Παράνομο λογισμικό σε διαγωνισμό αδειών Φωτοβολταϊκών: Η απάντηση του ΔΕΔΔΗΕ

Κύριε Υπουργέ,

Εν είδει εισαγωγικών παρατηρήσεων επισημαίνεται ότι δυνάμει του άρθρου 132 του Ν. 4819/2021, όπως τροποποιήθηκε με το άρθρο 104 του Ν. 4951/2022, και κατόπιν της έκδοσης της υπ’ αριθμ. ΥΠΕΝ/ΔΑΠΕΕΚ/81744/3673 (ΦΕΚ   Β’ 4221/10.08.2022),     στις 25/10/2022, εκκίνησε  η διαδικασία ηλεκτρονικής υποβολής, μέσω του κατάλληλα διαμορφωμένου προς τούτου  πληροφοριακού  συστήματος  της  εταιρείας  μας, αιτημάτων χορήγησης οριστικής προσφοράς σύνδεσης για το δίκτυο της Κρήτης. Ο ΔΕΔΔΗΕ έλαβε όλα τα δυνατά μέτρα ώστε να λειτουργήσει εύρυθμα η πλατφόρμα με βάση τον αναμενόμενο φόρτο. Πιο συγκεκριμένα, παρά το γεγονός ότι ο ΔΕΔΔΗΕ διαθέτει υποδομές σε δικό του Data Center, λόγω της βαρύνουσας σημασίας του συγκεκριμένου εγχειρήματος αλλά και των αυξημένων τεχνικών απαιτήσεων (πχ μεγάλος όγκος δεδομένων σε μικρό χρονικό διάστημα, ρίσκα ασφάλειας κλπ) η εταιρεία μας συμβουλεύτηκε αναγνωρισμένη εταιρεία παροχής συμβουλευτικών υπηρεσιών σχετικά με την αρχιτεκτονική και τις απαιτήσεις υποδομών του συστήματος υποδοχής των αιτημάτων χορήγησης οριστικής προσφοράς σύνδεσης με τη χρήση σύγχρονων και άρτιων τεχνολογικών λύσεων και τελικά προκρίθηκε η λειτουργία της εν λόγω εφαρμογής υποδοχής αιτημάτων στο Cloud της Oracle (OCI) ως IaaS (Infrastructure as α Service). Κατόπιν της σχετικής πρότασης από την συμβουλευτική εταιρεία, ο ΔΕΔΔΗΕ ζήτησε από τον κατασκευαστή του Oracle Cloud, την παροχή υπηρεσιών για τη δημιουργία του σχετικού περιβάλλοντος για την εφαρμογή ΑΠΕ, δια της οποίας θα γινόταν η υποβολή των αιτημάτων χορήγησης οριστικής προσφοράς σύνδεσης του α. 132 του Ν. 4819/2021. Με βάση την πρόταση της συμβουλευτικής εταιρείας και τη βοήθεια του κατασκευαστή, που παρείχε υπηρεσίες εγκατάστασης και παραμετροποίησης του σχετικού περιβάλλοντος της εφαρμογής, στήθηκαν τα ακόλουθα:

• Σε ότι αφορά τη διαθεσιμότητα της εφαρμογής (high availability) τα παρακάτω components της λύσης (παραγωγικό περιβάλλον) είναι Highly Available:
  • Load Balancer – 2 node Active/Passive
  • Weblogic – 2 node cluster with autoscaling configuration in
  • Database – 2 node RAC cluster, με backup των δεδομένων στο object
  • WAF: Highly Available PasS service
  • Reverse proxy: Είναι Highly Available (2 nodes).
• Σε ότι αφορά το security:
  • Όλα τα public endpoints (https), βρίσκονται πίσω από Web Application Firewall (WAF)
  • Υπάρχει network segmentation. Σε κάθε ζώνη υπάρχουν security lists οι οποίες μέσα από firewall rules προστατεύουν το ingress/egress traffic. ο Η βάση δεδομένων και οι application servers βρίσκονται πάνω σε private ζώνες συνεπώς ειναι προσβάσιμές μόνο μέσα από το εσωτερικό δίκτυο, (ή ενναλακτικά μέσα από bastion server)
  • Ενεργοποίηθηκε το Cloud Guard: Το Cloud Guard είναι μια εγγενής υπηρεσία cloud που βοηθά τους πελάτες να παρακολουθούν, να αναγνωρίζουν, να επιτυγχάνουν και να διατηρούν μια ισχυρή στάση ασφαλείας στο OCI. Εξετάζει τους πόρους στο OCI για αδυναμίες ασφαλείας και επικίνδυνες δραστηριότητες. Μετά τον εντοπισμό, το Cloud Guard μπορεί να προτείνει, ή να προβεί σε διορθωτικές ενέργειες (ανάλογα με το configuration)
  • Ενεργοποιήθηκε η Vulnerability Scanning Service: Συμβάλλει στη βελτίωση της στάσης ασφαλείας ελέγχοντας τακτικά τις εικόνες κεντρικών υπολογιστών και κοντέινερ για πιθανά τρωτά σημεία. Η υπηρεσία παρέχει στους προγραμματιστές, τις λειτουργίες και τους διαχειριστές ασφαλείας ολοκληρωμένη ορατότητα σε λανθασμένους ή ευάλωτους πόρους και δημιουργεί αναφορές με μετρήσεις και λεπτομέρειες σχετικά με αυτά τα τρωτά σημεία, συμπεριλαμβανομένων των πληροφοριών αποκατάστασης.

Επιπλέον, στην αρχική εφαρμογή που είχε σχεδιαστεί έγιναν ενέργειες ώστε να αποφευχθεί -όπου ήταν τεχνικά εφικτό- δεδομένων των χρονικών περιθωρίων η αυτοματοποιημένη υποβολή αιτήσεων με χρήση APis για λόγους ίσης μεταχείρισης των αιτούντων και για λόγους διαθεσιμότητας της πλατφόρμας η οποία πράγματι δεν παρουσίασε κανένα θέμα.

Η ηλεκτρονική πλατφόρμα του ΔΕΔΔΗΕ για τις αιτήσεις που αφορούσαν την Κρήτη άνοιξε για υποβολή αιτήσεων στις 25/10/2022 στις 11:05 π.μ. και η τελευταία αίτηση πριν κλείσει το περιθώριο της Κρήτης υποβλήθηκε 11:16:01 π.μ.

ΤΑΥΤΟΠΟΙΗΣΗ ΧΡΗΣΤΩΝ /ΑΙΤΟΥΝΤΩΝ ΜΕΣΩ TAXISNET

1. Η είσοδος στην πλατφόρμα υποβολής αίτησης για ΑΠΕ απαιτεί την ταυτοποίηση του χρήστη μέσω taxisnet, και το ΑΦΜ με το οποίο έγινε η ταυτοποίηση αποτελεί και το ΑΦΜ του αιτούντος. Οι αιτήσεις που υποβλήθηκαν στις 25/10/2022 και αφορούσαν την Κρήτη ήταν συνολικά 865.
2. Πλέον συγκεκριμένα, δυνάμει της με αρ. ΑΠ ΥΠΕΝ/ ΔΑΠΕΕΚ/ 114584/ 4660/ 03.11.2022 Διευκρινιστικής εγκυκλίου επί του άρθρου 2 της ΥΑ ΥΠΕΝ/ ΔΑΠΕΕΚ/ 81744/ 3673/ 4.8.2022 (ΦΕΚ Β’ 4221) ορίστηκερητώς ότι δεν είναι επιτρεπτά αυτοματοποιημένα συστήματα υποβολής πολλαπλών αιτήσεων, τα οποία οδηγούν σε διακοπή λειτουργίας της πλατφόρμας υποβολής αιτήσεων και προς αυτή την κατεύθυνση ελήφθησαν τα τεχνικά εφικτά μέτρα με βάση τα διαθέσιμα χρονικά περιθώρια που είχε ο ΔΕΔΔΗΕ.
3. Ως εκ των ανωτέρω, η εταιρεία μας, σε πλήρη συμμόρφωση με τα διαλαμβανόμενα στο άρθρο 132 του ν. 4819/2021, ως τροποποιήθηκε και ισχύει, αλλά και στην υπ’ αριθμ. ΥΠΕΝ/ΔΑΠΕΕΚ/81744/3673 (ΦΕΚ Β’ 4221/10.08.2022) υπουργική απόφαση, προέβη σε όλες τις απαραίτητες ενέργειες και μελέτες για την υλοποίηση της κατά το δυνατόν βέλτιστης τεχνικά λύσης και της δημιουργίας ειδικής πλατφόρμας/ εφαρμογής για την υποδοχή αιτημάτων σύνδεσης για τις περιπτώσεις φωτοβολταϊκών σταθμών που πρόκειται να εγκατασταθούν σε κορεσμένα δίκτυα της παρ.1 του άρθρου 132 του ν. 4819/2021, εξαιρουμένων των σταθμών του άρθρου 14Α του ν. 3468/2006 και σταθμών του Ειδικού Προγράμματος Ανάπτυξης Φωτοβολταϊκών Συστημάτων σε κτιριακές εγκαταστάσεις, ενώ διενήργησε και κάθε απαραίτητο δοκιμαστικό έλεγχο πριν την έναρξη της διαδικασίας υποδοχής αποτελεσμάτων, γεγονός που είχε ως αποτέλεσμα την αδιάλειπτη υποδοχή πλείστων αιτημάτων ανά λεπτό λειτουργίας της, έως και το χρονικό σημείο κατά το οποίο επήλθε εξάντληση του περιθωρίου ισχύος του κορεσμένου Δικτύου της Κρήτης.
4. Ειδικότερα και ως ρητά προβλέπεται στο άρθρο 1 της με αρ. ΥΑ 10238 ΕΞ ΦΕΚ Β 1611 2020 περί Αυθεντικοποίησης Χρηστών για τη χρήση ηλεκτρονικών υπηρεσιών της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, οι χρήστες της Ενιαίας Ψηφιακής Πύλης αποκτούν πρόσβαση στις υπηρεσίες της, αφού προηγουμένως προβούν σε επαλήθευση/ επιβεβαίωση της ταυτότητάς τους (αυθεντικοποίηση) με χρήση των κωδικών-διαπιστευτηρίων είτε της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης (taxisnet). Περαιτέρω, στην έννοια των χρηστών περιλαμβάνονται τα φυσικά πρόσωπα που δρουν είτε ατομικά για τα ίδια είτε με την ιδιότητα του νόμιμου εκπροσώπου νομικού προσώπου ή νομικής οντότητας. Περαιτέρω, για την επιτυχή ολοκλήρωση της αυθεντικοποίησης, το φυσικό πρόσωπο χρησιμοποιεί αποκλειστικά τους προσωπικούς κωδικούς-διαπιστευτήρια που του έχουν αποδοθεί από την Γ.Γ.Π.Σ.Δ.Δ. (άρθρο 2 της ως άνω ΥΑ) Τέλος η επαλήθευση/επιβεβαίωση της ταυτότητας (αυθεντικοποίηση) κάθε χρήστη της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης μπορεί μετά από επιλογή του χρήστη να βασίζεται στα διαπιστευτήρια της Γ.Γ.Π.Σ.Δ.Δ. (taxisnet), σύμφωνα με την διαδικασία που ρυθμίζεται στην αριθμ. 3981ΕΞ2020 απόφαση του Υπουργού Επικρατείας «Παροχή Υπηρεσίας Αυθεντικοποίησης Χρηστών oAuth2.0 σε Πληροφοριακά Συστήματα τρίτων Φορέων» (Β 762) [άρθρο 3 της ως άνω ΥΑ].

5. Ως εκ των ανωτέρω και σύμφωνα με τη ρητή πρόβλεψη του άρθρου 3 της με αρ. ΥΠΕΝ/ ΔΑΠΕΕΚ/ 81744/ 3673 (ΦΕΚ Β’ 4221/10.08.2022), προκύπτει ευθέως ότι η αίτηση για χορήγηση οριστικής προσφοράς σύνδεσης υποβάλλεται ηλεκτρονικά μέσω κατάλληλου πληροφοριακού συστήματος που υλοποιεί ο Διαχειριστής του Δικτύου. Ο ενδιαφερόμενος εισέρχεται στο Πληροφοριακό Σύστημα με κωδικούς – διαπιστευτήρια της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης (taxisnet).

Υπό το πρίσμα των ανωτέρω, είναι αυτονόητο ότι τυχόν πάγωμα της διαδικασίας εξέτασης των υποβληθεισών αιτήσεων σύνδεσης και συνακόλουθα η αναστολή της χορήγησης όρων σύνδεσης, εφόσον πληρούνται και οι λοιπές προϋποθέσεις προς τούτο, θα οδηγούσε σε ανεπανόρθωτες καταστάσεις, οι οποίες θα συνίσταντο στην μη ικανοποίηση και επί της ουσίας ματαίωση των επιτυχώς υποβληθέντων αιτημάτων για χορήγηση οριστικής προσφοράς σύνδεσης για τα οποία έχει εκδοθεί και αποσταλεί στους αιτούντες Παραγωγούς Βεβαίωση Υποβολής Αίτησης, με ό,τι αυτό συνεπάγεται για την εντεύθεν πορεία της αδειοδοτικής διαδικασίας των υπόψη επενδύσεων και την αντίστοιχη μείζονα επισφάλεια (νομική και οικονομική) της εταιρείας μας, επί τυχόν μελλοντικής ματαίωσης των επενδύσεων αυτών. Περαιτέρω, τυχόν ευδοκίμηση του επίμαχου αιτήματος, θα οδηγούσε σε ευθεία παράβαση των προθεσμιών του άρθρου 4 της υπ’ αριθ. ΥΠΕΝ/ ΔΑΠΕΕΚ/ 81744/ 3673 (ΦΕΚ Β’ 4221/10.08.2022) υπουργικής απόφασης οι οποίες αφορούν και συνιστούν ρητή κανονιστική υποχρέωση της εταιρείας μας αναφορικά με την εξέταση αρχικά της πληρότητας και της ορθότητας των υποβληθέντων αιτήσεων και εν συνεχεία της τεχνικής εξέτασης αυτών και της χορήγησης όρων σύνδεσης. Στο σημείο δε αυτό τονίζεται ότι υπό το πρίσμα των της ως άνω κανονιστικής διάταξης, τυχόν – όθεν απευκταία – ευδοκίμηση του επίμαχου αιτήματος να ακυρώσει – θέσει εκποδών ρητή κανονιστική διάταξη του πρωτογενούς οικείου κανονιστικού πλαισίου, βάσει της οποίας η εταιρεία μας οφείλει εντός συγκεκριμένων προθεσμιών να ολοκληρώνει τον έλεγχο των τυπικών αλλά και ουσιαστικών τεχνικών στοιχείων των υπόψη αιτήσεων.

Αναστάσιος Μάνος

Διευθύνων Σύμβουλος