Η κυβερνοασφάλεια δεν προκύπτει από τη δαιμονοποίηση της αποκάλυψης, αλλά με σκληρή δουλειά, ξεκάθαρους στόχους, τυποποίηση και διαφάνεια στον σχεδιασμό και την υλοποίηση ● Η πρώτη αντίδραση του υπουργείου Ψηφιακής Διακυβέρνησης και η απάντηση της «Εφ.Συν.».
Η κυβερνοασφάλεια δεν έχει σχέση με την πολιτική. Παρατηρούμε, λοιπόν, με ενδιαφέρον ότι το υπουργείο Ψηφιακής Διακυβέρνησης απαντά «πολιτικά» στη χθεσινή αποκάλυψη («Εφ.Συν.», Θηρευτές προσωπικών δεδομένων οι εφαρμογές του GOV.GR για κινητά). Το υπουργείο είχε, από την περασμένη Δευτέρα, την ευκαιρία να απαντήσει επί της ουσίας στα τρία ερωτήματα που θέσαμε και περιλαμβάνονται στο ρεπορτάζ -απάντησε μόνο σε… ενάμισι από αυτά και επιφυλάχτηκε για τα υπόλοιπα, για να σχολιάσει χθες το πρωί το δημοσίευμα με κραυγές, άρνηση της πραγματικότητας και αστείους υπαινιγμούς («τεχνοφοβία, συνωμοσιολογία, εμμονή!»).
«Το μεγάλο ψηφιακό κεκτημένο που έχει συντελεστεί στη χώρα, οι 1.500 υπηρεσίες του Gov.gr και το 1 δισ. ψηφιακές συναλλαγές φέτος δεν ακυρώνονται με έωλους τρόπους. Ολες οι εφαρμογές σχεδιάζονται με βάση το Γενικό Κανονισμό Προστασίας Δεδομένων, με έμφαση στην ιδιωτικότητα και χωρίς καμία περιττή ή εμπορική χρήση δεδομένων και πάντα με τη συναίνεση του πολίτη.
Ταυτόχρονα, η χώρα αποκτά συνεχώς νέα συστήματα που αντικαθιστούν τα παλαιά και γίνονται διαρκείς επενδύσεις στη θωράκιση και διασφάλιση των συστημάτων. Μια εικόνα εντελώς αντίθετη από το παρελθόν» σχολιάζει το υπουργείο Ψ.Δ. (ολόκληρο το σχόλιο του υπουργείου και μια πρώτη απάντησή μας έχει ήδη δημοσιευτεί στο efsyn.gr).
Φαίνεται ότι οι επίμαχες εφαρμογές για κινητά τηλέφωνα πάσχουν από τον σχεδιασμό τους, ελπίζουμε από την ασθένεια της προχειρότητας. Η νομοθεσία για την κυβερνοασφάλεια και την προστασία των προσωπικών δεδομένων -πέραν της επίκλησης του αρτικόλεξου GDPR ως «mantra»- υποχρεώνει από το πρώτο βήμα του σχεδιασμού μιας εφαρμογής, να έχουν προβλεφθεί οι δυνατότητες, όλα τα βήματα ασφαλείας και όλα τα μέτρα προστασίας. Ξεκινώντας λοιπόν τον σχεδιασμό των δυνατοτήτων, αναλύεις τις «βιβλιοθήκες» με τις δυνατότητες προγραμματισμού και επιλέγεις ποιες χρειάζεσαι –προφανώς δεν έχει γίνει τέτοια μελέτη και αυτό αυξάνει την ευθύνη του υπουργείου Ψηφιακής Διακυβέρνησης, που πλέον είναι εκτεθειμένο σε νομικές περιπέτειες. Εκεί κρύβεται και η επιφύλαξη απάντησης και ο εκνευρισμός από το δημοσίευμα.
Τα ερωτήματα παραμένουν, ιδίως για την καταγραφή γεωγραφικών δεδομένων και για την αδιανόητη άδεια «αναγνωριστικού διαφήμισης» και ειδικά ποιος επωφελείται από την αξία αυτών των προσωπικών δεδομένων με 3,5 εκατ. εγκαταστάσεις σε κινητά τηλέφωνα, καθώς η κυβέρνηση αποφεύγει ακόμη να εξηγήσει δημόσια τι ακριβώς είχε γίνει τους περασμένους μήνες με τις Palantir και Cisco/Webex –και εκεί το υπουργείο Ψηφιακής Διακυβέρνησης δυσκολεύεται να απαντήσει με ψυχραιμία σε έναν πολίτη που ρωτάει.
Κανείς δεν αμφισβητεί τις νέες ψηφιακές υπηρεσίες και την ταχύτητα που τις προχώρησε ο υπουργός -σοβαρότητα και σεβασμό ζητάμε όσοι χρησιμοποιούμε την τεχνολογία στην καθημερινότητά μας και δεν θέλουμε αυτή η χώρα να είναι μόλις 3η από το τέλος στους ευρωπαϊκούς δείκτες ψηφιοποίησης DESI.
Ούτε τη «διαφάνεια» αμφισβητήσαμε, αφού κατά τη διάρκεια της εγκατάστασης… ζητάει συναίνεση στην καταγραφή της διαδικτυακής δραστηριότητας και της ακριβούς θέσης του κινητού -απλώς αναρωτιόμαστε εάν ο μέσος χρήστης αντιλαμβάνεται σε τι ακριβώς δεσμεύεται.
Μας προβληματίζει και η έλλειψη δημόσιας συζήτησης για ζητήματα ασφαλείας, ιδίως για όσα σχετίζονται με δεδομένα χρηστών, όπως π.χ. για την επίθεση στο TAXISnet στις αρχές Νοέμβρη (όπως δείχνει το προσωρινό ολιγοήμερο σφράγισμα της διαδικτυακής κίνησης της Ελλάδας, από και προς την Ολλανδία, που απέτρεψε τα χειρότερα).
Θυμίζουμε ότι μόλις το περασμένο Σαββατοκύριακο αναγκάστηκε η ΑΑΔΕ να αναβαθμίσει το πρωτόκολλο επικοινωνίας του TAXISnet (TLS 1.2) και να ανατάξει μερικώς ή πλήρως περισσότερους από 1.200 ιστοτόπους του Δημοσίου που επηρεάστηκαν, χωρίς να γνωρίζουμε ακόμη με σαφήνεια εάν υπήρξε διαρροή προσωπικών δεδομένων από το TAXISnet και σε ποια έκταση.
Και μια και πιάσαμε τις «τρύπες» θα είχε ενδιαφέρον να μάθουμε γιατί παραμένει «ανασφαλής» ο ιστότοπος της Αστυνομίας με απλό «http», αντί για «https» που κρυπτογραφεί την επικοινωνία χρήστη – ιστοσελίδας ώστε να μη διατρέχει κανείς κίνδυνο να «γριπιαστεί» από απλή περιήγηση στο διαδίκτυο.
Προφανώς δεν είναι ευθύνη του υπουργού να σχεδιάσει διαγράμματα ροής και να γράψει ή να ελέγξει κώδικα, έχει όμως την ευθύνη εποπτείας του υπουργείου του. Αν τώρα υιοθετεί κι ο ίδιος την απάντηση του υπουργείου, είναι άλλης τάξης ζήτημα.
Μετά την αρχική άρνηση του υπουργείου, ο κ. Πιερρακάκης έχει τώρα την ευκαιρία να διορθώσει τα προβλήματα που επισημαίνουμε, όπως έκανε και πριν από μερικούς μήνες που είχαμε επισημάνει άλλα πολύ σοβαρά προβλήματα του GOV.GR. Και τότε είχαν αρνηθεί αρχικά την πραγματικότητα. Τουλάχιστον μας άκουσαν και λίγες ημέρες αργότερα έκλεισε η πρόσβαση στα «ρομποτάκια» των μηχανών αναζήτησης που είχαν βγάλει όλα τα προσωπικά μας δεδομένα από δηλώσεις και εξουσιοδοτήσεις ελεύθερα στο διαδίκτυο (βλ. «Εφ.Συν.» 24.5.2021, «“Τρύπιο” το GOV.GR», 25.5.2021, «Επιβεβαιώνονται τα προβλήματα του GOV.GR», 27.5.2021, Ζητείται σοβαρός… υδραυλικός για το GOV.GR και 28.5.2021, «Ομολογία ενοχής» για τα προσωπικά δεδομένα).
Με ερώτημα εάν «αξιοποιεί» τις κρατικές εφαρμογές για κινητά η κυβέρνηση στις πλάτες των πολιτών(;) αντέδρασε χθες το πρωί ο τομεάρχης Ψηφιακής Διακυβέρνησης της Κ.Ο. του ΣΥΡΙΖΑ-Προοδευτική Συμμαχία, Μάριος Κάτσης, ο οποίος σχολίασε ότι οι ψηφιακές εφαρμογές για κινητά της ενιαίας ψηφιακής πύλης gov.gr, που χρησιμοποιούν χιλιάδες πολίτες για να διευκολύνουν την καθημερινότητά τους, οφείλουν να είναι ασφαλείς και να σέβονται απαρέγκλιτα τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων. «Ούτε ο κ. Πιερρακάκης ούτε κανείς από το υπουργείο απαντά για ποιο λόγο κρατικές εφαρμογές να χρησιμοποιούν αναγνωριστικό διαφήμισης και διαφημιστικά cookies» τονίζει ο κ. Κάτσης, ο οποίος σημειώνει ότι «πρέπει το υπουργείο να κλείσει κάθε περιθώριο διαβίβασης προσωπικών δεδομένων σε τρίτους».
Από την πλευρά του το ΚΙΝ.ΑΛΛ. τοποθετήθηκε με συγκεκριμένες προτάσεις – δεσμεύσεις για την προστασία των προσωπικών δεδομένων, σημειώνοντας ότι «οι ψηφιακές μεταρρυθμίσεις πρέπει να ενδυναμώνουν τους πολίτες και τη δημοκρατία, να προωθούν τη λογοδοσία της εξουσίας και τη διαφάνεια στο πολιτικό σύστημα και τους θεσμούς. Προτείνει δε την περαιτέρω αξιοποίηση του GOV GR WALLET για ψηφιακές συναλλαγές με το Δημόσιο, με ανοιχτή μεθοδολογία υλοποίησης για την εμπιστοσύνη και τον δημόσιο έλεγχο, παραθέτοντας το παράδειγμα της Εσθονίας όπου το λογισμικό των δημόσιων υπηρεσιών διατίθεται ως ανοιχτός κώδικας σε δημόσιο αποθετήριο ώστε να είναι εφικτός ο δημόσιος έλεγχος και να υποστηρίζεται η καινοτομία και η διάδοση της γνώσης.
«Πού βρίσκονται σήμερα τα δεδομένα των πολιτών, τα στοιχεία ταυτότητας, διπλώματος, τα στοιχεία των εμβολίων, στοιχεία φακέλου υγείας κοκ; Υπάρχουν δικλίδες ασφαλείας με τα συστήματα cloud των εταιρειών; Πού βρίσκεται δημόσια αναρτημένος (open source) για λόγους διαφάνειας ο κώδικας της συγκεκριμένης εφαρμογής;» συνεχίζει η ανακοίνωση.
Πηγή: Efsyn
Η πολύ δύσκολη κατάσταση στα νοσοκομεία της Αττικής και η ευρεία διασπορά του κοροναϊού σε…
Η κυβέρνηση της Αυστραλίας και το Facebook βρήκαν κοινό έδαφος για την πληρωμή ειδησεογραφικού περιεχομένου…
Οι Ολυμπιακοί Αγώνες του Τόκιο αρχίζουν κι επίσημα το μεσημέρι της Παρασκευής (23/07) με την…
Πριν την πανδημία, 1 στους 6 Ευρωπαίους πολίτες υπέφεραν από ψυχικές διαταραχές, αλλά αφέθηκαν με…
Στη φυλακή οδηγείται ο 30χρονος κατηγορούμενος για την ανθρωποκτονία της 26χρονης συντρόφου του Γαρυφαλλιάς Ψαρράκου,…
Και πάλι στις 3 πρώτες θέσεις μεταξύ των 27 κρατών μελών της Ευρωπαϊκής Ένωσης βρίσκεται…