Μετά το σοβαρό συμβάν σε Αυτοκινητόδρομο της Ελλάδας την περασμένη εβδομάδα, που είχε ως αποτέλεσμα να εγκλωβιστούν και να κινδυνεύσουν χιλιάδες Πολίτες, και δεδομένου ότι τα σημερινά ψηφιακά τεχνολογικά μέσα επιτρέπουν την αποτελεσματική πρόβλεψη, διαχείριση και αποτροπή τέτοιων συμβάντων, η Ένωση Πληροφορικών Ελλάδας (EΠΕ) αποφάσισε να αποστείλει το παρόν ερωτηματολόγιο στους Διευθύνοντες Συμβούλους όλων των εταιρειών λειτουργίας και διαχείρισης Αυτοκινητόδρομων της Χώρας, προκειμένου να διαπιστωθεί κατά πόσον χρησιμοποιούν τις διαθέσιμες τεχνολογίες, και αν έχουν το κατάλληλο Προσωπικό για αυτό.
Παράλληλα η ΕΠΕ καλεί και όλες τις υπόλοιπες κρίσιμες Υποδομές της Χώρας, Δημόσιες και Ιδιωτικές, όπως και τους Φορείς της Πολιτείας που τις εποπτεύουν (καθώς, όπως υποστηρίζει, πρέπει και αυτοί να είναι στο ίδιο επίπεδο, ώστε να μπορούν να συνεργάζονται στην αποτροπή και διαχείριση κινδύνων), να απαντήσουν στο παρόν ερωτηματολόγιο για το δικό τους αντικείμενο. Ενδεικτικά αναφέρεται η Περιφέρεια Αττικής, το υπουργείο Πολιτικής Προστασίας και η ΤΡΑΙΝΟΣΕ, που εμπλέκονται άμεσα στα πρόσφατα τραγικά συμβάντα.
Καλεί επίσης την Πολιτεία, να νομοθετήσει την υποχρεωτική επιβολή τόσο στις εταιρείες λειτουργίας και διαχείρισης Αυτοκινητοδρόμων, αλλά και σε όλες τις κρίσιμες Υποδομές της Χώρας, των τεχνολογικών μέτρων που περιέχονται στο παρόν, καθώς και να προβεί όσο συντομότερα σε έλεγχο για το ειλικρινές των απαντήσεών των απαντήσεων που δόθηκαν στο παρόν ερωτηματολόγιο. Επίσης καλεί την Πολιτεία να προβεί σε ενδελεχή έλεγχο όλων των πιστοποιήσεων Πληροφορικής που τυχόν έχουν οι εταιρείες λειτουργίας και διαχείρισης Αυτοκινητόδρομων (ISO 27001, ISO 20000, κλπ), προκειμένου να διαπιστωθεί αν πληρούνται στο ακέραιο όλες ανεξαιρέτως οι προϋποθέσεις και υποχρεώσεις που προβλέπονται για την απόκτηση και διατήρηση των πιστοποιήσεων αυτών. Μάλιστα, η ΕΠΕ δηλώνει διαθέσιμη να συνδράμει σε αυτό το έργο, όπως και σε κάθε άλλη περίπτωση.
Τέλος καλεί την Πολιτεία, να προβεί στην σύσταση Επιμελητήριου Πληροφορικής, όπως τόσα χρόνια ζητά ως Ένωση Πληροφορικών Ελλάδας, προκειμένου να μπορέσουν οι σύγχρονες Τεχνολογίες Πληροφορικής να εφαρμοστούν στην χώρα μας, τόσο για την ασφάλεια των πολιτών, όσο και για να ξεφύγει η Ελλάδα απ’ την προτελευταία θέση που κατέχει στην Ευρωπαϊκή Ένωση (βάσει της επίσημης κατάταξης DESI ranking της Ευρωπαϊκής Επιτροπής) στην Πληροφορική ( σχετικό Δελτίο Τύπου με τίτλο «Ο Ψευτο-Γιατρός και ο Ψευτο-Πληροφορικός» : https://bit.ly/34Axg9Z ).
Στο πλαίσιο αυτό, η ΕΠΕ αναφέρει στην ίδια ανακοίνωση: «Παρακαλούμε όπως μας αποσταλεί απαντημένο το παρακάτω ερωτηματολόγιο, μέσα στο εύλογο χρονικό διάστημα των 5 ημερών από την λήψη του, στο email [email protected]. Εν συνεχεία η ΕΠΕ θα προβεί σε έκδοση νέου Δελτίου Τύπου, στο οποίο θα αναφέρονται τα συμπεράσματα βάσει των απαντήσεων που θα λάβουμε, και επίσης θα αναφέρεται αν κάποια Εταιρεία – Φορέας αδιαφόρησε ή αρνήθηκε να απαντήσει. Μπορείτε να προσθέσετε όσες γραμμές χρειάζονται στις απαντήσεις σας, προκειμένου να έχουν όσο γίνεται περισσότερη σαφήνεια και ακρίβεια.
Μέρος Α: Continuity – Resilience
Ερώτηση Α.1: Διαθέτετε Disaster Site για το Data Center της Εταιρείας σας;
Ερώτηση Α.2: Αν απαντήσατε ναι στην ερώτηση Α.1, τότε έχετε μεταφέρει στο Disaster Site Data Center σας, όλες τις κρίσιμες εφαρμογές, συστήματα και υποδομές Πληροφορικής σας, όπως του κέντρου παρακολούθησης και διαχείρισης της κατάστασης σε όλο το οδικό σας δίκτυο μέσω καμερών και αισθητήρων, του υπολογιστικού σας δικτύου, των συστημάτων monitoring and alert των υποδομών σας, των συστημάτων τηλεματικής σας, των συστημάτων επικοινωνιών σας, κλπ;
Ερώτηση Α.3. Αν απαντήσατε ναι στην ερώτηση Α.1, τότε σε τί βαθμό ετοιμότητας είναι το Disaster Site Data Center σας; Είναι σε real time παράλληλη λειτουργία (άμεση ετοιμότητα), ή σε stand-by λειτουργία εντός 1 ώρας (μετά από το start-up servers, restore δεδομένων, κλπ), ή σε stand-by λειτουργία μετά από πάνω από μία ώρα;
Ερώτηση Α.4: Αν απαντήσατε ναι στην ερώτηση Α.1, τότε πότε ήταν η τελευταία φορά και πότε η προτελευταία φορά, που κάνατε πλήρη επιτυχή δοκιμή της καλής λειτουργίας του Disaster Site Data Center σας, με πραγματική μετάπτωση της παραγωγικής σας λειτουργίας σε αυτό;
Ερώτηση Α.5: Αν απαντήσατε όχι στην ερώτηση Α1, τότε ποια μέτρα έχετε λάβει που πιστεύετε ότι θα εξασφαλίσουν το Continuity της Εταιρείας σας σε περίπτωση προβλημάτων στο Data Center σας, από έντονα καιρικά φαινόμενα, φυσικές καταστροφές, και άλλα προβλήματα;
Ερώτηση Α.6: Διαθέτετε πλήρες Business / Operational / IT Continuity Plan (εν συντομία BCP), το οποίο να καλύπτει την συνέχιση της λειτουργίας και της χρήσης όλων των κρίσιμων τεχνολογιών και συστημάτων Πληροφορικής σας, όπως του κέντρου παρακολούθησης και διαχείρισης της κατάστασης σε όλο το οδικό σας δίκτυο μέσω καμερών και αισθητήρων, του υπολογιστικού σας δικτύου σας και της προσβασιμότητας σε αυτό, των συστημάτων monitoring and alert των υποδομών σας, των συστημάτων τηλεματικής σας, των συστημάτων επικοινωνιών σας, κλπ;
Ερώτηση Α.7: Αν απαντήσατε ναι στην ερώτηση Α.6, τότε ποια ήταν η τελευταία και η προτελευταία φορά πλήρους επιτυχούς δοκιμής του BCP σας;
Ερώτηση Α.8: Διαθέτετε συστήματα UPS, ώστε σε περίπτωση διακοπής ρεύματος να συνεχίσουν να λειτουργούν όλες οι υποδομές Πληροφορικής σας;
Ερώτηση Α.9: Διαθέτετε γεννήτριες ηλεκτρικού ρεύματος, ώστε σε περίπτωση διακοπής ρεύματος, να ενεργοποιηθούν ενόσω λειτουργούν τα UPS και να σας δώσουν ρεύμα για την λειτουργία όλων των υποδομών Πληροφορικής σας;
Ερώτηση Α.10: Διαθέτετε συστήματα monitoring and alert για τους φυσικούς / περιβαλλοντικούς κινδύνους στις υποδομές Πληροφορικής σας, όπως διακοπή ρεύματος, υπερβολικά χαμηλή ή υπερβολικά υψηλή θερμοκρασία ή υγρασία, πλημμύρα, φωτιά, κλπ;
Ερώτηση Α.11: Καλύπτονται όλα τα συστήματα Πληροφορικής σας (hardware και software) από συμβάσεις συντήρησης, συμπεριλαμβανομένων και των εφεδρικών συστημάτων σας (Disaster Site, κλπ), των συστημάτων σας για continuity (UPS, γεννήτριες, κλπ), και των συστημάτων σας για monitoring and alert των υποδομών Πληροφορικής σας;
Ερώτηση Α.12: Χρησιμοποιείτε λογισμικά Πληροφορικής τα οποία είναι freeware (δωρεάν);
Ερώτηση Α.13: Αν απαντήσατε ναι στην ερώτηση Α.12, χρησιμοποιείτε τέτοια λογισμικά και για κρίσιμες λειτουργίες Πληροφορικής, όπως βάσεις δεδομένων, επικοινωνίες, τηλεματική, συστήματα monitoring and alert για τον έλεγχο της καλής λειτουργίας των υποδομών Πληροφορικής σας (network, servers, ΙοΤ, ΟΤ, κλπ);
Μέρος Β: Πιστοποιήσεις – Controls – Διαχείριση
Ερώτηση Β.1: Διαθέτετε ISO 27001;
Ερώτηση Β.2: Αν απαντήσατε ναι στην ερώτηση Β.1, πότε το λάβατε για πρώτη φορά, πότε έγινε η τελευταία ανανέωσή του, ποιος Φορέας σας έδωσε την Πιστοποίηση, και πότε πρέπει να γίνει η επόμενη ανανέωσή του;
Ερώτηση Β.3: Αν απαντήσατε ναι στην ερώτηση Β.1, υπήρξαν παρατηρήσεις που σας εδόθησαν από τον Φορέα που σας έδωσε την πιστοποίηση ISO 27001;
Ερώτηση Β.4: Αν απαντήσατε ναι στην ερώτηση Β.3, ποιες είναι οι υποδείξεις που σας δόθηκαν;
Ερώτηση Β.5: Διαθέτετε ISO 20000;
Ερώτηση Β.6: Αν απαντήσατε ναι στην ερώτηση Β.5, πότε το λάβατε για πρώτη φορά, πότε έγινε η τελευταία ανανέωσή του, ποιος Φορέας σας έδωσε την Πιστοποίηση, και πότε πρέπει να γίνει η επόμενη ανανέωσή του;
Ερώτηση Β.7: Αν απαντήσατε ναι στην ερώτηση Β.5, υπήρξαν παρατηρήσεις που σας εδόθησαν από τον Φορέα που σας έδωσε την πιστοποίηση ISO 20001;
Ερώτηση Β.8: Αν απαντήσατε ναι στην ερώτηση Β.7, ποιες είναι οι υποδείξεις που σας δόθηκαν;
Ερώτηση Β.9: Αν απαντήσατε όχι στην ερώτηση Β.5, τότε με ποιόν τρόπο πιστεύετε ότι καλύπτετε τις απαιτήσεις ITIL, ITSM, καθώς και τις απαιτήσεις Service Management και Incident Management, δηλαδή την καταγραφή και διαχείριση ατυχημάτων, συντηρήσεων, βλαβών, κινδύνων ασφαλείας, συμβάντων, assets (μητρώου εξοπλισμού, συστημάτων και υποδομών), εγγυήσεων και συμβάσεων συντήρησης εξοπλισμού, συστημάτων και υποδομών, κλπ;
Ερώτηση Β.10: Χρησιμοποιείτε συστήματα Πληροφορικής software ή hardware τα οποία είναι end-of-life ή/και end-of-support από τον Κατασκευαστή τους, πχ συσκευές δικτύου, servers, συστήματα monitoring των υποδομών σας, λειτουργικά συστήματα, βάσεις δεδομένων, κλπ;
Ερώτηση Β.11: Διαθέτετε συστήματα risk management / risk assessment;
Ερώτηση Β.12: Πότε ήταν η τελευταία φορά, και πότε η προτελευταία φορά, που κάνατε – λάβατε ολοκληρωμένη μελέτη risk management / risk assessment;
Ερώτηση Β.13: Με βάση την τελευταία ανωτέρω μελέτη risk management / risk assessment, τί ποσοστό ρίσκου σε ότι αφορά την Πληροφορική έχετε εξαλείψει με μέτρα που λάβατε και λοιπές ενέργειες που κάνατε, και τί ποσοστό ρίσκου παραμένει (residual risk);
Ερώτηση Β.14: Διαθέτετε NOC (Network Operation Center);
Ερώτηση Β.15: Διαθέτετε Κέντρο διαχείρισης κρίσεων και συμβάντων, με την απαραίτητη τεχνολογική υποδομή ώστε οι επιχειρούντες εκεί να έχουν πλήρη, άμεση και διαρκή ενημέρωση της κατάστασης όλου του οδικού δικτύου σας, και όλων των επικρατούντων συνθηκών (κυκλοφοριακών, μετεωρολογικών, διαθεσιμότητας συστημάτων, κλπ), και να έχουν αδιάλειπτη επικοινωνία με όλους τους αρμόδιους που επιχειρούν στο οδικό σας δίκτυο και με τις αρμόδιες Κρατικές Αρχές και Υπηρεσίες;
Ερώτηση Β.16: Διαθέτετε εφεδρικό Κέντρο διαχείρισης κρίσεων, ώστε αν αχρηστευτεί ή δεν είναι προσβάσιμο το κύριο Κέντρο σας διαχείρισης κρίσεων, τότε να μπορεί να γίνει όλη η απαραίτητη διαχείριση από το εφεδρικό;
Μέρος Γ: Ανθρώπινο Δυναμικό
Ερώτηση Γ.1: Διαθέτετε Προσωπικό Πληροφορικής στην Εταιρεία σας;
Ερώτηση Γ.2: Αν απαντήσατε ναι στην ερώτηση Γ.1, τότε πόσα άτομα αριθμεί το Προσωπικό Πληροφορικής σας, σε τί οργανωτική δομή ανήκει (Ομάδα, Υπηρεσία, Τμήμα, Διεύθυνση, Γενική Διεύθυνση, κλπ), και πώς ονομάζεται αυτή η οργανωτική δομή (π.χ. Υπηρεσία Technology Support, Δ/νση Πληροφορικής, Τμήμα Τεχνολογίας, κλπ);
Ερώτηση Γ.3: Ο Επικεφαλής για την Πληροφορική στην Εταιρεία σας (CIO, CTO, IT Director, IT Manager, Technology Support Manager, κλπ) είναι Πληροφορικός, δηλαδή έχει πτυχίο πρώτου κύκλου σπουδών στην Πληροφορική από Α.Ε.Ι ή ισότιμο Πανεπιστήμιο του Εξωτερικού;
Ερώτηση Γ.4: Αν απαντήσατε ναι στην ερώτηση Γ.3, τότε τι ακριβώς πτυχίο πρώτου κύκλου Πανεπιστημιακών σπουδών έχει ο Επικεφαλής για την Πληροφορική στην Εταιρεία σας (τίτλος – Πανεπιστήμιο);
Ερώτηση Γ.5: Αν απαντήσετε αρνητικά στο ερώτημα Γ.3, τότε τι ακριβώς πτυχίο πρώτου κύκλου Πανεπιστημιακών σπουδών έχει ο Επικεφαλής για την Πληροφορική στην Εταιρεία σας (τίτλος – Πανεπιστήμιο);
Ερώτηση Γ.6: Εξαιρουμένου του Επικεφαλής Πληροφορικής σας, πόσοι από το υπόλοιπο Προσωπικό Πληροφορικής σας είναι Πληροφορικοί, δηλαδή έχουν πτυχίο πρώτου κύκλου σπουδών στην Πληροφορική από Α.Ε.Ι ή ισότιμο Πανεπιστήμιο του Εξωτερικού;