Έργο 102 εκατ. ευρώ για την ασφάλεια πληροφοριών και συστημάτων του δημοσίου

• Γράφει η Μαρία Μόσχου 

Ένα ακόμα έργο του Ταμείου Ανάκαμψης που στόχο έχει να δημιουργήσει έναν τοίχο προστασίας κατά των κυβερνοαπειλών στο σύνολο του Δημοσίου Τομέα έθεσε σε Δημόσια Διαβούλευση η ΚτΠ. Πρόκειται για το έργο «Δράσεις για την Ενίσχυση της ασφάλειας των πληροφοριών και των συστημάτων του Δημόσιου Τομέα» με προϋπολογισμό πάνω από 100 εκατ. ευρώ.

Στη διενέργεια δημόσιας διαβούλευσης, για το έργο «Δράσεις για την Ενίσχυση της ασφάλειας των πληροφοριών και των συστημάτων του Δημόσιου Τομέα» του Ταμείου Ανάκαμψης &  Ανθεκτικότητας προχώρησε η Κοινωνία της Πληροφορίας.

Η ΚτΠ Μ.Α.Ε  καλεί τους ενδιαφερόμενους οικονομικούς φορείς σε ανοιχτή, μη δεσμευτική συμμετοχή στη διαδικασία διαβούλευσης για την κατάθεση παρατηρήσεων / προτάσεων επί του Τεύχους Διακήρυξης.

Η διαδικασία διαβούλευσης θα διεξαχθεί μέσω του Συστήματος ΕΣΗΔΗΣ, στην ηλεκτρονική διεύθυνση: www.promitheus.gov.gr, για χρονικό διάστημα δεκαπέντε (15) ημερών από την ανάρτηση του Τεύχους Διακήρυξης στο ΕΣΗΔΗΣ προς Διαβούλευση.

Αντικείμενο της συμφωνίας-πλαίσιο

Α. Σκοπιμότητα

Η διαχείριση κινδύνων στον Κυβερνοχώρο είναι μια δυναμικά μεταβαλλόμενη διαδικασία, βρίσκεται  σε συνεχή εξέλιξη και μεταβάλλεται σύμφωνα με το εκάστοτε περιβάλλον απειλών. Η απεικόνιση της  εξέλιξης του περιβάλλοντος Κυβερνοασφάλειας τα τελευταία δέκα χρόνια εμφανίζει ξεκάθαρα την  ανάγκη για ολιστική προσέγγιση, που εστιάζει στην πρόληψη ώστε να βελτιστοποιηθεί η  κυβερνοανθεκτικότητα των οργανισμών.

Τρεις παράγοντες

Όλα τα μέτρα για την Κυβερνοασφάλεια πρέπει να εστιάζουν σε τρείς (3) βασικούς και κρίσιμους  παράγοντες :

• Στους χρήστες. Οι χρήστες πρέπει να κατανοήσουν και να ακολουθήσουν βασικές αρχές ασφαλείας όπως η σωστή διαχείριση των passwords, να προσέχουν τα συνημμένα αρχεία, να μπορούν να κρίνουν ποια Sites μοιάζουν επικίνδυνα, να κάνουν συχνά backup και γενικότερα  να ενημερωθούν κατάλληλα για να μπορούν να αναγνωρίσουν τις απειλές. Ότι εργαλεία και  να χρησιμοποιηθούν, εάν ο τελικός χρήστης δεν έχει γνώση για να εποπτεύει τις διαδικασίες  και τα εργαλεία ή δεν μπορεί να αναγνωρίσει τις κυβερνοαπειλές, είναι ο αδύνατος κρίκος  στην αλυσίδα της κυβερνοασφάλειας.
• Στις διαδικασίες που θέτει ένας οργανισμός. Οι οργανισμοί πρέπει να έχουν μελετήσει και εφαρμόσει ένα πλαίσιο στο πώς θα αντιμετωπίζουν οι χρήστες τις επιτυχημένες ή αποτυχημένες απόπειρες κυβερνοεπιθέσεων. Διαδικασίες φυσικά υπάρχουν ακόμα και σε  ατομικό επίπεδο, για παράδειγμα η σωστή διαχείριση των Passwords, ασφαλής καταστροφή  ευαίσθητων δεδομένων, οι ενέργειες που πρέπει να κάνει κάποιος για να διασφαλίσει τα  προσωπικά του δεδομένα και αρκετά άλλα θέματα που πρέπει να μελετηθούν. Ακόμα και η  εκπαίδευση των ίδιων των χρηστών ή των μελών ενός οργανισμού, ανήκει στις διαδικασίες  της CyberSecurity.
• Στις τεχνολογικές υποδομές. Η τεχνολογία είναι απαραίτητη ούτως ώστε να δώσει στους οργανισμούς και στους ιδιώτες τα εργαλεία τα οποία απαιτούνται για να προστατευτούν από τις κυβερνοεπιθέσεις. Οι βασικές οντότητες που πρέπει να προστατευτούν μέσω των  τεχνολογικών εργαλείων είναι: Endpoints (τερματικά), Έξυπνες συσκευές και Routers , το  δίκτυο στο σύνολο του αλλά και το Cloud.

Πλέγμα δράσεων

Στο παραπάνω πλαίσιο η Δράση για την ενίσχυση της Κυβερνοανθεκτικότητας των κρίσιμων οντοτήτων του ΥΨΗΔ και των εποπτευόμενων φορέων του πρέπει να εστιάσει σε ένα πλέγμα δράσεων που αφορά το σύνολο των παραπάνω παραγόντων και συγκεκριμένα :

1. Πολιτικές – Διαδικασίες και Μέτρα Αντιμετώπισης και Πρόληψης Στο πλαίσιο αυτής της ενότητας θα παρασχεθούν μια σειρά από υπηρεσίες (συμβουλευτικές και τεχνολογικές)
2. Εξειδικευμένες Λύσεις Ασφάλειας Πληροφοριών, Εγγράφων και εφαρμογών, Στο Πλαίσιο αυτής της ενότητας θα εφαρμοστούν λύσεις λογισμικού και λογισμικού

Τα τελευταία χρόνια οι κυβερνοεπιθέσεις σε συστήματα Δημοσίων Φορέων και Οργανισμών έχουν  γίνει συχνότερες και εξυπνότερες. Η επιτυχής ανταπόκριση προϋποθέτει, μεταξύ άλλων, την  ενδυνάμωση των μηχανισμών ανάκαμψης από καταστροφή.

Στα πλαίσια αυτά, προβλέπεται η  παροχή υπηρεσιών κέντρου ανάκαμψης από καταστροφή, με βάση υποδομές δημόσιου  υπολογιστικού νέφους. Στο πλαίσιο του έργου θα γίνει προμήθεια κατ’ ελάχιστον, των υποδομών,  υπηρεσιών και στοιχείων που αναφέρονται παρακάτω.

Νεφοϋπολογιστικά μοντέλα

Με βάση το είδος κάθε προσφερόμενου  υπολογιστικού πόρου, αυτοί έχουν ταξινομηθεί στις παρακάτω κεντρικές ενότητες  νεφοϋπολογιστικών μοντέλων (υπάρχουν υπολογιστικοί πόροι που είναι εφικτό να δίνονται με  διαφορετικά μοντέλα υλοποίησης Νέφους):

Α) Υποδομές και Υπηρεσίες Νέφους – InfrastructureasaService (IaaS): Στο μοντέλο  υλοποίησης IaaS ο ανάδοχος που θα επιλεγεί θα πρέπει να προσφέρει τα ακόλουθα στοιχεία:

• Υποδομές Εικονικών μηχανών (VMs) διαφόρων υπολογιστικών προφίλ, μεγεθών και επεξεργαστικών δυνατοτήτων.
• Υποδομές Αποθηκευτικών Μέσων (Storage disks) διαφόρων χωρητικοτήτων.
• Υποδομές εικονικών δικτυακών πόρων (Virtual Network resources).
• Υποδομές δεσμευμένων, απομονωμένων φυσικών διακομιστών εικονικοποίησης (Physical Virtualization Hosts).

Υποδομές

Β) Υποδομές και Υπηρεσίες Νέφους – Platform as a Service (PaaS): Στο μοντέλο υλοποίησης  PaaS ο ανάδοχος που θα επιλεγεί θα πρέπει να προσφέρει τα ακόλουθα στοιχεία:

• Υπηρεσίες πλατφόρμας Ονοματολογίας Περιοχής DNS
• Υπηρεσίες πλατφόρμας Database as a Service (DBaaS) για διάφορα είδη Βάσεων Δεδομένων Σχεσιακών (RDBMS) και Μη Σχεσιακών (noSQLD Bs).
• Υπηρεσίες πλατφόρμας παροχής αποθηκευτικού χώρου (Storage as a Service).
• Υπηρεσίες πλατφόρμας Αντιγράφων ασφαλείας (Backup) / Επαναφοράς (Recovery) ώστε να λαμβάνονται αντίγραφα ασφαλείας σε υπολογιστικούς πόρους που βρίσκονται εγκατεστημένοι είτε τοπικά (On-premises) είτε στον πάροχο του Νέφος (Cloud).
• Υπηρεσίες πλατφόρμας Προστασίας/Ασφάλειας έναντι επιθέσεων Άρνησης Υπηρεσίας (DDoS) για την προστασία συστημάτων και υπηρεσιών έναντι DDoS επιθέσεων.
• Υπηρεσίες πλατφόρμας φιλοξενίας διαχείρισης και υποστήριξης εφαρμογών Internet of Things (IoT)
• Υπηρεσίες πλατφόρμας παρακολούθησης του κόστους χρήσης όλων των ανωτέρω προσφερόμενων νεφοϋπολογιστικών υπηρεσιών B4. Υπηρεσίες SOC & Ddos

Aφορά υπηρεσία αδιάλειπτης και σε πραγματικό χρόνο (24×7) επιτήρησης των συστημάτων του  Φορέα από εξειδικευμένο και σε διεθνώς αναγνωρισμένο πάροχο για την πρόληψη και αντιμετώπιση  κυβερνοαπειλών.

Στόχος

Η προτεινόμενη πρωτοβουλία στοχεύει στην ενδυνάμωση του επιπέδου ασφάλειας για τις υποδομές  του Φορέα και η πλήρης συμμόρφωση της με τις κανονιστικές απαιτήσεις ( όπως ο νόμος ν.  4577/2018 «Ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού  Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων  δικτύου και πληροφοριών σε ολόκληρη την Ένωση και άλλες διατάξεις», ο Γενικός Κανονισμός  Προσωπικών Δεδομένων, κλπ.).

Επίσης περιλαμβάνεται η παροχή υπηρεσιών συστήματος ανίχνευσης δικτυακών ανωμαλιών και  αντιμετώπισης επιθέσεων άρνησης υπηρεσίας (DDoS – Distributed Denial-of-Service), βασισμένο σε  δεδομένα ροών (flow-records) από τους υφιστάμενους δρομολογητές IP του δικτύου του Φορέα. Β5. Εξειδικευμένες λύσεις ασφάλειας

Στο πλαίσιο αυτό περιλαμβάνονται εξειδικευμένες λύσεις ασφάλειας που στόχο έχουν την ενίσχυση  της περιμετρικής ασφάλειας των κρίσιμων πληροφοριακών υποδομών του Υπουργείου Ψηφιακής  Διακυβέρνησης και των εποπτευόμενων φορέων του,

Η εκτιμώμενη αξία της συμφωνίας-πλαίσιο ανέρχεται στο ποσό  102.167.999,99 €) συμπεριλαμβανομένου ΦΠΑ 24 % (προϋπολογισμός χωρίς ΦΠΑ: 82.393.548,38 € ΦΠΑ: 19.774.451,61 €)