία αποδεικύει ότι η επιτυχής πρόληψη προκαλεί εφησυχασμό, ο οποίος αποτελεί βασική απειλή για την ασφάλεια.



11

Δεδομένης της ιεραρχικής δομής και λειτουργίας της ΔΔ, η προστασία των κρίσιμων ΠΕΥ της απο-τελεί το αντικείμενο μιας από τις πρωτουβουλίες που ήταν εφικτό και σκόπιμο να αναλάβει η ίδια η ΔΔ. Η πρωτοβουλία αυτή αναλήφθηκε μέσω των δράσεων του e-Government Forum4, το οποίο χρη-ματοδοτείται από το Επιχειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας”. Ειδικότερα, στο πλαί-σιο του e-Government Forum συστήθηκε Ομάδα Εργασίαςς (OE) εμπειρογνωμόνων, με αντικείμενο την Προστασία των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοί-κησης (Critical Information and Communication Infrastructure Protection, CICIP). Οι βασικοί στοχοι της ΟE ήσαν:

α. H αποτελεσματική αξιοποίηση της τεχνογνωσίας της ακαδημαϊκής και επιχειρηματικής κοινότη-τας σε θέματα προστασίας κρίσιμων ΠΕΥ.

β. Η προώθηση της σύζευξης ΤΠΕ και διοικητικής δράσης, μέσω της προδιαγραφής του οργανω-τικού σχήματος που είναι αναγκαίο για την αποτελεσματική προστασία κρίσιμων ΠΕΥ της ΔΔ.

γ. Η πρόταση δράσεων για την αξιοποίηση των δυνατοτήτων του επιχειρηματικού τομέα του χώρου των ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υ-ποστήριξη του οργανωτικού σχήματος που θα προταθεί.

Μέθοδος εργασίας Το παρόν πόνημα αποτελεί το αποτέλεσμα της εργασίας της ΟE CICIP. Το κείμενο επικεντρώνεται στην περιγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, το οποίο προτείνεται να δημιουργηθεί, στο πλαίσιο της λειτουργίας της ΔΔ, με στόχο την προστασία των κρίσιμων ΠΕΥ της ΔΔ.

Η μέθοδος που επελέγη για τη σχεδίαση του οργανωτικού σχήματος προστασίας των κρίσιμων ΠΕΥ της ΔΔ αποτελείται από τα εξής εφτά βήματα:

Βήμα 1: Καταγραφή και αξιολόγηση ώριμων οργα-νωτικών σχημάτων που λειτουργούν διεθνώς και α-φορούν προστασία κρίσιμων ΠΕΥ. Ειδικότερα, έγι-νε αναλυτική επισκόπηση των σχετικών οργανωτι-κών σχημάτων που έχουν αναπτυχθεί σε διάφορες χώρες (εντός και εκτός ΕΕ), καθώς και σχετικών δράσεων και πρωτοβουλιών που έχουν αναληφθεί α-πό εθνικούς και διεθνείς oργανισμούς. Ειδικότερη α-νάλυση έγινε για ορισμένες επιλεγμένες χώρες (Γερ-μανία, Ελβετία, Ενωμένο Βασίλειο, ΗΠΑ, Καναδάς, Νέα Ζηλανδία, Ολλανδία και Σουηδία).

Βήμα 2: Καταγραφή οργανωτικών σχημάτων προ-στασίας ΠΕΥ και διαχείρισης κρίσεων, που λειτουρ-γούν σήμερα στο πλαίσιο της ελληνικής Δημόσιας Διοίκησης, καθώς και των επιχειρησιακών πρακτι-κών που αφορούν τις κρίσιμες ΠΕΥ. Ειδικότερα, α-

ναζητήθηκαν οι οργανισμοί και φορείς που μπορεί να ενταχθούν στο πλαίσιο της ελληνικής Δημόσι-ας Διοίκησης και έχουν ρόλο που σχετίζεται με προστασία κρίσιμων ΠΕΥ. Η καταγραφή περιέλαβε εποπτικούς/κανονιστικούς φορείς, ρυθμιστικούς φορείς ασφάλειας, καθώς και φορείς5 ενημέρωσης για τέτοια θέματα στον ελληνικό χώρο.

Βήμα 3: Εντοπισμός και περιγραφή κρίσιμων ΠΕΥ της ΔΔ στην Ελλάδα. Δεδομένου ότι δεν θα ήταν ρεαλιστικό να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες 4 Σύσταση του e-Government Forum, ΦΕΚ 1517/2006, τ. Β’, σελ. 20241-20246, 16.10.2006. 5 Αν και καταβλήθηκε σύντονη προσπάθεια ο σχετικός κατάλογος νάναι πλήρης, δεν μπορεί να αποκλειστεί η περίπτωση κάποιος τέτοιος φορέας να διέλαθε της προσοχής των μελών της Ο.Ε. Στην περίπτωση αυτή πα-ρακαλούμε για την κατανόηση του φορέα που παραλήφθηκε, αλλά και του αναγνώστη.

1Διεθνή

οργανωτικά σχήματα

για την προστασία κρίσιμων ΠΕΥ

2 Τρέχον

οργανωτικό πλαίσιο

και πρακτικές

3ΚρίσιμεςΠΕΥ της Δημόσιας Διοίκησης

5Οργανωμένη διαβούλευση

7Δημόσια παρουσίαση & κριτική αξιολόγηση

αποτελεσμάτων

6Προδιαγραφή οργανωτικού

σχήματος

4Αξιολόγηση των ΠΕΥ ΔΔ ως προς την κρισιμότητα

Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων

Πληροφοριακών & Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης



12

ΠΕΥ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε σε σχετική προσέγγιση της ΕΕ, με βάση την οποία καθορίστηκαν 20 υπηρεσίες6 ως οι βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της. Οι υπηρεσίες αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. Οι ΠΕΥ αυτές μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, αλλά και με συνεντεύξεις με στελέχη της ΚτΠ Α.Ε. που διετέλεσαν υπεύθυνοι ανάπτυξης των ΠΕΥ.

Βήμα 4: Αξιολόγηση των ΠΕΥ της ΔΔ ως προς την κρισιμότητα. Αρχικός στόχος ήταν η επιλογή κα-τάλληλων κριτηρίων για την αξιολόγηση των ΠΕΥ που εντοπίστηκαν και μελετήθηκαν σε προηγού-μενα βήματα, ως προς την κρισιμότητά τους. Επίσης, η περιγραφή μιας συγκεκριμένης μεθόδου που θα επιτρέψει μια τέτοια αξιολόγηση. Η μέθοδος που τελικά επελέγη επιτρέπει τη δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες ΠΕΥ (ζωτικής σημασίας) και μη κρίσιμες ΠΕΥ (μη ζωτικής σημασίας). Η μέθοδος που επελέγη για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίστηκε σε δύο παραμέ-τρους: (α). Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ και (β). την ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Ο χαρακτηρισμός μιας ΠΕΥ ως κρίσιμης βασίστηκε στο συνδυασμό της έντασης κάθε επίπτωσης, η οποία επέρχεται από τον περιορισμό της διαθεσιμότητας της ΠΕΥ (με βάση το θεωρητικά εκτιμώμενο “δυσμενέστερο εν-δεχόμενο”7). Η τελική επιλογή των κρίσιμων ΠΕΥ ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλο-γικής επαγγελματικής εμπειρογνωμοσύνης (professional judgement).

Βήμα 5: Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, είτε εκτιμάται εύλογα ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Η διαβούλευση ορ-γανώθηκε σε τέσσερις φάσεις: (α). Επιλογή συμμετεχόντων στη διαβούλευση, (β). Σύνταξη-αποστο-λή ειδικά σχεδιασμένων ερωτηματολογίων, (γ). Συλλογή-επεξεργασία απαντήσεων και (δ). Διοργά-νωση και διεξαγωγή ημερίδας μεταξύ των μελών της ΟΕ και των εμπειρογνωμόνω που επελέγησαν.

Βήμα 6: Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, σε στρατηγικό και επιτελικό επίπεδο, που αποσκοπεί στην προστασία των κρίσιμων ΠΕΥ της ΔΔ. Με βάση τα αποτελέσματα προηγούμενων βημάτων, αλλά και τα συμπεράσματα που προέκυψαν από τη διαβούλευση σχεδιάστηκε ένα ευέλικτο οργανωτικό σχήμα, που αποσκοπεί στην προστασία των κρί-σιμων ΠΕΥ ΔΔ και λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες πρακτικές σε διεθνές επίπεδο, αλλά ταυτόχρονα είναι προσαρμοσμένο στην ελληνική πραγματικότη-τα, λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο.

Βήμα 7: Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της ΟΕ, με τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο. Η παρουσίαση των αποτελεσμάτων της ΟΕ προ-γραμματίζεται να γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογραφίας, αλλά και του παρόντος παραδοτέου στο δικτυακό τοπο του e-Governement Forum (www.e-governmentforum.gr). Περαιτέ-ρω, τα αποτελέσματα του έργου της ΟΕ προγραμματίζετια να παρουσιαστούν σε διάφορα fora που α-φορούν τις ΤΠΕ και τη ΔΔ.

Επισκόπηση διεθνούς εμπειρίας Τα θέματα προστασίας των κρίσιμων υποδομών ανήκουν στις προτεραιότητες όλων των τεχνολογικά προηγμένων χωρών. Ειδικότερα, η προσοχή των χωρών αυτών δεν περιορίζεται μόνο στις ΠΕΥ, αλ-λά επεκτείνεται και σε άλλες κρίσιμες υποδομές, όπως η ενέργεια, η παροχή υπηρεσιών υγείας, η πυ-ροπροστασία κλπ., μέσω μιας ολιστικής θεώρησης που αποβλέπει στην προστασία του συνόλου των κρίσιμων υποδομών (all-hazards approach).

6 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται με βάση μια κοινή μέθοδο, σε ευρωπαϊκό επίπεδο. Έτσι, είναι δυνατή η σύγκριση της προόδου των κρατών-μελών της EE σε ό,τι αφορά την ανάπτυξη των ίδιων υπηρεσιών ηλεκτρονικής διακυβέρνησης (βλ. Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα, Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007).

7 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης επικινδυνότητας ΠΣ. Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας, αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit factor) δεν είναι αυστηρά εγγυημένη.



13

Αποτέλεσμα του πολύ αυξημένου διεθνούς ενδιαφέροντος είναι η ανάπτυξη σειράς οργανωτικών σχημάτων, που εντάσσονται κυρίως στο πλαίσιο των κρατικών δομών κάθε χώρας, τα οποία αποσκο-πούν στην επίτευξη του συγκεκριμένου στόχου. Τα οργανωτικά αυτά σχήματα διαφέρουν, από χώρα σε χώρα, τόσο σε ό,τι αφορά την έκτασή τους, όσο και σε ό,τι αφορά τη δομή τους. Η διαφοροποίηση μπορεί να ερμηνευτεί με βάση το βαθμό της τεχνολογικής προόδου κάθε χώρας, τις τρέχουσες τοπι-κές κοινωνικο-οικονομικές ιδιαιτερότητες, τις στρατηγικές ένταξης των ΤΠΕ στο σχέδιο ανάπτυξης κάθε χώρας, καθώς και στο ιστορικό συμφραζόμενο που αφορά τον ιμπεριαλιστικό χαρακτήρα της χώρας.8

Η επισκόπηση των οργανωτικών σχημάτων και δομών έδειξε, μεταξύ άλλων, ότι η προ-στασία των κρίσιμων υποδομών, ΠΕΥ ή άλ-λων, δεν είναι μονόδρομος, καθώς δεν υ-πάρχει βέλτιστο σχήμα, δεδομένων των ανα-πόφευκτων διαφοροποίησεων μεταξύ των διαφόρων χωρών. Από την άλλη, η επισκό-πιση αποκάλυψε, επίσης, ότι υπάρχουν κά-ποιες συγκεκριμένες επιλογές, οι οποίες φαί-νεται ότι υιοθετούνται από αρκετές χώρες και οι οποίες εκτιμάται ότι διαμορφώνουν έ-

να σύνολο καλών πρακτικών (good practices) για την αντιμετώπιση του ζητήματος. Για παράδειγμα, ως πυλώνες της προστασίας των κρίσιμων υποδομών θεωρουνται δράσεις που αποβλέπουν στην πρό-ληψη και την έγκαιρη προειδοποίηση, στην έγκαιρη ανίχνευση των επιθέσεων, στην άμεση και απο-τελεσματική αντίδραση σε αυτές, καθώς και στη διαχείριση των κρίσεων που προκύπτουν.

Περαιτέρω, η σύγκλιση ορισμένων χωρών στην υιοθέτηση παρόμοιων οργανωτικών σχημάτων προ-στασίας των κρίσιμων υποδομών επιτρέπει τη διαμόρφωση μιας αδρής μεθοδολογίας, η οποία μπορεί να ακολουθηθεί από κάποια χώρα, όπως η Ελλάδα, που δεν διαθέτει ακόμη ένα τέτοιο οργανωτικό σχήμα, αλλά ενδιαφέρεται να αναπτύξει. Η μεθοδολογία αυτή, ως αρκούντως γενική και παραμετρι-κή, δεν περιορίζει το πεδίο εφαρμογής της μόνο στις ολιστικές προσεγγίσεις (all-hazards), αλλά είναι εφαρμόσιμη και σε υποδομές περιορισμένου εύρους. Για παράδειγμα, είναι εφαρμόσιμη στην περί-πτωση της Ελλάδας, όπου το τρέχον ενδιαφέρον εστιάζεται στην προστασία κρίσιμων (μόνον) ΠΕΥ, αλλά (με κάποιους περιορισμούς που αφορούν κυρίως την αλληλεπίδραση μεταξύ ΠΣ) και σε περιο-

ρισμένα πεδία εφαρμογής των ΤΠΕ (πχ. σε υπηρεσίες ηλεκτρονικής διακυβέρνησης). Τα βασικά συστατικά μέρη ενός τέτοιου ορ-γανωτικού σχήματος είναι (α). Μια Κρατική Υπηρεσία, (β). ένα Κέντρο Ανάλυσης (που μπορεί να δημιουργηθεί γιαυτό το λόγο και μόνο), καθώς και (γ). ένα Κέντρο Αριστείας (πχ. ένα Ερευνητικό Ινστιτούτο ή ένα CERT με διευρυμένες αρμοδιότητες).

Με βάση τη διεθνή εμπειρία προκύπτει ότι, πέραν των βασικών μερών από τα οποία πρέπει να αποτε-λείται ένα οργανωτικό σχήμα προστασίας κρίσιμων υποδομών, ιδιαίτερη σημασία έχει η εσωτερική οργανωτική του διάρθρωση (πχ. η αυξημένη διοικητική του αυτονομία, η ύπαρξη επαρκών διοικητι-κών μονάδων υποστήριξης κλπ.), οι διασυνδέσεις του με το περιβάλλον (καθώς αναμένεται να υπάρ-χει σειρά επικαλύψεων και συναρμοδιοτήτων με άλλες υπηρεσίες, κάποιες από τις οποίες θάναι ανα-γκαίες και κάποιες άλλες ενδεχομένως όλως περιττές), καθώς και ο χαρακτήρας και η φύση του. Ειδι-κά το τελευταίο χαρακτηριστικό, για παράδειγμα η επιλογή “ανοικτών” σχημάτων διοίκησης σε βά- 8 Η παράμετρος αυτή φαίνεται ότι έχει αποκτήσει σημαντική βαρύτητα στον καθορισμό των οργανωτικών σχημάτων προ-στασίας κρίσιμων υποδομών, ειδικά μετά τα γεγονότα της 11.09.2001. Χαρακτηριστικό παράδειγμα της σημασίας της α-ποτελεί η ίδρυση νέου Υπουργείου των ΗΠΑ (Dept. of Homeland Security), που διαθέτει, μεταξύ άλλων, τη σχετική αρ-μοδιότητα. Άλλα παραδείγματα, τηρουμένων των αναλογιών, αποτελούν οι σύνθετες οργανωτικές δομές που έχουν υιο-θετηθεί από το Ενωμένο Βασίλειο, αλλά και τη Γερμανία.



14

ρος “κλειστών” φορέων εξουσίας, η προτεραιότητα της ελεγκτικής ή της συμβουλευτικής δραστηριό-τητας ή η ισορροπία μεταξύ των δύο, η έμφαση στην πρόληψη ή την καταστολή κλπ. αποτελούν κομβικές επιλογές για την πετυχημένη λειτουργία του.

Η παρουσία και ο ρόλος του ιδιωτικού τομέα (της επιχειρηματικής κοινότητας) διαφοροποιείται, επί-σης, από χώρα σε χώρα. Η τάση που παρατηρείται, γενικά, είναι να διαδραματίζει κάποιο ρόλο, ενίο-τε αξιόλογης εμβέλειας (σε συγκεκριμένα ζητήματα), αλλά κυρίως σε συμβουλευτικό επίπεδο ή σε ε-πίπεδο ανταλλαγής πληροφόρησης και εμπειριών. Σε χώρες όπου η Δημόσια Διοίκηση έχει σχετικά περιορισμένο εύρος (πχ. ΗΠΑ), ο ρόλος της ιδιωτικής πρωτοβουλίας είνα σημαντικά διευρυμένος και έχει προσλάβει χαρακτηριστικά ουσιαστικά στρατηγικού εταίρου, μερικές φορές ακόμη και σε ζητή-ματα προστασίας κρίσιμων υποδομών9.

Οι συνθήκες στην Ελλάδα Στην Ελλάδα, σήμερα (Αύγουστος 2008), υπάρχει σειρά δημόσιων υπηρεσιών, ανεξάρτητων αρχών, οργανισμών και φορέων που περιλαμβάνουν μεταξύ των αρμοδιοτήτων τους θέματα που σχετίζονται με την προστασία και ασφάλεια κρίσιμων ΠΕΥ. Μεταξύ αυτών περιλαμβάνονται:

(α). Το Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ), που έχει επιτελικό ρόλο σε εθνικό επίπεδο και είναι αρμόδιο για την έκδοση του Εθνικού Κανονισμού Ασφάλειας (ΕΚΑ) (Π.Δ. 17/1974), σε συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Ο ΕΚΑ έχει εφαρμογή σε όλη τη ΔΔ.

(β). Η ΕΥΠ, που αποτελεί Αρχή Ασφάλειας Πληροφοριών (INFOSEC) (N. 39/2008), είναι υπεύθυνη για το εθνικό Computer Emergency and Response Team (CERT) (Π.Δ. 325/2003) και αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Π.Δ. 325/2003).

(γ). Η Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ) και η Υπηρεσία Ανάπτυξης Πληροφορικής (ΥΑΠ) του Υπουργείου Εσωτερικών (ΥΠΕΣ), που διαθέτουν ορισμένες αρμοδιό-τητες αμέσως ή εμμέσως συσχετιζόμενες με την προστασία των κρίσιμων ΠΕΥ της ΔΔ. Ενδεικτι-κά αναφέρεται ότι η Διεύθυνση ΠΣΕΑ είναι αρμόδια για την κατάρτιση, τήρηση και αναθεώρη-ση σχεδίων εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας ΔΔ και Ηλεκτρονικής Δια-κυβέρνησης, ενώ η ΥΑΠ έχει οριστεί ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου (ΑΠΕΔ), δηλαδή ως Πρωτεύουσα Αρχή (ΠΑΠ) (Ν. 3448/2006).

(δ). Η Ελληνική Αστυνομία (ΕΛΑΣ), ως υπαγόμενη στο ΥΠΕΣ, που εμπλέκεται κυρίως μέσω της Δι-εύθυνσης Χειρισμού Κρίσεων, της Διεύθυνσης Εγκληματολογικών Υπηρεσιών, της Υπηρεσίας Δίωξης Ηλεκτρονικου Εγκλήματος, του Τομέα Εξέτασης Ψηφιακών Πειστηρίων κλπ.

(ε). Το Υπουργείο Μεταφορών και Επικοινωνιών (ΥΜΕ), που είναι αρμόδιο για τη χάραξη πολιτικής για την ασφάλεια των δημόσιων δικτύων και των υπηρεσιών ηλεκτρονικών επικοινωνιών (Ν. 3431/2006), από κοινού με συναρμόδια Υπουργεία.

9 Το γεγονός αυτό είναι αυτονόητο, δεδομένου ότι πολύ μεγάλο μέρος των κρίσιμων υποδομών (πχ. ενέργεια, επικοινωνίες κλπ.) στις ΗΠΑ, αλλά και σε πολλές άλλες χώρες, είναι - ή περιέρχεται σταδιακά - υπό τον έλεγχο του ιδιωτικού τομέα.



15

(στ).Ανεξάρτητες αρχές, όπως η Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ), η Αρχή Δια-σφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) και η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ), οι οποίες παρεμβαίνουν σε θέματα της αμροδιότητάς τους. Ενδεικτι-κά, η ΑΠΠΔ είναι αρμόδια για θέματα προστασίας προσωπικών δεδομένων και για τον έλεγχο ό-λων των εμπλεκόμενων φορέων (Ν. 2472/1997, Ν. 2774/1999), η ΑΔΑΕ είναι αρμόδια για την τήρηση του απόρρητου της ελεύθερης επικοινωνίας, για την πιστοποίηση προϊόντων ασφαλείας και για τον έλεγχο όλων των εμπλεκόμενων φορέων (Ν. 3115/2003), ενώ η ΕΕΤΤ είναι αρμόδια, μεταξύ άλλων, για τον έλεγχο των φορέων παροχής υπηρεσιών ηλεκτρονικής υπογραφής (Π.Δ. 150/2001), καθώς και για την ακεραιότητα και διαθεσιμότητα των δημόσιων δικτύων επικοινωνί-ας - και σε περιόδους έκτακτης ανάγκης.

(ζ).Η Τράπεζα της Ελλάδας (ΤτΕ), που εμπλέκεται στην πρόληψη της χρησιμοποίησης του χρηματο-πιστωτικού συστήματος για τη νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες και τη χρηματοδότηση ειδικών εγκλημάτων βίας (Ν. 3601/2007, Πλαίσιο Εποπτείας - Βασιλεία ΙΙ κλπ.).

(η). Η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας του Εθνικού Δικτύου Έρευνας και Τεχνολο-γίας (ΕΔΕΤ-CERT, GRNET-CERT), που είναι αρμόδια να ανταποκρίνεται σε περιστατικά ανα-σφάλειας στον ελληνικό δικτυακό χώρο (.gr), να παρέχει πληροφορίες, εκπαίδευση και τεχνική βοήθεια και να αντιπροσωπεύει την Ελλάδα στα αντίστοιχα ευρωπαϊκά και διεθνή fora.

(θ). Η υπηρεσία ENISA (European Network Information Security Agency) της Ευρωπαϊκής Ένωσης, που λειτουργεί κυρίως ως Κέντρο Εμπειρογνωμοσύνης για θέματα ασφάλειας δικτύων και πλη-ροφοριών, παρέχοντας συμβουλευτικές υπηρεσίες σε θέματα όπως το ηλεκτρονικό έγκλημα και οι μεθοδολογίες αποτίμησης επικινδυνότητας και εκπονώντας σχετικές μελέτες.

(ι). Φορείς και υπηρεσίες, όπως ο Ελληνικός Φορέας Πρόληψης της Ηεκτρονικής Απάτης (ΕΦΤΑ), ο Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας (ΣΕΠΕ), ο ελληνικός κόμ-βος ασφαλούς διαδικτύου SafeNetHomePlus, η υπηρεσία SafeLine, καθώς και ιδιαιτέρως, λόγω της ιδιαίτερης δυναμικής που μπορεί να επιδείξει, η Ομάδα Δράσης για την Ψηφιακή Ασφάλεια (Digital Awareness and Response to Threats, DART), που λειτουργεί στο πλαίσιο του Επιχειρη-σιακού Προγράμματος “Ψηφιακή Ελλάδα”.

Οι επικαλύψεις, οι συναρμοδιότητες και οι ελλείψεις του πλαισίου αυτού είναι εμφανείς. Μια ενδει-κτική δομημένη (Πίνακας Ι) απεικόνιση των αρμοδιοτήτων των ρυθμιστικών και ελεγκτικών φορέων αναδεικνύει το πρόβλημα.

ΠΙΝΑΚΑΣ Ι: Ενδεικτικές επικαλύψεις φορέων

ΦΟΡΕΑΣ ΣΧΕΤΙΚΟ ΠΕΔΙΟ ΔΡΑΣΗΣ

ΡΟΛΟΙ

Ρυθμίσεις, κανονισμοί

Έλεγχοι εφαρμογής θεσμικού πλαισίου

Παροχή προϊόντων-υποδομών ασφαλείας

Πιστοποίηση προϊόντων και υπηρεσιών ασφαλείας

ΑΠΠΔ Προστασία προσωπι-κών δεδομένων √√ √√ √√

ΑΔΑΕ Προστασία απορρήτου των επικοινωνιών √√ √√ √√

ΕΕΤΤ Ρύθμιση θεμάτων τηλε-πικοινωνιών √√ √√ √√ √√

ΕΦΤΑ Πρόληψη τηλεπικοινω-νιακής απάτης √√ √√

GRNET Προϊόντα/υπηρεσίες ασφάλειας συστημάτων √√

Όσο οι κρίσιμες ΠΕΥ ήσαν ελάχιστες στο πλήθος και εξυπηρετούσαν περιορισμένο αριθμό χρηστών, τόσο το πρόβλημα της ασφαλούς διαχείρισής τους παρέμενε υπό έλεγχο, δεδομένου ότι οι σχετικές α-



16

πειλές δεν αναμενόταν να προκαλέσουν αξιοσημείωτες επιπτώσεις. Επίσης, τυχόν επικαλύψεις και συναρμοδιότητες μεταξύ των εμπλεκόμενων υπηρεσιών και φορέων προκαλούσαν μάλλον αμελητέες επιπτώσεις, δεδομένης της περιορισμένης έκτασης του πραγματικού προβλήματος. Η κατάσταση αυ-τή ανατράπηκε άρδην, κατά την τελευταία τριετία, ειδικά μετά την ανάπτυξη σημαντικού πλήθους ΟΠΣ και δικτυακών υποομών, που χρηματοδοτηθηκαν κυρίως - αλλά όχι μόνο - μέσω του Επιχειρη-σιακού Προγράμματος “Κοινωνία της Πληροφορίας”, καθώς και μετά την εντεινόμενη διάχυση των ευρυζωνικών επικοινωνιών και υπηρεσιών.

Στις τρέχουσες συνθήκες - και ειδικά όταν περιέλθουν σε πλήρη παραγωγική λειτουργία το δίκτυο ΣΥΖΕΥΞΙΣ της ΔΔ, καθώς και η εθνική διαδικτυακή πύλη (portal) ΕΡΜΗΣ - εκτιμάται ότι τυχόν μείζονα περιστατικά ανασφάλειας στις κρίσιμες ΠΕΥ της ΔΔ όχι απλώς δεν θα είναι εύκολο να αντι-μετωπιστούν αποτελεσματικά, αλλά πιθανότατα θα οδηγούν σε σύγχυση και σε δημόσιες διαμάχες για το εύρος και το είδος της αρμοδιότητας καθενός των εμπλεκόμενων φορέων και υπηρεσιών.

Εάν ο σκοπός της χρηστής και ευνομούμενης ΔΔ δεν είναι η διάχυση των ευθυνών και η αποσιώπη-ση των προβλημάτων, αλλά η έγκαιρη και αποτελεσματική αντιμετώπισή τους, τότε μια χαοτική παν-σπερμία αρμόδιων-συναρμόδιων-ημιαρμόδιων, ιδιωτικών και δημόσιων, φορέων προστασίας των κρίσιμων ΠΕΥ πολύ απέχει από το να μπορεί να υπηρετήσει το σκοπό αυτό.

Κρίσιμες ΠΕΥ στην ελληνική ΔΔ Βασικό μέσο για την προστασία των κρίσιμων ΠΕΥ της ΔΔ είναι η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των υπαρχουσών ΠΕΥ και την επιλογή, μεταξύ αυτών, αυτών που είναι κρίσιμες. Για το σκοπό του παρόντος πονήματος αρκεί μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέ-ψει να καταστεί δυνατή η δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας).

Χαρακτηριστικό γνώρισμα της κρισιμότητας των ΠΕΥ είναι ότι διαρκώς μεταβάλλεται, αφού οι κύ-ριοι παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) συνεχώς διαφοροποιούνται (οι απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογί-ας και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.).

Για την αξιολόγηση της κρισιμότητας μιας υποδομής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της υποδομής ή των υπό αξιολόγηση στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα πα-ρέχεται ως συνάρτηση των εξής παραγόντων10: (Επικινδυνότητα) = (Απειλή) ◊ (Τρωτότητα) ◊ (Επί-πτωση), όπου ο τελεστής ◊ είναι ένας γενικευμένος πολλαπλασιαστής. Βεβαίως, η επικινδυνότητα α-ποτελεί εύλογο (αλλά όχι μοναδικό, ούτε κυρίαρχο) μέσο για τη διαβάθμιση της κρισιμότητας μιας υ-ποδομής.

Ωστόσο, υπάρχουν συγκεκριμένες δυσκολίες, τόσο θεωρητικές, όσο και πρακτικής εφαρμογής της ως άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας. Ενδεικτικά υπάρχει: (α). Δυσ-χέρεια στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, αλλά εξαιρετικά σημαντικών επιπτώσεων (σε αυτά ανήκουν και οι ανθρωπογενείς απειλές, πχ. ειδικές επι-θέσεις βίας), (β). Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημά-των και υποδομών (όπως των ΠΕΥ), (γ). Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν υπάρχουν πολλές και ισχυρές άλληλεξαρτήσεις (αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις ο-ποίες εξαρτώνται άλλες σημαντικές υποδομές (ενέργεια, μεταφορά, υγεία κλπ.), (δ) Δυσχέρεια στη χρήση πολυκριτηριακών μεθόδων, (ε). Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ. επιπέδου εμπιστοσύνης, ψυχολογικών επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδια-θέσεων των χρηστών ή του ευρύτερου κοινωνικού συνόλου κλπ.) και (στ). ειδικά για την περίπτωση των ΠΕΥ, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής υπηρεσιών (διαθεσιμότητας, ακεραιό-τητας, εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων ανακύπτει και το πώς θα εκτιμηθούν οι επι-

10 Η χρήση μοντέλων όπως αυτό που περιγράφεται από την εξίσωση, καθώς και η εκτίμηση των παραγόντων που υπεισέρ-

χονται σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis, Threat E-stimation, Impact Analysis, System Reliability, καθώς και σε άλλες συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευ-μενες σε συγκεκριμένα συστήματα ή περιοχές εφαρμογής.



17

πτώσεις της περιορισμένης διαθεσιμότητας, δηλαδή της “μη εύλογης” καθυστέρησης (πχ. μακρο-χρόνιας διακοπής) της παροχής κρίσιμης πληροφορίας.

Με την υιοθέτηση μιας μετρικής αναλογίας μεταξύ κρισιμότητας και επικινδυνότητας, καθώς και με την περαιτέρω απλούστευση του προσδιορισμού τους με βάση τις επιπτώσεις που θα είχε ενδεχόμενη προσβολή των υπό αξιολόγηση ΠΕΥ στη διαθεσιμότητά τους, μπορούν να υιοθετηθούν ως κριτήρια κρισιμότητας εκείνα που αφορούν την αξιολόγηση των αντίστοιχων επιπτώσεων.

Η μέθοδος που επελέγη, τελικά, για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσε-ρις παραμέτρους:

(α). Είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Τα είδη που λήφθηκαν υπόψη είναι: πληθυσμός (αριθμός χρηστών) που επηρεάζεται, (άμεση) οικονομική επί-πτωση από τη μη διαθεσιμότητα, ένταση διασυνοριακότητας, αλληλεξάρτηση ΠΕΥ με άλλες, α-νακαμψη ΠΕΥ, αντίδραση της κοινής γνώμης, επίπτωση στην εφαρμογή πολιτικών και στη λει-τουργία της ΔΔ, επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων, επίπτωση στην ιδιωτι-κότητα, επιρροή στην άποψη (μεπιστοσύνη) του κοινού για τις ΤΠΕ.

(β). Ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Η ένταση κάθε επίπτωσης αποτιμήθηκε μέσω μιας 5-βάθμιας κλίμακας τύπου Likert, με τις δυνατές τιμές: Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή.

(γ). Υποψήφιες κρίσιμες ΠΕΥ ΔΔ. Δεδομένου ότι δεν θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ της ΔΔ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε στην προ-σέγγιση της ΕΕ, η οποία έχει καθορίσει 20 υπηρεσίες ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της ΕΕ. Οι υπηρεσίες αυτές παρέχονται μεσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ.

(δ). Διαδικασία επιλογής των κρίσιμων υποδομών. Η διαδικασία αυτή δε βασίστηκε σε ποσοτική ε-κτίμηση, αλλά ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρο-γνωμοσύνης. Το θεμελιώδες σημείο αναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυς-μενέστερου ενδεχομένου. Έτσι, ως κρίσιμες ΠΕΥ της ελληνικής ΔΔ ορίστηκε να είναι αυτές για τις οποίες ένα τουλάχιστον από τα κριτήρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή.

Ο Πίνακας ΙΙ, που προκύπτει από το συνδυασμό των ως άνω παραμέτρων, εμπλουτίστηκε με τις τιμές εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Σε ορισμένες περιπτώσεις οι τιμές αυτές επελέγησαν ad hoc, προκειμένου να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες.

Η εφαρμογή των επιλεγέντων κριτηρίων αξιολόγησης στις υποψήφιες κρίσιμες ΠΕΥ της ΔΔ οδηγεί στον Πίνακα ΙΙΙ που περιλαμβάνει τις υπάρχουσες και τις αναπτυσσόμενες κρίσιμες ΠΕΥ της ελληνι-κής ΔΔ, οι οποίες εκτιμήθηκε ότι είναι (η σειρά της αναγραφής τους δεν σχετίζεται, κατ’ ανάγκην, με κάποιου είδους προτεραιότητα, σημασία ή ενδιαφέρον):

(α). To Εθνικό Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ.

(β). Το Ολοκληρωμένο Πληροφοριακό Σύστημα των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ).

(γ). Τα Κέντρα Δεδομένων (Data Centers) που στεγάζονται στις εγκαταστάσεις της ΚτΠ11 Α.Ε.

(δ). Το Ολοκληρωμένο Σύστημα Φορολογίας TaxisNET του Υπ. Οικονομίας και Οικονομικών.

11 Στις παρούσες συνθήκες (Σεπτέμβρης 2008), στις εγκαταστάσεις της ΚτΠ ΑΕ στεγάζονται 2 Κέντρα Δεδομε-νων, ενώ σχεδιάζεται η στέγαση ενός τρίτου. Στα Κέντρα Δεδομένων είναι εγκατεστημένα και λειτουργούν παραγωγικά οκτώ (8) ΟΠΣ, ενώ μελετάται η εγκατάσταση τουλάχιστον πέντε (5) επιπλέον ΟΠΣ (βλ. Κεφ. 5.4 για αναλυτικό κατάλογο). Πρόκειται για τυπική περίπτωση Πολυκέντρου Δεδομένων.



18

Πίνακας ΙI: Κριτήρια επιλογής κρίσιμων ΠΕΥ της ελληνικής ΔΔ

Επίπτωση Πολύ υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή Κριτήριο

Επηρεαζόμενος πληθυ-σμός >100,000 10,000-100,000 1,000-10,000 100-1,000 <100

Οικονομική επίπτωση >100 x 106 € 10-100 x 106 € 1-10 x 106 € 0,1-1 x 106 € <0,1 x 106 €

Ένταση διασυνοριακό-τητας

Ευρύτερη της Ευρωπαϊκής Ένωσης Ευρωπαϊκή Ένωση Εθνική Περιφερειακή Τοπική

Αλληλοεξάρτηση Καταλυτική επίδραση σε άλ-λες υποδομές/τομείς

Σημαντική επίδραση σε άλλες υποδομές/τομείς

Μέτρια επίδραση σε άλλες υ-ποδομές/τομείς

Μικρή επίδραση σε άλλες υ-ποδομές/τομείς

Επίδραση σε μία υποδομή-/τομέα

Ανάκαμψη ΠΕΥ Υψηλό κόστος σε πολλούς το-μείς, μακρύς χρόνος ανάκαμ-ψης (μήνες - χρόνια)

Υψηλό κόστος, υψηλός απαι-τούμενος χρόνος ανάκαμψης (βδομάδες - μήνες)

Μέσο κόστος, σημαντικός χρόνος ανάκαμψης (μέρες - βδομάδες)

Χαμηλό κόστος, μικρός απαι-τούμενος χρόνος ανάκαμψης (ώρες - μέρες)

Αμελητέο κόστος, μικρός απαιτούμενος χρόνος ανά-καμψης (ώρες)

Αντίδραση της κοινής γνώμης Διεθνής αποδοκιμασία Περιορισμός κυβερνητικής

αξιοπιστίας σε διεθνές επίπεδο Μετριασμός κυβερνητικής αξιοπιστίας σε εθνικό επίπεδο

Αρνητική δημοσιότητα περισ-σοτέρων του ενός κυβερνητι-κών οργανισμών/ φορέων

Αρνητική δημοσιότητα ε-νός κυβερνητικού οργανι-σμού/φορέα

Εφαρμογή πολιτικής και λειτουργία ΔΔ

Σοβαρή παρεμπόδιση ή διακο-πή της ανάπτυξης/εφαρμογής κυβερνητικών πολιτικών

Υποβάθμιση της διαπραγμα-τευτικής και συναλλακτικής δυνατότητας της κυβέρνησης

Παρεμπόδιση της αποτελε-σματικής ανάπτυξης/εφαρμο-γής κυβερνητικών πολιτικών

Υπονόμευση της σωστής δια-χείρισης ή λειτουργίας μιας δημόσιας υπηρεσίας

Ανεπαρκής λειτουργία μιας δημόσιας υπηρεσίας

Προσωπική ασφάλεια Απώλεια πολλών ανθρώπινων ζωών Απώλεια ανθρώπινης ζωής Σημαντικός τραυματισμός

πολλών προσώπων Μικροτραυματισμοί πολλών προσώπων

Μικροτραυματισμός ενός προσώπου

Επίπτωση στην ιδιωτι-κότητα

Αποκάλυψη απόρρητων δεδο-μενων που επηρεάζουν μείζο-νες κυβερνητικές πολιτικές

Παραβίαση νομοθεσίας και σοβαρή ενόχληση πολλών προσώπων

Παραβίαση νομοθεσίας και σοβαρή ενόχληση ενός προσώπου

Μικρή ενόχληση πολλών προ-σώπων

Μικρή ενόχληση ενός προ-σώπου

Επηρεασμός του κοινού για τις ΤΠΕ

Απαξίωση των ΤΠΕ/ΠΕΥ από το κοινωνικό σύνολο

Αρνητικός επηρεασμός του κοινωνικού συνόλου

Κλονισμός της εμπιστοσύνης του κοινωνικού συνόλου

Απογοήτευση επιμέρους ομά-δων του πληθυσμού

Απογοήτευση μεμονωμέ-νων πολιτών



19

ΠΙΝΑΚΑΣ ΙΙI: Κρίσιμες ΠΕΥ της ελληνικής ΔΔ

Πληροφοριακή και Επικοινωνιακή Υποδομή

Εθνικό Δίκτυο ΔΔ ΣΥΖΕΥΞΙΣ

ΟΠΣ Κέντρων Εξυπηρέτησης Πολιτών

Κέντρα Δεδομένων (Data Centers) ΚτΠ Α.Ε.

Ολοκληρωμένο Σύστημα Φορολογίας TaxisNET

Κριτήριο

Επηρεαζόμενος πληθυσμός Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή

Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ υψηλή

Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ υψηλή

Αλληλοεξάρτηση Πολύ υψηλή Μέτρια Υψηλή Υψηλή

Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή

Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια

Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια

Προσωπική ασφάλεια Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή

Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή

Επηρεασμός του κοινού για τις ΤΠΕ Υψηλή Υψηλή Πολύ υψηλή Υψηλή

Χρωματικός κώδικας έντασης της τιμής της παραμέτρου

Χαμηλή Μέτρια Υψηλή



20

Προτεινόμενο οργανωτικό σχήμα Τα βασικά χαρακτηριστικά, τα οποία επιδιώκεται να διαθέτει το οργανωτικό σχήμα που προτείνεται να δημιουργηθεί για την προστασία των κρίσιμων ΠΕΥ της ΔΔ, είναι τα εξής:

• Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες.

• Αυτονομία, έτσι ώστε να μπορεί να λειτουργει ανεμπόδιστα, γρήγορα και αποτελεσματικά.

• Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ.

• Ανοικτότητα, έτσι ώστε να αποφεύγονται “στεγανά” και αποκλεισμοί και να διευκολύνεται ο ανοι-κτός, διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται, εν τέ-λει, η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων φορέων και υπηρεσιών.

Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές άλ-λων ευρωπαϊκών χωρών και επικεντρώνεται κυρίως σε θέματα ήπιας κρισιμότητας (soft criticality), δηλαδή κρισιμότητας που δεν σχετίζεται και δεν αφορά ευθέως θέματα εθνικής ασφάλειας, διεθνών σχέσεων, εξωτερικής πολιτικής και προστασίας του πολιτεύματος.

Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτικού σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυτό, πα-ρόλο που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών12, τελικά εκτιμήθηκε ότι δεν ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές.

Καθώς το οργανωτικό σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέρ-γειες με σειρά φορέων της Δημόσιας Διοίκησης (και όχι μόνον), εξετάστηκαν οι παρακάτω ενδεικτι-κές εναλλακτικές δομικές μορφές του:

(α). Σχήμα χωρίς αυστηρή ιεραρχική δομή, σύμφωνα με το ανεξάρτητο επιχειρηματικό μοντέλο (in-dependent business model) για την οργάνωση ενός CSIRT (Computer Security Incident Response Team). Το σχήμα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανισμό, με δικό του προσωπικό και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαίου). Ο οργανισμός δεν είναι ανα-γκαίο (αλλά δεν πρέπει να αποκλείεται) να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών. Αντίθετα, πρέπει να διαθέτει διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα της αρμοδιότητάς τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτονομο χαρακτήρα του σχήματος.

(β). Δημιουργία Γενικής Γραμματείας, ενδεχομένως υπαγόμενης απευθείας στο Γραφείο του Πρωθυ-πουργού, με μόνη και αποκλειστική αρμοδιότητα την προστασία των κρίσιμων υποδομών. Η πρα-κτική αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει και λειτουργεί με επιτυ-χία κυρίως η Νέα Ζηλανδία. Η πρόταση αυτή επικεντρώνεται κυρίως στον επιτελικό χαρακτήρα του σχήματος, καθώς και στην πολύ υψηλή ιεραρχική ενσωμάτωσή του στην πυραμίδα της ΔΔ.

(γ). Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκησης (Σώμα Επιθεωρητών Δημόσιας Διοίκησης). Αντίστοιχης δομής σενάριο είναι, αντί της ενσωμάτω-σης στη Γενική Γραμματεία Επιθεωρητών ΔΔ, η δημιουργία ενός Σώματος Ελεγκτών για την προ-στασία των κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετη-θηκε κυρίως από την Αυστραλία (TISN). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό χαρακτήρα του σχήματος.

(δ). Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κά-ποια υφιστάμενη Ειδική/Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη της οργανωτικής δομής στο: (α). Υπουργείο Εσωτερικών (Γενική Γραμματεία Δημόσιας Διοίκη-σης και Ηλεκτρονικής Διακυβέρνησης), (β). Υπουργείο Μεταφορών και Επικοινωνιών, (γ). Υ-

12 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπηρε-σία της ΔΔ και αυτές που παραπέμπουν σε ένα πιο “αυτόνομο” σχήμα. Στην πρώτη ομάδα ανήκουν, ενδεικτι-κά, οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα ανή-κουν, επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδομών.



21

πουργείο Οικονομικών (Γενική Γραμματεία Πληροφοριακών Συστημάτων). Η πρακτική αυτή εί-ναι αρκετά συνηθισμένη διεθνώς, ειδικά σε χώρες με αποτελεσματική ΔΔ. Ακολουθείται, για πα-ράδειγμα, στη Γερμανία (ΒΜΙ, BSI). Η πρόταση αυτή επικεντρώνεται κυρίως στον εκτελεστικό/δι-αχειριστικό χαρακτήρα του σχήματος.

Έχοντας υπόψη τις παραπάνω στρατηγικές επιλογές, τη σχετική διεθνή εμπειρία, τις ελληνικές ιδιαι-τερότητες (ειδικά τη μορφολογία και την όποια παθολογία της ελληνιικής ΔΔ), καθώς και τους σχετι-κούς λειτουργικούς περιορισμούς, το σχήμα που προτείνεται να υιοθετηθεί περιγράφεται συνοπτικά στο σχήμα που ακολουθεί.

Προτεινόμενο οργανωτικό σχήμα προστασίας κρίσιμων ΠΕΥ της ΔΔ

Με βάση την πρόταση αυτή, ο στρατηγικός, εποπτικός και διοικητικός ρόλος ανατίθεται σε μια Συ-ντονιστική Επιτροπή, η οποία ηγείται του όλου σχήματος. Ελεγκτικό-εποπτικό ρόλο αναλαμβάνει η Ομάδα Εποπτείας, ενώ την τεχνογνωσία την παρέχει η Ομά-δα Εμπειρογνωμόνων-Συμβούλων, η οποία βρίσκεται σε στενή συνεργασία με ερευνητικούς φορείς, κατά προτίμηση με Ερευνητικό Ινστιτούτο που εκτιμάται ότι είναι σκόπιμο να ιδρυθεί για αυτό το σκο-πό.

Σε περιπτώσεις κρίσεων συγκροτείται Ομάδα Αντιμετώπισης Κρίσεων, η οποία έχει αυξημένες και ιδι-αίτερες αρμοδιότητες και ρόλο κατά την εκδήλωση περιστατικών που υποδηλώνουν ενδεχόμενη μεί-ζονα κρίση.

Το ρόλο του Κέντρου Αριστείας αναλαμβάνουν τρεις Ομάδες Συλλογής Πληροφοριών, Ενημέρωσης και Αντιμετώπισης Περιστατικών, οι οποίες - ειδικά κατά την αρχική λειτουργία του σχήματος - εκτι-μάται ότι είναι σκόπιμο να αποτελούν μια ενιαία ομάδα, ευρύτερης στόχευσης.



22

Κέντρο Ανάλυσης δεν προβλέπεται στην πρόταση, τουλάχιστον με την έννοια που είναι γνωστό διεθ-νώς. Προβλέπεται μόνον ως δίαυλος διαρκούς και συστηματικής επικοινωνίας (liaison) με τους φορείς εφαρμογής του νόμου (law enforcement agencies).

Το οργανωτικό σχήμα περιλαμβάνει Γραφείο Δημοσίων Σχέσεων, που αποσκοπεί στην ενημερωση του κοινού, την προβολή του έργου του οργανισμού, καθώς και την επικοινωνία με τους συνεργαζόμενους φορείς και το κοινό.

Το σχήμα περιλαμβάνει και αξιοποιεί συστηματικά μια Αγορά (Agora) απόψεων, εκτιμήσεων, σταθμί-σεων και προτάσεων, δηλαδή μια δομή θεσμοθετημένης διαρκούς διαβούλευσης, στην οποία συμμετέ-χουν εκπρόσωποι φορέων και ενδιαφερόμενων ή/και εμπλεκόμενων ομάδων (πχ. μη κυβερνητικών ορ-γανώσεων, συνδικαλιστικών οργανώσεων, ειδικών επιστημόνων κλπ.).

Οι διασυνδέσεις του σχήματος με άλλους φορείς - και όχι μόνο της ΔΔ - διαδραματίζουν ιδιαίτερα ση-μαίνοντα ρόλο, λόγω της εγγενούς και έντονης δια-λειτουργίας πολλών από τις κρίσιμες ΠΕΥ, τόσο μεταξύ τους, όσο και με άλλες υποδομές και ΠΣ.

Διασύνδεση του οργανωτικού σχήματος με άλλους φορείς

Κωδικοποίηση συμπερασμάτων και προτάσεων Με βάση:

(α). την αναγνώριση και αδρή αποτίμηση των απειλών που αφορούν τις κρίσιμες ΠΕΥ της ελληνικής Δημόσιας Διοίκησης, καθώς και των αντίστοιχων επιπτώσεων που ενδέχεται να προκληθούν,

(β). την ευρύτατη διεθνή εμπειρία, που αφορά τα ποικίλα οργανωτικά σχήματα που έχουν σχεδιασθεί και υλοποιηθεί παραγωγικά για την αποτελεσματική αντιμετώπιση των απειλών αυτών,



23

(γ). τις υπάρχουσες και τις αναπτυσσόμενες στην Ελλάδα υπηρεσίες ηλεκτρονικής διακυβέρνησης, καθώς και τα αντίστοιχα ΟΠΣ, δίκτυα υποδομής και εθνικές πύλες (portals),

(δ). τις τοπικές ιδιαιτερότητες και ειδικά τις όποιες υστερήσεις και δυσλειτουργίες της ελληνικής Δη-μόσιας Διοίκησης σε θέματα ενσωμάτωσης ΤΠΕ,

προτείνεται στη συνέχεια μια σειρά κωδικοποιημένων και ιεραρχημένων παρεμβάσεων για την προ-στασία των κρίσιμων ΠΕΥ της ελληνικής ΔΔ.

Οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αφορά θεσμικές παρεμβάσεις, δηλαδή παρεμβάσεις που προϋποθέτουν πολιτική βούληση και απόφαση αρ-μόδιων κυβερνητικών οργάνων. Η δεύτερη κατηγορία αφορά διαχειριστικές παρεμβάσεις, δηλαδή παρεμβάσεις που μπορούν να εκδηλωθούν είτε στο εκτελεστικό επίπεδο της Δημόσιας Διοίκησης, εί-τε μέσω φορέων που συνδέονται με ειδική σχέση με τη Δημόσια Διοίκηση (πχ. ΚτΠ ΑΕ).

Επίσης, οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο κατηγορίες, με βάση το χρηματοδοτικό τους σχήμα. Στην πρώτη κατηγορία ανήκουν όσες είναι επιλέξιμες να χρηματοδοτηθούν από το Επι-χειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας” (ή/και “Διοικητική Μεταρρύθμιση” και “Ψη-φιακή Σύγκλιση”). Στη δεύτερη κατηγορία ανήκουν όσες παρεμβάσεις προϋποθέτουν χρηματοδότη-ση από άλλες πηγές (άλλα Επιχειρησιακά Προγράμματα, Προϋπολογισμός Δημοσίων Επενδύσεων κλπ.).

Οι προτεινόμενες στοχευμένες παρεμβάσεις είναι οι εξής:

1. Ίδρυση και λειτουργική συγκρότηση Φορέα/Υπηρεσίας Προστασίας Κρίσιμων Πληροφορι-ακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης

Πρόκειται για θεσμικού τύπου παρέμβαση, αρκετά υψηλής προτεραιότητας. Ανάλογα με το ορ-γανωτικό σχήμα που τυχόν υιοθετηθεί, είναι πιθανόν να απαιτείται πολιτική απόφαση από τα αρ-μόδια κυβερνητικά όργανα. Σε κάθε περίπτωση, τυχόν θετική εισήγηση του Συμβούλιο του e-Go-vernment Forum θα μπορούσε να αποτελέσει καταλυτικό έναυσμα για την ακολουθητέα διαδικα-σία.

2. Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνι-ακών Υποδομών

Πρόκειται για παρέμβαση πολλαπλής στόχευσης και γιαυτό υψηλής προτεραιότητας. Το Ινστι-τούτο θα αποτελέσει εθνικό Κέντρο Αριστείας για την αποτελεσματική επιστημονική υποστήριξη του οργανωτικού σχήματος που προτάθηκε, αλλά και κυψέλη συγκέντρωσης εμπειρογνωμόνων και ανάπτυξης σχετικής τεχνογνωσίας. Ειδικά αν προκριθεί κάποιο λιτό και ευέλικτο λειτουργικό σχήμα (πχ. συνεργασία με ΑΕΙ και ερευνητικά ιδρύματα που διαθέτουν σχετική τεχνογνωσία), η συνεισφορά του θα είναι καταλυτική. Η παρέμβαση αυτή έχει θεσμικό χαρακτήρα, στον οποίο ενδεχομένως είναι αναγκαίο να εμπλακεί, τόσο για λόγους αρμοδιότητας, όσο για λόγους χρημα-τοδότησης, το Υπουργείο Εθνικής Παιδείας και Θρησκευμάτων (μέσω του διαδόχου του Επιχει-ρησιακού Προγράμματος για την Εκπαίδευση και την Αρχική Επαγγελματική Κατάρτιση), κα-θώς και το Υπουργείο Ανάπτυξης (Γενική Γραμματεία Έρευνας και Τεχνολογίας).

3. Ασφάλεια (Πολυ)Κέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε.

Πρόκειται για παρέμβαση πολύ υψηλής προτεραιότητας, στο βαθμό που στις εγκαταστάσεις της εταιρείας λειτουργεί ήδη παραγωγικά σειρά ΟΠΣ, των οποίων ο αριθμός αναμένεται να αυξηθεί στο άμεσο μέλλον. Ο κίνδυνος εμφάνισης μείζονων προβλημάτων είναι ορατός, ειδικά λόγω της εγγενούς πολυδιάσπασης και του διαφορετικού βαθμού πληρότητας των μελετών ασφάλειας που εκπονήθηκαν για καθένα από αυτά. Ο χαρακτήρας της παρέμβασης αυτής είναι αμιγώς διαχειρι-στικός και η χρηματοδότησή της εκτιμάται ότι είναι εφικτή από τους πόρους του Επιχειρησιακού Προγράμματος “Κοινωνία της Πληροφορίας” ή “Ψηφιακή Σύγκλιση”).



24

4. Εντοπισμός Κρίσιμων Ελληνικών Υποδομών

Πρόκειται για sine qua non έργου υποδομής (εφαρμοσμένης έρευνας), συνεπώς για έργο προτε-ραιότητας. Στοχος του είναι ο εντοπισμός, η καταγραφή και η αποτίμηση της αλληλεξάρτησης ό-λων των κρίσιμων υποδομών (και όχι μόνο των πληροφοριακών και επικοινωνιακών) της χώρας, με βάση την προσέγγιση all-hazards, καθώς όλες οι υπάρχουσες υποδομές εμφανίζουν ολοένα και μεγαλύτερη αλληλεξάρτηση. Ο χαρακτήρας του έργου είναι αμιγώς διαχειριστικός και η χρη-ματοδότησή του μπορεί να προέλθει από τους πόρους του Επιχειρησιακού Προγράμματος “Διοι-κητική Μεταρρύθμιση” (ή/και “Ψηφιακή Σύγκλιση”).

5. Τεχνολογική υποδομή του Φορέα Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνια-κών Υποδομών της Δημόσιας Διοίκησης

Πρόκειται για έργο υποδομής, με υψηλή προτεραιότητα και θεωρητικά πρωθύστερο χαρακτήρα. Ειδικότερα, όποιο οργανωτικό σχήμα κι αν επιλεγεί, η λειτουργία του είναι απαραίτητο να βασί-ζεται σε απολύτως σύγχρονη υποδομή, σε ό,τι αφορά ΤΠΕ. Η τεχνοδιαμόρφωση της υποδομής αυτής έχει πολύ περιορισμένη σχέση με τον τύπο του οργανωτικού σχήματος που θα επιλεγεί. Συνεπώς, η προμήθεια και ανάπτυξη σημαντικού μέρους της τεχνολογικής υποδομής μπορεί να γίνει παράλληλα με τις διαδικασίες ίδρυσης και στελέχωσης του οργανωτικού σχήματος το οποίο θα εξυπηρετήσει. Με τον τρόπο αυτό μπορεί να περιορισθεί το σημαντικό κενό που κατά κανόνα παρατηρείται μεταξύ της ίδρυσης ενός φορέα και της παραγωγικής λειτουργίας του. Πρόκειται, προφανώς, για διαχειριστική παρέμβαση, η χρηματοδότηση της οποίας εκτιμάται ότι μπορεί ευ-λόγως να διασφαλιστεί μέσω του Επιχειρησιακού Προγράμματος “Ψηφιακή Σύγκλιση”.

Η κωδικοποίηση των παραπάνω προτάσεων περιγράφεται επιγραμματικά στον Πίνακα IV.

ΠΙΝΑΚΑΣ ΙV: Προτεινόμενες παρεμβάσεις για την προστασία των κρίσιμων ΠΕΥ της ΔΔ

ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ

ΠΑΡΕΜΒΑΣΗ Κατηγορία Προτεραιότητα Χρηματοδοτικό σχήμα

Ίδρυση Φορέα/Υπηρεσίας Προ-στασίας Κρίσιμων Πληροφορια-κών και Επικοινωνιακών Υπο-δομών της Δημόσιας Διοίκησης

ΘΘεεσσμμιικκήή

(εισήγηση Συμβουλίου e-Government Forum)

Υψηλή Κρατικός Προϋπολογισμός

Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών


(πρόταση Συμβουλίου e-Government Forum)

Υψηλή

Ε.Π. Υπουργείου Παιδείας

Ε.Π. Υπουργείου Ανάπτυξης (Γενική Γραμματεία

Έρευνας και Τεχνολογίας)

Ασφάλεια Πολυκέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε.

ΔΔιιααχχεειιρριισσττιικκήή

(απόφαση ΚτΠ ΑΕ) Πολύ υψηλή

Ε.Π. Κοινωνία της Πληροφορίας

Ε.Π. Ψηφιακή Σύγκλιση

Εντοπισμός Κρίσιμων Ελληνικών Υποδομών


(απόφαση ΚτΠ ΑΕ) Υψηλή

Ε.Π. Διοικητική Μεταρρύθμιση


Τεχνολογική υποδομή Φορέα Προστασίας Κρίσιμων Πληρο-φοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης


(απόφαση ΚτΠ ΑΕ) Υψηλή Ε.Π. Ψηφιακή Σύγκλιση



25

11 Εισαγωγή και στόχοι του έργου



26

1. Εισαγωγή και στόχοι του έργου Η ραγδαία διείσδυση των ΤΠΕ στη Δημόσια Διοίκηση (ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρω-μένων πληροφοριακών συστημάτων και της διάχυσης και συνδυαστικής αξιοποίησης των ευρυζωνι-κών επικοινωνιακών υποδομών, επέφερε σημαντικές και πολλαπλές επιπτώσεις. Μια από τις βασικό-τερες από αυτές είναι η μετατόπιση του κέντρου βάρους των ζητημάτων ασφάλειας, το οποίο μετακι-νήθηκε από την ασφάλεια πληροφοριακών συστημάτων στην προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.

Ειδικότερα, το διακύβευμα της προστασίας τείνει να μην είναι πλέον μόνον (ή κυρίως) τα ολοκληρω-μενα πληροφοριακά συστήματα, αλλά πρωτίστως οι κρίσιμες πληροφοριακές και οι επικοινωνιακές υποδομές. Αυτό ισχύει, δεδομένου ότι μέσω των υποδομών αυτών καθίσταται δυνατή και από αυτές εξαρτάται, συχνά σε μεγάλο βαθμό, η λειτουργία των πληροφοριακών συστημάτων της ΔΔ.

Η ΚτΠ Α.Ε., αναγνωρίζοντας τη σπουδαιότητα του ως άνω ζητήματος, συγκρότησε Ομάδα Εργασίας με στόχο τη μελέτη και ανάπτυξη ενός πλαισίου εθνικής πολιτικής προστασίας των κρίσιμων ΠΕΥ ΔΔ. Οι βασικοί στόχοι της Ομάδας Εργασίας ήσαν:

(1). Να προωθήσει τη σύζευξη των ΤΠΕ με τη διοικητική δράση, προδιαγράφοντας τις αναγκαίες ορ-γανωτικές παρεμβάσεις και τα αντίστοιχα οργανωτικά σχήματα που είναι αναγκαία για την απο-τελεσματική προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημό-σιας Διοίκησης.

(2). Να αξιοποιήσει αποτελεσματικά την τεχνογνωσία που υπάρχει στην ακαδημαϊκή και επιχειρημα-τική κοινότητα, και αφορά την προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδο-μών.

(3). Να προτείνει δράσεις που αξιοποιούν τις δυνατότητες του επιχειρηματικού τομέα του χώρου των ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υπο-στήριξη των προταθησόμενων οργανωτικών υποδομών και σχημάτων της Δημόσιας Διοίκησης.

Για την επίτευξη των ως άνω στόχων αξιοποιήθηκε κατάλληλη επιστημονική μεθοδολογία και ανα-λήφθηκαν οι εξής βασικές δράσεις:

(1). Καταγραφή των οργανωτικών σχημάτων προστασίας πληροφοριακών και επικοινωνιακών υπο-δομών και διαχείρισης κρίσεων, που τυχόν λειτουργούν σήμερα στο πλαίσιο της Δημόσιας Διοί-κησης, καθώς και των επιχειρησιακών πρακτικών που αφορούν τις κρίσιμες υποδομές.

(2). Καταγραφή και συνοπτική αποτίμηση επιλεγμένων ώριμων οργανωτικών σχημάτων που λειτουρ-γούν διεθνώς και αφορούν προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.

(3). Εντοπισμός και συνοπτική περιγραφή των κρίσιμων πληροφοριακών και επικοινωνιακών υποδο-μών της Δημόσιας Διοίκησης.

(4). Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος (τόσο σε στρατηγικό, όσο και σε επιτελικό επίπεδο), που θα αποσκοπεί στην προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.

(5). Διερεύνηση των δυνατοτήτων διαλειτουργικότητας του οργανωτικού αυτού σχήματος με αντί-στοιχα σχήματα που αφορούν την Εθνική Άμυνα και τη Δημόσια Τάξη, καθώς και τυχόν διεθνείς οργανισμούς σχετικής στόχευσης.

(6). Συστηματική διερεύνηση της δυνατότητας ουσιαστικής τεχνικής συμβολής και υποστήριξης του επιχειρηματικού τομέα του χώρου των ΤΠΕ για την υλοποίηση και τεχνική υποστήριξη του ορ-γανωτικού αυτού σχήματος.

(7). Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, είτε εκτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις.

(8). Δημόσια παρουσίαση και κριτική αξιολογηση των αποτελεσμάτων του έργου της Ομάδας Εργα-σίας, με τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο.



27

22 Εννοιολογική οριοθέτηση και μέθοδος εργασίας



28

2. Εννοιολογική οριοθέτηση και μέθοδος εργασίας

2.1 Εννοιολογική οριοθέτηση Για την προσέγγιση του ζητήματος που μας απασχολεί αξιοποιούμε μια σειρά εννοιών, τις οποίες ο-ρίζουμε ως εξής [Γκρ-04, Γκρ-07, ISO-13335, ISO-73, NCIAP-04, NIST-02]:

Αγαθό (Asset): Ανθρώπινοι ή/και άυλοι πόροι, οι οποίο είναι ευλόγως σκόπιμο να προστατευθούν, μεταξύ άλλων λόγω και της εγγενούς σημασίας/χρησιμότητάς τους.

Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιό-πιστη ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία της Διοίκησης, της Οικονομίας, της Κοινωνίας ή/και άλλων υποδομών.

Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβά-θμιση, διακοπή ή δυσλειτουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολι-τών ή στην ομαλή λειτουργία της Δημόσιας Διοίκησης ή/και της Οικονομίας.

Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πλη-ροφοριών, υπηρεσιών επικοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών.

Κρίσιμη ΠΕΥ (Critical Information and Communication Infrastructure): Πληροφοριακό και επικοι-νωνιακό σύστημα που είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοι-ων υποδομών.

Προστασία Κρίσιμης ΠΕΥ (Critical Information and Communication Infrastructure Protection): Ενέργειες των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας Διοίκησης ή/και κανονιστικών/ρυθμιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, καθώς και για την ανάκαμψη, σε εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα.

Συστατικά ΠΕΥ (Στοιχεία ΠΕΥ): Δίκτυα επικοινωνίας, λογισμικό, υλικό, υπηρεσίες, ανθρώπινο δυναμικό ή οποιοδήποτε άλλο μέσο αξιοποιείται για την αποτελεσματική διαχείριση μιας ΠΕΥ.

Ακεραιότητα ΠΕΥ (Integrity): Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφοριακής και επικοινωνιακής υποδομής.

Εμπιστευτικότητα ΠΕΥ (Confidentiality): Αποφυγή αποκάλυψης των πληροφοριών που διακινού-νται σε μία πληροφοριακή και επικοινωνιακή υποδομή χωρίς την άδεια του ιδιοκτήτη τους.

Διαθεσιμότητα ΠΕΥ (Availability): Αποφυγή μη εύλογων καθυστερήσεων στην εξουσιοδοτημένη προσπέλαση των πόρων μιας πληροφοριακής και επικοινωνιακής υποδομής.

Ασφάλεια ΠΕΥ (Information and Communication Infrastructure Security): Τήρηση της εμπιστευτι-κότητας, ακεραιότητας και διαθεσιμότητας των κάθε είδους πόρων13 μίας πληροφοριακής και επικοι-νωνιακής υποδομής.

Παραβίαση ΠΕΥ (Violation): Γεγονός κατά το οποίο προσβλήθηκαν μία ή περισσότερες από τις ιδι-ότητες διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα μιας πληροφοριακής και επικοινωνιακής υ-ποδομής.

Απειλή (Threat): Πιθανή ενέργεια ή γεγονός που μπορεί να προκαλέσει την απώλεια κάποιου χαρα-κτηριστικού της ασφάλειας μιας πληροφοριακής και επικοινωνιακής υποδομής.

Τρωτότητα ΠΕΥ (Ευπάθεια) (Vulnerability): Σημείο μιας πληροφοριακής και επικοινωνιακής υπο-δομής που μπορεί να επιτρέψει να συμβεί μία παραβίαση.

Επίπτωση (Impact): Απώλεια μίας αξίας, η αύξηση του κόστους ή άλλη ζημία που θα μπορούσε να προκύψει ως συνέπεια μιας συγκεκριμένης παραβίασης μιας πληροφοριακής και επικοινωνιακής υποδομής.

13 Για τους οποίους έχουν έννοια οι προαναφερθείσες ιδιότητες.



29

Μέσο Προστασίας (Έλεγχος) ΠΕΥ (Safeguard - Control): Διαδικασία ή τεχνικό μέτρο που αποσκο-πεί να εμποδίσει μία παραβίαση ή να μειώσει τις επιπτώσεις της σε μια πληροφοριακή και επικοινω-ναική υποδομή.

Κρίσιμη Υποδομή (ΚΥ) ή Υποδομή Ζωτικής Σημασίας (ΥζωΣ): Ύποδομή, της οποίας η μη ασφα-λής λειτουργία έχει ζωτικές επιπτώσεις στην εξασφάλιση των πρωταρχικών αγαθών των πολιτών της κοινότητας, όπως - ενδεικτικά και όχι περιοριστικά - η υγεία, η ασφάλεια κλπ.

Επικινδυνότητα ΠΕΥ (Risk): Tο ενδεχόμενο μια δεδομένη απειλή να αξιοποιήσει την τρωτότητα κάποιων αγαθών και να προκαλέσει βλάβη σε μια ΠΕΥ.

Ανάλυση επικινδυνότητας ΠΕΥ (Risk analysis): Η συστηματική αξιοποίηση πληροφοριών για την αναγνώριση των πόρων μιας ΠΕΥ και για την εκτίμηση της επικινδυνότητάς τους.

Διαχείριση επικινδυνότητας ΠΕΥ (Risk management): H διαδικασία στάθμισης εναλλακτικών μέσων ασφάλειας, σε συνεννόηση με τους εμπλεκόμενους και λαμβάνοντας υπόψη τα αποτελέσματα της ανάλυσης επικινδυνότητας και το ισχύον νομικό πλαίσιο, προκειμένου να επιλεγούν τα καταλλη-λότερα μέσα ασφάλειας μιας ΠΕΥ.

Στο Σχήμα 1 παρέχεται, με τη μορφή μιας αδρής οντολογίας, το πλέγμα των αλληλεξαρτήσεων μετα-ξύ εκείνων από τις άνω ορισθείσες έννοιες, οι οποίες σχετίζονται με την κεντρική έννοια της επικιν-δυνότητας.

Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07]

2.2 Μέθοδος εργασίας Για την επίτευξη των στόχων της ομάδας εργασίας CICIP αναπτύχθηκε και αξιοποιήθηκε μια κατάλ-ληλη επιστημονική μέθοδος η οποία περιλαμβάνει τα εξής βήματα και δράσεις:

Βήμα 1:

Καταγραφή και αξιολόγηση επιλεγμένων ώριμων οργανωτικών σχημάτων που λειτουργούν διεθνώς και αφορούν προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.

Εκπονήθηκε μια εκτενής και αναλυτική επισκόπηση οργανωτικών σχημάτων CICIP που έχουν ανα-πτυχθεί σε διάφορες χώρες, εντός και εκτός Ευρώπης, καθώς και σχετικές δράσεις και πρωτοβουλίες από διάφορους εθνικούς ή/και διεθνείς oργανισμούς. Σε βάθος ανάλυση πραγματοποιήθηκε για τις ε-



30

ξής χώρες: Γερμανία, Ελβετία, Ηνωμένο Βασίλειο, Ολλανδία, Σουηδία, ΗΠΑ, Νέα Ζηλανδία, Καναδάς. Αυτές επιλέχθηκαν καθώς εκτιμήθηκε ότι εμφανίζουν μεγαλύτερο βαθμό ωριμότητας, καθώς και επιστημο-νικό ενδιαφέρον. Επιπλέον, εξετάστηκαν προγράμματα και οργανι-σμοί της Ευρωπαϊκής Ένωσης, αλλά και το Forum of Incident Res-ponse and Security Teams (FIRST).

Η καταγραφή σκόπευε να εντοπίσει ανά χώρα (α) ορισμούς εννοιών CICIP (critical sector definitions), (β) παλιές και νέες πρωτοβουλίες CICIP - ύπαρξη πολιτικής ή/και στρατηγικού σχεδιασμού (CICIP ini-tiatives και policy), (γ) oργανωτικές δομές και σχήματα (Organisatio-nal structures), (δ) μηχανισμούς προειδοποίησης και προσέγγισης κοι-νού (Early warning and public outreach) και (ε) νομοθετικό και κανο-νιστικό πλαίσιο. Αξιολογήθηκε η προσέγγιση που ακολουθεί κάθε χώ-ρα, ενώ έγινε σύγκριση βάση κριτηρίων, όπως η ύπαρξη εθνικής στρατηγικής (national compelling strategy), η ύπαρξη σαφών ορισμών, η προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι απλή αντιγραφή υπαρχόντων ώριμων μοντέλων (π.χ. ΗΠΑ), ο συνυ-πολογισμός και η συνεισφορά του ιδιωτικού τομέα, ο βαθμός οργάνω-σης και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα και τέλος ο βαθμός διαφάνειας του κάθε εθνικού συστήματος για CICIP.

Βήμα 2:

Καταγραφή των οργανωτικών σχημάτων προστασίας ΠΕΥ και διαχείρι-σης κρίσεων, που τυχόν λειτουργούν σήμερα στο πλαίσιο της Δημόσιας Διοίκησης, καθώς και των επιχειρησιακών πρακτικών που αφορούν τις κρίσιμες υποδομές.

Στο στάδιο αυτό αναζητήθηκαν οι οργανισμοί και φορείς που μπορεί να ενταχθούν στο πλαίσιο της ελληνικής Δημόσιας Διοίκησης και έχουν ρόλο που σχετίζεται με τη CICIP ή την ασφάλεια γενικότερα. Η καταγραφή συμπεριέλαβε (α) εποπτικούς/κανονιστικούς φορείς, (β) ρυθμιστικούς φορείς ασφάλειας και (γ) φορείς/ιστοχώρους ενημέρωσης για θέματα CICIP στον ελληνικό χώρο. Στόχος ήταν να αναζητηθούν φορείς που ήδη καθορίζουν στρατηγική ή έχουν ρόλο που σχετίζεται τόσο με την προστασία κρίσιμων ΥΠΕ, όσο και γενικότερα με την ασφάλεια και οι ο-ποίοι ενδεχομένως να πρέπει να ληφθούν υπόψη κατά τον μετέπειτα σχεδιασμού του οργανωτικού σχήματος. Εντοπίστηκαν το πεδίο δράσης και ο ρόλος του κάθε φορέα (π.χ. Πιστοποίηση προϊόντων και υπηρεσιών ασφαλείας, Παροχή προϊόντων-υποδομών ασφαλείας, Ρυθμίσεις, Κανονισμοί. Έλεγ-χοι εφαρμογής θεσμικού πλαισίου κλπ.) και τα στοιχεία αυτά αναπαραστάθηκαν με τη μορφή συγ-κριτικών πινάκων.

Βήμα 3:

Εντοπισμός και περιγραφή των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.

Η επιλογή των υποψήφιων κρίσιμων ΠΕΥ είναι μια ενδιαφέρουσα διαδικασία. Δεδομένου ότι δεν θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ, επελέγη ένα υποσύνολό τους. Για να αποφευχθεί μια ενδεχομένως αυξημένη υποκειμενικότητα, η επιλογή βασίστηκε σε σχετική προσέγγιση της Ευρωπαϊκής Ένωσης. Με βάση την προσέγγιση αυτή, η Ε.Ε. έχει καθορίσει 20 υπη-ρεσίες14, ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της Ε.Ε. Οι υπη-ρεσίες αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες 14 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται σε ευρωπαϊκό επίπεδο, με βάση μια κοινή μέθοδο. Έτσι, είναι δυνατή, μεταξύ άλλων, η σύγκριση της προόδου διαφορετικών κρατών-μελών της E.E. στην ανάπτυξη των ίδιων υ-πηρεσιών ηλεκτρονικής διακυβέρνησης. Στην Ελλάδα οι υπηρεσίες αυτές αξιολογούνται, ως προς το επίπεδο ωρίμανσής τους, από το Παρατηρητήριο για την Κοινωνία της Πληροφορίας.

Μελέτη διεθνών οργανωτικών σχημάτων για την προστασία

κρίσιμων ΠΕΥ

Μελέτη τρέχοντος οργανωτικού πλαισίου

και πρακτικών

Εντοπισμός κρίσιμωνΠΕΥ της Δημόσιας

Διοίκησης

Αξιολόγηση των ΠΕΥ ΔΔ

ως προς την κρισιμότητα

Οργανωμένη διαβούλευση

Προδιαγραφή οργανωτικούσχήματος

Δημόσια παρουσίαση & κριτική αξιολόγηση

αποτελεσμάτων



31

ΠΕΥ της ΔΔ, με βάση την εμπειρία και εμπλοκή των μελών της Ομάδας Εργασίας σε πλήθος έργων ανάπτυξης και προστασίας ΠΕΥ ΔΔ, καθώς και με βάση σχετικές μελέτες αρμόδιων φορέων. Οι υπο-ψήφιες ΠΕΥ μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, καθώς και μέσω συνεντεύξεων που δι-εξήχθησαν μεταξύ των μελών της Ομάδας Εργασίας και σειράς στελεχών της ΚτΠ Α.Ε., τα οποία δι-ετέλεσαν ή διατελούν μέχρι σήμερα υπεύθυνοι ανάπτυξης των σχετικών ΠΕΥ. Πιο συγκεκριμένα, α-ντικείμενο μελέτης για κάθε ΠΕΥ αποτέλεσαν τα εξής:

Στοιχεία ταυτότητας έργου/ΠΕΥ

Αρχιτεκτονικές ΠΕΥ (Πληροφοριακού Συστήματος/Δικτύου)

Παρεχόμενες υπηρεσίες

Συνδεόμενοι/εξαρτώμενοι φορείς ή άλλα ΟΠΣ/ΠΕΥ

Μελέτη Ασφάλειας

Βήμα 4:

Αξιολόγηση των ΠΕΥ της Δημόσιας Διοίκησης ως προς την κρισιμότητα

Επόμενος στόχος ήταν η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των ΠΕΥ της ελληνι-κής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) που εντοπίστηκαν και μελετήθηκαν σε προηγούμενα βήματα, ως προς την κρισιμότητά τους, καθώς και η περιγραφή συγκεκριμένης μεθόδου για μια τέτοια αξιολόγη-ση. Η μέθοδος που επιλέχθηκε επιτρέπει τη δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας). Μια αναλυτικότερη και ακριβέστερη προσέγγιση, συνοδευόμενη με βαθμονόμηση κρίσιμων ΠΕΥ ΔΔ θα ήταν χρήσιμο να γίνει, ενδεχομένως σε μετα-γενέστερο έργο.

Η κρισιμότητα των υποδομών είναι ένα διαρκώς μεταβαλλόμενο χαρακτηριστικό τους, αφού οι κύρι-οι παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) μεταβάλλονται διαρκώς (οι απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Έτσι, ο ακριβής εντοπι-σμός τους απαιτεί τη χρήση ενός δυναμικού συστήματος διαρκούς αξιολόγησης, το οποίο - όπως εί-ναι ευνόητο - δεν αποτελεί αντικείμενο του παρόντος έργου. Με βάση τη μελέτη της σχετικής εμπει-ρίας και βιβλιογραφίας, καθώς και τις διαπιστώσεις και τις προτάσεις που προηγήθηκαν, η μέθοδος που επιλέξαμε τελικά να χρησιμοποιήσουμε για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζε-ται σε δύο (2) παραμέτρους:

1. Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη-σαν 10 διαφορετικά είδη επιπτώσεων, με βάση κυρίως τα δεδομένα της διεθνούς βιβλιογραφίας (μεθοδοι ανάλυσης επικινδυνότητας και ανάλυσης κρισιμότητας).

2. Η ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη μια 5-βάθμια κλίμακα Likert, με τιμές: Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή. H επιλογή πε-νταβάθμιας κλίμακας, αντί της θεωρητικά καταλληλότερης τετραβάθμιας ή εξαβάθμιας κλίμακας, έγινε για να μπορεί να απεικονισθεί ευκρινέστερα η διαφοροποίηση μεταξύ της έντασης ορι-σμένων επιπτώσεων, δεδομένων των ελληνικών συνθηκών (πχ. ταξινόμηση γεωγραφικής εμβέ-λειας), σε σύγκριση με τις αντίστοιχες διεθνείς εκτιμήσεις. Περαιτέρω, εκτιμήθηκε ότι μια τετρα-βάθμια ή εξαβάθμια κλίμακα δεν είχε κάτι πραγματικά ουσιαστικό να συνεισφέρει στη διαφορο-ποίηση της έντασης των επιπτώσεων.

Η διαδικασία χαρακτηρισμού των ΠΕΥ ως κρίσιμων βασίστηκε στο συνδυασμό της έντασης κάθε επίπτωσης που επέρχεται από τον περιορισμό της διαθεσιμότητας μιας ΠΕΥ ΔΔ, με βάση το θεωρη-τικά εκτιμώμενο “δυσμενέστερο ενδεχόμενο”15 (worst-case scenario). Η διαδικασία επιλογής των κρίσιμων ΠΕΥ, μεταξύ των υποψήφιων να χαρακτηριστούν με το χαρακτηρισμό αυτό, δεν βασίστηκε

15 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης επικινδυνότητας ΠΣ (πχ. CRAMM). Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότη-τας, αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit) δεν είναι αυστηρά εγγυημένη.



32

σε ποσοτική εκτίμηση. Ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπει-ρογνωμοσύνης (professional judgement). Με βάση την προσέγγιση αυτή, ως κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές της ελληνικής δημόσιας διοίκησης ορίστηκαν να είναι αυτές για τις οποίες ένα τουλάχιστον από τα κριτηρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή.

Βήμα 5:

Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, είτε ε-κτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Απαραίτητη προϋπόθεση εφαρμογής οποιασδήποτε πολιτικής ασφάλειας/προστασίας υποδομών της κλίμακας και κρισιμότητας των ΠΕΥ ΔΔ, είναι η συντονισμένη συνέργεια όλων των εμπλεκόμενων μερών, ιδιωτών και δημοσίου τομέα. Στόχος της διαβούλευσης είναι η παρουσίαση σε συγκεκριμένα πρόσωπα-κλειδιά των πρώτων αποτελεσμάτων της ομάδας εργασίας για μια αρχική αξιολόγηση, αλλά και για γόνιμο σχολιασμό από εμπειρογνώμονες, τόσο σε σχέση με τις ΤΠΕ, όσο και με τη δη-μόσια διοίκηση αλλά και την προστασία κρίσιμων υποδομών. Η διαβούλευση οργανώθηκε σε τέσσε-ρις φάσεις.

Φάση 1: Επιλογή συμμετεχόντων στη διαβούλευση

Η επιλογή των εμπειρογνωμόνων δεν έγινε με ad hoc τρόπο, αλλά μέσω μεθοδευμένων βημάτων. Αρχικά προσδιορίστηκαν οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ (η μέθοδος προσδιορίστηκε στο Βήμα 3). Για κάθε ΠΕΥ ΔΔ που εντοπίστηκε, προσδιορίστηκαν και κατηγοριοποιήθηκαν τα εμπλεκόμενα μέρη. Εξεταστήκαν συνολικά οι εξής κατηγορίες εμπλεκομένων:

Παρόχων Δικτύων, Υπηρεσιών, Συστημάτων, Εφαρμογών, Προϊόντων Προστασίας

Χρηστών των υποδομών και παρόχων υπηρεσιών ΔΔ

Κανονιστικών αρχών

Φορέων σχετικών με ασφάλεια-προστασία

Στη συνέχεια, οι ρόλοι-εμπλεκόμενοι ταυτοποιήθηκαν σε ανθρώπους-κλειδιά για επαφή και συνεργα-σία με την Ομάδα Εργασίαςς. Στη φάση αυτή η ομάδα υποστηρίχθηκε από την ΚτΠ, αλλά αξιοποίη-σε και προηγούμενες συνεργασίες των συμμετεχόντων στην Ο.Ε. με εμπλεκομένους. Επίσης, θα πρέ-πει να ληφθεί υπόψη το γεγονός ότι στη σύνθεση της ομάδας υπάρχει ήδη σημαντική εκπροσώπηση των φορέων αυτών.

Φάση 2: Σύνταξη-αποστολή Ερωτηματολογίων

Στην επόμενη φάση συντάχθηκαν τρείς τύποι ερωτηματολογίων για τη συλλογή πληροφορίας και τη εξαγωγή κάποιων πρώτων συμπερασμάτων. Πιο συγκεκριμένα, συντάχθηκαν τα εξής:

Ερωτηματολόγιο Ε1: Aπευθύνεται σε Π/Α υποδομής και υπηρεσιών και στοχεύει στη σκιαγρά-φηση του επιπέδου ασφαλείας αλλά και των τρεχουσών πρακτικών των φορέων σε σχέση με την προστασία ΥΠΕ.

Ερωτηματολόγιο Ε2: Aπευθύνεται σε Χρήστες υποδομών/παρόχους υπηρεσιών ΔΔ και στόχο εί-χε να αποτιμήσει το βαθμό εξέλιξης των υπηρεσιών ΔΔ που παρέχονται, συνιστώσες ασφάλειας αλλά και το επίπεδο κρισιμότητας των ΠΕΥ ΔΔ. Τα πορίσματα αυτών των ερωτηματολογίων χρησιμοποιήθηκαν για να επιβεβαιώσουν τις εκτιμήσεις της Ο.Ε. σε σχέση με την κρισιμότητα των ΠΕΥ (Βήμα 4).

Ερωτηματολόγιο Ε3: Aπευθύνεται σε εποπτεύουσες αρχές και φορείς, και στόχο είχε να εξαγάγει συμπεράσματα που θα βοηθούσαν κατά τη σχεδίαση του οργανωτικού σχήματος (Βήμα 6).

Φάση 3: Συλλογή-επεξεργασία απαντήσεων

Μετά τη συλλογή των ερωτηματολογίων, ακολούθησε επεξεργασία ώστε να αποτυπωθούν νέα συ-μπεράσματα και να εκτιμηθούν τα σχόλια που αφορούσαν τα τρέχοντα ευρήματα της Ομάδας Εργα-σίας.



33

Σημειώνεται ότι η επεξεργασία και δημοσίευση των αποτελεσμάτων αυτής της φάσης έγιναν με ανώ-νυμο τρόπο.

Φάση 4: Διοργάνωση ημερίδας (workshop)

Στόχος της ημερίδας είναι να παρουσιαστούν τα πρώτα αποτελέσματα εργασίας και να γίνει ανταλ-λαγή απόψεων μεταξύ των μελών της Ο.Ε. και ειδικών επιστημόνων, από το δημόσιο και τον ιδιωτι-κό τομέα, οι οποίοι έχουν ώριμη αντίληψη για τέτοιου είδους υποδομές. Στην ημερίδα έγινε πρό-σκληση για συμμετοχή σε μέρος των εμπλεκομένων που συμμετείχαν στις προηγούμενες φάσεις, νέ-ων εμπλεκομένων, αλλά και ειδικών επιστημόνων που κρίνεται ότι η παρουσία τους μπορεί να συμ-βάλλει περαιτέρω στο έργο της Ομάδας Εργασίας.

Η ημερίδα οργανώθηκε σε τρεις θεματικές περιοχές - συνόδους εργασίας:

• Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και εποπτικοί φορείς στην Ελλάδα και διεθνώς

• Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητήματα Ασφάλει-ας

• Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης στην Ελλάδα

Βήμα 6:

Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος (τόσο σε στρατηγι-κό, όσο και σε επιτελικό επίπεδο), που θα αποσκοπεί στην προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.

Με βάση τα αποτελέσματα των Βημάτων 1 και 2, αλλά και τα συμπεράσματα που προέκυψαν από τις αρχικές φάσεις της διαβούλευσης σχεδιάστηκε ένα οργανωτικό σχήμα σε στρατηγικό και επιτελικό ε-πίπεδο. Στόχος είναι η προστασία των κρίσιμων ΠΕΥ ΔΔ μέσω ενός ευέλικτου οργανωτικού σχήμα-τος, το οποίο θα λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες πρα-κτικές σε διεθνές επίπεδο, αλλά ταυτόχρονα θα είναι προσαρμοσμένο στην ελληνική πραγματικότητα, λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο.

Ο σχεδιασμός του σχήματος είναι προϊόν διαδοχικών συναντήσεων εργασίας της Ο.Ε. Αρχικά προσ-διορίστηκαν οι ρόλοι που θα πρέπει να πληρούνται, οι αρμοδιότητες και οι διασυνδέσεις με άλλους φορείς. Στη συνέχεια εξετάστηκαν οι διάφορες σχεδιαστικές επιλογές σε σχέση με την ιεραρχική δο-μή, τη νομική φύση και την αντιστοίχηση, στο βαθμό του δυνατού, με υπάρχοντες φορείς. Σε αυτή τη διαδικασία συνεχών επαναλήψεων και ανατροφοδοτήσεων ελήφθησαν υπόψη και οι απόψεις που δι-ατυπώθηκαν από τους συμμετέχοντες στην ημερίδα και αξιοποιήθηκε και η εμπειρία των μελών της Ο.Ε.

Βήμα 7:

Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της Ομάδας Εργασίας, με τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο.

Η παρουσίαση των αποτελεσμάτων της Ο.Ε. θα γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογρα-φίας, αλλά και των παραδοτέων στον ιστότοπο της ομάδος. Παράλληλα, θα γίνει προσπάθεια παρου-σίασης των αποτελεσμάτων και σε ημερίδες, διοργανώσεις ή άλλα γεγονότα που σχετίζονται με τις ΤΠΕ και τη Δημόσια Διοίκηση.

Η συνολική δομή της μεθόδου που ακολούθησε η Ομάδα Εργασίαςς απεικονίζεται συνοπτικά στο Σχήμα 2.



34

Σχήμα 2: Μέθοδος εργασίας O.E. CICIP



35

33 Οργανωτικά Σχήματα Προστασίας

Πληροφοριακών και Επικοινωνιακών Υποδομών και Διαχείρισης Κρίσεων



36

3. Οργανωτικά Σχήματα Προστασίας Πληροφοριακών και Επι-κοινωνιακών Υποδομών και Διαχείρισης Κρίσεων

3.1 Εισαγωγή Στην ενότητα αυτή παρατίθεται αναλυτική επισκόπηση διεθνών οργανωτικών σχημάτων CICIP που έχουν αναπτυχθεί από διάφορες χώρες, εντός και εκτός Ευρώπης, καθώς και από διάφορους εθνικούς ή/και διεθνείς Οργανισμούς.

3.2 Κρίσιμες Υποδομές και προσεγγίσεις CICIP

3.2.1 Κρίσιμες Υποδομές Σύμφωνα με τα αναφερόμενα στα [Abe-06, EC-04, EC-05, HSC-07], ως εξορισμού κρίσιμες υποδο-μές θεωρούνται, κατ’ αρχήν και πριν την αναγκαία περαιτέρω και επισταμένη μελέτη, οι ακόλουθες:

Ενέργεια (π.χ. ηλεκτρική ενέργεια, παραγωγή πετρελαίου και αερίου, εγκαταστάσεις αποθήκευ-σης και διυλιστήρια, συστήματα μετάδοσης και διανομής)

Τεχνολογίες Πληροφορικής και Επικοινωνιών (π.χ. τηλεπικοινωνίες, συστήματα εκπομπής, λογι-σμικό, υλικό, και δίκτυα, συμπεριλαμβανομένου του Διαδικτύου)

Οικονομία (π.χ. τραπεζική, διαχείριση αξιών, και επενδύσεις)

Υγεία (π.χ. νοσοκομεία, εγκαταστάσεις υγείας και παροχής αίματος, εργαστήρια και φαρμακευτι-κά παρασκευάσματα, αναζήτηση και διάσωση, υπηρεσίες εκτάκτων περιστατικών)

Τρόφιμα (π.χ. ασφάλεια, μέσα παραγωγής, διανομή χονδρικής και βιομηχανία τροφίμων)

Νερό (π.χ. φράγματα, αποθήκευση, διαχείριση και δίκτυο διανομής)

Μεταφορές (π.χ. αεροδρόμια, λιμάνια, σιδηρόδρομοι και δίκτυα μαζικής μεταφοράς, συστήματα ελέγχου κυκλοφορίας)

Παραγωγή, αποθήκευση και διακίνηση επικίνδυνων αγαθών (π.χ. χημικά, βιολογικά, ραδιενεργά και πυρηνικά υλικά)

Κυβερνητικές Υποδομές (π.χ. κρίσιμες υπηρεσίες, εγκαταστάσεις, δίκτυα πληροφοριών, αγαθά και κύρια εθνικά μνημεία και τόποι)

Υπηρεσίες διαχείρισης επειγόντων περιστατικών/διάσωσης

Διάστημα

Ερευνητικές εγκαταστάσεις

3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP Σύμφωνα με το [Sut-07], το πρώτο βήμα προς την κατεύθυνση μιας αποδοτικής και αποτελεσματικής οργανωσιακής μονάδας (organizational unit) CICIP είναι ο ορισμός των θεμελιωδών προτεραιοτήτων και υπευθυνοτήτων. Αυτά τα ουσιώδη καθήκοντα μπορούν να οργανωθούν σε ένα «Μοντέλο Τεσσά-ρων Πυλώνων CICIP». Οι τέσσερις (4) αυτοί βασικοί πυλώνες είναι:

Πρόληψη και Προειδοποίηση (Prevention and Early Warning): Πρόκειται για δραστηριότητες που αυξάνουν την ετοιμότητα των εταιριών, που χειρίζονται κρίσιμες υποδομές, ώστε να μπο-ρούν να αντιμετωπίσουν περιστατικά.

Ανίχνευση (Detection): Περιλαμβάνει ενέργειες που σχετίζονται με τη δυνατότητα άμεσης ανα-κάλυψης νέων απειλών, αλλα και μη εμφανών περιστατικών προσβολής της ασφάλειας, καθώς και τη συνεργασία CERTs/CSIRTs, για την αποτελεσματική αντιμετώπισή τους.



37

Αντίδραση (Reaction): Αναφέρεται στην αναγνώριση και διόρθωση των αιτίων που προκαλούν την αναστάτωση.

Διαχείριση Κρίσεων (Crisis Management): Αναφέρεται στην ελαχιστοποίηση των επιπτώσεων, από μια κρίση, στην κοινωνία και στο κράτος.

Το Σχήμα 3 απεικονίζει διαγραμματικά τα προαναφερθέντα.

Σχήμα 3: Πυλώνες CICIP [Sut-07]

3.2.3 Προσεγγίσεις CIP Σύμφωνα με το [BSI-04a], υπάρχουν δύο γενικές διαπιστώσεις αναφορικά με την προστασία των κρί-σιμων υποδομών, παγκοσμίως:

1. Είναι αδύνατο να επιτευχθεί 100% ασφάλεια των κρίσιμων υποδομών.

2. Δεν υπάρχει ένας μοναδικός-ιδανικός τρόπος για να αντιμετωπιστεί σε κάθε χώρα το πρόβλημα.

Παρά το γεγονός ότι οι προσεγγίσεις που υιοθετούνται είναι ετερογενείς, υπάρχουν τρεις κύριες κατηγορίες προσεγγίσεων που μπορούν να αναγνωριστούν:

1. Προσέγγιση «Critical Information Infrastructure Protection (CICIP): Αναφέρεται αποκλειστικά στην ασφάλεια και την προστασία των IT συνδέσεων και των IT λύσεων ανάμεσα στους διαφορε-τικούς τομείς υποδομών. Η προστασία των φυσικών στοιχείων των υποδομών διασφαλίζεται με-σα από ξεχωριστό οργανωσιακό πλαίσιο. Οι λειτουργίες και οι δικαιοδοσίες που σχετίζονται με CIP είναι διάσπαρτες ανάμεσα σε διαφορετικά όργανα. Γίνονται προσπάθειες για την ενσωμάτω-ση του ιδιωτικού τομέα σε όλα τα επίπεδα CIP, σε στοιχειώδες επίπεδο όμως.

2. Προσέγγιση «All Hazards»: Αναφέρεται τόσο στην ασφάλεια των IT υποδομών όσο και στη φυ-σική ασφάλεια των κρίσιμων υποδομών. Η φυσική ασφάλεια αποτελεί μέρος του εθνικού μοντέ-λου πολιτικής προστασίας και τα αρμόδια όργανα κεντρικού συντονισμού και στρατηγικής είναι ταυτόχρονα και κέντρα που έχουν επάρκεια και δικαιοδοσία τόσο σε ασφάλεια IT όσο και σε πο-λιτική προστασία και έλεγχο καταστροφών. Τα Υπουργεία Άμυνας της κάθε χώρας που ακολουθεί αυτή τη προσέγγιση κατέχουν προεξάρχοντα ρόλο, λόγω των συντονιστικών τους αρμοδιοτήτων. Η συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα σε επίπεδο στρατηγικού σχεδιασμού είναι πολύ αδύναμη, ως ανύπαρκτη.

3. Άλλη προσέγγιση, όπως αυτή που ακολουθεί η Κίνα. Δεν υπάρχει καμία συνεργασία μεταξύ δη-μόσιου και ιδιωτικού τομέα. Το μοντέλο εξυπηρετεί λιγότερο την προστασία των κρίσιμων υπο-



38

δομών και περισσότερο τη διατήρηση του συστήματος διακυβέρνησης και των οργάνων που αντι-προσωπεύουν τα συμφέροντα του συγκεντρωτικού Κράτους.

3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων Σύμφωνα με το [BSI-04a], οι προαναφερθείσες προσεγγίσεις μπορούν να αξιολογηθούν με βάση συ-γκεκριμένα κριτηρία, όπως:

Ύπαρξη εθνικής στρατηγικής (national compelling strategy) για την προστασία των κρίσιμων υ-ποδομών.

Ύπαρξη ξεκάθαρων ορισμών αναφορικά με το τι σημαίνει «προστασία κρίσιμων υποδομών».

Προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι απλή αντιγραφή υπαρχό-ντων ώριμων μοντέλων (π.χ. ΗΠΑ).

Συνυπολογισμός και συνεισφορά του ιδιωτικού τομέα.

Βαθμός οργάνωσης και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα.

Διαφάνεια του εθνικού συστήματος για CIP.

3.3 Καταγραφή Οργανωτικών Σχημάτων

3.3.1 Εισαγωγή Για την καταγραφή των οργανωτικών σχημάτων που ακολουθεί αξιοποιήθηκε η μελέτη [Abe-06], που περιλαμβάνει αναλυτική καταγραφή των κρίσιμων υποδομών και των οργανωτικών δομών που έχουν δημιουργηθεί σε έναν αριθμό από χώρες που έχουν επιλεγεί για αποτύπωση.

Η συγκεκριμένη μελέτη, που επικαιροποιείται συνήθως κάθε δύο χρόνια με την προσθήκη νέων χω-ρών, εστιάζεται σε πέντε σημαντικά σημεία που καλύπτουν τόσο θεμελιώδη όσο και οργανωτικά θέ-ματα:

Ορισμός κρίσιμων τομέων (critical sector definitions): Προσδιορισμός των κρίσιμων τομέων για κάθε χώρα που περιγράφεται στη μελέτη και ορισμοί σχετικά με CII και CICIP από την εκάστοτε χώρα (όπου υπάρχουν διαθέσιμοι).

Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική (CICIP initiatives και policy): Επισκόπηση των πιο σημαντικών βημάτων που έχουν γίνει, σε κυβερνητικό επίπεδο, από το 1990 και μετά, για το χειρισμό θεμάτων CICIP, που ακολουθείται από την κάθε χώρα της μελέτης. Η μελέτη εστιάζεται σε πρωτοβουλίες (initiatives) και στα κύρια στοιχεία μιας πολιτικής CICIP. Αυτό περιλαμβάνει: α) συγκεκριμένες επιτροπές (committees and commissions), β) ομάδες κρού-σης (task forces), γ) ομάδες εργασίας (working groups), δ) τα κύρια ευρήματα επίσημων αναφο-ρών και μελετών (official reports and studies) και εθνικών προγραμμάτων (national programs).

Οργανωτικές δομές (Organisational structures): Επισκόπηση των σημαντικότερων δημόσιων ορ-γανισμών (public actors) που έχουν συσταθεί στο εθνικό οργανωτικό πλαίσιο (national organiza-tional framework) κάθε χώρας που εξετάζεται. Έμφαση δίνεται στις υπευθυνότητές τους σε κρα-τικό επίπεδο (state/federal level), όπως Υπουργεία (ministries), Εθνικά Γραφεία (national offices), Υπηρεσίες (agencies), Συντονιστικές Ομάδες (coordination groups κλπ. Επίσης, περιγράφονται οι συνεργασίες ιδιωτικού-δημόσιου τομέα (public-private partnerships).

Μηχανισμοί προειδοποίησης και προσέγγιση κοινού (Early warning and public outreach): Περι-γραφή των εθνικών οργανισμών που είναι υπεύθυνοι για την έγκαιρη ειδοποίηση σε θέματα CIC-IP (CICIP early warning), δηλαδή οργανισμοί που είναι υπεύθυνοι για τη διαμοίραση πληροφορί-ας σχετικής με θέματα CICIP, όπως CERTs (Computer Emergency Response Teams), ISAC (In-formation Sharing and Analysis Centers), κλπ. Επιπλέον, περιγραφή συγκεκριμένων πλάνων για την ανάπτυξη περιεκτικών δομών έγκαιρης προειδοποίησης και αναφοράς συμβάντων (compre-hensive early warning alert and incident report structures) καθώς και σχετικών πρωτοβουλιών ε-νημέρωσης του κοινού (public outreach initiatives).



39

Νομοθετικό και Κανονιστικό Πλαίσιο: Περιγραφή σημαντικής νομοθεσίας για την προώθηση θε-μάτων σχετικά με CICIP, όπως ασφάλεια πληροφοριών, προστασία δεδομένων, καταστροφή δε-δομένων, ηλεκτρονικές υπογραφές κλπ.

3.3.2 Ευρώπη

3.3.2.1 Γερμανία

Ορισμός Κρίσιμων Τομέων

Σύμφωνα με τα [Abe-06, BSI-04a, BSI-04b, BSI-05a, BSI-05b, BMI-05, η κεντρική ιδέα που διέπει τις δραστηριότητες CIP/CICIP είναι ότι κυβέρνηση και κοινωνία εξαρτώνται, σε μεγάλο βαθμό, από ασφαλείς υποδομές και το κράτος έχει υποχρέωση να διασφαλίσει την προστασία των κρίσιμων υπο-δομών. Το σύστημα πρόσβασης σε πληροφορίες σχετικά με CICIP δεν είναι ιδιαίτερα διαφανές. Προάγεται η συνεργασία δημόσιου και ιδιωτικού τομέα, δεδομένου ότι περισσότερο από το 90% των κρίσιμων υποδομών της Γερμανίας το διαχειρίζεται ο ιδιωτικός τομέας.

Παλιές και νέες πρωτοβουλίες CICIP και σχετική πολιτική/τακτική

Οι σχετικές δράσεις έχουν ξεκινήσει εδώ και 10 χρόνια και αναδύθηκαν με πρωτοβουλία του Federal Ministry of Interior (BMI), υποκινούμενες από την αναφορά «US President’s Commission on Critical Infrastructure Protection (PCCIP)» του 1997 (ΗΠΑ) και επιταχύνθηκαν μετά τα γεγονότα της 11.09. 2001 στις ΗΠΑ. Αποτέλεσμα των δράσεων αυτών είναι δύο σημαντικά έγγραφα-κλειδιά παρουσιά-στηκαν το 2005:

National Plan for Information Infrastructure Protection (NPSI): Σκοπεύει στην ενδυνάμωση της ασφάλειας ΙΤ στις εθνικές υποδομές που εξαρτώνται από αυτή και στη δυνατότητα άμεσης από-κρισης σε κρίσεις που σχετίζονται με ΙΤ. Αναπτύχθηκε από το CICIP-division του BSI (η συγκε-κριμένη οργανωτική δομή θα περιγραφεί αναλυτικότερα παρακάτω).

Baseline Protection Concept for Critical Infrastructure Protection: Αναπτύχθηκε σε στενή συνερ-γασία μεταξύ των BMI, Federal Office for Civil Protection and Disaster Response (BBK), Fede-ral Criminal Police Agency (BKA) και του ιδιωτικού τομέα. Παρέχει καθοδήγηση στην ανάλυση πιθανών κινδύνων (hazards) όπως τρομοκρατικές επιθέσεις, εγκληματικές ενέργειες και φυσικές καταστροφές, καθώς και συστάσεις για επαρκή προστατευτικά μέτρα.

Πιο αναλυτικά, το «National Plan for the Protection of Information Infrastructures» (Nationaler Plan zum Schutz der Informationsinfrastrukturen – NPSI) προδιαγράφει τη στρατηγική της Γερμανίας σε θέματα ασφάλειας ΙΤ, με την ονομασία «IT security strategy for Germany» - Umbrella of the Federa-tion’s IT Security Policy». Ο συντονισμός γίνεται σε διατμηματικό (interdepartmental) επίπεδο, και υιοθετήθηκε από την Ομοσπονδιακή Κυβέρνηση (Federal Government) στις 13 Ιουλίου 2005. Η ομά-δα-στόχος είναι ολόκληρη η Γερμανική κοινωνία (Οικονομία, Ομοσπονδιακή διοίκηση, πολίτες, κλπ.) και περιλαμβάνει τρία πεδία: Αποτροπή (Prevention), Αντίδραση (Reaction), Βιωσιμότητα (Su-stainability).

Σημαντικές αναφορές/μελέτες που αναπτύχθηκαν είναι οι ακόλουθες:

Η ομάδα AG KRITIS (που θα περιγραφεί αναλυτικά παρακάτω) διενήργησε μια έρευνα το πρώτο μισό του 1998 σχετικά με την κατάσταση CICIP στη Γερμανία, ενώ το 2000 εκπόνησε τη μελέτη με τίτλο «Situation Analysis of Threats and Hazards».

Το φθινόπωρο του 2001 εκδόθηκε η αναφορά «Comprehensive Reports on Threats and Hazards» ενώ το 2002 το «Kirchbach Report». Στα μέσα του 2002, σε συνεργασία BMI, BSI, εκπονήθηκαν «Infrastructure Analysis Studies» ενώ τον Ιούλιο του 2005 εκδόθηκε το «Status Report on the IT Security Situation in Germany». Τον Σεπτέμβριο του 2005 έγινε η έκδοση του «Baseline Protec-tion Concept for Critical Infrastructure Protection» από τους οργανισμούς BMI, BBK, BKA (πε-ριγράφονται αναλυτικά παρακάτω).



40

Ακολούθησαν η καμπάνια «Security in the Internet» από τους BMI, BSI, Ministry of Economics, τα «IT Security Guidelines» από το BSI, το «BSI for the Citizen» (για θέματα ενημέρωσης και υποστήριξης των πολιτών, με κοινή πρωτοβουλία του Γερμανικού Υπουργείου Εσωτερικών-ΒΜΙ και του Αμερικάνικου US Department of Homeland Security).

Εκδόθηκαν τα «Secure e-Government», «BundOnline 2005» (από το BSI) και «E-Government Manual» (επίσης από το BSI).

Οργανωτικές Δομές

Οι κυριότερες οργανωτικές δομές που έχουν αναπτυχθεί στη Γερμανία περιγράφονται αναλυτικά πα-ρακάτω:

Federal Ministry of Interior (BMI)

Έχει τη συνολική ευθύνη και το συντονισμό των κύριων CIP/CICIP δραστηριοτήτων, σε συνεργασία με τις υφιστάμενες υπηρεσίες του Federal Office for Information Security (BSI), Federal Agency of Civil Protection και Disaster Response (BBK), Federal Law Enforcement Agency (BKA) και Federal Police (BPOL).

Συντονίζει τις δράσεις αναφορικά με την ανάπτυξη και υλοποίηση στρατηγικής, σε συνεργασία με άλλα Υπουργεία και Υπηρεσίες, όπως Federal Ministry of Economics και Labour (ΒΜWA), Office of the Chancellor of the Federal Republic of Germany, Federal Ministry of Justice (BMJ), Federal Ministry of Foreign Affairs, Federal Ministry of Defense (BMVg) και Federal Network Agency.

Στρατηγικοί εταίροι από τον ιδιωτικό τομέα έχουν συμβουλευτικό ρόλο για το ΒΜΙ, ενώ η Αρχή που είναι υπεύθυνη για θέματα σχετικά με ΙΤ είναι το Department IT 3 (Security of Information Systems) υπό την αιγίδα του Chief Information Officer του ΒΜΙ.

Για το συντονισμό των δράσεων μεταξύ BMI και των υφιστάμενων υπηρεσιών ιδρύθηκε στο ΒΜΙ, το 1999, το Task Force for Critical Infrastructure Protection (Project Group/PG AG KRITIS). Αποτελεί ανεξάρτητη υπηρεσία που λειτουργεί στην περιοχή ευθύνης του BMI. Αποτελείται από αντιπροσώ-πους άλλων Υπουργείων και μια Οργανωτική Επιτροπή (Steering Committee), ενώ διατηρεί μόνιμο γραφείο μέσα στο BSI.

Στο AG KRITIS συμμετέχουν ειδικοί (experts) από συγκεκριμένες Διευθύνσεις Υπηρεσιών, όπως ΒΜΙ Division IS 5 (physical protection within the context of civil protection and disaster response), ΒΜΙ Division P II 1 (threat prevention within the context of law enforcement), ΒΜΙ Division IT 3 (all areas of IT and IT dependence), ΒΚΑ (fight against terrorism), BSI (protection of information tech-nology) και BBK/BVA/THW (civil defense and protection of the population).

Η κύρια αποστολή του AG KRITIS είναι:

Η περιγραφή πιθανών σεναρίων σχετικά με απειλές, στη Γερμανία.

Η εκπόνηση ανάλυσης ευπάθειας στους κρίσιμους τομείς της Γερμανίας.

Η παροχή προτάσεων για αντίμετρα.

Η δημιουργία σκαριφήματος για ένα σύστημα έγκαιρης προειδοποίησης (early-warning system).

Ο συντονισμός και η υλοποίηση κοινών έργων σχετικά με τη βελτίωση της προστασίας των υποδομών της Γερμανίας.

Το Σχήμα 4 απεικονίζει συνοπτικά τις αρμοδιότητες του BMI.

Federal Office for Information Security (BSI)

Αποτελεί μια από τις Υπηρεσίες του BMI (Upper Federal Authority). Ιδρύθηκε το 1991 με έδρα τη Βόννη16. Αποτελεί τον κεντρικό πάροχο υπηρεσιών σχετικών με ασφάλεια ΙΤ για τη Γερμανική κυ-βέρνηση (Germany’s National Security Agency). Κύριες δραστηριότητές του είναι οι ακόλουθες:

16 http://www.bsi.bund.de.



41

Σχήμα 4: Αρμοδιότητες BMI [BSI-05b]

Internet security: analyses, concepts, advice (including the IT Baseline Protection Manual)

Management of the computer emergency response team (CERT) and virus center

Network security and cryptology, public key infrastructure (PKI), and biometrics

Critical infrastructure

e-Government

Development of the ACIS Methodology for analysing critical infrastructures

To BSI είναι οργανωμένο σε τέσσερις Διευθύνσεις, μία γενική και τρεις εξειδικευμένες. Οι εξειδικευ-μενες υπηρεσίες σχετίζονται με τους ακόλουθους τομείς εξειδίκευσης:

I.1. Security in Applications: Consulting, concepts, basic protection, high availability.

I.2. Security in Critical Infrastructures, and Internet: Protection of Critical Infrastructures, CERT Association, penetration, viruses, support of criminal prosecution authorities.

II.1. Security in networks: Safe network components, development, crypto-system evaluation.

II.2 Cryptology, basic scientific elements: Key technologies, development, crypto-procedure eva-luation, cryptography, cryptographic technology, and scientific foundations.

III.1 Safety from interception: Counter-Eavesdropping, mobile radio και emission security, warding off wiretapping.

III.2 Certification, Approval and Accreditation: Certification, accreditation, protection profiles, in-dustrial cooperation.

Federal Office for Civil Protection and Disaster Response (BBK)

Ιδρύθηκε το Μάιο του 2004, μέσα στο BMI, ως αρμόδια υπηρεσία για την ανάπτυξη μέτρων για τη βελτίωση της φυσικής ασφάλειας. Μια από τις κύριες λειτουργίες του είναι η ανταλλαγή πληροφορι-ών και η κατανομή πόρων σε επείγουσες περιπτώσεις. Λειτουργεί δικτυακό τόπο για πληροφόρηση και ανάπτυξη δημοσίων σχέσεων με την ονομασία «German Emergency Preparedness Information System (deNIS)». Σχετικά με θέματα CICIP αναπτύσσει στενή συνεργασία με το BSI και την Regula-



42

tory Agency for Telecommunications και Post (RegTP). Επιπρόσθετα, αξιολογεί ευπάθειες καθώς και την επάρκεια και τις αλληλεξαρτήσεις των υπηρεσιών ΤΠΕ, ενώ εκπονεί μελέτες περίπτωσης, πλάνα ανάκαμψης από καταστροφές και αναπτύσσει κατάλληλα αντίμετρα.

Federal Criminal Police Agency (BKA)

Αποτελεί Υπηρεσία που έχει την ευθύνη για τη δίωξη εγκλημάτων κατά της εσωτερικής και εξωτερι-κής ασφάλειας της χώρας. Ειδικότερα, ασχολείται με τη δίωξη εγκλημάτων που σχετίζονται με την πρόκληση ζημιάς ή την αποδόμηση κρίσιμων υποδομών που μπορούν να έχουν συνέπειες για τη ζωή, την υγεία και τη λειτουργία της κοινωνίας, γενικότερα. Τέλος, αποτελεί Κεντρική Υπηρεσία για τη διερεύνηση εγκλημάτων που σχετίζονται με τις ΤΠΕ. Το Σχήμα 5 απεικονίζει συνοπτικά τις υπευθυ-νότητες των βασικών Αρχών του BMI.

Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b]

Federal Ministry of Economics and Labour (BMWA)

Περισσότερο από το ενενήντα 90% των κρίσιμων υποδομών της Γερμανίας το διαχειρίζεται ο ιδιωτι-κός τομέας. Το συγκεκριμένο Υπουργείο διαδραματίζει σημαντικό ρόλο στη χάραξη της οικονομικής πολιτικής. Ειδικά για τον τομέα της ενέργειας, το BMWA είναι αρμόδιο για την ανάπτυξη πλαισίου για την ασφάλεια της παροχής ενέργειας. Σύμφωνα, επίσης, με το Άρθρο 87f του Γερμανικού Συντάγ-ματος, είναι υπεύθυνο για τη διασφάλιση της διαθεσιμότητας και της επάρκειας των τηλεπικοινωναι-κών υποδομών και υπηρεσιών.

Federal Network Agency

Έτσι μετονομάστηκε η Regulatory Authority for Telecommunications and Posts (RegTP) τον Ιούλιο του 2005. Η κύρια αρμοδιότητά της είναι η περαιτέρω ανάπτυξη, μέσω της απελευθέρωσης, των αγο-ρών παροχής ηλεκτρικής ενέργειας, αερίου τηλεπικοινωνιακών και ταχυδρομικών υπηρεσιών και επι-πρόσθετα, από τον Ιανουάριο του 2006, της αγοράς των σιδηροδρομικών υποδομών.

Federal Ministry of Justice (BMJ)

Είναι υπεύθυνο για τη σχετική νομοθεσία και ειδικότερα για τη συμμόρφωση των εθνικών νόμων με τη συμφωνία για το κυβερνο-έγκλημα που υπογράφηκε στις 23 Νοεμβρίου 2001.



43

Federal Ministry of Defense (BMVg)

Είναι υπεύθυνο για την Εθνική Αμυνα.

Federal Chancellery

Έχει συντονιστικό ρόλο σε επίπεδο Υπουργείων.

Federal Intelligence Service (BND) και Federal Office for the Protection of the Constitution (BfV)

Παρέχουν σημαντική πληροφόρηση σχετικά με περιπτώσεις απειλών και τις πιθανές εγχώριες ομά-δες-στόχους.

Το Σχήμα 6 απεικονίζει σχηματικά τις Ομοσπονδιακές Αρχές της Γερμανίας που εμπλέκονται σε θέ-ματα CICIP:

Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b]

Συνεργασίες Δημόσιου-Ιδιωτικού Τομέα (PPP)

Initiative D21

Αποτελεί τη μεγαλύτερη σύμπραξη δημόσιου-ιδιωτικού τομέα στη Γερμανία. Είναι ένας μη κερδο-σκοπικός συνεταιρισμός με πάνω από 400 εταιρείες από διάφορους τομείς. Ο κύριος στόχος της είναι «…Speed up Germany’s transition from an industrial society to an information society through co-o-peration with government and public administration…».

Η συγκεκριμένη σύμπραξη οργανώνεται σε τέσσερις θεματικές περιοχές (steering groups): α) Educa-tion, Qualification and Equality of Opportunity, β) e-Government/Security and Trust in the Internet, γ) Information and Communications Technologies in Healthcare και δ) Growth and Competitiveness, with the focal issues being broadband technology and the mobile society.

Working Group on Infrastructure Protection (AKSIS)

Ιδρύθηκε το 1999, ως πρωτοβουλία του Center for Strategic Studies (ZES) που ανήκει στην εταιρεία IABG (Industrieanlagen-Betriebsgesellschaft). Κύριος σκοπός του είναι «…to provide a forum for information exchange to analyze and assess the dependability of CI/CII sectors…».



44

Δεν έχει συγκεκριμένη επίσημη αποστολή που να του έχει ανατεθεί από την κυβέρνηση ή τη βιομη-χανία, ενώ είναι ανεπίσημο και καθαρά εθελοντικό. Διοργανώνονται δύο συναντήσεις το χρόνο όπου συμμετέχουν αντιπρόσωποι από τον ιδιωτικό και δημόσιο τομέα (Υπουργεία, Αστυνομία, Ένοπλες Δυνάμεις, Τηλεπικοινωνίες, Ενέργεια, Μεταφορές, Τράπεζες, Ακαδημαϊκή Κοινότητα κλπ.). Γίνεται προσπάθεια για πιο στενή συνεργασία του AKSIS με τις κυβερνητικές πρωτοβουλίες για CII.

Μηχανισμοί προειδοποίησης και προσέγγιση κοινού

CERT-Bund

Δημιουργήθηκε το Σεπτέμβριο του 2001 στο BSI και αποτελεί κεντρικό σημείο επαφής για όλες τις ομοσπονδιακές υπηρεσίες. Κύριο έργο του είναι η προστασία των δικτύων και των κέντρων επεξερ-γασίας δεδομένων της ομοσπονδιακής δημόσιας διοίκησης. Μερικές από τις υπηρεσίες του προσφέ-ρονται και στον ιδιωτικό τομέα (όχι incident response).

Κύριες δραστηριότητες του είναι η ενημέρωση και ανταλλαγή πληροφοριών, η συλλογή δεδομένων, η ανάλυση και επεξεργασία πληροφοριών, η τεκμηρίωση και διάχυση, και η συνεργασία με υπάρχου-σες CERTs, ενώ προωθεί την ιδέα για τη δημιουργία νέων CERTs. Συμμετέχουν σε αυτό πέντε CERT μεγάλων εταιρειών με σκοπό την ανταλλαγή πληροφοριών σχετικά με αδυναμίες, ευπάθειες, απειλές και περιστατικά.

CERT-Network (CERT-Verbund)

Αποτελεί συμμαχία (Alliance) των Γερμανικών CERTs. Παρέχει μια κοινή βάση για τη συνεργασία μεταξύ των CERTs ενώ επιτρέπει την προστασία των εθνικών δικτύων ΙΤ και τη μετατόπιση των συ-ντονισμένων αντιδράσεων, σε περίπτωση μεγαλύτερης κλίμακας περιστατικών ασφάλειας ΙΤ.

Mcert

Τον Ιανουάριο του 2002 παρουσιάστηκε η μελέτη «Security and Trust in the Internet» που υπογράμ-μισε την ανάγκη για τη δημιουργία μιας CERT για μικρομεσαίες επιχειρήσεις, επιπρόσθετα των υπαρχουσών CERT της Γερμανίας (dCERT, DFN-CERT, S-CERT, secu-CERT, Telekom-CERT, και CERT-Bund). Ιδρύθηκε με τη συνεργασία των BMWA, BMI και του μη-κερδοσκοπικού οργανισμού BITKOM, το 2003.

IT Crisis Response Center

Αποτελεί οργανισμό που λειτουργεί μέσα στο BSI, και προσοιμοιάζει με ένα κέντρο ελέγχου και ανά-λυσης. Έχει σαν έργο του να παρέχει συνεχή πληροφόρηση και να εκτιμά με αξιόπιστο τρόπο την κατάσταση σχετικά με την ασφάλεια ΙΤ των ομοσπονδιακών υπουργείων ώστε να ανταποκρίνεται έ-γκαιρα σε έκτακτες καταστάσεις και να μπορεί να επανέρχεται έγκαιρα σε ασφαλή κατάσταση. Υπο-στηρίζει το Coordination Board fro IT Security of the Federal Ministries στην οργάνωση του έγκαι-ρου τρόπου απόκρισης και της επιστροφής των πληροφοριακών υποδομών, που έχουν επηρεαστεί, σε ασφαλή λειτουργία.

Νομοθετικό και Κανονιστικό Πλαίσιο

Οι κυριότεροι νόμοι που έχουν αναπτυχθεί στη Γερμανία σχετικά με θέματα CICIP συνοψίζονται στους ακόλουθους:

Νομικό πλαίσιο για τις Ηλεκτρονικές Υπογραφές (Law Governing Framework Conditions for E-lectronic Signatures).

Νομοθετική πράξη για τις Υπηρεσίες Πληροφοριών και Τηλεπικοινωνιών (Information and Telecommunications Services Act 1997).

Νομοθετική Πράξη για τις Ηλεκτρονικές Υπογραφές (Electronic Signature Act) 2001/2005.

Νομοθετική Πράξη για τη χρήση των Τηλευπηρεσιών (Act on the Utilization of Teleservices).

Νομοθετική Πράξη για την προστασία των προσωπικών δεδομένων στις τηλευπηρεσίες (Teleser-vices Data Protection Act).



45

Γερμανικός Ποινικός Κώδικας (German Penal Code).

3.3.2.2 Ελβετία


Σύμφωνα με τα [BSI-04a] και [Abe-06], από το τέλος του Ψυχρού Πολέμου, οι κίνδυνοι και οι ευπά-θειες που σχετίζονται με τις ΤΠΕ αποτελούν μείζον θέμα στις δημόσιες συζητήσεις (debates) που λαμβάνουν χώρα στην Ελβετία, σχετικά με την ανάπτυξη πολιτικής ασφάλειας.

Οι προσεγγίσεις CICIP αναπτύσσονται σε συνεργασία της επιχειρηματικής κοινότητας με τις δημόσι-ες υπηρεσίες, ενώ έχουν ήδη αναπτυχθεί ισχυροί δεσμοί μεταξύ διάφορων κυβερνητικών οργανισμών και επιχειρήσεων. Οι συνεργασίες ιδιωτικού-δημόσιου τομέα αποτελούν τους κεντρικούς πυλώνες της Ελβετικής πολιτικής για θέματα CICIP.


H πρώτη πρωτοβουλία με την ονομασία «Strategic Leadership Exercise», έλαβε χώρα το 1999 και α-σχολήθηκε με την επανάσταση των ΤΠΕ και τις σχετικές προκλήσεις στη σύγχρονη κοινωνία, την πολιτική, την οικονομία, καθώς και άλλους κρίσιμους τομείς. Αποκάλυψε ότι οι CIs της Ελβετίας εί-ναι αντιμέτωπες με νέους κινδύνους, και είχε ως αποτέλεσμα τη δημοσίευση πρόσκλησης για τη δη-μιουργία ενός ανεξάρτητου οργανισμού που θα ασχολείται με θέματα ασφάλειας πληροφοριών.

Η δεύτερη πρωτοβουλία με την ονομασία «Strategy for the Information Society Switzerland» καθορί-στηκε από το Ομοσπονδιακό Συμβούλιο (Federal Council) το 1998 και προσδιόρισε τις περιοχές ό-που απαιτούνται άμεσες ενέργειες. Καθόρισε τέσσερις κατευθυντήριες αρχές: α) Πρόσβαση στην πλη-ροφορία από τον οποιονδήποτε, β) Παρακίνηση για χρήση των ΤΠΕ, γ) Ελευθερία ανάπτυξης για την Κοινωνία της Πληροφορίας και δ) Αποδοχή νέων τεχνολογιών.

Συμφωνήθηκε ότι πρόοδοι που συντελούνται από τις ΤΠΕ είναι υψηλής προτεραιότητας.

Το 2000 εκδόθηκε το «Security Policy Report 2000», όπου το Ομοσπονδιακό Συμβούλιο αναγνώρι-σε το CIP/CICIP ως σκοπό της πολιτικής του για την ασφάλεια. Την ίδια χρονιά εκδόθηκε το «Con-cept of Information Assurance», που πρότεινε την ίδρυση ενός συστήματος διαχείρισης κρίσεων (spe-cial task force on «Information Assurance»). Στα ίδια πρότυπα, το Information Society Coordination Group (ISCG) της Ελβετίας, όρισε την ασφάλεια και τη διαθεσιμότητα των πληροφοριακών υποδο-μών ως πρώτης προτεραιότητας θέμα.

Το 2001 πραγματοποιήθηκε από το Strategic Leadership Training το «Exercise INFORMO 2001». Κύριος στόχος του ήταν Αναθεώρηση της διαδικασίας διασφάλισης των πληροφοριών που δημιουρ-γήθηκε το 1997 καθώς και η εκπαίδευση του νεοιδρυθέντος Special Task Force on Information Assu-rance (SONIA) (περιγράφεται αναλυτικά παρακάτω).

Μια άλλη πολιτική που αναπτύχθηκε είναι και η επονομαζόμενη «Information Assurance Policy», που βασίζεται σε τέσσερις πυλώνες:

Αποτροπή (Prevention).

Πρώιμη αναγνώριση (Early recognition), με κύριους εμπλεκόμενους το «Reporting and Analysis Center for Information Assurance (MELANI) (περιγράφεται αναλυτικά παρακάτω).

Διαχείριση κρίσεων (Crisis management), με κύριους εμπλεκόμενους τους: SONIA, MELANI, και Federal Office for National Economic Supply (NES), που συμπεριλαμβάνει τo ICT Infra-structure Unit.

Επίλυση τεχνικών προβλημάτων (Technical problem solution), με κύριους εμπλεκόμενους τους MELANI και Risk Analysis InfoSurance Foundation and Federal Office for National Economic Supply (NES).



46

Οργανωτικές δομές

Οι κυριότερες οργανωτικές δομές της Ελβετίας, συνοψίζονται στα ακόλουθα:

Federal Strategy Unit for Information Technology (ISB)

Αποτελεί υφιστάμενη Υπηρεσία του Swiss Federal Department of Finance (EFD), η οποία:

Παράγει οδηγίες, μεθόδους και διαδικασίες για την ασφάλεια πληροφοριών της ομοσπονδιακής διοίκησης.

Συλλέγει δεδομένα περιστατικών ασφάλειας.

Είναι υπεύθυνη για τη λειτουργία του Special Task Force on Information Assurance (SONIA) και του Reporting and Analysis Center (MELANI), καθώς και για την υλοποίηση της πολιτικής δια-σφάλισης των πληροφοριών.

Federal Office for Communication (OFCOM)

Αποτελεί το κύριο κανονιστικό όργανο, στον τομέα των τηλεπικοινωνιών και των ΤΠΕ. Ασχολείται με κινδύνους που επερεάζουν την Κοινωνία της Πληροφορίας.

Federal Office for National Economic Supply (NES)

Περιλαμβάνει το ICT Infrastructure Unit και αναφέρει στο Swiss Federal Department of Economic Affairs. Διαδραματίζει σημαντικό ρόλο στο πεδίο της ελαχιστοποίησης ζημίας.

Federal Office of IT, Systems and Telecommunication (FOITT)

Αναφέρει στο Swiss Federal Department of Finance. Οι αρμοδιότητές του συμεριλαμβάνουν την ασφάλεια και την ετοιμότητα σε περιπτώσεις επειγόντων περιστατικών που επηρεάζουν τα ομοσπον-διακά πληροφοριακά συστήματα διοίκησης, σε επιχειρησιακό επίπεδο.

Coordination Unit for Cybercrime Control (CYCO)

Αποτελεί μέρος του Federal Office of Police (FedPol). Επιβλέπει το Διαδίκτυο για την εύρεση εγ-κληματικού περιεχομένου. Είναι υπεύθυνο για τη σε βάθος-ανάλυση του κυβερνοεγκλήματος, ενώ συνεργάζεται άμεσα με το MELANI.

Federal Department of Defense, Civil Protection, and Sports (DDPS)

Πραγματοποιεί επιχειρήσεις που σχετίζονται με πληροφοριακές υποδομές και προετοιμάζεται κατάλ-ληλα για να αντιμετωπίσει τις προκλήσεις της επανάστασης της πληροφορίας.

Συνεργασίες Δημόσιου-Ιδιωτικού Τομέα

InfoSurance Association17

Ιδρύθηκε το 1999 από έναν αριθμό από εταιρείες, με την υποστήριξη της κυβέρνησης. Ο σκοπός του είναι η βελτίωση της επαγρύπνησης που σχετίζεται με θέματα διασφάλισης πληροφοριών. Η ομάδα-στόχος του είναι οι μικρομεσαίες επιχειρήσεις, με εστίαση στην αποτροπή.

Federal Office for National Economic Supply (NES): ICT Infrastructure Unit (ICT-I)

Εργάζεται σε στενή συνεργασία με τον ιδιωτικό τομέα και διενεργεί αναλύσεις κινδύνων σε συγκε-κριμένους τομείς.

17 http://www.infosurance.ch.



47

CLUSIS

Αποτελεί μη-κερδοσκοπικό οργανισμό, που ιδρύθηκε το 1989 και αριθμεί 230 μέλη, μεταξύ των ο-ποίων δημόσιες υπηρεσίες της Ελβετίας, προμηθευτές ΙΤ, παρόχους, τράπεζες, βιομηχανίες, συμβού-λους κλπ. Καλύπτει, κυρίως, το γαλλικό και το ιταλικό μέρος της Ελβετίας.


Reporting and Analysis Center for Information Assurance (MELANI)

Λειτουργεί από τον Οκτώβριο του 2004 και αποτελεί τον πυρήνα των Ελβετικών μηχανισμών προει-δοποίησης και προσέγγισης κοινού σχετικά με CICIP. Διοικείται από το Federal Strategy Unit for Information Technology (ISB) και είναι δομημένο ως μόνιμο όργανο. Οι κύριες εργασίες του αφο-ρούν τρεις βασικούς εταίρους:

ISB: Είναι υπεύθυνο για στρατηγικά θέματα και για τη διαχείριση του MELANI.

FedPol: Λειτουργεί το κέντρο ανάλυσης MELANI και είναι υπεύθυνο για τη συλλογή, συμπύκ-νωση, και παρουσίαση επιχειρησιακής πληροφόρησης, από διαφορετικές πηγές, τόσο στο δημό-σιο όσο και στον ιδιωτικό τομέα.

Swiss Education and Research Network (SWITCH): Λειτουργεί το Computer Emergency Res-ponse Team (SWITCH-CERT) και είναι υπεύθυνο για τη διαχείρης τεχνικών περιστατικών.

Δικτυακός τόπος MELANI

Έχει δύο κύρια πεδία (domains):

MELANI-Net: Για επιλεγμένους διαχειριστές (operators) CIs

MELANI: Ανοικτό και διαθέσιμο σε ιδιωτικούς χρήστες και μικρομεσαίες επιχειρήσεις.

Special Task Force on Information Assurance (SONIA)

Διοικείται από το ISB και αποτελεί τον κύριο Οργανισμό Διαχείρισης Κρίσεων (Crisis Management Organisation). Αποτελεί στοιχείο-πυρήνα του 3ου πυλώνα της Ελβετικής πολιτικής για τη διασφάλιση πληροφοριών που είναι η ελαχιστοποίηση και ο περιορισμός της ζημίας (damage limitation).

Αποτελεί συμβουλευτικό όργανο για το Federal Council και για ανώτατα στελέχη διοίκησης, που αποτελούν εκπροσώπους του ιδιωτικού τομέα, σε περιπτώσεις κρίσεων. Λειτουργεί ως σύνδεσμος μεταξύ ιδιωτικού και δημόσιου τομέα. Δεν είναι μόνιμο όργανο και υποστηρίζεται από το ICT Infra-structure Unit του NES, για θέματα βελτίωσης της ενημέρωσης (raise awareness), και από το ΜELA-NI, που αποτελεί τον πάροχο αξιόπιστης πληροφορίας.

SWITCH-CERT

Βοηθά τους πελάτες του (διαχειριστές CI διαμέσου του MELANI, πανεπιστήμια και άλλα ινστιτούτα) στη διαχείριση της προβλημάτων που σχετίζονται με την ασφάλεια πληροφοριών. Αντιπροσωπεύει τα συμφέροντα της Ελβετίας, ως ερευνητικό κέντρο, σε διάφορα όργανα, και συνεργάζεται στενά με το MELANI.


Οι κυριότεροι νόμοι της Ελβετίας, που σχετίζονται με θέματα ασφάλειας, είναι οι ακόλουθοι:

Ελβετικός Ποινικός Κώδικας (Swiss Penal Code), όπου υπάρχει ένας αριθμός από άρθρα, στο πλαίσιο CICIP, όπως τα 143 (unauthorised procurement of data), 144 (damage to property), 144 bis (damage to data), 147 (fraudulent use of a computer).

«Convention on Cybercrime of the Council of Europe», που έγινε αποδεκτή από το Federal Council of Switzerland το 2001.



48

3.3.2.3 Ηνωμένο Βασίλειο


Σύμφωνα με τα [Abe-06, BSI-04a], στο Ηνωμένο Βασίλειο υπάρχουν ξεκάθαροι ορισμοί των κρίσι-μων τομέων καθώς και ξεκάθαροι ορισμοί για το τί σημαίνει CIP. Οι προσεγγίσεις που ακολουθού-νται σε θέματα CICIP γίνονται από κοινού με συνεργασία της επιχειρηματικής κοινότητας και των κυβερνητικών υπηρεσιών. Το CICIP ενσωματώνεται στις καθολικές προσπάθειες για πάταξη της τρομοκρατίας, όπου οι Υπηρεσίες πληροφοριών (Intelligence Community) διαδραματίζουν ιδιαίτερο ρόλο. Ισχυροί δεσμοί έχουν ήδη αναπτυχθεί μεταξύ του ιδιωτικού και του δημόσιου τομέα. Το σύ-στημα πρόσβασης σε πληροφορίες μπορεί να χαρακτηριστεί «διαφανές», ενώ υπάρχουν παραλληλι-σμοί με μοντέλα των ΗΠΑ.


Το 1998 αναπτύχθηκε η «Approach to Information Society», με το όνομα «[email protected]» από το Performance and Innovation Unit. Λίγο αργότερα, παρουσιάστηκε η «UK Online Strategy» που περιελάμβανε το «UK Online Action Plan», με 113 συστάσεις (recommendations) και 26 υπο-χρεώσεις (commitments). Στις 3 Μαρτίου του 2003 παρουσιάστηκε το «Progress Report on Electro-nic Security».

Κατευθυντήριες γραμμές σχετικά τη χάραξη πολιτικής για CICIP παρουσιάστηκαν στις 22 Νοεμ-βρίου 2005, με την αναφορά με τίτλο «Information Assurance Governance Framework – Working in partnership for a secure and resilient UK information infrastructure». Η αναφορά αυτή συμπλήρωσε τις στρατηγικές σχετικά με την αντιτρομοκρατία, τις θεωρήσεις για την εθνική ασφάλεια, καθώς και τα μέτρα κατά των εγκλημάτων που κάνουν χρήση υψηλής τεχνολογίας (high-tech crime). Ως συντο-νιστικό όργανο για τη στρατηγική αυτή ορίστηκε το Central Sponsor for Information Assurance (CSIA) (περιγράφεται αναλυτικά παρακάτω).


H κύρια αρμοδιότητα σχετικά με CICIP ανήκει στο Ηome Secretary18 , ενώ και άλλα τμήματα παίζουν ρόλο στην προστασία των κρίσιμων εθνικών υποδομών (Critical National Infrastructures – CNIs). Ο κύριος διατμηματικός οργανισμός που σχετίζεται με θέματα CIP/CICIP issues, από την πλευρά του κράτους, είναι το National Infrastructure Security Coordination Centre (NISCC).

Οι πολιτικές διατυπώνονται και αναπτύσσονται μέσα από διάλογο ανάμεσα σε διάφορες υπηρεσίες, όπως NISCC, CSIA, Civil Contigencies Secretariat (CCS) (που συντονίζει την ανταπόκριση της κυ-βέρνησης σε θέματα αντιμετώπισης και ανάκαμψης από επείγοντα περιστατικά), καθώς και του Cabi-net Office Security Policy Division.

Ακολουθεί μια σύντομη περιγραφή των κυριότερων οργανωτικών δομών του Ηνωμένου Βασιλείου:

National Infrastructure Security Coordination Centre (NISCC)

Ιδρύθηκε το Δεκέμβριο του 1999 και είναι υπέυθυνο για την προστασία των CNIs από ηλεκτρονικές επιθέσεις. Η οργανωτική του δομή περιλαμβάνει:

Διευθυντή (Director): Αναφέρει στο Εκτελεστικό Συμβούλιο (Executive Board).

Εκτελεστικό Συμβούλιο (Εxecutive Board): Σε αυτό συνεισφέρουν το Cabinet Office, το Com-munications Electronics Security Group (αποτελεί την κυβερνητική αρχή για τεχνικά θέματα α-σφάλειας πληροφοριών), το Home Office και το Security Service.

Δύο ομάδες ενδιαφερομένων (two stakeholder groups): Αντιπροσωπεύουν τον ιδιωτικό και το δημόσιο τομέα.

Το συγκεκριμένο Κέντρο διαχέει πληροφόρηση σχετικά με απειλές και ευπάθειες σε CNI partners, διαμέσου του UNIRAS που αποτελεί το CERT της κυβέρνησης του Ηνωμένου Βασιλείου.

18 http://www.homeoffice.gov.uk.



49

Cabinet Office

Συνεισφέρει σε θέματα πολιτικών και συντονισμού, ενώ συνεργάζεται στενά με το NISCC, διαμέσου των CCS και CSIA μονάδων.

Communications Electronic Security Group (CESG)

Αποτελεί το βραχίονα του Government Communications Headquarters (GCHQ), σε θέματα διασφά-λισης πληροφοριών. Αποτελεί την εθνική τεχνική αρχή για θέματα ασφάλειας πληροφοριών ενώ εκ-πονεί την πολιτική σχετικά με τη διασφάλιση πληροφοριών.

Department of Trade and Industry (DTI)

Βοηθά το NISCC, διαμέσου της προώθησης του προτύπου ISO-17799.

Home Office

Αποτελεί τη γραμμή αναφοράς του NISCC και προεδρεύσει στο NISCC Management Board.

Ministry of Defense (MoD)

Το Defense Research Centre (DSTL) του MoD διεξάγει έρευνα τόσο για το NISCC όσο και για το MoD. Περιλαμβάνει μια ιεραρχία από CERTs, που συνεργάζονται στενά με το UNIRAS.

Police

Το National High Tech Crime Unit (NHTCU) της Αστυνομίας αποτελεί στενό συνεργάτη του NISCC.

Security Service

Συνεισφέρει με εμπειρία και τεχνογνωσία σε θέματα έρευνας για απειλές, ανάλυσης πληροφοριών και προληπτικής ασφάλειας στο NISCC. Η μονάδα του που ονομάζεται National Security Advice Centre (NSAC) συνεισφέρει σε θέματα προστασίας σημαντικών κυβερνητικών αγαθών.

Central Sponsor for Information Assurance (CSIA)

Δημιουργήθηκε επίσημα την 1η Απριλίου 2003 μέσα στο Cabinet Office. Προωθεί τη διασφάλιση πληροφοριών και την ανάλυση κινδύνων στην κυβέρνηση.

Civil Contigencies Secretariat (CCS)

Αποτελεί, επίσης, κομμάτι του Cabinet Office. Ιδρύθηκε τον Ιούλιο του 2001 και αναφέρει στον Πρωθυπουργό της χώρας διαμέσου του συντονιστή ασφάλειας και ανάλυσης πληροφοριών (security and intelligence coordinator) και της μόνιμης γραμματείας (permanent secretary) του Cabinet Office.

Έχει τρεις διευθύνσεις: α) Διεύθυνση Εκτιμήσεων (Assessments division), που αξιολογεί πιθανούς και αναδυόμενους κινδύνους, β) Διεύθυνση Λειτουργιών (Operations division), που αναπτύσσει και επιθεωρεί πλάνα επιχειρησιακής συνέχειας που αναπτύσσονται για τμήματα και γ) Διεύθυνση Πολι-τικής (Policy division), που παρέχει υποστήριξη στην Cabinet Secretariat σε θέματα διαχείρισης συ-νεπειών (consequence management).

Τέλος, αναπόσπαστο κομμάτι του CCS αποτελεί το Emergency Planning College που διαδραματίζει κύριο ρόλο στη διάδοση του δόγματος του Ηνωμένου Βασιλείου σχετικά με την ανθεκτικότητα (resi-lience) των συστημάτων.

Συμπράξεις Δημόσιου-Ιδιωτικού Τομέα (PPP)

Οι κυριότερες συμπράξεις δημόσιου-ιδιωτικού τομέα στο Ηνωμένο Βασίλειο είναι οι ακόλουθες:



50

NISCC’s PPP

Υπάρχουν δύο τύποι πρωτοβουλιών για την ανταλλαγή πληροφορίας: α) Ανταλλαγή πληροφοριών σχετικά με θέματα αεροπλοίας, κυβέρνησης, παρόχους διαχειριζόμενων υπηρεσιών (Managed-servi-ce providers), βιομηχανία τηλεπικοινωνιών, οικονομία, τεχνολογίες Supervisory Control and Data Acquisition (SCADA), πωλητές, κ.λπ. και β) Warning, Advice and Reporting Points (EARPs) που πα-ρέχουν μια οικονομικά αποδοτική εναλλακτική λύση των CERTs και ISACs. Αυτή τη στιγμή λει-τουργούν οκτώ.

Information Assurance Advisory Council (IAAC)19

Ιδρύθηκε το 2000. Δεν αποτελεί μέρος της κυβέρνησης του Ηνωμένου Βασιλείου, αλλά έχει κυβερ-νητική εκπροσώπηση. Πραγματοποιεί συστάσεις σχετικά με πολιτικές, ενώ υποβοηθά το διάλογο σε διατομεακό επίπεδο. Έχει ενεργούς συνδέσμους με το NISCC, το DTI, το Office for Science and Technology (OST), τον ιδιωτικό τομέα και το στρατό. Αυτή τη στιγμή είναι σε λειτουργία 5 ομάδες εργασίας: α) Εκτίμηση Απειλών, β) Εκτίμηση Κινδύνων, γ) Πρότυπα, δ) Έρευνα και Τεχνολογική Α-νάπτυξη, και ε) Εκπαίδευση και προσέγγιση κοινού.

Τέλος, συνεργασίες που αναφέρονται επιγραμματικά είναι οι British Computer Society (BCS), Inter-net Security Forum, National Computing Centre, Internet Watch Foundation, και Confederation of British Industry.


Οι κυριότεροι μηχανισμοί προειδοποίησης και προσέγγισης κοινού που έχουν αναπτυχθεί στο Ηνωμε-νο Βασίλειο είναι οι ακόλουθοι:

Unified Incident Reporting and Alert Scheme (UNIRAS)

Αποτελεί το CERT της βρετανικής κυβέρνησης και λειτουργεί από το NISCC. Αντλεί τεχνική υπο-στηριξη από το CESG ενώ εκδίδει «Alerts» και «Briefings» σχετικά με ευπάθειες στην ασφάλεια ΙΤ.

Ministry of Defence Computer Emergency Response Team (MOD-CERT)

Το ΜOD αποτελεί οργανισμό-μέλος του Federation of Incident Response Security Teams (FIRST) και του Trusted Introducer (TI). Το MODCERT αποτελείται από: α) Ένα κεντρικό σημείο συντονι-σμού (Central coordination center), β) Κέντρα παρακολούθησης και αναφοράς (Monitoring and re-porting centers), γ) Σημεία Προειδοποίησης, συμβουλών και αναφορών (Warning, Advice and Re-porting Points - WARPs) και δ) Ομάδες αντιμετώπισης περιστατικών (Incident response teams).

Το MOD-CERT συνεργάζεται στενά με το UNIRAS.

ITsafe: IT Security Awareness for Everyone

Δημιουργήθηκε το Φεβρουάριο του 2005. Χρηματοδοτείται από το Home Office, το συντονισμό του έχει η CSIA και αντλεί πληροφόρηση από το NISCC.

GetSafeOnline

Λειτουργεί από τον Οκτώβριο του 2005. Αποτελεί συνεργασία μεταξύ ιδιωτικού τομέα και κυβέρνη-σης. Χορηγοί του είναι το CSIA, το DTI, το Home Office και το NISCC.


Κύριοι νόμοι που σχετίζονται με θέματα CICIP είναι οι: α) Computer Misuse Act του 1990 και β) Po-lice and Justice Bill του 2006.

19 http://www.iaac.gov.uk.



51

3.3.2.4 Ολλανδία


Σύμφωνα με τα [Abe-06, BSI-04a], στην Ολλανδία οι ορισμοί σχετικά με τους κρίσιμους τομείς είναι σαφείς, όπως και η ερμηνεία σχετικά με CIP. Όλες οι λειτουργίες σε επίπεδο τακτικής και διαχείρι-σης θεωρείται ότι αφορούν και τον ιδιωτικό και το δημόσιο τομέα, ή εκχωρούνται, αποκλειστικά, στον ιδιωτικό τομέα.

Βάσει του Ολλανδικού μοντέλου, κάθε κρίσιμος τομέας/κάθε χρήστης ΤΠΕ είναι υπεύθυνος για τις δικές του υποδομές, ενώ ο ιδιωτικός τομέας διαδραματίζει πολύ σημαντικό ρόλο. Σημειώνεται ότι, δεν υπάρχει κεντρικός κρατικός οργανισμός που συντονίζει τα εθνικά μέτρα για CIP, αλλά η λειτουρ-γία αυτή γίνεται από τον ιδιωτικό τομέα, ειδικότερα από το Electronic, Commerce, Platform Net-herLands (ECP.NL), που αναλύεται σε επόμενη ενότητα.


Το 1999 παρουσιάστηκε το πλαίσιο για τις ΤΠΕ στα επόμενα 3-5 χρόνια, με την ονομασία «Digital Delta». Το 2000 ακολούθησε το «Defense Whitepaper 2000», ενώ το Μάρτιο του 2000 η «Infodrome Initiative and BITBREUK (In Bits and Pieces)» ενεργοποίησε τη συζήτηση σχετικά με την ανάγκη προστασίας των CII.

Το 2001 εκδόθηκε το «KWINT Report and Memorandum» για τα Υπουργεία Μεταφορών, Δημοσίων Έργων και Διαχείρισης Υδάτων της Ολλανδίας. Βάσει αυτού προτάθηκε η δημιουργία ενός μιας δια-τμηματικής ομάδας εργασίας από τα Υπουργεία Οικονομικών Σχέσεων, Άμυνας, Οικονομίας, Εσωτε-ρικών, Δικαιοσύνης και Μεταφορών (Γενική Διεύθυνση Ταχυδρομείων και Τηλεπικοινωνιών).

Το αποτέλεσμα ήταν το «KWINT government memorandum», βάσει του οποίου υλοποιήθηκαν τα πα-ρακάτω:

Μια αναφορά σχετικά με τις «Ευπάθειες στο Διαδίκτυο» («Vulnerability of the Internet»), που δη-μοσιεύτηκε στις 06.07.2001.

Η δημιουργία του CERT GOVCERT.NL.

H δημιουργία του εθνικού CERT.

H δημιουργία ενός συστήματος επαγρύπνησης σχετικά με κακόβουλο λογισμικό (malware alert-ing service) για μικρομεσαίες επιχειρήσεις (SME).

Η εκχώρηση συγκεκριμένων εργασιών στο ECP.NL (πλατφόρμα ιδιωτικού-δημόσιου τομέα σχε-τικά με το ηλεκτρονικό εμπόριο που αναλύεται παρακάτω).

Το πρόγραμμα KWINT για τα έτη 2002-2005 προέβλεπε ενέργειες σχετικά με την προστασία και την ασφαλή χρήση του Διαδικτύου. Ο διάδοχός του KWINT ονομάστηκε «Veilige Elektronische Commu-nicatie – VEC», για τα έτη 2006-2008.

Το 2002 δρομολογήθηκε η πρωτοβουλία με την ονομασία «Quick Scan on Critical Products and Services». Σύμφωνα με αυτήν, άρχισε η υλοποίηση του CIP έργου με τίτλο «Προστασία της Κρίσιμης Υποδομής της Ολλανδίας» («Protection of the Dutch Critical Infrastructure»). Στο πλαίσιο του έργου αυτού δημιουργήθηκε ειδικό ερωτηματολόγιο (Quick Scan Questionnaire), με σκοπό την αναγνώρι-ση των τομέων, των προϊόντων και των υπηρεσιών που αποτελούν την κρίσιμη εθνική υποδομή. Τα αποτελέσματα των συλλεχθέντων στοιχείων αναλύθηκαν τον Ιούνιο του 2002.

Τον Απρίλιο του 2003 δημοσιεύτηκαν τα αποτελέσματα της σχετικής έρευνας από το Υπουργείο Ε-σωτερικών και Βασιλικών Σχέσεων (Ministry of Interior και Kingdom Relations). Σημειώνεται ότι η έρευνα πραγματοποιήθηκε σε στενή συνεργασία με τον Ολλανδικό Οργανισμό Εφαρμοσμένης Επιστη-μονικής Έρευνας (Netherlands Organization for Applied Scientific Research - TNO).

Το Σεπτέμβριο του 2005 ανακοινώθηκαν οι σχετικές ενέργειες που θα έπρεπε να λάβουν χώρα, μετα-ξύ των οποίων ήταν η δημιουργία του «Critical Infrastructure Strategic Consultation Group (SOVI)».



52

Με πρωτοβουλία του Υπουργείου Εσωτερικών και Βασιλικών Σχέσεων, εκπονήθηκε ένα περιεκτικό πακέτο από μέτρα για την προστασία των κρίσιμων υποδομών, τόσο του ιδιωτικού όσο και του δημό-σιου τομέα. Το χρονικό διάστημα 2002-2004 ο συντονισμός του ανατέθηκε στο National Coordina-tion Center (NCC) του Υπουργείου, ενώ μετά το Σεπτέμβριο του 2004 ο συντονισμός γίνεται από το Directorate of Crisis Management του ίδιου Υπουργείου.

Σύμφωνα με το πακέτο, τα βήματα ενός έργου CIP περιλαμβάνουν τα ακόλουθα: α) Ανάλυση των κρίσιμων υποδομών της Ολλανδίας, β) Προσομοίωση συνεργασίας ιδιωτικού-δημόσιου τομέα (PPP), γ) Ανάλυση κινδύνων και ευπαθειών, δ) Ανάλυση χάσματος και μέτρα προστασίας και ε) Οργανωτι-κές δομές.

Οι κυριότερες οργανωτικές δομές της Ολλανδίας είναι οι ακόλουθες:

Ministry of Economic Affairs/Directorate General Telecom and Post

Είναι υπεύθυνο για την πολιτική προστασίας στις τηλεπικοινωνίες και το Διαδίκτυο. Άλλες Υπηρεσί-ες του είναι υπεύθυνες για πολιτικές CIP/CICIP σχετικά με τον ιδιωτικό τομέα, συμπεριλαμβανομε-νων των μικρομεσαίων επιχειρήσεων.

Ministry of Interior and Kingdom Relations (BZK)

Είναι υπεύθυνο (σε όρους πολιτικής) για την προστασία των κυβερνητικών πληροφοριακών υποδο-μών (government information infrastructures (government CICIP). Περιλαμβάνει το Directorate of Crisis Management και το National Coordination Center (ΝCC). Το NCC έχει την ευθύνη για συντο-νιστικές ενέργειες, σε επίπεδο πολιτικής, σε περιπτώσεις εκτάκτων αναγκών και καταστροφών με επιπτώσεις σε εθνικό επίπεδο. Το BZK είναι υπεύθυνο για το κυβερνητικό CERT GOVCERT.NL.

General Intelligence and Security Service (AIVD)

Αποτελεί Διεύθυνση του ΒΖΚ. Έχει ως κύριες αρμοδιότητες την προστασία της πληροφορίας και των ζωτικών τομέων της Ολλανδικής κοινωνίας καθώς και την αποκάλυψη περιπτώσεων αθέμιτου αντα-γωνισμού, όπως οικονομικής κατασκοπίας, που θα μπορούσε να βλάψει τα Ολλανδικά συμφέροντα. Επίσης χειρίζεται θέματα πληροφοριών του εξωτερικού (foreign intelligence) ενώ είναι υπεύθυνη για την ανάλυση πιθανών απειλών των Ολλανδικών τομέων CI.

Ministry of Economic Affairs (EZ)

Η κύρια Διεύθυνσή του, που ασχολείται με θέματα υποδομών είναι η Directorate for Energy and Te-lecommunications. Κύριοι στόχοι της είναι η ενδυνάμωση της ανταγωνιστικής θέσης της Ολλανδίας, στο πεδίο των τηλεπικοινωνιών, της τηλεματικής και των ταχυδρομικών υπηρεσιών. Διασφαλίζει την αδιάλειπτη λειτουργία και την παροχή των κρίσιμων ενεργειακών και τηλεπικοινωνιακών υπηρεσιών, σε πολίτες και εταιρείες. Τέλος, είναι υπέθυνη για την πολιτική CIP/CICIP για τους ιδιωτικούς τομείς της ενέργειας και των τηλεπικοινωνιών, καθώς και για την ιδιωτική βιομηχανία, περιλαμβανομένων των μικρομεσαίων επιχειρήσεων.

Ministry of Transport, Public Works, and Water Management (VκαιW)

Είναι υπεύθυνο για το συντονισμό της προστασίας των κρίσιμων υποδομών που αφορούν τη διαχείρι-ση υδάτων και μεταφορών.

Ministry of Housing, Spatial Planning, and the Environment (VROM)

Είναι υπεύθυνο για το συντονισμό της προστασίας των κρίσιμων υποδομών που αφορούν τη χημική και πυρηνική βιομηχανία, καθώς και τις υποδομές πόσιμου νερού.

Ministry of Health, Welfare and Sports (VWS)

Είναι υπεύθυνο για το συντονισμό και την προστασία των κρίσιμων υπηρεσιών του τομέα υγείας (περιλαμβανομένης της βιοχημικής ποιότητας του υδροφόρου ορίζοντα).



53

National High-Tech Crime Center (NHTCC)

Αποτελεί κοινή πρωτοβουλία των Netherlands Police Agency KLPD, Ministry of the Interior and Kingdom Relations, Ministry of Economic Affairs, και Ministry of Justice. Ασχολείται με εγκλήματα κατά των ΤΠΕ που έλαβαν χώρα από το 2004 και έπειτα. Υποστηρίζει τόσο τη συνεργασία μεταξύ υ-πηρεσιών όσο και τη συνεργασία ιδιωτικού-δημόσιου τομέα, καθώς και την ανταλλαγή πληροφοριών τόσο σε εθνικό όσο και σε διεθνές επίπεδο.

Συνεργασίες Δημόσιου και Ιδιωτικού Τομέα (PPP)

Οι κυριότερες συνεργασίες/συμπράξεις ιδιωτικού - δημόσιου τομέα που έχουν αναπτυχθεί στην Ολ-λανδία είναι οι ακόλουθες:

Platform Electronic Commerce in the Netherlands (ECP.NL)

Ανήκει στο Υπουργείο Οικονομικών Υποθέσεων και είναι επιφορτισμένο με την υλοποίηση των κα-τευθυντήριων γραμμών δράσης του KWINT Memorandum.

National Continuity Plan for Telecommunications (NACOTEL)

Πρόκειται για τη σύμπραξη που ορίζει την πολιτική εκτάκτου ανάγκης και διαχείρισης κρίσεων στον τηλεπικοινωνιακό τομέα. Ενδεικτικά, μέλη του αποτελούν οι: BT, Enertel, KPN Telecom, Telfort, O-range, T-Mobile, Ministry of Economic Affairs.

National Continuity Consultation Platform Telecommunications (NCO-T)

Η συγκεκριμένη σύμπραξη υπερκαλύπτει το NACOTEL, με κύριες εργασίες: α) Τον ορισμό προλη-πτικών μέτρων για την αποτροπή δυσλειτουργιών και κρίσεων που μπορεί να επηρεάσουν ζωτικά συμφέροντα και β) τη λήψη προπαρασκευαστικών μέτρων για την επίλυση δυσλειτουργιών και κρί-σεων, όσο το δυνατόν πιο γρήγορα, με τη μικρότερη δυνατή πρόκληση ζημίας σε ζωτικά συμφέροντα. Της σύμπραξης προεδρεύει ένας από τους Διευθυντές του Ολλανδικού Υπουργείου Οικονομικών Υπο-θέσεων (Γενική Διεύθυνση Ενέργειας και Τηλεπικοινωνιών).


Οι κυριότεροι μηχανισμοί προειδοποίησης και ενημέρωσης κοινού είναι οι παρακάτω:

CERT-NL (part of SURFnet)

Αποτελεί το CERT του SURFnet, που είναι ο πάροχος υπηρεσιών Διαδικτύου για ινστιτούτα ανώτε-ρης εκπαίδευσης και για πολλούς ερευνητικούς οργανισμούς στην Ολλανδία. Χειρίζεται όλα τα περι-στατικά ασφάλειας που αφορούν τους πελάτες του SURFnet, είτε αποτελούν θύματα είτε υπόπτους. Διαχέει πληροφορία σχετική με ασφάλεια στους πελάτες του SURFnet, με μια δομημένη μορφή (π.χ. με τη διανομή security advisories), καθώς και σε περιπτώσεις που έχουν συμβεί περιστατικά (π.χ. με τη διανομή πληροφορίας σε περιπτώσεις καταστροφών). Το CERT-NL διαχέει πληροφορία που προ-έρχεται από το CERT-CC και το FIRST.

GOVCERT.NL

Αποτελεί το CERT για κυβερνητικά τμήματα (CERT-RO) και ιδρύθηκε τον Ιούνιο του 2002. Το Φεβρουάριο του 2003 μετονομάστηκε από CERT-RO σε GOVCERT.NL. Αποτελεί πεδίο ευθύνης της ICT agency (ICTU) του Ministry of the Interior and Kingdom Relations. Η ομάδα του συστεγάζεται και συνεργάζεται με το «Waarschuwingsdienst.nl». Αυτό αποτελεί έναν ιστότοπο και μιας πρωτοβου-λία του Ministry of Economic Affairs/ Directorate-General for Energy and Telecom, και είναι υπεύ-θυνο για την έκδοση alerts και συμβουλών (alerts and advice memoranda) στο κοινό και τις ΜΜΕς, σχετικά με ιούς, Δούρειους Ίππους, και άλλο κακόβουλο λογισμικό (malware).



54

Hacking Emergency Response Team (HERT) και the National HighTech Crime Center (NHTCC)

Ιδρύθηκε τον Ιούνιο του 2002 από την ομάδα ηλεκτρονικού εγκλήματος της Ολλανδικής Αστυνομίας (KLPD). Οι κύριες δραστηριότητές του είναι η αποκατάσταση των υπηρεσιών CI και η παροχή βοή-θειας για ανάκαμψη και διαχείριση (recovery and logistics) ενώ παράλληλα συλλέγονται τα τεκμηρια. Αργότερα, έγινε μέρος του νομικού και επιχειρησιακού πλαισίου του Dutch National High Tech Crime Center.

Trans-European Research and Education Networking Association (ΤΕRΕΝΑ)

Ο συγκεκριμένος Οργανισμός20 αποτελεί μια σύμπραξη από μηχανικούς δικτύων και διευθυντικά στελέχη και προσφέρει ένα τόπο δημόσιας συζήτησης (forum) που προάγει τη συνεργασία και τη διά-χυση της γνώσης με σκοπό την ενίσχυση της ανάπτυξης της τεχνολογίας Διαδικτύου, καθώς και των υποδομών και των υπηρεσιών που χρησιμοποιούνται από την ερευνητική και ακαδημαϊκή/εκπαιδευ-τική κοινότητα.

Κύρια δραστηριότητα του Οργανισμού είναι να φέρει σε επαφή διευθυντικά στελέχη, ειδικούς σε θέ-ματα τεχνολογίας και άλλους ανθρώπους από την ερευνητική κοινότητα με συναδέλφους τους από άλλες χώρες της Ευρώπης, με σκοπό την ανταλλαγή εμπειρίας και δεξιοτήτων.

Το TERENA έχει τέσσερις κύριους πυλώνες δραστηριοτήτων:

Παροχή ενός περιβάλλοντος για την ενδυνάμωση των πρωτοβουλιών στην Ευρωπαϊκή ερευνητι-κή κοινότητα.

Υποστήριξη συντονισμένης δράσης με σκοπό την ανάπτυξη, αξιολόγηση, έλεγχο, ενσωμάτωση και προώθηση νέων τεχνολογιών σχετικών με θέματα δικτύωσης, εφαρμογών και middleware, διαμέσου του TERENA Technical Programme.

Οργάνωση συνεδρίων, ημερίδων και σεμιναρίων για την ανταλλαγή πληροφορίας στην Ευρωπα-ϊκή ερευνητική κοινότητα που ασχολείται με θέματα δικτύωσης, και την μεταφορά τεχνογνωσίας σε λιγότερο προχωρημένους οργανισμούς που ασχολούνται με αυτά τα θέματα.

Προώθηση των ενδιαφερόντων των μελών του, σε κυβερνήσεις, τη βιομηχανία, όργανα χρηματο-δότησης και άλλους οργανισμούς.

Τα κύρια όργανα του TERENA είναι: α) Γενική Συνέλευση (General Assembly-GA), β) Εκτελεστική Επιτροπή TERENA (TERENA Executive Committee-TEC), γ) Τεχνική Επιτροπή TERENA (TERE-NA Technical Committee-TEC), δ) Τεχνικό Συμβουλευτικό Όργανο TERENA (TERENA Technical Advisory Council-TAC) και ε) Γραμματεία TERENA (TERENA Secretariat).


Οι κυριότεροι νόμοι που μπορούν να αναφερθούν είναι οι ακόλουθοι:

Νόμοι του 1999 σχετικά με το Ηλεκτρονικό Έγκλημα (Computer Crime Laws 1999).

Νόμος για τις Τηλεπικοινωνίες (Telecommunications Law).

Ποινικός Κώδικας (Criminal Code).

3.3.2.5 Σουηδία


Σύμφωνα με τα [Abe-06, BSI-04a], η συγκεκριμένη χώρα δεν έχει ξεκάθαρους και επίσημους ορι-σμούς σχετικά με το τι σημαίνει CII και CICIP. Παρόλα αυτά, υπάρχει ξεκάθαρος ορισμός σχετικά με το τι σημαίνει «Τελική ευθύνη (Ultimate Responsibility)».

Η προσέγγιση που ακολουθείται είναι η «Total Defense», που σημαίνει ότι η προστασία των κρίσι-μων υποδομών ενσωματώνεται στη γενική πολυπλοκότητα της εθνικής άμυνας της χώρας, αποτε- 20 http://www.terena.org.



55

λώντας συνδυασμό των: α) Διασφάλιση Πληροφοριών (Information assurance), β) Προστασία κρίσι-μων υποδομών (Critical infrastructure protection), γ) Αμυντικές λειτουργίες πληροφορίας (Defensive information operations) και δ) Αμυντικός πόλεμος πληροφοριών (Defensive information warfare).

Ο ιδιωτικός τομέας λαμβάνεται υπόψη και ενσωματώνεται στην οργανωτική δομή, σε ικανοποιητικό επίπεδο. Παρόλα αυτά, τα μέτρα σχετικά με CIP λαμβάνονται χωρίς ιδιαίτερο συντονισμό, εφόσον δεν υπάρχει σχετικός συντονιστικός φορέας. Αποφεύγεται η επικάλυψη δομών ενώ το μοντέλο πρό-σβασης σε πληροφορίες είναι διαφανές.


Τον Ιούνιο του 1999 η Επιτροπή Ευπαθειών και Ασφάλειας (Commission on Vulnerability και Securi-ty) πρότεινε ορισμένα στρατηγικά μέτρα για τη βελτίωση της γενικής σταθερότητας των κρίσιμων τε-χνικών υποδομών. Η ίδια Επιτροπή πρότεινε μέτρα ειδικά σχεδιασμένα για τη βελτίωση της διασφά-λισης των πληροφοριών και της προστασίας λειτουργιών που σχετίζονται με τη διαχείριση πληροφο-ριών. Πρότεινε την ανάληψη ευθύνης από την κυβέρνηση αλλά και από τους διαχειριστές και τους ι-διοκτήτες των συστημάτων, οι οποίοι οφείλουν να προστατεύουν τα συστήματά τους ενάντια σε ει-σβολές και άλλους τύπους από απειλές σχετικές με ΙΤ.

Σύμφωνα με τις προτάσεις της ίδιας Επιτροπής, ο ρόλος της κυβέρνησης είναι η υποστήριξη των πα-ραπάνω δραστηριοτήτων και η παροχή λειτουργιών και διευκολύνσεων που ξεπερνούν τις οικονομι-κές δυνατότητες άλλων τομέων της κοινωνίας.

Το Μάρτιο του 2002 δημιουργήθηκε «Προσχέδιο Νόμου σχετικά με τη Σουηδική ασφάλεια και την πολιτική ετοιμότητας» («Bill on Swedish Security και Preparedness Policy»). Σε αυτό παρουσιάστηκε το κυβερνητικό πλαίσιο για ένα νέο σύστημα σχεδιασμού που θα βοηθούσε στην προετοιμασία για την αντιμετώπιση μεγάλων κοινωνικών κρίσεων και την ανάληψη δραστηριοτήτων σχετικών με πι-θανή απειλή ή πόλεμο. Επίσης, παρουσιάστηκαν τρόποι σχετικά με το πώς μπορεί να ενδυναμωθεί μια δομή διαχείρισης κρίσεων.

Τον Ιούλιο του 2002 συστήθηκε η Επιτροπή Διασφάλισης Πληροφοριών στη Σουηδική Κοινωνία (Committee on Information Assurance in Swedish Society). Από την Επιτροπή αυτή ζητήθηκε να πα-ρουσιάσει μια εκτίμηση σχετικά με τις απαιτήσεις για την ασφάλεια πληροφοριών σε κρίσιμους το-μείς της κοινωνίας και να κάνει συγκεκριμένες προτάσεις σχετικά με:

Οργανωσιακά θέματα της Σουηδικής υπηρεσίας προστασίας σημάτων.

Την ανάπτυξη μιας εθνικής στρατηγικής σχετικά με τη διασφάλιση πληροφοριών.

Τον τύπο και την εστίαση της μελλοντικής Σουηδικής εμπλοκής σε διεθνείς συνεργασίες σχετι-κές με τη διασφάλιση πληροφοριών.

Την υλοποίηση των «Κατευθυντήριων γραμμών του ΟΟΣΑ σχετικά με την ασφάλεια των Δικτύων και των ΠΣ» («OECD Guidelines for the Security of Information Systems and Networks»).

Την παρακολούθηση της υλοποίησης μέτρων για τη διασφάλιση πληροφοριών μεταξύ υπηρεσιών του κράτους σύμφωνα με τα οριζόμενα στο «Προσχέδιο Νόμου σχετικά με τη Σουηδική ασφά-λεια και την πολιτική ετοιμότητας».

Σαν αποτέλεσμα των εργασιών της, η Επιτροπή παρουσίασε στην κυβέρνηση ένα οργανωτικό πλάνο καθώς και ένα εθνικό πλάνο σχετικά με τη διασφάλιση πληροφοριών.


Σουηδικό Υπουργείο Άμυνας (Swedish Ministry of Defense)

Στη Σουηδία, το αρμόδιο Υπουργείο Άμυνας (Ministry of Defense – MoD) διαδραματίζει πρωταγωνι-στικό ρόλο σχετικά με την ασφάλεια και την προστασία κρίσιμων υποδομών.

Οι σημαντικότερες Υπηρεσίες του Υπουργείου, στο συγκεκριμένο τομέα, είναι οι ακόλουθες:



56

MoD/Swedish Emergency Management Agency (SEMA)

Η συγκεκριμένη υπηρεσία είναι υπεύθυνη για το συντονισμό των ενεργειών που αφορούν την εθνική διασφάλιση πληροφοριών, σε επίπεδο πολιτικής. Προωθεί την αλληλεπίδραση ιδιωτικού και δημό-σιου τομέα και συντονίζει τις ενέργειες έρευνας και ανάπτυξης στην περιοχή της διαχείρισης επει-γουσών καταστάσεων. Έχει τη συνολική κυβερνητική ευθύνη για θέματα διασφάλισης πληροφοριών στη Σουηδία.

Όλα τα θέματα τα χειρίζεται το Information Assurance και Analysis Department του SEMA που ανα-πτύσσει τις ακόλουθες δραστηριότητες:

Διατηρεί την επικαιροποιημένη συνολική εικόνα της Σουηδικής κοινωνίας αναφορικά με την α-σφάλεια πληροφοριών, αναφορικά με απειλές, ευστάθειες, προστατευτικά μέτρα και κινδύνους.

Παρουσιάζει, σε ετήσια βάση, μια εκτίμηση της διασφάλισης πληροφοριών στη Σουηδική κυβέρ-νηση.

Φιλοξενεί διάφορους τόπους συζητήσεων (fora), με συμμετοχή τόσο του ιδιωτικού όσο και του δημόσιου τομέα, προκειμένου να αναπτυχθεί μια συνολική εθνική κουλτούρα σε θέματα διασφά-λισης πληροφοριών.

Αναπτύσσει συνεργασίες ιδιωτικού και δημόσιου τομέα.

Συγκεντρώνει, αναλύει και διαχέει πληροφορία αναφορικά με τη διασφάλιση πληροφοριών.

Αναπτύσσει συστάσεις σχετικά με την πρόληψη, σε θέματα ασφάλειας πληροφοριών, με χρήση του ISO/IEC 17799.

Διαχειρίζεται το Συμβούλιο Διασφάλισης Πληροφοριών (Board of Information Assurance).

Στο SEMA λειτουργεί το Συμβούλιο Διασφάλισης Πληροφοριών (Information Assurance Council), που ιδρύθηκε με σκοπό να υποστηρίξει τις δραστηριότητές του σε θέματα διασφάλισης πληροφοριών. Το συγκεκριμένο Συμβούλιο βοηθά την ανώτερη διοίκηση του SEMA παρέχοντας πληροφόρηση σχετικά με τις ερευνητικές και τεχνολογικές τάσεις σε θέματα διασφάλισης πληροφοριών και υποδει-κνύοντας σχετικές προτάσεις και απόψεις σχετικά με τις κατευθύνσεις, τις προτεραιότητες και την υ-λοποίηση συγκεκριμένων δράσεων.

MoD/Swedish Defense Materiel Administration (FMV)

Αποτελεί την Υπηρεσία Προμηθειών (procurement agency) του Υπουργείου Άμυνας της Σουηδίας και ασχολείται με θέματα αξιολογήσεων σε θέματα ΙΤ security, για τις ένοπλες δυνάμεις, από το 1989.

MoD/FMV/Certification Body for IT Security (CSEC)

Ιδρύθηκε, ως ανεξάρτητη οντότητα μέσα στο FMV, το καλοκαίρι του 2002 με κύριο έργο την αξιολό-γηση και πιστοποίησης προϊόντων IT security (IT security products certification και evaluation), που πρόκειται να χρησιμοποιηθούν από Σουηδικούς κυβερνητικούς οργανισμούς.

MoD/National Defense Radio Establishment (FRA)

Πρόκειται για τον οργανισμό που ασχολείται με τις πληροφορίες τις σχετικές με τα σήματα (signals intelligence) και σύντομα θα μετονομαστεί σε Institute for Signals Intelligence and Technical Infor-mation (IST).

O συγκεκριμένος Οργανισμός διαθέτει την Ομάδα Τεχνικής Υποστήριξης σε θέματα Ασφάλειας (Infor-mation Security Technical Support Team). Αυτή αποτελείται από 20 ειδικούς στο πεδίο της Ασφά-λειας ΙΤ, με κύριο σκοπό την παροχή υποστήριξης σε θέματα διαχείρισης εθνικών κρίσεων και την α-ναγνώριση ατόμων και οργανισμών που σχετίζονται με απειλές ΙΤ κατά κρίσιμων συστημάτων. Σε περίπτωση που υπάρξει σχετικό αίτημα, η ομάδα υποστηρίζει τις Σουηδικές αρχές, υπηρεσίες και δη-μόσιες επιχειρήσεις που είναι υπεύθυνες για κρίσιμες λειτουργίες της κοινωνίας, με παροχή σχετικών υπηρεσιών και εξειδίκευσης. Οι παρεχόμενες υπηρεσίες περιλαμβάνουν, μεταξύ άλλων: α) ελέγχους (audits), β) ελέγχους διείσδυσης (penetration tests) και γ) ανάλυση πηγαίου κώδικα για την εξέταση



57

πειστηρίων στο πλαίσιο έρευνας. Η ομάδα συνεργάζεται σε τακτική βάση με την εθνική και διεθνή κοινότητα που ασχολείται με θέματα ασφάλειας.

Swedish Armed Forces

Έχουν αναπτυχθεί βάσει του μοντέλου «network-based defense». Εμπλέκονται ενεργά σε θέματα α-σφάλειας ΙΤ και πληροφοριακών υποδομών.

Swedish Military Intelligence and Security Service

Η συγκεκριμένη Υπηρεσία χειρίζεται θέματα ασφάλειας IT στις Ένοπλες Δυνάμεις, σε καιρό ειρήνης.

National Communications Security Group (TSA)

Παρέχει συμβουλές και επιθεωρήσεις κρυπτογραφικών συστημάτων σε Σουηδικούς αμυντικούς ορ-γανισμούς και βιομηχανίες.

Center for Asymmetric Threat Studies (CATS)

Παλιότερα ήταν γνωστό ως National Center for IO/CIP Studies (CIOS) και στεγάζεται στο Swedish National Defense College. Επέκτεινε τις δραστηριότητές του ώστε να συμπεριλάβει στις Λειτουργίες Πληροφοριών (Information Operations - IO) και την έννοια της τρομοκρατίας π.χ. κυβερνοτρομο-κρατία. Διεξάγει έρευνα και ανάπτυξη πολιτικών στους τομείς CIP/CICIP, IO, PSYOPS (ψυχολογι-κός πόλεμος). Χρηματοδοτείται από το ΜοD και το SEMA.

Swedish Defense Research Agency (FOI)

Εστιάζει σε θέματα έρευνας και τεχνολογικής ανάπτυξης στους τομείς εφαρμοσμένων φυσικών και πολιτικών επιστημών, όπως ανάλυση πολιτικών ασφάλειας. Η Διεύθυνση Αμυντικής Ανάλυσης (Divi-sion of Defense Analysis) περιλαμβάνει την ερευνητική ομάδα Critical Infrastructure Studies Unit (CISU) που εκπονεί μακροχρόνια ερευνητικά προγράμματα σχετικά με CIP, που χρηματοδοτούνται από το SEMA.

Σουηδικό Υπουργείο Βιομηχανίας, Απασχόλησης και Επικοινωνιών (Swedish Ministry of In-dustry, Employment, and Communications)

Ένα άλλο Υπουργείο που διαδραματίζει σημαντικό ρόλο σε θέματα CICIP είναι και το Σουηδικό Υ-πουργείο Βιομηχανίας, Απασχόλησης και Επικοινωνιών. Οι σημαντικότεροι φορείς του είναι οι ακό-λουθοι:

Swedish National Post and Telecom Agency (PTS)

Αποτελεί κυβερνητική αρχή που παρακολουθεί όλα τα θέματα που σχετίζονται με ΤΠΕ και υπηρε-σίες ταχυδρομείων. Το Τμήμα Ασφάλειας Δικτύων (Department of Network Security) της συγκεκριμε-νης αρχής είναι υπεύθυνο για θέματα ασφάλειας σχετικά με ΤΠΕ και σχετίζεται με το Swedish IT In-cident Center.

Σουηδικό Υπουργείο Δικαιοσύνης (Swedish Department of Justice)

Το Σουηδικό Υπουργείο Δικαιοσύνης έχει ρόλο σε θέματα CICIP, μέσω των παρακάτω φορέων του:

Swedish National Police Board (NPB)

Αποτελεί την κεντρική διοικητική και επιβλέπουσα αρχή της Αστυνομίας. Διοικεί τη National Crimi-nal Police και την Swedish Security Service. Το IT Crime Squad της Αρχής αυτής διαθέτει εμπειρία σε έρευνες εγκλημάτων και παρέχει σχετική υποστήριξη στα τοπικά Σουηδικά Αστυνομικά Τμήματα. Σχετίζεται με το Internet Reconnaissance Unit.

Τέλος, η Swedish Security Service (SÄPO) έχει το θεμελιώδες καθήκον της πρόληψης και της ανί-χνευσης εγκλημάτων που σχετίζονται με την ασφάλεια.



58

Συνεργασίες Ιδιωτικού – Δημόσιου Τομέα (PPP)

Στη Σουηδία έχουν δημιουργηθεί οι εξής συνεργασίες ιδιωτικού-δημόσιου τομέα:

Swedish Emergency Management Agency (SEMA)

Η συγκεκριμένη υπηρεσία προάγει την αλληλεπίδραση μεταξύ δημόσιου και ιδιωτικού τομέα και ερ-γάζεται με σκοπό να διασφαλίσει ότι η εμπειρία των Μη Κυβερνητικών Οργανισμών (MKO) λαμβά-νεται υπόψη στη διαχείριση κρίσεων.

Υπάρχουν δύο συμβουλευτικά όργανα (advisory councils) που συνδέονται με το SEMA: το Private Sector Partnership Advisory Council και το Board of Information Assurance.

Industry Security Delegation (NSD)

Αποτελεί μέρος της Συνομοσπονδίας των Σουηδικών Επιχειρήσεων (Confederation of Swedish Enter-prise). Έχει ως αντικειμενικό στόχο την αύξηση της συνεργασίας μεταξύ επιχειρήσεων, οργανισμών και αρχών και την προώθηση αναλυτικών απόψεων σχετικά με θέματα ασφάλειας και ευπαθειών.

Η κύρια επιδίωξη της συγκεκριμένης δικτυακής δομής είναι η βελτίωση της ευαισθητοποίησης (awa-reness) σε θέματα ασφάλειας και κινδύνων τόσο του γενικού κοινού όσο και του τομέα των επιχειρή-σεων. Ο συγκεκριμένος οργανισμός προωθεί εκπαιδευτικά σεμινάρια σε θέματα διασφάλισης πληρο-φοριών (information assurance) καθώς και σε θέματα διαχείρισης κρίσεων και κινδύνων (crisis και risk management) ώστε να βοηθήσει τα μέλη του να συνεισφέρουν στη βελτίωση της ασφάλειας.

Swedish Information Processing Society (DFS)

Αποτελεί ανεξάρτητο οργανισμό για επαγγελματίες ΙΤ και αριθμεί 32000 μέλη. Εστιάζεται σε θέματα ανάλυσης κινδύνων και ασφάλειας πληροφοριών και θεωρείται de-facto Σουηδικό πρότυπο.


Από το Μάιο του 2002 η αντίστοιχη Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) της Σουηδίας (Swedish National Post and Telecom Agency - PTS) έχει δημιουργήσει το Swedish IT Incident Centre (SITIC) που, ουσιαστικά, μπορεί να θεωρηθεί το CERT της Σουηδικής κυβέρνησης.

Το κέντρο αυτό υποστηρίζει εθνικές δραστηριότητες για την προστασία ενάντια σε περιστατικά ΙΤ, που συνοψίζονται: α) Στη λειτουργία ενός συστήματος για την ανταλλαγή πληροφοριών σχετικά με περιστατικά ΙΤ, β) Σστην πληροφόρηση του κοινού σχετικά με προβλήματα που μπορεί να δημιουρ-γήσουν δυσλειτουργία στα συστήματα ΙΤ και γ) στην Παροχή πληροφόρησης σχετικά με μέτρα από-τροπής (preventive measures).

Δημοσίευση στατιστικών στοιχείων σχετικά με τα περιστατικά.


Κυριότεροι σημαντικοί νόμοι είναι οι ακόλουθοι:

Σουηδικός Ποινικός Κώδικας (Swedish Penal Code), SFS 1962:700.

Νομοθετική Πράξη σχετικά με τα Προσωπικά Δεδομένα (Personal Data Act), SFS 1998:204.

Νομοθετική Πράξη σχετικά με τις Ηλεκτρονικές Επικοινωνίες (Electronic Communications Act) SFS 2003:389.

3.3.3 Χώρες εκτός Ευρώπης Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακολουθού-νται από συγκεκριμένες χώρες εκτός Ευρώπης που είναι περισσότερο ώριμες, σε σχέση με άλλες, αναφορικά με την προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών τους.



59

3.3.3.1 Ηνωμένες Πολιτείες Αμερικής


Σύμφωνα με τα [Abe-06, BSI-04a], η προστασία των κρίσιμων υποδομών αποτελεί ύψιστη προτε-ραιότητα, μετά τα γεγονότα της 11ης Σεπτεμβρίου 2001. Το σύστημα πρόσβασης σε πληροφορίες εί-ναι διαφανές ενώ η συνεργασία με τον ιδιωτικό τομέα δουλεύει πολύ καλά, καθώς υπάρχουν ισχυροί σύνδεσμοι μεταξύ της επιχειρηματικής κοινότητας του ιδιωτικού τομέα και διαφόρων κυβερνητικών οργανισμών. Υπάρχουν ξεκάθαροι ορισμοί σχετικά με το τί σημαίνουν κρίσιμοι τομείς και CIP, ενώ το θέμα CICIP ενσωματώνεται μέσα στις γενικότερες αντιτρομοκρατικές προσπάθειες, όπου η κοινό-τητα που ασχολείται με την ανάλυση πληροφοριών (intelligence) διαδραματίζει σημαντικό ρόλο.


Η Πρώτη εθνική προσπάθεια να οριστούν οι ευπάθειες της «εποχής της πληροφορίας» έγινε από τον Πρόεδρο Bill Clinton το 1996 με την «Presidential Commission on Critical Infrastructure Protection (PCCIP)». Η Επιτροπή περιελάμβανε αντιπροσώπους από όλα τα σχετικά κυβερνητικά τμήματα κα-θώς και από τον ιδιωτικό τομέα και τα αποτελέσματα της παρουσιάστηκαν σε αναφορά προς τον Πρόεδρο τον Οκτώβριο του 1997. Η κυριότερη απόφαση που ελήφθηκε ήταν η καλλιέργεια της συν-εργασίας ιδιωτικού τομέα και κυβέρνησης. Δεν υφίσταται πια σαν Επιτροπή, καθώς οι λειτουργίες της ανακατευθύνθηκαν στην HSPD-7 (περιγράφεται αναλυτικά παρακάτω).

Το Μάιο του 1998, βάσει των υποδείξεων της PCCIP, εκδόθηκαν οι «Presidential Decision Directi-ves (PDD) 62 and 63». Καθόρισαν όργανα για τη χάραξη και επίβλεψη της πολιτικής, χρησιμοποιώ-ντας υπάρχουσες κυβερνητικές υπηρεσίες και αρχές.

Με την PDD 63 δημιουργήθηκαν ομάδες, στο πλαίσιο της ομοσπονδιακής κυβέρνησης, με σκοπό την ανάπτυξη και την υλοποίηση πλάνων για την προστασία των υποδομών που χρησιμοποιούνται από την κυβέρνηση. Στο πλαίσιο αυτά, προκλήθηκε διάλογος μεταξύ κυβέρνησης και ιδιωτικού τομέα για την ανάπτυξη ενός “National Infrastructure Assurance Plan”.

Το «National Plan for Information Systems Protection» παρουσιάστηκε στις 07 Ιανουαρίου 2000 από τον Πρόεδρο Clinton και εστίασε στην ασφάλεια των cyber-components των κρίσιμων υποδομών, αλλά όχι των physical components. Ονομάστηκε «Defending America’s Cyberspace. National Plan for Information Systems Protection - An Invitation to Dialogue Version 1.0» [USA-00] και ενδυνά-μωσε την αντίληψη ότι η κυβερνο-ασφάλεια αποτελεί κοινή αρμοδιότητα κυβέρνησης και ιδιωτικού τομέα.

Το Σεπτέμβριο του 2001 υπογράφηκαν από τον Πρόεδρο Bush, μετά τα γεγονότα της 11ης Σεπτεμ-βρίου, οι «Homeland Security Executive Orders (ΕΟ)». Πρόκειται για την ΕΟ 13228 – «Establishing the Office of Homeland Security and the Homeland Security Council» (08/10/2001) και την ΕΟ 13231 – «Critical Infrastructure Protection in the Information Age» με την οποία ιδρύθηκαν το «Pre-sident’s Critical Infrastructure Protection Board» και το «National Infrastructure Advisory Council (NIAC)».

Στις 17 Δεκεμβρίου 2003 εκδόθηκε η «Homeland Security Presidential Directive/HSPD-7» που αντι-κατέστησε την PDD 63. Η HSPD-7 καθιέρωσε εθνική πολιτική για τις ομοσπονδιακές υπηρεσίες με σκοπό να προσδιορίσουν και να θέσουν προτεραιότητες για την προστασία των κρίσιμων υποδομών των ΗΠΑ. Προσδιόρισε τις κυβερνητικές Yπηρεσίες που είναι υπεύθυνες για το συντονισμό της προ-στασίας συγκεκριμένων κρίσιμων τομέων υποδομών και καθόρισε τις Yπηρεσίες που θα πρέπει να ε-πιδιώξουν τη συνεργασία με τον ιδιωτικό τομέα.

Επίσης, απαίτησε, μέχρι τον Ιούλιο του 2004, την εκπόνηση συγκεκριμένων πλάνων, από τους επικε-φαλείς όλων των ομοσπονδιακών υπηρεσιών, για την προστασία των κρίσιμων υποδομών και καθό-ρισε τη Secretary of Homeland Security (Department of Homeland Security, DHS) ως «…The princi-pal Federal official to lead, integrate, and coordinate implementation of efforts among Federal de-partments and agencies, State and local governments, and the private sector to protect critical infras-tructure and key resources…».



60

Τον Ιούλιο του 2002 εκδόθηκε η «National Strategy for Homeland Security» [HSC-07, USA-07], με σκοπό την προστασία της ενδοχώρας (US Homeland) από τρομοκρατικές επιθέσεις.

Στις 14 Δεκεμβρίου 2003 εκδόθηκαν δύο Εθνικές Στρατηγικές:

National Strategy to Secure Cyberspace (NSSC): Με κύριο στόχο να διαμορφωθούν εθνικές πο-λιτικές που θα εμπλέξουν τους πολίτες σε θέματα ασφάλειας του μέρους του κυβερνοχώρου που τους ανήκει, με το οποίο αλληλεπιδρούν, και το οποίο ελέγχουν και λειτουργούν.

National Strategy for Physical Protection of Critical Infrastructure and Key Assets [USA-03c]: Με κύριο στόχο τη μείωση των ευπαθειών του έθνους που σχετίζονται με τρομοκρατικές δράσεις, μέσω της μείωσης των ευπαθειών που αφορούν τις κρίσιμες υποδομές και των ευπαθειών των σημαντικών αγαθών, που σχετίζονται με φυσικές επιθέσεις.

Τέλος, το «National Infrastructure Protection Plan (NIPP)», που αναπτύχθηκε από το DHS, αντιπρο-σωπεύει την κατάσταση ετοιμότητας (“ready state” preparedness) των ιδιοκτητών και διαχειριστών των κρίσιμων υποδομών.


Παλαιότερα, δύο Υπηρεσίες είχαν την κύρια αρμοδιότητα για το συντονισμό της πολιτικής CIP των ΗΠΑ, το «Critical Infrastructure Assurance Office (CIAO)», που παλιά αποτελούσε μέρος του Υ-πουργείου Εμπορίου, και το «National Infrastructure Protection Center (NIPC)», που παλιά απότε-λούσε Διεύθυνση του Federal Bureau of Investigation (FBI). Βάσει των προηγούμενων κατευθυντή-ριων γραμμών, που περιγράφησαν στην προηγούμενη ενότητα, και της δημιουργίας του DHS, οι δραστηριότητες τους απορροφήθηκαν από αυτό.

Το Critical Infrastructure Assurance Office (CIAO), δημιουργήθηκε τον Μάιο του 1998 και αποτελεί μερος του Directorate for Information Analysis and Infrastructure Protection (IAIP) του DHS. Οι αρ-μοδιότητές του εκχωρήθηκαν στο Planning and Partnership Office (PPO) του IAIP. Οι κύριες δρα-στηριότητες του περιλαμβάνουν:

Συντονισμό και υλοποίηση της εθνικής στρατηγικής.

Εκτίμηση της έκθεσης σε κίνδυνο της κυβέρνησης καθώς και των εξαρτήσεων σε CI.

Ευαισθητοποίηση του κοινού και συμμετοχή σε προσπάθειες σχετικά με CIP.

Συντονισμών τόσο σε επίπεδο νομοθεσίας όσο και σε επίπεδο δημόσιων υποθέσεων ώστε να εν-σωματωθούν οι στόχοι της διασφάλισης πληροφοριών στις προσπάθειες τόσο του ιδιωτικού όσο και του δημόσιου τομέα.

To 1998 το Office of Computer Investigation and Infrastructure Protection (OCICIP) επεκτάθηκε και αποτέλεσε το National Infrastructure Protection Center (NIPC), με έδρα το FBI. Αυτή τη στιγμή και αυτό αποτελεί κομμάτι του IAIP του DHS.

Η ανάγκη για τη δημιουργία του «Department of Homeland Security (DHS)»21 έγινε επιτακτική η ανάγκη για τη δημιουργία του μετά τα γεγονότα της 11ης Σεπτεμβρίου 2001. Αποτελεί τη μεγαλύτερη ομοσπονδιακή αναδιοργάνωση μετά το 1947, που συνένωσε 22 υπάρχουσες ομοσπονδιακές Υπηρε-σίες. Οι ρόλοι του DHS, αναφορικά με την προστασία των κρίσιμων πληροφοριακών υποδομών, συ-νοψίζονται στα ακόλουθα:

Ανάπτυξη ενός περιεκτικού εθνικού πλάνου για την προστασία των σημαντικών πόρων και κρί-σιμων υποδομών των ΗΠΑ.

Παροχή δυνατότητας διαχείρισης κρίσεων σε περιπτώσεις επιθέσεων σε κρίσιμα πληροφοριακά συστήματα.

Παροχή τεχνικής υποστήριξης και πλάνων ανάκαμψης από καταστροφές, τόσο στον ιδιωτικό το-μέα όσο και σε άλλες κυβερνητικές υπηρεσίες.

21 http://www.dhs.gov.



61

Συντονισμός με άλλες κυβερνητικές υπηρεσίες, για την παροχή συγκεκριμένης προειδοποιητικής πληροφόρησης και προστατευτικών μέτρων, καθώς και για τη χρηματοδότηση έρευνας και ανα-πτυξης.

Προώθηση πληροφοριών σχετικά με κυβερνοασφάλεια στον ιδιωτικό τομέα.

Το DHS διαιρείται σε πέντε Διευθύνσεις (Directorates): α) Border και Transportation Security, β) E-mergency Preparedness and Response, γ) Science and Technology, δ) Information Analysis and Infra-structure Protection (IAIP) και ε) Management. Επιπρόσθετα, σε αυτό ενσωματώθηκαν, σταδιακά, και άλλες Υπηρεσίες, όπως: α) US Coast Guard, β) US Secret Service, γ) Bureau of Citizenship και δ) Immigration Services. Μια σημαντική αναδιοργάνωση του DHS έλαβε χώρα το 2005, οπότε δημι-ουργήθηκε μια νέα Διεύθυνση Ετοιμότητας (Preparedness Directorate) και μια νέα Γραμματεία με την ονομασία Assistant Secretary for Cyber-security and Telecommunications.

Το Directorate for Information Analysis and Infrastructure Protection (IAIP) του DHS είναι υπεύθυ-νο για τον προσδιορισμό και την εκτίμηση των τωρινών και μελλοντικών απειλών και ευπαθειών της χώρας, την έγκαιρη προειδοποίηση και την ανάληψη προληπτικής δράσης. Ανέλαβε τις αρμοδιότητες των προγενέστερων Υπηρεσιών CIAO και NIPC, καθώς και του Federal Computer Incident Respon-se Center (FedCIRC). Επίσης, συμπεριέλαβε και τις λειτουργίες τόσο του National Communication Systems (Department of Defense), δεδομένου ότι οι CIs εξαρτώνται άμεσα από πληροφοριακές και τηλεπικοινωνιακές υποδομές και από τις αλληλοεξαρτήσεις τους, όσο και μερικές αρμοδιότητες του Energy Security and Assurance Program (Department of Energy).

Το IAIP αποτελείται από τέσσερις διευθύνσεις: α) Infrastructure Coordination Division (ICD), β) Na-tional Cyber Security Division (NCSD), γ) Protective Services Division (PSD) και δ) Νational Communications System Division (NCS).

Άλλο σημαντικό όργανο των ΗΠΑ, σχετικά με θέματα CICIP είναι το Homeland Security Council, που αποτελεί εκτελεστική οντότητα, επιφορτισμένη με την παροχή συμβουλών στον Πρόεδρο σχετι-κά με θέματα ασφάλειας της ενδοχώρας (homeland security matters). Αποτελείται από μια Προϊστα-μένη Επιτροπή (Principals Committee) και από Συντονιστικές Επιτροπές (Coordination Committees), μια εκ των οποίων εστιάζει σε θέματα CI.

Οι αντιπρόσωποι της Προϊστάμενης Επιτροπής είναι οι ακόλουθοι: α) Secretary of homeland security, β) Secretary of the treasury, γ) Secretary of defense, δ) Attorney-general, ε) Secretary of health and human services, στ) Secretary of transportation, ζ) Budget director for central intelligence, η) FBI di-rector, θ) Federal Emergency Management Agency (FEMA) director ι) Chief of staff to the president και κ) Chief of staff to the vice-president.

Το US Department of State συντονίζει διεθνή θέματα σχετικά με CICIP και συνεργάζεται με άλλες Υπηρεσίες, όπως Departments of Homeland Security, Justice, Defense, Commerce, Energy, Treasury, and Transportation, Intelligence community, για τη χάραξη της καθολικής στρατηγικής. Το συγκε-κριμένο Υπουργείο προεδρεύει στo International CIP Interagency Working Group όπου έχει συντο-νιστικό ρόλο και εποπτεύει την υλοποίηση των εκάστοτε συμφωνιών.

Το Computer Crime and Intellectual Property Section (CCIPS) αποτελεί μέρος του Criminal Division του Department of Justice. Είναι υπεύθυνο για την υλοποίηση των εθνικών στρατηγικών του Υπουρ-γείου για την αντιμετώπιση εγκλημάτων που σχετίζονται με τους υπολογιστές και τα πνευματικά δι-καιώματα, σε παγκόσμια κλίμακα.

Το Government Accountability Office (GAO) αποτελεί τον ανακριτικό/ερευνητικό βραχίονα (investi-gative arm) του Κογκρέσου.

Το National Science Foundation (NSF)22 [Rah-05] χρηματοδοτεί ακαδημαϊκά ινστιτούτα για την υπο-στηριξη του ομοσπονδιακού ερευνητικού προγράμματος σχετικά με την κυβερνοασφάλεια των πολι-τών.

22 http://www.nsf.gov.



62

Το National Institute of Standards και Technology (NIST)23 [Rah-05] έχει ως κύρια αποστολή τη ανα-πτυξη μετρήσεων και δραστηριοτήτων σχετικά με πρότυπα που διαδραματίζουν ρόλο-κλειδί στη δι-ευκόλυνση της μεταφοράς τεχνογνωσίας. Οι δραστηριότητές του στον τομέα της Ασφάλειας Η/Υ πε-ριλαμβάνουν την ανάπτυξη κρυπτογραφικών προτύπων, την ηλεκτρονική αυθεντικοποίηση και την ε-νασχόληση με αναδυόμενες τεχνολογίες.


Οι κυριότερες συμπράξεις ιδιωτικού-δημόσιου τομέα που έχουν αναπτυχθεί στις ΗΠΑ είναι οι ακό-λουθες:

DHS/Office of the Private Sector

Παρέχει στις επιχειρήσεις μια απευθείας γραμμή στο Υπουργείο.

Information Sharing and Analysis Centers (ISACs)

Αποτελούν οργανισμούς με μέλη που η διαχείρισή τους γίνεται από τον ιδιωτικό τομέα.

Ένα Συμβούλιο Διευθυντών (Board of Directors) καθορίζει τις διαδικασίες σύστασης και λειτουργίας του. Οι κύριες λειτουργίες του είναι η συλλογή, ανάλυση και διάχυση πληροφοριών σχετικά με την ασφάλεια, τα περιστατικά και την απόκριση μεταξύ των μελών των ISAC καθώς και με άλλα ISAC. Επίσης, διευκολύνει την ανταλλαγή πληροφορίας μεταξύ της κυβέρνησης και του ιδιωτικού τομέα.

Υπάρχουσες ISAC24 είναι οι ακόλουθες:

Financial Services Information Sharing and Analysis Center (FS/ISAC)

Telecoms industry ISAC via National Coordinating Center (NCC)

Electric power sector ISAC via North American Electricity Reliability Council (NERC)

IT-ISAC, with Members Microsoft, CISCO, Intel, CA, Oracle, Symantec, etc.

Surface Transportation ISAC, Oil Gas ISAC, Water Supply ISAC, Chemicals Industry ISAC, E-mergency Fire Services ISAC, Emergency Law Enforcement ISAC, Food ISAC, Health ISAC, Multi-State ISAC

ISAC Council

InfraGard25

Αποτελεί συνεταιρισμό μεταξύ της βιομηχανίας και των ΗΠΑ, όπως αντιπροσωπεύεται από το FBI.

National Cyber Security Alliance (NCSA)26

Αποτελεί συνεργατική προσπάθεια μεταξύ της βιομηχανίας και κυβερνητικών οργανισμών ώστε να καλλιεργηθεί η ενημέρωση σε θέματα κυβερνοασφάλειας διαμέσου εκπαιδεύσεων και ενημέρωσης του κοινού.

Partnership for Critical Infrastructure Security (PCIS)27

Αποτελεί συνασπισμό του ιδιωτικού τομέα που αποτελείται από συντονιστές κρίσιμων υποδομών. Εργάζεται με σκοπό την ανάπτυξη από κοινού πολιτικών για την ασφάλεια των CΙs, ενώ εξετάζει και διατομεακά θέματα.

23 http://www.nist.gov. 24 http://www.it-isac.org. 25 http://www.infragard.net. 26 http://www.staysafeonline.org. 27 http://www.pcis.org.



63

Cyber Incident Detection και Data Analysis Center (CIDDAC)

Αποτελεί την πρώτυη ιδιωτική μη-κερδοσκοπική ομάδα που έστησε ένα δίκτυο ανίχνευσης κυβερνο-εγκλήματος, χωριστά από τις προσπάθειες της ίδιας της κυβέρνησης των ΗΠΑ. Ο κύριος σκοπός του είναι η διαχείριση μιας υποδομής που θα παρέχει αυτοματοποιημένες αναφορές για κυβερνοεπιθέσεις, με σκοπό την υποστήριξη της προστασίας των κρίσιμων υποδομών.

National Cyber Security Partnership (NCSP)

Αποτελεί εθελοντικό συνασπισμό εμπορικών οργανισμών της βιομηχανίας αφοσιωμένο στην εξέτα-ση διατομεακών θεμάτων κυβερνοασφάλειας, με συνεργατικό τρόπο. Μερικά από τα ιδρυτικά του μελη είναι: Chamber of Commerce, TechNet, Business Software Alliance, Information Technology Association of America (ITAA).

Institute for Information Infrastructure Protection (I3P)28

Ιδρύθηκε το 2001 και η διαχείρισή του γίνεται από το Dartmouth College. Αποτελεί μια συνεργασία από εθνικά ινστιτούτα που κατέχουν ηγετική θέση σε θέματα κυβερνοασφάλειας, περιλαμβανομένων ακαδημαϊκών ερευνητικών κέντρων, κυβερνητικών εργαστηρίων, και μη κυβερνητικών οργανισμών.


Στη ενότητα αυτή περιγράφονται, συνοπτικά, οι κυριότεροι μηχανισμοί προειδοποίησης και προσέγγι-σης κοινού που έχουν δημιουργηθεί στις ΗΠΑ:

Federal Bureau of Investigation (FBI)

Παλαιότερα λειτουργούσε, μέσω του NIPC, τώρα είναι πιθανή η προσέγγιση και ενημέρωση του κοι-νού να γίνεται μέσα από το US-CERT.

Directorate for Information Analysis and Infrastructure Protection (IAIP)

Συλλέγει και αναλύει πληροφορία από διάφορες πηγές, συμπεριλαμβανομένων των CIA, FBI, Defen-se Intelligence Agency (DIA), National Security Agency (NSA), και δημοσιεύει έγκαιρες προειδοποιή-σεις (early warnings) τρομοκρατικών επιθέσεων.

IAIP/National Cyber Security Division (NCSD)

Τον Ιανουάριο του 2004 δημιουργήθηκε το «National Cyber Alert System», ένα επιχειρησιακό σύ-στημα που προσφέρει έγκαιρη πληροφορία με σκοπό την καλύτερη προστασία των ΗΠΑ29. Επίσης, το Federal Computer Incident Response Center (FedCIRC), αποτελεί πλέον μέρος του NCSD, και παρέχει στις υπηρεσίες τα κατάλληλα εργαλεία για την ανίχνευση κυβερνοεπιθέσεων και την απόκρι-ση σε αυτές.

CERT Coordination Center (CERT/CC) - Carnegie Mellon University

Ιδρύθηκε το 1998 και λειτουργεί ως το συντονιστικό κομβικό σημείο των ειδικών κατά τη διάρκεια των περιστατικών ασφάλειας, και δουλεύει προς την κατεύθυνση της αποφυγής μελλοντικών ατυχη-μάτων.

US-CERT

Δημιουργήθηκε από το DHS και το CERT/CC και συνεργάζεται με το IAIP/NCSD.

Internet Security Alliance

Δημιουργήθηκε τον Απρίλιο του 2001, σαν ένας δημόσιος τόπος συζήτησης (forum) για την ανταλ-λαγή πληροφοριών σχετικά με θέματα ασφάλειας.

28 http://www.thei3p.org. 29 http://www.us-cert.gov/cas.



64

Information Sharing and Analysis Centers (ISACs)

Ουσιαστικά αποτελούν μια βάση δεδομένων έγκαιρης προειδοποιήσης, όπου οι ιδιοκτήτες και οι δια-χειριστές του ιδιωτικού τομέα έχουν τη δυνατότητα να παρακολουθούν περιστατικά και να διαχέουν την πληροφορία σε ένα κεντρικό σημείο επαφής για την ανταλλαγή πληροφορίας, και στη συνέχεια να διανείμουν την πληροφορία στα μέλη του ISAC.

OnGuardOnline.gov (operated by Federal Trade Commission, help from DHS)

Παρέχει πρακτικές συμβουλές προερχόμενες από την ομοσπονδιακή κυβέρνηση και τη βιομηχανία τεχνολογίας για να βοηθήσει τους χρήστες να είναι σε επιφυλακή ενάντια σε περιπτώσεις εξαπάτη-σης μέσω Διαδικτύου (internet fraud), να ασφαλίζουν τους υπολογιστές τους και να προστετεύουν τις προσωπικές τους πληροφορίες.


Οι κυριότεροι νόμοι στις ΗΠΑ που σχετίζονται με θέματα CICIP είναι οι ακόλουθοι:

Federal Advisory Committee Act (FACA) 1972.

Computer Fraud and Abuse Act (CFAA) 1986.

Homeland Security Act 2002.

Critical Infrastructure Information Act: Procedures for Handling Critical.

Infrastructure Information.

Freedom of Information Act (FOIA).

Terrorism Risk Insurance Act 2002.

3.3.3.2 Αυστραλία


Σύμφωνα με τα [Abe-06, AUS-06, BSI-04a, Obe-06] στην Αυστραλία ακολουθείται η προσέγγιση «All Hazards», ενώ το μοντέλο CICIP είναι ημιδιαφανές.


Σχετικά με τις πρωτοβουλίες και τις πολιτικές που έχουν αναπτυχθεί σε θέματα CICIP, οι σχετικές δράσεις έχουν ξεκινήσει από το 1999, όταν εκδόθηκε η «Australian Government policy on National Information Infrastructure (NII) protection», ως υποσύνολο του CIP.

To 2001, παρουσιάστηκε η «E-Security National Agenda (ESNA)», και ακολούθησε το 2003 το «Na-tional Counter-Terrorism Plan (NCTP)», η δεύτερη έκδοση του οποίου παρουσιάστηκε το 2005, ό-που το CICIP ως μέρος της συνολικής προσπάθειας καταπολέμησης της τρομοκρατίας.

Το 2006 εκδόθηκε το «ESNA review», με τον καθορισμό τριών νέων προτεραιοτήτων:

Gov ICT: Με στόχο τη μείωση των κινδύνων της σχετικά με την ασφάλεια των πληροφοριακών και επικοινωνιακών συστημάτων της Αυστραλιανής Κυβέρνησης.

National Information Infrastructures: μείωση των κινδύνων σχετικά με την ασφάλεια των κρίσι-μων εθνικών υποδομών της Αυστραλίας.

Consumers, Companies: Βελτίωση της προστασίας των οικιακών χρηστών και των μικρομεσαίων επιχειρήσεων από ηλεκτρονικές επιθέσεις και από απάτη.


Οι κυριότερες οργανωτικές δομές που έχουν αναπτυχθεί στην Αυστραλία είναι οι ακόλουθες:

Δημόσιες Υπηρεσίες



65

E-Security Coordination Group (ESCG)

Αποτελεί το κύριο όργανο για το συντονισμό και την ανάπτυξη πολιτικής σε μη κρίσιμες περιοχές της ηλεκτρονικής ασφάλειας, σε επίπεδο κυβέρνησης αλλά και στην ευρύτερη κοινωνία.

Information Infrastructure Protection Group (IIGP)

Αποτελεί διατμηματικό επιτροπή της Αυστραλιανής κυβέρνησης, υπεύθυνη για το συντονισμό της πολιτικής και την παροχή τεχνικών συμβουλών/απόκρισης σε σχέση με επιθέσεις σε ΝΙΙ. Μέλη της συγκεκριμένης υπηρεσίας (μεταξύ άλλων, στρατός, υπηρεσίες, πληροφοριών) είναι οι α) Defence Signals Directorate (DSD), β) Australian Security Intelligence Organisation (ASIO), γ) Australian Fe-deral Police (AFP), δ) Department of the Prime Minister and Cabinet (PMκαιC), ε) Australian Go-vernment Information Management Office (AGIMO), στ) Attorney-General’s Department’s (AGD), ζ) Department of Communications, Information Technology and the Arts (DCITA), η) Department Of Transport And Regional Services (DOTARS) και θ) Department of Foreign Affairs and Trade (DFAT).

Συμπράξεις Δημόσιου – Ιδιωτικού Τομέα (PPP)

Business-Government Partnership (Public-Private Partnership / PPP)

Το 2002 το Business-Government Task Force πρότεινε την ίδρυση του Trusted Information Sharing Network (TISN) για CIP. Αποτέλεσε σημαντικό βήμα προς την κατεύθυνση της ενσωμάτωσης του ιδιωτικού τομέα στο στρατηγικό σχεδιασμό για CIP.

Αναλυτική περιγραφή του Trusted Information Sharing Network (TISN)

Το TISN30 τέθηκε σε λειτουργία το 2003. Πρόκειται για ένα forum όπου οι ιδιοκτήτες και οι διαχειρι-στές των κρίσιμων υποδομών μπορούν να συνεργαστούν ανταλλάσοντας πληροφορίες σχετικά με θέ-ματα ασφάλειας που έχουν επίδραση στις κρίσιμες υποδομές. Αποτελείται από εννέα (9) Infra-structure Assurance Advisory Groups (IAAGs) για αντίστοιχους επιχειρησιακούς τομείς και εποπτεύ-εται από το Critical Infrastructure Advisory Council (CIAC). Περιλαμβάνει τρία (3) Expert Advisory Groups. Το Σχήμα 77 απεικονίζει τις δομές της Αυστραλίας που αφορούν CIP:

Critical Infrastructure Advisory Council (CIAC)

Ασχολείται με μεσομακροπρόθεσμα θέματα σχετικά με προληπτικές δράσεις CIP, και ειδικά με εκεί-να τα θέματα που έχουν επιπτώσεις μεταξύ τομέων. Δεν εμπλέκεται σε διευθετήσεις σχετικά με την απόκριση σε περιστατικά ασφάλειας. Αποτελεί την οδό για τον προσδιορισμό των απαιτήσεων σχετι-κά με CI RκαιD.

Σημαντικά Advisory Groups του ΤΙSN

Communications Sector Infrastructure Assurance Advisory Group (CSIAAG)

Αποτελεί μία από τις εννέα τομεακές ομάδες (sector groups) του TISN. Αποτελείται από αντιπροσώ-πους από τις τηλεπικοινωνίες, τις μεταδόσεις (broadcast), τον τομέα των ταχυδρομικών υπηρεσιών και τον τομέα «international submarine cable».

Ανταλλάσσει πληροφορίες σχετικά με την προστασία των βασικών επικοινωνιακών δικτύων και των αντίστοιχων διευκολύνσεων. Έχει αναπτυχθεί πλαίσιο διαχείρισης κινδύνων, σε επίπεδο τομέων, το οποίο και ελέγχεται.

30 http://www.tisn.gov.au/.



66

Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP

Information Security Expert Advisory Group (ITSEAG)

Αποτελεί ένα από τα τρία (3) Expert Advisory Groups που παρέχουν συμβουλευτική υποστήριξη στο TISN και στο CIAC. Αποτελείται από ειδικούς σε θέματα ασφάλειας ΙΤ (IT security experts), από τη βιομηχανία, την κυβέρνηση και την ακαδημαϊκή κοινότητα. Συμβουλεύει τις τομεακές ομάδες (sector groups) του TISΝ σε θέματα ασφάλειας ΙΤ που επηρεάζουν την ασφάλεια των CI της Αυστραλίας.

Τον Αύγουστο του 2004, ιδρύθηκε το SCADA (Supervisory Control and Data Acquisition) Communi-ty of Interest (CoI), που αποτελείται από επαγγελματίες SCADA που προέρχονται από τους τομείς CI. Επίσης, η συγκεκριμένη κοινότητα οργανώνει ημερίδες για τη βελτίωση της επαγρύπνησης σε θέμα-τα ασφάλειας στον τομέα SCADA.

Άλλες Δημόσιες Υπηρεσίες που ασχολούνται με θέματα CICIP

Department of Communications, Information Technology και the Arts (DCITA)

Συμμετέχει στις CIP δραστηριότητες της Αυστραλιανής κυβέρνησης μέσω του TISΝ, ενώ προεδρεύει και παρέχει γραμματειακή υποστήριξη στο ITSEAG και στο CSIAAG.

Australian Government Information Management Office (AGIMO)31

Εδρεύει στο Department of Finance και Administration και παρέχει στρατηγική πληροφόρηση, συμ-μετοχή σε δραστηριότητες και αντιπροσώπευση σχετικά με την εφαρμογή των ΤΠΕ στη δημόσια δι-οίκηση. Διαχειρίζεται το domain gov.au.

31 http://www.agimo.gov.au.



67

Defense Signals Directorate (DSD)

Αποτελεί την Εθνική Αρχή της Αυστραλίας σε θέματα ασφάλειας πληροφοριών και ανάλυσης σημά-των (information security and signals intelligence). Χειρίζεται το Information Security Group (INFO-SEC).

Australian Security Intelligence Organisation (ASIO)

Αποτελεί την Εθνική Υπηρεσία Ασφάλειας της χώρας. Ανέπτυξε την «Australian Security Intelligen-ce Organisation Act (1979) (ASIO Act)».

Australian Federal Police (AFP)

Ανέπτυξε την «Cybercrime Act» (2001). Της ανήκει το Australian High Tech Crime Centre (AHT -CC)32.

Attorney-General’s Department (AGD)

Χειρίζεται το GovCERT.au33.


Οι κυριότεροι μηχανισμοί που έχουν αναπτυχθεί για την προειδοποίηση και την προσέγγιση και ενημέρωση του κοινού, είναι οι ακόλουθοι:

Information Security Incident Detection Reporting and Analysis Scheme (ISIDRAS)

Η διαχείρισή του γίνεται από το DSD και η κύρια λειτουργία του είναι η συλλογή πληροφορίας για περιστατικά ασφάλειας που επηρεάζουν την ασφάλεια ή τη λειτουργία των συστημάτων πληροφορι-ών και επικοινωνιών της Αυστραλιανής Κυβέρνησης. Παρέχει αναφορές (reports) σε τακτική βάση.

OnSecure Website

Αποτελεί κοινή πρωτοβουλία του DSD και του AGIMO. Mέσω αυτού οι κυβερνητικές υπηρεσίες μπορούν να αναφέρουν πληροφορίες σχετικά με περιστατικά ασφάλειας on-line. Δρα συμπληρωματι-κά προς το ISIDRAS και επιτρέπει τη δημόσια πρόσβαση σε επιλεγμένες πληροφορίες.

Australian Computer Emergency Response Team (AusCERT)34

Αποτελεί μη κερδοσκοπικό οργανισμό που τον διαχειρίζεται το University of Queensland. Παρέχει σημαντικές πληροφορίες ασφάλειας στον ιδιωτικό τομέα και σε μερικές κυβερνητικές υπηρεσίες με τη μορφή fee-for-service. To Mάιο του 2003 δημιουργήθηκε το National Information Technology Alert Service (NITAS) που παρέχει δωρεάν υπηρεσία σε συνδρομητές, που είναι κυρίως ιδιοκτήτες και διαχειριστές ΝΙΙ.

Τέλος, με σκοπό τη θέση σε ετοιμότητα των οικιακών χρηστών και των μικρομεσαίων επιχειρήσεων, δημιουργήθηκε το STAYSMARTONLINE35 από το DCITA.


Οι κυριότεροι νόμοι είναι οι ακόλουθοι:

Electronic Transactions Act 1999.

Cybercrime Act 2001.

Security Legislation Amendment (Terrorism) Act 2002.

32 http://www.ahtcc.gov.au/. 33 http://www.ag.gov.au/govcert. 34 http://national.auscert.org.au/. 35 www.staysmartonline.gov.au.



68

Spam Act 2003.

3.3.3.3 Νέα Ζηλανδία


Στη Νέα Ζηλανδία υπάρχουν ξεκάθαροι ορισμοί για το τί σημαίνει CIP, ενώ οι των σχετικών προ-σπαθειών ηγούνται οι δομές άμυνας. Οι προσεγγίσεις CICIP ενσωματώνονται στις συνολικές αντι-τρομοκρατικές προσπάθειες, όπου η κοινότητα της ανάλυσης πληροφοριών παίζει σημαντικό ρόλο. Η προστασία των κρίσιμων υποδομών της Νέας Ζηλανδίας δεν είναι εύκολα διαχωρίσιμη από τα με-τρα και τις πρωτοβουλίες που αναπτύσσονται στην Αυστραλία, δεδομένου ότι υπάρχει πολύ στενή συνεργασία μεταξύ των δύο κρατών.


Τον Ιούνιο του 2000 αναπτύχθηκε το «Defense Policy Framework». Το συγκεκριμένο πλαίσιο προ-διαγράφει το CICIP ως στόχο-κλειδί για την καθολική πολιτική ασφάλειας της χώρας. Το Centre for Critical Infrastructure Protection (CCIP) ασχολείται με τα θέματα του στόχου αυτού που σχετίζονται με τις κυβερνοαπειλές.

Στις 8 Δεκεμβρίου του 2000 εκδόθηκε από το New Zealand’s State Services Commission’s e-Govern-ment Unit η αναφορά με τίτλο «Protecting New Zealand’s Infrastructure from Cyber-Threats». Ασχολήθηκε με την προστασία των κρίσιμων υποδομών της Νέας Ζηλανδίας από το κυβερνοέγκλη-μα και άλλες απειλες ΙΤ. Παρείχε υποδείξεις σχετικά με:

Την ίδρυση ενός οργανισμού, στη Νέα Ζηλανδία, για την αντιμετώπιση περιστατικών και την πα-ρακολούθηση της ασφάλειας.

Την εναρμόνιση της νομοθεσίας της Νέας Ζηλανδίας, σχετικά με τα εγκλήματα υπολογιστών, με αυτής άλλων χωρών (π.χ. Αυστραλία, ΗΠΑ, Βρετανία και Καναδά).

Την καθιέρωση ενός προγράμματος διαρκούς συνεργασίας μεταξύ των ιδιοκτητών κρίσιμων υπο-δομών και της κυβέρνησης.

Την υιοθέτηση συγκεκριμένων προτύπων ΙΤ ασφάλειας.

Τον Ιούνιο του 2001 εκδόθηκε από το e-Government Unit το «June 2001 – “Towards a Centre for Critical Infrastructure Protection (CCIP)». Πρότεινε την ίδρυση ενός «Κέντρου για την προστασία των κρίσιμων υποδομών». Τελικά, η συγκεκριμένη αρμοδιότητα εκχωρήθηκε στο Government Com-munications Security Bureau, λόγω της κουλτούρας του σε θέματα ασφάλειας, της σημαντικής τεχνο-γνωσίας του σε θέματα ασφάλειας IT και του γεγονότος ότι η συγκεκριμένη λύση κρίθηκε πιο επω-φελής.

Το 2002 εκδόθηκε το «Manual on Security in the Government Sector», από την «Interdepartmental Committee on Security». Έλαβε υπόψη το πρότυπο «AS/NZS ISO/IEC 17799:2001“Information Technology - Code of Practice for Information Security Management», που εκδόθηκε, από κοινού, α-πό Αυστραλία και Νέα Ζηλανδία.

Περιείχε κατευθυντήριες γραμμές για την ασφάλεια, υποχρεωτικές για: α) Government departments, β) Ministerial Offices, γ) New Zealand Police, δ) New Zealand Defense Force, ε) New Zealand Security Intelligence Service και στ) Government Communications Security Bureau (GCSB).

Πρότεινε, η συνολική ευθύνη για την ασφάλεια να ανήκει σε έναν Manager, τον Departmental Secu-rity Officer (DSO), με καθήκοντα:

Τη διατύπωση και την υλοποίηση της γενικής πολιτικής ασφάλειας.

Να αποτελεί το σύνδεσμο, για την παροχή ειδικών συμβουλών, με την Interdepartmental Com-mittee on Security (ICS), την New Zealand Security Intelligence Service (NZSIS) και το GCSB.



69

Λίγο αργότερα αναπτύχθηκε ο δικτυακός τόπος «Security Policy and Guidance Website»36, που πα-ρέχει πληροφόρηση σχετικά με τις δραστηριότητες της κυβέρνησης στον τομέα της ασφάλειας πλη-ροφοριών και λειτουργεί ως σημείο εστίασης για τη δημοσίευση κυβερνητικής πληροφόρησης σχετι-κά με τα πρότυπα ασφάλειας, τις διαδικασίες και τους πόρους.

Επίσης, αναπτύχθηκε το «Standards New Zealand (SNZ)» που προωθεί διάφορα συγκεκριμένα πρό-τυπα για τη νέα Ζηλανδία, ενώ φιλοξενεί, διεθνή πρότυπα που αναπτύσσονται από κοινού μεταξύ Αυστραλίας και Νέας Ζηλανδίας. Ειδικότερα, το πρότυπο «AS/NZS ISO/IEC 17799 Information Se-curity Management» παρέχει μια επισκόπηση των παραγόντων που πρέπει να λαμβάνονται υπόψη και να συμπεριλαμβάνονται στην προστασία της πληροφορίας και των πληροφοριακών συστημάτων.

Τέλος, υπάρχει και το «National Information Infrastructure Protection37.


Οι κυριότερες οργανωτικές δομές της Νέας Ζηλανδίας, σχετικά με CICIP, είναι οι ακόλουθες:

Τhe Domestic and External Secretariat (DESS)

Αποτελεί τον κύριο πρωταγωνιστή, υπεύθυνο για τη διατύπωση της πολιτικής ασφάλειας της Νέας Ζηλανδίας, συμπεριλαμβανομένων των θεμάτων CICIP. Συντονίζει τις κεντρικές κυβερνητικές δρα-στηριότητες που έχουν ως στόχο την προστασία της εσωτερικής και εξωτερικής ασφάλειας της Νέας Ζηλανδίας, περιλαμβανομένων των: α) ανάλυση πληροφοριών (Intelligence), β) ετοιμότητα για την αντιμετώπιση της τρομοκρατίας (Counter-terrorism), γ) διαχείριση έκτακτων περιστατικών και κρί-σεων (Emergency και crisis management), και δ) αμυντικές λειτουργίες (Defense operations).

O Διευθυντής του DESS παρέχει έγκαιρη συμβουλευτική υποστήριξη στον Πρωθυπουργό σε θέματα που επηρεάζουν την ασφάλεια της Νέας Ζηλανδίας, συμπεριλαμβανομένων αυτών που αφορούν πο-λιτική, νομοθεσία, λειτουργίες και προϋπολογισμό. Το DESS προσφέρει γραμματειακή υποστήριξη στο Officials Committee for Domestic and External Security Co-ordination (ODESC).

Officials Committee for Domestic and External Security Co-ordination (ODESC)

Σε αυτό προεδρεύει ο Πρωθυπουργός. Λαμβάνει αποφάσεις πολιτικής, σε υψηλό επίπεδο, σχετικά με θέματα ασφάλειας και ανάλυσης πληροφοριών (intelligence), περιλαμβανομένης της πολιτικής υψη-λής εποπτείας σε περιοχές όπως: α) Intelligence and security, β) Terrorism maritime security και γ) Emergency preparedness.

Περιλαμβάνει chief executives από τους οργανισμούς: Ministry of Foreign Affairs and Trade, Minis-try of Defense and the Defense Force, New Zealand Security Intelligence Service, Government Com-munications Security Bureau, Police, Ministry of Civil Defense and Emergency Management, Trea-sury.

Interdepartmental Committee on Security (ICS)

Αποτελεί υπο-επιτροπή του ODESC η οποία διατυπώνει και συντονίζει την εφαρμογή όλων των πλευρών της πολιτικής ασφάλειας. Θέτει κοινά ελάχιστα πρότυπα σχετικά με την ασφάλεια και την προστασία. Επίσης, παρέχει λεπτομερή συμβουλευτική υποστήριξη σε θέματα ασφάλειας πληροφο-ριών στην κυβέρνηση και σε άλλους οργανισμούς ή όργανα που λαμβάνουν ή τηρούν διαβαθμισμένη πληροφορία (classified information).

Center for Critical Infrastructure Protection (CCIP)38

Ιδρύθηκε το 2001 και αποτελεί τον κεντρικό οργανισμό που ασχολείται με θέματα CICIP. Παρέχει συμβουλευτική υποστήριξη σε ιδιοκτήτες CI, του δημόσιου και του ιδιωτικού τομέα, με σκοπό την προστασία της Νέας Ζηλανδίας από τις κυβερνοαπειλές. Εδρεύει στο Government Communications

36 http://www.security.govt.nz. 37 http://www.egovt.nz/archive/services/safe. 38 http://www.ccip.govt.nz.



70

Security Bureau και έχει τρία (3) κύρια καθήκοντα: α) Την παροχή συνεχούς και αδιάλειπτης επα-γρύπνησης και συμβουλευτικών υπηρεσιών σε ιδιοκτήτες κρίσιμων υποδομών και σε κυβερνητικά τμήματα, β) Την ανάλυση και διεξαγωγή έρευνας σχετικά με κυβερνοεπιθέσεις και γ) τη συνεργασία με εθνικούς και διεθνείς οργανισμούς κρίσιμων υποδομών για τη βελτίωση της ετοιμότητας και της επικοινωνίας σχετικά με την ασφάλεια ΙΤ.

Government Communications Security Bureau (GCSB)

Αποτελεί πολιτικό οργανισμό, ουσιαστικά την «signals intelligence agency», που λειτουργεί από το 1977. Αναφέρει απευθείας στον Πρωθυπουργό και χειρίζεται τα θέματα CCIP. Παρέχει συμβουλευτι-κή υποστήριξη και βοήθεια σε κυβερνητικά τμήματα και υπηρεσίες της Νέας Ζηλανδίας σχετικά με την ασφάλεια σε συστήματα επεξεργασίας πληροφοριών. Διασφαλίζει την ακεραιότητα, τη διαθεσι-μότητα και την εμπιστευτικότητα των επίσημων πληροφοριών (official information), μέσα από την παροχή υπηρεσιών Ασφάλειας Πληροφοριακών Συστημάτων (INFOSEC) σε τμήματα και υπηρεσίες της κυβέρνησης της Νέας Ζηλανδίας.

Συνεισφέρει στην προστασία των κρίσιμων υποδομών από απειλές ΙΤ και παράγει τις δημοσιεύσεις «New Zealand Security of Information Technology (NZSIT)». Ουσιαστικά πρόκειται για κατευθυντή-ριες γραμμές για τους κυβερνητικούς οργανισμούς της Νέας Ζηλανδίας με σκοπό την παροχή υπο-στήριξης στην ασφάλεια και την προστασία των συστημάτων ΙΤ, και των συσχετιζόμενων πληροφο-ριών και υπηρεσιών.

E-Government Unit

Ιδρύθηκε τον Ιούλιο του 2000, μέσα στο State Services Commission. Έργα που υλοποιούνται υπό την αιγίδα του είναι τα: α) «Secure Electronic Environment (S.E.E.), for protecting sensitive information among agencies» και β) Η μελέτη «Protecting New Zeeland's Infrastructure from Cyber-Threats».

Συμπράξεις Ιδιωτικού - Δημόσιου Τομέα (PPP)

New Zealand Security Association (NZSA)

Ιδρύθηκε το 1972 και αντιπροσωπεύει πιστοποιημένα άτομα που παρέχουν υπηρεσίες σε τμήματα της κυβέρνησης, κρατικές υπηρεσίες, επιχειρήσεις και ιδιωτικούς χρήστες. Έχει δύο μέλη-ομάδες:

Corporate members: Μεμονωμένα άτομα ή εταιρείες που δραστηριοποιούνται στην ασφάλεια.

Associate members: Μεμονωμένα άτομα ή εταιρείες που ασχολούνται ή ενδιαφέρονται για την α-σφάλεια, χωρίς να προσφέρουν υπηρεσίες στο κοινό, όπως κυβερνητικοί οργανισμοί, ασφαλιστι-κές εταιρείες, αεροπορικές εταιρείες, τράπεζες, διανομείς τροφίμων, πετρελαϊκές εταιρείες κλπ.

Κύριοι στόχοι του είναι:

Καθορισμός ελάχιστων προτύπων λειτουργίας.

Ανάπτυξη και έγκριση κωδικών πρακτικής (codes of practice).

Η συνεργασία με την αστυνομία, τα κυβερνητικά τμήματα, και άλλους οργανισμούς και υπηρεσί-ες που σχετίζονται με την προστασία ανθρώπων, περιουσίας και πληροφοριών στη Νέα Ζηλανδία.

Παροχή πληροφόρησης και συμβουλευτικών υπηρεσιών, εκπαίδευσης και κατάρτισης.


Διασυνοριακή συνεργασία μεταξύ Αυστραλίας και Νέας Ζηλανδίας

AusCERT

Αποτελεί την εθνική CERT της Αυστραλίας που παρέχει σημαντική υποστήριξη σε οργανισμούς της Νέας Ζηλανδίας. Αποτελεί μια από τις ηγετικές CERT στην Ασία και τον Ειρηνικό Ωκεανό. Παρέχει στα μέλη του στρατηγικές για την απόκριση, και τον περιορισμό των απωλειών.



71

CCIP

Έχει ενεργή σχέση με το AusCERT και παρέχει υπηρεσία έγκαιρης ενημέρωσης (early-warning) κα-θώς και μια καθοδηγούμενη λίστα ηλεκτρονικού ταχυδρομείου (moderated mailing list) διαμέσου του διακτυακού του τόπου.

Τέλος, διάφοροι άλλοι εμπορικοί οργανισμοί, όπως η εταιρεία της Νέας Ζηλανδίας με την επωνυμία Co-logic, παρέχουν πληροφόρηση σχετικά με ευπάθειες (vulnerability alerts), φιλτραρισμένη και προσαρμοσμένη στις ανάγκες των πελατών τους.


Ο κυριότερος νόμος σχετικά με θέματα CICIP είναι ο «Crimes Amendment Act 2003», που αφορά εγ-κλήματα που διαπράττονται με τη χρήση ηλεκτρονικών υπολογιστών.

3.3.3.4 Καναδάς


Σύμφωνα με τα [Abe-06, BSI-o4a, Wen-02], τόσο οι ορισμοί των κρίσιμων τομέων όσο και η ερμη-νεία σχετικά με το CIP είναι σαφείς. Η προσέγγιση που ακολουθείται είναι τύπου «All Hazards», κα-θώς η προστασία των ΤΠΕ ενσωματώνεται στην έννοια «Total Defense».

H ανάμειξη του ιδιωτικού τομέα δεν είναι ιδιαίτερα μεγάλη, αν και οι περισσότερες από τις υποδομές του Καναδά ανήκουν σε ιδιωτικούς φορείς. Έχει αναπτύξει μόνιμο κέντρο ανάλυσης πληροφοριών (Government Operations Center-GOC), ώστε οι στρατηγικές πληροφορίες να είναι διαθέσιμες στους decision makers του ιδιωτικού και του δημόσιου τομέα, με αποτελεσματικό τρόπο.


Στον Καναδά, το Public Safety και Emergency Preparedness Canada (PSEPC) (περιγράφεται αναλυ-τικά παρακάτω) αναπτύσσει τις πρωτοβουλίες και τις πολιτικές για την προστασία των CΙs, ενώ προ-ωθεί την εθνική συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα. Οι Καναδικές δραστηριότητες στον τομέα cyber-protection εστιάζονται σε «Awareness and resilience of IT systems and services».

Τον Απρίλιο του 2004 αναπτύχθηκε η «Canada’s National Security Policy 2004». Στο πλαίσιο αυτά δόθηκε η έκθεση «Securing An Open Society: Canada’s National Security Policy», που προέβλεπε:

Ένα στρατηγικό πλαίσιο και πλάνο δράσης σχεδιασμένο για να διασφαλίζεται ότι η κυβέρνηση του Καναδά μπορεί να προετοιμαστεί κατάλληλα και να ανταποκριθεί αποτελεσματικά και πα-ρούσες και μελλοντικές απειλές.

Την ανάγκη για ένα ολοκληρωμένο εθνικό σύστημα αντιμετώπισης επειγόντων περιστατικών.

Το προτεινόμενο πρόγραμμα δράσης (Blueprint) περιελάμβανε έξι (6) περιοχές: Intelligence, Emergency management, Public health, Transportation, Border security, International security.

Το Νοέμβριο του 2004, στο πλαίσιο του «National Critical Infrastructure Protection Strategy» εκδό-θηκε το «Position Paper on a National Strategy for Critical Infrastructure Protection».

Την άνοιξη του 2005 διενεργήθηκε μια εθνική διαβούλευση μεταξύ του PSEPC και άλλων επιπέδων της κυβέρνησης και των ιδιοκτητών και των διαχειριστών των εθνικών υποδομών. Το αποτέλεσμα ή-ταν η «National Critical Infrastructure Protection Strategy», που προδιέγραψε τις περιοχές προτεραι-ότητας για το CIP καθώς και ένα πλάνο υλοποίησης, που ακολούθησε την έκδοση της στρατηγικής.

Στο πλαίσιο του «Mitigation and Response Review», αναπτύχθηκαν δύο πρωτοβουλίες για ένα ομοιο-γενές σύστημα διαχείρισης εκτάκτων περιστατικών:

«National Disaster Mitigation Strategy (NDMS)»: Αποσκοπούσε στην αποτροπή και τη μείωση των κινδύνων, των επιπτώσεων και των οικονομικών απωλειών από εθνικές καταστροφές.



72

«National Emergency Response System (NERS)»: Αποτελεί το μηχανισμό βάσει του οποίου η κυβέρνηση μπορεί να ανταποκριθεί και να διαχειριστεί τις αρχικές επιπτώσεις από μια επείγουσα κατάσταση.

Το 2005 αναπτύχθηκε η «Government-on-Line (GoL) policy» που αποτέλεσε ένα πλάνο για την υλο-ποίηση ενός τεχνολογικού και πολιτικού πλαισίου που προστατεύει την ασφάλεια και την ιδιωτικότη-τα των Καναδών πολιτών στις ηλεκτρονικές τους συναλλαγές με την κυβέρνηση.

Το Joint Infrastructure Interdependencies Research Program (JIIPR) αποτελεί μια συνεργασία μετα-ξύ του PSEPC και του Natural Sciences and Engineering Research Canada. Χρηματοδοτεί ακαδημα-ϊκά ερευνητικά έργα για τη μελέτη των αλληλοεξαρτήσεων των μεγαλύτερων συστημάτων υποδομών του Καναδά.

Η «Information Technology Systems Research and Development Initiative» δημιούργησε μια κοινή Ομάδα Εργασίαςς για τη συνεργασία σε ερευνητικά έργα πληροφοριακών υποδομών καθώς και για την ανάπτυξη μιας, από κοινού, μακροπρόθεσμης ερευνητικής ατζέντας. Οι εμπλεκόμενες κυβερνητικές υπηρεσίες, μεταξύ άλλων είναι: PSEPC, Defence Research and Development Canada, Communications Security Establishment, Industry Canada’s Communications Research Centre.


Οι κυριότερες οργανωτικές δομές σχετικά με CICIP που έχουν αναπτυχθεί στον Καναδά, είναι οι α-κόλουθες:

Public Safety and Emergency Preparedness Canada (PSEPC)39

Δημιουργήθηκε στις 12 Δεκεμβρίου 2003 και αποτελεί ηγετικό χαρτοφυλάκιο που ασχολείται με θέ-ματα CIP/CICIP. Ενσωματώνει το Department of the Solicitor General, National Crime Prevention Centre και το Office of Critical Infrastructure Protection and Emergency Management. Επίσης, περι-λαμβάνει το Royal Canadian Mounted Police (RCMP), την Canadian Security Intelligence Service (CSIS), την Correctional Service of Canada, το National Parole Board, το Canada Firearms Centre, την Canada Border Services Agency, καθώς και τρία (3) review bodies.

Παρέχει καθοδηγεί τη χάραξη πολιτικής και παραδίδει προγράμματα και υπηρεσίες στην περιοχή της εθνικής ασφάλειας, της διαχείρισης επειγόντων περιστατικών, της ανάπτυξης πολιτικής, της ασφάλει-ας συνόρων και της πρόληψης εγκλημάτων. Διασφαλίζει τη συνοχή της πολιτικής των έξι (6) υπηρε-σιών που αναφέρουν απευθείας στον Υπουργό. Αποτελεί το σημείο αναφοράς για το συντονισμό, την ανάλυση και την ανταλλαγή πληροφοριών που σχετίζονται με φυσικούς και ιδεατούς κινδύνους, ενα-ντια στις Καναδικές κρίσιμες υποδομές.

Το PSEPC λαμβάνει «Information Bulletins» από το Joint Department of Homeland Security/Federal Bureau of Investigation, για μια ποικιλία από κινδύνους και θέματα ασφάλειας. Μόλις λάβει την πληροφόρηση, το Government Operations Center (GOC) του PSEPC εκτιμά το μέγεθος της απειλής για τον Καναδά και διανέμει περαιτέρω το δελτίο ειδήσεων (bulletin) και την εκτίμηση στους ιδιο-κτήτες και διαχειριστές των κρίσιμων υποδομών, καθώς και στα σημεία επαφής του Καναδά που δια-χειρίζονται επείγοντα περιστατικά.

Integrated Threat Assessment Centre (ITAC)

Δημιουργήθηκε για να διευκολύνει την ενσωμάτωση πληροφόρησης από διάφορες πηγές σε περιεκτι-κές εκτιμήσεις απειλών. Περιλαμβάνει διάφορα ομοσπονδιακά τμήματα της κυβέρνησης, όπως: PSE-PC, Canadian Security Intelligence Service, Department of National Defense, Canada Border Servi-ces Agency, Foreign Affairs Canada, Transport Canada, Royal Canadian Mounted Police, Communi-cations Security Establishment, Ontario Provincial Police, και Privy Council Office.

Εστιάζει στην εκτίμηση κινδύνων σχετικά με τοπικά και διεθνή γεγονότα και τάσεις που σχετίζονται με τρομοκρατικές ενέργειες. Οι εκτιμήσεις του ITAC διανέμονται: α) Στην ομοσπονδιακή κυβέρνηση

39 http://www.ps-sp.gc.ca.



73

και σε άλλους εταίρους από άλλες χώρες, διαμέσου του κέντρου, β) Σε υπηρεσίες επιβολής του νό-μου, διαμέσου της Royal Canadian Mounted Police και γ) Στον ιδιωτικό τομέα, στην επαρχία και στην επικράτεια, διαμέσου του PSEPC.

Federal Provincial High-Level Forum on Emergencies

Αποτελεί μόνιμο δημόσιο τόπο συζήτησης σε υψηλό επίπεδο, για θέματα διαχείρισης επειγόντων πε-ριστατικών, μεταξύ των κύριων εθνικών παικτών.

Cross-Cultural Roundtable on Security

Αποτελεί βασικό στοιχείο της Εθνικής Πολιτικής Ασφάλειας (National Security Policy).

Δημιουργήθηκε για να εμπλέξει τους Καναδούς και την Καναδική κυβέρνηση σε ένα μακροπρόθε-σμο διάλογο σε θέματα που σχετίζονται με την εθνική ασφάλεια, καθώς επηρεάζουν μια ποικιλότρο-πη και πλουραλιστική κοινωνία. Συνεργάζεται με τον Υπουργό του PSEPC και τον Υπουργό Δικαιο-σύνης.


Ο Καναδικός ιδιωτικός τομέας λειτουργεί και διαχειρίζεται σχεδόν το ογδόντα πέντε (85) τοις εκατό των υποδομών της χώρας και διαδραματίζει πρωτεύοντα ρόλο στην ασφάλεια του κυβερνοχώρου. Εθνικοί τομεακοί οργανισμοί έχουν ενεργό ρόλο στην προώθηση βελτιωμένων προσπαθειών σχετικά με CIP, όπως: Canadian Electricity Association (CEA), Canadian Bankers Association (CBA), Cana-dian Telecommunications Emergency Preparedness Association (CTEPA).

National Critical Infrastructure Assurance Program (NCIAP)

Αποτελεί ένα πλαίσιο συνεργατικής δράσης που προωθεί την ανάπτυξη ανθεκτικών και βιώσιμων εθνικών κρίσιμων υποδομών διαμέσου συνεργασιών μεταξύ της κυβέρνησης και του ιδιωτικού τομέα. Αναπτύσσει μέσα για την καλύτερη εκτίμηση των κινδύνων, των ευπαθειών, των απειλών και των αλληλεξαρτήσεων που μπορούν να επηρεάσουν την επιχειρησιακή συνέχεια των NCI.


Canadian Cyber Incident Response Centre (CCIRC)

Ανήκει στο PSEPC και αποτελεί το εθνικό σημείο αναφοράς για το συντονισμό της απόκρισης σε πε-ριστατικά κυβερνοασφάλειας καθώς και για την παρακολούθηση του περιβάλλοντος των κυβερνοα-πειλών, στο μοντέλο αδιάλειπτης λειτουργίας (24x7x365). Κατέχει ηγετική θέση σε θέματα εθνικής και διεθνούς κυβερνοετοιμότητας και απόκρισης. Οι υπηρεσίες που παρέχει σε κρίσιμους τομείς υπο-δομών, σχετίζονται με: α) Την απόκριση σε περιστατικά, συντονισμός και υποστήριξη (Incident res-ponse, coordination and support), β) Την παρακολούθηση και ανάλυση του περιβάλλοντος των κυ-βερνοαπειλών (Monitoring and analysis of the cyber-threat environment), γ) την παροχή τεχνικής υποστήριξης σε θέματα ασφάλειας ΙΤ (IT security-related technical advice) και δ) την εθνική ενημε-ρωση (national awareness) και εκπαίδευση (εξάσκηση, πρότυπα, βέλτιστες πρακτικές).

Government Operations Centre (GOC)

Ανήκει και αυτό στο PSEPC και παρέχει στρατηγικού επιπέδου συντονισμό και καθοδήγηση, για λο-γαριασμό της κυβέρνησης του Καναδά, ανταποκρινόμενο σε ένα αναδυόμενο συμβάν που έχει επί-δραση στα εθνικά συμφέροντα.


Οι κυριότεροι νόμοι που σχετίζονται με θέματα CIP είναι:

Canadian Criminal Code Sections.

The Emergencies Act 1988.



74

The Emergency Preparedness Act 1988.

C-78 - Emergency Management Act 2005.

The Department of Public Safety and Emergency Preparedness Act 2005.

3.3.4 Άλλες Χώρες Στο [Αβε-06] αναφέρονται και άλλες χώρες όπως:

Ευρώπη: Αυστρία, Φινλανδία, Γαλλία, Ιταλία, Νορβηγία, Ρωσία.

Χώρες εκτός Ευρώπης: Ινδία, Ιαπωνία, Κορέα, Μαλαισία, Σιγκαπούρη.

Τα οργανωτικά σχήματα των χωρών αυτών δεν παρουσιάζονται εδώ, γιατί κρίθηκε ότι δεν είναι ιδιαί-τερα ώριμα, συγκριτικά με τα οργανωτικά σχήματα των χωρών που παρουσιάζονται στο παρόν.

3.3.5 Διεθνείς Οργανισμοί Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακολουθού-νται από Διεθνείς Οργανισμούς.

3.3.5.1 Ευρωπαϊκή Ένωση

Γενικά

Σύμφωνα με τα [Αβε-06, ΒΣΙ-04a,, EC-04, EC-05, EC-06a, EC-06b], η Ευρωπαϊκή Ένωση (ΕΕ) από-τελεί παίκτη-κλειδί, σε διεθνές επίπεδο, αναφορικά με τη διασφάλιση πληροφοριών. Θέματα σχετικά με CICIP, την Κοινωνία της Πληροφορίας, και την Ασφάλεια Πληροφοριών θεωρούνται πολύ σημα-ντικά. Η προστασία των επικοινωνιακών και πληροφοριακών υποδομών αποτελεί προτεραιότητα, δε-δομένης της οριζόντιας φύσης της και των διασυνδέσεων με άλλες κρίσιμες υποδομές.

Η ΕΕ έχει ξεκινήσει πρωτοβουλίες και ερευνητικά προγράμματα για να εξετάσει διάφορες οπτικές σχετικά με την εξέλιξη της πληροφορίας και την επίδρασή της στην εκπαίδευση, στις επιχειρήσεις, την υγεία και τις επικοινωνίες. Οι τρομοκρατικές επιθέσεις στη Μαδρίτη το 2004 και στο Λονδίνο το 2005 υπογράμμισαν τους κινδύνους που εγκυμονούν οι τρομοκρατικές επιθέσεις κατά των Ευρωπαϊ-κών υποδομών.

Το Ευρωπαϊκό Πλαίσιο CIP

Στις 17-18 Ιουνίου 2004 το Ευρωπαϊκό Συμβούλιο (European Council) ζήτησε από την Ευρωπαϊκή Επιτροπή (European Commission/EC) την προετοιμασία μιας καθολικής στρατηγικής για την προ-στασία των κρίσιμων υποδομών. Στις 22 Οκτωβρίου 2004 η ΕE εξέδωσε την «Communication on Critical Infrastructure Protection in the Fight against Terrorism» [EC-04], που:

Προσδιόρισε της κρίσιμες υποδομές (CI).

Απαρίθμησε τους κρίσιμους τομείς.

Προσδιόρισε κριτήρια για τον καθορισμό των CIs, από τα Κράτη-Μέλη (Κ-Μ) της ΕΕ.

Παρείχε προτάσεις/υποδείξεις για τη βελτίωση της ικανότητας αποτροπής, ετοιμότητας και αντα-πόκρισης σε τρομοκρατικές επιθέσεις που αφορούν κρίσιμες υποδομές.

Η συγκεκριμένη οδηγία πρότεινε:

Την εκκίνηση ενός «European Programme for Critical Infrastructure Protection (EPCIP)».

Τη δημιουργία ενός «Critical Infrastructure Warning Information Network (CIWIN)».

Οι προτάσεις αυτές έγιναν δεκτές από το Ευρωπαϊκό Συμβούλιο στις 16-17 Δεκεμβρίου 2004.

Στις 17 Νοεμβρίου 2005 εκδόθηκε το «Green Paper on the policy options for a “European Program-me on Critical Infrastructure Protection» [EC-05]. Αυτό:



75

Σκιαγράφησε τις επιλογές για τη βελτίωση της αποτροπής, της ετοιμότητας και της απόκρισης με σκοπό την προστασία των κρίσιμων υποδομών της ΕΕ.

Παρείχε επιλογές σχετικά με το πώς μπορεί η Ευρωπαϊκή Επιτροπή να ανταποκριθεί στο αίτημα του Ευρωπαϊκού Συμβουλίου για την υλοποίηση του EPCIP και την ίδρυση ενός Critical Infra-structure Warning Information Network (CIWIN).

Αποτέλεσε τη δεύτερη φάση μιας διαδικασίας διαβούλευσης που άρχισε με την «Communication on CIP» της Επιτροπής, που υιοθετήθηκε τον Οκτώβριο του 2004 [EC-04].

Το Green Paper ασχολήθηκε με θέματα όπως: α) EPCIP’s protection aim, β) Key principles, γ) The type of framework needed, δ) Definitions and a comprehensive list of EU Critical Infrastructures (ECI), ε) ECI versus National Critical Infrastructures (NCI), στ) The role of CI owners, operators, and users και ζ) The role of CIWIN, and the evaluation and monitoring of critical infrastructure (interde-pendencies). Υπήρξε συνεισφορά από 22 Κράτη-Μέλη (Κ-Μ) και από περισσότερες από εκατό (100) ιδιωτικές εταιρείες και βιομηχανικούς οργανισμούς.

Στις 12.12.2006 υιοθετήθηκε ένα «Policy package on ECIP» που αποτελείτο από μια «Communicati-on on “A European Program for Critical Infrastructure Protection (EPCIPP)» [EC-06a]40. Η συγκε-κριμένη οδηγία ασχολήθηκε με: α) τη γενική πολιτική, σε σχέση με το EPCIP, β) τo CIWIN, γ) τις εργασίες για την ανάπτυξη του EPCIP, δ) τις αλληλεξαρτήσεις μεταξύ των τομέων, ε) το ετήσιο πλά-νων εργασιών και στ) τη συνεχιζόμενη εργασία σχετικά με τις Εθνικές Κρίσιμες Υποδομές. Επίσης, έγινε πρόταση για μια «Directive on the identification and designation of European Critical Infras-tructure» [EC-06b]. Αυτή εστίασε στην ανάδειξη της Ευρωπαϊκής διάστασης των κρίσιμων υποδο-μών (European Critical Infrastructure or «ECI»).

Συνοπτικά, λοιπόν, το EPCIP περιλαμβάνει:

Οδηγία (Directive), με μέτρα για τη διευκόλυνση της υλοποίησης του EPCIP, που περιλαμβά-νουν: α) ένα «EPCIP Action Plan», β) την υλοποίηση ενός «Critical Infrastructure Warning Information Network (CIWIN)» -που έχει στόχο την υποβοήθηση των Κ-Μ, των οργανισμών της ΕΕ και των ιδιοκτητών και λειτουργών των CIs στην ανταλλαγή πληροφοριών σχετικά με απει-λές και ευπάθειες-, και γ) τη χρήση ομάδων ειδικών (expert groups) για τον προσδιορισμό και την ανάλυση των αλληλοεξαρτήσεων.

Παροχή υποστήριξης στα K-Μ σχετικά με τις Κρίσιμες Εθνικές Υποδομές (National Critical Infrastructures –NCIs).

Συνοδευτικά μέτρα οικονομικής φύσεως, με την υποβολή πρότασης για ένα Ευρωπαϊκό πρό-γραμμα σχετικά με «Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks» για την περίοδο 2007-2013, που παρέχει δυνατότητες χρηματοδό-τησης για μέτρα σχετικά με CIP, για τις οποίες υπάρχει δυνατότητα μεταφερσιμότητας.

Προπαρασκευαστικές δράσεις σχετικά με CICIP

Στην ΕΕ υπάρχει αρκετή κινητικότητα, σχετικά με θέματα CICIP, που αποτυπώνεται σε συγκεκριμε-νες ενέργειες και δραστηριότητες που έχουν ήδη ξεκινήσει στα προηγούμενα χρόνια. Στο πλαίσιο αυτό:

Το 2006 εκπονήθηκε η μελέτη «Availability and Robustness of Electronic Communications Infrastru-ctures” (ARECI)». Το 2007 έλαβαν χώρα οι ακόλουθες δραστηριότητες:

Άτυπη συνάντηση των Εθνικών εμπειρογνωμόνων σχετικά με CICIP (National experts on CIC-IP), στις Βρυξέλλες, στις 19 Ιανουαρίου 2007.

Δημόσια διαβούλευση (public consultation), τον Απρίλιο του 2007, σχετικά με το τελικό παραδο-τέο της μελέτης ARECI, που εκπονήθηκε από την Κοινοπραξία Alcatel-Lucent.

40 http://ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm.



76

Συνάντηση μεταξύ των Κ-Μ και του ιδιωτικού τομέα, σχετικά με τα αποτελέσματα της προανα-φερθείσας δημόσιας διαβούλευσης, στις Βρυξέλλες, στις 18 Ιουνίου 2007.

Διοργάνωση ημερίδας, (workshop) με τίτλο «Contingency practices», στις 19 Σεπτεμβρίου 2007.

Διοργάνωση ημερίδας, με τίτλο «Challenges for awareness raising», στις 7 Δεκεμβρίου 2007.

Εκπόνηση μελέτης με τίτλο «Critical dependencies of energy, finance and transport infra-structures on ICT infrastructures».

Το 2008 έλαβαν χώρα τα ακόλουθα:

Διοργάνωση ημερίδας με τίτλο «Learning from large scale attacks on the Internet: policy impli-cations»41, στις 17 Ιανουαρίου 2008, στις Βρυξέλλες.

Οργάνωση συνάντησης των Κ-Μ σχετικά με τα κριτήρια για τον προσδιορισμό των Ευρωπαϊκών Κρίσιμων Υποδομών στον τομέα ΤΠΕ, στις Βρυξέλλες, στις 5 Φεβρουαρίου 2008.

Προγραμματίζονται μελέτες και έργα, χρηματοδοτούμενα από το πρόγραμμα EPCIP, με τίτλο «Pre-vention, Preparedness and Consequence Management of Terrorism and other Security Related Risks».

Επόμενα βήματα σχετικά με EPCIP

Ήδη, στην ΕΕ, σχεδιάζονται τα επόμενα βήματα σχετικά με το EPCIP, που περιλαμβάνουν τις ακό-λουθες ενέργειες/δράσεις, με την ονομασία «Διάλογος και Συνεργατικότητα», που περιλαμβάνει:

Την πρωτοβουλία, σε επίπεδο πολιτικής, με την ονομασία «CLWP 2008» (COM(2007) 640), που πρόκειται να ανακοινωθεί το 2009 και έχει σαν κύριο στόχο τη βελτίωση της ετοιμότητας και της απόκρισης σε θέματα CICIP στην ΕΕ και τη διασφάλιση ότι υπάρχουν επαρκή και συνεπή επίπε-δα μέτρων, αποτροπής, ανίχνευσης, ανάκαμψης και αντιμετώπισης επειγουσών καταστάσεων.

Η προσέγγιση που θα ακολουθηθεί βασίζεται στη θεμελίωση πρωτοβουλιών σε επίπεδο εθνικό και ιδιωτικού τομέα, στην εμπλοκή ενδιαφερόμενων τόσο του ιδιωτικού όσο και του δημόσιου τομέα, την υιοθέτηση της προσέγγισης «All-hazards», και την ενδυνάμωση των συνεργιών.

Οι προκλήσεις σχετικά με CICIP είναι τόσο οργανωσιακές, π.χ. με τη θεμελίωση σχέσεων εμπι-στοσύνης και με την εμπλοκή ενδιαφερομένων, σε επίπεδο ΕΕ, αλλά και προσανατολισμένες στη χάραξη πολιτικής ώστε να υπάρχει μεγαλύτερη κατανόηση και σαφήνεια των σχετικών θεμάτων.

Τα θέματα που εξετάζονται αφορούν: α) τη διαφορά μεταξύ Εθνικών και Ευρωπαϊκών Πληροφο-ριακών Υποδομών και τα σχετικά κριτήρια για το διαχωρισμό τους, β) τη μακροπρόθεσμη ανθε-κτικότητα και τη σταθερότητα του Διαδικτύου, γ) την ανάπτυξη μέτρων αποτροπής, ανίχνευσης και έγκαιρης προειδοποίησης και απόκρισης, δ) την ανάπτυξη στρατηγικών ανάκαμψης και συνέ-χισης λειτουργίας, ε) την ανταλλαγή τεχνογνωσίας και πρακτικών, την ανάπτυξη μεθόδων δια-σφάλισης της πληροφορίας μεταξύ διαφορετικών τομέων, στ) την ανάπτυξη κουλτούρας και ερ-γαλείων σχετικά με τη διαχείριση κινδύνων, και ζ) την εξέταση θεμάτων σχετικά με αλληλοεξαρ-τησεις, ειδικά μεταξύ ετερογενών υποδομών.

Τη χρηματοδότηση προγραμμάτων, στο πλαίσιο του EPCIP, για την εκπόνηση έρευνας και μελε-τών σε θέματα CICIP42.

Έρευνα και Τεχνολογική Ανάπτυξη

Μετά τα γεγονότα της 11.09.2001 στις ΗΠΑ, η ΕΕ αναγνώρισε την αυξημένη ανάγκη για έρευνα (R&D) στον τομέα της Ασφάλειας (Security Research). Στο πλαίσιο αυτά αναπτύχθηκε το «Prepara-tory Action on Security Research (PASR, 2004-2006)», με περιορισμένη χρηματοδότηση για την υλο-ποίηση μικρών έργων. Σύμφωνα με την «European Security Research Program (ESRP) agenda», υ-πήρξε κάλυψη όλων των πεδίων E&TA, αναφορικά με εθνική ασφάλεια και ασφάλεια σε διεθνές επί-πεδο: CBRNE (Chemical, Biological, Radiological, Nuclear or Explosives), Ασφάλεια συνόρων

41 http://ec.europa.eu/information_society/policy/nis/strategy/activities/CICIP/large_scale/index_en.htm. 42 http:// ec.europa.eu/justice_home/funding/2004_2007/epcip/funding_epcip_en.htm.



77

(Border protection), Ασφάλεια υποδομών (Infrastructure protection), Διαχείριση έκτακτων περιστατι-κών (Emergency management).

Τα σχετικά «calls for proposals» για τα έτη 2004-06 αφορούσαν 12-15 έργα με χρηματοδότηση περίπου 18 M€, ανά έργο. Λίγο αργότερα ακολούθησε το «European Security Research Programme (ESRP)». Στο πλαίσιο αυτά, συστάθηκε το European Security Research Advisory Board (ESRAB), την 01.07.2005. Αποτελεί, κατά κάποιο τρόπο, συμβουλευτικό όργανο της ΕΕ, σε οτιδήποτε αφορά την υλοποίηση του ESR, το οποίο γνωρίζει σε βάθος την πολιτική της ΕΕ στο συγκεκριμένο θέμα και υποστηρίζει δραστηριότητες έρευνας και τεχνολογικής ανάπτυξης που σχετίζονται με τις πρωτοβου-λίες της πολιτικής της ΕΕ σχετικά με R&D.

Οι κυριότερες προτεραιότητες που έχουν τεθεί αφορούν: α) Τη βελτιστοποίηση της ασφάλειας και της προστασίας των δικτυωμένων συστημάτων, β) Την προστασία των CIs από τρομοκρατικές ενέρ-γειες (συμπεριλαμβανομένων των περιστατικών που αφορούν βιολογικά και χημικά συστατικά), γ) Τη βελτίωση της διαχείρισης κρίσεων (συμπεριλαμβανομένων ενεργειών εκκένωσης, αναζήτησης και διάσωσης, ελέγχου και θεραπείας), δ) Την επίτευξη διαλειτουργικότητας και ολοκλήρωσης πλη-ροφοριακών και επικοινωνιακών συστημάτων και ε) Τη βελτίωση της ενημέρωσης, ειδικά σε θέματα διαχείρισης κρίσεων, αντιτρομοκρατικών ενεργειών και ελέγχου συνόρων.

Επιπρόσθετα, στο πλαίσιο των εργασιών του «2nd European Conference on Security Research» που έλαβε χώρα στο Βερολίνο, στις 26 Μαρτίου 2007 ανακοινώθηκε η δημιουργία του «European Secu-rity Research and Innovation Forum (ESRIF)», ενός «Public-Private Dialogue in Security Research». Ουσιαστικά, αποτελεί ένα τόπο δημόσιας συζήτησης (forum) για την ανάπτυξη του διαλόγου μεταξύ Δημόσιου και Ιδιωτικού Τομέα στην περιοχή της έρευνας και της καινοτομίας, σε θέματα ασφάλειας, στην ΕΕ. Το ESRIF συνεισφέρει στην ανάπτυξη πιο αποτελεσματικών πολιτικών και στην παράδοση καλύτερης ασφάλειας στους πολίτες της ΕΕ. Το ESRIF θα παρουσιάσει μια «Joint Security Research Agenda», στα τέλη του 2009.

Τέλος, πρόσφατα ανακοινώθηκε το «Research and Innovation for SEcurity, Privacy and Trustworthi-ness in the Information Society (RISEPTIS)», που αποτελεί «Advisory Board» της Ευρωπαϊκής Επι-τροπής, υπό την αιγίδα της Επιτρόπου V. Redding και θα παρέχει κατευθυντήριες γραμμές για την Ευρωπαϊκή πολιτική και τη χρηματοδοτούμενη έρευνα σε ότι αφορά τα θέματα ασφάλειας, ιδιωτικό-τητας και εμπιστοσύνης στο Διαδίκτυο.

Σχετικά με τις δραστηριότητες έρευνας και τεχνολογικής ανάπτυξης αξίζει να αναφερθούν τα πλαί-σια «Ιnformation Society Technologies FP6 and FP7», όπου υλοποιούνται σημαντικά έργα στον το-μεα CICIP. Στο πλαίσιο του FP643, αναφέρονται ενδεικτικά τα έργα:

CI2RCO44, Coordination Action on CICIP

IRRIIS45, CICIP components for electrical power και telecom sectors

CRUTIAL46, CICIP for electric power

GRID47, electrical power και ICT

DESEREC48, CICIP for telecom sector

Αξίζει να αναφερθεί ότι, στο πλαίσιο των έργων «CI2RCO» και «IRRIS» εκδίδεται το «European CIP Newsletter» (διαμέσου των δικτυακών τους τόπων).

Στο πλαίσιο του FP749 αξίζει να αναφερθεί η «Joint Call between "ICT” and “Security”» σχετικά με «Critical Infrastructure Protection», με καταληκτική ημερομηνία υποβολής προτάσεων το Νοέμβριο του 2007, με δύο κύριες προσεγγίσεις:

43 http://cordis.europa.eu/fp6/. 44 http://www.ci2rco.org/. 45 http://www.irriis.org/. 46 http://crutial.cesiricerca.it/. 47 http://grid.jrc.it/. 48 http://www.deserec.eu/.



78

Focus of the ICT Theme: «…Technology building blocks for creating secure, resilient, responsive and always available information infrastructures linking critical infrastructures (CI’s)…».

Focus of the Security Theme: «…Technology building blocks for secure, resilient and always a-vailable transport και energy infrastructures that survive malicious attacks or accidental failures and guarantee continuous provision of services…».

Το Σχήμα 8 απεικονίζει χρονικά τις διάφορες δραστηριότητες της ΕΕ για την ασφάλεια.

Σχήμα 8: European Unio - From PASR to the FP7 Theme «Security» (Πηγή: Information Day on

Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007)

Σημαντικές Υπηρεσίες της ΕΕ

Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Πληροφοριών και Δικτύων (European Network και In-formation Security Agency - ENISA50) δημιουργήθηκε, ως νομική οντότητα, στις 14 Μαρτίου 2004 με σκοπό τη διασφάλιση ενός υψηλού επιπέδου σχετικά με την ασφάλεια δικτύων και πληροφοριών στην ΕΕ. Το 2005 ο Οργανισμός δημιούργησε το «Who is Who Directory on Network and Informati-on Security» που περιέχει πληροφορίες και στοιχεία επικοινωνίας σχετικά με υπηρεσίες, οργανι-σμούς και φορείς που διαδραματίζουν ρόλο στο πεδίο της «Ασφάλειας Πληροφοριών και Δικτύων» στα Κ-Μ της ΕΕ. Επίσης, ο Οργανισμός έχει δημιουργήσει λεπτομερή κατάλογο των δραστηριοτη-των CERT στην Ευρώπη καθώς και ένα Permanent Stakeholder’s Group (PSG) που αποτελείται από εμπειρογνώμονες από τη βιομηχανία, την ακαδημαϊκή κοινότητα και τις κοινότητες χρηστών. Ανάμεσα στις άλλες του δραστηριότητες, ο Οργανισμός εκδίδει ειδικό ενημερωτικό δελτίο κάθε τε-τράμηνο ενώ προωθεί πολιτικές σχετικά με μια «Ασφαλή Κοινωνία της Πληροφορίας»51.

Στο Σχήμα 9 συνοψίζονται οι δραστηριότητες R&D και οι πολιτικές της ΕΕ σε θέματα CICIP:

49 http://cordis.europa.eu/fp7/ict/security/fp7_en.html. 50 http://enisa.europa.eu/. 51 EU Police on Secure Information Society, http://ec.europa.eu/information_society/policy/nis/index_en.htm.



79

Σχήμα 9: European Union CICIP – Policies and RTD (Πηγή: Information Day on Critical

Infrastructure Protection Joint Call, Brussels, 27 September 2007)

Νομοθετικό και Κανονιστικό Πλαίσιο στην ΕΕ

Μερικές σημαντικές οδηγίες της ΕΕ είναι οι ακόλουθες:

Οδηγία σχετικά με την προστασία των προσωπικών δεδομένων: Data Protection Directive 1995 (95/46/EC).

Οδηγία σχετικά με τις ηλεκτρονικές υπογραφές: Directive on Electronic Signature 1999 (1999/93/ CE).

Οδηγία σχετικά με την προστασία της ιδιωτικότητας στον τομέα των ηλεκτρονικών επικοινωνιών: Directive on Privacy Protection in the Electronic Communications Sector 2002 (2002/58/CE).

Framework Directive 2002 (2002/21/EC).

Απόφαση του Συμβουλίου της ΕΕΑ σχετικά με τις επιθέσεις σε ΠΣ: Council Framework Decisi-on on Attacks Against Information Systems 2005 (2005/222/JHA).

Οδηγία σχετικά με τη διατήρηση δεδομένων: Directive on Data Retention 2005.

3.3.6 Διεθνείς Φορείς Στην ενότητα αυτή περιγράφονται οι προσεγγίσεις CIP και τα οργανωτικά σχήματα που ακουλουθούνται από Διεθνείς Φορείς.

3.3.6.1 Forum of Incident Response and Security Teams (FIRST) Ο συγκεκριμένος Οργανισμός52 ιδρύθηκε το 1990, ως αναγνωρισμένος παγκόσμιος ηγέτης σε θέματα διαχείρισης περιστατικών. Αποτελεί ένα τόπο δημόσιας συζήτησης (forum) που ενώνει έναν αριθμό από ομάδες διαχείρισης περιστατικών θεμάτων ασφαλείας που προέρχονται από κυβερνητικούς, ε-μπορικούς και ακαδημαϊκούς/εκπαιδευτικούς οργανισμούς. Αυτή τη στιγμή αριθμεί περισσότερα από 180 μέλη από όλες τις ηπείρους.

52 http://www.first.org/.



80

Παρέχει πρόσβαση σε επίκαιρα έγγραφα σχετικά με βέλτιστες πρακτικές, τεχνικά έγγραφα για ειδι-κούς σε θέματα ασφάλειας, πρακτικά σεμινάρια, εκδόσεις και υπηρεσίες web. Επιπρόσθετα, διοργα-νώνει το ετήσιο συνέδριο αντιμετώπισης περιστατικών ενώ διαθέτει και ειδικές ομάδες ενδιαφέρο-ντος (special interest groups) για διάφορα εξειδικευμένα θέματα.

Αναφορικά με την οργανωτική δομή του και το πλαίσιο λειτουργίας του, ο Οργανισμός αποτελείται από: α) την Επιτροπή καθοδήγησης (Steering Committee), β) το Συμβούλιο Διευθυντών (Board of Directors), γ) τη Γραμματεία (Secretariat), δ) τις Ομάδες-Μέλη (Member Teams), ε) τους Συνδέ-σμους (Laisons) και στ) τις Ομάδες εργασίας και Επιτροπές (Working Groups και Committees).

3.3.7 Άλλοι Διεθνείς Οργανισμοί Άλλοι Διεθνείς Οργανισμοί που αναφέρονται στο [Abe-06] είναι οι:

Group of Eight (G8)

North Atlantic Treaty Organisation (NATO)

Organisation for Economic Co-operation and Development (OECD)

United Nations (UN)

The World Bank Group

Οι Οργανισμοί αυτοί δεν περιγράφονται στο παρόν, γιατί παραμένουν περισσότερο σε επίπεδο κατευ-θυντήριων γραμμών (guidelines) και αρχών (principles).

3.4 Αποτίμηση και Σύγκριση - Συμπεράσματα

3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP Στους παρακάτω πίνακες (Πίνακας 1, Πίνακας 2) συνοψίζονται τα κριτήρια αξιολόγησης προσεγγί-σεων CICIP που έχουν περιγραφεί σε προηγούμενη ενότητα, με λεπτομέρειες για τις προσεγγίσεις που ακολουθούνται από κάθε χώρα που περιγράφεται στο παρόν:

Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP



81

Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP

3.5 Προτεινόμενο Πλαίσιο CICIP

3.5.1 Προτεινόμενο Μοντέλο συνεργασίας Σύμφωνα με το [Sut-07], μια λειτουργική, αποτελεσματική και αποδοτική οργανωσιακή μονάδα CIC-IP (CICIP organisational unit), ιδανικά, περιλαμβάνει τους εξής εταίρους:

Μια Κυβερνητική Υπηρεσία (governmental agency): Παρέχει στρατηγικές κατευθύνσεις, ηγείται της οργανωσιακής μονάδας (Head of the CICIP Unit) και εποπτεύει.

Ένα Κέντρο Ανάλυσης (analysis center): Που διαθέτει ισχυρές διασυνδέσεις με την κοινότητα που σχετίζεται με την ανάλυση πληροφοριών (intelligence community) και αποκαλείται και Si-tuation Center.

Ένα Κέντρο Αριστείας (technical center of expertise): Συνήθως αποτελείται από μέλη του προ-σωπικού ενός εθνικού CERT (CERT Team).

Η τριάδα που απαρτίζει το προτεινόμενο οργανωτικό σχήμα CICIP απεικονίζεται στο Σχήμα 10:



82

Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07]

Ενδεικτικά, το προτεινόμενο οργανόγραμμα του οργανωτικού αυτού σχήματος θα μπορούσε να είναι το περιγραφόμενο στο Σχήμα 11.

Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07]

Οι εταίροι ενός τέτοιου οργανωτικού σχήματος απαιτείται να διαθέτουν συγκεκριμένα προσόντα, τα οποία αναφέρονται ενδεικτικά στον Πίνακας 3.

Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07]



83

Προκειμένου να μπορέσει να επιτύχει στις εργασίες της, κάθε μια από τις υπο-ομάδες του οργανωτι-κού σχήματος CICIP (Head of the Unit, Situation Center, CERT Team), πρέπει να ενσωματωθεί σε έ-να ευρύ δίκτυο εθνικών και διεθνών εταίρων με τους οποίους θα αναπτύξει σχέσεις και θα κάνει τις απαραίτητες επαφές. Το δίκτυο αυτό παρουσιάζεται στο Σχήμα 12.

Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07]

Εξίσου σημαντικό με την οργανωτική δομή μιας μονάδας CICIP είναι και το κοινό στο οποίο απευ-θύνεται. Έτσι, το προτεινόμενο σχήμα θα πρέπει να εξυπηρετεί δύο κύριες κατηγορίες «πελατών», με διαφορετικές ανάγκες και εταίρους:

Closed Customer Base (CCB): Περιλαμβάνει τους διαχειριστές των κρίσιμων εθνικών υποδομών.

Open Customer Base (OCB): Περιλαμβάνει όλες τις άλλες εταιρείες (κυρίως SMEs) καθώς και οικιακούς χρήστες (home computer users).

Το Σχήμα 13 παρουσιάζει διαγραμματικά τη σχεδίαση της CCB.

Σχήμα 13: Δομή CCB [Sut-07]



84

Τα μέλη της CCB μπορούν να ανταλλάσουν μεταξύ τους πληροφορία, σε διάφορα επίπεδα διαβάθμι-σης. Τα επίπεδα αυτά παρουσιάζονται σχηματικά στο Σχήμα 14.

Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07]

Το Σχήμα 15 παρουσιάζει τις ομοιότητες και τις διαφορές των δύο βάσεων.

Σχήμα 15: Σύγκριση CCB και OCB [Sut-07]



85

44 Οργανωτικά Σχήματα και Εποπτικοί Φορείς Ασφάλειας Πληροφοριακών

Συστημάτων στην Ελλάδα



86

4. Οργανωτικά Σχήματα και Εποπτικοί Φορείς Ασφάλειας Πληροφοριακών Συστημάτων στην Ελλάδα

4.1 Εισαγωγή Στην ενότητα αυτή παρατίθεται αναλυτική επισκόπηση οργανωτικών σχημάτων και Φορέων Ασφά-λειας Πληροφοριακών Συστημάτων στον ελλαδικό χώρο.

4.2 Ελληνικοί Εποπτικοί/Κανονιστικοί/Διωκτικοί Φορείς Ασφάλειας

4.2.1 ΓΕΕΘΑ– Εθνική Αρχή Ασφάλειας Το ΓΕΕΘΑ αποτελεί το βασικό φορέα που φροντίζει για την ασφάλεια της χώρας και των συνόρων. Στο πλαίσιο αυτά και βάσει του Ν. 1892/1990 ρυθμίζει και τις δικαιοπραξίες με αλλοδαπούς στις πα-ραμεθόριες περιοχές. Επίσης ασχολείται με την ασφάλεια των βιομηχανιών που λειτουργούν στη χώ-ρα, καθώς και με την γενικότερη εφαρμογή του νομικού και κανονιστικού πλαισίου ασφαλείας. Ο ρόλος του ΓΕΕΘΑ είναι επιτελικός σε εθνικό επίπεδο και, ως εκ τούτου, οι πολίτες δεν έρχονται άμε-σα σε επαφή με αυτό για θέματα ασφαλείας. Σχετικές καταγγελίες ιδιαίτερα για ζητήματα εθνικής ασφάλειας μπορούν να γίνονται μέσω των αρμόδιων διωκτικών αρχών της χώρας.

Στον τομέα της ασφάλειας πληροφοριών, μία βασική δράση της Εθνικής Αρχής Ασφάλειας είναι η έκδοση του Εθνικού Κανονισμού Ασφαλείας (ΕΚΑ) βάσει του Π.Δ. 17/74. Ο κανονισμός αυτός, εκ-δίδεται σε συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) και αφορά την ασφάλεια των ηλεκτρονικά επεξεργασμένων διαβαθμισμένων (εθνικά ευαίσθητων) πληροφοριών. Για την διαμόρ-φωσή του έχουν ληφθεί υπόψη οι αντίστοιχοι κανονισμοί του ΝΑΤΟ. Ο κανονισμός αυτός εφαρμόζε-ται σε όλους τους δημόσιους φορείς (υπουργεία, περιφέρειες, νομαρχίες κλπ), ενώ υπεύθυνη για την τηρηση του τεχνικού μέρους του είναι η ΕΥΠ.

4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ Η ΕΥΠ που ανήκει πλέον στο Υπουργείο Εσωτερικών καθίσταται σύμφωνα με το Νόμο ΕΚ A 39/ 03.03.2008 με αρ. 3649 (Παράρτημα Γ) ως Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και υπεύθυ-νη του κρατικού CERT κατά την παρ. 5 του Μέρους Ι της υπ΄ αριθμ. 264/19-3-2001 Απόφασης του Συμβουλίου της Ευρωπαϊκής ΄Ενωσης και την παρ. 3 του άρθρου 2 του Π.Δ. 325/2003, η οποία μερι-μνά για την ασφάλεια των εθνικών επικοινωνιών και των συστημάτων τεχνολογίας πληροφοριών, καθώς και για την πιστοποίηση του διαβαθμισμένου υλικού των εθνικών επικοινωνιών.

Αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων, κατά την παρ. 36 Τμήμα ΧΙ, Κεφάλαιο ΙΙΙ του Μέρους ΙΙ της υπ’ αριθμ. 264/19-3-2001 Απόφασης του Συμβουλίου της Ευρωπαϊ-κής Ένωσης και την παρ. 4 του άρθρου 2 του Π.Δ. 325/2003, η οποία μεριμνά για τη στατική και ε-νεργητική αντιμετώπιση σε περιπτώσεις πρόκλησης βλάβης ή καταστροφής δικτύων επικοινωνιών, ε-γκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής.

4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ Οι αρμοδιότητες της Διεύθυνσης Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης είναι η προπαρασκευή και ετοιμότητα των υπηρεσιών (Προεδρίας της Δημοκρατίας, Πολιτικού Γραφείου Πρωθυπουργού, Γραμματεία Υπουργικού Συμβουλίου, Εθνικού Τυπογραφείου και όλων των Υπηρεσιών, Νομικών Προσώπων Δημοσίου Δικαίου και Ανεξαρτήτων Αρχών που υπάγονται στη Γενική Γραμματεία Δη-μόσιας Διοίκησης), με σκοπό την ομαλή μετάπτωση αυτών από την ειρηνική στην πολεμική περίοδο, με την κατάρτιση των αναγκαίων σχεδίων και τη λήψη των καταλλήλων μέτρων και μέσων που είναι απαραίτητα για την πραγματοποίηση της αποστολής της αυτής. Στη Διεύθυνση Πολιτικού Σχεδια-σμού Εκτάκτου Ανάγκης, οι αρμοδιότητες σχετικά με την ασφάλεια είναι:

α) Η κατάρτιση, τήρηση και αναθεώρηση των δι’ αποφάσεως του Κυβερνητικού Συμβουλίου Εξω-τερικών και Άμυνας (ΚΥΣΕΑ) οριζομένων σχεδίων οργανώσεως, προπαρασκευής και κινητοποι-



87

ήσεως εν καιρώ πολέμου ή εκτάκτων εν ειρήνη αναγκών των υπηρεσιών της Γενικής Γραμματεί-ας Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης καθώς και των αυτοτελών επιτελικών δημόσιων υπηρεσιών, ευθύνης της ΔΙΠΑΜ-ΠΣΕΑ της εν λόγω υπηρεσίας.

β) Η κοινοποίηση των Σχεδίων ΠΣΕΑ στις Νομαρχίες και η παροχή οδηγιών για την κατάρτιση των αντίστοιχων τοπικών σχεδίων.

γ) Η μέριμνα για τη σύνταξη και υποβολή αρμοδίως εκθέσεως επί της προόδου της Πολιτικής Σχε-διασμού Εκτάκτου Ανάγκης καθώς και προτάσεων επί των ληπτέων μέτρων για την προώθηση αυτής

δ) Η συγκέντρωση, επεξεργασία, τήρηση και εκμετάλλευση πάσης φύσεως στατιστικών στοιχείων και πληροφοριών για την αποτελεσματικότερη υποστήριξη των υπηρεσιών της ΓΓΔΔ και ΗΔ κα-θώς και η διενέργεια των διατασσομένων απογραφών

ε) Ο έλεγχος της ετοιμότητας και ο συντονισμός των υπηρεσιών της ΓΓΔΔ και ΗΔ καθώς και των αυτοτελών επιτελικών δημόσιων υπηρεσιών, ευθύνης της ΔΙΠΑΜ-ΠΣΕΑ της εν λόγω υπηρεσί-ας, για την υλοποίηση των υφισταμένων σχεδίων Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης.

στ) η μέριμνα για την προπαρασκευή και εκτέλεση των προγραμματιζομένων εκάστοτε εθνικών και διασυμμαχικών ασκήσεων Πολιτικού Σχεδιασμού Εκτάκτου Ανάγκης

ζ) Η παροχή συνδρομής για την υλοποίηση των σχεδίων άλλων Υπουργείων ή Υπηρεσιών, εφόσον με τις εκάστοτε αποφάσεις του ΚΥΣΕΑ η ΓΓΔΔ και ΗΔ ορίζεται ότι συνεργάζεται με αυτές.

4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ Η ΥΑΠ του Υπουργείου Εσωτερικών και Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΑΑ) έχει ως σκοπό την εφαρμογή της Κυβερνητικής Πολιτικής για την εισαγωγή, εφαρμογή και ανάπτυξη της πληροφορικής και της τεχνολογίας των Ηλεκτρονικών Υπολογιστών στον Δημόσιο Τομέα. Επίσης ορίστηκε σύμφωνα με το άρθρο 20 του Ν. 3448/2006 (57/Α’/15-03-2006) ως «Αρχή Πιστοποίησης του Ελληνικού Δημοσίου» (ΑΠΕΔ), δηλαδή ως «Πρωτεύουσα Αρχή Πιστοποίησης» (ΠΑΠ).

Στο έγγραφο της ΥΑΠ με αριθμό πρωτοκόλλου ΥΑΠ/Φ.06.11/3633 (Παράτημα Β) υπογεγραμμένο από τον Υπουργό, στο άρ. 4 αναφέρεται αποκλειστικά για το θέμα της διαθεσιμότητας των πληροφο-ριακών συστημάτων σε όλη την Δημόσια Διοίκηση το οποίο τελικά προτρέπει για δημιουργία “Σχε-δίων Ανάκαμψης Καταστροφών». Συγκεκριμένα αναφέρει:

“Σε πολλούς φορείς του Δημοσίου Τομέα η μη διαθεσιμότητα των πληροφοριακών τους συστημάτων όποτε τα χρειάζονται, είτε λόγω φυσικών καταστροφών (π.χ. πυρκαγιάς, πλημμύρας, δολιοφθοράς, κλπ.) είτε λόγω διαφόρων βλαβών (π.χ. διακοπής παροχής ηλεκτρικού ρεύματος, βλαβών διαφόρων συνιστωσών του υλικού, κλπ), μπορεί να προκαλέσει σημαντικά λειτουργικά προβλήματα, με ιδιαί-τερα δυσάρεστες συνέπειες. Η κατάλληλη χωροθέτηση, η διαμόρφωση των χώρων και ο εξοπλισμός των Μηχανογραφικών Κέντρων με την αναγκαία υποδομή σε συνδυασμό με τις κατάλληλες πολιτι-κές για: α) τη συντήρηση του υλικού και του λογισμικού τους, β) τον εφεδρικό εξοπλισμό και γ) τα ε-φεδρικά αντίγράφα των ηλεκτρονικών στοιχείων μπορούν να συμβάλουν στην εξασφάλιση του επι-θυμητού υψηλού επιπέδου διαθεσιμότητας και στην αποφυγή όλων των σχετικών λειτουργικών προ-βλημάτων.”

4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών Στο Ν. 3431 περί Ηλεκτρονικών Υπηρεσιών, στο άρ. 4 παράγραφος ιστ, ορίζεται το Υπουργείο Με-ταφορών και Επικοινωνιών μαζί με τους παραπάνω φορείς υπεύθυνους για την χάραξη της πολιτικής επί της ασφάλειας των Δημόσιων Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών από κοινού με τους συναρμόδιους Υπουργούς.

Στη Στρατηγική του ΥΜΕ για τις Ηλεκτρονικές Επικοινωνίες και τις Νέες Τεχνολογίες 2008-13 ανα-φέρεται ως στρατηγική προτεραιότητα του ΥΜΕ η υλοποίηση πολιτικής για την ασφάλεια των Δημό-σιων Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών. Ακόμα δεν έχει ξεκινήσει η εν λόγω δια-δικασία.



88

4.2.6 Τράπεζα Ελλάδος Κάποιες από τις υπηρεσίες η-διακυβέρνησης μελλοντικά θα εμπλέκουν και το τραπεζικό σύστημα (η-πληρωμές, η-τιμολόγηση, η-τραπεζική). Η Διεύθυνση Εποπτείας Πιστωτικού Συστήματος (ΔΕ ΠΣ) της Τράπεζας της Ελλάδος είναι επιφορτισμένη με την άσκηση της προληπτικής εποπτείας των πιστωτικών και χρηματοδοτικών ιδρυμάτων η οποία στοχεύει στην διασφάλιση της σταθερότητας και της εύρυθμης λειτουργίας του εγχώριου χρηματοπιστωτικού συστήματος.

Το Θεσμικό Πλαίσιο για την άσκηση της εποπτείας έχει κατά κύριο λόγο διαμορφωθεί από την ενσω-μάτωση της σχετικής κοινοτικής νομοθεσίας, η οποία με τη σειρά της είναι συμβατή με τις αρχές της Βασιλείας. Πιο συγκεκριμένα, ο Νόμος 3601/2007 και οι Πράξεις Διοικητή 2587/2007, 2588/2007, 2589/2007, 2590/2007, 2591/2007, 2592/2007, 2593/2007, 2594/2007, 2595/2007, 2596/2007 συνι-στούν το νέο πλαίσιο εποπτείας (Βασιλεία ΙΙ) και οι Πράξεις Διοικητή 2577/2006, 2595/2007 και 2597/2007 καθώς και οι αποφάσεις ΕΤΠΘ 231/4/13.10.2006 και 242/6/04.05.2007 αφορούν στα Συ-στήματα Εσωτερικού Ελέγχου (ΣΕΕ)), στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού συστήματος για τη νομιμοποίηση των εσόδων από εγκληματικές δραστηριότητες και τη χρηματοδό-τηση της τρομοκρατίας και σε λοιπά θέματα. Στο πλαίσιο αυτό και σχετικά με τα πληροφοριακά συ-στηματα η Τράπεζα της Ελλάδος έχει εκδώσει την Πράξη Διοικητή 2577/2006, στο Παράρτημα 2 της οποίας περιλαμβάνονται οι "Αρχές ασφαλούς και αποτελεσματικής λειτουργίας των συστημάτων πληροφορικής στο πλαίσιο της διαχείρισης του λειτουργικού κινδύνου από τα πιστωτικά ιδρύματα".

4.2.7 Ελληνική Αστυνομία – Διεύθυνση Εγκληματολογικών Ερευνών Η Διεύθυνση Εγκληματολογικών Ερευνών της Ελληνικής Αστυνομίας αποτελεί την εγκληματολογι-κή υπηρεσία της χώρα, έχει ενταχθεί στο Δίκτυο Εγκληματολογικών Ινστιτούτων (ENFSI) και παρέ-χει υποστήριξη στο έργο όλων των εθνικών διωκτικών αρχών.

Μέρος της παραπάνω Διεύθυνσης είναι o Τομέας Εξέτασης Ψηφιακών Πειστηρίων, ο οποίος εξετά-ζει πειστήρια σχετικά με το ηλεκτρονικό έγκλημα που αποστέλλονται σε αυτό μέσω οποιασδήποτε διωκτικής αρχής της χώρας (κρατική υπηρεσία ή Αρχή). Η εξέταση και ανάλυση των ψηφιακών πει-στηρίων γίνεται με χρήση ειδικών εργαλείων και διαδικασιών (computer forensics). Το μεγαλύτερο μερος των πειστηρίων που εξετάζονται σήμερα αφορούν περιπτώσεις παιδικής πορνογραφίας.

Υπάρχει η Διεύθυνση χειρισμού κρίσεων (στον Κλάδο Ασφάλειας και Τάξης), που ασχολείται με την ανάλυση πληροφοριών και εκτίμηση απειλών. Το οργανόγραμμα της Ελληνικής Αστυνομίας περι-γράφεται στο Σχήμα 16.

Οι πολίτες δεν μπορούν να έρθουν άμεσα σε επαφή με την Διεύθυνση Εγκληματολογικών Ερευνών της Ελληνικής Αστυνομίας, καθώς η ίδια δεν αποτελεί διωκτική αρχή. Αντίθετα, μπορούν να κάνουν καταγγελίες για ηλεκτρονικό έγκλημα σε όλες τις αρμόδιες διωκτικές αρχές της χώρας και στην συν-έχεια τα πειστήρια προς εξέταση στέλνονται στην παραπάνω Διεύθυνση για περαιτέρω ανάλυση.

Σημειώνεται ότι ήδη έχει ιδρυθεί το Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος, που δραστηριοποιεί-ται, με εμφανείς επιτυχίς, στο πλαίσιο της Διεύθυνσης Ασφάλειας Αττικής, με σκοπό τη διενέργεια προανακριτικών πράξεων, που αφορούν σε ηλεκτρονικό έγκλημα. Η υπηρεσία αυτή έρχεται σε άμε-ση επαφή με τους πολίτες.



89

Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας

4.3 Ρυθμιστικοί φορείς Ασφάλειας

4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) Η ΑΠΠΔ είναι ένας ανεξάρτητος διοικητικός φορέας, υπεύθυνος για την εποπτεία του Νόμου 2472/1997 για την προστασία των προσωπικών δεδομένων και του Νόμου 2774/99 για την προστα-σία των προσωπικών δεδομένων στον τηλεπικοινωνιακό τομέα στην Ελλάδα.

Η ΑΠΠΔ απευθύνεται στους πολίτες και σε όλους τους υπεύθυνους επεξεργασίας που τηρούν αρχεία με προσωπικά δεδομένα. Ειδικότερα, οι πολίτες μπορούν να κάνουν ερωτήσεις ή καταγγελίες σχε-τικά με θέματα παραβίασης των προσωπικών τους δεδομένων στην ΑΠΠΔ, ενώ οι υπεύθυνοι επε-ξεργασίας οφείλουν να συμβουλεύονται την Αρχή και κατά περίπτωση να ζητούν την άδεια της για την νόμιμη τήρηση των αρχείων τους.

Η Αρχή συγκροτείται από τον Πρόεδρο και έξι μέλη, και εξυπηρετείται από Γραμματεία που λει-τουργεί σε επίπεδο Διεύθυνσης. Ο Πρόεδρος είναι απαραίτητα δικαστικός λειτουργός βαθμού Συμ-



90

βούλου της Επικρατείας ή αντίστοιχου και άνω. Τόσο ο Πρόεδρος όσο και τα μέλη, καθώς και οι ισά-ριθμοι αναπληρωτές τους, διορίζονται με τετραετή θητεία που μπορεί να ανανεωθεί μία μόνο φορά. Η Γραμματεία της Αρχής αποτελείται από τρία Τμήματα: Ελεγκτών, Επικοινωνίας, Διοικητικών και Οικονομικών Υποθέσεων.

Οι αρμοδιότητες της Αρχής περιλαμβάνουν:

Έκδοση οδηγιών προς τον σκοπό ενιαίας εφαρμογής των ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Χορήγηση αδειών τήρησης αρχείων με ευαίσθητα δεδομένα σε υπεύθυνους επεξεργασίας, καθώς επίσης και αδειών διασύνδεσης αρχείων και διασυνοριακής ροής δεδομένων.

Καταγγελία των παραβάσεων των διατάξεων των παραπάνω Νόμων στις αρμόδιες διοικητικές και δικαστικές αρχές και επιβολή διοικητικών κυρώσεων.

Διενέργεια διοικητικών ελέγχων σε αρχεία προσωπικών δεδομένων, οι οποίοι δύναται να είναι αυτεπάγγελτοι.

Γνωμοδότηση για ρυθμίσεις που αφορούν επεξεργασία και προστασία δεδομένων προσωπικού χαρακτήρα.

Έκδοση κανονιστικών πράξεων για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων.

Πιο συγκεκριμένα, η Αρχή επιβλέπει την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα:

α) Μέσω Οδηγιών – Κανονιστικών Πράξεων

Για το σκοπό αυτό η Αρχή:

Εκδίδει Οδηγίες για την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.

Εκδίδει Κανονιστικές Πράξεις και γνωμοδοτεί για τη ρύθμιση ειδικών, τεχνικών και λεπτομερει-ακών θεμάτων.

Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και δίδει κατά την κρίση της δημοσιότητα σε αυτές.

Συνεργάζεται με αντίστοιχες αρχές άλλων κρατών μελών της Ε.Ε.

β) Με την υποβολή γνωστοποιήσεων ή τη λήψη αδειών από τους υπεύθυνους επεξεργασίας

Κάθε υπεύθυνος επεξεργασίας είναι υποχρεωμένος σύμφωνα με το άρ. 6 του Ν. 2472/1997 να γνω-στοποιεί εγγράφως στην Αρχή, τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας. Στο πλαίσιο της γνωστοποίησης είναι υποχρεωμένος να ενημερώσει για τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφαλείας του αρχείου ή της επεξεργασίας. Στις περιπτώσεις που πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων η Αρχή πρέπει να χορηγήσει ά-δεια προτού ξεκινήσει η επεξεργασία των δεδομένων. Με την έκδοση της άδειας η Αρχή επιβάλει ό-ρους και προϋποθέσεις για την ίδρυση και λειτουργία του αρχείου. Ανάλογα με τη φύση της επεξερ-γασίας απαιτείται η κατάθεση (ή η σύνταξη) κωδίκων δεοντολογίας, σχεδίου ασφαλείας ή/και σχεδί-ου έκτακτης ανάγκης.

γ) Με τη διενέργεια ελέγχων

Η Αρχή έχει δικαίωμα διενέργειας διοικητικού ελέγχου σε κάθε αρχείο με προσωπικά δεδομένα. Στο πλαίσιο του ελέγχου εξετάζεται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη, μέσα που υποστηρίζουν την επεξεργασία των δεδομένων. Η Αρχή έχει δικαίωμα προσβάσεως στα δεδομένα προσωπικού χαρακτήρα, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο (αν και υπάρ-χουν ειδικές δικλείδες σε περιπτώσεις ζητημάτων εθνικής ασφάλειας). Οι έλεγχοι πραγματοποιούνται είτε αυτεπάγγελτα, είτε κατόπιν καταγγελίας είτε ανά τομέα επεξεργασίας. Κατά τη διενέργεια των ε-λέγχων χρησιμοποιούνται συγκεκριμένες μεθοδολογίες, στο πλαίσιο των οποίων εξετάζεται η συμ-μόρφωση των υπευθύνων επεξεργασίας με κάθε πτυχή της νομοθεσίας για τα προσωπικά δεδομενα.



91

Το θέμα της ασφαλούς επεξεργασίας των προσωπικών δεδομένων ρυθμίζεται από το άρθρο 10 του ν. 2472/1997. Σύμφωνα με αυτό το άρθρο η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι α-πόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του.

Ο νόμος δεν θέτει συγκεκριμένες απαιτήσεις ασφάλειας για τους υπευθύνους επεξεργασίας. Σύμφω-να με το νόμο, ο υπεύθυνος επεξεργασίας έχει την ευθύνη να εξασφαλίσει επίπεδο ασφάλειας ανάλο-γο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων. Αναλυτικότερα:

οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγ-γυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορ-ρήτου.

οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομε-νων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απα-γορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας.

Η Αρχή συμβουλεύει τους υπευθύνους επεξεργασίας στην κατάρτιση κωδίκων δεοντολογίας για την επεξεργασία προσωπικών δεδομένων και ζητά την υποβολή τους καθώς και την υποβολή σχεδίων ασφαλείας και/ή σχεδίων έκτακτης ανάγκης ιδιαίτερα στις περιπτώσεις όπου πραγματοποιείται επε-ξεργασία ευαίσθητων προσωπικών δεδομένων.

Ο Κώδικας Δεοντολογίας περιέχει κανόνες αυτοδέσμευσης επαγγελματικών ομάδων, που περι-λαμβάνουν τον τρόπο χειρισμού προσωπικών δεδομένων. Ο κώδικας αυτός πρέπει να είναι δε-σμευτικός ως προς την τήρηση του από τους υπαλλήλους του υπευθύνου επεξεργασίας ή τα μέλη της επαγγελματικής ομάδας.

Το Σχέδιο Ασφάλειας (Security Plan) είναι ένα έγγραφο στο οποίο περιγράφεται η πολιτική ενός οργανισμού για την κάλυψη των βασικών απαιτήσεων ασφάλειας, καθώς επίσης και τα κύρια τε-χνικά, διοικητικά και οργανωτικά μέτρα ασφάλειας που εφαρμόζονται ή/και πρόκειται να εφαρ-μοστούν. Το Σχέδιο Ασφάλειας αφορά τόσο αυτοματοποιημένα, όσο και μη αυτόματοποιημενα συστήματα διαχείρισης και επεξεργασίας δεδομένων και πρέπει να εφαρμόζεται με ακρίβεια για την προστασία των ευαίσθητων προσωπικών δεδομένων που τηρούνται από τον οργανισμό. Η σύνταξη του Σχεδίου θα πρέπει να γίνεται από υπεύθυνο πρόσωπο, ορισμένο από τον οργανισμό και να υπογράφεται από τη Διοίκηση του εν λόγω οργανισμού.

Το Σχέδιο Έκτακτης Ανάγκης (Disaster Recovery Plan and Contingency Plan) είναι ένα έγγραφο που αναφέρεται στα μέτρα προστασίας, ανάκαμψης και αποκατάστασης ενός συστήματος πληρο-φοριών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/ εισβολές, κλπ. Το Σχέδιο Έκτακτης Ανάγκης συμπληρώνει το Σχέδιο Ασφαλείας ενός οργανι-σμού και αφορά τόσο αυτοματοποιημένα, όσο και μη αυτοματοποιημένα συστήματα διαχείρισης και επεξεργασίας δεδομένων. Η σύνταξη του Σχεδίου θα πρέπει να γίνεται από υπεύθυνο πρόσω-πο, ορισμένο από τον οργανισμό και να υπογράφεται από τη Διοίκηση του εν λόγω οργανισμού.

Ο υπεύθυνος επεξεργασίας πρέπει επίσης να μεριμνά για την ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Η Αρχή έχει εκδώσει την Οδηγία 1/2005 με ενδεικτικά μέτρα για την ασφάλεια κατά την καταστροφή των προσωπικών δεδομένων.

4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) H ΑΔΑΕ είναι ανεξάρτητη Αρχή που λειτουργεί βάσει του Ν. 3115/2003 µε σκοπό την προστασία του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας µε οποιονδήποτε τρόπο.

Επίσης η Α∆ΑΕ γνωμοδοτεί σε συνεργασία με τα αρμόδια Υπουργεία σχετικά με τις διαδικασίες, κα-θώς και τις τεχνικές και οργανωτικές εγγυήσεις, για την άρση του απορρήτου των επικοινωνιών, όταν αυτή διατάσσεται από τις αρµόδιες δικαστικές και εισαγγελικές αρχές.



92

Η ΑΔΑΕ απευθύνεται σε όλους τους πολίτες και τους παρόχους υπηρεσιών και δικτύων επικοινωνίας στο πλαίσιο της προστασίας του απορρήτου των επικοινωνιών, καθώς επίσης και της άρσης του απορρήτου όπου αυτό απαιτείται.

Συνοπτικά, οι αρμοδιότητες της ΑΔΑΕ περιλαμβάνουν:

Προστασία του απορρήτου επιστολών, επικοινωνιών.

Διενέργεια αυτεπάγγελτων ελέγχων επιχειρήσεων που έχουν γενικό αντικείμενο την επικοινωνία.

Κατάσχεση ψηφιακών πειστηρίων, καταστροφή στοιχείων που έχουν καταγραφεί παράνομα..

Κανονιστικές πράξεις.

Πιστοποίηση μέτρων ασφαλείας βάσει κανονισμών.

Πιστοποίηση προϊόντων ασφαλείας.

Εποπτεία της λειτουργίας και οργάνωσης των υπηρεσιών ταχυδρομείων.

Έλεγχο Παρόχων κινητής τηλεφωνίας - Υποβολή πολιτικής ασφαλείας [ΦΕΚ 87 Β’/26-1-2005 και 88 Β’/26-1-2005].

Συγκέντρωση ετήσιων εκθέσεων για Περιστατικά Ασφάλειας από τους Παρόχους.

Έλεγχο Αρχών (πχ. ΕΥΠ).

Έλεγχο της διαδικασίας άρσης απορρήτου από τους Παρόχους και τις Αρχές.

[ΠΔ40].

Εποπτεία της διαδικασίας διατήρησης δεδομένων επικοινωνίας (εξωτερικά στοιχεία επικοινωνίας – data retention).

Έλεγχο τραπεζών για διασφάλιση απορρήτου στην επικοινωνία με τα ΑΤΜ.

Η ΑΔΑΕ απευθύνεται σε όλους τους πολίτες και τους παρόχους υπηρεσιών και δικτύων επικοινωνίας στο πλαίσιο της προστασίας του απορρήτου των επικοινωνιών, καθώς επίσης και της άρσης του απορρήτου όπου αυτό απαιτείται.

Πιο αναλυτικά, σύμφωνα με το άρθρο 6 του Ν. 3115/03, η ΑΔΑΕ έχει τις ακόλουθες αρμοδιότητες:

α) Διενεργεί, αυτεπαγγέλτως ή κατόπιν καταγγελίας, τακτικούς και έκτακτους ελέγχους, σε εγκατα-στασεις, τεχνικό εξοπλισμό, αρχεία, τράπεζες δεδομένων και έγγραφα της Εθνικής Υπηρεσίας Πληροφοριών (ΕΥΠ), άλλων δημοσίων υπηρεσιών, οργανισμών, επιχειρήσεων του ευρύτερου δημόσιου τομέα, καθώς και ιδιωτικών επιχειρήσεων που ασχολούνται με ταχυδρομικές, τηλεπι-κοινωνιακές ή άλλες υπηρεσίες σχετικές με την ανταπόκριση και την επικοινωνία. Τον έλεγχο δι-ενεργεί μέλος (ή μέλη) της ΑΔΑΕ Για τη γραμματειακή υποστήριξη της διαδικασίας ελέγχου συμμετέχει και υπάλληλός της, εντεταλμένος προς τούτο από τον Πρόεδρό της. Κατά τον έλεγχο αρχείων που τηρούνται για λόγους εθνικής ασφάλειας, παρίσταται αυτοπροσώπως ο Πρόεδρος της ΑΔΑΕ



93

β) Λαμβάνει πληροφορίες σχετικές με την αποστολή της από τις υπό το στοιχείο α’ αναφερθείσες υ-πηρεσίες, οργανισμούς και επιχειρήσεις, καθώς και από τους εποπτεύοντες Υπουργούς.

γ) Καλεί σε ακρόαση, από τις υπηρεσίες, οργανισμούς, νομικά πρόσωπα και επιχειρήσεις που ανα-φέρονται στο ως άνω στοιχείο α’, τις διοικήσεις, τους νόμιμους εκπροσώπους, τους υπαλλήλους και κάθε άλλο πρόσωπο, το οποίο κρίνει ότι μπορεί να συμβάλει στην εκπλήρωση της αποστολής της.

δ) Προβαίνει στην κατάσχεση μέσων παραβίασης του απορρήτου που υποπίπτουν στην αντίληψή της κατά την ενάσκηση του έργου της και ορίζεται μεσεγγυούχος αυτών, μέχρι να αποφανθούν τα αρμόδια δικαστήρια. Προβαίνει στην καταστροφή πληροφοριών ή στοιχείων ή δεδομένων, τα οποία απόκτήθηκαν με παράνομη παραβίαση του απορρήτου των επικοινωνιών.

ε) Εξετάζει καταγγελίες σχετικά με την προστασία των δικαιωμάτων των αιτούντων, όταν θίγονται από τον τρόπο και τη διαδικασία άρσης του απορρήτου.

στ) Στις περιπτώσεις των άρθρων 3, 4 και 5 του Ν. 2225/ 1994, η ΑΔΑΕ υπεισέρχεται μόνο στον έ-λεγχο της τήρησης των όρων και της διαδικασίας άρσης του απορρήτου, χωρίς να εξετάζει την κρίση των αρμόδιων δικαστικών αρχών.

ζ) Τηρεί αρχείο απόρρητης αλληλογραφίας, σύμφωνα με το στοιχείο β’ της παρ.2 του άρθρου 12 του παρόντος νόμου.

η) Συνεργάζεται με άλλες αρχές της χώρας, με αντίστοιχες αρχές άλλων κρατών, με ευρωπαϊκούς και διεθνείς οργανισμούς, για θέματα της αρμοδιότητάς της.

θ) Συντάσσει κάθε χρόνο την προβλεπόμενη στην παράγραφο 2 του άρθρου 1 του παρόντος νόμου Έκθεση Πεπραγμένων, στην οποία περιγράφει το έργο της, διατυπώνει παρατηρήσεις, επισημαί-νει παραλείψεις και προτείνει τυχόν ενδεικνυόμενες νομοθετικές μεταβολές στον τομέα διασφά-λισης του απορρήτου των επικοινωνιών.

ι) Γνωμοδοτεί και απευθύνει συστάσεις και υποδείξεις για τη λήψη μέτρων διασφάλισης του απορ-ρήτου των επικοινωνιών, καθώς και για τη διαδικασία άρσης αυτού.

ια) Εκδίδει τον Κανονισμό Εσωτερικής Λειτουργίας της, ο οποίος δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως και ο οποίος πρέπει να είναι σύμφωνος με τις διατάξεις του Κώδικα Διοικητικής Διαδικασίας.

ιβ) Εκδίδει κανονιστικές πράξεις που δημοσιεύονται στην Εφημερίδα της Κυβερνήσεως, με τις οποί-ες ρυθμίζεται κάθε διαδικασία και λεπτομέρεια σε σχέση με τις ανωτέρω αρμοδιότητές της και την εν γένει διασφάλιση του απορρήτου των επικοινωνιών.

ιγ) Καταρτίζει τον Κανονισμό Οικονομικής Διαχείρισης, ο οποίος υποβάλλεται και εγκρίνεται από τον Υπουργό Οικονομίας και Οικονομικών. Προς διαπίστωση των παραβάσεων της νομοθεσίας περί προστασίας του απορρήτου, τα μέλη και το προσωπικό της ΑΔΑΕ, πλην του βοηθητικού προσωπικού, διαθέτουν τις εξουσίες και τα δικαιώματα που προβλέπονται στο Ν. 703/1977, όπως αυτός ισχύει. Επίσης, έχουν δικαίωμα να ελέγχουν τα προβλεπόμενα από το Π.Δ. 186/1992 (ΚΒΣ) βιβλία και στοιχεία επιχειρήσεων και οργανισμών, αποκλειόμενης της κατάσχεσης ή της παραλαβής τους, καθώς και πάσης φύσεως αρχεία, βιβλία, στοιχεία και λοιπά έγγραφα των υπό έλεγχο προσώπων, να διενεργούν έρευνα σε γραφεία και λοιπές εγκαταστάσεις τους και, τέλος, να λαμβάνουν ένορκες και ανωμοτί, κατά την κρίση τους, καταθέσεις, με την επιφύλαξη του άρ. 212 του Κώδικα Ποινικής Δικονομίας. Οι σχετικές διατάξεις, απαγορεύσεις, ποινές και κυρώσεις του Ν. 703/1977, όπως αυτός ισχύει, εφαρμόζονται αναλόγως σε περίπτωση αρνήσεως παροχής στοιχείων, παρεμπόδισης ή δυσχέρειας του έργου της ΑΔΑΕ, με την επιφύλαξη της εφαρμογής των προβλεπόμενων από τον παρόντα νόμο κυρώσεων.

4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) Η ΕΕΤΤ είναι η ανεξάρτητη ρυθμιστική και εποπτική αρχή για την τηλεπικοινωνιακή αγορά και την αγορά των ταχυδρομικών υπηρεσιών σε εθνικό επίπεδο. Η ίδρυση της έγινε το 1992 με τον Ν.2075, αλλά ο σημερινός της ρόλος θεσπίζεται βάσει του νέου Ν.2867/2000.



94

Η ΕΕΤΤ απευθύνεται στους πολίτες και επιχειρήσεις με σκοπό την ενημέρωση τους και την εξέταση ερωτημάτων και καταγγελιών σχετικά με υπηρεσίες τηλεπικοινωνιών και ταχυδρομείων. Για το λόγο αυτό έχει δημιουργήσει ειδικό Τομέα Εξυπηρέτησης Καταναλωτών που λειτουργεί σε καθημερινή βάση.

Μερικές από τις αρμοδιότητες της ΕΕΤΤ είναι οι ακόλουθες:

Ρυθμίζει όλα τα θέματα που αφορούν στις Γενικές και Ειδικές Άδειες τηλεπικοινωνιακών δρα-στηριοτήτων.

Καθορίζει τις αρχές κοστολόγησης και τιμολόγησης για την πρόσβαση και χρήση του Τοπικού Βρόχου, των Μισθωμένων Γραμμών και της Διασύνδεσης, με την έκδοση σχετικών κανονισμών.

Συντάσσει το Εθνικό Σχέδιο Αριθμοδότησης, εκχωρεί αριθμούς και ονόματα δικτυακών τόπων (domain names) και προβαίνει στη διαπίστευση των φορέων που παρέχουν πιστοποίηση ηλεκ-τρονικής υπογραφής.

Ρυθμίζει τα σχετικά θέματα του Διαδικτύου

Επιπλέον μια βασική αρμοδιότητα της ΕΕΤΤ είναι η εποπτεία και ο έλεγχος παροχής υπηρεσιών ηλεκτρονικής υπογραφής. Ειδικότερα, σύμφωνα με το Π.Δ. 150/2001 «Προσαρμογή στην Οδη-γία 99/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του συμβουλίου σχετικά με το κοινοτικό πλαί-σιο για ηλεκτρονικές υπογραφές», η ΕΕΤΤ είναι η αρμόδια Αρχή για τον έλεγχο και την εποπτεία των εγκατεστημένων στην Ελλάδα παρόχων υπηρεσιών πιστοποίησης ηλεκτρονικής υπογραφής καθώς και για την διαπίστωση της συμμόρφωσης προς τις «ασφαλείς διατάξεις δημιουργίας υ-πογραφής».

Σύμφωνα με το νόμο περί ηλεκτρονικών επικοινωνιών (Ν.3431/2006), μεταξύ των γενικών αρχών που διέπουν το πλαίσιο ρύθμισης των ηλεκτρονικών επικοινωνιών περιλαμβάνεται και η διασφάλιση της «διατήρησης της ακεραιότητας και της ασφάλειας των δημόσιων δικτύων επικοινωνιών» (άρθρο 3, παρ. στστ’).

Ο έλεγχος της τήρησης των αρχών αυτών εμπίπτει κατεξοχήν στην αρμοδιότητα της Εθνικής Επι-τροπής Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) (άρθρο 6, παρ. 1 του Ν. 3431/2006) με την επι-φύλαξη του άρ. 4, όπου αναφέρεται ότι ο Υπουργός Μεταφορών και Επικοινωνιών είναι αρμόδιος για «Τη χάραξη της πολιτικής επί της ασφάλειας των δημόσιων δικτύων και υπηρεσιών ηλεκτρονι-κών επικοινωνιών από κοινού με τους κατά περίπτωση συναρμόδιους Υπουργούς, σύμφωνα με τις διατάξεις της εθνικής και κοινοτικής νομοθεσίας.»

Περαιτέρω, σύμφωνα με το Παράρτημα ΙΧ του νόμου περί Ηλεκτρονικών Επικοινωνιών (Ν. 3431/2006), η Γενική Άδεια παροχής δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών που εκδί-δει η ΕΕΤΤ, δύναται να συνοδεύεται μεταξύ άλλων από:

α) όρους που εξασφαλίζουν τη διατήρηση της ακεραιότητας των δημόσιων δικτύων επικοινωνιών» (άρθρο 13 Παραρτήματος ΙΧ),

β) κανόνες ασφάλειας δημόσιων δικτύων ηλεκτρονικών επικοινωνιών από μη επιτρεπόμενη πρό-σβαση» (άρθρο 14 Παραρτήματος),

γ) προδιαγραφές χρήσης ώστε σε περίπτωση μείζονος καταστροφής να εξασφαλίζεται η επικοινωνί-α των υπηρεσιών έκτακτης ανάγκης με τις δημόσιες αρχές» (άρθρο 10 του Παραρτήματος ΙΧ). Τους όρους και κανόνες αυτούς, σύμφωνα με τον ίδιο νόμο (Ν.3431/2006), τους προσδιορίζει η ΕΕΤΤ κατά την έκδοση του Κανονισμού Γενικών Αδειών παροχής δικτύων και υπηρεσιών ηλεκ-τρονικών επικοινωνιών.

Όσον αφορά στα Δημόσια Τηλεφωνικά Δίκτυα σε σταθερές θέσεις, σύμφωνα με το άρθρο 57, παρ. 4 του N. 3431/2006: Προκειμένου οι επιχειρήσεις που λειτουργούν δημόσια τηλεφωνικά δίκτυα σε σταθερές θέσεις να εξασφαλίζουν την ακεραιότητα του δικτύου και σε περίπτωση καταστροφικής βλάβης του δικτύου ή σε περίπτωση ανωτέρας βίας, τη διαθεσιμότητα του δημόσιου τηλεφωνικού δι-κτύου και των δημόσιων τηλεφωνικών υπηρεσιών σε σταθερές θέσεις, υποχρεούνται να λαμβάνουν όλα τα απαιτούμενα μέτρα. Οι επιχειρήσεις που παρέχουν δημόσιες τηλεφωνικές υπηρεσίες σε στα-



95

θερές θέσεις υποχρεούνται να λαμβάνουν όλα τα απαραίτητα μέτρα για να διασφαλίζουν αδιάκοπη πρόσβαση σε υπηρεσίες έκτακτης ανάγκης. Προς υλοποίηση των ανωτέρω, η ΕΕΤΤ έχει τη δυνατο-τητα να ζητά από τις επιχειρήσεις την παροχή σχετικών πληροφοριών και δύναται κατόπιν δημόσιας διαβούλευσης με τους φορείς να εισηγηθεί την υιοθέτηση κατάλληλων μέτρων τα οποία κρίνονται α-ναγκαία. Με κοινή απόφαση των Υπουργών Εσωτερικών, Δημόσιας Διοίκησης και Αποκέντρωσης και Μεταφορών και Επικοινωνιών, κατόπιν εισήγησης της ΕΕΤΤ, καθορίζονται οι ελάχιστες υποχρε-ώσεις, προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρήσεις. Αρμόδιος φορέας για τον έλεγ-χο των επιχειρήσεων σχετικά με την τήρηση των ανωτέρω ελάχιστων υποχρεώσεων είναι η ΕΕΤΤ)

Σύμφωνα με τα παραπάνω, οι υποχρεώσεις της ΕΕΤΤ αφορούν, αν αυτό κρίνεται απαραίτητο, τον καθορισμό των ελάχιστων υποχρεώσεων προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρή-σεις, ώστε να:

1. εξασφαλίζεται η ακεραιότητα των δημόσιων τηλεφωνικών δικτύων σε σταθερές θέσεις

2. εξασφαλίζεται η διαθεσιμότητα του δημόσιου τηλεφωνικού δικτύου και των δημόσιων τηλεφωνι-κών υπηρεσιών σε σταθερές θέσεις σε περίπτωση καταστροφικής βλάβης του δικτύου ή ανωτέ-ρας βίας

3. διασφαλίζεται η αδιάκοπη πρόσβαση σε υπηρεσίες έκτακτης ανάγκης μέσω των δημόσιων τηλε-φωνικών υπηρεσιών σε σταθερές θέσεις

4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας (GRNET-CERT)

Το GRNET-CERT λειτουργεί στο πλαίσιο του Εθνικού Δικτύου Έρευνας και Τεχνολογίας (ΕΔΕΤ) που διασυνδέει τα Ελληνικά Πανεπιστήμια, Τεχνικά Εκπαιδευτικά Ιδρύματα και τα περισσότερα Ελ-ληνικά Ερευνητικά Κέντρα. Οι στόχοι του GRNET-CERT είναι:

1. Να αποκρίνεται σε περιστατικά ασφαλείας στον ελληνικό δικτυακό χώρο (.gr) με τεχνική βοή-θεια και πληροφορίες για την επίλυση κάθε κατάστασης.

2. Να παρέχει στους χρήστες του ΕΔΕΤ πληροφόρηση πάνω σε θέματα ασφαλείας και έγκυρες απα-ντήσεις πάνω σε συγκεκριμένα προβλήματα.

3. Να κρατά μία γραμμή επικοινωνίας με άλλες Ευρωπαϊκές και Διεθνείς ομάδες που ασχολούνται με την αντιμετώπιση περιστατικών ασφαλείας.

4. Να βοηθήσει με την εκπαίδευση των χρηστών σε θέματα ασφαλείας υπολογιστών και διαφύλα-ξης του προσωπικού απορρήτου.

H ομάδα είναι μέλος του EuroCERT, του συνδέσμου των Ευρωπαϊκών Ομάδων Αντιμετώπισης Πε-ριστατικών Ασφαλείας

Το GRNET-CERT απευθύνεται στους χρήστες του ΕΔΕΤ και σε όσους ενδιαφέρονται για την αντι-μετώπιση περιστατικών ασφαλείας και τη χρήση σχετικών εργαλείων, τα οποία αναπτύσσονται ή/και υποστηρίζονται από GRNET-CERT με open source λογισμικό.

4.3.5 European Network Information Security Agency (ENISA) Ο ENISA είναι ένας νέος Ευρωπαϊκός οργανισμός που θα λειτουργεί κυρίως ως κέντρο εμπειρογνω-μοσύνης για θέματα ασφάλειας δικτύων και πληροφοριών στην Ευρωπαϊκή Ένωση, παρέχοντας συμ-βουλευτικές υπηρεσίες για θέματα όπως το ηλεκτρονικό έγκλημα και μεθοδολογίες αποτίμησης επι-κινδυνότητας και πολιτικής ασφαλείας. Επίσης, θα εκπονεί ειδικές μελέτες σε εξειδικευμένα θέματα ασφαλείας, τις οποίες θα αναθέτει σε εξωτερικούς φορείς με διαγωνισμούς.

Η σύσταση του ENISΑ έγινε στις 15-3-2004 στο Ηράκλειο της Κρήτης και η περίοδος λειτουργίας του θα είναι πέντε χρόνια σύμφωνα με το καταστατικό του. Η διοικητική του δομή απαρτίζεται από ένα Γενικό Διευθυντή και από Διοικητικό Συμβούλιο στο οποίο θα υπάρχει ένας εκπρόσωπος από κάθε χώρα μέλος της Ευρωπαϊκής Επιτροπής.



96

Ο Οργανισμός συνδράμει την Επιτροπή και τα κράτη μέλη και, ως εκ τούτου, συνεργάζεται με την επιχειρηματική κοινότητα, για να τα βοηθάει να ανταποκρίνονται στις απαιτήσεις της ασφάλειας δι-κτύων και πληροφοριών, εξασφαλίζοντας έτσι την ομαλή λειτουργία της εσωτερικής αγοράς, περι-λαμβανομένων των προβλεπόμενων από την ισχύουσα και μελλοντική κοινοτική νομοθεσία, όπως την Oδηγία 2000/21/ΕΚ.

Οι στόχοι και τα καθήκοντα του Οργανισμού δεν θίγουν τις αρμοδιότητες των κρατών μελών στον τομέα της ασφάλειας δικτύων και πληροφοριών, οι οποίες δεν εμπίπτουν στο πεδίο εφαρμογής της συνθήκης ΕΚ, όπως τις αρμοδιότητες που υπάγονται στους τίτλους V και VI της συνθήκης για την Ευρωπαϊκή Ένωση και, εν πάση περιπτώσει, δεν θίγουν δραστηριότητες που αφορούν τη δημόσια α-σφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης της οικονομικής ευη-μερίας του κράτους, οσάκις πρόκειται για θέματα κρατικής ασφάλειας), καθώς και τις κρατικές δρα-στηριότητες στον τομέα του ποινικού δικαίου. Γενικά, ο ENISA:

Είναι ένα Κέντρο Αριστείας για τα Κράτη-Μέλη της ΕΕ και για τα Ευρωπαϊκά Ινστιτούτα όσον αφορά την Ασφάλεια Δικτύων και Πληροφοριών, προσφέροντας εξειδικευμένες συμβουλές και συστάσεις σε θέματα ασφαλείας Δικτύων και Πληροφοριών.

Λειτουργεί ως ένα κέντρο ανταλαγής και διάχυσης πληροφοριών για βέλτιστες πρακτικές.

Προωθεί επικοινωνία και συνεργασίας μεταξύ των Ευρωπαϊκών Ινστιτούτων, τα Κράτη-Μέλη και τον ιδιωτικό τομέα (επιχειρήσεις και βιομηχανίες).

Έχει ως αφετηρία τις εθνικές και κοινοτικές προσπάθειες και, εκτελεί τα καθήκοντά του σε στενή συνεργασία με τα κράτη μέλη και να είναι ανοικτός στις επαφές με τον βιομηχανικό κλάδο και άλ-λους οικείους ενδιαφερόμενους. Δεδομένου ότι τα ηλεκτρονικά δίκτυα είναι, σε μεγάλο βαθμό, ιδιω-τικά, βασίζεται στη συμβολή του ιδιωτικού τομέα και στη συνεργασία με αυτόν.

Ο ENISA κατά την άσκηση των καθηκόντων του, δεν θα πρέπει να παρεμβαίνει στις αρμοδιότητες και να προλαμβάνει, να εμποδίζει ή να επικαλύπτει τις σχετικές αρμοδιότητες και τα καθήκοντα που έχουν ανατεθεί:

στις εθνικές ρυθμιστικές αρχές, όπως αυτές ορίζονται στις οδηγίες που αφορούν τα δίκτυα και τις υπηρεσίες ηλεκτρονικών επικοινωνιών, καθώς και στην ομάδα των ευρωπαϊκών ρυθμιστικών αρ-χών για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, που έχει συσταθεί με την απόφαση 2002/627/ΕΚ της Επιτροπής(13) και στην επιτροπή επικοινωνιών που αναφέρεται στην οδηγία 2002/21/ΕΚ,

στους ευρωπαϊκούς οργανισμούς τυποποίησης, τους εθνικούς οργανισμούς τυποποίησης και στη μόνιμη επιτροπή που συστάθηκε με την οδηγία 98/34/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 22ας Ιουνίου 1988, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προτύπων και προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών(14),

στις εποπτικές αρχές των κρατών μελών που αφορούν την προστασία των ατόμων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την ελεύθερη διακίνηση των δεδομένων αυτών.

Ο ENISA δημιουργήθηκε με στόχο να βελτιώσει την δυνατότητα της ΕΕ, των ΚΜ και του επιχειρη-ματικού κόσμου για την πρόληψη, αντιμετώπιση και απόκριση προβλημάτων ασφάλειας δικτύων και πληροφοριών (βλ. Πίνακας 4).



97

Πίνακας 4: Στόχοι ENISA

Υπό αυτή την έννοια, οι δραστηριότητας του Οργανισμού σχετίζονται με την παροχή συμβουλών και συστάσεων, με την ανάλυση δεδομένων, καθώς και υποστήριξη για την ενίσχυση της ενημέρωσης και συνεργασίας των σωμάτων της ΕΕ και των ΚΜ. Βάσει εθνικών και κοινοτικών προσπαθειών, ο Οργανισμός αποτελεί ένα Κέντρο Αριστείας στην περιοχή της Ασφάλειας των Δικτύων και των Πλη-ροφοριών.

Μεταξύ άλλων, ο Οργανισμός προσφέρει βοήθεια στην Κομμισιόν και στα ΚΜ κατά το διάλογό τους με την αγορά σχετικά με θέματα ασφαλείας στα προϊόντα υλικού και λογισμικού. Ο Οργανισμός, επί-σης, ακολουθεί την ανάπτυξη προτύπων, προωθεί ενέργειες για διαχείριση ρίσκου από τα ΚΜ, καθώς και για διαδικασίες διαχείρισης ρίσκου, και παράγει μελέτες για τα θέματα αυτά σε δημόσιους και ιδιωτικούς οργανισμούς.

Σχήμα 17: Αρμοδιότητες ENISA

Οι βασικές αρμοδιότητες του Οργανισμού είναι οι ακόλουθες (βλ. Σχήμα 17):

Παροχή συμβουλών και υποστήριξης στην ΕΕ και στα ΚΜ για την ασφάλεια πληροφοριών και κατά το διάλογό τους με την αγορά σχετικά με θέματα ασφαλείας στα προϊόντα υλικού και λογισμικού.

Συλλογή και ανάλυση δεδομένων σχετικά με περιστατικά ασφαλείας στην Ευρώπη, καθώς και σχετικά με μελλοντικά ρίσκα.

Προώθηση μεθόδων αποτίμησης και διαχείρισης ρίσκου προκειμένου να βελτιώσει τη δυνατότη-τα αντιμετώπισης απειλών σε θέματα ασφάλειας πληροφοριών.



98

Ενίσχυση Επιπέδου Ενημέρωσης και συνεργασίας μεταξύ των διαφορετικών εμπλεκόμενων «παικτών» στον τομέα της ασφάλειας, ειδικότερα μέσω δημιουργίας Συμπράξεων Δημόσιου - Ι-διωτικού Τομέα (ΣΔΙΤ) στον τομέα αυτό.

Πιο αναλυτικά, οι δραστηριότητες του ENISA είναι οι ακόλουθες:

συλλογή κατάλληλων πληροφοριών για την ανάλυση των υφιστάμενων, μελλοντικών και άμε-σων κινδύνων, και ιδίως στο ευρωπαϊκό επίπεδο, των κινδύνων οι οποίοι θα μπορούσαν να έχουν επιπτώσεις στην ανθεκτικότητα και τη διαθεσιμότητα των δικτύων ηλεκτρονικών επικοινωνιών, καθώς και στην αυθεντικότητα, ακεραιότητα και εμπιστευτικότητα των πληροφοριών, οι οποίες είναι προσβάσιμες ή μεταφέρονται μέσω των εν λόγω δικτύων, και διαβίβαση των αποτελεσμά-των της ανάλυσης στα κράτη μέλη και την Επιτροπή.

παροχή συμβουλών και, όταν του ζητείται συνδρομής στο Ευρωπαϊκό Κοινοβούλιο, σε ευρωπαϊ-κούς φορείς ή σε αρμόδιους εθνικούς φορείς που ορίζουν τα κράτη μέλη, στο πλαίσιο των στο-χων του.

ενίσχυση της συνεργασίας μεταξύ των διαφόρων παραγόντων που δραστηριοποιούνται στον το-μέα της ασφάλειας δικτύων και πληροφοριών, μεταξύ άλλων με τη διοργάνωση τακτικών δια-βουλεύσεων με τη βιομηχανία, τα πανεπιστήμια και άλλους ενδιαφερόμενους κλάδους, καθώς και με τη δημιουργία δικτύων επαφών για κοινοτικούς φορείς, φορείς του δημόσιου τομέα που ο-ρίζουν τα κράτη μέλη, φορείς του ιδιωτικού τομέα και οργανώσεις καταναλωτών.

διευκόλυνση της συνεργασίας μεταξύ της Επιτροπής και των κρατών μελών κατά την ανάπτυξη κοινών μεθοδολογιών πρόληψης, αντιμετώπισης και ανταπόκρισης σε ζητήματα ασφάλειας δι-κτύων και πληροφοριών.

συμβολή στην ευαισθητοποίηση και στη διαθεσιμότητα έγκαιρης, αντικειμενικής και συγκεντρω-τικής πληροφόρησης όσον αφορά τα θέματα ασφάλειας δικτύων και πληροφοριών για όλους τους χρήστες, ιδίως μέσω της προώθησης των ανταλλαγών υπάρχουσας βέλτιστης πρακτικής, μεταξύ άλλων όσον αφορά τις μεθόδους προειδοποίησης των χρηστών, καθώς και επιδίωξη της συνέρ-γειας μεταξύ πρωτοβουλιών του δημόσιου και του ιδιωτικού τομέα.

παροχή συνδρομής στην Επιτροπή και στα κράτη μέλη κατά τη διεξαγωγή του διαλόγου τους με τον κλάδο για την αντιμετώπιση προβλημάτων ασφάλειας όσον αφορά τα προϊόντα υλικού και λογισμικού.

παρακολούθηση της εξέλιξης των προτύπων για προϊόντα και υπηρεσίες που αφορούν την ασφά-λεια των δικτύων και των πληροφοριών.

παροχή συμβουλών στην Επιτροπή σχετικά με την έρευνα στον τομέα της ασφάλειας των δικτύ-ων και των πληροφοριών, καθώς επίσης και της αποτελεσματικής χρήσης των τεχνολογιών πρό-ληψης κινδύνων.

προώθηση των δραστηριοτήτων εκτίμησης κινδύνων, διαλειτουργικών λύσεων διαχείρισης κιν-δύνων και μελετών σχετικά με λύσεις διαχείρισης της πρόληψης εντός των οργανισμών του δη-μόσιου και του ιδιωτικού τομέα.

συμβολή στις κοινοτικές προσπάθειες συνεργασίας με τρίτες χώρες και, κατά περίπτωση, με διε-θνείς οργανισμούς, με στόχο την προώθηση κοινής σφαιρικής προσέγγισης σε θέματα ασφάλειας δικτύων και πληροφοριών, συμβάλλοντας έτσι στη διάπλαση μιας αντίληψης για την ασφάλεια δικτύων και πληροφοριών.

ανεξάρτητη έκφραση των συμπερασμάτων, προσανατολισμών και συμβουλών του σχετικά με θέ-ματα που άπτονται της εμβέλειας και των στόχων του.

4.4 Ελληνικοί Φορείς/Ιστόχωροι ενημέρωσης Οι παρακάτω φορείς/ιστόχωροι ενημερώνουν τους πολίτες στα θέματα ασφάλειας.



99

4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ) Ο ΕΦΤΑ δημιουργήθηκε από ιδιωτική πρωτοβουλία στα πρότυπα αντίστοιχων εθνικών οργανι-σμών άλλων χωρών, με σκοπό:

1. Την ενημέρωση του πολίτη με στόχο την προστασία του από την τηλεπικοινωνιακή απάτη και το ηλεκτρονικό έγκλημα.

2. Την προστασία των μελών του από το γενικότερο ηλεκτρονικό έγκλημα.

3. Την ανταλλαγή πληροφοριών για τις μεθόδους με τις οποίες διενεργούνται τηλεπικοινωνιακές απάτες και την από κοινού λήψη μέτρων.

4. Την ανταλλαγή πληροφοριών σχετικά με επιτήδειους, οι οποίοι χρησιμοποιώντας διάφορες μεθό-δους χρεώνουν το καταναλωτικό κοινό και τις συνεργαζόμενες εταιρίες με τεράστια χρηματικά ποσά, αφού ληφθούν υπόψη οι περιορισμοί που θέτουν οι Νόμοι 2472/97 και 2774/99 για την προστασία δεδομένων προσωπικού χαρακτήρα.

Μέλη του ΕΦΤΑ είναι οι υπηρεσίες πρόληψης και αντιμετώπισης της Τηλεπικοινωνιακής Απάτης και του Ηλεκτρονικού Εγκλήματος, εταιριών όπως COSMOTE, OTE, VODAFONE και WIND.

Ο ΕΦΤΑ συνεργάζεται και με άλλους σχετικούς εθνικούς, Ευρωπαϊκούς και διεθνείς φορείς που α-σχολούνται με την καταπολέμηση της τηλεπικοινωνιακής απάτης και του ηλεκτρονικού εγκλήματος, όπως οι εξής: Διεθνής Ένωση Τηλεπικοινωνιών (ITU), FIINA (Forum for International Irregular Net-work Access), GSM Fraud Forum, ομάδα Fraud Control του ETNO (European Telecom Network O-perators Αssociation), European Institute for Research και Strategic Studies in Telecommunications, ΤUFF - Telecom UK Fraud Forum (Αγγλία), DFF - Deutsches Fraud Forum (Γερμανία), κλπ.

Οι πολίτες και οι επιχειρήσεις μπορούν να έρθουν σε επαφή με τον ΕΦΤΑ για να ενημερωθούν ή να ζητήσουν υποστήριξη σε θέματα τηλεπικοινωνιακής απάτης. Παρά ταύτα, ο ΕΦΤΑ δεν έχει ελεγκτι-κό χαρακτήρα και ως εκ τούτου δεν μπορεί να επιβάλλει μέτρα ή κυρώσεις, παρά μόνο να προλαμβά-νει και να καταγγέλλει τις απάτες. Για το λόγο αυτό είναι απαραίτητη η συνεργασία με άλλους επο-πτικούς φορείς και ιδιαίτερα με την ΑΔΑΕ και την ΕΕΤΤ που ρυθμίζουν σχετικά θέματα στον τηλε-πικοινωνιακό τομέα της χώρας.

4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας Ο Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας είναι μη κερδοσκοπικό σω-ματείο και ιδρύθηκε το Μάρτιο του 1995. Εκπροσωπεί 400 επιχειρήσεις που αντιπροσωπεύουν περί-που το 95% του συνολικού κύκλου εργασιών της εγχώριας αγοράς Τεχνολογιών Πληροφορικής.

Σκοποί του ΣΕΠΕ είναι η διαφύλαξη και η προώθηση των κοινών συμφερόντων των επιχειρήσεων - μελών του και γενικότερα του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών.

Ειδικότεροι σκοποί του Συνδέσμου είναι:

Να προβαίνει σε οποιαδήποτε ενέργεια που συμβάλει στη σύσφιξη των σχέσεων των οργανισμών του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών με την Πολιτεία και άλλους φορείς της δημόσιας ζωής με σκοπό τη διάδοση, ανάπτυξη και την προώθηση των Τεχνολογιών Πληρο-φορικής και Επικοινωνιώνστην Ελλάδα.

Να συμβάλλει στην ποιοτική αναβάθμιση των προϊόντων και υπηρεσιών Τεχνολογιών Πληροφο-ρικής και Επικοινωνιών.

Να συνεργάζεται με τους αρμόδιους φορείς για τη διαμόρφωση Εθνικής Στρατηγικής για την Ψη-φιακή Τεχνολογία.

Να σχεδιάζει και να υποστηρίζει προγράμματα ειδικά για τις ανάγκες των Μικρομεσαίων Επιχει-ρήσεων για την αύξηση της ανταγωνιστικότητας τους στην Ελληνική αγορά.

Να συμβάλλει στην έρευνα για την ανάπτυξη σε όλους τους τομείς των Τεχνολογιών Πληροφορι-κής και Επικοινωνιών.



100

Να αποτελεί συντονιστικό όργανο και χώρο ανταλλαγής απόψεων ανάμεσα στα μέλη του και ταυτόχρονα αντιπροσωπευτικό συλλογικό όργανο των Ελληνικών Επιχειρήσεων Τεχνολογιών Πληροφορικής και Επικοινωνιών για την καλύτερη προβολή των θέσεων τους προς τους κρατι-κούς φορείς, τους θεσμικούς παράγοντες, την Ευρωπαϊκή Ένωση, τα ΜΜΕ, το ευρύ κοινό, κ.ά.

Να προωθήσει, να ενθαρρύνει, να ενισχύει και να προστατεύει τη σύσταση και τη λειτουργία των Επιχειρήσεων του κλάδου Τεχνολογιών Πληροφορικής και Επικοινωνιών.

Να ενθαρρύνει τη συνεργασία μεταξύ των Πανεπιστημιακών και Τεχνολογικών Ιδρυμάτων και φορέων του κλάδου.

4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus Ο Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus και η εκστρατεία επαγρύπνησης και ενημέρωσης για ασφαλέστερο Διαδίκτυο Safer Internet υλοποιούνται υπό την αιγίδα της Ευρωπαϊκής Επιτροπής και του προγράμματος πλαισίου Safer Internet Plus. Στόχος της εκστρατείας Safer Internet είναι να επαγρυπνήσει όλους τους Έλληνες και να τους ενημερώσει για τους τρόπους με τους οποίους μπορούν να προστατευθούν αλλά και να προστατεύσουν αποτελεσματικά τα παιδιά τους από τους κινδύνους που εγκυμονούν στις νέες διαδραστικές τεχνολογίες, όπως είναι το διαδίκτυο ή το κινητό τηλέφωνο. Αυτό επιτυγχάνεται με την υλοποίηση πλειάδας πολυμορφικών εκδηλώσεων και δράσεων που δρομολογούνται σε διετή βάση. Οι δράσεις εναρμονίζονται με τα αποτελέσματα των ερευνών του Ευρωβαρόμετρου όπως και Εθνικών ερευνών που αφορούν το διαδίκτυο και την κινητή τηλεφω-νία, τη γνώση ή άγνοια των κινδύνων και τη σωστή χρήση του, έτσι ώστε οι ενέργειες που υλοποιού-νται να έχουν το μέγιστο αποτέλεσμα. Υπάρχει συνεργασία με 25 Εθνικούς Κόμβους, όπου ανταλ-λάσσουν απόψεις, εμπειρίες, βέλτιστες πρακτικές και πληροφοριακό υλικό. Η συνεργασία των Εθνι-κών κόμβων οργανώνεται μέσω του Insafe (Internet Safety Awareness for Europe).

4.4.4 SafeLine Ο πρωταρχικός ρόλος της SafeLine είναι να παρέχει ένα σημείο επικοινωνίας για τους χρήστες που επιθυμούν την ποινική δίωξη και την αφαίρεση από το Ίντερνετ παράνομου ή επιβλαβούς περιεχομε-νου. Η SafeLine δέχεται καταγγελίες για περιεχόμενο που συναντάται στο Internet και το οποίο θεω-ρείται παράνομο ή επιβλαβές. Τα μέλη της SafeLine θα εξετάσουν την καταγγελία σας και θα κάνουν ενέργειες για την αναφορά της καταγγελίας στις αρχές για περαιτέρω επεξεργασία. Ό χρήστης που κατέθεσε μια καταγγελία θα μπορεί να πληροφορηθεί για το αποτέλεσμα της, μόλις αυτό είναι επι-τρεπτό. Αν κάποιος χρήστης το επιθυμεί μπορεί να κρατήσει την ανωνυμία του. Τα στοιχεία των χρηστών που καταθέτουν καταγγελίες είναι εμπιστευτικά.

Η SafeLine φιλοδοξεί να αποτελέσει σημείο αναφοράς για χρήστες που επιθυμούν να προστατέψουν τους εαυτούς τους καθώς και τις οικογένειες του από παράνομο ή επιβλαβές περιεχόμενο του Inter-net. Γι αυτό τον σκοπό, η ιστοσελίδα της SafeLine περιλαμβάνει συμβουλές για γονείς και παιδιά, καθώς και μια λίστα από συνήθεις ερωτήσεις με σκοπό να πληροφορήσει με απλό τρόπο τον χρήστη για διαδικαστικά, νομικά καθώς και τεχνολογικά θέματα που σχετίζονται με την ασφάλεια στο Inter-net. Τεχνολογικά θέματα περιλαμβάνουν την ύπαρξη φίλτρων λογισμικού που φράζουν σελίδες του Internet με επιβλαβές περιεχόμενο.

4.4.5 DART (Digital Awareness and Response to Threats) Στο πλαίσιο της Ψηφιακής Ελλάδας έχει δημιουργηθεί η «Ομάδα Δράσης για την Ψηφιακή Ασφάλει-α», η οποία ασχολείται ειδικά με την Ψηφιακή Ασφάλεια, και έχει ως στόχο την ενίσχυση της εμπι-στοσύνης του κοινού των χρηστών στα νέα μέσα. Η ομάδα έχει την ονομασία DART (Digital A-wareness and Response to Threats).

Άμεσος στόχος της ομάδας είναι η ενημέρωση των πολιτών, η πρόληψη αλλά και η αντιμετώπιση κινδύνων που σχετίζονται με τις νέες τεχνολογίες πληροφορικής και ηλεκτρονικών επικοινωνιών. Η προσπάθεια έχει στόχο να ενώσει τις δυνάμεις των αρμόδιων φορέων, να συντονίσει τα μηνύματα, τις προσλαμβάνουσες καθώς και να ενδυναμώσει την εμπιστοσύνη των πολιτών στο γρήγορο Internet. H εξοικείωση των πολιτών με τις νέες τεχνολογίες και η ενίσχυση της εμπιστοσύνης στις δυνατότητές



101

τους, θα απελευθερώσει τις υγιείς δυνάμεις και θα δώσει ώθηση στην Ψηφιακή Ελλάδα. Ο ιστοχώρος αυτός έχει δημιουργηθεί με σκοπό να παρέχει οδηγίες και συμβουλές σχετικές με την σωστή, ασφαλή και ηθική χρήση του Διαδικτύου και των άλλων διαδραστικών τεχνολογιών. Μέσα από τον ιστοχώρο παρουσιάζονται τα θέματα που αυτή τη στιγμή απασχολούν όλον τον κόσμο σχετικά με παράνομο και επιβλαβές περιεχόμενο στους εικονικούς κόσμους, καθώς και τρόποι πρόληψης και προστασίας. Ο χρήστης δηλαδή μπορεί να ενημερώνεται για τον τρόπο που μπορεί να αντιμετωπίσει τυχόν κινδύ-νους μέσα από το Διαδίκτυο.

4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α) Το KE.ME.A. ιδρύθηκε τον Σεπτέμβριο του 2005 με το Νόμο 3387/2005 (ΦΕΚ 224,Α΄) και αποτελεί τον Επιστημονικό, Ερευνητικό και Συμβουλευτικό Φορέα του Υπουργείου Εσωτερικών στον τομέα της Πολιτικής Ασφάλειας.

Αποτελεί νομικό πρόσωπο ιδιωτικού δικαίου και εποπτεύεται από τον Υπουργό Εσωτερικών.

Λειτουργεί ως συμβουλευτικός φορέας του Υπουργείου Εσωτερικών στον τομέα ασφάλειας. Η αποστολή του είναι να διεξάγει θεωρητικές και εφαρμοσμένες έρευνες, να εκπονεί μελέτες και να παρέχει στρατηγική ανάλυση, αξιολόγηση και εκτίμηση σε θέματα ασφάλειας.

Υποστηρίζει το Υπουργείο Εσωτερικών και τους Φορείς και Υπηρεσίες που αυτό εποπτεύει, παρέχοντας υποστήριξη στη χάραξη εθνικής πολιτικής ασφάλειας.

Παρέχει ανάλυση σε θέματα εσωτερικής ασφάλειας, πιθανών απειλών ασφαλείας, σχετικών διεθνών εξελίξεων καθώς και στο σχεδιασμό έκτακτης ανάγκης.

Συνιστά τον κύριο ερευνητικό φορέα και εθνικό συντονιστή υπό την επίβλεψη του Υπουργείου Εσωτερικών, αναφορικά με προτάσεις διεθνούς συνεργασίας σε θέματα ασφάλειας.

Διοικητικά όργανα του ΚΕ.ΜΕ.Α. είναι:

Το Διοικητικό Συμβούλιο, ο Διευθυντής και ο Αναπληρωτής Διευθυντής, υποστηριζόμενοι από το Επιστημονικό Συμβούλιο.

Το ΚΕ.ΜΕ.Α. διαρθρώνεται στους τομείς: • Μελετών-Ερευνών και Τεκμηρίωσης. • Αντεγκληματικής Πολιτικής. • Διεθνούς Συνεργασίας και Επικοινωνίας. • Τεχνολογίας και Συστημάτων.

Στελεχώνεται από προσωπικό προερχόμενο από Φορείς και Υπηρεσίες του Υπουργείου Εσωτερι-κών και του λοιπού Δημόσιου Τομέα, καθώς και εξειδικευμένους ερευνητές και ειδικούς επιστη-μονες.

4.4.6.1 Αποστολή Το KE.ME.A. ως επιστημονικό και ανεξάρτητο ερευνητικό και συμβουλευτικό Κέντρο, έχει αποστο-λή:

Τη διεξαγωγή ερευνητικών προγραμμάτων και μελετών για θέματα εσωτερικής ασφάλειας που αφορούν το Υπουργείο Εσωτερικών και τις Υπηρεσίες που υπάγονται σε αυτό, καθώς και άλλους Φορείς του εσωτερικού.

Την εκπόνηση και εκτέλεση ερευνητικών προγραμμάτων για λογαριασμό ή σε συνεργασία με αντίστοιχους Φορείς της Ε.Ε. και άλλων Διεθνών Οργανισμών.

Την ανάπτυξη συνεργασιών σε εθνικό και διεθνές επίπεδο με Οργανισμούς και Υπηρεσίες, Ερευ-νητικά και Εκπαιδευτικά Κέντρα και Ιδρύματα, κοινωνικούς, επιστημονικούς και παραγωγικούς Φορείς, δημόσιους και ιδιωτικούς, καθώς και με μη Κυβερνητικές Οργανώσεις.



102

Την εκπόνηση μελετών σχετικά με την εγκληματικότητα στην ελληνική Επικράτεια και τις ποιο-τικές και ποσοτικές μεταβολές της καθώς και τις μεθόδους και πρακτικές άσκησης αντεγκληματι-κής πολιτικής.

Την κατάθεση προτάσεων για την εναρμόνιση των μέτρων πρόληψης και καταστολής του εγκλή-ματος με τις Συνταγματικές Αρχές, τα ατομικά και πολιτικά δικαιώματα, τη νομιμότητα και το σεβασμό της αξίας του ανθρώπου.

Την παρακολούθηση και μελέτη των τεχνολογικών εξελίξεων, των συστημάτων ασφαλείας και αξιολόγηση των νέων τεχνολογικών επιτευγμάτων.

Την ανταλλαγή τεχνογνωσίας διεθνώς τόσο σε διμερές όσο και σε πολυμερές επίπεδο.

Την υποστήριξη διασυνοριακών συνεργασιών.

Την οργάνωση συνεδρίων και εκπαιδευτικών σεμιναρίων.

Τη δημοσίευση ερευνητικών και επιστημονικών πορισμάτων και έργων.

Tο ΚΕ.ΜΕ.Α συμμετέχει σε διάφορα φόρα, επιτροπές και ομάδες εργασίας της Ευρωπαϊκής Επιτρο-πής παρακολουθώντας τις εξελίξεις και τα δρώμενα σχετικά με τη Ευρωπαϊκή Πολιτική Ασφάλειας καθώς και την εξέλιξη της Έρευνας και Τεχνολογίας στο πλαίσιο των Ευρωπαϊκών Ερευνητικών Προγραμμάτων:

Στον «Ευρωπαϊκό Οργανισμό για την Ασφάλεια» - European Organization for Security- EOS.

Στο «Ευρωπαϊκό Φόρουμ για την Έρευνα και την Καινοτομία στον Τομέα της Ασφάλειας» – Eu-ropean Security Research and Innovation Forum - ESRIF.

Το ΚΕΜΕΑ έχει συμμετάσχει το έτος 2007 και χρηματοδοτηθεί για την υλοποίηση Ευρωπαϊκών Ε-ρευνητικών Προγραμμάτων στο πλαίσιο των χρηματοδοτούμενων ερευνητικών προγραμμάτων στο τομέα της Ασφάλειας του 7ο Πλαισίου της Ευρωπαϊκής Ένωσης (7th Framework Program).

4.4.7 Ινστιτούτο Ερευνών/Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιο-ανατολικής Ευρώπης (ΙΝΑ)

Το Ινστιτούτο Ερευνών/Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιοανατολικής Ευ-ρώπης (ΙΝΑ) δραστηριοποιείται στους χώρους της έρευνας για θέματα της Κοινωνίας της Πληροφο-ρίας, της μεταφοράς και διάχυσης της σχετικής τεχνογνωσίας, αλλά και της αξιοποίησης καινοτόμων εργαλείων στην αγορά των Τηλεπικοινωνιών και της Πληροφορικής. Το ΙΝΑ αποτελεί έναν επιστη-μονικό πυρήνα που μελετά, αναλύει και προσεγγίζει επιστημονικά τις εξελίξεις στην αγορά των τηλε-πικοινωνιών των χωρών της Νοτιοανατολικής Ευρώπης, αλλά και της ευρύτερης περιοχής, υποστηρί-ζοντας το έργο των εμπλεκόμενων κρατικών και ιδιωτικών φορέων στη δημιουργία υποδομών, αλλά και ανθρώπινων ηλεκτρονικών δικτύων αριστείας στις τηλεπικοινωνίες και στην πληροφορική.

Το ΙΝΑ συστάθηκε το Δεκέμβριο του 2000 με πρωτοβουλία του Συνδέσμου Βιομηχάνων Βορείου Ελλάδας (ΣΒΒΕ) και με τη συμμετοχή σημαντικών εταιρειών Tηλεπικοινωνιών και Πληροφορικής της Νοτιοανατολικής Ευρώπης. Η αιτιολογική βάση δημιουργίας του ΙΝΑ αφορά την ανάγκη προ-σέγγισης της αγοράς Τηλεπικοινωνιών και Πληροφορικής των χωρών της Νοτιοανατολικής Ευρώπης ως μια ενιαία αγορά, η οποία χαρακτηρίζεται από ανομοιογένεια, ανισότητες και διαφοροποίηση θε-σμικών πλαισίων. Η ίδρυσή του αποτελεί σημαντικό επίτευγμα για την Ελλάδα, ιδιαίτερα εάν ληφθεί υπόψη ότι είναι το μοναδικό Ινστιτούτο ιδιωτικής πρωτοβουλίας διεθνούς εμβέλειας στην Ελλάδα.

Το ΙΝΑ δραστηριοποιείται στα πλαίσια περιφερειακών πρωτοβουλιών όπως το Regioanl Cooperation Council (που διαδέχθηκε το Σύμφωνο Σταθερότητας για τη ΝΑ Ευρώπη και τη Διαδικασία Συνεργα-σίας Χωρών Νοτιοανατολικής Ευρώπης – SEECP) και την Πρωτοβουλία Συνεργασίας ΝΑ Ευρώπης (SECI), αλλά και διεθνών οργανισμών όπως η Διεθνής Ένωση Τηλεπικοινωνιών (ITU). Ο ρόλος του ΙΝΑ έχει κατεξοχήν χαρακτηριστικά εξυπηρέτησης της περιφερειακής ανάπτυξης και συνεργασίας, υπό την έννοια ότι υποστηρίζει έμπρακτα την εναρμόνιση των πολιτικών και των δράσεων στην ευ-ρύτερη περιοχή της Νοτιοανατολικής Ευρώπης, ώστε να συγκλίνουν με τα Ευρωπαϊκά δεδομένα στις Τηλεπικοινωνίες και στην Πληροφορική. Απώτερος στόχος της προσπάθειας αυτής είναι η ταχύτερη



103

οικονομική και κοινωνική ανάπτυξη των χωρών της περιοχής προς όφελος της σταθερότητας, της ευημερίας και της ειρήνης στα Βαλκάνια, μέσω της αξιοποίησης των ΤΠΕ, την ανάπτυξη της Κοινω-νίας της Πληροφορίας και του ξεπεράσματος του ψηφιακού χάσματος.

Προς αυτή την κατεύθυνση, το ΙΝΑ συνεργάζεται στενά με το Υπουργείο Εξωτερικών, το Υπουργείο Μεταφορών και Επικοινωνιών και την Εθνική Επιτροπή Τηλεπικοικωνιών και Ταχυδρομείων (ΕΕ-ΤΤ). Επιπρόσθετα, το ΙΝΑ έχει δημιουργήσει ένα ανθρώπινο δίκτυο από εκπροσώπους φορέων Ρυθ-μιστικών Αρχών, Υπουργείων και Τηλεπικοινωνιακών Οργανισμών στη Νοτιοανατολική Ευρώπη, το οποίο συναντάται περιοδικά για ανταλλαγή απόψεων και χάραξη κοινής στρατηγικής. Οι δραστηριό-τητες του ΙΝΑ περιλαμβάνουν την έρευνα και ανάλυση των τεχνολογιών που συνθέτουν την αγορά Τηλεπικοινωνιών και Πληροφορικής, την αποτύπωση της υφιστάμενης τηλεπικοινωνιακής υποδομής, τη διερεύνηση της ζήτησης υπηρεσιών ΤΠΕ και τον εντοπισμό επενδυτικών ευκαιριών στον κλάδο Τηλεπικοινωνιών/Πληροφορικής στην ευρύτερη γεωγραφική περιοχή που περιβάλλει την Ελλάδα. Το ΙΝΑ διαθέτει πλέον μεγάλη εμπειρία στη διοργάνωση συναντήσεων εργασίας, προγραμμάτων κα-τάρτισης, επιστημονικών ημερίδων, συνεδρίων σε θεματικές περιοχές του κλάδου Τηλεπικοινωνιών και Πληροφορικής.

Στρατηγικός στόχος του ΙΝΑ είναι η υποστήριξη της πολιτκής μεταρρύθμισης και της διαδικασίας χάραξης νέας στρατηγικήε στον τομέα ΤΠΕ των χωρών της περιοχής και έχει συνεργαστεί προς αυτή την κατεύθυνση με διεθνείς οργανισμούς, όπως το UNDP και η Ευρωπαϊκή Επιτροπή. Ενδεικτικά α-ναφέρεται ότι το ΙΝΑ συνέθεσε ένα πλήρες σύνολο προτάσεων/συστάσεων στον Τομέα της Έρευνας και Τεχνολογικής Ανάπτυξης σε ΤΠΕ για έντεκα (11) χώρες της Ανατολικής Ευρώπης στο πλαίσιο του έργου GREAT-IST στο πεδίο της διεθνούς συνεργασίας. Για τον ίδιο σκοπό το ΙΝΑ συμμετείχε ως ιδρυτικό μέλος στη δημιουργία του Περιφερειακού Κέντρου Ανάπτυξης ηλεκτρονικής διακυβέρ-νησης (Center for eGovernance Development – CeGD), με πρωτοβουλία του Συμφώνου Σταθερότη-τας για τη ΝΑΕ, του οποίου το συντονιστικό γραφείο έχει έδρα τη Σλοβενία.

Τέλος, τα τελευταία χρόνια το ΙΝΑ έχει εστιάσει την προσοχή του στον τομέα της ηλεκτρονικής α-σφάλειας, με σταθερή πεποίθηση ότι η προώθησή της είναι κρίσιμη για την εγκαθίδρυση της ψηφια-κής εποχής σε παγκόσμιο επίπεδο. Το Νοέμβριο του 2008 διοργανώνει ετήσιο συνέδριο για την ηλεκ-τρονική ασφάλεια (4th Electronic Security Forum) στη Θεσσαλονίκη. Το ΙΝΑ έχει προετοιμάσει την εκκίνηση μας νέας πρωτοβουλίας που αποσκοπεί στη δημιουργία ενός «Περιφερειακού δικτύου ηλε-κτρονικής ασφάλειας για τη ΝΑ Ευρώπη» που θα αναπτύξει αποκεντρωμένες δραστηριότητες μεσω εθνικών κέντρων στις χώρες της περιοχής, οι οποίοι θα υποστηρίζονται από τους τοπικούς κόμβους της Ακαδημίας ΙΝΑ, σε μια προσπάθεια να αμβλυνθούν οι κίνδυνοι που οφείλονται στην ύπαρξη μιας ‘χαλαρής’ αντίληψης για την ηλεκτρονική ασφάλεια στην περιοχή. Το δίκτυο στοχεύει και επι-δικώκει την προώθηση καλών πρακτικών, τεχνογνωσίας και πολιτικής σε ζητήματα όπως η ανάπτυξη ομάδων αντιμετώπισης ηλεκτρονικών απειλών (CERT), η ενημέρωση του κοινού για ασφαλή πλο-ήγηση στο Διαδίκτυο και ασφαλείς ηλεκτρονικές συναλλαγές, η εξάλειψη παράνομου περιεχομενου και η προστασία των δικαιωμάτων της πνευματικής ιδιοκτησίας.

4.5 Συγκεντρωτική παρουσίαση φορέων Ο Πίνακας 6 παρουσιάζει συγκεντρωτικά και συγκριτικά τους φορείς που αναφέρθηκαν παραπάνω ως προς τους ρόλους τους και τις παρεχόμενες υπηρεσίες στον τομέα της ασφάλειας πληροφοριακών συστημάτων. Σημειώνεται ότι το αντικείμενο και ο ρόλος των φορέων στον Πίνακας 6 αναφέρεται ως προς την ασφάλεια πληροφοριών και όχι ως προς τις συνολικές τους αρμοδιότητες που ενδέχεται να είναι πολλαπλές.

Όπως φαίνεται στον δεύτερο πινακα (Πίνακας 5), ρυθμιστικοί/ελεγκτικοί/συμβουλευτικοί φορείς α-σφάλειας είναι οι ΑΠΠΔ, ΑΔΑΕ και ΕΕΤΤ, ενώ τον εποπτικό και κανονιστικό ρόλο ειδικά για τις δημόσιες υπηρεσίες διαδραματίζουν το ΓΕΕΘΑ και η ΕΥΠ. Η ΕΛΑΣ ασχολείται με θέματα εξακρί-βωσης και πρόληψης ηλεκτρονικών εγκλημάτων (computer forensics). Ο ΕΦΤΑ αποτελεί ιδιωτική πρωτοβουλία για την πρόληψη της τηλεπικοινωνιακής απάτης, ενώ το GRNET παρέχει freeware προϊόντα και υπηρεσίες αςφαλείας. Τέλος το ΚΕΜΕΑ αποτελεί τον επιστημονικό, ερευνητικό και συμβουλευτικό Φορέα του Υπουργείου Εσωτερικών στον τομέα της Πολιτικής Ασφάλειας ενώ το



104

ΙΝΑ προωθεί πρωτοβουλίες (καλές πρακτικές, τεχνογνωσία, πολιτικές) σε θέματα ηλεκτρονικής α-σφάλειας στη ΝΑ Ευρώπη.

Φορέας Πεδίο δράσης

Ρόλοι



Παροχή προϊόντων-υποδομών ασφαλείας


Συμβουλευτικές υπηρεσίες ασφάλειας

ΑΠΔΠΧ Προστασία προ-σωπικών δεδομε-νων

Χ Χ Χ

ΑΔΑΕ Προστασία απορρήτου επι-κοινωνιών

Χ Χ Χ

ΕΕΤΤ

Ρύθμιση θεμά-των τηλεπικοι-νωνιών και ταχυ-δρομείων

Χ Χ Χ Χ

ΕΦΤΑ Πρόληψη τηλε-πικοινωνιακής απάτης

Χ Χ

GRNET

Προϊόντα και υ-πηρεσίες ασφά-λειας συστημά-των

Χ

ΚΕΜΕΑ Συμβουλευτικές υπηρεσίες πολι-τικής ασφάλειας

Χ

ΙΝΑ

Προώθηση πρω-τοβουλιών ηλεκ-τρονικής ασφά-λειας

Χ

Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί/Συμβουλευτικοί Φορείς Ασφάλειας



105

Φορέας Πεδίο δράσης

Ρόλοι

Ειδικές Αρχές Ασφάλειας

Ρυθμίσεις και

κανονισμοί


Computer Forensics


ΓΕΕΘΑ Έκδοση εθνικών κανονισμών ασφαλείας ΣΥΖΕΥΞΙΣ ΑΠ Χ

ΕΥΠ

Ασφάλεια Εθνικών Ε-πικοινωνιών και Πλη-ροφορικής Κανονισμοί και Πιστο-ποίηση συστημάτων

INFOSEC CERT για ΔΔ Χ Χ

ΕΛΑΣ Εξέταση ψηφιακών πειστηρίων Ηλεκτρονικό έγκλημα

Χ

ΥΜΕ

Χάραξη Πολιτικής Ασφάλειας Χ

ΤΡΑΠΕΖΑ ΕΛΛΑΔΟΣ

Έκδοση αρχών και κα-νονισμών ασφάλειας

Χ Χ

Δ/νση ΠΣΕΑ ΥΠΕΣ

Σχέδια επικινδυνότη-τας και επιχειρησιακής συνέχειας

Χ

Χ

Υ.Α.Π./ ΥΠΕΣ

Διαθεσιμότητα πληρο-φοριών σε ΔΔ Σχέδια ανάκαμψης από καταστροφές

ΑΠΕΔ Χ

τ. ΥΔΤ ΣΥΖΕΥΞΙΣ ΑΠ

ΥΠΕΣ ΣΥΖΕΥΞΙΣ ΑΠ

Υπ. ΥΓΕΙΑΣ ΣΥΖΕΥΞΙΣ ΑΠ

ΥΠΟΙΟ ΣΥΖΕΥΞΙΣ ΑΠ Χ Χ

Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα



106

55 Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης



107

5. Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης

5.1 Αξιολόγηση Κρισιμότητας Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης

5.1.1 Σκοπός Σκοπός του παρόντος κεφαλαίου είναι η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των Πληροφοριακών και Επικοινωνιακών Υποδομών της ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ), ως προς την κρισιμότητά τους, καθώς και η περιγραφή συγκεκριμένης μεθόδου για μια τέτοια αξιολόγη-ση.

Η παρούσα είναι μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέψει να καταστεί δυνατή η δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη κρίσιμες (μη ζωτικής σημα-σίας). Μια αναλυτικότερη και ακριβέστερη προσέγγιση, συνοδευόμενη με βαθμονόμηση κρίσιμων ΠΕΥ ΔΔ θα ήταν χρήσιμο να γίνει, ενδεχομένως σε μεταγενέστερο έργο.

Η κρισιμότητα των υποδομών είναι ένα διαρκώς μεταβαλλόμενο χαρακτηριστικό τους, αφού οι κύ-ριοι παράγοντες που την προσδιορίζουν (απειλές, τρωτοτητα, επιπτώσεις) μεταβάλλονται διαρκώς (οι απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Έτσι, ο ακριβής εντοπι-σμός τους απαιτεί τη χρήση ενός δυναμικού συστήματος διαρκούς αξιολόγησης, το οποίο - όπως εί-ναι ευνόητο - δεν αποτελεί αντικείμενο του παρόντος έργου.

5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας Για την αξιολόγηση (και την ενδεχόμενη μετέπειτα διαβάθμιση) της κρισιμότητας μιας υποδομής ή ε-νός στοιχείου αυτής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της υποδομής ή των υπό αξιολόγη-ση στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα παρέχεται ως συνάρτηση των εξής τριών παραγόντων53: (Επικινδυνότητα) = (Απειλή) ◊ (Τρωτότητα) ◊ (Επίπτωση), όπου ο τελεστής ◊ είναι ένας γενικευμένος πολλαπλασιαστής.

Η επικινδυνότητα αποτελεί εύλογο (αλλά όχι μοναδικό ή κυρίαρχο) μέσο για τη διαβάθμιση της κρι-σιμότητας (criticality) μιας υποδομής. Ωστόσο, υπάρχουν συγκεκριμενες δυσκολίες, τόσο θεωρητικές, όσο και πρακτικής εφαρμογής της ως άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλί-μακας. Ενδεικτικά αναφέρονται οι εξής:

Δυσχέρεια στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, αλλά εξαιρετικά σημαντικών επιπτώσεων. Σε αυτά ανήκουν και οι ανθρωπογενείς απειλές (πχ. ειδικές επιθέσεις βίας).

Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημάτων και υπο-δομών (όπως των ΠΕΥ).

Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν υπάρχουν πολλές και ισχυρές άλλη-λεξαρτήσεις. Αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις οποίες εξαρτώνται άλλες σημα-ντικές υποδομές (ενέργεια, μεταφορά, υγεία κλπ.).

Δυσχέρεια στη χρήση πολυκριτηριακών μεθόδων.

53 Η χρήση μοντέλων όπως αυτό που περιγράφεται από την ως άνω εξίσωση, καθώς και η εκτίμηση των παραγόντων που

υπεισέρχονται σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis and Management, Threat Estimation, Vulnerability Assessment, Impact Analysis, System Reliability, καθώς και σε άλ-λες συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμένες σε συγκεκριμένα συστηματα ή περιοχές εφαρμογής.



108

Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ. επιπέδου εμπιστοσύνης, ψυχολογι-κών επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων των χρηστών ή του ευ-ρύτερου κοινωνικού συνόλου κλπ.).

Στην περίπτωση των ΠΕΥ αντιμετωπίζουμε, ακόμη, δυσχέρεια στη διαβάθμιση της ασφαλούς παρο-χής των υπηρεσιών (διαθεσιμότητας, ακεραιότητας, εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων ανακύπτει και το πώς θα εκτιμηθούν οι επιπτώσεις της περιορισμένης διαθεσιμότητας (δηλαδή της “μη εύλογης” καθυστέρησης, πχ. μακροχρόνιας διακοπής) της παροχής κρίσιμης πληροφορίας.

Στο πλαίσιο αυτό θα ήταν σκόπιμη η διάκριση των συνθηκών λειτουργίας μιας υποδομής. Για παρά-δειγμα, οι περίοδοι αυτές θα μπορούσαν να διακριθούν σε περιόδους (α). κανονικής λειτουργίας, (β) ειδικών γεγονότων και (γ) έκτακτης ανάγκης. Σε καθεμία από τις περιόδους αυτές μπορεί να υπάρξει διαφοροποίηση της εκτίμησης της επικινδυνότητας.

Αν επιλεγεί μια ποιοτική προσέγγιση της επικινδυνότητας, αυτή θα μπορούσε να βασιστεί σε μια α-δρομερή διαβάθμιση τόσο της πιθανοφάνειας των απειλών (low-medium-high), όσο και των επιπτώ-σεών τους, και στη συνέχεια στη χρήση κατάλληλου πίνακα επιπέδου επικινδυνότητας (risk-level matrix) [NIST-02] (Πίνακας 7). Με δεδομένες τις δυσκολίες εκτίμησης της πιθανοφάνειας των απει-λών, μια περαιτέρω απλούστευση συνίσταται στο να υπολογισθεί το επίπεδο επικινδυνότητας μιας υ-ποδομής (ή μέρους αυτής) με βάση μόνον τις επιπτώσεις που επιφέρει η μη διαθεσιμότητά της.

Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων

Προφανώς, οι έννοιες της κρισιμότητας και της επικινδυνότητας δεν ταυτίζονται. Λέμε, παραδείγμα-τος χάρη, ότι μια υποδομή είναι “κρίσιμη” για την ανάπτυξη ενός τομέα. Σε μια τέτοια διατύπωση, η κρισιμότητα έχει θετική σημασία, κάτι που εννοιολογικά δεν μπορεί να αποδοθεί στην επικινδυνότη-τα. Ωστόσο, στο θεματικό πλαίσιο του συγκεκριμένου παραδοτέου, όπου η κρισιμότητα μελετάται με στόχο την προστασία, μπορεί να δικαιολογηθεί η διαβάθμισή της “κατ’ αναλογία” προς την επικινδυ-νότητα, δηλαδή με χρήση παρόμοιων κριτηρίων.

5.1.3 Κριτήρια επικινδυνότητας Στην παράγραφο αυτή παρέχονται συγκεκριμένα παραδείγματα προσεγγίσεων στην ανάλυση της επι-κινδυνότητας, με βάση επιλεγμένα κείμενα από τη διεθνή βιβλιογραφία.

Για τη διαβάθμιση των επιπτώσεων σε δυνητικά κρίσιμες υποδομές, η Ευρωπαϊκή Ένωση προτείνει να λαμβάνονται υπόψη τα εξής τρία βασικά χαρακτηριστικά [EU-05]:

Έκταση: Η απώλεια μιας συνιστώσας μια κρίσιμης υποδομής αξιολογείται με βάση τη γεωγρα-φική εμβέλεια των επιπτώσεών της (πχ. διεθνής, εθνική, περιφερειακή, τοπική).

Μέγεθος: Η επίπτωση μπορεί να κατηγοριοποιηθεί ως “μηδαμινή” (αμελητέα), “μικρή”, “μεσαί-α” ή “σημαντική”. Το μέγεθος αξιολογείται με βάση επιμέρους χαρακτηριστικά, όπως η εμβέλεια της επίδρασης (αριθμός πολιτών που επηρεάστηκαν, απώλεια ανθρώπινης ζωής, τραυματισμός

Μέγεθος επιπτώσεων

Πιθανοφάνεια Απειλής

Low (10) Medium (50) High (100)

Low (0.1) 1 5 10

Medium (0.5) 5 25 50

High (1.0) 10 50 100



109

κλπ.), η οικονομική επίπτωση (επηρεασμός του ΑΕΠ, μέγεθος οικονομικής απώλειας και/ή υπο-βάθμιση προϊόντων και υπηρεσιών), η περιβαλλοντική επίπτωση (στο κοινό και στο περιβάλλον), η άλληλοεξάρτηση (με άλλες υποδομές ή/και συνιστώσες τους), η αρνητική δημοσιότητα (πχ. πολιτικό κόστος, εμπιστοσύνη στην κυβέρνηση, κρίση αξιοπιστίας) κλπ.

Επίδραση του χρόνου: Αφορά εκείνη το χρονικό σημείο της απώλειας μιας συνιστώσας, οπότε θα υπήρχε σημαντική επίδραση (πχ. άμεσα, μέσα στο επόμενο 24ωρο, σε μια εβδομάδα κλπ.).

Μια άλλη σχετική προσέγγιση, η οποία στηρίζεται στην ανάλυση επικινδυνότητας κρίσιμων υποδο-μών [EMA-03], προσθέτει ένα τέταρτο χαρακτηριστικό, τη διαχειρισιμότητα (manageability), η οποία συσχετίζει την κρισιμότητα της υποδομής με τη δυνατότητα αντιμετώπισης περιστατικών προσβολής της. Η προσέγγιση αυτή αφορά κυρίως διαχείριση κρίσεων, γιαυτό ως πιθανές επιπτώσεις περιγράφο-νται οι:

μακροχρόνια αδυναμία παροχής κρίσιμων υπηρεσιών ή υποδομών,

χρήση διαδικασιών εκτάκτου ανάγκης,

ανάγκη για ανταπόκριση από πολλαπλές οργανωτικές μονάδες και φορείς,

εκτενής χρήση εξωτερικών πόρων,

υψηλός αριθμός ανθρώπινων απωλειών ή τραυματισμών,

γενική και εκτενής μετατόπιση ανθρώπινου δυναμικού για μεγάλες χρονικές περιόδους,

εκτενείς υλικές ζημιές,

σημαντική περιβαλλοντική επίδραση με μακροχρόνια ή μόνιμη ζημία,

εκτενής οικονομική απώλεια.

Ανάλογα κριτήρια προσδιορισμού των κρίσιμων υποδομών, καθώς και του βαθμού κρισιμότητάς τους, ορίζονται στo National Critical Infrastructure Assurance Program [NCIAP-04]. Ειδικότερα, υιο-θετούνται έξι κριτήρια που αφορούν την απώλεια της διαθεσιμότητας ενός αγαθού ή μιας υπηρεσίας. Αυτά αναλύονται με βάση τέσσερις παραμέτρους: (α). εμβέλεια (scope), (β). μέγεθος επίπτωσης (magnitude), (γ). χρονική συγκυρία (time of the year) και (δ). επίδραση του χρόνου (effects of time), ως εξής (Πίνακας 8):

Βαθμός συγκέντρωσης πληθυσμού. Εκτιμά τις πιθανές ανθρώπινες απώλειες, τραυματισμούς ή εγκαταστάσεις που πρέπει να εκκενωθούν λόγω της απώλειας μιας υπηρεσίας ή μιας εγκατά-στασης. Δεν περιλαμβάνει εκτιμήσεις για τον αριθμό των ατόμων που επηρεάζονται γενικότερα από την απώλεια της διαθεσιμότητας. Βασίζεται στο ότι, όσο υψηλότερη είναι η συγκέντρωση των ατόμων, τόσο μεγαλύτερη είναι η πιθανότητα για καταστροφικά γεγονότα.

Οικονομική επίπτωση. Εκτιμά την πιθανή οικονομική επίπτωση από τη μείωση της ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της. Εκτός από την άμεση φυσική απώλεια ή διακοπή ε-νός αγαθού, συνεκτιμά σε ποιοτικούς όρους και απώλειες που σχετίζονται με τις ανάλογες πλη-ροφορίες ή ανθρώπους που χρησιμοποιούν το αγαθό.

Εμβέλεια επιπτώσεων. Εκτιμά πώς η απώλεια ενός αγαθού επηρεάζει έναν ή περισσότερους το-μείς.

Αλληλοεξάρτηση. Εκτιμά την επίπτωση σε άλλες υποδομές από την απώλεια μιας υπηρεσίας κάποιας υποδομής. Εντοπίζονται οι συσχετίσεις μεταξύ υποδομών ανά υπηρεσία ή αγαθό. Στόχος είναι να εντοπιστούν επιπτώσεις κλίμακας σε άλλες κρίσιμες υπηρεσίες/λειτουργίες/αγαθά μέσα σε ένα τομέα ή σε άλλους τομείς. Οι τύποι της αλληλοεξάρτησης περιλαμβάνουν: (α). φυσική ε-ξάρτηση (το προϊόν μιας υποδομής χρησιμοποιείται από μια άλλη), (β). γεωγραφική εξάρτηση (πχ. κοινή εγκατάσταση) και (γ). λογική εξάρτηση.

Κρισιμότητα υπηρεσίας. Εκτιμάται ποιοτικά η επίπτωση της καταστροφής ή της προσωρινής απώλειας ενός αγαθού ενός τομέα στην Οικονομία. Αρχικά, απαιτείται ποσοτική εκτίμηση του



110

χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επι-πτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη διαθεσιμότητα των εναλλακτικών υπη-ρεσιών, καθώς και με το κόστος και το χρόνο αποκατάστασής της.

Εμπιστοσύνη του κοινού. Εκτιμάται η επίπτωση στην κοινή γνώμη (εργαζομένων, καταναλω-τών, πολιτών, ομάδων με ειδική ευαισθησία ή/και επιρροή κλπ.). Ειδικότερα, εκτιμάται η εμπι-στοσύνη του κοινού στην Κυβέρνηση, που αφορά την προστασία της δημόσιας υγείας, ασφάλει-ας, οικονομίας ή την παροχή σχετικών υπηρεσιών.

Επίπτωση Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή

Βαθμός 15 5 3 1

Συγκέντρωση πλη-θυσμού >10,000 1,000-10,000 100-1,000 <100

Οικονομική επίπτω-ση (άμεσο κόστος α-ποκατάστασης)

>100 x 106 € 10-100 x 106 € 1-10 x 106 € <1 x 106 €

Εμβέλεια επιπτώσε-ων

Διεθνής (ή σε ολό-κληρο τομέα) Εθνική Περιφερειακή Τοπική

Βαθμός αλληλοεξάρ-τησης

Συντριπτική επί-δραση σε άλλους τομείς

Σημαντική επίδραση σε άλλους τομείς

Μέτρια επίδραση σε άλλους τομείς

Μικρή επίδραση σε άλλους τομείς

Κρισιμότητα υπηρε-σίας

Υψηλό κόστος σε περισσότερους από ένα τομείς, χρόνος ανάκαμψης μεγα-λύτερος του έτους

Υψηλό κόστος, υψη-λός απαιτουμενος χρόνος ανάκαμψης (βδομάδες - μήνες)

Μέτριο κόστος, ση-μαντικός απαιτού-μενος χρόνος ανά-καμψης (μέρες - βδομάδες)

Χαμηλό κόστος, μικρός απαιτού-μενος χρόνος ανά-καμψης (ώρες - μέρες)

Εμπιστοσύνη του κοινού

Υψηλός εθνικός κίνδυνος και πλή-γμα στην αξιοπι-στία της κυβέρνη-σης

Αντίληψη υψηλού κινδύνου, σε συνδυα-σμό με χαμηλή κυ-βερνητική αξιοπιστία από το κοινό

Αντίληψη μετρίου κινδύνου σε συνδυ-ασμό με μετριασμό της κυβερνητικής αξιοπιστίας στό το κοινό

Αντίληψη χαμη-λού κινδύνου και υψηλής κυβερνη-τικής αξιοπιστίας από το κοινό

Πίνακας 8: Αποτίμηση επιπτώσεων [NCIAP-04]

5.1.4 Ταξινόμηση και αποτίμηση επιπτώσεων σε ΠΕΥ ΔΔ Με την υιοθέτηση της μετρικής αναλογίας μεταξύ κρισιμότητας και επικινδυνότητας, καθώς και με την περαιτέρω απλούστευση του προσδιορισμού τους με βάση τις επιπτώσεις που θα είχε ενδεχόμενη προσβολή των υπό αξιολόγηση υποδομών στη διαθεσιμότητά τους, μπορούν να υιοθετηθούν ως κρι-τήρια κρισιμότητας εκείνα που αφορούν την αξιολόγηση των αντίστοιχων επιπτώσεων.

Στη βιβλιογραφία λαμβάνεται υπόψη η γεωγραφική και χρονική κατανομή των επιπτώσεων στους τε-λικούς χρήστες των υπηρεσιών ΔΔ, δηλαδή πολίτες, επιχειρήσεις και άλλες υπηρεσίες της ΔΔ. Έτσι, επιλέγονται ορισμένες βασικές κατηγορίες επιπτώσεων (οι οποίες μπορεί να αναλυθούν περαιτέρω, σε υπο-κατηγορίες), καθώς και τα κύρια χαρακτηριστικά προσδιορισμού του μεγέθους ή της διαβά-θμισής τους (χαρακτηριστικά κλίμακας). Μια τέτοια κατανομή είναι η εξής:

Κατηγορίες επιπτώσεων

1. Προσωπική ασφάλεια (safety)

2. Οικονομικές επιπτώσεις (άμεσες ή/και έμμεσες)

3. Προσβολή της ιδιωτικότητας (privacy)



111

4. Εμπιστοσύνη της κοινής γνώμης

5. Άσκηση διοίκησης και εφαρμογή πολιτικής ΔΔ

Χαρακτηριστικά κλίμακας

1. Ένταση (intensity)

2. Χρονική διάρκεια ή κατανομή

3. Γεωγραφική εμβέλεια

Η ένταση είναι μέγεθος ανηγμένο ανά άτομο και χρονική μονάδα (ημέρα, βδομάδα, μηνα), πχ. για τις οικονομικές επιπτώσεις μπορεί να εκφρασθεί σε €/άτομο/μέρα.

Εάν δεν υπάρχει εποχιακή διακύμανση των επιπτώσεων, η ένταση δίνεται από έναν αριθμό. Εάν, ω-στοσο, οι επιπτώσεις εξαρτώνται από το χρόνο εμφάνισης της προσβολής ή αστοχίας της υποδομής, τότε απαιτείται μια χρονική κατανομή της έντασης των επιπτώσεων, υπό τύπον καμπύλης. Η αθροι-στική, ως προς το χρόνο, ένταση επιπτώσεων, δηλαδή το εμβαδόν κάτω από την καμπύλη κατανομής για το διάστημα που διαρκούν οι επιπτώσεις, δίνει την κατά κεφαλή επίπτωση. Στην Ελλάδα, για παράδειγμα, ας θεωρήσουμε την πληροφοριακή και επικοινωνιακή υποδομή του TAXIS. Προφανώς υπάρχει εποχιακή διακύμανση των επιπτώσεων, λόγω των καθορισμένων ημερομηνιών και προθε-σμιών για τη διεκπεραίωση υποθέσεων και συναλλαγών πολιτών και επιχειρήσεων με το Υπουργείο Οικονομικών. Συνεπώς, άλλες είναι οι επιπτώσεις της μη διαθεσιμότητας των servers της ΓΓΠΣ κατά το Μάρτη-Απρίλη και άλλες τον Ιούλιο-Αύγουστο. Με χρήση της ενδεικτικής κατανομής του Σχήμα 18 μπορούμε να υπολογίσουμε την κατά κεφαλή επίπτωση ενός συμβάντος (πχ. της μη διαθεσιμότη-τας της υποδομής της ΓΓΠΣ από [15.04-15.05] σε 35 μονάδες).

Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι αναφερόμενες τιμές είναι ενδεικτικές)

Η γεωγραφική εμβέλεια των επιπτώσεων παρέχεται ως κατανομή της πληθυσμιακής πυκνότητας στην περιοχή ενδιαφέροντος ή/και του ειδικού βάρους που έχουν οι συγκεκριμένες επιπτώσεις ανά περιοχή. Προκειμένου για μια δημόσια υπηρεσία ηλεκτρονικής διακυβέρνησης, η πληθυσμιακή πυκ-νότητα μιας περιοχής στην οποία απευθύνεται η υπηρεσία προκύπτει από το γινόμενο της πραγματι-κής πληθυσμιακής πυκνότητας επί το ποσοστό διείσδυσης (penetration) της υπηρεσίας. Το χωρικό ο-λοκλήρωμα της ως άνω κατανομής στην περιοχή ενδιαφέροντος (πυκνότητα x έκταση) θα δώσει τον ενεργό πληθυσμό που πρέπει να ληφθεί υπόψη για τον υπολογισμό του μεγέθους των επιπτώσεων



112

διακοπής της υπηρεσίας. Ο τελικός τύπος υπολογισμού του μεγέθους αυτού είναι: (μέγεθος επίπτω-σης) = (κατά κεφαλή επίπτωση) x (ενεργός πληθυσμός)

Στο Σχήμα 19 παρέχεται ένα ενδεικτικό διάγραμμα με διαβαθμισμένα τα χαρακτηριστικά κλίμακας, καθώς και το μέγεθος των πέντε κατηγοριών επιπτώσεων, με βάση την ως άνω μέθοδο.

Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική

διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές)

Για τις κατηγορίες επιπτώσεων των οποίων είναι δυσχερής η ποσοτικοποίηση ως προς την ένταση (πχ. επίπεδο εμπιστοσύνης της κοινής γνώμης, άσκηση διοίκησης και εφαρμογή πολιτικής), μπορεί να γίνει μια αδρομερής διαβάθμιση σε κλίμακες, οπότε θα προκύψει μια αντίστοιχη διαβάθμιση για το μέγεθος των επιπτώσεων αυτών.

Η ως άνω προσέγγιση θα μπορούσε να εμπλουτισθεί περαιτέρω, ειδικά για χώρες όπως η Ελλάδα, ό-που η διείσδυση των ΤΠΕ στη Δημόσια Διοίκηση δεν είναι εκτενής, σε συνδυασμό με το ότι οι υπη-ρεσίες ηλεκτρονικής διακυβέρνησης είναι περιορισμένα ορατές στο μέσο πολίτη. Στην Ελλάδα, κά-ποια τυχόν μείζονα προβλήματα στη λειτουργία μιας ΠΕΥ μπορεί να δημιουργήσουν αρνητική προ-διάθεσή στους πολίτες, τοσο έναντι της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όσο και έ-ναντι των ΤΠΕ γενικότερα. Συνεπώς, η εκτίμηση της επιρροής των συμβάντων αυτών στην άποψη του κοινού για τις ΤΠΕ μπορεί να συνεισφέρει ως μια κατηγορία επιπτώσεων.

5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ Με βάση τη μελέτη της σχετικής εμπειρίας και βιβλιογραφίας, καθώς και τις διαπιστώσεις και τις προτάσεις που προηγήθηκαν, η μέθοδος που επιλέξαμε τελικά να χρησιμοποιήσουμε για την αξιολό-γηση της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσερις παραμέτρους:

3. Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη-σαν 10 διαφορετικά είδη επιπτώσεων, με βάση κυρίως τα δεδομένα της σχετικής διεθνούς βιβλιο-γραφίας.

4. Η ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Επελέγη μια 5-βάθμια κλίμακα Likert, προκειμένου να αποτυπωθεί ακριβέστερα η σχετική πραγματικότητα.

5. Οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ, οι οποίες επελέγησαν με βάση τις σχετικές κατευθύνσεις της Ευρωπαϊκής Ένωσης που αφορούν τις ηλεκτρονικά παρεχόμενες υπηρεσίες Δημόσιας Διοίκησης,



113

με βάση την εμπειρία και εμπλοκή των μελών της Ομάδας Εργασίας σε πλήθος έργων ανάπτυξης και προστασίας ΠΕΥ ΔΔ, καθώς και με βάση σχετικές μελέτες αρμόδιων φορέων.

6. Η διαδικασία επιλογής των κρίσιμων υποδομών, η οποία βασίζεται στο συνδυασμό της έντασης κάθε επίπτωσης που επέρχεται από τον περιορισμό της διαθεσιμότητας μιας ΠΕΥ ΔΔ, με βάση το θεωρητικά εκτιμώμενο “δυσμενέστερο ενδεχόμενο”54 (worst-case scenario).

Για κάθε μία από τις παραπάνω παραμέτρους έγιναν συγκεκριμένες επιλογές, οι οποίες περιγράφο-νται στη συνέχεια.

Τα είδη των επιπτώσεων που λήφθηκαν υπόψη είναι τα εξής:

1. Πληθυσμός (αριθμός χρηστών) που επηρεάζεται

2. (Άμεση) Οικονομική επίπτωση από τη μη διαθεσιμότητα

3. Ένταση διασυνοριακότητας

4. Αλληλεξάρτηση ΠΕΥ με άλλες

5. Ανάκαμψη ΠΕΥ

6. Αντίδραση της κοινής γνώμης

7. Επίπτωση στην εφαρμογή πολιτικών και στην εν γένει λειτουργία της ΔΔ

8. Επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων

9. Επίπτωση στην ιδιωτικότητα (privacy)

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ

Η ένταση των επιπτώσεων περιγράφεται με τη βοήθεια μιας πενταβάθμιας κλίμακας τύπου Likert, με τιμές: Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή. H επιλογή πενταβάθμιας κλίμακας, αντί της θεωρητικά καταλληλότερης τετραβάθμιας ή εξαβάθμιας κλίμακας, έγινε για να μπορεί να απεικονισθεί ευκρινέστερα η διαφοροποίηση μεταξύ της έντασης ορισμένων επιπτώσεων, δεδομένων των ελληνικών συνθηκών (πχ. ταξινόμηση γεωγραφικής εμβέλειας), σε σύγκριση με τις αντίστοιχες διεθνείς εκτιμήσεις. Περαιτέρω, εκτιμήθηκε ότι μια τετραβάθμια ή εξαβάθμια κλίμακα δεν είχε κάτι πραγματικά ουσιαστικό να συνεισφέρει στη διαφοροποίηση της έντασης των επιπτώσεων.

Ο Πίνακας 9 που προκύπτει από το συνδυασμό των ως άνω παραμέτρων εμπλουτίστηκε με τις τιμές εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Οι τιμές, αν και σε ορισμένα σημεία επελέγησαν ad hoc για να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες, βασίζονται κυρί-ως στη σχετική βιβλιογραφία.

Η επιλογή των υποψήφιων κρίσιμων ΠΕΥ είναι μια ενδιαφέρουσα διαδικασία. Δεδομένου ότι δεν θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ, επελέγη ένα υποσύνολό τους. Για να αποφευχθεί μια ενδεχομένως αυξημένη υποκειμενικότητα, η επιλογή βασίστηκε σε σχετική προσέγγιση της Ευρωπαϊκής Ένωσης. Με βάση την προσέγγιση αυτή, η Ε.Ε. έχει καθορίσει 20 υπη-ρεσίες55, ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της Ε.Ε. Οι υπη-ρεσίες αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. Οι υποψήφιες ΠΕΥ μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, καθώς και μέσω συνεντεύξεων που διεξήχθησαν μεταξύ των μελών της Ομάδας Εργασίας και σειράς στελεχών της ΚτΠ Α.Ε., τα οποία διετέλεσαν ή διατελούν μέχρι σήμερα υπεύθυνοι ανάπτυξης των σχετικών ΠΕΥ. 54 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης επικινδυνότητας ΠΣ (πχ. CRAMM). Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότη-τας, αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit) δεν είναι αυστηρά εγγυημένη.

55 Οι “20 βασικές υπηρεσίες” έχει συμφωνηθεί να αξιολογούνται σε ευρωπαϊκό επίπεδο, με βάση μια κοινή μεθοδο. Έτσι, είναι δυνατή, μεταξύ άλλων, η σύγκριση της προόδου διαφορετικών κρατών στην ανάπτυξη των ίδιων υπηρεσιών ηλεκ-τρονικής διακυβέρνησης. Περαιτέρω, οι υπηρεσίες αυτές αξιολογούνται και από το ελληνικό Παρατηρητήριο για την Κοι-νωνία της Πληροφορίας, ως προς το επίπεδο ωρίμανσής τους.



114

Επίπτωση Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή Κριτήριο

Επηρεαζόμενος πληθυ-σμός >100,000 10,000-100,000 1,000-10,000 100-1,000 <100

Οικονομική επίπτωση >100 x 106 € 10-100 x 106 € 1-10 x 106 € 0,1-1 x 106 € <0,1 x 106 €

Ένταση διασυνοριακό-τητας Ευρύτερη της Ε.Ε. Ευρωπαϊκή Ένωση Εθνική Περιφερειακή Τοπική

Αλληλοεξάρτηση Καταλυτική επίδραση σε άλ-λες υποδομές/τομείς

Σημαντική επίδραση σε άλλες υποδομές/τομείς

Μέτρια επίδραση σε άλλες υ-ποδομές/τομείς

Μικρή επίδραση σε άλλες υ-ποδομές/τομείς

Επίδραση σε μία υποδομή-/τομέα

Ανάκαμψη ΠΕΥ Υψηλό κόστος σε πολλούς το-μείς, μακρύς χρόνος ανάκαμ-ψης (μήνες - χρόνια)

Υψηλό κόστος, υψηλός απαι-τούμενος χρόνος ανάκαμψης (βδομάδες - μήνες)

Μέσο κόστος, σημαντικός χρόνος ανάκαμψης (μέρες - βδομάδες)

Χαμηλό κόστος, μικρός απαι-τούμενος χρόνος ανάκαμψης (ώρες - μέρες)


Αντίδραση της κοινής γνώμης Διεθνής αποδοκιμασία Περιορισμός κυβερνητικής

αξιοπιστίας σε διεθνές επίπεδο Μετριασμός κυβερνητικής αξιοπιστίας σε εθνικό επίπεδο

Αρνητική δημοσιότητα περισ-σοτέρων του ενός κυβερνητι-κών οργανισμών/ φορέων

Αρνητική δημοσιότητα ε-νός κυβερνητικού οργανι-σμού/φορέα


Σοβαρή παρεμπόδιση ή διακο-πή της ανάπτυξης/εφαρμογής κυβερνητικών πολιτικών

Υποβάθμιση της διαπραγμα-τευτικής και συναλλακτικής δυνατότητας της κυβέρνησης

Παρεμπόδιση της αποτελε-σματικής ανάπτυξης/εφαρμο-γής κυβερνητικών πολιτικών

Υπονόμευση της σωστής διαχείρισης ή λειτουργίας ΔΥ

Ανεπαρκής λειτουργία μιας ΔΥ

Προσωπική ασφάλεια Απώλεια πολλών ανθρώπινων ζωών Απώλεια ανθρώπινης ζωής Σημαντικός τραυματισμός

πολλών προσώπων Μικροτραυματισμοί πολλών προσώπων

Μικροτραυματισμός ενός προσώπου

Επίπτωση στην ιδιωτι-κότητα

Αποκάλυψη απόρρητων δεδο-μενων που επηρεάζουν μείζο-νες κυβερνητικές πολιτικές


Παραβίαση νομοθεσίας και σοβαρή ενόχληση ενός προσώπου

Μικρή ενόχληση πολλών προ-σώπων

Μικρή ενόχληση ενός προ-σώπου

Επηρεασμός του κοινού για τις ΤΠΕ



Κλονισμός της εμπιστοσύνης του κοινωνικού συνόλου

Απογοήτευση επιμέρους ομά-δων του πληθυσμού

Απογοήτευση μεμονωμέ-νων πολιτών

Πίνακας 9: Κριτήρια επιλογής Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης (ΠΕΥ ΔΔ)



115

Τέλος, η μελέτη των ΠΕΥ αυτών διευρύνθηκε, περαιτέρω, μέσω εστιασμένου σχεδίου διαβούλευσης, το οποίο εκπονήθηκε και υλοποιήθηκε από την Ο.Ε. και αφορούσε την ανταλλαγή απόψεων μεταξύ των μελών της Ο.Ε. και ειδικών επιστημόνων, από το δημόσιο και τον ιδιωτικό τομέα, οι οποίοι έ-χουν ώριμη αντίληψη για τέτοιου είδους υποδομές.

Η διαδικασία επιλογής των κρίσιμων ΠΕΥ, μεταξύ των υποψήφιων να χαρακτηριστούν με το χαρα-κτηρισμό αυτό, δεν βασίστηκε σε ποσοτική εκτίμηση. Ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης (professional judgement). Το θεμελιώδες σημείο α-ναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυσμενέστερου ενδεχομένου (worst-case sce-nario). Με βάση την προσέγγιση αυτή, ως κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές της ελληνικής δημόσιας διοίκησης ορίστηκαν να είναι αυτές για τις οποίες ένα τουλάχιστον από τα κρι-τηρια κρισιμότητας λαμβάνει τουλάχιστον “υψηλή” τιμή.

Σύμφωνα με τη μέθοδο που περιγράφηκε, καθώς και την αναλυτική καταγραφή και αξιολόγηση των δεδομένων των υποψήφιων κρίσιμων ΠΕΥ ΔΔ (που ακολουθεί στα επόμενα κεφάλαια), προκύπτει ο που περιλαμβάνει τις χαρακτηριστικές Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης.



116

Πληροφοριακή και Επικοινωνιακή Υποδομή

ΣΥΖΕΥΞΙΣ ΟΠΣ ΚΕΠ Data Centers ΚτΠ Α.Ε. TAXISnet

Κριτήριο

Επηρεαζόμενος πληθυσμός Πολύ Υψηλή Πολύ Υψηλή Πολύ Υψηλή Πολύ Υψηλή

Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ Υψηλή

Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ Υψηλή

Αλληλοεξάρτηση Πολύ Υψηλή Μέτρια Υψηλή Υψηλή

Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή

Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια

Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια

Προσωπική ασφάλεια Πολύ Χαμηλή Πολύ Χαμηλή Πολύ Χαμηλή Πολύ Χαμηλή

Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή

Επηρεασμός του κοινού για τις ΤΠΕ/ΠΕΥ Υψηλή Υψηλή Πολύ Υψηλή Υψηλή

Χρωματικός κώδικας έντασης της τιμής της παραμέτρου

Χαμηλή Μέτρια Υψηλή

Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές)



117

Σύμφωνα με τον παραπάνω πίνακα προκύπτουν, συμπερασματικά, τα εξής:

Όλες οι κρίσιμες ΠΕΥ ΔΔ παρουσιάζουν επίπτωση επιπέδου «Πολύ Υψηλή», αναφορικά με τον επη-ρεαζόμενο πληθυσμό, ενώ επιπέδου «Υψηλή – Πολύ Υψηλή» χαρακτηρίζεται και η επίπτωση ανα-φορικά με τη γεωγραφική εμβέλεια, την αποκάλυψη προσωπικών δεδομένων και την επίδραση στη γνώμη του κοινού για τις ΤΠΕ/ΠΕΥ. Με εξαίρεση του ΟΠΣ ΚΕΠ, που παρουσιάζει «Μέτρια» αλλη-λεξάρτηση, «Υψηλή - Πολύ Υψηλή» είναι η επίπτωση για όλες τις κρίσιμες ΠΕΥ ΔΔ, αναφορικά με το συγκεκριμένο κριτήριο.

Οι παραπάνω τιμές δικαιολογούνται από το γεγονός ότι όλες οι υποδομές, παρουσιάζουν εξαρτήσεις, απευθύνονται σε ένα πολύ ευρύ κοινό χρηστών, σε εθνικό, αλλά και διεθνές επίπεδο, όπου γίνεται χρήση και επεξεργασία προσωπικών στοιχείων.

Από την άλλη πλευρά, με εξαίρεση το TAXIS-TAXISnet, όπου λόγω της υποστήριξης άμεσων οικο-νομικών συναλλαγών, η οικονομική επίπτωση κρίνεται ως «Πολύ Υψηλή», στις υπόλοιπες κρίσιμες ΠΕΥ ΔΔ το αντίστοιχο κριτήριο χαρακτηρίζεται με το βαθμό «Χαμηλή», εφόσον δεν υπάρχει άμεσος χειρισμός οικονομικών στοιχείων.

Ομοίως, με εξαίρεση τα Data Centers της ΚτΠ Α.Ε. όπου το κριτήριο της επίπτωσης της ανάκαμψης - διαθεσιμότητας της υπηρεσίας χαρακτηρίζεται με το βαθμό «Υψηλή», λόγω της κρισιμότητας της Εθνικής Πύλης ΕΡΜΗΣ αλλά και των ΟΠΣΝΑ, όλες οι άλλες κρίσιμες ΠΕΥ ΔΔ χαρακτηρίζονται ως «Μέτρια – Χαμηλή», δεδομένου ότι δεν υπάρχουν υψηλές απαιτήσεις διαθεσιμότητας, λόγω της ύ-παρξης επαρκών εναλλακτικών καναλιών.

Στα ίδια πλαίσια, για το ΣΥΖΕΥΞΙΣ, το κριτήριο της αντίδρασης της κοινής γνώμης έχει «Υψηλή» επίπτωση, δεδομένου του έυρους του Δικτύου στις υπηρεσίες ΔΔ και τον αριθμό των χρηστών του, ενώ για τις άλλες κρίσιμες ΠΕΥ ΔΔ η σχετική επίπτωση κρίνεται ως «Μέτρια».

Με το ίδιο σκεπτικό, για την κρίσιμη ΠΕΥ ΔΔ του ΟΠΣ ΚΕΠ, δεν υπάρχει σημαντική επίδραση στη λειτουργία κυβερνητικών φορέων και, κατ’ επέκταση, στην εφαρμογή κυβερνητικής πολιτικής από την παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, οπότε το σχετικό κριτήριο της εφαρμο-γής πολιτικής και λειτουργίας ΔΔ χαρακτηρίζεται με επίπτωση «Χαμηλή», σε αντίθεση με τις άλλες ΠΕΥ ΔΔ που χαρακτηρίζονται με «Μέτρια» επίπτωση, για το συγκεκριμένο κριτήριο.

Τέλος, για όλες τις κρίσιμες ΠΕΥ ΔΔ δεν φαίνεται να προκύπτει άμεση συσχέτιση με την προσωπική ασφάλεια των πολιτών, οπότε για το συγκεκριμένο κριτήριο η επίπτωση χαρακτηρίζεται ως «Πολύ Χαμηλή».

5.2 Δίκτυο ‘Σύζευξις’

5.2.1 Στοιχεία ταυτότητας έργου Το «Σύζευξις» είναι έργο του Υπουργείου Εσωτερικών Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΔΑ), με το οποίο επιδιώκεται η ανάπτυξη και ο εκσυγχρονισμός της τηλεπικοινωνιακής υποδομής του Δημόσιου Τομέα. Πρόκειται για ένα δίκτυο πρόσβασης και κορμού για τους φορείς του Δημοσίου, με σκοπό να καλύψει όλες τις ανάγκες για τη μεταξύ τους επικοινωνία με τηλεφωνία (τηλεφωνική επικοινωνία ανάμεσα στους φορείς), δεδομένα (επικοινωνία υπολογιστών - Internet) και Video (τηλεδιάσκεψη - τηλεεκπαίδευση).

Σκοπός του έργου είναι η βελτίωση της λειτουργίας των δημοσίων υπηρεσιών, με την αναβάθμιση της μεταξύ τους επικοινωνίας μέσω της παροχής προηγμένων τηλεματικών υπηρεσιών με χαμηλό



118

κόστος, και η ενοποιημένη εξυπηρέτηση των πολιτών, με αυτοματοποιημένα και φιλικά προς τον χρήστη συστήματα πληροφόρησης και διεκπεραίωσης συναλλαγών με το Δημόσιο.

Προϋπολογισμός έργου: 80.000.000 €

Χρονοδιάγραμμα: Διάρκεια έργου 48 μήνες

1996: Πρώτος σχεδιασμός

1/1/2005-31/12/2005: Ολοκλήρωση μελέτης εφαρμογής και βασικής υλοποίησης

1/1/2006-31/12/2008: Παραγωγική λειτουργία και παροχή υπηρεσιών

Ανάδοχοι:

Altec Telecoms και ΟΤΕ: Υλοποίηση Δικτύου στην Αττική (Νησίδα 1)

Forthnet: Υλοποίηση δικτύου στη Θεσσαλονίκη (Νησίδα 3)

ΟΤΕ: Υλοποίηση δικτύου στην Υπόλοιπη Ελλάδα (4 νησίδες)

ΟΤΕ: Δίκτυο κορμού

ΟΤΕ-OteNet: Datacenter για την παροχή υπηρεσιών κορμού (portal, workplace, MCU)

Adacom, OteNet: Υποδομή Δημόσιου Κλειδιού (PKI)

01 Πληροφορική, Exodus, ATC ABETE: E-Learning

Σύμπραξη Διαδικασία και InfoGroup και EOGroup και ΕΠΙΣΕΥ: Σύμβουλος Τεχνικής Υποστήρι-ξης (ΣΤΥ)

Μελετητής Ασφάλειας:

Δεν έχει προδιαγραφεί Μελέτη Ασφάλειας.

Εξαίρεση αποτελεί η παροχή υπηρεσιών Ψηφιακής Υπογραφής (ΡΚΙ) όπου έχει εκπονηθεί Μελέτη Εφαρμογής, η οποία εγγενώς μπορεί να θεωρηθεί ως μελέτη ασφάλειας για τη συγκεκριμένη υπη-ρεσία

Γίνονται μόνο κατά-περίπτωση (ad-hoc) ενέργειες ρύθμισης των συστημάτων Firewall, IDS, Ac-cess Lists.

Τρέχουσα Κατάσταση:

Διασυνδέονται 1800 σημεία πρόσβασης. Μία λογική κατηγοριοποίηση των διασυνδεδεμένων σημείων γίνεται με τρεις εναλλακτικούς τρόπους:

o Γεωγραφικά (διαχωρισμός σε 6 νησίδες με γεωγραφικό προσδιορισμό). Υπάρχει αντιστοι-χία με την ανάθεση των υποέργων σε διαφορετικούς αναδόχους.

o Διοικητικά (διαχωρισμός με κριτήριο τη διοικητική αυτονομία των διαφορετικών ομάδων χρηστών). Η διοικητική κατηγοριοποίηση βασίζεται κυρίως στο διαχωρισμό με βάση τις αρμοδιότητες των Υπουργείων. Υπάρχει αντιστοιχία με το διαχωρισμό του ‘Σύζευξις’ σε ιδεατά ιδιωτικά δίκτυα (VPN) (β.λπ. 5.2.2.).

o Αριθμητικά (διαχωρισμός σε μικρό, μεσαίο και μεγάλο φορέα, ως προς τον αριθμό των χρηστών ανά κτίριο). Ο διαχωρισμός αυτός αφορά κυρίως στη σχεδίαση της τηλεπικοινω-νιακής υποδομής που εγκαθίσταται στο σημείο διασύνδεσης, καθώς και στον εξοπλισμό και στην τεχνολογία που χρησιμοποιείται.



119

Το έργο αυτή τη στιγμή βρίσκεται σε εξέλιξη. Συγκεκριμένα βρίσκεται στη φάση της παραγω-γικής λειτουργίας, η οποία λήγει στο τέλος του τρέχοντος έτους (2008).

Μετά το τέλος του παρόντος έργου θα προκηρυχθεί νέο έργο, ανοικτό προς όλους τους ενδια-φερόμενους.

Πρόσθετο έργο ‘Μίνι Σύζευξις’:

Σε φάση πιλοτικής λειτουργίας βρίσκεται ένα πρόσθετο έργο-επέκταση (Μίνι-Σύζευξις) για τη διασύνδεση επιπλέον φορέων που δεν εντάχθηκαν στο κυρίως έργο.

Διασύνδεση επιπλέον 1200 σημείων.

Οι διασυνδέσεις έχουν ολοκληρωθεί κατά 95% και το έργο βρίσκεται σε φάση πιλοτικής λει-τουργίας.

Ανάδοχοι: Forthnet για τη νησίδα της Θεσσαλονίκης και ΟΤΕ για τις νησίδες Αττικής και Υπό-λοιπης Ελλάδας.

5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Τοπολογία λογικής διασύνδεσης – εξαρτήσεις:

Το Δίκτυο χωρίζεται λογικά σε 4 Ιδεατά Ιδιωτικά Δίκτυα (VPN) για τα οποία ακολουθείται η ορολογία ‘Νησίδες’:

o Φορείς του Υπουργείου Εσωτερικών: Υπουργεία, Νομαρχίες, Περιφέρειες, Δήμοι, Κέντρα Εξυπηρέτησης Πολιτών (>1200 σημεία διασύνδεσης).

o Φορείς του Υπουργείου Υγείας: Νοσοκομεία, Κέντρα Υγείας, Μονάδες διοίκησης της υγείας και φορείς Πρόνοιας (~400 σημεία).

o Φορείς του Υπουργείου Εθνικής Άμυνας: Στρατολογικά γραφεία, Γενικό Επιτελείο (υπό α-νάπτυξη).

o Φορείς του Υπουργείου Οικονομικών: Διαχειριστικές αρχές του 3ου Κοινοτικού Πλαισίου Στήριξης, σύστημα GIS και περίπου 1200 πρόσθετες διασυνδέσεις από το έργο ‘Μίνι-Σύ-ζευξις’.

Τα 4 VPNs είναι απομονωμένα μεταξύ τους και επικοινωνούν με τους ίδιους αυστηρούς κα-νόνες που ισχύουν για την επικοινωνία με εξωτερικά ανοικτά δίκτυα.

Οι Φορείς που βρίσκονται εντός του ίδιου VPN επικοινωνούν μεταξύ τους με λιγότερο αυστη-ρούς κανόνες, ως ένα Intranet. Εδώ διαφαίνεται ενίσχυση των ‘εκ των έσω’ κινδύνων λόγω του μεγάλου μεγέθους και της διασποράς των σημείων που διασυνδέονται.

Διαπιστώνεται ότι σημαντικός αριθμός φορέων διαθέτουν ταυτόχρονα και πρόσθετες διασυνδε-σεις (εκτός Σύζευξις) με εξωτερικά δίκτυα.



120

Σχήμα 20: Απεικόνιση νησίδας δικτύου ‘Σύζευξις’

Τεχνικά Χαρακτηριστικά και Σχεδιαστικές επιλογές:

Ευρυζωνικές διασυνδέσεις (2 – 34 Mbps).

Για την σύνδεση με το Διαδίκτυο (Internet) κάθε νησίδα έχει τουλάχιστον 2 ξεχωριστές ζεύξεις (μια πρωτεύουσα και μια δευτερεύουσα) για λόγους διαθεσιμότητας και αξιοπιστίας.

Τεχνολογία MPLS.

Κάθε φορέας που διασυνδέεται μπορεί να διαμορφώσει τη δική του περιμετρική ασφάλεια, πέ-ρα από το κατώτερο επίπεδο ασφάλειας που επιβάλλει η κεντρική υποδομή.

Κεντρικές υπηρεσίες ασφάλειας: firewalls, proxies, antivirus, intrusion detection systems, anti-spamming, content filtering (Κάθε ανάδοχος έχει τα δικά του συστήματα, τα οποία μπορεί να υλοποιούνται σε διαφορετικές πλατφόρμες).

Δυνατότητα low-level κρυπτογράφησης από άκρο-σε-άκρο μεταξύ φορέων.

Απομακρυσμένη ασφαλής σύνδεση με IPsec, για τα στελέχη της ΔΔ.

Όλες οι TCP/UDP πόρτες είναι εξορισμού κλειστές. Επιτρέπεται μόνο η επικοινωνία για web (http:80, https:443) και για email (smtp:25, pop3:110)

Δυνατότητα υποστήριξης επιπλέον εφαρμογών – δικτυακών πορτών μετά από τεκμηριωμένο αίτημα.

Κάθε κόμβος του δικτύου διανομής θα είναι συσκευή του Επιπέδου Δικτύου 3 (OSI layer 3 - Network Layer) και συγκεκριμένα του πρωτοκόλλου IP εκτελώντας όλες τις λειτουργίες του επιπέδου αυτού ή/και ανώτερου (δρομολόγηση κ.α.).

Η μετάδοση φωνής γίνεται πάνω από IP δίκτυα με υλοποίηση πρωτοκόλλων VoIP (Voice over Internet Protocol).



121

5.2.3 Παρεχόμενες υπηρεσίες Υπηρεσίες που παρέχονται:

Ενοποιημένες υπηρεσίες Δεδομένων-Φωνής-Εικόνας.

Υπηρεσίες τηλεφωνίας μεταξύ των διασυνδεδεμένων φορέων και τερματισμός για κλήσεις προς εξωτερικά δίκτυα.

Για τις ανάγκες τηλεδιάσκεψης-τηλεεκπαίδευσης έχουν εγκατασταθεί 100 studio τηλεδιάσκε-ψης σε επιλεγμένα σημεία.

Συνεργασία-Διασύνδεση με το Ευρωπαϊκό δίκτυο Δημόσιας Διοίκησης TESTA, Trans-Europe-an Services for Telematics between Administrations, το οποίο υιοθετεί αυστηρή πολιτική ασφά-λειας.

PKI και Ψηφιακή Υπογραφή:

50.000 χρήστες ψηφιακών πιστοποιητικών με smart cards.

Για κάθε χρήστη διατίθεται Ψηφιακό Πιστοποιητικό αποκλειστικά για χρήση σε ψηφιακή υπο-γραφή και ταυτοποίηση και ένα 2ο πιστοποιητικό για χρήση αποκλειστικά σε κρυπτογράφηση.

2.500 ψηφιακά πιστοποιητικά SSLγια τους servers του δικτύου.

Ο Κανονισμός Πιστοποίησης έχει δημοσιευθεί επίσημα και βρίσκεται σε ισχύ.

5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ Διασυνδεμένοι Φορείς στο κυρίως έργο:

Δυνητικά, το σύνολο των φορέων του ευρύτερου ελληνικού Δημοσίου.

Σήμερα περίπου 1800 σημεία σύνδεσης, φορέων που εντάσσονται σε 4 Υπουργεία.

Υπάρχουν ακόμη πολλοί φορείς που δεν συμμετέχουν και έχουν εκφράσει το ενδιαφέρον συμμετοχής τους (π.χ. ΕΛΑΣ, ΥΕΝ, Υπ.Γεωργίας, Εθνικό Κτηματολόγιο, κ.ά.).

Διασυνδεμένοι Φορείς στο πρόσθετο έργο ‘Μίνι-Σύζευξις’:

Επιπλέον 800 σημεία-κτήρια, κυρίως του Υπουργείου Οικονομικών (Δημόσιες Οικονομικές Υ-πηρεσίες, Τελωνεία, Κτηματικές υπηρεσίες, Χημικές Υπηρεσίες, Υπηρεσίες Δημοσιονομικού Ελέγχου κ.ά.).

Επιπλέον 400 κτήρια των Νομαρχιακών Αυτοδιοικήσεων (πλέον των κεντρικών κτηρίων τους που καλύφθηκαν από το κυρίως έργο).

Βαθμός Διασύνδεσης

Όλα τα σημεία πρόσβασης διασυνδέονται μεταξύ τους σε level 3, δηλαδή βασίζονται στο πρωτό-κολλο ΙΡ. Όλα τα σημεία, ανεξάρτητα από τη νησίδα στην οποία ανήκουν διασυνδέονται μεταξύ τους αλλά και με εξωτερικά δίκτυα, με ελεύθερη χρήση των εφαρμογών HTTP (εφαρμογές web) και SMTP-POP3 (εφαρμογές ηλεκτρονικού ταχυδρομείου).

Επιπλέον, τα σημεία πρόσβασης εντός της ίδιας λογικής ομάδας (VPN) διαθέτουν μεγαλύτερο βαθ-μό ελευθερίας στη μεταξύ τους διασύνδεση, έτσι ώστε να είναι δυνατή η χρήση επιπλέον εφαρμο-γών.



122

Τέλος, είναι δυνατή η ασφαλής επικοινωνία είτε μεταξύ servers-εφαρμογών με τη χρήση SSL, αλ-λά και η ασφαλής επικοινωνία μεταξύ χρηστών με τη χρήση προσωπικών ψηφιακών πιστοποιητι-κών για ψηφιακή υπογραφή και κρυπτογράφηση.

5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Δεν υφίσταται Μελέτη Ασφάλειας για το δίκτυο ‘Σύζευξις’. Καταγράφονται στη συνέχεια βασικά ζητήματα που σχετίζονται έμμεσα ή άμεσα με την ασφάλεια του δικτύου ‘Σύζευξις’:

Διαθεσιμότητα Δικτύου:

Τυπικά βασίζεται εξ ολοκλήρου σε Service Level Agreements μεταξύ της ΚτΠ Α.Ε. και των Α-ναδόχων.

Η ευθύνη της καλής λειτουργίας του δικτύου μεταφέρεται στους Αναδόχους, μέσω των όρων των SLA.

Ουσιαστικά:

o Υπάρχει πλήρης εφεδρεία στις γραμμές κορμού, μερική εφεδρεία στις γραμμές διανομής, αλλά δεν υπάρχει εφεδρεία στις γραμμές πρόσβασης.

o Υπάρχει πρόβλεψη για εφεδρεία στον εξοπλισμό των κεντρικών κόμβων (δηλαδή στα Data Centers των Παρόχων).

o Πρόβλεψη για on-site υποστήριξη και αντικατάσταση στον εξοπλισμό των διασυνδεδεμε-νων φορέων.

Εμπιστευτικότητα και Ακεραιότητα:

Δεν υφίσταται κεντρική υποδομή για παροχή σχετικών υπηρεσιών.

Υλοποιούνται ασφαλή κανάλια επικοινωνίας από-άκρο-σε-άκρο κατά περίπτωση εφαρμογής.

Χρήση τεχνολογιών VPN, IPSec, Κρυπτογράφηση με ψηφιακά πιστοποιητικά (πάντα σε επίπε-δο τελική εφαρμογής).

Χρήση των υπηρεσιών PKI για την υλοποίηση SSL και για την ασφαλή επικοινωνία μεταξύ χρηστών.

Ταυτοποίηση Χρηστών:

IP-based ταυτοποίηση (κάθε χρήστης εντός μιας νησίδας θεωρείται έμπιστος).

Υπάρχει κεντρική υποδομή LDAP, που δεν αξιοποιείται για authentication, αλλά μόνο ως υπη-ρεσία ευρετηρίου.

Η διαχείριση Ταυτοποίησης και Εξουσιοδότησης δεν βασίζεται σε κάποια κεντρική υπηρεσία, αλλά γίνεται σε επίπεδο εφαρμογής.

Διαχείριση Δικτύου:

Αποκλειστικά από τους Παρόχους.

Πρόσβαση Read-only για την ΚτΠ Α.Ε.

Καμία διαχειριστική δυνατότητα για τους διασυνδεδεμένους φορείς.



123

Διασυνδέσεις με εξωτερικά δίκτυα:

TESTA (Trans-European Services for Telematics between Administrations) με αυστηρή πολιτι-κή ασφάλειας.

ΕΔΕΤ: Κυρίως για παροχή υπηρεσιών τηλεφωνίας - δεν αξιοποιείται προς το παρόν. Το ΕΔΕΤ αντιμετωπίζεται ως ανοικτό δίκτυο.

Οποιοσδήποτε τρίτος, αλλά και οι νησίδες μεταξύ τους, αντιμετωπίζονται ως ‘Διαδίκτυο’.

Ύπαρξη άγνωστων διασυνδέσεων σε κτίρια διασυνδεδεμένων φορέων.

Υποδομή Δημόσιου Κλειδιού:

Θεωρητικά θα αποτελεί τη μοναδική υποδομή ισχυρής ταυτοποίησης χρηστών.

Παρέχει τα εργαλεία για end-to-end υπηρεσίες ασφάλειας.

Έχουν ήδη δοθεί σε χρήση τα πρώτα 10.000 ψηφιακά πιστοποιητικά.

Υποστηρίζεται η κατεύθυνση των PKI-enabled εφαρμογών, αλλά η αξιοποίηση των πιστοποιη-τικών σε εφαρμογές βρίσκεται σε πρώιμο στάδιο.

5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής Το Δίκτυο ‘Σύζευξις’ αποτελεί τη δικτυακή ραχοκοκαλιά και υποστηρίζει έμμεσα ή άμεσα ένα με-γάλο αριθμό υπηρεσιών της Δημόσιας Διοίκησης. Παρόλο που δεν σχετίζεται άμεσα με τον πολίτη, ως τελικό χρήστη, ουσιαστικά όλες οι συναλλαγές του πολίτη που σχετίζονται με τις συναλλαγές με τους φορείς που διασυνδέονται στο Σύζευξις, εξυπηρετούνται από την εν λόγω υποδομή. Χαρα-κτηριστικά παραδείγματα της εμβέλειας που έχει το Σύζευξις, όχι μόνο στην επικοινωνία μεταξύ φορέων, αλλά και μεταξύ Πολιτών και ΔΔ, είναι τα ΚΕΠ, το TAXISnet, τα Τελωνεία και τα Στρα-τολογικά γραφεία.

Συνεπώς, το Δίκτυο Σύζευξις υποστηρίζει ταυτόχρονα: α) Υπηρεσίες ΔΔ προς τους πολίτες, β) Υ-πηρεσίες ΔΔ προς επιχειρήσεις γ) Εσωτερικές Υπηρεσίες μεταξύ των φορέων της ΔΔ και δ) Επι-κοινωνία, με την ευρύτερη έννοια, μεταξύ των φορέων της ΔΔ. Είναι λοιπόν σαφές ότι το δίκτυο Σύζευξις αποτελεί μια από τις σημαντικότερες Υποδομές της Δημόσια Διοίκησης.

5.2.7 Ένταξη στις εθνικές ΠΕY Το ‘Σύζευξις’ αποτελεί το Εθνικό Δίκτυο της Δημόσιας Διοίκησης και ως εκ τούτου εντάσσεται στις εθνικές ΠΕΥ, στο πλαίσιο της ανάπτυξης της Κοινωνίας της Πληροφορίας. Το Δίκτυο Σύζευ-ξις πληροί πολλούς από τους στόχους μιας εθνικής ΠΕΥ, όπως παρακάτω:

Ο εκσυγχρονισμός των υποδομών.

Η παροχή προηγμένων τηλεματικών υπηρεσιών και υπηρεσιών προστιθέμενης αξίας, όπως οι προηγμένες υπηρεσίες δικτύωσης, τηλεφωνίας, τηλεδιάσκεψης, τηλεκπαίδευσης, απομακρυ-σμένης πρόσβασης, πιστοποίησης και ασφάλειας ηλεκτρονικών συναλλαγών.

Προώθηση της ευρυζωνικότητας, αφού το ‘Σύζευξις’ αποτελεί το πρώτο εγχείρημα παροχής ευρυζωνικών τηλεπικοινωνιακών υπηρεσιών μεγάλης κλίμακας στη Ελλάδα.

Η γεωγραφική διασπορά του έργου, το οποίο διασυνδέει φορείς-χρήστες σε όλη την ελληνική επικράτεια.



124

Η ενιαία, αποδοτική και αποτελεσματική διαχείριση των τηλεπικοινωνιακών δαπανών και η ε-νίσχυση της ανταγωνιστικότητας στους παρόχους τηλεπικοινωνιακών υπηρεσιών.

5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής Για την αξιολόγηση του βαθμού κρισιμότητας του Δικτύου Σύζευξις, εφαρμόζονται τα κριτήρια κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:

Αριθμός χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της ποιότητας μιας υπηρεσίας.

Οικονομική Επίπτωση: η πιθανή άμεση και έμμεση οικονομική επίπτωση από τη μείωση της ποιότητας μιας υπηρεσίας έως τη μη διαθεσιμότητά της.

Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.

Βαθμός αλληλοεξάρτησης: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφική ή λογική εξάρτηση).

Κρισιμότητα υπηρεσίας: (Επιπτώσεις μη διαθεσιμότητας υπηρεσίας για διάφορα χρονικά δια-στηματα): η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.

Εμπιστοσύνη της κοινής γνώμης: η επίδραση της απώλειας μιας υπηρεσίας/ενός αγαθού στην ε-μπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.

Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: η επίδραση στη λειτουργία κυβερνη-τικών φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.

Προσωπική ασφάλεια: Η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών.

Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσω-πικών ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομοθεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.

Η ταξινόμηση των κριτηρίων αυτών περιγράφεται παρακάτω (Πίνακας 11).

Εφαρμόζοντας τα κριτήρια στο ΟΠΣ/Δίκτυο ΣΥΖΕΥΞΙΣ, προκύπτουν τα ακόλουθα στοιχεία:

1. Αριθμός χρηστών. Το Δίκτυο Σύζευξις αποτελεί τη ραχοκοκαλιά, όχι μόνο για την επικοινωνία μεταξύ φορέων, αλλά και για τις υπηρεσίες που απευθύνονται στους Πολίτες. Συνεπώς οι δυνη-τικοί χρήστες του Δικτύου είναι το σύνολο των ελλήνων πολιτών που έχουν δικαιοπρακτική δυνατότητα και υπολογίζεται σε 8.000.000 χρήστες και άρα το κριτήριο εμπίπτει στην κατηγο-ρία κρισιμότητας ‘Πολύ Υψηλή’.

2. Οικονομική Επίπτωση. Το Δίκτυο Σύζευξις δεν υποστηρίζει άμεσες οικονομικές συναλλαγές και συνεπώς τυχόν δυσλειτουργίες του δικτύου έχουν μόνο έμμεσες επιπτώσεις για τις εφαρμο-γές τις οποίες υποστηρίζει. Οι εφαρμογές του Υπουργείου οικονομικών έχουν οικονομικό περι-εχόμενο, αλλά εφόσον οι συναλλαγές έχουν διεκπεραιωτικό χαρακτήρα, δεν εμπεριέχουν άμε-σες συναλλαγές και δεν αφορούν σε εμπορική δραστηριότητα, η επίπτωση κρίνεται ως ‘Χαμη-λή’.

3. Εμβέλεια. Το Δίκτυο παρέχει υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητά του με βά-ση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως ‘Υψηλή’.



125

Επίπτωση

Κριτήριο Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή

Αριθμός χρηστών >100,000 άτομα 10,000 έως 100,000

άτομα 1000 έως 10,000 άτομα

100 έως 1,000 άτομα < 100 άτομα

Οικονομική Επίπτωση > €1 δις €100 εκατ. έως €1 δις €10 έως €100 εκατ. < €10 εκατ. < € 1 εκατ.

Εμβέλεια Διεθνής Εθνική Περιφερειακή Τοπική (σε πολλούς φορείς)

Τοπική (σε ένα φορέα)

Βαθμός Αλληλο-εξάρτησης

Συντριπτική επί-δραση σε άλλες υποδομές/τομείς

Σημαντική επίδραση σε άλλες υποδομές/-τομείς

Μέτρια επίδραση σε άλλες υποδομές/ το-μείς

Μικρή επίδραση σε άλλες υπο-δομές/ τομείς

Επίδραση μόνο σε μία υποδομή/τομέα

Κρισιμότητα υπηρεσίας

Υψηλό κόστος σε περισσότερους τομείς, Χρόνος ανάκαμψης πέ-ραν του έτους

Υψηλό κόστος, Υψη-λός απαιτούμενος χρό-νος ανάκαμψης (βδο-μάδες-μήνες)

Μέτριο κόστος, Ση-μαντικός Χρόνος ανάκαμψης (μέρες-βδομάδες)

Χαμηλό κόστος, Μικρός απαι-τούμενος χρόνος ανάκαμψης (ώρες-μέρες)

Αμελητέο κόστος, Μικρός απαιτουμε-νος χρόνος ανά-καμψης (ώρες)

Εμπιστοσύνη της κοινής γνώμης

Διεθνής αποδοκι-μασία

Χαμηλή κυβερνητική αξιοπιστία σε εθνικό επίπεδο

Μέτρια κυβερνητι-κή αξιοπιστία σε ε-θνικό επίπεδο

Απώλεια καλής φήμης πολλών κυβερνητικών οργανισμών/φο-ρέων

Απώλεια καλής φήμης ενός κυβερ-νητικού οργανι-σμού/φορέα

Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού

Σοβαρή παρε-μπόδιση/ διακο-πή της ανάπτυξης και εφαρμογής κυβερνητικών πολιτικών

Υποβάθμιση της δια-πραγματευτικής και συναλλακτικής δυνα-τοτητας της κυβέρνη-σης

Παρεμπόδιση της αποτελεσματικής ανάπτυξης και ε-φαρμογής των κυ-βερνητικών πολιτι-κών

Υπονόμευση της σωστής διαχεί-ρισης ή/και λει-τουργίας δημο-σίου οργανισμού

Ανεπαρκής λει-τουργία μέρους ε-νός δημοσίου ορ-γανισμού

Προσωπική ασφάλεια

Απώλεια πολλών ανθρώπινων ζω-ών

Απώλεια ανθρώπινης ζωής

Σημαντικός τραυμα-τισμός σε περισσό-τερα άτομα

Μικρός τραυμα-τισμός σε περισ-σότερα άτομα

Μικρός τραυματι-σμός σε ένα άτομο

Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών

Αποκάλυψη ε-μπιστευτικών κυ-βερνητικών πλη-ροφοριών

Παραβίαση νομοθε-σίας, σοβαρή ενόχλη-ση πολλών ατόμων

Παραβίαση νομοθε-σίας, σοβαρή ενό-χληση ενός ατόμου

Μικρή ενόχλη-ση πολλών ατό-μων

Μικρή ενόχληση ε-νός ατόμου

Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής

4. Βαθμός αλληλοεξάρτησης: Το Δίκτυο Σύζευξις αποτελεί τη βασική υποδομή για τη λειτουργία ενός μεγάλου πλήθους υπηρεσιών της Δημόσιας Διοίκησης. Επιπλέον, έχει ως απώτερο στόχο την εξυπηρέτηση του συνόλου των υπηρεσιών και εφαρμογών που υποστηρίζουν τη ΔΔ. Συνε-πώς η μη διαθεσιμότητα του Σύζευξις έχει συντριπτική επίπτωση στις υπηρεσίες που υποστη-ρίζει και έτσι η κρισιμότητα του Σύζευξις με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως ‘Πολύ Υψηλή’.

5. Κρισιμότητα υπηρεσίας: Πιθανή μη διαθεσιμότητα του Δικτύου θα έχει υψηλό κόστος για τις υπηρεσίες της ΔΔ που εξυπηρετεί, καθώς για πολλές από αυτές δεν υπάρχει εναλλακτικός τρό-



126

πος διεκπεραίωσης (π.χ. χειροκίνητη ανταλλαγή δεδομένων). Από την άλλη πλευρά η πιθανό-τητα συνολικής μη διαθεσιμότητας του δικτύου είναι μικρή, καθώς το δίκτυο είναι γεωγραφικά διάσπαρτο, εξυπηρετείται από διαφορετικούς παρόχους, διαθέτει εφεδρεία τηλεπικοινωνιακών γραμμών και δεν έχει ένα μοναδικό σημείο αποτυχίας. Συνεπώς η κρισιμότητα της υπηρεσίας χαρακτηρίζεται ‘Χαμηλή’ έως ‘Μέτρια'.

6. Εμπιστοσύνη της κοινής γνώμης: Με δεδομένο το εύρος του Δικτύου στις υπηρεσίες ΔΔ και τον αριθμό των χρηστών του, εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του Δικτύου θα επηρέαζε σημαντικά την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως ‘Υψηλή’.

7. Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: Η επίδραση στη λειτουργία κυβερνη-τικών φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβί-αση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, είναι σημαντική, καθώς θα επηρεαστεί η ομαλή λειτουργία περισσότερων του ενός φορέα, που πιθανά παρέχει κρίσιμες κυβερνητικές υ-πηρεσίες. Συνεπώς, η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Μέτρια’.

8. Προσωπική ασφάλεια: Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολι-τών και συνεπώς η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Πο-λύ Χαμηλή’.

9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπι-στευτικότητας των διακινούμενων δεδομένων του Δικτύου και με δεδομένο το μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετικής νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Τα διακινούμενα δεδομένα είναι πιθανό να περιλαμ-βάνουν προσωπικά δεδομένα, όπως για παράδειγμα στοιχεία περιουσιακής κατάστασης, δεδο-μενα υγείας, ιδιωτική επικοινωνία κλπ. Συνεπώς, η κρισιμότητα του Δικτύου με βάση το κριτη-ριο αυτό χαρακτηρίζεται ως ‘Υψηλή’.

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το ΟΠΣ/Δίκτυο ΣΥΖΕΥ-ΞΙΣ αποτελεί βασικό σημείο επαφής μεγάλου αριθμού χρηστών, σε τεχνολογίες πληροφορικής και επικοινωνιών της δημόσιας διοίκησης, μέσω της χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού συνόλου. Αυτό ενισχύεται και από το γεγονός ότι το ΣΥΖΕΥΞΙΣ εξελίσσεται σε υποδομή υποδομών για την παροχή ηλεκτρονικών υπηρεσιών. Συνεπώς η κρισιμότητα του ΣΥΖΕΥΞΙΣ, με βάση το κριτήριο αυτό, χαρακτηρίζεται ως Υψηλή.

5.2.9 Συμπεράσματα Το δίκτυο ‘Σύζευξις’ αποτελεί τη ραχοκοκκαλιά των ηλεκτρονικών υπηρεσιών της Δημόσιας Διοί-κησης. Το Δίκτυο υποστηρίζει την επικοινωνία μεταξύ των φορέων της ΔΔ μέσω της παροχής προ-ηγμένων τηλεματικών υπηρεσιών με χαμηλό κόστος. Ταυτόχρονα, εξυπηρετεί έμμεσα τους πολίτες παρέχοντας την υποδομή για όλες τις ηλεκτρονικές συναλλαγές μεταξύ Πολιτών και ΔΔ.

Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση με τον αριθμό των χρηστών και το βαθμό αλληλεξάρτησης, όπως άλλωστε είναι αναμενόμενο, αφού το Σύζευξις αποτελεί τη βασική υποδομή για μια πληθώρα άλλων εφαρμογών. Υψηλή επίσης χαρακτηρίζεται η επίπτωση που αφορά στην Εμβέλεια του Δικτύου αλλά και στην Εμπιστοσύνη της κοινής γνώμης, αφού το Δίκτυο αφορά στο σύνολο της Ελληνικής Επικράτειας. Για τους ίδιους



127

λόγους (αριθμός χρηστών και εμβέλεια) η επίπτωση κρίνεται ως υψηλή σε σχέση με την αποκάλυ-ψη εμπιστευτικών ή προσωπικών πληροφοριών.

Χαμηλές έως μέτριες κρίνονται οι οικονομικές επιπτώσεις, η κρισιμότητα της υπηρεσίας και η ε-φαρμογή της κυβερνητικής πολιτικής, ενώ το Δίκτυο δεν σχετίζεται άμεσα προς το παρόν με ζητη-ματα προσωπικής ασφάλειας.

Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι το Δίκτυο ‘Σύζευξις’ αποτελεί ‘Κρί-σιμη Υποδομή της Δημόσιας Διοίκησης’.

5.3 TAXISnet

5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας Η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά το Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας, γνωστό ως TAXIS (TAX Information Sys-tem).

Το TAXIS αποτελεί το μεγαλύτερο έργο πληροφορικής στην Ελλάδα. Υλοποιήθηκε στο πλαίσιο του Επιχειρησιακού Προγράμματος "Κλεισθένης" του Β' Κ.Π.Σ., ενώ η προσαρμογή των εφαρ-μογών στο ευρώ υλοποιήθηκε στο πλαίσιο του Επιχειρησιακού Προγράμματος "Κοινωνία της Πλη-ροφορίας" του Γ' Κ.Π.Σ. Στοχεύει στον εκσυγχρονισμό και τη βελτίωση της αποτελεσματικότητας των υπηρεσιών του Υπουργείου Οικονομίας και Οικονομικών, την πάταξη της φοροδιαφυγής και τη βέλτιστη εξυπηρέτηση των πολιτών.

Η τεχνολογική υποδομή του TAXIS αποτελείται από ένα ολοκληρωμένο on line δίκτυο 282 περι-φερειακών υπολογιστών (ένας υπολογιστής-server για κάθε ΔΟΥ), 8.600 θέσεων εργασίας κατανε-μημένων στις ΔΟΥ ανάλογα με το μέγεθός τους και ενός κεντρικού υπολογιστικού εξοπλισμού στη ΓΓΠΣ. Οι εφαρμογές του TAXIS δημιουργήθηκαν με σκοπό να αυτοματοποιήσουν και να αυτομα-τοποιήσουν το σύνολο των εργασιών των ΔΟΥ και εγκαταστάθηκαν σταδιακά σε παραγωγή από το Μάρτιο του 1998 έως τον Σεπτέμβριο του 2001 στο σύνολο των ΔΟΥ (282).

Το σύστημα TAXIS έχει συμβάλει ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολο-γικού Συστήματος τόσο σε τοπικό επίπεδο στις ΔΟΥ, όσο και σε επίπεδο κεντρικής διοίκησης. Με αυτόν τον τρόπο έχει επιφέρει σημαντικές τομές στην Ελληνική Δημόσια Διοίκηση. Ειδικότερα:

Μέσα από το TAXIS θεσπίστηκε διαδικασία κατά την οποία ο φορέας (δημόσιοι οργανισμοί, συμ-βολαιογράφοι, τράπεζες κλπ.) ζητά και λαμβάνει αυτόματα Φορολογική Ενημερότητα για λογαρια-σμό του συναλλασσόμενου πολίτη. Κατ' αυτόν τον τρόπο, ο πολίτης δεν χρειάζεται να πάει στη ΔΟΥ, να ζητήσει την έκδοση ενημερότητας και να την προσκομίσει στο φορέα.

Όλοι οι υπάλληλοι των ΔΟΥ, μετά από εκπαίδευση, έγιναν χρήστες του Πληροφοριακού Συστημα-τος TAXIS. Για πρώτη φορά, υπάλληλοι μίας υπηρεσίας, όλων των ηλικιών, κατάφεραν να αφο-μοιώσουν την τεχνολογία και να χρησιμοποιούν υπολογιστή για τη διεκπεραίωση των εργασιών τους.

Μετά την ανάπτυξη του Πληροφοριακού Συστήματος TAXIS και τη δημιουργία των αναγκαίων η-λεκτρονικών υποδομών (Βάσεις Δεδομένων), αναπτύχθηκαν εναλλακτικοί τρόποι εξυπηρέτησης των πολιτών μέσω ηλεκτρονικών συναλλαγών στο Internet.

Το TAXIS στην παρούσα φάση αναβαθμίζεται σημαντικά (επικαιροποίηση εφαρμογών - ανανέωση εξοπλισμού), αξιοποιώντας τα νέα τεχνολογικά πρότυπα των τελευταίων ετών τόσο στον τομέα της



128

ανάπτυξης των εφαρμογών, όσο και στον τομέα του εξοπλισμού και της δικτύωσης των Η/Υ, με σκοπό πάντα την καλύτερη και ταχύτερη εξυπηρέτηση των πολιτών.

Το ΟΠΣ Φορολογίας (TAXIS) που έχει αναπτύξει και λειτουργεί η ΓΓΠΣ παρουσιάζεται συνοπτι-κά στη συνέχεια:

Η κεντρική υποδομή του TAXIS αποτελείται από τον κεντρικό εξυπηρέτη που συνδέεται μέσω LAN με το TAXIS WAN (ΕΔΥΟ) και υποστηρίζει τα παρακάτω:

File και database services. Φιλοξενεί εσωτερικά τα στοιχεία φορολογίας

Application services. Εκτελεί τις on-line και batch εφαρμογές του TAXIS.

Backup services. Η διαδικασία backup φορτίζει τον κεντρικό server, προκαλεί δε φόρτο και στο LAN της ΓΓΠΣ.

Το LAN που συνδέει το TAXIS WAN με τον κεντρικό εξυπηρέτη είναι dual-homed FDDI. Στο FDDI είναι συνδεδεμένα και άλλα ενεργά στοιχεία, όπως το σύστημα NMS/SMS και τα switched-Ethernet LAN της τεχνικής υποστήριξης, που προκαλούν πρόσθετο φόρτο.

Το υπάρχον σύστημα TAXIS είναι εγκατεστημένο κεντρικά στην ΓΓΠΣ και περιφερειακά σε 282 ΔΟΥ. Περιλαμβάνει 18 υποσυστήματα. Τα υποσυστήματα αυτά διακρίνονται σε δύο μεγάλες κατη-γορίες:

Κάθετης μορφής: Υποστηρίζουν συνήθως τη λειτουργία ενός τμήματος ή γραφείου της ΔΟΥ (όπως ΦΠΑ, Εισόδημα, ΦΜΑΠ, Δικαστικό, Κεφάλαιο, Πρωτόκολλο, ΚΒΣ, Έλεγχος, Οχήμα-τα ).

Οριζόντιας μορφής: Περιλαμβάνουν επεξεργασμένες πληροφορίες περισσοτέρων του ενός τμη-μάτων της ΔΟΥ (όπως Μητρώο, Έσοδα, Έξοδα, Λοιποί Φόροι, ΑΠΑΑ, Εικόνα φορολογουμε-νου, Διασταυρώσεις, Επιθεώρηση).

Η ύπαρξη οριζοντίων υποσυστημάτων που αξιοποιούνται από πολλά άλλα υποσυστήματα, περιορί-ζει την δυνατότητα κατάτμησης των εφαρμογών (application partitioning) σε πολλαπλά συστήματα εξυπηρέτησης.

Τεχνικές προδιαγραφές υποδομής TAXIS

Το σύνολο των τεχνολογιών, όπως αυτές χρησιμοποιούνται παραγωγικά στο Ολοκληρωμένο Πλη-ροφοριακό Σύστημα Φορολογίας (TAXIS) και οι αντίστοιχες εφαρμογές που έχουν χρησιμοποιηθεί είναι συνοπτικά οι παρακάτω:

Αρχιτεκτονική τριών επιπέδων (3 tier architecture).

Εργαλείο Ανάπτυξης NatStar 2.03.

Πλατφόρμα Λειτουργίας (Πίνακας 12).

Ειδικά για τον εξοπλισμό του κεντρικού server (NILE 150), ισχύουν τα ακόλουθα:

Δώδεκα επεξεργαστές R4400 150 MHz.

Κεντρική μνήμη 3,5 GB.

Οκτώ υποσυστήματα δίσκων της εταιρείας Pyramid τεχνολογίας SCSI με συνολικά 192 δίσκους των 4.5 GB σε διάταξη RAID-1 συνδεδεμένα μέσω SCSI interface με το σύστημα.



129

Ένα υποσύστημα δίσκων της εταιρείας EMC τεχνολογίας SCSI με συνολικά 20 δίσκους των 36 GB σε διάταξη RAID-1 συνδεδεμένο μέσω SCSI interface με το σύστημα.

Ελεγκτές δικτύου τύπου FDDI και Ethernet.

Επίσης, ο κεντρικός server συνοδεύεται από τον ακόλουθο περιφερειακό εξοπλισμό:

Σύστημα Αδιάλειπτης Λειτουργίας (UPS) της εταιρείας SICON 30 KVA.

Ένας UNIX server που επιτελεί λειτουργίες Systems και Network Management με χρήση του λογισμικού OpenΜaster της εταιρείας BULL καθώς και του λογισμικού Optivity της Nortel για την παρακολούθηση της λειτουργίας των συστημάτων και του δικτύου πανελλαδικά.

Υποσυστήματα Backup.

Ο κεντρικός server, επιτελεί και τα δύο είδη επεξεργασίας (on-line και batch) που απαιτούνται για την λειτουργία του ΟΠΣ Φορολογίας.

Στο πλαίσιο της υποστήριξης των μηχανογραφικών συστημάτων του, το ΥπΟΟ έχει δημιουργήσει στην Γενική Γραμματεία Πληροφοριακών Συστημάτων την υποδομή για όλα τα Κεντρικά Συστή-ματα. Η υποδομή αυτή καλύπτει σε αυτήν την φάση τις ανάγκες κεντρικής επεξεργασίας για τo Ο-λοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας (TAXIS), το Ολοκληρωμένο Πληροφοριακό Σύστημα Τελωνείων (ICIS), καθώς και για μία σειρά άλλα έργα (VIES, συντάξεις, μισθοδοσία, Προσωπικό, Τράπεζα νομικών πληροφοριών, Διαχείριση Αποθηκών κλπ).

Το Κεντρικό Δίκτυο του ΓΓΠΣ που εξυπηρετεί τις ανάγκες δικτύωσης των συστημάτων του έργου TAXIS είναι βασισμένο στην τεχνολογία FDDI. Με την αρχιτεκτονική dual homing που έχει επιλε-γεί το κεντρικό δίκτυο είναι προστατευμένο σε μεγάλο βαθμό απέναντι σε αστοχίες υλικού, καθώς για κάθε «μονοπάτι» υπάρχει και ένα τουλάχιστον εναλλακτικό το οποίο μπορεί να χρησιμοποιηθεί στην περίπτωση που το κύριο μονοπάτι δεν είναι διαθέσιμο για οποιονδήποτε λόγο.

Σε επίπεδο εξοπλισμού το Κεντρικό Δίκτυο της ΓΓΓΠΣ αποτελείται από:

Τέσσερις δρομολογητές της εταιρείας Bay Networks τύπου BCN οι οποίοι απαρτίζουν το back-bone του WAN δικτύου.

Δύο FDDI hubs της εταιρείας Nortel τύπου 5000 τα οποία εξυπηρετούν τη δημιουργία του dual-homing.

Ένα κεντρικό switch της εταιρείας CISCO τύπου 5000 το οποίο απαιτείται για τη λειτουργία του κεντρικού δικτύου τεχνολογίας Ethernet 100 Mbits.

Ένας αριθμός από περιφερειακά switches ορόφων της εταιρείας CISCO τα οποία συνδέονται στο κεντρικό switch.

Ένας μεγάλος αριθμός από hubs της εταιρείας CISCO τα οποία συνδέονται στα switches ορό-φων.

5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης Τα συστήματα που έχουν αναπτυχθεί ή βρίσκονται υπό ανάπτυξη από την ΓΓΠΣ (εσωτερικά ή σε συνεργασία με αναδόχους), καθώς και το αντίστοιχο περιβάλλον ανάπτυξης που χρησιμοποιείται, αναφέρονται στη συνέχεια (Πίνακας 12).



130

Σύστημα Τεχνολογίες Ανάπτυξης

Application Server Platform

Database/Operating System

Νέο περιβάλλον TAXIS

Oracle Forms και Reports 10g PL/SQL (σε μικρό ποσοστό JSP, JavaScript, html)

Oracle IAS10g Linux Oracle 10g/UNIX

Νέο περιβάλλον TAXISnet

J2EE (JSP’s, xml, java servlets) html, xml, web services, PL/SQL

Oracle IAS10g Linux Oracle 10g/UNIX

Υπάρχουσες Web ε-φαρμογές (Φόρος Εισο-δήματος, Περαίωση)

J2EE, PL/SQL Oracle IAS10g Linux Oracle 7.3,4

Batch Κεντρικές Εκτυπώσεις TAXIS Cobol και Oracle Reports Oracle 10g/UNIX

Batch Διαδικασίες TAXIS Cobol Oracle 10g/UNIX

Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ

Παράλληλα με τους αυτοτελείς λειτουργικούς και επιχειρησιακούς στόχους που αφορούν την δημι-ουργία και αναβάθμιση υποδομών και εφαρμογών για την παροχή ηλεκτρονικών υπηρεσιών στο πλαίσιο των συστημάτων TAXIS και TAXISnet, αξίζει να σημειωθούν και οι γενικότεροι επιχειρη-σιακοί στόχοι της ΓΓΠΣ. Συγκεκριμένα, γενικότερη επιδίωξη της ΓΓΠΣ είναι:

1. Η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης στον πολίτη, στις επιχειρήσεις και στη Δη-μόσια Διοίκηση.

2. Η επίτευξη φορολογικής δικαιοσύνης και διαφάνειας.

Για την επίτευξη των παραπάνω στόχων απαιτείται και δρομολογείται με τον παρόν έργο:

Η σταδιακή ενοποίηση των βάσεων δεδομένων σε όλο το φάσμα των πληροφοριακών συστη-μάτων που αναπτύσσει και υποστηρίζει (data integration).

Η σταδιακή ενοποίηση της διαχείρισης μητρώου χρηστών πληροφοριακών συστημάτων (iden-tity integration).

H αξιοποίηση της υπάρχουσας τεχνογνωσίας και εσωτερικού δυναμικού ανάπτυξης με την χρήση κοινού περιβάλλοντος ανάπτυξης και διαχείρισης εφαρμογών και υπηρεσιών (integrated development platform).

Η συγκέντρωση και οργάνωση δεδομένων σε μία κοινή υποδομή αποθήκευσης και διαχείρισης δεδομένων (datacenter consolidation).

Το έργο δομείται λογικά σε τρεις άξονες:

1. Ανάπτυξη Κέντρου Δεδομένων ΓΓΠΣ

2. Ανάπτυξη του εξοπλισμού για την εξυπηρέτηση και διεκπεραίωση φορολογικών συναλλαγών των Πολιτών μέσω διαδικτύου

3. Ανάπτυξη του εξοπλισμού για την εξυπηρέτηση και διεκπεραίωση φορολογικών συναλλαγών των Πολιτών μέσω ΔΟΥ

Στη συνέχεια, αναλύουμε τον 1ο άξονα του έργου, που αφορά το Κέντρο Δεδομένων της ΓΓΠΣ.



131

Άξονας 1 – Ανάπτυξη Κέντρου Δεδομένων ΓΓΠΣ

Το σύστημα TAXIS παρέχει πληροφορίες στρατηγικής σημασίας για την Δημόσια Διοίκηση. Σαν αποτέλεσμα δημιουργείται η ανάγκη για την συστηματική παροχή στοιχείων φορολογίας από το TAXIS σε ΠΣ που συμπληρώνουν το κύκλωμα φορολογίας (π.χ. TAXISnet), σε άλλα ΠΣ του Υπ-ΟΟ (Ελεγκτικές Υπηρεσίες, Κεντρικές Υπηρεσίες Φορολογίας, Γενικό Λογιστήριο του Κράτους - ΓΛΚ) καθώς και σε τρίτους φορείς, βάσει των εξειδικευμένων αναγκών πληροφόρησης που έχει κάθε Υπηρεσία, διασφαλίζοντας παράλληλα τα ακόλουθα:

το μακροπρόθεσμο σχεδιασμό που θα λαμβάνει υπόψη την αναμενόμενη εξέλιξη της λειτουρ-γίας της ΓΓΠΣ ως προς το εύρος των παρεχόμενων υπηρεσιών, το πλήθος των αποδεκτών των υπηρεσιών και το βάθος χρόνου ιστορικών δεδομένων. (επεκτασιμότητα, διαλειτουργικότητα υποδομών),

την συνολική αντιμετώπιση της ανάπτυξης νέων υποδομών της ΓΓΠΣ που θα επιτυγχάνει λει-τουργικές και οικονομικές συνέργειες,

την ποιοτική και αποτελεσματική εξυπηρέτηση των ΠΣ και την επιχειρησιακή ταχύτητα,

ασφάλεια, ελεγχόμενη πρόσβαση δεδομένων,

την ελαχιστοποίηση χειρονακτικών ή μη αυτοματοποιημένων βημάτων μεταφοράς δεδομένων, καθώς και χρήσης αργών ή αναποτελεσματικών μεθόδων μεταφοράς,

την διαχείριση της συνεχώς αυξανόμενης ανάγκης για αποθήκευση δεδομένων,

την αποτελεσματική κεντρική διαχείριση του χώρου αποθήκευσης, που θα εξασφαλίζει υψηλή διαθεσιμότητα των δεδομένων και την συστηματική αντιμετώπιση κρίσεων (disaster recovery),

την οικονομική χρήση των υποδομών αποθήκευσης και την οικονομική λειτουργία και τεχνική υποστήριξη του συστήματος.

Η εγκατεστημένη υποδομή στην ΓΓΠΣ (Datacenter ΓΓΠΣ) εκτιμάται ότι δεν μπορεί να ανταποκρι-θεί στις προαναφερθείσες ανάγκες, και πρέπει να αναβαθμιστεί για να εξυπηρετήσει πλήρως το α-ναπτυξιακό πλαίσιο του ΥπΟΟ.

Η σκοπιμότητα του παρόντος άξονα εντοπίζεται εξετάζοντας τόσο το εσωτερικό όσο και το ευρύ-τερο περιβάλλον της ΓΓΠΣ. Εξετάζοντας το εσωτερικό της ΓΓΠΣ, κύριος στόχος είναι η ενίσχυση της επιχειρησιακής δυναμικότητας της ΓΓΠΣ, στην προσπάθεια ανάπτυξης νέων συστημάτων που θα καλύψουν το σύνολο των Υπηρεσιών του ΥπΟΟ. Με δεδομένες τις στρατηγικές επιλογές πλη-ροφορικής, η δημιουργία Κέντρου Δεδομένων αποτελεί προϋπόθεση για την καλύτερη Επιχειρη-σιακή Υποστήριξη προς το ΥπΟΟ και την ανταπόκριση στις υποχρεώσεις του έναντι των άλλων Δημοσίων Φορέων και των Πολιτών. Επιπλέον, μέσω του συγκεκριμένου άξονα επιδιώκεται η υ-ψηλή διαθεσιμότητα φορολογικών στοιχείων, που διασφαλίζεται από την ανάπτυξη standby βάσης δεδομένων του TAXIS, από την οποία θα αντλούν στοιχεία τα άλλα ΠΣ και τρίτοι φορείς σε ελεγ-χόμενο πλαίσιο. Περαιτέρω, επιδιώκεται η μείωση κόστους λειτουργίας της κεντρικής υποδομής της ΓΓΠΣ με την αξιοποίηση νέων μεθόδων ανάπτυξης και παραγωγικής λειτουργίας. Τέλος, η αναβάθμιση του Κέντρου δεδομένων θα συμβάλλει στην αποδοτικότερη αξιοποίηση του Ανθρώπι-νου Δυναμικού της ΓΓΠΣ με την υιοθέτηση τεχνολογιών αιχμής και μεθόδων που περιορίζουν ερ-γασίες χαμηλής προστιθέμενης αξίας και επιτρέπουν την εστίαση σε αναπτυξιακό έργο. Η κεντρική υποδομή του TAXIS αποτελείται από τον κεντρικό εξυπηρέτη που συνδέεται μέσω LAN με το TAXIS WAN και υποστηρίζει τα παρακάτω:

File και database services. Φιλοξενεί εσωτερικά τα στοιχεία φορολογίας



132

Application services. Εκτελεί τις on-line και batch εφαρμογές του TAXIS.

Backup services. Η διαδικασία backup φορτίζει τον κεντρικό server.

Το LAN που συνδέει το TAXIS WAN με τον κεντρικό εξυπηρέτη είναι dual-homed FDDI. Στο FDDI είναι συνδεδεμένα και άλλα ενεργά στοιχεία, όπως το σύστημα NMS/SMS και τα switched-Ethernet LAN της τεχνικής υποστήριξης, που προκαλούν πρόσθετο φόρτο.

5.3.3 TAXISnet Το έργο TAXISnet στο σύνολο του αφορά στην αναβάθμιση του εναλλακτικού καναλιού εξυπηρέ-τησης και διεκπεραίωσης συναλλαγών των πολιτών σε θέματα και πράξεις φορολογικού αντι-κειμένου. Το έργο εκμεταλλεύεται σύγχρονες τεχνολογίες παροχής διαδικτυακών υπηρεσιών, αξιο-ποιώντας τις δυνατότητες που παρέχει το πληροφοριακό σύστημα TAXIS για ανάπτυξη υπηρεσιών προστιθέμενης αξίας για τον οργανισμό και τον πολίτη.

Γενικότερα, το έργο αφορά στην αναβάθμιση της επιχειρησιακής ικανότητας της κεντρικής υποδο-μής της ΓΓΠΣ με αξιοποίηση τεχνολογιών αιχμής και συγκεκριμένα την μετάβαση από το μοντέλο της διασποράς των δεδομένων και των εφαρμογών, που υιοθετήθηκε την προηγούμενη δεκαετία, σε ένα κεντρογενές μοντέλο.

ΑΝΑΘΕΤΟΥΣΑ ΑΡΧΗ «Κοινωνία της Πληροφορίας Α.Ε.» (ΚτΠ Α.Ε.) ΤΙΤΛΟΣ ΕΡΓΟΥ «TAXISnet:Εξοπλισμός-Κέντρο Διαχείρισης Δεδομένων Γ.Γ.Π.Σ» ΦΟΡΕΑΣ ΓΙΑ ΤΟΝ ΟΠΟΙΟ ΠΡΟΟΡΙΖΕΤΑΙ ΤΟ ΕΡΓΟ ΥΠΟΥΡΓΕΙΟ OIKONΟΜΙΑΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ

ΤΟΠΟΣ ΠΑΡΑΔΟΣΗΣ – ΤΟΠΟΣ ΠΑΡΟΧΗΣ ΥΠΗΡΕΣΙΩΝ

Χώροι του ΥΠΟΟ πανελλαδικά

ΕΙΔΟΣ ΣΥΜΒΑΣΗΣ Προμήθεια και εγκατάσταση Εξοπλισμού Πληροφορικής και Λογισμικού Ταξινόμηση κατά CPV: 30.25.00.00-6 Συστήματα Ηλεκτρονικών Υπολογι-στών (Κωδικός CPA 30.30.0.30.02).

ΕΙΔΟΣ ΔΙΑΔΙΚΑΣΙΑΣ Ανοικτός Διαγωνισμός με κριτήριο ανάθεσης την πλέον συμφέρουσα από οικονομική άποψη Προσφορά

ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ Ο συνολικός προϋπολογισμός του έργου ανέρχεται στο ποσό των 7.776.440,64 €, συμπεριλαμβανομένου ΦΠΑ 19%.

ΧΡΗΜΑΤΟΔΟΤΗΣΗ ΕΡΓΟΥ

Το έργο χρηματοδοτείται από το Επιχειρησιακό Πρόγραμμα «Κοινωνία της Πληροφορίας», στο πλαίσιο του Γ’ ΚΠΣ, σε ποσοστό 75% από το ΕΤΠΑ και 25% από Εθνικούς Πόρους. Οι δαπάνες του έργου βαρύνουν το Πρό-γραμμα Δημοσίων Επενδύσεων, ΣΑΕ 2003ΣΕ05130003

ΧΡΟΝΟΣ ΥΛΟΠΟΙΗΣΗΣ – ΔΙΑΡΚΕΙΑ ΕΡΓΟΥ 9 μήνες από την υπογραφή της Σύμβασης

Πίνακας 13: Ταυτότητα έργου TAXISnet Στόχος του συγκεκριμένου έργου είναι η υλοποίηση της απαραίτητης υποδομής για την παροχή των ηλεκτρονικών υπηρεσιών φορολογικής εξυπηρέτησης του Πολίτη, ώστε να επιτυγχάνεται η τα-χεία και αποτελεσματική εξυπηρέτηση του φορολογουμένου, τόσο μέσω των ΔΟΥ όσο και μέσω του Διαδικτύου.

Αναλυτικότερα οι γενικοί στόχοι της ΓΓΠΣ συνοψίζονται στα εξής:



133

Αντικατάσταση όλης της κεντρικής υποδομής (servers, storage, εσωτερικό δίκτυο), με νέα η ο-ποία θα έχει χαρακτηριστικά υψηλής διαθεσιμότητας, μεγάλης κλιμάκωσης-επεκτασιμότητας και αυξημένης απόδοσης και θα μπορεί να υποστηρίξει τα:

o Ενοποίηση (Consolidation) των υπαρχόντων servers της ΓΓΠΣ.

o Συγκέντρωση όλων των δεδομένων σε αποθηκευτική υποδομή (SAN), που θα μοιράζει αποθηκευτικούς χώρους δεδομένων σε όλους τους servers της ΓΓΠΣ.

Ενίσχυση της ασφάλειας πρόσβασης στα δίκτυα, στα συστήματα και στα δεδομένα του ΥπΟΟ που φιλοξενούνται στη ΓΓΠΣ.

Κεντρικό έλεγχο -διαχείριση των συστημάτων, δικτύων και εφαρμογών.

Ομογενοποίηση των περιβαλλόντων ανάπτυξης και εκμοντερνισμός των εφαρμογών.

Ομογενοποίηση του λογισμικού περιβάλλοντος των συστημάτων.

Ενοποίηση του εσωτερικού δικτύου του ΥπΟΟ (ΙΝΤRΑΝΕΤ) με το Διαδίκτυο (INTERNET).

Ενοποίηση της βάσης φορολογικών δεδομένων που εξυπηρετεί τους χρήστες του INTERNET με αυτή που εξυπηρετεί τους χρήστες του INTRANET (μετά την ενίσχυση της ασφάλειας).

Δημιουργία disaster site και εκπόνηση σχεδίου συνέχειας της υπηρεσίας μετά από καταστροφή.

Τα ανωτέρω πρόκειται να επιχειρηθούν σταδιακά και με προσοχή χωρίς να διαταραχθούν οι παρε-χόμενες σήμερα υπηρεσίες και χωρίς να τροποποιηθούν οι υπάρχουσες εφαρμογές που θα συνυ-πάρχουν μέχρι να αντικατασταθούν από τις εφαρμογές νέας φιλοσοφίας που αναπτύσσονται ή θα αναπτυχθούν.

Στο πλαίσιο του νέου TAXISnet, αναμένεται να υλοποιηθούν τα ακόλουθα:

Η αναβάθμιση του τοπικού δικτύου της ΓΓΠΣ.

Η αντικατάσταση των βασικών κεντρικών OLTP RDBMS servers του TAXIS με νέους, ισχυ-ρότερους, υψηλής διαθεσιμότητας και επεκτασιμότητας.

Η προμήθεια των βασικών κεντρικών RDBMS servers του συστήματος ΤaxisNet, που θα εξα-σφαλίσουν υψηλή διαθεσιμότητα και επεκτασιμότητα.

Η δημιουργία κεντρικού αποθηκευτικού χώρου δεδομένων (SAN) που θα εξυπηρετεί τόσο τους υπό προμήθεια servers όσο και τους μελλοντικούς.

Η διαμόρφωση του SAN για τη βέλτιστη αξιοποίησή του.

Η προμήθεια Back-up συστήματος.

Η προμήθεια συστοιχίας Web/Application/LDAP servers, Δικτυακών συσκευών, Firewalls, IDSs, κλπ, για το TAXISnet και τη νέα έκδοση του Taxis, που βρίσκεται υπό ανάπτυξη.

Η προμήθεια λογισμικού κεντρικής διαχείρισης συστημάτων και δικτύων.

Η διαμόρφωση των RDBMS εξυπηρετών όσον αφορά την κατανομή των resources σε επιμέ-ρους λογικά συστήματα, ένα από τα οποία, το μεγαλύτερο, θα εξυπηρετεί τις OLTP ανάγκες του οργανισμού (TAXIS, VIES), ένα θα εξυπηρετεί το TAXISnet, ένα θα εξυπηρετεί ανάγκες ανάπτυξης και ελέγχου και ένα θα εξυπηρετεί ένα σύνολο από τις υπόλοιπες εφαρμογές της ΓΓΠΣ (συντάξεις, μισθοδοσία, προσωπικό, αποθήκες, τράπεζα νομικών πληροφοριών κλπ.).



134

Η μετάπτωση (porting) των υπόλοιπων εφαρμογών θα πραγματοποιηθεί αργότερα με αποκλειστική ευθύνη της υπηρεσίας.

Η μεταφορά των υπαρχόντων βάσεων δεδομένων των TAXIS και VIES από την τρέχουσα πλατφόρμα εγκατάστασης στο υπό προμήθεια SAN με ευθύνη του αναδόχου και με τη συνερ-γασία των στελεχών της ΓΓΠΣ.

Η μεταφορά των εφαρμογών από τα αντικαθιστώμενα κεντρικά συστήματα των TAXIS και VIES στα νέα.

Για τις εφαρμογές αυτές σημειώνεται ότι:

1. Στα κεντρικά αυτά συστήματα, κυρίως σήμερα, εκτός· από τις TUXEDO εφαρμογές που εξυ-πηρετούν την ανταλλαγή δεδομένων μεταξύ του κέντρου και των περιφερειακών υπηρεσιών ε-κτελούνται batch εφαρμογές που είναι γραμμένα σε COBOL, C, shell scripts ή sql scripts.

2. Το λογισμικό υποδομής των νέων servers θα αποτελείται από τις νεότερες κατά το δυνατόν εκ-δόσεις, τόσο του προσφερόμενου λειτουργικού συστήματος (σύμφωνα με τις αντίστοιχες απαι-τησεις), όσο και της ORACLE (οι εκδόσεις της Oracle θα είναι τουλάχιστον 10g και θα τις πα-ραδώσει η υπηρεσία στον Ανάδοχο). Η μεταφορά των batch εφαρμογών στο νέο περιβάλλον καθώς και η επίλυση τυχόν ασυμβατοτήτων θα γίνει με ευθύνη του αναδόχου.

3. Οι εφαρμογές του VIES είναι γραμμένες σε SQL Forms/Reports και λειτουργούν σε περιβάλ-λον Oracle Application Server 10g. Θα εγκατασταθούν στους νέους Application Servers (η έκ-δοση του Oracle Application Server θα είναι τουλάχιστον 10g και θα την παραδώσει η υπηρε-σία στον Ανάδοχο). Στο VIES περιλαμβάνονται και on line C εφαρμογές (CCN/CSI) που θα μεταφερθούν στο κεντρικό σύστημα.

4. Οι εφαρμογές της Φορολογίας Φυσικών Προσώπων και Περαίωσης που αποτελούν μέρος του Taxis και θα πρέπει να μεταφερθούν στα νέα web/application συστήματα. Οι εφαρμογές αυτές είναι αναπτυγμένες σε περιβάλλον J2EE και λειτουργούν σε περιβάλλον Οracle application server 10g.

Η προμήθεια ενός πρόσθετου RDBMS εξυπηρέτη και ενός δεύτερου μικρότερου σε χωρητικό-τητα SAN. Τα δύο αυτά στοιχεία επιθυμία της υπηρεσίας είναι να αποτελέσουν τη βάση δημι-ουργίας ενός disaster site. Ο ανάδοχος ζητείται να εκπονήσει μια μελέτη για τη δημιουργία και λειτουργία του disaster site όσο και σχεδίου συνέχειας της λειτουργίας της υπηρεσίας σε περί-πτωση καταστροφής. Στη μελέτη αυτή ζητείται να αξιολογηθεί η αξιοποίηση των δύο αυτών στοιχείων και να δοθούν προδιαγραφές και κόστος για οτιδήποτε άλλο χρειάζεται σε Hardware και Software. Ο Φορέας υλοποίησης σε εύλογο χρονικό διάστημα δικαιούται αν το επιθυμεί να προχωρήσει στην υλοποίηση της πρότασης εφόσον εξασφαλίσει τους κατάλληλους χώρους, τους πόρους και τη δικτυακή υποδομή που θα προταθεί στη μελέτη ασφάλειας.

Η παροχή της εκπαίδευσης που απαιτείται καθώς και της υποστήριξης για το διάστημα παρα-γωγικής λειτουργίας του συστήματος.

Ο ανάδοχος ζητείται να εκπονήσει μελέτη ασφαλείας για την ενοποίηση του εσωτερικού δικτύ-ου της ΓΓΠΣ με το Internet καθώς και μελέτη Business Continuity Plan - Disaster Recovery Plan (BCP-DRP). Σχετικά με την μελέτη ασφαλείας, ο ανάδοχος μετά την έγκριση της ΓΓΠΣ και βάσει των αποτελεσμάτων της μελέτης που θα εκπονήσει θα κληθεί να υλοποιήσει στο πλαίσιο του παρόντος έργου τα βήματα εκείνα που προβλέπονται για την ενοποίηση του εσω-τερικού δικτύου της ΓΓΠΣ με το Ιnternet έτσι ώστε να εξασφαλίζεται η απαιτούμενη ασφάλεια.



135

Στα επόμενα σχήματα (Σχήμα 21, Σχήμα 22, Σχήμα 23) αποτυπώνεται ενδεικτικά η αρχιτεκτονική του νέου ΟΠΣ Taxis (μακροσκοπική και λεπτομερέστερη θεώρηση, αντίστοιχα).

5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet Η Γενική Γραμματεία Πληροφοριακών Συστημάτων έχει υλοποιήσει και λειτουργεί παραγωγικά πληροφοριακά συστήματα που επιτρέπουν τη διεκπεραίωση συναλλαγών, τη χορήγηση εγγράφων και την παροχή πληροφοριών, μέσω του Internet. Αποτελέσματα αυτής της επιλογής είναι η συνε-χής βελτίωση της εξυπηρέτησης των φορολογουμενων, πολιτών και επιχειρήσεων και η απλού-στευση των ακολουθούμενων διαδικασιών. Παράλληλο όφελος είναι η εξοικονόμηση πόρων, με την απαλλαγή των υπηρεσιών του Υπουργείου Οικονομίας και Οικονομικών από χρονοβόρες συν-αλλαγές.

Τα επιμέρους πληροφοριακά συστήματα της ΓΓΠΣ και εφαρμογές που παρέχουν ηλεκτρονικές υ-πηρεσίες και αποβλέπουν στην ένταξη των πολιτών στο επίκεντρο της εξυπηρέτησης, συνιστούν το ΝΕΟ TAXISnet.

ΝΕΟ TAXISnet

Υποβολή δηλώσεων μέσω ηλεκτρονικού υπολογιστή, χωρίς να είναι απαραίτητη η παρουσία του φορολογουμένου στη ΔΟΥ

Αποσυμφόρηση των ΔΟΥ, λόγω της μειωμένης προσέλευσης των πολιτών σε αυτές, με απότέ-λεσμα τη βελτίωση της εξυπηρέτησης του πολίτη.

Υποβολή δηλώσεων σε 24ωρη βάση, 7 μέρες την εβδομάδα.

Άμεση επικοινωνία και ενημέρωση του πολίτη μέσω ηλεκτρονικού ταχυδρομείου.

Αποτελεσματική προστασία όλων των διακινούμενων στο Internet προσωπικών δεδομένων.



136

Σχήμα 21: Data Center ΓΓΠΣ

UPS Υψηλής Διαθεσιμότητας

DB server 3

DB server 1

DB server 2

Σύστημα Backup (Tape Library)

TaxisNet cluster TAXIS cluster

SAN

TaxisNetDB

Taxis DB

Stand by TaxisDB

DB servers Νέων ΠΣ

Web Υποδομή Internet

High Speed LAN

ISPs

Τρίτοι Φορείς

File και Print server

Web Εφαρμογές TAXIS

Internet

ΔΟΥ

WAN - ΣΥΖΕΥΞΙΣ (VPN-MPLS)

Σταθμός Διαχείρισης SAN

ISPs

Τρίτοι Φορείς

Web Υποδομή Intranet



137

Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet

DMZ 3 HTTP SERVERS

DMZ 1 DNS DMZ 4

ΓΓΠΣ USERS

DMZ 2 MAIL

HTTP SERVERS

FIREWALL 4 FIREWALL 3

SSL ACCELERATION

IDS 4

DMZ 3 APP. SERVERS

DMZ 2 LDAP SERVERS

DMZ 4 ΓΓΠΣ

ADMINISTRATORS

FIREWALL 2 FIREWALL 1

L.BALANCER L.BALANCER

IDS 3

ΕΝΔΕΙΚΤΙΚΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΥΠΟΔΟΜΗΣ

Π.Σ.TAXISnet (INTERNET)

ISP2

ISP1

ISP LLB ISP LLB

ROUTER 1 ROUTER 2

DMZ 1 DB SERVERS

IDS2

IDS1

OUTSIDE DMZs

INSIDE DMZs



138

Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet

Ηλεκτρονικές Υπηρεσίες που παρέχονται μέχω του Νέου ΤΑΧΙSnet

Στο εξής περιγράφονται οι βασικές ηλεκτρονικές υπηρεσίες Δημόσιας Διοίκησης56,57 που παρέχει το Νέο TAXISnet, ενώ το επίπεδο εξέλιξης της κάθε υπηρεσίας αποτιμάται με βάση την κλίμακα:

1. Ηλεκτρονική Πληροφόρηση για τις παρεχόμενες υπηρεσίες 2. Μονόδρομη Επικοινωνία (downloading εντύπων) 3. Αμφίδρομη αλληλεπίδραση (επεξεργασία εντύπων, ταυτοποίηση) 4. Συναλλαγή (διεκπεραίωση αιτημάτων /συναλλαγών/πληρωμής) 5. Προσωποποίηση (στοχευμένη παροχή υπηρεσιών) 56 European Commission, eGovernment Factsheets, “eGovernment in Greece”, Version 9.0, December 2007. 57 Βέργη Ε., Παππάς Θ., “Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα”, Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007.

DMZ 4 ΓΓΠΣ USERS

Switch Διανο

IDS 3

IDS 4

ΕΝΔΕΙΚΤΙΚΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗ

ΥΠΟΔΟΜΗΣ DATACENTER

(INTRANET)

χ Virtual Firewalls, Load BSSL Accelerators

Virtual Firewalls

Virtual Firewalls

INTRANET WAN

‘ΣΥΖΕΥΞΙΣ’

Routers

Core Switches

DMZ 1 DNS

DMZ 2 MAIL

IDS1

DMZ 3 APP. SERVERS

DMZ 2 LDAP SERVERS

DMZ 1 DB SERVERS

INSIDE DMZs

DMZ 4 ΓΓΠΣ

ADMINISTRATOR

IDS2

DMZ 3 HTTP

OUTSIDE DMZs



139

ΥΠΗΡΕΣΙΑ Παρέχεται; Επίπεδο εξέλιξης Πλήθος χρηστών

Προς τους πολίτες

Φόρος Εισοδήματος (δήλωση, ειδοποίηση εκκαθάρισης) √ 4

Εγγεγραμμένοι: 2.000.000

Υπέβαλλαν: 600.000 Υπηρεσίες αναζήτησης εργασίας Εισφορές κοινωνικής ασφάλισης Προσωπικά έγγραφα (διαβατήρια, άδειες οδήγησης)

Έκδοση οικοδομικής άδειας Δημόσιες βιβλιοθήκες (διαθεσιμότητα, εργαλεία αναζήτησης)

Πιστοποιητικά (έκδοση, παραλαβή) √ 4 600.000

Ανώτατη εκπαίδευση Υπηρεσίες υγείας (διαθεσιμότητα, ραντεβού)

Προς τις επιχειρήσεις

Εισφορές κοινωνικής ασφάλισης για τους εργαζομένους Φόρος επιχειρήσεων (δήλωση, ειδοποίηση εκκαθάρισης) ΦΠΑ επιχειρήσεων (δήλωση, ειδοποίηση εκκαθάρισης) √ 4 1.000.000

Έναρξη επιχείρησης Υποβολή στοιχείων σε στατιστικές υπηρεσίες

Περιβαλλοντικές άδειες ΦΜΥ √ 4 1.000.000Τελωνεία – Σύστημα VIES √ 4

Υπολογισμός Αξίας Ακινήτου √ 1 Παρέχεται προς όλους

Στοιχεία Οχημάτων √ 1 Παρέχεται προς όλους

Έντυπα √ 2 Παρέχεται προς όλους

Έκδοση Φορολογικής Ενημερότητας √ 1 Παρέχεται προς

όλους Ενημέρωση Εκκαθάρισης Δήλωσης στο κινητό τηλέφωνο √ 1 Παρέχεται προς

όλους Ενημέρωση Εκκαθάρισης Δήλωσης √ 1 Παρέχεται προς

όλους

Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης

Θα πρέπει να σημειωθεί ότι δεν υπάρχει συστηματικός τρόπος παρακολούθησης της κίνησης των ε-πισκεπτών για τις παρεχόμενες πληροφοριακές υπηρεσίες.



140

5.3.5 Υφιστάμενο επίπεδο ασφάλειας Έχει διεξαχθεί ανάλυση επικινδυνότητας του TAXIS από ειδική Πανεπιστημιακή Ομάδα (Οικονο-μικό Πανεπιστήμιο Αθηνών), η οποία είναι σε ισχύ. Επιπρόσθετα, υπάρχει καταγεγραμμένη πολιτι-κή και μετρα ασφάλειας που συνδέονται με την ανάλυση επικινδυνότητας. Η εφαρμογή των σχετι-κών μετρων γίνεται μερικώς. Δεν είναι γνωστή αντίστοιχη καταγεγραμμένη ανάλυση/πολιτική/με-τρα ασφάλειας για το TAXISnet.

Ο ανάδοχος του έργου του Data Center ζητείται να εκπονήσει μελέτη ασφαλείας για την ενοποίηση του εσωτερικού δικτύου της ΓΓΠΣ με το Internet καθώς και μελέτη BCP-DRP.

Σχετικά με την μελέτη ασφαλείας, ο ανάδοχος μετά την έγκριση της ΓΓΠΣ και βάση των αποτελε-σμάτων της μελέτης που θα εκπονήσει θα κληθεί να υλοποιήσει στο πλαίσιο του παρόντος έργου τα βήματα εκείνα που προβλέπονται για την ενοποίηση του εσωτερικού δικτύου της ΓΓΠΣ με το Ιnternet έτσι ώστε να εξασφαλίζεται η απαιτούμενη ασφάλεια.

Οι ανάδοχοι για το έργο του Τεχνικού Συμβούλου Υποστήριξης (ΤΣΥ) είναι η Διαδικασία και το ΕΠΙΣΕΥ. Το έργο εκτιμάται ότι θα ολοκληρωθεί στις αρχές του 2009.

5.3.5.1 Ανάλυση πληροφοριακού κινδύνου Δεν υπάρχει επικαιροποιημένη μελέτη Αποτίμησης Επικινδυνότητας του συνολικού συστήματος TAXIS και TAXISnet με τις όποιες προσθήκες και βελτιώσεις τους. Η πλήρης και επικαιροποιημε-νη μελέτη θα γίνει από τον ανάδοχο του έργου του Data Center. Η τελική κατακύρωση του έργου έχει παραπεμφθεί στο ελεγκτικό συμβούλιο και εκκρεμεί (Μάιος 2008).

Σύνταξη και εφαρμογή Πολιτικής Ασφάλειας

Υπάρχει η πολιτική ασφάλειας, αλλά η εφαρμογή της γίνεται μερικώς και δεν υπάρχει επαρκής κε-ντρικός συντονισμός. Υπάρχει τυπικά η έννοια του System Owner, ενώ υπάρχουν και άλλοι υπεύ-θυνοι ανάλογα με τα συγκεκριμένα τμήματα που χειρίζονται τα διαφορετικά υποσυστήματα. Δεν υπάρχει καταγεγραμμένη θέση Security Officer, ενώ δεν υπάρχουν καταγεγραμμένοι ρόλοι, υπευ-θυνότητες και αρμοδιότητες κλπ., οι οποίοι να τηρούνται επαρκώς.

Υλοποιημένα μέτρα ασφάλειας

Το TAXISnet θα υλοποιηθεί με την ίδια τεχνολογία για όλες τις συνιστώσες του και συνολική, κεντρικοποιημένη προσέγγιση. Στην προηγούμενη κατάσταση (TAXIS και TAXISnet σαν ξεχωρι-στά συστήματα) υπήρχαν δύο υπεύθυνοι συστημάτων. Το Τμήμα Πληροφορικής και οι τεχνικοί υ-πεύθυνοι τμημάτων υλοποιούν τα όποια μέτρα ασφάλειας είναι σε ισχύ.

Δεν υπάρχει τμήμα Εσωτερικού Ελέγχου (που να διενεργεί ταυτόχρονα και ελέγχους ΠΣ) ή άτυπη ομάδα μέχρι τώρα με αυτά τα καθήκοντα. Αυτή η ανάγκη εντοπίστηκε στη μελέτη ενοποίησης συ-στημάτων.

Τέλος, σχετικά με τον εξωτερικό έλεγχο ασφάλειας, δικτύων κλπ, θα πραγματοποιηθούν κάποια vulnerability tests στο πλαίσιο του έργου του Συμβούλου (όταν το νέο σύστημα υλοποιηθεί).

5.3.5.2 Σχέδιο Ανάκαμψης από Καταστροφή – Σχέδιο Συνέχειας Λειτουργίας Στο RFP για το Datacenter έχει προδιαγραφεί μελέτη με αντικείμενο το απαιτούμενο Βusiness Continuity Plan και disaster center της ΓΓΠΣ, και Εκπόνηση Σχεδίου Ανάκαμψης από Κατάστρο-φές (Disaster Recovery Plan). Στο υποσύστημα Διαχείρισης Δεδομένων έχουν προδιαγραφεί:



141

1. Υποδομή αποθήκευσης δεδομένων SAN (Storage Area Network) καθώς και δεύτερο για τις ανάγκες δημιουργίας ενός κέντρου Disaster Recovery.

2. Λογισμικό ασφάλειας, λογισμικό διαχείρισης του SAN.

3. Backup unit υψηλών επιδόσεων που θα αναλάβει το backup του συνόλου των ωφέλιμων δεδο-μενων που αποθηκεύονται στο SAN, και λογισμικό διαχείρισης backup μέσω SAN.

Οι απαιτήσεις για υψηλή διαθεσιμότητα για το TAXISnet είναι καθολικές καθ’ όλη τη διάρκεια του έτους, αλλά πολύ περισσότερο κατά το διάστημα της υποβολής φορολογικών δηλώσεων (κύρια κατά την περίοδο Μαρτίου-Μαΐου κάθε έτους).

Σαν εναλλακτική τοποθεσία του συστήματος σε περίπτωση καταστροφής (backup site) ενδέχεται να προταθεί χώρος ιδιοκτησίας του Υπουργείου Οικονομίας και Οικονομικών.

Διασυνδέσεις με άλλα συστήματα και δίκτυα:

Κεντρικό σύστημα Τελωνείων (ICIS) με το Ευρωπαϊκό σύστημα διασυνοριακής μετακόμισης εμπορευμάτων. Η ανταλλαγή δεδομένων γίνεται μέσω EDIFACT μηνυμάτων με το σύστημα διαμετακόμισης / TIR / Carnet ATA. Η υλοποίηση της ηλεκτρονικής επικοινωνίας του ICIS με την Ε.Ε. επιτυγχάνεται με προγράμματα και scripts σε C με κλήσεις στο CCN/CSI (CCN/CSI libraries).

Εσωτερική διασύνδεση TAXIS – TAXISNET.

Εσωτερική διασύνδεση ΔΟΥ με ΓΓΠΣ – TAXIS.

Εσωτερική διασύνδεση Τελωνείων με ΓΓΠΣ – ICIS.

Εξάρτηση από τρίτους φορείς για παροχή υπηρεσιών:

Το TAXIS εξαρτάται από τρίτους φορείς για την παροχή υπηρεσιών μόνο όσον αφορά τη δικτυακή υποδομή διασύνδεσης (ΣΥΖΕΥΞΙΣ) με της αποκεντρωμένες υπηρεσίες για ΔΟΥ και Τελωνεία που λειτουργεί από εταιρείες του ιδιωτικού τομέα (ALTEC TELECOMS, FORTHNET, HOL, OTE).

Υπαγωγή σε ρυθμιστικούς / ελεγκτικούς / εποπτικούς φορείς:

Τα TAXIS-TAXISNET υπόκεινται στην εφαρμογή Κανονιστικών/Ρυθμιστικών πλαισίων των κά-τωθι ρυθμιστικών /ελεγκτικών/εποπτικών φορέων:

Φορέας Λόγος υπαγωγής

Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) Λειτουργία του δικτύου

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ) Φορολογικά στοιχεία που υποβάλλονται

Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ) Πάροχοι υπηρεσιών δικτύου

5.3.5.3 Ένταξη σε στρατηγικό πλαίσιο προστασίας κρίσιμων υποδομών Δεν υπάρχει παρόμοια δράση ή πρόβλεψη ένταξης σε σχετική δράση για το άμεσο μέλλον.



142

5.3.6 Ελλείψεις – Συμπεράσματα – Προτεινόμενες Δράσεις Συνοπτικά, οι ελλείψεις και οι προτεινόμενες δράσεις για τα TAXIS – TAXISnet καταγράφονται ως εξής:

Έλλειψη Προτεινόμενες δράσεις

Ένταξη σε στρατηγικό πλαίσιο προστασίας κρίσιμων υποδομών Να ενταχθεί σε σχετικό πλαίσιο.

Επικαιροποιημένη Αποτίμηση Επικινδυνότητας, Πολιτική Ασφάλειας και Μέτρα Ασφάλειας

Επικαιροποίηση της Αποτίμησης Επικινδυνότη-τας, Πολιτικής και Μέτρων Ασφάλειας.

Εσωτερικός Έλεγχος Δημιουργία τμήματος Εσωτερικού Ελέγχου (μπεριλαμβανομένων και των ΠΣ).

Περιοδικοί έλεγχοι επάρκειας υλοποίησης μέτρων ασφάλειας

Περιοδικοί έλεγχοι επάρκειας υλοποίησης με-τρων ασφάλειας από ανεξάρτητο φορέα.

Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής

5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής

Το TAXIS – TAXISnet αποτελεί ένα κομβικό έργο στην ιστορία της Δημοσίας Διοίκησης στην Ελλάδα, συμβάλλοντας ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φορολογικού Συστη-ματος τόσο σε τοπικό επίπεδο (ΔΟΥ), όσο και σε επίπεδο κεντρικής διοίκησης. Εκτός από τις υπη-ρεσίες που προσφέρει στο προσωπικό του συστήματος για καθημερινές και λειτουργικές δραστη-ριότητες που σχετίζονται με την ανάκτηση στοιχείων, συγκεντρωτικών εκθέσεων και παρακολού-θησης των φορολογικών θεμάτων, υποστηρίζονται και υπηρεσίες ανταλλαγής Φορολογικής Ενημε-ρότητας μεταξύ φορέων για λογαριασμό του συναλλασσόμενου πολίτη. Περαιτέρω, προσφέρει ένα αριθμό άμεσα προαβάσιμων υπηρεσιών στους πολίτες, διευκολύνοντας την αλληλεπίδρασή τους με τις φορολογικές υπηρεσίες και μέσω εναλλακτικών δικτύων όπως το Διαδίκτυο (μέσω TAXISnet).

Συνεπώς, το TAXIS – TAXISnet υποστηρίζει ταυτόχρονα: α) άμεσςες και έμμεσες υπηρεσίες ΔΔ προς τους πολίτες, β) Υπηρεσίες ΔΔ προς επιχειρήσεις γ) Εσωτερικές Υπηρεσίες μεταξύ των φορέ-ων της ΔΔ και δ) Επικοινωνία, με την ευρύτερη έννοια, μεταξύ των φορέων της ΔΔ. Είναι σαφές ότι το TAXIS – TAXISnet αποτελεί μια πολύ σημαντική υποδομή της Δημόσιας Διοίκησης.

5.3.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής Για την αξιολόγηση του βαθμού κρισιμότητας του TAXIS – TAXISnet, εφαρμόζονται τα κριτήρια κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:

Αριθμός χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της ποιότητας μιας υπηρεσίας.


Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.



143

Βαθμός αλληλοεξάρτησης: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφική ή λογική εξάρτηση).

Κρισιμότητα υπηρεσίας: (Επιπτώσεις μη διαθεσιμότητας υπηρεσίας για διάφορα χρονικά διαστήματα): η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.

Εμπιστοσύνη της κοινής γνώμης: η επίδραση της απώλειας μιας υπηρεσίας/ενός αγαθού στην εμπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.

Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: η επίδραση στη λειτουργία κυβερνη-τικών φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.

Προσωπική ασφάλεια: η εκτίμηση των πιθανών επιπτώσεων στη φυσική ασφάλεια πολιτών.

Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσω-πικών ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομοθεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.

Ο Πίνακας 16 περιγράφει την ταξινόμηση των παραπάνω κριτηρίων (με διαφορετικό χρώμα σημει-ώνονται οι σχετικές αποτιμήσεις).

Επίπτωση


Αριθμός χρηστών >100,000 άτομα 10,000 έως 100,000

άτομα 1000 έως 10,000 άτομα

100 έως 1,000 άτομα < 100 άτομα

Οικονομική Επίπτωση > €1 δις €100 εκατ. έως €1 δις €10 έως €100 εκατ. < €10 εκατ. < € 1 εκατ.

Εμβέλεια Διεθνής Εθνική Περιφερειακή Τοπική (σε πολλούς φορείς)

Τοπική (σε ένα φορέα)

Βαθμός Αλληλο-εξάρτησης

Συντριπτική επί-δραση σε άλλες υποδομές/τομείς

Σημαντική επίδραση σε άλλες υποδομές/το-μείς

Μέτρια επίδραση σε άλλες υποδομές/ τομείς

Μικρή επίδραση σε άλλες υπο-δομές/τομείς

Επίδραση μόνο σε μία υποδομή/τομέα

Κρισιμότητα υπηρεσίας

Υψηλό κόστος σε περισσότερους τομείς, Χρόνος ανάκαμψης πέ-ραν του έτους

Υψηλό κόστος, Υψη-λός απαιτούμενος χρό-νος ανάκαμψης (εβδομάδες – μήνες)

Μέτριο κόστος, Ση-μαντικός Χρόνος α-νακαμψης (μέρες – εβδομάδες)

Χαμηλό κόστος, Μικρός απαι-τουμενος χρόνος ανάκαμψης (ώρες – μέρες)

Αμελητέο κόστος, Μικρός απαιτουμε-νος χρόνος ανά-καμψης (ώρες)

Εμπιστοσύνη της κοινής γνώμης

Διεθνής αποδοκι-μασία

Χαμηλή κυβερνητική αξιοπιστία σε εθνικό επίπεδο

Μέτρια κυβερνητι-κή αξιοπιστία σε ε-θνικό επίπεδο

Απώλεια καλής φήμης πολλών κυβερνητικών οργανισμών/ φορέων

Απώλεια καλής φήμης ενός κυβερ-νητικού οργανι-σμού/φορέα

Εφαρμογή πολιτικής και λειτουργία δημόσιου

Σοβαρή παρε-μπόδιση/διακοπή της ανάπτυξης και εφαρμογής

Υποβάθμιση της δια-πραγματευτικής και συναλλακτικής δυνα-τοτητας της κυβέρνη-

Παρεμπόδιση της απότελεσματικής α-ναπτυξης και εφαρ-μογής των κυβερνη-

Υπονόμευση της σωστής διαχείρι-σης ή/και λει-τουργίας ενός

Ανεπαρκής λει-τουργία μέρους ε-νός δημοσίου ορ-γανισμού



144

Επίπτωση


οργανισμού κυβερνητικών πολιτικών

σης τικών πολιτικών δημοσίου οργα-νισμού


Απώλεια πολλών ανθρώπινων ζω-ών


Σημαντικός τραυμα-τισμός πολλών ατόμων

Μικρός τραυμα-τισμός σε περισ-σότερα άτομα

Μικρός τραυματι-σμός ενός άτομου

Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών

Αποκάλυψη ε-μπιστευτικών κυ-βερνητικών πλη-ροφοριών

Παραβίαση νομοθεσί-ας, σοβαρή ενόχληση πολλών ατόμων

Παραβίαση νομοθε-σίας, σοβαρή ενό-χληση ενός ατόμου

Μικρή ενόχλη-ση πολλών ατό-μων

Μικρή ενόχληση ενός ατόμου

Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS – TAXISnet

Εφαρμόζοντας τα παραπάνω κριτήρια στο TAXIS – TAXISnet, προκύπτουν τα ακόλουθα:

1. Αριθμός χρηστών: Το TAXIS – TAXISnet αποτελεί τη βασική πλατφόρμα για τις φορολογι-κές υπηρεσίες που απευθύνονται στους Πολίτες. Θα πρέπει να σημειωθεί ότι επί του παρόντος οι εγγεγραμμένοι χρήστες του συστήματος ανέρχονται σε 2.000.000, ενώ εξ αυτών οι χρήστες που υπέβαλλαν φορολογικές δηλώσεις μέσω του TAXISnet ανέρχονται περίπου σε 600.000. Οι δυνητικοί χρήστες του είναι το σύνολο των ελλήνων πολιτών που έχουν δικαιοπρακτική δυνα-τοτητα και υπολογίζεται σε 8.000.000 χρήστες και άρα το κριτήριο εμπίπτει στην κατηγορία κρισιμότητας ‘Πολύ Υψηλή’.

2. Οικονομική Επίπτωση: Το TAXIS – TAXISnet υποστηρίζει άμεσες οικονομικές συναλλαγές (υπό την έννοια της δήλωσης φορολογικών στοιχείων και τυχόν επιστροφών στους δικαιούχους μέσω τράπεζικού λογαριασμού), και συνεπώς τυχόν δυσλειτουργίες του συστήματος έχουν ά-μεσες επιπτώσεις για τις εφαρμογές τις οποίες υποστηρίζει. Συνεπώς το κριτήριο εμπίπτει στην κατηγορία κρισιμότητας ‘Πολύ Υψηλή’.

3. Εμβέλεια: Το TAXIS – TAXISnet παρέχει υπηρεσίες σε εθνικό και διεθνές επίπεδο. Συνεπώς η κρισιμότητά του με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως ‘Πολύ Υψηλή’.

4. Βαθμός αλληλοεξάρτησης: Το TAXIS – TAXISnet αποτελεί το εθνικό Φορολογικό Σύστημα και ως απώτερο στόχο έχει την εξυπηρέτηση του συνόλου των πολιτών που το χρησιμοποιούν είτε άμεσα, είτε διευκολύνονται από τις υπηρεσίες του (πχ. μέσω της ανταλλαγής Φορολογικής Ενημερότητας για λογαριασμό του πολίτη μεταξύ Φορέων). Συνεπώς η μη διαθεσιμότητα του TAXIS – TAXISnet έχει σημαντική επίπτωση στις υπηρεσίες που υποστηρίζει και έτσι η κρι-σιμότητα του με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως ‘Υψηλή’.

5. Κρισιμότητα υπηρεσίας: Πιθανή μη διαθεσιμότητα του TAXIS – TAXISnet θα έχει σχετικά χαμηλό κόστος για τις υπηρεσίες της ΔΔ που εξυπηρετεί, καθώς για σχεδόν όλες υπάρχει εναλ-λακτικός τρόπος διεκπεραίωσης (πχ. χειροκίνητη ανταλλαγή δεδομένων, κατάθεση φορολογι-κών στοιχείων κλπ.). Επιπρόσθετα, ο απαιτούμενος χρόνος ανάκαμψης εκτιμάται ότι είναι σχε-τικά μικρός (μερικές ώρες). Το χειρότερο δυνατό σενάριο (πχ. η αποτυχία του συστήματος εν μεσω περιόδου κατάθεσης φορολογικών δηλώσεων) μπορεί να αντιμετωπιστεί με τη φυσική παρουσία των φορολογουμένων στις εφορίες, με χειροκίνητη ανταλλαγή δεδομένων κλπ. Συνε-πώς η κρισιμότητα της υπηρεσίας χαρακτηρίζεται ως ‘Χαμηλή’.



145

6. Εμπιστοσύνη της κοινής γνώμης: Με δεδομένη την αναγνωρισιμότητα του συστήματος, το βα-θμό ενθάρρυνσης της χρήσης του από την Πολιτεία και τον αριθμό των χρηστών του, εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του συστήματος θα επηρέαζε σημα-ντικά την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του TAXIS – TAXISnet με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως ‘Μέτρια’.

7. Εφαρμογή πολιτικής και λειτουργία δημόσιου οργανισμού: Η επίδραση στη λειτουργία κυβερνη-τικών φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβί-αση κάποιας συνιστώσας της ασφάλειας του TAXIS – TAXISnet, είναι σημαντική, καθώς θα επηρεαστεί η ομαλή λειτουργία περισσότερων του ενός φορέα (με προεξάρχουσες τις φορολο-γικές υπηρεσίες), που πιθανά παρέχει κρίσιμες κυβερνητικές υπηρεσίες. Περαιτέρω, παρεμπο-δίζεται η εφαρμογή των κυβερνητικών πολιτκιών για χρήση των υπηρεσιών Ηλεκτρονικής Δια-κυβέρνησης από τους πολίτες με επακόλουθο κόστος σε χρόνο απασχόλησης του προσωπικού των υπηρεσιών, αυξημένο χρόνο αναμονής εξυπηρέτησης των πολιτών κλπ. Συνεπώς, η κρισι-μότητα του TAXIS – TAXISnet με βάση το κριτηριο αυτό χαρακτηρίζεται ως ‘Μέτρια’.

8. Προσωπική ασφάλεια: Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολι-τών και συνεπώς η κρισιμότητα του Δικτύου με βάση το κριτήριο αυτό χαρακτηρίζεται ως ‘Πο-λύ Χαμηλή’ ή ανύπαρκτη.

9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπι-στευτικότητας των διακινούμενων δεδομένων του TAXIS – TAXISnet και με δεδομένο το μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετι-κής νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Τα διακινούμενα δεδομενα είναι πι-θανό να περιλαμβάνουν προσωπικά δεδομένα, όπως για παράδειγμα στοιχεία περιουσιακής κα-τάστασης, δεδομενα υγείας κλπ. Συνεπώς, η κρισιμότητα του TAXIS – TAXISnet με βάση το κριτηριο αυτό χαρακτηρίζεται ως ‘Υψηλή’.

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το TAXIS – TAXISnet α-ποτελεί βασικό σημείο επαφής μεγάλου αριθμού πολιτών, σε τεχνολογίες πληροφορικής και επικοινωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατιας και της αποτελεσματικής εξυπηρέτησης των πολιτών, μέσω της χρήσης νέων τεχνολογιών, εκτιμά-ται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού συνόλου. Αυτό ενισχύεται και από το γεγονός ότι χρήστες του TAXIS-TAXISnet είναι ένας μεγάλος αριθμός από πολίτες, αριθμός που ακολουθεί αυξητική τάση, από χρόνο σε χρόνο. Συ-νεπώς η κρισιμότητα του TAXIS-TAXISnet, με βάση το κριτήριο αυτό, χαρακτηρίζεται ως Υ-ψηλή.

5.3.9 Συμπεράσματα

Το TAXIS – TAXISnet συμβάλλοντας ουσιαστικά στον εκσυγχρονισμό της λειτουργίας του Φο-ρολογικού Συστήματος τόσο σε τοπικό επίπεδο (ΔΟΥ), όσο και σε επίπεδο κεντρικής διοίκησης. Το σύστημα επιτρέπει τη συλλογή, επεξεργασία και διατήρηση των φορολογικών δεδομένων των πολιτών και την υποστήριξη των τελωνείων της χώρας. Περαιτέρω, εξυπηρετεί άμεσα τους πολίτες παρέχοντας άμεση πρόσβαση σε ένα αριθμό από υπηρεσίες Ηλεκτρονικής Διακυβέρνησης που σχε-τιζονται με φορολογία και τελωνεία.

Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση με τον αριθμό των Χρηστών, τις Οικονομικές Επιπτώσεις και την Εμβέλεια του συστήματος. Υψη-



146

λές χαρακτηρίζονται οι επιπτώσεις που σχετίζονται με το Βαθμό Αλληλεξάρτησης, όπως και με την Αποκάλυψη Εμπιστευτικών ή Προσωπικών Πληροφοριών, με δεδομένο τον αριθμό των χρηστών καθώς και το γεγονός ότι το σύστημα καλύπτει το σύνολο της Ελληνικής Επικράτειας.

Μέτριες έως χαμηλές κρίνονται οι επιπτώσεις που αφορούν στην Εμπιστοσύνη της Κοινής Γνώμης, στην Εφαρμογή της Κυβερνητικής Πολιτικής και στην Κρισιμότητα ης Υπηρεσίας, ενώ το Δίκτυο δεν σχετίζεται άμεσα προς το παρόν με ζητηματα Προσωπικής Ασφάλειας.

Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι το TAXISnet αποτελεί ‘Κρίσιμη Υπο-δομή της Δημόσιας Διοίκησης’.

5.4 Data Centers ΚτΠ ΑΕ Στις νέες εγκαταστάσεις της ΚτΠ Α.Ε. (Ηλιουπόλεως 2, Υμηττός) υπάρχουν ειδικά διαμορφωμένοι χώροι (Data Centers) στους οποίους φιλοξενείται εξοπλισμός Πληροφοριακών Συστημάτων της Δημόσιας Διοίκησης. Προς το παρόν έχουν διαμορφωθεί και λειτουργούν δύο χώροι (Data Center 1 - DC1, Data Center 2 - DC2) στο υπόγειο του κτηρίου (-1ος όροφος), ενώ προβλέπεται η δημι-ουργία ενός τρίτου (Data Center 3 - DC3), όπου η τοποθεσία και οι προδιαγραφές δεν έχουν οριστι-κοποιηθεί. Ως πιο πιθανή εκτιμάται η δημιουργία του, επίσης στο υπόγειο της ΚτΠ Α.Ε., στο επίπεδο του -1ου ορόφου.

Τα δύο υπάρχοντα Data Centers παρέχουν υποδομή και στεγάζουν εξοπλισμό για τη λειτουργία των παρακάτω έργων της Δημόσιας Διοίκησης (Πίνακας 17:).

Έργο Τρέχουσα Κατάσταση Φορέας Λειτουργίας Data

Center

ΡΑΠΤΑΡΧΗΣ

Eγκατεστημένο

Υπηρεσία Διαχείρισης Διαρκούς Κώδικα Νομοθεσίας (ΥΠΕΣ)

DC2

Δορυφόρος Λογαριασμός Τουρισμού/Παρατηρητήριο Τουρισμού

Yπουργείο Τουριστικής Ανάπτυξης

ΥΛΠΗΣΔΕΔ Εθνικό Κέντρο Δημόσιας Διοίκη-σης και Αυτοδιοίκησης

Ηλεκτρονική Πολεοδομία II Πολεοδομικές Υπηρεσίες

ΑΜΕΑ Ινστιτούτο Κοινωνικής Προστασίας και Αλληλεγγύης (ΙΚΠΑ)

ΟΠΣΝΑ Εμπόριο/ΑΕ Eγκατεστημένο

Νομαρχιακές Αυτοδιοικήσεις DC1 ΟΠΣΝΑ Υγεία/Πρόνοια Νομαρχιακές Αυτοδιοικήσεις

ΟΠΣΝΑ Πολεοδομία Ι Πολεοδομικές Υπηρεσίες

Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ

Ενδέχεται/προγραμματίζεται στο μέλλον να προστεθεί ο εξοπλισμός των παρακάτω έργων, καθώς και να δημιουργηθεί και ένα τρίτο Data Center:



147

Έργο Τρέχουσα Κατάσταση Φορέας Λειτουργίας Data Center

ΔΥΠΕ Ιονίων Νήσων Σε παραγωγική λειτουργία, εγκατεστημένο στο φορέα λειτουργίας

ΔΥΠΕ ΙΟΝΙΩΝ ΝΗΣΩΝ

DC2 ΔΥΠΕ Δυτικής Ελλάδας Σε παραγωγική λειτουργία, εγκατεστημένο στο φορέα λειτουργίας

ΔΥΠΕ ΔΥΤΙΚΗΣ ΕΛΛΑΔΑΣ

ΔΥΠΕ Πελοποννήσου Σε παραγωγική λειτουργία, εγκατεστημένο στο φορέα λειτουργίας

ΔΥΠΕ ΠΕΛΟΠΟΝΝΗΣΟΥ

Εθνική Πύλη ΕΡΜΗΣ Υπό ανάπτυξη και υπό εγκατάσταση ΥΠΕΣ DC3

Σχεδίαση για Δάση και Υδάτινους Πόρους Αναμένεται στα τέλη 2008 ΥΠΕΣ

Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε. Στη συνέχεια παρατίθενται αναλυτικά στοιχεία για κάθε σύστημα/έργο. Από τα έργα αυτά αναλύο-νται όσα είναι εγκατεστημένα ήδη στην παρούσα φάση αλλά και όσα προγραμματίζεται να εγκατα-σταθούν στο άμεσο χρονικό διάστημα (π.χ. Εθνική Πύλη ΕΡΜΗΣ). Στο τέλος του κεφαλαίου αυ-τού αξιολογούνται τα Data Centers στο σύνολό τους ως προς το ρόλο τους ως υποδομή της Δη-μόσιας Διοίκησης αλλά και ως προς την κρισιμότητά τους.

Πιο συγκεκριμένα, για κάθε έργο/ΟΠΣ που φιλοξενείται στα Data Centers παρουσιάζονται τα εξής:

Στοιχεία ταυτότητας έργου

Αρχιτεκτονική ΟΠΣ/Δικτύου

Παρεχόμενες υπηρεσίες (επιγραμματική περιγραφή, πηγές/αποδέκτες δεδομένων)

Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ (επιγραμματική περιγραφή, βαθμός διασύνδεσης, δια-συνδέσεις με άλλα συστήματα)

Μελέτη Ασφάλειας ΟΠΣ/Δικτύου

5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρ-νησης

5.4.1.1 Στοιχεία ταυτότητας έργου Το έργο «Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης» έχει ως σκοπό την υλοποίηση μιας συνολικής και συστηματικής, τεχνολογικής παρέμβασης για την υποστήριξη της προσβασιμότητας και ευχρηστίας στο περιεχόμενο των διαδικτυακών ιστοτόπων, καθώς και το σχεδιασμό και την ανάπτυξη καθολικά προσβάσιμων WEB εφαρμογών και τηλεματι-κών υπηρεσιών στη Κοινωνία της Πληροφορίας για τα Άτομα με Αναπηρία (ΑμεΑ).



148

Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης

5.4.1.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Τα βασικά στοιχεία της αρχιτεκτονικής είναι:

Εξυπηρετητές Web και FTP. Είναι υπεύθυνοι για την παροχή των διεπαφών Web, των υπηρε-σιών του Έργου προς τους χρήστες, καθώς επίσης και τη δυνατότητα ανταλλαγής αρχείων με-σω της υπηρεσίας FTP.

Υλικός εξοπλισμός Firewall. Για την προστασία της αρχιτεκτονικής, από εξωτερικές επιθέσεις διατίθενται δύο συσκευές Firewall (ώστε να παρέχεται υψηλή διαθεσιμότητα).

Εξυπηρετητές Εφαρμογών. Είναι υπεύθυνοι για την υλοποίηση των λειτουργιών της επιχειρη-σιακής λογικής των υπηρεσιών του Έργου.

Εξυπηρετητές Βάσης Δεδομένων. Είναι υπεύθυνοι για την υποστήριξη του Σχεσιακού Συστη-ματος Βάσης Δεδομένων που χρησιμοποιείται από τις υπηρεσίες του Έργου.

Εξυπηρετητές IVR-TTS-ASR της Φωνητικής Πύλης. Είναι υπεύθυνοι για την υποστήριξη των λειτουργιών IVR, TTS και ASR που απαιτούνται για την επικοινωνία των χρηστών με την υπη-ρεσία Φωνητικής Πύλης του Έργου.

Δρομολογητής φωνητικής πύλης. O δρομολογητής αυτός είναι υπεύθυνος για την διασύνδεση των υπηρεσιών Φωνητικής Πύλης του Έργου με το τηλεφωνικό κέντρο που θα παρέχει ο Φο-ρέας Λειτουργίας.

Εξυπηρετητής Email και Users Directory. Φιλοξενεί τις υπηρεσίες ηλεκτρονικού ταχυδρομείου και καταλόγου χρηστών.

Μεταγωγείς. Η διασύνδεση όλων των στοιχείων της αρχιτεκτονικής, μεταξύ τους και με το ε-ξωτερικό δίκτυο επιτυγχάνεται από τους μεταγωγείς της Αρχιτεκτονικής.

Σταθμοί εργασίας (ΑΜΕΑ και Power Stations). Περιλαμβάνονται 15 σταθμοί εργασίας, σε 5 εκ των οποίων έχει εγκατασταθεί εξοπλισμός υποστηρικτικής τεχνολογίας.

Σύστημα αποθήκευσης. Για την ολοκλήρωση της διαθεσιμόητας των στοιχείων της Αρχιτεκτο-νικής παρέχεται δικτυακό σύστημα αποθήκευσης (Storage Area Network – SAN).

58 Η φιλοξενία στο Data Center της ΚτΠ είναι προσωρινή, έως ότου ολοκληρωθούν οι εργασίες για την κατα-σκευή κατάλληλης υποδομής φιλοξενίας του εξοπλισμού στο ΙΚΠΑ.

Φορέας έργου: Ινστιτούτο Κοινωνικής Προστασίας και Αλληλεγγύης (Ι.Κ.Π.Α.)

Ανάδοχος: Ένωση Νομικών Προσώπων «ΙNFOQUEST AEBE (UNISYSTEMS) – Ινστιτούτο Πληροφορικής, Ίδρυμα Τεχνολογίας και Έρευνας»

ΣΤΥ: Intraway Α.Ε. Μελετητής Ασφάλειας: Intraway Α.Ε. Προϋπολογισμός έργου: 2.996.374 €

Διάρκεια έργου: 21 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, υπό ανάπτυξη Data Center: DC2 58



149

Σύστημα λήψης αντιγράφων ασφαλείας. Για την προστασία από απώλειες δεδομένων που από-θηκεύονται στο πλαίσιο των υπηρεσιών του Έργου, παρέχεται σύστημα λήψης αντιγράφων ασφαλείας.

Μονάδα αδιαλείπτου ισχύος (UPS). Για την εξασφάλιση αδιάλειπτης λειτουργίας του συστη-ματος σε περιπτώσεις διακοπής ρεύματος παρέχεται μονάδα αδιαλείπτου ισχύος.

Στο Σχήμα 24 παρουσιάζεται η αρχιτεκτονική του ΟΠΣ.

Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης

(Πηγή: Μελέτη Εφαρμογής Αναδόχου)



150

5.4.1.3 Παρεχόμενες υπηρεσίες Το πλαίσιο υλοποίησης περιλαμβάνει ένα σύνολο μελετών και δράσεων οι οποίες στοχεύουν στην οριοθέτηση του απαραίτητου θεσμικού πλαισίου που αφορά στην ηλεκτρονική επικοινωνία των ΑΜΕΑ με τη Δημόσια Διοίκηση, αλλά και στη δημιουργία του κατάλληλου υπόβαθρου για την α-νάπτυξη προσβάσιμων διαδικτυακών εφαρμογών στην Ελλάδα. Παράλληλα αναγνωρίζοντας τις α-νάγκες καθημερινής διαβίωσης των ΑμεΑ προχωρά στην υλοποίηση προσβάσιμων διαδικτυακών εφαρμογών όπως:

ηλεκτρονικό ΚΕΠ για ΑΜΕΑ,

ενημέρωση για υπηρεσίες και προϊόντα υποστηρικτικής τεχνολογίας,

υπηρεσίες κοινωνικής και επαγγελματικής ενσωμάτωσης,

με στόχο την εξυπηρέτηση των ΑμεΑ.

Οι υπηρεσίες που προσφέρονται απεικονίζονται στο Σχήμα 25.

Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

Αναλυτικά, το αντικείμενο του έργου είναι:



151

Ελληνικές προδιαγραφές W3C/WAI (Greek extensions to W3C/WAI), για τη ανάπτυξη προηγ-μενων διεπαφών (user interface) και γενικά ηλεκτρονικών συστημάτων που θα προορίζονται για ΑμεΑ.

Ανάπτυξη, αξιολόγηση, επαλήθευση, σύνταξη και διάθεση κανόνων βέλτιστης πρακτικής, σχε-τικών συστάσεων και οδηγιών, για την υποστήριξη και δημιουργία προσβάσιμων υπηρεσιών και εφαρμογών ηλεκτρονικής διακυβέρνησης, για τις ομάδες στόχου του έργου.

Διάθεση και διάχυση των αποτελεσμάτων των δύο παραπάνω σημείων. Αυτό, θα επιτευχθεί με την κατασκευή κατάλληλων ιστοτόπων, ηλεκτρονικών εγγράφων και ηλεκτρονικών σεμιναρί-ων (web sites, electronic documents, online tutorials), προάγοντας και υποστηρίζοντας την παραγωγική εκμετάλλευση τους από την Ελληνική βιομηχανία πληροφορικής, καθώς και τους ενδιαφερόμενους φορείς και οργανισμούς.

Προμήθεια και εγκατάσταση εξοπλισμού σε κεντρικό (servers) και περιφερειακό επίπεδο (workstations), για τη διάθεση υπηρεσιών e-government προς τις προαναφερθείσες ευπαθείς πληθυσμιακές ομάδες (EO).

Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης-προσαρμογής λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content), για την προσαρμογή υπηρεσιών e-government (e-ΚΕΠ), για την εξυπηρέτηση των ευπαθών ο-μάδων.

Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης – προσαρμογής λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content) για την προσαρμογή υπηρεσιών ανεξάρτητης διαβίωσης (ενημέρωσης - πληροφόρησης, επικοι-νωνίας και συμβουλευτικής), για την εξυπηρέτηση των ΑμεΑ.

Ανάπτυξη και διάθεση προηγμένων διεπαφών (user interface), μέσω ανάπτυξης-προσαρμογής λογισμικού (software - browser plug-in) και εναλλακτικού περιεχομένου (alternative content), για την προσαρμογή υπηρεσιών κοινωνικής και επαγγελματικής ενσωμάτωσης (Εκπαίδευση – κατάρτιση, προσφορά -ζήτηση εργασίας), με σκοπό την εξυπηρέτηση των ευπαθών ομάδων.

Σχεδιασμός και ανάπτυξη σύστημα e-learning, που μέσω προηγμένων διεπαφών και εναλλακτι-κού περιεχομένου, προωθεί τις υπηρεσίες κοινωνικής και επαγγελματικής ενσωμάτωσης (μπο-ρεί να χρησιμοποιηθεί η πλατφόρμα του συστήματος «Σύζευξις»).

Ανάπτυξη 10 πακέτων εκπαιδευτικού υλικού για το παραπάνω σύστημα e-learning.

Ανάπτυξη Υπηρεσίας, για την διάθεση Προϊόντων Υποστηρικτικής Τεχνολογίας ΑμεΑ. Ειδική μνεία γίνεται στα προϊόντα που έχουν πιστοποιηθεί από το ΙΚΠΑ.

Μελέτη, σχεδιασμός, ανάπτυξη, αξιολόγηση, επαλήθευση, και εγκατάσταση μιας πρότυπης δι-αδικτυακής πύλης ηλεκτρονικής διακυβέρνησης (e-government portal), με σκοπό τη διάχυση των παραπάνω υπηρεσιών και πληροφοριών, προσβάσιμη από τις ομάδες στόχου του έργου, οι οποίες δεν είναι καθολικά προσβάσιμες στην σημερινή τους μορφή. Επιπλέον, θα προσφέρει προσβάσιμες υπηρεσίες μέσω ηλεκτρονικού ταχυδρομείου (e-mail), ηλεκτρονικής συνομιλίας (e-chat), και ηλεκτρονικού πίνακα μηνυμάτων (e-message board -forum).

5.4.1.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ Σύστημα τηλεπικοινωνιών «Σύζευξις»



152

Η συσχέτιση με το «Σύζευξις» έγκειται στο ότι εξασφαλίζει την απαραίτητη τηλεπικοινωνιακή δια-σύνδεση μεταξύ του χώρου εγκατάστασης του κεντρικού εξοπλισμού, των ΑΜΕΑ σε όλη την Ελ-λάδα, και των άλλων Φορέων ΑΜΕΑ. Επίσης ο ανάδοχος μπορεί να χρησιμοποιήσει την πλατφόρ-μα e-learning του «Σύζευξις».

Φορείς που παρέχουν δεδομένα

Το βασικό περιεχόμενο αντλείται με αυτόματο τρόπο από τα site του ΚΕΠ, του ΥΠΕΣΔΔΑ και του ΥΥΚΑ.

Σύστημα «Κάρτα Αναπηρίας»

Θα πρέπει να διασφαλιστεί η διαλειτουργικότητα με αυτό το σύστημα, αλλά επειδή είναι υπό ανά-πτυξη, οι λεπτομέρειες δεν έχουν καθοριστεί.

5.4.1.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Στο διαθέσιμο υλικό δεν συμπεριλαμβανόταν το παραδοτέο υπολογισμού της επικινδυνότητας, συ-νεπώς δεν είναι γνωστό ποια μέθοδος χρησιμοποιήθηκε και σε τι επίπεδα κυμαίνεται η επικινδυνό-τητα. Παραταύτα, υπάρχει σχέδιο ασφάλειας, το οποίο προδιαγράφει τα εξής:

Χρήση συστοιχίας firewall cluster σε διάταξη active/standby failover.

Τρεις ζώνες ασφαλείας: α) για την υποστήριξη της διασύνδεσης του Φορέα Λειτουργίας με το δίκτυο Σύζευξις, β) ζώνη DMZ η οποία θα περιλαμβάνει τους εξυπηρετητές web και ftp και γ) ζώνη Inside η οποία θα περιλαμβάνει όλους τους υπόλοιπους εξυπηρετητές.

Μέτρα για περιμετρική ασφάλεια και διαχείριση αρχείων καταγραφής

Μέτρα για την προστασίας του λειτουργικού συστήματος (Περιορισμός χρηστών, groups, πε-ριορισμός των δικαιωμάτων στο σύστημα αρχείων, επιλογή ισχυρών passwords, απενεργοποίη-ση των υπηρεσιών εκτός των απαραίτητων, έλεγχος των αρχείων του συστήματος, απεγκατά-σταση του μη απαραίτητου λογισμικού, περιορισμός και διασφάλιση της πρόσβασης στο σύ-στημα, αποτελεσματική αποστολή αντιγράφου των logs σε άλλο σύστημα)

Προστασία του δικτυακού εξοπλισμού (μεταγωγείς, δρομολογητές, firewalls) και του συστημα-τος Antivirus.

Μέτρα για την πρόσβαση χρηστών

Εκπαίδευση χρηστών

Σημειώνεται ότι αυτά τα μέτρα ασφάλειας είχαν προδιαγραφεί με βάση την παραδοχή ότι ο χώρος εγκατάστασης του συστήματος θα είναι σε κάποιο χώρο του φορέα λειτουργίας και όχι στην ΚτΠ ΑΕ. Παράλληλα, έχει συνταχθεί Πολιτική Ασφάλειας. Ο ΣΤΥ προβλέπεται να σχεδιάσει και να υ-λοποιήσει τη διεξαγωγή δοκιμών ασφάλειας (penetration tests), τα συμπεράσματα των οποίων θα παραδοθούν με τη μορφή έκθεσης (που θα περιλαμβάνει και τα σενάρια δοκιμών) στην ΚτΠ Α.Ε., ώστε να ληφθούν υπόψη από τον Ανάδοχο του Κυρίως Έργου. Έπειτα θα ελέγξει την ορθότητα και πληρότητα των τεχνικών μέτρων ασφάλειας που έχουν υλοποιηθεί από τον Ανάδοχο και θα επι-καιροποιήσει τη μελέτη ασφάλειας. Δεν υπάρχει πρόβλεψη για κάποιο εφεδρικό χώρο σε περίπτω-ση καταστροφών ή για Σχέδιο συνέχισης λειτουργίας.



153

5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού

5.4.2.1 Στοιχεία ταυτότητας έργου Βασικός σκοπός του έργου «Ανάπτυξη και Λειτουργία Ολοκληρωμένου Πληροφοριακού Συστήμα-τος Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα: Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού» είναι η ανάπτυξη, εφαρμογή και παραγωγική λειτουργία του Ολοκλη-ρωμένου Πληροφοριακού Συστήματος (ΟΠΣ) Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα, το οποίο θα εξυπηρετεί τη χάραξη, παρακολούθηση και αξιολόγηση της τουριστικής πολιτικής και συγχρόνως θα απευθύνεται σε όλους τους φορείς και πρόσωπα που συνδέονται άμεσα ή έμμεσα με τον Τουρισμό.

Το ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα σύμφωνα με τις διεθνείς πρακτικές θα αποτελείται από δύο κύρια Υποσυστήματα, ως εξής:

Τον «Ελληνικό» Δορυφόρο Λογαριασμό Τουρισμού (Hellas Tourism Satellite Account), μέσω του οποίου τεκμηριώνεται η επίδραση του τουρισμού στην οικονομία, υποστηρίζεται η του-ριστική αναπτυξιακή στρατηγική, διαμορφώνονται και «δοκιμάζονται» πολιτικές και διαχέο-νται συστηματικά εξειδικευμένες πληροφορίες υποστήριξης αποφάσεων στη Δημόσια Διοίκη-ση και στην αγορά (μέσω του Παρατηρητηρίου Τουρισμού).

Το εξειδικευμένο «Παρατηρητήριο Τουρισμού» (Hellas Tourism Observatory) μέσω του ο-ποίου εξασφαλίζεται με άρτιο, πλήρη και εποπτικό τρόπο η συγκέντρωση, επεξεργασία και επι-καιροποίηση πληθώρας στοιχείων και δεδομένων που συνθέτουν και διαμορφώνουν (πρωτογε-νώς ή/και δευτερογενώς) την «εικόνα» της εγχώριας και διεθνούς οικονομικής δραστηριότητας στον κλάδο του Τουρισμού.

Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού

Το ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα συνδυάζοντας το ΔΛΤ και το Παρατη-ρητήριο, διαμορφώνει ευρεία εξωστρέφεια, παράγοντας και παρέχοντας σημαντικές και καινοφα-νείς πληροφορίες (οι οποίες σήμερα στην πλειοψηφία τους δεν είναι διαθέσιμες) στη Δημόσια Διοί-κηση γενικά, στην Τουριστική Αγορά και στον κλάδο των μεταφορών, των τραπεζών και του χρη-ματοπιστωτικού τομέα, στους επιχειρηματίες, στα πανεπιστημιακά και ερευνητικά ιδρύματα και στους ερευνητές, στους πολίτες κλπ. Η λειτουργία του Συστήματος υποστηρίζεται από Διαδι-κτυακή Πύλη.

5.4.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Το ΟΠΣ αποτελείται από τα παρακάτω υποσυστήματα:

Φορέας έργου: Yπουργείο Τουριστικής Ανάπτυξης Ανάδοχος: Ένωση Singular Logic Integrator, BPM, Deloitte

ΣΤΥ: Vellum Σύμβουλοι Επιχειρήσεων, Οικονομικό Πανεπιστήμιο Αθηνών

Μελετητής Ασφάλειας: Vellum Σύμβουλοι Επιχειρήσεων Προϋπολογισμός έργου: € 2.313.300,00 Διάρκεια έργου: 24 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, υπό ανάπτυξη Data Center: DC2



154

Δορυφόρος Λογαριασμός Τουρισμού

Υποσύστημα Διαχείρισης Ερευνών

Υποσύστημα Μήτρας Εισροών Εκροών

Υποσύστημα Κλαδικής Ανάλυσης

Υποσύστημα Συνδυαστικής Επεξεργασίας και Υποστήριξης Στρατηγικής και Αποφάσεων

Υποσύστημα Διάχυσης Αποτελεσμάτων ΔΛΤ

Παρατηρητήριο Τουρισμού

Υποσύστημα Αποθήκευσης και Συνδυαστικής Επεξεργασίας Δεδομένων

Υποσύστημα Τουριστικής Κατανάλωσης και Αναπτυξιακής Πολιτικής

Υποσύστημα Τουριστικής Αγοράς και Εισερχόμενης/Εξερχόμενης Τουριστικής Κίνησης

Υποσύστημα Τουριστικών Υποδομών και Ανωδομών και Ανθρώπινου Δυναμικού

Υποσύστημα Τουριστικών Επενδύσεων

Υποσύστημα Παρατήρησης και Ανταγωνισμού

Υποσύστημα Υποστήριξης Στρατηγικής και Αποφάσεων

Στο Σχήμα 26 παρουσιάζεται η αρχιτεκτονική του ΟΠΣ, η οποία αποτελείται από τα εξής επίπεδα:

Αποστρατιωτικοποιηµένη ζώνη (DMZ-Demilitarized Zone): περιλαµβάνει τον εξοπλισµό φιλο-ξενίας και προβολής του δικτυακού τόπου (Portal) στους χρήστες (http Servers - Web Cache). Συνοπτικά περιλαµβάνει τα ακόλουθα:

Επίπεδο Εφαρµογών και Επεξεργασίας (Application - Processing Layer): εριλαµβάνει τον εξο-πλισµό των Oracle Application Servers στους οποίους θα εγκατασταθεί το λογισµικό Oracle Application Server Standard Edition.

Επίπεδο διαχείρισης και Αποθήκευσης των δεδοµένων (Back-end Layer): εριλαµβάνει τον εξο-πλισµό των Oracle Database Servers.

5.4.2.3 Παρεχόμενες υπηρεσίες Ο ΔΛΤ αποτελεί βασικό οικονομικο-στατιστικό εργαλείο. Οι χρήστες του ΔΛΤ είναι: α) στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και β) στελέχη των εποπτευόμενων Φορέων από το Υ-πουργείο Τουριστικής Ανάπτυξης (με επιλεκτική πρόσβαση).

Παράλληλα το Παρατηρητήριο Τουρισμού εξυπηρετεί:

τις λειτουργίες εξυπηρέτησης του γενικού (πολίτες, εν δυνάμει επενδυτές) και ειδικού κοινού (στελέχη δημόσιας διοίκησης, επενδυτές, επιχειρηματίες, ερευνητές, επιχειρηματίες, στελέχη διεθνών και εθνικών οργανισμών κλπ.)

τους συναλλασσόμενους με το Υπουργείο Τουρισμού, γενικότερα καθώς και τις ανάγκες επι-κοινωνίας με εξωτερικούς φορείς και τις δυνητικές πηγές πληροφοριών (υπάρχουσες και επιζη-τούμενες στο μέλλον).



155

Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη

Εφαρμογής Αναδόχου)

Στους χρήστες του ΟΠΣ περιλαμβάνονται:

Στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και Εποπτευόμενων Φορέων

Στελέχη του Υπουργείου Τουριστικής Ανάπτυξης και των εποπτευόμενων από αυτό φορέων (ΕΟΤ, ΟΤΕΚ, ΕΤΑ Α.Ε., Αγροτουριστική Α.Ε, Ελληνικό Φεστιβάλ Α.Ε.)

Τοπικοί διαχειριστές των εφαρμογών του Δ.Λ.Τ. και του Παρατηρητηρίου οι οποίοι θα είναι υ-πεύθυνοι α) για την ενημέρωση της βάσης δεδομένων με τα αποτελέσματα των τακτικών ερευ-νών όταν αυτές πραγματοποιούνται β) για καθημερινές διαδικασίες λειτουργίας και συντήρη-σης των εφαρμογών και γ) για τη μορφοποίηση στατιστικών αναφορών

Λοιποί Δημόσιοι Φορείς (G2G και G2B-G2C συνεργασίες)

αφενός οι λοιποί φορείς του Δημοσίου που παρέχουν με τη σειρά τους δευτερογενώς επεξεργα-σμένες και συνδυασμένες πληροφορίες και υπηρεσίες προς τους πολίτες, τους επιχειρηματίες, τους ερευνητές κλπ., όπως η ΕΣΥΕ, η Τράπεζα της Ελλάδος, οι αρμόδιες Διευθύνσεις των Υ-πουργείων Οικονομίας, Ανάπτυξης, Μεταφορών, Ναυτιλίας, Εργασίας κλπ.

η ίδια η αγορά αφετέρου, αμιγώς «τουριστική» (φιλοξενία) ή όχι (αναψυχή, πολιτισμός, επισι-τισμός, μεταφορές κλπ.).

Οι λειτουργικές απαιτήσεις του ΟΠΣ σε σχέση με αυτήν την ομάδα εξασφαλίζουν:



156

άμεση συνεργασία και ενημέρωση των λοιπών φορέων της δημόσιας διοίκησης (G2G)

γενική ενημέρωση των ενδιαφερόμενων επιχειρηματιών σε σχέση με πολλαπλά ερωτήματα, ό-πως επενδύσεις, αγορά εργασίας, μεταφορές, χαρακτηριστικά και τάσεις της εγχώριας και διε-θνούς τουριστικής αγοράς, τιμές, ανταγωνισμός κλπ.

εξειδικευμένη ενημέρωση κάθε ενδιαφερόμενου (πολίτες, ερευνητές), ανάλογα με τις εξατομι-κευμένες ανάγκες του (G2C).

5.4.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ Το ΟΠΣ διασυνδέεται με τα παρακάτω συστήματα:

Το Πληροφοριακό Σύστημα Ηλεκτρονικής Υποβολής των Αιτήσεων προς τους φορείς του Υ-πουργείου Τουριστικής Ανάπτυξης προσφέρει μηχανισμούς διαχείρισης των αιτήσεων των πο-λιτών από τους αρμόδιους υπαλλήλους των φορέων του ΥΤΑΝ, την κοινοποίηση των απο-τελεσμάτων στους ενδιαφερόμενους πολίτες και τους εμπλεκόμενους φορείς, την ηλεκτρονική υποβολή αιτήσεων, την πληροφόρηση μέσω μηνυμάτων SMS με κύριο στόχο την ολοκλήρωση και επεξεργασία των αιτήσεων αυτών.

Το Σύστημα Ανάπτυξης και Λειτουργίας Υπηρεσίας μιας Στάσης για την Εξυπηρέτηση και Πληρο-φόρηση των Επιχειρήσεων του Τουριστικού Τομέα αφορά την λειτουργία Υπηρεσίας μίας Στα-σης για την παροχή άμεσης και ολοκληρωμένης πληροφόρησης στις επιχειρήσεις του τουρι-στικού τομέα καθώς επίσης και δυνητικούς επενδυτές στο χώρο του τουρισμού. Η υλοποίηση του συγκεκριμένου συστήματος, το οποίο θα διασυνδεθεί με το περιγραφόμενο Πληροφοριακό Σύστημα, δεν έχει ολοκληρωθεί και θα γίνει μέσω του ανασχεδιασμού των ηλεκτρονικών ιστο-σελίδων του Υπουργείου Τουριστικής Ανάπτυξης και του εμπλουτισμού τους με υπηρεσίες αυ-τόματης εξυπηρέτησης καθώς και με την προμήθεια, εγκατάσταση και λειτουργία ενός υπολο-γιστικού συστήματος με 10, κατ’ ελάχιστον διασυνδεδεμένων μονάδων για την υποστήριξη των επιτόπιων επισκέψεων των χρηστών που δεν έχουν διαδικτυακή πρόσβαση, προκειμένου οι ενδιαφερόμενοι να μπορούν χωρίς προβλήματα και καθυστερήσεις να αντλήσουν τη σχετική πληροφόρηση.

Το Σύστημα τηλεπικοινωνιών «Σύζευξις», η συσχέτιση με το οποίο έγκειται στο ότι εξασφα-λίζει την απαραίτητη τηλεπικοινωνιακή διασύνδεση μεταξύ του χώρου εγκατάστασης του κε-ντρικού εξοπλισμού και των κτιρίων των Διευθύνσεων του Υπουργείου Τουριστικής Ανάπτυ-ξης.

Το ΟΠΣ διασυνδέεται με τους παρακάτω φορείς59:

Τράπεζα της Ελλάδας, από την οποία ενημερώνεται το σύστημα για τα αποτελέσματα της έρευ-νας συνόρων. Η συχνότητα διεπαφής είναι μια φορά κάθε χρόνο με το πέρας της επεξεργασίας των ερωτηματολογίων της έρευνας της ΤΤΕ

Ελληνική Στατιστική Υπηρεσία Ελλάδας, η οποία προμηθεύει το σύστημα με τα ακόλουθα:

o Τουριστική κίνηση και δαπάνη των κατοίκων της χώρας (εγχώριος και εξερχόμενος τουρι-σμός) από την Έρευνα Διακοπών.

o Αριθμός αφίξεων τουριστών στις πύλες εισόδου της χώρας (αεροδρόμια, λιμάνια, οδικοί και σιδηροδρομικοί συνοριακοί σταθμοί) από την Έρευνα Αφίξεων Συνόρων.

59 Με τα υπάρχοντα δεδομένα δεν είναι δυνατή η άμεση διασύνδεση των συστημάτων λόγω έλλειψης ΠΣ των ανωτέρω

φορέων, τα οποία να περιλαμβάνουν τις ζητούμενες πληροφορίες.



157

o Αφίξεις και Διανυκτερεύσεις σε ξενοδοχεία από την Έρευνα Αφίξεων/Διανυκτερεύσεων σε Ξενοδοχεία.

o Οικονομικά Στοιχεία για τις επιχειρήσεις του κλάδου 55 (Ξενοδοχεία και Εστιατόρια) από την Έρευνα Διάρθρωσης Επιχειρήσεων Τομέα Τουρισμού.

o Οικονομικά Στοιχεία από την Έρευνα Διάρθρωσης Επιχειρήσεων Τομέα Μεταφορών, Α-ποθήκευσης και Επικοινωνιών.

o Κύκλος εργασιών τριμήνου ξενοδοχειακών επιχειρήσεων - εστιατορίων - μπαρ - συναφών επιχειρήσεων, δείκτης τουριστικών υπηρεσιών από την Τριμηνιαία Έρευνα τζίρου Ξενοδο-χείων.

o Στοιχεία κίνησης Μουσείων και Αρχαιολογικών Χώρων από την Έρευνα Κίνησης Μουσεί-ων και Αρχαιολογικών Χώρων.

o Εθνικοί Λογαριασμοί.

o Στοιχεία Απασχόλησης από την Έρευνα Εργατικού Δυναμικού.

o Σύνθεση νοικοκυριών, απασχόληση των μελών τους, συνθήκες στέγασης και δαπάνες δια-βίωσής τους, καθώς και εισοδήματά από την Έρευνα Οικογενειακών Προϋπολογισμών.

o Η συχνότητα διεπαφής είναι μια φορά κάθε χρόνο με τη δημοσίευση των αντίστοιχων πινα-κων από την ΕΣΥΕ.

Ξενοδοχειακό Επιμελητήριο της Ελλάδας, το οποίο ενημερώνει το σύστημα για τα Στοιχεία λει-τουργίας Ξενοδοχείων και Κάμπινγκ της χώρας. Η συχνότητα διεπαφής είναι σε επίπεδο μήνα, έτσι ώστε να είναι όσο το δυνατό ποιο επικυρωμένο το αντίστοιχο Μητρώο του ΟΠΣ.

Εθνικά Τουριστικά Ακίνητα, σύμφωνα με το οποίο το Πληροφοριακό σύστημα ενημερώνεται με στοιχεία τουριστικών ακινήτων, όπως μαρίνες, συνεδριακά κέντρα (έτος κατασκευής, χωρητι-κότητα κλπ). Η συχνότητα διεπαφής πρέπει να είναι σε επίπεδο τριμήνου, έτσι ώστε να είναι όσο το δυνατό πιο επικυρωμένο το αντίστοιχο Μητρώο του ΟΠΣ.

5.4.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Ο μέγιστος βαθμός επικινδυνότητας αποτιμήθηκε ως 3/7, ενώ εντοπίστηκαν οι εξής σημαντικότερες απειλές:

Πλαστοπροσωπία από Εσωτερικούς Χρήστες

Πλαστοπροσωπία από Εξωτερικούς Χρήστες

Εισαγωγή Κακόβουλου Κώδικα- Ιομορφικού Λογισμικού

Παρεμβολές στις Επικοινωνίες

Παρεμπόδιση Επικοινωνιών

Αδυναμία Επικοινωνίας

Βλάβη Κλιματισμού

Πυρκαγιά

Φυσική Καταστροφή

Κλοπή (από εσωτερικούς)



158

Ηθελημένη Πρόκληση Βλάβης / Βανδαλισμός (από εσωτερικούς)

Ηθελημένη Πρόκληση Βλάβης / Βανδαλισμός (από εξωτερικούς )

Από την αποτίμηση των αγαθών - περιουσιακών στοιχείων του ΟΠΣ του έργου δεν προκύπτουν ση-μαντικές απαιτήσεις σε ότι αφορά την εμπιστευτικότητα (confidentiality), τη διαθεσιμότητα (avail-ability) και την ακεραιότητα (integrity) των δεδομένων και των ΠΣ. Οι απαιτήσεις για διατήρηση της εμπιστευτικότητας των δεδομένων απορρέουν κατά μείζονα λόγο από την δεδηλωμένη ανάγκη προστασίας των πρωτογενών δεδομένων, των ενδιάμεσων αποτελεσμάτων και των μελετών που προ-ορίζονται για φορείς του Ελληνικού Δημοσίου. Η απαίτηση για ακεραιότητα και διαθεσιμότητα των δεδομένων προκύπτει από το σημαντικό ρόλο του ΟΠΣ στην παροχή ορθής πληροφόρησης και την υποστήριξη των διαδικασιών Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα καθώς και από την εικόνα που προβάλλεται στο ευρύ κοινό και τους ξένους φορείς τουρισμού (ΠΟΤ, ΟΑΣΑ, Eurostat κτλ).

Όσον αφορά το Σχέδιο αντιμετώπισης περιστατικών, έχει τεθεί στόχος αποκατάστασης της λειτουργί-ας του το χρονικό διάστημα των δεκαπέντε ημερών. Σε αυτό το διάστημα περιλαμβάνεται και ο χρόνος που απαιτείται για την προμήθεια του εξοπλισμού που έχει καταστραφεί, δεν περιλαμβάνεται, όμως, ο χρόνος που απαιτείται για την αποκατάσταση των κτιριακών εγκαταστασεων, στην περίπτω-ση που έχουν υποστεί σοβαρή ζημία ή καταστροφή.

Στο πλαίσιο του Σχεδίου Αντιμετώπισης Έκτακτων Περιστατικών, προτείνεται επίσης Σχέδιο Λήψης και Διαχείρισης Εφεδρικών Αντιγράφων (backup plan). Περιγράφονται επίσης οι απαραίτητες προ-παρασκευαστικές ενέργειες για την εφαρμογή του Σχεδίου.

Έχουν προδιαγραφεί οι εξής δοκιμές (individual tests):

γενικοί έλεγχοι που πρέπει να γίνουν σε όλες τις οθόνες διαχείρισης, δηλαδή στις οθόνες που ε-κτελούν μία ή περισσότερες από τις ενέργειες της εισαγωγής, διαγραφής, τροποποίησης και ανα-ζήτησης εγγραφών.

ειδικά σενάρια ελέγχου, δηλαδή σενάρια που αναφέρονται σε συγκεκριμένες επεξεργασίες και περιλαμβάνουν μία ή περισσότερες οντότητες (οθόνες, εκτυπώσεις, αλγόριθμοι) του συστήματος.

Τα αποτελέσματα των δοκιμών δεν ήταν διαθέσιμα στην παρούσα φάση ενώ δεν εντοπίστηκε κάποιο παραδοτέο για τον έλεγχο εφαρμογής των αντιμέτρων.

5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περι-εχομένου (ΥΛΠΗΣΔΕΔ)

5.4.3.1 Στοιχεία ταυτότητας έργου Ο σκοπός του έργου «Παροχή υπηρεσιών λειτουργίας συστήματος Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου (ΥΛΠΗΣΔΕΔ)» είναι η παροχή υπηρεσίας λει-τουργίας Πληροφοριακού Συστήματος Διαχείρισης των εκπαιδευτικών διαδικασιών του Εθνικού Κέ-ντρου Δημόσιας Διοίκησης και Αυτοδιοίκησης (ΕΚΔΔΑ). Η προσφερόμενη υπηρεσία πρόκειται να υποστηρίξει το ΕΚΔΔΑ στην αναβάθμιση της Δημόσιας Διοίκησης μέσω της υποστήριξης των εκ-παιδευτικών διαδικασιών του ΕΚΔΔΑ στο πλαίσιο ενός μοντέλου μικτής κατάρτισης (blended learn-ing). Η εφαρμογή του παραπάνω πλαισίου θα δώσει τη δυνατότητα στην Δημόσια Διοίκηση να αντε-πεξέλθει με επιτυχία στις ανάγκες που απορρέουν από την πορεία της προς την Ηλεκτρονική Διακυ-βέρνηση και την εφαρμογή διαδικασιών δια βίου εκπαίδευσης. Στο πλαίσιο αυτό το ΕΚΔΔΑ έχει α-



159

ναλάβει να υλοποιήσει άμεσα ένα μεγάλο αριθμό προγραμμάτων κατάρτισης (1300) μέσω των οποί-ων αναμένεται να καταρτιστούν 21.000 στελέχη της Δημόσιας Διοίκησης.

Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ

5.4.3.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Η προτεινόμενη αρχιτεκτονική προβλέπει την δημιουργία ενός ανεξάρτητου τοπικού δικτύου το οποίο θα διαχωρίζεται σε τρεις ζώνες:

Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού

περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

A) Την εξωτερική ζώνη διασύνδεσης με το τοπικό δίκτυο του ΣΥΖΕΥΞΙΣ και μέσω αυτού στο Διαδίκτυο (Reverse Proxy Servers, το οποίο είναι υπεύθυνο για τη παρουσιάση της εκπαιδευτικής πύλης στον τελικό χρήστη. Η συγκεκριμένη υλοποίηση τοποθετεί μπροστά απο τους web applicati-on servers του ΟΠΣ, και μετά το firewall, μια μηχανή υποδοχής των συνδέσεων που προέρχονται απο το εξωτερικό δίκτυο (WAN) και απευθύνονται προς αυτούς.

Φορέας έργου: Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης

Ανάδοχος: Ένωση OTENET Α.Ε- ΑΠΟΨΗ Α.Ε- ΚΟΡΥΜΒΟΣ Α.Ε

ΣΤΥ: - Μελετητής Ασφάλειας: Από τον ίδιο τον ανάδοχο Προϋπολογισμός έργου: 2.953.385,13 € Διάρκεια έργου: 21 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, σε πιλοτική λειτουργία Data Center: DC2



160

Β) Την αποστρατιωτικοποιημένη ζώνη (DMZ)

Σύστημα ασύγχρονης τηλεκπαίδευσης και Σύστημα δημιουργίας και διαχείρισης εκπαιδευτικού υλικού

Σύστημα σύγχρονης τηλεκπαίδευσης

Σύστημα Διαχείρισης και Διακίνησης Εγγράφων

Συστήματα του Report Manager και Analytics Server τα οποία είναι υπεύθυνα για την παρα-γωγή διαφόρων στατιστικών στοιχείων

Notification και SMTP Server

Active Directory

Γ) Την εσωτερική ζώνη

Βάση δεδομένων

Backup Εξυπηρετητής

Κοινό δικτυακό σύστημα αποθήκευσης (Storage Area Network).

Μanagement VLAN, το οποίο περιλαμβάνει όλη την υλικοτεχνική υποδομή σε εξοπλισμό και λογισμικό, η οποία θα χρησιμοποιηθεί από την Ένωση για την παροχή της Υπηρεσία Παρακο-λούθησης Επιπέδου Συμφωνίας Υπηρεσιών (ΥΠΕΣΥ - SLA).

Δ) To δίκτυο θα υλοποιηθεί μέσω δύο Cisco gigabit μεταγωγέων επιπέδου 3. Ο διαχωρισμός του δικτύου σε ζώνες θα γίνει μέσω δύο Cisco Firewall σε διάταξη Fail over και την δημιουργία των α-παραίτητων VLAN. Το τοπικό δίκτυο του OΠΣ θα ελέγχεται για επιθέσεις μέσω συστήματος IDS, ενώ το ειδικό λογισμικό προστασίας από ιούς θα εγκατασταθεί σε κάθε εξυπηρετητή.

5.4.3.3 Παρεχόμενες υπηρεσίες Το ΟΠΣ παρέχει τις εξής υπηρεσίες:

Υπηρεσία Διαχείρισης Εκπαιδευτικών Διαδικασιών και Περιεχομένου, που υποστηρίζει το σύνο-λο των εκπαιδευτικών διαδικασιών του ΕΚΔΔΑ και ενσωματώνει τις παρακάτω υπηρεσίες:

o Υπηρεσία Διαχείρισης Εκπαιδευτικών Διαδικασιών

o Υπηρεσία Συγγραφής και Δημοσίευσης Εκπαιδευτικού Υλικού

o Υπηρεσία Διαχείρισης Χρηματοροών και Δεικτών

o Υπηρεσία Διαχείρισης Σύγχρονης Τηλεκπαίδευσης

o Υπηρεσία Διαχείρισης Περιεχομένου

Υπηρεσία Διαχείρισης και Διακίνησης Εγγράφων, η οποία υποστηρίξει το ΕΚΔΔΑ στη διαχείρι-ση και διακίνηση των ψηφιακών του εγγράφων, στην ψηφιοποίηση των διαφόρων φυσικών εγγράφων και στην οργάνωσή τους μέσω ηλεκτρονικών πρωτοκόλλων επιτρέποντας την εύκο-λη και γρήγορη αναζήτηση, την ηλεκτρονική διακίνησή τους στα περιφερειακά τμήματα του ΕΚΔΔΑ.

Υπηρεσία Εγγραφής και Εξουσιοδότησης Χρηστών



161

Υπηρεσία Δημοσίευσης/Προβολής Λειτουργιών και Περιεχομένου Εκπαιδευτικής Πύλης, η οποία επιτρέπει τη δημοσίευση πολλαπλών δικτυακών πυλών οι οποίες χρησιμοποιούν τις ίδιες υπη-ρεσίες διατηρώντας όμως πλήρη ανεξαρτητοποίηση όσον αφορά το περιεχόμενο. Το ΕΚΔΔΑ μπορεί να δημιουργήσει ανεξάρτητους δικτυακούς τόπους προσαρμοσμένους στις ανάγκες του εκάστοτε φορέα (Νομαρχίες, Περιφέρειες, Υπουργεία) διατηρώντας ενιαίο τρόπο διαχείρισης του συνόλου των υπηρεσιών. Η κάθε επιμέρους δικτυακή πύλη θα αποτελεί το σημείο εισόδου για όλες τις κατηγορίες χρηστών (διαχειριστές, εκπαιδευόμενοι, εκπαιδευτές) και θα δίνει τη δυνατότητα της διαφανούς χρήσης όλων των επιμέρους υπηρεσιών της ΥΛΠΗΣΔΕΔ.

Υπηρεσία Διανομής Περιεχομένου


ΣΥΖΕΥΞΙΣ

Η σύνδεση της Διαδικτυακής Πύλης με τρίτα συστήματα, καθώς και η πρόσβαση των χρηστών στις υπηρεσίες της, θα πραγματοποιηθεί μέσω του δικτύου Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ. Επίσης, προβλέπεται ότι η πιστοποιημένη και εξουσιοδοτημένη πρόσβαση των εσωτερικών χρηστών (στελέχη Δημοσίου) στις λειτουργίες της Πύλης θα πραγματοποιείται με χρήση της PKI υποδομής του ΣΥΖΕΥΞΙΣ.

Πληροφοριακό Σύστημα του ΕΚΔΔΑ

Το ΕΚΔΔΑ διαθέτει πληροφοριακό σύστημα μέσω του οποίου διαχειρίζεται τις εκπαιδευτικές διαδικασίες που απορρέουν από την υλοποίηση προγραμμάτων κατάρτισης τόσο με ιδία μέσα όσο και με ανάθεση σε τρίτους Η ΥΛΠΗΣΔΕΔ αποσκοπεί να ενσωματώσει και γενικότερα να ολοκληρώσει το σύνολο των επιχειρησιακών διαδικασιών που υλοποιούνται από το Πληροφο-ριακό Σύστημα του ΕΚΔΔΑ.

Σύστημα εκπαίδευσης (Υποέργο 8 ΣΥΖΕΥΞΙΣ)

Η ΥΛΠΗΣΔΕΔ στοχεύει να διαλειτουργεί πλήρως με το υπάρχον πληροφοριακό σύστημα δια-χείρισης της εκπαίδευσης το οποίο έχει δημιουργηθεί στο πλαίσιο του Υποέργου 8 του έργου ΣΥΖΕΥΞΙΣ και βρίσκεται σε ειδικά διαμορφωμένο computer room στις εγκαταστάσεις του ΕΚΔΔΑ εντός του δικτύου ΣΥΖΕΥΞΙΣ.

5.4.3.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Η μελέτη εκπονήθηκε από τον ίδιο τον Ανάδοχο, ενώ δεν εντοπίστηκε κάποιο άλλο παραδοτέο από εξωτερικό μελετητή. Χρησιμοποιήθηκε η μεθοδολογία CRAMM, o μέγιστος βαθμός επικινδυνότη-τας είναι 5/7, ενώ οι σημαντικότερες απειλές που εντοπίστηκαν είναι:

Εισαγωγή Ιομορφικού ή Κακόβουλου Λογισμικού

Λάθη χρήστη

Φωτιά

Πλαστοπροσωπία

Μη εξουσιοδοτημένη χρήση εφαρμογής

Πλημμύρα



162

Κλοπή (από εσωτερικούς χρήστες)

Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρήστες)

Το Σχέδιο Ασφάλειας περιλαμβάνει μια σειρά από αντίμετρα, σε 21 κατηγορίες, τα σημαντικότερα των οποίων είναι η δημιουργία οργανωτικού πλαισίου για τη διαχείριση της ασφάλειας, η πραγμα-τοποίηση εσωτερικών ελέγχων, η ευαισθητοποίηση, ενημέρωση, εκπαίδευση σε θέματα ασφάλειας ΠΣ, η υιοθέτηση της πολιτικής Ασφάλειας ΠΣ, η Προστασία προσωπικών δεδομένων, η προστασία από κινδύνους προερχόμενους από το Διαδίκτυο και η διαχείριση συνθηματικών και λογαριασμών χρηστών.

Το σύστημα επεξεργάζεται ευαίσθητα δεδομένα εκπαιδευόμενων Φορέων, αλλά αυτό δεν ανακλά-ται στα σχέδιο ασφαλείας με επιπλέον μέτρα, εκτός αυτών του ελέγχου προσπέλασης. Όσον αφορά τη συνέχιση της λειτουργίας, προδιαγράφεται η χρήση εφεδρικών αντίγραφων δεδομένων, δεν προ-βλέπεται εφεδρικός χώρος εγκατάστασης και δεν εντοπίστηκε σχέδιο ανάκαμψης καταστροφών. Τέλος, υπάρχει πολιτική ασφάλειας.

5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Υγείας, Δημόσιας Υγιεινής και Κοιvωνικής Πρόνοιας

5.4.4.1 Στοιχεία ταυτότητας έργου Στόχος των Ολοκληρωμένων Πληροφοριακών Συστημάτων Νομαρχιακών Αυτοδιοικήσεων ΝΑ) είναι η βελτιστοποίηση της λειτουργίας των ΝΑ και των παρεχόμενων υπηρεσιών προς τον πολίτη, με βασικούς άξονες:

Την ομογενοποίηση των διαδικασιών και των εντύπων των ΝΑ λαμβάνοντας υπόψη την διαφο-ροποίηση τους λόγω μεγέθους και πιθανών λειτουργικών ιδιαιτεροτήτων,

Την ανάπτυξη, παραμετροποίηση, εγκατάσταση και λειτουργία πληροφοριακού συστήματος που επιτρέπει τη διαχείριση της ροής τυποποιημένων εργασιών και πληροφοριών για το σύνο-λο των ΝΑ της χώρας καθώς και την παρακολούθηση των αιτημάτων/υποθέσεων των πολιτών από τους προϊσταμένους των ΝΑ και τον ίδιο τον πολίτη,

Την παροχή υπηρεσιών εκπαίδευσης και υποστήριξης των χρηστών κατά τη διάρκεια της περιόδου καλής (πιλοτικής) λειτουργίας,

Την εξασφάλιση της καλής λειτουργίας των εφαρμογών στις κατά τόπους ΝΑ,

Την παροχή υπηρεσιών τεχνικής και επιστημονικής υποστήριξης στο πλαίσιο της παραγωγικής λειτουργίας του έργου,

Την παροχή υπηρεσιών συντήρησης και υποστήριξης του συστήματος.

Πιο συγκεκριμένα, αυτό το έργο στοχεύει:

Στη βελτίωση του βαθμού ενημέρωσης του πολίτη σε σχέση με τις δραστηριότητες των Νο-μαρχιακών Αυτοδιοικήσεων στις λειτουργικές περιοχές Υγείας και Δημόσιας Υγιεινής και Κοι-νωνικής Πρόνοιας αλλά και τις απαραίτητες ενέργειες και δικαιολογητικά για την έκδοση των αδειών/πιστοποιητικών και την χορήγηση των επιδομάτων που δικαιούται.

Στη βελτίωση του βαθμού εξυπηρέτησης του πολίτη αφού θα μπορεί να διεκπεραιώνει τις υπο-θέσεις του που αφορούν θέματα υγειονομικού ενδιαφέροντος ή κοινωνικής πρόνοιας ταχύτερα και πιο αξιόπιστα, μέσω της δημιουργίας κατάλληλων υποσυστημάτων του Πληροφοριακού Συστήματος,



163

Στη δημιουργία των απαραίτητων βάσεων δεδομένων που αφορούν δικαιούχους επιδομάτων και αδειών,

Στην αποτελεσματικότερη υποστήριξη των δημοσίων φορέων με άμεση πρόσβαση σε καθορι-σμένα δεδομένα των λειτουργικών περιοχών Υγείας και Δημόσιας Υγιεινής και Κοινωνικής Πρόνοιας,

Στη μείωση του κόστους λειτουργίας και στην αύξηση της παραγωγικότητας των Νομαρχια-κών Αυτοδιοικήσεων που θα επιτευχθεί με την αυτοματοποίηση και την απλούστευση των δια-δικασιών που θα προσφέρει ο νέος τρόπος λειτουργίας μέσω του πληροφοριακού συστήματος,

Στην ανάπτυξη της υποδομής τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) προκειμέ-νου οι Νομαρχίες να συνδεθούν με έργα που αφορούν σε υπηρεσίες προς τον πολίτη που σχε-διάζει το ΥΠΕΣΔΔΑ και η ΚτΠ.

Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας

5.4.4.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Οι εφαρμογές βασίζονται σε δύο κεντρικά συνιστώντα μέρη (components)

Στον Oracle Database Server

Στον Oracle Application Server.

Στο αμέσως επόμενο επίπεδο βρίσκονται τα ενδιάμεσα συνιστώντα μέρη

Oracle Collaboration

Data Abstraction layer (Hibernate/Toplink)

Controller Layer (Struts)

Portal CMS

Document Caching Engine

Oracle Workflow

Τέλος υπάρχουν τα συνιστώντα μέρη (Components) στο επίπεδο των εφαρμογών που είναι

Υποσύστημα Υγείας

Υποσύστημα Κοινωνικής Πρόνοιας

Φορέας έργου: ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές περιοχές Υγείας και Δημόσιας Υγιεινής και Πρόνοιας), ΥΠΟΥΡΓΕΙΟ ΥΓΕΙΑΣ ΚΑΙ ΠΡΟΝΟΙΑΣ

Ανάδοχος: Ένωση IBM Ελλάς Α.Ε. – QUALITY και RELIABILITY A.E.ΣΤΥ: ΕΥΡΩΣΥΜΒΟΥΛΟΙ Α.Ε, ADVANCED INFORMATION

SERVICES A.E. Μελετητής Ασφάλειας: ΕΥΡΩΣΥΜΒΟΥΛΟΙ Α.Ε, ADVANCED INFORMATION

SERVICES A.E. Προϋπολογισμός έργου: 4.358.054,00 € Διάρκεια έργου: 21 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία Data Center: DC1



164

Διαδικτυακή Πύλη (Portal)

Πρωτόκολλο

Σύστημα Διοικητικής Πληροφόρησης (MIS)

Σύστημα Διαχείρισης Ροών Εργασίας

Η διασυνδεσιμότητα και οι αλληλεπιδράσεις μεταξύ των υποσυστημάτων είναι οι ακόλουθες (σε bottom– up σειρά):

Όλες οι εφαρμογές λαμβάνουν υπόσταση (instantiate) στον Oracle Application Server.

Το Oracle Workflow είναι υποσύστημα Layer πάνω από τον Application Server

Το Portal CMS έχει πρόσβαση στα έγγραφα του συστήματος μέσω του Document Caching engine. Η πρόσβασή του στα υπόλοιπα δομημένα δεδομένα της Oracle DB γίνεται μέσω του Data Abstraction Layer.

Όλες οι thin client εφαρμογές έχουν πρόσβαση στο περιεχόμενο τους (μέσω του CMS) και στα δομημένα δεδομένα τους (μέσω του Data Abstraction Layer και του CMS). Για διαδικασίες με ροή καλείται το Oracle Workflow

Οι rich client εφαρμογές λαμβάνουν υπόσταση στον Forms/Reports Server και μέσω αυτού έ-χουν πρόσβαση στα έγγραφα μέσω Document Caching και στα δομημένα δεδομένα της Oracle DB με απ’ ευθείας πρόσβαση. Τα υποσυστήματα Υγείας και Κοινωνικής Πρόνοιας, κατά την εκτέλεση της διαδικασίας υποβολής (είτε από το Portal είτε από τις εφαρμογές) καλεί το υπο-σύστημα Πρωτοκόλλου για την Πρωτοκόλληση «εγγράφων» (αιτήσεων). Για διαδικασίες με ροή καλείται το Oracle Workflow.

5.4.4.3 Παρεχόμενες υπηρεσίες Το Σύστημα προσφέρει τις παρακάτω λειτουργίες:

Λειτουργίες Αυθεντικοποίησης και Ελέγχου Πρόσβασης

Υποσύστημα Πρωτοκόλλου

Υποσυστήματα Εφαρμογών

o Υποσύστημα φορέων παροχής υπηρεσιών υγείας

o Υποσύστημα ιατρικών και παρα-ιατρικών επαγγελμάτων

o Υποσύστημα ελέγχου καταστημάτων υγειονομικού ενδιαφέροντος

o Υποσύστημα διαχείρισης φαρμάκων και εμβολίων

o Υποσύστημα λοιπών λειτουργιών περιοχής Υγείας και Δημόσιας Υγιεινής

o Υποσύστημα διαχείρισης επιδομάτων κοινωνικής πρόνοιας

o Υποσύστημα οικονομικής διαχείρισης εσόδων και εξόδων κοινωνικής πρόνοιας

o Υποσύστημα ελέγχου και εποπτείας Φορέων Κοινωνικής Αντίληψης και Φροντίδας

o Υποσύστημα Κοινωνικών Υπηρεσιών

o Υποσύστημα Παροχών Κοινωνικής Αρωγής



165

Υποσύστημα Πληροφόρησης Διοίκησης (MIS)

Λειτουργίες Ηλεκτρονικού Ταχυδρομείου / Επικοινωνίας Χρηστών (Collaboration)

Υπηρεσίες Διαδικτυακής Πύλης (Portal)

Υποσύστημα Διαχείρισης Ροής Εργασιών

Υποσύστημα Διαχείρισης Πόρων (π.χ. Βάσεων Δεδομένων, τμημάτων εφαρμογών, κτλ.)

Οι χρήστες τους συστήματος είναι οι εξής:

1. Προσωπικό Νομαρχιακών Διευθύνσεων Υγείας και Πρόνοιας

Εργαζόμενοι εντός των Νομαρχιακών Αυτοδιοικήσεων, στις Λειτουργικές Περιοχές Υγείας και Δημόσιας Υγιεινής και Κοινωνικής Πρόνοιας, βασικοί χρήστες του συστήματος. Διαχειρίζο-νται πληροφορίες οι οποίες έχουν ως αποδέκτες και τις υπόλοιπες ομάδες χρηστών του εξωτε-ρικού περιβάλλοντος των ΝΑ.

Διοίκηση των Νομαρχιών για διοικητικές πληροφορίες με την έκδοση τυποποιημένων αναφο-ρών και στατιστικών στοιχείων και αναλύσεων.

Διαχειριστές συστήματος, ανά Νομαρχία, με αποστολή τη διασφάλιση της επικοινωνίας για τε-χνικά θέματα με τους κεντρικούς διαχειριστές και την παροχή βοήθειας στους απλούς χρήστες. Θα μπορούν να επέμβουν σε διαφορετικό επίπεδο στην εφαρμογή, ρυθμίζοντας τις ιδιότητές της.

2. Χρήστες του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης:

Υπηρεσίες των Διευθύνσεων του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: Έχουν δυ-νατότητα αναζήτησης των εγγεγραμμένων στα αρχεία δεδομένων με ασφαλή σύνδεση με τη βάση δεδομένων του δικτύου των Νομαρχιών και τήρηση όλων των προβλεπόμενων για τα ευ-αίσθητα προσωπικά δεδομένα, και δυνατότητα διαχείρισης των φαρμάκων και εμβολίων που χορηγούν στις Νομαρχίες με στόχο τη βέλτιστη οικονομο-τεχνικά διαχείριση των σχετικών α-ποθεμάτων.

Διοίκηση του Υπουργείου Υγείας και Κοινωνικής Αλληλεγγύης: Δυνατότητα σύνθεσης τυπο-ποιημένων αναφορών, στατιστικών και απολογιστικών στοιχείων για τις δραστηριότητες των Νομαρχιακών Αυτοδιοικήσεων στις Λειτουργικές Περιοχές Υγείας και Δημόσιας Υγιεινής και Κοινωνικής Πρόνοιας, με δυνατότητα ορισμού των στοιχείων που εμφανίζονται από τον χρή-στη (επιλέγοντας ανάμεσα στα πεδία που θα τηρούνται στα βασικά αρχεία του κάθε υποσυστη-ματος) (για παράδειγμα, σημαντικά στατιστικά στοιχεία θα μπορούσαν να προκύψουν με βάση το γεωγραφικό διαμέρισμα, την ηλικία, το φύλο κλπ.)

Κεντρικοί διαχειριστές (στο Υπουργείο Υγείας και Κοινωνικής Αλληλεγγύης ), με αποστολή τη συντήρηση της εφαρμογής και την ενημέρωσή της. Θα μπορούν να επέμβουν σε διαφορε-τικό επίπεδο στην εφαρμογή, ρυθμίζοντας τις ιδιότητές της.

3. Λοιποί φορείς

Λοιποί συναλλασσόμενοι/συνεργαζόμενοι φορείς, όπως το ΚΗΥΚΥ.

4. Ενδιαφερόμενοι Πολίτες και Οργανισμοί:

Πολίτες ή οργανισμοί που εντάσσονται στις λειτουργίες των ΝΑ, όπως πχ. γηροκομεία). Πλη-ροφορίες σχετικές με τις λειτουργικές περιοχές. Ο ενδιαφερόμενος πολίτης αντλεί πληροφορίες για τα δικαιολογητικά κατά περίπτωση αιτήματος και για τις λεπτομέρειες επικοινωνίας με τη



166

νομαρχία στην οποία ανήκει (διεύθυνση, τηλέφωνο, e-mail). Παρέχεται η δυνατότητα ηλεκτρο-νικής συνδιαλλαγής των πολιτών με τις Νομαρχιακές Αυτοδιοικήσεις, με ηλεκτρονική υποβο-λή αιτημάτων και δικαιολογητικών και ηλεκτρονική αποστολή πιστοποιητικών.

5.4.4.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ και με το ευρύ κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο.

5.4.4.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Χρησιμοποιήθηκε η μεθοδολογία OCTAVE και οι σημαντικότερες απειλές που εντοπίστηκαν είναι οι εξής:

Παραβίαση Κανόνων Πολιτικής Ασφάλειας του ΟΠΣΝΑ

Αποκάλυψη ευαίσθητης πληροφορίας από την Κεντρική Βάση Δεδομένων.

Είσοδος Κακόβουλου Κώδικα σε πληροφοριακό σύστημα

Πλαστοπροσωπία από Εσωτερικό χρήστη

Βλάβη πληροφοριακού συστήματος

Πτώση Τάσεως στα πληροφορικά συστήματα.


Λανθασμένη χρήση εφαρμογής

Σεισμός

Πυρκαγιά

Βλάβη Πληροφοριακού Συστήματος

Τεχνική Βλάβη Υπηρεσίας.

Έχουν ληφθεί διάφορα μέτρα ασφάλειας και εκτός από τα συνήθη μέτρα για τη διαθεσιμότητα, η κύρια έμφαση δίδεται στα Μέτρα Σχετικά με την Εμπιστευτικότητα και την Ακεραιότητα. Τα ση-μαντικότερα είναι τα εξής:

Σε ιδιαιτέρως ευαίσθητα δεδομένα συνιστάται η χρήση ψηφιακών πιστοποιητικών για την αυ-θεντικοποίηση του εκάστοτε χρήστη σε αυτά.

Χρήση του πρωτοκόλλου ασφάλειας SSL3 στα 128 bits (και με X.509 v.3 πιστοποιητικά των 1024 bits όπως αναφέρθηκε παραπάνω) για την επίτευξη ασφαλούς επικοινωνίας των διαφορε-τικών επιπέδων της αρχιτεκτονικής της εφαρμογής.

Πρόσβαση σε επίπεδο βάσης δεδομένων, τόσο κατά την δημιουργία της όσο και για την online σύνδεση των εφαρμογών με αυτή, με διαφορετικά username/passwords.

Δυνατότητα ενεργοποίησης του logging σε επίπεδο βάσης δεδομένων με ταυτόχρονη απόθή-κευση των log αρχείων στο λειτουργικό σύστημα και με δυνατότητα πρόσβασης σε αυτά μόνο από εξουσιοδοτημένα πρόσωπα.



167

Επιλεκτική κρυπτογράφηση ευαίσθητων δεδομένων κατά την αποθήκευση των τελευταίων στη βάση, όταν αυτό κριθεί αναγκαίο, με την χρήση ισχυρών αλγορίθμων π.χ. 3-key 3DES (168-bit keys).

Συνεχής έλεγχος σε κρίσιμα πεδία (query strings, URLs, post-ed data, cookies κλπ.) για την α-ποφυγή εισχώρησης ιομορφικού κώδικα (ή cross-site scripting) από μη εξουσιοδοτημένους χρήστες, οι οποίοι έχουν δικαίωμα πρόσβασης επίσκεψης σε μη-ευαίσθητες πληροφορίες.

Χρήση ενδεδειγμένων τεχνικών όπως το filter-out single quote, double quote, slash, back slash, semi colon, extended character (null, carry return, new line κ.α), για την αποφυγή παράνομης πρόσβασης σε αποθηκευμένα δεδομένα στο σύστημα.

Η ανάπτυξη ενός ολοκληρωμένου συστήματος διαχείρισης κλειδιών στις περιπτώσεις χρησιμο-ποίησης πιστοποιητικών θεωρείται αναγκαία.

Χρήση ειδικών μεθόδων ελέγχου για την διατήρηση της ακεραιότητας των πληροφοριών των βάσεων δεδομένων με την χρήση συναρτήσεων κατακερματισμού (hash) ή ακόμα και ψηφια-κών υπογραφών όπου αυτό κρίνεται απαραίτητο.

Υπάρχει προδιαγεγραμμένη πολιτική ασφάλειας, ενώ δεν προβλέπεται Σχέδιο Αποκατάστασης Κα-ταστροφών. Προβλέπεται η λήψη αντιγράφων ασφαλείας και η ύπαρξη εφεδρικού εξοπλισμού, αλ-λά δεν προκύπτει η ανάγκη για εφεδρικό χώρο εγκατάστασης.

5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Εμπορίου και Ανωνύμων Εταιριών

5.4.5.1 Στοιχεία ταυτότητας έργου Το έργο «Ανάπτυξη και Εφαρμογή Συστημάτων Πληροφορικής των Νομαρχιακών Αυτοδιοικήσε-ων: Λειτουργικές Περιοχές Εμπορίου και Ανωνύμων Εταιριών» εντάσσεται σε μια σειρά έργων για τις ΝΑ, όπως αυτό που εξετάσαμε στην προηγούμενη ενότητα. Πιο συγκεκριμένα, στοχεύει στη βελτίωση της υφιστάμενης κατάστασης αναφορικά με τους ακόλουθους άξονες:

Ποιότητα εσωτερικών διαδικασιών φορέα και γενικότερα του Ελληνικού Δημοσίου,

Ταχύτητα εξυπηρέτησης πολίτη και γενικότερα διεκπεραίωσης πάσης φύσεως διαδικασιών,

Πληρότητα παρεχόμενων υπηρεσιών (εμπλουτισμός υφισταμένων, εμφάνιση νέων υπηρεσιών),

Ποιότητα περιβάλλοντος εργασίας στελεχών φορέα,

Πληρότητα και εγκυρότητα πληροφοριών διοικητικού ενδιαφέροντος,

Εκμετάλλευση πόρων (χώρος, χρόνος, κόστος κλπ.).

Βασικός στόχος του πληροφοριακού συστήματος είναι να καλύψει δύο μεγάλες θεματικές κατηγο-ρίες στις λειτουργικές περιοχές που αναφέρεται σε:

Υποστήριξη όλων των διαδικασιών που απορρέουν από τις αρμοδιότητες της κάθε λειτουργι-κής περιοχής, όπως αυτές εμφανίζονται στους κανονισμούς που διέπουν τη λειτουργία τους και με πλήρη εκμετάλλευση των τεχνολογιών πληροφορικής. Η θεματική αυτή κατηγορία εμπερι-έχει αντικείμενα όπως:

o Αδειοδοτήσεις μέσω διαχείρισης μητρώων και λοιπών αρχείων,

o Παρακολούθηση και μηχανογραφική υποστήριξη διαδικασιών,



168

o Εξαγωγή πληροφοριών και υποστήριξη προγραμματισμού.

Εισαγωγή και εκμετάλλευση νέων υπηρεσιών διαδικτυακής φύσης προς όφελος του εξυπηρε-τουμενου πολίτη και του φορέα, η οποία διασπάται σε δύο διαφορετικής φύσης υποενότητες:

o Δημιουργία αμφίδρομων ηλεκτρονικών διεπαφών με τον ενδιαφερόμενο προς εξυπηρέτηση των αιτημάτων του προς το φορέα.

o Παροχή μονόδρομης πληροφόρησης σχετικά με τις λειτουργικές περιοχές και τις διαδικα-σίες τους.

Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E.

5.4.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Το σύστημα απεικονίζεται στο Σχήμα 28 και περιλαμβάνει τα εξής δομικά στοιχεία:

Εξυπηρετητές Εφαρμογών (Application Servers): αποτελείται από ένα σύνολο φυσικών Appli-cation Servers, ανοικτής και ανεξάρτητης αρχιτεκτονικής εξοπλισμού και λειτουργικού συστη-ματος, αρχιτεκτονικής Java/J2EE, που χρησιμοποιείται για την εκτέλεση όλης της επιχειρημα-τικής λογικής των εφαρμογών. Επικοινωνεί με το περιβάλλον Web Server για μεταφορά δεδο-μενων από και προς τους σταθμούς εργασίας. Επικοινωνεί με τον Database Server μέσω JDBC για πρόσβαση/διαχείριση των δεδομένων των εφαρμογών. Επικοινωνεί επίσης για ανταλλαγή δεδομένων και συναλλαγών με άλλους φορείς, με χρήση του πρωτοκόλλου XML/HTTP(S) ή του πρωτοκόλλου Web Services (SOAP).

Εξυπηρετητής Βάσεων Δεδομένων (Database Server): σύστημα διαχείρισης σχεσιακών βάσεων δεδομένων, που χρησιμοποιείται για την πρόσβαση και την διαχείριση των δεδομένων των εφαρμογών.

Εξυπηρετητές Δικτύου (Web Servers): χρησιμοποιείται για την πρόσβαση των σταθμών εργα-σίας και επικοινωνεί μαζί τους με δεδομένα HTML και πρωτόκολλο HTTP/HTTPS. Απόμονώ-νει τους Application και Database Servers από την απευθείας πρόσβαση των χρηστών. Επικοι-νωνεί με το περιβάλλον Application Servers για την εξυπηρέτηση των συναλλαγών των χρη-στών μέσω της κλήσης εφαρμογών επιχειρηματικής λογικής και την παραλαβή και ακόλουθη μεταφορά των αποτελεσμάτων σε μορφή δυναμικών HTML σελίδων προς τους σταθμούς ερ-γασίας. Δεν επικοινωνεί απευθείας με τον Database Server. Η επικοινωνία με τους σταθμούς εργασίας θα γίνεται με το πρωτόκολλο HTTP/HTTPS.

Φορέας έργου: ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές περιοχές Εμπορίου και Ανωνυμών Εταρειών)

Ανάδοχος: Ένωση SIEMENS Α.Ε. – QUALITY και RELIABILITY A.E. ΣΤΥ: ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ A.E.

Μελετητής Ασφάλειας: Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών

Προϋπολογισμός έργου: 2.178.042,00 € Διάρκεια έργου: 18 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία Data Center: DC1



169

Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου)



170

E-mail/DNS/Development Server: χρησιμοποιείται σαν Mail (POP3) Server, μέσω του λογισμι-κού Oracle Mail, και σαν DNS Server. Λειτουργεί επίσης και σαν Server ανάπτυξης/δοκιμών, με το περιβάλλον ανάπτυξης/δοκιμών του Application Server και Database Server.

Σύστημα Ασφαλείας: χρησιμοποιείται για τον έλεγχο της πρόσβασης των σταθμών εργασίας προς το σύστημα. Συγκεκριμένα, αποτελείται από σύστημα Firewall που διαχωρίζει το TCP/IP δίκτυο σε ανεξάρτητες ζώνες, με ελεγχόμενη μέσω του Firewall επικοινωνία ανάμεσα στις ζώ-νες. Το Firewall έτσι υλοποιεί τις ζώνες δικτύου: εξωτερικό δίκτυο (ΣΥΖΕΥΞΙΣ), Ενδιάμεσο δίκτυο (DMZ) και Εσωτερικό Δίκτυο. Το Firewall επιτρέπει την πρόσβαση των σταθμών εργα-σίας μόνον προς το ενδιάμεσο δίκτυο DMZ (Demilitarized Zone). Στο DMZ τοποθετούνται, για πρόσβαση από τους χρήστες, το περιβάλλον των Web Servers, για πρόσβαση στις εφαρμο-γές, καθώς και το περιβάλλον και Mail/DNS Server για πρόσβαση προς τις υπηρεσίες POP3 Mail Server και DNS (Domain Name Services). Το σύστημα ασφαλείας επιτρέπει την ελεγχό-μενη διακίνηση των συναλλαγών των χρηστών από/προς τους Web Servers και Mail Server στο DMZ προς/από τους Application Servers στο εσωτερικό δίκτυο.

5.4.5.3 Παρεχόμενες υπηρεσίες Αποδέκτες των υπηρεσιών της λειτουργικής περιοχής Εµπορίου και Ανωνύµων Εταιριών, ανά λει-τουργική περιοχή, είναι:

Λειτουργική Περιοχή Εµπορίου

Πολίτες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τους πολίτες είναι η αδειοδότηση των ε-παγγελµάτων πλανόδιου εµπορίου, η διενέργεια ελέγχων καταστηµάτων και επιχειρήσεων ως αποτέλεσµα καταγγελιών παραβάσεων αγορανοµικών διατάξεων, η διενέργεια προληπτικών ε-λέγχων καταστηµάτων και επιχειρήσεων µε στόχο τη προστασία των καταναλωτών.

Εµπορικές και βιοµηχανικές επιχειρήσεις: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τις εµπο-ρικές και βιοµηχανικές επιχειρήσεις είναι η αδειοδότηση λειτουργίας εµπορικών εκθέσεων, ο αρχικός και περιοδικός έλεγχος µέτρων και σταθµών των πρατηρίων καυσίµων, η παρακολού-θηση των ψυκτικών εγκαταστάσεων και η διενέργεια τιµοληψιών µε στόχο το καθορισµό των τιµών στα βασικά αγαθά πώλησης προς τους δηµόσιους οργανισµούς.

Γενική Γραµµατεία Εµπορίου του Υπουργείο Ανάπτυξης: Οι υπηρεσίες οι οποίες έχουν ως απο-δέκτες τη Γενική Γραµµατεία Εµπορίου του Υπουργείου Ανάπτυξης είναι η ενηµέρωση των α-ποτελεσµάτων των καθορισµένων αλλά και έκτακτων προγραµµάτων ελέγχου της αγοράς.

Λειτουργική Περιοχή Ανωνύµων Εταιριών

Πολίτες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τους πολίτες είναι η έγκριση άδειας σύ-στασης Ανωνύµων Εταιριών, η παροχή διαφόρων πληροφοριακών στοιχείων σχετικά µε το τηρούµενο µητρώο Ανωνύµων Εταιριών.

Ανώνυµες Εταιρίες: Οι υπηρεσίες οι οποίες έχουν ως αποδέκτες τις Ανώνυµες Εταιρίες είναι η παροχή κατάλληλων βεβαιώσεων και δικαιολογητικών.

Γενική Γραµµατεία Εµπορίου του Υπουργείο Ανάπτυξης: Οι υπηρεσίες οι οποίες έχουν ως από-δέκτες τη Γενική Γραµµατεία Εµπορίου του Υπουργείου Ανάπτυξης είναι ο έλεγχος των πρα-κτικών των οργάνων των Ανωνύµων Εταιριών ως προς την νοµιµότητα και την εκτέλεση των αποφάσεων, ο έλεγχος των υποχρεώσεων των Ανωνύµων Εταιριών καθώς επίσης και η επιβο-λή προστίµων στις Ανώνυµες Εταιρίες οι οποίες παραβαίνουν το ισχύον νοµοθετικό πλαίσιο.



171


Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ)

Οι διαδικασίες οι οποίες θα προσφέρονται µέσω των ΚΕΠ είναι:

o Λειτουργική περιοχή Ανωνύµων Εταιριών

1. Έγκριση Σύστασης Α.Ε.

2. Έγκριση Εγκατάστασης Υποκαταστηµάτων Αλλοδαπών Ανωνύµων Εταιριών και ΕΠΕ

3. Έκδοση Βεβαιώσεων

4. Παροχή Πληροφόρησης

o Λειτουργική περιοχή του Εµπορίου:

1. Υποβολή Καταγγελίας

2. Έκδοση άδειας Λειτουργίας Εµπορικών Εκθέσεων

Σύστημα τηλεπικοινωνιών «ΣΥΖΕΥΞΙΣ»

Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ, και με το ευρύ κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο.


Εισαγωγή Ιομορφικού Λογισμικού

Αστοχία Λογισμικού Συστήματος και Δικτύου

Λάθη Χρήστη

Σφάλμα Συντήρησης Υλικού

Σφάλμα Συντήρησης Λογισμικού

Λάθος χειρισμού

Αστοχία Λογισμικού Εφαρμογών

Βλάβη Συσκευής Δικτυακής Πύλης (Network Gateway)

Πλαστοπροσωπία από εσωτερικούς χρήστες

Πλαστοπροσωπία από παρόχους υπηρεσιών

Πλαστοπροσωπία από εξωτερικούς χρήστες

Διήθηση Επικοινωνιών

Παρείσφρηση Επικοινωνιών

Παρεμβολή Επικοινωνιών




172


Κλοπή (από εξωτερικούς χρήστες)

Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρήστες)




Πλημμύρα

Η ανάλυση επικινδυνότητας εντόπισε και κατέγραψε, μεταξύ άλλων, τις εξής αξιοσημείωτες αδυ-ναμίες, που πρέπει να αντιμετωπιστούν κατά προτεραιότητα:

Περιορισμένος βαθμός κατάρτισης των χρηστών σε θέματα ασφάλειας ΠΣ.

Έλλειψη κατάλληλου διοικητικού σχήματος διαχείρισης της ασφάλειας των ΠΣ.

Πολύπλοκη διοικητική οργάνωση των ΝΑ, σε σχετικά θέματα, και έλλειψη ενός επιτελικού ορ-γάνου.

Ελλιπής κατάρτιση σημαντικού ποσοστού του προσωπικού και των μελλοντικών χρηστών σε θέματα ασφάλειας χρήσης διαδικτύου και ηλεκτρονικής αλληλογραφίας.

Έλλειψη ειδικών μέτρων προστασίας προσωπικών δεδομένων

Ελλιπής κατάρτιση, αξιόλογου μέρους του προσωπικού και των μελλοντικών χρηστών, στην ε-παρκή χρήση ηλεκτρονικών υπολογιστών

Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά των συστάσεων της μελέτης είναι οι εξής:

Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας του ΠΣΕΑΕ και της εγκατάστα-σης του Data Center.

Η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (audit).

Η ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας σε στέλεχος με κατάλληλα προσόντα.

Η διαμόρφωση του Data Center, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και της Μελέτης Ασφάλειας.

Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσωπι-κού σε βασικά θέματα Ασφάλειας.

Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά την διασφάλιση της συνέχει-ας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α-σφαλείας. Δεν είναι γνωστό αν θα υπάρχει εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site - failover site). Ο έλεγχος υλοποίησης των μέτρων ασφάλειας έδειξε ότι τα περισσότερα υλοποιήθ-ηκαν από τον ανάδοχο σε ικανοποιητικό επίπεδο, ενώ για κάποια εκκρεμούσε η υλοποίησή τους.



173

5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή Πολεοδομίας

5.4.6.1 Στοιχεία ταυτότητας έργων Το έργο «Ηλεκτρονική Πολεοδομία Ι - Σύστημα Ηλεκτρονικής Παρακολούθησης και Αυτόματης Διαχείρισης των Πληροφοριών και των Εργασιών των Πολεοδομικών Υπηρεσιών» εντάσσεται σε μια σειρά έργων για τις ΝΑ, όπως τα δύο προηγούμενα έργα. Το παρόν έργο αφορά την ανάπτυξη Πληροφοριακού Συστήματος για τον Τομέα Πολεοδομίας που σχετίζεται εξ αντικειμένου με το ΥΠΕΧΩΔΕ. Σκοπός του παρόντος έργου είναι η βελτιστοποίηση της λειτουργίας των πολεοδομιών ανά την επικράτεια μέσω της αυτοματοποίησης ορισμένων εσωτερικών διαδικασιών τους. Επιμέ-ρους στόχοι είναι:

Η απλοποίηση (μέσα στο ισχύον νομικό πλαίσιο) και αυτοματοποίηση των διαδικασιών των Π.Υ. με στόχο τη βελτίωση της ποιότητας των υπηρεσιών στους πολίτες

Η ηλεκτρονική καταγραφή της εσωτερικής κίνησης των εισερχομένων εγγράφων με ιδιαίτερη έμφαση στην παρακολούθηση των διαδοχικών χρεώσεων, που κατά κανόνα απαιτούνται για τη διεκπεραίωση μιας υπόθεσης

H γρήγορη αναζήτηση, επεξεργασία και εκτύπωση εισερχομένων και εξερχόμενων εγγράφων και αιτήσεων πολιτών και η δημιουργία, συντήρηση και ασφάλεια των αρχείων:

o Στελεχών οικοδομικών αδειών

o Πράξεων Αυθαιρέτων

Η παροχή διοικητικής πληροφόρησης στα αρμόδια στελέχη του ΥΠΕΣΔΔΑ και του ΥΠΕΧΩ-ΔΕ.

Η συνεργασία και η διαλειτουργικότητα με άλλους φορείς της Δημόσιας Διοίκησης.

Πιο συγκεκριμένα, στοχεύει στη βελτίωση της υφιστάμενης κατάστασης αναφορικά με τους ακό-λουθους άξονες:

Ποιότητα εσωτερικών διαδικασιών φορέα και γενικότερα του Ελληνικού Δημοσίου (ακρίβεια, συνέπεια, ασφάλεια κλπ.).

Ταχύτητα εξυπηρέτησης πολίτη και γενικότερα διεκπεραίωσης πάσης φύσεως διαδικασιών.

Πληρότητα παρεχόμενων υπηρεσιών (εμπλουτισμός υφισταμένων και εμφάνιση νέων υπηρε-σιών).

Ποιότητα περιβάλλοντος εργασίας στελεχών φορέα.

Πληρότητα και εγκυρότητα πληροφοριών διοικητικού ενδιαφέροντος.

Εκμετάλλευση πόρων (χώρος, χρόνος, κόστος κλπ.).



174

Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας

5.4.6.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Η φυσική αρχιτεκτονική του πληροφοριακού συστήματος χωρίζει τους εξυπηρετητές σε δύο δι-κτυακές περιοχές (Demilitarized Zone, Trusted Domain) και τρία φυσικά στρώματα (Διεπαφή Χρή-στη, Αποθήκευση Δεδομένων, Εφαρμογών). Ο εξυπηρετητής Βάσεων Δεδομένων και οι Εξυπηρε-τητές Εφαρμογών βρίσκονται στο ίδιο Domain. Οι Εξυπηρετητές Δικτύου βρίσκονται εκτός Domain στην Demilitarized Zone, μεταξύ των δύο τείχων προστασίας. Οι Εξυπηρετητές Δικτύου απαγορεύεται να επικοινωνήσουν με τον εξυπηρετητή Βάσεων Δεδομένων, με τον οποίο μπορούν να επικοινωνήσουν μόνο οι Εξυπηρετητές Εφαρμογών (βλ. Σχήμα 29)

Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

Φορέας έργου: ΝΟΜΑΡΧΙΑΚΕΣ ΑΥΤΟΔΙΟΙΚΗΣΕΙΣ (ΝΑ) (λειτουργικές περιοχές Πολεοδομίας)

Ανάδοχος: Ένωση Εταιρειών «SINGULAR INTERGATOR - UNISYSTEMS» ΣΤΥ ΔΙΑΔΙΚΑΣΙΑ ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ A.E.

Μελετητής Ασφάλειας: Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών

Προϋπολογισμός έργου: 3.547.388,00 € Διάρκεια έργου: 18 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία Data Center DC1



175

5.4.6.3 Παρεχόμενες υπηρεσίες Οι χρήστες και οι υπηρεσίες του συστήματος είναι οι εξής:

Ηλεκτρονικό Πρωτόκολλο Πολεοδομιών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες)

o Πρωτοκόλληση Εισερχομένων Εγγράφων

o Πρωτοκόλληση Εξερχομένων Εγγράφων

o Δυνατότητα επισύναψης ηλεκτρονικών εγγράφων στις εγγραφές πρωτοκόλλου

o Εκτύπωση Αποδεικτικού παραλαβής εγγράφου με τα στοιχεία του πρωτοκόλλου

o Χρέωση εισερχομένων θεμάτων στα αντίστοιχα τμήματα της Υπηρεσίας ή σε υπαλλήλους.

o Συσχέτιση εγγραφών με τις προηγούμενες εγγραφές της υπόθεσης.

o Αναζήτηση και καταχώριση των συναλλασσομένων με την Πολεοδομική Υπηρεσία, με διαχείριση αντίστοιχου αρχείου και αποφυγή των διπλοκαταχωρήσεων

o Αναζήτηση και καταχώριση διευθύνσεων που αφορούν ακίνητα και ιδιοκτησίες. Διαχεί-ριση του αντίστοιχου αρχείου και δυνατότητα συσχέτισης εγγραφών με βάση την διεύθυν-ση.

o Δυνατότητα πολλαπλών αναζητήσεων των εγγραφών πρωτοκόλλου

o Εκτύπωση του Βιβλίου Πρωτοκόλλου και πληροφοριακών εκτυπώσεων.

Διαχείριση και Έκδοση Οικοδομικών Αδειών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες, Μηχανικοί)

Παρακολουθείται όλη η διαδικασία έκδοσης οικοδομικής άδειας από το αρχικό στάδιο της υ-ποβολής του φακέλου για τον έλεγχο πληρότητας, μέχρι την χορήγηση της αδείας, η οποία θα πρέπει να συνοδεύεται κατ΄ ελάχιστον και από τη σάρωση του στελέχους της και του σχετικού Διαγράμματος Κάλυψης. Καταγράφονται όλες οι εσωτερικές και εξωτερικές κινήσεις του φακέλου, μέσω χρεώσεων σε συγκεκριμένους υπαλλήλους, και ενημερώνονται οι συναλλασσό-μενοι μηχανικοί είτε μέσω email εφόσον είναι διαθέσιμο είτε με αυτόματη εκτύπωση και από-στολή με fax του δελτίου παρατηρήσεων για τυχόν παρατηρήσεις των ελεγκτών. Συνοπτικά οι λειτουργίες που υποστηρίζονται είναι:

o Έλεγχος Πληρότητας φακέλου οικοδομικών Αδειών.

o Δημιουργία ηλεκτρονικού Φακέλου Οικοδομικών Αδειών με καταχώρηση των απαραίτη-των στοιχείων.

o Δημιουργία και συντήρηση αρχείου διευθύνσεων που θα προσδιορίζουν όσο το δυνατό μο-ναδικά την κάθε κατασκευή ή ιδιοκτησία, και θα δίνει την δυνατότητα συσχέτισης της με σχετικές υποθέσεις.

o Χρέωση Φακέλου σε αρμόδιο χρήστη.

o Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την έκδοση Οικοδομικής Άδει-ας.

o Χρέωση κάθε Σταδίου Ελέγχου στο κατάλληλο τμήμα ή υπάλληλο.

o Καταγραφή των παρατηρήσεων του υπαλλήλου-ελεγκτή του σταδίου που προκύπτουν κα-τά τον έλεγχο.



176

o Προγραμματισμό και Καταγραφή των συναντήσεων με τους αντίστοιχους μηχανικούς ή πολίτες για τις ανάγκες ελέγχου του σταδίου.

o Σύνδεση της κάθε παρατήρησης με τι εγγραφές πρωτοκόλλου που αντιστοιχούν στις απα-ντήσεις.

o Έκδοση Οικοδομικών Αδειών με δημιουργία ηλεκτρονικού αρχείου Αδειών

o Έλεγχος υπέρβασης του χρονικού ορίου έκδοσης άδειας (εννιάμηνο)

o Έκδοση λοιπών αδειών και βεβαιώσεων που χειρίζεται το τμήμα.

o Παρακολούθηση των εκκρεμών υποθέσεων του τμήματος

o Χρέωση των νέων υποθέσεων του τμήματος σε υπαλλήλους.

o Δυνατότητα πολλαπλών αναζητήσεων οικοδομικών αδειών και υποθέσεων του τμήματος

o Εκτύπωση του Πίνακα Ενημέρωσης Κοινού.

o Εκτύπωση λειτουργικών αναφορών.

Έλεγχος Κατασκευών (Εργαζόμενοι Πολεοδομικών Υπηρεσιών, Πολίτες, Μηχανικοί)

Παρακολουθείται όλη η διαδικασία ελέγχου κατασκευών ανά περίπτωση (αυθαίρετα-επικίνδυ-να-υγρασίες), παρέχοντας στους χρήστες προσυμπληρωμένα έγγραφα με βάση τη κείμενη νο-μοθεσία, τα οποία καταχωρούνται αυτόματα στο φάκελο της ιδιοκτησίας, παρέχοντας στο χρή-στη εργαλεία αναζήτησης και εύκολης διαχείρισης του αρχείου. Το υποσύστημα υπολογίζει αυτόματα τα πρόστιμα ανέγερσης και διατήρησης, με βάση τις ισχύουσες διατάξεις, ενώ πα-ράλληλα ενημερώνει και παρακολουθεί το φάκελο ως προς τις προθεσμίες των ενεργειών της Π.Υ. και παρέχει στο χρήστη ημερολόγιο δραστηριοτήτων για την καλύτερη οργάνωση των διαδικασιών. Οι λειτουργίες που υποστηρίζει είναι:

o Διαχείριση καταγγελιών για αυθαίρετες κατασκευές.

o Δημιουργία ηλεκτρονικού Φακέλου Αυθαίρετων Κατασκευών με τις αντίστοιχες καταχω-ρήσεις των απαραίτητων στοιχείων.

o Δημιουργία και συντήρηση του αρχείου διευθύνσεων που θα προσδιορίζουν κατά το δυνατό μοναδικά κάθε κατασκευή ή ιδιοκτησία και θα δίνει την δυνατότητα συσχέτισης των υποθέσεων αυθαίρετων κατασκευών της αντίστοιχες σχετικές υποθέσεις και Οικοδομι-κές Άδειες.

o Χρέωση Φακέλου Υπόθεσης σε αρμόδιο χρήστη.

o Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου μιας καταγγελίας για αυθαίρετη κατασκευή, όπως:

o Προγραμματισμός Αυτοψίας

1. Ορισμός υπαλλήλων αυτοψίας

2. Διενέργεια Αυτοψίας

3. Θυροκόλληση

4. Καταγραφή αποτελεσμάτων αυτοψίας

5. Υπολογισμός Προστίμων Ανέγερσης και Διατήρησης



177

6. Διαχείριση Ένστασης κατά Έκθεσης Αυτοψίας και καταχώριση των αποφάσεων της επιτροπής.

7. Διαχείριση Αίτησης Αποδοχής

8. Οριστικοποίηση Αυθαιρέτου και ένταξη του σε λίστα για κατεδάφιση

9. Υπολογισμός Ετήσιων Προστίμων Διατήρησης

o Δημιουργία Χρηματικών Καταλόγων

o Διαχείριση Αίτησης Εξαίρεσης από Κατεδάφιση.

o Διαχείριση Φακέλων Επικινδύνων Κατασκευών

o Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου μιας καταγγελίας επικινδύνου, όπως:

o Προγραμματισμός Αυτοψίας

o Ορισμός υπαλλήλων αυτοψίας

o Διενέργεια Αυτοψίας

o Θυροκόλληση

o Έκδοση Διακοπής ή Συνέχισης Εργασιών

o Διαχείριση Ένστασης

o Διαχείριση Φακέλων Υγρασιών

o Παρακολούθηση των σταδίων ελέγχου που απαιτούνται για την ολοκλήρωση του ελέγχου υπόθεσης που αφορά υγρασίες.

o Παρακολούθηση των εκκρεμών υποθέσεων του τμήματος

o Μακροπρόθεσμο μαζικό προγραμματισμό Αυτοψιών

o Χρέωση των νέων υποθέσεων του τμήματος σε υπαλλήλους.

o Δυνατότητα πολλαπλών αναζητήσεων υποθέσεων του τμήματος και συσχέτιση τους με Οικοδομικές Άδειες.

o Εκτύπωση λειτουργικών αναφορών.

Διοικητική Πληροφόρηση (MIS)

Λειτουργεί υποστηρικτικά για να συνεισφέρει στη λήψη επιχειρησιακών αποφάσεων που πρέ-πει ενδεχομένως να λάβουν διοικητικοί χρήστες του συστήματος. Αφορά την επεξεργασία των δεδομένων που συσσωρεύονται από τη λειτουργία των υπόλοιπων εφαρμογών του συστήματος. Το αποτέλεσμα της επεξεργασίας αυτής παρουσιάζεται στους εξουσιοδοτημένους χρήστες με τη μορφή κατάλληλων αναφορών (reports). Ο στόχος της εφαρμογής είναι τόσο να διαφαίνεται η εύρυθμη λειτουργία των Π.Υ. και του συστήματος όσο και να παρουσιάζει με συνοπτικό τρόπο συγκεντρωτικά στοιχεία των Π.Υ.

Πληροφόρηση Πολιτών (Portal)

Περιλαμβάνει α) υπηρεσίες ενημέρωσης τις οποίες μπορεί να προσπελάσει κάθε πολίτης ανώ-νυμα και β) υπηρεσίες για τις οποίες ο χρήστης θα πρέπει να εισάγει τα στοιχεία του στο σύ-στημα και να αποκτήσει προσωπικό κωδικό πρόσβασης.



178


Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ)

o Πληροφοριακό Σύστημα Ηλεκτρονικής Πολεοδομίας

1. Παροχή καταλόγου Θεμάτων Αίτησης από κατάλογο Θεμάτων Ηλεκτρονικής Πολεο-δομίας.

2. Εμφάνιση κατάλογου Απαιτούμενων Δικαιολογητικών ανά Θέμα αίτησης

3. Αναζήτηση και επιστροφή στοιχείων προσώπου με βάση το ΑΦΜ από το αρχείο προ-σώπων της Ηλεκτρονικής Πολεοδομίας.

4. Αναζήτηση και επιστροφή στοιχείων διεύθυνσης από καταλόγους του συστήματος της Ηλεκτρονικής Πολεοδομίας(πόλη, Δήμος, κλπ).

5. Παραλαβή ηλεκτρονικής Αίτησης

6. Αποστολή στοιχείων Πρωτοκόλλου Πολεοδομικής Υπηρεσίας μετά την πρωτοκόλλη-ση ηλεκτρονικής αίτησης.

7. Αποστολή απόρριψης πρωτοκόλλησης αίτησης και αιτιολογίας απόρριψης.

8. Ενημέρωση κατάστασης αίτησης με βάση στοιχεία πρωτοκόλλου.

o Πληροφοριακό Σύστημα ΚΕΠ

9. Αποστολή ηλεκτρονικής αίτησης προς το σύστημα Ηλεκτρονικής Πολεοδομίας.

10. Παραλαβή και καταχώριση στοιχείων πρωτοκόλλου Πολεοδομικής Υπηρεσίας.

Σύστημα τηλεπικοινωνιών «ΣΥΖΕΥΞΙΣ»

Η σύνδεση με τους χρήστες των Νομαρχιών γίνεται μέσω του ΣΥΖΕΥΞΙΣ και με το ευρύ κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο.


Εισαγωγή Κακόβουλου Κώδικα-Ιομορφικού Λογισμικού

Αστοχία Λογισμικού Συστήματος και Δικτύου






Αδυναμία, Παρεμβολή και Παρείσφρηση Επικοινωνιών




179

Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρή¬στες)

Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εξωτερικούς χρή¬στες)


Φωτιά

Πλημμύρα

Η ανάλυση επικινδυνότητας εντόπισε και κατέγραψε, μεταξύ άλλων, τις εξής αξιοσημείωτες αδυ-ναμίες, που πρέπει να αντιμετωπιστούν κατά προτεραιότητα:

Περιορισμένος βαθμός ευαισθητοποίησης και κατάρτισης των χρηστών σε βασικά θέματα α-σφάλειας ΠΣ.

Έλλειψη κατάλληλου διοικητικού σχήματος διαχείρισης της ασφάλειας των ΠΣ.

Πολύπλοκη διοικητική οργάνωση του συνόλου των Π.Υ. της χώρας και έλλειψη ενός συγκε-ντρωτικού διοικητικού οργάνου.

Συγκέντρωση όλων των εφαρμογών σε ένα συγκεντρωτικό σύστημα που εξυπηρετεί πολλές διάσπαρτες γεωγραφικά Π.Υ.

Έλλειψη ειδικών μέτρων προστασίας προσωπικών δεδομένων

Ελλιπής κατάρτιση, σημαντικού ποσοστού του προσωπικού και των μελλοντικών χρηστών, στη χρήση ηλεκτρονικών υπολογιστών

Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά των συστάσεων της μελέτης είναι τα εξής:

Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας και της εγκατάστασης του Data Center.



Η διαμόρφωση του Data Center, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και της Μελέτης Ασφάλειας.

Η διασφάλιση της συνέχισης λειτουργίας των Πολεοδομικών Υπηρεσιών μετά από τεχνικό πρόβλημα και ιδιαίτερα η λήψη και διαχείριση των εφεδρικών αντιγράφων δεδομένων.

Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσωπι-κού σε βασικά θέματα Ασφάλειας.

Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά την διασφάλιση της συνέχει-ας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α-σφαλείας. Δεν είναι γνωστό αν θα υπάρχει εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site - failover site). Ο έλεγχος υλοποίησης των μέτρων ασφάλειας έδειξε ότι αυτά υλοποιήθηκαν από τον ανάδοχο σε ικανοποιητικό επίπεδο.



180

5.4.7 ΡΑΠΤΑΡΧΗΣ

5.4.7.1 Στοιχεία ταυτότητας έργου Σκοπός του Έργου με τίτλο «Μελέτη και Ανάπτυξη Συστήματος Αυτοματοποίησης της Διαδικασί-ας Διαχείρισης, Αρχειοθέτησης και Διάχυσης της Νομοθεσίας στο ευρύ Κοινό με την μορφή συν-δρομητικής υπηρεσίας και της Διαδικασίας Αποτίμησης των Κανονιστικών Ρυθμίσεων» είναι η ορθή και έγκαιρη εκτέλεση της μελέτης και ανάπτυξης ενός συστήματος που θα αυτοματοποιήσει τη διαδικασία διαχείρισης της νομοθεσίας και ειδικότερα όσον αφορά:

στην αρχειοθέτηση της νομοθεσίας,

στην διάχυση της νομοθεσίας στο ευρύ κοινό (με μορφή συνδρομητικής υπηρεσίας)

στην διαδικασία αποτίμησης των κανονιστικών ρυθμίσεων.

Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ

5.4.7.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Το Πληροφοριακό Σύστημα αποτελείται από τα παρακάτω υποσυστήματα:

DOCASSET: Το βασικό υποσύστημα το οποίο θα είναι υπεύθυνο για τη διαχείριση των εγγρά-φων, την ψηφιοποίησή τους καθώς και τις υπηρεσίες που αφορούν το ηλεκτρονικό πρωτόκολ-λο. Για τη λειτουργία του συγκεκριμένου υποσυστήματος θα χρησιμοποιηθούν εκείνα τα τμή-ματα της ομώνυμης εφαρμογής τα οποία θα καλύπτουν τις απαραίτητες για τη λειτουργία του ΠΣ υπηρεσίες. Παράλληλα, θα χρησιμοποιηθεί το κατάλληλο λογισμικό για την υποστήριξη των βάσεων δεδομένων του ΠΣ (DocASSET Database).

BizSmart: Είναι το σύστημα μέσω του οποίου θα ορίζονται οι βασικές λειτουργίες και διαδικα-σίες ροών εργασίας του ΠΣ στο σύνολο του. Η λειτουργία του υποσυστήματος θα υποστηρίζε-ται από την ομώνυμη εφαρμογή (BizSmart web interfaces, BizSmart Server, BizSmart Data-base ).

I-Box Portal Builder: Είναι το υποσύστημα το οποίο θα είναι υπεύθυνο για την παροχή των η-λεκτρονικών υπηρεσιών μέσω του Διαδικτύου χρησιμοποιώντας τμήματα της ομώνυμης εφαρ-μογής (Portal Site Web Services, Portal Site Administration, Portal Site, Portal Site Database).

Crystal Reports: Είναι το σύστημα μέσω του οποίο θα παράγονται δυναμικές αναφορές που σκοπό θα έχουν να παρέχουν στοιχεία σχετικά με την αποδοτικότητα, χρησιμότητα κλπ του ΠΣ ΡΑΠΤΑΡΧΗΣ και θα χρησιμοποιεί την ομώνυμη εφαρμογή.

Φορέας έργου: ΥΠΕΣ Ανάδοχος: INTRACOM IT SERVICES ΣΤΥ: INFOGROUP A.E. ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ Μελετητής Ασφάλειας: Ερευνητική και Μελετητική Ομάδα Ασφάλειας Πληροφοριών και

Προστασίας Κρίσιμων Υποδομών, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών

Προϋπολογισμός έργου: 2.213.162,00 € Διάρκεια έργου: 22 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, σε πιλοτική λειτουργία Data Center: DC1



181

ΑΙΧΜΕΣ: Το υποσύστημα όπου μέσω της ομώνυμης εφαρμογής θα διευκολύνει τις υπηρεσίες διαχείρισης του λογιστηρίου και των αποθηκών.

5.4.7.3 Παρεχόμενες υπηρεσίες Οι χρήστες των πληροφοριακών συστημάτων διακρίνονται στις ακόλουθες ομάδες:

Διαχειριστές Συστημάτων

o Υπεύθυνος Μοντελοποίησης Διαδικασιών και Παρακολούθησης ηλεκτρονικής λειτουργίας διαδικασιών

o Υπεύθυνος Διαχείρισης Περιεχομένου

o Υπεύθυνος Διαχείρισης Χρηστών Συστημάτων και Δικαιωμάτων Πρόσβασης αυτών

Προσωπικό Υπηρεσίας διαχείρισης ΔΚΝ (βάσει διαδικασιών)

o Διοίκηση Υπηρεσίας

o Νομικοί Συνεργάτες

o Διοικητικό Προσωπικό

o Υπεύθυνοι Δακτυλογράφησης

o Προσωπικό Λογιστηρίου

o Υπεύθυνοι Αποθήκης Διακίνησης

o Προσωπικό Call Center και Help Desk

o Υπεύθυνος Παραγωγής CD/DVD

Προσωπικό λοιπών Δημοσίων Φορέων

o Υπεύθυνος Προώθησης ΦΕΚ (από Εθνικό Τυπογραφείο)

o Υπεύθυνοι διαχείρισης λοιπών βάσεων δεδομένων νομικών πληροφοριών

o Συμμετέχοντες στη διαδικασία του ελέγχου ποιότητας και ανάλυσης των επιπτώσεων των κανονιστικών ρυθμίσεων/ αποφάσεων

Συνδρομητές Υπηρεσίας διαχείρισης ΔΚΝ

o Κύριοι Συνδρομητές (όλης της ύλης)

o Συνδρομητές Ειδικών Ενοτήτων

Ευρύ Κοινό - Πολίτες/Επιχειρήσεις που ενδιαφέρονται να ενημερωθούν για τη νομοθεσία

Οι υπηρεσίες που παρέχονται είναι οι εξής:

Διαχείριση εγγράφων, Ψηφιοποίηση εγγράφων και Ηλεκτρονικό πρωτόκολλο: Το υποσύστημα διαχείρισης εγγράφων παρέχει τη δυνατότητα, οργάνωσης, αποθήκευσης και διακίνησης όλων των εγγράφων που χρησιμοποιούνται εσωτερικά (π.χ. ΦΕΚ, Τόμοι, τεύχη Πανδέκτη κλπ.), αλ-λά και στις συναλλαγές με εξωτερικούς φορείς, π.χ. πολίτες, άλλες υπηρεσίες, κτλ.

Διαχείριση Ροών Εργασίας: Σχετίζεται με το σχεδιασμό και τη διαχείριση των διαδικασιών (workflow management), καθώς και τη δυνατότητα ορισμού, εκτέλεσης και παρακολούθησης



182

διαδικασιών που αφορούν στην «κάθετη» λειτουργία της υπηρεσίας, αλλά και διαδικασιών που άπτονται των δραστηριοτήτων παρακολούθησης και εκτέλεσης έργων.

Πληροφοριακή Πύλη Προβολής και Διάθεσης ΔΚΝ: Παρέχει πληροφόρηση, προβολή και διά-θεση της Νομοθεσίας (ΔΚΝ) και αποτελεί ένα σύστημα διαχείρισης της Παροχής Ηλεκτρονι-κών Υπηρεσιών μέσω Διαδικτύου με σκοπό να επιτευχθεί η ολοκλήρωση όλων των παρεχομε-νων υπηρεσιών σε ένα ομοιόμορφο περιβάλλον.

Ανάπτυξη και Διάθεση τόμων ΔΚΝ και τευχών ΠΑΝΔΕΚΤΗ: Περιλαμβάνει το σύνολο των διαδικασιών για τη ανάπτυξη και διάθεση των τόμων της ΔΚΝ και τευχών του ΠΑΝΔΕΚΤΗ σε μαγνητικά μέσα (CD/DVD) καθώς και μέσω ηλεκτρονικού ταχυδρομείου.

Δυναμική Παραγωγή Αναφορών.


ΕΡΜΗΣ

Το έργο ΕΡΜΗΣ παρουσιάζει τεράστια συνέργεια με το παρόν έργο μιας και η διάθεση των η-λεκτρονικών υπηρεσιών του παρόντος έργου θα γίνεται μέσα από την Εθνική Πύλη ΕΡΜΗΣ (το οποίο στην παρούσα φάση τελεί υπό ανάπτυξη).

Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ

Η σύνδεση της Υπηρεσίας Διαχείρισης ΔΚΝ με το Data Center γίνεται μέσω του ΣΥΖΕΥΞΙΣ, και με το ευρύ κοινό μέσω της διασύνδεσης του ΣΥΖΕΥΞΙΣ με το Διαδίκτυο. Επίσης προβλέ-πεται ότι η πιστοποιημένη και εξουσιοδοτημένη πρόσβαση των εσωτερικών χρηστών (στελέχη Δημοσίου) στις εφαρμογές που θα αναπτυχθούν, θα πραγματοποιείται με χρήση της PKI υποδομής του ΣΥΖΕΥΞΙΣ.

Τρίτα Συστήματα Δημοσίου Τομέα

Το ΟΠΣ δύναται να συνδεθεί στο μέλλον με συστήματα άλλων φορέων, όπως το σύστημα του Εθνικού Τυπογραφείου, λοιπές βάσεις δεδομένων νομικού χαρακτήρα (Υπουργείο Δικαιοσύ-νης, Εθνικό Κοινοβούλιο και φορείς παραγωγής, εφαρμογής και κωδικοποίησης της νομοθεσί-ας), καθώς και η Κοινοτική Βάση Δεδομένων Νομικού Χαρακτήρα (NAT-LEX).


Εισαγωγή Κακόβουλου Κώδικα Λογισμικού


Βλάβη Εξυπηρετητή



Διήθηση Επικοινωνιών




183



Φωτιά

Πλημμύρα


Ελλειψη Προσωπικού


Εκούσια πρόκληση βλάβης ή βανδαλισμός (από εσωτερικούς χρήστες)


Από το σύνολο των τεχνικών μέτρων που προτείνονται, αυτά που εκτιμώνται ως πλέον ενδεικτικά των συστάσεων της μελέτης είναι οι εξής:

Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας και της ε Η ταχεία υιοθέτηση και εφαρμογή της Πολιτικής Ασφάλειας του ΠΣ ΡΑΠΤΑΡΧΗΣ και της εγκατάστασης.



Η διαμόρφωση των Computer Rooms, σύμφωνα με τις προδιαγραφές της Μελέτης Εφαρμογής και της Μελέτης Ασφάλειας.

Η εκπόνηση και υλοποίηση προγράμματος ευαισθητοποίησης και εκπαίδευσης του προσω-πικού σε βασικά θέματα Ασφάλειας.

Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας. Όσον αφορά τη διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα α-σφαλείας. Δεδομένου ότι υπάρχει ένα Computer Room και στην υπηρεσία διαχείρισης ΔΚΝ, αυτό λειτουργεί ως εναλλακτικό κέντρο λειτουργίας (Disaster Recovery site – failover site).

5.4.8 Εθνική Πύλη ΕΡΜΗΣ

5.4.8.1 Στοιχεία ταυτότητας έργου Το αντικείμενο του έργου «Μελέτη και Ανάπτυξη της Κεντρικής Κυβερνητικής Διαδικτυακής Πύλης της Δημόσιας Διοίκησης για την Πληροφόρηση και Ασφαλή Διεκπεραίωση Ηλεκτρονικών Συναλλαγών των Πολιτών/Επιχειρήσεων (Εθνική Πύλη ΕΡΜΗΣ)» αποτελείται από τρεις διακριτές θεματικές περιοχές (άξονες):

Άξονας Α. Την ολοκληρωμένη συγκέντρωση και οργάνωση της κατάλληλης πληροφορίας από το σύνολο της Δημόσιας Διοίκησης και την διάθεσή της στο διαδίκτυο για την αξιόπιστη ενη-μερωση των πολιτών/επιχειρήσεων όσον αφορά τις συναλλαγές τους με την Δημόσια Διοίκηση και την αλληλεπίδραση τους με τον κρατικό μηχανισμό, από ένα κεντρικό σημείο, συμβάλλο-ντας στην ανάπτυξη ολοκληρωμένων υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 1ου και 2ου ε-πιπέδου, υπό το πρίσμα των λεγόμενων life events (για πολίτες) και business episodes (για επι-χειρήσεις).



184

Άξονας Β. Την πλήρη υποστήριξη της διαλειτουργικότητας μεταξύ πληροφοριακών συστημά-των της Δημόσιας Διοίκησης και της ανάπτυξης και παροχής υπηρεσιών Ηλεκτρονικών Συναλ-λαγών με τον κρατικό μηχανισμό από ένα κεντρικό σημείο (ή και αποκεντρωμένα), συμβάλλο-ντας στην ανάπτυξη ολοκληρωμένων υπηρεσιών Ηλεκτρονικής Διακυβέρνησης 3ου και 4ου ε-πιπέδου, υπό το πρίσμα των λεγόμενων life events (για πολίτες) και business episodes (για επι-χειρήσεις).

Άξονας Γ. Την Ψηφιακή Αυθεντικοποίηση των πολιτών/επιχειρήσεων σε υπηρεσίες Ηλεκτρο-νικών Συναλλαγών της Δημόσιας Διοίκησης, συμβάλλοντας πλέον στην ανάπτυξη ασφαλών υ-πηρεσιών Ηλεκτρονικής Διακυβέρνησης σε κάθε επίπεδο.

Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ

5.4.8.2 Αρχιτεκτονική ΟΠΣ/Δικτύου

Στο Σχήμα 30 και στο Σχήμα 31 παρουσιάζεται η αρχιτεκτονική και τα υποσυστήματα του ΕΡΜΗ, ανά άξονα.

Άξονας Α’

Υποσύστημα Διαχείρισης Περιεχομένου και Ροών Εργασίας

Υποσύστημα Διαχείρισης Νομοθεσίας

Κεντρικό Μητρώο Δημοσίων Υπαλλήλων

Υποσύστημα Δημοσίευσης Περιεχομένου

Υποσύστημα Επικοινωνίας και Ανταλλαγής Απόψεων

Υποσύστημα Δημόσιων Διαβουλεύσεων και Σφυγμομετρήσεων

Υποσύστημα Διαχείρισης Κοινότητας Χρηστών

Υποσύστημα Διαχείρισης Banners

Υποσύστημα Εγγραφής Και Εξουσιοδότησης

Υποσύστημα Πίνακα Ανακοινώσεων για τους Εσωτερικούς Χρήστες Δημοσίων Φορέων

Υποσύστημα Διοικητικής Υποστήριξης

Άξονας Β’

Υποσύστημα Διαχείρισης Λίστας Κατηγοριών Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης

Φορέας έργου: ΥΠΕΣ Ανάδοχος: Info-Quest A.E.B.E., DECISION – SYSTEM INTEGRATION AE

(Ο άξονας Γ’ υλοποιείται από την Adacom) ΣΤΥ: INFOGROUP A.E. ΣΥΜΒΟΥΛΟΙ ΕΠΙΧΕΙΡΗΣΕΩΝ Μελετητής Ασφάλειας: Υπάρχουν δύο μελέτες ασφάλειας, μία από το Πανεπιστήμιο

Πειραιώς και μία από τον Ανάδοχο του έργου Προϋπολογισμός έργου: 9.241.421,00 € Διάρκεια έργου: 22 μήνες Τρέχουσα φάση έργου: Υπό ανάπτυξη Data Center: DC3 (υπό διαμόρφωση)



185

Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)



186

Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

Υποσύστημα Διαχείρισης και Οργάνωσης Διαδικτυακών Υπηρεσιών

Υποσύστημα Διαχείρισης Αρχείων Δεδομένων και Μεταδεδομένων Διαδικτυακών Υπηρεσιών

Υποσύστημα Ορισμού και Ανάπτυξης Νέων Υπηρεσιών Ηλεκτρονικών Συναλλαγών

Υποσύστημα Συσχέτισης Αναγνωριστικών Χρηστών

Υποσύστημα Ηλεκτρονικών Πληρωμών

Υποσύστημα Αυτοματοποίησης Διαδικασιών Εφαρμογής Διαλειτουργικότητας και Ανάπτυξης Υπηρεσιών Ηλεκτρονικών Συναλλαγών

Υποσύστημα Παρακολούθησης Λειτουργίας και Ποιότητας Παρεχόμενων Υπηρεσιών Ηλεκ-τρονικών Συναλλαγών

Άξονας Γ’

Υποσύστημα Διαχείρισης Πιστοποιητικών (VSP – VeriSign Vertical Service Provider)

Υποσύστημα Διαχείρισης καρτών (Intercede MyID Card Management System)

Υποσύστημα Χρονοσήμανσης (nCipher Time Stamp)



187

5.4.8.3 Παρεχόμενες υπηρεσίες Άξονας Α’

Ο βασικός στόχος του Άξονα Α είναι να καταστεί ο Ερμής ως η μεγαλύτερη και σημαντικότερη πηγή πληροφορίας σε θέματα του Δημοσίου Τομέα που ενδιαφέρουν πολίτες και επιχειρήσεις. Ενο-ποιώντας την πληροφορία που υπάρχει διάσπαρτη στα διάφορα κυβερνητικά sites - σε συχνά αδό-μητη μορφή - ο Ερμής φιλοδοξεί να εδραιωθεί στη συνείδηση του κοινού ως το μοναδικό βήμα που απαιτείται από το χρήστη να πραγματοποιήσει για να πληροφορηθεί για το Δημόσιο Τομέα (one-stop-shop).

Εφόσον δεν είναι ρεαλιστικό - τουλάχιστον σε αυτή τη φάση - το περιεχόμενο όλων των κυβερνη-τικών Φορέων να ενσωματωθεί στον Ερμή, και μάλιστα με ένα ενιαίο τρόπο, στόχος του Ερμή εί-ναι να παρέχει στο κοινό και μια πλατφόρμα εκτεταμένης αναζήτησης σε όλους τους συνεργαζόμε-νους φορείς για περιεχόμενο. Το αποτέλεσμα αυτής της αναζήτησης θα είναι σύνδεσμοι στις ιστο-σελίδες των φορέων.

Τέλος, βασικός στόχος του Ερμή στον Άξονα Α είναι και η ενεργή συμμετοχή του κοινού στα δρώ-μενα που αφορούν στη Δημόσια Διοίκηση. Προς αυτή την κατεύθυνση θα παρέχει εργαλεία όπως σύστημα ανταλλαγής απόψεων, σφυγμομετρήσεις, mailing lists, newsletters, ανακοινώσεις, rss feed. Με τα προηγούμενα εργαλεία το έργο αποσκοπεί να παρουσιάσει ένα περισσότερο ανθρώπινο πρό-σωπο προς το κοινό, το οποίο θα προσδίδει στο έργο κάτι παραπάνω από ένα portal παροχής περιε-χομένου.

Συνέργεια με άλλους Άξονες

Για να επιτύχει τους στόχους του ο Άξονας Α θα πρέπει να έχει τη συνέργεια με τους υπόλοιπους δύο άξονες (Β και Γ). Συγκεκριμένα:

Ο Άξονας Β εμπλέκεται στο Ληξιαρχείο Διαδικτυακών υπηρεσιών, στο οποίο θα αποθηκεύεται κάθε διαδικτυακή υπηρεσία (web service). Σε αυτές θα ανήκουν και οι διαδικτυακές υπηρεσίες για τη συλλογή περιεχομένου, είτε από το σύστημα του Ερμή ή προς αυτό. Με αυτό τον τρόπο, κάθε Δημόσιος Φορέας που θα προσφέρει περιεχόμενο στον Ερμή με τη χρήση web services θα τις καταχωρεί στο Ληξιαρχείο Διαδικτυακών υπηρεσιών του Άξονα Β. Αντίστοιχα, για όποιους Φορείς είναι επιθυμητή η αυτόματη εισαγωγή περιεχομένου από τον Ερμή, θα πρέπει να υπάρχουν αποθηκευμένες στο Ληξιαρχείο κατάλληλες διαδικτυακές υπηρεσίες, τις οποίες οι Φορείς θα αναζητούν και θα αξιοποιούν.

Ο Άξονας Γ αφορά στη διαχείριση πιστοποιητικών και την ασφαλή είσοδο των χρηστών στο σύστημα. Η εμπλοκή του με τον Άξονα Α συνίσταται στην εγγραφή και είσοδο των εξουσιοδο-τημένων χρηστών στα υποσυστήματα εισαγωγής και επικαιροποίησης περιεχομένου.

Άξονας Β’

Ο κύριος στόχος του Άξονα Β είναι η διαλειτουργικότητα μεταξύ των φορέων της δημόσιας διοί-κησης και των υπηρεσιών που αυτοί παρέχουν στους τελικούς δικαιούχους. Τα άμεσα και απτά οφέλη από μία τέτοια διασύνδεση είναι:

η αυτόματη παροχή των αποτελεσμάτων των ενδιάμεσων υπηρεσιών κατά τη συλλογή των δι-καιολογητικών μία τελικής υπηρεσίας,

η ηλεκτρονικοποίηση των βημάτων των πιο συχνά χρησιμοποιούμενων υπηρεσιών,

η μετάβαση του πεδίου αρμοδιοτήτων για την ολοκλήρωση των ενδιάμεσων υπηρεσιών από-κλειστικά στους φορείς,



188

ο προσδιορισμός των περιττών βημάτων και η απλοποίηση των απαιτήσεων για τη διεκπεραί-ωση των υπηρεσιών, μέσα από την εφαρμογή κανόνων επιχειρησιακού ανασχεδιασμού.

Είναι προφανές ότι ο ΕΡΜΗΣ δεν θα πρέπει να στοχεύσει σε μία εφήμερη και “φωτογραφική” δια-σύνδεση των υφιστάμενων συστημάτων αλλά να παρέχει τους απαραίτητους μηχανισμούς ώστε οι επιμέρους φορείς να σχεδιάζουν, υλοποιούν και να εισάγουν νέες υπηρεσίες παρέχοντας καλά ορι-σμένα και συμβατά σημεία διεπαφής (well defined interfaces) με την γενική αρχιτεκτονική της κεντρικής πύλης του ΕΡΜΗ. Η διαλειτουργικότητα των συστημάτων θα πρέπει να διασφαλίζεται:

Οργανωτικά. Η επιχειρησιακή διαλειτουργικότητα μπορεί να επιτευχθεί μόνο με ριζικό επανα-σχεδιασμό των διαδικασιών και αναδιοργάνωση των δομών της δημόσιας διοίκησης. Ο ΕΡ-ΜΗΣ μπορεί να βοηθήσει τους business analysts παρέχοντας εργαλεία σύνθετης αναζήτησης (π.χ. web services που παρέχονται από συγκεκριμένο φορέα) και εντοπισμού των πιθανών ση-μείων όπου οι χειρωνακτικές διαδικασίες μπορούν να ηλεκτρονικοποιηθούν.

Σημασιολογικά. Ο ΕΡΜΗΣ παρέχει πλήρεις μηχανισμούς επέκτασης των υπαρχόντων και δη-μιουργίας νέων σημασιολογικών λεξιλογίων ώστε να διασφαλίζεται ότι τα δεδομένα που απο-στέλλονται έχουν την ίδια ερμηνεία τόσο για τον αποστολέα όσο και για τον παραλήπτη.

Τεχνολογικά, με την υιοθέτηση κοινών και ανοικτών τεχνολογικών υποδομών και προτύπων.

Άξονας Γ’

Στόχος είναι η δημιουργία υποδομής Ψηφιακής Αυθεντικοποίησης Πολιτών/Επιχειρήσεων η οποία θα καλύπτει το σύνολο των απαιτήσεων του έργου, και η οποία θα λειτουργήσει κάτω από το γενι-κό πλαίσιο που θα οριστεί από το έργο «Ελληνικό Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης και Πρότυπα Διαλειτουργικότητας». Ο Ανάδοχος πρέπει να περιγράψει τις υπηρε-σίες που θα υποστηρίζονται για μια ολοκληρωμένη υποδομή δημοσίου κλειδιού (ΡΚΙ) και δεν πρέ-πει να περιορισθεί μόνο στις υπηρεσίες Αυθεντικοποίησης, δεδομένου ότι η αλληλεπίδραση-συν-αλλαγή με τους πολίτες/επιχειρήσεις θα καταστήσει αναγκαία την παροχή και άλλων υπηρεσιών (πχ. χρονοσφραγίδες, διαχείριση τεκμηρίων κλπ ).

Πιο συγκεκριμένα, προδιαγράφονται οι εξής τύποι πιστοποιητικών:

Κατηγορία Α: Ψηφιακό Πιστοποιητικό Κρυπτογράφησης. Το πιστοποιητικό αυτό προορίζεται για χρήση σε εφαρμογές κρυπτογράφησης και δοκιμές (tests).

Κατηγορία Β: Ψηφιακό πιστοποιητικό Αυθεντικοποίησης. Χρησιμοποιείται για την επιβεβαίω-ση της ταυτότητας του χρήστη κατά την ηλεκτρονική πρόσβαση του σε ελεγχόμενα σημεία (client authentication).

Κατηγορία Γ: Ψηφιακό πιστοποιητικό Υπογραφής. Προορίζεται για εφαρμογές ψηφιακής υπο-γραφής ηλεκτρονικών εγγράφων.

Οι χρήστες τους συστήματος είναι οι εξής:

Εξωτερικοί Χρήστες

Ως εξωτερικοί ορίζονται οι ιδιώτες χρήστες, οι οποίοι θα μπορούν να είναι από το ευρύ κοινό, πολίτες, επιχειρήσεις. Όλοι θα είναι αποδέκτες των υπηρεσιών του Ερμή, αλλά παράλληλα θα μπορούν να συνεισφέρουν και αυτοί στην προσθήκη περιεχομένου της Πύλης με την έννοια της συμμετοχής τους στα εργαλεία ανταλλαγής απόψεων (ομάδες συζήτησης, σφυγμομετρή-σεις). Δηλαδή, οι εξωτερικοί χρήστες θα μπορούν να είναι εξουσιοδοτημένοι και μη.

Εσωτερικοί Χρήστες



189

Ως εσωτερικοί ορίζονται οι χρήστες οι οποίοι ανήκουν στο δυναμικό του Ερμή (ΥΠΕΣ), στε-λέχη των συνεργαζόμενων με την Ερμή φορέων, καθώς και στελέχη του Δημοσίου Τομέα γενι-κότερα. Οι εσωτερικοί χρήστες θα είναι πάντα αυστηρά πιστοποιημένοι (certified users). Κατη-γορίες εσωτερικών χρηστών σχετικές με τη διαχείριση περιεχομένου είναι οι ακόλουθες:

o Στελέχη των συνεργαζόμενων με τον Ερμή Δημόσιων Φορέων (χρήστες Υπάλληλοι Δημο-σίων Υπηρεσιών). Οι χρήστες αυτοί θα εκτελούν συγκεκριμένες εργασίες για την επικαιρο-ποίηση του περιεχομένου της Διαδικτυακής Πύλης του Ερμή. Με βάση την εργασία που θα εκτελούν στον Ερμή θα έχουν διακριτούς ρόλους στο σύστημα. Οι χρήστες αυτοί θα είναι και αποδέκτες των υπηρεσιών του Ερμή, με την έννοια ότι θα μπορούν να πλοηγηθούν στο portal ή να εκτελέσουν μια συναλλαγή όπως και οι ιδιώτες χρήστες. Επίσης, θα έχουν πρό-σβαση σε ειδική περιοχή του Ερμή μέσω του Σύζευξις (extranet), στην οποία θα υπάρχουν εργαλεία forums, σφυγμομετρήσεων, ανακοινώσεων.

o Εποπτικοί Διαχειριστές, οι οποίοι θα έχουν πρόσβαση στη Μονάδα Διοικητικής Υποστη-ριξης του Ερμή, θα παρακολουθούν στατιστικά και αναφορές σχετικά με τη λειτουργία του Συστήματος, θα δημιουργούν ιδιοποιημένες σελίδες με πίνακες και αναφορές, και θα λαμ-βάνουν σχετικές αποφάσεις. Σε διαχειριστικό επίπεδο, θα αναλαμβάνουν και την επικοινω-νία με τους υπευθύνους των συνεργαζόμενων με την Ερμή Φορέων για τον καθορισμό νέ-ων απαιτήσεων και προδιαγραφών.

Για τους άξονες Α’ και Β’ ορίζονται οι παρακάτω κατηγορίες χρηστών:

Δημόσιοι (Public Users): Σε αυτή την κατηγορία ανήκουν όλοι οι χρήστες που έχουν πρόσβαση στη λειτουργικότητα του ληξιαρχείου που προσφέρεται δημόσια μέσω του υποσυστήματος δη-μοσίευσης περιεχομένου του άξονα Α. Ενδεικτικοί δημόσιοι χρήστες είναι οι απλοί πολίτες (που ενδιαφέρονται να ενημερωθούν για τις παρεχόμενες ηλεκτρονικές υπηρεσίες) ή επιχειρή-σεις (που αναζητούν τα διαθέσιμα Web Services που αφορούν υπηρεσίες συγκεκριμένου τύ-που).

Εγγεγραμμένοι (Registered Users): Σε αυτή τη κατηγορία ανήκουν όλοι οι ονομαστικοί χρήστες της πύλης (που μέσα από τη διαδικασία του self registration έχουν αποκτήσει μοναδικό ανα-γνωριστικό και συνθηματικό εισόδου). Οι εγγεγραμμένοι χρήστες έχουν αυξημένα δικαιώματα πρόσβασης σε ειδικές περιοχές του ληξιαρχείου (π.χ. εκτέλεση αναφορών, συνδυαστική αναζή-τηση υπηρεσιών ή εγγράφων από τη βάση γνώσης του ληξιαρχείου).

Αυστηρά πιστοποιημένοι (Certified Users): Σε αυτή τη κατηγορία ανήκουν όλοι οι χρήστες που έχουν αυθεντικοποιηθεί με τη χρήση ψηφιακών πιστοποιητικών (software ή hardware) για τη χρήση των εσωτερικών μηχανισμών διαχείρισης των υποσυστημάτων (προσθήκη νέων υπηρε-σιών, εγγράφων, Web Services, δημιουργία και εκτέλεση αναφορών κλπ). Στην ουσία είναι ό-λοι οι εσωτερικοί χρήστες και οι διαχειριστές υπηρεσιών και υποδομών του συστήματος.

Ενώ για τον άξονας Γ’ ορίζονται οι παρακάτω κατηγορίες χρηστών:

Μεριδιούχοι-Κάτοχοι Κλειδιών Θυρίδας Χρηματοκιβωτίου (Share Holders): είναι οι κάτοχοι των απόρρητων μεριδίων που είναι αναγκαία για την πρόσβαση στις Ασφαλείς Κρυπτογραφι-κές Μονάδες (ΑΚΜ) όπου φυλάσσονται οι Αρχές Πιστοποίησης. Για τον λόγο αυτό είναι κά-τοχοι φυσικών ηλεκτρονικών κλειδιών πρόσβασης στις ΑΚΜ που αντιστοιχούν σε θυρίδα επι-λεγμένης τράπεζας από το ΥΠΕΣ.

Κάτοχοι Κοινού Κλειδιού θυρίδων (Common Key Holders): είναι οι κάτοχοι του φυσικών κλειδιών των θυρίδων στις τράπεζες. Στις θυρίδες αυτές βρίσκονται οι ΑΚΜ και τα ηλεκτρο-νικά κλειδιά των μεριδιούχων.



190

Κάτοχοι Κλειδιού Χώρου Φύλαξης Online AKΜ Υπογραφής (Tier 3 Online Key Holders): εί-ναι οι κάτοχοι του φυσικού κλειδιού για την πρόσβαση στον χώρο όπου βρίσκονται φυλαγμε-νες οι online ΑΚΜ.

Διαχειριστής Ασφάλειας (Security Manager): είναι υπεύθυνος για την συνολική ασφάλεια του Κέντρου Πιστοποίησης, και κάτοχος του Κοινού Κλειδιού.

Διαχειριστής Κλειδιών (Key Manager): είναι υπεύθυνος για την διαχείριση και την συνολική ασφάλεια του κρυπτογραφικού υλικού, και κάτοχος θυρίδας στο χρηματοκιβώτιο στην οποία φυλάσσονται τα αντίγραφα ασφαλείας του κρυπτογραφικού υλικού.

Διαχειριστές Συστημάτων (System Administrators): είναι υπεύθυνοι για την εύρυθμη λειτουρ-γία της υλικοτεχνικής υποδομής του Κέντρου Πιστοποίησης. Δεν έχουν στην κατοχή τους ούτε απόρρητα μερίδια ούτε κλειδιά θυρίδων, και δεν έχουν πρόσβαση σε κανέναν από τους χώρους όπου βρίσκεται το κρυπτογραφικό υλικό. Οι διαχειριστές των συστημάτων χωρίζονται σε τρείς κατηγορίες:

Πλήρους πρόσβασης: Είναι οι χρήστες οι οποίοι έχουν πλήρη πρόσβαση στα συστήματα και μπορούν να κάνουν τις πιο σοβαρές αλλαγές. Οι χρήστες αυτοί μπορούν να πραγματοποιήσουν αλλαγές τόσο σε επίπεδο λειτουργικού όσο και σε επίπεδο εφαρμογών. Κάθε φορά που πρα-γματοποιούν μια αλλαγή στο σύστημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επίσης οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συντηρήσεις του συστήματος.

Μερικής πρόσβασης υπηρεσιών web: Είναι οι χρήστες οι οποίοι μπορούν να πραγματοποιή-σουν αλλαγές σε επίπεδο υπηρεσιών web. Κάθε φορά που πραγματοποιούν μια αλλαγή στο σύ-στημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επίσης οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συντη-ρήσεις του συστήματος.

Μερικής Πρόσβασης υπηρεσιών εφημεριών: Είναι οι χρήστες οι οποίοι μπορούν να πραγματο-ποιήσουν αλλαγές σε επίπεδο εφαρμογών. Κάθε φορά που πραγματοποιούν μια αλλαγή στο σύστημα θα πρέπει αυτό να καταγράφεται και να διατηρείται για μελλοντικούς ελέγχους. Επί-σης οι χρήστες με πλήρη πρόσβαση στο σύστημα είναι υπεύθυνοι για τις αναβαθμίσεις και συ-ντηρήσεις του συστήματος.

Εξειδικευμένοι Μηχανικοί Υποστήριξης του ΥΠΕΣ (PSE): είναι υπεύθυνοι για την παροχή ε-ξειδικευμένων υπηρεσιών που σχετίζονται με τις λειτουργίες/υπηρεσίες του Κέντρου Πιστοποί-ησης. Δεν έχουν στην κατοχή τους ούτε απόρρητα μερίδια ούτε κλειδιά θυρίδων, και δεν έχουν πρόσβαση σε κανέναν από τους χώρους όπου βρίσκεται το κρυπτογραφικό υλικό.

Υπάλληλοι υποστήριξης χρηστών (Customer Support): Είναι υπεύθυνοι για την ομαλή λειτουρ-γία όλου του κύκλου ζωής των ψηφιακών πιστοποιητικών καθώς και για την υποστήριξη των τελικών χρηστών. Το customer support αποτελεί τις αρχές εγγραφής οι οποίες έχουν πρόσβαση στη κονσόλα διαχείρισης των ψηφιακών πιστοποιητικών. Οι χρήστες αυτοί θεωρητικοποι-ούνται στο σύστημα με χρήση ψηφιακού πιστοποιητικού το οποίο έχει εγκριθεί από τον τους ESA (Enterprise Service Administrators). Ο κάθε χρήστης έχει δυνατότητα έγκρισης των αιτήσεων των χρηστών για ψηφιακό πιστοποιητικό οι οποίες του έχουν ανατεθεί από τα εντε-ταλμένα γραφεία.

Υπάλληλοι ταυτοποίησης χρηστών: Είναι υπεύθυνοι για την επιβεβαίωση της ταυτότητας των χρηστών. Οι χρήστες αυτοί αποτελούν τα εντεταλμένα γραφεία τα οποία προωθούν τις αιτήσεις προς τις αρχές εγγραφής προς έγκριση. Τα εντεταλμένα γραφεία έχουν πρόσβαση στο MPKI



191

και αφού ελέγξουν ότι τα στοιχεία είναι σωστά, αναθέτουν την έγκριση του πιστοποιητικού στις αρχές εγγραφής.

5.4.8.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ Ηλεκτρονικές συναλλαγές που πρόκειται να ενσωματωθούν στη πύλη του ΕΡΜΗ:

ΕΛΓΑ: Αίτηση αποζημίωσης στον ΕΛΓΑ.

Εθνικό Τυπογραφείο: Αίτηση για αγορά ΦΕΚ.

Ελληνική Αστυνομία: Δήλωση στην Αστυνομία (συμβάντος κλοπής, εξαφάνισης)

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: Υποβολή αίτησης για χορήγηση λίστας άρθρου 13, Υποβολή προσφυγής – καταγγελίας.

Πρωτοδικεία Αθηνών, Θεσσαλονίκης, Πειραιώς: Ηλεκτρονική κατάθεση δικογράφων–αιτησε-ων, Παρακολούθηση πορείας αιτήσεων.

Ειδικό Ληξιαρχείο Αθηνών: Υποβολή αίτησης ληξιαρχικών πράξεων (μέσω των ΚΕΠ).

ΙΚΑ: Χορήγηση ασφαλιστικής ενημερότητας σε εργοδότες και επιχειρήσεις.

Εθνικό Δημοτολόγιο: Χορήγηση Αντιγράφου Πιστοποιητικού Γέννησης (απευθείας σε ΟΤΑ ή μέσω ΚΕΠ).

Πρωτοδικείο/Τμήμα Ποινικού Μητρώου: Χορήγηση Αντιγράφου Ποινικού Μητρώου (μέσω ΚΕΠ).

Στρατολογία: Έκδοση Πιστοποιητικού Στρατολογικής Κατάστασης.

ΟΑΕΔ: Υπηρεσία Εύρεσης Εργασίας.

Ελληνική Αστυνομία: Πληρωμή Προστίμων Τροχαίας.

5.4.8.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Χρησιμοποιήθηκε η μεθοδολογία ανάλυσης και διαχείρισης επικινδυνότητας CRAMM. Από την α-ποτίµηση προκύπτουν σχετικά υψηλές απαιτήσεις προστασίας της ακεραιότητας (integrity), της ε-μπιστευτικότητας (confidentiality) και της διαθεσιμότητας (availability) των δεδοµένων που διαχει-ρίζεται το Υποσύστημα Ψηφιακής Πιστοποίησης Πολιτών/Επιχειρήσεων, και ιδιαίτερα των δεδο-μένων που αφορούν στη δημιουργία και επεξεργασία του ιδιωτικού κλειδιού της Αρχής Πιστοποίη-σης της ΕΠΕ και του σταθμού εργασίας Key Ceremony στον οποίο κρατούνται. Υψηλές απαιτη-σεις προκύπτουν επίσης για την προστασία της ακεραιότητας των δεδοµένων του Υποσυστηματος Εγγραφής και Εξουσιοδότησης Χρηστών, καθώς και για τη διατήρηση της ακεραιότητας όσων προσωπικών δεδομένων των χρηστών τηρεί το Σύστημα.

Όσον αφορά στις δυνητικές απειλές που αντιµετωπίζουν η Πύλη και οι συναφείς εγκαταστάσεις, ε-κείνες οι οποίες παρουσιάζουν τη µεγαλύτερη πιθανότητα εµφάνισης ή το μαγαλύτερο βαθμό επι-κινδυνότητας (μέγιστος βαθμός επικινδυνότητας 6/7) είναι οι εξής:

Πλαστοπροσωπία από Εσωτερικούς Χρήστες

Πλαστοπροσωπία από Εξωτερικούς Χρήστες

Εισαγωγή Κακόβουλου κώδικα

Αστοχία Λογισμικού Συστήματος και Λογισμικού Δικτύου



192

Σφάλμα Συντήρησης Υλικού

Σφάλμα Συντήρησης Λογισμικού


Λάθος του Χρήστη

Διακοπή Ηλεκτροδότησης

Μη εξουσιοδοτημένη χρήσης εφαρμογής

Εισαγωγή Ιομορφικού Λογισμικού

Αποτυχία/Παρεμπόδιση Επικοινωνιών

Λάθος Χειρισμού

Κλοπή εγγράφων ή άλλων αγαθών του ΠΣ (από άτομα εντός του φορέα λειτουργίας)

Κλοπή εγγράφων ή άλλων αγαθών του ΠΣ (από άτομα εκτός του φορέα λειτουργίας)

Ηθελημένη πρόκληση βλάβης - βανδαλισμός (από άτομα εντός του φορέα λειτουργίας)

Προϋπόθεση επιτυχούς εκδήλωσης των προαναφερόµενων απειλών αποτελεί η ύπαρξη αντίστοι-χων αδυναµιών - σηµείων ευπάθειας. Στις αδυναµίες που εντοπίστηκαν, µεταξύ άλλων, περιλαµ-βάνονται οι εξής:

Η Πύλη ΕΡΜΗΣ διαχειρίζεται προσωπικά ή ευαίσθητα και οικονομικά δεδομένα χρηστών.

Η Πύλη ΕΡΜΗΣ εξυπηρετεί ένα σύνολο από υπηρεσίες που είναι κρίσιμες για τη δημόσια διοίκηση.

Απουσία οργανωτικο-διοικητικού σχήματος και ειδικότερα οργανωτικού σχήματος διαχείρισης της ασφάλειας.

Διασύνδεση με ποικίλα συστήματα δημοσίων φορέων (τα οποία στη διάρκεια της μελέτης δεν ήταν γνωστά).

Φόρτος εργασίας προσωπικού.

Ως σημαντικότερα από τα προτεινόμενα αντίμετρα θεωρούνται η ανάθεση του ρόλου του Υπεύ-θυνου Ασφάλειας ΠΣ σε στέλεχος με τα κατάλληλα προσόντα, η υιοθέτηση Πολιτικής Ασφάλειας, η διαμόρφωση κατάλληλου χώρου στέγασης των βασικών υπολογιστικών συστημάτων και η κα-τάλληλη εκπαίδευση – κατάρτιση του προσωπικού.

Πιο συγκεκριμένα, συνιστάται να δοθεί άμεση προτεραιότητα στην υλοποίηση του οργανωτικού σχήματος και κυρίως στην ανάθεση του ρόλου του Υπεύθυνου Ασφάλειας ΠΣ. Ο Υπεύθυνος Α-σφάλειας θα αναλάβει άμεσα την ευθύνη της παρακολούθησης της υλοποίησης του Σχεδίου Ασφά-λειας.

Στα μέτρα για τα οποία απαιτείται επίσης άμεση ενέργεια περιλαμβάνεται η υιοθέτηση Πολιτικής Ασφάλειας ΠΣ από τη Διοίκηση του φορέα λειτουργίας και διαχείρισης της ΕΠΕ. Ιδιαίτερα σημαντική είναι η διαμόρφωση κατάλληλου χώρου φιλοξενίας εξυπηρετητών (computer room) για τις βασικές εφαρμογές του ΕΡΜΗ και ειδικότερα για τον Key Ceremony σταθμό εργασίας που φι-λοξενεί τη δημιουργία/αποθήκευση του ιδιωτικού κλειδιού της Αρχής Πιστοποίησης ΕΡΜΗΣ (CA).

Στα κυριότερα διοικητικά-οργανωτικά μέτρα περιλαμβάνονται, επίσης, η εκπόνηση και εφαρμογή προγράμματος εκπαίδευσης και ενημέρωσης σε ζητήματα χρήσης των ΠΣ για το προσωπικό του



193

φορέα λειτουργίας της ΕΠΕ καθώς και η ενίσχυση της τεχνογνωσίας του προσωπικού του Τμήμα-τος Πληροφορικής του φορέα λειτουργίας και διαχείρισης της ΕΠΕ σε εξειδικευμένα ζητήματα διαχείρισης της ασφάλειας των ΠΣ.

Απαιτείται επίσης η ανάπτυξη διαδικασιών εσωτερικής και εξωτερικής εποπτείας και ελέγχου (au-dit). Όλα αυτά τα μέτρα είναι εξαιρετικής σπουδαιότητας για την ολοκληρωμένη διασφάλιση της ΕΠΕ.

Ιδιαίτερη προσοχή θα πρέπει επίσης να δοθεί στη διασφάλιση της συνέχισης λειτουργίας και την αντιμετώπιση έκτακτων περιστατικών και ιδιαίτερα στη λήψη και διαχείριση των εφεδρικών αντι-γράφων δεδομένων. Επιπλέον, η ενίσχυση της ασφάλειας απαιτεί τη χρήση εξοπλισμού, όπως συ-στηματα διαχείρισης δικτύων, ανανέωση των λειτουργικών συστημάτων κλπ.

Ο σχεδιασμός του DRP έγινε με βάση τη γενική στρατηγική κατά την οποία επιλέχθηκε το Cold Site για Disaster Recovery. Η επιλογή της συγκεκριμένης στρατηγικής ανάκαμψης αφορά Διοικητι-κή επιλογή λόγω χαμηλού οικονομικού προϋπολογισμού ανάκαμψης.

Σύμφωνα με το NIST (National Institute of Standards and Technology), η στρατηγική Cold Site α-φορά τη δυνατότητα ανάκαμψης ενός πληροφοριακού συστήματος σε έναν εφεδρικό χώρο, ο οποίος διαθέτει μόνο ηλεκτρισμό και φυσικές εγκαταστάσεις αλλά κανένα στοιχείο πληροφορια-κού εξοπλισμού μέχρι τη στιγμή του καταστροφικού γεγονότος. Ο χώρος είναι ανενεργός αλλά έ-τοιμος να δεχτεί τον εξοπλισμό του πληροφοριακού συστήματος που πρόκειται να ανακάμψει. Ο όρος «έτοιμος» αφορά στη φυσική διάθεση του χώρου ώστε να είναι άδειος και καθαρός.

Ο χώρος που έχει επιλεγεί ως Cold site είναι οι εγκαταστάσεις της εταιρείας INFOQUEST AE. Το σύστημα ανάκαμψης καταστροφών (δευτερεύον σύστημα) αποτελεί μια μικρότερη έκδοση του πρωτεύοντος συστήματος και η αρχιτεκτονική του φαίνεται στο Σχήμα 32. Ο ιδιοκτήτης του ΠΣ της ΕΠΕ πρέπει να διατηρεί σε off-site χώρο ενημερωμένα και αξιοποιήσιμα αντίγραφα ασφαλείας για το χρησιμοποιούμενο λογισμικό και τα δεδομένα που αποθηκεύονται στις εφαρμογές του. Επί-σης, στην ευθύνη του ανήκει και η σύνδεση του Cold site με το Σύζευξις. Η διαδικασία της ανα-καμψης πρόκειται να γίνει από την Ομάδα Ανάκαμψης η οποία αποτελεί προσωπικό της εταιρείας INFOQUEST AE μετά την επίσημη ενεργοποίηση του SLA. Η ευθύνη για τη διαδικασία ανάκαμ-ψης ανήκει στην εταιρεία INFOQUEST ΑΕ μέχρι το πέρας του έργου.

Εκτός από τη μελέτη που περιγράφηκε, υπάρχει και ένα μεταγενέστερο έγγραφο «Σχέδιο Ασφάλειας Εθνικής Πύλης ΕΡΜΗΣ» (΄Εκδοση v0.5), το οποίο έχει επίσης υλοποιηθεί για λογαριασμό του ανα-δόχου και περιλαμβάνει Πολιτικές και Μέτρα Ασφαλείας. Η InfoQuest χρησιμοποίησε για τη δημι-ουργία Πολιτικών Ασφάλειας τα διεθνή πρότυπα NIST 800-18, ISO/IEC 17799 και ISO/IEC 27001, αλλά δεν αναφέρεται κάποια συγκεκριμένη μεθοδολογία. Το έντυπο αυτό περιλαμβάνει:

Πολιτική Ασφάλειας υψηλού επιπέδου, η οποία διασαφηνίζει τη στρατηγική της διοίκησης του ΥΠΕΣ και τις αρχές που ακολουθούνται όσον αφορά στην ασφάλεια των πληροφοριών.

Συγκεκριμένες Πολιτικές Ασφάλειας, οι οποίες παρουσιάζουν το πλαίσιο των ενδεδειγμένων μέ-τρων ασφάλειας που αφορούν συγκεκριμένους τομείς του πληροφοριακού συστήματος. Συγκε-κριμένες Πολιτικές Ασφάλειας είναι:



194

Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

1. Πολιτική Επικοινωνιών και Δικτύου

2. Πολιτική Αποδεκτής χρήσης Συστημάτων Πληροφορικής

3. Πολιτική Κρυπτογράφησης

4. Πολιτική Διαχείρισης Περιστατικού Ασφάλειας Πληροφοριών

5. Πολιτική παρακολούθησης Ασφάλειας Πληροφοριακών Συστημάτων

6. Πολιτική ασφάλειας Διαδικτύου και Ηλεκτρονικού Ταχυδρομείου

7. Πολιτική Φυσικής Ασφάλειας

8. Πολιτική Προστασίας από Κακόβουλο Λογισμικό

9. Πολιτική Συνδεσιμότητας και Ανάθεσης Εργασιών σε Συνεργάτη

10. Πολιτική Διαχείρισης Χρηστών

Πρότυπα, Διαδικασίες και Οδηγίες Ασφάλειας. Ένα Πρότυπο Ασφάλειας παρέχει οδηγίες με σκοπό την επίτευξη συγκεκριμένων πολιτικών, που συχνά συσχετίζονται με συγκεκριμένες τε-χνολογικές προσεγγίσεις ή και προϊόντα. Οι διαδικασίες περιγράφουν τα βήματα που πρέπει να ακολουθηθούν με στόχο την διασφάλιση μιας εντεταλμένης λειτουργίας ή υπηρεσίας. Οι οδηγίες αποτελούν συμβουλευτική καθοδήγηση προς τα μέλη ενός πληροφοριακού συστήματος και βασί-ζονται στις βέλτιστες πρακτικές της Ασφάλειας των Πληροφοριών. Τα Πρότυπα, Διαδικασίες και Οδηγίες Ασφάλειας είναι:



195

1. Πρότυπο Επικοινωνιών και Δικτύου

2. Αρχιτεκτονική Ασφάλειας (Πρότυπο ΠΑ-03)

3. Ασφάλεια Διαδικτύου και Ασφαλής Απομακρυσμένη πρόσβαση (Πρότυπο ΠΑ-08)

4. Έλεγχος Προσπέλασης, Λειτουργίας και Διαχείριση (Πρότυπο ΠΑ-03)

5. Ασφάλεια Βάσεων Δεδομένων (Πρότυπο ΠΑ-03)

6. Back-End Servers Hardening (Πρότυπο ΠΑ-03)

7. Front-End Servers Hardening (Πρότυπο ΠΑ-03)

8. Ασφάλεια Τερματικών Σταθμών (Πρότυπο ΠΑ-03)

9. Οδηγία - Computer Systems Security Violation Incident Reporting (ΠΑ-6)

10. Διαδικασία - Incident Reporting (ΠΑ-6)

Στην παρούσα φάση, δεν είχε διευκρινιστεί ποια από τις δύο μελέτες είχε ισχύ και ποια υιοθετήθηκε.

5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση Υδάτινων Πόρων

5.4.9.1 Στοιχεία ταυτότητας έργου Οι στόχοι του έργου «Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση Υδάτινων Πόρων» είναι η δημιουργία υποδομής για παροχή υπηρεσιών προς το πολίτη και τις επιχει-ρήσεις και ειδικότερα:

Ενημέρωση των ενδιαφερομένων για θέματα σχετικά με τα δάση και τη διαχείριση των υδάτινων πόρων.

Παροχή διαδραστικών λειτουργιών όπως αιτήσεις, πληρωμές κλπ. και γενικότερα διεκπεραίωση συναλλαγών μέσω της πύλης.

Παροχή των υπηρεσιών μέσω κοινών σημείων εξυπηρέτησης και υποβοήθησης των ενδιαφερο-μένων.

Προβολή στο ευρύ κοινό των δυνατοτήτων που παρέχονται από τη λειτουργία της πύλης.

Επίσης, στοχεύει στον εκσυγχρονισμό των αρμοδίων διευθύνσεων των περιφερειών. Στο πλαίσιο του εν λόγω εκσυγχρονισμού προβλέπονται:

Χρήση των λειτουργιών της πύλης από το προσωπικό των διευθύνσεων των περιφερειών.

Ενημέρωση του περιεχομένου της διαδικτυακής πύλης με τη λειτουργία εφαρμογής διαχείρισης περιεχομένου (CMS).

Ψηφιοποίηση δεδομένων των περιφερειών μέσω εφαρμογής διαχείρισης περιεχομένου. (CMS).

Βελτίωση του χρόνου και της ποιότητας εξυπηρέτησης των ενδιαφερομένων από τις αρμόδιες δι-ευθύνσεις των περιφερειών.



196

Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων

5.4.10 Αρχιτεκτονική ΟΠΣ/Δικτύου Στο Σχήμα 333 απεικονίζεται η αρχιτεκτονική Σχεδίαση του έργου:

Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή:

Μελέτη Εφαρμογής Αναδόχου)

Φορέας έργου: ΥΠΕΣ Ανάδοχος: Ένωση OTS - KOSMOS ΣΤΥ: - Μελετητής Ασφάλειας: Οι απαιτήσεις ασφάλειας θα καθοριστούν από τον ανάδοχο του έργου. Προϋπολογισμός έργου: 1.679.600,00 € Διάρκεια έργου: 18 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο στις εγκαταστάσεις της ALTEC, υπό ανάπτυξη Data Center: Ενδέχεται να μεταφερθεί σε κάποιο Data Center στο τέλος του 2008



197

5.4.10.1 Παρεχόμενες υπηρεσίες Η διαδικτυακή Πύλη θα έχει τις εξής κατηγορίες χρηστών:

«Εσωτερικοί» χρήστες, που είναι το Προσωπικό της Περιφέρειας. Οι χρήστες αυτοί θα έχουν πρόσβαση μέσω του Δικτύου ΣΥΖΕΥΞΙΣ με ειδική εξουσιοδοτημένη πρόσβαση. Θα ληφθεί επί-σης υπόψη η PKI υποδομή του έργου ΣΥΖΕΥΞΙΣ, τουλάχιστον για την αυθεντικοποίηση των υ-παλλήλων των περιφερειών στο σύστημα.

«Εξωτερικοί» χρήστες (πολίτες και επιχειρήσεις που θα το επισκέπτονται μέσω Internet).

Το έργο αυτό παρέχει τις εξής Υπηρεσίες Πληροφόρησης:

Πληροφορίες για τις Περιφέρειες (οργανωτική δομή, στόχοι, έργα, τοποθεσία, επικοινωνία κλπ).

Πληροφορίες για Δάση και διαχείριση υδάτινων πόρων (τοποθεσίες, βλάστηση, πρόσβαση κλπ).

Πληροφορίες για τον καιρό.

Πληροφορίες για την Οικονομική Ανάπτυξη, εκμετάλλευση κλπ.

Πληροφορίες για την συνεργασία με άλλους Φορείς.

Δελτία Τύπου, ανακοινώσεις, Συνέδρια, Ημερίδες, Εκδηλώσεις κλπ.

Στατιστικές πληροφορίες.

Πληροφορίες για τα δικαιώματα και τις υποχρεώσεις του πολίτη.

Σύνδεση με τις πύλες της Κυβέρνησης και με άλλους διαδικτυακούς τόπους.

Σύνδεση με ευρωπαϊκούς και διεθνείς διαδικτυακούς τόπους με πληροφορίες σε θέματα σχετικά με τα Δάση και την διαχείριση υδάτινων πόρων.

Δημοσίευση Αποφάσεων σχετικών με το αντικείμενο που ειδικεύεται η πύλη.

Καταγραφή παραπόνων και καταγγελιών.

Καταχώρηση επαγγελματιών.

Καταχώριση υπηρεσιών.

Οι αλληλεπιδραστικές υπηρεσίες οι οποίες περιλαμβάνουν:

Σύνθετη αναζήτηση σχετικά με τα Δάση και την διαχείριση υδάτινων πόρων.

Καταγραφή παραπόνων και καταγγελιών του κοινού, και προτεινόμενοι τρόποι επίλυσης τους. Επίσης η υπηρεσία αυτή θα περιλαμβάνει και δομημένη μέθοδο απάντησης στο χρήστη.

Αναζήτηση δελτίων τύπου και δημοσιευμάτων

Αναζήτηση πληροφοριών σχετικά με πορεία αιτήσεων και αιτημάτων

Αναζήτηση επαγγελματιών της περιοχής

Αναζήτησης δημόσιων υπηρεσιών και φορέων του ευρύτερου δημόσιου τομέα της περιοχής

Αναζήτησης πληροφοριών σχετικά με Μέσα Μεταφοράς της περιοχής

Ηλεκτρονική Δημοσκόπηση Πολιτών

Μεταξύ των ηλεκτρονικών συναλλαγών που θα παρέχονται μέσω της Πύλης είναι:



198

Ηλεκτρονικές Αιτήσεις για εκμετάλλευση Δασών και Υδάτινων πόρων.

Πληρωμή χρεών.

Αιτήματα και Καταγγελίες Πολιτών

Ηλεκτρονικές Αιτήσεις για Βεβαιώσεις.


Εθνικό Δίκτυο ΣΥΖΕΥΞΙΣ

Η συσχέτιση με το έργο «Σύζευξις» θεωρείται πολύ σημαντική αφού η διασύνδεση των Φορέων με το Διαδίκτυο θα γίνει μελλοντικά μέσω του συγκεκριμένου εθνικού δικτύου, ενώ ενδέχεται να χρησιμοποιηθεί η PKI υποδομή του έργου ΣΥΖΕΥΞΙΣ, τουλάχιστον για την αυθεντικοποίηση των υπαλλήλων των περιφερειών στο σύστημα.

Εθνική Πύλη ΕΡΜΗΣ

Δεν έχει οριστικοποιηθεί η διασύνδεση αλλά προβλέπεται η προβολή του μέσω του ΕΡΜΗ.

Κέντρα Εξυπηρέτησης Πολιτών

Μπορούν να εξυπηρετηθούν από τα ΚΕΠ οι υπηρεσίες που ήδη προσφέρονται ηλεκτρονικά.

5.4.10.3 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Δεν ήταν διαθέσιμη στην παρούσα φάση. Δεν προβλέπεται Σύμβουλος Τεχνικός Υποστήριξης, ενώ οι απαιτήσεις και τα μέτρα ασφάλειας πρέπει να καθοριστούν από τον Ανάδοχο του έργου.

5.4.11 Πολεοδομία ΙΙ

5.4.11.1 Στοιχεία ταυτότητας έργου Σκοπός του έργου «Ηλεκτρονική Πολεοδομία: Πολεοδομική Νομοθεσία και Σύστημα Πολεοδομικών Πληροφοριών για τον Πολίτη» είναι αφενός να παρέχει στα στελέχη των Πολεοδομικών Υπηρεσιών, στις Κεντρικές Υπηρεσίες του ΥΠΕΧΩΔΕ και στους πολίτες (ιδιώτες και μηχανικούς), έγκυρη και γρήγορη πληροφόρηση για το σύνολο της ισχύουσας πολεοδομικής νομοθεσίας και αφετέρου να συμβάλλει στην καλύτερη εξυπηρέτηση των πολιτών και στην αποτελεσματικότερη λειτουργία της υ-πηρεσίας με τη δυνατότητα άμεσης (μέσω διαδικτύου) παροχής των πληροφοριών που αφορούν ειδι-κές ρυθμίσεις - όρους και περιορισμούς δόμησης και τα ισχύοντα διατάγματα ρυμοτομίας.

Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ

Φορέας έργου: Νομαρχιακές Αυτοδιοικήσεις – Πολεοδομίες (ΥΠΕΧΩΔΕ) Ανάδοχος: Ένωση SINGULAR LOGIC INTEGRATOR - UNISYSTEMS ΣΤΥ: Cyberstream - PANTEC Μελετητής Ασφάλειας: Cyberstream - PANTEC Προϋπολογισμός έργου: 3.170.823,00 € Διάρκεια έργου: 18 μήνες Τρέχουσα φάση έργου: Εγκατεστημένο, σε παραγωγική λειτουργία Data Center: DC2



199

5.4.11.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Η αρχιτεκτονική ακολουθεί τα παρακάτω (βλ. Σχήμα 34):

Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

Πλήρης και ασφαλής διαχωρισμός των επιπέδων του ΟΠΣ ( database, application, web tier) με τη χρήση Firewalls και με την δημιουργία ζωνών ασφαλείας( Militarized/De-Militarized Zone).

Χρήση Server Farms και τεχνικών εξισορρόπησης φορτίου - Load Balancing με στόχο την αύξη-ση της διαθεσιμότητας, επεκτασιμότητας και απόδοσης των επιπέδων εφαρμογών ( Application-Tier) και διαδικτύου ( Web-Tier).

Χρήση τεχνικών και τεχνολογιών Database Clustering

Χρήση SAN (Storage Area Network) για την φιλοξενία των δεδομένων σε ένα ασφαλές περιβάλ-λον χωρίς μοναδικό σημείο αποτυχίας ( No Single Point of Failure), που να μπορεί να υποδεχθεί τον εκτιμώμενο όγκο δεδομένων του ΟΠΣ καθώς και κάθε απότομη αύξηση αυτού.

Χρήση τεχνολογιών Backup/Restore για τήρηση εφεδρικών αντιγράφων/αρχειοθέτηση των δεδο-μενων σε μαγνητικές ταινίες.

Χρήση τεχνικών και τεχνολογιών Monitoring/Management για παρακολούθηση και Διαχείριση του Επιπέδου Παροχής Υπηρεσιών ( Service Level Management/Monitoring) του Πληροφορια-κού Συστήματος από ένα μοναδικό σημείο ( Single Point of Management – Single Point of Ope-rations).

Χρήση τεχνικών και τεχνολογιών Auditingκαι Logging για πλήρη καταγραφή της πρόσβασης και δραστηριοτήτων των χρηστών στο Πληροφοριακό Σύστημα

Αφορά:



200

τόσο στη γενική πολεοδομική νομοθεσία (δεσμευτικού χαρακτήρα και γενικευμένη ισχύ για όλη την επικράτεια),

όσον και στην ειδική πολεοδομική νομοθεσία (δεσμευτικού χαρακτήρα, τοπικά εντοπισμένη, σε όλα τα επίπεδα της πολεοδομικής γεωαναφοράς-διοικητικής διαίρεσης: Περιφέρεια – Νομός – Δήμος/Κοινότητα – Οικισμός).

5.4.11.3 Παρεχόμενες υπηρεσίες Αποτελούνται από (βλ. Σχήμα 35):

(α) τη δημιουργία κεντρικής βάσης δεδομένων γενικής πολεοδομικής νομοθεσίας (ΚΒΓΝ), αντίστοι-χου λογισμικού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νο-μοθεσίας έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη.

(β) η δημιουργία βάσης δεδομένων ειδικής πολεοδομικής νομοθεσίας (ΚΒΕΝ), αντίστοιχου λογισμι-κού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νομοθεσίας έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη.

(γ) η δημιουργία βάσης δεδομένων τοπικών ρυθμίσεων - όρων και περιορισμών δόμησης (GIS), αντίστοιχου λογισμικού αναζήτησης και παρουσίασης και λογισμικού συνεχούς διαχείρισης της νέας νομοθεσίας έτσι ώστε η περιεχόμενη πληροφορία να είναι πάντα επίκαιρη, με πεδίο εφαρ-μογής έναν περιορισμένο αριθμό περιοχών (δήμων) στο πλαίσιο της λειτουργίας ενός συγκεκρι-μενου αριθμού πιλοτικών Πολεοδομικών Υπηρεσιών. Στο Σχήμα 35 ακολουθεί αποτυπώνονται οι κατηγορίες χρηστών του πληροφοριακού συστήματος.

Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

Οι χρήστες του Πληροφορικού Συστήματος μπορούν να διαχωριστούν στις ακόλουθες γενικές κατη-γορίες:

Διαχειριστές Συστήματος: Είναι οι χειριστές υπεύθυνοι για τη συντήρηση και επίβλεψη του συ-στήματος και των λογαριασμών χρηστών οι οποίοι θα τηρούνται.



201

Χειριστές Νομοθετικού Έργου: Είναι οι χειριστές οι οποίοι θα συμμετέχουν στις ροές εργασίας παραγωγής Νομοθετικού Έργου.

Εσωτερικοί Χειριστές: Είναι οι εσωτερικοί στο σύστημα χειριστές (Υπάλληλοι ΥΠΕΧΩΔΕ, Στε-λέχη Πολεοδομικών Υπηρεσιών, Υπάλληλοι ΚΕΠ).

Εξωτερικοί Χειριστές: Είναι οι εξωτερικοί στο σύστημα χειριστές (Μηχανικοί, Δικηγόροι, Πολί-τες).


Εθνικό Δίκτυο ΣΥΖΕΥΞΙΣ

Η συσχέτιση με το έργο «ΣΥΖΕΥΞΙΣ» θεωρείται πολύ σημαντική αφού η διασύνδεση των Φορέ-ων με το Διαδίκτυο θα γίνει μελλοντικά μέσω του συγκεκριμένου εθνικού δικτύου.

Βάση Δεδομένων EUR-Lex

Το σύστημα της Γενικής Πολεοδομικής Νομοθεσίας μέσω του πίνακα «ΕΝΑΡΜΟΝΙΣΗΣ» μπο-ρεί να διαλειτουργεί με την EUR-Lex η οποία είναι η Βάση Δεδομένων της Ευρωπαϊκής Ένωσης (Ε.Ε.) όσον αφορά την Νομοθεσία και την Νομολογία.

ΡΑΠΤΑΡΧΗΣ

Ο στόχος της διαλειτουργικότητας του συστήματος το έργου αυτού με τον ΡΑΠΤΑΡΧΗ είναι η αυτόματη ενημέρωση του συστήματος της Πολεοδομικής Νομοθεσίας με τα δεδομένα του συ-στηματος ΡΑΠΤΑΡΧΗΣ που το αφορούν. Για το κοινό τμήμα της Πολεοδομικής Νομοθεσίας η πρωτογενής καταχώριση θα γίνεται στο σύστημα ΡΑΠΤΑΡΧΗΣ και τα δεδομένα θα μεταφέρο-νται στη βάση της Πολεοδομικής Νομοθεσίας. Η βάση της Πολεοδομικής Νομοθεσίας θα ανα-γνωρίζει τα δεδομένα που προέρχονται από το σύστημα ΡΑΠΤΑΡΧΗΣ και δεν θα επιτρέπει την τροποποίηση τους. Η επικοινωνία θα είναι μονόδρομη, από το σύστημα ΡΑΠΤΑΡΧΗΣ προς τη βάση της Πολεοδομικής Νομοθεσίας.

5.4.11.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Δεν ακολουθείται κάποια συγκεκριμένη μεθοδολογία, αλλά οι οδηγίες που προτείνονται σε διεθνή πρότυπα (π.χ. ΝIST, ISO). Τα παραδοτέα που εξετάστηκαν, στην τρέχουσα τους μορφή, δεν παρου-σιάζουν αποτιμήσεις και μέτρα ασφαλείας για το συγκεκριμένο σύστημα, αλλά περιγράφουν τη με-θοδο με την οποία αυτά θα μπορούσαν να προκύψουν και κάποια παραδείγματα. Συνεπώς, δεν είναι δυνατή η εξαγωγή συμπερασμάτων.

Υπάρχει επίσης προδιαγεγραμμένη πολιτική ασφάλειας, η οποία αποτελείται από μια σειρά επιμέ-ρους πολιτικών. Όσον αφορά τη διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, δεν υπάρχει Σχέδιο Αποκατάστασης Καταστροφών (DRP), αλλά έχουν προδιαγραφεί κάποια σχετικά μέτρα ασφαλείας.

5.4.12 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής Η πληροφοριακή υποδομή των Data Centers της ΚτΠ ΑΕ υποστηρίζει πολλές από τις υπηρεσίες οι οποίες περιλαμβάνονται στις 20 βασικές υπηρεσίες της Δημόσιας Διοίκησης, προς τους πολίτες και προς τις επιχειρήσεις. Ενδεικτικά, αναφέρονται οι παρακάτω υπηρεσίες οι οποίες υποστηρίζονται α-



202

πό τα διάφορα ΟΠΣ που περιγράφηκαν παραπάνω και οι οποίες περιλαμβάνονται στις βασικές υπη-ρεσίες της Δημόσιας Διοίκησης:

Υπηρεσίες προς Πολίτες

Υπηρεσίες αναζήτησης εργασίας

Εισφορές κοινωνικής ασφάλισης

Έκδοση οικοδομικής άδειας

Πιστοποιητικά (έκδοση, παραλαβή)

Υπηρεσίες προς Επιχειρήσεις

Έναρξη επιχείρησης

Υποβολή στοιχείων σε στατιστικές υπηρεσίες

1. Περιβαλλοντικές άδειες

Επιπλέον, θα παρέχει την κτηριακή εγκατάσταση για την Εθνική Πύλη ΕΡΜΗΣ και διασυνδέεται με άλλες υποδομές όπως είναι το ΣΥΖΕΥΞΙΣ ή το ΟΠΣ των ΚΕΠ. Συνεπώς, τα Data Centers μπορούν να χαρακτηριστούν ως υποδομή της Δημόσιας Διοίκησης και σε κάποιες περιπτώσεις παρέχουν την κτηριακή, δικτυακή και οργανωτική υποδομή για άλλες υποδομές/υπηρεσίες της δημόσιας Διοίκησης.

5.4.13 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής Για την αξιολόγηση του βαθμού κρισιμότητας των ΟΠΣ των Data Centers, εφαρμόζονται τα κριτήρια κρισιμότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:

Αριθμός επηρεαζόμενων χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της ποιότητας μιας υπηρεσίας.


Γεωγραφική Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.

Αλληλεξάρτηση: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφι-κή ή λογική εξάρτηση).

Ανάκαμψη: η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.

Αντίδραση της κοινής γνώμης: η επίδραση της απώλειας υπηρεσίας/αγαθού στην εμπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.

Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης: η επίδραση στη λειτουργία της δημόσι-ας διοίκησης και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.


Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσω-πικών ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομο-θεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.



203

Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ: η εκτίμηση των επιπτώσεων στην άποψη του κοινού για τη χρήση και την εμπιστοσύνη σε τεχνολογίες πληροφορικής και επικοινωνιών και εν γένει, σε πληροφοριακές και επικοινωνιακές υποδομές.

Η ταξινόμηση των παραπάνω κριτηρίων περιγράφεται στον Πίνακας 29.

Κριτήρια

Επιπτώσεις από τη μη λειτουργία πληροφοριακής \ δικτυακής υποδομής

Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή Αριθμός επηρεαζόμενων χρηστών

>100,000 10,000-100,00 1,000-10,000 100-1,000 <100

Οικονομική Επίπτωση ( € )

> 100 εκ 10 – 100 εκ 1 – 10 εκ 100 χιλ – 1 εκ < 100 χιλ

Γεωγραφική εμβέλεια Διεθνής Εθνική Περιφερειακ

ή

Τοπική (πολλοί φορείς)

Τοπική (λίγοι φορείς)

Αλληλεξάρ-τηση

Καταλυτική ε-πίδραση σε της υποδομές/τομείς

Σημαντική επίδραση σε της υποδο-μές/τομείς

Μέτρια επί-δραση σε της υποδομές/-τομείς

Μικρή επίδρα-ση σε της υπο-δομές/τομείς

Επίδραση σε μία υποδομή/-τομέα

Ανάκαμψη (χρόνος, κό-στος)

Υψηλό κόστος σε πολλούς το-μείς, μακρύς χρόνος ανά-καμψης (μη-νες – χρόνια)

Υψηλό κό-στος, υψηλός απαιτουμε-νος χρόνος α-νάκαμψης (βδομάδες – μήνες)

Μέσο κό-στος, σημα-ντικός χρό-νος ανάκαμ-ψης (μέρες – βδομάδες)

Χαμηλό κό-στος, μικρός απαιτούμενος χρόνος ανά-καμψης (ώρες – μέρες)

Αμελητέο κό-στος, μικρός απαιτούμενος χρόνος ανά-καμψης (ώρες)

Αντίδραση της κοινής γνώμης

Διεθνής αποδοκιμασία

Περιορισμός κυβερνητικής αξιοπιστίας σε διεθνές επίπεδο

Μετριασμός κυβερνητικής αξιοπιστίας σε εθνικό επίπεδο

Αρνητική δημοσιότητα κυβερνητικών οργανισμών/ φορέων

Αρνητική δη-μοσιότητα ε-νός κυβερνη-τικού οργανι-σμού/φορέα


Σοβαρή παρε-μπόδιση ή δια-κοπή της ανά-πτυξης/εφαρ-μογής κυβερ-νητικών πολι-τικών

Υποβάθμιση της διαπρα-γματευτικής και συναλλα-κτικής δυνα-τηςτητας της κυβέρνησης

Παρεμπόδιση της αποτελε-σματικής ανάπτυξης/εφαρμογής κυ-βερνητικών πολιτικών




Απώλεια πολ-λών ανθρώπι-νων ζωών

Απώλεια αν-θρώπινης ζωής

Σημαντικός τραυματισμός πολλών προσώπων

Μικροτραυματισμοί πολλών προσώπων

Μικροτραυμα-τισμός ενός προσώπου

Αποκάλυψη προσωπικών-/εμπιστευτικ

Αποκάλυψη απόρρητων κυβερνητικών

Παραβίαση νομοθεσίας και σοβαρή

Παραβίαση νομοθεσίας και σοβαρή

Μικρή ενόχλη-ση πολλών προσώπων

Μικρή ενόχλη-ση ενός προ-σώπου



204

ών δεδομένων

δεδομένων ενόχληση πολλών προσώπων

ενόχληση της προσώπου

Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ


Αρνητικός επηρεασμός κοινωνικού συνόλου

Κλονισμός εμπιστοσύ-νης κοινωνι-κού συνόλου

Απογοήτευση επιμέρους ομάδων του πληθυσμού

Απογοήτευση μεμονωμένων πολιτών

Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών

Εφαρμόζοντας τα παραπάνω κριτήρια προκύπτουν τα ακόλουθα στοιχεία:

1. Αριθμός επηρεαζόμενων χρηστών. Τα Data Centers φιλοξενούν, μεταξύ άλλων, ΟΠΣ για όλες τις νομαρχιακές αυτοδιοικήσεις της χώρας, αλλά και την Εθνική Πύλη ΕΡΜΗΣ, συνεπώς ο α-ριθμός των χρηστών που εξυπηρετούν υπερβαίνει τους 100.000 χρήστες και η επίπτωση χαρα-κτηρίζεται ως Πολύ Υψηλή.

2. Οικονομική Επίπτωση. Τα Data Centers δεν υποστηρίζoυν άμεσες οικονομικές συναλλαγές και συνεπώς τυχόν δυσλειτουργίες του δικτύου έχουν μόνο έμμεσες επιπτώσεις για τις εφαρμογές τις οποίες υποστηρίζουν.Συνεπώς, η επίπτωση κρίνεται ως ‘Χαμηλή’.

3. Γεωγραφική Εμβέλεια. Tα ΟΠΣ παρέχουν υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότη-τα των Data Centers με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως Υψηλή.

4. Αλληλεξάρτηση. Τα ΟΠΣ εξαρτώνται λογικά από διάφορα άλλα ΟΠΣ δημοσίων φορέων με τα οποία διασυνδέονται, αλλά και από δίκτυα, όπως το ΣΥΖΕΥΞΙΣ. Ιδιαίτερα ο ΕΡΜΗΣ συνδέε-ται με πληθώρα συστημάτων που παρέχουν υπηρεσίες. Η παραβίαση κάποιας συνιστώσας της ασφάλειας των Data Centers και των σχετικών ΟΠΣ, εκτιμάται ότι θα είχε επίδραση και σε άλ-λες υποδομές. Συνεπώς η κρισιμότητα των Data Centers, με βάση το βαθμό αλληλοεξάρτησης, χαρακτηρίζεται ως Υψηλή.

5. Ανάκαμψη. Τα ΟΠΣ λειτουργούν ως ένα συμπληρωματικό μέσο για την παροχή υπηρεσιών από τους δημόσιους φορείς και υπάρχουν εναλλακτικοί δίαυλοι για την παροχή των υπηρεσιών (π.χ. φυσική παρουσία πολίτη στον αντίστοιχο φορέα). Παρόλο αυτά, η εθνική Πύλη ΕΡΜΗΣ έχει υψηλές απαιτήσεις διαθεσιμότητας, ενώ τα ΟΠΣΝΑ υποστηρίζουν όλη τη λειτουργία των Νομαρχιακών Αυτοδιοικήσεων σε αυτές τις λειτουργικές περιοχές. Παράλληλα, η ανάκαμψη των ΟΠΣ ενδέχεται να απαιτεί μεγάλο χρονικό διάστημα και υψηλό κόστος, καθώς σε πολλές περιπτώσεις δεν υπάρχουν εναλλακτικές εγκαταστάσεις και υλοποιημένα σχέδια συνέχισης λειτουργίας. Συνεπώς, η κρισιμότητα των ΟΠΣ με βάση το βαθμό κρισιμότητας των υπηρεσι-ών του χαρακτηρίζεται ως Υψηλή.

6. Αντίδραση της κοινής γνώμης. Με δεδομένο το εύρος των ΟΠΣ και τον αριθμό των χρηστών, αλλά και το γεγονός ότι τα Data Centers παρέχουν υπηρεσίες του δημοσίου, εκτιμάται ότι πιθα-νή παραβίαση κάποιας συνιστώσας της ασφάλειας των ΟΠΣ θα επηρέαζε την κυβερνητική αξι-οπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα των Data Centers με βάση το βαθμό εμπι-στοσύνης της κοινής γνώμης χαρακτηρίζεται ως Μέτρια.

7. Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης. Καθώς τα Data Centers υποστηρίζουν πολλούς κυβερνητικών φορέων, και κατ’ επέκταση την εφαρμογή της κυβερνητικής πολιτικής, η παραβίαση κάποιας συνιστώσας της ασφάλειας των ΟΠΣ ενδέχεται να παρεμποδίσει την



205

αποτελεσματική ανάπτυξη/εφαρμογή κυβερνητικών πολιτικών. Συνεπώς, η κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Μέτρια.

8. Προσωπική ασφάλεια. Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολι-των, με τη μόνη εξαίρεση του ΟΠΣΝΑ για τη Λειτουργική Περιοχή της Υγείας. Συνεπώς η κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ Χαμηλή.

9. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπι-στευτικότητας των διακινούμενων ή διατηρούμενων δεδομένων των = ΟΠΣ, και με δεδομένο το μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχε-τικής νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Συνεπώς, η κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Υψηλή.

10. Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ. Με δεδομένο ότι η Εθνική Πύλη ΕΡΜΗΣ απότελεί κομβικό σημείο επαφής μεγάλου αριθμού πολιτών σε τεχνολογίες πληροφορικής και επικοινωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατίας μέσω της χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρνητικό επηρεασμό του κοινωνικού συνόλου. Αν συνυπολογίσει κανείς ότι τα Data Centers υποστηρίζουν και άλλες πύλες (ΡΑΠΤΑΡΧΗΣ, ΑΜΕΑ, κλπ.), αλλά και ένα μεγάλο μέρος των υπηρεσίων των ΝΑ, το πλήθος των πολιτών που ενδέχεται να επηρεαστούν αρνητικά αυξάνει. Συνεπώς, η κρισιμότητα των Data Centers με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ Υψηλή.

5.4.14 Συμπεράσματα Τα Data Centers συγκεντρώνουν πληθώρα ΟΠΣ τα οποία υποστηρίζουν πολλούς οργανισμούς του δημοσίου (Υπηρεσία Διαχείρισης Διαρκούς Κώδικα Νομοθεσίας (ΥΠΕΣ), Yπουργείο Τουριστικής Ανάπτυξης, Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης, Ινστιτούτο Κοινωνικής Προστασίας και Αλληλεγγύης (ΙΚΠΑ), Νομαρχιακές Αυτοδιοικήσεις κ.ά.) αλλά και το σύνολο του δημοσίου με την εθνική Πύλη ΕΡΜΗΣ. Συνεπώς, αποτελούν κρίσιμη υποδομή για μεγάλο πλήθος δημοσίων υπηρεσιών.

Όσον αφορά το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών, οι περισσότερες υπηρεσίες βρίσκονται στο στάδιο 2 (αλληλεπίδραση) και στο στάδιο 3 (αμφίδρομη αλληλεπίδραση), ενώ κά-ποιες βρίσκονται στο στάδιο 4 (συναλλαγής) σε πιλοτική λειτουργία. Τα ΟΠΣ διασυνδέονται σε μι-κρότερο ή μεγαλύτερο βαθμό με άλλα ΟΠΣ δημόσιων φορέων, ενώ υποστηρίζονται και από άλλες υποδομές όπως το ΣΥΖΕΥΞΙΣ.

Στην παρούσα φάση, τα Data Centers αξιολογούνται ως υποδομή με Υψηλή κρισιμότητα, κυρίως λόγω του μεγάλου πλήθους των εξυπηρετούμενων χρηστών, της εθνικής γεωγραφικής έκτασης τους, αλλά και του γεγονότος ότι τα Data Centers φιλοξενούν μεγάλο πλήθος ετερογενών συστημά-των του δημοσίου. Το γεγονός ότι τα Data Centers θα φιλοξενούν την Εθνική Πύλη ΕΡΜΗΣ αυξά-νει την κρισιμότητα για το σύνολο των ΟΠΣ.

Η επίπτωση που θα έχει η πιθανή μη διαθεσιμότητα ή η παραβίαση μιας παραμέτρου ασφάλειας κρίνεται γενικά ως Υψηλή. Συγκεκριμένα η επίπτωση χαρακτηρίζεται ως ‘Πολύ Υψηλή’ σε σχέση με τον αριθμό των χρηστών και την επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ, όπως άλ-λωστε είναι αναμενόμενο, αφού τα Data Centers αποτελoύν τη βασική υποδομή για μια πληθώρα ε-φαρμογών και συστημάτων. Υψηλή επίσης χαρακτηρίζεται η επίπτωση που αφορά στην Εμβέλεια, στην Εμπιστοσύνη της κοινής γνώμης, στην Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφορι-ών, αφού τα ΟΠΣ αφορούν στο σύνολο της Ελληνικής Επικράτειας. Παράλληλα, τα Data Centers



206

έχουν υψηλές χρονικές και οικονομικές απαιτήσεις για την ανάκαμψή τους, σε περίπτωση που συμβεί κάποιο σημαντικό γεγονός που θα επηρεάσει το σύνολο των ΟΠΣ.

Είναι σαφές από την παραπάνω καταγραφή και ανάλυση, ότι τα Data Centers αποτελούν ‘Κρίσιμη Υποδομή της Δημόσιας Διοίκησης’.

5.5 ΟΠΣ ΚΕΠ

5.5.1 Στοιχεία ταυτότητας έργου Ο θεσμός των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ) λειτουργεί τα τελευταία χρόνια στην Ελλάδα, στοχεύοντας στην μείωση της γραφειοκρατίας στις συναλλαγές των πολιτών με τη δημόσια διοίκηση, υλοποιώντας πολιτο-κεντρικές διαδικασίες, μειώνοντας την ανάγκη πολλαπλών επισκέψεων και αξι-οποιώντας εναλλακτικά κανάλια επικοινωνίας.

Για την υποστήριξη και αυτοματοποίηση της παροχής υπηρεσιών και πληροφοριών μέσα από τα ΚΕΠ, το Υπουργείο Εσωτερικών Δημόσιας Διοίκησης και Αποκέντρωσης (ΥΠΕΣΔΔΑ) υλοποίησε το έργο «Παροχή Υπηρεσιών SLA Μέσα Από την Ανάπτυξη και Λειτουργία των Απαραιτήτων Υποδο-μών ΤΠΕ για την Εξυπηρέτηση των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ)». Τα στοιχεία της ταυτο-τητας του έργου είναι τα ακόλουθα:

Φορέας έργου: Υπουργείο Εσωτερικών Ανάδοχος: Newsphone Hellas ΣΤΥ - Μελετητής Ασφάλειας: Πανεπιστήμιο Πειραιώς Προϋπολογισμός έργου: 14.000.000 € Διάρκεια έργου: 30 μήνες Τρέχουσα φάση έργου: Περίπου 12 μήνες για τη λήξη

Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ

5.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου Το ΟΠΣ των ΚΕΠ, αποτελείται από οκτώ υποσυστήματα, τα οποία υλοποιούν τις βασικές λειτουργι-κές οντότητες του έργου. Συνοπτικά τα υποσυστήματα του ΟΠΣ είναι τα ακόλουθα:

Υποσύστημα 1: Οι βασικές λειτουργίες του είναι η συγκέντρωση, η κωδικοποίηση, η ψηφιοποί-ηση και η επεξεργασία του συνόλου της δημόσιας και διοικητικής πληροφορίας που σχετιζεται με την παροχή υπηρεσιών σε Πολίτες και Επιχειρήσεις, καθώς επίσης και ο σχεδιασμός και υλο-ποίηση βάσης δεδομένων διοικητικών πληροφοριών και εντύπων.

Υποσύστημα 2: Οι βασικές λειτουργίες του αφορούν την ανάπτυξη διαδικτυακής πύλης για την παροχή διοικητικής πληροφόρησης προς τους πολίτες και τις επιχειρήσεις και την εκτέλεση η-λεκτρονικών συναλλαγών μεταξύ πολιτών/επιχειρήσεων και της Δημόσιας Διοίκησης ή και μετα-ξύ υπηρεσιών της Δημόσιας Διοίκησης.

Υποσύστημα 3: Υποστηρίζει την παροχή πληροφοριών και την υποβολής αιτήσεων ηλεκτρονι-κών συναλλαγών μέσω τηλεφωνικού κέντρου (call center).

Υποσύστημα 4: Υποστηρίζει την παροχή υπηρεσιών και πληροφοριών μέσω των ΚΕΠ, με την α-νάπτυξη συστήματος διαχείρισης της λειτουργίας των ΚΕΠ.



207

Υποσύστημα 5: Αφορά την ανάπτυξη και υποστήριξη Ιδεατού Ιδιωτικού Δικτύου (Virtual Private Network – VPN) για τη διασύνδεση όλων των ΚΕΠ που βρίσκονται εκτός του ΣΥΖΕΥΞΙΣ.

Υποσύστημα 6: Έλεγχος – Διαχείριση – Λήψη Αποφάσεων. Περιλαμβάνει την ανάπτυξη υποσυ-στηματος παρακολούθησης και ελέγχου των επιδόσεων του ΟΠΣ και των εμπλεκομένων στην παροχή υπηρεσιών φορέων (π.χ. ΚΕΠ, Call Center, Δημόσιες Υπηρεσίες).

Υποσύστημα 7: Παροχή υπηρεσιών εκπαίδευσης. Υποστηρίζει την παροχή υπηρεσιών εκπαίδευ-σης και υποστήριξης για τη λειτουργία του ΟΠΣ.

Υποσύστημα 8: Υπηρεσίες υποστήριξης Help Desk. Αφορά την οργάνωση και λειτουργία Help Desk για την υποστήριξη των χρηστών.

Η λογική αρχιτεκτονική του ΟΠΣ, περιλαμβανομένης της δικτυακής υποδομής φαίνεται στο Σχήμα 36. Το κύριο κέντρο λειτουργίας (main site) βρίσκεται στο Κορωπί Αττικής, στις εγκαταστάσεις της εταιρείας HOL, ενώ το εναλλακτικό κέντρο λειτουργίας (failover site) βρίσκεται στις εγκαταστάσεις του αναδόχου (Newsphone) στην Καλλιθέα Αττικής (Λεωφόρος Θησέως). Το εναλλακτικό κέντρο περιλαμβάνει όλες τις κατηγορίες εξυπηρετητών σε μικρότερη όμως κλίμακα.

Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)

Κάθε κατηγορία από εξυπηρετητές (web servers, application servers, database servers, LDAP servers, authentication servers) υλοποιείται σε διάταξη υψηλής διαθεσιμότητας από τουλάχιστον δύο servers, ώστε να διασφαλίζεται η αδιάλειπτη λειτουργία του συστήματος.



208

Το κεντρικό αποθετήριο πληροφοριών (data repository) διατηρεί το σύνολο της διοικητικής πληρο-φορίας που δημοσιεύεται στο portal και το σύνολο των συναλλαγών των πολιτών/ επιχειρήσεων με τα ΚΕΠ, το portal και το call center. Η διαχείριση του αποθετηρίου πραγματοποιείται μέσω των da-tabase servers. Η λήψη των αντιγράφων ασφαλείας πραγματοποιείται μέσω μηχανισμού αντιγραφής δεδομένων (data replication) ώστε να διατηρούνται τα δεδομένα σε πραγματικό χρόνο και στο κέντρο εναλλακτικής λειτουργίας, ώστε να είναι σε θέση να αναλάβει αυτόματα τη λειτουργία του συ-στήματος σε περίπτωση διακοπής λειτουργίας της βασικής εγκατάστασης.

Η διοικητική πληροφορία παράγεται και επικαιροποιείται από το υποσύστημα διαχείρισης περιεχομε-νου (Content Management System - CMS) όπου υλοποιούνται οι ροές εργασίας για την έγκριση και δημοσίευσή της. Στις ροές αυτές συμμετέχουν τα μέλη της ομάδας συγκέντρωσης και επικαιροποίη-σης περιεχομένου. Η εγκεκριμένη πληροφορία δημοσιεύεται στο portal και είναι διαθέσιμη στους πο-λίτες, τους εργαζόμενους στα ΚΕΠ, τους εργαζόμενους στο call center και, φυσικά, στους διαχειρι-στές του Υπουργείου. Αντίστοιχα, οι πληροφορίες που αφορούν στη διεκπεραίωση αιτημάτων πολι-τών και προέρχονται από υποβολή αίτησης στο portal, στο call center ή στο ΚΕΠ, διαχειρίζονται από διαδικτυακή εφαρμογή που υλοποιείται στους application servers. Στην εφαρμογή αυτή έχουν πρό-σβαση, οι εργαζόμενοι στα ΚΕΠ, οι εργαζόμενοι στο call center και οι πολίτες, από διαφορετική διε-παφή (interface) για κάθε κατηγορία. Η εφαρμογή δίνει δικαιώματα αντίστοιχα με το ρόλο του χρή-στη και ενεργοποιεί της ενέργειες που επιτρέπονται σε αυτόν.

Τα προφίλ του συνόλου των χρηστών (εργαζομένων και πολιτών) καθώς και τα ηλεκτρονικά πιστο-ποιητικά της, αποθηκεύονται και διαχειρίζονται από τους LDAP servers. Οι servers αυτοί διασυνδεο-νται με τους αντίστοιχους LDAP servers του ΣΥΖΕΥΞΙΣ ώστε να είναι δυνατή η χρήση πιστοποιη-τικών που προέρχονται από το ΣΥΖΕΥΞΙΣ, ενώ βρίσκονται σε διάταξη υψηλής διαθεσιμότητας. Στην πράξη η διασύνδεση των LDAP server έχει πραγματοποιηθεί δοκιμαστικά μόνο στην εφαρμο-γή e-kep που αφορά της υπαλλήλους.

Οι υπηρεσίες ηλεκτρονικού ταχυδρομείου υλοποιούνται μέσω των email servers και σε συνεργασία με το μηχανισμό πιστοποίησης (στην παρούσα φάση χρησιμοποιείται συνδυασμός username/pass-word) παρέχουν ηλεκτρονικά γραμματοκιβώτια σε όλους της εργαζόμενους στα ΚΕΠ.

Η πιστοποίηση των χρηστών πραγματοποιείται μέσω του authentication server καλώντας της αντί-στοιχες υπηρεσίες καταλόγου. Εδώ υλοποιείται και η υπηρεσία single sign on, η μοναδική δηλαδή πι-στοποίηση του κάθε χρήστη ανεξάρτητα του υποσυστήματος στο οποίο ζητάει πρόσβαση. Η υπηρε-σία single sign on αφορά μόνο την πρόσβαση σε επίπεδο portal.

Το σύστημα διαχείρισης διοικητικής πληροφορίας (Management Information System – MIS) είναι ε-γκατεστημένο στο χώρο του ΥπΕς όπου βρίσκονται τα απαραίτητα συστήματα (MIS application ser-ver και MIS BD server). Εκεί αποθηκεύονται ομαδοποιημένες της οι πληροφορίες που αφορούν τις συναλλαγές των πολιτών και τα δεδομένα λειτουργίας του συστήματος (στατιστικά, δείκτες παρακο-λούθησης SLA κλπ).

Το ΟΠΣ διασυνδέεται με το ΣΥΖΕΥΞΙΣ (πέρα από τη διασύνδεση των αντίστοιχων LDAP servers), ώστε να επιτρέπεται η διασύνδεση με άλλα ΟΠΣ του ευρύτερου δημόσιου τομέα. Η σύνδεση πρα-γματοποιείται μέσω γραμμής των 8 Mbit (θεωρητικά διπλής, στην πράξη μίας γραμμής).

Το περιβάλλον διασύνδεσης με άλλα πληροφοριακά συστήματα υλοποιείται – κατά κύριο λόγο – με τεχνολογία web services. Διακρίνονται δύο είδη υπηρεσιών: αυτές που δημοσιεύουν πληροφορίες του συστήματος (κυρίως διοικητική πληροφορία από το σύστημα ΕΡΜΗΣ) και αυτές που αλληλεπι-δρούν με άλλα ΟΠΣ με σκοπό, κυρίως την παραγωγή πιστοποιητικών και την παροχή υπηρεσίας ηλεκτρονικών πληρωμών. Με τη χρήση web services θα υλοποιηθεί μία ενιαία διεπαφή (interface) που θα επιτρέπει ηλεκτρονικές πληρωμές από κάθε μέσο επικοινωνίας του πολίτη. Το interface αυτό



209

διαφέρει ανάλογα με το ποιος το χρησιμοποιεί αλλά η μέθοδος επικοινωνίας είναι κοινή τόσο για το portal όσο και για τους εργαζόμενους στα ΚΕΠ και το call center. Στην παρούσα φάση, δεν έχει υλο-ποιηθεί η συγκεκριμένη διεπαφή ηλεκτρονικών πληρωμών.

5.5.3 Παρεχόμενες Υπηρεσίες

5.5.3.1 Επιγραμματική περιγραφή Ο βασικός σκοπός του έργου είναι η ανάπτυξη και λειτουργία των απαραίτητων υποδομών ΤΠΕ για την αυτοματοποίηση των παρεχόμενων υπηρεσιών των ΚΕΠ. Οι υπηρεσίες παρέχονται με το μοντέλο Application Service Provider (ASP) από τον ανάδοχο του έργου, βάσει συμφωνητικού παρο-χής συγκεκριμένου επιπέδου υπηρεσιών (Service Level Agreement – SLA). Οι κύριοι στόχοι του έρ-γου είναι:

Η υποστήριξη της λειτουργίας των ΚΕΠ για τη λήψη, διαχείριση και διεκπεραίωση αιτημάτων πολιτών.

Η παροχή πληροφοριών, υπηρεσιών και ηλεκτρονικών συναλλαγών διοικητικής φύσης σε πολίτες και επιχειρήσεις.

Η έγκυρη και έγκαιρη ενημέρωση της πολιτικής ηγεσίας για την ποιότητα και την αποτελεσματι-κότητα του μηχανισμού παροχής υπηρεσιών.

Το σύστημα παρέχει στους πολίτες την δυνατότητα χρήσης πολλαπλών καναλιών επικοινωνίας, της είναι το Διαδίκτυο (Internet), τηλεφωνικά μέσω call center και των ίδιων των ΚΕΠ.

Οι βασικές υπηρεσίες που παρέχει αφορούν την έκδοση διαφόρων πιστοποιητικών/εγγράφων από ένα πλήθος φορέων της δημόσιας διοίκησης. Συνολικά, τα ΚΕΠ διεκπεραιώνουν 1034 υπηρεσίες (διαδι-κασίες). Παρά το μεγάλο πλήθος, το μεγαλύτερο ποσοστό του συστήματος καλύπτεται από περίπου 30 υπηρεσίες.

Ηλεκτρονικά υποβάλλονται μόνο οι αιτήσεις για τις οποίες μπορούν τα ΚΕΠ να αναζητήσουν της α-παιτούμενες πληροφορίες υπηρεσιακά και δεν απαιτείται υπογραφή του πολίτη (περίπου 90 αιτήσεις). Αυτό οφείλεται στο γεγονός ότι το σύστημα στην παρούσα φάση δεν υποστηρίζει ψηφιακή υπογραφή για της πολίτες ώστε να μπορούν να υποβάλουν ηλεκτρονικά υπογεγραμμένα έντυπα-αιτήσεις. Προϋπόθεση για την ηλεκτρονική υποβολή και διεκπεραίωση όλων των αιτήσεων είναι η πιστοποίη-ση και αυθεντικοποίηση των χρηστών/πολιτών (μέσω ψηφιακού πιστοποιητικού και ηλεκτρονικής υ-πογραφής).

Σε πιλοτική λειτουργία, βρίσκεται και η υπηρεσία ηλεκτρονικών πληρωμών με μετρητά σε 23 ΚΕΠ σε όλη την Ελλάδα, σε συνεργασία με την Τράπεζα Πειραιώς. Οι πληρωμές που υποστηρίζονται στην πιλοτική λειτουργία είναι:

Πληρωμές λογαριασμών ΔΕΗ, ΟΤΕ

Καταβολή ασφαλιστικών εισφορών της ΙΚΑ και ΟΑΕΕ-ΤΕΒΕ

Πληρωμή φορολογίας εισοδήματος

Πληρωμή ΦΠΑ

Πληρωμή τελών τηλεφωνίας στις εταιρείες σταθερής και κινητής τηλεφωνίας

Ανανέωση χρόνου ομιλίας καρτοκινητού

Εξόφληση πιστωτικών καρτών όλων των Ελληνικών Τραπεζών



210

Εξόφληση δανείων της Τράπεζας Πειραιώς.

Αν και υπήρχε πρόβλεψη για μαζικότερη εγκατάσταση μηχανημάτων ηλεκτρονικών πληρωμών στο δίκτυο των ΚΕΠ σε επόμενη φάση, δεν έχει υλοποιηθεί μέχρι στιγμής.

5.5.3.2 Πηγές/αποδέκτες δεδομένων Πηγές δεδομένων είναι όλοι οι φορείς της δημόσιας διοίκησης με τους οποίους συνεργάζεται. Ενδει-κτικά αναφέρονται:

1. Υπουργεία και Διευθύνσεις Υπουργείων

2. Νομαρχιακές Αυτοδιοικήσεις

3. Δήμοι και Κοινότητες

4. ΑΕΙ και ΑΤΕΙ

5. Ασφαλιστικά Ταμεία (ΙΚΑ, ΟΑΕΕ, ΟΓΑ, ΝΑΤ κλπ.)

6. Οργανισμός Ελληνικών Αγροτικών Ασφαλίσεων (ΕΛΓΑ)

7. Δημόσιες Οικονομικές Υπηρεσίες, ΓΓΠΣ/ΥπΟικΟ

8. Αστυνομικά Τμήματα, Λιμενικές Αρχές

9. Στρατολογικά Γραφεία ΥπΕθΑ

10. Δικαστικές Αρχές (Εφετεία, Πρωτοδικεία, Ειρηνοδικεία κλπ.)

11. Προξενικές Αρχές

12. Νοσηλευτικά Ιδρύματα

13. ΔΕΗ, ΕΥΔΑΠ

14. Επιμελητήρια.

Το σύστημα στηρίζεται κατά βάση στην αποστολή στοιχείων μέσα από φόρμες που βασίζονται στο πρότυπο pdf. Οι αιτήσεις των πολιτών συμπληρώνονται, πρωτοκολλούνται από το σύστημα και τα πεδία της pdf φόρμας μεταφέρονται μέσω επικοινωνίας ftf στην κεντρική βάση δεδομένων όπου και αποθηκεύονται.

5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/ΟΠΣ Εφόσον οι υπηρεσίες που παρέχουν τα ΚΕΠ στους πολίτες αφορούν πλήθος φορέων της δημόσιας δι-οίκησης, είναι αναμενόμενο ότι το ΟΠΣ των ΚΕΠ θα πρέπει να διασυνδέεται με διάφορα άλλα ΟΠΣ των φορέων αυτών. Της, στην παρούσα φάση από το σύνολο των εξυπηρετούμενων υπηρεσιών των ΚΕΠ, περίπου στο 90% η διακίνηση της πληροφορίας μεταξύ των ΚΕΠ και των συστημάτων των δη-μοσίων φορέων δεν γίνεται ηλεκτρονικά αλλά με συμβατική αλληλογραφία, φαξ, courier, email κλπ.

5.5.4.1 Eπιγραμματική περιγραφή Οι διασυνδέσεις με εξωτερικά συστήματα (από δημόσιους φορείς ή οποιαδήποτε άλλη οντότητα) υ-ποστηρίζονται από το «Υποσύστημα Διασύνδεσης με Ηλεκτρονικές Υπηρεσίες». Η διασύνδεση με άλλα πληροφοριακά συστήματα, τόσο σε επίπεδο πληροφόρησης όσο και σε επίπεδο διεκπεραίωσης, υλοποιείται με την τεχνολογία web services έτσι ώστε να επιτρέπει την επαναχρησιμοποίηση υποδο-



211

μών ανοικτής αρχιτεκτονικής. Για αυτό είναι επεκτάσιμη για μελλοντικές διασυνδέσεις με άλλα συ-στηματα, όποτε υπάρχει δυνατότητα και από τα αντίστοιχα άλλα συστήματα.

Στο πλαίσιο του έργου που ανέλαβε ο ανάδοχος, έχουν ήδη υλοποιηθεί και βρίσκονται σε παραγωγι-κή λειτουργία οι ακόλουθες διασυνδέσεις:

1. ΑΥΤΟΤΕΛΕΣ ΤΜΗΜΑ ΠΟΙΝΙΚΟΥ ΜΗΤΡΩΟΥ

1.1. Χορήγηση Αντιγράφου Ποινικού Μητρώου

2. ΕΙΔΙΚΟ ΛΗΞΙΑΡΧΕΙΟ

2.1. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Γέννησης

2.2. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Γάμου

2.3. Χορήγηση Αντιγράφου Ληξιαρχικής Πράξης Θανάτου

3. ΣΤΡΑΤΟΛΟΓΙΑ

3.1. Έκδοση Πιστοποιητικού Στρατολογικής Κατάστασης

4. ΕΠΙΜΕΛΗΤΗΡΙΑ

4.1. Αρνητική βεβαίωση έναρξης

4.2. Βεβαίωση ελέγχου καταστατικού

4.3. Βεβαίωση θεώρησης καταστατικού

4.4. Βεβαίωση ταμειακής ενημερότητας

4.5. Πιστοποιητικό γενικού μητρώου

4.6. Πιστοποιητικό ειδικού μητρώου αντιπροσώπων

4.7. Πιστοποιητικό ειδικού μητρώου αργυροχρυσοχόων

4.8. Πιστοποιητικό ειδικού μητρώου ασφαλιστών

4.9. Πιστοποιητικό ειδικού μητρώου εξαγωγέων

4.10. Πιστοποιητικό ειδικού μητρώου μεσιτών αστικών συμβάσεων

4.11. Πιστοποιητικό ιστορικού μέλους

5. ΕΛΓΑ

5.1. Πιστοποίηση στοιχείων παραγωγού

5.2. Χορήγηση βεβαίωσης προϋπηρεσίας για εποχιακούς γεωπόνους/ κτηνιάτρους

6. ΝΑΤ

6.1. Χορήγηση ενημερωτικού σημειώματος ποσού μηνιαίας κύριας/ επικουρικής σύνταξης για της τρεις τελευταίους μήνες, της συνταξιούχους του Ναυτικού Απομαχικού Ταμείου ΝΑΤ

7. ΙΚΑ

7.1. Έκδοση βεβαίωσης περί μη ασφάλισης ΙΚΑ

7.2. Έκδοση βεβαίωσης περί μη συνταξιοδότησης από το ΙΚΑ

7.3. Έγγραφή – Πιστοποίηση Εργοδότη για χρήση Ηλεκτρονικών Υπηρεσιών



212

8. Ανταλλαγή περιεχομένου με site ΑΜΕΑ

8.1. Χορήγηση βεβαίωσης αναπηρίας

8.2. Βεβαίωση χορήγησης οικονομικής ενίσχυσης ανασφάλιστων τετραπληγικών – παραπληγικών και ακρωτηριασμένων

8.3. Βεβαίωση χορήγησης οικονομικής ενίσχυσης τετραπληγικών – παραπληγικών ασφαλισμένων του Δημοσίου

8.4. Βεβαίωση χορήγησης οικονομικής ενίσχυσης τυφλότητας

8.5. Βεβαίωση χορήγησης οικονομικής ενίσχυσης σε σπαστικά άτομα

8.6. Βεβαίωση χορήγησης οικονομικής ενίσχυσης σε άτομα με βαριά αναπηρία

8.7. Βεβαίωση χορήγησης οικονομικής ενίσχυσης Βαριά Νοητικά Καθυστερημένων

8.8. Βεβαίωση χορήγησης οικονομικής ενίσχυσης κωφαλαλίας

9. Έκδοση πιστοποιητικών ψηφιακών υπογραφών σε συνεργασία με το ΣΥΖΕΥΞΙΣ.

Επίσης, βρίσκονται σε φάση παραγωγικής ένταξης διασυνδέσεις και με φορείς όπως το Ειδικό Λη-ξιαρχείο, τα Δημοτολόγια και οι Εισαγγελίες.

5.5.4.2 Βαθμός διασύνδεσης Η επικοινωνία με τα αντίστοιχα συστήματα των φορέων αυτών υποστηρίζεται από τη χρήση διαφό-ρων τεχνολογιών όπως η σύνδεση μέσω SSL από το ΚΕΠ μέχρι το ΟΠΣ, επικοινωνία μέσω VPN με-ταξύ του ΟΠΣ και του διασυνδεδεμένου συστήματος, χρήση συμφωνημένου XML schema μέσω των web services κτλ. Για την παραπάνω επικοινωνία, υλοποιούνται δύο διακριτοί τύποι διασύνδεσης:

On-line παραγωγή πιστοποιητικών. Το ΟΠΣ καλεί το αντίστοιχο web service του εξωτερικού συ-στηματος και αποστέλλει ένα XML request. Με τη λήψη, το εξωτερικό σύστημα παράγει επί το-που το αιτούμενο πιστοποιητικό και το αποστέλλει μέσω της XML reply. Το ΟΠΣ των ΚΕΠ το παραλαμβάνει, το πρωτοκολλεί και το σχετίζει με την κατάλληλη υπόθεση, την οποία και προω-θεί στο επόμενο στάδιο της ροής εργασίας. Το πιστοποιητικό εμφανίζεται στην οθόνη του εργα-ζόμενου στο ΚΕΠ, εκτυπώνεται, σφραγίζεται και παραδίδεται στον πολίτη. Κατά τη διάρκεια της έκδοσης, τα δύο συστήματα βρίσκονται σε σταθερή επικοινωνία, δεσμεύοντας πόρους των αντί-στοιχους application servers ενώ το τελικό πιστοποιητικό ΔΕΝ αποθηκεύεται στο σύστημα των ΚΕΠ. Με αυτό το μοντέλο έχει υλοποιηθεί η διασύνδεση με το ΝΑΤ και τον ΕΛΓΑ.

Off-line παραγωγή πιστοποιητικών. Το εξωτερικό σύστημα δέχεται το αίτημα σε προγραμματι-σμένο χρόνο. Σε επόμενο χρόνο παράγει το αιτούμενο πιστοποιητικό και το αποστέλλει. Το σύστημα των ΚΕΠ το παραλαμβάνει, το πρωτοκολλεί και το σχετίζει με την κατάλληλη υπόθεση, την οποία και προωθεί στο επόμενο στάδιο της ροής εργασίας. Ο χρήστης που χειρίζεται την υ-πόθεση ειδοποιείται ότι υπάρχει νέο εισερχόμενο έγγραφο στο φάκελο, οπότε και εμφανίζει το αποθηκευμένο πιστοποιητικό στην οθόνη του, το εκτυπώνει, το σφραγίζει και ειδοποιεί τον πολί-τη. Κατά τη διάρκεια της έκδοσης, τα δύο συστήματα δεν βρίσκονται σε σταθερή επικοινωνία, δεν δεσμεύουν πόρους της αντίστοιχους application servers και το τελικό πιστοποιητικό απόθη-κεύεται στο σύστημα των ΚΕΠ. Με αυτό το μοντέλο έχει υλοποιηθεί η διασύνδεση με όλα τα υπόλοιπα συστήματα της δημόσιας διοίκησης.

Παραδείγματα άλλων διασυνδέσεων που θα μπορούσαν να υλοποιηθούν (με βάση τη μελέτη του Αναδόχου) είναι:



213

10. ΓΓΠΣ, ΥΠΟΥΡΓΕΙΟ ΟΙΚΟΝΟΜΙΚΩΝ (TAXISnet)

10.1. Φορολογική Ενημερότητα

10.2. Εκκαθαριστικό φόρου εισοδήματος η ΚΒΣ ή Ε9

10.3. Τελωνειακές Διαδικασίες «ISIS net»

10.4. Πιστοποιητικά Συνταξιούχων Δημοσίου, κλπ

11. ΥΠΟΥΡΓΕΙΟ ΑΓΡΟΤΙΚΗΣ ΑΝΑΠΤΥΞΗΣ

11.1. ΟΠΕΚΕΠΕ

11.2. Επιδοτήσεις

11.3. ΟΓΑ (Συντάξεις – Παροχές), κλπ

12. ΥΠΟΥΡΓΕΙΟ ΜΕΤΑΦΟΡΩΝ

12.1. Μεταβιβάσεις ΙΧ

13. ΥΠΟΥΡΓΕΙΟ ΑΠΑΣΧΟΛΗΣΗΣ και ΚΟΙΝΩΝΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ

5.5.4.3 Διασυνδέσεις με άλλα συστήματα Για την υλοποίηση ηλεκτρονικών πληρωμών έχει προβλεφθεί διασύνδεση μέσω της Τράπεζας Πειραι-ώς. Με τη χρήση web services θα υλοποιηθεί ένα ενιαίο Interface που θα επιτρέπει ηλεκτρονικές πληρωμές από κάθε μέσο επικοινωνίας. Το Interface θα διαφέρει ανάλογα με το ποιος το χρησιμοποι-εί αλλά η μέθοδος επικοινωνίας είναι κοινή τόσο για το portal όσο και για της εργαζομένους στα ΚΕΠ και το call center.

Όπως αναφέρθηκε, προϋπόθεση για την ηλεκτρονική διεκπεραίωση όλων των αιτήσεων είναι η υπο-στήριξη ψηφιακών πιστοποιητικών για της πολίτες. Για αυτό το έχει προβλεφθεί στο ΟΠΣ η λει-τουργία LDAP servers, στους οποίους θα βρίσκονται αποθηκευμένα τα ψηφιακά πιστοποιητικά. Οι LDAP servers διασυνδέονται με τους LDAP servers του ΣΥΖΕΥΞΙΣ, έτσι ώστε να γίνονται δεκτά και πιστοποιητικά που προέρχονται από το ΣΥΖΕΥΞΙΣ. Επίσης, προβλέπεται διασύνδεση με τους αντί-στοιχους LDAP servers της Εθνικής Δικτυακής Πύλης ΕΡΜΗΣ στο πλαίσιο της γενικότερης διαλει-τουργικότητας μεταξύ των δύο συστημάτων, όταν το δεύτερο θα βρίσκεται σε λειτουργία.

5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου Για την ασφάλεια του ΟΠΣ έχει διενεργηθεί μελέτη Ασφάλειας και βρίσκεται σε εφαρμογή Πολιτική Ασφάλειας του ΟΠΣ. Τα βασικά μέτρα ασφάλειας που προβλέπονται είναι γενικά τα εξής:

Για την διασφάλιση του απορρήτου και της ακεραιότητας της επικοινωνίας μέσω διαδικτύου, χρη-σιμοποιείται το πρωτόκολλο HTTPS, και ποιο συγκεκριμένα γίνεται εφαρμογή SSL έκδοσης 3, με κλειδί κρυπτογράφησης 128 bit.

Για τη διασφάλιση της διαθεσιμότητας των συστημάτων έχει προβλεφθεί η χρήση (τουλάχιστον) διπλών συστημάτων για ορισμένες κατηγορίες εξυπηρετητών. Πρακτικά δεν γίνεται διαχωρισμός υπηρεσιών ανάλογα με την κρισιμότητά τους αλλά αυτές προσφέρονται από όλα τα ομοειδή συστήματα. Δηλαδή σε περίπτωση που εμφανιστεί πρόβλημα το οποίο επηρεάζει τη λειτουργία του συστήματος, τότε θα τεθούν οι υπηρεσίες εκτός λειτουργίας.

Για την αυθεντικοποίηση των εξυπηρετητών (server authentication) χρησιμοποιούνται ψηφιακά πιστοποιητικά (τύπου X.509) με μήκος κλειδιού 1024 bit.



214

Για την αυθεντικοποίηση των χρηστών (client authentication) χρησιμοποιούνται κωδικοί πρόσβα-σης χρηστών (username/password). Με την χρήση των LDAP servers, τόσο του ΟΠΣ όσο και άλ-λων συστημάτων, επιτρέπεται η αναβάθμιση της αυθεντικοποίησης των χρηστών μέσω ψηφια-κών πιστοποιητικών.

Για την ανίχνευση των προβλημάτων ασφάλειας γίνεται καταγραφή όλων των ενεργειών σε επί-πεδο εφαρμογής (logging and auditing), έτσι ώστε να είναι δυνατός ο καταλογισμός ενεργειών και η συσχέτιση με της χρήστες των εφαρμογών. Η πρόσβαση στα αρχεία καταγραφής (logs) γί-νεται από εξουσιοδοτημένα άτομα, με δυνατότητα αναζητήσεων (filtering).

Η προστασία της βάσης δεδομένων είναι ιδιαίτερα σημαντική, εφόσον φιλοξενεί το κεντρικό αποθε-τηριο δεδομένων του συστήματος. Τα κυριότερα μέτρα για την ασφάλεια της βάσης δεδομένων είναι:

Δυνατότητα ενεργοποίησης καταγραφής (logging) σε επίπεδο βάσης δεδομένων. Τα αρχεία κατα-γραφής (logs) μπορούν να διατηρούνται σε αρχείο του λειτουργικού συστήματος, αντί του προ-καθορισμένου αρχείου (δηλαδή του system tablespace της βάσης δεδομένων), επιτρέποντας έτσι την πρόσβαση μόνο σε εξουσιοδοτημένα πρόσωπα. Με βάση τα στοιχεία που συλλέχθησαν, λόγω αδυναμίας του αναδόχου στην επεξεργασία των αρχείων καταγραφής, δεν γίνεται πλήρης αξιοποίηση για ελέγχους ασφάλειας.

H online σύνδεση των εφαρμογών με τη βάση δεδομένων πραγματοποιείται αδιαφανώς για της χρήστες μέσω του συστήματος single sign on.

Εφαρμογές άλλων φορέων δεν συνδέονται απευθείας στη βάση αλλά στη καλύτερη περίπτωση στον application server.

Κρυπτογράφηση ευαίσθητων δεδομένων. Υπάρχει δυνατότητα για επιλεκτική κρυπτογράφηση ευαίσθητων δεδομένων όταν αυτά αποθηκεύονται στη βάση, με τη χρήση αλγορίθμου 3-DES (με μήκος κλειδιού 168-bit), η οποία της δεν έχει ενεργοποιηθεί.

Προστασία από επιθέσεις SQL Injection. Για την αποφυγή των παραπάνω κινδύνων χρησιμοποι-ούνται οι γνωστές τεχνικές (ενδεικτικά αναφέρονται filter-out single quote, double quote, slash, back slash, semi colon, extended character της NULL, carry return, new line, για αριθμητικές τι-μές μετατροπή σε integer ή χρήση του ISNUMERIC, κλπ).

Άλλα μέτρα ασφάλειας τα οποία εφαρμόζονται είναι:

Προστασία από επιθέσεις code injection και cross-site scripting. Στην περίπτωση που ένα μέρος της πύλης, επιτρέπει σε μη εξουσιοδοτημένους χρήστες να στέλνουν στοιχεία τα οποία στη συνέ-χεια εμφανίζονται αυτόματα σε μια σελίδα (π.χ. σε ένα forum) τότε το σύστημα μπορεί να είναι ευάλωτο σε επιθέσεις code injection ή cross-site scripting. Για την αποφυγή των παραπάνω κιν-δύνων, γίνεται έλεγχος σe κρίσιμα πεδία της τα query strings, URLs, posted data, cookies).

Περιορίζεται το μήκος και το περιεχόμενο των posted data, πραγματοποιείται έλεγχος του HTTP Referrer, χρησιμοποιείται η μέθοδος HTTP POST αντί HTTP GET κλπ.

Αν και στην αρχική μελέτη υπήρχε πρόβλεψη για την απόκρυψη εμφάνισης των κανονικών μηνυ-μάτων σφαλμάτων (default error message ) για συστήματα που είναι προσπελάσιμα από διαδικτυακό περιβάλλον (web servers, database servers), μέχρι στιγμής δεν έχει υλοποιηθεί πλήρως.

Όσον αφορά την διασφάλιση της συνέχειας λειτουργίας του ΟΠΣ μετά από επιθέσεις ασφάλειας ή μετά φυσικές καταστροφές, έχει συνταχθεί και βρίσκεται σε ισχύ Σχέδιο Αποκατάστασης Κατάστρο-φών (DRP). Της, αν και το Σχέδιο Αποκατάστασης προβλέπει δοκιμές σωστής λειτουργίας, δεν έ-



215

χουν πραγματοποιηθεί μέχρι στιγμής δοκιμές και συνεπώς δεν έχουν ληφθεί τα απαραίτητα διορθωτι-κά μέτρα, ούτε το Σχέδιο έχει επικαιροποιηθεί κατάλληλα.

Όπως έχει ήδη αναφερθεί, με βάση το Σχέδιο Αποκατάστασης Καταστροφών έχει συσταθεί εναλλα-κτικό κέντρο λειτουργίας (Disaster Recovery site – failover site), το οποίο βρίσκεται στο Κορωπί Ατ-τικής. Το κέντρο εναλλακτικής λειτουργίας είναι τύπου hot site. Θεωρητικά έχει αντίστοιχες δυνατο-τητες με την κανονική εγκατάσταση, αν και η διαστασιοποίηση του συστήματος είναι μικρότερη. Για τα δεδομένα του ΟΠΣ υπάρχει συγχρονισμός σε πραγματικό χρόνο της βάσης δεδομένων του εναλ-λακτικού κέντρου με τη βάση δεδομένων του ΟΠΣ.

Η σύνδεση του ΟΠΣ με το ΣΥΖΕΥΞΙΣ πραγματοποιείται με απλή γραμμή των 8Mbit, αντί για πρα-γματικά διπλή γραμμή που προβλέπεται. Σε περίπτωση που δημιουργηθεί πρόβλημα στο δίκτυο του ΣΥΖΕΥΞΙΣ, τότε αυτό θα επηρεάσει τα διασυνδεδεμένα ΚΕΠ στη συγκεκριμένη γεωγραφική περιο-χή όπου παρουσιάστηκε το πρόβλημα στο δίκτυο ΣΥΖΕΥΞΙΣ.

Τέλος, επειδή η διασύνδεση με τα περισσότερα διασυνδεδεμένα συστήματα είναι βαθμού off-line, οι περισσότερες υπηρεσίες μπορούν να πραγματοποιηθούν σε περίπτωση ανάγκης και χωρίς τη χρήση του ΟΠΣ, με της αντίστοιχες φυσικά επιπτώσεις της χρόνους περαίωσης των εργασιών.

5.5.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής Η πληροφοριακή υποδομή του ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών υποστηρίζει πολλές από τις υπηρεσίες οι οποίες περιλαμβάνονται στις της 20 βασικές υπηρεσίες της Δημόσιας Διοίκησης. Εν-δεικτικά, αναφέρονται οι παρακάτω υπηρεσίες οι οποίες υποστηρίζονται από το ΟΠΣ των ΚΕΠ και οι οποίες περιλαμβάνονται της βασικές υπηρεσίες της Δημόσιας Διοίκησης:

Υπηρεσίες της Πολίτες

Αιτήσεις και παραλαβή διαφόρων πιστοποιητικών (γέννησης, γάμου κτλ)

Φόρος εισοδήματος (βεβαιώσεις φορολογικής ενημερότητας κτλ),

Εισφορές κοινωνικής ασφάλισης (βεβαιώσεις ενημερότητας κτλ)

Υπηρεσίες της Επιχειρήσεις

Εισφορές κοινωνικής ασφάλισης για εργαζόμενους (αιτήσεις και παραλαβή)

Φόρος επιχειρήσεων (δήλωση και ειδοποίηση εκκαθάρισης)

ΦΠΑ (δήλωση και ειδοποίηση εκκαθάρισης)

Επιπλέον, για την παροχή των υπηρεσιών το ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών χρησιμοποι-εί διάφορα δίκτυα της το δίκτυο ΑΡΙΑΔΝΗ ΙΙ, διασυνδέσεις VPN αλλά και διασυνδέεται με της υπο-δομές της είναι το ΣΥΖΕΥΞΙΣ και το δίκτυο ΕΡΜΗΣ. Συνεπώς, το ΟΠΣ μπορεί να χαρακτηριστεί ως υποδομή της Δημόσιας Διοίκησης.

5.5.7 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής Για την αξιολόγηση του βαθμού κρισιμότητας του ΟΠΣ των ΚΕΠ, εφαρμόζονται τα κριτήρια κρισι-μότητας τα οποία έχουν επιλεγεί. Τα κριτήρια αυτά είναι τα ακόλουθα:

Αριθμός επηρεαζόμενων χρηστών: ο αριθμός των χρηστών που θα επηρεαστούν από την διακοπή ή μείωση της ποιότητας μιας υπηρεσίας.



216


Γεωγραφική Εμβέλεια: το γεωγραφικό εύρος της επίπτωσης.

Αλληλεξάρτηση: ο αριθμός των λοιπών τομέων/υποδομών που επηρεάζονται (φυσική, γεωγραφι-κή ή λογική εξάρτηση).

Ανάκαμψη: η ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με την διαθεσιμότητα εναλλακτικών υπηρεσιών και το κόστος και χρόνο αποκατάστασής της.

Αντίδραση της κοινής γνώμης: η επίδραση της απώλειας υπηρεσίας/αγαθού στην εμπιστοσύνη του κοινού και της εικόνας της κυβέρνησης σε εθνικό και διεθνές επίπεδο.

Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης: η επίδραση στη λειτουργία της δημόσι-ας διοίκησης και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής.


Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: οι επιπτώσεις της αποκάλυψης προσω-πικών ή εμπιστευτικών πληροφοριών, οι οποίες κυμαίνονται από ενόχληση, παραβίαση της νομο-θεσίας έως αποκάλυψη κυβερνητικών πληροφοριών εμπιστευτικής φύσης.

Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ: η εκτίμηση των επιπτώσεων στην άποψη του κοινού για τη χρήση και την εμπιστοσύνη σε τεχνολογίες πληροφορικής και επικοινωνιών και εν γένει, σε πληροφοριακές και επικοινωνιακές υποδομές.

Η ταξινόμηση των παραπάνω κριτηρίων περιγράφεται στον Πίνακας 31.

Κριτήρια

Επιπτώσεις από τη μη λειτουργία πληροφοριακής\δικτυακής υποδομής

Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Πολύ Χαμηλή Αριθμός επηρεαζόμενων χρηστών

>100,000 10,000-100,00 1,000-10,000 100-1,000 <100


> 100 εκ 10 – 100 εκ 1 – 10 εκ 100 χιλ – 1 εκ < 100 χιλ

Γεωγραφική εμβέλεια Διεθνής Εθνική Περιφερειακ

ή



Αλληλεξάρ-τηση

Καταλυτική ε-πίδραση σε υ-ποδομές/το-μείς

Σημαντική επίδραση σε υποδομές/-τομείς

Μέτρια επί-δραση σε υ-ποδομές/το-μείς

Μικρή επίδρα-ση σε υποδο-μές/τομείς

Επίδραση σε μία υποδομή/-τομέα

Ανάκαμψη (χρόνος, κό-στος)

Υψηλό κόστος σε πολλούς το-μείς, μακρύς χρόνος ανά-καμψης (μήνες – χρό-νια)

Υψηλό κό-στος, υψηλός απαιτουμε-νος χρόνος ανάκαμψης (βδομάδες – μήνες)

Μέσο κό-στος, σημα-ντικός χρό-νος ανάκαμ-ψης (μέρες – βδομάδες)

Χαμηλό κό, μικρός απαι-τούμενος χρό-νος ανάκαμ-ψης (ώρες – μέρες)

Αμελητέο κό-στος, μικρός απαιτούμενος χρόνος ανά-καμψης (ώρες)



217






Αρνητική δη-μοσιότητα ε-νός κυβερνητι-κού οργανι-σμού/φορέα


Σοβαρή παρε-μπόδιση ή δια-κοπή της ανά-πτυξης/εφαρ-μογής κυβερ-νητικών πολι-τικών

Υποβάθμιση της διαπρα-γματευτικής και συναλλα-κτικής δυνα-τητας της κυ-βέρνησης

Παρεμπόδιση της αποτελε-σματικής ανάπτυξης/εφαρμογής κυ-βερνητικών πολιτικών

Υπονόμευση σωστής διαχεί-ρισης ή λει-τουργίας ΔΥ





Σημαντικός τραυματισμός πολλών προσώπων


Μικροτραυμα-τισμός της προσώπου

Αποκάλυψη προσωπικών-/εμπιστευτικών δεδομένων

Αποκάλυψη απόρρητων κυβερνητικών δεδομένων


Παραβίαση νομοθεσίας και σοβαρή ενόχληση της προσώπου

Μικρή ενόχλη-ση πολλών προσώπων

Μικρή ενό-χληση ενός προσώπου

Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ


Αρνητικός επηρεασμός κοινωνικού συνόλου

Κλονισμός εμπιστοσύνης του κοινω-νικού συνό-λου

Απογοήτευση επιμέρους ομάδων του πληθυσμού

Απογοήτευση μεμονωμένων πολιτών

Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών

Εφαρμόζοντας τα παραπάνω κριτήρια στο ΟΠΣ των ΚΕΠ προκύπτουν τα ακόλουθα στοιχεία:

11. Αριθμός επηρεαζόμενων χρηστών. Με βάση τα ετήσια στατιστικά στοιχεία της χρήσης του συ-στηματος του έτους 2007, καθώς και τα μέχρι στιγμής στοιχεία από τη χρήση εντός του 2008, προκύπτει ότι ο μηνιαίος μέσος όρος χρηστών των υπηρεσιών του ΟΠΣ ανέρχεται σε 180.000 χρήστες περίπου, ενώ σε ετήσια βάση ο αριθμός ανέρχεται σε 2.160.000 χρήστες περίπου. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση τον αριθμό των χρηστών είναι Πολύ Υψηλή.

12. Οικονομική Επίπτωση. Το ΟΠΣ περιλαμβάνει σε πιλοτική εφαρμογή υπηρεσία πληρωμών με-σω αυτόματων μηχανών. Επειδή η υπηρεσία βρίσκεται στην παρούσα φάση σε πιλοτική μορφή, εκτιμάται ότι η κρισιμότητα του ΟΠΣ ως της την άμεση οικονομική επίπτωση είναι Χαμηλή (από 100.000 μέχρι 1.000.000 €).

13. Γεωγραφική Εμβέλεια. Το ΟΠΣ παρέχει υπηρεσίες σε εθνικό επίπεδο. Συνεπώς η κρισιμότητα του ΟΠΣ με βάση τη γεωγραφική εμβέλεια χαρακτηρίζεται ως Υψηλή.

14. Αλληλεξάρτηση. Το ΟΠΣ των ΚΕΠ εξαρτάται λογικά από διάφορα άλλα ΟΠΣ δημοσίων φορέων με τα οποία διασυνδέεται, αλλά και από δίκτυα της το ΣΥΖΕΥΞΙΣ, το ΑΡΙΑΔΝΗ ΙΙ και ο ΕΡΜΗΣ. Η παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, εκτιμάται ότι θα είχε μέτρια επίδραση σε της υποδομές (π.χ επίπτωση στην αξιοπιστία των διασυνδεδεμένων



218

LDAP servers του ΣΥΖΕΥΞΙΣ, ΕΡΜΗΣ κτλ). Συνεπώς η κρισιμότητα του ΟΠΣ με βάση το βαθμό αλληλοεξάρτησης χαρακτηρίζεται ως Μέτρια.

15. Ανάκαμψη. Εφόσον το ΟΠΣ λειτουργεί ως ένα συμπληρωματικό μέσο για την παροχή υπηρε-σιών από της δημόσιους φορείς και εφόσον υπάρχουν εναλλακτικοί δίαυλοι για την παροχή των υπηρεσιών (π.χ. φυσική παρουσία πολίτη στον αντίστοιχο φορέα), εκτιμάται ότι θα υπάρ-χουν σημαντικές επιπτώσεις μετά από παρατεταμένη μη διαθεσιμότητα. Συνεπώς, η κρισιμό-τητα του ΟΠΣ με βάση το βαθμό κρισιμότητας των υπηρεσιών του χαρακτηρίζεται ως Χαμηλή.

16. Αντίδραση της κοινής γνώμης. Με δεδομένο το εύρος του ΟΠΣ και τον αριθμό των χρηστών, εκτιμάται ότι πιθανή παραβίαση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ θα επηρέαζε την κυβερνητική αξιοπιστία σε εθνικό επίπεδο. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το βαθμό εμπιστοσύνης της κοινής γνώμης χαρακτηρίζεται ως Μέτρια.

17. Εφαρμογή πολιτικής και λειτουργία δημόσιας διοίκησης. Η επίδραση στη λειτουργία κυβερνητι-κών φορέων και κατ’ επέκταση στην εφαρμογή της κυβερνητικής πολιτικής από την παραβία-ση κάποιας συνιστώσας της ασφάλειας του ΟΠΣ, δεν εκτιμάται ως ιδιαίτερα σημαντική. Συ-νεπώς, η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Χαμηλή.

18. Προσωπική ασφάλεια. Δεν προκύπτει κάποια συσχέτιση με την προσωπική ασφάλεια των πολι-τών και συνεπώς η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Πολύ Χαμηλή.

19. Αποκάλυψη προσωπικών ή εμπιστευτικών πληροφοριών: Σε περίπτωση παραβίασης της εμπι-στευτικότητας των διακινούμενων ή διατηρούμενων δεδομένων του ΟΠΣ, και με δεδομένο το μεγάλο πλήθος των χρηστών, εκτιμάται ότι θα μπορούσε να προκληθεί παραβίαση της σχετι-κής νομοθεσίας ή/και σοβαρή ενόχληση πολλών ατόμων. Μάλιστα, εφόσον οι περισσότερες διασυνδέσεις με άλλα συστήματα είναι τύπου off-line, τα πιστοποιητικά αποθηκεύονται στο α-ποθετήριο του συστήματος, αυξάνοντας με αυτό τον τρόπο της πιθανές επιπτώσεις. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το κριτήριο αυτό χαρακτηρίζεται ως Υψηλή.

20. Επιρροή στην άποψη του κοινού για της ΤΠΕ/ΠΕΥ. Με δεδομένο ότι το ΟΠΣ των ΚΕΠ απότε-λεί βασικό σημείο επαφής μεγάλου αριθμού πολιτών σε τεχνολογίες πληροφορικής και επικοι-νωνιών της δημόσιας διοίκησης, με σκοπό την ελαχιστοποίηση της γραφειοκρατίας μέσω της χρήσης νέων τεχνολογιών, εκτιμάται ότι πιθανά περιστατικά ασφάλειας θα οδηγούσαν σε αρ-νητικό επηρεασμό του κοινωνικού συνόλου. Συνεπώς, η κρισιμότητα του ΟΠΣ με βάση το κρι-τήριο αυτό χαρακτηρίζεται ως Υψηλή.

5.5.8 Συμπεράσματα Το ΟΠΣ των Κέντρων Εξυπηρέτησης Πολιτών αποτελεί ένα σύστημα το οποίο παρέχει ένα σημα-ντικό αριθμό υπηρεσιών της της πολίτες και της επιχειρήσεις. Υποστηρίζει την περαίωση της μεγά-λου πλήθους υπηρεσιών (πλέον των 1000) από μέσα από διάφορα κανάλια επικοινωνίας, της είναι η δικτυακή πύλη, η τηλεφωνική πύλη (call center) αλλά και η φυσική παρουσία των πολιτών στα ίδια τα ΚΕΠ. Το ΟΠΣ υποστηρίζει αρκετές υπηρεσίες της δημόσιας διοίκησης και αποτελεί υπο-δομή της μελέτη.

Όσον αφορά το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών, γενικά βρίσκονται σε χαμηλό επίπεδο εξέλιξης, Οι περισσότερες υπηρεσίες βρίσκονται στο στάδιο 2 (αλληλεπίδραση), λιγότερες βρίσκονται στο στάδιο 3 (αμφίδρομη αλληλεπίδραση), ενώ ακόμα ελάχιστες βρίσκονται στο στάδιο 4 (συναλλαγής) σε πιλοτική λειτουργία και μόνο με φυσική παρουσία στα ΚΕΠ. Η φυσική παρου-σία στα ΚΕΠ απαιτείται και για της περισσότερες από της προσφερόμενες υπηρεσίες. Παρόλα αυτά,



219

το ΟΠΣ διασυνδέεται σε μικρότερο ή μεγαλύτερο βαθμό με μεγάλο αριθμό άλλων ΟΠΣ δημόσιων φορέων, ενώ υποστηρίζεται και από της υποδομές της αυτή του ΣΥΖΕΥΞΙΣ.

Στην παρούσα φάση, το ΟΠΣ αξιολογείται ως υποδομή με Υψηλή κρισιμότητα, κυρίως λόγω του μεγάλου πλήθους των εξυπηρετούμενων χρηστών, της εθνικής του γεωγραφικής έκτασης, αλλά και του γεγονότος ότι επεξεργάζεται εμπιστευτικά/προσωπικά δεδομένα μεγάλου αριθμού χρηστών α-πό της διαφορετικές πηγές.

Όσον αφορά την κρισιμότητα της μη διαθεσιμότητας των υπηρεσιών που υποστηρίζει δεν αξιολο-γείται ως ιδιαίτερα σημαντική, κυρίως διότι το ΟΠΣ λειτουργεί ως υποστηρικτικό κανάλι επικοινω-νίας και συνεπώς, η μη διαθεσιμότητά του θα προκαλέσει καθυστέρηση και δυσκολίες στην παρο-χή υπηρεσιών αλλά όχι πλήρη διακοπή. Είναι προφανές ότι όσο αυξάνει το επίπεδο εξέλιξης των προσφερόμενων υπηρεσιών του ΟΠΣ, αλλά και ο βαθμός και ο τύπος διασύνδεσης με άλλα συστη-ματα, τόσο θα αυξάνει και η κρισιμότητα του ίδιου του συστήματος.



220

66 Προτεινόμενο Οργανωτικό Σχήμα και Σχέδιο Δράσης



221

6. Προτεινόμενο Οργανωτικό Σχήμα 6.1 Περιγραφή Στόχος του παρόντος κεφαλαίου είναι να προδιαγράψει ένα αποτελεσματικό οργανωτικό σχήμα, τόσο σε στρατηγικό, όσο και σε επιτελικό επίπεδο, το οποίο θα αποσκοπεί στην προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της Δημόσιας Διοίκησης.

Τα βασικά χαρακτηριστικά στα οποία στοχεύει το προτεινόμενο οργανωτικό σχήμα είναι τα ακό-λουθα:

Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες.

Αυτονομία, έτσι ώστε να μπορεί να εκτελεί γρήγορα και αποτελεσματικά το έργο του.

Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ.

Ανοικτότητα, έτσι ώστε να αποφεύγονται “στεγανά” και αποκλεισμοί και να διευκολύνεται ο α-νοικτός, διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται, εν τέλει, η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων φορέων και υπηρεσιών.

Υιοθετήθηκε η προσέγγιση “Critical Information and Communication Infrastructure Protection” (CICIP), γιατί η εστίαση της Ο.Ε. ήταν σε ΠΕΥ της ΔΔ και όχι σε θέματα που αφορούν εθνική ά-μυνα ή πολιτική προστασία. Εκτιμήθηκε ότι το προτεινόμενο σχήμα δεν θα ήταν σκόπιμο να υπα-χθεί σε υπάρχουσες δομές και υπηρεσίες με αρμοδιότητα επί θεμάτων εθνικής ασφάλειας και προ-στασίας διαβαθμισμένης πληροφορίας. Εκτιμήθηκε, επίσης, ότι το σχήμα δεν θα ήταν ευέλικτο αν υπαγόταν σε υπηρεσίες γενικότερης προστασίας των υποδομών από φυσικές ή άλλες καταστροφές (σύμφωνα με την προσέγγιση all hazards).

Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές άλλων ευρωπαϊκών χωρών (βλ. Ενότητα 3.4) και επικεντρώνεται κυρίως σε θέματα soft criticality των ΠΕΥ και ειδικότερα όσων αφορούν και σχετίζονται με τη ΔΔ.

Το πρώτο βήμα για το σχεδιασμό μίας αποδοτικής και αποτελεσματικής οργανωσιακής μονάδας (organizational unit) CICIP είναι η οργάνωσή του ως ενός μοντέλου “Τεσσάρων Πυλώνων CICIP”: (α) Πρόληψη και Προειδοποίηση (Prevention and Early Warning), (β) Ανίχνευση (Detection), (γ) Αντίδραση (Reaction), (δ) Διαχείριση Κρίσεων (Crisis Management) [Sut-07]. Πιο συγκεκριμένα, μια λειτουργική, αποτελεσματική και αποδοτική οργανωσιακή μονάδα CICIP (CICIP organisatio-nal unit) περιλαμβάνει, ιδανικά, τους εξής εταίρους [Sut-07]:

Μια Κυβερνητική Υπηρεσία (Governmental Agency): Παρέχει στρατηγικές κατευθύνσεις, ηγεί-ται της οργανωσιακής μονάδας (Head of the CICIP Unit) και εποπτεύει.

Ένα Κέντρο Ανάλυσης (Analysis Center): Διαθέτει διασυνδέσεις με την κοινότητα που σχετίζε-ται με την ανάλυση πληροφοριών (intelligence community).

Ένα Κέντρο Αριστείας (Technical Center of Expertise): Συχνά αποτελείται από μέλη του προ-σωπικού ενός εθνικού CSIRT.

6.1.1 Μορφές οργάνωσης Για τις σχεδιαστικές επιλογές του CICIP οργανωτικού σχήματος ελήφθησαν υπόψη οι εξής πηγές:

Προσεγγίσεις άλλων χωρών στο θέμα αυτό (βλ. Κεφάλαιο 2)



222

Προτάσεις του [Sut-07] (βλ. Κεφάλαιο 3.5.1)

Βέλτιστες Πρακτικές σε Οργάνωτικές δομές CSIRT από τον οργανισμό [ENISA-07].

Απόψεις και ιδέες των συμμετεχόντων στη διαβούλευση (βλ. Κεφάλαιο 7).

Καθώς το σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέργειες με πολ-λαπλούς φορείς της Δημόσιας Διοίκησης (και όχι μόνο), εξετάστηκαν οι παρακάτω εναλλακτικές δομικές μορφές του:

α) Σχήμα χωρίς αυστηρή ιεραρχική δομή, που προσομοιάζει με το ανεξάρτητο επιχειρηματικό μο-ντέλο (independent business model) για την οργάνωση ενός CSIRT (Computer Security Inci-dent Response Team). Το σχήμα αυτό θα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανι-σμό, με δικό του προσωπικό και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαι-ου). Ο οργανισμός δεν είναι αναγκαίο να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών στο ρόλο τους. Αντίθετα, πρέπει να διαθέτει διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα της αρμοδιότητάς τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτόνομο χαρακτήρα του σχήματος.

β) Δημιουργία νέας Γενικής Γραμματείας, με δυνατότητα άμεσης υπαγωγής στο Γραφείο του Πρωθυπουργού. Η πρακτική αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει και λειτουργεί με επιτυχία η Νέα Ζηλανδία (βλ. Κεφάλαιο 2). Η πρόταση αυτή επικεντρώνεται κυρίως στον επιτελικό χαρακτήρα του σχήματος.

γ) Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκη-σης (Σώμα Επιθεωρητών Δημόσιας Διοίκησης), η οποία θα αναφέρει τα αποτελέσματα των ερ-γασιών της στο Υπουργικό Συμβούλιο. Αντίστοιχης εμβέλειας σενάριο είναι, αντί της ενσωμά-τωσης στη Γενική Γραμματεία Επιθεωρητών, η δημιουργία ενός Σώματος για την προστασία κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετείται από την Αυστραλία, όπου έχει δημιουργηθεί η οργανωτική δομή με την ονομασία TISN (βλ. Κεφά-λαιο 2). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό χαρακτήρα του σχήματος.

δ) Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κά-ποια υφιστάμενη Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη της ορ-γανωτικής δομής στο:

• Υπουργείο Εσωτερικών (Γ. Γ. Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης).

• Υπουργείο Μεταφορών και Επικοινωνιών.

• Υπουργείο Οικονομικών (Γενική Γραμματεία Πληροφοριακών Συστημάτων).

Η πρακτική αυτή είναι η πιο συνηθισμένη διεθνώς. Παράδειγμα χώρας που ακολουθεί αυτή την προσέγγιση είναι η Γερμανία, όπου στο αντίστοιχο Υπουργείο Εσωτερικών της (BMI) υπάρχουν σχετικές δομές συνεργασίας, ενώ έχει ιδρυθεί και το BSI (βλ. Κεφάλαιο 2). Η πρόταση αυτή επι-κεντρώνεται κυρίως στον εκτελεστικό/διαχειριστικό χαρακτήρα του σχήματος.

Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτι-κού σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυ-τό, παρόλο που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών60, τελικά εκτιμήθηκε

60 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπη-ρεσία της ΔΔ και αυτές που παραπέμπουν σε ένα πιο “αυτόνομο” σχήμα. Στην πρώτη ομάδα ανήκουν, εν-



223

ότι δεν ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές. Έτσι, στο παραδοτέο γίνεται χρήση της συμβολικής ονομασίας “Φ”.

6.1.2 Οργανωτικό Σχήμα Ο ENISA προτείνει κατ’ ελάχιστον τους εξής ρόλους κατά την οργάνωση ενός CSIRT [ENISA-07]: Γενική Διεύθυνση, Λειτουργικές Τεχνικές Ομάδες (Διευθυντής, Τεχνικό και Ερευνητικό Προ-σωπικό), Εξωτερικούς Συμβούλους (προσλαμβάνονται όταν παραστεί ανάγκη), Γραμματεία, Λογι-στηήριο, Σύμβουλο Επικοινωνιών και Δημοσίων Σχέσεων και Νομικό Σύμβουλο.

Αντιλαμβάνεται κανείς ότι το οργανωτικό σχήμα CICIP θα πρέπει να είναι ευρύτερο από ένα CSI-RT [Sut-07]. Συγκεντρώνει, βεβαίως, την τεχνογνωσία που απαιτείται από ένα CSIRT, αλλά με έμ-φαση στην ευρύτερη έννοια της προστασίας κρίσιμών υποδομών. Επιπλέον, απαιτείται η στενή συνέργεια με φορείς της Δημόσιας Διοίκησης, ενώ το σχήμα αναλαμβάνει και επιπλέον ελεγκτικό-εποπτικό ρόλο, που διαφοροποιείται από το συμβουλευτικό ρόλο που έχει συνήθως ένα CSIRT.

Έχοντας υπόψη τις παραπάνω εμπειρίες, τις ελληνικές ιδιαιτερότητες, τη μορφολογία της ΔΔ, κα-θώς και τους σχετικούς λειτουργικούς και οικονομικούς περιορισμούς, προτείνεται το σχήμα που απεικονίζεται στο Σχήμα 37.

Με βάση την πρόταση, ο στρατηγικός, εποπτικός και διοικητικός ρόλος ανήκει στη Συντονιστική Ε-πιτροπή, η οποία ηγείται του όλου σχήματος. Ελεγκτικό-Εποπτικό ρόλο αναλαμβάνει η ομάδα Επο-πτείας, ενώ την τεχνογνωσία την παρέχει η ομάδα Εμπειρογνωμόνων-Συμβούλων, η οποία βρίσκεται σε στενή συνεργασία με ερευνητικούς φορείς, ενδεχομένως και με συγκεκριμένο Ερευνητικό Ινστι-τούτο που θα ιδρυθεί για αυτό το σκοπό. Το ρόλο του Κέντρου Αριστείας αναλαμβάνουν τρεις Ομά-δες Συλλογής Πληροφοριών, Ενημέρωσης και Αντιμετώπισης Περιστατικών. Κέντρο Ανάλυσης δεν προβλέπεται στην πρόταση, με την έννοια που διατυπώθηκε παραπάνω [Sut-07], αλλά μόνο ως δίαυ-λος επικοινωνίας (liaison) με φορείς εφαρμογής του νόμου (law enforcement agencies).

Το σχήμα υποστηρίζεται από το Γραφείο Δημοσίων Σχέσεων για την προβολή του έργου του και την επικοινωνία με τους συνεργαζόμενους φορείς. Σε περιπτώσεις κρίσεων, συγκροτείται Ομάδα Αντιμετώπισης Κρίσεων, η οποία έχει ιδιαίτερες αρμοδιότητες και ρόλο κατά την εκδήλωση περι-στατικών που υποδηλώνουν ενδεχόμενη κρίση. Το σχήμα περιλαμβάνει και αξιοποιεί συστηματικά μια Αγορά απόψεων και προτάσεων (Αgora), στην οποία συμμετέχουν εκπρόσωποι φορέων και εν-διαφερόμενων ή/και εμπλεκόμενων ομάδων (πχ. Μη Κυβερνητικών Οργανώσεων), που εκφράζουν απόψεις των οργάνων τους.

δεικτικά, οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα ανήκουν, επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδο-μών.



224

Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα

Οι διασυνδέσεις με άλλους φορείς απεικονίζονται στο Σχήμα 37 και αναλύονται, ανά ομάδα, στη συνέχεια. Σε αυτές τις διασυνδέσεις-επικοινωνίες η συμβολή του Γραφείου Δημοσίων Σχέσεων εκτι-μάται ότι θα έχει αποφασιστικό χαρακτήρα.



225

Σχήμα 38: Διασύνδεση με άλλους φορείς61

Το όνομα του νέου φορέα θα μπορούσε να αλιεύσει όρους από την εξής λίστα επιλογών (με βάση και την τελική του ένταξη - ή όχι - σε συγκεκριμένη λειτουργούσα δημόσια υπηρεσία):

Κέντρο ή Ινστιτούτο ή Οργανισμός (για να αναδείξει τη δομή του)

Εθνικό (για να αναδείξει την εμβέλειά του)

Εποπτικό ή Ελεγκτικό ή Συντονιστικό (για να αναδείξει τη στόχευσή του)

61 Οι τρεις ομάδες που σημειώνονται με μπλε χρώμα εκτιμάται ότι θάταν σκόπιμο να συμπτυχθούν σε μία, ει-δικά κατά την πρώτη φάση λειτουργίας του σχήματος, κυρίως για λόγους ευελιξίας και αποτελεσματικότη-τας. Αν και όταν, κατά την πορεία λειτουργίας του σχήματος, απαιτηθούν περισσότερο σύνθετες και αυτό-νομες λειτουργίες, τότε οι ομάδα αυτή μπορούν να κατανεμηθεί σε τρεις, όπως προβλέπει η πρόταση.



226

Προστασία ή Ασφάλεια (για να αναδείξει την κεντρική επιδίωξή του)

Πληροφοριακά και Επικοινωνιακά Συστήματα (για να αναδείξει το επιμέρους αντικείμενο της δράσης του)

Κρίσιμες Υποδομές της ΔΔ (για να αναδείξει το κεντρικό αντικείμενο της δράσης του)

6.2 Επιμέρους ομάδες Στη συνέχεια ακολουθεί περιγραφή κάθε ομάδας-ρόλου του οργανωτικού σχήματος. Ειδικότερα, α-ναλύονται ο ρόλος κάθε ομάδας, οι αρμοδιότητες, ο μορφότυπος των προσώπων που τη στελεχώ-νουν, η ιεραρχική θέση καθενός στο οργανωτικό σχήμα, καθώς και οι διασυνδέσεις με άλλες ομά-δες ή/και τρίτους.

6.2.1 Συντονιστική Επιτροπή

6.2.1.1 Στόχοι – ρόλος Στόχος της Συντονιστικής Επιτροπής είναι ο συνολικός συντονισμός του Οργανωτικού Σχήματος προστασίας κρίσιμων υποδομών της Δημόσιας Διοίκησης. Ο ρόλος της Συντονιστικής επιτροπής είναι κυρίως επιτελικός και αφορά στη λήψη αποφάσεων στρατηγικού χαρακτήρα, σχετικά με την οργάνωση και το συντονισμό του σχήματος.

6.2.1.2 Αρμοδιότητες Οι βασικές αρμοδιότητες της Συντονιστικής Επιτροπής είναι οι ακόλουθες:

I. Καθορίζει το πλαίσιο και τη στρατηγική για την προστασία των κρίσιμων υποδομών της Δημόσιας Διοίκησης. Στο πλαίσιο αυτό εγκρίνει, μετά από εισήγηση, θέματα εκτελεστικού χαρακτήρα όπως:

i) Εγκρίνει τα κριτήρια για τον καθορισμό των κρίσιμων πληροφοριακών και επικοινωνι-ακών υποδομών της Δημόσιας Διοίκησης.

ii) Εγκρίνει, σε υψηλό επίπεδο, τα μέτρα προστασίας των κρίσιμων υποδομών τα οποία πρέπει να υλοποιηθούν.

iii) Εγκρίνει την ταξινόμηση/καθορισμό προτεραιοτήτων των προς αντιμετώπιση πιθανών κινδύνων.

II. Αναλαμβάνει την οργάνωση και το συντονισμό του συνολικού σχήματος.

i) Συντονίζει τις δράσεις όλων των εμπλεκομένων φορέων.

ii) Αποφασίζει για την ενεργοποίηση φορέων/ ομάδων σε ειδικές περιπτώσεις (όπως για παράδειγμα για την ενεργοποίηση της ομάδας Διαχείρισης Κρίσεων).

III. Είναι υπεύθυνη για τον έλεγχο και την αναθεώρηση του στρατηγικού πλαισίου.

i) Ελέγχει και αναθεωρεί εφόσον κρίνεται σκόπιμο τον στρατηγικό σχεδιασμό.

6.2.1.3 Μορφότυπος μελών Η Συντονιστική Επιτροπή:

I. Αποτελείται από υψηλόβαθμα στελέχη της ΔΔ με εκτενή και σημαντική εμπειρία σε σχετι-κά ζητήματα.



227

II. Αποτελείται από μέλη που προέρχονται από ποικιλία οργανισμών και διαθέτουν ποικίλο ε-πιστημονικό υπόβαθρο (τεχνικό και διοικητικό).

6.2.1.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες I. Αποτελεί την κορυφή της ιεραρχίας του οργανωτικού σχήματος.

II. Λαμβάνει τεχνικές συμβουλές και αιτιολογημένες εισηγήσεις από την Ομάδα Συμβούλων - Εμπειρογνωμόνων.

III. Λαμβάνει πληροφόρηση και εισηγήσεις από όλες τις Ομάδες (συλλογής πληροφοριών, ε-νημέρωσης και πρόληψης, αντιμετώπισης περιστατικών και διερεύνησης περιστατικών).

IV. Δίνει εντολές και κατευθύνσεις σε όλες τις ομάδες.

V. Δίνει εντολές για την ενεργοποίηση ομάδων όπως η ομάδα διαχείρισης κρίσεων και διερεύ-νησης περιστατικών.

VI. Το έργο της υποστηρίζεται από νομικό σύμβουλο, γραμματεία και γραφείο δημοσίων σχέ-σεων.

6.2.1.5 Διασυνδέσεις με τρίτους φορείς Η Συντονιστική Επιτροπή διατηρεί:

I. Συνδέσμους με άλλα αντίστοιχα οργανωτικά σχήματα σε αντίστοιχο επίπεδο.

II. Συνδέσμους με τον ιδιωτικό τομέα.

6.2.2 Ομάδα Ελέγχου

6.2.2.1 Στόχοι – ρόλος Ο βασικός ρόλος της Ομάδας Ελέγχου είναι να ελέγξει τη συμμόρφωση των οργανισμών και των πληροφοριακών συστημάτων με τους κανόνες που θέτει η Συντονιστική Επιτροπή.

6.2.2.2 Αρμοδιότητες Οι βασικές αρμοδιότητες της Ομάδας Ελέγχου είναι οι ακόλουθες:

I. Εξετάζει τη συμμόρφωση των οργανισμών που διαχειρίζονται κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές, ως προς τη λήψη και εφαρμογή των μέτρων ασφάλειας που έ-χουν εγκριθεί από την Συντονιστική Επιτροπή. Η σύνταξη πολιτικής ασφάλειας και σχεδί-ου ανάκαμψης από καταστροφή (καθώς και τα αποτελέσματα των δοκιμών) κρίνεται ως υ-ποχρεωτική.

II. Διεξάγει ελέγχους σε πληροφοριακά και επικοινωνιακά συστήματα κρίσιμων υποδομών.

III. Λειτουργεί ως σημείο συλλογής και αποθήκευσης εγγράφων σχετικών με την ασφάλεια των ελεγχόμενων φορέων (security policy repository).

i) Συγκεντρώνει έγγραφα ασφάλειας όπως πολιτικές ασφάλειας και σχέδια συνέχισης λειτουργίας, για όλους τους οργανισμούς ΔΔ οι οποίοι διαχειρίζονται κρίσιμα συστή-ματα και για τους οποίους δεν υπάρχει άλλος ελεγκτικός φορέας με αντίστοιχες αρμο-διότητες.

ii) Διαθέτει πρόσβαση σε σημεία συλλογής σχετικών εγγράφων ασφάλειας (repositories) άλλων Δημόσιων Αρχών με σκοπό τη διευκόλυνση των ελέγχων συμμόρφωσης, σε πε-



228

ρίπτωση που για ορισμένους ελεγχόμενους φορείς της Δημόσιας Διοίκησης υφίσταται άλλος φορέας με ελεγκτική αρμοδιότητα,.

IV. Ελέγχει τα έγγραφα ασφάλειας και προτείνει τρόπους βελτίωσης της ασφάλειας των κρίσι-μων πληροφοριακών και επικοινωνιακών υποδομών.

ii) Ελέγχει την εφαρμογή της πολιτικής ασφάλειας, των σχεδίων συνέχισης λειτουργίας και μέτρων ασφάλειας και προτείνει βελτιώσεις.

iii) Σε περίπτωση που κάποιος ελεγχόμενος οργανισμός της Δημόσιας Διοίκησης έχει με-ταβιβάσει (για παράδειγμα μέσω SLA) τις υποχρεώσεις του σχετικά με την ασφάλεια σε τρίτο φορέα, ιδιωτικό ή δημόσιο, τότε οι παραπάνω ελεγκτικές αρμοδιότητες ισχύ-ουν και για τον τρίτο φορέα.

V. Συντάσσει έκθεση ελέγχου συμμόρφωσης στην οποία καταγράφονται όλες οι πιθανές απο-κλείσεις από τα απαιτούμενα μέτρα ασφάλειας, αλλά και οι μεταβολές/βελτιώσεις που κα-ταγράφηκαν σε σχέση με προηγούμενους ελέγχους.

6.2.2.3 Καταμερισμός αρμοδιοτήτων Ομάδας Ελέγχου Οι αρμοδιότητες της Ομάδας Ελέγχου μπορούν να καταμεριστούν με δύο εναλλακτικά σενάρια:

• Συγκεντρωτικό μοντέλο: Η Ομάδα Ελέγχου έχει την ευθύνη για την πραγματοποίηση όλων των ελέγχων στους εποπτευόμενους φορείς της Δημόσιας Διοίκησης, τακτικούς ή/και έκτακτους, με σκοπό τον έλεγχο συμμόρφωσής τους. Επίσης, έχει τον έλεγχο της συλλογής, επεξεργασίας και αποθήκευσης των εγγράφων ασφάλειας των φορέων (πολιτικές ασφάλειας, σχέδια ανάκαμ-ψης κλπ.).

• Κατανεμημένο μοντέλο: Θεσμοθετούνται και λειτουργούν, ανά Υπουργείο, Γραφεία Ασφάλειας Συστημάτων, τα οποία αναλαμβάνουν τη διεξαγωγή των ελέγχων στα πληροφοριακά και επι-κοινωνιακά συστήματα των φορέων, την συλλογή και αποθήκευση των εγγράφων ασφάλειας και τη σύνταξη εκθέσεων ελέγχου συμμόρφωσης. Με δεδομένη τη δυσκολία λειτουργίας τέτοιων υπηρεσιών σε όλα τα υπουργεία, μπορεί αρχικά να λειτουργήσουν σε υπουργεία με μεγαλύτερη εμπειρία σε διαχείριση πληροφοριακών και επικοινωνιακών συστημάτων (π.χ. Υπ. Εσωτερικών, Υπουργείο Μεταφορών και Επικοινωνιών, Υπουργείο Οικονομίας κλπ.). Η Ομά-δα Ελέγχου διατηρεί έναν κυρίως συντονιστικό ρόλο κατά τον οποίο συνδράμει τα Γραφεία Α-σφάλειας σε ζητήματα διεξαγωγής ελέγχων (μεθοδολογίες, ερωτηματολόγια, τεχνικές συμβου-λές κλπ.), έχει πρόσβαση σε όλα τα στοιχεία των ελέγχων (repository) και λαμβάνει και αξιο-λογεί τα αποτελέσματα των ελέγχων. Επίσης, έχει την αρμοδιότητα να πραγματοποιεί συμπλη-ρωματικά έκτακτους και δειγματοληπτικούς ελέγχους. Τέλος, μπορεί μεταβατικά να αναλάβει τη διεξαγωγή και των τακτικών ελέγχων, για τους φορείς εκείνους που ανήκουν σε υπουργεία τα οποία δεν υποστηρίζονται επί του παρόντος από τοπικό Γραφείο Ασφάλειας Συστημάτων.



229

Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου

6.2.2.4 Μορφότυπος μελών I. Τα μέλη διαθέτουν σημαντική και εκτενή εμπειρία σε τεχνολογικά ζητήματα πληροφορια-

κών ή/και επικοινωνιακών συστημάτων και ταυτόχρονα εμπειρία διενέργειας τεχνικών ε-λέγχων.

II. Έχει κάθετη οργάνωση ελέγχου και εποπτείας (ανά τομέα), με στελέχη τα οποία έχουν την κατάλληλη εξειδίκευση ανάλογα με τον τομέα (τομείς) ελέγχου.

III. Τα μέλη της Ομάδας Ελέγχου αποτελούνται από:

i) Ένα πυρήνα μόνιμων μελών.

ii) Ένα ευρύτερο σύνολο εξωτερικών μελών, που ανήκουν σε άλλους συνεργαζόμενους φορείς ελέγχου (πχ. στελέχη Ανεξάρτητων Αρχών, άλλων Εποπτικών Φορέων κλπ.).

6.2.2.5 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή.

II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων.

III. Λαμβάνει πληροφορίες σχετικές με τον ελεγκτικό της ρόλο από όλες τις ομάδες. και κυρί-ως από την Ομάδα Συλλογής Πληροφοριών-Περιστατικών, την Ομάδα Αντιμετώπισης Περιστατικών και την Ομάδα Διερεύνησης Περιστατικών.

IV. Συνεργάζεται με τους ανά υπουργείο υπεύθυνους για την ασφάλεια των εποπτευόμενων φορέων της Δημόσιας Διοίκησης

6.2.2.6 Διασυνδέσεις με τρίτους φορείς I. Συνεργάζεται με τις ανά Υπουργείο υπηρεσίες/γραφεία που ασχολούνται με θέματα ασφά-

λειας στις ΤΠΕ (πχ. Γραφεία Ασφάλειας ανά υπουργείο)

II. Συνεργάζεται με τις Ανεξάρτητες Αρχές (πχ. ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ κλπ.).

Ομάδα Ελέγχου

ΥΠΟΥΡΓΕΙΑ … … …

Γραφείο Ασφάλειας Συστημάτων

Γραφείο Ασφάλειας Συστημάτων



230

III. Συνεργάζεται με άλλους θεσμοθετημένους Εποπτικούς Φορείς (πχ. Τράπεζα της Ελλάδος).

6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων

6.2.3.1 Στόχοι – ρόλος Ο βασικός ρόλος της Ομάδας Συμβούλων-Εμπειρογνωμόνων είναι να υποστηρίζει το έργο της Συ-ντονιστικής Επιτροπής αλλά και όλου του σχήματος σε επιστημονικό και ερευνητικό επίπεδο. Είναι η βασική πηγή τεχνογνωσίας σε θέματα ασφάλειας και προστασίας κρίσιμων υποδομών.

Ενδεχομένως να είναι σκόπιμο η ομάδα να συνεργάζεται στενά με άλλα ερευνητικά κέντρα που δρα-στηριοποιούνται στο χώρο ή να αποτελέσει ερευνητικό ινστιτούτο που θα πιστοποιεί τις γνώσεις των εκπαιδευμένων σε συγκεκριμένα θέματα ασφάλειας όπως: πολιτκές ασφάλειας/σχέδια ανάκαμψης καταστροφών, εγκατάσταση ασφαλών δικτύων, PKI εφαρμογών, τεχνολογίες διαχείρισης ταυτότη-τας (έξυπνες κάρτες, βιομετρικά, ψηφιακά πιστοποιητικά), ασφαλείς αρχιτεκτονικές (πχ. SOA), κλπ.

6.2.3.2 Αρμοδιότητες Οι βασικές αρμοδιότητες της ομάδας είναι οι ακόλουθες:

I. Εκπόνηση Μελετών για λογαριασμό της Συντονιστικής Επιτροπής

II. Καθορισμός Μέτρων Προστασίας, Προδιαγραφών ασφάλειας και Βέλτιστων πρακτικών για τη Δημόσια Διοίκηση.

i) Παρέχει συμβουλές για καινούρια πρότυπα, πρακτικές, οδηγίες και εξελίξεις στη νομο-θεσία.

ii) Για το σκοπό αυτό συνεργάζεται με εμπειρογνώμονες από άλλους φορείς οι οποίοι έ-χουν αρμοδιότητες σε ζητήματα ασφάλειας πληροφοριακών και επικοινωνιακών υπο-δομών (πχ. Ανεξάρτητες Αρχές).

III. Καθορισμός κριτηρίων εντοπισμού των Κρίσιμων ΥΠΕ

IV. Αξιολόγηση της κρισιμότητας των Κρίσιμών ΥΠΕ

V. Συντάσει Οδηγίες και Βέλτιστες Πρακτικές για τους φορείς της Δημόσιας Διοίκησης62

VI. Διαδραματίζει συμβουλευτικό ρόλο προς όλες τις άλλες ομάδες σε θέματα ασφάλειας και προστασίας Κρίσιμων Υποδομών

6.2.3.3 Μορφότυπος μελών Στελεχώνεται από αριθμό εξειδικευμένων επιστημόνων σε θέματα ασφάλειας και προστασίας κρίσιμων υποδομών καθώς και από νομικούς επιστήμονες που εξειδικεύονται στην ασφάλεια ΤΠΕ. Κριτήρια για την επιλογή τους είναι:

I. Τεχνογνωσία σε θέματα ασφάλειας.

II. Τεχνογνωσία σε θέματα προστασίας κρίσιμων υποδομών.

III. Ερευνητική εργασία ή/και επαρκής επαγγελματική εμπειρία στις αντίστοιχες γνωστικές πε-ριοχές.

62 Οι οδηγίες και πρακτικές αφορούν τις μη διαβαθμισμένες πληροφορίες.



231

6.2.3.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από τη Συντονιστική Επιτροπή.

II. Συνεργάζεται στενά με την Ομάδα Ελέγχου.

III. Ασκεί συμβουλευτικό ρόλο σε όλες τις ομάδες και κυρίως στην Ομάδα Αντιμετώπισης Πε-ριστατικών και την Ομάδα Διερεύνησης Περιστατικών, όταν παραστεί ανάγκη.

IV. Μέλη της συμμετέχουν στην Ομάδα Αντιμετώπισης Κρίσεων.

6.2.3.5 Διασυνδέσεις με τρίτους φορείς V. Παρέχει εξειδικευμένες-εξατομικευμένες οδηγίες για συγκεκριμένα ζητήματα προστασίας

κρίσιμων υποδομών προς φορείς της ΔΔ (μέσω της Συντονιστικής Επιτροπής).

VI. Συνεργάζεται με τις Ανεξάρτητες Αρχές (πχ. ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ κλπ.) και ενημερώνεται για νέους κανονισμούς. Είναι σκόπιμη η στενή συνεργασία με τις αρχές αυτές σε επιστημο-νικό επίπεδο.

VII. Συνεργάζεται με Ερευνητικά ινστιτούτα και Φορείς (πχ. ENISA κλπ.) και αντλεί γνώση για θέματα κρίσιμων υποδομών

6.2.4 Ομάδα Διαχείρισης Κρίσεων

6.2.4.1 Στόχοι – ρόλος Οι στόχοι της ομάδας διαχείρισης κρίσεων είναι (α) να διαχειριστεί αποτελεσματικά και έγκαιρα ο-ποιαδήποτε κρίση προκύψει η οποία σχετίζεται με την κρίσιμες ΠΕΥ ΔΔ., (β) να μειώσει τις επι-πτώσεις και την έκταση μιας κρίσης και (γ) να αξιοποιεί εμπειρία από προγενέστερες κρίσεις η οποία διαχειρίστηκε ή/και από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία.


I. Ενεργοποιείται μέσω διαδικασίας από τη Συντονιστική Επιτροπή, όταν συνθήκες που ορί-ζουν «κρίση» πληρούνται.

II. Είναι υπεύθυνη για το χειρισμό της κρίσης και γνωμοδοτεί μετά το πέρας της κρίσης στη Συντονιστική Επιτροπή.

III. Συνεδριάζει σε τακτική βάση και προετοιμάζεται για ενδεχόμενη κρίση.

IV. Συντάσσει και επανεξετάζει το σχέδιο αντιμετώπισης κρίσεων, το οποίο και υποβάλλει για ενημέρωση και έγκριση στη Συντονιστική Επιτροπή.

V. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων και συνδράμει με την εμπειρία της στις προδιαγραφές για τη σύνταξη σχεδίων συνέχισης λειτουργίας.

6.2.4.3 Προφίλ μελών I. Στελεχώνεται από άτομα των υπολοίπων ομάδων. Θα πρέπει να απαρτίζεται τόσο από διοι-

κητικά στελέχη (Συντονιστική Επιτροπή) όσο και από άτομα με ευρεία τεχνογνωσία.

II. Τα μέλη είναι καθορισμένα εκ των προτέρων (στατικά ή ανάλογα με το χαρακτήρα της κρί-σης), ενώ έχει ληφθεί μέριμνα για την ύπαρξη αναπληρωματικών μελών.



232

III. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διαχείρισης κρίσεων, ώστε να μπορεί να αντιδράσουν κατάλληλα και έγκαιρα σε κάποια κρίση.

6.2.4.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή σε μη περιό-

δους κρίσεων, αλλά σε περίοδο κρίσεων είναι υπεύθυνη για τη λήψη των αποφάσεων και αναλαμβάνει τη διαχείριση της κρίσεως.

II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων.

III. Λαμβάνει πληροφορίες από όλες τις ομάδες και κυρίως από την Ομάδα Συλλογής Πληροφο-ριών-Περιστατικών και την Ομάδα Αντιμετώπισης Περιστατικών, που ενδέχεται να εξελιχ-θούν σε κρίση.

6.2.4.5 Διασυνδέσεις με τρίτους φορείς I. Συνεργάζεται με τους εμπλεκόμενους στην κρίση φορείς της ΔΔ.

6.2.5 Ομάδα για τη συλλογή πληροφοριών – περιστατικών

6.2.5.1 Στόχοι – ρόλος Βασικός στόχος της ομάδας είναι η παροχή ενός μοναδικού σημείου επαφής με όλα τα ενδιαφερόμε-να μέρη, στο οποίο γίνεται η αναφορά οποιουδήποτε περιστατικού ή πληροφορίας που αφορά στην ασφάλεια των κρίσιμων πληροφοριακών υποδομών της Δημόσιας Διοίκησης. Ο ρόλος της ομάδας είναι να λειτουργεί ως ένα υψηλής διαθεσιμότητας κέντρο υποδοχής κλήσεων (call center) το οποίο συλλέγει τις εν λόγω πληροφορίες κάνει την πρωτογενή τους επεξεργασία και τις προωθεί στις αρ-μόδιες ομάδες.

6.2.5.2 Αρμοδιότητες Οι βασικές αρμοδιότητες της ομάδας συλλογής πληροφοριών-περιστατικών είναι οι ακόλουθες:

I. Λειτουργεί ένα κέντρο λήψης κλήσεων υψηλής διαθεσιμότητας, σε βάση 24ώρου και 7 με-ρών τη βδομάδα.

II. Δημοσιοποιεί όλους τους εναλλακτικούς τρόπους επικοινωνίας προς κάθε ενδιαφερόμενο. Είναι επιθυμητό να υπάρχουν τουλάχιστο τρεις εναλλακτικοί τρόποι επικοινωνίας, όπως τη-λέφωνο, fax, email, web forms, sms.

III. Συντηρεί ιστοσελίδα, μέσα στον ιστοχώρο της ευρύτερης ομάδας όπου δημοσιοποιεί τα στοιχεία επικοινωνίας

IV. Συγκεντρώνει, κατηγοριοποιεί και κάνει την πρωτογενή επεξεργασία των κλήσεων που λαμβάνει. Καταχωρεί κάθε κλήση σε ειδικά σχεδιασμένη βάση δεδομένων.

V. Προωθεί όλες ανεξαιρέτως τις πληροφορίες που λαμβάνει προς την ομάδα αντιμετώπισης περιστατικών

VI. Παράγει και δημοσιοποιεί συγκεντρωτικά στατιστικά κίνησης του call center, χωρίς αναφο-ρά σε συγκεκριμένα περιστατικά.



233

6.2.5.3 Προφίλ μελών Η ομάδα αποτελείται από νέα άτομα πανεπιστημιακής ή τεχνολογικής εκπαίδευσης, χωρίς - κατανά-γκην - μεγάλη εμπειρία σε ζητήματα ασφάλειας πληροφοριακών συστημάτων και με γνώσεις χειρι-σμού βάσεων δεδομένων και συντήρησης ιστοσελίδων. Κρίνεται απαραίτητη η παροχή ενός κύκλου εκπαίδευσης προς τα μέλη της ομάδας, ο οποίος θα περιλαμβάνει τη θεωρητική τεκμηρίωση της α-σφάλειας ΠΣ, καθώς και την εισαγωγή σε βασικά τεχνικά ζητήματα ασφάλειας υπολογιστών και δι-κτύων.

6.2.5.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή

II. Προωθεί τις πληροφορίες που λαμβάνει προς την ομάδα αντιμετώπισης περιστατικών. Η ροή των πληροφοριών αυτών γίνεται αφού έχει γίνει η βασική κατηγοριοποίηση-δόμηση της πληροφορίας, με συγκεκριμένο πρωτόκολλο, μέσω της Βάσης Δεδομένων που συντηρείται.

6.2.5.5 Διασυνδέσεις με τρίτους φορείς I. Διαθέτει ανοικτά κανάλια επικοινωνίας με οποιονδήποτε φορέα της Δημόσιας Διοίκησης

II. Συνεργάζεται με άλλες ομάδες Αντιμετώπισης Περιστατικών (CSIRT) στην Ελλάδα και στο εξωτερικό, ώστε να είναι δυνατή η ανταλλαγή πληροφοριών και προς τις δύο κατευθύνσεις. Αυτό συμβαίνει στις περιπτώσεις που ένα περιστατικό ασφάλειας εκτείνεται πέρα από τα ό-ρια ευθύνης της συγκεκριμένης ομάδας ή στις περιπτώσεις που μια άλλη ομάδα ενημερωθεί για ένα περιστατικό όπου εμπλέκεται και η Δημόσια Διοίκηση.

6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη

6.2.6.1 Στόχοι – ρόλος Ο βασικός στόχος της ομάδας είναι η παροχή πληροφόρησης προς τους διαχειριστές και τους χρή-στες των πληροφοριακών υποδομών της ΔΔ, σχετικά με πιθανά προβλήματα ασφάλειας που αφο-ρούν τα συστήματά τους, τις δυνατότητες πρόληψης και τους πιθανούς τρόπους επίλυσης των προ-βλημάτων. Ο ρόλος της ομάδας αυτής είναι να συγκεντρώνει, να φιλτράρει, να κατηγοριοποιεί και να δημοσιοποιεί οποιοδήποτε ζήτημα ασφάλειας προκύπτει, είτε ανακοινώνεται από κατασκευαστές συστημάτων λογισμικού και εξοπλισμού δικτύων, είτε δημοσιοποιείται από άλλες ομάδες CSIRT, είτε διαπιστώνεται από την ίδια την ομάδα. Η ομάδα αυτή θα πρέπει να παρέχει μόνο την πληροφο-ρία που αφορά στα συστήματα της ΔΔ, έτσι ώστε η διάχυσή της προς τους ενδιαφερόμενους να είναι ιδιαίτερα επικεντρωμένη και αποτελεσματική.

6.2.6.2 Αρμοδιότητες I. Παρακολουθεί σε καθημερινή βάση τις ανακοινώσεις ασφάλειας (security advisories) επιλε-

γμένων κατασκευαστών και άλλων ομάδων CSIRT.

II. Επικοινωνεί τακτικά με τους διαχειριστές των υποδομών της ΔΔ, ώστε να καταγράφει τα συστήματα δικτύων και λογισμικού που χρησιμοποιούνται και έτσι να μπορεί να κάνει στο-χευμένη ενημέρωση για αυτά.

III. Συντηρεί εκτεταμένο περιεχόμενο σε ιστοσελίδες, το οποίο μεταξύ άλλων περιέχει:

i) Ανακοινώσεις για

o την ασφάλεια, κατηγοριοποιημένες ανά κατασκευαστή.



234

o κρίσιμα ζητήματα ασφάλειας, όπως οι πιο συχνές επιθέσεις, η δεκάδα των πιο επι-κίνδυνων ιών, πρόσφατα σημαντικά περιστατικά (horror stories) που καταγράφηκαν από άλλες ομάδες.

o κρίσιμες ενημερώσεις λογισμικού που έχουν εκδοθεί και αφορούν στα συστήματα της ΔΔ.

ii) Ανάλυση των σημαντικών security advisories ως προς το ποιους αφορά, ποιες είναι οι πιθανές επιπτώσεις, ποιες είναι οι τεχνικές λύσεις, ποιες είναι οι επιπτώσεις των λύσεων και ποιο το πιθανό κόστος τους.

iii) Συστάσεις για βέλτιστες πρακτικές (πχ. στη συντήρηση συστημάτων, στη σύνταξη SLA, στην εκπόνηση ανάλυσης επικινδυνότητας κλπ.).

iv) Πηγές και αναφορές προς επιπλέον πληροφόρηση που μπορεί να αντλήσει ο ενδια-φερόμενος από το διαδίκτυο.

v) Προτάσεις για πακέτα λογισμικού και open-source εργαλεία για την προστασία και την παρακολούθηση των συστημάτων.

vi) Ενημέρωση για νομικά ζητήματα που αφορούν στην ασφάλεια και την ιδιωτικό-τητα.

vii) Ενημέρωση για επιχειρηματικούς Άξονες που επηρεάζουν την ασφάλεια και την ε-πιχειρησιακή υπευθυνότητα που αφορά την ασφάλεια.

viii) Ενημέρωση για την δραστηριότητα άλλων σχετικών ευρωπαϊκών και διεθνών ο-μάδων.

IV. Οργανώνει ενημερωτικά σεμινάρια, σε συνεργασία με το Τμήμα Δημοσίων Σχέσεων.

6.2.6.3 Μορφότυπος μελών Τα μέλη της ομάδας έχουν μέτρια τεχνική εμπειρία σε ζητήματα ασφάλειας πληροφοριακών συστη-μάτων και γνωρίζουν βασικά στοιχεία λειτουργικών συστημάτων και δικτυακών συσκευών μεγάλων κατασκευαστών. Έχουν επίσης εμπειρία στην ανάπτυξη ιστοσελίδων. Είναι επιθυμητή η παρακο-λούθηση σεμιναρίων που οργανώνονται από διεθνείς ομάδες CSIRT, όπως η CERT/CC.


II. Συνεργάζεται με την Ομάδα Συμβούλων-Εμπειρογνωμόνων, από όπου δέχεται συστάσεις τεχνικού περιεχομένου.

III. Αντλεί πληροφορίες από την ομάδα αντιμετώπισης περιστατικών, ώστε να ανακοινώνει με-τρα πρόληψης ή/και καταστολής για κάποιο σημαντικό περιστατικό.

IV. Συνεργάζεται με την Ομάδα Δημοσίων Σχέσεων

6.2.6.5 Διασυνδέσεις με τρίτους φορείς I. Ανταλλάσσει πληροφορίες ενημερωτικού χαρακτήρα με άλλες ομάδες αντιμετώπισης περι-

στατικών, στην Ελλάδα και στο εξωτερικό.

II. Παρέχει εξειδικευμένη-εξατομικευμένη ενημέρωση για συγκεκριμένα ζητήματα ασφάλειας προς φορείς της ΔΔ.



235

III. Ενημερώνεται από τις θεσμοθετημένες ανεξάρτητες Αρχές για νέους κανονισμούς που σχετίζονται με την ασφάλεια πληροφοριακών και επικοινωνιακών συστημάτων.

6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών

6.2.7.1 Στόχοι – ρόλος Οι στόχοι της ομάδας για την αντιμετώπιση περιστατικών είναι (α) να διαχειριστεί αποτελεσματικά και έγκαιρα οποιοδήποτε περιστατικό ασφαλείας προκύψει το οποίο σχετίζεται με την κρίσιμες ΠΕΥ ΔΔ., (β) να λαμβάνει μέτρα για διαρκή πρόληψη κατά αντίστοιχων περιστατικών ασφαλείας, (γ) να ενημερώνει συνεχώς τους ενδιαφερομένους για τυχόν περιστατικά ασφαλείας που προκύ-πτουν σε άλλες υποδομές ΤΠΕ, και (δ) να αξιοποιεί εμπειρία από προγενέστερα περιστατικά τα ο-ποία διαχειρίστηκαν από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία. Συνιστάται η δημιουρ-γία δύο υπο-ομάδων: η μια ομάδα θα βρίσκεται σε συνεχή επικοινωνία με τους φορείς και θα τους επικουρεί σε περιστατικά για τα οποία είναι γνωστός ο τρόπος αντιμετώπισής τους, ενώ η άλλη ο-μάδα θα προσπαθεί να εντοπίσει νέα περιστατικά, αλλά και να διερευνήσει τα χαρακτηριστικά και τους τρόπους αντιμετώπισής τους.


V. Έχει διαρκή λειτουργία, και ενημερώνεται συνεχώς για την κατάσταση των κρίσιμων υπο-δομών.

VI. Αναλαμβάνει άμεση δράση, χωρίς ειδική εξουσιοδότηση από τη Συντονιστική Επιτροπή, κατά την ύπαρξη περισταστικών ασφαλείας.

VII. Είναι υπεύθυνη για το χειρισμό των περιστατικών και παράγει αναφορές κατά τη διάρκεια και ολοκλήρωση της διαχείρισης ενός περιστατικού ασφαλείας.

VIII. Διατηρεί μητρώο με όλες τα συμβάντα, και προβαίνει σε συχνές ενημερώσεις προς τους δια-συνδεδεμένους φορείς για το είδος και το χειρισμό αντίστοιχων συμβάντων.

IX. Συνεδριάζει σε τακτική βάση.

X. Διατηρεί Βάση Δεδομένων με συγκεκριμένες διαδικασίες αντιμετώπισης περιστατικών α-σφαλείας από περιπτώσεις σε Ελλάδα, Ευρώπη και παγκοσμίως.

XI. Συνεργάζεται διαρκώς με την ομάδα για τη Συλλογή Πληροφοριών/Περιστατικών, και με την ομάδα για την Ενημέρωση/Πρόληψη.

XII. Διατηρεί συνεχή αμφίδρομη επικοινωνία με αντίστοιχες Ομάδες τύπου CSIRT του εξωτερι-κού, με το εθνικό CERT, με το Ερευνητικό Ινστιτούτο Ασφάλειας, με άλλα συνεργαζόμενα Ευρωπαϊκά CERTs, και εμπειρογνώμονες (expert groups).

XIII. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων, προωθεί τις πληροφορίες που συγκε-ντρώθηκαν για τα περιστατικά και ζήτα καθοδήγηση σε περιπτώσεις όπου το σύμβαν είναι νέο και δεν έχει αντιμετωπιστεί ξάνα.

XIV. Δρα επικουρικά στο έργο της Ομάδας Διαχείρισης Κρίσεων, αξιοποιώντας στο έπακρον τη γνώση και εμπειρία που έχει αποκτηθεί από τη διαχείριση και αντιμετώπιση καθημερινών περιστατικών (τα οποία δεν χαρακτηρίζονται ως ‘κρίσιμα’).



236

6.2.7.3 Μορφότυπος μελών I. Στελεχώνεται από άτομα των υπολοίπων ομάδων. Θα πρέπει να απαρτίζεται κυρίως από ε-

ξειδικευμένους επιστήμονες και τεχνικούς ασφαλείας, και κατά ένα μικρό μέρος από διοικη-τικά στελέχη για την υποστήριξη του έργου της Ομάδας (γραμματεία, διατήρηση αρχείου συμβάντων, Συντονιστική Επιτροπή, επικοινωνία με λοιπούς φορείς του εσωτερικού/εξωτε-ρικού).

II. Τα μέλη είναι καθορισμένα εκ των προτέρων, ενώ έχει ληφθεί μέριμνα για την ύπαρξη ανα-πληρωματικών μελών.

III. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διαχείρισης περιστατικών ασφαλεί-ας, ώστε να μπορεί να αντιμετωπίζουν έγκαιρα και με αποτελεσματικότητα τέτοια συμβάντα.

6.2.7.4 Ιεραρχία και ανταλλαγή πληροφορίας με άλλες ομάδες I. Ιεραρχικά, λαμβάνει εντολές και κατευθύνσεις από την Συντονιστική Επιτροπή, αλλά σε πε-

ρίοδο κρίσεων είναι υπεύθυνη για τη λήψη των αποφάσεων και αναλαμβάνει τη διαχείριση της κρίσεως.

II. Συνεργάζεται με την Ομάδα Συμβούλων -Εμπειρογνωμόνων.

III. Ανταλλάσει πληροφορίες με όλες τις ομάδες και κυρίως με την Ομάδα Συλλογής Πληροφο-ριών-Περιστατικών και την Ομάδα Διαχείρισης Κρίσεων.

6.2.7.5 Διασυνδέσεις με τρίτους φορείς I. Συνεργάζεται με όλους τους φορείς της ΔΔ όπου λειτουργούν κρίσιμες υποδομές

II. Συνεργάζεται διαρκώς με αντίστοιχες ομάδες τύπου CSIRT του εξωτερικού.

6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation)

6.2.8.1 Στόχοι – ρόλος Οι στόχοι της ομάδας για τη Διερεύνηση (Investigation) Περιστατικών είναι (α) να διερευνήσει τα αίτια και τους υπαιτίους πρόκλησης περιστατικών ασφαλείας στις κρίσιμες ΠΕΥ ΔΔ., (β) να αξιο-ποιεί εμπειρία από προγενέστερα περιστατικά τα οποία διαχειρίστηκαν από άλλες σχετικές ομάδες και τη διεθνή βιβλιογραφία, και (γ) να αποτελεί το σύνδεσμο (liaison) με ομάδες επιβολής του νό-μου. Η Ο.Ε. δεν έκρινε σκόπιμο να υπάρχει ομάδα διερεύνησης πειστηρίων, με στόχο την επιβολή κυρώσεων. Συνεπώς, ο κύριος ρόλος αυτής της ομάδας είναι να ειδοποιεί τις αντίστοιχες ομάδες ε-πιβολής του νόμου και να συνδράμει στο έργο τους.


I. Έχει διαρκή λειτουργία, και ενημερώνεται συνεχώς για την κατάσταση των κρίσιμων υπο-δομών.

II. Αναλαμβάνει άμεση δράση, χωρίς ειδική διαδικασία από τη Συντονιστική Επιτροπή, κατά την ύπαρξη περιστατικών ασφαλείας που χρήζουν διερεύνησης.

III. Συνεργάζεται διαρκώς με την ομάδα για τη Αντιμετώπιση Περιστατικών και την Ομάδα Διαχείρισης Κρίσεων.



237

IV. Διατηρεί συνεχή αμφίδρομη επικοινωνία με ομάδες επιβολής του νόμου.

V. Συνεργάζεται με την ομάδα των εμπειρογνωμόνων και συνδράμει με την εμπειρία της στη διαχείριση περιστατικών ασφαλείας.

6.2.8.3 Προφίλ μελών I. Στελεχώνεται από ένα μικρό αριθμό προσώπων, τα οποία έχουν εξειδίκευση σε έλεγχο και

διερεύνηση ή νομικούς επιστήμονες.

II. Στελεχώνεται από αριθμό εξειδικευμένων επιστημόνων/τεχνικών ασφαλείας και από εξειδι-κευμένους στην ασφάλεια ΤΠΕ νομικούς επιστήμονες. Τέλος, απασχολεί και διοικητικά στελέχη για την υποστήριξη του έργου της Ομάδας (γραμματεία, τήρηση αρχείου συμβά-ντων, Συντονιστική Επιτροπή, επικοινωνία με λοιπούς φορείς του εσωτερικού/εξωτερικού).

III. Τα μέλη είναι καθορισμένα εκ των προτέρων, ενώ έχει ληφθεί μέριμνα για την ύπαρξη ανα-πληρωματικών μελών.

IV. Τα μέλη αυτά έχουν λάβει ειδική εκπαίδευση σε θέματα διερεύνησης περιστατικών ασφα-λείας, ώστε να μπορούν να φέρουν εις πέρας με αποτελεσματικότητα τη διερεύνηση αντί-στοιχων συμβάντων.

V. Τα μέλη διατηρούν στενούς συνδέσμους με ομάδες επιβολής του νόμου.


II. Συνεργάζεται με την Ομάδα Αντιμετώπισης Περιστατικών και την Ομάδα Διαχείρισης Κρί-σεων.

III. Ανταλλάσει πληροφορίες με όλες τις ομάδες και κυρίως με την Ομάδα Συλλογής Πληροφο-ριών-Περιστατικών και την Συμβούλων - Εμπειρογνωμόνων.

6.2.8.5 Διασυνδέσεις με τρίτους φορείς

I. Συνεργάζεται με όλους τους φορείς της ΔΔ όπου λειτουργούν κρίσιμες υποδομές. II. Βρίσκεται σε στενή συνεργασία με ομάδες επιβολής του νόμου.

6.2.9 Αλλες ομάδες

6.2.9.1 Αγορά (Agora) εκπροσώπων φορέων Στόχος της αγοράς είναι να δοθεί βήμα σε φορείς να εκφράσουν ελεύθερα τις θέσεις τους, μέσω των εκπροσώπων τους. Η Αγορά είναι μια μέθοδος συνεχούς και δημόσιας διαβούλευσης, ανοικτή και διαφανής. Οι συμμετέχοντες δεν καλούνται απλώς να εκφρασθούν τις θέσεις τους, αλλά επίσης να συνθέσουν από κοινού, και εγγράφως, αναλύσεις και προτάσεις. Το ζητούμενο είναι να υπογραμμι-σθούν οι δυνατές συναινέσεις ή να καταγραφούν σαφώς οι υπάρχουσες αποκλίνουσες εναλλακτικές λύσεις. Έτσι, τα αποτελέσματα μιας Αγοράς ενδέχεται να ενσωματωθούν στη στρατηγική της Συ-ντονιστικής Επιτροπής.

Η δραστηριοποίηση της Αγοράς πραγματοποιείται από ένα Συντονιστή, ο οποίος είναι επιφορτισμέ-νος με την παρακολούθηση των συζητήσεων, καθώς και τους συντάκτες, οι οποίοι είναι επιφορτι-σμένοι με την επίσημη καταγραφή των απόψεών τους. Ο συντονιστής είναι επιφορτισμένος να διευ-θύνει τις συζητήσεις και ο ρόλος του περιλαμβάνει τα εξής:



238

I. τη μελέτη των εισηγήσεων που κατατίθενται από τους συμμετέχοντες οργανισμούς.

II. την επανεπικέντρωση των συζητήσεων στην ουσία του θέματος υπενθυμίζοντας τους στόχους της αγοράς.

III. την επεξεργασία των αποτελεσμάτων που προκύπτουν και τη μεταφορά τους στη Συντονι-στική Επιτροπή.

6.2.9.2 Ερευνητικό Ινστιτούτο Στόχος του διασυνδεόμενου Ερευνητικού Ινστιτούτου είναι η διενέργεια ερευνών και μελετών για ό-λα τα ζητήματα που αφορούν την προστασία των κρίσιμων ΠΕΥ. Ενώ η Ομάδα Συμβούλων-Εμπει-ρογνωμόνων συνεργάζεται με τη Συντονιστική Επιτροπή για την πρακτική εφαρμογή προτάσεων που προκύπτουν από τη διεθνή εμπειρία και βιβλιογραφία, το Ερευνητικό Ινστιτούτο αποτελεί ένα Κέντρο Αριστείας και επεξεργασίας και παραγωγής μελετών και προτάσεων προς την Ομάδα Συμ-βούλων-Εμπειρογνωμόνων. Το Ερευνητικό Ινστιτούτο δεν εντάσσεται αλλά εφάπτεται στο προτει-νόμενο οργανωτικό σχήμα, έτσι ώστε να έχει τους απαιτούμενους βαθμούς ελευθερίας κατά τη με-λέτη και υποβολή προτάσεων για πιθανή ενσωμάτωση και αξιοποίηση από το κύριο σχήμα.

Οι βασικές εργασίες που πραγματοποιεί το ερευνητικό ινστιτούτο είναι οι εξής:

I. Μελέτη και παρακολούθηση της διεθνούς πρακτικής και βιβλιογραφίας σε ζητήματα προ-στασίας κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών.

II. Διενέργεια σχετικών ερευνών και μελετών.

III. Υποβολή προτάσεων και αναλύσεων προς την Ομάδα Συμβούλων-Εμπειρογνωμόνων.

IV. Εκπαίδευση και Πιστοποίηση γνώσης σε συγκεκριμένα θέματα όπως: πολιτκές ασφάλειας/ σχέδια ανάκαμψης καταστροφών, εγκατάσταση ασφαλών δικτύων, PKI εφαρμογών, τεχνο-λογίες διαχείρισης ταυτότητας κλπ.

V. Συμμετοχή σε σχετικές διεθνείς ερευνητικές δράσεις.

6.2.9.3 Τμήμα Δημοσίων Σχέσεων και Τύπου Η ύπαρξη κάποιου γραφείου που θα χειρίζεται την επικοινωνία του σχήματος κρίνεται ως επιτακτική ανάγκη, τόσο για την προβολή του έργου του, όσο και για τη διασφάλιση ότι τεχνικές πληροφορίες επικοινωνούνται στους δημόσιους φορείς και το κοινό με τον κατάλληλο τρόπο.

Οι αρμοδιότητες του Τμήματος θα είναι μεταξύ άλλων:

I. Διαχείριση ιστοσελίδας σχετικά με τις δράσεις και τα αποτελέσματα του φορέα.

II. Οργάνωση ενημερωτικών ημερίδων και έκδοση ενημερωτικών εντύπων.

III. Συνεργασία με την ομάδα Ενημέρωσης για την παρουσίαση του ενημερωτικού υλικού και των οδηγιών.

IV. Δημιουργία ομάδων εργασίας σε συνεργασία με άλλες παρόμοιες Ευρωπαϊκές ομάδες σε συγκεκριμένα θέματα αιχμής



239

6.3 Ενδεικτικά σενάρια αντιμετώπισης περιστατικών σε κρίσιμα Πληροφορια-κά & Επικοινωνιακά Συστήματα της ΔΔ

Στην ενότητα αυτή περιγράφονται τρία ενδεικτικά σενάρια αντιμετώπισης περιστατικών σε κρίσιμα ΠEY της ΔΔ, όταν ενεργοποιείται το προτεινόμενο οργανωτικό Σχήμα.

6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ

Στην ενότητα αυτή περιγράφεται ένα απλό σενάριο μη διαθεσιμότητας υπηρεσίας μιας νησίδας του ΣΥΖΕΥΞΙΣ ώστε να διευκρινισθούν οι δράσεις αντιμετώπισης του Φ., όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του.

6.3.1.1 Περιγραφή σεναρίου Η ιδιωτική εταιρεία Α παρέχει υπηρεσίες διασύνδεσης στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ, η οποία έχει τις μεγαλύτερες απαιτήσεις σε εύρος δικτύου. Οι παρεχόμενες υπηρεσίες αφορούν τηλεφωνία (τη-λεφωνική επικοινωνία ανάμεσα στους φορείς), δεδομένα (επικοινωνία υπολογιστών - Internet) και Video (τηλεδιάσκεψη - τηλεεκπαίδευση).

Το τελευταίο διάστημα έχει παρατηρηθεί ένα αυξημένο επίπεδο παραπόνων και κλήσεων στο Help Desk από τους χρήστες της Νησίδας, οι οποίες έχουν ως κοινό σημείο αναφοράς το χαμηλό επίπεδο των παρεχομένων υπηρεσιών. Οι εν λόγω αναφορές επικεντρώνονται στα εξής συμπτώματα:

• Τηλεφωνία: Η επικοινωνία μεταξύ των χρηστών διακόπτεται αρκετά συχνά, η ποιότητα του ήχου είναι φτωχή και η καθυστέρηση στη μετάδοση κάνει τη συνομιλία δυσχερή έως και αδύνατη (τις ώρες αιχμής).

• Δεδομένα: Η επικοινωνία που αφορά αλληλεπίδραση με εφαρμογές η-διακυβέρνησης είναι αρκε-τά αργή, ενίοτε και αδύνατη λόγω παρέλευσης του διαστήματος αδράνειας (timeout) τόσο κατά την αρχική σύνδεση (αδυναμία σύνδεσης στο σύστημα) όσο και μετά την εισαγωγή σε αυτό, με αποτέλεσμα να χάνεται εργασία σε εξέλιξη στο εν λόγω συστήματα. Σε ότι αφορά την πρόσβαση στο διαδίκτυο, παρατηρούνται τα ίδια φαινόμενα καθυστέρησης ακόμη και για απλή περιήγηση σε ιστοτόπους.

• Υπηρεσίες Video: Είναι αδύνατο να χρησιμοποιηθούν πρακτικά, λόγω της αδυναμίας του δικτύ-ου να παρέχει το απαιτούμενο εύρος κίνησης (bandwidth).

Η Νησίδα Χ παρέχει κρίσιμες υπηρεσίες πληροφορικής, τόσο στους χρήστες της ΔΔ, όσο και στους πολίτες αφού φιλοξενεί εσωτερικά συστήματα του ΣΥΖΕΥΞΙΣ αλλά και εθνικές/διασυνορια-κές ασφαλείς υπηρεσίες η-διακυβέρνησης. Περαιτέρω, η συγκεκριμένη χρονική περίοδος (τέλος περιόδου κατάθεσης φορολογικών δηλώσεων μέσω του διαδικτύου) δυσχεραίνει περαιτέρω την κα-τάσταση, αφού ο αυξημένος φόρτος του δικτύου διογκώνεται λόγω της εν λόγω συγκυρίας.

Η εταιρεία Α παρέχει τις εν λόγω υπηρεσίες στο ΣΥΖΕΥΞΙΣ βάσει επίσημου SLA (Service Level Agreement) μεταξύ του υπεύθυνου φορέα (ΥΠΕΣΔΔΑ) και της ιδιωτικής εταιρείας Α. Λόγω εσω-τερικών προβλημάτων ρευστότητας, ο καθύλην πάροχος των υπηρεσιών διασύνδεσης και με βάση το σχετικό SLA (εταιρεία Α - πάροχος υπηρεσιών διασύνδεσης) περικόπτει το διαθέσιμο εύρος δι-κτύου, με συνέπεια η μετακύλιση του προβλήματος να παραβιάζει το SLA ΥΠΕΣΔΔΑ - εταιρείας Α αφού δεν τηρείται το προβλεπόμενο επίπεδο υπηρεσίας. Το εν λόγω SLA έχει κατατεθεί στο Φ. μαζί με τις πολιτικές ασφάλειας και τα σχέδια συνέχισης λειτουργίας του ΣΥΖΕΥΞΙΣ. Το σύνολο της παραπάνω τεκμηρίωσης έχει ελεγχθεί ως προς τη συμβατότητά του με το πρότυπο ISO 27001 ή κάποιο αντίστοιχο, ευρείας αποδοχής.



240

Ο υπεύθυνος δικτύου της Νησίδας Χ από την πλευρά του ΥΠΕΣΔΔΑ έχει ειδοποιηθεί για το πρό-βλημα, ενημερώνει τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ και ειδοποιεί το Τμήμα Συλλογής Περιστατικών του Φ. 6.3.1.2 Δράσεις του Φ. 1. Η Ομάδα Συλλογής Περιστατικών δέχεται την αναφορά περιστατικού από τον υπεύθυνο δικτύου της Νησίδας Χ μέσω ασφαλούς διαδικασίας που δεν επιδέχεται αποποίηση της ενέργειας (non-re-pudiation).

2-4. Η Ομάδα Συλλογής Περιστατικών καταγράφει, καταχωρεί και προωθεί το περιστατικό στην Ομάδα Διερεύνησης Περιστατικών.

5-8. Η Ομάδα Διερεύνησης αναλύει το περιστατικό, επικοινωνεί και συνεργάζεται με τον υπεύθυνο δικτύου της Νησίδας Χ και τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ για συλλογή περισσότερων πληροφοριών, συνεργάζεται με την Ομάδα Ελέγχου όσον αφορά το Σχέδιο Συνέχισης Λειτουργίας της Νησίδας Χ και προωθεί τις πληροφορίες που συγκεντρώθηκαν στην Ομάδα Αντιμετώπισης Περιστατικών και στην Ομάδα Ελέγχου.

9-12. Η Ομάδα Αντιμετώπισης Περιστατικών συνεργάζεται με την Ομάδα Συμβούλων – Εμπειρο-γνωμόνων και δρομολογεί τις ενέργειες που προβλέπονται από το Σχέδιο Συνέχισης Λειτουργίας της Νησίδας Χ. Επειδή εκτιμάται ότι υπάρχει κατάσταση σοβαρής κρίσης, ενημερώνεται η Συντο-νιστική Επιτροπή η οποία με τη σειρά της ενεργοποιεί την Ομάδα Διαχείρισης Κρίσεων.

13-14 και 18-20. Η Ομάδα Διαχείρισης Κρίσεων διαμορφώνει το σχέδιο αντιμετώπισης της κρίσης για τη συγκεκριμένη περίπτωση και συνεργάζεται με την Ομάδα των Συμβούλων – Εμπειρογνωμό-νων, την Ομάδα Αντιμετώπισης Περιστατικών και το Νομικό Σύμβουλο. Μετά το τέλος της κρίσης, ενημερώνει τη Συντονιστική Επιτροπή για τις ενέργειες αντιμετώπισης της. Το περιστατικό και οι τρόποι αντιμετώπισης κοινοποιούνται στην Ομάδα για την Ενημέρωση και Πρόληψη και στο Τμή-μα Δημοσίων Σχέσεων και Τύπου, ενώ ορίζεται ένα μέλος της Ομάδας Διαχείρισης Κρίσεων σαν αντιπρόσωπος για τον τύπο σε περίπτωση μεγάλης δημοσιότητας του περιστατικού.

15-17. Η Ομάδα Συμβούλων αναλύει όλα τα δεδομένα, ανατρέχει σε καταχωρημένα παρόμοια γεγονότα και τους τρόπους αντιμετώπισής τους, ενημερώνει και συνεργάζεται με την Ομάδα Δια-χείρισης Κρίσεων και την Ομάδα Αντιμετώπισης Περιστατικών, και καταλήγει σε δράσεις και τρό-πους αντιμετώπισης της κρίσης. Καταγράφει το περιστατικό και τα ληφθέντα μέτρα με λεπτομερή τρόπο, έτσι ώστε να είναι άμεσα επαναχρησιμοποιήσιμα στο μέλλον.

21-23. Η Ομάδα για την Ενημέρωση και Πρόληψη καταχωρεί το περιστατικό και τις δράσεις αντι-μετώπισής του, ενημερώνει τον Υπεύθυνο Δικτύου της Νησίδας Χ και τον Υπεύθυνο Ασφάλειας του ΣΥΖΕΥΞΙΣ (προσαρμόζοντας τις δράσεις στις πολιτικές ασφάλειας του, τις οποίες επανα-υπο-βάλλονται ενημερωμένες στην Ομάδα Ελέγχου ή στον αρμόδιο φορέα). Επιπλέον, συντάσσει μια περιγραφή του περιστατικού και των τρόπων αντιμετώπισής του με ένα εύληπτο προς το ευρύ κοι-νό τρόπο και το προωθεί στο Τμήμα Δημοσίων Σχέσεων και Τύπου. Τέλος, ενεργοποιεί όλους τους εσωτερικούς μηχανισμούς ενημέρωσης των χρηστών του Φ.

24. Η Ομάδα Διερεύνησης Περιστατικών σε συνεργασία με το Νομικό Σύμβουλο ενημερώνει τις Ρυθμιστικές Αρχές και τις ομάδες επιβολής του νόμου για τυχόν καταλογισμό ευθυνών.

25-26. Το Τμήμα Δημοσίων Σχέσεων και Τύπου ενημερώνει τον ιστότοπο του Φ. σχετικά με την κρίση και τους τρόπους αντιμετώπισής του με την περιγραφή που έλαβε από την Ομάδα για την Ε-



241

νημέρωση και Πρόληψη, και περαιτέρω ενεργοποιεί όλους τους μηχανισμούς ενημέρωσης των εξωτερικών φορέων.

Οι παραπάνω δράσεις περιγράφονται στο Σχήμα 40.

ΣΥΖΕΥΞΙΣ – ΝΗΣΙΔΑ Χ

ΟΜΑΔΑ ΣΥΛΛΟΓΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ

ΟΜΑΔΑ ΔΙΕΡΕΥΝΗΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ

ΟΜΑΔΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ

ΟΜΑΔΑ ΕΛΕΓΧΟΥ

ΟΜΑΔΑ ΣΥΜΒΟΥΛΩΝ

ΣΥΝΤΟΝΙΣΤΙΚΗ ΕΠΙΤΡΟΠΗ

ΟΜΑΔΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ

ΝΟΜΙΚΟΣ ΣΥΜΒΟΥΛΟΣ

ΟΜΑΔΑ ΕΝΗΜΕΡΩΣΗΣ & ΠΡΟΛΗΨΗΣ

ΤΜΗΜΑ ΔΗΜΟΣΙΩΝ ΣΧΕΣΕΩΝ& ΤΥΠΟΥ

1. Αναφορά Περιστατικού

7. Σχέδιο Συνέχισης Λειτουργίας Νησίδας Χ

5. Ανάλυση Περιστατικού

2. Καταγραφή Περιστατικού

3. Καταχώρηση Περιστατικού

4. Προώθηση Περιστατικού

8α. Προώθηση Πληροφοριών Περιστατικού

8β. Προώθηση Πληροφοριών Περιστατικού

9. Αναζήτηση Εμπειρογνωμοσύνης

10. Εκτίμηση Συνθηκών Κρίσης

11. Ενημέρωση Συντονιστικής Επιτροπής για Κρίση

12. Ενεργοποίηση Ομάδας Διαχείρισης Κρίσεων

13. Διαμόρφωση Σχεδίου Αντιμετώπισης Κρίσης

14α. Συνεργασία με Ομάδα Συμβούλων

14β. Συνεργασία με Ομάδα Αντιμετώπισης Περιστατικών

14γ. Συνεργασία με Νομικό Σύμβουλο

18. Ενημέρωση Συντονιστικής Επιτροπής

19. Κοινοποίηση Περιστατικού και Τρόπων Αντιμετώπισης

20. Ορισμός Αντιπροσώπου Τύπου

15. Ανάλυση Δεδομένων Κρίσης

16. Συνεργασία με Ομάδα Αντιμετώπισης Περιστατικών

17. Καταγραφή Περιστατικού και Τρόπων Αντιμετώπισης

22. Σύνταξη Περιγραφής Περιστατικού για το Κοινό

23. Εσωτερική Ενημέρωση

24. Ενημέρωση Ρυθμιστικών Αρχών και Ομάδων Νόμου

25. Δημοσιοποίηση Περιστατικού

26. Ενημέρωση Εξωτερικών Φορέων

6. Αλληλεπίδραση με ΣΥΖΕΥΞΙΣ

21. Ενημέρωση των Υπευθύνων της Νησίδας

Σχήμα 40: Ακολουθία δράσεων του Φ. στο Σενάριο 1 6.3.2 Σενάριο 2 – Άγνωστου τύπου Επίθεση στο Υπουργείο Χ Στην παρούσα ενότητα περιγράφεται ένα απλό σενάριο επίθεσης ώστε να διευκρινισθούν οι δρά-σεις αντιμετώπισης του Φ. όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του.

6.3.2.1 Περιγραφή σεναρίου Το Υπουργείο Χ φιλοξενεί κρίσιμα πληροφοριακά σύστημα με τα οποία προσφέρει εθνικές και δι-ασυνοριακές ασφαλείς υπηρεσίες η-διακυβέρνησης με βαθμό κρισιμότητας 2 (ο βαθμός κρισιμό-τητας των υποδομών έχει ήδη αξιολογηθεί από το Φ.). Το Υπουργείο Χ έχει ήδη καταθέσει στο Φ. τις πολιτικές ασφάλειας και ιδιωτικότητας των πληροφοριακών συστημάτων και των υπηρεσιών. Το Φ. έχει ήδη ελέγξει την συμβατότητα των πολιτικών με το πρότυπο ISO 27001 και τις έχει απο-θηκεύσει στο τοπική βάση δεδομένων.



242

Ο υπεύθυνος ασφάλειας έχει ειδοποιηθεί από την ομάδα ασφάλειας του Υπουργείου Χ για ένα πρωτοφανές φαινόμενο που δεν εμπίπτει στις γνώσεις τους με τις καταγεγραμμένες επιθέσεις/ιούς.

Ο υπεύθυνος ασφάλειας ειδοποιεί το Τμήμα Συλλογής Περιστατικών του Φ. 6.3.2.2 Δράσεις του Φ. 1. Το Τμήμα Συλλογής Περιστατικών δέχεται την αναφορά περιστατικού από τον υπεύθυνο ασφά-λειας (ψηφιακά υπογεγραμμένη φόρμα που διατίθεται στην πύλη του Φ.) από το Υπουργείο Χ.

2-4. Το Τμήμα Συλλογής Περιστατικών καταγράφει, καταχωρεί και προωθεί το περιστατικό στην Ομάδα Αντιμετώπισης Περιστατικών.

5-6. Η Ομάδα Αντιμετώπισης και Πρόληψης Περιστατικών αναλύει το περιστατικό (επικοινωνώ-ντας και με το υπεύθυνο ασφάλειας του Υπουργείου Χ για περισσότερες λεπτομέρειες), ελέγχει τα ήδη κατάχωρημένα περιστατικά και συμπεραίνει ότι πρόκειται για μια καινούργια μη καταχωρημε-νη επίθεση. Προωθεί το περιστατικό στην Ομάδα Διερεύνησης.

7-9. Η Ομάδα Διερεύνησης αναλύει το περιστατικό, επικοινωνεί και αναζητά εμπειρογνωμοσύνη από το εθνικό CERT, απο το Ερευνητικό Ινστιτούτο Ασφάλειας, απο άλλα συνεργαζόμενα Ευρω-παϊκά CERTs, με συνεργαζόμενες ομάδες τύπου CSIRT και εμπειρογνωμόνων. Προωθεί τις πλη-ροφορίες που συγκεντρώθηκαν στην Ομάδα Συμβούλων.

10 -11. Η Ομάδα Συμβούλων αναλύει όλα τα δεδομένα, και καταλήγει σε δράσεις και τρόπους α-ντιμετώπισης της κρίσης. Καταγράφει το περιστατικό και τους τρόπους αντιμετώπισης και τα κοι-νοποιεί στα Γραφεία Ενημέρωσης και Πρόληψης και Δημοσίων Σχέσεων.


Τέλος, το Γραφείο Ενημέρωσης και Πρόληψης καταχωρεί το περιστατικό και τις δράσεις αντιμε-τώπισης και ενημερώνει τον Υπεύθυνο Ασφάλειας του Υπουργείου Χ (προσαρμόζοντας τις δρά-σεις στις πολιτικές ασφάλειας του) και ενεργοποιεί τους μηχανισμούς ενημέρωσης των χρηστών (ανακοίνωση στην πύλη, αποστολή e-mails, ανακοίνωση στο ενημερωτικό φυλλάδιο, τηλεφωνικά, οργάνωση ad-hoc σεμιναρίων). Το Γραφείο Δημοσίων Σχέσεων ενεργοποιεί όλους τους μηχανι-σμούς ενημέρωσης των εξωτερικών φορέων (π.χ. εθνικό CERT, συνεργαζόμενα CERT, CSIRT, Ερευνητικό Ινστιτούτο κλπ.).



243

Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2



244

6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος) Στην ενότητα αυτή περιγράφεται ένα σενάριο κρίσης στο κεντρικό δίκτυο τραπεζών που το διαχει-ρίζεται η Τράπεζα της Ελλάδος, και στη συνέχεια περιγράφονται οι δράσεις αντιμετώπισης του Φ. όπως προκύπτουν από το προτεινόμενο οργανωτικό σχήμα του.

6.3.3.1 Περιγραφή σεναρίου Η Τράπεζα της Ελλάδος φιλοξενεί κρίσιμα πληροφοριακά συστήματα, με τα οποία παρέχει υπηρε-σίες e-governent (δίκτυο Ελληνικών τραπεζών).

Ο υπεύθυνος Πληροφοριακών Συστημάτων και Δικτύων ενημερώνεται από το δίκτυο των τραπε-ζών που είναι συνδεδεμένες και εξυπηρετούνται από το κεντρικό σύστημα της ΤτΕ για ασυνέχεια στις προσφερόμενες υπηρεσίες και αδυναμία σύνδεσης στο κεντρικό σύστημα, με αποτέλεσμα να παρουσιαστεί δυσλειτουργία στον ευρύτερο τραπεζικό τομέα

Το πρόβλημα που ανέκυψε δεν δύναται να διορθωθεί από τους τεχνικούς ασφαλείας δικτύων της ΤτΕ εντός ολίγων ωρών, έχουν διακοπεί όλες οι συνδέσεις των τραπεζών με το κεντρικό πληροφο-ριακό σύστημα της ΤτΕ και η κατάσταση χαρακτηρίζεται ως ‘κρίση’ εντός της ΤτΕ.

Ο υπεύθυνος Πληροφοριακών Συστημάτων και Δικτύων (ή υπεύθυνος Ασφαλείας, εάν υπάρχει) της ΤτΕ ειδοποιεί άμεσα το Τμήμα Συλλογής Περιστατικών του Φ. προκειμένου να λάβει άμεση δράση και να επιλυφθεί του θέματος για την άμεση αντιμετώπιση της κρίσεως.

Η ΤτΕ έχει καταθέσει τις πολιτικές ασφάλειας και τα σχέδια συνέχισης λειτουργίας του δικτύου των Ελληνικών τραπεζών. Το σύνολο της παραπάνω τεκμηρίωσης έχει ελεγχθεί για συμβατότητα με το πρότυπο ISO27001 ή αντίστοιχο, ευρείας αποδοχής.

6.3.3.2 Δράσεις του Φ.

Η Ομάδα Συλλογής Περιστατικών • Δέχεται την αναφορά περιστατικού από τον υπεύθυνο Πληροφοριακών Συστημάτων και Δικτύων της ΤτΕ μέσω ασφαλούς διαδικασίας που δεν επιδέχεται αποποίηση της ενέργειας (non-repudiati-on).

• Καταγράφει, καταχωρεί και προωθεί το περιστατικό στην Ομάδα Διερεύνησης Περιστατικών.

Η Ομάδα Διερεύνησης • Αναλύει το περιστατικό.

• Επικοινωνεί και συνεργάζεται με τον Υπεύθυνο Δικτύου και τον Υπεύθυνο Ασφάλειας της ΤτΕ για συλλογή περισσότερων πληροφοριών.

• Προωθεί τις πληροφορίες που συγκεντρώθηκαν στην Ομάδα Αντιμετώπισης Περιστατικών και στην Ομάδα Ελέγχου.

Η Ομάδα Αντιμετώπισης Περιστατικών • Συνεργάζεται με την Ομάδα Συμβούλων – Εμπειρογνωμόνων προκειμένου να διερευνήσει την ύ-παρξη αντίστοιχου καταχωρημένου περιστατικού στην Βάση Δεδομένων την οποία διατηρεί στο αρχείο του το Φ.

Η Ομάδα Συμβούλων – Εμπειρογνωμόνων • Αναγνωρίζει αντίστοιχο συμβάν σε κεντρικά τραπεζικά συστήματα του εξωτερικού.



245

• Ξεκινάει την καταγραφή προτάσεων προκειμένου για την ανάληψη συγκεκριμένων δράσεων και ενεργειών για την αντιμετώπιση και άμεση επίλυση του προβλήματος.

• Χαρακτηρίζει την κατάσταση ως «Κρίση».

• Ξεκινάει την εξέταση συγκεκριμένων δράσεων και τρόπους αντιμετώπισης της κρίσης.

• Παράλληλα, ενημερώνεται η Συντονιστική Επιτροπή η οποία με τη σειρά της ενεργοποιεί την Ο-μάδα Διαχείρισης Κρίσεων.

• Ενημερώνει και συνεργάζεται με την Ομάδα Διαχείρισης Κρίσεων και την Ομάδα Αντιμετώπι-σης Περιστατικών

Η Ομάδα Διαχείρισης Κρίσεων • Συνεπικουρούμενη απότην Ομάδα των Συμβούλων-Εμπειρογνωμόνων, διαμορφώνει το Τελικό Σχέδιο Αντιμετώπισης της Κρίσης για τη συγκεκριμένη περίπτωση.

• Συνεργάζεται με την Ομάδα Αντιμετώπισης Περιστατικών και το Νομικό Σύμβουλο.

• Επίσης, ενεργοποιεί τους συνδέσμους της με συναφείς φορείς (Εθνικό CERT, ΕΔΕΤ, ΑΠΠΔ, ΑΔΑΕ κλπ.) και συγκαλεί άμεση ενεργοποίηση των μηχανισμών συνεργασίας για την παροχή βοηθείας και επιστημονικής και τεχνικής συμβολής για την αντιμετώπιση της κρίσης.

• Προωθεί το Σχέδιο Αντιμετώπισης της Κρίσης στον υπεύθυνο Δικτύων και Ασφάλειας της ΤτΕ, και ξεκινάει η διαδικασία εξομάλυνσης της κρίσης, βάσει των οδηγιών του Φ.

Η Ομάδα των Συμβούλων – Εμπειρογνωμόνων • Καταγράφει το περιστατικό και τα ληφθέντα μέτρα με λεπτομερή τρόπο, έτσι ώστε να είναι άμε-σα αξιοποιήσιμα σε μελλοντικές αντίστοιχες καταστάσεις κρίσεων.

• Λαμβάνει ενημέρωση από τον υπεύθυνο Δικτύων και Ασφάλειας της ΤτΕ για την πορεία επίλυ-σης της κρίσης.

• Μετά το τέλος της κρίσης, ενημερώνει τη Συντονιστική Επιτροπή για τις ενέργειες αντιμετώπι-σής της.

• Το περιστατικό και οι τρόποι αντιμετώπισης κοινοποιούνται στην Ομάδα για την Ενημέρωση και Πρόληψη και στο Τμήμα Δημοσίων Σχέσεων και Τύπου.

• Οίζεται ένα μέλος της Ομάδας Διαχείρισης Κρίσεων σαν αντιπρόσωπος για τον Τύπο σε περί-πτωση μεγάλης δημοσιότητας του περιστατικού.

Η Ομάδα για την Ενημέρωση και Πρόληψη • Καταχωρεί το περιστατικό και τις δράσεις αντιμετώπισής του.

• Ενημερώνει τον Υπεύθυνο Δικτύου της ΤτΕ (προσαρμόζοντας τις δράσεις στις πολιτικές ασφά-λειάς του, τις οποίες επανα-υποβάλλονται ενημερωμένες στην Ομάδα Ελέγχου ή στον αρμόδιο φορέα).

• Συντάσσει μια περιγραφή του περιστατικού και των τρόπων αντιμετώπισής του με ένα εύληπτο προς το ευρύ κοινό τρόπο και το προωθεί στο Τμήμα Δημοσίων Σχέσεων και Τύπου.

• Ενεργοποιεί όλους τους εσωτερικούς μηχανισμούς ενημέρωσης των χρηστών του Φ.



246

Η Ομάδα Διερεύνησης Περιστατικών • Σε συνεργασία με το Νομικό Σύμβουλο, ενημερώνει τις Ρυθμιστικές Αρχές και τις ομάδες επιβο-λής του νόμου για τυχόν καταλογισμό ευθυνών.

Το Τμήμα Δημοσίων Σχέσεων και Τύπου • Ενημερώνει τον ιστότοπο του Φ. σχετικά με την κρίση και τους τρόπους αντιμετώπισής του με την περιγραφή που έλαβε από την Ομάδα για την Ενημέρωση και Πρόληψη,

• Ενεργοποιεί όλους τους μηχανισμούς ενημέρωσης των εξωτερικών φορέων.


Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3



247

77 Διαβούλευση



248

7. Διαβούλευση 7.1 Εισαγωγή – Ανάγκη για διαβούλευση

Όπως ήδη αναφέρθηκε κατά την ανάπτυξη της μεθοδολογίας του παρόντος έργου (παρ. 2.2, Βήμα 5), απαραίτητη προϋπόθεση εφαρμογής οποιασδήποτε πολιτικής ασφάλειας/ προστασίας υποδομών ζωτικής σημασίας είναι η συντονισμένη συνέργεια όλων των εμπλεκόμενων μερών. Η προϋπόθεση αυτή γίνεται ακόμη πιο αναγκαία στην περίπτωση των υποδομών ΠΕΥ ΔΔ λόγω:

της αυξανόμενης πολυπλοκότητας και κρισιμότητας των υποδομών αυτών, της απελευθέρωσης της αγοράς των τηλεπικοινωνιών και της συνακόλουθης αύξησης των εμ-

πλεκόμενων μερών στο νέο επιχειρηματικό μοντέλο διευρυμένης συνεργασίας ιδιωτικού και δημόσιου τομέα,

της αυξανόμενης χρήσης του Διαδικτύου στην παροχή υπηρεσιών ηλεκτρονικής διακυβέρνη-σης και της εξ αυτής της χρήσης παγκοσμιοποίησης των απειλών (ο όρος Cybercrime περιγρά-φει τις οργανωμένες επιθέσεις κατά της ασφάλειας κρίσιμων κυβερνητικών υποδομών μέσω Διαδικτύου [Mcaf-07]).

Δεδομένου ότι η «αλυσίδα» της ασφάλειας είναι τόσο ισχυρή όσο ο πιό αδύναμος κρίκος της, απαι-τείται μια ισοσθενής αύξηση του επιπέδου ασφάλειας όλων των συνδεδεμένων συστημάτων, καθώς και η διαρκής ενημέρωση και δέσμευση όλων των συνεργαζόμενων μερών επί των σχετικών θεμά-των ασφάλειας. Σε ένα ανοικτό περιβάλλον πολυμερούς συνεργασίας, όπως αυτό της παροχής υπη-ρεσιών ηλεκτρονικής διακυβέρνησης, το μοντέλο της “ασφάλειας μέσω απόκρυψης” (security by obscurity) είναι αναποτελεσματικό. Αντίθετα, είναι απαραίτητη η ανάπτυξη μιας «κουλτούρας» α-σφάλειας [OECD-02] μέσα από διαρκείς δράσεις ενημέρωσης και διαβούλευσης μεταξύ των συμ-μετεχόντων (παρόχων υποδομών και υπηρεσιών, χρηστών των υπηρεσιών, κανονιστικών αρχών, φορέων σχετικών με ασφάλεια και προστασία).

Στο πνεύμα των παραπάνω διαπιστώσεων, η Ο.Ε. ενέταξε στη μεθοδολογία της δράση οργανωμε-νης διαβούλευσης με εμπειρογνώμονες, οι οποίοι είτε εμπλέκονται ex officio στο χώρο αυτό, είτε εκτιμάται ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Οι πρωτοβουλίες/φάσεις αυτής της διαβούλευσης και τα κύρια αποτελέσματά τους παρουσιάζονται σύντομα στη συνέχεια.

7.2 Πρωτοβουλίες Διαβούλευσης

Η διαβούλευση που οργάνωσε η Ο.Ε. στα πλαίσια του παρόντος έργου διεξήχθη μέσα από τις ακό-λουθες πέντε πρωτοβουλίες/φάσεις: Φάση 1: Επιλογή συμμετεχόντων στη διαβούλευση

Για την αποτελεσματικότερη διεξαγωγή της διαβούλευσης στα στενά χρονικά πλαίσια του παρό-ντος έργου κρίθηκε αναγκαία η μεθοδική επιλογή των συμμετεχόντων σε αυτήν. Αρχικά προσδιο-ρίστηκαν οι υποψήφιες κρίσιμες ΠΕΥ ΔΔ, στα πλαίσια της δράσης που αναλυτικότερα παρουσιά-ζεται στο Κεφάλαιο 5 του παρόντος. Για τις υποδομές αυτές εντοπίστηκαν τα εμπλεκόμενα μέρη των εξής κατηγοριών:

Κ1. Πάροχοι δικτύων, υπηρεσιών, συστημάτων, εφαρμογών, προϊόντων προστασίας (π.χ. ΟΤΕ-ΟΤΕΝΕΤ για το ΣΥΖΕΥΞΙΣ, NEWSPHONE για τα ΟΠΣ-ΚΕΠ, ΣΕΠΕ ως ο σύνδεσμος των παρόχων εξοπλισμού πληροφορικής κλπ).

Κ2. Χρήστες των υποδομών-πάροχοι υπηρεσιών ΔΔ (ΓΓΠΣ, άλλες Υπηρεσίες Υπουργείων, Νο-μαρχιακή Αυτοδιοίκηση κλπ).



249

Κ3. Εποπτικές/Κανονιστικές/Ρυθμιστικές Αρχές (ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ, ΕΛΑΣ, όπως αναλυτικά παρουσιάζονται στο Κεφάλαιο 4 του παρόντος)

Κ4. Άλλοι φορείς σχετιζόμενοι με ασφάλεια-προστασία.

Στη συνέχεια, από τους παραπάνω εμπλεκόμενους εντοπίστηκαν πρόσωπα-κλειδιά για συνεργασία με την Ομάδα Εργασίαςς. Βεβαίως, στη σύνθεση της ομάδας εργασίας υπάρχει ήδη σημαντική εκ-προσώπηση αρκετών από τους παραπάνω φορείς. Φάση 2: Σύνταξη-αποστολή Ερωτηματολογίων

Στη φάση αυτή συντάχθηκαν ερωτηματολόγια με ερωτήσεις εξειδικευμένες για κάθε διακριτή κα-τηγορία εμπλεκόμενων φορέων. Συγκεκριμένα, διατυπώθηκαν τρία διαφορετικά ερωτηματολόγια και απεστάλησαν στους επιλεγέντες ανθρώπους-κλειδιά:

Ερωτηματολόγιο Ε1: Aπευθύνεται σε Παρόχους/Αναδόχους υποδομών και υπηρεσιών και στο-χεύει στην σκιαγράφηση του επιπέδου ασφαλείας αλλά και των τρεχουσών πρακτικών των φο-ρέων σε σχέση με την προστασία ΠΕΥ.

Ερωτηματολόγιο Ε2: Aπευθύνεται σε Χρήστες υποδομών/παρόχους υπηρεσιών ΔΔ και στόχο είχε να αποτιμήσει το βαθμό εξέλιξης των υπηρεσιών ΔΔ που παρέχονται, συνιστώσες ασφά-λειας αλλά και το επίπεδο κρισιμότητας των ΠΕΥ ΔΔ. Τα πορίσματα αυτών των ερωτηματο-λογίων χρησιμοποιήθηκαν για να επιβεβαιώσουν τις εκτιμήσεις της Ο.Ε. σε σχέση με την κρι-σιμότητα των ΠΕΥ.

Ερωτηματολόγιο Ε3: Aπευθύνεται σε εποπτεύουσες αρχές και φορείς, και στόχο είχε να εξα-γάγει συμπεράσματα που θα βοηθούσαν κατά τη σχεδίαση του οργανωτικού σχήματος.

Φάση 3: Συλλογή και επεξεργασία των απαντήσεων

Έγινε η συλλογή και επεξεργασία των απαντήσεων ώστε να διατυπωθούν νέα συμπεράσματα ως συνισταμένη των απόψεων που κατατέθηκαν (βλ. επόμενη παράγραφο). Η επεξεργασία των απα-ντήσεων και δημοσίευση των συμπερασμάτων έγινε με ανώνυμο τρόπο.

Φάση 4: Διοργάνωση ημερίδας (workshop)

Βλέπε σχετική παράγραφο στη συνέχεια.

Φάση 5: Δημοσίευση/Κοινοποίηση συμπερασμάτων

Κατά τη φάση αυτή θα κοινοποιηθούν τα συμπεράσματα της διαβούλευσης (μέσω και του παρό-ντος παραδοτέου) σε όλους όσοι έλαβαν μέρος στη διαβούλευση, αλλά και σε άλλους εμπλεκόμε-νους φορείς. Θα ανακοινωθούν, επίσης, τα κύρια συμπεράσματα σε επιλεγμένα δημόσια fora (π.χ. INFOSYSTEMS, ICT Forum κλπ.). 7.3 Ερωτηματολόγια – συνοπτικά συμπεράσματα

Στο Παράρτημα Α’ παρατίθενται τα τρία ερωτηματολόγια, όπως διατυπώθηκαν για τους φορείς των κατηγοριών Κ1, Κ2 και Κ3. Συγκεντρώθηκαν και αξιολογήθηκαν 6, 3 και 8 ερωτηματολόγια,



250

αντίστοιχα. Από την επεξεργασία των απαντήσεων προκύπτουν τα παρακάτω συμπεράσματα63.

7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1

1. Η πλειοψηφία των οργανισμών δεν διαθέτει ένα σαφώς καθορισμένο οργανωτικό σχήμα δια-χείρισης της Ασφάλειας Πληροφοριών (βλ. ερώτηση 1). Μόνο οι 2 από τους 6 ερωτηθέντες (33%) απάντησαν ότι έχει οριστεί οργανωτικό σχήμα. Από αυτούς: και οι δύο έχουν εκχωρήσει μερος δραστηριοτήτων σε άλλα άλλα τμήματα/διευθύνσεις του ίδιου οργανισμού, ενώ μόνον ο ένας έχει πλήρως ενσωματώσει τη Διαχείριση Ασφάλειας Πληροφοριών στη συνολική Διαχεί-ριση Κινδύνων του οργανισμού.

2. Σε σημαντικά θέματα ασφάλειας (βλ. ερώτηση 2) παρατηρείται μια επικέντρωση στον προλη-πτικό χαρακτήρα των μέτρων ασφάλειας που έχουν υιοθετηθεί. Μόνο 1 από τους 6 ερωτηθέ-ντες αναφέρει ύπαρξη μέτρων κατασταλτικού χαρακτήρα σε αρκετές δραστηριότητες.

3. Παρατηρείται μια έντονη δραστηριότητα σε θέματα κανονιστικής συμμόρφωσης (βλ. ερώτηση 3), η οποία έχει ξεκινήσει τουλάχιστο ένα χρόνο πριν και θα συνεχισθεί τους επόμενους 12 μή-νες. Τα θέματα ασφάλειας έχουν ενσωματωθεί, ως επί το πλείστον, σε αυτές τις προσπάθειες χωρίς να διατηρούν ένα αυτόνομο χαρακτήρα σαν ξεχωριστά έργα. Χαρακτηριστικό είναι ότι το 100% των ερωτηθέντων δηλώνουν ότι επηρεάζονται από το κανονιστικό πλαίσιο που σχετι-ζεται με την προστασία προσωπικών δεδομένων και την ιδιωτικότητα.

4. Τα θέματα ασφάλειας που κυρίως απασχολούν τους ερωτηθέντες (βλ. ερώτηση 4) σχετίζονται με τις Εφαρμογές Διαδικτύου, τα Web Services και λιγότερο με τα φορητά αποθηκευτικά μέσα και τα ασύρματα δίκτυα, με την πλειοψηφία να τα αντιμετωπίζει είτε στην παρούσα χρονική στιγμή είτε σε ένα ορίζοντα 12 μηνών. Είναι χαρακτηριστικό ότι μέσα από 12 εφαρμογές, το 100% των ερωτηθέντων απαντά ότι θεωρεί σημαντικές τις εφαρμογές διαδικτύου, ενώ σε όλα τα άλλα ζητήματα οι απαντήσεις είναι λίγες και διάσπαρτες.

5. Ο έλεγχος του επιπέδου ασφάλειας του οργανισμού (βλ. ερώτηση 5) επιτυγχάνεται με ιδία μέσα είτε με Εσωτερικό ελέγχου είτε με διαδικασίες εσωτερικής αποτίμησης.

6. Οι κυριότερες δραστηριότητες ασφάλειας (βλ. ερώτηση 6) σε βάση σπουδαιότητας είναι διάσ-παρτες και ποικίλλουν από τη Συμμόρφωση, τη Συνέχεια Λειτουργιών έως τη φυσική και τη λογική ασφάλεια και την προμήθεια/ανάπτυξη/συντήρηση ΠΣ. Αντίστοιχα, οι πλέον χρονοβό-ρες δραστηριότητες είναι η Συνέχεια Λειτουργιών, η Συμμόρφωση και η προμήθεια/ανάπτυξη /συντήρηση ΠΣ.

7. Στο επίπεδο του τρόπου αντιμετώπισης των θεμάτων ασφάλειας (βλ. ερώτηση 7), μόνο ένας στους 6 καλύπτει πλήρως και με τυπικό τρόπο (θεσμοθετημένο πλαίσιο, πολιτικές, διαδικασίες, κλπ.), ενώ 2 στους 6 (33%) καλύπτουν όλα τα θέματα με τυπικό τρόπο εκτός της σύγκλισης φυσικής και λογικής ασφάλειας. Η πλειονότητα των ερωτηθέντων καλύπτει τα θέματα ασφά-λειας με ένα μικτό τρόπο, δηλ. με ένα συνδυασμό άτυπων και τυπικών πλαισίων και πρακτι-κών.

8. Περί της συνεργασίας με τρίτα μέρη (βλ. ερώτηση 8), σχεδόν όλοι οι ερωτηθέντες απαιτούν ρητά από τους συνεργάτες να έχουν ορισμένες και εφαρμοσμένες πολιτικές και διαδικασίες α-σφάλειας και δυνατότητα ενσωμάτωσης των πολιτικών και διαδικασιών του οργανισμού του ε-ρωτηθέντος. Το 33% απαιτεί ανεξάρτητη εμπορική πιστοποίηση του τρίτου μέρους (πχ κατά ISO/IEC 27001), ενώ το 16% ενδεχόμενα λαμβάνει υπόψη αποτίμηση από ανεξάρτητη οντότη-τα με βάση βέλτιστες πρακτικές.

9. Μόνο το 50% έχει διεξάγει μια άσκηση Αποτίμησης Επικινδυνότητας (βλ. ερώτηση 9), ενώ

63 Δεδομένης της μεθοδολογίας που ακολουθήθηκε, καθώς και της σύνθεσης του δείγματος, τα εξαχθέντα συ-μπεράσματα είναι μεν ενδεικτικά τάσεων, αλλά δεν μπορούν να θεωρηθούν αντιπροσωπευτικά του αναλυ-όμενου πληθυσμού, ούτε ασφαλώς γενικεύσιμα.



251

από αυτούς που απάντησαν θετικά, κατά την Άσκηση έχουν καλυφθεί όλοι οι βασικοί τομείς και απαιτήσεις.

10. Η συχνότητα ενημέρωσης σε θέματα ασφάλειας (βλ. ερώτηση 10), ποικίλλει ανάλογα με τον α-ποδέκτη της ενημέρωσης: οι ερωτηθέντες που έχουν θεσμοθετημένο πλαίσιο διαχείρισης ασφά-λειας, τείνουν να ενημερώνουν τους υπεύθυνους τμημάτων/διοικητικών μονάδων κάθε μήνα, ενώ την Εκτελεστική Διοίκηση ανά 1-2 μήνες.

11. Τα κυρίαρχο πρότυπο ασφάλειας και διαχείρισης κινδύνων (βλ. ερώτηση 12) είναι το ITIL (με τις αντίστοιχες αιτιάσεις του σε θέματα ασφάλειας) σε ποσοστό 33%, ενώ το 16% (ο ίδιος οργανισμός που έχει υιοθετήσει το ITIL) εφαρμόζει και το ISO/IEC 27001. Η πλειοψηφία των ερωτηθέντων δεν εφαρμόζει κάποιο τυπικό πλαίσιο.

12. Θέματα φυσικής πρόσβασης (βλ. ερώτηση 13) αντιμετωπίζονται με απλές κάρτες πρόσβασης (100%), ενώ μόνο 1 στους 6 χρησιμοποιεί κάποιο σύστημα αυθεντικοποίησης. Το 66% έχει τη δυνατότητα ενοποιημένης παρακολούθησης των προσπαθειών φυσικής και λογικής πρόσβασης από μια κονσόλα.

13. Μόνο ένας από τους ερωτηθέντες δεν διαθέτει τυπικό Σχέδιο Διαχείρισης Συνέχειας Λειτουργι-ών (βλ. ερώτηση 15), ενώ το 84% των ερωτηθέντων έχουν αναπτύξει ένα Πλάνο Συνέχειας Λειτουργιών κάποιας μορφής.

14. Μόνο ένας στους 6 έχει προβλέψει μείζονες κρίσεις (όχι απαραίτητα σε επίπεδο ΠΣ), το 33% θεωρεί ότι καλύπτεται από τα υπάρχοντα πλάνα συνέχειας ενώ το 50% δεν έχει λάβει υπόψη του καθόλου τέτοια περιστατικά.

15. Μόνο ένας στους 6 έχει ελέγξει (ή εφαρμόσει) το Πλάνο Συνέχειας Λειτουργιών στα τελευταία 2 έτη, ενώ το 66% δεν το έχει ελέγξει (ή εφαρμόσει) ποτέ.

16. Υπάρχει μια γενική ανεπάρκεια πρόβλεψης/ενσωμάτωσης των δράσεων που αναφέρονται σε παράπλευρες (όχι τεχνικά κύριες) δραστηριότητες που σχετίζονται με τα Σχέδια Ανάκαμψης από Καταστροφή (Disaster Recovery Plan, DRP), ενώ το 50% ελέγχει τα Σχέδια με επαρκή συ-χνότητα προκειμένου να βελτιώνονται και να προσαρμόζονται στις αλλαγές του οργανισμού (τεχνολογίες, προσωπικό και εγκαταστάσεις).

17. Η μεγάλη πλειονότητα των ερωτηθέντων δίνει μεγάλη σημασία στα SLA (εδώ έρχεται σε αντί-θεση η απάντηση παραπάνω ότι «μόνο το 33% έχει ρητά ορίσει τους χρόνους ανάκαμψης στα SLA», ενώ στην ειδική για τα SLA ερώτηση φαίνεται ότι το 84% έχει προχωρήσει σε «Ορισμό ποσοτικών και ποιοτικών μετρικών επαρκούς επιπέδου παροχής υπηρεσίας (διαθεσιμότητα, απόδοση, χρόνοι απόκρισης κλπ.)».


Οι απαντήσεις προέρχονται από τρεις μόνο φορείς, όμως αφορούν συστήματα μεγάλης βαρύτητας, τόσο σε γεωγραφική έκταση, όσο και σε αριθμό χρηστών. 18. Σχεδόν στο σύνολό τους οι προσφερόμενες υπηρεσίες βρίσκονται σε πολύ υψηλό επίπεδο εξέ-

λιξης (διεκπεραίωση αιτημάτων/συναλλαγών/πληρωμής). 19. Στο σύνολο των εξεταζόμενων υπηρεσιών, ο αριθμός των εξυπηρετούμενων χρηστών είναι πο-

λύ υψηλός, (από εκατοντάδες χιλιάδες, μέχρι εκατομμύρια χρήστες). 20. Οι παρεχόμενες υπηρεσίες εξαρτώνται σε μεγάλο βαθμό από άλλα ΟΠΣ ή υποδομές, κυρίως ε-

σωτερικές του οργανισμού, αλλά σε κάποιες περιπτώσεις και εξωτερικές. Σε κάποιες περιπτώ-σεις, όπου οι υποδομές παρέχονται και από παρόχους του ιδιωτικού τομέα, αυτές αφορούν υπη-ρεσίες δικτύωσης.

21. Αναφορικά με το υφιστάμενο επίπεδο ασφάλειας, σε όλους τους υπό εξέταση οργανισμούς έχει συνταχθεί (ή βρίσκεται σε διαδικασία σύνταξης/αναθεώρησης) Πολιτική Ασφάλειας και σε κά-



252

ποιους μελέτη επικινδυνότητας. Όμως, τα μέτρα ασφάλειας που προβλέπονται δεν είναι πλή-ρως υλοποιημένα.

22. Σχετικά με τις υπηρεσίες που παρέχονται μέσω τρίτου φορέα: Στη μία περίπτωση αφορά μόνο την υποδομή ΣΥΖΕΥΞΙΣ, στην δεύτερη περίπτωση που παρέχονται διάφορες υπηρεσίες μέσω τρίτων, στα έργα που προκηρυχθήκαν από την ΚτΠ, πολλά θέματα ασφάλειας ή SLA αφήνονται στον Σύμβουλο Τεχνικής Υποστήριξης και την ΚτΠ, γεγονός που δεν οδηγεί σε ευ-αισθητοποίηση-ωρίμανση των ζητημάτων ασφάλειας στον ίδιο τον οργανισμό και στις περι-πτώσεις που υπάρχουν SLAs, αναφέρθηκαν ελλείψεις. Και οι τρεις οργανισμοί δήλωσαν ότι υπάγονται (άμεσα ή έμμεσα) στην ελεγκτική αρμοδιότητα των Ανεξάρτητων/Ρυθμιστικών Αρ-χών (ΑΔΑΕ, ΑΠΠΔ, ΕΕΤΤ), παράγοντας που πρέπει να ληφθεί υπόψη στο σχεδιασμό του ορ-γανωτικού σχήματος.

23. Σχετικά με τις πιθανές επιπτώσεις, παρατηρήθηκαν τα ακόλουθα: (α) Δεν καταγράφηκαν πιθα-νές επιπτώσεις ανθρώπινων απωλειών, (β) Η μη λειτουργία των υποδομών θα επηρέαζε πολύ μεγάλο αριθμό χρηστών και σε μεγάλη γεωγραφική έκταση, (γ) Δύο από τους τρεις φορείς αξι-ολογούν ως πολύ σημαντική επίπτωση την επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕ. Ως αρκετά σημαντικές αξιολογούνται και οι πιθανές επιπτώσεις στην ιδιωτικότητα των χρη-στών (αποκάλυψη προσωπικών δεδομένων κλπ.). Το κόστος ανάκαμψης και η οικονομική επί-πτωση παρουσιάζει μεγάλη διακύμανση ανά ΟΠΣ/υποδομή. Οι επιπτώσεις ως προς την αντί-δραση της κοινής γνώμης και την εφαρμογή πολιτικής και λειτουργίαs της Δημόσιας Διοίκη-σης βρίσκονται σε μέτριο επίπεδο.


1. Πολλές Δημόσιες Υπηρεσίες έχουν αναλάβει αρμοδιότητες σχετικές με την ασφάλεια. Θα πρέ-πει να οριοθετηθούν αυτές οι αρμοδιότητες ώστε να μη υπάρχουν επικαλύψεις. Να δημιουργη-θούν συνέργειες και να ανοιχτούν κανάλια επικοινωνίας ώστε να δημιουργηθεί μια ενιαία πολι-τική στα τόσα σημαντικά θέματα όπως είναι η ασφάλεια και η ιδιωτικότητα. Συγκεκριμένα πα-ραδείγματα συνεργιών έχουν προταθεί μεταξύ των φορέων: ΕΛΑΣ, ΑΠΠΔ, ΑΔΑΕ, ΕΕΤΤ, ΓΕΕΘΑ κλπ.

2. Η ΕΥΠ λειτουργεί ως: (α) Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και (β) ως υπεύθυνη του κρατικού CERT η οποία μεριμνά για την Ασφάλεια των Εθνικών Επικοινωνιών και των Συστημάτων Τεχνολογίας Πληροφοριών, καθώς και για την Πιστοποίηση του Διαβαθμισμένου Υλικού των Εθνικών Επικοινωνιών. Η τεχνική, οργανωτική, διαχειριστική πλαισίωση του εθνι-κού μας CERT προτείνεται να γίνει με τη συνεργασία και άλλων φορέων.

3. H συνεργασία με αντίστοιχες ερευνητικές ομάδες ΑΕΙ είναι αναγκαία, διότι οι ομάδες αυτές βρίσκονται στην αιχμή της έρευνας.

4. Έλεγχος της αναλογικότητας των μέτρων που λαμβάνονται από τους Οργανισμούς σχετικά με την προστασία προσωπικών δεδομένων που διατηρούν προβλέπονται από το Ν. 2472/97 περί προστασίας δεδομένων προσωπικού χαρακτήρα. Η ΑΠΠΔ εξετάζει τις πολιτικές ασφάλειας για να εκτιμήσει τον κίνδυνο, από πλευράς ασφάλειας, της ιδιωτικότητας των δεδομένων. Στην προστασία κρίσιμων υποδομών ο στόχος πρέπει να είναι ο υπολογισμός του κινδύνου μιας κρί-σιμης υποδομής σε περίπτωση καταστροφής.

5. Η διασφάλιση της ιδιωτικότητας εστιάζει στην εμπιστευτικότητα των στοιχείων ενώ η προστα-σία των υποδομών στην διαθεσιμότητα. Επομένως θα πρέπει να δημιουργηθεί μια καινούργια οντότητα υπεύθυνη για τις κρίσιμες υποδομές της δημόσιας διοίκησης που να εξετάζει τις πο-λιτικές ασφάλειας ως προς την διαθεσιμότητα των υποδομών. Οι βάσεις δεδομένων της ΑΔΑΕ, ΑΠΠΔ και οποιοδήποτε άλλου φορέα που αποθηκεύει πολιτικές ασφάλειας θα πρέπει να είναι άμεσα προσβάσιμες και από τη καινούργια οντότητα ώστε να γίνεται ο έλεγχος από πλευράς



253

διαθεσιμότητας. 6. Οι Αρχές θα πρέπει να ενοποιήσουν την δομή της πολιτικής ασφάλειας, έτσι ώστε να μπορούν

να εξετασθούν όλες οι συνιστώσες (ιδιωτικότητα, διαθεσιμότητα, ακεραιότητα, αυθεντικότητα, ασφαλής πρόσβαση κλπ.) σύμφωνα με το πρότυπο ISO 27002, έτσι ώστε οι οργανισμοί να μην χρειάζεται να υποβάλλουν διαφορετικές πολιτικές ασφάλειας σε κάθε Αρχή. Με άλλα λόγια να δημιουργηθεί ένα κοινόχρηστο σύστημα ελέγχου πολιτικών ασφάλειας και ιδιωτικότητας με ασφαλή τρόπο πρόσβασης.

7.4 Ημερίδα διαβούλευσης

7.4.1 Σκοπός και διάρθρωση

Σκοπός της ημερίδας ήταν η ζωντανή ανταλλαγή απόψεων και εμπειριών επί θεμάτων προστασίας των κρίσιμων ΠΕΥ με τους ανθρώπους που επελέγησαν για επαφή και συνεργασία, με έναν αμφί-δρομο στόχο, δηλαδή αφενός την υποβοήθηση της Ο.Ε. στη διαμόρφωση των προτάσεών της για το ενδεδειγμένο οργανωτικό σχήμα προστασίας των ΠΕΥ ΔΔ και αφετέρου τη διάχυση των θέσεων και απόψεων της Ο.Ε. προς τους εμπλεκόμενους φορείς.

Η ημερίδα έλαβε χώρα στις 10/7/2008 στις εγκαταστάσεις της ΚτΠ Α.Ε. και διαρθρώθηκε σε τρία μέρη (βλ. Παράρτημα Β, Πρόγραμμα Ημερίδας):

Μέρος 1ο: Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και εποπτικοί φορείς στην Ελλάδα και διεθνώς

Μέρος 2ο: Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητημα-τα Ασφάλειας

Μέρος 3ο: Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης στην Ελλάδα

Στο πρώτο μέρος έγινε σύντομη αναφορά σε οργανωτικά σχήματα από τη διεθνή εμπειρία, επιφορ-τισμένα με το ρόλο της προστασίας των κρίσιμων ΠΕΥ. Έγινε επίσης αναφορά σε εποπτικούς φορείς στην Ελλάδα σχετιζόμενους με την ασφάλεια των ΠΕΥ. Διατυπώθηκαν σχετικά ερωτήματα και ακολούθησε συζήτηση.

Στο δεύτερο μέρος παρουσιάστηκαν, σύντομα και πάλι, υπηρεσίες και υποδομές ηλεκτρονικής διακυβέρνησης στην Ελλάδα και διατυπωθηκαν γενικά ζητήματα ασφάλειας.

Τέλος, στο τρίτο μέρος αναζητήθηκαν προτάσεις για την προστασία των θεωρούμενων κρίσιμων ΠΕΥ της ΔΔ στην Ελλάδα.

7.4.2 Επί μέρους θέματα συζήτησης

Μεταξύ των θεμάτων που συζητήθηκαν κατά την ημερίδα ήταν και τα εξής:

1. Υπάρχουν ρυθμιστικοί/εποπτικοί φορείς για ορισμένες συνιστώσες της ασφάλειας των Πληρο-φοριακών-Επικοινωνιακών Υποδομών (προστασία προσωπικών δεδομένων, απόρρητο των επικοινωνιών, ηλεκτρονικό έγκλημα, διαθεσιμότητα δημόσιων δικτύων επικοινωνίας, ασφά-λεια διαβαθμισμένης πληροφορίας σε θέματα εθνικής σημασίας). Δεν καλύπτουν, ωστόσο, την προστασία υποδομών και περιεχομένου στο σύνολό της, όπως, για παράδειγμα, τη διαθεσι-μότητα υποδομών και υπηρεσιών σε καθημερινές συναλλαγές του πολίτη και των επιχειρήσε-ων με τη δημόσια διοίκηση (ΚΕΠ, ΣΥΖΕΥΞΙΣ, Data Centers). Ανακύπτουν τα ερωτήματα:



254

Ποιό νέο σχήμα θα μπορούσε να καλύψει το κενό; Με ποιά νομική υπόσταση, ποιά οργα-νωτική δομή και ποιές αρμοδιότητες;

Αρκεί μια δράση τύπου CERT (ενημέρωση, υποστήριξη μετά από αίτημα, ανάλυση περι-στατικών κλπ.) ή απαιτείται και εποπτεία/έλεγχος (τύπου ΑΔΑΕ, ΕΕΤΤ)

Πώς μπορούν να εμπλακούν στο θέμα αυτό οι υπάρχουσες αρχές;

Θα πρέπει να συνδεθεί με το θέμα της γενικότερης (και φυσικής) προστασίας των υποδο-μών (προσέγγιση all hazards);

2. Δεδομένου ότι οι ΠΕΥ ΔΔ αναπτύσσονται κατά μεγάλο μέρος (και θα συνεχίσουν να συντη-ρούνται και στο μέλλον) από ιδιωτικές εταιρίες, ποιός ο ρόλος και ποιές οι δεσμεύσεις του ιδιωτικού τομέα στα πλαίσια μιας τέτοιας πρωτοβουλίας;

3. Οι περισσότεροι οργανισμοί/φορείς που φυλάσσουν/επεξεργάζονται προσωπικά δεδομένα υποβάλλουν Πολιτική Ασφάλειας στην ΑΠΠΔ. Τίθενται, σχετικά, τα ερωτήματα:

Υποχρεούνται να υποβάλλουν την πολιτική ασφάλειας και αλλού; Την ίδια;

Επαρκεί αυτή για την προστασία γενικότερα (μη διαθεσιμότητα κλπ);

7.4.3 Σταχυολόγηση απόψεων – Συμπεράσματα

Μεταξύ των συμπερασμάτων της ημερίδας διαβούλευσης σταχυολογούνται τα εξής σημαντικότε-ρα:

1. Δεν υπάρχει, πράγματι, φορέας (εποπτικός/κανονιστικός/ρυθμιστικός) ο οποίος να καλύπτει συνολικά και συστηματικά την προστασία ΠΕΥ και υπηρεσιών προς τους πολίτες στις καθημε-ρινές τους συναλλαγές με τη Διοίκηση (κεντρική ή περιφερειακή). Ένα νέο σχήμα θα ήταν χρήσιμο, αν όχι απαραίτητο.

2. Διαπιστώθηκε η ελλιπής εφαρμογή προτύπων από οργανισμούς, αλλά και η εν πολλοίς απου-σία έγκριτων πιστοποιημένων συμβούλων στην Ελλάδα. Το γεγονός αυτό αντανακλάται στην ποιότητα των μέτρων και πολιτικών για την ασφάλεια και την προστασία των ΠΕΥ.

3. Το νέο σχήμα δεν θα πρέπει να είναι ανεξάρτητη αρχή, ούτε να υποκαθιστά ή να επικαλύπτει

τις ήδη υπάρχουσες αρχές στο ρόλο τους. Θα πρέπει να διαθέτει διεπαφές συνεργασίας με τις αρχές αυτές, στις οποίες και θα παραπέμπει θέματα αρμοδιότητάς τους.

4. Το νέο σχήμα δεν θα ήταν σκόπιμο να υπαχθεί σε υπάρχουσες δομές και υπηρεσίες με αρμο-διότητα επί θεμάτων εθνικής ασφάλειας και προστασίας διαβαθμισμένης πληροφορίας. Δεν θα ήταν, επίσης, ευέλικτο, αν υπάγονταν στις υπηρεσίες γενικότερης προστασίας των υποδομών από φυσικές ή άλλες καταστροφές (προσέγγιση all hazards). Αντίθετα, σε πρώτη φάση θάταν καλό να επικεντρωθεί σε θέματα soft criticality των ΠΕΥ και ειδικότερα αυτών που σχετιζο-νται με τη Δημόσια Διοίκηση.

5. Διαπίστωση της Ο.Ε. είναι ότι η κρισιμότητα των ΠΕΥ εμφανίζει διαβαθμίσεις στη Δημόσια Διοίκηση. Μια ενδεικτική προτεινόμενη διαβάθμιση είναι η εξής:

Κρισιμότητα επιπέδου 1: Βασικές ΠΕΥ Δημόσιας Διοίκησης (υποδομές ενέργειας, ύδρευ-σης, τηλεπικοινωνιών, μεταφορών κ.ά.) που παρέχουν παραδοσιακές υπηρεσίες απαραίτη-τες για την καθημερινή ζωή των πολιτών.



255

Κρισιμότητα επιπέδου 2: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για τη διευκόλυνση οργανισμών μεταξύ τους σε εθνικό, ευρωπαικό και παγκόσμιο επίπεδο.

Κρισιμότητα επιπέδου 3: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για τη διευκόλυνση πολιτών (όχι μόνο εθνικά αλλά σε ευρωπαϊκό και παγκόσμιο επίπεδο) στις συναλλαγές τους με το κράτος.

Κρισιμότητα επιπέδου 4: ΠΕΥ Δημόσιας Διοίκησης που παρέχουν η-υπηρεσίες για την ε-νημέρωση των πολιτών ως προς τις δραστηριότητες του οργανισμού.

6. Θα πρέπει να μελετηθεί αρμοδίως η νομική υπόσταση του νέου σχήματος και η υπαγωγή του σε φορέα της κεντρικής διοίκησης, δεδομένου ότι θα καλύπτει περιοχές αρμοδιότητας διαφό-ρων Υπουργείων (ΥΜΕ και ΥΠΕΣ, κατ’ ελάχιστον). Ίσως θα πρέπει να εξετασθεί η δυνατοτη-τα αρχικής λειτουργίας του στα πλαίσια κάποιας υπάρχουσας υπηρεσίας, έως ότου ωριμάσει η ευρεία αποδοχή και οριστική θεσμοθέτησή του.

7. Noμικές διατάξεις και αυστηρά σκληρά οργανωτικά σχήματα δεν βοηθούν την προστασία των υποδομών. Τροποποιήσεις στο υπάρχον νομοθετικό πλαίσιο ώστε να ικανοποιούνται και οι α-νάγκες για την ασφάλεια, ιδιωτικότητα και προστασία υποδομών είναι απαραίτητες αλλά κατα-λυτική είναι η συνεργασία μεταξύ των εμπειρογνωμόνων, τα κανάλια επικοινωνίας και συνερ-γασίας με σχετικές ομάδες εργασίας και η οργανωμένη ανταλλαγή πληροφοριών.

8. Η συμμετοχή και ο ρόλος του ιδιωτικού τομέα μπορεί να είναι αξιόλογος, κατά το μοντέλο pu-blic-private partnership (ppp) που προωθείται διεθνώς. Θα πρέπει, ωστόσο, να δοθούν κίνητρα στις ιδιωτικές εταιρίες, προκειμένου να ενσωματώσουν στο σχεδιασμό και τη δράση τους θέ-ματα ασφάλειας και προστασίας και να αναπτύξουν σχετικούς κώδικες επιχειρηματικής δράσης και δεοντολογίας.



256

88 Συμπεράσματα - Προτάσεις



257

8. Συμπεράσματα - Προτάσεις 8.1 Κωδικοποίηση συμπερασμάτων και προτάσεων

Με βάση:

(α). την αναγνώριση και αδρή αποτίμηση των απειλών που αφορούν τις κρίσιμες ΠΕΥ της ελληνι-κής Δημόσιας Διοίκησης, καθώς και των αντίστοιχων επιπτώσεων που ενδέχεται να προκλη-θούν,

(β). την ευρύτατη διεθνή εμπειρία, που αφορά τα ποικίλα οργανωτικά σχήματα που έχουν σχεδια-σθεί και υλοποιηθεί παραγωγικά για την αποτελεσματική αντιμετώπιση των απειλών αυτών,

(γ). τις υπάρχουσες και τις αναπτυσσόμενες στην Ελλάδα υπηρεσίες ηλεκτρονικής διακυβέρνησης, καθώς και τα αντίστοιχα ΟΠΣ, δίκτυα υποδομής και εθνικές πύλες (portals),

(δ). τις τοπικές ιδιαιτερότητες και ειδικά τις όποιες υστερήσεις και δυσλειτουργίες της ελληνικής Δημόσιας Διοίκησης σε θέματα ενσωμάτωσης ΤΠΕ,

προτείνεται στη συνέχεια, με κωδικοποιημένο τρόπο, μια σειρά ιεραρχημένων παρεμβάσεων για την προστασία των κρίσιμων ΠΕΥ της ελληνικής ΔΔ.

Οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αφο-ρά θεσμικές παρεμβάσεις, δηλαδή παρεμβάσεις που προϋποθέτουν πολιτική βούληση και απόφαση αρμόδιων κυβερνητικών οργάνων. Η δεύτερη κατηγορία αφορά διαχειριστικές παρεμβάσεις, δηλα-δή παρεμβάσεις που μπορούν να εκδηλωθούν είτε στο εκτελεστικό επίπεδο της Δημόσιας Διοίκη-σης, είτε μέσω φορέων που συνδέονται με ειδική σχέση με τη Δημόσια Διοίκηση (πχ. ΚτΠ ΑΕ).

Επίσης, οι προτεινόμενες παρεμβάσεις διακρίνονται σε δύο κατηγορίες, με βάση το χρηματοδοτικό τους σχήμα. Στην πρώτη κατηγορία ανήκουν όσες είναι επιλέξιμες να χρηματοδοτηθούν από το Ε-πιχειρησιακό Πρόγραμμα “Κοινωνία της Πληροφορίας” (ή/και “Διοικητική Μεταρρύθμιση” και “Ψηφιακή Σύγκλιση”). Στη δεύτερη κατηγορία ανήκουν όσες παρεμβάσεις προϋποθέτουν χρημα-τοδότηση από άλλες πηγές (άλλα Επιχειρησιακά Προγράμματα, Προϋπολογισμός Δημοσίων Επεν-δύσεων κλπ.).

Οι προτεινόμενες στοχευμένες παρεμβάσεις είναι οι εξής:

1. Ίδρυση και λειτουργική συγκρότηση Φορέα/Υπηρεσίας Προστασίας Κρίσιμων Πληροφο-ριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης

Πρόκειται για θεσμικού τύπου παρέμβαση, αρκετά υψηλής προτεραιότητας. Ανάλογα με το ορ-γανωτικό σχήμα που τυχόν υιοθετηθεί, είναι πιθανόν να απαιτείται πολιτική απόφαση από τα αρμόδια κυβερνητικά όργανα. Σε κάθε περίπτωση, τυχόν θετική εισήγηση του Συμβούλιο του e-Government Forum θα μπορούσε να αποτελέσει καταλυτικό έναυσμα για την ακολουθητέα διαδικασία.

2. Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινω-νιακών Υποδομών

Πρόκειται για παρέμβαση πολλαπλής στόχευσης και γιαυτό υψηλής προτεραιότητας. Το Ινστι-τούτο θα αποτελέσει εθνικό Κέντρο Αριστείας για την αποτελεσματική επιστημονική υποστή-ριξη του οργανωτικού σχήματος που προτάθηκε, αλλά και κυψέλη συγκέντρωσης εμπειρογνω-μόνων και ανάπτυξης σχετικής τεχνογνωσίας. Ειδικά αν προκριθεί κάποιο λιτό και ευέλικτο λειτουργικό σχήμα (πχ. συνεργασία με ΑΕΙ και ερευνητικά ιδρύματα που διαθέτουν σχετική



258

τεχνογνωσία), η συνεισφορά του θα είναι καταλυτική. Η παρέμβαση αυτή έχει θεσμικό χαρα-κτήρα, στον οποίο ενδεχομένως είναι αναγκαίο να εμπλακεί, τόσο για λόγους αρμοδιότητας, ό-σο για λόγους χρηματοδότησης, το Υπουργείο Εθνικής Παιδείας και Θρησκευμάτων (μέσω του διαδόχου του Επιχειρησιακού Προγράμματος για την Εκπαίδευση και την Αρχική Επαγγελμα-τική Κατάρτιση), καθώς και το Υπουργείο Ανάπτυξης (Γενική Γραμματεία Έρευνας και Τεχνο-λογίας).

3. Ασφάλεια (Πολυ)Κέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε.

Πρόκειται για παρέμβαση πολύ υψηλής προτεραιότητας, στο βαθμό που στις εγκαταστάσεις της εταιρείας λειτουργεί ήδη παραγωγικά σειρά ΟΠΣ, των οποίων ο αριθμός αναμένεται να αυ-ξηθεί στο άμεσο μέλλον. Ο κίνδυνος εμφάνισης μείζονων προβλημάτων είναι ορατός, ειδικά λόγω της εγγενούς πολυδιάσπασης και του διαφορετικού βαθμού πληρότητας των μελετών α-σφάλειας που εκπονήθηκαν για καθένα από αυτά. Ο χαρακτήρας της παρέμβασης αυτής είναι αμιγώς διαχειριστικός και η χρηματοδότησή της εκτιμάται ότι είναι εφικτή από τους πόρους του Επιχειρησιακού Προγράμματος “Κοινωνία της Πληροφορίας” ή “Ψηφιακή Σύγκλιση”).

4. Εντοπισμός Κρίσιμων Ελληνικών Υποδομών

Πρόκειται για sine qua non έργου υποδομής (εφαρμοσμένης έρευνας), συνεπώς για έργο προτε-ραιότητας. Στοχος του είναι ο εντοπισμός, η καταγραφή και η αποτίμηση της αλληλεξάρτησης όλων των κρίσιμων υποδομών (και όχι μόνο των πληροφοριακών και επικοινωνιακών) της χώ-ρας, με βάση την προσέγγιση all-hazards, καθώς όλες οι υπάρχουσες υποδομές εμφανίζουν ο-λοένα και μεγαλύτερη αλληλεξάρτηση. Ο χαρακτήρας του έργου είναι αμιγώς διαχειριστικός και η χρηματοδότησή του μπορεί να προέλθει από τους πόρους του Επιχειρησιακού Προγράμ-ματος “Διοικητική Μεταρρύθμιση” (ή/και “Ψηφιακή Σύγκλιση”).

5. Τεχνολογική υποδομή του Φορέα Προστασίας Κρίσιμων Πληροφοριακών και Επικοινω-νιακών Υποδομών της Δημόσιας Διοίκησης

Πρόκειται για έργο υποδομής, με υψηλή προτεραιότητα και θεωρητικά πρωθύστερο χαρακτή-ρα. Ειδικότερα, όποιο οργανωτικό σχήμα κι αν επιλεγεί, η λειτουργία του είναι απαραίτητο να βασίζεται σε απολύτως σύγχρονη υποδομή, σε ό,τι αφορά ΤΠΕ. Η τεχνοδιαμόρφωση της υπο-δομής αυτής έχει πολύ περιορισμένη σχέση με τον τύπο του οργανωτικού σχήματος που θα επι-λεγεί. Συνεπώς, η προμήθεια και ανάπτυξη σημαντικού μέρους της τεχνολογικής υποδομής μπορεί να γίνει παράλληλα με τις διαδικασίες ίδρυσης και στελέχωσης του οργανωτικού σχή-ματος το οποίο θα εξυπηρετήσει. Με τον τρόπο αυτό μπορεί να περιορισθεί το σημαντικό κενό που κατά κανόνα παρατηρείται μεταξύ της ίδρυσης ενός φορέα και της παραγωγικής λειτουργί-ας του. Πρόκειται, προφανώς, για διαχειριστική παρέμβαση, η χρηματοδότηση της οποίας εκτι-μάται ότι μπορεί ευλόγως να διασφαλιστεί μέσω του Επιχειρησιακού Προγράμματος “Ψηφιακή Σύγκλιση”.



259

8.2 Προτεινόμενες παρεμβάσεις για την προστασία των κρίσιμων ΠΕΥ της ΔΔ

Η κωδικοποίηση των παραπάνω προτάσεων περιγράφεται στο συνοπτικό πίνακα που ακολουθεί στη συνέχεια.

ΒΑΣΙΚΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ

ΠΑΡΕΜΒΑΣΗ Κατηγορία Προτεραιότητα Χρηματοδοτικό σχήμα

Ίδρυση Φορέα/Υπηρεσίας Προ-στασίας Κρίσιμων Πληροφορι-ακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης


(εισήγηση Συμβουλίου e-Government Forum)

Υψηλή Κρατικός προϋπολογισμός

Ίδρυση Ερευνητικού Ινστιτούτου Προστασίας Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών


(πρόταση Συμβουλίου e-Government Forum)

Υψηλή

Ε.Π. Υπουργείου Παιδείας

Ε.Π. Υπουργείου Ανάπτυξης (Γενική

Γραμματεία Έρευνας και Τεχνολογίας)

Ασφάλεια Πολυκέντρου Δεδομένων της Κοινωνίας της Πληροφορίας Α.Ε.


(απόφαση ΚτΠ ΑΕ) Πολύ υψηλή

Ε.Π. Κοινωνία της Πληροφορίας


Εντοπισμός Κρίσιμων Ελληνικών Υποδομών


(απόφαση ΚτΠ ΑΕ) Υψηλή

Ε.Π. Διοικητική Μεταρρύθμιση


Τεχνολογική υποδομή Φορέα Προστασίας Κρίσιμων Πληρο-φοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης


(απόφαση ΚτΠ ΑΕ) Υψηλή Ε.Π. Ψηφιακή Σύγκλιση



260

## Βιβλιογραφία



261

Βιβλιογραφία [Abe-06] Abele-Wigert I., Dunn M. (Eds.), International CICIP Handbook 2006, Vol. I: An In-

ventory of 20 National and 6 International Critical Infrastructure Protection Policies, Center for Security Studies, ETH Zurich, 2006.

[Ada-05] Adar E., Wuchner A., “Risk Management for Critical Infrastructure Protection Chal-lenges, Best Practices and Tools”, in Proc. of the 1st IEEE International Workshop on Critical Infrastructure Protection (IWCIP ‘05), pp. 90-100, 2005.

[AFC-06] Austrian Federal Chancellery, eGovernment for all Europeans: Overview of Recom-mendations, Seminar organized by the Greek Presidency of the EU Council 2006, Vienna, 10 February 2006.

[AUS-06] e-Security National Agenda, Australia, 2001 and 2006.

[Bai-07] Bailey L., The Challenging Landscape of Critical Information Infrastructure: Are We Ready?, Computer Crime and Intellectual Property Section, US Dept. of Justice, USA, March 2007.

[Bez-05] Bezerra E., Nakamura E., Riberio R., “Critical Telecommunications Infrastructure Pro-tection in Brazil”, in Proc. of the 1st IEEE International Workshop on Critical Infrast-ructure Protection (IWCIP ‘05), pp. 62-74, 2005.

[Βερ-07] Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα, Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007.

[Bia-06] Bialas, A., “Information Security Systems vs. Critical Information Infrastructure Pro-tection Systems – Similarities and Differences”, in Proc. of the International Conferen-ce on Dependability of Computer Systems, pp. 60-67, Poland, May 2006.

[BMI-ΧΧ] Federal Ministry of Interior, Critical Infrastructure Protection Activities in Germany, Federal Office for Information Security, KRITIS/BSI, Germany.

[BMI-02] Federal Ministry of Interior, e-Government Manual, Federal Office for Information Security, Germany.

[BMI-04] Federal Ministry of Interior, Analysis of Critical Infrastructures - The ACIS methodo-logy, Federal Office for Information Security, KRITIS/BSI, Germany, April 2004.

[BMI-04] Federal Ministry of Interior, Federal Office for Information Security, Critical Infrastru-cture Protection: Survey of World-Wide Activities, KRITIS/BSI, Germany, April 2004.

[BMI-05] National Plan for Information Infrastructure Protection (NPSI), Federal Ministry of Interior (BMI), Germany, 2005.

[BMI-05a] Federal Ministry of Interior, Federal Office for Information Security, National Plan for Information Infrastructure Protection, Berlin, Germany, 2005.

[BMI-05b] Federal Ministry of Interior, Introduction to Critical Infrastructure Protection, Federal Office for Information Security, BSI/KRITIS, Germany, 2005.



262

[BSI-04a] Critical Infrastructure Protection: Survey of World-Wide Activities, Federal Office for Information Security (BSI) Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), April 2004.

[BSI-04b] Critical Infrastructure Protection: Activities in Germany, Federal Office for Informati-on Security (BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRI-TIS), April 2004.

[BSI-05a] Introduction to Critical Infrastructure Protection, Federal Office for Information Secu-rity (BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), 2005.

[BSI-05b] Critical Infrastructure Protection in Germany, Federal Office for Information Security (BSI), Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), 2005.

[Γκρ-04] Γκρίτζαλης Δ., “Ασφάλεια Πληροφοριακών Συστημάτων και Υποδομών: Εννοιολογι-κή θεμελίωση”, στο Κάτσικας Σ., κ.ά., Ασφάλεια Πληροφοριακών Συστημάτων, Εκδό-σεις Νέων Τεχνολογιών, σελ. 19-54, Αθήνα, 2004.

[Γκρ-07] Γκρίτζαλης Δ., Από την ασφάλεια πληροφοριακών συστημάτων στην προστασία κρίσι-μων πληροφοριακών υποδομών, 9ο Ελληνικό ICT Forum, Αθήνα, Οκτώβρης 2007.

[Γκρ-08] Γκρίτζαλης Δ., Στοχεύαμε Ασφάλεια Πληροφοριακών Συστημάτων - Στοχεύουμε Προ-στασία Κρίσιμων Πληροφοριακών Υποδομών, Ημερίδα Αρχής Διασφάλισης Απορρή-του Επικοινωνιών (ΑΔΑΕ), Θεσσαλονίκη, Απρίλης 2008.

[Cav-07] Cavelty M., Critical Information Infrastructure: Vulnerabilities, Threats and Respon-ses, Disarmament Forum, 2007.

[Cav-07] Cavelty M.D., Critical Information Infrastructure: Vulnerabilities, Threats and Res-ponses, Disarmament Forum, 2007.

[CIAO-98] Vulnerability Assessment Framework (ver. 1.1), US Critical Infrastructure Assurance Office, KPMG, USA, 1998.

[CICIP-04] International CICIP Handbook, Analysis of Methods and Models for CII Assessment, 2004.

[CICIP-04] International CICIP Handbook, Analysis of Methods and Models for CII Assessment, 2004.

[CRA-05] Cyber infrastructure for Education and Learning for the Future: A Vision and Re-search Agenda, Computer Research Association, USA, 2005.

[Cuk-05] Cukier K., Ensuring (and Insuring?) Critical Information Infrastructure Protection, Report of the 2005 Rueschlikon Conference on Information Policy in the New Econo-my, Swiss Reference Centre for Global Dialogue, USA, 2005.

[Cuk-05] Cukier K., Mayer-Schönberger V., Branscomb L., “Ensuring (and Insuring?) Critical Information Infrastructure Protection”, Working Papers Series, RWP05 -055, Harvard University, USA, October 2005.

[Czi-07] Cziner K., Mutafungwa E., Lucenius J., Järvinen R., Critical Information Infrastru-cture Protection in the Baltic Sea Area: The Case of TETRA, Working Paper 2007:6, Helsinki University of Technology.



263

[DoD-07] US Dept. of Defense, Critical Homeland Infrastructure Protection, Report of the De-fense Science Board Task Force, USA, January 2007.

[Dun-06] Dunn M., et al. (Eds.), International CICIP Handbook 2006, Vol. II, Analyzing Issues, Challenges and Prospects, Center for Security Studies, ETH Zurich, 2006.

[EC-03] Commission of the European Communities, Proposal for a Regulation of the European Parliament and of the Council: Establishing the European Network and Information Security Agency, COM(2003)63 final, Brussels, 2003.

[EC-04] Commission of the European Communities, Critical Infrastructure Protection in the Fight against Terrorism, Brussels, October 2004, COM(2004)702 final.

[EC-05] Commission of the European Communities, Green Paper on a European Programme for Critical Infrastructure Protection, Brussels, November 2005, COM(2005)576 final.

[EC-06a] Commission of the European Communities, Proposal for a Directive of the Council on the identification and designation of European Critical Infrastructure and the assess-ment of the need to improve their protection, COM(2006)787 final, Brussels, 2006.

[EC-06b] Commission of the European Communities, A European Programme for Critical Infra-structure Protection, Brussels, December 2006, COM(2006)786 final.

[Ega-07] Egan M., “Anticipating Future Vulnerability: Defining Characteristics of Increasingly Critical Infrastructure-like Systems”, Journal of Contingencies and Crisis Management, Vol. 15, No. 1, pp. 4-17, March 2007.

[Eke-06] Ekengren M., Matzen N., Svantesson M., The new Security Role of the European Uni-on: Transectional Crisis Management and the Protection of Union Citizens, National Defense Council, Sweden, March 2006.

[EMA-03] Critical Infrastructure Emergency Risk Management and Assurance Handbook, Emer-gency Management Australia, January 2003.

[EMA-03] Critical Infrastructure Emergency Risk Management and Assurance Handbook, Emer-gency Management Australia, January 2003.

[ENISA-07] A Collection of Good Practice for CERT Quality Assurance, Deliverable WP2007/ 2.4.9 (CERT-D3), 2007 (www.enisa.europa.eu/cert_goodPractices/pages/04_02.htm).

[EU-05] Green Paper on a European Programme for Critical Infrastructure Protection, Com-mission of the European Communities, COM(2005) 576 final, Brussels, November 17, 2005.

[Ham-05] Hammerli B., “C(I)IP Task Description and a Proposal for a Substitute of National C(I) IP Policies”, in Proc. of the 1st IEEE International Workshop on Critical Infrastructure Protection (IWCIP ‘05), pp. 51-61, 2005.

[Hen-04] Henauer M., “Critical Information Infrastructure Protection: A Swiss Approach”, in Proc. of the Workshop on Critical Infrastructure Protection and Civil Emergency Plan-ning: Dependable Structures, Cybersecurity and Common Standards, Centre for Inter-national Security Policy, Bern, 2004.

[HSC-07] National Strategy for Homeland Security, Homeland Security Council, USA, October 2007.



264

[IBM-01] IBM, Creating an infrastructure for e-Government: enabling government innovation, IBM Public Sector, September 2001.

[ICS-02] Information and Communication Sector, National Strategy for Critical Infrastructure and Cyberspace Security, USA, May 2002.

[IRGC-07] International Risk Governance Council, Managing and reducing social vulnerabilities from coupled critical infrastructures, IRGC White Paper, Geneva, 2007.

[ISO-13335] Information technology - Security techniques - Management of information and com-munications technology security, Part 1: Concepts and models for IκαιCT security ma-nagement, ISO/IEC 13335-1:2004, ISO, 2004.

[ISO-13335] Information technology - Security techniques - Management of information and com-munications technology security, Part 1: Concepts and models for information and communications technology security management, ISO/IEC 13335-1:2004, ISO, 2004.

[ISO-73] Risk management-Vocabulary-Guidelines for use in standards, ISO/ IEC Guide 73: 2002, ISO, 2002.

[ISO-73] Risk management-Vocabulary-Guidelines for use in standards, ISO/IEC Guide 73: 2002, ISO, 2002.

[IST-08] IST, CI2RCO, Critical Information Infrastructure Research co-ordination, ICT RκαιD for CICIP: Towards a European Research Agenda, Deliverable D12, The CI2RCO Consortium, May 2008.

[Kro-06] Kröger W., Critical Infrastructures at Risk: A Need for a New Conceptual Approach and Extended Analytical Tools, Swiss Federal Institute of Technology Zurich (ETH), Lisbon, September 2006.

[Lui-06] Luiijf E., Threat Taxonomy for Critical Infrastructures and Critical Infrastructure: Risk Aspects at EU-level, Vital Infrastructures Threats and Assurance (VITA) Project (PASR-2004-004400), Deliverable D1.2, July 2006.

[Mal-97] Malpass K., Harrington K., Elliott D., Soo Hoo K., Goodman S., Workshop on Pro-tecting and Assuring Critical National Infrastructure, Center for International Security and Arms Control, Stanford University, March 1997.

[Mcaf-07] McAfee North America Criminology Report, Organized crime and the Internet 2007”, www.mcafee.com/us/local_content/reports/mcafee_criminology_report2007_en.pdf

[NCIA-04] National Critical Infrastructure Assurance Program, Canada, 2004.

[NIAC-04] National Infrastructure Advisory Council, Best Practices for Government to Enhance the Security of National Critical Infrastructures, Final Report and Recommendations by the Council, USA, April 2004.

[NIPC-01] US National Infrastructure Protection Center, Cyber Protests: The Threat to the US In-formation Infrastructure, USA, October 2001.

[NIST-02] Risk Management Guide for Information Technology Systems, NIST Special Pub-lication 800-30, National Institute for Standards and Technology, USA, July 2002.

[NIST-02] Risk Management Guide for Information Technology Systems, NIST Special Publica-tion 800-30, National Institute for Standards and Technology, USA, July 2002.



265

[Obe-06] Oberoi S., Developing National Information Infrastructure Protection Policy – The Role of the Government, Dept. of Communications, IT and the Arts, Australia, 2006.

[OECD-02] “OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security”, OECD 2002.

[Rah-05] Rahman S., “Critical Information Infrastructure Protection: Overview of the RκαιD in the US”, in Proc. of the Workshop on Critical Information Infrastructure Protection, Research and Development, Czech Republic, September 2005.

[Rie-07] Riegel C., Risk Assessment and Critical Infrastructure Protection in Health Care Faci-lities: Reducing Social Vulnerability, Summer Academy 2007, U.N. University, In-stitute for Environment and Human Security (UNU-EHS), 2007.

[Ryt-07] Rytz R., “Reporting and Analysis Centre for Information Assurance MELANI, Interna-tional Telecommunication Union (ITU), February 2007.

[Ser-08] Servida A., “Security and Resilience in Information Society: Towards a CICIP Policy in the EU”, ENISA Workshop, March 2008.

[SSC-06] State Services Commission, Enabling Transformation: A strategy for e-Government 2006, New Zealand, November 2006

[Sut-07] Suter M., A Generic National Framework for Critical Information Infrastructure Pro-tection, Center for Security Studies, ETH Zurich, August 2007.

[USA-00] US White House, Defending America’s Cyberspace, National Plan for Information Sy-stems Protection, v 1.0, USA, 2000.

[USA-01] US White House, Report of the President of the US on the status of Federal Critical In-frastructure Protection Activities, USA, January 2001.

[USA-03a] US White House, The National Strategy for the Physical Protection of Critical Infrast-ructures and Key Assets, USA, February 2003.

[USA-03b] US White House, The National Strategy for Homeland Security, Office of Homeland Security, USA, July 2003.

[USA-03c] US White House, The National Strategy for the Physical Protection of Critical Infrast-ructures and Key Assets, USA, 2003.

[USA-03d] US White House, The National Strategy to Secure Cyberspace, USA, February 2003.

[USA-05a] US White House, National Infrastructure Protection Plan, USA, 2005.

[USA-05b] US White House, Cyber Security: A Crisis of Prioritization, Report to the President, USA, February 2005.

[USA-06] US White House, National Infrastructure Protection Plan, USA, 2006.

[USA-07] US White House, The National Strategy for Homeland Security, Homeland Security Council, USA, October 2007.

[Wen-02] Wenger A., Metzger J., Dunn M., The International CICIP Handbook, Vol. 1: An In-ventory of Protection Policies in Eight Countries, Center for Security Studies, ETH Zurich, 2002.



266

Ακρωνύμια Στην ελληνική γλώσσα

ΑΔΑΕ Αρχή Διασφάλισης Απορρήτου Επικοινωνιών

ΑΠ Αρχή Πιστοποίησης

ΑΠΠΔ Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

ΑΠΕΔ Αρχή Πιστοποίησης Ελληνικού Δημοσίου

ΓΕΕΘΑ Γενικό Επιτελείο Εθνικής Άμυνας

ΓΛΚ Γενικό Λογιστήριο του Κράτους

ΔΔ Δημόσια Διοίκηση

EE Ευρωπαϊκή Ένωση

ΕΕΤΤ Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων

ΕΛΑΣ ΕΛληνική ΑΣτυνομία

ΕΥΠ Εθνική Υπηρεσία Πληροφοριών

ΕΦΤΑ Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης

MKO Μη Κυβερνητικοί Οργανισμοί

ΗΕ Ηνωμένα Έθνη

ΗΠΑ Ηνωμένες Πολιτείες Αμερικής

K-M Κράτη-Μέλη

MME ΜικροΜεσαίες Επιχειρήσεις

ΟΟΣΑ Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης

ΟΠΣΝΑ Ολοκληρωμένα Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων

ΠΣ Πληροφοριακά Συστήματα

ΠΣΕΑ Πολιτική Σχεδίαση Έκτακτης Ανάγκης

ΣΔΙΤ Συμπράξεις Δημόσιου – Ιδιωτικού Τομέα

ΣΤΥ Σύμβουλος Τεχνικής Υποστήριξης

ΤΠΕ Τεχνολογίες Πληροφορικής και Επικοινωνιών

ΥΑΠ Υπηρεσία Ανάπτυξης Πληροφορικής

ΥΔΤ Υπουργείο Δημόσιας Τάξης

ΥΜΕ Υπουργείο Μεταφορών & Επικοινωνιών

ΥΠΕ Υποδομές Πληροφορικής και Επικοινωνιών

ΥΠΕΣ Υπουργείο Εσωτερικών

ΥΠΟΙΟ ΥΠουργείο ΟΙκονομίας & Οικονομικών



267

Στην αγγλική γλώσσα

AB Advisory Board

AFP Australian Federal Police

AGD Australian Attorney-General’s Department

AGIMO Australian Government Information Management Office

AHTCC Australian High Tech Crime Centre

AIVD Dutch General Intelligence and Security Service

AKSIS German Working Group on Infrastructure Protection

ARECI Availability and Robustness of Electronic Communications Infrastructures

ASIO Australian Security Intelligence Organisation

AS/NZS Australian/New Zealand Standard

AusCERT Australian Computer Emergency Response Team

BBK German Federal Office for Civil Protection και Disaster Response

BCP-DRP Business Continuity Plan – Disaster Recovery Plan

BCS British Computer Society

BfV German Federal Office for the Protection of the Constitution

BKA German Federal Criminal Police Agency

BMI German Federal Ministry of Interior

BMJ German Federal Ministry of Justice

BMVg German Federal Ministry of Defense

BMWA German Federal Ministry of Economics και Labour

BND German Federal Intelligence Service

BPOL German Federal Police

BSI German Federal Office for Information Security

BZK Dutch Ministry of Interior and Kingdom Relations

CA Coordination Action

CATS Swedish Center for Asymmetric Threat Studies

CBRNE Chemical, Biological, Radiological, Nuclear or Explosives

CCIP New Zealand Centre for Critical Infrastructure Protection

CCB Closed Customer Base

CCS UK Civil Contingencies Secretariat

CERT Computer Emergency Response Team

CERT-Bund German CERT

CERT-NL Dutch CERT for higher education and research organizations

CERT-Verbund German CERT-Network

CESG UK Communications Electronic Security Group



268

CFAA US Computer Fraud and Abuse Act

CI Critical Infrastructure

CICI Critical Information και Communication Infrastructure

CII Critical Information Infrastructure

CIOS Swedish National Center for IO/CIP Studies

CIP Critical Infrastructure Protection

CIWIN Critical Infrastructure Warning Information Network

CLUSIS Swiss non-profit organisation

CSIA UK Central Sponsor for Information Assurance

CSIS Canadian Security Intelligence Service

CSIRT Computer Security Incident Response Team

CYCO Swiss Coordination Unit for Cybercrime Control

CSEC Swedish Certification Body for IT SECurity

CIDDAC US Cyber Incident Detection και Data Analysis Center

CNI Critical National Infrastructure

CICIP Critical Information Infrastructure Protection

CERT/CC US CERT Coordination Center

CICIP Critical Information και Communication Infrastructure Protection

CoI Community of Interest

CEA Canadian Electricity Association

CBA Canadian Bankers Association

CTEPA Canadian Telecommunications Emergency Preparedness Association

CCIRC Canadian Cyber Incident Response Centre

CIAO US Critical Infrastructure Assurance Office

CCIPS US Computer Crime and Intellectual Property Section

CIAC Critical Infrastructure Advisory Council

CSIAAG Communications Sector Infrastructure Assurance Advisory Group

CISE Computer και Information Science and Engineering

CIO Chief Information Officer

DHS US Department of Homeland Security

DESS New Zealand Domestic and External Secretariat

DSD Australian Defense Signals Directorate

DTI UK Department of Trade and Industry

DCITA Australian Department of Communications, Information Technology and the Arts

DSO New Zealand Departmental Security Officer

DG JLS Directorate General “Justice, Law και Security”



269

DOTARS Australian Department Of Transport And Regional Services

DFAT Australian Department of Foreign Affairs and Trade

DFS Swedish Information Processing Society

deNIS German Emergency Preparedness Information System

DDPS Swiss Federal Department of Defense, Civil Protection, and Sports

ESCG Australian E-Security Coordination Group

ESNA Australian E-Security National Agenda

EAG Expert Advisory Group

ENISA European Network και Information Security Agency

EZ Dutch Ministry of Economic Affairs

ESRAB European Security Research Advisory Board

EPCIP European Programme for Critical Infrastructure Protection

ESRP European Security Research Program

ESRIF European Security Research and Innovation Forum

ECI European Critical Infrastructure

EC European Commission

ECP.NL Electronic Commerce Platform NetherLands

EFD Swiss Federal Department of Finance

FOITT Swiss Federal Office of IT, Systems and Telecommunication

FedPol Swiss Federal Office of Police

FEMA US Federal Emergency Management Agency

FedCIRC US Federal Computer Incident Response Center

FBI US Federal Bureau of Investigation

FOI Swedish Defense Research Agency

FOI/CISU FOI/Critical Infrastructure Studies Unit

FP Framework Programme

FRA Swedish National Defense Radio Establishment

FACA US Federal Advisory Committee Act

FMV Swedish Defense Materiel Administration

FOIA US Freedom Of Information Act

FIRST Forum of Incident Response and Security Teams

FIRST Forum of Incident Response και Security Teams

GetSafeOnline UK PPP

GOC Canadian Government Operations Center

GoL Canadian Government-on-Line policy

GCSB New Zealand Government Communications Security Bureau



270

GAO US Government Accountability Office

GCHQ UK Government Communications HeadQuarters

G8 Group of Eight (8)

GOVCERT.NL Dutch Government CERT

GRNET Greek Research & Technology Network

HSPD US Homeland Security Presidential Directive

HSEO US Homeland Security Executive Orders

HERT Dutch Hacking Emergency Response Team

IAIP/ICD US IAIP/Infrastructure Coordination Division

IO Information Operations

ICS New Zealand Interdepartmental Committee on Security

IAIP/NCSD US IAIP/National Cyber Security Division

IAIP/PSD US IAIP/Protective Services Division

IAIP/NCS US IAIP/National Communications System Division

ITAC Integrated Threat Assessment Centre

IAAC UK Information Assurance Advisory Council

IAAG Infrastructure Assurance Advisory Group

IAIP US Information Analysis and Infrastructure Protection Directorate of DHS

IST Swedish Institute for Signals Intelligence and Technical Information

IIPG Australian Information Infrastructure Protection Group

ISAC Information Sharing and Analysis Center

Itsafe UK IT Security Awareness For Everyone

ISIDRAS Information Security Incident Detection Reporting και Analysis Scheme

ITSEAG Information Security Expert Advisory Group

IST Information Society Technologies

IT Information Technology

ISB Swiss Federal Strategy Unit for Information Technology

ITAA Information Technology Association of America

I3P US Institute for Information Infrastructure Protection

ICT Information και Communication Technologies

IABG IndustrieAnlagen-BetriebsGesellschaft

JIIPR Canadian Joint Infrastructure Interdependencies Research Program

KLPD The Netherlands Police Agency

MoD UK Ministry Of Defense

MS Member States

MOD-CERT UK Ministry Of Defense Computer Emergency Response Team



271

MELANI Swiss Reporting and Analysis Center for Information Assurance

Mcert German CERT for SMEs

NACOTEL Dutch National Continuity Plan for TELecommunications

NCTP Australian National Counter-Terrorism Plan

NCSP National Cyber Security Partnership

NITAS Australian National Information Technology Alert Service

NCC Dutch National Coordination Center

NHTCU UK National High Tech Crime Unit

NCIAP Canadian National Critical Infrastructure Assurance Program

NGOs Νon-Governmental Organizations

NSAC UK National Security Advice Centre

NCO-T Dutch National Continuity Consultation Platform Telecommunications

NSF US National Science Foundation

NISCC UK National Infrastructure Security Coordination Centre

NCI National Critical Infrastructure

NES/ICT-I NES/ICT Infrastructure Unit

NSD Swedish Industry Security Delegation

NATO North Atlantic Treaty Organisation

NIPC US National Infrastructure Protection Center

NIST US National Institute of Standards και Technology

NES Swiss Federal Office for National Economic Supply

NDMS Canadian National Disaster Mitigation Strategy

NERS Canadian National Emergency Response System

NZSIT New Zealand Security of Information Technology

NZSA New Zealand Security Association

NHTCC Dutch National High-Tech Crime Center

NSSC US National Strategy to Secure Cyberspace

NIPP US National Infrastructure Protection Plan

NZSIS New Zealand Security Intelligence Service

NIAC US National Infrastructure Advisory Council

NCSA US National Cyber Security Alliance

NERC North American Electricity Reliability Council

NPB Swedish National Police Board

NGOs Non-Governmental Organizations

NPSI German National Plan for the Protection of Information Infrastructures

ODESC New Zealand Officials Committee for Domestic and External Security Co-ordination



272

OCB Open Customer Base

OFCOM Swiss Federal Office for Communication

OCICIP US Office of Computer Investigation and Infrastructure Protection

OASD/NII US Office of the Assistant Secretary of Defense for Networks and Information Integration

OECD Organisation for Economic Co-operation and Development

OST UK Office for Science and Technology

PMκαιC Australian Department of the Prime Minister και Cabinet

PPO US Planning and Partnership Office

PKI Public Key Infrastructure

PPP Public Private Partnership

PCIS US Partnership for Critical Infrastructure Security

PTS Swedish National Post and Telecom Agency

PSYOPS Psychological Warfare

PASR Preparatory Action on Security Research

PSEPC Public Safety και Emergency Preparedness Canada

PSG Permanent Stakeholder’s Group

PCCIP US President’s Commission on Critical Infrastructure Protection

PDD US Presidential Decision Directive

PG AG KRITIS German Task Force/Project Group for Critical Infrastructure Protection

RCMP Royal Canadian Mounted Police

R&D Research & Technnological Development

RISEPTIS Research and Innovation for Security, Privacy and Trustworthiness in the Information Society

RegTP German Regulatory Agency for Telecommunications και Post

SCADA Supervisory Control and Data Acquisition

SME Small-Medium Enterprise

SWITCH Swiss Education and Research Network (SWITCH)

SWITCH-CERT Swiss CERT

SONIA Swiss Special Task Force ON Information Assurance

SEMA Swedish Emergency Management Agency

SÄPO Swedish Security Service

SITIC Swedish IT Incident Centre

SC Steering Committee

SOVI Dutch Critical Infrastructure Strategic Consultation Group

TERENA Trans-European Research and Education Networking Association

TI Trusted Introducer



273

TISN Australian Trusted Information Sharing Network

TSA Swedish National Communications Security Group

TNO The Netherlands Organization for Applied Scientific Research

UN United Nations

UNIRAS UK Unified Incident Reporting and Alert Scheme

US United States

UK United Kingdom

VκαιW Dutch Ministry of Transport, Public Works, and Water Management

VROM Dutch Ministry of Housing, Spatial Planning, and the Environment

VWS Dutch Ministry of Health, Welfare and Sports

WG Working Group

WARP Warning, Advice and Reporting Point

ZES German Center for Strategic Studies



274

## Παραρτήματα



275

Ερωτηματολόγιο Ε1 Πάροχοι/Ανάδοχοι Υποδομών και Υπηρεσιών

προς τη Δημόσια Διοίκηση

ΠΑΡΑΡΤΗΜΑ Α: Ερωτηματολόγια



276

Οργάνωση Ασφάλειας Πληροφοριών 1. Διαθέτει ο οργανισμός σας ένα σαφώς καθορισμένο οργανωτικό σχήμα Διαχείρισης Ασφάλειας Πληρο-

φοριών; (ενδέχεται να είναι ένα τμήμα/ υπηρεσία/διεύθυνση…)

Ναι – μετάβαση στις ερωτήσεις 1α-β Όχι – μετάβαση στην ερώτηση 2

1α. Ποιος είναι το μοντέλο Διαχείρισης Ασφάλειας Πληροφοριών στον οργανισμό σας ? [Επιλέξτε

μόνο ένα]

Κεντρικοποιημένο (Centralized) – π.χ. αποκλειστική διαχείριση όλων των σχετικών δραστηριοτήτων από το τμήμα / υπηρεσία / διεύθυνση

Κατανεμημένο (Decentralized) – π.χ. εκχώρηση μέρους δραστηριοτήτων σε άλλα τμήματα / διευθύνσεις / του ίδιου οργανισμού

Άλλο

1β. Σε ποιο βαθμό η Διαχείριση Ασφάλειας Πληροφοριών ενσωματώνεται στη συνολική

Διαχείριση Κινδύνων του οργανισμού σας; [Επιλέξτε μόνο ένα]

Πλήρης ενσωμάτωση με τη συνολική Διαχείριση Κινδύνων του οργανισμού (π.χ. τακτές συναντήσεις, συμφωνημένη υιοθέτηση πλαισίων, ομάδες εργασίας και παρακολούθησης, κλπ)

Μερική ενσωματωμένη με τη συνολική Διαχείριση Κινδύνων του οργανισμού

Δεν υπάρχει ενσωμάτωση – η Διαχείριση Ασφάλειας Πληροφοριών είναι ανεξάρτητη από τη συνολική Διαχείριση Κινδύνων του οργανισμού

2. Λήφθηκαν υπόψη θέματα ασφάλειας στις κάτωθι δραστηριότητες κατά τους τελευταίους 12 μήνες; Εάν

ναι, ο χαρακτήρας των σχετικών παρεμβάσεων ήταν περισσότερο προληπτικού ή κατασταλτικού χαρα-κτήρα; (proactive vs reactive)

Δραστηριότητα

Θέματα Ασφάλειας

δεν λήφθηκαν υπόψη

Ναι, θέματα Ασφάλειας λήφθηκαν υπόψη

Χαρακτήρας παρέμβασης περισσότερο προληπτικά

περισσότερο κατασταλτικά

Προστασία πνευματικής ιδιοκτησίας Βελτίωση των παρεχόμενων υπηρεσιών ή προϊόντων

Κανονιστικές υποχρεώσεις του τομέα (industry compliance)

Βελτίωση λειτουργίας των συστημάτων πληροφορικής



277

Δραστηριότητα

Θέματα Ασφάλειας

δεν λήφθηκαν υπόψη

Ναι, θέματα Ασφάλειας λήφθηκαν υπόψη

Χαρακτήρας παρέμβασης περισσότερο προληπτικά

περισσότερο κατασταλτικά

Βελτίωση της εταιρικής εικόνας και της εμπιστοσύνης των χρηστών των υπηρεσιών

Συμμόρφωση με τις πολιτικές και τις διαδικασίες του ομίλου

Ιδιωτικότητα και προστασία δεδομένων

Κανονιστικές υποχρεώσεις 3. Επιλέξτε τις τρεις (3) κυριότερες κατηγορίες κανονιστικών πλαισίων που επηρεάζουν τις επιλεγμένες

πρακτικές και μέτρα ασφάλειας τους τελευταίους 12 μήνες. Επιλέξτε τις τρεις (3) κυριότερες κατηγορίες κανονιστικών πλαισίων που επηρεάζουν τις επιλεγμένες πρακτικές και μέτρα ασφάλειας τους επόμενους 12 μήνες. Σημειώστε εάν υπάρχουν έργα ασφάλειας σε εξέλιξη για τις κατηγορίες που επιλέξατε.

Τύποι Κανονιστικών Πλαισίων Στους

τελευταίους 12 μήνες

Στους επόμενους 12 μήνες

Έργα Ασφάλειας Πληροφοριών σε

εξέλιξη Εσωτερικός Έλεγχος (π.χ. Sarbanes-Oxley, EU 8th Directive κλπ.)

Προστασία Δεδομένων (νόμοι περί προστασίας προσωπικών δεδομένων, ιδιωτικότητα δεδομένων επικοινωνιών κλπ.)

Τομεακά κανονιστικά πλαίσια (π.χ. PCI Data Security Standard)

Προστασία πνευματικής ιδιοκτησίας

Κύρια Θέματα Ασφάλειας 4. Επιλέξτε τα τρία (3) κυριότερα θέματα ασφάλειας που έχουν εντοπιστεί σαν τα πλέον σημαντικά. Υπάρ-

χει κάποιο πλάνο αντιμετώπισής τους;

Θέμα Ασφάλειας Σημαντικό

θέμα ασφάλειας

Πλάνο Αντιμετώπισης

Τώρα Στους

επόμενους 12 μήνες

Δεν υπάρχει πλάνο

Radio Frequency Identifiers (RFID)

Κινητό υπολογίζειν (πχ. PDA, smart phones)

Διαχείριση Ψηφιακών Δικαιωμάτων (Digital Rights Management)

Κινητά αποθηκευτικά μέσα (πχ. USB flash drive, portable drives)



278

Θέμα Ασφάλειας Σημαντικό

θέμα ασφάλειας

Πλάνο Αντιμετώπισης

Τώρα Στους


Δεν υπάρχει πλάνο

Τηλεφωνία μέσω Διαδικτύου (Voice-over-IP telephony)

Εφαρμογές Διαδικτύου

Web Services

Ασύρματα δίκτυα

Υπηρεσίες Messaging (πχ. Instant messaging, email)

Νέα λειτουργικά συστήματα (πχ. Vista)

Κρυπτογράφηση του e-mail

Κρυπτογράφηση του σκληρού δίσκου Πρακτικές Ασφάλειας Πληροφοριών στον οργανισμό σας 5. Με ποιο τρόπο ελέγχετε το επίπεδο ασφάλειας του οργανισμού σας; [επιλέξτε όλες τις επιλογές που ι-

σχύουν]

Εσωτερικός έλεγχος (Internal Audit)

Εξωτερικός / οικονομικός έλεγχος (External Audit)

Ανεξάρτητη αποτίμηση από τρίτο μέρος (π.χ. ΑΠΠΔ, ΑΔΑΕ, SAS 70)

Εσωτερική αποτίμηση με ίδιους πόρους

Άλλο ____________________________________

6. Επιλέξτε τις πέντε (5) κυριότερες δραστηριότητες ασφάλειας πληροφοριών σε όρους σπουδαιότητας (1 =

μικρής σπουδαιότητας, 5 = ύψιστης σπουδαιότητας) για τον οργανισμό σας. Ανεξάρτητα επιλέξτε τις πέ-ντε (5) κυριότερες δραστηριότητες ασφάλειας πληροφοριών σε όρους απαιτούμενου χρόνου υλοποίησης για τον οργανισμό σας (1 = ελάχιστος χρόνος υλοποίησης, 5 = μέγιστος χρόνος υλοποίησης):

Σπουδαιότητα Απαιτούμενος χρόνος υλοποίησης

Συμμόρφωση (Compliance)

Συνέχεια Λειτουργιών (Business continuity management)

Διαχείριση ασφάλειας κινδύνων πληροφορικής

Προμήθεια, ανάπτυξη και συντήρηση πληροφοριακών συστημάτων

Διαχείριση πρόσβασης

Διαχείριση επικοινωνιών και λειτουργιών



279

Σπουδαιότητα Απαιτούμενος χρόνος υλοποίησης

Φυσική ασφάλεια

Προστασία ανθρώπινου δυναμικού

Διαχείριση πόρων πληροφορικής

Οργάνωση ασφάλειας πληροφοριών

Πολιτική ασφάλειας

Στρατηγική ασφάλειας

Αποτίμηση κινδύνων πληροφοριακών συστημάτων

Ιδιωτικότητα

Δυνατότητα καταλογισμού ευθύνης (accountability)

Οργάνωση Ασφάλειας 7. Με ποιο τρόπο αντιμετωπίζετε τα κάτωθι θέματα ασφάλειας πληροφοριών στον οργανισμό σας;

Θέματα ασφάλειας πληροφοριών: Δεν αντιμετωπίζεται

Άτυπες πρακτικές64

Τυπικές πρακτικές65

Ενσωμάτωση πρακτικών ασφάλειας κατά την ανάπτυξη των εφαρμογών πληροφορικής

Διαχείριση περιστατικών ασφάλειας (συμπεριλαμβανομένης της αποκάλυψης προσωπικών δεδομένων)

Πλάνο Συνέχειας Λειτουργιών

Διαχείριση κινδύνων από τρίτα μέρη, συμπεριλαμβανομένης της εκχώρησης λειτουργιών σε τρίτα μέρη (outsourcing)

Σύγκλιση λογικής και φυσικής ασφάλειας (convergence)

Εκπαίδευση και ενημέρωση

Ιδιωτικότητα και προστασία προσωπικών δεδομένων

8. Κατά τη συνεργασία με τρίτα μέρη (π.χ. εκχώρηση λειτουργιών – outsourcing, ανάπτυξη εφαρμογών,

κλπ.), ποια από τα επόμενα απαιτείτε ως μέρος των διαδικασιών/πρακτικών διαχείρισης κινδύνων των προμηθευτών/συνεργατών σας;

64 Μη καταγεγραμμένες πρακτικές που εφαρμόζονται. 65 Καταγεγραμμένες πρακτικές που εφαρμόζονται.



280

Οι προμηθευτές/συνεργάτες διαθέτουν και εφαρμόζουν πολιτικές και διαδικασίες ασφάλειας πληροφοριών και προστασίας της ιδιωτικότητας

Οι προμηθευτές/συνεργάτες έχουν τη δυνατότητα να υποστηρίξουν τις πολιτικές, διαδικασίες και πρότυπα του οργανισμού σας

Ένα ανεξάρτητο τρίτο μέρος έχει αποτιμήσει με βάση βέλτιστες πρακτικές (best practices) τις πολιτικές και διαδικασίες ασφάλειας πληροφοριών και προστασίας της ιδιωτικότητας των προμηθευτών/συνεργατών

Οι προμηθευτές / συνεργάτες είναι πιστοποιημένοι (π.χ. ISO 27001 κλπ.) Αποτίμηση Επικινδυνότητας 9. Έχει διεξαχθεί μια άσκηση Αποτίμηση Επικινδυνότητας;

Ναι – μετάβαση στην ερώτηση 9α Όχι – μετάβαση στην ερώτηση 10.

9α. Από την παρακάτω λίστα των πρακτικών/μεθόδων Αποτίμησης Επικινδυνότητας, βαθμο-

λογήστε την αποτελεσματικότητα της προσέγγισης που υιοθετήσατε:

Αποτελεσματικότητα Πρακτικές/Μέθοδοι Αποτίμησης Επικινδυνότητας Λιγότερο … Περισσότερο

1 2 3 4 5 Πραγματοποιήθηκε Αποτίμηση Επικινδυνότητας υψηλού επιπέδου (σε επίπεδο οργανισμού/ομίλου κλπ.) που κάλυ-πτε θέματα ασφάλειας και ιδιωτικότητας

Διεξάγεται περιοδικά κατηγοριοποίηση των πληροφοριακών αγαθών με βάση τις αρχές της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας

Διεξάγεται περιοδικά άσκηση εντοπισμού και διαχείρισης απειλών και αδυναμιών (Threat and Vulnerability Identification and Management)

Η διαδικασία Αποτίμησης Επικινδυνότητας αξιοποιεί τα αποτελέσματα των ασκήσεων εντοπισμού και διαχείρισης απειλών και αδυναμιών, ενώ επίσης συνυπολογίζει και τις επιχειρησιακές επιπτώσεις προκειμένου να καθορίσει τους κινδύνους ασφάλειας πληροφοριών

Οι διαδικασίες Αποτίμησης Επικινδυνότητας χρησιμοποιούνται σαν έρεισμα για επιπρόσθετες επενδύσεις σε θέματα ασφάλειας.

Αποτιμήσεις επιπέδου συμμόρφωσης διεξάγονται προκειμένου να καλυφθούν εταιρικές (corporate), κανονιστικές (regulatory) ή τομεακές (industry) απαιτήσεις.

Εφαρμόζονται συστηματικές μεθοδολογίες Αποτίμησης Επικινδυνότητας Formal risk assessment methodologies applied (πχ. OCTAVE,CRAMM)



281

Αναφορές 10. Ποια είναι η συχνότητα ενημέρωσης στα παρακάτω θέματα ασφάλειας από τον υπεύθυνο (τμήμα/διεύ-

θυνση/…) προς τις παρακάτω αναφερόμενες εταιρικές δομές;

Συχνότητα Κάθε

μήνα Κάθε τρίμηνο

Κάθε εξάμηνο Ετησίως Ποτέ

Προς την Εκτελεστική Διοίκηση (board of directors) ή αντίστοιχο όργανο

Αναφορά των περιστατικών ασφάλειας του οργανισμού

Αναφορά προόδου των κύριων έργων ασφάλειας του οργανισμού

Αναφορά του επιπέδου συμμόρφωσης (compliance) του οργανισμού

Προς τους υπεύθυνους τμημάτων / διοικητικών μονάδων

Αναφορά των περιστατικών ασφάλειας του οργανισμού

Αναφορά προόδου των κύριων έργων ασφάλειας του οργανισμού

Αναφορά του επιπέδου συμμόρφωσης (compliance) του οργανισμού

Εκπαίδευση 11. Τι τύπου προγράμματα εκπαίδευσης και ενημέρωσης σχετικά με ασφάλεια προσφέρονται από τον ορ-

γανισμό σας στις κάτωθι ομάδες προσωπικού; [επιλέξτε όλες τις επιλογές που ισχύουν]

Ομάδα

Επίπτωση Θεμάτων Ασφάλειας

στον οργανισμό

Πολιτικές και Διαδικασίες Ασφάλειας

Διαχείριση Περιστατικών Ασφάλειας

Ιδιωτικότητα και Προστασία Προσωπικών Δεδομένων

Γενικές ομάδες χρηστών

Προσωπικό τμήματος / διεύθυνσης πληροφορικής

Προσωπικό ασφάλειας πληροφοριών

Εκτελεστική Διοίκηση

Άλλες εμπλεκόμενες ομάδες (π.χ. Εσωτερικός Έλεγχος, Νομικό τμήμα)

Ειδικές ομάδες χρηστών (π.χ. Εξυπηρέτηση Πελατών,



282

Ομάδα

Επίπτωση Θεμάτων Ασφάλειας

στον οργανισμό

Πολιτικές και Διαδικασίες Ασφάλειας

Διαχείριση Περιστατικών Ασφάλειας

Ιδιωτικότητα και Προστασία Προσωπικών Δεδομένων

Πωλήσεις, Marketing)

Πρότυπα Ασφάλειας και Διαχείρισης Κινδύνων 12. Ποια από τα κάτωθι πρότυπα έχει υιοθετήσει και εφαρμόσει ο οργανισμός σας;

Υιοθέτηση και

Εφαρμογή

ISO/IEC 17799:2005

ISO/IEC 27001

Information Security Forum

CobIT

Information Technology Infrastructure Library (ITIL)

Capability Maturity Model Integration (CMMI)

Τίποτε από τα παραπάνω

Άλλο ------------------------------

Σύγκλιση Λογικής και Φυσικής Ασφάλειας 13. Ποια είναι η τρέχουσα κατάσταση όσον αφορά τις κάτωθι δραστηριότητες ασφάλειας στον οργανισμό

σας;

Δραστηριότητα Ισχύει /

υλοποίηση σε εξέλιξη

Υλοποίηση στους


Δεν υλοποιείται

Παροχή φυσικής πρόσβασης με χρήση σχετικών συστημάτων και διαδικασιών (π.χ. απλές κάρτες πρόσβασης)

Χρήση συστημάτων αυθεντικοποίησης για φυσική πρόσβαση (π.χ. proximity cards, biometrics)

Χρήση συστημάτων παρακολούθησης για φυσική και λογική πρόσβαση από μια κεντρική κονσόλα

Χρήση εξοπλισμού για παρακολούθηση της φυσικής πρόσβασης στο IP δίκτυο

14. Ποιες από τις παρακάτω περιοχές ασφάλειας ανήκουν στην υπευθυνότητα του υπεύθυνου Ασφάλειας

Πληροφοριών (ή αντίστοιχου ρόλου) στον οργανισμό σας; [επιλέξτε όλες τις επιλογές που ισχύουν].



283

Φυσική ασφάλεια Συνέχεια Λειτουργιών Ασφάλεια Προσωπικού Υγεία και Προστασία Προσωπικού (Health and safety) Συμμόρφωση (Compliance) Διαχείριση Κινδύνων (Risk Management)

Διαχείριση Συνέχειας Λειτουργιών (Business Continuity Management) και Ανάκαμψη από Καταστροφές (Disaster Recovery) 15. Ποιες από τις ακόλουθες δράσεις σχετικά με τη Διαχείριση Συνέχειας Λειτουργιών έχουν ληφθεί υπόψη

στην ανάπτυξη των Πλάνων Συνέχειας Λειτουργιών (Business Continuity Plans - BCPs) ; [επιλέξτε όλες τις επιλογές που ισχύουν].

Δράσεις Διαχείρισης Συνέχειας Λειτουργιών Αποτίμηση Επικινδυνότητας πληροφοριών Ανάλυση Επιχειρησιακών Επιπτώσεων (Business Impact Analysis – BIA) για να αποτιμηθεί η επίπτωση ενός περιστατικού συνέχειας λειτουργιών στον οργανισμό

Εντοπισμός και κατηγοριοποίηση των κρίσιμων επιχειρησιακών διαδικασιώνΧρόνοι ανάκαμψης δηλώνονται ρητά στα SLAs και στις συμφωνίες με τους κύριους παρόχους υπηρεσιών / προμηθευτές

Οι χρόνοι ανάκαμψης έχουν ρητά συμφωνηθεί με τα εμπλεκόμενα τμήματα Οι διαδικασίες αποτίμησης της σοβαρότητας των περιστατικών έχουν οριστεί ρητά Σχέδια δράσης για ανάκαμψη των κρίσιμων επιχειρησιακών διεργασιών Έλεγχος του πλάνου Στρατηγική διαχείρισης της εσωτερικής / εξωτερικής επικοινωνίας του συμβάντος Διαχείριση Κρίσεων Άλλο

16. Τα Πλάνα Συνέχειας Λειτουργιών περιλαμβάνουν ειδικά πλάνα και προετοιμασία για μια κρίση που κα-

λύπτει μια ολόκληρη γεωγραφική περιοχή (πιθανά με παγκόσμιο εύρος) όπως τρομοκρατική επίθεση, τσουνάμι κλπ.;

Ναι – υπάρχουν συγκεκριμένα πλάνα και προβλέψεις Όχι – αλλά εκτιμάται ότι τα τρέχοντα Πλάνα Συνέχειας Λειτουργιών είναι επαρκή και στην

εμφάνιση κάποιου τέτοιου περιστατικού Όχι – δεν έχουν προβλεφθεί παρόμοια περιστατικά στα Πλάνα Συνέχειας Λειτουργιών

17. Ποια είναι η πιο πρόσφατη δοκιμή (ή εφαρμογή) του Πλάνου Συνέχειας Λειτουργιών σας;

Μέσα στο τελευταίο έτος Μέσα στα τελευταία 2 έτη Περισσότερο από 2 έτη Δεν ελέγχθηκε ή εφαρμόστηκε

18. Ποιες από τις ακόλουθες δράσεις έχουν ληφθεί υπόψη στην ανάπτυξη των Πλάνων Ανάκαμψης από

Καταστροφές (Disaster Recovery Plans - DRPs); [επιλέξτε όλες τις επιλογές που ισχύουν].

Τα πλάνα περιλαμβάνουν διαδικασία αντικατάστασης του Διευθ. Συμβούλου σε περίπτωση μη διαθεσιμότητάς του



284

Εκπαίδευση εφεδρικού προσωπικού για διεξαγωγή επειγόντων δραστηριοτήτων (emergency tasks)

Τοποθεσίες εκτός κρίσης έχουν προβλεφθεί για τη Διοίκηση προκειμένου να σχεδιαστεί επαρκώς η αντιμετώπιση της κρίσης

Ασκήσεις αντίδρασης σε επείγοντα περιστατικά με συμμετοχή όλου του προσωπικού (συμπεριλαμβανομένης και της Διοίκησης)

Οι ασκήσεις αντίδρασης σε επείγοντα περιστατικά είναι αρκούντως ρεαλιστικές έτσι ώστε να προσομοιωθεί επαρκώς μια κατάσταση κρίσης

Διεξάγονται ασκήσεις επικοινωνίας της κρίσης με το προσωπικό, τους πελάτες και τρίτα μέρη

Υπάρχει διαθέσιμος εφεδρικός εξοπλισμός τηλεπικοινωνιών σε περίπτωση μη λειτουργίας των τηλεφωνικών δικτύων

Υπάρχουν συμφωνίες με τοπικές αρχές και ομάδες αντιμετώπισης καταστροφών (Πυροσβεστική, Αστυνομία, ιατρικές ομάδες) οι οποίες έχουν γνώση του οργανισμού σας και έχουν άμεση ανταπόκριση σε κλήσεις σε περίπτωση κρίσης

Τα Πλάνα Ανάκαμψης από Καταστροφή ελέγχονται με επαρκή συχνότητα προκειμένου να βελτιώνονται και να προσαρμόζονται στις αλλαγές του οργανισμού σας (τεχνολογίες, προσωπικό και εγκαταστάσεις)

Συμβάσεις Διασφάλισης Ποιότητας της Παρεχόμενης Υπηρεσίας (Service Level Agreements, SLA) 19. Ποιες από τα ακόλουθα σημεία έχουν ληφθεί υπόψη στην ανάπτυξη των SLA; [επιλέξτε όλες τις επιλο-

γές που ισχύουν].

Σαφής ορισμός της παρεχόμενης υπηρεσίας Σαφής περιγραφή του τρόπου με τον οποίο παρέχεται η εν λόγω υπηρεσία Ορισμός ποσοτικών και ποιοτικών μετρικών επαρκούς επιπέδου παροχής υπηρεσίας (διαθεσιμότητα, απόδοση, χρόνοι απόκρισης, κλπ.)

Ορισμός υπεύθυνου για τον έλεγχο της επάρκειας της παρεχόμενης υπηρεσίας Ορισμός ποινών για αποτυχία παροχής του αναμενόμενου επιπέδου υπηρεσίας

Σύνδεση με Πλάνα Συνέχειας Λειτουργιών (BCP) και/ή Πλάνα Ανάκαμψης από Καταστροφές (DRP)

Παροχή επαρκούς υποστήριξης (π.χ. Help Desk) για την ανάκαμψη της υπηρεσίας Ορισμός επαρκούς διαδικασίας για την επικαιροποίηση του SLA



285

Ερωτηματολόγιο Ε2 Πάροχοι Υπηρεσιών Δημόσιας Διοίκησης



286

Πληροφοριακή / Επικοινωνιακή Υποδομή:

1) Παρακαλώ σημειώστε ποιες από τις βασικές ηλεκτρονικές υπηρεσίες Δημόσιας Διοίκη-σης66,2 παρέχει η πληροφοριακή/επικοινωνιακή υποδομή. Σημειώστε επίσης την εκτίμησή σας για το επίπεδο εξέλιξης της κάθε υπηρεσίας με βάση την παρακάτω κλίμακα:

1. Ηλεκτρονική Πληροφόρηση για τις παρεχόμενες υπηρεσίες

2. Μονόδρομη Επικοινωνία (downloading εντύπων)

3. Αμφίδρομη αλληλεπίδραση (επεξεργασία εντύπων, ταυτοποίηση)

4. Συναλλαγή (διεκπεραίωση αιτημάτων /συναλλαγών/πληρωμής)

5. Προσωποποίηση (στοχευμένη παροχή υπηρεσιών)

Υπηρεσία Παρέχεται ( )

Επίπεδο εξέλιξης

Αριθμός χρηστών

ΥΠΗΡΕΣΙΕΣ ΠΡΟΣ ΤΟΥΣ ΠΟΛΙΤΕΣ

Φόρος Εισοδήματος (δήλωση, ειδοποίηση εκκαθάρισης)

Υπηρεσίες αναζήτησης εργασίας

Εισφορές κοινωνικής ασφάλισης

Προσωπικά έγγραφα (διαβατήρια, άδειες οδήγησης)

Έκδοση οικοδομικής άδειας

Δημόσιες βιβλιοθήκες (διαθεσιμότητα, εργαλεία αναζήτησης)

Πιστοποιητικά (έκδοση, παραλαβή)

Ανώτατη εκπαίδευση

Υπηρεσίες υγείας (διαθεσιμότητα, ραντεβού)

Άλλη υπηρεσία:



66 European Commission, eGovernment Factsheets, “eGovernment in Greece”, ver. 9, December 2007. 2 Βέργη Ε., Παππάς Θ., “Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα”,

Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007.



287

ΥΠΗΡΕΣΙΕΣ ΠΡΟΣ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ

Εισφορές κοινωνικής ασφάλισης για τους εργαζομένους

Φόρος επιχειρήσεων (δήλωση, ειδοποίηση εκκαθάρισης)

ΦΠΑ επιχειρήσεων (δήλωση, ειδοποίηση εκκαθάρισης)

Έναρξη επιχείρησης

Υποβολή στοιχείων σε στατιστικές υπηρεσίες

Περιβαλλοντικές άδειες



2) Η υποδομή/υπηρεσία που παρέχετε εξαρτάται από άλλες υποδομές/υπηρεσίες τρίτων; Ποι-ος είναι ο τύπος της εξάρτησης από κάθε διασυνδεδεμένη υποδομή/ΟΠΣ (πχ. παροχή δι-κτυακής σύνδεσης, hosting εξοπλισμού, ανταλλαγή δεδομένων; Πως διασφαλίζετε τη δια-θεσιμότητα και ασφαλή λειτουργία τους; Συμπληρώστε κατάλληλα τον παρακάτω πίνακα.

Διασυνδεδεμένη Υποδομή/ΟΠΣ Τύπος εξάρτησης Παρατηρήσεις

3) Ποιο είναι το υφιστάμενο επίπεδο ασφάλειας πληροφοριών/συστημάτων (Information Se-curity) στον οργανισμό σας (επιλέξετε όσες απαντήσεις θεωρείτε ότι περιγράφουν την υφι-στάμενη κατάσταση στον οργανισμό σας);

1. Όχι σαφώς προσδιορισμένο

2. Έχει εκπονηθεί μελέτη ασφάλειας

3. Υπάρχει και εφαρμόζεται Πολιτική Ασφάλειας (εν μέρει)

4. Υπάρχει και εφαρμόζεται Πολιτική Ασφάλειας (πλήρως)

5. Υπάρχει ειδική ομάδα/υπηρεσία για τα θέματα ασφάλειας



288

6. Πραγματοποιούνται τακτικοί εσωτερικοί έλεγχοι

του επιπέδου ασφάλειας

7. Πραγματοποιούνται τακτικοί έλεγχοι ασφάλειας

(από εξωτερικό/ ανεξάρτητο φορέα)

8. Υπάρχει Σχέδιο Συνέχειας/Ανάκαμψης (BCP/DRP)

9. Πραγματοποιούνται έλεγχοι/δοκιμές του Σχεδίου

Συνέχειας Λειτουργίας/Ανάκαμψης Συστημάτων

10. Άλλο (παρακαλώ περιγράψτε)

………………………………………………………………………………………

4) Περιλαμβάνονται στις συμβατικές υποχρεώσεις προς τους πελάτες σας όροι που αφορούν στην ασφάλεια; Παρακαλώ περιγράψτε.

………………………………………………………………………………………………

5) Υπάρχουν υπηρεσίες τις οποίες παρέχετε μέσω άλλων φορέων; Σε αυτή την περίπτωση, υπάρχουν συμφωνητικά παροχής υπηρεσιών (Service Level Agreements – SLA) τα οποία περιλαμβάνουν και όρους σχετικά με το επίπεδο ασφάλειας των πληροφοριών που επεξεργάζονται οι συνεργαζόμενοι φορείς; Παρακαλώ περιγράψτε.

………………………………………………………………………………………………

6) Ο οργανισμός τον οποίο στελεχώνετε, υπόκειται στην εφαρμογή Κανονιστικού / πλαισίου κάποιας ρυθμιστικής / εποπτικής αρχής;

1. Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ)

2. Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ)

3. Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ)

4. Άλλη ρυθμιστική / εποπτική Αρχή (παρακαλώ αναφέρατε)

………………………………………………………………………………………

7) Παρακαλώ συμπληρώστε στον παρακάτω πίνακα, επιλέγοντας τις τιμές τις οποίες θεωρείτε κατάλληλες για να περιγράψουν τις επιπτώσεις που θα επιφέρει η μη λειτουργία της πληρο-φοριακής\δικτυακής υποδομής του οργανισμού σας, η οποία χρησιμοποιείται στην παροχή υπηρεσιών Δημόσιας Διοίκησης.



289

Επιπτώσεις από τη μη λειτουργία πληροφοριακής\δικτυακής υποδομής Αριθμός επηρεαζόμενων χρηστών

>100,000

10,000-100,000

1,000-10,000

100-1,000

<100


> 100 εκ

10 – 100 εκ

1 – 10 εκ

100 χιλ – 1 εκ

< 100 χιλ

Γεωγραφική εμβέλεια

Διεθνής

Εθνική

Περιφερειακή



Αλληλεξάρτηση

Καταλυτική ε-πίδραση σε άλ-λες υποδομές-

/τομείς

Σημαντική επί-δραση σε άλλες υποδομές/τομείς

Μέτρια επίδρα-ση σε άλλες υ-ποδομές/τομείς

Μικρή επίδρα-ση σε άλλες υ-ποδομές/τομείς

Επίδραση σε μία υποδομή/-

τομέα

Ανάκαμψη (χρόνος, κόστος)

Υψηλό κόστος σε πολλούς το-μείς, μακρύς

χρόνος ανάκαμ-ψης (μήνες - χρόνια)

Υψηλό κόστος, υψηλός απαι-τούμενος

χρόνος ανάκαμ-ψης (βδομάδες

– μήνες)

Μέσο κόστος, σημαντικός

χρόνος ανάκαμ-ψης (μέρες - βδομάδες)

Χαμηλό κόστος, μικρός απαιτούμενος χρόνος ανάκαμ-ψης (ώρες - μέρες)







Αρνητική δημοσιότητα ε-νός κυβερνητι-κού οργανι-σμού/φορέα


Σοβαρή παρε-μπόδιση ή δια-κοπή της ανα-πτυξης/εφαρμο-γής κυβερνητι-κών πολιτικών

Υποβάθμιση της διαπραγμα-τευτικής και

συναλλακτικής δυνατότητας

της κυβέρνησης

Παρεμπόδιση της αποτελε-σματικής ανά-πτυξης/εφαρμο-γής κυβερνητι-κών πολιτικών





Απώλεια ανθρώπινης

ζωής

Σοβαρός τραυ-ματισμός πολ-λών προσώπων


Μικροτραυμα-τισμός ενός προσώπου

Αποκάλυψη προσωπικών-/εμπιστευτικών δεδομένων

Αποκάλυψη απόρρητων

κυβερνητικών δεδομένων

Παραβίαση νο-μοθεσίας και

σοβαρή ενόχλη-ση πολλών προσώπων

Παραβίαση νο-μοθεσίας και

σοβαρή ενόχλη-ση ενός προσώ-

που

Μικρή ενόχληση πολλών

προσώπων

Μικρή ενόχληση ενός προσώπου

Επιρροή στην άποψη του κοινού για τις ΤΠΕ/ΠΕΥ

Απαξίωση των ΤΠΕ/ΠΕΥ από το κοινωνικό

σύνολο


Κλονισμός της εμπιστοσύνης του κοινωνικού

συνόλου

Απογοήτευση επιμέρους ομά-

δων του πληθυσμού

Απογοήτευση μεμονωμένων

πολιτών



290

Ερωτηματολόγιο Ε4 Εποπτικοί/Ρυθμιστικοί Φορείς



291

1) Υπάρχει στην Ελλάδα Εποπτικός Οργανισμός ο οποίος να έχει το ρόλο της Εποπτείας των Πολιτικών Ασφαλείας και Ιδιωτικότητας των Πληροφοριακών Συστημάτων των Δημοσίων Οργανισμών;

ΝΑΙ ΟΧΙ

2) Αν ΝΑΙ, αναφέρατε τον Εποπτικό Οργανισμό:

…………………………………………………………………………………………..

3) Αν ΟΧΙ, ποιόν Οργανισμό (ρυθμιστική ή εποπτική Αρχή) θεωρείτε ως τον καταλληλότερο

για να αναλάβει αυτόν τον ρόλο;

i. Υπάρχοντα Φορέα (αναγράψτε αριθμό από Πίνακες 1, 2)

ii. Συνεργασία Φορέων (αναγράψτε αριθμούς από Πίνακες 1, 2)

iii. Δημιουργία νέου Εθνικού Εποπτικού Σχήματος: ΝΑΙ ΟΧΙ

iv. Αν ΝΑΙ, με τι μορφή και αρμοδιότητες; Τι συνέργειες θα πρέπει να αναπτύξει με άλ-λους ρυθμιστικούς/εποπτικούς φορείς;

…………………………………………………………………………………………..

4) Η ΕΥΠ (ΥΠΕΣ) λειτουργεί ως (α) Αρχή Ασφαλείας Πληροφοριών (INFOSEC) και (β) ως

υπεύθυνη του κρατικού CERT η οποία μεριμνά για την Ασφάλεια των Εθνικών Επικοινω-νιών και των Συστημάτων Τεχνολογίας Πληροφοριών, καθώς και για την Πιστοποίηση του Διαβαθμισμένου Υλικού των Εθνικών Επικοινωνιών. Η τεχνική, οργανωτική, διαχειριστι-κή πλαισίωση του εθνικού μας CERT θα γίνει από:

i. Την ίδια την ΕΥΠ: ΝΑΙ ΟΧΙ

ii. Υπάρχοντα Φορέα (αναγράψτε αριθμό από Πίνακες 1, 2) iii. Συνεργασία Φορέων (αναγράψτε αριθμούς από Πίνακες 1, 2)

……………………………………………………………………………………………..

5) Ποιό προτείνετε ως Οργανωτικό Σχήμα του Εθνικού μας CERT ώστε να επιτύχει την απο-

τελεσματική επικοινωνία με: (α) τους Εποπτικούς Φορείς, (β) τους Δημόσιους Οργανι-σμούς που φιλοξενούν Πληροφοριακά Συστήματα, και (γ) με άλλα Ευρωπαϊκά CERT;

……………………………………………………………………………………………..

6) Στους Πίνακες 1 και 2 παρουσιάζονται συνοπτικά οι Δημόσιοι Φορείς που λειτουργούν ως:

(α) Ρυθμιστικοί/Κανονιστικοί και (β) Εποπτικοί. (δεν αναφέρονται οι φορείς που έχουν ενημερωτικό ρόλο)

iv. Συμφωνείτε με την συγκεκριμένη αποτύπωση: ΝΑΙ ΟΧΙ v. Αναφέρετε τυχόν φορείς που έχουν κατά τη γνώμη σας παραλειφθεί



292

Φορέας Πεδίο δράσης Ρόλος

vi. Σχολιάστε όπως νομίζετε τους Πίνακες 1 και 2 (πχ. τυχόν διορθώσεις, παραλείψεις ανά

φορέα κλπ.).

Πίνακας 1: Εποπτικοί/Κανονιστικοί Φορείς Ασφάλειας στην Ελλάδα

Φορέας Πεδίο δράσης Ρόλοι Ειδικές

Αρχές Ασφάλειας



Computer Forensics

Πιστοποίηση προϊόντων & υπηρεσιών ασφαλείας

ΓΕΕΘΑ Έκδοση εθνικών κανονισμών ασφαλείας

ΣΥΖΕΥΞΙΣ ΑΠ

Χ

ΕΥΠ

Ασφάλεια Εθνι-κών Επικοινωνι-ών-Πληροφορι-κής (σύνταξη κανονισμών, πιστοποίηση συστημάτων)

INFOSEC, CERT για

ΔΔ Χ Χ

ΕΛΑΣ Εξέταση ψηφια-κών πειστηρίων Χ

Υπουργείο Μεταφορών και Επικοινωνιών

Χάραξη Πολιτι-κής Ασφάλειας Χ

Τράπεζα Ελλάδος

Έκδοση συγκε-κριμένων αρχών /κανονισμών ασφάλειας

Χ

Χ

Δ/νση Πολιτι-κής Σχεδίασης Έκτακτης Ανάγκης/ΥΠΕΣ

Σχέδια επικινδυ-νότητας /επιχει-ρησιακής συνέ-χειας

Χ

Χ

Υπηρεσία Ανά-πτυξης Πληρο-φορικής ΥΠΕΣ

Διαθεσιμότητα πληροφοριών στη ΔΔ/Σχέδια ανάκαμψης καταστροφών

ΑΠΕΔ Χ

Χ

Υπουργείο Δημόσιας Τάξης


Υπουργείο Εσωτερικών ΣΥΖΕΥΞΙΣ

ΑΠ



293

Υπουργείο Υγείας ΣΥΖΕΥΞΙΣ

ΑΠ

Υπουργείο Οικονομίας και Οικονομικών


Χ Χ

Πίνακας 2: Ρυθμιστικοί/Ελεγκτικοί Φορείς Ασφάλειας

Φορέας Πεδίο δράσης Ρόλοι



Παροχή προϊόντων/ υποδομών ασφαλείας

Πιστοποίηση προϊόντων & υπηρεσιών ασφαλείας

ΑΠΠΔ Προστασία προσωπικών δεδομένων

Χ Χ Χ

ΑΔΑΕ Προστασία απορρήτου επικοινωνιών

Χ Χ Χ

ΕΕΤΤ Ρύθμιση θεμάτων τηλεπικοινωνιών

Χ Χ Χ Χ

ΕΦΤΑ Πρόληψη τηλεπικοινωνιακής απάτης

Χ Χ

GRNET CERT Υπηρεσίες ασφάλειας συστημάτων

Χ

Ακρωνύμια ΕΥΠ: Εθνική Υπηρεσία Πληροφοριών ΑΠΠΔ: Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ΑΔΑΕ: Αρχή Διασφάλισης Απορρήτου Επικοινωνιών ΕΕΤΤ: Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων ΕΦΤΑ: Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης GRNET CERT: Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας

και Τεχνολογίας (ΕΔΕΤ)



294

ΠΑΡΑΡΤΗΜΑ Β: Πρόγραμμα Ημερίδας Κοινωνία της Πληροφορίας Α.Ε. e-Government Forum Ομάδα Εργασίαςς για την Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης

Ημερίδα Διαβούλευσης (10 Ιουλίου 2008)

Πρόγραμμα

1. Εισαγωγική Σύνοδος Καλωσόρισμα Κ. Τζοάννης Σ. Ξαρχουλάκος, Σ. Καρούσος (15’) Παρουσίαση και στόχοι Ομάδας Εργασίας Δ. Γκρίτζαλης (30’)

Πρόγραμμα και σκοπός Ημερίδας Ν. Μήτρου (15’)

2. Σύνοδος 1η: Ασφάλεια Πληροφοριακών και Επικοινωνιακών Υποδομών - Οργανωτικά σχήματα και εποπτικοί φορείς στην Ελλάδα και διεθνώς

Συντονιστές: Ν. Μήτρου (προεδρεύων), Δ. Πολέμη, Β. Σκουλαρίδου, Ι. Σαμπράκου Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στο Κεφάλαιο 4 του παραδοτέου και διατύπωση βασικών ερωτημάτων από το Ε4) (15’) • Συζήτηση (40’) • Συμπεράσματα (5’)

3. Σύνοδος 2η: Υπηρεσίες και Υποδομές Ηλεκτρονικής Διακυβέρνησης στην Ελλάδα - Γενικά ζητήματα Ασφάλειας

Συντονιστές: Π. Κοτζανικολάου (προεδρεύων), Β. Τσούμας, Μ. Θεοχαρίδου Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στο Κεφάλαιο 5 του παραδοτέου και διατύπωση βασικών ερωτημάτων από το Ε1) (15’) • Συζήτηση (40’) • Συμπεράσματα (5’)

4. Σύνοδος 3η: Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης στην Ελλάδα

Συντονιστές: Δ. Γκρίτζαλης (προεδρεύων), Ν. Μήτρου, Δ. Πολέμη, Α. Ζαχαρής Εισαγωγή - διατύπωση ερωτημάτων (συνοπτική αναφορά στις ιδέες της Ο.Ε. για το οργανωτι-κό σχήμα στην Ελλάδα) (15΄) • Συζήτηση (40’) • Συμπεράσματα (5’)

5. Γενικά Συμπεράσματα - Κλείσιμο Ημερίδας

Κοινωνία της Πληροφορίας ΑΕ · Senior Manager, Ernst και Young Α.Ε....

Documents

Transcript of Κοινωνία της Πληροφορίας ΑΕ · Senior Manager, Ernst και Young Α.Ε....