Το έγκυρο περιοδικό ουσιαστικά υπογραμμίζει τη σημασία της ψηφιακής συνέχειας για κάθε κράτος, το οποίο θέλει να παρέχει κανονικά τις υπηρεσίες του και κάνοντας κανονικά π.χ. τις πληρωμές της, ακόμη και αν δεχθεί επιθέσεις στον κυβερνοχώρο.» Τα διδάγματα θα ήταν χρήσιμα για οποιονδήποτε οργανισμό αντιμετωπίζει το ενδεχόμενο να χρειαστεί να ανακάμψει από μια καταστροφή» τονίζει το περιοδικό.
Το άρθρο
Το να εξαφανίσει κανείς μια χώρα από τον χάρτη είναι ένα θέμα. Το να εξαφανίσει τα δεδομένα της είναι ένα άλλο. Η Εσθονία ξέρει καλά τι σημαίνει το πρώτο σενάριο και είναι αποφασισμένη να αποφύγει το δεύτερο. Γι’ αυτό, ακριβώς όπως οι απλοί χρήστες Η/Υ δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους για να προλάβουν ενδεχόμενα βλάβης ή κλοπής, η Εσθονία κάνει το δικό της backup για τα δεδομένα ολόκληρης της χώρας, σε περίπτωση που δεχθεί επίθεση από τη Ρωσία.
Η Εσθονία έχει, ήδη, ένα αξιοσημείωτο ιστορικό στη μεταφορά των υπηρεσιών του κράτους στο online περιβάλλον. Είναι πρωτοπόρος στη δημιουργία ισχυρών ψηφιακών ταυτοτήτων για τους πολίτες της, που τους δίνουν τη δυνατότητα να υπογράφουν και να κρυπτογραφούν έγγραφα, να έχουν πρόσβαση σε κρατικές υπηρεσίες και να πραγματοποιούν εμπορικές συναλλαγές ηλεκτρονικά.
Ωστόσο, το πιο πρόσφατο project της χώρας, η επονομαζόμενη «ψηφιακή συνέχεια», είναι και το πιο φιλόδοξο ως τώρα. Στόχος του είναι να διασφαλίσει ότι η κυβέρνηση της χώρας θα συνεχίσει να λειτουργεί μέσω internet, παρέχοντας κανονικά τις υπηρεσίες της και κάνοντας κανονικά τις πληρωμές της, ακόμη και αν δεχθεί σαμποτάζ. Τα διδάγματα θα ήταν χρήσιμα για οποιονδήποτε οργανισμό αντιμετωπίζει το ενδεχόμενο να χρειαστεί να ανακάμψει από μια καταστροφή.
Η Ρωσική επίθεση
Η Εσθονία, η οποία ανέκτησε την ανεξαρτησία της το 1991, έπειτα από σχεδόν μισό αιώνα σοβιετικής κατοχής, έγινε στόχος αυτού που πολλοί θεωρούν ως το πρώτο παράδειγμα πολεμικής επιχείρησης μέσω διαδικτύου. Το 2007, κατά τη διάρκεια μιας διαμάχης με τη Ρωσία για ένα μνημείο πεσόντων, οι βασικότερες ιστοσελίδες της χώρας κατακλύστηκαν από έναν τεράστιο αριθμό επισκεπτών από πολλές διαφορετικές πηγές, σε μια ενορχηστρωμένη επίθεση, όπου οι εξουσιοδοτημένοι χρήστες έχασαν την πρόσβασή τους στα αντίστοιχα δίκτυα. Το περιστατικό έκανε τεράστια ζημιά στο σύστημα ηλεκτρονικής τραπεζικής της χώρας και παρά λίγο να καταστήσει ανενεργά τις υπηρεσίες έκτακτης ανάγκης. Και πιο πρόσφατα, όμως, οι ρωσικές εισβολές στον εναέριο χώρο της Εσθονίας και οι επιθέσεις προπαγάνδας είναι ένας διαρκής πονοκέφαλος.
Η πρώτη «πρόβα» για την ψηφιακή συνέχεια της Εσθονίας πραγματοποιήθηκε τον περασμένο Σεπτέμβριο σε συνεργασία με τη Microsoft και περιλάμβανε πολλά διαφορετικά στοιχεία. Ένα από αυτά ήταν η προσπάθεια να διατηρηθεί η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης με τη χρήση back-upΗ/Υ εντός των συνόρων της Εσθονίας. Εάν αυτό δεν ήταν εφικτό, η παροχή των υπηρεσιών γίνεται από Η/Υ εκτός συνόρων.
Γνώστης των ψηφιακών υπηρεσιών ο Πρωθυπουργός
Μέρος του πειράματος περιλάμβανε την προσωπική ιστοσελίδα του Προέδρου της χώραςToomas HendrikIlves. Με τον ίδιο να είναι βαθύς γνώστης της ψηφιακής τεχνολογίας και υπέρμαχος της ηλεκτρονικής διακυβέρνησης, αλλά και αντικείμενο μίσους για το Κρεμλίνο, η ιστοσελίδα του Προέδρου αποτελεί πιθανό στόχο ρωσικής επίθεσης. Το 2008, κατά τη διάρκεια του πολέμου στη Γεωργία, άγνωστοι hacker κατέστρεψαν την ιστοσελίδα του Προέδρου της MikheilSaakashvili. Έτσι, η ιστοσελίδα του κ. Ilves μεταφέρθηκε χωρίς προβλήματα στο cloud, σεδ ίκτυα δηλαδή από Η/Υ τρίτων ανεξάρτητων μερών, που στη συγκεκριμένη περίπτωση ήταν κέντρα δεδομένων τηςMicrosoftστο Δουβλίνο και το Άμστερνταμ.
Ο φόρτος και η αντοχή
Η προσπάθεια που έγινε για την Εφημερίδα της Κυβερνήσεως ήταν ακόμη πιο περίπλοκη: Εκτός από το να δημιουργήσει αντίγραφα ασφαλείας των νόμων, που, σημειωτέον, δεν υπάρχουν σε έγγραφη μορφή, το πείραμα επιχείρησε να διερευνήσει κατά πόσο αυτή θα ήταν διαθέσιμη σε περίπτωση έκτακτης ανάγκης. Τα τεστ που έγιναν ήταν δύο: το ένα είχε να κάνει με τον φόρτο (την περίπτωση που ένας ασυνήθιστα μεγάλος αριθμός επισκεπτών θα προσπαθούσε να έχει πρόσβαση στις ιστοσελίδες) και το άλλο με την αντοχή (την περίπτωση που «εισβολείς» θα «βομβάρδιζαν» το σύστημα με ψεύτικα αιτήματα για πληροφορίες).
Το εγχείρημα ήταν εν πολλοίς επιτυχημένο: Η ομάδα που διεξήγε το πείραμα κατάφερε ακόμη και να συνεχίσει, για ένα προκαθορισμένο σύντομο διάστημα, να παρέχει υπηρεσίες από το εξωτερικό. Ωστόσο, έφερε στην επιφάνεια και πολλά εμπόδια: «Κατέστη σαφές ότι, όσο έτοιμος και αν νομίζεις ότι είσαι, ποτέ δεν είσαι αρκετά έτοιμος», επισημαίνεται στο προσχέδιο έκθεσης που συντάχθηκε από τις εσθονικές Αρχές και τη Microsoft.
Το ένα μέρος των ζητημάτων είναι νομικής φύσεως: Στις χώρες της Ευρώπης, η νομοθεσία γύρω από τα προσωπικά δεδομένα είναι αυστηρή και οι προσδοκίες του κοινού για τη διαφύλαξη της ιδιωτικότητάς τους αυξημένες.
Όπως ακριβώς συμβαίνει με τις υπηρεσίες δημιουργίας αντιγράφων ασφαλείας για Η/Υ, οι χρήστες πρέπει να είναι σίγουροι ότι τα δεδομένα τους θα διαφυλαχθούν όπως πρέπει αν σταλούν εκτός συνόρων. Η αποθήκευση τέτοιων προσωπικών πληροφοριώνσε «ψηφιακές πρεσβείες» - με άλλα λόγια, Η/Υ που ανήκουν σε εσθονικές διπλωματικές αποστολές στο εξωτερικό – είναι μία λύση, καθώς θεωρούνται εσθονικό έδαφος. Όμως, η νομοθεσία γύρω από το διαδίκτυο είναι ακόμη ασαφής.
Μεταξύ των τεχνικών προβλημάτων ήταν και ο τρόπος με τον οποίοτο διαδίκτυο αντιμετωπίζει τις διευθύνσεις – το Σύστημα Ονομάτων Τομέων (DomainNameSystem). ΠώςθαμπορούσανοιεσθονικέςΑρχέςναδιασφαλίσουνότιαυτοίπουθαπροσπαθούσαννααποκτήσουνπρόσβασηστηνιστοσελίδα, λόγου χάρη, president.ee, θα τα κατάφερναν σε περίπτωση έκτακτης ανάγκης – ιδίως αν μια μαζική επίθεση μέσω διαδικτύου βρισκόταν σε εξέλιξη; Η επίλυση αυτού του ζητήματος απαιτούσε «εκτενείς χειροκίνητες λειτουργίες», όπως σημειώνει η έκθεση.
Η ψηφιακή συνέχεια γίνεται ακόμη δυσκολότερη αν η λειτουργία του backup συμπεριλαμβάνει και πιο σύνθετες υπηρεσίες. Οι δημόσιες και ιδιωτικές βάσεις δεδομένων της Εσθονίας ανταλλάσσουν πληροφορίες μέσω ενός ομότιμου (peer-to-peer) δικτύου που ονομάζεται X-Road και αποτελεί ένα είδος ομοσπονδίας πληροφοριών. Οι χρήστες δίνουν την ψηφιακή τους συγκατάθεση, χρησιμοποιώντας την ταυτότητα και το PIN τους, για να επιτρέψουν σε μία βάση δεδομένων να πάρει πληροφορίες από μία άλλη (για παράδειγμα αν ένα νοσοκομείο θέλει να διασταυρώσει την κατάσταση ενός ασθενή με ένα ασφαλιστικό ταμείο). Επομένως, δεν είναι μόνο τα δεδομένα αλλά και το λογισμικό που τα διαχειρίζεται που θα έπρεπε να μεταφερθεί εκτός συνόρων.
Οι σχεδιαστές του πειράματος σύντομα εντόπισαν αρκετά σημεία εμπλοκής. Ένα από αυτά ήταν ότι το σύστημα της Εσθονίας χρησιμοποιεί πολλά διαφορετικά λογισμικά, σε διαφορετικές εκδοχές, μερικές εκ των οποίων ξεπερασμένες. Το γεγονός αυτό δεν δημιουργεί προβλήματα στην απλή ανταλλαγή δεδομένων, αλλά καθιστά δύσκολη την αναπαραγωγή του συστήματος στο cloud.
Ένα άλλο ήταν ότι η αρχιτεκτονική του εσθονικού συστήματος δεν είναι επαρκώς τεκμηριωμένη και ότι οι κανόνες κατηγοριοποίησης των δεδομένων σε δημόσια, προσωπικά, ευαίσθητα ή απόρρητα δεν ήταν κατάλληλοι για να διασφαλίσουν την ψηφιακή συνέχεια. Όπως χαρακτηριστικά αναφέρει η έκθεση, «συχνά μόνο ένας μικρός αριθμός των εμπειρογνωμόνων κατανοούσαν τη λειτουργία του συστήματος».
Το κυριότερο συμπέρασμα της άσκησης είναι εύκολο να διατυπωθεί αλλά δύσκολο να επιτευχθεί: Όσο καλύτερα οργανωμένα είναι τα δεδομένα και τα δίκτυα, όσο καλύτερα τεκμηριωμένο είναι το σύστημα και όσο πιο τυποποιημένο και σύγχρονο το λογισμικό, τόσο πιο εύκολα μπορεί κανείς να δημιουργήσει αντίγραφα ασφαλείας και να αποκαταστήσει τη λειτουργία του συστήματος. Αυτό μπορεί να μην αποτελεί έκπληξη για κανέναν χρήστη Η/Υ, αλλά σίγουρα θα είναι ένα επιπλέον κίνητρο βελτίωσης που θα προστεθεί στις ήδη εντυπωσιακές προσπάθειες της Εσθονίας.
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο reporter.gr