Risk Assessment of Critical Information and Communication (ICT) Infrastructures

Transcript

1 Risk Assessment of Critical Information and Communication (ICT) Infrastructures Marianthi Theoharidou Ph.D. Thesis May 2010

2 ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΔΙΑΤΡΙΒΗ για την απόκτηση Διδακτορικού Διπλώματος του Τμήματος Πληροφορικής Μαριάνθης Θεοχαρίδου Εκτίμηση Επικινδυνότητας Συμβουλευτική Επιτροπή: Γκρίτζαλης Δημήτρης, Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών, Εποπτεύων Κάτσικας Σωκράτης, Καθηγητής, Πανεπιστήμιο Πειραιώς Τσανάκας Παναγιώτης, Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο Εξεταστική Επιτροπή: Δημήτρης Γκρίτζαλης, Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών, Πρόεδρος Παναγιώτης Τσανάκας, Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο Σωκράτης Κάτσικας, Καθηγητής Πανεπιστημίου Πειραιώς Θεόδωρος Αποστολόπουλος, Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών, Νικόλας Μήτρου, Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο Κώστας Λαμπρινουδάκης, Επίκουρος Καθηγητής, Πανεπιστήμιο Πειραιώς Βασίλης Κάτος, Επίκουρος Καθηγητής, Δημοκρίτειο Πανεπιστήμιο Θράκης Αθήνα, Μάιος 2010 Παράρτημα Δ : Δημοσιεύσεις και αναφορές ii

3 "Η έγκριση διδακτορικής διατριβής υπό του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών δεν υποδηλοί αποδοχή των γνωμών της συγγραφέως". (Ν. 5343/ 1932, αρθρ. 202) Παράρτημα Δ : Δημοσιεύσεις και αναφορές iii

4 Στην οικογένειά μου He who never made a mistake never made a discovery. Samuel Smiles Παράρτημα Δ : Δημοσιεύσεις και αναφορές iv

5 Πρόλογος και Ευχαριστίες Εκτίμηση Επικινδυνότητας Ολοκληρώνοντας αυτό το μακρύ και επίπονο ταξίδι, η συγγραφή αυτής της ενότητας μου δίνει ιδιαίτερη χαρά, γνωρίζοντας ότι στην πορεία αυτή δεν ήμουν μόνη, αλλά είχα την υποστήριξη δασκάλων, συναδέλφων και φίλων. Στο σημείο αυτό θα ήθελα να εκφράσω την ευγνωμοσύνη μου γιατί ο καθένας με τον τρόπο του συνέβαλλε στην προσπάθεια αυτή. Αρχικά, θέλω να ευχαριστήσω θερμά τον εποπτεύοντα καθηγητή μου κ. Δημήτρη Γκρίτζαλη για τη συνεχή εμπιστοσύνη και στήριξή του κατά την πολυετή συνεργασία μας. Δεν ήταν απλά δάσκαλος, αλλά με επηρέασε ως άνθρωπο με την οπτική του στα πράγματα και τη στάση ζωής του. Πρωτίστως, τον ευχαριστώ γιατί πάντα με άφηνε να κολυμπήσω στα βαθιά, γεγονός που τώρα αντιλαμβάνομαι ότι είχε σκοπό να με κάνει να ανοίξω τα φτερά μου και να παίρνω πρωτοβουλίες. Η διακριτική στήριξη των μελών της Τριμελούς Επιτροπής παρακολούθησης της διατριβής, δηλ. του Καθηγητή κ. Σωκράτη Κάτσικα και του Καθηγητή κ. Παναγιώτη Τσανάκα σε θέματα ερευνητικών κατευθύνσεων της διατριβής ήταν πολύτιμη και διαρκής. Η συμβολή του Λέκτορα κ. Πάνου Κοτζανικολάου ήταν καθοριστική στα τελευταία στάδια της έρευνας αυτής. Θα ήθελα να ευχαριστήσω και τους Καθηγητές κ. Θεόδωρο Αποστολόπουλο και κ. Πάνο Κωνσταντόπουλο για την εμπιστοσύνη και συμπαράσταση κατά την διάρκεια των διδακτορικών μου σπουδών. Θα ήταν μεγάλη παράλειψη να μην ευχαριστήσω τον Ομότιμο Καθηγητή κ. Ευάγγελο Κιουντούζη, γιατί με δίδαξε στα πρώτα βήματά μου και με έκανε να αγαπήσω την έρευνα, με την προσήλωση και αγάπη του για αυτή. Θα ήθελα να ευχαριστήσω και τον Επικ. Καθηγητή Σπύρο Κοκολάκη για την καθοδήγησή του στις πρώτες ερευνητικές προσπάθειές μου. Σημαντικό ρόλο έπαιξε και η συνεργασία μου με τα μέλη της ομάδας της Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών του Οικονομικού Πανεπιστημίου, αλλά και άλλων ερευνητικών ομάδων. Ειδική μνεία γίνεται στους Στέλιο Δρίτσα, Βασίλη Τσούμα, Γιάννη Μάλλιο, Βίκη Ντρίτσου και Γιάννη Σουπιώνη με τους οποίους η συνεργασία μας, όλα αυτά τα χρόνια, με επηρέασαν βαθιά, τόσο σε ερευνητικό και συνεργατικό όσο και φιλικό επίπεδο. Οι συζητήσεις μας ήταν πλούσιες και εποικοδομητικές, ενισχύοντας σε μεγάλο βαθμό τη μεταξύ μας συνέργεια. Περαιτέρω, θα ήθελα να ευχαριστήσω τις μεταπτυχιακές φοιτητές Ελευθερία Στουγιάννου και Δήμητρα Ξηντάρα με τις οποίες συνεργάστηκα για τη δημιουργία του γνωστικού υποβάθρου. Οι φίλοι και συνάδελφοι Βασίλης Καρακόιδας και Αγγελική Τσώχου, με τους οποίους μοιράστηκα παράλληλη ερευνητική πορεία, ήταν πάντα δίπλα μου. Η φιλία, η κατανόηση αλλά και η αυστηρή κριτική τους ήταν ό,τι χρειαζόμουν σε δύσκολες στιγμές. Ευγνωμονώ, επίσης, την Ελένη και τον Φλόριαν γιατί γνωρίζοντας τόσο καλά το χαρακτήρα μου, με έκαναν με τον τρόπο τους να χαμογελώ και να συνεχίζω την προσπάθεια. Τέλος, θέλω να ευχαριστήσω τους γονείς μου Αναστασία και Δημήτρη και την αγαπημένη αδελφή μου Σοφία για την αγάπη και ανοχή τους όλα αυτά τα χρόνια. Είναι πάντα το πιο ουσιαστικό στήριγμα, ακόμα και αν δεν τους το λέω συχνά. Η διατριβή είναι αφιερωμένη σε εκείνους, γιατί από μικρή ηλικία με έμαθαν να πιστεύω στον εαυτό μου και να μην επαναπαύομαι. Παράρτημα Δ : Δημοσιεύσεις και αναφορές v

6 Περίληψη Η σημασία της προστασίας των υποδομών μιας χώρας αναγνωρίζεται τόσο σε πολιτικό και στρατηγικό επίπεδο, όσο και στην έρευνα, ειδικά κατά τα τελευταία χρόνια. Η Προστασία Κρίσιμων Υποδομών (Critical Infrastructure Protection) εμφανίζει ισχυρή συσχέτιση με την ασφάλεια πληροφοριακών και τηλεπικοινωνιακών τεχνολογιών (Information and Communication Technologies - ICT). Συνήθως αναφερόμαστε σε μια κρίσιμη υποδομή (Critical Infrastructure) ως υπηρεσία, εγκατάσταση ή ομάδα από υπηρεσίες ή εγκαταστάσεις, η απώλεια των οποίων επιφέρει μείζονες επιπτώσεις στη φυσική, κοινωνική, οικονομική ή περιβαλλοντολογική ευμάρεια ή στην ασφάλεια της κοινωνίας. Οι σύγχρονες υποδομές χαρακτηρίζονται από υψηλό βαθμό πολυπλοκότητας, ως προς τις ευπάθειες, τις απειλές, αλλά και τις αλληλεξαρτήσεις που τις χαρακτηρίζουν. Τα πιθανά αίτια διακοπής λειτουργίας ή εκδήλωσης μιας κρίσης δεν είναι απλό να εντοπιστούν. Μπορεί να οφείλονται σε μια αλυσίδα φαινομενικά ασήμαντων περιστατικών, ο συνδυασμός των οποίων προκαλεί την εκδήλωση κλιμακούμενων επιπτώσεων σε πολλαπλές υποδομές, διαφορετικών τομέων ή επιπέδου κρισιμότητας. Μια σύγκριση της τρέχουσας πραγματικότητας, με παλαιότερες μελέτες, δείχνει ότι η έννοια της κρισιμότητας έχει αλλάξει με την πάροδο των ετών. Τα κριτήρια για τον χαρακτηρισμό των υποδομών έχουν επίσης διευρυνθεί, ενώ η επιλογή των επιμέρους τομέων έχει εξειδικευθεί. Ταυτόχρονα, σημασία θα πρέπει να δοθεί στο γεγονός ότι οι υπάρχουσες τεχνικές και μεθοδολογίες για την ανάλυση της κρισιμότητας - κατά κύριο λόγο μεθοδολογίες εκτίμησης επικινδυνότητας - είναι ανεπαρκείς. Πιο συγκεκριμένα, οι τρέχουσες μέθοδοι, (α) δεν αναλύουν γεγονότα πολύ μικρής πιθανότητας εμφάνισης, αλλά εξαιρετικά σημαντικών επιπτώσεων, (β) δεν εκτιμούν με ικανοποιητικό τρόπο τις επιπτώσεις, ιδιαίτερα όταν υπάρχουν πολλές και ισχυρές αλληλεξαρτήσεις, (γ) εμφανίζουν ανομοιογένεια, σε συνδυασμό με την απουσία κατάλληλων προτύπων, και συνεπώς δυσχεραίνουν την αξιοποίηση υπαρχουσών μελετών και των εκτιμήσεών τους, για την αποτύπωση της επικινδυνότητας σε σύνθετες υποδομές (αποτελούμενες από επιμέρους υποδομές και συστήματα). Συνεπώς η παρούσα διατριβή εστιάζει στα ακόλουθα ερευνητικά ερωτήματα: 1) Εκτενής ανάλυση της ερευνητικής περιοχής της προστασίας κρίσιμων υποδομών και της συσχέτισής της με την ασφάλεια πληροφοριακών συστημάτων, με την πρόταση ενός ενιαίου γνωστικού υποβάθρου (Common Body of Knowledge - CBK). 2) Κριτική αποτίμηση των μεθόδων και τεχνικών αξιολόγηση της κρισιμότητας μιας υποδομής. Αυτό περιλαμβάνει την επιλογή κριτηρίων, με στόχο την ποιοτική και ποσοτική αξιολόγηση του βαθμού κρισιμότητας μιας υποδομής. 3) Δημιουργία μια πρωτότυπης μεθοδολογίας για την εκτίμηση επικινδυνότητας σε κρίσιμες υποδομές. Η μεθοδολογία εκτιμά με ποσοτικό τρόπο την επίδραση των αλληλεξαρτήσεων μεταξύ υποδομών ως προς την επικινδυνότητα και προσδιορίζει τους τομείς με υψηλότερη κρισιμότητα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές vi

7 4) Εξέταση τρόπων αντιμετώπισης της εκ των έσω απειλής για την προστασία κρίσιμων υποδομών ως ειδική περίπτωση απειλής η οποία μπορεί να επιφέρει σημαντικές επιπτώσεις τόσο στην ίδια την υποδομή, σε εξαρτώμενες από αυτές υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. Η προσέγγιση που υιοθετείται αφορά και κοινωνικές θεωρίες. Η έρευνα που παρουσιάζεται στην παρούσα διατριβή συμβάλλει στην αντιμετώπιση των παραπάνω ανοιχτών ζητημάτων, ενώ αναλύοντας και οριοθετώντας τα σχετικά ζητήματα δημιουργεί προοπτικές για περαιτέρω έρευνα στον ίδιο ή σε συναφείς τοµείς. Παράρτημα Δ : Δημοσιεύσεις και αναφορές vii

8 Περιεχόμενα Πρόλογος και Ευχαριστίες...v Περίληψη... vi Περιεχόμενα... viii Ευρετήριο Πινάκων... xi Ευρετήριο Σχημάτων... xiii Ακρωνύμια... xv 1 Προστασία Κρίσιμων Υποδομών: το σύγχρονο τοπίο Αφορμή και Κίνητρα της Έρευνας Αντικείμενο και σκοπός της διατριβής Μέθοδος Εργασίας Τύποι ερευνητικών μεθόδων Στάδια της διατριβής Δομή Συμβολή Εννοιολογικό Μοντέλο Γνωστικό Υπόβαθρο για την ΠΚΥ Κρισιμότητας υποδομής Εκτίμηση επικινδυνότητας για αλληλοεξαρτώμενες υποδομές Η εκ των έσω απειλή σε κρίσιμες υποδομές Έννοιες, Προσεγγίσεις & Ανοικτά Ζητήματα Ασφάλεια Πληροφοριακών Συστημάτων Θεμελιώδεις Ιδιότητες της Ασφάλειας Ασφάλεια και Επικινδυνότητα Προστασία Κρίσιμων Υποδομών Η έννοια της κρίσιμης υποδομής Η έννοια της προστασίας κρίσιμων υποδομών Προσεγγίσεις στην Προστασία Κρίσιμων Υποδομών Οπτικές Τομείς Αλληλεξαρτήσεις Στρατηγικές σε εθνικό και διεθνές επίπεδο Πρότυπα για την Προστασία Κρίσιμων Υποδομών Η έννοια της κρισιμότητας: ανοικτά ζητήματα Γνωστικό Υπόβαθρο για Προστασία Κρίσιμων Υποδομών Υπάρχοντα Γνωστικά Υπόβαθρα Γνωστικά Υπόβαθρα από άλλα επιστημονικά πεδία Γνωστικά Υπόβαθρα σχετικά με ΑΠΣ και ΠΚΥ Ευρήματα Στόχος και Μέθοδος ανάπτυξης Διεπιστημονικότητα Θεματολογία - Στόχευση Μέθοδος Ανάπτυξης Γνωστικού Υπόβαθρου η Φάση: Δημιουργία Αρχικού Γνωστικού Υπόβαθρου η Φάση: Δημιουργία Αναθεωρημένου Γνωστικού Υπόβαθρου Αναλυτική Παρουσίαση των Γνωστικών Ενοτήτων Εκλέπτυνση και Εμβάθυνση Γνωσιακής Ενότητας για Κρίσιμες Υποδομές Παράρτημα Δ : Δημοσιεύσεις και αναφορές viii

9 3.5 Αξιοποίηση του γνωστικού υποβάθρου Αλληλεξάρτηση γνωστικών ενοτήτων Δημιουργία διδακτικής ακολουθίας Τομείς εφαρμογής του γνωστικού υποβάθρου Κριτική αξιολόγηση Σύνοψη κεφαλαίου Εκτίμηση Κρισιμότητας Υποδομών Υπάρχουσες προσεγγίσεις Ευρωπαϊκή προσέγγιση Προσέγγιση Η.Π.Α Προσέγγιση σύμφωνα με τον Kröger Καναδική προσέγγιση Προσέγγιση της ζωτικότητας Ολλανδική μεθοδολογία Ορολογία και κριτήρια εκτίμησης κρισιμότητας Οι έννοιες της Κρισιμότητας και της Επικινδυνότητας Η κρισιμότητα ως (μερικό) υποσύνολο της επικινδυνότητας Η επικινδυνότητα ως (μερικό) υποσύνολο της κρισιμότητας Επικινδυνότητα και Κρισιμότητα: Ομοιότητες και διαφορές Μέθοδος εκτίμησης κρισιμότητας Εκτίμηση κρισιμότητας με βάση την επίπτωση Διάσταση: Εμβέλεια (Scope) Διάσταση: Ένταση (Severity) Διάσταση: Χρόνος (Time) Συνολική κρισιμότητα Παράδειγμα εφαρμογής Αξιολόγηση μεθόδου και σύνοψη Αλληλεξάρτηση Κρίσιμων Υποδομών Η σημασία της αλληλεξάρτησης υποδομών Μέθοδοι ανάλυσης, απεικόνισης και μοντελοποίησης αλληλεξαρτήσεων υποδομών Απαιτήσεις επιπέδων ανάλυσης της διασύνδεσης Επίπεδο 1 ο : Εκτίμηση επικινδυνότητας επιπέδου ΔΚΥ Επίπεδο 2 ο : Εκτίμηση επικινδυνότητας επιπέδου τομέα Επίπεδο 3 ο : Εκτίμηση κρισιμότητας διατομεακού/εθνικού επιπέδου Ορισμός νέας μεθοδολογίας εκτίμησης κρισιμότητας Επίπεδο ΔΚΥ Επίπεδο 2 ο : Τομέας Επίπεδο 3 ο : Τομείς & Κοινωνία Ανασκόπηση επιμέρους επιπέδων βημάτων Εφαρμογή της μεθοδολογίας: Μελέτη Περίπτωσης Συγκριτική αξιολόγηση Περιορισμοί Σύνοψη κεφαλαίου Η εκ των έσω απειλή στις κρίσιμες υποδομές Εκ των έσω απειλή: επιτιθέμενος και επίθεση Διαχείριση επικινδυνότητας, πρότυπα και βέλτιστες πρακτικές Εκτίμηση επικινδυνότητας Παράρτημα Δ : Δημοσιεύσεις και αναφορές ix

10 6.2.2 Πρότυπα Οδηγίες Ανάλυση Κοινωνικές θεωρίες Γενική Αποτρεπτική Θεωρία Θεωρία Κοινωνικών Δεσμών Θεωρία Κοινωνικής Εκμάθησης Θεωρία της Προσχεδιασμένης Συμπεριφοράς Πρόληψη Εγκλήματος κατά Περίσταση Συσχετίσεις μεταξύ θεωριών και βέλτιστων πρακτικών Εφαρμογή της θεωρίας ΠΕΠ Συνεισφορά των κοινωνικών θεωριών στην ΑΠΣ και στην ΠΚΥ Συμπεράσματα και σύνοψη Σύνοψη και Συμπεράσματα Ανακεφαλαίωση Η ερευνητική προσέγγιση Γνωστικό Υπόβαθρο για την ΠΚΥ Πρόταση τρόπου υπολογισμού της κρισιμότητας μιας υποδομής Μέθοδος εκτίμησης επικινδυνότητας για αλληλοεξαρτώμενες υποδομές Εξέταση τρόπων αντιμετώπισης της εκ των έσω απειλής σε κρίσιμες υποδομές Ερευνητική συνεισφορά Παραδοχές της έρευνας Ανοικτά θέματα προς διερεύνηση Γνωστικό Υπόβαθρο Εκτίμηση επικινδυνότητας Εκ των έσω απειλή Επίλογος Βιβλιογραφικές αναφορές Στην αγγλική Γλώσσα Στην ελληνική γλώσσα ΠΑΡΑΡΤΗΜΑ Α : Γνωστικό υπόβαθρο - αρχικές εκδόσεις ΠΑΡΑΡΤΗΜΑ Β : Γνωστικό υπόβαθρο - τελική έκδοση ΠΑΡΑΡΤΗΜΑ Γ : Γλωσσάρι όρων ΠΑΡΑΡΤΗΜΑ Δ : Δημοσιεύσεις Παράρτημα Δ : Δημοσιεύσεις και αναφορές x

11 Ευρετήριο Πινάκων Πίνακας 1: Μέθοδος έρευνας... 9 Πίνακας 2: Σύγκριση προτύπων και μεθόδων εκτίμησης και αντιμετώπισης επικινδυνότητας Πίνακας 3: Οι τομείς κρίσιμων υποδομών σε 24 χώρες (1) Πίνακας 4: Οι τομείς κρίσιμων υποδομών σε 24 χώρες (2) Πίνακας 5: Οι τομείς κρίσιμων υποδομών σε 24 χώρες (3) Πίνακας 6: Φορείς για την ΠΚΥ ανά τομέα (Η.Π.Α.) Πίνακας 7: Αξιολόγηση εθνικών στρατηγικών Πίνακας 8: Πρότυπα για ΠΚΥ στον τομέα της ενέργειας Πίνακας 9: Ερευνητικά ζητήματα της διατριβής Πίνακας 10: Γνωστικά Υπόβαθρα για Έλεγχο και Ανάλυση Ποιότητας Λογισμικού Πίνακας 11: Γνωστικό Υπόβαθρο (ISC) 2 για την πιστοποίηση CISSP Πίνακας 12: Γνωστικό Υπόβαθρο για την πιστοποίηση CPP Πίνακας 13: Information Technology Security Training Requirements Πίνακας 14: Γνωστικά Υπόβαθρα για Τεχνολογία Λογισμικού και για Ασφαλές Λογισμικό Πίνακας 15: Γνωστικό Υπόβαθρο Ασφάλειας (από τον οργανισμό ASIS) Πίνακας 16: Γνωστικό Υπόβαθρο Διασφάλισης Πληροφοριών Πίνακας 17: Γνωστικό Υπόβαθρο Ασφάλειας Δικτύων Πίνακας 18: Πολυδιάστατος χαρακτήρας της Ασφάλειας Πίνακας 19: Περιεχόμενο μαθημάτων ασφάλειας Πίνακας 20: Δεξιότητες επαγγελματιών ασφάλειας Πίνακας 21: Αρχική μορφή του γνωστικού υπόβαθρου Πίνακας 22: Σύγκριση αρχικής και αναθεωρημένης έκδοσης γνωστικού υποβάθρου (1ο επίπεδο ανάλυσης) Πίνακας 23: Προτεινόμενο Γνωστικό Υπόβαθρο (1 ο και 2 ο επίπεδο ανάλυσης). 78 Πίνακας 24: Αρχική έκδοση γνωστικής ενότητας Πίνακας 25: Αναθεωρημένη έκδοση γνωστικής ενότητας Πίνακας 26: Σύγκριση ως προς το περιεχόμενο (Ενότητες 1-5) Πίνακας 27: Σύγκριση ως προς το περιεχόμενο (Ενότητες 6-8) Πίνακας 28: Σύγκριση ως προς το περιεχόμενο (Ενότητες 9-10) Πίνακας 29: Σύγκριση ως προς τα χαρακτηριστικά Πίνακας 30: Σχέση με την ασφάλεια του ACM/IEEE Υπόβαθρου για Τεχνολογία Πληροφορίας Πίνακας 31: Σχέση με την ασφάλεια του ACM/IEEE Υποβάθρου για Επιστήμη Υπολογιστών Πίνακας 32: Καναδική προσέγγιση εκτίμησης επίπτωσης Πίνακας 33: Κριτήρια της μεθόδου NRAMG (Κάτω Χώρες) Πίνακας 34: Κριτήριο 1.1 της NRAMG Καταστρατήγηση της επικράτειας των Κάτω Χωρών Πίνακας 35: Κριτήριο 2.1 της NRAMG - Ανθρώπινες απώλειες Πίνακας 36: Κριτήριο 3.1 της NRAMG - Κόστη Πίνακας 37: Κριτήριο 4.1 της NRAMG - Μακροχρόνια επίδραση στο περιβάλλον και τη φύση (χλωρίδα και πανίδα) Πίνακας 38: Κριτήριο 5.3 της NRAMG: Κοινωνική - Ψυχολογική Επίπτωση Παράρτημα Δ : Δημοσιεύσεις και αναφορές xi

12 Πίνακας 39: Προσεγγίσεις υπολογισμού κρισιμότητας Ορολογία Πίνακας 40: Προσεγγίσεις υπολογισμού κρισιμότητας Κριτήρια Αποτίμησης Επίπτωσης Πίνακας 41: Σύγκριση Εκτίμησης Επικινδυνότητας και Κρισιμότητας Πίνακας 42: Υπολογισμός επικινδυνότητας κατά ISO (α) Πίνακας 43: Υπολογισμός επικινδυνότητας κατά ISO (β) Πίνακας 44: Υπολογισμός επικινδυνότητας κατά NIST Πίνακας 45: Παράγοντες εκτίμησης της επίπτωσης με βάση την εμβέλεια (Scope) Πίνακας 46: Παράγοντες εκτίμησης της επίπτωσης με βάση την ένταση (severity) Πίνακας 47: Παράγοντες εκτίμησης της επίπτωσης με βάση τον χρόνο ανάκαμψης (recovery) και τη διάρκεια (duration) Πίνακας 48: Παράγοντες εκτίμησης της επίπτωσης με βάση χρονικά σημεία Πίνακας 49: Παράδειγμα εφαρμογής για δύο διακριτά χρονικά διαστήματα Πίνακας 50: Μήτρα υπολογισμού συνολικής κρισιμότητας Πίνακας 51: Τομείς κρισιμότητας Πίνακας 52: Τύποι αλληλεξαρτήσεων μεταξύ υποδομών Πίνακας 53: Παραδείγματα επιπτώσεων και αντίστοιχες κλίμακες Πίνακας 54: Μήτρα υπολογισμού της εισερχόμενης επικινδυνότητας Πίνακας 55: Εισερχόμενη επικινδυνότητα για τον ΔΚΥ CIOi από ΔΚΥj Πίνακας 56: Τύποι κοινωνικών επιπτώσεων Πίνακας 57: Μήτρα υπολογισμού της εξερχόμενης (κοινωνικής) επικινδυνότητας Πίνακας 58: Κοινωνική επικινδυνότητα του CIOi προς εξαρτώμενους ΔΚΥ Πίνακας 59: Εγγενής κοινωνική επικινδυνότητα του CIOD (τομέας ΤΠΕ) Πίνακας 60: Επίπεδα επικινδυνότητας μεταξύ ΔΚΥ Πίνακας 61: Συνολική κοινωνική επικινδυνότητα μεταξύ ΔΚΥ Πίνακας 66: Κατηγορίες μέτρων του προτύπου ISO σε σχέση με την εκ των έσω απειλή Πίνακας 67: Οι πρακτικές/οδηγίες του CERT για διαχείριση της εκ των έσω απειλής Πίνακας 68: Μέτρα μείωσης των ευκαιριών (Situational Crime Prevention) Πίνακας 69: Μέτρα για την αντιμετώπιση της εκ των έσω απειλής με βάση τη θεωρία ΠΕΠ Πίνακας 70: Συμβολή κοινωνικών θεωριών στην ΑΠΣ και στην ΠΚΥ Πίνακας 71: Γλωσσάρι όρων Παράρτημα Δ : Δημοσιεύσεις και αναφορές xii

13 Ευρετήριο Σχημάτων Εικόνα 1: Εκτίμηση του κινδύνου από την διακοπή λειτουργία κρίσιμων πληροφοριακών υποδομών... 3 Εικόνα 2: Συσχέτιση της διακοπής λειτουργίας κρίσιμων πληροφοριακών υποδομών με άλλους διεθνείς κινδύνους... 4 Εικόνα 3: Ταξινόμηση μεθόδων έρευνας... 8 Εικόνα 4: Εννοιολογικό μοντέλο διατριβής Εικόνα 5: Επικινδυνότητα και Συναφείς έννοιες Εικόνα 6: Ο κύκλος ενεργειών διαχείρισης της ασφάλειας Εικόνα 7: Αλληλοσυσχετίσεις τομέων κρίσιμων υποδομών Εικόνα 8: Παραδείγματα υποδομών και των διασυνδέσεων τους Εικόνα 9: Παράδειγμα αλληλεξαρτήσεων για τον τομέα της ηλεκτρικής ενέργειας σε δενδροειδή μορφή Εικόνα 10: Οι παράγοντες που επηρεάζουν αλληλεξαρτώμενες υποδομές Εικόνα 11: Παράδειγμα κλιμακούμενων επιπτώσεων λόγω αλληλεξάρτησης Εικόνα 12: Ενδο-εξαρτήσεις και αλληλεξαρτήσεις υποδομών Εικόνα 13: Γνωστικό Υπόβαθρο ISSPCS Εικόνα 14: Τα επίπεδα μιας διεπιστημονικής διεργασίας μάθησης Εικόνα 15: Αλληλεξάρτηση των Διαστάσεων της Διαχείρισης Ασφάλειας Εικόνα 16: Πλαίσιο ανάπτυξης και εφαρμογής του γνωστικού υποβάθρου Εικόνα 17: Ακολουθία διδασκαλίας των ενοτήτων του γνωστικού υπόβαθρου 86 Εικόνα 18: Μέθοδος εκτίμησης κρισιμότητας κατά [Kröger, 2008] Εικόνα 19: Έμμεση και άμεση ζωτικότητα για ζωτικά προϊόντα και υπηρεσίες Εικόνα 20: Εξαρτήσεις ζωτικών προϊόντων και υπηρεσιών Εικόνα 21: Χρονικά σημεία εκδήλωσης περιστατικού και ανάκαμψης Εικόνα 22: Στάθμιση κριτηρίων της μεθόδου NRAMG Εικόνα 23: Γενική μέθοδος εκτίμησης της κρισιμότητας μιας υποδομής Εικόνα 24: Κριτήρια αποτίμησης κρισιμότητας Εικόνα 25: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης Εικόνα 26: Επίπεδα διασύνδεσης υποδομών Εικόνα 27: Προσέγγιση εκτίμησης κρισιμότητας τριών επιπέδων Εικόνα 28: Στάδια ανάλυσης κρισιμότητας και αποτελέσματα κάθε σταδίου..136 Εικόνα 29: Μοντελοποίηση εξαρτήσεων ΔΚΥ (CIO) με χρήση δένδρων Εικόνα 30: Μοντελοποίηση κοινωνικών επιπτώσεων με χρήση δένδρων Εικόνα 31: Μεθοδολογία υπολογισμού κρισιμότητας για διασυνδεδεμένες υποδομές Εικόνα 32: Ένα θεωρητικό μοντέλο της κατάχρησης με υπολογιστή Εικόνα 33: Ένα ολιστικό μοντέλο για την κατάχρηση με υπολογιστή Εικόνα 34: Αρχιτεκτονικές και Μοντέλα Ασφάλειας Εικόνα 35: Έλεγχος Πρόσβασης Εικόνα 36: Ασφάλεια Δικτύων και Τηλεπικοινωνιών Εικόνα 37: Ασφάλεια Λειτουργικών Συστημάτων Εικόνα 38: Ασφάλεια Προγραμμάτων και Εφαρμογών Εικόνα 39: Ασφάλεια Βάσεων Δεδομένων Παράρτημα Δ : Δημοσιεύσεις και αναφορές xiii

14 Εικόνα 40: Κοινωνικά, Ηθικά και Νομικά Ζητήματα της Ασφάλειας στην Κοινωνία της Πληροφορίας Εικόνα 41: Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων Εικόνα 42: Κοινωνικά, Ηθικά και Νομικά Ζητήματα της Ασφάλειας Πληροφοριών Εικόνα 43: Κρυπτογραφία Εικόνα 44: Φυσική Ασφάλεια & Προστασία Κρίσιμων Υποδομών Παράρτημα Δ : Δημοσιεύσεις και αναφορές xiv

15 Ακρωνύμια ΑΠΣ: βλ.: ΓΥ: ΔΚΥ: ΕΕ: ΚΥ: ΠΚΥ: ΠΣ: ΤΠΕ: Ασφάλεια Πληροφοριακών Συστημάτων βλέπε Γνωστικό Υπόβαθρο Διαχειριστής Κρίσιμης Υποδομής Ευρωπαϊκή Ένωση Κρίσιμη Υποδομή Προστασία Κρίσιμων Υποδομών Πληροφοριακό Σύστημα ή Πληροφοριακά Συστήματα Τεχνολογία των Πληροφοριών και των Επικοινωνιών CBK: DHS: ISO: ISMS: NIST: NERC: Common Body of Knowledge US Department of Homeland Security International Organization for Standardization Information Security Management System National Institute of Standards and Technology North American Electric Reliability Corporation Παράρτημα Δ : Δημοσιεύσεις και αναφορές xv

16 We've arranged a civilization in which most crucial elements profoundly depend on science and technology. We have also arranged things so that almost no one understands science and technology. This is a prescription for disaster. We might get away with it for a while, but sooner or later this combustible mixture of ignorance and power is going to blow up in our faces. Carl Sagan, Προστασία Κρίσιμων Υποδομών: το σύγχρονο τοπίο Οι σύγχρονες βιομηχανικές κοινωνίες είναι βαθιά εξαρτώμενες από έναν περιορισμένο αριθμό πόρων οι οποίοι παρέχουν ηλεκτρική ενέργεια, νερό, πετρέλαιο και φυσικό αέριο. Στο παρελθόν, τα πληροφοριακά συστήματα που έλεγχαν τη λειτουργία αυτών των υποδομών αποτελούνται από συστήματα τα οποία βρίσκονταν σε κλειστά, ιδιωτικά, απομονωμένα δίκτυα, με κεντρικό έλεγχο λειτουργίας. Θέματα που σχετίζονται με την αυθεντικοποίηση, τον έλεγχο πρόσβασης (όχι σε φυσικό επίπεδο) ή την κρυπτογράφηση λάμβαναν περιορισμένης προσοχής. Η χρήση Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) σύμφωνα με τα κλειστά πρότυπα του εκάστοτε κλάδου και η ανάπτυξη εφαρμογών για συγκεκριμένες υποδομές, αποδεικνυόταν ακριβές προσεγγίσεις τόσο όσον αφορά στη λειτουργία, αλλά και στη συντήρησή τους. Σε αντιδιαστολή, οι τεχνολογίες ΤΠΕ στον ιστό, που παρείχαν προτυποποίηση, μείωση του κόστους, αλλά επέτρεπαν και τη διασύνδεση με άλλες υποδομές, είτε του ιδίου είτε άλλου τομέα εμφανίστηκαν ως πιο συμφέρουσες εναλλακτικές. Η εξέλιξη αυτή οδήγησε στη διασύνδεση των πληροφοριακών συστημάτων ελέγχου των κρίσιμων υποδομών. Οι αλλαγές αυτές, αλλά και οι σύγχρονες εξελίξεις στο χώρο, όπως η είσοδος της νεφοϋπολογιστικής (cloud computing), οδηγούν σε νέες προκλήσεις, καθώς εισάγουν πολυπλοκότητα, αλλά καθιστούν διεθνές και το θέμα της προστασίας των υποδομών [WEF, 2010]. Η σημασία της προστασίας των υποδομών μιας χώρας, συμπεριλαμβανομένων και των υποδομών πληροφοριών και τηλεπικοινωνιών, κυριαρχεί τόσο στις πολιτικές και στρατηγικές αναφορές αλλά και στην έρευνα τα τελευταία χρόνια. Παρατηρείται μετατόπιση από την ερευνητική οπτική η οποία εστιάζει σε θέματα ασφάλειας πληροφοριακών συστημάτων, προς προσεγγίσεις οι οποίες προσπαθούν να ανταποκριθούν στην πολυπλοκότητα των υποδομών αυτών. Κύριο ερέθισμα για αυτή τη μετατόπιση αποτέλεσαν περιστατικά ειδικής βίας, όπως αυτά στη Νέα Υόρκη και την Ουάσιγκτον (2001), τη Μαδρίτη (2004) και το Λονδίνο (2005). Η ειδοποιός διαφορά αυτών των περιπτώσεων ήταν ότι στόχο, αλλά και μέσο για την εκδήλωση μιας απειλής, αποτελέσαν οι υποδομές που σχετίζονται με βασικές υπηρεσίες απαραίτητες για την κοινωνία [Brunner and Suter, 2008]. Στην περίπτωση της 11 ης Σεπτεμβρίου 2001, ως μέσο εκδήλωσης της επίθεσης χρησιμοποιήθηκε ένα μέσο μεταφοράς επιβατών, δηλαδή υποδομές του τομέα των μεταφορών, ενώ ως στόχος επιλέχθηκαν υποδομές οι οποίες χρησιμοποιούνται τόσο για βασικές κυβερνητικές λειτουργίες και Παράρτημα Δ : Δημοσιεύσεις και αναφορές 1

17 υπηρεσίες, όσο και υποδομές που σχετίζονται με τον τομέα της οικονομίας. Στα περιστατικά που έλαβαν χώρα στην Ευρώπη, επλήγει και πάλι ο τομέας των μεταφορών, ενώ στόχο αποτελέσαν μέσα μεταφοράς (τραίνα), αλλά και κτιριακές υποδομές (σταθμοί) και πληροφοριακά συστήματα. Τα γεγονότα αυτά φανερώνουν την πολυπλοκότητα των σύγχρονων απειλών, οι οποίες μπορεί να εκμεταλλεύονται ευπάθειες σε συνδυασμό τομέων, αλλά και ευπάθειες σε όλες τις συνιστώσες ενός πληροφοριακού συστήματος, δηλαδή και στους ανθρώπους, στις κτιριακές υποδομές και στις διαδικασίες, πέραν του λογισμικού ή του υλικού, που είναι η συνήθης προσέγγιση. Αντιλαμβανόμαστε, λοιπόν, ότι οι τρέχουσες πρακτικές χρήζουν βελτίωσης, αλλά ενδεχομένως και αλλαγής προσέγγισης, ώστε να ανταποκρίνονται στις σύγχρονες απαιτήσεις. Η έννοια της προστασίας στρατηγικά σημαντικών υποδομών για την κοινωνία, την οικονομία και την ευμάρεια των πολιτών ενός κράτους δεν είναι νέα. Πριν τις επιθέσεις αυτές, η προστασία τους ελάμβανε σημασία και συγκαταλεγόταν στους μηχανισμούς της εθνικής άμυνας μιας χώρας. Οι όροι Προστασία Κρίσιμων Υποδομών (ΠΚΥ) ή Προστασία Υποδομών Ζωτικής Σημασίας χρησιμοποιούνται για την απόδοση του αγγλικού όρου Critical Infrastructure Protection (CIP), και διευρύνονται σε σχέση με την έννοια της εθνικής άμυνας. Πρωτίστως, ο όρος δεν περιορίζεται σε άμυνα ενάντια σε άμεσες επιθέσεις κατά μιας χώρας ή σε εγκληματικές ενέργειες, αλλά αναφέρεται και σε μηχανισμούς ασφάλειας με στόχο την πρόληψη και την αποφυγή εκδήλωσης περιστατικών. Επιπλέον, οι σύγχρονες υποδομές χαρακτηρίζονται από υψηλό βαθμό πολυπλοκότητας, ως προς τις ευπάθειες, τις απειλές αλλά και τις αλληλεξαρτήσεις που τις χαρακτηρίζουν. Τα πιθανά αίτια διακοπής λειτουργίας μιας υποδομής ή εκδήλωσης μιας κρίσης δεν είναι απλό να εντοπιστούν, καθώς μπορεί να οφείλονται σε μια αλυσίδα φαινομενικά ασήμαντων περιστατικών, ο συνδυασμός των οποίων οδηγεί στην εκδήλωση μιας κλιμακούμενων επιπτώσεων σε πολλαπλές υποδομές, διαφορετικών τομέων ή επιπέδου κρισιμότητας. Για το λόγο αυτό, η ΠΚΥ αποτελεί κρίσιμο σημείο συζήτησης στις σύγχρονες πολιτικές συζητήσεις περί ασφάλειας. Ερευνητικά, η στενή έννοια της Ασφάλειας Πληροφοριακών Συστημάτων (ΑΠΣ) διευρύνεται ώστε να επεκταθεί και σε ζητήματα προστασίας κρίσιμων υποδομών. Αυτό παρατηρείται με τη δημιουργία νέων συνεδρίων και περιοδικών που εστιάζουν αποκλειστικά στο θέμα της ΠΚΥ, αλλά και με την προσθήκη εργασιών που συνδυάζουν επιμέρους θέματα ΑΠΣ και ΠΚΥ στα υπάρχοντα συνέδρια και περιοδικά για την ασφάλεια. 1.1 Αφορμή και Κίνητρα της Έρευνας Η ΠΚΥ αναγνωρίζεται ως ένα από τα μείζονα ζητήματα ενδιαφέροντος σε διεθνές επίπεδο. Αυτό προκύπτει και από τις ετήσιες αναφορές του Διεθνούς Οικονομικού Φόρουμ (World Economic Forum 1 ) των τελευταίων ετών σχετικά με τους διεθνείς κινδύνους. Τον Ιανουάριο του 2010 [WEF, 2010], η επίθεση ή η αστοχία λειτουργίας σε μια κρίσιμη πληροφοριακή υποδομή αναγνωρίζεται ως σημαντική (βλ. Εικόνα 1), λόγω της πιθανότητας εμφάνισης του φαινομένου ντόμινο ( domino effect ) σε εξαρτώμενες 1 (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 2

18 από τις ΤΠΕ υποδομές, όπως αυτές της ενέργειας, της παροχής ύδατος, των μεταφορών, της οικονομίας ή της διαχείρισης επειγόντων περιστατικών και κρίσεων. Στην πρόσφατη αυτή μελέτη [WEF, 2010], αναλύεται πως ο κίνδυνος αυτός εξαρτάται και επηρεάζει άλλους πιθανούς παγκόσμιους κινδύνους (βλ. Εικόνα 2). Η διακοπή λειτουργίας κρίσιμων πληροφοριακών (και επικοινωνιακών) υποδομών (CII breakdown) χαρακτηρίζεται ως αυξανόμενης πιθανότητας εμφάνισης αλλά και επίπτωσης για το έτος 2010, σε σχέση με τα προηγούμενα χρόνια. Εικόνα 1: Εκτίμηση του κινδύνου από την διακοπή λειτουργία κρίσιμων πληροφοριακών υποδομών Ως παράγοντες που χρήζουν παρακολούθησης και επηρεάζουν την εκδήλωση αλλά και την αντιμετώπιση του κινδύνου αυτού, αναγνωρίζονται οι εξής: Ο βαθμός ενσωμάτωσης των ΤΠΕ σε συστήματα και υπηρεσίες ζωτικής σημασίας Η ανάπτυξη υλικού και λογισμικού νέων τεχνολογιών Παράρτημα Δ : Δημοσιεύσεις και αναφορές 3

19 Ο βαθμός ανταλλαγής δεδομένων και πληροφοριών μεταξύ κυβερνήσεων αλλά και μεταξύ κυβερνήσεων και ιδιωτικών οργανισμών Η αποδοχή ή μη της αντίληψης περί διαμοιρασμού υποδομών σε περιπτώσεις κρίσης Το νομικό και κανονιστικό πλαίσιο, το οποίο πρέπει να ανταποκρίνεται εγκαίρως στις νέες τεχνολογικές εξελίξεις Η ανθεκτικότητα των θεσμών Ο εντοπισμός περιστατικών και η αποτελεσματικότητα των διαδικασιών διαχείρισης κρίσεων Εικόνα 2: Συσχέτιση της διακοπής λειτουργίας κρίσιμων πληροφοριακών υποδομών με άλλους διεθνείς κινδύνους Ως πιθανές άμεσες επιπτώσεις από την εκδήλωση ενός τέτοιου κινδύνου αναφέρονται οι εξής: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 4

20 Διακοπή λειτουργίας σε κρίσιμες υπηρεσίες και συστήματα (τηλεπικοινωνίες, ενέργεια και οικονομία) Διακοπή επιχειρησιακών λειτουργιών και παροχής υπηρεσιών Διακοπή κρίσιμων κυβερνητικών υπηρεσιών Απώλεια εμπιστοσύνης σε συστήματα και στις ΤΠΕ γενικότερα Άμεσες και έμμεσες οικονομικές απώλειες Παρατηρούμε όμως ότι λόγω της συσχέτισης με άλλους κινδύνους, οι έμμεσες επιπτώσεις μπορούν να επεκταθούν, για παράδειγμα, και στην υγεία και σωματική ακεραιότητα ατόμων. Με βάση τα παραπάνω αντιλαμβανόμαστε ότι σε διεθνές επίπεδο, η προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών λαμβάνει ιδιαίτερη σημασία. Όπως αναδεικνύεται και από τα ευρήματα του Διεθνούς Οικονομικού Φόρουμ πολύ σημαντικό ζήτημα είναι η αξιολόγηση των υποδομών ως προς τον κίνδυνο υποβάθμισης ή διακοπής της λειτουργίας τους και η ιεράρχησή τους. Πιο συγκεκριμένα, θα πρέπει να προσδιορισθούν ποιες υποδομές είναι πιο σημαντικές για το κοινωνικό σύνολο ή για άλλες υποδομές, αλλά και να αξιολογηθεί η πιθανότητα εμφάνισης κάποιου περιστατικού, καθώς και το εύρος και η ένταση των επιπτώσεων που προκύπτουν από την αστοχία μίας υποδομής. Καθώς η εκτίμηση επικινδυνότητας είναι μια πολύ ώριμη μεθοδολογία η οποία εφαρμόζεται σε Πληροφοριακά Συστήματα θα πρέπει να εξεταστεί αν αυτή μπορεί να αξιοποιηθεί και όταν αναφερόμαστε σε κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές. Εξετάζοντας το ζήτημα, όμως, παρατηρήσαμε τα εξής: Η εκτίμηση της επικινδυνότητας για τις πληροφοριακές και επικοινωνιακές υποδομές δεν μπορεί να γίνει με ανάλογο με τα πληροφοριακά συστήματα τρόπο, λόγω του γεγονότος ότι οι υποδομές αυτές δεν μπορούν να εξεταστούν μεμονωμένα, λόγω των πολλαπλών αλληλεξαρτήσεων που αυτές εμφανίζουν. Μια μεθοδολογία θα πρέπει να μπορεί να υπολογίσει και τις αλυσωτές ή κλιμακούμενες επιπτώσεις ενός περιστατικού σε μία ή περισσότερες υποδομές και στους αντίστοιχους τομείς. Οι υποδομές εμφανίζουν προβλήματα στην ακριβή εκτίμηση της ευπάθειας (ή τρωτότητας) λόγω της υψηλής πολυπλοκότητας των υποδομών, δεδομένου ότι αποτελούν πλέγμα από διαφορετικά συστήματα και δίκτυα, των οποίων οι τεχνολογίες υλοποίησης έχουν μικτό χαρακτήρα. Στις μεθόδους εκτίμησης επικινδυνότητας συνεκτιμούμε την πιθανότητα εμφάνισης ενός περιστατικού ή μιας απειλής σε συνδυασμό με τις ενδεχόμενες επιπτώσεις του. Τα δύο αυτά μεγέθη θεωρούνται εξίσου σημαντικά. Όταν αναφερόμαστε σε πληροφοριακές και επικοινωνιακές υποδομές η παραδοχή αυτή ενδέχεται να μην αληθεύει. Σε πολλές περιπτώσεις, είναι σκόπιμο να εστιάσουμε και σε περιστατικά με μικρή πιθανότητα εμφάνισης αλλά με σημαντικές επιπτώσεις, τόσο σε ένταση όσο και στο εύρος του πληθυσμού που επηρεάζουν. Εξετάζοντας τις σύγχρονες ερευνητικές προσεγγίσεις σε σχέση με το θέμα, αλλά και τις εθνικές στρατηγικές για την προστασία των κρίσιμων υποδομών, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 5

21 διαπιστώνουμε έλλειψη ομοιογένειας στις υπάρχουσες μεθοδολογίες αλλά και στις τεχνολογίες υλοποίησης αυτών. Δεν υπάρχει δηλαδή μία κοινώς αποδεκτή προσέγγιση ούτε ως προς το ποιοι τομείς υποδομών είναι κρίσιμοι, αλλά ούτε και στη διαδικασία χαρακτηρισμού μίας υποδομής ως κρίσιμης. Η παραπάνω ανομοιογένεια συμβαδίζει και με την έλλειψη προτύπων που να αναφέρονται στην προστασία κρίσιμων υποδομών. Οι ελάχιστες εξαιρέσεις είναι είτε πρότυπα για ασφάλεια πληροφοριακών συστημάτων τα οποία εφαρμόζονται στις συνιστώσες ΤΠΕ μίας υποδομής ή είναι πρότυπα τα οποία αναφέρονται σε ένα συγκεκριμένο τομέα υποδομών π.χ. στον τομέα της ενέργειας. Λόγω της σημασίας των κρίσιμων υποδομών για το κοινωνικό σύνολο, ο ρόλος των «εκ των έσω» απειλών αποκτά καθοριστική σημασία κατά την προστασία τους. Λόγω των εν δυνάμει σημαντικών επιπτώσεων, θα πρέπει να εξεταστούν εναλλακτικοί τρόποι αντιμετώπισης τέτοιων απειλών, καθώς τα υπάρχοντα μέσα προστασίας δεν επαρκούν για να αντιμετωπίσουν εξουσιοδοτημένους χρήστες. 1.2 Αντικείμενο και σκοπός της διατριβής Οι διαπιστώσεις της προηγούμενης ενότητας καθοδήγησαν και το αντικείμενο και τους στόχους της παρούσας διατριβής. Αντικείμενο της διατριβής είναι η οριοθέτηση και κατανόηση της περιοχής της προστασίας κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών, καθώς και η δημιουργία νέων μεθόδων για την αντιμετώπιση ζητημάτων ασφαλείας όπως η εκτίμηση επικινδυνότητας που θα ανταποκρίνονται στα ιδιαίτερα χαρακτηριστικά των υποδομών αυτών. Σκοπός της διατριβής είναι η δημιουργία μίας νέας μεθοδολογίας εκτίμησης επικινδυνότητας η οποία θα εφαρμόζεται σε πληροφοριακές και επικοινωνιακές υποδομές. Η μεθοδολογία αυτή πρέπει να λαμβάνει υπόψη όλες τις διαφοροποιήσεις που προκύπτουν όταν αναφερόμαστε σε κρίσιμες υποδομές σε σχέση με τις προσεγγίσεις που εφαρμόζονται στον χώρο των πληροφοριακών συστημάτων. Πιο συγκεκριμένα, θα πρέπει να δύναται να αξιολογήσει την κρισιμότητα μίας υποδομής σε σχέση με τις άλλες ώστε να είναι δυνατή η ιεράρχησή τους, και κατ επέκταση να είναι εφικτός ο εντοπισμός των πιο κρίσιμων τομέων (critical sectors). Επίσης, η μεθοδολογία θα πρέπει να μπορεί να απεικονίσει την αλληλεξάρτηση των υποδομών και να αξιολογεί την επίδρασή της κατά την εκτίμηση της επικινδυνότητάς τους. Τα κύρια ζητήματα στα οποία επικεντρώθηκε η παρούσα διατριβή είναι: 1) Εκτενής ανάλυση της ερευνητικής περιοχής της προστασίας κρίσιμων υποδομών και προσδιορισμός της συσχέτισής της με την ασφάλεια πληροφοριακών συστημάτων, με την πρόταση ενός ενιαίου γνωστικού υποβάθρου (Common Body of Knowledge - CBK). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 6

22 2) Κριτική αποτίμηση των μεθόδων και τεχνικών αξιολόγησης της κρισιμότητας μιας υποδομής. Περιλαμβάνει την επιλογή κριτηρίων, με στόχο την ποιοτική και ποσοτική αξιολόγηση του βαθμού κρισιμότητας μιας υποδομής. 3) Δημιουργία μια πρωτότυπης μεθοδολογίας για την εκτίμηση επικινδυνότητας σε κρίσιμες υποδομές. Η μεθοδολογία εκτιμά με ποσοτικό τρόπο την επίδραση των αλληλεξαρτήσεων μεταξύ υποδομών ως προς την επικινδυνότητα και προσδιορίζει τους τομείς με υψηλότερη κρισιμότητα. 4) Εξέταση τρόπων αντιμετώπισης της εκ των έσω απειλής για την προστασία κρίσιμων υποδομών ως ειδική περίπτωση απειλής η οποία μπορεί να επιφέρει σημαντικές επιπτώσεις τόσο στην ίδια την υποδομή, σε εξαρτώμενες από αυτές υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. 1.3 Μέθοδος Εργασίας Η παρούσα διατριβή είναι το αποτέλεσμα πολλαπλών ερευνητικών βημάτων που συνέβαλλαν στην εκπλήρωση των στόχων που προσδιορίσθηκαν στην προηγούμενη ενότητα. Αρχικά, θα παρουσιάσουμε μία κατηγοριοποίηση των μεθόδων που χρησιμοποιούνται για την έρευνα στα Πληροφοριακά Συστήματα και μετά θα τη χρησιμοποιήσουμε για να χαρακτηρίσουμε τα επιμέρους στάδια της διατριβής Τύποι ερευνητικών μεθόδων Όπως αναφέρει και η [Τσώχου, 2010], στο χώρο των Πληροφοριακών Συστημάτων αξιοποιούνται διαφορετικές μέθοδοι έρευνας, οι οποίες ταξινομούνται από τον [Järvinen, 2000] σύμφωνα με το σχήμα ταξινόμησης που απεικονίζεται παρακάτω στην Εικόνα 3. Οι μαθηματικές μέθοδοι αναφέρονται στη μελέτη συγκεκριμένων θεωρημάτων ή ισχυρισμών και αποδεικνύουν την ισχύ τους σε ένα συγκεκριμένο πλαίσιο θεμελιωδών μαθηματικών παραδοχών και προϋποθέσεων. Ερευνητικά ερωτήματα που μπορούν να μελετηθούν με τέτοιες μεθόδους είναι: «Μπορούμε να αποδείξουμε ότι το Χ θεώρημα είναι ορθό;». Οι λοιπές μέθοδοι διαχωρίζονται σε δύο κύριες κατηγορίες: όσες στη φύση της πραγματικότητας και όσες αφορούν τη χρήση τεχνουργημάτων (αντικείμενα που έχουν κατασκευαστεί από τους ανθρώπους). Στην πρώτη κατηγορία ανήκουν οι εννοιολογικές-αναλυτικές προσεγγίσεις, οι οποίες ξεκινούν από υποθέσεις, συλλογισμούς και αξιώματα και αποδίδουν μία θεωρία, ένα μοντέλο ή ένα θεωρητικό πλαίσιο. Ερωτήματα που μπορεί να μελετηθούν με τέτοιες προσεγγίσεις είναι: Τι τύπου θεωρία μπορεί να εφαρμοστεί στο συγκεκριμένο φαινόμενο, αν οι συγκεκριμένες υποθέσεις και παραδοχές είναι έγκυρες;. Οι εννοιολογικές-αναλυτικές προσεγγίσεις μελετούν επίσης τις βασικές έννοιες προηγούμενων εμπειρικών ερευνών και αναλύουν θεωρίες, μοντέλα και πλαίσια που έχουν χρησιμοποιηθεί. Για παράδειγμα, ένας ερευνητής μπορεί να ρωτήσει Υπάρχει μία κοινή θεωρία που να περιγράφει και να εξηγεί το υπό μελέτη φαινόμενο;. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 7

23 Ερευνητικές μέθοδοι Μέθοδοι για τη μελέτη της πραγματικότητας Μαθηματικές μέθοδοι Έρευνες που μελετούν τη φύση της πραγματικότητας Έρευνες που μελετούν την χρησιμότητα των τεχνουργημάτων Εννοιολογικές - Αναλυτικές προσεγγίσεις Εμπειρικές έρευνες Μέθοδοι σχεδιασμού τεχνουργημάτων Μέθοδοι αξιολόγησης τεχνουργημάτων Προσεγγίσεις ανάπτυξης θεωριών Προσεγγίσεις επαλήθευσης θεωριών - Εικόνα 3: Ταξινόμηση μεθόδων έρευνας Στην πρώτη κατηγορία ανήκουν επίσης και οι προσεγγίσεις ανάπτυξης θεωριών και οι προσεγγίσεις επαλήθευσης θεωριών. Οι προσεγγίσεις επαλήθευσης θεωριών περιλαμβάνουν μεθόδους όπως πειράματα, δημοσκοπήσεις (survey), μελέτες πεδίου κτλ. Στις συγκεκριμένες έρευνες τα μοντέλα, πλαίσια και θεωρίες είτε αντλούνται από τη βιβλιογραφία ή αναπτύσσονται για τη συγκεκριμένη μελέτη. Ερωτήματα τέτοιων μελετών μπορεί να είναι: Οι παρατηρήσεις επιβεβαιώνουν ή καταργούν τη συγκεκριμένη θεωρία;. Οι προσεγγίσεις ανάπτυξης θεωριών περιλαμβάνουν μεθόδους όπως τη μελέτη περίπτωσης, εθνογραφία, θεωρίες θεμελίωσης, φαινομενολογία κλπ. Ερευνητικά ερωτήματα στη συγκεκριμένη περίπτωση είναι της μορφής Τι τύπου μοντέλο μπορεί να περιγράψει και να εξηγήσει τις παρατηρήσεις που έχουν συλλεχθεί; ή Ποια θεωρία μπορεί να εξηγήσει γιατί συγκεκριμένα γεγονότα, δράσεις ή δομές έλαβαν χώρα;. Στη δεύτερη κατηγορία ανήκουν όσες προσεγγίσεις αφορούν την ανάπτυξη τεχνουργημάτων και την αξιολόγηση τεχνουργημάτων. Η ανάπτυξη τεχνουργημάτων στα ΠΣ αφορά την καταγραφή των απαιτήσεων χρησιμότητας του ΠΣ και την εφαρμογή ενός μοντέλου ανάπτυξης ΠΣ. Επίσης, περιλαμβάνει μελέτες που αφορούν στα βήματα που οφείλει να ακολουθεί η κατασκευή τους. Ερωτήματα που απαντούν τέτοιες μέθοδοι είναι της μορφής Είναι εφικτό να κατασκευαστεί ένα τεχνούργημα με τα συγκεκριμένα χαρακτηριστικά;. Στα πλαίσια των προσεγγίσεων αξιολόγησης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 8

24 τεχνουργημάτων εφαρμόζονται κάποια κριτήρια αξιολόγησης και πραγματοποιούνται οι σχετικές μετρήσεις. Τέτοιου τύπου μελέτες διερευνούν για παράδειγμα Πόσο αποτελεσματικό είναι το συγκεκριμένο τεχνούργημα;. Στη συνέχεια παρουσιάζεται ένας πίνακας που συνοψίζει πως εξετάστηκε το κάθε επιμέρους θέμα που πραγματεύεται η διατριβή: Πίνακας 1: Μέθοδος έρευνας Ερευνητικό ζητούμενο Πρόταση ενός ενιαίου γνωστικού υποβάθρου Επιλογή κριτηρίων, με στόχο την ποιοτική και ποσοτική αξιολόγηση του βαθμού κρισιμότητας μιας υποδομής. Δημιουργία μια πρωτότυπης μεθοδολογίας για την εκτίμηση επικινδυνότητας σε κρίσιμες υποδομές, η οποία λαμβάνει υπόψη την αλληλεξάρτηση. Εξέταση τρόπων αντιμετώπισης της εκ των έσω απειλής για την προστασία κρίσιμων υποδομών ως ειδική περίπτωση απειλής. Μέθοδος έρευνας Εννοιολογική - αναλυτική προσέγγιση (δημιουργία πλαισίου) Εννοιολογική - αναλυτική προσέγγιση (δημιουργία μεθόδου) Σχεδιασμός τεχνουργήματος/ μαθηματική μέθοδος Εννοιολογική - αναλυτική προσέγγιση (δημιουργία μεθόδου) Στάδια της διατριβής Η διατριβή δημιουργήθηκε ακολουθώντας μια βηματική διαδικασία η οποία θα μπορούσε να συνοψιστεί ως εξής: Βήμα 1: Μελέτη της ερευνητικής περιοχής Προστασία Κρίσιμων Υποδομών και συσχέτιση με την Ασφάλεια Πληροφοριακών Συστημάτων Βήμα 2: Εντοπισμός ερευνητικών ερωτημάτων Βήμα 3: Δημιουργία ενιαίου γνωστικού υποβάθρου για την περιοχή αυτή Βήμα 4: Συγκριτική μελέτη της Εκτίμησης Επικινδυνότητας για τα Πληροφοριακά Συστήματα και για τις Κρίσιμες Υποδομές Βήμα 5: Δημιουργία προσέγγισης για την ιεράρχηση υποδομών ανάλογα με την κρισιμότητά τους, με έμφαση στην επίπτωση Βήμα 6: Σύνθεση μεθόδου εκτίμησης επικινδυνότητας υποδομών και τομέων (sectors) με βάση την αλληλεξάρτηση Βήμα 7: Μελέτη μιας συγκεκριμένης απειλής ( εκ των έσω απειλή ) και εντοπισμός τρόπων αντιμετώπισης, με βάση κοινωνικές θεωρίες Τα βήματα αυτά δεν ήταν αμιγώς διαδοχικά, ενώ σε πολλές περιπτώσεις χρειάστηκε η επανεξέταση ενός βήματος. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 9

25 1.4 Δομή Η παρούσα διατριβή χωρίζεται σε τέσσερα μέρη και οκτώ (8) κεφάλαια. Στο πρώτο μέρος (κεφάλαιο 2), γίνεται μια ανασκόπηση των βασικών εννοιών που σχετίζονται με την προστασία κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών και εντοπίζονται τα ανοικτά ζητήματα που οδήγησαν στην έρευνα αυτή. Πιο συγκεκριμένα, στο κεφάλαιο 2 παρατίθενται οι σχετικές έννοιες της ασφάλειας, της επικινδυνότητας, της κρίσιμης υποδομής και της προστασίας κρίσιμων υποδομών. Στη συνέχεια, εξετάζονται οι τρέχουσες προσεγγίσεις όσον αφορά στην ΠΚΥ. Στο δεύτερο μέρος της διατριβής (κεφάλαια 3 έως 6) παρουσιάζεται και αναλύεται το βασικό ζήτημα που πραγματεύεται η εν λόγω διατριβή. Πιο συγκεκριμένα, ξεκινώντας από τη σύνθεση ενός γνωστικού υποβάθρου για την ΠΚΥ, οριοθετείται η ερευνητική περιοχή και προσδιορίζεται η στενή σχέση της με την ΑΠΣ. Στα κεφάλαια 4 και 5 συντίθεται σταδιακά μια νέα μεθοδολογία για την εκτίμηση της επικινδυνότητας σε κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές. Το κεφάλαιο 6 εστιάζει σε μια συγκεκριμένη απειλή, την εκ των έσω απειλή και παραθέτει τρόπους αντιμετώπισης που θα μπορούσαν να εφαρμοσθούν και σε κρίσιμες υποδομές, καθώς και τη συμβολή κοινωνικών θεωριών στο θέμα αυτό. Τέλος, στο τρίτο μέρος (κεφάλαιο 7), παρουσιάζονται τα συμπεράσματα που προκύπτουν από την παρούσα ερευνητική προσπάθεια, ενώ παράλληλα αναδεικνύονται θέματα για περαιτέρω και μελλοντική έρευνα. Η συγγραφή της παρούσας διατριβής γίνεται σε οκτώ κεφάλαια και ακολουθεί σε γενικές γραμμές τη ροή της δομικής περιγραφής που παρουσιάσθηκε. Οι βιβλιογραφικές αναφορές παρατίθενται στο κεφάλαιο 8, ενώ η διατριβή συνοδεύεται από παραρτήματα στα οποία περιλαμβάνεται λεπτομερειακό υλικό απαραίτητο για την καλύτερη τεκμηρίωσή της. Στο κεφάλαιο 1, Προστασία Κρίσιμων Υποδομών: το σύγχρονο τοπίο, περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία επίλυσης του ερευνητικού προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να προσεγγίσει η διατριβή και η συμβολή της στη γνωστική περιοχή. Στο κεφάλαιο 2 Έννοιες, Προσεγγίσεις & Ανοικτά Ζητήματα, ορίζονται οι κύριες έννοιες της Ασφάλειας Πληροφοριακών Συστημάτων (ΑΠΣ), και στη συνέχεια περιγράφεται η μεθοδολογία Εκτίμησης Επικινδυνότητας και οι τρέχουσες προσεγγίσεις σε σχέση με αυτή. Ακολουθεί η οριοθέτηση της περιοχής της Προστασίας Κρίσιμων (Πληροφοριακών και Επικοινωνιακών) Υποδομών και συσχετίζεται με την ΑΠΣ. Πιο συγκεκριμένα, ορίζονται οι έννοιες της υποδομής και της κρίσιμης υποδομής, καθώς και συγγενείς όροι, και, έπειτα περιγράφονται οι διάφοροι τομείς κρίσιμων υποδομών, οι διεθνείς προσεγγίσεις σε στρατηγικό επίπεδο και τα πρότυπα. Τέλος, διατυπώνεται το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση. Στο κεφάλαιο 3, Γνωστικό Υπόβαθρο για την Προστασία Κρίσιμων Υποδομών, περιγράφεται ο τρόπος δημιουργίας ενός εξειδικευμένου Γνωστικού Υπόβαθρου για Ασφάλεια Πληροφοριακών Συστημάτων και Προστασία Κρίσιμων Υποδομών. Το γνωστικό αυτό υπόβαθρο καλύπτει την ανάγκη για οριοθέτηση της περιοχής αυτής. Το κεφάλαιο αυτό συμβάλει στην κατανόηση της ερευνητικής περιοχής της ΠΚΥ και αποτελεί τη βάση για την εξέταση των ερευνητικών ζητημάτων που σχετίζονται με την ΠΚΥ και αναλύονται στα κεφάλαια που ακολουθούν. Στο κεφάλαιο 4, Εκτίμηση Κρισιμότητας Υποδομών, εξετάζονται οι τρέχουσες προσεγγίσεις για τον προσδιορισμό της κρισιμότητας, ορίζεται σαφώς η έννοια της Παράρτημα Δ : Δημοσιεύσεις και αναφορές 10

26 κρισιμότητας και συσχετίζεται με την έννοια της επικινδυνότητας. Στη συνέχεια της ενότητας, περιγράφεται μια γενική (generic) μέθοδος εκτίμησης της κρισιμότητας, η οποία περιλαμβάνει κριτήρια τα οποία εξετάζουν και την κοινωνική και τομεακή επίπτωση μιας υποδομής (social-centric and/or sector-centric impact), σε αντίθεση με τις συνήθεις μεθόδους οι οποίες μεταφέρουν τις μεθόδους εκτίμησης επικινδυνότητας απευθείας από το χώρο των ΠΣ και εστιάζουν στις οργανωσιακές επιπτώσεις για μια υποδομή. Η κρισιμότητα αποτυπώνεται με τη χρήση μαθηματικών εξισώσεων, λαμβάνοντας υπόψη τρία χαρακτηριστικά (εμβέλεια, ένταση και χρόνος), αλλά και ως συνάρτηση του χρόνου. Στο κεφάλαιο 5, Αλληλεξάρτηση Κρίσιμων Υποδομών, εστιάζουμε στην παράμετρο της αλληλεξάρτησης υποδομών και περιγράφουμε έναν τρόπο αποτύπωσης αυτής, ο οποίος δεν είναι μονοδιάστατος, αλλά αντίθετα εξετάζεται σε πολλαπλά επίπεδα ανάλυσης. Πιο συγκεκριμένα, συνθέτουμε μια μεθοδολογία η οποία εντοπίζει και καταγράφει τις αλληλεξαρτήσεις μεταξύ υποδομών, και κατ επέκταση μεταξύ των τομέων (sectors) στους οποίους ανήκουν. Στόχος είναι να υπολογιστεί πώς η επικινδυνότητα μεταφέρεται από τη μια υποδομή σε μια άλλη και να εντοπιστούν οι πιο κρίσιμες υποδομές μιας χώρας. Με τον ίδιο τρόπο μπορούν να εντοπιστούν και οι πιο κρίσιμοι τομείς μιας χώρας. Ο υπολογισμός της κρισιμότητας η οποία πηγάζει και λόγω των διασυνδέσεων μεταξύ υποδομών επιτρέπει μια πιο πλήρη αποτύπωση των σημείων ενδιαφέροντος στα οποία θα πρέπει να εστιάσει ο στρατηγικός σχεδιασμός μιας χώρας. Στο κεφάλαιο 6, Η εκ των έσω απειλή στις κρίσιμες υποδομές, εξετάζεται η εκ των έσω απειλή ως μια ειδική περίπτωση απειλής, η οποία μπορεί να επιφέρει σημαντικές επιπτώσεις τόσο σε μια πληροφοριακή και επικοινωνιακή υποδομή, σε εξαρτώμενες από αυτή υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. Πιο συγκεκριμένα, μελετώνται οι τρέχουσες πρακτικές αντιμετώπισης και, έπειτα, διερευνάται η συνδρομή κοινωνικών θεωριών στην αποτροπή και στην αντιμετώπιση του φαινομένου. Στο κεφάλαιο 7, Σύνοψη και Συμπεράσματα, γίνεται μια σύνοψη των επιμέρους ερευνητικών ερωτημάτων, παρατίθενται τα γενικά συμπεράσματα της διατριβής, η συμβολή της καθώς και οι παραδοχές της. Επίσης, σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα. Στο κεφάλαιο 8, Βιβλιογραφικές αναφορές, παρατίθενται η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η παρούσα διατριβή. Τέλος, τα Παραρτήματα Α και Β παρουσιάζουν αναλυτικές μορφές του γνωστικού υποβάθρου στα διάφορα στάδια ανάπτυξής του, το Παράρτημα Γ εμπεριέχει ένα συνοπτικό γλωσσάρι όρων για την καλύτερη κατανόηση του κειμένου και το Παράρτημα Δ παρουσιάζει όλες τις δημοσιεύσεις που εκπονήθηκαν κατά την εκπόνηση της διδακτορικής έρευνας, κατηγοριοποιημένες ανά θέμα έρευνας. 1.5 Συμβολή Εννοιολογικό Μοντέλο Η παρούσα διατριβή εντάσσεται στις ερευνητικές προσεγγίσεις δύο επιστημονικών περιοχών: της Ασφάλειας Πληροφοριακών Συστημάτων και της Προστασίας Κρίσιμων Υποδομών. Τα επιμέρους ερευνητικά ζητήματα της διατριβής αφορούν στις παρακάτω γνωστικές περιοχές ενδιαφέροντος: Γνωστικό Υπόβαθρο (Common Body of Knowledge) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 11

27 Εκτίμηση Επικινδυνότητας (Risk Assessment) o Κρισιμότητα υποδομής (Infrastructure Criticality) o Κρισιμότητα τομέα (Sector Criticality) o Αλληλεξαρτήσεις Υποδομών (Interdependency) Εκ των έσω Απειλή (Insider Threat) Η Εικόνα 4 παρουσιάζει το εννοιολογικό πλαίσιο της διατριβής και βοηθά στην κατανόηση της σύνδεσης των επιμέρους θεμάτων. Παράλληλα, κάθε θέμα αντιστοιχείται και στην σχετική ενότητα της διατριβής. Εικόνα 4: Εννοιολογικό μοντέλο διατριβής Πιο συγκεκριμένα, η συνεισφορά της διατριβής εκφράζεται σε τέσσερα επίπεδα: Γνωστικό Υπόβαθρο για την ΠΚΥ Η διατριβή συνέβαλλε στον καθορισμό των περιεχομένων της επιστημονικής περιοχής της ΑΠΣ και της ΠΚΥ, καθώς και τη μεταξύ τους οριοθέτηση. Το προτεινόμενο γνωστικό υπόβαθρο είναι πιο λεπτομερές και αναλυτικό σε σχέση με αυτά που απαντώνται στη βιβλιογραφία, ενώ συνδέει και συσχετίζει και τις δύο επιμέρους γνωστικές περιοχές. Μπορεί να αξιοποιηθεί για την ανάπτυξη ενός προγράμματος σπουδών, είτε για ακαδημαϊκή εκπαίδευση, είτε για την εκπαίδευση επαγγελματιών (με στόχο την παροχή κατάρτισης ή την απόκτηση επαγγελματικής πιστοποίησης), καθώς και για την κατηγοριοποίηση των επιμέρους ειδικοτήτων για τους επαγγελματίες της ΑΠΣ και της ΠΚΥ. Το γνωστικό υπόβαθρο δεν είναι μια απλή καταγραφή θεματικών ενοτήτων, αλλά Παράρτημα Δ : Δημοσιεύσεις και αναφορές 12

28 συνοδεύεται και από τις συσχετίσεις μεταξύ των επιμέρους θεμάτων. Οι συσχετίσεις αυτές προσδιορίζουν και την ενδεικτική ακολουθία μελέτης ή διδασκαλίας των δέκα ενοτήτων του γνωστικού υποβάθρου Κρισιμότητας υποδομής Η διατριβή συνέβαλλε στον προσδιορισμό της έννοιας της κρισιμότητας υποδομών, έννοια η οποία συνδέεται στενά και με την παραδοσιακή έννοια της επικινδυνότητας στα ΠΣ. Επίσης, μελετήθηκαν οι διαφορετικές έννοιες που χρησιμοποιούνται για να χαρακτηρίσουν μια υποδομή ως κρίσιμη καθώς και για την ιεράρχηση των υποδομών. Παράλληλα, έγινε και συγκριτική μελέτη των τρεχουσών προσεγγίσεων και διαπιστώθηκαν τα σημεία διαφοροποίησης αυτών κατά τον υπολογισμό της κρισιμότητας. Στη συνέχεια, προτάθηκε μια νέα μέθοδος για τον υπολογισμό της κρισιμότητας μιας υποδομής με βάση τα πορίσματα της παραπάνω μελέτης. Ως κύριο χαρακτηριστικό της κρισιμότητας θεωρήθηκε, αρχικά, η επίπτωση και για το λόγο αυτό ορίσθηκε μια μαθηματική προσέγγιση υπολογισμού της επίπτωσης κατά την εκδήλωση απειλών ή περιστατικών. Η επίπτωση προσδιορίζεται ως συνάρτηση τριών παραμέτρων, της εμβέλειας, της έντασης αυτής, αλλά και του παράγοντα χρόνου. Οι τρεις παράμετροι αυτές προσδιορίζονται με βάση άλλα επιμέρους κριτήρια, τα οποία επιλέξαμε και προσδιορίσαμε τις κλίμακες εκτίμησής τους Εκτίμηση επικινδυνότητας για αλληλοεξαρτώμενες υποδομές Η προσέγγιση που προτάθηκε επιτρέπει την απεικόνιση των αλληλεξαρτήσεων αρχικά σε επίπεδο υποδομής και έπειτα σε επίπεδο τομέα, αλλά και σε επίπεδο κοινωνίας. Η μέθοδος που περιγράφηκε επιτρέπει τον εντοπισμό συσχετίσεων μεταξύ τομέων. Παράλληλα, επιτρέπει την κατανόηση των εξαρτήσεων αυτών, καθώς αντιστοιχούνται σε εξαρτήσεις μεταξύ υποδομών. Η διατριβή προσδιόρισε τις απαιτήσεις σε κάθε επίπεδο ανάλυσης (υποδομή, τομέας, κοινωνία) για να υπολογιστεί η επικινδυνότητα. Στη συνέχεια, προτάθηκε ένας τρόπος απεικόνισης των αλληλεξαρτήσεων με χρήση δένδρων. Με βάση αυτή τη μοντελοποίηση, δημιουργήθηκε μια μαθηματική μέθοδος εκτίμησης της επικινδυνότητας λόγω αλληλεξαρτήσεων μεταξύ υποδομών, αλλά και υπολογισμού της συνολικής κοινωνικής επικινδυνότητας η οποία προκύπτει λόγω των εξαρτήσεων αυτών. Η μέθοδος επιτρέπει την ιεράρχηση υποδομών και τομέων με μαθηματικό τρόπο, αλλά και τον εντοπισμό των πιο κρίσιμων διασυνδέσεων μεταξύ τους Η εκ των έσω απειλή σε κρίσιμες υποδομές Η εκ των έσω απειλή είναι μια ειδική περίπτωση απειλής η οποία μπορεί να επιφέρει σημαντικές επιπτώσεις τόσο στην ίδια την υποδομή, σε εξαρτώμενες από αυτές υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. Δεδομένου ότι επιφέρει διαφοροποιήσεις τόσο κατά την εκτίμηση επικινδυνότητας, όσο και κατά την επιλογή μέτρων ασφαλείας, μελετήσαμε και αξιολογήσαμε τα υπάρχοντα πρότυπα και τις πρακτικές για την αντιμετώπιση της εκ των έσω απειλής. Έπειτα, εξετάσαμε κοινωνικές θεωρίες και αν μπορούν να συμβάλλουν στην αντιμετώπιση της εκ των έσω απειλής. Από αυτές, επιλέξαμε τη θεωρία της κατά περίστασης πρόληψης εγκλήματος και εφαρμόσαμε τις 25 τεχνικές της στα ΠΣ και τις κρίσιμες υποδομές. Πιο συγκεκριμένα, εντοπίσαμε μέτρα ασφάλειας τα οποία εξυπηρετούν κάθε ένα από τους στόχους της θεωρίας για αυτό το περιβάλλον (context). Τέλος, προτείναμε τρόπους αξιοποίησης των Παράρτημα Δ : Δημοσιεύσεις και αναφορές 13

29 εννοιών και των τεχνικών των κοινωνικών θεωριών για την αντιμετώπιση της εκ των έσω απειλής. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 14

30 Un bon mot ne prouve rien. (A witty word proves nothing) Voltaire, Le dîner du comte de Boulainvilliers (1767) 2 Έννοιες, Προσεγγίσεις & Ανοικτά Ζητήματα Σε αυτό το κεφάλαιο, ορίζονται οι κύριες έννοιες της Ασφάλειας Πληροφοριακών Συστημάτων (ΑΠΣ), και στη συνέχεια περιγράφεται η μεθοδολογία Εκτίμησης Επικινδυνότητας και οι τρέχουσες προσεγγίσεις σε σχέση με αυτή. Ακολουθεί η εννοιολογική θεμελίωση της περιοχής της Προστασίας Κρίσιμων (Πληροφοριακών και Επικοινωνιακών) Υποδομών. Πιο συγκεκριμένα, ορίζονται οι έννοιες της υποδομής και της κρίσιμης υποδομής, καθώς και συγγενείς όροι, και, έπειτα περιγράφονται οι διάφοροι τομείς κρίσιμων υποδομών, οι διεθνείς προσεγγίσεις σε στρατηγικό επίπεδο και τα πρότυπα. Τέλος, διατυπώνεται το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση. Όλοι οι όροι οι οποίοι αναλύονται σε αυτή την ενότητα συνοψίζονται στο γνωσσάρι όρων του Παραρτήματος Γ. 2.1 Ασφάλεια Πληροφοριακών Συστημάτων Τα πέντε συστατικά στοιχεία ενός Πληροφοριακού Συστήματος (ΠΣ) είναι το υλικό, το λογισμικό, οι διαδικασίες, οι άνθρωποι και τα δεδομένα [Κιουντούζης, 1995]. Στη βιβλιογραφία υπάρχουν αρκετοί ορισμοί της ασφάλειας ΠΣ και τις διαφορετικές εκφάνσεις της. Στα πλαίσια αυτής της μελέτης θα χρησιμοποιηθούν οι κάτωθι ορισμοί [Κιουντούζης, 2004]: Ασφάλεια ΠΣ (Information Systems Security): ένα οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Πληροφοριακού Συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή. Ασφάλεια Τεχνολογίας Πληροφορικής και Επικοινωνιών ΤΠΕ (Information Technology & Communications Security ITC Security): η ασφάλεια της τεχνολογικής υποδομής των ΠΣ, συμπεριλαμβανομένων και των επικοινωνιακών (υπο) συστημάτων του. Ασφάλεια Πληροφοριών (Information Security): η ασφάλεια των δεδομένων που διακινούνται, επεξεργάζονται και αποθηκεύονται στα στοιχεία του ΠΣ. Από τους παραπάνω ορισμούς είναι φανερό ότι όσον αφορά την ασφάλεια ΠΣ, υπάρχει στενή σχέση τόσο με τα τεχνικά, διαδικαστικά και οργανωσιακά μέτρα όσο και με τις κρατούσες ηθικο-κοινωνικές αντιλήψεις, αρχές και παραδοχές ακόμη, είναι σαφές ότι τα εν λόγω μέτρα δεν θα πρέπει να παρεμποδίζουν την λειτουργία του ΠΣ έτσι ώστε το τελευταίο να εκπληρώνει τους σκοπούς της δημιουργίας του. Περαιτέρω, η ασφάλεια Παράρτημα Δ : Δημοσιεύσεις και αναφορές 15

31 ΤΠΕ δίνει έμφαση στους τεχνικούς παράγοντες της ασφάλειας ΠΣ, ενώ η ασφάλεια πληροφοριών αναφέρεται αποκλειστικά στην προστασία των πληροφοριών που διακινούνται, επεξεργάζονται και αποθηκεύονται σε ένα ΠΣ και είναι στενότερη έννοια από αυτή της ασφάλειας ΠΣ. Τόσο η ασφάλεια ΤΠΕ, όσο και η ασφάλεια πληροφοριών προκειμένου να πετύχουν τους στόχους τους συνυπολογίζουν και το ΠΣ στα πλαίσια του οποίου υφίσταται η πληροφορία; κάθε θεώρηση της ασφάλειας ΤΠΕ ή/και της ασφάλειας πληροφοριών χωρίς να συνυπολογιστεί και το ευρύτερο περιβάλλον μέσα στο οποίο υφίσταται το ΠΣ (IS context) με όλους τους ενδο/εξωγενείς παράγοντες που προαναφέρθηκαν, είναι καταδικασμένη να καταλήξει σε μια μερική, αποσπασματική και τελικά ανεπαρκή προσέγγιση του προβλήματος της διαχείρισης των θεμάτων προστασίας, ανεξάρτητα από το επίπεδο θέασης και λεπτομέρειας που επικεντρώνει. Συνεπώς, όταν αναφερόμαστε στην ασφάλεια ενός ΠΣ, η προστασία όλων των συστατικών στοιχείων που μετέχουν σε αυτό έχει ιδιαίτερη σημασία, ενώ όταν αναφερόμαστε στην ασφάλεια πληροφοριών, η ασφάλεια του υλικού μας ενδιαφέρει μόνο στο βαθμό που σχετίζεται με την προστασία των πληροφοριών [Μουλίνος, 2003] Θεμελιώδεις Ιδιότητες της Ασφάλειας Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία των σχετικών με την ασφάλεια ιδιοτήτων της πληροφορίας. Ως θεμελιώδεις ιδιότητες ασφάλειας θεωρούνται η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα, οι οποίες ορίζονται ως εξής [Γκρίτζαλης, 1994; ISO/IEC, 2005a]: Ακεραιότητα πληροφοριών (integrity): είναι η ιδιότητα των δεδομένων να υφίστανται σε προκαθορισμένο φυσικό μέσο ή χώρο και να είναι ακριβή και πλήρη. Δηλαδή η μηεξουσιοδοτημένη τροποποίηση της πληροφορίας πρέπει να αποτρέπεται, ενώ κάθε αλλαγή του περιεχομένου των δεδομένων να είναι αποτέλεσμα εξουσιοδοτημένης και ελεγχόμενης ενέργειας. Εμπιστευτικότητα πληροφοριών (confidentiality): η ιδιότητα των δεδομένων να καθίστανται αναγνώσιμα μόνο από εξουσιοδοτημένα λογικά υποκείμενα, όπως φυσικές οντότητες και διεργασίες λογισμικού, ή, εναλλακτικά, να μη διατίθενται ή αποκαλύπτονται σε μη εξουσιοδοτημένα υποκείμενα. Διαθεσιμότητα πληροφοριών (availability): η αποτροπή της προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας σε κάθε εξουσιοδοτημένο λογικό υποκείμενο του συστήματος. Ο [Μουλίνος, 2003] αναφέρει ότι σε αρκετές ερευνητικές εργασίες υποστηρίζεται πως οι παραπάνω τρεις ιδιότητες δεν επαρκούν, για να οριστεί η ασφάλεια πληροφοριών. Στις πρόσθετες ιδιότητες που έχουν προταθεί είναι η αυθεντικότητα (authenticity), δηλ. η απόδειξη της προέλευσης και του ιδιοκτήτη της πληροφορίας, η εγκυρότητα (validity), δηλαδή ότι η πληροφορία αντιπροσωπεύει την πραγματικότητα και είναι επίκαιρη, ενώ σε άλλες έρευνες αναφέρονται οι ιδιότητες της μοναδικότητας (uniqueness), δηλαδή η αδυναμία αντιγραφής και αναπαραγωγής της πληροφορίας χωρίς εξουσιοδότηση και η μη αποποίηση (non-repudiation) δηλαδή η αδυναμία άρνησης των ενεργειών που έχουν εκτελεστεί για την τροποποίηση, την αποστολή ή τη λήψη μίας πληροφορίας. Ο [Μουλίνος, 2003] παρατηρεί, επίσης, ότι: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 16

32 Η ύπαρξη διαφορετικών θεωρήσεων για τις ιδιότητες της ασφάλειας δεν πρέπει να θεωρηθεί παράδοξο, καθώς στον επιστημονικό τομέα της πληροφορικής, η ασφάλεια έχει μεταφερθεί ως μία αφηρημένη έννοια, η οποία επιδέχεται ποικίλες ερμηνείες. Επίσης η έννοια της ασφάλειας στο κοινωνικό σύνολο, αντιστοιχεί ουσιαστικά σε ένα ανθρώπινο συναίσθημα. Έτσι ο όρος ασφάλεια αναφέρεται σε διάφορες ιδιότητες της πληροφορίας, ανάλογα με την οπτική του ερευνητή και το ΠΣ στο οποίο αναφέρεται. Συνεπώς, σε κάθε ειδική περίπτωση που μελετάμε πρέπει να ορίζουμε με σαφήνεια τις συγκεκριμένες ιδιότητες της πληροφορίας που καλούμαστε να προστατέψουμε. Επιπρόσθετα θα πρέπει να τονιστεί ότι, παρά τη σαφήνεια και απλότητα των τυπικών ορισμών που δίδονται για τις τρεις βασικές ιδιότητες, δεν είναι πάντα εύκολη η διάκριση του κατά πόσον οι παραπάνω ιδιότητες της ασφάλειας των πληροφοριών διατηρούνται ή έχουν παραβιαστεί [Γκρίτζαλης, 1994]: οι εν λόγω ιδιότητες δεν είναι απόλυτα μετρήσιμες, αλλά, σε ένα βαθμό, σχετικές και εξαρτώμενες από το περιβάλλον στο οποίο λειτουργεί το ΠΣ. Ένα τυπικό παράδειγμα αποτελεί ο χρόνος απόκρισης σε ένα αίτημα του χρήστη σε ένα κρίσιμο σύστημα όπως μια στρατιωτική εφαρμογή πραγματικού χρόνου ή ένα σύστημα διαχείρισης ενός πυρηνικού εργοστασίου, η αναμονή πάνω από ένα ελάχιστο χρονικό διάστημα (όπως 10 δευτερόλεπτα) μπορεί να θεωρηθεί σαν έλλειψη διαθεσιμότητας ενώ ο ίδιος χρόνος αναμονής σε μια εφαρμογή ηλεκτρονικής διακυβέρνησης να θεωρηθεί αποδεκτός και αναμενόμενος Ασφάλεια και Επικινδυνότητα Η ασφάλεια των πληροφοριακών συστημάτων έχει ως στόχο να προστατέψει τα αγαθά που έχουν αξία για τον Οργανισμό, είτε πρόκειται για Πληροφορίες, είτε για Υπολογιστικούς Πόρους. Τα τελευταία αναγνωρίζονται ως περιουσιακά στοιχεία ή Aγαθά (Assets) και η αξία τους είναι ανάλογη της Επίπτωσης (Impact) που θα έχει μία πιθανή Ζημία (Damage) ή Απώλειά τους. Απαραίτητη προϋπόθεση, ώστε να έχουμε μία Απώλεια στα Αγαθά του πληροφοριακού συστήματος είναι να συμβεί Παραβίαση (Violation) της Ασφάλειάς τους. Οι Παραβιάσεις, με τη σειρά τους, προϋποθέτουν την ύπαρξη κάποιας Αδυναμίας στο σύστημα και την ύπαρξη μίας σχετικής Απειλής [Δρίτσας, 2009]. Όπως αναφέρει ο [Τσούμας, 2007], με τον όρο Απειλή εννοείται μια πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσότερων χαρακτηριστικών της ασφάλειας του ΠΣ [Γκρίτζαλης, 1996]. Οι απειλές διακρίνονται σε δύο βασικές κατηγορίες: σκόπιμες είναι οι απειλές που προϋποθέτουν κακή πρόθεση (malicious intent) ενώ τυχαίες είναι εκείνες που προκύπτουν από ενέργειες που δεν προϋποθέτουν κακή πρόθεση (non-malicious intent). Θα πρέπει να σημειωθεί ότι οι απειλές που προέρχονται από ανθρώπινες ενέργειες μπορούν να ανήκουν και στις δύο κατηγορίες, ενώ στις απειλές που προέρχονται από μη ανθρώπινες ενέργειες δεν καταλογίζεται πρόθεση, όπως οι φυσικές καταστροφές ( acts of God ) και οι αστοχίες υλικού. Επίσης, εκτός από την πρόθεση, οι απειλές κατηγοριοποιούνται και με βάση την προέλευσή τους, δηλαδή αν προέρχονται από το εσωτερικό ή εξωτερικό του οργανισμού. Οι πρώτες αναφέρονται ως εκ των έσω (insider) απειλές 2 και απαιτούν 2 Στη βιβλιογραφία, δεν υπάρχει ένας κοινά αποδεκτός ορισμός για τις εκ των έσω απειλές (insider threats), καθώς υπάρχουν πολλές οπτικές εξέτασης του θέματος. Ένας εκ των έσω επιτιθέμενος μπορεί να ορίζεται ως κάθε πρόσωπο το οποίο έχει λάβει με νόμιμο τρόπο το δικαίωμα (empowered) να προσπελάσει, εκπροσωπήσει ή αποφασίσει για ένα ή περισσότερα αγαθά ενός οργανισμού [Coles-Kemp and Theoharidou, 2010]. Ο ορισμός αυτός εμπεριέχει την έννοια της ενδυνάμωσης (empowerment), που Παράρτημα Δ : Δημοσιεύσεις και αναφορές 17

33 ειδική αντιμετώπιση [Theoharidou et al., 2005; Theoharidou and Gritzalis, 2009; Coles- Kemp and Theoharidou, 2010]. Σκόπιμες ή μη, εκ των έσω ή εξωγενείς, οι απειλές εκμεταλλεύονται αδυναμίες (εναλλακτικά, τρωτότητες) ενός συστήματος για να προκαλέσουν ζημιά στα αγαθά του. Με τον όρο ζημιά νοείται η ολική ή μερική απώλεια μιας ή περισσοτέρων από τις ιδιότητες των αγαθών που χρήζουν προστασίας. Με τον όρο αδυναμία νοείται μια ευπάθεια στις διαδικασίες ασφάλειας, στη σχεδίαση, στην υλοποίηση ή στους εσωτερικούς μηχανισμούς ελέγχου ενός συστήματος η οποία μπορεί να γίνει αντικείμενο εκμετάλλευσης (από τυχαίο γεγονός ή σκόπιμη πράξη) με αποτέλεσμα ένα ρήγμα ασφάλειας ή μια παραβίαση της πολιτικής ασφάλειας του συστήματος [Τσούμας, 2007]. Συνοψίζοντας, σημειώνουμε ότι μία Απειλή εκμεταλλεύεται μία Αδυναμία του πληροφοριακού συστήματος και προξενεί Ζημία σε ένα Αγαθό. Το γεγονός αυτό αναγνωρίζεται ως Παραβίαση της Ασφάλειας των πληροφοριακών συστημάτων και προξενεί Επιπτώσεις στον Οργανισμό, ανάλογες της Αξίας του Αγαθού. Εικόνα 5: Επικινδυνότητα και Συναφείς έννοιες Ως Επικινδυνότητα (Risk) ορίζεται η πιθανότητα ή το ενδεχόμενο μια δεδομένη απειλή να εκμεταλλευτεί αδυναμίες ενός αγαθού ή μιας ομάδας αγαθών και να προκαλέσει ζημία σε έναν οργανισμό [ISO/IEC, 2008]. Υπολογίζεται ως συνάρτηση τριών παραγόντων, των Απειλών που αυτά αντιμετωπίζουν, των Ευπαθειών τους και των Επιπτώσεων που θα υπάρξουν από την πραγματοποίηση των Απειλών. Για παράδειγμα, η πυρκαγιά είναι μία Απειλή, η οποία για να εξαπλωθεί χρειάζεται να εκμεταλλευτεί μια σημαίνει ότι το άτομο έχει εξουσιοδότηση αλλά θεωρείται και έμπιστος. Επίσης, μια εκ των έσω απειλή μπορεί να προέρχεται από διάφορες ομάδες: δυσαρεστημένο προσωπικό, ακτιβιστές, δημοσιογράφους, εμπορικούς ανταγωνιστές, τρομοκρατικές οργανώσεις ή διεθνή κατασκοπεία. Αναλόγως, τα κίνητρα αυτών ποικίλλουν και κυμαίνονται από πολιτική ή θρησκευτική ιδεολογία έως εκδίκηση, οικονομικό όφελος ή καταναγκασμό. Συνεπώς, όταν κατηγοριοποιούμε τέτοιου τύπου απειλές, λαμβάνουμε υπόψη μια σειρά χαρακτηριστικών: λογική ή φυσική πρόσβαση, εξουσιοδότηση, τοποθεσία, κίνητρο, εμπιστοσύνη. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 18

34 αδυναμία, η οποία μπορεί να είναι η ύπαρξη εύφλεκτων υλικών και όταν πραγματοποιηθεί προξενεί βλάβη ή ολική καταστροφή σε ορισμένα Αγαθά του Οργανισμού. Το μέγεθος των συνεπειών που θα έχει η πυρκαγιά είναι ίσο με την Επίπτωση που θα έχει η απώλεια των αντίστοιχων Αγαθών [Δρίτσας, 2009]. Το διεθνές πρότυπο για την εκτίμηση επικινδυνότητας σε πληροφοριακά συστήματα ISO [ISO/IEC, 2008] καθορίζει σαφώς τις έννοιες που αφορούν τη διαχείριση του πληροφοριακού κινδύνου (information security risk management). Η Εκτίμηση Επικινδυνότητας (Risk assessment) προσδιορίζει την αξία των αγαθών, εντοπίζει τις ενδεχόμενες απειλές και ευπάθειες, εντοπίζει υπάρχοντα μέτρα ασφαλείας και πως αυτά επηρεάζουν την επικινδυνότητα, προσδιορίζει τις πιθανές επιπτώσεις και ιεραρχεί τους κινδύνους με βάση κριτήρια αξιολόγησης που θέτει το περιβάλλον εφαρμογής. Αφορά τις εξής δραστηριότητες: Ανάλυση Επικινδυνότητας (Risk analysis), η οποία αποτελείται από τις διαδικασίες: o της Αναγνώρισης Κινδύνων (Risk identification): εντοπίζει, καταγράφει και χαρακτηρίζει τα στοιχεία που συνθέτουν την επικινδυνότητα (δηλαδή αξία αγαθών, απειλές, ευπάθειες, επιπτώσεις, υπάρχοντα μέτρα ασφαλείας), o και της Αποτίμησης Επικινδυνότητας (Risk estimation): αντιστοιχεί αριθμητικές τιμές στην πιθανότητα εμφάνισης ενός περιστατικού και στις επιπτώσεις αυτού. Αξιολόγηση Επικινδυνότητας (Risk evaluation), η οποία έχει ως στόχο τη δημιουργία ενός καταλόγου με τους υφιστάμενους κινδύνους, σε ιεραρχημένη μορφή και με βάση συγκεκριμένα κριτήρια αξιολόγησης ανά σενάριο-περιστατικό. Απώτερος στόχος αυτής της διαδικασίας είναι η Αντιμετώπιση Επικινδυνότητας (Risk treatment), η οποία περιλαμβάνει την επιλογή μέτρων ασφάλειας με στόχο τη μείωση, διατήρηση, αποφυγή ή μεταφορά του κινδύνου και τη δημιουργία ενός πλάνου Αντιμετώπισης της Επικινδυνότητας. Σημαντικό βήμα στη διαδικασία είναι η καταγραφή του εναπομένουσας επικινδυνότητας. Όπως αναφέραμε, υπάρχει η δυνατότητα επιλογής τεσσάρων διαδικασιών για την αντιμετώπιση των υφιστάμενων κινδύνων: Αποφυγή (risk avoidance), η απόφαση μη εμπλοκής ή απεμπλοκής από μια κατάσταση που ενέχει κίνδυνο. Μείωση (risk reduction), οι ενέργειες που στοχεύεουν στην ελαχιστοποίηση τις πιθανότητας εμφάνισης ενός περιστατικού, ή/και των επιπτώσεων αυτού. Διατήρηση (risk retention), η αποδοχή των επιπτώσεων που ενδέχεται να προκύψουν από ένα περιστατικό. Μεταφορά (risk transfer), ο διαμοιρασμός με κάποια τρίτη οντότητα των επιπτώσεων που ενδέχεται να προκύψουν από ένα περιστατικό. Στο σημείο αυτό θα πρέπει να σημειωθεί ότι η ορολογία η οποία αφορά στην επικινδυνότητα έχει τροποποιηθεί τα τελευταία χρόνια. Tο πρότυπο ISO αντικατοπτρίζει αυτή την μετατόπιση και προσπαθεί να ξεκαθαρίζει την ενδεχόμενη σύγχυση. Στη βιβλιογραφία, υπάρχουν αρκετές αναφορές στην έννοια της ανάλυσης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 19

35 επικινδυνότητας (risk analysis), ενώ η περιγραφή υποδηλώνει τον ευρύτερο όρο της εκτίμησης επικινδυνότητας (risk assessment), ο οποίος περιλαμβάνει και την ποιοτική ή ποσοτική αποτίμηση επικινδυνότητας (risk estimation). Όμοια απαντούμε τον όρο της διαχείρισης επικινδυνότητας (risk management) να χρησιμοποιείται αντί της έννοιας της αντιμετώπισης επικινδυνότητας (risk treatment). Για παράδειγμα, μια από τις πιο αναγνωρισμένες και διαδεδομένες μεθόδους στο χώρο, η βρετανική CCTA Risk Analysis and Management Methodology (CRAMM) 3, η οποία είναι αρκετά παλαιά μεθοδολογία, χρησιμοποιεί την έννοια της ανάλυσης επικινδυνότητας για το πρώτο στάδιο της και της διαχείρισης για το δεύτερο της στάδιο [Insight, 2005]. Επί της ουσίας, οι δύο όροι χρησιμοποιούνται για να χαρακτηρίσουν τα στάδια της εκτίμησης και της αντιμετώπισης επικινδυνότητας, αλλά η ονομασία και η περιγραφή της μεθόδου δεν έχουν ακόμη ευθυγραμμιστεί ακόμη με το πρότυπο ISO. Στον πίνακα που ακολουθεί γίνεται μια αντιστοίχηση όρων, εννοιών και βημάτων, όπως αυτά εμφανίζονται στα διεθνή πρότυπα ISO [ISO/IEC, 2008] και NIST [NIST, 2002; 2008; 2010], αλλά και σε δύο διαδεδομένες μεθόδους, την CRAMM και την OCTAVE 4. Πίνακας 2: Σύγκριση προτύπων και μεθόδων εκτίμησης και αντιμετώπισης επικινδυνότητας Πρότυπο/ Μέθοδος Πρότυπο ISO Βήμα 1: Ανάλυση Επικινδυνότητας 1α) Αναγνώριση Επικινδυνό -τητας Αναγνώριση Αγαθών, Απειλών, Υπαρχόντων αντιμέτρων, Ευπαθειών & Επιπτώσεων Πρότυπη μέθοδος CRAMM Αναγνώριση & Αποτίμηση Αγαθών Πρότυπο NIST SP / NIST SP / NIST SP Χαρακτηρισμός Συστήματος Αναγνώριση Απειλών Αναγνώριση Ευπαθειών Ανάλυση Υπαρχόντων Αντιμέτρων Μέθοδος OCTAVE Αναγνώριση Κρίσιμων Αγαθών & Ασφάλειας Ανάλυση Απαιτήσεων Τρεχουσών Πρακτικών Ασφάλειας Αναγνώριση Απειλών & Οργανωσιακών Ευπαθειών & Τεχνολογικών Ευπαθειών 3 Η μέθοδος CRAMM (CCTA Risk Analysis and Management Methodology) αναπτύχθηκε από την Central Computer and Telecommunications Agency του Ηνωμένου Βασιλείου και αποτελεί de jure πρότυπο για τους οργανισμούς του δημοσίου εκεί. Έχει αναπτυχθεί με σκοπό να εφαρμοστεί κυρίως σε μεγάλους οργανισμούς, σε Νοσοκομεία και σε επιχειρήσεις κοινής ωφέλειας. Από το 1987 μέχρι σήμερα έχει εφαρμοστεί σε χιλιάδες περιπτώσεων, συνεπώς είναι ώριμη μέθοδος. Βρίσκεται ήδη στην πέμπτη έκδοσή της (v.5.1) [Insight, 2005]. 4 H μέθοδος OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) αναπτύχθηκε από το Carnegie Mellon University [CMU, 2001]. Στόχευε στην εκτίμηση επικινδυνότητας πληροφοριακών συστημάτων μεγάλων οργανισμών. Αποτελείται από ένα σύνολο εργαλείων, τεχνικών και μεθόδων για εκτίμηση και σχεδιασμό ασφάλειας πληροφοριών σε στρατηγικό επίπεδο και με βάση την επικινδυνότητα. Περιλαμβάνει τρεις εκδόσεις (μέθοδος OCTAVE, OCTAVE-S για μικρούς οργανισμούς, απλοποιημένη έκδοση OCTAVE-Allegro). Και οι τρεις μέθοδοι βασίζονται στα κριτήρια OCTAVE τα οποία καθορίζουν τις αρχές και τα χαρακτηριστικά της διαχείρισης επικινδυνότητας. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 20

36 1β) Αποτίμηση Επικινδυνό -τητας Αποτίμηση Επιπτώσεων & Πιθανότητας Εμφάνισης Αποτίμηση Επιπέδου Επικινδυνότητας Αποτίμηση Απειλών & Ευπαθειών Εκτίμηση Επικινδυνότητας Προσδιορισμός Πιθανότητας Εμφάνισης Ανάλυση Επιπτώσεων Προσδιορισμός Επικινδυνότητας Προσδιορισμός Επικινδυνότητας για Κρίσιμα Αγαθά Βήμα 2: Αξιολόγηση Επικινδυνότητας Χρήση Κριτήριων Αξιολόγησης & Αποδοχής της Επικινδυνότητας Αναγνώριση Υπαρχόντων Αντιμέτρων Εκτίμηση Προτεινόμενων Αντιμέτρων Ορισμός Προτεραιοτήτων Εκτίμηση κόστους Βήμα 3: Αντιμετώπιση Επικινδυνότητας Αξιολόγηση Αντιμέτρων Επιλογή μεθόδου: Αποφυγή, Μεταφορά, Μείωση, Αποδοχή Επιλογή Αντιμέτρων Πρόταση Αντιμέτρων Πρόταση Αντιμέτρων Εκτίμηση Αντιμέτρων Ανάλυση Κόστους/ Οφέλους Επιλογή Αντιμέτρων Υλοποίηση Αντιμέτρων Εξουσιοδότηση Πληροφοριακού Συστήματος Επισκόπηση Αντιμέτρων & Παρακολούθηση Επιπέδου Ασφάλειας Αναγνώριση Μέτρων Αντιμετώπισης της Επικινδυνότητας Ανάπτυξη Στρατηγικής για την Προστασία Ανάπτυξη Σχεδίου Αντιμετώπισης Επικινδυνότητας Παρατηρούμε, λοιπόν ότι παρά τις φαινομενικές διαφορές στη χρήση της ορολογίας, οι μέθοδοι και τα πρότυπα αυτά εμφανίζουν σημαντικές ομοιότητες και καλύπτουν τα παραπάνω βήματα με διαφοροποιήσεις οι οποίες, όμως, δεν αξιολογούνται ως σημαντικές. Στη συνέχεια του κειμένου, εμείς υιοθετούμε τις έννοιες, όπως αυτές ορίσθηκαν παραπάνω και περιγράφονται στο πρότυπο [ISO/IEC, 2008]. Μια άλλη σημαντική έννοια είναι αυτή της Διαχείρισης Ασφάλειας ΠΣ, η οποία μπορεί να ορισθεί ως το υποσύνολο της ΑΠΣ που δρα ως τη διεπαφή μεταξύ του οργανισμού και των μηχανισμών ασφαλείας, η οποία καθορίζει πως, που, ποιοι μηχανισμοί πρέπει να υλοποιηθούν και διασφαλίζει ότι αυτοί συντηρούνται με κατάλληλο τρόπο [Coles- Kemp, 2008]. Εφαρμόζεται πρακτικά μέσω πλαισίων, οργανωσιακών και τεχνολογικών αρχιτεκτονικών, και διαδικασιών. Όλα αυτά συνθέτουν ένα Σύστημα Διαχείρισης Ασφάλειας (Information Security Management System - ISMS). Ένα τέτοιο σύστημα αντιστοιχεί σε ένα συνεχή κύκλο διαδικασιών που εξασφαλίζει ότι τα μέτρα ασφάλειας που καθιερώνονται, υλοποιούνται, παρακολουθούνται, αναθεωρούνται και βελτιώνονται (αν πρέπει), ώστε να επιτυγχάνονται οι στόχοι ασφαλείας του Παράρτημα Δ : Δημοσιεύσεις και αναφορές 21

37 οργανισμού [ISO/IEC, 2005a]. Αυτή η συνεχής διεργασία αναλύεται σε τέσσερα στάδια (βλ. Εικόνα 6): (α) Σχεδιασμός (Plan), (β) Υλοποίηση και Λειτουργία (Do), (γ) Επίβλεψη και Αναθεώρηση (Check) και (δ) Συντήρηση και Βελτίωση (Act). Εικόνα 6: Ο κύκλος ενεργειών διαχείρισης της ασφάλειας Η διαχείριση ασφάλειας προσπαθεί να ικανοποιήσει ταυτόχρονα τις απαιτήσεις του εξωτερικού περιβάλλοντος, αλλά και αυτές που προέρχονται από το εσωτερικό του οργανισμού (information security requirements and expectations). Η ανταπόκριση σε αυτές τις απαιτήσεις σχετίζεται στενά με την αντιμετώπιση της επικινδυνότητας. 2.2 Προστασία Κρίσιμων Υποδομών Στην ενότητα αυτή ορίζονται και αναλύονται όλες οι έννοιες οι οποίες είναι σχετικές με την προστασία κρίσιμων υποδομών και θα χρησιμοποιηθούν στα επόμενα κεφάλαια Η έννοια της κρίσιμης υποδομής Η Προστασία Κρίσιμων Υποδομών (Critical Infrastructure Protection - CIP) είναι ένας σχετικά νέος όρος ο οποίος εμφανίζει ισχυρή συσχέτιση με την ασφάλεια πληροφοριακών και τηλεπικοινωνιακών τεχνολογιών (information and communication technology - ICT). Στη βιβλιογραφία απαντώνται διάφοροι ορισμοί μικρές παραλλαγές. Συνήθως αναφερόμαστε σε μια κρίσιμη υποδομή (Critical Infrastructure) ως: υπηρεσία, εγκατάσταση ή ομάδα από υπηρεσίες ή εγκαταστάσεις, η απώλεια των οποίων επιφέρει μείζονες επιπτώσεις στη φυσική, κοινωνική, οικονομική ή περιβαλλοντολογική ευμάρεια ή ασφάλεια της κοινωνίας [ΕΜΑ, 2003]. Ως υποδομές ζωτικής σημασίας" νοούνται τα περιουσιακά στοιχεία, συστήματα ή μέρη αυτών [που βρίσκονται εντός των κρατών μελών] και τα οποία είναι ουσιώδη για τη διατήρηση των λειτουργιών ζωτικής σημασίας της κοινωνίας, της υγείας, της ασφάλειας, της οικονομικής και κοινωνικής ευημερίας των μελών της, και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο για ένα κράτος Παράρτημα Δ : Δημοσιεύσεις και αναφορές 22

38 [μέλος], ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών [European Council, 2008]. Οι Η.Π.Α [DHS, 2009] αναφέρονται σε "κρίσιμες υποδομές και αγαθά-κλειδιά" (Critical infrastructure and key resources - CIKR 5 ), τα οποία είναι απαραίτητα για την εθνική ασφάλεια, δημόσια υγεία και ασφάλεια (safety), οικονομική ζωτικότητα (vitality) και του τρόπου ζωής (way of life). Για τις Η.Π.Α., οι κρίσιμες υποδομές περιλαμβάνουν συστήματα και αγαθά, φυσικά ή εικονικά, τόσης ζωτικής σημασίας, ώστε η διακοπή λειτουργίας (incapacitation) ή καταστροφή τους θα μπορούσε να έχει σημαντικό αντίκτυπο στην εθνική ασφάλεια, δημόσια υγεία ή ασφάλεια ή σε συνδυασμό τους. Επισημαίνεται ότι ειδικά εγκλήματα βίας, καθώς και άλλες ανθρωπογενείς ή φυσικές καταστροφές, μπορούν να εμποδίσουν σε σημαντικό βαθμό την ομαλή λειτουργία της κυβέρνησης και των επιχειρήσεων και να προκαλέσουν κλιμακούμενες επιπτώσεις πέραν της συγκεκριμένης υποδομής ή της φυσικής τοποθεσίας που εκδηλώνεται ένα περιστατικό. Άμεσες και έμμεσες επιπτώσεις μπορούν να οδηγήσουν σε μεγάλης κλίμακας ανθρώπινες απώλειες, καταστροφή περιουσίας, οικονομική καταστροφή (disruption), ή αποτυχία εκπλήρωσης κυβερνητικών στόχων (mission failure), αλλά μπορούν, επίσης, να βλάψουν σημαντικά το εθνικό φρόνημα και την δημόσια εμπιστοσύνη στην κυβέρνηση [των Η.Π.Α.]. Στις περισσότερες προσεγγίσεις, οι κρίσιμες υποδομές συμπεριλαμβάνουν υλικά και πληροφοριακά αγαθά (assets), δίκτυα, υπηρεσίες και εγκαταστάσεις [Brunner and Suter, 2008; DHS, 2009]. Κύριο χαρακτηριστικό αυτών αποτελεί το γεγονός ότι όλες οι κρίσιμες υποδομές χρησιμοποιούν ευρέως και εξαρτώνται σε ισχυρό βαθμό από τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ) [Bialas, 2006]. Στο σχετικό πλάνο για την προστασία κρίσιμων υποδομών των Η.Π.Α. [DHS, 2009] γίνεται ειδική αναφορά σε κυβερνο-υποδομές (Cyber infrastructures). Αυτές περιλαμβάνουν ηλεκτρονικά, πληροφοριακά και επικοινωνιακά συστήματα, καθώς και την πληροφορία που εμπεριέχεται σε αυτά. Υπολογιστικά συστήματα, συστήματα εποπτείας όπως τα συστήματα SCADA (Supervisory Control and Data Acquisition), καθώς και δίκτυα, όπως το διαδίκτυο, αποτελούν μέρος των κρίσιμων υποδομών [DHS, 2009]. Όσον αφορά τις απειλές, αυτές ποικίλλουν και μπορούν να είναι δομικές απειλές (structural threats) και εσκεμμένες επιθέσεις (intentional, actor-based attacks). Η πρώτη κατηγορία κινδύνων αναφέρεται σε φυσικές καταστροφές, ανθρώπινες αστοχίες και καταστροφές (π.χ., αστοχία σε φράγμα, ατύχημα σε πυρηνικό αντιδραστήρα), έλλειψη προσωπικού λόγω απεργιών ή επιδημιών, οργανωσιακές αποτυχίες, λόγω τεχνικών ή ανθρωπίνων αστοχιών, ανθρώπινα λάθη, τεχνικές διακοπές (π.χ. τροφοδοσίας ρεύματος) ή έλλειψη πόρων. Στη δεύτερη κατηγορία μπορούν να περιληφθούν ένα εκτενές εύρος επιτιθέμενων, το οποίο κυμαίνεται από δυσαρεστημένους υπαλλήλους, οργανωμένο έγκλημα, φανατικές ή τρομοκρατικές ομάδες έως εχθρικά κράτη [Brunner and Suter, 2008]. Αναλόγως, οι πιθανοί τρόποι επίθεσης ποικίλλουν. Αυτές περιλαμβάνουν κυβερνοεπιθέσεις, αλλά και τη φυσική καταστροφή ιδιωτικών ή στρατιωτικών εγκαταστάσεων. Πιο συγκεκριμένα, έχουν αναφερθεί αρκετά περιστατικά που σχετίζονται με δικτυακές 5 Θα αναφερόμαστε στη συνέχεια σε κρίσιμες υποδομές για χάριν συντομίας. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 23

39 επιθέσεις σε ιδιωτικές ή δημόσιες υποδομές παροχής ηλεκτρικής ενέργειας και ύδρευσης, οι οποίες χρησιμοποιούν πληροφοριακά και επικοινωνιακά συστήματα ελέγχου της λειτουργίας τους (SCADA). Χαρακτηριστικά παραδείγματα περιλαμβάνουν τα εξής [PGG, 2010]: Ο εθνικός φορέας παροχής ηλεκτρικής ενέργειας της Βραζιλίας δέχθηκε επίθεση στο εταιρικό δίκτυο του, χωρίς όμως επιτυχή εισβολή στο δίκτυο λειτουργιών του (Νοέμβρης 2009). Ιστότοποι πυρηνικών εγκαταστάσεων στην Αγ. Πετρούπολη (Ρωσία) δέχθηκαν επίθεση και υπέστησαν παραποίηση δεδομένων σχετικά με τα επίπεδα ραδιενέργειας που κατέγραφαν. Παρά το γεγονός ότι τα δεδομένα αυτά ήταν αναληθή προκάλεσαν έντονη φημολογία και ανησυχία (Μάιος 2008). Το περιστατικό αυτό αναδεικνύει τη σημασία των κοινωνικών επιπτώσεων, ακόμα και αν το περιστατικό δεν προκαλεί φυσικές ή περιβαλλοντολογικές επιπτώσεις. Πραγματοποιήθηκε επιτυχής εγκατάσταση μη εξουσιοδοτημένου λογισμικού σε σύστημα το οποίο έλεγχε την πορεία των υδάτων στον ποταμό Σακραμέντο (Καλιφόρνια, 2007). Τον Αύγουστο του 2006, στην Αλαμπάμα, μέρος μονάδος πυρηνικής ενέργειας (Brown's Ferry nuclear power plant) σταμάτησε να λειτουργεί λόγω βλάβης σε δύο αντλίες κυκλοφορίας ύδατος. Η διερεύνηση του περιστατικού εντόπισε ως αιτία της διακοπής την υπερχείλιση με δεδομένα στο εσωτερικό δίκτυο ελέγχου. Η ευπάθεια εντοπίστηκε στη διασύνδεση του εταιρικού και του παραγωγικού δικτύου της υπεύθυνης εταιρείας, σε συνδυασμό με την ελλιπή χρήση μέτρων ασφαλείας. Ένας hacker απέκτησε έλεγχο υπολογιστικού συστήματος που έλεγχε κρίσιμα συστήματα ελέγχου υδάτων (water treatment plant), μέσω του φορητού υπολογιστή ενός υπαλλήλου, στην Πενσυλβάνια (Οκτώβρης 2006). Τον Γενάρη του 2005, μια κυβερνοεπίθεση προκάλεσε πλήρη διακοπή ηλεκτροδότησης σε τρεις πόλεις βόρεια του Ρίο ντε Τζανέιρο, επηρεάζοντας δεκάδες χιλιάδες πολιτών. Την ίδια χρονιά στο Σαιντ Λούις, της πολιτείας Μισούρι, μια ασυμβατότητα στις ενδείξεις του φράγματος Sauk Water Storage Dam οδήγησαν στην απώλεια δις γαλονιών νερού. Ένας ιός (Slammer worm) διέκοψε τη λειτουργία της πυρηνικής εγκατάστασης Davis Besse στο Οχάιο (Γενάρης 2003). Τον Μάιο του 2001, 400,000 σπίτια στην Καλιφόρνια έμειναν χωρίς ηλεκτρική ενέργεια για δύο ημέρες, μετά από την επιτυχή επίθεση σε δύο εξυπηρετητές ενός τοπικού παρόχου (California Independent System Operator). Οι επιτιθέμενοι βρίσκονταν στο δίκτυο της εταιρείας από τις 25 Απρίλιου μέχρι 11 Μαΐου. Με βάση και τα παραπάνω περιστατικά, κατά τις πρώιμες προσπάθειες προστασίας κρίσιμων υποδομών, η εστίαση κατευθυνόταν κυρίως προς άγνωστους κινδύνους προερχόμενους από τον κυβερνοχώρο (cyberspace). Η παγκόσμια πληροφοριακή υποδομή φαινόταν να ευνοεί ανώνυμες επιθέσεις από οπουδήποτε στον κόσμο, δρώντας παράλληλα ως ανεξάντλητη πηγή εργαλείων για επιθέσεις για τον Παράρτημα Δ : Δημοσιεύσεις και αναφορές 24

40 οποιοδήποτε [Brunner and Suter, 2008]. Με βάση αυτή την αντίληψη, η πολιτική των Η.Π.Α. για τις κρίσιμες υποδομές, όπως αυτή διαφαίνεται στο [PCCIP, 1997], προσανατολιζόταν κυρίως προς την ασφάλεια πληροφοριών. Την ίδια οπτική υιοθέτησαν και άλλες χώρες, εστιάζοντας στην πληροφοριακή υπόσταση των κρίσιμων υποδομών. Η πρώτη έκδοση του International CICIP Handbook μελετά είκοσι (20) εθνικές και έξι (6) διεθνείς σχετικές προσεγγίσεις και αντικατοπτρίζει μια τέτοια οπτική [Abele-Wigert and Dunn, 2006]. Πάραυτα, μετά τα ειδικά εγκλήματα βίας της 11 ης Σεπτέμβρη του 2001, και έπειτα, υπήρξε μια μεταστροφή από την κλασσική έννοια της πληροφοριακής απειλής, η οποία παραπέμπει έντονα στην ασφάλεια πληροφοριών. Ειδικά στις Η.Π.Α., η εστίαση μετατοπίστηκε κυρίως σε δομικές απειλές, οι οποίες προκύπτουν μη τυχαία αλλά εσκεμμένα, με την αντιτρομοκρατική στρατηγική να παίζει κυρίαρχο ρόλο. Θέματα της φυσικής προστασίας των κρίσιμων υποδομών αποκτούν μεγαλύτερο βάρος, σε αντιδιαστολή με την πληροφοριακή ή δικτυακή τους ασφάλεια. Ακόμα και σήμερα, η ορολογία και ο διαχωρισμός μεταξύ προστασίας κρίσιμων υποδομών (critical infrastructure protection - CIP) και προστασίας κρίσιμων πληροφοριακών (και επικοινωνιακών) υποδομών (critical information infrastructure protection CIIP) δεν είναι ξεκάθαρος. Στην υπάρχουσα βιβλιογραφία, χρησιμοποιείται πιο συχνά ο όρος προστασία κρίσιμων υποδομών (CIP), ακόμα και σε περιπτώσεις όπου γίνεται αναφορά στις πληροφοριακές προεκτάσεις του θέματος. Εξετάζοντας τις εθνικές στρατηγικές για την προστασία κρίσιμων υποδομών, παρατηρούμε ότι ορισμένες χώρες, όπως η Αυστρία, ο Καναδάς, η Γερμανία, οι Κάτω Χώρες, η Νέα Ζηλανδία, το Ηνωμένο Βασίλειο ή οι Η.Π.Α., δίνουν ξεκάθαρους ορισμούς ως προς τον όρο Προστασία Κρίσιμων Υποδομών. Άλλες χώρες, όπως για παράδειγμα η Βραζιλία, η Κορέα ή η Ρωσία, δεν παρέχουν ορισμούς [Brunner and Suter, 2008]. Η γενική αντίληψη είναι ότι η Προστασία Κρίσιμων Πληροφοριακών Υποδομών είναι υποσύνολο της Προστασίας Κρίσιμων Υποδομών, η οποία περιλαμβάνει την προστασία, την ανίχνευση, την αντιμετώπιση και την ανάκαμψη τόσο στο φυσικό όσο και στο εικονικό επίπεδο. Λόγω της έλλειψης ξεκάθαρου ορισμού, οι δυο όροι χρησιμοποιούνται χωρίς διάκριση στις περισσότερες των περιπτώσεων. Ο λόγος που συμβαίνει αυτό είναι γιατί οι δύο έννοιες δεν μπορούν και δεν πρέπει να εξετάζονται ως εντελώς ξεχωριστές [Brunner and Suter, 2008]. Ο όρος Προστασία κρίσιμων υποδομών (CIP) μπορεί μεν να αποτελεί υπερσύνολο του όρου προστασία κρίσιμων πληροφοριακών υποδομών (CIIP), αλλά ο δεύτερος αποτελεί βασικό συστατικό του πρώτου. Η εστίαση αποκλειστικά σε κυβερνοαπειλές αγνοεί το σημαντικό παράγοντα των παραδοσιακών φυσικών απειλών και είναι εξίσου επικίνδυνη με τη μη εξέταση της εικονικής διάστασης. Σύμφωνα με την τρέχουσα πραγματικότητα στις κρίσιμες υποδομές, όσον αφορά τις απειλές, η οιαδήποτε, υιοθετούμενη προσέγγιση θα πρέπει να λαμβάνει υπόψη και να αξιοποιεί και τις δύο οπτικές για να θεωρείται επαρκής. Παρόλα αυτά, υπάρχει τουλάχιστον ένα χαρακτηριστικό για να διαχωρίσουμε τις δύο έννοιες: ενώ η προστασία κρίσιμων υποδομών εξετάζει όλους τους τομείς ενδιαφέροντος που περιλαμβάνουν κρίσιμες υποδομές (βλ. Ενότητα 2.3.2), η προστασία κρίσιμων πληροφοριακών υποδομών περιλαμβάνει ένα υποσύνολο αυτών, καθώς Παράρτημα Δ : Δημοσιεύσεις και αναφορές 25

41 εστιάζει σε μέτρα προστασίας της κρίσιμης πληροφοριακής υποδομής [Brunner and Suter, 2008]. Γενικά, μια κρίσιμη πληροφοριακή (και επικοινωνιακή) υποδομή αποτελεί μέρος της εθνικής πληροφοριακής υποδομής η οποία είναι απαραίτητη για την παροχή κρίσιμων υπηρεσιών. Αποτελεί σε μεγάλο βαθμό μέρος του κρίσιμου τομέα των Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ) και περιλαμβάνει συνιστώσες, όπως τηλεπικοινωνίες, υπολογιστές, λογισμικό, το διαδίκτυο, δορυφόρους, οπτικές ίνες κλπ. Ο όρος χρησιμοποιείται επίσης για το σύνολο των διασυνδεόμενων υπολογιστών και δικτύων και των κρίσιμων ροών πληροφορίας μεταξύ τους. Ακριβώς λόγω αυτού του ρόλου διασύνδεσης υποδομών και καθώς αποτελούν και νέους δυνατούς στόχους, οι κρίσιμες πληροφοριακές υποδομές παίζουν σημαντικό ρόλο στην προστασία κρίσιμων υποδομών γενικότερα. Μπορούν, λοιπόν, να θεωρηθούν ως η ραχοκοκαλιά των κρίσιμων υποδομών, δεδομένου ότι η απρόσκοπτη ανταλλαγή δεδομένων είναι απαραίτητη για τη λειτουργία των υποδομών και των αντίστοιχων υπηρεσιών τους. Κεντρικά συστήματα, τα επονομαζόμενα συστήματα SCADA (Supervisory, Control, and Data Acquisition), χρησιμοποιούνται ευρέως για να την εποπτεία και τον έλεγχο υποδομών, ακόμα και με απομακρυσμένο τρόπο. Αυτά τα συστήματα δεν χαρακτηρίζονται ως ασφαλή, καθώς οι υποδομές δεν είναι πλέον απομονωμένες και τα προϊόντα που χρησιμοποιούνται είναι ολοένα και περισσότερα έτοιμα (off-the-shelf) προϊόντα, είναι δικτυακός εξοπλισμός βασισμένος σε διαδικτυακά πρωτόκολλα (IPbased), τα οποία απαιτούν τη χρήση του διαδικτύου ως μέσο διασύνδεσης, γεγονός που αυξάνει και την πιθανότητα εξωτερικών απειλών, εκτός από τον ενυπάρχοντα αυξημένο «εκ των έσω» κίνδυνο (insider threat) [Theoharidou et al., 2005; Coles-Kemp and Theoharidou, 2010; Noonan and Archuleta, 2008]. Ανακεφαλαιώνοντας, μπορούμε να συνοψίσουμε τις έννοιες που συζητήθηκαν στην παρούσα ενότητα με τους ακόλουθους ορισμούς, τους οποίους και υιοθετούμε στη συνέχεια. Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία της Διοίκησης, της Οικονομίας, της Κοινωνίας ή/και άλλων υποδομών. Πληροφοριακή (και Επικοινωνιακή) Υποδομή: Υποδομή που αποσκοπεί στην παροχή πληροφοριών, υπηρεσιών επικοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών. Με βάση τους δύο παραπάνω ορισμούς, παρατηρούμε ότι οι πληροφοριακές και επικοινωνιακές υποδομές αποτελούν υποσύνολο των υποδομών, ενώ σε πολλές περιπτώσεις, μια πληροφοριακή και επικοινωνιακή υποδομή μπορεί να αποτελέσει και τμήμα μιας ευρύτερης υποδομής. Χαρακτηριστικό παράδειγμα είναι αν αναφερθούμε σε ένα σύστημα SCADA το οποίο ελέγχει τη λειτουργία μιας υποδομής παροχής ηλεκτρικής ενέργειας. Καθώς αυτό αποτελείται από υπο-συστήματα και δίκτυα και παρέχει σημαντική υπηρεσία για την κοινωνία, έστω και με έμμεσο τρόπο, θα μπορούσε να θεωρηθεί μια υποδομή. Για την αποφυγή σύγχυσης μεταξύ των εννοιών, στη συνέχεια της διατριβής, θα υιοθετούμε την παρακάτω κατηγοριοποίηση. Η διαβάθμιση αυτή αναφέρεται στο βαθμό λεπτομέρειας με τον οποίο εξετάζουμε μια υποδομή και τα μέρη αυτής [Rinaldi et al. 2001]: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 26

42 Συστατικό (Part): η μικρότερη συνιστώσα ενός συστήματος που μπορεί να εντοπιστεί σε μια ανάλυση. Μονάδα (Unit): μια συλλογή από συστατικά τα οποία συσχετίζονται για την εκτέλεση κάποιας λειτουργία, π.χ. γεννήτρια ατμού. Υποσύστημα (Subsystem): μια συστοιχία από μονάδες, π.χ. δευτερεύον σύστημα ψύξης. Σύστημα (System): μια συλλογή από υποσυστήματα, π.χ. μια εγκατάσταση παραγωγής υδροηλεκτρικής ενέργειας. Υποδομή (Infrastructure): το πλήρες σύνολο σχετικών συστημάτων και δικτύων για την παροχή κάποιου προϊόντος, υπηρεσίας ή αγαθού, π.χ. υποδομή παροχής ηλεκτρικής ενέργειας. Επειδή ενδέχεται να μην απαιτείται τόσο λεπτομερής ανάλυση μιας υποδομής σε όλα αυτά τα επίπεδα, εμείς θα χρησιμοποιούμε τον όρο της Συνιστώσας για να αναφερθούμε σε Συστατικό, Μονάδα, Υποσύστημα ή Σύστημα. Συνιστώσα Κρίσιμης Υποδομής: Δίκτυο επικοινωνίας, λογισμικό, υλικό, υπηρεσίες, ανθρώπινο δυναμικό ή οποιοδήποτε άλλο μέσο αξιοποιείται για τη λειτουργία μιας υποδομής. Στη συνέχεια θα ορίσουμε ποιες υποδομές θεωρούνται ως σημαντικές και για αυτό το λόγο λαμβάνουν το χαρακτηρισμό της κρίσιμης υποδομής. Κρίσιμη Υποδομή (Critical Infrastructure) ή Υποδομή Ζωτικής Σημασίας (ΥζωΣ): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση, διακοπή ή δυσλειτουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία της Δημόσιας Διοίκησης ή/και της Οικονομίας. Κρίσιμη Πληροφοριακή (και Επικοινωνιακή) Υποδομή (Critical Information and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό σύστημα που είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών Η έννοια της προστασίας κρίσιμων υποδομών Δεδομένου ότι συγκεκριμένες υποδομές είναι κρίσιμες για το κοινωνικό σύνολο και μπορούν να επιφέρουν μείζονες επιπτώσεις, εύλογα αυτές χρήζουν προστασίας. Ο όρος της προστασίας κρίσιμων υποδομών θα αποδίδεται στη συνέχεια ως εξής: Προστασία Κρίσιμης Υποδομής (Critical Infrastructure Protection): Ενέργειες των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας Διοίκησης ή/και κανονιστικών/ρυθμιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, καθώς και για την ανάκαμψη, σε εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα. Αντιστοίχως προκύπτουν και οι παρακάτω ορισμοί, οι οποίοι συσχετίζουν την ασφάλεια με την προστασία κρίσιμων υποδομών. Ακεραιότητα πληροφοριακής και επικοινωνιακής υποδομής (Integrity): Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφοριακής και επικοινωνιακής υποδομής. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 27

43 Εμπιστευτικότητα πληροφοριακής και επικοινωνιακής υποδομής (Confidentiality): Αποφυγή αποκάλυψης των πληροφοριών που διακινούνται σε μία πληροφοριακή και επικοινωνιακή υποδομή χωρίς την άδεια του ιδιοκτήτη τους. Διαθεσιμότητα πληροφοριακής και επικοινωνιακής υποδομής (Availability): Αποφυγή μη εύλογων καθυστερήσεων στην εξουσιοδοτημένη προσπέλαση των πόρων μιας πληροφοριακής και επικοινωνιακής υποδομής. Ασφάλεια πληροφοριακής και επικοινωνιακής υποδομής (Information and Communication Infrastructure Security): Τήρηση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των κάθε είδους πόρων μίας πληροφοριακής και επικοινωνιακής υποδομής. Παραβίαση πληροφοριακής και επικοινωνιακής υποδομής (Violation): Γεγονός κατά το οποίο προσβλήθηκαν μία ή περισσότερες από τις ιδιότητες διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα μιας πληροφοριακής και επικοινωνιακής υποδομής. Απειλή πληροφοριακής και επικοινωνιακής υποδομής (Threat): Πιθανή ενέργεια ή γεγονός που μπορεί να προκαλέσει την απώλεια κάποιου χαρακτηριστικού της ασφάλειας μιας πληροφοριακής και επικοινωνιακής υποδομής. Τρωτότητα πληροφοριακής και επικοινωνιακής υποδομής (Ευπάθεια) (Vulnerability): Σημείο μιας πληροφοριακής και επικοινωνιακής υποδομής που μπορεί να επιτρέψει να συμβεί μία παραβίαση. Επίπτωση πληροφοριακής και επικοινωνιακής υποδομής (Impact): Απώλεια μίας αξίας, η αύξηση του κόστους ή άλλη ζημία που θα μπορούσε να προκύψει ως συνέπεια μιας συγκεκριμένης παραβίασης μιας πληροφοριακής και επικοινωνιακής υποδομής. Μέσο Προστασίας (Έλεγχος) πληροφοριακής και επικοινωνιακής υποδομής (Safeguard - Control): Διαδικασία ή τεχνικό μέτρο που αποσκοπεί να εμποδίσει μία παραβίαση ή να μειώσει τις επιπτώσεις της σε μια πληροφοριακή και επικοινωναική υποδομή. Δεδομένης της απουσίας κατάλληλου προτύπου για την εκτίμηση επικινδυνότητας σε κρίσιμες υποδομές, και κατ αντιστοιχία με το πρότυπο [ISO/IEC, 2008], προκύπτουν οι ακόλουθοι ορισμοί. Επικεντρωνόμαστε σε πληροφοριακές και επικοινωνιακές υποδομές, καθώς η έμφαση είναι στην πληροφορία και μια τέτοια μεταφορά φαντάζει ρεαλιστική. Επικινδυνότητα πληροφοριακής και επικοινωνιακής υποδομής (Risk): Tο ενδεχόμενο μια δεδομένη απειλή να αξιοποιήσει την τρωτότητα κάποιων αγαθών και να προκαλέσει βλάβη σε μια πληροφοριακή και επικοινωνιακή υποδομή. Εκτίμηση επικινδυνότητας πληροφοριακής και επικοινωνιακής υποδομής (Risk assessment): Η συστηματική αξιοποίηση πληροφοριών για την αναγνώριση των πόρων μιας πληροφοριακής και επικοινωνιακής υποδομής, τον προσδιορισμό της αξίας τους, τον εντοπισμό ενδεχόμενων απειλών και τρωτοτήτων, τον προσδιορισμό πιθανών επιπτώσεων και την ιεράρχηση των κινδύνων βάση κριτηρίων αξιολόγησης. Περιλαμβάνει την Ανάλυση Επικινδυνότητας (Risk analysis) και την Αξιολόγηση Επικινδυνότητας (Risk evaluation). Αντιμετώπιση επικινδυνότητας πληροφοριακής και επικοινωνιακής υποδομής (Risk treatment): H διαδικασία στάθμισης εναλλακτικών μέτρων ασφάλειας, σε συνεννόηση Παράρτημα Δ : Δημοσιεύσεις και αναφορές 28

44 με τους εμπλεκόμενους και λαμβάνοντας υπόψη τα αποτελέσματα της εκτίμησης επικινδυνότητας και το ισχύον νομικό πλαίσιο, προκειμένου να επιλεγούν τα καταλληλότερα μέτρα ασφάλειας μιας πληροφοριακής και επικοινωνιακής υποδομής. Στόχος είναι η μείωση, διατήρηση, αποφυγή ή μεταφορά του κινδύνου και η δημιουργία ενός πλάνου Αντιμετώπισης της Επικινδυνότητας. 2.3 Προσεγγίσεις στην Προστασία Κρίσιμων Υποδομών Στην ενότητα που ακολουθεί αναλύονται οι υπάρχουσες προσεγγίσεις σχετικά με την προστασία κρίσιμων υποδομών, σε διεθνές επίπεδο. Εξετάζονται οι διάφορες οπτικές αντιμετώπισης, οι εθνικές στρατηγικές (Ευρώπη, Η.Π.Α), αλλά και τα διαθέσιμα σχετικά πρότυπα Οπτικές Σύμφωνα με το [BSI, 2004], υπάρχουν δύο γενικές διαπιστώσεις αναφορικά με την προστασία των κρίσιμων υποδομών, παγκοσμίως: 1. Είναι αδύνατο να επιτευχθεί 100% ασφάλεια των κρίσιμων υποδομών. 2. Δεν υπάρχει ένας μοναδικός-ιδανικός τρόπος για να αντιμετωπιστεί σε κάθε χώρα το πρόβλημα. Παρά το γεγονός ότι οι προσεγγίσεις που υιοθετούνται είναι ετερογενείς, υπάρχουν τρεις κύριες κατηγορίες προσεγγίσεων που μπορούν να αναγνωριστούν [Γκρίτζαλης et al., 2008]: 1. Προσέγγιση Προστασία Κρίσιμων Πληροφοριακών Υποδομών (Critical Information Infrastructure Protection - CIIP): Αναφέρεται αποκλειστικά στην ασφάλεια και την προστασία των συνδέσεων και των λύσεων ΤΠΕ ανάμεσα στους διαφορετικούς τομείς υποδομών. Η προστασία των φυσικών στοιχείων των υποδομών διασφαλίζεται μέσα από ξεχωριστό οργανωσιακό πλαίσιο. Οι λειτουργίες και οι δικαιοδοσίες που σχετίζονται με την ΠΚΥ είναι διάσπαρτες ανάμεσα σε διαφορετικά όργανα. Γίνονται προσπάθειες για την ενσωμάτωση του ιδιωτικού τομέα σε όλα τα επίπεδα της ΠΚΥ, σε στοιχειώδες επίπεδο όμως. 2. Προσέγγιση Ολων των Κινδύνων (All Hazards): Αναφέρεται τόσο στην ασφάλεια των υποδομών ΤΠΕ όσο και στη φυσική ασφάλεια των κρίσιμων υποδομών. Η φυσική ασφάλεια αποτελεί μέρος του εθνικού μοντέλου πολιτικής προστασίας και τα αρμόδια όργανα κεντρικού συντονισμού και στρατηγικής είναι ταυτόχρονα και κέντρα που έχουν επάρκεια και δικαιοδοσία τόσο σε ασφάλεια ΤΠΕ όσο και σε πολιτική προστασία και έλεγχο καταστροφών. Τα Υπουργεία Άμυνας της κάθε χώρας που ακολουθεί αυτή τη προσέγγιση κατέχουν προεξάρχοντα ρόλο, λόγω των συντονιστικών τους αρμοδιοτήτων. Η συνεργασία μεταξύ ιδιωτικού και δημόσιου τομέα σε επίπεδο στρατηγικού σχεδιασμού είναι πολύ αδύναμη, ως ανύπαρκτη. 3. Άλλη προσέγγιση, όπως αυτή που ακολουθεί η Κίνα. Δεν υπάρχει καμία συνεργασία μεταξύ δημόσιου και ιδιωτικού τομέα. Το μοντέλο εξυπηρετεί λιγότερο την προστασία των κρίσιμων υποδομών και περισσότερο τη διατήρηση του συστήματος διακυβέρνησης και των οργάνων που αντιπροσωπεύουν τα συμφέροντα του συγκεντρωτικού Κράτους. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 29

45 2.3.2 Τομείς Ένας τομέας κρίσιμων υποδομών ορίζεται ως μια ομάδα από επιχειρήσεις ή υποδομές οι οποίες εκτελούν μια κοινή υπηρεσία για την κοινωνία [PCCIP, 1997]. Σχετικά με την επιλογή των τομέων αυτών, οι περισσότερες χώρες ακολούθησαν το παράδειγμα του κειμένου με τίτλο "Presidential Commission on Critical Infrastructure Protection" [PCCIP, 1997], το οποίο ήταν το πρώτο κείμενο το οποίο συσχετίζει κρίσιμες υποδομές με συγκεκριμένους επιχειρηματικούς ή βιομηχανικούς τομείς. Η επιλογή του "τομέα" ως μονάδα ανάλυσης είναι μια ρεαλιστική προσέγγιση, καθώς ταυτίζεται -σχεδόν- με τα όρια υπαρχόντων επιχειρηματικών και βιομηχανικών τομέων. Επίσης, αποτυπώνει και το γεγονός ότι η πλειοψηφία των υποδομών ανήκουν στην ιδιοκτησία και λειτουργούν υπό ιδιωτικά συμφέροντα [Brunner and Suter, 2008]. Παράλληλα, η απόφαση για το ποιοι τομείς είναι κρίσιμοι και συνεπώς θα πρέπει να συμπεριληφθούν σε μια εθνική στρατηγική, είναι μεν κυβερνητική, αλλά απαιτεί και τη συνεισφορά από ειδικούς εμπειρογνώμονες ή ομάδες αυτών (expert groups). Μια συνιστώσα ή μια υποδομή στο σύνολό της μπορεί να χαρακτηρίζεται ως κρίσιμη λόγω της στρατηγικής της θέσης μέσα σε ένα σύστημα από υποδομές, δηλαδή λόγω της αλληλεξάρτησής της με άλλες συνιστώσες ή υποδομές. Εκτός από αυτή την αντίληψη, η κρισιμότητα μπορεί να επηρεάζεται και από τη σημασία μιας υποδομής για την κοινωνία, ανεξάρτητα από πιθανές διασυνδέσεις με άλλες υποδομές (βλ. Ενότητα 2.4). Η εστίαση σε κρίσιμους τομείς μπορεί να θεωρηθεί ως απλουστευμένη αφαίρεση, καθώς δεν μπορεί να αποδώσει πλήρως την πραγματική πολυπλοκότητα σύνθετων κρίσιμων υποδομών. Για μια πιο ουσιώδη ανάλυση, χρειάζεται η απόκλιση από την παραδοσιακή έννοια του τομέα και η εστίαση σε υπηρεσίες, σε φυσικές και ηλεκτρονικές ροές πληροφοριών, στο ρόλο των υποδομών για την κοινωνία, αλλά και τις αξίες και τα αγαθά που αυτές προστατεύουν ή παρέχουν. Για το λόγο αυτό, συνήθως ακολουθείται μια διαδικασία τεσσάρων βημάτων για την αναγνώριση των κρίσιμων υποδομών ή αγαθών: 1) επιλογή των κρίσιμων τομέων, 2) επιλογή υπο-τομέων για κάθε ένα τομέα με βάση οργανωσιακά κριτήρια, 3) εντοπισμός των κύριων λειτουργιών των υπο-τομέων, και 4) χαρακτηρισμός των απαραίτητων πόρων για τη λειτουργία των επιμέρους υπο-τομέων [Brunner and Suter, 2008]. Στους πίνακες που ακολουθούν παρουσιάζονται οι τομείς που επιλέγονται ως κρίσιμοι σε διάφορες χώρες 6, βάση της ανάλυσης των [Brunner and Suter, 2008]. Η ανάγνωση των πινάκων θα πρέπει να γίνει με προσοχή, προς αποφυγή λαθεμένων συμπερασμάτων. Για παράδειγμα, ενώ η Αυστραλία, ο Καναδάς, οι Κάτω Χώρες, το Ηνωμένο Βασίλειο και οι Η.Π.Α. είναι ιδιαιτέρως ακριβείς στο χαρακτηρισμό των κρίσιμων τομέων και υπο-τομέων, καθώς και στα προϊόντα και τις υπηρεσίες που αυτοί 6 Στο δείγμα περιλαμβάνονται είκοσι τέσσερις (24) χώρες, ενώ στην ανάλυση δεν συμπεριλήφθηκε η Ελλάδα, λόγω απουσίας επαρκών στοιχείων, αλλά και του ανώριμου χαρακτήρα της προστασίας κρίσιμων υποδομών στη χώρα αυτή. Οι χώρες που αναλύθηκαν είναι οι εξής: Αυστραλία (AUS), Αυστρία (A), Βραζιλία (BR), Καναδά (CAN), Εσθονία (EST), Γαλλία (F), Φιλανδία (FIN), Γερμανία (GER), Ουγγαρία (HUN), Ινδία (IND), Ιταλία (IT), Ιαπωνία (JAP), Κορέα (KOR), Μαλαισία (MAL), Κάτω Χώρες (NL), Νορβηγία (NO), Νέα Ζηλανδία (NZ), Πολωνία (POL), Ρωσία (RU), Σουηδία (SE), Σιγκαπούρη (SING), Ισπανία (SPA), Ελβετία (SWIT), Ηνωμένο Βασίλειο (UK), Η.Π.Α. (US). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 30

46 παρέχουν, άλλες χώρες όπως η Αυστρία, η Βραζιλία, η Πολωνία και η Ρωσία δεν έχουν αντίστοιχο επίσημο κατάλογο. Πίνακας 3: Οι τομείς κρίσιμων υποδομών σε 24 χώρες (1) Χώρα AUS A BR CAN EST F FIN GER HUN Τομέας Banking and Finance Central Government / Government Services Chemical and Nuclear Industry Emergency / Rescue Services Energy / Electricity Food / Agriculture Health Services Information Services / Media Military Defense / Army / Defense Facilities National Icons and Monuments Sewerage / Waste Management Telecommunications Transportation (land, sea, air) / Logistics / Distribution Water Infrastructure Water (Supply) Πίνακας 4: Οι τομείς κρίσιμων υποδομών σε 24 χώρες (2) Χώρα IND IT JAP KOR MAL NL NO NZ POL Τομέας Banking and Finance Central Government / Government Services Chemical and Nuclear Industry Emergency / Rescue Services Energy / Electricity Food / Agriculture Health Services Information Services / Media Military Defense / Army / Παράρτημα Δ : Δημοσιεύσεις και αναφορές 31

47 Defense Facilities National Icons and Monuments Sewerage / Waste Management Telecommunications Transportation (land, sea, air) / Logistics / Distribution Water Infrastructure Water (Supply) Πίνακας 5: Οι τομείς κρίσιμων υποδομών σε 24 χώρες (3) Χώρα RU SE SING SPA SWIT UK US Σύνολο Τομέας Banking and Finance 24 Central Government / Government Services Chemical and Nuclear Industry Emergency / Rescue Services Energy / Electricity 21 Food / Agriculture 16 Health Services 16 Information Services / Media Military Defense / Army / Defense Facilities National Icons and Monuments Sewerage / Waste Management Telecommunications 22 Transportation (land, sea, air) / Logistics / Distribution 24 Water Infrastructure 3 Water (Supply) 18 Οι διαφοροποιήσεις που παρατηρούνται οφείλονται είτε σε διαφορές στην αντίληψη της κρισιμότητας, είτε σε ιδιαιτερότητες των χωρών. Κοινωνικοπολιτικοί παράγοντες, καθώς και γεωγραφικές και ιστορικές προϋποθέσεις προσδιορίζουν αν ένας τομέας χαρακτηρίζεται ως κρίσιμος ή όχι. Οι πιο συχνά αναφερόμενοι ως κρίσιμοι τομείς, παρουσιάζονται στην παρακάτω λίστα. Αυτοί μπορούν να θεωρηθούν ως οι κύριοι Παράρτημα Δ : Δημοσιεύσεις και αναφορές 32

48 τομείς των σύγχρονων κοινωνιών, οι οποίοι μπορούν να αποτελέσουν περιοχές όπου διακοπές λειτουργίας ή αστοχίες μεγάλης κλίμακας θα επιφέρουν τη μεγαλύτερη επίπτωση. Οικονομία (π.χ. τραπεζική, διαχείριση αξιών, και επενδύσεις) Κυβερνητικές Υποδομές (π.χ. κρίσιμες υπηρεσίες, εγκαταστάσεις, δίκτυα πληροφοριών, αγαθά και κύρια εθνικά μνημεία και τόποι) Τεχνολογίες Πληροφορικής και Επικοινωνιών (π.χ. τηλεπικοινωνίες, συστήματα εκπομπής, λογισμικό, υλικό, και δίκτυα, συμπεριλαμβανομένου του Διαδικτύου) Υπηρεσίες διαχείρισης επειγόντων περιστατικών/διάσωσης Ενέργεια (π.χ. ηλεκτρική ενέργεια, παραγωγή πετρελαίου και αερίου, εγκαταστάσεις αποθήκευσης και διυλιστήρια, συστήματα μετάδοσης και διανομής) Υγεία (π.χ. νοσοκομεία, εγκαταστάσεις υγείας και παροχής αίματος, εργαστήρια και φαρμακευτικά παρασκευάσματα, αναζήτηση και διάσωση, υπηρεσίες εκτάκτων περιστατικών) Τρόφιμα (π.χ. ασφάλεια, μέσα παραγωγής, διανομή χονδρικής και βιομηχανία τροφίμων) Μεταφορές (π.χ. αεροδρόμια, λιμάνια, σιδηρόδρομοι και δίκτυα μαζικής μεταφοράς, συστήματα ελέγχου κυκλοφορίας) Νερό (π.χ. φράγματα, αποθήκευση, διαχείριση και δίκτυο διανομής) Σύμφωνα με τα αναφερόμενα στα [EC, 2004; EC, 2005, DHS, 2009] κρίσιμες υποδομές μπορούν να θεωρηθούν και οι παρακάτω, αν και μη συνήθεις, τομείς: Παραγωγή, αποθήκευση και διακίνηση επικίνδυνων αγαθών (π.χ. χημικά, βιολογικά, ραδιενεργά και πυρηνικά υλικά) Συλλογή και επεξεργασία αποβλήτων, Αποχέτευση Ερευνητικές εγκαταστάσεις Γεωργία Ταχυδρομεία Διάστημα Κύριο χαρακτηριστικό όλων των προσεγγίσεων είναι η εξέταση των επιμέρους τομέων κρισιμότητας με μη απομονωμένο τρόπο. Αυτό σημαίνει ότι κάθε χώρα δεν εντοπίζει μόνο διαφορετικό σύνολο από τομείς κρίσιμων υποδομών αλλά τους αποδίδει και διαφορετικό τρόπο αλληλεξάρτησης, αλλά και σημασία του ενός τομέα για τους άλλους. Μια προσπάθεια απεικόνισης των τομέων Κρίσιμων Υποδομών μαζί με τις αλληλεξαρτήσεις τους (ζωτικές και μη ζωτικές διασυνδέσεις) φαίνεται στην παρακάτω εικόνα [Παπαδάκης, 2009]: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 33

49 Εικόνα 7: Αλληλοσυσχετίσεις τομέων κρίσιμων υποδομών Αλληλεξαρτήσεις Η έννοια της αλληλεξάρτησης αναφέρεται στις πιθανές συνδέσεις που υπάρχουν μεταξύ συνιστωσών σε διαφορετικές υποδομές, σε ένα υπό εξέταση σύνολο από αυτές. Παρά το γεγονός ότι η έννοια αυτή είναι ιδιαιτέρως κατανοητή, στην πράξη εισάγει σημαντικό βαθμό πολυπλοκότητας. Συνήθως, εξετάζουμε ένα σύνολο από υποδομές ή εναλλακτικά ένα σύστημα από συστήματα [Rinaldi et al., 2001]. Ένα λεπτομερές παράδειγμα επιλεγμένων τομέων και των αλληλεξαρτήσεων τους απεικονίζεται στην Εικόνα 8. Παρουσιάζονται έξι τομείς κρίσιμων υποδομών: Μεταφορές (Transportation), Πετρέλαιο (Oil), Ηλεκτρική ενέργεια (Electric Power), Φυσικό αέριο (Natural Gas), Ύδρευση (Water) και Τηλεπικοινωνίες (Telecom) [Rinaldi et al., 2001]. Υπό κανονικές συνθήκες, η υποδομή ηλεκτρικής ενέργειας απαιτεί: (α) φυσικό αέριο και πετρέλαιο ως καύσιμο για τις γεννήτριες, (β) οδική και σιδηροδρομική μεταφορά, καθώς και αγωγούς για τη μεταφορά των καυσίμων, (γ) αερομεταφορές για την υπέργεια εποπτεία των γραμμών παραγωγής, (δ) παροχή ύδρευσης για ψύξη και έλεγχο εκπομπών, (ε) τραπεζικές και οικονομικές υποδομές για αγορά καυσίμων και άλλων υπηρεσιών και (στ) τηλεπικοινωνίες για ηλεκτρονικό εμπόριο και για την εποπτεία και τον έλεγχο των συστημάτων, είτε μέσω συστημάτων SCADA είτε συστημάτων διαχείρισης ενέργειας (Energy Management Systems). Παρατηρούμε ότι ο τομέας των τηλεπικοινωνιών επηρεάζει τους άλλους τομείς καθώς τους παρέχει την πληροφοριακή υποδομή για τον έλεγχο λειτουργίας τους, αλλά και την επικοινωνιακή υποδομή για την επικοινωνία μεταξύ αυτών, δηλαδή τη δικτυακή δομή που απαιτείται για την επικοινωνία μεταξύ των συστημάτων ελέγχου και των φυσικών εγκαταστάσεων των υποδομών. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 34

50 Εικόνα 8: Παραδείγματα υποδομών και των διασυνδέσεων τους Κατά τη διάρκεια επειγόντων περιστατικών ή μετά από αστοχία κάποιας συνιστώσας, οι αλληλεξαρτήσεις αυτές μεταξύ των ίδιων υποδομών ενδέχεται να διαφοροποιούνται. Για παράδειγμα, η υποδομή ηλεκτρικής ενέργειας μπορεί να απαιτεί πετρέλαιο για τη μετακίνηση των οχημάτων αντιμετώπισης επειγόντων περιστατικών και τη λειτουργία των εφεδρικών γεννητριών, αλλά και για τη μεταφορά ομάδων αντιμετώπισης περιστατικών και επισκευών και για τη μεταφορά ανταλλακτικών συνιστωσών. Όπως περιγράφηκε στο παραπάνω παράδειγμα, αυτές οι σύνθετες σχέσεις χαρακτηρίζονται από πολλαπλές συνδέσεις μεταξύ υποδομών, αμφίδρομα μονοπάτια εξάρτησης, και τοπολογίες που μπορούν να απεικονιστούν εναλλακτικά υπό τη μορφή δένδρων (βλ. Εικόνα 9). Παρατηρούμε ότι ο τομέας της ηλεκτρικής ενέργειας είναι ο εξαρτώμενος τομέας και οι άλλοι τομείς είναι οι τομείς που υποστηρίζουν τη λειτουργία του. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 35

51 Εικόνα 9: Παράδειγμα αλληλεξαρτήσεων για τον τομέα της ηλεκτρικής ενέργειας σε δενδροειδή μορφή. Οι συνδέσεις δημιουργούν ένα πλέγμα το οποίο μπορεί να απεικονίσει κλιμακούμενες επιπτώσεις σε διάφορους τομείς και διαφορετικές υποδομές. Αντιλαμβανόμαστε ότι δεν είναι δυνατό να αναλύσουμε και να κατανοήσουμε τη συμπεριφορά μιας υποδομής ανεξάρτητα από το περιβάλλον στο οποίο βρίσκεται ή απομονωμένα από άλλες υποδομές. Αυτή είναι και η ειδοποιός διαφορά μεταξύ της εξέτασης της ασφάλειας ενός πληροφοριακού συστήματος και της προστασίας μίας κρίσιμης υποδομής. Θα πρέπει, λοιπόν, πάντα να εξετάζουμε πολλαπλές διασυνδεδεμένες υποδομές και τις αλληλοσυσχετίσεις τους με ολιστικό τρόπο. Για το λόγο αυτό και στη συνέχεια του κειμένου θα χρησιμοποιούμε το όρο αλληλεξάρτηση (interdependency) αντί του όρου της εξάρτησης (dependency), για να αναφερόμαστε στη σχέση μεταξύ υποδομών και τομέων. Η αλληλεξάρτηση υποδομών (και κατ επέκταση τομέων) μπορεί να πάρει διάφορες μορφές. Μια δημοφιλής κατηγοριοποίησης είναι αυτή των [Rinaldi et al., 2001]: Φυσική αλληλεξάρτηση. Δύο υποδομές αλληλεξαρτώνται φυσικά αν η κατάστασή της μιας εξαρτάται από τα προϊόντα εξόδου (material outputs) της άλλης. Οι φυσικές διασυνδέσεις προκύπτουν από φυσικούς δεσμούς ή συνδέσεις μεταξύ επιμέρους συνιστωσών των υποδομών. Πληροφοριακή αλληλεξάρτηση (cyber). Μια υποδομή εμφανίζει πληροφοριακή αλληλεξάρτηση αν η κατάστασή της εξαρτάται από πληροφορίες οι οποίες μεταδίδονται μέσα από μια πληροφοριακή και επικοινωνιακή υποδομή. Η ευρεία χρήση ΤΠΕ, και πιο συγκεκριμένα συστημάτων supervisory control and data acquisition (SCADA) δημιουργεί πληροφοριακές εξαρτήσεις. Γεωγραφική αλληλεξάρτηση. Οι υποδομές είναι γεωγραφικά διασυνδεδεμένες αν ένα τοπικό περιβαλλοντικό γεγονός μπορεί να αλλάξει την κατάσταση σε όλες τις υποδομές αυτές. Αυτό συνεπάγεται ότι συνιστώσες από διαφορετικές υποδομές γειτνιάζουν ή συστεγάζονται. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 36

52 Λογική αλληλεξάρτηση: Δύο υποδομές είναι λογικά διασυνδεδεμένες αν η κατάσταση της καθεμίας εξαρτάται από την κατάσταση της άλλης μέσω κάποιου μηχανισμού, ο οποίος δεν είναι φυσικός, πληροφοριακός ή γεωγραφικός. Παραδείγματα είναι απαιτήσεις και συνθήκες που προκύπτουν από την ύπαρξη πολιτικών ή από νομικές και ρυθμιστικές επιταγές. Μια άλλη κατηγοριοποίηση της αλληλεξάρτησης δίνεται από τους [Pederson et al., 2006; Dudenhoefer et al., 2006]: (α) φυσική, π.χ. η πτώση ενός δέντρου λόγω καταιγίδας προκαλεί πολλαπλές διακοπές ρεύματος και επηρεάζει και άλλες υποδομές, (β) πληροφοριακή, π.χ. η απώλεια ενός συστήματος SCADA που επιτηρεί και ελέγχει τον ηλεκτρικό ιστό (electrical power grid) δημιουργεί μη διαθεσιμότητα σε υποδομές διασυνδεδεμένες με αυτόν, (γ) γεωχωρική (geospatial), π.χ. μια πλημμύρα σε ένα κτίριο επηρεάζει όλα τις συνιστώσες μιας ή περισσοτέρων υποδομών που συστεγάζονται στο χώρο αυτό, (δ) διαδικαστική/πολιτικής (procedural/policy), π.χ. η διακοπή όλων των μεταφορών σε ένα σύστημα μετρό, παρά το γεγονός ότι μόνο ένας σταθμός έχει υποστεί βλάβη, (ε) κοινωνική (societal), η οποία αναφέρεται στην κοινή γνώμη, την εμπιστοσύνη, το φόβο και θέματα κουλτούρας, π.χ. η αλλαγή στην εμπιστοσύνη του κοινού σχετικά με την ασφάλεια πτήσεων μετά τις επιθέσεις της 11 ης Σεπτεμβρίου, προκάλεσε οικονομικές επιπτώσεις σε όλο τον αεροπορικό κλάδο-τομέα. Οι [De Porcellinis et al., 2009] υιοθετούν την ταξινόμηση των [Rinaldi et al., 2001] και προσθέτουν ως πέμπτη κατηγορία την κοινωνική αλληλεξάρτηση. Μια υποδομή εμφανίζει κοινωνική αλληλεξάρτηση όταν η λειτουργία της επηρεάζεται από συμβάντα σχετικά με την ανθρώπινη συμπεριφορά, π.χ. η εμφάνιση και διάχυση συλλογικών συμπεριφορών που έχουν αρνητική επίπτωση στην ικανότητα μιας υποδομής να λειτουργήσει. Οι αλληλοσυσχετίσεις μπορεί να εμπίπτουν σε αυτές, τις μη αποκλειστικές (nonmutually exclusive) κατηγορίες, αλλά όταν εξετάζουμε τέτοιες αλληλεξαρτήσεις, δεν μπορούμε πάντα να υποθέτουμε την πλήρη διαθεσιμότητα ή τη πλήρη διακοπή λειτουργίας μιας υποδομής, καθώς υπάρχουν διάφορες διαβαθμίσεις ποιότητας στα προϊόντα και τις υπηρεσίες που αυτή ενδέχεται να προσφέρει [Nieuwenhuijs et al., 2008]. Παραδείγματα περιλαμβάνουν την ποσότητα (ενέργεια), την ταχύτητα (επικοινωνία, μεταφορές), αξιοπιστία (πληροφορία), πίεση (αέριο), καθαρότητα (νερό) κλπ. Επίσης, θα πρέπει να λαμβάνονται υπόψη πολλαπλοί παράγοντες, όπως οι καταστάσεις λειτουργίας (state operations), κοινωνική επιρροή, πολιτικές συνέπειες και τεχνολογικές επιπτώσεις. Όπως φαίνεται στην παρακάτω εικόνα, οι παράγοντες που επηρεάζουν ένα δίκτυο από υποδομές ποικίλλουν και δεν είναι αυστηρά τεχνολογικοί [Kröger, 2008]. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 37

53 Εικόνα 10: Οι παράγοντες που επηρεάζουν αλληλεξαρτώμενες υποδομές Οι διασυνδέσεις ποικίλλουν, επίσης, ως προς το πεδίο εφαρμογής τους. Αυτές μπορεί να εντοπίζονται και εξετάζονται μεταξύ συνιστωσών [Svedsen and Wolthunsen, 2007], μεταξύ διαφορετικών υποδομών [Nieuwenhuijs et al., 2008], μέσα στον ίδιο ή μεταξύ περισσοτέρων τομέων μιας χώρας [Aung and Watanabe, 2009]. Αυτό σημαίνει ότι μπορεί να εξεταστούν σε μικροσκοπικό ή μακροσκοπικό επίπεδο ανάλυσης. Άλλο χαρακτηριστικό των αλληλεξαρτήσεων είναι ότι εμφανίζουν υψηλό βαθμό πολυπλοκότητας και, όπως αναφέραμε, μπορούν να δημιουργούν μονοπάτια εξαρτήσεων. Αυτό σημαίνει ότι η ύπαρξη αλληλεξαρτήσεων αυξάνει τον κίνδυνο πιθανές αστοχίες ή διακοπές λειτουργίας σε μία υποδομή να προκαλέσουν ανάλογα ή διαφορετικά προβλήματα σε πολλαπλές υποδομές. Στην Εικόνα 11 βλέπουμε ένα πραγματικό παράδειγμα τέτοιων αλληλεξαρτήσεων που αναφέρεται σε ένα περιστατικό που συνέβη το 2001 στην Καλιφόρνια (Η.Π.Α) [Rinaldi et al., 2001]. Διακοπές παροχής ηλεκτροδότησης επηρέασαν την παραγωγή καυσίμων (πετρέλαιο, φυσικό αέριο), τη λειτουργία διυλιστηρίων, τη μεταφορά βενζίνης και κηροζίνης μέσω αγωγών στην Καλιφόρνια και τις γειτονικές πολιτείες, αλλά και τη μεταφορά υδάτων από τις βόρειες προς τις κεντρικές και νότιες περιοχές της πολιτείας για άρδευση. Αυτές οι διακοπές λειτουργίας επηρέασαν σε σημαντικό βαθμό και τη βιομηχανία, ενώ οδήγησαν σε σημαντικές οικονομικές απώλειες. Τέλος, επιβάρυναν το δίκτυο παροχής ηλεκτρικής ενέργειας, καθώς το έθεσαν σε συνθήκες οριακής λειτουργίας, γεγονός που επηρέασε όλες τις υποδομές του τομέα ηλεκτρικής ενέργειας. Οι διακοπές ενέργειας επηρέασαν την παραγωγή φυσικού αερίου, τη λειτουργία των αγωγών μεταφοράς προϊόντων πετρελαίου και τη λειτουργία αγωγών άρδευσης (εξαρτήσεις πρώτης τάξεως). Σε κάποιες περιπτώσεις, οι διακοπές στην παροχή αερίου επηρέασαν άμεσα την παροχή ηλεκτρικής ενέργειας, επιτείνοντας το πρόβλημα (feedback loop). Η περιορισμένη προσφορά φυσικού αερίου μπορούσε να θέσει σε κίνδυνο τη λειτουργία μονάδων παραγωγής ατμού (με χρήση φυσικού αερίου) που χρησιμοποιούνται σε μονάδες εξόρυξης πετρελαίου (εξαρτήσεις δεύτερης τάξεως), επηρεάζοντας την παραγωγή πετρελαίου (εξαρτήσεις τρίτης τάξεως). Όμοια, η διακοπή Παράρτημα Δ : Δημοσιεύσεις και αναφορές 38

54 στους αγωγούς μεταφοράς προϊόντων πετρελαίου προκάλεσε αύξηση των αποθεμάτων στα διυλιστήρια και έλλειψη στις τελικές μονάδες (εξαρτήσεις δεύτερης τάξεως), συμπεριλαμβανομένων και αεροδρομίων, η οποία μπορεί να είχε ως αποτέλεσμα τον επαναπρογραμματισμό πτήσεων λόγω έλλειψης καυσίμων (εξαρτήσεις τρίτης τάξεως). Τέλος, τα προβλήματα άρδευσης, επηρεάζουν την παραγωγή γεωργικών προϊόντων (εξαρτήσεις δεύτερης τάξεως), επιφέροντας επιπτώσεις στην Οικονομία (εξαρτήσεις τρίτης τάξεως). Εικόνα 11: Παράδειγμα κλιμακούμενων επιπτώσεων λόγω αλληλεξάρτησης Βλέπουμε, λοιπόν ότι ένα περιστατικό μπορεί να επιφέρει επιπτώσεις πολλαπλών τάξεων σε άλλες υποδομές (n-order interdependencies). Οι αστοχίες ή διακοπές λειτουργίας και οι επιπτώσεις που προκύπτουν από τέτοια φαινόμενα, δηλαδή προκαλούνται λόγω της ύπαρξης αλληλεξαρτήσεων μεταξύ υποδομών και τομέων, μπορούν να κατηγοριοποιηθούν περαιτέρω και ως αλυσωτές (cascading), κλιμακούμενες (escalating), ή κοινής αιτίασης (common cause) [Rinaldi et al., 2001]. Μια αλυσωτή επίπτωση (cascading effect) αναφέρεται στην περίπτωση όπου η υποβάθμιση ή διακοπή λειτουργίας σε μία υποδομή Α προκαλεί επίπτωση σε συνιστώσες μίας υποδομής Β, η οποία μπορεί να προκαλέσει υποβάθμιση ή διακοπή λειτουργίας στην υποδομή Β. Για παράδειγμα, η πλήρης διακοπή λειτουργίας ενός δικτύου διανομής σε μια υποδομή φυσικού αερίου ως αποτέλεσμα ενός ατυχήματος, μίας φυσικής καταστροφής ή μίας εσκεμμένης επίθεσης μπορεί να προκαλέσει τη υποβάθμιση λειτουργίας σε μία μονάδα παραγωγής ηλεκτρικής ενέργειας η οποία εξυπηρετείται από τη συγκεκριμένη υποδομή φυσικού αερίου που αντιμετωπίζει πρόβλημα. Το γεγονός αυτό μπορεί με τη σειρά του να προκαλέσει σε έλλειψη Παράρτημα Δ : Δημοσιεύσεις και αναφορές 39

55 παραγωγής ενέργειας στην περιοχή που εξυπηρετεί η μονάδα αυτή και να οδηγήσει σε διακοπές ηλεκτροδότησης. Το συγκεκριμένο παράδειγμα περιγράφει μία αλυσωτή επίπτωση από μία υποδομή φυσικού αερίου σε μία υποδομή ηλεκτρικής ενέργειας. Η επίπτωση στην τελευταία, μπορεί με τη σειρά της, να προκαλέσει διακοπές λειτουργίας άλλων υποδομών είτε εντός του ίδιου τομέα ή σε άλλους τομείς. Μια κλιμακούμενη επίπτωση (escalating effect) λαμβάνει χώρα όταν μια υπάρχουσα υποβάθμιση ή διακοπή λειτουργίας σε μία υποδομή Α επιδεινώνει μία ανεξάρτητη αστοχία σε μία υποδομή Β. Ο τρόπος που μπορεί να συμβεί αυτό είναι με την ένταση της επίπτωσης από το περιστατικό στην υποδομή Β ή με την αύξηση του χρόνου που απαιτείται για την ανάκαμψη ή αποκατάσταση μετά την υποβάθμιση ή διακοπή λειτουργίας στην υποδομή Β. Για παράδειγμα, μία διακοπή λειτουργία σε ένα δίκτυο επικοινωνιών μπορεί να κλιμακωθεί λόγω της ταυτόχρονης ή ακόλουθης διακοπής λειτουργίας σε ένα δίκτυο οδικών μεταφορών, λόγω της καθυστέρησης που υπεισέρχεται κατά τη μετακίνηση του προσωπικού επισκευών και των απαιτούμενων ανταλλακτικών. Παρατηρούμε ότι τα δύο περιστατικά δε σχετίζονται μεταξύ τους, δηλαδή δεν προκαλούνται λόγω κοινού αίτιου ούτε το ένα προκαλεί το άλλο, παρόλα αυτά η μια υποδομή επιφέρει επίπτωση στην άλλη λόγω αυτών. Μία επίπτωση κοινής αιτίασης (common cause effect) συμβαίνει όταν δύο ή περισσότερες υποδομές αντιμετωπίζουν προβλήματα στη λειτουργία τους ταυτόχρονα, δηλαδή συνιστώσες των υποδομών αυτών αστοχούν λόγω κάποιου κοινού αίτιου. Τέτοια περιστατικά συμβαίνουν συνήθως λόγω της συνύπαρξης συνιστωσών διαφορετικών υποδομών σε κοινό φυσικό χώρο (γεωγραφική αλληλεξάρτηση) ή γιατί το αίτιο που προκάλεσε τα περιστατικά είναι ευρείας έκτασης (π.χ. φυσικές καταστροφές, τρομοκρατικές ενέργειες κλπ.). Για παράδειγμα, τηλεπικοινωνιακές συνδέσεις (καλώδια, ίνες) και γραμμές παροχής ηλεκτρικής ενέργειας συχνά ακολουθούν σιδηροδρομικές γραμμές, δημιουργώντας γεωγραφικές αλληλεξαρτήσεις μεταξύ υποδομών μεταφορών, τηλεπικοινωνιών και παροχής ηλεκτρικής ενέργειας. Συνεπώς ενός εκτροχιασμός τρένου που προκαλεί βλάβες στις σιδηροδρομικές γραμμές μπορεί να διακόψει τη λειτουργία τηλεπικοινωνιακών καλωδίων ή γραμμών παροχής ηλεκτρικής ενέργειας που ακολουθούν την ίδια διαδρομή. Οι [Adar and Wuchner, 2005] εντοπίζουν και εσωτερικές εξαρτήσεις σε μια υποδομή (intra-dependencies) καθώς βλέπουν την κρίσιμη υποδομή σε τέσσερα επίπεδα: Επιχειρηματικό/Στρατηγικό επίπεδο. Περιλαμβάνει τις κεντρικές επιχειρηματικές διεργασίες και την προστασία τους. Οργανωσιακό επίπεδο. Περιλαμβάνει θέματα οργάνωσης, δομής, διαδικασιών και ανθρώπινης συμπεριφοράς. Πληροφοριακό/Επικοινωνιακό επίπεδο. Περιλαμβάνει δεδομένα, πληροφοριακά και επικοινωνιακά συστήματα, συμπεριλαμβανομένων και συστήματα διαχείρισης του φυσικού επιπέδου, π.χ. συστήματα SCADA. Φυσικό επίπεδο. Συνιστώσες υποδομής, όπως γεννήτριες, καλώδια, υλικό (hardware) κλπ. Συνεπώς, για την προστασία μίας υποδομής θα πρέπει να αναλυθούν αρχικά οι ενδοεξαρτήσεις μεταξύ αυτών των επιπέδων και έπειτα οι αλληλεξαρτήσεις μεταξύ Παράρτημα Δ : Δημοσιεύσεις και αναφορές 40

56 υποδομών. Αυτό επιτυγχάνει μία πιο λεπτομερή κατανόηση ενός περιστατικού και της εξέλιξης του, αρχικά εντός της υποδομής και στη συνέχεια σε άλλες υποδομές. Εικόνα 12: Ενδο-εξαρτήσεις και αλληλεξαρτήσεις υποδομών Στρατηγικές σε εθνικό και διεθνές επίπεδο Στη συνέχεια, περιγράφονται επιλεγμένες προσεγγίσεις (στρατηγικές) για την προστασία κρίσιμων υποδομών. Πιο συγκεκριμένα, αναλύεται η ευρωπαϊκή προσέγγιση σε σχέση με την ΠΚΥ και στη συνέχεια η προσέγγιση των Η.Π.Α., καθώς είναι μία εκ των πιο προηγμένων χώρων στο θέμα αυτό. Τέλος, γίνεται μια σύντομη σύγκριση των στρατηγικών ΠΚΥ επιλεγμένων χωρών με βάση κριτήρια αξιολόγησης, για να αποκτήσει ο αναγνώστης μια πιο πλήρη εικόνα σε σχέση με την τρέχουσα κατάσταση σε εθνικό και διεθνές επίπεδο. Έμφαση δίνεται στις δράσεις που υιοθετούνται από τις στρατηγικές αυτές για την εκτίμηση επικινδυνότητας αλλά και για την αντιμετώπιση ζητημάτων που προκύπτουν λόγω αλληλεξαρτήσεων, καθώς τα θέματα αυτά αποτελούν αντικείμενο της παρούσης διατριβής. Ευρώπη Οι πρωτοβουλίες ξεκινούν συλλογικά στον ευρωπαϊκό χώρο τον Ιούνιο του 2004, όταν το Ευρωπαϊκό Συμβούλιο ζήτησε την εκπόνηση συνολικής στρατηγικής για την προστασία των κρίσιμων υποδομών (ή υποδομών ζωτικής σημασίας). Στις 20 Οκτωβρίου 2004, η Επιτροπή [EC, 2004], ανταποκρινόμενη στο αίτημα αυτό, εξέδωσε ανακοίνωση σχετική με την προστασία των κρίσιμων υποδομών στο πλαίσιο της καταπολέμησης της τρομοκρατίας στην οποία διατύπωνε προτάσεις ως προς τον τρόπο ενίσχυσης της πρόληψης, της ετοιμότητας και της αντιμετώπισης σε ευρωπαϊκό επίπεδο τρομοκρατικών επιθέσεων. Στις 17 Νοεμβρίου 2005, η Επιτροπή εξέδωσε πράσινη βίβλο σχετικά με το ευρωπαϊκό πρόγραμμα προστασίας των υποδομών, η οποία προέβλεπε επιλογές πολιτικής για την εκπόνηση του εν λόγω προγράμματος και του δικτύου πληροφοριών προειδοποίησης για τις κρίσιμες υποδομές [EC, 2005]. Στις παρατηρήσεις που έγιναν σχετικά με την εν λόγω πράσινη βίβλο επισημαίνεται η προστιθέμενη αξία ενός κοινοτικού πλαισίου για την προστασία των κρίσιμων υποδομών, αναγνωρίσθηκε δε η ανάγκη αύξησης των δυνατοτήτων προστασίας των κρίσιμων υποδομών στην Ευρώπη και περιορισμού των Παράρτημα Δ : Δημοσιεύσεις και αναφορές 41

57 τρωτών σημείων των κρίσιμων υποδομών. Τέλος, δόθηκε έμφαση στη σπουδαιότητα των κομβικών αρχών της επικουρικότητας, της αναλογικότητας και της συμπληρωματικότητας, καθώς και στον διάλογο μεταξύ των εμπλεκομένων παραγόντων. Τον Δεκέμβριο του 2005, το Συμβούλιο Δικαιοσύνης και Εσωτερικών Υποθέσεων κάλεσε την Ευρωπαϊκή Επιτροπή να υποβάλει πρόταση για το ευρωπαϊκό πρόγραμμα προστασίας των κρίσιμων υποδομών και αποφάσισε ότι αυτό θα έπρεπε να βασισθεί σε μια προσέγγιση αντιμετώπισης όλων των κινδύνων (προσέγγιση «All Hazards»), με προτεραιότητα στις τρομοκρατικές απειλές. Στο πλαίσιο της προσέγγισης αυτής, οι ανθρωπογενείς και οι τεχνολογικές απειλές καθώς και οι φυσικές καταστροφές θα πρέπει να ληφθούν υπόψη στην προστασία των κρίσιμων υποδομών, αλλά η προτεραιότητα θα πρέπει να δοθεί στις τρομοκρατικές απειλές. Τον Απρίλιο του 2007 το Συμβούλιο ενέκρινε συμπεράσματα σχετικά με το πρόγραμμα, με τα οποία επανέλαβε ότι αποτελεί τελικά ευθύνη των κρατών μελών να προβαίνουν σε ρυθμίσεις για την προστασία των κρίσιμων υποδομών εντός των εθνικών τους συνόρων. Τέλος, το Ευρωπαϊκό Συμβούλιο εξέδωσε την Οδηγία 2008/114/ΕΚ (8ης Δεκεμβρίου 2008) σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών κρίσιμων υποδομών, και σχετικά με την αξιολόγηση της ανάγκης βελτίωσης της προστασίας τους. Η οδηγία [European Council, 2008] επικεντρώνεται στους τομείς της ενέργειας και των μεταφορών, ενώ σημειώνεται ότι θα πρέπει να επανεξεταστεί με σκοπό την εκτίμηση των επιπτώσεών της και της ανάγκης να υπαχθούν στο πεδίο εφαρμογής της και άλλοι τομείς, όπως μεταξύ άλλων ο τομέας της τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ). Η οδηγία αναγνωρίζει επίσης την ύπαρξη υποδομών των οποίων η βλάβη ή η καταστροφή θα είχε σημαντικό διασυνοριακό αντίκτυπο, αναγνωρίζει δηλαδή το ενδεχόμενο εμφάνισης αλυσωτών ή κλιμακούμενων επιπτώσεων οι οποίες θα έχουν διεθνή εμβέλεια. Για το λόγο αυτό προδιαγράφει την υιοθέτηση ελάχιστης κοινής προσέγγισης, με βάση διμερή συστήματα συνεργασίας μεταξύ κρατών μελών. Αναγνωρίζεται ότι σε τομείς, όπως αυτός της ενέργειας, υπάρχει ιδιαίτερη εμπειρία, εμπειρογνωμοσύνη και απαιτήσεις όσον αφορά την ΠΚΥ. Συνεπώς, υιοθετείται η αντίληψη ότι θα πρέπει να αναπτυχθεί μια κοινοτική προσέγγιση η οποία να εφαρμοσθεί με γνώμονα τις τομεακές ιδιαιτερότητες και τα ισχύοντα τομεακά μέτρα, συμπεριλαμβανομένων όσων ήδη ισχύουν σε κοινοτικό, εθνικό ή περιφερειακό επίπεδο. Επίσης, η οδηγία αναγνωρίζει την ιδιαίτερα σημαντική συμμετοχή του ιδιωτικού τομέα στην εποπτεία και διαχείριση των κινδύνων, στον σχεδιασμό της συνέχισης της λειτουργίας και στην αποκατάσταση των συνεπειών από καταστροφές, και προτείνει η κοινοτική προσέγγιση να ενθαρρύνει την πλήρη συμμετοχή του ιδιωτικού τομέα. Η οδηγία προδιαγράφει και την εφαρμογή μεθόδων εκτίμησης επικινδυνότητας. Πιο συγκεκριμένα αναφέρει ότι σε όλες τις χαρακτηριζόμενες ως κρίσιμες υποδομές, θα πρέπει να τεθούν σε εφαρμογή σχέδια ασφαλείας ή ισοδύναμα μέτρα που θα περιλαμβάνουν προσδιορισμό σημαντικών περιουσιακών στοιχείων, αξιολόγηση του κινδύνου και προσδιορισμό, επιλογή και αναγνώριση προτεραιότητας των αντίμετρων και των διαδικασιών. Για την αποφυγή περιττών εργασιών και επαναλήψεων, κάθε κράτος μέλος θα πρέπει καταρχάς να αξιολογεί εάν οι κύριοι/διαχειριστές των Παράρτημα Δ : Δημοσιεύσεις και αναφορές 42

58 υποδομών διαθέτουν τα κατάλληλα σχέδια ασφάλειας ή παρόμοια μέτρα. Εφόσον δεν υφίστανται τα σχέδια αυτά, τα κράτη μέλη θα πρέπει να προβαίνουν στις απαραίτητες ενέργειες για να διασφαλίζεται η εφαρμογή των κατάλληλων μέτρων. Εναπόκειται σε κάθε κράτος μέλος να αποφασίζει ως προς την καταλληλότερη μορφή δράσης όσον αφορά την κατάρτιση σχεδίων ασφάλειας. Τέλος, η ευρωπαϊκή προσέγγιση αναγνωρίζει ως αναγκαία για την ΠΚΥ την εκπόνηση κοινών μεθόδων για τον προσδιορισμό και τον χαρακτηρισμό των κινδύνων, των απειλών και των τρωτών σημείων για τις υποδομές, δηλαδή προδιαγράφει την αναγκαιότητα για την εκπόνηση μεθόδων εκτίμησης επικινδυνότητας που θα αναφέρονται σε κρίσιμες υποδομές, χωρίς όμως να προδιαγράφει περαιτέρω λεπτομερείς απαιτήσεις ή προδιαγραφές. Σε σχέση με τις επιμέρους χώρες, αυτές δεν εμφανίζουν ομοιογένεια ούτε στο βαθμό υιοθέτησης δράσεων για την ΠΚΥ αλλά και ούτε στις μεθόδους που υιοθετούν για την εκτίμηση επικινδυνότητας σε κρίσιμες υποδομές. Ηνωμένες Πολιτείες Αμερικής Η πρώτη εθνική προσπάθεια ΠΚΥ έγινε το 1996 με την Presidential Commission on Critical Infrastructure Protection (PCCIP) 7. Η επιτροπή περιελάμβανε αντιπροσώπους από όλα τα σχετικά κυβερνητικά τμήματα καθώς και από τον ιδιωτικό τομέα και τα αποτελέσματα της παρουσιάστηκαν σε αναφορά τον Οκτώβριο του Το Μάιο του 1998, βάσει των υποδείξεων της επιτροπής αυτής, εκδόθηκαν οι Presidential Decision Directives (PDD) 62 and 63. Καθόρισαν όργανα για τη χάραξη και επίβλεψη της πολιτικής, χρησιμοποιώντας υπάρχουσες κυβερνητικές υπηρεσίες και αρχές. Με την PDD 63 δημιουργήθηκαν ομάδες, στο πλαίσιο της ομοσπονδιακής κυβέρνησης, με σκοπό την ανάπτυξη και την υλοποίηση πλάνων για την προστασία των υποδομών που χρησιμοποιούνται από την κυβέρνηση. Το «National Plan for Information Systems Protection» παρουσιάστηκε στις 07 Ιανουαρίου 2000 και εστίασε στην ασφάλεια των πληροφοριακών και επικοινωνιακών συνιστωσών των κρίσιμων υποδομών, αλλά όχι των φυσικών συνιστωσών τους. Η μεταστροφή επήλθε μετά τα γεγονότα της 11ης Σεπτεμβρίου 2001, με την υπογραφή των Ηomeland Security Executive Orders (ΕΟ). Πρόκειται για την ΕΟ Establishing the Office of Homeland Security and the Homeland Security Council (08/10/2001) και την ΕΟ Critical Infrastructure Protection in the Information Age με την οποία ιδρύθηκαν το President s Critical Infrastructure Protection Board και το National Infrastructure Advisory Council (NIAC). Ακολούθησε, τον Ιούλιο του 2002 η National Strategy for Homeland Security, με σκοπό την προστασία της ενδοχώρας (US Homeland) από τρομοκρατικές επιθέσεις. Στις 14 Δεκεμβρίου 2003 εκδόθηκαν δύο νέες Εθνικές Στρατηγικές: National Strategy to Secure Cyberspace (NSSC): Με κύριο στόχο να διαμορφωθούν εθνικές πολιτικές που θα εμπλέξουν τους πολίτες σε θέματα ασφάλειας του μέρους του κυβερνοχώρου που τους ανήκει, με το οποίο αλληλεπιδρούν, και το οποίο ελέγχουν και λειτουργούν. 7 Δεν υφίσταται πια σαν Επιτροπή, καθώς οι λειτουργίες της ανακατευθύνθηκαν στην HSPD-7. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 43

59 National Strategy for Physical Protection of Critical Infrastructure and Key Assets: Με κύριο στόχο τη μείωση των ευπαθειών του έθνους που σχετίζονται με τρομοκρατικές δράσεις, μέσω της μείωσης των ευπαθειών που αφορούν τις κρίσιμες υποδομές και των ευπαθειών των σημαντικών αγαθών, που σχετίζονται με φυσικές επιθέσεις. Στις 17 Δεκεμβρίου 2003 εκδόθηκε η Homeland Security Presidential Directive/HSPD- 7 που αντικατέστησε την PDD 63. Η HSPD-7 καθιέρωσε εθνική πολιτική για τις ομοσπονδιακές υπηρεσίες με σκοπό να προσδιορίσουν και να θέσουν προτεραιότητες για την ΠΚΥ. Προσδιόρισε τις κυβερνητικές υπηρεσίες που είναι υπεύθυνες για το συντονισμό της προστασίας συγκεκριμένων κρίσιμων τομέων υποδομών και καθόρισε τις Yπηρεσίες που θα πρέπει να επιδιώξουν τη συνεργασία με τον ιδιωτικό τομέα. Επίσης, απαίτησε, μέχρι τον Ιούλιο του 2004, την εκπόνηση συγκεκριμένων πλάνων, από τους επικεφαλείς όλων των ομοσπονδιακών υπηρεσιών, για την ΠΚΥ και καθόρισε ως υπεύθυνο για το συντονισμό όλων των προσπαθειών ΠΚΥ το Secretary of Homeland Security (Department of Homeland Security, DHS), ανεξάρτητα από το που πηγάζουν, δηλαδή από υπηρεσίες, πολιτείες, ιδιωτικούς φορείς κλπ. Τον Οκτώβρη 2007, εκδόθηκε ανανεωμένη έκδοση της Strategy for Homeland Security. Κεντρικό στοιχείο της στρατηγικής παραμένει η προστασία κρίσιμων υποδομών και αγαθών υψηλής σημασίας (key resources). Η στρατηγική όρισε 17 τομείς κρίσιμων υποδομών, ενώ η οπτική που υιοθετείται εξετάζει την ΠΚΥ σε φυσικό και σε πληροφοριακό και επικοινωνιακό επίπεδο, αλλά λαμβάνει υπόψη και τον ανθρώπινο παράγοντα. Το εθνικό πρόγραμμα ΠΚΥ (National Infrastructure Protection Plan) εκδόθηκε για πρώτη φορά από το DHS, τον Ιούνιο του 2006, ενώ ανανεώνεται συνεχώς με τρέχουσα έκδοση αυτή του 2009 [DHS, 2009]. Το κείμενο αυτό συνοψίζει την τρέχουσα προσέγγιση των Η.Π.Α. σε σχέση με την ΠΚΥ. Το σχέδιο αυτό εστιάζει σε τρεις άξονες: αποτροπή της απειλής, αντιμετώπιση ευπαθειών και περιορισμός των πιθανών επιπτώσεων από ένα τρομοκρατικό ή άλλο περιστατικό. Κύριο χαρακτηριστικό του είναι ότι μοντελοποιεί τον τρόπο συνεργασίας του δημοσίου και του ιδιωτικού χώρου σε σχέση με την ΠΚΥ, καθώς προδιαγράφει τη δημιουργία τομεακών επιτροπών για το συντονισμό πολιτικής και για την ανταλλαγή πληροφοριών. Αντίστοιχα, καθιερώνει κυβερνητικές επιτροπές με στόχο τον συντονισμό των προσπαθειών συνολικά αλλά και ανά τομέα. Παράλληλα, το πρόγραμμα αυτό εστιάζει τόσο σε φυσικές όσο και σε κυβερνο-απειλές. Η ασφάλεια των υποδομών σε πληροφοριακό και επικοινωνιακό επίπεδο λαμβάνεται υπόψη ως στοιχείο που διαπερνά οριζόντια όλους τους κρίσιμους τομείς, αλλά και ως προτεραιότητα στον τομέα των ΤΠΕ. Προτείνει επίσης ένα πλαίσιο για την εκτίμηση και την διαχείριση της επικινδυνότητας. Στόχος του είναι να αξιοποιήσει τα υπάρχοντα σχέδια και τις στρατηγικές προστασίας, ώστε να ελαχιστοποιήσει το κόστος για τους διαχειριστές και ιδιοκτήτες υποδομών. Το πλαίσιο ακολουθεί τα συνήθη βήματα μίας μεθόδου εκτίμησης και αντιμετώπισης της επικινδυνότητας. Περιλαμβάνει την παρακάτω ακολουθία δραστηριοτήτων: 1. Θέσπιση στόχων 2. Εντοπισμός αγαθών, συστημάτων και δικτύων Παράρτημα Δ : Δημοσιεύσεις και αναφορές 44

60 3. Εκτίμηση της επικινδυνότητας, λαμβάνοντας υπόψη τις άμεσες και έμμεσες επιπτώσεις περιστατικών (τρομοκρατική επίθεση ή άλλοι κίνδυνοι), εποχιακές διακυμάνσεις σε σχέση με τις επιπτώσεις, καθώς και αλληλοσυσχετίσεις, γνωστές ευπάθειες και πληροφορίες για τις απειλές (π.χ. πιθανότητα εμφάνισης). 4. Θέσπιση προτεραιοτήτων με βάση την επικινδυνότητα και προσδιορισμός των απαιτούμενων ενεργειών για την προστασία, την αντοχή (resilience), και τη συνέχιση λειτουργίας με βάση ανάλυση κόστους/οφέλους. 5. Υλοποίηση προγραμμάτων προστασίας και στρατηγικών αντιμετώπισης της επικινδυνότητας 6. Αξιολόγηση της αποτελεσματικότητας με χρήση μετρικών και άλλων διαδικασιών αξιολόγησης σε εθνικό, τοπικό, περιφερειακό επίπεδο, σε επίπεδο πολιτείας και σε ανά τομέα. Το πλαίσιο περιλαμβάνει και μηχανισμούς ανατροφοδότησης, ενώ μία υποδομή εξετάζεται σε τρία επίπεδα: φυσικό, πληροφοριακό και επικοινωνιακό, και κοινωνικό. Στο πλάνο είναι έντονη η επιλογή της καθολικής συμμετοχής όσο το δυνατόν περισσότερων εμπλεκομένων. Αναγνωρίζονται οι εξής συμμετέχοντες, ως υπεύθυνοι για την ΠΚΥ: Department of Homeland Security: Είναι υπεύθυνο για τον συντονισμό όλων των προσπαθειών και για την εποπτεία την ανάπτυξη, υλοποίηση και ενσωμάτωση του πλάνου αυτού με τις εθνικές στρατηγικές ετοιμότητας. Τομεακές επιτροπές (Sector-Specific Agencies): Εφαρμόζουν το πλαίσιο σε κάθιε τομέα ανάλογα με τα ιδιαίτερα χαρακτηριστικά και τις ιδιαιτερότητες όσον αφορά στην επικινδυνότητα ανά τομέα. Λοιποί κυβερνητικά τμήματα, υπηρεσίες και γραφεία: Υλοποιούν τους ρόλους που τους ανατίθενται σε σχέση με την ΠΚΥ με βάση την οδηγία HSPD-7 ή άλλη σχετική νομοθεσία, οδηγίες ή πολιτικές. Πολιτειακές ή τοπικές αρχές (State, Local, Tribal, and Territorial Governments): Αναπτύσσουν και υλοποιούν ένα πλάνο προστασίας για τις κρίσιμες υποδομές, με βάση το πλαίσιο για τη διαχείριση της επικινδυνότητας που αναφέρθηκε παραπάνω. Τοπικοί συνεταιρισμοί (Regional Partners): Θεσπίζουν συνεργασίες οι οποίες ξεπερνούν περιορισμούς λόγω αρμοδιοτήτων ή λόγω διαφορετικών τομέων, ώστε να προστατεύσουν τις κρίσιμες υποδομές σε μία προσδιορισμένη γεωγραφική περιοχή. Συμβούλια, επιτροπές ή άλλες οντότητες: Εκτελούν ρυθμιστικές, συμβουλευτικές λειτουργίες και θεσπίζουν πολιτικές, εντός ενός τομέα ή μεταξύ περισσοτέρων. Ιδιοκτήτες και διαχειριστές υποδομών από τον ιδιωτικό τομέα: Αναλαμβάνουν δραστηριότητες προστασίας, ανάκαμψης, συνεργασίας και συντονισμού, και έχουν συμβουλευτικό ρόλο με βάση την εξειδίκευσή τους σε όλα τα επίπεδα της κυβέρνησης. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 45

61 Συμβουλευτικές επιτροπές (Homeland Security Advisory Councils): Παρέχουν συμβουλές, προτάσεις και τεχνογνωσία στην κυβέρνηση. Ακαδημαϊκά και ερευνητικά ιδρύματα: Παρέχουν τεχνογνωσία, ανεξάρτητες αναλύσεις, μελέτες έρευνας και ανάπτυξη, και εκπονούν εκπαιδευτικά προγράμματα. Σε κυβερνητικό επίπεδο, το πλάνο για την ΠΚΥ εμπλέκει πολλαπλά υπουργεία και φορείς της, παρά το γεγονός ότι το συντονιστικό ρόλο τον αναλαμβάνει το Department of Homeland Security. Στον Πίνακα που ακολουθεί βλέπουμε ποιο κυβερνητικό όργανο είναι υπεύθυνο ανά τομέα. Πίνακας 6: Φορείς για την ΠΚΥ ανά τομέα (Η.Π.Α.) Κυβερνητικός φορέας Department of Agriculture, Department of Health & Human Services Department of Defense Department of Energy Department of Health & Human Services Department of the Interior Department of the Treasury Environmental Protection Agency Department of Homeland Security Office of Infrastructure Protection Office of Cybersecurity & Communications Transportation Security Administration Transportation Security Administration US Coast Guard Immigration & Customs Enforcement Federal Protective Service Τομέας Γεωργία Τρόφιμα Άμυνα Ενέργεια Υγεία Εθνικά Μνημεία Τραπεζική Οικονομία Νερό Χημικά Εμπορικές εγκαταστάσεις Βιομηχανία Φράγματα Επείγοντα & Διάσωση Πυρηνική (ενέργεια, υλικά, απόβλητα) ΤΠΕ Ταχυδρομεία Μεταφορές Κυβερνητικές εγκαταστάσεις Στη συνεχεία θα δούμε ανάλογα συγκεντρωτικά στοιχεία και για άλλες χώρες, ώστε να εντοπίσουμε τις τρέχουσες προσεγγίσεις και στρατηγικές για την ΠΚΥ. Αξιολόγηση εθνικών προσεγγίσεων Σύμφωνα με το [BSI-04], οι προαναφερθείσες προσεγγίσεις μπορούν να αξιολογηθούν με βάση συγκεκριμένα κριτηρία, όπως: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 46

62 Ύπαρξη εθνικής στρατηγικής (national compelling strategy) για την προστασία των κρίσιμων υποδομών. Ύπαρξη ξεκάθαρων ορισμών αναφορικά με το τι σημαίνει «προστασία κρίσιμων υποδομών». Προσαρμογή και εξειδίκευση στις ιδιαιτερότητες κάθε χώρας και όχι απλή αντιγραφή υπαρχόντων ώριμων μοντέλων (π.χ. ΗΠΑ). Συνυπολογισμός και συνεισφορά του ιδιωτικού τομέα. Βαθμός οργάνωσης και συνεργασίας ανάμεσα στα εμπλεκόμενα όργανα. Διαφάνεια του εθνικού συστήματος για CIP. Σύμφωνα με την έκθεση της Ομάδας Εργασίας του e-government Forum για την Προστασία των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης (CICIP) [Γκρίτζαλης et al., 2008], ένα επιλεγμένο σύνολο χωρών αξιολογείται με βάση κριτήρια ανάλογα των παραπάνω. Πίνακας 7: Αξιολόγηση εθνικών στρατηγικών Χώρα Προσέγγιση Συνεργασία Σχέση με οργάνων Εθνική Άμυνα Κριτήρια Σχέση με Διαφάνεια τρομοκρατ ία Γερμανία CIIP Εθνική στρατηγική Ελβετία CIIP Ην. CIIP - - Βασίλειο Ολλανδία CIIP Σουηδία All hazards (με μη συντονισμέν ο τρόπο) ΗΠΑ All hazards Αυστραλί All hazards - Ημιδιαφαν α ές Νέα CIIP - - Ζηλανδία Καναδάς All hazards - Σημείωση: Στις περιπτώσεις όπου δεν ικανοποιείται ισχυρώς και πλήρως ένα κριτήριο, γίνεται η χρήση του συμβόλου -. Παρατηρούμε, λοιπόν, ότι η ΠΚΥ δεν αντιμετωπίζεται ενιαία από τις επιμέρους εθνικές στρατηγικές, γεγονός που αντανακλάται και από τις τρέχουσες ερευνητικές προσπάθειες οι οποίες καθοδηγούνται και χρηματοδοτούνται από αυτές. Ακόμη και εντός της ΕΕ υιοθετούνται στην πράξη διαφορετικές προσεγγίσεις και δεν έχει επέλθει πλήρης σύγκλιση. Ενδιαφέρουσα είναι η σχέση της ΠΚΥ με την θέματα εθνικής άμυνας ή τρομοκρατίας, η οποία δεν χαρακτηρίζει όλες τις ευρωπαϊκές προσεγγίσεις Πρότυπα για την Προστασία Κρίσιμων Υποδομών Η Προστασία Κρίσιμων Υποδομών είναι ένα συνεχώς εξελισσόμενο ερευνητικό πεδίο και χαρακτηρίζεται από έλλειψη προτυποποίησης. Αυτό συμβαίνει καθώς το θέμα αντιμετωπίζεται ανά τομέα [Brunner and Suter, 2008] ή δεν αντιμετωπίζεται συνολικά. Για παράδειγμα, για την προστασία των συνιστωσών ΤΠΕ μιας υποδομής εφαρμόζονται τα σχετικά πρότυπα του ISO ή του NIST, τα οποία όμως δεν Παράρτημα Δ : Δημοσιεύσεις και αναφορές 47

63 προσαρμόζονται ώστε να ανταποκρίνονται στις ιδιαιτερότητες των κρίσιμων υποδομών. Με βάση την υπάρχουσα γνώση, τα μόνα πρότυπα που αφορούν την προστασία κρίσιμων υποδομών, προέρχονται από τον τομέα της ενέργειας και πιο συγκεκριμένα από τον οργανισμό North American Electric Reliability Corporation (NERC) 8. Ο οργανισμός αυτός δημιουργήθηκε το 1968 και έχει ως στόχο τη διασφάλιση της αξιοπιστίας του συστήματος ηλεκτρικής ενέργειας (bulk power system) της Βορείου Αμερικής. Για να το επιτύχει αυτό, ο οργανισμός NERC αναπτύσσει και επιβάλλει πρότυπα αξιοπιστίας, εκτιμά ετησίως την επάρκεια του συστήματος σε 10ετές πλάνο πρόβλεψης, αλλά και με εξαμηνιαίες προβλέψεις, παρακολουθεί τη λειτουργία του συστήματος, καθώς και διδάσκει, εκπαιδεύει, και πιστοποιεί προσωπικό. Είναι ένας αυτό-ρυθμιζόμενος, μη κυβερνητικός οργανισμός, ο οποίος δρα υπό την επίβλεψη της επιτροπής ενέργειας των Η.Π.Α. (U.S. Federal Energy Regulatory Commission - FERC) αλλά και κυβερνητικών φορέων του Καναδά. Από τις 18 Ιουνίου του 2007, η επιτροπή FERC εξουσιοδότησε τον οργανισμό νομικά για να επιβάλλει πρότυπα αξιοπιστίας για όλους τους χρήστες, ιδιοκτήτες και παρόχους ενέργειας στις Η.Π.Α. και κατέστησε την υιοθέτηση των προτύπων ως υποχρεωτική. Όμοια τα πρότυπα αυτά είναι υποχρεωτικά για τις Καναδικές επαρχίες Ontario και New Brunswick. Τα πρότυπα αξιοπιστίας NERC έχουν πιστοποιηθεί και από τον οργανισμό American National Standards Institute (ANSI), ενώ ο οργανισμός NERC συνεργάζεται και με την επιτροπή North American Energy Standards Board (NAESB), η οποία αναπτύσσει πρότυπα για επιχειρηματικές πρακτικές, πολλά εκ των οποίων δρουν συμπληρωματικά με τα NERC πρότυπα. Από τα ογδόντα τρία (83) πρότυπα που επιβάλλει ο οργανισμός NERC, μια ομάδα από αυτά αναφέρεται στην προστασία κρίσιμων υποδομών, πάντα όσον αφορά σε συστήματα ηλεκτρικής ενέργειας. Ο Πίνακας 8 παραθέτει τα επιμέρους πρότυπα, καθώς και τη θεματολογία τους, σύμφωνα με την τελευταία ενημέρωσή τους (Φεβρουάριος 2010). Πίνακας 8: Πρότυπα για ΠΚΥ στον τομέα της ενέργειας Κωδικός Ονομασία CIP-001-1a CIP CIP CIP CIP CIP CIP CIP CIP Sabotage Reporting Cyber Security - Critical Cyber Asset Identification Cyber Security - Security Management Controls Cyber Security - Personnel & Training Cyber Security - Electronic Security Perimeter(s) Cyber Security - Physical Security of Critical Cyber Assets Cyber Security - Systems Security Management Cyber Security - Incident Reporting and Response Planning Cyber Security - Recovery Plans for Critical Cyber Assets 8 (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 48

64 Παρατηρούμε ότι στις νεότερες εκδόσεις των προτύπων προστέθηκαν οι όροι της κυβερνο-ασφάλειας και κυβερνο-αγαθού, γεγονός που σημαίνει ότι τα πρότυπα αναφέρονται και σε κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές. 2.4 Η έννοια της κρισιμότητας: ανοικτά ζητήματα Η σύγκριση της τρέχουσας πραγματικότητας με παλαιότερες μελέτες, όπως αυτή των [Abele-Wigert and Dunn, 2006], δείχνει ότι η έννοια της κρισιμότητας μιας υποδομής έχει αλλάξει με την πάροδο των ετών. Τα κριτήρια για τον χαρακτηρισμό των υποδομών έχουν επίσης διευρυνθεί, ενώ η επιλογή των επιμέρους τομέων έχει εκλεπτυνθεί. Το 1997 αναγνωρίζονται οκτώ (8) τομείς ως κρίσιμοι [PCCIP, 1997], ενώ σήμερα ο αριθμός ανέρχεται στους δέκα οκτώ (18) για τις Η.Π.Α. [Brunner and Suter, 2008]. Δύο αντιλήψεις περί κρισιμότητας μπορούν να εντοπιστούν: 1. Η κρισιμότητα ως συστημική έννοια: Αυτή η προσέγγιση θεωρεί ότι μια υποδομή ή μια συνιστώσα υποδομής είναι κρίσιμη λόγω της δομικής της θέσης σε ένα σύστημα από υποδομές, ειδικά όταν αποτελεί ένα σημαντικό σύνδεσμο μεταξύ άλλων υποδομών ή τομέων, όταν δηλαδή ενισχύει τη διασυνδεσιμότητά τους και εμφανίζει υψηλό βαθμό αλληλεξάρτησης (interdependency). 2. Η κρισιμότητα ως συμβολική έννοια: Αυτή η προσέγγιση θεωρεί ότι μια υποδομή ή μια συνιστώσα υποδομής είναι εγγενώς κρίσιμη λόγω του ρόλου ή της λειτουργίας της για την κοινωνία το θέμα της αλληλεξάρτησης θεωρείται δευτερεύον, καθώς η εγγενής συμβολική έννοια μια συγκεκριμένης υποδομής μπορεί να είναι αρκετή για να την κάνει ενδιαφέρον στόχο. Η συμβολική αντίληψη της έννοιας της κρισιμότητας επιτρέπει την ένταξη ανεξάρτητων υποδομών ή υποδομών με χαμηλό βαθμό αλληλεξάρτησης στο σύνολο των κρίσιμων. Επιτρέπει, επίσης, την ένταξη και αφαιρετικών συμβόλων στο σύνολο αυτό, όπως για παράδειγμα σημαντικές προσωπικότητες ή φυσικά και ιστορικά μνημεία και τόπους με ισχυρό συμβολικό χαρακτήρα, όπως στην στρατηγική των Η.Π.Α. [DHS, 2009]. Καθιστά πιο εύκολο τον χαρακτηρισμό των κρίσιμων αγαθών, σε σχέση με τη συστημική αντίληψη, γιατί σε ένα κοινωνικοπολιτικό περιβάλλον, το καθοριστικό στοιχείο δεν είναι η αλληλεξάρτηση, αλλά ο ρόλος, η σημασία και η συμβολική αξία συγκεκριμένων υποδομών. Η έμφαση στη διασύνδεση των επιμέρους τομέων, σε συσχέτιση πάντα με μια συμβολική θεώρηση, δημιουργεί σημαντικά προβλήματα κατά τη λήψη αποφάσεων. Όταν όλες οι υποδομές είναι διασυνδεδεμένες, ακόμα και ένα απομονωμένο γεγονός, μικρής φαινομενικά σημασίας, θα μπορούσε θεωρητικώς να εκκινήσει απρόβλεπτες κλιμακούμενες επιπτώσεις σε πλήθος τομέων. Όταν λοιπόν, υιοθετούμε μια τέτοια αντίληψη, αυτή συνεπάγεται ότι εκτός από την εξέταση διασυνδεόμενων φυσικών δικτύων, όπως δίκτυα παροχής ηλεκτρικής ενέργειας ή οδικά δίκτυα, συμπεριλαμβάνεται στην ανάλυση και οτιδήποτε έχει συναισθηματική σημαντικότητα. Αυτά μπορεί να κυμαίνονται από σχολεία έως ιστορικά μνημεία, γεγονός που σημαίνει ότι συμπεριλαμβάνουμε σχεδόν τα πάντα στην ανάλυση ως ενδεχομένως κρίσιμο. Η αξιολόγηση της κρισιμότητας είναι σε αυτή την περίπτωση ιδιαίτερα κοπιαστικό έργο, δεδομένου ότι η θέσπιση προτεραιοτήτων ως προς την προστασία των υποδομών, απαιτεί διαδικασίες εκτίμησης επικινδυνότητας, μια διαδικασία χρονοβόρα, ειδικά όταν οι υποδομές που εξετάζονται καλύπτουν τόσο ευρεία γκάμα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 49

65 Ταυτόχρονα, σημασία θα πρέπει να δοθεί στο γεγονός ότι οι υπάρχουσες τεχνικές και μεθοδολογίες για την ανάλυση της κρισιμότητας κατά κύριο λόγο μεθοδολογίες εκτίμησης επικινδυνότητας είναι ανεπαρκείς. Η πιο συνήθης έλλειψη είναι η ανεπάρκεια ως προς την απεικόνιση και μοντελοποίηση των αλληλεξαρτήσεων μεταξύ συνιστωσών, υποδομών και τομέων, και των αλυσωτών ή κλιμακούμενων επιπτώσεων που αυτές συνεπάγονται [Adar and Wuchner, 2005]. Επίσης, αυτές οι μέθοδοι είτε αφορούν ένα συγκεκριμένο τομέα (π.χ. ενέργεια) είτε εστιάζουν σε μια μόνο υποδομή. Αυτό σημαίνει ότι δεν μπορούν να αποτυπώσουν τη στρατηγική και οικονομική σημασία των κρίσιμων υποδομών ούτε και το εύρος των θεμάτων ασφαλείας που τα αφορούν [Brunner and Suter, 2008]. Παράλληλα η ειδοποιός διαφορά μεταξύ της παραδοσιακής εκτίμησης επικινδυνότητας είναι ότι αυτή λαμβάνει την πιθανότητα εμφάνισης (likelihood) ως εξίσου σημαντική με την πιθανή επίπτωση (impact). Στην περίπτωση των κρίσιμων υποδομών αυτή η παραδοχή δεν ισχύει πάντα, καθώς εξετάζουμε περιστατικά με χαμηλή πιθανότητα εμφάνισης, τα οποία, όμως, μπορούν να επιφέρουν επιπτώσεις μεγάλης κλίμακας στην κοινωνία. Η επίλυση αυτού του προβλήματος εμφανίζει ιδιαιτερότητες τόσο σε θεωρητικό όσο και σε πρακτικό επίπεδο. Ταυτόχρονα, η καταγραφή αγαθών, ευπαθειών και απειλών σε στρατηγικό επίπεδο, έχει πολιτικές και οικονομικές προεκτάσεις οι οποίες είναι δύσκολο να αποτυπωθούν. Από τα παραπάνω προκύπτει ότι η έρευνα στο συγκεκριμένο πεδίο είναι υπό εξέλιξη και υπάρχουν αρκετά ανοικτά ζητήματα τα οποία παρουσιάζονται στη συνέχεια: 1) Η Προστασία Κρίσιμων Υποδομών είναι νέο ερευνητικό πεδίο. Ακόμη και αν εστιάσουμε στις πληροφοριακές και επικοινωνιακές υποδομές, πεδίο πιο συγγενές με τα ΠΣ, δεν είναι σαφή τα όρια μεταξύ των δύο ερευνητικών περιοχών. Σημαντική έρευνα υπάρχει είτε στην περιοχή των ΠΣ, είτε στις κρίσιμες υποδομές ανά τομέα. Για παράδειγμα, υπάρχουν ερευνητικές προσεγγίσεις οι οποίες εστιάζουν στην προστασία (ή ασφάλεια) των πληροφοριακών και επικοινωνιακών υποδομών για τον τομέα της ενέργειας, αλλά δεν ανάγονται στο σύνολο των τομέων των κρίσιμων υποδομών. Απαιτείται, αρχικά, η σαφής σκιαγράφηση της ερευνητικής περιοχής της προστασίας κρίσιμων υποδομών και της συσχέτισής της με την ασφάλεια πληροφοριακών συστημάτων, καθώς οι δύο περιοχές γειτνιάζουν σε σημαντικό βαθμό και τα όρια δεν είναι ξεκάθαρα. 2) Παρατηρήσαμε, επίσης, ότι οι μέθοδοι για τον προσδιορισμό του επιπέδου κρισιμότητας μίας υποδομής ποικίλλουν. Είναι σκόπιμο να εκπονηθεί μια μελέτη των διαφόρων μεθόδων και τεχνικών για την αξιολόγηση της κρισιμότητας μιας υποδομής, η οποία θα εξετάζει την υιοθέτηση προσέγγισης (συστημική ή συμβολική ή συνδυασμό αυτών) και την υιοθέτηση κριτηρίων με στόχο την ποιοτική ή ποσοτική αξιολόγηση του βαθμού κρισιμότητας μιας υποδομής. Θα πρέπει, επίσης, να αποσαφηνιστεί αν η έννοια είναι ταυτόσημη ή όχι με την έννοια της επικινδυνότητας. 3) Είναι σαφές ότι οι μεθοδολογίες εκτίμησης επικινδυνότητας, όπως αυτές διαμορφώνονται στο χώρο της Ασφάλειας Πληροφοριακών Συστημάτων δεν μπορούν να εφαρμοσθούν χωρίς προσαρμογές σε πληροφοριακές και επικοινωνιακές υποδομές. Αντιθέτως, θα πρέπει να λάβουν υπόψη τα ιδιαίτερα Παράρτημα Δ : Δημοσιεύσεις και αναφορές 50

66 χαρακτηριστικά των κρίσιμων υποδομών [Adar and Wuchner, 2005]. Επιμέρους θέματα μελέτης αφορούν τη μελέτη των διαφόρων επιπέδων ανάλυσης (CIP layers) όσον αφορά τις κρίσιμες υποδομές (δηλ. επίπεδο συνιστώσας, επίπεδο υποδομής, επίπεδο τομέα ή εθνικό επίπεδο), την αναγνώριση και μοντελοποίηση αλληλεξαρτήσεων μεταξύ υποδομών στα επιμέρους επίπεδα ανάλυσης (αλληλεξαρτήσεις μεταξύ συνιστωσών, υποδομών ή τομέων), και τις διαφοροποιήσεις όσον αφορά την επίπτωση ενός περιστατικού (ως προς την ένταση της επίπτωσης αλλά και την εξάπλωσή της σε άλλες υποδομές). 4) Ενδιαφέρον εμφανίζει η δημιουργία μίας νέας μεθοδολογίας για την εκτίμηση επικινδυνότητας, η οποία θα απευθύνεται αποκλειστικά σε κρίσιμες υποδομές. Αυτή θα πρέπει να αναφέρεται στις φυσικές, στις πληροφοριακές και επικοινωνιακές, αλλά κοινωνικοπολιτικές προεκτάσεις της προστασίας κρίσιμων υποδομών. 5) Τέλος, η εκτίμηση επικινδυνότητας όταν αναφερόμαστε σε εκ των έσω απειλές εμφανίζει ιδιαιτερότητες. Μπορεί να θεωρηθεί ως μια ειδική περίπτωση απειλής η οποία επιφέρει σημαντικές επιπτώσεις τόσο στην ίδια την υποδομή, σε εξαρτώμενες από αυτές υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. Αυτό ισχύει τόσο στα ΠΣ όσο και στις κρίσιμες υποδομές. Η βιβλιογραφία των κρίσιμων υποδομών εμφανίζει πολύ μικρό αριθμό αναφορών σε σχέση με τρόπους αντιμετώπισης αυτής της απειλής στις κρίσιμες υποδομές. Για το λόγο αυτό, ενδιαφέρον παρουσιάζει η εξέταση των τρόπων αντιμετώπισης για ΠΣ και ΚΥ, οι οποίες κυμαίνονται από πρότυπα, βέλτιστες πρακτικές και οδηγίες, έως κοινωνιολογικές θεωρίες. Στις ενότητες που ακολουθούν, επιχειρούμε να απαντήσουμε στα παραπάνω ζητήματα, όπως φαίνεται στον παρακάτω πίνακα. Πίνακας 9: Ερευνητικά ζητήματα της διατριβής Ερευνητικό ερώτημα Οριοθέτηση της ερευνητικής περιοχής της Προστασίας Κρίσιμων Υποδομών Κεφάλαιο Αναζήτηση μεθόδων εκτίμησης κρισιμότητας μίας υποδομής 4 Δημιουργία νέας μεθοδολογίας εκτίμηση επικινδυνότητας σε αλληλοεξαρτώμενες υποδομές Εξέταση βέλτιστων πρακτικών και κοινωνικών θεωριών για την αντιμετώπισης της εκ των έσω απειλής σε κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές Παράρτημα Δ : Δημοσιεύσεις και αναφορές 51

67 Teaching should be such that what is offered is perceived as a valuable gift and not as a hard duty. Albert Einstein 3 Γνωστικό Υπόβαθρο για Προστασία Κρίσιμων Υποδομών Ο σχεδιασμός ενός προγράμματος σπουδών είναι καθοριστική συνιστώσα στο σχεδιασμό κάθε εκπαιδευτικής διαδικασίας. Παράλληλα, αποτυπώνει ένα στιγμιότυπο της γνώσης που εμπεριέχεται σε μια γνωστική περιοχή. Όταν αναφερόμαστε στην ακαδημαϊκή εκπαίδευση, ένα πρόγραμμα σπουδών αντικατοπτρίζει το επιθυμητό σύνολο γνώσεων που θα πρέπει να κατέχουν οι επαγγελματίες και οι ερευνητές μίας γνωστικής περιοχής. Ο σχεδιασμός ενός προγράμματος σπουδών αποτελεί μια συνεχή διαδικασία επανατροφοδότησης και αναθεώρησης ώστε να συμπεριλάβει τις τελευταίες εξελίξεις στο χώρο. Το πιο χρήσιμο υποστηρικτικό εργαλείο για την διαρκή σκιαγράφηση και ενημέρωση μιας γνωστικής περιοχής είναι η χρήση ενός Γνωστικού Υπόβαθρου (Common Body of Knowledge - CBK). Παρά την ύπαρξη ποικίλλων ορισμών, ένα γνωστικό υπόβαθρο (ΓΥ) μπορεί να θεωρηθεί ως το εννοιολογικό εργαλείο ορισμού των γνώσεων και των δεξιοτήτων, οι οποίες θεωρούνται απαραίτητες για ένα επιστήμονα ή επαγγελματία [Theoharidou et al., 2007]. Συνεπώς, ένα ΓΥ είναι το εργαλείο για: (α) τον καθορισμό των περιεχομένων μιας επιστημονικής περιοχής, (β) την επισκόπηση του στιγμιοτύπου ενός γνωστικού πεδίου (και των περιεχομένων του) σε μια δεδομένη χρονική στιγμή, (γ) την οριοθέτηση ενός πεδίου σε σχέση με άλλα συγγενή πεδία, και (δ) την παροχή της βάσης για την ανάπτυξη ενός προγράμματος σπουδών, είτε για ακαδημαϊκή εκπαίδευση, είτε για την εκπαίδευση επαγγελματιών (με στόχο την παροχή κατάρτισης ή την απόκτηση επαγγελματικής πιστοποίησης). Στη συνέχεια, επιχειρούμε να οριοθετήσουμε τις ερευνητικές περιοχές της ασφάλειας πληροφοριακών συστημάτων (ΑΠΣ) και της Προστασίας Κρίσιμων Υποδομών (ΠΚΥ). Η ανάγκη δημιουργίας ενός τέτοιου ΓΥ, επισημαίνεται από ερευνητικές πρωτοβουλίες τόσο στις Η.Π.Α [DHS, 2006], όσο και στην Ευρώπη [CI 2 RCO, 2008]. Το προτεινόμενο ΓΥ προέκυψε ως μια συνεχόμενη προσπάθεια και με βάση πολλαπλά στάδια ανάπτυξης [Theoharidou et al., 2007a; Theoharidou and Gritzalis, 2007; Theoharidou et al., 2008]. Θα πρέπει να σημειωθεί ότι η παρούσα προσέγγιση εξετάζει τις γνωστικές περιοχές της ΑΠΣ και ΠΚΥ και συνεπώς και το ΓΥ - υπό την οπτική της διεπιστημονικότητας [Wood, 2004; Gritzalis et al., 2005; von Solms, 2001] (βλ. Ενότητα 3.2.1). Ο στόχος δεν είναι η δημιουργία ενός ΓΥ αποκλειστικά για την ΠΚΥ, καθώς θεωρούμε ότι το επιστημονικό αυτό πεδίο είναι στενά συνδεδεμένο με την ΑΠΣ. Επίσης, σε εκπαιδευτικό επίπεδο (ειδικά σε προπτυχιακό επίπεδο), η ΠΚΥ μπορεί να θεωρηθεί ως πολύ απαιτητικό πεδίο για να διδαχθεί χωρίς να έχει προηγηθεί η εξοικείωση με τις έννοιες της ασφάλειας. Θεωρούμε ότι η ΠΚΥ μπορεί να μελετηθεί είτε σε τελειόφοιτους Παράρτημα Δ : Δημοσιεύσεις και αναφορές 52

68 προπτυχιακούς φοιτητές είτε σε μεταπτυχιακό επίπεδο, θεωρώντας την εκπαίδευση σε ασφάλεια ως προαπαιτούμενη συνθήκη. Για το λόγο αυτό το παρόν ΓΥ διαρθρώνεται με ενότητες οι οποίες αναφέρονται στην ΑΠΣ, αλλά και πιο σύνθετες ενότητες οι οποίες συνδυάζουν τα δύο ερευνητικά πεδία. Η ΑΠΣ θεωρείται ως βάση για την ΠΚΥ, ενώ και τα δύο πεδία εξετάζονται με έμφαση στις ΤΠΕ. Για να δημιουργήσουμε το ΓΥ, υιοθετήθηκε μια μέθοδος, η οποία είχε ως αποτέλεσμα τη δημιουργία δέκα γνωστικών υπο-ενοτήτων που στο σύνολό τους περιγράφουν την ΑΠΣ και την ΠΚΥ. Οι υπο-ενότητες αυτές προέκυψαν έπειτα από διαδοχικές ανακυκλώσεις, οι οποίες βελτίωναν και εμπλούτιζαν το περιεχόμενό τους. Αναλύονται σε τρία επίπεδα ανάλυσης (για την πλήρη και λεπτομερή παρουσίασή τους βλ. ΠΑΡΑΡΤΗΜΑ Β ). Οι γνωστικές υπο-ενότητες παρουσιάζουν συσχετίσεις μεταξύ τους, οι οποίες έχουν εντοπισθεί και απεικονίζονται. Αυτές οι συσχετίσεις προκύπτουν λόγω επικαλύψεων μεταξύ ενοτήτων. Είναι σημαντικές, καθώς βάση αυτών προσδιορίζεται η ενδεικτική ακολουθία μελέτης (και διδασκαλίας) τους. Στην ενότητα που ακολουθεί αναλύουμε υπάρχουσες προσεγγίσεις στο θέμα και στη συνέχεια παρουσιάζουμε αναλυτικά το προτεινόμενο ΓΥ, το οποίο στοχεύει στην εκτενή περιγραφή και σκιαγράφηση της ΑΠΣ και της ΠΚΥ, αλλά και βοηθά τον αναγνώστη να αντιληφθεί την ευρύτητα, την πολυπλοκότητα, καθώς και τις ερευνητικές υπο-περιοχές τους. 3.1 Υπάρχοντα Γνωστικά Υπόβαθρα Η έννοια του ΓΥ δεν είναι νέα και απαντάται σε διάφορα επιστημονικά πεδία. Με στόχο τη βελτίωση της πρώτης έκδοσης του ΓΥ [Theoharidou et al., 2007], μελετήσαμε γνωστικά υπόβαθρα τα οποία αναφέρονται σε άλλες επιστήμες ή σε άλλα θέματα, όπως Επιστήμη Υπολογιστών, Διοίκηση Επιχειρήσεων, Ποιότητα Λογισμικού κλπ. Σημαντικά στοιχεία αποτελούν η δόμηση, το επίπεδο ανάλυσης, τα εργαλεία που χρησιμοποιούνται για την παρουσίαση ή το εκπαιδευτικό υλικό που τα συνοδεύει. Παράλληλα, εξετάσαμε αυτά τα χαρακτηριστικά και σε αντίστοιχα υπόβαθρα τα οποία έχουν σχέση με την ΑΠΣ και ΠΚΥ. Στα συγκεκριμένα, δόθηκε έμφαση και στη θεματολογία τους και στον τρόπο κατηγοριοποίησης των επιμέρους γνωστικών ενοτήτων. Στη βιβλιογραφία, δεν υπάρχει μεγάλος αριθμός τέτοιων προσπαθειών, που να χαρακτηρίζονται ρητά ως Γνωστικά Υπόβαθρα (CBK), και για αυτό το λόγο συμπεριλήφθησαν στην ανάλυση και προσεγγίσεις που έχουν ως στόχο είτε να κατηγοριοποιήσουν ένα γνωστικό πεδίο ή μια επιστήμη (discipline), είτε να περιγράψουν το περιεχόμενο αντίστοιχων μαθημάτων σε πανεπιστημιακό επίπεδο ή σε επαγγελματικά προγράμματα εξειδίκευσης. Στην τελευταία κατηγορία, εξετάστηκαν και προσεγγίσεις οι οποίες αφορούν επαγγελματικές πιστοποιήσεις και οριοθετούν τις απαιτούμενες γνώσεις για τις αντίστοιχες εξετάσεις (professional certifications) στο πεδίο αυτό Γνωστικά Υπόβαθρα από άλλα επιστημονικά πεδία Αρχικά, εξετάστηκαν δύο ΓΥ που έχουν δημιουργηθεί από τον οργανισμό Quality Assurance Institute (USA) 9, τα οποία χρησιμοποιούνται για πιστοποιήσεις σε Έλεγχο 9 (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 53

69 Λογισμικού (Software Testing) και Ανάλυση Ποιότητας Λογισμικού (Software Quality Analysis) [QAI Global Institute, 2006]. Σε αυτά τα δύο ΓΥ (βλ. Πίνακας 10) το γνωστικό αντικείμενο διαχωρίζεται σε επιμέρους υπο-ενότητες, κάποιες από τις οποίες θεωρούνται ως υποχρεωτικές και κάποιες προαιρετικές, γεγονός που προσθέτει ευελιξία. Παράλληλα, ορίζονται προτεραιότητες μεταξύ υπο-ενοτητών, γεγονός που παραπέμπει στον προσδιορισμό μιας διδακτικής ακολουθίας μεταξύ ενοτήτων. Πίνακας 10: Γνωστικά Υπόβαθρα για Έλεγχο και Ανάλυση Ποιότητας Λογισμικού Γνωστικό Υπόβαθρο Γνωστικό Υπόβαθρο Ελεγκτή Λογισμικού Αναλυτή Ποιότητας Λογισμικού Αρχές & Έννοιες Δημιουργία του Περιβάλλοντος Ελέγχου Διαχείριση Έργου Προγραμματισμός Ελέγχου Εφαρμογή Σχεδίου Ελέγχου Κατάσταση Ελέγχου, Ανάλυση & Χρήση Αναφορών Έλεγχος της Αποδοχής των Χρηστών Έλεγχος Λογισμικού που έχει αναπτυχθεί από Εξωτερικούς Εργολάβους Αξιολόγηση των Ελέγχων Λογισμικού & της Επάρκειας των Διαδικασιών Ασφάλειας Αξιολόγηση Νέων Τεχνολογιών Αρχές & Έννοιες Ηγετικές ικανότητες στην Ποιότητα Βασικές Οδηγίες Ποιότητας Εξασφάλιση Ποιότητας Προγραμματισμός Ποιότητας Προσδιορισμός, Δημιουργία, Υλοποίηση & Βελτίωση Διαδικασιών Πρακτικές Ελέγχου Ποιότητας Μετρικές & Μέτρηση Εσωτερικός Έλεγχος & Ασφάλεια Εξωτερική Ανάθεση, COTS & Εργολαβία Το υπόβαθρο γνώσης που προτείνεται από το Institute of Management Consultants USA 10 προσφέρει μια υψηλού επιπέδου κατηγοριοποίηση των ενοτήτων. Η γνώση που πρέπει να έχει ο καθένας σε κάθε έναν από τους τομείς εξαρτάται και από την εμπειρία του. Το συγκεκριμένο υπόβαθρο δεν παρέχει λεπτομερείς περιγραφές περιεχομένου (και επομένως και συνοδευτικά εργαλεία, τεχνικές ή προσόντα) σε μια προσπάθεια να παραμείνει επαρκώς γενικό και συνεπώς επίκαιρο. Ένα άλλο ΓΥ 11 χρησιμοποιείται για επαγγελματική πιστοποίηση σχετικά με χρήση ηλεκτρονικών φακέλων υγείας, ιατρικών τεχνολογιών πληροφορικής και για την ανταλλαγή πληροφοριών υγείας (Electronic Health Records, Health Information Technology και Health Information Exchange). Απαρτίζεται από μια κοινή ομάδα γνωστικών ενοτήτων και μετά διαχωρίζεται σε πιο εξειδικευμένες ενότητες που αφορούν καθένα από τα τρία αυτά θέματα μελέτης. Αποτελεί ένα χαρακτηριστικό παράδειγμα απεικόνισης των κοινών, θεμελιωδών γνώσεων ενός γνωστικού πεδίου και επιτρέπει την περαιτέρω εξειδίκευση σε επιμέρους ενότητές του. Μια άλλη ενδιαφέρουσα ιδέα είναι η κατηγοριοποίηση των επιμέρους ενοτήτων με βάση το ρόλο και τις αρμοδιότητες του διδασκόμενου, όπως η κατηγοριοποίηση ενός γνωστικού υποβάθρου για Διαχείριση Συστημάτων (Systems Administration Body of Knowledge) 12, ιδιαίτερα όταν το ΓΥ στοχεύει όχι σε ακαδημαϊκή εκπαίδευση αλλά σε επαγγελματική εξειδίκευση (Τελευταία προσπέλαση ) 11 (Τελευταία προσπέλαση ) 12 (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 54

70 Ένα ΓΥ το οποίο αναφέρεται στις ανάγκες πανεπιστημιακής εκπαίδευσης είναι το Business CBK από το UTSA College of Business 13 (ΗΠΑ). Το συγκεκριμένο υπόβαθρο ορίζει προαπαιτούμενες γνώσεις αλλά και σειρά εκμάθησης των ενοτήτων. Συσχετίζει επίσης σε υπο-ενότητες μαθήματα από όλο το πρόγραμμα σπουδών, μια ιδέα που προτείνεται και από την «Joint Task Force on Computing Curricula by the IEEE Computer Society and the ACM» 14. Το τελευταίο ΓΥ περιλαμβάνει λεπτομερείς οδηγίες σχετικά με το πώς πρέπει να δομούνται προγράμματα σπουδών πληροφορικής. Πιο συγκεκριμένα, οι κατευθύνσεις αυτές αφορούν προγράμματα σπουδών προπτυχιακού επιπέδου στις γνωστικές περιοχές της Μηχανικής Υπολογιστών (Computer Engineering), Επιστήμης των Υπολογιστών (Computer Science), Πληροφοριακών Συστημάτων (Information Systems), Τεχνολογίας Πληροφοριών (Information Technology) και Τεχνολογίας Λογισμικού (Software Engineering). Καθένας από τους επιμέρους αυτούς οδηγούς περιλαμβάνει από ένα ΓΥ για προπτυχιακά προγράμματα σπουδών. Τα γνωστικά υπόβαθρα είναι ιεραρχικά δομημένα και διαιρούν κάθε γνωστικό πεδίο σε επιμέρους γνωστικές περιοχές, που χωρίζονται με τη σειρά τους σε ενότητες διδασκαλίας/μαθήματα. Τα τελευταία ορίζονται ανά θέμα και ανά μαθησιακό αποτέλεσμα. Όλα τα επιμέρους ΓΥ συνοδεύονται από εκπαιδευτικό υλικό, συστάσεις σχετικά με τη σειρά εκμάθησης των αντικειμένων, και μια εκτίμηση των απαιτούμενων ωρών διδασκαλίας καθώς και περιγραφές μαθημάτων. Τα τελευταία καθιστούν τη συγκεκριμένη προσέγγιση ως την πλέον πλήρη και αναγνωρισμένη στον τομέα της Πληροφορικής Γνωστικά Υπόβαθρα σχετικά με ΑΠΣ και ΠΚΥ Ένα από τα πιο αναγνωρισμένα γνωστικά υπόβαθρα για τον τομέα της ασφάλειας είναι αυτό που έχει αναπτυχθεί από τον οργανισμό (ISC) 2. Ο συγκεκριμένος οργανισμός παρέχει πιστοποιήσεις που σχετίζονται με το γνωστικό πεδίο της Ασφάλειας. Αναφέρονται ενδεικτικά οι εξής πιστοποιήσεις: Certified Information Systems Security Professional (CISSP), Information Systems Security Architecture Professional (ISSAP), Information Systems Security Management Professional (ISSMP), Information Systems Security Engineering Professional (ISSEP), Certification and Accreditation Professional (CAP) και Systems Security Certified Practitioner (SSCP). Καθένα από τα παραπάνω ΓΥ (ανά πιστοποίηση) κατηγοριοποιείται σε υπο-ενότητες και συνοδεύεται και από εκπαιδευτικό υλικό. Η μόνη διαφοροποίηση ως προς τη δομή παρατηρείται στο ΓΥ για CAP, όπου οι υπο-ενότητες είναι οργανωμένες ως ακολουθία βημάτων, όπως κάποια από τα γνωστικά υπόβαθρα που εξετάστηκαν στην προηγούμενη ενότητα. Από το σύνολο αυτών, το πιο γνωστό είναι αυτό το οποίο χρησιμοποιείται για την πιστοποίηση CISSP 15 και αποτελείται από τις εξής γνωστικές ενότητες [Krause and Tipton, 2006] που αναφέρονται στον πίνακα που ακολουθεί (Τελευταία προσπέλαση ) 14 (Τελευταία προσπέλαση ) 15 (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 55

71 Πίνακας 11: Γνωστικό Υπόβαθρο (ISC) 2 για την πιστοποίηση CISSP Ενότητες Access Control Application Development Security Business Continuity & Disaster Recovery Planning Cryptography Information Security Governance & Risk Management Legal, Regulations, Investigations & Compliance Operations Security Physical (Environmental) Security Security Architecture & Design Telecommunications & Network Security Εικόνα 13: Γνωστικό Υπόβαθρο ISSPCS Ένα άλλο ενδιαφέρον ΓΥ είναι αυτό που προτείνεται από τον οργανισμό The International Systems Security Professional Certification Scheme (ISSPCS) 16. Παρέχει τέσσερα επίπεδα εξειδίκευσης (Practitioner, Professional, Mentor, Fellow) και έχει σχεδιαστεί με βάση τη συσχέτιση Γνωστικών Περιοχών (Functional Disciplines) και Διαδικασιών Ασφάλειας (Security Processes). Ο δυσδιάστατος πίνακας που προκύπτει απεικονίζεται στην Εικόνα 13. Σε σχέση με τα άλλα γνωστικά υπόβαθρα, το συγκεκριμένο δεν αποτελείται από έναν κατάλογο υπο-ενοτήτων αλλά ακολουθεί μια πρωτότυπη σχηματική αναπαράσταση. Πάραυτα οι συσχετίσεις είναι πολύπλοκες και ο διαχωρισμός των υπο-ενοτήτων δεν είναι εύκολα αντιληπτός (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 56

72 Ένα πρόσφατο ΓΥ το οποίο προέρχεται από επαγγελματικούς φορείς είναι αυτό που χρησιμοποιείται για την πιστοποίηση Certified Protection Professional (CPP) του οργανισμού American Society for Industrial Security (ASIS) International 17. Ως προς τη διάρθρωσή του ακολουθεί τον τυπικό διαχωρισμό σε υπο-ενότητες. Πιο συγκεκριμένα διαχωρίζει τη Βιομηχανική Ασφάλειας σε οκτώ τομείς ενδιαφέροντος (βλ. Πίνακας 12). Πίνακας 12: Γνωστικό Υπόβαθρο για την πιστοποίηση CPP Ενότητες Security Principles and Practices Business Principles and Practices Investigations Emergency Planning Legal Aspects Personnel Security Information Security Physical Security Παράλληλα με τις προσπάθειες που προέρχονται από πρωτοβουλίες του επιχειρηματικού κόσμου, εντοπίστηκαν και κάποιες προσπάθειες που έχουν εφαρμοσθεί από κυβερνητικούς φορείς. Ένα χαρακτηριστικό παράδειγμα είναι ένα ΓΥ του NIST, το οποίο αναφέρεται στην Ασφάλεια Υπολογιστών (Computer Security) [Wilson, 1998]. Το πιο σημαντικό του γνώρισμα είναι ότι προσπαθεί να συνδυάζει και καλύψει επιτάσεις τόσο της βιομηχανίας όσο και κρατικές, ενώ παράλληλα έχει ένα εκπαιδευτικό χαρακτήρα. Έχει διαμορφωθεί ως ένα οδηγός για προγράμματα κατάρτισης (training). Το ΓΥ, που παρουσιάζεται παρακάτω, αποτελείται από δώδεκα (12) τομείς και αντίστοιχους υποτομείς (βλ. Πίνακας 13). Πίνακας 13: Information Technology Security Training Requirements Οδηγίες Νόμοι και Κανονισμοί (Laws and Regulations) Πρόγραμμα Ασφάλειας Τεχνολογίας Πληροφορικής (IT Security Program) Περιβάλλον Συστήματος (System Environment) Αλληλοσύνδεση Συστημάτων (System Interconnection) Διαμοιρασμός πληροφορίας (Information Sharing) Ευαισθησία (Sensitivity) Διαχείριση Επικινδυνότητας (Risk Management) Διαχειριστικά Μέτρα Προστασίας (Management Controls) Απόκτηση/Ανάπτυξη/Εγκατάσταση/Υλοποίηση Μέτρων Προστασίας (Acquisition/Development/Installation/Implementation Controls) Λειτουργικά Μέτρα Προστασίας (Operational Controls) Μέτρα Προστασίας για Ενημερότητα, Κατάρτιση και Εκπαίδευση (Awareness, Training and Education Controls) Τεχνικοί Μέτρα Προστασίας (Technical Controls) Το ΓΥ το οποίο έχει αναπτυχθεί από την ομάδα Software Assurance Workforce Education and Training Working Group εστιάζει σε Ποιότητα Λογισμικού (Software Quality) [Redwine, 2007], και εμφανίζει μια μικρή συσχέτιση με την Ασφάλεια. Είναι 17 (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 57

73 οργανωμένο σε βήματα και βασίζεται σε ένα προγενέστερο οδηγό: Guide to the Software Engineering Body of Knowledge της IEEE Computer Society. Το επίπεδο λεπτομέρειας που προσφέρει το καθιστά πιο εύκολο στην εφαρμογή του, αλλά ταυτόχρονα αυξάνει τις απαιτήσεις για συχνή ενημέρωση. Η συσχέτιση μεταξύ των δύο αυτών υπόβαθρων φαίνεται καλύτερα στον επόμενο πίνακα. Πίνακας 14: Γνωστικά Υπόβαθρα για Τεχνολογία Λογισμικού και για Ασφαλές Λογισμικό Γνωστικό Υπόβαθρο για την Γνωστικό Υπόβαθρο για την παραγωγή, Τεχνολογία Λογισμικού απόκτηση και διατήρηση Ασφαλούς Λογισμικού - Φύση των κινδύνων - Θεμελιώδεις έννοιες και αρχές - Ηθική, νόμος και διακυβέρνηση Απαιτήσεις Λογισμικού Σχεδιασμός Λογισμικού Κατασκευή Λογισμικού Έλεγχος Λογισμικού Ποιότητα Λογισμικού Εργαλεία και Μέθοδοι της Τεχνολογίας Λογισμικού Διαδικασίες της Τεχνολογίας Λογισμικού Διαχείριση της Τεχνολογίας Λογισμικού Απαιτήσεις Ασφαλούς Λογισμικού Σχεδιασμός Ασφαλούς Λογισμικού Κατασκευή Ασφαλούς Λογισμικού Επαλήθευση, Επικύρωση και Αξιολόγηση Ασφαλούς Λογισμικού Εργαλεία και Μέθοδοι του Ασφαλούς Λογισμικού Διαδικασίες του Ασφαλούς Λογισμικού Διαχείριση Έργου Ασφαλούς Λογισμικού - Απόκτηση Ασφαλούς Λογισμικού Συντήρηση Λογισμικού Διαχείριση της Διαμόρφωσης του Λογισμικού Διατήρηση Ασφαλούς Λογισμικού - Μια κοινή προσπάθεια βιομηχανία και ακαδημίας δημιουργήθηκε από τον οργανισμό ASIS [Gilmore, 2000]. Κατηγοριοποιεί την Ασφάλεια σε δεκαοκτώ (18) λειτουργίες και εφτά (7) ομάδες. Για τη δημιουργία του συμμετείχαν διαφορετικές ομάδες μεταπτυχιακών φοιτητών, γεγονός που επέτρεψε τη συμμετοχή των διδασκομένων στο σχεδιασμό του προγράμματος σπουδών. Στον παρακάτω πίνακα οι βασικές λειτουργίες ταξινομημένες με βάση την ομαδοποίηση που πρόεκυψε από τις διάφορες ομάδες εργασίας. Πίνακας 15: Γνωστικό Υπόβαθρο Ασφάλειας (από τον οργανισμό ASIS) Ομάδες Βασικές Λειτουργίες Ασφάλειας Α Φυσική ασφάλεια (Physical Security) Πρόληψη εγκλήματος (γενικά) (Crime Prevention) Πρόληψη εγκλήματος μέσω περιβαλλοντικού σχεδιασμού (CPTED) (Crime Prevention) Αρχιτεκτονική και τεχνολογία της ασφάλειας (Security Architecture and Engineering) Αντιτρομοκρατία (Counterterrorism) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 58

74 Β C D E F G Ασφάλεια προσωπικού (Personnel Security) Προστασία διοικητικών στελεχών (Executive Protection) Βία στο χώρο εργασίας (Violence in the Workplace) Ασφάλεια πληροφοριακών συστημάτων (Information Systems Security) Ανταγωνιστική ευφυΐα (Competitive Intelligence) Διερεύνηση περιστατικού (Investigations) Προγραμματισμός επειγόντων περιστατικών (Emergency/Contingency Planning) Αντιπυρική προστασία (Fire Protection) Διαχείριση κρίσης (Crisis Management) Διαχείριση καταστροφών (Disaster Management) Αποτροπή απώλειας (Loss Prevention) Διαχείριση επικινδυνότητας (Risk Management) Νομικά ζητήματα (Legal Aspects) Η αναφορά Report on Information Assurance Curriculum Development [Dark and Davis, 2002], επίσης, κατηγοριοποιεί το γνωστικό πεδίο σε ενότητες και υπο-ενότητες και παρέχει διαφορετικές προσεγγίσεις για προγράμματα σπουδών σε προπτυχιακό και μεταπτυχιακό επίπεδο. Ενδιαφέρουσα ιδιότητα του συγκεκριμένου γνωστικού υποβάθρου είναι ότι οι γνωστικές ενότητες κατηγοριοποιούνται ανάλογα με τον τύπο γνώσης που επιτυγχάνεται, που είναι ενδεικτικός του βάθους της γνώσης που επιτυγχάνεται σε διαφορετικά στάδια του προγράμματος σπουδών. Οι τρεις τύποι γνώσης είναι η δηλωτική (declarative), η εφαρμοσμένη (application) και η συνθετική γνώση (synthesis). Στην περίπτωση της δηλωτικής γνώσης ο σπουδαστής γνωρίζει αυτό που δηλώνει όπως γεγονότα, έννοιες, αρχές αλγόριθμους κλπ. Στην περίπτωση της εφαρμοσμένης γνώσης, η ικανότητα του σπουδαστή του επιτρέπει να εφαρμόσει τη γνώση σε νέα προβλήματα. Τέλος, στο στάδιο της συνθετικής γνώσης, ο σπουδαστής δύναται να δημιουργήσει καινούριες λύσεις με βάση τις υπάρχουσες γνώσεις. Για το μεταπτυχιακό επίπεδο σπουδών, προτείνονται οι παρακάτω γνωστικές ενότητες: Πίνακας 16: Γνωστικό Υπόβαθρο Διασφάλισης Πληροφοριών Γνωστικές ενότητες Γενικές γνώσεις και δεξιότητες (General Knowledge and Skills) Εκτίμηση επικινδυνότητας (Risk Assessment) Διαχείριση ασφάλειας πληροφορίας (Information Security Management) Βασικές έννοιες δικτύων (Networking Fundamentals) Κρυπτογραφία (Cryptography) Βασικές έννοιες υποδομών δημοσίου κλειδιού (PKI Fundamentals) Λειτουργικά Συστήματα (Operating Systems) Πρακτικές της τεχνολογίας λογισμικού (Software Engineering Practices) Νομική και ηθική της ασφάλειας πληροφοριών (Legal, Ethical INFOSEC) Άμυνα και απόκριση σε εισβολές (Intrusion Defense and Response) Αναδεικνυόμενες Τεχνολογίες (Emerging Technologies) Κατηγορία γνώσης Δηλωτική Εφαρμοσμένη Εφαρμοσμένη Εφαρμοσμένη Δηλωτική/Εφαρμοσμένη Δηλωτική Εφαρμοσμένη Δηλωτική Δηλωτική Δηλωτική Δηλωτική Παράρτημα Δ : Δημοσιεύσεις και αναφορές 59

75 Θέματα ηλεκτρονικού εμπορίου (E-commerce related issues) Ανάπτυξη ασφαλών δικτυακών και κατανεμημένων εφαρμογών (Develop secure network applications, server and distributed applications) Ασφαλής σχεδίαση συστημάτων τεχνολογίας πληροφορικής και δικτύων (IT System and Network Security Design) Εμπειρία ενοποίησης και αφομοίωσης (Integrative experience) Δηλωτική Εφαρμοσμένη Εφαρμοσμένη Συνθετική Το ΓΥ για Διασφάλιση Πληροφορίας (Information Assurance) του [Crowley, 2003] διαχωρίζει το πεδίο σε τέσσερα κύρια γνωστικά πεδία, αυτά της Διαχείρισης (Management), των ασφαλών υπολογιστικών συστημάτων (Secure Computing Systems), της Ασφάλειας Δικτύων (Network Security) και της Κρυπτογραφίας (Cryptography). Αυτή η προσέγγιση περιγράφει το περιεχόμενο των εξής τεσσάρων σχετικών μαθημάτων: (α) Principles of Information System Security, (β) Secure Enterprise Computing: Incident Response and Computer Forensics, (γ) Information Systems Security: Cryptography and Intrusion Detection, και (δ) Information Systems Security Risk Analysis and Management. Η δομή που χρησιμοποιείται δεν εμφανίζει ενδιαφέρον, αλλά η προσέγγιση αυτή προσφέρει ιδέες σχετικά με το περιεχόμενο των μαθημάτων, καθώς αυτά είναι περισσότερο εξειδικευμένα σε σχέση με άλλες προσεγγίσεις. Ένα ΓΥ για Ασφάλεια Πληροφοριών σε Δικτυακές Τεχνολογίες εστιάζει σε ασφάλεια δικτύων, αλλά περιλαμβάνει μόνο μια σχηματική αναπαράσταση αυτού του υπο-πεδίου από τον J. Oney [Morneau, 2004], όπως αυτή μεταφέρεται στον παρακάτω πίνακα: Πίνακας 17: Γνωστικό Υπόβαθρο Ασφάλειας Δικτύων Ενότητα Υπο-ενότητες Βασικά Θέματα Ασφάλειας Δικτύων Επιθέσεις Δικτύων & Hacking Έγκλημα Υπολογιστών Δικτυακές Επικοινωνίες Κρυπτογράφηση & Αυθεντικοποίηση Αναχώματα Πολιτικές Ασφάλειας Διαχείριση Επικινδυνότητας Μοντέλα Ασφάλειας Πληροφοριακός Πόλεμος (Information Warfare) Ανίχνευση Εισβολών (Intrusion Detection) Hacking Κακόβουλο Λογισμικό Ανταπόκριση σε Περιστατικό Πρωτόκολλα Sniffers Κρυπτογράφηση Πρωτόκολλο IPSec Αυθεντικοποίηση Ασφάλεια Ιστού Τοπολογία Αναχωμάτων Τεχνολογία Αναχωμάτων Ασφάλεια Ιστού Υποδομή Δημόσιου Κλειδιού (PKI) Ψηφιακές Υπογραφές Παράρτημα Δ : Δημοσιεύσεις και αναφορές 60

76 Οργανωσιακή Ασφάλεια Φυσική Ασφάλεια Ασφάλεια Προσωπικού Ασφάλεια Λογισμικού Νομικά Θέματα Τέλος, το ΓΥ Ασφάλειας Πληροφοριών των [Smith et al., 2005] αποτελεί μια αρκετά γενική προσέγγιση. Η κύρια του συνεισφορά έγκειται στο ότι διαχωρίζει το γνωστικό πεδίο σε τεχνικά και σε μη τεχνικά θέματα, αλλά δεν παρέχει μια λεπτομερής κατηγοριοποίηση, που καθιστά τη μεταφορά του σε κάποιο πρόγραμμα σπουδών μη προφανή Ευρήματα Παρατηρούμε ότι τα περισσότερα γνωστικά υπόβαθρο, ανεξάρτητα από (α) την εστίασή τους και (β) την προέλευσή τους, δηλαδή αν προέρχονται από ακαδημαϊκό, κυβερνητικό ή επιχειρηματικό περιβάλλον, περιλαμβάνουν τα εξής θέματα στις κατηγοριοποιήσεις τους: Έλεγχο Προσπέλασης (Access Control), Κρυπτογραφία (Cryptography), Ασφάλεια Δικτύων & Τηλεπικοινωνιών (Network & Telecommunication Security), Ανάλυση Επικινδυνότητας (Risk Analysis), Φυσική Ασφάλεια (Physical Security), Νομικά και Ηθικά ζητήματα (Law and Ethics), και Διαχείριση Ασφάλειας (Security Management). Οι βιομηχανικές προσεγγίσεις θέτουν μεγαλύτερη βαρύτητα στην πρακτική εμπειρία και στοχεύουν στην παροχή πιστοποιήσεων σε επαγγελματίες. Οι σχετικοί τομείς ενδιαφέροντος είναι Information System Security, Information System Security Architecture, Information System Security Technology, Information System Security Management, Information and System Security. Παράλληλα, εξετάστηκαν και δύο κυβερνητικές προσεγγίσεις που στοχεύουν στην παροχή οδηγιών και εστιάζουν στην Ασφάλεια Υπολογιστών και στην Ασφάλεια Λογισμικού αντίστοιχα. Οι ακαδημαϊκές προσεγγίσεις που εντοπίστηκαν στόχευαν κυρίως στην παροχή βοηθητικών εργαλείων για τη δημιουργία προγραμμάτων σπουδών τόσο προπτυχιακού αλλά και μεταπτυχιακού επιπέδου. Τα θέματα στα οποία συγκλίνουν είναι τα εξής: (α) Βασικές Λειτουργίες Ασφάλειας (Basic Security Functions), (β) Διασφάλιση Πληροφοριών (Information Assurance) ή (γ) Ασφάλεια Πληροφοριών (Information Security). Κανένα από αυτά δεν αναφέρεται ρητά στην προστασία κρίσιμων υποδομών και στο συσχετισμό της με την ασφάλεια. Το επίπεδο ανάλυσης διαφέρει για κάθε ΓΥ, καθώς άλλα είναι συνοπτικά και αλλά εξαιρετικά λεπτομερή στη σχετική γνωστική περιοχή στην οποία εστιάζουν. Επίσης, τα περισσότερα επιλέγουν συγκεκριμένα θέματα προς μελέτη τα οποία αξιολογούν ως πιο σημαντικά, γεγονός που παρατηρείται από τις διαφοροποιήσεις μεταξύ τους, ακόμα και όταν εστιάζουν σε συγγενείς περιοχές. Τα περισσότερα ακολουθούν ένα συνήθη τρόπο κατηγοριοποίησης σε ενότητες και υπο-ενότητες, ενώ φτάνουν έως δεύτερο επίπεδο ανάλυσης. Ενδιαφέροντα χαρακτηριστικά τα οποία εντοπίστηκαν και διαφοροποιούν Παράρτημα Δ : Δημοσιεύσεις και αναφορές 61

77 τα γνωστικά υπόβαθρα είναι ο συσχετισμός με υπάρχοντα μαθήματα ασφάλειας, η συμπλήρωσή τους με εκπαιδευτικό υλικό μελέτης, η εις βάθος ανάλυση των υποενοτήτων ή η παροχή ενδεικτικής ακολουθίας για διδασκαλία και η καταγραφή προαπαιτούμενων γνώσεων για την παρακολούθηση κάποιας ενότητας. 3.2 Στόχος και Μέθοδος ανάπτυξης Στην ενότητα αυτή περιγράφονται αναλυτικά ο στόχος της παρούσης προσέγγισης και τα βήματα τα οποία ακολουθήθηκαν για να μορφοποιηθεί το ΓΥ. Αρχικά, συζητούμε για τη διεπιστημονικότητα του πεδίου της ΑΠΣ και ΠΚΥ, που είναι καθοριστικό στοιχείο για την προσέγγιση αυτή. Έπειτα, προσδιορίζουμε σαφώς τη θεματολογία και τους προσδοκώμενους αποδέκτες του ΓΥ. Τέλος, περιγράφουμε αναλυτικά όλα τα στάδια τα οποία ακολουθήσαμε, ώστε να τεκμηριώνεται ο τρόπος δημιουργίας του Διεπιστημονικότητα Όπως αναφέρει και η [Στουγιάννου, 2006], η ενσωμάτωση και η διδασκαλία της ΑΠΣ και ΠΚΥ σε ένα πρόγραμμα σπουδών αναδεικνύει την έννοια της διεπιστημονικότητας. Ο διεπιστημονικός χαρακτήρας της επιστημονικής αυτής περιοχές επισημαίνεται από τους [Wood, 2004; Gritzalis et al., 2005; von Solms, 2001]. Οι [Gritzalis et al., 2005] αναλύουν διεξοδικά τη συσχέτιση της Ασφάλειας με άλλες επιστήμες και αναδεικνύουν υπάρχουσες προσπάθειες για να συνδυάσουν τις τεχνικές και κοινωνικές προεκτάσεις της ασφάλειας, καθώς και τους υπάρχοντες περιορισμούς που τίθενται από το περιβάλλον εφαρμογής (context), όπως η νομοθεσία και το κανονιστικό και ρυθμιστικό πλαίσιο. Πιο συγκεκριμένα, προτείνουν η εκπαίδευση να ακολουθεί μια γνωσιακή διαδρομή (knowledge path), η οποία είναι εμπλουτισμένη με μαθήματα από άλλες επιστήμες, γεγονός που επιτρέπει στο διδασκόμενο να επιτύχει μια σειρά από γνωσιακά επίπεδα. Η προσέγγιση αυτή εμφανίζει ομοιότητες και με το ΓΥ των [Dark and Davis, 2002], το οποίο συσχετίζει διδακτικές ενότητες με τον τύπο γνώσης που αποκτάται (βλ. ενότητα 3.1.2). Πιο συγκεκριμένα, υιοθετείται το μοντέλο διεπιστημονικής μάθησης (Structural Model to Interdisciplinary Learning) των [Ivanitskaya et al., 2002], το οποίο προσδιορίζει τέσσερα επίπεδα γνωσιακής ανάπτυξης: Μονοεπιστημονικότητα (Uni-disciplinary level): Ο διδασκόμενος εστιάζει μόνο στην επιστήμη της Ασφάλειας και αποκτά δηλωτική και διαδικαστική γνώση στο συγκεκριμένο πεδίο. Πολυεπιστημονικότητα (Multi-disciplinary level): Ο διδασκόμενος αποκτά γνώση από άλλες επιστήμες αλλά δεν τις συνδυάζει. Αποκτά δηλωτική και διαδικαστική γνώση σε περισσότερα του ενός πεδίου και αναπτύσσει πολύεπιστημονική σκέψη. Διεπιστημονικότητα (Inter-disciplinary level): Ο διδασκόμενος ενσωματώνει και συνδυάζει γνώσεις από πολλαπλά γνωστικά αντικείμενα γύρω από ένα θέμα μελέτης. Αναπτύσσει κριτική σκέψη και διαπιστώνει τις δυνατότητες και περιορισμούς που προσφέρει κάθε επιστημονική περιοχή. Μετα-επιστημονικότητα (Trans-disciplinary level): Ο διδασκόμενος δημιουργεί μια γνωσιακή υποδομή η οποία ενσωματώνει ερμηνευτικά εργαλεία (μεθοδολογίες, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 62

78 θεωρίες, παραδείγματα (paradigms), έννοιες κλπ.) από πολλαπλές επιστήμες. Χρησιμοποιεί μετα-γνωσιακές δεξιότητες, δύναται να αξιολογήσει τις δικούς του συλλογισμούς και εφαρμόζει διεπιστημονική γνώση σε νέα προβλήματα. Το πρώτο επίπεδο αποκτάται μελετώντας μαθήματα σχετικά με την ασφάλεια, π.χ. Κρυπτογραφία. Αν ο μαθητής εκτεθεί και σε έννοιες Κοινωνιολογίας, με στόχο να κατανοήσει το περιβάλλον εφαρμογής μέτρων ασφαλείας, τότε συνθέτει πολύεπιστημονική σκέψη. Αυτό σημαίνει ότι αποκτά γνώσεις σε πολλαπλά πεδία αλλά δεν τις συνδυάζει. Η διεπιστημονική ενοποίηση προκύπτει όταν μελετά ένα σύνθετο θέμα, όπως αυτό της Εμπιστοσύνης, όπου καλείται να συνδυάσει τις γνώσεις από τα δύο πεδία για να συνθέσει τη δική του γνωσιακή δομή για το συγκεκριμένο πρόβλημα. Το τελευταίο ανώτερο στάδιο επιτυγχάνεται όταν ο μαθητής εφαρμόσει τις γνωσιακές δομές που έχει συνθέσει για την ολιστική επίλυση νέων προβλημάτων, π.χ. στο πεδίο της ηλεκτρονικής δημοκρατίας (e-democracy). Για τη δημιουργία του συγκεκριμένου ΓΥ, έγινε προσπάθεια σε κάθε στάδιο ανάπτυξής του, ώστε η σύνθεση του περιεχομένου του να επεκταθεί και να συμπεριλάβει και αντικείμενα από συγγενείς επιστημονικές περιοχές, όπως η Νομική, η Διοίκηση, η Ψυχολογία, η Κοινωνιολογία και οι Πολιτικές Επιστήμες. Η παραδοχή για αυτή την επιλογή είναι ότι οι διαφορετικές επιστήμες όχι μόνο παράγουν διαφορετικές τεχνολογίες και προϊόντα, αλλά και διαφορετικές αντιλήψεις του φυσικού κόσμου. Ο συνδυασμός αυτών των διαφορετικών κοσμοθεωριών εμπλουτίζει τη γνωστική βάση των επιστημόνων και τους δίνει το δικαίωμα να προσεγγίσουν τα προβλήματά τους με διαφορετικούς εναλλακτικούς τρόπους [Gritzalis et al., 2005]. Εικόνα 14: Τα επίπεδα μιας διεπιστημονικής διεργασίας μάθησης Όπως αναφέρει και η [Καρύδα, 2005], η ΑΠΣ είναι κάτι πολύ ευρύτερο από μια επισκόπηση των λεπτομερειών των τεχνικών ρυθμίσεων (technical configuration) των πληροφοριακών πόρων [ ] Τόσο η ακαδημαϊκή έρευνα όσο και η εμπειρία έχουν δείξει ότι η θεώρηση ενός αριθμού διαστάσεων ανταποκρίνεται πιο πιστά στην πραγματικότητα και επομένως ο συνδυασμός των πληροφοριών ασφάλειας και η Παράρτημα Δ : Δημοσιεύσεις και αναφορές 63

79 συστηματική ενσωμάτωσή τους σε ένα πολυσυλλεκτικό πλαίσιο που στηρίζεται στη γνώση είναι επιτακτική και θα πρέπει να ληφθεί σοβαρά υπόψη. Πίνακας 18: Πολυδιάστατος χαρακτήρας της Ασφάλειας Διαστάσεις της Ασφάλειας Πληροφοριακών Συστημάτων Στρατηγική διάσταση (Strategic/Corporate Governance Dimension). Οργανωσιακή διάσταση (Governance/Organisational Dimension). Διάσταση της πολιτικής (Policy Dimension). Διάσταση των βέλτιστων πρακτικών (Best Practice Dimension). Διάσταση της ηθικής (Ethical Dimension). Διάσταση της πιστοποίησης (Certification Dimension). Νομική διάσταση (Legal dimension). Ασφαλιστική διάσταση (Insurance Dimension). Ανθρώπινη διάσταση (Personnel/Human Dimension). Διάσταση της ενημερότητας (Awareness Dimension). Τεχνική διάσταση (Technical Dimension). Ποσοτική διάσταση (Measurement/Metrics Dimension). Διάσταση του ελέγχου (Audit Dimension). Εικόνα 15: Αλληλεξάρτηση των Διαστάσεων της Διαχείρισης Ασφάλειας Την ίδια άποψη ενστερνίζεται και ο [von Solms, 2001], ο οποίος προχωρεί στην ανάλυση της ΑΠΣ ως τον συνδυασμό δεκατριών διαστάσεων (βλ. Πίνακας 18). Επιπρόσθετα, ο [Zuccato, 2005] υιοθετεί ένα υποσύνολο αυτών και παραθέτει σχηματικά πως εξαρτώνται οι επιμέρους διαστάσεις της ΑΠΣ (βλ. Εικόνα 15). Παρατηρούμε ότι η εξέταση της ασφάλειας, και κατ επέκταση της ΠΚΥ, παρουσιάζεται ως ένα πλέγμα από αλληλεξαρτώμενες διαστάσεις, οι οποίες όμως απαιτούν τη μελέτη πολλαπλών επιστημών (disciplines). Χαρακτηριστικά παραδείγματα αυτών είναι η Παράρτημα Δ : Δημοσιεύσεις και αναφορές 64

80 εξέταση της ηθικής και ανθρώπινης διάστασης ή της νομικής διάστασης της ΑΠΣ που απαιτεί την αξιοποίηση γνώσεων από τις επιστήμες της Ψυχολογίας, Κοινωνιολογίας και της Νομικής Θεματολογία - Στόχευση Όπως αναφέραμε και στην εισαγωγή του κεφαλαίου, το συγκεκριμένο ΓΥ οριοθετεί και συνδυάζει δύο στενά εξαρτώμενα επιστημονικά πεδία, αυτά της Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμών Υποδομών. Ανάλογα ΓΥ που να καλύπτουν και τα δύο πεδία, και ειδικότερα την ΠΚΥ, δεν απαντώνται μέχρι πρότινος στη βιβλιογραφία. Όπως είδαμε και στις προηγούμενες ενότητες, τα υπάρχοντα ΓΥ εστιάζουν αποκλειστικά στην περιγραφή του πεδίου της ασφάλειας ή στην αναλυτική περιγραφή επιμέρους θεμάτων ή διαστάσεων αυτής. Βασικός στόχος αυτού του ΓΥ είναι η εννοιολογική θεμελίωση και κατανόηση της ΑΠΣ και ΠΚΥ για τον εντοπισμό και την κατηγοριοποίηση σχετικών ερευνητικών περιοχών. Αυτό απαιτεί προϋπόθεση για την περαιτέρω μελέτη της ΠΚΥ, αλλά και ειδικότερα, της εκτίμησης επικινδυνότητας όταν αναφερόμαστε σε κρίσιμες υποδομές. Πιο συγκεκριμένα το ΓΥ αυτό εμπεριέχει και μια επιπλέον υπο-ενότητα (domain 10) που αναφέρεται ρητά στην ΠΚΥ, η οποία εμπεριέχει θέματα τα οποία αναφέρονται αμιγώς στην ΠΚΥ και δεν μελετώνται υπό αυτή την οπτική στις άλλες υπο-ενότητες. Παράλληλα, ο τρόπος παρουσίασης του ΓΥ, επιτρέπει την απεικόνιση των διασυνδέσεων μεταξύ των επιμέρους ενοτήτων, οπότε είναι εμφανής η αλληλεξάρτηση της ΠΚΥ με την ΑΠΣ. Θα πρέπει να επισημανθεί ότι η ΠΚΥ είναι ευρύτερη αυτής της υπο-ενότητας και εξετάζει και θέματα που περιγράφονται στις άλλες υπο-ένοτητες. Η μελέτη της συγκεκριμένης ενότητας δεν μπορεί να γίνει απομονωμένα από τις υπόλοιπες, καθώς αυτές απαιτούν τη βάση για αυτή. Εκτός της εννοιολογικής και ερευνητικής θεμελίωσης της περιοχής, το ΓΥ έχει σχεδιασθεί και με γνώμονα να χρησιμοποιηθεί στην ακαδημαϊκή εκπαίδευση, τόσο σε προπτυχιακό και μεταπτυχιακό επίπεδο. Αποτελεί οδηγό για τη δημιουργία μαθημάτων και για το σχεδιασμό προγραμμάτων σπουδών. Πιο συγκεκριμένα, δύναται και έχει αξιοποιηθεί για την επιλογή θεματικών ενοτήτων διδασκαλίας σε προπτυχιακά μαθήματα ασφάλειας 18, αλλά και για το σχεδιασμό εργαστηρίου ΑΠΣ και ΠΚΥ [Λιβέρη, 2009]. Καθώς, κατηγοριοποιεί όλα τα θέματα και της περιοχές έρευνας, μπορεί να αξιοποιηθεί και ως μέθοδος κατηγοριοποίησης των επιμέρους επαγγελματικών ειδικοτήτων στο χώρο. Αναλύοντας το ΓΥ σε υψηλό επίπεδο ανάλυσης, μπορούν να εντοπιστούν οι περιοχές εξειδίκευσης των επαγγελματιών του χώρου και η κωδικοποίηση αυτών. Η μελέτη των πιο αναλυτικών επιπέδων του ΓΥ επιτρέπει τον εντοπισμό των γνώσεων που απαιτούνται για μια συγκεκριμένη ειδικότητα (π.χ. ειδικός σε ασφάλεια δικτύων, ειδικός σε προστασία κρίσιμων υποδομών κ.ο.κ.). 3.3 Μέθοδος Ανάπτυξης Γνωστικού Υπόβαθρου Η ανάπτυξη του ΓΥ έγινε με μεθοδικό τρόπο και είναι προϊόν πολλαπλών σταδίων επεξεργασίας. Αυτό οφείλεται στο γεγονός ότι το πεδίο της Ασφάλειας Πληροφοριών 18 Ασφάλεια Πληροφοριακών Συστημάτων, Οικονομικό Πανεπιστήμιο Αθηνών (Ακαδ. Έτος ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 65

81 και Προστασίας Κρίσιμών Υποδομών εξελίσσεται συνεχώς, αλλά και στο γεγονός ότι έγινε προσπάθεια για συνεχείς βελτιώσεις και διόρθωση πιθανών ελλείψεων που εντοπίστηκαν. Ως εκ τούτου προέκυψαν διαδοχικές εκδόσεις του προτεινόμενου ΓΥ. Μια πρώτη συνοπτική έκδοσή του περιγράφεται από τους [Theoharidou and Gritzalis, 2007], ενώ η αναλυτική και πλήρης έκδοση της πρώτης φάσης εργασίας παρουσιάζεται στο [Theoharidou et al., 2007]. Η τελική, πιο εκλεπτυσμένη και διευρυμένη μορφή του προέκυψε από μια δεύτερη φάση επεξεργασίας των θεματικών ενοτήτων [Theoharidou et al., 2008]. Ένα κύριο πρόβλημα κατά τη δημιουργία γνωστικών υποβάθρων ή προγραμμάτων σπουδών είναι ότι αυτά αντικατοπτρίζουν την οπτική και τη γνώμη των δημιουργών τους. Όπως αναφέρθηκε και παραπάνω, καταβάλαμε προσπάθεια το προτεινόμενο ΓΥ να αντικατοπτρίζει τις σύγχρονες επιτάσεις και, κυρίως, να προκύπτει με βάση συγκεκριμένα μεθοδολογικά βήματα και φάσεις εργασίας που θα τεκμηριώνουν την επιλογή του περιεχομένου και τη διάρθρωσή του. Οι φάσεις εργασίες και τα βήματα που ακολουθηθήκαν ώστε να προκύψει η τελική έκδοση του γνωστικού υποβάθρου περιγράφονται αναλυτικά στις επόμενες ενότητες η Φάση: Δημιουργία Αρχικού Γνωστικού Υπόβαθρου Η φάση αυτή αποτελεί την πρώτη απόπειρα σχεδιασμού ενός διεπιστημονικού γνωστικού υποβάθρου στο πεδίο της ΑΠΣ και ΠΚΥ. Όπως σε κάθε στάδιο δημιουργίας του ΓΥ, ακολουθήθηκαν μια σειρά από επιμέρους φάσεις εργασίας: Φάση Εργασίας 1.1: Μελέτη υπαρχουσών προσεγγίσεων Στόχος αυτού του βήματος ήταν ο εντοπισμός των τρεχουσών οπτικών στο συγκεκριμένο θέμα, τόσο από το χώρο της βιομηχανίας όσο και τον ακαδημαϊκό χώρο. Για το σκοπό αυτό εκπονήθηκαν δύο μελέτες: η πρώτη αφορούσε την εξέταση της τρέχουσας πρακτικής όπως αυτή διαφαίνεται σε προγράμματα σπουδών και μαθήματα τα οποία σχετίζονται με τις ΤΠΕ, και η δεύτερη είχε ως σκοπό να εξετάσει την τρέχουσα ζήτηση επαγγελματιών ασφάλειας και συγκεκριμένα ποιες δεξιότητες απαιτούνται για αυτή την ειδικότητα. (α). Μελέτη τρεχουσών προγραμμάτων σπουδών και μαθημάτων Καθώς η ασφάλεια πληροφοριών και προστασία κρίσιμων υποδομών αντιμετωπίζεται διαφορετικά στα υπάρχοντα προγράμματα σπουδών. Για αυτό το λόγο επιλέχθησαν πανεπιστημιακά προγράμματα σπουδών τα οποία σχετίζονται με το χώρο των ΤΠΕ. Πιο συγκεκριμένα, συμπεριλήφθησαν στο δείγμα προπτυχιακά και μεταπτυχιακά προγράμματα σπουδών που καλύπτουν τις ακόλουθες κατευθύνσεις: Επιστήμη Υπολογιστών (Computer Science), Πληροφοριακά Συστήματα (Information Systems), Διαχείριση (Management), Μηχανική Ηλεκτρονικών Υπολογιστών (Engineering), Διοίκηση Επιχειρήσεων (Business) και Νομική (Law). Τα προγράμματα αυτά είτε προσφέρουν κάποιο τίτλο σπουδών σχετικό με την Ασφάλεια ή παρέχουν ένα ή περισσότερα μαθήματα σχετικά με το αντικείμενο. Παράλληλα, δόθηκε σημασία στη γεωγραφική κάλυψη ώστε να καταγραφούν οι παγκόσμιες συνθήκες σε σχέση με το θέμα. Σύμφωνα με τα δύο κριτήρια που προαναφέρθηκαν, το περιβάλλον εφαρμογής της έρευνάς μας καλύφθηκε με την εξέταση εκατόν-τριάντα-πέντε (135) συνολικά Παράρτημα Δ : Δημοσιεύσεις και αναφορές 66

82 ακαδημαϊκών ιδρυμάτων που βρίσκονται διασκορπισμένα σε όλο τον κόσμο. Η γεωγραφική κατανομή ήταν Αφρική (10), Ασία (10), Αυστραλία (10), Ευρώπη (53), και Αμερική (44). Το δείγμα επιλέχθηκε με βάση το ηλεκτρονικά διαθέσιμο υλικό των προγραμμάτων σπουδών και των μαθημάτων τους. Βρέθηκαν δεκαπέντε (15) προπτυχιακά και σαράντα πέντε (45) μεταπτυχιακά μαθήματα που προσφέρουν τίτλους σπουδών σχετικούς με το πεδίο. Τα περισσότερα από αυτά λειτουργούν υπό την εποπτεία ακαδημαϊκών τμημάτων της επιστήμης των υπολογιστών ή της τεχνολογίας υπολογιστών. Σε μεταπτυχιακό επίπεδο, συχνό προαπαιτούμενο είναι η κατοχή προπτυχιακού τίτλου σπουδών επιστήμης των υπολογιστών, ηλεκτρολόγου μηχανικού ή μηχανικού υπολογιστών, και πληροφοριακών συστημάτων. Αρκετά προγράμματα προσφέρουν μαθήματα σχετικά με την Ασφάλεια, χωρίς να παρέχουν κάποιο παρεμφερές πτυχίο. Σε αυτές τις περιπτώσεις τα μαθήματα που προσφέρονται είναι ολιγάριθμα και προαιρετικής φύσης. Στο πίνακα που ακολουθεί, συνοψίζονται τα συνήθη περιεχόμενα των μαθημάτων ασφάλειας που εντοπίστηκαν, διαιρεμένα σε επτά (7) κατηγορίες [Theoharidou and Gritzalis, 2007]. Πίνακας 19: Περιεχόμενο μαθημάτων ασφάλειας Τύπος Θέματα Μαθήματος Access control & privacy Risk & attacks Cryptography Networks Security design Business Ethics & law Identification, authentication and authentication systems, access control, authorization, anonymity, and privacy Attacks, vulnerabilities, risks, intrusion detection, malicious software, tests and audits, safeguards, and intrusion handling Applied cryptography, digital signatures and certifications, key management, and public-key infrastructures Security theory, protocols and algorithms of networks, and firewalls Computer systems security design Business continuity planning Ethical and legal issues (β). Μελέτη για τον εντοπισμό των επαγγελματικών δεξιοτήτων που απαιτούνται Κατά τη φάση αυτή εντοπίστηκε ποια είναι η τρέχουσα ζήτηση σε εξειδίκευση στην ασφάλεια, με στόχο τον προσδιορισμό των απαιτούμενων δεξιοτήτων που αναμένονται από ένα μελλοντικό επαγγελματία. Για το σκοπό συμβουλευτήκαμε την πρωτοβουλία "Career Space Consortium" 19, η οποία αποτελείται τον οργανισμό European Information, Communications and Consumer Electronics Industry Technology Association (EICTA) και έντεκα (11) μεγάλες εταιρείες που εξειδικεύονται στις ΤΠΕ 20. Υποστηρίζεται από την ΕΕ, πανευρωπαϊκές οργανώσεις για τις ΤΠΕ, καθώς και περί τα είκοσι πέντε (25) πανεπιστημιακά ιδρύματα της Ευρώπης (Τελευταία προσπέλαση ) 20 Οι εταιρείες που συμμετέχουν είναι οι εξής: BT, Cisco Systems, IBM Europe, Intel, Microsoft Europe, Nokia, Nortel Networks, Philips Semiconductors, Siemens AG, Telefónica S.A και Thales. 21 Η πρωτοβουλία Career Space υποστηρίζεται από την ευρωπαϊκή ένωση (Directorates General Education & Culture, Enterprise and Employment), διάφορους φορείς και οργανισμούς, όπως EUREL (Convention of National Societies of Electrical Engineers in Europe), CEN/ISSS (European standardisation body for the information society), CEDEFOP (European Centre for the Development of Vocational Learning), Παράρτημα Δ : Δημοσιεύσεις και αναφορές 67

83 Στόχος του ήταν ο προσδιορισμός συγκεκριμένων γενικών προφίλ επαγγελματιών στις ΤΠΕ (Generic Skills Profiles for ICT professionals 22 ) και η παροχή οδηγιών για τη δημιουργία προγραμμάτων σπουδών που ανταποκρίνονται στις απαιτήσεις και των επιχειρήσεων 23. Συμβουλευτήκαμε το διαθέσιμο ηλεκτρονικά υλικό που παρέχεται από το Career Space Consortium (CSC; το οποίο όμως δεν προσδιορίζει ένα προφίλ για τον επαγγελματία της ΑΠΣ και ΠΚΥ. Συνεπώς, από τα υπάρχοντα προφίλ επαγγελματιών επιλέξαμε αυτά που σχετίζονται με το χώρο της Ασφάλειας. Για αυτό το σκοπό εντοπίσαμε σχετικές περιοχές ΤΠΕ, όπως αυτές προέκυψαν από την προηγούμενη μελέτη των μαθημάτων ασφάλειας. Οι περιοχές αυτές περιλαμβάνουν: integration and test engineering, systems, data communications engineering, digital signal processing (DSP) application design, technical support, communication network design, software and application development, software architecture and design, research and technology development, ICT management, IT business consultancy, και ICT project management. Μελετήσαμε τις δεξιότητες όπως αυτές προκύπτουν από τις παραπάνω κατηγορίες ειδικοτήτων. Παράλληλα, το σύνολο των δεξιοτήτων εμπλουτίστηκε και με μια σύντομη μελέτη αγγελιών εργασίας που περιέγραφαν ειδικότητες ασφάλειας και ήταν διαθέσιμες ηλεκτρονικά [Στουγιάννου, 2006]. Ο πίνακας που ακολουθεί συγκεντρώνει τις δεξιότητες που εντοπίσαμε ως απαιτούμενες για τον επαγγελματία της ασφάλειας. Πίνακας 20: Δεξιότητες επαγγελματιών ασφάλειας Κατηγορία Δεξιότητες Σχετικές με τις ΤΠΕ Networks, technology and computer engineering, systems design and architecture, programming, software development, mathematics, statistics, project management, business strategy and requirements analysis, testing, basic security skills, technical documentation, system management, quality καθώς και 25 πανεπιστήμια: The University of the Aegean (Greece); Aristotle University of Thessaloniki (Greece); Universidad Carlos lll de Madrid (Spain); Technical University of Denmark; Fachlochschule fur Technik und Wirtschaft Berlin (Germany); Institut National des Telecommunications (France); L Institut Superieure d Electronique du Nord, (France); Linkoping University (Sweden); Ecole National Superieurer d Informatique et de Mathematiques Appliquees (France); Universitat Polytecnica de Catalunya (Spain); L Insitut National des Sciences Appliquees de Lyon (France), L Union des Industries Metallurgiques et Minieres (France); Universidad Politecnica de Madrid (Spain); University of Oulu (Finland); Universitat Paderborn (Germany); Technical University (Italy); Universidade do Porto (Portugal); Trinity College (Ireland), Technical University (Austria); Joannes Kepler University (Austria), University of Manchester (UK); University of Reading (UK); Universitat Karlsruhe (Germany); Fachhochschule (Germany); University of York (UK). 22 Career Space. Generic ICT skills profiles: future skills for tomorrow's world, Luxembourg: CEDEFOP, Career Space. Curriculum development guidelines/new ICT curricula for the 21st century: designing tomorrow's education, Luxembourg: CEDEFOP, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 68

84 Σχετικές με την Ασφάλεια Κοινωνικές και Ατομικές assurance, and evaluation and configuration methodologies. Information security and human computer interaction, computer forensics, database security and data mining, operation systems security, security architecture, malicious software, Internet and cybersecurity, incident handling, hacking, cryptography, biometric techniques, smart cards, auditing, data and infrastructure protection, and risk management. Leadership, ethics, analytical and conceptual thinking, perspicacity, creative thought, knowing one s limits, professional attitude, communication, technical orientation and interest, customer orientation, strategy and planning, writing and presentation skills, efficiency and quality, and applying knowledge. Φάση Εργασίας 1.2: Επιλογή δομής και περιεχομένου Μετά την ολοκλήρωση των παραπάνω μελετών, ορίσαμε (α) τη δομή και (β) το περιεχόμενο του γνωστικού υποβάθρου. Αρχικά, επιλέξαμε να ακολουθήσουμε την τρέχουσα πρακτική όπου μια επιστημονική περιοχή αναλύεται σε ένα πρώτο επίπεδο σε γενικές ενότητες οι οποίες αντιστοιχούν στις κύριες θεματικές της υπο-περιοχές. Αυτές μπορούν στη συνέχεια να αναλυθούν περαιτέρω, αποτυπώνοντας είτε σχηματικά είτε περιγραφικά όλες τις έννοιες που μελετούνται στη συγκεκριμένη γνωστική περιοχή. Έπειτα, εντοπίσαμε τις επιστημονικές περιοχές που σχετίζονται με την ΑΠΣ και ΠΚΥ. Οι Ερευνητικές Περιοχές (Disciplines) [von Solms, 2001] που χρησιμοποιούμε και εξετάζουμε για να φτιάξουμε και να αναπτύξουμε το ΓΥ υπό το πρίσμα της διεπιστημονικότητας είναι οι εξής επτά: 1. Επιστήμη Υπολογιστών (Computer Science) 2. Μηχανική Υπολογιστών (Computer Engineering) 3. Νομική (Law) 4. Κοινωνιολογία/ Εγκληματολογία 5. Ηθική (Ethics)/ Ψυχολογία 6. Διοίκηση Επιχειρήσεων και Πληροφοριακών Συστημάτων (Business and Information Systems Management) 7. Διδακτική Παράλληλα, προσδιορίσαμε ποια είναι η προαπαιτούμενη γνώση από άλλες επιστήμες, η οποία απαιτείται να κατέχει ο διδασκόμενος και η οποία προέρχεται από τρεις επιστημονικές περιοχές: 1. Επιστήμη Υπολογιστών (Computer Science) και Τηλεπικοινωνιών (Telecommunications) 2. Μηχανική Ηλεκτρονικών Υπολογιστών (Computer Engineering) 3. Μαθηματικά (Mathematics) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 69

85 Στο παρακάτω σχήμα παρουσιάζεται το πλαίσιο ανάπτυξης και εφαρμογής του γνωστικού υποβάθρου, σχεδιασμένο ώστε να καλύπτει τις ανάγκες της ακαδημίας, αλλά και της βιομηχανίας. Αγορά Εργασίας (Βιομηχανία) Δεξιότητες των Επαγγελματιών Γνωστικό Υπόβαθρο Επιστήμη Υπολογιστών (Computer Science) Μηχανική Ηλεκτρονικών Υπολογιστών (Computer Engineering) Μαθηματικά (Mathematics) Προαπαιτούμενη Γνώση Εικόνα 16: Πλαίσιο ανάπτυξης και εφαρμογής του γνωστικού υποβάθρου Στο σχήμα αυτό υπάρχουν τέσσερα επίπεδα: 1) οι προαπαιτούμενες γνώσεις, 2) το ΓΥ (CBK) για την ΑΠΣ και ΠΚΥ, 3) οι δεξιότητες που αναπτύσσουν οι εκπαιδευόμενοι καθώς, και 4) το αποδεκτό σύνολο των δεξιοτήτων και γνώσεων, που ορίζει και απαιτεί η αγορά εργασίας, δηλαδή η βιομηχανία. Διαφαίνεται σχηματικά η απαίτηση του προγράμματος σπουδών που θα εξαχθεί με βάση τον προτεινόμενο ΓΥ να ευθυγραμμίζεται με τις απαιτούμενες δεξιότητες και γνώσεις από την αγορά εργασίας. Φάση Εργασίας 1.3: Δημιουργία ενοτήτων και προσθήκη περιεχομένου. Για τη δημιουργία του περιεχομένου, συνθέσαμε μια ιεραρχία από έννοιες και αντικείμενα μελέτης, όπως αυτά εντοπίστηκαν κατά την μελέτη προγραμμάτων σπουδών και μαθημάτων. Συγκεκριμένα, έγινε λεκτική ανάλυση όλων των διαθέσιμων πηγών (δηλαδή περιγραφές μαθημάτων και προγραμμάτων σπουδών) και σημειώθηκαν όλες οι έννοιες που μπορεί να αντιστοιχούν σε κάποιο θέμα μελέτης. Παραδείγματα εννοιών που εντοπίστηκαν ήταν ασύμμετρη κρυπτογραφία (asymmetric cryptography), υποδομή δημοσίου κλειδιού (PKI), ψηφιακά πιστοποιητικά (digital certificates) κ.ά. Υιοθετήθηκε μια από πάνω προς τα κάτω (top-down) προσέγγιση και η ιεραρχία αυτή συμπληρώθηκε σταδιακά με στοιχεία και έννοιες ανάλογα με το βαθμό λεπτομέρειας του κάθε θέματος. Μόλις είχαν εισαχθεί όλα τα στοιχεία, η ιεραρχία διασταυρώθηκε με τις δεξιότητες και γνώσεις που είχαν εντοπιστεί από τη δεύτερη μελέτη. Λόγω της μεγάλης λεπτομέρειας, κάποιες έννοιες όπου αναφέρονται σε παρεμφερή θέματα, ομαδοποιήθηκαν κάτω από μια κύρια έννοια η οποία αποτέλεσε τη Παράρτημα Δ : Δημοσιεύσεις και αναφορές 70

86 "ρίζα" στη δενδροειδή αυτή μορφή κατηγοριοποίησης (π.χ. Κρυπτογραφία). Το αποτέλεσμα ήταν ένα αρχικό ΓΥ με δέκα ενότητες, όπως φαίνεται στον πίνακα που ακολουθεί. Πίνακας 21: Αρχική μορφή του γνωστικού υπόβαθρου Ενότητες 1. Security architectures and models 2. Access control systems and methodologies 3. Cryptography 4. Network and telecommunications security 5. Operating system security 6. Program and application security 7. Database security 8. Business and management of information systems security 9. Physical security and critical infrastructure protection 10. Social, ethical, and legal considerations Σχηματικές αναπαραστάσεις των δέκα ενοτήτων μπορούν βρεθούν στο ΠΑΡΑΡΤΗΜΑ Α, αλλά και στις δύο σχετικές δημοσιεύσεις [Τheoharidou and Gritzalis, 2007], [Theoharidou et al., 2007]. Σημειώνεται ότι κάποιες έννοιες θέματα μελέτης μπορεί να περιλαμβάνονται σε περισσότερες της μίας ενότητες, ενώ κάθε μία από αυτές αναλύεται και σε δεύτερο επίπεδο, όπου διαφαίνεται από ποια επιστήμη προέρχεται το κάθε γνωστικό αντικείμενο η Φάση: Δημιουργία Αναθεωρημένου Γνωστικού Υπόβαθρου Μετά τη δημιουργία της αρχικής έκδοσης, διαπιστώθηκε ότι υπήρχαν κάποια σημεία που έχρηζαν βελτίωσης. Πιο συγκεκριμένα, το ΓΥ δεν αναλυόταν πλήρως σε τρίτο επίπεδο ανάλυσης, γεγονός που δεν επαρκούσε για την κατανόηση κάποιων από τις έννοιες-θέματα, αλλά και για την εφαρμογή του ΓΥ. Επίσης, λόγω του γεγονότος ότι το ΓΥ προέκυψε από τη λεξικολογική ανάλυση περιεχομένων μαθημάτων, προγραμμάτων σπουδών και δεξιοτήτων, οι έννοιες δεν εμφάνιζαν πάντα συνοχή ως προς την ονοματολογία. Άλλη παρατήρηση είναι ότι κάποιες θεματικές ενότητες εμφάνιζαν ελλείψεις ή δεν κατηγοριοποιούνταν με βέλτιστο τρόπο. Με βάση τις παραπάνω διαπιστώσεις, ακολουθήθηκε μια διαδικασία εμπλουτισμού και αναδιοργάνωσης του αρχικού γνωστικού υποβάθρου η οποία θα περιγραφεί στη συνέχεια. Ως αποτέλεσμα, η αναθεωρημένη έκδοση του γνωστικού υποβάθρου αναλύεται πλήρως μέχρι και σε τρίτο επίπεδο ανάλυσης. Οι υποενότητες του διαφοροποιούνται ως προς τη δομή αλλά και εμφανίζουν μεγαλύτερη λεπτομέρεια στην ανάλυσή τους, με όσο το δυνατόν γίνεται πιο ομοιόμορφο βαθμό λεπτομέρειας. Παράλληλα, το νέο ΓΥ προσδιορίζει σαφέστερα την προαπαιτούμενη γνώση, αλλά και συνθέτει μια ενδεικτική ακολουθία διδασκαλίας με βάση τους συσχετισμούς που υπάρχουν μεταξύ των επιμέρους θεματικών ενοτήτων. Πιο συγκεκριμένα, επειδή οι θεματικές ενότητες εμπεριέχουν υποενότητες και θέματα τα οποία είναι κοινά για δύο, τουλάχιστον, από αυτές, είναι σημαντικό να εντοπιστούν τέτοιου τύπου εξαρτήσεις. Αυτό σημαίνει ότι μια υποενότητα μπορεί να προαπαιτεί τη γνώση μιας άλλης για την κατανόησή της ή μια ενότητα να περιγράφει τη γενική προσέγγιση σε ένα θέμα (π.χ. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 71

87 ιδιωτικότητα) και η άλλη να ασχολείται με ένα συγκεκριμένο πεδίο εφαρμογής της έννοιας (πχ. ιδιωτικότητα στις κινητές και ασύρματες επικοινωνίες). Για να αναθεωρήσουμε το ΓΥ, ακολουθήσαμε τα εξής βήματα: Φάση Εργασίας 2.1: Επισκόπηση υπαρχόντων προγραμμάτων σπουδών Επειδή η κύρια στόχευση μας ήταν η ανάπτυξη γνωστικού υποβάθρου που στοχεύει στην ακαδημαϊκή εκπαίδευση, εξετάσαμε τριάντα (30) σχετικά ακαδημαϊκά προγράμματα σπουδών 24, όσον αφορά στη θεματολογία, στη στόχευση, ακαδημαϊκή ή βιομηχανική, και στην προαπαιτούμενη γνώση [Χηντάρα, 2008], [Theoharidou et al., 2008]. Η επισκόπηση κάλυπτε κυρίως υψηλής αναγνώρισης ακαδημαϊκά ιδρύματα της Ευρώπης και των Η.Π.Α., καθώς και κάποια λιγότερο αναγνωρισμένα τα οποία όμως εμφάνιζαν καινοτόμες δημοσιευμένες ιδέες σχετικά με προγράμματα σπουδών, μαθήματα ή εργαστήρια για ασφάλεια (όπως [Hjelmes and Wolthusen, 2006]). Άλλος καθοριστικός παράγοντας ήταν η πληροφορία σχετικά με μαθήματα και προγράμματα σπουδών να είναι διαθέσιμη ηλεκτρονικά. Στη συνέχεια παρουσιάζονται κάποια από τα ευρήματα της μελέτης αυτής, που παρείχαν ιδέες για το περιεχόμενο του γνωστικού υποβάθρου. Αρχικά, παρατηρήσαμε ότι στα προγράμματα σπουδών που αναλύσαμε, εμφανίζονται οι εξής έννοιες: Ασφάλεια Πληροφοριών (Information Security), Εξασφάλιση Πληροφοριών (Information Assurance), Ασφάλεια Πληροφοριακών Συστημάτων (Information System Security), Ασφάλεια Υπολογιστών (Computer Security), Δικτυακή και Τηλεπικοινωνιακή Ασφάλεια (Network and Telecommunication Security), Δικανική Πληροφορική (Computer Forensics), Φυσική Ασφάλεια και Προστασία Κρίσιμων Υποδομών (Physical Security and Critical Infrastructure Protection). Εκτός κάποιων εξειδικευμένων προγραμμάτων σε Προστασία Υποδομών και Φυσική Ασφάλεια, όλα συμπεριλάμβαναν, ή είχαν ως προαπαιτούμενα, μαθήματα από το πεδίο της Επιστήμης των Υπολογιστών. Τα μαθήματα που εμπεριέχουν σχεδόν όλα τα προγράμματα αφορούν στους παρακάτω τομείς: Οργάνωση Υπολογιστών Λειτουργικά Συστήματα Κατανεμημένα Συστήματα Βάσεις Δεδομένων Δίκτυα Υπολογιστών, Ασύρματα Δίκτυα και Επικοινωνίες 24 Ενδεικτικά παραδείγματα περιλαμβάνουν: Royal Holloway, University of London; Carnegie Mellon University; Pittsburg State University; University of California - Berkeley; Dublin City University; Royal Institute of Technology; University of Stockholm; Stanford University, κλπ. Οι ακόλουθες αξιολογήσεις λήφθηκαν υπόψη: (a) Quacquarelli Symond Nov. 2007, Top 50 Universities for Technology, 2007 ( (b) Institute of Higher Education, Shanghai Jiao Tong University, Academic Ranking of World Universities, 2007 ( Παράρτημα Δ : Δημοσιεύσεις και αναφορές 72

88 Προγραμματισμός Τεχνολογία Λογισμικού Μαθηματικά και Στατιστική των Υπολογιστών Διαδικτυακές Πολιτικές και Γλώσσες Προγραμματισμού, Ηλεκτρονικό Ταχυδρομείο Υπολογιστικά Συστήματα Ανάλυση Συστημάτων Όλα τα προγράμματα σπουδών εμπεριείχαν και ένα μάθημα σχετικό με τη Νομική Επιστήμη (Law) ή το κανονιστικό και ρυθμιστικό πλαίσιο (Legislation). Τα περισσότερα περιλάμβαναν ένα μάθημα σε Δικανική (Forensics) και Ηλεκτρονικό Έγκλημα (Computer Crime). Η Κρυπτογραφία (Cryptography) παίζει κυρίαρχο ρόλο σε όλα προγράμματα σπουδών, καθώς αυτά περιλαμβάνουν ένα ή περισσότερα μαθήματα εξειδικευμένα στο αντικείμενο. Ένα ενδιαφέρον εύρημα είναι ότι παρά το γεγονός ότι η ονοματολογία των προγραμμάτων σπουδών ή μαθημάτων ποικίλλει, για παράδειγμα Ασφάλεια Πληροφοριών (Information Security), Διασφάλιση Πληροφοριών (Information Assurance) ή Ασφάλεια Πληροφοριακών Συστημάτων (Information System Security), αυτά καλύπτουν ένα κοινό πυρήνα θεματικών ενοτήτων. Τα κοινά θέματα που εντοπίστηκαν στα προγράμματα σπουδών με την παραπάνω ονοματολογία (εξαιρουμένων των μαθημάτων της Επιστήμης Υπολογιστών, της Νομικής και της Κρυπτογραφίας) είναι τα εξής: Ψηφιακά Πνευματικά Δικαιώματα (Digital Intellectual Property) Διαχείριση Επικινδυνότητας (Risk Management) Ανίχνευση, Αντιμετώπιση και Ανάκαμψη από Επιθέσεις: εισβολές (intrusions), κακόβουλο λογισμικό (malicious software) ή επιθέσεις άρνησης εξυπηρέτησης (DoS) Πόλεμος της Πληροφορίας (Information Warfare) Απόκριση, Ανάκαμψη και Επιχειρηματική Συνέχεια από Καταστροφή (Business Continuity) Ταυτοποίηση και Αυθεντικοποίηση (Identification and Authentication) Ιδιωτικότητα, Ηθική, και Κυβερνο-τρομοκρατία (Privacy, Ethics and Cyber Terrorism) Ασφαλής Προγραμματισμός (Secure Programming) Κοινωνική Ψυχολογία (Social Psychology) Φυσική Ασφάλεια και Υποδομές (Physical Security and Infrastructures) Τα προγράμματα σπουδών που αναφέραμε παραπάνω υιοθετούν μια πιο επιχειρηματική προσέγγιση σε σχέση με αυτά που έχουν πιο έντονα τα στοιχεία της Επιστήμης των Υπολογιστών. Συγκεκριμένα, ένα πρόγραμμα σπουδών σε Ασφάλεια Υπολογιστών (Computer Security) δε έδινε έμφαση στις επιχειρηματικές απαιτήσεις, με εξαίρεση μαθήματα όπως η Ανάπτυξη Μικρών Επιχειρήσεων, και περιλάμβανε ένα πιο λεπτομερές υπόβαθρο σε Επιστήμη των Υπολογιστών με επιπλέον μαθήματα: Τεχνητή Νοημοσύνη Τεχνολογία Βάσεων Δεδομένων Αλγόριθμοι και Πολυπλοκότητα Θεωρία Υπολογιστικών Γλωσσών Παράρτημα Δ : Δημοσιεύσεις και αναφορές 73

89 Μεταγλωττιστές Νευρωνικά Δίκτυα Βιοπληροφορική Γραφικά Επίσης, υπάρχουν και προγράμματα σπουδών τα οποία εξειδικεύονται σε Δίκτυα και Τηλεπικοινωνίες (Network and Telecommunications Security) και συνδυάζουν την ασφάλεια με δικτυακά θέματα. Το γεγονός αυτό τονίζει τη σημαντικότητα και το εύρος του πεδίου αυτού. Κύριο χαρακτηριστικό των προγραμμάτων είναι ότι προϋποθέτουν ισχυρό τεχνολογικό υπόβαθρο και για αυτό, συχνά, διδάσκονται σε συνδυασμό με την Ασφάλεια Υπολογιστών. Και εδώ, εύλογα παρατηρείται η έντονη παρουσία μαθημάτων της Επιστήμης Υπολογιστών. Φυσικά, παρατηρούνται και πλήθος μαθημάτων που σχετίζονται με τα Δίκτυα. Τέλος, τα περισσότερα από αυτά προσπαθούν να ενσωματώσουν και την επιχειρηματική οπτική. Για το λόγο αυτό, περιλαμβάνουν και μαθήματα όπως Κοινωνική Ψυχολογία (Social Psychology), Επιχειρηματικές Δεξιότητες (Business Skills), ή Διοίκηση Επιχειρήσεων (Business Management). Αρκετά από τα πανεπιστήμια, που αναφέρονται παραπάνω, διαθέτουν προγράμματα που σχετίζονται με τη Δικανική Υπολογιστών (Forensics) και το Ηλεκτρονικό Έγκλημα (Computer Crime). Όπως και για την Ασφάλεια Δικτύων, και για αυτόν τον τομέα, παρατηρείται ότι έχει θεωρηθεί ως ένα πιο εξειδικευμένο θέμα και είναι τόσο ευρύ, ώστε να μελετάται ξεχωριστά και σε βάθος. Και σε αυτόν τον τομέα παρατηρούνται μαθήματα της Επιστήμης Υπολογιστών, αλλά δίνεται μεγαλύτερο βάρος σε μαθήματα σχετικά με τη Νομοθεσία και το Ηλεκτρονικό Έγκλημα. Ακόμα αρκετά βάρος δίνεται σε μαθήματα σχετικά με την Ασφάλεια Δικτύων. Παρακάτω αναφέρονται οι βασικότεροι τομείς που εξετάζονται στα προγράμματα αυτά: Αντιμετώπιση Εγκλήματος Υπολογιστών Έγκλημα-Ηλεκτρονικό Έγκλημα Έρευνα των Υπολογιστικών Εγκλημάτων Δικανική Έρευνα Μέθοδοι Έρευνας Συλλογή, Διαχείριση, Διατήρηση και Παρουσίαση Στοιχείων Διαχείριση Σκηνής Εγκλήματος και Προχωρημένες Ικανότητες Μαρτύρων Ψηφιακά Στοιχεία Επαναφορά Δεδομένων και Ανάλυση Βιομετρική και Σύγχρονοι Μέθοδοι Βιομετρικής Αυθεντικοποίησης Ανάλυση Εγκλήματος Εγκληματολογία Δικαιοσύνη Εγκληματιών Δικαιοσύνη και Κοινωνία Υπολογιστές, Νόμοι και Ηθική Αξίζει να παρατηρηθεί ακόμα ότι στα συγκεκριμένα προγράμματα υπάρχουν κάποια μαθήματα που αφορούν την επιχειρηματική πλευρά του τομέα αυτού και αυτά είναι: Επιχειρηματική Ευφυΐα και Κυβερνοπόλεμος Επιχειρηματικός Σχεδιασμός Ιστού Διαχείριση Επιχειρηματικού Έργου Επιχειρηματική Δικτυακή Ασφάλεια Ικανότητες Επιχειρηματικές και Επαγγελματικές Παράρτημα Δ : Δημοσιεύσεις και αναφορές 74

90 Επιχειρηματική Συνέχεια και Επαναφορά από Καταστροφή Η τελευταία κατηγορία προγραμμάτων αφορά στη Φυσική Ασφάλεια και Προστασία Κρίσιμων Υποδομών (Physical Security and Critical Infrastructure Protection). Στη μελέτη προγραμμάτων σχετικά με αυτό τον τομέα βρέθηκαν τα εξής προγράμματα : Αεροπορική Ασφάλεια (Aviation Security) Διαχείριση Δημόσιας Ασφάλειας (Public Safety Administration) Υπηρεσίες Ασφάλειας (Safety Services) Παρά το γεγονός ότι ο συγκεκριμένος τομέας είναι πολύ σημαντικός, και δε συμπεριλαμβάνεται, παρά ελάχιστα, στα υπόλοιπα προγράμματα, δε βρέθηκαν άλλες προσπάθειες εκτός αυτών των προγραμμάτων στα πανεπιστήμια που μελετήθηκαν. Το πρόγραμμα που αφορά στην Αεροπορική Ασφάλεια επιλέχθηκε για να μελετηθεί και να παρουσιαστεί σαν δείγμα τέτοιου προγράμματος, δεδομένου ότι οι μεταφορές αποτελούν τομέα κρίσιμων υποδομών. Τα μαθήματα που εμπεριέχει, κυρίως, αφορούν στην Ασφάλεια Αεροδρομίου και Αεροσκάφους και στη σχετική Νομοθεσία, όμως εμπεριέχει και μαθήματα που αφορούν γενικότερα την ΠΚΥ. Τα μαθήματα αυτά ενσωματώνονται στα μαθήματα που παρουσιάζονται παρακάτω και αφορούν και τα τρία προγράμματα: Επιστήμη Φωτιάς Εγκληματολογικές Διαδικασίες, Συλλογή Στοιχείων Χημεία Επικίνδυνων Υλικών Δικανική Χημεία Νόμοι και Διαχείριση Δημόσιας Προστασίας Κρίσιμη Σκέψη και Λήψη Αποφάσεων Ηθική, Ακεραιότητα και Κοινωνική Υπευθυνότητα Διαχείριση Κρίσης και Επικινδυνότητας Πρώτες Βοήθειες Ασφάλεια στο Γραφείο Παρατηρούμε, λοιπόν, ότι τα περισσότερα προγράμματα σπουδών εμπεριέχουν ένα κοινό κορμό θεματικών ενοτήτων και εμφανίζουν διαφοροποιήσεις σε πιο εξειδικευμένα θέματα, ανάλογα με τον προσανατολισμό τους. Η Προστασία Κρίσιμων Υποδομών, ενσωματώνεται ελάχιστα στα τρέχοντα προγράμματα σπουδών και συνήθως προσφέρει εξειδίκευση σε ένα συγκεκριμένο τομέα κρίσιμων υποδομών. Φάση Εργασίας 2.2: Δημιουργία αναθεωρημένης μορφής Όπως είδαμε στην προηγούμενη ενότητα, το αρχικό ΓΥ δημιουργήθηκε ως μια ιεραρχία από όρους/θέματα που σχετίζονται με την Ασφάλεια Πληροφοριών και Προστασία Κρίσιμων Υποδομών. Για τη δημιουργία της νέας έκδοσης χρησιμοποιήσαμε την υπάρχουσα δομή ως βάση. Η δομή αλλά και τα περιεχόμενα επανεξετάστηκαν στο σύνολο τους και διασταυρώθηκαν με τα επιπλέον θέματα/έννοιες τα οποία εντοπίστηκαν εξετάζοντας άλλα γνωστικά υπόβαθρα (βλ. ενότητα 3.1.2) καθώς και μαθήματα ή προγράμματα σπουδών. Το πρώτο επίπεδο ανάλυσης αναδιοργανώθηκε κατόπιν σύγκρισης με τις κατηγοριοποιήσεις των υπαρχόντων γνωστικών υπόβαθρων στο αντικείμενο, αλλά και με τις κατηγορίες μαθημάτων που εντοπίστηκαν στα προγράμματα σπουδών που μελετήθηκαν. Ως αποτέλεσμα της διαδικασίας αυτής, προέκυψε μια νέα δομή από δέκα (10) θεματικές ενότητες (domains), η οποία καλύπτει όλο το εύρος των θεμάτων που αναφέρονται στις υπάρχουσες προσεγγίσεις, ακόμα και αν η ονοματολογία που επιλέγεται ποικίλλει. Παρά το γεγονός ότι ο αριθμός των Παράρτημα Δ : Δημοσιεύσεις και αναφορές 75

91 θεματικών ενοτήτων παρέμεινε ο ίδιος, κάποιες ενότητες συγχωνεύτηκαν, μετονομάστηκαν ή προστέθηκαν νέες ενότητες. Στη συνέχεια ακολούθησε μια εις βάθος ανάλυση καθεμίας από τις θεματικές ενότητες. Για την αναδόμηση και τον εμπλουτισμό κάθε ενότητας χρησιμοποιήθηκαν σημαντικός αριθμός επιπλέον πηγών [Ξηντάρα, 2008], οι οποίες δεν είναι χρησιμοποιηθεί κατά τη δημιουργία της πρώτης έκδοσης: Ενδεικτική δομές από μαθήματα, οι περιγραφές των οποίων ήταν διαθέσιμες στο διαδίκτυο Εκπαιδευτικό υλικό, όπως σημειώσεις διαλέξεων, παρουσιάσεις κλπ. Εκπαιδευτικά βιβλία που αναφέρονται στα επιμέρους θέματα του γνωστικού υποβάθρου Δημοσιεύσεις που αναφέρονται σε επιμέρους θέματα ή στο σχεδιασμό σχετικών εργαστηρίων και μαθημάτων Οι ενότητες αναπτύχθηκαν μετά από τρεις διαδοχικές ανακυκλώσεις, κατά τις οποίες επανεξετάζονταν τα περιεχόμενα και ελέγχονται σε αντιπαραβολή με τις πηγές που προαναφέρθηκαν. Κατά την επιλογή των επιμέρους θεμάτων, το πρώτο κριτήριο ήταν να προστεθούν οι πιο συνηθισμένοι όροι οι οποίοι επαναλαμβάνονται σε όλα τα προγράμματα σπουδών και τα άλλα γνωστικά υπόβαθρα. Για την εκλέπτυνση συγκεκριμένων θεματικών περιοχών, προστέθηκαν στοιχεία από περιγραφές αντίστοιχων μαθημάτων, εκπαιδευτικών βιβλίων ή δημοσιεύσεων, τα οποία δεν απαντώνται σε όλα τα προγράμματα σπουδών, αλλά συνέβαλαν στην ανάλυση. Δεδομένου ότι είχαμε ορίσει το εύρος των θεμάτων του ΓΥ, ήταν σημαντική η αποφυγή της παράλειψης θεμάτων και εννοιών που εντοπίσαμε. Εξαίρεση σε αυτήν τη λογική, ήταν θέματα-έννοιες που είχαν ήδη συμπεριληφθεί με διαφορετική ονοματολογία ή που αποτελούσαν μέρος ενός πιο γενικού θέματος-έννοιας. Κατά τη διαδικασία αυτή, κάποιες από τις αλλαγές επηρέασαν και τη διαμόρφωση του πρώτου επιπέδου ανάλυσης, οπότε προέκυψε μια νέα κατηγοριοποίηση των κύριων θεματικών ενοτήτων. Η τελική μορφή του πρώτου επιπέδου ανάλυσης παρουσιάζεται στον πίνακα που ακολουθεί και αντιπαρατίθεται με την αρχική έκδοση του γνωστικού υποβάθρου (βλ. Πίνακας 22). Κάποιος παρατηρεί ότι το πρώτο επίπεδο διαμορφώθηκε ουσιαστικά ως η θεμελίωσηβάση του γνωστικού υποβάθρου. Στην ενότητα αυτή περιλαμβάνονται η προαπαιτούμενη γνώση, τα διάφορα Μοντέλα Ασφάλειας, που είναι η κύρια θεωρητική βάση του πεδίου, καθώς και η εννοιολογική θεμελίωση της επιστημονικής αυτής περιοχής, η οποία είναι απαραίτητη για την κατανόηση των εννοιών από τους διδασκόμενους, αλλά και για κάποιον που εφαρμόζει ένα πρόγραμμα σπουδών με βάση το συγκεκριμένο υπόβαθρο. Συνεπώς, η πρώτη ενότητα (domain) θεωρείται ως εισαγωγική. Η ενότητα της Αυθεντικοποίησης (Authentication) ομαδοποιήθηκε με τον Έλεγχο Πρόσβασης (Access Control), καθώς αυτός ο τρόπος διδασκαλίας ήταν ο πιο συνήθης στα περισσότερα προγράμματα σπουδών. Η Ασφάλεια Λειτουργικών Συστημάτων (Operating System Security) και η Ασφάλεια Προγραμμάτων και Εφαρμογών (Program and Application Security) συνδυάστηκαν σε μια θεματική ενότητα η οποία ονομάστηκε Ασφάλεια Λογισμικού (Software Security), καθώς εμφάνιζαν πολλά κοινά θέματα και ο όρος Λογισμικό αναφέρεται και στις δύο κατηγορίες. Το επιστημονικό πεδίο που έφερε τον τίτλο "Business and management of Παράρτημα Δ : Δημοσιεύσεις και αναφορές 76

92 information systems security"μετονομάστηκε σε έναν πιο ευρέως χρησιμοποιούμενο όρο, ενώ η Ψυχολογία (Psychology) ενοποιήθηκε με τα Κοινωνικά, Ηθικά και Νομικά ζητήματα (Social, Ethical and Legal Issues). Μια επιστημονική περιοχή η οποία αναδείχθηκε σε αυτό το στάδιο και αποτέλεσε ξεχωριστή ενότητα (domain) είναι η Δικανική Πληροφορική (Forensics), καθώς βρήκαμε ένα σημαντικό αριθμό προγραμμάτων σπουδών ή δημοσιεύσεων που εστιάζουν στο συγκεκριμένο θέμα [Yasinsac et al., 2003], [Wilson et al., 2007]. Πίνακας 22: Σύγκριση αρχικής και αναθεωρημένης έκδοσης γνωστικού υποβάθρου (1ο επίπεδο ανάλυσης) Αρχική έκδοση Αναθεωρημένη έκδοση 1. Security architectures & models 2. Access control systems & methodologies 1. Prerequisite Knowledge, Basic Terms & Security Models 3. Cryptography 3. Cryptography 4. Network & telecommunications security 2. Access Control & Authentication 4. Network, Web & Communications Security 5. Database security 5. Database security 6. Operating system security 7. Program & application security 8. Business & management of information systems security 9. Social, ethical & legal considerations 6. Software Security - 9. Forensics 10. Physical security & Critical Infrastructure Protection 7. Information System Security Management 8. Ethical, Social, Psychological & Legal Issues 10. Physical security & Critical Infrastructure Protection Παρά το γεγονός ότι οι περισσότερες ενότητες (domains) είναι παρόμοιες με αυτές της προηγούμενης έκδοσης, αυτό ισχύει μόνο για το πρώτο επίπεδο της ανάλυσης. Οι σημαντικότερες αλλαγές, οι οποίες περιλαμβάνουν προσθήκες, αναδιοργανώσεις, μετονομασία και προσθήκη λεπτομέρειας, εμφανίζονται καθαρά στα δύο επόμενα επίπεδα ανάλυσης. Το δεύτερο επίπεδο ανάλυσης παρουσιάζεται στην επόμενη ενότητα, ενώ το συνολικό ΓΥ (έως και τρίτο επίπεδο ανάλυσης) παρουσιάζεται στο ΠΑΡΑΡΤΗΜΑ Β. 3.4 Αναλυτική Παρουσίαση των Γνωστικών Ενοτήτων Υιοθετήσαμε τρία επίπεδα ανάλυσης, γιατί κάθε επίπεδο επιτρέπει την εξέταση της περιοχής με ολοένα και αυξανόμενο βάθος και λεπτομέρεια. Το πρώτο επίπεδο ανάλυσης κατηγοριοποιεί την περιοχή σε δέκα γνωστικές ενότητες (βλ. Πίνακας 20) και δίνει στον ενδιαφερόμενο μια αδρή εικόνα της περιοχής, καθώς μπορεί να εντοπίσει ποιες είναι οι κύριες ενότητες στις οποίες κατηγοριοποιείται η επιστημονική περιοχή. Μπορεί να συμβάλλει κατά την επιλογή εξειδικευμένων μαθημάτων σε κάποιο πρόγραμμα σπουδών. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 77

93 Στη συνέχεια, το δεύτερο επίπεδο (βλ. Πίνακας 22), που είναι η περαιτέρω κατηγοριοποίηση αυτών των ενοτήτων συμβάλλει στην κατανόηση των επιμέρους περιεχομένων σε κάθε ενότητα. Η πληροφορία αυτή ενδέχεται να μην αποτυπώνεται πλήρως από το όνομα της ενότητας (domain), είτε γιατί η ονοματολογία αυτών των όρων ποικίλλει ή γιατί η έννοια δεν είναι αρκετά πλούσια ώστε να αντικατοπτρίζει όλο το περιεχόμενο της συγκεκριμένης ενότητας. Το δεύτερο επίπεδο ανάλυσης μπορεί να συμβάλλει στον προσδιορισμό των επιμέρους διαλέξεων σε ένα μάθημα. Θεωρούμε ότι και τα δύο πρώτα επίπεδα θα μπορούσαν να αξιοποιηθούν για την κατηγοριοποίηση των ειδικοτήτων των επαγγελματιών στην Ασφάλεια Πληροφοριών και Προστασία Κρίσιμων Υποδομών, καθώς καλύπτουν όλες τις δυνατές περιοχές εξειδίκευσης. Είναι φανερό ότι όταν μελετούμε μια ευρεία επιστημονική περιοχή, όπως η ΑΠΣ και ΠΚΥ, υπάρχουν επιμέρους ζητήματα τα οποία εμφανίζουν συσχετίσεις. Εμφανίζονται, λοιπόν, περιπτώσεις όπου κάποια θέματα μελέτης μιας ενότητας έχουν ήδη συμπεριληφθεί και αναλυθεί σε κάποια άλλη. Για το λόγο αυτό, δίπλα στα θέματα αυτά υπάρχει παραπομπή στην αντίστοιχη σχετική ενότητα. Το θέμα συζητείται περαιτέρω στην Ενότητα 3.5.1, ενώ η αποτύπωση των συσχετίσεων αυτών βοηθά και στον εντοπισμό της αλληλουχίας που θα πρέπει να ακολουθηθεί κατά τη διδασκαλία και μελέτη της γνωστικής περιοχής (βλ. Ενότητα 3.5.2). Ο Πίνακας 22 εμπεριέχει δίπλα σε κάθε γνωστικό αντικείμενο που εντοπίζεται σε κάποια άλλη γνωστική ενότητα και τη σχετική αναφορά. Η αναφορά γίνεται σε πρώτο επίπεδο ανάλυσης (δηλ. παραπομπή σε μία άλλη ενότητα). Όταν εξετάζουμε το ΓΥ σε τρίτο επίπεδο ανάλυσης, οι παραπομπές αυτές είναι πιο λεπτομερείς και αναφέρονται σε συγκεκριμένες υπο-ενότητες (βλ. ΠΑΡΑΡΤΗΜΑ Β ). Εξετάζοντας δηλαδή τις αναλυτικές παραπομπές στο τρίτο επίπεδο, ο αναγνώστης μπορεί να εξακριβώσει πως προκύπτουν οι πιο συνοπτικές παραπομπές. Πίνακας 23: Προτεινόμενο Γνωστικό Υπόβαθρο (1 ο και 2 ο επίπεδο ανάλυσης) Domain 1: Prerequisite Knowledge, Basic Terms & Security Models Prerequisite Knowledge Security Terms Security Models Domain 2: Ethical, Social, Psychological & Legal Issues Privacy Copyright Ethics Training and Awareness Social Engineering Computer Crime Legal Issues Psychology Domain 3: Cryptography Ciphers Symmetric Cryptography Public Key Cryptography Quantum Cryptography Hash Functions Authentication (Domain 5) Digital Signatures Key Exchange and Management Παράρτημα Δ : Δημοσιεύσεις και αναφορές 78

94 Digital Certificates Public Key Infrastructure (PKI) Attacks and Cryptanalysis Patents and Standards (Domain 2) Legal Framework (Domain 2) Domain 4: Software Security Secure Life Cycle (Domain 3) Software Vulnerabilities Malicious Software Operating Systems Security (Domains 1, 8) Database Security (Domain 7) Laws and Legislation (Domain 2) Domain 5: Access Control & Authentication Access Control Basic Access Control Mechanisms Access Control Models Access Control Policies Intrusions Multi-Level Access Control Access Control Languages Authentication Basics Protocols Authentication Data (Domain 3) Authentication Systems Domain 6:Network, Web & Communications Security Network Security Protocols Cryptography (Domain 3) Wireless Network Security Distributed Systems Secure Networking Attacks, Intrusions and Malware (Domain 4) IDS and Malicious Software Protection (Domain 4) Security Network Technologies (Domain 2) Specific Network Systems Network Forensics (Domain 8) Legal Issues (Domain 2) Domain 7: Database Security Requirements (Domain 3) Secure Architecture and Access Control for Databases (Domain 5) Developing a Database Security Plan Related Security Issues (Domain 4, 6) Threats, Vulnerabilities and Countermeasures Advanced Issues Database Forensics (Domain 8) Ethical Issues (Domain 2) Legal Issues (Domain 2) Domain 8: Forensics Steps Παράρτημα Δ : Δημοσιεύσεις και αναφορές 79

95 Data Collection (Domain 4, 6) Network & Web Forensics (Domain 6) Database Forensics (Domain 7) Hardware Forensics Data Usage Prerequisites (Domain 2) Psychology (Domain 2) Domain 9: Information Systems Security Management Risk Analysis and Management Security Policy Management Issues (Domains 3, 4, 5, 6) Organizational Issues Physical Security and Critical Infrastructure (Domain 10) Compliance (Domain 2) Audit (Domain 8) Product and System Security: Assurance and Evaluation Standardization and Professional Certification Domain 10: Physical Security & Critical Infrastructure Protection Critical Infrastructures Threats and Impacts (Domain 9) Procedures (Domain 9) Human Factor (Domain 2) Physical and Environmental Security National and International CIP Programs Legal Issues (Domain 2) Forensics (Domain 8) Standardization and Professional Certification for CIP (Domain 9) Το τρίτο επίπεδο ανάλυσης (το οποίο παρουσιάζεται πλήρως στο Παράρτημα Β ), δίνει την αναλυτική δομή κάθε ενότητας και ικανοποιεί το δύσκολο ρόλο του σχεδιασμού ενός μαθήματος ή μιας διάλεξης ή ενός προγράμματος κατάρτισης. Κάθε ενότητα είναι στην ουσία μια σύνοψη των περιεχομένων κάθε θεματικής ενότητας. Είναι σαφές, ότι κάποιος μπορεί να επεκταθεί και σε περαιτέρω επίπεδα ανάλυσης, αλλά αυτή η επιλογή δεν είναι ένα τετριμμένο τόλμημα. Μια ακόμα πιο λεπτομερής ανάλυση απαιτεί εξειδικευμένη γνώση του κάθε υπο-πεδίου. Επίσης, ορισμένα θέματα μπορεί να μην αναλύονται περαιτέρω με σαφή τρόπο. Μια τέτοια επιλογή μπορεί να αποβεί περιοριστική, καθώς όσο αυξάνει ο βαθμός λεπτομέρειας, τόσο πιο αυστηρά ορίζονται οι έννοιες, όπως για παράδειγμα οι επιμέρους τεχνολογικές επιλογές για μια προσέγγιση. Δεδομένου ότι η επιστημονική αυτή περιοχή εξελίσσεται συνεχώς, και πολλές τεχνολογικές λύσεις ή τεχνικές τροποποιούνται ή αντικαθίστανται, η διατήρηση ενός επίκαιρου γνωστικού υποβάθρου είναι συχνή και επίπονη διαδικασία. Όσο πιο λεπτομερής είναι η ανάλυση τόσο πιο έντονη γίνεται η ανάγκη επικαιροποίησης. Για παράδειγμα, αν κάποιος μελετά το θέμα των "ψηφιακών υπογραφών", μπορεί η λογική, οι ιδέες και η χρήση της λύσης αυτής να παραμένουν σταθερές, αλλά, σε αντιδιαστολή οι αλγόριθμοι για τη δημιουργία τους συνεχώς να τροποποιούνται. Τέλος, μια πολύ αναλυτική σκιαγράφηση της περιοχής δεν αφήνει βαθμούς ελευθερίας στον ενδιαφερόμενο να εισάγει την προσωπική του άποψη σε μια διάλεξη ή σε ένα πρόγραμμα σπουδών και να αξιολογήσει σε ποια θέματα θα πρέπει να δοθεί περισσότερη βαρύτητα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 80

96 Όπως αναφέραμε και παραπάνω, η νέα έκδοση εμφανίζει κάποιες διαφοροποιήσεις ως προς τη δομή. Η κύρια όμως διαφοροποίηση έγκειται στο γεγονός ότι αναλύεται περαιτέρω και είναι εμπλουτισμένη σε σημαντικό βαθμό. Η εκλέπτυνση αυτή φαίνεται αν συγκρίνουμε τις αναλυτικές εκδόσεις των δύο γνωστικών υποβάθρων. Αν για παράδειγμα εξετάσουμε τη δεύτερη ενότητα (Domain 2) του αρχικού γνωστικού υποβάθρου, η οποία αναφέρεται σε κοινωνικά, ηθικά και νομικά ζητήματα, παρατηρούμε ότι αυτή αναλύεται στα εξής επιμέρους θέματα [Theoharidou et al., 2007]: Πίνακας 24: Αρχική έκδοση γνωστικής ενότητας 2 Αρχική Ενότητα (Domain) 2: Social, Ethical, and Legal considerations Privacy Social Practices in Identities Encryption Ethics and ethical Awareness Training Programs Criminology E- Crime Forensic Analysis Digital Evidence e-voting and e-government New Technologies and Economic Growth Psychology Behavioral Analysis in attacks and intrusions Freedom of Speech vs. Censorship Ο Πίνακας 25 παρουσιάζει τη νέα έκδοση αυτής της θεματικής ενότητας, η οποία έχει μετονομαστεί, εμπεριέχει πολύ περισσότερα θέματα μελέτης και αυτά είναι πιο πλήρη στην περιγραφή τους. Αυτό οφείλεται στο γεγονός ότι η νεότερη έκδοση συμπεριέλαβε στις πηγές της δομή και περιεχόμενα μαθημάτων, αλλά και εκπαιδευτικό υλικό και δημοσιεύσεις για τις επιμέρους ενότητες. Σε αντίθεση, η πρώτη απόπειρα βασίστηκε μόνο σε επισκόπηση προγραμμάτων σπουδών και μαθημάτων που μπορούν να συνθέσουν μόνο μια επιγραμματική σκιαγράφηση της περιοχής. Επίσης, λόγω της επιλογής να γίνει λεξικολογική ανάλυση των εννοιών και να επιλεγούν λέξεις-κλειδιά (keywords), αυτό απεδείχθη περιοριστικό όσον αφορά την λεπτομέρεια. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 81

97 Πίνακας 25: Αναθεωρημένη έκδοση γνωστικής ενότητας 2 Αναθεωρημένη Ενότητα (Domain) 2: Ethical, Social, Psychological and Legal Issues Privacy Types Privacy Enhancing Technologies Privacy Threats Personal Data Protection Copyright Laws Patents Trademarks Technical Solutions Digital Rights Management Social Engineering Countermeasures Techniques Vulnerabilities Computer Crime Computer Fraud Cyber Fraud Financial Fraud Fraud White-collar Crime Illegal Digital Content Ethics Ethical Decision Stages Ethical Problems Ethical Behavior Approaches Bioethics Hacking Ethics Work Ethics - Employee Surveillance Ethical and Social Issues in Cyberspace Training and Awareness Awareness Programs Training Program Legal Issues Cryptography - Legal Framework Legal Framework for Communications Public Safety Legal Framework Information and Privacy Protection & Electronic Data Processing Psychology Behavioral Analysis in Attacks and Intrusions Freedom of Speech vs. Censorship Εκλέπτυνση και Εμβάθυνση Γνωσιακής Ενότητας για Κρίσιμες Υποδομές Η δέκατη γνωστική ενότητα (domain 10) που αναφέρεται στη φυσική ασφάλεια και την προστασία κρίσιμων υποδομών είναι από τις πιο χαρακτηριστικές του γνωστικού υποβάθρου και για αυτό το λόγο αναλύεται έως και τρίτο επίπεδο λεπτομέρειας στο κεφάλαιο αυτό. Πιο συγκεκριμένα, παρουσιάζεται μια επεξεργασμένη μορφή της, όπως αυτή προέκυψε με βάση τη βιβλιογραφική έρευνα της συγκεκριμένης διατριβής (βλ. Κεφάλαιο 2). Σημειώνεται ότι επειδή η συγκεκριμένη ενότητα ανταποκρίνεται σε μια από τις πιο ενεργές ερευνητικά περιοχές της ασφάλειας, κρίθηκε απαραίτητο να ενημερωθεί σε σχέση με την έκδοση που παρουσιάστηκε στο [Theoharidou et al., 2008]. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 82

98 Domain 10: Physical Security and Critical Infrastructure Protection 1. Critical Infrastructures 1.1. Critical Sectors 1.2. Infrastructure Layers 1.3. Infrastructure Components 1.4. Infrastructure Inter-dependency 2. Security Management for CIP (βλ. Domain 9) 2.1. Critical Asset Identification 2.2. Threats on Critical Assets 2.3. Vulnerabilities of Critical Assets 2.4. Types and Scales of Impacts 2.5. Criticality and Risk Assessment 2.6. Security Policy for CIP 2.7. Security Controls for CIP 3. Personnel Security & Training (βλ. Domain 2) 3.1. Ethics 3.2. Training and Awareness Programs 3.3. Decision Making 3.4. Insider Threat 3.5. Personnel in Critical Functions 4. Physical and Environmental Security 4.1. Perimeter Security and Physical Access Control 4.2. Safety in the Workplace 4.3. Equipment Security 4.4. Cabling security 4.5. Theft 4.6. Workstation Security 4.7. Device and Media Control 4.8. Fire Protection, Prevention and Detection 4.9. Power Failure Anti-Flood control Explosive/Chemical Detection and Mitigation 5. National and International Initiatives 5.1. National CIP Policies 5.2. International CIP Policies 6. Legal Issues (βλ. Domain 2) 6.1. Public Safety Legislation 6.2. Data Protection Legislation 7. Forensics (βλ. Domain 8) 7.1. Incident and Sabotage Identification 7.2. Incident and Sabotage Reporting 7.3. Incident and Sabotage Investigation and Classification 7.4. Response Planning 8. Disaster Recovery and Business Continuity 8.1. Recovery Plans for Critical Cyber Assets 8.2. Business Continuity for Critical Infrastructures 9. Standardization and Professional Certification for CIP (βλ. Domain 9) 9.1. North American Electric Reliability Standards for CIP Παρατηρούμε ότι αυτή η ενότητα παρουσιάζει θέματα που αναφέρονται και σε φυσικές απειλές, δεδομένου ότι οι πληροφοριακές απειλές εξετάζονται συνήθως από την ΑΠΣ. Επίσης, περιγράφει όλα τα εξειδικευμένα θέματα της ΠΚΥ τα οποία δεν έχουν καλυφθεί από τις άλλες γνωστικές ενότητες. Μία κριτική μπορεί να είναι ότι η γνωστική αυτή ενότητα αποτελεί ουσιαστικά το ΓΥ για την ΠΚΥ, και οι υπόλοιπες εννέα είναι οι γνωστικές ενότητες για την ΑΠΣ. Πάραυτα, θα πρέπει να επισημάνουμε ότι η ενότητα αυτή περιγράφει πράγματι εξειδικευμένα θέματα κρίσιμων πληροφοριακών και Παράρτημα Δ : Δημοσιεύσεις και αναφορές 83

99 επικοινωνιακών υποδομών, αλλά δεν επαρκεί από μόνη της για να σκιαγραφήσει το γνωστικό αντικείμενο. Όπως αναφέραμε η ΠΚΥ είναι ένα υπερσύνολο της ΑΠΣ. Αυτό σημαίνει ότι η μελέτη της συγκεκριμένης γνωστικής ενότητας, χωρίς τις άλλες γνωστικές ενότητες δεν προσφέρει όλες τις γνώσεις που απαιτούνται για την ΠΚΥ. Θα μπορούσε να χρησιμοποιηθεί για το σχεδιασμό προγραμμάτων εξειδίκευσης σε ΠΚΥ, μόνο αν είχε ως προαπαιτούμενο την πρώτιστη εκπαίδευση σε ΑΠΣ. Αλλιώς, ένα πρόγραμμα εξειδίκευσης θα πρέπει να καλύπτει και όλες τις προηγούμενες ενότητες, εκτός των εξειδικευμένων θεμάτων που διαφοροποιούν τα ΠΣ από τις κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές. 3.5 Αξιοποίηση του γνωστικού υποβάθρου Στη συνέχεια, εντοπίζουμε τις πιθανές συσχετίσεις μεταξύ επιμέρους γνωστικών ενοτήτων και συνθέτουμε μια προτεινόμενη ακολουθία ενοτήτων η οποία μπορεί να χρησιμοποιηθεί για τη μελέτη ή τη διδασκαλία της ασφάλειας με βάση το ΓΥ. Παράλληλα εξετάζουμε και άλλους πιθανούς τρόπους αξιοποίησης του γνωστικού υποβάθρου Αλληλεξάρτηση γνωστικών ενοτήτων Οι περισσότερες γνωστικές σχετίζονται με άλλες ενότητες και έχουν κοινά θέματα, τα οποία εμπεριέχονται σε περισσότερες ενότητες, ενδεχομένως με διαφορετική εστίαση ή με διαφορετικό βαθμό λεπτομέρειας. Πιο συγκεκριμένα εντοπίζουμε συσχετίσεις ενοτήτων, οι οποίες είναι σημαντικές, καθώς καθορίζουν τόσο τη σειρά διδασκαλίας των επιμέρους θεμάτων, όσο και σκιαγραφούν ποιες γνωστικές περιοχές είναι στενά συνδεδεμένες. Το τελευταίο επηρεάζει και τους επιμέρους τομείς εξειδίκευσης που προκύπτουν από τη χρήση του γνωστικού υποβάθρου για την κατάταξη επαγγελματιών σε κατηγορίες. Πιο συγκεκριμένα εμφανίζονται δύο τύποι συσχετίσεων μεταξύ γνωστικών ενοτήτων. Η πρώτη κατηγορία αναφέρεται σε περιπτώσεις όπου μια γνωστική ενότητα μπορεί να περιέχει και θέματα τα οποία εμπεριέχονται σε άλλη γνωστική ενότητα, αλλά αναλύονται με μεγαλύτερο βαθμό λεπτομέρειας. Αυτό σημαίνει ότι ένα θέμα παρουσιάζεται σε μια γνωστική ενότητα, αλλά δεν μπορεί να αναλυθεί περαιτέρω αν δεν έχει προηγηθεί η ανάλυση μιας άλλης ενότητας. Για το λόγο αυτό το συγκεκριμένο θέμα καλύπτεται επιγραμματικά και αποκτά και ένα σύνδεσμο (μια παραπομπή) στην άλλη γνωστική ενότητα. Παραδείγματα τέτοιου τύπου συσχετίσεων αναφέρονται στη συνέχεια. Συσχέτιση 1: Η γνωστική ενότητα του ελέγχου πρόσβασης (Access Control - Domain 5) βρίσκει εφαρμογή και αναλύεται περαιτέρω στις γνωστικές περιοχές της ασφάλειας λογισμικού (Software Security - Domain 4), της ασφάλειας δικτύων, ιστού και τηλεπικοινωνιών (Network, Web and Communications Security - Domain 6) και της ασφάλειας βάσεων δεδομένων (Database Security - Domain 7). Συσχέτιση 2: Η εφαρμογή σε οργανωσιακά περιβάλλοντα των θεμάτων που περιλαμβάνονται στις γνωστικές περιοχές της κρυπτογραφίας (Cryptography - Domain 3), ασφάλειας λογισμικού (Software Security - Domain 4), ελέγχου πρόσβασης (Access Control - Domain 5), ασφάλειας δικτύων, ιστού και τηλεπικοινωνιών (Network, Web and Communications Security - Domain 6) εξετάζεται στη γνωστική περιοχή της Παράρτημα Δ : Δημοσιεύσεις και αναφορές 84

100 διαχείρισης ασφάλειας πληροφοριακών συστημάτων (Information Systems Security Management - Domain 9). Συσχέτιση 3: Η δικανική πληροφορική (Forensics - Domain 8) εμπεριέχει και θέματα που σχετίζονται με την Ελεγκτική (Audit) σε λογισμικό (Software Security - Domain 4), σε δίκτυα (Network, Web and Communications Security - Domain 6), και βάσεις δεδομένων (Databases - Domain 7). Συσχέτιση 4: Η εισαγωγή σε θέματα που σχετίζονται με κακόβουλο λογισμικό (Malware) και συστήματα ανίχνευσης εισβολών (Intrusion Detection Systems) περιλαμβάνεται στην ασφάλεια λογισμικού (Software Security - Domain 4), αλλά αναλύεται περαιτέρω στην ενότητα της ασφάλειας δικτύων, ιστού και τηλεπικοινωνιών (Network, Web and Communications Security - Domain 6). Συσχέτιση 5: Θέματα δικτυακής ασφάλειας (Domain 6) εξετάζονται και στη γνωστική ενότητα της ασφάλειας βάσεων δεδομένων (Database Security - Domain 7). Συσχέτιση 6: Ηθικά, κοινωνικά, ψυχολογικά και νομικά ζητήματα (Ethical, Social, Psychological and Legal Issues - Domain 2) επανεξετάζονται ή εφαρμόζονται σχεδόν σε όλες τις άλλες ενότητες. Η συγκεκριμένη ενότητα είναι μια οριζόντια ενότητα που συνδέεται με τις άλλες (cross-domain). Σε άλλες περιπτώσεις, κάποιες γνωστικές ενότητες αποτελούν προϋπόθεση/υπόβαθρο για άλλες. Χαρακτηριστικά παραδείγματα είναι τα εξής: Συσχέτιση 7: Η ασφάλεια λογισμικού (Software Security Domain 4) θεμελιώνει τις έννοιες που χρησιμοποιούνται στην ενότητα της ασφάλειας βάσεων δεδομένων (Database Security - Domain 7). Συσχέτιση 8: Τα θεωρητικά μοντέλα της ασφάλειας (Security Models - Domain 1) θέτουν τη βάση για τα μοντέλα ελέγχου προσβάσης (Domain 5) ή ασφάλειας λειτουργικών συστημάτων (Domain 4). Συσχέτιση 9: Οι έννοιες της Κρυπτογραφίας (Cryptography Domain 3) βρίσκει εφαρμογή σε πολλές ενότητες όπως ασφάλεια λογισμικού (Software Security - Domain 4), ασφάλεια βάσεων δεδομένων (Database Security - Domain 7), έλεγχου πρόσβασης (Access Control - Domain 5) ή ασφάλεια δικτύων (Network, Web and Communications Security - Domain 6). Συσχέτιση 10: Η δικανική πληροφορική (Forensics - Domain 8) εφαρμόζεται πρακτικά και σε πραγματικά περιβάλλοντα και στις ενότητες διαχείρισης πληροφοριακών συστημάτων (Information System Security Management - Domain 9) και φυσικής ασφάλειας και προστασίας κρίσιμων υποδομών (Physical Security and Critical Infrastructure Protection - Domain 10). Η επικάλυψη μεταξύ επιστημονικών ενοτήτων (όπως αυτή περιγράφηκε από τις παραπάνω συσχετίσεις) μπορεί να περιοριστεί αλλά δεν μπορεί να αποφευχθεί εντελώς. Τα παραπάνω παραδείγματα φανερώνουν πόσο άρρηκτα συνδεδεμένα είναι κάποια θέματα της ΑΠΣ και ΠΚΥ. Αυτό σημαίνει ότι οποιαδήποτε δυνατή κατηγοριοποίηση μπορεί να εμπεριέχει κάποιες ελάχιστες επικαλύψεις θεμάτων. Παρόλα αυτά, στο ΓΥ υπάρχουν ενότητες που αντιμετωπίζουν ένα θέμα με γενικό τρόπο και άλλες οι οποίες εστιάζουν στην πιο λεπτομερή εφαρμογή τους σε συγκεκριμένες τεχνολογίες (π.χ. η εφαρμογή της κρυπτογραφίας σε βάσεις δεδομένων και σε συγκεκριμένα δικτυακά πρωτόκολλα) ή πιθανά περιβάλλοντα εφαρμογής (π.χ. η ανάλυση επικινδυνότητας σε κρίσιμες υποδομών) Δημιουργία διδακτικής ακολουθίας Για να συνθέσουμε μια προτεινόμενη σειρά μελέτης και διδασκαλίας των θεματικών ενοτήτων, υιοθετήσαμε δύο λογικές παραδοχές: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 85

101 (1) Τα πιο γενικής φύσεως θέματα θα πρέπει να μελετούνται νωρίτερα από τα εξειδικευμένα, ακολουθώντας μια διαδρομή από το γενικό στο ειδικό. (2) Μια ενότητα η οποία θέτει τις βάσεις για άλλες ενότητες θα πρέπει να προηγείται αυτών. Με βάση τις συσχετίσεις που εντοπίσαμε στην προηγούμενη ενότητας η ακολουθία που προτείνεται απεικονίζεται στην Εικόνα 17. Εικόνα 17: Ακολουθία διδασκαλίας των ενοτήτων του γνωστικού υπόβαθρου Εύλογα η προαπαιτούμενη γνώση προηγείται της μελέτης. Εισαγωγικές ενότητες αποτελούν το εννοιολογικό πλαίσιο και η μελέτη των βασικών μοντέλων ασφάλειας (βλ. Συσχέτιση 8). Επομένως η πρώτη ενότητα (Domain 1) αποτελεί τη βάση για όλες τις υπόλοιπες ενότητες και διευκολύνει την κατανόησή τους. Καθώς αναγνωρίσαμε την οριζόντια ενότητα των Ηθικών, Κοινωνικών, Ψυχολογικών και Νομικών θεμάτων Παράρτημα Δ : Δημοσιεύσεις και αναφορές 86

102 (Domain 2) (βλ. Συσχέτιση 6), αυτή μπορεί να μελετηθεί σε εισαγωγικό επίπεδο στην αρχή ενός προγράμματος σπουδών ή ενός μαθήματος. Θα πρέπει να επανεξεταστεί σε μεγαλύτερο βάθος προς το τέλος της παρακολούθησης, δεδομένου ότι οι διδασκόμενοι θα έχουν καλύψει και κατανοήσει τις τεχνικές παραμέτρους της ασφάλειας και θα μπορούν να δουν πως αυτές επηρεάζουν και επηρεάζονται και από μη τεχνικά ζητήματα. Η Κρυπτογραφία (Domain 3) και o Έλεγχος Πρόσβασης/Αυθεντικοποίηση (Domain 5) εμφανίζουν ισχυρή σύνδεση (βλ. Συσχέτιση 9), καθώς κρυπτογραφικές τεχνικές εφαρμόζονται ευρέως για Αυθεντικοποίηση, αλλά για να μελετήσει αυτές τις ενότητες, ο μαθητής θα πρέπει να έχει υπόβαθρο και στις δύο. Μια πρόταση θα ήταν να διδαχθούν σε δύο σχετικά μαθήματα ή σειρές διαλέξεων, οι οποίες είναι σε κοντινά χρονικά διαδήματα, καθώς ενδεχομένως η παράλληλη μελέτη να μην είναι εφικτή. Μόνον μετά την ολοκλήρωση αυτών των δύο ενοτήτων, μπορεί κάποιος να προχωρήσει με το θέμα της ασφάλειας λογισμικού (Domain 4), λόγω των συσχετίσεων (1) και (7). Το ίδιο ισχύει και για την ασφάλεια βάσεων δεδομένων (Domain 7) και για την δικτυακή ασφάλεια (Domain 6). Παρόλα αυτά, η ασφάλεια λογισμικού πρέπει να προηγηθεί αυτών (βλ. Συσχετίσεις 4 και 7) και η δικτυακή ασφάλεια να προηγηθεί της ασφάλειας βάσεων δεδομένων (βλ. Συσχέτιση 5). Αφού καλυφθούν αυτά τα τρία πεδία, μπορεί να μελετηθεί και η Δικανική Πληροφορική (Domain 8), λόγω της Συσχέτισης (3). Ανάλογη περίπτωση αλληλοσχετιζόμενων ενοτήτων αποτελούν η Φυσική Ασφάλεια και Προστασία Κρίσιμων Υποδομών (Domain 10) και η Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων (Domain 9). Με βάση τις συσχετίσεις (2), (10), αυτές οι δύο ενότητες μπορούν να μελετηθούν μετά τη Δικανική (Domain 8) προς το τέλος ενός μαθήματος ή ενός προγράμματος σπουδών. Ζητήματα φυσικής ασφάλειας θα πρέπει να αντιμετωπιστούν σε οργανωσιακό επίπεδο κατά το σχεδιασμό διαδικασιών ασφάλειας. Επίσης και την Προστασία Κρίσιμων Υποδομών εμπλέκονται θέματα διαχείρισης, όπως η ανάλυση επικινδυνότητας κρίσιμες υποδομές ή η δημιουργία κατάλληλων πολιτικών, διαδικασιών και η επιλογή μέτρων. Λόγω της αλληλεξάρτησης αυτών των δύο πεδίων προτείνεται η παράλληλη μελέτη των δύο ενοτήτων, όταν όμως θα έχει ολοκληρωθεί η μελέτη των υπολοίπων ενοτήτων. Τέλος, όπως αναφέρθηκε παραπάνω η Ενότητα 2 θα πρέπει να επανεξεταστεί στο τέλος, καθώς το γνωσιακό επίπεδο των διδασκόμενων θα είναι υψηλότερο και θα μπορούν να προσεγγίσουν καλύτερα τα διεπιστημονικά αυτά θέματα Τομείς εφαρμογής του γνωστικού υποβάθρου Το γνωστικό αυτό υπόβαθρο μπορεί να χρησιμοποιηθεί στην εκπαίδευση με ποικίλους τρόπους. Δεδομένου ότι προσδιορίζει με λεπτομέρεια τα περιεχόμενα της ενιαίας γνωστικής περιοχής ΑΠΣ-ΠΚΥ, μπορεί να αποτελέσει ως βάση για τη δημιουργία προγραμμάτων σπουδών, τόσο σε προπτυχιακό όσο και σε μεταπτυχιακό επίπεδο. Σε ένα περαιτέρω στάδιο, μπορεί να αξιοποιηθεί για τη δημιουργία μαθημάτων ή διαλέξεων ή για το σχεδιασμό εργαστηριακού μαθήματος που θα καλύπτει το σύνολο του ΓΥ. Πιο συγκεκριμένα, το παρόν ΓΥ έχει αξιοποιηθεί για την αναβάθμιση των περιεχομένων του προπτυχιακού μαθήματος της ΑΠΣ του ΟΠΑ, αλλά και αποτέλεσε και τη βάση για μια πρώτη απόπειρα δημιουργίας εργαστηρίου [Λιβέρη, 2010]. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 87

103 Σε επαγγελματικό επίπεδο, μπορεί να αξιοποιηθεί για την κατάρτιση και εκπαίδευση επαγγελματιών με στόχο τη λήψη πιστοποίησης ή εξειδίκευσης. Έχει, επίσης, αξιοποιηθεί για τον προσδιορισμό των επιμέρους ειδικοτήτων του τομέα, κατά τη δημιουργία βάσης δεδομένων για την καταγραφή των επαγγελματιών ΑΠΣ-ΠΚΥ για την Ελλάδα. 3.6 Κριτική αξιολόγηση Σε σύγκριση με άλλα υπάρχοντα γνωστικά υπόβαθρα, η ειδοποιός διαφορά του συγκεκριμένου γνωστικού υποβάθρου έγκειται στο γεγονός ότι οριοθετεί και εντοπίζει τη συσχέτιση μεταξύ δύο στενά συνδεδεμένων επιστημονικών πεδίων: της Ασφάλειας Πληροφοριών και της Προστασίας Κρίσιμων Υποδομών. Με βάση την υπάρχουσα γνώση, δεν έχουμε εντοπίσει άλλο ΓΥ που να αφορά στην Προστασία Κρίσιμων Υποδομών. Τα περισσότερα εστιάζουν μόνο στο ένα από τα δύο πεδία, αυτό δηλαδή της Ασφάλειας Πληροφοριών. Το συγκεκριμένο ΓΥ, θέτει τις βάσεις που απαιτούνται για τη μελέτη της Προστασίας Κρίσιμων Υποδομών, χρησιμοποιώντας την Ασφάλεια ως προαπαιτούμενη γνώση. Επίσης, αν εξετάσουμε το συνδυασμό των δύο πεδίων ως μια ενότητα, τότε η διάρθρωση του περιεχομένου διαφέρει από άλλες προσεγγίσεις, ενώ κάθε υποενότητα και κάθε θέμα αναλύεται εκτενώς και με περισσότερη λεπτομέρεια σε σχέση με άλλες προσεγγίσεις. Πιο αναλυτικά, το συγκεκριμένο ΓΥ καλύπτει όλο το εύρος των θεμάτων, όπως αυτά εντοπίστηκαν κατά τη μελέτη άλλων γνωστικών υποβάθρων. Πέρα από κάποια κοινά θέματα, όπως ο Έλεγχος Πρόσβασης ή η Κρυπτογραφία, η μελέτη πολυάριθμων μαθημάτων στον αντικείμενο και προγραμμάτων σπουδών, μας οδήγησε να συμπεριλάβουμε και θέματα τα οποία δεν είναι περιλαμβάνονται κατά κανόνα. Αυτά περιλαμβάνουν τη Δικανική Πληροφορική (Forensics), την Προστασία Κρίσιμων Υποδομών (Critical Infrastructure Protection), αλλά και την εξέταση ηθικών ή νομικών ζητημάτων (Ethics & Law). Στη συνέχεια ακολουθεί μια συγκριτική ανάλυση μεταξύ του προτεινόμενου ΓΥ και των πιο ώριμων, λεπτομερών γνωστικών υποβάθρων που σχετίζονται με την ασφάλεια, όπως αυτά εντοπίστηκαν στην Ενότητα Αυτά είναι τα εξής: 1. (ISC) 2 : ΓΥ για Ασφάλεια Πληροφοριακών Συστημάτων 2. RIACD: Report on Information Assurance Curriculum Development 3. NIST: Information Technology Security Training Requirements 4. ASIS: ΓΥ Ασφάλειας (από τον οργανισμό ASIS) 5. J. Oney: ΓΥ Ασφάλειας Δικτύων 6. CPP: Certified Protection Professional (του οργανισμού ASIS International) Η ανάλυση αυτή αρχικά εστιάζει στο περιεχόμενο των γνωστικών υποβάθρων και παρουσιάζεται στους τρεις (3) πίνακες που ακολουθούν. Η σύγκριση γίνεται ως προς το πρώτο επίπεδο ανάλυσης. Αφορά τις υπο-ενότητες του γνωστικού υποβάθρου και, συγκεκριμένα, εντοπίζονται και αναγράφονται τα ονόματα των σχετικών υποενοτήτων, όπως αυτά εντοπίζονται στα άλλα γνωστικά υπόβαθρα. Παρατηρούμε ότι σε κάποιες περιπτώσεις, δεν εντοπίζονται πάντα σχετικές ενότητες. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 88

104 Παρατηρούμε ότι τα γνωστικά υπόβαθρα παρουσιάζουν αρκετές σημασιολογικές διαφορές. Επιλέγουν διαφορετική ορολογία ή κατηγοριοποίηση των επιμέρους θεμάτων. Τα γνωστικά υπόβαθρα ASIS και CPP δεν καλύπτουν τις γνωστικές ενότητες (Domains) 3 έως 7, γεγονός αναμενόμενο καθώς εμφανίζουν μια πιο επιχειρηματική κατεύθυνση, και δεν εστιάζουν στα τεχνικά μέτρα ασφάλειας. Ο τεχνικός προσανατολισμός του γνωστικού υποβάθρου του NIST είναι εμφανής, καθώς το συγκεκριμένο ΓΥ περιλαμβάνεται σε πρότυπο για Ασφάλεια Υπολογιστών (Computer Security). Το πιο κοντινό στη δική μας προσέγγιση είναι αυτό του οργανισμού (ISC) 2, όπως διαφαίνεται από τη σχετικά κοινή ομαδοποίηση ενοτήτων και θεμάτων. Πίνακας 26: Σύγκριση ως προς το περιεχόμενο (Ενότητες 1-5) Γνωστικές Ενότητες Γνωστικά υπόβαθρα (ISC) 2 1: Prerequisite Knowledge, Basic Terms & Security Models Security Architecture & Design 2: Ethical, Social, Psychologica l & Legal Issues Legal, Regulations, Compliance, Investigation RIACD - Management, Policy & Response NIST - Laws & Regulations ASIS Security Architecture & Engineering J. Oney Security Models CPP Security Principles & Practices, Information Security 3: Cryptograph y Cryptography Cryptography Technical Controls 4: Software Security Application Security Secure Computing Systems Acquisition, Development, Ιnstallation, Implementation Controls, Technical Controls 5: Access Control & Authentication Access Control Secure Computing Systems Technical Controls Legal Aspects Legal Issues PKI, Digital Signatures, Encryption Software Security, Malicious Code Authentication Legal Aspects Ως προς το περιεχόμενο της πρώτης ενότητας (Domain 1: Prerequisite Knowledge, Basic Terms & Security Models), κάποιες από τις προσεγγίσεις περιλαμβάνουν μοντέλα και αρχιτεκτονικές ασφάλειας, ενώ κάποιες άλλες τη βασική ορολογία του πεδίου. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 89

105 Σχεδόν όλες οι προσεγγίσεις περιλαμβάνουν νομικά θέματα, αλλά ανάλογη έμφαση δε δίδεται σε ηθικά και κοινωνικά ζητήματα. Εξαιρουμένων των δύο πιο «επιχειρηματικών» γνωστικών υποβάθρων, τα υπόλοιπα περιλαμβάνουν θέματα Κρυπτογραφίας και θέματα Ασφάλειας Βάσεων Δεδομένων. Το πεδίο του Ελέγχου Πρόσβασης και της Αυθεντικοποίησης αναφέρεται σε όλα τα γνωστικά υπόβαθρα, αλλά δεν αναλύεται σε βάθος σε όλα. Θέματα ασφάλειας δικτύων, ιστού και τηλεπικοινωνιών αναφέρονται στα περισσότερα εξ αυτών, αλλά η ονοματολογία και τα επιμέρους θέματα ποικίλλουν. Η Δικανική Πληροφορική δεν εξετάζεται πλήρως ως ξεχωριστό πεδίο, αναφέρεται όμως ως πρόληψη και διερεύνηση ηλεκτρονικού εγκλήματος (crime prevention and investigation) ή ως ελεγκτική (audit). Παραδείγματα περιλαμβάνουν την ανάκτηση δεδομένων από ένα μη κακόβουλο «εκ των έσω» περιστατικό (insider) ή από κάποια αστοχία συστήματος ή τον έλεγχο για περιστατικά τα οποία δεν έχουν κατ ανάγκη νομικές επιπτώσεις. Το ευρύ πεδίο της Διαχείρισης Ασφάλειας Πληροφοριακών Συστημάτων (Information System Security Management), το οποίο εκτίνεται από θέματα ασφάλειας προσωπικού έως διαχείριση επικινδυνότητας, δεν καλύπτεται πλήρως από τα άλλα γνωστικά υπόβαθρα. Σημειώνεται ότι τα πεδία της Δικανικής Πληροφορικής και της Κρυπτογραφίας αναλύονται σε μεγαλύτερο βαθμό λεπτομέρειας μόνο από το ΓΥ του (ISC) 2. Πίνακας 27: Σύγκριση ως προς το περιεχόμενο (Ενότητες 6-8) Γνωστικά υπόβαθρα (ISC) 2 6: Network, Web & Communication Security Telecommunications & Network Security Γνωστικές Ενότητες 7: Database Security 8: Forensics RIACD Network Security Secure Computing Systems NIST System Interconnection & Information Sharing, Technical Controls - Legal, Regulations, Compliance & Investigation Acquisition, Development, Installation, Ιmplementation Controls, Technical Controls Secure Computing Systems (Audit) Technical Controls ASIS - - Investigations, Crime Prevention J. Oney Web Security, Firewalls, Network Communication, Protocols, Intrusion Detection, Networks Attacks & Hacking, Network Security Basics - Computer Crime CPP - - Investigations Παράρτημα Δ : Δημοσιεύσεις και αναφορές 90

106 Όσον αφορά την Προστασία Κρίσιμων Υποδομών, κανένα από τα επιλεγμένα γνωστικά υπόβαθρα δεν καλύπτει το θέμα. Αυτό είναι κατανοητό και αναμενόμενο, καθώς κανένα δεν είναι επικεντρωμένο στο θέμα αυτό, αλλά περισσότερο στην Ασφάλεια Πληροφοριών. Είναι επίσης χρονικά προγενέστερα, οπότε δεν αντικατοπτρίζουν την παρούσα εστίαση στην προστασία κρίσιμων υποδομών. Ο όρος δεν μπορεί να εντοπιστεί σε κάποιο από αυτά, αλλά ούτε και θέματα όπως κατηγορίες κρίσιμων υποδομών, διασύνδεση ή ανάλυση απειλών και ευπαθειών ανά τομέα κρισιμότητας (π.χ. μεταφορές, ενέργεια ή τηλεπικοινωνίες). Θέματα που προσεγγίζουν την ενότητα αυτή αφορούν αποκλειστικά τη φυσική και περιβαλλοντολογική ασφάλεια (Physical/Environmental Security). Ενδεικτικά θέματα είναι αυτά της Συνέχισης Λειτουργίας (Business Continuity), της Ανάκαμψης από Καταστροφές (Disaster Recovery), της Δικανικής (Forensics), της Αντιμετώπισης περιστατικών (Incident Response) ή της τρομοκρατίας (Terrorism). Παρόλα αυτά, τα συγκεκριμένα γνωστικά υπόβαθρα εξετάζουν το θέμα υπό την οπτική της προστασίας ενός πληροφοριακού συστήματος ή ενός οργανισμού και όχι υπό το πρίσμα της αντιμετώπισης των ευρύτερων επιπτώσεων που προκύπτουν από ένα περιστατικό σε μια κρίσιμη υποδομή ή σε ένα κρίσιμο τομέα. Όπως προκύπτει και από την ενότητα ΧΧΧΧΧ τα σχετικά θέματα της ασφάλειας θα πρέπει να επανεξεταστούν και να παρουσιαστούν με βάση τις ιδιαιτερότητες των κρίσιμων υποδομών. Πίνακας 28: Σύγκριση ως προς το περιεχόμενο (Ενότητες 9-10) Γνωστικές Ενότητες Γνωστικά υπόβαθρα (ISC) 2 9: Information System Security Management Business Continuity Planning & Disaster Recovery Planning, Information Security & Risk Management, Operations Security 10: Physical Security and Critical Infrastructure Protection Business Continuity Planning & Disaster Recovery Planning, Physical & Environmental Security RIACD Management, Policy and Response - NIST ASIS Awareness, Training & Education Controls, Management Controls, Risk Management, Sensitivity, Organization & IT Security Risk Management, Emergency/ Contingency Planning, Competitive Intelligence, Information Systems Security, Personnel Security, Executive Protection, Violence in the Workplace J. Oney Organizational Security, Personnel Security, Incident Response, Security Politics, Risk Management CPP Business Principles & Practices, Emergency Practices, Personnel Security Operational Controls Emergency/ Contingency Planning, Fire Protection, Crisis Management, Disaster Management, Loss Prevention, Counter-terrorism, Physical Security Physical Security Emergency Practices, Physical Security Στη συνέχεια τα γνωστικά υπόβαθρα, συμπεριλαμβανομένου και του προτεινόμενου, συγκρίνονται ως προς πέντε (5) επιμέρους χαρακτηριστικά. Αυτά είναι τα εξής: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 91

107 Αντικείμενο μελέτης: Αναφέρεται ο όρος που επιλέγει ένα ΓΥ για να περιγράψει τη θεματολογία του (π.χ. Ασφάλεια Πληροφοριακών Συστημάτων, Ασφάλεια Δικτύων, κλπ.). Κατεύθυνση: Εξετάζεται αν το ΓΥ προσανατολίζεται στο να ικανοποιήσει ανάγκες της βιομηχανίας ή των επιχειρήσεων (Industrial/ Business), κυβερνητικές ανάγκες (Governmental) ή έχει εστίαση στον ακαδημαϊκό χώρο (Academic). Προαπαιτούμενη γνώση/ Σειρά διδασκαλίας: Εξετάζεται αν το ΓΥ περιλαμβάνει στην περιγραφή του ποιες είναι οι προαπαιτούμενες γνώσεις ή η σειρά διδασκαλίας και μελέτης του. Μέγιστο επίπεδο ανάλυσης: Αναφέρεται στο χαμηλότερο επίπεδο λεπτομέρειας που εντοπίστηκε. Ως πρώτο επίπεδο θεωρείται η υποδιαίρεσή του σε γνωστικές ενότητες-θέματα. Συνοδευτικό υλικό μελέτης: Εξετάζεται αν το ΓΥ συνοδεύεται από υλικό προς μελέτη, όπως βιβλία, δημοσιεύσεις κ.ά. Τα συμπεράσματα από αυτή τη σύγκριση συνοψίζονται στον επόμενο πίνακα. Παρατηρούμε ότι το νέο ΓΥ προσδιορίζει την ενδεικνυόμενη σειρά διάβασης των περιεχομένων του ΓΥ, αλλά και την προαπαιτούμενη γνώση. Είναι πιο λεπτομερές και πλήρες σε σχέση με τα άλλα γνωστικά υπόβαθρα. Λόγω του μεγάλου εύρους του, όμως, δεν κατέστη δυνατόν να προσδιορισθεί κατάλληλη βιβλιογραφία για όλες τις γνωστικές ενότητες, άρα δε συνοδεύεται από εκπαιδευτικό υλικό. Πίνακας 29: Σύγκριση ως προς τα χαρακτηριστικά Χαρακτηριστικά Γνωστικά Υπόβαθρα (ISC) 2 Αντικείμενο Κατεύθυνση Προαπαιτούμενη γνώση/ Σειρά διδασκαλίας Επίπεδο ανάλυσης Συνοδευτικό υλικό Ασφάλεια ΠΣ Επιχειρηματική 2 ο RICAD NIST ASIS Διασφάλιση Πληροφοριών Ασφάλεια Υπολογιστών Οργανωσιακή Ασφάλεια Ακαδημαϊκή - 3 ο - Κυβερνητική Επιχειρηματική Τεχνολογική Ακαδημαϊκή Επιχειρηματική - 2 ο - 2 ο J. Oney Ασφάλεια Δικτύων CPP Νέο ΓΥ Διαχείριση Ασφάλειας ΑΠΣ/ΠΚΥ Ακαδημαϊκή - 2 ο - Επιχειρηματική 2 ο Ακαδημαϊκή Επιχειρηματική 3 ο - Παράρτημα Δ : Δημοσιεύσεις και αναφορές 92

108 Τέλος, εξετάσαμε πως εντάσσεται η ΑΠΣ και ΠΚΥ στους οδηγούς της ACM/IEEE Joint Task Force για προγράμματα σπουδών στην Πληροφορική. Στα συγκεκριμένα γνωστικά υπόβαθρα, το πεδίο αυτό συμπεριλαμβάνεται υπό την οπτική της ασφάλειας (και όχι της προστασίας υποδομών) και εξετάζεται με δύο τρόπους: α) Θέματα και Αρχές (Issues and Principles), και β) Υλοποίηση και Διαχείριση (Implementation and Management). Παρατηρούμε ότι τα προγράμματα σπουδών που προκύπτουν, εμβαθύνουν κυρίως στο λογισμικό, στο υλικό και στις αρχιτεκτονικές, παρά το γεγονός ότι τα περισσότερα προβλήματα είναι οργανωσιακά και συστημικά [Swart and Erbacher, 2007]. Η μελέτη των γνωστικών υποβάθρων για Τεχνολογία Πληροφοριών (IT CBK) και για την Επιστήμη των Υπολογιστών (Computer Science CBK) υπέδειξε τις παρακάτω αναφορές στην ασφάλεια. Πίνακας 30: Σχέση με την ασφάλεια του ACM/IEEE Υπόβαθρου για Τεχνολογία Πληροφορίας Information Technology CBK ITF. Information Technology Fundamentals ITF1. Pervasive Themes in IT: Information assurance & security Domain 1 IAS. Information Assurance & Security IAS1. Fundamental Aspects Domain 1 IAS2. Security Mechanisms All (except Domain1) IAS3. Operational Issues IAS4. Policy IAS5. Attacks IAS6. Security Domains IAS7. Forensics IAS8. Information States IAS9. Security Services IAS10. Threat Analysis Model IAS11. Vulnerabilities Domain 9 Domain 9 All (except Domain1) All Domain 8 Domain 1 Domain 1 Domain 9 Domain 9 IPT. Integrative Programming & Technologies IPT5. Software Security Practices Domain 4 NET. Networking NET4. Security Domain 6 SIA. System Integration & Architecture SIA5. Testing & QA Domain 4 SP. Social & Professional Issues SP5. Intellectual Properties SP8. Professional & Ethical Issues & Responsibilities SP9. Privacy & Civil Liberties Domain 2 Domain 2 Domain 2 WS. Web Systems & Technologies WS5. Vulnerabilities Domain 6 Οι Πίνακες 30 και 31 παρουσιάζουν τα επιμέρους θέματα και τη σχετική ενότητα του προτεινόμενο γνωστικού υποβάθρου στην οποία αντιστοιχούν. Πιο συγκεκριμένα, δεν Παράρτημα Δ : Δημοσιεύσεις και αναφορές 93

109 εντοπίστηκε κάποιο θέμα το οποίο να μην είχε συμπεριληφθεί στο ΓΥ, ενώ όλα τα θέματα που εντοπίστηκαν αναλύονται περαιτέρω στο ΓΥ. Αυτό σημαίνει ότι οι δομές των μαθημάτων μπορούν να εμπλουτιστούν σε θέματα ασφάλειας με βάση το συγκεκριμένο ΓΥ. Πίνακας 31: Σχέση με την ασφάλεια του ACM/IEEE Υποβάθρου για Επιστήμη Υπολογιστών Computer Science CBK AL. Algorithms & Complexity AL9. Cryptographic algorithms Domain 3 OS. Operating Systems OS7. Security & protection Domain 4 NC. Net-Centric Computing NC3. Network security Domain 6 SP. Social & Professional Issues SP4. Professional & ethical responsibilities SP5. Risks & liabilities of computerbased systems SP6. Intellectual property SP7. Privacy & civil liberties SP8. Computer crime Domain 2 Domain 9 Domain 2 Domain 2 Domain 2 SE. Software Engineering SE11. Software reliability Domain 4 Παρόλα αυτά, δεν εντοπίστηκε μια ρητή αναφορά σε κρίσιμες υποδομές, όπως για παράδειγμα ένα μάθημα ή μια διδακτική ενότητα σε κάποιο μάθημα. Επίσης, όλα τα μαθήματα εξετάζονται υπό την οπτική της ασφάλειας πληροφοριών. Καθώς, το προτεινόμενο υπόβαθρο δεν προσφέρει αναλυτικά syllabi μαθημάτων, διδακτικό υλικό και προτεινόμενες ώρες διδασκαλίες για τα παραπάνω, όπως αυτή η προσέγγιση, ένα ενδιαφέρον μελλοντικό βήμα θα ήταν ο συνδυασμός των δύο προσπαθειών. 3.7 Σύνοψη κεφαλαίου Το κεφάλαιο αυτό συνέβαλλε στη δημιουργία ενός εξειδικευμένου ΓΥ για Ασφάλεια Πληροφοριακών Συστημάτων και Προστασία Κρίσιμων Υποδομών. Αντίστοιχα υπόβαθρα δεν είναι στην παρούσα φάση διαθέσιμα στην ακαδημαϊκή και επαγγελματική κοινότητα, τουλάχιστον σε τέτοιο βαθμό πληρότητας και λεπτομέρειας. Συνεπώς, το γνωστικό αυτό υπόβαθρο καλύπτει την ανάγκη για οριοθέτηση της περιοχής αυτής τόσο σε εκπαιδευτικό όσο και ερευνητικό επίπεδο. Κύριος στόχος ήταν η εννοιολογική σύνδεση των γνωστικών περιοχών της Ασφάλειας Πληροφοριών και της Προστασίας Κρίσιμων Υποδομών, με τρόπο που είναι κατάλληλος για τη δημιουργία εκπαιδευτικών προγραμμάτων σπουδών σε προπτυχιακό αλλά και μεταπτυχιακό επίπεδο. Παράλληλα, δύναται να αξιοποιηθεί και για την κατάταξη επαγγελματικών ειδικοτήτων ή την εκπαίδευση και κατάρτιση επαγγελματιών στο πεδίο αυτό. Τέλος, απώτερος στόχος στα πλαίσια αυτής της διατριβής, ήταν η κατανόηση της ερευνητικής περιοχής ΠΚΥ, ως βάση για την εξέταση των ερευνητικών ζητημάτων που σχετίζονται με την ΠΚΥ και αναλύονται στα κεφάλαια που ακολουθούν. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 94

110 Crops can be re-sown, homes re-built. Within these walls... we will outlast them. King Theoden at Helm s Deep, Lord of the Rings, The Two Towers 4 Εκτίμηση Κρισιμότητας Υποδομών Η ανάγκη για την αποτίμηση του επιπέδου κρισιμότητας μεταξύ υποδομών, με στόχο την επιλογή κατάλληλων αντιμέτρων, επισημαίνεται τόσο από την ΕΕ [EC, 2006a; 2006b; European Council, 2008], από τις Η.Π.Α. [DHS, 2009], αλλά και άλλες κυβερνήσεις [ΕΜΑ, 2003], [PSC, 2004]. Πιο συγκεκριμένα, η τελευταία ευρωπαϊκή οδηγία προδιαγράφει ότι: θα πρέπει να τεθούν σε εφαρμογή σχέδια ασφαλείας λειτουργίας ή ισοδύναμα μέτρα που θα περιλαμβάνουν προσδιορισμό σημαντικών περιουσιακών στοιχείων, αξιολόγηση του κινδύνου και προσδιορισμό, επιλογή και αναγνώριση προτεραιότητας των αντίμετρων και των διαδικασιών. [ ]Για να διευκολυνθεί η βελτίωση της προστασίας των κρίσιμων υποδομών, δύνανται να εκπονηθούν κοινές μέθοδοι για τον προσδιορισμό και τον χαρακτηρισμό των κινδύνων, των απειλών και των τρωτών σημείων για τα περιουσιακά στοιχεία των έργων υποδομής [European Council, 2008]. Ως πρώτο βήμα, προδιαγράφεται η επιλογή των υποδομών οι οποίες μπορούν να χαρακτηριστούν ως κρίσιμες. Κάθε κράτος μέλος θα πρέπει να προσδιορίζει τις ενδεχόμενες κρίσιμες υποδομές βάση διαδικασίας η οποία εξετάζει εξειδικευμένα τομεακά κριτήρια, καθώς και οριζόντια κριτήρια, όπως τα εξής: (α) κριτήριο απωλειών (αξιολόγηση ως προς τον πιθανό αριθμό νεκρών ή τραυματιών), (β) κριτήριο οικονομικών επιπτώσεων (αξιολόγηση ως προς τη σπουδαιότητα της οικονομικής ζημίας και/ ή υποβάθμισης προϊόντων ή υπηρεσιών, συμπεριλαμβανομένων των δυνητικών περιβαλλοντικών επιπτώσεων), (γ) κριτήριο των επιπτώσεων για το κοινό (αξιολόγηση ως προς τις επιπτώσεις για την εμπιστοσύνη του κοινού, τη σωματική οδύνη και τη διατάραξη της καθημερινής ζωής, συμπεριλαμβανομένης της απώλειας υπηρεσιών ζωτικής σημασίας) [European Council, 2008]. Αντίστοιχα, το σχέδιο για την προστασία των εθνικών υποδομών των Η.Π.Α. [DHS, 2009] προδιαγράφει μια ανάλογη διαδικασία εκτίμησης επικινδυνότητας, η οποία εμπεριέχει ένα στάδιο αναγνώρισης των αγαθών, συστημάτων και δικτύων που θεωρούνται ως κρίσιμα και ως πόροι χαρακτηριστικής σημασίας (key resources) και, συνεπώς, θα πρέπει να συμπεριληφθούν στην ανάλυση. Είναι σαφές, ότι υπάρχει ισχυρή συσχέτιση μεταξύ της ΠΚΥ και της αντιμετώπισης των κινδύνων που απειλούν αυτές. Οι δύο έννοιες μοιάζουν ταυτόσημες. Πάραυτα, η έννοια της κρισιμότητας μιας υποδομής δεν έχει ορισθεί σαφώς και με τυπικό τρόπο. Παρατηρούμε απουσία μεθόδων προσδιορισμού της κρισιμότητας, καθώς ούτε οργανισμοί προτυποποίησης ούτε η ακαδημαϊκή έρευνα έχει σχεδιάσει και ορίσει Παράρτημα Δ : Δημοσιεύσεις και αναφορές 95

111 τυπικά μεθοδολογίες εκτίμησης κρισιμότητας, σε αντιδιαστολή με τις μεθοδολογίες εκτίμησης επικινδυνότητας ΠΣ, οι οποίες χρησιμοποιούνται ευρέως και ακολουθούν συγκεκριμένα πρότυπα. Λόγω του γεγονότος ότι η ΠΚΥ διέπεται από απουσία προτύπων όσον αφορά την εκτίμηση επικινδυνότητας, στο χώρο χρησιμοποιούνται πρότυπα ασφάλειας πληροφοριών και φυσικής ασφάλειας (safety) ως συμπληρωματικά [Bialas, 2006]. Μοναδική εξαίρεση αποτελούν τα εξειδικευμένα για τον τομέα της ενέργειας πρότυπα του οργανισμού North American Electric Reliability Corporation (NERC) (βλ. Ενότητα 2.3.5). Το πρότυπο για προστασία υποδομών CIP προδιαγράφει μια βασισμένη στην επικινδυνότητα διαδικασία εκτίμησης (riskbased assessment methodology) για τον προσδιορισμό των Κρίσιμων Αγαθών (Critical Assets). Ο χαρακτήρας, όμως, του προτύπου είναι αρκετά γενικός και δεν προσδιορίζει συγκεκριμένη μέθοδο εκτίμησης επικινδυνότητας, ούτε θέτει λεπτομερείς προδιαγραφές για αυτή [NERC, 2009]. Συνεπώς, θα πρέπει να προσδιορισθεί ο τρόπος με τον οποίο υπάρχουσες μεθοδολογίες εκτίμησης επικινδυνότητας μπορούν να χρησιμοποιηθούν, ώστε είτε να συνδυαστούν με νέες μεθοδολογίες ή να τροποποιηθούν με κατάλληλο τρόπο για (α) την εκτίμηση της κρισιμότητας, (β) την κατηγοριοποίηση και ταξινόμηση των υποδομών, αλλά και (γ) τη θέσπιση προτεραιοτήτων με στόχο την προστασίας τους. Στο κεφάλαιο αυτό θα εξετάσουμε τις υπάρχουσες προσεγγίσεις για τον προσδιορισμό της κρισιμότητας. Θα ορίσουμε την έννοια της κρισιμότητας και να σκιαγραφήσουμε τη συσχέτισή της με την έννοια της επικινδυνότητας. Πιο συγκεκριμένα, συγκρίνουμε τις δύο διαδικασίες με βάση συγκεκριμένα χαρακτηριστικά (π.χ. εμβέλεια, στόχους, φύση και κλίμακα των επιπτώσεων, των απειλών και των ευπαθειών) και προδιαγράφουμε τον τρόπο βάση του οποίου υπάρχοντα αποτελέσματα εκτίμησης επικινδυνότητας μπορούν να αξιοποιηθούν για την ΠΚΥ. Στη συνέχεια της ενότητας, περιγράφεται μια γενική μέθοδος εκτίμησης της κρισιμότητας, η οποία περιλαμβάνει κριτήρια τα οποία εξετάζουν και την κοινωνική και τομεακή επίπτωση μιας υποδομής (social-centric and/or sector-centric impact), σε αντίθεση με τις συνήθεις μεθόδους οι οποίες μεταφέρουν τις μεθόδους εκτίμησης επικινδυνότητας απευθείας από το χώρο των ΠΣ και εστιάζουν στις οργανωσιακές επιπτώσεις για μια υποδομή [Theoharidou et al., 2009]. 4.1 Υπάρχουσες προσεγγίσεις Η πιο συνήθης πρακτική για το χαρακτηρισμό μιας υποδομής και των συνιστωσών της ως κρίσιμη, είναι η εκτίμηση του επιπέδου της επίπτωσης από την ενδεχόμενη εκδήλωση περιστατικών ασφαλείας. Οι περισσότερες μέθοδοι εστιάζουν στις επιπτώσεις ενός γεγονότος, δηλαδή στις συνέπειες μιας κατάστασης ή ενός γεγονότος εκφραζόμενες ποιοτικά ή ποσοτικά, οι οποίες μπορούν να είναι απώλεια, τραυματισμός, βλάβη ή κέρδος [ΕΜΑ, 2003]. Η πρακτική αυτή συμβαδίζει και με τον ορισμό μιας υποδομής ως κρίσιμης, καθώς μια υποδομή θεωρείται κρίσιμη όταν τυχόν υποβάθμιση, διακοπή ή δυσλειτουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία της Δημόσιας Διοίκησης ή/και της Οικονομίας. Στη βιβλιογραφία χρησιμοποιούνται κυρίως οι όροι παράγοντας επίπτωσης (impact factor) ή παράγοντας κρίσιμου αγαθού (critical asset factor), οι οποίοι αναφέρονται σε κριτήρια τα οποία χρησιμοποιούνται για την ιεράρχηση πιθανών κρισίμων αγαθών ή υποδομών και, έπειτα, για τη θέσπιση προτεραιοτήτων προστασίας μεταξύ αυτών. Η Παράρτημα Δ : Δημοσιεύσεις και αναφορές 96

112 επίπτωση συνήθως εκτιμάται με βάση τρία πρωτεύοντα χαρακτηριστικά, τα οποία δεν εμφανίζουν ομοιογένεια ως προς την ονοματολογία τους [EC, 2006a; 2006b], [ΕΜΑ, 2003], [MIKR, 2008]: (a) εμβέλεια (scope) ή χωρική κατανομή (spatial distribution): αφορά τη γεωγραφική περιοχή η οποία ενδέχεται να επηρεαστεί από την απώλεια ή μη διαθεσιμότητα μιας υποδομής (πχ. διεθνής, εθνική, περιφερειακή, τοπική εμβέλεια), (b) σφοδρότητα (severity), ένταση (intensity) ή μέγεθος (magnitude): αποτιμά τις συνέπειες της διακοπής λειτουργίας ή καταστροφής μιας υποδομής, και (c) χρονική επίπτωση (effects of time) ή χρονική κατανομή (temporal distribution): αφορά εκείνο το χρονικό σημείο της απώλειας μιας συνιστώσας, οπότε θα υπήρχε σημαντική επίδραση (πχ. άμεσα, μέσα στο επόμενο 24ωρο, σε μια εβδομάδα κλπ.). Στη συνέχεια περιγράφονται επιλεγμένες προσεγγίσεις σχετικές με τον υπολογισμό κρισιμότητας οι οποίες επιλέχθηκαν με γνώμονα την πληρότητά τους, αλλά και την αναγνωρισιμότητά τους. Στο σύνολό τους εκτιμάται ότι συνθέτουν μια σχετικά πλήρη εικόνα σχετικά με την τρέχουσα διεθνή πρακτική Ευρωπαϊκή προσέγγιση Η ένταση της επίπτωσης (intensity) συνήθως αναλύεται σε περαιτέρω εξειδικευμένα κριτήρια, τόσο ποσοτικά όσο και ποιοτικά. Για παράδειγμα, η ευρωπαϊκή επιτροπή [EC, 2006a; 2006b] ορίζει ένα ελάχιστο σύνολο από κριτήρια που θα πρέπει να εξετάζει κάθε κράτος μέλος όταν αποφαίνεται για την κρισιμότητα των υποδομών του: (α) δημόσια επίπτωση (αριθμός πολιτών που επηρεάστηκαν, απώλεια ανθρώπινης ζωής, τραυματισμός, ασθένεια, εκκένωση), (β) οικονομικές συνέπειες (επηρεασμός του ΑΕΠ, μέγεθος οικονομικής απώλειας και/ή υποβάθμιση προϊόντων και υπηρεσιών), (γ) περιβαλλοντική επίπτωση (στο κοινό και στους περιβάλλοντες χώρους), (δ) αλληλοεξάρτηση (με άλλες υποδομές ή/και συνιστώσες τους), (ε) πολιτική επίπτωση (επηρεασμός της εμπιστοσύνης στην ικανότητα της κυβέρνησης), και (στ) ψυχολογική επίπτωση. Όλα τα παραπάνω κριτήρια αξιολογούνται ως προς την εμβέλεια (διεθνής, εθνική, περιφερειακή, τοπική) και το χρόνο (κατά τη διάρκεια και μετά την εκδήλωση ενός περιστατικού) Προσέγγιση Η.Π.Α. Σε μια παρόμοια προσέγγιση, το US National Infrastructure Protection Plan [DHS, 2009] παρουσιάζει κριτήρια για την εκτίμηση των συνεπειών (consequences): (α) δημόσια υγεία και ασφάλεια (safety) η επίπτωση στην ανθρώπινη ζωή και στη σωματική ακεραιότητα, (β) οικονομικές συνέπειες άμεσες και έμμεσες οικονομικές απώλειες, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 97

113 (γ) ψυχολογικές συνέπειες η επίδραση στο ηθικό του κοινού και στην εμπιστοσύνη προς εθνικούς οικονομικούς και πολιτικούς οργανισμούς και θεσμούς, και (δ) συνέπειες στη διακυβέρνηση και την εκπλήρωση στόχων η επίπτωση στην ικανότητα των επιχειρήσεων και της κυβέρνησης να διατηρήσει την ευνομίας και την τάξη, να παραδώσουν ένα ελάχιστο επίπεδο δημόσιων υπηρεσιών, να διασφαλίσουν τη δημόσια υγεία και ασφάλεια, και να διεκπεραιώσουν εθνικές αποστολές σχετικές με την ασφάλεια Προσέγγιση σύμφωνα με τον Kröger Ο [Kröger, 2008] αναγνωρίσει ένα ευρύτερο σύνολο παραγόντων που ενδέχεται να επηρεάζουν το μέγεθος της επίπτωσης και επομένως και την κρισιμότητα: (α) η πολυπλοκότητα της υποδομής (complexity), (β) η εξάρτηση (dependence) από άλλες υποδομές, για άλλες υποδομές, εξαρτήσεις εντός των συνιστωσών μιας υποδομής και η εξάρτηση από τις ΤΠΕ (γ) η ευπάθεια (vulnerability), η οποία μπορεί να είναι εξωτερικής προέλευσης (φυσικοί κίνδυνοι, κατασκευαστικά έργα κλπ.), τεχνικές ή ανθρώπινες αστοχίες, κυβερνοεπιθέσεις ή τρομοκρατία, και (δ) το περιβάλλον της αγοράς, δηλαδή, ο βαθμός της απελευθέρωσης της αγοράς, η ανεπάρκεια ελέγχου και η ταχύτητα της αλλαγής. Εικόνα 18: Μέθοδος εκτίμησης κρισιμότητας κατά [Kröger, 2008] Ο [Kröger, 2008] αναλύει πέντε κρίσιμους τομείς (ηλεκτρική ενέργεια, φυσικό αέριο, σιδηρόδρομοι, ΤΠΕ και ύδρευση) με βάση τους παραπάνω παράγοντες και δημιουργεί έναν πίνακα εκτίμησης (assessment matrix) για αυτές. Η συνολική εκτίμηση απεικονίζεται χρωματικά στο παραπάνω σχήμα βάση μιας ποιοτικής κλίμακας Παράρτημα Δ : Δημοσιεύσεις και αναφορές 98

114 κρισιμότητας: υψηλή (κόκκινο), μεσαία (κίτρινο) και χαμηλή (πράσινο). Στις περιπτώσεις όπου η εκτίμηση κρισιμότητας κυμαίνεται μεταξύ δύο διαβαθμίσεων και απεικονίζεται με δύο χρώματα, αυτό υποδηλώνει αλλαγές ή τάσεις Καναδική προσέγγιση Ανάλογα κριτήρια προσδιορισμού των κρίσιμων υποδομών ορίζονται από μια καναδική προσέγγιση [PSC, 2004]. Αυτή διαφοροποιείται καθώς τα κριτήρια συνοδεύονται από ανάλογες κλίμακες αποτίμησης του βαθμού κρισιμότητας. Ειδικότερα, υιοθετούνται έξι κριτήρια που αφορούν την απώλεια της διαθεσιμότητας ενός αγαθού ή μιας υπηρεσίας (βλ. Πίνακας 32): Βαθμός συγκέντρωσης πληθυσμού. Εκτιμά τις πιθανές ανθρώπινες απώλειες, τραυματισμούς ή εγκαταστάσεις που πρέπει να εκκενωθούν λόγω της απώλειας μιας υπηρεσίας ή μιας εγκατάστασης. Δεν περιλαμβάνει εκτιμήσεις για τον αριθμό των ατόμων που επηρεάζονται γενικότερα από την απώλεια της διαθεσιμότητας. Βασίζεται στο ότι, όσο υψηλότερη είναι η συγκέντρωση των ατόμων, τόσο μεγαλύτερη είναι η πιθανότητα για καταστροφικά γεγονότα. Οικονομική επίπτωση. Εκτιμά την πιθανή οικονομική επίπτωση από την υποβάθμιση της ποιότητας μιας υπηρεσίας έως την πλήρη μη διαθεσιμότητά της. Εκτός από την άμεση φυσική απώλεια ή διακοπή ενός αγαθού, συνεκτιμά σε ποιοτικούς όρους, και απώλειες που σχετίζονται με τις ανάλογες πληροφορίες ή ανθρώπους που χρησιμοποιούν το αγαθό. Εμβέλεια επιπτώσεων. Εκτιμά πώς η απώλεια ενός αγαθού επηρεάζει έναν ή περισσότερους τομείς. Αλληλοεξάρτηση. Εκτιμά την επίπτωση σε άλλες υποδομές από την απώλεια μιας υ- πηρεσίας κάποιας υποδομής. Εντοπίζονται οι συσχετίσεις μεταξύ υποδομών ανά υ- πηρεσία ή αγαθό. Στόχος είναι να εντοπιστούν επιπτώσεις κλίμακας σε άλλες κρίσιμες υπηρεσίες/λειτουργίες/αγαθά μέσα σε ένα τομέα ή σε άλλους τομείς. Οι τύποι της αλληλοεξάρτησης περιλαμβάνουν: (α). φυσική εξάρτηση (το προϊόν μιας υποδομής χρησιμοποιείται από μια άλλη), (β). γεωγραφική εξάρτηση (πχ. κοινή εγκατάσταση) και (γ). λογική εξάρτηση. Κρισιμότητα υπηρεσίας. Εκτιμάται ποιοτικά η επίπτωση της καταστροφής ή της προσωρινής απώλειας ενός αγαθού ενός τομέα στην Οικονομία. Αρχικά, απαιτείται ποσοτική εκτίμηση του χρόνου που μπορεί μια υπηρεσία να είναι διαθέσιμη πριν αρχίσουν να υπάρχουν σημαντικές επιπτώσεις. Η κρισιμότητα μιας υπηρεσίας σχετίζεται με τη διαθεσιμότητα των εναλλακτικών υπηρεσιών, καθώς και με το κόστος και το χρόνο αποκατάστασής της. Εμπιστοσύνη του κοινού. Εκτιμάται η επίπτωση στην κοινή γνώμη (εργαζομένων, καταναλωτών, πολιτών, ομάδων με ειδική ευαισθησία ή/και επιρροή κλπ.). Ειδικότερα, εκτιμάται η εμπιστοσύνη του κοινού στην Κυβέρνηση, που αφορά την προστασία της δημόσιας υγείας, της ασφάλειας, την οικονομία ή την παροχή σχετικών υπηρεσιών. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 99

115 Πίνακας 32: Καναδική προσέγγιση εκτίμησης επίπτωσης Επίπτωση Πολύ Υψηλή Υψηλή Μέτρια Χαμηλή Βαθμός Συγκέντρωση πληθυσμού Οικονομική επίπτωση (άμεσο κόστος αποκατάστασης) Εμβέλεια επιπτώσεων Βαθμός αλληλοεξάρτησης >10,000 1,000-10, ,000 <100 >100 x 10 6 $ x 10 6 $ 1-10 x 10 6 $ <1 x 10 6 $ Διεθνής (ή σε ολόκληρο τομέα) Συντριπτική επίδραση σε άλλους τομείς Εθνική Περιφερειακή Τοπική Σημαντική επίδραση σε άλλους τομείς Μέτρια επίδραση σε άλλους τομείς Μικρή επίδραση σε άλλους τομείς Κρισιμότητα υπηρεσίας Εμπιστοσύνη του κοινού Υψηλό κόστος σε περισσότερους από ένα τομείς, χρόνος ανάκαμψης μεγαλύτερος του έτους Υψηλός εθνικός κίνδυνος και πλήγμα στην αξιοπιστία της κυβέρνησης Υψηλό κόστος, υψηλός απαιτουμενος χρόνος α- νάκαμψης (βδομάδες - μήνες) Αντίληψη υψηλού κινδύνου, σε συνδυασμό με χαμηλή κυβερνητική αξιοπιστία από το κοινό Μέτριο κόστος, σημαντικός απαιτούμενος χρόνος ανάκαμψης (μέρες - βδομάδες) Αντίληψη μετρίου κινδύνου σε συνδυασμό με μετριασμό της κυβερνητικής αξιοπιστίας στό το κοινό Χαμηλό κόστος, μικρός απαιτούμενος χρόνος ανάκαμψης (ώρες - μέρες) Αντίληψη χαμηλού κινδύνου και υψηλής κυβερνητικής αξιοπιστίας από το κοινό Σημειώνεται ότι για την τεκμηρίωση της μεθόδου απαιτείται να προδιαγραφεί μία λίστα από αγαθά ή/και υπηρεσίες. Αν ένα αγαθό δεν είναι κρίσιμο, καθώς έχει αμελητέα επίπτωση, μπορεί να αποτιμηθεί με την ποσοτική κλίμακα μηδέν Προσέγγιση της ζωτικότητας Σε μια ολλανδική προσέγγιση [Luiijf et al., 2003], χρησιμοποιείται ο όρος ζωτικότητα (vitality) για την απόδοση της σημασίας μιας υποδομής. Πιο συγκεκριμένα, ορίζονται οι έννοιες της έμμεσης και άμεσης ζωτικότητας. Η έμμεση ζωτικότητα (indirect vitality) αναφέρεται στο βαθμό όπου άλλα ζωτικά αγαθά και υπηρεσίες συνεισφέρουν στη διατήρηση του συγκεκριμένου αγαθού ή της υπηρεσίας, και άμεση ζωτικότητα (direct vitality) ορίζεται ως η συνεισφορά ενός προϊόντος ή μιας υπηρεσίας στο κοινωνικό σύνολο. Όσο υψηλότερος ο βαθμός της έμμεσης και της άμεσης ζωτικότητας, τόσο πιο ζωτικό (κρίσιμο) είναι ένα προϊόν ή μια υπηρεσία για την κοινωνία (βλ. Εικόνα 19). Παρατηρούμε ότι η μέθοδος αυτή Παράρτημα Δ : Δημοσιεύσεις και αναφορές 100

116 συνυπολογίζει και την αλληλεξάρτηση μεταξύ υποδομών, ενώ οι προηγούμενες είτε εξέταζαν μια υποδομή μεμονωμένα είτε χρησιμοποιούν κάποιο ποιοτικό κριτήριο αποτίμησης της (π.χ. επηρεάζει καμία ή μία ή περισσότερες υποδομές). Πιο συγκεκριμένα, για την μέτρηση της εξάρτησης των υποδομών (dependability), χρησιμοποιούνται οι έννοιες της προς-τα-πίσω (backward) και της προς-τα-μπροστά (forward) εξάρτησης (βλ. Εικόνα 19 και Εικόνα 20). Εικόνα 19: Έμμεση και άμεση ζωτικότητα για ζωτικά προϊόντα και υπηρεσίες Εικόνα 20: Εξαρτήσεις ζωτικών προϊόντων και υπηρεσιών Τέλος, χρησιμοποιείται και ένα κριτήριο που εκτιμά τον χρόνο που απαιτείται από την εκδήλωση ενός περιστατικού μέχρι την ανάκαμψη της υποδομής (failure vs. recovery), π.χ. ο χρόνος για την ανάκαμψη σε ένα ελάχιστο επίπεδο υπηρεσίας, για πλήρη ανάκαμψη, και το χρονικό σημείο εκδήλωσης της μέγιστης επίπτωσης (βλ. Εικόνα 21). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 101

117 Εικόνα 21: Χρονικά σημεία εκδήλωσης περιστατικού και ανάκαμψης Ολλανδική μεθοδολογία Μια αρκετά αναπτυγμένη μεθοδολογία είναι η εθνική μεθοδολογία για την εκτίμηση επικινδυνότητας για τις κρίσιμες υποδομές των Κάτω Χωρών (National Risk Assessment Method Guide - NRAMG) [MIKR, 2008]. Στη μέθοδο αυτό η επίπτωση εκτιμάται με βάση πέντε κριτήρια, όπως αυτά αναλύονται στον Πίνακα που ακολουθεί. Πίνακας 33: Κριτήρια της μεθόδου NRAMG (Κάτω Χώρες) Κριτήριο Εθνική Ασφάλεια Φυσική Ασφάλεια Οικονομική Ασφάλεια Οικολογική Ασφάλεια Κοινωνική και Πολιτική Σταθερότητα Υπο-κριτήριο 1.1 Καταστρατήγηση της επικράτειας των Κάτω Χωρών 1.2 Υποβάθμιση της διεθνής θέσης των Κάτω Χωρών 2.1 Απώλειες ανθρώπινων ζωών 2.2 Σοβαροί τραυματισμοί και χρόνιες παθήσεις 2.3 Physical suffering 3.1 Κόστη 4.1 Μακροπρόθεσμη ζημία στο περιβάλλον και τη φύση (χλωρίδα και πανίδα) 5.1 Διατάραξη της καθημερινότητας 5.2 Παραβίαση του δημοκρατικού συστήματος 5.3 Κοινωνική-ψυχολογική επίπτωση: οργή (rage) και αγωνία (anxiety) Καθένα από αυτά τα κριτήρια εκτιμάται με μια κλίμακα πέντε κατηγοριών ως προς τις συνέπειες: (A) περιορισμένες, (B) σημαντικές, (C) σοβαρές, (D) πολύ σοβαρές, και (Ε) καταστροφικές. Όλα τα κριτήρια εκτιμώνται ως προς το εύρος (range) και τη διάρκεια (duration). Επειδή η συγκεκριμένη μέθοδος είναι από τις πιο λεπτομερώς περιγεγραμμένες, ακολουθούν ενδεικτικά παραδείγματα για κάθε μια κατηγορία κριτηρίων (ένα υπο-κριτήριο ανά κατηγορία). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 102

118 Πίνακας 34: Κριτήριο 1.1 της NRAMG Καταστρατήγηση της επικράτειας των Κάτω Χωρών Εμβέλεια (ποσοστό) Διάρκεια τοπική max. 100 km 2 (< 0,25%) περιφερειακή km 2 (0,25% - 2,5%) σε επίπεδο διαμερίσματος km 2 (2,5% - 25%) εθνική > km 2 (>25%) 2-6 μέρες Α Α Β C 1-4 εβδομάδες A B C D 1-6 μήνες B C D E >1/2 έτος B C D E Πίνακας 35: Κριτήριο 2.1 της NRAMG - Ανθρώπινες απώλειες Αριθμός < Χρόνος > Άμεση απώλεια (εντός του 1 ου έτους) A B C D E Πρόωρος θάνατος (εντός 1-20 ετών) A A B C D Πίνακας 36: Κριτήριο 3.1 της NRAMG - Κόστη Κόστη (σε ) < 50 million A < 500 million B < 5 billion C < 50 billion D >50 billion E 1. ζημία σε ιδιοκτησίες 2. ζημία στον τομέα της υγείας 3. οικονομική ζημία 4. κόστος αντιμετώπισης και αποκατάστασης total economic loss A B C D E Πίνακας 37: Κριτήριο 4.1 της NRAMG - Μακροχρόνια επίδραση στο περιβάλλον και τη φύση (χλωρίδα και πανίδα) Έκταση < 10 % % % Διάρκεια 1-3 έτη A B C >3-10 έτη B C D >10 έτη C D E - Πίνακας 38: Κριτήριο 5.3 της NRAMG: Κοινωνική - Ψυχολογική Επίπτωση Αριθμός < < < Διάρκεια άτομα άτομα άτομα > άτομα 1-2 days A A B C 3 days to 1 week A B C D 1 week to 1 month B C D E 1 month or longer C D E E Και τα δέκα (10) υπο-κριτήρια, όπως μέρος αυτών παρουσιάστηκε στους παραπάνω πίνακες, ως προς την ποιοτική τους αποτίμηση, συνεισφέρουν στον υπολογισμό της Παράρτημα Δ : Δημοσιεύσεις και αναφορές 103

119 κρισιμότητας. Η μέθοδος δε θεωρεί, κατ ανάγκη όλα τα κριτήρια ισοβαρή, αλλά τα σταθμίζει διαφορετικά με βάση πέντε προσεγγίσεις: Προσέγγιση A1 Ατομικισμός Προσέγγιση Α2 Μοιρολατρία Προσέγγιση Β1 Ισονομία Προσέγγιση Β2 Ιεραρχία Προσέγγιση 00 Ισότιμα βάρη Η εικόνα που ακολουθεί, δείχνει πως σταθμίζει η κάθε προσέγγιση τα κριτήρια αυτά. Εικόνα 22: Στάθμιση κριτηρίων της μεθόδου NRAMG Ορολογία και κριτήρια εκτίμησης κρισιμότητας Με βάση τις παραπάνω προσεγγίσεις, παρατηρούμε ότι δεν ακολουθείται μια κοινώς αποδεκτή μέθοδος, αλλά η επιλογή αυτή βασίζεται στη στρατηγική η οποία επιλέγεται ανά χώρα. Πιο συγκεκριμένα, εμφανίζονται διαφοροποιήσεις (αλλά και ομοιότητες) όσον αφορά την ορολογία η οποία χρησιμοποιείται για να αποδώσει τις έννοιες, αλλά εμφανίζονται και σημαντικές διαφοροποιήσεις ανάλογα με τα κριτήρια τα οποία επιλέγονται. Ο Πίνακας 39 συγκεντρώνει τις διαφοροποιήσεις ως προς την ορολογία. Παρατηρούμε ότι κυριαρχεί ο όρος κρισιμότητα (criticality), ο οποίος ταυτίζεται εννοιολογικά με τη ζωτικότητα (vitality). Άλλες προσεγγίσεις υιοθετούν τον όρο της επικινδυνότητας (risk) και προσανατολίζονται στην εκτίμηση της επίπτωσης ή των συνεπειών, χωρίς να αναφερθούν ρητώς σε κάποιο νέο όρο. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 104

120 Πίνακας 39: Προσεγγίσεις υπολογισμού κρισιμότητας Ορολογία Ορολογία Προσέγγιση Κρισιμότητα (Criticality) [EC, 2006a; 2006b] [Kröger, 2008] [PSC, 2004] Ζωτικότητα (Vitality) [Luiijf et al., 2003] Επικινδυνότητα (Risk): Υπολογισμός Επίπτωσης (Impact) ή Συνεπειών (Consequences) [MIKR, 2008] [DHS, 2009] Στη συνέχεια παρουσιάζονται επιγραμματικά, όλα τα κριτήρια για την αποτίμηση της επίπτωσης τα οποία εντοπίστηκαν από την ανάλυση των υπαρχουσών προσεγγίσεων (βλ. Πίνακας 40). Πίνακας 40: Προσεγγίσεις υπολογισμού κρισιμότητας Κριτήρια Αποτίμησης Επίπτωσης Επίπτωση (Κριτήρια αποτίμησης) Προσέγγιση Δημόσια Υγεία και Ασφάλεια (Public Health & [EC, 2006a; 2006b], [MIKR, 2008], [DHS, 2009] Safety) Οικονομική (Economic) [EC, 2006a; 2006b], [MIKR, 2008], [PSC, 2004], [DHS, 2009] Περιβαλλοντολογική (Environment) [EC, 2006a; 2006b],[MIKR, 2008] Πολιτική (Political/ Governance/ Mission) [EC, 2006a; 2006b], [MIKR, 2008], [DHS, 2009] Ψυχολογική, Κοινωνική Επίπτωση ή Δημόσια Εμπιστοσύνη (Psychological/ Social/ Public Confidence) Αλληλεξάρτηση (Interdependency) [EC, 2006a; 2006b[,[MIKR, 2008], [PSC, 2004], [DHS, 2009] [EC, 2006a; 2006b], [Kröger, 2008], [Luiijf et al., 2003], [PSC, 2004] Πολυπλοκότητα (Complexity) [Kröger, 2008] Ευπάθεια (Vulnerability) [Kröger, 2008] Περιβάλλον της αγοράς (Market Environment) [Kröger, 2008] Συγκέντρωση ανθρώπων και αγαθών [Kröger, 2008] (Concentration of people & assets) Εμβέλεια/ έκταση (Scope/Range) [EC, 2006a; 2006b], [MIKR, 2008], [PSC, 2004] Χρόνος επαναφοράς (Service Delivery/Recovery time) Εθνική Ασφάλεια (National/ Territorial security) [EC, 2006a; 2006b], [Luiijf et al., 2003], [MIKR, 2008], [PSC, 2004] [MIKR, 2008], [DHS, 2009] Παρατηρούμε ότι κάποια κριτήρια απαντώνται στις περισσότερες μεθόδους. Αυτά περιλαμβάνουν την οικονομική επίπτωση, την επίπτωση στην υγεία και την ασφάλεια των πολιτών, ψυχολογικές ή κοινωνικές συνέπειες. Κάποιες μέθοδοι εξετάζουν και παραμέτρους οι οποίες σχετίζονται με το χρόνο ή την εμβέλεια ενός περιστατικού. Ένα από τα πιο δύσκολα στην ποσοτικοποίηση του κριτήρια είναι αυτό της αλληλεξάρτησης μεταξύ υποδομών, αλλά και τομέων υποδομών. Η έννοια της αλληλεξάρτησης 25 υποδομών (interdependency) αναφέρεται στις περισσότερες των περιπτώσεων αλλά δεν αναλύεται. Όπως είδαμε και στην ενότητα 2.3.3, είναι ένα πολύ σημαντικό χαρακτηριστικό των κρίσιμων υποδομών, καθώς ποίκιλλες εξαρτήσεις εμφανίζονται μεταξύ υποδομών του ίδιου ή διαφορετικών 25 Εναλλακτικά χρησιμοποιείται και ο όρος διασύνδεση (interconnection) υποδομών. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 105

121 τομέων. Η εξάρτηση των επιμέρους τομέων είναι καθοριστικό στοιχείο και σε θέματα της Οικονομίας, αλλά και σε στρατηγικό επίπεδο, όταν σχεδιάζονται μέτρα και πολιτικές σε εθνικό επίπεδο, ιδιαίτερα κατά την κατανομή πόρων και επενδύσεων. Στην επόμενη ενότητα, παρουσιάζονται, οι έννοιες της κρισιμότητας και της επικινδυνότητας και προσδιορίζεται η σχέση τους. Στη συνέχεια, προτείνεται μια γενική μέθοδος υπολογισμού της κρισιμότητας μιας υποδομής, αν αυτή εξεταστεί μεμονωμένα ως προς την επίπτωσή της στο κοινωνικό σύνολο. Αν δούμε τις εξαρτήσεις μιας υποδομής, αυτές είναι κύριος παράγοντας για την εκτίμηση της κρισιμότητάς της, καθώς καθορίζει πόσο σημαντική είναι μια υποδομή σε σχέση με άλλες, αλλά και προσδιορίζει αν η συγκεκριμένη υποδομή βασίζεται σε άλλες για την παροχή αγαθών και υπηρεσιών. Πάραυτα, εισάγει σημαντική πολυπλοκότητα όταν συνθέτουμε μια μέθοδο υπολογισμού της κρισιμότητας. Επομένως, η συνολική της επίπτωση, η οποία προσδιορίζεται και βάση των αλληλεξαρτήσεων αυτής, θα προσδιορισθεί στο επόμενο κεφάλαιο, καθώς απαιτεί τη συνολική μελέτη περισσότερων υποδομών και τομέων και δεν μπορεί να γίνει πλήρως σε επίπεδο υποδομής. 4.2 Οι έννοιες της Κρισιμότητας και της Επικινδυνότητας Όπως παρατηρήσαμε στην προηγούμενη ενότητα, η εκτίμηση της κρισιμότητας εμφανίζει μεγάλες ομοιότητες με την εκτίμηση της επίπτωσης, ως στάδιο μιας κλασσικής μεθοδολογίας εκτίμησης επικινδυνότητας. Πολλά κριτήρια για την εκτίμηση του βαθμού κρισιμότητας μιας υποδομής είναι, επί της ουσίας, κριτήρια αποτίμησης της επίπτωσης σε ένα αγαθό όταν εκτιμούμε την επικινδυνότητα ενός συστήματος. Προφανώς, υπάρχει ισχυρός συσχετισμός μεταξύ της κρισιμότητας μιας υποδομής, της πιθανής επίπτωσης από τη μη απρόσκοπτη λειτουργία της και την επικινδυνότητα αυτής, δεδομένου ότι σε πολλές περιπτώσεις η πιθανότητα εμφάνισης θεωρείται ως δευτερευούσης σημασίας. Στη συνέχεια, εξετάζουμε αυτή τη συσχέτιση με στόχο να ορίσουμε το επίπεδο κρισιμότητας μιας υποδομής σε σχέση με το επίπεδο επικινδυνότητας αυτής Η κρισιμότητα ως (μερικό) υποσύνολο της επικινδυνότητας Πολλά από τα κριτήρια, τα οποία είδαμε στην προηγούμενη ενότητα να χρησιμοποιούνται για την αποτίμηση της επίπτωσης στην ΠΚΥ, είναι συνήθη σε μεθόδους εκτίμησης επικινδυνότητας ΠΣ. Παραδείγματα περιλαμβάνουν τη δημόσια υγεία και ασφάλεια, την εθνική ασφάλεια, τις οικονομικές απώλειες, την απώλεια διαθεσιμότητας υπηρεσίας ή την απώλεια της δημόσιας εμπιστοσύνης. Παρόλα αυτά, παρατηρούμε ότι καθιερωμένες μέθοδοι εκτίμησης επικινδυνότητας, όπως η CRAMM [Insight, 2005] ή η OCTAVE [CMU, 2001] εξετάζουν και άλλους παράγοντες όσον αφορά την επίπτωση ενός περιστατικού. Παραδείγματα αυτών είναι η απώλεια του ανταγωνιστικού πλεονεκτήματος (εμπορικά και οικονομικά συμφέροντα), νομικές και ρυθμιστικές κυρώσεις (επιβολή του νόμου και συμμόρφωση με το νομικό και κανονιστικό πλαίσιο) ή διακοπή της επιχειρηματικής λειτουργίας (λόγω αστοχιών συστημάτων, ανθρώπινα λάθη κλπ.). Κατά την εκπόνηση μιας διαδικασίας εκτίμησης επικινδυνότητας, ο υπολογισμός της επικινδυνότητας βασίζεται στον υπολογισμό της επίπτωσης σε συνδυασμό με την πιθανότητα εμφάνισης ενός περιστατικού, αλλά και την ύπαρξη σχετικών ευπαθειών. Αυτό σημαίνει ότι εκτιμάται εν μέρει και η κρισιμότητα των επιμέρους συνιστωσών ή Παράρτημα Δ : Δημοσιεύσεις και αναφορές 106

122 συστημάτων μιας υποδομής. Συνεπώς, οι κίνδυνοι οι οποίοι απαιτούν για τον υπολογισμό τους τα σχετικά με την κρισιμότητα κριτήρια επίπτωσης, θα μπορούσαν να θεωρηθούν ως κίνδυνοι σχετικοί με την κρισιμότητα (criticality-related risks). Όμως, το σύνολο των κριτηρίων που εξετάζονται είναι ευρύτερο, οι εκτιμούμενοι κίνδυνοι δεν σχετίζονται στο σύνολό τους με την κρισιμότητα, όπως αυτή νοείται στην ΠΚΥ. Υπό αυτή την έννοια, η κρισιμότητα αναγνωρίζεται ως μερικό υποσύνολο της επικινδυνότητας Η επικινδυνότητα ως (μερικό) υποσύνολο της κρισιμότητας Παρά τις επικαλύψεις που είδαμε παραπάνω, υπάρχουν αρκετοί παράγοντες για την εκτίμηση της κρισιμότητας οι οποίοι δεν συμπεριλαμβάνονται σε παραδοσιακές μεθοδολογίες εκτίμησης επικινδυνότητας ΠΣ. Χαρακτηριστικά παραδείγματα περιλαμβάνουν την εμβέλεια της επίπτωσης, οικονομικές επιπτώσεις (σε όρους ΑΕΠ), περιβαλλοντολογικές επιπτώσεις, την επίπτωση σε άλλες υποδομές του τομέα ή άλλων τομέων, κλπ. Ως αποτέλεσμα, μια μελέτη εκτίμησης επικινδυνότητας η οποία εκπονείται για έναν οργανισμό ή για περισσότερους οργανισμό ενός τομέα (π.χ. του τραπεζικού τομέα) δεν λαμβάνουν υπόψη κινδύνους που σχετίζονται με εξωτερικές αυτών επιπτώσεις. Για παράδειγμα, δεδομένου ότι η μελέτη στοχεύει στην προστασία του συγκεκριμένου οργανισμού, είναι εκτός του εύρους της μελέτης η εκτίμηση κοινωνικών ή/και τομεακών συνεπειών. Στην περίπτωση που αναλύαμε την κρισιμότητα ενός τραπεζικού φορέα, θα εκτιμούσαμε την επίπτωση του περιστατικού, όχι μόνο στη συγκεκριμένη υποδομή, αλλά και την κοινωνική επίπτωση που θα έχει αυτό και πως/αν επηρεάζεται ο τραπεζικός τομέας από αυτό. Στην περίπτωση της παραδοσιακής εκτίμησης επικινδυνότητας μας ενδιαφέρει αποκλειστικά ο συγκεκριμένος οργανισμός και η προστασία του. Στην περίπτωση που το περιστατικό προκαλούσε απώλεια διαθεσιμότητας στο σύνολο του τραπεζικού τομέα, σε αντιδιαστολή με απώλεια διαθεσιμότητας μόνο στη συγκεκριμένη τράπεζα, τότε αυτό ενδέχεται να αποτιμάται με χαμηλότερο βαθμό επικινδυνότητας. Αυτό οφείλεται στο γεγονός ότι ο οργανισμός δε θα έχανε το ανταγωνιστικό του πλεονέκτημα ή δε θα αντιμετώπιζε νομικές ή ρυθμιστικές κυρώσεις. Υπό αυτή την έννοια, υπάρχουν παράγοντες κρισιμότητας οι οποίοι δεν λαμβάνονται υπόψη σε κλασσικές μεθόδους ανάλυσης επικινδυνότητας και, συνεπώς, η επικινδυνότητα αναγνωρίζεται ως μερικό υποσύνολο της κρισιμότητας Επικινδυνότητα και Κρισιμότητα: Ομοιότητες και διαφορές Όπως περιγράφηκε παραπάνω, ο συνδετικός κρίκος μεταξύ κρισιμότητας και επικινδυνότητας είναι η επίπτωση. Για να μεταφέρουμε την εκτίμηση της επικινδυνότητας στο πεδίο των κρίσιμων υποδομών, θα πρέπει να λάβουμε υπόψη τους παρακάτω παράγοντες. Αλληλεξάρτηση των υποδομών. Οι μεθοδολογίες εκτίμησης επικινδυνότητας εστιάζουν κυρίως στα ΠΣ (ή τους οργανισμούς), τα οποία βλέπουν ως μια ολότητα την οποία θα πρέπει να προστατέψουν. Εξετάζουν μεν τις τυχόν αλληλεπιδράσεις με τρίτα συστήματα ή οργανισμούς, αλλά η μελέτη αυτών των εξαρτήσεων γίνεται μόνο σε επίπεδο διεπαφής και μόνο όσον αφορά ενδεχομένους κινδύνους που μπορεί να εισάγονται ή τροποποιούνται κατά την εκτίμηση βάση αυτών των επιδράσεων. Επομένως, δε διαθέτουν μηχανισμούς για να εντοπίσουν και αποτυπώσουν την Παράρτημα Δ : Δημοσιεύσεις και αναφορές 107

123 πολυπλοκότητα των αλληλεξαρτήσεων μεταξύ υποδομών (οι οποίες μπορεί να μην είναι μόνο πρώτου βαθμού, αλλά και υψηλοτέρων). Επίσης, δεν διαθέτουν μέσα αποτίμησης των επιπτώσεων που μπορούν να αφορούν έναν ολόκληρο τομέα, ή την πιθανότητα ένα περιστατικό να επιφέρει κλιμακούμενες ή αλυσωτές επιπτώσεις σε υποδομές ενός ή περισσοτέρων τομέων (cascading effects). Για αυτό τον λόγο πρέπει να ενσωματωθούν υπάρχοντα μοντέλα απεικόνισης της δομής και των διασυνδέσεων κρίσιμων υποδομών μέσα σε ένα τομέα ή δίκτυο από τομείς [Adar and Wuchner, 2005]. Για την αντιμετώπιση της αλληλεξάρτησης υπάρχουν πολλές προσεγγίσεις, οι οποίες ασχολούνται με την αναγώριση, μοντελοποίηση, απεικόνιση και προσομοίωση αλληλεξαρτήσεων [Casalicchio and Galli, 2008; Kopylec et al., 2008; Nieuwenhuijs et al., 2008; Rinaldi et al., 2001; Rinaldi, 2004; Setola et al., 2008], αλλά το θέμα αυτό θα αναλυθεί στην επόμενη ενότητα, καθώς είναι ένα πολύ σημαντικό χαρακτηριστικό των κρίσιμων υποδομών (βλ. Κεφάλαιο 0). Εμβέλεια/Τύπος επίπτωσης. Μια μελέτη εκτίμησης επικινδυνότητας εξετάζει την επίπτωση ενός περιστατικού για ένα συγκεκριμένο ΠΣ ή οργανισμό, μόνο αν αυτή επηρεάζει αγαθά (υλικά και μη) εντός αυτών. Σε αντίθεση, η εκτίμηση της κρισιμότητας μιας υποδομής, εξετάζει και επιπτώσεις εκτός των στενών ορίων αυτής και δίνει έμφαση σε κοινωνικές ή τομεακές επιπτώσεις. Ακόμα και αν ασχοληθούμε με κοινωνικές επιπτώσεις σε μια μέθοδο εκτίμησης επικινδυνότητας (π.χ. με την αποκάλυψη προσωπικών δεδομένων), αυτές αφορούν άτομα τα οποία μπορούν να θεωρηθούν ότι ανήκουν στο ευρύτερο περιβάλλον του οργανισμού (π.χ. χρήστες, πελάτες, προμηθευτές κλπ.). Στην εκτίμηση κρισιμότητας ενδέχεται να εκτιμήσουμε την επίπτωση ακόμα και αν τα επηρεαζόμενα άτομα δεν έχουν άμεση συσχέτιση με αυτών. Συνεπώς, η ανάλυση επικινδυνότητας προσμετρά την επίπτωση ενός ενδεχομένου για τον συγκεκριμένο οργανισμό, ενώ η εκτίμηση κρισιμότητας εστιάζει και σε εξωτερικές επιπτώσεις (κοινωνικές και τομεακές). Διαβάθμιση Επίπτωσης. Καθώς οι εξωτερικές και κλιμακούμενες επιπτώσεις θα πρέπει να ληφθούν υπόψη και αυτές μπορεί να αφορούν μεγάλο πλήθος του πληθυσμού μιας χώρας ή την οικονομία της, οι κλίμακες που χρησιμοποιούνται θα πρέπει να είναι σε θέση να απεικονίσουν αυτά τα μεγέθη. Δεδομένου ότι οι εξωτερικές επιπτώσεις τείνουν να αγγίζουν υψηλότερα μεγέθη από τις επιπτώσεις εντός ενός οργανισμού, τότε χρειαζόμαστε, εκτός από εμπλουτισμό στον τύπο της επίπτωσης, και κατάλληλες κλίμακες διαβάθμισης αυτής. Στόχοι. Παρά το γεγονός ότι οι στόχοι της προστασίας υποδομών εμφανίζουν ομοιότητες με αυτούς της ΑΠΣ (προστασίας διαθεσιμότητας, εμπιστευτικότητας και ακεραιότητας), η επίτευξη αυτών όταν αναφερόμαστε σε υποδομές είναι μια πιο σύνθετη διαδικασία. Αυτό συμβαίνει λόγω της παγκόσμιας διάστασης των κρίσιμων υποδομών, της πολυπλοκότητας λόγω αλληλεξαρτήσεων, νέων τύπων απειλών (π.χ. τρομοκρατία), αλλά και της έμφασης στη διαθεσιμότητα και στη συνέχιση της λειτουργίας τους σε σχέση με παραδοσιακούς οργανισμούς [Bialas, 2006]. Πιο συγκεκριμένα, οι επιθέσεις μπορεί να είναι αποτέλεσμα δομικών απειλών (π.χ. φυσικών καταστροφών, ατυχημάτων, αστοχιών, βλαβών, απεργιών ή επιδημιών, λαθών, αλληλεξαρτήσεων, έλλειψης πόρων κλπ.), αλλά και εσκεμμένων απειλών, οι οποίες κυμαίνονται από δυσαρεστημένους υπαλλήλους έως τρομοκρατικές οργανώσεις και εχθρικά κράτη, απειλές που δεν λαμβάνονται υπόψη σε συνήθεις τεχνικές εκτίμησης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 108

124 επικινδυνότητας [Brunner and Suter, 2008]. Τέλος, εκ των έσω απειλές χρήζουν ειδικής αντιμετώπισης, όχι λόγω της συχνότητας εμφάνισης, αλλά λόγω της σημαντικής επίπτωσης που θεωρείται ότι μπορεί να επιφέρουν σε μία υποδομή, αλλά και σε άλλες εξαρτώμενες από αυτή [Noonan and Archuleta, 2008]. Ο Πίνακας 41 συνοψίζει τα συμπεράσματα τα οποία προκύπτουν από τη σύγκριση μεταξύ των διαδικασιών της εκτίμησης επικινδυνότητας ΠΣ και της εκτίμησης κρισιμότητας υποδομών. Πίνακας 41: Σύγκριση Εκτίμησης Επικινδυνότητας και Κρισιμότητας Εκτίμηση Κρισιμότητας Εκτίμηση Επικινδυνότητας Εστίαση Κοινωνία Οργανισμός Εμβέλεια Τύπος Επίπτωσης Απειλές Ευπάθειες/ Τρωτότητες Κλίμακες Επίπτωσης Αγαθά υποδομής και αλληλεξαρτήσεις Κοινωνικο-κεντρικές Ενάντια σε υποδομή, σε συνιστώσες και σε αλληλεξαρτήσεις αυτής Της υποδομής και των αλληλεξαρτωμένων υποδομών Υψηλές Εσωτερικά αγαθά Οργανωσιακο-κεντρικές Ενάντια σε οργανισμό ή σε σύστημα αυτού Του συστήματος και του περιβάλλοντος Κυμαινόμενες Με βάση τα παραπάνω, μπορούμε να ορίσουμε σαφώς την έννοια της κρισιμότητας, αλλά και της εκτίμησης κρισιμότητας υποδομών. Βασιζόμενοι στον αρχικό ορισμό ο οποίος δίνεται από τους [Luiijf et al., 2003], η έννοια της Κρισιμότητας Υποδομών (Criticality) ορίζεται ως: (a) το επίπεδο της συνεισφοράς μιας υποδομής στην κοινωνία όσον αφορά στη διατήρηση ενός ελάχιστου επιπέδου για τη δημόσια υγεία και ασφάλεια, την οικονομία και το περιβάλλον, ή εναλλακτικά (β) το επίπεδο της επίπτωσης σε πολίτες ή στη δυνατότητα διακυβέρνησης από την απώλεια ή τη διακοπή λειτουργίας μια υποδομής [Theoharidou et al., 2008]. Κατ αντιστοιχία, η Εκτίμηση Κρισιμότητας Υποδομών (Criticality Assessment) ορίζεται ως: είναι η διαδικασία της εκτίμησης του επιπέδου κρισιμότητας μιας υποδομής. Αυτή μπορεί να θεωρηθεί ως μια ειδικού σκοπού, κοινωνικο-κεντρική, διαδικασία Εκτίμησης Επικινδυνότητας με στόχο την προστασία κρίσιμων για την κοινωνία υποδομών. Για αυτό το λόγο εστιάζει σε κοινωνικές αντί για οργανωσιακές επιπτώσεις. Η εμβέλεια της εκτίμησης επεκτείνεται ώστε να περιλαμβάνει και αλληλεξαρτώμενες υποδομές και, επομένως, πιθανές απειλές και ευπάθειες οι οποίες προκύπτουν λόγω αυτών. Τέλος, εφαρμόζεται σε υποδομές μεγάλης κλίμακας οι οποίες προσφέρουν υπηρεσίες ζωτικές για ένα μεγάλο αριθμό χρηστών/πολιτών και για αυτό το λόγο απαιτεί τη χρήση υψηλών κλιμάκων Παράρτημα Δ : Δημοσιεύσεις και αναφορές 109

125 εκτίμησης των πιθανών επιπτώσεων οι οποίες προκύπτουν από τη μη απρόσκοπτη λειτουργία τους [Theoharidou et al., 2008]. Κατά την εκτίμηση του επιπέδου κρισιμότητας μιας υποδομής, προγενέστερα αποτελέσματα εκτίμησης επικινδυνότητας για τη συγκεκριμένη υποδομή ή συνιστώσες αυτής, αλλά και άλλων αλληλεξαρτώμενων υποδομών, μπορούν να αποτελέσουν είσοδο. Αυτό οφείλεται στο γεγονός ότι, παρά τις σημαντικές διαφορές τους, οι διαδικασίες παραμένουν συγγενείς και συχνά αποτιμούν κοινές επιπτώσεις, απειλές και ευπάθειες. Τα υπάρχοντα αποτελέσματα μελετών εκτίμησης επικινδυνότητας δε θα πρέπει να αγνοηθούν [European Council, 2008], αλλά μπορούν να αξιοποιηθούν ως πρώτες μετρήσεις και εκτιμήσεις. 4.3 Μέθοδος εκτίμησης κρισιμότητας Στην ενότητα αυτή θα μελετήσουμε τι θα πρέπει να περιλαμβάνει μια μέθοδος εκτίμησης της κρισιμότητας και θα εστιάσουμε στον υπολογισμό της επίπτωσης όταν αυτός αφορά κρίσιμες υποδομές. Η επίδραση του παράγοντα της αλληλεξάρτησης κατά την εκτίμηση της κρισιμότητάς τους θα μελετηθεί στην επόμενη ενότητα. Μια συνήθης, αδρή μοντελοποίηση της επικινδυνότητας παρέχεται ως συνάρτηση των εξής τριών παραγόντων 26 : όπου ο τελεστής 2002]. είναι ένας γενικευμένος πολλαπλασιαστής [ISO/IEC, 2008] [NIST, Ωστόσο, υπάρχουν συγκεκριμένες δυσκολίες, τόσο θεωρητικές, όσο και πρακτικής εφαρμογής της ως άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας [Γκρίτζαλης et al., 2008]:, Δυσχέρεια στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, αλλά εξαιρετικά σημαντικών επιπτώσεων. Σε αυτά ανήκουν και οι ανθρωπογενείς απειλές (πχ. ειδικές επιθέσεις βίας). Συνεπώς, ενδέχεται να πρέπει να διαχειριστούμε την επικινδυνότητα που προκύπτει από τέτοιες απειλές (πολύ χαμηλή πιθανότητα εμφάνισης πολύ υψηλή επίπτωση), λόγω της ενδεχόμενης σημαντικής κοινωνικής επίπτωσης [Kröger, 2008], [DHS, 2009]. Δυσχέρεια στην ακριβή εκτίμηση της ευπάθειας μεγάλων και σύνθετων συστημάτων και υποδομών, καθώς και των επιμέρους συνιστωσών τους. Η εκτίμηση της ευπάθειας γίνεται συνήθως όσον αφορά τις τεχνικές, και φυσικές τρωτότητες των επιμέρους συνιστωσών. Ευπάθειες οι οποίες προκύπτουν από τη συνδυασμένη χρήση αυτών ή από την επικοινωνία ή συστέγαση υποδομών είναι δύσκολο να εντοπιστούν πλήρως. 26 Η χρήση μοντέλων όπως αυτό που περιγράφεται από την ως άνω εξίσωση, καθώς και η εκτίμηση των παραγόντων που υπεισέρχονται σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis and Management, Threat Estimation, Vulnerability Assessment, Impact Analysis, System Reliability, καθώς και σε άλλες συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμένες σε συγκεκριμένα συστήματα ή περιοχές εφαρμογής. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 110

126 Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν υπάρχουν πολλές και ισχυρές αλληλεξαρτήσεις. Αυτό αληθεύει στην περίπτωση των κρίσιμων υποδομών, από τις οποίες εξαρτώνται άλλες σημαντικές υποδομές (ενέργεια, μεταφορά, υγεία κλπ.) και σε πολλές περιπτώσεις υπάρχουν και αλληλεξαρτήσεις υψηλότερου βαθμού, όπως δευτέρου, τρίτου κλπ. Δυσχέρεια στη χρήση πολυκριτηριακών μεθόδων, τόσο ποιοτικών όσο και ποσοτικών. Αυτή αφορά τόσο στη στάθμισή τους, όσο και στην αντικειμενική εκτίμησή τους. Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων, κυρίως κοινωνικών (πχ. επιπέδου εμπιστοσύνης, ψυχολογικών επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων των χρηστών ή του ευρύτερου κοινωνικού συνόλου κλπ.). Έλλειψη ομοιογένειας στις υπάρχουσες μεθοδολογίες και απουσία κατάλληλων προτύπων, η οποία δυσχεραίνει την αξιοποίηση υπαρχόντων μελετών και των εκτιμήσεών τους, για την αποτύπωση της επικινδυνότητας σε σύνθετες υποδομές (αποτελούμενες από επιμέρους υποδομές). Αν επιλεγεί μια ποιοτική προσέγγιση της επικινδυνότητας, αυτή θα μπορούσε να βασιστεί σε μια αδρομερή διαβάθμιση της πιθανότητας εμφάνισης απειλών (likelihood: lowmedium-high), της ύπαρξης σχετικών ευπαθειών/τρωτοτήτων που διευκολύνουν την εκδήλωσή τους (ease of exploitation: low-medium-high), και των αντίστοιχων επιπτώσεών τους, οι οποίες είναι ανάλογες της αξίας των αγαθών που επηρεάζονται (asset value: 0-5). Στη συνέχεια, η επικινδυνότητα εκτιμάται με τη χρήση κατάλληλου πίνακα επιπέδου επικινδυνότητας (risk-level matrix), όπως ο πίνακας που ακολουθεί [ISO/IEC, 2008]: Πίνακας 42: Υπολογισμός επικινδυνότητας κατά ISO (α) Πιθανότητα Εμφάνισης (Likelihood) Χαμηλή Μέση Υψηλή Αξία αγαθού Ευπάθεια Χ M Υ Χ M Υ Χ M Υ Στο συγκεκριμένο παράδειγμα, οι εκτιμήσεις της επικινδυνότητας αποτιμώνται ως 0-2 για χαμηλή, 3-5 για μεσαία και 6-7 για υψηλή επικινδυνότητα. Παρατηρούμε ότι πολλές φορές η επίπτωση θεωρείται ως ανάλογη της αξίας του αγαθού, οπότε μια από τις δύο μεταβλητές συμπεριλαμβάνεται στη συνάρτηση υπολογισμού του κινδύνου. Σε άλλες περιπτώσεις η πιθανότητα εμφάνισης (likelihood) εμπεριέχει στην αξιολόγησή της και την ύπαρξη ευπαθειών, βάση της υπόθεσης ότι η ύπαρξη μιας ευπάθειας αυξάνει την πιθανότητα εκδήλωσης μιας απειλής. Συνεπώς, παραδείγματα εναλλακτικών διαβαθμίσεων περιλαμβάνουν τους εξής πίνακες επιπέδου επικινδυνότητας [ISO/IEC, 2008; NIST, 2002]: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 111

127 Πίνακας 43: Υπολογισμός επικινδυνότητας κατά ISO (β) Πιθανότητα εμφάνισης Επίπτωση Very Low (Very Unlikely) Low (Unlikely) Medium (Possible) High (Likely) Very High (Frequent) Very Low Low Medium High Very High Πίνακας 44: Υπολογισμός επικινδυνότητας κατά NIST Επίπτωση Πιθανότητα εμφάνισης Low (0.1) Medium (0.5) High (1.0) Low (10) Medium (50) High (100) Όμως, όπως είδαμε στην ενότητα 4.1, η συνήθης πρακτική όσον αφορά την αποτίμηση της κρισιμότητας, προχωρεί σε μια περαιτέρω απλούστευση, η οποία συνίσταται στο να υπολογισθεί το επίπεδο κρισιμότητας μιας υποδομής (ή μέρους αυτής) με βάση μόνον τις επιπτώσεις που επιφέρει η μη διαθεσιμότητά της. Αυτό οφείλεται σε δύο λόγους: (α) στη δυσκολία εκτίμησης της πιθανότητας εμφάνισης των απειλών, λόγω απουσίας στατιστικών δεδομένων ή ανάλογων περιστατικών, και (β) στην υπόθεση-παραδοχή ότι η πιθανότητα εμφάνισης παίζει δευτερεύοντα ρόλο, λόγω της ανάγκης για διαχείριση απειλών οι οποίες χαρακτηρίζονται από πολύ χαμηλή πιθανότητα εμφάνισης και πολύ υψηλή επίπτωση. Επομένως μια απλουστευμένη και γενική μεθοδολογία εκτίμησης της κρισιμότητας μιας υποδομής θα αφορούσε τα εξής βήματα (βασισμένη σε [Theoharidou et al., 2009], βλ. Εικόνα 23): Βήμα 1: Αναγνώριση των προς εκτίμηση συνιστωσών της υποδομής (Identification of Components). Όπως σε κάθε μελέτη εκτίμησης επικινδυνότητας, τα αγαθά του υπό μελέτη συστήματος (στη δική μας περίπτωση της υποδομής) προσδιορίζονται και καταγράφονται. Όπως έχουμε αναφέρει οι συνιστώσες μπορούν να περιλαμβάνουν εγκαταστάσεις, υπηρεσίες, εξοπλισμό, λογισμικό, ανθρώπινους πόρους κ.ά. Το βήμα αυτό οριοθετεί τη διαδικασία που θα ακολουθήσει και είθισται να γίνεται με τη συνδρομή του ιδιοκτήτη/διαχειριστή της υποδομής. Βήμα 2: Προσδιορισμός αλληλεξαρτήσεων (Definition of Interdependencies). Στο στάδιο αυτό θα πρέπει να εντοπιστούν οι αλληλεξαρτήσεις της υποδομής με άλλες υποδομές. Αυτές ανήκουν σε δύο κατηγορίες: (α) τις εξαρτώμενες υποδομές, δηλαδή οι υποδομές των οποίων η λειτουργία επηρεάζεται από την εν λόγω υποδομή και (β) τις Παράρτημα Δ : Δημοσιεύσεις και αναφορές 112

128 προαπαιτούμενες υποδομές, δηλαδή εκείνες οι υποδομές οι οποίες επηρεάζουν τη λειτουργία της υποδομής. Η διαδικασία αυτή εμφανίζει ομοιότητες με τον εντοπισμό τρίτων οντοτήτων σε μια διαδικασία εκτίμησης επικινδυνότητας, στην συγκεκριμένη περίπτωση εξυπηρετεί άλλο στόχο. Δεν εντοπίζουμε αποκλειστικά τις τρίτες οντότητες οι οποίες εισάγουν κινδύνους στο σύστημα ή στον οργανισμό που εξετάζουμε (π.χ. πάροχοι, προμηθευτές, πελάτες, κλπ.). Στην εκτίμηση κρισιμότητας, αναζητούμε τις υποδομές οι οποίες μπορούν να επιφέρουν κοινωνικές επιπτώσεις λόγω της αλληλεξάρτησης με τη συγκεκριμένη υποδομή, ακόμη και αν η επίπτωση δεν αφορά τη συγκεκριμένη ΚΥ. Επειδή σε αυτή την απλουστευμένη μέθοδο εστιάζουμε στον υπολογισμό της επίπτωσης, ρίχνουμε μεγαλύτερο βάρος στον εντοπισμό των εξαρτώμενων υποδομών. Οι προαπαιτούμενες υποδομές αφορούν κυρίως το επόμενο βήμα, καθώς θέματα ασφάλειας σε εκείνες, όπως η μη διαθεσιμότητα μιας υπηρεσίας, μπορεί να συμβάλλει στην εκδήλωση περιστατικών ή απειλών στην συγκεκριμένη ΚΥ και συνεπώς την μεταβολή της επίπτωσης και κρισιμότητάς της. Βήμα 3: Επιλογή προς μελέτη περιστατικών ή απειλών (Selection of Incidents/Threats). Καθώς η κρισιμότητα εξαρτάται και από τις αλληλεξαρτώμενες υποδομές δεν αρκεί μια μονοσήμαντη επιλογή απειλών, όπως για παράδειγμα, μη εξουσιοδοτημένη χρήση πόρων, εισαγωγή ιομορφικού λογισμικού, αστοχία επικοινωνιών ή λογισμικού, λάθη χρηστών κλπ. [Insight, 2005]. Θα πρέπει η λίστα να διευρυνθεί ώστε να συσχετίζει μια απειλή αρχικά με την επίδραση στην υποδομή (π.χ. απώλεια διαθεσιμότητας για συγκεκριμένο χρονικό διάστημα, αποκάλυψη πληροφοριών, τροποποίηση, κλπ.), ώστε να μπορεί να εκτιμηθεί η επίπτωση της απειλής στο επόμενο βήμα. Πιο συγκεκριμένα, είναι σκόπιμη η δημιουργία τριάδων (συνιστώσα, απειλή/περιστατικό, συνέπεια), για κάθε μία από τις οποίες θα πρέπει να υπολογιστεί η επίπτωση. Σημειώνεται ότι μια απειλή (π.χ. πυρκαγιά) μπορεί να έχει πολλαπλές συνέπειες σε μια συνιστώσα της υποδομής (π.χ. απώλεια διαθεσιμότητας για μια μέρα της λειτουργίας ενός σταθμού τρένου, καταστροφή πληροφοριών, κλπ.). Βήμα 4: Εκτίμηση επιμέρους επίπτωσης (Partial Impact Assessment). Μετά τον προσδιορισμό των τριάδων (συνιστώσα, απειλή/περιστατικό, συνέπεια) που είναι εφαρμόσιμα στη συγκεκριμένη υποδομή, θα πρέπει να εκτιμηθούν με βάση κριτήρια εκτίμησης της επίπτωσης. Όπως εξηγήσαμε προηγουμένως, τα κριτήρια εκτίμησης της επίπτωσης θα πρέπει να διαφοροποιημένα και να εστιάζουν και σε κοινωνικές επιπτώσεις, εκτός από τις επιπτώσεις για τη συγκεκριμένη υποδομή, π.χ. επίπτωση στη δημόσια ασφάλεια και υγεία, επίπτωση στην εθνική οικονομία κλπ. Μια τέτοια διευρυμένη λίστα παραγόντων επίπτωσης κατάλληλων για την εκτίμηση κρισιμότητας προτείνονται στην Ενότητα 4.4. Το σύνολο των κριτηρίων επιτρέπουν την εκτίμηση της επίπτωσης σε τρεις άξονες: την εμβέλεια, την ένταση και τον χρόνο. Η εκτίμηση της επιμέρους επίπτωσης θα πρέπει να εξετάσει πολλά πιθανά σενάρια. Όπως αναφέραμε, αυτά διαφοροποιούνται με βάση την υπό εξέταση συνιστώσα (Component), το περιστατικό-απειλή (Incident), την επίδραση (Effect). Βήμα 5: Εκτίμηση συνολικής κρισιμότητας (Overall Criticality Assessment). H κρισιμότητα μιας υποδομής Ι υπολογίζεται ως η αθροιστική επίπτωση όλων των επιμέρους επιπτώσεων, οι οποίες υπολογίζονται για κάθε εφαρμόσιμο συνδυασμό συνιστώσας της υποδομής c, περιστατικού-απειλής t και επίδρασης στην υποδομή e. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 113

129 Εδώ θα πρέπει να αναφέρουμε ότι ο τελεστής του αθροίσματος χρησιμοποιείται αφαιρετικά για να εκφράσει έναν τρόπο υπολογισμού της συνολικής κρισιμότητας και δεν αντιστοιχεί κατ ανάγκη σε αριθμητική πρόσθεση. Πιθανοί τρόποι υπολογισμού της συνολικής κρισιμότητας περιλαμβάνουν τη μέγιστη τιμή επίπτωσης, το μέσο όρο, το σταθμισμένο μέσο κ. ά. Identification of CI Components Identification of Dependecies Selection of Incidents - Threats Partial Impact Assessment Overall Criticality Assessment Εικόνα 23: Γενική μέθοδος εκτίμησης της κρισιμότητας μιας υποδομής Παρατηρούμε, λοιπόν, ότι η μέθοδος που περιγράφηκε εμπεριέχει κάποιες απλουστεύσεις. Πιο συγκεκριμένα, δεν υπολογίζει την πιθανότητα εμφάνισης ενός περιστατικού-απειλής σε κάποια συνιστώσα, αλλά ούτε και αν υπάρχουν ευπάθειες οι οποίες διευκολύνουν την εκδήλωσή του ή μεγιστοποιούν την πιθανή επίπτωση. Αυτό συμβαίνει γιατί, εκτός από τη γενική δυσκολία των μεθόδων εκτίμησης επικινδυνότητας να προβλέψουν την πιθανότητα εκδήλωσης μιας απειλής λόγω έλλειψης επαρκών στατιστικών ή ιστορικών δεδομένων, στην περίπτωση των κρίσιμων υποδομών, η διαδικασία αυτή γίνεται πιο πολύπλοκη λόγω των αλληλεξαρτήσεων μεταξύ υποδομών. Οι αλληλεξαρτήσεις και πως αυτές επιδρούν στον υπολογισμό της κρισιμότητας θα εξεταστεί στην επόμενη ενότητα. Σε κάθε περίπτωση, εφόσον υπάρχουν εκτιμήσεις σε σχέση με την πιθανότητα εμφάνισης απειλής και την ύπαρξη ευπαθειών, τότε δεδομένης της κρισιμότητας, μπορούμε να προχωρήσουμε στον υπολογισμό της επικινδυνότητας. Συνεπώς, έχουμε δύο προσεγγίσεις για τον υπολογισμό της συνολικής επικινδυνότητας Risk I μιας υποδομής I: (α) (β) Στη δεύτερη προσέγγιση, ο υπολογισμός της πιθανότητας εμφάνισης εξετάζει και την ύπαρξη ευπαθειών, ενώ στην πρώτη, οι ευπάθειες αποτιμώνται ξεχωριστά. Όπως και Παράρτημα Δ : Δημοσιεύσεις και αναφορές 114

130 παραπάνω, ο τελεστής αθροίσματος δεν αντιστοιχεί σε μαθηματική πρόσθεση κατ ανάγκη. 4.4 Εκτίμηση κρισιμότητας με βάση την επίπτωση Στην ενότητα αυτή παρουσιάζουμε ένα σύνολο από κριτήρια αποτίμησης της κρισιμότητας, τα οποία βασίζονται στην επίπτωση. Αυτά δημιουργήθηκαν με βάση τη μελέτη των υπαρχουσών προσεγγίσεων τόσο στην εκτίμηση επικινδυνότητας σε πληροφοριακά συστήματα (π.χ. πρότυπα ISO και NIST, μεθοδολογίες εκτίμησης επικινδυνότητας CRAMM [Insight, 2005] και OCTAVE [CMU, 2001]), αλλά και τις υπάρχουσες προσεγγίσεις στην εκτίμηση κρισιμότητας, όπως αυτές περιγράφηκαν στην ενότητα 4.1. Δόθηκε έμφαση στην τροποποίηση των μεθόδων αυτών, ώστε να ανταποκρίνονται στις διαφοροποιήσεις που απαιτούνται κατά την εκτίμηση κρισιμότητας (βλ. Ενότητα 4.2.3). Για την κλίμακα διαβάθμισης των κριτηρίων, επιλέξαμε τη χρήση μια κλίμακα Likert, η οποία είναι μια ψυχομετρική κλίμακα ευρέως χρησιμοποιούμενη στην έρευνα με χρήση ερωτηματολογίων και δημοσκοπήσεων (survey research). Με την κλίμακα αυτή ο ερωτώμενος καλείται να δηλώσει τον βαθμό συμφωνίας ή διαφωνίας με μια σειρά προτάσεων σχετικά με το αντικείμενο του ενδιαφέροντος [Likert, 1932] 27. Οι πιο συνήθεις κλίμακες περιλαμβάνουν (α) αριθμητικές κλίμακες με περιγεγραμμένες τις δύο ακραίες τιμές ή/και τη μεσαία τιμή, π.χ. {1 - Very Low, 2, 3, 4, 5, 6, 7 - Very High}, και (β) πλήρως περιγεγραμμένες αριθμητικές κλίμακες, π.χ. {1-Strongly Disagree, 2-Disagree, 3- Neutral, 4-Agree, 5-Strongly Agree}, {1-Strongly Disagree, 2-Disagree, 3-Neutral, 4- Agree, 5-Strongly Agree}. Γενικά, επιτρέπει χρήση διαβάθμισης από τέσσερις έως έντεκα βαθμούς αξιολόγησης, αλλά η χρήση τετραβάθμιων και πενταβάθμιων είναι πιο διαδεδομένη λόγω της ευκολίας αντιστοίχισης σε περιγραφή [Johnson and Christensen, 2008]. Λόγω της φύσεως του προβλήματος θεωρήσαμε τη χρήση μιας τετραβάθμιας κλίμακας ως πιο κατάλληλη. Αυτή αντιστοιχεί στις τιμές {Low (χαμηλή), Moderate (μεσαία), High (υψηλή), Very High (πολύ υψηλή)}, δεδομένου ότι δεν ήταν εύκολη η αντιστοίχηση της επίπτωσης σε πολύ χαμηλές τιμές. Η εκτίμηση της επίπτωσης προσδιορίζεται ως γινόμενο τριών συνιστωσών: (α) την εμβέλεια (scope), (β) την ένταση (severity) και (γ) το χρόνο (time). 27 Η κλίμακα τύπου Likert είναι η πιο απλή στη δημιουργία και η πιο διαδεδομένη στις κοινωνικές και τις παιδαγωγικές έρευνες. Στόχος της είναι η μέτρηση στάσεων ή απόψεων των υποκειμένων της οποίας καλούνται να επιλέξουν μια από τις δυνατές απαντήσεις σταθερής μορφής σε ένα σύνολο ερωτημάτων τα οποία αντιπροσωπεύουν το προς μελέτη πρόβλημα. Οι απαντήσεις αυτές εκφράζουν το μέγεθος συμφωνίας ή διαφωνίας σε μια ορισμένη δήλωση (Συμφωνώ, Συμφωνώ Εν Μέρει, Δεν Έχω Άποψη, Διαφωνώ Εν Μέρει, Διαφωνώ. Η ερευνητική μέθοδος που κάνει χρήση ερωτηματολογίων με κλίμακα παρουσιάζει αρκετά πλεονεκτήματα αλλά και κάποια μειονεκτήματα. Για παράδειγμα, η κλίμακα Likert επιτρέπει να αποδοθεί μια συνολική βαθμολογία στις απαντήσεις του κάθε υποκειμένου (όπου για παράδειγμα πιο μεγάλη βαθμολογία σημαίνει πιο θετική στάση, πιο μικρή βαθμολογία σημαίνει πιο αρνητική στάση). Είναι όμως αρκετά δύσκολο να ερμηνεύσουμε κατά πόσο δύο υποκείμενα μετρούν τη διαφορά μεταξύ των διαβαθμίσεων αυτής της κλίμακας και συνεπώς δεν μπορούμε να είμαστε σίγουροι ότι η επιλογή της ίδιας απάντησης σε ένα ερώτημα σημαίνει τελικά και τον ίδιο βαθμό αποδοχής. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 115

131 Η επιλογή των ποσοτικών αντιστοιχήσεων (για παράδειγμα των οικονομικών επιπτώσεων) βασίζεται στην εκάστοτε στρατηγική επιλογή κάθε κράτους, συνεπώς αυτές οι κλίμακες εμφανίζουν σημαντικές διαφοροποιήσεις. Εμείς θα αναφέρουμε παραδείγματα αυτών, χωρίς να αποδεχόμαστε κάποια ως περισσότερο κατάλληλη, δεδομένου ότι αυτή θα πρέπει να ανταποκρίνεται στα χαρακτηριστικά της κάθε χώρας. Βάση της υπάρχουσας γνώσης, δεν υπάρχει κάποιο πρότυπο ή αναφορά η οποία να δίδει στατιστικά δεδομένα ή κάποια ευρέως αποδεκτή κλίμακα για την εκτίμηση της κρισιμότητας. Στη συνέχεια, θα παρουσιάσουμε αντιπροσωπευτικά παραδείγματα για να περιγράψουμε το κάθε κριτήριο, αλλά και να παρουσιάσουμε τα σημεία διαφοροποίησής τους από παραδοσιακές τεχνικές εκτίμησης επικινδυνότητας. Στην εικόνα που ακολουθεί παρουσιάζονται συγκεντρωμένα όλα τα κριτήρια που επελέγησαν για τις τρεις συνιστώσες αποτίμησης κρισιμότητας, τα οποία επεξηγούνται στις ενότητες που ακολουθούν: Εμβέλεια Ένταση Χρόνος Επηρεαζόμενος πληθυσμός Συγκέντρωση πληθυσμού Γεωγραφική έκταση Οικονονομική επίπτωση Αλληλεξάρτηση Δημόσια εμπιστοσύνη Διεθνείς σχέσεις Δημόσια τάξη Εφαρμογή πολιτικής/ Λειτουργία Ασφάλεια (Safety) Εθνική άμυνα Χρόνος ανάκαμψης Διάρκεια Impact peak Critical time frame Εικόνα 24: Κριτήρια αποτίμησης κρισιμότητας Διάσταση: Εμβέλεια (Scope) Η εμβέλεια μίας επίπτωσης μπορεί να αποτυπωθεί με τρεις εναλλακτικούς τρόπους ανάλογα το περιστατικό, τα υπάρχοντα δεδομένα, αλλά και την προτίμηση αυτού που εκπονεί μια εκτίμηση κρισιμότητας. Επηρεαζόμενος πληθυσμός (Affected population). Αποτιμά τον αριθμό των ατόμων που επηρεάζονται από ένα περιστατικό. Δεν εκτιμά τον τύπο της επίπτωσης. Ο Πίνακας 45 παρουσιάζει παράδειγμα εκτίμησης, βασισμένο στην προσέγγιση [PSC, 2004]. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 116

132 Συγκέντρωση πληθυσμού (Concentration of people). Η υψηλότερη συγκέντρωση προσώπων στο χώρο εκδήλωσης ενός περιστατικού αυξάνει την πιθανότητα για μεγαλύτερη επίπτωση. Το κριτήριο αυτό αξιολογεί την πληθυσμιακή πυκνότητα (άτομα/χλμ 2 ) και χρησιμοποιείται από την προσέγγιση [MIKR, 2008] μια τροποποιημένη μορφή του παρουσιάζεται στον παρακάτω πίνακα. Γεωγραφική έκταση (Range). Εκτιμά την εμβέλεια ως γεωγραφική έκταση η οποία επηρεάζεται. Παραδείγματα είναι τα εξής: {< 100 χλμ 2, χλμ 2, χλμ 2, > χλμ 2 } [MIKR, 2008], {Διεθνής, Εθνική, Περιφερειακή, Τοπική} [PSC, 2004]. Πίνακας 45: Παράγοντες εκτίμησης της επίπτωσης με βάση την εμβέλεια (Scope) Επίπτωση Πολύ Υψηλή Υψηλή Μεσαία Χαμηλή Επηρεαζόμενος πληθυσμός Συγκέντρωση πληθυσμού (άτομα/χμ 2 ) Γεωγραφική έκταση > 10,000 1,000-10, ,000 < 100 > < 250 διεθνής εθνική περιφερειακή τοπική Τα παραπάνω κριτήρια εκτιμούν την εμβέλεια της επίπτωσης με διαφορετικό τρόπο. Το πρώτο ποσοτικοποιεί σε απόλυτες τιμές των αριθμό των ατόμων που επηρεάζονται από ένα περιστατικό, ενώ η συγκέντρωση πληθυσμού εκτιμά την πυκνότητα του πληθυσμού σε μια περιοχή ή ένα κτίριο. Η γεωγραφική έκταση απεικονίζει με αφαιρετικό τρόπο την περιοχή που επηρεάζεται. Ενδεχομένως να μην είναι όλα εφαρμόσιμα και κατάλληλα για κάθε περιστατικό το οποίο εκτιμάται ή να απαιτείται ο συνδυασμός αυτών για να αποτυπώσουν πλήρως την εμβέλεια ενός περιστατικού. Τέλος, οι τιμές που αναφέρονται είναι ενδεικτικές και θα πρέπει να προσαρμοστούν στην πολιτική αυτού που εφαρμόζει τη μελέτη, αλλά και στα πραγματικά δεδομένα του περιβάλλοντος εφαρμογής, ειδικά για τη στάθμιση των ποσοτικών κριτηρίων (συγκέντρωση πληθυσμού και επηρεαζόμενος πληθυσμός) Διάσταση: Ένταση (Severity) Στην ενότητα αυτή παρουσιάζονται τρόποι εκτίμησης του μεγέθους των επιπτώσεων. Οικονομική επίπτωση (Economic impact). Αποτιμά την ενδεχόμενη άμεση και έμμεση οικονομική επίπτωση ενός περιστατικού. Περιλαμβάνει τις απώλειες για την ίδια την υποδομή από τη διακοπή παροχής υπηρεσίας ή προϊόντος, την απώλεια αγαθών και πληροφορίας, το κόστος ανάκαμψης, αλλά καθώς και τις εκτιμούμενες απώλειες λόγω κλιμακούμενων επιπτώσεων. Παρά το γεγονός ότι ο Πίνακας 46 προτείνει κάποιες διαβαθμίσεις, αυτές δύναται να τροποποιηθούν ανάλογα με το νόμισμα ή την εθνική στρατηγική. Παραδείγματα τέτοιων κλιμάκων είναι τα εξής: {> $1 δις, $100 εκατ. έως $1 δις, $10 έως $100 εκατ., < $10 εκατ.} [PSC, 2004], {< 50 εκατ., < 500 εκατ., < 5 δις, < 50 δις, > 50 δις } [MIKR, 2008]. Εναλλακτικά, η οικονομική επίπτωση μπορεί να εκτιμηθεί με βάση το βαθμό που επηρεάζεται το Εθνικό Ακαθάριστο Προϊόν (ΑΕΠ). Παρατηρούμε ότι οι κλίμακες που χρησιμοποιούνται είναι σημαντικά αυξημένες σε σχέση με αυτές της εκτίμησης επικινδυνότητας για ΠΣ, π.χ. η μέγιστη εκτίμηση της μεθόδου CRAMM ανέρχεται στις απώλειες ενός (1) εκατ. [Insight, 2005]. Επίσης, η Παράρτημα Δ : Δημοσιεύσεις και αναφορές 117

133 συγκεκριμένη κλίμακα μπορεί να τροποποιείται με βάση την εμβέλεια της ανάλυσης (π.χ. μικρός αριθμός υποδομών, εθνικές υποδομές, υποδομές της ΕΕ κλπ.), πρακτική η οποία παρέχεται για την αποτύπωση ειδικών περιπτώσεων και από άλλες μεθόδους [Insight, 2005]. Αλληλεξάρτηση (Interdependecy). Με το κριτήριο αυτό εξετάζεται η περίπτωση όπου ένα περιστατικό επιφέρει κλιμακούμενες επιπτώσεις μέσα σε υποδομές του ιδίου ή άλλων τομέων. Μια απλοϊκή μοντελοποίηση αυτών είναι αυτή που προτείνεται από τους [De Porcellinis et al., 2009]: (α) φυσική, (β) πληροφοριακή, (γ) γεωγραφική, (δ) λογική ή (ε) κοινωνική. Η αποτύπωση του κριτηρίου με αυτόν τον τρόπο αποτελεί απλούστευση και έχει συμπεριληφθεί για λόγους πληρότητας. Ο βαθμός αλληλεξάρτησης και οι ενδεχόμενες επιπτώσεις μεταξύ υποδομών απαιτεί συνήθως πιο λεπτομερή απεικόνιση και αναλύεται στο επόμενο κεφάλαιο (βλ. Ενότητα 5). Δημόσια Εμπιστοσύνη (Public Confidence). Εκτιμά την επίδραση στην αντίληψη του κοινού για την ικανότητα της κυβέρνησης να προστατεύει και να διασφαλίζει τη δημόσια υγεία και ασφάλεια, την οικονομία ή την απρόσκοπτη παροχή υπηρεσιών και αγαθά [DHS, 2009]. Η κλίμακα που υιοθετούμε βασίστηκε στην διαβάθμιση του [PSC, 2004]. Ειδικά για χώρες όπως η Ελλάδα, όπου η διείσδυση των ΤΠΕ δεν είναι εκτενής, κάποια τυχόν μείζονα προβλήματα στη λειτουργία μιας πληροφοριακής και επικοινωνιακής υποδομής μπορεί να δημιουργήσουν αρνητική προδιάθεση στους πολίτες, τόσο έναντι της χρήσης των αγαθών ή υπηρεσιών της υποδομής, όσο και έναντι των ΤΠΕ γενικότερα. Συνεπώς, η εκτίμηση της επιρροής των συμβάντων αυτών στην άποψη του κοινού για τις ΤΠΕ μπορεί να συνεισφέρει ως μια κατηγορία επιπτώσεων. Πίνακας 46: Παράγοντες εκτίμησης της επίπτωσης με βάση την ένταση (severity) Επίπτωση Πολύ Υψηλή Υψηλή Μεσαία Χαμηλή Οικονομική επίπτωση Αλληλεξάρτηση Δημόσια εμπιστοσύνη (αντιλήψεις) Διεθνείς σχέσεις Δημόσια τάξη > $100 εκατ. $10-$100 εκατ. $1-$10 εκατ. < $1 εκατ. Καταστρεπτική επίπτωση σε άλλες υποδομές ή τομείς Υψηλός κίνδυνος / Αμφιβολίες για την ικανότητα ελέγχου σε διεθνές επίπεδο Σημαντική ζημία σε διεθνείς σχέσεις Άμεση απειλή στην εσωτερική σταθερότητα Σημαντική επίπτωση σε άλλες υποδομές ή τομείς Υψηλός κίνδυνος / Αμφιβολίες για την ικανότητα ελέγχου σε εθνικό επίπεδο Διεθνής ένταση Εκτεταμένες απεργιακές κινητοποιήσεις (industrial action) Μέτρια επίπτωση σε άλλες υποδομές ή τομείς Μέτριος κίνδυνος / Μέτρια ικανότητα ελέγχου Επηρεασμός των διπλωματικών σχέσεων με υλικές συνέπειες Διαδηλώσεις, άσκηση πολιτικής πίεσης (lobbying) Μικρή επίπτωση σε άλλες υποδομές ή τομείς Χαμηλός κίνδυνος / Υψηλή ικανότητα ελέγχου Επηρεασμός των διπλωματικών σχέσεων Τοπικές διαμαρτυρίες Παράρτημα Δ : Δημοσιεύσεις και αναφορές 118

134 Εφαρμογή πολιτικής/ Λειτουργία δημόσιων υπηρεσιών Διακοπή ή ουσιαστική υποβάθμιση των εθνικών λειτουργιών Δυσχέρεια στην ανάπτυξη και λειτουργία κυβερνητικών πολιτικών σε σημαντικό βαθμό Δυσχέρεια στην ανάπτυξη και λειτουργία κυβερνητικών πολιτικών Υποβάθμιση της διαχείρισης και λειτουργίας ενός δημοσίου οργανισμού Ασφάλεια (Safety) Εκτεταμένες ανθρώπινες απώλειες Σοβαροί τραυματισμοί, χρόνιες παθήσεις που μπορούν να οδηγήσουν σε απώλειες Σοβαροί τραυματισμοί, χρόνιες παθήσεις Μικροί τραυματισμοί Εθνική άμυνα Σημαντική επίπτωση στην ασφάλεια συμμάχων Σημαντική επίπτωση στην ασφάλεια ενός κράτους Μικρή ζημία στην ασφάλεια ενός κράτους n/a Στη συνέχεια, περιγράφουμε πέντε επιπλέον κριτήρια τα οποία προέρχονται από μεθοδολογίες εκτίμησης επικινδυνότητας για οργανισμούς [Insight, 2005], αλλά και μεθοδολογίες εκτίμησης κρισιμότητας [MIKR, 2008]. Οι παράγοντες επίπτωσης που προέρχονται από την εκτίμηση επικινδυνότητας και επιλέχθησαν, είναι εφαρμόσιμοι στην προστασία κρίσιμων υποδομών, καθώς λαμβάνουν υψηλές αποτιμήσεις [Insight, 2005], δηλαδή βαθμό επίπτωσης 7-10 σε μια δεκαβάθμια κλίμακα. Αυτοί οι παράγοντες δεν εφαρμόζονται σε επιχειρήσεις, αλλά κυρίως σε μεγάλους δημόσιους φορείς (π.χ. υπουργεία). Παρατηρούμε ότι οι παράγοντες αυτοί αναφέρονται στις κοινωνικές επιπτώσεις ενός περιστατικού και όχι σε επιπτώσεις σε έναν οργανισμό (ή σε ένα ΠΣ). Διεθνείς σχέσεις (International relations). Εκτιμά την επίπτωση ενός περιστατικού στις διεθνείς σχέσεις μιας χώρας με άλλες [Insight, 2005], [MIKR, 2008]. Αυτή μπορεί να κυμαίνεται από διαμαρτυρίες ή απειλές ενάντια σε μια χώρα ή τις πρεσβείες της, αρνητική δημοσιότητα, έως και συνέπειες σε διπλωματικό επίπεδο, όπως απέλαση διπλωματών, άρνηση ή ακύρωση συνάντησης σε εξωτερικούς αντιπρόσωπους, μποϋκοτάζ, κατάργηση εμπορικών συμφώνων κλπ. [MIKR, 2008]. Δημόσια Τάξη (Public order). Αξιολογεί πιθανές επιπτώσεις στη δημόσια τάξη σε μία χώρα. Τέτοιου τύπου συνέπειες μπορεί να προκληθούν από την αποκάλυψη εμπιστευτικών πληροφοριών ή από τη μη διαθεσιμότητα κρίσιμων για το κοινό υπηρεσιών (π.χ. παροχή νερού, ενέργειας ή τροφίμων). Η κλίμακα που υιοθετείται [Insight, 2005] προσαρμόστηκε σε τετραβάθμια. Εφαρμογή πολιτικής/λειτουργία δημόσιων υπηρεσιών (Policy and Operations of Public Service). Αναφέρεται στην ικανότητα της κυβέρνησης να διατηρήσει την πολιτική και τις λειτουργίες της. Διαφοροποιείται από το κριτήριο της δημόσιας εμπιστοσύνης στην ικανότητα της κυβέρνησης, καθώς δεν αποτιμά την γενική αντίληψη του κοινού (ψυχολογικός παράγοντας), αλλά την πραγματική ικανότητα της κυβέρνησης. Η χρησιμοποιούμενη κλίμακα [Insight, 2005] έχει προσαρμοστεί ώστε να ταιριάζει σε τετραβάθμια κλίμακα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 119

135 Ασφάλεια (Safety). Σχετίζεται με την κοινωνική πρόνοια και μπορεί να περιλαμβάνει τραυματισμούς, χρόνιες ασθένειες, αλλά και ανθρώπινες απώλειες. Μπορεί επίσης να αναφέρεται σε πόνο, θλίψη και καταπόνηση θυμάτων [MIKR, 2008]. Δεν εξετάζει τον αριθμό των επηρεαζόμενων ατόμων ή το ποσοστό του πληθυσμού που επηρεάζεται γιατί αυτό εξετάζεται από τη διάσταση της εμβέλειας. Εθνική άμυνα (Defense). Περιγράφει πιθανές επιπλοκές στην ικανότητα της κυβέρνησης να προστατεύσει τους πολίτες από εχθρικές επιθέσεις [Insight, 2005], είτε λόγω της μη διαθεσιμότητας ΚΥ ή λόγω της τροποποίησης ή αποκάλυψης εμπιστευτικών ή απόρρητων πληροφοριών. Αυτό το κριτήριο δεν αντιστοιχείται σε χαμηλή εκτίμηση και κυμαίνεται από μεσαία σε πολύ υψηλή Διάσταση: Χρόνος (Time) Στην περίπτωση των ΚΥ αντιμετωπίζουμε, ακόμη, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής των υπηρεσιών (διαθεσιμότητας, ακεραιότητας, εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων ανακύπτει και το πώς θα εκτιμηθούν οι επιπτώσεις της περιορισμένης διαθεσιμότητας (δηλαδή της μη εύλογης καθυστέρησης, πχ. μακροχρόνιας διακοπής) της παροχής κρίσιμης πληροφορίας. Αρχικά προσδιορίζουμε τα εξής δύο κριτήρια: Χρόνος Ανάκαμψης (Recovery Time). Εκτιμά το χρόνο ο οποίος απαιτείται για να επανέλθει η υποδομή σε λειτουργία (έστω και σε κάποιο ελάχιστο επίπεδο ποιότητας). Ο παράγοντας αυτός επηρεάζεται από τη διαθεσιμότητα υποκατάστατων αλλά και του κόστους που απαιτείται για την επαναφορά του αγαθού, προϊόντος ή υπηρεσίας. Διάρκεια (Duration). Το κριτήριο δεν ταυτίζεται με το προηγούμενο, καθώς οι συνέπειες ενός περιστατικού μπορεί να διαρκούν περισσότερο (ή λιγότερο) από τον χρόνο ανάκαμψης. Ενδέχεται, δηλαδή, οι υπηρεσίες να είναι διαθέσιμες αλλά οι μακροχρόνιες επιπτώσεις ενός περιστατικού να επηρεάζουν την υποδομή αλλά και το περιβάλλον αυτής, π.χ. μακροχρόνιες οικονομικές επιπτώσεις ή απώλεια εμπιστοσύνης προς την κυβέρνηση. Πιθανοί τρόποι αναπαράστασης των χρονικών παραγόντων περιλαμβάνουν τα εξής παραδείγματα: {2-6 μέρες, 1-4 εβδομάδες, 1-6 μήνες, 1/2 χρόνο ή περισσότερο} [Moteff, 2005], {έτη, μήνες-χρόνο, μέρες-εβδομάδες, ώρες-μέρες} [PSC, 2004]. Η κλασσική εκτίμηση επικινδυνότητας χρησιμοποιεί συντομότερα χρονικά διαστήματα, δηλαδή {< 15 λεπτά, 1 ώρα, 3 ώρες, 12 ώρες, 1 μέρα, 2 μέρες, 1 εβδομάδα, } [Insight, 2005]. Η παρούσα προσέγγιση υιοθετεί εκτίμηση η οποία κυμαίνεται από ώρες σε έτη. Πίνακας 47: Παράγοντες εκτίμησης της επίπτωσης με βάση τον χρόνο ανάκαμψης (recovery) και τη διάρκεια (duration) Επίπτωση Πολύ Υψηλή Υψηλή Μεσαία Χαμηλή Χρόνος ανάκαμψης έτη μήνες ημέρες ώρες Διάρκεια έτη μήνες ημέρες ώρες Στο πλαίσιο αυτό θα ήταν σκόπιμη η διάκριση των συνθηκών λειτουργίας μιας υποδομής. Για παράδειγμα, οι περίοδοι αυτές θα μπορούσαν να διακριθούν σε περιόδους (α) κανονικής λειτουργίας, (β) ειδικών γεγονότων και (γ) έκτακτης ανάγκης. Σε καθεμία από τις περιόδους αυτές μπορεί να υπάρξει διαφοροποίηση της εκτίμησης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 120

136 της κρισιμότητας. Τα κριτήρια του χρόνου ανάκαμψης και της διάρκειας μπορούν να θεωρηθούν ως μετρικές της επίπτωσης (βλ. Πίνακας 47). Πέραν αυτών, ο αναλυτής θα πρέπει, με βάση τις χρονικές περιόδους λειτουργίας, να προσδιορίσει κρίσιμα χρονικά σημεία ή περιόδους για μια υποδομή και να υπολογίζει την κρισιμότητα για αυτές (βλ. Πίνακας 48): Πίνακας 48: Παράγοντες εκτίμησης της επίπτωσης με βάση χρονικά σημεία Επίπτωση Χρονικά σημεία Χρονικό σημείο μέγιστης επίπτωσης Κρίσιμες χρονικές περίοδοι άμεσα εντός ωρών εντός ημερών εντός μηνών επιλεγμένες χρονικές περίοδοι που υποδηλώνουν διακυμάνσεις στην κρισιμότητα Χρονικό σημείο μέγιστης επίπτωσης (Impact peak). Είναι το σημείο όπου ένα περιστατικό επιφέρει τις μέγιστες συνέπειες. Κρίσιμες χρονικές περίοδοι (Critical Time Frames). Αναφέρεται σε χρονικές περιόδους (ή σημεία) που εμφανίζουν διαφοροποίηση στην κρισιμότητα. Χαρακτηριστικό παράδειγμα είναι η διαφορά στην επίπτωση μιας τηλεπικοινωνιακής υπηρεσίας κατά τη διάρκεια κανονικής λειτουργίας ή σε κατάσταση έκτακτης ανάγκης Συνολική κρισιμότητα Για τον υπολογισμό της κρισιμότητας μιας υποδομής μπορούμε να θεωρήσουμε ότι αυτή υπολογίζεται ως συνάρτηση του χρόνου t και με βάση τις διαστάσεις της έντασης (severity), της εμβέλειας (scope) και των χρονικών επιπτώσεων (time) για κάποιο περιστατικό ή απειλή i 28 : Και εδώ, ο τελεστής είναι ένας γενικευμένος πολλαπλασιαστής, καθώς οι τιμές των επιμέρους παραμέτρων ενδέχεται να αποτιμούνται, όπως είδαμε, και με ποιοτικό τρόπο. Παρόλο που ο συνδυασμός των μεγεθών δύναται να προσδιορίσει πλήρως την κρισιμότητα, κάποια από αυτά τα μεγέθη μπορεί να μην επηρεάζουν την κρισιμότητα μίας υποδομής ή κάποιου περιστατικού. Επαφίεται στις προτεραιότητες που θέτει ο υπεύθυνος για τη λήψη απόφασης να σταθμίσει τους παράγοντες αυτούς και να επιλέξει πόσο σημαντικοί είναι για τον υπολογισμό της κρισιμότητας. Μια πιο ακριβής αναπαράσταση της παραπάνω εξίσωσης θα ήταν η εξής: Εάν δεν υπάρχει εποχιακή διακύμανση των επιπτώσεων, τα επιμέρους μεγέθη μπορεί να δίνονται από μια απόλυτη τιμή. 28 Νωρίτερα, εξετάσαμε την τριάδα (συνιστώσα υποδομής, περιστατικό, συνέπεια), αλλά για λόγους απλότητας τα αναπαριστούμε ως. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 121

137 Εάν, ωστόσο, οι επιπτώσεις εξαρτώνται από το χρονικό σημείο εκδήλωσης της προσβολής ή αστοχίας της υποδομής, τότε απαιτείται μια χρονική κατανομή της έντασης των επιπτώσεων, υπό τύπον καμπύλης ή με βάση συγκεκριμένα χρονικά σημεία τα οποία δηλώνουν διαφοροποιήσεις στις επιμέρους παραμέτρους (βλ. Πίνακας 48). Στο σημείο αυτό παρατηρούμε ότι ο παράγοντας του χρόνου επηρεάζει την κρισιμότητα μιας υποδομής με δύο τρόπους: είτε ως παράμετρος t που επηρεάζει την κατανομή της επίπτωσης, είτε ως μετρική επίπτωσης Time i (δηλαδή διάρκεια της επίπτωσης, χρόνος ανάκαμψης), η οποία μπορεί να είναι και συνάρτηση του χρόνου. Ανάλογα με το πώς επιλέγουμε να προσδιορίσουμε την εμβέλεια, μπορούμε να ανάγουμε την επίπτωση ανά άτομο, ανά χλμ 2 κλπ. Επίσης μπορούμε να προσδιορίσουμε την επίπτωση και ως προς μονάδα χρόνου (πχ. ανά ημέρα). Μια παραλλαγή της μεθόδου είναι να αναπαραστήσουμε την κρισιμότητα με μαθηματικό τρόπο (όχι ποιοτικές αποτιμήσεις όπως παραπάνω) και υπό τη μορφή συνάρτησης ως προς το χρόνο. Η αθροιστική, ως προς το χρόνο, ένταση επιπτώσεων, δηλαδή το εμβαδόν κάτω από την καμπύλη κατανομής για το διάστημα που διαρκούν οι επιπτώσεις, δίνει την κατά κεφαλή επίπτωση. Στην Ελλάδα, για παράδειγμα, ας θεωρήσουμε την πληροφοριακή και επικοινωνιακή υποδομή του TAXIS. Προφανώς υπάρχει εποχιακή διακύμανση των επιπτώσεων, λόγω των καθορισμένων ημερομηνιών και προθεσμιών για τη διεκπεραίωση υποθέσεων και συναλλαγών πολιτών και επιχειρήσεων με το Υπουργείο Οικονομικών. Συνεπώς, άλλες είναι οι επιπτώσεις της μη διαθεσιμότητας των εξυπηρετητών (servers) της Γενικής Γραμματείας Πληροφοριακών Συστημάτων κατά τους μήνες Μάρτη-Απρίλιο-Μάιο και άλλες τον Ιούλιο-Αύγουστο. Με χρήση της παρακάτω ενδεικτικής κατανομής (βλ. Εικόνα 25) μπορούμε να υπολογίσουμε τη μέση ημερήσια, κατά κεφαλή επίπτωση ενός συμβάντος (πχ. της μη διαθεσιμότητας της υποδομής της ΓΓΠΣ από [ ] σε 35 μονάδες). i = περιστατικό = (συνιστώσα υποδομής, περιστατικό, συνέπεια), π.χ. (Servers ΓΓΠΣ, αστοχία υλικού, πλήρης μη διαθεσιμότητα) t = ημέρα του χρόνου η οποία ανήκει στο διάστημα [t 1, t 2] t 1 = ημέρα έναρξης του περιστατικού t 2 = τελική ημέρα του περιστατικού duration = αριθμός ημερών που διαρκεί το περιστατικό. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 122

138 Κατά κεφαλή επίπτωση:=35 συμβάν Εικόνα 25: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι αναφερόμενες τιμές είναι ενδεικτικές) [Γκρίτζαλης et al., 2008] Η γεωγραφική εμβέλεια (scope) των επιπτώσεων παρέχεται ως κατανομή της πληθυσμιακής πυκνότητας στην περιοχή ενδιαφέροντος ή/και του ειδικού βάρους που έχουν οι συγκεκριμένες επιπτώσεις ανά περιοχή. Προκειμένου για μια δημόσια υπηρεσία ηλεκτρονικής διακυβέρνησης, η πληθυσμιακή πυκνότητα μιας περιοχής στην οποία απευθύνεται η υπηρεσία προκύπτει από το γινόμενο της πραγματικής πληθυσμιακής πυκνότητας επί το ποσοστό διείσδυσης (penetration) της υπηρεσίας. Το χωρικό ολοκλήρωμα της ως άνω κατανομής στην περιοχή ενδιαφέροντος (πυκνότητα x έκταση) θα δώσει τον ενεργό πληθυσμό που πρέπει να ληφθεί υπόψη για τον υπολογισμό του μεγέθους των επιπτώσεων της πλήρους διακοπής της υπηρεσίας (περιστατικό i). Συνεπώς η μέση, ημερήσια κρισιμότητα για την υποδομή αυτή είναι: Στο συγκεκριμένο παράδειγμα παρατηρούμε ότι η παράμετρος αντιστοιχεί στην ένταση της επίπτωσης (μέση, ανά άτομο, ανά ημέρα) και η παράμετρος αναπαριστά τον ενεργό πληθυσμό και αντιστοιχεί στην εμβέλεια της επίπτωσης. Αν λάβουμε και την χρονική διάρκεια ως παράμετρο και υπολογίσουμε τη συνολική κρισιμότητα, τότε αυτή αντιστοιχεί στη συνολική επίπτωση, δηλαδή Παράδειγμα εφαρμογής Στην ενότητα αυτή θα αναφέρουμε ένα υποθετικό σενάριο εκτίμησης της κρισιμότητας με βάση τη διαδικασία που περιγράψαμε παραπάνω. Έστω ότι εκτιμούμε την κρισιμότητα μιας υποδομής του τομέα των μεταφορών και πιο συγκεκριμένα, εγκαταστάσεις ενός μετρό. Το δίκτυο μεταφορών που εξετάζουμε μεταφέρει καθημερινά 975,000 επιβάτες και διασυνδέεται με άλλες υποδομές του ίδιου τομέα (λεωφορεία, τράμ κλπ.). Στο συγκεκριμένο παράδειγμα, εξετάζουμε το αγαθόσυνιστώσα Κεντρικός Σταθμός σε σχέση με την απειλή περιστατικό Πυρκαγιά. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 123

139 Θεωρούμε ότι ένα τέτοιο περιστατικό απαιτείται την πλήρη εκκένωση τους σταθμού και συνεπάγεται την πλήρη μη διαθεσιμότητα των υπηρεσιών του. Εντοπίζονται δύο χρονικές περίοδοι, οι οποίες επηρεάζουν τις εκτιμήσεις των άλλων παραμέτρων: α) συνθήκες κανονικής κίνησης, οι οποίες αναπαρίστανται ως t 1 και β) συνθήκες συμφόρησης, οι οποίες αναπαρίστανται ως t 2. Τα διαστήματα t 1, t 2 αντιστοιχούν σε συγκεκριμένες ώρες της ημέρας, όπου παρατηρείται κανονική και αυξημένη επιβατική κίνηση αντίστοιχα. Για κάθε ένα από αυτά, οι τρεις παράμετροι της κρισιμότητας Severity i, Scope i και Time i πρέπει να προσδιορισθούν (βλ. Πίνακας 49). Πίνακας 49: Παράδειγμα εφαρμογής για δύο διακριτά χρονικά διαστήματα Κριτήρια Παράγοντας επίπτωσης t 1: συνθήκες κανονικής κίνησης t 2: συνθήκες συμφόρησης (rush hour) Εμβέλεια Επηρεαζόμενος πληθυσμός Χαμηλή Μέση Ένταση Οικονομική Απώλεια Χαμηλή Μέση Αλληλεξάρτηση Μέση Μέση Δημόσια Εμπιστοσύνη Υψηλή Υψηλή Ασφάλεια Υψηλή Πολύ Υψηλή Χρόνος Χρόνος ανάκαμψης Υψηλή Υψηλή Διάρκεια Χαμηλή Χαμηλή Όσον αφορά στην εμβέλεια, εκτιμούμε ότι υπό συνθήκες συμφόρησης, στο σταθμό και στους διερχόμενους συρμούς βρίσκονται περισσότερα άτομα, άρα έχουμε υψηλότερο επηρεαζόμενο πληθυσμό. Οι υλικές ζημίες που μπορούν να προκύψουν είναι επίσης αυξημένες, καθώς από το σταθμό διέρχονται συρμοί με αυξημένη συχνότητα. Ο αυξημένος αριθμός ατόμων δυσχεραίνει το έργο των σωστικών συνεργείων αλλά και τη διαδικασία εκκένωσης, συνεπώς μπορεί να οδηγήσει σε μεγαλύτερο αριθμό τραυματισμών ή ανθρώπινων απωλειών. Επίσης, ο σταθμός αποτελεί σημείο μετεπιβίβασης σε άλλα μεταφορικά μέσα (είτε εντός είτε πλησίον του σταθμού), γεγονός που ενδέχεται να επηρεάσει και τη διαθεσιμότητα αυτών των υποδομών. Κατά το χρόνο αποκατάστασης (δηλαδή κατά το διάστημα της μη διαθεσιμότητας του σταθμού), οι επιβάτες θα πρέπει να εξυπηρετηθούν με άλλα μέσα μεταφοράς (άλλες υποδομές) ή μέσω άλλων σταθμών (άλλες συνιστώσες τις ίδιας υποδομής). Αυτό μπορεί να επιφέρει συμφόρηση και ενδεχομένως να απαιτεί τροποποίηση των δρομολογίων τους. Η επίπτωση σε αλληλοσχετιζόμενες υποδομές εκτιμάται ως μεσαία. Η επίπτωση στη εμπιστοσύνη του κοινού σε εθνικό επίπεδο, όσον αφορά την ασφάλεια των μεταφορών, αλλά και των ικανοτήτων των σωστικών συνεργείων εκτιμάται ότι θα είναι υψηλή. Λόγω της ύπαρξης μέσων πυρανίχνευσης και πυρόσβεσης, αλλά και των αναμενόμενων (κατόπιν ελέγχων) χρόνων απόκρισης της πυροσβεστικής υπηρεσίας στο συγκεκριμένο Παράρτημα Δ : Δημοσιεύσεις και αναφορές 124

140 σταθμό, η διάρκεια του περιστατικού εκτιμάται σε επίπεδο ωρών. Ο μέγιστος χρόνος ανάκαμψης εκτιμάται ως 1.5 μήνες. Και για τα δύο χρονικά διαστήματα η μέγιστη δυνατή επίπτωση εκτιμάται ότι παρατηρείται εντός μίας ώρας. Έστω ότι αν έχουμε περισσότερα του ενός κριτηρίου για την εκτίμηση της έντασης, της εμβέλειας και του χρόνου. Σε αυτή την περίπτωση ως συνολικές εκτιμήσεις θα λάβουμε τη μέγιστη εκτίμηση (π.χ. για τον προσδιορισμό της έντασης έχουμε τέσσερα κριτήρια). H συνολική κρισιμότητα υπολογίζεται για το περιστατικό i ως εξής: όπου ο τελεστής είναι ένας γενικευμένος πολλαπλασιαστής. Αν κάνουμε την παραδοχή ότι εξετάζουμε το σενάριο με βάση το χειρότερο σενάριο έκβασης, τότε χρησιμοποιούμε τον τελεστή max. Η συνολική κρισιμότητα τότε εκτιμάται ως υψηλή για συνθήκες κανονικής κίνησης και ως πολύ υψηλή για συνθήκες συμφόρησης. Εναλλακτικά, θα μπορούσαμε να χρησιμοποιήσουμε βάρη για τη στάθμιση των τριών παραμέτρων, στην περίπτωση που δεν θεωρούνται εξίσου σημαντικά. Μια άλλη συνήθης προσέγγιση για τον προσδιορισμό του τελεστή μήτρας υπολογισμού:,, είναι η χρήση μίας Πίνακας 50: Μήτρα υπολογισμού συνολικής κρισιμότητας Εμβέλεια Χαμηλή Μέση Υψηλή Πολύ Υψηλή Ένταση Χρόνος Χ M Υ ΠΥ Χ M Υ ΠΥ Χ Μ Υ ΠΥ Χ Μ Υ ΠΥ Χ Μ Υ ΠΥ Με βάση την παραπάνω μήτρα, οι συνολικές κρισιμότητες υπολογίζονται ως εξής: και. Για να εκτιμήσουμε την επικινδυνότητα των δύο αυτών ενδεχομένων, τότε θα πρέπει να συνυπολογίσουμε και την πιθανότητα εμφάνισης (likelihood), με βάση προηγούμενα στατιστικά και με βάση την ύπαρξη ευπαθειών που επιτρέπουν την εκδήλωσή τους (π.χ. ύπαρξη εύφλεκτων υλικών, κακή συντήρηση καλωδιώσεων και κυκλωμάτων, υψηλές θερμοκρασίες κ.ά.). Παρά τις υψηλές εκτιμήσεις για την επίπτωση, η παράμετρος της πιθανότητας εμφάνισης μπορεί να εκτιμάται ως χαμηλή, γεγονός που να υποδηλώνει χαμηλή επικινδυνότητα. 4.5 Αξιολόγηση μεθόδου και σύνοψη Ανακεφαλαιώνοντας, στην ενότητα αυτή εξετάσαμε τις τρέχουσες πρακτικές και προσεγγίσεις για την ιεράρχηση υποδομών ως προς τη σημασία τους. Η κυρίαρχη αντίληψη βασίζεται στον υπολογισμό ποιοτικών και ποσοτικών κριτηρίων Παράρτημα Δ : Δημοσιεύσεις και αναφορές 125

141 κρισιμότητας τα οποία αναφέρονται στην επίπτωση που προκύπτει από τη μερική ή ολική απώλεια διαθεσιμότητας μίας υποδομής. Εναλλακτικά, μπορούν να εξεταστούν και άλλα περιστατικά ή ενδεχόμενα τα οποία επηρεάζουν και την ακεραιότητα ή εμπιστευτικότητα των πληροφοριών που διαχειρίζεται μια πληροφοριακή και επικοινωνιακή υποδομή. Η συμβολή της παρούσης ενότητας αναφέρεται στον ορισμό της έννοιας της κρισιμότητας υποδομής (σε σχέση με την έννοια της επικινδυνότητας). Στην συνέχεια, συνθέσαμε ένα σύνολο από πιο λεπτομερή κριτήρια υπολογισμού της κρισιμότητας μιας υποδομής. Η συγκεκριμένη μέθοδος εστίασε αποκλειστικά στον υπολογισμό του βαθμού της επίπτωσης ενός περιστατικού σε μια κρίσιμη υποδομή. Η επίπτωση αναλύεται ως προς την εμβέλεια, την ένταση και το χρόνο και αποτελεί ένα καθοριστικό προσδιοριστικό παράγοντα για την κρισιμότητα μιας υποδομής, δεδομένου ότι όσο μεγαλύτερη η επίπτωση μιας υποδομής στην κοινωνία, τόσο υψηλότερη εκτιμάται και η κρισιμότητά της. Η κρισιμότητα αποτυπώθηκε με τη χρήση μαθηματικών εξισώσεων, λαμβάνοντας υπόψη τα τρία αυτά χαρακτηριστικά, αλλά και ως συνάρτηση του χρόνου. Η συγκεκριμένη προσέγγιση εξετάζει κάθε υποδομή ξεχωριστά και εκτιμά την κρισιμότητα της συγκεκριμένης υποδομής με νέα κριτήρια σε σχέση με αυτά των συνηθισμένων μεθόδων εκτίμησης επικινδυνότητας. Αυτά διαφοροποιούνται τόσο ως προς τον τύπο όσο και ως προς την κλίμακα αποτίμησής τους. Η σχέση της υποδομής με το εξωτερικό περιβάλλον εξετάζεται με δύο τρόπους: 1) Αποτιμάται η επίπτωση της συγκεκριμένης υποδομής στην κοινωνία, με χρήση κατάλληλων κοινωνικών κριτηρίων. 2) Ο βαθμός αλληλεξάρτησης με άλλες υποδομές αποτιμάται ως κριτήριο το οποίο επηρεάζει την ένταση της επίπτωσης. Πάραυτα, η προσέγγιση μέχρι αυτό το σημείο δε διαχειρίζεται επαρκώς την παράμετρο της αλληλεξάρτησης υποδομών, ούτε και την εκτίμηση επικινδυνότητας μίας υποδομής (υπολογισμός και των παραμέτρων της πιθανότητας εμφάνισης και της ευπάθειαςτρωτότητας), θέματα τα οποία πραγματεύεται η επόμενη ενότητα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 126

142 What you risk reveals what you value. Jeanette Winterson 5 Αλληλεξάρτηση Κρίσιμων Υποδομών Στην ενότητα αυτή εστιάζουμε στην παράμετρο της αλληλεξάρτησης υποδομών και περιγράφουμε έναν τρόπο αποτύπωσης αυτής, ο οποίος δεν είναι μονοδιαστάτος, αλλά αντίθετα εξετάζεται σε πολλαπλά επίπεδα ανάλυσης. Πιο συγκεκριμένα, συνθέτουμε μια μεθοδολογία η οποία εντοπίζει και καταγράφει τις αλληλεξαρτήσεις μεταξύ υποδομών, και κατ επέκταση μεταξύ των τομέων (domains) στους οποίους ανήκουν. Στόχος είναι να υπολογιστεί πώς η επικινδυνότητα μεταφέρεται από τη μια υποδομή σε μια άλλη και να εντοπιστούν οι πιο κρίσιμες υποδομές μιας χώρας. Με τον ίδιο τρόπο μπορούν να εντοπιστούν και οι πιο κρίσιμοι τομείς μιας χώρας. Ο υπολογισμός της κρισιμότητας η οποία πηγάζει και λόγω των αλληλεξαρτήσεων μεταξύ υποδομών επιτρέπει μια πιο πλήρη αποτύπωση των σημείων ενδιαφέροντος στα οποία θα πρέπει να εστιάσει ο στρατηγικός σχεδιασμός μιας χώρας. 5.1 Η σημασία της αλληλεξάρτησης υποδομών Όπως παρουσιάστηκε στην ενότητα 2.3.4, η EE επισημαίνει την πιθανότητα εμφάνισης σημαντικών διασυνοριακών ή διατομεακών επιπτώσεων, ως αποτέλεσμα της ύπαρξης διασύνδεσης μεταξύ αλληλοεξαρτώμενων κρίσιμων υποδομών [European Council, 2008]. Για το λόγο αυτό κρίνεται σκόπιμο να επεκτείνουμε την ανάλυσή μας πέραν της εκτίμησης της πιθανότητας εμφάνισης ενός περιστατικού ή του βαθμού της επίπτωσης, και προς την εξέταση και επιπτώσεων που οφείλονται σε αλληλεξαρτήσεις. Στην προηγούμενη ενότητα έγινε μια μονοδιάστατη αποτύπωση της αλληλεξάρτησης (δηλαδή με την εκτίμησή της ως παράγοντα που επιδρά στην ένταση της επίπτωσης), αλλά αυτή δεν επαρκεί για να απεικονίσει την πολυπλοκότητα του φαινομένου. Στόχος είναι η μέθοδος εκτίμησης κρισιμότητας που υιοθετούμε να μπορεί να απεικονίσει και αλληλοεξαρτώμενες υποδομές, αλλά και να συνυπολογίσει την μεταφερόμενη επίπτωση (και επομένως, μεταφερόμενη επικινδυνότητα) μεταξύ υποδομών. Ο στόχος αυτός θα πρέπει να επιτευχθεί με τρόπο συμβατό με τις υπάρχουσες προσεγγίσεις, ώστε να ελαχιστοποιηθεί η προσπάθεια και οι πόροι που απαιτούνται και να βελτιστοποιηθεί η σχέση κόστους-οφέλους. Με βάση τα παραπάνω είναι αντιληπτό ότι απαιτείται μια πιο ευρεία προσέγγιση, η οποία να αντιμετωπίζει ταυτόχρονα τις ανάγκες της διατομεακής ή εθνικής εκτίμησης κρισιμότητας. Λόγω των περιορισμών που τίθενται από τις απαιτήσεις σε πόρους, είναι σημαντικό αυτή να αξιοποιεί υπάρχοντα αποτελέσματα εκτίμησης επικινδυνότητας. Τέτοια δεδομένα ενδέχεται να περιλαμβάνονται σε υπάρχουσες μελέτες ασφάλειας, σχέδια ασφάλειας και πολιτικές ασφάλειας. Στη συνέχεια υιοθετούμε τον όρο του Διαχειριστή Κρίσιμης Υποδομής (ΔΚΥ) (Critical Infrastructure Operators, CIOs), όταν αναφερόμαστε σε οργανισμούς που σχετίζονται με Παράρτημα Δ : Δημοσιεύσεις και αναφορές 127

143 κρίσιμες υποδομές [European Council, 2008]. Ο ρόλος των οργανισμών αυτών μπορεί να είναι αυτός του ιδιοκτήτη, του υπεύθυνου λειτουργίας, κλπ. Οι ΔΚΥ αποτελούν τυπικούς οργανισμούς υπό την έννοια ότι αντιμετωπίζουν και αυτοί απειλές ασφάλειας- είναι πιθανό δε να έχουν σε εφαρμογή πλάνα ασφάλειας (security plans), τα οποία συμπεριλαμβάνουν και εκτιμήσεις επικινδυνότητας, πολιτικές και σχέδια ασφάλειας. Παρά το γεγονός ότι οι στόχοι της προστασίας στις κρίσιμες υποδομές φαντάζουν πανομοιότυποι με αυτούς της ασφάλειας πληροφοριών (αναφέρονται δηλαδή στην προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας), η επίτευξη αυτών των στόχων μπορεί να απαιτεί πιο πολύπλοκες διαδικασίες από αυτές που εφαρμόζονται στις βέλτιστες πρακτικές της ασφάλειας. Δε θα πρέπει να ξεχνάμε ότι οι κρίσιμες υποδομές μπορεί να αναλύονται σε διαφορετικά επίπεδα ανάλυσης (π.χ. συνιστώσες, διαδικασίες, υποδομή, πλέγμα από υποδομές, κλπ.), τα οποία απαιτούν διαφορετική εκτίμηση και συνεπώς διαφορετικό ή τροποποιημένο πλάνο προστασίας. Στη συνέχεια, θα αξιοποιήσουμε τη μεθοδολογία η οποία περιγράφηκε στην προηγούμενη ενότητα (βλ. Ενότητα 4.4) και θα την επεκτείνουμε με γνώμονα το χαρακτηριστικό της αλληλεξάρτησης. Η προτεινόμενη μεθοδολογία έχει ως στόχο να ενσωματώσει τα πορίσματα από υπάρχοντα σχέδια ασφάλειας και εκτιμήσεις επικινδυνότητας, ως προς την αλληλεξάρτηση, όπως αυτά εκπονήθηκαν σε απομονωμένους ΔΚΥ, ώστε να προβεί σε διατομεακή ή εθνική εκτίμηση κρισιμότητας. Για να το επιτύχουμε αυτό, ορίζουμε τρία διαδοχικά επίπεδα εκτίμησης κρισιμότητας, κάθε ένα από τα οποία έχει διαφορετικό στόχο και απαιτήσεις [Theoharidou et al., 2010]: (α) επίπεδο διαχειριστή (operator layer), (β) επίπεδο τομέα (sector layer), (γ) διατομεακό ή εθνικό επίπεδο (intra-sector ή national layer). Στην επόμενη ενότητα, περιγράφουμε αναλυτικά τα χαρακτηριστικά κάθε επιπέδου, καθώς και τις μεταξύ τους συσχετίσεις. Με αυτό τον τρόπο, υπάρχοντα πλάνα ασφάλειας μπορούν να αξιοποιηθούν πλήρως με στόχο να αποτελέσουν το μέσο για την αποτίμηση της κρισιμότητας και το σχεδιασμό σχεδίων ασφαλείας για σύνθετες αλληλοεξαρτώμενες ΚΥ και τα συστήματά τους. Ένα κύριο χαρακτηριστικό της προτεινόμενης μεθόδου είναι ο τυπικός ορισμός των αλληλεξαρτήσεων μεταξύ διαφορετικών ΔΚΥ, αλλά και των αντίστοιχων τομέων στους οποίους ανήκουν. Οι αλληλεξαρτήσεις μεταξύ ΔΚΥ, οι οποίοι ανήκουν στον ίδιο ή σε διαφορετικούς τομείς, αλλά και οι αλληλεξαρτήσεις που εμφανίζονται ως αποτέλεσμα μεταξύ διαφορετικών τομέων, δρουν ως η διεπαφή μέσω της οποίας οι απειλές και οι αντίστοιχες επιπτώσεις τους μεταφέρονται σε άλλους ΔΚΥ και τομείς. Ο εντοπισμός και η τυπική απεικόνισή τους αποτελεί σημαντικό στοιχείο για τον προσδιορισμό μιας μεθοδολογίας εκτίμησης κρισιμότητας και αποτελεί το αντικείμενο του παρόντος κεφαλαίου. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 128

144 5.2 Μέθοδοι ανάλυσης, απεικόνισης και μοντελοποίησης αλληλεξαρτήσεων υποδομών Όπως διαπιστώσαμε στο προηγούμενο κεφάλαιο, η εκτίμηση κρισιμότητας μιας ΚΥ επιτρέπει τον εντοπισμό των πόρων που χρήζουν προστασίας, με βάση μια διαδικασία στάθμισης κόστους-οφέλους [Steward, 2009]. Η διαδικασία αυτή απαιτεί νέες μεθόδους εκτίμησης επικινδυνότητας καθώς στις ΚΥ απαντώνται περιστατικά τα οποία μπορεί να χαρακτηρίζονται από πολύ χαμηλή πιθανότητα αποτυχίας, με ταυτόχρονη, όμως, υψηλή επίπτωση κατά την εκδήλωσή τους [Steward, 2009]. Εκτός, όμως, από την επίπτωση σε μεμονωμένες υποδομές, θα πρέπει να συνεκτιμηθεί και η συνολική επίπτωση στην κοινωνία γενικότερα, δεδομένου ότι οι υποδομές, εξ ορισμού, παρέχουν αγαθά και υπηρεσίες ζωτικής σημασίας για την κοινωνία. Για παράδειγμα, ένα περιστατικό με περιορισμένες επιπτώσεις σε μια υποδομή, μπορεί να επιφέρει σημαντικές επιπτώσεις στην οικονομία, λόγω των υπαρχόντων διασυνδέσεων αυτής με άλλες του ιδίου τομέα ή άλλων. Θα πρέπει, λοιπόν, να ληφθούν υπόψη και οι κλιμακούμενες ή αλυσωτές επιπτώσεις που ενδέχεται να υπεισέλθουν. Αυτός ο παράγοντας θέτει ζητήματα τα οποία δεν αντιμετωπίζονται με τις υπάρχουσες τεχνικές και προσεγγίσεις εκτίμησης επικινδυνότητας. Όπως αναφέραμε και στην Ενότητα η αλληλεξάρτηση υποδομών κατηγοριοποιείται σε (α) φυσική, (β) πληροφοριακή, (γ) γεωγραφική, (δ) λογική και (ε) κοινωνική [Rinaldi et al., 2001; De Porcellinis et al., 2009]. Επίσης, η αλληλεξάρτηση αυτή ενδέχεται να επηρεάζεται και από τις διαφορετικές συνθήκες λειτουργίας και τις διαφορετικές διαβαθμίσεις ποιότητας στα προσφερόμενα προϊόντα και υπηρεσίες. Επιπρόσθετα, οι αλληλεξαρτήσεις μπορεί να εξεταστούν σε μικροσκοπικό ή μακροσκοπικό επίπεδο ανάλυσης, καθώς ποικίλλουν ανάλογα με το επίπεδο ανάλυσης το οποίο υιοθετείται: μεταξύ συνιστωσών, μεταξύ συστημάτων, μεταξύ διαφορετικών υποδομών, μέσα στον ίδιο ή μεταξύ περισσοτέρων τομέων μιας χώρας [Theoharidou et al., 2010]. Οι υπάρχουσες προσεγγίσεις για τον προσδιορισμό και τη μοντελοποίηση των αλληλεξαρτήσεων των υποδομών περιλαμβάνουν τη χρήση μεθόδων σχεδιασμένων ειδικά για κάποιο συγκεκριμένο τομέα (π.χ. υποδομές παροχής φυσικού αερίου, δίκτυα ηλεκτρικής ενέργειας ή ΤΠΕ) ή πιο γενικών μεθόδων οι οποίες μπορούν να εφαρμοσθούν σε πολλαπλούς τύπους υποδομών. Τα μοντέλα αλληλεξάρτησης τα οποία συναντώνται στη βιβλιογραφία μπορούν να κατηγοριοποιηθούν σε έξι ευρείες κατηγορίες [Rinaldi, 2004]: 1. Εργαλεία συνολικής προσφοράς και ζήτησης (Aggregate Supply and Demand Tools), 2. Δυναμικές προσομοιώσεις (Dynamic Simulations), 3. Μοντέλα πρακτόρων (Agent-Based Models), 4. Μοντέλα βασισμένα στη φυσική (Physics-Based Models), 5. Πληθυσμιακά μοντέλα (Population Mobility Models) και 6. Μοντέλα εισόδου-εξόδου Leontief (Leontief Input-Output Models). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 129

145 Οι περισσότερες μέθοδοι που προτείνονται για την εκτίμηση της επίπτωσης και της επικινδυνότητας σε αλληλεξαρτώμενες υποδομές εφαρμόζουν το μοντέλο inoperability input-output model (IIM) του Leontif [Leontief, 1936]. Το μοντέλο αυτό υπολογίζει τις οικονομικές απώλειες που προκύπτουν σε ένα τομέα ΚΥ λόγω της μη διαθεσιμότητας διαφορετικών τομέων με βάση τις αλληλεξαρτήσεις τους [Aung and Watanabe, 2009; Haimes et al., 2007; Santos and Haimes, 2004; Setola et al., 2009]. Παραλλαγή του μοντέλου έχει επίσης εφαρμοσθεί [Crowther, 2008] για θέματα συνέχισης επιχειρησιακής λειτουργίας, αλλά και τον υπολογισμό του κόστους ανάκαμψης από ένα περιστατικό. Ακόμη, εμφανίζονται και παραλλαγές με στόχο την εξέταση της εμπιστευτικότητας και της ακεραιότητας των δεδομένων τα οποία προέρχονται από διαφορετικές πηγές (π.χ. τομείς υποδομών) σε μια δεδομένη υποδομή [Macaulay, 2008]. 5.3 Απαιτήσεις επιπέδων ανάλυσης της διασύνδεσης Με στόχο την ανάπτυξη μιας μεθοδολογίας εκτίμησης κρισιμότητας η οποία λαμβάνει υπόψη υπάρχοντα σχέδια ασφάλειας και εκτιμήσεις επικινδυνότητας που έχουν εκπονήσει οι ΔΚΥ, προτείνουμε μια δομημένη προσέγγιση η οποία δρα σε τρία επίπεδα ανάλυσης. Στην ενότητα αυτή εξετάζονται εκτενώς τα τρία επίπεδα ανάλυσης και καθορίζονται οι διαφορετικές απαιτήσεις του κάθε επιπέδου. Η ιδέα των επιπέδων διασύνδεσης δεν είναι νέα, αλλά έχει προταθεί και από τους [Haimes et al. 2007], οι οποίοι προτείνουν ότι η επικινδυνότητα θα πρέπει να αναλύεται σε πολλαπλά ιεραρχικά επίπεδα, τα οποία αντικατοπτρίζουν τη στόχευση και τις απαιτήσεις που θέτουν οι υπεύθυνοι λήψης απόφασης κάθε επιπέδου. Πιο συγκεκριμένα, επιλέγουν τρία επίπεδα ανάλυσης, το πληροφοριακό (information domain), φυσικό (physical domain) και το οικονομικό (economic domain). Όπως φαίνεται και στην εικόνα που ακολουθεί (βλ. Εικόνα 26), οι κίνδυνοι μπορούν να αναλυθούν σε διαφορετικά σημεία ανάλυσης (σύστημα, εγκατάσταση, επιχείρηση, τομέας, τοπικό ή εθνικό επίπεδο). Κύρια απαίτηση και καθοριστικός παράγοντας στον προσδιορισμό της επικινδυνότητας αποτελεί η κατανόηση του τρόπου με τον οποίο οι αλληλεξαρτήσεις σε ένα μικροσκοπικό επίπεδο επηρεάζουν το μακροσκοπικό επίπεδο ανάλυσης, και αντίστροφα. Εικόνα 26: Επίπεδα διασύνδεσης υποδομών Όπως αναφέραμε, για την εκτίμηση της επικινδυνότητας υποδομών, υιοθετούμε μια προσέγγιση πολλαπλών επιπέδων. Πιο συγκεκριμένα εξετάζουμε την επικινδυνότητα σε τρία διακριτά επίπεδα [Theoharidou et al., 2010]: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 130

146 1. Διατομεακό/εθνικό επίπεδο (Intra-Sector/National layer), 2. Επίπεδο τομέα (Sector Layer) και 3. Επίπεδο ΔΚΥ (Operator layer). Εικόνα 27: Προσέγγιση εκτίμησης κρισιμότητας τριών επιπέδων Τα χαρακτηριστικά και οι απαιτήσεις για κάθε επίπεδο ανάλυσης περιγράφονται στις επόμενες ενότητες. Η προσέγγιση που ακολουθούμε είναι από το χαμηλότερο προς το υψηλότερο επίπεδο (bottom-up), ξεκινώντας δηλαδή από το επίπεδο του ΔΚΥ. Η έξοδος κάθε επιπέδου αποτελεί είσοδο για το επόμενο επίπεδο ανάλυσης (βλ. Εικόνα 27). Παρακάτω, ορίζουμε για κάθε επίπεδο τις απαιτήσεις της εκτίμησης επικινδυνότητας, οι οποίες αφορούν το σκοπό και το εύρος, τις εξεταζόμενες επιπτώσεις και αλληλεξαρτήσεις, καθώς και τις διαφοροποιήσεις κάθε επιπέδου Επίπεδο 1 ο : Εκτίμηση επικινδυνότητας επιπέδου ΔΚΥ Εμβέλεια. Το κύριο μέλημα ενός ΔΚΥ (ιδιωτική επιχείρηση, δημόσιος οργανισμός ή άλλη οντότητα) είναι η προστασία των εσωτερικών επιχειρησιακών λειτουργιών, των υπηρεσιών που προσφέρει και των επιμέρους συνιστωσών της υποδομής από απειλές. Ένας τέτοιος οργανισμός εκπονεί, συνήθως, μια διαδικασία εκτίμησης επικινδυνότητας ώστε να αποτιμήσει το επίπεδο του υφιστάμενου κινδύνου. Έπειτα, με βάση τους κινδύνους που θα εντοπιστούν, υιοθετείται μια πολιτική ασφάλειας και εφαρμόζονται κατάλληλα αντίμετρα ασφάλειας, ώστε να αντιμετωπιστούν οι υφιστάμενες απειλές. Μια διαδικασία εκτίμησης επικινδυνότητας για έναν οργανισμό είναι εξ ορισμού μια εσωστρεφής διαδικασία και δεν περιλαμβάνει τον προσδιορισμό, την εκτίμηση και την αντιμετώπιση κινδύνων που δεν επιφέρουν επίπτωση στον υπό εξέταση οργανισμό, π.χ. πιθανές επιπτώσεις σε ένα τρίτο οργανισμό ή υποδομή, παρά μόνο όταν αυτές μεταφράζονται σε κάποια μορφής επίπτωση για τον οργανισμό (π.χ. οικονομικές απώλειες). Τύπος και κλίμακα επίπτωσης. Ένας ΔΚΥ εκτιμά τις πιθανές επιπτώσεις όσον αφορά στην εμβέλεια του υπό εξέταση οργανισμού. Επομένως, λαμβάνει υπόψη μόνο τους παράγοντες κινδύνου που σχετίζονται με τις συγκεκριμένες επιπτώσεις. Ως αποτέλεσμα, η διαδικασία εκτίμησης επικινδυνότητας η οποία εκπονείται σε έναν οργανισμό, δεν εξετάζει ευρύτερους κινδύνους οι οποίοι επιφέρουν επιπτώσεις στο εξωτερικό περιβάλλον του οργανισμού. Παραδείγματα αυτών είναι κοινωνικές Παράρτημα Δ : Δημοσιεύσεις και αναφορές 131

147 επιπτώσεις, όπως η απώλεια εμπιστοσύνης των πολιτών στις ΤΠΕ ή οι επιπτώσεις που αφορούν στον συγκεκριμένο οικονομικό τομέα (π.χ. τομέας των μεταφορών). Αλληλεξαρτήσεις. Κατά τη διάρκεια της εκτίμησης επικινδυνότητας ένας ΔΚΥ μπορεί να λάβει υπόψη εσωτερικές και εξωτερικές απειλές 29, αλλά και οι δύο παράγοντες κινδύνου εξετάζονται μόνο όταν οι ενδεχόμενες επιπτώσεις αναφέρονται στον υπό εξέταση οργανισμό. Πιο συγκεκριμένα, η εκτίμηση επικινδυνότητας λαμβάνει υπόψη αλληλεξαρτήσεις και διεπαφές με τρίτες οντότητες, αλλά μόνο με στόχο να εκτιμήσει πως αυτές μπορεί να επηρεάσουν τη διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα στο συγκεκριμένο ΔΚΥ, λόγω αυτής της αλληλεξάρτησης. Μια τυπική εκτίμηση επικινδυνότητας εξετάζει τις παρακάτω αλληλεπιδράσεις: (α) πιθανές επιπτώσεις που μπορεί να υποστεί ο εν λόγω ΔΚΥ από την απώλεια διαθεσιμότητας ενός συστήματος/μιας υπηρεσίας που παρέχει κάποια τρίτη εξωτερική οντότητα, και (β) πιθανές νομικές/ρυθμιστικές επιπτώσεις που μπορεί να υποστεί ένας οργανισμός από μια απειλή η οποία καθιστά τον οργανισμό αδύναμο να παρέχει υπηρεσίες/αγαθά σε κάποιο προσυμφωνημένο επίπεδο ποιότητας σε κάποια Τρίτη οντότητα (π.χ. λόγω κάποιου συμφωνητικού ποιότητας παροχής υπηρεσίας - Service Level Agreement). Και στις δύο περιπτώσεις, οι αλληλεξαρτήσεις εξετάζονται υπό εσωστρεφές πρίσμα. Η εκτίμηση επικινδυνότητας αυτού του επιπέδου δε λαμβάνει υπόψη επιπτώσεις σε εξωτερικές οντότητες, στον ευρύτερο τομέα (domain) ή στην κοινωνία γενικότερα. Επομένως, πιθανές απειλές που μπορεί να πηγάζουν από το συγκεκριμένο ΔΚΥ και να αφορούν άλλες υποδομές δεν εξετάζονται ή αποτιμώνται Επίπεδο 2 ο : Εκτίμηση επικινδυνότητας επιπέδου τομέα Εμβέλεια. Η εκτίμηση επικινδυνότητας για ένα τομέα, συνήθως, εκπονείται από κάποια αναγνωρισμένη και αξιόπιστη οντότητα υψηλότερου επιπέδου, όπως μια ρυθμιστική αρχή, εποπτικό φορέα ή συντονιστικό οργανισμό. Το ενδιαφέρον εστιάζεται στην προστασία του τομέα στο σύνολό του, με άλλα λόγια στην προστασία όλων των οργανισμών (ή ΔΚΥ) που ανήκουν σε αυτόν τον τομέα από κοινές απειλές. Συνεπώς, η εμβέλεια μιας μελέτης εκτίμησης επικινδυνότητας ενός τομέα, θα απαιτούσε την ανάλυση και τη συμμετοχή όλων των ΔΚΥ που είναι μέλη αυτού του τομέα. Ο στόχος μια τέτοιας μελέτης είναι η εκτίμηση της κρισιμότητας για τον τομέα συνολικά (π.χ. για τον τραπεζικό κλάδο, για τον τομέα των τηλεπικοινωνιών ή των μεταφορών κλπ.) ώστε να καθοριστούν βέλτιστες πρακτικές πρόληψης και αντιμετώπισης περιστατικών για όλους τους ΔΚΥ του τομέα σε πιο γενικό επίπεδο. Αυτές μπορεί να είναι μέτρα που ο συνδυασμός τους προστατεύει τον κλάδο στο σύνολό του ή ελάχιστα μέτρα που θα πρέπει να λαμβάνει ο κάθε ΔΚΥ για την προστασία του. Τύπος και κλίμακα επίπτωσης. Η εκτίμηση επικινδυνότητας ανά τομέα θα πρέπει να συμπεριλαμβάνει και αθροιστικές επιπτώσεις οι οποίες προκύπτουν από την εκδήλωση μιας απειλής. Αυτές οι επιπτώσεις δεν εξετάζονται σε επίπεδο ΔΚΥ. Για παράδειγμα, μια εκτίμηση επικινδυνότητας για τον τραπεζικό τομέα ενδέχεται να λάβει υπόψη και 29 Η έννοια της εσωτερικής απειλής χρησιμοποιείται με ευρύτερη έννοια από αυτή του εκ των έσω επιτιθέμενου (insider) [Theoharidou et al., 2005; Coles-Kemp and Theoharidou, 2009; Theoharidou and Gritzalis, 2009]: ως εσωτερικές απειλές αναφερόμαστε σε απειλές, σκόπιμες ή μη, που προέρχονται από κάποιο παράγοντα κινδύνου εντός του οργανισμού, ανθρώπινο ή μη. Σε αντιδιαστολή ως εξωτερικοί παράγοντες κινδύνου λογίζονται όλες οι πιθανές εξωτερικές οντότητες ή γεγονότα που μπορούν να επιφέρουν επίπτωση στον οργανισμό. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 132

148 κοινωνικές επιπτώσεις ενός περιστατικού το οποίο επηρεάζει τον τομέα. Αυτό δεν συμβαίνει όταν μια τράπεζα εκπονεί την εκτίμηση επικινδυνότητας για τη δική της επιχείρηση. Στην πραγματικότητα, μάλιστα, αν μια τράπεζα εκτιμούσε ένα περιστατικό το οποίο επηρεάζει όλο τον τομέα και όχι μόνο τη συγκεκριμένη τράπεζα, το ενδεχόμενο αυτό μπορεί να αποτιμηθεί με χαμηλότερη τιμή επικινδυνότητας σε σχέση με ένα ενδεχόμενο το οποίο θέτει μόνο τη συγκεκριμένη τράπεζα, για παράδειγμα, σε μειωμένη διαθεσιμότητα. Αυτό οφείλεται στο γεγονός ότι, στην πρώτη περίπτωση, η εν λόγω τράπεζα δεν χάνει ανταγωνιστικό πλεονέκτημα σε σχέση με τις άλλες τράπεζες. Επίσης, σε κάποιο άλλο περιστατικό μπορεί να μην αντιμετωπίσει νομικές ή ρυθμιστικές κυρώσεις, λόγω του γεγονότος ότι επηρεάστηκε όλος ο τομέας. Θα πρέπει, επίσης, να επισημανθεί ότι ένας ΔΚΥ μπορεί να μην έχει και την αναγκαία πληροφορία για να εκτιμήσει πώς επιπτώσεις στον τομέα συνολικά αντανακλώνται στη δική του λειτουργία. Αλληλεξαρτήσεις. Κατά τη διάρκεια της εκτίμησης κρισιμότητας ενός τομέα, θα πρέπει να εντοπιστούν και αναλυθούν αλληλεξαρτήσεις μεταξύ των μελών του, χωρίς, όμως να αγνοούνται ενδεχόμενες αλληλεξαρτήσεις με άλλους τομείς. Για την ανάλυσή τους, απαιτείται η γνώση και καταγραφή όλων των εξαρτήσεων των μελών-δκυ με άλλους ΔΚΥ του ίδιου ή άλλου τομέα. Με αυτό τον τρόπο, ο συντονιστής μπορεί να συνδέσει τον τομέα με άλλους και να εξετάσει πώς απειλές οι οποίες εκδηλώνονται σε άλλους τομείς, θα επηρεάσουν τα υπό εξέταση μέλη του εν λόγω τομέα. Συνεπώς, όταν εκτιμούμε την επικινδυνότητα ενός τομέα στο σύνολό του, είναι σημαντικό να εντοπιστούν οι διασυνδέσεις μεταξύ των μελών του. Ως είσοδος για αυτή τη διαδικασία μπορεί να αποτελέσουν πορίσματα, τα οποία προκύπτουν από τις εκτιμήσεις επικινδυνότητας του προηγούμενου επιπέδου ανάλυσης. Θα πρέπει να σημειώσουμε ότι σε περιπτώσεις υψηλής πολυπλοκότητας λόγω μεγάλου αριθμού υποδομών, τομέων ή διασυνδέσεων, θα πρέπει ο υπεύθυνος λήψης απόφασης, ενδεχομένως, να ιεραρχήσει τις αλληλεξαρτήσεις που θα διατηρήσει από το προηγούμενο επίπεδο. Κριτήρια για την επιλογή είναι η επικινδυνότητα της κάθε εξάρτησης ή μια πρωταρχική ιεράρχηση των υποδομών που αξιολογούνται ως πιο σημαντικές Επίπεδο 3 ο : Εκτίμηση κρισιμότητας διατομεακού/εθνικού επιπέδου Εμβέλεια. Στο συγκεκριμένο επίπεδο ανάλυσης, μια εντεταλμένη εθνική αρχή (π.χ. κυβέρνηση, κρατικός φορέας) ενδιαφέρεται να προστατεύσει όλες τις υποδομές, οι οποίες είναι ζωτικής σημασίας για την κοινωνία, ανεξάρτητα από τον τομέα στον οποίο ανήκουν. Εδώ ο στόχος δεν είναι η προστασία μιας επιχείρησης ή ενός οργανισμού, αλλά ούτε και η προστασία ενός συγκεκριμένου τομέα. Στόχος είναι η εξασφάλιση της απρόσκοπτης παροχής υπηρεσιών του κάθε τομέα στους πολίτες, σε ένα ελάχιστο αποδεκτό επίπεδο. Τύπος και κλίμακα επίπτωσης. Για την εκτίμηση των επιπτώσεων στην κοινωνία, απαιτείται μια νέας μορφής εκτίμηση επικινδυνότητας, στην οποία θα αναφερόμαστε ως εκτίμηση κρισιμότητας (βλ. ενότητα 4.2). Η ανάλυση θα πρέπει να περιλαμβάνει και τις εξωτερικές επιπτώσεις ενός ΔΚΥ, δηλαδή κοινωνικές επιπτώσεις, τομεακές επιπτώσεις ή επιπτώσεις σε άτομα που δε σχετίζονται άμεσα με έναν ΔΚΥ (π.χ. χρήστες, πελάτες, υποψήφιους πελάτες, ή τρίτους με συμβατική με τον οργανισμό σχέση, κλπ.). Όπως είδαμε και στην ενότητα 4.4, ο τύπος της επίπτωσης, αλλά και οι κλίμακες που αντιστοιχούν σε αυτή διαφέρουν σε σημαντικό βαθμό από αυτούς της παραδοσιακής Παράρτημα Δ : Δημοσιεύσεις και αναφορές 133

149 εκτίμησης επικινδυνότητας, ενώ οι κλίμακες αποτίμησης έχουν, συνήθως, ευρύτερο πεδίο τιμών και υψηλότερες διαβαθμίσεις. Μια αποτίμηση κρισιμότητας σε εθνικό επίπεδο απαιτεί την ανάλυση απειλών που δεν περιορίζονται ή στοχεύουν σε ένα συγκεκριμένο τομέα, αλλά επιφέρουν επίπτωση στην κοινωνία γενικότερα. Αλληλεξαρτήσεις. Οι αλληλεξαρτήσεις ανά υποδομή οι οποίες εντοπίστηκαν στο προηγούμενο επίπεδο μπορούν να αξιοποιηθούν και σε αυτό, με στόχο τον προσδιορισμό αλληλεξαρτήσεων σε επίπεδο τομέα. Και εδώ, η επιλογή μέρους ή όλων των αλληλεξαρτήσεων επαφίεται στον υπεύθυνο λήψης απόφασης και στους διαθέσιμους πόρους. Αυτό μας επιτρέπει τόσο να επαληθεύσουμε το βαθμό της αλληλεξάρτησης όπως αυτός καθορίστηκε από τους εκπροσώπους κάθε τομέα, αλλά και να δημιουργήσουμε μια ολική εικόνα των απειλών και των επιπτώσεων που εκδηλώνονται και μεταφέρονται μεταξύ διαφορετικών τομέων. Στόχος είναι να εξετάσουμε πώς η εκδήλωση μιας απειλής σε ένα τομέα ενδέχεται να επηρεάσει κάποιον άλλο. Επίσης, πρέπει να προσδιορίσουμε τις αλληλεξαρτήσεις αυτές, ώστε να εντοπίσουμε κλιμακούμενες απειλές και επιπτώσεις, υπό την έννοια ότι η εκδήλωση μιας απειλής σε ένα τομέα επιτρέπει την εκδήλωση μιας άλλης σε κάποιο άλλο τομέα κ.ο.κ. Επομένως, σε αυτό το πεδίο λαμβάνουμε υπόψη τις κλιμακούμενες ή αλυσωτές διατομεακές επιπτώσεις, αφού η εκδήλωση μιας απειλής σε ένα τομέα μπορεί να επηρεάσει όλους τους εξαρτώμενους τομείς. Αυτά τα φαινόμενα μπορούν μόνο να εντοπιστούν και εκτιμηθούν από μια οντότητα (ή ομάδα οντοτήτων) που έχει μια συνολική, μακροσκοπική οπτική των ΔΚΥ, των τομέων και των αλληλεξαρτήσεών τους. 5.4 Ορισμός νέας μεθοδολογίας εκτίμησης κρισιμότητας Με βάση τους διαφορετικούς στόχους και τις απαιτήσεις κάθε επιπέδου ανάλυσης, στην παρούσα ενότητα ορίζουμε μια μεθοδολογία εκτίμησης κρισιμότητας [Theoharidou et al., 2010]. Η νέα αυτή μεθοδολογία έχει ως στόχο την εκτίμηση της κρισιμότητας τόσο των υποδομών όσο και των τομέων στους οποίους αυτές ανήκουν, αλλά και την αποτίμηση των εξαρτήσεων μεταξύ τους. Αποτελεί εξέλιξη της μεθόδου που περιγράφηκε στο προηγούμενο κεφάλαιο [Theoharidou et al., 2009] και η οποία εστίαζε αποκλειστικά στην εκτίμηση της επίπτωσης ως προς την ένταση, το χρόνο και την εμβέλεια. Η νέα μέθοδος λαμβάνει υπόψη τα αποτελέσματα της προηγούμενης και εξελίσσεται σε μια πολύ-επίπεδη μέθοδο, υπό την έννοια ότι τα χαμηλότερα επίπεδα ανάλυσης αποτελούν την είσοδο για τα υψηλότερα. Αυτό επιτυγχάνεται με την εξέταση των αλληλεξαρτήσεων μεταξύ διαφορετικών ΔΚΥ σε κάθε τομέα και τον μετέπειτα συνδυασμό και επαναπροσδιορισμό τους ανά τομέα και σε εθνικό/διατομεακό επίπεδο. Καθώς, στη βιβλιογραφία, δεν υπάρχει συμφωνία όλων των κρατών σε σχέση με το σύνολο των τομέων κρισιμότητας, επιλέγουμε να υιοθετήσουμε τους πιο συχνά αναφερόμενους ως κρίσιμους τομείς, με βάση την μελέτη των [Brunner and Suter, 2008] (βλ. Ενότητα 2.3.2). Ο Πίνακας 51 παρουσιάζει τους κύριους επιλεγμένους τομείς, οι οποίοι αντιπροσωπεύουν περιοχές όπου μια διακοπή λειτουργίας σε μεγάλη κλίμακα θα επέφερε καταστροφικές συνέπειες. Υπενθυμίζουμε ότι αναφερόμαστε σε πληροφοριακές και επικοινωνιακές υποδομές που ανήκουν σε κάποιον από τους δέκα αυτούς τομείς. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 134

150 Πίνακας 51: Τομείς κρισιμότητας Τομέας Τραπεζική και Οικονομία Διακυβέρνηση Τεχνολογίες Πληροφοριών και Επικοινωνιών Διαχείριση επειγόντων περιστατικών/διάσωσης Ενέργεια Υγεία Τρόφιμα Μεταφορές Νερό Συντομογραφία (στα αγγλικά) Finance Gov. ICT Emergency Energy Health Food Transport Water Μετά την επιλογή των τομέων που θα συμπεριληφθούν στη διαδικασία εκτίμησης κρισιμότητας, το βήμα που ακολουθείται είναι η επιλογή των πιθανών ΔΚΥ από κάθε τομέα, οι οποίοι θα συμπεριληφθούν στην ανάλυση. Για κάθε τομέα, μια οντότητα (αρχή, οργανισμός) θα πρέπει να αναλάβει το ρόλου του συντονιστή του τομέα, ο οποίος είναι υπεύθυνος για τον αρχικό προσδιορισμό των υποψήφιων ΔΚΥ, με τη βοήθεια αντιπροσώπων τομέα (π.χ. κυβερνητικοί φορείς, ομάδες ειδικών ή αντιπρόσωποι ΔΚΥ). Η χρήση ειδικών για τον προσδιορισμό των συσχετίσεων μεταξύ τομέων υποστηρίζεται και από τους [Setola et al., 2009]. Οι υποψήφιοι ΔΚΥ μπορούν να αναγνωριστούν, εξετάζοντας αν αυτοί παρέχουν ένα προϊόν ή υπηρεσία, η οποία είναι ζωτικής σημασία για την κοινωνία, δηλαδή για την υγεία, τη σωματική ασφάλεια, την οικονομική και κοινωνική ευμάρεια των πολιτών. Καθώς ο βαθμός κρισιμότητας αυτών των υποδομών δεν έχει ακόμα προσδιοριστεί, η επιλογή αυτή επαφίεται αποκλειστικά στις παραδοχές και εκτιμήσεις των αντιπροσώπων των τομέων. Για το λόγο αυτό, το αρχικό σύνολο των υποψηφίων ΔΚΥ δε θα πρέπει να είναι απόλυτο, αλλά να είναι ευέλικτο, καθώς στη συνέχεια της διαδικασίας μπορεί να προστεθούν νέοι ΔΚΥ. Αυτοί προκύπτουν λόγω αλληλεξάρτησής τους με άλλους ΔΚΥ, σχέση η οποία δεν είχε εντοπιστεί αρχικά και σημαίνει ότι αυτοί οι ΔΚΥ προσφέρουν κάποιο προϊόν ή υπηρεσία σε άλλους ΔΚΥ. Μετά την ολοκλήρωση της επιλογής τομέων και υποψήφιων ΔΚΥ, ακολουθεί μια ανάλυση σε τρία επίπεδα που έχει ως στόχο να εντοπίσει τα εξής: 1. Ποιες είναι οι πιο κρίσιμες υποδομές (αναφερόμαστε σε ΔΚΥ); Ποιος ο συνολικός βαθμός κρισιμότητας κάθε ΔΚΥ που συμπεριελήφθη στην ανάλυση; 2. Ποιοι είναι οι πιο κρίσιμοι τομείς; Ποιοι τομείς εξαρτώνται σε μεγαλύτερο βαθμό από άλλους τομείς και ποιοι αποτελούν προϋπόθεση για την λειτουργία άλλων τομέων; Πριν προχωρήσουμε θα πρέπει να σημειωθεί ότι η ανάλυση βασίζεται σε συγκεκριμένες παραδοχές. Πιο συγκεκριμένα, υποθέτουμε ότι κάθε ΔΚΥ έχει ήδη εκπονήσει μια μελέτη εκτίμησης επικινδυνότητας για τον οργανισμό και έχει σχεδιάσει και υιοθετήσει ένα Παράρτημα Δ : Δημοσιεύσεις και αναφορές 135

151 πλάνο ασφάλειας, είτε εφαρμόζοντας κάποια αναγνωρισμένη μέθοδο εκτίμησης επικινδυνότητας, είτε υιοθετώντας κάποιο διεθνές πρότυπο. Τα συνήθη πρότυπα που υιοθετούν οι ΔΚΥ και σχετίζονται με την εκτίμηση επικινδυνότητας είναι είτε πρότυπα για τις συνιστώσες ΤΠΕ τους (π.χ. πρότυπα ISO [ISO/IEC, 2008]) ή πρότυπα που αναφέρονται στο συγκεκριμένο τομέα ενδιαφέροντος (π.χ. τα πρότυπα του οργανισμού NERC για την ενέργεια [NERC, 2006]). Η υπόθεση-παραδοχή αυτή συνεπάγεται ότι ο ΔΚΥ έχει καταγράψει όλα τα σημαντικά του αγαθά, τις ενδεχόμενες απειλές (εκ των έσω και εξωτερικές), τις πιθανές επιπτώσεις και έχει υπολογίσει την επικινδυνότητα. Μια επιπλέον υπόθεση-παραδοχή είναι ότι ο ΔΚΥ έχει εκπονήσει μελέτες ανάλυσης τρωτοτήτων (vulnerability analysis) για τις τεχνολογικές του συνιστώσες και είναι ενήμερος ή έχει αντιμετωπίσει τα πιθανά πορίσματα που προκύπτουν από αυτές 30. Τέλος, οι πιθανές επαφές ενός ΔΚΥ με τρίτους έχουν εντοπιστεί σε αυτό το στάδιο, καθώς οι περισσότερες μέθοδοι εξετάζουν και κινδύνους οι οποίοι πηγάζουν από τρίτες οντότητες και διαμορφώνουν την επικινδυνότητα. Σημειώνεται ότι η επίπτωση των τρίτων φορέων εξετάζεται πάντα με γνώμονα την προστασία της ασφάλειας του συγκεκριμένου ΔΚΥ. Δεν εξετάζεται, συνεπώς, πώς ένας ΔΚΥ επηρεάζει την επικινδυνότητα κάποιου τρίτου ΔΚΥ. Στη συνέχεια θα περιγράψουμε αναλυτικά τα βήματα κάθε επιπέδου ανάλυσης (ανά ΔΚΥ, ανά τομέα και συνολικά). Τα βήματα που ακολουθούμε συνοψίζονται στο παρακάτω σχήμα: Εθνικό/Διατομεακό Επίπεδο Συνολική Κρισιμότητα Επίπεδο Τομέα Επικινδυνότητα & Αλληλεξαρτήσεις Τομέων Επίπεδο ΔΚΥ Επικινδυνότητα & Εξαρτήσεις ΔΚΥ Εικόνα 28: Στάδια ανάλυσης κρισιμότητας και αποτελέσματα κάθε σταδίου Επίπεδο ΔΚΥ Όπως παρατηρούμε και στην Ενότητα 2.1.2, η λογική που ακολουθούν οι περισσότερες μέθοδοι εκτίμησης επικινδυνότητας είναι παρεμφερείς, αλλά ο τρόπος υπολογισμού και παρουσίασης των αποτελεσμάτων τους εμφανίζει κάποιες διαφορές. Πιο συγκεκριμένα, δεν ακολουθούν τον ίδιο τρόπο ποσοτικής απεικόνισης της επικινδυνότητας ή δεν λαμβάνουν υπόψη τα ίδια χαρακτηριστικά. Για το λόγο αυτό, το στάδιο αυτό απαιτεί τη χρήση ενός ομοιόμορφου τρόπου αποτύπωσης των αλληλεξαρτήσεων κάθε ΔΚΥ με τρίτους. Τα αποτελέσματα αυτά πρέπει να προκύπτουν με απλό τρόπο από τις υπάρχουσες μελέτες εκτίμησης επικινδυνότητας και ταυτόχρονα να είναι σε αξιοποιήσιμη από το επόμενο στάδιο μορφή (ανάλυση σε επίπεδο τομέα). Αυτό σημαίνει ότι η μέθοδος που θα υιοθετηθεί θα πρέπει να συμβαδίζει με τις βέλτιστες πρακτικές (δηλαδή όπως απεικονίζονται σε πρότυπα), ώστε τα δεδομένα αυτά να εξάγονται με την ελάχιστη προσπάθεια. Στο στάδιο αυτό αξιοποιούμε το γεγονός ότι 30 Η παραδοχή αυτή είναι κρίσιμη, καθώς, στη συνέχεια, η επικινδυνότητα (risk) υπολογίζεται με βάση το γινόμενο πιθανότητας εμφάνισης (threat) και επίπτωσης (impact) (βλ. Ενότητα 4.3). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 136

152 κάθε ΔΚΥ αναμένεται να έχει μια ακριβή εικόνα των άμεσων εξαρτήσεων του από άλλους ΔΚΥ, με άλλα λόγια για τις εξαρτήσεις πρώτου επιπέδου (first-order dependencies). Σε αντίθεση, αναμένεται να έχει περιορισμένη πληροφορία σε σχέση με τις εξαρτήσεις ανώτερου επιπέδου, αλυσωτές ή κλιμακούμενες (βλ. Ενότητα 2.3.3), οι οποίες μπορούν να αντιμετωπιστούν σε υψηλότερο επίπεδο ανάλυσης από τους αντιπροσώπους κάθε τομέα, οι οποίοι έχουν μια πιο πλήρη εικόνα του θέματος. Από κάθε ξεχωριστή μελέτη εκτίμησης επικινδυνότητας, κάθε ΔΚΥ δύναται να αναγνωρίζει τις εξαρτήσεις του με άλλους ΔΚΥ. Ένας τρόπος για να ομογενοποιηθούν αυτά τα αποτελέσματα, είναι η χρήση δένδρων εξάρτησης (dependency trees) [Theoharidou et al., 2010], όπως αυτό που παρουσιάζεται στην Εικόνα 29. Στην εικόνα βλέπουμε πως απεικονίζονται η εξαρτήσεις του CIO i από τον CIO j. Παρατηρούμε ότι δύο υποδομές μπορούν να αλληλεξαρτώνονται με περισσότερούς από έναν τρόπους (π.χ. εξάρτηση 1, εξάρτηση 2, κ.ο.κ.), ενώ μια υποδομή μπορεί να εξαρτάται από πολλές υποδομές. Εικόνα 29: Μοντελοποίηση εξαρτήσεων ΔΚΥ (CIO) με χρήση δένδρων Η προσέγγιση με χρήση δένδρων είναι παρόμοια με αυτή που χρησιμοποιείται από τη μέθοδο εκτίμησης επικινδυνότητας Octave [CMU, 2001], για τη συσχέτιση πιθανών επιπτώσεων και απειλών με αγαθά. Ο λόγος που επιλέξαμε αυτή την τεχνική είναι κυρίως η απλότητα, η ευκολία κατανόησης, αλλά και η ευελιξία της. Το δένδρο αυτό Παράρτημα Δ : Δημοσιεύσεις και αναφορές 137

153 σχηματίζεται και συμπληρώνεται με τιμές, βάση της ακολουθίας βημάτων, η οποία παρουσιάζεται στη συνέχεια. Σε αυτή τη φάση, ο συγκεκριμένος ΔΚΥ (CIO i) θα ακολουθήσει μια σειρά βημάτων, τα οποία αποτυπώνονται σχηματικά στη συνέχεια. Βήμα 1: Εντοπίζονται όλοι οι ΔΚΥ (CIO j) από τους οποίος εξαρτάται ο συγκεκριμένος οργανισμός (CIO i) για προϊόντα, υπηρεσίες ή συστήματα. Αυτοί αποτελούν τις προαπαιτούμενες υποδομές για τον CIO i (requisite CIOs). Οι προαπαιτούμενοι ΔΚΥ μπορούν να προσδιορισθούν βάσει υπαρχουσών μελετών εκτίμησης επικινδυνότητας, αν κάποιος αναζητήσει αποτελέσματα σε σχέση με απειλές που προκύπτουν από τρίτους. Σημειώνεται ότι οι ΔΚΥ μπορούν να ανήκουν τόσο στον ίδιο τομέα όσο και σε άλλους. Στόχος είναι η κάθε αλληλεξάρτηση να περιγραφεί με ένα σύντομο, αλλά κατανοητό τρόπο, και να αναφέρει ποιες συνιστώσες από κάθε ΔΚΥ εμφανίζουν μια μορφή διασύνδεσης. Βήμα 2: Για κάθε προαπαιτούμενο οργανισμό, θα πρέπει να προσδιορισθεί ο τύπος της αλληλεξάρτησης. Υιοθετούμε την κατηγοριοποίηση των [Rinaldi et al., 2001; De Porcellinis et al., 2009], η οποία αναφέρει πέντε τύπους αλληλεξάρτησης (βλ. Πίνακας 52). Πίνακας 52: Τύποι αλληλεξαρτήσεων μεταξύ υποδομών Τύπος Περιγραφή Αλληλεξάρτησης Φυσική (Physical) Πληροφοριακή (Cyber/ Informational) Γεωγραφική (Geographic) Λογική (Logical) Κοινωνική (Social) Η κατάσταση ενός ΔΚΥ i εξαρτάται από τα προϊόντα εξόδου (material outputs) ενός άλλου ΔΚΥ j. Η κατάσταση ενός ΔΚΥ i εξαρτάται από πληροφορίες οι οποίες μεταδίδονται μέσα από την πληροφοριακή και επικοινωνιακή υποδομή ενός άλλου ΔΚΥ j. Η κατάσταση ενός ΔΚΥ i εξαρτάται από ένα τοπικό περιβαλλοντικό γεγονός σε έναν άλλο ΔΚΥ j. Η κατάσταση ενός ΔΚΥ i εξαρτάται από την κατάσταση ενός άλλου ΔΚΥ j μέσω κάποιου μηχανισμού, ο οποίος δεν είναι φυσικός, πληροφοριακός ή γεωγραφικός. Η κατάσταση ενός ΔΚΥ i επηρεάζεται από την εξάπλωση δυσλειτουργιών από έναν άλλο ΔΚΥ j οι οποίες σχετίζονται με ανθρώπινες συμπεριφορές και δραστηριότητες. Είναι πιθανό για κάθε προαπαιτούμενο ΔΚΥ j να υπάρχουν περισσότερες της μιας αλληλεξαρτήσεις. Ως παραδείγματα κοινωνικής αλληλεξάρτησης μπορούν να αναφερθούν η έλλειψη εμπιστοσύνης σε έναν κύριο ΔΚΥ ενός τομέα (π.χ. Κεντρική Τράπεζα ή Πάροχος Δικτυακών Υπηρεσιών Κορμού) να επηρεάζει όλους τους ΔΚΥ του ιδίου τομέα. Άλλο παράδειγμα είναι η ταυτόχρονη επίδραση απεργιακών κινητοποιήσεων σε όλους τους ΔΚΥ ενός τομέα. Θα πρέπει να σημειωθεί ότι τέτοιου τύπου αλληλεξαρτήσεις είναι δύσκολο να εντοπιστούν όταν εξετάζουμε το θέμα της αλληλεξάρτησης υπό την οπτική του ΔΚΥ. Αυτό σημαίνει ότι τέτοιου τύπου Παράρτημα Δ : Δημοσιεύσεις και αναφορές 138

154 διασυνδέσεις ενδέχεται να παραβλεφθούν σε αυτό το στάδιο και για αυτό το λόγο πρέπει να επανεξεταστούν και στο δεύτερο επίπεδο ανάλυσης (βλ. Βήμα 2 της ενότητας 5.4.2). Βήμα 3: Για κάθε προαπαιτούμενο ΔΚΥ και για κάθε τύπο εξάρτησης, θα πρέπει να προσδιορισθούν αρχικά ποια περιστατικά μπορούν να επιφέρουν επίπτωση στην εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα σε συνιστώσες, αγαθά και υπηρεσίες του ΔΚΥ. Αυτά μπορεί να αναλύονται και σε μεγαλύτερο βαθμό λεπτομέρειας. Για παράδειγμα, η μη διαθεσιμότητα μπορεί να εκφραστεί σε συγκεκριμένα χρονικά διαστήματα, όπως < 15 λεπτά, 1 ώρα, 3 ώρες, 1 ημέρα κλπ., ή η απώλεια ακεραιότητας να διαχωριστεί σε λάθη χρηστών ή σε ηθελημένη τροποποίηση δεδομένων [Insight, 2005]. Θα αναφερόμαστε στην επίπτωση αυτή ως η πηγαία επίπτωση της εξάρτησης (source impact of the dependency). Βήμα 4: Για κάθε πιθανή πηγαία επίπτωση (φαινόμενο που επιφέρει επίπτωση στον προαπαιτούμενο ΔΚΥ), πρέπει να προσδιορισθεί αν αυτή μπορεί να επιφέρει μια κλιμακούμενη, εισερχόμενη επίπτωση στον υπό εξέταση ΔΚΥ (incoming impact). Παρά το γεγονός ότι η πηγαία και η εισερχόμενη επίπτωση είναι σύνηθες να είναι ιδίου τύπου, είναι πιθανό να εμφανίζουν και διαφοροποίηση. Μια πιο λεπτομερής κατηγοριοποίηση μπορεί να υιοθετηθεί, ώστε η πληροφορία αυτή να εμπλουτιστεί και να αναπαριστά μόνο δυαδικές αλληλεξαρτήσεις (π.χ. πλήρης διαθεσιμότητα ή μη διαθεσιμότητα), αλλά και αλληλεξαρτήσεις που αντανακλούν και την ποιότητα των υπηρεσιών (μη διαθεσιμότητα για συγκεκριμένα χρονικά διαστήματα, ποσότητα ενέργειας, ταχύτητα σύνδεσης κλπ.). Βήμα 5: Κατόπιν, για κάθε εισερχόμενη επίπτωση, θα πρέπει να προσδιορισθούν τα χαρακτηριστικά της. Αυτά είναι ο τύπος της εισερχόμενης επίπτωσης (οικονομικές απώλειες, σωματική ασφάλεια, απώλεια στρατηγικού πλεονεκτήματος, μη λειτουργία υπηρεσίας, νομικές επιπτώσεις, κ.ά.), καθώς και η κλίμακα της επίπτωσης (π.χ. χαμηλή, μεσαία, υψηλή ή πιο λεπτομερής). Ο Πίνακας 53 παρουσιάζει παραδείγματα από τύπους επίπτωσης και κλίμακες που μπορούν να χρησιμοποιηθούν σε αυτό το βήμα. Σημειώνεται ότι αυτές οι επιπτώσεις αναφέρονται στον ΔΚΥ i και είναι οι συνήθεις κατηγοριοποιήσεις που χρησιμοποιούνται για την εκτίμηση επικινδυνότητας με την παραδοσιακή της έννοια [ISO/IEC, 2008]. Αναφέρονται δηλαδή στον εν λόγω οργανισμό και δεν εξετάζουν περαιτέρω επιπτώσεις στο εξωτερικό περιβάλλον ή στην κοινωνία. Αυτό είναι εύλογο καθώς αναμένουμε από τον ΔΚΥ i να εκτιμήσει τις επιπτώσεις αυτές με μεγάλη ακρίβεια σε σχέση με τις κοινωνικές επιπτώσεις ή τις επιπτώσεις σε τρίτους, για τις οποίες μπορεί να μην έχει πλήρη εικόνα. Σε σχέση με τη διαβάθμιση της επίπτωσης, δύναται να χρησιμοποιηθούν κλίμακες με περισσότερα επίπεδα, αλλά μια εξαιρετικά λεπτομερής κατηγοριοποίηση δεν επιτρέπει πάντα τη στάθμιση των επιπτώσεων με ανάλογο τρόπο για όλο τον οργανισμό. Συνήθως, ως επιτρεπτός αριθμός θεωρείται κάθε διαβάθμιση μεταξύ τριών (π.χ. χαμηλή, μεσαία, υψηλή) και δέκα επιπέδων [ISO/IEC, 2008]. Στο παράδειγμα αυτό εμείς επιλέξαμε μια 5- βάθμια κλίμακα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 139

155 Πίνακας 53: Παραδείγματα επιπτώσεων και αντίστοιχες κλίμακες Τύπος επίπτωσης Παραβίαση νομοθεσίας και κανονιστικών ρυθμίσεων Απώλεια καλής φήμης/αρνητική δημοσιότητα Διαρροή προσωπικών ή εμπιστευτικών πληροφοριών Επίπτωση στη σωματική ακεραιότητα και υγεία Δυσχέρεια στην επιβολή του νόμου Διατάραξη της δημόσιας τάξης Οικονομικές απώλειες Διακοπή ή υποβάθμιση λειτουργίας Επίπτωση στην περιβαλλοντολογική ασφάλεια Κλίμακα (VL) Very Low (L)ow (M)edium (H)igh (VH) Very High Βήμα 6: Το επόμενο βήμα είναι η εκτίμηση της πιθανότητας πραγματοποίησης της εισερχόμενης επίπτωσης (likelihood), η οποία μπορεί και αυτή να διαβαθμιστεί ως χαμηλή, μεσαία, υψηλή ή με πιο λεπτομερή διαβάθμιση. Στο σημείο αυτό θα πρέπει να αναφέρουμε ότι η εκτίμηση τόσο της επίπτωσης όσο και της πιθανότητας εμφάνισης εισάγουν υποκειμενικότητα, καθώς εμπεριέχουν και την προσωπική εκτίμηση των ανθρώπων που κάνουν τις εκτιμήσεις αυτές (π.χ. μελετητές) ή την άποψη της διοίκησης ενός συγκεκριμένου ΔΚΥ. Παρόλα αυτά, υπάρχουν τρόποι να διαχειριστούμε την υποκειμενικότητα που υπεισέρχεται, οι οποίοι περιγράφονται στην Ενότητα 5.7. Βήμα 7: Με βάση τις εκτιμήσεις για την επίπτωση και την πιθανότητα εκδήλωσής της, μπορούμε να προβούμε στον υπολογισμό της εισερχόμενης επικινδυνότητας για τον εν λόγω ΔΚΥ i (incoming risk). Η επικινδυνότητα μπορεί να υπολογιστεί βάσει μιας απλής μήτρας επικινδυνότητας (risk matrix), όπως αυτή που παρουσιάζει ο Πίνακας 54 (υιοθετούμε τις προτεινόμενες διαβαθμίσεις του [ISO/IEC, 2008]). Πίνακας 54: Μήτρα υπολογισμού της εισερχόμενης επικινδυνότητας Πιθανότητα εμφάνισης (Likelihood) Εισερχόμενη Επικινδυνότητα (Incoming Risk) Very Low (Very Unlikely) Low (Unlikely) Medium (Possible) High (Likely) Very High (Frequent) Very Low Επίπτωση (Impact) Low Medium High Very High Βήμα 8: Στο τέλος του σταδίου αυτού, κάθε ΔΚΥ συμπληρώνει έναν πίνακα (βλ. Πίνακας 55), ο οποίος εμφανίζει την εισερχόμενη επικινδυνότητα του ΔΚΥ i από άλλους ΔΚΥ j. Αυτή η πληροφορία συγκεντρώνεται από το συντονιστή κάθε τομέα ώστε να χρησιμοποιηθεί στα υψηλότερα επίπεδα ανάλυσης. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 140

156 Πίνακας 55: Εισερχόμενη επικινδυνότητα για τον ΔΚΥ CIO i από ΔΚΥ j CIO i Requisite CIO j Dependency Type Description Source Impact Incoming Impact Impact Type Impact Scale Likelihood CIO 1 Dependency 1 UA ή DS ή MD UA ή DS ή MD P ή C ή G ή Log ή S VL-VH VL-VH Dependency 2 UA ή DS ή MD UA ή DS ή MD P ή C ή G ή Log ή S VL-VH VL-VH 1-9 CIO 2 Dependency 3 UA ή DS ή MD UA ή DS ή MD P ή C ή G ή Log ή S VL-VH VL-VH UA: Unavailability, DS: Disclosure, MD: Modification P: Physical, C: Cyber/Informational, G: Geographic, Log: Logical, S: Social VH: Very High, H: High, M: Medium, L: Low, VL: Very Low Το αποτέλεσμα αυτού του σταδίου επιτρέπει σε ένα ΔΚΥ i να εντοπίζει και να μοντελοποιήσει τις κύριες εξαρτήσεις του από άλλους ΔΚΥ j και να καταγράψει πώς αυτές ενδέχεται να επηρεάσουν τη λειτουργία του. Αυτή η πληροφορία θα πρέπει να ομαδοποιηθεί και να συγκεντρωθεί για κάθε ΔΚΥ i ενός τομέα που συμμετέχει στην ανάλυση, ενώ ενδέχεται σε αυτό το στάδιο να εντοπιστούν και κρίσιμες υποδομές που δεν είχαν συμπεριληφθεί σε αυτό το σύνολο, αλλά εμφανίζουν εξαρτήσεις και θα πρέπει να εκτιμηθούν. Για κάθε τομέα που συμπεριλαμβάνεται στην ανάλυση και για κάθε υποδομή/δκυ που εξετάζουμε θα πρέπει να έχουμε συμπληρώσει τον παραπάνω πίνακα εισερχόμενης επικινδυνότητας. Στην περίπτωση που έχουμε περισσότερες της μίας εκτιμήσεις για την εισερχόμενη επικινδυνότητα μεταξύ δύο ΔΚΥ, τότε η εισερχόμενη επικινδυνότητα (incoming dependency risk) DR i,j για τον ΔΚΥ i από τον ΔΚΥ j υπολογίζεται ως ο μέγιστος βαθμός όλων των εισερχομένων επικινδυνοτήτων r i,j. Εναλλακτική προσέγγιση θα ήταν ο υπολογισμός της μέσης τιμής της εισερχόμενης επικινδυνότητας που προέρχεται από όλες τις εξαρτήσεις του CIO i. αλλά μπορεί μεν αυτή η προσέγγιση να εξισορροπεί το κόστος με το όφελος, μπορεί όμως και να αποκρύψει πληροφορίες ή να μειώσει το επίπεδο επικινδυνότητας όταν οι τιμές της μερικής επικινδυνότητας εμφανίζουν μεγάλες αποκλίσεις 31. Τα βήματα που ακολουθούνται μέχρι αυτό το στάδιο βασίζονται σε πρακτικές της παραδοσιακής εκτίμησης επικινδυνότητας. Η έμφαση, όμως, τίθεται στις αλληλεξαρτήσεις των ΔΚΥ, που είναι μια πλευρά η οποία συνήθως παραμελείται ή δεν αναλύεται λεπτομερώς. Η συμβολή αυτού του επιπέδου είναι να αποτυπώσει αυτές τις αλληλεξαρτήσεις και όχι να προτείνει ένα νέο τρόπο υπολογισμού της επικινδυνότητας 31 Ο υπολογισμός συνολικών μεγεθών μπορεί να γίνει με διάφορους τρόπους. Ενδεικτικά αναφέρονται ο μέσος όρος, η μέγιστη τιμή, ο υπολογισμός του εύρους τιμών, της διακύμανσης, της τυπικής απόκλισης κ.ά. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 141

157 για έναν ΔΚΥ. Σε αντίθεση, στα επόμενα βήματα, η επίπτωση και η επικινδυνότητα εκτιμώνται ως προς τον τομέα και, έπειτα, την κοινωνία, οπότε οι ίδιες παραδοχές δεν ισχύουν. Για παράδειγμα, κατά τον υπολογισμό της επικινδυνότητας, υποθέσαμε ότι η επίπτωση και η πιθανότητα εμφάνισης έχουν ισοβαρή σημασία. Όταν εξετάζουμε τη σπουδαιότητα των κρίσιμων υποδομών αυτών για την κοινωνία, ενδέχεται να πρέπει να τροποποιήσουμε αυτή την υπόθεση και να θέσουμε μεγαλύτερη βαρύτητα στην επίπτωση. Τέτοιες τροποποιήσεις θα επέλθουν στα δύο υψηλοτέρα επίπεδα ανάλυσης, καθώς στο παρόν επίπεδο, η επικινδυνότητα εξετάζεται υπό το πρίσμα του ΔΚΥ Επίπεδο 2 ο : Τομέας Ολοκληρώνοντας το προηγούμενο επίπεδο, κάθε ΔΚΥ έχει εντοπίσει όλες τις εξαρτήσεις του από άλλους ΔΚΥ και έχει εκτιμήσει την εισερχόμενη επικινδυνότητα η οποία προκύπτει από αυτές τις εξαρτήσεις. Η ανάλυση σε επίπεδο υποδομής, πραγματοποιείται σε μικρο-επίπεδο και για αυτό το λόγο ενδέχεται να μην έχουν εντοπιστεί όλοι οι κίνδυνοι από το ΔΚΥ. Πράγματι, κάθε ΔΚΥ θα εξετάσει μόνο τους εισερχόμενους κινδύνους που προκύπτουν λόγω της εξάρτησής του από άλλους, αλλά δε θα εκτιμήσει την πιθανή επίπτωση κινδύνων σε άλλους ΔΚΥ ή τις ενδεχόμενες επιπτώσεις στον τομέα, σε άλλους τομείς ή στην κοινωνία. Αυτός είναι ο στόχος του δεύτερου επιπέδου ανάλυσης, το οποίο αφορά την εκτίμηση επικινδυνότητας σε επίπεδο τομέα. Υποθέτουμε ότι κάθε ΔΚΥ ο οποίος ανήκει σε ένα συγκεκριμένο τομέα θα παρέχει όλες τις πληροφορίες που συγκεντρώθηκαν (μήτρες εισερχόμενης εξάρτησης για κάθε ΔΚΥ και εκτιμήσεις ) στο προηγούμενο επίπεδο στο συντονιστή του τομέα. Ο συντονιστής είναι μια οντότητα η οποία είναι υπεύθυνη για την εκτίμηση κρισιμότητας για ένα συγκεκριμένο τομέα. Για να μοντελοποιήσει τις κοινωνικές επιπτώσεις (societal impacts) που προκύπτουν από κάθε ΔΚΥ, ο συντονιστής του τομέα θα πρέπει να σχηματίσει, για κάθε ΔΚΥ του τομέα του, ένα νέο δένδρο εξάρτησης για την κοινωνική επίπτωση (social impact dependency tree), όπως αυτό που φαίνεται στην Εικόνα 30. Ο συντονιστής τομέα θα πρέπει να ακολουθήσει τα παρακάτω βήματα: Βήμα 1: Για κάθε ΔΚΥ i που ανήκει στον υπό εξέταση τομέα θα πρέπει να εντοπιστούν οι εξαρτώμενοι ΔΚΥ j (dependent CIOs), όπως αυτοί προκύπτουν από όλες τις ανεξάρτητες εκτιμήσεις επικινδυνότητας του πρώτου επιπέδου ανάλυσης. Όπως είδαμε στο προηγούμενο στάδιο, οι ΔΚΥ αποτυπώνουν τις εισερχόμενες εξαρτήσεις (προαπαιτούμενους ΔΚΥ) και όχι τις εξερχόμενες (εξαρτώμενους ΔΚΥ), δηλαδή δεν προσδιορίζουν τους οργανισμούς/υποδομές που βασίζονται σε αυτούς για τη λειτουργία τους. Αυτό σημαίνει ότι μπορεί να υπάρχουν εξαρτήσεις που δεν έχουν εντοπιστεί από τους ΔΚΥ, καθώς δεν υπήρχε εισερχόμενη επίπτωση, και οι οποίες αναδεικνύονται σε αυτό το βήμα. Βήμα 2: Για κάθε υπό εξέταση ΔΚΥ και κάθε εξαρτώμενο με αυτόν ΔΚΥ, θα πρέπει να προσδιορισθεί ο τύπος της εξάρτησης (βλ. Πίνακας 52), με έμφαση και στις κοινωνικές αλληλεξαρτήσεις. Υπενθυμίζουμε ότι στο Βήμα 2 του πρώτου επιπέδου, εντοπίστηκαν αλληλεξαρτήσεις, αλλά οι κοινωνικές αλληλεξαρτήσεις ενδέχεται να μην είναι εύκολο να εντοπιστούν από τους ΔΚΥ. Σε αυτό το στάδιο η επεξεργασία των πληροφοριών γίνεται από το συντονιστή του τομέα, ο οποίος αναμένεται να έχει μια πιο ευρεία και συνολική εικόνα και αντίληψη. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 142

158 Εικόνα 30: Μοντελοποίηση κοινωνικών επιπτώσεων με χρήση δένδρων (Παράδειγμα: Οι κοινωνικές επιπτώσεις της υποδομής CIO A) Βήμα 3: Για κάθε εξαρτώμενο ΔΚΥ και για κάθε τύπο εξάρτησης, θα πρέπει στη συνέχεια να προσδιοριστεί η πηγαία επίπτωση (source impact) στον υπό εξέταση CIO i, δηλαδή επιπτώσεις στην εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα σε συνιστώσες, αγαθά και υπηρεσίες του ΔΚΥ i. Η πηγαία επίπτωση ορίζεται με αντίστοιχο τρόπο με το Βήμα 3 του πρώτου επιπέδου ανάλυσης. Βήμα 4: Για κάθε πιθανή πηγαία επίπτωση που αφορά τον υπό εξέταση οργανισμό, θα πρέπει να προσδιορισθούν πιθανές εξερχόμενες επιπτώσεις στους εξαρτώμενους οργανισμούς/υποδομές. Και εδώ, ακολουθούμε ανάλογο τρόπο κατηγοριοποίησης με αυτό του βήματος 3. Πίνακας 56: Τύποι κοινωνικών επιπτώσεων Τύποι Κοινωνικών Επιπτώσεων Οικονομική Επίπτωση Δημόσια Εμπιστοσύνη Διεθνείς Σχέσεις Δημόσια Τάξη Ασφάλεια (Safety) Εθνική Άμυνα (Defense) Κλίμακα (VL) Very Low (L)ow (M)edium (H)igh (VH) Very High Παράρτημα Δ : Δημοσιεύσεις και αναφορές 143

159 Βήμα 5: Για κάθε εξερχόμενη επίπτωση, θα πρέπει να προσδιορισθεί η πιθανή κοινωνική επίπτωση (societal impact). Αυτή αναφέρεται σε επιπτώσεις που μπορούν να προκύψουν από κάποιο περιστατικό στον υπό εξέταση ΔΚΥ και να επηρεάζουν τον τομέα ή την κοινωνία. Χρησιμοποιούμε την κατηγοριοποίηση αυτών των επιπτώσεων, όπως αυτή περιγράφεται στην Ενότητα 4.4 [Theoharidou et al., 2009] (βλ. Πίνακας 56). Οι κοινωνικές επιπτώσεις εκτιμώνται από το συντονιστή του τομέα. Χάριν απλότητας χρησιμοποιούμε αντίστοιχες κλίμακες με την εκτίμηση επίπτωσης του προηγούμενου επιπέδου (πολύ χαμηλή, χαμηλή, μεσαία, υψηλή, πολύ υψηλή επίπτωση). Αυτή η ποιοτική διαβάθμιση, όμως, δεν αντιστοιχεί στις ίδιες αριθμητικές εκτιμήσεις. Για παράδειγμα, μια «χαμηλή» εκτίμηση των οικονομικών επιπτώσεων του 1 ου επιπέδου δεν αντιστοιχείται αριθμητικά με μια «χαμηλή» εκτίμηση του 2 ου επιπέδου. Βήμα 6: Σε αυτό το βήμα, εκτιμάται η πιθανότητα εκδήλωσης ενός περιστατικού με βάση μια αντίστοιχη μήτρα επικινδυνότητας, όπως αυτή που παρουσίαζε ο Πίνακας 54. Για τον υπολογισμό της εξερχόμενης κοινωνικής επικινδυνότητας (outgoing societal risks) ακολουθούμε μια ελαφρώς τροποποιημένη εκδοχή της μήτρας (βλ. Πίνακας 57). Πίνακας 57: Μήτρα υπολογισμού της εξερχόμενης (κοινωνικής) επικινδυνότητας Πιθανότητα Εκδήλωσης (Likelihood) Εξερχόμενη Επικινδυνότητα (Οutgoing Risk) Very Low (Very Unlikely) Low (Unlikely) Medium (Possible) High (Likely) Very High (Frequent) Very Low Επίπτωση (Impact) Low Medium High Very High Αντίθετα με την παραδοσιακή εκτίμηση επικινδυνότητας, όπου εστιάζουμε σε απειλές οι οποίες συνδυάζουν υψηλή πιθανότητα εκδήλωσης με υψηλή επίπτωση, σε αυτό το στάδιο ενδέχεται να πρέπει να λάβουμε υπόψη και απειλές χαμηλής πιθανότητας εκδήλωσης και υψηλής επίπτωσης [Kröger, 2008; DHS, 2009]. Βήμα 7: Ο συντονιστής κάθε τομέα συμπληρώνει, για κάθε ΔΚΥ, που ανήκει στον τομέα του, έναν πίνακα που αναλύει την κοινωνική επίπτωση που προέρχεται από τον υπό εξέταση ΔΚΥ. Ο Πίνακας 58 αναπαριστά την εξερχόμενη επικινδυνότητα του CIO i προς εξαρτώμενους CIO j. Σε αυτό το βήμα υπολογίζουμε πόσο ζωτική είναι μια υποδομή (ένας ΔΚΥ) για τις άλλες υποδομές του ίδιου ή άλλου τομέα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 144

160 Πίνακας 58: Κοινωνική επικινδυνότητα του CIO i προς εξαρτώμενους ΔΚΥ CIO i Dependent CIO j Source Effect Incoming Effect Impact Type Impact Scale Type Description Likelihood CIO 1 Dep1 UA ή DS ή MD UA ή DS ή MD VL-VH VL-VH CIO 2 Dep2 UA ή DS ή MD UA ή DS ή MD VL-VH VL-VH Η μέγιστη τιμή της κοινωνικής επικινδυνότητας μεταξύ δύο ΔΚΥ (SR i,j) υπολογίζεται ως ο μέγιστος βαθμός όλων των εξερχομένων κοινωνικών επικινδυνοτήτων sr i,j, καθώς υπάρχουν περιπτώσεις όπου υπάρχουν παραπάνω από μια κοινωνική επίπτωση μεταξύ δύο ΔΚΥ. Βήμα 8: Εκτός από την εξερχόμενη επικινδυνότητα, ενδέχεται μια υποδομή να επιφέρει κοινωνική επίπτωση από μόνη της, όταν χαρακτηριστικά όπως η εμπιστευτικότητα, η διαθεσιμότητα και η ακεραιότητα συνιστωσών, προϊόντων και υπηρεσιών επηρεάζεται. Σε αυτή την περίπτωση ο συντονιστής τομέα θα πρέπει να συμπληρώσει και ένα δεύτερο πίνακα για κάθε ΔΚΥ i που εξετάζει, ο οποίος θα απεικονίζει αυτές τις κοινωνικές επιπτώσεις. Ο Πίνακας 59 παρουσιάζει την κοινωνική επικινδυνότητα η οποία προκύπτει από τον οργανισμό CIO i. Η επικινδυνότητα αυτή δεν προκύπτει βάση των αλληλεξαρτήσεων του, αλλά αποκλειστικά βάση της λειτουργίας του. Σε αυτό το βήμα, λοιπόν, υπολογίζουμε πόσο ζωτική είναι μια υποδομή (ένας ΔΚΥ) για την κοινωνία βάση των υπηρεσιών και προϊόντων που προσφέρει. Πίνακας 59: Εγγενής κοινωνική επικινδυνότητα του CIO D (τομέας ΤΠΕ) CIO i Description Effect Impact Type Impact Scale Likelihood UA ή DS ή MD. VL-VH VL-VH 2-9 UA ή DS ή MD. VL-VH VL-VH 2-9 Για να υπολογίσουμε τη συνολική αυτή κοινωνική επικινδυνότητα SR i για μια υποδομή CIO i, υιοθετούμε την ίδια παραδοχή της μέγιστης εκτίμησης. Πάραυτα, κάποιος θα μπορούσε να υπολογίσει και τη μέση κοινωνική επικινδυνότητα. Ολοκληρώνοντας την ανάλυση αυτού του επιπέδου, για κάθε τομέα που συμπεριλαμβάνεται στην ανάλυσή μας, θα πρέπει να έχουμε από δύο πίνακες ανά υποδομή/δκυ: (α) Πίνακας κοινωνικής επικινδυνότητας βάση εξαρτήσεων και (β) Πίνακας εγγενούς κοινωνικής επικινδυνότητας. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 145

161 5.4.3 Επίπεδο 3 ο : Τομείς & Κοινωνία Στο στάδιο αυτό, τα αποτελέσματα που προέκυψαν από τα δύο προηγούμενα επίπεδα ανάλυσης, συνδυάζονται ώστε να δημιουργήσουν μια πιο πλήρη εικόνα των διασυνδέσεων των κρίσιμων υποδομών, των τομέων, αλλά και της κρισιμότητάς τους. Στο πρώτο επίπεδο ανάλυσης, κάθε ΔΚΥ εκτίμησε την εισερχόμενη επικινδυνότητα η οποία προκύπτει λόγω της εξάρτησής του από άλλους ΔΚΥ. Στη συνέχεια στο δεύτερο επίπεδο ανάλυσης, κάθε συντονιστής τομέα εκτίμησε την εξερχόμενη, κοινωνική επικινδυνότητα κάθε ΔΚΥ προς άλλους εξαρτώμενους ΔΚΥ, αλλά και την εγγενή επικινδυνότητά του, όσον αφορά σε κοινωνικές επιπτώσεις. Στο τρίτο επίπεδο ανάλυσης, οι συντονιστές των επιμέρους τομέων θα συνδυάσουν και θα επανεξετάσουν όλα τα αποτελέσματα των προηγούμενων επιπέδων με στόχο να εντοπίσουν και να επιβεβαιώσουν τις αλληλεξαρτήσεις μεταξύ υποδομών (ΔΚΥ). Το θέμα της αλληλεξάρτησης εξετάζεται με μια πιο μακροσκοπική ματιά, ώστε να εντοπιστούν οι πιο κρίσιμες υποδομές και οι πιο κρίσιμοι τομείς, αλλά και εκείνες οι αλληλεξαρτήσεις οι οποίες είναι κρίσιμες, καθώς χαρακτηρίζονται από υψηλή επίπτωση στην κοινωνία, σε ένα σύνολο τομέων ή σε ένα κράτος. Βήμα 1: Βάσει της εκτίμησης της εισερχόμενης επικινδυνότητας, όπως αυτή προέκυψε κατά το πρώτο επίπεδο (βλ. Πίνακας 54), οι συντονιστές των τομέων μπορούν να συνθέσουν ένα συνολικό πίνακα, που περιγράφει την εισερχόμενη επικινδυνότητα για όλους τους αναλυθέντες ΔΚΥ (Πίνακας 60). Για κάθε ΔΚΥ που αναλύθηκε, συμπληρώνεται η αντίστοιχη στήλη με βάση τις τιμές που προσδιορίστηκαν στο πρώτο επίπεδο (incoming dependency risk DR i,j για τον ΔΚΥ i από τον ΔΚΥ j). Πίνακας 60: Επίπεδα επικινδυνότητας μεταξύ ΔΚΥ Sector1 Sector2 Sector3 Sectors CIO 1 CIO 2 CIO 3 CIO 4 CIO 5 CIO 6 CIO 7 CIO 8 Sector1 CIO 1 CIO 2 CIO 3 Sector2 CIO 4 CIO 5 CIO 6 Sector3 CIO 7 CIO 8 Ο Πίνακας 60 επιτρέπει τον εντοπισμό των ΔΚΥ που επηρεάζουν και επηρεάζονται περισσότερο από άλλους ΔΚΥ, σε σχέση πάντα με την επικινδυνότητα η οποία προκύπτει από τις άμεσες εξαρτήσεις ή αλλιώς εξαρτήσεις πρώτου βαθμού (first-order dependencies). Η άθροιση των γραμμών του πίνακα αναπαριστά τη συνολική εισερχόμενη επικινδυνότητα για έναν ΔΚΥ από τους προαπαιτούμενους ΔΚΥ. Αν n είναι ο αριθμός των ΔΚΥ που συμπεριλήφθησαν στην ανάλυση, r max είναι η μέγιστη τιμή που μπορεί να πάρει η εισερχόμενη επικινδυνότητα DR i,j (στο παράδειγμα μας η επικινδυνότητα κυμαίνεται σε τιμές από 1 έως 9), τότε η τιμή της εισερχόμενης επικινδυνότητας IDR i για τον CIO i υπολογίζεται ως εξής: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 146

162 Σημειώνεται ότι οι τιμές κανονικοποιούνται ως προς τον αριθμό των ΔΚΥ που εξετάζονται και τη μέγιστη δυνατή τιμή της επικινδυνότητας. Όμοια, η άθροιση των τιμών αυτών ανά στήλη του πίνακα αναπαριστά πως ένας ΔΚΥ επηρεάζει τους υπόλοιπους ΔΚΥ σε σχέση με την επικινδυνότητα. Αν ODR j αναπαριστά την εξερχόμενη επικινδυνότητα για έναν ΔΚΥ j, τότε μπορεί να υπολογισθεί ως εξής: Μια συνολική εισερχόμενη επικινδυνότητα IDR i ίση με μηδέν (0) υποδηλώνει ότι ο CIO i δεν δέχεται επιπλέον επικινδυνότητα λόγω κάποιας εξάρτησης (π.χ. ο CIO G) ενώ μια τιμή ίση με τη μονάδα (1) υποδηλώνει ότι ο CIO i λαμβάνει τη μέγιστη τιμή εισερχόμενης επικινδυνότητας από όλους τους άλλους ΔΚΥ. Στο σημείο αυτό θα πρέπει να σημειωθεί ότι ο Πίνακας 60 παρουσιάζει τη συνολική επικινδυνότητα. Θα μπορούσαμε να είχαμε πολλούς διαφορετικούς πίνακες ανάλογα με την περίπτωση την οποία εξετάζουμε. Για παράδειγμα, θα θέλαμε να δούμε πιο λεπτομερείς πίνακες εκτίμησης της επικινδυνότητας η οποία προκύπτει όταν έχουμε μη διαθεσιμότητα για συγκεκριμένα χρονικά διαστήματα (π.χ. 15 λεπτά, 1 ώρα, κλπ.). Αυτό μας επιτρέπει να δούμε πως μεταβάλλεται η επικινδυνότητα, αλλά και οι βαθμοί εξάρτησης για κάθε ΔΚΥ, σε σχέση με το χρόνο. Βήμα 2: Με βάση την κοινωνική επικινδυνότητα, όπως αυτή υπολογίστηκε στο επίπεδο τομέα (βλ. Πίνακας 57), οι συντονιστές των τομέων μπορούν να συνθέσουν και εδώ ένα συνολικό πίνακα ο οποίος θα αναπαριστά την κοινωνική επικινδυνότητα, όπως αυτή μεταφέρεται μεταξύ διαφορετικών ΔΚΥ. Ο Πίνακας 61 είναι ένα παράδειγμα ενός τέτοιου πίνακα. Στην περίπτωση αυτή, για κάθε εξεταζόμενο ΔΚΥ, η αντίστοιχη γραμμή συμπληρώνεται με την έξοδο του δευτέρου επιπέδου ανάλυσης. Πίνακας 61: Συνολική κοινωνική επικινδυνότητα μεταξύ ΔΚΥ Sector1 Sector2 Sector3 Sectors CIO 2 CIO 3 CIO 4 CIO 2 CIO 2 CIO 3 CIO G CIO H Sector1 CIO 1 CIO 2 CIO 3 Sector2 CIO 4 CIO 5 CIO 6 Sector3 CIO 7 CIO 8 Όμοια, η άθροιση ανά γραμμή και ανά στήλη, μας δίνουν τη συνολική κοινωνική επικινδυνότητα που λαμβάνει και που προκαλεί μια υποδομή αντίστοιχα. Έπειτα, μπορούμε να εντοπίσουμε από ποιους ΔΚΥ εξαρτώνται σε μεγάλο βαθμό άλλοι ΔΚΥ. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 147

163 Μπορούμε, επίσης, να εντοπίσουμε ποιοι ΔΚΥ είναι πιο ευάλωτοι ή πιο εξαρτώμενοι, καθώς βασίζονται για τη λειτουργία τους σε άλλους ΔΚΥ, σε σημαντικό βαθμό. Σημειώνουμε ότι η τιμή r max αναπαριστά τη μέγιστη δυνατή τιμή που μπορεί να λάβει η κοινωνική επικινδυνότητα. Στο παράδειγμα μας η τιμή αυτή ταυτίζεται με τη μέγιστη τιμή της εισερχόμενης επικινδυνότητα, οπότε για λόγους απλότητας χρησιμοποιούμε τη μεταβλητή r max. Ισχύει, λοιπόν, ότι r max = sr max. Καθώς εξετάζουμε τον παραπάνω πίνακα, είναι ενδιαφέρον να παρατηρήσουμε, όχι μόνο τις συνολικές τιμές της επικινδυνότητας, αλλά και ποιες είναι οι μέγιστες επιμέρους αποτιμήσεις (SR i,j). Αυτές υποδηλώνουν σημεία έντονης αλληλεξάρτησης, στα οποία πρέπει να στοχεύσουν τα μέτρα αντιμετώπισης της επικινδυνότητας. Βήμα 3: Σε αυτό το βήμα, οι συντονιστές των τομέων μπορούν να αναπροσαρμόσουν ή να εκλεπτύνουν τα επίπεδα αλληλεξάρτησης με βάση τη συνολική οπτική την οποία κατέχουν. Τροποποιήσεις μπορούν να γίνουν τόσο στην εκτιμώμενη εισερχόμενη επικινδυνότητα (Πίνακας 60), όσο και στην εκτιμώμενη κοινωνική επικινδυνότητα (Πίνακας 61) μεταξύ ΔΚΥ. Για παράδειγμα, η διασταύρωση διαφορετικών αναλύσεων από κάθε ΔΚΥ μπορεί να αναδείξει «κρυφές» εξαρτήσεις που δεν έχουν εντοπιστεί ή να οδηγήσει στην αναπροσαρμογή κάποιων εκτιμήσεων σε πιο ομοιόμορφες τιμές. Οι πιθανές αποκλίσεις μπορεί να οφείλονται είτε στη μη καλή τεκμηρίωση της κλίμακας που χρησιμοποιείται για την επίπτωση ή λόγω της υποκειμενικότητας που υπεισέρχεται στις εκτιμήσεις του εκάστοτε ΔΚΥ. Βήμα 4: To βήμα αυτό στοχεύει στον υπολογισμό του επιπέδου κρισιμότητας για κάθε ΔΚΥ. Η συνολική κρισιμότητα υποδεικνύει ποιοι είναι οι πιο κρίσιμοι ΔΚΥ, δηλαδή αυτοί οι οποίοι ενέχουν υψηλή κοινωνική επικινδυνότητα, αλλά θέτουν σε υψηλή επικινδυνότητα και άλλους ΔΚΥ οι οποίοι εξαρτώνται από αυτούς για τη λειτουργία τους. Υποθέτουμε ότι ένας ΔΚΥ i είναι πιο κρίσιμος για την κοινωνία όταν: (α) άλλοι ΔΚΥ εξαρτώνται σε σημαντικό βαθμό από τον εν λόγω ΔΚΥ, όπως αυτή η σχέση αναπαρίσταται από το συνολικό βαθμό εξερχόμενης επικινδυνότητας ODR i και (β) ο ΔΚΥ εμφανίζει υψηλά επίπεδα κοινωνικής επικινδυνότητας, είτε λόγω της εγγενούς επικινδυνότητάς του, είτε λόγω της κοινωνικής επικινδυνότητας η οποία προκύπτει από τις εξαρτήσεις με άλλους ΔΚΥ, ποσότητες οι οποίες αναπαρίστανται ως SR i και OSR i αντίστοιχα. Συνεπώς, ο βαθμός συνολικής κρισιμότητας C i ενός ΔΚΥ CIO i υπολογίζεται συναρτήσει των επιμέρους παραπάνω επικινδυνοτήτων: Σημειώνεται ότι και τα τρία μεγέθη θεωρούνται εξίσου σημαντικά, αλλά σε διαφορετική περίπτωση, θα μπορούσαν να χρησιμοποιηθούν και κατάλληλα βάρη. H στάθμιση των Παράρτημα Δ : Δημοσιεύσεις και αναφορές 148

164 τριών παραγόντων επαφίεται στις προτεραιότητες που θέτει ο υπεύθυνος λήψης απόφασης. Βήμα 6: Επιπρόσθετα, αν n i είναι ο αριθμός των ΔΚΥ που περιλαμβάνονται σε έναν τομέα S i, τότε ο βαθμός κρισιμότητας για τον τομέα S i μπορεί να υπολογισθεί ως ο μέσος βαθμός κρισιμότητας C j όλων των μελών του j, δηλαδή: Με αυτόν τον τρόπο, μπορούμε να ανάγουμε τα συμπεράσματά μας ανά τομέα και να εντοπίσουμε ποιοι τομείς είναι πιο κρίσιμοι για την κοινωνία. Η κρισιμότητά τους εξαρτάται άμεσα από την κρισιμότητα των μελών τους, η οποία, όπως είδαμε στο προηγούμενο βήμα, εμπεριέχει τόσο την κοινωνική τους επικινδυνότητα, όσο και την επικινδυνότητα η οποία προκύπτει λόγω εξαρτήσεων. Άρα συνεκτιμούμε τόσο την συνολική κοινωνική επικινδυνότητα ενός τομέα, αλλά και την επιρροή του σε άλλους συγγενείς τομείς. Βήμα 7: Τέλος, μπορούμε να υπολογίσουμε τις εξαρτήσεις μεταξύ των επιμέρους τομέων, υπολογίζοντας τους μέσους βαθμούς εξάρτησης για κάθε έναν από αυτούς, και να αναγνωρίσουμε τους πιο εξαρτώμενους αλλά και αυτούς τη μεγαλύτερη επιρροή σε άλλους. Αν οι μεταβλητές l και k αναπαριστούν ΔΚΥ οι οποίοι ανήκουν στους τομείς S i και S j αντίστοιχα, τότε η επικινδυνότητα λόγω εξάρτησης του τομέα S i προς τον τομέα S j, υπολογίζεται ως εξής: Η κοινωνική επικινδυνότητα από ένα τομέα S i προς τον τομέα S j υπολογίζεται με αντίστοιχο τρόπο: Αν m είναι ο αριθμός των τομέων που συμμετέχουν στην ανάλυση, τότε για ένα τομέα S i, οι βαθμοί της εισερχόμενης επικινδυνότητας IDR Si και της εξερχόμενης επικινδυνότητας ODR Si (λόγω εξάρτησης), αλλά και της εισερχόμενης κοινωνικής επικινδυνότητας ISR Si και της εξερχόμενης κοινωνικής επικινδυνότητας OSR Si, υπολογίζονται ως εξής: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 149

165 5.4.4 Ανασκόπηση επιμέρους επιπέδων βημάτων Η μεθοδολογία η οποία περιγράφηκε παραπάνω κινείται με βάση τρία επίπεδα ανάλυσης. Τα αναλυτικά βήματα κάθε επιπέδου συνοψίζονται στο παρακάτω σχήμα. CIO level Step 1: Identify requisite CIOs Step 2: Define dependency type Step 3: Define source impact of the dependency Step 4: Define incoming impact Step 5: Define type and scale of incoming impact Step 6: Estimate likelihood of incoming impact Step 7: Estimate incoming risk Step 8: Create the incoming risk matrix Sector level Step 1: Identify dependent CIOs Step 2: Define dependency type Step 3: Define source impact of the dependency Step 4: Define outgoing societal impact Step 5: Define type and scale of outgoing impact Step 6: Estimate likelihood of outgoing impact Step 7: Estimate the outgoing risk (matrix) Step 8: Estimate the societal risk (matrix) National/ Intra-sector level Step 1: Estimate overall incoming and outgoing dependency risk Step 2: Estimate overall incoming and outgoing societal risk Step 3: Re-adjust or refine the estimated values Step 4: Calculate overall criticality for each CIO Step 5: Calculate overall criticality for each sector Step 6: Calculate overall risk levels for each sector Εικόνα 31: Μεθοδολογία υπολογισμού κρισιμότητας για διασυνδεδεμένες υποδομές Στις ενότητες που ακολουθούν, θα συγκρίνουμε την προτεινόμενη μεθοδολογία με υπάρχουσες προσεγγίσεις και θα αναλύσουμε τους περιορισμούς της σε σχέση με τον υπολογισμό της κρισιμότητας, αλλά και τη μαθηματική απεικόνιση αλληλεξαρτήσεων μεταξύ υποδομών. 5.5 Εφαρμογή της μεθοδολογίας: Μελέτη Περίπτωσης 5.6 Συγκριτική αξιολόγηση Παράρτημα Δ : Δημοσιεύσεις και αναφορές 150

166 Η προτεινόμενη μέθοδος διαφοροποιείται από τις υπόλοιπες υπό την έννοια ότι εξετάζει την επίδραση της αλληλεξάρτησης σε τρία επίπεδα ανάλυσης, στο επίπεδο της υποδομής, του τομέα και σε εθνικό επίπεδο. Προσδιορίζει και καταγράφει πώς ενδεχόμενες απειλές και επιπτώσεις μπορούν να μεταφερθούν από μια υποδομή (έναν ΔΚΥ) σε μια άλλη σε οργανωσιακό επίπεδο. Έπειτα εξετάζει πως αυτές οι αλληλεξαρτήσεις μεταξύ υποδομών μπορούν να επιδράσουν σε έναν ή περισσότερους τομείς. Εξετάζοντας τις πιο σημαντικές από αυτές τις εξαρτήσεις, η μεθοδολογία επιτρέπει να παρατηρήσουμε με φορμαλιστικό τρόπο πώς αλληλεπιδρούν οι τομείς μεταξύ τους, καθώς και την κοινωνική επίδραση που επιφέρουν. Η προτεινόμενη μεθοδολογία δεν εξετάζει την αλληλεξάρτηση στο πιο χαμηλό επίπεδο ανάλυσης, δηλαδή σε επίπεδο συνιστωσών, όπως η προσέγγιση των [Svedsen and Wolthunsen, 2007], καθώς αυτό θα αύξανε σε μεγάλο βαθμό την πολυπλοκότητά της. Ως σημείο έναρξης της ανάλυσης, θεωρείται ο διαχειριστής της υποδομής. Η ιδέα είναι να αξιοποιηθούν υπάρχοντα αποτελέσματα εκτίμησης επικινδυνότητας που ενδέχεται να προϋπάρχουν σε έναν οργανισμό. Αυτό κάνει τη μέθοδο πιο ρεαλιστική και εφαρμόσιμη, καθώς προϋποθέτει την επαναχρησιμοποίηση πόρων σε αντίθεση με την εκ νέου κατανομή πόρων για την εκπόνηση μιας μεθόδου αναλυτικής εκτίμησης επικινδυνότητας σε κάθε υποδομή που θέλουμε να εξετάσουμε. Αν η εστίασή μας ήταν στην αποτίμηση της κρισιμότητας μιας υποδομής (όπως παρουσιάστηκε στο κεφάλαιο 4) τότε αυτή η επιλογή θα ήταν εύλογη. Ωστόσο, στην προκείμενη περίπτωση μας ενδιαφέρει να δούμε την επίδραση πολλών και διαφορετικών υποδομών στην κοινωνία και τον εντοπισμό των κρισιμότερων. Αυτή η προσέγγιση είναι συμβατή και με τις συστάσεις της ΕΕ [European Council, 2008]. Οι ΔΚΥ αναμένεται να έχουν ήδη προσδιορίσει στις μελέτες εκτίμησης της επικινδυνότητάς τους τα τρίτα μέρη από τα οποία εξαρτώνται και κυρίως αυτών που επιδρούν στη διαθεσιμότητα ή την ποιότητα των προϊόντων/υπηρεσιών τους. Τα εξαρτώμενα από αυτούς τρίτα μέρη είναι, επίσης, πιθανόν καταγεγραμμένα σε συμβόλαια-συμφωνητικά παροχής υπηρεσιών (service level agreements) [Tsohou et al., 2007]. Η συγκεκριμένη προσέγγιση μπορεί να απαιτεί ένα συγκεκριμένο τρόπο λεπτομερούς αναπαράστασης αυτών των αλληλεξαρτήσεων, αλλά τα πρωτογενή δεδομένα τα οποία απαιτούνται (βλ. Πίνακας 55 και Πίνακας 58) είναι μερικώς, αν όχι πλήρως, ήδη διαθέσιμα από υπάρχουσες μελέτες εκτίμησης επικινδυνότητας. Η προτεινόμενη μεθοδολογία δεν περιγράφει κάποια τεχνική η οποία να είναι δραστικά διαφορετική από άλλες, δεν προτείνει δηλαδή μια εντελώς διαφορετική προσέγγιση στην εκτίμηση της επικινδυνότητας των κρίσιμων υποδομών. Αντιθέτως, βασίζεται συνειδητά σε έννοιες οι οποίες είναι ευρέως αποδεκτές και εφαρμοσμένες σε οργανισμούς επιτυγχάνοντας να τις συνδυάζει ώστε να εξάγει συμπεράσματα όχι μόνο για τους ΔΚΥ, αλλά και για τους τομείς και την κοινωνία γενικότερα. Αυτό είναι σημαντικό καθώς οι συμμετέχοντες στην ανάλυση ΔΚΥ δε χρειάζεται να τροποποιήσουν τις υπάρχουσες επενδύσεις τους για να αντιμετωπίσουν το θέμα της διασύνδεσης. Εκτελούν ένα επιπλέον βήμα για να παρέχουν τις εκτιμήσεις τους στην κατάλληλη μορφή και αυτό είναι κατανοητό και συμβατό με τις βέλτιστες πρακτικές στην εκτίμηση επικινδυνότητας. Ταυτόχρονα, η προτεινόμενη μεθοδολογία λαμβάνει υπόψη και τα ιδιαίτερα χαρακτηριστικά των υποδομών, όπως την επίδραση των υποδομών στην κοινωνία, εκτιμώντας και τις κοινωνικές τους επιπτώσεις με Παράρτημα Δ : Δημοσιεύσεις και αναφορές 151

167 διαφορετικό τρόπο. Το πιο σημαντικό μέρος της μεθόδου είναι ότι συνδέει αυτές τις πληροφορίες σε μια μορφή η οποία επιτρέπει και την εκτίμηση κρισιμότητας σε επίπεδο τομέα. Σε σχέση με την ανάλυση των αλληλεξαρτήσεων μεταξύ τομέων, η μεθοδολογία παρέχει συγκεντρωτικά αποτελέσματα βασισμένα στις εκτιμήσεις επικινδυνότητας του πρώτου επίπεδου ανάλυσης, αλλά, παράλληλα, παρέχει συγκεντρωτικά αποτελέσματα βασισμένα στις εκτιμήσεις επικινδυνότητας του πρώτου επίπεδου ανάλυσης, αλλά εξετάζει και πιθανές επιπτώσεις (και την επικινδυνότητα) στην κοινωνία, που δεν αποτελούν συνήθως μέρος της παραδοσιακής εκτίμησης επικινδυνότητας ενός ΔΚΥ. Η τεχνική δεν εκτιμά τις εξαρτήσεις των τομέων σε οικονομικούς όρους όπως το μοντέλο IIM, το οποίο είναι η πιο συνήθης προσέγγιση [Aung and Watanabe, 2009; Haimes et al., 2007; Setola et al., 2009]. Πάραυτα, τα αποτελέσματα μπορούν να συγκριθούν ή να συνδυαστούν με αυτά που παράγονται από προσεγγίσεις που βασίζονται στο μοντέλο ΙΜΜ. Οι προσεγγίσεις αυτές απαιτούν την αναπαράσταση της επίπτωσης σε οικονομικά μεγέθη και δεν επιτρέπουν την προς-τα-πίσω εξέταση των αποτελεσμάτων (backtrack), όπως η παρούσα προσέγγιση, καθώς η ανάλυσή τους δεν ξεκινά σε τόσο χαμηλό επίπεδο, όπως το επίπεδο ΔΚΥ (πρώτο επίπεδο). Ξεκινώντας την ανάλυση από την ίδια την υποδομή, μπορούμε να εξετάσουμε ποιοι τομείς είναι πιο κρίσιμοι, πώς αλληλεπιδρούν αυτοί μεταξύ τους οι τομείς, αλλά και πώς αυτά τα αποτελέσματα προκύπτουν από τις υποδομές τους. Αυτό ικανοποιεί μια πολύ κλασσική ιδιότητα της εκτίμησης επικινδυνότητας. Η διαδικασία μοντελοποίησης και εξαγωγής συμπερασμάτων δεν θα πρέπει να είναι ένα μαύρο κουτί (black box), αλλά θα πρέπει ο χρήστης να μπορεί να την παρακολουθήσει λογικά, ώστε να είναι βέβαιος για την ορθότητα των αποτελεσμάτων [de Ru and Eloff, 1996]. Όταν ένας τομέας χαρακτηρισθεί ως πιο κρίσιμος από έναν άλλο, το επόμενο βήμα είναι η επιλογή μέτρων και η κατανομή του προϋπολογισμού με κατάλληλο τρόπο. Με τη συγκεκριμένη προσέγγιση μπορούν να υιοθετηθούν και μέτρα που αναφέρονται μεν στον τομέα, αλλά στοχεύουν σε συγκεκριμένους ΔΚΥ οι οποίοι χαρακτηρίζονται ως πιο κρίσιμοι από άλλους εντός του ευρύτερου τομέα. Παρά το γεγονός ότι μια ανάλυση για τους ΔΚΥ ενός τομέα μπορεί να εκπονηθεί από τον συντονιστή του τομέα, αυτή συνήθως εξετάζει μόνο τις αλληλεξαρτήσεις εντός του τομέα και όχι σε σχέση με άλλους τομείς. Όμως, όπως είδαμε, η κρισιμότητα ενός ΔΚΥ δε βασίζεται αποκλειστικά στην επίδρασή του στην κοινωνία ή στην διασύνδεσή του με άλλους ΔΚΥ του ίδιου τομέα, αλλά και βάση της επίπτωσής του σε ΔΚΥ άλλων τομέων. 5.7 Περιορισμοί Παρά τα πλεονεκτήματα που εμφανίζει η προτεινόμενη μεθοδολογία, υπάρχουν και περιορισμοί οι οποίοι θα πρέπει να ληφθούν υπόψη κατά την υιοθέτησή της. Ένας πρώτος περιορισμός της μεθόδου είναι ότι μπορεί να αποδειχθεί εξαντλητική, καθώς περιλαμβάνει μεγάλο αριθμό βημάτων, ειδικά αν συμπεριλάβουμε πλήθος υποδομών και τομέων. Μια πιο ρεαλιστική εφαρμογή της θα ήταν η επιλογή συγκεκριμένων ΔΚΥ. Μπορεί να είναι αυτοί που θα υποδείξει ο συντονιστής κάθε τομέα ως πιθανώς κρίσιμους. Επομένως, τα βήματα του πρώτου επιπέδου θα εφαρμοσθούν μόνο σε ένα περιορισμένο σύνολο ΔΚΥ. Μια άλλη παραλλαγή είναι η επιλογή ενός περιορισμένου Παράρτημα Δ : Δημοσιεύσεις και αναφορές 152

168 αριθμού τομέων για την εφαρμογή της μεθοδολογίας. Αυτοί μπορεί να είναι όσοι αξιολογούνται ως πιο σημαντικοί σε εθνικό επίπεδο. Όπως με κάθε μεθοδολογία εκτίμησης επικινδυνότητας, υπάρχει πάντα υποκειμενισμός στις εκτιμήσεις, η αντίληψη των συμμετεχόντων σε σχέση με την επικινδυνότητα υπεισέρχεται στην εκτίμηση επικινδυνότητας [Tsohou et al., 2006]. Υποκειμενισμός υπεισέρχεται στις εκτιμήσεις της εισερχόμενης και εξερχόμενης επικινδυνότητας (και της κοινωνικής επικινδυνότητας). Μια ιδέα για την αντιμετώπιση αυτού του θέματος είναι η χρήση τεχνικών fuzzy για την αναπαράσταση των εκτιμήσεων των ειδικών και των αντιπροσώπων των ΔΚΥ ή των τομέων, συνδυασμένων με την εμπιστοσύνη η οποία αποδίδεται σε κάθε εκτίμηση [Setola et al., 2009]. Μια άλλη προσέγγιση είναι ο συσχετισμός πιθανών επιπτώσεων όχι μόνο με την πιθανότητας εκδήλωσης ενός περιστατικού, αλλά και με τη βεβαιότητα των πιθανών επιπτώσεων [Kristensen et al., 2006]. Επίσης, υπάρχουν πολλές παραλλαγές της παραπάνω μεθόδου. Όπως αναφέραμε και στα βήματα κάθε επιπέδου, υπάρχουν τουλάχιστον δύο προσεγγίσεις για την εκτίμηση της συνολικής επικινδυνότητας: (α) μέση επικινδυνότητα ή (β) μέγιστη επικινδυνότητα. Η υιοθέτηση της πρώτης προσέγγισης επιτρέπει τη βέλτιστη στάθμιση κόστουςοφέλους, αλλά εμπεριέχει τον κίνδυνο απόκρυψης σημαντικών πληροφοριών στα συγκεντρωτικά αποτελέσματα, ειδικά όταν οι επιμέρους εκτιμήσεις εμφανίζουν μεγάλη διακύμανση. Αντίθετα, η δεύτερη προσέγγιση εστιάζει στο χείριστο σενάριο (worst case scenario). Συνήθως, οδηγεί σε πιο ακριβά πλάνα αντιμετώπισης της επικινδυνότητας, αλλά δεν παραλείπονται υψηλές εκτιμήσεις επικινδυνότητας, οι οποίες μπορεί να υποδηλώνουν σημεία υψηλού ενδιαφέροντος. Παράλληλα, μπορούν να χρησιμοποιηθούν και πιο αναλυτικά στατιστικά μεγέθη. Η επιλογή τους καθορίζεται από τις στρατηγικές επιλογές του υπεύθυνου λήψης απόφασης. Παρατηρούμε ότι η επίπτωση κατηγοριοποιήθηκε με τρόπο ο οποίος αναπαριστά την πλήρη απώλεια διαθεσιμότητας, την αποκάλυψη πληροφοριών ή την απώλεια ακεραιότητας, αλλά όχι με εκλεπτυσμένο τρόπο. Υπάρχει η δυνατότητα υιοθέτησης μιας πιο λεπτομερούς κατηγοριοποίησης, ώστε να αναπαρασταθούν αλληλεξαρτήσεις οι οποίες δεν είναι δυαδικές, δηλαδή δεν προκαλούν π.χ. πλήρη απώλεια διαθεσιμότητας ενός προϊόντος ή μιας υπηρεσίας, αλλά επηρεάζουν την ποιότητά τους. Αυτή η επιλογή εξαρτάται σε σημαντικό βαθμό από τον τύπο της εξάρτησης. Μια άλλη παραλλαγή θα ήταν η εστίαση μόνο σε συγκεκριμένους τύπους επιπτώσεων και των σχετικών αλληλεξαρτήσεων, σε περίπτωση που αυτές επισημαίνονται από τον συντονιστή ως πιο σημαντικές από άλλες. Για παράδειγμα, εστίαση στην σωματική ασφάλεια των πολιτών, στην επίπτωση στην οικονομία κλπ. Τέλος, θα πρέπει να σημειωθεί ότι οι αλληλεξαρτήσεις μεταξύ υποδομών εξετάστηκαν αποκλειστικά σε πρώτο βαθμό (first order dependencies). Αν και οι άμεσες εξαρτήσεις μας παρέχουν μια πρώτη εικόνα σχετικά με τη συσχέτιση υποδομών και τομέων, η ανάλυση αλληλεξαρτήσεων υψηλότερου βαθμού θα επέτρεπε τη μελέτη κλιμακούμενων επιπτώσεων μεταξύ πολλαπλών υποδομών και τομέων. Για παράδειγμα, μικρά, μεμονωμένα γεγονότα (π.χ. η πτώση ενός δένδρου) μπορεί να προκαλέσουν μια σειρά μεγάλων προβλημάτων σε ένα σύστημα παροχής ηλεκτρικής ενέργειας το οποίο εμφανίζει μεγάλο φόρτο λειτουργίας [Kröger, 2008]. Η ιδέα είναι να τροποποιηθεί η μεθοδολογία με τρόπο ώστε να επιτρέπει την μελέτη της επίπτωσης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 153

169 ενός γεγονότος σε μια ακολουθία από υποδομές, ακόμα και αν το γεγονός χαρακτηρίζεται αρχικά από μικρή επικινδυνότητα, κατά την πρωταρχική ανάλυση των άμεσων εξαρτήσεων. Αυτή η προσθήκη θα επιτρέψει μελλοντικά την αναγνώριση κρίσιμων μονοπατιών από υποδομές και τον εντοπισμό κρίσιμων περιστατικών με βάση την επίδρασή τους σε όλο το δίκτυο. 5.8 Σύνοψη κεφαλαίου Στο κεφάλαιο αυτό περιγράφηκε αναλυτικά μια μέθοδος εκτίμησης επικινδυνότητας για αλληλεξαρτώμενες υποδομές. Η προσέγγιση που προτάθηκε επιτρέπει την απεικόνιση των αλληλεξαρτήσεων αρχικά σε επίπεδο υποδομής και έπειτα σε επίπεδο τομέα, αλλά και σε επίπεδο κοινωνίας. Αρχικά, προσδιορίστηκαν οι απαιτήσεις σε κάθε επίπεδο ανάλυσης (υποδομή, τομέας, κοινωνία) για να υπολογιστεί η επικινδυνότητα. Στη συνέχεια, προτάθηκε ένας τρόπος απεικόνισης των αλληλεξαρτήσεων με χρήση δένδρων. Με βάση αυτή τη μοντελοποίηση, δημιουργήθηκε μια μαθηματική μέθοδος εκτίμησης της επικινδυνότητας λόγω αλληλεξαρτήσεων μεταξύ υποδομών, αλλά και υπολογισμού της συνολικής κοινωνικής επικινδυνότητας η οποία προκύπτει λόγω των εξαρτήσεων αυτών. Η μέθοδος επιτρέπει την ιεράρχηση υποδομών και τομέων με μαθηματικό τρόπο, αλλά και τον εντοπισμό των πιο κρίσιμων διασυνδέσεων μεταξύ τους. Τέλος, παρουσιάστηκε μια μελέτη περίπτωσης για την καλύτερη κατανόηση της μεθόδου. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 154

170 Amateurs hack systems, professionals hack people. Bruce Schneier 6 Η εκ των έσω απειλή στις κρίσιμες υποδομές Οι πληροφοριακές και επικοινωνιακές υποδομές αντιμετωπίζουν μία πληθώρα απειλών, κάποιες εκ των οποίων πηγάζουν από το εσωτερικό του οργανισμού. Το πρόβλημα αυτό αναγνωρίζεται ως σημαντικό, κυρίως λόγω των ενδεχομένων υψηλών επιπτώσεών του. Αν λάβουμε υπόψη ότι ένας εξουσιοδοτημένος χρήστης έχει πρόσβαση στις λειτουργίες μιας πληροφοριακής και επικοινωνιακής υποδομής, μπορούμε να διαπιστώσουμε την ένταση των επιπτώσεων που δύναται να προκαλέσει, είτε εσκεμμένα, είτε λόγω λάθους. Η συγκεκριμένη απειλή εμφανίζει ιδιαιτερότητες όταν εκπονούμε εκτίμηση επικινδυνότητας, καθώς απουσιάζουν επαρκή στατιστικά στοιχεία για τον υπολογισμό της πιθανότητας εμφάνισης. Επίσης, οι πληροφορίες για τις αποτιμήσεις δίνονται από εργαζομένους, οι οποίοι θεωρούνται έμπιστοι κατά τη διάρκεια μιας τέτοιας διαδικασίας. Πάραυτα, οι εκτιμήσεις τους μπορεί να μην είναι αξιόπιστες όταν αναφερόμαστε στην εκ των έσω απειλή (insider threat) είτε λόγω άγνοιας είτε λόγω δόλου. Όπως θα δούμε και στις επόμενες ενότητες, το πρόβλημα αυτό εμφανίζει δυσκολίες τόσο στον ορισμό όσο και στην αντιμετώπισή του. Εξετάστηκε αρχικά στο πλαίσιο των ΠΣ [Theoharidou et al., 2005], αλλά με τη μετατόπιση του ενδιαφέροντος προς την ΠΚΥ, προκύπτουν μελέτες σχετικές με τις προεκτάσεις του και σε κρίσιμες υποδομές [Noonan and Archuleta, 2008; Moore et al., 2008]. Πιο συγκεκριμένα, θα δούμε τις τρέχουσες πρακτικές αντιμετώπισης και θα εξετάσουμε τη συνδρομή κοινωνικών θεωριών στην αποτροπή και στην αντιμετώπιση του φαινομένου. 6.1 Εκ των έσω απειλή: επιτιθέμενος και επίθεση Η βιβλιογραφία δεν παρουσιάζει κοινά αποδεκτούς ορισμούς για αυτού του τύπου τις απειλές. Τα περιστατικά που αναφέρονται είναι ολιγάριθμα και αυτό οφείλεται στη δυσκολία εντοπισμού τους και στη διστακτικότητα οργανισμών να τα δημοσιοποιήσουν [CSI, 2009]. Κυμαίνονται από αμέλεια ή άγνοια εργαζομένων, απουσία πολιτικών, διαδικασιών και οργανωτικών σχημάτων για την ασφάλεια, λανθασμένη χρήση εξουσιοδοτημένης πρόσβασης που οδηγεί σε μη διαθεσιμότητα ή απώλεια εμπιστευτικότητας, λάθη χρηστών, κλοπή εμπιστευτικών πληροφοριών, απάτες, κλπ. [Probst et al., 2010]. Αυτό το ευρύ φάσμα από ιδιότητες που απαιτούνται για την περιγραφή της απειλής καθιστούν δύσκολο τον χαρακτηρισμό της. Σε πολλές περιπτώσεις δεν είναι σαφές αν υπήρχε κίνητρο ή όχι, αν οφείλεται ο χρήστης ή το λογισμικό ή υλικό, ή ακόμα και αν ένα περιστατικό οφείλεται σε έναν ή περισσότερους εμπλεκόμενους. Επίσης, μια εκ των έσω απειλή μπορεί να προέρχεται από διάφορες ομάδες οι οποίες δεν είναι κατ ανάγκη εργαζόμενοι ενός οργανισμού: δυσαρεστημένο προσωπικό, ακτιβιστές, δημοσιογράφους, εμπορικούς ανταγωνιστές, τρομοκρατικές οργανώσεις ή διεθνή κατασκοπεία. Αναλόγως, τα κίνητρα αυτών ποικίλλουν και Παράρτημα Δ : Δημοσιεύσεις και αναφορές 155

171 κυμαίνονται από πολιτική ή θρησκευτική ιδεολογία έως εκδίκηση, οικονομικό όφελος ή καταναγκασμό. Αυτό το εύρος οδηγεί σε πολλαπλούς ορισμούς, αλλά και ταξονομίες για τον χαρακτηρισμό περιστατικών ή ατόμων. Συνολικά, μπορούν να εντοπιστούν οι εξής προσεγγίσεις για τον επιτιθεμένο [Coles-Kemp and Theoharidou, 2010; Probst et al., 2010]: Ένας εκ των έσω επιτιθέμενος ορίζεται σε σχέση με κάποιο αγαθό-πόρο, γεγονός που οδηγεί στον προσδιορισμό βαθμών ή επιπέδων εσωτερικότητας ( degrees of insiderness ). Ένας εκ των έσω επιτιθέμενος έχει εξουσιοδοτημένη πρόσβαση σε αγαθά και συνιστώσες της κρίσιμης υποδομής. Ένας εκ των έσω επιτιθέμενος έχει ή είχε πρόσβαση σε πόρους. Ένας εκ των έσω επιτιθέμενος μπορεί να κάνει κακόβουλη χρήση της εξουσιοδοτημένης πρόσβασης. Ένας εκ των έσω επιτιθέμενος είναι ένα άτομο με εξουσιοδοτημένη πρόσβαση που μπορεί να επιχειρήσει τη μη εξουσιοδοτημένη αφαίρεση, χρήση ή δολιοφθορά κρίσιμων αγαθών ή να συνεργαστεί με τρίτους για αυτό. Ένας εκ των έσω επιτιθέμενος είναι ένα άτομο ή μία οντότητα που θεωρείται έμπιστη. Συνεπώς, όταν κατηγοριοποιούμε τέτοιου τύπου απειλές, λαμβάνουμε υπόψη μια σειρά χαρακτηριστικών: λογική ή φυσική πρόσβαση, εξουσιοδότηση, τοποθεσία, κίνητρο, εμπιστοσύνη. Οι διαφορετικές οπτικές εξέτασης του θέματος οδηγούν σε συζητήσεις όσον αφορά τον προσδιορισμό της πρόσβασης (συνθηματικά, χρονική περίοδος εξουσιοδότησης), τον ορισμό ενός επιτιθέμενου ως προς συγκεκριμένα αγαθά ή προς συγκεκριμένα συστήματα και την τεχνοδιαμόρφωσή τους, τον διαχωρισμό μεταξύ εκ των έσω επιτιθέμενου και τρίτων που οικειοποιούνται την ταυτότητα ενός εσωτερικού χρήστη (π.χ. κλοπή δεδομένων ταυτοποίησης και αυθεντικοποίησης). Γενικά, είναι αποδεκτή η παραδοχή ότι ένας καλός επιτιθέμενος [Probst et al., 2010]: διαθέτει γνώση, πρόθεση και κίνητρο, μπορεί να δράσει εκ μέρους ενός οργανισμού (power), διαθέτει γνώση της τεχνοδιαμόρφωσης και των τεχνολογικών συνιστωσών μίας υποδομής, γνωρίζει ή ελέγχει μέτρα προστασίας της υποδομής και μπορεί να επιφέρει επίπτωση στην υποδομή. Στη συνέχεια, εμείς θα αναφερόμαστε σε έναν εκ των έσω επιτιθέμενο ως κάθε πρόσωπο το οποίο έχει λάβει με νόμιμο τρόπο το δικαίωμα (empowered) να προσπελάσει, εκπροσωπήσει ή αποφασίσει για ένα ή περισσότερα αγαθά μίας υποδομής / ενός οργανισμού [Coles-Kemp and Theoharidou, 2010]. Ο ορισμός αυτός εμπεριέχει την έννοια της ενδυνάμωσης (empowerment), που σημαίνει ότι το άτομο έχει εξουσιοδότηση αλλά δε θεωρείται κατ ανάγκη και έμπιστος. Παράλληλα, αφαιρείται οποιαδήποτε συσχέτιση με τεχνικές συνιστώσες, με δικαιώματα πρόσβασης, αναφερόμαστε γενικά σε υποδομή ως μία ολότητα ή σε ένα οργανισμό, ενώ το δικαίωμα της πρόσβασης, εκπροσώπησης ή απόφασης προσδιορίζεται με βάση την πολιτική που υιοθετείται. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 156

172 Με δεδομένο τον εκάστοτε ορισμό για τον εκ των έσω επιτιθέμενο, δημιουργούνται ανάλογες ταξονομίες για την κατηγοριοποίηση των επιμέρους περιστατικών. Στη βιβλιογραφία απαντώνται πολυάριθμες ταξονομίες, καθώς το βήμα αυτό συμβάλλει στην κατανόηση του φαινομένου και είναι καθοριστικό για την επιλογή τρόπων αντιμετώπισης. Η πρώτη ταξονομία προτείνεται από τον [Anderson, 1980]. Μια μεταγενέστερη ταξονομία χρηστών χρησιμοποιεί ως κριτήρια το ρόλο στο σύστημα, την αιτία της κατάχρησης και τις συνέπειες στο σύστημα [Magklaras and Furnell, 2002]. Εναλλακτικά, περιστατικά μπορούν να κατηγοριοποιηθούν ανάλογα με τη φύση, την αντιμετώπιση και τις συνέπειές τους [Tuglular, 2000]. Σε άλλη προσέγγιση, μια επίθεση κατηγοριοποιείται με βάση τον τύπο, τον στόχο, τις ευπάθειες και την επίπτωση [Hansman and Hunt, 2005]. Οι [Predd et al, 2008] ταξινομούν τις εκ των έσω απειλές με βάση τέσσερις οπτικές: Οργανισμός, Άτομο, Πληροφοριακό σύστημα και Περιβάλλον. Εναλλακτικά, οι [Bishop et al., 2009] ορίζουν τους επιτιθέμενους ως προς τα αγαθά της υποδομής. Πιο συγκεκριμένα, χρησιμοποιούν ζεύγη πόρων και δικαιωμάτων προσπέλασης και ορίζουν βαθμούς εσωτερικότητας. Συμπεραίνουμε, λοιπόν, ότι συνήθεις διαστάσεις που λαμβάνονται υπόψη είναι οι εξής [Probst et al., 2010]: Επικινδυνότητα για την υποδομή ή το κοινωνικό σύνολο Τύπος πρόσβασης ή ρόλος στο σύστημα Στόχος ή πρόθεση ή αιτία Επίπεδο τεχνικής δεξιότητας Επίπτωση στην υποδομή Τύπος επιτιθέμενου: υποκλοπέας ταυτότητας (masquerader), κακόβουλος (malicious), ή αφελής (naive) Η τελευταία κατηγορία σχετίζεται με το χαρακτηριστικό της πρόθεσης. Όμοια, μπορεί να υποτεθεί ότι οι συνέπειες για την υποδομή ή για το κοινωνικό σύνολο μπορεί και να εξαρτώνται από την πρόθεση του επιτιθέμενου. Για παράδειγμα, ένας δυσαρεστημένος εργαζόμενος μπορεί να θέλει να επιφέρει μείζονες συνέπειες στον οργανισμό 32. Αντίθετα, μπορεί να υποτεθεί ότι το κίνητρο δεν είναι καθοριστικό της επίπτωσης σε όλες τις περιπτώσεις. Για παράδειγμα, μπορεί η επίθεση να έχει ως στόχο να βλάψει συγκεκριμένα πρόσωπα και όχι το ευρύτερο κοινωνικό σύνολο, ενώ ένα μη εσκεμμένο περιστατικό μπορεί να έχει καταστροφικές συνέπειες για μια υποδομή. Η χρήση ταξονομιών είναι σημαντική, καθώς οι τεχνικές αντιμετώπισης των διαφορετικών περιστατικών διαφοροποιούνται ανάλογα με τα επιμέρους χαρακτηριστικά τους. Για παράδειγμα, η χρήση προγραμμάτων εκπαίδευσης και ενημερότητας συμβάλλουν στην αντιμετώπιση των μη κακόβουλων χρηστών, αλλά είναι λιγότερα αποτελεσματικά σε επιτιθέμενους με κίνητρο την εκδίκηση ή το οικονομικό συμφέρον. 32 Η έννοια του οργανισμού χρησιμοποιείται για να δηλώσει τον ιδιοκτήτη ενός ΠΣ ή το διαχειριστή μιας κρίσιμης υποδομής. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 157

173 6.2 Διαχείριση επικινδυνότητας, πρότυπα και βέλτιστες πρακτικές Εξετάζοντας το θέμα της εκ των έσω απειλής όσον αφορά στις κρίσιμες υποδομές μας ενδιαφέρει να οριοθετήσουμε αρκετούς παράγοντες, όπως: Το εύρος και το επίπεδο των επιπτώσεων Το εύρος των ενεργειών που μπορούν να θέσουν σε κίνδυνο μια υποδομή Τα χαρακτηριστικά των επιτιθέμενων Τρόπους αντιμετώπισης Μια παραδοχή που υιοθετείται συνήθως στις κρίσιμες υποδομές είναι η έμφαση στην πλήρη απώλεια της διαθεσιμότητας [Noonan and Archuleta, 2008], σε αντιδιαστολή με την έμφαση στην διατήρηση και της εμπιστευτικότητας η οποία είναι πολύ συνήθης στα ΠΣ. Επίσης, θα πρέπει να λάβουμε υπόψη κυρίως την κοινωνική επικινδυνότητα, όπως αυτή προσδιορίστηκε στο προηγούμενο κεφάλαιο, δηλαδή το βαθμό της επίπτωσης στο κοινωνικό σύνολο που μπορεί να κυμαίνεται από ψυχολογικές επιπτώσεις (π.χ. απώλεια εμπιστοσύνης στην κυβέρνηση) έως και απώλειες ανθρώπινων ζωών. Σημαντικές είναι επίσης οι περιπτώσεις στις οποίες η κύρια επίπτωση δεν αφορά την υπό εξέταση υποδομή, αλλά τις αλληλεξαρτώμενες σε αυτές. Οι [Noonan and Archuleta, 2008] εκπόνησαν σχετική μελέτη (survey), αξιοποίησαν ομάδες ειδικών και συνοψίζουν τις πιθανές επιπτώσεις στις εξής πιο σημαντικές: Διακοπή της παροχής κρίσιμων αγαθών και υπηρεσιών Οικονομικές απώλειες μεγάλης κλίμακας, οι οποίες μπορούν να οφείλονται σε φυσικές ζημίες και οικονομικές απώλειες, απώλεια κρίσιμης πνευματικής ιδιοκτησίας ή τεχνολογίας με συνοδευόμενη απώλεια ανταγωνιστικού πλεονεκτήματος ή απώλεια της δυνατότητας παροχής αγαθών ή υπηρεσιών Ψυχολογικές επιπτώσεις, συμπεριλαμβανομένης της απώλειας της δημόσιας εμπιστοσύνης σε υπηρεσίες (π.χ. μεταφορές), σε οργανισμούς ή στην κυβέρνηση Ανθρώπινες απώλειες Επιπτώσεις όπως οι παραπάνω αλλά σε αλληλοεξαρτώμενες υποδομές ή σε ευρύτερη γεωγραφική έκταση από αυτή της εκδήλωσης του περιστατικού. Παρατηρούμε, λοιπόν, ότι η κύρια τους εστίαση είναι σε οικονομικές, ψυχολογικές επιπτώσεις, καθώς και σε επιπτώσεις που αφορούν την υγεία και σωματική ακεραιότητα. Ένα διευρυμένο σύνολο θα ήταν επιπτώσεις στο περιβάλλον, στην εθνική άμυνα, στις διεθνείς σχέσεις κ.ά. Ανεξαρτήτως από τις παραδοχές, πάντως, η εκ των έσω απειλή εξετάζεται για τις κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές με γνώμονα τις επιπτώσεις της εκδήλωσης μίας τέτοιας απειλής σε σχέση με το κοινωνικό σύνολο, προσέγγιση η οποία συμβαδίζει με τη μεθοδολογία εκτίμησης επικινδυνότητας του προηγούμενου κεφαλαίου. Αν εξετάζαμε το θέμα από την οπτική ενός ΔΚΥ η εστίαση θα ήταν στη διατήρηση της λειτουργίας του, και στην αποφυγή επιπτώσεων για τη δική του επιχειρηματική λειτουργία ή επιπτώσεις που σχετίζονται με το ανταγωνιστικό του πλεονέκτημα, τη διατήρηση του πελατολογίου του ή την εικόνα του Παράρτημα Δ : Δημοσιεύσεις και αναφορές 158

174 στην αγορά. Στατιστικά δεδομένα για κρίσιμες υποδομές δεν υπάρχουν, αν και σχετικές μελέτες δείχνουν ότι παρά τη μείωση στον αριθμό περιστατικών τα τελευταία χρόνια, οι ΔΚΥ αντιμετωπίζουν κυρίως δολιοφθορά σε ΤΠΕ ή εγκαταστάσεις (IT or physical sabotage), κλοπές ή απάτες, καθώς και, με αυξανόμενους ρυθμούς, κλοπή πνευματικής ιδιοκτησίας (intellectual property theft) ή εναλλακτικά οικονομική κατασκοπεία [CSI, 2009; Moore et al., 2008; Noonan and Archuleta, 2008]. Πάραυτα αυτή η διαφοροποίηση συνήθως συγκλίνει υπό την έννοια ότι και ένας φορέας διοίκησης (π.χ. κυβέρνηση) αλλά και ένας ΔΚΥ στοχεύουν στην παροχή κρίσιμων αγαθών και υπηρεσιών, ανεξάρτητα από τα υποβόσκοντα κίνητρα και ανεξάρτητα αν οι κοινωνικές επιπτώσεις είναι άμεσες ή έμμεσες Εκτίμηση επικινδυνότητας Κατά την εκτίμηση επικινδυνότητας για μια ή περισσότερες υποδομές, η εκ των έσω απειλή εμφανίζει ιδιαιτερότητες σε συγκεκριμένες παραμέτρους υπολογισμού της επικινδυνότητας [Coles-Kemp and Theoharidou, 2010]. Πιο συγκεκριμένα, επηρεάζει το βαθμό ευπάθειας και κατ επέκταση την πιθανότητα εμφάνισης ενός περιστατικού. H πιθανότητα εμφάνισης ενός εκ των έσω περιστατικού δεν μπορεί να αποδοθεί με απόλυτες τιμές, ούτε είναι σταθερή στην πάροδο του χρόνου, αλλά μπορεί να εντείνεται σε περιόδους μειζόνων αλλαγών ή ψυχολογικής έντασης ή οικονομικής ύφεσης [CPNI, 2009]. Παράλληλα, κυριαρχεί η θεώρηση ότι ένας εκ των έσω επιτιθέμενες κατέχει περισσότερη γνώση για μια υποδομή σε σχέση με κάποιο τρίτο, αλλά και αντιμετωπίζει λιγότερα εμπόδια κατά την πρόσβασή του, γεγονός που σημαίνει ότι μπορεί δυνητικά να προκαλέσει μέγιστη επίπτωση (π.χ. την πλήρη διακοπή παροχής υπηρεσιών με τις ανάλογες κοινωνικές επιπτώσεις). Η έλλειψη περιορισμών αντανακλά το βαθμό ενδυνάμωσης, εξουσιοδότησης ή εμπιστοσύνης ενός χρήστη, γεγονός που θεωρείται και ενίοτε ως αναπόφευκτο ή εύλογο. Για παράδειγμα, αν η πιθανότητα της εκ των έσω απειλής θεωρείται μικρή, λόγω απουσίας περιστατικών στο παρελθόν, και το κόστος εφαρμογής εξειδικευμένων για αυτή την απειλή μέτρων είναι υψηλό, τότε ενδέχεται ο ΔΚΥ να μην προβεί στην επένδυση. Παράλληλα, επηρεάζεται και η αποτελεσματικότητα των μέτρων ασφάλειας, καθώς η πληροφόρηση ενός εσωτερικού προσώπου μπορεί να αναφέρεται σε περιορισμούς των μέτρων ασφαλείας, αδυναμίες των οργανωσιακών διαδικασιών, αλλά και τον τρόπο αποφυγής της ανίχνευσης. Τέλος, ενδιαφέρον παρουσιάζουν περιπτώσεις συνδυασμένης επικινδυνότητας, σε περιστατικά όπου συνεργάζονται επιτιθέμενοι από το εσωτερικό (γνώση, πρόσβαση) με εξωτερικούς (κίνητρο, πόροι), περιστατικά στρατολόγησης (recruitment ) [CPNI, 2008]. Τέτοιου τύπου ενδεχόμενα εμφανίζουν υψηλή πολυπλοκότητα και είναι εξαιρετικά δύσκολος ο υπολογισμός της επικινδυνότητας, αλλά και η αντιμετώπισή τους. Παρατηρούμε, λοιπόν, ότι η εκ των έσω απειλή επηρεάζει τη διαδικασία εκτίμησης επικινδυνότητας με πολλαπλό τρόπο και ως αποτέλεσμα απαιτεί ένα πιο διευρυμένο σύνολο από τρόπους αντιμετώπισης, όχι κατ ανάγκη αντίστοιχους με τα μέσα που χρησιμοποιούνται για τις εξωτερικές απειλές. Η ΠΚΥ δεν είναι αμιγώς τεχνολογικό θέμα, καθώς έχει κοινωνικές προεκτάσεις. Στην ειδική περίπτωση των εκ των έσω απειλών, η επικινδυνότητα επηρεάζεται από αποφάσεις και ενέργειες φυσικών προσώπων, τα οποία δεν εμφανίζουν απόλυτα προβλέψιμη συμπεριφορά, όπως αυτή ενός τεχνουργήματος. Αντιλαμβανόμαστε, λοιπόν, ότι η διαχείριση τέτοιου τύπου επικινδυνότητας, απαιτεί μια πιο ανθρωποκεντρική προσέγγιση [Τheoharidou et al., Παράρτημα Δ : Δημοσιεύσεις και αναφορές 159

175 2005; Coles-Kemp and Theoharidou, 2010]. Συνήθεις μέθοδοι είναι η εφαρμογή προγραμμάτων ενημερότητας και εκπαίδευσης (awareness and training), αλλά και μεθόδων ελεγκτικής (audit). Τα πρώτα χρησιμοποιούνται για να μεταδώσουν την πολιτική ασφάλειας στον οργανισμό και για να δημιουργήσουν κουλτούρα ασφάλειας 33. Η ανατροφοδότηση η οποία λαμβάνεται από την εκπόνηση τέτοιων προγραμματών μπορεί να αξιοποιηθεί για τον προσδιορισμό του βαθμού κατανόησης της πολιτικής από τους χρήστες αλλά και από την καταλληλότητα της πολιτικής για τη συγκεκριμένη υποδομή. Η ελεγκτική είναι διαδικασία ελέγχου συμμόρφωσης, αλλά αξιοποιείται και αυτή για έλεγχο της κατανόηση και την καταλληλότητα της πολιτικής. Διαπιστώνουμε, λοιπόν ότι και τεχνολογικά μέσα (όπως αυτά της ελεγκτικής) μπορούν να συμβάλλουν για να επηρεάσουν τις αντιλήψεις ασφάλειας σε έναν οργανισμό. Με δεδομένη τη δυσκολία εκτίμησης της επικινδυνότητας των εκ των έσω απειλών, κυρίως λόγω της δυσχέρειας κατά τον υπολογισμό της πιθανότητας εμφάνισης, αλλά και της εγγενούς ευπάθειας λόγω της ικανότητας ενός εξουσιοδοτημένου χρήστη να προκαλέσει ζημιά χωρίς να παρακάμψει μηχανισμούς ή τεχνικά αντίμετρα, η κύρια προσέγγιση η οποία υιοθετείται είναι η εφαρμογή προτύπων και βέλτιστων πρακτικών για διαχείριση της ασφάλειας. Αυτό πηγάζει και από την ανάγκη των οργανισμών για συμμόρφωση με την κείμενη νομοθεσία, ενώ, κυρίως, εστιάζουν στις πιο διαδομένες μορφές της εκ των έσω απειλής, δηλαδή απάτη ή κλοπή. Όπως αναφέραμε, στο χώρο των κρίσιμων υποδομών, αυτά τα περιστατικά είναι σημαντικά, λόγω των έμμεσων συνεπειών τους, αλλά άμεσες επιπτώσεις όσον αφορά τη διαθεσιμότητα είναι ιεραρχικά πιο σημαντικές. Πάρα την ύπαρξη τεχνολογικών λύσεων στη βιβλιογραφία [Bowen et al., 2009; Caputo et al., 2009; Duran et al., 2009; Liu et al., 2005; Spitzner, 2003; Velpula and Gudipudi, 2009] ή μεθόδων δημιουργίας προφίλ χρηστών και μοντέλων πρόβλεψης [Schultz, 2002; Wood, 2000; Thompson, 2004; Shaw et al., 1998; Magklaras and Furnell, 2004; Caputo et al., 2009], τέτοιου τύπου λύσεις δεν εμπεριέχονται στα τρέχοντα πρότυπα και στις βέλτιστες πρακτικές. Η επόμενη ενότητα εξετάζει πως αντιμετωπίζεται το θέμα σε πρότυπα για την ΠΚΥ (NERC), στην οικογένεια προτύπων ISO 27000, αλλά και σε κείμενα οδηγιών για την αντιμετώπιση της απειλής αυτής [Capelli et al., 2008; 2009; CPNI, 2008; CPNI, 2009] Πρότυπα Δεδομένης της έλλειψης προτύπων για κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές, ανατρέχουμε αρχικά στις τρέχουσες προσεγγίσεις στα ΠΣ. Η οικογένεια προτύπων ISO για ασφάλεια πληροφοριών είναι μια χαρακτηριστική προσέγγιση. Τα πρότυπα αυτά είναι προσανατολισμένα στην πρόταση οδηγιών μέτρων ασφάλειας για τη διαχείριση της ασφάλειας πληροφοριών, ενώ εστιάζουν στην 33 Η κουλτούρα ασφάλειας ενός οργανισμού αναλύεται σε τρία επίπεδα [Tsochou et al., 2007]. Αρχικά, η κουλτούρα διαφαίνεται μέσω των τεχνουργημάτων (artifacts), τα οποία είναι όλα τα φαινόμενα τα οποία διακρίνει κάποιος όταν έρχεται σε επαφή με τον οργανισμό (π.χ. ύπαρξη μέτρων ελέγχου πρόσβασης). Το δεύτερο επίπεδο είναι οι αξίες (espoused or shared values), οι οποίες είναι μερικώς εμφανείς και αντανακλούν τις αξίες μιας ομάδας ατόμων (π.χ. συμπεριφορές, πολιτικές κλπ.). Το τρίτο επίπεδο είναι οι βασικές παραδοχές (basic underlying assumptions), δηλαδή οι απόψεις και αξίες οι οποίες είναι μη εμφανείς και σε μεγάλο βαθμό υποσυνείδητες (π.χ. απόψεις περί ιδιωτικότητας). Κάθε επίπεδο επηρεάζει και επηρεάζεται από τα υπόλοιπα. Η κουλτούρα ασφάλειας αντανακλάται στις ενέργειες των εμπλεκομένων, αλλά επηρεάζει και τον τρόπο απόκρισης σε περιστατικά. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 160

176 αντιμετώπιση κινδύνων που θεωρούνται κοινοί για κάθε ΠΣ, και σε ένα βασικό επίπεδο. Τα δύο κύρια πρότυπα είναι το ISO που παρουσιάζει την έννοια του συστήματος διαχείρισης ασφάλειας πληροφοριών (Information Security Management System ISMS) και το ISO το οποίο παρουσιάζει ένα σύνολο μέτρων τα οποία χρησιμοποιεί το ISMS [ISO/IEC, 2005a; 2005b]. Τα μέτρα διαχωρίζονται σε δώδεκα κατηγορίες ανάλογα με τη διάσταση της ΑΠΣ στην οποία αναφέρονται. Υπάρχουν αρκετά μέτρα τα οποία στοχεύουν στην αντιμετώπιση εσωτερικών επιτιθεμένων [Humphreys, 2008] (βλ. Πίνακας 62), τα οποία ανάγουμε στην ΠΚΥ. Παρατηρούμε ότι όλες οι κατηγορίες έχουν μια άμεση ή έμμεση συσχέτιση με την εκ των έσω απειλή. Εντοπίζονται τρεις διακριτές κατηγορίες από μέτρα ασφάλειας: μέτρα για τον εντοπισμό εκ των έσω επιτιθέμενων, μέτρα για τον εντοπισμό μη αναμενόμενης εκ των έσω συμπεριφοράς, και μέσα τα οποία επιδρούν στην κουλτούρα ασφάλειας του οργανισμού. Η πλειοψηφία μέτρων του τελευταίου τύπου εντοπίζονται στην κατηγορία μέτρων Ασφάλεια ανθρωπίνων πόρων (Human Resources Security), που εμπεριέχει οδηγίες για μέτρα κατά τη διαδικασία πρόσληψης, καθώς και κατά τη διάρκεια και μετά τη λήξη της απασχόλησης ενός εργαζομένου. Μεταξύ άλλων περιλαμβάνουν διαδικασίες ελέγχου του προσωπικού (personnel screening), διαδικασίες συμμόρφωσης (disciplinary processes), προγράμματα ενημερότητας (awareness), καθώς και τρόπους αναφοράς και ανταπόκρισης σε περιστατικά. Παράλληλα, έμφαση δίδεται στην έννοια της πολιτικής ασφάλειας, αλλά και στο ρόλο της εκπαίδευσης για τη δημιουργία κουλτούρας ασφάλειας. Πίνακας 62: Κατηγορίες μέτρων του προτύπου ISO σε σχέση με την εκ των έσω απειλή Κατηγορία μέτρων Περιγραφή Σχέση με την εκ των έσω απειλή & τις κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές Πολιτική ασφάλειας Οργανωτικό σχήμα ασφάλειας Διαχείριση αγαθών Ασφάλεια Προσωπικού Φυσική και περιβαλλοντική ασφάλεια Διαχείριση επικοινωνιών και λειτουργιών Έλεγχος πρόσβασης Κείμενο που προσδιορίζει τις απαιτήσεις για ασφάλεια, εγκεκριμένο από τη διοίκηση Δομή ρόλων και αρμοδιοτήτων για την εφαρμογή της πολιτικής (τα μέτρα αναφέρονται και εντός του ΔΚΥ αλλά και τρίτων) Εντοπισμός και διαχείριση των συνιστωσών μιας υποδομής Μέτρα για την εκτίμηση όλων των οντοτήτων που εμπλέκονται στη λειτουργία μιας υποδομής Μέσα για την ασφάλεια της φυσικής περιμέτρου Μέτρα για τη διαχείριση της πληροφοριακής επεξεργασίας Μέτρα προσδιορισμού της πρόσβασης σε πληροφορία Καταγράφει την οπτική και την κουλτούρα ασφάλειας ενός ΔΚΥ. Αποτελεί αρχικό βήμα για την ενσωμάτωση μηχανισμών ασφάλειας στη δομή και στις διαδικασίες του ΔΚΥ. Σημεία όπου μπορεί να εντοπιστεί εκ των έσω επικινδυνότητα με αναφορά σε συγκεκριμένες συνιστώσες της υποδομής. Σύνολο μέτρων που προσδιορίζει βαθμούς εσωτερικότητας σε σχέση με ομάδες χρηστών. Περιλαμβάνει τρόπους προσδιορισμού και κατανόησης της αποδεκτής συμπεριφοράς. Επιτρέπει το φυσικό διαχωρισμό του εσωτερικού και του εξωτερικού περιβάλλοντος μιας υποδομής. Τα μέσα αυτά είναι συνδυασμός μεθόδων για τον εντοπισμό μη αναμενόμενης ή επιτρεπτής συμπεριφοράς και για τη θέσπιση ελάχιστων απαιτήσεων αυτής. Προσδιορίζονται οι τρόποι και τα επίπεδα πρόσβασης. Περιλαμβάνει διαχείριση Παράρτημα Δ : Δημοσιεύσεις και αναφορές 161

177 Προμήθεια, ανάπτυξη και συντήρηση συνιστωσών μιας υποδομής Διαχείριση Περιστατικών Διαχείριση επιχειρησιακής συνέχειας Συμμόρφωση Μέτρα τα οποία λαμβάνονται σε όλο τον κύκλο ζωής μιας υποδομής Διαδικασίες για τη διαχείριση περιστατικών ασφαλείας Η δομή του πλαισίου επιχειρηματικής συνέχειας και ο σχεδιασμός του κύκλου ζωής Οι απαιτήσεις για έλεγχο (audit) σε οργανωσιακό και τεχνολογικό επίπεδο μιας υποδομής (βέλτιστες πρακτικές, πρότυπα, νομοθεσία) χρηστών, ενώ οριοθετείται η εκ των έσω και η εξωτερική πρόσβαση και σε αντιστοιχία οι τύποι από επιτιθέμενους. Μπορούν να χρησιμοποιηθούν ως μέσο προσδιορισμού μηχανισμών για τη διαφοροποίηση εσωτερικών και εξωτερικών χρηστών σε επίπεδο συνιστώσας υποδομής. Διαδικασίες για τον εντοπισμό και την αντιμετώπιση μη αναμενόμενης ή επιτρεπτής συμπεριφοράς. Μέτρα τα οποία παρέχουν ανθεκτικότητα (resilience) σε εκ των έσω απειλές και μειώνουν την επίπτωση και τον χρόνο ανάκαμψης. Διαδικασία εντοπισμού μη επιτρεπτής ή αναμενόμενης συμπεριφορά και αναφορά αλλαγών. Ο έλεγχος πρόσβασης και οι μέθοδοι αυθεντικοποίησης αξιοποιούνται κυρίως για τη διάκριση μεταξύ εσωτερικών και εξωτερικών χρηστών, είτε σε φυσικό είτε σε λογικό επίπεδο (π.χ. διαχωρισμός καθηκόντων, μέτρα για προηγμένους χρήστες ή για συγκεκριμένες τεχνολογίες). Η διάκριση αυτή επιτυγχάνεται και μερικώς μέσω άλλων μέτρων, όπως η διαχείριση αγαθών (asset management) και η κατηγοριοποίηση, σήμανση και χειρισμός πληροφοριών (information classification, labelling and handling). Η παρακολούθηση ενεργειών, ο έλεγχος συμμόρφωσης αλλά και ο χειρισμός περιστατικών σχετίζονται με τον προσδιορισμό της συμπεριφοράς η οποία θεωρείται μη αναμενόμενη ή ανεπιθύμητη από τον οργανισμό. Τέλος, τα πρότυπα εμπεριέχουν και μέτρα για τη συνέχιση λειτουργίας, τα οποία στοχεύουν στη μείωση της επίπτωσης. Αυτό το μέτρο αντιμετώπισης έχει ιδιαίτερη σημασία για αυτή την απειλή, καθώς η επικινδυνότητα για την εκ των έσω απειλή είναι δύσκολο να αναλυθεί, ενώ πολλές παράμετροι παραμένουν άγνωστες. Συνεπώς, η συνέχιση της λειτουργίας και η ανθεκτικότητα (resilience) έχουν αφενός ως στόχο τη μείωση της επίπτωσης και αφετέρου τη διαχείριση της ανάγκης για επακριβή προσδιορισμό της εσωτερικότητας. Στην ίδια λογική κινούνται και τα πρότυπα για ΠΚΥ του οργανισμού NERC. Η ομάδα αυτών των προτύπων εμπεριέχουν μια κατηγορία μέτρων για το προσωπικό, τα οποία αναφέρονται κυρίως σε προγράμματα ενημερότητας και εκπαίδευσης. Αναγνωρίζεται η ανάγκη για χρήση πολλαπλών καναλιών επικοινωνίας, όπως άμεση επικοινωνία (π.χ. s, memos, κλπ.). έμμεση (π.χ. αφίσες, φυλλάδια κλπ.), αλλά και υποστήριξη από τη διοίκηση με παρουσιάσεις και συναντήσεις. Παράλληλα, προδιαγράφεται ατομική εκτίμηση επικινδυνότητας για κάθε υπάλληλο, αλλά αυτή επί της ουσίας αναφέρεται σε βασικούς ελέγχους ταυτότητας και ποινικού μητρώου (screening). Τα πρότυπα συνδυάζουν τεχνικές φυσικού και ηλεκτρονικού ελέγχου πρόσβασης, ενώ υπάρχουν και διεργασίες για αναφορά περιστατικών (π.χ. σαμποτάζ). Όπως και το πρότυπο ISO, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 162

178 προδιαγράφονται και πλάνα συνέχισης και ανάκαμψης λειτουργίας. Κάποια ειδική μνεία στην εκ των έσω απειλή δεν εντοπίστηκε, ενώ τα μέτρα προδιαγράφονται με ανάλογο τρόπο με αυτά που απαντούμε στα ΠΣ Οδηγίες Παρεμφερείς οδηγίες σε σχέση με αυτές του προτύπου ISO περιλαμβάνονται στον οδηγό της ομάδας CERT 34 για πρόληψη και ανίχνευση της εκ των έσω απειλής. Ο οδηγός αυτών περιγράφει 16 τεχνικές αντιμετώπισης, όπως αυτές προέκυψαν από την εξέταση 150 περιπτώσεων από εκ των έσω περιστατικά για τα οποία υπήρξε ανίχνευση και αναφορά στο CERT [Capelli et al., 2009]. Τα μέτρα ασφάλειας που προτείνονται είναι εξειδικευμένα για την αντιμετώπιση της εκ των έσω απειλής σε δύο στάδια: πρόληψη και ανίχνευση. Περιλαμβάνουν έλεγχο πρόσβασης, καταγραφή ενεργειών (logging), ελεγκτική (audit), μέτρα για ασφάλεια προσωπικού αντίστοιχα με αυτά του ISO27002, για φυσική και περιβαλλοντική ασφάλεια, για ασφαλή ανάπτυξη λογισμικού, διαχείριση αλλαγών, πολιτικές, προγράμματα ενημερότητας και εκπαίδευσης, χρήση εφεδρικών διαδικασιών και μέσων, αντιμετώπιση περιστατικών. Οι δεκαέξι προτεινόμενες πρακτικές-οδηγίες, η αντιστοιχία τους με το πρότυπο ISO και η στόχευσή τους σε σχέση με την εκ των έσω απειλή παρουσιάζονται στον πίνακα που ακολουθεί. Πίνακας 63: Οι πρακτικές/οδηγίες του CERT για διαχείριση της εκ των έσω απειλής Πρακτική / Οδηγία Κατηγορία μέτρου κατά ISO Στόχος Τεκμηρίωση και εφαρμογή πολιτικών και μέτρων ασφάλειας Εκτίμηση απειλών (εκ των έσω και από παρόχους) κατά την εκτίμηση επικινδυνότητας Πολιτική ασφάλειας Καθορισμός των αρχών και της προσέγγισης για την ασφάλεια Διάδοση των κανόνων-οδηγιών αναμενόμενης/επιτρεπτής συμπεριφοράς Διαχείριση αρνητικών θεμάτων (συγκρούσεις, δυσαρέσκειες κλπ.) Παρακολούθηση και αντιμετώπιση ύποπτης συμπεριφοράς (από τη στιγμή της πρόσληψης) Καταγραφή, παρακολούθηση και έλεγχος των ηλεκτρονικών ενεργειών των υπαλλήλων Απενεργοποίηση πρόσβασης κατά την απόλυση Περιοδική εκπόνηση προγραμμάτων ενημερότητας Παρακολούθηση και προστασία του φυσικού περιβάλλοντος Άμυνα σε επίπεδα για απομακρυσμένες επιθέσεις (layered Ασφάλεια προσωπικού Φυσική και περιβαλλοντική ασφάλεια Διαχείριση επικοινωνιών Προσδιορισμός βαθμού εσωτερικότητας Διάδοση των κανόνων-οδηγιών αναμενόμενης/επιτρεπτής συμπεριφοράς Απαιτήσεις για εντοπισμό εκ των έσω απειλής Διαχωρισμός του εσωτερικού και εξωτερικού περιβάλλοντος Σταδιακός διαχωρισμός του εσωτερικού και εξωτερικού 34 Carnegie Mellon University's Computer Emergency Response Team (CERT), (Τελευταία προσπέλαση ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 163

179 defence) και λειτουργιών περιβάλλοντος Υλοποίηση αυστηρών διαδικασιών ελέγχου πρόσβασης και αυθεντικοποίησης Λήψη ειδικών μέτρων για χρήστες με αυξημένα δικαιώματα Διαχωρισμός καθηκόντων και αρχή του ελαχίστου δικαιώματος (least privilege) Εκτίμηση της εκ των απειλής σε όλο τον κύκλο ανάπτυξης λογισμικού Υλοποίηση μέτρων για διαχείριση αλλαγών Πλάνο αντιμετώπισης εκ των έσω περιστατικών Διαδικασίες για εφεδρικά μέσα και ανάκαμψη Έλεγχος πρόσβασης Προμήθεια, ανάπτυξη και συντήρηση συνιστωσών μιας υποδομής Διαχείριση περιστατικών Διαχείριση επιχειρησιακής συνέχειας Διαχωρισμός του εσωτερικού και εξωτερικού περιβάλλοντος Επιπλέον περιορισμοί/έλεγχοι ως προς τη συμπεριφορά Επιπλέον μέσα για τον έλεγχο της εσωτερικής συμπεριφοράς Εντοπισμός και διαχείριση μη επιτρεπτής/αναμενόμενης συμπεριφοράς Ανθεκτικότητα σε εκ των έσω επιθέσεις/ μείωση της επίπτωσης Επιπλέον, ένας οδηγός για την ασφάλεια προσωπικού από το βρετανικό Κέντρο για την Προστασία Κρίσιμων Εθνικών Υποδομών (Centre for the Protection of National Infrastructure, UK) περιγράφει έναν κατάλογο από μέτρα ασφάλειας που μοιάζουν σε σημαντικό βαθμό με τα παραπάνω [CPNI, 2008; 2009]. Παρόλα αυτά δίνει μεγαλύτερη έμφαση στα κίνητρα των εκ των έσω επιτιθέμενων και περιλαμβάνει μεγαλύτερο εύρος οργανωσιακών τεχνικών για την ανάπτυξη κουλτούρας ασφάλειας, με στόχο την επίτευξη εξωστρέφεια ( openness ), διαφάνεια και επικοινωνία ή για την εφαρμογή τεχνικών, όπως μελέτες καταγραφή απόψεων ή διαδικασίες ανταμοιβής. Περιλαμβάνει, επίσης, πιο λεπτομερείς οδηγίες (α) για τα δεδομένα τα οποία θα πρέπει να εξετάζονται κατά τον έλεγχο εργαζομένων κατά την πρόσληψη ή αποχώρηση, (β) για αναφορά περιστατικών και (γ) για διαχείριση εξωτερικών συνεργατών/τρίτων προσώπων Ανάλυση Η εστίαση των προτύπων είναι κατά βάση η συμμόρφωση με ρυθμιστικές και κανονιστικές απαιτήσεις. Συνεπώς, δεν έχουν σχεδιαστεί αποκλειστικά με γνώμονα την εκ των έσω απειλή. Πάραυτα το σύνολο των μέτρων που προτείνουν μπορούν να συμβάλλουν και στη διαχείριση της επικινδυνότητας που προκύπτει από εκ των έσω απειλές. Δεδομένου ότι αναφερόμαστε σε ανθρώπινη συμπεριφορά, η συμβολή των προτύπων στην ανάπτυξη ή τροποποίηση της κουλτούρας ασφάλειας σε ένα οργανισμό μπορεί να θεωρηθεί ως παρελκόμμενο προϊόν της ικανοποίησης του στόχου της συμμόρφωσης. Εντοπίσαμε σημεία όπου το σύνολο των μέτρων του προτύπου ISO ή των προτύπων NERC μπορούν να επιδράσουν με άμεσο ή έμμεσο τρόπο στη διαχείριση της επικινδυνότητας αυτής. Η αποτελεσματικότητά τους, όμως, εξαρτάται από τις μεθόδους εφαρμογής των μέτρων και τον βαθμό με τον οποίο μπορούν να Παράρτημα Δ : Δημοσιεύσεις και αναφορές 164

180 προσαρμοσθούν αυτά τα μέτρα για την εκ των έσω απειλή. Ένα σύστημα διαχείρισης της ασφάλειας (ISMS), όπως αυτό που προδιαγράφεται στο ISO27001, θα πρέπει να εστιάζει ταυτόχρονα και σε εξωτερικές απειλές, αλλά και σε εσωτερικές, γεγονός που προϋποθέτει ότι οι διεργασίες του έχουν σχεδιαστεί με κατάλληλο τρόπο όταν αναφερόμαστε σε εκ των έσω απειλές. Επίσης, τα πρότυπα αυτά βασίζονται στην παραδοχή ότι με την εφαρμογή ενός πλαισίου συμμόρφωσης θα αναπτυχθεί κουλτούρα ασφάλειας. Όμως οι οδηγίες του CPNI και του CERT, προδιαγράφουν επιπλέον ενέργειες. Για παράδειγμα, η εκπόνηση προγραμμάτων ενημερότητας αποσκοπεί στην επικοινωνία και εφαρμογή αξιών και κανόνων. Η διαδικασία αυτή όμως δε συνοδεύεται από μεθόδους και τεχνικές για την παρακολούθηση των αποτελεσμάτων ή των αλλαγών ή την ύπαρξη διαφοροποιήσεων. Στον οδηγό του CPNI για τη διαχείριση προσωπικού υπάρχει σαφής αναφορά στο πώς θα έπρεπε να εφαρμοσθούν μηχανισμοί κινήτρων, καθώς και σε τρόπους παρακολούθησης αλλαγών, όπως με τη χρήση ερωτηματολογίων (π.χ. staff opinion surveys). Ο οδηγός αναφέρεται επίσης σε διαδικασίες συμμόρφωσης (disciplinary processes) και στο πως επηρεάζουν τη συμπεριφορά ομάδων. Βλέπουμε, λοιπόν, ότι παρέχουν πρακτικές συστάσεις για την αλλαγή της κουλτούρας, αλλά δεν αναλύονται θέματα όπως η κατανόηση της εκ των έσω συμπεριφοράς ή των διαφορετικών συμπεριφορών μεταξύ χρηστών. Παράλληλα, παρατηρούμε ότι κυριαρχεί και η παραδοχή ότι κυριαρχεί μία κουλτούρα ασφάλειας η οποία προσδιορίζεται από την ανώτατη διοίκηση, παρόλο που αυτή η θεώρηση δεν συμφωνεί με τη βιβλιογραφία της διαχείρισης ασφάλειας [Coles-Kemp and Theoharidou, 2010]. Συνήθως, παρατηρείται εμπειρικά η συνύπαρξη διαφορετικών απόψεων σε έναν οργανισμό. Το γεγονός αυτό σε συνδυασμό με την ανάλυση της βιβλιογραφίας για την εκ των έσω απειλή, μας προτρέπει να ανατρέξουμε σε θεωρίες κοινωνιολογίας (και εγκληματολογίας), οι οποίες έχουν ως στόχο την ερμηνεία του τρόπου διαμόρφωσης της ανθρώπινης συμπεριφοράς. Έννοιες όπως πληροφοριακό έγκλημα (computer crime), κατάχρηση με υπολογιστή (computer abuse/misuse), αποτροπή (deterrence), κίνητρο, ευκαιρία κ.ά. χρησιμοποιούνται ευρέως στη σχετική βιβλιογραφία, γεγονός που παραπέμπει έντονα σε αυτά τα επιστημονικά πεδία [Theoharidou et al., 2005]. 6.3 Κοινωνικές θεωρίες Η εκ των έσω απειλή μπορεί να θεωρηθεί ως μια μορφή παρεκκλίνουσας συμπεριφοράς στον εργασιακό χώρο, υπό τη λογική ότι διαφοροποιείται από την αναμενόμενη συμπεριφορά, που εκφράζεται με βάση τις πρακτικές και τις πολιτικές σε έναν οργανισμό. Για να αναλύσει κάποιος τους παράγοντες που μπορεί να οδηγήσουν σε ένα εκ των έσω περιστατικό ασφαλείας, απαιτείται και η ανάλυση και ερμηνεία της ανθρώπινης συμπεριφοράς. Θα πρέπει να ληφθούν υπόψη και παράγοντες κοινωνικοί και ψυχολογικοί οι οποίοι προσδιορίζουν το κίνητρο ή την πρόθεση. Δεδομένου ότι το θέμα αυτό είναι αμιγώς ανθρωποκεντρικό, η εξέταση κοινωνιολογικών και εγκληματολογικών θεωριών μπορεί να συνδράμει, ιδιαίτερα αν αναλογιστούμε ότι αρκετά από τα μέτρα ασφάλειας των βέλτιστων πρακτικών και προτύπων έχουν τις ρίζες τους σε τέτοιου τύπου θεωρίες [Theoharidou and Gritzalis, 2009]. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 165

181 Στη συνέχεια, θα περιγραφούν συνοπτικά κάποιες θεωρίες οι οποίες μπορούν να συμβάλλουν στην αντιμετώπιση της εκ των έσω απειλής. Επιλέχθηκαν οι θεωρίες οι οποίες έχουν χρησιμοποιηθεί για την αντιμετώπιση του ηλεκτρονικού εγκλήματος ή θεωρίες για τις οποίες έχουν γίνει αναφορές ή προτάσεις σε σχέση με την αξιοποίησή τους στο χώρο της ΑΠΣ. Συγκεκριμένα, εξετάζονται η Γενική Αποτρεπτική Θεωρία (ΓΑΘ), η Θεωρία Κοινωνικών Δεσμών (ΘΚΔ), η Θεωρία Κοινωνικής Εκμάθησης (ΘΚΕ), η Θεωρία της Προσχεδιασμένης Συμπεριφοράς (ΘΠΣ) και η Θεωρία της Κατά Περίσταση Πρόληψης τους Εγκλήματος (ΠΕΠ) Γενική Αποτρεπτική Θεωρία Η Γενική Αποτρεπτική Θεωρία (General Deterrence Theory) έχει χρησιμοποιηθεί για τη μελέτη εγκληματιών και άλλων αντικοινωνικών προσωπικοτήτων και είναι εδραιωμένη στην εγκληματολογική βιβλιογραφία. Χρησιμοποιείται ευρέως και για την ανάλυση της καταχρηστικής συμπεριφοράς με υπολογιστή [Straub and Welke, 1998]. Βασίζεται στην υπόθεση ότι τα άτομα λαμβάνουν λογικές αποφάσεις με βάση τη μεγιστοποίηση της ωφέλειας και την ελαχιστοποίηση του κόστους. Επομένως, ένα άτομο θα προβεί σε μια απόφαση που οδηγεί στη διάπραξη ενός εγκλήματος, όταν το αναμενόμενο όφελος της εγκληματικής πράξης υπερβαίνει το κόστος της τιμωρίας της. Η θεωρία εστιάζει σε εμπόδια (disincentives) ή κυρώσεις ενάντια στη διάπραξη μιας παράνομης ενέργειας και στην επίδραση αυτών των κυρώσεων στην αποτροπή του ατόμου. Η αποτελεσματικότητα αυτών των εμποδίων βασίζεται σε δύο παράγοντες: (α) την βεβαιότητα κύρωσης (certainty of sanction) και (β) τη σοβαρότητα κύρωσης (severity of sanction). Όταν ο κίνδυνος της τιμωρίας είναι υψηλός (βεβαιότητα κύρωσης) και η ποινή για την παράβαση είναι αυστηρή (σοβαρότητα κύρωσης), η θεωρία υποστηρίζει ότι οι πιθανοί παραβάτες θα αποτραπούν από τη διάπραξη αντικοινωνικών πράξεων, ιδιαίτερα αυτοί με τα πιο ασθενή κίνητρα. Αν το έγκλημα σε πληροφοριακές και επικοινωνιακές υποδομές θεωρηθεί τυπικό έγκλημα από υπαλλήλους (white-collar crime), λαμβάνει χώρα σε ένα σχετικά ήπιο περιβάλλον, από άτομα τα οποία, συνήθως, συμμορφώνονται με τους κανόνες και τους κανονισμούς. Πιστεύεται, λοιπόν, ότι οι κυρώσεις μπορούν να δράσουν ως αποτρεπτικός μηχανισμός. Αυτό συμβαίνει γιατί, ενώ προτίθενται να παραβιάσουν τις κοινωνικές νόρμες λόγω άγνοιας ή λόγω επιθυμίας κάποιου κέρδους, τα κίνητρά τους δεν είναι ισχυρά και, συνεπώς, οι μηχανισμοί αυτοί μπορούν να τους αποτρέψουν. Στη βιβλιογραφία της ΑΠΣ, είναι συχνή η εφαρμογή των αρχών της γενικής αποτρεπτικής θεωρίας για την αντιμετώπιση της ηλεκτρονικής κατάχρησης. Χαρακτηριστικό παράδειγμα αποτελεί ο Κύκλος των Ενεργειών της Ασφάλειας (Security Action Cycle) των [Straub and Welke, 1998]: Αποτροπή (Deterrence), Πρόληψη (Prevention), Ανίχνευση (Detection), Αντιμετώπιση (Remedies), Επανατροφοδότηση (feedback). Παράρτημα Δ : Δημοσιεύσεις και αναφορές 166

182 Ένα μέρος των πιθανών παραβατών, αρχικά αντιμετωπίζεται με μηχανισμούς αποτροπής, όπως πολιτικές, οδηγίες, και προγράμματα ενημερότητας που έχουν ως στόχο να τονίσουν την βεβαιότητα και τη σοβαρότητα της τιμωρίας. Όταν οι πιθανοί παραβάτες επιλέξουν να αγνοήσουν αυτά τα αποτρεπτικά μέσα, το επόμενο βήμα είναι τα προληπτικά μέτρα, φυσικά (π.χ. κλειδαριές στο computer room) ή διαδικαστικά (π.χ. μηχανισμούς ελέγχου πρόσβασης). Αν ο παραβάτης περάσει αυτά τα δύο στάδια, θα πρέπει να υπάρχουν μηχανισμοί ανίχνευσης. Τέλος, ένα αποτελεσματικό πρόγραμμα για την ασφάλεια θα πρέπει να είναι σε θέση να διορθώσει τις επιβλαβείς συνέπειες μιας παραβίασης και να τιμωρήσει τον παραβάτη. Ο μηχανισμός επανατροφοδότησης (feedback) εξυπηρετεί ώστε οι πιθανοί παραβάτες να λαμβάνουν γνώση για τις συνέπειες μιας παράβασης. Παρά το γεγονός ότι η θεωρία είναι καθιερωμένη στο χώρο της ΑΠΣ, δέχεται κριτική, καθώς θεωρείται ότι απέτυχε να μειώσει σημαντικά την εγκληματική συμπεριφορά. H θεωρία εστιάζει σε μηχανισμούς, όπως πολιτικές, συστήματα ασφαλείας και προγράμματα ενημερότητας, οι οποίοι έχουν σχεδιαστεί για να αυξήσουν το αντιλαμβανόμενο κόστος ενός εγκλήματος [Lee and Lee, 2002]. Η ΓΑΘ παρέχει το θεωρητικό υπόβαθρο για την κατανόηση της εκ των έσω απειλής, αλλά δεν οδηγεί σε επιτυχίες στην πράξη, είτε γιατί οι οργανισμοί δεν την εφαρμόζουν κατάλληλα στο πραγματικό τους περιβάλλον, είτε γιατί ως θεωρία δεν καλύπτει όλες τους παράγοντες που επηρεάζουν αυτό τον τύπο της κατάχρησης Θεωρία Κοινωνικών Δεσμών Η θεωρία αυτή (Social Bond Theory) αποτελεί μια από τις πιο συχνά αναφερόμενες στην εγκληματολογική βιβλιογραφία [Hirschi, 1969]. Προέκυψε στην προσπάθεια να εξηγηθεί ο λόγος για τον οποίο κάποια άτομα επιλέγουν να μη συμμορφωθούν με τις κοινά αποδεκτές νόρμες συμπεριφοράς και χρησιμοποιήθηκε στη συνέχεια για την ερμηνεία εγκληματικών συμπεριφορών. Βασίζεται στην υπόθεση ότι όλοι οι άνθρωποι έχουν μια φυσιολογική προδιάθεση προς το έγκλημα, αν δεν υπάρχουν ισχυροί μηχανισμοί κοινωνικού ελέγχου ή κοινωνικοί δεσμοί [Lee and Lee, 2002]. Η πιθανότητα το άτομο να εμπλακεί σε ένα έγκλημα αυξάνεται όταν οι κοινωνικοί δεσμοί είναι ασθενείς, δηλαδή όχι αρκετά ισχυροί ώστε να αποτρέψουν το άτομο από τη διάπραξη του εγκλήματος. Αναγνωρίζονται τέσσερις τύποι κοινωνικών δεσμών: α) Αφοσίωση (attachment) σε πρόσωπα αναφοράς. Αναφέρεται στο ενδιαφέρον του ατόμου για τον κοινωνικό του περίγυρο. Για ένα άτομο η αποδοχή των κοινωνικών νορμών και η ανάπτυξη της κοινωνικής του συνείδησης εξαρτάται από την αφοσίωσή του σε πρόσωπα αναφοράς, όπως οι γονείς, οι φίλοι, το σχολείο. β) Δέσμευση (commitment) από κοινωνικά αποδεκτούς στόχους. Άτομα τα οποία δαπανούν χρόνο και ενέργεια για την επίτευξη μιας αξιοσέβαστης κοινωνικής θέσης, για τη μόρφωσή τους και την απόκτηση υλικών αγαθών, δε θα έθεταν σε κίνδυνο όσα έχουν επιτύχει με το να εμπλακούν σε παράνομες δραστηριότητες. γ) Συμμετοχή (involvement) σε συμβατικές δραστηριότητες. Η ενέργεια που καταναλώνει ένα άτομο κατά την ενασχόλησή του με συμβατικές δραστηριότητες, όπως σχολειό, εργασία, οικογένεια, εξουδετερώνει τις καθημερινές προκλήσεις, καθώς το άτομο δεν έχει χρόνο για παράνομες δραστηριότητες. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 167

183 δ) Πίστη (belief) στις κοινωνικές αξίες. Αν η πίστη στις κοινές αξίες και στους κανόνες συμπεριφοράς μιας κοινωνίας απουσιάζει ή είναι εξασθενημένη, τότε αυξάνεται η πιθανότητα να ακολουθήσει αντικοινωνική συμπεριφορά. Έχουν πραγματοποιηθεί αρκετές έρευνες για την εξακρίβωση της ευστάθειας αυτής της θεωρίας [Lee and Lee, 2002], οι οποίες αναφέρουν ότι: Όσο περισσότερο αφοσιωμένο είναι ένα άτομο σε πρόσωπα αναφοράς, τόσο μικρότερη είναι η πιθανότητα να εμφανίσει εγκληματική συμπεριφορά. Το έγκλημα εμποδίζεται, όταν το άτομο πιστεύει ότι οι προοπτικές για επιτυχία και καλή εικόνα θα μειωθούν, καθώς και όταν έχει υψηλές προσδοκίες και φιλοδοξίες. Όσο περισσότερο ένα άτομο ενασχολείται με συμβατικές δραστηριότητες, τόσο λιγότερο πιθανό είναι να διαπράξει ένα έγκλημα. Ένα άτομο επηρεάζεται περισσότερο από το αίσθημα δικαίου παρά από την πιθανότητα να συλληφθεί και την αυστηρότητα και την αμεσότητα της τιμωρίας. Όσον αφορά τη σχέση της θεωρίας αυτής με την ΑΠΣ, διαπιστώνεται ότι η θετική θεώρηση ενός εγκλήματος μπορεί να οδηγήσει τα άτομα να διαπράξουν το έγκλημα της πληροφοριακής κατάχρησης ανεξάρτητα από τον υψηλό κίνδυνο τιμωρίας (βλ. [Τheoharidou et al., 2005]). Επίσης, άλλη έρευνα σχετικά με τη μειωμένη απόδοση, όσο και με την εγκληματική συμπεριφορά των υπαλλήλων στον εργασιακό χώρο, έδειξε ότι είναι πιο πιθανό να συμβούν όσο μικρότερη είναι η αφοσίωση του ατόμου στον οργανισμό που εργάζεται. Μια πρόσφατη ποσοτική έρευνα [Lee et al. 2003], προσπαθεί να εξετάσει αν ένα νέο μοντέλο για την ανάλυση της κατάχρησης με υπολογιστή, το οποίο συνδυάζει την ΘΚΔ με την ΓΑΘ, εξηγεί καλύτερα αυτού του είδους την απειλή. Συγκεκριμένα, η έρευνα εξετάζει αν παράγοντες γενικής αποτρεπτικής (πολιτική ασφάλειας, συστήματα ασφαλείας, προγράμματα ενημερότητας) μειώνουν την πληροφοριακή κατάχρηση, κατάχρηση που προέρχεται από άτομα εκτός του οργανισμού, αλλά και από εκ των έσω επιτιθέμενους. Παράλληλα, εξετάζει αν παράγοντες οργανωσιακής εμπιστοσύνης (organizational trust), δηλαδή οι τέσσερις κοινωνικοί δεσμοί της αφοσίωσης, της δέσμευσης, της συμμετοχής και της πίστης, μειώνουν την εκ των έσω κατάχρηση. Για να ελεγχθούν αυτές οι συσχετίσεις υιοθετείται η άποψη ότι ένα άτομο πριν προβεί σε μια ενέργεια (action) έχει πρώτα σχηματίσει την κατάλληλη πρόθεση (intention) 35 προς αυτή τη συμπεριφορά. Οι παράγοντες γενικής αποτρεπτικής αυξάνουν την πρόθεση του να προστατευτεί από την ηλεκτρονική κατάχρηση και συνεπώς τη μειώνουν, ενώ οι παράγοντες οργανωσιακής εμπιστοσύνης αυξάνουν την πρόθεση για την εισαγωγή ελέγχου της ηλεκτρονικής κατάχρησης και συνεπώς, μειώνουν την εκ των έσω κατάχρηση. Οι υποθέσεις αυτές φαίνονται στο παρακάτω σχήμα: 35 Βλ. Θεωρία της Προσχεδιασμένης Συμπεριφοράς (Theory of Planned Behavior) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 168

184 Εικόνα 32: Ένα θεωρητικό μοντέλο της κατάχρησης με υπολογιστή Η έρευνα έδειξε ότι ο παράγοντας που προβλέπει σημαντικά την πρόθεση για προστασία είναι αυτός του συστήματος ασφαλείας. Και η πολιτική ασφάλειας φαίνεται να συσχετίζεται θετικά με την πρόθεση προστασίας, αλλά όχι σε σημαντικό βαθμό. Αυτό που είναι ενδιαφέρον είναι ότι, αντίθετα με τις αρχικές υποθέσεις, όσο μεγαλύτερη ήταν η πρόθεση για προστασία, τόσο μεγαλύτερη ήταν και η κατάχρηση με υπολογιστή, τόσο από εξωτερικά, όσο και από μυημένα άτομα. Αυτό σημαίνει ότι όσο μεγαλύτερη ήταν η πρόθεση ενός ατόμου να προστατευτεί, τόσο περισσότερο έτεινε προς την κατάχρηση. Οι ερευνητές υποστηρίζουν ότι αυτό μπορεί να οφείλεται στο γεγονός ότι οι χρήστες αυτοί μπορεί να έχουν καλύτερη γνώση σε σχέση με την κατάχρηση με υπολογιστή και, συνεπώς, να μπορούν να αναγνωρίσουν καλύτερα τις δικές τους καταχρήσεις ή η πρόθεση να επηρεάζεται από το γεγονός ότι ο οργανισμός τους έχει δεχθεί περισσότερες επιθέσεις. Άλλα ευρήματα είναι ότι οι δύο παράγοντες που επηρεάζουν θετικά την πρόθεση ελέγχου είναι η συμμετοχή (δηλαδή η συμμετοχή σε τυπικές ή άτυπες συσκέψεις, η συνεργασία με πολλά άτομα, η αφοσίωση στον οργανισμό) και η πίστη (ότι δεν είναι σωστή η παράβαση του νόμου). Τέλος, όσο μεγαλύτερη ήταν η πρόθεση για εισαγωγή ελέγχου, τόσο λιγότερες ήταν οι εκ των έσω καταχρήσεις. Συνεπώς, οι δύο τελευταίοι παράγοντες θα μπορούσαν να αξιοποιηθούν για τη μείωση των εκ των έσω περιστατικών Θεωρία Κοινωνικής Εκμάθησης H Θεωρία Κοινωνικής Μάθησης (Social Learning Theory) βασίζεται στην ιδέα της κοινωνικής μάθησης μέσω της παρατήρησης των συμπεριφορών των ατόμων του κοινωνικού περίγυρού και της μίμησης τους από το άτομο. Υποθέτει ότι ένα άτομο διαπράττει ένα έγκλημα γιατί έχει σχετιστεί με παράνομα ή ανήθικα άτομα, τα οποία μεταδίδουν ανήθικες αξίες, ανταμείβουν την παρανομία, και λειτουργούν ως ανήθικα πρότυπα [Lee and Lee, 2002]. H πιθανότητα οι άνθρωποι να αναπτύξουν εγκληματική Παράρτημα Δ : Δημοσιεύσεις και αναφορές 169

185 και παράνομη συμπεριφορά αυξάνεται, ενώ η πιθανότητα να συμμορφωθούν με τη νόρμα μειώνεται, όταν σχετίζονται διαφορικά με άτομα που έχουν εγκληματική συμπεριφορά και είναι σχετικά πιο εκτεθειμένοι σε ζωντανά ή συμβολικά εγκληματικά μοντέλα (διαφορική συσχέτιση), προσδιορίζουν την εγκληματική συμπεριφορά ως επιθυμητή ή δικαιολογημένη σε μια συγκεκριμένη περίσταση (δηλαδή ενστερνίζονται θετικούς ορισμούς της εγκληματικής συμπεριφοράς) και έχουν λάβει στο παρελθόν και προσδοκούν για το παρόν ή το μέλλον σχετικά μεγαλύτερη ανταμοιβή σε σχέση με την τιμωρία για την συμπεριφορά (διαφορική ενίσχυση ή τιμωρία). Για τον πρακτικό έλεγχο της θεωρίας χρησιμοποιήθηκαν τέσσερις βασικές έννοιες: διαφορική συσχέτιση (differential association), δηλαδή η διαδικασία όπου ένα άτομο εκτίθεται σε κανονιστικούς ορισμούς υπέρ ή κατά παράνομης συμπεριφοράς. διαφορική ενίσχυση / τιμωρία (differential reinforcement / punishment), δηλαδή η εξισορρόπηση μεταξύ προσδοκώμενων ή πραγματικών ανταμοιβών και τιμωριών που ακολουθούν ή είναι συνέπειες μια συμπεριφοράς. ορισμοί (definitions), δηλαδή ο λογικός προσδιορισμός μιας συμπεριφοράς ως καλή ή κακή, σωστή ή λανθασμένη, επιθυμητή ή ανεπιθύμητη, δικαιολογημένη ή αδικαιολόγητη. μίμηση (imitation), δηλαδή η υιοθέτηση μιας συμπεριφοράς μετά την παρατήρηση παρόμοιας συμπεριφοράς σε άλλα άτομα. Μελέτες βρήκαν ισχυρή θετική συσχέτιση μεταξύ παρανομίας και του κοινωνικού περίγυρου του ατόμου (παρατίθενται εκτενώς από τους [Τheoharidou et al., 2005]). Για παράδειγμα, οι σχέσεις με παράνομα άτομα αυξάνουν το κίνητρο προς ένα έγκλημα και συνεπώς αυξάνουν την πιθανότητα εγκληματικής συμπεριφοράς. Επίσης, η εγκληματικότητα των φίλων ενός ατόμου είναι μια πολύ ισχυρή ένδειξη της εγκληματικότητάς του, και αυτή η σχέση μπορεί να ευθύνεται για το πόσο δημοφιλής είναι η θεωρία της διαφορικής συσχέτισης και άλλων θεωριών μάθησης της εγκληματικότητας. Επιπλέον, η διαφορική συσχέτιση, η διαφορική ενίσχυση, οι ορισμοί και οι πηγές μίμησης επηρεάζουν σημαντικά την εγκληματική συμπεριφορά με υπολογιστή. Τέλος, υπάρχει ισχυρή θετική συσχέτιση μεταξύ της ανάμειξης ενός φίλου σε ηλεκτρονική κατάχρηση και της πιθανότητας διάπραξης της ίδιας κατάχρησης από το άτομο Θεωρία της Προσχεδιασμένης Συμπεριφοράς Η θεωρία αυτή (Theory of Planned Behavior) έχει χρησιμοποιηθεί εκτενώς και επιτυχώς για να εξηγήσει την αιτιώδη σχέση που υπάρχει κάτω από διάφορες ανθρώπινες αποφάσεις. H βασική υπόθεση είναι ότι οι προθέσεις ενός ατόμου είναι παράγοντας κλειδί για την πρόβλεψη της συμπεριφοράς του ατόμου [Lee and Lee, 2002]. Οι προθέσεις του διαμορφώνονται με βάση: 1. τη νοοτροπία / θέση (attitude) απέναντι στη συγκεκριμένη συμπεριφορά, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 170

186 2. κοινωνικούς παράγοντες, οι οποίοι αποκαλούνται υποκειμενικές νόρμες (subjective norms) και 3. παράγοντες ελέγχου, οι οποίοι εμπεριέχονται στον όρο αντιλαμβανόμενος έλεγχος συμπεριφοράς (perceived behavioral control). Ο πρώτος παράγοντας είναι η θέση/νοοτροπία απέναντι στη συγκεκριμένη συμπεριφορά, δηλαδή ο βαθμός με τον οποίο το άτομο εκτιμά ευνοϊκά ή όχι μια συμπεριφορά. Αν ένα άτομο αντιλαμβάνεται ότι το αποτέλεσμα μιας συμπεριφοράς είναι θετικό, τότε θα έχει μια θετική νοοτροπία/θέση απέναντι στη συγκεκριμένη συμπεριφορά. Το αντίθετο συμβαίνει στην περίπτωση που η συμπεριφορά θεωρείται αρνητική. Οι υπάρχουσες κοινωνικές νόρμες είναι ο δεύτερος προσδιοριστικός παράγοντας. Το άτομο αντιλαμβάνεται κοινωνικές πιέσεις (normative beliefs) υπέρ ή κατά της συγκεκριμένης συμπεριφοράς. Η αντίληψη αυτή σε συνδυασμό με το κίνητρο του ατόμου να συμμορφωθεί με τις απαιτήσεις του κοινωνικού του περίγυρου (motivation to comply), διαμορφώνουν την πρόθεση του ατόμου προς μια συμπεριφορά. Αν άτομα του κοινωνικού του περίγυρου αντιλαμβάνονται τη συγκεκριμένη συμπεριφορά ως θετική και το άτομο αυτό επιζητά την επιδοκιμασία τους, τότε αναμένουμε μια θετική υποκειμενική νόρμα. Στην περίπτωση που τη θεωρούν αρνητική συμπεριφορά και το άτομο θέλει την επιδοκιμασία τους, τότε η εμπειρία θα είναι μια αρνητική υποκειμενική νόρμα για το άτομο. Στην περίπτωση του αντιλαμβανόμενου έλεγχου συμπεριφοράς, οι προθέσεις διαμορφώνονται με βάση τη γενικότερη αντίληψη σε σχέση με τη δυσκολία πραγματοποίησης της συγκεκριμένης συμπεριφοράς, καθώς και με την αντίληψη του ίδιου του ατόμου σε σχέση με το αν μπορεί να εκτελέσει επιτυχώς ή όχι τη συγκεκριμένη συμπεριφορά. Αν ένα άτομο πιστεύει ότι υπάρχουν παράγοντες που διευκολύνουν τη συμπεριφορά, τότε το άτομο έχει ισχυρό αντιλαμβανόμενο έλεγχο της συμπεριφοράς. Αντίθετα, θα έχει χαμηλή αντίληψη ελέγχου, αν πιστεύει ότι υπάρχουν παράγοντες που εμποδίζουν τη συμπεριφορά. Το άτομο, δηλαδή, δε θα δημιουργήσει μια ισχυρή πρόθεση προς μια συμπεριφορά, αν πιστεύει ότι δεν έχει τους απαιτούμενους πόρους ή ευκαιρίες. Αυτό συμβαίνει, ακόμα και όταν έχει θετική θέση απέναντι στη συμπεριφορά και σημαντικά άτομα του περιβάλλοντος του εγκρίνουν αυτή τη συμπεριφορά. Οι [Lee and Lee, 2002] υιοθετούν τη θεωρία αυτή για την πρόβλεψη καταχρηστικής συμπεριφοράς με υπολογιστή και προτείνουν ότι παράγοντες κοινωνικών δεσμών (αφοσίωση, συμμετοχή, δέσμευση, πίστη), παράγοντες κοινωνικής μάθησης (η επιρροή των συναδέλφων και των ανωτέρων) και παράγοντες γενικής αποτρεπτικής (πολιτική ασφάλειας, συστήματα ασφαλείας, προγράμματα ενημερότητας) μπορούν να επηρεάσουν τη νοοτροπία, τις υποκειμενικές νόρμες και τον αντιλαμβανόμενο έλεγχο συμπεριφοράς αντίστοιχα. Το μοντέλο που προτείνουν φαίνεται στο παρακάτω σχήμα: Παράρτημα Δ : Δημοσιεύσεις και αναφορές 171

187 Εικόνα 33: Ένα ολιστικό μοντέλο για την κατάχρηση με υπολογιστή ATT (Attitude - Νοοτροπία), SN (Subjective Norms - Υποκειμενικές Νόρμες) PBC (Perceived Behavioral Control - Αντιλαμβανόμενος Έλεγχος Συμπεριφοράς) CAI (Computer Abuse Intention - Πρόθεση κατάχρησης με υπολογιστή) ACA (Actual Computer Abuse - Πραγματική κατάχρηση με υπολογιστή) Πιο συγκεκριμένα, υποστηρίζουν ότι οι παράγοντες κοινωνικών δεσμών επηρεάζουν αρνητικά την νοοτροπία σε σχέση με την κατάχρηση με υπολογιστή. Αυτό σημαίνει ότι ένα άτομο το οποίο είναι αφοσιωμένο στους συναδέλφους του και συμμετέχει σε δραστηριότητες μαζί τους, είναι λιγότερο πιθανό να θέλει να τους βλάψει. Επίσης, ένα άτομο το οποίο έχει μια υψηλή δέσμευση δε θα θέλει να ακυρώσει τις προηγούμενες ενέργειες του ένα άτομο το οποίο πιστεύει ότι η κατάχρηση με υπολογιστή είναι παράνομη συμπεριφορά, είναι πιο πιθανό να μη προβεί σε αυτή την ενέργεια. Όσον αφορά τους παράγοντες κοινωνικής μάθησης, ισχυρίζονται ότι επηρεάζουν θετικά την υποκειμενική νόρμα για την κατάχρηση με υπολογιστή. Αυτό σημαίνει ότι όσο ένα άτομο σχετίζεται με συναδέλφους που διαπράττουν κατάχρηση με υπολογιστή, μεταδίδουν ανήθικες αξίες, ενισχύουν την παρανομία και λειτουργούν ως ανήθικα πρότυπα, τόσο θα δέχεται την παρανομία χωρίς αντίδραση και θα μιμείται την ίδια συμπεριφορά. Τέλος, θεωρούν ότι παράγοντες της γενικής αποτρεπτικής θεωρίας επηρεάζουν αρνητικά τον αντιλαμβανόμενο έλεγχο συμπεριφοράς. Όσο οι οργανισμοί τιμωρούν πιο αυστηρά τους παραβάτες και το δημοσιοποιούν, όσο επενδύουν σε συστήματα ασφαλείας σχεδιασμένα για τον οργανισμό και τα συντηρούν, και όσο σχεδιάζουν και εφαρμόζουν πιο αποτελεσματικά προγράμματα ενημερότητας, τόσο πιο πολύ θα Παράρτημα Δ : Δημοσιεύσεις και αναφορές 172

188 θεωρεί ο υποψήφιος παραβάτης θα αντιλαμβάνεται ότι έχει λιγότερα μέσα και δυνατότητες για να προχωρήσει σε κατάχρηση και, συνεπώς, θα αποτρέπεται Πρόληψη Εγκλήματος κατά Περίσταση Η θεωρία αυτή (Situational Crime Prevention) βασίζεται στην υπόθεση ότι για τη διάπραξη ενός εγκλήματος απαιτείται τόσο κίνητρο όσο και ευκαιρία. Σε αντίθεση με τις προηγούμενες θεωρίες που εξετάστηκαν, δεν αντιμετωπίζει τον τρόπο εμφάνισης εγκληματικών κινήτρων και προθέσεων, αλλά εστιάζει στην μείωση των ευκαιριών που απαιτούνται για τη διάπραξη του εγκλήματος [Clarke, 1980]. Η θεωρία έχει εφαρμοσθεί σε μεγάλο αριθμό περιπτώσεων, για διαφορετικούς τύπους εγκλημάτων (π.χ. βανδαλισμός, ληστεία, κλοπή, κλπ.) και σε διαφορετικά περιβάλλοντα (π.χ. γήπεδα, χώρους διασκέδασης, οικίες, καταστήματα, κλπ.) [Clarke, 1997]. Έχει βασιστεί στις παρακάτω θεωρίες [Willison, 2001]: Θεωρία Καθημερινών Δραστηριοτήτων (Routine activity theory). Εστιάζει στα χαρακτηριστικά του εγκλήματος και όχι στα χαρακτηριστικά του εγκληματία. Αρχικά, χρησιμοποιήθηκε για να εξετάσει τις αλλαγές της κοινωνίας στις δεκαετίες 1960 έως 1980, όπως η εργασία των γυναικών και η απουσία τους από το σπίτι κατά τη διάρκεια της ημέρας, και πώς το γεγονός αυτό οδηγεί σε κοινωνική αποδιοργάνωση και, συνεπώς, σε ευκαιρίες για έγκλημα. Με άλλα λόγια, το γεγονός ότι το σπίτι παραμένει χωρίς κάποιο φύλακα παρόντα κατά τη διάρκεια των εργασιακών ωρών, είναι ένας από τους παράγοντες που οδηγούν σε αυξημένη πιθανότητα εγκληματικών πράξεων. Οι άλλοι δύο παράγοντες είναι η ύπαρξη ατόμου με εγκληματικές προθέσεις (υποτίθεται ότι υπάρχουν σε αφθονία) και η ύπαρξη κατάλληλου στόχου, δηλαδή αντικειμένου με κάποια αξία. Πιο συγκεκριμένα, διατυπώνεται ότι ο ρυθμός με τον οποίο αυξάνει το έγκλημα είναι ίσος με τον αριθμό πιθανών στόχων και την απουσία ατόμων που προστατεύουν αυτούς τους στόχους. Θεωρία της Λογικής Επιλογής (Rational Choice Theory). Η θεωρία αυτή υποστηρίζει ότι το έγκλημα είναι μια σκόπιμη συμπεριφορά σχεδιασμένη ώστε να ανταποκρίνεται στις ανάγκες του παραβάτη, όπως χρήματα, κοινωνική θέση, δράση, και η ικανοποίηση των οποίων περιλαμβάνει τη λήψη αποφάσεων και επιλογών κάτω από περιορισμούς χρόνου, ικανότητας και διαθεσιμότητας σχετικών πληροφοριών. Συνεπώς, οι παραβάτες λαμβάνουν την απόφαση να εμπλακούν σε εγκληματικές ενέργειες οι οποίες φαίνονται λογικές τουλάχιστον στους ίδιους. Τα άτομα λαμβάνουν μεν αποφάσεις με βάση τη μεγιστοποίηση της ευχαρίστησης ή του κέρδους, αλλά παράγοντες, όπως η ηθική, η ανακριβής πληροφορία ή ο φόβος μπορεί να επηρεάσουν την απόφαση. Παράλληλα, η θεωρία διαφοροποιείται ως προς το αν η τιμωρία μπορεί να αποτελεί αποτρεπτικό μέσο. Θεωρεί ότι η βεβαιότητα κύρωσης είναι πιο ισχυρό αποτρεπτικό μέσο από την σοβαρότητα κύρωσης και συνεπώς εστιάζει στην πρόληψη και όχι στην τιμωρία του εγκλήματος. Βασισμένη στις αρχές των δύο παραπάνω θεωριών, η θεωρία της κατά περίσταση πρόληψης του εγκλήματος εξετάζει το περιβάλλον μέσα στο οποίο πραγματοποιείται το έγκλημα, και προσπαθεί να μειώσει τις ευκαιρίες για αυτή τη δραστηριότητα με την εφαρμογή μέτρων στο περιβάλλον. Η θεωρία ΠΕΠ προτείνει μέτρα μείωσης των ευκαιριών τα οποία απευθύνονται σε συγκεκριμένους τύπους εγκλήματος και Παράρτημα Δ : Δημοσιεύσεις και αναφορές 173

189 περιλαμβάνουν το σχεδιασμό, τη διαχείριση ή την τροποποίηση του περιβάλλοντος. Στοχεύουν στα εξής: να κάνουν το άτομο να θεωρεί μια εγκληματική πράξη πιο δύσκολη, δηλαδή ότι απαιτεί μεγαλύτερη προσπάθεια για να τη διαπράξει. να κάνουν το άτομο να θεωρεί μια εγκληματική πράξη πιο επικίνδυνη, δηλαδή ότι είναι πολύ πιθανό να γίνει αντιληπτός. να μειώσουν τα οφέλη που προσδοκεί το άτομο από την εγκληματική πράξη. να αφαιρέσουν τη δυνατότητα να προβάλλει το άτομο δικαιολογίες όταν γίνει αντιληπτό. Ο Πίνακας 64 παρουσιάζει τα μέτρα που ικανοποιούν τους παραπάνω στόχους, καθώς και παραδείγματα τέτοιων μέτρων. Ο [Willison, 2001] υιοθετεί την παραπάνω θεωρία και προτείνει την εφαρμογή των αρχών της στην ΑΠΣ με την κατασκευή ενός μοντέλου (Opportunity Structure) για την απάτη με υπολογιστή κατά την είσοδο δεδομένων (Computer Input fraud). Η χρήση του μοντέλου προτείνεται από τον Clarke με στόχο την περιγραφή των αλληλεπιδράσεων μεταξύ θυμάτων, στόχων, πιθανών παραβατών και καταλυτών, οι οποίες προσδιορίζουν τη φύση και την έκταση των ευκαιριών για την διάπραξη ενός εγκλήματος. Ο Willison υποστηρίζει ότι η δημιουργία αντίστοιχων μοντέλων για συγκεκριμένα εγκλήματα με υπολογιστή βοηθούν στην κατανόηση της ασφάλειας πληροφοριακών συστημάτων και των θεμάτων που καλείται να αντιμετωπίσει. Πίνακας 64: Μέτρα μείωσης των ευκαιριών (Situational Crime Prevention) Αύξηση Αύξηση προσπάθειας κινδύνου (Increase Effort) (Increase Risks) 1. Target harden: Steering column locks and immobilizers, Anti-robbery screens, Tamper-proof packaging 2. Control access to facilities: Entry phones, Electronic card access, Baggage screening 6. Extend guardianship: Take routine precautions: go out in group at night, leave signs of occupancy, Carry phone, Cocoon neighborhood watch 7. Assist natural surveillance: Improved street lighting, Defensible space design, Support whistleblowers Μείωση ανταμοιβής (Reduce Rewards) 11. Conceal targets: Gender-neutral phone directories, Unmarked bullion trucks 12. Remove targets: Removable car radio, Women s refuges, Pre-paid cards for pay phone Μείωση προκλήσεων (Reduce Provocation) 16. Reduce frustrations and stress: Efficient queues and polite service, Expanded seating 17. Avoid disputes: Separate enclosures for rival soccer fans, Reduce crowding in pubs, Fixed cab fares Αφαίρεση δικαιολογιών (Remove Excuses) 21.Set rules: Rental agreements, Harassment codes, Hotel registration 22. Post instructions: No Parking, Private Property, Extinguish camp fires Παράρτημα Δ : Δημοσιεύσεις και αναφορές 174

190 3. Screen exits: Ticket needed for exit, Export documents, Electronic merchandise tags 4. Deflect offenders: Street closures, Separate bathrooms for women, Disperse pubs 5. Control tools/weapons: Smart guns, Disabling stolen cell phones, Restrict spray paint sales to juveniles 8. Reduce anonymity: Taxi driver IDs, How s my driving? decals, School uniforms 9. Utilize place managers: CCTV for doubledeck buses, Two clerks for convenience stores, Reward vigilance 10. Strengthen formal surveillance: Red light cameras, Burglar alarms, Security guards 13. Indentify property: Property making, Vehicle licensing and parts marking, Cattle branding 14. Disrupt markets: Monitor pawn shops, Controls on classified ads, License street vendors 15. Deny benefits: Ink merchandise tags, Graffiti, cleaning, Speed bumps 18. Reduce emotional arousal: Controls on violent pornography, Enforce good behavior on soccer field 19. Neutralize peer pressure: Idiots drink and drive, It s ok to say No, Disperse troublemakers at school 20. Discourage imitation: Rapid repair of vandalism, V- chips in TVs, Censor details of modus operandi 23. Alert conscience: Roadside speed display boards, Signatures for customs declarations 24. Assist compliance: Easy library checkout, Public lavatories, Litter bins 25. Control drugs and alcohol: Breath analyzers in pubs, Servers intervention, Alcohol-free events Συσχετίσεις μεταξύ θεωριών και βέλτιστων πρακτικών Ο [Willison, 2001; 2004] θεωρεί ότι η ΠΕΠ και οι ιδέες της μπορούν να εφαρμοστούν κατά το σχεδιασμό ενός συστήματος διαχείρισης ασφάλειας (ISMS) [Willison, 2001; 2004]. Το πρότυπο ISO27002 εμφανίζει ισχυρή συσχέτιση με τη ΓΑΘ και λιγότερο ισχυρή με τη θεωρία ΠΕΠ [Theoharidou et al., 2005; Coles and Theoharidou, 2010]. Το σύνολο των μέτρων του ISO εστιάζει κυρίως στην αύξηση της προσπάθειας ή στην αύξηση της πιθανότητας ανίχνευσης (κινδύνου), με τη χρήση φυσικών και διαδικαστικών μέσων για έλεγχο πρόσβασης, παρακολούθηση και έλεγχο (audit). Τέτοια μέτρα μεταβάλλουν, επίσης, τον αντιλαμβανόμενο έλεγχο συμπεριφοράς, όπως περιγράφει η ΘΠΣ, χαρακτηριστικό το οποίο αναφέρεται στην αντίληψη ενός ατόμου σχετικά με τα εμπόδια που υπάρχουν και αν αυτά μπορούν να παρακαμφθούν. Το πρότυπο ISO προτείνει μέτρα και για αφαίρεση δικαιολογιών (excuse removal), όπως η δημοσιοποίηση της πολιτικής ασφάλειας, η υπογραφή συμφωνιών εμπιστευτικότητας και η εφαρμογή προγραμμάτων ενημερότητας. Υπάρχουν μόνο μικρές αναφορές μέτρων ασφαλείας που μειώνουν την ανταμοιβή, όπως η σήμανση της ιδιοκτησίας (property marking) ή η κρυπτογράφηση δεδομένων. Τέλος, η τεχνική της μείωσης των προκλήσεων (ΠΕΠ) δεν μπόρεσε να εντοπιστεί στο πρότυπο αυτό. Παρόμοια αποτελέσματα παρατηρούμε και με τους οδηγούς του CERT και CPNI. Αλλά και στην υπόλοιπη βιβλιογραφία για την εκ των έσω απειλή εντοπίζουμε κυρίως προσεγγίσεις για την αύξηση της προσπάθειας ή την αύξηση του κινδύνου, ανάλογα με το πρότυπο ISO Και οι δύο οδηγοί εμπεριέχουν μέτρα τα οποία συμβάλλουν στην αφαίρεση των δικαιολογιών (πολιτικές, προγράμματα ενημερότητας). Στο οδηγό του Παράρτημα Δ : Δημοσιεύσεις και αναφορές 175

191 CERT εντοπίζεται μια τεχνική για μείωση των προκλήσεων, η οποία στοχεύει στην εκτόνωση αψιμαχιών οι οποίες δυνητικά μπορούν να επεκταθούν σε μελλοντικά εκ των έσω περιστατικά. Αντίστοιχα, ο οδηγός του CPNI περιέχει αντιστοίχως μια σειρά κατευθύνσεων οι οποίες προάγουν την ειλικρίνεια (openness), τη διαφάνεια και την επικοινωνία. Μέτρα για τη μείωση των ανταμοιβών περιλαμβάνουν τη χρήση εφεδρικών μέσω, μέσων ανάκαμψης αλλά και την ανταπόκριση σε περιστατικά (επιβολή κυρώσεων). Ισχυρές συσχετίσεις μεταξύ των βέλτιστων αυτών πρακτικών και των άλλων θεωριών (π.χ. ΘΚΔ ή ΘΚΕ) δεν εντοπίστηκαν [Theoharidou et al., 2005; Coles and Theoharidou, 2010]. Ασθενείς συσχετίσεις θα μπορούσαν να θεωρηθούν πρακτικές ενίσχυσης της αφοσίωσης ενός εργαζομένου ή πειθαρχικές διαδικασίες (disciplinary processes) που αποσκοπούν στη μείωση του παράγοντα της μίμησης. 6.4 Εφαρμογή της θεωρίας ΠΕΠ Ο συνδυασμός των θεωριών αυτών μπορεί να αλλάξει τη βάση της επιλογής μέτρων ασφάλειας είτε αναφερόμαστε σε ΠΣ είτε σε κρίσιμες υποδομές. Μπορεί και να τροποποιήσει τα ίδια τα μέτρα προστασίας, αλλά και τις διεργασίες ενός συστήματος διαχείρισης ασφάλειας (ISMS). Η αλλαγή των μέτρων αλλά και του συστήματος διαχείρισης ώστε να αναφέρονται στην εκ των έσω απειλή μπορεί να πραγματοποιηθεί σε πολλαπλά επίπεδα: σε επίπεδο οργανισμού ή υποδομής, σε επίπεδο τμήματος ή συνιστώσας ή σε επίπεδο ατόμου. Η εκτίμηση επικινδυνότητας και η επιλογή ανάλογων μέτρων γίνεται συνήθως σε επίπεδο οργανισμού ή, στην περίπτωση της ΠΚΥ, υποδομής. Εκτίμηση επικινδυνότητας σε επίπεδο συγκεκριμένου τμήματος (department) είναι λιγότερο συνήθης και εστιάζει κυρίως σε συγκεκριμένα χαρακτηριστικά μιας ομάδας ή ενός τμήματος και πως αυτά διαφοροποιούνται από τη συνολική εκτίμηση. Για παράδειγμα, επιμέρους εκτιμήσεις μπορούν να εφαρμοσθούν για την εκτίμηση της επικινδυνότητας σε ομάδες χρηστών με αυξημένα δικαιώματα πρόσβασης. Σε επίπεδο ατόμου, η εκτίμηση επικινδυνότητας αναφέρεται κυρίως στη δυνατότητα ενός χρήστη (insider potential), αλλά και στην ύπαρξη ευκαιριών (opportunity level) ανάλογα με το ρόλο και την πρόσβαση του συγκεκριμένου ατόμου. Τέτοιες εξατομικευμένες εκτιμήσεις θα μπορούσαν να εφαρμοσθούν σε εργαζόμενους που είτε έχουν αυξημένα δικαιώματα πρόσβασης είτε εκδηλώνουν σημάδια τα οποία χρήζουν περαιτέρω παρακολούθησης. Πάραυτα, οι πόροι που απαιτούνται για εξατομικευμένες εκτιμήσεις επικινδυνότητας είναι σημαντικοί, γεγονός που τις καθιστά μη εφαρμόσιμες σε μεγάλη κλίμακα. Επιπλέον, ο προσδιορισμός της πρόθεσης ενός ατόμου παραμένει ένα ανοικτό ερευνητικό ζήτημα και εμφανίζει σημαντική πολυπλοκότητα όταν εκτιμάται με τεχνικά μέσα. Με βάση τα παραπάνω, θα εντοπίσουμε σε ποια σημεία κατά την εκτίμηση της εκ των έσω επικινδυνότητας μπορούν να συνδράμουν οι θεωρίες που περιγράψαμε. Οι κοινωνικές θεωρίες ερμηνεύουν ατομικά χαρακτηριστικά τα οποία μπορούν να οδηγήσουν σε μη επιθυμητή ή αποδεκτή συμπεριφορά, αλλά οι μηχανισμοί που προτείνουν δεν είναι εξατομικευμένοι. Συνεπώς, οι θεωρίες επιδρούν κυρίως σε επίπεδο οργανισμού (ή υποδομής) και σε επίπεδο τμήματος ή ομάδος. Στην ενότητα αυτή, θα εστιάσουμε κυρίως στην θεωρία ΠΕΠ και θα εξετάσουμε πως τα μέτρα ασφαλείας που προτείνει το ISO μπορούν να εμπλουτιστούν για την αντιμετώπιση της εκ των έσω απειλής με βάση τις 25 τεχνικές της θεωρίας. Στόχος είναι η δημιουργία ενός Παράρτημα Δ : Δημοσιεύσεις και αναφορές 176

192 εκτεταμένου συνόλου από μέτρα διαχείρισης της εκ των έσω απειλής τα οποία αντιστοιχούνται στις τεχνικές της θεωρίας ΠΕΠ. Μια πρωταρχική ταξινόμηση των μέτρων του προτύπου με βάση τους 5 στόχους της ΠΕΠ, περιγράφει ο [Willison, 2006a]. Στη συνέχεια θα παρουσιάσουμε ένα λεπτομερές σύνολο από μέτρα, ο οποίος θα περιέχει μέτρα για κάθε μια από τις 25 τεχνικές της θεωρίας, τα οποία θα στοχεύουν στην αντιμετώπισης της εκ των έσω απειλής [Theoharidou and Gritzalis, 2009; Coles and Theoharidou, 2010]. Το σύνολο των μέτρων βασίζεται αρχικά στα μέτρα που προτείνει το πρότυπο ISO, αλλά έχει εμπλουτιστεί και από άλλες πηγές. Αρχικά, διορθώθηκε και τροποποιήθηκε η ταξινόμηση του [Willison, 2006a]. Στη συνέχεια τα μέτρα εμπλουτίστηκαν από τη βάση αντιμέτρων η οποία εμπεριέχεται στη μέθοδο CRAMM [Insight, 2005]. Πιο συγκεκριμένα, συμπληρώθηκαν μέτρα, εντοπίστηκαν μέτρα κατ αναλογία για κάθε μια από τις τεχνικές, κάποια από τα οποία περιγράφονται στις βέλτιστες πρακτικές (βλ. Ενότητα 6.2.3). Το σύνολο των αντιμέτρων επανεξετάστηκαν με στόχο να διαπιστωθεί αν όλα πράγματι αναφέρονται στην αντιμετώπιση της εκ των έσω απειλής. Σημειώνεται ότι υιοθετήσαμε έναν πιο ευρύ ορισμό, υπό την έννοια ότι θεωρούμε ως εσωτερικό χρήστη οποιονδήποτε έχει εξουσιοδοτημένη πρόσβαση, ακόμα και αν δεν είναι έμπιστος. Πίνακας 65: Μέτρα για την αντιμετώπιση της εκ των έσω απειλής με βάση τη θεωρία ΠΕΠ Τεχνική Μέτρα Ασφάλειας 1. Increase Effort Harden target Control access Screen exits Malicious software protection, physical locks and restrains for critical equipment and media, I/O controls, sensitive system isolation Physical: Card/token for access, physical locks for doors, reception desk and security guards (at entry), visitor tags/cards Logical: Authentication techniques (Password, smart card, token), intrusion detection systems, strong remote authentication, firewalls Physical: Security guards and reception desks, visitor tags/cards, accountability for assets that exit the premises Logical: Firewalls Deflect offenders Control Tools 2. Increase Risks Extend guardianship Honeypots/honeynets, segregation of duties, personnel screening, Key splitting Authentication systems, download control and mobile code protection, web access controls, access removal for exemployees, removal of administrative rights, restricted use of devices (i.e., USB tokens, wireless access), need-to-know access to information Escorting of visitors, Supervision of staff in secure areas, guardianship of mobile facilities outside offices Παράρτημα Δ : Δημοσιεύσεις και αναφορές 177

193 Assist natural surveillance Reduce anonymity Utilize place managers Strengthen formal surveillance 3. Reduce Rewards Conceal targets Remove targets Identify property Disrupt markets Deny benefits 4. Reduce Provocation Reduce frustrations and stress Avoid disputes Reduce emotional arousal Neutralize peer pressure Discourage imitation 5. Remove Excuses Set rules Post instructions Alert conscience Open plan offices, incident reporting mechanism (e.g., hotline) ID tags for staff and visitors, audit trails, event logging Management supervision, two person sign-off, monitoring by system administrators Intrusion detection systems, security guards, CCTV in areas with sensitive equipment or information, alarms (both physical and logical) Minimize information about location of critical equipment or offices, conceal use of PCs when travelling, reduce website details, minimize information on login application screens, use of logical decoys, remove any rank or status information on authentication IDs, DMZs Clear desk policy, workstation Time-out/Password Protected Screen Savers, paper shredders, secure disposal of old PCs and media, regulate use of USB devices or other media, thresholds on access to resources Property marking, digital signatures, copyright protection, data labeling, Intellectual Right Protection, freeware, open source programs Encryption, property marking, software dongles, use of multiple hardware or storage media (backup), business continuity planning, insurance, effective/ timely incident handling, crisis management Pleasant working environment, recreational activities, breaks, employee welfare Anticipate and manage negative workplace issues Selection of user-friendly controls, user participation in the risk analysis process Disciplinary processes Rapid repair for web defacement, prompt software patching, enforcing security policy on incidents or disciplinary procedures Security policy, Disciplinary procedures, Conflicts of interest guidelines, Confidentiality agreements, Training /Awareness Program, Third-Party Contracts disclaimers, Security Policy, Access labels for critical areas Use of messages, i.e., copyright protection, privacy protection Παράρτημα Δ : Δημοσιεύσεις και αναφορές 178

194 Assist compliance Screening (renamed from Control drugs and alcohol) etc., Code of Ethics Security education for staff, Single sign-on, Point of reference for security issues Psychometric tests or personality questionnaires, Appraisals, Pre-employment checks Κατά τη δημιουργία του παραπάνω πίνακα, παρατηρήσαμε ότι η τεχνική της μείωσης προκλήσεων (reducing provocation) δεν είναι ένα σύνολο από μέτρα τα οποία απαντώνται συχνά στην ΑΠΣ ή στην ΠΚΥ. Παρόλα αυτά, υπάρχουν εφαρμόσιμα μέτρα, τα οποία μπορούν να συμπεριληφθούν στην ομάδα αυτή. Αυτές οι τεχνικές έχουν εφαρμοσθεί σε πιο βίαια περιβάλλοντα, όπως χώρους διασκέδασης (μπαρ) ή γήπεδα, συνεπώς χρήζουν τροποποιήσεων για να εφαρμοσθούν σε ένα εργασιακό περιβάλλον. Ανάλογη περίπτωση είναι η τεχνική του ελέγχου ουσιών (controlling substances), οι οποίες δεν αποτελούν απειλή η οποία σχετίζεται άμεσα με καταχρήσεις σε ΠΣ ή πληροφοριακές και επικοινωνιακές υποδομές. Εξαιρέσεις μπορεί να αποτελούν οι βανδαλισμοί από εσωτερικούς εργαζομένους σε εξοπλισμό ή εγκαταστάσεις, ή απειλές οι οποίες σχετίζονται με λάθη χρηστών σε πολύ σημαντικές λειτουργίες μιας κρίσιμης υποδομής. Για το λόγο αυτό, η τεχνική αυτή μπορεί να εφαρμοσθεί ελαφρώς τροποποιημένη, ως μια μορφή ελέγχου ή παρακολούθησης (screening), η οποία δεν έχει ως στόχο των εντοπισμό ουσιών, αλλά άλλα πιθανών καταστάσεων που μπορούν να τροποποιήσουν τη συνήθη συμπεριφορά ενός ατόμου ή να υποδηλώνουν υψηλότερη πιθανότητα εμφάνισης εκ των έσω απειλής (π.χ. ψυχομετρικά τεστ, έλεγχοι κατά την πρόσληψη κλπ.). Οι τεχνικές παρουσιάζουν ένα πρακτικό τρόπο να μεταφράσουμε τη θεωρία ΠΕΠ σε ένα σύνολο από μέτρα προστασίας από την εκ των έσω απειλή, που επεκτείνουν τα προκαθορισμένα μέτρα των προτύπων. Είναι πιο λεπτομερή, αναφέρονται συγκεκριμένα στην εκ των έσω απειλή, παρουσιάζονται σε ένα πιο αναλυτικό επίπεδο από το πρότυπο, και έχουν εμπλουτιστεί με βάση (α) βέλτιστες πρακτικές (π.χ. τεχνική εντοπισμού και διαχείρισης αρνητικών συμβάντων στον εργασιακό χώρο ) και (β) νέα μέτρα (π.χ. δραστηριότητες αναψυχής ή διαλείμματα για τη μείωση της πρόκλησης"). Είναι σημαντικό να σημειώσουμε ότι η θεωρία ΠΕΠ δεν τροποποιεί τη βάση των μέτρων αυτών, αλλά εισάγει και νέα μέτρα τα οποία εστιάζουν αποκλειστικά στην εκ των έσω απειλή. Πιο συγκεκριμένα, τα μέτρα δεν κατηγοριοποιούνται με βάση τις ομάδες μέτρων του προτύπου αλλά με βάση τους πέντε στόχους της θεωρίας. Ο στόχος της εφαρμογής της θεωρίας μπορεί να θεωρηθεί ως πιο εξειδικευμένος από αυτός των προτύπων: διαχείρισης της εκ των έσω απειλής σε αντίθεση με τη διαχείριση ΑΠΣ ή την ΠΚΥ. 6.5 Συνεισφορά των κοινωνικών θεωριών στην ΑΠΣ και στην ΠΚΥ Η παραπάνω ανάλυση δείχνει ότι η θεωρία ΠΕΠ μπορεί να εφαρμοσθεί με άμεσο τρόπο κατά την επιλογή των μέτρων ασφαλείας. Μπορεί, επίσης, να δράσει ως μέσο ελέγχου αν όλα τα μέτρα ασφαλείας που προκύπτουν από την εκτίμηση επικινδυνότητας, καλύπτουν και τους πέντε στόχους της θεωρίας. Τα μέτρα συνήθως επιλέγονται με την ακόλουθη σειρά: τεχνικά, τυπικά (formal), μη τυπικά (informal) [Dhillon et al., 2004], Παράρτημα Δ : Δημοσιεύσεις και αναφορές 179

195 από τους οργανισμούς. Η θεωρία ΠΕΠ προτείνει μεγάλο αριθμό τεχνικών και τυπικών τεχνικών οι οποίες αυξάνουν την πιθανότητα ανίχνευσης ή την προσπάθεια που απαιτείται, με απώτερο στόχο (α) να δράσουν ως μέσα αποτροπής (deterrent) και πρόληψης και (β) να κάνουν τον έλεγχο συμμόρφωσης (compliance audit) πιο αποτελεσματικό ως μέσα ανίχνευσης της εκ των έσω απειλής. Η ιδέα αυτή ταυτίζεται με τις έννοιες της ΓΑΘ και των μέτρων πρόληψης και ανίχνευσης που προτείνει ο [Walker, 2008]. Η θεωρία ΠΕΠ, όμως, μετατοπίζει την έμφαση και σε μη τυπικά, πιο κοινωνικά, μέτρα. Πιο συγκεκριμένα, εμπεριέχει τεχνικές οι οποίες έχουν ως στόχο να επηρεάσουν την ψυχολογία του ατόμου, μειώνοντας τη δυνατότητα αιτιολόγησης (excuses), τις προκλήσεις (provocation) ή τις ωφέλειες (rewards). Επιπλέον συνεισφορά των κοινωνικών θεωριών προκύπτει και σε άλλα στάδια, πέραν τις επιλογές μέτρων και μάλιστα σε πολλαπλά επίπεδα (οργανισμός, ομάδα, άτομο). Εξετάζοντας την εφαρμοσιμότητα της ΓΑΘ, διαπιστώνουμε ότι αρκετοί οργανισμοί εμφανίζουν δυσκολία σε δύο σημεία: στην συμφωνία σχετικά με τις κυρώσεις (sanctions), όταν παραβιάζονται οι κανόνες μιας πολιτικής, και πλήρη έλεγχο και ανίχνευση των παραβιάσεων. Κυριαρχούν διαφορετικές απόψεις σχετικά με τον αν η αυστηρότητα των κυρώσεων είναι αποτελεσματικό μέσο αποτροπής για έναν επιτιθέμενο με κίνητρο. Η ανάπτυξη, όμως, ελεγκτικών διεργασιών που μπορούν να αποφανθούν με πιο αποτελεσματικό τρόπο μεταξύ συμμόρφωσης και μη, θα μπορούσαν να δράσουν ως αποτρεπτικός μηχανισμός. Όμοια, σε επίπεδο ομάδος, μια πιο εκλεπτυσμένη διεργασία αναθεώρησης, η οποία προσδιορίζει αν τα μέτρα είναι αποτελεσματικά ή όχι, μπορεί να επιφέρει καλύτερα αποτελέσματα στον εντοπισμό τμημάτων ή ομάδων εντός του οργανισμού που διαφοροποιούνται ως προς τις πρακτικές τους, υποδηλώνοντας διαφοροποιήσεις στην κουλτούρα ασφάλειας. Παράλληλα, αυτή η διεργασία επιτρέπει στον οργανισμό να επιβάλει κυρώσεις με ενιαίο τρόπο, ανεξάρτητα της αυστηρότητάς τους. Επομένως, ικανοποιείται το χαρακτηριστικό της βεβαιότητας επιβολής κύρωσης (certainty of sanctions). Όσον αφορά στην αντιμετώπιση (remedies) αυτή δρα στο σύνολο του οργανισμού και όχι μόνο σε ένα άτομο. Αν αναλογιστούμε τον Κύκλο των Ενεργειών της Ασφάλειας (Security Action Cycle), που αποτελεί την κύρια εφαρμογή της ΓΑΘ στην ΑΠΣ, αντιλαμβανόμαστε ότι για την αντιμετώπιση της εκ των έσω απειλής χρειαζόμαστε ένα εξειδικευμένο τέτοιο κύκλο να ενσωματωθεί στο σύστημα διαχείρισης της ΑΠΣ. Ο κύκλος αυτός μπορεί να ενσωματώσει τους μηχανισμούς της ΠΕΠ, καθώς αυτά καλύπτουν όλα τα στάδια της αποτροπής, πρόληψης, ανίχνευσης και αντιμετώπισης. Οι πιο κοινωνικές προεκτάσεις που εισάγουν οι θεωρίες ΘΚΔ, ΘΚΕ και ΘΠΣ μπορούν, επίσης, να επηρεάσουν τις διεργασίες για την ασφάλεια. Αυτές εστιάζουν πιο πολύ σε επίπεδο ομάδος ή ατόμου και στο σχεδιασμό λιγότερο τυπικών μέτρων (informal controls). Πιο συγκεκριμένα, όλες οι θεωρίες εμπεριέχουν την έννοια της πεποίθησης (beliefs), της νοοτροπίας (attitude) και των ορισμών συμπεριφοράς (definitions of behavior), καθώς ερμηνεύουν αν ένα άτομο αντιλαμβάνεται μια ενέργεια ως θετική ή αρνητική. Οι ατομικές αυτές πεποιθήσεις θα πρέπει να ταυτίζονται σε σημαντικό βαθμό με τις αρχές της πολιτικής ασφάλειας, καθώς το έγγραφο αυτό αντανακλά την επιθυμητή συμπεριφορά. Συνεπώς, οι θεωρίες αυτές μπορούν να συνδράμουν στον εντοπισμό διαφοροποιήσεων από την (επιθυμητή) κουλτούρα ασφάλειας μιας ομάδας ή του οργανισμού. Με την ίδια λογική, η θεωρία ΠΕΠ προτείνει μέτρα ελαχιστοποίησης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 180

196 αυτών των διαφορών, π.χ. με την τεχνική της αφαίρεσης των δικαιολογιών (remove excuses). Αυτά τα μέτρα μπορούν να ενσωματωθούν στις εκπαιδευτικές διεργασίες ενός συστήματος διαχείρισης (ISMS), σε μία προσπάθεια δημιουργίας ενιαίας κουλτούρας ασφάλειας. Οι θεωρίες αυτές μπορούν, επίσης, να ερμηνεύσουν επιμέρους κουλτούρες ασφάλειας και τις διαφοροποιήσεις τους που οδηγούν σε διαφοροποιημένη συμπεριφορά στα επιμέρους τμήματα ενός οργανισμού. Πιο συγκεκριμένα, περιγράφουν μια κατηγορία χαρακτηριστικών τα οποία θα πρέπει να ληφθούν υπόψη κατά την εκτίμηση της εκ των έσω επικινδυνότητας, όπως η μίμηση και η επίδραση της συσχέτισης με συναδέλφους (association with peers). Η ΘΚΔ εστιάζει στη σημασία της προσήλωσης ενός ατόμου στους κοινά αποδεκτούς στόχους, στόχους ασφάλειας στη συγκεκριμένη περίπτωση, ενώ η ΘΚΕ αναφέρεται στην επίδραση της μίμησης και της διαφορικής συσχέτισης (differential association). Η ΘΠΣ μετονομάζει τις έννοιες αυτές ως υποκειμενικές νόρμες (subjective norms) και αναφέρεται και στην επίδραση του περιβάλλοντος. Οι θεωρίες αυτές θεωρούν ότι η συμπεριφορά ενός χρήστη μπορεί να επηρεαστεί θετικά ή αρνητικά από συναδέλφους ή από ανώτερα στελέχη. Επιπλέον, η διαφορική ενίσχυση/τιμωρία (differential reinforcement/punishment) της ΘΚΕ αναφέρεται στον τρόπο ανίχνευσης της μη συμμόρφωσης και την αντιμετώπισή της. Στην περίπτωση όπου η μη συμμόρφωση παραμένει μη ανιχνεύσιμη ή δεν εφαρμόζονται οι μηχανισμοί αντιμετώπισης περιστατικών, τότε η ΘΚΕ θεωρεί ότι ένα άτομο έχει μεγαλύτερη τάση να μη συμμορφωθεί με τους κανόνες. Επομένως, ο κύριος ρόλος των τριών αυτών θεωριών είναι να εντοπίσουν αποκλίσεις από τους στόχους ασφάλειας αλλά και να επισημάνουν περιοχές όπου θα πρέπει να εστιάσουν οι διεργασίες ελέγχου. Ως επακόλουθο, μπορούν να συνδράμουν στο σχεδιασμό πολλαπλών προγραμμάτων ενημερότητας τα οποία θα στοχεύουν σε επίπεδο ομάδας και δε θα είναι ενιαία για όλο τον οργανισμό. Οι έννοιες της μίμησης και της επιρροής των συναδέλφων μπορούν να εντοπιστούν και στη θεωρία ΠΕΠ. Αντιμετωπίζονται μέσω της τεχνικής της αφαίρεσης των προκλήσεων (remove provocation). Η ιδέα έγκειται στον περιορισμό των επιρροών του περιβάλλοντος που μπορούν να αποβούν αρνητικές για ένα άτομο και προσαρμόζουν το περιβάλλον κατάλληλα. Επιπλέον, οι θεωρίες αυτές περιγράφουν μια σειρά από ατομικές και οργανωσιακές συνθήκες που θα μπορούσαν να επηρεάσουν διεργασίες ελεγκτικής (audit process). Για παράδειγμα, η ΘΚΔ αναφέρεται στους δεσμούς της συμμετοχής (involvement) και της αφοσίωσης (attachment). Η εφαρμογή αυτών των εννοιών παραπέμπει σε κάποιας μορφής ατομικών εκτιμήσεων και ελέγχων (individual screening) με στόχο τον προσδιορισμό της δέσμευσης, της αφοσίωσης σε συνεργάτες ή της αφοσίωσης σε επαγγελματικούς στόχους. Η ύπαρξη ασθενών κοινωνικών θα μπορούσε να οδηγεί σε περαιτέρω ελεγκτικές διαδικασίες. Εξατομικευμένες εκτιμήσεις επικινδυνότητας μπορεί να εντοπίσουν δυσαρέσκεια η οποία αυξάνει την πιθανότητα εμφάνισης εκ των έσω απειλής. Από οργανωσιακό επίπεδο, η συμμετοχή των χρηστών στις διεργασίες εκτίμησης επικινδυνότητας και στον σχεδιασμό του συστήματος διαχείρισης ενδυναμώνει τους δεσμούς των υπαλλήλων με τον οργανισμό και συμβάλλει στην κατανόηση των στόχων ασφάλειας. Όλοι οι παραπάνω αποτρεπτικοί, προληπτικοί ή ανιχνευτικοί μηχανισμοί σχετίζονται στενά με τα βήματα της ΓΑΘ και με τον Κύκλο των Ενεργειών της Ασφάλειας (Security Παράρτημα Δ : Δημοσιεύσεις και αναφορές 181

197 Action Cycle). Όσον αφορά τη διαχείριση της εκ των έσω επικινδυνότητας δρουν στη μείωση της πιθανότητας εμφάνισης και της εξάλειψης ευπαθειών που επιτρέπου την εκδήλωσή της. Στο στάδιο της αντιμετώπισης (remedies), οι διορθωτικές κινήσεις μπορούν να περιλαμβάνουν διεργασίες συμμόρφωσης ή αντιμετώπισης εκ των έσω περιστατικών. Ένας συνδυασμός των μηχανισμών της ΓΑΘ και της ΠΕΠ θα οδηγούσε στον εμπλουτισμό του κύκλου με τεχνικές μείωσης των ωφελειών (reduce reward). Ο στόχος αυτών των τεχνικών είναι αφενός η μείωση της αναμενόμενης ωφέλειας σε ατομικό επίπεδο (μείωση πιθανότητας εμφάνισης) και αφετέρου η διασφάλιση της συνέχισης της λειτουργίας, η οποία οδηγεί στη μείωση της επίπτωσης της εκ των έσω απειλής. 6.6 Συμπεράσματα και σύνοψη Στο κεφάλαιο αυτό εξετάσαμε το ζήτημα της εκ των έσω απειλής σε πληροφοριακές και επικοινωνιακές υποδομές. Το πρόβλημα εξετάστηκε αρχικά στο χώρο των ΠΣ, αλλά διαπιστώνουμε ότι αναγνωρίζεται ως ζήτημα και κατά την ΠΚΥ. Εντοπίσαμε τις ιδιαιτερότητες του προβλήματος σε σχέση με άλλες απειλές και είδαμε τις παραμέτρους που εισάγει κατά την εκτίμηση επικινδυνότητας. Μετά από μια σύντομη επισκόπηση των τρεχουσών πρακτικών αντιμετώπισης, στραφήκαμε προς κοινωνικές θεωρίες (θεωρίες πρόληψης εγκλήματος) για να λάβουμε ιδέες για τεχνικές αντιμετώπισης οι οποίες εστιάζουν και στις ψυχοκοινωνικές προεκτάσεις του ζητήματος. Πίνακας 66: Συμβολή κοινωνικών θεωριών στην ΑΠΣ και στην ΠΚΥ Θεωρία Έννοια / Τεχνική Σχέση με ΑΠΣ και ΠΚΥ ΓΑΘ ΠΕΠ ΠΕΠ ΓΑΘ ΘΚΕ ΘΚΕ ΘΚΔ ΘΚΕ ΘΠΣ Αποτροπή, πρόληψη & ανίχνευση Αύξηση προσπάθειας Αύξηση κινδύνου Βεβαιότητα κύρωσης Διαφορική συσχέτιση Διαφορική τιμωρία Πεποίθηση (Belief) Νοοτροπία (Attitude) Ορισμοί συμπεριφοράς (Definitions of Behaviour) Νέος κύκλος ενεργειών ασφάλειας, σχεδιασμένος για την εκ των έσω απειλή Διεργασίες και μέτρα για την αποτροπή της εκ των έσω απειλής Διεργασίες/Μέτρα ελέγχου και παρακολούθησης Διαδικασία ελέγχου συμμόρφωσης Διαδικασία αξιολόγησης της αποτελεσματικότητας των μέτρων Διαχείριση περιστατικών / Επιβολή κυρώσεων Διεργασία αξιολόγησης της κουλτούρας ασφάλειας και εντοπισμού διαφοροποιήσεων σε επίπεδο ομάδας και ατόμου ΠΕΠ Αφαίρεση δικαιολογιών Διεργασία για ελαχιστοποίηση διαφοροποιήσεων στην κουλτούρα ασφάλειας ομάδος ή ατόμου Προγράμματα ενημερότητας και εκπαίδευσης ΘΚΔ ΘΠΣ Δέσμευση σε στόχους Υποκειμενικές νόρμες Διεργασία για τον εντοπισμό διαφοροποιήσεων από την επιθυμητή συμπεριφορά Παράρτημα Δ : Δημοσιεύσεις και αναφορές 182

198 ΘΚΔ ΘΚΕ ΘΚΕ ΠΕΠ Μίμηση, Αφοσίωση σε συναδέλφους (Peers) Διαφορική συσχέτιση Διαφορική τιμωρία Αφαίρεση προκλήσεων Συμμετοχή χρηστών στο σχεδιασμό της ασφάλειας Διαδικασίες/Μέτρα για την εξάλειψη της πίεσης από συναδέλφους (peer pressure) και για την αποφυγή μιμητικής συμπεριφοράς Διαδικασίες εντοπισμού ενδείξεων ή αιτιών ανεπιθύμητης συμπεριφοράς ΠΕΠ Μείωση ωφελειών Μηχανισμοί ανθεκτικότητας (resilience) και συνέχισης λειτουργίας Οι κοινωνικές θεωρίες συμβάλλουν στην ερμηνεία και την κατανόηση της συμπεριφοράς και μπορούν να συμβάλλουν κυρίως ως μηχανισμοί ελέγχου και παρακολούθησης (audit/screening processes) για το προσωπικό σε ένα σύστημα διαχείρισης της ασφάλειας (ISMS). Η ΓΑΘ εστιάζει στο πως αυτές οι διεργασίες μπορούν να οργανωθούν σε έναν κύκλο ενεργειών ασφάλειας, ενώ η θεωρία ΠΕΠ προσπαθεί να τροποποιήσει το περιβάλλον μιας υποδομής ή ενός οργανισμού με βάση τα αποτελέσματα του ελέγχου. Η πιθανή επίδραση των κοινωνικών θεωριών στην ΑΠΣ και στην ΠΚΥ, συνοψίζονται στον παραπάνω πίνακα. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 183

199 Life doesn't revolve around what you need to know, it revolves around what you need to understand. Ganesh Nana, New Zealand Economist. 7 Σύνοψη και Συμπεράσματα Στο κεφάλαιο αυτό ανακεφαλαιώνουμε τα περιεχόμενα της διατριβής, και συνοψίζουμε τα βασικά συμπεράσματα της έρευνας. Επίσης, περιγράφονται οι βασικές υποθέσεις υπό τις οποίες πραγματοποιήθηκε η έρευνα, και τέλος, επισημαίνονται τα θέματα που μπορούν να αποτελέσουν αντικείμενο περαιτέρω διερεύνησης. 7.1 Ανακεφαλαίωση Η παρούσα διατριβή είχε ως αντικείμενο την οριοθέτηση και κατανόηση της περιοχής της προστασίας κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών, καθώς και τη δημιουργία νέων μεθόδων για την αντιμετώπιση ζητημάτων ασφαλείας, όπως η εκτίμηση επικινδυνότητας, η αξιολόγηση υποδομών ως προς την κρισιμότητά τους και η αντιμετώπιση της εκ των έσω απειλής σε κρίσιμες υποδομές. Οι επιμέρους στόχοι της διατριβής αυτής ήταν οι εξής: 1. Οριοθέτηση της ερευνητικής περιοχής της Προστασίας Κρίσιμων Υποδομών 2. Αναζήτηση μεθόδων εκτίμησης κρισιμότητας μίας υποδομής 3. Δημιουργία νέας μεθοδολογίας εκτίμηση επικινδυνότητας σε αλληλοεξαρτώμενες υποδομές 4. Εξέταση βέλτιστων πρακτικών και κοινωνικών θεωριών για την αντιμετώπιση της εκ των έσω απειλής σε κρίσιμες πληροφοριακές και επικοινωνιακές υποδομές Το κείμενο διαρθρώθηκε σε 8 κεφάλαια, τα περιεχόμενα των οποίων περιγράφονται στη συνέχεια. Στο κεφάλαιο 1, Προστασία Κρίσιμων Υποδομών: το σύγχρονο τοπίο, περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία επίλυσης του ερευνητικού προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να προσεγγίσει η διατριβή και η συμβολή της στη γνωστική περιοχή. Στο κεφάλαιο 2 Έννοιες, Προσεγγίσεις & Ανοικτά Ζητήματα, ορίζονται οι κύριες έννοιες της Ασφάλειας Πληροφοριακών Συστημάτων (ΑΠΣ), και στη συνέχεια περιγράφεται η μεθοδολογία Εκτίμησης Επικινδυνότητας και οι τρέχουσες προσεγγίσεις σε σχέση με αυτή. Ακολουθεί η οριοθέτηση της περιοχής της Προστασίας Κρίσιμων (Πληροφοριακών και Επικοινωνιακών) Υποδομών και συσχετίζεται με την ΑΠΣ. Πιο συγκεκριμένα, ορίζονται οι έννοιες της υποδομής και της κρίσιμης υποδομής, καθώς και συγγενείς όροι, και, έπειτα περιγράφονται οι διάφοροι τομείς κρίσιμων υποδομών, οι διεθνείς προσεγγίσεις σε στρατηγικό επίπεδο και τα πρότυπα. Τέλος, διατυπώνεται το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 184

200 Στο κεφάλαιο 3, Γνωστικό Υπόβαθρο για την Προστασία Κρίσιμων Υποδομών, περιγράφεται ο τρόπος δημιουργίας ενός εξειδικευμένου Γνωστικού Υπόβαθρου για Ασφάλεια Πληροφοριακών Συστημάτων και Προστασία Κρίσιμων Υποδομών. Το γνωστικό αυτό υπόβαθρο καλύπτει την ανάγκη για οριοθέτηση της περιοχής αυτής. Το κεφάλαιο αυτό συμβάλει στην κατανόηση της ερευνητικής περιοχής της ΠΚΥ και αποτελεί τη βάση για την εξέταση των ερευνητικών ζητημάτων που σχετίζονται με την ΠΚΥ και αναλύονται στα κεφάλαια που ακολουθούν. Στο κεφάλαιο 4, Εκτίμηση Κρισιμότητας Υποδομών, εξετάζονται οι τρέχουσες προσεγγίσεις για τον προσδιορισμό της κρισιμότητας, ορίζεται σαφώς η έννοια της κρισιμότητας και συσχετίζεται με την έννοια της επικινδυνότητας. Στη συνέχεια της ενότητας, περιγράφεται μια γενική (generic) μέθοδος εκτίμησης της κρισιμότητας, η οποία περιλαμβάνει κριτήρια τα οποία εξετάζουν και την κοινωνική και τομεακή επίπτωση μιας υποδομής (social-centric and/or sector-centric impact), σε αντίθεση με τις συνήθεις μεθόδους οι οποίες μεταφέρουν τις μεθόδους εκτίμησης επικινδυνότητας απευθείας από το χώρο των ΠΣ και εστιάζουν στις οργανωσιακές επιπτώσεις για μια υποδομή. Η κρισιμότητα αποτυπώνεται με τη χρήση μαθηματικών εξισώσεων, λαμβάνοντας υπόψη τρία χαρακτηριστικά (εμβέλεια, ένταση και χρόνος), αλλά και ως συνάρτηση του χρόνου. Στο κεφάλαιο 5, Αλληλεξάρτηση Κρίσιμων Υποδομών, εστιάζουμε στην παράμετρο της αλληλεξάρτησης υποδομών και περιγράφουμε έναν τρόπο αποτύπωσης αυτής, ο οποίος δεν είναι μονοδιάστατος, αλλά αντίθετα εξετάζεται σε πολλαπλά επίπεδα ανάλυσης. Πιο συγκεκριμένα, συνθέτουμε μια μεθοδολογία η οποία εντοπίζει και καταγράφει τις αλληλεξαρτήσεις μεταξύ υποδομών, και κατ επέκταση μεταξύ των τομέων (sectors) στους οποίους ανήκουν. Στόχος είναι να υπολογιστεί πώς η επικινδυνότητα μεταφέρεται από τη μια υποδομή σε μια άλλη και να εντοπιστούν οι πιο κρίσιμες υποδομές μιας χώρας. Με τον ίδιο τρόπο μπορούν να εντοπιστούν και οι πιο κρίσιμοι τομείς μιας χώρας. Ο υπολογισμός της κρισιμότητας η οποία πηγάζει και λόγω των διασυνδέσεων μεταξύ υποδομών επιτρέπει μια πιο πλήρη αποτύπωση των σημείων ενδιαφέροντος στα οποία θα πρέπει να εστιάσει ο στρατηγικός σχεδιασμός μιας χώρας. Στο κεφάλαιο 6, Η εκ των έσω απειλή στις κρίσιμες υποδομές, εξετάζεται η εκ των έσω απειλή ως μια ειδική περίπτωση απειλής, η οποία μπορεί να επιφέρει σημαντικές επιπτώσεις τόσο σε μια πληροφοριακή και επικοινωνιακή υποδομή, σε εξαρτώμενες από αυτή υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. Πιο συγκεκριμένα, μελετώνται οι τρέχουσες πρακτικές αντιμετώπισης και, έπειτα, διερευνάται η συνδρομή κοινωνικών θεωριών στην αποτροπή και στην αντιμετώπιση του φαινομένου. Στο κεφάλαιο 7, Σύνοψη και Συμπεράσματα, γίνεται μια σύνοψη των επιμέρους ερευνητικών ερωτημάτων, παρατίθενται τα γενικά συμπεράσματα της διατριβής, η συμβολή της καθώς και οι παραδοχές της. Επίσης, σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα. Στο κεφάλαιο 8, Βιβλιογραφικές αναφορές, παρατίθενται η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η παρούσα διατριβή. Τέλος, τα Παραρτήματα Α και Β παρουσιάζουν αναλυτικές μορφές του γνωστικού υποβάθρου στα διάφορα στάδια ανάπτυξής του, το Παράρτημα Γ εμπεριέχει ένα συνοπτικό γλωσσάρι όρων για την καλύτερη κατανόηση του κειμένου και το Παράρτημα Δ παρουσιάζει όλες τις δημοσιεύσεις που εκπονήθηκαν κατά την εκπόνηση της διδακτορικής έρευνας, κατηγοριοποιημένες ανά θέμα έρευνας. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 185

201 7.2 Η ερευνητική προσέγγιση Η συνεισφορά της διατριβής εκφράζεται σε τέσσερα επίπεδα: Γνωστικό Υπόβαθρο για την ΠΚΥ Η διατριβή συνέβαλλε στον καθορισμό των περιεχομένων της επιστημονικής περιοχής της ΑΠΣ και της ΠΚΥ, καθώς και τη μεταξύ τους οριοθέτηση. Το προτεινόμενο ΓΥ είναι πιο λεπτομερές και αναλυτικό σε σχέση με αυτά που απαντώνται στη βιβλιογραφία, ενώ συνδέει και συσχετίζει και τις δύο επιμέρους γνωστικές περιοχές. Μπορεί να αξιοποιηθεί για την ανάπτυξη ενός προγράμματος σπουδών, είτε για ακαδημαϊκή εκπαίδευση, είτε για την εκπαίδευση επαγγελματιών (με στόχο την παροχή κατάρτισης ή την απόκτηση επαγγελματικής πιστοποίησης), καθώς και για την κατηγοριοποίηση των επιμέρους ειδικοτήτων για τους επαγγελματίες της ΑΠΣ και της ΠΚΥ. Το ΓΥ δεν είναι μια απλή καταγραφή θεματικών ενοτήτων, αλλά συνοδεύεται και από τις συσχετίσεις μεταξύ των επιμέρους θεμάτων. Οι συσχετίσεις αυτές προσδιορίζουν και την ενδεικτική ακολουθία μελέτης ή διδασκαλίας των δέκα ενοτήτων του γνωστικού υποβάθρου Πρόταση τρόπου υπολογισμού της κρισιμότητας μιας υποδομής Η διατριβή συνέβαλλε στον προσδιορισμό της έννοιας της κρισιμότητας υποδομών, έννοια η οποία συνδέεται στενά και με την παραδοσιακή έννοια της επικινδυνότητας στα ΠΣ. Επίσης, μελετήθηκαν οι διαφορετικές έννοιες που χρησιμοποιούνται για να χαρακτηρίσουν μια υποδομή ως κρίσιμη καθώς και για την ιεράρχηση των υποδομών. Παράλληλα, έγινε και συγκριτική μελέτη των τρεχουσών προσεγγίσεων και διαπιστώθηκαν τα σημεία διαφοροποίησης αυτών κατά τον υπολογισμό της κρισιμότητας. Στη συνέχεια, προτάθηκε μια νέα μέθοδος για τον υπολογισμό της κρισιμότητας μιας υποδομής με βάση τα πορίσματα της παραπάνω μελέτης. Ως κύριο χαρακτηριστικό της κρισιμότητας θεωρήθηκε, αρχικά, η επίπτωση και για το λόγο αυτό ορίσθηκε μια μαθηματική προσέγγιση υπολογισμού της επίπτωσης κατά την εκδήλωση απειλών ή περιστατικών. Η επίπτωση προσδιορίζεται ως συνάρτηση τριών παραμέτρων, της εμβέλειας, της έντασης αυτής, αλλά και του παράγοντα χρόνου. Οι τρεις παράμετροι αυτές προσδιορίζονται με βάση άλλα επιμέρους κριτήρια, τα οποία επιλέξαμε και προσδιορίσαμε τις κλίμακες εκτίμησής τους Μέθοδος εκτίμησης επικινδυνότητας για αλληλοεξαρτώμενες υποδομές Η προσέγγιση που προτάθηκε επιτρέπει την απεικόνιση των αλληλεξαρτήσεων αρχικά σε επίπεδο υποδομής και έπειτα σε επίπεδο τομέα, αλλά και σε επίπεδο κοινωνίας. Η μέθοδος που περιγράφηκε επιτρέπει τον εντοπισμό συσχετίσεων μεταξύ τομέων. Παράλληλα, επιτρέπει την κατανόηση των εξαρτήσεων αυτών, καθώς αντιστοιχούνται σε εξαρτήσεις μεταξύ υποδομών. Η διατριβή προσδιόρισε τις απαιτήσεις σε κάθε επίπεδο ανάλυσης (υποδομή, τομέας, κοινωνία) για να υπολογιστεί η επικινδυνότητα. Στη συνέχεια, προτάθηκε ένας τρόπος απεικόνισης των αλληλεξαρτήσεων με χρήση δένδρων. Με βάση αυτή τη μοντελοποίηση, δημιουργήθηκε μια μαθηματική μέθοδος εκτίμησης της επικινδυνότητας λόγω αλληλεξαρτήσεων μεταξύ υποδομών, αλλά και υπολογισμού της συνολικής κοινωνικής επικινδυνότητας η οποία προκύπτει λόγω των εξαρτήσεων αυτών. Η μέθοδος επιτρέπει την ιεράρχηση υποδομών και τομέων με Παράρτημα Δ : Δημοσιεύσεις και αναφορές 186

202 μαθηματικό τρόπο, αλλά και τον εντοπισμό των πιο κρίσιμων διασυνδέσεων μεταξύ τους Εξέταση τρόπων αντιμετώπισης της εκ των έσω απειλής σε κρίσιμες υποδομές Η εκ των έσω απειλή είναι μια ειδική περίπτωση απειλής η οποία μπορεί να επιφέρει σημαντικές επιπτώσεις τόσο στην ίδια την υποδομή, σε εξαρτώμενες από αυτές υποδομές, και κατ επέκταση στο κοινωνικό σύνολο. Δεδομένου ότι επιφέρει διαφοροποιήσεις τόσο κατά την εκτίμηση επικινδυνότητας, όσο και κατά την επιλογή μέτρων ασφαλείας, μελετήσαμε και αξιολογήσαμε τα υπάρχοντα πρότυπα και τις πρακτικές για την αντιμετώπιση της εκ των έσω απειλής. Έπειτα, εξετάσαμε κοινωνικές θεωρίες και αν μπορούν να συμβάλλουν στην αντιμετώπιση της εκ των έσω απειλής. Από αυτές, επιλέξαμε τη θεωρία της κατά περίστασης πρόληψης εγκλήματος και εφαρμόσαμε τις 25 τεχνικές της στα ΠΣ και τις κρίσιμες υποδομές. Πιο συγκεκριμένα, εντοπίσαμε μέτρα ασφάλειας τα οποία εξυπηρετούν κάθε ένα από τους στόχους της θεωρίας για αυτό το περιβάλλον (context). Τέλος, προτείναμε τρόπους αξιοποίησης των εννοιών και των τεχνικών των κοινωνικών θεωριών για την αντιμετώπιση της εκ των έσω απειλής Ερευνητική συνεισφορά Ο παρακάτω πίνακας συνοψίζει τη συμβολή στο γνωστικό αντικείμενο ανά κεφάλαιο. Συμβολή στο γνωστικό αντικείμενο Γνωστικό Υπόβαθρο για την Προστασία Κρίσιμων Υποδομών Κεφάλαιο/Ενότητα Δημιουργία γνωστικού υποβάθρου 3.4 Προσδιορισμός εξαρτήσεων γνωστικών ενοτήτων Προσδιορισμός αλληλουχίας γνωστικών ενοτήτων Υπολογισμός της κρισιμότητας μιας υποδομής Ορισμός της έννοιας της κρισιμότητας 4.2 Συγκριτική μελέτη των προσεγγίσεων προσδιορισμού της κρισιμότητας υποδομών Συγκέντρωση κριτηρίων για τον προσδιορισμό της επίπτωσης 4.4 Πρόταση νέου τρόπου υπολογισμού της συνολικής κρισιμότητας , Παρουσίαση παραδείγματος εφαρμογής Εκτίμηση επικινδυνότητας σε αλληλοεξαρτώμενες υποδομές Εντοπισμός αλληλεξαρτήσεων σε τρία επίπεδα 5.3 Εκτίμηση επικινδυνότητας σε κρίσιμες υποδομές 5.4 Τρόπος απεικόνισης αλληλεξαρτήσεων με χρήση δένδρων 5.4.1, Υπολογισμός επικινδυνότητας λόγω εξαρτήσεων μεταξύ υποδομών Υπολογισμός επικινδυνότητας λόγω εξαρτήσεων μεταξύ τομέων Μελέτη περίπτωσης 5.5 Παράρτημα Δ : Δημοσιεύσεις και αναφορές 187

203 Η εκ των έσω απειλή στις κρίσιμες υποδομές Μελέτη υπαρχόντων προτύπων και πρακτικών για την αντιμετώπιση της εκ των έσω απειλής Εξέταση κοινωνικών θεωριών ως προς την αντιμετώπιση της εκ των έσω απειλής Εντοπισμός μέτρων ασφαλείας που αντιστοιχούν σε κάθε τεχνική της θεωρίας της κατά περίστασης πρόληψης εγκλήματος Πρόταση τρόπων αξιοποίησης των εννοιών και των τεχνικών των κοινωνικών θεωριών για την αντιμετώπιση της εκ των έσω απειλής Παραδοχές της έρευνας Γενικά, η παρούσα διατριβή επικεντρώνεται στην προστασία πληροφοριακών και επικοινωνιακές υποδομές (βλ. ορισμό στην Ενότητα 2.2.1), γεγονός που σημαίνει ότι εστιάζει σε υποδομές οι οποίες στοχεύουν στην παροχή πληροφοριών, υπηρεσιών επικοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών. Θα πρέπει να σημειώσουμε ότι η πλειοψηφία των υποδομών έχει και συνιστώσες ΤΠΕ. Στη συνέχεια θα απαριθμήσουμε τις παραδοχές που υιοθετήθηκαν στα επιμέρους στάδια της διατριβής. Δημιουργία του Γνωστικού Υποβάθρου 1. Οι γνωστικές περιοχές της ΑΠΣ και της ΠΚΥ είναι διεπιστημονικά πεδία. Συγκεντρώνουν και στοιχεία από άλλες επιστήμες πέραν της Επιστήμης Υπολογιστών, όπως η Νομική, η Ψυχολογία, η Διοίκηση, η Κοινωνιολογία και οι Πολιτικές Επιστήμες. 2. Η επιστημονική περιοχή της ΠΚΥ είναι στενά συνδεδεμένη με την ΑΠΣ. Η ΠΚΥ είναι πιο ευρύ πεδίο, αλλά βασίζεται στην ΑΠΣ, ειδικά όταν αναφερόμαστε σε πληροφοριακές και επικοινωνιακές υποδομές. 3. Η διδασκαλία ενός μαθήματος ΠΚΥ σε προπτυχιακό επίπεδο μπορεί να αποδειχθεί πολύ πρώιμο αν δεν υπάρχει προϋπάρχουσα γνώση στην ΑΠΣ. Εκτίμηση Κρισιμότητα μιας Υποδομής 4. Στις ΚΥ απαντώνται περιστατικά τα οποία μπορεί να χαρακτηρίζονται από πολύ χαμηλή πιθανότητα αποτυχίας, με ταυτόχρονη, όμως, υψηλή επίπτωση κατά την εκδήλωσή τους. 5. Η αρχική μέθοδος εκτίμησης κρισιμότητας δεν υπολογίζει την πιθανότητα εμφάνισης ενός περιστατικού-απειλής σε κάποια συνιστώσα, ούτε και αν υπάρχουν ευπάθειες οι οποίες διευκολύνουν την εκδήλωσή του ή μεγιστοποιούν την πιθανή επίπτωση 36. Αυτό συμβαίνει λόγω της έλλειψης επαρκών στατιστικών ή ιστορικών 36 Η παραδοχή αυτή αφορά το Κεφάλαιο 4. Η επίδραση της πιθανότητας εμφάνισης μίας απειλής σε μια υποδομή ή της ύπαρξης ευπαθειών λαμβάνεται υπόψη στο Κεφάλαιο 5. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 188

204 δεδομένων και λόγω της πολυπλοκότητας των αλληλεξαρτήσεων μεταξύ υποδομών. 6. Η διαμόρφωση της κλίμακας των κριτηρίων εκτίμησης της επίπτωσης βασίζεται στην εκάστοτε στρατηγική επιλογή κάθε υπεύθυνου λήψης απόφασης. Βάση της υπάρχουσας γνώσης, δεν υπάρχει κάποιο πρότυπο ή αναφορά η οποία να δίδει στατιστικά δεδομένα ή κάποια ευρέως αποδεκτή κλίμακα για την εκτίμηση της κρισιμότητας. 7. Ο υπεύθυνος για τη λήψη απόφασης θέτει προτεραιότητες για να σταθμίσει τους παράγοντες της εμβέλειας, της έντασης και του χρόνου, και να επιλέξει πόσο σημαντικοί είναι κατά τον υπολογισμό της κρισιμότητας. Εκτίμηση Επικινδυνότητας Αλληλοεξαρτώμενων Υποδομών 8. Κάθε ΔΚΥ έχει ήδη εκπονήσει μια μελέτη εκτίμησης επικινδυνότητας και έχει σχεδιάσει και υιοθετήσει ένα πλάνο ασφάλειας, είτε εφαρμόζοντας κάποια αναγνωρισμένη μέθοδο εκτίμησης επικινδυνότητας, είτε υιοθετώντας κάποιο διεθνές πρότυπο. Η υπόθεση-παραδοχή αυτή συνεπάγεται ότι ο ΔΚΥ έχει καταγράψει όλα τα σημαντικά του αγαθά, τις ενδεχόμενες απειλές (εκ των έσω και εξωτερικές), τις πιθανές επιπτώσεις και έχει υπολογίσει την επικινδυνότητα. 9. Ο ΔΚΥ έχει εκπονήσει μελέτες ανάλυσης τρωτοτήτων (vulnerability analysis) για τις τεχνολογικές του συνιστώσες και είναι ενήμερος ή έχει αντιμετωπίσει τα πιθανά πορίσματα που προκύπτουν από αυτές. Συνεπώς, η επικινδυνότητα (risk) υπολογίζεται με βάση το γινόμενο πιθανότητας εμφάνισης (threat) και επίπτωσης (impact). 10. Σε περιπτώσεις υψηλής πολυπλοκότητας λόγω μεγάλου αριθμού υποδομών, τομέων ή διασυνδέσεων, θα πρέπει ο υπεύθυνος λήψης απόφασης, ενδεχομένως, να ιεραρχήσει τις αλληλεξαρτήσεις που θα διατηρήσει ανά επίπεδο ανάλυσης. Κριτήρια για την επιλογή είναι η επικινδυνότητα της κάθε εξάρτησης ή μια πρωταρχική ιεράρχηση των υποδομών που αξιολογούνται ως πιο σημαντικές ή οι διαθέσιμοι πόροι. 11. Κατά την μαθηματική εκτίμηση της επικινδυνότητας, ο υπεύθυνος για τη λήψη απόφασης αποφασίζει για: (α) τον προσδιορισμό των υποδομών και τομέων που θα συμπεριληφθούν στην ανάλυσης, (β) τη στάθμιση των παραγόντων υπολογισμού της επικινδυνότητας, (γ) την επιλογή τελεστών για την εξαγωγή συνολικών τιμών (π.χ. μέγιστο, μέσο, διακύμανση, κλπ.) Εκ των έσω Απειλή σε Κρίσιμες Υποδομές 12. Η εκ των έσω απειλή είναι ειδική περίπτωση απειλής. 13. Είναι μια μορφή παρεκκλίνουσας συμπεριφοράς, συνεπώς μπορούμε να ανατρέξουμε σε κοινωνικές θεωρίες. 14. Ως εκ των έσω επιτιθέμενος αναφέρεται κάθε πρόσωπο το οποίο έχει λάβει με νόμιμο τρόπο το δικαίωμα (empowered) να προσπελάσει, εκπροσωπήσει ή αποφασίσει για ένα ή περισσότερα αγαθά μίας υποδομής / ενός οργανισμού. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 189

205 7.4 Ανοικτά θέματα προς διερεύνηση Εκτίμηση Επικινδυνότητας Στη συνέχεια, περιγράφονται τα θέματα που προσφέρονται για τη συνέχιση αυτής της ερευνητικής προσπάθειας. Είναι κατηγοριοποιημένα ανά επιμέρους ερευνητικό ζήτημα Γνωστικό Υπόβαθρο Κάθε γνωστικό υπόβαθρο χρήζει τακτικής επανεξέτασης και αναθεώρησης, καθώς τα πεδία που αναπαριστά εξελίσσονται. Πέραν αυτού, το προτεινόμενο υπόβαθρο δεν προσφέρει αναλυτικά syllabi μαθημάτων, διδακτικό υλικό και προτεινόμενες ώρες διδασκαλίας, όπως η προσέγγιση της ACM/IEEE Joint Task Force. Συνεπώς, ένα ενδιαφέρον μελλοντικό βήμα θα ήταν ο συνδυασμός των δύο προσπαθειών. Θα μπορούσε να αποτελέσει εργαλείο για το σχεδιασμό προγραμμάτων σπουδών και επιμέρους μαθημάτων για προπτυχιακό και μεταπτυχιακό επίπεδο. Επίσης, δύναται να αξιοποιηθεί κατάλληλα και για δημιουργία προγραμμάτων κατάρτισης ή για προγράμματα ενημερότητας. Παρά το γεγονός ότι έχουν διαφορετικές απαιτήσεις, το γνωστικό υπόβαθρο είναι αρκετά λεπτομερές, ώστε να προσφέρει τη δομή για τέτοια προγράμματα. Κατά τη σύγκριση με υπάρχοντα ΓΥ για λήψη πιστοποίησης, διαπιστώνουμε, ότι παρά του ακαδημαϊκού του χαρακτήρα, τα θέματα τα οποία καλύπτει είναι παρόμοια ή και πιο ευρεία. Ένα ακόμα βήμα θα μπορούσε να είναι η δημιουργία ενός εργαστηρίου για ΠΚΥ, το οποίο θα περιέχει όλα τα θέματα τα οποία δεν άπτονται της ΑΠΣ και μπορούν να μελετηθούν σε πρακτικό επίπεδο. Αυτό προϋποθέτει την επιλογή των θεμάτων, τον σχεδιασμό εργαστηριακών ασκήσεων, την τεκμηρίωση των λειτουργικών και τεχνικών απαιτήσεων του εργαστηρίου, αλλά και τον προσδιορισμό των απαιτούμενων ωρών διδασκαλίας και των προσόντων των διδασκόντων Εκτίμηση επικινδυνότητας Μελλοντικά βήματα για τη μέθοδο εκτίμησης επικινδυνότητας είναι η εφαρμογή παραλλαγών, με επιλογή διαφορετικών τελεστών ή στατιστικών μεγεθών. Υπάρχει, επίσης, και η δυνατότητα υιοθέτησης μιας πιο λεπτομερούς κατηγοριοποίησης, όσον αφορά στα περιστατικά-απειλές που μελετώνται.. Άλλη ιδέα είναι να τροποποιηθεί η μεθοδολογία με τρόπο ώστε να επιτρέπει τη μελέτη της επίπτωσης ενός γεγονότος σε μια ακολουθία από υποδομές, ακόμα και αν το γεγονός χαρακτηρίζεται αρχικά από μικρή επικινδυνότητα, κατά την πρωταρχική ανάλυση των άμεσων εξαρτήσεων (αλυσωτές αντιδράσεις). Αυτή η προσθήκη θα επιτρέψει μελλοντικά την αναγνώριση κρίσιμων μονοπατιών από υποδομές και τον εντοπισμό κρίσιμων περιστατικών με βάση την επίδρασή τους σε όλο το δίκτυο Εκ των έσω απειλή Μελλοντικό βήμα αποτελεί η εφαρμογή της θεωρίας ΠΕΠ σε πραγματικό περιβάλλον. Αυτό θα περιελάμβανε το σχεδιασμό μελετών περιπτώσεις, για τον έλεγχο της εφαρμοσιμότητας της θεωρίας σε περιβάλλον κρίσιμων υποδομών. Ένα τέτοιο εγχείρημα απαιτεί τη συνεργασία με κοινωνιολόγους. Άλλο βήμα είναι η αξιοποίηση των ψυχολογικών παραμέτρων που προτείνονται από τις κοινωνικές θεωρίες κατά τον σχεδιασμό μοντέλων πρόβλεψης της εκ των έσω απειλής. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 190

206 7.5 Επίλογος Η παρούσα διατριβή ασχολήθηκε με την ερευνητική περιοχή της Προστασίας Κρίσιμων Υποδομών. Κινήθηκε κατά βάση στον άξονα της Εκτίμησης Επικινδυνότητας όσον αφορά σε πληροφοριακές και επικοινωνιακές υποδομές. Η χρήση του γνωστικού υποβάθρου αποσκοπούσε, αρχικά, στην κατανόηση της περιοχής και στον εντοπισμό γόνιμων ερευνητικών θεμάτων, αλλά αποδείχθηκε και εργαλείο με άλλες χρήσεις (σχεδιασμός προγραμμάτων σπουδών, κατάταξη επαγγελματιών, σχεδιασμός προγραμμάτων ενημερότητας και κατάρτισης). Στη συνέχεια, η διατριβή εστίασε στη εξέταση μεθόδων για την ιεράρχηση των υποδομών (και τομέων), η οποία αποτελεί βασικό ζητούμενο κατά το σχεδιασμό εθνικών στρατηγικών για την ΠΚΥ. Η μελέτη αυτή οδήγησε στο σχεδιασμό μιας μαθηματικής μεθόδου εκτίμησης της επικινδυνότητας, η οποία επιτρέπει την ιεράρχηση υποδομών, αλλά και των αντίστοιχων τομέων. Ως φυσική συνέχεια, εξετάστηκε μια από τις πιο σημαντικές απειλές για τις κρίσιμες, η εκ των έσω απειλή. Η προσέγγιση διαφοροποιήθηκε από τις τρέχουσες, καθώς εξέτασε το θέμα υπό το πρίσμα κοινωνιολογικών θεωριών, σε αντιδιαστολή με την τεχνοκρατική θεώρηση του θέματος. Παρά τα χρήσιμα συμπεράσματα που εξάγονται από την παρούσα διατριβή και τη συνεισφορά της στα ερευνητικά αυτά αντικείμενα, είναι σαφές ότι απαιτείται περαιτέρω ερευνητική δραστηριότητα προκειμένου η προτεινόμενη προσέγγιση (ή μέρη αυτής) να εφαρμοσθούν σε μεγάλη κλίμακα και σε πραγματικό περιβάλλον. Παρόλα αυτά, η παρούσα διατριβή συνεισφέρει προς αυτή την κατεύθυνση, καθώς θέτει το πλαίσιο για μια πιο ολοκληρωμένη προσέγγιση στην εκτίμηση επικινδυνότητας για κρίσιμες υποδομές από τις ήδη υπάρχουσες. Παράρτημα Δ : Δημοσιεύσεις και αναφορές 191

207 8 Βιβλιογραφικές αναφορές Εκτίμηση Επικινδυνότητας Στην ενότητα αυτή παρουσιάζονται σε αλφαβητική σειρά όλες οι αναφορές που χρησιμοποιήθηκαν στην παρούσα διατριβή. 8.1 Στην αγγλική Γλώσσα [Abele-Wigert and Dunn, 2006] Abele-Wigert I., Dunn M. (Eds.), International CICIP Handbook 2006, Vol. I: An Inventory of 20 National and 6 International Critical Infrastructure Protection Policies, Center for Security Studies, ETH Zurich, [Adar and Wuchner, 2005] Adar E., Wuchner A., Risk management for critical infrastructure protection challenges, Best practices and tools. In: Proc. of the 1st IEEE International Workshop on Critical Infrastructure Protection (IWCIP '05), pp , [Anderson, 1980] Anderson J. P., Computer Security Threat Monitoring and Surveillance. Technical Report, James P Anderson Co., Fort Washington, [Aung and Watanabe, 2009] Aung Z. Z., Watanabe K., A framework for modeling Inerdependencies in Japan s Critical Infrastructures. In: Palmer C., Shenoi S. (Eds.), Proc. of the 3rd IFIP International Conference on Critical Infrastructure Protection (CIP- 2009), Springer, USA, pp , March [Bialas, 2006] Bialas A., Information security systems vs. critical information infrastructure protection systems - Similarities and differences. In: Proc. of the International Conference on Dependability of Computer Systems, pp , [Bishop et al., 2009] Bishop M., Engle S., Peisert S., Whalen T., Gates C., Case studies of an insider framework. In: Proc. of the 42nd Hawaii International Conference on System Sciences (HICSS), [Bowen et al., 2009] Bowen B., Salem M., Hershkop S., Keromytis A., Stolfo S., Designing Host and Network Sensors to Mitigate the Insider Threat. IEEE Security & Privacy, 7 (6): 22-29, [Brunner and Suter, 2008] Brunner E. M., Suter M., International CIIP Handbook 2008/2009, An Inventory of 25 National and 7 International Critical Infrastructure Protection Policies, A. Wenger A., V. Mauer and M. Dunn Cavelty (Eds.), Center for Security Studies, ETH Zurich, [BSI, 2004] Federal Office for Information Security (BSI) Germany, Critical Infrastructure Protection: Survey of World-Wide Activities». Federal Office for Information Security (BSI) Germany, Task Force for Critical Infrastructure Protection (PG KRITIS), April Παράρτημα Δ : Δημοσιεύσεις και αναφορές 192

208 [Capelli et al., 2008] Cappelli D. M., Moore A. P., Trzeciak R. F., Shimeall T. J., Common Sense Guide to Prevention and Detection of Insider Threat (3rd ed.). CERT Program, Software Engineering Institute, and CyLab of Carnegie Mellon, [Capelli et al., 2009] Cappelli D., Moore A., Trzeciak R., Shimeall, T.J., Common Sense Guide to Preventionand Detection of Insider Threats, Ver. 3.1, Carnegie Mellon University, [Caputo et al., 2009] Caputo D., Marcus A. Maloof M., Stephens G., Detecting Insider Theft of Trade Secrets. IEEE Security & Privacy, 7 (6): 14-21, [Casalicchio and Galli, 2008] Casalicchio E., Galli E., Metrics for quantifying interdependencies. In: Goetz E., Shenoi S., (Eds.), Proc. of Critical Infrastructure Protection, IFIP Series Vol.253,, pp , [CI 2 RCO, 2008] Critical Information Infrastructure Research Coordination - CI 2 RCO, ICT R&D for CIIP: Towards a European Research Agenda, Deliverable D12, The CI 2 RCO Consortium, IST, [Clarke, 1980] Clarke R., Situational crime prevention: theory and practice. British Journal of Criminology, 20: , [Clarke, 1997] Clarke R., Situational crime prevention: successful case studies. Harrow and Heston, NY, [Clarke, 2005] Clarke R. V., Seven misconceptions of situational crime prevention. In: Handbook of Crime Prevention and Community Safety, N. Tilley (Ed.), Willan Publishing, [CMU, 2001] Carnegie Mellon University, OCTAVE method implementation guide. Version 2.0, June [CPNI, 2008] Centre for the Protection of National Infrastructure, Ongoing personnel security - A good practise guide, United Kingdom, [CPNI, 2009] Centre for the Protection of National Infrastructure, Pre-Employment Screening - A good practise guide. 3rd Edition, United Kingdom, [Coles-Kemp, 2008] Coles-Kemp L., Anatomy of an Information Security Management System. Ph.D. thesis, King s College, University of London, [Coles-Kemp and Theoharidou, 2010] Coles-Kemp L., Theoharidou M., Insider Threat and Information Security Management. In: Insider Threats in Cybersecurity - and beyond, Springer, 2010 (to appear). [Crowley, 2003] Crowley E., Information system security curricula development. In: J. Brewer, J. Mendonca (Eds.), Proc. of the 4 th Conference on IT Curriculum, ACM Press, USA, pp , [Crowther, 2008] Crowther K. G., Decentralized risk management for strategic preparedness of critical infrastructure through decomposition of the inoperability Παράρτημα Δ : Δημοσιεύσεις και αναφορές 193

209 input output model. International Journal of Critical Infrastructure Protection, 1: 53-67, [CSI, 2009] CSI, 14 th Annual CSI Computer Crime and Security Survey, Url: (last access: ) [Dark and Davis, 2002] Dark M., Davis J., Report on information assurance curriculum development. In: Curriculum Development Workshop, The Centre for Education and Research in Information Assurance and Security, CERIAS, USA, [De Porcellinis et al., 2009] De Porcellinis S., Oliva G., Panzieri S., Setola R., A Holistic- Reductionistic Approach for Modeling Interdependencies. In: Palmer C., Shenoi S. (Eds.), Proc. of the 3rd IFIP International Conference on Critical Infrastructure Protection (CIP-2009), Springer, USA, March [de Ru and Eloff, 1996] de Ru W. G., Eloff J. H. P., Risk analysis modelling with the use of fuzzy logic. Computers & Security, 15 (3): , 1996, Elsevier. [Dhillon et al., 2004] Dhillon G., Silva L., Backhouse J., Computer Crime at CEFORMA: A Case Study. International Journal of Information Management, 24: , [DHS, 2006] US Dept. of Homeland Security, National Infrastructure Protection Plan. USA, [DHS, 2009] US Dept. of Homeland Security, National Infrastructure Protection Plan. USA, [Dudenhoefer et al., 2006] Dudenhoeffer D. D., Permann M. R., Manic M., CIMS : A Framework for Infrastructure Interdependency Modeling and Analysis. In: Proc. of the 38th conference on Winter simulation, pp , Winter Simulation Conference, Monterey, California, [Duran et al., 2009] Duran F., Conrad S., Conrad G., Duggan D., Held E., Building A System for Insider Security. IEEE Security & Privacy, 7 (6): 30-38, [EMA, 2003] Emergency Management Australia, Critical Infrastructure Emergency Risk Management and Assurance Handbook, January [EC, 2004] Commission of the European Communities, Critical Infrastructure Protection in the Fight against Terrorism. COM2004)702 final, Brussels, October 2004, [EC, 2005] Commission of the European Communities, Green Paper on a European Programme for Critical Infrastructure Protection. COM2005)576 final, Brussels, November [EC, 2006a] Commission of the European Communities, Proposal for a Directive of the Council on the identification and designation of European critical infrastructure and the assessment of the need to improve their protection. COM2006)787 final, Brussels, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 194

210 [EC, 2006b] Commission of the European Communities, A European programme for critical infrastructure protection. COM2006)786 final, Brussels, [European Council, 2008] European Council, Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection. Official Journal L 345, 23/12/2008, P , [Gilmore, 2000] Gilmore D. (Ed.), Proc. of the 2000 Academic/Practitioner Symposium. American Society for Industrial Security, University of Oklahoma, USA, [Gritzalis et al., 2005] Gritzalis D., M. Theocharidou, E. Kalimeri, Towards an interdisciplinary information security education model. In: N. Miloslavskaya, et al. (Eds.), Proc. of the 4th World Conference on Information Security Education, pp , WISE 4, Moscow, 2005 [Haimes et al., 2007] Haimes Y., Santos J., Crowther K., Henry M., Lian C, Yan Z., Risk Analysis in Interdependent Infrastructures. Critical Infrastructure Protection, 253: , Springer Boston, [Hansman and Hunt, 2005] Hansman, S., Hunt, R., A taxonomy of network and computer attacks. Computers & Security, 24(1): 31-43, [Hirschi, 1969] Hirschi T., Causes of delinquency. Berkeley, CA: University of California Press, [Hjelmes and Wolthusen, 2006] E. Hjelmes, S. Wolthusen, Full spectrum information security education: integrating B.Sc., M.Sc., and Ph.D. programs. In: Proc. of the 3rd Annual Conference on Information Security Curriculum Development, ACM Press, pp. 5-12, [Humphreys, 2008] Humphreys E., Information security management standards: Compliance, governance and risk management. Information Security Tech. Report, 13(4): , [Insight, 2005] Insight Consulting, CRAMM User Guide. Issue 5.1, July [ISO/IEC, 2005a] International Standard ISO/IEC 27001, Information technology - Security techniques - Information security management systems Requirements. Ref. No. ISO/IEC 27001:2008, 1st edition, [ISO/IEC, 2005b] International Standard ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security management. Ref. No. ISO/IEC 27001:2008, 1st edition, [ISO/IEC, 2008] International Standard ISO/IEC 27005, Information technology Security techniques - Information security risk management. Ref. No. ISO/IEC 27005:2008, 1st edition, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 195

211 [Ivanitskaya et al., 2002] Ivanitskaya L., Clark D., Montgomery G., Primeau R., Interdisciplinary Learning: Process and Outcomes. Innovative Higher Education, 27(2): , [Järvinen, 2000] Järvinen P., Research Questions Guiding Selection of an Appropriate Research Method. In: Hansen, Bichler and Mahrer (eds.), Proc. of European Conference on Information Systems 2000, 3-5 July. Vienna: Vienna University of Economics and Business Administration, pp , [Johnson and Christensen, 2008] Johnson R. B., Christensen L. B., Educational Research: Quantitative, Qualitative, and Mixed Approaches». Sage Publications Ltd, United Kingdom, February [Kopylec et al., 2008] Kopylec J., D'Amico A., Goodall J., Visualizing cascading failures in critical cyber infrastructures. In: E. Goetz, S. Shenoi (Eds.) Proc. of Critical Infrastructure Protection II, IFIP Series Vol. 280, pp , [Krause and Tipton, 2006] M. Krause, F. Tipton, Handbook of Information Security Management». CRC Press, [Kristensen et al., 2006] Kristensen V., Aven T., Ford D., A new approach on Renn & Klinke s approach to risk evaluation and management. Reliability Engineering & System Safety, 91: , [Kröger, 2008] Kröger W., Critical infrastructures at risk: A need for a new conceptual approach and extended analytical tools. Reliability Engineering & System Safety, 93 (12): , [Lee and Lee, 2002] Lee J., Lee Y., A holistic model of computer abuse within organisations. Information Management and Computer Security, 10(2): 57-63, [Lee et al., 2003] Lee S. M., Lee S., Sangjin Y., An integrative model of computer abuse based on social control and general deterrence theories. Information and Management, 41(6): , [Leontief, 1936] Leontief W., Quantitative input and output relations in the economic system of the United States. Review of Economic and Statistics, 18: , [Likert, 1932] Likert R., A technique for the measurement of attitudes. Archives of Psychology, 140: 1-55, [Liu et al., 2005] Liu A., Martin C., Hetherington T., Matzner S., A comparison of system call feature for insider threat detection. In: Proc. of the Sixth Annual IEEE Systems, Man and Cybernetics Information Assurance Workshop, , [Luiijf et al., 2003] Luiijf E., Burger H., Klaver M., Critical Infrastructure Protection in The Netherlands: A Quick-scan. In: Gattiker, Urs E., Pia Pedersen, and Karsten Petersen (Eds.) EICAR Conference Best Paper Proc., Url: (last access: ) Παράρτημα Δ : Δημοσιεύσεις και αναφορές 196

212 [Luiijf, 2006] Luiijf E., Threat taxonomy for critical infrastructures and critical infrastructure: Risk aspects at EU-level. Vital Infrastructures Threats and Assurance (VITA) Project (PASR ), Deliverable D1.2, July [Macualay, 2008] Macaulay T., Critical Infrastructure: Understanding its Component Parts, Vulnerabilities, Operating Risks and Interdependencies, CRC Press, Boca Raton, Florida, [Magklaras and Furnell, 2002] Magklaras G. B., Furnell S. M., Insider Threat Prediction Tool: Evaluating the probability of IT misuse. Computers & Security, 21(1): 62-73, [Magklaras and Furnell, 2004] Magklaras G. B., Furnell S.M., A preliminary model of end user sophistication for insider threat prediction in IT systems. Computers & Security, 24: , [MIKR, 2008] Ministry of the Interior and Kingdom Relations, National risk assessment method guide National Security Programme, Netherlands, June Url: national-risk/ (last access: ) [Morneau, 2004] Morneau K., Designing an information security program as a core competency of network technologists. In: R. Helps, E. Lawson (Eds.), Proc. of the 5th Conference on IT Education, ACM Press, pp , USA, [Moteff, 2005] Moteff J., Risk management and critical infrastructure protection: Assessing, integrating, and managing threats, vulnerabilities and consequences». CRS Report for Congress RL32561, February [NERC, 2009] North American Electric Reliability Corporation, Standard CIP-002-3, Cyber Security-Critical Asset Identification. December 16, [Nieuwenhuijs et al., 2008] Nieuwenhuijs A., Luiijf E., Klaver E., Modeling dependencies in critical infrastructures. In: Proc. of Critical Infrastructure Protection, IFIP Series Vol.253, E. Goetz, and S. Shenoi, (Eds.), pp , [NIST, 2002] National Institute for Standards and Technology, Risk management guide for information technology systems. NIST Special Publication , USA, July [NIST, 2008] National Institute for Standards and Technology, Managing Risk from Information Systems - An Organizational Perspective. NIST Special Publication , 2 nd Public Draft, USA, April [NIST, 2010] National Institute for Standards and Technology, Guide for Applying the Risk Management Framework to Federal Information Systems - A Security Life Cycle Approach. NIST Special Publication , Rev. 1, USA, February [Noonan and Archuleta, 2008] Noonan T., Archuleta D., The National Infrastructure Advisory Council s Final Report and Recommendations on The Insider Threat to Critical Infrastructures. Dept. of Homeland Security, April 8, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 197

213 Url: s_study.pdf (last access: ) [PCCIP, 1997] President s Commission on Critical Infrastructure Protection (PCCIP), Critical Foundations: Protecting America s Infrastructures. Washington, October 1997: Url: file=pccip_report.pdf (last access: ) [Pederson et al., 2006] Pederson P., Dudenhoeffer D., Hartley S., Permann M., Critical infrastructure interdependency modeling: A survey of U.S. and international research. Idaho National Laboratory, August [PGG, 2010] Project Grey Goose, Project Grey Goose Report on Critical Infrastructure: Attacks, Actors, and Emerging Threats. Greylogic, January 21, Url: (last access: ) [Predd et al, 2008] Predd J., Pfleeger S.L., Hunker J., Bulford C., Insiders behaving badly. IEEE Security & Privacy, 6: 66 70, [PSC, 2004] Public Safety Canada, Selection criteria to identify and rank critical infrastructure assets, January Url: (last access: ) [QAI Global Institute, 2006] QAI Global Institute, 2006 Common Body of Knowledge for the Certified Software Tester and 2006 Common Body of Knowledge for the Certified Software Quality Analyst. Software Certifications, [Probst et al., 2010] Probst C.W., Hunker J., Gollmann D., Bishop M., Aspects of Insider Threats. In: Insider Threats in Cybersecurity - and beyond, Springer, 2010 (to appear). [Redwine, 2007] Redwine S. (Ed.), Secure Software Assurance: A Curriculum Guide to the Common Body of Knowledge to Produce, Acquire, and Sustain Secure Software. Draft version 1.2, US Dept. of Homeland Security, USA, [Rinaldi et al., 2001] Rinaldi S. M., Peerenboom J. P., Kelly T. K., Identifying, understanding, and analyzing critical infrastructure interdependencies. IEEE Control Systems Magazine, 21(6): 11-25, [Rinaldi, 2004] Rinaldi S. M., Modeling and Simulating Critical Infrastructures and their Interdependencies. In: Proc. of 37th Hawaii International Conference on System Sciences, Vol. 2, IEEE Computer Society, Washington DC, USA, [Santos and Haimes, 2004] Santos J., Haimes Y., Modeling the demand reduction inputoutput inoperability due to terrorism of interconnected infrastructures». Risk Analysis, 24 (6):b , [Schultz, 2002] Schultz E. E., A framework for understanding and predicting insider attacks. Computers and Security, 21(6), Παράρτημα Δ : Δημοσιεύσεις και αναφορές 198

214 [Setola et al., 2008] Setola R., Bologna S., Casalicchio E., Masucci V., An Integrated approach for simulating interdependencies. In: Proc. of Critical Infrastructure Protection, IFIP Series Vol.253, E. Goetz, and S. Shenoi, (Eds.), pp , [Setola et al, 2009] Setola R., De Porcellinis S., Sforna M., Critical infrastructure dependency assessment using the input-output inoperability model. International Journal of Critical Infrastructure Protection, 2 (4): , December [Shaw et al., 1998] Shaw E., Ruby K. G., Post J. M., The Insider Threat to Information Systems, The Psychology of the Dangerous Insider. Security Awareness Bulletin, 2 (98), [Smith et al., 2005] Smith E., Kritzinger E., Oostuizen H., von Solms S., Information Security education: Bridging the gap between academic institutions and industry. In: N. Miloslavskaya, et al. (Eds.), Proc. of the 4th World Conference on InfoSec Education, WISE 4, Moscow, pp , [Spitzner, 2003] Spitzner L., Honeypots: Catching the Insider Threat. In: Proc. of the 19th Annual Computer Security Applications Conference, Las Vegas, Nevada, [Steward, 2009] Stewart M. G., Risk-informed decision support for assessing the costs and benefits of counter-terrorism protective measures for infrastructure». International Journal of Critical Infrastructure Protection. In: Press, Corrected Proof, Available online 18 September [Straub and Welke, 1998] Straub D. W., Welke R. J., Coping with systems risk: security planning models for management decision making. MIS Quarterly, 22(4): , [Svedsen and Wolthunsen, 2007] Svedsen N. K., Wolthunsen S., Connectivity Models of Interdependency in Mixed-Type Critical Infrastructure Networks. Information Security Technical Report, 1: 44-55, [Swart and Erbacher, 2007] Swart R., Erbacher R., Educating students to create trustworthy systems. IEEE Security & Privacy, 5(3): 58-61, [Theoharidou et al., 2005] Theoharidou M., Kokolakis S., Karyda M., Kiountouzis E., The insider threat to information systems and the effectiveness of ISO Computers & Security, 24(6): , Elsevier [Theoharidou and Gritzalis, 2007] Theoharidou M., Gritzalis D., Common Body of Knowledge for information security. IEEE Security & Privacy, 5(2): 64-67, [Theoharidou et al., 2007] Theoharidou M., Stougiannou E., Gritzalis D., A CBK for information security and critical infrastructure protection. In: R. Dodge, et al. (Eds.), Proc. of the 5th IFIP Conference on Information Security Education, ISE 5, Springer, USA, pp , [Theoharidou et al., 2008] Theoharidou M., Xidara D., Gritzalis D., "A Common Body of Knowledge for Information Security and Critical Information and Communication Παράρτημα Δ : Δημοσιεύσεις και αναφορές 199

215 Infrastructure Protection". International Journal of Critical Infrastructure Protection, 1(1): 81-96, [Theoharidou et al., 2009] Theoharidou M., Kotzanikolaou P., Gritzalis D., "Towards a Criticality Analysis Methodology: Redefining Risk Analysis for Critical Infrastructure Protection". In: C. Palmer, S. Shenoi (Eds.) Proc. of the 3rd IFIP International Conference on Critical Infrastructure Protection (CIP-2009),, Springer, USA, March [Theoharidou and Gritzalis, 2009] Theoharidou M., Gritzalis D., Situational Crime Prevention and Insider Threat: Countermeasures and Ethical Considerations. In: H. Tavani, et al. (Eds.), Proc. of the 8 th International Computer Ethics Conference (CEPE- 2009), Greece, June [Theoharidou et al., 2010] Theoharidou M., Kotzanikolaou P., Gritzalis D., A Multi-layer Criticality Assessment Methodology based on Interdependencies». Computers & Security, Elsevier 2010 (to appear). [Thompson, 2004] Thompson P., Weak Models for Insider Threat Detection. In: Proc. of the Defense and Security Symposium, Orlando, Florida, [Tsohou et al., 2006] Tsohou Α., Κaryda Μ., Kokolakis S., Kiountouzis Ε., Formulating Information Systems Risk Management Strategies through Cultural Theory. Information Management and Computer Security, 14(3): , Emerald [Tsochou et al., 2007] Tsochou A., Theoharidou M., Kokolakis S., Gritzalis D., "Addressing cultural dissimilarity in the information security management outsourcing relationship". In: Proc. of the 4th International Conference on Trust, Privacy and Security in the Digital Business (TRUSTBUS '07), pp , Springer, Germany, September [Tuglular, 2000] Tuglular T.., A Preliminary Structural Approach to Insider Computer Misuse Incidents. In: EICAR 2000 Best Paper Proc., , [Velpula and Gudipudi, 2009] Velpula V. B., Gudipudi D., Behavior-Anomaly-Based System for Detecting Insider Attacks and Data Mining. International Journal of Recent Trends in Engineering, 1(2): , [von Solms, 2001] von Solms Β., Information Security A Multidimensional Discipline. Computer & Security, 20: , [Walker, 2008] Walke T., Practical management of malicious insider threat - An enterprise CSIRT perspective. Information Security Technical Report, 13 (4): , [WEF, 2010] World Economic Forum, Global Risks 2010: A Global Risk Network Report, January Url: (last access: ) [Willison, 2001] Willison R., Understanding and addressing criminal opportunity: the application of situational crime prevention to IS security. Working Paper Series 100. Dept. of Information Systems, London School of Economics and Political Science, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 200

216 [Willison, 2004] Willison R., Understanding the offender/environment dynamic for computer crimes: Assessing the feasibility of applying criminological theory to the IS security context. In: Proc. of the 37th Hawaii International Conference on System Sciences, [Willison, 2006a] Willison R., Understanding the perpetration of employee computer crime in the organizational context. Working paper no. 4, Copenhagen Business School, [Willison, 2006b] Willison R., Understanding the perpetration of employee computer crime in the organizational context. Information & Organization, 16 (4): , [Wilson, 1998] Wilson M. (Ed.), Information Technology Security Training Requirements: A Role and Performance Based Model. NIST Special Publication , US Dept. of Commerce, Technology Administration National Institute of Standards and Technology, [Wilson et al., 2007] Wilson C., Katos V., Strevens C., An interdisciplinary approach to forensic it and forensic psychology education. In: R. Dodge, et al. (Eds.), Proc. of the 5th IFIP Conference on Information Security Education, WISE 5, Springer, USA, pp , [Wood, 2000] Wood B., An Insider Threat Model for Adversary Simulation. In: SRI International, Research on Mitigating the Insider Threat to Information Systems #2: Proc. of a Workshop Held by RAND, [Wood, 2004] Cresson Wood C., Why information security is now multi disciplinary, multi departmental, and multi organizational in nature. Computer Fraud & Security, 16-17, [Yasinsac et al., 2003] Yasinsac A., Erbacher R., Marks D., Pollitt M., Sommer P., Computer forensics education. IEEE Security & Privacy, 1 (4):15-23, [Zuccato, 2005] Zuccato A., Holistic Information Security Management Framework for electronic commerce. PhD thesis, Karlstad University, Παράρτημα Δ : Δημοσιεύσεις και αναφορές 201

217 8.2 Στην ελληνική γλώσσα Γκρίτζαλης Δ. (1994). Ασφάλεια Πληροφοριακών Συστημάτων σε περιβάλλοντα υψηλής ευπάθειας, Διδακτορική διατριβή, Πανεπιστήμιο Αιγαίου, Μάιος Γκρίτζαλης Δ. (1996). Ασφάλεια στις Τεχνολογίες Πληροφοριών & Επικοινωνιών: Εννοιολογική θεμελίωση, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών. Γκρίτζαλης Δ. (2001). Ασφάλεια στις τεχνολογίες Πληροφοριών και Επικοινωνιών, Εργαστήριο Π.Σ. και Β.Δ., Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα. Γκρίτζαλης Δ. (2005). Ανάλυση και Διαχείριση Επικινδυνότητας Πληροφοριακών Συστημάτων, πανεπιστημιακές παραδόσεις, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα. Γκρίτζαλης Δ., Μήτρου Ν., ΣκουλαρίδουΒ. (2008). Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης: Στρατηγικός Σχεδιασμός, e- Government Forum, Ομάδα Εργασίαςς CICIP, Κοινωνία της Πληροφορίας Α.Ε., Σεπτέμβριος Δρίτσας Σ. (2009). Ασφάλεια στη Διαδικτυακή Τηλεφωνία: Διαχείριση Περιστατικών SPIT (SPAM over Internet Telephony), Διδακτορική Διατριβή, Οικονομικό Πανεπιστήμιο Αθηνών, Νοέμβριος Καρύδα Μ. (2005). Διοίκηση ασφάλειας πληροφοριακών συστημάτων: Οργανωσιακά ζητήματα ανάπτυξης, εφαρμογής και ενσωμάτωσης πολιτικών ασφάλειας, Διδακτορική Διατριβή, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Απρίλιος Κιουντούζης Ε. (1995). Μοντέλα Ασφάλειας Πληροφοριακών Συστημάτων, Ασφάλεια Πληροφοριών, Τεχνικά, Νομικά και Κοινωνικά θέματα, Εκδόσεις ΕΠΥ, Αθήνα. Κιουντούζης Ε. (2004). Προσεγγίσεις Ασφαλείας Πληροφοριακών Συστημάτων, στο Κάτσικας Σ., Γκρίτζαλης Δ. και Γκρίτζαλης Σ. (επιμέλεια) Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, Αθήνα, σ Λιβέρη Δ. (2010). Εργαστήριο Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών, Μεταπτυχιακή διατριβή, Επιβλέπων Δ. Γκρίτζαλης, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα Μουλίνος Κ. (2003). Τεχνολογική Υποδομή Προστασίας Δεδομένων στο Διαδίκτυο, Διδακτορική Διατριβή, Οικονομικό Πανεπιστήμιο Αθήνας, Δεκέμβριος 2003 Ξηντάρα Δ. (2008). Εξειδίκευση ενός CBK σε ISCIP, Μεταπτυχιακή διατριβή, Επιβλέπων Δ. Γκρίτζαλης, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα Παπαδάκης Κ. (2009). Μέθοδος Αναγνώρισης και Αποτίμησης Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών, Μεταπτυχιακή διατριβή, Επιβλέπων Δ. Γκρίτζαλης, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα Παράρτημα Δ : Δημοσιεύσεις και αναφορές 202

218 Στουγιάννου Ε. Π. (2006). Ασφάλεια Πληροφοριών και Προστασία Υποδομών: Ανάπτυξη CBK, Μεταπτυχιακή διατριβή, Επιβλέπων Δ. Γκρίτζαλης, Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα Τσούμας Β. (2007). Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων με Οντολογίες. Διδακτορική Διατριβή, Οικονομικό Πανεπιστήμιο Αθήνας, Απρίλιος Τσώχου Α. (2010). Η Ενημερότητα Ασφάλειας στα Πλαίσια της Διοίκησης Ασφάλειας Πληροφοριακών Συστημάτων. Διδακτορική Διατριβή, Πανεπιστήμιο Αιγαίου, Φεβρουάριος Παράρτημα Δ : Δημοσιεύσεις και αναφορές 203

219 ΠΑΡΑΡΤΗΜΑ Α : Γνωστικό υπόβαθρο - αρχικές εκδόσεις Στην ενότητα αυτή παρουσιάζονται επτά (7) εκ των δέκα ενοτήτων (domains) της αρχικής έκδοσης του γνωστικού υποβάθρου [Theoharidou et al., 2007]. Εικόνα 34: Αρχιτεκτονικές και Μοντέλα Ασφάλειας Εικόνα 35: Έλεγχος Πρόσβασης Παράρτημα Δ : Δημοσιεύσεις και αναφορές 204

220 Εικόνα 36: Ασφάλεια Δικτύων και Τηλεπικοινωνιών Εικόνα 37: Ασφάλεια Λειτουργικών Συστημάτων Παράρτημα Δ : Δημοσιεύσεις και αναφορές 205

221 Εικόνα 38: Ασφάλεια Προγραμμάτων και Εφαρμογών Εικόνα 39: Ασφάλεια Βάσεων Δεδομένων Παράρτημα Δ : Δημοσιεύσεις και αναφορές 206

222 Εικόνα 40: Κοινωνικά, Ηθικά και Νομικά Ζητήματα της Ασφάλειας στην Κοινωνία της Πληροφορίας Παράρτημα Δ : Δημοσιεύσεις και αναφορές 207

223 Διαφορετικές σχηματικές αναπαραστάσεις τεσσάρων επιλεγμένων ενοτήτων της αρχικής έκδοσης παρουσιάζονται και στη συνέχεια [Theoharidou and Gritzalis, 2007]. Εικόνα 41: Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων Εικόνα 42: Κοινωνικά, Ηθικά και Νομικά Ζητήματα της Ασφάλειας Πληροφοριών Παράρτημα Δ : Δημοσιεύσεις και αναφορές 208

224 Εικόνα 43: Κρυπτογραφία Εικόνα 44: Φυσική Ασφάλεια & Προστασία Κρίσιμων Υποδομών Παράρτημα Δ : Δημοσιεύσεις και αναφορές 209