ΤΜΗΜΑ ΚΟΙΝΩΝΙΚΗΣ ΙΟΙΚΗΣΗΣ

ΕΘΝΙΚΗ ΣΧΟΛΗ ΗΜΟΣΙΑΣ ΙΟΙΚΗΣΗΣ ΤΜΗΜΑ ΚΟΙΝΩΝΙΚΗΣ ΙΟΙΚΗΣΗΣ ΚΑΤΕΥΘΥΝΣΗ ΙΟΙΚΗΣΗΣ ΟΡΓΑΝΙΣΜΩΝ ΚΟΙΝΩΝΙΚΗΣ ΠΟΛΙΤΙΚΗΣ ΙΣΤ' ΕΚΠΑΙ ΕΥΤΙΚΗ ΣΕΙΡΑ ΚΥΚΛΟΣ ΣΕΜΙΝΑΡΙΩΝ ΕΙ ΙΚΗΣ ΦΑΣΗΣ ΣΠΟΥ ΩΝ Κ -Σ03: ΖΗΤΗΜΑΤΑ ΙΑΧΕΙΡΙΣΗΣ ΚΟΙΝΩΝΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ Ασφάλεια και Προστασία Πληροφοριακών κι Επικοινωνιακών Συστηµάτων στο ηµόσιο Τοµέα Βασιλική Κακοσίµου Γραµµένος Κοντοβάς Επιβλέπων - Συντονιστής: Χρήστος Φιλιππόπουλος Αθήνα, Μάιος 2005

Περιεχόµενα Περιεχόµενα... 2 Εισαγωγή... 4 Περίληψη... 6 Λέξεις Κλειδιά... 8 Ι. ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ, ΠΡΟΣΤΑΣΙΑΣ ΚΑΙ ΕΜΠΙΣΤΟΣΥΝΗΣ ΣΤΗ ΜΕΤΑΦΟΡΑ Ε ΟΜΕΝΩΝ...10 Α. Εισαγωγή... 11 Β. Πληροφοριακά και επικοινωνιακά συστήµατα στη δηµόσια διοίκηση... 14 Γ. Ασφάλεια πληροφοριακών συστηµάτων στη δηµόσια διοίκηση... 18 1) ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ.... 19 2) ΈΛΕΓΧΟΣ ΧΡΗΣΤΩΝ... 20 3) ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ.... 21. Ασφάλεια επικοινωνιακών συστηµάτων στη δηµόσια διοίκηση... 32 1) ΚΡΥΠΤΟΓΡΑΦΗΣΗ... 32 2) ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ... 34 3) ΕΙ ΙΚΑ ΠΡΩΤΟΚΟΛΛΑ... 35 3.1 SECURE SOCKETS LAYER (SSL)... 35 3.2 SECURE SHELL (SSH)... 36 3.3 SECURE ELECTRONIC TRANSACTIONS (SET)... 37 3.4 SKIP (SIMPLE KEY MANAGEMENT FOR INTERNET PROTOCOLS)... 38 3.5 TRANSPORT LAYER SECURITY PROTOCOL - TLS... 38 ΙI. ΤΕΧΝΙΚΑ, ΚΑΝΟΝΙΣΤΙΚΑ ΚΑΙ ΝΟΜΙΚΑ ΠΛΑΙΣΙΑ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ... 40 Α. Εισαγωγή... 41 Β. Προστασία προσωπικών δεδοµένων... 43 Νοµικό πλαίσιο προστασίας...43 Ν. 2472/97... 43 Αδυναµίες του συστήµατος:...46 ΚΑΝΟΝΙΣΜΟΣ 1/1999 (ΦΕΚ 555/6.5.99) ΤΗΣ ΑΡΧΗΣ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ... 47 Ο ΗΓΙΑ 95/46/ΕΚ... 47 Ειδικά για τις επικοινωνίες:...50 Ο ΗΓΙΑ 97/66/ΕΚ... 50 Ο ΗΓΙΑ 2002/58/ΕΚ... 52 2

Ν. 2774/99... 53 Ν. 2225/94... 53 Για το ιαδίκτυο:...54 ΣΥΣΤΑΣΗ 23/2/1999 ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΥΠΟΥΡΓΩΝ... 54 Γ. Ηλεκτρονικές υπογραφές... 55 Υφιστάµενο θεσµικό πλαίσιο και εφαρµογή του...55 Π.. 150/2001 (ΠΡΟΣΑΡΜΟΓΗ ΣΤΗΝ Ο ΗΓΙΑ 99/93/ΕΚ)... 55 Ο ΗΓΙΑ 1999/93/ΕΚ ΓΙΑ ΗΛΕΚΤΡΟΝΙΚΕΣ ΥΠΟΓΡΑΦΕΣ:... 56 ΑΠΟΦΑΣΕΙΣ ΕΕΤΤ... 59 Η διεθνής εµπειρία:...60 Ζητήµατα εφαρµογής:...60. Ηλεκτρονικό εµπόριο... 62 Ο ΗΓΙΑ 2000/31/ΕΚ... 62 Ε. Ασφάλεια στο διαδίκτυο... 64 ΑΠΟΦΑΣΗ 1151/2003/ΕΚ ΓΙΑ ΤΡΟΠΟΠΟΙΗΣΗ ΤΗΣ ΑΠΟΦΑΣΗΣ 276/1999/ΕΚ... 64 ΣΤ. Γενικά περί ασφάλειας δικτύων και πληροφοριών... 65 ΚΑΝΟΝΙΣΜΟΣ 460/2004 ΓΙΑ ΤΗ ΗΜΙΟΥΡΓΙΑ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΟΡΓΑΝΙΣΜΟΥ... 65 ΙIΙ. ΤΡΕΧΟΥΣΕΣ ΕΞΕΛΙΞΕΙΣ ΚΑΙ ΠΡΟΟΠΤΙΚΕΣ...66 Α. Τεχνολογικές προοπτικές της ασφάλειας των πληροφοριακών και επικοινωνιακών συστηµάτων στο διεθνή χώρο... 67 Β. Υπάρχουσα κατάσταση στη Ελλάδα και προοπτικές... 76 Α ΑΕ... 83 «ΣΥΖΕΥΞΙΣ»... 84 ΕΠΙΧΕΙΡΗΣΙΑΚΟ ΣΧΕ ΙΟ ΓΙΑ ΤΗΝ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ... 87 Βιβλιογραφία... 89 Παράρτηµα 1... 91 Παράρτηµα 2... 96 3

Εισαγωγή Η σύγχρονη πραγµατικότητα χαρακτηρίζεται έντονα από την εξέλιξη των διαφορετικών µορφών τεχνολογιών, όπως και των συναφών επιτευγµάτων τους. Η διείσδυση των εφαρµογών γίνεται εντονότερη και οι διαφαινόµενες µελλοντικές προοπτικές φαντάζουν πλέον ως υλοποιήσιµη πραγµατικότητα, παρά ως µακρινό όραµα. Οι νέες τεχνολογίες πληροφορίας και επικοινωνίας (ΤΠΕ) είναι λοιπόν κοµµάτι της καθηµερινότητας και η ραγδαία εξέλιξη αυτών των νέων τεχνολογιών χτίζει µία παγκόσµια Κοινωνία της Πληροφορίας µε νέα δεδοµένα και νέες ευκαιρίες για την ανάπτυξη, την απασχόληση, την ευηµερία και την ποιότητα ζωής µας. Η ηλεκτρονική διακυβέρνηση αποτελεί µία από τις σηµαντικότερες εφαρµογές της Κοινωνίας της Πληροφορίας, αλλά η αυξανόµενη εφαρµογή των νέων ΤΠΕ φέρνει στο προσκήνιο νέα προβλήµατα, όπως η προστασία των προσωπικών δεδοµένων κατά τη συλλογή κι επεξεργασία τους, και ζητήµατα ασφάλειας των συναλλαγών, όπως εµπιστευτικότητα, ακεραιότητα, αυθεντικότητα και µη αποποίηση των µηνυµάτων. Για την αποτελεσµατική υλοποίηση ενός ολοκληρωµένου πλαισίου λειτουργίας ηλεκτρονικών συναλλαγών, απαιτείται η ανάπτυξη µεθοδολογιών και η υλοποίηση µηχανισµών για την επίτευξη ασφάλειας κατά την υλοποίηση σχετικών ενεργειών. Για την αντιµετώπιση των παραπάνω ζητηµάτων η Ευρωπαϊκή Επιτροπή δηµοσίευσε ένα σύνολο τεχνικών, κανονιστικών και νοµικών ζητηµάτων και ανακοίνωσε την προετοιµασία ενεργειών για τη σχεδίαση ενός πλαισίου ρυθµίσεων και δράσεων, στην κατεύθυνση της υλοποίησης ασφαλούς λειτουργίας της ηλεκτρονικής αγοράς υπηρεσιών και προϊόντων, στα πλαίσια της ενιαίας εσωτερικής αγοράς. Αλλά και σε εθνικό επίπεδο έχουν εκδοθεί µια σειρά κανονισµών, γνωµοδοτήσεων και προεδρικών διαταγµάτων για να διευκολύνουν την ενσωµάτωση κι εφαρµογή των κοινοτικών οδηγιών και συστάσεων στο εσωτερικό της χώρας. Οι κυριότεροι τοµείς που αφορούν τα νοµικά ζητήµατα σε θέµατα ασφαλείας είναι η προστασία των προσωπικών δεδοµένων, οι ηλεκτρονικές υπογραφές, το ηλεκτρονικό εµπόριο, η ηλεκτρονική διακυβέρνηση και γενικότερα η διακίνηση πληροφοριών µέσω του διαδικτύου. Οι µεγάλοι κίνδυνοι στην ασφάλεια δικτύων και πληροφοριών αλλά και η σηµασία που έχουν σε µία σύγχρονη κοινωνία τα δίκτυα και οι πληροφορίες, καθιστούν αναγκαία την εκπόνηση εθνικής στρατηγικής ασφάλειας δικτύων και 4

πληροφοριών. Οι υπευθυνότητες των εµπλεκοµένων στην τήρηση των απαραίτητων γενικών αρχών πρέπει να αποτελέσουν ένα ενιαίο πλέγµα. Στο πλέγµα αυτό συνυπάρχουν και αλληλεπιδρούν η πολιτεία, οι παραγωγικές τάξεις της χώρας και το ευρύ κοινό σαν αποδέκτης των σχετικών υπηρεσιών, αλλά και σαν ενεργός φορέας που συµµετέχει στην περαιτέρω εξέλιξη και ανάπτυξη της Κοινωνίας της Πληροφορίας. Οι σχετικές υπευθυνότητες πρέπει βεβαίως να κατανέµονται σύµφωνα µε την δικαιοδοσία και το ρόλο του έκαστου φορέα (κρατικού, κοινωνικού και ιδιωτικού), αλλά και µεµονωµένων πολιτών. 5

Περίληψη Οι µεγάλες προκλήσεις και τα νέα δεδοµένα που αντιµετωπίζει σήµερα η ηµόσια ιοίκηση την οδηγούν στην υιοθέτηση νέων µορφών οργάνωσης και λειτουργίας, σε συνδυασµό µε την ευρύτατη χρήση των ΤΠΕ. Βαθµιαία γεννάται µία νέα «Ηλεκτρονική ηµόσια ιοίκηση» (e-government), η οποία βασίζεται όλο και περισσότερο στη ευρεία χρήση των ΤΠΕ, τόσο για την υλοποίηση των εσωτερικών λειτουργιών της, όσο και για την επικοινωνία και συναλλαγή της µε τους πολίτες και τις επιχειρήσεις. Για την αποτελεσµατική υλοποίηση ενός ολοκληρωµένου πλαισίου λειτουργίας ηλεκτρονικών συναλλαγών, απαιτείται η ανάπτυξη µεθοδολογιών και η υλοποίηση µηχανισµών για την επίτευξη ασφάλειας κατά την υλοποίηση σχετικών ενεργειών. Στο πρώτο υποέργο γίνεται µία µελέτη των τεχνικών ασφάλειας των πληροφοριακών και επικοινωνιακών συστηµάτων στη δηµόσια διοίκηση. Συγκεκριµένα στη πρώτη ενότητα εξετάζονται οι προκλήσεις που αντιµετωπίζει η δηµόσια διοίκηση στο σύγχρονο περιβάλλον που διαµορφώνεται παγκοσµίως και χαρακτηρίζεται και από την παγκοσµιοποίηση. Στη δεύτερη ενότητα αναλύονται οι υπάρχουσες κατηγορίες πληροφοριακών και επικοινωνιακών συστηµάτων στο δηµόσιο τοµέα. Στη τρίτη ενότητα γίνεται µία µελέτη των τεχνολογιών ασφάλειας των πληροφοριακών συστηµάτων στη δηµόσια διοίκηση, και που αφορά οντότητες και αντικείµενα που πρέπει να προστατευθούν. Στη τέταρτη ενότητα γίνεται µία ανάλυση των κατάλληλων τεχνολογιών για α) την ικανοποίηση των απαιτήσεων της εγκυρότητας της εµπιστευτικότητας και της διαθεσιµότητας των πληροφοριών και β) την επίτευξη ασφαλών ηλεκτρονικών συναλλαγών έσω του Internet. Στο δεύτερο υποέργο εξετάζεται το νοµικό και κανονιστικό πλαίσιο στο ζήτηµα της ασφάλειας των πληροφοριακών συστηµάτων και της ανταλλαγής δεδοµένων στη δηµόσια διοίκηση. Για την αντιµετώπιση των παραπάνω ζητηµάτων η Ευρωπαϊκή Επιτροπή δηµοσίευσε ένα σύνολο τεχνικών, κανονιστικών και νοµικών ζητηµάτων και ανακοίνωσε την προετοιµασία ενεργειών για τη σχεδίαση ενός πλαισίου ρυθµίσεων και δράσεων, στην κατεύθυνση της υλοποίησης ασφαλούς λειτουργίας της ηλεκτρονικής αγοράς υπηρεσιών και προϊόντων, στα πλαίσια της ενιαίας εσωτερικής αγοράς. Αλλά και σε εθνικό επίπεδο έχουν εκδοθεί µια σειρά κανονισµών, γνωµοδοτήσεων και 6

προεδρικών διαταγµάτων για να διευκολύνουν την ενσωµάτωση κι εφαρµογή των κοινοτικών οδηγιών και συστάσεων στο εσωτερικό της χώρας. Οι κυριότεροι τοµείς που αφορούν τα νοµικά ζητήµατα σε θέµατα ασφαλείας είναι η προστασία των προσωπικών δεδοµένων, οι ηλεκτρονικές υπογραφές, το ηλεκτρονικό εµπόριο, η ηλεκτρονική διακυβέρνηση και γενικότερα η διακίνηση πληροφοριών µέσω του διαδικτύου. Επίσης, η ελληνική δηµόσια διοίκηση επιχείρησε να υλοποιήσει ή να σχεδιάσει τη µελλοντική εφαρµογή µιας σειράς επιχειρησιακών προγραµµάτων, όπως το «ΑΡΙΑ ΝΗ», το «ΣΥΖΕΥΞΙΣ», το «ΠΟΛΙΤΕΙΑ», και το Επιχ. Πρόγρ. Κοινωνία της Πληροφορίας. 7

Λέξεις Κλειδιά ηµόσια ιοίκηση, ηµόσιοι Οργανισµοί Πληροφοριακά Συστήµατα, Επικοινωνιακά Συστήµατα Χρήστες, Αγαθά Internet, Ηλεκτρονικές συναλλαγές Κίνδυνοι, Μέσα Προστασίας Εγκυρότητα, Εµπιστευτικότητα, ιαθεσιµότητα Πληροφοριών Ταυτοποίηση, Αυθεντικοποίηση Passwords, smart cards, digital certificate Βιοµετρικά συστήµατα Ασφάλεια Κρυπτογράφηση, Ψηφιακή(Ηλεκτρονική) Υπογραφή, Πρωτόκολλα Προσωπικά δεδοµένα Ευαίσθητα προσωπικά δεδοµένα Συλλογή δεδοµένων Επεξεργασία δεδοµένων Αρχή προστασίας προσωπικών δεδοµένων Υπεύθυνος επεξεργασίας Ενηµέρωση υποκειµένου Συγκατάθεση υποκειµένου ιαρροή δεδοµένων προς τρίτη χώρα Προστασία ιδιωτικής ζωής Ηλεκτρονικές επικοινωνίες Τηλεπικοινωνιακές υπηρεσίες Πληροφορίες Απόρρητο Άρση απορρήτου Αναγνωρισµένα πιστοποιητικά Ηλεκτρονικό εµπόριο ίκτυα Πιστοποίηση 8

ΕΕΤΤ Α ΑΕ ΚτΠ Α.Ε. ΣΥΖΕΥΞΙΣ 9

Ι. Τεχνολογίες Ασφάλειας, Προστασίας και Εµπιστοσύνης στη Μεταφορά εδοµένων Γραµµένος Κοντοβάς 10

Α. Εισαγωγή Η ηµόσια ιοίκηση δραστηριοποιείται σήµερα σε ένα περιβάλλον το οποίο παρουσιάζει µεγάλες προκλήσεις και σηµαντικά νέα δεδοµένα (τεχνολογικού, οικονοµικού, ιδεολογικού περιεχοµένου) σε σχέση µε το παρελθόν, τα οποία είναι: α) όξυνση των παγίων προβληµάτων που αντιµετώπιζε παλαιότερα, β) νέα δυσκολότερα προβλήµατα µε υψηλότερη πολυπλοκότητα, γ) οικονοµικοί περιορισµοί και προγράµµατα µείωσης των κρατικών δαπανών, δ) αλµατώδη ανάπτυξη των τεχνολογιών της Πληροφορικής και των Τηλεπικοινωνιών µε βάση τις οποίες οδηγούµαστε στη δηµιουργία µίας κοινωνίας της πληροφορίας και της γνώσης, αλλά και της οικονοµίας της πληροφορίας, ε) διεθνοποίηση-παγκοσµιοποίηση της οικονοµίας, στ) υψηλές απαιτήσεις των πολιτών, οι οποίοι έχουν συνηθίσει σε ένα υψηλότερο επίπεδο υπηρεσιών από τον ιδιωτικό τοµέα, τόσο σε φυσικό επίπεδο π.χ. προσέλευση σε συγκεκριµένα σηµεία παροχής υπηρεσιών, όσο και σε ηλεκτρονικό επίπεδο π.χ. τηλεφωνικά κέντρα (callcenters), internet, ηλεκτρονικά µηχανήµατα τύπου Α.Τ.Μ., κινητή τηλεφωνία κ.τ.λ., και έτσι τείνουν να απαιτούν αντίστοιχα υψηλό επίπεδο υπηρεσιών από τη ηµόσια ιοίκηση 1 ζ) νέες µέθοδοι-καινοτοµίες οργάνωσης και λειτουργίας που εφαρµόζονται στον ιδιωτικό τοµέα µε αποτέλεσµα, η) την βαθµιαία ανάπτυξη και πρακτική εφαρµογή ενός νέου µοντέλου λειτουργίας της ηµόσιας ιοίκησης: του µοντέλου του Νέου ηµόσιου Μάνατζµεντ (Νew Public Management) το οποίο έχει σαν στόχο να συµπληρώσει ή και να υποκαταστήσει το παραδοσιακό Βεµπεριανό Γραφειοκρατικό µοντέλο λειτουργίας της ηµόσιας ιοίκησης του οποίου βασικά στοιχεία έως τώρα είναι η νοµιµότητα, η αµεροληψία, η πιστή εφαρµογή κάποιων προκαθορισµένων διαδικασιών και η πυραµοειδής ιεραρχική οργάνωση. Τα κυριότερα στοιχεία του Νέου ηµόσιου Μάνατζµεντ είναι η διαφάνεια (transparency) και η ανοικτότητα (openness) απέναντι στους πολίτες και στην κοινωνία, η ποιότητα υπηρεσιών, η 1 Αποστολάκης, 2004, σελ. 1 11

αποδοτικότητα (efficiency), η αποτελεσµατικότητα (effectiveness),η δικτυακή οργάνωση και η οριζόντια ιεραρχία, και τέλος, θ) η αλµατώδη ανάπτυξη -διεθνώς- τόσο στη ηµόσια ιοίκηση: α) των Ηλεκτρονικών Υπηρεσιών (e-services) οι οποίες περιλαµβάνουν την Ηλεκτρονική Υγεία (e-health), την Ηλεκτρονική Ένταξη (e-inclusion), την Ηλεκτρονική Μάθηση (e-learning) κ.τ.λ. όσο και στον ιδιωτικό τοµέα β) του Ηλεκτρονικού Εµπορίου (e-commerce) και γενικότερα του Ηλεκτρονικού Επιχειρείν (e- Business, B2C, B2B), από τα οποία οι βασικότερες ιδέες έχουν επηρεάσει σηµαντικά ως τις προς τις βασικές κατευθύνσεις και την ανάπτυξη των Ηλεκτρονικών Υπηρεσιών της ηµόσιας ιοίκησης, λαµβάνοντας υπ όψιν βεβαίως και τις ιδιαιτερότητές της. Το Ηλεκτρονικό Εµπόριο αποτελεί έναν ηλεκτρονικό τρόπο πραγµατοποίησης εµπορικών συναλλαγών και δοσοληψιών κυρίως µέσω του internet όπως την αναζήτηση και πραγµατοποίηση αγοροπωλησιών προϊόντων και υπηρεσιών, ηλεκτρονικές πληρωµές (και γενικότερα η Ηλεκτρονική Τραπεζική ), ηλεκτρονική ανταλλαγή και παράδοση εγγράφων, άµεση ενηµέρωση από ηλεκτρονικές τράπεζες πληροφοριών, ηλεκτρονικές δηµοπρασίες, εξυπηρέτηση µετά την πώληση κ.λ.π., και βασίζεται στην ηλεκτρονική επεξεργασία και µεταβίβαση δεδοµένων (π.χ. κειµένου, εικόνας, ήχου κ.τ.λ.) µεταξύ των συναλλασσόµενων µερών. Από τα παραπάνω συνάγεται το συµπέρασµα ότι η ηµόσια ιοίκηση δέχεται µεγάλες πιέσεις ως προς την ικανοποίηση περισσοτέρων και πολυπλοκότερων αναγκών µε λιγότερους πόρους, και τη δραστική βελτίωση της αποτελεσµατικότητας της. ηµιουργείται έτσι η ανάγκη εκσυγχρονισµού και προσαρµογής της στις νέες αυτές συνθήκες, οδηγώντας την τελικά στη διερεύνηση της χρήσης των Πληροφοριακών και Επικοινωνιακών Συστηµάτων για την υποστήριξη τόσο των εσωτερικών της λειτουργιών όσο και της επικοινωνίας της µε το εξωτερικό περιβάλλον π.χ. πολίτες, επιχειρήσεις, άλλους ηµόσιους Οργανισµούς που βασίζονται στο internet κ.τ.λ. Έτσι βαθµιαία γεννάται µία νέα Ηλεκτρονική ηµόσια ιοίκηση η οποία βασίζεται ολοένα και περισσότερο στην ευρεία χρήση των πληροφοριακών και επικοινωνιακών συστηµάτων τόσο για την υλοποίηση των εσωτερικών της λειτουργιών όσο και για την επικοινωνία και τις συναλλαγές της µε τους πολίτες και τις επιχειρήσεις (εξωτερικό περιβάλλον). 12

Τα Πληροφοριακά και Επικοινωνιακά συστήµατα αποτελούν λοιπόν τον βασικό καταλύτη για τον µετασχηµατισµό του γενικότερου µοντέλου της ηµόσιας ιοίκησης και τη βαθµιαία δηµιουργία νέων λειτουργικών µοντέλων Ηλεκτρονικής ιακυβέρνησης τα οποία χαρακτηρίζονται από ταχύτερη διάγνωση και κατανόηση κοινωνικών ζητηµάτων, από άµεση προσαρµογή υπηρεσιών, δραστηριοτήτων και στόχων, και από υψηλότερη αποτελεσµατικότητα όσον αφορά την αντιµετώπιση των κοινωνικών προβληµάτων και των αναγκών των πολιτών. Η συνέπεια λοιπόν της χρήσης των Πληροφοριακών και Επικοινωνιακών συστηµάτων στη ηµόσια ιοίκηση είναι ότι αποτελούν τον καταλυτικό παράγοντα έλευσης µεγάλων αλλαγών σε αυτήν (µε αναγκαία µία παράλληλη ορθολογική διαχείριση αυτών-change management), όσον αφορά στις διαδικασίες, τον τρόπο εργασίας, την οργάνωση αλλά και στην όλη κουλτούρα (αποτελεσµατικότητα, πολυκεντρικότητα κ.τ.λ.), για την µετάβαση, τελικώς σε µία νέα µορφή Κράτους : στο νέο Ηλεκτρονικό Κράτος. 13

Β. Πληροφοριακά και επικοινωνιακά συστήµατα στη δηµόσια διοίκηση Γενικά. Για την κατανόηση των διάφορων κατηγοριών των Πληροφοριακών και Επικοινωνιακών Συστηµάτων που χρησιµοποιούνται είναι απαραίτητη η ανάλυση ορισµένων εννοιών όπως: Πληροφοριακές Ροές, Πληροφοριακό Σύστηµα, Βασικές Συνιστώσες, Χρήστες, Αγαθά, Τεχνολογική οµή, Λειτουργική οµή. Έννοιες Εποµένως: α) Πληροφοριακές Ροές είναι όταν κάθε ηµόσιος Οργανισµός χαρακτηρίζεται από έντονες ροές τόσο θεσµοθετηµένες όσο και άτυπες, από πληροφορίες από / προς το εξωτερικό περιβάλλον όπως πολίτες, επιχειρήσεις, συλλογικά όργανα κ.τ.λ. Ακόµη οι ροές και οι πληροφορίες µπορεί να είναι από / προς βασικούς προµηθευτές προϊόντων και υπηρεσιών, από / προς ηµόσιους Οργανισµούς (στην ίδια χώρα ή σε άλλη χώρα), από / προς το εσωτερικό του περιβάλλον (µεταξύ δηλαδή των διάφορων οργανωτικών του µονάδων µε στόχο των συντονισµό και την αλληλεπίδραση µεταξύ τους), β) Βασικές Συνιστώσες είναι οι άνθρωποι (προσωπικό διάφορων ιεραρχικών επιπέδων και καθηκόντων, τεχνικοί και χρήστες), οι διαδικασίες, το υλικό (hardware), το λογισµικό (software), οι δικτυακές διασυνδέσεις (network). Το υλικό αποτελείται από σταθµούς εργασίας π.χ. PCs, κεντρικούς υπολογιστές από εξυπηρετητές (servers) π.χ. βάσεων δεδοµένων, επικοινωνιών κ.τ.λ. από εκτυπωτές, και από ψηφιοποιητές (scanners). To λογισµικό αποτελείται από ένα λειτουργικό σύστηµα, από ένα σύστηµα διαχείρισης βάσεων δεδοµένων (Σ..Β..), και από ένα λογισµικό εφαρµογών π.χ. δηµιουργία κειµένου, λογιστική, µισθοδοσία, εισαγωγή και επεξεργασία αιτήσεων. Οι δικτυακές διασυνδέσεις αποτελούνται από i) Τοπικά ίκτυα (Local Area Network s- Lan s) τα οποία είναι κυρίως ενσύρµατα (µελλοντικά ασύρµατα τοπικά δίκτυα), έχουν δοµηµένη καλωδίωση κτιρίου το οποίο είναι υπό την ιδιοκτησία του ηµοσίου Οργανισµού - χρήστη του Πληροφοριακού Συστήµατος ii) ίκτυα Ευρείας Περιοχής (Wide Area Network s-wan s) που είναι και ασύρµατα και ενσύρµατα, 14

και τα µέσα αποµακρυσµένης διασύνδεσης τα οποία ενοικιάζονται από µεγάλο τηλεπικοινωνιακό οργανισµό και έχουν την µορφή αποκλειστικών γραµµών διασύνδεσης, δηµοσίων δικτύων µεταφοράς δεδοµένων, γ) Οι Χρήστες οι οποίοι είναι είτε διοικητικοί υπάλληλοι, είτε προϊστάµενοι πρώτου επιπέδου, είτε προϊστάµενοι δεύτερου επιπέδου, είτε ανώτερη διοίκηση και πολιτική ηγεσία, αλλά ακόµη και άλλοι όπως δηµόσιοι οργανισµοί, πολίτες και επιχειρήσεις, δ) Τα Αγαθά τα οποία αναλύονται σε i) δεδοµένα τα οποία ορίζονται ως τα αναλυτικά πρωτογενή στοιχεία π.χ. πραγµατοποιηθείσες πληρωµές, εισπράξεις, πράξεις κ.τ.λ. και σε ii) πληροφορίες οι οποίες ορίζονται ως τα αναλυτικά δεδοµένα που έχουν υποστεί κατάλληλη επεξεργασία ώστε να είναι χρήσιµα για τους αποδέκτες τους, υποστηρίζοντας τις εργασίες τους, και την λήψη των αποφάσεων τους µειώνοντας τις αβεβαιότητες τους, ε) Η Λειτουργική οµή ενός Π.Σ. είναι το σύνολο των δυνατοτήτων που παρέχει στους διάφορους χρήστες του όπως π.χ. εισαγωγή στοιχείων και επεξεργασία τους, ενηµέρωση αρχείων, υποστήριξη της λήψης αποφάσεων, για την υλοποίηση των λειτουργιών του ηµόσιου Οργανισµού όπως π.χ. σχεδιασµός και υλοποίηση πολιτικών, διοικητική υποστήριξη οικονοµικής διαχείρισης. Συνήθως οι δυνατότητες που προσφέρει ένα Π.Σ. είναι οργανωµένες µε τη µορφή υποσυστηµάτων. στ) Η Τεχνολογική οµή ενός Π.Σ. είναι το σύνολο των τεχνολογικών συνιστωσών του Π.Σ. και οι µεταξύ τους διασυνδέσεις όπως οι συνιστώσες υλικού, οι συνιστώσες λογισµικού και δικτυακές διασυνδέσεις, ζ) Το Πληροφοριακό Σύστηµα είναι ένα σύνολο συνιστωσών: µηχανών, ανθρώπων, και διαδικασιών, το οποίο έχει ως στόχο την συλλογή, αποθήκευση, επεξεργασία, και διανοµή πληροφοριών για την υποστήριξη των διάφορων λειτουργιών του οργανισµού όπως των καθηµερινών του εργασιών, του προγραµµατισµού δράσης, της παρακολούθησης των δραστηριοτήτων, του εσωτερικού έλεγχου, του συντονισµού, της αξιολόγησης, της λήψης απόφασης, της επικοινωνίας µε το εξωτερικό περιβάλλον. Σε αυτό το σηµείο πρέπει να αναφερθεί ότι τα Π.Σ. της ηµόσιας ιοίκησης χωρίζονται σε i) Εσωτερικά Πληροφοριακά Συστήµατα (υποστήριξη εσωτερικών λειτουργιών) και σε ii) Εξωστρεφή Πληροφοριακά Συστήµατα (υποστήριξη 15

επικοινωνίας και συνεργασίας µε το εξωτερικό περιβάλλον: πολίτες, επιχειρήσεις, άλλους δηµόσιους οργανισµούς). Έτσι: i) Tα Εσωτερικά Π.Σ. έχουν ως σκοπό την υποστήριξη των εσωτερικών λειτουργιών των δηµόσιων οργανισµών όπως του σχεδιασµού και υλοποίησης των πολιτικών, της παραγωγής και παροχής υπηρεσιών, της διεκπεραίωσης των αιτήσεων, της διοικητικής υποστήριξης, της οικονοµικής διαχείρισης, της διοίκησης ανθρώπινου δυναµικού. Τα Εσωτερικά Π.Σ. προσφέρουν µια ολοκληρωµένη σειρά δυνατοτήτων όπως: εισαγωγή και επεξεργασία των στοιχείων και των βασικών πράξεων που πραγµατοποιούνται, ενηµέρωση και επιλεκτική άντληση των βασικών αρχείων πολιτών, επιχειρήσεων, προµηθευτών, παραγωγή και παρουσίαση των αποτελεσµάτων των αρχείων αυτών, έλεγχο από τους προϊσταµένους των διαφόρων βαθµίδων όλων των εργασιών που πραγµατοποιήθηκαν από τους υφισταµένους-χρήστες (καθυστερήσεις, επίπεδο παραγωγικότητας κ.τ.λ.), ii) Tα Εξωστρεφή Π.Σ. σκοπό έχουν την υποστήριξη της επικοινωνίας και συνεργασίας των ηµόσιων Οργανισµών µε το εξωτερικό τους περιβάλλον, το οποίο περιλαµβάνει πολίτες, επιχειρήσεις καθώς επίσης και άλλους ηµόσιους Οργανισµούς (στην ίδια χώρα ή και σε άλλες χώρες). Τα Εξωστρεφή Π.Σ. διαιρούνται σε τρεις κατηγορίες: iiα) Συστήµατα ιοίκησης προς πολίτες (Government to Citizens-G2C ή Administration to Citizens-A2C), iiβ) Συστήµατα ιοίκησης προς Επιχειρήσεις (Government to Business-G2B, ή Administration to Business-A2B), iiγ) Συστήµατα ιοίκησης προς ιοίκηση (Government to Government-G2G ή Αdministration to Administration-A2A).Στην κατηγορία αυτή περιλαµβάνονται επίσης τα ιοργανωτικά Π.Σ. όπως και τα Υπερεθνικά Π.Σ. (κοινή ανταλλαγή-αξιοποίηση στοιχείων και συνεργασία µεταξύ ηµόσιων Οργανισµών διάφορων κρατών). Από τα πιο σηµαντικά Εξωστρεφή Π.Σ. είναι τα G2C και G2B συστήµατα διότι παρέχουν τη δυνατότητα σε πολίτες και επιχειρήσεις ολοκληρωµένων ηλεκτρονικών συναλλαγών όπως: ηλεκτρονικές φόρµες εισαγωγής αιτήσεων π.χ. υποβολή δηλώσεων Φ.Π.Α. µέσω internet, ηλεκτρονική παρακολούθηση πορείας υπόθεσης και διαβίβαση απάντησης, άντληση ειδικών στοιχείων, ηλεκτρονική πραγµατοποίηση πληρωµών, µε αποτέλεσµα την καλύτερη εξυπηρέτηση πολιτών και επιχειρήσεων, την µείωση του κόστους συναλλαγών, και την µείωση των ευκαιριών της διαφθοράς από την µη προσέλευση στα γραφεία των ηµόσιων Οργανισµών. Οι ηλεκτρονικές 16

συναλλαγές γίνονται µέσω πολλαπλών καναλιών όπως: τηλεφωνικά κέντρα (callcenters), internet, κινητή τηλεφωνία, kiosks τα οποία έχουν συνήθως touch screen, (και αργότερα) ψηφιακής διαδραστικής TV οπουδήποτε και οποτεδήποτε µέσω internet. Τέλος όλα τα Εξωστρεφή Π.Σ. ενός ηµόσιου Οργανισµού και τα κανάλια πραγµατοποίησης συναλλαγών θα πρέπει να ενοποιούνται και να συνδέονται µε το Εσωτερικό Π.Σ. (µέσω ισχυρών υπολογιστών-servers). η) Με τον όρο Internet αναφερόµαστε σε ένα παγκόσµιο ηλεκτρονικό δίκτυο υπολογιστών που βασίζεται στη στοίβα των πρωτοκόλλων επικοινωνίας TCP-Transmission Control Protocol και IP-Internet Protocol. Το πρωτόκολλο IP παρέχει µία άνευ εγκατάστασης σύνδεσης (connectionless service) µη αξιόπιστη υπηρεσία µεταγωγής, ενώ το TCP παρέχει µία προσανατολισµένη σε σύνδεση (connection-oriented service) αξιόπιστη υπηρεσία µεταφοράς δεδοµένων, υπεράνω του πρωτοκόλλου IP. Με τον συναφή όρο Intranet αναφερόµαστε σε ένα εσωτερικό δίκτυο βασισµένο στη στοίβα πρωτοκόλλων TCP/IP 2. 2 Brenton-Hunt, 2003, σελ.8 17

Γ. Ασφάλεια πληροφοριακών συστηµάτων στη δηµόσια διοίκηση. Γενικά. H Ασφάλεια των Πληροφοριακών Συστηµάτων στη ηµόσια ιοίκηση αφορά οντότητες και αντικείµενα που πρέπει να προστατευθούν όπως φαίνεται και στο Σχήµα 1. Ό,τι αξίζει να προστατευθεί, ονοµάζεται, όπως προαναφέρθηκε και παραπάνω, Αγαθό (Αsset). Το Αγαθό έχει Ιδιότητα το οποίο είναι το συγκεκριµένο χαρακτηριστικό ενός αγαθού, το οποίο πρέπει να προστατευθεί. Tα Αγαθά αξίζει να προστατευθούν επειδή έχουν Αξία (Value), και αποτελούν δηµόσια περιουσία. H Aξία τους µπορεί να µειωθεί εκτός των άλλων αν υποστούν και Ζηµιά (Harm). Τα Αγαθά χρειάζονται προστασία µόνο αν υπάρχουν Κίνδυνοι (Dangers) που µπορεί να τους προκαλέσει Ζηµιά 3. Οι Χρήστες (Users) των προστατευοµένων Αγαθών, οι οποίοι είναι είτε διοικητικοί υπάλληλοι είτε κατώτερη ή ανώτερη διοίκηση, χρησιµοποιούν Μέσα Προστασίας (Safeguards) είτε για να µειώσουν τους Κινδύνους προξένησης Ζηµιών στα Αγαθά είτε για να µειώσουν τις συνέπειές αυτών. Ακόµη, τέλος, οι Χρήστες α) µπορούν να κάνουν µε τα Αγαθά µόνο ότι έχουν εξουσιοδοτηθεί και β) έχουν περιοριστεί να κάνουν µόνον ότι έχουν εξουσιοδοτηθεί. Σχήµα 1 3 Γκρίτζαλης. 2004, σελ.20(συλλογικό) 18

1) Ασφάλεια Πληροφοριών. Όπως αναφέρθηκε και παραπάνω, η ηλεκτρονικοποίηση των εσωτερικών λειτουργιών της ηµόσιας ιοίκησης προσφέρει πολύ σηµαντικά οφέλη όπως µείωση του λειτουργικού κόστους, γρηγορότερη εκπόνηση, σχεδιασµός και παρακολούθηση πολιτικών κ.τ.λ. Απαραίτητη προϋπόθεση όµως για να επιτευχθούν τα παραπάνω οφέλη και γενικότερα για την ασφάλεια των πληροφοριών και των δεδοµένων που επεξεργάζονται ηλεκτρονικά, είναι αυτές να ικανοποιούν ορισµένες βασικές απαιτήσεις ασφάλειας, οι οποίες είναι : i. Εγκυρότητα (Validity) η οποία ορίζεται ως η απόλυτη ακρίβεια και πληρότητα µίας πληροφορίας. Η εγκυρότητα είναι το άθροισµα της: α) Ακεραιότητας (Ιntegrity) η οποία ορίζεται ως η αποφυγή µη εξουσιοδοτηµένης τροποποίησης µίας πληροφορίας που επεξεργάζεται ο Χρήστης της, ή και µίας µη εξουσιοδοτηµένης / µή επιθυµητής δραστηριότητας του Χρήστη πάνω στην πληροφορία, και της β) Αυθεντικότητας (Αuthenticity) η οποία ορίζεται ως η αποφυγή ατελειών και ανακριβειών κατά τη διάρκεια εξουσιοδοτηµένων τροποποιήσεων µίας πληροφορίας, ii. Εµπιστευτικότητα (Confidentiality) η οποία ορίζεται ως η αποφυγή αποκάλυψης πληροφοριών χωρίς την άδεια του χρήστη που τις διαχειρίζεται, και iii. ιαθεσιµότητα Πληροφοριών η οποία ορίζεται ως η αποφυγή προσωρινής ή µόνιµης άρνησης διάθεσης των πληροφοριών σε εξουσιοδοτηµένους χρήστες. Η Ασφάλεια Πληροφοριών περιλαµβάνει, λοιπόν, όλες τις πρωτεύουσες ιδιότητες της Πληροφορίας που χρειάζονται προστασία, και είναι ο συνδυασµός των εννοιών: Εµπιστευτικότητα, ιαθεσιµότητα Πληροφοριών και, Εγκυρότητα 4, όπως φαίνεται και στο Σχήµα 2. 4 Γκρίτζαλης. 2004, σελ.26(συλλογικό) 19

Σχ.2 Σχέση µεταξύ Εµπιστευτικότητας (Ε), Εγκυρότητας (Α) και ιαθεσιµότητας Πληροφοριών ( ). 2) Έλεγχος Χρηστών Μέρος της ασφάλειας ενός Πληροφοριακού Συστήµατος που χρησιµοποιείται στη ηµόσια ιοίκηση αποτελεί επίσης και ο έλεγχος της ταυτότητας των χρηστών, οι οποίοι έχουν το δικαίωµα πρόσβασης σε αυτό. Ο έλεγχος αποτελεί προϋπόθεση για την διαδικασία του ελέγχου προσπέλασης σε κάθε πόρο του συστήµατος 5. Η ανάγκη αυτή καλύπτεται µε την ταυτοποίηση και αυθεντικοποίηση του εξουσιοδοτηµένου χρήστη και οι οποίες ορίζονται ως εξής: i. Tαυτοποίηση (Identification) ενός λογικού υποκειµένου καλείται η διαδικασία εκείνη κατά την οποία το λογικό υποκείµενο παρέχει σε ένα Πληροφοριακό Σύστηµα τις πληροφορίες που απαιτούνται προκειµένου να συσχετιστεί µε ένα από τα αντικείµενα που δικαιούνται προσπέλαση στους πόρους (resources) του, ii. Αυθεντικοποίηση (Authentication) ενός λογικού υποκειµένου καλείται η διαδικασία εκείνη κατά την οποία ένα λογικό υποκείµενο παρέχει σε ένα Πληροφοριακό Σύστηµα τις πληροφορίες που απαιτούνται προκειµένου να ελεγχθεί και να επαληθευτεί η συσχέτιση που επιτεύχθηκε κατά τη διαδικασία της ταυτοποίησης. Η αυθεντικοποίηση αφορά εποµένως τη διαδικασία κατά την οποία επαληθεύεται η δηλωθείσα ταυτότητα ενός λογικού υποκειµένου. Η ανάγκη 5 Καµπουράκη 2004, σελ.56 (συλλογικό) 20

αυθεντικοποίησης από ένα σύστηµα οφείλεται σε δύο λόγους: α) ότι η ταυτότητα του λογικού υποκειµένου αποτελεί παράµετρο για τον έλεγχο προσπέλασης στους πόρους του συστήµατος, και β) ότι η ταυτότητα του λογικού υποκειµένου πρέπει να καταγράφεται σε ηµερολόγια ελέγχου κατά τη διαδικασία πρόσβασης 6. Επίσης όταν ένα λογικό υποκείµενο αιτείται προσπέλαση στους πόρους ενός Πληροφοριακού Συστήµατος ενεργοποιείται ένα πρωτόκολλο επικοινωνίας το οποίο αποτελείται από δύο µέρη: τον «Επικυρωτή» (Prover) ο οποίος αντιστοιχεί στην ταυτοποίηση του χρήστη, και στον «Σκεπτικιστή» (Skeptic) ο οποίος αντιστοιχεί στην αυθεντικοποίηση ή µη του χρήστη που του παρέχει ο Prover. Η διαδικασία ταυτοποίησης περιλαµβάνει την παροχή πληροφοριών που είναι συνήθως δηµόσια γνωστές όπως π.χ. οι πληροφορίες που σχετίζονται µε τα στοιχεία ταυτότητας του λογικού υποκειµένου, οι πόροι τους οποίους επιθυµεί να προσπελάσει ή να αξιοποιήσει το υποκείµενο αυτό. Η διαδικασία αυθεντικοποίησης, τέλος περιλαµβάνει: α) την παροχή της πληροφορίας από ένα λογικό υποκείµενο στο σύστηµα, β) την ανάλυση αυτής της πληροφορίας και γ) τον έλεγχο ότι πράγµατι αυτή η πληροφορία σχετίζεται µε το ίδιο λογικό υποκείµενο. Στο τέλος της παρούσας ενότητας ακολουθεί ως παράρτηµα συνοπτικός πίνακας που περιλαµβάνει: α) τους Παράγοντες ασφαλείας των Πληροφοριακών Συστηµάτων, β) τον έλεγχο προσπέλασης σε ένα Πληροφοριακό Σύστηµα, γ) την αφαιρετική ακολουθιακή περιγραφή της διαδικασίας προσπέλασης, δ) την υλοποίηση των φάσεων ελέγχου προσπέλασης, ε) και τα µέσα αυθεντικοποίησης ενός λογικού υποκειµένου. 3) Τεχνολογίες ασφάλειας Πληροφοριακών Συστηµάτων. Οι ευρύτερα χρησιµοποιούµενες σήµερα τεχνολογίες για την ικανοποίηση των παραπάνω βασικών απαιτήσεων ασφάλειας βασίζονται: α) στα Συνθηµατικά (passwords) ή Κωδικούς Πρόσβασης, β) στα Ψηφιακά Πιστοποιητικά (digital certificates) και γ) στις Έξυπνες Κάρτες (smart cards). 6 Καµπουράκη 2004, σελ.59 (συλλογικό) 21

3.1. Συνθηµατικά Τα συνθηµατικά (passwords) αποτελούν το συνηθέστερο µέσο αυθεντικοποίησης, και ανήκουν σε εκείνους τους µηχανισµούς που βασίζονται σε κάτι που τα λογικά υποκείµενα, δηλαδή οι χρήστες των Πληροφοριακών Συστηµάτων γνωρίζουν. Συνθηµατικό (Password) ή Κωδικός Πρόσβασης είναι η πληροφορία η οποία σχετίζεται µε τον χρήστη και η οποία επιβεβαιώνει την ταυτότητα του χρήστη. Η διάδοση της χρήσης των συνθηµατικών βασίζεται στα πλεονεκτήµατα που παρουσιάζουν και τα οποία είναι: α) είναι απλά στη λειτουργία τους και εποµένως έχουν περιορισµένη σχεδιαστική πολυπλοκότητα, β) έχουν χαµηλό κόστος, δεν απαιτείται δηλαδή πρόσθετος εξοπλισµός υλοποίησης ή εξειδικευµένες γνώσεις και επιπλέον εκπαίδευση των χρηστών του Πληροφοριακού Συστήµατος και γ) παρέχουν ικανοποιητικό βαθµό ασφάλειας και προστασίας. Από την άλλη πλευρά η χρήση συνθηµατικών ως µηχανισµός αυθεντικοποίησης παρουσιάζει και ορισµένα µειονεκτήµατα τα οποία οφείλονται στην προσπάθεια υποκλοπής αυτών (password stealing) συνήθως είναι: α) είναι δυνατή η τυχαία αποκάλυψη του συνθηµατικού, συνήθως µε έξυπνο ψάξιµο όπως µε δοκιµή συνδυασµών που προκύπτουν από πληροφορίες που σχετίζονται κατά κάποιο τρόπο µε τον χρήστη, π.χ. όνοµά του, ηµεροµηνία γέννησης κ.λ.π., β) είναι δυνατή η αποκάλυψη του συνθηµατικού µε συστηµατικό τρόπο, µε δοκιµή όλων των πιθανών συνδυασµών των αλφαριθµητικών χαρακτήρων συγκεκριµένου µεγέθους, γ) είναι δυνατή η αποκάλυψη του συνθηµατικού κατά τη διάρκεια της µετάδοσης του, ειδικά σε κατανεµηµένα περιβάλλοντα. Η χρήση συνθηµατικών ή κωδικών πρόσβασης συνήθως συνδυάζεται µε µοναδιαία αναγνωριστικά που προσδιορίζουν τον κάθε χρήστη ξεχωριστά. Για την αυθεντικοποίηση, ο χρήστης καταχωρεί το αναγνωριστικό του και στη συνέχεια το αντίστοιχο συνθηµατικό στο σύστηµα. Μετά την εισαγωγή του αναγνωριστικού και του συνθηµατικού, ακολουθεί ο µηχανισµός επαλήθευσης των στοιχείων του χρήστη από το σύστηµα. Η επαλήθευση γίνεται µε τη σύγκριση των εισαχθέντων στοιχείων µε αυτά που έχουν ήδη καταχωρηθεί στο αρχείο συνθηµατικών του συστήµατος. Αν έστω και ένα από τα παραπάνω στοιχεία είναι 22

λανθασµένο τότε η προσπάθεια πρόσβασης είναι ανεπιτυχής. Ακόµη για λόγους ασφαλείας ορισµένα συστήµατα τηρούν ένα µετρητή για την καταγραφή των αποτυχηµένων προσπαθειών πρόσβασης από τους χρήστες και στην περίπτωση όπου ένας χρήστης ξεπεράσει το επιτρεπόµενο όριο των αποτυχηµένων προσπαθειών πρόσβασης στο σύστηµα, τότε αυτοµάτως ο λογαριασµός του κλειδώνεται. Επίσης σε άλλες περιπτώσεις, για να αποφευχθεί η πρόσβαση και η χρήση του συστήµατος από ένα µη εξουσιοδοτηµένο χρήστη, εφαρµόζεται ο µηχανισµός της επαναλαµβανόµενης αυθεντικοποίησης (repeated authentication). Σε αυτή την περίπτωση, η αυθεντικοποίηση εφαρµόζεται όχι µόνο κατά την πρόσβαση αλλά και κατά τη διάρκεια χρήσης του συστήµατος και σε τακτά χρονικά διαστήµατα 7. Από τα παραπάνω γίνεται αντιληπτό ότι ο τρόπος επιλογής συνθηµατικών σε ένα Πληροφοριακό Σύστηµα στη ηµόσια ιοίκηση, όπου αποτελεί συνήθως και µέρος της πολιτικής ασφάλειας της, πρέπει να στηρίζεται σε συγκεκριµένα κριτήρια όπως είναι: α) το Μήκος του Συνθηµατικού ή Κωδικού Πρόσβασης όπου πρέπει να ορίζεται πάντα ένα ελάχιστο µήκος σε αυτό, β) το Μορφότυπο του Συνθηµατικού ή Κωδικού Πρόσβασης να αποτελείται δηλαδή από ένα συνδυασµό γραµµάτων, αριθµών και ειδικών χαρακτήρων, γ) την Αποφυγή Εύκολων Συνθηµατικών ή Κωδικών Πρόσβασης που περιλαµβάνουν ονόµατα, διευθύνσεις, λέξεις από λεξικά και που µπορούν εύκολα να δεχθούν αντίστοιχες επιθέσεις (dictionary attacks), δ) οι Οδηγίες Φύλαξης να φυλάσσονται σε ασφαλές µέρος, µη εµφανές και να µην ανακοινώνεται σε τρίτους, και ε) µε την Αλλαγή των Συνθηµατικών ή Κωδικών Πρόσβασης την εφαρµογή του αυτόµατου ελέγχου της αλλαγής από τους χρήστες. Εξάλλου πρέπει να λαµβάνονται από τον ηµόσια ιοίκηση ή τον Οργανισµό και µέτρα ασφάλειας του αρχείου των συνθηµατικών, από πιθανές επιθέσεις µη εξουσιοδοτηµένων χρηστών. Τα πιο σηµαντικά είναι: α) η κρυπτογράφηση του περιεχοµένου του, συνήθως µε την χρήση µίας µονόδροµης συνάρτησης (one way function), β) η εφαρµογή ελέγχων πρόσβασης στους χρήστες στο αρχείο από το Πληροφοριακό Σύστηµα, µε τη χρήση ειδικών προνοµίων προσπέλασης (access privileges) και γ) ένας συνδυασµός των παραπάνω, µε τη µεταφορά των αποθηκευµένων 7 Καµπουράκη 2004, σελ.61 (συλλογικό) 23