Professional Documents
Culture Documents
ΙΑΤΡΙΚΕΣ ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΑΣΦΑΛΕΙΑ ΤΩΝ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 2020
ΙΑΤΡΙΚΕΣ ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΑΣΦΑΛΕΙΑ ΤΩΝ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 2020
Γ. Πάγκαλος
Εργαστήριο Πληροφορικής
Πολυτεχνική Σχολή ΑΠΘ
- Θεσσαλονίκη 2020 -
ΠΕΡΙΕΧΟΜΕΝΑ
ΙΙΙ. ΤΕΧΝΙΚΕΣ ΠΡΟΣΤΑΣΙΑΣ ΙΑΤΡΙΚΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ .. 41
V. H ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΤΩΝ ΠΡΑΓΜΑΤΩΝ (INTERNET OF THINGS) .. 167
Β. ΑΣΦΑΛΗ ΠΡΩΤΟΚΟΛΛΑ ΕΠΙΚΟΙΝΩΝΙΑΣ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΤΩΝ ΠΡΑΓΜΑΤΩΝ (IOT) .................... 203
Ανάγκες ασφάλειας στο Διαδίκτυο των Πραγμάτων (IoT) και LPWAN............................................ 204
Τα κυριοτερα πρωτόκολλα LPWAN .................................................................................................. 206
Ι. Τα Πρωτόκολλα επικοινωνίας LoRaWAN ...................................................................................... 206
Τα πρωτόκολλα επικοινωνιας LPWAN ............................................................................................. 208
Επιθέσεις ασφαλείας στα δίκτυα LPWAN ........................................................................................ 209
Αντιμετωπιση κινδυνων ασφαλειας στα δίκτυα LPWAN - το μοντελο STRIDE ................................ 211
Παραδείγματα χρήσης και ασφάλειας των δικτυων LPWAN στο ΙοΤ .............................................. 212
Έξυπνη τηλεμέτρηση κατανάλωσης νερού .................................................................................... 212
Έξυπνος οδικός φωτισμός .............................................................................................................. 215
Έξυπνη ανίχνευση καπνού .............................................................................................................. 217
ΙΙ. Τα πρωτόκολλα επικοινωνίας 5ης Γεννεάς (5G)............................................................................ 220
Χαρακτηριστικά και απαιτήσεις ασφάλειας των Πρωτοκόλλων 5G .............................................. 220
Μηχανισμοί ασφαλείας των Πρωτοκόλλων 5G ............................................................................. 221
Επιθέσεις ασφαλείας στα Πρωτόκολλα 5G .................................................................................... 223
ΙΙΙ. Τα πρωτόκολλα επικοινωνίας Bluetooth (BLE) ........................................................................... 225
Χαρακτηριστικά αι απαιτήσεις ασφάλειαςτου Πρωτοκόλλου Bluetooth - BLE ............................. 225
Τοπολογία των δικτύων BLE ........................................................................................................... 225
Αρχιτεκτονική ασφάλειας του πρωτοκόλλου BLE .......................................................................... 226
Μηχανισμοί ασφαλείας του πρωτοκόλλου BLE ............................................................................. 227
Επιθέσεις ασφαλείας στο πρωτόκολλο Bluetooth - BLE ................................................................ 228
Ασφαλεια στο ΙοΤ: Πρακτικος Οδηγος Υλοποιησης .............................................................................. 231
Το Μελλον Του Internet οf Things: ........................................................................................................ 234
VI. Η ΑΣΦΑΛΕΙΑ ΑΠΟ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΙΣ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΚΑΙ ΤΟ ΙοΤ (CYBERSECURITY) ................ 235
Βασικά Μέτρα Προστασίας των Πληροφοριακών Συστημάτων από Ηλεκτρονικές Επιθέσεις ....... 252
Προστασία του Υλικού και του Λογισμικού (H/W & S/W security management) .......................... 252
Προστασία από κακόβουλο λογισμικό (malware protection) .............................................................. 253
Ανίχνευση και Παρεμπόδιση εισβολής (intrusion detection and prevention) ................................ 253
Προστασία των Κωδικών ασφαλείας (passwords) ........................................................................... 254
Χρήση Κρυπτογραφίας (Cryptography) ............................................................................................ 254
Προστασία εφαρμογών βασισμένων στο Διαδίκτυο (web-based applications).............................. 255
Προστασία των e-mails ..................................................................................................................... 256
Προστασία της πρόσβασης στο Διαδίκτυο (Internet access)........................................................... 256
Προστασία της απομακρυσμένης πρόσβασης (remote access) ...................................................... 256
Προστασία των αντιγράφων ασφαλείας (back up) .......................................................................... 257
Φυσική ασφάλεια του Π.Σ. (physical protection)............................................................................. 257
Πολιτική ασφάλειας του Π.Σ. (security policy) ................................................................................ 258
Προστασία των πληροφοριών και Βασεων Δεδομένων σε ενα νοσηλευτικο ιδρυμα .................... 259
Ι.
Η ικανοποίηση των προϋποθέσεων που σχετίζονταιμε την ασφάλεια (security) των πληροφοριών
είναι μια βασική προϋπόθεση για την εισαγωγή και την αξιοποίηση της τεχνολογίας της πληροφορι-
κής στο χώρο της υγείας.
Η χρησιμοποίηση όλο και πιο προχωρημένων τεχνικών και τεχνολογιών πληροφορικής, όπως για
παράδειγμα οι σύγχρονες βάσεις δεδομένων και τα δίκτυα, προσφέρει αναμφισβήτητα σημαντικά
πλεονεκτήματα και δυνατότητες, αυξάνει όμως ταυτόχρονα σημαντικά και τα προβλήματα σχετικά
με την προστασία και την διαθεσιμότητα των πληροφοριών. Ο ασθενής θα πρέπει να είναι βέβαιος
για παράδειγμα ότι οι προσωπικές του πληροφορίες, ή τα ευαίσθητα προσωπικά του δεδομένα που
δόθηκαν κατά την είσοδο του στο νοσοκομείο, ή αυτά που δημιουργήθηκαν κατά την διάρκεια της
θεραπείας του, συλλέγονται, αποθηκεύονται και επεξεργάζονται με ένα τρόπο που αποκλείει τυχόν
λάθη, διατίθενται μόνο σε εξουσιοδοτημένους χρήστες, και χρησιμοποιούνται με νόμιμο τρόπο.
Εξάλλου, πολλες κατηγορίες από τα ιατρικά δεδομένα αποτελούν, σύμφωνα με την ισχύουσα
νομοθεσία περί προστασίας των προσωπικών δεδομένων, «ευαίσθητα» δεδομένα, τα οποία χρήζουν
ιδιαίτερης προστασίας και κάθε επεξεργασία τους πρέπει να γίνεται σύμφωνα με τις αυστηρές
προϋποθέσεις που θέτει η νομοθεσία για την προστασία των προσωπικών δεδομένων. Επίσης, η
επεξεργασία των ιατρικών δεδομένων πρέπει να μην προσβάλλει το ιατρικό απόρρητο.
Τα ζητήματα ασφάλειας των ευαίσθητων και προσωπικών δεδομένων αποκτούν όλο και μεγαλύτερη
σημασία στην σύγχρονη κοινωνία της πληροφορίας. Η ασφάλεια των δεδομένων αυτων αφορά στα
τεχνολογικά και οργανωτικά μέτρα που διασφαλίζουν το δικαίωμα του φυσικού προσώπου στην
προστασία των προσωπικών δεδομένων του και το ιατρικό απόρρητο. Η ασφάλεια αποτελεί συνεπώς
μέσο και θεμελιώδη προϋπόθεση της νομιμότητας της επεξεργασίας των προσωπικών δεδομένων.
Όπως προκύπτει και από τα παραπάνω, όσο περισσότερο αυτοματοιποιειται η διαδικασία και
μέθοδοι περίθαλψης και λήψης αποφάσεων, τόσο περισσότερο σημαντική γίνεται η περιφρούρηση
της ακρίβειας, και της διαθεσιμότητας στους κατάλληλους ανθρώπους των απαραίτητων ιατρικών
πληροφοριών. Η διασφάλιση δηλαδή του κατάλληλου επιπέδου ασφάλειας των πληροφοριών που
περιλαμβάνονται σε ένα ιατρικό πληροφοριακό σύστημα.
Η ανάπτυξη ενός ιατρικού πληροφοριακού συστήματος πρέπει συνεπώς να συνοδεύεται πάντοτε με
μια αναλυτική μελέτη του προβλήματος της προστασίας των πληροφοριών που περιλαμβάνονται σε
αυτό, καθως και την υλοποίηση των κατάλληλων μέτρων για την ασφάλεια των πληροφοριών.
Είναι δύσκολο να δώσουμε ένα ορισμό της ασφάλειας των Ιατρικών πληροφοριακών συστήματων,
στον οποίο να συμφωνούν όλοι. Πιστεύουμε όμως ότι ο παρακάτω ορισμός περιγράφει όσο γίνεται
καλύτερα το περιεχόμενο του όρου αυτού.
“Ασφάλεια πληροφοριακού συστήματος είναι το οργανωμένο πλαίσιο από έννοιες, αντιλήψεις,
αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία
του πληροφοριακού συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία
απειλή.”
Eίναι επίσης γενικά παραδεκτό σήμερα ότι η έννοια της ασφάλειας των πληροφοριακών συστημάτων
(information system security), είναι στενά συνυφασμένη με τρεις βασικές έννοιες:
α. Την εμπιστευτικότητα των πληροφοριών (confidentiality):
Δηλαδη ότι η πληροφορία διατίθεται μόνο στους χρήστες εκείνους που είναι εξουσιοδοτημένοι να
έχουν πρόσβαση σε αυτή.
β. Την Ακεραιότητα των πληροφοριών (integrity):
Δηλαδη ότι η τροποποίηση των πληροφοριών (πχ. προσθήκες, μεταβολές, διαγραφές, κλπ) γίνεται
μόνο από χρήστες που έχουν αυτό το δικαίωμα (εξουσιοδοτημένοι χρήστες).
γ. Διαθεσιμότητα των πληροφοριών (availability):
Δηλαδη ότι η πληροφορία είναι διαθέσιμη στον αναμενόμενο χρόνο όταν ζητείται από
εξουσιοδοτημένους χρήστες.
Τα ιατρικά πληροφοριακά συστήματα είναι ιδιαίτερα "ευαίσθητα" στην σωστή εφαρμογή και των
τριών αυτών εννοιών. Το επίπεδο όμως της ασφάλειας που είναι κατάλληλο σε κάθε περίπτωση
εξαρτάται από τους σχετικούς κινδύνους που απειλούν το συγκεκριμένο σύστημα, καθώς και τις
επιπτώσεις που θα έχει η εφαρμογή των τεχνικών προστασίας των πληροφοριών στην απόδοση του
συστήματος (ταχύτητα, διαθεσιμότητα, κλπ).
Βασικοί στόχοι της ασφάλειας των ιατρικών πληροφοριακων συστηματων είναι η επίτευξη υψηλού
επιπέδου διαθεσιμότητας, ακρίβειας, και συνέπειας (consistency) των πληροφοριών της βάσης, η
προστασία των δεοντολογικών αρχών που οφείλει να τηρεί το νοσηλευτικό προσωπικό (όρκος του
Ιπποκράτη), και τέλος η προστασία του δικαιώματος της ιδιοτικοτητας (privacy) των προσωπικών
πληροφοριών του ασθενούς.
Οι στόχοι αυτοί, αν και τεχνικής φύσης, ουσιαστικά καθορίζουν ότι το σύστημα πληροφορικής πρέπει
να είναι χρήσιμο για την περίθαλψη, χωρίς να είναι επικίνδυνο για την υγεία ή τα δικαιώματα των
ασθενών.
Εκτός από την όποια διοικητική, οικονομική, κλπ., αξία τους, τα ιατρικά δεδομένα έχουν ιδιαίτερη
σημασία για την λήψη ιατρικών αποφάσεων και για τον προσδιορισμό της μεθόδου θεραπείας των
ασθενών. Λανθασμένη ή ελλιπής πληροφόρηση μπορεί να οδηγήσει εύκολα σε καταστάσεις που θα
είναι επικίνδυνες για την υγεία των ασθενών, και ίσως σε ακραίες καταστάσεις οδηγήσουν ακόμα και
σε απώλεια ζωών.
Ο παραπάνω ορισμός παρέχει τελος το πλεονέκτημα της άμεσης αναφοράς στα παρακάτω 4 βασικά
στοιχεία:
I. δινεται εμφαση όχι μόνο στο πληροφοριακό σύστημα ως ολότητα, αλλά και σε όλα τα επιμέρους
στοιχεία του,
II. η προφύλαξη αφορά κάθε είδους απειλή (τυχαία ή σκόπιμη),
III. η ασφάλεια του πληροφοριακού συστήματος συνδέεται άμεσα τόσο με τεχνικές διαδικασίες και
διοικητικά μέτρα, όσο και με ηθικοκοινωνικές αντιλήψεις, αρχές και παραδοχές,
IV. δινεται εμφαση στην προφύλαξη, όμως είναι φανερό από τον ορισμο αυτό ότι αυτή δεν θα πρέπει
να εμποδίζει την απρόσκοπτη λειτουργία του συστήματος
Αντικείμενο της ασφάλειας των πληροφοριακών συστημάτων είναι συνεπώς η προστασία των
αποθηκευμένων πληροφοριών που υπόκεινται επεξεργασία ή μεταφέρονται σε ηλεκτρονική μορφή,
από εσκεμμένες ή τυχαίες απειλές. Οι πληροφορίες αυτες αποθηκεύονται στο πληροφοριακό
σύστημα, αλλα και μεταδίδονται προς διαφορες καττευθυνσεις. Οι ηλεκτρονικές διαδικασίες θα
πρεπει συνεπως να εξασφαλιζουν και ασφαλή υποδομή τηλεπικοινωνιών, ασφαλή τερματικά
(συμπεριλαμβανομένων των επεξεργαστών και των βάσεων δεδομένων), καθώς και ασφαλή
χρησιμοποίηση τους.
ακεραιότητας είναι κάθε αλλαγή (π.χ. του περιεχομένου των δεδομένων) να είναι αποτέλεσμα
εξουσιοδοτημένης ενέργειας, ενώ παράλληλα, μη εξουσιοδοτημένη αλλαγή να μην είναι
δυνατή.
• Διαθεσιμότητα (availability) των πόρων του συστήματος είναι η ιδιότητα των πόρων αυτών
να καθίστανται αμέσως προσπελάσιμοι από κάθε εξουσιοδοτημένο λογικό ή φυσικό
αντικείμενο, που απαιτεί παρόμοια πρόσβαση.
Η επαρκής ασφαλεια είναι μια βασικη ιδιοτητα που πρεπει να εχει ένα συγχρονο πληροφοριακο
συστημα. Δεν είναι όμως η μοναδικη. Άλλες βασικες ιδιότητες που πρέπει να διαθέτει ένα
πληροφοριακό σύστημα είναι:
■ Ευχρηστία (usability). Το σύστημα πρέπει να είναι σχεδιασμένο με στόχο την διευκόλυνση του
χρήστη.
■ Γενικότητα (generality). Το σύστημα πρέπει να μπορεί να εκτελέσει ποικίλες διαδικασίες,
σύμφωνα με τις ανάγκες του χρήστη.
■ Αποδοτικότητα (efficiency). Το σύστημα πρέπει να λειτουργεί γρήγορα και ορθά,
χρησιμοποιώντας κατά βέλτιστο τρόπο τους διατιθέμενους πόρους.
■ Ορατότητα (visibility). Ο χρήστης πρέπει να γνωρίζει όσα απαιτούνται για την βέλτιστη χρήση του
συστήματος.
■ Ευελιξία (flexibility). Το σύστημα πρέπει να μπορεί να προσαρμόζεται σε διαρκώς
μεταβαλλόμενες καταστάσεις.
■ Αδιαφάνεια (opacity). Ο χρήστης πρέπει να γνωρίζει μόνο ότι είναι απαραίτητο για να
διεκπεραιώσει την εργασία του.
■ Ασφάλεια (security). Το σύστημα πρέπει να διαφυλάσσει τα δεδομένα ενός χρηστή από μη
εξουσιοδοτημένη χρήση τους από άλλους.
■ Ακεραιότητα (integrity). Οι χρήστες και τα δεδομένα τους, πρέπει να προφυλάσσονται από
απρόβλεπτες μετατροπές από μη εξουσιοδοτημένους χρήστες. Ευκινησία (capacity). Οι χρήστες
δεν πρέπει να υφίστανται άσκοπος περιορισμούς στις ενέργειές τους.
Η αξία κάποιων πληροφοριών μπορεί να είναι υψηλή, αλλά μερικά στοιχεία τους είναι σημαντικά μόνο
για ένα συγκεκριμένο χρονικό διάστημα. Από τη μελέτη της ασφάλειας πληροφοριών προκύπτει η αρχή
της επικαιρότητας (principle of timeliness) της ασφάλειας υπολογιστικών συστη μάτων. Σύμφωνα με
την αρχή αυτή, τα μέρη ενός υπολογιστικού συστήματος, πρέπει να προστατεύονται μέχρι να χάσουν
την αξία τους. Επιπλέον τα αντικείμενα που έχουν μικρό κύκλο ζωής θα πρέπει να προστατεύονται με
μέτρα προστασίας που είναι αποτελεσματικά μόνο για αντίστοιχο μικρό χρονικό διάστημα.
Μορφές απειλών
Η ασφάλεια υπολογιστικών συστημάτων προστατεύει τον Η/Υ και οτιδήποτε έχει σχέση με αυτόν - το
κτίριο, τα τερματικά και τους εκτυπωτές, την καλωδίωση τους δίσκους, κλπ. Κυρίως όμως
προστατεύει τις πληροφορίες που είναι αποθηκευμένες σε ένα υπολογιστικό περιβάλλον. Για το λόγο
αυτό εξάλλου η ασφάλεια υπολογιστικών συστημάτων αποκαλείται συχνά και ασφάλεια
πληροφοριακών συστημάτων. Ταυτόχρονα σημαντικό ρόλο παίζει και ο ανθρώπινος παράγοντας διότι
ένα πληροφοριακό σύστημα δημιουργείται από τον άνθρωπο και λειτουργεί μόνο αν συμμετέχει στη
λειτουργία και ο άνθρωπος. Κατά συνέπεια υπάρχει μια στενή σχέση μεταξύ του ανθρώπινου
παράγοντα και της ασφάλειας και προστασίας ενός πληροφοριακού συστήματος.
Τρεις είναι οι σχέσεις εμπλοκής του ανθρώπινου παράγοντα στην ασφάλεια του πληροφοριακού
συστήματος:
1) Η προφύλαξη του συστήματος από απειλές που προέρχονται από ενέργειες οφειλόμενες στον
ανθρώπινο παράγοντα.
2) Ασφάλεια και προστασία του προσωπικού που εργάζεται μέσα στο σύστημα.
3) Πολλά μέτρα προφύλαξης στηρίζονται στο προσωπικό του συστήματος, άρα ο ανθρώπινος
παράγοντας είναι μέσον εξασφάλισης της ασφάλειας στο πληροφοριακό σύστημα.
Οι παραπάνω τρεις σχέσεις αναφέρονται σε άμεση απευθείας εμπλοκή στα θέματα ασφάλειας και
προστασίας.
Για λόγους πληρότητας όμως, θα πρέπει να εξετάσουμε και τις κατηγορίες των ανθρώπων που έχουν
άμεσο ή έμμεσο συμφέρον από την ύπαρξη αποτελεσματικής ασφάλειας και προστασίας. Αν και
σήμερα κατασκευάζονται υπολογιστές των οποίων η αξιοπιστία πλησιάζει το 100% όμως όπως είδαμε
το πληροφοριακό σύστημα δεν είναι μόνο ο Η/Υ. Επιπλέον είναι ένα σύστημα το οποίο έχει σχεδιαστεί
από τον άνθρωπο, με τον άνθρωπο ως στοιχείο του, λειτουργεί με τη βοήθεια του ανθρώπου για τον
άνθρωπο. Άρα το σύστημα θα πρέπει να προστατευθεί από πιθανές ενέργειες των ανθρώπων που
είναι μέσα στο σύστημα, εκτός αυτού ή είναι υπεύθυνοι της δημιουργίας του.
Η πρώτη κατηγορία περιλαμβάνει το προσωπικό που εργάζεται μέσα στο σύστημα όπως χειριστές,
διαχειριστές συστήματος, χρήστες. Πέντε είναι οι κύριες δραστηριότητες στις οποίες εμπλέκεται το
προσωπικό αυτό: παραλαβή δεδομένων, μετατροπή τους, επεξεργασία, αποθήκευση και διανομή των
αποτελεσμάτων (output του συστήματος). Στην κατηγορία αυτή θα πρέπει να ενταχθούν και όλοι όσοι
είναι υπεύθυνοι για την ασφάλεια του συστήματος.
Στη δεύτερη κατηγορία ανήκουν οι εκτός συστήματος άνθρωποι που χρησιμοποιούν το σύστημα σαν
χρήστες ή παρέχουν υλικά και υπηρεσίες για τη λειτουργία και συντήρηση του (π.χ. συντήρηση υλικού
ή λογισμικού, παροχή αναλώσιμου ή μη υλικού, παροχή ηλεκτρικού ρεύματος).
Η τρίτη τελος κατηγορία περιλαμβάνει τους προγραμματιστές, αναλυτές, σχεδιαστές δικτύων και γενικά
όλους όσους μετέχουν στις δραστηριότητες του κύκλου ζωής του συστήματος, από τον καθορισμό των
απαιτήσεων μέχρι και τη λειτουργία και συντήρηση του συστήματος ή μιας εφαρμογής. Όλες αυτές οι
ειδικότητες κύρια εξαιτίας του προνομιακού ρόλου που έχουν στην ανάπτυξη του συστήματος (η της
εφαρμογής), είναι σε θέση να γνωρίζουν αρκετές λεπτομέρειες σχετικές με τον οργανισμό και τον
τρόπο σχεδίασης, λειτουργίας και συντήρησής του. Επιπλέον έχουν εύκολη πρόσβαση στο σύστημα και
φιλικές σχέσεις με το προσωπικό που ανήκει στο σύστημα. Όλα αυτά είναι μεν απαραίτητα εξαιτίας
του ρόλου που έχουν οι ειδικότητες αυτές, όμως είναι ενδεχόμενο να χρησιμοποιηθούν για να
προκληθεί ζημιά στο σύστημα. Τα κίνητρα και τα αιτία μιας ενέργειας των ανθρώπων αυτής της
κατηγορίας μπορεί να οφείλεται στη τύχη (π.χ. κόπωση, έλλειψη πείρας), σε πρόθεση (προσωπικό
όφελος), ή σε συνδυασμό και των δύο.
Με δεδομένο ότι ο ανθρώπινος παράγοντας είναι ένα βασικό στοιχείο του πληροφοριακού
συστήματος και κατ’ επέκταση και του οργανισμού είναι φυσικό να απαιτείται η προστασία του.
Έτσι ασφάλεια και προστασία του προσωπικού σημαίνει κατ’ ελάχιστο:
1) εξασφάλιση της ψυχικής και σωματικής του ακεραιότητας,
2) προστασία από εξαναγκασμούς ή εκβιασμούς,
3) προφύλαξη από το να διαχειρίζεται δεδομένα χωρίς ειδική εξουσιοδότηση,
4) διευκόλυνση στο να διαχειρίζεται σωστά τις πληροφορίες,
5) εξασφάλιση σωστής μεταβίβασης των δεδομένων στα επιμέρους άτομα.
Στη κατηγορία του προσωπικού που θα πρέπει να προστατευθεί ανήκουν διάφορες ειδικότητες
σχετικά με τη σχεδίαση, λειτουργία, συντήρηση αλλά και χρήση του συστήματος.
Απειλές υλικού
Η διαφύλαξη της ασφάλειας πληροφοριακών συστημάτων υπονοεί την διατήρηση των στοιχείων της
ασφάλειας σε όλα τα τμήματα τους. Στο κεφάλαιο αυτό θα λάβουμε υπόψη τις απειλές της ασφάλειας
του τεχνικού περιβάλλοντος του Η/Υ. Τα υπολογιστικά συστήματα είναι ευπαθή στις φυσικές
καταστροφές (φωτιές, πλημμύρες). Καθώς τα φυσικά μηχανήματα είναι ορατά, είναι και ένα αρκετά
απλό σημείο επίθεσης. Η κατάχρηση των Η/Υ μπορεί να γίνει με πολλούς τρόπους. Οι άνθρωποι έχουν
επιτεθεί στον εξοπλισμό των Η/Υ επανειλημμένα, τυχαία ή εσκεμμένα (κλωτσώντας, αφήνοντας κάτι
απρόσεκτα, δίνοντας χτυπήματα). Η κλοπή και οι καταστροφές είναι οι κύριες «τεχνικές» που
χρησιμοποιούνται σήμερα. Για αυτό το είδος των κινδύνων, υπάρχει μια πληθώρα προληπτικών
διαδικασιών που θα έπρεπε να υιοθετηθούν. Αυτές οι διαδικασίες ανήκουν σε διαφορετικά τμήματα
της σχεδίασης και της υλοποίησης των πλη ροφοριακών συστημάτων.
Απειλές λογισμικού
Το λογισμικό μπορεί να καταστραφεί, να τροποποιηθεί, να διαγράφει, ή να διατεθεί σε κάποιο μη
εξουσιοδοτημένο άτομο δόλια ή τυχαία. Οι τρεις τύποι απειλών προς το λογισμικό είναι:
1. Διαγραφή λογισμικού, είναι πολύ εύκολο να διαγράφει το λογισμικό. Για να αποφευχθεί αυτή η
περίπτωση η προσπέλαση του ελέγχεται συνήθως από μια διαδικασία που ονομάζεται διοίκηση
μεταβολών (configuration management).
2. Τροποποίηση λογισμικού, σε αυτή τη μορφή επίθεσης, ένα αναπτυσσόμενο πρόγραμμα
τροποποιείται, ώστε να αποτύχει όταν τρέχει, είτε να κάνει κάποια εργασία για την οποία δεν
προοριζόταν. Το λογισμικό μετα- τρέπεται σχετικά εύκολα. Αλλάζοντας ένα ή δύο ψηφία (bit) μπορεί
να μετα τραπεί το πρόγραμμα έτσι ώστε να μη τρέχει. Άλλες μορφές τροποποίησης περιλαμβάνουν:
• Λογικές βόμβες. Το πρόγραμμα μεταβάλλεται ώστε να δουλεύει σωστά τις περισσότερες φορές,
αλλά αποτυγχάνει κάτω από ορισμένες συνθήκες (π.χ. η συγκεκριμένη διαδικασία
ενεργοποιείται για ειδικές μορφές δεδομένων).
• Δούρειοι ίπποι. Το πρόγραμμα αλλάζει, ώστε να δείχνει συνολικά να κάνει κάτι ενώ
συγκαλυμμένα κάνει κάτι άλλο.
• Πόρτες παγίδες (trapdoors). Ένα νέο κρυφό σημείο προστίθεται στο πρόγραμμα .
• Διαρροή πληροφοριών. Η τροποποίηση του προγράμματος προκαλεί τη διαθεσιμότητα
πληροφοριών σε λάθος άτομα ή προγράμματα.
3. Κλοπή λογισμικού. Το είδος αυτό των εισβολών σχετίζεται με τη μη εξουσιοδοτημένη αντιγραφή
λογισμικού. Παρά τα ήδη διαθέσιμα τεχνικά και νομικά μέσα, δεν έχει βρεθεί ακομα ικαποιητικη
μέθοδος που θα αντιμετωπίζει την μη εξουσιοδοτημένη αντιγραφή.
Απειλές δικτύων
Τα δίκτυα είναι ουσιαστικά συλλογές υλικού, λογισμικού και πληροφοριών, δηλαδή των τριών
θεμελιωδών χαρακτηριστικών κάθε υπολογιστικού συστήματος. Κάθε κομμάτι του δικτύου είναι ένα
υπολογιστικό σύστημα με όλα τα συνηθισμένα προβλήματα ασφαλείας. Σε αυτά έρχεται το δίκτυο να
προσθέσει το πρόβλημα της επικοινωνίας, μέσω ενός πολύ εκτεθειμένου μέσου, και της προσπέλασης
από μακρινές τοποθεσίες μέσω πιθανών μη ασφαλών υπολογιστικών συστημάτων. Τα δίκτυα
πολλαπλασιάζουν τα προβλήματα της ασφάλειας του υπολογιστικού περιβάλλοντος. Το γεγονός αυτό
οφείλεται στους ακόλουθους λόγους:
• Τα δίκτυα έχουν συνδυάσει και πολλαπλασιάσει τους κινδύνους που έχουν με το κάθε ένα από τα
πρώην ξεχωριστά υπολογιστικά συστήματα (μεγάλα δίκτυα υπολογιστών (main frame), προσωπικοί
υπολογιστές κλπ).
• Υπάρχει μια αύξηση στον αριθμό των διαύλων επικοινωνίας που πρέπει να προστατευθούν.
• Έχουν γίνει ασαφείς οι διακρίσεις μεταξύ των τμημάτων ενός οργανισμού όπου κάποτε μπορεί να
ήταν κάποιος υπεύθυνος ενός Η/Υ ή ενός μόνο κατανεμημένου δικτύου, τώρα πρέπει να προσέχει
ακόμη και για μια επικοινωνιακή συσσώρευση εντός της εταιρίας.
Η ανάπτυξη πληροφοριακών συστημάτων στο χώρο της υγείας βασίζεται κυρίως στη χρήση συνήθων
τεχνικών της τεχνολογίας λογισμικού. Με τη χρήση των τεχνικών αυτών έχουν σχεδιαστεί με επιτυχία
τόσο διαχειριστικά (διοικητικά οικονομικά) πληροφοριακά συστή ματα όσο και ιατρικά πληροφοριακά
συστήματα, δηλαδή συστήματα σχεδιασμένα για την παροχή αμιγώς ιατρικών υπηρεσιών (όπως
έμπειρα συστήματα ιατρικών διαγνώσεων, πληροφοριακά συστήματα για την τήρηση και αξιοποίηση
του ιατρικού ιστορικού των ασθενών, πληροφοριακά συστήματα για την επιλογή φαρμακοθεραπείας
με βάση το ιστορικό). Μια από τις βασικές διαφορές των δύο αυτών κατηγοριών πληροφοριακών
συστημάτων εντοπίζεται στις πιθανές περιπτώσεις που μπορεί να έχει η μη ασφαλής λειτουργία τους
στους εξής παράγοντες: στο επίπεδο και στη ποιότητα της παρεχόμενης περίθαλψης, στην πορεία της
υγείας των ασθενών, αλλά και του κοινωνικού συνόλου γενικότερα, στα δικαιώματα των ασθενών (ως
ασθενών ή ως πολιτών γενικότερα).
Η ανασφαλής λειτουργία, η διακοπή της λειτουργίας ή λειτουργία με χρήση λαθεμένων ή ελλιπών
δεδομένων ενός ιατρικού πληροφοριακού συστήματος, είναι πολύ πιθανό να οδηγήσει στην
υποβάθμιση ή τη διακοπή των παρεχομένων υπηρεσιών υγείας, με αρνη τικές επιπτώσεις στην υγεία
των ασθενών. Επίσης, η γνωστοποίηση σε αναρμόδια πρόσωπα ιατρικών δεδομένων που αφορούν την
κατάσταση της υγείας ενός ασθενή, στερεί από τον ασθενή το δικαίωμα του απαραβίαστου, της
προσωπικής του ζωής. Συνεπώς, τα πληροφοριακά συστήματα, των οποίων η εξασφάλιση επείγει, είναι
τα ιατρικά πληροφοριακά συστήματα. Η μη ύπαρξη ασφαλών πληροφοριακών συστημάτων είναι
δυνατόν να προκαλέσει:οικονομική απώλεια, διακοπή εργασιών, απώλεια καλής φήμης ή θέλησης,
αποτυχία σεβασμού νομικών υποχρεώσεων, παραβίαση προ σωπικής ζωής, κίνδυνο στην ατομική
ασφάλεια, αποκάλυψη ευαίσθητων πληροφοριών.
Το πρόβλημα της ασφάλειας είναι όπως ειδαμε πολύ σημαντικό στα σύγχρονα αυτοματοποιημένα
συστήματα, ιδιαίτερα δε σε αυτά που λειτουργούν σε περιβάλλοντα υψηλής ευπάθειας. Ο καθορισμός
των απαιτήσεων ασφάλειας ενός Πληροφοριακού Συστήματος Υγείας ειδικότερα, διαδραματιζει έναν
πολύ σημαντικό ρόλο στην γενικότερη ασφάλεια των πληροφοριακών συτημάτων. Στο κεφάλαιο αυτό
παρουσιάζεται και αναλύεται το θεσμικό πλαίσιο μέσα στο οποίο λειτοθργεί ένα Πληροφοριακό
Συστημα Υγείας, καθώς και τα αίτια της ιδιαίτερης σημασίας των Ιατρικών Πληροφοριακών
Συστημάτων.
Είναι σαφές ότι όλοι οι τύποι των δεδομένων που χρησιμοποιούνται από τα υπάρχοντα σήμερα
πληροφοριακά συστήματα, χειρόγραφα ή αυτοματοποιημένα, δεν παρουσιάζουν την ίδια ευπάθεια.
Επιπροσθέτως, ορισμένοι τύποι δεδομένων είναι δυνατόν άλλοτε να χαρακτηρίζονται ως ευπαθείς και
άλλοτε όχι. Είναι, επίσης σαφές, ότι η διαφορά της ευπάθειας διαφόρων τύπων δεδομένων δεν
οφείλεται μόνο στα ιδιαίτερα χαρακτηριστικά των Π.Σ. τα οποία χρησιμοποιούν τα δεδομένα, αλλά
οφείλεται, επίσης και στην ίδια τη φύση ή την ιδιαιτερότητα των δεδομένων αυτών.
Η ευπάθεια -λόγω της φύσης ή της ιδιαιτερότητας- ενός τύπου δεδομένων συσχετίζεται άμεσα και
οφείλεται, κατά κύριο λόγο, στην αξία των πληροφοριών που προκύπτουν από κάποια δεδομένα, όταν
αυτά είναι στην κατοχή τρίτων προσώπων. Είναι δυνατόν, μάλιστα να εντοπιστούν ορισμένα
χαρακτηριστικά του συστήματος αυτού, τα οποία σχετίζονται άμεσα και καθορίζουν την ευπάθεια
κάθε τύπου δεδομένων. Έτσι, η χρονική και τοπική συγκυρία, το συγκεκριμένο πρόσωπο που αφορούν
τα δεδομένα, καθώς και ο ρόλος και η θέση του στο δεδομένο κοινωνικό σύνολο, το σύστημα αξιών του
κοινωνικού αυτού συνόλου και ο βαθμός διήθησης της τεχνολογίας σε αυτό, είναι ορισμένοι από τους
παράγοντες που επηρεάζουν την ευπάθεια των δεδομένων.
Η ευπάθεια των δεδομένων μπορεί, πιο συγκεκριμένα, να χαρακτηριστεί με δυο τρόπους:
1. Η ευπάθεια ορισμένων τύπων δεδομένων που είναι ανεξάρτητη από το Π.Σ. στο οποίο
χρησιμοποιούνται τα δεδομένα αυτά, ορίζεται ως εγγενής ευπάθεια στα πλαίσια ενός συγκεκριμένου
κοινωνικού συστήματος.
2. Η ευπάθεια ορισμένων τύπων δεδομένων που είναι ανεξάρτητη από το Π.Σ. στο οποίο
χρησιμοποιούνται και η οποία ισχύει για όλα τα μέλη του κοινωνικού συνόλου ορίζεται ως συνολική και
εγγενής ευπάθεια στα πλαίσια ενός συγκεκριμένου κοινωνικού συστήματος.
Η συνολική και εγγενής ευπάθεια είναι αυτή που προκαλεί θεσμικές και κοινωνικές παρεμβάσεις είτε
υπό τη μορφή νόμων είτε υπό τη μορφή κανόνων δεοντολογίας. Έτσι, η ευπάθεια αυτή ανακλάται στο
σύνολο σχεδόν των θεσμικών ρυθμίσεων που αφορούν στη προστασία των δικαιωμάτων του πολίτη
(π.χ. μυστικότητα της ψήφου, νόμοι για την προστασία του επαγ γελματικού απόρρητου ορισμένων
επαγγελμάτων, σχέδιο νόμου για την προστασία του πολίτη από την επεξεργασία των προσωπικών
πληροφοριών κ.λ.π.). Επί προσθέτως, η συνολική και εγγενής ευπάθεια ορισμένων τύπων δεδομένων
είναι αυτή που καθορίζει ότι τα δεδομένα αυτά -αποτελώντας ακρότατα στιγμιότυπα των ευπαθών
τύπων δεδομένων- χρήζουν ιδιαίτερης προστασίας.
Τα δεδομένα που αφορούν τις πολιτικές και φιλοσοφικές αντιλήψεις και απόψεις, την κατάσταση της
σωματικής και ψυχικής υγείας ενός πολίτη, είναι ευρύτατα αποδεκτά ως συνολικά και εγγενώς
ευπαθή δεδομένα. Τα δεδομένα που αφορούν τη σωματική και ψυχική υγειά έχουν αξιοποιηθεί -με
κοινωνικά αποδεκτό τρόπο- από αυτοματοποιημένα Π.Σ. Υπάρχουν, δε, βάσιμες ενδείξεις ότι η
αξιοποίηση τους αυτή θα συνεχιστεί με αυξανόμενο ρυθμό και στο άμεσο μέλλον, τόσο στις
τεχνολογικά προηγμένες, όσο και στις αναπτυσσόμενες χώρες.
Άρα, τα δεδομένα που αφορούν στη σωματική και ψυχική υγειά ενός πολίτη είναι τα μόνα που
συγκεντρώνουν τις εξής ιδιότητες:
-Αποτελούν συνολικά και εγγενώς ευπαθή δεδομένα, άρα ακρότατο στιγμιότυπο δεδομένων προς
προστασία και εξασφάλιση.
-Αποτελούν δεδομένα τα οποία χρησιμοποιούνται ευρέως από αυτο ματοποιημένα Π.Σ. και των
οποίων η αξιοποίηση διευρύνεται διαρκώς.
-Αποτελούν δεδομένα των οποίων η αξιοποίηση συναντά τη γενική απο δοχή του κοινωνικού
συνόλου, παρόλη τη δεδομένη ευπάθεια τους.
-Αποτελούν την πρώτη ύλη για την εφαρμογή της Ιατρικής επιστήμης, θεμελιώδες γνώρισμα της
οποίας είναι η επιτακτική ανάγκη λήψης αποφάσεων υπό συνθήκες αβεβαιότητας.
Συνεπώς, όταν ένα Π.Σ. χρησιμοποιεί αυτόν τον τύπο δεδομένων, τότε το τεχνολογικό περιβάλλον
του χαρακτηρίζεται ως περιβάλλον υψηλής ευπάθειας.
1. Αφαιρετική προσέγγιση
Ως συνολικά και εγγενώς ευπαθείς οι ιατρικές πληροφορίες χαρακτηρίζονται ως χρήζουσες
προστασίας και προστατεύονται με ειδικές ρυθμίσεις, ακόμα και πριν αυτοματοποιηθούν τα Π.Σ. του
χώρου της υγείας. Οι προστατευτικές αυτές ρυθμίσεις περιλαμβάνουν προβλέψεις τόσο δεοντολογικού
χαρακτήρα (π.χ. όρκος του Ιπποκράτη),όσο και θεσμικού χαρακτήρα (π.χ. προστασία του
επαγγελματικού απόρρητου).
Η αυτοματοποίηση των Π.Σ. εκανε ακομα επιτακτικότερο το ζήτημα της προστασίας του
εμπιστευτικού χαρακτήρα των ιατρικών πληροφοριών, δεδομένου ότι με τη αυτοματοποίηση:
-Διευκολύνεται σημαντικά η ταχεία επεξεργασία μεγάλου όγκου πληροφοριών. Συνεπώς, η επίφαση
της εμπιστευτικότητας των ιατρικών πληροφοριών που στηριζόταν στους μεγάλους όγκους των
ιατρικών αρχείων και στην αντικειμενική αδυναμία επεξεργασίας τους σε εύλογα χρονικά δια
στήματα, δεν υφίσταται πλέον.
-Διευκολύνεται σημαντικά η λήψη αποφάσεων που βασίζονται στον έλεγχο απλών ή πολύπλοκων
λογικών συνδυασμών μεταξύ ιατρικών μόνον ή ιατρικών και άλλων πληροφοριών. Συνεπώς η επίφαση
της εμπιστευτικότητας των ιατρικών πληροφοριών, που στηρίζονταν στην αδυναμία χειρόγραφου
ελέγχου υποθέσεων, δεν υφίσταται πλέον.
-Διευκολύνεται σημαντικά ο συνδυασμός δυο ή περισσοτέρων αρχείων, τα οποία εξυπηρετούν
διαφορετικούς σκοπούς, για να γίνει συνδυασμένη επεξεργασία των πληροφοριών που περιέχουν.
Συνεπώς, η επίφαση της εμπιστευτικότητας των ιατρικών πληροφοριών που στηριζόταν στο φυσικό
διαχωρισμό μεταξύ αρχείων ιατρικών πληροφοριών ή μεταξύ αρχείων ιατρικών πληροφοριών και
αρχείων που περιέχουν πληροφορίες που έχει νόημα να συνδυασθούν με ιατρικές, δεν υφίσταται
πλέον.
-Διευκολύνεται σημαντικά η δυνατότητα διασύνδεσης μεταξύ Π.Σ. που λειτουργούν σε διαφορετικές
τοποθεσίες και για διαφορετικούς σκοπούς, προκείμενου να γίνει συνδυασμένη επεξεργασία των
χρησιμοποιούμενων πληροφοριών. Συνεπώς η επίφαση της εμπιστευτικότητας των ιατρικών πλη
ροφοριών που στηριζόταν στο φυσικό διαχωρισμό και στην τήρηση σε διαφορετικές τοποθεσίες των
αρχείων ιατρικών πληροφοριών ή των αρχείων που τηρούν πληροφορίες που έχει νόημα να
συνδυασθούν με ιατρικές, δεν υφίσταται πλέον.
Καποια συμπεράσματα που προκύπτουν από τις διαπιστώσεις αυτές, είναι:
1. Η αυτοματοποίηση της επεξεργασίας των ιατρικών πληροφοριών δε δημιούργησε νέους κινδύνους,
απλώς μεγιστοποίησε τους ήδη υπάρχοντες και κατέστησε τις πληροφορίες αυτές περισσότερο
ευάλωτες.
2. Η μεγιστοποίηση των ήδη υπαρχόντων κινδύνων μπορεί να δημιουργήσει πρωτόγνωρες συνέπειες
στα δικαιώματα των ασθενών (π.χ. στοιχεία του ιατρικού τους ιστορικού, όπως τα γενετικά χαρα
κτηριστικά, μπορεί να χρησιμοποιηθούν για την εξαγωγή συμπερασμάτων, τα οποία ενδέχεται να
καθορίσουν το μέλλον ενός ατόμου εν άγνοια του.
3. Με την αυτοματοποίηση των Π.Σ. είναι δυνατόν να ανακύψουν ερωτήματα θεμελιώδους σημασίας,
τα οποία εκ πρώτης όψεως δεν έχουν σχέση με τις μεθοδολογίες σχεδίασης των Π.Σ. (π.χ. ποια είναι η
αξιοπιστία ή η χρησιμότητα των ιατρικών διαγνώσεων που βασίζονται μόνο σε αυτόματη επεξεργασία
στοιχείων, αλλά με τις αρχές λει τουργίας τους.
Για την αντιμετώπιση αυτής της νέας πραγματικότητας εκτιμάται ότι απαιτείται μια συστηματική
προσέγγιση, με τα εξής βασικά χαρακτηριστικά:
-Να είναι ολοκληρωμένη, λαμβάνοντας υπόψη τις απόψεις τόσο του κοινωνικού συνόλου, όσο και των
εργαζομένων στο χώρο της υγείας.
-Να είναι πολυδύναμη, λαμβάνοντας υπόψη τη διεθνή εμπειρία και πρακτική.
-Να είναι πολυδιάστατη, συνδυάζοντας τεχνικά μέτρα, προτείνοντας θεσμικές ρυθμίσεις και
προωθώντας και υποστηρίζοντας τις υπάρχουσες κοινωνικές τάσεις και προδιαθέσεις.
Στην προσέγγιση αυτή, για να προστατευτεί ενα Π.Σ.Υ., χρειάζονται οι παρεμβάσεις, οπως:
- Να καταγράφει η άποψη των εργαζόμενων στο χώρο της υγείας, που σχετίζεται με θέματα
ασφάλειας Π.Σ.Υ., προστασίας του ιατρικού απόρρητου, καθώς και εξασφάλισης των δικαιωμάτων
των ασθενών (προϋπόθεση της ολοκληρωμένης προσέγγισης).
- Να αναλυθούν οι απόψεις που καταγράφηκαν, να συγκριθούν με την υπάρχουσα διεθνή εμπειρία και
πρακτική και να διατυπωθούν τα βασικά συμπεράσματα που προέκυψαν. Στα πλαίσια αυτά θα γίνει
και μια επίδειξη της χρησιμότητας και της άμεσης εφαρμοσιμότητας των συμπερασμάτων αυτών
(προϋπόθεση της πολυδύναμης και ολοκληρωμένης προσέγγισης).
- Να διατυπωθούν οι γενικές αρχές που πρέπει να διέπουν τη λειτουργία ενός Π.Σ., για να είναι αυτό
ασφαλές.
- Να συγκροτηθεί ένας Κώδικας Δεοντολογίας ο οποίος πρέπει να διέπει τη συγκεκριμένη
επαγγελματική κοινότητα.
- Να περιγράφει η τεχνική παρέμβαση που απαιτείται για την ανάπτυξη και τη λειτουργία Ασφαλών
Π.Σ.Υ. (ΑΠΣΥ)(προϋπόθεση της πολυδιάστατης προσέγγισης).
Οι ενέργειες και παρεμβάσεις αυτές θα παρουσιασθούν και θα αναλυθούν μετά από την παρουσίαση
και της λειτουργικής προσέγγισης.
2. Λειτουργική προσέγγιση
Η ανάπτυξη ενός Π.Σ.Υ. συντελείται σε ένα πολύπλοκο περιβάλλον, το οποίο χαρακτηρίζεται από τη
συνύπαρξη πολλών παραγόντων, όπως του καθήκοντος προς τον άνθρωπο, της τεχνολογίας στην
υπηρεσία του ανθρώπου, καθώς και των ιδιαιτεροτήτων και των περιορισμών του ευρύτερου
κοινωνικού-οικονομικού περίγυρου κλπ. Συνεπώς, κάθε παρέμβαση στο χώρο των Π.Σ.Υ. πρέπει να
λαμβάνει υπόψη της τις παραμέτρους αυτές και να εκτιμά την πιθανή αλληλεπίδραση τους.
Η ανάπτυξη και η λειτουργία του Αυτοματοποιημενου Πληροφοριακου Συστηματος Υγειας (Α.Π.Σ.Υ.)
αποτελεί μια από τις παρεμβάσεις που έχει αποφασιστικό χαρακτήρα. Αποσκοπεί στην αποτε
λεσματική αξιοποίηση της πληροφορικής, με παράλληλη εξασφάλιση των δικαιωμάτων των ασθενών
και με ταυτόχρονη υπέρβαση των αντιφάσεων που υφίστανται μεταξύ των στόχων αυτών,
αντιφάσεων που δημιουργεί το κοινωνικό-οικονομικό περιβάλλον.
Εξαιτίας της πολυπλοκότητας του περιβάλλοντος των Π.Σ.Υ., η ανάπτυξη και η λειτουργία Α.Ι.Π.Σ.
πρέπει να στηριχθεί σε μια πολύπλευρη και ολοκληρωμένη παρέμβαση, η οποία περιλαμβάνει και
τεχνικές και μη τεχνικές συνιστώσες.
Η τεχνική παρέμβαση στηρίζεται στην εκπόνηση μιας διευρυμένης μεθοδολογίας ανάπτυξης Π.Σ. -
που δεν οριοθετείται από τους οποίους περιορισμούς κάποιας συγκεκριμένης από τις υπάρχουσες
μεθοδολογίες-και που αποσκοπεί στην ανάπτυξη ασφαλών Π.Σ. σε περιβάλλοντα υψηλής ευπάθειας,
ιδιαίτερα δε στην ανάπτυξη Α.Π.Σ.Υ.
Η μη τεχνική παρέμβαση στηρίζεται σε τρεις βασικες συνιστώσες:
1. Στον εντοπισμό και τη διατύπωση συγκεκριμένων-και επειχηρηματολογικά στοιχειοθετημένων -
γενικών αρχών που προτείνεται να διέπουν την ανάπτυξη και λειτουργία Π.Σ. σε περιβάλλοντα
υψηλής ευπάθειας- και ιδιαίτερα Π.Σ.Υ. Οι γενικές αυτές αρχές πρέπει να έχουν διατυπωθεί
σύμφωνα και με τις απόψεις των εργαζομένων στο χώρο.
2. Στην εκπόνηση ενός Κώδικα Δεοντολογίας που πρέπει να διέπει τις ενέργειες όλων όσων
αποφασίζουν για την ανάπτυξη ενός Π.Σ.Υ. ή αναπτύσσουν, αναβαθμίζουν, τροποποιούν ή
χρησιμοποιούν το Π.Σ.Υ. αυτό. Ο Κώδικας αυτός υιοθετείται προαιρετικά από τους ενδια
φερομένους και αντικατοπτρίζει τις θεμελιώδεις αρχές, τις προτε ραιότητες και τους περιορισμούς
ενός συγκεκριμένου κοινωνικό-οικο- νομικού περιβάλλοντος.
3. Στην προώθηση της ευαισθητοποίησης, της ενημέρωσης και της συμ μετοχής των ειδικών της
Πληροφορικής, των χρηστών της τεχνολογίας, αλλά και του ευρύτερου κοινωνικού συνόλου, σε
θέματα που αφορούν τα προβλήματα που προκύπτουν από την ανασφαλή ανάπτυξη Π.Σ καθώς και
τις πιθανές αρνητικές επιπτώσεις της τεχνολογίας αυτής.
Κώδικας δεοντολογίας
Η προστασία των δεδομένων συνήθως εστιάζεται ή βασίζεται σε σχετικές νομοθετικές ρυθμίσεις.
Όπου δεν υπάρχουν τέτοιες ρυθμίσεις,συχνά υπάρχει μια σείρα εθιμικών κανόνων που αποτελούν -
κατά κάποιο τρόπο- υποκατάστατό τους. Δε λείπουν, όμως και περιβάλλοντα όπου συνυπάρχουν
θεσμικές και εθιμικές ρυθμίσεις.
Οι εθιμικές ρυθμίσεις προαιρετικού χαρακτήρα οι οποίες διέπουν τη λειτουργία ενός επαγγέλματος ή
ενός επαγγελματικού χώρου, σύμφωνα με τα επικρατούντα ήθη, αποτελούν έναν Κώδικα
Δεοντολογίας.
Οι κώδικες δεοντολογίας συνήθως εκπονούνται απο φορείς που εκπροσωπούν επαγγελματικές ή
επιστημονικές ομάδες. Οι φορείς αυτοί συνήθως είναι διεθνείς. Στο χώρο της Πληροφορικής Κ.Δ. έχουν
εκπονήσει- μεταξύ άλλων -οργανισμοί όπως η I.F.P. (INTERNATIONAL FEDERATION OF INFORMATION
PROCESSING), η A.C.M. (ASSOCIATION OF COMPUTING MACHINERY).
Τα βασικά χαρακτηριστικά ενός Κώδικα Δεοντολογίας είναι ότι απευθύνεται σε μια συγκεκριμένη
επαγγελματική ομάδα του πληθυσμού, ότι υιοθετείται συνήθως προαιρετικά από τα μέλη της ομάδας,
ότι ανακλά τις θεμελιώδεις ηθικές αρχές, τις προτεραιότητες και τους περιορισμούς ενός
συγκεκριμένου κοινωνικο-οικονομικού περιβάλλοντος και ότι πρέπει να είναι αρκετά γενικός, ώστε να
καλύπτει επαρκώς το στόχο του χωρίς να απαιτείται συνεχής αναθεώρηση του και συγχρόνως αρκετά
ειδικός ώστε να δίνει λύσεις σε καθημερινά προβλήματα.
Ο κώδικας δεοντολογίας που θα περιγραφεί στη συνέχεια αποτελεί μια απο τις προτεινόμενες μη
τεχνικές συνιστώσες της παρέμβασης για την εξασφάλιση ενός Π.Σ. Προέκυψε απο συνεκτίμηση των
διεθνών προσπα θειών, των αποτελεσμάτων της μελέτης προδιαθέσεων που διενεργήθηκε στον
Ελληνικό χώρο, κάθως και των ιδιαιτεροτήτων του επαγγελματικού περιβάλλοντος στο οποίο
απευθύνεται. Οι υποχρεώσεις που προβλέπει ο προτεινόμενος κώδικας δεοντολογίας είναι οι εξής:
1. Κοινωνική υπευθυνότητα. Ο επαγγελματίας της Πληροφορικής που εργάζεται στο χώρο της υγείας
χρησιμοποιεί τη γνώση και την εμπειρία του για την προαγωγή της υγείας και της ποιότητας ζωής
των ασθενών, έχει δε ηθική υποχρέωση να αξιολογεί τις πιθανές επιπτώσεις των ενεργειών του
και να συμβάλλει στην ασφάλη αξιοποίηση των εφαρμογών της Πληρο φορικής.
2. Προστασία της προσωπικής ζωής. Ο επαγγελματίας της πλη ροφορικής που εργάζεται στο χώρο
της υγείας σέβεται και προστατεύει τι απαραβίαστο της προσωπικής ζώης των ασθενών, λαμβάνει
δε όλα τα κατάλληλα μέτρα για την προστασία του.
3. Επιλογή δραστηριοτήτων. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της υγείας
οφείλει να χαρακτηρίζεται απο αξιοπιστία και αντικειμενικότητα στις αποφάσεις του.
Οφείλει,επίσης,να σέβεται και να υπερασπίζει τον ελεύθερο προβληματισμό των συνεργατών του.
4. Επαγγελματική επάρκεια. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της υγείας
οφείλει να έχει συναίσθηση της προσωπικής του ευθύνης να αναβαθμίζει συνεχώς την
επαγγελματική του επάρκεια. Οφείλει, επίσης, να έχει κατανοήσει το πεπερασμένο των γνώσεών
του, που αφορούν στην ευρύτατη γνωστική περιοχή της πληρο φορικής.
5. Προσωπική ευθύνη. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της υγείας
αναλαμβάνει προσωπική ευθύνη για τις πράξεις του. Αναλαμβάνει εργασίες μόνον όταν υπάρχουν
βάσιμες ενδεί ξεις ότι μπορεί να ανταποκριθεί στις απαιτήσεις τους, με την απαι-τούμενη επίδοση.
6. Αυτοκριτική. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της υγείας συμβάλλει
στον αντικειμενικό έλεγχο και στην αξιολόγηση της ποιότητας των Π.Σ.Υ., στην ανάπτυξη των οποίων
συμμετείχε. Τα αποτελέσματα της αξιολόγησης αυτής τα λαμβάνει υπόψη του στις μετέπειτα
ενέργειες του, προκειμένου να βελτιώσει περαιτέρω την από δοσή του.
7. Υψηλή απόδοση. Με προϋπόθεση την αμέριστη συμπαράσταση του φόρεα στον οποίο παρέχει τις
υπηρεσίες του, ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της υγείας αξιοποιεί
τους πόρους που του παρέχονται, ώστε να επιτυγχάνει υψηλής απόδοσης.
8. Γόνιμο εργασιακό περιβάλλον. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της
υγείας επιζητεί ή δημιουργεί εργασιακό περιβάλλον υψηλής ποιότητας, προς όφελος του
κοινωνικού συνόλου και του ίδιου.
9. Προώθηση της συμμετοχικότητας. Ο επαγγελματίας της πληρο φορικής που εργάζεται στο χώρο
της υγείας επιδιώκει και προώθει την ευρύτερη δυνατή συμμετοχή των χρηστών στην ανάπτυξη
Π.Σ.Υ., αποβλέποντας στην εξασφάλιση της ευρύτερης δυνατής κοινωνικής τους αποδεκτικότητας.
10. Προστασία της πνευματικής ιδοκτησίας. Ο επαγγελματίας της πληροφορικής που εργάζεται στο
χώρο της υγείας σέβεται τις ρυθμίσεις των κανόνων περί πνευματικής ιδιοκτησίας που αφορούν
προϊόντα πλη ροφορικής, αναγνωρίζοντάς τα ως απόρροια πνευματικής προσπάθειας.
11. Διεθνείς νομικές ρυθμίσεις. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της
υγείας σέβεται, σε βάση αμοιβαιότητας, τις υποχρεώσεις που απορρέουν απο το διεθνές δίκαιο
και τις διεθνείς συμβάσεις και οι οποίες αφορούν την εφαρμογή της πληροφορικής στο χώρο της
υγείας.
12. Αθέμιτες ενέργειες. Ο επαγγελματίας της πληροφορικής που εργά ζεται στο χώρο της υγείας
αναγνωρίζει ως αθέμιτες ενέργειες τη μη εξουσιοδοτημένη προσπέλαση ή τροποποίηση
δεδομένων, προ-γραμ- μάτων ή Π.Σ., την παρεμβολή ή εκτέλεση προγραμμάτων ιομορφών, την
αποκάλυψη εμπιστευτικών πληροφοριών ή την τροποποίηση του βαθμού διαθεσιμότητας ενός Π.Σ.
13. Μετάδοση δεδομένων. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της υγείας
λαμβάνει και μεταδίδει ιατρικά δεδομένα μόνον όταν με τον τρόπο αυτό εξυπηρετείται η προαγώγη
της υγείας του κοινωνικού συνόλου και δε βλάπτονται ατομικά ή συλλογικά δικαιώματα.
14. Επιλεκτική χρήση Πληροφοριών. Ο επαγγελματίας της πληρο φορικής που εργάζεται στο χώρο
της υγείας δε χρησιμοποιεί πληροφορίες που θίγουν τα δικαιώματα των ασθενών,
αναλαμβάνοντας συγχρόνως την υποχρέωση να δημοσιοποιήσει τους λόγους για τους οποίους
πιστεύει ότι δεν εξασφαλίζονται τα δικαιώματα αυτά.
15. Αξιοποίηση γνώσης και εμπειρίας. Ο επαγγελματίας της πληρο φορικής που εργάζεται στο χώρο
της υγείας αξιοποιεί την υπάρχουσα επιστημονική γνώση, που αφορά τα Π.Σ.Υ. και τις
μεθοδολογίες και τεχνικές που αποβλέπουν στην εξασφάλισή τους. Συνεισφέρει δε και ο ίδιος με
τη δική του γνώση και εμπειρία.
16. Συνεισφορά στην ανάπτυξη. Ο επαγγελματίας της πληροφορικής που εργάζεται στο χώρο της
υγείας αναγνωρίζει τις διαφορές που υπάρχουν ανάμεσα στο επίπεδο ανάπτυξης των Π.Σ.Υ.,
μεταξύ των διάφορων χωρών και συνεισφέρει στη μείωση των διαφορών αυτών.
17. Σεβασμός του περιβάλλοντος και της ποιότητας ζωής. Ο επαγγελματίας της πληροφορικής που
εργάζεται στο χώρο της υγείας σέβεται το φυσικό και πολιτιστικό περιβάλλον μέσα στο οποίο
ενεργεί. Η δε προαγωγή της ποιότητας ζωής, στην οποία αποβλέπει μέσω των παρεχομένων
υπηρεσιών υγείας, έχει ως βάση τη διατήρηση της πολιτιστικής και φυσικής κληρονομιάς.
Τα δεδομένα που αποθηκεύονται στα Π.Σ. των περισσοτέρων οργανισμών αποτελούν ιδιαίτερα
πολύτιμα αγαθά. Αυτό ισχύει και για τις υπηρεσίες ιατρικής περίθαλψης. Όλα τα συστήματα
επεξεργασίας πληροφοριών στο ιατροκεντρικό περιβάλλον πρέπει να προστατεύονται σε
ικανοποιητικό επίπεδο από όλα τα γεγονότα που θα μπορούσαν πιθανώς να θέσουν σε κίνδυνο
ιατρικές δραστηριότητες. Τα γεγονότα αυτά συμπεριλαμβάνουν ατυχήματα αλλά και δραστηριότητες
που γίνονται εσκεμμένα, ώστε να προκαλέσουν δυσκολίες.
Υπάρχουν πολλοι λογοι γιατι τα Ι.Π.Σ εχουν ιδιαιτερη σημασια. Περιληπτικα, μερικοι από αυτους
είναι:
Α) Τα πληροφοριακά συστήματα που εξυπηρετούν ιατρικούς σκοπούς περιέχουν πολλά δεδομένα που
συνδέονται άμεσα με τους ανθρώπους, το βιοτικό τους επίπεδο και την θεραπεία τους και
θεωρούνται άκρως εμπιστευτικά. Οι γνώσεις που απορρέουν από αναλύσεις στατιστικών μπορούν
να οδηγήσουν σε καλύτερη περίθαλψη. Η χρήση όμως δεδομένων για στατιστικές αναλύσεις θα
μπορούσε να περιοριστεί από κανόνες ιδιωτικότητας.
Β) Τα ιατρικά δεδομένα μπορούν να έχουν επιπτώσεις στην υγειά και θεραπεία των ασθενών και
συνεπώς η ακεραιότητα τους είναι ουσιώδεις. Ο χρόνος ύπαρξης των δεδομένων σε
ιατροκεντρικούς οργανισμούς κυμαίνεται από μερικές ώρες ως και τριάντα ή και περισσότερα
χρόνια. Το γεγονός αυτό προσθέτει ένα ακόμη παράγοντα πολυπλοκότητας της διαφύλαξης της
ακεραιότητας των δεδομένων κατά τη διάρκεια της ύπαρξης τους.
Γ) Συνήθως, το φυσικό περιβάλλον στα περιβάλλοντα ιατρικής περί θαλψης είναι ιδιαίτερα ανοιχτό. Σε
ένα νοσοκομείο, οι άνθρωποι (ασθενείς και επισκέπτες) εισέρχονται ελεύθερα στα κτίρια και στις
περιοχές όπου δεν ισχύουν ώρες επισκεπτηρίου.
Δ) Η απαιτούμενη διαθεσιμότητα των συστημάτων που σχετίζονται με την θεραπεία των ασθενών και
τη φροντίδα τους είναι συχνά 24ωρες το εικοσιτετράωρο επτά ήμερες τη εβδομάδα.
Ε) Η διαχείριση των περισσοτέρων δεδομένων πρέπει να γίνεται ουσιαστικά on line γιατί τα δεδομένα
πρέπει να είναι όσο το δυνατό συντομότερα διαθέσιμα για περαιτέρω θεραπεία του ασθενή (π.χ.
αποτελέσματα εργαστηριακών εξετάσεων). Έχουμε δηλαδή υψηλό ποσο στό on line επεξεργασίας
κινήσεων κάτι που απαιτεί υψηλό βαθμό ακεραιότητας των συστημάτων.
ΣΤ) Τα δεδομένα μπορεί να είναι κρίσιμα για κάποια ενεργεία
Ζ) Στα ιδρύματα ιατρικής περίθαλψης η ιεραρχία των ανθρώπων που είναι υπεύθυνοι για την
ασφάλεια είναι σχεδόν επίπεδη.
Γενικά
Τα δεδομένα του ατόμου σχετικά με την υγεία του αποτελούν δεδομένα προσωπικού χαρακτήρα τα
οποία προστατεύονται στην Ευρώπη αλλά και διεθνώς με ειδικές ρυθμίσεις.
Η Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου (EΣΔA) του 1950 προστατεύει στο άρθρο 8
την ιδιωτική ζωή, στην οποία συγκαταλέγονται και τα προσωπικά δεδομένα. Ως προς τα ιατρικά
δεδομένα το Δικαστήριο των Ανθρωπίνων Δικαιωμάτων όρισε αυστηρές προϋποθέσεις για την
ανακοίνωσή τους σε τρίτους.
Η Σύσταση 108 του Συμβουλίου της Ευρώπης του 1981 για την προστασία των ατόμων από την
αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ορίζει στο άρθρο 6 ότι τα
ιατρικά δεδομένα δεν μπορούν να γίνουν αντικείμενο αυτοματοποιημένης επεξεργασίας χωρίς
εγγυήσεις για την προστασία τους που πρέπει να ορίζονται με νόμο. Ο ΟΟΣΑ εξέδωσε το 1980 σειρά
«κατευθυντήριων γραμμών» για την προστασία των προσωπικών δεδομένων γενικώς.
Ως προς τα κράτη-μέλη της Ευρωπαϊκής Ένωσης σταθμό στην προστασία των προσωπικών
δεδομένων αποτελεί η Οδηγία 95/46/EK για την προστασία των φυσικών προσώπων έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
αυτών. Με την Οδηγία αυτή εξασφαλίζεται η εναρμόνιση των εθνικών νομοθεσιών των κρατών-
μελών ως προς την προστασία των προσωπικών δεδομένων και η ελεύθερη κυκλοφορία τους στα
κράτη-μέλη. Ο ελληνικός νόμος 2472/97 μεταφέρει την Οδηγία στο εσωτερικό δίκαιο και συγχρόνως
εκπληρώνει την υποχρέωση της Ελλάδας που απορρέει από τη Σύσταση 108 του Συμβουλίου της
Ευρώπης να θεσπίσει ειδικές διατάξεις για την προστασία των προσωπικών δεδομένων. Σύμφωνα με
την Οδηγία 95/46/EK –και τον ελληνικό νόμο 2472/97 η επεξεργασία των ιατρικών δεδομένων
υπόκειται σε ειδικές ρυθμίσεις.
Στη συνέχεια, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ψήφισαν την Οδηγία 97/66/EK για την
προστασία των προσωπικών δεδομένων στον τηλεπικοινωνιακό τομέα η οποία αντικαταστάθηκε
πρόσφατα από την Οδηγία 2002/58/EK για την προστασία των προσωπικών δεδομένων στον τομέα
των ηλεκτρονικών επικοινωνιών. Οι εν λόγω Οδηγίες εξειδικεύουν την Οδηγία 95/46/EK ως προς
ορισμένες πτυχές που συνδέονται με τη συγκεκριμένη κατηγορία εφαρμογής. Ο ελληνικός νόμος
2774/99 μεταφέρει την Οδηγία 97/66/EK στο εσωτερικό δίκαιο.
Τέλος, η προστασία των προσωπικών δεδομένων έχει κατοχυρωθεί και στα συντάγματα διάφορων
χωρών. Σύμφωνα με το άρθρο 9A του ελληνικού Συντάγματος η προστασία των προσωπικών
δεδομένων του ατόμου αποτελεί θεμελιώδες δικαίωμα. Η επεξεργασία των δεδομένων του ατόμου
επιτρέπεται μόνο υπό τις προϋποθέσεις που ορίζει ο νόμος. Επίσης, η Διακήρυξη των Θεμελιωδών
Δικαιωμάτων της Ευρωπαϊκής Ένωσης που υιοθετήθηκε από τα κράτη-μέλη το 2000 προβλέπει ειδικό
άρθρο (αρθ. 8) για την προστασία των προσωπικών δεδομένων.
Το Ιατρικό Απόρρητο
Το ιατρικό απόρρητο κατοχυρώνεται στο άρθρο 371 του Ποινικού Κώδικα σύμφωνα με το οποίο κάθε
παραβίαση του απορρήτου από τον ιατρό ή τους βοηθούς του, δηλαδή εάν φανερώσει πληροφορίες
σε σχέση με τον ασθενή, αποτελεί αδίκημα. Δεν αποτελεί αδίκημα η πράξη εάν ο ιατρός φανερώσει
πληροφορίες στο πλαίσιο της εκπλήρωσης καθήκοντος ή της διαφύλαξης έννομου ή για άλλο λόγο
δικαιολογημένου, ουσιώδους συμφέροντος του ίδιου ή κάποιου άλλου, το οποίο δεν μπορούσε να
διαφυλαχθεί διαφορετικά.
Το ιατρικό απόρρητο ως υποχρέωση του ιατρού που παρέχει τις υπηρεσίες του ιδιωτικά ή μέσω
οργανισμών δημοσίου ή ιδιωτικού δικαίου κατοχυρώνεται επίσης στον Κανονισμό Ιατρικής
Δεοντολογίας (B.Δ. της 25/5/1955). Η προστασία της ιδιωτικής ζωής του ασθενούς και ο απόρρητος
χαρακτήρας του ιατρικού φακέλου κατοχυρώνονται επίσης στο άρθρο 47 του Ν. 2071/92 (Νόμος
E.Σ.Y.) Την υποχρέωση εχεμύθειας των προσώπων που εργάζονται στο I.K.A. προβλέπει το άρθρο 26
του Ν. 1846/1951. Τέλος, ο χρόνος τήρησης των αρχείων των νοσοκομείων ρυθμίζεται από το Π.Δ.
1258/81.
Συνεπώς, σε εφαρμογές ιατρικής πληροφορικής και τηλεϊατρικής οι διατάξεις για το ιατρικό
απόρρητο και την προστασία των προσωπικών δεδομένων εφαρμόζονται σωρευτικά.
εγκατάστασης - και όχι του Φορέα συνολικά - ειδικά και μόνο μετά από κάποια συγκεκριμένη
καταστροφή (πχ. σεισμός, φωτιά κλπ.) που εκτιμάται ότι μπορεί να έχει σοβαρές επιπτώσεις για το
Φορέα.
Οι ενότητες εργασίας που αναφέρονται πιο πάνω συνδέονται μεταξύ τους λογικά και αποτελούν ένα
ενιαίο και σχετικά ολοκληρωμένο σύνολο, με δεδομένο και συγκεκριμένο στόχο, την επαρκή
προστασία των πληροφοριακών συστημάτων.
Η ασφάλεια της επεξεργασίας είναι υποχρέωση του υπευθύνου της επεξεργασίας και προϋπόθεση
της νομιμότητας της επεξεργασίας. Οι παρακάτω υποχρεώσεις του υπευθύνου της επεξεργασίας
έχουν ως σκοπό τη συμμόρφωση των πληροφοριακών συστημάτων με την προαναφερθείσα
νομοθεσία και κατ’ επέκταση τη δυνατότητα λήψης άδειας λειτουργίας από την ΑΠΔΠΧ, χωρίς αυτό
να σημαίνει σημαντικές αλλαγές στη λειτουργικότητα των εφαρμογών.
Ο βαθμός της απαιτούμενης ασφάλειας κρίνεται από το σκοπό της επεξεργασίας / εφαρμογής, τη
φύση των δεδομένων που θα αποτελέσουν αντικείμενο της επεξεργασίας, τους κινδύνους που
εγκυμονεί η συγκεκριμένη επεξεργασία και οι οποίοι πρέπει να προσδιορισθούν με σχετική
Αποτίμηση Επικινδυνότητας (risk assessment), καθώς και από την εξέλιξη της τεχνολογίας και το
κόστος των μέτρων. Ο υπευθυνος της επεξεργασίας οφείλει να υλοποιήσει τα τεχνικά μέτρα
ασφαλείας.
Εάν υπάρχουν μέτρα ασφαλείας με μικτό χαρακτήρα (οργανωτικό-τεχνικά, διοικητικό-τεχνικά), τότε ο
υπευθυνος της επεξεργασίας οφείλει να συνεργασθεί με τα αρμόδια στελέχη του Φορέα για την
υλοποίηση του τεχνικού τους μέρους.
Η υλοποίηση των τεχνικών μέτρων θα πρέπει να γίνει με την ελάχιστη δυνατή παρεμπόδιση της
λειτουργίας του Φορέα και θα πρέπει να επιφέρει τις ελάχιστες δυνατές τροποποιήσεις στα τμήματα
του ΠΣ ή / και της εγκατάστασης που δεν εμπλέκονται στις λειτουργίες ασφάλειας.
Όπου απαιτείται η ενσωμάτωση νέου εξοπλισμού αυτός απαιτηθεί κατ’ εντολή του Φορέα
Λειτουργίας, το κόστος του εξοπλισμού αυτού θα βαρύνει το Φορέα Λειτουργίας. Οι ανάγκες αυτές
θα γίνουν γνωστές με την παράδοση της Αποτίμηση Επικινδυνότητας και του Σχεδίου Ασφάλειας
στον Φορέα Στο πλαίσιο της μελέτης εφαρμογής του είναι επιθυμητό να γίνουν και παρόμοιες
προτάσεις προς αυτή την κατεύθυνση.
Ο υπευθυνος της επεξεργασίας θα πρέπει επίσης να εκπονήσει σχέδιο ανάκαμψης από καταστροφή
(Disaster Recovery Plan – DRP) όπως περιγράφεται παραπανω.
Στη προσπάθεια του αυτή:
Οι κανόνες ασφαλείας που περιγράφονται παρακατω είναι ενδεικτικοί των ειδικών αναγκών που
απαιτούνται στο χώρο της Υγείας. Στο πλαίσιο αυτό δεν αποτελούν προδιαγραφές.
Τα πληροφοριακά συστήματα πρέπει απαραιτήτως να διαθέτουν μηχανισμό για την υποστήριξη
διαδικασιών συγκατάθεσης του ασθενή (ή κάθε άλλου νομίμου εκπροσώπου του) στην επεξεργασία
των προσωπικών του δεδομένων (π.χ. δυνατότητα υπογραφής εντύπων τα οποία εκδίδονται βάσει
στοιχείων του ΠΣΥ).
Η χρήση TΠE στον τομέα της υγείας επιβάλλει τη λήψη όλων των απαραίτητων τεχνικών και
οργανωτικών μέτρων. Τα μέτρα αυτά εκτείνονται από την ενημέρωση και εκπαίδευση των χρηστών,
την ύπαρξη υπεύθυνου για το πληροφοριακό σύστημα μέχρι τη φυσική και λογική προστασία του
πληροφοριακού συστήματος, των δικτυακών συνδέσεων και της διαβίβασης των δεδομένων. Σε κάθε
περίπτωση η ασφάλεια αφορά στις διαδικασίες και δομές της επεξεργασίας, στους συμμετέχοντες
και στη φυσική και λογική ασφάλεια του πληροφοριακού συστήματος.
Κατ’ αρχήν η χρήση TΠE στον τομέα της υγείας πρέπει να εξασφαλίζει την:
Πιστοποίηση (authentication): έλεγχος της αυθεντικότητας της ταυτότητας των μερών μιας
ανταλλαγής δεδομένων.
Εξουσιοδότηση (Authorization): η πρόσβαση του χρήστη πρέπει να είναι εξουσιοδοτημένη.
Το πρόβλημα της ασφάλειας των ιατρικών πληροφοριακών συστημάτων εν γένει μπορεί να αναλυθεί
στις εξής βασικές συνιστώσες:
• Φυσική ασφάλεια (physical security) και ασφάλεια του υπολογιστικού συστήματος (computer
security). Σχετίζεται με προστασία από φυσικές καταστροφές (κλοπή, φωτιά, πλημμύρες,
βανδαλισμούς), μη εξουσιοδοτημένη προσπέλαση κλπ.
• Ασφάλεια των Βάσεων Δεδομένων (database security). Σχετίζεται με την εφαρμογή μίας
προκαθορισμένης πολιτικής προστασίας των πληροφοριών (security policy), που αφορά στη
δυνατότητα προσπέλασης και επεξεργασίας των πληροφοριών της βάσης δεδομένων.
• Ασφάλεια Δικτύων Επικοινωνιών του συστήματος (network security). Σχετίζεται με την προστασία
των πληροφοριών του συστήματος κατά τη μετάδοσή τους μέσω δικτύων υπολογιστών (π.χ.
καλωδίων, τηλεφώνων, δορυφόρων, κλπ.).
• Ασφάλεια του Λειτουργικου Συστήματος (και όλων των διαδικασιων που εξαρτωνται αμεσα από
αυτό) του υπολογιστή
Διευκρινίζεται ότι ο σχεδιασμός των μέτρων φυσικής ασφάλειας και ασφάλειας του υπολογιστικού
συστήματος είναι μέρος της Αποτίμησης Επικινδυνότητας και του Σχεδίου Ασφάλειας
Η ασφάλεια αφορά τόσο στην κάθε επιτόπια εφαρμογή όσο και στην επικοινωνία των
υποσυστημάτων. Από τις προαναφερθείσες παραμέτρους, σημαντικές για την ασφάλεια της
εφαρμογής θεωρούνται η εξουσιοδότηση, ο έλεγχος της πρόσβασης στο σύστημα, η διαθεσιμότητα
των δεδομένων, η μη δυνατότητα άρνησης συμμετοχής και ο έλεγχος. Για την ασφάλεια της
επικοινωνίας σημαντικές παράμετροι θεωρούνται η εξασφάλιση της πιστοποίησης, ο έλεγχος της
Οι κανόνες ασφαλείας που περιγράφονται παρακάτω είναι ενδεικτικοί των ειδικών αναγκών και
μετρων που απαιτούνται και πρεπε να λαμβανονται για την ασφαλη επεξεργασια των πληροφοριων
στο χώρο της Υγείας. Εν πολλοίς αφορούν την λειτουργία του συστήματος και τον υπεύθυνο της
επεξεργασίας.
Αναγκαιοτητα προστασίας και ιδιοκτησια των δεδομένων που αφορούν την υγεία του
ατόμου
Τα δεδομένα που αφορούν στην υγεία του ατόμου αποτελούν ευαίσθητα δεδομένα και χρήζουν
υψηλού επίπεδου προστασίας.
Τα δεδομένα που αφορούν στην υγεία του ατόμου είναι προσωπικά δεδομένα στο μέτρο που άμεσα
ή έμμεσα μπορεί να προκύψει η ταυτότητα του ατόμου. Τα δεδομένα αυτά περιλαμβάνουν τα
στοιχεία σχετικά με την παροχή υπηρεσιών υγείας πάσης φύσης καθώς και τα δεδομένα κοινωνικής
ασφάλισης, έρευνας και στατιστικής στο μέτρο που προκύπτει η ταυτότητα του ατόμου.
Τα δεδομένα σχετικά με την υγεία του ατόμου αποτελούν μέρος της προσωπικότητας του ατόμου και
όχι ιδιοκτησία του φορέα που τα συλλέγει και τα επεξεργάζεται.
επεξεργασίας. Ισχύει η αρχή της ελαχιστοποίησης των προσωπικών δεδομένων ως προς το σκοπό της
επεξεργασίας και η αρχή της ανώνυμης ή ψευδώνυμης επεξεργασίας, όπου αυτό είναι δυνατό.
Ο σκοπός της επεξεργασίας πρέπει να ορίζεται με σαφήνεια εκ των προτέρων και τα δεδομένα δεν
επιτρέπεται να χρησιμοποιηθούν για σκοπούς διάφορους από αυτούς για τους οποίους
συλλέχθηκαν, εκτός και εάν ενημερωθεί το υποκείμενο της επεξεργασίας και δώσει την έγγραφη
συγκατάθεσή του.
Ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίσει το απόρρητο της επεξεργασίας και να λάβει όλα
τα απαραίτητα τεχνικά και οργανωτικά μέτρα προστασίας των δεδομένων (ασφάλεια δεδομένων)
Πριν την έναρξη της επεξεργασίας ο υπεύθυνος της επεξεργασίας πρέπει να λάβει άδεια από την
Αρχή Προστασίας Προσωπικών Δεδομένων.
ΙΙ.
Η ΤΕΧΝΟΛΟΓΙΑ ΤΩΝ
ΙΑΤΡΙΚΩΝ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ
Είναι γνωστό ότι η εποχή μας χαρακτηρίζεται από την διαρκώς αυξανόμενη πίεση για την βελτίωση
της ποιότητας των παρεχομένων Υπηρεσιών Υγείας με ελαχιστοποίηση του χρόνου πρόσβασης στην
απαραίτητη πληροφορία και με ταυτόχρονη μείωση του απαιτούμενου κόστους. Οι τεχνολογία των
βασεων δεδομένων είναι ένα πολύ σημαντικο εργαλείο για την υλοποιηση αυτου του στόχου.
Μία Βάση Δεδομένων (Data Base) θα μπορούσε να χαρακτηριστεί περιγραφικά σαν μία συλλογή από
δεδομένα επί του υπολογιστή οργανωμένη κατά τέτοιο τρόπο ώστε οι διάφορες εφαρμογές να
μπορούν μεν εύκολα να τη χρησιμοποιούν και ενημερώνουν, αλλά που οι ίδιες δεν καθορίζουν
αναγκαστικά το σχεδιασμό ή περιεχόμενό της. Πιο ελεύθερα θα μπορούσε να χαρακτηριστεί σαν μία
συλλογή χρήσιμων κοινών πληροφοριών με υψηλό βαθμό οργάνωσης την οποία μπορούν να
χρησιμοποιούν και να ενημερώνουν σύμφωνα με τις ανάγκες τους οι διάφορες εφαρμογές του
οργανισμού ή επιχείρησης, η οποία όμως υπάρχει ανεξάρτητα από αυτές.
Μία υπεραπλοποιημένη άποψη της έννοιας μιας Β.Δ. παρουσιάζει το Σχήμα 9.1.
Βασικά χαρακτηριστικά μιας Β.Δ. είναι η κοινοκτημοσύνη των δεδομένων (με ορισμένους βέβαια
περιορισμούς στο δικαίωμα προσπέλασης) και ο διαχωρισμός τους από τα διάφορα προγράμματα
που τα χρησιμοποιούν. Αυτό σημαίνει ότι όχι μόνο τα ίδια δεδομένα μπορούν να χρησιμοποιηθούν
από περισσότερες από μία εφαρμογές, αλλά δίνεται και η ευχέρεια να αλλάξει η εφαρμογή αν
μεταβληθούν οι συγκεκριμένες ανάγκες, χωρίς να είναι απαραίτητο να αλλάξει η μορφή των
δεδομένων όπως αυτά κρατούνται στον υπολογιστή, και αντίστροφα. Η ιδιότητα αυτή συνήθως
αναφέρεται σαν ανεξαρτησία των δεδομένων (data independence) και είναι η βάση της ικανότητας
των συστημάτων Β.Δ. να παρακολουθούν εύκολα τις μεταβαλλόμενες ανάγκες του οργανισμού σε
πληροφορίες, χωρίς να απαιτείται εκτεταμένος επαναπρογραμματισμός γι' αυτό.
Άλλο πλεονέκτημα μιας τέτοιας οργάνωσης είναι το ότι τα δεδομένα κρατούνται στον υπολογιστή μία
μόνο φορά ανεξάρτητα του αν χρησιμοποιούνται σε περισσότερες από μία εφαρμογές. Αυτό έχει σαν
αποτέλεσμα όχι μόνο την οικονομία σε χώρο αλλά, κυρίως, τη βεβαιότητα ότι δεν υπάρχει ασυνέπεια
(inconsistency) μεταξύ των διάφορων αρχείων όπως π.χ. όταν ενημερώνεται ένα μόνο από τα αρχεία
στα οποία εμφανίζεται η μεταβολή. Το γεγονός επίσης ότι τα δεδομένα βρίσκονται κάτω από
κεντρικό έλεγχο κάνει πολύ ευκολότερη την ικανοποίηση συγκρουσμένων απαιτήσεων, την
κατοχύρωση της ασφάλειας των πληροφοριών και την καθιέρωση Standards. Σημαντικό είναι ακόμη
το ότι μία τέτοια οργάνωση των δεδομένων δίνει τη δυνατότητα όχι μόνο για την εύκολη και
αποτελεσματική χρησιμοποίησή τους από τις διάφορες εφαρμογές, αλλά επιπλέον, της
χρησιμοποίησής τους για την εξαγωγή πρόσθετων πληροφοριών που μπορούν να χρησιμοποιηθούν
από τη διοίκηση για τη λήψη αποφάσεων. Μία τέτοια οργάνωση είναι ενδεδειγμένη για παράδειγμα
για την υποστήριξη των πληροφοριακών συστημάτων διοίκησης (Management Information Systems),
που δίνει νέες δυνατότητες στη χρησιμοποίηση του υπολογιστή.
Ο σχεδιασμός και υλοποίηση ενός συστήματος Β.Δ. σε τρόπο που να υποστηρίζει ικανοποιητικά τις
πληροφοριακές ανάγκες ενός οργανισμού, είναι ένα δύσκολο έργο και υπάρχουν αρκετά
παραδείγματα τέτοιων προσπαθειών που δεν κατέληξαν σε επιτυχία. Παρά τις δυσκολίες πάντως και
μετά από μία αβέβαιη αρχή, η τεχνολογία των συστημάτων Β.Δ. κατόρθωσε να υπερνικήσει τις
δυσκολίες και να κερδίζει συνεχώς έδαφος με χιλιάδες εγκατεστημένα συστήματα διεθνώς, τα οποία
εργάζονται με επιτυχία.
Η παρουσίαση της γενικής αρχιτεκτονικής των συστημάτων Β.Δ. παρουσιάζει προβλήματα δεδομένου
ότι υπάρχουν ουσιαστικές διαφορές μεταξύ των διάφορων τύπων συστημάτων Β.Δ. Από τις διάφορες
προσπάθειες που έχουν γίνει κατά καιρούς για τη συστηματοποίησή της, με σκοπό να αποτελέσει το
Standard για τους μελλοντικούς σχεδιαστές τέτοιων συστημάτων, η σημαντικότερη και
επικρατέστερη είναι αυτή που προτάθηκε από την επιτροπή ANSI/SPARC. Η γενική μορφή ενός
συστήματος Β.Δ. φαίνεται στο Σχήμα .
Η αρχιτεκτονική αυτή μπορεί να χωρισθεί σε τρία επίπεδα, το εξωτερικό, το λογικό και το φυσικό.
Όπως φαίνεται και στο σχήμα όλη η δομή καθώς και οι απεικονίσεις μεταξύ των τριών επιπέδων
βασίζεται στο Σύστημα Διοίκησης Βάσης Δεδομένων (DBMS).
Οι χρήστες του συστήματος Β.Δ. μπορεί να είναι είτε προγραμματιστές εφαρμογών, είτε χειριστές
τερματικών με λίγες ή και καθόλου γνώσεις προγραμματισμού όπως π.χ. πωλητές, διοικητικοί
υπάλληλοι κ.λ.π. Η επικοινωνία με το σύστημα μπορεί να γίνει με δύο τρόπους. Ο πρώτος είναι η
αποκλειστική χρήση μιας ειδικής γλώσσας η οποία επιτρέπει την εύκολη επικοινωνία με τη Β.Δ. και η
οποία δεν απαιτεί γνώσεις προγραμματισμού για να χρησιμοποιηθεί (Query Language, Data
Manipulation Language). Ο δεύτερος είναι η χρησιμοποίηση μιας ειδικής γλώσσας (Host Language) σε
συνδυασμό με τις συνήθεις γλώσσες προγραμματισμού, όπως COBOL, PL/1, FORTRAN κ.λ.π. Κάθε
χρήστης έχει στη διάθεσή του μία περιοχή εργασίας (work space) όπου τοποθετούνται όλα τα
δεδομένα της επικοινωνίας του με τη Β.Δ.
Κύριο χαρακτηριστικό της αρχιτεκτονικής Β.Δ. είναι ότι μεταξύ των χρηστών και της πραγματικής
οργάνωσης των δεδομένων επί των δίσκων κ.λ.π. παρεμβάλλεται το Λογικό Μοντέλο Δεδομένων.
Αυτό είναι η εικόνα της Β.Δ. όπως τη βλέπει ο χρήστης. Για παράδειγμα, οι χρήστες βλέπουν τη Β.Δ.
να περιέχει πληροφορίες όπως π.χ. σχετικές με τους πελάτες και τα προϊόντα μιας επιχείρησης, χωρίς
να τους ενδιαφέρει ο συγκεκριμένος τρόπος οργάνωσης και αποθήκευσης των δεδομένων αυτών στη
Β.Δ. (12).
Αποτελεί δηλαδή το λογικό μοντέλο δεδομένων μία περιγραφή των πληροφοριών που ενδιαφέρουν
τους χρήστες και τις μεταξύ των πληροφοριών αυτών σχέσεις. Η περιγραφή αυτή είναι (ή θα έπρεπε
σε πολλές περιπτώσεις να είναι), ανεξάρτητη από τα επιμέρους χαρακτηριστικά του υπολογιστή που
Τα διάφορα συστήματα Β.Δ. διαφέρουν μεταξύ τους ουσιαστικά σε ότι αφορά το είδος των λογικών
μοντέλων που υποστηρίζουν, τη μορφή της γλώσσας επικοινωνίας με τους χρήστες που διαθέτουν,
την οργάνωση των φυσικών αρχείων που χρησιμοποιούν κ.λ.π. Παραδοσιακά έχουν χωρισθεί σε
τρεις μεγάλες κατηγορίες, σε Συσχετικά (Relational), Ιεραρχικά (Hierarchical) και Δικτυωτά (Network-
CODASYL), ανάλογα με τη μορφή των λογικών μοντέλων δεδομένων και κατά επέκταση τις δομές των
πληροφοριών που διαθέτουν. Από αυτά τα πιο διαδεδομένα σήμερα είναι τα Συσχετικού τύπου
(Relational).
Τα Συσχετικού τύπου συστήματα βασίζονται, τουλάχιστο σε ότι αφορά το θεωρητικό τους υπόβαθρο,
στη μαθηματική θεωρία των σχέσεων (Relations). Συνοπτικά, ο όρος σχέση μπορεί να ορισθεί ως
εξής: "Δοθέντων των συνόλων Α1, Α2, Α3, ..... , Αν, τότε καλούμε σχέση R το σύνολο των
διατεταγμένων ν-άδων (α1, α2, α3, ..... , αν) όπου το α1 ανήκει στο Α1, το α2 στο Α2 κ.λ.π. Τα σύνολα
Α1, Α2, Α3, ..... , Αν ονομάζονται πεδία ορισμού (dommains) της σχέσης και το ν βαθμός της.
R={(α1, α2, α3, ..... , αν): α1A1, α2A2, α3A3, ..... , ανAν}
Για παράδειγμα, η σχέση ΠΕΛΑΤΗΣ με πεδία ορισμού ΚΩΔΙΚΟΣ ΠΕΛΑΤΟΥ, ΟΝΟΜΑ, ΕΔΡΑ, ΟΦΕΙΛΗ,
γράφεται συνοπτικά:
ΠΕΛΑΤΗΣ (ΚΩΔΙΚΟΣ, ΟΝΟΜΑ, ΕΔΡΑ, ΟΦΕΙΛΗ)
και έχει τη μορφή που φαίνεται στο παρακάτω Σχήμα
Βασικό πρακτικό πλεονέκτημα μιας τέτοιας οργάνωσης είναι ότι, όπως φαίνεται και από το Σχήμα
τα δεδομένα παρουσιάζονται στην πράξη στους χρήστες σε μορφή παρόμοια αυτής των πινάκων.
Αυτό διευκολύνει πολύ την κατανόηση του περιεχομένου σε πληροφορία του λογικού μοντέλου,
ιδιαίτερα όταν οι χρήστες δεν έχουν γενικότερες γνώσεις πάνω στους υπολογιστές όπως είναι π.χ.
πολλοί από τους χρήστες των τερματικών. Το λογικό μοντέλο της Β.Δ. παρουσιάζεται με αυτό τον
τρόπο στους χρήστες σαν μία συλλογή από σχέσεις δηλαδή, στην πράξη, σαν μία συλλογή από
πίνακες. Πρωταρχικό χαρακτηριστικό μιας σχέσης είναι ότι κανένα από τα πεδία ορισμού της δεν
πρέπει να αναλύεται σε κάποια άλλη σχέση. Έχουν προταθεί διάφοροι μέθοδοι για την καλύτερη
εκλογή και οργάνωση των πληροφοριών σε σχέσεις (12).
Βασικό πλεονέκτημα των συσχετικού τύπου συστημάτων στο θεωρητικό επίπεδο είναι ότι διαθέτουν
ισχυρή θεωρητική θεμελίωση, η οποία επέτρεψε τη γρήγορη μελέτη και εξέλιξή τους (βλέπε ίδιου:
"Βάσεις Δεδομένων", 1992).
ΠΕΛΑΤΗΣ
ΚΩΔΙΚΟΣ ΟΝΟΜΑ ΕΔΡΑ ΟΦΕΙΛΗ
11304 ΑΝΔΡΕΟΥ ΑΘΗΝΑ 36.500
17502 ΙΩΑΝΝΟΥ ΠΑΤΡΑ 7.200
26309 ΧΡΗΣΤΟΥ ΑΘΗΝΑ 38.250
35631 ΑΘΑΝΑΣΙΑΔΗ ΑΘΗΝΑ 46.100
36631 46.100
Η δεύτερη κατηγορία περιλαμβάνει γλώσσες που στηρίζονται στη θεωρία των "Relational calculus"
και είναι πιο μαθηματική στη φύση της. Παρά τη φαινομενική θεωρητική τους πολυπλοκότητα, οι
γλώσσες που χρησιμοποιούν τα συσχετικά συστήματα Β.Δ. είναι στην πράξη απλές μία και ανάγονται
τελικά, για τους σκοπούς του χρήστη, σε πράξεις μεταξύ πινάκων και ειδικότερα των στηλών και
γραμμών τους.
Ο σχεδιασμός και υλοποίηση μιας σύγχρονης Βάσης Δεδομένων έτσι ώστε να εξυπηρετεί κατά τον
πιο ικανοποιητικό τρόπο τις συνολικές πληροφοριακές ανάγκες ενός οργανισμού είναι ένα δύσκολο
έργο που όπως αποδείχθηκε παρουσιάζει πολλά προβλήματα. Πρέπει να σημειωθεί πάντως ότι όπως
έδειξε η μέχρι σήμερα διεθνής εμπειρία, η πλειοψηφία των προβλημάτων που οι σημερινοί καθώς
και οι μελλοντικοί χρήστες είναι πιθανό να αντιμετωπίσουν σχεδόν σίγουρα δεν θα είναι
προβλήματα S/W μέσα στο ίδιο το Σ.Δ.Β.Δ. (DBMS). Τα περισσότερα από τα γνωστά συστήματα έχουν
πια σταθεροποιηθεί και είναι αρκετά αξιόπιστα. Κάτι, αντίθετα, που έχει συχνά παραβλεφθεί και
αποτελεί συχνή πηγή προβλημάτων είναι το γεγονός ότι η απόφαση για τη χρησιμοποίηση της
τεχνολογίας των Βάσεων Δεδομένων πρέπει απαραίτητα να συνδυαστεί και με άλλες αλλαγές,
κυρίως στη γενικότερη φιλοσοφία και πρακτική του σχεδιασμού των εφαρμογών. Το τελευταίο
αποτελεί βασική προϋπόθεση για την αξιοποίηση των πλεονεκτημάτων που μπορεί να προσφέρει
ένα Σ.Δ.Β.Δ. Θα πρέπει πάντως να διευκρινίσουμε ότι αναφερόμαστε σε συστήματα Β.Δ. που
στοχεύουν να καλύψουν τις συνολικές πληροφοριακές ανάγκες ενός οργανισμού και όχι επιμέρους
εφαρμογές, οπότε τα σχετικά προβλήματα είναι σαφώς λιγότερα.
Προβλήματα μπορεί επίσης να παρουσιαστούν γύρω από τα οργανωτικά προβλήματα και τα θέματα
στρατηγικής τα οποία αναπόφευκτα η εισαγωγή μιας τέτοιας τεχνολογίας θα προκαλέσει. Για
παράδειγμα, η δημιουργία μιας Βάσης Δεδομένων από τη φύση της θα δημιουργήσει προβλήματα
του τύπου: Ποιος είναι υπεύθυνος για κάποιο δεδομένο (data item), σε ποιον θα επιτραπεί η
προσπέλαση σε συγκεκριμένη κατηγορία δεδομένων, γιατί ο υπεύθυνος Α κρατά χωριστά δεδομένα
που ανήκουν στον υπεύθυνο Β και ούτω καθεξής. Πολλοί μάλιστα, υποστηρίζουν ότι οργανισμός ή
επιχείρηση που στην πορεία για τη δημιουργία της Βάσης Δεδομένων δεν συναντά τα παραπάνω ή
συναφή προβλήματα, θα πρέπει να αρχίσει να ανησυχεί σοβαρά για το κατά πόσο πράγματι
δημιουργεί μία σωστή Βάση Δεδομένων.
Η παραπάνω προσέγγιση στο όλο θέμα είναι σημαντική. Είναι συνηθισμένο λάθος να μπερδεύεται η
αγορά ενός, έστω και καθ' όλα άψογου Σ.Δ.Β.Δ. (DBMS) με τη φιλοσοφία εισαγωγής της τεχνολογίας
της Βάσης Δεδομένων. Είναι βέβαια ενθαρρυντικό ότι όλο και περισσότερο γίνεται κατανοητή η
διαφορά. Δεν παύει όμως να είναι διεθνώς αλήθεια ότι πολλές από τις σημερινές εγκαταστάσεις δεν
κάνουν ουσιαστικά πολύ παραπάνω από το να χρησιμοποιούν το Σ.Δ.Β.Δ. (DBMS) σαν ένα ακόμα
εργαλείο λογισμικού όπως τα άλλα που τους εφοδίασε ο κατασκευαστής και που η χρησιμοποίησή
του τους έδωσε περισσότερη άνεση και ευκινησία π.χ. στη διακίνηση των αρχείων και τη
διεκπεραίωση χωρίς μεγάλο κόπο των διάφορων καθημερινών μηχανογραφικών προβλημάτων. Στις
περιπτώσεις αυτές, λίγες συγκριτικά προσπάθειες γίνονται για την αντιμετώπιση προβλημάτων όπως
η αξιοπιστία των πληροφοριών, το διπλό κράτημα δεδομένων, με όλα τα γνωστά επακόλουθα
προβλήματα στην ενημέρωση των αρχείων, την καθιέρωση κανόνων για τη μορφή και πατρότητα των
δεδομένων κ.λ.π. Είναι πάντως δύσκολο να φανταστεί κανείς πολλές περιπτώσεις ενός Σ.Δ.Β.Δ.
(DBMS) που είναι αποδοτικό (cost-effective) όταν χρησιμοποιείται απλά και μόνο για να υποβοηθά
π.χ. την κίνηση αρχείων (file handling).
Η παρακάτω λίστα συνοψίζει μερικές γενικές σκέψεις σχετικά με τα θέματα αυτά:
Το θέμα της διαχείρισης της Β.Δ. είναι αρκετά σπουδαίο ώστε να δικαιολογηθεί μία θέση ειδικού.
Πολλοί οργανισμοί έχουν καθιερώσει μόνιμα τη θέση του Data Base Administrator (DBM) με κύριά
του αρμοδιότητα το σχεδιασμό και γενική διαχείριση της Βάσης Δεδομένων. Κατά καιρούς έχει
υποστηριχθεί ότι τα δεδομένα "data", είναι ένα από τα σπουδαιότερα στοιχεία του ενεργητικού μιας
επιχείρησης και πρέπει να αντιμετωπίζονται ανάλογα. Στην πράξη είναι ο DBA ο οποίος θα αναλάβει
αυτήν ακριβώς την αποστολή, συνήθως με τη βοήθεια των εργαλείων που προσφέρει η Β.Δ.
ΙΙΙ.
ΤΕΧΝΙΚΕΣ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΙΑΤΡΙΚΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
ΚΑΙ ΤΩΝ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
- Έχουν γίνει ασαφή τα όρια των δικτύων και οι διακρίσεις μεταξύ των τμημάτων ενός οργανισμού
(unknown perimeter). Κάθε κόμβος οφείλει να είναι ικανός να αντιδράσει σωστά στη παρουσία
ενός νέου και μη-έμπιστου κόμβου. Από την άλλη, κάθε κόμβος μπορεί να ανήκει ταυτόχρονα σε
περισσότερα από ένα δίκτυα, με αποτέλεσμα να μην είναι ξεκάθαρη η εικόνα των νομίμων
χρηστών του κάθε δικτύου.
- Η δυνατότητα ανωνυμίας (anonymity) ενός χρήστη απαιτεί ισχυρούς μηχανισμούς πιστοποίησης
μεταξύ των υπολογιστών, μηχανισμούς διαφορετικούς από αυτούς που πιστοποιούν τους
ανθρώπους στα υπολογιστικά συστήματα.
- Υπάρχει αδυναμία ελέγχου της δρομολόγησης (unknown path) των δεδομένων που διακινούνται
μέσω των δικτύων.
Η υπηρεσία του παγκόσμιου ιστού (WWW) εισάγει ακόμα περισσότερους κινδύνους. Ένας
παρουσιαστής ιστοσελίδων (browser) αποτελεί το ιδανικό μέσο για την αυτόματη εκτέλεση
προγραμμάτων χωρίς τη γνώση του χρήστη, γνωστών ως Δούρειοι Ίπποι (Trojan Horse attack).
Το προβλημα γινεται όμως σημερα ακομα μεγαλυτερο λογω της υλοποιησης του Διαδικτυου των
Πραγματων (Ίντερνετ of Things), το οποιο αποτελειται όχι μονο από Δικτυα και Υπολογιστές, αλλα και
από Εξυπνες Συσκευές (παρακατω σχημα). Το Ίντερνετ of Things είναι ένα ακόμα πιο ανασφαλές
περιβάλλον.
Για παράδειγμα, τα κενά ασφαλείας σε ιατρικές συσκευές, μπορεί να αποτελέσουν «δούρειο ίππο»
για τους χάκερ. Είναι ενδεικτικό ότι δύο ερευνητές (Τ. Μπατς και Μ. Ρίος, Whitescope - QED Secure
Solutions) έκαναν μια επίδειξη του πώς είναι δυνατό:
• Να απενεργοποιηθεί (σβήσει) από μακριά μια εμφυτευμένη αντλία ινσουλίνης για διαβητικούς,
• Να παραβιασθεί ένας βηματοδότης καρδιάς και να εισαχθεί κακόβουλο λογισμικό,
που μπορεί να περιέχει δυνητικά θανατηφόρες εντολές για τον καρδιοπαθή !
Απειλές Ασφάλειας
Στις τυπικές απειλές ασφάλειας σε ένα περιβάλλον διαδικτύου, συμπεριλαμβάνονται:
- Βλάβες συστατικών μερών (component failure): Σχεδιαστικά λάθη ή ελαττωματικά μέρη
υλικού/λογισμικού, είναι ικανά να προκαλέσουν δυσλειτουργία σε κάποιο συστατικό του
συστήματος και να οδηγήσουν έτσι σε άρνηση εξυπηρέτησης ή άλλες καταστάσεις επικίνδυνες για
την ασφάλεια.
- Παρουσίαση πληροφοριών (information browsing): Η αποκάλυψη ευαίσθητων πληροφοριών σε
μη-εξουσιοδοτημένους χρήστες, είτε είναι εισβολείς είτε είναι νόμιμοι χρήστες που επιχειρούν
παράνομους τρόπους προσπέλασης, οδηγεί στην απώλεια εμπιστευτικότητας και μπορεί να
προκληθεί από την εκμετάλλευση διάφορων μηχανισμών.
- Μη-εξουσιοδοτημένη διαγραφή, μεταβολή ή εισαγωγή πληροφοριών: Η εκούσια ή και ακούσια
πρόκληση ζημιών στα πληροφοριακά αγαθά (information assets) οδηγεί στην απώλεια
ακεραιότητας για τις λειτουργίες/δεδομένα οργανισμών και χρηστών.
- Κατάχρηση (misuse): Η χρήση των πληροφοριακών αγαθών αλλά και των υπόλοιπων πόρων για
σκοπούς διαφορετικούς από αυτούς που έχουν προκαθορισθεί, προκαλεί άρνηση εξυπηρέτησης,
αύξηση κόστους λειτουργίας των συστημάτων και δυσφήμιση.
Είδη Επιθέσεων
Σε γενικές γραμμές τα πρωτόκολλα του Internet, δίνουν τη δυνατότητα σε ένα τρίτο μέρος να
παρέμβει με τους ακόλουθους τρόπους στην επικοινωνία δυο νόμιμων μερών:
Μπορουμε ακομα να διακρίνουμε δυο βασικα επιπεδα ασφαλειας κατά την μεταδοση μεσω
δικτυων (Ιντερνετ): την ΠΕΡΙΜΕΤΡΙΚΗ ΠΡΟΣΤΑΣΙΑ (Border Defence), και την ΑΜΕΣΗ
ΚΥΡΙΑ) ΠΡΟΣΤΑΣΙΑ.
Κάθε ένα από αυτά περιλαμβανει:
Κρυπτογραφια
Εισαγωγή
Η προοπτική να χρησιμοποιηθεί το Internet ως μέσο για τις ηλεκτρονικές εμπορικές συναλλαγές και
την γενικότερη ανθρώπινη επικοινωνία οδήγησε στη τεράστια ανάπτυξη του δικτύου που
παρακολουθούμε τα τελευταία χρόνια. Ο ορισμός μηχανισμών ασφάλειας για τις πληροφορίες που
διακινούνται, δεν προβλέφθηκε από τους σχεδιαστές του, αφού σχεδιάστηκε για
ενδοπανεπιστημιακή επικοινωνία και ήταν αδύνατο να εικάσουν τη παγκόσμια διάδοσή του.
Η διαδεδομένη χρήση του διαδικτύου σε εφαρμογές που περιλαμβάνουν επικοινωνίες ευαίσθητων
δεδομένων εισάγει την ανάγκη για λύσεις στα προβλήματα ασφάλειας που υπάρχουν. Μια καλά
σχεδιασμένη λύση αποτελεί η εκτεταμένη χρήση της κρυπτογραφίας δημοσίου κλειδιού που
επιτρέπει στις διακινούμενες πληροφορίες:
• Κρυπτογράφηση (Encryption) και αποκρυπτογράφηση (decryption).
• Ανίχνευση αλλοιώσεων (Tamper detection).
• Αυθεντικοποίηση (Authentication) του αποστολέα.
• Αδυναμία απάρνησης (Nonrepudiation) του αποστολέα.
Για την αντιμετώπιση αυτών των προβλημάτων, αναπτύχθηκε τη τεχνολογία των Υποδομών
Δημοσίου Κλειδιού – ΥΔΚ (Public Key Infrastructure – PKI). Η ΥΔΚ αποτελεί μια υποδομή ασφάλειας
που ενσωματώνει τεχνολογίες όπως η κρυπτογράφηση δημοσίου κλειδιού, ψηφιακά πιστοποιητικά
και ψηφιακές υπογραφές, ώστε να διασφαλίσει την εμπιστευτικότητα και ακεραιότητα των
διακινούμενων δεδομένων, αλλά και την ταυτοποίηση και την ιδιότητα της μη απάρνησης για τα
συναλλασσόμενα μέρη. Η ανάπτυξη μιας ΥΔΚ βασίζεται στην κρυπτογράφηση δημοσίου κλειδιού
(Public Key Cryptography – PKC).
Ορισμοί
Ο όρος κρυπτογραφία (cryptography) προέρχεται από τις λέξεις 'κρυπτός' και 'γράφος'. Σημαίνει τον
επιστημονικό κλάδο που ασχολείται με την χρήση και ανάπτυξη τεχνικών κρυπτογράφησης και
αποκρυπτογράφησης μηνυμάτων.
Βάση της ασφαλούς διακίνησης των πληροφοριών σε ένα δίκτυο είναι η αξιοποίηση της
κρυπτογραφίας. Κρυπτογράφηση (encryption) είναι η διαδικασία μετατροπής ενός απλού κειμένου
σε ένα μη αναγνώσιμο από τρίτους (εκτός του παραλήπτη) κείμενο. Αποκρυπτογράφηση (decryption)
είναι η επαναφορά του κρυπτογραφημένου κειμένου στην αρχική του αναγνώσιμη μορφή.
Η κρυπτογραφία είναι μια διαδικασία που μπορεί να προστατέψει τις συναλλαγές σε ένα ανοικτό
δίκτυο όπως είναι το Internet. Τα δεδομένα κρυπτογραφούνται και το παραγόμενο μήνυμα
(ciphertext) αποστέλλεται στον παραλήπτη και αποκρυπτογραφείται για να αναπαραχθεί το αρχικό
κείμενο (plaintext). Αυτοί οι μετασχηματισμοί αναπαρίστανται ως εξής:
- Ciphertext = Encrypt[key](Plaintext)
- Plaintext = Decrypt[key](Ciphertext)
Η κρυπτογράφηση και αποκρυπτογράφηση ενός μηνύματος γίνεται με τη βοήθεια ενός αλγόριθμου
κρυπτογράφησης και ενός κλειδιού κρυπτογράφησης. Κρυπτογραφικός αλγόριθμος (cipher) είναι η
μαθηματική συνάρτηση που χρησιμοποιείται για την κρυπτογράφηση / αποκρυπτογράφηση, άλλοτε
ίδια και άλλοτε διαφορετική. Αλλά, η δυνατότητα διατήρησης της μυστικότητας των πληροφοριών
βασίζεται περισσότερο σε έναν αριθμό που ονομάζεται κλειδί (key) και χρησιμοποιείται μαζί με τον
αλγόριθμο κρυπτογράφησης / αποκρυπτογράφησης, παρά στον αλγόριθμο μόνο του.
Η ανθεκτικότητα της κρυπτογράφησης εξαρτάται περισσότερο από το μέγεθος των κλειδιών που
χρησιμοποιούνται παρά από τους αλγόριθμους. Το μέγεθος των κλειδιών μετριέται σε bits. Γενικά,
κλειδιά μεγάλου μεγέθους παρέχουν ανθεκτικότερη κρυπτογράφηση. Π.χ. η κρυπτογράφηση128-bit
RC4 είναι 3078 φορές ανθεκτικότερη από την 40-bit RC4.
Διαφορετικοί αλγόριθμοι απαιτούν διαφορετικά μήκη κλειδιών για να πετύχουν το ίδιο επίπεδο
ανθεκτικότητας κρυπτογράφησης. Για παράδειγμα, ένας αλγόριθμος συμμετρικής κρυπτογράφησης
με κλειδί μεγέθους 128 bits παρέχει ανθεκτικότερη κρυπτογράφηση από τον αλγόριθμο
κρυπτογράφησης δημοσίου κλειδιού RSA με ίδιο μέγεθος κλειδιού. Για αυτό πρέπει να
χρησιμοποιείται κλειδί μεγέθους τουλάχιστον 512 bits προκειμένου η κρυπτογράφηση RSA να
θεωρείται ανθεκτική, ενώ οι συμμετρικοί αλγόριθμοι πετυχαίνουν περίπου το ίδιο επίπεδο
ανθεκτικότητας με κλειδί μεγέθους 64 bits. Όμως ακόμη και αυτά τα επίπεδα ανθεκτικότητας ίσως
αποδειχθούν ευπαθή σε επιθέσεις στο κοντινό μέλλον.
Τρόποι κρυπτογράφησης άρχισαν να αναπτύσσονται από παλιά και συνεχώς εξελίσσονται και
αλλάζουν όσο οι ηλεκτρονικοί υπολογιστές γίνονται ισχυρότεροι και ταχύτεροι. Η προσπάθεια να
'σπάσει' μια συγκεκριμένη κρυπτογραφική τεχνική ονομάζεται κρυπτανάλυση (cryptanalysis). Έχει
ειπωθεί ότι όλα τα κρυπτογραφημένα μηνύματα μπορούν να σπάσουν, αν δοθεί αρκετός χρόνος σε
έναν ηλεκτρονικό υπολογιστή που θα δοκιμάσει όλους τους πιθανούς συνδυασμούς. Αν όμως ο
χρόνος αυτός είναι τόσο μεγάλος (π.χ. 1.014 χρόνια για συμμετρική κρυπτογράφηση με κλειδί 128-
bit), τότε το 'σπάσιμο' του κρυπτογραφημένου μηνύματος θα έχει πιθανότατα ελάχιστη σημασία.
Όσο οι ηλεκτρονικοί υπολογιστές γίνονται ισχυρότεροι και ταχύτεροι, τόσο τα κλειδιά γίνονται
μεγαλύτερα και οι αλγόριθμοι κρυπτογράφησης πολυπλοκότεροι.
Το αντικείμενο της κρυπτολογίας καλύπτει και την κρυπτογραφία και την κρυπτανάλυση.
Κρυπτογραφικοί Αλγόριθμοι
Οι αλγόριθμοι συμμετρικής κρυπτογραφίας βασίζονται στην ύπαρξη ενός μόνο μυστικού κλειδιού
που είναι γνωστό μόνο στα συναλλασσόμενα μέρη. Αυτό το κλειδί χρησιμοποιείται τόσο για τη
κρυπτογράφηση όσο και για την αποκρυπτογράφηση του μηνύματος.
Κρυπτογράφηση Αποκρυπτογράφηση
Παρόλο που η συμμετρική κρυπτογράφηση εγγυάται την εμπιστευτικότητα, δεν μπορεί να εγγυηθεί
για το πώς θα γίνει η ανταλλαγή του κλειδιού. Για να είναι ασφαλής η επικοινωνία θα πρέπει με
κάποιο ασφαλή τρόπο να γίνει η ανταλλαγή του μυστικού κλειδιού. Όταν ο αποστολέας και ο
παραλήπτης δεν γνωρίζονται, όπως συμβαίνει στις περισσότερες ηλεκτρονικές συναλλαγές, θα
πρέπει να υπάρχει ένα ασφαλές κανάλι επικοινωνίας για τη μεταφορά του κλειδιού. Συστήματα που
επιτρέπουν την ασφαλή ανταλλαγή κλειδιών μέσα από δημόσια δίκτυα έχουν αναπτυχθεί και
χρησιμοποιούνται, με πιο διαδεδομένο το σύστημα Kerberos που έχει αναπτυχθεί στο MIT.
Ένα ακόμη σημαντικό πρόβλημα αφορά την ταυτοποίηση (authenticity) μεταξύ του αποστολέα και
του παραλήπτη. Το πρόβλημα της ταυτοποίησης έγκειται στο ότι πολλοί άνθρωποι μπορεί να έχουν
πρόσβαση στο κοινό κλειδί. Όταν κάποιος από αυτούς λάβει ένα κρυπτογραφημένο μήνυμα, ξέρει
ότι ήρθε από κάποιον από αυτούς όμως δεν μπορεί να αποδείξει ποιος πραγματικά του έστειλε το
μήνυμα. Άρα χρειάζεται ένα τρόπος ώστε να μπορεί με μοναδικό τρόπο να ταυτοποιήσει τον
αποστολέα. Αυτό το πρόβλημα μπορεί να το λύσει η κρυπτογραφία δημόσιου κλειδιού που θα
συζητηθεί παρακάτω.
Οι πιο γνωστοί αλγόριθμοι συμμετρικής κρυπτογραφίας είναι οι DES, Triple-DES, IDEA, RC2 και RC4:
- Ο αλγόριθμος DES (Data Encryption Standard) αναπτύχθηκε από την IBM το 1970 και υιοθετήθηκε
από τη κυβέρνηση των ΗΠΑ το 1977. Χρησιμοποιεί ένα 56-bit κλειδί τόσο για τη κρυπτογράφηση
όσο και για την αποκρυπτογράφηση. Σαν είσοδο παίρνει ένα 64-bit κείμενο και παράγει ένα 64-
bit κρυπτογραφημένο κείμενο. Χρησιμοποιείται κυρίως στις εμπορικές εφαρμογές.
- Ο Triple-DES (3DES) αλγόριθμος εκτελεί τρεις φορές την κρυπτογράφηση ή την
αποκρυπτογράφηση του DES με αποτέλεσμα να κάνει καλύτερη κρυπτογράφηση από το κλασικό
DES. Το αρχικό κείμενο κρυπτογραφείται με τη χρήση ενός κλειδιού, στη συνέχεια
αποκρυπτογραφείται με τη χρήση ενός δεύτερου και μετά κρυπτογραφείται με ένα τρίτο στον
αποστολέα. Το αποτέλεσμα στέλνεται στο παραλήπτη που ακολουθεί την αντίστροφη
διαδικασία. Πρώτα, αποκρυπτογραφεί με χρήση του τρίτου κλειδιού, στη συνέχεια κρυπτογραφεί
με το δεύτερο και τέλος αποκρυπτογραφεί με το πρώτο.
Η Κρυπτογράφηση με τον αλγοριθμο DES:
• Γίνεται σε 16 επαναλήψεις.
• Από το κλειδί εισόδου K δημιουργούνται 16 48-bit κλειδιά
(ένα για την κάθε επανάληψη, βάσει κάποιων αντιμεταθέσεων).
• Η διαδικασία αρχίζει με μια αντιμετάθεση (κρυπτογράφηση) του κειμένου των 64-bit.
• Το αποτέλεσμα διασπάται σε δύο 32-bit μπλοκς (L0 και R0)
• Αυτό επαναλαμβάνεται 16 φορές
o Οι 16 επαναλήψεις είναι λειτουργικά ταυτόσημες
o σε κάθε επαναληψη οι 32-bit είσοδοι Li-1 και Ri-1 της προηγούμενης επανάληψης
παράγει 32-bit εξόδους Li και Ri ως εξής:
Li = Ri-1;
Ri = Li-1 f(Ri-1, Ki)
o Η συνάρτηση f είναι μια σειρά από αντικαταστάσεις (βάσει κάποιων κουτιών
αντικατάστασης ή S-boxes),
και μια αντιμετάθεση.
o Τα 8 S-boxes αποτελούν την καρδιά της ασφάλειας του DES.
• Ο αλγόριθμος τελειώνει με μια αντιμετάθεση που είναι ακριβώς αντίθετη από την αρχική.
• Η αποκρυπτογράφηση του DES γίνεται με τον ίδιο ακριβώς τρόπο όπως και η
κρυπτογράφηση,
μόνο που τα 16 κλειδιά χρησιμοποιούνται αντίστροφα (από το Κ16 στο Κ1).
- Ο αλγόριθμος IDEA (International Data Encryption Algorithm) αναπτύχθηκε από το Swiss Federal
Institute of Technology το 1991. Χρησιμοποιεί κλειδιά των 128-bit και άρα παρέχει καλύτερη
κρυπτογράφηση από τον DES.
- Οι RC2 και RC4 αναπτύχθηκαν από το Ron Rivest της εταιρίας RSA Security. Βασικό
χαρακτηριστικό τους είναι ότι υποστηρίζουν κλειδιά μεταβλητού μεγέθους. Αν το μέγεθος του
κλειδιού είναι μεγαλύτερο από 56-bit είναι ασφαλέστεροι από τον DES.
Το βασικό πλεονέκτημα των συμμετρικών αλγορίθμων είναι ότι οι χρήστες δεν καταλαβαίνουν
κάποια σημαντική χρονική καθυστέρηση λόγω της κρυπτογράφησης / αποκρυπτογράφησης. Αρκεί να
διατηρείται μυστικό το κλειδί κρυπτογράφησης.
Η διαδικασία κρυπτογράφησης με τη χρήση του ζεύγους των κλειδιών μπορεί να γίνει με τρεις
τρόπους:
1) Ο αποστολέας μπορεί να χρησιμοποιήσει το ιδιωτικό κλειδί του για τη κρυπτογράφηση της
πληροφορίας. Ο παραλήπτης που έχει ήδη διαθέσιμο το δημόσιο κλειδί του αποστολέα μπορεί
να αποκρυπτογραφήσει το μήνυμα. Με αυτό τον τρόπο μπορεί ο παραλήπτης να είναι σίγουρος
για τη ταυτότητα του αποστολέα (authentication), αφού μόνο εκείνος γνωρίζει το ιδιωτικό κλειδί
που χρησιμοποιήθηκε. Παρόλα αυτά, δεν μπορεί να είναι σίγουρος για την εμπιστευτικότητα
(confidentiality) των δεδομένων, γιατί οποιοσδήποτε θα μπορούσε να χρησιμοποιήσει το δημόσιο
κλειδί του αποστολέα και να αποκρυπτογραφήσει το μήνυμα.
Αποστολέας Παραλήπτης
Μήνυμα Μήνυμα
Ιδιωτικό κλειδί
αποστολέα Δημόσιο κλειδί
αποστολέα
Κρυπτογραφημένο Κρυπτογραφημένο
Μήνυμα Μήνυμα
2) Εάν ο αποστολέας χρησιμοποιήσει το δημόσιο κλειδί του παραλήπτη για τη κρυπτογράφηση τότε
μόνο ο παραλήπτης με το ιδιωτικό κλειδί του μπορεί να αποκρυπτογραφήσει το μήνυμα. Αυτή η
διαδικασία εξασφαλίζει την εμπιστευτικότητα της πληροφορίας όμως δεν μπορεί να αποκαλύψει
τη ταυτότητα του αποστολέα αφού οποιοσδήποτε θα μπορούσε να έχει το δημόσιο κλειδί που
έκανε τη κρυπτογράφηση.
Αποστολέας Παραλήπτης
Μήνυμα Μήνυμα
Κρυπτογραφημένο Κρυπτογραφημένο
Μήνυμα Μήνυμα
3) Όταν οι δύο παραπάνω μέθοδοι συνδυαστούν μπορεί να επιτευχθεί τόσο η εμπιστευτικότητα της
πληροφορίας όσο και η ταυτοποίηση των εμπλεκόμενων μερών. Σύμφωνα με αυτή τη
προσέγγιση, ο αποστολέας μπορεί να κρυπτογραφήσει τα δεδομένα πρώτα με το ιδιωτικό του
κλειδί και στη συνέχεια με το δημόσιο κλειδί του παραλήπτη. Όταν ο παραλήπτης λάβει το
μήνυμα χρησιμοποιεί το ιδιωτικό του κλειδί για να το αποκρυπτογραφήσει (εμπιστευτικότητα) και
στη συνέχεια αποκρυπτογραφεί το αποτέλεσμα με το δημόσιο κλειδί του αποστολέα
(ταυτοποίηση).
Ποιο συγκεκριμενα, στην περιπτωση αυτή:
Ο αποστολέας κρυπτογραφει τα δεδομένα:
• πρώτα με το ιδιωτικό του κλειδί,
και στη συνέχεια
• με το δημόσιο κλειδί του παραλήπτη.
Όταν ο παραλήπτης λάβει το μήνυμα:
• χρησιμοποιεί το ιδιωτικό του κλειδί για να το αποκρυπτογραφήσει (εμπιστευτικότητα),
και στη συνέχεια
• αποκρυπτογραφεί το αποτέλεσμα με το δημόσιο κλειδί του αποστολέα (ταυτοποίηση).
Εναλλακτικα, μπορει να εφαρμοσει και την παρακατω διαδικασια που ειδαμε και σε προηγουμενη
ενοτητα:
Ο αποστολέας κρυπτογραφει τα δεδομένα:
- πρώτα με το ιδιωτικό του κλειδί, και στη συνέχεια
- με το δημόσιο κλειδί του παραλήπτη.
Όταν ο παραλήπτης λάβει το μήνυμα:
- χρησιμοποιεί το ιδιωτικό του κλειδί για να το αποκρυπτογραφήσει (εμπιστευτικότητα), και
στη συνέχεια
- αποκρυπτογραφεί το αποτέλεσμα με το δημόσιο κλειδί του αποστολέα (ταυτοποίηση).
-
Ψηφιακές Υπογραφές
Η Ψηφιακή (ή ηλεκτρονικη) υπογραφή είναι μια ακομα τεχνική/τεχνολογια που βασιζεται στην μη
συμμετρικη κρυπτογραφια και χρησιμοποιείται για την απόδειξη της γνησιότητας ενός ψηφιακού
μηνύματος ή εγγράφου.
Μια έγκυρη ψηφιακή υπογραφή δίνει στον παραλήπτη την πιστοποίηση ότι το μήνυμα που
δημιουργήθηκε ανήκει στον αποστολέα που το υπέγραψε ψηφιακά και ότι δεν αλλοιώθηκε-
παραποιήθηκε κατά την μεταφορά. Οι ψηφιακές υπογραφές χρησιμοποιούν συνδυασμό μιας
κρυπτογραφικής συνάρτησης κατατεμαχισμού (hash function) για δημιουργία της σύνοψης (hash) σε
συνδυασμό με ασυμμετρική κρυπτογραφία για κρυπτογράφηση/αποκρυπτογράφηση σύνοψης (ο
συνδυασμός σύνοψης και κρυπτογράφησης με ασυμμετρική κρυπτογραφία αποδεικνύει την
ακεραιότητας του εγγράφου αλλά και την απόδειξη ταυτότητας του αποστολέα).
Στις Ηλεκτρονικες Υπογραφες χρησιμοποιείται μια μαθηματική συνάρτηση που ονομάζεται
μονόδρομος τεμαχισμός (one-way hash) ή συνόψιση μηνύματος (message digest). Το αποτέλεσμα της
εφαρμογής της μονόδρομου τεμαχισμού σε ένα μήνυμα είναι ένας αριθμός σταθερού μήκους με τα
ακόλουθα χαρακτηριστικά:
• Ο αριθμός είναι μοναδικός για κάθε μήνυμα. Για κάθε παραμικρή αλλαγή του μηνύματος
προκύπτει διαφορετικός αριθμός.
• Το περιεχόμενο του μηνύματος δεν μπορεί να εξαχθεί από τον αριθμό του τεμαχισμού και γι αυτό
ονομάζεται «μονόδρομος».
Η χρησιμοποίηση του προσωπικού κλειδιού του αποστολέα για κρυπτογράφηση και του δημοσίου
κλειδιού του για αποκρυπτογράφηση έχει την έννοια της εισαγωγής της υπογραφής του σε κάθε
μήνυμα που στέλνει. Έτσι, δημιουργείται ένας μονόδρομος τεμαχισμός του μηνύματος, ο οποίος
κρυπτογραφείται με το προσωπικό κλειδί του. Ο κρυπτογραφημένος τεμαχισμός και η πληροφορία
για τον αλγόριθμο τεμαχισμού αποτελούν αυτό που ονομάζεται ψηφιακή υπογραφή (digital
signature).
Στη μεριά του παραλήπτη, αποκρυπτογραφείται η ψηφιακή υπογραφή με το δημόσιο κλειδί του
αποστολέα. Με βάση τον αλγόριθμο τεμαχισμού επανυπολογίζεται ο τεμαχισμός του. Κατόπιν,
συγκρίνονται οι δύο τεμαχισμοί και αν δεν είναι ίδιοι τότε είτε έχει αλλαχθεί το μήνυμα είτε η
ψηφιακή υπογραφή δεν αντιστοιχεί στο δημόσιο κλειδί του αποστολέα. Αν είναι ίδιοι τότε ο
παραλήπτης είναι βέβαιος ότι το δημόσιο αντιστοιχεί με το προσωπικό κλειδί που χρησιμοποιήθηκε
για τη δημιουργία της ψηφιακής υπογραφής.
Στο παρακατω σχημα περιγράφονται όλα τα βήματα της διαδικασίας, που θα εξηγήσουμε στη
συνέχεια:
secure hash
Στο παρακατω σχημα φαινεται τελος ένα παραδειγμα λειτουργίας μιας Hash Function. Πιο
συγκεκριμενα φαινεται πως μια μικρη αλλαγη σε ένα στοιχειο (στην συγκεκριμενη περιπτωση της
λεξης ‘over’, αλλαζει ριζικα τις τιμες της συναρτησης .
Hash
Function
υπολόγισε ο ίδιος με την σύνοψη που αποκρυπτογράφησε από την ψηφιακή υπογραφή. Αν οι
συνόψεις είναι ίδιες, ο Bob γνωρίζει ότι το αρχικό μήνυμα δεν έχει αλλοιωθεί. Αν θέλει να
βεβαιωθεί ότι το δημόσιο κλειδί που χρησιμοποίησε ανήκει πραγματικά στην Alice θα διαβάσει το
ψηφιακό πιστοποιητικό της Alice.
Η αποτελεσματικότητα ενός τέτοιου αλγόριθμου εξαρτάται από μέγεθος του message digest.
Συνήθως είναι 128 ή 160 bits. Οι πιο γνωστοί αλγόριθμοι είναι οι MD2, MD4 και MD5 που
σχεδιάστηκαν από τον R. Rivest και δημιουργούν message digest μεγέθους 128 bits. Το 1993
δημοσιεύθηκε ο Secure Hash Algorithm (SHA) από το NIST που δημιουργεί ένα 160-bit message
digest.
Η ψηφιακή υπογραφή συνήθως χρησιμοποιείται για την προσπέλαση, συμπλήρωση και «υπογραφή»
κειμένων και φορμών on-line καταχώρησης στοιχείων, αδειών και συμφωνιών.
Όμως αυτό δεν είναι αρκετό για να διασφαλισθεί η κυριότητα ενός δημοσίου κλειδιού από ένα
πρόσωπο ή οργανισμό. Για το σκοπό αυτό χρησιμοποιούνται τα ηλεκτρονικά πιστοποιητικά, στα
οποία αναφερόμαστε εκτενέστερα σε επόμενο κεφάλαιο.
Η Τεχνολογία blockchain
Τι Ειναι Το Blockchain
Το blockchain είναι ουσιαστικά μία σειρά καταχωρίσεων που αφορούν συναλλαγές, σε ένα δημόσιο
κατάστιχο (on-line βιβλίο) συναλλαγων (ledger), που έχει σχεδιαστεί ούτως ωστε να ειναι
αδιαπέραστο απὀ τους hacker.
Παρόλο που χρησιμοποιείται κυρίως σαν τρόπος παρακολούθησης και επαλήθευσης των
νομισματικών συναλλαγών, (bitcoin, κλπ) μπορεί επίσης να εντοπίζει και να ελέγχει σχεδόν
οποιοδήποτε είδος δεδομένων, καθιστώντας το ετσι μια απίστευτα ασφαλή πλατφόρμα που έχει τη
δυνατότητα να αλλάξει ολόκληρο το διαδίκτυο.
Και το πιο σημαντικό είναι πως πέρα από τη χρήση του στα κρυπτονομίσματα (bitcoin, κλπ), σχεδόν
ολοι οι αναλυτές εκτιμούν πως το blockchain θα φέρει δραστικές αλλαγές σε πολλούς κλάδους της
οικονομίας, συμπεριλαμβανομένου και του χρηματοπιστωτικού.
Το blockchain είναι συνεπως ουσιαστικά μία σειρά καταχωρίσεων που αφορούν συναλλαγές, σε ένα
δημόσιο κατάστιχο (on-line βιβλίο) συναλλαγων (ledger).
Τα blocks αυτά συνδέονται μονοσήμαντα μεταξύ τους. Προκύπτουν δε μέσα από μια διαδικασία που
ονομάζουμε «proof of work», κατά την οποία επιτυγχάνεται η αλγοριθμική επίλυση ενός
«δύσκολου» υπολογιστικού προβλήματος.
Με αυτό τον τρόπο, το blockchain λειτουργεί σαν ένα αποκεντρωμένο (decentralized) λογιστικό
καθολικό βιβλίο, που είναι κοινό για όλους τους συμμετέχοντες, μιας και όλοι οι εμπλεκόμενοι
αποθηκεύουν ένα αντίγραφό του· κάτι που εξασφαλίζει την ασφάλεια και η διαφάνεια των
συναλλαγών.
Η μεγάλη διαφορά -αναφορικά με την προστασία- προκύπτει από το γεγονός ότι δεν είναι πλέον
απαραίτητη η ύπαρξη μιας ενδιάμεσης «έμπιστης» αρχής (πχ. μιας τράπεζας), ενώ η εμπιστοσύνη
των συναλλασσομένων μερών βασίζεται σε αλγοριθμική επιβεβαίωση.
Η δημόσια πρόσβαση στο blockchain διευκολύνει σημαντικα τη διαφάνεια και ασφαλεια στις
συναλλαγές και τη διάχυση της πληροφορίας.
Διευκολύνεται ακομα η ελεγκτική διαδικασία με την εξάλειψη κάθε ενδεχομένου παραβάσεων, λογω
της δημόσιας φύσης των δεδομένων.
Ταυτόχρονα, εκλείπει και η ανάγκη για ενδιάμεσα μέρη (trusted third parties) που αυξάνουν τα
κόστη, αφού όλες οι πληροφορίες που αφορούν στη συναλλαγή βρίσκονται κρυπτογραφημένες μέσα
στο ίδιο το blockchain.
Περα από τα κρυπτονομισματα και τις τράπεζες, υπάρχουν και πολλες άλλες υπηρεσίες και λύσεις
στον χρηματοπιστωτικό κλάδο που μπορούν να γίνουν καλύτερες και πιο ασφαλείς με τη χρήση του
blockchain.
Για να καταλάβουμε τι είναι και πως λειτουργεί το Blockchain, ίσως είναι καλύτερα να αρχίσουμε με
ένα απλό παράδειγμα από τον σκοπό τον οποίον εξυπηρετεί.
Ας υποθέσουμε ότι έχουμε έναν φανταστικό φίλο, τον Μήτσο. Ο Μήτσος αποφασίζει να κάνει ένα
μεγάλο ταξίδι, και μετά από μερικές μέρες μας τηλεφωνεί για να μας πει ότι έχει ξεμείνει από
χρήματα.
Σαν καλοί άνθρωποι, τον διαβεβαιώνουμε ότι θα τον βοηθήσουμε εμείς, και θα του στείλουμε €500.
Τι κάνουμε μετά?
Θα πάμε στην τράπεζα όπου έχουμε τις καταθέσεις μας, και θα ζητήσουμε από τον υπάλληλο να
μεταφέρει ένα πεντακοσάρικο από τον λογαριασμό μας στον λογαριασμό του φτωχού Μήτσου.
Ο υπάλληλος θα δει από τα κατάστιχά του ότι όντως υπάρχουν αρκετά λεφτά στον λογαριασμό μας,
και θα πραγματοποιήσει μια νέα εγγραφή στο Μητρώο Συναλλαγών.
Μόλις συμβεί αυτό, παίρνουμε τον Μήτσο να τον ειδοποιήσουμε ότι του μεταφέραμε λεφτά. Πλέον,
μπορεί να πάει στην τράπεζά του και να κάνει ανάληψη των €500 που του αποστείλαμε.
Από τα παραπάνω καταλαβαίνουμε ότι, τόσο εμείς όσο και ο φίλος Μήτσος, εμπιστευτήκαμε έναν
τρίτο, δηλαδή την τράπεζα, για να διαχειριστεί τα χρήματά μας.
Δεν υλοποιήθηκε κάποια πραγματική κίνηση φυσικού λογαριασμού ή φυσικών χρημάτων. Το μόνο
που χρειάστηκε ήταν μια εγγραφή στο Μητρώο. Εγγραφή μάλιστα πάνω στην οποία δεν έχουμε
έλεγχο ούτε εμείς, ούτε ο Μήτσος.
Αυτό ακριβώς είναι και το πρόβλημα των συστημάτων που ίσχυαν μέχρι σήμερα γύρω από τη
διαχείριση χρημάτων: Για πολλά χρόνια, εξαρτώμαστε από κάποιον μεσάζοντα για να
εξασφαλίσουμε εμπιστοσύνη στις συναλλαγές μας.
Προφανώς γιατί οι μεσάζοντες αυτοί θα είναι περιορισμένοι σε αριθμό, καθιστώντας μας βαθιά
εξαρτημένους από αυτούς. Δεν θα μπορούσε ίσως να υπάρξει ένα σύστημα με το οποίο να μπορούμε
και πάλι να μεταφέρουμε χρήματα, χωρίς τη διαμεσολάβηση μιας τράπεζας?
Τι σημαίνει τελικά η μεταφορά χρημάτων? Είδαμε ότι πρόκειται απλώς για άλλη μια εγγραφή στο
Μητρώο.
Ίσως λοιπόν το ερώτημα που πρέπει να απαντηθεί είναι εάν υπάρχει τρόπος να τηρούμε από μόνοι
μας αυτό το Μητρώο συναλλαγών, χωρίς την ανάγκη να το τηρεί για εμάς κάποιος τρίτος.
Το Blockchain είναι ουσιαστικά μια μέθοδος που αποσκοπεί στο να τηρείται αυτό το μητρώο από τον
ίδιο τον κόσμο που συναλλάσσεται.
Η μέθοδος απαιτεί την ύπαρξη αρκετών ανθρώπων που δεν θέλουν να εξαρτώνται από τρίτους.
Μόνο τότε η ομάδα αυτή μπορεί να τηρεί ένα αντίστοιχο Μητρώο από μόνη της.
Ο ελάχιστος απαιτούμενος αριθμός για μια τέτοια ομάδα είναι τουλάχιστον τρεις. Ας δούμε όμως ένα
παράδειγμα των δέκα ατόμων.
Και οι δέκα θέλουν να ξεφορτωθούν τις τράπεζες ή οποιονδήποτε μεσολαβητή διαχειρίζεται τις
συναλλαγές τους. Με μια αμοιβαία συμφωνία, έχουν λεπτομέρειες των λογαριασμών των υπολοίπων
προσώπων κάθε στιγμή, χωρίς να γνωρίζουν την ταυτότητά τους.
Όσο προχωράμε, και οι δέκα θα προσθέτουν σελίδες στους αρχικά άδειους φακέλους τους. Αυτή η
συλλογή σελίδων θα αποτελέσει το μητρώο που παρακολουθεί τις διάφορες συναλλαγές.
Στη συνέχεια, όλα τα άτομα του δικτύου κάθονται με μια λευκή σελίδα και ένα στυλό, και είναι
έτοιμοι να καταγράψουν οποιαδήποτε συναλλαγή συμβεί στο σύστημα.
Για να κάνει την συναλλαγή, ο #2 ειδοποιεί όλους τους υπόλοιπους να σημειώσουν ότι θέλει να
μεταφέρει 5€ στον #9.
Τώρα τσεκάρουν όλοι αν έχει αρκετό υπόλοιπο ο #2 για να κάνει τη μεταφορά. Αν έχει, σημειώνουν
όλοι τη συναλλαγή στη λευκή τους σελίδα.
Συνέχιση συναλλαγών
Όσο κυλάει ο χρόνος, πιο πολλοί άνθρωποι στο δίκτυο νιώθουν την ανάγκη να μεταφέρουν χρήματα
σε άλλους.
Μόλις γεμίσει η σελίδα, την αποθηκεύουμε, τη βάζουμε στον φάκελο, βγάζουμε μια καινούργια, και
η διαδικασία συνεχίζεται.
Αποθήκευση σελίδας
Πριν η σελίδα που μόλις γέμισε μπει στον φάκελο, θα σφραγιστεί με ένα μοναδικό κλειδί, με το
οποίο όλοι στο δίκτυο συμφωνούν.
Σφραγίζοντας τη σελίδα, διασφαλίζουμε ότι κανένας δεν μπορεί να την αλλάξει εκ των υστέρων,
άπαξ και τα αντίγραφά της μπουν στους φακέλους και των δέκα ατόμων του δικτύου.
Με το που μπει στον φάκελο, η σελίδα θα μείνει για πάντα στον φάκελο σφραγισμένη. Και επιπλέον,
εφόσον όλοι εμπιστεύονται την σφραγίδα, όλοι εμπιστεύονται και τα περιεχόμενα της σελίδας.
Στο αρχικό παράδειγμα με την τράπεζα - μεσάζοντα, η τράπεζα ήταν αυτή που μας παρείχε τα
εχέγγυα ότι οτιδήποτε έχει γράψει στο Μητρώο, δεν θα αλλάξει ποτέ.
Σε ένα διαμοιρασμένο, αποκεντρωμένο σύστημα όπως αυτό που περιγράφουμε, η σφραγίδα παρέχει
τα εχέγγυα αυτά.
Πριν δούμε πώς σφραγίζεται μια σελίδα, θα πρέπει να μάθουμε πώς λειτουργεί η επισφράγιση
γενικότερα.
Χωρίς να μπούμε σε περιττές λεπτομέρειες, θα πούμε ότι συνάρτηση Hash ονομάζεται κάθε
συνάρτηση που δέχεται ως είσοδο κάποιο δεδομένου τυχαίου μεγέθους, και το μετατρέπει σε έναν
ακέραιο σταθερού μεγέθους. Δηλαδη είναι σαν ένα μηχάνημα, στο οποίο βάζουμε αριστερά μια
είσοδο (δεδομένα) και αυτό μας βγάζει δεξιά κάποιο αποτέλεσμα.
Έτσι, αν βάλουμε τον αριθμό 7 στο μηχάνημα, αυτό θα παράγει δεξιά την (ακαταλαβίστικη) λέξη
“cfpdb”.
Είναι σημαντικό πως η διαδικασία με την οποία έγινε η μετατροπή του αριθμού 7 στη λέξη αυτή είναι
άγνωστη και δεν μπορεί να αντιστραφεί.
Δηλαδή, έχοντας τη λέξη“cfpdb”, δεν μπορούμε να μάθουμε ποιος αριθμός δόθηκε στο μηχάνημα
για να παραχθεί. Όσες φορές και να δώσουμε τον αριθμό 7 όμως, το μηχάνημα θα τον μετατρέψει
στην ίδια λέξη“cfpdb”.
Αν δοκιμάσουμε έναν άλλον αριθμό, πχ το 15, το μηχάνημα θα μας δώσει άλλη μια άκυρη λέξη:
hash(15) = “qymnvc”
Έστω ότι θέλουμε να βρούμε έναν αριθμό, ο οποίος δίνει ως έξοδο μια λέξη που αρχίζει από τρία
μηδενικά.
Αν είμαστε τυχεροί, μετά από μερικές χιλιάδες δοκιμές, θα βρούμε έναν αριθμό που να παράγει μια
τέτοια λέξη.
Αντίθετα, αν θέλουμε να μάθουμε αν, πχ ο αριθμός 986 παράγει μια λέξη που να αρχίζει από τρία
μηδενικά, τα πράγματα είναι πολύ πιο εύκολα. Το μόνο που έχουμε να κάνουμε, είναι να
δοκιμάσουμε σαν είσοδο στο μηχάνημα τον αριθμό, και να δούμε το αποτέλεσμα.
Δηλαδή, αν έχει κανείς έναν αριθμό και μία λέξη, μπορεί εύκολα να ελέγξει αν πρόκειται για έγκυρο
ζευγάρι. Το μόνο που έχουμε να κάνουμε είναι να βάλουμε ως είσοδο τον αριθμό, και να δούμε αν η
λέξη που παρήγαγε το μηχάνημα είναι η ίδια με τη δικιά μας.
Αντίθετα είναι πολύ δύσκολο να έχουμε μια λέξη, και να πρέπει να βρούμε από ποιον αριθμό
προήλθε. Θα πρέπει να εκτελέσουμε άπειρα πειράματα, εισάγοντας κάθε φορά έναν αριθμό και
βλέποντας αν το μηχάνημα έβγαλε τη δικιά μας λέξη.
Αυτή είναι και η πιο σημαντική ιδιότητα των συναρτήσεων Hash. Αν ξέρουμε μία έξοδο, είναι
απίστευτα δύσκολο να υπολογίσουμε την είσοδο. Αν ξέρουμε μια είσοδο και μια έξοδο, είναι πολύ
εύκολο να ελέγξουμε την εγκυρότητά τους.
Πάμε όμως τώρα να δούμε πώς λειτουργεί η συνάρτηση Hash στο Blockchain.
Έστω ότι έχουμε τον αριθμό 98775. Θα πρέπει να ψάξουμε ποιος αριθμός μπορεί να προστεθεί στον
98775 και να βγάλει ως αποτέλεσμα μια λέξη που αρχίζει από τρία μηδενικά.
Πρόκειται για παρόμοια κατάσταση με προηγουμένως, όταν είδαμε ότι ο μόνος τρόπος για να
βρούμε τον αριθμό που αναζητούμε, είναι να δοκιμάσουμε κάθε διαθέσιμο αριθμό στο σύμπαν.
Με τα πολλά, ανακαλύπτουμε ότι ο αριθμός που ψάχναμε είναι ο 24926, ο οποίος, όταν προστεθεί
στον 98775, δίνει λέξη που ικανοποιεί τις προϋποθέσεις μας.
Αν υποθέσουμε λοιπόν, ότι έχουμε μια σελίδα με τον αριθμό 98775, για να την σφραγίσουμε θα την
επισημάνουμε με τον αριθμό 24926.
Αυτός ο αριθμός επισφράγισης είναι το λεγόμενο “Proof Of Work”, ονομασία που υποδηλώνει ότι
καταναλώθηκε προσπάθεια για τον υπολογισμό του αριθμού αυτού.
Οποιοσδήποτε θέλει να ελέγξει αν μια σελίδα έχει τροποποιηθεί, δεν έχει παρά να προσθέσει τα
περιεχόμενα της σελίδας με τον αριθμό σφράγισης, και να τα τροφοδοτήσει στη συνάρτηση Hash.
Για να σφραγίσουμε τη σελίδα μας που περιέχει συναλλαγές του δικτύου, θα χρειαστεί να
υπολογίσουμε έναν αριθμό, ο οποίος όταν επισυναφθεί στη λίστα των συναλλαγών και δοθεί στην
είσοδο της συνάρτησης, δίνει μια λέξη που αρχίζει με τρία μηδενικά.
Σημείωση: Η λέξη με τα τρία μηδενικά είναι παράδειγμα. Στην πραγματικότητα πρόκειται για πιο
πολύπλοκους υπολογισμούς.
Μόλις ο αριθμός αυτός υπολογιστεί, μετά την κατανάλωση χρόνου και ενέργειας, η σελίδα είναι
πλέον σφραγισμένη. Ο αριθμός επιτρέπει στον καθένα να ελέγξει την ακεραιότητα της σελίδας, στην
ενδεχόμενη προσπάθεια κάποιου να αλλάξει τα περιεχόμενά της.
Ας επιστρέψουμε, λοιπόν, εκεί που είχαμε μείνει. Έχουμε γράψει κάμποσες συναλλαγές στη σελίδα,
αυτή έχει γεμίσει, και τα δέκα άτομα του δικτύου έχουν σταματήσει για να υπολογίσουν τον αριθμό
σφράγισης.
Μολις ακούσουν τον αριθμό οι υπόλοιποι, κάνουν έναν έλεγχο εγκυρότητας. Αν ο αριθμός
σφράγισης δίνει το απαιτούμενο αποτέλεσμα, τον τοποθετούν όλοι στη σελίδα τους και τον
αποθηκεύουν στους φακέλους τους.
Αλλά τι γίνεται αν κάποιος άλλος στο δίκτυο (πχ ο #5) δεν βγάζει το σωστό αποτέλεσμα με τον αριθμό
που άκουσε? Τέτοιες περιπτώσεις δεν είναι σπάνιες, αφού πιθανόν ο #5:
Όποιος κι αν είναι ο λόγος, ο #5 έχει μία μόνον επιλογή: να ακυρώσει τη σελίδα του και να την
αντιγράψει σωστή από κάποιον άλλον, ώστε να την βάλει έπειτα στον φάκελό του.
Αν δεν μπει η σελίδα στον φάκελο, ο #5 θα πάψει να καταγράφει συναλλαγές, θα πάψει δηλαδή να
είναι μέρος του δικτύου. Έτσι, ο αριθμός με τον οποίο συμφωνεί η πλειοψηφία, θεωρείται ο
αξιόπιστος αριθμός σφράγισης.
Το δικαίωμα ανταμοιβής
Εφόσον κάποια στιγμή κάποιος θα υπολογίσει τον αριθμό και θα τον ανακοινώσει και στους άλλους,
γιατί να μην χαλαρώσουμε περιμένοντας τον πρώτο που θα τον βρει?
Κάπου εδώ μπαίνουν στο παιχνίδι και τα κίνητρα. Όλοι όσοι είναι μέρος του Blockchain έχουν
δικαίωμα ανταμοιβών.
Ο πρώτος που θα υπολογίσει τον αριθμό σφράγισης, ανταμείβεται με κάποιο χρηματικό ποσό για την
υπολογιστική ισχύ και την ενέργεια που κατανάλωσε.
Αν, ας πούμε ο #7 υπολογίσει τον αριθμό σφράγισης μιας σελίδας, θα λάβει κάποιο ποσό, έστω 1€,
χωρίς να το στερήσει από κάποιον άλλον. Με άλλα λόγια, μόλις παράχθηκε 1€.
Με αυτόν τον τρόπο γεννήθηκε και το Bitcoin. Ήταν το πρώτο νόμισμα που διεκπεραιώθηκε σε
Blockchain, και για να συνεχιστεί η προσπάθεια, ο κόσμος πληρωνόταν σε Bitcoin.
Έτσι γεννήθηκε επίσης και το λεγόμενο “mining”, που επιτρέπει στον οποιονδήποτε να βγάλει λεφτά
χρησιμοποιώντας την ισχύ του επεξεργαστή του (CPU ή GPU).
Όσο περισσότεροι κατέχουν Bitcoin, τόσο αυξάνεται η αξία τους, προσελκύοντας κι άλλους να
αποκτήσουν Bitcoin. Αυτό οδηγεί σε περαιτέρω αύξηση της αξίας τους, κάτι που προσελκύει ακόμα
περισσότερους… και ούτω καθεξής.
Μπορούμε να σκεφτούμε τη μία σελίδα ως ένα Block συναλλαγών, και τον φάκελο ως μια αλυσίδα
(Chain) από σελίδες (Block), δηλαδή ένα Blockchain.
Αν αποφασίσει κάποιος να επιστρέψει 10 σελίδες πίσω, και να αλλάξει κάποια συναλλαγή προς
όφελός του, είδαμε ότι θα τον ανακαλύψουμε μέσω του αριθμού σφράγισης της σελίδας.
Αν όμως τροποποιήσει και τον αριθμό αυτόν και επισημάνει με αυτόν την τροποποιημένη σελίδα?
Για να αποφευχθεί το σενάριο στο οποίο κάποιος πηγαίνει σε προγενέστερο Block (σελίδα) και
μεταβάλει και το Block και τον αριθμό ασφαλείας του, το πρωτόκολλο είναι στην πραγματικότητα
λίγο διαφορετικό.
Είπαμε πριν ότι έχουμε έναν γνωστό αριθμό, τον 98775, που αντιπροσωπεύει τη λίστα των
συναλλαγών μιας σελίδας. Σε αυτόν προσθέταμε έναν ακόμα (αφού τον υπολογίσουμε), τον 24926,
που είναι ο αριθμός με τον όποιον σφραγίσαμε την σελίδα.
Στην πραγματικότητα υπάρχει και ένας τρίτος γνωστός αριθμός στο άθροισμα. Πρόκειται για τον
αποτέλεσμα της συνάρτησης Hash της προηγούμενης σελίδας (Block).
Με αυτό το απλό κόλπο, διασφαλίζεται ότι κάθε Block εξαρτάται από το προηγούμενό του.
Έτσι, αν κάποιος από τους δέκα ήθελε να γυρίσει πίσω και να αλλάξει κάποιο Block του Blockchain
για να κλέψει, θα έπρεπε να αλλάξει επίσης πολλές ακόμα σελίδες και αριθμούς επισφράγισης.
Αυτό επόμενο είναι να απαιτεί τεράστια προσπάθεια από μέρους του κακόβουλου ατόμου.
Αυτός που επιχειρεί να κλέψει, θα πρέπει συνεπώς να δημιουργεί μόνος του τη νέα, ψεύτικη
αλυσίδα. Επομένως, θα καταβάλει δυσανάλογα μεγάλη προσπάθεια για να κατασκευάζει την
αλυσίδα αυτή με την ίδια ταχύτητα που κατασκευάζεται η σωστή από όλη την υπόλοιπη ομάδα.
Επειδή οι καλοί είναι (τουλάχιστον στο παράδειγμά μας) περισσότεροι, η σωστή αλυσίδα θα είναι
πάντοτε η μακρύτερη στο δίκτυο.
Αν τώρα οι αφερέγγυοι τύποι στο παράδειγμά μας είναι έξι (πάνω από τους μισούς), το πρωτόκολλο
θα καταρρεύσει. Το σκηνικό είναι γνωστό ως "51% Attack".
Στην περίπτωση που η πλειοψηφία των ανθρώπων του δικτύου αποφασίσει να κλέψει το υπόλοιπο
δίκτυο, το πρωτόκολλο θα αποτύχει στη βάση του σχεδιασμού του. Η μακρύτερη αλυσίδα δεν θα
είναι η σωστή, αλλά θα είναι τροποποιημένη προς το συμφέρον των κακόβουλων.
Παρότι πρόκειται για μικρής πιθανότητας σενάριο, είναι και ένα από τα λίγα κενά ασφαλείας (αν όχι
το μοναδικό) του Blockchain.
Το Blockchain έχει κατασκευαστεί με την ευγενή υπόθεση ότι η πλειοψηφία σε μια ομάδα ανθρώπων
θα είναι πάντοτε φερέγγυοι.
Πιστευεται σημερα ότι η τεχνολογία blockchain θα προκαλέσει μια θεμελιώδη μεταβολή στον τρόπο
λειτουργίας του διαδικτύου, του τρόπου λειτουργίας των επιχειρήσεων και σχεδόν σε οτιδήποτε
άλλο υπάρχει online. Προφανως λοιπον και τον χωρο της Υγειας.
Τήρηση μητρώων.
Καθώς η τεχνολογία blockchain αποτελεί ουσιαστικά έναν νέο τρόπο καταχώρησης και αποθήκευσης
πληροφοριών με τέτοιο τρόπο ώστε να δημιουργείται μία αλληλένδετη αλυσίδα δεδομένων,
αποτρέποντας διπλές εγγραφές, δόλιες καταχωρήσεις κ.ά, η πιο προφανής εφαρμογή της είναι στην
τήρηση μητρώων, όπως το κτηματολόγιο14, το ληξιαρχείο, μητρώο εταιρειών, φορολογικό μητρώο,
μητρώο δικαιωμάτων βιομηχανικής ιδιοκτησίας (βλ. κατωτέρω) κλπ. Επιπλέον, η τεχνολογία θα
μπορούσε να εφαρμοστεί σε λογιστικές καταχωρήσεις εταιρειών, καθώς μειώνει σημαντικά την
πιθανότητα σφαλμάτων και εξασφαλίζει, τουλάχιστον σε βαθμό μεγαλύτερο από τις σημερινές
πρακτικές, την ακεραιότητα των εγγραφών. Η τροποποίηση των εγγραφών από την στιγμή που θα
καταχωρηθούν στην βάση δεδομένων blockchain θα είναι εξαιρετικά δύσκολη, αν όχι αδύνατη,
ακόμη και από εκείνον που τηρεί το μητρώο /αρχεία.
Σε όλες τις παραπάνω περιπτώσεις, η καταχώριση δεδομένων μπορεί να συνδυαστεί με
επιπρόσθετες λειτουργικές δυνατότητες οι οποίες ενσωματώνονται στην εκάστοτε πλατφόρμα. Για
παράδειγμα, σε μία πειραματική εφαρμογή της τεχνολογίας από το χρηματιστήριο του ΝASDAQ το
2016, καταχωρήθηκε η κυριότητα κινητών αξιών των χρηστών, όπως τηρείται από την κεντρική αρχή
(CSD), και στη συνέχεια αποδόθηκαν δικαιώματα ψήφου μέσω tokens, ώστε οι χρήστες να μπορούν
να «ξοδεύουν» tokens και να ψηφίζουν στις συνελεύσεις εφόσον ήταν και φορείς του αντίστοιχου
δικαιώματος ψήφου.
Ιδιαίτερη σημασία μπορεί να έχει η νέα τεχνολογία στην καταχώρηση δικαιωμάτων διανοητικής
ιδιοκτησίας όπου η απόδειξη της κυριότητας και της χρονικής προτεραιότητας μπορεί να είναι
δυσχερής και δαπανηρή, σε αντίθεση με την τεχνολογία blockchain η οποία μπορεί να προσφέρει
βεβαιότητα για τις εν λόγω καταχωρήσεις. Οι πληροφορίες αυτές μπορούν να είναι εξαιρετικά
χρήσιμες και στην αντιμετώπιση των απομιμητικών προϊόντων επιτρέποντας τη χρήση ασφαλών και
μη τροποποιήσιμων πιστοποιητικών από τις τελωνειακές και αστυνομικές αρχές.
Διακυβέρνηση
Η ψηφιακή διακυβέρνηση και ηλεκτρονική ψηφοφορία καθίσταται πλέον πολύ πιο ασφαλής καθώς
εκτός από την κρυπτογράφηση των δεδομένων με μέθοδο που καθιστά εξαιρετικά δύσκολη την
παραποίησή τους, διασφαλίζεται και η διαφάνεια αφού οι συμμετέχοντες είναι σε θέση να
επιβεβαιώσουν ότι οι ψήφοι τους μετρήθηκαν και ότι το περιεχόμενό τους δεν αλλοιώθηκε.
Η τεχνολογία blockchain διαθέτει όλα εκείνα τα χαρακτηριστικά που θα αναζητούσε κανείς σε μία
πλατφόρμα διαδικτυακής ψηφοφορίας. Δεν επιτρέπει αλλαγές του παρελθόντος, αλλοιώσεις του
παρόντος, ούτε και τροποποίηση του τρόπου πρόσβασης στο σύστημα. Κυρίως όμως, κάθε κόμβος
με πρόσβαση στο σύστημα μπορεί να «βλέπει» τα ίδια αποτελέσματα και κάθε ψήφος μπορεί να
αναχθεί με βεβαιότητα στην πηγή της, χωρίς διακυβεύεται η ανωνυμία των ψηφοφόρων.
Ένας άλλος τομέας στον οποίο η νέα τεχνολογία θα έβρισκε σημαντικές εφαρμογές είναι αυτός των
μη κερδοσκοπικών οργανισμών, αφού οι δωρητές θα είναι σε θέση να διαπιστώνουν με βεβαιότητα
και διαφάνεια πού χρησιμοποιούνται τα χρήματά τους. Πέραν αυτού, η blockchain διευκολύνει την
πιο αποτελεσματική διανομή των κεφαλαίων κι ενισχύει τις δυνατότητες παρακολούθησής τους.
στην βάση της blockchain μπορούν να χρησιμοποιηθούν για τη δρομολόγηση γεγονότων στην
αλυσίδα προμήθειας (όπως π.χ. η κατανομή των προϊόντων όπως φτάνουν σε ένα λιμάνι στα
διαφορετικά containers). H τεχνολογία blockchain προσφέρει ένα νέο δυναμικό τρόπο για την
οργάνωση και παρακολούθηση δεδομένων και προϊόντων.
Επιπλέον, αισθητήρες που τίθενται επί των προϊόντων παρέχουν πλήρη διαφάνεια και ακριβή γνώση
της διαδικασίας προμήθειας προϊόντων καθώς παρέχουν δεδομένα σε πραγματικό χρόνο για την
τοποθεσία και την κατάστασή τους, καθώς μεταφέρονται στην παγκόσμια αγορά. Σύμφωνα με
έρευνα της Deloitte και του σωματείου εταιρειών μηχανογράφησης κι εφοδιαστικής αλυσίδας στις
Η.Π.Α. ΜΗΙ το 2016, παρόμοιοι αισθητήρες χρησιμοποιούνταν ήδη σχεδόν από τις μισές εταιρείες
του χώρου ενώ η υιοθέτησή τους προβλέπεται να είναι σχεδόν καθολική τα επόμενα χρόνια. Η
τεχνολογία blockchain θα αποθηκεύει, διαχειρίζεται, προστατεύει και μεταφέρει τις έξυπνες αυτές
πληροφορίες με τον βέλτιστο τρόπο, παρέχοντας διαφάνεια σε πραγματικό χρόνο καθώς όλοι οι
συμμετέχοντες (υπολογιστές) θα τηρούν και από ένα πλήρως ενημερωμένο αρχείο αυτών των
δεδομένων.
Προσωπικά δεδομένα
Όπως είναι φυσιολογικό, η νέα τεχνολογία, ως ένας νέος τρόπος καταχώρησης και αποθήκευσης
δεδομένων, θα πρέπει καταρχάς να εξεταστεί υπό το πρίσμα του δικαίου της προστασίας
προσωπικών δεδομένων. Ερωτήματα όπως ποιος θα θεωρείται ο υπεύθυνος της επεξεργασίας και
ποιος ο εκτελών την επεξεργασία θα είναι δύσκολο να απαντηθούν κυρίως σε ανοιχτές
αποκεντρωμένες πλατφόρμες blockchain. Αλλά και δικαιώματα πρόσβασης, ενημέρωσης και πολύ
περισσότερο φορητότητας των υποκειμένων προσωπικών δεδομένων είναι εξαιρετικά αμφίβολο αν
και με ποιο τρόπο θα μπορούσαν να ικανοποιηθούν σε μία βάση δεδομένων η οποία τηρείται
ταυτόχρονα σε χιλιάδες αντίτυπα και από την οποία είναι αδύνατον να τροποποιηθούν, πόσο μάλλον
να αφαιρεθούν δεδομένα και μάλιστα με τον τρόπο που απαιτεί ο νέος Κανονισμός (GDPR).
πλατφόρμα του ethereum) τα οποία είναι απαραίτητα για τη συμμετοχή στην πλατφόρμα αυτή. Για
να είναι δυνατή η χρήση του πρωτοκόλλου, ή η συνομολόγηση και η εκπλήρωση ενός έξυπνου
συμβολαίου, οι συμμετέχοντες σε μία συναλλαγή πρέπει να διαθέτουν tokens του πρωτοκόλλου
αυτού στη διάθεσή τους. Επομένως, η φύση και η λειτουργία των κρυπτονομισμάτων προσιδιάζει
περισσότερο σε ψηφιακά περιουσιακά στοιχεία η αξία των οποίων αξία είναι συνδεδεμένη και
υπάρχει μόνο μέσα στο οικοσύστημα λειτουργίας ενός συγκεκριμένου πρωτοκόλλου blockchain
(παρά σε νόμισμα). Η αξία δε αυτή καθορίζεται από τα τεχνικά χαρακτηριστικά του πρωτοκόλλου, τις
λειτουργικές του δυνατότητες και εν τέλει την απήχησή και τη διάδοσή του στην κοινότητα στην
οποία απευθύνεται.
Η έννοια των tokens μπορεί να γίνει πιο κατανοητή αν δει κανείς την αρχιτεκτονική και τη δομή των
εταιρειών που τα εκδίδουν και τα διαθέτουν, συνήθως μέσω αυτού που ονομάζεται Initial Coin
Offering ή ICO (παραπέμποντας, μάλλον κατ’ ευφημισμό, στο Initial Public Offering - IPO, δηλαδή τη
δημόσια εγγραφή, με την οποία ουδεμία σχέση έχουν). Οι εταιρείες αυτές δημιουργούν υπηρεσίες οι
οποίες βασίζονται στην αποκεντρωμένη συν-δημιουργία, εξαρτώνται από την διάδοση των tokens
και η βασική, αν όχι η μόνη, πηγή εσόδων είναι η αύξηση της αξίας των tokens ανάλογα με την
επιτυχία της «οικονομίας» τους19. Πρόσφατα, σε μία περίπτωση διάθεσης tokens μέσω της
πλατφόρμας του Ethereum η Επιτροπή Κεφαλαιαγοράς των Η.Π.Α. , (SEC), έκρινε ότι αυτά πρέπει να
αντιμετωπίζονται ως κινητές αξίες και συνεπώς η διάθεσή τους διέπεται από την ισχύουσα
νομοθεσία20.
Επιπλέον, τον Οκτώβριο του 2015 το Δικαστήριο της Ευρωπαϊκής Ένωσης στο πλαίσιο της ερμηνείας
της Οδηγίας 2006/112/ΕΚ περί Φ.Π.Α. έκρινε ότι το bitcoin, δεν μπορεί να χαρακτηριστεί ως
ενσώματο αγαθό κατά την έννοια του άρθρου 14 της οδηγίας περί ΦΠΑ, διότι έχει ως αποκλειστικό
σκοπό να αποτελέσει μέσο πληρωμής καθώς και ότι η ανταλλαγή παραδοσιακών νομισμάτων έναντι
bitcoins απαλλάσσεται από τον Φ.Π.Α21.
Επίσης, σύμφωνα με το Δικαστήριο της ΕΕ οι πράξεις που αφορούν μη συμβατικά νομίσματα, δηλαδή
νομίσματα που δεν αποτελούν εκ του νόμου μέσα πληρωμής σε μία ή περισσότερες χώρες, είναι
χρηματοπιστωτικές πράξεις, υπό την προϋπόθεση ότι τα εν λόγω μη συμβατικά νομίσματα γίνονται
δεκτά από τους συναλλασσόμενους ως εναλλακτικό, σε σχέση με τα συμβατικά νομίσματα, μέσο
πληρωμής και χρησιμοποιούνται αποκλειστικά ως μέσα πληρωμής22. Αξίζει να σημειωθεί ότι
σύμφωνα με την απόφαση παραπομπής του αιτούντος δικαστηρίου (Ανώτατο Διοικητικό Δικαστήριο
της Σουηδίας) στην ανωτέρω υπόθεση, η διεύθυνση bitcoin [σσ. το δημόσιο κλειδί ενός χρήστη]
μπορεί να συγκριθεί με τον αριθμό τραπεζικού λογαριασμού.
Περαιτέρω, σύμφωνα με έκθεσή της τον Φεβρουάριο του 2015, η Ευρωπαϊκή Κεντρική Τράπεζα δεν
θεωρεί τα εικονικά νομίσματα, όπως το Bitcoin ως μία μορφή χρήματος, όπως ορίζεται στην
οικονομική επιστήμη, αλλά ούτε και από νομικής απόψεως23. Για τους σκοπούς της εν λόγω
έκθεσης, η ΕΚΤ όρισε τα εικονικά νομίσματα ως «μία ψηφιακή αποτύπωση αξίας, η οποία δεν
εκδίδεται από μία κεντρική τράπεζα, χρηματοπιστωτικό ίδρυμα ή ένα ίδρυμα ηλεκτρονικού
χρήματος, η οποία, σε ορισμένες περιπτώσεις, μπορεί να χρησιμοποιηθεί ως εναλλακτική του –
παραδοσιακού – χρήματος.
Για την ΕΚΤ, η υφιστάμενη ρύθμιση που ισχύει για τον παραδοσιακό οικονομικό τομέα δεν μπορεί να
εφαρμοστεί καθώς δεν υπάρχουν τα παραδοσιακά οικονομικά μέρη, και κατηγοριοποιεί το bitcoin
ως «μετατρέψιμο αποκεντρωμένο εικονικό νόμισμα».
Η Ευρωπαϊκή Ένωση σχεδιάζει να ρυθμίσει, τουλάχιστον εν μέρει τη διάθεση εικονικών νομισμάτων,
στο πλαίσιο της αναθεώρησης της 4ης Οδηγίας (ΕΕ) 2015/849 για τη νομιμοποίηση εσόδων από
παράνομες δραστηριότητες.
Η πλέον δημοφιλής, σήμερα, εφαρμογή της τεχνολογίας blockchain, τα εικονικά νομίσματα, εγείρουν
σημαντικά ζητήματα που άπτονται ευθέως του δικαίου του καταναλωτή, λόγω ορισμένων
μειονεκτημάτων που παρουσιάζουν και ειδικότερα:
- Έλλειψη διαφάνειας ως προς τον τρόπο λειτουργίας τους, καθώς τα βασικά χαρακτηριστικά τους
είναι δυσνόητα για τους χρήστες ενώ οι διαθέσιμες πληροφορίες είναι περιορισμένες, ειδικά για τα
λιγότερο γνωστά από αυτά. Επιπλέον, καθώς οι περισσότεροι χρήστες αντιμετωπίζουν τα εικονικά
νομίσματα ως μέσο αποθήκευσης αξίας και όχι ως μέσο πληρωμών, και επενδύουν σε αυτά
προσβλέποντας στην αύξηση της αξίας τους, είναι πιθανό να πέσουν θύματα απατηλών υποσχέσεων
από τους εκδότες (κίνδυνος επενδυτικής απάτης λόγω έλλειψης διαφάνειας).
- Το νομικό καθεστώς των κρυπτονομισμάτων είναι ασαφές, όπως είναι πολλές φορές και η
ταυτότητα των βασικών παραγόντων αυτών, οι οποίοι κατά κανόνα δεν υπάγονται σε ρύθμιση ή
επίβλεψη, πληροφορίες που είναι πολύ πιθανόν να μην γνωρίζουν οι χρήστες, ιδιαίτερα δε λόγω της
ομοιότητας των εικονικών νομισμάτων με το ηλεκτρονικό χρήμα. Επομένως, οι χρήστες δεν
επωφελούνται νομικών προβλέψεων προστασίας, όπως δυνατότητα εξαργύρωσης ή ενός
συστήματος εγγύησης των καταθέσεων και είναι εκτεθειμένοι σε διάφορους κινδύνους τους οποίους
συνήθως περιορίζει μία νομοθετική ρύθμιση.
- Επιπλέον, η συνέχεια ενός εικονικού νομίσματος κάθε άλλο παρά εγγυημένη είναι και οι χρήστες
είναι πιθανόν να βρεθούν αντιμέτωποι με απότομη διακοπή της έκδοσης ή ισχύος του εικονικού
νομίσματος.
- Κατά τη χρήση εικονικών νομισμάτων ως μέσο πληρωμών αγαθών και υπηρεσιών, οι χρήστες δεν
προστατεύονται από τα δικαιώματα επιστροφής χρημάτων που χορηγούνται για (μη
εξουσιοδοτημένες) μεταβιβάσεις από ένα συμβατικό λογαριασμό, όπως ισχύει σύμφωνα με το
δίκαιο της ΕΕ. Και τούτο διότι σε αυτές τις περιπτώσεις δεν υπάρχει ένας πάροχος υπηρεσιών
πληρωμών στον οποίο μπορούν να στραφούν οι χρήστες, ούτε ένας κεντρικός οργανισμός επίλυσης
διαφορών.
Έξυπνα συμβόλαια
Καθώς οι γλώσσες προγραμματισμού είναι λιγότερο αμφίσημες σε σχέση με τις ανθρώπινες
γλώσσες, αυτό συνεπάγεται μικρότερη αβεβαιότητα σχετικά με την ερμηνεία των όρων ενός έξυπνου
συμβολαίου: δύο άνθρωποι μπορεί να αποδώσουν διαφορετικό νόημα στις ίδιες λέξεις, όχι όμως και
δύο υπολογιστές στον κώδικα ενός έξυπνου συμβολαίου. Συνεπώς, τα περιθώρια διαφορετικών
ερμηνειών των συμβατικών όρων περιορίζονται σημαντικά (αν όχι εξαλείφονται) κατά την εκτέλεσή
τους.
Από την άλλη πλευρά η τροποποίηση (λόγω π.χ. αλλαγών στο αναγκαστικού δικαίου νομοθετικό
πλαίσιο που επήλθαν μετά την σύναψη του συμβολαίου) των όρων ενός έξυπνου συμβολαίου είναι
δυσχερής, πολύ δε περισσότερο αν αυτό έχει ενσωματωθεί σε πλατφόρμα blockchain. Η διασύνδεση
των έξυπνων συμβολαίων με βάσεις δεδομένων (κρατικές ή ιδιωτικές) προκειμένου να
ενημερώνονται αυτόματα με το ισχύον νομοθετικό πλαίσιο, και ο διαχωρισμός των όρων σε
τροποποιήσιμους και μη, είναι μερικές από τις λύσεις που έχουν προταθεί24.
Επίσης, λόγω της διασυνοριακής φύσης των συναλλαγών σε μία πλατφόρμα blockchain, σε ορισμένες
περιπτώσεις θα είναι δύσκολο να εντοπιστούν τα χαρακτηριστικά εκείνα τα οποία θέτουν ως
κριτήρια οι κανόνες ιδιωτικού διεθνούς δικαίου, όπως ο τόπος κατοικίας των μερών, ο τόπος
κατάρτισης μίας σύμβασης, ο τόπος εκπλήρωσης κλπ, ώστε να προσδιοριστεί το εφαρμοστέο δίκαιο
σε περίπτωση που αυτό δεν έχει συμφωνηθεί μεταξύ των συμβαλλόμενων μερών.
Τέλος, η πιο σημαντική νομική πτυχή από την εφαρμογή των έξυπνων συμβολαίων είναι
αδιαμφισβήτητα το στάδιο της εκτέλεσης και κατά πόσο οι αυστηροί όροι αυτόματης εκπλήρωσης
των συνεπειών σε βάρος του μη συμμορφούμενου μέρους συνάδουν με το δημόσιο χαρακτήρα των
πράξεων εκτέλεσης. Αντίστοιχη είναι και η προβληματική στο πτωχευτικό δίκαιο: στο παράδειγμα
του διακόπτη εκκίνησης, θα προστατεύεται ο οφειλέτης και θα μπορεί να κάνει χρήση του
αυτοκινήτου του αν τεθεί σε καθεστώς πτωχευτικής ή προπτωχευτικής διαδικασίας κατά την οποία
αναστέλλονται οποιεσδήποτε πράξεις εκτέλεσης κατά του οφειλέτη;
Όπως είδαμε ανωτέρω, ένα από τα βασικά χαρακτηριστικά των έξυπνων συμβολαίων είναι η
αυτοματοποιημένη εκπλήρωση των συμβατικών όρων εφόσον συντρέξουν οι συμφωνηθείσες
προϋποθέσεις. Το χαρακτηριστικό αυτό, δηλαδή η εκπλήρωση των συμβατικών υποχρεώσεων
ανεξάρτητα από τη βούληση των μερών και χωρίς τη συνδρομή ενός τρίτου μέρους, θα έχει ως
συνέπεια τον περιορισμό της ανάγκης προσφυγής σε διαδικασία εκτέλεσης στις συμβατικές
ενοχές29.
V. ΣΥΜΠΕΡΑΣΜΑΤΙΚΑ
Αν και είναι δύσκολο να προβλεφθεί η εξέλιξη και ο βαθμός υιοθέτησης της νέας τεχνολογίας, είναι
πολύ πιθανό η πορεία της να είναι όμοια με άλλες καινοτόμες προτάσεις του πρόσφατου
διαδικτυακού παρελθόντος και τελικά, είτε να υιοθετηθεί από κεντρικές αρχές ή οργανισμούς ή να
αποτελέσει τεχνολογικό οδηγό για την βελτίωση των υφιστάμενων υπηρεσιών και τεχνολογιών στο
μέτρο που η τεχνολογία blockchain προσφέρει πλεονεκτήματα έναντί τους30.
Το αν θα ανταπεξέλθει σε αυτές τις προσδοκίες η νέα τεχνολογία εξαρτάται σε μεγάλο βαθμό από το
κατά πόσο οι πολίτες έχουν την ωριμότητα να αναλάβουν την εξουσία αλλά κυρίως τις ευθύνες που η
αποκεντρωμένη φιλοσοφία της συνεπάγεται και τις οποίες η νέα τεχνολογία υπόσχεται να τους
δώσει.
Παραπομπες
1. Για την ακρίβεια δεν πρόκειται για νέα τεχνολογία, καθώς η πρώτη πρακτική εφαρμογή της έλαβε
χώρα το 2009 με την δημιουργία του κρυπτονομίσματος bitcoin
2. https://ec.europa.eu/digital-single-market/en/news/european-commission-l...
3. Το δημόσιο κλειδί είναι ένας τυχαίος αριθμός ο οποίος συνήθως αποτελείται από πολλά ψηφία και
αποτελεί ουσιαστικά τη δημόσια διεύθυνση του κάθε χρήστη. Το δημόσιο κλειδί, μπορεί να
γνωστοποιηθεί σε τρίτους, και χρησιμοποιείται για την κρυπτογράφηση των δεδομένων ενώ το
ιδιωτικό για την αποκρυπτογράφηση.
4. Ο αριθμός εξαρτάται από διάφορους παράγοντες και κυμαίνεται συνήθως μεταξύ 1.500 και 3.500
συναλλαγές.
5. Η πράξη αυτή για το bitcoin λειτουργεί ως εξής: το λογισμικό παράγει έναν αριθμό «στόχο» 256bit
(hash target) o οποίος εκπέμπεται στο δίκτυο και είναι κοινός για όλους τους miners. O γρίφος
συνίσταται στο να βρεθεί ένας αριθμός hashτου μπλοκ(header hash) o οποίος είναι μικρότερος
από τον αριθμό στόχο. Η εξεύρεση γίνεται και πάλι μέσω της διαδικασίας hashing, κατά την οποία
λαμβάνονται υπόψη α) ο τελικός αριθμός hash που έχει προκύψει από την κρυπτογράφηση των
συναλλαγών, β) ο αριθμός header hash του προηγούμενου block, γ) η ημερομηνία (time stamp)
και δ) ένας αυθαίρετος αριθμός (nonce). Η λύση του γρίφου επιτυγχάνεται στην τύχη μόνο μέσω
αλλεπάλληλων δοκιμών και αλλαγών του αριθμού nonce (ο οποίος είναι και η μόνη μεταβλητή)
έως ότου προκύψει αποτέλεσμα του header hash μικρότερου του hash target. Όσο πιο μικρός
είναι αυτός ο αριθμός στόχος (δηλαδή όσο περισσότερα είναι τα μηδενικά που προηγούνται)
τόσο πιο μεγάλη είναι η δυσκολία εξεύρεσης του header hash. Η δυσκολία προσαρμόζεται
αυτόματα κάθε 2016 blocks (περίπου κάθε δύο εβδομάδες) ώστε ο χρόνος που απαιτείται για την
εξεύρεση του αυθαίρετου αριθμού να είναι περίπου δώδεκα λεπτά (ή έξι μπλοκ ανά μία ώρα). Η
αναπροσαρμογή γίνεται λαμβάνοντας υπόψη τη διαθέσιμη υπολογιστική ισχύ του των miners, η
οποία εξευρίσκεται από το χρόνο που χρειάστηκε για να δημιουργηθούν τα προηγούμενα 2016
blocks.
6. Εναλλακτική μέθοδος του proof of work σε άλλες πλατφόρμες blockchain αποτελεί η μέθοδος
proof of stake, στην οποία η συμφωνία (consensus) για την επαλήθευση των μπλοκ από τους
χρήστες επιτυγχάνεται με συνδυασμό άλλων κριτηρίων (όπως τον αριθμό των κρυπτονομισμάτων
που έχει ο χρήστης που επαληθεύει το μπλοκ) και όχι με επίλυση γρίφου.
7. Ο πρώτος miner που θα λύσει τον γρίφο, εκπέμπει στο δίκτυο των κόμβων (η ιδιότητα του miner
και του node μπορεί να συμπίπτει και στην πράξη συμβαίνει συχνά) που τηρούν το μητρώο τη
λύση του γρίφου μαζί με το μπλοκ με τις συναλλαγές και λαμβάνει αμοιβή, είτε με τη μορφή νέου
νομίσματος που δημιουργείται για πρώτη φορά ή/και με τέλη επί των συναλλαγών που
περιλαμβάνονται στο μπλοκ. Το δίκτυο των κόμβων επαληθεύει τη λύση, προσθέτει το μπλοκ
στην αλυσίδα και ενημερώνει το μητρώο. Με τον τρόπο αυτό δημιουργείται η αλυσίδα των μπλοκ
με τις συναλλαγές η οποία διαρκώς μεγαλώνει (ενδεικτικά στην πλατφόρμα blockchain του bitcoin
ένα μπλοκ το οποίο περιέχει περίπου από 1.500 έως και 3.500 συναλλαγές, προστίθεται κάθε 12
λεπτά).
8. Eνώ η λύση του γρίφου από τους miners απαιτεί τεράστια υπολογιστική ισχύ, η επαλήθευση της
λύσης από τους κόμβους είναι πολύ απλή.
9. Ήδη, έχουν παρουσιαστεί εκατοντάδες παραλλαγές της τεχνολογίας, οι οποίες διαφοροποιούνται
στη δομή (π.χ. με δύο ή και περισσότερα επίπεδα δικτύου), στην τρόπο επαλήθευσης (π.χ. proof
of stake αντί για proof of work), στο αν προβλέπεται η δυνατότητα mining ή όχι και στο σκοπό της
χρήσης των κρυπτονομισμάτων ή του μέσου συναλλαγών. Ο μεγάλος αριθμός των παραλλαγών
είναι φυσιολογικός δεδομένων των σοβαρών περιορισμών της τεχνολογίας blockchain του bitcoin
τόσο όσον αφορά τις τεράστιες ποσότητες ενέργειας που απαιτούνται για τη διαδικασία του
mining όσο και το όριο του αριθμού των συναλλαγών που μπορούν να διεκπεραιωθούν σε
συγκεκριμένο χρονικό διάστημα, σε σύγκριση μάλιστα με τις υφιστάμενες τεχνολογίες.
10. Βέβαια, η χρήση κεντρικών ή ιδιωτικών blockchains, δηλαδή συστημάτων τα οποία ελέγχονται και
λειτουργούν από έναν κεντρικό φορέα αναιρεί την κεντρική ιδέα και τον γενεσιουργό σκοπό της
νέας τεχνολογίας: την εμπέδωση (και αποκατάσταση) της εμπιστοσύνης μεταξύ των
συμμετεχόντων χρηστών χωρίς την ύπαρξη μίας οντότητας η οποία θα ελέγχει, τηρεί και
επαληθεύει κεντρικά το μητρώο των δεδομένων και πληροφοριών.
11. Αυτό δε σημαίνει ότι αποκαλύπτεται η ταυτότητα των συναλλασσόμενων, καθώς είναι διαθέσιμα
μόνο τα κρυπτογραφικά τους στοιχεία (όπως π.χ. το λεγόμενο «δημόσιο κλειδί» τους).
12. Αν και τα ζητήματα σχετικά με την ασφάλεια της νέας τεχνολογίας δεν αποτελούν αντικείμενο του
παρόντος, λαμβάνουμε ως δεδομένο ότι οι χρήστες θα εμπιστεύονται τις πλατφόρμες blockchain.
13. Τον Σεπτέμβριο του 2016 η Barclays, σε συνεργασία με την Ισραηλινή εταιρεία τεχνολογίας Wave
διεκπεραίωσε μία από τις πρώτες συναλλαγές βασισμένη στην τεχνολογία blockchain με
πραγματικούς πελάτες. Η συναλλαγή αφορούσε πιστωτικό τίτλο με τον οποίο δινόταν η εγγύηση
ότι ο πωλητής θα πληρωθεί και ότι ο αγοραστής δε θα χρειαστεί να καταβάλει μέχρι την
παραλαβή των προϊόντων. Η εκτέλεση ενός τέτοιου τίτλου συνήθως είναι αργή, βασίζεται σε
μεγάλο βαθμό σε έγγραφα, ωστόσο το σύστημα της Barclays την διεκπεραίωσε σε 4 ώρες ενώ
συνήθως απαιτούσε μία εβδομάδα για την ολοκλήρωσή της.
14. https://www.ubitquity.io/web/index.html
15. Οι συσκευές αυτές συνδυάζονται με συσκευές εντοπισμού θέσης (GPS) και έχουν ήδη
εγκατασταθεί σε εκατομμύρια αυτοκίνητα στις Η.Π.Α.
16. 1 GEO. L. TECH. REV. 305 (2017). Εξυπακούεται ότι υπάρχουν δικλείδες ασφαλείας, όπως για
παράδειγμα ότι η συσκευή αυτή δεν μπορεί να απενεργοποιήσει τον κινητήρα ενόσω λειτουργεί.
Επίσης, η συσκευή μπορεί να παρακαμφθεί χειροκίνητα σε περίπτωση έκτακτης ανάγκης.
17. https://www.ibm.com/blockchain/identity/
18. Οι αναφορές είναι ενδεικτικές μόνο των νομικών πτυχών της νέας τεχνολογίας, και αποτελούν
αντικείμενο περαιτέρω λεπτομερέστερης ανάλυσης
19. Αυτό σημαίνει ότι η επιτυχία εξαρτάται από τη δημιουργία μίας ακμάζουσας, ενεργής και
δραστήριας κοινότητας. Χωρίς κοινότητα δεν υπάρχει οικονομία και χωρίς οικονομία δεν υπάρχει
επιτυχία.
20. https://www.sec.gov/news/press-release/2017-131
21. ΔικΕΕ, υπόθεση C-264/14, σκέψη 24
22. ΔικΕΕ, υπόθεση C-264/14, σκέψη 49
23. https://www.ecb.europa.eu/pub/pdf/other/virtualcurrencyschemesen.pdf
24. 1 GEO. L. TECH. REV. 305 (2017)
25. https://en.wikipedia.org/wiki/Decentralized_autonomous_organization
26. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3082055
27. https://www.legaltechnology.com/latest-news/blp-wins-in-disputed-uk-pred...
28. Σε επίπεδο αποδεικτικής ισχύος, το περιεχόμενο πληροφοριών που καταχωρούνται σε ανοιχτή
blockchain με συμμετοχή εκατοντάδων χιλιάδων κόμβων (όπως π.χ. της ethereum), παρέχει
μεγαλύτερα εχέγγυα ασφάλειας σε σχέση με τα ιδιωτικά έγγραφα και θα μπορούσε να παράγει
τεκμήριο ως προς το περιεχόμενό τους, εξομοιώνοντάς το με τα δημόσια έγγραφα
29. 9 Ένα από τα πιο ριζοσπαστικά οράματα για τα έξυπνα συμβόλαια είναι ότι η τεχνολογία θα
υποβάλει την απονομή δικαιοσύνης στις δυνάμεις της αγοράς και θα σπάσει το κρατικό
μονοπώλιο στο δικαστικό σύστημα
30. Για παράδειγμα, η τεχνολογία ανταλλαγής μουσικών αρχείων στο διαδίκτυο, peer to peer,
οδήγησε στον εξορθολογισμό της διανομής μουσικής μέσω νόμιμων καναλιών και τελικά στην
παροχή ποιοτικότερων, πρακτικότερων και οικονομικότερων υπηρεσιών, μέσω της απεριόριστης
πρόσβασης σε μουσικές βιβλιοθήκες με την καταβολή εύλογης μηνιαίας συνδρομής.
Η κρυπτογράφηση δημόσιου κλειδιού δεν μπορεί από μόνη της να εξασφαλίσει τις προϋποθέσεις για
ασφαλή διακίνηση πληροφοριών σε ένα ανοικτό δίκτυο όπως είναι το Internet (π.χ. Προβλημα
γνησιοτητας Δημοσιου Κλειδιου)
Η αυθεντικοποίηση των επικοινωνούντων μερών, είναι μια επίσης σημαντική και απαραίτητη
παράμετρος της ασφάλειας. Με τα οσα ειδαμε μεχρι τωρα δεν μπορεί για παραδειγμα να πει κανεις
με σιγουριά αν το public key είναι πραγματικό ή πλαστογραφημένο.
Για παραδειγμα: Εστω ότι ο Βασίλης θέλει να πλαστογραφήσει την ψ. υπογραφή της Αλίκης. Σε αυτή
την περιπτωση μπορεί να υπογράψει μια επιστολή με το δικό του ιδιωτικό κλειδί
και στη συνέχεια να παρουσιάσει το δικό του δημόσιο κλειδί του, λέγοντας
‘Αυτό είναι το κλειδί της Αλίκης’. Εάν οι υπόλοιποι βασισθούν στα λεγόμενά του, η πλαστογράφηση
θα είναι επιτυχημένη.
Συνεπώς χρειάζεται να υπάρχει εμπιστοσύνη απέναντι στην αντιστοίχηση κλειδιού – ταυτότητας. Για
την αντιμετώπιση αυτών των προβλημάτων, αναπτύχθηκε η τεχνολογία των Ψηφιακων
πιστοποιητικων και των Υποδομών Δημοσίου Κλειδιού (PKI)
Τι είναι το Ψηφιακο πιστοποιητικο?
Ψηφιακό Πιστοποιητικό είναι μια ψηφιακά υπογεγραμμένη δομή δεδομένων, η οποία αντιστοιχίζει
μία ή περισσότερες ιδιότητες μιας φυσικης οντότητας,στο δημόσιο κλειδί που της ανήκει.
Το πιστοποιητικό είναι συνηθως υπογεγραμμένο από μία Τρίτη Οντότητα, η οποία: (1) Είναι Έμπιστη
και Αναγνωρισμένη να δρα ως ‘Πάροχος Υπηρεσιών Πιστοποίησης’ (Trusted Third Party –TTP)., και
(2) Διασφαλίζει με τεχνικά (αλλά και νομικά) μέσα ότι ένα δημόσιο κλειδί ανήκει σε μία (και μόνο
μία) συγκεκριμένη οντότητα (και συνεπώς ότι η οντότητα αυτή είναι ο νόμιμος κάτοχος του
αντίστοιχου ιδιωτικού κλειδιού). Ο τροπος λειτουργιας ενός Ψ.Π. φαινεται στο παρακατω σχημα:
Η απόκτηση ενός ηλεκτρονικού πιστοποιητικού γίνεται μετά από αίτηση σε μια Αρχή Πιστοποίησης -
ΑΠ (Certificate authority - CA). Η ΑΠ επιβεβαιώνει την ταυτότητα του αιτούντος και εκδίδει το
πιστοποιητικό, που όπως ειδαμε περιλαμβάνει:
• το όνομα και πληροφορίες αναγνώρισης του χρήστη που αναγνωρίζεται από το πιστοποιητικό,
• το δημόσιο κλειδί του χρήστη,
• την ημερομηνία λήξης του πιστοποιητικού,
• το όνομα και την ψηφιακή υπογραφή της ΑΠ που το εξέδωσε,
• ένα σειριακό αριθμό πιστοποιητικού, κ.ά.
-----BEGIN CERTIFICATE-----
MIICKzCCAZSgAwIBAgIBAzANBgkqhkiG9w0BAQQFADA3MQswCQYDVQQGE
wJVUzER
MA8GA1UEChMITmV0c2NhcGUxFTATBgNVBAsTDFN1cHJpeWEncyBDQTAeF
w05NzEw
MTgwMTM2MjVaFw05OTEwMTgwMTM2MjVaMEgxCzAJBgNVBAYTAlVTMREwD
wYDVQQK
EwhOZXRzY2FwZTENMAsGA1UECxMEUHViczEXMBUGA1UEAxMOU3Vwcml5Y
SBTaGV0
dHkwgZ8wDQYJKoZIhvcNAQEFBQADgY0AMIGJAoGBAMr6eZiPGfjX3uRJg
EjmKiqG
7SdATYazBcABu1AVyd7chRkiQ31FbXFOGD3wNktbf6hRo6EAmM5/R1Ask
zZ8AW7L
Δείγμα ψηφιακού πιστοποιητικού.
iQZBcrXpc0k4du+2Q6xJu2MPm/8WKuMOnTuvzpo+SGXelmHVChEqooCwf
diZywyZ
Οι πιο σημαντικές πληροφορίες από αυτές είναι η ψηφιακή υπογραφή και το όνομα της Αρχής
NMmrJgaoMa2MS6pUkfQVAgMBAAGjNjA0MBEGCWCGSAGG+EIBAQQEAwIAg
Πιστοποίησης (ΑΠ) γιατί χρησιμοποιούνται για να επιβεβαιώσουν τη ταυτότητα του κατόχου του
DAfBgNV
πιστοποιητικού.
HSMEGDAWgBTy8gZZkBhHUfWJM1oxeuZc+zYmyTANBgkqhkiG9w0BAQQFA
Το πρότυποAOBgQBt
X-509 είναι τo πλέον διαδεδομένο πρότυπο ψηφιακών πιστοποιητικών. Κυκλοφορούν
διάφορες εκδόσεις του, όπως η τελευταία έκδοση Χ.509 v3.
I6/z07Z635DfzX4XbAFpjlRl/AYwQzTSYx8GfcNAqCqCwaSDKvsuj/vwb
f91o3j3
UkdGYpcd2cYRCgKi4MwqdWyLtpuHAH18hHZ5uvi00mJYw8W2wUOsY0RC/
a/IDy84
hW3WWehBUqVK5SY4/zJ4oTjx7dwNMdGwbWfpRqjd1A==
-----END CERTIFICATE-----
Η διαδικασια εκδοσης και χρήσης ενός Ψηφιακου Πιστοποιητικου φαινεται στο παρακατω σχημα:
Τα πιστοποιητικά χαρακτηρίζονται ακόμη και από το είδος της πληροφορίας που περιέχουν. Έτσι,
υπάρχουν:
• Πιστοποιητικά ταυτότητας (Identity certificates) που ταυτοποιούν μια οντότητα και
• Πιστοποιητικά χαρακτηριστικών (Attribute certificates) που περιγράφουν τις ιδιότητες μιας
οντότητας, όπως κάποιο δικαίωμα προσπέλασης ή τη συμμετοχή της σε μια ομάδα χρηστών.
Υποδομες πιστοποιησης
Πριν μερικά χρόνια, η διασύνδεση των πληροφοριακών συστημάτων των διάφορων οργανισμών ήταν
δύσκολη. Όμως με την τεράστια ανάπτυξη του διαδικτύου, οι διάφοροι οργανισμοί μπορούν να
συνδέονται και να επικοινωνούν. Σε ότι αφορά την ανεπάρκεια των μηχανισμών ασφάλειας, είπαμε
ήδη ότι αυτή αντιμετωπίζεται με διάφορες τεχνικές, μια από τις οποίες είναι η κρυπτογραφία της
πληροφορίας. Παρόλα αυτά η αυθεντικοποίηση των επικοινωνούντων μερών, είναι μια σημαντική
παράμετρος της ασφάλειας, καθώς πρέπει να υπάρχουν μηχανισμοί που να επιβεβαιώνουν την
ταυτότητα αυτών που στέλνουν ή λαμβάνουν τις πληροφορίες.
Πιστοποίηση είναι η διαδικασία της αντιστοίχησης και δέσμευσης ενός δημοσίου κλειδιού σε ένα
άτομο, οργανισμό ή μια άλλη οντότητα. Για το σκοπό αυτό χρησιμοποιούνται τα ψηφιακά
πιστοποιητικά αποτελούν τελικά το μέσο με το οποίο οι ΥΔΚ μεταδίδουν τις τιμές των δημόσιων
κλειδιών και τις πληροφορίες που σχετίζονται με αυτά. Η πιστοποίηση (certification) αποτελεί μια
βασική λειτουργία όλων των Υποδομών Δημοσίου Κλειδιού (ΥΔΚ).
Αρχές Πιστοποίησης
Οι Αρχές Πιστοποίησης - ΑΠ (Certification Authorities - CAs) επιβεβαιώνουν τις ταυτότητες των
οντοτήτων και εκδίδουν τα αντίστοιχα πιστοποιητικά. Μια ΑΠ μπορεί να είναι:
• είτε ένας Έμπιστος Τρίτος Φορέας (Trusted Third Party - TTP)
• είτε να λειτουργεί στα πλαίσια ενός οργανισμού.
Στα σχετικά προγράμματα των χρηστών (browsers) διατηρούνται συλλογές από έμπιστα
πιστοποιητικά ΑΠ. Με βάση αυτά τα πιστοποιητικά ΑΠ καθορίζεται η τρόπος αποδοχής των άλλων
πιστοποιητικών.
• στην απλούστερη περίπτωση, επικυρώνονται αυτόματα μόνο με βάση το πιστοποιητικό μιας ΑΠ,
αλλά
• συνήθως ένα έμπιστο πιστοποιητικό ΑΠ συμμετέχει σε μια αλυσίδα πιστοποιητικών ΑΠ που
αντιστοιχούν σε μια ιεραρχία ΑΠ.
Ιεραρχίες Πιστοποίησης
Μια Αρχή Πιστοποίησης είναι ένας οργανισμός που λειτουργεί με ασφάλεια κάτω από αυστηρές
προδιαγραφές με σκοπό τη δημιουργία και διανομή πιστοποιητικών. Κάθε ΑΠ πρέπει θεωρητικά να
συμμετέχει σε μια ευρύτερη ΥΔΚ, συνήθως ιεραρχικής δομής, όπου οι ανώτερες ΑΠ πιστοποιούν τις
κατώτερες. Σε κάθε χώρα μπορεί να υπάρχουν μια ή περισσότερες ΑΠ, συνήθως κατά περιοχή
εφαρμογής (τράπεζες, υγεία, παιδεία, κ.λ.π.).
Το πρότυπο X.509 προτείνει τη σύσταση ιεραρχιών ΑΠ με σκοπό τη κάλυψη των αναγκών
πιστοποίησης μεγάλων οργανισμών και γεωγραφικών περιοχών. Στην κορυφή κάθε ιεραρχίας
βρίσκεται η ΑΠ-ρίζα (root CA). Το πιστοποιητικό της ΑΠ-ρίζας είναι υπογεγραμμένο από την ίδια (self-
signed). Οι ΑΠ που βρίσκονται κάτω από την ΑΠ-ρίζα έχουν τα πιστοποιητικά τους υπογεγραμμένα
από τη ΑΠ-ρίζα. Τα πιστοποιητικά των ΑΠ κατωτέρων επιπέδων υπογράφονται από τις ΑΠ των
αμέσως ανώτερων επιπέδων.
Οι περισσότερες ΥΔΚ (PKIs) επιτρέπουν στις ΑΠ (Cas) να πιστοποιούν άλλες ΑΠ κατώτερων επιπέδων.
Για το σκοπό αυτό, χρησιμοποιούνται τα πιστοποιητικά ΑΠ (CA certificates). Κατά την
αυθεντικοποίηση ενός χρήστη από έναν άλλο μπορεί να μεσολαβεί ένας μεταβλητός αριθμός από
ΑΠ. Αυτό σημαίνει ότι όταν ένας αποστολέας θέλει να στείλει ένα μήνυμα σε έναν παραλήπτη που
πιστοποιείται από μια άλλη CA πρέπει να επαληθεύσει τη ταυτότητα όλων των ΑΠ που μεσολαβούν
μέχρι να αποκτήσει το πιστοποιητικό του παραλήπτη. Η διαδικασία αυτή καλείται επαλήθευση
διαδρομής πιστοποίησης (certification path validation).
Γενικά, η πιστοποίηση σε μια ΥΔΚ βασίζεται σε μια ιεραρχική δομή στην οποία συμμετέχουν οι
ακόλουθες οντότητες.
• Αρχή Έγκρισης Πολιτικής (Policy Approval Authority - PPA)
θέτει τις αρχές που θα ακολουθούν τα PCAs, που βρίσκονται πιο κάτω στην ιεραρχία, εγκρίνει τις
πολιτικές των PCAs και εκδίδει πιστοποιητικά για αυτά.
εκδίδει πιστοποιητικά ρίζας (root certficates) που τα υπογράφει ψηφιακά με το ιδιωτικό κλειδί
της. Η περίοδος ισχύος των πιστοποιητικών αυτών είναι μεγαλύτερη αυτών που εκδίδονται από
τις PCAs και από τις CAs. Η έκδοση των πιστοποιητικών αυτών γίνεται off-line.
• Αρχή Πιστοποίησης Πολιτικής (Policy Certification Authority - PCA)
- θέτει τη πολιτική που θα ακολουθούν οι CAs που βρίσκονται χαμηλότερα στην ιεραρχία και
ελέγχει αν λειτουργούν σύμφωνα με αυτή.
- εκδίδει πιστοποιητικά για CAs, αλλά όχι για τους τελικούς χρήστες. Η έκδοση αυτών γίνεται
επίσης off-line.
Επειδή η περίοδος ισχύος των PCA πιστοποιητικών είναι μεγαλύτερη από αυτή των CAs, η
ανανέωση της ισχύος των CA πιστοποιητικών δεν δημιουργεί προβλήματα στους τελικούς χρήστες
που έχουν αυτά τα πιστοποιητικά.
• Αρχή Έκδοσης Πιστοποιητικών (Certification Authority - CA)
- ακολουθεί τη πολιτική που έχει ορίσει η PCA και εκδίδει πιστοποιητικά για άλλες CAs, τελικούς
χρήστες και RAs.
- μερικές φορές θέτει και δικές της πολιτικές, που είναι όμως σύμφωνες με αυτές της PCA.
• Αρχή Καταχώρησης (Registration Authority - RA)
- μια RA είναι υπεύθυνη για τη διαδικασία εγγραφής (registration) των τελικών χρηστών που θα
αποκτήσουν πιστοποιητικό της CA. Δεν εκδίδει η ίδια πιστοποιητικά.
- ελέγχει τις πληροφορίες ταυτότητας που δηλώνουν οι τελικοί χρήστες, σύμφωνα με τις
διαδικασίες που έχει ορίσει η CA.
• Τελικός χρήστης (End entity)
Ο τελικός χρήστης είναι ένας ιδιώτης, μια επιχείρηση, ένας υπολογιστής ή οποιαδήποτε οντότητα
που χρησιμοποιεί το πιστοποιητικό.
Αυτή η διευθέτηση των CAs σε μια ιεραρχία όπως η παραπάνω αποτελεί βασικό χαρακτηριστικό των
περισσότερων PKIs. Κάθε CA πιστοποιείται από τον γονέα της και πιστοποιεί τα παιδιά της.
Τέλος, μεταξύ CAs μπορούν να εκδίδονται και αμοιβαία πιστοποιητικά (cross certificates) που δεν
ακολουθούν αυτή τη γενική ιεραρχία. Η διαπιστοποίηση (Cross Certification) είναι η αμοιβαία
έκδοση πιστοποιητικών μεταξύ CAs. Η διαδικασία αυτή επιτρέπει την μείωση των διαδρομών
πιστοποίησης, δηλαδή την μείωση του αριθμού των CAs που μεσολαβούν από τον αποστολέα στον
Σκοπός - Αναγκαιότητα
Η κρυπτογράφηση δημοσίου κλειδιού από μόνη της δεν μπορεί να εξασφαλίσει τις προϋποθέσεις για
ασφαλή διακίνηση πληροφοριών σε ένα ανοικτό δίκτυο, όπως είναι το Internet. Υπάρχουν και άλλες
απαιτήσεις που πρέπει να ικανοποιούνται, όπως ο καθορισμός:
- των πολιτικών ασφάλειας που θα ορίζουν τους κανόνες σύμφωνα με τους οποίους πρέπει να
λειτουργούν τα συστήματα κρυπτογράφησης.
- των τρόπων για τη δημιουργία, αποθήκευση και διαχείριση των κλειδιών.
- των διαδικασιών που θα ορίζουν το πως θα μοιράζονται και θα χρησιμοποιούνται τα δημόσια
κλειδιά και τα ψηφιακά πιστοποιητικά.
Τα τελευταία χρόνια, τα πιστοποιητικά Χ.509, τα οποία χρησιμοποιούνται από γνωστά στο ευρύ
κοινό πρωτόκολλα ασφαλούς επικοινωνίας, όπως τα SSL και S/MIME, έχουν υιοθετηθεί ως τα
πρότυπα κρυπτογράφησης για την ασφάλεια διάφορων υπηρεσιών του διαδικτύου όπως WWW, e-
mail, κ.ά. Ωστόσο, για την πλήρη υλοποίηση αυτών των προτύπων απαιτείται η ανάπτυξη και
λειτουργία Υποδομών Δημοσίων Κλειδιών (ΥΔΚ), γνωστών ως X.509-based PKI (Public Key
Infrastructure - PKI).
Μια Υποδομή Δημόσιου Κλειδιού (ΥΔΜ) είναι ένας συνδυασμός από λογισμικό, τεχνολογίες
κρυπτογράφησης και υπηρεσίες, ώστε να διασφαλιστούν οι επικοινωνίες και οι συναλλαγές στο
Internet και να επιτευχθούν οι τέσσερις βασικές αρχές ασφάλειας κατά τη μετάδοση πληροφοριών:
1. Εμπιστευτικότητα : μόνο εξουσιοδοτημένα μπορούν να δουν τις πληροφορίες.
2. Ακεραιότητα : τα δεδομένα δεν έχουν τροποποιηθεί.
3. Ταυτοποίηση : απόδειξη της ταυτότητας του χρήστη ή της εφαρμογής.
4. Non-repudiation : απόδειξη ότι ο αποστολέας έστειλε τα δεδομένα και ο παραλήπτης τα πήρε.
Για να επιτύχει όλα τα παραπάνω, μια ΥΔΚ πρέπει να ενσωματώνει τουλάχιστον μια Αρχή Έκδοσης
Πιστοποιητικών (Certification Authority-CA), καθώς και εργαλεία για τη διαχείριση, την ανανέωση
και την ανάκληση πιστοποιητικών.
Πολιτική ασφάλειας
Η πολιτική ασφάλειας ορίζει τις αρχές που πρέπει να ακολουθούνται για την ασφάλεια των
πληροφοριών, καθώς και τους κανόνες για τη χρήση της κρυπτογραφίας. Συνήθως, περιλαμβάνει
οδηγίες για το χειρισμό των κλειδιών και των σημαντικών πληροφοριών, ενώ ακόμη ορίζει διάφορα
επίπεδα ελέγχου ανάλογα με το επίπεδο ευαισθησίας κάθε πληροφορίας.
Όλα τα παραπάνω δηλώνονται με μια δήλωση πρακτικής πιστοποίησης (Certificate Practice
Statement - CPS). Το CPS είναι ένα λεπτομερές έγγραφο που περιέχει όλες τις λειτουργικές
διαδικασίες που πρέπει να ακολουθηθούν ώστε να εφαρμοστεί η πολιτική ασφάλειας στην πράξη.
Περιλαμβάνει ορισμούς για το:
• πώς είναι κατασκευασμένα και πως λειτουργούν τα CΑs,
• πως δημιουργούνται και ανακαλούνται τα πιστοποιητικά,
καθώς και πληροφορίες για:
• τη δημιουργία, κατοχύρωση και πιστοποίηση των κλειδιών,
• το πώς αποθηκεύονται και πως γίνονται διαθέσιμα στους χρήστες.
Όταν μια Αρχή Έκδοσης Πιστοποιητικών εκδώσει ένα πιστοποιητικό, το αποθηκεύει σε ένα αρχείο
πιστοποιητικών (Certificate Repository). Όταν κάποιος ζητά ένα πιστοποιητικό που υπάρχει σε αυτό
το αρχείο, μπορεί να το πάρει χωρίς να χρειάζεται να το ζητήσει από τον κάτοχό του.
Υπηρεσίες κρυπτογράφησης
Μια ΥΔΚ πρέπει να είναι σε θέση να παρέχει παρέχει, όποτε της ζητηθεί, υπηρεσίες
κρυπτογράφησης. Τέτοιες υπηρεσίες είναι :
• η δημιουργία ζευγών των κλειδιών (private/public) κρυπτογράφησης.
• η δημιουργία ψηφιακών υπογραφών.
• η επιβεβαίωση της εγκυρότητας ψηφιακών υπογραφών.
Βοηθητικές υπηρεσίες
Εκτός από τις παραπάνω, υπάρχουν και άλλες υπηρεσίες που θεωρούνται βασικά μέρη μιας τέτοιας
υποδομής, όπως:
Καταχώρηση (Registration)
Οι υπηρεσίες αυτές είναι υπεύθυνες για την αναγνώριση και τη διαχείριση των προσωπικών
δεδομένων οποιουδήποτε ζητά ένα πιστοποιητικό. Ελέγχουν όλες τις πληροφορίες που είναι
απαραίτητες για την έκδοση ή την ανάκληση των πιστοποιητικών. Μετά από αυτό τον έλεγχο το CA
αναλαμβάνει την έκδοση του πιστοποιητικού.
Άλλες υπηρεσίες
Ακόμη, μπορεί να απαιτούνται διάφορες άλλες υπηρεσίες. Αν, για παράδειγμα, το κλειδί
αποθηκεύεται σε μια smart card, χρειάζονται πρόσθετες υπηρεσίες για τη δημιουργία των κλειδιών
και την εγγραφή τους στη κάρτα.
Το πρωτοκολλο SSL
Υπάρχουν διάφορες τεχνικές που μπορούν να εφαρμοστούν ώστε να επιτευχθεί η ασφάλεια όλων
των πληροφοριών που είναι αποθηκευμένες σε ένα πληροφοριακό σύστημα και μεταδίδονται στο
διαδίκτυο. Τέτοιες είναι οι εφαρμογές κρυπτογράφησης για αυθεντικοποίηση των χρηστών,
κρυπτογραφημένη μεταφορά των δεδομένων, ο έλεγχος πρόσβασης και τα ασφαλή δικτυακά
πρωτόκολλα.
Η ύπαρξη των κινδύνων που εγκυμονεί η μετάδοση των δεδομένων μέσα από ανοιχτά δίκτυα, όπως
το διαδίκτυο, οδήγησε στην ανάπτυξη ασφαλών δικτυακών πρωτοκόλλων για την κρυπτογράφηση
της επικοινωνίας. Το SSL είναι ένα πρωτόκολλο που ανήκει σε αυτήν τη κατηγορία και ολοκληρώνει
την ασφάλεια πάνω από το TCP/IP πρωτόκολλο. Ο στόχος είναι ο συνδυασμός αυτών των δύο
τεχνολογιών για την προστασία των πληροφοριών.
Ο έλεγχος πρόσβασης βασίζεται στην αυθεντικοποίηση των χρηστών που ζητούν πρόσβαση στα
δεδομένα, με χρήση ψηφιακών πιστοποιητικών που έχουν εκδοθεί από μια αρχή έκδοσης
πιστοποιητικών στα πλαίσια μιας Υποδομής Δημοσίου Κλειδιού. Συνήθως τα συστήματα
πληροφορικής εξετάζουν αν πρέπει να επιτραπεί η πρόσβαση σε πόρους περιορισμένης χρήσης
προτρέποντας τους χρήστες να εισάγουν userid/password και/ή απαιτώντας οι υπολογιστές να
διαθέτουν συγκεκριμένες δικτυακές διευθύνσεις (δηλ. IP address πιστοποίηση). Αυτοί οι τρόποι
διαχείρισης προσπέλασης έχουν αρκετές δυσκολίες. Π.χ. ο κάθε χρήστης πρέπει να απομνημονεύει
έναν συνεχώς αυξανόμενο αριθμό κωδικών οι οποίοι αλλάζουν συχνά και/ή μπορεί μόνο να
χρησιμοποιήσει υπολογιστές συνδεδεμένους σε ένα συγκεκριμένο πανεπιστήμιο ή επιχείρηση.
Χρησιμοποιώντας πιστοποιητικά για την αυθεντικοποίηση της ταυτότητας των ατόμων που ζητούν
πρόσβαση σε πόρους περιορισμένης χρήσης, επιλύονται τα προαναφερθέντα προβλήματα.
Το πρωτόκολλο SSL
Σε προηγούμενο κεφάλαιο αναφερθήκαμε στην κρυπτογράφηση δημοσίου κλειδιού και αναφέραμε
ότι ο αλγόριθμος RSA, είναι αυτός που χρησιμοποιείται συνήθως για τις εφαρμογές στο διαδίκτυο.
Υπάρχουν διάφορα μέτρα ασφάλειας για την υποστήριξη των ηλεκτρονικών συναλλαγών στον ιστό
(WWW) και ένα από αυτά είναι το SSL (Secure Socket Layer).
Το SSL (Secure Socket Layer) είναι ένα πρωτόκολλο για τη μεταφορά δεδομένων μεταξύ δύο
συσκευών, που αναπτύχθηκε για να παρέχει ιδιωτικότητα και ακεραιότητα των πληροφοριών στο
Internet. Το SSL διαχειρίζεται την εμπιστευτικότητα και την ακεραιότητα του καναλιού μετάδοσης με
χρήση της κρυπτογράφησης των δεδομένων, καθώς και την αυθεντικοποίηση του εξυπηρετητή, αλλά
και του πελάτη όταν είναι απαραίτητο.
Το SSL είναι ένα πρωτόκολλο ασφάλειας που σχεδιάστηκε από την Netscape, για να παρέχει
ασφάλεια κατά τη μετάδοση ευαίσθητων δεδομένων με βάση το πρωτόκολλο TCP / IP. Παρέχει
υπηρεσίες:
• κρυπτογράφησης δεδομένων
• αυθεντικοποίηση εξυπηρετητή και
• ακεραιότητας (Integrity) των μηνυμάτων που μεταδίδονται στο διαδίκτυο.
Η κρυπτογράφηση γίνεται χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη. Το SSL 2.0 υποστηρίζει
μόνο αυθεντικοποίηση εξυπηρετητή (server authentication), ενώ το SSL 3.0 παρέχει επιπλέον και
αυθεντικοποίηση πελάτη (client authentication). Το SSL χρησιμοποιεί το TCP/IP ως το πρωτόκολλο
για αξιόπιστη μεταφορά δεδομένων και είναι ανεξάρτητο από την εφαρμογή. Γι’ αυτό το λόγο
μπορεί και παρέχει υπηρεσίες ασφάλειας σε πρωτόκολλα υψηλότερου επιπέδου όπως TELNET, FTP
και HTTP.
Εφαρμογή Άλλες
Ηλεκτρονικού εφαρμογές
Εμπορίου
Secure TELNET
HTTP HTTP FTP
Others
Secure Socket Layer (SSL)
TCP
IP
Ένα άλλο πρωτόκολλο για ασφαλή μετάδοση δεδομένων στον ιστό (WWW) είναι το Secure HTTP (S-
HTTP). Ενώ το SSL δημιουργεί μια ασφαλή σύνδεση μεταξύ του πελάτη και του εξυπηρετητή, το S-
HTTP σχεδιάστηκε για τη μυστική μετάδοση μεμονωμένων μηνυμάτων. Επομένως, το SSL και το S-
HTTP είναι μάλλον συμπληρωματικές παρά ανταγωνιστικές τεχνολογίες.
CLIENT SERVER
Η βασικότερη απαίτηση για το SSL, είναι να διαθέτει ο εξυπηρετητής πιστοποιητικό (secure server
certificate). Το πιστοποιητικό αυτό ταυτοποιεί τον εξυπηρετητή σε κάθε ενδιαφερόμενο πελάτη και
παρέχει το μηχανισμό σε αυτόν να ξεκινήσει μια ασφαλή σύνοδο. Παρόλο που η ταυτοποίηση του
πελάτη δεν είναι απαραίτητη για την έναρξη μιας SSL συνόδου, δεν ισχύει το ίδιο και για τον
εξυπηρετητή.
Σε ειδικό κεφαλαίο στο παράρτημα, περιγράφουμε συνοπτικά τη διαδικασία ενεργοποίησης του SSL
σε έναν εξυπηρετητή. Η διαδικασία περιλαμβάνει τα παρακάτω βήματα:
Δημιουργία του ζεύγους κλειδιών του εξυπηρετητή με κάποιο δικό του λογισμικό.
Αίτηση για πιστοποιητικό σε κάποια ΑΠ.
Εγκατάσταση του πιστοποιητικού.
Ενεργοποίηση του SSL για τον εξυπηρετητή.
Σκοπιμότητα
Ο πρωταρχικός σκοπός των firewalls είναι να προστατεύσουν τα δίκτυα από εξωτερικούς εισβολείς,
περιορίζοντάς τους τα δικαιώματα προσπέλασης σε αυτό, χωρίς να περιορίζουν την προσπέλαση
στον εξωτερικό περιβάλλον. Για αυτό τα firewalls παρέχουν ένα περίβλημα προστασίας του δικτύου
που το προστατεύουν από απειλές, όπως:
Μη εξουσιοδοτημένη προσπέλαση των δικτυακών πόρων: όταν οι επίδοξοι εισβολείς προσπαθούν να
εισχωρήσουν στο δίκτυο και να αποκτήσουν μη εξουσιοδοτημένη προσπέλαση στα αρχεία.
Άρνηση εξυπηρέτησης: όταν κάποιος εξωτερικός παράγοντας γεμίζει τους διαθέσιμους ελεύθερους
χώρους των δίσκων ή υπερφορτώνει τις γραμμές του δικτύου στέλνοντας μυριάδες μηνυμάτων σε
έναν από τους ξενιστές του δικτύου.
Προσποίηση (masquerading): όταν τα μηνύματα του ηλεκτρονικού ταχυδρομείου φαίνονται ότι
προέρχονται από κάποιον νόμιμο χρήστη ενώ έχουν παραποιηθεί από άλλον με σκοπό την πρόκληση
παρεξηγήσεων ή ζημιών.
Ως λύση στα παραπάνω προβλήματα, πέρα από την ολοκληρωτική αποσύνδεση του δικτύου από τον
έξω κόσμο, προτείνεται η υλοποίηση μηχανισμών προστασίας, όπως τα firewalls, τα οποία από τη μια
φιλτράρουν την προσπέλαση στο δίκτυο, ενώ από την άλλη επιτρέπουν την επικοινωνία με τον έξω
κόσμο.
Ορισμοί
Ένα σύστημα firewall ορίζεται ως το λογισμικό και ο εξοπλισμός που τοποθετούμενος ανάμεσα στο
διαδίκτυο και στο υπό προστασία δίκτυο, επιτρέπει τη προσπέλαση των εξωτερικών χρηστών στο
προστατευμένο δίκτυο, μόνο εφόσον διαθέτουν συγκεκριμένα χαρακτηριστικά. Έτσι ένα τυπικό
σύστημα firewall μπορεί να επιτρέπει επιλεκτικά τη πρόσβαση στους εξωτερικούς χρήστες,
βασιζόμενο σε ονόματα χρηστών και συνθηματικά ή σε IP διευθύνσεις ή ακόμη και σε ονόματα
επικρατειών (domain names). Αυτός είναι ο κύριος σκοπός του: να κρατήσει τις επικίνδυνες
δραστηριότητες μακριά από το προστατευμένο περιβάλλον.
Ένα firewall μπορεί να θεωρηθεί σαν ένα ζευγάρι μηχανισμών που ο ένας μπλοκάρει τη κυκλοφορία
των δεδομένων και ο άλλος επιτρέπει τη ροή τους. Το ποια δεδομένα επιτρέπονται και ποια
απορρίπτονται είναι ζήτημα της πολιτικής ελέγχου (control policy) που υποστηρίζει και εξαρτάται
από την συγκεκριμένη διαμόρφωσή του (firewall configuration). Ένα σύστημα firewall δεν είναι απλά
και μόνο ένας δρομολογητής (router), ένας διανομέας ή διακομιστής (server), ένας οικοδεσπότης
(host) ή ένα σύνολο εξοπλισμού και λογισμικού που παρέχει ασφάλεια στα δίκτυα. Οι αληθινές
δυνατότητές του γίνονται εμφανείς αν τον θεωρήσουμε ως ένα ισχυρό μέσο υλοποίησης μιας
πολιτικής ασφάλειας που καθορίζει τις παρεχόμενες υπηρεσίες και τις επιτρεπτές προσπελάσεις
ανάμεσα σε έμπιστες και μη-έμπιστες επικράτειες. Η υλοποίηση της πολιτικής ελέγχου προσπέλασης
δικτύων (network access control policy) γίνεται με την υποχρεωτική κατεύθυνση όλων των
επικοινωνιών μέσω του firewall, ώστε να αποτελούν αντικείμενο για παραπέρα εξέταση και
καταγραφή από αυτό.
Μια τυπική διάταξη firewalls παρουσιάζεται στην ακόλουθη εικόνα:
Πύλη Firewall
Εσωτερικό Εξωτερικά
δίκτυο δίκτυα
Φιλτράρισμα Φιλτράρισμα
Σε αυτή τη διάταξη, το εσωτερικό δίκτυο χωρίζεται από τα εξωτερικά δίκτυα με μια πύλη firewall
(gateway). Η πύλη χρησιμοποιείται για την παροχή:
υπηρεσιών αναμετάδοσης μεταξύ των δικτύων και
υπηρεσιών φιλτραρίσματος για περιορισμό των πληροφοριών που διέρχονται με προορισμό /
αφετηρία τους ξενιστές του εσωτερικού δικτύου.
Αναγκαιότητα
Καθώς τα τοπικά δίκτυα (local networks) συνδέονται στο Internet, αποτελεί ζήτημα μεγάλης
σημασίας η διασφάλιση της κανονικής λειτουργίας τους από τους νόμιμους και παράνομους χρήστες
τους. Η τοποθέτηση ενός firewall συστήματος ανάμεσα στο τοπικό δίκτυο ενός οργανισμού και το
διαδίκτυο, παρέχει δυνατότητες ελέγχου στη ροή των πληροφοριών και διασφαλίζει τη σύνδεσή του
με το διαδίκτυο, προστατεύοντας εκ μέρους του οργανισμού:
- τους πόρους του (υλικό, λογισμικό, δεδομένα) από φθορά, κατάχρηση, κλοπή και κατάχρηση.
- την υπόληψή του από τη δημοσιοποίηση αδυναμιών στην ασφάλεια του δικτύου του.
- την επικρατούσα πολιτική ορθής χρήσης των υπηρεσιών του διαδικτύου από τους εργαζομένους.
Ο πιο συνηθισμένος πάντως λόγος ύπαρξης ενός συστήματος firewall σε έναν οργανισμό είναι η
παροχή ενός μηχανισμού ελέγχου προσπέλασης (access control), πρώτου επιπέδου, για τον Web
Server. Ένα firewall πρέπει να ελέγχει και να καταγράφει την ροή των επικοινωνιών που διέρχονται
μέσα από τον διακομιστή Web. Δηλαδή πρέπει να παρεμβάλλεται και να αποκόπτει όλη την κίνηση
των δεδομένων ανάμεσα στον Web server και το Internet. Έτσι είναι σε θέση να προστατεύει τα
δεδομένα που δημοσιεύονται από ανεπιθύμητες αλλαγές και να ελέγχει τη πρόσβαση στον
διακομιστή Web, αποκλείοντας τους μη-εξουσιοδοτημένους χρήστες από ευαίσθητους πόρους του
δικτύου.
Ακόμη, ένας οργανισμός μπορεί να χρησιμοποιήσει ένα firewall για να απομονώσει τις επικοινωνίες
ανάμεσα στα δίκτυα των επιμέρους τμημάτων του. Για παράδειγμα ένα νοσοκομείο ενδεχομένως να
θελήσει να διαχωρίσει το δίκτυο διακίνησης των δεδομένων των ασθενών από το δίκτυο των
οικονομικών στοιχείων του. Ένα ή περισσότερα firewalls (intranet firewalls) μπορούν να
χρησιμοποιηθούν για να παρέχουν απομόνωση και ελεγχόμενη προσπέλαση ανάμεσα στα διάφορα
μέρη ενός οργανισμού.
Ένα σύστημα firewall λοιπόν μπορεί να αποτελέσει μια διάταξη δρομολόγησης (router), ένας
προσωπικός υπολογιστής, ένας διακομιστής, ή ένα σύνολο από διακομιστές, διαμορφωμένοι με
τέτοιο τρόπο ώστε να οχυρώνουν μια δικτυακή τοποθεσία (site) ή ένα υποδίκτυο (subnet) από
πρωτόκολλα και υπηρεσίες (π.χ. υπηρεσίες FTP, HTTP, e-mail κλπ.) οι οποίες μπορούν να
προσβληθούν από διακομιστές εκτός του υποδικτύου. Η συνηθισμένη θέση του είναι ως πύλη
υψηλού επιπέδου ακριβώς στο σημείο σύνδεσης ενός οργανισμού με το Internet. Όπως όμως έχει
ήδη αναφερθεί, μπορεί να τοποθετηθούν και ως πύλες χαμηλότερων επιπέδων πρόσβασης, με
σκοπό τη προστασία επιμέρους τμημάτων ενός υποδικτύου.
Η εγκατάσταση επιπλέον συστημάτων firewall ως διαχωριστικά των επιμέρους τμημάτων ενός
οργανισμού, προσφέρει δυνατότητες διαχωρισμού των εξουσιοδοτήσεων που προσφέρονται στους
εσωτερικούς χρήστες, λεπτομερέστερη επίβλεψή τους και γενικότερα υποστήριξη υπευθυνότητας με
περισσότερη διακριτότητα. Με άλλα λόγια, παρέχει μέτρα προστασίας από τους νόμιμους και
εσωτερικούς χρήστες του δικτύου, δηλαδή σύμφωνα και με τις περισσότερες έρευνες, για τον
σημαντικότερο κίνδυνο ενός οργανισμού.
Ο έλεγχος που πραγματοποιούν αυτά τα firewalls, αφορά κυρίως το είδος της κυκλοφορίας του
δικτύου, αφού εξετάζονται μόνο οι IP-επικεφαλίδες κάθε πακέτου. Εκεί υπάρχουν οι πληροφορίες
δρομολόγησης (όπως η προέλευση και ο προορισμός του κάθε πακέτου). Το περιεχόμενο του κάθε
πακέτου δεν εξετάζεται, γι’ αυτό και η τεχνολογία αυτή είναι κατάλληλη για απλές σχετικά πολιτικές
ασφαλείας.
Δεν προσφέρει επαρκείς μηχανισμούς επίβλεψης (auditing) και ειδοποίησης κινδύνου (alerting).
Δεν υποστηρίζει εύκολη διαχείριση γιατί υπάρχει περιορισμένος αριθμός κανόνων οι οποίοι μάλιστα
απαιτούν κατανόηση των ιδιαιτεροτήτων των πρωτοκόλλων επικοινωνίας. Έτσι είναι αρκετά σύνθετο
και δύσκολο έργο η ορθή διαμόρφωσή τους για την εφαρμογή μιας πολιτικής ασφάλειας. Βέβαια
διατίθενται κάποια εργαλεία υποστήριξης του έργου των διαχειριστών, που ελέγχουν τη σύνταξη των
κανόνων, κάνουν λιγότερο άβολο το περιβάλλον επικοινωνίας (interface), κλπ.
Δεν διαθέτουν συνήθως μηχανισμούς αυθεντικοποίησης σε επίπεδο χρήστη (user level
authentication).
Δεν προστατεύουν από επιθέσεις πλαστογραφίας σε IP και DNS διευθύνσεις (IP & DNS address
spoofing). Η βασική αδυναμία των μηχανισμών φιλτραρίσματος πακέτων είναι ότι στηρίζονται στις IP
διευθύνσεις, οι οποίες όμως δεν είναι απόλυτα ασφαλείς γιατί συνήθως δεν προστατεύονται.
Σε γενικές γραμμές το επίπεδο ασφάλειας που προσφέρουν είναι χαμηλού επιπέδου. Από την άλλη
μεριά πάλι, είναι απλοί, ταχύτατοι, ευέλικτοι και χαμηλού κόστους. Έτσι θεωρούνται ιδανικοί για
περιβάλλοντα χαμηλής επικινδυνότητας (low-risk environments). Βεβαίως οι υπηρεσίες που
προσφέρουν είναι σημαντικότατες για αυτό και θεωρούνται αναπόσπαστο τμήμα ενός
ολοκληρωμένου συστήματος firewall.
Πύλες Κυκλωμάτων
Η χρήση των πυλών κυκλωμάτων σε διατάξεις firewalls αναβαθμίζει σημαντικά την ασφάλεια των
δικτύων. Επιτρέπουν τη χρήση εφαρμογών που βασίζονται στα πρωτόκολλα επικοινωνίας TCP και
UDP, όπως για παράδειγμα WWW, Telnet, κά, χωρίς να αφήνουν να γίνονται όλα σε επίπεδο
πρωτοκόλλου επικοινωνίας.
Οι πύλες κυκλωμάτων λειτουργούν ως εκπρόσωποι (agents) των πρωτοκόλλων επικοινωνίας,
μεταβιβάζοντας (relay) την δικτυακή κίνηση μεταξύ δυο υπολογιστών που είναι συνδεμένοι μεταξύ
τους μέσω ενός ιδεατού κυκλώματος (virtual circuit) του δικτύου. Ένας εσωτερικός χρήστης, για
παράδειγμα, μπορεί να συνδέεται σε μια θύρα (port) της πύλης η οποία στη συνέχεια μπορεί να
συνδέεται σε μια άλλη θύρα ενός υπολογιστή που βρίσκεται σε ένα εξωτερικό δίκτυο. Η πύλη απλά
αντιγράφει bytes από την μια θύρα στην άλλη. Κανονικά η πύλη μεταβιβάζει τα δεδομένα χωρίς να
τα εξετάζει, αλλά συνήθως διατηρεί μια καταγραφή της ποσότητας των μεταβιβαζόμενων δεδομένων
και του προορισμού τους. Σε μερικές περιπτώσεις η σύνδεση μεταβίβασης (relay connection), η
οποία με αυτό τον τρόπο διαμορφώνει τελικά ένα 'κύκλωμα', λειτουργεί αυτόματα. Άλλες φορές
πάλι, χρειάζεται να καθορισθεί στην πύλη η επιθυμητή θύρα προορισμού.
Παρόλο που κανονικά οι μεταβιβάσεις θεωρούνται σε περιβάλλοντα TCP, οι πύλες κυκλωμάτων
μπορούν ακόμη να χρησιμοποιηθούν και σε εφαρμογές UDP (User Datagram Protocol).
Ένα από τα μειονεκτήματα αυτών των συστημάτων είναι ότι οι εφαρμογές των πελατών (clients)
πρέπει να μετατραπούν πριν να καταστούν έτοιμες για να λειτουργήσουν με μια συγκεκριμένη πύλη
κυκλωμάτων.
Πύλες Εφαρμογών
Οι πύλες κυκλωμάτων και οι πύλες εφαρμογών αναφέρονται και ως proxy servers, καθώς και οι δυο
συμπεριφέρονται ως εκπρόσωποι (proxies) του υποτιθέμενου πελάτη. Όμως οι πύλες εφαρμογών
προχωρούν ακόμη παραπέρα, σε ότι αφορά την ασφάλεια των δικτύων. Λειτουργούν στο υψηλότερο
στρώμα επικοινωνίας, γνωστό ως το επίπεδο εφαρμογής (application layer). Έτσι έχουν πρόσβαση σε
περισσότερες πληροφορίες από ότι τα συστήματα με απλό φιλτράρισμα πακέτων και μπορούν να
προγραμματιστούν πιο έξυπνα κάνοντάς τα ικανά να υποστηρίξουν σύνθετες πολιτικές ασφάλειας.
Όλα τα IP-πακέτα που φτάνουν ή που πρέπει να φύγουν, εξετάζονται πρώτα ως προς το περιεχόμενό
τους και ανάλογα προωθούνται ή απορρίπτονται. Για το σκοπό αυτό χρησιμοποιούνται προγράμματα
που εκτελούνται σαν εφαρμογές, οι οποίες ονομάζονται proxies. Κάθε TCP/IP υπηρεσία που θέλουμε
να ελέγχεται από το firewall, έχει το δικό της proxy, δηλαδή μια υπηρεσία διαμεσολαβητή
(middleman service). Για παράδειγμα, ένας χρήστης προερχόμενος από το Internet, για να αποκτήσει
πρόσβαση στην υπηρεσία FTP ενός μηχανήματος του προστατευμένου δικτύου, θα πρέπει πρώτα να
συνδεθεί με τη αντίστοιχη proxy εφαρμογή, να ακολουθήσει η αναγνώριση – πιστοποίησή του και
στη συνέχεια αν η πολιτική ασφάλειας του firewall περιέχει για το συγκεκριμένο και αναγνωρισμένο
χρήστη τις κατάλληλες εξουσιοδοτήσεις, θα προωθηθεί η σύνδεση με την υπηρεσία FTP που ζήτησε.
Κάθε υπηρεσία proxy, είναι ένα λογισμικό δυο κατευθύνσεων που δρα ταυτόχρονα και σαν
διανομέας (server) και σαν πελάτης (client):
- στους εσωτερικούς χρήστες απαντάει σαν να είναι η εξωτερική σύνδεση που ζήτησαν, ενώ
- στους εξωτερικούς χρήστες αποκρίνεται σαν να είναι η εσωτερική υπηρεσία που θα χρειαστούν.
Στην πραγματικότητα, δηλαδή, ένα τέτοιου τύπου firewall ή συστατικό ενός firewall, τρέχοντας
ψευδό-εφαρμογές, εισέρχεται στη μέση της ανταλλαγής πρωτοκόλλων και έτσι ελέγχει τη
νομιμότητα των επικοινωνιών.
Οποιαδήποτε άλλη υπηρεσία δεν μπορεί να στείλει ή να λάβει δεδομένα. Αυτός είναι άλλωστε και ο
ρόλος του συστήματος firewall, ως ένα τείχος ασφαλείας ισχυρό αλλά και ικανό να προσαρμόζεται
εύκολα στις ανάγκες επικοινωνίας ενός δικτύου. Η τεχνολογία αυτή προσφέρει ολοκληρωμένη
ασφάλεια με τους ισχυρούς μηχανισμούς αυθεντικοποίησης χρηστών και συστημάτων (entity and
origin authentication), καταγραφής (logging) και υποστήριξης υπευθυνότητας (accounting) που
διαθέτει. Επιπλέον, προσφέρει πολύ ευκολότερη διαχείριση, αφού οι κανόνες που απαιτεί για τον
έλεγχο μιας εφαρμογής είναι πολύ πιο απλοί από αυτούς που θα χρειαζόταν ένα firewall τύπου
φίλτρου πακέτων. Αξίζει να σημειωθεί ότι επιπλέον μπορεί να ορισθεί σαν μια από τις υπηρεσίες της,
ο έλεγχος της κυκλοφορίας των δεδομένων μέσω IP επικεφαλίδων, δηλαδή η πύλη εφαρμογών
μπορεί να παίξει και το ρόλο ενός φίλτρου πακέτων δεδομένων, αλλά με χαμηλότερες επιδόσεις στη
ταχύτητα ελέγχου των πακέτων.
Ο όρος firewall αναφέρεται πλέον στις δυο νεότερες τεχνολογίες, αυτές που ξεφεύγουν από ένα
απλό (stateless) φιλτράρισμα πακέτων. Η σύγκριση λοιπόν αφορά σήμερα τα συστήματα τύπου
application gateway και τύπου stateful inspection.
Το μειονέκτημα των πρώτων είναι ότι πρέπει να γραφεί ένα εξειδικευμένο πρόγραμμα (proxy) για
κάθε εφαρμογή που πρέπει να διαπερνά το firewall. Βέβαια κάθε τέτοιο firewall έρχεται με έναν
αριθμό ήδη έτοιμων εφαρμογών για την εξυπηρέτηση των πιο συνηθισμένων υπηρεσιών (όπως FTP,
HTTP κλπ.). Πάντως η ανάπτυξη μιας εφαρμογής proxy για μια νέα υπηρεσία είναι μια χρονοβόρα και
δύσκολη υπόθεση.
Αυτό το μειονέκτημα έρχονται να καλύψουν τα firewalls δυναμικού φιλτραρίσματος. Η προσθήκη
υποστήριξης νέων υπηρεσιών, γίνεται εδώ πιο εύκολα μέσω μιας πανίσχυρης και υψηλού επιπέδου
γλώσσας προγραμματισμού (Inspect Language) η οποία έχει τη δυνατότητα να επεμβαίνει στο κέντρο
της λειτουργίας του firewall, την αποκαλούμενη Inspect Engine. Έτσι, διαθέτουν πολύ σημαντική
επεκτασιμότητα (system extensibility). Επιπλέον, η τεχνολογία αυτή stateful inspection (και μόνον
αυτή) προσφέρει δυνατότητα φιλτραρίσματος για πρωτόκολλα UDP (User Datagram Protocol) και
RPC (Remote Procedure Call). Τα πρωτόκολλα αυτάt είναι stateless, δηλαδή κάθε μονάδα δεδομένων
ταξιδεύει ανεξάρτητη, εφοδιασμένη με πληροφορίες πηγής και προορισμού. Αυτό όμως δυσκολεύει
τη δουλειά ενός κλασσικού firewall, γιατί δεν γνωρίζει για το κάθε πακέτο σε ποια επικοινωνία
εντάσσεται. Η Inspect Engine είναι ικανή να δημιουργεί και να αποθηκεύει «συμφραζόμενα» (context
data), για να προσφέρει έλεγχο και σε τέτοιες επικοινωνίες.
Όμως, για όλα αυτά υπάρχει τίμημα. Είναι η ευκολία δημιουργίας λαθών κατά τη συντήρηση ενός
firewall με stateful inspection. Ο διαχειριστής ενός τέτοιου firewall, πρέπει να είναι πολύ προσεκτικός
γιατί έχει στη διάθεσή του ισχυρά εργαλεία που αν δεν χρησιμοποιηθούν σωστά, θα επιτρέπονται
επικίνδυνες υπηρεσίες να διαπερνούν το σύστημα, κάνοντάς το έτσι πιο ευάλωτο. Δεν είναι λοιπόν
τυχαίο ότι για τους επίδοξους εισβολείς (intruders, hackers κλπ.) τα συστήματα δυναμικού
φιλτραρίσματος πακέτων, αποτελούν τον αγαπημένο τους στόχο. Προφανώς θεωρούνται πιο
δύσκολα για τη πραγματοποίηση επιτυχημένων επιθέσεων, αν έχουν διαμορφωθεί σωστά.
Αυτή η αρχιτεκτονική χρησιμοποιεί έναν διακομιστή που καλείται οχυρό (bastion host) και έναν
δρομολογητή φιλτραρίσματος (filtering or screening router). Ο δρομολογητής αυτός είναι έτσι
διαμορφωμένος ώστε να στέλνει αποκλειστικά στον bastion host όλες τις προερχόμενες από το
εξωτερικό δίκτυο αιτήσεις, όποιον προορισμό και αν είχαν αυτές μέσα στο εσωτερικό δίκτυο. Όλοι
λοιπόν οι εξωτερικοί διακομιστές, υποχρεωτικά περνούν μέσω του λογισμικού firewall στο
διακομιστή-οχυρό.
Screened subnet
Πρόκειται για την προηγούμενη αρχιτεκτονική μορφή το επιπλέον στοιχείο ότι ένας δεύτερος
δρομολογητής φιλτραρίσματος χρησιμοποιείται για να διαχωρίσει τον bastion host και το δίκτυο που
αυτός βρίσκεται, το οποίο καλείται περιμετρικό δίκτυο, από το υπόλοιπο εσωτερικό δίκτυο. Έτσι
παρέχεται ακόμη ένα επίπεδο προστασίας.
Μια παραλλαγή αυτής της αρχιτεκτονικής αποτελεί η περίπτωση όπου υπάρχουν δυο bastion hosts
στο περιμετρικό δίκτυο και ο καθένας τους απολαμβάνει τις υπηρεσίες του δικού του screening
router.
Τα κύρια σημεία μιας πολιτικής ασφάλειας μέσω firewalls είναι ότι πρέπει:
• Ένα firewall να διαμορφώνεται έτσι ώστε να αποτελεί τη μόνη ορατή διεύθυνση διακομιστή προς το
έξω δίκτυο, ενώ ταυτόχρονα απαιτεί όλες οι συνδέσεις προς και από το εσωτερικό δίκτυο να
διέρχονται μέσω αυτού.
• Οι ισχυροί μηχανισμοί πιστοποίησης χρηστών να εφαρμόζονται σε επίπεδο εφαρμογής (application
gateways).
• Οι υπηρεσίες proxy-διαμεσολάβησης να παρέχουν λεπτομερείς πληροφορίες καταγραφής (logging)
σε επίπεδο εφαρμογής.
• Να μην επιτρέπεται η άμεση προσπέλαση στις δικτυακές υπηρεσίες του εσωτερικού δικτύου . Όλες
οι αιτήσεις που φτάνουν για υπηρεσίες, όπως TELNET, FTP, HTTP, e-mail κλπ, να διέρχονται μέσω
της κατάλληλης υπηρεσίας proxy στο firewall, ανεξάρτητα με το ποιος εσωτερικός διακομιστής είναι
ο τελικός προορισμός τους.
• Όλες οι νεοεισερχόμενες υπηρεσίες οφείλουν να διεκπεραιώνονται από υπηρεσίες proxy του
firewall. Αν μια νέα υπηρεσία ζητηθεί, αυτή δεν θα είναι διαθέσιμη έως ότου διατεθεί το αντίστοιχο
λογισμικό proxy και γίνουν οι έλεγχοι από το διαχειριστή ασφάλειας.
• Όλη η διαχείριση του συστήματος firewall να διενεργείται από ένα τοπικό τερματικό. Δεν
επιτρέπεται προσπέλαση στο λογισμικό λειτουργίας του firewall, από απομακρυσμένη τοποθεσία
(remote access). Η φυσική προσπέλαση προς το τερματικό του firewall να επιτρέπεται μόνο στο
διαχειριστή του και στον εφεδρικό διαχειριστή.
• Ένας διαχειριστής συστημάτων firewall οφείλει να έχει πολύ καλή εμπειρία στα δικτυακά ζητήματα
ασφάλειας, καθώς και στη σχεδίαση και υλοποίηση firewalls. Έτσι μπορεί να επιτύχει τη σωστή
ρύθμιση-εγκατάστασή του και μπορεί να το διαχειρίζεται με ασφαλή τρόπο. Ακόμη οι διαχειριστές
οφείλουν σε περιοδική βάση, να επιμορφώνονται και να ενημερώνονται πάνω σε πρακτικές
ασφάλειας δικτύων και λειτουργίας συγχρόνων firewalls.
• Το λογισμικό και τα δεδομένα ενός συστήματος firewall, δηλαδή το λογισμικό συστήματος, τα
αρχεία ρυθμίσεων, τα αρχεία της βάσης δεδομένων, τα αρχεία καταγραφής κλπ να αντιγράφονται
σε καθημερινή, εβδομαδιαία και μηνιαία βάση, έτσι ώστε σε περίπτωση αποτυχίας του συστήματος
(system failure) να υπάρχει η δυνατότητα αποκατάστασης της λειτουργίας του χωρίς σημαντικές
απώλειες. Τα εφεδρικά αρχεία να φυλάσσονται με ασφάλεια σε αξιόπιστα και μόνο ανάγνωσης
μέσα για να αποφευχθεί η ακούσια διαγραφή–καταστροφή τους. Μόνο το κατάλληλο προσωπικό
να έχει φυσική πρόσβαση σε αυτά.
• Τουλάχιστον ένα ακόμη σύστημα firewall, έτοιμο προς χρήση και με τις σωστές ρυθμίσεις να
κρατείται εκτός λειτουργίας ως εφεδρεία.
firewall. Έστω και αν ένας εσωτερικός διακομιστής αποκτήσει τέτοια εξωτερική σύνδεση, ολόκληρο
το εσωτερικό δίκτυο τίθεται σε κίνδυνο.
Δεν είναι εντελώς άτρωτα, μπορούν να διαπεραστούν. Οι κατασκευαστές των συστημάτων firewalls
τα κρατούν μικρά και απλά έτσι ώστε ο πιθανός εισβολέας να μην αποκτήσει στη συνέχεια τον έλεγχο
επικίνδυνων εργαλείων όπως τα προγράμματα μεταγλώττισης (compilers), τα προγράμματα
σύνδεσης (linkers) κλπ. Όμως σε καμιά περίπτωση δεν πρέπει να θεωρείται ότι είναι ικανά μόνα τους
να εξασφαλίσουν την απόκρουση όλων των εξωτερικών επιθέσεων. Πρέπει να θεωρούνται απλώς
σαν μια ισχυρή πρώτη γραμμή άμυνας.
Αποτελούν για έναν οργανισμό, το πιο ορατό σημείο του προς τον έξω κόσμο. Έτσι μοιραία είναι και
ο πιο ελκυστικός στόχος επίθεσης. Απαραίτητη λοιπόν και πάλι η οργάνωση άμυνας εις βάθος, με
επιπλέον επίπεδα προστασίας.
Διαθέτουν από περιορισμένο έως ελάχιστο έλεγχο πάνω στο περιεχόμενο των εισερχομένων
μηνυμάτων. Έτσι σε επιθέσεις όπως αυτές των ιών και παρόμοιου επικίνδυνου κώδικα χρειάζονται
επιπλέον μέτρα προστασίας.
Απαιτούν σωστή εγκατάσταση, προσεκτικές ρυθμίσεις και συνεχείς ενημερώσεις στη διαμόρφωσή
τους ανάλογα με τις αλλαγές που παρουσιάζουν το εσωτερικό δίκτυο και οι συνδέσεις τους με τον
έξω κόσμο. Ακόμη πρέπει να μελετώνται οι εγγραφές των αρχείων καταγραφής για τον έλεγχο της
απόδοσής τους και για τον εντοπισμό πιθανών δυσλειτουργιών τους. Αλλιώς δημιουργείται μια
εσφαλμένη αίσθηση ασφάλειας με αποτέλεσμα μια σχετικά εύκολη διείσδυση να αφήνει
απροστάτευτους τους θεωρούμενους ασφαλείς εσωτερικούς πόρους.
Αποδεκτή λειτουργικότητα στα συστήματα firewalls
Ένα σύστημα firewall θα πρέπει να ικανοποιεί τις ακόλουθες προϋποθέσεις:
Να απορρίπτει κάθε πακέτο που ρητά κάποιος κανόνας δεν το επιτρέπει. Αυτή είναι η εξ ορισμού (by
default) ρύθμιση για τα περισσότερα firewalls και επιβάλλει στο διαχειριστή τους να διευκρινίσει
ποιες ακριβώς επικοινωνίες είναι αποδεκτές.
Να κρατάει τους εξωτερικούς χρήστες έξω από το προστατευμένο δίκτυο. Αν για παράδειγμα, πρέπει
κάποια αρχεία να γίνουν προσιτά μέσω διαδικτύου, τότε το πιο σίγουρο είναι αυτά να τοποθετηθούν
έξω από το firewall. Εναλλακτικά, απαιτούνται ισχυροί μηχανισμοί αυθεντικοποίησης
(authentication) σε επίπεδο εφαρμογών για την παρεμπόδιση των μη-εξουσιοδοτημένων χρηστών.
Να διαθέτει προηγμένα εργαλεία καταγραφής, επίβλεψης και πρόκλησης συναγερμού (alarm
generation), ικανά να δημιουργούν και να αναλύουν τις πραγματοποιημένες συναλλαγές με σκοπό
την εξαγωγή συμπερασμάτων σχετικά με το είδος και τη φύση των επιθέσεων και τη συνακόλουθη
προσαρμογή της υφιστάμενης πολιτικής ασφάλειας.
Συνοπτικά, ένα firewall πρέπει να είναι ικανό να προσφέρει υπηρεσίες ασφάλειας ελέγχου
προσπέλασης (access control), συνδυάζοντας μηχανισμούς αυθεντικοποίησης (authentication),
εξουσιοδότησης (authorization), επίβλεψης (auditing) και, όπου είναι δυνατόν, κρυπτογράφησης
(encryption).
Ανάλογα με τα συστατικά που περιλαμβάνει ένα σύστημα firewall, παρέχει και διαφορετική βαθμίδα
ασφάλειας. Και ουσιαστικά πρόκειται για μια σχέση αντιστρόφως ανάλογη ανάμεσα στην
παρεχόμενη ελευθερία σύνδεσης και στην ασφάλεια (connectivity against security). Πλήρης
ελευθερία σύνδεσης σημαίνει καθόλου ασφάλεια ενώ αντίθετα πλήρης ασφάλεια σημαίνει καθόλου
ελευθερία σύνδεσης. Οι ενδιάμεσες βαθμίδες στη συνδεσιμότητα εξαρτώνται από τις υπηρεσίες και
το βάθος ασφάλειας που υποστηρίζονται.
Διεύρυνση Διαχείριση
ασφάλειας αλληλογρ.
Διαχείριση Απαγορευμ
από firewalls Υπηρεσία
αλληλογρ. ένη
ονομασιών
Διαχείριση Υπηρεσία προσπέλασ
ονομασιών Πύλ.
αλληλογρ. η
Εφαρμογ.
Υπηρεσία Πυλ.εφαρμ. Φίλτρα
Πύλες ονομασιών
Φίλτρα Ασφαλές IP
εφαρμογών Πύλες
εφαρμογών
Φίλτρα Ασφαλές
Φίλτρα Φίλτρα
λειτουργικό
Απεριόριστ Ασφαλές
σύστημα
η λειτουργικό
προσπέλασ σύστημα
η
από το
Ανύπαρκτη
Internet Ολοκληρωμένη
ασφάλεια ασφάλεια
Η διαβάθμιση της παρεχόμενης ασφάλειας από ένα firewall εξαρτάται επιπλέον από το εάν παρέχει
εμπιστευτικότητα και ακεραιότητα μέσω μηχανισμών κρυπτογράφησης. Η παρεχόμενη ασφάλεια
καλείται Internet Layer Security γιατί η κρυπτογράφηση γίνεται μέσα στο χαμηλό IP κανάλι
επικοινωνίας (IP layer ). Υποστηρίζει εμπιστευτικότητα και ακεραιότητα από οικοδεσπότη σε
οικοδεσπότη (security on a host-to-host basis). Η δυνατότητα αυτή διακίνησης κρυπτογραφημένων
δεδομένων μέσα στο πρωτόκολλο IP, καλείται και ασφαλές πρωτόκολλο IP (secure IP).
ΙV.
ΠΑΡΑΔΕΙΓΜΑ ΤΕΧΝΙΚΩΝ ΠΡΟΣΤΑΣΙΑΣ
ΕΝΟΣ ΙΑΤΡΙΚΟΥ ΠΛΗΡΟΦΟΡΙΑΚΟΥ ΣΥΣΤΗΜΑΤΟΣ
Με τον όρο «Έκτακτη Ανάγκη» εννοείται μια τέτοιας έκτασης καταστροφή στο σύστημα
πληροφορικής που ουσιαστικά είναι αδύνατη η άμεση (ή έστω εντός λίγων ωρών, ή και μίας ή δύο
ημερών) επαναλειτουργία του. Οι βασικές περιπτώσεις καταστάσεων «έκτακτης ανάγκης» είναι:
Περιπτώσεις ‘δυσλειτουργίας’
Οι πιο συνηθισμένες περιπτώσεις δυσλειτουργίας ενός Κέντρου Πληροφορικής οφείλονται σε φυσικά
αίτια, όπως οι διακοπές ηλεκτρικής ενέργειας, προσωρινές βλάβες από πυρκαγιά, πλημμύρα κ.λ.π.,
απώλεια κάποιων γραμμών επικοινωνίας, ή βλάβη «πτώση» μέρους του εξοπλισμού ή και του
κεντρικού Η/Υ, κλπ. Αυτές θα πρέπει να αντιμετωπίζεται με άμεση μετάπτωση στο εφεδρικό σύστημα
που θα πρέπει να υπάρχει. Σε αντίθετη περίπτωση προκαλείται αναπόφευκτα κάποια καθυστέρηση
στην λειτουργία τους, μέχρι την αποκατάσταση των βλαβών και την πλήρη λειτουργία του
εξοπλισμού. Τέτοιες περιπτώσεις μέτρων προληπτικής ασφάλειας εξετάζονται στην συνέχεια στο
κεφάλαιο «Φυσική Ασφάλεια».
₋ πώς διακινούνται οι εμπιστευτικές πληροφορίες εκτός δικτύων (π.χ. εκτυπώσεις, δισκέτες, ταινίες)
₋ πώς και πόσες γενιές φυλάσσονται, από ποια δεδομένα και πού, κλπ.
Η συστηματική καταγραφή και παρακολούθηση όλων αυτών, αποτελεί μία βασικότατη, επίπονη και
αρκετά εξειδικευμένη λειτουργία ελεγκτικού και εμπιστευτικού χαρακτήρα. Η εποπτεία και ο έλεγχος
της τήρησης των προδιαγραφών, η τακτική επιθεώρηση ή αναθεώρηση τους, και η λήψη κάποιων
νέων μέτρων, πρέπει να είναι μία συνεχής και μόνιμη απασχόληση των υπεύθυνων ασφαλείας που
θα αποτελούν ξεχωριστή υπηρεσία στο Κέντρο Πληροφορικής με απευθείας αναφορά στην διοίκηση.
Σε γενικές γραμμές η ασφάλεια των καθημερινών εργασιών θα μπορούσε να διακριθεί στις εξής
βασικές «λογικές» ενότητες:
1) Την Φυσική ασφάλεια των Πληροφοριακών συστημάτων:
• Προφύλαξη από φυσική αιτία ή τυχαία ενέργεια.
• Προφύλαξη από σκόπιμη ενέργεια
2) Την Λογική ασφάλεια των Πληροφοριακών Συστημάτων:
• Προφύλαξη από τυχαία λανθασμένη ενέργεια
• Προφύλαξη από σκόπιμα λανθασμένη ενέργεια (Βιομηχανική κατασκοπία, Σαμποτάζ).
3) Την ασφάλεια των Δικτύων και του εξοπλισμού συναλλαγών:
• Προφύλαξη από φυσική αιτία ή τυχαία ενέργεια
• Προφύλαξη από σκόπιμα λανθασμένη ενέργεια (Βιομηχανική κατασκοπία, Σαμποτάζ).
4) Την ασφάλεια των λοιπών δικτύων, του περιφερειακού και του βοηθητικού εξοπλισμού:
• Προφύλαξη από φυσική αιτία ή τυχαία ενέργεια
• Προφύλαξη από σκόπιμα λανθασμένη ενέργεια (Βιομηχανική κατασκοπία, Σαμποτάζ).
Στη συνέχεια παρουσιάζονται συνοπτικά, για κάθε προαναφερόμενη ενότητα οι συνιστώσες που
πρέπει να προστατευθούν, οι κίνδυνοι και τα μέτρα που πρέπει να ληφθούν για την αποφυγή των
αρνητικών συνεπειών, σε όλη την υλικοτεχνική υποδομή και τη χρήση ενός Πληροφοριακού
Συστήματος.
Φυσική Ασφάλεια
Περιλαμβάνει τα παρακάτω βασικά θέματα Προστασίας (counter-measures):
₋ Προστασία των χώρων του Κέντρου Πληροφορικής και ιδιαίτερα του computer room (π.χ.
ελεγχόμενη πρόσβαση).
₋ Προστασία του Υλικού (Hardware) από οποιαδήποτε απειλή, βλάβη ή ανθρώπινη απροσεξία.
₋ Προστασία των εφεδρικών αντιγράφων (Back-Up) του Συστήματος και των προγραμμάτων
εφαρμογών (βιβλιοθηκών, πακέτων) και των δεδομένων της Τράπεζας.
₋ Εγκατάσταση συστημάτων προστασίας (π.χ. Συστήματος Αδιάλειπτου Λειτουργίας (U.P.S),
συστήματος πυρόσβεσης με αδρανές αέριο, κλπ).
Παραδείγματα
Λογική Ασφάλεια
Περιλαμβάνει την προφύλαξη (προστασία) του λογισμικού, και την προφύλαξη των δεδομένων.
Διακρίνεται δε στις παρακάτω ενότητες:
₋ Προφύλαξη (προστασία) στο λογισμικό.
₋ Προστασία των Λειτουργικών προγραμμάτων
₋ Περιλαμβάνει τα παρακάτω βασικά θέματα προστασίας:
₋ Προστασία λειτουργίας της Μνήμης και της Κεντρικής Μονάδας Επεξεργασίας των Η/Υ
₋ Προστασία των Αρχείων του Λειτουργικού συστήματος
₋ Προστασία των βιβλιοθηκών εγκατάστασης (Γλώσσες προγραμματισμού, Utilities, Εκτελέσιμα
προγράμματα, Υπορουτίνες)
₋ Προστασία-Έλεγχος προσπέλασης.
Στο κεφάλαιο αυτό εξετάζεται ιδιαίτερα το δίκτυο των On-Line συναλλαγών (π.χ. μιας τράπεζας), σε
αντίθεση με τα υπόλοιπα δίκτυα του ίδιου Οργανισμού. Ο λόγος είναι ότι η τοπολογία και η χρήση
του δικτύου συναλλαγών είναι πολλές φορές ιδιαίτερα εκτεταμένη, τα μηνύματα είναι σημαντικά
(μεταφέρει ποσά, κωδικούς λογαριασμών και άλλες ευαίσθητες πληροφορίες), τα τερματικά
βρίσκονται διεσπαρμένα (π.χ. σε όλη τη χώρα), και τέλος τα χειρίζονται μεγάλος αριθμός υπαλλήλων,
που κατά κύριο λόγο ελέγχονται μόνο σε τοπικό επίπεδο, ή τα χειρίζεται και το ίδιο το κοινό (στην
περίπτωση π.χ. των Αυτόματων Ταμειολογιστικών Μηχανών μιας τράπεζας (ΑΤΜ’S)).
Διακρίνουμε τα παρακάτω θέματα προστασίας:
Προστασία του μηνύματος
Αυτή επιτυγχάνεται με κρυπτογραφία καθώς και με μεθόδους αυθεντικοποίησης, πιστοποίησης και
κατάλληλου επιπέδου πρόσβασης. Οι παραπάνω προϋποθέσεις εξασφαλίζονται συνήθως από το
λογισμικό της εφαρμογής ή του πακέτου που υποστηρίζει τις συγκεκριμένες συναλλαγές. Ιδιαίτερα η
κρυπτογράφηση όλου ή μέρους του μηνύματος, επιτυγχάνεται είτε με μεθόδους λογισμικού, είτε με
κατάλληλες συσκευές που παρεμβάλλονται στα δύο άκρα της τηλεφωνικής γραμμής, που είναι και το
πιο ευάλωτο σημείο του δικτύου.
Φυσική Προστασία του δικτύου εγκατάστασης
Οι διάφορες «συνιστώσες» στο δίκτυο των Οn-Line συναλλαγών μπορούν γενικά να διαιρεθούν σε
αυτές που βρίσκονται στο Κέντρο Πληροφορικής (Communication controllers,modems κ.λ.π.) και
αυτές που βρίσκονται στα υποκαταστήματα ή άλλες υπηρεσίες του οργανισμού (control units,
modems, τερματικά, εκτυπωτές κ.λ.π.). Σε γενικές γραμμές, ισχύουν τα ίδια που αναφέρθηκαν για
την φυσική ασφάλεια του ίδιου του Κέντρου Πληροφορικής.
Ιδιαίτερη προσοχή χρειάζεται στους χώρους όπου καταλήγουν ή οδεύουν οι τηλεφωνικές γραμμές
που χρησιμοποιεί το δίκτυο, καθώς και οι χώροι που βρίσκονται modems, control units, κ.λ.π. Επίσης
μεγάλη προσοχή πρέπει να δίδεται στην φύλαξη και χρήση των passwords, ειδικών κλειδιών για τα
τερματικά των συναλλαγών κ.λ.π.
Παραδείγματα πιθανών κινδύνων (security threats):
Υποκλοπή μηνυμάτων από παγίδευση γραμμών (wiretrapping)
Τροποποίηση μηνυμάτων με παγίδευση γραμμών
Υποκλοπή παραμέτρων αυθεντικοποίησης
Λανθασμένη δρομολόγηση εξόδων (routing)
Διασταυρωμένη επικοινωνία (crosstalk)
Λήψη ηλεκτρομαγνητικής ακτινοβολίας από τα τερματικά
Βλάβη Δικτύων
Παραδείγματα βασικών μέτρων προστασίας (counter-measures):
Κρυπτογραφία κατά την μεταφορά δεδομένων
Αποκλειστικές και εναλλακτικές τηλεφωνικές γραμμές
Restart/Recovery διαδικασίες
Μέτρα για την φυσική προστασία της εγκατάστασης και των συνιστωσών του δικτύου (ιδιαίτερα
remote)
Στο κεφάλαιο αυτό εξετάζονται οι παράμετροι ασφαλείας που ισχύουν για τον λοιπό
«μηχανογραφικό» εξοπλισμό που υποστηρίζει τις υπηρεσίες του οργανισμού, είτε είναι
συνδεδεμένες με κάποιας μορφής δίκτυο, είτε είναι αυτόνομοι μικροϋπολογιστές. Τα δίκτυα που
εξυπηρετούν υπηρεσίες π.χ. μιας τράπεζας όπως τα Dealing Room, SWIFT κ.λ.π., έχουν συνήθως από
μόνα τους υψηλές προδιαγραφές ασφάλειας, η τήρηση των οποίων είναι απαραίτητη προϋπόθεση
για την λειτουργία τους.
Τα δίκτυα όμως τα οποία εγκαθίστανται για την εξυπηρέτηση άλλων αναγκών (π.χ. Οικονομικών
στοιχείων, στοιχείων προσωπικού και λοιπών υπηρεσιών) χρειάζονται ιδιαίτερη προσοχή. Μια
ιδιαίτερη κατηγορία αποτελούν τα τοπικά δίκτυα είτε συνδέονται είτε όχι με τον κεντρικό
υπολογιστή. Τέλος, υπάρχει και το δίκτυο των τερματικών για ανάπτυξη, υποστήριξη ή έλεγχο
(auditing) των εφαρμογών που απαιτεί ιδιαίτερη προσοχή από πλευράς ασφάλειας.
Σε γενικές γραμμές πρέπει να αναπτυχθεί μια ειδική πολιτική ασφάλειας για αυτού του είδους του
περιφερειακού εξοπλισμού «γραφείων» που θα εξασφαλίζει:
₋ Προστασία και έλεγχο το εξοπλισμού
₋ Προστασία και έλεγχο του λογισμικού
₋ Την κατηγοριοποίηση του βαθμού που βρίσκονται εγκατεστημένα στον εξοπλισμό αυτό.
Τα παραπάνω πρέπει να τηρούνται επιπλέον των μέτρων φυσικής ασφάλειας, πρόσβασης
προσωπικού κ.λ.π. που ισχύουν για το Κέντρο Πληροφορικής ή το δίκτυο των επικοινωνιών /
συναλλαγών.
Παραδείγματα πιθανών κινδύνων (security threats):
Μορφοποίηση δίσκου (Formating)
Σβήσιμο Αρχείων ή Προγραμμάτων
Τροποποίηση πεδίων
Πλημμελείς διαδικασίες λήψης εφεδρικών αντιγράφων (back-up) και αποθήκευσης αρχείων
Ξεχασμένα Κλειδιά (Passwords) ή μη εξουσιοδοτημένη προσπέλαση
Κίνδυνοι από τα Τοπικά Δίκτυα (LANs)
Κίνδυνοι από τους ιούς
Παραδείγματα βασικών μέτρων προστασίας (counter-measures):
Συστηματική λήψη εφεδρικών αντιγράφων (back-up)
Χρήση ελέγχων προσπέλασης ή πακέτων ασφάλειας
Χρήση «κρυμμένων αρχείων»
Εκπαίδευση των χρηστών στις τεχνικές προστασίας
Χρήση προγραμμάτων ανίχνευσης ιών (anti-virus)
Φύλαξη των εμπιστευτικών αρχείων σε δισκέτες σε ασφαλή χώρο
Φυσική προστασία του χώρου του προσωπικού υπολογιστή, των περιφερειακών και βοηθητικών
συσκευών
V.
ΣΧΕΔΙΑΣΜΟΣ ΑΣΦΑΛΩΝ ΣΥΣΤΗΜΑΤΩΝ
ΙΑΤΡΙΚΩΝ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ.
Η ασφάλεια των συστημάτων Βάσεων Δεδομένων (Β.Δ.) παίζει πολύ σημαντικό ρόλο στη γενικότερη
ασφάλεια των πληροφοριακών συστημάτων. Δύο βασικοί λόγοι γι’αυτό είναι αφενός μεν η φύση και
ο ρόλος αυτής της τεχνολογίας (διαχειρίζεται και μεταδίδει συλλογές από συνήθως μερικά ή ολικά
δεδομένα), και αφετέρου η ευρύτατη διάδοση της τα τελευταία χρόνια (υπολογίζεται ότι το 90% των
συστημάτων υπολογιστών που πωλούνται σήμερα διαθέτουν κάποιας μορφής σύστημα Β.Δ.).
Πέρα από τις συνηθισμένες παραμέτρους τις σχετικές με την ασφάλεια των πληροφοριακών
συστημάτων όπως η ακεραιότητα (integrity), έλεγχος προσπέλασης (access control), έλεγχος (auded),
κλπ τα Σ.Β.Δ. εισάγουν και νέους, όπως διακριτότητα (granoularity), έμμεση προσπέλαση (inference)
aggrecation , filtering, journaling, κ.λ.π. Τα Σ.Β.Δ προσφέρουν ακόμη νέα εργαλεία για την εφαρ μογή
και τον έλεγχο της ασφάλειας του Π.Σ. Κάνουν επίσης εφικτή την εύκολη εφαρμογή συγκεκριμένων
πολιτικών ασφάλειας, όχι μόνο σε επίπεδο εγγραφής (record level), αλλά ακόμα και σε επίπεδο
επιμέρους δεδομένων της βάσης (data item level). Το επίπεδο και οι προδιαγραφές ασφάλειας ενός
τύπου δεδομένων της βάσης μπορεί έτσι να είναι εύκολα διαφορετικά από αυτά ενός άλλου τύπου
δεδομένων της ίδιας εγγραφής. Με άλλα λόγια το επίπεδο και οι προδιαγραφές ασφάλειας ενός
στοιχείου, (δεδομένο), μιας σχετικής Β.Δ. μπορεί να είναι διαφορετικά από αυτά των άλλων στοιχείων
της ίδιας γραμμής ή στήλης της ίδιας σχέσης (πίνακας).
Αντικείμενο της ασφάλειας των Συστηματων Β.Δ. είναι όπως προαναφέρθηκε η μελέτη της ικανότητας
τους να εφαρμόσουν μια προκαθορισμένη πολιτική προστασίας των πληροφοριών (SECURITY POLICY)
που περιλαμβάνονται στη Β.Δ. Αφορά δε την δυνατότητα προσπέλασης, την διαθεσιμότητα και την
δυνατότητα τροποποίησης ή διαγραφής των πληροφοριών της βάσης. Οι χρήστες ενός Π.Σ.
χρησιμοποιούν συνήθως την Β.Δ. σαν ένα τεχνικό εργαλείο για την αποθήκευση, επεξεργασία και
μετάδοση πληροφοριών. Η Β.Δ. μεταδίδει τις πληροφορίες ακολουθώντας την παρακάτω βασική
διαδικασία:
Η αξιοπιστία της μετάδοσης ελέγχεται από ειδικά πρωτόκολλα που εγγυώνται την ολοκλήρωση των
παραστατικών (transaction) και την εφαρμογή των κανόνων ακεραιότητας (integrity constraints) στα
δεδομένα της βάσης.
Οι παρακάτω γενικές αρχές που σχετίζονται με την ασφάλεια των Β.Δ. είναι γενικά αποδεκτές σήμερα.
I. Η μελέτη του προβλήματος της ασφάλειας μιας Β.Δ. πρέπει να λαβαίνει υπ’όψιν της το σύνολο του
λογισμικού (S/W) και ολικού (H/W) του συστήματος που σχετίζεται άμεσα ή έμμεσα με τις
πληροφορίες που κρατιούνται στη Β.Δ. Για παράδειγμα ένα ευάλωτο λειτουργικό σύστημα μπορεί να
αχρηστέψει όλα τα μέτρα ασφάλειας που προσφέρει ένα ασφαλές σύστημα διαχείρισης της βάσης
δεδομένων.
II. Η ακεραιότητα των δεδομένων είναι βασική απαίτηση και προϋπόθεση. Η βάση δεδομένων πρέπει
να διατηρεί σε κάθε περίπτωση την ακεραιότητα των δεδομένων που φυλάσσονται σε αυτήν. Ο
χρήστης πρέπει να εμπιστεύεται το σύστημα ότι θα του επιστρέφει τα ίδια δεδομένα που
καταχωρήθηκαν σε αυτό, και ότι οποιαδήποτε μεταβολή στα δεδομένα έχει γίνει από
εξουσιοδοτημένους και μόνο χρήστες. Τα δεδομένα δεν πρέπει να καταστρέφονται ή μεταβάλλονται
είτε τυχαία (π.χ. από βλάβη του συ στήματος), είτε σκόπιμα (π.χ από μη εξουσιοδοτημένους
χρήστες). Σε κάθε όμως περίπτωση ο χρήστης πρέπει τουλάχιστον να ενημερώνεται για κάθε
παραβίαση της ακεραιότητας των δεδομένων του συστήματος που τον αφορά.
III. Τα δεδομένα πρέπει να είναι άμεσα διαθέσιμα όταν ζητούνται από εξουσιοδοτημένους χρήστες.
Για το λόγο αυτό θα πρέπει να υπάρχει ειδική πρόνοια για τις περιπτώσεις π.χ. βλάβες ή μη
διαθεσιμότητας του συστήματος.
IV. Οι περιοδικοί ή έκτακτοι έλεγχοι ορθότητας (audit) των δεδομένων της βάσης πρέπει να είναι
αρκετά αναλυτικοί και πλήρεις ώστε να είναι αποτελεσματικοί, αλλά ταυτόχρονα θα πρέπει να είναι
έτσι δομημένοι, ώστε να μην επηρεάζουν σημαντικά την απόδοση του συστήματος.
V. Βασικός αντικειμενικός σκοπός πρέπει να είναι η επαρκής προστασία της εμπιστευτικότητας
(secrecy/prevent disclosure) των πληροφοριών της βάσης και ταυτόχρονα η προστασία της
ακεραιότητας και η μεγιστοποίηση της διαθεσιμότητας και της απόδοσης του συστήματος. Έννοιες
που συχνά είναι συγκρουόμενες (π.χ. αποτελεσματικότερη προστασία της εμπιστευ τικότητας
συνεπάγεται συνήθως απώλειες στην απόδοση του συστήματος και την διαθεσιμότητα των
πληροφοριών, και αντιστρόφως). Γι’αυτό και θα πρέπει να βρίσκεται κάθε φορά η χρυσή τομή (που
βασίζεται συνήθως στην ανάλυση των πιθανών κινδύνων (risk analysis) και των απαιτήσεων
ασφάλειας του συγκεκριμένου συστήματος).
Οι βασικές απαιτήσεις για την ασφάλεια των συστημάτων Β.Δ. δεν διαφέρουν ουσιαστικά από αυτές
του υπολοίπου συστήματος. Οι κυριότερες από αυτές είναι:
I. Φυσική ακεραιότητα rnc βάσης (physical database integrity). Τα δεδομένα της βάσης πρέπει να
είναι προστατευμένα από φυσικά προβλήματα (π.χ. πτώση τάση ρεύματος), ούτως ώστε να είναι
δυνατή η επανάκτηση των δεδομένων μετά από μια φυσική καταστροφή.
II. Λογική ακεραιότητα me βάσης (logical database integrity). Πρέπει να διατηρείται σε κάθε
περίπτωση η λογική ακεραιότητα της βάσης. Η λογική ακεραιότητα εγγυάται την προστασία της
λογικής δομής της βάσης. Για παράδειγμα η διατήρηση της λογικής ακεραιότητας της βάσης εγγυάται
ότι η μεταβολή της τιμής ενός από τα πεδία της δεν επηρεάζει τις τιμές άλλων πεδίων, παρά μόνο
εφόσον κάτι τέτοιο έχει προβλεφθεί.
III. Ακεραιότητα των πεδίων της βάσης (element integrity). Εγγυάται ότι οι τιμές των επιμέρους πεδίων
της βάσης είναι ακριβείς (σωστές).
IV. Έλενγος προσπέλασης (access control). Εγγυάται ότι οι χρήστες της βάσης μπορούν να
προσπελάσουν μόνο τα δεδομένα εκείνα για τα οποία έχουν εξουσιοδοτηθεί. Οι διάφοροι τύποι
χρηστών μπορεί έτσι να περιο ριστούν σε ορισμένους χώρους και τρόπους προσπέλασης, ανάλογα με
τις ανάγκες τους (π.χ. Read only).
V. Πιστοποίηση των χρηστών (user authentication). Η διαδικασία πιστο ποίησης εγγυάται ότι ο κάθε
χρήστης της βάσης αναγνωρίζεται θετικά από τη βάση, πριν του επιτραπεί η προσπέλαση σε αυτήν.
Το πρόβλημα του σχεδιασμού και της υλοποίησης ενός ασφαλούς συστήματος βάσης δεδομένων
μπορεί να αναλυθεί σε τρεις επί μέρους συνιστώσες:
1) Τον καθορισμό των semantics (‘σημαντικής’) της ασφαλούς βάσης που πρόκειται να αναπτυχθεί.
Τον προσδιορισμό δηλαδή των ιδιοτήτων ασφάλειας που απαιτούνται με τη βοήθεια των semantics
της βάσης.
2) Την υλοποίηση των semantics αυτών σε ένα σύστημα βάσης δεδομένων, δηλαδή σε ένα Σ.Δ.Β.Δ.
και στα δεδομένα που αυτό διαχειρίζεται.
3) Την πιστοποίηση (assurance) ότι το σύστημα που υλοποιήθηκε προσφέρει τις επιθυμητές ιδιότητες
ασφάλειας.
Μια μεθοδολογία σχεδιασμού πρέπει να προσδιορίζει αναλυτικά το πως θα υλοποιηθεί κάθε μια από
τις παραπάνω τρεις συνιστώσες ανάπτυξης ενός ασφαλούς συστήματος Β.Δ. Αυτό επιτυγχάνεται
συνήθως με τη βοήθεια μοντέλων και εργαλείων ανάλυσης και με τη δημιουργία ενός ενιαίου
πλαισίου που επιτρέπει την εξασφάλιση συνέπειας (consistency) σε όλη τη διάρκεια της διαδικασίας.
Ακόμη, μια τέτοια διαδικασία θα πρέπει να αποτελείται από επιμέρους βήματα (multiphase), ώστε να
επιτρέπει τον προοδευτικό προσδι ορισμό και υλοποίηση του συστήματος.
Τα επί μέρους βήματα μιας τέτοιας μεθοδολογίας σχεδιασμού και υλοποίησης ενός ασφαλούς
συστήματος βάσης δεδομένων περιγράφονται στη συνέχεια. Τα βήματα αυτά είναι αντίστοιχα με
εκείνα του γενικού σχε- διασμού ενός συστήματος βάσης δεδομένων. Αυτό δε γιατί ο σχεδιασμός για
την ασφάλεια της βάσης (database security design)πpέπει να αντιμετωπίζεται σαν μέρος του γενικού
σχεδιασμού της βάσης δεδομένων(ονβΓ8ΐΙ database design). Είναι σήμερα γενικά παραδεκτό ότι ο
σχεδιασμός για την ασφάλεια της βάσης πρέπει να γίνεται παράλληλα, και όχι να ακολουθεί, όπως
συμβαίνει συνήθως, τον γενικό σχεδίασμά.
Προκαταρκτική ανάλυση.
Βασικός στόχος της προκαταρκτικής ανάλυσης είναι ο προσδιορισμός των στόχων (scope) των
σχετικών με την ασφάλεια της βάσης και της εφικτότητας (feasibility) υλοποίησης τους στο σύστημα
υπό σχεδίασμά. Κατά φάση αυτή εξετάζονται:
1) Οι κίνδυνοι (threats) που αντιμετωπίζει το σύστημα στο συγκεκριμένο περιβάλλον λειτουργίας (π.χ.
μη εξουσιοδοτημένη προσπέλαση στα δεδο μένα, ιοί κλπ).
2) Τα χαρακτηριστικά του περιβάλλοντος (π.χ. το διαθέσιμο ήδη software and hardware, η φυσική
ασφάλεια του συστήματος, κ.λ π.).
3) Η καταλληλότητα των προϊόντων software and hardware που είναι εμπορικά διαθέσιμα. Εξετάζεται
επίσης το κατά πόσο θα γίνει η ανάπτυξη του ασφαλούς συστήματος εσωτερικά ή από τρίτους.
4) Η συμβατότητα των υφιστάμενων προϊόντων ασφάλειας με το δια θέσιμο εμπορικά software and
hardware.
5) Η αναμενόμενη απόδοση του συστήματος σε σχέση με τους ανα μενόμενους περιορισμούς.
6) Ο κατάλογος των απαιτήσεων και πολιτικών ασφάλειας. Με τον τρόπο αυτό προσδιορίζονται
ανεπίσημα (informally) οι απαιτήσεις και προδιαγραφές ασφάλειας του συστήματος.
7) Η σχέση κόστους και απόδοσης του νέου συστήματος σε σχέση με το επιθυμητό επίπεδο
ασφάλειας.
Πρέπει να σημειωθεί ότι οι απαιτήσεις ασφάλειας που προσδιορίζονται κατά την διάρκεια αυτής της
φάσης επηρεάζουν σημαντικά την δομή της υπό ανάπτυξη βάση δεδομένων. Σε περιπτώσεις δε
υφισταμένων συστημάτων μπορεί να οδηγήσουν σε σημαντικό επανασχεδιασμό του λογικού και
φυσικού μοντέλου βάσης.
Κατά την φάση της ανάλυσης των απαιτήσεων (requirements analysis) προσδιορίζεται λεπτομερώς
από τον σχεδιαστή το ποιοι είναι οι χρήστες της βάσης και ποιες είναι οι ανάγκες τους. Συνήθως αυτό
περιλαμβάνει και τον προσδιορισμό των κατηγοριών πληροφοριών που είναι απαραίτητες για τον κάθε
τύπο χρήστη, τα χαρακτηριστικά των πληροφοριών αυτών, και το πως οι συγκεκριμένες αυτές
πληροφορίες σχετίζονται με τις υπόλοιπες. Οι πληρο φορίες που συγκεντρώνονται σε αυτή τη φάση
θα πρέπει να επεκταθούν για να περιλαμβάνουν στην περίπτωση που υλοποιείται για παράδειγμα μια
πολιτική ασφάλειας πολλαπλών επιπέδων και τα ακόλουθα:
Η ασφάλεια των συστημάτων βάσεων δεδομένων θεωρείται συχνά σαν θυγατρική της ασφάλειας των
λειτουργικών συστημάτων και αυτό γιατί σε πολλές περιπτώσεις ένα ασφαλές σύστημα Β.Δ
προϋποθέτει ένα ασφαλές Λ.Σ. Συχνά υποστηρίζεται ότι εάν το Λ.Σ. δεν είναι ασφαλές, είναι μάταιο να
σχεδιάζεται ένα ασφαλές σύστημα Β.Δ. Η άποψη αυτή δεν είναι σήμερα ακριβής. Αναμφισβήτητα, η
ύπαρξη ενός ασφαλούς Λ.Σ. είναι επιθυμητή.
Υπάρχουν όμως πολλές περιπτώσεις (ουσιαστικά η συντριπτική πλειοψηφία) όπου δεν είναι
πρακτικά εφικτή η ύπαρξη ενός ασφαλούς Λ.Σ. (είτε λόγω τεχνικών προβλημάτων, είτε λόγω κόστους
είτε λόγω προβλημάτων απόδοσης (performance). Για αυτό το λόγο είναι ιδιαίτερα σημαντικό να
αναπτυχθούν μέθοδοι που θα διασφαλίζουν το επιθυμητό επίπεδο ασφάλειας της Β.Δ ,ακόμα και
στις περιπτώσεις που χρησιμοποιείται ένα κοινό Λ.Σ.
Η ασφάλεια των συστημάτων Β.Δ πιστεύουμε ότι μπορεί σήμερα να είναι σε ένα μεγάλο βαθμό
ανεξάρτητη από την ύπαρξη ενός ασφαλούς Λ.Σ. Αυτό μπορεί να επιτευχθεί εάν η προσπέλαση στα
δεδομένα της βάσης ελέγχεται για παράδειγμα με κρυπτογραφικές μεθόδους. Αυτό κάνει πολύ
δυσκολότερη για παράδειγμα την παράκαμψη του συστήματος διαχείρισης της βάσης δεδομένων κατά
την προσπέλαση στα δεδομένα της βάσης.
Ένας σημαντικός παράγοντας της λειτουργίας των Π.Σ. είναι η ασφάλεια του συστήματος και των
στοιχείων, ιδιαίτερα στην περίπτωση των νοσοκομείων. Αυτό έχει μια πολύ σοβαρότερη θεώρηση
λόγω του ιατρικού απορρήτου. Το σύστημα καθορισμού δικαιωμάτων για την διασφάλιση του
απορρήτου και της ασφάλειας ορίζεται σε τέσσερα (4) επίπεδα:
1. Ρόλοι και υπορόλοι: Αρχικά ορίζονται οι ρόλοι, οι οποίοι ουσιαστικά εκφράζουν μια γενική
κατηγοριοποίηση των χρηστών. Π.χ. ιατρικό προσωπικό, νοσηλευτικό προσωπικό, διοικητικό
προσωπικό κ.λ.π.
2. Υπορόλοι ανά ρόλο: Για κάθε ρόλο ορίζονται αναλυτικότερα οι υπορόλοι, δηλαδή υποκατηγορίες
που περιλαμβάνει. Π.χ. θεράπων ια τρός, ιατρός χειρούργος, ειδικευόμενος ιατρός, διευθυντής
κλινικής κ.λ.π.
3. Διαδικασίες ανά υποοόλο σε επίπεδο εφαρμογής: Για κάθε υπορόλο και για κάθε κύρια εφαρμογή.
Π. χ. τα δικαιώματα επί των δεδομένων, που παρέχονται στον συγκεκριμένο υπορόλο. Τα δικαιώματα
αυτά είναι: εμφάνιση, εισαγωγή, διόρθωση, διαγραφή. Για τα ιατρικά δεδομένα όμως, δεν επιτρέπεται
σε επίπεδο χρήστη η διαγραφή. Αυτό θα μπορεί να γίνεται σε χαμηλό επίπεδο( supervisor
συστήματος) και μόνο μετά από γραπτή απόφαση ανώτερων διοικητικών οργάνων.
4. Κατάταξη χρηστών: Σε κάθε χρήστη αποδίδεται ένας ρόλος και υπορόλος από τον Υπεύθυνο
Διαχείρισης σύμφωνα με την προεγκριθείσα από την Διοίκηση κατάταξη. Εξ'ορισμού ο χρήστης δεν
έχει πρόσβαση στις εφαρμογές, ούτε στις διεργασίες της, καθώς και δικαιώματα στα δεδομένα. Η
εξουσιοδότηση αυτή αποκτάται με την ανάθεση ρόλου και υπορόλου. Έτσι, ο χρήστης κληρονομεί τα
δικαιώματα που έχουν προκαθοριστεί στον υπορόλο του.
Οι εφαρμογές του Ιατρικού Υποσυστήματος έχουν ένα προς ένα αντιστοιχία με τις κλινικές. Έτσι, τα
δεδομένα για κάθε χρήστη είναι αυτά που αφορούν τη κλινική του. Αν υπάρχουν περιπτώσεις που
απαιτείται η προσπέλαση σε ασθενείς από άλλες κλινικές, τότε μπορεί κάποιος γιατρός να αποκτήσει
ένα επιπρόσθετο ρόλο ή υπο-ρόλο. Συνεπώς, ένας χρήστης μπορεί να έχει περισσότερους από έναν
ρόλο ή υπο-ρόλο.
Παράδειγμα:
ΡΟΛΟΙ ΠΡΟΣΩΠΙΚΟΥ:
- Μηχανικός Συστήματος
- Προσωπικού Ακτινολογικού
- Διοικητικό Προσωπικό
- Εργαστηριακό Προσωπικό
- Ιατρικό Προσωπικό
- Διοίκηση Νοσοκομείου
- Νοσηλευτικό Προσωπικό
- Φαρμακοποιός
- ...............
Η πολιτική αυτή θα πρέπει να εγκριθεί από τη Διοίκηση και θα πρέπει να ληφθούν υπ’ όψη όλες οι
νομοθετικές και λειτουργικές παράμετροι οι οποίες θα εξασφαλίζουν την ασφάλεια και το απόρρητο,
χωρίς να δημιουργούν λειτουργικά προβλήματα εκεί που δε χρειάζεται.
Εκτός της πολιτικής που αναπτύχθηκε και δημιουργείται μέσω της εφαρμογής, μια άλλη κατηγορία
ασφαλείας ορίζεται στο επίπεδο του λειτουργικού συστήματος UNIX. Ο ορισμός του γίνεται μέσω του
Κωδικού Χρήστη (password).
Απαιτούνται διαδικασίες διαφύλαξης του απορρήτου, οι οποίες αφορούν κυρίως την επαφή άλλου
προσωπικού, εκτός του ιατρικού με τα στοιχεία αυτά (τεχνικοί, σύμβουλοι, προμηθεύτρια εταιρεία).
Στις περιπτώσεις αυτές θα πρέ πει να γίνονται ειδικά δεσμευτικά συμφωνητικά μεταξύ του
νοσοκομείου και όσων τυχόν έρχονται σε επαφή με το σύστημα και τα στοιχεία που έχουν
ευαισθησία.
Η οργανωτική δομή της διοίκησης του έργου αναλύεται σε τρία επίπεδα από την πλευρά του
νοσοκομείου, όπως παρουσιάζεται στο επόμενο οργανωτικό σχήμα. Στο πάνω επίπεδο βρίσκεται η
Εφορεία του νοσο κομείου, η οποία ελέγχει και εγκρίνει την διάθεση των πόρων, τις πολιτικές
απόκτησης και επέκτασης των συστημάτων και τις πολιτικές ελέγχου και διαδικασιών που απαιτούνται
για την αποδοχή και λειτουργία του Π.Σ.
VI.
ΠΑΡΑΔΕΙΓΜΑ ΔΗΜΙΟΥΡΓΙΑΣ ΑΣΦΑΛΩΝ
ΙΑΤΡΙΚΩΝ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ
Στην ενοτητα αυτή παρουσιάζονται οι μέθοδοι και τεχνικές για την εισαγωγή μηχανισμών ασφάλειας
σε συστήματα ιατρικών βάσεων δεδομένων είτε με την εισαγωγή περιορισμών ακεραιότητας στις
φάσεις σχεδίασης και ανάπτυξης είτε με την κατάλληλη διαχείριση των δικαιωμάτων προσπέλασης
και των ρόλων στη φάση λειτουργίας. Το παράδειγμα βασίζεται εξ ολοκλήρου σε ένα τυπικό και
ευρεως διαδεδομενο ΣΔΒΔ (ORACLE 8).
Περιορισμοί Ακεραιότητας
Χρησιμότητα
Για να καταλάβουμε την ανάγκη εισαγωγής περιορισμών ακεραιότητας (Integrity Constraints), ας
ξεκινήσουμε με μια μικρή βάση δύο πινάκων στο ΣΔΒΔ της ORACLE.
Οι εντολές DDL (Data Definition Language) της SQL για τον ορισμό των σχετικών πινάκων είναι οι
εξής:
-- ΠΙΝΑΚΑΣ dept;
CREATE TABLE dept
( DEPTcode NUMBER,
DEPTdesc VARCHAR2(30)
);
-- ΠΙΝΑΚΑΣ std;
CREATE TABLE std
( STDcode NUMBER,
STDname VARCHAR2(30),
STDaddr VARCHAR2(50),
STDdept NUMBER
);
Οι εντολές DML (Data Manipulation Language) της SQL για την εισαγωγή δεδομένων στους πίνακες
θα μπορούσαν να περιλαμβάνουν μερικές από τις ακόλουθες :
- ΠΙΝΑΚΑΣ dept;
INSERT INTO dept (DEPTcode, DEPTdesc)
VALUES (1, 'ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ');
-- ΠΙΝΑΚΑΣ std;
INSERT INTO std (STDcode, STDname, STDaddr, STDdept)
VALUES (1000, 'ΠΑΠΠΑΣ ΙΩΑΝΝΗΣ', 'ΑΛΑΜΑΝΑΣ 1', 1);
Τύποι Ακεραιότητας
Γενικά για την επιβολή ακεραιότητας σε επίπεδο στηλών πινάκων ισχύουν οι παρακάτω κανόνες:
Nulls: Το null είναι ένας κανόνας που εφαρμόζεται σε μια συγκεκριμένη στήλη και επιτρέπει ή
αποτρέπει εισαγωγές ή ενημερώσεις γραμμών που περιέχουν null σε αυτή τη στήλη.
Unique Column Values : Ο κανόνας της μοναδικής τιμής ορίζεται σε μια στήλη ή σύνολο στηλών και
επιτρέπει την εισαγωγή ή ενημέρωση μιας γραμμής μόνον αν περιέχει μια μοναδική τιμή σε αυτήν ή
αυτές τις στήλες.
Primary Key Values : Η τιμή πρωτεύοντος κλειδιού που ορίζεται σε ένα κλειδί (μιας ή περισσότερων
στηλών) σημαίνει ότι κάθε γραμμή του πίνακα μπορεί να προσδιορίζεται μοναδικά από τις τιμές του
κλειδιού.
Referential Integrity : Είναι ένας κανόνας που ορίζεται σε ένα κλειδί (μιας ή περισσότερων στηλών)
ενός πίνακα και εξασφαλίζει ότι οι τιμές αυτού του κλειδιού ταιριάζουν με τις τιμές σε έναν
συσχετιζόμενο πίνακα (referenced value).
Complex Integrity Checking : Είναι ένας κανόνας που ορίζεται από τον χρήστη για μια ή περισσότερες
στήλες και επιτρέπει ή αποτρέπει την εισαγωγή, μεταβολή ή διαγραφή μιας γραμμής με βάση την
τιμή (ή τιμές) που περιέχεται στην στήλη (ή στήλες).
Οι παραπάνω κανόνες επιβάλλονται με τη χρήση των integrity constraints, που είναι δηλωτικές
μέθοδοι σε DDL εντολές για τον ορισμό των κανόνων αυτών σε μια στήλη ενός πίνακα. Το ΣΔΒΔ
ORACLE υποστηρίζει τους παρακάτω περιορισμούς ακεραιότητας:
NOT NULL
Ο περιορισμός NOT NULL απαιτεί την ύπαρξη τιμών στη στήλη.
UNIQUE
Ο περιορισμός UNIQUE απαιτεί την ύπαρξη μοναδικών τιμών στη στήλη (no duplicates). Η στήλη
όπου αναφέρεται ο περιορισμός ονομάζεται μοναδικό κλειδί (unique key). Σε περίπτωση που
αναφέρεται σε ομάδα (δύο ή περισσοτέρων) στηλών τότε αυτή ονομάζεται σύνθετο μοναδικό κλειδί
(composite unique key).
Η εφαρμογή ενός τέτοιου περιορισμού έχει ως αποτέλεσμα την (implicit) δημιουργία ενός
ευρετηρίου (index) από την ORACLE, εφόσον αυτό δεν υπάρχει ήδη.
Ο περιορισμός UNIQUE επιτρέπει την είσοδο nulls και για αυτό σε αντίθετη περίπτωση πρέπει να
χρησιμοποιείται επιπλέον και ο περιορισμός NOT NULL.
PRIMARY KEY
Κάθε πίνακας μπορεί να έχει το πολύ ένα πρωτεύον κλειδί (η στήλη όπου ορίζεται ο περιορισμός
PRIMARY KEY) το οποίο και προσδιορίζει μονοσήμαντα τις γραμμές του. Από την εφαρμογή του
περιορισμού δεν επιτρέπεται η είσοδος διπλών τιμών (duplicates) καθώς και nulls. Παρόλο που δεν
απαιτείται, κάθε πίνακας πρέπει να διαθέτει το δικό του πρωτεύον κλειδί.
Η εφαρμογή ενός τέτοιου περιορισμού έχει ως αποτέλεσμα την (implicit) δημιουργία ενός
ευρετηρίου (index) από την ORACLE.
FOREIGN KEY (Referential Integrity)
Διαφορετικοί πίνακες μιας σχεσιακής ΒΔ μπορούν να συσχετισθούν μέσω κοινών στηλών. Οι κανόνες
«αναφορικής ακεραιότητας» είναι αυτοί που κανονίζουν και εξασφαλίζουν τη λειτουργία αυτών των
συσχετίσεων.
Σχετικοί όροι:
Ξένο κλειδί (Foreign key): Η στήλη ή ομάδα στηλών που περιλαμβάνεται στον ορισμό του
περιορισμού αναφορικής ακεραιότητας που αναφέρεται σε ένα κλειδί αναφοράς (referenced key).
Κλειδί Αναφοράς (Referenced key): Tο μοναδικό ή πρωτεύον κλειδί του ίδιου ή διαφορετικού πίνακα
που αναφέρεται από ένα ξένο κλειδί (foreign key).
Εξαρτώμενος ή πίνακας-παιδί (Dependent or child table): Ο πίνακας που περιλαμβάνει το ξένο κλειδί.
Οπότε, είναι ο πίνακας που είναι εξαρτώμενος από τις τιμές που υπάρχουν στο αναφερόμενο
μοναδικό ή πρωτεύον κλειδί.
Αναφερόμενος ή πίνακας-γονιός (Referenced or parent table): Ο πίνακας στον οποίον αναφέρεται το
ξένο κλειδί του πίνακα-παιδιού. Με βάση αυτού του πίνακα το αναφερόμενο κλειδί αποφασίζεται
κατά πόσον επιτρέπονται ειδικές εισαγωγές ή ενημερώσεις στον πίνακα-παιδί.
Ένας περιορισμός αναφορικής ακεραιότητας απαιτεί για κάθε γραμμή ενός πίνακα, η τιμή στο ξένο
κλειδί να ταιριάζει με μια τιμή του γονικού κλειδιού.
Στους περιορισμούς αναφορικής ακεραιότητας μπορούν να ορίζονται επιμέρους ενέργειες που θα
εκτελούνται στις εξαρτώμενες γραμμές του πίνακα-παιδί σε περίπτωση που η τιμή του γονικού
κλειδιού μεταβάλλεται.
Οι αναφορικές ενέργειες που υποστηρίζονται από τους περιορισμούς αναφορικής ακεραιότητας της
ORACLE είναι:
Update & Delete NoAction : H Επιλογή No Action (default) σημαίνει ότι οι τιμές αναφερόμενου
(πρωτεύοντος ή μοναδικού) κλειδιού δεν μπορούν να αλλαχθούν ή να σβηστούν εφόσον τα
δεδομένα που προκύπτουν παραβιάζουν κάποιον περιορισμό αναφορικής ακεραιότητας.
On Delete Cascade : Η επιλογή On Delete Cascade σημαίνει ότι όταν σβήνονται γραμμές που
περιέχουν τιμές αναφερόμενου κλειδιού, σβήνονται επίσης και όλες οι γραμμές των πινάκων-
παιδιών με εξαρτώμενες τιμές ξένου κλειδιού.
Ως αποτέλεσμα, σχεδόν όλες οι προηγούμενες εντολές DML δεν γίνονται αποδεκτές γιατί
παραβιάζουν τους κανόνες ακεραιότητας που ορίσθηκαν.
-- ΠΙΝΑΚΑΣ dept;
INSERT INTO dept
VALUES (100, 'ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ');
INSERT INTO dept
VALUES (200, 'ΜΗΧΑΝΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ');
INSERT INTO dept
VALUES (300, 'ΠΟΛΙΤΙΚΩΝ ΜΗΧΑΝΙΚΩΝ');
-- ΠΙΝΑΚΑΣ std;
INSERT INTO std
VALUES (1000, 'ΠΑΠΠΑΣ ΙΩΑΝΝΗΣ', 'ΑΛΑΜΑΝΑΣ 1', 100);
INSERT INTO std
Δοσοληψία (transaction) ή λογική μονάδα εργασίας είναι μια ακολουθία εντολών SQL τις οποίες
χειρίζεται η Oracle ως μια ενιαία ενότητα. Μια δοσοληψία ξεκινάει με την πρώτη εκτελέσιμη εντολή
SQL μετά από μια COMMIT ή ROLLBACK ή μια σύνδεση με μια βάση δεδομένων. Μια δοσοληψία
τελειώνει με μια COMMIT ή ROLLBACK ή αποσύνδεση (με ή χωρίς πρόθεση) από μια βάση
δεδομένων. Η Oracle εισάγει μια εννοούμενη (implicit) COMMIT πριν και μετά από κάθε εντολή
ορισμού δεδομένων (DDL).
Γενικά, ο έλεγχος των περιορισμών ακεραιότητας πραγματοποιείται μετά την εκτέλεση μιας εντολής
DML. Ο έλεγχος των περιορισμών μπορεί να αναβάλλεται (deferred) μετά το τέλος της δοσοληψίας
(transaction),ως εξής:
ένας περιορισμός είναι αναβαλλόμενος (deferred) εφόσον το σύστημα ελέγχει το κατά πόσον
ικανοποιείται μόνο στο commit. Σε περίπτωση παραβίασης, γίνεται ακύρωση (roll back) της
δοσοληψίας.
ένας περιορισμός είναι άμεσος (μη-αναβαλλόμενος) εφόσον το σύστημα ελέγχει το κατά πόσον
ικανοποιείται στο τέλος κάθε εντολής. Σε περίπτωση παραβίασης, γίνεται ακύρωση (roll back) της
εντολής.
Η ενέργεια που προκαλείται από έναν περιορισμό (π.χ. delete cascade) πραγματοποιείται μόνο ως
μέρος της εντολής που την προκάλεσε, ασχέτως αναβολής.
Το κατά πόσον ένας περιορισμός είναι με αναβολή ή όχι ορίζεται στον όρο CONSTRAINT με τις λέξεις:
DEFERRABLE, NOT DEFERRABLE, INITIALLY DEFERRED, INITIALLY IMMEDIATE.
Οι περιορισμοί προστίθενται, ακυρώνονται (dropped), ενεργοποιούνται (enabled),
απενεργοποιούνται (disabled) ή υπολογίζονται, αλλά δεν μεταβάλλονται (altered). Ειδικά, δεν είναι
δυνατόν να μεταβληθεί ένας περιορισμός από αναβληθέντα σε άμεσο.
Πλεονεκτήματα
Τα πλεονεκτήματα από τη χρήση των περιορισμών ακεραιότητας περιλαμβάνουν:
τον εύκολο ορισμό τους με χρήση εντολών SQL.
την κεντρική διαχείριση των κανόνων ακεραιότητας, καθώς αυτοί ορίζονται για πίνακες (όχι για
προγράμματα) και αποθηκεύονται στο data dictionary.
την επίτευξη μέγιστης παραγωγικότητας ανάπτυξης εφαρμογών καθώς εύκολα ενημερώνονται οι
περιορισμοί ακεραιότητας σε περίπτωση αλλαγής των επιχειρησιακών κανόνων.
την άμεση ανάδραση στον χρήστη με βάση τα μηνύματα της ORACLE.
τη δυνατότητα εύκολης και γρήγορης ακύρωσης των περιορισμών ακεραιότητας προκειμένου να
διευκολυνθεί η φόρτωση μεγάλων ποσοτήτων δεδομένων. Κατόπιν, μπορούν να εφαρμοσθούν οι
περιορισμοί και να παραχθούν αυτόματα ο αναφορές λαθών για τις γραμμές που έχουν πρόβλημα.
Ο έλεγχος προσπέλασης (access control) βάσεων δεδομένων αποφασίζει για το κατά πόσον
επιτρέπονται ή αποτρέπονται ενέργειες χρηστών στη βάση δεδομένων και στα αντικείμενα μέσα σε
αυτήν.
Η ORACLE παρέχει έναν πλήρες σύστημα για κατά-διάκριση έλεγχο προσπέλασης (DAC), το οποίο
κανονίζει την πρόσβαση όλων των χρηστών σε ονοματισμένα αντικείμενα στη βάση δικαιωμάτων
πρόσβασης, δηλαδή αδειών για προσπέλαση σε ονοματισμένα αντικείμενα με προκαθορισμένους
τρόπους. Η παραχώρηση των δικαιωμάτων στους χρήστες αφήνεται στην κρίση (διακριτικότητα)
άλλων χρηστών (από όπου και ο όρος κατά-διάκριση έλεγχος προσπέλασης).
Σχήματα, Χρήστες της ΒΔ και Χώροι Ορισμού Ασφάλειας
Στην ORACLE, χρήστης (user ή και username) είναι ένα όνομα που ορίζεται στη βάση δεδομένων και
που μπορεί να συνδέεται σε αυτή και να προσπελαύνει αντικείμενα. Σχήμα (schema) είναι μια
ονοματισμένη συλλογή αντικειμένων, όπως πίνακες (tables), απόψεις (views), κ.ά., που σχετίζονται
με κάποιον συγκεκριμένο χρήστη. Τα σχήματα και οι χρήστες βοηθούν τους διαχειριστές βάσεων
δεδομένων να ελέγχουν την ασφάλειά τους.
Ταυτόχρονα με τη δημιουργία ενός χρήστη βάσης δεδομένων, δημιουργείται ένα αντίστοιχο σχήμα
του χρήστη με το ίδιο όνομα. Εξ ορισμού, όταν κάποιος χρήστης συνδέεται σε μια βάση δεδομένων,
αποκτά πρόσβαση σε όλα τα αντικείμενα που περιέχονται στο αντίστοιχο σχήμα. Κάθε χρήστης
συσχετίζεται μόνο με το σχήμα ίδιου ονόματος.
Τα δικαιώματα πρόσβασης ενός χρήστη ελέγχονται από τις διάφορες ρυθμίσεις του χώρου ορισμού
ασφάλειας (security domain) του χρήστη. Κατά τη δημιουργία ενός νέου χρήστη της βάσης
δεδομένων ή κατά τη μεταβολή ενός υπάρχοντος, ο διαχειριστής ασφάλειας αποφασίζει μεταξύ
άλλων, πέρα από τα προνόμια του χρήστη, τα σχετικά με την αυθεντικοποίηση του χρήστη.
Αυθεντικοποίηση Χρήστη
Η αυθεντικοποίηση χρήστη (user authentication) είναι απαραίτητη για την πρόληψη μη
εξουσιοδοτημένης χρήσης ενός ονόματος χρήστη της βάσης δεδομένων. Η ORACLE παρέχει
επιβεβαίωση της ταυτότητας των κανονικών χρηστών με τρεις διαφορετικές μεθόδους:
Προνόμια Προσπέλασης
Προνόμιο είναι το δικαίωμα για εκτέλεση ενός συγκεκριμένου τύπου εντολών SQL ή για πρόσβαση σε
αντικείμενα άλλου χρήστη. Παραδείγματα τέτοιων προνομίων είναι τα εξής:
Σύνδεση σε βάση δεδομένων (δημιουργία συνόδου)
Δημιουργία πίνακα
Επιλογή γραμμών από πίνακες άλλου χρήστη
Εκτέλεση διαδικασιών άλλου χρήστη, κ.ά.
Προνόμια Συστήματος
Προνόμιο συστήματος (system privilege) είναι το δικαίωμα για εκτέλεση μιας συγκεκριμένης πράξης
ή της εκτέλεσης μιας πράξης σε οποιοδήποτε σχήμα αντικειμένων ενός συγκεκριμένου τύπου. Π.χ. τα
δικαιώματα εκκίνησης συνόδου (session) και της διαγραφής γραμμών οποιουδήποτε πίνακα μιας
βάσης δεδομένων είναι προνόμια συστήματος. Στο ΣΔΒΔ ORACLE υπάρχουν πάνω από 60 ξεχωριστά
προνόμια συστήματος.
Τα προνόμια συστήματος παραχωρούνται (grant) και ανακαλούνται (revoke) σε/από χρήστες και
ρόλους. Η παραχώρηση προνομίων συστήματος σε ρόλους παρέχει σημαντικές ευκολίες διαχείρισης
των προνομίων συστήματος, καθώς επιτρέπουν την επιλεκτική διάθεση των προνομίων στους
χρήστες. Βέβαια, συνήθως τα προνόμια συστήματος παραχωρούνται μόνο στο προσωπικό
διαχείρισης και ανάπτυξης εφαρμογών και όχι στους τελικούς χρήστες.
Η παραχώρηση ή ανάκληση των προνομίων συστήματος γίνεται με τις εντολές SQL GRANT και
REVOKE.
Σύνταξη εντολής GRANT για προνόμια συστήματος
Η σύνταξη της εντολής GRANT για προνόμια συστήματος είναι:
GRANT system_priv TO {user | PUBLIC} WITH ADMIN OPTION
Παραδείγματα σύνταξης:
GRANT system_priv1 TO PUBLIC
GRANT system_priv2, system_priv3 TO user1, user2 WITH ADMIN OPTION
Αναλυτικότερα, οι όροι που χρησιμοποιούνται για την σύνταξη της εντολής, είναι οι εξής:
system_priv το προνόμιο συστήματος που θα παραχωρηθεί.
TO ορίζει τους χρήστες ή τους ρόλους στους οποίους θα παραχωρηθούν τα
προνόμια συστήματος.
user ο χρήστης στον οποίο θα παραχωρηθεί το προνόμιο.
PUBLIC παραχωρεί προνόμια συστήματος ή ρόλους σε όλους τους χρήστες.
WITH ADMIN παραχωρεί το προνόμιο συστήματος ή το ρόλο σε άλλους χρήστες ή ρόλους. Σε
OPTION περίπτωση παραχώρησης ρόλου με την προαίρεση ADMIN OPTION, ο αποδέκτης
μπορεί ακόμη να μεταβάλλει (alter) ή να διαγράψει (drop) το ρόλο.
Παραδείγματα σύνταξης:
REVOKE system_priv1 FROM PUBLIC
REVOKE system_priv2, system_priv3 FROM user1
Αναλυτικότερα, οι όροι που χρησιμοποιούνται για την σύνταξη της εντολής, είναι οι εξής:
Προνόμια Αντικειμένων
Προνόμιο αντικειμένων σχήματος (“object privilege”) είναι το προνόμιο ή το δικαίωμα για εκτέλεση
μιας συγκεκριμένης πράξης σε :
• έναν επιμέρους πίνακα (table),
• μια άποψη (view),
• μια ακολουθία (sequence),
• μια διαδικασία (procedure),
• μια συνάρτηση (function) ή
• ένα πακέτο (package).
Π.χ. το δικαίωμα διαγραφής γραμμών από τον πίνακα DEPT είναι ένα προνόμιο αντικειμένων.
Παραδείγματα σύνταξης:
GRANT ALL ON object1 TO PUBLIC
GRANT object_priv1, object_priv2 ON object2, object3 TO user1
WITH GRANT OPTION
GRANT object_priv3 (column1, column2) ON object4 TO user1
Αναλυτικότερα, οι όροι που χρησιμοποιούνται για την σύνταξη της εντολής GRANT, είναι οι εξής:
ρονόμιο
Αντικειμένων Πίνακα Άποψης Διαδικασίας
ALTER X
DELETE X X
EXECUTE X
INDEX X
INSERT X X
REFERENCES X
SELECT X X
UPDATE X X
Ο παρακάτω πίνακας παραθέτει τα προνόμια αντικειμένων και τις εντολές των οποίων η χρήση
εξουσιοδοτείται.
προνόμια με προαίρεση GRANT OPTION σε όλους τους βασικούς πίνακες των απόψεων.
DELETE διαγράψει γραμμές από την άποψη με την εντολή DELETE.
INSERT προσθέσει καινούργιες γραμμές στην άποψη με την εντολή INSERT.
SELECT αναζητήσει στην άποψη με την εντολή SELECT.
UPDATE μεταβάλλει δεδομένα στην άποψη με την εντολή UPDATE.
Προνόμιο διαδικασιών.
EXECUTE εκτελέσει την διαδικασία.
Παραδείγματα σύνταξης:
REVOKE ALL ON object1 FROM PUBLIC FORCE
Αναλυτικότερα, οι όροι που χρησιμοποιούνται για την σύνταξη της εντολής, είναι οι εξής:
CASCADE καταργεί όλους τους αναφορικούς περιορισμούς ακεραιότητας
CONSTRAINTS (referential integrity constraints) που ο αποδέκτης έχει ορίσει
χρησιμοποιώντας το προνόμιο REFERENCES ή την προαίρεση ALL
PRIVILEGES στην περίπτωση που ο αποδέκτης χρησιμοποίησε το
προνόμιο REFERENCES για να τους ορίσει.
FORCE ανακαλεί τα προνόμια αντικειμένων EXECUTE σε αντικείμενα που
έχουν ορισθεί από τον χρήστη με εξαρτήσεις πινάκων.
Τα προνόμια αντικειμένων για πίνακες επιτρέπουν την προστασία πινάκων σε επίπεδο εντολών των
γλωσσών επεξεργασίας (DML) και ορισμού (DDL) δεδομένων.
Ενέργειες DML
Τα προνόμια DELETE, INSERT, SELECT και UPDATE επιτρέπουν την εκτέλεση των αντίστοιχων DML
εντολών (DELETE, INSERT, SELECT και UPDATE) σε έναν πίνακα ή άποψη.
Παράδειγμα 1:
User STD0:
SELECT * FROM std1.dept;
Για την παραχώρηση από τον χρήστη STD1 όλων των δικαιωμάτων στον πίνακα DEPT του χρήστη
STD0 με την προαίρεση GRANT OPTION, αρκεί η ακόλουθη εντολή:
User STD1:
GRANT ALL ON dept TO std0 WITH GRANT OPTION;
Ο χρήστης STD0 μπορεί κατόπιν να εκτελέσει τις ακόλουθες εργασίες:
να εφαρμόσει οποιοδήποτε προνόμιο στον πίνακα DEPT,
να παραχωρήσει οποιοδήποτε προνόμιο στον πίνακα DEPT σε κάποιον άλλο χρήστη ή ρόλο.
User STD0:
SELECT * FROM std1.dept;
User STD2:
SELECT * FROM std1.dept;
User STD0:
GRANT SELECT ON std1.dept TO std2;
User STD2:
SELECT * FROM std1.dept;
Παράδειγμα 2:
Users:
SELECT * FROM std3.std;
Για την παραχώρηση από τον χρήστη STD3 των προνομίων SELECT και UPDATE στον πίνακα STD σε
όλους τους χρήστες, αρκεί η ακόλουθη εντολή:
User STD3:
GRANT SELECT, UPDATE ON STD TO PUBLIC;
Όλοι οι χρήστες μπορούν κατόπιν να ενημερώσουν ή να θέσουν ερωτήματα στον πίνακα STD.
Users:
SELECT * FROM std3.std;
Παράδειγμα 3:
Ο περιορισμός των προνομίων INSERT και UPDATE σε επιμέρους στήλες ενός πίνακα, όπου
αποθηκεύονται ευαίσθητα δεδομένα, είναι δυνατός με παραχωρήσεις επιλεκτικών (selective)
προνομίων, οπότε ο χρήστης μπορεί να εισάγει ή να μεταβάλλει μια γραμμή με τιμές μόνο για τις
καθορισμένες στήλες.
User STD0:
UPDATE std
SET STDcode = 1001, STDdept = 100
WHERE STDcode = 1002;
Για να ανακαλέσει ο χρήστης STD3 το προνόμιο UPDATE στην στήλη STDcode του πίνακα STD από τον
χρήστη STD0, αρκεί η ακόλουθη εντολή:
User STD3:
REVOKE UPDATE (STDcode) ON STD FROM std0;
Ο χρήστης STD0 δεν μπορεί κατόπιν να ενημερώνει όπως πριν τον πίνακα STD.
User STD0:
UPDATE std
SET STDcode = 1010, STDdept = 200
WHERE STDcode = 1001;
Ενέργειες DDL
Τα προνόμια ALTER, INDEX και REFERENCES επιτρέπουν την εκτέλεση DDL εντολών σε έναν πίνακα.
Συνήθως χρειάζεται η ύπαρξη πρόσθετων προνομίων συστήματος ή αντικειμένων.
Όπως με τα προνόμια INSERT και UPDATE, το προνόμιο REFERENCES μπορεί να παραχωρηθεί σε
επιμέρους στήλες ενός πίνακα. Το προνόμιο REFERENCES επιτρέπει στον αποδέκτη να
χρησιμοποιήσει τον πίνακα, στον οποίο γίνεται η παραχώρηση, ως πατρικό κλειδί (parent key) για
κάθε ξένο κλειδί (foreign key) που ο αποδέκτης επιθυμεί να δημιουργήσει στους πίνακές του, φυσικά
περιορίζοντας την περαιτέρω επεξεργασία και τις μεταβολές στον ορισμό του (πατρικού) πίνακα. Και
εδώ μπορεί να παραχωρηθεί επιλεκτικά σε συγκεκριμένες στήλες το προνόμιο αυτό.
Τα προνόμια αντικειμένων για απόψεις επιτρέπουν την προστασία πινάκων σε επίπεδο εντολών DML
οι οποίες στην πραγματικότητα επιδρούν πάνω στους βασικούς πίνακες από τους οποίους εξάγονται
οι απόψεις. Τα DML προνόμια αντικειμένων των πινάκων μπορούν να εφαρμοσθούν με τον ίδιο
τρόπο στις απόψεις.
Απαιτούμενα προνόμια για τη δημιουργία απόψεων
Για τη δημιουργία μιας άποψης πρέπει να ικανοποιούνται οι ακόλουθες απαιτήσεις:
Πρέπει να έχει παραχωρηθεί το προνόμιο συστήματος CREATE (ANY) VIEW, άμεσα ή μέσω ρόλου.
Πρέπει να έχουν παραχωρηθεί όλα τα προνόμια αντικειμένων SELECT, INSERT, UPDATE και DELETE σε
όλους τους βασικούς πίνακες της άποψης ή τα αντίστοιχα προνόμια συστήματος με ANY, μόνο άμεσα
και όχι μέσω ρόλου.
Επιπρόσθετα, προκειμένου να παραχωρηθεί σε άλλους χρήστες η προσπέλαση της άποψης, πρέπει
να υπάρχουν διαθέσιμα προνόμια αντικειμένων στους βασικούς πίνακες με την προαίρεση GRANT
OPTION ή αντίστοιχα προνόμια συστήματος με την προαίρεση ADMIN OPTION, διαφορετικά οι
αποδέκτες δεν μπορούν να προσπελάσουν την άποψη.
Για τη χρήση μιας άποψης απαιτούνται κατάλληλα προνόμια για την άποψη αυτή καθεαυτή και όχι
για τους βασικούς πίνακές της.
Οι απόψεις προσθέτουν δυο ακόμη επίπεδα προστασίας στους πίνακες: προστασία σε-επίπεδο-
στήλης (column-level security) και προστασία βασισμένη-στις-τιμές (value-based security):
Μια άποψη μπορεί να παρέχει προσπέλαση σε επιλεγμένες στήλες βασικών πινάκων. Για
παράδειγμα, μπορούμε να ορίσουμε μια άποψη στον πίνακα STD που να εμφανίζει μόνο τις στήλες
STDcode και STDname:
CREATE VIEW std_view AS
SELECT STDcode, STDname FROM std;
Μια άποψη μπορεί να παρέχει προσπέλαση προστασία βασισμένη-στις-τιμές για τις πληροφορίες
ενός πίνακα. Για το σκοπό αυτό χρησιμοποιείται ένας όρος WHERE στον ορισμό της άποψης
προκειμένου να εμφανίζονται μόνο οι επιλεγμένες στήλες των βασικών πινάκων. Ας θεωρήσουμε τα
ακόλουθα δυο παραδείγματα:
1. CREATE VIEW mhhy_dept AS
SELECT * FROM std
WHERE STDdept = 100;
SELECT * FROM mhhy_dept;
Η άποψη MHHY_DEPT επιτρέπει την πρόσβαση σε όλες τις γραμμές του πίνακα STD οι οποίες έχουν
τιμή στο τμήμα ίση με 100. Προσέξτε ότι όλες οι στήλες του πίνακα STD είναι προσπελάσιμες με την
άποψη MHHY_DEPT .
Ρόλοι
H ORACLE παρέχει εύκολη και ελεγχόμενη διαχείριση των προνομίων μέσω των ρόλων (roles). Οι
ρόλοι είναι ονοματισμένες ομάδες συσχετιζόμενων προνομίων που παραχωρούνται σε χρήστες ή σε
άλλους ρόλους. Έχουν σχεδιασθεί ώστε να διευκολύνουν την διαχείριση των προνομίων συστήματος
και αντικειμένων.
Ρόλοι εφαρμογών
Σε έναν ρόλο εφαρμογών παραχωρούνται όλα τα προνόμια που είναι αναγκαία για την εκτέλεση μιας
επιμέρους εφαρμογής βάσεων δεδομένων. Κατόπιν, παραχωρείται ο ρόλος σε άλλους ρόλους ή
συγκεκριμένους χρήστες. Για κάθε εφαρμογή μπορούμε να έχουμε πολλούς διαφορετικούς ρόλους.
Ρόλοι χρηστών
Οι ρόλοι χρήστη λειτουργούν όπως οι ομάδες (groups) χρηστών που έχουν κοινές απαιτήσεις
προνομίων. Έτσι διευκολύνεται η διαχείριση των προνομίων ενός χρήστη με παραχώρηση ρόλων
εφαρμογών και προνομίων στον ρόλο χρήστη και κατόπιν παραχωρώντας τον ρόλο χρήστη στους
κατάλληλους χρήστες.
Μηχανισμοί Ρόλων
Οι ρόλοι βάσης δεδομένων διαθέτουν την ακόλουθη λειτουργικότητα:
Ονόματα ρόλων
Κάθε ρόλος πρέπει να έχει ένα μοναδικό όνομα καθώς οι ρόλοι δεν περιέχονται σε κάποιο
συγκεκριμένο σχήμα και υπάρχουν ανεξαρτήτως των χρηστών της βάσης δεδομένων.
Ένας χρήστης για να εκτελέσει μια εντολή DDL χρειάζεται ένα ή περισσότερα προνόμια, ανάλογα με
την εντολή. Για παράδειγμα, για την δημιουργία ενός πίνακα πρέπει να έχει το προνόμιο συστήματος
CREATE TABLE ή το CREATE ANY TABLE. Όμως, για την δημιουργία μιας άποψης (view) σε πίνακα
άλλου χρήστη, ο δημιουργός χρειάζεται το προνόμιο συστήματος CREATE VIEW ή το CREATE ANY
VIEW και είτε το προνόμιο αντικειμένων SELECT για τον πίνακα είτε το προνόμιο συστήματος SELECT
ANY TABLE.
Για την αποφυγή προβλημάτων στην παραχώρηση προνομίων μέσω ρόλων η ORACLE χρησιμοποιεί
τους παρακάτω περιορισμούς για συγκεκριμένα προνόμια που απαιτούνται από μερικές DDL
εντολές:
Όλα τα προνόμια συστήματος και αντικειμένων που επιτρέπουν σε έναν χρήστη να εκτελέσει μια
λειτουργία DDL είναι χρησιμοποιήσιμα όταν λαμβάνονται μέσω ενός ρόλου. Εξαίρεση: το προνόμιο
αντικειμένων REFERENCES.
Όλα τα προνόμια συστήματος και αντικειμένων που επιτρέπουν σε έναν χρήστη να εκτελέσει μια
λειτουργία DML που απαιτείται για την ολοκλήρωση μιας εντολής DDL δεν είναι χρησιμοποιήσιμα
όταν λαμβάνονται μέσω ενός ρόλου.
παρόλο που ο χρήστης έχει και το προνόμιο CREATE VIEW και το SELECT για τον πίνακα STD1.STD (και
τα δυο μέσω ρόλου), δεν μπορεί να δημιουργήσει μια χρησιμοποιήσιμη (προκαλεί μηνύματα λάθους
όποτε καλείται) άποψη στον πίνακα STD1.STD γιατί το προνόμιο αντικειμένων για τον πίνακα
STD1.STD του παραχωρήθηκε μέσω ρόλου.
ο χρήστης μπορεί να δημιουργήσει μια άποψη στον πίνακα STD1.DEPT γιατί έχει το προνόμιο CREATE
VIEW (μέσω ρόλου) και το προνόμιο SELECT για τον πίνακα STD1.DEPT (άμεσα).
Δημιουργία ρόλου
Για τη δημιουργία ενός ρόλου χρησιμοποιείται η εντολή CREATE ROLE της γλώσσας SQL, εφόσον
υπάρχει διαθέσιμο το προνόμιο συστήματος CREATE ROLE. Τυπικά, μόνο οι διαχειριστές έχουν αυτό
το προνόμιο.
Για παράδειγμα, με την ακόλουθη εντολή δημιουργείται ο ρόλος CLERK του οποίου η
εξουσιοδοτημένη από τη βάση δεδομένων χρήση απαιτεί το συνθηματικό BICENTENNIAL:
CREATE ROLE testrole1
IDENTIFIED BY bicentennial;
Αμέσως μετά τη δημιουργία του ο ρόλος δεν έχει καθόλου προνόμια.
Προκαθορισμένοι ρόλοι
Οι παρακάτω ρόλοι ορίζονται αυτόματα από την ORACLE:
Κατά τη χρήση ενός ρόλου βάσης δεδομένων μπορεί προαιρετικά να απαιτείται ο έλεγχος (με χρήση
συνθηματικού) της εξουσιοδότησης του χρήστη που προσπαθεί να ενεργοποιήσει τον ρόλο.
Η χρήση του ρόλου μπορεί να προστατευθεί με ένα αντίστοιχο συνθηματικό. Αν ο ρόλος που έχει
παραχωρηθεί προστατεύεται με συνθηματικό τότε ο χρήστης που τον παρέλαβε μπορεί να τον
ενεργοποιήσει ή να τον απενεργοποιήσει μόνο παρέχοντας το σωστό συνθηματικό μαζί με την
εντολή SET ROLE.
Για την μετατροπή της μεθόδου εξουσιοδοτημένης χρήσης ενός ρόλου πρέπει να υπάρχει το
προνόμιο συστήματος ALTER ANY ROLE ή να έχει παραχωρηθεί ο ρόλος με την προαίρεση ADMIN
OPTION.
Για παράδειγμα, η ακόλουθη εντολή μετατρέπει την εξουσιοδοτημένη χρήση του ρόλου CLERK:
Διαγραφή ρόλων
Μετά τη διαγραφή ενός ρόλου επηρεάζονται άμεσα τα πεδία ορισμού ασφάλειας όλων των χρηστών
και ρόλων στους οποίους είχε παραχωρηθεί ο διαγραμμένος ρόλος. Ακόμη διαγράφονται όλοι οι
ρόλοι που είχαν παραχωρηθεί στον διαγραμμένο ρόλο διαγράφονται από όλα τα πεδία ορισμού
ασφάλειας που επηρεάζονται.
Για τη διαγραφή ρόλων απαιτείται το προνόμιο συστήματος DROP ANY ROLE ή να έχουν
παραχωρηθεί οι ρόλοι με την προαίρεση ADMIN OPTION.
Η διαγραφή γίνεται με την εντολή SQL DROP ROLE. Για παράδειγμα:
DROP ROLE testrole1;
Παραχώρηση Προνομίων και Ρόλων
Παραχώρηση προνομίων συστήματος και ρόλων
Η παραχώρηση προνομίων συστήματος και ρόλων σε άλλους ρόλους και χρήστες γίνεται με την SQL
εντολή GRANT.
Για το σκοπό απαιτείται είτε η ύπαρξη της προαίρεσης ADMIN OPTION για όλα τα προνόμια
συστήματος και τους ρόλους που θα παραχωρηθούν είτε απλά η διάθεση του προνομίου
συστήματος GRANT ANY ROLE.
Για παράδειγμα, η παρακάτω εντολή παραχωρεί το προνόμιο συστήματος CREATE SESSION και τον
ρόλο ACCTS_PAY στον χρήστη JWARD:
GRANT create session, accts_pay
TO jward;
Παρόλο ότι οι χρήστες μπορούν να παραχωρούν προνόμια INSERT, UPDATE και REFERENCES για
στήλες πινάκων και απόψεων, δεν μπορούν να τα ανακαλούν με τον ίδιο τρόπο (επιλεκτικά)
κάνοντας χρήση μιας παρόμοιας εντολής REVOKE. Για το σκοπό αυτό, ο παροχέας πρέπει πρώτα να
ανακαλέσει το προνόμιο αντικειμένων για όλες τις στήλες του πίνακα ή της άποψης και μετά να
παραχωρήσει ξανά τις επιμέρους στήλες για τις οποίες θέλει να παραμείνουν παραχωρημένα τα
προνόμια.
Για παράδειγμα, αν υποτεθεί ότι έχει παραχωρηθεί στον ρόλο HUMAN_RESOURCES το προνόμιο
UPDATE για τις στήλες DEPTNO και DNAME του πίνακα DEPT. Η ανάκληση του προνομίου UPDATE
μόνο για την στήλη DEPTNO γίνεται με τις παρακάτω εντολές:
REVOKE UPDATE ON dept FROM human_resources;
GRANT UPDATE (dname) ON dept TO human_resources;
Παραδειγματα:
Με τα προνόμια στηλών
Ρόλοι
SELECT * FROM session_roles;
Αν στην τρέχουσα σύνοδο έχει ενεργοποιηθεί ο ρόλος SECURITY_ADMIN, τότε με την παραπάνω
εντολή η ORACLE επιστρέφει:
ROLE
------------------------------
SECURITY_ADMIN
Προνόμια συστήματος
SELECT * FROM session_privs;
Αν στην τρέχουσα σύνοδο έχει ενεργοποιηθεί ο ρόλος SECURITY_ADMIN, τότε με την παραπάνω
εντολή η ORACLE επιστρέφει:
PRIVILEGE
----------------------------------------
AUDIT SYSTEM
CREATE SESSION
CREATE USER
BECOME USER
ALTER USER
DROP USER
CREATE ROLE
DROP ANY ROLE
GRANT ANY ROLE
AUDIT ANY
CREATE PROFILE
ALTER PROFILE
DROP PROFILE
Η άποψη του λεξιλογίου δεδομένων DBA_ROLES μπορεί να χρησιμεύσει για την εμφάνιση όλων των
ρόλων μιας βάσης δεδομένων και της μεθόδου αυθεντικοποίησης που χρησιμοποιείται για κάθε
ρόλο, ως εξής:
SELECT * FROM sys.dba_roles;
ROLE PASSWORD
---------------- --------
CONNECT NO
RESOURCE NO
DBA NO
SECURITY_ADMIN YES
Εμφάνιση πληροφοριών για τα πεδία ορισμού προνομίων των ρόλων
Οι απόψεις του λεξιλογίου δεδομένων ROLE_ROLE_PRIVS, ROLE_SYS_PRIVS και ROLE_TAB_PRIVS
περιέχουν πληροφορίες για τα πεδία ορισμού προνομίων των ρόλων.
Για παράδειγμα, το ακόλουθο ερώτημα εμφανίζει όλους τους ρόλους που έχουν παραχωρηθεί στον
ρόλο SYSTEM_ADMIN:
SELECT granted_role, admin_option
FROM role_role_privs
WHERE role = 'SYSTEM_ADMIN';
GRANTED_ROLE ADM
---------------- ----
SECURITY_ADMIN NO
Το ακόλουθο ερώτημα εμφανίζει όλα τα προνόμια συστήματος που έχουν παραχωρηθεί στον ρόλο
SECURITY_ADMIN:
Το ακόλουθο ερώτημα εμφανίζει όλα τα προνόμια αντικειμένων που έχουν παραχωρηθεί στον ρόλο
SECURITY_ADMIN:
SELECT table_name, privilege FROM role_tab_privs
WHERE role = 'SECURITY_ADMIN';
TABLE_NAME PRIVILEGE
--------------------------- ----------------
AUD$ DELETE
AUD$ SELECT
Συμπεράσματα
Ο μεγαλύτερος κίνδυνος για μια εφαρμογή σχεδιασμένη για το διαδίκτυο, είναι η ανεπάρκεια των
μηχανισμών ασφάλειας του ίδιου του διαδικτύου. Την ικανοποίηση των απαιτήσεων ασφάλειας που
παρουσιάζουν αυτές οι εφαρμογές, αναλαμβάνει να εκπληρώσει η τεχνολογία των Υποδομών
Δημόσιου Κλειδιού – ΥΔΚ (Public Key Infrastructures – PKIs). Οι ΥΔΚ παρέχουν μια σειρά από
υπηρεσίες και λειτουργούν ως το τρίτο πρόσωπο σε μια ηλεκτρονική συναλλαγή, που εγγυάται για
την ταυτότητα των συναλλασσόμενων και την ασφάλεια της διακινούμενης πληροφορίας. Την
τεχνολογία των ΥΔΚ χρησιμοποιήσαμε για να ελέγξουμε την πρόσβαση μέσω του διαδικτύου, σε μια
βάση δεδομένων.
Η μεγαλύτερη απαίτηση ασφάλειας μιας βάσης, είναι η ελεγχόμενη πρόσβαση στα δεδομένα της που
πρέπει να γίνεται μόνο από εξουσιοδοτημένους χρήστες. Οι υπηρεσίες που παρέχουν οι ΥΔΚ
(κρυπτογράφηση πληροφορίας, ψηφιακά πιστοποιητικά, ψηφιακές υπογραφές, εξυπηρετητές
καταλόγου κ.ά.) αναλαμβάνουν να προσθέσουν ένα επίπεδο ασφάλειας στο TCP/IP και να
πιστοποιήσουν την ταυτότητα των χρηστών που ζητούν πρόσβαση στη βάση.
Άμεση εφαρμογή της παραπάνω τεχνολογίας είναι το πρωτόκολλο SSL, που αναλαμβάνει την
κρυπτογράφηση της πληροφορίας μεταξύ του πελάτη και του εξυπηρετητή και απαιτεί την
πιστοποίηση της ταυτότητας τουλάχιστον του εξυπηρετητή με ψηφιακά πιστοποιητικά.
Ο στόχος της υλοποίησης ήταν η αξιοποίηση των τεχνολογιών που αναφέραμε, ώστε να ελέγχουμε
την πρόσβαση στην βάση. Βασικό δομικό στοιχείο της εφαρμογής μας αποτελεί ένας Oracle
Application Server, που δέχεται τις αιτήσεις των πελατών για πρόσβαση στη βάση. Κάθε πελάτης που
κάνει μια τέτοια αίτηση ενεργοποιεί μια SSL σύνοδο, στη διάρκεια της οποίας ανταλλάσσονται τα
ψηφιακά πιστοποιητικά καθώς και το κλειδί της κρυπτογράφησης.
Εκτός από την ταυτοποίηση του εξυπηρετητή, που είναι απαραίτητη για την έναρξη μιας SSL
συνόδου, απαιτήσαμε και αυτή του πελάτη. Η αυθεντικοποίηση του πελάτη είναι απαραίτητη για
τον έλεγχο πρόσβασης στη βάση δεδομένων. Ο έλεγχος πρόσβασης βασίζεται στη χρήση του
εξυπηρετητή καταλόγου (LDAP server) της Oracle. Ένας τέτοιος εξυπηρετητής ελέγχει αν ο χρήστης
(κάτοχος του πιστοποιητικού) έχει δικαίωμα πρόσβασης στη βάση και ποιο τμήμα της μπορεί να
προσπελάσει. Τα δικαιώματα προσπέλασης των χρηστών ορίζονται με τη διατήρηση μια λίστας
ελέγχου πρόσβασης (ACL). Όταν κάποιος πελάτης ζητά πρόσβαση στη βάση, ελέγχεται η ταυτότητα
του με τη βοήθεια του ψηφιακού του πιστοποιητικού και στη συνέχεια, με βάση τους κανόνες της
λίστας πρόσβασης, το είδος της πληροφορίας που μπορεί να προσπελάσει.
Συνοψίζοντας, πρέπει να αναφέρουμε ότι η ασφάλεια στο διαδίκτυο έχει τρεις διαφορετικές
παραμέτρους: την ασφάλεια από τη μεριά του εξυπηρετητή, την ασφάλεια από τη μεριά του πελάτη,
και την εμπιστευτικότητα των διακινούμενων πληροφοριών.
Οι εφαρμογές που αναπτύσσονται για το διαδίκτυο, βασίζονται στην αρχιτεκτονική του
πελάτη/εξυπηρετητή και επομένως και οι τρεις παραπάνω απαιτήσεις είναι σημαντικές.
Η εμπιστευτικότητα των διακινούμενων δεδομένων μπορεί να εξασφαλιστεί με τη βοήθεια κάποιων
μηχανισμών κρυπτογράφησης, όπως είναι τα πρωτόκολλα κρυπτογράφησης. Το SSL είναι ο πιο
σημαντικός αντιπρόσωπος αυτών των πρωτοκόλλων. Η δυνατότητα αυθεντικοποίησης του πελάτη
και του εξυπηρετητή που παρέχει, καθιστά ευκολότερη τη διαδικασία ελέγχου πρόσβασης στην
εφαρμογή. Όμως όλοι οι μηχανισμοί ασφάλειας που αναφέραμε είναι ασήμαντοι αν ο εξυπηρετητής
και ο πελάτης δεν χρησιμοποιούν ένα ασφαλές λειτουργικό σύστημα, ένα ασφαλές σύστημα αρχείων
και ασφαλές λογισμικό.
ΒΙΒΛΙΟΓΡΑΦΙΑ
Αλεξανδρής Ν., Κιουντουζής Ε., Τραπεζανόγλου Β., Ασφάλεια Πληροφοριών. Τεχνικά, Νομικά και
Κοινωνικά Θέματα. Εκδ. Νέων Τεχνολογιών. Αθήνα 1995.
Γκρίτσαλης Δ., Ασφάλεια πληροφοριακών συστημάτων σε περιβάλλοντα υψηλής ευπάθειας,
Διδακτορική Διατριβή Πανεπιστήμιο Αιγαίου, (χ.χ),
http://thesis.ekt.gr/thesis/servlet/thesis7icN3188&ΐ3ηα=θΙ
Γκρίτσαλης Δ., Κατσίκας Σ., Κεκλίκογλου I., Τομαράς Α., Προστασία ιατρικού απορρήτου στα
Πληροφοριακά Συστήματα του Εθνικού Συστήματος Υγείας, Εκδόσεις Νέων Τεχνολογιών, Αθήνα
1990.
Κόθίτ Θ.Μ., Σχεδίαση και υλοποίηση ασφαλών συστημάτων βάσεων δεδομένων με εφαρμογή σε
πληροφοριακά συστήματα νοσοκομείων, Διδακτορική Διατριβή Αριστοτέλειο Πανεπιστήμιο
Θεσσαλονίκης, Θεσσαλονίκη, 1996. 1~ιΐΐρ://ίΙΐθ5ί5·6Κΐ·αΓ/ΐΙΐθ5ί5/5θΐ'ν1θΜΙΐθ5ί5?ρίοΡ3ίΙι=3-/8000-
.../8911 ·ΘΟΝ&ριοΝυπι=0&α6ΐΡίοΐυΓθ=νν3ΐ6ΠΤΐ3ΓΚθ
Δρ.Διον.Γιαννακόπουλος, Δρ.Ιωαν.Παπουτσής Πληροφοριακά Συστήματα Διοίκησης Τόμος 1,
Εκδόσεις ΈΛΛΗΝ”, Αθήνα 1996.
Χρ. Βασιλόπουλος, I. Ντόκος, Β. Σκουλάτος, Σύγχρονα Τηλεπικοινωνιακά Δίκτυα Τόμοι Α,Β,Γ,Δ,
Εκδόσεις Ο.Τ.Ε. Α.Ε. - Διεύθυνση Συντήρησης, Αθήνα 2000.
Σελίδα
VΙ.
ΑΣΦΑΛΕΙΑ ΣΤΟ
ΔΙΑΔΙΚΤΥΟ ΤΩΝ ΠΡΑΓΜΑΤΩΝ
(INTERNET OF THINGS)
To Internet Of Things
Διαδίκτυο των πραγμάτων (Internet of things) είναι το δίκτυο επικοινωνίας μιας μεγάλης γκάμας
συσκευών, οικιακών συσκευών, αυτοκινήτων καθώς και κάθε άλλου αντικειμένου που ενσωματώνει
ηλεκτρονικά μέσα, λογισμικό, αισθητήρες και συνδεσιμότητα σε δίκτυο ώστε να επιτρέπεται η
σύνδεση και η ανταλλαγή δεδομένων. Φιλοσοφία του IoT είναι η σύνδεση όλων των ηλεκτρονικών
συσκευών μεταξύ τους (τοπικό δίκτυο) ή με δυνατότητα σύνδεσης στο διαδίκτυο (παγκόσμιο ιστό).
[1]
Η έννοια "Things" (πράγματα) δεν είναι συνδεδεμένη με συγκεκριμένα προϊόντα. Αναφέρεται σε μία
ευρεία ποικιλία συσκευών εντελώς διαφορετικά μεταξύ τους, όπως για παράδειγμα αυτοκίνητα με
ενσωματωμένους αισθητήρες, κάμερες, κλιματιστικά, φώτα, συστήματα ασφαλείας, smartwatches
ακόμα και αυτοκίνητα των οποίων οι περίπλοκοι αισθητήρες εντοπίζουν αντικείμενα στην πορεία
τους. Βασικό χαρακτηριστικό όλων είναι η σύνδεση μεταξύ τους με απώτερο σκοπό την δυνατότητα
του χρήστη να τα ελέγχει από έναν υπολογιστή ή κινητό.
Τα τελευταία χρόνια το Internet of Things (IoT) σημειώνει μεγάλη εξελιξη στον ερευνητικό χώρο αλλα
και στις εφαρμογές, με πολλά υποσχόμενες ευκαιρίες και προκλήσεις. Θεωρείται η επερχόμενη
τάση σε ό,τι αφορά την εξέλιξη στο Διαδίκτυο, καθώς η έννοια του ΙοΤ εμπεριέχει δισεκατομμύρια
διασυνδεδεμένων αντικειμένων, που επικοινωνούν μεταξύ τους. Το Διαδίκτυο του μέλλοντος, θα
απαρτίζεται από συνδεδεμένες μεταξύ τους συσκευές, που θα επεκτείνουν τα όρια του φυσικού
κόσμου με εικονικές οντότητες. Το ΙοΤ έχει τη δυναμική να αναδείξει πολλές ικανότητες των
φυσικών αντικειμένων, που μέχρι πρότινος θεωρούνταν ακατόρθωτο. Το γεγονός αυτό θα έχει
σημαντικό αντίκτυπο στην κοινωνία, στην οικονομική ανάπτυξη αλλά και στο χώρο της
πληροφορίας.
Το Ίντερνετ των πραγμάτων (InternetofThings) θεωρείται μία από τις κορυφαίες τεχνολογικές
εξελίξεις της επόμενης δεκαετίας και το επόμενο μεγάλο βήμα στον χώρο της τεχνολογίας.
Ο όρος «Internet of Things» αναφέρθηκε για πρώτη φορά το 1999 από τον Kevin Ashton ενώ
εργαζόταν στο Auto – ID Center. Με τον όρο αυτό ήθελε να αναφερθεί σε όλα εκείνα τα αντικείμενα
που είχαν στοιχειώδεις ικανότητες ταυτοποίησης με τεχνολογίες όπως η RFID. Το 2005 η Διεθνής
Ένωση Τηλεπικοινωνιών (ITU) δημοσίευσε την αναφορά ITU Internet Reports 2005: The Internet of
Things, θέλοντας να υποδείξει ότι η RFID τεχνολογία, η τεχνολογία αισθητήρων και η νανοτεχνολογία
μπορούν να αποτελέσουν τον πυρήνα του ΙοΤ.
Από τότε, οι οραματιστές χρησιμοποιούν τον όρο ΙοΤ για να αναφερθούν σε αντικείμενα που είναι
αναγνώσιμα, εντοπίσιμα, με ΙΡ διεύθυνση και ικανά να ελεγχθούν μέσω συστημάτων RFID, μέσω του
Διαδικτύου αλλά και άλλων ασύρματων δικτύων. Λέγοντας καθημερινά αντικείμενα δε νοούνται
μόνο οι ηλεκτρονικές συσκευές, αλλά και πιο απλά, όπως ρουχισμός, τροφές, ανταλλακτικά αλλά
και πολυτελή αντικείμενα.
Η τεχνολογία RFID (ταυτοποίηση μέσω ραδιοσυχνοτήτων) που αποτελεί και την πρώτη μαζική
εφαρμογή, είναι ένα καλό παράδειγμα πρακτικής εφαρμογής των ΙοΤ. Η διευκόλυνση που
προσφέρει το "Διαδίκτυο των πραγμάτων" στις καθημερινές μας δραστηριότητες, έχει οδηγήσει σε
μια άνευ προηγουμένου ενσωμάτωση της παραπάνω τεχνολογίας. Η ενσωμάτωση όμως αυτή,
αποτελεί μια πρώτης τάξης ευκαιρία για κυβερνοεπιθέσεις με ευρείες επιπτώσεις, ακόμα και στο
επίπεδο της φυσικής μας ασφάλειας. Όπως είναι λοιπόν φανερό, η ασφάλεια των αντικειμένων ΙοΤ,
είναι μεγάλης σημασίας. Υπάρχουν όμως και λύσεις. Παλιότερες αλλα και καινούργιες. Η μηχανική
μάθηση φαίνεται για παράδειγμα να να είναι μια πολλά υποσχόμενη νέα τεχνολογία, που μπορεί να
βοηθήσει στην προστασία του "Διαδίκτυου των πραγμάτων" σε ικανοποιητικό επίπεδο. Τέλος, η
χρήση blockchain, φαίνεται όπως θα δουμε να είναι επίσης κατάλληλη ως αποθηκευτικό /
ενημερωτικό μέσο.
Ένα παραδειγμα internrt of Things: Ένα τυπικο Internet of Things στην Ενεργεια
Υπάρχουν όμως όπως θα δουμε και παρακάτω και πολλά προβήματα ασφάλειας που σχετίζονται με
το Internet of Things (πηγες: Ν. Χαρίτος, ΕΚΠΑ, και Δ. Ανδριτσάκης, ΠΑΠΙ)
Τα προβλήματα ασφάλειας στο ΙοΤ είναι πολλά. Για παράδειγμα, οι συσκευές IoT, όπως αισθητήρες
(sensors), ενεργοποιητές (actuators), συσκευές πύλης (gateways) απαιτούν συνήθως χαμηλές
καταναλώσεις ισχύος και επομένως μικρότερη επεξεργαστική ισχύ και μνήμη. Αυτό σε συνδυασμό
με το χαμηλό τους κόστος τις καθιστούν λιγότερο ασφαλείς, και συχνά αποτελούν ένα τρωτό σημείο
για είσοδο σε οικιακά και εταιρικά δίκτυα, παρέχοντας εύκολη πρόσβαση στα δεδομένα του
χρήστη. Οι συσκευές IoT έχουν επίσης αντιμετωπίσει επικρίσεις για τρωτά σημεία τους και
κινδύνους από κακές πρακτικές, για συγκεκαλυμμένη συλλογή δεδομένων, απώλεια ελέγχου των
συσκευών και παραβίαση της ιδιωτικής ζωής. Αρκετοί άνθρωποι της τεχνολογίας έχουν εκφράσει
ακόμα την ανησυχία τους για την ανάμειξη του IoT με την τεχνητή νοημοσύνη. Λένε ότι υπάρχει
πραγματικός κίνδυνος να έχουμε μηχανές που παίρνουν αποφάσεις και αποκτούν τον έλεγχο των
Πραγμάτων. Ακόμη, στις IoT εφαρμογές χρησιμοποιούνται πολλά αναδυόμενα, χαμηλής
κατανάλωσης πρωτόκολλα επικοινωνίας που παραλείπουν κομμάτια ασφάλειας και εγκυρότητας
του μηνύματος προς χάριν του μεγέθους και της διάρκειας της επικοινωνίας. Επίσης οι
περισσότερες από τις εφαρμογές που έχουν δημιουργηθεί γύρω από τα δεδομένα των συσκευών
επικεντρώνεται συχνά στη λειτουργικότητα και όχι στην ασφάλεια.
Θα πρέπει να είμαστε λοιπόν προσεκτικοί στην επιλογή προϊόντων IoT και στις δυνατότητες που
τους δίνουμε. Περισσότερη ανταλλαγή δεδομένων αναπόφευκτα σημαίνει για παράδειγμα ότι μια
παραβίαση της ασφάλειας σε μία συσκευή ή σύστημα στο ΙοΤ, θα μπορούσε να οδηγήσει τεράστιες
ποσότητες δεδομένων από πολλά συστήματα και συσκευές σε κίνδυνο. Η HP ανέφερε για
παράδειγμα πρόσφατα ότι μέχρι και το 70% των συσκευών DIY που χρησιμοποιούνται συνήθως ως
IoT, είναι ευάλωτες σε επιθέσεις στον κυβερνοχώρο.
Η βασική λειτουργία του Internet of Things, δηλαδή η διασύνδεση πολλαπλών καθημερινών
αντικειμένων μέσω του διαδικτύου, γεννά δηλαδή πολλούς προβληματισμούς σε σχέση με την
ασφάλεια.
Για παράδειγμα, κάποιες συσκευές (Things) παράγουν δεδομένα και άλλες ελέγχονται (κάποιες
μπορεί και τα δύο ταυτόχρονα). Αν οι συσκευές αυτές συνδέονται στο διαδίκτυο, τότε ποιος μπορεί
να δει τα δεδομένα τους και ποιος να τις ελέγξει; Μπορεί οποιοσδήποτε να μάθει για την
κατανάλωση ενέργειας ενός σπιτιού; Που καταλήγουν τα προσωπικά δεδομένα και ποιος εγγυάται
για την ασφάλειά τους; Ποιος ελέγχει και διασφαλίζει την τήρηση όλων των παραπάνω; Ερωτήματα
που μπορούν να αναχθούν σε τρια τουλάχιστον βασικά θέματα ασφάλειας: τον έλεγχο πρόσβασης,
το απόρρητο και ασφάλεια, και την πολιτική και νομοθεσία. Ας δουμε γιατί (Α. Πικριδάς, ΕΜΠ).
Το θέμα του ελέγχου πρόσβασης στο IoT είναι απαραίτητο για την ασφαλή ανάπτυξή του. Στην
πραγματικότητα, δεν μπορεί το IoT να καθιερωθεί στην καθημερινή ζωή χωρίς έλεγχο πρόσβασης.
Για παράδειγμα, αν τα δεδομένα κατανάλωσης ενέργειας μίας οικίας είναι διαθέσιμα δημόσια,
αυτά μπορούν να χρησιμοποιηθούν από διαρρήκτες, για να μάθουν πότε λείπουν όλοι από την
οικία. Αν συνδέσει κάποιος τον κλιματισμό του γραφείου του, με το διαδίκτυο, μέσω μίας δημόσιας
διεπαφής, τότε θα μπορεί ο οποιοσδήποτε να τον ελέγξει. Ο κόσμος χρειάζεται να ξέρει ποιοι
μπορούν να δουν τα δεδομένα του και να χειριστούν τις συσκευές του. Στην ιδανικότερη
περίπτωση, θα ήθελε να έχει ο ίδιος τον έλεγχο. Οι σχετικές τεχνολογίες και τα πρότυπα που
αναπτύσσονται, πρέπει να λαμβάνουν σοβαρά υπόψιν τους τα ζητήματα αυτά. Στην ακαδημαϊκή
κοινότητα, αν και στο παρελθόν δεν υπήρχε αρκετό ενδιαφέρον, οι έρευνες σχετικά με το IoT,
εστιάζουν ολοένα και περισσότερο, στα ζητήματα ελέγχου πρόσβασης.
Τα θέματα απορρήτου και ασφάλειας είναι επίσης σημαντικά. Τα δύο βασικά ερωτήματα που
προκύπτουν είναι: Που πηγαίνουν/ποιος μαζεύει τα δεδομένα; Ποιος εγγυάται την ασφάλειά τους;
Η απάντηση και στα δύο ερωτήματα, εξαρτάται από την ίδια την εφαρμογή. Μικρότερες εφαρμογές
που συλλέγουν λίγα σχετικά δεδομένα μπορούν να τρέχουν σε ιδιωτικό εξυπηρετητή (server).
Σε αυτή την περίπτωση τα δεδομένα καταλήγουν εκεί, δηλαδή στον διαχειριστή της εφαρμογής, ο
οποίος έχει και την ευθύνη της ασφάλειάς τους. Μεγαλύτερες εφαρμογές ωστόσο, που συλλέγουν
πολλά δεδομένα και χειρίζονται πολλές συσκευές ταυτόχρονα, πιθανότατα να χρειαστούν
υποστήριξη από υπολογιστικό νέφος (cloud). Η δημιουργία cloud απαιτεί μεγάλες και ακριβές
υποδομές, καθώς και έξοδα συντήρησης. Συνεπώς, στις περισσότερες περιπτώσεις, το cloud
εξασφαλίζεται ως ενοικιαζόμενη υπηρεσία, από μεγαλύτερες εταιρίες που ειδικεύονται σε αυτό.
Τα δεδομένα, επομένως, σε αυτές τις περιπτώσεις, καταλήγουν στις εταιρίες που παρέχουν το
cloud. Οι πάροχοι του cloud, έχουν την ευθύνη της διατήρησης του απορρήτου (που έχει
συμφωνηθεί με τον διαχειριστή της εφαρμογής) και της ασφάλειας των δεδομένων. Η τήρηση
αυτών των ευθυνών, είναι αναγκαία ώστε ο πάροχος να εμπνέει εμπιστοσύνη και έτσι να
προσελκύει περισσότερους πελάτες.
Σχετικά με τα θέματα της πολιτικής και της νομοθεσίας, για το IoT, αυτο είναι κάτι σχετικά νεο και
μη διαδεδομένο. Οι προοπτικές του IoT και τα ζητήματα που αναφέρθηκαν προηγουμένως
επιβάλουν την ύπαρξη σχετικών νομικών διατάξεων. Τέτοιες διατάξεις πρέπει να εξασφαλίζουν την
ομαλή και υγιή ένταξη του IoT στην κοινωνία, διασφαλίζοντας τις ευθύνες, τις υποχρεώσεις και τα
δικαιώματα κάθε ομάδας. Επιπρόσθετα, οι διατάξεις αυτές πρέπει να προωθούν τησύγκλιση των
τεχνολογιών και να ρυθμίζουν τον ‘’πόλεμο’’ μεταξύ των προτύπων και των εταιριών, με σκοπό
τηγενικότερη ανάπτυξη του κλάδου. Εν τούτοις, οι προσπάθειες που έχουν γίνει μέχρι σήμερα, είναι
λίγες.
Ένα περιβάλλον Internet of Things θα πρέπει να δομηθεί με τρόπο που θα διασφαλίζει την
ασφάλεια και παράλληλα την ευκολία στη χρήση. Προέχει, οι πιθανοί χρήστες να πειστούν για τις εν
λόγω ιδιότητες, προκειμένου να είναι σε θέση να απολαύσουν τα δυνητικά οφέλη του ΙοΤ,
αποφεύγοντας επισφαλείς λύσεις.
Στα πλαίσια του ΙοΤ, κάθε «έξυπνο» αντικείμενο έχει τη δυνατότητα να συνδέεται στο Διαδίκτυο και
να επικοινωνεί με άλλα «έξυπνα» αντικείμενα, γεγονός που γεννά νέου είδους ζητήματα ασφάλειας
και ιδιωτικότητας. Υπό αυτές τις συνθήκες, όσο πιο αυτόνομο γίνεται ένα αντικείμενο και ικανό να
αναλαμβάνει πρωτοβουλίες, όλο και περισσότερα ζητήματα που αφορούν την ασφάλεια
αναδύονται.
Τα βασικά ζητήματα ασφάλειας στο IoT απαιτούν την υλοποίηση των απαραίτητων αντίστοιχων
κάθε φορά μηχανισμών ελέγχου και προστασίας. Δηλαδή των βασικων αρχων της εμπιστευτι-
κότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων. Η παραβίαση οποιασδήποτε από αυτές
τις τρεις αρχές ασφαλείας μπορεί να προκαλέσει ζημιές στο σύστημα IoT. Επομένως, κάθε ένα από
τα τέσσερα επίπεδα του IoT θα πρέπει να πληροί αυτές τις ελάχιστες απαιτήσεις.
Όπως όμως έχει ήδη αναφερθεί, τα ασύρματα δίκτυα αισθητήρων (WSN) και τα συστήματα RFID
διαδραματίζουν καθοριστικό ρόλο στο ΙοΤ περιβάλλον. Αυτές όμως οι τεχνολογίες χαρακτηρίζονται
από εξαιρετικά περιορισμένους υπολογιστικούς και ενεργειακούς πόρους. Περιορισμοί που πρέπει
να ληφθούν σοβαρά υπόψη κατά το σχεδιασμό των προτάσεων διευθέτησης των ζητημάτων
ασφαλείας. Ακόμη, το γεγονός ότι τα ασύρματα συνδεδεμένα αντικείμενα βρίσκονται και
αλληλεπιδρούν με το φυσικό κόσμο δημιουργεί διόδους και επιλογές στα θέματα προστασίας και
στο φυσικό στρώμα του μοντέλου OSI.
Καθώς τέλος το Διαδίκτυο αποτελεί τη βάση πάνω στην οποία δομείται το ΙοΤ, είναι επόμενο, ότι τα
κενά ασφαλείας του πρώτου θα ακολουθήσουν και το δεύτερο. Όπως αναφέρθηκε σε προηγούμενο
κεφάλαιο, οι διάφορες αρχιτεκτονικές του ΙοΤ συγκλίνουν σε τεσσερα βασικά επίπεδα. Ανάλογα,
ένα σύστημα ΙοΤ που θα δίδει έμφαση στην προάσπιση της ασφάλειάς του, οφείλει να
περιλαμβάνει τεχνικές ασφάλειας σε κάθε ένα από τα ανάλογα επίπεδα.
Στα πλαίσια της ασφάλειας των υπολογιστικών συστημάτων και κατ’ επέκταση και του ΙοΤ, οι
βασικές αρχές που θα πρέπει να διασφαλιστούν είναι αυτές της: Εμπιστευτικότητας, Ιδιωτικότητας,
Ακεραιότητας, Διαθεσιμότητας, Αυθεντικότητας, Ελέγχου Πρόσβασης και Αξιοπιστίας. Ας τα δούμε
όμως λιγο πιο αναλυτικά:
• Εμπιστευτικότητα
Οι υπηρεσίες του ΙοΤ είναι πιθανό να εμπεριέχουν «ευαίσθητα» δεδομένα και πληροφορίες. Για το
λόγο αυτό, όλα τα διασυνδεδεμένα ΙοΤ αντικείμενα πρέπει να είναι διασφαλισμένα σχετικά με τους
χρήστες που τα διαχειρίζονται. Η εμπιστευτικότητα μπορεί να επιτευχθεί μέσω συμμετρικής ή
ασύμμετρης κρυπτογράφησης (κρυπτογράφησης δημόσιου κλειδιού). Παρόλα αυτά όμως, το είδος
κρυπτογράφησης που θα επιλεχθεί έχει άμεση εξάρτηση με τις υπολογιστικές δυνατότητες του κάθε
αντικειμένου. Λόγου χάρη, στο περιβάλλον ενός «έξυπνου» σπιτιού, που υπάρχουν πληροφορίες
για τις δραστηριότητες των ενοίκων, οι ίδιοι δεν θα επιθυμούσαν οι τυχόν επισκέπτες να έχουν
πρόσβαση σε τέτοια δεδομένα με την απλή παρατήρηση «έξυπνων» συσκευών (38).
• Ιδιωτικότητα
Το ΙοΤ βρίσκει εφαρμογή σε πολλούς διαφορετικούς τομείς της καθημερινότητας που σχετίζονται με
τα προσωπικά δεδομένα των χρηστών. Πιο συγκεκριμένα, τέτοιοι τομείς είναι η απομακρυσμένη
παροχή ιατρικής φροντίδας, η διαχείριση της κυκλοφορίας, αλλά και η κατηγοριοποίηση των
καταναλωτών σύμφωνα με τις αγοραστικές τους προτιμήσεις. Τεχνικές που χρησιμοποιούνται στις
ροές πληροφοριών (Information Flow Control), αν και απαιτούν σημαντική υπολογιστική ισχύ,
δίνουν τη δυνατότητα στα μεταδιδόμενα δεδομένα να χαρακτηρίζονται με στοιχεία, που
προσδιορίζουν το λόγο της μεταφοράς και της ύπαρξης τους, προστατεύοντας έτσι την ιδιωτικότητα
του χρήστη. Παράλληλα, προς την ίδια κατεύθυνση μπορούν να χρησιμοποιηθούν πρωτόκολλα
ελέγχου πρόσβασης, που στηρίζονται σε τεχνικές που προφυλάσσουν την ανωνυμία (context-aware
k-anonymity). Επιπρόσθετα, μπορεί να χρησιμοποιηθεί και μία τεχνική που υποβοηθά την επίτευξη
ανωνυμίας. Αυτή καλείται CASTLE (Continuously Anonymizing Streaming data via adaptive
cLustEring) και δίνει έμφαση στη «φρεσκάδα» και τον περιορισμό των καθυστερήσεων των
δεδομένων. Έπειτα, ένα ενισχυμένο σύστημα DNS, προασπίζει την ιδιωτικότητα, μη αναθέτοντας
ένα όνομα τομέα (domain name) σε ένα ΙοΤ κόμβο και προαπαιτώντας την ταυτοποίηση του χρήστη
πριν του παρέχει πρόσβαση (39).
• Ακεραιότητα
Στα πλαίσια του ΙοΤ, ανταλλάσσονται σημαντικά δεδομένα και με φορείς όπως κυβερνητικές αρχές,
πάροχοι υπηρεσιών διαδικτύου (ISP) και ελεγκτικοί μηχανισμοί, οι οποίοι απαιτούν τα δεδομένα,
κατά την αποθήκευση και τη μετάδοσή τους, να μην αλλοιώνονται ούτε από δόλο αλλά ούτε από
σφάλμα. Η ακεραιότητα των δεδομένων είναι πρωταρχικής σημασίας κατά το σχεδιασμό
αξιόπιστων ΙοΤ συστημάτων. Αυτό επιτυγχάνεται με κώδικες αυθεντικοποίησης μηνύματος (MAC)
που χρησιμοποιούν συναρτήσεις κατακερματισμού (hash functions). Η επιλογή των τεχνικών αυτών
πάλι καθορίζεται από τις δυνατότητες των εκάστοτε συσκευών. Χαρακτηριστικό παράδειγμα που η
ακεραιότητα των δεδομένων είναι εξ ’ορισμού αναγκαία αποτελεί το «έξυπνο» σπίτι το οποίο
είναισυνδεδεμένο με ένα «έξυπνο» πλέγμα ηλεκτροδότησης. Σ ’αυτήν την περίπτωση η ηλεκτρονική
και αυτόματη έκδοση των λογαριασμών δε συνάδει με πιθανή αλλοίωση στα δεδομένα της
κατανάλωσης ηλεκτρικού ρεύματος.
• Διαθεσιμότητα
Σε ένα σύγχρονο ΙοΤ περιβάλλον είναι δεδομένο ότι θα υπάρχουν κόμβοι που λειτουργούν ως
εξυπηρετητές / διακομιστές. Στα πλαίσια ενός «έξυπνου» σπιτιού λόγου χάρη, θα υπάρχουν
διασφαλίζεται η αξιοπιστία που παρέχουν. Η αξιοπιστία αφορά επίσης και το πόσο «φρέσκα» είναι
τα δεδομένα που μεταδίδονται. Πιθανώς λανθασμένα δεδομένα, είτε από δόλο είτε από σφάλμα,
είναι ικανά να οδηγήσουν σε ανεπιθύμητες καταστάσεις. Για την εξασφάλιση της αξιοπιστίας
συνήθως δομείται ένας μηχανισμός «διαπραγμάτευσης εμπιστοσύνης» (trust negotiation). Αυτός
στηρίζεται στην ανταλλαγή διαπιστευτηρίων, μέσω Ρ2Ρ, πριν τη μετάδοση πληροφοριών (38).
Ακολουθεί ένας πίνακας όπου διακρίνεται η ευαισθησία που έχουν τα διάφορα κομβικά σημεία
ενός ΙοΤ περιβάλλοντος στις αρχές της ακεραιότητας, της αυθεντικότητας, της εμπιστευτικότητας
και της διαθεσιμότητας : (42)
Σχήμα 16: Ευαισθησία των ΙοΤ οντοτήτων στις βασικες αρχές ασφάλειας
Στο ΙοΤ, εκτός από τα ζητήματα ασφαλείας, που προέρχονται από τα δίκτυα αισθητήρων, τις κινητές
επικοινωνίες και το Διαδίκτυο, ανακύπτουν πρόσθετα σημαντικά ζητήματα ασφαλείας, που είναι
εξειδικευμένα και αφορούν μεταξύ άλλων την ιδιωτικότητα, τον έλεγχο πρόσβασης, τη διαχείριση
και αποθήκευση δεδομένων. Τα RFID συστήματα και τα δίκτυα ασύρματων αισθητήρων, είναι αυτά
που πρώτα έρχονται σε επαφή με τις εκάστοτε πληροφορίες, για το λόγο αυτό χρησιμοποιούν
τεχνικές όπως η κρυπτογράφηση και οι ψηφιακές υπογραφές για να επιτύχουν την
εμπιστευτικότητα και την ακεραιότητα αυτών. Κατά τη διαδικασία της μετάδοσης των δεδομένων,
ένας από τα βασικούς ανασταλτικούς παράγοντες στην ασφάλεια απ’ άκρη σε άκρη, είναι η
διαφορετικότητα και η πολυπλοκότητα των δικτύων και των τεχνολογιών που χρησιμοποιούνται. Οι
ασυμβατότητες που πιθανόν προκύπτουν, δυσχεραίνουν την ανάπτυξη εμπιστοσύνης στις
επικοινωνίες των ΙοΤ κόμβων. Στο δίκτυο κορμού η πληθώρα των συσσωρευμένων δεδομένων είναι
εύκολο να δημιουργήσει συμφόρηση, γεγονός που εφιστά την προσοχή στη χωρητικότητα και το
εύρος διευθύνσεων του δικτύου. Στο επίπεδο των ΙοΤ εφαρμογών, που αφορούν και την
καθημερινότητα των ανθρώπων, άπτονται θέματα αυθεντικότητας και ελέγχου πρόσβασης.
Μια αρχιτεκτονική ΙοΤ που δίνει έμφαση στην ασφάλεια, θα πρέπει να χωριστεί στα επίπεδα της
αντίληψης, της μεταφοράς και των εφαρμογών, έτσι ώστε να γίνεται πιο σαφές το αντικείμενο που
κάθε φορά θα πρέπει να διασφαλιστεί. Το επίπεδο της αντίληψης περιλαμβάνει τους αισθητήρες
και τα δίκτυα αισθητήρων. Το επίπεδο μεταφοράς αφορά το δίκτυο πρόσβασης, το δίκτυο κορμού
και τα δίκτυα LAN, ενώ το επίπεδο των εφαρμογών έχει σχέση με τις ΙοΤ πλατφόρμες και ό,τι
απαιτεί η υποστήριξη τους. Σε κάθε επίπεδο υπάρχουν και διαφορετικές τεχνικές ασφάλειας. Ο
πίνακας που ακολουθεί δείχνει συνοπτικά την προαναφερθείσα διαστρωμάτωση.
Το επίπεδο αυτό, όπως έχει ήδη αναφερθεί, είναι αρμόδιο για τη συλλογή πληροφοριών. Χωρίζεται
σε δύο υποκατηγορίες, τους κόμβους (αισθητήρες και ενεργοποιητές) και το δίκτυο των κόμβων
αυτών, που επικοινωνεί με το επίπεδο μεταφοράς. Σ’ αυτό το επίπεδο συμπεριλαμβάνονται οι
τεχνολογίες RFID, WSN, RSN, GPS κτλ. Κάθε μια από αυτές αντιμετωπίζει διάφορα προβλήματα
ασφάλειας. Για παράδειγμα:
Τα ασύρματα δίκτυα αισθητήρων δομούνται με μια δυναμική τοπολογία δικτύου και είναι
κατανεμημένα δίκτυα πολλαπλών βημάτων μετάδοσης (multi- hop). Λαμβάνοντας υπόψη το χαμηλό
τους κόστος, είναι επόμενο ότι πάσχουν σε θέματα επεξεργαστικών ικανοτήτων, χωρητικότητας και
εμβέλειας, με ό,τι αυτό συνεπάγεται στην ασφάλεια. Τα ασύρματα δίκτυα αισθητήρων, ως τμήμα
του επιπέδου αντίληψης, είναι αρμόδια για την καταγραφή του περιβάλλοντος και τη συλλογή
δεδομένων. Οι συλλεχθείσες πληροφορίες είναι εκτεθειμένες σε πιθανές υποκλοπές, σε αλλοιώσεις
περιεχομένου και παράνομη αναδρομολόγηση, στοιχεία που επηρεάζουν σε μεγάλο βαθμό ένα ΙοΤ
σύστημα. Στη συγκεκριμένη περίπτωση τα βασικά θέματα ασφάλειας αφορούν την
εμπιστευτικότητα, την αυθεντικότητα, την ακεραιότητα και τον χρόνο ανανέωσης (freshness) των
δεδομένων.
Τα ζητήματα αυτά αντιμετωπίζονται μέσω κρυπτογραφικών αλγορίθμων, της διαχείρισης κλειδιών,
ασφαλής δρομολόγηση και εμπιστοσύνη στους κόμβους.
• Κρυπτογραφικοί Αλγόριθμοι
Στα ασύρματα δίκτυα αισθητήρων απαιτείται υψηλό επίπεδο ασφάλειας, το οποίο προϋποθέτει την
ακεραιότητα και την εμπιστευτικότητα των δεδομένων, ζητήματα που η κρυπτογράφηση μπορεί να
δώσει λύση. Οι κρυπτογραφικοί αλγόριθμοι διαδραματίζουν καθοριστικό ρόλο σε όλη τη δικτυακή
δομή. Διακρίνονται στους αλγόριθμους συμμετρικής κρυπτογράφησης και στους αλγόριθμους
δημόσιου κλειδιού. Εξαιτίας της απουσίας υπολογιστικών δυνατοτήτων των αισθητήρων, οι
αλγόριθμοι ασύμμετρης κρυπτογράφησης θεωρούνται υπολογιστικά ασύμφοροι, ενώ αντιθέτως οι
συμμετρικοί αλγόριθμοι δεν απαιτούν ιδιαίτερους πόρους. Εντούτοις όμως χαρακτηρίζονται από
μια σειρά προβλημάτων. Αρχικά, το πρωτόκολλο ανταλλαγής κλειδιού στο οποίο βασίζεται ο
αλγόριθμος του κρυπτοσυστήματος, είναι αρκετά περίπλοκο, γεγονός που δυσχεραίνει την
επεκτασιμότητά τους. Ακόμη, απειλή για την εμπιστευτικότητα του κλειδιού του δικτύου, αποτελεί
το γεγονός ότι αυτή εξαρτάται από την παραβίαση ενός και μόνο κόμβου, λόγω της διασύνδεσης
που υπάρχει. Έπειτα, οι κώδικες αυθεντικοποίησης μηνύματος (MAC), που χρησιμοποιούν οι εν
λόγω αλγόριθμοι, για λόγους αυθεντικοποίησης, απαιτούν αρκετά υψηλές ποσότητες ενέργειας.
Σύμφωνα λοιπόν με τα παραπάνω, η υιοθέτηση των αλγορίθμων κρυπτογράφησης δημόσιου
κλειδιού στα ασύρματα δίκτυα αισθητήρων, έναντι αυτών της συμμετρικής κρυπτογράφησης
κρίθηκε πιο σκόπιμη. Σε αυτούς, ο κάθε κόμβος διατηρεί το δικό του ιδιωτικό κλειδί και το δημόσιο
του σταθμού βάσης, ενώ οι σταθμοί βάσεις διατηρούν τα δημόσια κλειδιά των κόμβων. Έχουν
ικανοποιητική επεκτασιμότητα, χωρίς να απαιτούν πολύπλοκα πρωτόκολλα διαχείρισης κλειδιού.
Είναι πιο κατάλληλοι για την αυθεντικοποίηση των κόμβων και κατ’ επέκταση την ασφάλεια όλου
του δικτύου. Οι πιο δημοφιλείς αλγόριθμοι κρυπτογράφησης δημόσιου κλειδιού είναι το σχήμα του
Rabin, ο NtruEncrypt και οι αλγόριθμοι κρυπτογραφίας ελλειπτικών καμπυλών (ECC).
Συμπερασματικά, τόσο οι αλγόριθμοι συμμετρικής όσο και ασύμμετρης κρυπτογράφησης έχουν τα
πλεονεκτήματά τους, αλλά δεν λύνουν ολοκληρωτικά τα ζητήματα ασφαλείας στα ασύρματα δίκτυα
αισθητήρων. Οι συμμετρικοί αλγόριθμοι είναι μια πιο ώριμη τεχνολογία, αλλά με περιορισμένες
δυνατότητες στην ασφάλεια, ενώ οι ασύμμετροι διαθέτουν μεν δυνατότητες παροχής ασφάλειας
υψηλών προδιαγραφών, αλλά απαιτούν κάποια ερευνητικά βήματα ακόμα (43). Παρακάτω
ακολουθεί ένας πίνακας με τους πιο διαδεδομένους κρυπτογραφικούς αλγόριθμους :
Αλγόριθμος Ιδιότητα
Advanced Encryption Standard (AES) Confidentiality
Rivest Shamir Adelman (RSA) / Elliptic Digital signatures key transport
Curve Cryptography (ECC)
Difffie –Hellman (DH) Key Agreement
τελικό χρήστη. Η διαχείριση της εμπιστοσύνης στα ασύρματα δίκτυα ΙοΤ αισθητήρων, έχει άμεση
σχέση με την εύρεση της χρυσής τομής μεταξύ των λιγοστών πόρων και της ασφάλειας που
επιθυμεί να παρέχει σε αυτά (43).
(iii). Το πρόβλημα της ετερογένειας
Είναι γνωστό ότι σε ένα περιβάλλον ΙοΤ υπάρχει ένας τεράστιος όγκος δεδομένων που πρέπει να
συλλεχθούν, να επεξεργαστούν και να αποθηκευτούν. Παρατηρείται όμως το φαινόμενο τα
δεδομένα αυτά να συλλέγονται με διαφορετικούς τρόπους, μορφές και πρωτόκολλα, είτε με
ασύρματους αισθητήρες, είτε με την τεχνολογία RFID. Αυτός ο όγκος των δεδομένων δεν είναι
κατάλληλος προς ανάλυση, εφόσον πρώτα δεν ομογενοποιηθούν. Συνεπώς, ανακύπτουν ζητήματα
συμβατότητας τόσο μεταξύ της μορφής των δεδομένων όσο και μεταξύ των πρωτοκόλλων
επικοινωνίας. Τα RFID δίκτυα (RSN) και τα δίκτυα αισθητήρων λειτουργούν με διαφορετική
φιλοσοφία, θα πρέπει άρα να αναζητηθεί λογισμικό και υλικό που θα προάγουν την ενιαία και
κοινή κωδικοποίηση τους. Χαρακτηριστικά παραδείγματα αποτελούν ο ενιαίος κόμβος ενός
αισθητήρα με ενσωματωμένη την RFID τεχνολογία ή οι RFID ετικέτες που λειτουργούν και ως
ασύρματοι αισθητήρες παράλληλα. Εξαιτίας όμως της απουσίας αυτής της υποδομής και της
πυκνότητας των δικτύων, δεδομένα αρκετών κόμβων είναι πολλές φορές αναξιόπιστα (43).
Συνοψίζοντας, η πολυπλοκότητα στο επίπεδο στοιχείου (ΙοΤ εlement Layer) του ΙοΤ, που ουσιαστικά
αποτελείται αφενός από κόμβους διάφορων αισθητήρων και αφετέρου από συστήματα RFID,
αποτελεί μία πρόκληση, σχετικά με την εγγύηση της παρεχόμενης ασφάλειας.
Η αδυναμία ύπαρξης ισχυρών επεξεργαστικών μονάδων και τα ζητήματα ετερογένειας θεωρούνται
τα βασικότερα προβλήματα. Επίσης, οι κόμβοι του ΙοΤ δεν μπορούν εύκολα να αντιμετωπιστούν
μεμονωμένα, αλλά θα πρέπει ως δίκτυο και πάντα σε συνάρτηση με τους τερματικούς σταθμούς. Οι
όποιες προτεινόμενες λύσεις, ακόμα και αν διασφαλίζουν κάποιο επίπεδο ασφάλειας στο επίπεδο
της αντίληψης, σε καμία περίπτωση δεν εγγυώνται την ασφάλεια σε ένα σύστημα Internet of Things.
Το επίπεδο μεταφοράς είναι αυτό που παρέχει ένα περιβάλλον πρόσβασης για το επίπεδο
αντίληψης, τη μετάδοση δηλαδή των πληροφοριών και την αποθήκευσή τους και για χρήση από τις
εφαρμογές ανώτερου επιπέδου. Το επίπεδο μεταφοράς μπορεί ανάλογα με τις λειτουργείες να
διαχωριστεί σε τρία περαιτέρω υποεπίπεδα : το δίκτυο πρόσβασης, το δίκτυο κορμού και τα τοπικά
δίκτυα. Είναι ουσιαστικά ένας συγκερασμός ποικιλόμορφων ετερογενών δικτύων.
i. Δίκτυο Πρόσβασης
Το δίκτυο πρόσβασης έρχεται πρώτο σε επαφή με τα συσσωρευμένα δεδομένα του επιπέδου
αντίληψης. Συνεπώς, είναι αυτό που θα «υποδεχθεί» τυχόν αδιευθέτητα ζητήματα ασφάλειας που
εκκρεμούν από το προηγούμενο επίπεδο. Περιλαμβάνει ασύρματα δίκτυα Wi-Fi, δίκτυα ad hoc και
κυψελωτά δίκτυα 3G/4G. Ανάλογα με τα δομικά τους στοιχεία, τα ασύρματα δίκτυα διακρίνονται σε
αυτά που προαπαιτούν την ύπαρξη ενός σταθμού βάσης, όπως τα Wi-Fi και τα κυψελωτά και σε
αυτά που δεν χρειάζονται σταθμό βάσης, όπως τα ad hoc.
Τα δίκτυα Wi-Fi, γνωστά και ως IEEE802.11, είναι τα πιο ευρέως διαδεδομένα στο χώρο των
ασύρματων δικτύων. Στα πλαίσια του ΙοΤ, οι εφαρμογές Wi-Fi που χρησιμοποιούνται
περιλαμβάνουν φυλλομετρητές (browsers) για την περιήγηση στο Διαδίκτυο, και εφαρμογές για την
ανταλλαγή μνημάτων ηλεκτρονικού ταχυδρομείου (email) και διαμοιρασμό μεγάλων αρχείων. Η
έννοια της ασφάλειας κατέχει σημαντική θέση στα δίκτυα Wi-Fi. Έχουν καταγραφεί διάφορα ήδη
επιθέσεων όπως το ηλεκτρονικό «ψάρεμα» (phishing), οι επιθέσεις άρνησης υπηρεσιών (DDos/Dos),
αλλά και αυτές που οφείλονται σε μη διαπιστευμένα σημεία πρόσβασης. Προκειμένου, να
αντιμετωπιστούν τα συγκεκριμένα ζητήματα, ο έλεγχος πρόσβασης και η κρυπτογράφηση του
δικτύου, καθίστανται επιτακτικές. Ο έλεγχος πρόσβασης αφορά την είσοδο στο Διαδίκτυο μόνο από
πιστοποιημένους χρήστες, ενώ η κρυπτογράφηση διασφαλίζει ότι μόνο ο αποδέκτης που έχει
πρόσβαση στο διαμοιραζόμενο κλειδί θα έχει και τη δυνατότητα να αποκρυπτογραφήσει τα
δεδομένα. Πιο συγκεκριμένα, τα πρωτόκολλα WPA/WPA2 χρησιμοποιούνται ως μέθοδοι
κωδικοποίησης στο Wi- Fi. Στηρίζονται στο πρωτόκολλο TKIP και το πρότυπο AES. Παράλληλα, σε
θέματα αυθεντικοποίησης χρησιμοποιούνται πιστοποιητικά τύπου ΡΡΡοΕ.
Σε ένα περιβάλλον ΙοΤ, το δίκτυο κορμού (core network) είναι αρμόδιο για τη μετάδοση των
δεδομένων. Πιο συγκεκριμένα, το δίκτυο κορμού, στα πλαίσια του ΙοΤ, ουσιαστικά ταυτίζεται με το
Διαδίκτυο, τα δεδομένα δηλαδή χρησιμοποιούν αυτό ως μέσο μετάδοσής τους. Συνεπώς, τα όποια
ζητήματα ασφάλειας αφορούν το Διαδίκτυο, εκ φύσεως, εκπίπτουν και στο δίκτυο κορμού του ΙοΤ.
Όπως έχει ήδη αναφερθεί, το τεράστιο πλήθος ΙΡ διευθύνσεων, που προϋποθέτει το ΙοΤ καθιστά το
πρωτόκολλο ΙΡν4 μη επαρκές. Δε μπορεί να ανταπεξέλθει στη διευθυνσιοδότηση του όγκου των
δικτυακών ΙοΤ αισθητήρων. Η εξέλιξη στο ΙΡν6 είναι επιτακτική. Σε αυτό λοιπόν το πρωτόκολλο, η
τεχνολογία που διατηρεί σε χαμηλά επίπεδα την κατανάλωση ενέργειας, είναι η 6LowPAN, η οποία
υιοθετείται στο φυσικό (PHY) και το επίπεδο ελέγχου προσπέλασης στο μέσο (MAC). Ακόμη,
προτείνεται να υπάρχει ένα ενδιάμεσο επίπεδο προσαρμογής (adaptation layer) μεταξύ του ΙΕΕΕ
802.15.4 MAC επιπέδου και του δικτύου ΙΡν6. Η τεχνολογία 6LowPAN περιλαμβάνει τον
κατακερματισμό (hash), την επανασυναρμολόγηση, τη συμπίεση και την ανάθεση διευθύνσεων στις
κεφαλίδες (header).
Το επίπεδο υποστήριξης των εφαρμογών τοποθετείται ένα επίπεδο πάνω από το επίπεδο
μεταφοράς. Υποστηρίζει σχεδόν όλα τα είδη επιχειρηματικών λειτουργιών, υλοποιεί «έξυπνους»
υπολογισμούς, επεξεργάζεται τα εισερχόμενα δεδομένα και συνεισφέρει στη διαδικασία λήψης
αποφάσεων. Είναι επίσης ικανό να αναγνωρίσει και να φιλτράρει τα έγκυρα από τα κακόβουλα
δεδομένα που φτάνουν έως εκεί. Ανάλογα με τις λειτουργίες, το επίπεδο εφαρμογών χωρίζεται σε
διάφορα τμήματα όπως το ενδιάμεσο λογισμικό (middleware), τις επικοινωνίες Μ2Μ και το
υπολογιστικό «νέφος».
Η έννοια του middleware είναι δεδομένο ότι περιλαμβάνει διάφορες πλατφόρμες και λειτουργικά
συστήματα. Ο όγκος των δεδομένων στο ΙοΤ, που θα κληθεί να υποστηρίξει, είναι τεράστιος κα
δυναμικός, για το λόγο αυτό, θα πρέπει αφενός να υφίστανται μεγάλα αποθέματα αποθηκευτικού
χώρου και αφετέρου αυτή η χωρητικότητά του, να δύναται να επεκταθεί γραμμικά, για την κάλυψη
των επερχόμενων αναγκών. Παράλληλα το λογισμικό αυτό, θα πρέπει να μπορεί να διαχειριστεί
εισερχόμενα αιτήματα που καταφθάνουν ταυτόχρονα και έχουν και συγκεκριμένο χρόνο ζωής. Άρα,
θα πρέπει να εισαγάγει στις λειτουργίες του, τεχνικές που θα θέτουν προτεραιότητες στη σειρά
επεξεργασίας των αιτημάτων, ώστε να μη μπαίνουν σε ουρές αναμονής επείγον αιτήματα. Οι
επικοινωνίες Μ2Μ, χαρακτηριστικό μοντέλο εφαρμογής στο ΙοΤ, καθώς στηρίζονται σε ηλεκτρικά
καλώδια, ασύρματα ή κυψελωτά δίκτυα, διατρέχουν ακόμα κινδύνους στην ασφάλεια τους. Όταν
μιλάμε δηλαδή για επίπεδο backend (middleware & M2M), οι απαιτήσεις στην ασφάλεια είναι τόσο
υψηλές για να ανταποκρίνονται σε κάθε επιχειρηματική λογική. Ο έλεγχος πρόσβασης, η
ταυτοποίηση των χρηστών, η ακεραιότητα και διαθεσιμότητα των δεδομένων κατέχουν σημαντική
θέση. Παράλληλα, η ιδιωτικότητα και η αξιοπιστία των πληροφοριών θεωρούνται εξίσου αξιόλογα
ζητήματα σε αυτό το επίπεδο. Για το λόγο αυτό οι έρευνες στρέφονται γύρω από τεχνικές επίτευξης
ανωνυμίας όπως k-anonymity (μοντέλο για τη διαφύλαξη ευαίσθητων δεδομένων) (44),
τυχαιοποίησης των δεδομένων και ανανέωσης των κλειδιών αυθεντικοποίησης. Επιπρόσθετα, οι
αρχές κάθε κράτους θα πρέπει να μεριμνήσουν για τις περιπτώσεις που οι χρήστες αλλάζουν
παρόχους υπηρεσιών Διαδικτύου (ISP), ώστε να μη διακυβεύεται η απώλεια και η διαρροή των
δεδομένων που τους αφορούν.
Σε ό,τι αφορά την επεξεργασία δεδομένων στα πλαίσια του «νέφους», ενέχονται επίσης μια σειρά
από κίνδυνοι. Οι κίνδυνοι αυτοί αφορούν πιθανές απομονώσεις δεδομένων και λανθασμένη σειρά
προτεραιότητας αλλά και προβλήματα στην ανάκτηση δεδομένων. Οι πλατφόρμες υπολογιστικού
«νέφους» διαθέτουν πολλές φορές κρίσιμες πληροφορίες εμπορικών εταιρειών, γι’ αυτό και συχνά
γίνονται στόχος ηλεκτρονικών επιθέσεων. Εταιρείες με ευαίσθητα δεδομένα, όπως
χρηματιστηριακές και ιατρικές κλινικές αποφεύγουν να υιοθετήσουν το «νέφος», ως τρόπο
επεξεργασίας και αποθήκευσης των ηλεκτρονικών τους αρχείων. Επιπρόσθετα, οι επιθέσεις
άρνησης πρόσβασης (DDoS) είναι σύνηθες φαινόμενο στα υπολογιστικά «νέφη». Προκαλούν
ασυνέχεια στη ροή πληροφοριών, τερματισμό λειτουργίας σε ανύποπτο χρόνο και δυσκολία στην
πρόσβαση των ιδιωτικών αποθηκευμένων πληροφοριών, καταναλώνοντας προσωρινή μνήμη και
διαθέσιμο εύρος ζώνης. Ένα άλλο θέμα που άπτεται της ασφάλειας στα υπολογιστικά «νέφη»,
σχετίζεται με το γεγονός ότι είναι προσβάσιμο από παντού. Πρέπει να δίδεται ιδιαίτερη μνεία στην
εξακρίβωση των διαπιστευτηρίων των λογαριασμών των χρηστών, καθώς είναι σχετικά δύσκολο να
γίνει ανίχνευση (tracing) των ηλεκτρονικών αποτυπωμάτων των χρηστών με πλαστά
διαπιστευτήρια.
Το Διαδίκτυο των πραγμάτων (IoT) έχει αλλάξει σε λίγα χρόνια από μια πολλά υποσχόμενη
τεχνολογία σε μια τεχνολογία που συνδέει ήδη πολλές οικιακές συσκευές. Η Cisco υπολογίζει ότι η
2020 μπορεί να συνδεθεί με 50 συσκευές.
Σύμφωνα με την Gartner, ο αριθμός των συσκευών IoT σε ένα νοικοκυριό θα αυξηθεί από το 9 σε 500
ανά νοικοκυριό τα επόμενα δύο χρόνια.
Προφανώς οι συσκευές χωρίς δυνατότητες IoT θα γίνουν ακριβότερες στο μέλλον επειδή δεν
διαθέτουν δεδομένα που μπορούν να διαβαστούν από τους κατασκευαστές. Ακριβώς αυτά τα
δεδομένα καθιστούν το Διαδίκτυο των πραγμάτων τόσο ενδιαφέρον για τις εταιρείες. Ωστόσο, τα
δεδομένα αυτά συνεπάγονται κινδύνους, καθώς και ορισμένους άλλους αξιοσημείωτους κινδύνους
και προβλήματα.
Η προστασία των πληροφοριών είναι αναμφισβήτητα ένα από τα πιο σημαντικά προβλήματα στο ΙοΤ.
Υπάρχουν όμως και άλλα προβλήματα που προκύπτουν άμεσα από αυτό.
1. Internet Botnets Πράγματα
Εκατομμύρια συνδεδεμένες συσκευές καταναλωτών μαζί δημιουργούν ένα μεγάλο οπλοστάσιο
όπλων για χάκερ. Οι ηλίθιες συσκευές, που συνδέονται σε ένα δίκτυο ή κρίσιμη υποδομή, αποτελούν
ένα μεγάλο botnet (: botnet ονομάζεται ένα δίκτυο υπολογιστών που ελέγχεται εξ αποστάσεως από
τον λεγόμενο botmaster, χωρίς τη γνώση ή έγκριση των κατόχων των υπολογιστών του δικτύου. Οι
υπολογιστές που είναι μέλη ενος δικτύου botnet ονομάζονται ζόμπι). Μεγαλος κίνδυνος για την
ασφάλεια είναι για παραδειγμα στην περιπτωση αυτή η αντιμετώπιση επιθέσεων Πλημυρας (DDoS)
Επίσης μεγάλος αριθμός από τον κακά προστατευμένο αυτό καταναλωτικό εξοπλισμό μπορούν να
χρησιμοποιηθούν για επίθεση σε δημόσιες υποδομές.
Ένα κακόβουλο botmaster ενος Botnet στο Ίντερνετ των πραγμάτων μπορεί να ελέγξει τεράστια
σμήνη συνδεδεμένων αισθητήρων για να προκαλέσει επιβλαβείς ενέργειες στη χρήση της υποδομής.
Υπάρχουν βεβαια και λύσεις για αυτές τις επιθέσεις, όπως π.χ. ευφυέστερο λογισμικό που μπορεί να
υποδεικνύει τη διαφορά μεταξύ δεδομένων έκτακτης ανάγκης και λανθασμένων αισθητήρων. Αυτό
το λογισμικό μπορεί να ορίσει όρια στα οποία οι συσκευές δεδομένων μπορούν να στείλουν και πόσο
συχνά μπορούν να στείλουν.
2. Οι επιθέσεις των νεφών (clouds) μέσω του Διαδικτύου των πραγμάτων
Δεδομένου ότι ένα μεγάλο μέρος των δεδομένων που θα χρησιμοποιήσει το Διαδίκτυο των
πραγμάτων θα αποθηκευτεί στο νεφος (cloud), oi προμηθευτές υποδομών νεφών είναι πιθανώς ένας
από τους κύριους στόχους σε αυτόν τον τύπο παραβιάσεων. Παρόλο που υπάρχει όλο και
μεγαλύτερη συνειδητοποίηση αυτού του προβλήματος, εξακολουθούν να διατίθενται πολύ λίγοι
πόροι σε σχέση με το μέγεθος της απειλής. Η χειραγώγηση ενός μόνο προμηθευτή νέφους μπορεί να
προκαλέσει οικονομικές ζημίες ύψους εως και 120 δισ. Δολαρίων. (Το ετήσιο κόστος του εγκλήματος
στον κυβερνοχώρο είναι τώρα τουλάχιστον 1 τρισεκατομμύριο δολάρια).
3. Τεχνητά νοημοσύνη προβλήματα ασφαλείας
Αν και ήδη η κλίμακα της απειλής επιθεσεων τυπου ransomware κατά το παρελθόν έτος αυξήθηκε, οι
επιθέσεις για λύτρα προβλέπεται ότι θα ενταθουν ακομα περισότερο στο μελλον. Ο επόμενος
μεγάλος στόχος για τις επιθεσεις τυπου ransomware θα είναι πιθανώς οι πάροχοι υπηρεσιών νέφους
με στόχο τη δημιουργία νέων εσόδων. Τα σύνθετα δίκτυα παρόχων νεφων μπορούν να αποτελέσουν
ένα σημείο σοβαρης παραβιασης της ασφάλειας για εκατοντάδες εταιρείες, κρατικές υπηρεσίες και
οργανώσεις υγειονομικής περίθαλψης. Πιο συγκεκριμένα, πολύμορφο κακόβουλο λογισμικό είναι σε
θέση να χρησιμοποιήσει την Τεχνητη νοημοσύνη (AI) για να δημιουργήσετε προηγμένο νέο κώδικα
που μπορεί να μάθει να παρακάμπτει την ανίχνευση.
4. Μηχανική μάθηση
Η εκμάθηση (training) των μηχανών και τα μεγάλα δεδομένα (big data) που βασίζονται στην TN (AI)
είναι ισχυρά εργαλεία για τον μη εξουσιοδοτημενο εντοπισμό συλλογων από στοιχεία σε μεγάλους
όγκους δεδομένων. Τα μεγάλα δεδομένα και η μηχανική μάθηση που προσφέρει η ΤΝ, σε συνδιασμό
με την συνεχώς αυξανόμενη υπολογιστική υσχη που είναι διαθεσιμηκανουν εφικτη την επεξεργασια
όλο και περισσότερων πληροφοριών. Επίσης με τους αλγορίθμους τους μπορούν να αναλυθούν όλο
και περισσότερες μεταβλητές που επηρεάζουν τις συνδέσεις μεταξυ των δεδομένων. Δημιουργουνται
ετσι και νεα, σοβαρα προβληματα παραβιασης της ασφαλειας και ιδιωτικότητας.
5. Walled internet
Στην ενότητα αυτή θα εξετάσουμε τις πιο συνηθισμένες και σοβαρές κατηγορίες επιθέσεων
παραβίασης της ασφάλειας σε συστήματα ΙοΤ, καθώς και τα κατάλληλα αντίμετρα σε κάθε
περίπτωση. Ποιο συγκεκριμένα θα εξετάσουμε: (1). Τις επιθέσεις σε συστήματα RFID, (2) τις
επιθέσεις σε επικοινωνίες κοντινού πεδίου (Near-Field Communication NFC), και, (3) τις επιθέσεις σε
δίκτυα αισθητήρων (πηγή: Π. Παπαζώης, Ασφάλεια στο Διαδίκτυο των Πραγμάτων, Παναπιστήμιο
Αιγαίου, 2020).
Οι πιο συχνές και σοβαρές επιθέσεις σε συστήματα RFID είναι (i) ο από-συγχρονισμός (de-
synchronisation), (ii) ο μη-εντοπισμός (untraceability), (iii) η διαρροή πληροφοριών (information
leakage), και (iv) οι επιθέσεις επανάληψης (replay attacks).
Οι επιθέσεις από-συγχρονισμού επιτρέπουν στους επιτιθέμενους να εντοπίζουν ετικέτες και να
αποκαλύπτουν την τοποθεσία τους μπλοκάροντας τη μετάδοση ενός συγκεκριμένου τύπου
επικοινωνίας μεταξύ της ετικέτας και του αναγνώστη. Οι επιθέσεις επανάληψης επιτρέπουν στους
επιτιθέμενους να κάνουν κατάχρηση των έγκυρων πληροφοριών που έχουν ληφθεί προηγουμένως. Η
διαρροή πληροφοριών μπορεί να έχει σοβαρό αντίκτυπο στον χρήστη, ο οποίος ίσως να μην γνωρίζει
τη δραστηριότητα της ετικέτας. Ένας χρήστης που μεταφέρει μια ενεργή ετικέτα εν αγνοία του,
μπορεί να αποκαλύψει πληροφορίες σχετικά με την ιδιοκτησία ορισμένων, συνήθως ακριβών
προϊόντων ή χρήσης φαρμάκων. (Ha, Moon, Nieto & Boyd 2007).
Οι πολύ βασικές ετικέτες RFID δεν διαθέτουν κρυπτογράφηση, κάτι που τις κανει εξαιρετικά
ευάλωτες σε έναν επιτιθέμενο, καθώς μπορεί πολύ εύκολα να συγκεντρώσει τα δεδομένα μιας
ετικέτας ή και να την κλωνοποιήσει (Juels 2006).
Εάν υποθέσουμε οτι ένας επιτιθέμενος επιτυγχάνει να κλωνοποιήσει μια ετικέτα, χρησιμοποιώντας
μια επίθεση skimming, η οποία αποκαλύπτει τον ηλεκτρονικό κωδικό προϊόντος (EPC) της
κλωνοποιημένης ετικέτας, ο επιτιθέμενος θα εξακολουθεί να χρειάζεται τον κωδικό PIN για να λάβει
την έγκυρη έξοδο της ετικέτας έτσι ώστε να μπορεί να εκτελέσει τις εντολές αναγνώστη. (Juels 2005).
Ο μόνος τρόπος για την λήψη του απαραίτητου PIN είναι να το μαντέψει. Λόγω όμως και του μήκους
του PIN, το να το μαντέψει κάποιος είναι σχεδόν αδύνατο. Καθώς οι non-EPC κλώνοι μπορούν να
εξαπατήσουν τον αναγνώστη, απλώς με αποδοχή οποιουδήποτε PIN ως αληθινό, είναι σημαντικό να
ανιχνεύσουμε τους κλώνους. (Juels 2005).
Μπορεί να υπάρχουν περιστάσεις κάτω από τις οποίες προτιμάται η χρήση της συσκευής ανάγνωσης
σαν μέσο επικοινωνίας μεταξύ της ετικέτας και ενός αξιόπιστου server. Σε αυτή την περίπτωση, ο
αναγνώστης επικοινωνεί με τον server παρέχοντάς του ένα σύνολο PIN. Ένας επιτιθέμενος που
καταφέρνει να αποκαλύψει μια συσκευή ανάγνωσης, που μπορεί να δώσει πρόσβαση σε ένα server,
αλλά όχι σε μια ετικέτα, αντιμετωπίζει το ίδιο πρόβλημα που αναφέρθηκε παραπάνω. Για να
κλωνοποιήσει μια ετικέτα με επιτυχία, ο επιτιθέμενος πρέπει να μαντέψει ποιο είναι το έγκυρο PIN.
Παρόλα αυτά, κάθε φορά που ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση στην εν λόγω ετικέτα,
είναι πιθανό να καταφέρει να πάρει τον έγκυρο κωδικό PIN κάνοντας μία απλή σάρωση της ετικέτας.
(Juels 2005).
Εκτος όμως από τα προβλήματα ασφάλειας που περιγράφηκαν προηγουμένως, υπάρχουν και
επιπλέον επιθέσεις σε βασικές ετικέτες RFID. Σε περίπτωση για παραδειγμα μιας μη επιτρεπόμενης
πρόσβασης σε μια βάση δεδομένων που αποθηκεύει τα PIN, ο επιτιθέμενος μπορεί να κλωνοποιήσει
επιτυχώς όλες τις ετικέτες που έχουν επηρεαστεί. Μια περαιτέρω δυνατότητα για την κλωνοποίηση
ετικετών είναι η αντίστροφη μηχανική(reverse engineering). Για να επιτύχει μια τέτοια επίθεση, ένας
επιτιθέμενος πρέπει να κλέψει την ετικέτα για να μπορέσει να μάθει τον έγκυρο κωδικό PIN, ο οποίος
στη συνέχεια μπορεί να χρησιμοποιηθεί για την αντικατάσταση της αυθεντικής ετικέτας από τον
κλώνο. (Juels 2005).
Μια άλλη επίθεση που μπορεί να έχει ισχυρό αντίκτυπο σε συστήματα RFID που έχουν ετικέτες
συμμετρικού κλειδιού, είναι η επίθεση του ενδιάμεσου (Μan-in-the-Middle). Αυτού του είδους η
επίθεση μπορεί να είναι πολύ αποτελεσματική καθώς ο επιτιθέμενος απλά ενεργεί κρυφά ανάμεσα
σε δύο επικοινωνούντα μέρη, στην περίπτωση μας ανάμεσα στην συσκευή ανάγνωσης και την
ετικέτα, ελέγχοντας ολόκληρη τη συνομιλία. Αυτή η επίθεση αποτελεί αναπόφευκτη απειλή για τα
συστήματα RFID καθώς παρακάμπτει κάθε είδους κρυπτογραφία.
Υπάρχουν όμως και μια σειρα από αντίμετρα. Για παραδειγμα, μία σημαντική πρόκληση είναι η
διασφάλιση της αυθεντικότητας και της ιδιωτικότητας των καταναλωτών, δεδομένου ότι οι ετικέτες
RFID υστερούν στην εφαρμογή ασφαλών κρυπτογραφικών αντίμετρων (Juels 2006). Στη συνεχεια θα
αναφερθούμε στον ελαφρύ έλεγχο ταυτότητας και τον πως μπορούμε να απορρίψουμε ετικέτες
RFID, προκειμένου να διασφαλιστεί η ιδιωτικότητα των καταναλωτών.
Σε ότι αφορά τις βασικές ετικέτες RFID, το πιο σημαντικό ζήτημα ασφάλειας είναι η αποτελεσματική
ταυτοποίηση. (Juels 2006). Για την ανίχνευση των κλώνων των επιτιθέμενων, το λεγόμενο ‘’βασικό
πρωτόκολλο επαλήθευσης ταυτότητας’ περιλαμβάνει το χαρακτηριστικό της δοκιμής μιας ετικέτας το
οποίο στέλνει ένα σύνολο τυχαίων, πλαστών κωδικών PIN περιλαμβάνοντας το σωστό PIN σε μία
τυχαία θέση. Εάν η απόκριση της ετικέτας είναι έγκυρη, η ετικέτα μπορεί να θεωρηθεί ως κλώνος.
(Juels 2005). Το απλούστερο πρωτόκολλο ταυτοποίησης, το οποίο υποτίθεται ότι προστατεύει με
επιτυχία τις επιθέσεις από κλωνοποιημένες ετικέτες ή από την εξαπάτηση των συσκευών ανάγνωσης,
προϋποθέτει την ύπαρξη μίας αξιόπιστης συσκευής ανάγνωσης ετικετών και είναι κατάλληλη για τις
περισσότερες βασικές ετικέτες RFID, όπως τα EPC. (Juels 2005).
Μια άλλη λύση για την αποφυγή αποκάλυψης πληροφοριών σχετικά με τον φορέα μιας ετικέτας
είναι να καταστεί η ετικέτα ακατάλληλη. Επί του παρόντος, σύμφωνα με τον Juels (2006, 8),
υπάρχουν δύο πιθανά σενάρια για την επίτευξη αυτής της προσέγγισης. Μια λύση που είναι κοινή
στο λιανικό εμπόριο, είναι η χρήση των λεγόμενων αφαιρούμενων ετικετών που χρησιμοποιούνται
συχνά ως ετικέτες τιμών. Αυτές οι ετικέτες μπορούν απλά να αφαιρεθούν από το αντικείμενο μόλις
το αντικείμενο αγοραστεί.
Μια άλλη λύση που χρησιμοποιείται στις μη-αφαιρούμενες ετικέτες είναι ο τερματισμός ετικετών. Ο
τερματισμός ετικετών θεωρείται πολύ αποτελεσματικός και διαδραματίζει κεντρικό ρόλο στην
προστασία της ιδιωτικής ζωής των καταναλωτών. Σύμφωνα με τον Juels (2006) ένα μελλοντικό
σενάριο θα ήταν να τερματιστεί η ετικέτα αμέσως μετά την πληρωμή του αντικειμένου. Για να
τερματίσει μια ετικέτα, μια συσκευή ανάγνωσης αποστέλλει μια εντολή, συμπεριλαμβάνοντας και
τον έγκυρο κωδικό PIN, για να απενεργοποιήσει την ετικέτα. (Juels 2006).
Για την προστασία των συστημάτων RFID από διάφορες επιθέσεις, υπάρχουν διάφορα πρωτόκολλα
τα οποία μπορούν να εφαρμοστούν σε συστήματα ετικετών συμμετρικού κλειδιού, καποια από τα
οποια εξεταζονται στη συνεχεια. Οι ετικέτες συμμετρικού κλειδιού μπορούν να εκτελέσουν
κρυπτογράφηση και συνεπώς έχουν καλύτερες επιλογές ασφαλείας. Οι ακόλουθες ενότητες δίνουν
μια επισκόπηση των δύο πιο αποτελεσματικών πρωτοκόλλων για την αντιμετώπιση των
προβλημάτων αποσυγχρονισμού, διαρροής πληροφοριών και επιθέσεων επανάληψης. (Ha, Moon,
Nieto & Boyd 2007).
Οι Van Deursen και Radomirović (2009) περιγράφουν ένα πρωτόκολλο ελέγχου ταυτότητας που
εισήγαγαν οι Ha, Moon, Nieto και Boyd. Η ασφάλεια του πρωτοκόλλου βασίζεται στην υπόθεση, ότι η
σύνδεση μεταξύ της συσκευής ανάγνωσης και της βάσης δεδομένων είναι ασφαλής. Επιπλέον,
βασίζεται στο ότι η επικοινωνία μεταξύ ετικέτας και συσκευής ανάγνωσης δεν μπορεί να θεωρηθεί
ασφαλής, λόγω της υποκλοπής(eavesdropping). (van deursen & Radomirović 2009).
Σε αυτό το πρωτότυπο πρωτόκολλο, η ετικέτα περιέχει ένα μυστικό αναγνωριστικό καθώς και μια
τιμή, 0 ή 1, που υποδηλώνει την επιτυχία της προηγούμενης εκτέλεσης. Εκτός από τη διατήρηση ενός
μυστικού αναγνωριστικού, η συσκευή ανάγνωσης διατηρεί επιπλέον το αναγνωριστικό της
προηγούμενης εκτέλεσης και το hash (συνάρτηση κατατεμαχισμού) του τρέχοντος αναγνωριστικού. Η
συσκευή ανάγνωσης παράγει έναν μοναδικό αριθμό που χρησιμοποιείται μόνο μία φορά (nonce) και
την αποστέλλει στην ετικέτα. Εκεί, η ετικέτα δημιουργεί επίσης έναν τέτοιο αριθμό. Επιπλέον, αν η
προηγούμενη εκτέλεση ήταν επιτυχής, οδηγώντας σε μία τιμή ετικέτας 0, η ετικέτα στέλνει μια
απάντηση που περιλαμβάνει το κατατεμαχισμένο (hashed) ID και το nonce. Επιπλέον, η ετικέτα ορίζει
την κατάσταση της σε 1.
Σε περίπτωση ανεπιτυχούς εκτέλεσης, η ετικέτα διατηρεί την κατάστασή της σε 1 και στέλνει, εκτός
από το nonce, τη λειτουργία κατατεμαχισμού (hash) του αναγνωριστικού της και το nonce της
συσκευής ανάγνωσης. Για να δεχτεί την ετικέτα, ο αναγνώστης πρέπει να ελέγξει την απόκριση της
ετικέτας, εξαιρώντας το nonce της. O αναγνώστης θα αποδεχτεί την ετικέτα εάν οι παρακάτω
συνδυασμοί τιμών αντιστοιχούν σε αυτές που ήδη κατέχει:
αναγνωριστικού, το nonce της ετικέτας και του αναγνώστη, ή τη συνάρτηση κατατεμαχισμού του
προηγουμένου αναγνωριστικού, το nonce της ετικέτας και του αναγνώστη.
Μετά την επαλήθευση, η συσκευή ανάγνωσης ενημερώνει τις τιμές που τηρεί και αποστέλλει την
τιμή της συνάρτησης κατατεμαχισμού του προηγούμενου αναγνωριστικού της και το nonce της
ετικέτας στην ετικέτα. Εάν η απόκριση είναι ίση με τη συνάρτηση κατατεμαχισμού του
αναγνωριστικού της ετικέτας και του nonce, η ετικέτα ενημερώνει το αναγνωριστικό της στην τιμή
της συνάρτησης κατατεμαχισμού του αναγνωριστικού της και του nonce της συσκευής ανάγνωσης.
Επιπλέον, υποδεικνύει την επιτυχή εκτέλεση αυτής της διαδικασίας, θέτοντας την κατάσταση της σε
0. (Van Deursen & Radomirović 2009).
Οι Lee, Asano και Kim (2006) τονίζουν τη σημασία της μη-ανιχνευσιμότητας και της αντί-
κλωνοποίησης. Η μη-ανιχνευσιμότητα αποτρέπει τον εισβολέα να ανιχνεύσει τις πληροφορίες που
εκπέμπει μια ετικέτα, οι οποίες στη συνέχεια μπορούν να χρησιμοποιηθούν για την ανεύρεση
συγκεκριμένων μοτίβων που ίσως αποκαλύψουν μυστικά δεδομένα της, όπως το αναγνωριστικό της.
Το πρωτόκολλό τους βασίζεται στην υπόθεση ότι και οι δύο, η ετικέτα και η συσκευή ανάγνωσης,
μπορούν να αποθηκεύσουν ορισμένες μεταβλητές σε διαφορετικές μνήμες. Κάθε ετικέτα περιέχει
έναν μοναδικό, τυχαίο αριθμό ο οποίος αποθηκεύεται μόνιμα για σκοπούς εξακρίβωσης της
ταυτότητας, που αναφέρεται ως αναγνωριστικό της ετικέτας. Σε περίπτωση που το αναγνωριστικό
της ετικέτας ταιριάζει με το αναγνωριστικό που έχει αποθηκευτεί στη βάση δεδομένων, η ετικέτα
καταχωρεί μια νέα τιμή μετά από κάθε επιτυχή έλεγχο ταυτότητας. Επιπλέον, η ετικέτα και ο
αναγνώστης μπορούν να αποθηκεύσουν έναν δεύτερο ψευδό-τυχαίο αριθμό, ο οποίος αποθηκεύεται
μόνο κατά τη διάρκεια της διαδικασίας ελέγχου ταυτότητας, για να εξασφαλιστεί ότι κάθε συνεδρία
έχει διαφορετική αναγνώριση για να αποτρέψει τις επιθέσεις επανάληψης. Η βάση δεδομένων που
επικοινωνεί με τις συσκευές ανάγνωσης αποθηκεύει το τρέχον αναγνωριστικό κάθε ετικέτας καθώς
και το προηγούμενο. (Lee, Asano & Kim 2006)
Η βάση δεδομένων, με την οποία επικοινωνεί ο αναγνώστης, ελέγχει ότι το αναγνωριστικό της
ετικέτας ταιριάζει με την hash ενός τουλάχιστον από τα πεδία της. Η βάση δεδομένων ενημερώνει τα
πεδία της σε περίπτωση που η ληφθείσα hash αντιστοιχεί στο αναγνωριστικό της ετικέτας. Σε αυτήν
την περίπτωση, το αναγνωριστικό της τρέχουσας ετικέτας αποθηκεύεται στο πεδίο του
προηγούμενου αναγνωριστικού της ετικέτας και η ληφθείσα hash χρησιμεύει ως το νέο
αναγνωριστικό. Χρησιμοποιώντας τον τυχαίο αριθμό του αναγνώστη, την hash της ετικέτας και το
μόνιμο αναγνωριστικό της, η βάση δεδομένων υπολογίζει μια νέα τιμή χρησιμοποιώντας μια
συνάρτηση κατατεμαχισμού και αποστέλλει αυτόν τον αριθμό στον αναγνώστη. Με τη βοήθεια
αυτού του αριθμού, ο αναγνώστης ενημερώνει το αναγνωριστικό της ετικέτας στην hash του αριθμού
που έλαβε από τη βάση δεδομένων. (Lee, Asano & Kim 2006)
1.3 Συμπερασμα
Παρότι το πρωτόκολλο των Ha, Moon, Nieto και Boyd φαίνεται να εξασφαλίζει πλήρη έλεγχο
ταυτότητας, υπάρχουν μερικά θέματα ασφάλειας που δεν καλύπτονται από το πρωτόκολλο. Το
πρώτο ζήτημα ασφαλείας είναι ο ψευδής έλεγχος ταυτότητας. Καθώς μια ετικέτα ανταποκρίνεται
πάντα στο αίτημα ενός αναγνώστη με το hashed ID, οι επιτιθέμενοι μπορούν να αποκτήσουν αυτό το
hashed ID αν η κατάσταση της ετικέτας έχει οριστεί σε 0, καθώς δεν υπάρχει περαιτέρω έλεγχος
ταυτότητας. Σε περίπτωση που οι εισβολείς έχουν στην διάθεση τους τις δικές τους συσκευές
ανάγνωσης, προτού η ετικέτα μπορέσει να επικοινωνήσει με έναν αξιόπιστο αναγνώστη που θα
ενημερώσει το αναγνωριστικό της, ίσως μπορέσουν να υποδυθούν την ετικέτα αν μπορέσουν να
αποκτήσουν το κατατεμαχισμένο αναγνωριστικό της (hashed ID) και έτσι εμποδίσουν τον αξιόπιστο
αναγνώστη από το να την ενημερώσει. (Van Deursen & Radomirović 2009).
Μια άλλη επίθεση από την οποία το πρωτόκολλο δεν μπορεί να προστατεύσει, είναι από-
συγχρονισμός. Αυτό το ελάττωμα ασφαλείας περιλαμβάνει την επίθεση του ενδιάμεσου και μπορεί
να προκαλέσει την αχρήστευση του αναγνώστη και της ετικέτας καθώς μπορεί να τους οδηγήσει στην
αλλαγή των αναγνωριστικών τους σε άκυρες τιμές, καθώς δεν μπορούν πλέον να επαληθευτούν στις
επόμενες συνεδρίες. Και πάλι, αυτή η επίθεση προϋποθέτει ότι η κατάσταση της ετικέτας έχει οριστεί
σε 0. Ένας εισβολέας που καταφέρει να τροποποιήσει το nonce του αναγνώστη πριν αυτός το στείλει
μαζί με τις άλλες αρχικές τιμές στην ετικέτα, μπορεί να εκμεταλλευτεί αυτό το ελάττωμα ασφαλείας
καθώς δεν υπάρχει τρόπος να επαληθευτεί ότι η ετικέτα λαμβάνει το σωστό nonce που αποστέλλεται
από τον αναγνώστη. Αυτό οδηγεί στο γεγονός ότι, μετά την εκτέλεση του πρωτοκόλλου, η συσκευή
ανάγνωσης και η ετικέτα θα ενημερώσουν τα αναγνωριστικά τους σε διαφορετικές τιμές καθώς η
ετικέτα λαμβάνει ένα διαφορετικό nonce από το αρχικό που αποστέλλεται από τον αναγνώστη. (Van
Deursen & Radomirović 2009)
Το πρωτόκολλο από τους Lee, Asano και Kim παρέχει την πιο γνωστή -επί του παρόντος- ενισχυμένη
πιστοποίηση ταυτότητας για συστήματα RFID. Παρόλο που ένας επιτιθέμενος θα μπορούσε να
παρακολουθήσει την επικοινωνία και να συγκεντρώσει όλες τις τιμές των παραγόμενων αριθμών που
ανταλλάσσονται μεταξύ της ετικέτας, της συσκευής ανάγνωσης και της βάσης δεδομένων του
διακομιστή όπου αποθηκεύονται όλες οι τιμές, ο εισβολέας δεν είναι σε θέση να διακρίνει μεταξύ
αυτών των αριθμών χωρίς να γνωρίζει τις τιμές που είναι αποθηκευμένες στη βάση. Ο τυχαία
παραγόμενος αριθμός από την ετικέτα, που περιγράφηκε στην αρχή του πρωτοκόλλου, εμποδίζει τον
εισβολέα να κλωνοποιήσει τις ετικέτες με επιτυχία καθώς αλλάζει για κάθε συνεδρία. (Lee, Asano &
Kim 2006).
Αυτό το πρωτόκολλο παρέχει μια λύση ενάντια στην επίθεση του ενδιάμεσου, καθώς η βάση
δεδομένων περιλαμβάνει όχι μόνο την ταυτότητα της τρέχουσας ετικέτας, αλλά και της
προηγούμενης. Ακόμα κι αν ένας εισβολέας κατορθώσει να ενημερώσει την ετικέτα με διαφορετικό
αναγνωριστικό από εκείνο της βάσης δεδομένων του διακομιστή για να προσπαθήσει να καταστήσει
την ετικέτα άχρηστη καθώς δεν μπορεί πλέον να αναγνωριστεί (αφού το αναγνωριστικό της ετικέτας
διαφέρει από αυτό του αναγνώστη), η ετικέτα μπορεί ακόμα να πιστοποιηθεί από την προηγούμενη
τιμή που έχει αποθηκευτεί στη βάση δεδομένων. Αυτό εξασφαλίζει την αναγνώριση της ετικέτας και
θωρακίζει το σύστημα από την επίδραση της επίθεσης του ενδιάμεσου. (Lee, Asano & Kim 2006).
Σύμφωνα με τον Lee κ.α (2006), το πρωτόκολλό τους παρέχει βελτιωμένη πιστοποίηση που μπορεί να
προστατεύσει τα συστήματα RFID από ποικίλες επιθέσεις, συμπεριλαμβανομένης της κοινής
επίθεσης της κλωνοποίησης ετικετών.
Η επικοινωνία κοντινού πεδίου (NFC) είναι μια τεχνολογία που χρησιμοποιείται στην Ταυτότητα
Ραδιοσυχνοτήτων (RFID). Επιτρέπει τις συσκευές να αλληλεπιδρούν μεταξύ τους χρησιμοποιώντας
μια μικρής εμβέλειας, ασύρματη σύνδεση. Οι συσκευές μπορούν να επικοινωνήσουν μεταξύ τους και
να αποστείλουν δεδομένα μόνο με την τοποθέτηση τους το ένα κοντά στο άλλο. Με τεχνικούς όρους
αυτό ονομάζεται χειραψία. (Agrawal & Khanna 2012).
Σύμφωνα με τους Haselsteiner και Breitfuß (2006) οι συσκευές και ο τρόπος επικοινωνίας τους
μπορούν να χωριστούν ανάλογα με την κατάσταση των συσκευών, η οποία μπορεί να είναι είτε
ενεργή είτε ανενεργή. Συγκριτικά με τις ανενεργές, οι ενεργές συσκευές είναι εφοδιασμένες με μια
πηγή ενέργειας. Σε περίπτωση όπου και οι δύο συσκευών είναι ενεργές, το πεδίο ραδιοσυχνοτήτων
παράγεται από τη συσκευή που στέλνει δεδομένα. Εάν μόνο μία από τις συσκευές είναι ενεργή και η
άλλη είναι παθητική, το πεδίο ραδιοσυχνοτήτων παράγεται μόνο από την ενεργό συσκευή.
(Haselsteiner & Breitfuß 2006). Όταν εκτελείται η χειραψία, η ενεργή συσκευή, συνήθως αναφέρεται
ως ο εκκινητής, στέλνει ένα μήνυμα στη δευτερεύουσα συσκευή η οποία μπορεί να είναι ενεργή ή
παθητική. Με βάση αυτό το μήνυμα, η δεύτερη απάντηση απαντά και η σύνδεση κατοχυρώνεται.
(Haselsteiner & Breitfuß 2006).
Ωστόσο, σύμφωνα με τους Haselsteiner και Breitfuß (2006) δεν είναι δυνατόν να προβλεφθεί πόσο
κοντά πρέπει να είναι ένας επιτιθέμενος για να λάβει το σήμα. Αυτό εξαρτάται από διάφορες
παραμέτρους τόσο της συσκευής αποστολής όσο και της συσκευής λήψης. Μεταξύ άλλων, αυτές οι
παράμετροι καλύπτουν τα χαρακτηριστικά των κεραιών των συσκευών αποστολής και λήψης, τη
θέση της εγκατάστασης του συστήματος και εν γένει την ποιότητα των συσκευών. (Haselsteiner &
Breitfuß 2006).
Επιπρόσθετα, ένας επιτιθέμενος πρέπει να εξετάσει τη λειτουργία της συσκευής αποστολής. Μια
συσκευή που παράγει το δικό της πεδίο ραδιοσυχνοτήτων, η αλλιώς ενεργή συσκευή, είναι πολύ πιο
εύκολο να παρακολουθηθεί από μια συσκευή που χρησιμοποιεί το πεδίο μιας άλλης συσκευής. Αυτό
συμβαίνει απλώς και μόνο επειδή η ακτίνα εκπομπής μιας ενεργής συσκευής είναι δέκα φορές
υψηλότερη από μια ανενεργή. (Agrawal & Khanna 2012).
Η δεύτερη πιθανότητα της επίθεσης MitM περιλαμβάνει και τα δύο μέρη επικοινωνίας όπου
χρησιμοποιούν ενεργό τρόπο λειτουργίας. Και πάλι, όπως και στην προηγούμενη περίπτωση, ο
επιτιθέμενος διαταράσσει τη μετάδοση. Σε σύγκριση με την προηγούμενη ρύθμιση, στην ενεργή-
ενεργή λειτουργία το μέρος που αποστέλλει πρέπει να απενεργοποιήσει το πεδίο ραδιοσυχνοτήτων
του ώστε το δεύτερο μέρος να λάβει τα δεδομένα. Αυτό επιτρέπει στον επιτιθέμενο να
ενεργοποιήσει το δικό του πεδίο για να στείλει τα πλαστά δεδομένα. Σε αυτή τη ρύθμιση και τα δύο
μέρη “ακούν” την επικοινωνία και περιμένουν την απάντηση του άλλου μέρους. Αυτό καθιστά
αδύνατο για τον επιτιθέμενο να στείλει τα πλαστά δεδομένα χωρίς κάποιο από τα δύο μέρη να
παρατηρήσει ότι τα δεδομένα αποστέλλονται από κάποιον άλλο. (Haselsteiner & Breitfuß 2006). Και
πάλι, σύμφωνα με τους Haselsteiner και Breitfuß (2006), η ρύθμιση που περιγράφηκε προηγουμένως
καθιστά αδύνατη μια επίθεση MitM.
Αυτό το κεφάλαιο παρέχει μια επισκόπηση των πιο αποτελεσματικών αντίμετρων ασφαλείας για
συστήματα NFC. Επιπλέον, θα παρουσιάσει ένα παράδειγμα με το πως μπορεί να ασφαλιστεί το
κανάλι μεταξύ δύο συσκευών.
2.3 Συμπεράσματα
Το NFC αντιμετωπίζει σοβαρές απειλές ασφάλειας, οι οποίες δεν μπορούν να αποτραπούν από το
ίδιο το NFC. Αυτές οι απειλές περιλαμβάνουν την τροποποίηση των δεδομένων και την επίθεση
υποκλοπής. Για να ξεπεραστούν αυτά τα ζητήματα ασφάλειας, συνιστάται η χρήση του
αποκαλούμενου ασφαλούς καναλιού, το οποίο βοηθά στην παροχή μιας ασφαλούς μεθόδου για τη
μετάδοση δεδομένων. Αυτό το ασφαλές κανάλι χρησιμοποιεί ένα πρότυπο πρωτόκολλο κλειδιού,
καθώς είναι ανθεκτικό σε επιθέσεις ενδιάμεσου και συνεπώς είναι το πιο κατάλληλο.
Το φυσικό στρώμα ασχολείται με τη μετάδοση ροών δεδομένων, την ανίχνευση σημάτων και την
κρυπτογράφηση δεδομένων και αντιμετωπίζει επιθέσεις τύπου παρεμβολής και αλλοίωσης . Το
στρώμα ζεύξης δεδομένων είναι υπεύθυνο για την πολυπλεξία αυτών των ροών δεδομένων, για την
ανίχνευση πακέτων δεδομένων και για τη διασφάλιση συνδέσεων σημείου-σε-σημείο ή σημείου-σε-
πολλαπλά-σημεία. Οι κοινές επιθέσεις είναι η εξάντληση πόρων και η μεροληψία.
Το επίπεδο δικτύου διασφαλίζει την προώθηση των πακέτων και την αντιστοίχιση διευθύνσεων. Οι
επιθέσεις που εμφανίζονται σε επίπεδο δικτύου είναι οι εξής:
Η επίθεση παρεμβολής, όπου συχνά αναφέρεται ως ράδιο-παρεμβολές, είναι μια μέθοδος που
χρησιμοποιείται για την επίθεση σε ασύρματα δίκτυα παρεμβάλλοντας στις ραδιοσυχνότητες του
δικτύου. Οι επιτιθέμενοι που διαθέτουν μεγάλη πηγή ενέργειας που χρησιμοποιείται για επιθέσεις
παρεμβολής μπορούν να διαταράξουν ένα ολόκληρο δίκτυο. (Wang, Attebury & Ramamurthy 2006).
Λόγω του χαμηλού κόστους των κόμβων αισθητήρων, οι επιθέσεις αλλοίωσης είναι μια άλλη πιθανή
απειλή σε δίκτυα αισθητήρων. Οι επιτιθέμενοι που μπορούν να αποκτήσουν φυσική πρόσβαση σε
έναν κόμβο μπορούν να εξάγουν τις πληροφορίες του κόμβου και επιπλέον να δημιουργήσουν έναν
κόμβο στον οποίο έχουν πλήρη έλεγχο. Οι κόμβοι που προστατεύουν από τον εντοπισμό
παραβιάσεων συνεπάγονται υψηλό κόστος, κι έτσι τα περισσότερα συστήματα ασφαλείας θεωρούν
τους κόμβους ως μη ανθεκτικούς σε αλλοιώσεις. (Wang, Attebury & Ramamurthy 2006).
Οι επιτιθέμενοι μπορούν να εξαντλήσουν έναν κόμβο και τους περιβάλλοντες κόμβους, από τους
ενεργειακούς τους πόρους, προκαλώντας συγκρούσεις μεταξύ της μετάδοσης δεδομένων μεταξύ
πολλαπλών κόμβων. Εάν η αναμετάδοση των δεδομένων δεν ανιχνευτεί και το δίκτυο προσπαθεί
συνεχώς να μεταδίδει αυτά τα πακέτα, οι ενεργειακοί πόροι των επηρεαζόμενων κόμβων θα
εξαντληθούν. (Wang, Attebury & Ramamurthy 2006).
Αφορά την προαναφερθείσα επίθεση στο στρώμα σύνδεσης (Link Layer) και μπορεί να θεωρηθεί ως
μια ήπια επίθεση DoS (Άρνηση Υπηρεσίας). Σε μια τέτοια επίθεση ο επιτιθέμενος προσπαθεί να
προκαλέσει την λήξη του χρονικού ορίου αποστολής δεδομένων των κόμβων το οποίο μπορεί να
αποδυναμώσει σοβαρά ένα ολόκληρο δίκτυο. (Wang, Attebury & Ramamurthy 2006).
Ο στόχος της παραποίησης και επαναποστολής δεδομένων διαδρομής είναι η παρεμβολή στην
κίνηση ενός δικτύου. Οι επιθέσεις αυτές μπορεί να περιλαμβάνουν τα ακόλουθα:
Σε μια επίθεση επιλεκτικής προώθησης, οι επιτιθέμενοι κάνουν χρήση της υπόθεσης ότι οι κόμβοι
προωθούν πιστά τα μηνύματα. Σε αυτήν την επίθεση, οι αντίπαλοι χρησιμοποιούν κακόβουλους
κόμβους για να αποβάλλουν ορισμένα μηνύματα, πράγμα που σημαίνει ότι δεν προωθούνται
περαιτέρω. Για να περιοριστεί η υποψία και να αποφευχθεί ότι οι γύρω κόμβοι θα επιλέξουν άλλη
διαδρομή, σε περίπτωση που καταλήξουν στο συμπέρασμα ότι το πρωτότυπο απέτυχε, οι
επιτιθέμενοι ενδέχεται να επιλέξουν να τροποποιήσουν ή να καταστείλουν μόνο μερικά πακέτα και
να προωθήσουν τα υπόλοιπα. Οι επιτιθέμενοι έχουν δύο επιλογές για να επιτύχουν αυτήν την
επίθεση. Μπορούν να είναι είτε μέρος της πορείας της μετάδοσης δεδομένων, είτε μπορούν να
ακούσουν τη ροή μετάδοσης μέσω γειτονικών κόμβων. Παρόλο που και οι δύο μορφές επίθεσης
είναι δυνατές, η πρώτη επιλογή είναι πιο αποτελεσματική και πιο εύκολη στην εκτέλεση. (Karlof &
Wagner 2003).
Ο στόχος μιας επίθεσης βύθισης είναι να εξασφαλιστεί ότι όλη η κίνηση μιας συγκεκριμένης περιοχής
του δικτύου ρέει μέσα από έναν παραβιασμένο κόμβο στον οποίο ο επιτιθέμενος έχει τον πλήρη
έλεγχο. Για την δημιουργία μιας τέτοιας επίθεσης, ο επιτιθέμενος πρέπει να διασφαλίσει ότι ο
κόμβος φαίνεται ελκυστικός στους περιβάλλοντες κόμβους του, παρουσιάζοντας τον ως πορεία
υψηλής ποιότητας προς τον σταθμό βάσης. Αυτό εξασφαλίζει ότι οι υπόλοιποι κόμβοι θα
χρησιμοποιήσουν τον παραβιασμένο κόμβο για να προωθούν τα πακέτα που υποτίθεται ότι
φτάνουν στον σταθμό βάσης. Χρησιμοποιώντας αυτήν την επίθεση, οι αντίπαλοι μπορούν εύκολα να
καταστείλουν ή να τροποποιήσουν τα πακέτα δεδομένων. (Karlof & Wagner 2003).
Αυτή η μορφή επίθεσης χρησιμοποιείται συχνά στη γεωγραφική δρομολόγηση. Σε μια επίθεση Sybil,
ένας επιτιθέμενος ανακαλύπτει έναν κόμβο που εμφανίζεται με πολλαπλές ταυτότητες. Σε ένα
σύστημα δρομολόγησης τοποθεσίας όπου οι κόμβοι μεταβάλλουν τις συντεταγμένες τους με τους
γειτονικούς κόμβους τους για να κατευθύνουν γεωγραφικά τις πληροφορίες, συνήθως δέχονται
οποιοδήποτε σύνολο συντεταγμένων. Αυτό έχει ως αποτέλεσμα ότι ο επιτεθέμενος μπορεί να
φαίνεται ότι βρίσκεται σε πολλαπλά σημεία κάθε δεδομένη στιγμή. (Karlof & Wagner 2003).
Οι επιτιθέμενοι χρησιμοποιούν σκουληκότρυπες για τη μεταφορά μηνυμάτων από ένα μέρος του
δικτύου σε ένα άλλο. Αυτές οι επιθέσεις περιλαμβάνουν συνήθως δύο απομακρυσμένους κόμβους,
των οποίων ο επιτιθέμενος έχει τον πλήρη έλεγχο της προώθησης μηνυμάτων μεταξύ των. Αν ένας
επιτιθέμενος καταφέρει να τοποθετήσει μια τέτοια “τρύπα” κοντά σε έναν σταθμό βάσης και πείσει
τους κόμβους ότι είναι πολύ πιο κοντά, τότε θα μπορούσε να διακόψει τη δρομολόγηση σε ολόκληρο
το δίκτυο. Οι επιθέσεις τέτοιου τύπου μπορούν να χρησιμοποιηθούν σε συνδυασμό με άλλες
επιθέσεις για να καταστήσουν μια τέτοια επίθεση πιο ισχυρή. Εκείνες οι επιθέσεις περιλαμβάνουν
την υποκλοπή (eavesdropping), την επιλεκτική προώθηση (selective forwarding), τις επιθέσεις
βύθισης (sinkhole) ή την επίθεση Sybil. (Karlof & Wagner 2003).
Σε μια επίθεση πλημμύρας HELLO οι αντίπαλοι κάνουν κατάχρηση του γεγονότος ότι στους
περισσότερους κόμβους πρωτόκολλων δρομολόγησης οι κόμβοι χρησιμοποιούν τα πακέτα ‘HELLO’
για να συστήνονται στους γειτονικούς κόμβους. Αυτό περιλαμβάνει την παραδοχή ότι οι κόμβοι
αυτοί βρίσκονται εντός της κανονικής εμβέλειας τους. Οι επιτιθέμενοι που στέλνουν τα πακέτα
HELLO, παρά το γεγονός ότι βρίσκονται σε κανονική εμβέλεια, μπορούν να κάνουν άλλους κόμβους
να θεωρούν ότι είναι οι γείτονες κόμβοι αποστολής. Οι γειτονικοί κόμβοι θα μεταδώσουν τα πακέτα
δεδομένων τους στον κόμβο που στέλνει τα πακέτα HELLO αλλά, δεδομένου ότι βρίσκονται εκτός
εμβέλειας, το πακέτο δεν θα φτάσει ποτέ στον προορισμό του, πράγμα που καθιστά αδύνατο το
δίκτυο να διατηρήσει την κατάσταση του. (Karlof & Wagner 2003).
3.1.11 Από-συγχρονισμός(De-synchronisation)
Σε μια επίθεση από-συγχρονισμού, ένας επιτιθέμενος στέλνει συνεχώς άκυρα πακέτα σε έναν
κεντρικό υπολογιστή, ο οποίος προσπαθεί να ζητήσει εκ νέου τη μετάδοση αυτών των χαμένων
πακέτων. Αυτό μπορεί να προκαλέσει την απώλεια ενέργειας από τον κεντρικό υπολογιστή,
προσπαθώντας να ανακάμψει από ψευδή λάθη, σε περίπτωση που ο εισβολέας κατορθώσει να
αποτρέψει εντελώς την ανταλλαγή δεδομένων. (Wang, Attebury & Ramamurthy 2006).
Σύμφωνα με τον Karlof και τον Wagner (2003) οι περισσότερες επιθέσεις που προέρχονται εξωτερικά
του WSN μπορούν να αποφευχθούν εφαρμόζοντας κρυπτογράφηση στο στρώμα σύνδεσης (link
layer), χρησιμοποιώντας ένα κοινό μυστικό κλειδί μεταξύ των κόμβων και του σταθμού βάσης.
Ωστόσο, αυτό το αντίμετρο δεν παρέχει προστασία από τις επιθέσεις εκ των έσω.
Υπάρχουν δύο αμυντικοί μηχανισμοί που είναι γνωστοί στην αντιμετώπιση της ράδιο- παρεμβολής:
Η αναπήδηση συχνότητας περιέχει ταχείες μεταβολές της συχνότητας κατά τη μετάδοση των
σημάτων, γεγονός που καθιστά αδύνατο για έναν επιτιθέμενο να εμπλακεί στην άγνωστη συχνότητα.
Η διάδοση κώδικα χρησιμοποιείται για τον ίδιο σκοπό αλλά, καθώς η συχνότητα επεκτείνεται,
απαιτείται μεγαλύτερη ποσότητα ενέργειας. Λόγω των περιορισμών στο κόστος των WSN και των
περιορισμένων ενεργειακών πόρων, δεν μπορούν να εφαρμοστούν αυτοί αμυντικοί μηχανισμοί.
(Wang, Attebury & Ramamurthy 2006).
Όπως η επίθεση παρεμβολής, έτσι και η αλλοίωση είναι μια επίθεση που συμβαίνει στο φυσικό
στρώμα. Λόγω περιορισμών στο κόστος των WSNs δεν υπάρχει κάποιο γνωστό αποτελεσματικό
αντίμετρο που θα μπορούσε να εφαρμοστεί στο σχεδιασμό των σημερινών WSNs. Προκειμένου να
προστατευθούν τα WSNs από τις επιθέσεις στο φυσικό στρώμα, όλα τα συστήματα ασφαλείας
πρέπει να εξετάσουν αυτή την αδυναμία. (Wang, Attebury & Ramamurthy 2006).
Υπάρχουν δύο αντίμετρα που χρησιμοποιούνται για την αποφυγή εξάντλησης πόρων.
Το πρώτο αντίμετρο αποτρέπει την εξάντληση της ενέργειας, επιτρέποντας στα WSN να αγνοήσουν
αιτήματα που βρίσκονται εκτός των ορίων μεταφοράς στο στρώμα MAC (Medium Access Control).
Η δεύτερη λύση εισάγει μια χρονική θυρίδα κατά την οποία επιτρέπεται η μετάδοση σημάτων και
έτσι εμποδίζει τα WSN να μεταδίδουν συνεχώς τα αλλοιωμένα δεδομένα. Αυτή η λύση αναφέρεται
συχνά ως πολυπλεξία χρονικής διαίρεσης (time- division multiplexing). (Wang, Attebury &
Ramamurthy 2006).
Επί του παρόντος, δεν υπάρχει κανένα αντίμετρο που θα μπορούσε να αποτρέψει πλήρως τα WSNs
από επιθέσεις μεροληψίας. Η χρήση μικρότερων χρονικών πλαισίων για τις εκπομπές μπορεί να
μειώσει τον αντίκτυπο των επιθέσεων μεροληψίας στα WSN, ωστόσο η ίδια η επίθεση δεν μπορεί να
αποτραπεί καθώς οι επιτιθέμενοι μπορούν να αναμεταδώσουν πολύ γρήγορα. (Wang, Attebury &
Ramamurthy 2006).
Μια αποτελεσματική λύση για την αποτροπή της πλαστογράφησης, της αλλαγής και επαναποστολής
των πληροφοριών εντός των WSNs είναι η προσθήκη ενός κωδικού επαλήθευσης και μιας χρονικής
σήμανσης στο μήνυμα. Αυτό επιτρέπει την επαλήθευση των ληφθέντων δεδομένων και επιπλέον δεν
επιτρέπει στις πληροφορίες να επαναληφθούν. (Wang, Attebury & Ramamurthy 2006).
Οι επιθέσεις επιλεκτικής προώθησης και βύθισης από έναν εξωτερικό επιτιθέμενο μπορούν να
αποφευχθούν πλήρως με την εφαρμογή κρυπτογράφησης κοινόχρηστων κλειδιών. Αυτό το αντίμετρο
εξασφαλίζει ότι ο αντίπαλος δεν μπορεί πλέον να ενταχθεί στα WSN. Παρόλα αυτά, το αντίμετρο δεν
είναι αποτελεσματικό για τους εσωτερικούς επιτιθέμενους. (Karlof & Wagner 2003).
Καθώς οι επιθέσεις που προέρχονται από το εσωτερικό του WSN δεν μπορούν να αποφευχθούν,
είναι σημαντικό να επαληθευτούν οι ταυτότητες των κόμβων για να ανιχνευθεί η μεταμφίεση. Λόγω
των περιορισμών στις παραδοσιακές προσεγγίσεις των WSN, λύσεις όπως η κρυπτογραφία δημόσιου
κλειδιού, δεν είναι εφικτές. Μια πιθανή λύση για να ξεπεραστεί το πρόβλημα των επιθέσεων Sybil
στα WSNs είναι η εφαρμογή μοναδικών συμμετρικών κλειδιών που μοιράζονται μεταξύ τους οι
κόμβοι και ο σταθμός βάσης. Αυτά τα κλειδιά επιτρέπουν στους γειτονικούς κόμβους να
επαληθεύσουν την ταυτότητά τους και να δημιουργήσουν ένα κοινό κλειδί που περιορίζει την
επικοινωνία τους με τους γειτονικούς κόμβους που έχουν επαληθεύσει την ταυτότητα τους. Είναι
σημαντικό να σημειωθεί ότι ο αριθμός των κλειδιών ανά κόμβο πρέπει να περιορίζεται από τον
σταθμό βάσης για να εμποδίσει τους αντιπάλους να δημιουργήσουν ένα κοινόχρηστο κλειδί με κάθε
κόμβο. Σε περίπτωση που ένας κόμβος υπερβεί έναν δεδομένο αριθμό κοινόχρηστων κλειδιών με
τους γειτονικούς του κόμβους, θα στέλνει ένα μήνυμα σφάλματος για να αναγγείλει το πρόβλημα.
(Karlof & Wagner 2003).
Ένα πιθανό αντίμετρο στις επιθέσεις πλημμύρας HELLO είναι ένα πρωτόκολλο ελέγχου ταυτότητας
μεταξύ γειτονικών κόμβων που επαληθεύει τις ταυτότητες των κόμβων χρησιμοποιώντας τον σταθμό
βάσης. Για να μπορέσει ένας επιτιθέμενος να χρησιμοποιήσει μια επίθεση πλημμύρας HELLO, πρέπει
να ταυτοποιηθεί με όλους τους γειτονικούς κόμβους. Εάν ο αριθμός των γειτονικών κόμβων είναι
ορισμένος πάνω από ένα συγκεκριμένο όριο, ο σταθμός βάσης τότε θα μπορούσε να ανιχνεύσει τον
εισβολέα. (Karlof & Wagner 2003).
3.2.10 Αποσυγχρονισμός
3.3 Συμπερασμα
Οι επιθέσεις που εκτελούνται από ισχυρούς επιτιθέμενους εντός των WSN ενέχουν ωστόσο σοβαρή
απειλή για το δίκτυο, καθώς δεν υπάρχει κανένα αποτελεσματικό αντίμετρο που θα μπορούσε να
προστατεύσει τα WSN από αυτές τις επιθέσεις. Οι πιο δύσκολες επιθέσεις που προκαλούνται από το
εσωτερικό του δικτύου είναι οι επιθέσεις βύθισης και σκουληκότρυπας. Προκειμένου να
προστατευθούν τα WSNs από εσωτερικούς επιτιθέμενους, πρέπει να εξεταστούν περαιτέρω
κρυπτογραφικά αντίμετρα. Πρέπει να κατασκευαστούν νέα ασφαλή πρωτόκολλα δρομολόγησης τα
οποία θα προσαρμόζονται στις ανάγκες και τους περιορισμούς των WSN. Επί του παρόντος, μόνο το
Σύμφωνα με τον Karlof και τον Wagner (2003) η σχεδίαση ενός πρωτοκόλλου δρομολόγησης, το
οποίο μπορεί να ξεπεράσει τα τρέχοντα ζητήματα ασφαλείας, παραμένει ένα ανοιχτό πρόβλημα που
πρέπει να λυθεί ώστε να χρησιμοποιηθούν με ασφάλεια οι πολλαπλές λειτουργίες των WSN.
Το Internet of Things (IoT) και το Blockchain είναι δυο από τις ταχύτερα αναπτυσσόμενες τεχνολογίες
σήμερα.
Πρεπει να σημειώσουμε εδώ ότι οι δυο αυτές τεχνολογίες έχουν και σημαντική σχέση μεταξύ τους.
Όπως είδαμε, το Blockchain, λειτουργεί ουσιαστικά σαν μια αποκεντρωμένη και κατανεμημένη βάση
δεδομένων, με τρόπο που κάθε συσκευή (κόμβος του ΙοΤ) σε αυτό να έχει τα ίδια δικαιώματα, και η
ανταλλαγή δεδομένων μεταξύ αυτών των κόμβων να γίνεται μέσω του συστήματος συναλλαγών.
Πιο συγκεκριμένα, μόλις συμβεί μια συναλλαγή στο Blockchain, ο κόμβος (του ΙοΤ) ενημερώνει όλες
τις άλλες συσκευές (του ΙοΤ) για αυτό και η συναλλαγή επαληθεύεται και στη συνέχεια προστίθεται
στη λίστα αναμονής. Δημιουργείται ετσι ένα μπλοκ δεδομένων που περιέχει όλες τις συναλλαγές και
επαληθεύεται.
Σε περίπτωση όμως αποτυχίας / παραβίασης σε επίπεδο νέφους (cloud), ολόκληρο το δίκτυο
συσκευών παύει να λειτουργεί.Μια λύση λοιπόν είναι η εισαγωγή της τεχνολογίας Blockchain σε IoT,
που μπορει να εξαλείψει αυτές τις απειλές. Και αυτό γιατι μέσω της αποκέντρωση της βάσης
δεδομένων και της ασφάλειας που χρησιμοποιείται στην τεχνολογία blockchain, η μη εξουσιο-
δοτημένη τροποποίηση των δεδομένων στο ΙοΤ, είναι όπως είδαμε σχεδόν αδύνατη. Επιπλέον, οι
συσκευές του ΙοΤ θα είναι σε θέση να λειτουργούν σωστά, παρά την αποτυχία ορισμένων από αυτές.
Υπάρχουν όμως και μια σειρα από σοβαρες προκλήσεις, για παράδειγμα:
- Το blockchain απαιτεί περισσότερη δύναμη υπολογιστικού νέφους και πολλές συσκευές IoT δεν
διαθέτουν επαρκείς πόρους.
- Η δημιουργία και η επαλήθευση του μπλοκ στο blockchain απαιτούν χρόνο, ενώ ακόμη και οι
ελάχιστες καθυστερήσεις επικοινωνίας είναι σημαντικές για το διαδίκτυο.
- Σε περιβάλλον blockchain, οι συσκευές παίρνουν αποφάσεις χωρίς τη γνώση του κεντρικού
εξυπηρετητή, οπότε τίθεται το ζήτημα της ευθύνης για τις συνέπειες ενος σφάλματος.
Θέματα που θα δουμε και στη συνέχεια.
«Έξυπνο» Σπίτι
Όπως προαναφέρθηκε η έννοια του «έξυπνου» σπιτιού, στα πλαίσια του ΙοΤ, πλέον γίνεται μια
πραγματικότητα. Διάχυτοι αισθητήρες είναι σε θέση να προσαρμόζουν τις συνθήκες (θερμοκρασία,
υγρασία, φωτισμό, μουσική), σύμφωνα με τις προτιμήσεις των ενοίκων και να προσφέρουν άνεση
και ασφάλεια. Οι τεχνολογίες που θα χρειαστούν για να υλοποιηθούν τα παραπάνω αφορούν τις
τηλεπικοινωνίες, τα δίκτυα και τα τερματικά των κυψελωτών δικτύων. Σε ό,τι αφορά τα δίκτυα,
ενσύρματοι δίαυλοι επικοινωνίας όπως EIB, H-bus, C- Bus αυξάνουν την πολυπλοκότητα στη δομή
των οικημάτων. Γι’ αυτό, για να αποφευχθούν πιθανοί περιορισμοί είναι καλό να υιοθετηθούν
ασύρματοι δίαυλοι όπως RF, Bluetooth, Wi-Fi. Στις τηλεπικοινωνίες, ασύρματες και ενσύρματες, από
τις πιο ώριμες τεχνολογίες είναι η ZigBee. Είναι χαμηλού κόστους και ενεργειακών απαιτήσεων και
αρκετά ευέλικτη, ώστε να προσαρμοστεί στις ανάγκες ενός «έξυπνου» σπιτιού. Λέγοντας τερματικά
κυψελωτών δικτύων, νοούνται κυρίως τα «έξυπνα» τηλέφωνα και ταμπλέτες. Σε αυτά ελλοχεύουν
οι κίνδυνοι ιδιωτικότητας και υποκλοπών. Επίσης, έχουν αναφερθεί και επιθέσεις DDoS σε δίκτυα
3G.
«Έξυπνη» πόλη
Ο όρος «έξυπνη» πόλη αναφέρεται σε ένα συνονθύλευμα όλων των δραστηριοτήτων που
διεξάγονται στα ευρύτερα όρια μιας σύγχρονης πόλης και άπτονται εφαρμογών Internet of things.
Στα πλαίσια του FP7, το ερευνητικό πρόγραμμα i-Core αναδεικνύει κάποιες πτυχές στην ασφάλεια
του ΙοΤ, που θα πρέπει να διέπουν μια «έξυπνη» πόλη. Αρχικά, η διαθεσιμότητα αποτελεί μία
απαίτηση που περιλαμβάνει, αφενός την τη δυνατότητα για αδιάλειπτη πρόσβαση στις αστικές ICT
υποδομές, και αφετέρου την προστασία αυτών από απειλές άρνησης παροχής περιεχομένου.
Έπειτα, θα πρέπει να διασφαλίζονται οι συμφωνίες (SLA) που έχουν κάνει οι χρήστες με τους
εκάστοτε παρόχους υπηρεσιών (ISP), αλλά και να είναι εφικτό το όλο σύστημα ΙοΤ να μπορεί να
επανέλθει άμεσα σε κατάσταση κανονικής λειτουργείας, μετά από ενδεχόμενη απρόβλεπτη βλάβη.
Η έννοια της εμπιστευτικότητας αφορά την προστασία των προσωπικών δεδομένων, τόσο του
αστικού πλήθους όσο και των κυβερνητικών φορέων. Επίσης, η πρόσβαση σε αυτά είναι δεδομένο
ότι θα απαιτεί διαπιστευτήρια. Συναφώς, η ακεραιότητα των δεδομένων προϋποθέτει ότι αυτά δεν
θα γίνεται να αλλοιωθούν από μη εξουσιοδοτημένους φορείς. Τέλος, η αυθεντικότητα στα αστικό
ΙοΤ περιβάλλον, υπονοεί ότι όλοι οι εμπλεκόμενοι φορείς, πάροχοι, κυβέρνηση, πολίτες, θα πρέπει
σίγουρα να έχουν δικαιολογητικά για να έχουν πρόσβαση στα αποθηκευμένα και μεταδιδόμενα
δεδομένα, αλλά να υπάρχει και διαβαθμισμένη εξουσιοδότηση, ανάλογα με το ρόλο του καθενός
(45).
Εν κατακλείδι, όπως γίνεται αντιληπτό κάθε σύστημα Internet of Things, προκειμένου να καταστεί
όσο το δυνατόν πιο ασφαλές, χρειάζεται αδιαμφισβήτητα να δομηθεί με τρόπο τέτοιο, που προάγει
την ασφάλεια σε κάθε δομικό του στοιχείο. Τα δεδομένα δομικά επίπεδα έγκεινται στο επίπεδο της
αντίληψης, της μεταφοράς και των εφαρμογών. Παράλληλα, οι βασικές αρχές στην ασφάλεια του
ΙοΤ, που απαιτείται να διασφαλίζονται είναι η εμπιστευτικότητα, η ακεραιότητα, η διαθεσιμότητα, η
αυθεντικότητα, ο έλεγχος πρόσβασης και η αξιοπιστία των δεδομένων που ανταλλάσσονται και
αποθηκεύονται. Ενδιαφέρον προκαλεί η στατιστική έρευνα της εταιρείας SANS, η οποία
αναδεικνύει ότι οι εμπορικές εταιρείες αφενός δεν είναι προετοιμασμένες να υποδεχθούν το ΙοΤ
στις καθημερινές τους εργασίες και αφετέρου διατηρούν υψηλά επίπεδα ανασφαλειών, για το εάν
θα μπορούν να προφυλαχτούν έναντι των ΙοΤ απειλών (46).
Όπως είδαμε ηδη ερχεται μια νέα εποχή βασισμένη στην μετεξελιξη του διαδικτυου σε Διαδίκτυο των
Πραγμάτων (Internet of Things). Τιποτα όμως δεν θα μπορούσε να λειτουργήσει σε αυτο, αν οι
ταχύτητες των δικτύων ήταν χαμηλές, όπως όταν πρωτοξεκίνησε το διαδίκτυο. Το διαδίκτυο των
πραγμάτων (ΙοΤ), δημιουργησε δηλαδή την άμεση ανάγκη για νέα πρωτόκολλα δικτύων για τη
μεταφορά των δεδομενων σε αυτό. Ετσι, και με βαση το ήδη υπάρχoν 4G δίκτυο (που αγγίζει
ταχύτητες ~300 Mbps), γίνονται προσπάθειες για την αναβάθμιση του σε κάτι ταχύτερο όπως π.χ. το
5G (με ταχυτητες που αγγίζουν τα 10 Gbps).
Βασικό χαρακτηριστικό των δικτυων λειτουργίας του ΙοΤ πρέπει να είναι επίσης η δυνατότητα
λειτουργίας με χαμηλη Ισχύ και η κάλυψης μιας Ευρείας Περιοχης (LPWAN - Low Power Wide Area
Networks). Τα δίκτυα ευρείας περιοχής και χαμηλής ισχύος Low Power Wide Area Networks (LPWAN)
επιτρέπουν σε τελικές συσκευές IoT (end-devices) να συνδέονται με τους συγκεντρωτές- πύλες
(Gateways) σε αποστάσεις χιλιομέτρων. Οι συγκεντρωτές- πύλες διαβιβάζουν στη συνέχεια τα
δεδομένα σε έναν εξυπηρετητή δικτύου (server) που διαχειρίζεται όλη την αποκρυπτογράφηση των
δεδομένων (μέσω Ethernet ή 3G / 4G).
Τα δίκτυα χαμηλής ισχύος και ευρείας περιοχής ‘Low Power Wide Area Networks’ (LPWAN)
θεωρούνται τα καταλληλοτερα για εφαρμογές IoT και αποτελούν την τελευταία εξέλιξη στην
ασύρματη επικοινωνία. Στη συνέχεια θα εξετασουμε την ασφάλεια που προσφέρουν τα κυριότερα
πρωτόκολλα LPWAN που χρησιμοποιούνται στο ΙοΤ.
Τα δίκτυα ευρείας περιοχής και χαμηλής ισχύος Low Power Wide Area Networks (LPWAN) αποτελούν
την τελευταία εξέλιξη στην ασύρματη επικοινωνία. Επιτρέπουν σε τελικές συσκευές IoT (end-device)
να συνδέονται με τους συγκεντρωτές- πύλες (Gateways) σε αποστάσεις χιλιομέτρων. Οι πύλες
διαβιβάζουν τα δεδομένα που λαμβάνουν από τις τελικές συσκευές σε έναν εξυπηρετητή δικτύου
(server) μέσω Ethernet ή 3G / 4G / 5G, ο οποίος διαχειρίζεται όλη την αποκρυπτογράφηση των
δεδομένων.
Το Διαδίκτυο των Πραγμάτων (IoT) αποτελείται όπως ειδαμε από έξυπνες τεχνολογίες και συστήματα
(συσκευές) που συνδέονται σε ένα παγκόσμιο δίκτυο και επικοινωνούν μεταξύ τους στέλνοντας
δεδομένα και πληροφορίες. Τα συστήματα LPWAN δίνουν τη δυνατότητα σε παρόχους “έξυπνων”
υποδομών να σχεδιάζουν συστήματα IoT για περιπτώσεις χρήσης που απαιτούν από τις συσκευές να
στέλνουν περιοδικα μικρά ποσά δεδομένων σε απομακρυσμένα δίκτυα που εκτείνονται σε μεγάλη
απόσταση και χρησιμοποιούν συσκευές που τροφοδοτούνται από μπαταρίες που πρέπει να
διατηρούν την ισχύ τους και για πολλά χρόνια. Με την εμφάνιση και την ανάπτυξη των τεχνολογιών
LPWAN, υπάρχει πλέον μεγαλύτερη ευελιξία στον ορισμό της "χαμηλής ισχύος" και της "ευρείας
περιοχής".
Λογω της εμβέλειας, του μικρού φορτίου δεδομένων των πακέτων και της διεισδυτικότητας των
LPWAN, οι αισθητήρες που χρησιμοποιούν οι έξυπνες συσκευές μπορούν να στέλνουν τα πακέτα
τους ακόμα και από δύσκολες τοποθεσίες (υπόγεια, δύσκολα κλίματα, μακριά από τους
συγκεντρωτές (Gateways, κλπ).
Η τεχνολογια LPWAΝ εχει την ικανότητά να προσφέρει την κατάλληλη συνδεσιμότητα χαμηλής
κατανάλωσης ενέργειας σε μεγάλο αριθμό συσκευών που διανέμονται ταυτόχρονα σε μεγάλες
γεωγραφικές περιοχές με μικρό κόστος.
Στοχος των τεχνολογιών LPWAΝ είναι επίτευξη των παρακάτω λειτουργιών:
- Μεγάλη εμβέλεια:
- Λειτουργία εξαιρετικά χαμηλής ισχύος:
- Μικρό κόστος:
- Επεκτασιμότητα:
Οι συσκευές LPWAN χρησιμοποιούν για την επικοινωνία και την σύνδεση τους την τοπολογία
αστέρα. Σε αυτην όλες οι τελικές συσκευές (End- device) έχουν άμεση σύνδεση με έναν συγκεντρωτή
(Gateway).
Ο συγκεντρωτής λειτουργεί σαν μετατροπέας πρωτοκόλλου και κατευθύνει τα πακέτα που
αποστέλλονται από τις τελικές συσκευές στο νέφος μέσω 3G / 4G / LTE
Ο εξυπηρετητής διαχειρίζεται όλη την αποκρυπτογράφηση των δεδομένων και χειρίζεται την
εσωτερική διανομή και αποθήκευση τους.
Το LoRaWAN, αποτελει την πιο, ή μία από τις πιο, διαδεδομένες τεχνολογίες LPWAN, το LoRa
αποτελεί το φυσικό επίπεδο του LoRaWAN. Είναι οργανωμένο σε τοπολογία αστέρα, όπου οι
συγκεντρωτές (Gateways) στέλνουν και λαμβάνουν πακέτα από τις συσκευές και τα αντίστοιχα
πακέτα τα στέλνουν στους εξυπερετητές δικτύου που με τη σειρά τους στέλνουν εντολές στους
συγκεντρωτές και στις συσκευές, οπότε η παραπάνω επικοινωνία θεωρείται αμφίδρομη.
Οι τελικές συσκευές στέλνουν δεδομένα στους συγκεντρωτές μέσω της τεχνολογίας LoRaWAN και οι
συγκεντρωτές συνδέονται με το εξυπηρετητή δικτύου μέσω IP/TCP(3G/4G)
Αρχιτεκτονική Δικτύου
Τα στοιχεία που χρησιμοποιούνται στο δίκτυο του LoRa και LoRaWAN για την λειτουργία των
συστημάτων είναι τα εξής:
Τελικές Συσκευές LoRa (End Device)-
LoRa Συγκεντρωτές (Gateways)
Εξυπηρετητής Δικτύου (Network Server)
Εξυπηρετητής Εφαρμογής (Application Server) στους τελικούς χρήστες.
Η τεχνολογία LoRaWAN λόγω της συνεχώς αναβάθμισης στην αρχιτεκτονική δικτύου αποτελεί μία
βασική τεχνολογία για κάθε “έξυπνη” υποδομή συστημάτων.
Η τεχνολογία του LoRaWAN έχει σαν βασικό στόχο την διασφάλιση της εμπιστευτικότητας
(confidentiality), της ακεραιότητας (integrity) και της αυθεντικότητας (Authenticity Validation) ενός
συστήματος.
Δεδομένου ότι το κανάλι επικοινωνίας είναι ασύρματο και έτσι είναι διαθέσιμο σε οποιονδήποτε έχει
τεχνικές γνώσεις ώστε να το επιτεθεί και να παραποιήσει τα δεδομένα που αποστέλνονται μέσω
αυτού, είναι απαραίτητη η αυθεντικότητα της επικοινωνίας
Εμπιστευτικότητα
Η χρήση των κλειδιών δικτύου (Network Session key) και του κλειδιού εφαρμογής (Application
Session Key) εφαρμόζεται από την έκδοση του LoRaWANv1.0.2 και αποτελούν το καθένα ένα ζευγάρι
ξεχωριστών κλειδιών.
Κλειδί συνόδου Εφαρμογής (Application session key AppSKey)
Είναι ένα μοναδικό κλειδί για κάθε τελική συσκευή με μέγεθος 128-bit. Δεν μεταδίδεται στο δίκτυο
και διαμοιράζεται μέσω των τελικών συσκευών και του εξυπηρετητή εφαρμογής. Χρησιμοποιείται
για την κρυπτογράφηση και την αποκωδικοποίηση των πακέτων με σκοπό να διασφαλιστεί η
ακεραιότητα των δεδομένων που προέρχονται από τις συσκευές στους τελικού χρήστες
Το Κλειδί συνόδου Δικτύου (Network session key NwkSKey)
Είναι ένα μοναδικό κλειδί για κάθε τελική συσκευή με μέγεθος 128-bit. δεν μεταδίδεται στο δίκτυο
και διαμοιράζεται μέσω των τελικών συσκευών και του εξυπηρετητή δικτύου. Χρησιμοποιείται για
την διασφάλιση της ακεραιότητας των δεδομένων που προορίζονται για τους τελικούς χρήστες.
Κλειδί Εφαρμογής (Application Key AppKey)
Αποτελεί ένα μοναδικό κλειδί για κάθε τελική συσκευή με μέγεθος 128-bit,. Είναι καθορισμένο κλειδί
από τον διαχειριστή του δικτύου για τις τελικές συσκευές. Δεν μεταδίδεται στο δίκτυο αλλά
μοιράζεται μέσω των συσκευών και του εξυπηρετητή εφαρμογής. Χρησιμοποιείται για τον
υπολογισμό και την επαλήθευση του κώδικα ακεραιότητας μηνύματος (message integrity code MIC)
κάθε μηνύματος.
Ακεραιότητα
Η τεχνολογία του LoRaWAN όπως και τα περισσότερα πρωτόκολλα LPWAN χρησιμοποιούν τον
μηχανισμό κρυπτογράφησης AES. Χαρακτηριστικά στην συγκεκριμένη τεχνολογία, χρησιμοποιείται η
μέθοδος κρυπτογράφησης του Προηγμένου Προτύπου Κρυπτογράφησης (Advanced Encryption
Standard – AES), το οποίο αποτελεί πρότυπο κρυπτογράφησης και είναι καθορισμένο από το National
Institute of Standards and Technology (NIST). Η μέθοδος AES είναι ένας αλγόριθμος συμμετρικού
κλειδιού, που σημαίνει ότι το ίδιο κλειδί ασφαλείας χρησιμοποιείται τόσο για κρυπτογράφηση όσο
και για την αποκρυπτογράφηση δεδομένων. Η τεχνολογία του LoRaWAN χρησιμοποιεί τον AES για τη
διασφάλιση της ακεραιότητας και της εμπιστευτικότητας
Ο κωδικός ακεραιότητας για τα μηνύματα που στέλνονται (MIC), χρησιμοποιείταιεπίσης από την
τεχνολογία LoRaWAN για να παρέχει έναν έλεγχο ακεραιότητας στα πακέτα που στέλνονται και στα
δεδομένα που περιλαμβάνονται στα πακέτα. Ο κωδικός αυτός μπορεί να δημιουργηθεί
χρησιμοποιώντας το κλειδί συνόδου δικτύου σαν παράμετρο στην μέθοδο κρυπτογράφησης AES-
CMAC. Όταν τα πακέτα ανερχόμενης ζεύξης φθάνουν στον εξυπηρετητή, ο εξυπηρετητής θα ελέγξει
πρώτα την ακεραιότητα του πακέτου και στην περίπτωση που περάσει τον έλεγχο θα μεταφερθεί
στον εξυπηρετητή εφαρμογής. Για τα αιτήματα εγγραφής (join-request) που χρησιμοποιούνται στην
μέθοδο ενεργοποίησης μέσω αέρα, το κωδικός ακεραιότητας παράγεται χρησιμοποιώντας σαν
παράμετρο το κλειδί εφαρμογής (AppKey) αντί για το κλειδί συνόδου δικτύου. Στη παρακάτω εικόνα
η φωτεινή σκιασμένη περιοχή προστατεύεται από τον κωδικό ακεραιότητας που παράγεται από το
κλειδί συνόδου δικτύου ενώ η σκοτεινή σκιασμένη περιοχή κρυπτογραφείται από το κλειδί συνόδου
εφαρμογής [4].
Αυθεντικότητα
Για τη καλύτερη και ασφαλέστερη λειτουργία του συστήματος, υπάρχει μηχανισμός δημιουργίας
μηνυμάτων επιβεβαίωσης, που επιβεβαιώνουν τη λήψη των πακέτων από μία συσκευή στην άλλη.
Στην τεχνολογία του LoRaWAN, ο δέκτης πρέπει να αποκρίνεται με ένα πλαίσιο δεδομένων που έχει
στα περιεχόμενα του το μήνυμα επιβεβαίωσης (ACK) που έχει οριστεί. Εάν ο αποστολέας είναι μία
τελική συσκευή και ζητάει επιβεβαίωση λήψης για ένα πακέτο που έστειλε, το δίκτυο θα προωθήσει
το μήνυμα επιβεβαίωσης μέσω μίας κατερχόμενης ζεύξης. Εάν ο αποστολέας είναι ένας
συγκεντρωτής, η συσκευή μέσω μίας ανερχόμενης ζεύξης αποστέλλει το μήνυμα επιβεβαίωσης. Ένα
μήνυμα επιβεβαίωσης (ACK) αποστέλλεται μόνο για το τελευταίο μήνυμα που ελήφθη και
αναμεταδόθηκε.
1. Φυσικές Επιθέσεις
Οι επιθέσεις στη φυσική παρουσία των τελικών συσκευών γίνεται με κύριο σκοπό την έκθεση (κλοπή)
των κλειδιών του δικτύου τους. Επίσης τη φυσική τους καταστροφή και την αποσύνδεσή τους από το
δίκτυο.
Έκθεση τελικών συσκευών και των κλειδιών τους
Μία κακόβουλη οντότητα αν αποκτήσει πρόσβαση σε μια συσκευή δικτύου, μπορεί να αποσπάσει τα
κλειδιά της.
Οι τελικές συσκευές διαθέτουν από τον κατασκευαστή τους, μία μονάδα ραδιοσυχνοτήτων και ένα
μικροελεγκτή (micro controller unit MCU) για την λειτουργία και την επικοινωνία τους με το δίκτυο
των LPWAN.
Οι εντολές και οι ανταλλαγές δεδομένων μεταξύ της μονάδας και του μικροελεγκτή μπορούν να
παρεμποδιστούν και να υποκλαπούν χρησιμοποιώντας κατάλληλο υλικό.
Μια άλλη επίθεση είναι η φυσική καταστροφή των συσκευών. Η φυσική επίθεση δεν θα προκαλέσει
βλάβη στο δίκτυο αφού δεν επηρεάζει τις άλλες συσκευές Συνηθως σκοπός της επίθεσης αυτής, είναι
να θέσει εκτός λειτουργίας την συσκευή, με αποτέλεσμα να μην στέλνει μηνύματα (π.χ. χρέωσης
στον πάροχο).
2. Επιθέσεις Δικτύου
2.1 Ενεργητικές επιθέσεις
Κατά τη διάρκεια μιας ενεργητικής επίθεσης, μια κακόβουλη οντότητα έχει την δυνατότητα να
υποκλέψει ή να εισάγει δικά της δεδομένα στο σύστημα καθώς και να μεταβάλει τα δεδομένα στο
εσωτερικό των πακέτων που στέλνονται στο δίκτυο.
Τύποι επιθέσεων μεσω δικτυου:
i. Επίθεση ενδιάμεσου ανθρώπου – Man in The Middle
Eίναι ένας κοινός τύπος επίθεσης στην ασφάλεια των δικτύων στον κυβερνοχώρο. H επίθεση γινεται
ανάμεσα σε δύο νόμιμα επικοινωνούντες συσκευές-κόμβους, επιτρέποντας στον εισβολέα να
παρακολουθεί μια συνομιλία στην οπια δεν επιτρέπεται να συμμετέχει.
Για να το πετύχει, ο εισβολέας μεταδίδει τα αντιγραμμένα πακέτα στον κόμβο που προοριζόταν να
σταλούν εξ αρχής κατά τέτοιο τρόπο ώστε να φτάσουν στον κόμβο προορισμού την στιγμή που θα
έφταναν τα αρχικά πακέτα ή και νωρίτερα.
Όπως φαινεται και στην παρακάτω εικόνα, ο εισβολέας χρησιμοποιεί μία «σήραγγα
σκουληκότρυπας» αποφεύγοντας τους κόμβους που εμπλέκονται, η διαδικασία αυτή είναι μη
ανιχνεύσιμη.
Για να μελετησουμε και να αντιμετωπισουμε τους κινδύνους που διατρέχουν τα παραπάνω έξυπνα
συστήματα υποδομών, μπορούμε να χρησιμοποιησουμε τεχνικες όπως η κατηγοριοποιηση STRIDE,
από την Διαδικασία Μοντελοποίησης Απειλών της Microsoft.
Σε αυτην, σε κάθε μία περίπτωση χρήσης, προσδιοριζονται και αναλύονται οι πιθανες επιθέσεις που
μπορεί να δεχθεί το σύστημά, αλλά και οι τρόποι αντιμετώπισης και διασφάλισης του.
Το STRIDE είναι ένα μοντέλο κατηγοριοποίησης απειλών που αναπτύχθηκε από τη Microsoft για τον
εντοπισμό απειλών για την ασφάλεια των συστημάτων. Με βάση αυτό, οι απειλές ασφάλειας
χωρίζονται σε έξι κατηγορίες:
- Spoofing - Πλαστογράφηση: Ένας εισβολέας προσπαθεί να είναι κάτι ή κάποιος που δεν είναι.
- Tampering - Αλλοίωση: Τροποποίηση δεδομένων ή κώδικα.
- Repudiation - Απάρνηση: Ισχυρισμός ότι δεν έχει εκτελεστεί κάποια ενέργεια.
- Information Disclosure - Αποκάλυψη πληροφοριών: Έκθεση πληροφορίας σε κάποιον που δεν
είναι εξουσιοδοτημένος να το δει.
- Denial of Service - Άρνηση παροχής υπηρεσιών: Άρνηση ή υποβάθμιση της υπηρεσίας προς το
χρήστη.
- Elevation of privilege - Παραποίηση Προνομίων: Πρόσβαση στις υπηρεσίες χωρίς τη σωστή
εξουσιοδότηση.
Παραδείγματα χρήσης των πρωτοκόλλων LPWAN υπάρχουν σήμερα πολλά. Μερικά από τα πιο
χαρακτηριστικά είναι:
Η έξυπνη τηλεμέτρηση κατανάλωσης νερού ή Smart Water Metering είναι μια τεχνολογία ΙοΤ που
αποτελεί βασικό παράγοντα για την ανάπτυξη των ευφυών πόλεων (smart cities) που είναι
απαραίτητη για την εξέλιξη της τεχνολογίας και της βιωσιμότητας των ανθρώπων.
Αποτελεί μια «έξυπνη» υποδομή συστήματος για τις σημερινές παγκόσμιες βιομηχανίες νερού όπως
βλέπουμε στην Εικόνα 7 Αρχιτεκτονική «έξυπνης» υποδομής συστήματος τηλεμέτρησης
κατανάλωσης νερού., όπου μέσω της παρουσίας των τεχνολογικά ανεπτυγμένων μετρητών νερού
(ηλεκτροβάνες-υδρόμετρα) μετρούν και διαχειρίζονται τη κατανάλωση κατά τη διάρκεια
συγκεκριμένων χρονικών περιόδων και μέσω διεπαφών μπορούν να μοιράζονται τις μετρήσεις αυτές
καθημερινά στους χρήστες. Ακόμα, μέσω ενός καναλιού επικοινωνίας, πετυχαίνεται η χρησιμότητα
του συστήματος, όπου έχει τη δυνατότητα να διαβάζει τη ζήτηση και την καθημερινή κατανάλωση
του νερού, για να διαπιστωθεί αν υπάρχει κάποια διαρροή στο μετρητή και στις εγκαταστάσεις του,
και να εκδίδει εντολές προς το μετρητή για την εκτέλεση ειδικών καθηκόντων, όπως η αποσύνδεση-
σύνδεση ή ο περιορισμός της ροής του νερού. Τα αποτελέσματα αυτά της κατανάλωσης και των
διαφόρων λειτουργιών, απεικονίζονται και σε μια μικρή οθόνη που υπάρχει στους μετρητές για την
διευκόλυνση των εξουσιοδοτημένων τεχνικών. Αυτά μπορούν να βοηθήσουν τους πελάτες να
ελέγξουν για διαρροές, να μειώσουν την κατανάλωση και να ελέγξουν τη συμμόρφωση με τους
τοπικούς περιορισμούς.
Ο μετρητής νερού που αναφέρθηκε παραπάνω είναι μια συσκευή (end-device) που χρησιμοποιείται
για τη μέτρηση της ποσότητας νερού που καταναλώνεται σε ένα κτίριο. Ένας "έξυπνος" μετρητής
νερού είναι μια συσκευή μέτρησης που έχει τη δυνατότητα να αποθηκεύει και να μεταδίδει συχνά
δεδομένα κατανάλωσης. Ακόμα, εκτός από τη μέτρηση του όγκου που καταναλώνεται, καταγράφουν
επίσης την ημερομηνία και την ώρα της κατανάλωσης, τις φυσικές επιθέσεις που δέχονται αλλά και
τις κατάλληλες εντολές για την σύνδεση-αποσύνδεση και μείωση της ροής νερού στις ηλεκτροβάνες
[16].
Για παράδειγμα η εταιρεία επικοινωνίας Vodafone και ο πάροχος νερού Aguas de Valencia
διαχειρίζονται έξυπνους μετρητές νερού μέσω μιας υποδομής συστήματος τηλεμέτρησης
κατανάλωσης νερού στην Ισπανία, χρησιμοποιώντας την τεχνολογία LPWAN και συγκεκριμένα NB-
IoT. Οι LPWAN τεχνολογίες είναι πολύ χρήσιμες για τις επιχειρήσεις που ζητούν «έξυπνες» λύσεις,
διότι πετυχαίνεται η συχνότερη ανάγνωση μετρητών και η απόκτηση τους χωρίς να χρειάζεται να
επισκεφθούν τη θέση του μετρητή. Το NB-IoT είναι ελκυστικό για αυτή τη χρήση λόγω της χαμηλής
κατανάλωσης ενέργειας και της καλής διάδοσης σε δύσκολες τοποθεσίες. Οι μετρητές εγκαθίστανται
σε οικιακούς και εμπορικούς χώρους εκτελώντας τις παραπάνω έξυπνες λειτουργίες [17].
Υπάρχει μια σειρά σημαντικών απειλών στην περίπτωση χρήσης του Water Metering σύμφωνα με τα
Security Threats του STRIDE. Αυτές ειναι:
Α. Αλλοίωση
Ένας επιτιθέμενος μπορεί να προσπαθήσει να τροποποιήσει τις μετρήσεις που έστειλε η συσκευή και
για να το πετύχει αυτό χρησιμοποιεί επιθέσεις όπως τις παρακάτω.
- Έκθεση τελικών συσκευών και των κλειδιών τους
Η συγκεκριμένη επίθεση έχει ως στόχο την υποκλοπή των κλειδιών που είναι απαραίτητα για την
ασφαλή επικοινωνία στο LPWAN δίκτυο. Αν κάποιος βρεθεί στον φυσικό χώρο που υπάρχουν οι
τελικές συσκευές μπορεί αρχικά να υποκλέψει τα κλειδιά ή και να θέσει σε κίνδυνο τις ίδιες
συσκευές και να υποκλέψει σημαντικές πληροφορίες για την ασφάλεια του συστήματος. Με τις
πληροφορίες που μπορεί να υποκλέψει ο επιτήδειος, μπορεί να δημιουργήσει μία συσκευή με τα
ίδια διαπιστευτήρια και να προχωρήσει σε επιθέσεις όπως του Ενδιάμεσου Ανθρώπου που είδαμε
παραπάνω στις επιθέσεις των LPWAN και Μετατροπής Χαρακτήρα [18].
Με την χρησιμοποίηση μηχανισμών αντιμετώπισης δολιοφθοράς (tamper-proof) υπάρχει η
δυνατότητα αποστολής μηνυμάτων ειδοποιήσεων για την άμεση ενημέρωση των ειδικών.
- Επίθεση Μετατροπής Χαρακτήρα
Μία επίθεση Μετατροπής Χαρακτήρα στην περίπτωση χρήσης της τηλεμέτρησης κατανάλωσης νερού
είναι μία επίθεση στον αλγόριθμο κρυπτογράφησης στον οποίο ο επιτήδειος μπορεί να αλλάξει το
κρυπτογραφικό κείμενο που παράγεται. Σε μια τέτοια κατάσταση, ο επιτήδειος μπορεί να
μετατρέψει το αρχικό μήνυμα σε ένα παρόμοιο μήνυμα στο οποίο μεταβάλλονται ορισμένες
σημαντικές πληροφορίες. Όπως να αλλάξει την μέτρηση κατανάλωσης νερού του υδρομέτρου για να
μειώσει την κατανάλωση του ή να κάνει κακό σε κάποιον τρίτο και να αυξήσει την κατανάλωσή του
συγκεκριμένου [19].
Β. Πλαστογράφηση
Ένας επιτιθέμενος μπορεί να προσπαθήσει να αντικαταστήσει μια συσκευή και να έχει ακομα τη
δυνατότητα να πραγματοποιήσει αλλαγές στο δίκτυο χωρίς την έγκριση από τους υπεύθυνους. Η
ενέργεια αυτή πραγματοποιείται με την επίθεση Ενδιάμεσου Ανθρώπου.
Στην επίθεση αυτή μία κακόβουλη οντότητα βρίσκεται όπως ειδαμε μεταξύ της συνομιλίας της
τελικής συσκευής και του συγκεντρωτή (μπορεί και ανάμεσα του συγκεντρωτή με τον εξυπηρετητή)
αντιπροσωπεύοντας και τους δύο. Δηλαδή για τη συσκευή λαμβάνει μηνύματα σαν έναν
συγκεντρωτή και για το συγκεντρωτή στέλνει μηνύματα σαν συσκευή, στην περίπτωση της
ανερχόμενης ζεύξης και στην περίπτωση της κατερχόμενης αντίστοιχα. Ένας επιτιθέμενος δηλαδή,
μπορεί να προσπαθήσει να αντικαταστήσει μια νόμιμη συσκευή με μια πλαστογραφημένη συσκευή η
οποία μεταδίδει εντολές σαν ένα συγκεντρωτή όπως το άνοιγμα και το κλείσιμο μιας ηλεκτροβάνας
[20].
Γ. Αποκάλυψη πληροφοριών
Η επίθεση αυτή, επιτυγχάνεται μέσω της πιο γνωστής επίθεσης του Κρυφοακούσματος’ και της
επίθεσης της ‘σκουληκότρυπας’.
- Επίθεση ‘Κρυφάκουσμα’
Η επίθεση αυτή έχει όπως ειδαμε σαν στόχο την υποκλοπή πακέτων μεταξύ των τελικών συσκευών
(ηλεκτροβανών-υδρομέτρων) και του συγκεντρωτή. Αυτό το πετυχαίνει “σπάζοντας” τον τρόπο
κρυπτογράφησης του LPWAN που χρησιμοποιείται. Από την στιγμή που ο επιτήδειος θα μπορεί να
«ακούσει» τα πακέτα-μηνύματα και συγχρόνως τα δεδομένα τους, αποτελεί πρόβλημα για την
προστασία της ιδιωτικής ζωής. Δεδομένου ότι τα δεδομένα χρήσης νερού από μια ιδιωτική κατοικία
και όχι μόνο θα μπορούσαν να χρησιμοποιηθούν για την εξαγωγή συμπερασμάτων σχετικά με τις
δραστηριότητες των κατοίκων [20].
- Επίθεση ‘Σκουληκότρυπας’
Σε αυτό τον τύπο επίθεσης, μια κακόβουλη συσκευή υποκλέπτει όπως ειδαμε τα πακέτα από μία
συσκευή και τα μεταδίδει σε μία άλλη. Έτσι, π.χ., τα σημαντικά μηνύματα συναγερμού (alarm
messages) μπορούν να μπλοκαριστούν και τα μηνύματα που έχει υποκλέψει η κακόβουλη συσκευή
να σταλθούν σαν να μην υπάρχει συναγερμός. Με αυτόν τον τρόπο οι επιθέσεις για την υποκλοπή
των προσωπικών δεδομένων όπως το ‘κρυφάκουσμα’ αλλά και επιθέσεις όπως του ‘ενδιάμεσου
ανθρώπου’ δεν ανιχνεύονται εύκολα [18].
Δ. Άρνηση παροχής υπηρεσιών
Σε αυτές ένας επιτιθέμενος μπορεί να προσπαθήσει να απενεργοποιήσει μεγάλο αριθμό συσκευών ή
την υπηρεσία δικτύου. Για να επιτευχθεί η ενέργεια αυτή μπορούν να χρησιμοποιηθούν όπως ειδαμε
επιθέσεις όπως οι τεχνικές παρεμβολών και επιθέσεις επανάληψης.
- Τεχνικές Παρεμβολών
Η τεχνική αυτή επίθεσης είναι πολύ διαδεδομενο πρόβλημα στο IoT. Σε αυτην κάποια κακόβουλη
οντότητα μεταδίδει ένα ισχυρό ραδιοκύμα (radiosignal) κοντά στις συσκευές και διακόπτει τις
εκπομπές τους. Διακόπτοντας π.χ. τις εκπομπές των εντολών στις ηλεκτροβάνες, προκαλεί σοβαρό
πρόβλημα με το άνοιγμα/κλείσιμο της ροής του νερού. Ακόμα διακόπτοντας τις εκπομπές των
υδρομέτρων προς το δίκτυο και τον εξυπηρετητή, δεν στέλνονται οι μετρήσεις κατανάλωσης. Με
αυτά τα προβλήματα ουσιαστικά εκβιάζεται ο πάροχος υπηρεσιών [18].
Ε. Επίθεση επανάληψης
Η επίθεση αυτή πετυχαίνεται με το να ξαναστέλνονται ή να επαναλαμβάνονται δεδομένα από μία
κακόβουλη οντότητα. Ο κύριος σκοπός αυτής της επίθεσης είναι να προκαλέσει σφάλμα και
καθυστερήσεις στην συσκευή και να την απενεργοποιήσει πετυχαίνοντας ουσιαστικά μια επίθεση
παρεμβολής. Σαν αποτέλεσμα της επίθεσης αυτης επηρεάζεται σημαντικά ο πάροχος υπηρεσιών [18]
Ο έξυπνος οδικός φωτισμός είναι ακόμα μια πρωτοποριακή τεχνολογία – εφαρμογη στο ΙοΤ, και μία
από τις βασικές τεχνολογίες των ευφυών πόλεων.
Αφορα στον δημόσιο φωτισμό που ενεργοποιείται ανάλογα της κίνησης των πεζών, των ποδηλάτων
και των αυτοκινήτων. Ο έξυπνος φωτισμός του δρόμου, που μπορεί να ονομαστει και
«προσαρμοστικός» φωτισμός του δρόμου, σβήνει όταν οι αισθητήρες δεν ανιχνεύουν κάποια
κινητικότητα, και φωτίζει όταν υπάρχει.
Αυτός ο τύπος φωτισμού του δρόμου είναι πολύ πιο πρακτικός και διαφορετικός από τον
παραδοσιακό φωτισμό που είναι ενεργοποιημένος συνέχεια ή τον φωτισμό που απενεργοποιείται σε
προκαθορισμένο χρόνο. Τα φώτα στο δρόμο μπορούν να γίνουν «έξυπνα» και να χρησιμοποιηθούν
από τέτοιου είδους συστήματα, τοποθετώντας κάμερες και αισθητήρες πάνω τους, που τους
επιτρέπει να ανιχνεύσουν κίνηση. Τεχνολογίες του τύπου LPWAN επιτρέπουν στα φώτα του δρόμου
να επικοινωνούν μεταξύ τους. Διαφορετικές εταιρείες έχουν διαφορετικές παραλλαγές αυτής της
τεχνολογίας. Όταν ένας πεζός ή κάποιο όχημα παντός τύπου ανιχνεύεται από μια κάμερα ή έναν
αισθητήρα, θα επικοινωνήσει αυτό με τα γειτονικά φώτα του δρόμου, τα οποία θα αρχίσουν να
φωτίζουν έτσι ώστε η παραπάνω οντότητα να είναι πάντα φωτισμένη. Ακόμα, προσθέτοντας στα
έξυπνα φώτα λαμπτήρες τύπου LED, οι επιχειρήσεις κοινής ωφέλειας και άλλες επιχειρήσεις
ηλεκτρισμού πετυχαίνουν και την μείωση του κόστους
Για παράδειγμα η εταιρία Flashnet SRL που ειδικεύεται στις τεχνολογίες αιχμής, δημιούργησε και έχει
ενα έξυπνο σύστημα του Streetlight InteliLIGHT® που φαίνεται και στην Εικόνα 8 χρησιμοποιώντας
LPWAN δίκτυο και συγκεκριμένα το πρωτόκολλο LoRaWAN. Το σύστημα αυτό έχει την δυνατότητα να
χρησιμοποιηθεί είτε δημοσίως είτε από ιδιώτες, όπου είναι και ο κύριος στόχος. Η χρησιμότητα ενός
τέτοιου έξυπνου συστήματος είναι η εξοικονόμηση ενέργειας (τα φώτα λειτουργούν μέσω ενός ή
περισσοτέρων αυτόνομων χρονοδιακοπτών, χωρίς να απαιτείται συνεχής και τακτική επικοινωνία
από το διακομιστή) και παρακολούθηση της απόδοση ισχύος και η απομακρυσμένη ενημέρωση
συντήρησης.
Για ένα τέτοιο αυτόνομο σύστημα ελέγχου φωτισμού υπάρχει μια σειρά πιθανών απειλών. Όπως και
για ένα ιδιωτικό σύστημα ενός διαμερίσματος/πολυκατοικίας οι κάτοικοι ενδέχεται να επιθυμούν να
αλλάξουν χωρις εξουσιοδοτηση το χρονοδιάγραμμα φωτισμού ώστε να παράγουν περισσότερη ώρα
φωτισμού από ότι έχει ο προϋπολογισμός του συστήματος. Ακόμα μια πολύ σημαντική επίθεση είναι
η απενεργοποίηση του φωτισμού του δρόμου, που μπορεί να σημαίνει ατυχήματα ή και μια ακόμα
και πιθανή τρομοκρατική ενέργεια [17].
Παρόλα αυτά, με βάση την δυνατότητα αυτόνομης λειτουργίας του συστήματος για κάθε συσκευή,
μετριάζεται ο κίνδυνος τετοιων επιθέσεων. Επίσης δεν φαίνεται να υπάρχουν εμπιστευτικά δεδομένα
ούτε επεξεργασία προσωπικών στοιχείων σε επιθέσεις υποκλοπής δεδομένων.
Δυο βασικές κινήσεις και έλεγχοι που θα μπορούσαν να μετριάσουν τους κινδύνους σε ένα τετοιο
δικτυο είναι η επαλήθευση δικτύου (Network Authentication) και η ακεραιότητα των δεδομένων
(Data Integrity). Η άμεση ανάκληση και αντικατάσταση ελαττωματικών αισθητήρων και καμερών
είναι επισης πολύ βοηθητική, με την βοηθεια π.χ. των τεχνικών συνεργείων για τη συντήρηση
εξαρτημάτων των φώτων του δρόμου, κανωντας επισης δυνατή και την αμεση αντικατασταση και
ενημέρωση των συσκευών αυτών (είτε απομακρυσμένα μέσω δικτύου είτε στην διάρκεια της
συντήρησης).
Άλλες σημαντικές απειλές στην περίπτωση χρήσης του έξυπνου οδικού φωτισμού σύμφωνα με το
μοντέλο STRIDE είναι:
i. Πλαστογράφηση
Ένας επιτιθέμενος μπορεί να προσπαθήσει να αντικαταστήσει μια συσκευή του δικτύου και να
πραγματοποιήσει ετσι αλλαγές στο δίκτυο, χωρίς την έγκριση από τους υπεύθυνους, στέλνοντας τις
επιθυμητές για αυτόν εντολές. Η ενέργεια αυτή είναι πολύ επικίνδυνη διότι του δίνεται ετσι η
δυνατότητα να διαχειρίζεται κανεις χωρις εξουσιοδότηση τον φωτισμό ενός διαμερίσματος, μιας
πολυκατοικίας ή ακόμα και μιας ολόκληρης περιοχής. Η επίθεση αυτή μπορεί να πραγματοποιηθεί
με την επίθεση Ενδιάμεσου Ανθρώπου.
ii. Επίθεση ‘Ενδιάμεσου Ανθρώπου’
Στην επίθεση αυτή μία κακόβουλη οντότητα βρίσκεται όπως είδαμε μεταξύ της συνομιλίας της
τελικής συσκευής και της συσκευής που περιέχει τον μικροελεγκτή (Micro Controller Module) και τον
πομποδέκτη (Transceiver Module) του δικτύου, επηρεάζοντας ετσι την αποστολή των δεδομένων
τους προς το συγκεντρωτή. Με αυτό τον τρόπο χρησιμοποιεί την συσκευή χωρίς διαπιστευτήρια για
να δίνει εντολές στις τελικές συσκευές και να επηρεάζει την λειτουργία τους, μεταδίδοντας εντολές
σαν ένα συγκεντρωτή, όπως π.χ. το άνοιγμα και το κλείσιμο των φώτων σε μια περιοχή, προκαλώντας
σοβαρές επιπτώσεις [22].
iii. Αλλοίωση (Tampering)
Σε αυτην ένας επιτιθέμενος προσπαθεί να τροποποιήσει, είτε τις μετρήσεις που στέλνει η συσκευή
προς τον εξυπηρετητή για την κατανάλωση, είτε το πρόγραμμα και την λειτουργία που έχουν
προγραμματιστεί π.χ. τα φώτα στη περιοχή που έχει σαν στόχο. Για να το πετύχει αυτό χρησιμοποιεί
συνήθως επιθέσεις όπως της επίθεσης (έκθεσης) στις τελικές συσκευές και τα κλειδιά τους και της
Μετατροπής Χαρακτήρα. Πιο συγκεκριμένα:
Επίθεση (έκθεση) στις τελικές συσκευές και τα κλειδιά τους:
Η επίθεση αυτή έχει σαν στόχο την υποκλοπή των κλειδιών που είναι απαραίτητα για την ασφαλή
επικοινωνία στο LPWAN δίκτυο αλλά και να επηρεάσει πρακτικά τις τελικές συσκευές (αισθητήρες,
LEDs, κλπ.). Αν κάποιος γνωρίζει και έχει τη δυνατότητα να βρεθεί στον φυσικό χώρο που υπάρχουν
οι αισθητήρες και οι συσκευές που είναι υπεύθυνες για την ανταλλαγή πληροφοριών και εντολών,
μπορεί αρχικά να υποκλέψει τα κλειδιά διαπίστευσης της συσκευής στο δίκτυο, ή να θέσει σε
κίνδυνο τις ίδιες συσκευές, και να υποκλέψει έτσι σημαντικές πληροφορίες για την ασφάλεια του
συστήματος. Με τις πληροφορίες αυτές που μπορεί να υποκλέψει ο επιτήδειος, μπορεί να
δημιουργήσει μία συσκευή με τα ίδια διαπιστευτήρια και να προχωρήσει σε επιθέσεις όπως του
‘Ενδιάμεσου Ανθρώπου’ που είδαμε παραπάνω, ή και ‘Μετατροπής Χαρακτήρα’ [18].
Υπάρχει πάντως η δυνατότητα αποστολής μηνυμάτων ειδοποιήσεων για την άμεση ενημέρωση των
ειδικών, με την χρησιμοποίηση μηχανισμών αντιμετώπισης δολιοφθοράς του δικτυου (tamper-proof
mechanisms).
Επίθεση ‘Μετατροπής Χαρακτήρα’:
H επίθεση αυτή στην περίπτωση του έξυπνου οδικού φωτισμού είναι μία επίθεση στον αλγόριθμο
κρυπτογράφησης, στον οποίο ο επιτήδειος μπορεί να αλλάξει το κρυπτογραφικό κείμενο που
παράγεται. O επιτήδειος έχει την δυνατότητα να αλλάξει δηλαδή το περιεχόμενο των δεδομένων είτε
γνωρίζοντας τον τρόπο που θα επηρεάσει την αλλαγή είτε όχι. Μια τέτοια περίπτωση επίθεσης
μπορει να αφορά για παράδειγμα τις ιδιωτικές κατοικίες, όπου ο επιτιθέμενος μπορεί να αλλάξει την
μέτρηση κατανάλωσης ρεύματος των LED αισθητήρα για να μειώσει την κατανάλωση του ή ακόμα
και για να αλλάξει τον τρόπο λειτουργίας τους αυξάνοντας και μειώνοντας τον χρόνο λειτουργίας
τους [19].
Μια άλλη χαρακτηριστικη εφαρμογη στο ΙοΤ είναι η η «έξυπνη» ανίχνευσης καπνού, που προσφέρει
εναν σύγχρονο, αξιόπιστο και με χαμηλό κόστος τρόπο ανίχνευσης πυρκαγιών. Ένας έξυπνος
ανιχνευτής καπνού που χρησιμοποιείται στην παραπάνω τεχνολογία, μια συσκευή αισθάνεται τον
καπνό, συνήθως σαν ένδειξη φωτιάς, και την ίδια στιγμή παράγει έναν δυνατό προειδοποιητικό ήχο
κίνδυνου, για να μπορέσει να ειδοποιήσει τους ενοίκους ή τους ανθρώπους που είναι κοντά.
Ο έξυπνος ανιχνευτής καπνού, πέρα από συναγερμούς κινδύνου, στέλνει επίσης μηνύματα και στην
εφαρμογή του εξουσιοδοτημένου χρήστη όταν αισθάνεται καπνό, καθώς και το ποιο δωμάτιο ή
διαμέρισμα κινδυνεύει, παράδειγμα εφαρμογής μπορούμε να δούμε στην Εικόνα 9. Επίσης
περιλαμβάνει ειδοποιήσεις όταν η μπαταρία βρίσκεται σε χαμηλά επίπεδα και δίνει την δυνατότητα
σίγασης των συναγερμών και ειδοποιήσεων από τον χρήστη μέσω της εφαρμογής. Ορισμένα άλλα
χαρακτηριστικά που συμπεριλαμβάνονται στις έξυπνες συσκευές είναι οι φωνητικές προειδοποι-
ήσεις, οι έλεγχοι που γίνονται ανά ορισμένα διαστήματα από την ίδια την συσκευή και οι αναφορές
τους, καθώς και η δυνατότητα αυτόματης επικοινωνίας με ένα πρόσωπο ή κατά περιπτώσεις σε
υπηρεσίες έκτακτης ανάγκης εάν δεν απαντηθούν οι συναγερμοί κινδύνου. Με αυτόν τον τρόπο, εάν
ο κάτοικος βρίσκεστε μακριά για να επέμβει, δίνεται η δυνατότητα από την έξυπνη συσκευή
ανίχνευσης καπνού να ειδοποιηθεί η πυροσβεστική υπηρεσία ή κάποιο κοντινό πρόσωπο, για να
επέμβουν άμεσα [23].
Ένα ακόμα πολύ σημαντικό χαρακτηριστικό των συσκευών αυτών, είναι ότι υπάρχει η δυνατότητα να
επικοινωνούν μεταξύ τους. Αυτό σημαίνει ότι όταν μία συσκευή αισθάνεται τον κίνδυνο του καπνού,
θα ακούγονται όλοι οι συναγερμοί των συσκευών που είναι συνδεδεμένοι. Αυτό είναι ένα κρίσιμο
χαρακτηριστικό ασφαλείας που μπορεί να εξοικονομήσει πολύτιμα δευτερόλεπτα για να εκκενωθεί
μία κατοικία ή πολυκατοικία.
Τα κυριοτερα αντιμετρα που θα μπορουσαν να μετριάσουν τον παραπάνω κίνδυνο είναι η προστασία
από φυσικές επιθέσεις και η χρήση ενός μη-IP δικτύου. Εάν χρησιμοποιηθεί μια τεχνολογία LPWAΝ
με χρήση δικτύου IP, τότε η παρακολούθηση του δικτύου και το φιλτράρισμα του, αυτό θα ήταν πολύ
βοηθητικο για την μείωση των άρνησης παροχής υπηρεσιών.
είναι ακομα ικανές να υλοποιούν από άκρη σε άκρη την λειτουργία της εφαρμογής κατά την διάρκεια
κάθε φάσης. Συνεπώς, αναμένεται να παρέχουν ανεξάρτητα δίκτυα, ανάλογα με τις απαιτήσεις των
εφαρμογών. Να μπορεί δηλαδή κάποιος, μέσω της χρήσης ασύρματου δικτύου πρόσβασης που
βασίζεται στο CloudRAN, να αναδιαμορφώσει την πρόσβαση στο δίκτυο για την παροχή μαζικών
συνδέσεων αλλά και πολλαπλών προτύπων, ουτως ωστε να μπορει να υλοποιηθεί, εφόσον ζητηθεί, ή
ανάπτυξη λειτουργιών (RAN) που ζητούνται από το δίκτυο 5ης γενιάς (5G). Θα πρεπει να μπορουν
επισης να δινουν την δυνατότητα μιας απλοποιημένης αρχιτεκτονικής κεντρικού δικτύου, που θα
διευκολύνει την κατά παραγγελία απαίτηση παραμετροποιήσεων των λειτουργιών του δικτύου.
Στο 5G-IoT η ασφάλεια είναι πολύπλοκη. Ο σχεδιαστής του δικτύου πρέπει να λάβει υπόψιν του
επιθεσεις ασφαλειας όπως την εισβολή στο λογισμικού εξ αποστάσεως, την εισβολή στην ίδια την
συσκευή τοπικά, κλπ. [26] [27].
Για παράδειγμα, σε ένα σύστημα λοιπόν πολλών server που βασίζονται στην αρχιτεκτονική του 5G
δικτύου, η επαλήθευση της ταυτότητας περιλαμβάνει 3 οντότητες.
- Πρώτη οντότητα είναι οι χρήστες του δικτύου, που πρέπει να υποστηρίζουν τεχνολογία mm Wave,
δηλαδή σύνδεση συσκευής-με-συσκευή, ώστε να χρησιμοποιήσουν τις τεχνολογίες αυτές για να
αποκτήσουν πρόσβαση στον διακομιστή server. Οι έξυπνες συσκευές με περιορισμένη υπολογιστική
ισχύ που χρησιμοποιούν συνήθως στο ΙοΤ, περιέχουν έξυπνες κάρτες με ιδιωτικά δεδομένα από τους
αισθητήρες, και εκδίδονται από τον διακομιστή.
- Δεύτερη οντότητα είναι ο διακομιστής cloud, που να μπορεί να επικοινωνεί με υπηρεσίες και
επιπλέον να παρέχει υπηρεσίες στους χρήστες. Μπορεί βέβαια κανείς να συναντήσει και πολλούς
διακομιστές cloud.
- Τρίτη οντότητα είναι ο διακομιστής ελέγχου, στον οποίο αποθηκεύονται πληροφορίες εγγραφής για
χρήστες και διακομιστές του cloud, για να μπορέσει να γίνει αρχικά η επαλήθευση της ταυτότητας
και έπειτα η δημιουργία κλειδιών περιόδου λειτουργίας.
Πολλές όμως από τις πληροφορίες που μεταδίδονται μέσω δικτύου IoT είναι κρίσιμες, ιδιωτικές, ή
ευαίσθητες, και για αυτό χρειάζεται μια διασφάλιση αυτού του τύπου δεδομένων.
Για να επιτευχθεί αυτό έγιναν πολλές βελτιώσεις. Για παραδειγμα στα συστήματα που ελέγχουν την
ταυτότητα των χρηστών (user Identification and Authentication). Λαμβάνοντας υπόψιν την
υπολογιστική ισχύ και την διάρκεια ζωής των συσκευών IoT, σχεδιάστηκαν πρωτόκολλα ελέγχου
ταυτότητας χαμηλής ενέργειας αλλά και χαμηλής απαίτησης υπολογιστικών πόρων. Τα συστήματα
αυτά χρησιμοποιούν συνήθως συναρτήσεις κατακερματισμού (hash functions) και λειτουργίες XOR.
Ο έλεγχος ταυτότητας γίνεται κατά την διάρκεια της επικοινωνίας μεταξύ των απομακρυσμένων
αντικειμένων.
Η πρώτη προσπαθεια βελτίωσης έγινε από την Lamport το 1981, που πρότεινε για πρώτη φορά ένα
μηχανισμό ελέγχου ταυτότητας χρησιμοποιώντας κωδικό πρόσβασης μέσω μη ασφαλών δικτύων.
Αυτή η προσπάθεια έφερε στην επιφάνεια μερικά προβλήματα ασφάλειας, όπως η εξάρτηση από
πίνακες κωδικών πρόσβασης καθώς και η υψηλή επιβάρυνση υπολογιστικής ισχύς λόγω χρήσης των
συναρτήσεων κατακερματισμού (hash functions).
Μερικά χρόνια αργότερα, οι ερευνητές παρουσίασαν διάφορες βελτιώσεις στον τομέα της
ασφάλειας πάνω στο πρωτόκολλο που είχε προτείνει η Lamport. Για παράδειγμα ο έλεγχος
ταυτότητας με κωδικό πρόσβασης με χρήση κρυπτογράφησης δημόσιου κλειδιού. Ένα διαφορετικό
πρωτόκολλο ελέγχου ταυτότητας χωρίς αξιόπιστο τρίτο μέρος. Επίσης ένα απλό και ασφαλές
πρωτόκολλο ελέγχου ταυτότητας με κωδικό πρόσβασης (Simple and Secure - SAS).
Βασικο προβλημα που παρεμενε ηταν όμως οι ευπάθειες στον έλεγχο ταυτότητας με κωδικό
πρόσβασης στα πλαισια μιας μη ασφαλούς επικοινωνίας. Το 2001 οι Chang, Wu και Hwang πρότεινα
σαν λύση την χρήση «έξυπνων» καρτών. Αυτό οδηγησε σε μια σειρά συστημάτων που βασίζονταν
στο σύστημα ελέγχου ταυτότητας μέσω των έξυπνων καρτών. Αρχικά υπήρξε βελτίωση του
απομακρυσμένου συστήματος ελέγχου ταυτότητας χρήστη (της Chien) με χρήση έξυπνων καρτών.
Επίσης δημιουργήθηκε ενας ισχυρός συνδυασμός απομακρυσμένου κωδικού πρόσβασης χρήστη που
βασίζεται στην έξυπνη κάρτα. Η Li ήταν αυτή που πρότεινε για πρώτη φορά ένα απομακρυσμένο
σύστημα ελέγχου ταυτότητας κωδικού πρόσβασης, για την αρχιτεκτονική πολλαπλών διακομιστών
χρησιμοποιώντας νευρωνικά δίκτυα για τον έλεγχο της ταυτότητας σε ένα περιβάλλον M-S. Αυτό
επιτυγχανεται μέσω ενός απομακρυσμένου συνδυασμού ελέγχου ταυτότητας με κωδικό πρόσβασης
για αρχιτεκτονική πολλαπλών διακομιστών που χρησιμοποιεί νευρωνικά δίκτυα.
Αργότερα, λόγω της αναποτελεσματικότητας και της ανασφάλειας που εισήγαγε το σύστημα της Li,
αρκετοί ερευνητές έκαναν βελτιώσεις στην μέθοδο ελέγχου της ταυτότητας. Η κύρια βελτίωση που
έφερε τα επιθυμητά αποτελέσματα ήταν ο συνδυασμός του ελέγχου ταυτότητας με έναν κωδικό
πρόσβασης πολλών διακομιστών, με χρήση όμως έξυπνων καρτών. Επιπλέον, ορισμένα πρωτόκολλα
κάνουν χρήση βιομετρικών στοιχείων, ώστε να υπάρχει αμεγαλύτερη ασφάλεια των δεδομένων. Για
παράδειγμα σε μια πληρωμή μέσω κάρτας, η κάρτα πρέπει να πληροί όλες τις ανάγκες πληρωμής και
να επαληθεύεται από την ταυτότητα του χρήστη, όπως μια ψηφιακή κάρτα που χρησιμοποιεί NFC και
βιομετρικό έλεγχο ταυτότητας για ομότιμη πληρωμή.
Στο σημείο αυτό πρέπει να αναφερθεί ότι τα δίκτυα 5ης γενιάς είναι ετερογενή, με αποτέλεσμα οι
χρήστες να έχουν καλύτερο έλεγχο της ταυτότητας τους, ώστε να αποτρεπονται καλυτερα τυχόν
επιθέσεις.
Μια ακόμη μορφή επίθεσης λοιπόν, που συναντάμε συχνά στα δίκτυα 5ης γενιάς (5G Networks),
είναι αυτή του DDoS attack (Distributed Denial of Service = Κατανεμημένη άρνηση της υπηρεσίας).
Οι επιθέσεις αυτές, είναι δύσκολο να περιοριστούν και να διαχειριστούν. Ο επιτιθέμενος επιτίθεται
στο δίκτυο ή στις υπηρεσίες, στέλνοντας μεγάλες ποσότητες πακέτων, με στόχο την υπερφόρτωση
τους. Σε αυτό το είδος επίθεσης, έχουν ανακαλυφθεί όμως και τρόποι άμυνας. Ένας από αυτούς είναι
να κρατάμε πάντα σε αναβάθμιση και επέκταση τους πόρους του δικτύου ή της υπηρεσίας που
ενδέχεται να επιτεθούν. Ένας άλλος τρόπος είναι να δώσουμε εντολή στους δρομολογητές (routers)
να εμποδίζουν την κυκλοφορία κοντά στις πηγές δεδομένων ώστε να μειωθούν οι οποιεσδήποτε
επιπτώσεις. Παρόλα αυτά, οι τρόποι αυτοί υπάρχει το ενδεχόμενο να μην είναι εφικτοί για όλα τα
ενδεχόμενα σενάρια επίθεσης DDoS (βλ. επιθέσεις στο GitHub το 2015 και το 2018).
Στο σημείο αυτό πρέπει να αναφερθεί ακόμα ότι τα δίκτυα 5ης γενιάς ως ένα βαθμό, βασίζονται στην
κατάτμηση του δικτύου, που λειτουργεί σαν καταλυτικός παράγοντας για την χρήση ετερογενών
υπηρεσιών. Οι υπηρεσίες αυτές έχουν κάθε φορά διαφορετικές απαιτήσεις για την ευελιξία και την
επέκταση του δικτύου 5G.
το πρωτόκολλο Bluetooth - LE (Low Energy) είναι ένα από τα πρωτόκολλα που προσφέρουν μεγάλα
οφέλη για την μετάδοση δεδομένων και ένα ευρύ φάσμα εφαρμογών στο ΙοΤ. Το Bluetooth LE είναι
ένα πρότυπο της IEEE 802.15.1 για τη χρήση ραδιοεπικοινωνιών χαμηλής κατανάλωσης. Αποτελεί μια
ασύρματη τεχνολογία μικρού εύρους, που επιτρέπει την ασύρματη μετάδοση δεδομένων μεταξύ
υπολογιστικών συστημάτων. Έτσι αποφεύγεται η χρήση καλωδίων, αλλά και επιπλέον οι συσκευές
που επικοινωνούν χρησιμοποιούν πολύ μικρή ενέργεια για τη μετάδοση και δεν χρειάζεται να έχουν
οπτική επαφή μεταξύ τους.
Σήμερα υπάρχουν δύο διαφορετικοί τύποι τεχνολογίας Bluetooth: το Bluetooth Classic και το
Bluetooth Low Energy. Το Bluetooth Classic είναι η γνωστή μας τεχνολογία με την οποία
αλληλεπιδρούν αρκετές από τις υπολογιστικές συσκευές και χρησιμοποιείται για συνεχή μετάδοση
δεδομένων, σε σχετικά μικρές αποστάσεις. Οι συσκευές που χρησιμοποιούν την τεχνολογία
Bluetooth Classic, μπορεί να είναι ασύρματα ηχεία, πληκτρολόγια, ακουστικά, κ.α. Το Bluetooth Low
Energy (BLE), από την άλλη πλευρά, χρησιμοποιείται για την περιοδική μετάδοση μικρότερων
πακέτων δεδομένων. Το ‘περιοδική’ είναι η λέξη κλειδί. Το BLE παραμένει σε κατάσταση αναμονής,
εκτός εάν συμμετέχει σε ανταλλαγή δεδομένων, γεγονός που μειώνει τη συνολική κατανάλωση
ενέργειας.
Αυτή η αλλαγή στην αρχική προδιαγραφή Bluetooth, έδωσε τη δυνατότητα ανάπτυξης συσκευών για
το διαδίκτυο των πραγμάτων (ΙοΤ), αφού επέτρεψε στους κατασκευαστές να δημιουργήσουν μια
πληθώρα μικρών φορητών συσκευών, που μπορούν να λειτουργήσουν έως και αρκετά χρόνια με μια
μικρή μπαταρία. Παραδείγματα τετοιων συσκευών με δυνατότητα BLE είναι οι ανιχνευτές φυσικής
κατάστασης, τα iBeacons, οι συσκευές παρακολούθησης της αρτηριακής πίεσης, οι βιομηχανικοί
αισθητήρες, κλπ..[34][35]
Κατά την δεύτερη φάση της σύζευξης, γίνεται η δημιουργία και η ανταλλαγή των κλειδιών
κρυπτογράφησης. Σε αυτό το σημείο μπορούν να παραβιαστούν οι συνδέσεις BLE. Εάν η σύνδεση δεν
είναι ασφαλής, οι εισβολείς μπορούν να πάρουν τον έλεγχο των συσκευών και των δεδομένων που
μεταδίδουν.
Επειδή η δεύτερη αυτή φάση είναι ένα αρκετά ευάλωτο σημείο στις συνδέσεις BLE, οι δημιουργοί
της τεχνολογίας αυτής έχουν καταβάλλει μεγάλη προσπάθεια για την διασφάλιση της απαραίτητης
ασφάλειας στο συγκεκριμένο επίπεδο. Αυτό οδήγησε τελικα σε δυο εκδόσεις (τυπους) του
πωτοκόλλου BLE: την BLE Legacy και την BLE Secure, τους οποίους μπορούν να επιλέξουν οι
προγραμματιστές του BLE module.
Οι παλαιότερες απλες συνδέσεις (Legacy connections) μπορούν να εφαρμοστούν για τις εκδόσεις BLE
4.0, 4.1 και 4.2. Η διαδικασία είναι απλή, οι συσκευές ανταλλάσσουν μια τιμή που ονομάζεται
προσωρινό κλειδί (TK) και τη χρησιμοποιούν για να δημιουργήσουν ένα βραχυπρόθεσμο κλειδί (STK),
το οποίο στη συνέχεια χρησιμοποιείται για την εξουσιοδότηση της σύνδεσης. Οι συνδέσεις BLE
Legacy, είναι ανασφαλείς από προεπιλογή, αλλά μπορούν να προστατευτούν με την κατάλληλη
μέθοδο αντιστοίχισης.
Οι ασφαλείς συνδέσεις (Secure connections) παρουσιάστηκαν με το BLE 4.2 και δεν είναι συμβατές
με παλαιότερες εκδόσεις του BLE. Υλοποιούν τον αλγόριθμο ελλειπτικής καμπύλης Diffie – Hellman
για δημιουργία κλειδιών και εισάγουν μια πιο πολύπλοκη διαδικασία ελέγχου ταυτότητας κλειδιού.
Αυτό παρέχει την προεπιλεγμένη προστασία από την παθητική υποκλοπή και επιτρέπει στη συσκευή
να ασφαλίζεται ακόμη περισσότερο με μια κατάλληλη μέθοδο σύζευξης.
Οι εισβολείς μπορούν λοιπον να προκαλέσουν μεγάλη ζημιά, τόσο σε μια συσκευή όσο και στους
χρήστες της, εάν οι προγραμματιστές λογισμικού δεν δώσουν αρκετή προσοχή στην ασφάλεια κατά
τη δεύτερη φάση της σύζευξης. Ένα πρόσφατο παράδειγμα αυτού, είναι η ευπάθεια Bluetooth που
ανακαλύφθηκε στα ηλεκτρονικά σκούτερ Xiaomi M365. Βρέθηκε λοιπόν, μια ευπάθεια που επιτρέπει
στους επιτιθέμενους να σταματήσουν αμέσως ή να επιταχύνουν ένα σκούτερ σε οποιοδήποτε
σημείο, θέτοντας σε κίνδυνο τόσο τον αναβάτη όσο και εκείνους που βρισκόντουσαν κοντά. Οι
γνώστες προγραμματισμού μπορούν να πάρουν τον έλεγχο ενός από αυτά τα σκούτερ μέσω της
εφαρμογής για κινητά.
Αυτή η ευπάθεια υπήρχε επειδή ο κωδικός πρόσβασης που χρησιμοποιήθηκε για τη σύνδεση στην
εφαρμογή για κινητά δεν επαληθευόταν από το σκούτερ. Με άλλα λόγια, οι χρήστες θα μπορούσαν
να συνδεθούν στην εφαρμογή με τον κωδικό πρόσβασής τους και στη συνέχεια να συνδεθούν σε
οποιοδήποτε Xiaomi M365 από την εφαρμογή. Πολύ πιθανό είναι ότι αυτό συνέβη επειδή το
σύστημα κωδικών πρόσβασης εφαρμόστηκε λανθασμένα. Ενώ οι κωδικοί πρόσβασης
χρησιμοποιούνται συνήθως για τη δημιουργία κλειδιών, τα οποία μπορούν στη συνέχεια να
ανταλλάσσονται μεταξύ του σκούτερ και του smartphone για τη δημιουργία ασφαλούς
κρυπτογραφημένης σύνδεσης, σε αυτήν την περίπτωση, δεν εφαρμόστηκε σωστή μεθοδολογία
σύζευξης. Το λάθος θα μπορούσε να είναι είτε από την πλευρά των προγραμματιστών της μονάδας
BLE, είτε εκείνων που ανέπτυξαν την εφαρμογή για κινητά, που χρησιμοποιήθηκαν για να
αλληλοεπιδρούν με το ηλεκτρονικό σκούτερ.
Κατά την (προαιρετική) τρίτη φάση της σύζευξης, τέλος, οι συσκευές δημιουργούν προφίλ για την
επαλήθευση της ταυτότητας της άλλης συσκευής για μελλοντικές συνδέσεις. Αυτο θα μπορούσε για
παράδειγμα να είναι ένα ζεύγος κλειδιών σύνδεσης, τα οποία χρησιμοποιούνται για την επαλήθευση
ταυτότητας και χρησιμοποιούνται για τη δημιουργία ιδιωτικών διευθύνσεων MAC.
BLE που δεν προστατεύεται επαρκώς. Συνήθως γινονται με την παραβίαση ηλεκτρονικών μονάδων
χαμηλής ενέργειας, την παθητική υποκλοπή και την επίθεση ‘man-in-the- middle’. Πιο συγκεκριμένα:
1. Επίθεση παθητικής υποκλοπής
Η παθητική υποκλοπή είναι μια επίθεση που επιτρέπει σε μια εξωτερική συσκευή να αξιοποιεί
δεδομένα που μεταδίδονται μεταξύ συσκευών σε δίκτυο BLE. Για παράδειγμα, ένας εισβολέας
μπορεί να υποκλέψει τα δεδομένα που αποστέλλουν οι βιομηχανικοί περιφερειακοί αισθητήρες σε
μια κεντρική μονάδα και στη συνέχεια να τα χρησιμοποιήσει για να εντοπίσει άλλες ευπάθειες
ασφαλείας στο σύστημα. Οι μονάδες BLE που εφαρμόζουν συνδέσεις BLE Secure προστατεύονται
καλύτερα από την παθητική υποκλοπή (από προεπιλογή).
2. Επίθεση man-in-the-middle
Μια επίθεση ‘man-in-the-middle’ περιλαμβάνει μια εξωτερική συσκευή που προσποιείται ότι είναι
ταυτόχρονα κεντρική και περιφερειακή και παραπλανά άλλες συσκευές του δικτύου για να
συνδεθούν σε αυτήν. Αυτό θα μπορούσε να αποτελέσει πρόβλημα, π.χ. σε μεγάλα συγκροτήματα
παραγωγής, καθώς μια εξωτερική συσκευή θα μπορούσε να εισάγει ψευδή δεδομένα στη ροή και να
προκαλέσει π.χ. δυσλειτουργία ολόκληρων αλυσίδων παραγωγής.
Ενώ οι ασφαλείς συνδέσεις BLE (συνδέσεις με BLE Secure) προσφέρουν προστασία από παθητική
υποκλοπή, οι επιθέσεις ‘man-in-the-middle’ μπορούν να αποφευχθούν μόνο με μια κατάλληλη
μέθοδο ζευγαρώματος.
χρησιμοποιώντας την κρυπτογραφία ECDH. Οι δύο συσκευές δημιουργούν ένα ζεύγος δημόσιου /
ιδιωτικού κλειδιού και ανταλλάσσουν τα δημόσια κλειδιά. Η συσκευή που λαμβάνει το αίτημα
σύνδεσης δημιουργεί μια τυχαία τιμή και στη συνέχεια τη χρησιμοποιεί για να δημιουργήσει μια τιμή
επιβεβαίωσης. Έπειτα στέλνει και τις δύο αυτές τιμές στη συσκευή που ξεκινά τη σύνδεση.
Η συσκευή εκκίνησης δημιουργεί τη δική της τιμή επιβεβαίωσης, με την τυχαία τιμή που έχει λάβει
από τη συσκευή στην οποία προσπαθεί να συνδεθεί. Στη συνέχεια συγκρίνει αυτήν την τιμή
επιβεβαίωσης με αυτήν που δημιουργείται από τη συσκευή προορισμού. Δεδομένου ότι
χρησιμοποιείται η ίδια τυχαία τιμή, οι τιμές επιβεβαίωσης πρέπει επίσης να είναι ίδιες. Εάν αυτές
ταιριάζουν, οι συσκευές δημιουργούν μια σύνδεση.
Παρόλο όμως που η μέθοδος σύζευξης ‘Just Works’ παρέχει ασφάλεια στις επιθεσεις παθητικής
υποκλοπής, ιδιαίτερα στο BLE Secure Connections, δεν είναι μια αξιόπιστη μέθοδος προστασίας από
επιθέσεις man-in-the-middle. Στην ιδανική λοιπόν περίπτωση, το Just Works θα πρέπει να
χρησιμοποιείται σε περιπτώσεις όπου δεν απαιτείται μεγάλη ασφάλεια. Για παράδειγμα, θα ήταν
κατάλληλο για ανιχνευτές φυσικής κατάστασης, συσκευές που χρησιμοποιούνται για την
παρακολούθηση της συμπεριφοράς των κατοικίδιων και άλλες τεχνολογίες που δεν ασχολούνται με
ευαίσθητες πληροφορίες, όπως πιστωτικές κάρτες ή δεδομένα που σχετίζονται με την υγεία.
ii. Μέθοδος σύζευξης ‘εκτός ζώνης’
Η σύζευξη (αντιστοίχιση) εκτός ζώνης (out of band - OOB), επιτρέπει τη μεταφορά ορισμένων
πακέτων δεδομένων μέσω διαφορετικού ασύρματου πρωτοκόλλου. Η αντιστοίχιση OOB μπορεί να
εφαρμοστεί κατά τη δεύτερη φάση της σύζευξης των συσκευών, ώστε τα κλειδιά κρυπτογράφησης
που ανταλλάσσονται μεταξύ τους να μην μεταφέρονται μέσω του λιγότερο ασφαλούς πρωτοκόλλου
BLE, όταν μια συσκευή μεταφέρει ευαίσθητα δεδομένα.
Για παράδειγμα, εάν υπάρχει μια εφαρμογή για κινητά που παρακολουθεί τη συμπεριφορά των
χρηστών μέσω μιας φορητής συσκευής και διαθέτει επίσης χαρακτηριστικά ηλεκτρονικού
πορτοφολιού, θα μπορούσαν να μεταδοθούν τα δεδομένα συμπεριφοράς μέσω BLE και να ανατεθεί
η μετάδοση των δεδομένων πιστωτικής κάρτας σε ένα διαφορετικό πρωτόκολλο επικοινωνίας, όπως
το NFC (κοντινό πεδίο επικοινωνία).
Η ασφάλεια της σύζευξης OOB εξαρτάται από το πρωτόκολλο που χρησιμοποιείται ως υποκατάστατο
του BLE. Ένα κατάλληλο πρωτόκολλο επικοινωνίας μπορεί να προσφέρει προστασία τόσο από
παθητικές υποκλοπές όσο και από επιθέσεις ‘man-in-the-middle’.
Παρόλο όμως που οι συσκευές BLE 4.2 είναι συμβατές με τις συσκευές BLE 4.0 και 4.1, οι
παλαιότερες εκδόσεις λειτουργικών μονάδων δεν μπορούν να κάνουν χρήση των συνδέσεων BLE
Secure και ετσι παρέχουν λιγότερη ασφάλεια από ότι θα περίμενε κανείς από μια πιο πρόσφατη
μονάδα BLE.
iii. Μέθοδος σύζευξης ‘κωδικού πρόσβασης’
Η σύζευξη (αντιστοίχιση) με κωδικό πρόσβασης κάνει τους χρήστες μέρος της ασφάλειας. Υπάρχουν
διάφοροι τρόποι για να γίνει αυτό. Για παράδειγμα, μία από τις συσκευές μπορεί να δημιουργήσει
έναν εξαψήφιο κωδικό πρόσβασης (αυτή ειναι συνήθως η κεντρική μονάδα, καθώς είναι συνήθως
πιο προηγμένη από τις περιφερειακές συσκευές), που ο χρήστης εισάγει στη συνέχεια στην άλλη
συσκευή. Εναλλακτικά, ο κωδικός πρόσβασης μπορεί να αποσταλεί μαζί με τις συσκευές (σε χαρτί ή
σαν μέρος μιας ηλεκτρονικής αγοράς) και ο χρήστης στη συνέχεια τον εισαγάγει χειροκίνητα σε κάθε
ξεχωριστή συσκευή.
Επειδή κάθε συσκευή επαληθεύεται χειροκίνητα από το χρήστη, η αντιστοίχιση του κωδικού
πρόσβασης εξαλείφει την πιθανότητα επιθέσεων τυπου ‘man-in-the-middle’. Ωστόσο, σημαντικό
μειονέκτημα είναι ότι οι συσκευές απαιτούν κάποιες δυνατότητες εισόδου - εξόδου (όπως
πληκτρολόγια ή οθόνες αφής), που είναι δύσκολο να εφαρμοστούν σε μικρές φορητές συσκευές.
Η σύζευξη (αντιστοίχιση) ‘αριθμητικής σύγκρισης’ είναι διαθέσιμη μόνο για ασφαλείς συνδέσεις BLE
– secure. Η μέθοδος της ‘αριθμητικής σύγκρισης’ είναι μια μέθοδος σύζευξης που περιλαμβάνει και
αυτή και τη συμμετοχή των χρηστών. Έχοντας επαληθεύσει αυτόματα τις τιμές επιβεβαίωσής τους
στη δεύτερη φάση σύζευξης, με αριθμητική σύγκριση, οι συσκευές χρησιμοποιούν την τυχαία τιμή
που είχαν προηγουμένως ανταλλάξει για να δημιουργήσουν μια άλλη εξαψήφια τιμή, την οποία ο
χρήστης πρέπει στη συνέχεια να συγκρίνει με μη αυτόματο τρόπο και στις δύο συσκευές.
Ένα παράδειγμα για το που μπορεί να χρησιμοποιηθεί αυτό είναι ένα βιομηχανικό συγκρότημα με
δυνατότητα BLE, όπου μηχανές και αισθητήρες συλλέγουν και αποθηκεύουν πληροφορίες ζωτικής
σημασίας για τη διαδικασία κατασκευής. Δεδομένου ότι οι συσκευές έχουν μια μέθοδο εξόδου, όπως
μια οθόνη, μπορούν να περάσουν από όλα τα στάδια της αριθμητικής σύγκρισης και να εξάγουν τους
τελικούς εξαψήφους αριθμούς. Στη συνέχεια, ένας εργάτης μπορεί να επαληθεύσει χειροκίνητα ότι
τόσο οι κεντρικές όσο και οι περιφερειακές μονάδες εμφανίζουν τον ίδιο αριθμό.
Η μέθοδος αριθμητικής σύγκρισης παρέχει προστασία και από επιθέσεις ‘man-in-the-middle’, επειδή
καμία συσκευή δεν μπορεί να συνδεθεί στο δίκτυο χωρίς χειροκίνητη επαλήθευση.
Ο Ευρωπαικος Οργανισμός για την ασφάλεια των δικτυων πληροφορικής (ENISA) εχει αναπτυξει ένα
πρακτικο οδηγο για την ασφάλεια των διαφόρων κατηγοριών συστήματων του Διαδικτύου των
Πραγμάτων (IoT). Εχει μάλιστα αναπτυξει και ένα ειδικο on-line εργαλειο για αυτό, που μπορει να το
βρει κανεις στον συνδεσμο: here.
Στη συνεχεια δινεται ένα παράδειγμα (σύντομη περιγραφή στα Αγγλικα) του οδηγου αυτου, σε μια
χαρακτηριστική περίπτωση (Εξυπνο Νοσοκομείο – Smart Hospital)
ΠΑΡΑΔΕΙΓΜΑ:
Πρακτικος οδηγος για την ασφάλεια του Διαδικτύου των Πραγμάτων στην περίπτωση ενός
Εξυπνου Νοσοκομείου (Smart Hospital) (To access the tool, navigate here.)
entity) and authorisation (assign privileges) are key security elements. It is essential that
authentication is a strong and non-reputable, and that privileges are fine-grained. Usability is an
aspect that always has to be kept in mind when dealing with authentication and authorisation.
Particularly in hospitals, quick access to systems and devices can be critical. Nevertheless, it proved to
be reasonable to grant access to information on need-to-know basis only.[ Technical ]
Διαχείρηση Δικτύου και Χρήση Firewalls (Enforce dynamic network segmentation and use firewalls)
ΟΔΗΓΙΑ 5 – Enforce dynamic network segmentation and use of firewalls.
It is important to separate critical parts of the network from non-critical parts. For instance, it is
recommended to separate medical devices to the largest possible extent from office components that
are typically – due to the use of standard components – susceptible to a wide range of attacks.
Moreover, devices with known vulnerabilities that cannot be removed easily may only be used in a
separate part of the network or not connected to the network at all. In general, it needs to be
evaluated if the benefits of connecting a specific device, such as a magnetic resonance imaging
scanner, to the network outweigh the risks. [ Technical ]
While awareness-raising activities target rather broad audiences and are intended to make individuals
recognise security risks and respond appropriately, training is more formal and has the goal of building
knowledge and skills. With respect to training needs in smart hospitals, creating an understanding of
the central systems and their components as well as the interactions among systems and components
is of particular importance. Even though this has already started emerging, there is still a lot of
investment to be done in hospitals using IoT components. [ Organisational ]
ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΚΑΙ ΟΔΗΓΙΕΣ ΓΙΑ ΤΗ ΔΗΜΙΟΥΡΓΙΑ ΕΝΟΣ ΑΣΦΑΛΟΥΣ ΙοΤ
ΔΗΜΙΟΥΡΓΙΑ Αρχή 1: Βασική δράση 1: Να πειστεί η διοίκηση για την ανάγκη ασφάλειας του ΙοΤ
ΠΟΛΙΤΙΚΗΣ Διαμορφωσε μια πολιτικη
ΑΣΦΑΛΕΙΑΣ ασφαλειας καταληλη για το Βασική δράση 2: Να προετοιμαστει ο οργανισμος για την πιθανότητα και
ΓΙΑ ΤΟ ΙοΤ συγκεκριμενο ΙοΤ εσωτερικών παραβιάσεων ή λαθων στο ΙοΤ
Βασική δράση 8: Κανε έναν σχεδιασμο ασφαλειας του ΙοΤ που θα προστατευει το
συστημα αλλα και τον κάθε χρήστη
Βασική δράση 9: Κανε έναν σχεδιασμο ασφαλειας του ΙοΤ που δεν θα προκαλει
ΣΧΕΔΙΑΣΜΟΣ Αρχή 3: προβλήματα στις απαραιτητες διασυνδεσεις (connections)
ΤΗΣ Σχεδιασε
ΑΣΦΑΛΕΙΑΣ ένα κατάλληλο πλέγμα Βασική δράση 10: Κανε έναν σχεδιασμο ασφαλειας του ΙοΤ που θα είναι
ΤΟΥ ΙοΤ μέτρων ασφαλειας συνεκτικος και δεν θα εμπεριεχει αντιφασεις
για το ΙοΤ
Βασική δράση 11: Κανε έναν σχεδιασμο ασφαλειας του ΙοΤ που θα είναι
αποτελεσματικος ακομα και με αγνωστες συνδεσεις
(unspecified entities)
Βασική δράση 12: Έλενξε και αξιολογησε τον σχεδιασμο ασφαλειας του ΙοΤ, για
το ότι παρεχει επαρκη ασφαλεια.
Βασική δράση 13: Σχεδιασε έναν μηχανισμο που θα παρακολουθει και ελενγχει
τις συσκευες του ΙοΤ
ΥΛΟΠΟΙΗΣΗ Αρχή 4:
ΤΗΣ Σχεδίασε ένα κατάλληλο Βασική δράση 14: Βεβαιωσου ότι οι συσκευες του ΙοΤ συνδεονται στο δικτυο με
ΑΣΦΑΛΕΙΑΣ πλέγμα μέτρων ασφαλειας βαση τους ορους λειτουργιας και τον σκοπο τους.
ΤΟΥ ΙοΤ για το δίκτυο του ΙοΤ
Βασική δράση 15: Παρε υπ’ οψιν σου τις αρχικες ρυθμίσεις (initial settings)
Βασική δράση 16: Προβλεψε οπωσδηποτε μια επαρκη λειτουργία
αυθεντικοποιησης των χρηστών (authentication function)
Βασικες κατευθυντηριες αρχες και οδηγιες για την ασφαλεια του ΙοΤ
(IoT Security Guidelines, IoT Acceleration Consortium (2020))
Τα δυο παρακάτω διαγράμματα δινουν μια καθαρη εικόνα για την αναμενόμενη ραγδαία εξαπλωση
του ΙοΤ τα επομενα χρόνια:
Η προβλεπομενη εξαπλωση του ΙοΤ: 50 δις. συσκευες ΙΟΤ θα απαιτουν προστασια αμεσα
To πρόβλημα
Το ΙΝΤΕRΝΕΤ όπως ειδαμε είναι σημερα το κυριότερο (συχνα και το μόνο) μεσο επικοινωνίας μεταξυ
Η/Υ. Όμως το ΙΝΤΕRΝΕΤ είναι, όπως επίσης είδαμε, ένα ιδιαίτερα ανασφαλές περιβάλλον. Κάτι που
οφείλεται σε πολλους λογους: το ανοικτό περιβαλλον, την ελλειψη μηχανισμών ασφαλειας σε
επίπεδο πρωτοκόλλου (TCP/IP), την ευκολία παρακολούθησης των Internet πακέτων που
κυκλοφορούν, την έλλειψη ενιαιας πολιτικής ασφαλειας στους κόμβους, το πολύπλοκο configuration
κόμβων, κλπ.
Παράδειγμα 1:
Τον Μάιο 2018, Ο ιός WannaCry (Ransomware) προκάλεσε μεγάλα προβλήματα στο Βρετανικό
Σ’υστημα Υγείας (NHS). Η επίθεση «χτύπησε» ταυτόχρονα τα πληροφοριακά συστήματα 19
νοσοκομείων. Νοσοκομεία και κλινικές αναγκάσθηκαν να παραπέμπουν αλλού τους ασθενείς, αφού
έχασαν την πρόσβαση στους ηλεκτρονικούς υπολογιστές τους.
Ο ιός κρυπτογράφησε δεδομένα στους υπολογιστές και ζητούσε από τους χρήστες να πληρώσουν
λύτρα για να αποκτήσουν και πάλι πρόσβαση στα δεδομένα τους.
Ο ιός στάλθηκε μέσω ηλεκτρονικού ταχυδρομείου και ενός κρυπτογραφημένου συμπιεσμένου
αρχείου το οποίο, μόλις το άνοιγε κάποιος, ενεργοποιούσε τον ιό.
Η επίθεση έγινε με χρήση εργαλείων που πιστεύεται ότι αναπτύχθηκαν αρχικά από την αμερικανική
(NSA), [κώδικα «Eternal Blue», που εκμεταλλεύεται έναν γνωστό σφάλμα (flow) των Windows]
Παράδειγμα 2:
Τα κενά ασφαλείας σε ιατρικές συσκευές στο Ιντερνετ και στο ΙοΤ, μπορεί να αποτελέσουν «δούρειο
ίππο» για τους χάκερ του διαδικτύου. Δύο ερευνητές* έκαναν επίδειξη, σε πραγματικό περιβάλλον,
πώς είναι δυνατό: (α) Να απενεργοποιηθεί ( να σβήσει) από μακριά μια εμφυτευμένη αντλία
ινσουλίνης για διαβητικούς, (β) Να εισαχθεί παράνομα σε έναν βηματοδότη καρδιάς κακόβουλο
λογισμικό, που μπορεί να περιέχει δυνητικά θανατηφόρες εντολές για τον καρδιοπαθή (Τ. Μπατς -
Μ. Ρίος, Whitescope - QED Secure Solutions)
Συμπέρασμα
Οι οργανισμοί – επιχειρησεις είναι ήδη, και θα είναι όλο και ποιο πολύ εκτεθειμένοι σε κινδύνους
(κυβερνο)ασφάλειας. Το πρόβλημα δηλαδή είναι ήδη υπαρκτό, και όπως προκύπτει από τα στοιχεία,
ήδη σοβαρό.
Το πρόβλημα δηλαδή είναι ήδη υπαρκτό, και σοβαρό. Το αν θα λάβουμε ή όχι επαρκή μέτρα για την
(κυβερνο)ασφάλεια, δεν είναι πια επιλογή, αλλά αναγκαιότητα. Αποτελει μάλιστα ήδη από τον Μαιο
του 2018 και νομική υποχρέωση, και μάλιστα δεσμευτική
Η οδηγία της Ε.Ε. για την ψηφιακή ασφάλεια και Κυβερνοασφάλεια (NIS)
Η E.E. έχει ψηφίσει πρόσφατα ειδική οδηγία για την Κυβερνοασφάλεια (NIS). Οι βασικοι πυλωνες –
προβλεψεις της οδηγιας αυτης είναι:
• Υποχρεωτική Εφαρμογή (από 5/2018) της οδηγιας από ολους τους φορεις
• Υποχρεωτική εφαρμογή των απαραίτητων μέτρων ασφάλειας από τους φορείς που εμπίπτουν
• Υποχρεωτική αναφορά συμβάντων Κυβερνοασφάλειας από τους ίδιους τους φορείς στις αρχές
• Οι πάροχοι Υπηρεσιών Υγείας εμπίπτουν στην οδηγία, σαν Κρίσιμες Πληροφοριακές Υποδομές
( Υποχρεούνται να υλοποιήσουν συγκεκριμένες απαιτήσεις της Οδηγίας)
Με βάση την NIS, οι «Φορείς» και οι «Πάροχοι» βασικων ψηφιακών υπηρεσιών (Operators of
Essential Services -OES), θα πρεπει:
- Να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για:
- την αποτροπή συμβάντων κυβερνοασφάλειας
- την διαχείριση των κινδύνων κυβερνοασφάλειας
Το σημερινό πλαίσιο για την κυβερνοασφάλεια σε Ελλάδα και Ευρ. Ενωση μπορει να περιγραφεί,
περιληπτικά, ως εξής:
Το Ελληνικό Πλαίσιο για την κυβερνοασφάλεια (νόμος για την Κυβερνοασφάλειας, 3/18) βαζει τους
παρακατω βασικούς στόχους - προτεραιότητες:
• Ανάπτυξη ενός ασφαλούς και ανθεκτικού κυβερνοχώρου στην Ελλαδα
• Συνεχή βελτίωση των δυνατοτήτων προστασίας από κυβερνοεπιθέσεις, με έμφαση στις κρίσιμες
υποδομές.
• Θεσμική θωράκιση του εθνικού πλαισίου κυβερνοασφάλειας.
• Ενίσχυση της κουλτούρας ασφάλειας των πολιτών και των φορέων του Δ + Ι τομέα.
Οριζει ακομα τους παρακάτω συγκεκριμένους Στόχους - Δράσεις:
• Ενίσχυση της ικανότητας των φορέων στην πρόληψη και την αντιμετώπιση συμβάντων
κυβερνοασφάλειας
• Αποτελεσματική συνεργασία των φορεων με τις αρχες για την εφαρμογή της ΕΣΚ.
• Ενεργή συμμετοχή της χώρας στις διεθνείς πρωτοβουλίες και δράσεις κυβερνοασφάλειας
• Ευαισθητοποίηση των κοινωνικών φορέων και των χρηστών για ασφαλή χρήση του
κυβερνοχώρου.
• Συνεχή προσαρμογή στις νέες τεχνολογικές απαιτήσεις και αξιοποίηση των βέλτιστων διεθνών
πρακτικών.
2. Το Ευρωπαικο πλαίσιο Κυβερνοασφάλειας
Όπως μάλιστα θα δουμε και παρακάτω, εχει εκδόσει και αναλυτικές οδηγίες κυβερνοασφάλειας για
τις διαφορες κατηγορίες φορεων
- Αναλυστε την επιθεση για να κατανοησετε τον στοχο και τις επιπτωσεις της (target and impact of
breach)
- Καντε πιστα αντιγραφα από τα υποπτα υποσυστηματα (take Images)
- Ενημερωστε αμεσα το σχετικο τμημα κυβερνοασφαλειας της αστυνομιας για βοήθεια (inform
cyber police)
3. Απομακρύνετέ το malware που χρησιμοποιηθηκε και επαναφερετε (restore) τα συστηματα. Ποιο
συγκεκριμένα:
- Απομακρύνετέ το malware και διορθωστε τις ευπάθειες (vulnerabilities) που εκαναν δυνατη
αυτην την κυβερνοεπιθεση
- Διορθωστε και αναβαθμηστε (Patch and Ηarden) τα συστηματα και τα δικτυα που προσβ-
ληθηκαν από την κυβερνοεπιθεση.
- Αποκαταστησετε (Restore) από backups τα δεδομενα που χάθηκαν / αλλοιώθηκαν από την
κυβερνοεπιθεση.
- Επαναφερετε το σύστημα σε λειτουργια (Return systems to production status)
- Κάνετε ολες τις ενεργειες που απαιτουνται από τους νομους και κανονισμους, για παράδειγμα
να ενημερωσετε τους χρηστες για το συμβαν και τις πιθανες επιπτωσεις που τους αφορουν
(notify users)
- Κάνετε ολες τις ενεργειες ενημερωσης (reporting actions) που απαιτουνται από τους Ελληνικους
και Ευρωπαικους κανονισμους (Comply with any National and EU regulatory reporting
requirements)
Παραδειγμα
Η κάθε περίπτωση και αναγκες κυβερνοασφάλιας ενός φορέα ή επιχείρησης είναι βεβαια
διαφορετική. Υπάρχουν όμως για πολλες περιπτώσεις αναλυτικοι οδηγοί των ενεργειών που
απαιτουνται για αποτελεσματικη κυβερνοασφαλεια. Ο παρακάτω πινακας είναι ένα παράδειγμα
ενός τετοιου αναλυτικού οδηγού ενεργειών για αποτελεσματικη κυβερνοασφαλεια (Checklist) στον
χωρο της υγείας. Σε αυτόν συνοψιζονται οι απαιτουμενες ενεργειες για αποτελεσματικη
κυβερνοασφαλεια στους φορεις αυτους (πηγη ENISA)
Στη συνεχεια περιγραφονται δεκα βασικα μέτρα που μπορουμε να κάνουμε για αποτελεσματικότερη
κυβερνοασφαλεια (Top 10 Tips for Cybersecurity – πηγη ENISA). Αυτά ειναι:
1. Καλιεργείστε κουλτούρα ασφάλειας (Establish a Security Culture). Ο ασθενέστερος κρίκος για την
ασφάλεια κάθε πληροφοριακού συστήματος είναι ο χρήστης !
2. Προσέξτε ιδιαίτερα την προστασία των έξυπνων συσκευών / κινητών / (Protect Mobile Devices -
Transporting data with mobile devices is inherently risky).
3. Ακολουθείτε καλές πρακτικές πληροφορικής (Maintain Good Computer Habits). Για παραδειγμα:
- Συνεχή ενημέρωση του λογισμικού (Keep software up-to-date)
- Απεγκατάσταση κάθε μη χρησιμοποιούμενου S/W (Uninstall any SW app not essential for
running the practice)
- Απενεργοποιήστε τις μη απαραίτητες remote προσβάσεις (Disable unnecessary remote access)
- Βεβαιωθείτε ότι οι κατασκευαστές / προμηθευτές δεν διατηρούν άμεση πρόσβαση (Find out
whether the vendor maintains an open connection (back door))
- Να απαγορεύετε στο προσωπικό να εγκαθιστά λογισμικό χωρίς έγκριση (Prohibit staff from
installing software without prior approval)
- Να έχετε αυστηρούς κανόνες για το πως προμηθεύεστε, πως συντηρείτε, και πως/πότε
αποσύρετε λογισμικό (Apply rules for software management)
4. Να χρησιμοποιείτε Firewalls (Use of Firewalls)
5. Να εγκαταστήσετε και ενημερώνετε τα απαραίτητα Anti-Virus Software
6. Να προετοιμάζεστε και για τα απίθανα (Plan for the Unexpected) (Sooner or later, the unexpected
will happen)
7. Να χρησιμοποιείτε Access Controls για να προστατεύετε την ευαίσθητη πληροφορία (Only to
people with a “need to know.”)
8. Να χρησιμοποιείτε ισχυρά Passwords/e-Ids και να τα αλλάζετε τακτικά
9. Να περιορίζετε / ελέγχετε πάντοτε την πρόσβαση μέσω δικτυών (Limit Network Access)
10. Να περιορίζετε / ελέγχετε πάντοτε την φυσική πρόσβαση (Control Physical Access)
Άλλες καλές πρακτικές, που συστήνονται για την βελτίωση της ‘ψηφιακής ανθεκτικότητας’ του φορέα
ειναι:
1. Η ενσωμάτωση και των αναγκών κυβερνοασφάλειας στις διαδικασίες διαχείρισης και
διακυβέρνησης του οργανισμού.
2. Η προτεραιοποίηση των πληροφοριών που συλλέγονται και κρατούνται (logs), ανάλογα με τη
σημαντικότητά τους για την κυβερνοασφαλεια και η καταγραφή των σχετικών με αυτές κινδύνων
3. Η ενδυνάμωση των μέτρων προστασίας από κυβερνοεπιθέσεις, ιδιαίτερα αυτων που σχετίζονται
με τα ζωτικής σημασίας περιουσιακά στοιχεία του οργανισμού.
4. Η εμπλοκή και ενημέρωση όλων των υπαλλήλων.
5. Η ανάπτυξη και αποτελεσματική ενσωμάτωση της κυβερνοασφαλειας στο σχεδιο προστασιας του
Π.Σ. του οργανισμού. Τα μετρα κυβερνοασφάλειας να είναι στον πυρήνα.
6. Η χρήση πρακτικών «ενεργητικής άμυνας» για την προστασία έναντι των εισβολέων.
7. Ο εγκαιρος προγραμματισμός και η αξιολόγηση των μέτρων αντιμετώπισης περιστατικών
κυβερνοεπίθεσης
- Μας δίνει την δυνατότητα να κατανοήσουμε την συμπεριφορά των επιτιθέμενων, ώστε να
παρουμε μετρα
3. Το λογισμικο Cyber Analytics Repository MITRE (https://car.mitre.org/wiki/Main_Page)
- Είναι μία βάση από ερωτήματα (analytics) που αναπτύχθηκε από την MITRE με βαση το
μοντέλο (ATT&CK).
Β. Το λογισμικο διαμοιρασμού πληροφοριών MISP. Χρησιμοποιηθηκε για τον διαμοιρασμό
πληροφοριών σχετικά με:
- Δείκτες παραβίασης (IOC-Indicators of compromise)
- Τακτικές, τεχνικές και διαδικασίες των επιτιθέμενων (TTPs-Adversaries: Tactics, techniques
and procedures)
- Προκαθορισμένα ερωτήματα (φίλτρα) με σκοπό να εντοπιστούν άγνωστες κυβερνοεπιθέσεις.
- Τον διαμερισμό Δεικτών Παραβίασης (IOCs)
- Τον διαμερισμό πληροφοριών σχετικά με τις τακτικές και διαδικασίες των επιτιθέμενων που
εντοπίζονται
Γ. Ενας αισθητήρας EDR (Endpoint Detection and Response), που:
- Ανιχνεύει κυβερνοεπιθέσεις, με βάση τους δείκτες παραβίασης
- Συλλέγει πληροφορίες σχετικές με την συγκεκριμένη τεχνική επίθεσης.
- Δίνει την δυνατότητα πρώτης αντιμετώπισης της κυβερνοεπίθεσης.
όμως συναγερμούς στο σύστημα κυβερνοασφάλειας του οργανισμού. Ετσι η επίθεση μπορεί να
αντιμετωπισθεί στην εκδήλωση της χωρίς να προλάβει να επεκταθεί σε χρήσιμα δεδομένα.
• Η μελετη για το παρελθόν, ώστε να προβλεφθεί μελλοντική επίθεση
Οι κυβερνο-εγκληματίες συνηθίζουν συχνα να χτυπούν τον ίδιο οργανισμό πάνω από μία φορά,
και μάλιστα με την ίδια μέθοδο. Αξίζει λοιπον τον κόπο να χρησιμοποιηθούν τα συμπεράσματα
από επιτυχημένες επιθέσεις. Λαμβάνοντας μέτρα ασφαλείας βασισμένα σε προηγούμενες
επιτυχημένες επίθεσεις μπορεί κανείς να οδηγήσει σε άμεση ανίχνευση μιας καινούργιας.
• Η εκπαίδευση του προσωπικού
Η εκπαιδευση του προσωπικού σχετικά με τις κυβερνο-απειλές κάνει πολύ ποιο πιθανή την
κατανόηση μίας επίθεσης (και λιγότερο π.χ. πιθανό το γινει ‘κλικ’ σε ένα καλά καμουφλαρισμένο
phishing email)
• Η επικαιροποιηση λογισμικου των website
Οι κυβερνο-εγκληματίες αναζητούν συνηθως Websites με αδυναμίες ασφάλειας, όπως το να μην
έχουν επικαιροποιημένο λογισμικό. Με την εγκατάσταση όλων των τελευταίων updates μειώνεται
αρκετά η πιθανότητα να ασχοληθουν μαζι μας, και μάλλον θα αναζητήσουν έναν άλλο
ευκολότερο στόχο. Ερευνα σε 60.000 Websites απέδειξε ότι το 78% από αυτά ήταν ευάλωτα σε
επιθέσεις, και ο λόγος ήταν μη εγκατεστημένες επικαιροποιήσεις.
Οι κυριότεροι φορεις που ασχολούνται με την αντιμετώπιση του κυβερνοεγκλήματος στην Ελλαδα,
είναι:
1. Η Διεύθυνση Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Άμυνας (ΓΕΕΘΑ). Κανει ετήσιες
ασκήσεις / προσομοιωσεις κυβερνοασφάλειας - κυβερνοεπιθεσεων (ΝΑΤΟ, Δικτυο Εργαστηρίων,
ΑΠΘ)
2. Η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ). Είναι υπεύθυνη για το εθνικό CERT (Computer Emergency
and Response Team), που είναι η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων. Εκει
λειτουργεί και η Ελληνική Αρχή Ασφάλειας Πληροφοριών (INFOSEC), που είναι υπέύθυνη για την
ασφάλεια των επικοινωνιών και συστημάτων πληροφοριών σε εθνικό επίπεδο, και για την
πιστοποίηση του διαβαθμισμένου (απόρρητου) υλικού των εθνικών επικοινωνιών
3. Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της ΕΛΑΣ (Αθήνα, με παραρτημα σε Θεσσαλονίκη).
Εχει σαν αντικειμενο την πρόληψη, έρευνα και καταστολή των εγκλημάτων ή αντικοινωνικών
συμπεριφορών, που διαπράττονται μέσω του διαδικτύου ή άλλων μέσων ηλεκτρονικής επικοινωνίας.
Είναι ακομα το σημείο επαφής για την εκπλήρωση των σκοπών του άρθρου 35 της Σύµβασης «Δίκτυο
24/7».
4. Η Διεύθυνση Πολιτικού Σχεδιασμού Έκτακτης Ανάγκης (ΠΣΕΑ) του Υπουργείου Εσωτερικών.
Καταρτίζει τα σχέδια εξυπηρέτησης των υπηρεσιών της Γενικής Γραμματείας Δ.Δ. και Ηλεκτρονικής
Διακυβέρνησης.
5. Το “Κέντρο Μελετών Ασφαλείας(ΚΕΜΕΑ) που υπάγεται στο Υπουργείο Εσωτερικών. Κανει μελέτες
ασφάλειας / κυβερνοασφάλειας και αποτελεί ιμέλος του “Ευρωπαϊκού Οργανισμού Ασφαλείας”.
Η Ε. Ενωση εχει διαπιστωσει και αυτή (M. Maasikas) ότι η εγκληματικότητα στον κυβερνοχώρο είναι
μία από τις μεγαλύτερες παγκόσμιες απειλές για τις κοινωνίες και τις οικονομίες’, και ότι ‘Χάνονται
ήδη στην Ε.Ε. περίπου 400 δισεκατομμύρια ευρώ κάθε χρόνο λόγω επιθέσεων στον κυβερνοχώρο’.
Για το λογο αυτό η Ε.Ε. εχει προχωρησει ήδη σε αρκετες δρασεις και μετρα στον τομεα αυτόν. Για
παραδειγμα το Συμβούλιο Γενικών Υποθέσεων της Ε.Ε.:
• Ενέκρινε την Δράση για την Ενίσχυση της Ευρωπαϊκής Ασφάλειας στον Κυβερνοχώρο
• Τόνισε την ανάγκη όλων των χωρών της ΕΕ να διαθέσουν τους απαραίτητους πόρους και
επενδύσεις για την αντιμετώπιση της ασφάλειας στον κυβερνοχώρο
• Ενέκρινε το σχέδιο για τη δημιουργία ενός Ευρωπαϊκού Πλαισίου Ασφάλειας στον Κυβερνοχώρο,
που περιλαμβάνει: (α) Μέτρα για την ‘συντονισμένη απάντηση, σε επίπεδο ΕΕ, σε μεγάλης
κλίμακας περιστατικά και κρίσεις στον κυβερνοχώρο’, και (β) Την τακτική πραγματοποίηση
πανευρωπαϊκών ασκήσεων στον κυβερνοχώρο.
Η Ε. Ενωση προχωρησε επισης στην καθιερωση μιας σειρας από κανονισμούς και οδηγιες που
ρυθμιζουν και θεματα κυβερνοασφαλειας, για παραδειγμα:
1. Ο κανονισμός για την προστασία των προσωπικών δεδομένων ‘General Data Protection
Regulation’ (GDPR). Βασικές Προβλέψεις του κανονισμου ειναι:
• Η αυστηροποίηση του πλαισίου προστασίας (DPO, Μελέτες επιπτώσεων, κλπ)
• Η υποχρεωτική εφαρμογή των μέτρων προστασίας των ευαίσθητων δεδομένων από
τους φορείς που εμπίπτουν
• Η υποχρεωτική αναφορά συμβάντων Κυβερνοασφάλειας από τους ίδιους τους φορείς στις
αρχές
• Ότι οι πάροχοι όλων πρακτικά των Υπηρεσιών εμπίπτουν στον κανονισμό (εκτος από κλειστα -
proprietary συστηματα)
2. Ο κανονισμός για την ασφάλεια των έξυπνων Συσκευών (smart devices regulation), που
αποτελουν συχνα τον ‘ασθενή κρίκο’ των κυβερνοεπιθεσεων. Βασικές προβλέψεις του ειναι:
• Η υποχρεωτική εφαρμογή των μέτρων ασφάλειας (πιστοποίησης, κλπ) των Εξυπνων
Συσκευών από τους φορείς που εμπίπτουν (σχεδον όλοι)
• Η υποχρεωτική άμεση αναφορά συμβάντων ασφάλειας από τους ίδιους τους φορείς στις
αρχές
Είναι τέλος ενδιαφερον ότι ο κυβερνοπολεμος, που είναι μια συχνη και πολύ επικινδυνη μορφη
κυβερνοεπιθεσεων σημερα, είναι ακόμα πιο δυσκολο να αντιμετωπιστει, για τον πρόσθετο λογο ότι
δεν καλυπτεται ουσιαστικα απο το διεθνες δικαιο. Και αυτό γιατι, σε αντίθεση με άλλες μορφές
πολεμικών συγκρούσεων, η περίπτωση του κυβερνοπολέμου έχει χαρακτηριστικά που θέτουν σε
αμφισβήτηση βασικές αρχές διεθνούς προστασίας, αλλά και το ίδιο το δίκαιο του πολέμου. Το
υφιστάμενο διεθνές νομικό πλαίσιο δεν περιλαμβάνει για την συγκεκριμένη περίπτωση διατάξεις για
τον κυβερνοπόλεμο. Για παράδειγμα δεν υπάρχει ομοφωνία για το βασικά ερωτήματα, όπως:
- Πότε μία κυβερνοεπίθεση μιας χωρας σε μια άλλη αποτελεί πράξη πολέμου, ένοπλη επίθεση ή
περίπτωση χρήσης βίας.
- Πότε μία τετοια κυβερνοεπίθεση αποτελεί ‘χρήση βίας’, όπως αυτή ορίζεται στο Άρθρο 2 (4) του
Καταστατικού Χάρτη του Ο.Η.Ε;
- Πότε μία τετοια κυβερνοεπίθεση αποτελεί ‘ένοπλη επίθεση’, όπως αυτή ορίζεται στο Άρθρο 51
του Καταστατικού Χάρτη του Ο.Η.Ε;
- Πότε μπορεί ένα κράτος να αντιδράσει σε μία κυβερνοεπίθεση, στο πλαίσιο της αυτοάμυνας, και
Πως (π.χ. με αντίστοιχη κυβερνοεπίθεσης ή/και συμβατική επίθεση)
- Ποιοι είναι οι κανόνες εμπλοκής σε περίπτωση κυβερνοπολέμου;…, κλπ.
Δημοσιευτηκε προσφατα (12/2020) η νέα Εθνική Στρατηγική Κυβερνοασφάλειας για την περίοδο
2020-2025. Η άμεση αναθεώρηση του στρατηγικού σχεδιασμού για την κυβερνοασφάλεια κρίθηκε
αναγκαία λόγω των σημαντικών τεχνολογικών εξελίξεων και της αυξημένης χρήσης των νέων
τεχνολογιών και ψηφιακών εφαρμογών για την εξυπηρέτηση πολιτών και επιχειρήσεων.
Η Εθνική Στρατηγική Κυβερνοασφάλειας για την περίοδο 2020-2025 είναι ένα αναλυτικό κείμενο,
που συντονίζει τη λήψη μέτρων για τον περιορισμό του εύρους των περιστατικών που μπορούν να
θέσουν σε κίνδυνο την ακεραιότητα κρίσιμων υποδομών και να απειλήσουν την εύρυθμη λειτουργία
του Κράτους και την ασφάλεια πολιτών και επιχειρήσεων.
Η νεα Εθνική Στρατηγική Κυβερνοασφάλειας οργανωνεται σε πέντε στρατηγικούς πυλώνες
παρέμβασης που αναλύονται ως εξής:
- Λειτουργικό σύστημα διακυβέρνησης,
- Θωράκιση κρίσιμων υποδομών, ασφάλεια και νέες τεχνολογίες,
- Βελτιστοποίηση διαχείρισης περιστατικών, καταπολέμηση του κυβερνοεγκλήματος και προστασία
της ιδιωτικότητας,
- Σύγχρονο επενδυτικό περιβάλλον με έμφαση στην προαγωγή της Έρευνας και Ανάπτυξης,
- Ανάπτυξη ικανοτήτων, προαγωγή της ενημέρωσης και ευαισθητοποίησης.
Οι στόχοι αυτοι εξειδικεύονται σε ένα λεπτομερές πλαίσιο δράσεων με 15 ειδικούς στόχους και πάνω
από 50 δραστηριότητες. Μεταξύ αυτών περιλαμβάνονται: παρεμβάσεις για την κυβερνοασφάλεια
φορέων του δημοσίου, πλαίσιο προαγωγής αριστείας στον τομέα της κυβερνοασφάλειας,
σχεδιασμός αποτίμησης κινδύνου, ενδυνάμωση συνεργασιών σε ευρωπαϊκό και διεθνές επίπεδο,
μέτρα για τις προκλήσεις των νέων τεχνολογιών, ενισχυμένες απαιτήσεις ασφαλείας, συστήματα
πρόληψης και αντιμετώπισης περιστατικών, ενδυναμωμένες συνεργασίες σε επιχειρησιακό επίπεδο,
κινήτρων για επενδύσεις σε ασφαλή συστήματα, καθώς και ολοκληρωμένο πλαίσιο ανάπτυξης
ικανοτήτων και ευαισθητοποίησης.
Ολόκληρο το κείμενο της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020-2025 υπάρχει στον σύνδεσμο
https://bit.ly/3gkyx8U.
ΠΑΡΑΡΤΗΜΑ
1. Προστασία του Υλικού και του Λογισμικού (H/W & S/W security management)
(1) Πρέπει να υπάρχει εγκατεστημένη ολοκληρωμένη λύση λογισμικού προστασίας από κακόβουλο
λογισμικό σε όλα τα συστήματα που είναι ευαίσθητα σε επιθέσεις – ειδικά σε αυτά που έχουν
πρόσβαση στο Διαδίκτυο.
(2) Το λογισμικό προστασίας, εκτός από τους παραπάνω γενικούς κανόνες για το λογισμικό, θα
πρέπει επιπλέον να:
(α) Ενημερώνεται κάθε μέρα και με αυτόματο τρόπο.
(β) Προβλέπει προστασία από κάθε είδος κακόβουλου λογισμικού (ιοί, worms, trojan horses,
rootkits, spyware και adware, κλπ).
(γ) Είναι ρυθμισμένο να ελέγχει τουλάχιστον: τη μνήμη του Η/Υ, τα εκτελέσιμα αρχεία, τα
προστατευμένα και κρυφά αρχεία, τα αφαιρούμενα μέσα αποθήκευσης (CDs/DVDs/USB
συσκευές), την εισερχόμενη και εξερχόμενη δικτυακή κίνηση του φορέα.
(δ) Είναι ρυθμισμένο να πραγματοποιεί ελέγχους σε πραγματικό χρόνο, και όχι μετά από
απαίτηση του χρήστη
(ε) Ενημερώνει έγκαιρα και αποτελεσματικά σε περίπτωση που ανακαλύψει ύποπτο λογισμικό
(στ) Απομονώνει το ύποπτο λογισμικό για περαιτέρω ανάλυση
(ζ) Απομακρύνει το κακόβουλο λογισμικό και τα σχετικά αρχεία
(η) Εξασφαλίζει ότι δεν υπάρχει δυνατότητα να απενεργοποιούνται σημαντικές ρυθμίσεις και να
μην ελαχιστοποιείται η λειτουργικότητα
(θ) Διαθέτει μηχανισμό ειδοποίησης για την περίπτωση που είναι ανενεργό
(3) Πρέπει να πραγματοποιείται τακτικός έλεγχος στα logs του λογισμικού προστασίας.
(4) Δεν πρέπει να επιτρέπεται η εγκατάσταση λογισμικού από οποιονδήποτε χρήστη, αλλά μόνον από
τον διαχειριστή (Administrator).
(5) Δεν πρέπει να επιτρέπεται η χρήση αφαιρούμενων μέσων αποθήκευσης σε κρίσιμα συστήματα.
(6) Εάν είναι απαραίτητη η χρήση αφαιρούμενων μέσων αποθήκευσης, πρέπει να απενεργοποιείται η
δυνατότητα αυτόματης εκκίνησης (autorun).
(1) Πρέπει να υπάρχει τείχος προστασίας (firewall) εγκατεστημένο (υλικό ή/και λογισμικό), με σαφώς
ορισμένη πολιτική εισερχόμενης / εξερχόμενης κίνησης.
(2) Πρέπει να υπάρχει εγκατεστημένος μηχανισμός ανίχνευσης / παρεμπόδισης εισβολής (IDS/IPS) σε
κρίσιμα συστήματα.
(3) Ο μηχανισμός αυτός πρέπει να μπορεί να ανιχνεύει και να καταστέλλει: μη εξουσιοδοτημένη
πρόσβαση, μη αναμενόμενη συμπεριφορά χρήστη ή εφαρμογής, μη αναμενόμενο τερματισμό
διεργασιών, επιθέσεις άρνησης παροχής υπηρεσιών (DOS) ή δραστηριότητα συσχετισμένη με
κακόβουλο λογισμικό.
(4) Το λογισμικό ανίχνευσης / παρεμπόδισης εισβολής πρέπει να:
(1) Πρέπει να χρησιμοποιούνται πάντοτε κωδικοί ασφαλείας, όπου αυτό είναι δυνατόν.
(2) Οι κωδικοί ασφαλείας πρέπει να είναι απολύτως προσωπικοί για κάθε χρήστη.
(3) Καλό είναι να επιλέγεται διαφορετικός κωδικός ασφαλείας για κάθε λογαριασμό, όταν
χρησιμοποιούνται πολλοί λογαριασμοί από τον ίδιο χρήστη.
(4) Οι κωδικοί ασφαλείας καλό είναι να έχουν μήκος τουλάχιστον 10 χαρακτήρων και να
συμπεριλαμβάνουν αλφαριθμητικούς χαρακτήρες, πεζά και κεφαλαία καθώς και σύμβολα -
σημεία στίξης.
(5) Οι κωδικοί ασφαλείας δεν πρέπει να καταγράφονται, για αυτό καλό είναι να είναι
απομνημονεύσιμοι.
(6) ΟΙ κωδικοί ασφαλείας καλό είναι να αλλάζουν περιοδικά (αλλά όχι σε λιγότερο χρονικό
διάστημα από ένα μήνα, καθώς έτσι ενισχύεται η χρήση εύκολων κωδικών ή η καταγραφή
τους).
(7) Παράδειγμα επιλογής κωδικού ασφαλείας:
Ένας τρόπος επιλογής κωδικού ασφαλείας με τα παραπάνω χαρακτηριστικά είναι η χρήση
κάποια φράσης, όπου χρησιμοποιούνται επιλεκτικά οι χαρακτήρες της (π.χ. η φράση: “This is a
very strong password, which protects my account!”).
Επιπλέον, καλό είναι σε κρίσιμες περιπτώσεις οι χαρακτήρες αυτοί να μεταλλάσσονται σε
αριθμητικούς και σημεία στίξης, ενώ τα πεζά να εναλλάσσονται με κεφαλαία με κάποιο εύκολο
αλγόριθμο. Π.χ. στην φράση: “This is a very strong password, which protects my account!”,
εφαρμόζεται ένα αλγόριθμος όπως: Επιλέγεται κάθε πρώτος χαρακτήρας, όπου το a
αντικαθίσταται με @, το i αντικαθίσταται με 1 και όπου p χρησιμοποιείται το κεφαλαίο P.
Οπότε ο τελικός κωδικός είναι: T1@vsP,wPm@!
(1) Θα πρέπει να υιοθετηθούν, εφόσον απαιτείται, λύσεις κρυπτογραφίας στον φορέα, ώστε να:
(α) Προστατεύονται ευαίσθητες πληροφορίες
(β) Αποφασίζεται αν έχει μεταβληθεί πληροφορία
(γ) Παρέχεται ισχυρή αυθεντικοποίηση στους χρήστες εφαρμογών και συστημάτων
(δ) Ταυτοποιείται ο ιδιοκτήτης κρίσιμης πληροφορίας
(2) Οι κρυπτογραφικές λύσεις που υιοθετούνται οφείλουν να είναι εγκεκριμένες από την εκάστοτε
αρμόδια Εθνική Αρχή (Εθνικό CERT) ή να είναι πιστοποιημένες βάσει κάποιων διεθνών ή εθνικών
προτύπων (π.χ. Common Criteria, FIPS κλπ).
(1) Οι mail servers πρέπει να είναι παραμετροποιημένοι με τέτοιο τρόπο ώστε να εμποδίζεται η
υπερφόρτωσή τους, με τον περιορισμό των μηνυμάτων ανά mailbox, της χρήσης μεγάλων λιστών
παραληπτών και την αυτόματη ανίχνευση και ακύρωση email loops.
(2) Τα emails πρέπει να ελέγχονται για
(α) Κακόβουλα συνημμένα
(β) Φράσεις συσχετισμένες με κακόβουλο λογισμικό
(γ) Απαγορευμένες λέξεις (π.χ. αισχρές, προσβλητικές ή ρατσιστικές)
(3) Οι mail servers πρέπει να παρέχουν προστασία με το να:
(α) Αποκλείουν μηνύματα που θεωρούνται μη επιθυμητά (spam) (π.χ. χρησιμοποιώντας κάποια
black list με μη επιθυμητούς ισοτόπους ή mail list servers)
(β) Ελέγχουν την ακεραιότητα των μηνυμάτων ως προς την πληρότητα του περιεχόμενού τους
(π.χ. ένα μήνυμα να περιλαμβάνει όλα τα απαραίτητα headers. )
(γ) Μην προωθούν αυτόματα emails προς εξωτερικούς παραλήπτες
(4) Στα συστήματα ανταλλαγής email καλό είναι να χρησιμοποιούνται ψηφιακές υπογραφές.
(5) Θα πρέπει να μην επιτρέπεται η απομακρυσμένη πρόσβαση στα emails του φορέα, εκτός του
χώρου του.
(6) Καλό είναι να μη χρησιμοποιείται webmail, καθώς προκαλεί περισσότερες τρωτότητες σε ένα
σύστημα ανταλλαγής email.
(7) Θα πρέπει να μην επιτρέπεται η χρήση email του φορέα για προσωπικούς / μη επαγγελματικούς
λόγους του χρήστη.
(1) Πρέπει να υπάρχει μία συγκεκριμένη πολιτική για πρόσβαση στο Διαδίκτυο από χρήστες εντός
του φορέα. Η πολιτική αυτή πρέπει να περιλαμβάνει :
(α) Επιτρεπτούς κι απαγορευμένους τύπους διαδικτυακών υπηρεσιών
(β) Οδηγίες για τον τρόπο πρόσβασης (π.χ. με ποιο πρόγραμμα περιήγησης στον Ιστό, ποιες
ρυθμίσεις ασφαλείας κ.ο.κ.)
(γ) Περιορισμό ή απαγόρευση πρόσβασης για προσωπικούς λόγους
(δ) Έλεγχο / παρακολούθηση της πρόσβασης
(2) Οι υπολογιστές που έχουν δυνατότητα σύνδεσης στο Διαδίκτυο, πρέπει να:
(α) Προστατεύονται με αντιικό λογισμικό, τείχος προστασίας και σύστημα αντιγράφων ασφαλείας
(β) Να ενημερώνεται το λογισμικό τους εγκαίρως
(γ) Να παρέχουν πρόσβαση στο Διαδίκτυο με περιορισμένα δικαιώματα χρήστη
(1) Είναι απαραίτητο να δημιουργούνται αντίγραφα ασφαλείας τόσο για πληροφορίες όσο και για το
λογισμικό που χρησιμοποιείται.
(2) Τα αντίγραφα ασφαλείας πρέπει να δημιουργούνται συχνά και περιοδικά
(3) Τα αντίγραφα ασφαλείας καλό είναι να δημιουργούνται με αυτοματοποιημένο τρόπο.
(4) Πρέπει να ελέγχεται κατά πόσο είναι δυνατή η ανάκτηση των αντιγράφων ασφαλείας.
(5) Τα αντίγραφα ασφαλείας πρέπει να μπορούν να ανακτηθούν στα πλαίσια του κρίσιμου κάθε
φορά χρονικού διαστήματος.
(6) Τα αντίγραφα ασφαλείας πρέπει να προστατεύονται από απώλεια, καταστροφή ή μη
εξουσιοδοτημένη πρόσβαση, με:
(α) Την αποθήκευσή τους σε μέσα αποθήκευσης σε ασφαλές άφλεκτο μέρος, μέσα στον φορέα,
για την γρήγορη ανάκτησή τους
(β) Την αποθήκευση αντιγράφων εκτός φορέα, ώστε να ανακτηθούν με τη χρήση εναλλακτικών
υποδομών, σε περίπτωση καταστροφής
(γ) Τον περιορισμό πρόσβασης, ώστε μόνο το εξουσιοδοτημένο προσωπικό να έχει φυσική
πρόσβαση σε αυτά.
(1) Πρέπει να υπάρχει σαφώς καθορισμένη και καταγεγραμμένη πολιτική ασφαλείας, στην οποία να
συμπεριλαμβάνονται τα παραπάνω ενδεικτικά μέτρα (ή όσα από αυτά κρίνεται σκόπιμο).
(2) Πρέπει να πραγματοποιείται περιοδικός έλεγχος παραβίασης της πολιτικής ασφάλειας και
συνεχής ανάλυση και διερεύνηση των συμβάντων ασφάλειας που παρατηρούνται σε όλα τα
κρίσιμα συστήματα.
(3) Η πολιτική ασφάλειας πρέπει να είναι δυναμική, να ελέγχεται ανα τακτά χρονικά διαστήματα και
να αναθεωρείται με βάση τα αποτελέσματα των παραπάνω διερευνήσεων.
Εκτός από τις παραπάνω γενικές οδηγίες, οι ενδιαφερόμενοι μπορούν να αναζητούν λεπτομερείς
πληροφορίες σε αναγνωρισμένα διεθνή πρότυπα ασφάλειας, όπως ειναι η σειρά των προτύπων ISO
27000 και ISO 15408 (Common Criteria).
Ελεγχοι συστήματος
Υπάρχουν τέσσερις βασικές μέθοδοι για την προστασία της ασφάλειας των υπολογιστικών
συστημάτων:
Α) Έλεγχοι προσπέλασης συστήματος
Εξασφάλιση ότι μη εξουσιοδοτημένοι χρήστες δεν εισέρχονται στο σύστημα. Ενθάρρυνση των
εξουσιοδοτημένων χρηστών να είναι συνειδητοποιημένοι σε ότι αφορά την ασφάλεια, αλλάζοντας τα
συνθηματικά τους συχνά. Το σύστημα προστατεύει επίσης τις πληροφορίες για τα συνθηματικά και
καταγράφει ποιος κάνει τι στο σύστημα, ειδικά όταν γίνεται κάτι σχετικό με την ασφάλεια (είσοδος στο
σύστημα, άνοιγμα αρχείου, χρήση ειδικών προνομίων ).
Β) Έλεγχος προσπέλασης πληροφοριών
Παρακολούθηση και έλεγχος του ποιος έχει προσπέλαση σε ποιου είδους πληροφορίες και γιατί. Εάν
το σύστημα υποστηρίζει “κατά διάκριση” ελέγχους προσπέλασης (discretionagy access control),
μπορεί να καθοριστεί, εάν άλλα άτομα μπορούν να διαβάσουν ή να μεταβάλλουν τις πληροφορίες
ενός χρήστη. Το σύστημα μπορεί να υποστηρίζει και ‘κατά απαίτηση’ ελέγχους προσπέλασης
(mandatory access control ), ώστε να καθορίζονται από το σύστημα οι κανόνες προσπέλασης βάση των
ετικετών ασφαλείας (security labels) των ατόμων, και των άλλων αντικειμένων του συστήματος.
Γ) Διαχείριση του συστήματος και της ασφάλειας του
Εκτέλεση off-line των διαδικασιών που αποτελούν ή επιτυγχάνουν ρήγμα στην ασφάλεια ενός
συστήματος: διαγράφοντας διοικητικές ευθύνες του συστήματος με ασφάλεια, εκπαιδεύοντας
κατάλληλα τους υπαλλήλους και παρακολουθώντας τους χρήστες για να επιβεβαιωθεί η τήρηση των
πολιτικών ασφαλείας. Αυτή η κατηγορία συνεπάγεται, επίσης, πιο γενικές μορφές διαχείρισης της
ασφάλειας, όπως τον υπολογισμό των απειλών που αντιμετωπίζει η ασφάλεια του συστήματος και
του κόστους προ στασίας από αυτές.
Δ) Σχεδίαση του συστήματος
Η εκμετάλλευση των βασικών χαρακτηριστικών του υλικού και λογισμικού εξοπλισμού (η χρήση μιας
αρχιτεκτονικής που μπορεί να τμηματοποιεί τη μνήμη) οδηγεί στην απομόνωση προνομιακών
διαδικασιών από μη προνομιακές διαδικασίες.
Είναι σίγουρο ότι το υπολογιστικό έγκλημα θα συνεχίσει να υπάρχει. Ο στόχος της ασφάλειας
υπολογιστικού περιβάλλοντος είναι να θεσπίσει ελέγχους, που να διατηρούν την εμπιστευτικότητα, την
ακεραιότητα και τη διαθεσιμότητα. Κάποιες φορές αυτοί οι έλεγχοι είναι ικανοί να αναχαιτίσουν
επιθέσεις, ενώ άλλοτε καταφέρνουν μόνο να εντοπίσουν μια εισβολή κατά τη διάρκεια της ή αφότου
έχει συμβεί.
Έλεγχοι Λογισμικού
Τα ίδια τα προγράμματα είναι ο δεύτερος συνδετικός κρίκος στην ασφάλεια των υπολογιστικών
συστημάτων. Τα προγράμματα δεν πρέπει να είναι αρκετά ασφαλή μόνο για να αποκλείουν την
εισβολή ατόμων εκτός του συστήματος, αλλά και να έχουν αναπτυχθεί και διατηρηθεί έτσι ,ώστε να
μπορεί ναι είναι σίγουρος ο χρήστης για την αξιοπιστία τους. Οι έλεγχοι των προγραμμάτων
περιλαμβάνουν:
• Ελέγχους Ανάπτυξης. Είναι τα πρότυπα βάση των οποίων ένα πρόγραμμα σχεδιάζεται,
κωδικοποιείται , δοκιμάζεται και διαφυλάσσεται.
• Έλεγχος Λειτουργικών Συστημάτων. Υπάρχουν περιορισμοί που επιβάλλονται από το λειτουργικό
σύστημα για να προστατεύεται ο κάθε χρήστης από τους άλλους χρήστες.
• Εσωτερικοί Έλεγχοι Προγραμμάτων. Υποστηρίζουν τους περιορισμούς ασφαλείας , όπως οι
περιορισμοί πρόσβασης σε ένα ΟΒΜβ.
Οι έλεγχοι λογισμικού μπορούν να χρησιμοποιήσουν μέσα, όπως τμήματα υλικού, κρυπτογράφηση ή
συλλογή πληροφοριών. Επηρεάζουν άμεσα τους χρήστες και για αυτό πρέπει να σχεδιάζονται
προσεκτικά.
Πολιτικές Ασφαλείας
Δεδομένου του παραπάνω γενικού πλαισίου και του ορισμού της ασφάλειας υπολογιστικών
συστημάτων, μια πολιτική ασφάλειας καθορίζει :
• Ποιοι δίαυλοι επικοινωνίας μεταξύ των χρηστών (ή ομάδων τους) μπορούν να δημιουργηθούν.
• Τις απαιτήσεις για διαθεσιμότητα συγκεκριμένων εργαλείων-Ενεργειών επί των διαύλων αυτών.
• Τις απαιτήσεις για καθορισμό των κανόνων διάκρισης και μη έμμεσης προσπέλασης των διαύλων
αυτών.
Τα ιατρικά δεδομένα χαρακτηρίζονται ως ιδιαίτερα ευαίσθητες πληροφορίες των ατόμων στα οποία
αναφέρονται. Συνεπώς, κάθε προ σπάθεια εισαγωγής πληροφοριακών συστημάτων με Η\Υ για την
αποθή κευση και την επεξεργασία τους θα έπρεπε να συνοδεύεται από ικανο ποιητικό βαθμό
προστασίας από οποιαδήποτε μη εξουσιοδοτημένη χρήση. Η αναγνώριση των διαφόρων τύπων
δεδομένων που πιθανώς θα αποθηκευτούν σε τέτοια συστήματα αποτελεί το πρώτο βήμα που γίνεται
στην κατεύθυνση της σχεδίασης ασφαλών ιατρικών πληροφοριακών συστημάτων. Συνεπώς, γίνεται
και καταγραφή του τρόπου με τον οποίο οι διάφορες κατηγορίες των μελών της ιατρικής κοινότητας
αντιμετωπίζουν τη διαβάθμιση των δεδομένων (ως περιορισμένα, εμπιστευτικά, διαθέσιμα στο κοινό)
και γενικά την υιοθέτηση μεθόδων, τεχνικών και νομοθεσιών για την παροχή ικανοποιητικών
εγγυήσεων ασφάλειας.
Ο σκοπός της κατάστρωσης μιας πολιτικής ασφάλειας για ένα ιατρικό πληροφοριακό σύστημα είναι να
αντικατοπτρίσει μια μονόπλευρη άποψη του τρόπου με τον οποίο το ίδρυμα ιατρικής περίθαλψης θα
έπρεπε να προσεγγίσει τα σχετικά θέματα και να διαχειριστή την ασφάλεια του. Αυτή η πολιτική
προσφέρει ένα οδηγό στις προσδοκίες των ανωτέρων διοικητικών συστημάτων καθώς και ένα σκελετό
για δράση και επέκταση.
Ουσιαστικά, η ασφάλεια αποτελεί, σε τελευταία ανάλυση ευθύνη της διοίκησης σε όλα τα επίπεδα.
Από τους διοικητές του κάθε επιπέδου ιεραρχίας του ιδρύματος ιατρικής περίθαλψης εξαρτάται η
εξασφάλιση της ανάλογης προσοχής και της παροχής των κατάλληλων πόρων στα θέματα ασφάλειας
κατά την ανάπτυξη και λειτουργία του πληροφοριακού του συστήματος. Για να εξασφαλίζεται ότι η
διαχείριση της ασφάλειας είναι ολοκληρωμένη σε όλο τον οργανισμό, ο κάθε συγκεκριμένος ρόλος
πρέπει να έχει στην περιοχή του πλήρη εξουσιοδότηση. Ο όρος πολιτική ασφάλειας θα μπορούσε να
περιγράφει ως εξής: “ποιος μπορεί να κάνει ποιο πράγμα, σε ποια δεδομένα, πότε και από πού”.
Λαμβάνοντας υπόψη τα ερωτήματα αυτά ο ελεγκτής θα πρέπει να μπορεί να καθορίζει:
Α. Ποιος:
όλα τα άτομα που χρησιμοποιούν δεδομένα ή προγράμματα πρέπει να είναι γνωστά και να
αναγνωρίζονται θετικά από το σύστημα ελέγχου προσπέλασης τουλάχιστον μέσω ενός συνδυασμού
ενός αριθμού χρήστη και ενός συνθηματικού. Άλλες ιδιότητες αναγνώρισης μπορούν να συνδυάσουν
κάτι που έχει κάποιος στην κατοχή του με κάτι που γνωρίζει ή κάποιο προσωπικό χαρακτηριστικό (όπως
η υπογραφή ή τα δακτυλικά αποτυπώματα).
Β. Ποιο:
Στην ενότητα αυτή γίνεται µία προσπάθεια καταγραφής των προυποθεσεων που απαιτούνται για τη
διαλειτουργικότητα των συστηµάτων ηλεκτρονικής υγείας. Ο χώρος της υγείας αποτελεί µία
κατεξοχήν περιοχή όπου θα πρέπει να αναπτυχθούν προδιαγραφές διαλειτουργικότητας για τα
πληροφοριακά συστήµατα που διαχειρίζονται δεδοµένα υγείας προκειµένου να είναι εφικτή η
εύκολη επικοινωνία και η πρόσβαση σε αυτά. Γίνονται προσπάθειες προς αυτήν την κατεύθυνση
τόσο στην Ευρώπη (DG INFSO Project i2-Health) [8] όσο και στην Β.Αµερική (HITSP) [4]. O στόχος είναι
τα δεδοµένα υγείας να είναι προσβάσιµα από τους οργανισµούς δηµόσιας υγείας, τους
επαγγελµατίες υγείας και τους ασθενείς µέσω της δράσης e- health υλοποιώντας πχ. τον ηλεκτρονικό
φάκελο υγείας, την ηλεκ/ική συνταγογράφησηκα.
Ορισμός
Ο γενικός ορισµός της διαλειτουργικότητας κατά IEEE και ISO είναι «η ικανότητα δύο ή
περισσότερων συστηµάτων να ανταλλάσσουν δεδοµένα και να επεξεργάζονται αποδοτικά την
πληροφορία που αυτά εσωκλείουν» [1].
Ένας άλλος ορισµός είναι interoperability is
the ability of information and communication technology (ICT) systems and of the business
processes they support to exchange data and to enable the sharing of information and
Knowledge
Η διαλειτουργικότητα, στη γενική της µορφή σύµφωνα µε τον οργανισµό CEN, ορίζεται ως “ η
κατάσταση που επικρατεί µεταξύ δύο µονάδων εφαρµογών, όταν στα πλαίσια εκτέλεσης µιας
συγκεκριµένης εργασίας ή διαδικασίας- αυτές µπορούν να αποστέλλουν η µια στην άλλη δεδοµένα
και να τα επεξεργάζονται, ώστε να εκτελούν την εργασία ή διαδικασία κατάλληλα και σε
ικανοποιητικό επίπεδο, χωρίς να είναι απαραίτητη η µεσολάβηση κάποιου διαχειριστή”
Η διαλειτουργικότητα µπορεί να χωριστεί σε οργανωτική, σηµασιολογική και τεχνική. Η
οργανωτική αφορά το πώς µπορεί να αναπτυχθεί η διαλειτουργικότητα σε οργανωτικό επίπεδο, η
σηµασιολογική αφορά την κοινή γλώσσα που πρέπει να ορισθεί και η τεχνική αφορά τις τεχνικές
πολιτικές και προδιαγραφές που πρέπει να ικανοποιούνται για την οµαλή µεταφορά των
δεδοµένων ανάµεσα στα διάφορα πληροφοριακά συστήµατα.
Οργανωτική διαλειτουργικότητα
Η οργανωτική διαλειτουργικότητα αφορά «τον καθορισµό στόχων, τη διαµόρφωση διαδικασιών
και την επίτευξη συνεργασίας των φορέων που επιδιώκουν ανταλλαγή πληροφοριών και ίσως
έχουν διαφορετικές εσωτερικές δοµές και διαδικασίες» [14] [15]. Η οργανωτική
διαλειτουργικότητα, επίσης, αφορά «την ικανότητα προσδιορισµού των φορέων και των
οργανωτικών διαδικασιών που εµπλέκονται στην παροχή µιας συγκεκριµένης υπηρεσίας
ηλεκτρονικής διακυβέρνησης και στην επίτευξη συµφωνίας µεταξύ τους σχετικά µε τη δόµηση των
αλληλεπιδράσεών τους, δηλ. τον καθορισµό των επιχειρηµατικών διεπαφών τους». Ακόµη, έχει ως
στόχο να ικανοποιούνται οι απαιτήσεις όλων των χρηστών, προσφέροντας τούς αναγνωρίσιµες και
εύκολα προσβάσιµες υπηρεσίες, οι οποίες εστιάζουν στις ανάγκες τους.
Τεχνική διαλειτουργικότητα
Η τεχνική διαλειτουργικότητα είναι η δυνατότητα της επικοινωνίας και της ανταλλαγής
πληροφοριών µεταξύ των πληροφοριακών συστηµάτων και ορίζεται ως
«η δυνατότητα των συστηµάτων να παρέχουν δυναµική αλληλεπίδραση πληροφοριών και
ανταλλαγή στοιχείων µεταξύ των στοιχείων της διοίκησης, του ελέγχου και των επικοινωνιών για
τον προγραµµατισµό, τον συντονισµό, την ενσωµάτωση και εκτέλεση των διαδικασιών απάντησης»
[14], [15]. Τα τεχνικά συστήµατα πρέπει να είναι τόσο
ικανά ώστε να επιτρέπουν την ανταλλαγή ουσιωδών ηχητικών πληροφοριών και δεδοµένων και να
είναι ακριβή, έγκαιρα, σχετικά και λειτουργικά χρήσιµα.
Επιπλέον, η τεχνική διαλειτουργικότητα ορίζεται ως «η κατάσταση που επιτυγχάνεται
µεταξύ των ηλεκτρονικών συστηµάτων επικοινωνίας ή των στοιχείων του επικοινωνιακού-
ηλεκτρονικού εξοπλισµού, όπου οι πληροφορίες ή οι υπηρεσίες
µπορούν να ανταλλαχθούν άµεσα και επιτυχηµένα µεταξύ τους και/ή µεταξύ των χρηστών τους.
Σηµασιολογική διαλειτουργικότητα
Η σηµασιολογική διαλειτουργικότητα (semantic interoperability) ορίζεται ως «η ικανότητα της
ερµηνείας της γνώσης που εισάγεται από άλλες γλώσσες στο σηµασιολογικό επίπεδο, δηλ. να
αποδοθεί σε κάθε ένα εισαγόµενο κοµµάτι της γνώσης, η σωστή ερµηνεία ή το σύνολο από τα
πρότυπα» [14] [16].
Θέλοντας να εξετάσουµε την διαλειτουργικότητα ειδικότερα στον χώρο της υγείας θα πρέπει να
δούµε αρχικά πως κατανοείται η έννοια αυτή στα πλαίσια της ηλεκτρονικής υγείας. Στον πίνακα
παρακάτω εµφανίζονται οι ορισµοί από τους αντίστοιχους οργανισµούς και επίσηµους φορείς [7].
Στο κεφάλαιο αυτό γίνεται µία συνοπτική περιγραφή των σηµαντικότερων προτύπων που
συναντώνται στην διαλειτουργικότητα των πληροφοριακών συστηµάτων υγείας που αναφέρθηκαν
παραπάνω στο κεφ.3.
Ως πρότυπο ορίζεται µία διάταξη που έχει προκύψει οµόφωνα και έχει εγκριθεί από έναν
αναγνωρισµένο οργανισµό και η οποία παρέχει, για κοινή και επαναλαµβανόµενη χρήση, τους
κανόνες, τις κατευθυντήριες γραµµές ή τα χαρακτηριστικά για δραστηριότητες ή τα αποτελέσµατά
τους µε σκοπό την επίτευξη του µέγιστου βαθµού ευταξίας σε ένα συγκεκριµένο περιβάλλον.
[ISO/IEC Guide 2:1996]
HL7
Ο όρος HL7 χρησιµοποιείται: i) ως όνοµα για τον αντίστοιχο οργανισµό και ii) ως ένα σύνολο
προτύπων µηνυµάτων (έκδοση 2.x και έκδοση 3.x). Ο οργανισµός HL7 επικεντρώνεται στις
προδιαγραφές διεπαφής που απαιτούνται από το σύνολο των οργανισµών φροντίδας υγείας κατά
την ανταλλαγή δεδοµένων εντός ή εκτός των ορίων τους. Τo πρότυπo HL7 είναι τα πιο επιτυχηµένα
πρότυπα ανταλλαγής πληροφοριών µέσω ηλεκτρονικών µηνυµάτων στο χώρο της υγείας. Είναι ένα
πρωτόκολλο που αποτελείται από τυποποιηµένη γραµµατική και λεξιλόγιο. Το πρότυπο HL7
λειτουργεί κάτω από την παραδοχή ότι ένα γεγονός στον πραγµατικό κόσµο των συστηµάτων
φροντίδας υγείας δηµιουργεί την ανάγκη για ροή δεδοµένων
µεταξύ των διαφόρων συστηµάτων. Ένα τέτοιο γεγονός αρχικοποιείται από µία
«ενεργοποίηση», η οποία σε ένα πρότυπο HL7 είναι ίσο µε ένα «TriggerEvent» (συµβάν
ενεργοποίησης) (Eichelberg et al., 2005). Όταν ένα συµβάν εµφανίζεται σε ένα σύστηµα που είναι
συµβατό µε το πρότυπο HL7, ένα µήνυµα, που προκύπτει από τη συλλογή των σχετικών δεδοµένων
από τις εφαρµογές (Ericson, 2004), προωθείται στην αιτούσα εφαρµογή ως EDA (Electronic Data
Interchange). Το HL7 πρότυπο υποστηρίζει δύο πρωτόκολλα µηνυµάτων: Έκδοση 2 και Έκδοση 3. [1]
HL7 Version2
Η πιο διαδεδοµένη έκδοση του πρωτοκόλλου HL7, η Έκδοση 2, περιορίζεται στην ανταλλαγή
µηνυµάτων µεταξύ ιατρικών πληροφοριακών συστηµάτων. ∆εν αναπτύχθηκε µε κάποια
µεθοδολογία η οποία θα εξασφάλιζε ότι όλα τα τµήµατα του προτύπου θα αναπτύσσονταν µε
συνέπεια και, για το λόγο αυτό, δεν υποστηρίζει µε
µεγάλη επιτυχία τη διαλειτουργικότητα µεταξύ των εφαρµογών φροντίδας υγείας. Επιπλέον,
παρατηρείται η έλλειψη µίας σαφώς καθορισµένης δοµής του µοντέλου πληροφοριών, καθώς και
το γεγονός ότι οι ορισµοί για πολλά πεδία δεδοµένων είναι αόριστοι και υπερφορτωµένοι µε
προαιρετικά πεδία (Eichelberg et el, 2005). Ωστόσο, αυτή η έλλειψη ενός λεπτοµερούς µοντέλου
πληροφοριών επιτρέπει µεγαλύτερη ευελιξία, η οποία προκαλεί άµεσα το πρόβληµα της
διαλειτουργικότητας. Ως εκ τούτου, οι εφαρµογές που συµµετέχουν στην επικοινωνία µε µηνύµατα
της έκδοσης 2 του προτύπου HL7 θα πρέπει να έχουν προσάψει αµοιβαίες συµφωνίες ώστε να
επιτευχθεί η διαλειτουργικότητα τους.
HL7 Version3
Η Έκδοση 3 αποτελεί µια βελτίωση της προηγούµενης Έκδοσης 2 και εστιάζει περισσότερο σε
συγκεκριµένα πλαίσια, σε ορολογία, σε µοντέλα, εννοιολογικούς ορισµούς και σχέσεις. Το µοντέλο
πληροφοριών, που ονοµάζεται Μοντέλο Πληροφοριών Αναφοράς (Reference Information Model -
RIM), είναι αντικειµενοστραφές και η πρόταση για την Αρχιτεκτονική Κλινικού Εγγράφου (Clinical
Document Architecture - CDA) για την ανταλλαγή κλινικών εγγράφων σε συστήµατα φροντίδας
υγείας χρησιµοποιεί την XML (Extensible Markup Language) για την κωδικοποίηση των εγγράφων
(HL7 2.5, 2000 ) (InterfaceWare). Έτσι, η Αρχιτεκτονική Κλινικού Εγγράφου ορίζει τη δοµή και τη
σηµασιολογία των ιατρικών εγγράφων που πρέπει να ανταλλάσσονται και τα έγγραφα
χρησιµοποιούν τύπους δεδοµένων που καθορίζονται στο HL7 Μοντέλο Πληροφοριών Αναφοράς.
HL7 CDA
Η Αρχιτεκτονική Κλινικού Εγγράφου αποτελείται από 3 επίπεδα (HL7 CDA). Κάθε ένα από αυτά
χρησιµοποιεί «σηµάνσεις» του προηγούµενου επιπέδου και προσθέτει περισσότερες µέχρι να
συνθέσει ένα κλινικό έγγραφο. Εντούτοις, αυτό δεν αλλάζει το κλινικό περιεχόµενο του εγγράφου
(HL7 CDA Release 1.0, 2000) (HL7 Πρότυπα). Το Επίπεδο1 αποτελείται από µία Κωδικοποιηµένη
Κεφαλίδα και ένα Σώµα. Η Κωδικοποιηµένη Κεφαλίδα καθορίζει τη σηµασιολογία της κάθε
καταχώρησης στο έγγραφο. Το Σώµα περιέχει κλινικά δεδοµένα σε µια µη δοµηµένη µορφή
δοκιµής ή µπορεί να αποτελείται από ένθετα στοιχεία όπως λίστες, παράγραφοι και πίνακες. Το
Επίπεδο2 µοντελοποιεί οδηγίες και παρατηρήσεις, καθιστώντας έτσι δυνατό τον περιορισµό της
δοµής και του περιεχοµένου του εγγράφου µέσω προτύπων. Αυτό αυξάνει τη διαλειτουργικότητα
µε τη χρήση συµφωνηµένων προτύπων µεταξύ ετερογενών συστηµάτων φροντίδας υγείας. Το
Επίπεδο 3 παρέχει πλήρως δοµηµένα έγγραφα, όπου κάθε στοιχείο του εγγράφου είναι κατάλληλα
κωδικοποιηµένο για µηχανική επεξεργασία.
DICOM
Το DICOM (Digital Imaging and Communications in Medicine) είναι το «de facto» πρότυπο για τη
µεταφορά ιατρικών ψηφιακών εικόνων. Χρησιµοποιεί δυαδική κωδικοποίηση µε ιεραρχικές λίστες
στοιχείων δεδοµένων, που προσδιορίζονται από αριθµητικές ετικέτες, και ένα συγκεκριµένο DICOM
πρωτόκολλο δικτύου επιπέδου εφαρµογής (DICOM, 2007). Υπάρχουν δύο είδη προτύπων DICOM
διαθέσιµα:
1. Το WADO (Web Access DICOM Persistent Objects) – ∆ιαδικτυακής πρόσβασης DICOM Μονίµων
Αντικειµένων και
2. το DICOM Structured Reporting – DICOM ∆ιαρθρωµένων Αναφορών. Το WADO είναι ένα
πρότυπο συνεργασίας µεταξύ DICOM (DICOM Συµπλήρωµα 85 το 2004) και ISO (ISO 17432
2004). Το πρότυπο αυτό δηµιουργήθηκε για να επιτρέψει τη χρήση διεθνών προτύπων για την
Το WADO ορίζει µία βασισµένη στον παγκόσµιο ιστό υπηρεσία που µπορεί να χρησιµοποιηθεί για
την ανάκτηση µόνιµων αντικειµένων µέσω HTTP ή HTTPS από έναν διακοµιστή του παγκόσµιου
ιστού (Web server). Ο πελάτης (Web client) πρέπει να προσδιορίσει το αντικείµενο DICOM που
πρέπει να ανακτηθεί. Αυτό θα γίνει µέσα από µοναδικά αναγνωριστικά που είναι διαθέσιµα στο
επίπεδο στιγµιότυπων του µοντέλου πληροφοριών DICOM. Ο πελάτης µπορεί, επίσης, να ζητήσει να
αποσταλεί µέσω του διακοµιστή ένας συγκεκριµένος τύπος δεδοµένων. Ο διακοµιστής θα
µετατρέψει το υπάρχον αντικείµενο DICOM, που πρέπει να αποσταλεί, σε µία εύκολα
παρουσιάσιµη µορφή, ενώ το αντικείµενο DICOM µπορεί, επίσης, να καθοριστεί ως ανώνυµο
πριν από την αποστολή. Αυτό είναι ένα πολύχρήσιµο χαρακτηριστικό για διδακτικούς σκοπούς
και κλινικές µελέτες. Το WADO δεν υποστηρίζει µηχανισµούς ερωτηµάτων.
Ένας WADO διακοµιστής θα επιστρέψει ένα ∆οµηµένο Έγγραφο Αναφοράς DICOM στον πελάτη σε
µορφή HTML, εάν ζητηθεί. Αν όχι, η µορφή του εγγράφου θα εξαρτάται από την τρέχουσα
υλοποίηση του διακοµιστή. Το WADO χρησιµοποιεί µια απλή προσέγγιση για την πρόσβαση σε
συγκεκριµένα αντικείµενα DICOM χωρίς να απαιτείται ο πελάτης να είναι συµβατός µε το DICOM.
Είναι πολύ εύκολο να αναπτυχθούν εφαρµογές που υποστηρίζουν το WADO, δεδοµένου ότι
µπορούν να υλοποιηθούν µε τη χρήση άµεσα διαθέσιµων τεχνολογιών, όπως τα προγράµµατα
περιήγησης στον παγκόσµιο ιστό, οι διακοµιστές και οι προβολείς DICOM (Eichelberg et el, 2005). Το
DICOM ∆ιαρθρωµένων Αναφορών είναι ένα γενικό
µοντέλο για την κωδικοποίηση ιατρικών εκθέσεων µε δοµηµένο τρόπο. Αυτό επιτυγχάνεται µε τη
χρήση ετικετών µε βάση το πρότυπο DICOM και επιτρέπεται στις τρέχουσες υπηρεσίες δικτύου
υποδοµών DICOM που θα χρησιµοποιηθούν, να αρχειοθετήσουν, να ανταλλάξουν, και να
αυθεντικοποιήσουν ψηφιακά δοµηµένες αναφορές, χωρίς να κάνουν σηµαντικές αλλαγές στο
υπάρχον σύστηµα. Για τη βελτίωση της διαλειτουργικότητας στην πράξη, το DICOM ∆ιαρθρωµένες
Αναφορών καθορίζει µια δοµή εγγράφου µαζί µε τους ορισµούς της κλάσης (κατηγορίας) του και
τους περιορισµούς για τις διάφορες ιατρικές εφαρµογές. Ορίζει πρότυπα που πρέπει να
χρησιµοποιηθούν για το σκοπό αυτό και η συλλογή των τυποποιηµένα προτύπων, των οµάδων
περιεχοµένου και των κωδικοποιήσεων καλείται DICOM Χαρτογράφησης Περιεχοµένου Πόρων
(Content Resource Mapping).
XML
H XML ((Extensible Markup Language, www.w3.org), επιτρέπει την ανταλλαγή εγγραφών µεταξύ
διαφορετικών ανοµοιογενών συστηµάτων. Στην ουσία η XML είναι ένας τρόπος περιγραφής της
δοµής ενός εγγράφου. Έτσι, το κάθε σύστηµα τοπικά µπορεί να αναπαριστά την πληροφορία µε τη
δική του δοµή, δίνοντας έναν Ορισµό Τύπου Εγγράφου (DTD ή XSD). Τεχνικά, είναι εφικτό να
ανταλλαγούν δεδοµένα µεταξύ διαφορετικών συστηµάτων µέσω της χρήσης ειδικών
«µετατροπέων» (DTD conversion). [3]
IHE
Το Τεχνικό Πλαίσιο Υποδοµής IHE (Integrating the Healthcare Enterprise) καθορίζει συγκεκριµένες
εφαρµογές των καθιερωµένων προτύπων για να επιτύχει τους στόχους ολοκλήρωσης που
προωθούν την κατάλληλη διάδοση των πληροφοριών υγείας για την υποστήριξη της βέλτιστης
φροντίδας του ασθενή. Τα Σχεδιαγράµµατα Ολοκλήρωσης IHE προσφέρουν µια κοινή γλώσσα που
οι επαγγελµατίες υγείας και οι προµηθευτές µπορούν να χρησιµοποιήσουν στην επικοινωνία τους
για την ολοκλήρωση των απαιτήσεων και των προδιαγραφών των προϊόντων.
IETF
To Internet Engineering Task Force (IETF) περιγράφει πώς πρέπει να χρησιµοποιηθεί το πρωτόκολλο
TLS για να εξασφαλιστούν οι συνδέσεις HTTP µέσω του ∆ιαδικτύου. Η τρέχουσα πρακτική είναι να
γίνει η εφαρµογή στο επίπεδο του HTTP πάνω από το SSL (ο προκάτοχος του TLS), διαχωρίζοντας
την ασφαλή κυκλοφορία από την επισφαλή µε την χρήση µιας διαφορετικής θύρας διακοµιστή
OASIS
Ο Οργανισµός για την Προώθηση των Προτύπων ∆οµηµένων Πληροφοριών (Organization for the
Advancement of Structured Information Standards-OASIS) ανέπτυξε την Εκτεταµένη Γλώσσα
Σήµανσης Ελέγχου Προσπέλασης (eXtensible Access Control Markup Language-XACML) ως µία
γλώσσα για την έκφραση και την αξιολόγηση των αποφάσεων. Ο OASIS είναι ένας Mη
κερδοσκοπικός διεθνής οργανισµός που καθοδηγεί την εξέλιξη, την σύγκλιση και την υιοθέτηση
προτύπων για το ηλεκτρονικό εµπόριο.
ISO - IT
To ISO – IT (International Organization for Standardization in Health informatics) διευκρινίζει ένα
γενικό πλαίσιο για την παροχή ελέγχου προσπέλασης. Ο σκοπός του ελέγχου προσπέλασης είναι να
αντιµετωπιστεί η απειλή των αναρµόδιων διαδικασιών που αφορούν σε ένα σύστηµα υπολογιστών ή
επικοινωνιών.
Συγκεντρωτικός πίνακας