Topic outline

  • Ηλεκτρονικές Υπηρεσίες

    Ως ηλεκτρονική υπηρεσία ορίζεται μία τυπική υπηρεσία διακυβέρνησης που έχει ορισμένα ιδιάζοντα χαρακτηριστικά, τα οποία τη διαφοροποιούν από μία διαδικασία, διεργασία ή εργασία ενός φορέα:

    • Έχει χρήστη: Ένα πολίτη (φοιτητή), μια επιχείρηση ή κάποιον άλλο φορέα της Δημόσιας Διοίκησης.
    • Έχει αυτοτελές παραδοτέο: Ο χρήστης που το παραλαμβάνει μπορεί να το αξιοποιήσει χωρίς να απαιτούνται επιπλέον εργασίες, συναλλαγές ή παραδοτέα.
    • Έχει πάροχο: Εκπαιδευτικά Ίδρυμα, μια Υπηρεσιακή Μονάδα ενός Φορέα της Δημόσιας Διοίκησης παρέχει την υπηρεσία, π.χ. Διεύθυνση Υπουργείου, Νομαρχιακή Αυτοδιοίκηση ή ΚΕΠ.
    • Έχει ρυθμιστή: Υπάρχει (τουλάχιστον) μια υπηρεσιακή μονάδα ενός φορέα της Δημόσιας Διοίκησης που είναι αρμόδια για το ρυθμιστικό πλαίσιο της υπηρεσίας.

    Ο παραδοσιακός τρόπος ολοκλήρωσης μιας υπηρεσίας περιλαμβάνει ένα σύνολο διαδικασιών που συνήθως εμπλέκουν τόσο τον εξυπηρετούμενο πολίτη ή επιχείρηση, όσο και έναν ή περισσότερους φορείς τις Δημόσιας Διοίκησης σε περισσότερα από ένα σημεία επαφής. Ένα σημαντικό δε μέρος της διαδικασίας είναι χειρόγραφο, γεγονός που εισάγει περισσότερο διαχειριστικό φόρτο.

    Η ηλεκτρονική διακυβέρνηση χρησιμοποιώντας τις Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ) προκρίνει την ηλεκτρονική επικοινωνία, έναντι της παραδοσιακής χειρόγραφης επικοινωνίας, επιτυγχάνοντας έτσι τη διαθεσιμότητα των υπηρεσιών 24 ώρες το 24ωρο και 7 ημέρες την εβδομάδα και διευκολύνοντας την παροχή πληροφοριών και υπηρεσιών στον πολίτη (φοιτητή). Ιδανικά ο εξυπηρετούμενος έχει ένα σημείο επαφής, τη Διαδικτυακή Πύλη του Φορέα (Πανεπιστήμιο) ή ένα Κέντρο Εξυπηρέτησης Πολιτών (ΚΕΠ) και οι εσωτερικές διαδικασίες ολοκλήρωσης αποκρύπτονται από εκείνον. Από την πλευρά των Φορέων ζητούμενο είναι η απλοποίηση των διαδικασιών αλλά και της επικοινωνίας με τους άλλους Φορείς της Δημόσιας Διοίκησης.

    Πιο συγκεκριμένα το Πλαίσιο Ηλεκτρονικής Διακυβέρνησης εντοπίζει 3 απαιτήσεις των πιθανών χρηστών μιας ηλεκτρονικής δημόσιας υπηρεσίας. Ο χρήστης:

    •  δεν απαιτείται να γνωρίζει τον τρόπο λειτουργίας, τη δομή και τις αρμοδιότητες των οργανωτικών μονάδων της Δημόσιας Διοίκησης που εμπλέκονται στην εξυπηρέτησή του,
    • πρέπει να έρχεται σε επαφή αποκλειστικά με το σημείο εκκίνησης της υπηρεσίας (ΚΕΠ, Κυβερνητική Διαδικτυακή Πύλη) και να παραλαμβάνει το αποτέλεσμα της υπηρεσίας από ένα σημείο εξόδου, χωρίς να εμπλέκεται σε ενδιάμεσα στάδια εξυπηρέτησης (one-stop shop), και 
    • πρέπει να έχει συνεχή (online) ενημέρωση για τη ροή της πληροφορίας και τη λήψη των αποφάσεων που αφορούν την υπόθεση που διεκπεραιώνει ηλεκτρονικά.

    Οι υπηρεσίες μπορεί να είναι απλές (π.χ. πληροφόρηση, βεβαίωση, οικονομική συναλλαγή, διακίνηση πληροφοριακού περιεχομένου κλπ.) ή σύνθετες (διαγωνισμός, προμήθεια, διαβούλευση, αδειοδότηση, κλπ.), ενώ η ολοκλήρωση τους ενδέχεται να απαιτεί περισσότερες από μία «στοιχειώδεις» υπηρεσίες που παρέχονται από διαφορετικούς φορείς.

    Η Ευρωπαϊκή Ένωση έχει διαχωρίσει τις υπηρεσίες σε 5 επίπεδα εξέλιξης ανάλογα με το βαθμό τελικής παροχής μίας υπηρεσίας,

    • Επίπεδο 1: Πληροφόρηση – Δημοσίευση (Information). Παροχή πληροφοριακού υλικού σχετικά με τον τρόπο διεκπεραίωσης της υπηρεσίας. Το υλικό αυτό αφορά: στα δικαιολογητικά που πρέπει να προσκομιστούν, στους φορείς που εμπλέκονται για την ολοκλήρωση της υπηρεσίας, στη διαδοχή εκτέλεσης των συναλλαγών που περιλαμβάνει η υπηρεσία, κλπ.

    • Επίπεδο 2: Μονόδρομη επικοινωνία / διάδραση / αλληλεπίδραση (One-way interaction). Δυνατότητα μεταφόρτωσης εγγράφων και επίσημων φορμών από τη Διαδικτυακή Πύλη του Φορέα σε εκτυπώσιμη μορφή ώστε να ξεκινά η διαδικασία εξυπηρέτησης. Η ολοκλήρωση της διαδικασίας γίνεται με μη ηλεκτρονικό τρόπο.

    • Επίπεδο 3: Αμφίδρομη διάδραση (Two-way interaction). Πρόσβαση μέσω της Διαδικτυακής Πύλης του Φορέα σε επίσημες ηλεκτρονικές φόρμες ώστε να ξεκινά η διαδικασία εξυπηρέτησης. Η διαδικασία μπορεί να περιλαμβάνει και την πιστοποίηση του χρήστη της υπηρεσίας. Η ολοκλήρωση της διαδικασίας εξυπηρέτησης γίνεται με μη ηλεκτρονικό τρόπο.

    • Επίπεδο 4: Συναλλαγή, πλήρης ηλεκτρονική διαχείριση υπηρεσίας (Transaction). Σε αυτό το επίπεδο δεν απαιτείται διαπροσωπική επαφή και χειρόγραφα έντυπα. Οι Διαδικτυακές Πύλες και τα πληροφοριακά συστήματα των Φορέων προσφέρουν στον πολίτη ολοκληρωμένο και πλήρως ηλεκτρονικό χειρισμό της υπηρεσίας περιλαμβάνοντας σύνθετες εργασίες όπως πιστοποίηση, απόφαση, ειδοποίηση, παράδοση και πληρωμή (εάν είναι απαραίτητο). Καμία επιπλέον εργασία δεν απαιτείται από τον πολίτη για την ολοκλήρωση της εξυπηρέτησής του. Το γεγονός ότι μία ηλεκτρονική υπηρεσία παρέχει τη δυνατότητα ολοκλήρωσης οικονομικών συναλλαγών, συνεπάγεται τη δυνατότητα πλήρους υποκατάστασης της αντίστοιχης μη-ηλεκτρονικής υπηρεσίας.

    • Επίπεδο 5: Προσωποποιημένη και αυτοματοποιημένη παροχή υπηρεσιών (Personalisation). Το επίπεδο αυτό προστέθηκε ετεροχρονισμένα και αποσκοπεί στο να διαπιστώσει κατά πόσο οι βασικές υπηρεσίες:

      1.         βασίζονται σε νέα μοντέλα ολοκλήρωσης εξωστρεφών και υποστηρικτικών συστημάτων (front and back-offices integration),
      2.         επαναχρησιμοποιούν διαθέσιμα δεδομένα και
      3.         ακολουθούν «επιθετικά» μοντέλα διάθεσης, δηλαδή διατίθενται από τους φορείς στους αποδέκτες (πολίτες ή επιχειρήσεις), όταν ικανοποιείται κάποιο κριτήριο (π.χ. χρονική προθεσμία), χωρίς να απαιτείται να ζητηθούν από τους αποδέκτες τους.



  • Ασφάλεια και ιδιωτικότητα στις ηλεκτρονικές υπηρεσίες

    Στην ενότητα αυτή διερευνούνται τα θέματα ασφάλειας και της ιδιωτικότητας που προκύπτουν από την εισαγωγή ηλεκτρονικών υπηρεσιών.


  • Μηχανισμοί ικανοποίησης απαιτήσεων ασφάλειας και ιδιωτικότητας

    Για την ελαχιστοποίηση της πιθανότητας μετατροπής μιας απειλής σε κίνδυνο, θα πρέπει να ληφθούν κατάλληλα μέτρα ασφάλειας, που να παρέχουν κατά περίπτωση τις ακόλουθες υπηρεσίες ασφάλειας (security services):

    •  Υπηρεσίες διασφάλισης της Εμπιστευτικότητας (confidentiality) των ανταλλασσόμενων μηνυμάτων και γενικότερα της Ιδιωτικότητας (Privacy) των εμπλεκομένων οντοτήτων σε μία ηλεκτρονική συναλλαγή.
    •  Ακεραιότητα (integrity) των δεδομένων, αποτροπή τροποποίησης του περιεχομένου των μηνυμάτων κατά τη διάρκεια μιας συναλλαγής.
    • Διαθεσιμότητα των πληροφοριών και επικοινωνιών, αποτροπή ενεργών επιθέσεων άρνησης παροχής υπηρεσίας και κακόβουλης τροποποίησης και διαμόρφωσης του καναλιού επικοινωνίας, π.χ. ανακατεύθυνση δεδομένων σε μη-εξουσιοδοτημένο παραλήπτη (παραλήπτες) κλπ.
    • Αυθεντικοποίηση (authentication), η οποία σχετίζεται με το επίπεδο εμπιστοσύνης το οποίο οι συναλλασσόμενοι απαιτούν, σε σχέση με την ταυτότητα των εμπλεκομένων μερών.
    • Ταυτοποίηση (identification), αναγνώριση ενός χρήστη και διάκρισή του από τους υπόλοιπους.
    • Εξουσιοδότηση (authorization), η οποία σχετίζεται με τα δικαιώματα που διαθέτει κάθε οντότητα, στο πλαίσιο μιας συναλλαγής.
    • Μη-αποποίηση (non-repudiation) αποστολής και λήψης δεδομένων, που αφορά στην παροχή στοιχείων, με βάση τα οποία μία οντότητα δε θα δύναται, κατ’ αρχάς, σε μεταγενέστερο χρόνο να αρνηθεί ότι έχει συμμετάσχει σε μία συγκεκριμένη ηλεκτρονική συναλλαγή.
    • Υπηρεσίες προστιθέμενης αξίας, όπως η χρονοσήμανση εγγράφων και η διαχείριση κλειδιών – μετάδοση & διανομή κλειδιών, ανάκληση κλειδιών κλπ.

    Στη συνέχεια θα παρουσιαστούν συνοπτικά ορισμένα κοινώς αποδεκτά αντίμετρα.



  • Βασικά Θέματα Κρυπτογραφίας

    Για να διευκολυνθεί η παρουσίαση των εννοιών της κρυπτογραφίας θα χρησιμοποιήσουμε ένα απλό σενάριο με δύο επικοινωνούσες οντότητες ή δρώντες, έναν Αποστολέα, που θέλει να στείλει ένα μήνυμα (απλό κείμενο ή κρυπτοκείμενο), και τον αντίστοιχο Παραλήπτη. Το κύριο μέλημα του αποστολέα είναι να διασφαλιστεί η ασφάλεια της αποστολή ενάντια σε ενδεχόμενες επιθέσεις.

    Ως επιθέσεις ασφάλειας ορίζουμε κάθε πράξη που θέτει σε κίνδυνο/διακυβεύει την ασφάλεια των πληροφοριών (αγαθών) που ανήκουν σε έναν οργανισμό. Ενώ ως απλό κείμενο ορίζουμε ένα κείμενο που μπορεί να αναγνωστεί από τον οποιοδήποτε. Εάν ένα απλό κείμενο αποτελέσει την είσοδο σε ένα κρυπτοσύστημα, το κείμενο της εξόδου ονομάζεται κρυπτοκείμενο. Το κρυπτοκείμενο έχει «ενδυναμωθεί» από το κρυπτοσύστημα, ώστε να είναι ανθεκτικό ενάντια σε συγκεκριμένες επιθέσεις.

    Το σενάριο αυτό είναι υποθετικό. Δε θα πρέπει να θεωρηθεί ότι υπάρχουν περιορισμοί στο πώς μπορεί να αξιοποιηθεί η κρυπτογραφία, π.χ. ότι χρειάζονται οπωσδήποτε 2 δρώντες ή ότι μπορούμε να κρυπτογραφήσουμε μόνο κείμενα ή ακόμα ότι είναι απαραίτητο αυτά να αποσταλούν πάνω από ένα κανάλι επικοινωνίας.

    Υπάρχουν περιπτώσεις, που υπάρχει μόνο ένας δρων (αποστολέας και παραλήπτης είναι το ίδιο άτομο), π.χ. όταν θέλουμε να αποθηκεύσουμε με ασφάλεια ένα κείμενο για να το ανακτήσουμε μετά, και στην περίπτωση αυτή το κείμενο ‘αποστέλλεται’ στον εαυτό μας για να μελετηθεί στο μέλλον. Ακόμα και η ίδια η έννοια του κειμένου είναι πλασματική. Στα Π.Σ. όλη η πληροφορία αναπαριστάται ως μια αλληλουχία δυαδικών ψηφίων (bits), οπότε οποιοδήποτε δεδομένο μπορεί να αναπαρασταθεί, μπορεί και να κρυπτογραφηθεί, είτε πρόκειται για έγγραφα κειμένου, είτε για φωτογραφίες, ήχους, video, εγγραφές βάσης δεδομένων κλπ.

    Ως υπηρεσία ασφάλειας ορίζουμε μια υπηρεσία που ενισχύει την ασφάλεια των πληροφοριακών συστημάτων και των μεταδιδόμενων πληροφοριών ενός οργανισμού. Οι υπηρεσίες δρουν ως αντίμετρα σε επιθέσεις ασφάλειας και μπορούν να κάνουν χρήση ενός ή περισσοτέρων μηχανισμών ασφάλειας.

    Συνεπώς ισχύει ότι η κρυπτογράφηση (encipherment / encryptment) ενός μηνύματος/κειμένου πριν από την αποστολή του, μας προστατεύει από επιθέσεις ωτακουστών, αφού μόνο όσοι γνωρίζουν πώς να αντιστρέψουν την κρυπτογράφηση μπορούν να ανακτήσουν το αρχικό μήνυμα/κείμενο.

    Ωστόσο παραμένουμε ευάλωτοι σε επιθέσεις ανάλυσης κίνησης και άλλες ενεργητικές επιθέσεις. Για παράδειγμα η απλή κρυπτογράφηση ενός κειμένου δεν αποτρέπει την διαγραφή του μηνύματος ή την καθυστέρησή του ή και την αλλαγή της σειράς παραλαβής των μηνυμάτων που απαρτίζουν μια επικοινωνία. Ανάλογα με την περίσταση αυτές οι επιθέσεις θα μπορούσε να είναι πολύ πιο καταστρεπτικές από το κρυφάκουσμα της επικοινωνίας, π.χ. η καθυστέρηση ενός παραγγέλματος γενικής επίθεσης σε ένα στρατό ή η αναμετάδοση ενός παλαιότερου παραγγέλματος οπισθοχώρησης. Επιπλέον, η κρυπτογράφηση δε μας εξασφαλίζει από το ενδεχόμενο ένας επιτιθέμενος να υποκλέψει το απλό κείμενο απευθείας από τον αποστολέα ή από τον παραλήπτη, αφού εκείνος το ανακτήσει.

    Με την χρήση κρυπτογραφίας, δηλαδή κρυπτογραφικών αλγορίθμων και πρωτοκόλλων, ο αποστολέας (και ο παραλήπτης) ενός μηνύματος μπορεί να αξιοποιήσει τις ακόλουθες Υπηρεσίες Ασφάλειας:

    • Εμπιστευτικότητα, δηλαδή να επιτύχουμε/διατηρήσουμε τη μυστικότητα της πληροφορίας και την αποφυγή αποκάλυψης πληροφοριών σε μη-εξουσιοδοτημένες οντότητες,
    • Αυθεντικοποίηση ταυτότητας, δηλαδή ο παραλήπτης να μπορεί να επιβεβαιώσει την ταυτότητα ενός αποστολέα (και αντιστρόφως),
    • Ακεραιότητα, δηλαδή να μπορεί να ανιχνευτούν ακούσιες (π.χ. λάθη καναλιού μεταφοράς) ή εκούσιες (κακόβουλοι επιτιθέμενοι) τροποποιήσεις της πληροφορίας,
    • Μη-αποποίηση αποστολής, δηλαδή ο αποστολέας να μην μπορεί να αρνηθεί το γεγονός ότι έστειλε ένα μήνυμα,
    • Μη-αποποίηση παραλαβής, δηλαδή ο παραλήπτης να μην μπορεί να αρνηθεί το γεγονός ότι έλαβε ένα μήνυμα.


  • Υποδομή Δημοσίου Κλειδιού

    Στο κεφάλαιο αυτό εξετάζεται η Υποδομή Δημοσίου Κλειδιού (ΥΔΚ) και οι υπηρεσίες που αυτή μπορεί να προσφέρει. Βασικό στοιχείο της Υποδομής Δημοσίου Κλειδιού (ΥΔΚ) είναι οι Έμπιστες Τρίτες Οντότητες (ΕΤΟ), οι οποίες αναλαμβάνουν να προσφέρουν τις υπηρεσίες στους χρήστες της υποδομής. Ανάλογα με την προσφερόμενη υπηρεσία μπορούμε να διακρίνουμε διάφορους τύπους ΕΤΟ, όπως οι Αρχές Πιστοποίησης (ΑΠ), οι Πάροχοι Υπηρεσιών Πιστοποίησης (ΠΥΠ), κλπ. Πολύ συχνά, όμως, η ΑΠ αναλαμβάνει να παράσχει το σύνολο των υπηρεσιών ασφάλειας. Ως Αρχή Πιστοποίησης - ΑΠ (Certification Authority – CA) μπορούμε να χαρακτηρίσουμε μία Αρχή Ασφάλειας ή κάποιον αντιπρόσωπό της, την οποία εμπιστεύονται οι άλλες οντότητες σε σχέση με δραστηριότητες που είναι συναφείς με τη διανομή και πιστοποίηση κρυπτογραφικών κλειδιών. Πιο αναλυτικά, μπορούμε να θεωρήσουμε την ΑΠ ως έναν αμερόληπτο διαπιστευμένο φορέα, ο οποίος απολαμβάνει επιχειρηματικής εμπιστοσύνης για μία ηλεκτρονική δοσοληψία, με βάση τεχνικά, νομικά και κανονιστικά κριτήρια. Η ΑΠ παρέχει τους μηχανισμούς που είναι απαραίτητοι για την υλοποίηση μίας ασφαλούς ηλεκτρονικής συναλλαγής, καθώς και για συναφείς διαδικασίες διαιτησίας. Οι υπηρεσίες που παρέχει διασφαλίζονται όχι μόνο τεχνικά, αλλά νομικά και οικονομικά. Αντίστοιχα ως Τελικές Οντότητες – ΤΟ (End Entities) εννοούνται οι αποδέκτες των υπηρεσιών πιστοποίησης που προσφέρει μια ΑΠ. Αυτές μπορεί να είναι άτομα, ηλεκτρονικές υπηρεσίες, εξυπηρέτες, συστήματα κλπ.

    Ο ρόλος της ΑΠ στην υλοποίηση συστημάτων κρυπτογραφίας δημόσιου κλειδιού είναι εξαιρετικά σημαντικός. Συγκεκριμένα, η ΑΠ διαχειρίζεται τα ψηφιακά πιστοποιητικά με τα οποία αντιστοιχίζεται η ταυτότητα μιας φυσικής οντότητας με το δημόσιο κλειδί της. Η ΑΠ εκδίδει και δημοσιοποιεί σε έναν δημόσια προσπελάσιμο χώρο τα ψηφιακά πιστοποιητικά, αφού πρώτα τα υπογράψει ψηφιακά, διασφαλίζοντας έτσι την ακεραιότητα του περιεχομένου τους. Ένα πιστοποιητικό παύει να ισχύει όταν ολοκληρωθεί ο κύκλος ζωής των κλειδιών στα οποία αναφέρεται ή όταν ανακαλείται. Ανάκληση πιστοποιητικού έχουμε σε περιπτώσεις αποκάλυψης ή υποκλοπής του ιδιωτικού κλειδιού. Τέλος η ΑΠ προσφέρει υπηρεσίες ασφαλούς φύλαξης πιστοποιητικών ακόμα και μετά τη λήξη τους για λόγους ιστορικότητας. Με αυτούς τους μηχανισμούς η ΑΠ υποστηρίζει τις ασφαλείς δοσοληψίες μεταξύ των χρηστών της, με κρυπτογραφικές τεχνικές δημοσίου κλειδιού.


  • Νομικές απαιτήσεις ασφάλειας και ιδιωτικότητας

    Η σύγχρονη εποχή χαρακτηρίζεται από τη μεγάλη ροή και συγκέντρωση πληροφοριών. Η σύγχρονη κοινωνία απέκτησε τεράστια εξάρτηση από τη συλλογή και επεξεργασία πληροφοριών και για αυτό το λόγο η περίοδος από το δεύτερο μισό του 20ου αιώνα ονομάζεται εποχή της πληροφορίας. Τα άτομα σήμερα έχουν την ικανότητα να διακινούν ελεύθερα πληροφορίες, ενώ αποκτούν εύκολα πρόσβαση σε πηγές γνώσης που παλαιότερα ήταν πολύ δύσκολο ή αδύνατο να αποκτήσουν. Σε αυτή την αλλαγή κρίσιμο ρόλο έχουν οι τεχνολογίες πληροφορικής και επικοινωνιών, καθώς τροποποίησαν τον τρόπο με τον οποίο οι άνθρωποι επικοινωνούν, εργάζονται, αναπτύσσουν επιχειρήσεις κ.ά. Οι αλλαγές αυτές αποτελούν αποτέλεσμα των νέων δυνατοτήτων επεξεργασίας πληροφοριών, που περιλαμβάνει την επεξεργασία μεγάλου όγκου δεδομένων σε μικρό διάστημα με δυνατότητα συσχετισμών, την ευρεία εξάπλωση των δικτύων επικοινωνίας και πολυμέσων και την αμεσότητα επικοινωνίας. Η ανάπτυξη των δικτύων και πολυμέσων διαμορφώνουν ένα διαφορετικό πλαίσιο επεξεργασίας των δεδομένων, το οποίο στηρίζεται σε νέες υπηρεσίες, όπως τηλεδιάσκεψη, τηλεματική μάθηση, πλοήγηση στον Παγκόσμιο Ιστό κ.ά., καθώς και νέες μορφές και μετατροπές δεδομένων. Το Διαδίκτυο επιτρέπει την διαβίβαση δεδομένων σε συστήματα και τη δυνατότητα διασύνδεσης μεταξύ δεδομένων που τηρούνται σε διαφορετικούς φυσικούς χώρους. Ταυτόχρονα, οι νέες δυνατότητες επεξεργασίας δεδομένων εισάγουν νέες επιχειρησιακές μορφές, που συνίστανται κυρίως στην αποκέντρωση, την ανάθεση δραστηριοτήτων (μερικών ή ολικών) σε τρίτους (outsourcing) και παροχή πολλαπλών και ποικίλων υπηρεσιών ταυτόχρονα. Στις νέες επιχειρήσεις η επεξεργασία προσωπικών πληροφοριών καθορίζει το στρατηγικό πλεονέκτημα και τη λήψη αποφάσεων, ενώ η αυτοματοποιημένη επεξεργασία μεγάλου όγκου δεδομένων δίνει τη δυνατότητα αξιοποίησής τους για διάφορους σκοπούς, αλλά και εμπορική εκμετάλλευση.