Μισές απαντήσεις για τις εφαρμογές του GOV.GR σε κινητά

Η κυβερνοασφάλεια δεν έχει σχέση με την πολιτική. Παρατηρούμε, λοιπόν, με ενδιαφέρον ότι το υπουργείο Ψηφιακής Διακυβέρνησης απαντά «πολιτικά» στη χθεσινή αποκάλυψη («Εφ.Συν.», Θηρευτές προσωπικών δεδομένων οι εφαρμογές του GOV.GR για κινητά). Το υπουργείο είχε, από την περασμένη Δευτέρα, την ευκαιρία να απαντήσει επί της ουσίας στα τρία ερωτήματα που θέσαμε και περιλαμβάνονται στο ρεπορτάζ -απάντησε μόνο σε… ενάμισι από αυτά και επιφυλάχτηκε για τα υπόλοιπα, για να σχολιάσει χθες το πρωί το δημοσίευμα με κραυγές, άρνηση της πραγματικότητας και αστείους υπαινιγμούς («τεχνοφοβία, συνωμοσιολογία, εμμονή!»).

«Το μεγάλο ψηφιακό κεκτημένο που έχει συντελεστεί στη χώρα, οι 1.500 υπηρεσίες του Gov.gr και το 1 δισ. ψηφιακές συναλλαγές φέτος δεν ακυρώνονται με έωλους τρόπους. Ολες οι εφαρμογές σχεδιάζονται με βάση το Γενικό Κανονισμό Προστασίας Δεδομένων, με έμφαση στην ιδιωτικότητα και χωρίς καμία περιττή ή εμπορική χρήση δεδομένων και πάντα με τη συναίνεση του πολίτη.

Ταυτόχρονα, η χώρα αποκτά συνεχώς νέα συστήματα που αντικαθιστούν τα παλαιά και γίνονται διαρκείς επενδύσεις στη θωράκιση και διασφάλιση των συστημάτων. Μια εικόνα εντελώς αντίθετη από το παρελθόν» σχολιάζει το υπουργείο Ψ.Δ. (ολόκληρο το σχόλιο του υπουργείου και μια πρώτη απάντησή μας έχει ήδη δημοσιευτεί στο efsyn.gr).

Προχειρότητα

Φαίνεται ότι οι επίμαχες εφαρμογές για κινητά τηλέφωνα πάσχουν από τον σχεδιασμό τους, ελπίζουμε από την ασθένεια της προχειρότητας. Η νομοθεσία για την κυβερνοασφάλεια και την προστασία των προσωπικών δεδομένων -πέραν της επίκλησης του αρτικόλεξου GDPR ως «mantra»- υποχρεώνει από το πρώτο βήμα του σχεδιασμού μιας εφαρμογής, να έχουν προβλεφθεί οι δυνατότητες, όλα τα βήματα ασφαλείας και όλα τα μέτρα προστασίας. Ξεκινώντας λοιπόν τον σχεδιασμό των δυνατοτήτων, αναλύεις τις «βιβλιοθήκες» με τις δυνατότητες προγραμματισμού και επιλέγεις ποιες χρειάζεσαι –προφανώς δεν έχει γίνει τέτοια μελέτη και αυτό αυξάνει την ευθύνη του υπουργείου Ψηφιακής Διακυβέρνησης, που πλέον είναι εκτεθειμένο σε νομικές περιπέτειες. Εκεί κρύβεται και η επιφύλαξη απάντησης και ο εκνευρισμός από το δημοσίευμα.

Τα ερωτήματα παραμένουν, ιδίως για την καταγραφή γεωγραφικών δεδομένων και για την αδιανόητη άδεια «αναγνωριστικού διαφήμισης» και ειδικά ποιος επωφελείται από την αξία αυτών των προσωπικών δεδομένων με 3,5 εκατ. εγκαταστάσεις σε κινητά τηλέφωνα, καθώς η κυβέρνηση αποφεύγει ακόμη να εξηγήσει δημόσια τι ακριβώς είχε γίνει τους περασμένους μήνες με τις Palantir και Cisco/Webex –και εκεί το υπουργείο Ψηφιακής Διακυβέρνησης δυσκολεύεται να απαντήσει με ψυχραιμία σε έναν πολίτη που ρωτάει.

Κανείς δεν αμφισβητεί τις νέες ψηφιακές υπηρεσίες και την ταχύτητα που τις προχώρησε ο υπουργός -σοβαρότητα και σεβασμό ζητάμε όσοι χρησιμοποιούμε την τεχνολογία στην καθημερινότητά μας και δεν θέλουμε αυτή η χώρα να είναι μόλις 3η από το τέλος στους ευρωπαϊκούς δείκτες ψηφιοποίησης DESI.

Ούτε τη «διαφάνεια» αμφισβητήσαμε, αφού κατά τη διάρκεια της εγκατάστασης… ζητάει συναίνεση στην καταγραφή της διαδικτυακής δραστηριότητας και της ακριβούς θέσης του κινητού -απλώς αναρωτιόμαστε εάν ο μέσος χρήστης αντιλαμβάνεται σε τι ακριβώς δεσμεύεται.

Μας προβληματίζει και η έλλειψη δημόσιας συζήτησης για ζητήματα ασφαλείας, ιδίως για όσα σχετίζονται με δεδομένα χρηστών, όπως π.χ. για την επίθεση στο TAXISnet στις αρχές Νοέμβρη (όπως δείχνει το προσωρινό ολιγοήμερο σφράγισμα της διαδικτυακής κίνησης της Ελλάδας, από και προς την Ολλανδία, που απέτρεψε τα χειρότερα).

Θυμίζουμε ότι μόλις το περασμένο Σαββατοκύριακο αναγκάστηκε η ΑΑΔΕ να αναβαθμίσει το πρωτόκολλο επικοινωνίας του TAXISnet (TLS 1.2) και να ανατάξει μερικώς ή πλήρως περισσότερους από 1.200 ιστοτόπους του Δημοσίου που επηρεάστηκαν, χωρίς να γνωρίζουμε ακόμη με σαφήνεια εάν υπήρξε διαρροή προσωπικών δεδομένων από το TAXISnet και σε ποια έκταση.

Κι άλλες «τρύπες»

Και μια και πιάσαμε τις «τρύπες» θα είχε ενδιαφέρον να μάθουμε γιατί παραμένει «ανασφαλής» ο ιστότοπος της Αστυνομίας με απλό «http», αντί για «https» που κρυπτογραφεί την επικοινωνία χρήστη – ιστοσελίδας ώστε να μη διατρέχει κανείς κίνδυνο να «γριπιαστεί» από απλή περιήγηση στο διαδίκτυο.

Προφανώς δεν είναι ευθύνη του υπουργού να σχεδιάσει διαγράμματα ροής και να γράψει ή να ελέγξει κώδικα, έχει όμως την ευθύνη εποπτείας του υπουργείου του. Αν τώρα υιοθετεί κι ο ίδιος την απάντηση του υπουργείου, είναι άλλης τάξης ζήτημα.

Μετά την αρχική άρνηση του υπουργείου, ο κ. Πιερρακάκης έχει τώρα την ευκαιρία να διορθώσει τα προβλήματα που επισημαίνουμε, όπως έκανε και πριν από μερικούς μήνες που είχαμε επισημάνει άλλα πολύ σοβαρά προβλήματα του GOV.GR. Και τότε είχαν αρνηθεί αρχικά την πραγματικότητα. Τουλάχιστον μας άκουσαν και λίγες ημέρες αργότερα έκλεισε η πρόσβαση στα «ρομποτάκια» των μηχανών αναζήτησης που είχαν βγάλει όλα τα προσωπικά μας δεδομένα από δηλώσεις και εξουσιοδοτήσεις ελεύθερα στο διαδίκτυο (βλ. «Εφ.Συν.» 24.5.2021, «“Τρύπιο” το GOV.GR», 25.5.2021, «Επιβεβαιώνονται τα προβλήματα του GOV.GR», 27.5.2021, Ζητείται σοβαρός… υδραυλικός για το GOV.GR και 28.5.2021, «Ομολογία ενοχής» για τα προσωπικά δεδομένα).