e-government Forum Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης Προστασία Κρίσιμων Ομάδα Εργασίας για την Προστασία των Κρίσιμων

Κοινωνία της Πληροφορίας Α.Ε. e-government Forum Ομάδα Εργασίας για την Προστασία των Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης (CICIP) Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης Εισηγητής Ομάδας Εργασίας: Αναπλ. Καθ. Δημήτρης Γκρίτζαλης, Τμήμα Πληροφορικής,, Οικονομικό Πανεπιστήμιο Αθηνών Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης: Στρατηγικός Σχεδιασμός Επιστημονική Επιμέλεια: Δημήτρης Γκρίτζαλης, Οικονομικό Πανεπιστήμιο Αθηνών Νίκος Μήτρου, Εθνικό Μετσόβιο Πολυτεχνείο Βικτωρία Σκουλαρίδου, Υπουργείο Εσωτερικών egovforum-cicip-d1-v2.3/29.09.2008 Σεπτέμβρης 2008

Σύνθεση Ομάδας Εργασίας Συντονιστής: Εισηγητής: Μέλη (αλφαβητικά): Σπύρος Καρούσος Κοινωνία της Πληροφορίας Α.Ε. Δημήτρης Γκρίτζαλης Αναπληρωτής Καθηγητής, Οικονομικό Πανεπιστήμιο Αθηνών Αλέξανδρος Ζαχαρής Εμπορικός Διευθυντής SYNET, Eκπρόσωπος ΣΕΠΕ Μαριάνθη Θεοχαρίδου Ερευνήτρια, Οικονομικό Πανεπιστήμιο Αθηνών Παναγιώτης Κοτζανικολάου Ειδικός Επιστήμονας, Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) Δημήτριος Λέκκας Λέκτορας, Πανεπιστήμιο Αιγαίου Νίκος Μήτρου Καθηγητής, Εθνικό Μετσόβιο Πολυτεχνείο Δέσποινα Πολέμη Επίκουρη Καθηγήτρια, Πανεπιστήμιο Πειραιώς Ιωάννα Σαμπράκου Μηχανικός Η/Υ και Πληροφορικής, Σύμβουλος Υπουργού Μεταφορών και Ε- πικοινωνιών Βικτωρία Σκουλαρίδου Υπαστυνόμος Α (Ειδικών Καθηκόντων) Πληροφορικής, Ελληνική Αστυνομία, Υπουργείο Εσωτερικών Βασίλης Τσούμας Senior Manager, Ernst και Young Α.Ε. Γραμματεία: Αγγελική Κλάδη Κοινωνία της Πληροφορίας Α.Ε. Επιτροπή Παρακολούθησης και Παραλαβής Έργου Πρόεδρος: Μέλη: Στέφανος Ξαρχουλάκος Κοινωνία της Πληροφορίας Α.Ε. Ηλίας Κοντάκος Κοινωνία της Πληροφορίας Α.Ε. Θεόδωρος Σαμπατακάκης Κοινωνία της Πληροφορίας Α.Ε. 2

Α ι τ ι μ α ί μ ε γ ά λ α ι α ν α π ο κ τ ε ί ν ε ι τ ι ς ο υ κ λ έ π τ ε ι ν, α λ λ ά τ ύ ρ α ν ν ο ν Aριστοτέλης Περίληψη 1 : Η λειτουργία της σύγχρονης Δημόσιας Διοίκησης εξαρτάται, σε ολοένα και μεγαλύτερο βαθμό, από την εύρυθμη λειτουργία των πληροφοριακών και επικοινωνιακών υποδομών της. Οι υποδομές αυτές είναι εκτεθειμένες σε σωρεία απειλών, οι ο- ποίες μπορεί να προκαλέσουν την υποβάθμιση ή τη διακοπή της λειτουργίας τους, πράγμα που θα προκαλέσει, με τη σειρά του, την υποβάθμιση ή τη διακοπή των παρεχόμενων υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για την αποφυγή του ενδεχομένου αυτού η σύγχρονη Δημόσια Διοίκηση, διεθνώς, έχει καταφύγει στη σχεδίαση, ανάπτυξη και θέση σε λειτουργία σειράς οργανωτικών και διοικητικών σχημάτων, τα οποία αποβλέπουν στην αντιμετώπιση των σχετικών απειλών. Στο παρόν παραδοτέο προτείνεται ένα τέτοιο σχήμα, με στόχο την προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας Διοίκησης. Για τη σχεδίαση του σχήματος αυτού λήφθηκε υπόψη τόσο η σχετική διεθνής εμπειρία - η οποία περιγράφεται συνοπτικά και συστηματικά στο κείμενο - όσο και ορισμένες υπάρχουσες και αναπτυσσόμενες κρίσιμες υπηρεσίες ηλεκτρονικής διακυβέρνησης στην Ελλάδα (πχ. Σύζευξις, ΤaxisNET, Κέντρα Εξυπηρέτησης Πολιτών, Κέντρα Δεδομένων ΚτΠ Α.Ε κλπ.). Για τη συστηματικότερη μελέτη του ζητηματος διοργανώθηκε ειδική ημερίδα διαβούλευσης με ενδιαφερόμενα μέρη, στα οποία δόθηκε η ευκαιρία να διατυπώσουν τις σχετικές θέσεις και προτάσεις τους. Οι απόψεις αυτές καταγράφονται στο παρόν παραδοτέο. Το προτεινόμενο σχήμα περιγράφεται στο παραδοτέο αναλυτικά, πλαισιούμενο από σειρά εναλλακτικών λύσεων που αφορούν τη δομή του, μια από τις οποίες θα μπορούσε να υιοθετηθεί από την αρμόδια πολιτική ηγεσία για την έγκαιρη και αποτελεσματική προστασία των κρίσιμων πληροφοριακών και επικοινωνιακών υποδομών της ελληνικής Δημόσιας Διοίκησης. Στο παραδοτέο περιλαμβάνοναι, επίσης, για λόγους πληρότητας, τρία ενδεικτικά σενάριο αξιοποίησης του προτεινόμενου φορέα σε περιπτώσεις μείζονων κρίσεων. Λέξεις κλειδιά: Κρίσιμες Υποδομές, Προστασία Κρίσιμων Υποδομών, Πληροφοριακές Υποδομές, Επικοινωνιακές Υποδομές, Ασφάλεια Πληροφοριών, Ασφάλεια Υπολογιστών, Α- σφάλεια Δικτύων, Ασφάλεια Πληροφοριακών Συστημάτων, Ηλεκτρονική Διακυβέρνηση. Ευχαριστίες: Τα μέλη της ΟΕ εκφράζουμε τις θερμές ευχαριστίες μας στη Συντονιστική Επιτροπή του e-government Forum και στο Διοικητικό Συμβούλιο της ΚτΠ Α.Ε. για την ανάθεση του παρόντος έργου. Επίσης, ευχαριστούμε ιδιαίτερα τους (αλφαβητικά) κκ. Κώστα Βασιλείου (ΚτΠ), Στέφανο Ξαρχουλάκο (ΚτΠ), Στάθη Παναγιωτόπουλο (ΥΠΟΙΚ), Κώστα Τζοάννη (ΚτΠ) και Πέτρο Τσώνη (ΚτΠ), καθώς και όλους τους συναδέλφους που συμμετείχαν στη διαδικασία διαβούλευσης. 1 Η επιτελική σύνοψη του παραδοτέου παρατίθεται (σελ. 10-24) ειδικά για τους αναγνώστες που ενδιαφέρονται για μια μεστή και συνοπτική ενημέρωση για το περιεχόμενο, τα συμπεράσματα και τις προτάσεις που περιλαμβάνονται στο παραδοτέο, χωρίς τεχνικές λεπτομέρειες. 3

Τα αναφερόμενα στο παρόν πόνημα απηχούν, αυστηρά και μόνον, τις προσωπικές απόψεις των μελών της Ομάδας Εργασίας. Δεν εκφράζουν, κατ ανάγκην, ούτε δεσμεύουν με οποιονδήποτε τρόπο τη Συντονιστική Επιτροπή του egovernment Forum, το Διοικητικό Συμβούλιο της Κοινωνίας της Πληροφορίας Α.Ε. ή οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο. Η ακρίβεια των περιεχομένων του κειμένου ελέγχθηκε με βάση τους διαθέσιμους πόρους και τα διαθέσιμα μέσα κατά το χρόνο της συγγραφής του. Παραταύτα, τυχόν σποραδικές αποκλίσεις από τα κατά περίπτωση ισχύοντα δεν μπορούν να αποκλεισθούν και, εάν υπάρχουν, βαρύνουν αποκλειστικά και μόνο τα μέλη της Ομάδας Εργασίας. 4

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ... 10 1. ΕΙΣΑΓΩΓΗ ΚΑΙ ΣΤΟΧΟΙ ΤΟΥ ΕΡΓΟΥ... 26 2. ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ ΚΑΙ ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ... 28 2.1 ΕΝΝΟΙΟΛΟΓΙΚΗ ΟΡΙΟΘΕΤΗΣΗ... 28 2.2 ΜΕΘΟΔΟΣ ΕΡΓΑΣΙΑΣ... 29 3. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΚΡΙΣΕΩΝ... 36 3.1 ΕΙΣΑΓΩΓΗ... 36 3.2 ΚΡΙΣΙΜΕΣ ΥΠΟΔΟΜΕΣ ΚΑΙ ΠΡΟΣΕΓΓΙΣΕΙΣ CICIP... 36 3.2.1 Κρίσιμες Υποδομές... 36 3.2.2 Πυλώνες ενός οργανωσιακού σχήματος CICIP... 36 3.2.3 Προσεγγίσεις CIP... 37 3.2.4 Κριτήρια αξιολόγησης προσεγγίσεων... 38 3.3 ΚΑΤΑΓΡΑΦΗ ΟΡΓΑΝΩΤΙΚΩΝ ΣΧΗΜΑΤΩΝ... 38 3.3.1 Εισαγωγή... 38 3.3.2 Ευρώπη... 39 3.3.3 Χώρες εκτός Ευρώπης... 58 3.3.4 Άλλες Χώρες... 74 3.3.5 Διεθνείς Οργανισμοί... 74 3.3.6 Διεθνείς Φορείς... 79 3.3.7 Άλλοι Διεθνείς Οργανισμοί... 80 3.4 ΑΠΟΤΙΜΗΣΗ ΚΑΙ ΣΥΓΚΡΙΣΗ - ΣΥΜΠΕΡΑΣΜΑΤΑ... 80 3.4.1 Επισκόπηση κριτηρίων αξιολόγησης προσεγγίσεων CICIP... 80 3.5 ΠΡΟΤΕΙΝΟΜΕΝΟ ΠΛΑΙΣΙΟ CICIP... 81 3.5.1 Προτεινόμενο Μοντέλο συνεργασίας... 81 4. ΟΡΓΑΝΩΤΙΚΑ ΣΧΗΜΑΤΑ ΚΑΙ ΕΠΟΠΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΣΤΗΝ ΕΛΛΑΔΑ... 86 4.1 ΕΙΣΑΓΩΓΗ... 86 4.2 ΕΛΛΗΝΙΚΟΙ ΕΠΟΠΤΙΚΟΙ/ΚΑΝΟΝΙΣΤΙΚΟΙ/ΔΙΩΚΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ... 86 4.2.1 ΓΕΕΘΑ Εθνική Αρχή Ασφάλειας... 86 4.2.2 Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ)/ΥΠΕΣ... 86 4.2.3 Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης/ΥΠΕΣ... 86 4.2.4 Υπηρεσίας Ανάπτυξης Πληροφορικής (ΥΑΠ)/ΥΠΕΣ... 87 4.2.5 Υπουργείο Μεταφορών και Επικοινωνιών... 87 4.2.6 Τράπεζα Ελλάδος... 88 4.2.7 Ελληνική Αστυνομία Διεύθυνση Εγκληματολογικών Ερευνών... 88 4.3 ΡΥΘΜΙΣΤΙΚΟΙ ΦΟΡΕΙΣ ΑΣΦΑΛΕΙΑΣ... 89 4.3.1 Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΠΔ)... 89 4.3.2 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ)... 91 4.3.3 Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ)... 93 4.3.4 Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας για το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας (GRNET-CERT)... 95 4.3.5 European Network Information Security Agency (ENISA)... 95 4.4 ΕΛΛΗΝΙΚΟΙ ΦΟΡΕΙΣ/ΙΣΤΟΧΩΡΟΙ ΕΝΗΜΕΡΩΣΗΣ... 98 4.4.1 Ελληνικός Φορέας Πρόληψης Τηλεπικοινωνιακής Απάτης (ΕΦΤΑ)... 99 4.4.2 Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας... 99 4.4.3 Ελληνικός Κόμβος Ασφαλούς Διαδικτύου SafeNetHomePlus... 100 4.4.4 SafeLine... 100 4.4.5 DART (Digital Awareness and Response to Threats)... 100 4.4.6 Κέντρο Μελετών Ασφάλειας (ΚΕ.ΜΕ.Α)... 101 4.4.7 Ινστιτούτο Ερευνών / Μελετών Τηλεπικοινωνιών και Πληροφορικής Χωρών Νοτιαοανατολικής Ευρώπης (ΙΝΑ)... 102 4.5 ΣΥΓΚΕΝΤΡΩΤΙΚΗ ΠΑΡΟΥΣΙΑΣΗ ΦΟΡΕΩΝ... 103 5

5. ΚΡΙΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΑΚΕΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΕΣ ΥΠΟΔΟΜΕΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ... 107 5.1 ΑΞΙΟΛΟΓΗΣΗ ΚΡΙΣΙΜΟΤΗΤΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΥΠΟΔΟΜΩΝ ΤΗΣ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ... 107 5.1.1 Σκοπός... 107 5.1.2 Εκτίμηση κρισιμότητας μέσω εκτίμησης επικινδυνότητας... 107 5.1.3 Κριτήρια επικινδυνότητας... 108 5.1.4 Ταξινόμηση και αποτίμηση επιπτώσεων σε ΠΕΥ ΔΔ... 110 5.1.5 Μέθοδος αξιολόγησης κρισιμότητας ΠΕΥ ΔΔ... 112 5.2 ΔΙΚΤΥΟ ΣΥΖΕΥΞΙΣ... 117 5.2.1 Στοιχεία ταυτότητας έργου... 117 5.2.2 Αρχιτεκτονική ΟΠΣ/Δικτύου... 119 5.2.3 Παρεχόμενες υπηρεσίες... 121 5.2.4 Συνδεόμενοι/εξαρτώμενοι φορείς/οπσ... 121 5.2.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου... 122 5.2.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής... 123 5.2.7 Ένταξη στις εθνικές ΠΕY... 123 5.2.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής... 124 5.2.9 Συμπεράσματα... 126 5.3 TAXISNET... 127 5.3.1 TAXIS - Ολοκληρωμένο Πληροφοριακό Σύστημα Φορολογίας... 127 5.3.2 Παρουσίαση Υφιστάμενης Κατάστασης... 129 5.3.3 TAXISnet... 132 5.3.4 Παρεχόμενες υπηρεσίες ΝΕΟΥ TAXISnet... 135 5.3.5 Υφιστάμενο επίπεδο ασφάλειας... 140 5.3.6 Ελλείψεις Συμπεράσματα Προτεινόμενες Δράσεις... 142 5.3.7 Εφαρμογή κριτηρίων χαρακτηρισμού TAXIS - TAXISnet ως υποδομής... 142 5.3.8 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής... 142 5.3.9 Συμπεράσματα... 145 5.4 DATA CENTERS ΚΤΠ ΑΕ... 146 5.4.1 Πρόσβαση Ατόμων με Αναπηρία (ΑμεΑ) στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης... 147 5.4.2 Δορυφόρος Λογαριασμός Τουρισμού και Παρατηρητήριο Τουρισμού... 153 5.4.3 Σύστημα Διαχείρισης της Εκπαιδευτικής Διαδικασίας και του Εκπαιδευτικού Περιεχομένου (ΥΛΠΗΣΔΕΔ)... 158 5.4.4 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Υγείας, Δημόσιας Υγιεινής και Κοιvωνικής Πρόνοιας... 162 5.4.5 Πληροφοριακό Σύστημα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργικές Περιοχές Εμπορίου και Ανωνύμων Εταιριών... 167 5.4.6 Πληροφοριακά Συστήματα Νομαρχιακών Αυτοδιοικήσεων: Λειτουργική Περιοχή Πολεοδομίας... 173 5.4.7 ΡΑΠΤΑΡΧΗΣ... 180 5.4.8 Εθνική Πύλη ΕΡΜΗΣ... 183 5.4.9 Σχεδίαση και Κατασκευή Διαδικτυακής Πύλης για τα Δάση και τη Διαχείριση Υδάτινων Πόρων... 195 5.4.10 Αρχιτεκτονική ΟΠΣ/Δικτύου... 196 5.4.11 Πολεοδομία ΙΙ... 198 5.4.12 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής... 201 5.4.13 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής... 202 5.4.14 Συμπεράσματα... 205 5.5 ΟΠΣ ΚΕΠ... 206 5.5.1 Στοιχεία ταυτότητας έργου... 206 5.5.2 Αρχιτεκτονική ΟΠΣ/Δικτύου... 206 5.5.3 Παρεχόμενες Υπηρεσίες... 209 5.5.4 Συνδεόμενοι/εξαρτώμενοι φορείς/οπσ... 210 5.5.5 Μελέτη Ασφάλειας ΟΠΣ/Δικτύου... 213 5.5.6 Εφαρμογή κριτηρίων χαρακτηρισμού ΟΠΣ/Δικτύου ως υποδομής... 215 5.5.7 Εφαρμογή στο ΠΣ/Δίκτυο κριτηρίων κρισιμότητας υποδομής... 215 5.5.8 Συμπεράσματα... 218 6

6. ΠΡΟΤΕΙΝΟΜΕΝΟ ΟΡΓΑΝΩΤΙΚΟ ΣΧΗΜΑ... 221 6.1 ΠΕΡΙΓΡΑΦΗ... 221 6.1.1 Μορφές οργάνωσης... 221 6.1.2 Οργανωτικό Σχήμα... 223 6.2 ΕΠΙΜΕΡΟΥΣ ΟΜΑΔΕΣ... 226 6.2.1 Συντονιστική Επιτροπή... 226 6.2.2 Ομάδα Ελέγχου... 227 6.2.3 Ομάδα συμβούλων - εμπειρογνωμόνων... 230 6.2.4 Ομάδα Διαχείρισης Κρίσεων... 231 6.2.5 Ομάδα για τη συλλογή πληροφοριών περιστατικών... 232 6.2.6 Ομάδα για την Ενημέρωση και Πρόληψη... 233 6.2.7 Ομάδα για την Αντιμετώπιση Περιστατικών... 235 6.2.8 Ομάδα για τη Διερεύνηση Περιστατικών (Investigation)... 236 6.2.9 Αλλες ομάδες... 237 6.3 ΕΝΔΕΙΚΤΙΚΑ ΣΕΝΑΡΙΑ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΚΡΙΣΙΜΑ ΠΛΗΡΟΦΟΡΙΑΚΑ & ΕΠΙΚΟΙΝΩΝΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΤΗΣ ΔΔ... 239 6.3.1 Σενάριο 1 - Υποβάθμιση Επιπέδου Παρεχόμενων Υπηρεσιών στη Νησίδα Χ του ΣΥΖΕΥΞΙΣ... 239 6.3.2 Σενάριο 2 - Άγνωστου τύπου Επίθεση στο Υπουργείο Χ... 241 6.3.3 Σενάριο 3 - Κρίση στο Κεντρικό Δίκτυο Τραπεζών (Τράπεζα της Ελλάδος)... 244 7. ΔΙΑΒΟΥΛΕΥΣΗ... 248 7.1 ΕΙΣΑΓΩΓΗ ΑΝΑΓΚΗ ΓΙΑ ΔΙΑΒΟΥΛΕΥΣΗ... 248 7.2 ΠΡΩΤΟΒΟΥΛΙΕΣ ΔΙΑΒΟΥΛΕΥΣΗΣ... 248 7.3 ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ ΣΥΝΟΠΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ... 249 7.3.1 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε1... 250 7.3.2 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε2... 251 7.3.3 Συμπεράσματα από τις απαντήσεις των Ερωτηματολογίων Ε3... 252 7.4 ΗΜΕΡΙΔΑ ΔΙΑΒΟΥΛΕΥΣΗΣ... 253 7.4.1 Σκοπός και διάρθρωση... 253 7.4.2 Επί μέρους θέματα συζήτησης... 253 7.4.3 Σταχυολόγηση απόψεων Συμπεράσματα... 254 8. ΣΥΜΠΕΡΑΣΜΑΤΑ - ΠΡΟΤΑΣΕΙΣ... 257 8.1 ΚΩΔΙΚΟΠΟΙΗΣΗ ΣΥΜΠΕΡΑΣΜΑΤΩΝ ΚΑΙ ΠΡΟΤΑΣΕΩΝ... 257 8.2 ΠΡΟΤΕΙΝΟΜΕΝΕΣ ΠΑΡΕΜΒΑΣΕΙΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΚΡΙΣΙΜΩΝ ΠΕΥ ΤΗΣ ΔΔ... 259 ΒΙΒΛΙΟΓΡΑΦΙΑ... 261 ΑΚΡΩΝΥΜΙΑ... 266 ΠΑΡΑΡΤΗΜΑ Α: ΕΡΩΤΗΜΑΤΟΛΟΓΙΑ... 275 ΠΑΡΑΡΤΗΜΑ Β: ΠΡΟΓΡΑΜΜΑ ΗΜΕΡΙΔΑΣ... 294 7

ΣΧΗΜΑΤΑ Σχήμα 1: Αδρή Οντολογία Επικινδυνότητας (Risk) [Γκρ-07]... 29 Σχήμα 2: Μέθοδος εργασίας O.E. CICIP... 34 Σχήμα 3: Πυλώνες CICIP [Sut-07]... 37 Σχήμα 4: Αρμοδιότητες BMI [BSI-05b]... 41 Σχήμα 5: Αρμοδιότητες βασικών υπηρεσιών του BMI [BSI-05b]... 42 Σχήμα 6: Γερμανικές Ομοσπονδιακές Αρχές αρμόδιες σε θέματα CICIP [BSI-05b]... 43 Σχήμα 7: Δομές Αυστραλίας, σχετικά με CICIP... 66 Σχήμα 8: European Unio - From PASR to the FP7 Theme «Security» (Πηγή: Information Day on Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007)... 78 Σχήμα 9: European Union CICIP Policies and RTD (Πηγή: Information Day on Critical Infrastructure Protection Joint Call, Brussels, 27 September 2007)... 79 Σχήμα 10: Δομή οργανωτικού σχήματος CICIP [Sut-07]... 82 Σχήμα 11: Οργανόγραμμα ενός σχήματος CICIP [Sut-07]... 82 Σχήμα 12: Δίκτυο επαφών οργανωτικού σχήματος CICIP [Sut-07]... 83 Σχήμα 13: Δομή CCB [Sut-07]... 83 Σχήμα 14: Διαβάθμιση πληροφορίας CCB [Sut-07]... 84 Σχήμα 15: Σύγκριση CCB και OCB [Sut-07]... 84 Σχήμα 16: Οργανόγραμμα Ελληνικής Αστυνομίας... 89 Σχήμα 17: Αρμοδιότητες ENISA... 97 Σχήμα 18: Χρονική κατανομή έντασης επιπτώσεων και υπολογισμός κατά κεφαλή επίπτωσης (οι αναφερόμενες τιμές είναι ενδεικτικές)... 111 Σχήμα 19: Μέγεθος επιπτώσεων, ως συνδυασμóς των χαρακτηριστικών κλίμακας (ένταση, χρονική διάρκεια, πληθυσμιακή πυκνότητα) (οι αναφερόμενες τιμές είναι ενδεικτικές)... 112 Σχήμα 20: Απεικόνιση νησίδας δικτύου Σύζευξις... 120 Σχήμα 22: Αρχιτεκτονική υποδομής ΟΠΣ TAXISnet... 137 Σχήμα 23: Αρχιτεκτονική υποδομής DataCenter TAXISnet... 138 Σχήμα 24: Αρχιτεκτονική ΟΠΣ πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 149 Σχήμα 25: Παρεχόμενες Υπηρεσίες για ΑΜΕΑ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 150 Σχήμα 26: Αρχιτεκτονική ΟΠΣ Στρατηγικού Σχεδιασμού του Τουριστικού Τομέα (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 155 Σχήμα 27: Αρχιτεκτονική συστήματος διαχείρισης εκπαιδευτικής διαδικασίας και εκπαιδευτικού περιεχομένου (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 159 Σχήμα 28: Αρχιτεκτονική ΟΠΣ Εμπορίου και Α.Ε. (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 169 Σχήμα 29: Αρχιτεκτονική ΟΠΣ Πολεοδομιών (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 174 Σχήμα 30: Αρχιτεκτονική ΕΡΜΗΣ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 185 Σχήμα 31: Αρχιτεκτονική Άξονα Γ' (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 186 Σχήμα 32: Σύστημα ανάκαμψης από καταστροφές (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 194 Σχήμα 33: Αρχιτεκτονική Σχεδίαση Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 196 Σχήμα 34: Αρχιτεκτονική Σχεδίαση (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 199 Σχήμα 35: Χρήστες ΟΠΣ Πολεοδομία ΙΙ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 200 Σχήμα 36: Λειτουργική Αρχιτεκτονική ΟΠΣ ΚΕΠ (Πηγή: Μελέτη Εφαρμογής Αναδόχου)... 207 Σχήμα 37: Προτεινόμενο οργανωτικό σχήμα... 224 Σχήμα 38: Διασύνδεση με άλλους φορείς... 225 Σχήμα 39: Κατανεμημένο μοντέλο ελέγχου... 229 Σχήμα 41: Ακολουθία δράσεων Φ. στο Σενάριο 2... 243 Σχήμα 42: Ακολουθία δράσεων Φ. στο Σενάριο 3... 246 8

ΠΙΝΑΚΕΣ Πίνακας 1: Κριτήρια αξιολόγησης προσεγγίσεων CICIP... 80 Πίνακας 2: Κριτήρια αξιολόγησης προσεγγίσεων CICIP... 81 Πίνακας 3: Προσόντα εταίρων οργανωτικού σχήματος CICIP [Sut-07]... 82 Πίνακας 4: Στόχοι ENISA... 97 Πίνακας 5: Ρυθμιστικοί/ Ελεγκτικοί Φορείς Ασφάλειας... 104 Πίνακας 6: Εποπτικοί/Κανονιστικοί φορείς ασφάλειας στην Ελλάδα... 105 Πίνακας 7: Επίπεδο επικινδυνότητας, ως συνδυασμός πιθανοφάνειας, απειλής και επιπτώσεων... 108 Πίνακας 8: Αποτίμηση επιπτώσεων [NCIAP-04]... 110 Πίνακας 9: Κριτήρια επιλογής Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης (ΠΕΥ ΔΔ)... 114 Πίνακας 10: Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές της Ελληνικής Δημόσιας Διοίκησης (ΠΕΥ ΔΔ) (ενδεικτικές)... 116 Πίνακας 11: Εφαρμογή κριτηρίων κρισιμότητας υποδομής... 125 Πίνακας 12: Λειτουργούντα και αναπτυσσόμενα ΟΠΣ ΓΓΠΣ... 130 Πίνακας 13: Ταυτότητα έργου TAXISnet... 132 Πίνακας 14: Βασικές ηλεκτρονικές υπηρεσίες της Δημόσιας Διοίκησης... 139 Πίνακας 15: Εφαρμογή κριτηρίων κρισιμότητας υποδομής... 142 Πίνακας 16: Εφαρμογή κριτηρίων κρισιμότητας υποδομής TAXIS TAXISnet... 144 Πίνακας 17: ΟΠΣ στα Data Centers της ΚτΠ... 146 Πίνακας 18: Πιθανά μελλοντικά Data Centers της ΚτΠ Α.Ε.... 147 Πίνακας 19: Ταυτότητα έργου πρόσβασης ΑΜΕΑ στις υπηρεσίες ηλεκτρονικής διακυβέρνησης... 148 Πίνακας 20: Ταυτότητα έργου Δορυφόρος Λογ/μός Τουρισμού και Παρατηρητήριο Τουρισμού... 153 Πίνακας 21: Ταυτότητα του έργου Υ.Λ.ΠΗ.Σ.Δ.Ε.Δ... 159 Πίνακας 22: Ταυτότητα έργου ΟΠΣΝΑ Υγείας, Δημόσιας Υγείας και Κοιvωνικής Πρόνοιας... 163 Πίνακας 23: Ταυτότητα έργου ΟΠΣΝΑ Εμπορίου και Α.E.... 168 Πίνακας 24: Ταυτότητα έργου ΟΠΣΝΑ Πολεοδομίας... 174 Πίνακας 25: Ταυτότητα έργου ΡΑΠΤΑΡΧΗΣ... 180 Πίνακας 26: Ταυτότητα έργου Εθνική Πύλη ΕΡΜΗΣ... 184 Πίνακας 27: Ταυτότητα έργου Διαδικτυακής Πύλης για Δάση και Διαχείριση Υδάτινων Πόρων... 196 Πίνακας 28: Ταυτότητα έργου ΟΠΣ Πολεοδομία ΙΙ... 198 Πίνακας 29: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών.. 204 Πίνακας 30: Ταυτότητα έργου ΟΠΣ ΚΕΠ... 206 Πίνακας 31: Εφαρμογή κριτηρίων κρισιμότητας πληροφοριακών και επικοινωνιακών υποδομών.. 217 9

ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ Εισαγωγή και οριοθέτηση έργου Η ραγδαία διείσδυση των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) στη Δημόσια Διοίκηση (ΔΔ), κυρίως μέσω της ανάπτυξης ολοκληρωμένων πληροφοριακών συστημάτων και της διάχυσης και συνδυαστικής αξιοποίησης των ευρυζωνικών επικοινωνιακών υποδομών, επέφερε σημαντικές και πολλαπλές διαφοροποιήσεις στις υπηρεσίες ηλεκτρονικής διακυβέρνησης (e-government services). Μια από τις βασικές διαφοροποιήσεις είναι η μετατόπιση του κέντρου βάρους των ζητημάτων Ασφάλειας στις ΤΠΕ από την Ασφάλεια Πληροφοριακών Συστημάτων (ΠΣ) στην Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών 2. Στις τρέχουσες συνθήκες,, το διακύβευμα της προστασίας τείνει να μην είναι μόνον - ή κυρίως - τα Ολοκληρωμενα Πληροφοριακά Συστήματα, αλλά πρωτίστως οι Κρίσιμες Πληροφοριακές και Επικοινωνιακές Υποδομές (ΠΕΥ). Αυτό ισχύει γιατί μέσω των υποδομών αυτών καθίσταται δυνατή - αλλά και από αυτές εξαρτάται σε μεγάλο βαθμό - η λειτουργία των πληροφοριακών συστημάτων της ΔΔ, καθώς και η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης. Για να επιτευχθεί η αναγκαία προστασία των κρίσιμων ΠΕΥ της ΔΔ απαιτείται έγκαιρη, μεθοδική και συστηματική εργασία των αρμόδιων φορέων της Πολιτείας, σε συνεργασία με τα ενδιαφερόμενα μέρη, όπως οι πανεπιστημιακοί και ερευνητικοί φορείς που δραστηριοποιούνται στη γνωστική αυτή περιοχή, οι επιχειρήσεις του κλάδου των ΤΠΕ, αλλά και οι εκπρόσωποι των εργαζομένων και της κοινωνίας των πολιτών. Οι αναγκαίες πρωτοβουλίες δεν πρέπει να περιορίζονται μόνον - ούτε κυρίως - στην ταχεία και αποτελεσματική επίλυση των όποιων μείζονων προβλημάτων τυχόν εμφανιστούν, αλλά πολύ περισσότερο, στην προληπτική αντιμετώπιση και την αποφυγή των προβλημάτων αυτών. Ειδικά σε χώρες όπως η Ελλάδα, όπου η εφαρμογή των ΤΠΕ έχει σημαντικά περιθώρια περαιτέρω βελτίωσης, αλλά και η ε- μπιστοσύνη των πολιτών στη ΔΔ είναι ακόμη σχετικά περιορισμένη, η ασφαλής και ποιοτική παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης αποτελεί μείζονα στόχο των εμπλεκομένων επιστημόνων και τεχνικών, αλλά και βασικό μέσο για τη σταδιακή καταξίωση της ΔΔ. Η δυνατότητα προληπτικής αντιμετώπισης των απειλών που αντιμετωπίζουν οι ΠΕΥ της ΔΔ προϋποθέτει οργάνωση, σχεδιασμό, ενημέρωση, συνεργασία και διαρκή εξάσκηση. Για να υπάρξει πραγματική δυνατότητα πρόληψης χρειάζεται αξιόλογη επένδυση σε ανθρώπινους και υλικούς πόρους, Η ε- πένδυση αυτή, που πρωτίστως αποτελεί στόχο και καθήκον της ΔΔ έναντι των πολιτών, μπορεί να α- ποσβεσθεί γρήγορα μέσω του πολύ σημαντικού οικονομικού οφέλους που προκύπτει από την αποφυγή μείζονων προβλημάτων στη λειτουργία των ΠΕΥ της ΔΔ 3. 2 3 Υποδομή (Infrastructure): Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία της ΔΔ, της Οικονομίας, της Κοινωνίας ή/και άλλων υποδομών. Κρίσιμη Υποδομή: (Critical Infrastructure): Υποδομή μεγάλης κλίμακας, της οποίας τυχόν υποβάθμιση, διακοπή ή δυσλειτουργία έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία της ΔΔ ή/και της Οικονομίας. Πληροφοριακή και Επικοινωνιακή Υποδομή (ΠΕΥ): Υποδομή που αποσκοπεί στην παροχή πληροφοριών, υπηρεσιών επικοινωνίας ή άλλων ηλεκτρονικών υπηρεσιών. Κρίσιμη ΠΕΥ (Critical Information and Communication Infrastructure): Πληροφοριακό και επικοινωνιακό σύστημα που είναι κρίσιμη υποδομή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών. Προστασία Κρίσιμης ΠΕΥ (Critical Information and Communication Infrastructure Protection): Ενέργειες των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Δημόσιας Διοίκησης ή/και κανονιστικών/ρυθμιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων και σφαλμάτων, καθώς και για την ανάκαμψη, σε εύλογο χρόνο, της υποδομής μετά από τέτοια γεγονότα. Σε περιπτώσεις επιτυχών προληπτικών δράσεων συμβαίνει το εξής φαινόμενο. Όσο πιο αποτελεσματική είναι η προστασία ενός ΠΣ, τόσο λιγότερα περιστατικά ανασφάλειας συμβαίνουν. Όσο λιγότερα περιστατικά συμβαίνουν, τόσο λιγότερη συζήτηση γίνεται σε θέματα ασφάλειας. Το γεγονός αυτό συχνά υποβιβάζει την ασφάλεια στην agenda της κοινής γνώμης, αλλά και των διοικήσεων ορισμένων φορέων και οργανισμών. Πιθανή συνέπεια αυτού είναι ο περιορισμός των επενδύσεων σε θέματα ασφάλειας και - ως εκ τούτου - η εμφάνιση μιας νέας απειλής. Αντίθετα, η κατά καιρούς εμφάνιση μείζονων περιστατικών ανασφάλειας (horror stories) προκαλεί αύξηση των επενδύσεων σε ασφάλεια. Τελικά, η εμπειρία αποδεικύει ότι η επιτυχής πρόληψη προκαλεί εφησυχασμό, ο οποίος αποτελεί βασική απειλή για την ασφάλεια. 10

Δεδομένης της ιεραρχικής δομής και λειτουργίας της ΔΔ, η προστασία των κρίσιμων ΠΕΥ της αποτελεί το αντικείμενο μιας από τις πρωτουβουλίες που ήταν εφικτό και σκόπιμο να αναλάβει η ίδια η ΔΔ. Η πρωτοβουλία αυτή αναλήφθηκε μέσω των δράσεων του e-government Forum 4, το οποίο χρηματοδοτείται από το Επιχειρησιακό Πρόγραμμα Κοινωνία της Πληροφορίας. Ειδικότερα, στο πλαίσιο του e-government Forum συστήθηκε Ομάδα Εργασίαςς (OE) εμπειρογνωμόνων, με αντικείμενο την Προστασία των Κρίσιμων (Critical Information and Communication Infrastructure Protection, CICIP). Οι βασικοί στοχοι της ΟE ήσαν: α. H αποτελεσματική αξιοποίηση της τεχνογνωσίας της ακαδημαϊκής και επιχειρηματικής κοινότητας σε θέματα προστασίας κρίσιμων ΠΕΥ. β. Η προώθηση της σύζευξης ΤΠΕ και διοικητικής δράσης, μέσω της προδιαγραφής του οργανωτικού σχήματος που είναι αναγκαίο για την αποτελεσματική προστασία κρίσιμων ΠΕΥ της ΔΔ. γ. Η πρόταση δράσεων για την αξιοποίηση των δυνατοτήτων του επιχειρηματικού τομέα του χώρου των ΤΠΕ, με στόχο την αποτελεσματικότερη υλοποίηση, παραγωγική λειτουργία και τεχνική υ- ποστήριξη του οργανωτικού σχήματος που θα προταθεί. Μέθοδος εργασίας Το παρόν πόνημα αποτελεί το αποτέλεσμα της εργασίας της ΟE CICIP. Το κείμενο επικεντρώνεται στην περιγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, το οποίο προτείνεται να δημιουργηθεί, στο πλαίσιο της λειτουργίας της ΔΔ, με στόχο την προστασία των κρίσιμων ΠΕΥ της ΔΔ. Η μέθοδος που επελέγη για τη σχεδίαση του οργανωτικού σχήματος προστασίας των κρίσιμων ΠΕΥ της ΔΔ αποτελείται από τα εξής εφτά βήματα: 1 Διεθνή οργανωτικά σχήματα για την προστασία κρίσιμων ΠΕΥ 2 Τρέχον οργανωτικό πλαίσιο και πρακτικές Στρατηγικός Σχεδιασμός για την Προστασία Κρίσιμων Πληροφοριακών & Επικοινωνιακών Υποδομών της Δημόσιας Διοίκησης 7 Δημόσια παρουσίαση & κριτική αξιολόγηση αποτελεσμάτων 6 Προδιαγραφή οργανωτικού σχήματος 3 Κρίσιμες ΠΕΥ της Δημόσιας Διοίκησης 4 Αξιολόγηση των ΠΕΥ ΔΔ ως προς την κρισιμότητα 5 Οργανωμένη διαβούλευση Βήμα 1: Καταγραφή και αξιολόγηση ώριμων οργανωτικών σχημάτων που λειτουργούν διεθνώς και α- φορούν προστασία κρίσιμων ΠΕΥ. Ειδικότερα, έγινε αναλυτική επισκόπηση των σχετικών οργανωτικών σχημάτων που έχουν αναπτυχθεί σε διάφορες χώρες (εντός και εκτός ΕΕ), καθώς και σχετικών δράσεων και πρωτοβουλιών που έχουν αναληφθεί α- πό εθνικούς και διεθνείς oργανισμούς. Ειδικότερη α- νάλυση έγινε για ορισμένες επιλεγμένες χώρες (Γερμανία, Ελβετία, Ενωμένο Βασίλειο, ΗΠΑ, Καναδάς, Νέα Ζηλανδία, Ολλανδία και Σουηδία). Βήμα 2: Καταγραφή οργανωτικών σχημάτων προστασίας ΠΕΥ και διαχείρισης κρίσεων, που λειτουργούν σήμερα στο πλαίσιο της ελληνικής Δημόσιας Διοίκησης, καθώς και των επιχειρησιακών πρακτικών που αφορούν τις κρίσιμες ΠΕΥ. Ειδικότερα, α- ναζητήθηκαν οι οργανισμοί και φορείς που μπορεί να ενταχθούν στο πλαίσιο της ελληνικής Δημόσιας Διοίκησης και έχουν ρόλο που σχετίζεται με προστασία κρίσιμων ΠΕΥ. Η καταγραφή περιέλαβε εποπτικούς/κανονιστικούς φορείς, ρυθμιστικούς φορείς ασφάλειας, καθώς και φορείς 5 ενημέρωσης για τέτοια θέματα στον ελληνικό χώρο. Βήμα 3: Εντοπισμός και περιγραφή κρίσιμων ΠΕΥ της ΔΔ στην Ελλάδα. Δεδομένου ότι δεν θα ήταν ρεαλιστικό να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες 4 Σύσταση του e-government Forum, ΦΕΚ 1517/2006, τ. Β, σελ. 20241-20246, 16.10.2006. 5 Αν και καταβλήθηκε σύντονη προσπάθεια ο σχετικός κατάλογος νάναι πλήρης, δεν μπορεί να αποκλειστεί η περίπτωση κάποιος τέτοιος φορέας να διέλαθε της προσοχής των μελών της Ο.Ε. Στην περίπτωση αυτή παρακαλούμε για την κατανόηση του φορέα που παραλήφθηκε, αλλά και του αναγνώστη. 11

ΠΕΥ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε σε σχετική προσέγγιση της ΕΕ, με βάση την οποία καθορίστηκαν 20 υπηρεσίες 6 ως οι βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της. Οι υπηρεσίες αυτές παρέχονται μέσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. Οι ΠΕΥ αυτές μελετήθηκαν με βάση τη διαθέσιμη τεκμηρίωση, αλλά και με συνεντεύξεις με στελέχη της ΚτΠ Α.Ε. που διετέλεσαν υπεύθυνοι ανάπτυξης των ΠΕΥ. Βήμα 4: Αξιολόγηση των ΠΕΥ της ΔΔ ως προς την κρισιμότητα. Αρχικός στόχος ήταν η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των ΠΕΥ που εντοπίστηκαν και μελετήθηκαν σε προηγούμενα βήματα, ως προς την κρισιμότητά τους. Επίσης, η περιγραφή μιας συγκεκριμένης μεθόδου που θα επιτρέψει μια τέτοια αξιολόγηση. Η μέθοδος που τελικά επελέγη επιτρέπει τη δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες ΠΕΥ (ζωτικής σημασίας) και μη κρίσιμες ΠΕΥ (μη ζωτικής σημασίας). Η μέθοδος που επελέγη για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίστηκε σε δύο παραμέτρους: (α). Τα είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ και (β). την ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Ο χαρακτηρισμός μιας ΠΕΥ ως κρίσιμης βασίστηκε στο συνδυασμό της έντασης κάθε επίπτωσης, η οποία επέρχεται από τον περιορισμό της διαθεσιμότητας της ΠΕΥ (με βάση το θεωρητικά εκτιμώμενο δυσμενέστερο ενδεχόμενο 7 ). Η τελική επιλογή των κρίσιμων ΠΕΥ ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης (professional judgement). Βήμα 5: Οργανωμένη διαβούλευση με εμπειρογνώμονες που είτε εμπλέκονται ex officio στο χώρο αυτό, είτε εκτιμάται εύλογα ότι μπορούν να συνεισφέρουν με γόνιμες προτάσεις. Η διαβούλευση οργανώθηκε σε τέσσερις φάσεις: (α). Επιλογή συμμετεχόντων στη διαβούλευση, (β). Σύνταξη-αποστολή ειδικά σχεδιασμένων ερωτηματολογίων, (γ). Συλλογή-επεξεργασία απαντήσεων και (δ). Διοργάνωση και διεξαγωγή ημερίδας μεταξύ των μελών της ΟΕ και των εμπειρογνωμόνω που επελέγησαν. Βήμα 6: Αναλυτική προδιαγραφή ενός ευέλικτου και αποτελεσματικού οργανωτικού σχήματος, σε στρατηγικό και επιτελικό επίπεδο, που αποσκοπεί στην προστασία των κρίσιμων ΠΕΥ της ΔΔ. Με βάση τα αποτελέσματα προηγούμενων βημάτων, αλλά και τα συμπεράσματα που προέκυψαν από τη διαβούλευση σχεδιάστηκε ένα ευέλικτο οργανωτικό σχήμα, που αποσκοπεί στην προστασία των κρίσιμων ΠΕΥ ΔΔ και λαμβάνει υπόψη τις τρέχουσες ερευνητικές εξελίξεις στο CICIP, τις τρέχουσες πρακτικές σε διεθνές επίπεδο, αλλά ταυτόχρονα είναι προσαρμοσμένο στην ελληνική πραγματικότητα, λαμβάνοντας υπόψη τις ιδιαιτερότητες σε τεχνολογικό αλλά και οργανωτικό επίπεδο. Βήμα 7: Δημόσια παρουσίαση και κριτική αξιολόγηση των αποτελεσμάτων του έργου της ΟΕ, με τον ενδεδειγμένο τρόπο και στον κατάλληλο χρόνο. Η παρουσίαση των αποτελεσμάτων της ΟΕ προγραμματίζεται να γίνει με ανάρτηση ενημερωτικού υλικού, βιβλιογραφίας, αλλά και του παρόντος παραδοτέου στο δικτυακό τοπο του e-governement Forum (www.e-governmentforum.gr). Περαιτέρω, τα αποτελέσματα του έργου της ΟΕ προγραμματίζετια να παρουσιαστούν σε διάφορα fora που α- φορούν τις ΤΠΕ και τη ΔΔ. Επισκόπηση διεθνούς εμπειρίας Τα θέματα προστασίας των κρίσιμων υποδομών ανήκουν στις προτεραιότητες όλων των τεχνολογικά προηγμένων χωρών. Ειδικότερα, η προσοχή των χωρών αυτών δεν περιορίζεται μόνο στις ΠΕΥ, αλλά επεκτείνεται και σε άλλες κρίσιμες υποδομές, όπως η ενέργεια, η παροχή υπηρεσιών υγείας, η πυροπροστασία κλπ., μέσω μιας ολιστικής θεώρησης που αποβλέπει στην προστασία του συνόλου των κρίσιμων υποδομών (all-hazards approach). 6 Οι 20 βασικές υπηρεσίες έχει συμφωνηθεί να αξιολογούνται με βάση μια κοινή μέθοδο, σε ευρωπαϊκό επίπεδο. Έτσι, είναι δυνατή η σύγκριση της προόδου των κρατών-μελών της EE σε ό,τι αφορά την ανάπτυξη των ίδιων υπηρεσιών ηλεκτρονικής διακυβέρνησης (βλ. Βέργη Ε., Παππάς Θ., Εξέλιξη των 20 βασικών υπηρεσιών ηλεκτρονικής διακυβέρνησης στην Ελλάδα, Παρατηρητήριο για την Κοινωνία της Πληροφορίας, Αθήνα, Νοέμβρης 2007). 7 Η εκτίμηση με βάση το θεωρητικά δυσμενέστερο ενδεχόμενο (worst-case scenario) είναι συνήθης σε μεθόδους ανάλυσης επικινδυνότητας ΠΣ. Με την υπόθεση αυτή καθίσταται εφικτή μια ρεαλιστική εκτίμηση της επικινδυνότητας, αν και η βελτιστοποίηση του συντελεστή κόστους-απόδοσης (cost-benefit factor) δεν είναι αυστηρά εγγυημένη. 12

Αποτέλεσμα του πολύ αυξημένου διεθνούς ενδιαφέροντος είναι η ανάπτυξη σειράς οργανωτικών σχημάτων, που εντάσσονται κυρίως στο πλαίσιο των κρατικών δομών κάθε χώρας, τα οποία αποσκοπούν στην επίτευξη του συγκεκριμένου στόχου. Τα οργανωτικά αυτά σχήματα διαφέρουν, από χώρα σε χώρα, τόσο σε ό,τι αφορά την έκτασή τους, όσο και σε ό,τι αφορά τη δομή τους. Η διαφοροποίηση μπορεί να ερμηνευτεί με βάση το βαθμό της τεχνολογικής προόδου κάθε χώρας, τις τρέχουσες τοπικές κοινωνικο-οικονομικές ιδιαιτερότητες, τις στρατηγικές ένταξης των ΤΠΕ στο σχέδιο ανάπτυξης κάθε χώρας, καθώς και στο ιστορικό συμφραζόμενο που αφορά τον ιμπεριαλιστικό χαρακτήρα της χώρας. 8 Η επισκόπηση των οργανωτικών σχημάτων και δομών έδειξε, μεταξύ άλλων, ότι η προστασία των κρίσιμων υποδομών, ΠΕΥ ή άλλων, δεν είναι μονόδρομος, καθώς δεν υ- πάρχει βέλτιστο σχήμα, δεδομένων των αναπόφευκτων διαφοροποίησεων μεταξύ των διαφόρων χωρών. Από την άλλη, η επισκόπιση αποκάλυψε, επίσης, ότι υπάρχουν κάποιες συγκεκριμένες επιλογές, οι οποίες φαίνεται ότι υιοθετούνται από αρκετές χώρες και οι οποίες εκτιμάται ότι διαμορφώνουν έ- να σύνολο καλών πρακτικών (good practices) για την αντιμετώπιση του ζητήματος. Για παράδειγμα, ως πυλώνες της προστασίας των κρίσιμων υποδομών θεωρουνται δράσεις που αποβλέπουν στην πρόληψη και την έγκαιρη προειδοποίηση, στην έγκαιρη ανίχνευση των επιθέσεων, στην άμεση και αποτελεσματική αντίδραση σε αυτές, καθώς και στη διαχείριση των κρίσεων που προκύπτουν. Περαιτέρω, η σύγκλιση ορισμένων χωρών στην υιοθέτηση παρόμοιων οργανωτικών σχημάτων προστασίας των κρίσιμων υποδομών επιτρέπει τη διαμόρφωση μιας αδρής μεθοδολογίας, η οποία μπορεί να ακολουθηθεί από κάποια χώρα, όπως η Ελλάδα, που δεν διαθέτει ακόμη ένα τέτοιο οργανωτικό σχήμα, αλλά ενδιαφέρεται να αναπτύξει. Η μεθοδολογία αυτή, ως αρκούντως γενική και παραμετρική, δεν περιορίζει το πεδίο εφαρμογής της μόνο στις ολιστικές προσεγγίσεις (all-hazards), αλλά είναι εφαρμόσιμη και σε υποδομές περιορισμένου εύρους. Για παράδειγμα, είναι εφαρμόσιμη στην περίπτωση της Ελλάδας, όπου το τρέχον ενδιαφέρον εστιάζεται στην προστασία κρίσιμων (μόνον) ΠΕΥ, αλλά (με κάποιους περιορισμούς που αφορούν κυρίως την αλληλεπίδραση μεταξύ ΠΣ) και σε περιορισμένα πεδία εφαρμογής των ΤΠΕ (πχ. σε υπηρεσίες ηλεκτρονικής διακυβέρνησης). Τα βασικά συστατικά μέρη ενός τέτοιου οργανωτικού σχήματος είναι (α). Μια Κρατική Υπηρεσία, (β). ένα Κέντρο Ανάλυσης (που μπορεί να δημιουργηθεί γιαυτό το λόγο και μόνο), καθώς και (γ). ένα Κέντρο Αριστείας (πχ. ένα Ερευνητικό Ινστιτούτο ή ένα CERT με διευρυμένες αρμοδιότητες). Με βάση τη διεθνή εμπειρία προκύπτει ότι, πέραν των βασικών μερών από τα οποία πρέπει να αποτελείται ένα οργανωτικό σχήμα προστασίας κρίσιμων υποδομών, ιδιαίτερη σημασία έχει η εσωτερική οργανωτική του διάρθρωση (πχ. η αυξημένη διοικητική του αυτονομία, η ύπαρξη επαρκών διοικητικών μονάδων υποστήριξης κλπ.), οι διασυνδέσεις του με το περιβάλλον (καθώς αναμένεται να υπάρχει σειρά επικαλύψεων και συναρμοδιοτήτων με άλλες υπηρεσίες, κάποιες από τις οποίες θάναι αναγκαίες και κάποιες άλλες ενδεχομένως όλως περιττές), καθώς και ο χαρακτήρας και η φύση του. Ειδικά το τελευταίο χαρακτηριστικό, για παράδειγμα η επιλογή ανοικτών σχημάτων διοίκησης σε βά- 8 Η παράμετρος αυτή φαίνεται ότι έχει αποκτήσει σημαντική βαρύτητα στον καθορισμό των οργανωτικών σχημάτων προστασίας κρίσιμων υποδομών, ειδικά μετά τα γεγονότα της 11.09.2001. Χαρακτηριστικό παράδειγμα της σημασίας της α- ποτελεί η ίδρυση νέου Υπουργείου των ΗΠΑ (Dept. of Homeland Security), που διαθέτει, μεταξύ άλλων, τη σχετική αρμοδιότητα. Άλλα παραδείγματα, τηρουμένων των αναλογιών, αποτελούν οι σύνθετες οργανωτικές δομές που έχουν υιοθετηθεί από το Ενωμένο Βασίλειο, αλλά και τη Γερμανία. 13

ρος κλειστών φορέων εξουσίας, η προτεραιότητα της ελεγκτικής ή της συμβουλευτικής δραστηριότητας ή η ισορροπία μεταξύ των δύο, η έμφαση στην πρόληψη ή την καταστολή κλπ. αποτελούν κομβικές επιλογές για την πετυχημένη λειτουργία του. Η παρουσία και ο ρόλος του ιδιωτικού τομέα (της επιχειρηματικής κοινότητας) διαφοροποιείται, επίσης, από χώρα σε χώρα. Η τάση που παρατηρείται, γενικά, είναι να διαδραματίζει κάποιο ρόλο, ενίοτε αξιόλογης εμβέλειας (σε συγκεκριμένα ζητήματα), αλλά κυρίως σε συμβουλευτικό επίπεδο ή σε ε- πίπεδο ανταλλαγής πληροφόρησης και εμπειριών. Σε χώρες όπου η Δημόσια Διοίκηση έχει σχετικά περιορισμένο εύρος (πχ. ΗΠΑ), ο ρόλος της ιδιωτικής πρωτοβουλίας είνα σημαντικά διευρυμένος και έχει προσλάβει χαρακτηριστικά ουσιαστικά στρατηγικού εταίρου, μερικές φορές ακόμη και σε ζητήματα προστασίας κρίσιμων υποδομών 9. Οι συνθήκες στην Ελλάδα Στην Ελλάδα, σήμερα (Αύγουστος 2008), υπάρχει σειρά δημόσιων υπηρεσιών, ανεξάρτητων αρχών, οργανισμών και φορέων που περιλαμβάνουν μεταξύ των αρμοδιοτήτων τους θέματα που σχετίζονται με την προστασία και ασφάλεια κρίσιμων ΠΕΥ. Μεταξύ αυτών περιλαμβάνονται: (α). Το Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ), που έχει επιτελικό ρόλο σε εθνικό επίπεδο και είναι αρμόδιο για την έκδοση του Εθνικού Κανονισμού Ασφάλειας (ΕΚΑ) (Π.Δ. 17/1974), σε συνεργασία με την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Ο ΕΚΑ έχει εφαρμογή σε όλη τη ΔΔ. (β). Η ΕΥΠ, που αποτελεί Αρχή Ασφάλειας Πληροφοριών (INFOSEC) (N. 39/2008), είναι υπεύθυνη για το εθνικό Computer Emergency and Response Team (CERT) (Π.Δ. 325/2003) και αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Π.Δ. 325/2003). (γ). Η Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ) και η Υπηρεσία Ανάπτυξης Πληροφορικής (ΥΑΠ) του Υπουργείου Εσωτερικών (ΥΠΕΣ), που διαθέτουν ορισμένες αρμοδιότητες αμέσως ή εμμέσως συσχετιζόμενες με την προστασία των κρίσιμων ΠΕΥ της ΔΔ. Ενδεικτικά αναφέρεται ότι η Διεύθυνση ΠΣΕΑ είναι αρμόδια για την κατάρτιση, τήρηση και αναθεώρηση σχεδίων εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας ΔΔ και Ηλεκτρονικής Διακυβέρνησης, ενώ η ΥΑΠ έχει οριστεί ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου (ΑΠΕΔ), δηλαδή ως Πρωτεύουσα Αρχή (ΠΑΠ) (Ν. 3448/2006). (δ). Η Ελληνική Αστυνομία (ΕΛΑΣ), ως υπαγόμενη στο ΥΠΕΣ, που εμπλέκεται κυρίως μέσω της Διεύθυνσης Χειρισμού Κρίσεων, της Διεύθυνσης Εγκληματολογικών Υπηρεσιών, της Υπηρεσίας Δίωξης Ηλεκτρονικου Εγκλήματος, του Τομέα Εξέτασης Ψηφιακών Πειστηρίων κλπ. (ε). Το Υπουργείο Μεταφορών και Επικοινωνιών (ΥΜΕ), που είναι αρμόδιο για τη χάραξη πολιτικής για την ασφάλεια των δημόσιων δικτύων και των υπηρεσιών ηλεκτρονικών επικοινωνιών (Ν. 3431/2006), από κοινού με συναρμόδια Υπουργεία. 9 Το γεγονός αυτό είναι αυτονόητο, δεδομένου ότι πολύ μεγάλο μέρος των κρίσιμων υποδομών (πχ. ενέργεια, επικοινωνίες κλπ.) στις ΗΠΑ, αλλά και σε πολλές άλλες χώρες, είναι - ή περιέρχεται σταδιακά - υπό τον έλεγχο του ιδιωτικού τομέα. 14

(στ).ανεξάρτητες αρχές, όπως η Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΠΔ), η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) και η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ), οι οποίες παρεμβαίνουν σε θέματα της αμροδιότητάς τους. Ενδεικτικά, η ΑΠΠΔ είναι αρμόδια για θέματα προστασίας προσωπικών δεδομένων και για τον έλεγχο ό- λων των εμπλεκόμενων φορέων (Ν. 2472/1997, Ν. 2774/1999), η ΑΔΑΕ είναι αρμόδια για την τήρηση του απόρρητου της ελεύθερης επικοινωνίας, για την πιστοποίηση προϊόντων ασφαλείας και για τον έλεγχο όλων των εμπλεκόμενων φορέων (Ν. 3115/2003), ενώ η ΕΕΤΤ είναι αρμόδια, μεταξύ άλλων, για τον έλεγχο των φορέων παροχής υπηρεσιών ηλεκτρονικής υπογραφής (Π.Δ. 150/2001), καθώς και για την ακεραιότητα και διαθεσιμότητα των δημόσιων δικτύων επικοινωνίας - και σε περιόδους έκτακτης ανάγκης. (ζ).η Τράπεζα της Ελλάδας (ΤτΕ), που εμπλέκεται στην πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού συστήματος για τη νομιμοποίηση εσόδων από εγκληματικές δραστηριότητες και τη χρηματοδότηση ειδικών εγκλημάτων βίας (Ν. 3601/2007, Πλαίσιο Εποπτείας - Βασιλεία ΙΙ κλπ.). (η). Η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας του Εθνικού Δικτύου Έρευνας και Τεχνολογίας (ΕΔΕΤ-CERT, GRNET-CERT), που είναι αρμόδια να ανταποκρίνεται σε περιστατικά ανασφάλειας στον ελληνικό δικτυακό χώρο (.gr), να παρέχει πληροφορίες, εκπαίδευση και τεχνική βοήθεια και να αντιπροσωπεύει την Ελλάδα στα αντίστοιχα ευρωπαϊκά και διεθνή fora. (θ). Η υπηρεσία ENISA (European Network Information Security Agency) της Ευρωπαϊκής Ένωσης, που λειτουργεί κυρίως ως Κέντρο Εμπειρογνωμοσύνης για θέματα ασφάλειας δικτύων και πληροφοριών, παρέχοντας συμβουλευτικές υπηρεσίες σε θέματα όπως το ηλεκτρονικό έγκλημα και οι μεθοδολογίες αποτίμησης επικινδυνότητας και εκπονώντας σχετικές μελέτες. (ι). Φορείς και υπηρεσίες, όπως ο Ελληνικός Φορέας Πρόληψης της Ηεκτρονικής Απάτης (ΕΦΤΑ), ο Σύνδεσμος Επιχειρήσεων Πληροφορικής και Επικοινωνιών Ελλάδας (ΣΕΠΕ), ο ελληνικός κόμβος ασφαλούς διαδικτύου SafeNetHomePlus, η υπηρεσία SafeLine, καθώς και ιδιαιτέρως, λόγω της ιδιαίτερης δυναμικής που μπορεί να επιδείξει, η Ομάδα Δράσης για την Ψηφιακή Ασφάλεια (Digital Awareness and Response to Threats, DART), που λειτουργεί στο πλαίσιο του Επιχειρησιακού Προγράμματος Ψηφιακή Ελλάδα. Οι επικαλύψεις, οι συναρμοδιότητες και οι ελλείψεις του πλαισίου αυτού είναι εμφανείς. Μια ενδεικτική δομημένη (Πίνακας Ι) απεικόνιση των αρμοδιοτήτων των ρυθμιστικών και ελεγκτικών φορέων αναδεικνύει το πρόβλημα. ΠΙΝΑΚΑΣ Ι: Ενδεικτικές επικαλύψεις φορέων ΡΟΛΟΙ ΦΟΡΕΑΣ ΣΧΕΤΙΚΟ ΠΕΔΙΟ ΔΡΑΣΗΣ Ρυθμίσεις, κανονισμοί Έλεγχοι εφαρμογής θεσμικού πλαισίου Παροχή προϊόντωνυποδομών ασφαλείας Πιστοποίηση προϊόντων και υπηρεσιών ασφαλείας ΑΠΠΔ ΑΔΑΕ ΕΕΤΤ ΕΦΤΑ GRNET Προστασία προσωπικών δεδομένων Προστασία απορρήτου των επικοινωνιών Ρύθμιση θεμάτων τηλεπικοινωνιών Πρόληψη τηλεπικοινωνιακής απάτης Προϊόντα/υπηρεσίες ασφάλειας συστημάτων Όσο οι κρίσιμες ΠΕΥ ήσαν ελάχιστες στο πλήθος και εξυπηρετούσαν περιορισμένο αριθμό χρηστών, τόσο το πρόβλημα της ασφαλούς διαχείρισής τους παρέμενε υπό έλεγχο, δεδομένου ότι οι σχετικές α- 15

πειλές δεν αναμενόταν να προκαλέσουν αξιοσημείωτες επιπτώσεις. Επίσης, τυχόν επικαλύψεις και συναρμοδιότητες μεταξύ των εμπλεκόμενων υπηρεσιών και φορέων προκαλούσαν μάλλον αμελητέες επιπτώσεις, δεδομένης της περιορισμένης έκτασης του πραγματικού προβλήματος. Η κατάσταση αυτή ανατράπηκε άρδην, κατά την τελευταία τριετία, ειδικά μετά την ανάπτυξη σημαντικού πλήθους ΟΠΣ και δικτυακών υποομών, που χρηματοδοτηθηκαν κυρίως - αλλά όχι μόνο - μέσω του Επιχειρησιακού Προγράμματος Κοινωνία της Πληροφορίας, καθώς και μετά την εντεινόμενη διάχυση των ευρυζωνικών επικοινωνιών και υπηρεσιών. Στις τρέχουσες συνθήκες - και ειδικά όταν περιέλθουν σε πλήρη παραγωγική λειτουργία το δίκτυο ΣΥΖΕΥΞΙΣ της ΔΔ, καθώς και η εθνική διαδικτυακή πύλη (portal) ΕΡΜΗΣ - εκτιμάται ότι τυχόν μείζονα περιστατικά ανασφάλειας στις κρίσιμες ΠΕΥ της ΔΔ όχι απλώς δεν θα είναι εύκολο να αντιμετωπιστούν αποτελεσματικά, αλλά πιθανότατα θα οδηγούν σε σύγχυση και σε δημόσιες διαμάχες για το εύρος και το είδος της αρμοδιότητας καθενός των εμπλεκόμενων φορέων και υπηρεσιών. Εάν ο σκοπός της χρηστής και ευνομούμενης ΔΔ δεν είναι η διάχυση των ευθυνών και η αποσιώπηση των προβλημάτων, αλλά η έγκαιρη και αποτελεσματική αντιμετώπισή τους, τότε μια χαοτική πανσπερμία αρμόδιων-συναρμόδιων-ημιαρμόδιων, ιδιωτικών και δημόσιων, φορέων προστασίας των κρίσιμων ΠΕΥ πολύ απέχει από το να μπορεί να υπηρετήσει το σκοπό αυτό. Κρίσιμες ΠΕΥ στην ελληνική ΔΔ Βασικό μέσο για την προστασία των κρίσιμων ΠΕΥ της ΔΔ είναι η επιλογή κατάλληλων κριτηρίων για την αξιολόγηση των υπαρχουσών ΠΕΥ και την επιλογή, μεταξύ αυτών, αυτών που είναι κρίσιμες. Για το σκοπό του παρόντος πονήματος αρκεί μια αδρή προσέγγιση του ζητήματος, η οποία θα επιτρέψει να καταστεί δυνατή η δυαδική ταξινόμηση των ΠΕΥ ΔΔ σε κρίσιμες (ζωτικής σημασίας) και μη κρίσιμες (μη ζωτικής σημασίας). Χαρακτηριστικό γνώρισμα της κρισιμότητας των ΠΕΥ είναι ότι διαρκώς μεταβάλλεται, αφού οι κύριοι παράγοντες που την προσδιορίζουν (απειλές, τρωτότητα, επιπτώσεις) συνεχώς διαφοροποιούνται (οι απειλές και οι επιπτώσεις από εξωγενείς παράγοντες, η τρωτότητα από την εξέλιξη της τεχνολογίας και τα λαμβανόμενα μέσα προστασίας των συγκεκριμένων υποδομών κλπ.). Για την αξιολόγηση της κρισιμότητας μιας υποδομής μπορεί να χρησιμοποιηθεί η επικινδυνότητα της υποδομής ή των υπό αξιολόγηση στοιχείων της. Με μια αδρή μοντελοποίηση, η επικινδυνότητα παρέχεται ως συνάρτηση των εξής παραγόντων 10 : (Επικινδυνότητα) = (Απειλή) (Τρωτότητα) (Επίπτωση), όπου ο τελεστής είναι ένας γενικευμένος πολλαπλασιαστής. Βεβαίως, η επικινδυνότητα α- ποτελεί εύλογο (αλλά όχι μοναδικό, ούτε κυρίαρχο) μέσο για τη διαβάθμιση της κρισιμότητας μιας υ- ποδομής. Ωστόσο, υπάρχουν συγκεκριμένες δυσκολίες, τόσο θεωρητικές, όσο και πρακτικής εφαρμογής της ως άνω εξίσωσης, ειδικά στις περιπτώσεις υποδομών μεγάλης κλίμακας. Ενδεικτικά υπάρχει: (α). Δυσχέρεια στην ανάλυση της επικινδυνότητας γεγονότων πολύ μικρής πιθανότητας εμφάνισης, αλλά εξαιρετικά σημαντικών επιπτώσεων (σε αυτά ανήκουν και οι ανθρωπογενείς απειλές, πχ. ειδικές επιθέσεις βίας), (β). Δυσχέρεια στην ακριβή εκτίμηση της τρωτότητας μεγάλων και σύνθετων συστημάτων και υποδομών (όπως των ΠΕΥ), (γ). Δυσχέρεια στην εκτίμηση των επιπτώσεων, ειδικότερα όταν υπάρχουν πολλές και ισχυρές άλληλεξαρτήσεις (αυτό αληθεύει στην περίπτωση των ΠΕΥ, από τις ο- ποίες εξαρτώνται άλλες σημαντικές υποδομές (ενέργεια, μεταφορά, υγεία κλπ.), (δ) Δυσχέρεια στη χρήση πολυκριτηριακών μεθόδων, (ε). Δυσχέρεια στην ποσοτικοποίηση ορισμένων επιπτώσεων (πχ. επιπέδου εμπιστοσύνης, ψυχολογικών επιπτώσεων από κάποιο ατύχημα ή αστοχία, αλλαγής προδιαθέσεων των χρηστών ή του ευρύτερου κοινωνικού συνόλου κλπ.) και (στ). ειδικά για την περίπτωση των ΠΕΥ, δυσχέρεια στη διαβάθμιση της ασφαλούς παροχής υπηρεσιών (διαθεσιμότητας, ακεραιότητας, εμπιστευτικότητας). Ειδικότερα, μεταξύ άλλων ανακύπτει και το πώς θα εκτιμηθούν οι επι- 10 Η χρήση μοντέλων όπως αυτό που περιγράφεται από την εξίσωση, καθώς και η εκτίμηση των παραγόντων που υπεισέρχονται σε αυτά αποτελούν αντικείμενο επιστημονικής δραστηριότητας στις γνωστικές περιοχές Risk Analysis, Threat E- stimation, Impact Analysis, System Reliability, καθώς και σε άλλες συναφείς περιοχές, τόσο γενικές, όσο και εξειδικευμενες σε συγκεκριμένα συστήματα ή περιοχές εφαρμογής. 16

πτώσεις της περιορισμένης διαθεσιμότητας, δηλαδή της μη εύλογης καθυστέρησης (πχ. μακροχρόνιας διακοπής) της παροχής κρίσιμης πληροφορίας. Με την υιοθέτηση μιας μετρικής αναλογίας μεταξύ κρισιμότητας και επικινδυνότητας, καθώς και με την περαιτέρω απλούστευση του προσδιορισμού τους με βάση τις επιπτώσεις που θα είχε ενδεχόμενη προσβολή των υπό αξιολόγηση ΠΕΥ στη διαθεσιμότητά τους, μπορούν να υιοθετηθούν ως κριτήρια κρισιμότητας εκείνα που αφορούν την αξιολόγηση των αντίστοιχων επιπτώσεων. Η μέθοδος που επελέγη, τελικά, για την αξιολόγηση της κρισιμότητας των ΠΕΥ βασίζεται σε τέσσερις παραμέτρους: (α). Είδη των επιπτώσεων που προκύπτουν από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Τα είδη που λήφθηκαν υπόψη είναι: πληθυσμός (αριθμός χρηστών) που επηρεάζεται, (άμεση) οικονομική επίπτωση από τη μη διαθεσιμότητα, ένταση διασυνοριακότητας, αλληλεξάρτηση ΠΕΥ με άλλες, α- νακαμψη ΠΕΥ, αντίδραση της κοινής γνώμης, επίπτωση στην εφαρμογή πολιτικών και στη λειτουργία της ΔΔ, επίπτωση στην προσωπική ασφάλεια των εμπλεκομένων, επίπτωση στην ιδιωτικότητα, επιρροή στην άποψη (μεπιστοσύνη) του κοινού για τις ΤΠΕ. (β). Ένταση των επιπτώσεων από την ανεπαρκή διαθεσιμότητα της ΠΕΥ. Η ένταση κάθε επίπτωσης αποτιμήθηκε μέσω μιας 5-βάθμιας κλίμακας τύπου Likert, με τις δυνατές τιμές: {Πολύ υψηλή, Υψηλή, Μέτρια, Χαμηλή, Πολύ χαμηλή}. (γ). Υποψήφιες κρίσιμες ΠΕΥ ΔΔ. Δεδομένου ότι δεν θα ήταν αντικειμενικά ρεαλιστικό, στο πλαίσιο του συγκεκριμένου έργου, να εκτιμηθούν ως προς την κρισιμότητά τους όλες οι λειτουργούσες ή οι αναπτυσσόμενες ΠΕΥ της ΔΔ, επελέγη ένα υποσύνολό τους. Η επιλογή βασίστηκε στην προσέγγιση της ΕΕ, η οποία έχει καθορίσει 20 υπηρεσίες ως τις βασικές υπηρεσίες ηλεκτρονικής διακυβέρνησης για τα κράτη-μέλη της ΕΕ. Οι υπηρεσίες αυτές παρέχονται μεσω κατάλληλων ΠΕΥ, οι οποίες θεωρήθηκαν ως υποψήφιες κρίσιμες ΠΕΥ της ΔΔ. (δ). Διαδικασία επιλογής των κρίσιμων υποδομών. Η διαδικασία αυτή δε βασίστηκε σε ποσοτική ε- κτίμηση, αλλά ήταν αποτέλεσμα ποιοτικής ανάλυσης και συλλογικής επαγγελματικής εμπειρογνωμοσύνης. Το θεμελιώδες σημείο αναφοράς της ανάλυσης υπήρξε η χρήση του θεωρητικά δυςμενέστερου ενδεχομένου. Έτσι, ως κρίσιμες ΠΕΥ της ελληνικής ΔΔ ορίστηκε να είναι αυτές για τις οποίες ένα τουλάχιστον από τα κριτήρια κρισιμότητας λαμβάνει τουλάχιστον υψηλή τιμή. Ο Πίνακας ΙΙ, που προκύπτει από το συνδυασμό των ως άνω παραμέτρων, εμπλουτίστηκε με τις τιμές εκείνες που συνδέουν κάθε είδος επίπτωσης με την αντίστοιχη ένταση. Σε ορισμένες περιπτώσεις οι τιμές αυτές επελέγησαν ad hoc, προκειμένου να ανακλούν τις συγκεκριμένες ελληνικές συνθήκες. Η εφαρμογή των επιλεγέντων κριτηρίων αξιολόγησης στις υποψήφιες κρίσιμες ΠΕΥ της ΔΔ οδηγεί στον Πίνακα ΙΙΙ που περιλαμβάνει τις υπάρχουσες και τις αναπτυσσόμενες κρίσιμες ΠΕΥ της ελληνικής ΔΔ, οι οποίες εκτιμήθηκε ότι είναι (η σειρά της αναγραφής τους δεν σχετίζεται, κατ ανάγκην, με κάποιου είδους προτεραιότητα, σημασία ή ενδιαφέρον): (α). To Εθνικό Δίκτυο Δημόσιας Διοίκησης ΣΥΖΕΥΞΙΣ. (β). Το Ολοκληρωμένο Πληροφοριακό Σύστημα των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ). (γ). Τα Κέντρα Δεδομένων (Data Centers) που στεγάζονται στις εγκαταστάσεις της ΚτΠ 11 Α.Ε. (δ). Το Ολοκληρωμένο Σύστημα Φορολογίας TaxisNET του Υπ. Οικονομίας και Οικονομικών. 11 Στις παρούσες συνθήκες (Σεπτέμβρης 2008), στις εγκαταστάσεις της ΚτΠ ΑΕ στεγάζονται 2 Κέντρα Δεδομενων, ενώ σχεδιάζεται η στέγαση ενός τρίτου. Στα Κέντρα Δεδομένων είναι εγκατεστημένα και λειτουργούν παραγωγικά οκτώ (8) ΟΠΣ, ενώ μελετάται η εγκατάσταση τουλάχιστον πέντε (5) επιπλέον ΟΠΣ (βλ. Κεφ. 5.4 για αναλυτικό κατάλογο). Πρόκειται για τυπική περίπτωση Πολυκέντρου Δεδομένων. 17

Πίνακας ΙI: Κριτήρια επιλογής κρίσιμων ΠΕΥ της ελληνικής ΔΔ Κριτήριο Επίπτωση Πολύ υψηλή Υψηλή Μέτρια Χαμηλή Πολύ χαμηλή Επηρεαζόμενος πληθυσμός >100,000 10,000-100,000 1,000-10,000 100-1,000 <100 Οικονομική επίπτωση >100 x 10 6 10-100 x 10 6 1-10 x 10 6 0,1-1 x 10 6 <0,1 x 10 6 Ένταση διασυνοριακότητας Ευρύτερη της Ευρωπαϊκής Ένωσης Ευρωπαϊκή Ένωση Εθνική Περιφερειακή Τοπική Αλληλοεξάρτηση Καταλυτική επίδραση σε άλλες υποδομές/τομείς Σημαντική επίδραση σε άλλες υποδομές/τομείς Μέτρια επίδραση σε άλλες υ- ποδομές/τομείς Μικρή επίδραση σε άλλες υ- ποδομές/τομείς Επίδραση σε μία υποδομή- /τομέα Ανάκαμψη ΠΕΥ Υψηλό κόστος σε πολλούς τομείς, μακρύς χρόνος ανάκαμψης (μήνες - χρόνια) Υψηλό κόστος, υψηλός απαιτούμενος χρόνος ανάκαμψης (βδομάδες - μήνες) Μέσο κόστος, σημαντικός χρόνος ανάκαμψης (μέρες - βδομάδες) Χαμηλό κόστος, μικρός απαιτούμενος χρόνος ανάκαμψης (ώρες - μέρες) Αμελητέο κόστος, μικρός απαιτούμενος χρόνος ανάκαμψης (ώρες) Αντίδραση της κοινής γνώμης Διεθνής αποδοκιμασία Περιορισμός κυβερνητικής αξιοπιστίας σε διεθνές επίπεδο Μετριασμός κυβερνητικής αξιοπιστίας σε εθνικό επίπεδο Αρνητική δημοσιότητα περισσοτέρων του ενός κυβερνητικών οργανισμών/ φορέων Αρνητική δημοσιότητα ε- νός κυβερνητικού οργανισμού/φορέα Εφαρμογή πολιτικής και λειτουργία ΔΔ Σοβαρή παρεμπόδιση ή διακοπή της ανάπτυξης/εφαρμογής κυβερνητικών πολιτικών Υποβάθμιση της διαπραγματευτικής και συναλλακτικής δυνατότητας της κυβέρνησης Παρεμπόδιση της αποτελεσματικής ανάπτυξης/εφαρμογής κυβερνητικών πολιτικών Υπονόμευση της σωστής διαχείρισης ή λειτουργίας μιας δημόσιας υπηρεσίας Ανεπαρκής λειτουργία μιας δημόσιας υπηρεσίας Προσωπική ασφάλεια Απώλεια πολλών ανθρώπινων ζωών Απώλεια ανθρώπινης ζωής Σημαντικός τραυματισμός πολλών προσώπων Μικροτραυματισμοί πολλών προσώπων Μικροτραυματισμός ενός προσώπου Επίπτωση στην ιδιωτικότητα Αποκάλυψη απόρρητων δεδομενων που επηρεάζουν μείζονες κυβερνητικές πολιτικές Παραβίαση νομοθεσίας και σοβαρή ενόχληση πολλών προσώπων Παραβίαση νομοθεσίας και σοβαρή ενόχληση ενός προσώπου Μικρή ενόχληση πολλών προσώπων Μικρή ενόχληση ενός προσώπου Επηρεασμός του κοινού για τις ΤΠΕ Απαξίωση των ΤΠΕ/ΠΕΥ από το κοινωνικό σύνολο Αρνητικός επηρεασμός του κοινωνικού συνόλου Κλονισμός της εμπιστοσύνης του κοινωνικού συνόλου Απογοήτευση επιμέρους ομάδων του πληθυσμού Απογοήτευση μεμονωμένων πολιτών 18

ΠΙΝΑΚΑΣ ΙΙI: Κρίσιμες ΠΕΥ της ελληνικής ΔΔ Κριτήριο Πληροφοριακή και Επικοινωνιακή Υποδομή Εθνικό Δίκτυο ΔΔ ΣΥΖΕΥΞΙΣ ΟΠΣ Κέντρων Εξυπηρέτησης Πολιτών Κέντρα Δεδομένων (Data Centers) ΚτΠ Α.Ε. Ολοκληρωμένο Σύστημα Φορολογίας TaxisNET Επηρεαζόμενος πληθυσμός Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή Πολύ υψηλή Οικονομική επίπτωση Χαμηλή Χαμηλή Χαμηλή Πολύ υψηλή Ένταση διασυνοριακότητας Υψηλή Υψηλή Υψηλή Πολύ υψηλή Αλληλοεξάρτηση Πολύ υψηλή Μέτρια Υψηλή Υψηλή Ανάκαμψη Χαμηλή/Μέτρια Χαμηλή Υψηλή Χαμηλή Αντίδραση της κοινής γνώμης Υψηλή Μέτρια Μέτρια Μέτρια Εφαρμογή πολιτικής και λειτουργία ΔΔ Μέτρια Χαμηλή Μέτρια Μέτρια Προσωπική ασφάλεια Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή Πολύ χαμηλή Επίπτωση στην ιδιωτικότητα Υψηλή Υψηλή Υψηλή Υψηλή Επηρεασμός του κοινού για τις ΤΠΕ Υψηλή Υψηλή Πολύ υψηλή Υψηλή Χρωματικός κώδικας έντασης της τιμής της παραμέτρου Χαμηλή Μέτρια Υψηλή 19

Προτεινόμενο οργανωτικό σχήμα Τα βασικά χαρακτηριστικά, τα οποία επιδιώκεται να διαθέτει το οργανωτικό σχήμα που προτείνεται να δημιουργηθεί για την προστασία των κρίσιμων ΠΕΥ της ΔΔ, είναι τα εξής: Ευελιξία, έτσι ώστε να μην υπάρχουν υπέρμετρα δεσμευτικές γραφειοκρατικές διαδικασίες. Αυτονομία, έτσι ώστε να μπορεί να λειτουργει ανεμπόδιστα, γρήγορα και αποτελεσματικά. Ευρύτητα, έτσι ώστε να καλύπτει όλες τις παραμέτρους προστασίας μιας κρίσιμης ΠΕΥ. Ανοικτότητα, έτσι ώστε να αποφεύγονται στεγανά και αποκλεισμοί και να διευκολύνεται ο ανοικτός, διαλογικός, ενημερωτικός και συμβουλευτικός του χαρακτήρας και να εξασφαλίζεται, εν τέλει, η απαραίτητη εμπιστοσύνη και προθυμία συνεργασίας εκ μέρους των εμπλεκόμενων φορέων και υπηρεσιών. Η προσέγγιση που ακολουθήθηκε είναι, σε μεγάλο βαθμό, αντίστοιχη με τις τρέχουσες πρακτικές άλλων ευρωπαϊκών χωρών και επικεντρώνεται κυρίως σε θέματα ήπιας κρισιμότητας (soft criticality), δηλαδή κρισιμότητας που δεν σχετίζεται και δεν αφορά ευθέως θέματα εθνικής ασφάλειας, διεθνών σχέσεων, εξωτερικής πολιτικής και προστασίας του πολιτεύματος. Είναι σαφές ότι η ονομασία, καθώς και η διοικητική δομή-υπαγωγή του προτεινόμενου οργανωτικού σχήματος θα αποτελέσει προϊόν απόφασης των αρμόδιων πολιτικών οργάνων. Για το λόγο αυτό, παρόλο που τα μέλη της Ο.Ε. κατέθεσαν προς συζήτηση σειρά ονομασιών 12, τελικά εκτιμήθηκε ότι δεν ήταν αναγκαίο να προεπιλεγεί και να προταθεί κάποια από αυτές. Καθώς το οργανωτικό σχήμα θα πρέπει να εμφανίζει πολλαπλές, διαρκείς και συστηματικές συνέργειες με σειρά φορέων της Δημόσιας Διοίκησης (και όχι μόνον), εξετάστηκαν οι παρακάτω ενδεικτικές εναλλακτικές δομικές μορφές του: (α). Σχήμα χωρίς αυστηρή ιεραρχική δομή, σύμφωνα με το ανεξάρτητο επιχειρηματικό μοντέλο (independent business model) για την οργάνωση ενός CSIRT (Computer Security Incident Response Team). Το σχήμα πρέπει να εσωματωθεί σε έναν ανεξάρτητο οργανισμό, με δικό του προσωπικό και αυξημένη αυτονομία (πχ. Νομικό Πρόσωπο Δημοσίου Δικαίου). Ο οργανισμός δεν είναι αναγκαίο (αλλά δεν πρέπει να αποκλείεται) να αποτελεί Ανεξάρτητη Αρχή, ούτε να υποκαθιστά ή να επικαλύπτει αρμοδιότητες των υπαρχουσών Ανεξάρτητων Αρχών. Αντίθετα, πρέπει να διαθέτει διεπαφές συνεργασίας με τις Αρχές αυτές, όπου και θα παραπέμπει θέματα της αρμοδιότητάς τους. Η πρόταση αυτή επικεντρώνεται κυρίως στον αυτονομο χαρακτήρα του σχήματος. (β). Δημιουργία Γενικής Γραμματείας, ενδεχομένως υπαγόμενης απευθείας στο Γραφείο του Πρωθυπουργού, με μόνη και αποκλειστική αρμοδιότητα την προστασία των κρίσιμων υποδομών. Η πρακτική αυτή προσομοιάζει με το οργανωτικό σχήμα που έχει δημιουργήσει και λειτουργεί με επιτυχία κυρίως η Νέα Ζηλανδία. Η πρόταση αυτή επικεντρώνεται κυρίως στον επιτελικό χαρακτήρα του σχήματος, καθώς και στην πολύ υψηλή ιεραρχική ενσωμάτωσή του στην πυραμίδα της ΔΔ. (γ). Ενσωμάτωση της οργανωτικής δομής στη Γενική Γραμματεία Επιθεωρητών Δημόσιας Διοίκησης (Σώμα Επιθεωρητών Δημόσιας Διοίκησης). Αντίστοιχης δομής σενάριο είναι, αντί της ενσωμάτωσης στη Γενική Γραμματεία Επιθεωρητών ΔΔ, η δημιουργία ενός Σώματος Ελεγκτών για την προστασία των κρίσιμων υποδομών με αντίστοιχη δομή, ιεραρχία και ρόλο. Η πρακτική αυτή υιοθετηθηκε κυρίως από την Αυστραλία (TISN). Η πρόταση αυτή επικεντρώνεται κυρίως στον ελεγκτικό χαρακτήρα του σχήματος. (δ). Ενσωμάτωση και εποπτεία της οργανωτικής δομής από ένα υπουργείο ή/και ενσωμάτωση σε κάποια υφιστάμενη Ειδική/Γενική Γραμματεία ή Γενική Διεύθυνση. Πιθανές λύσεις είναι η ένταξη της οργανωτικής δομής στο: (α). Υπουργείο Εσωτερικών (Γενική Γραμματεία Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης), (β). Υπουργείο Μεταφορών και Επικοινωνιών, (γ). Υ- 12 Οι ονομασίες που προτάθηκαν μπορούν να κατανεμηθούν σε δύο ομάδες. Αυτές που παραπέμπουν σε υπηρεσία της ΔΔ και αυτές που παραπέμπουν σε ένα πιο αυτόνομο σχήμα. Στην πρώτη ομάδα ανήκουν, ενδεικτικά, οι ονομασίες Γενική ή Ειδική Γραμματεία Προστασίας Κρίσιμων Υποδομών. Στη δεύτερη ομάδα ανήκουν, επίσης ενδεικτικά, οι ονομασίες Εθνικό ή Συντονιστικό Κέντρο Προστασίας Κρίσιμων Υποδομών. 20