Τι υλικό και προτάσεις θέλεις στο κομμάτι αυτό; Μπορώ να σου στείλω το υλικό του SafeCODE της οργάνωσης των κατασκευαστών για την δημιουργία ασφαλούς κώδικα, νομίζω όμως ότι τίποτα από αυτά δεν είναι πράγματα που μπορούμε να επηρεάσουμε αποτελεσματικά στην Ελλάδα διότι δεν έχουμε την σχετική βιομηχανική/τεχνολογική υποδομή ούτε τις διαστάσεις σαν αγορά ή αντίστοιχη ερευνητική δραστηριότητα.

Δεν νομίζω ότι κανείς μπορεί να διαφωνίσει μαζί σας στην σημασία που έχει να ξέρουμε να γράφουμε καλύτερο λογισμικό αν και μέχρι στιγμής η ENISA έχει κάνει περιορισμένη δουλειά στο σημείο αυτό.
Η κριτική που κάνω είναι ότι αν και απολύτως χρήσιμη μια τέτοια προσπάθεια δεν είναι άμεσα υλοποιήσιμη ούτε είναι κάτι το οποίο μπορεί το κράτος να κάνει ως πολιτική.
Επιπλέον ακόμη και αν το κράτος απαιτούσε στους δημόσιους διαγωνισμούς την προμήθεια “ασφαλούς” λογισμικού προκειμένου να προωθήσει την μάθηση τέτοιων δεξιοτήτων θα ανέκυπτε άμεσα το πρόβλημα ότι δεν υπάρχει ένα μοναδικό κοινό πρότυπο με βάση το οποίο θα μπορούσαμε να κρίνουμε αυτό το χαρακτηριστικό του “ασφαλούς” κώδικα καθώς διαφέρει ανάλογα με το είδος της εφαρμογής και μερικές φορές εξαρτάται από την μεθοδολογία ανάπτυξης του. Άλλη μεθοδολογία ακολουθεί το secure software lifecycle της Microsoft και άλλη ακολουθούν οι προγραμματιστές της Symantec και πολλών άλλων εταιρειών.
Κατά συνέπεια χρειάζεται η Ελληνική κοινότητα προγραμματιστών γνώσεις στην συγγραφή ασφαλούς κώδικα; Σίγουρα. Είναι κάτι που μπορεί να το επιβάλλει/κάνει το κράτος και μπορεί να γίνει γρήγορα; Μάλλον όχι.
Ως εκ τούτου προτείνω να επικεντρώσουμε τις προτάσεις σε συγκεκριμένους, εφικτούς, άμεσα υλοποιήσιμους και πρακτικούς στόχους στο χώρο της ασφάλειας.
Για το τι δεξιότητες χρειάζεται να αποκτήσουμε μπορούμε να κουβεντιάσουμε όταν συζητάμε το κομμάτι που έχει να κάνει με το τι δεξιότητες πρέπει να αποκτήσουμε σε εθνικό επίπεδο προκειμένου να θέσουμε τις βάσεις για την περαιτέρω (σε βάθος χρόνου) ανάπτυξη της ψηφιακής Ελλάδας.
Παρακαλώ μην διστάσετε να μοιραστείτε τις σκέψεις σας και για τις υπόλοιπες προτάσεις που έχω κάνει. Με ενδιαφέρει ιδιαίτερα η γνώμη σας.
Με εκτίμηση
Ηλίας Χάντζος

ΟΚ. Προκύπτουν λοιπόν δύο πρακτικά ερωτήματα. Πρώτον, πόσος κόσμος ξέρει τη συγγραφή λογισμικού με βάση ασφαλή πρότυπα προκειμένου αυτό να είναι εφικτό στην Ελλάδα σε ικανοποιητικό βαθμό; Ακόμη και αν υπάρχουν αρκετοί προγραμματιστές υπάρχει μηχανισμός πιστοποίησης της συγκεκριμένης διαδικασίας; Διαφορετικά η όλη κουβέντα γίνεται για να συμφωνήσουμε ότι χρειάζεται να διδάσκονται τέτοιες δεξιότητες στο πανεπιστήμιο, όπου έτσι και αλλιώς δεν νομίζω ότι έχει κανείς αντίρρηση. Το δεύτερο ερώτημα είναι αν υπάρχει μηχανισμός εκτίμησης του κινδύνου όταν εγκαθίσταται ένα λογισμικό που έχει αναπτυχθεί κατά παραγγελία (custom-made) διότι εκεί είναι που θα προκύψει το πρόβλημα ασφάλειας και η ανάγκη γνώσης τόσο στην συγγραφή όσο και στον έλεγχο της ασφάλειας του συστήματος, ειδικά μάλιστα αν δεν ξέρουμε ποιό είναι το επίπεδο απειλής.
Δεν νομίζω ότι και στα δύο παραπάνω ερωτήματα η απάντηση είναι άμεσα καταφατική.
Εν τέλει, αν και το “ασφαλές” (πάντα εντός εισαγωγικών γιατί δεν υπάρχει 100% ασφάλεια) ΄λογισμικό είναι σημαντικός παράγοντας, είναι ένα από τα πολλά στοιχεία. Ακόμη και το ασφαλές λογισμικό έχει τρωτότητες και οταν οι επιθέσεις γίνονται χρησιμοποιόντας την άγνοια/εμπιστοσύνη του χρήστη (social engineering) η ασφάλεια είναι πολύ περισσότερο ζήτημα διαδικασιών και αντιμέτρων παρά ποιοτικής συγγραφής του κώδικα.
Το ISO27001 είναι performance-based standard. Ως εκ τούτου νομίζω ότι είναι κατάλληλο για να ελεγχθεί η ασφάλεια μια υποδομής όχι όμως κατ’ανάγκη και η ίδια η ασφάλεια του κώδικα που έχει χρησιμοποιηθεί (σε σύγκριση με άλλα πρότυπα που αναφέρει ο κ. Παπαπαναγιώτου και αφορούν τον ίδιο τον κώδικα).
Σημειωτέον ότι εγώ θα υποστήριζα σθεναρά την χρήση του ISO27001 σε υποδομές του δημοσίου προκειμένου να υπάρχει πιστοποίηση του επιπέδου ασφάλειας που παρέχουν συνολικά (όχι μόνο στο επίπεδο του κώδικα αλλά σε κάθε σημείο ελέγχου-control point). Ειδικά το ISO27001 θα ήταν ιδιαίτερα χρήσιμο προκειμένου να δοθεί η απάντηση στο ερώτημα που έθεσα προηγουμένως για το επίπεδο του κινδύνου που λαμβάνει υπόψιν της η ασφάλεια μια υποδομής και για το επίπεδο ρίσκου που αποδέχεται.
Όμως το ερώτημα που δυστυχώς παραμένει είναι: Υπάρχουν άνθρωποι στην Ελλάδα με σημαντική εμπειρία στην πιστοποίηση και χρήση του ISO27001; Αν δεν υπάρχουν θα μας πάρει χρόνο να χρησιμοποιήσουμε το συγκεκριμένο πρότυπο αν και είναι σίγουρο ότι κάποιες υποδομές πρέπει να πιστοποιηθούν με βάση αυτό.

Ευχαριστώ για τις παραπάνω παρατηρήσεις. Δεν νομίζω ότι διαφωνούμε ουσιαστικά. Περισσότερο η συζήτηση καταλήγει να γίνεται γύρω από την ορολογία. Ο όρος ασφάλεια κατά το σχεδιασμό (security by design) χρησιμοποιείται κυρίως για να υποδηλώσει την ανάπτυξη λογισμικού χωρίς (όσο είναι αυτό δυνατόν) τρωτότητες και αδυναμίες. Για το σκοπό αυτό έχουν αναπτυχθεί προγράμματα όπως ο κύκλος ζωής του λογισμικού (software lifecycle). Μέχρι στιγμής η συζήτηση είχε επικεντρωθεί σε αυτό εξου και τα σχόλια για τα ασφαλή πρότυπα τα κοινά κριτήρια (common criteria) κτλ.
Τώρα η συζήτηση αλλάζει λίγο κατεύθυνση γιατί εισάγετε το στοιχείο της ασφάλειας κατά τον σχεδιασμό συστημάτων (συνήθως αυτό σημαίνει λογισμικό και υλικό μέρος software and hardware) υποθέτω όμως από τα όσο γράφετε παρακάτω ότι εννοείται σχεδιασμό ολοκληρωμένων λύσεων (complete solution design) για συγκεκριμένη εργασία (business process). Υπο αυτή την έννοια κανείς δεν μπορεί να διαφωνήσει μαζί σας ότι στο σχεδιασμό ολοκληρωμένων λύσεων πρέπει να λαμβάνεται υπόψιν από την αρχή η ασφάλεια. Προχωρώντας ένα βήμα περισσότερο θα έλεγα ότι αν δεν συμβεί κάτι τέτοιο αυτό είναι ζημιογόνο για οποιοδήποτε οργανισμό και ιδιαίτερα το δημόσιο διότι το κόστος της ασφάλειας εκ των υστέρων αυξάνει εκθετικά. Τα σχόλια για την έλλειψη εξειδικευμένου προσωπικού έγιναν σε ότι αφορά τον ασφαλή κώδικα και την πιστοποίηση λογισμικού και όχι γενικά τον σχεδιασμό ασφαλών λύσεων. Άλλωστε συχνά ο σχεδιασμός λύσεων αφορά περισσότερο την εισαγωγή είδη υπάρχουσας τεχνολογίας ως υποσύνολο ενός ευρύτερου συστήματος παρά την δημιουργία κάτι εντελώς καινούργιου, αφού συχνά οι ολοκληρωμένες λύσεις είναι αποτέλεσμα “συρραφής” πολλών διαφορετικών μεμονομένων αλλά διαλειτουργικών προϊόντων.
Άρα στο κομμάτι του σχεδιασμού ασφαλών λύσεων και των προτύπων ασφαλείας συμφωνούμε. Επίσης δεν έχω αντίρρηση σε αυτό που λέτε για δια βίου μάθηση και στην ανάγκη να εισάγουμε τις σχετικές δεξιότητες και στην χώρα μας τόσο σε επίπεδο σχεδιασμού όσο και σε επίπεδο καθημερινής εφαρμογής των λύσεων.
Το θέμα που εγώ επαναλαμβάνω είναι ότι σε αυτη η φάση στόχος της συζήτησης είναι να προταθούν 3 εύκολα/άμεσα υλοποιήσιμες προτάσεις. Η εισαγωγή των δεξιοτήτων μέσω της μάθησης δεν είναι άμεση και εύκολα υλοποιήσιμη. Είναι σίγουρα κάτι που βλέπω σαν μεσοπρόθεσμο στόχο για την Ψηφιακή Ελλάδα του 2020 και το οποίο πρέπει οπωσδήποτε να υπάρχει μέσα στις προτάσεις.
Το μόνο ρόλο που βλέπω για το δημόσιο στο κομμάτι της εισαγωγής των δεξιοτήτων ασφαλούς σχεδιασμού και προτύπων είναι να συνεχίσει να απαιτεί ασφάλεια κατά το σχεδιασμό και διεθνή πρότυπα στις ολοκληρωμένες λύσεις προκειμένου να δημιουργήσει την σχετική ανάγκη εξειδικευμένων ανθρώπων στην Ελληνική αγορά.
Στο κομμάτι των άμεσα υλοποιήσιμων ενεργειών νομίζω ότι σε προηγούμενη δημοσίευση μου στο φόρουμ αναφερόμουν στα προβλήματα που πιστεύω ότι υπάρχουν στην Ελλάδα και στην έλλειψη συνολικής στρατηγικής, συντονισμού και εποπτείας σε θέματα πληροφορικής ασφάλειας με δυνατότητα λήψεως αποφάσεων για τον δημόσιο τομέα.
Ίσως μια από τις εισηγήσεις για άμεσα υλοποιήσιμη δράση να είναι ότι θα πρέπει να υπάρξει ένας όχι μόνο αρμόδιος αλλά υπεύθυνος φορέας ο οποίος θα δίνει τις γενικές κατευθύνσεις και θα αποφασίζει/ελέγχει θέματα όπως η πολιτική ασφάλειας και τα πρότυπα.

κ. Ρεκλείτη, εφόσον είστε ο συντονιστής αυτής της συζήτησης σκοπεύετε κάποια στιγμή να συντάξετε ένα κείμενο-σχέδιο που θα καλείπτει συνολικά τις απόψεις που έχουν εκφραστεί και να το δημοσιεύσετε για περαιτέρω σχόλια προκειμένου να δούμε συνολικά που βρισκόμαστε;

Ευχαριστώ