ΔΕΛΤΙΟ ΤΥΠΟΥ
Ανακοίνωση σχετικά με την ψήφιση του πολυνομοσχεδίου οικονομικής ενίσχυσης και των άμεσων ενεργειών που καλείται να εφαρμόσει η νέα κυβέρνηση, σχετικά με έργα και ζητήματα ΤΠΕ
Αθήνα, 15-9-2015
Στις 14 Αυγούστου 2015 ψηφίστηκε στο Κοινοβούλιο το πολυνομοσχέδιο σχετικά με την “Κύρωση του Σχεδίου Σύμβασης Οικονομικής Ενίσχυσης από τον Ευρωπαϊκό Μηχανισμό Σταθερότητας και ρυθμίσεις για την υλοποίηση της Συμφωνίας Χρηματοδότησης” (βλ. [2]). Το πολυνομοσχέδιο βασίστηκε μεταξύ άλλων στο τελικό κείμενο της αντίστοιχης συμφωνίας με τους Ευρωπαίους εταίρους και που δημοσιεύτηκε λίγα 24ωρα πριν (βλ. [1]).
Εν όψει των επερχόμενων εθνικών εκλογών στις 20 Σεπτεμβρίου, η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) εξέτασε προσεκτικά το κείμενο της συμφωνίας, καθώς και τις εκατοντάδες σελίδες του τελικού πολυνομοσχεδίου, με σκοπό να εντοπίσει τα ζητήματα που άπτονται των αρμοδιοτήτων της σε τεχνικό, επιστημονικό και επαγγελματικό επίπεδο, δηλαδή σε σχέση γενικότερα με τον κλάδο των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ).
Στην παρούσα αναφορά διατυπώνονται σχόλια, επισημάνσεις και προτάσεις σχετικά με τα ζητήματα αυτά, με σκοπό την έγκαιρη και λεπτομερή επισήμανση των σημείων που απαιτούν ιδιαίτερη προσοχή σε τεχνικό επίπεδο.
1. Σημεία ενδιαφέροντος στα κείμενα της συμφωνίας και στο Νόμο, σχετικά με ζητήματα και έργα ΤΠΕ
Παρακάτω παρατίθενται τα κύρια σημεία ενδιαφέροντος, κυρίως στο (συντομότερο) κείμενο της συμφωνίας με τους Ευρωπαίους εταίρους (βλ. [1]), καθώς και ορισμένα από τα αντίστοιχα σημεία του κειμένου του Νόμου (βλ. [2]) προς διευκρίνιση και διασταύρωση των επιμέρους λεπτομερειών. Με έντονα γράμματα (bold) έχουν επισημανθεί τα σημεία ιδιαίτερου ενδιαφέροντος. Εν συνεχεία παρουσιάζεται ο αντίστοιχος σχολιασμός επί των τεχνικών ζητημάτων, καθώς και οι προτάσεις της ΕΠΕ στα σημεία αυτά.
Ζήτημα 1ο: Είσπραξη ΦΠΑ και κατασχέσεις
Σχετικά με τα ζητήματα άμεσης (on-line) είσπραξης του ΦΠΑ στις εμπορικές συναλλαγές κάθε είδους, καθώς και τα ζητήματα αυτοματοποίησης των ηλεκτρονικών κατασχέσεων, αναφέρεται χαρακτηριστικά:
(βλ. [1], σελ.6):
As a prior action... d) accelerate procurement of software for VAT network analysis and for further automation of the debt collection, embracing inter alia fully automatized garnishment procedures;...
Προς αποφυγή οποιασδήποτε παρανόησης ή λανθασμένης μετάφρασης, το παρακάτω απόσπασμα είναι η αντίστοιχη αναφορά στο Νόμο που ψηφίστηκε:
(βλ. [2]):
ΠΑΡΑΓΡΑΦΟΣ Γ.: ΣΥΜΦΩΝΙΑ ΔΗΜΟΣΙΟΝΟΜΙΚΩΝ ΣΤΟΧΩΝ ΚΑΙ ΔΙΑΡΘΡΩΤΙΚΩΝ ΜΕΤΑΡΡΥΘΜΙΣΕΩΝ
2.3. Μεταρρυθμίσεις της φορολογικής διοίκησης
δ) την επίσπευση της διαδικασίας δημόσιας σύμβασης για την απόκτηση λογισμικού για την ανάλυση του δικτύου ΦΠΑ και για περαιτέρω αυτοματοποίηση της είσπραξης οφειλών, μεταξύ άλλων με την καθιέρωση πλήρως αυτοματοποιημένων διαδικασιών κατάσχεσης.
Επίσης, αναφέρεται σχετικά, σε άλλα σημεία:
(βλ. [2]):
ΥΠΟΠΑΡΑΓΡΑΦΟΣ Δ.1: ΤΡΟΠΟΠΟΙΗΣΗ ΤΟΥ Ν.Δ. 356/1974 (Α΄90), 4152/2013 (Α΄107), 4172/2013 (Α΄167), 4174/2013 (Α΄170), 4305/2014 (Α΄237), 4321/2015 (Α΄32)
16. Για την αύξηση της αποτελεσματικότητας στην είσπραξη ληξιπρόθεσμων οφειλών, είναι δυνατόν, με απόφαση του Γενικού Γραμματέα Δημοσίων Εσόδων, η οποία εκδίδεται κατόπιν σύμφωνης γνώμης του Υπουργού Οικονομικών ως προς το ύψος της δαπάνης, να επιτρέπεται, κατά παρέκκλιση κάθε άλλης διάταξης που εφαρμόζεται κατά τη διαδικασία προμηθειών του Δημοσίου, η προμήθεια της παροχής υπηρεσίας για την ανάπτυξη ειδικού λογισμικού διενέργειας ηλεκτρονικών κατασχέσεων εις χείρας πιστωτικών ιδρυμάτων μέσω ενός πλήρως αυτοματοποιημένου συστήματος κεντρικής επεξεργασίας, με απευθείας ανάθεση.
(βλ. [2]):
ΥΠΟΠΑΡΑΓΡΑΦΟΣ Δ.2: ΡΥΘΜΙΣΕΙΣ ΚΩΔΙΚΑ ΦΠΑ
5. Για να αντιμετωπισθούν επείγουσες ανάγκες για τη λειτουργία της ΥΕΔΔΕ στον τομέα της πάταξης της απά της στο ΦΠΑ, είναι δυνατόν, με απόφαση του Γενικού Γραμματέα Δημοσίων Εσόδων, η οποία εκδίδεται κατόπιν σύμφωνης γνώμης του Υπουργού Οικονομικών ως προς το ύψος της δαπάνης, να επιτρέπεται, κατά παρέκκλιση κάθε άλλης διάταξης που εφαρμόζεται κατά τη διαδικασία προμηθειών του Δημοσίου, η προμήθεια με απευθείας ανάθεση ειδικού λογισμικού ερευνών και ανάλυσης στοιχείων, καθόσον, για λόγους τεχνικούς, η σύμβαση αυτή μπορεί να ανατεθεί μόνο σε ορισμένο οικονομικό φορέα.
Στα δύο παραπάνω αποσπάσματα δηλώνεται με κάθε σαφήνεια ότι η ανάπτυξη η προμήθεια σχετικού λογισμικού μπορεί κατ' εξαίρεση να γίνει με απευθείας ανάθεση, παρακάμπτοντας κάθε άλλη προβλεπόμενη διάταξη για παρόμοια έργα ΤΠΕ.
Ζήτημα 2ο: Προώθηση ηλεκτρονικών συναλλαγών
Σχετικά με την προώθηση των ηλεκτρονικών συναλλαγών σε όλα τα στάδια των εμπορικών δραστηριοτήτων, αναφέρεται χαρακτηριστικά:
(βλ. [1], σελ.6-7):
The government will by October 2015: ...b) develop with the Bank of Greece and the private sector a costed plan for the promotion and facilitation of the use of electronic payments and the reduction in the use of cash with implementation starting by March 2016...
Το παραπάνω σχετίζεται με τη χρήση του αποκαλούμενου ως “πλαστικού χρήματος”.
Ζήτημα 3ο: Τομέας Υγείας
Σχετικά με τον τομέα Υγείας και συγκεκριμένα (α) τον ηλεκτρονικό φάκελο ασθενούς και (β) το ηλεκτρονικό σύστημα συνταγογράφησης και παραπεμπτικών, αναφέρονται χαρακτηριστικά:
(βλ. [1], σελ.12):
(Health Care) ...evidence-based e-prescription protocols, commission private sector health care providers in a cost effective manner, modernize IT systems, developing a new electronic referral system for primary and secondary care...
Σχετικά με την παραπάνω αναφορά, στο πλήρες κείμενου του Νόμου αναφέρεται πιο συγκεριμένα:
(βλ. [2]):
ΠΑΡΑΓΡΑΦΟΣ Γ.: ΣΥΜΦΩΝΙΑ ΔΗΜΟΣΙΟΝΟΜΙΚΩΝ ΣΤΟΧΩΝ ΚΑΙ ΔΙΑΡΘΡΩΤΙΚΩΝ ΜΕΤΑΡΡΥΘΜΙΣΕΩΝ
2.5.2 Ιατροφαρμακευτική περίθαλψη
Οι αρχές έχουν δεσμευτεί... να διαχειριστούν τη ζήτηση φαρμακευτικών προϊόντων και ιατροφαρμακευτικής περίθαλψης μέσω τεκμηριωμένων πρωτοκόλλων ηλεκτρονικής συνταγογράφησης, να προβαίνουν σε αναθέσεις προς ιδιώτες παρόχους ιατροφαρμακευτικής περίθαλψης με οικονομικά αποδοτικό τρόπο, να εκσυγχρονίσουν τα συστήματα μηχανοργάνωσης, να αναπτύξουν νέο σύστημα ηλεκτρονικού παραπεμπτικού για την πρωτοβάθμια και δευτεροβάθμια περίθαλψη...
Σχετικά με το προβλεπόμενο πλάνο υλοποίησης των παραπάνω, αναφέρεται:
(βλ. [1], σελ.13):
...By June 2016... they will develop a new electronic record for patients...
...By August 2016 they will develop a new system of electronic referrals to secondary care based on e-prescription and the electronic record...
...By June 2017, the authorities will develop a plan to pre-approve referrals to private sector providers based on the electronic patient record, the system of electronic referrals and the mapping of public sector capacity.
Over the next three years, the authorities will develop therapeutic protocols... implemented through the e-prescription system.
Σύμφωνα με τα παραπάνω, μέρος των περαιτέρω ενεργειών και έργων ΤΠΕ στον τομέα της Υγείας θα βασιστούν στο ήδη υπάρχον ηλεκτρονικό σύστημα συνταγογράφησης, όπως θα έχει μετεξελιχθεί μέχρι τότε.
Ζήτημα 4ο: Δικαστικό σύστημα
Σχετικά με τις διοικητικές διαδικασίες και την ηλεκτρονική διακίνηση και διάθεση εγγράφων στο τον τομέα της Δικαιοσύνης, αναφέρονται χαρακτηριστικά:
(βλ. [1], σελ.28):
...proposed by March 2016 and fully implemented by June 2018... creation of an electronic portal giving access to legislation...
...by November 2015 and subsequently implement a three years strategic plan... collecting information on the situation of the courts, computerization...
Τα παραπάνω σχετίζονται τόσο με την εσωτερική διοικητική διαχείριση, όσο και με τη διάθεση υλικού (π.χ. δικογραφιών, αποφάσεων, πρακτικών, κτλ) μέσω κατάλληλης ηλεκτρονικής πλατφόρμας.
Και τα τέσσερα ζητήματα που αναφέρονται στο Νόμο, δηλαδή: (1) είσπραξη ΦΠΑ και κατασχέσεων, (2) προώθηση ηλεκτρονικών συναλλαγών, (3) τομέας Υγείας και (4) Δικαστικό σύστημα, αποτελούν σημαντικούς άξονες μεταρρυθμίσεων, σε οικονομικό, κοινωνικό και θεσμικό επίπεδο. Ταυτόχρονα, οι προβλεπόμενες δράσεις βασίζονται σε πολύ μεγάλο βαθμό στην επιτυχημένη μελέτη και υλοποίηση έργων και υπηρεσιών ΤΠΕ. Κατά συνέπεια, εφόσον αποτελέσουν προτεραιότητες άμεσης εφαρμογής από τη νέα κυβέρνηση που θα προκύψει μετά τις επερχόμενες εκλογές, είναι εξαιρετικά σημαντικό να υλοποιηθούν με ορθό και τεχνικώς άρτιο τρόπο, ώστε να αποφευχθούν τραγικά λάθη και προβλήματα που έχουν διαπιστωθεί σε ανάλογες περιπτώσεις στο παρελθόν και που έχουν αποδειχθεί άκρως επιζήμια, τόσο για το Δημόσιο όσο και για τον κάθε πολίτη (π.χ. θέματα ασφάλειας, διαρροή προσωπικών δεδομένων, κτλ).
2. Επισημάνσεις σχετικά με την είσπραξη του ΦΠΑ και των κατασχέσεων (Ζήτημα 1ο)
Αναφέρεται πως απαιτείται προμήθεια λογισμικού για την ανάλυση του δικτύου (είσπραξης) του ΦΠΑ, καθώς και την αυτοματοποίηση των διαδικασιών κατασχέσεων που ήδη έχει δρομολογηθεί σε νομικό επίπεδο1. Η ΕΠΕ θυμίζει ότι η ιδέα του μέτρου της online διασύνδεσης όλων των ταμειακών μηχανών με το σύστημα του TAXIS έχει ξεκινήσει από το 2011. Η υποχρέωση αποστολής των δεδομένων πωλήσεων λιανικής των ταμειακών μηχανών στη Γενική Γραμματεία Πληροφοριακών Συστημάτων (ΓΓΠΣ) καθιερώθηκε με τον Ν.3943/2011, ενώ το Μάιο του ίδιου χρόνου δημιουργήθηκε ειδική ομάδα εργασίας για τη θέσπιση των τεχνικών προδιαγραφών και τη διερεύνηση εφικτών λύσεων για τους νέους ηλεκτρονικούς μηχανισμούς των Ειδικών Ασφαλών Φορολογικών Διατάξεων Σήμανσης Στοιχείων (ΕΑΦΔΣΣ)2. Το πόρισμα της ομάδας εργασίας υποβλήθηκε τον Οκτώβριο του 2011 στον τότε ΥΠΟΙΚ και ακολούθησαν δύο σχετικές υπουργικές αποφάσεις με μεγάλη καθυστέρηση, το Δεκέμβριο του 2012 (ΠΟΛ.1221/ΦΕΚ Β' 3513/31-12-2012)3, ενώ εκκρεμούσε μία ακόμη απόφαση που θα όριζε τον χρόνο υποχρεωτικής αποστολής τιμολογίων και αποδείξεων στη ΓΓΠΣ. Ως καταληκτική ημερομηνία εφαρμογής ορίστηκε τελικά η 31/5/2013.
Τον Μάρτιο του 2013 αρκετοί προμηθευτές ταμειακών μηχανών άρχισαν να διαθέτουν στην αγορά τις νέες αναβαθμισμένες εκδόσεις, ενώ παράλληλα οι εταιρίες λογισμικού ετοίμαζαν τις νέες εκδόσεις των λογιστικών τους εφαρμογών. Παρά την απροθυμία της αγοράς να υιοθετήσει τόσο γρήγορα τις νέες αυτές πλατφόρμες και κάποιους φόβους για πιθανό κίνδυνο διαρροής προσωπικών και φορολογικών δεδομένων λόγω ελλιπούς μελέτης θεμάτων ασφάλειας, εντούτοις είχε ξεκινήσει η φάση μετάβασης. Στις 17/4/2013 (ΠΟΛ.1076/ΦΕΚ Β' 949/18-04-2013) το ΥΠΟΙΚ ανακοίνωσε ουσιαστικά την παράταση της περιόδου οριστικής μετάβασης4, σύμφωνα με την οποία θα έπρεπε υποχρεωτικά να αναβαθμιστούν ανάλογα όλοι οι φορολογικοί μηχανισμοί και οι ταμειακές μηχανές, με καταληκτική ημερομηνία την 31/12/2013. Όπως ήταν φυσικό, η παράταση αυτή “πάγωσε” τη διαδικασία αναβάθμισης, όμως έδωσε το χρόνο να μελετηθεί καλύτερα το πρόγραμμα μετάβασης και να διαπιστωθούν τα τεράστια τεχνικά ζητήματα εφικτότητας και αξιοπιστίας που εν γένει περιείχε εξ' αρχής.
Ως μέρος της σχεδίασης και του ελέγχου εφικτότητας, ο σύνδεσμος εισαγωγέων και κατασκευαστών ταμειακών συστημάτων κατασκεύασε με δικά του έξοδα τον server συγκέντρωσης δεδομένων στη ΓΓΠΣ και τον Οκτώβριο του 2013 ο server ήταν έτοιμος. Η δοκιμαστική του λειτουργία δρομολογήθηκε να ξεκινήσει τον επόμενο μήνα, με μια λιτή ανακοίνωση της ΓΓΠΣ5 στις 5/11/2013, όμως τελικά ακυρώθηκε έπειτα από λίγες ημέρες, παρότι θα μπορούσε να αποδειχθεί εξαιρετικά χρήσιμο στάδιο ανάπτυξης για τη διασύνδεση σε πρώτη φάση περίπου 600 φορολογικοί μηχανισμοί ΕΑΦΔΣΣ και ταμειακές μηχανές νέου τύπου. Η λειτουργία του server ματαιώθηκε οριστικά τον Ιανουάριο του 2014, ενώ παράλληλα αναβλήθηκε η αποστολή των δεδομένων των ταμειακών μηχανών στη ΓΓΠΣ και αποφασίστηκε να υποβάλλονται νέες ηλεκτρονικές μηνιαίες καταστάσεις πελατών-προμηθευτών (Μ.Υ.Φ.), καθεστώς που εφαρμόζεται μέχρι και σήμερα.
Για να αποφευχθεί γενικευμένη αναστάτωση και πανικός σχετικά με τη λειτουργία του εν λόγω (πιλοτικού) server και τις πολύ σύντομες προθεσμίες ολοκλήρωσης της οριστικής μετάβασης στο νέο καθεστώς, αμέσως μετά την έναρξη της λειτουργίας του οι δύο καθ' ύλην αρμόδιοι, ο κ. Θεοχάρης (τότε γ.γ. ΓΓΔΕ) και ο κ. Μαυραγάνης (τότε Υφυπουργός Οικονομικών), με αλλεπάλληλες δηλώσεις και συνεντεύξεις6 κατέστησαν σαφές ότι η εφαρμογή της ΠΟΛ.1221, δηλαδή της online επικοινωνίας των ΕΑΦΔΣΣ με το TAXIS, είναι προαιρετική(!) Λίγο αργότερα, στις 20/12/2013, το ΥΠΟΙΚ εξέδωσε σχετική ανακοίνωση7, όπου αναφέρεται χαρακτηριστικά ότι:
«...η αναβάθμιση των φορολογικών μηχανισμών (φορολογικών ταμειακών μηχανών και ΕΑΦΔΣΣ) διατηρείται και καθίσταται προαιρετική... Η υποχρέωση αποστολής on-line αναλυτικών στοιχείων ανά συναλλαγή δεν θα υλοποιηθεί προς το παρόν.»
Σήμερα, τέσσερα χρόνια μετά την έναρξη του όλου εγχειρήματος, καθίσταται σαφές ότι οι αλλεπάλληλες παλινδρομήσεις και αναβολές εφαρμογής, αλλά πρωτίστως οι ίδιες οι προδιαγραφές του σχεδίου8, φανερώνουν τις τραγικές παραλείψεις, την προχειρότητα και την ανεπάρκεια όσων σε όλο αυτό το διάστημα κλήθηκαν να γνωμοδοτήσουν και να εγκρίνουν αποφάσεις επί αυτού.
Σε τεχνικό επίπεδο, υπάρχουν τρία πολύ σημαντικά ζητήματα που πρέπει να μελετηθούν επαρκώς:
-
τεχνική υποδομή, πρωτόκολλα, λογισμικό υποστήριξης
-
ασφάλεια συστήματος, εμπιστευτικότητα δεδομένων
-
χρόνος ομαλής μετάβασης της αγοράς (hardware, software)
Σε ότι αφορά το πρώτο, δηλαδή την τεχνική υποδομή, την ανάπτυξη του απαραίτητου λογισμικού και των κατάλληλων πρωτοκόλλων, είναι φανερό ότι η αρχικώς προταθείσα λύση ούτε ήταν εφικτή, ούτε δοκιμάστηκε ποτέ σε επιχειρησιακές συνθήκες για να αξιολογηθεί στην πράξη. Ειδικά για το ζήτημα της on-line σύνδεσης όλων των εν ενεργεία ταμειακών μηχανών με το TAXIS και τα πληροφοριακά συστήματα της ΓΓΠΣ, αξίζει να επισημανθεί ότι αναφερόμαστε πρακτικά σε εκατοντάδες χιλιάδες τέτοιες συσκευές, οι οποίες σε επίπεδο δικτύωσης και αρχιτεκτονικής θα αποτελούν τερματικούς κόμβους. Επιπλέον, η προτεινόμενη λύση βασίζεται στο κεντρικό data center της ΓΓΠΣ ως το καθολικό σημείο συγκέντρωσης των συνδέσεων αυτών και της εξυπηρέτησης, σε σχεδόν πραγματικό χρόνο (on-line), όλων των σχετικών αιτημάτων πρόσβασης στις βάσεις δεδομένων του συστήματος (DB/TAXIS). Συνεπώς, η προτεινόμενη λύση είναι μια αμιγώς κεντρικοποιημένη (centralized) αρχιτεκτονική, με δικτύωση πολύ μεγάλης γεωγραφικής έκτασης (WAN) και εκατοντάδες χιλιάδες τερματικούς κόμβους (ταμειακές μηχανές). Ταυτόχρονα, απαιτεί εξαιρετικά υψηλές απαιτήσεις ασφάλειας και αξιοπιστίας στον κεντρικό κόμβο (data center ΓΓΠΣ) λόγω της υπέρ-συγκέντρωσης εκεί όλων των DB με ευαίσθητα προσωπικά και φορολογικά δεδομένα, αναγκαστική χρήση της υπάρχουσας δημόσιας υποδομής και πρόσβασης μέσω Internet για την επικοινωνία και μάλιστα με αντίστοιχη ασφάλεια σε ότι αφορά την εμπιστευτικότητα και την αξιοπιστία των συνδέσεων αυτών. Πρακτικά, ακόμα και αν κάποιος αγνοήσει εντελώς τους παράγοντες του κόστους και του απαιτούμενου χρόνου για τη σωστή σχεδίαση, ανάπτυξη και επιχειρησιακή εγκατάσταση (deployment) του σχετικού λογισμικού και των νέων ταμειακών μηχανών, η ίδια η τεχνική λύση που προτείνεται μπορεί εύκολα να αξιολογηθεί ως εξαιρετικά αμφίβολη ως εντελώς ανέφικτη.
Η αναλυτική αξιολόγηση και η πλήρης τεχνική τεκμηρίωσή της είναι κάτι που προφανώς δεν μπορεί να αναπτυχθεί στο παρόν κείμενο. Παρόλα αυτά, υπάρχει πλούσια ελληνική και διεθνή βιβλιογραφία που εδώ και τουλάχιστον δύο δεκαετίες έχει προσδιορίσει τα πλεονεκτήματα των κατανεμημένων (distributed) έναντι των κεντρικοποιημένων (centralized) αρχιτεκτονικών, σε επίπεδο εφαρμογών λογισμικού9, βάσεων δεδομένων/εξυπηρετητών10 και δικτύωσης11. Οι έννοιες της κατανεμημένης επεξεργασίας και των πλεονεκτημάτων που προκύπτουν από αυτή ως σχεδιαστική επιλογή διδάσκονται σε όλα τα Πανεπιστήμια του κόσμου από τα πρώτα έτη σπουδών, ενώ τα τελευταία χρόνια έχουν γίνει κτήμα ακόμα και απλών χρηστών ψηφιακών συσκευών με την καθιέρωση Η/Υ με επεξεργαστές πολλαπλών πυρήνων (multi-core CPUs). Συνοπτικά, θα μπορούσε κανείς να αναφέρει τα εξής:
Πίνακας 1: Πλεονεκτήματα κατανεμημένων αρχιτεκτονικών
Οικονομία
Καλύτερος λόγος κόστους/απόδοσης
Ταχύτητα
Αθροιστικά μεγαλύτερη απόδοση (ταυτοχρονισμός)
Αξιοπιστία
Ανθεκτικότητα σε επιμέρους αστοχίες
Κλιμάκωση
Ευκολία επέκτασης/αύξησης υποδομής
Ασφάλεια
Αποκεντρωμένη διαχείριση δεδομένων/πρόσβασης
Με λίγα λόγια, μια αμιγώς κεντρικοποιημένη αρχιτεκτονική, όπως αυτή που προτείνεται με τη συγκέντρωση όλων των συνδέσεων των ταμειακών μηχανών απ' ευθείας στο data center της ΓΓΠΣ, χαρακτηρίζεται από εξαιρετικά υψηλή σχεδιαστική πολυπλοκότητα σε επίπεδο ικανοποίησης των (εξαιρετικά υψηλών) λειτουργικών απαιτήσεων, συγκριτικά πολύ αυξημένο κόστος υποδομής, μη σωστής αξιοποίησης των πολύ αυξημένων πόρων (resources) του συστήματος παρά μόνο στις ώρες/μέρες με το μέγιστο ρυθμό αιτημάτων (transactions), μειωμένης αξιοπιστίας (περίπτωση βλάβης), μειωμένης ασφάλειας (κεντρικοποιημένη συγκέντρωση/διαχείριση DB), κ.ο.κ.
Η ΕΠΕ έχει επισημάνει πολλές φορές στο παρελθόν12 τις τραγικές ελλείψεις στα θέματα Πολιτικής Ασφάλειας (Security Policy) στους δημόσιους οργανισμούς13, γεγονός που έχει επιβεβαιωθεί επισήμως και στη Βουλή από σχετική απάντηση14 του υπουργείου Εσωτερικών το 2011.
Ειδικά για το ζήτημα της αμιγώς κεντρικοποιημένης (centralized) αρχιτεκτονικής που έχει υιοθετηθεί εδώ και πολλά χρόνια σε όλα σχεδόν τα πληροφοριακά συστήματα του Δημοσίου, η ΕΠΕ έχει επανειλημμένως επισημάνει πόσο επικίνδυνο είναι αυτό το μοντέλο διαχείρισης στο σύστημα TAXIS και πόσες φορές η αντίστοιχες διαδικασίες της ΓΓΠΣ έχουν οδηγήσει στο παρελθόν σε σοβαρότατες παραβιάσεις και διαρροές προσωπικών και φορολογικών δεδομένων, με ανυπολόγιστο πραγματικό κόστος για εκατομμύρια πολίτες και επιχειρήσεις15.
Οι κίνδυνοι αυτοί, αντί να μετριάζονται, επιτείνονται πλέον ακόμα περισσότερο, με την εφαρμογή νέων διατάξεων και κανονισμών16 σχετικά με την πλήρη πρόσβαση εκ μέρους των συστημάτων της Γενικής Γραμματείας Δημοσίων Εσόδων (ΓΓΔΕ) στους τραπεζικούς λογαριασμούς όλων των πολιτών και των επιχειρήσεων. Η δυνατότητα αυτή, αν και τεκμηριώνεται για λόγους φορολογικούς και εντοπισμού “μαύρου” χρήματος, εντούτοις αυξάνει κατακόρυφα την έκθεση προσωπικών, φορολογικών και τραπεζικών δεδομένων, αναλυτικά πλέον ανά μεμονωμένη συναλλαγή και όχι απλά ως λογιστικά αθροίσματα, σε βάθος 10ετίας17.
Σε πρόσφατη συνέντευξή του18 ο κ. Δ. Σπινέλλης, καθηγητής Πληροφορικής στην ΑΣΟΕΕ και πρώην γ.γ. της ΓΓΠΣ αναφέρει, χαρακτηριστικά ότι:
«Τα προσωπικά δεδομένα διασφαλίζονται αποτελεσματικότερα εάν φυλάσσονται αποκεντρωμένα (για παράδειγμα, οι τράπεζες να ρωτιούνται για συγκεκριμένα δεδομένα βάσει κριτηρίων αντί να τα στέλνουν μαζικά στο υπουργείο Οικονομικών). Επίσης, πρέπει να υπάρχει διαφάνεια στην πρόσβαση στα δεδομένα: ο κάθε πολίτης να μπορεί άμεσα να γνωρίζει ποιος υπάλληλος είδε τα δεδομένα του και για ποιο λόγο.»
Στο ίδιο άρθρο αναφέρεται ότι η πρόσφατη καταγγελία του αναπληρωτή υπουργού Οικονομικών, κ. Τρύφωνα Αλεξιάδη, ότι παραβιάστηκε το φορολογικό του προφίλ (προσωπικά στοιχεία του στο TAXIS, ΓΓΠΣ και ΓΓΔΕ) δεν εξέπληξε κανέναν. Και επισημαίνεται ότι:
“...Η αυξανόμενη συσχέτιση δεδομένων του Δημοσίου με τραπεζικά δεδομένα και η σύσταση περιουσιολογίου, προκειμένου να ικανοποιηθεί η σχετική απαίτηση του Μνημονίου για ανεξαρτητοποίηση της Γενικής Γραμματείας Δημοσίων Εσόδων και την πάταξη της παραοικονομίας, βρίσκουν το Δημόσιο ανέτοιμο να αντεπεξέλθει και ευάλωτο σε επιθέσεις...”
Σύμφωνα με το άρθρο, το 2015 σταμάτησαν οι έλεγχοι και οι υποχρεωτικές αναφορές συμμόρφωσης εκ μέρους της ΓΓΠΣ προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Οι υποχρεώσεις αυτές είχαν επιβληθεί ως αποτέλεσμα της τελεσίδικης καταδίκης19 της πρώτης για τη μαζική διαρροή προσωπικών και φορολογικών δεδομένων του TAXIS το 2013, υπόθεση για την οποία η ΕΠΕ είχε καταθέσει επίσημη καταγγελία στην ΑΠΔΠΧ20.
Είναι εντελώς παράλογο και πέρα από κάθε τεχνική τεκμηρίωση, μια υποδομή που έχει αποδεδειγμένα αξιολογηθεί ως εν γένει επικίνδυνη (high-risk) σε σχέση με παραβιάσεις ασφάλειας για συστημικούς και όχι απλά για πρόσκαιρους/πρακτικούς λόγους, να συνεχίσει να αποτελεί τη βασική προτεινόμενη λύση αρχιτεκτονικής και μάλιστα για το μεγαλύτερο ίσως σε κλίμακα και ένταση χρήσης πληροφοριακό σύστημα της χώρας (TAXIS).
Οι παραπάνω διαπιστώσεις καθίστανται ακόμη πιο κρίσιμες και ανησυχητικές εφόσον ταυτόχρονα στις αναφορές των κειμένων, τόσο της συμφωνίας με τους Ευρωπαίους εταίρους (βλ. [1]), όσο και του αντίστοιχου Νόμου (βλ. [2]), καθορίζεται ρητά ότι τα εν λόγω έργα ΤΠΕ θα υλοποιηθούν κατ' εξαίρεση με απ' ευθείας ανάθεση σε αναδόχους, πέρα και πάνω από κάθε άλλη σχετική διαδικασία που προβλέπεται σε ανάλογες περιπτώσεις προμηθειών του Δημοσίου και χωρίς καμία συγκεκριμένη αναφορά σε απαιτήσεις διασφάλισης ποιότητας, δηλαδή την εφαρμογή και αυστηρή τήρηση διεθνών προτύπων ελέγχου/διασφάλισης ποιότητας σε έργα ΤΠΕ (π.χ. λογισμικού: Software Quality Assurance – SQA, όπως ISO, CMMI, κτλ).
3. Επισημάνσεις σχετικά με την προώθηση ηλεκτρονικών συναλλαγών (Ζήτημα 2ο)
Οι ψηφιακές τεχνολογίες και τα σύγχρονα τηλεπικοινωνιακά δίκτυα καθιστούν σήμερα τις ηλεκτρονικές συναλλαγές μέρος της καθημερινότητας του πολίτη. Το τραπεζικό σύστημα, οι εμπορικές συναλλαγές και αγοραπωλησίες αγαθών και υπηρεσιών από απόσταση, αλλά και οι ίδιες αυτές οι υπηρεσίες ως βασική προστιθέμενη αξία στον τομέα των ΤΠΕ ως μέρος της Οικονομίας, αποτελούν σημαντικότατο παράγοντα στην οικονομική ανάπτυξη και στην κανονική ροή χρήματος εντός και εκτός συνόρων. Τους τελευταίους δύο μήνες, με την επιβολή των ειδικών περιορισμών στις τραπεζικές αναλήψεις και στα εμβάσματα (capital controls), οι πολίτες είχαν την ευκαιρία και ταυτόχρονα την ανάγκη να εμπλακούν πολύ περισσότερο, μερικοί για πρώτη φορά, με τις εμπορικές συναλλαγές μέσω χρεωστικών/πιστωτικών καρτών ή αυτό που πρακτικά ονομάζεται “πλαστικό χρήμα”.
Θα πρέπει να σημειωθεί πως, ενώ οι πρακτικές των ηλεκτρονικών συναλλαγών και των πληρωμών μέσω καρτών είναι πολύ διαδεδομένες σε άλλες χώρες, εντούτοις απαιτούν κάποιο στοιχειώδες επίπεδο ψηφιακής Παιδείας και βασικής ενημέρωσης για θέματα που καθορίζουν τη σωστή ή μη χρήση τους.
Συγκεκριμένα, η χρήση χρεωστικών ή πιστωτικών καρτών, που σχεδόν πάντα συνοδεύονται από μηχανισμούς ελέγχου πρόσβασης τύπου προσωπικού αριθμού ταυτοποίησης (Personal Identification Number – PIN), πρέπει πάντα να ακολουθεί συγκεκριμένα πρωτόκολλα ασφάλειας. Μεταξύ άλλων, ο προσωπικός αριθμός PIN διασφαλίζει τον έλεγχο πρόσβασης στα (κρυπτογραφημένα) δεδομένα της κάρτας, όμως δεν αποτελεί από μόνος του μηχανισμός ταυτοποίησης του κατόχου – αυτό πρέπει να γίνεται πάντα ξεχωριστά και παράλληλα, συνήθως με κάποιο γνήσιο έγγραφο που φέρει φωτογραφία ή υπογραφή μαζί με το ονοματεπώνυμο (το βασικό στοιχείο αναγνώρισης) και που ταυτίζει με αδιαμφισβήτητο τρόπο τον χρήστη της κάρτας με το νόμιμο κάτοχό της. Επίσης, ο προσωπικός αριθμός PIN είναι αυστηρά “προσωπικός”, δεν γνωστοποιείται ποτέ και υπό οποιασδήποτε συνθήκες σε τρίτους, ούτε καν σε άτομα που συστήνονται ως υπάλληλοι της τράπεζας έκδοσης. Αυτό είναι κάτι που συχνά παραβλέπεται, συνήθως από ανθρώπους μεγαλύτερης ηλικίας με περιορισμένη ευχέρεια στη χρήση των νέων τεχνολογιών και που τα πρώτα χρόνια της χρήσης των χρεωστικών καρτών στα αυτόματα τραπεζικά μηχανήματα (ΑΤΜ) είχε οδηγήσει σε εξαιρετικά επικίνδυνες πρακτικές, όπως για παράδειγμα την αναγραφή του PIN στο πίσω μέρος της ίδιας της κάρτας ή σε κάποιο χαρτάκι μαζί με αυτή στο πορτοφόλι.
Εκτός από τη σωστή χρήση των προϊόντων “πλαστικού χρήματος” από τους απλούς πολίτες-πελάτες των τραπεζών, πολύ μεγαλύτερη ευθύνη στη σωστή τήρηση των πρωτοκόλλων ασφαλείας φέρουν οι ίδιες οι τράπεζες και η ποιότητα των συστημάτων που διαθέτουν σε αυτή την υποδομή. Τις προηγούμενες δεκαετίες υπήρξαν πολλές περιπτώσεις όπου η ασφάλεια των πιστωτικών καρτών ήταν εξαιρετικά χαμηλή. Για παράδειγμα, τη δεκαετία του '80 παγκόσμιος τραπεζικός όμιλος εξέδιδε πιστωτικές κάρτες όπου ο 16ψήφιος αριθμός αναγνώρισης δεν ήταν τυχαίος αλλά κατασκευαζόταν με βάση το όνομα του αναφερόμενου κατόχου, με αποτέλεσμα η ανακάλυψη της αντίστοιχης συνάρτησης και του κλειδιού αρχικοποίησης (seed) να είναι αρκετά για την κατασκευή εκατοντάδων χιλιάδων πλαστών καρτών που όμως γίνονταν αποδεκτές από το σύστημα σε εμπορικές συναλλαγές. Τα τελευταία χρόνια η τεχνολογίες των πιστωτικών/χρεωστικών καρτών έχει αναβαθμιστεί σε πολύ υψηλότερα επίπεδα, ιδιαίτερα με τη χρήση πλέον καρτών με μικροεπεξεργαστές (smart-cards), όμως η εμφάνιση νέων τραπεζικών προϊόντων όπως οι κάρτες για ασύρματες συναλλαγές και η περιορισμένη ενημέρωση των χρηστών τους για τα ζητήματα ασφάλειας έχει συχνά ως αποτέλεσμα την εσφαλμένη αντίληψη σχετικά με τους κινδύνους που υπάρχουν – αυτό που συχνά αποκαλείται “άγνοια κινδύνου”.
Θα πρέπει επιπλέον να επισημανθεί ότι στην περίπτωση των ηλεκτρονικών συναλλαγών μέσω Η/Υ για τραπεζικές πράξεις (e-Banking) ή για εμπορικές πράξεις (e-Shopping), οι παραπάνω κίνδυνοι είναι αυξημένοι και πολύ πιο δύσκολο να αναγνωριστούν στη σωστή τους διάσταση όταν δεν υπάρχει η σχετική εξοικείωση και Παιδεία με τις ψηφιακές τεχνολογίες. Παρότι οι τραπεζικοί οργανισμοί τα τελευταία χρόνια έχουν αφιερώσει μεγάλο μέρος των πόρων και του προσωπικού τους στα θέματα ασφάλειας της πληροφοριακής τους υποδομής (IT infrastructure), εντούτοις δεν μπορούν να επιβάλλουν αντίστοιχους ελέγχους σε κάθε επιμέρους Η/Υ των τελικών χρηστών-πελατών τους συστήματος e-Banking. Το αποτέλεσμα είναι οι χρήστες να ενημερώνονται μεν, τακτικά και λεπτομερώς, για τυχόν κινδύνους και πρακτικές που ίσως θέτουν σε κίνδυνο το λογαριασμό τους, που όμως σε πολύ μεγάλο βαθμό αγνοούνται ή δεν τηρούνται επαρκώς, όπως για παράδειγμα παράλειψη ενημερώσεων ασφαλείας για το λειτουργικό σύστημα, παράλειψη τακτικών ελέγχων ή παντελής απουσία προγραμμάτων προστασίας από ιομορφικό λογισμικό (spyware, viruses, key-loggers, κτλ), παράλειψη της τακτικής αλλαγής κωδικών πρόσβασης ή χρήση κρυπτογραφικά ασθενών μοτίβων (weak passwords), κ.ο.κ.
Για όλα τα παραπάνω, κάθε πιθανή παραβίαση ασφάλειας έχει ως αποτέλεσμα πολλαπλάσιο κόστος για τον αντίστοιχο χρηματοπιστωτικό φορέα (συνήθως τράπεζα) και μεμονωμένο κόστος για τον τελικό χρήστη-πελάτη. Έτσι, ο φορέας αυτός αναγκαστικά δίνει έμφαση κατά προτεραιότητα στη διαχείριση ρίσκου ως προς τη δική του πλευρά, δηλαδή του “server”, παρά προς την πλευρά του χρήστη, δηλαδή του “client” στο σύστημα. Αυτό σημαίνει ότι, τυπικά, η αποτίμηση ρίσκου περιλαμβάνει συστηματική εκτίμηση των πιθανών κινδύνων, αξιολόγησής τους σε επίπεδο πιθανοτήτων και εφαρμογή αντιστρόφως ανάλογων περιορισμών κίνησης, ώστε το τελικό αναμενόμενο κόστος σε περίπτωση παραβίασης της ασφάλειας να είναι στατιστικά αποδεκτό. Αυτό γίνεται φανερό από το γεγονός ότι, για παράδειγμα, οι κλασικές πιστωτικές “σάρωσης” όπου απαιτείται πρόσθετη αναγνώριση του κατόχου με επίδειξη ταυτότητας έχουν κατά κανόνα πολλαπλάσιο (τυπικά 10-50 φορές) άνω όριο συναλλαγών σε σχέση με τις νεότερες πιστωτικές κάρτες ασύρματης σύνδεσης όπου η διαδικασία αναγνώρισης εμπεριέχει μεγαλύτερους κινδύνους παραβίασης. Σε περιπτώσεις όπου και η πλευρά του “client” είναι σε μεγάλο βαθμό υπό τον έλεγχο του φορέα, όπως για παράδειγμα τα μηχανήματα ΑΤΜ των τραπεζών, εφαρμόζονται αντίστοιχες διαδικασίες διαχείρισης ρίσκου, οι οποίες πρακτικά καθορίζουν τα άνω όρια συναλλαγών (μέγιστο ποσό ανάληψης ανά ημέρα).
Δυστυχώς, στην περίπτωση των ηλεκτρονικών συναλλαγών μέσω δικτύου, δηλαδή e-Banking και e-Shopping, η διαχείριση ρίσκου εκ μέρους του φορέα για την πλευρά του “client” είναι εξαιρετικά περιορισμένη ως πρακτικά ανέφικτη. Ειδικά πρωτόκολλα με ισχυρή κρυπτογράφηση και κατάλληλη δημιουργία/αποθήκευση των αντίστοιχων ψηφιακών κλειδιών είναι ικανά να προσφέρουν θεωρητικά απαραβίαστα συστήματα, όμως ποτέ δεν μπορεί να διασφαλιστεί η άψογη πρακτική χρήση τους, ειδικά στην πλευρά του τελικού χρήστη-πελάτη της υπηρεσίας e-Banking ή e-Shopping. Οι φορείς που παρέχουν αυτές τις υπηρεσίες αποδέχονται πλέον το ρίσκο, είτε ως εγγύηση επιστροφής χρημάτων (refund) είτε ως εγγύηση κάλυψης ποσού (cap) σε περίπτωση μη εξουσιοδοτημένης συναλλαγής, επειδή ακριβώς το αναμενόμενο κέρδος συνολικά από την ψηφιακή αγορά είναι πλέον πολύ σημαντικό εδώ και τουλάχιστον μία δεκαετία. Για τη βελτίωση του επιπέδου ασφάλειας στην πλευρά του “client” οι τράπεζες συνήθως διαθέτουν μηχανισμούς διπλής (2-tier) ή τριπλής (3-tier) ταυτοποίησης του εκάστοτε χρήστη, εφαρμόζοντας ταυτοποίηση με συνδυασμό username/password, ή επιπρόσθετα και με συσκευή-γεννήτρια αριθμών ταυτοποίησης μεμονωμένων συναλλαγών (Transaction Authentication Number – TAN), ή επιπρόσθετα με συσκευές-γεννήτριες ΤΑΝ που απαιτούν και την κάρτα ανάληψης ΑΤΜ για να λειτουργήσουν. Ακόμα και σε αυτές τις περιπτώσεις, η παραβίαση της ασφάλειας του Η/Υ του τελικού χρήστη και η εγκατάσταση ιομορφικού λογισμικού είναι δυνατό να επιτρέψουν την παράκαμψη των κρυπτογραφικών πρωτοκόλλων και την πραγματοποίηση εικονικών συναλλαγών εν αγνοία του. Τόσο η Ελληνική Ένωση Τραπεζών, όσο και το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος επισημαίνει τακτικά τους κινδύνους αυτούς21 και κατά καιρούς ασχολείται με συγκεκριμένες υποθέσεις που όπως είναι φυσικό εκτείνονται σε παγκόσμια κλίμακα στο Internet με τεράστιο κόστος22.
Τα παραπάνω είναι απλά ένα δείγμα του πόσο σημαντικό είναι η προώθηση των ηλεκτρονικών συναλλαγών και της χρήσης “πλαστικού χρήματος” να γίνει σωστά, μεθοδικά και με συγκεκριμένο χρονοδιάγραμμα. Η πρόσφατη επιβολή των περιορισμών στις τραπεζικές συναλλαγές (capital controls) κατέστησαν σαφές ευρύτερα στην κοινωνία τη χρησιμότητα της νέας “ηλεκτρονικής” οικονομίας, όμως ταυτόχρονα ανέδειξαν με τον πιο σαφή τρόπο τα προβλήματα ψηφιακού αναλφαβητισμού και του αντίστοιχου χάσματος που υπάρχει ανάμεσα σε κοινωνικές και ηλικιακές ομάδες του πληθυσμού. Σύμφωνα με πρόσφατη μελέτη23 του Κέντρου Προγραμματισμού και Οικονομικών Ερευνών (ΚΕΠΕ), ένας στους τρεις Έλληνες δεν έχει χρησιμοποιήσει ποτέ το Internet, δύο στις πέντε ελληνικές επιχειρήσεις δεν διαθέτουν εταιρικό ιστότοπο και μία στις πέντε δεν διαθέτουν σταθερή ευρυζωνική σύνδεση (ADSL/VDSL), ενώ η Ελλάδα συνολικά κατατάσσεται στην 26η θέση ανάμεσα στα 28 κράτη-μέλη της Ε.Ε. στο σχετικό δείκτη Ψηφιακής Οικονομίας (The Digital Economy and Society Index – DESI).
Είναι φανερό ότι χωρίς την άμεση ψηφιακή αναβάθμιση της κοινωνίας και της χώρας συνολικά, ουσιαστική και όχι απλά σε επίπεδο μετατροπής κονδυλίων σε δωροεπιταγές (vouchers) αγοράς Η/Υ όπως έχει γίνει επανειλημμένα στο παρελθόν, δεν μπορεί να υπάρξει πραγματικά καμία “ηλεκτρονική” Οικονομία.
4. Επισημάνσεις σχετικά με τον τομέα της Υγείας (Ζήτημα 3ο)
Στο τρίτο σημείο ενδιαφέροντος, τόσο το κείμενο της συμφωνίας με τους Ευρωπαίους εταίρους (βλ. [1]), όσο και ο Νόμος που ψηφίστηκε (βλ. [2]), αναφέρουν λεπτομερώς τις αλλαγές που πρέπει να γίνουν σε διάστημα λίγων μηνών ως τριών ετών στον τομέα Υγείας σε σχέση με έργα και υπηρεσίες ΤΠΕ. Συγκεκριμένα, προβλέπεται η ολοκλήρωση του ηλεκτρονικού συστήματος συνταγογράφησης (e-prescription) και η επέκτασή του με το αντίστοιχο σύστημα παραπεμπτικών (e-referrals) ιατρικών πράξεων, καθώς και η υλοποίηση ενός ολοκληρωμένου συστήματος ηλεκτρονικού φακέλου ασθενούς (patient e-record) ως μέρος της μηχανοργάνωσης ολόκληρου του τομέα Υγείας. Προβλέπεται επίσης η επέκταση των θεραπευτικών πρωτοκόλλων, δηλαδή η αναθεώρηση και η ενσωμάτωση νέων οδηγιών, π.χ. για τις παρεχόμενες προληπτικές εξετάσεις, στα παραπάνω πληροφοριακά συστήματα.
Όπως και στην περίπτωση των νέων φορολογικών συστημάτων (βλ. Ζήτημα 1ο), έτσι και εδώ δεν αναφέρεται ρητά καμία διαδικασία τεκμηρίωσης, διασφάλισης ποιότητας, ελέγχου προδιαγραφών και παραδοτέων, κτλ, για την ανάπτυξη των νέων αυτών πληροφοριακών συστημάτων.
Σε τεχνικό επίπεδο, υπάρχουν τρία πολύ σημαντικά ζητήματα που πρέπει να μελετηθούν επαρκώς:
-
τεχνική υποδομή, πρωτόκολλα, λογισμικό υποστήριξης
-
ασφάλεια συστήματος, εμπιστευτικότητα δεδομένων
-
χρόνος ομαλής μετάβασης της αγοράς (hardware, software)
Τα παραπάνω έχουν αναλυθεί ήδη επαρκώς για τα νέα φορολογικά συστήματα (βλ. Ζήτημα 1ο), ειδικότερα σε ότι αφορά την ανάγκη για υιοθέτηση αμιγώς κατανεμημένων αρχιτεκτονικών και τη διασφάλιση της μέγιστης αξιοπιστίας, ανεκτικότητας σε αστοχίες (λογισμικού, υλικού, δικτύων), καθώς και ασφάλειας του συστήματος ειδικότερα σε ότι αφορά: (α) την προστασία προσωπικών δεδομένων και (β) την πιστοποίηση των συναλλαγών και των πράξεων που καταχωρούνται (π.χ. συνταγογράφηση).
Δυστυχώς, η μέχρι τώρα εμπειρία τα τελευταία χρόνια με την ανάπτυξη του ηλεκτρονικού συστήματος συνταγογράφησης είναι κάθε άλλο παρά ενθαρρυντική. Αντίθετα, εκθέτει με τον πιο σαφή και αδιαμφισβήτητο τρόπο τις ανεπάρκειες και τις σοβαρότατες παραβλέψεις των σημερινών διαδικασιών στα έργα ΤΠΕ και που σε τεχνικό επίπεδο θα έπρεπε να είναι αυτονόητες.
Η αρχική προκήρυξη του πιλοτικού έργου24 για την ηλεκτρονική συνταγογράφηση έγινε το 2010 από την Κοινωνία της Πληροφορίας (ΚτΠ) Α.Ε. και προέβλεπε συνολικό κόστος ύψους 125.460 €. Σύμφωνα με στοιχεία25 της Ηλεκτρονικής Διακυβέρνησης Κοινωνικής Ασφάλισης (ΗΔΙΚΑ), προέβλεπε (Οκτ.2010) εφαρμογή αρχικά μόνο στον ΟΑΕΕ, για 9.500 φαρμακοποιούς, 4.100 ιατρούς και συνολικά 8.100 συνταγογραφήσεις την ημέρα. Τον Ιανουάριο του 2011 προβλεπόταν επέκταση της εφαρμογής και στα υπόλοιπα ασφαλιστικά ταμεία, το Σεπτέμβριο του 2011 η ολοκλήρωση του διαγωνισμού για το τελικό (πλήρες) σύστημα και το Μάιο του 2012 η έναρξη της ολοκληρωμένης πλατφόρμας της ΗΔΙΚΑ. Προφανώς οι προδιαγραφές αυτές αφορούν ένα ελάχιστο κλάσμα του πραγματικού μεγέθους ενός τέτοιου συστήματος (βλ. παρακάτω), είναι οριακά επαρκείς για μια απλή μελέτη εφικτότητας και φυσικά πρέπει να εντάσσονται με συγκεκριμένο τρόπο και σχεδιαστικούς στόχους26 στη συνολική ανάπτυξη του συστήματος, αντί να παρουσιάζουν ένα σύστημα που “απλά δουλεύει, προς το παρόν”.
Δυστυχώς, τα πράγματα εξελίχθηκαν κάθε άλλο παρά ομαλά. Το αρχικό αυτό πιλοτικό σύστημα ολοκληρώθηκε από την εταιρία-ανάδοχο(“Α”) με συνολικό κόστος περίπου 69.000 €, όμως η ΗΔΙΚΑ προειδοποίησε εγγράφως ότι δεν τηρούσε τις αρχικές προδιαγραφές. Παρόλα αυτά το έργο παραλήφθηκε από την ΚτΠ για να μην υπάρξει πρόβλημα με την ένταξή του στο πρόγραμμα ΕΣΠΑ, ενώ ακολούθησαν αλλεπάλληλες επεκτάσεις των συμβάσεων με πρόσθετα κόστη. Οι προκηρύξεις των ενδιάμεσων έργων (2011-2012) για την ολοκληρωμένη πλατφόρμα είτε δεν τελεσφόρησαν, είτε παρέμειναν για πολλούς μήνες στα δικαστήρια λόγω ενστάσεων, είτε ακυρώθηκαν με απαίτηση της τότε “τρόικας” των Ευρωπαίων εταίρων λόγω ανεπάρκειας σε επίπεδο προδιαγραφών και πρακτικής εφαρμογής. Το πιλοτικό σύστημα που ήταν σε χρήση υπέστη τροποποιήσεις και επεκτάσεις από την ΗΔΙΚΑ, δημιουργώντας σχεδόν ένα νέο σύστημα εξ' αρχής, έτσι ώστε να μπορέσει να καλύπτει όλο και μεγαλύτερο πλήθος υπηρεσιών και χρηστών, σύμφωνα με το αρχικό χρονοδιάγραμμα. Παράλληλα, μέρος της υποδομής και της λειτουργικότητας σε επίπεδο καταχώρησης χειρόγραφων συνταγών στα φαρμακεία είχε αναλάβει μια δεύτερη εταιρία-ανάδοχος (“Β”).
Το Σεπτέμβριο του 2012 η ΗΔΙΚΑ παρουσίασε την πρόοδο των εργασιών αυτών στο διάστημα των δύο ετών (στοιχεία Αυγ.2012): κάλυψη του 95% των φαρμακείων (=10.764), 80% των ιατρών (=37.566), 90% του συνόλου των συνταγών (10 εκ. το μήνα), ημερήσια κίνηση συνταγών 450-700k (prescribed+executed) με αντίστοιχο ταμειακό ισοδύναμο περίπου 6,6 εκατ. €, εβδομαδιαία κίνηση >2,5 εκατ. συνταγών, μέσος χρόνος καταχώρησης/εκτέλεσης συνταγής <3 λεπτά. Όλα τα παραπάνω στοιχεία θα ήταν πραγματικά αξιοθαύμαστα, αν δεν υπήρχε η καθημερινή πρακτική χρήση του συστήματος από φαρμακοποιούς και ιατρούς που μαρτυρούσε το αντίθετο. Για παράδειγμα, επώνυμες καταγγελίες27 από μέλη του Ιατρικού Συλλόγου Αθηνών (ΙΣΑ), αλλά και από τον ίδιο τον ΙΣΑ28, αναφέρουν ότι παρατηρούνται σοβαρότατα προβλήματα, μεταξύ άλλων:
-
Αδυναμία αρχικής σύνδεσης στο σύστημα (drop-out)
-
Αδυναμία μόνιμης σύνδεσης στο σύστημα (session-based)
-
Μεγάλος αριθμός απαιτούμενων πληκτρολογήσεων
-
Μεγάλος χρόνος αναμονής για την επεξεργασία των αιτήσεων
-
Μη λειτουργική σχεδίαση διεπαφών (user interface)
-
Σοβαρότατα λάθη στην διαθέσιμη λίστα φαρμάκων και κωδικών ICD-10
-
Αδυναμία συνομιλίας με το γραφείο υποστήριξης (support desk)
Όπως αναφέρει ο ΙΣΑ, στις πρώτες ημέρες κάθε μήνα, όπου παρατηρείται ο μεγαλύτερος ρυθμός καταχώρησης συνταγών, το σύστημα σχεδόν καταρρέει για αρκετές ώρες καθημερινά. Οι χρήστες, φαρμακοποιοί και ιατροί, είτε αδυνατούν να συνδεθούν στο σύστημα, είτε αποσυνδέονται ξαφνικά και χωρίς δυνατότητα επανάκτησης της προηγούμενης συνταγογράφησης, είτε η επεξεργασία κάθε βήματος (“οθόνης”) διαρκεί 20-30 δευτερόλεπτα και η συνολική διαδικασία καταχώρησης μίας και μόνο συνταγής μπορεί να αγγίζει ως και τα 30 λεπτά.
Από τεχνικής άποψης, τα παραπάνω προβλήματα είναι απόλυτα αναμενόμενα. Εφόσον οι προδιαγραφές του (πιλοτικού) συστήματος είναι για πολύ μικρότερο αριθμό χρηστών και, κυρίως, το πλήθος των καθημερινών συναλλαγών είναι αποδεδειγμένα (στοιχεία ΗΔΙΚΑ) ως και 86 φορές περισσότερες από την αρχική σχεδίαση, είναι φυσικό το σύστημα να μην μπορεί να λειτουργήσει σωστά. Θα πρέπει να επισημανθεί και πάλι ότι, όπως και στα αντίστοιχα φορολογικά συστήματα, τα προβλήματα αυτά σε καμία περίπτωση δεν μπορούν να επιλυθούν αποτελεσματικά και μόνιμα απλά και μόνο με αναβάθμιση της υποδομής σε επίπεδο υλικού (hardware). Πρόκειται για προσφορά δικτυακής υπηρεσίας (network service) που βασίζεται σε λογισμικό ειδικής επεξεργασίας, όχι απλά πρόσβαση σε ιστοσελίδες ή γενικό περιεχόμενο (web content). Συνεπώς το ίδιο το λογισμικό πρέπει να έχει σχεδιαστεί εξ' αρχής με το σωστό τρόπο, έτσι ώστε να μπορεί να κλιμακώνεται (scale-up) αντίστοιχα με την όποια επέκταση της υπολογιστικής ή/και δικτυακής υποδομής στην οποία λειτουργεί. Το συμπέρασμα αυτό έχει αποδειχθεί πολλές φορές στο παρελθόν με τις αμέτρητες αναβαθμίσεις του TAXIS και ιδιαίτερα των υπηρεσιών που είναι πλέον προσβάσιμες στους πολίτες μέσω του διαδικτύου: τεράστιο κόστος συνεχούς αναβάθμισης της αμιγώς “κεντρικοποιημένης” υπολογιστικής υποδομής (νέα data centers) της ΓΓΠΣ, πολυδιάσπαση των εφαρμογών και των DB σε λογικό και φυσικό επίπεδο, συνεχείς αναβαθμίσεις του υπάρχοντος λογισμικού-πυρήνα και παρόλα αυτά συνεχή προβλήματα πρόσβασης και αξιόπιστης λειτουργίας στις περιόδους υψηλής κίνησης (π.χ. μήνες υποβολής δηλώσεων φορολογίας εισοδήματος, ακίνητης, περιουσίας, τελών κυκλοφορίας, κτλ).
Τον Απρίλιο του 2012 (προεκλογικά) η ΕΟΠΥΥ προέβη σε άμεση προκήρυξη29 έργου με τίτλο: “Παροχή συμφωνημένου επιπέδου υπηρεσιών παραγωγικής λειτουργίας, υποστήριξη παραγωγικής λειτουργίας, παραμετροποίηση λογισμικού εφαρμογών και μεταφορά τεχνογνωσίας του συστήματος αυτοματοποιημένης διαχείρισης συνταγών του ΕΟΠΥΥ”. Το συγκεκριμένο έργο προέβλεπε “διαδικασία της κατεπείγουσας διαπραγμάτευσης” με τη νυν ανάδοχο εταιρία (“Β”) και τελικά δόθηκε με απ' ευθείας ανάθεση30 με κόστος 950.000 €. Φυσικά τα προβλήματα με το σύστημα συνταγογράφησης δεν αντιμετωπίστηκαν επαρκώς, αφού κατά γενική ομολογία το συγκεκριμένο έργο ήταν στην ουσία η επέκταση της σύμβασης που υπήρχε ήδη με τη συγκεκριμένη εταιρία, με σκοπό να διατηρηθεί έστω το υπάρχον σύστημα (αφού δεν υπήρχε τίποτα άλλο ως εναλλακτικό) και να ενσωματωθεί σε αυτό η δυνατότητα σάρωσης (scanning) χειρόγραφων συνταγών.
Σύμφωνα με την ΗΔΙΚΑ και το υπουργείο Υγείας, ο συνολικός προϋπολογισμός για την ανάπτυξη της τελικής πλατφόρμας συνοδεύεται από κόστος που αγγίζει τα 20-25 εκατ. € για μια 5ετία, μεγάλο μέρος των οποίων προβλέπεται να καλυφθεί από Ευρωπαϊκούς πόρους μέσω ΕΣΠΑ, εφόσον φυσικά πρόκειται για τεχνικώς άρτια και τεκμηριωμένη πρόταση. Τον Απρίλιο του 2014 κατακυρώθηκε31 το συνολικό έργο σε κοινοπραξία εταιριών-αναδόχων (“Γ”)32, με συνολικό κόστος 12 εκατ. € (+ΦΠΑ) και χρόνο υλοποίησης 18 μήνες. Η διαδικασία ξεκίνησε 26/3/2012 και διεξήχθη σε δύο φάσεις. Λόγω της σπουδαιότητας του έργου συστήθηκε και Διακομματική Επιτροπή για την παρακολούθηση και έλεγχο της διαδικασίας.
Όμως τα προβλήματα του τρέχοντος ηλεκτρονικού συστήματος συνταγογράφησης δεν περιορίζονται στις δυσλειτουργίες και στις καθυστερήσεις υλοποίησης. Παράλληλα με τη λειτουργία του άρχισαν να γίνονται γνωστές αλλεπάλληλες παραβιάσεις ασφάλειας σε επίπεδο πρόσβασης στις DB, εισαγωγή πλαστών συνταγογραφήσεων, χρήση μη υπαρκτών στοιχείων ασφαλισμένων, κτλ. Αποκορύφωμα αποτελεί ίσως η δημοσιοποίηση της επιτυχημένης (όπως διαπιστώθηκε αργότερα μέσω εσωτερικών διασταυρώσεων στοιχείων) επίθεσης από χάκερς33 τον Απρίλιο του 2012 και για διάστημα αρκετών εβδομάδων. Σύμφωνα με τα στοιχεία που ανέλυσε το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος (ΣΔΗΕ), η επίθεση προήλθε συντονισμένα από 15 διαφορετικά σημεία-αφετηρίες σε 12 χώρες (αν και αυτό αμφισβητείται ως προς τη σκοπιμότητά του34) και είχε ως αποτέλεσμα την εισαγωγή ή/και διεκπεραίωση τουλάχιστον 1,5 εκατ. πλαστών συνταγογραφήσεων35, με αντίστοιχο αναμενόμενο κόστος για τα ασφαλιστικά ταμεία περίπου 70 εκατ. € αν είχαν εκτελεστεί όλες με μέσο κόστος περίπου 47 € ανά συνταγή. Το εκτιμώμενο αυτό ποσό ισοδυναμεί με πέντε φορές το κόστος του ίδιου του έργου ανάπτυξης της ολοκληρωμένης πλατφόρμας. Επιπλέον, δεν διαπιστώθηκε ποτέ η σοβαρότητα και η έκταση της διαρροής προσωπικών και ιατρικών δεδομένων, κόστος το οποίο έτσι κι αλλιώς είναι εξαιρετικά δύσκολο να αποτιμηθεί με ακρίβεια σε ανάλογες περιπτώσεις.
Το Νοέμβριο του 2014 ο υπουργός Υγείας (κ. Βορίδης) και ο πρόεδρος του ΕΟΠΥΥ (κ. Κοντός) παραχώρησαν συνέντευξη Τύπου36 με σκοπό την ανακοίνωση των επόμενων βημάτων προς την υλοποίηση των έργων ΤΠΕ στον τομέα της Υγείας. Συγκεκριμένα, ο υπουργός Υγείας περιέγραψε το “Φάκελο Ασφάλισης Υγείας”, όπου θα καταγράφονται όλες οι εξετάσεις που γίνονται στους ασθενείς, τα φάρμακα που λαμβάνουν, οι επισκέψεις τους στους ιδιώτες ιατρούς, κτλ37. Τα στοιχεία αυτά θα συνδέονται αυτομάτως με τον ιατρό και τον φαρμακοποιό, δηλαδή αυτούς που εκτελούν τις ιατρικές πράξεις και τις συνταγογραφήσεις αντίστοιχα, έτσι ώστε θεωρητικά να είναι δυνατός ανά πάσα στιγμή ο έλεγχος της εγκυρότητας και ο εντοπισμός των παραβιάσεων, π.χ. στα όρια συνταγογράφησης ή επισκέψεων ανά μήνα. Ο πρόεδρος του ΕΟΠΥΥ προχώρησε ένα βήμα παρακάτω, αναφέροντας πληροφορίες για το επόμενο στάδιο που είναι η “Κάρτα Ασθενούς”:
(κ. Κοντός): “...Και το επόμενο βήμα, μετά από αυτό είναι η κάρτα του ασφαλισμένου η οποία θα δίνει την δυνατότητα στο γιατρό, με την κάρτα του ασθενή, να μπαίνει στο σύστημα να βλέπει. Ένα από αυτά που θέλουμε να θεραπεύσουμε με τον ασφαλιστικό φάκελο, ποιο είναι; Σήμερα το σύστημα είναι ανοιχτό από παντού. Γιατί με τον ΑΜΚΑ μόνο, ο κάθε πάροχος, είτε είναι ο γιατρός, γράφει ό,τι θέλει χωρίς να το ξέρει ενδεχομένως ο ασθενής. Το φαρμακείο εκτελεί χωρίς να ξέρει ενδεχομένως ο ασθενής. Και το διαγνωστικό κέντρο συνεργαζόμενο με ένα γιατρό, παραβατικό γιατρό, μπορεί να κάνει εξετάσεις π.χ. για τον Κοντό εικονικές και ο Κοντός να μην ξέρει τίποτα. Αυτό σήμερα τελειώνει. Με τη κάρτα που θα δημιουργηθεί στο επόμενο βήμα τελειώνει, γιατί ο κάθε πάροχος για να μπει να κάνει κάτι στον ασφαλισμένο θα πρέπει να έχει την μαγνητική κάρτα να μπαίνει μέσα στο σύστημα...”
Αξίζει να σημειωθεί ότι ο ηλεκτρονικός φάκελος του ασθενούς και η αντίστοιχη “κάρτα Υγείας” (όπως λεγόταν τότε) εμφανίστηκαν ως μεταρρυθμιστικές ιδέες για τον τομέα Υγείας ήδη από το 2010, εκ μέρους της ΗΔΙΚΑ και του υπουργείου Υγείας, στα πλαίσια της σχεδίασης των προδιαγραφών του ηλεκτρονικού συστήματος συνταγογράφησης. Εκείνη την εποχή υπήρχε και άλλη μια αντίστοιχη δράση στα πλαίσια της Ηλεκτρονικής Διακυβέρνησης (e-Gov) με την λεγόμενη “κάρτα του πολίτη”, καθώς και η “κάρτα του φορολογούμενου” ή “φορο-κάρτα” αποκλειστικά και μόνο για την ηλεκτρονική καταχώρηση αποδείξεων, η οποία ουσιαστικά θα ήταν η δοκιμαστική (πιλοτική) εφαρμογή της πρώτης. Οι δράσεις αυτές των ηλεκτρονικών καρτών ποτέ δεν ενοποιήθηκαν, ούτε ως προδιαγραφές ούτε ως τελικές υπηρεσίες προς τον πολίτη, παρότι είχαν πολλά κοινά χαρακτηριστικά. Ο βασικός λόγος ήταν το ότι γρήγορα διαπιστώθηκε η πολυπλοκότητα και η ιδιαιτερότητα αρκετών από τις πιο σημαντικές προδιαγραφές τους.
Ειδικά για την “κάρτα του ασφαλισμένου” (Υγείας), ορισμένα χαρακτηριστικά ζητήματα είναι τα εξής:
-
Η κάρτα υποτίθεται πως αποθηκεύει πλήρη στοιχεία για την κάθε ιατρική πράξη και συνταγογράφηση, γεγονός που την καθιστά σημαντικό στόχο για επιθέσεις υποκλοπής προσωπικών δεδομένων και μάλιστα ιατρικής φύσεως.
-
Πουθενά δεν ορίζονται επαρκώς οι τεχνικές απαιτήσεις σε επίπεδο κρυπτασφάλειας και ελέγχου πρόσβασης στα περιεχόμενα της κάρτας, δηλαδή ποιο είναι το απαραίτητο ελάχιστο εγγυημένο επίπεδο ασφάλειας.
-
Ταυτόχρονα, ο κάτοχος δεν θα μπορεί ανά πάσα στιγμή να γνωρίζει τα περιεχόμενα αυτά παρά μόνο με τη χρήση ειδικών συσκευών ανάγνωσης σε Η/Υ και τη χρήση κρυπτογραφικά ισχυρών κωδικών πρόσβασης (όχι απλών PIN).
-
Αν η κάρτα αποτελεί το μοναδικό σημείο αποθήκευσης των εν λόγω δεδομένων, διευκολύνεται μεν η “τοπική” χρήση της σε πράξεις χωρίς την ανάγκη πρόσβασης μέσω δικτύου, όμως υπάρχει σοβαρός κίνδυνος οριστικής απώλειας ή διαρροής τους σε τρίτους σε περίπτωση απώλειας της κάρτας ή του προσωπικού κωδικού πρόσβασης σε αυτή.
-
Αν η κάρτα δεν αποτελεί μοναδικό σημείο αποθήκευσης των εν λόγω δεδομένων, τότε προφανώς η κάρτα λειτουργεί απλά ως (πιστοποιημένο) αναγνωριστικό του χρήστη-ασφαλισμένου για πρόσβαση στο σύστημα (μέσω δικτύου), δηλαδή αυτό ακριβώς που υποτίθεται ότι εξυπηρετεί ο ΑΜΚΑ στον τομέα της Υγείας και ασφάλισης ή ο ΑΦΜ αντίστοιχα για τα φορολογικά. Επομένως η χρησιμότητα της κάρτας δεν προσφέρει ουσιαστικά τίποτα νέο στο σύστημα ή στις διαδικασίες.
-
Σύμφωνα με το τελικό κείμενο της συμφωνίας με τους Ευρωπαίους εταίρους (βλ. [1]) αλλά και το σχετικό Νόμο (βλ. [2]), προβλέπεται η σταδιακή σχεδίαση, χρήση και ενσωμάτωση των παραπάνω στα πρωτόκολλα που εφαρμόζονται σε ιδιωτικά ιατρεία, κλινικές, νοσοκομεία, ασφαλιστικές εταιρίες, κτλ. Με άλλα λόγια, η κάρτα θα αρχίσει σταδιακά να χρησιμοποιείται αναγκαστικά σε αντίστοιχες πράξεις με ιδιώτες παρόχους Υγείας, γεγονός που πολλαπλασιάζει εκθετικά τους κινδύνους και τις ανάγκες ασφάλειας σε σχέση με την προστασία των προσωπικών-ιατρικών δεδομένων του κατόχου της.
Αξίζει να σημειωθεί ότι, σύμφωνα με τις προβλέψεις και το τρέχον χρονοδιάγραμμα, η υλοποίηση των παραπάνω ξεκινά από τους επόμενους μήνες, με την ολοκλήρωση του συστήματος συνταγογράφησης άμεσα (το συντομότερο δυνατό), την κάρτα ασφαλισμένου και τα ηλεκτρονικά παραπεμπτικά μέχρι τον Ιούνιο του 2016, τη διασύνδεση και το διαμοιρασμό προδιαγραφών/στοιχείων με ιδιώτες παρόχους μέχρι τον Αύγουστο του 2017 και την ολοκλήρωση των νέων “ηλεκτρονικών” θεραπευτικών πρωτοκόλλων μέχρι το τέλος του 2018.
Σε τεχνικό επίπεδο, η επιτυχημένη υλοποίηση του παραπάνω χρονοδιαγράμματος, χωρίς ταυτόχρονα την παραβίαση των πολύ εξειδικευμένων και απαιτητικών προδιαγραφών (ιδιαίτερα ασφάλειας και αξιοπιστίας), θεωρείται εξαιρετικά αμφίβολη ως ανέφικτη. Η διεθνής εμπειρία από άλλες χώρες38, με πολύ καλύτερη υπάρχουσα υποδομή σε ΤΠΕ και πολύ μεγαλύτερη εμπειρία στην ανάπτυξη παρόμοιων συστημάτων ανάλογης έκτασης και πολυπλοκότητας, δείχνει ότι οι παραπάνω προβλέψεις δεν μπορούν να ικανοποιηθούν ταυτόχρονα με όλες τις λειτουργικές και μη λειτουργικές απαιτήσεις που τα συνοδεύουν. Αν αναλογιστεί κανείς την πορεία του πολύ μικρότερου, πιλοτικού συστήματος συνταγογράφησης, την πορεία εξέλιξής του από το 2010 και τη σημερινή του κατάσταση, δεν δικαιολογείται καμία αισιοδοξία για δραματικά καλύτερη διαχείριση ενός πολύ μεγαλύτερου, πολύ συνθετότερου και πολύ πιο απαιτητικού/επικίνδυνου συστήματος ηλεκτρονικών υπηρεσιών Υγείας για 10 εκατ. ασφαλισμένους.
5. Επισημάνσεις σχετικά με το Δικαστικό σύστημα (Ζήτημα 4ο)
Σύμφωνα με τις προβλέψεις του τελικού κειμένου της συμφωνίας με τους Ευρωπαίους εταίρους (βλ. [1]) αλλά και του σχετικού Νόμου (βλ. [2]), μέσα σε διάστημα τριών ετών από τον ερχόμενο Νοέμβριο (2015) θα πρέπει να έχουν ολοκληρωθεί μια σειρά έργων και πληροφοριακών συστημάτων που σχετίζονται άμεσα ή έμμεσα με τις δικαστικές πράξεις. Συγκεκριμένα, από το Μάρτιο του 2016 και μέχρι τον Ιούνιο του 2018 προβλέπεται η ανάπτυξη μιας ολοκληρωμένης πύλης πληροφόρησης (portal) με την εθνική νομοθεσία/νομολογία, ενώ παράλληλα θα πρέπει να έχει προχωρήσει ο εκσυγχρονισμός των δικαστηρίων σε υποδομή Η/Υ και ηλεκτρονική διαχείριση αρχείων. Τα παραπάνω σχετίζονται τόσο με την εσωτερική διοικητική διαχείριση, όσο και με τη διάθεση υλικού (π.χ. δικογραφιών, αποφάσεων, πρακτικών, κτλ) μέσω κατάλληλων εφαρμογών.
Ο τομέας των δικαστηρίων και γενικότερα της μηχανοργάνωσης του Δικαστικού συστήματος αποτελεί ζήτημα ύψιστης σημασίας από πολλές απόψεις, παρόμοια με τον τομέα Υγείας και φορολογίας. Εφ' ενός η έκταση και η πολυπλοκότητα των αντίστοιχων πληροφοριακών συστημάτων είναι ανάλογη, αφ' ετέρου οι απαιτήσεις ασφάλειας και αξιοπιστίας είναι επίσης το ίδιο σημαντικές, ίσως και περισσότερο σε ορισμένες περιπτώσεις, καθότι συνδέονται άμεσα με την παρακολούθηση υποθέσεων κακουργημάτων, τρομοκρατίας, κτλ.
Σε τεχνικό επίπεδο, ο τομέας των δικαστηρίων μπορεί να χαρακτηριστεί ως μικρότερης “έντασης” συναλλαγών, δηλαδή κάπως χαμηλότερων απαιτήσεων σε ότι αφορά το ρυθμό συναλλαγών, διεκπεραίωσης αιτημάτων και αναζήτησης στοιχείων, σε σχέση π.χ. με τις φορολογικές συναλλαγές και την on-line καταχώρηση του ΦΠΑ σε κάθε εμπορική πράξη (βλ. Ζήτημα 1ο). Όμως, ο όγκος δεδομένων, η απαιτούμενη δεικτοδότησή τους με μετα-δεδομένα (meta-data/indexing), καθώς και ο ελάχιστος εγγυημένος χρόνος αξιόπιστης τήρησής τους είναι πολύ πιο αυξημένα ως προδιαγραφές απαιτήσεων. Παρόμοια με τα φορολογικά πληροφοριακά συστήματα, όπως και με αυτά που αναλύθηκαν παραπάνω για τον τομέα Υγείας, οι κεντρικοποιημένες αρχιτεκτονικές και η υιοθέτηση κλειστών προτύπων είναι βέβαιο πως αποτελούν εντελώς ακατάλληλες σχεδιαστικές επιλογές. Η μέχρι τώρα εμπειρία ανάπτυξης έργων ΤΠΕ στον τομέα της Δικαιοσύνης39 έχει δείξει πως είναι δυνατό να προχωρήσει καλύτερα από ότι στους άλλους τομείς, όμως βρισκόμαστε ακόμα σε πολύ πρώιμα στάδια και απαιτείται χρόνος μέχρι να ωριμάσουν τα αντίστοιχα πληροφοριακά συστήματα και να αξιολογηθούν σε ρεαλιστικό/επιχειρησιακό επίπεδο.
6. Οι προτάσεις της ΕΠΕ σχετικά με την εφαρμογή των παραπάνω αποφάσεων από την επόμενη κυβέρνηση
Η ΕΠΕ, έχοντας επίγνωση της τρέχουσας οικονομικής κατάστασης της χώρας, των δεσμεύσεων που έχει αναλάβει (βλ. [1] και [2]), καθώς και την περιγραφή των αντίστοιχων δράσεων σε έργα και υπηρεσίες που σχετίζονται με τον κλάδο των ΤΠΕ, ζητά επιτακτικά δέκα συγκεκριμένα βήματα:
(α) Τη θέσπιση εθνικής επιτροπής παρακολούθησης των αντίστοιχων δράσεων ΤΠΕ, στελεχωμένη από επιστημονικούς και επαγγελματικούς φορείς, αρμόδιους για την αρχιτεκτονική σχεδίαση, θέσπιση προδιαγραφών και διασφάλισης ποιότητας.
(β) Την υιοθέτηση ανοικτών προτύπων, ανοικτών πρωτοκόλλων και λογισμικού ανοικτού κώδικα σε όλα τα στάδια ανάπτυξης των αντίστοιχων υπηρεσιών και λογισμικού, έτσι ώστε να διευκολύνεται τόσο η σε βάθος αξιολόγησής τους, όσο και η διασυνδεσιμότητα με άλλα πληροφοριακά συστήματα, τώρα και στο μέλλον.
(γ) Την υιοθέτηση συγκεκριμένων διεθνών προτύπων διασφάλισης ποιότητας και διαχείρισης έργων Πληροφορικής, από το επίπεδο της αρχικής μελέτης εφικτότητας και θέσπισης τεχνικών προδιαγραφών μέχρι τους τελικούς ελέγχους αποδοχής (acceptance tests) και παραλαβής τους.
(δ) Την υιοθέτηση συγκεκριμένων μοντέλων ανάπτυξης λογισμικού σε όλους τους εμπλεκόμενους φορείς του Δημοσίου, τόσο σε επίπεδο μεθοδολογιών ανάπτυξης (π.χ. Agile) όσο και διαχείρισης (π.χ. SPI), με σκοπό την παρακολούθηση και βελτίωση των διαδικασιών και των παραγόμενων προϊόντων/υπηρεσιών.
(ε) Τη στελέχωση των κρίσιμων θέσεων για τη διοίκηση των παραπάνω δράσεων από επιστήμονες με τεκμηριωμένη επιστημονική Παιδεία και επαγγελματική κατάρτιση στο αντίστοιχο αντικείμενο, όπως π.χ. διαχειριστές έργων λογισμικού (software project managers, αντί γενικούς “οικονομικούς” project managers).
(στ) Την υιοθέτηση κατανεμημένων (αντί κεντρικοποιημένων) αρχιτεκτονικών σε όλα τα επίπεδα στη σχεδίαση των αντίστοιχων πληροφοριακών συστημάτων, με σκοπό την καλύτερη αξιοπιστία, το χαμηλότερο κόστος και την καλύτερη κλιμάκωση (scale-up) των συστημάτων μελλοντικά.
(ζ) Την πρόταξη της ασφάλειας ως αναπόσπαστο μέρος των λειτουργικών (ποσοτικών) και μη λειτουργικών (ποιοτικών) προδιαγραφών απαιτήσεων σε κάθε πληροφοριακό σύστημα του Δημοσίου, νέο ή ήδη υπάρχον, και μάλιστα ως εξαιρετικά μεγάλης βαρύτητας.
(η) Την καθολική αποφυγή, υπό οποιεσδήποτε συνθήκες, διαδικασιών απ' ευθείας ανάθεσης έργων ΤΠΕ, ακόμα και αν προβλέπονται διαδικασίες διαπραγμάτευσης και ελέγχου αποδοχής.
(θ) Τη έγκαιρη εφαρμογή χρονοδιαγραμμάτων για τη ρεαλιστική και επαρκή περίοδο μετάβασης (migration) μεταξύ παλιών/νέων πληροφοριακών συστημάτων, ιδιαίτερα στις περιπτώσεις υψηλής έντασης συναλλαγών (π.χ. φορολογικά) ή/και εκπαίδευσης των τελικών χρηστών (π.χ. τομέας Υγείας).
(ι) Την πρόταξη της Ψηφιακής Παιδείας και την καταπολέμηση του ψηφιακού αναλφαβητισμού ως ύψιστη εθνικό προτεραιότητα, όχι μόνο στις τυπικές βαθμίδες Εκπαίδευσης αλλά και στο γενικό πληθυσμό, έτσι ώστε όλα τα παραπάνω να συναντήσουν το κατάλληλο περιβάλλον και τη θετική αποδοχή από την κοινωνία.
Η ΕΠΕ αποτελεί στρατηγικό πυλώνα στην εθνική αναδιοργάνωση του τομέα των ΤΠΕ και του κλάδου της Πληροφορικής γενικότερα. Παραμένει, όπως πάντα, στη διάθεση κάθε υπουργείου, Δημόσιου φορέα και οργανισμού, για την συμβολή της με την επιστημονική κατάρτιση και την τεχνογνωσία που μπορεί να προσφέρει.
Το Διοικητικό Συμβούλιο
της Ένωσης Πληροφορικών Ελλάδας
URL: http://www.epe.org.gr , mailto:info(στο)epe.org.gr
ΑΝΑΦΟΡΕΣ
[1] “Memorandum of Understanding for a three year ESM programme” (Memorandum of Understanding for a three year ESM programme / Greece / 11-Aug-2015) -- http://online.wsj.com/public/resources/documents/greecedoc.pdf
[2] "Συνταξιοδοτικές διατάξεις - Κύρωση του Σχεδίου Σύμβασης Οικονομικής Ενίσχυσης από τον Ευρωπαϊκό Μηχανισμό Σταθερότητας και ρυθμίσεις για την υλοποίηση της Συμφωνίας Χρηματοδότησης" (Ν.4336/13.08.2015, ΦΕΚ 94 A'/14.08.2015) -- http://www.hellenicparliament.gr/Nomothetiko-Ergo/Anazitisi-Nomothetikou-Ergou?law_id=432e963c-b6b7-4667-8c35-a4f2002585da
1 Βλ. σχετικά: “Νόμιμο το Προεδρικό Διάταγμα για τη διαδικασία των ηλεκτρονικών πλειστηριασμών” (14/9/2015) – http://www.ictplus.gr/default.asp?pid=30&rID=39835&ct=2&la=1
2 Βλ. σχετικά: “Έτοιμο το υπουργείο για την on-line σύνδεση των ταμειακών μηχανών” (2/8/2015) – http://is.gd/oLcbW6
3 Βλ. σχετικά: ΠΟΛ.1220/ΦΕΚ Β' 3517/31-12-2012.
4 Βλ. σχετικά: “Φορολογικοί Μηχανισμοί – Ένα σύγχρονο γιοφύρι της Άρτας” (26/11/2013) -- http://is.gd/l7tiLG
5 http://www.gsis.gr/gsis/export/sites/default/gsis_site/News/documents_news/dt_eafdss.pdf
6 Βλ. σχετικά: Ανακοίνωση ΥΠΟΙΚ (συνέντευξη Τύπου, 16/4/2013) http://www.taxheaven.gr/news/news/view/id/13176
7 http://www.taxheaven.gr/news/news/view/id/16676
8 Βλ. σχετικά: ΠΟΛ.1068/ΦΕΚ Β' 497/1-4-2015
9 Βλέπε για παράδειγμα: Σπ. Αρσένης, “Οικονομία Πληροφοριακών Συστημάτων” (κεφ.7ο), Εκδ. Τζιόλα, 2006.
10 Βλέπε για παράδειγμα: A. S. Tanenbaum, “Modern Operating Systems” (κεφ.9ο), Prentice-Hall, 1992.
11 Βλέπε για παράδειγμα: Θ. Αποστολόπουλος, “Δίκτυα Υπολογιστών” (κεφ.8ο), Ο.Π.Α., 1994.
12 Βλ. σχετικά: “Παρέμβαση για το ζήτημα της Πολιτικής Ασφάλειας σε δημόσιες υπηρεσίες και οργανισμούς” (ΕΠΕ, 13/10/2011) -- http://www.epe.org.gr/various/EpistolhPolitikhAsfaleias_2011_10_13.pdf
13 Βλ. σχετικά: “Χωρίς πολιτική ασφαλείας τα πληροφοριακά συστήματα του Δημοσίου” (ΕΠΕ, 30/7/2013) -- http://www.epe.org.gr/various/DeltioTypoy_2013_07_30_PolitikiAsfaleias.pdf
14 Βλ. σχετικά: Κοινοβουλευτικός έλεγχος, απάντηση υπουργού Αντ. Γιαννίτση (ΥΠΕΣ) / Αρ. πρωτ. 3441 (15/11/2011) στην ερώτηση του βουλευτή Νικ. Νικολόπουλου / Αρ. Πρωτ. 372 (21/10/2011) -- http://is.gd/uvOJRt
15 Βλ. σχετικά: “Ανακοίνωση σχετικά με ενδεχόμενες ψηφιακές παραβιάσεις (...)”, υποσημειώσεις 2-3-4-5, δελτίο Τύπου ΕΠΕ, (30/7/2015) -- http://is.gd/TnvuFp
16 Βλ. σχετικά: “Η Γενική Γραμματεία Δημοσίων Εσόδων αποκτά πλήρη πρόσβαση στις καταθέσεις των φορολογούμενων” (11/9/2015) -- http://is.gd/nrkC7r
17 Βλ. σχετικά: “Όλα τα στοιχεία των καταθέσεων στη διάθεση της Εφορίας με το καταθεσιολόγιο” (10/9/2015) -- http://is.gd/XhevwQ
18 Βλ. σχετικά: “Σοβαρές ελλείψεις στο σύστημα προστασίας δεδομένων” (Καθημερινή, 13/9/2015) -- http://is.gd/crWcDG
19 Βλ. σχετικά: ΑΠΔΠΧ απόφαση 98/2013: Γ/ΕΞ/5276, 9-8-2013.
20 Βλ. σχετικά: ΑΠΔΠΧ αίτηση: Γ/ΕΙΣ/1597, 4-3-2013 (αρ. υπόθεσης: 057744_0101_04_13).
21 Βλ. σχετικά: Σ.Δ.Η.Ε. - “Ασφαλής Πλοήγηση στο Διαδίκτυο: Απάτες” -- http://is.gd/pHmDwy
22 Βλ. σχετικά: “Πρωτοφανής ληστεία 100 τραπεζών σε 30 χώρες από χάκερς - Έκλεψαν πάνω από 1 δισ. ευρώ” (Kaspersky Lab, 14-Feb-2015) – http://is.gd/YydNGx , http://is.gd/L1mUZL
23 Βλ. σχετικά: “33% των Ελλήνων δεν έχει χρησιμοποιήσει Internet” (20/8/2015) – http://is.gd/DqH873
24 Βλ. σχετικά: Πρόχειρος μειοδοτικός διαγωνισμός (ΚτΠ): “Ανάπτυξη και Διαχείριση Εφαρμογής Ηλεκτρονικής Καταχώρησης και Εκτέλεσης Συνταγών” (CPV: 72.22.23.00-0, 48.00.00.00-8).
25 Βλ. σχετικά: “Ηλεκτρονική Συνταγογράφηση – Διεθνής Εμπειρία & Παρούσα Κατάσταση” (παρουσίαση, ΗΔΙΚΑ, 2012).
26 Ουσιαστικά πρόκειται για τη μεθοδολογία pilot-based / “evolutionary” στον τομέα του Software Engineering, που εφαρμόζεται στην ανάπτυξη λογισμικού με ασαφείς ή σταδιακά εξειδικευόμενες πρ οδιαγραφές λειτουργικών και μη λειτουργικών απαιτήσεων. Βλ. σχετικά: I. Sommerville, “Software Engineering” (9th/Ed.), Pearson, 2010.
27 Δρ. Γκούβας Χαράλαμπος, “Το καρκίνωμα της Ηλεκτρονικής Συνταγογράφησης” (23/5/2015) -- http://is.gd/JVfLHq
28 Βλ. σχετικά: ΙΣΑ, Ανακοίνωση προς ΗΔΙΚΑ, ΕΟΠΥΥ (3/11/2014): “Επανειλημμένα προβλήματα στο σύστημα ηλεκτρονικής συνταγογράφησης” -- http://is.gd/Bam9M3
29 Βλ. σχετικά: ΔΙΑΥΓΕΙΑ: https://diavgeia.gov.gr/doc/Β4ΩΜΟΞ7Μ-ΓΑ7 και https://diavgeia.gov.gr/doc/Β44Τ4691ΩΓ-ΕΜ3
30 Βλ. σχετικά: “Τι κρύβεται πίσω από την κατάρρευση της ηλεκτρονικής συνταγογράφησης” (12/5/2012) -- http://is.gd/OKWhDx
31 Βλ. σχετικά: ΔΙΑΥΓΕΙΑ: “Αναπτυξη Συστηματος Ηλεκτρονικης Συνταγογραφησης και παροχη Σχετικων Υποστηρικτικων Υπηρεσιων”, Κατακυρωση: 2/4/14 (ΑΔΑ ΒΙΗ04691Β5-Ρ4Ε).
32 Βλ. σχετικά: “Τελική κατακύρωση στην ένωση ΟΤΕ - Byte Computer της συνταγογράφησης της ΗΔΙΚΑ” (16/5/2014) -- http://is.gd/cCY9tv
33 Βλ. σχετικά: “Από 12 χώρες "χτύπησαν" οι χάκερ το σύστημα ηλεκτρονικής συνταγογράφησης” (27/4/2012) -- http://is.gd/RZ0rcm
34 Βλ. σχετικά: “Οι… Ταϊβανέζοι χάκερ και ένα σαθρό φθηνό σύστημα συνταγογράφησης” (20/4/2012) -- www.iatropedia.gr/articles/read/1664
35 Βλ. σχετικά: “Χάκερ τίναξαν στον αέρα το σύστημα ηλεκτρονικής συνταγογράφησης” (19/4/2012) -- http://news.in.gr/greece/article/?aid=1231192023
36 Υπουργείο Υγείας – Δελτίο Τύπου (10/11/2014): “Συνέντευξη Τύπου του Υπουργού Υγείας, Μάκη Βορίδη, για τον Φάκελο Ασφάλισης Υγείας” -- http://is.gd/oETQQ7
37 Βλ. σχετικά: “Taxis στην υγεία ονειρεύεται ο Βορίδης” (11/11/2014) -- http://www.enet.gr/?i=news.el.article&id=456028
38 Βλ. σχετικά: The Forbes: “The High and Rising Costs of the HealthCare.gov Fiasco” (30/6/2014) – http://is.gd/MrF2qi
39 Βλ. σχετικά: ΥΔΔΑΔ (3/5/2012): “Υποδομές για την ψηφιακή καταγραφή, αποθήκευση και διάθεση πρακτικών συνεδριάσεων δικαστηρίων” (Έργο: 376870, Αρ.Πρωτ: 2633) -- http://is.gd/Lod45X