Για αστοχίες, λάθη, πλημμελή άσκηση των καθηκόντων του, έλλειψη επιμέλειας στην προετοιμασία και αρτιότητα του πληροφοριακού συστήματος και παραβιάσεις υποχρεώσων, κατηγορεί η απόφαση της ΡΑΑΕΥ τον ΔΕΔΔΗΕ, περιγράφοντας τις ευθύνες του για “το φιάσκο” και τις εκατοντάδες καταγγελίες στους διαγωνισμούς για 400 KW σε Πελοπόννησο και Κρήτη.
Ειδικότερα, η Ρυθμιστική Αρχή αναφέρει “ο Διαχειριστής δεν διασφάλισε με τον αποτελεσματικότερο τρόπο, ως όφειλε, την ανάπτυξη ενός δεόντως ασφαλούς πληροφοριακού συστήματος και δεν μερίμνησε για την αποσόβηση κάθε κινδύνου ευπάθειας σε κακόβουλες επιθέσεις. οι τελεσθείσες από την ΔΕΔΔΗΕ Α.Ε. παραβάσεις κρίνονται ως ιδιάζουσας ρυθμιστικής σοβαρότητας, διότι άπτονται των θεμελιωδών υποχρεώσεων της ΔΕΔΔΗΕ Α.Ε. αναφορικά με το δικαίωμα πρόσβασης στο Δίκτυο ηλεκτρικής ενέργειας και τη διαχείριση ενός κρίσιμου δημόσιου αγαθού σε σπανιότητα”.
Όμως παρά τις ευθύνες που αποδίδει η ΡΑΑΕΥ στο ΔΕΔΔΗΕ και παρά τις επικρίσεις που έχει δεχτεί η διαδικασία, πηγές από το ΥΠΕΝ, αναφέρουν ότι ο διαγωνισμός δεν ακυρώνεται και όσοι προκρίθηκαν θα προχωρήσουν κανονικά.
Από την άλλη, οι καταγγέλλοντες προειδοποιούν, ότι με όπλο την Απόφαση της ΡΑΑΕΥ, αναμένεται μάχη μέχρις εσχάτων αν δεν ακυρωθεί ο διαγωνισμός του ΔΕΔΔΗΕ για τα φωτοβολταϊκά μέχρι 400 KW.
Οι 800 εταιρείες που στέκονται απέναντι στο ΔΕΔΔΗΕ, περιμένουν να ακυρωθεί ο διαγωνισμός μετά το σκεπτικό που δικαιολογεί την απόφαση της ΡΑΑΕΥ να επιβάλει πρόστιμο 1 εκ ευρώ στο ΔΕΔΔΗΕ και αν αυτό δεν συμβεί, είναι έτοιμες να απευθυνθούν στα αστικά και ποινικά δικαστήρια, σύμφωνα με πληροφορίες, τονίζοντας ότι δεν μπορεί “μια τόσο προβληματική διαδικασία να παράξει έννομο αποτέλεσμα”.
Ήδη σήμερα, οι καταγγέλλοντες ετοιμάζουν εξώδικο προς το ΔΕΔΔΗΕ, προειδοποιώντας για τις προθέσεις τους, “να καταφύγουν σε ένδικα μέσα στην περίπτωση που δοθεί ο ηλεκτρικός χώρος στις 200 εταιρείες που πρόλαβαν μια θέση στον αμφισβητούμενης διαφάνειας διαγωνισμό”.
Η απόφαση για πρόστιμο στο ΔΕΔΔΗΕ, δεν εκτόνωσε το πρόβλημα, καθώς οι καταγγέλλοντες αμφισβητούν το αποτέλεσμα του διαγωνισμού και θα διεκδικήσουν με κάθε τρόπο την κατανομή του ηλεκτρικού χώρου των δικτύων με δίκαιο τρόπο. Το ηλεκτρικό δίκτυο είναι περιορισμένο και οι επενδύσεις είναι πολλές, με αποτέλεσμα να προσέλθουν 1243 ενδιαφερόμενοι στο διαγωνισμό για τα φωτοβολταϊκά ως 400 KW . Από αυτούς οι 200 πρόλαβαν να υποβάλουν γρήγορα τις αιτήσεις και έλαβαν Αύξοντα Αριθμό (Α/Α) και είναι στους κερδισμένους, αλλά οι 800 ενώ υπέβαλαν τις αιτήσεις τους σωστά δεν πρόλαβαν κι έμειναν απέξω.
Κυβερνοεπίθεση στην πλατφόρμα;
Tον Αύγουστο του 2022 to ΥΠΕΝ αποφάσισε την εγκατάσταση φ/β ισχύος έως 400 kW, ώστε μικρά έργα να αποκτήσουν θέση σε Κυκλάδες, Πελοπόννησο και Κρήτη, με διαθέσιμη δυναμικότητα 86 MW στην Πελοπόννησο, 45 MW στις Κυκλάδες και 140 MW στην Κρήτη.</>Το ενδιαφέρον ήταν μεγάλο αφού προσφέρεται εξασφαλισμένη 65,7 ευρώ ανά μεγαβατώρα…Ο σχετικός διαγωνισμός διενεργήθηκε από τον ΔΕΔΔΗΕ το Φθινόπωρο του 2022 μέσω της ειδικής ηλεκτρονικής πλατφόρμας του Διαχειριστή, με μοναδικό κριτήριο ως προς την επιτυχή υποβολή της αίτησης στην πλατφόρμα τη χρονική προτεραιότητα.
Για τις Κυκλάδες δεν υπήρξε πρόβλημα γιατί η ζήτηση ήταν μικρότερη της προσφοράς. Στην Πελοπόννησο έπεσε η πλατφόρμα που ετοίμασε ο ΔΕΔΔΗΕ και πολλοί από τους συμμετέχοντες έμειναν απέξω. Στην Κρήτη, η προσφροά ήταν πενταπλάσια της ζήτησης και κέρδισαν το διαγωνισμό οι… πιο γρήγοροι.
Ο ηλεκτρονικός διαγωνισμός για την απόκτηση άδειας εγκατάστασης φωτοβολταϊκών σταθμών ισχύος έως 400 kW στην Κρήτη έγινε στις 25 Οκτωβρίου 2022 μέσω της ειδικής ηλεκτρονικής πλατφόρμας της ΔΕΔΔΗΕ Α.Ε., με μοναδικό κριτήριο ως προς την επιτυχή υποβολή της αίτησης στην πλατφόρμα το κριτήριο της χρονικής προτεραιότητας-ταχύτητας.
Υπήρξαν αιτήσεις που κατατέθηκαν σε διάρκεια ενός λεπτού ή και λιγότερο, κάτι που είναι δυνατό μόνο μέσω λογισμικών- ρομπότ, με αποτέλεσμα να δημιουργηθούν «συνθήκες απόλυτης έλλειψης ισονομίας και νόθευσης των συνθηκών ανταγωνισμού”.
Ακολούθησε ένας καταιγισμός διαμαρτυριών και καταγγελιών, μαζί με τις πρώτες νομικές προσφυγές και η ΡΑΕ έδωσε εντολή να «παγώσουν» τα πάντα και κάλεσε το ΔΕΔΔΗΕ να μην προχωρήσει στην έκδοση όρων σύνδεσης, ενώ έχει αναθέσει σε εμπειρογνώμονα να διεξάγει έρευνα και να της δώσει πόρισμα μέχρι τα τέλη Φεβρουαρίου.
Το ανεξάρτητο πόρισμα που συνόδευσε τις καταγγελίες στη ΡΑΑΕΥ διαπίστωνε σειρά από ελλείψεις και κενά κατά τη διεξαγωγή του διαγωνισμού και ειδικότερα με τη λειτουργία της πλατφόρμας που αποτελεί και το επίμαχο ζήτημα. Η Ρυθμιστική Αρχή αφού μελέτησε όλα τα δεδομένα προχώρησε στην έκδοση απόφασης, την οποία κοινοποίησε στο ΥΠΕΝ.
Η απόφαση της Αρχής επιδικάζει πρόστιμο 1 εκατ. ευρώ στον ΔΕΔΔΗΕ καταλογίζοντας του μεταξύ άλλων "έλλειψη επιμέλειας στην προετοιμασία και αρτιότητα του πληροφοριακού συστήματος που ανέπτυξε για τους διαγωνισμούς αυτούς και που εξ’ αυτού του λόγου απέτυχαν να διασφαλίσουν τις προβλεπόμενες εκ του Νόμους συνθήκες διαφάνειας και ισότητας στην πρόσβαση μεταξύ των συμμετεχόντων".
Ωστόσο, καθώς τα στοιχεία που χρειάζονταν είχαν καταστρεφεί από το ΔΕΔΔΗΕ, δεν μπόρεσε να αποδειχθεί αν υπήρξε ή όχι κυβερνοεπίθεση στην πλατφόρμα του διαγωνισμού.
Η Απόφαση της ΡΑΑΕΥ αδειάζει το ΔΕΔΔΗΕ
Η απόφαση της ΡΑΑΕΥ επέβαλε πρόστιμο 1 εκ. ευρώ στο ΔΕΔΔΗΕ γιατί διαπιστώνει πλημμελή άσκηση των καθηκόντων του, ασυνέπεια ως προς την άσκηση των διαχειριστικών καθηκόντων, πληθώρα τεχνικών αστοχιών, ή προγραμματιστικών εξαιρέσεων(σφαλμάτων) που υποδηλώνουν ευπάθειες της εφαρμογής και αστοχία στην εκτέλεση του κώδικα. Ειδικότερα, διαπιστώνει:
1. Ο ΔΕΔΔΗΕ δεν μερίμνησε ώστε να μπορεί να αποδειχθεί αν έγινε κυβερνοεπίθεση. Όπως αναφέρει η Απόφαση, η έγκυρη και καθολική απόδειξη περί της μη διενέργειας επίθεσης κατά της εφαρμογής προκύπτει από τη διερεύνηση, ανάλυση και σύγκριση των αρχείων καταγραφής όλης της υποδομής που χρησιμοποιήθηκε. Όπως αναφέρεται
κατωτέρω στην παράγραφο Ε, ο ΔΕΔΔΗΕ δεν μερίμνησε για τη διατήρηση σημαντικών στοιχείων καταγραφής με συνέπεια να καθίσταται αδύνατη η εξαγωγή ασφαλούς συμπεράσματος για τη διενέργεια ή μη επίθεσης κατά της εφαρμογής.
2. Παρότι ο ΔΕΔΔΗΕ με την από 22.09.2022 ανακοίνωσή του δήλωσε την ετοιμότητά του και την προσβασιμότητα του συστήματος στο κοινό για την υποδοχή αιτήσεων για φωτοβολταϊκούς σταθμούς στα κορεσμένα δίκτυα της Πελοποννήσου και της Κρήτης, στις 11:00 π.μ της 21ης.10.2022, στην περίπτωση της Πελοποννήσου δεν τήρησε την υποχρέωσή του αυτή, κατά παράβαση της ανωτέρω διάταξης ως προς το σκέλος αυτό, δεδομένου ότι διενεργούσε δοκιμαστικά test κατά την ώρα που θα έπρεπε να εκκινήσει η λειτουργία του συστήματος, γεγονός που καταδεικνύει ότι –παρά τα όσα ισχυρίζεται– δεν είχαν αναληφθεί εγκαίρως οι απαραίτητες ενέργειες για τη διασφάλιση της
αρτιότητας του συστήματος. Η επικαλούμενη από τον Διαχειριστή ανάγκη διεξαγωγής πρόσθετων δοκιμών ασφαλείας, κατά την ύστατη ώρα της εκκίνησης της διαγωνιστικής διαδικασίας,–καταδεικνύει αφενός πλημμελή άσκηση των καθηκόντων του δεδομένου ότι είχε προηγουμένως δηλώσει την ετοιμότητά του, αφετέρου μη επιμέλεια στο σχεδιασμό της διαδικασίας αλλά και του πληροφοριακού του συστήματος.
3. Δεν είχε προβλεφθεί αποτελεσματικός και επαρκής μηχανισμός αντιμετώπισης κακόβουλων επιθέσεων από αυτοματοποιημένους μηχανισμούς ρομπότ οι οποίοι δύνανται να κινηθούν πολύ ταχύτερα από ένα φυσικό πρόσωπο θα είχαν δηλ την δυνατότητα να καταγράψουν το προφίλ ενεργειών που απαιτούνται για να υποβληθεί μια επιτυχής αίτηση και θα την ολοκλήρωναν σε πολύ γρήγορο χρόνο από ένα φυσικό πρόσωπο. Η χρήση τέτοιων μεθόδων μπορεί να επιβαρύνει πολύ ένα πληροφοριακό σύστημα καθώς τα ρομπότ κινούνται πολύ πιο γρήγορα από ένα φυσικό πρόσωπο και επίσης δημιουργούν πολλαπλές ταυτόχρονες συνδέσεις προς ένα πληροφοριακό σύστημα.. Όπως αναφέρεται και στην πραγματογνωμοσύνη, η χρήση των αυτοματοποιημένων μηχανισμών νοθεύει τις συνθήκες υγιούς ανταγωνισμού, καθώς μέσω αυτών οι χρήστες κινούνται ευέλικτα και γρήγορα παρακάμπτοντας την αλληλουχία των βημάτων που απαιτούνται για την έγκαιρη και επιτυχή ολοκλήρωση της υποβολής αιτήματος.
4. Ο Διαχειριστής ενήργησε κατά παραβίαση του άρθρου 5 της της ΥΠΕΝ/ΔΑΠΕΕΚ/81744/3673 (ΦΕΚ Β’ 4221/10.08.2022) και της διάταξης περι ετοιμότητας και της τήρησης της χρονικής ακρίβειας στη διενέργεια της διαδικασίας αφού καταφανώς δεν υπήρχε ετοιμότητα και ενήργησε με τρόπο που δεν προσιδιάζει στο αυξημένο επίπεδο επιμέλειας που οφείλει να επιδεικνύει όταν εφαρμόζει διαδικασίες κατά τις οποίες διαμοιράζεται μεταξύ των συμμετεχόντων και με σειρά προτεραιότητας περιορισμένος ηλεκτρικός χώρος δεδομένου ότι διενεργούσε δοκιμαστικά test κατά την ώρα που θα έπρεπε να λειτουργεί η πλατφόρμα. Συνεπώς, διαπιστώνεται ασυνέπεια ως προς την άσκηση των διαχειριστικών καθηκόντων που του ανατέθηκαν βάσει του οικείου θεσμικού πλαισίου για τη διενέργεια της ανταγωνιστικής διαδικασίας.
5. Βάσει του πορίσματος της ψηφιακής πραγματογνωμοσύνης, και από τα εξετασθέντα αρχεία καταγραφής, διαπιστώθηκε πληθώρα τεχνικών αστοχιών, ήτοι προγραμματιστικών εξαιρέσεων (σφαλμάτων) που υποδηλώνουν ευπάθειες της εφαρμογής και αστοχία στην εκτέλεση του κώδικα, οι οποίες οδηγούν αναπόφευκτα σε επιβάρυνση και βραδύτητα της λειτουργίας του συστήματος.
6. Η αδυναμία αποτελεσματικής διαχείρισης του –εκ των προτέρων γνωστού και προβλέψιμου– όγκου των συμμετεχόντων, ο επακόλουθος φόρτος του πληροφοριακού συστήματος, η βραδύτητα ανταπόκρισης της εφαρμογής και όλα τα επιμέρους τεχνικά ζητήματα που προέκυψαν κατά τη διεξαγωγή της διαδικασίας αποτελούν αστοχίες τις οποίες ο Διαχειριστής όφειλε και μπορούσε να έχει προβλέψει και αποφύγει στο πλαίσιο της υποχρέωσής του να υλοποιήσει ένα κατάλληλο και τεχνολογικά άρτιο πληροφοριακό σύστημα για την υποδοχή αιτήσεων χορήγησης προσφορών σύνδεσης.
7. Από τα στοιχεία που διερεύνησε η Αρχή στο πλαίσιο εξέτασης των καταγγελιών, διαπιστώθηκε ότι δεν είχε προβλεφθεί αποτελεσματικός και επαρκής μηχανισμός αντιμετώπισης κακόβουλων επιθέσεων από αυτοματοποιημένους μηχανισμούς ρομπότ οι οποίοι δύνανται να κινηθούν πολύ ταχύτερα από ένα φυσικό πρόσωπο θα είχαν δηλ την δυνατότητα να καταγράψουν το προφίλ ενεργειών που απαιτούνται για να υποβληθεί μια επιτυχής αίτηση και θα την ολοκλήρωναν σε πολύ γρήγορο χρόνο από ένα φυσικό πρόσωπο….
Όμως, ο Διαχειριστής έχοντας πλήρη επίγνωση ότι πρόκειται για διαγωνισμό ταχύτητας όφειλε να διασφαλίσει με κάθε δυνατό, πρόσφορο και αποτελεσματικό τρόπο την ίση προσβασιμότητα στο πληροφοριακό σύστημα που ό ίδιος δημιούργησε και να αποτρέψει κάθε ενδεχόμενο ευαλωτότητάς του.