Σύμφωνα με το επίσημο χρονοδιάγραμμα του forum “Ψηφιακής Ελλάδας 2020″. Κάθε ομάδα καλείται να καταθέσει μέχρι τις 15 Δεκεμβρίου ένα κείμενο στο οποίο θα αποτυπώνονται τουλάχιστον τρεις (3) προτάσεις/στόχοι προς τη πολιτική ηγεσία της χώρας. Οι στόχοι θα πρέπει να είναι άμεσα υλοποιήσιμοι και να αφορούν πρακτικά ζητήματα που άπτονται του θέματος της κάθε ομάδας.
Για να διευκολυνθεί η έναρξη του διαλόγου, τα ενεργά μέλη των συντακτικών με τον συντονιστή σκέφτηκαν να θέσουν τέσσερις θεματικές, που ελπίζουμε να αποτελέσουν το σπόρο μιας γόνιμης συζήτησης

Θεματικές

1) Κουλτούρα και Εκπαίδευση Χρηστών. Πρακτικές και άμεσα υλοποιήσιμες προτάσεις για την ανάπτυξη κουλτούρας ασφάλειας.

2) Σχεδίαση και Ανάπτυξη Λογισμικού και Ηλεκτρονικών Υπηρεσιών. Προτάσεις προς τη πολιτεία και τον ιδιωτικό τομέα για τη βελτίωση των πρακτικών σχεδίασης και ανάπτυξης.

3) Δημιουργία κλίματος Εμπιστοσύνης στη χρήση Ηλεκτρονικών Υπηρεσιών από τους πολίτες. Προτάσεις προς τη πολιτεία (και τον ιδιωτικό τομέα) για τη βελτίωση των πρακτικών διαχείρισης και παροχής ηλεκτρονικών υπηρεσιών.

4) Νομικό και Κανονιστικό Πλαίσιο. Δράσεις για τη βελτίωση και ενίσχυση του ισχύοντος πλαισίου.

Έγινε προσπάθεια οι θεματικές να είναι αρκετά γενικές ώστε να μην περιορίζουν τη συζήτηση και να αποτελέσουν απλά ένα έναυσμα διαλόγου. Όλες οι προτάσεις είναι ευπρόσδεκτες, ακόμα και αν δεν εμπίπτουν σε κάποια από τις ενότητες.

Rapporteur
Ευάγγελος Ρεκλείτης

κ. Ρεκλείτη,
ευχαριστώ για την ομαδοποίηση των θεμάτων που κάνετε. Εγώ όπως γνωρίζεται είμαι μέλος της επιτροπής στρατηγικής του Digital Greece 2020 και στέλεγχος της Symantec η οποία είναι η μεγαλύτερη εταιρείας πληροφοριακής ασφάλειας στον κόσμο.
Σε γενικές γραμμές συμφωνώ με την ομαδοποίηση που έχετε κάνει, έχω όμως και κάποιες παρατηρήσεις.
Η ομαδοποίηση που γίνεται σωστά ως ένα βαθμό επικεντρώνεται σε θέματα “ανθρωποκεντρικά”, όμως όπως είχα παρατηρήσει και στην αρχική συνεδρίαση λείπει από την συζήτηση μας τόσο το κομμάτι της προστασίας της κρίσιμης υποδομής, όσο και το κομμάτι των ελλείψεων που έχουμε ως χώρα στην ανάπτυξη δυνατοτήτων ασφάλειας. Ασφάλεια είναι το τρίπτυχο τεχνολογία, διαδικασίες και άνθρωποι. Θα ήθελα λίγο να επικεντρωθούμε στην τεχνολογία και τις διαδικασίες.
Επιπλέον θα ήθελα να δω άμεσα υλοποιήσημες προτάσεις αλλά και μια κατεύθυνση για το μέλλον με βάσει τα δεδομένα που έχουμε για τις ψηφιακές απειλές και την ανάπτυξη της τεχνολογίας. Δεν μπορούμε να αγνοήσουμε ότι οι μεν απειλές για τους χρήστες είναι οικονομικής-προσωπικής φύσεως οι απειλές όμως για την υποδομή αποτελούν αντικείμενο ευρύτερης συζήτησης ιδιαίτερα μετά το stuxnet.
Επί της ουσίας στα όσα αναφέρετε.
Για μεν το 1 (κουλτούρα). Σε όλη την Ευρώπη και στην Ελλάδα παλιότερα έχουν γίνει προσπάθειες ενημέρωσης του κοινού για θέματα πληροφοριακής ασφάλειας. Οι δραστηριότητες αυτές γίνονται με συμμετοχή ιδιωτικού και δημοσίου τομέα (Αγγλία getsafeonline, Γερμανία sicherimnetz κτλ). Επιπλέον η Ευρωπαϊκή Υπηρεσία Πληροφοριακής Ασφάλειας έχει ήδη έτοιμα πακέτα εργασίας για την διενέργεια εκστρατιών ενημέρωσης. Εφόσον υπάρχει η διάθεση και η δέσμευση από δημόσιους και ιδιωτικούς φορείς η συγκεκριμένη δραστηριότητα μπορεί να ξεκινήσει άμεσα και εύκολα (την έχω ξανακάνει πολλές φορές σε άλλες Ευρωπαϊκές και Ασιατικές χώρες) και γίνει αρκετά φθηνά. Συνεπώς θα υποστήριζα ευχαρίστως μια συστηματική εκστρατεία ενημέρωσης του κοινού και πιστεύω ότι πρέπει να είναι από τις πρωτεραιότητες. Εν τέλει η δημιουργία της κουλτούρας θα προκύψει από συνεχή ενημέρωση και χρήση των βέλτιστων πρακτικών. Θα πρέπει επίσης να αποτελέσει αντικείμενο μελλοντικής συζήτησης η εισαγωγή της πληροφορικής ασφάλειας και η ενημέρωση σε σχολικό επίπεδο.

Σε ότι αφορά τήν κατηγορία 2. Δεν θεωρώ ότι είναι άμεσα υλοποιήση με τον τρόπο που την παρουσιάζετε. Πιο συγκεκριμένα διαφωνώ με την στόχευση που κάνετε στο πρόβλημα. Στην Ελλάδα δεν έχουμε σημαντική βιομηχανία ανάπτυξης εγχώριου λογισμικού για να τίθεται θέμα ασφαλούς σχεδίασης του ή της υπηρεσίας που στηρίζει σε αυτό την λειτουργία της. Δεν φτιάχνουμε στην Ελλάδα λειτουργικά συστήματα για να τίθεται θέμα πιστοποίησης ή συγγραφής ασφαλούς κώδικα. Νομίζω λοιπόν ότι η συζήτηση πρέπει να επικεντρωθεί στο πως χρησιμοποιούμε τις νέες τεχνολογίες με ασφάλεια (δηλαδή να επικεντρωθούμε σε πολιτικές/διαδικασίες χρήσης) και παράλληλα να δούμε τι επιπλέον μας λείπει προκειμένου να ασφαλίσουμε αποτελεσματικά την υπάρχουσα υποδομή. Για παράδειγμα, δεν υπάρχει εθνικός CERT. Δεν υπάρχει εθνική πολιτική πληροφοριακής ασφάλειας. Δεν υπάρχει εθνικός κρυπτογραφικός αλγόρυθμος. Δεν είμαστε σε θέση να διαπιστώσουμε την λειτουργία ή όχι ενός προγράμματος με βάση τα κοινά (διεθνή) πρότυπα ασφάλειας. Είμαστε υπό αυτή την έννοια καταναλωτές όχι πιστοποιητές συστημάτων. Έγινε πρόσφατα μια προσπάθεια να γίνει η πρώτη εθνική κυβερνοάσκηση. Πως υλοποιούνται τα συμπεράσματα της; Δεν υπάρχει μια διαδικασία εκτίμησης ρίσκου για την κάθε πληροφοριακή υποδομή προκειμένου να επιλέξουμε την κατάλληλη πολιτική ασφάλειας και τα αναγκαία τεχνολογικά εργαλεία. Τέλος δεν υπάρχει σύστημα έγκαιρης προειδοποίησης ούτε δυνατότητα παρακολούθησης του ψηφιακού περιβάλλοντος του Ελλαδικού χώρου σε πραγματικό χρόνο. Για να το εξηγήσω με πολύ απλά λόγια, αν δεχόμασταν επίθεση θα το καταλαβαίναμε όταν τα συστήματα παύουν να λειτουργούν και όταν οι πληροφορίες έχουν ήδη υποκλαπεί. Όχι νωρίτερα ενόσω γίνεται η προσβολή και η διείσδυση.
Κατ’εμέ τουλάχιστον άμεσα υλοποιήσημα και με την διαδικασία του κατεπείγοντος διότι η έλλειψη τους συνιστά απειλή ακόμη και για την εθνική ασφάλεια είναι:
1. Δημιουργία ομάδας εργασίας με θέμα την ανάπτυξη κρυπτογραφικών δυνατοτήτων για περιβάλλοντα υψηλής ασφάλειας στον Ελληνικό δημόσιο τομέα
2. Ορισμός κρισίμων υποδομών στον δημόσιο και ιδιωτικό τομέα.
3. Εκτίμηση του επιπέδου αποδεκτoύ ρίσκου και του επιπέδου απειλών για κρίσιμα συστήματα του δημοσίου τομέα
4. Υλοποίηση του εθνικού CERT
5. Υλοποίηση των συμπερασμάτων από την πρόσφατη άσκηση και τακτική επανάληψη της με ευρύτερη συμμετοχή.
Σε ότι αφορά το κομμάτι 3 (εμπιστοσύνη) της ομαδοποίησης σας. Προϋπόθεση για την εμπιστοσύνη είναι η ασφάλεια της υποδομής, ενημέρωση και προφανώς χρόνος για να εμπεδωθεί η εμπιστοσύνη. Ένα κρίσιμο στοιχείο της εμπιστοσύνης είναι η δυνατότητα ταυτοποίησης τόσο σε επίπεδο υποδομής όσο και σε επίπεδο ανθρώπων χωρίς αυτό να σημαίνει και αναγνώριση ανθρώπων. Το κομμάτι της πιστοποίησης/κρυπτογραφίας ιδιαίτερα με τις ψηφιακές υπογραφές παίζει πολύ σημαντικό ρόλο. Ειδικά μάλιστα με δεδομένο ότι στην Ελλάδα σε αντίθεση με άλλες χώρες δεν έχουμε ψηφιακές ταυτότητες που μπορούν να χρησιμοποιηθούν σε ηλεκτρονικές συναλλαγές με το δημόσιο. Η εμπιστοσύνη στην υποδομή έχει και να κάνει με την αντοχή της σε επιθέσεις και την δυνατότητα να “αυτοθεραπευτεί” ή να ακολουθήσει εναλλακτικές διαδρομές στην περίπτωση των επικοινωνιών προκειμένου να μην υπάρξει ένα σημείο αποτυχίας. Η συζήτηση αυτή είναι πολύ μεγάλη και η άποψη μου είναι ότι στους άμεσα και εύκολα υλοποιήσιμους στόχους δεν μπορεί να είναι η εμπιστοσύνη όταν δεν έχουμε ασφαλίοει την υποδομή, δοκιμάσει την υποδομή και κυρίως δεν έχουμε δώσει τον χρόνο για ενημέρωση και εμπέδωση εμπιστοσύνης. Το ίδιο το τεχνολογικό κομμάτι που προϋποτίθεται για την εμπιστοσύνη, η ψηφιακή ταυτότητα, είναι τόσο δύσκολο και περίπλοκο για τα Ελληνικά δεδομένα που αξίζει να συζητηθεί σε μελλοντική φάση αλλά ξεφεύγει τώρα από τους στόχους της ομάδας.
Το τελευταίο κομμάτι που αναφέρετε ως 4 είναι το νομοθετικό. Καταρχήν πρέπει να γνωρίζετε ότι η νομοθεσία για τα προσωπικά δεδομένα είναι υπό τροποποίηση στις Βρυξέλλες (εργάζομαι αυτή τη στιγμή σε αυτό το θέμα) με αποτέλεσμα ότι και να πούμε τώρα επ’αυτού να τεθεί εν αμφιβόλω το 2011. Συνεπώς αφήνω έξω αυτό το κομμάτι. Σίγουρα όσα ανάφερα παραπάνω για υπηρεσίες πιστοποίησης και ηλεκτρονική ταυτότητα θα χρειαστουν το αντίστοιχο νομικό πλαίσιο. Αυτό που σίγουρα λείπει στην Ελλάδα είναι η νομοθεσία για την προστασία της κρίσιμης υποδομής και το πλαίσιο συνεργασίας ιδιωτικού-δημοσίου τομέα σε θέματα ασφάλειας. Ενώ σε άλλες χώρες (Αγγλία, Σουηδία, Γερμανία) υπάρχει η αρμόδια αρχή για την πληροφοριακή ασφάλεια και το σχετικό κανονιστικό πλαίσο συνεργασίας, ανταλλαγής πληροφοριών ιδιωτικού-δημοσίου τομέα, εδω δεν υπάρχει η αντίστοιχη δομή. Έχουμε πληθώρα εθνικών αρχών/υπηρεσιών που άπτονται της ασφάλειας των πληροφοριών σε διαφορετικούς τομείς (Αρχή Προσωπικών Δεδομένων, ΑΔΑΕ, Προστασίας καταναλωτή, ΕΥΠ, Αστυνομία, Υπ. Άμυνας) αλλά κανένα συντονιστή και συνολικά (και επιχειρησιακά) υπεύθυνο. Προφανώς η περισσότερες από τις αρχές αυτές αποφεύγουν την συνεργασία με τον ιδιωτικό τομέα ενώ θα πρέπει να επιδιώκεται το ακριβώς αντίθετο λόγω της φύσεως του αντικειμένου. Συμπερασματικά μιλώντας λοιπόν οποιαδήποτε νομοθετική παρέμβαση θα πρέπει να αντιμετωπίσει το ρυθμιστικό κενό που υπάρχει σε ότι αφορά την προστασία του απορρήτου των πληροφοριών γενικότερα, την αναγνώριση και προστασία της κρίσιμης υποδομής και την ανάθεση αρμοδιοτήτων ασφάλειας σε κάποιο φορέα με αντίστοιχες συντονιστικές και επιχειρησιακές ικανότητες και συνεργασία με τον ιδιωτικό τομέα.
Τέλος το κομμάτι που λείπει και αξίζει νομίζω να κουβεντιάσουμε είναι το που πηγαίνουμε. Η τεχνολογία κινείται όλο και περισσότερο στο χώρο του υπολογιστικού νέφους (cloud computing). Ως εκ τούτου θα προκύψουν ακόμη πιο έντονα τα εξής θέματα:
Ασφάλεια τερματικών συστημάτων και πληροφοριών ανεξαρτήτως συσκευών χρήσης.
Ασφάλεια και αντοχή του νέφους τόσο σε επίπεδο συστημάτων (server) όσο και σε επίπεδο επικοινωνιών
Ταυτοποίηση σε περιβάλλον νέφους (πως ξέρω σίγουρα με τί και με ποιόν επικοινωνώ)
Αναζήτηση και διαθεσιμότητα της πληροφορίας
Νομικά θέματα λόγω της εξαγωγής και κυκλοφορίας των δεδομένων.
Όλα τα παραπάνω θέματα θα προκύψουν σε 2-3 χρόνια και όλα όσα ανέφερα παραπάνω στην παρέμβαση μου θα πρέπει να έχουν απαντηθεί προκειμένου να μπορέσουμε να αντιμετωπίσουμε τα θέματα που θα προκύψουν από την χρήση του νέφους. Επιπλέον πρέπει να λάβουμε υπόψιν ότι το νέφος θα δημιουργήσει νέες απειλές, αλλά και νέες ευκαιρίες για αποτελεσματικότερες τεχνολογίες ασφάλειας. Τί πολιτικές θα πρέπει να φτιάξουμε στην Ελλάδα προκειμένου να διευκολύνουμε αυτές τις τεχνολογίες, να προλάβουμε τον τεχνολογικό κύκλο και κυρίως να καταστήσουμε εαυτόν επενδυτικά ενδιαφέρον; Προφανώς δεν φτάνει μόνο η ευρυζωνικότητα.
Ευχαρίστως να κουβεντιάσουμε και αυτό κάποια στιγμή γιατί ο στόχος είναι το 2020. Συγγνώμη για την μακροσκελή παρέμβαση και ελπίζω να φανεί χρήσιμη.
Με εκτίμηση

Ηλίας Χάντζος
Director EMEA & APJ, Government Affairs
Symantec Corporation

Νομίζω ότι ο κ. Χάντζος έχει συνοψίσει πολύ σωστά τις στοχεύσεις που μπορεί να υιοθετήσει η ομάδα. Μερικά σχόλια μόνο προς ενίσχυση των διατυπωμένων θέσεων:
Στην κατηγορία 1 νομίζω θα ήταν χρήσιμο να επαναλειτουργήσει μία ομάδα όπως το DART που θα εξυπηρετήσει καλύτερα τις στοχεύσεις που αναφέρει ο κ. Χάντζος.
Στην κατηγορία 2 θεωρώ ότι ο εθνικός CERT είναι πλέον αδήριτη ανάγκη. Οφείλουμε να ξεπεράσουμε τις όποιες γραφειοκρατικές δυσκολίες καθώς η χρησιμότητά του είναι τεράστια. Τέλος, το γεγονός ότι δεν φτιάχουμε λειτουργικά συστήματα νομίζω ότι καθιστά ακόμα πιο εύκολη την υιοθέτηση ασφαλών προτύπων συγγραφής κώδικα τουλάχιστον για ορισμένες κρίσιμες υπηρεσίες, όπως π.χ. TAXISnet, Ermis κλπ. Σχετικά σχολίασα και στην άλλη συζήτηση.

Κ. Παπαπαναγιώτου

Όσον αφορά τους ελληνικούς CERT, υπάρχουν ήδη τρεις CERTs/CSIRTs καταγεγραμμένοι (οι δύο πιστοποιημένοι) από τον ENISA.
AUTH-CERT
TI Status: Listed
TI Listed since: 2Q 2004
TI Link: https://www.trusted-introducer.org/teams/teams-a.html #AUTH-CERT
Constituency: Research & Education
More Info: http://www.auth.gr

FORTH CERT
TI Status: Accredited
TI Link: https://www.trusted-introducer.org/teams/forth-cert.html
Constituency: Major Service Provider
FIRST member: Yes
More Info:http://www.forth.gr/forthcert/

GRNET-CERT
Established: 2Q 2000
TI Status: Accredited
TI Link: https://www.trusted-introducer.org/teams/grnet-cert.html
Constituency: Research & Education
More Info: http://cert.grnet.gr

Ενώ περισσότερο υλικό υποστήριξης μπορεί να βρεθεί στο αντίστοιχο site του ENISA [http://www.enisa.europa.eu/act/cert].

Φυσικά δεν διατείνομαι ότι οι υπηρεσίες των ελληνικών CERTs, καλύπτουν το εύρος των παρεχόμενων υπηρεσιών του CERT του Carnegie Mellon, αλλά σίγουρα μπορούν να αποτελέσουν ένα καλό σημείο εκκίνησης για οποιαδήποτε προσπάθεια δημιουργίας (παν)εθνικού αντίστοιχου.
Σαν ομάδα Εμπιστοσύνης και Ασφάλειας θα στείλουμε μα πρόσκληση προς τους προαναφερθέντες οργανισμούς να συμμετάσχουν στον διάλογο του digital greece.