Πολυεπίπεδο σχεσιακό μοντέλο εκτίμησης κινδύνου για την ασφαλή διεξαγωγή έργων ηλεκτρονικής διακυβέρνησης

Abstract

Σε αυτή τη διατριβή προτείνεται μια πρωτότυπη μεθοδολογία Αξιολόγησης Διακινδύνευσης (ΑΔ) και ένα αντίστοιχο εργαλείο εφαρμογής, τα οποία απευθύνονται ειδικά σε έργα Ηλεκτρονικής Διακυβέρνησης (ΗΔ), παρέχοντας ωστόσο τη δυνατότητα προσαρμογής και εφαρμογής και σε άλλους τομείς ΑΔ. Η μεθοδολογία φιλοδοξεί να διαφέρει από τις συμβατικές, στο πεδίο εφαρμογής της, στον τρόπο που εφαρμόζεται, στον τρόπο που εξάγει τα αποτελέσματα και στις μεθόδους που προτείνει για τη μείωση της επικινδυνότητας των έργων και συστημάτων στα οποία εφαρμόζεται. Περιγράφεται το περιβάλλον που αναπτύχθηκε, καθώς και τα κίνητρα και η εμπειρία που ώθησαν στην ανάπτυξή της. Γίνεται αναλυτική περιγραφή της μεθοδολογίας και του αλγόριθμου εφαρμογής της, όπως και του τρόπου εξαγωγής των αποτελεσμάτων. Το εργαλείο εφαρμογής περιλαμβάνει εκτενή βιβλιοθήκη επιπέδων, περιοχών και διαστάσεων κινδύνου, καθώς και αντιμέτρων και κρισίμων παραγόντων επιτυχίας. Παρέχονται τρόποι υπολογισμού των πιθανοτήτων και των επιπτώσεων των κινδύνων, του κόστους των αντιμέτρων και της εκτίμησης κάλυψης αυτών, καθώς και σειρά δεικτών που χρησιμοποιούνται για την εξαγωγή συμπερασμάτων διακινδύνευσης, συνολικής κάλυψης κινδύνου, περιθωρίου κάλυψης και κόστους αντιμέτρων. Η μεθοδολογία περιλαμβάνει πρόβλεψη για αλληλεξαρτήσεις κινδύνων και έργων με χρήση Bayesian Belief Networks και τρισδιάστατες μήτρες. Για να δειχθεί ο τρόπος χρήσης της και η χρησιμότητα των αποτελεσμάτων που εξάγει, εφαρμόζεται σε δύο έργα υποδομής δημοσίου κλειδιού (ΥΔΚ), ένα που έχει υλοποιηθεί και ένα που έχει προταθεί για υλοποίηση. Το κίνητρο για την ανάπτυξη της προτεινόμενης μεθοδολογίας εκπήγασε από μακρόχρονη εμπειρία και παρατήρηση στο πεδίο της ΑΔ, της ΗΔ και των έργων στον ευρύτερο δημόσιο τομέα. Σε αυτό το πεδίο, η έλλειψη διάδρασης μεταξύ των τεχνικών μεθοδολογιών (όπως και των τεχνικών εμπειρογνωμόνων και ερευνητών) και πλαισίων/προτύπων Διοίκησης Τεχνολογίας Πληροφορίας (ΔΤΠ) (και διευθυντικών/διοικητικών στελεχών), είναι συνήθης, ιδιαίτερα σε έργα όπου συμμετέχουν και αλληλεπιδρούν δημόσιοι οργανισμοί, ο ιδιωτικός τομέας και το ευρύτερο κοινό. Από την άλλη πλευρά, η υιοθέτηση και υλοποίηση προτύπων ασφάλειας και διαδικασιών και πλαισίων ΗΔ πολλές φορές μένει στα χαρτιά και εν τέλει σπάνια βοηθά πραγματικά στην επιτυχή ολοκλήρωση των έργων. Επιπλέον, μεγάλος αριθμός σημαντικών έργων/συστημάτων αποτυγχάνουν στους στόχους τους και τη λειτουργία τους, όχι τόσο λόγο βασικών κοινωνικών εμποδίων (κάτι που επίσης συμβαίνει συχνά, παρότι στοιχειώδες), όσο λόγω βασικών ελλείψεων και εμποδίων στο άμεσο περιβάλλον υλοποίησής τους. Υπό αυτές τις συνθήκες παρουσιάζεται σημαντικός αριθμός προβληματικών σημείων, τόσο στις φάσεις ανάπτυξης και εφαρμογής, όσο και στην παραγωγική λειτουργία και στην τελική υιοθέτηση των νέων υπηρεσιών από τους στοχευόμενους χρήστες, με αποτέλεσμα την υποβάθμιση της σημαντικότητας, της εμπιστοσύνης και της αποδοχής των αποτελεσμάτων και των υποδείξεων της ΑΔ (τα οποία είναι ούτως ή άλλως περιορισμένου πεδίου λόγω των μη ειδικευμένων εργαλείων) και τελικά και του ίδιου του έργου στο σύνολό του. Η μεθοδολογία ΑΔ που μοντελοποιείται και αναπτύσσεται σε αυτή τη διατριβή μπορεί να θεωρηθεί ως μια προέκταση υπαρχουσών τεχνικών εκτίμησης κινδύνου τεχνολογικών έργων και συστημάτων, προσβλέποντας στο: α) να αποτελέσει μια γρήγορη, εύκολη και αποτελεσματική μεθοδολογία και εργαλείο, ειδικευμένα στο πεδίο τους, β) να ανταποκριθεί καλύτερα στους στόχους ασφάλειας και προστασίας προσωπικών δεδομένων σε έργα ΗΔ, παρέχοντας καλύτερη υποστήριξη στη μορφοποίηση και επιτέλεση αποφάσεων σχετικών με την ασφάλεια, γ) να παρέχει μια σύνδεση ανάμεσα σε τεχνολογικές μεθοδολογίες ΑΔ και πλαίσια ΔΤΠ, δ) να αυξήσει την εξοικείωση σε θέματα ασφάλειας και προστασίας του απορρήτου, προωθώντας την ενεργό συμμετοχή μεγάλης γκάμας μη τεχνικού προσωπικού, ε) να ενισχύσει την υλοποίηση βασικών πολιτικών ασφάλειας και προστασίας του απορρήτου, στ) να ενσωματώσει μακρόχρονη και πολυποίκιλη εμπειρία και έρευνα στις δομές και τις διαδικασίες εκτέλεσης έργων στη δημόσια διοίκηση, έτσι ώστε να αποτελέσει ένα αποτελεσματικό αρωγό για την επιτυχία των έργων και ζ) να διαθέτει λογική και διεργασίες που να μπορούν, με κατάλληλες αλλαγές να εφαρμοστούν και σε άλλους τομείς ΑΔ. Σε εκ των υστέρων εφαρμογή της μεθοδολογίας σε έργα ΗΔ, βρέθηκε ότι καλύπτει ικανοποιητικά τους συνήθεις κινδύνους για την επιτυχή υλοποίηση και αποδοχή των έργων και ότι βοηθά στον αυτοέλεγχο της αξιολόγησης και στην επίγνωση των σημαντικών παραγόντων. Οι δύο εφαρμογές της μεθοδολογίας που παρουσιάζονται αφορούν ΥΔΚ, έργα που αποτελούν συνήθεις περιπτώσεις αποτυχίας όταν εφαρμόζονται σε μεγάλη κλίμακα, σε ιδιωτικό ή εθνικό επίπεδο, εντός και εκτός Ελλάδος. Και οι λόγοι της αποτυχίας τους (η οποία συνίσταται τυπικά σε αποτυχία διείσδυσης στο στοχευόμενο κοινό), είναι επίσης χαρακτηριστικές περιπτώσεις πραγμάτωσης των κινδύνων που αξιολογεί η προτεινόμενη μεθοδολογία. Το ένα είναι η ΥΔΚ-ΣΥΖΕΥΞΙΣ, ένα έργο που μελετήθηκε και υλοποιήθηκε υποδειγματικά, για να μην επιτύχει όμως τελικά τους στόχους που φιλοδοξούσε σε πλάτος χώρου και βάθος χρόνου. Το έργο αυτό αποτέλεσε ένα από τα κίνητρα που οδήγησαν στην ανάπτυξη της προτεινόμενης μεθοδολογίας. Το δεύτερο έργο είναι μια πρωτότυπη ΥΔΚ που προστατεύει το απόρρητο προσωπικών πληροφοριών (ιδιοαπόρρητο) και την ελευθερία βούλησης των χρηστών της. Η αρχική επιδίωξη ήταν να αποτελέσει μια παραδειγματική περίπτωση εφαρμογής της προτεινόμενης μεθοδολογίας, διαθέτοντας όλα τα «επικίνδυνα» χαρακτηριστικά που πραγματεύεται η προτεινόμενη μεθοδολογία. Ο πρωτότυπος όμως τρόπος αντιμετώπισης της προστασίας του ιδιοαπόρρητου που εισάγει, οδήγησε σε τελικά μια υποδειγματική καθεαυτό ΥΔΚ, η οποία προτάθηκε για δημοσίευση. Τα αποτελέσματα των δύο εφαρμογών ήταν σημαντικά για την αξιολόγηση της χρησιμότητας και της αποτελεσματικότητας της προτεινόμενης μεθοδολογίας. Συνοψίζοντας, μπορούν να εξαχθούν τα ακόλουθα συμπεράσματα γι’ αυτήν: α) Επιτυγχάνει τους κύριους στόχους της που είναι να οδηγήσει τους αξιολογητές σε μια συστηματική μέθοδο αξιολόγησης, να καταδείξει σημαντικούς κινδύνους που θα πρέπει να λάβουν υπόψη τους, να προτείνει αποτελεσματικά αντίμετρα προς υιοθέτηση και να εξάγει χρήσιμα αποτελέσματα εκτίμησης κινδύνου. β) Αποτελεί ένα συνεκτικό εργαλείο χωρίς κενά και υποβοηθά τους αξιολογητές με σημαντικό υλικό για την ολοκλήρωση μιας χρήσιμης και αποτελεσματικής αξιολόγησης. γ) Αποτελεί μια ευέλικτη μεθοδολογία που μπορεί να προσαρμοστεί σύμφωνα με την κρίση των αξιολογητών με προσθαφαίρεση στοιχείων, παραγόντων και δεδομένων σε όλα της τα δομοστοιχεία (κίνδυνοι και επίπεδα κινδύνων, ΚΠΕ, αντίμετρα, εκτίμηση επίπτωσης, παραγόντων πρόκλησης, αποτελεσμάτων πραγμάτωσης, τρωτοτήτων, ενδεχομένων αντίστροφης πραγμάτωσης). Με αλλαγή στους κίνδυνους, στους ΚΠΕ και τα αντίμετρα μπορεί να εφαρμοστεί ακόμα και σε άλλα πεδία ΑΔ. δ) Με προσοχή στην εξαγωγή συμπερασμάτων μπορούν να αξιολογηθούν ακόμα και μεμονωμένα επίπεδα διακινδύνευσης του υπό εξέταση έργου/συστήματος. ε) Όπως όλες οι μεθοδολογίες ΑΔ, εξαρτάται σε σημαντικό βαθμό από την ικανότητα των αξιολογητών που την εφαρμόζουν, ώστε να παράγει χρήσιμα αποτελέσματα με νόημα. στ) Όπως όλες οι μεθοδολογίες ΑΔ, απαιτεί σημαντική προσπάθεια και χρόνο για την αναλυτική εφαρμογή της. Αυτό μπορεί να μειωθεί σε αρκετό βαθμό αν γίνει προσεγγιστική ή/και κατ’ εκτίμηση τοποθέτηση των πιθανοτήτων πραγμάτωσης των κινδύνων, των επιπτώσεών τους και της κάλυψης των αντιμέτρων (για όλα ή για κάποια από αυτά) και όχι ο αναλυτικός υπολογισμός που περιγράφεται. Και πάλι, αυτό εξαρτάται από την κρίση, την εμπειρία και ικανότητα των αξιολογητών που την εφαρμόζουν. Επομένως, η προτεινόμενη μεθοδολογία ΑΔ μπορεί να αποτελέσει αποτελεσματικό αρωγό για την επιτυχία των έργων, με το μοναδικό μειονέκτημα, λόγω της (προς το παρόν) μη υλοποίησης της σε λογισμικό, μιας σχετικά χρονοβόρας διαδικασίας εφαρμογής. Η καινοτομία της προσέγγισής της βρίσκεται: α) Στην ενσωμάτωση μεγάλου αριθμού μη συμβατικών και μη τεχνικών παραγόντων κινδύνου, αλλά σχετικών με την ΗΔ και συχνά εμφανιζόμενων, από περιοχές όπως η κοινωνία, οι τελικοί χρήστες, η δημόσια διοίκηση, οι πολιτική, το νομικό και κανονιστικό πλαίσιο, ακόμα και η ψυχολογία, σε μια εύκολη στη χρήση επαναληπτική διαδικασία ΑΔ. β) Στην εξαγωγή αποτελεσμάτων με χρήση πρακτικών, δεκτικών σε συγκριτικές διαδικασίες και περιληπτικών δεικτών διακινδύνευσης. γ) Στη διαφορετική προσέγγισή της στην ΑΔ συστημάτων και έργων ΗΔ. Ακολουθώντας διαφορετική φιλοσοφία από τις συμβατικές τεχνικές μεθοδολογίες και εργαλεία (τα οποία προσανατολίζονται περισσότερο προς τις τεχνικές λεπτομέρειες), ενσωματώνει ειδικότερα περιοχές διακινδύνευσης ιδιαίτερα σημαντικές στο πεδίο των έργων ΗΔ, οι οποίες αποτελούν πιο συνήθεις λόγους αποτυχίας των. Αποτελεί έτσι μια διεπαφή ανάμεσα στην ευρύτερη τεχνοκρατική διοικητική φιλοσοφία των COBIT, ISO/IEC 27002 και ITIL και των τεχνικών μεθοδολογιών ΑΔ, προσθέτοντας και αναδεικνύοντας νέες διαστάσεις, στις οποίες πρέπει να κατευθυνθεί η προσοχή προσώπων-κλειδιά έργων ΗΔ, έτσι ώστε να κινήσουν τις αντίστοιχες δράσεις και να λάβουν τα απαραίτητα μέτρα. δ) Στην προαγωγή του αυτοέλεγχου και της αυτοαξιολόγησης της διαδικασίας ΑΔ, πέρα από τα όρια των τεχνικών εργαλείων και εντός της περιοχής των πλαισίων ΔΤΠ και των αποτελεσματικών πρακτικών ΗΔ. ε) Στη μεγάλη ευελιξία. Οι αξιολογητές μπορούν να επιλέξουν (και να προσθαφαιρέσουν) από τα στοιχεία που παρέχει η μέθοδος αυτά που επιθυμούν, χωρίς να επηρεάζεται η δυνατότητά της να εξάγει αποτελέσματα. Ασφαλώς, όσο πιο πλήρη είναι τα στοιχεία που θα επιλεγούν, όσο καλύτερα καλύπτουν την περίπτωση εφαρμογής, τόσο πιο αξιόπιστα θα είναι τα αποτελέσματα. Ωστόσο οι αξιολογητές μπορούν να επιλέξουν τους κινδύνους που θα αξιολογήσουν, τα αποτελέσματά τους σε περίπτωση πραγμάτωσης, τους παράγοντες που μπορεί να τους προκαλέσουν, τις τρωτότητες του έργου που μπορεί να αποτελέσουν σημεία τρώσης και από αυτές την κάλυψη των αντιμέτρων. Η προτεινόμενη μεθοδολογία επομένως διαθέτει την ευελιξία για να εφαρμοστεί σαν σχεδιότυπο ουσιαστικά σε οποιοδήποτε είδος συστήματος, σε οποιοδήποτε τομέα ΑΔ. Οι παράγοντες που επηρεάζουν την επιτυχή εφαρμογή και την εξαγωγή ορθών αποτελεσμάτων της ίδιας της μεθοδολογίας συνίστανται: α) Στην επιλογή όλων των σημαντικών για το έργο κινδύνων, ακόμα και πέρα, αν απαιτείται, από αυτούς που προτείνονται, σύμφωνα με την κρίση των αξιολογητών. β) Στη συμπερίληψη των απαραίτητων για τους σκοπούς του έργου κρίσιμων παραγόντων επιτυχίας (ΚΠΕ), και γ) Στην επιλογή αποτελεσματικών, εφικτών και οικονομικά αποδοτικών αντιμέτρων που δεν αποβαίνουν σε βάρος της λειτουργικότητας και της φιλικότητας του συστήματος. Η κύρια αδυναμία της μεθοδολογίας, στην τρέχουσα μορφή της, είναι ότι η απόδοση και η αποτελεσματικότητά της εξαρτάται από την αποφασιστικότητα, τη διορατικότητα και την εμπειρία των επαγγελματιών που θα το χρησιμοποιήσουν (κάτι που ισχύει όμως ούτως ή άλλως για όλες τις μεθοδολογίες και εργαλεία ΑΔ), μαζί με άλλα περισσότερο καθιερωμένα εργαλεία. Αυτό διότι, αν και αποτελεί ένα ολοκληρωμένο εργαλείο με πλήρεις βιβλιοθήκες στοιχείων, δεν είναι στην τρέχουσα μορφή του υλοποιημένο σε λογισμικό, έτσι ώστε πλήρως αυτόνομα να μπορεί να εξασφαλίσει λεπτομερή προσέγγιση της ασφάλειας, συστηματική αξιολόγηση των υποστοιχείων των έργων και ολοκληρωμένη τεκμηρίωση των πολιτικών και των μέτρων που πρέπει να εφαρμοστούν. Η ανάπτυξη της μεθοδολογίας σε λογισμικό, με βάση γνώσης για τους κινδύνους, τους ΚΠΕ και τα αντίμετρα, έτοιμα εργαλεία κατασκευής γράφων αλληλεξαρτήσεων, υπολογισμού των πιθανοτήτων και αναφορών, καθώς και διεπαφές με εμπορικά συστήματα ΑΔ θα αποτελέσει αντικείμενο περαιτέρω εξέλιξης με σκοπό την εμπορική εκμετάλλευση. Ως αντικείμενο περαιτέρω έρευνας προτείνεται η διαμόρφωση της μεθοδολογίας σε σχεδιότυπο για εφαρμογή σε άλλα πεδία εφαρμογής ΑΔ. Προσαρμόζοντας τις περιοχές κινδύνου, τους ΚΠΕ και τα αντίμετρα, ο αλγόριθμος και οι δείκτες της μεθοδολογίας μπορούν να εφαρμοστούν κατάλληλα, ώστε να αποτελέσουν χρήσιμο εργαλείο και σε άλλους τομείς, τεχνολογικούς και μη, όπως βιολογικά συστήματα, οικοσυστήματα, κοινωνικές δομές κ.ά.

In this dissertation we propose a novel risk assessment (RA) methodology and a corresponding implementation tool, which are directed specifically towards electronic governance (EG) initiatives, while providing the possibility of adaptation and implementation in other RA scopes. The methodology aspires to differ from the conventional ones, in its field of implementation, on the way it is applied, on the way it forms its results and in the methods it proposes to mitigate risk on the projects and systems it is implemented. We describe its background and the motives and experiences that led us to develop it. We analyze the methodology and its implementation procedure, as well as the way results are extracted. The implementation tool incorporates a broad library of levels, areas and dimensions of risk, as well as countermeasures and critical success factors. We provide ways of calculating the probabilities and the impact of the risks, the cost of the countermeasures and their coverage of risk, as well as a series of indices used to express inferences about risk, total coverage, margin of coverage and countermeasure cost. The methodology provisions for risk and project dependencies, employing Bayesian Belief Networks and three dimensional matrices. In order to demonstrate its usage and the usefulness of its results, it is implemented in two public key infrastructure (PKI) projects, one that has already been implemented and one that is proposed for implementation. The proposed methodology aspires to: a) Be a quick, easy and effective RA methodology and tool, specialized in its field, b) To better target the security and privacy goals in e-government projects, since a contextualized tool promotes improved formulation and facilitation of accurate security-related decisions, c) To form a connection between technical ICT RA methodologies and Information Technology Governance (ITG) frameworks, d) To increase security and privacy awareness by promoting the active involvement of a larger variety of non-technical personnel, e) To facilitate the application of baseline security and privacy policies, f) To integrate long term and diverse experience and research in public administration project structures and procedures, so as to be an effective aid in project success and g) To have logic and processes that can be adapted and implemented to other RA fields. The novelty of its approach lies in: a) Its integration of a large number of unconventional, non-technical, but common EG-related risk factors, from areas such as the society, the end-users, the public administration personnel, politics, legal and regulatory frameworks, even psychology, in an easy to use iterative RA process. b) The expression of its results using practical, comparison-friendly and succinct risk indices. c) Its diverse approach to EG systems and projects RA. Following a dissimilar philosophy than conventional RA methodologies and tools (which focus mainly on technical issues and processes), it specifically incorporates areas of risk particularly important in EG, which constitute the most common causes for failure. It attempts to provide an interface between the broader managerial philosophy of COBIT, ISO/IEC 27002 and ITIL and the technical methodologies, by adding and integrating dimensions, upon which the attention of key EG stakeholders can be drawn and respective actions or measures can be undertaken. d) Its promotion of self-check and self-evaluation of the RA process, beyond the limits of technical tools and into the realm of information technology governance (ITG) frameworks and effective EG practices. e) In its great flexibility. The evaluators can choose (and add/subtract) from the elements provided those that they wish, without inhibiting the methodology’s ability to extract results. Naturally, the more comprehensive they are and the better they cover the case study, the more trustworthy the results are. However, the evaluators can choose the risks they evaluate, the results in case of their fulfillment, the factors that may cause them, the vulnerabilities that may be affected by them and the coverage of the countermeasures. As a result, the proposed methodology possesses the flexibility to be used as a template in virtually any kind of system, in any area of RA. The critical success factors (CSFs) of the methodology itself and its ability to extract useful results are: a) The inclusion in the evaluation of the all the important for the project risk factors, even beyond, if necessary, the ones proposed in the methodology, according to the judgment of the evaluators. b) The inclusion of all the essential, for the purposes of the project, CSFs and c) The selection of effectual, attainable and cost-effective countermeasures that do not operate against the functionality and friendliness of the system. The main weakness of the methodology, in its current form, is that its performance and effectiveness rests upon the determination, insight and experience of the professionals who will use it (which is true for all RA methodologies and tools anyway), complementary to other more established toolkits. This because, while it comprises a complete tool with a rich library of data, it is not currently implemented in software, so as to autonomously guide and assist in a systematic evaluation, determine a detailed security approach for assets needing protection and suggest the security policies to apply. As further development, we intent to implement the methodology as a software toolkit, with a knowledge base for the risks, CSFs and countermeasures, tools for dependency graph construction, probabilities calculation and reports, as well as an interface with other well-known toolkits. As a subject of further research, we suggest the formation of the methodology into a template, for application in other areas of RA. Adjusting the risk areas, the CSFs and the countermeasures, the application algorithm and the risk indices can be fitted appropriately, so as to consist a useful tool in other fields, technological and non-technological, such as biological systems, ecosystems, social structures etc.