Σε ότι αφορά την πληροφορία και τον σύνδεσμο για το Cloud Computing ευχαριστώ πολύ. Είναι ενθαρρυντική η συγκεκριμένη πρωτοβουλία. Μένω με την εντύπωση ότι το μνημόνιο συνεργασίας περιορίζεται στην συζήτηση για την δημιουργία κοινής υποδομής εντός του δημοσίου τομέα. Είναι ένα αναγκαίο πρώτο βήμα, αλλά απέχουμε αρκετά νομίζω από την υλοποίηση ούτε έχει αρχίσει ο διάλογος για τις συνέπειες των συγκεκριμένων κατ’αρχήν τεχνολογικών επιλογών

Οι CERT που αναφέρονται παρακάτω είναι πράγματι υπαρκτοί και ενεργοί στην Ελλάδα. Όμως αυτό δεν αίρει το γεγονός ότι σε σύγκριση με άλλα κράτη στην Ελλάδα δεν έχουμε εθνικό CERT πέρα από τους παραπάνω πανεπιστημιακούς κατά κύριο λόγο. Επισήμως ρόλο εθνικού CERT έχει η ΕΥΠ σύμφωνα με την ιστοσελίδα της και διατάξεις της Ελληνικής νομοθεσίας:

http://www.nis.gr/portal/page/portal/NIS/NCERT

Στην πράξη τουλάχιστον δεν φαίνεται να υπάρχει δραστηριότητα αντίστοιχη με άλλους εθνικούς CERT όπως για παράδειγμα η συστηματική ενημέρωση με δελτία ανακοινώσεων για τις απειλές στον Ελλαδικό χώρο για τρωτότητες κτλ. Πιθανόν η δραστηριότητα της ΕΥΠ να επικεντρώνεται στην απόκρουση επιθέσεων, αλλά λόγω της φύσεως της υπηρεσίας είναι μάλλον δύσκολο να το γνωρίζουμε. Εν τέλει για να λειτουργήσει ένας εθνικός CERT αποτελεσματικά πρέπει να έχει και μια ”εξωστρέφεια” η οποία δεν είναι κατ’ ανάγκη σύμφυτη με το έργο της ΕΥΠ. Θα με ενδιέφερε να μάθω αν η ΕΥΠ όπως γίνεται με άλλες εθνικές αρχές πληροφοριακής ασφάλειας έχει εκδόσει κανονισμούς ασφάλειας τους οποίους άλλες δημόσιες υπηρεσίες τηρούν. Τέλος όπως με άλλους εθνικούς CERT προστατεύονται υποδομές του δημοσίου από επιθέσεις και υπάρχει μια στοιχειώδη επιτήρηση του δικτύου εντός του Ελλαδικού χώρου για την ύπαρξη ηλεκτρονικών απειλών;

Συνήθως η δραστηριότητα ενός εθνικού CERT περιλαμβάνει τα παραπάνω. Ίσως αδικώ την ΕΥΠ επειδή δεν γνωρίζω με αρκετά και με σιγουριά το έργο της στο συγκεκριμένο τομέα.

Ευχαριστώ για τις παραπάνω παρατηρήσεις. Δεν νομίζω ότι διαφωνούμε ουσιαστικά. Περισσότερο η συζήτηση καταλήγει να γίνεται γύρω από την ορολογία. Ο όρος ασφάλεια κατά το σχεδιασμό (security by design) χρησιμοποιείται κυρίως για να υποδηλώσει την ανάπτυξη λογισμικού χωρίς (όσο είναι αυτό δυνατόν) τρωτότητες και αδυναμίες. Για το σκοπό αυτό έχουν αναπτυχθεί προγράμματα όπως ο κύκλος ζωής του λογισμικού (software lifecycle). Μέχρι στιγμής η συζήτηση είχε επικεντρωθεί σε αυτό εξου και τα σχόλια για τα ασφαλή πρότυπα τα κοινά κριτήρια (common criteria) κτλ.
Τώρα η συζήτηση αλλάζει λίγο κατεύθυνση γιατί εισάγετε το στοιχείο της ασφάλειας κατά τον σχεδιασμό συστημάτων (συνήθως αυτό σημαίνει λογισμικό και υλικό μέρος software and hardware) υποθέτω όμως από τα όσο γράφετε παρακάτω ότι εννοείται σχεδιασμό ολοκληρωμένων λύσεων (complete solution design) για συγκεκριμένη εργασία (business process). Υπο αυτή την έννοια κανείς δεν μπορεί να διαφωνήσει μαζί σας ότι στο σχεδιασμό ολοκληρωμένων λύσεων πρέπει να λαμβάνεται υπόψιν από την αρχή η ασφάλεια. Προχωρώντας ένα βήμα περισσότερο θα έλεγα ότι αν δεν συμβεί κάτι τέτοιο αυτό είναι ζημιογόνο για οποιοδήποτε οργανισμό και ιδιαίτερα το δημόσιο διότι το κόστος της ασφάλειας εκ των υστέρων αυξάνει εκθετικά. Τα σχόλια για την έλλειψη εξειδικευμένου προσωπικού έγιναν σε ότι αφορά τον ασφαλή κώδικα και την πιστοποίηση λογισμικού και όχι γενικά τον σχεδιασμό ασφαλών λύσεων. Άλλωστε συχνά ο σχεδιασμός λύσεων αφορά περισσότερο την εισαγωγή είδη υπάρχουσας τεχνολογίας ως υποσύνολο ενός ευρύτερου συστήματος παρά την δημιουργία κάτι εντελώς καινούργιου, αφού συχνά οι ολοκληρωμένες λύσεις είναι αποτέλεσμα ”συρραφής” πολλών διαφορετικών μεμονομένων αλλά διαλειτουργικών προϊόντων.
Άρα στο κομμάτι του σχεδιασμού ασφαλών λύσεων και των προτύπων ασφαλείας συμφωνούμε. Επίσης δεν έχω αντίρρηση σε αυτό που λέτε για δια βίου μάθηση και στην ανάγκη να εισάγουμε τις σχετικές δεξιότητες και στην χώρα μας τόσο σε επίπεδο σχεδιασμού όσο και σε επίπεδο καθημερινής εφαρμογής των λύσεων.
Το θέμα που εγώ επαναλαμβάνω είναι ότι σε αυτη η φάση στόχος της συζήτησης είναι να προταθούν 3 εύκολα/άμεσα υλοποιήσιμες προτάσεις. Η εισαγωγή των δεξιοτήτων μέσω της μάθησης δεν είναι άμεση και εύκολα υλοποιήσιμη. Είναι σίγουρα κάτι που βλέπω σαν μεσοπρόθεσμο στόχο για την Ψηφιακή Ελλάδα του 2020 και το οποίο πρέπει οπωσδήποτε να υπάρχει μέσα στις προτάσεις.
Το μόνο ρόλο που βλέπω για το δημόσιο στο κομμάτι της εισαγωγής των δεξιοτήτων ασφαλούς σχεδιασμού και προτύπων είναι να συνεχίσει να απαιτεί ασφάλεια κατά το σχεδιασμό και διεθνή πρότυπα στις ολοκληρωμένες λύσεις προκειμένου να δημιουργήσει την σχετική ανάγκη εξειδικευμένων ανθρώπων στην Ελληνική αγορά.
Στο κομμάτι των άμεσα υλοποιήσιμων ενεργειών νομίζω ότι σε προηγούμενη δημοσίευση μου στο φόρουμ αναφερόμουν στα προβλήματα που πιστεύω ότι υπάρχουν στην Ελλάδα και στην έλλειψη συνολικής στρατηγικής, συντονισμού και εποπτείας σε θέματα πληροφορικής ασφάλειας με δυνατότητα λήψεως αποφάσεων για τον δημόσιο τομέα.
Ίσως μια από τις εισηγήσεις για άμεσα υλοποιήσιμη δράση να είναι ότι θα πρέπει να υπάρξει ένας όχι μόνο αρμόδιος αλλά υπεύθυνος φορέας ο οποίος θα δίνει τις γενικές κατευθύνσεις και θα αποφασίζει/ελέγχει θέματα όπως η πολιτική ασφάλειας και τα πρότυπα.

κ. Ρεκλείτη, εφόσον είστε ο συντονιστής αυτής της συζήτησης σκοπεύετε κάποια στιγμή να συντάξετε ένα κείμενο-σχέδιο που θα καλείπτει συνολικά τις απόψεις που έχουν εκφραστεί και να το δημοσιεύσετε για περαιτέρω σχόλια προκειμένου να δούμε συνολικά που βρισκόμαστε;

Ευχαριστώ