«Επιβεβαιώνονται τα προβλήματα του gov.gr»

Την αντίδραση της Ενωσης Πληροφορικών προκάλεσε η ανακοίνωση του υπουργείου Ψηφιακής Διακυβέρνησης για το δημοσίευμα της «Εφ.Συν.» – την οποία ζητήσαμε να σχολιάσουν. Με νέα ανακοίνωση, επισημαίνει ότι «επιβεβαιώνονται οι επισημάνσεις τους ως προς τη φύση και τη σοβαρότητα του προβλήματος ασφαλείας» καθώς, «πέρα από τον κωδικό εγγράφου, δεν υφίσταται άλλος μηχανισμός προστασίας και ελέγχου της πρόσβασης στα ηλεκτρονικά έγγραφα που εκδίδονται από την πλατφόρμα gov.gr».

Τονίζουν συνοπτικά ότι «τα νούμερα που αναφέρονται ως προς τις δυνατότητες επίθεσης είναι λάθος» και ότι «αρκεί μία και μόνο σωστή εύρεση hash key με οποιονδήποτε τρόπο (όχι απαραίτητα “brute force attack”) για να τεκμηριωθεί παραβίαση ασφάλειας».

Σημειώνουν ότι σε αντίθεση με σύγχρονης τεχνολογίας κωδικό αυθεντικοποίησης (π.χ. e-banking), στο gov.gr «ο κωδικός είναι στατικός, χωρίς χρονικό όριο και ο κάτοχος του εγγράφου δεν έχει δυνατότητα τροποποίησης για λόγους ασφαλείας – ούτε ειδοποιείται σε περίπτωση ελέγχου εγκυρότητας», ενώ στέκονται ιδιαιτέρως στη λανθασμένη επιλογή της μεθόδου http/https GET, θεωρώντας ότι πολλαπλασιάζει τη σοβαρότητα του προβλήματος ασφάλειας.

Ως προς το νομικό πλαίσιο, σημειώνουν ότι ο μηχανισμός προστασίας ευαίσθητων προσωπικών δεδομένων είναι σαφέστατα εκτός του νομοθετημένου πλαισίου ελάχιστων υποχρεώσεων των παρόχων υπηρεσιών όπως η πλατφόρμα gov.gr, αναφέροντας ενδεικτικά:

● ΑΔΑΕ: Κανονισμός διασφάλισης απορρήτου επικοινωνιών (2011).

● Πράξη 01/2013: Υποχρεώσεις παροχών για την προστασία και ασφάλεια δεδομένων (ΦΕΚ 3433/Β’ 2013).

● Κανονισμός ΕΕ/ 2016/679 GDPR εδάφια 39 (υποχρέωση μηχανισμών ελέγχου πρόσβασης), 54 (προσωπικά δεδομένα Υγείας, βλ. πιστοποιητικό εμβολιασμού), 59 (δικαίωμα τροποποίησης ή διαγραφής), 63 (δικαίωμα ενημέρωσης παραληπτών και λόγων επεξεργασίας), 64 (υποχρέωση ελέγχου ταυτότητας πριν την πρόσβαση).

● Κανονισμός ΕΕ/2016/679 άρθρο 4.12 Παραβίαση δεδομένων προσωπικού χαρακτήρα: H παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.

● Οδηγία 2009/136/ΕΚ, εδάφια 51-58 περί προστασίας ιδιωτικότητας επικοινωνιών και προσωπικών δεδομένων.

● Οδηγία 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (π.χ. υποχρέωση ρητής συγκατάθεσης για άδεια πρόσβασης).

● Γενικοί Οροι & Πολιτικές Χρήσης πλατφόρμας gov.gr Β9: Ο χρήστης ορίζει τον παραλήπτη εγγράφου είτε με καταχώρηση από υφιστάμενη λίστα κλειστού αριθμού, είτε με ελεύθερη καταχώρηση. (…δεν εφαρμόζεται).

● Πολιτική Προστασίας Προσωπικών Δεδομένων gov.gr, παρ. 5

Τέλος, σημειώνουν ότι οι τεχνικοί ισχυρισμοί του υπουργείου και τα περί διασφάλισης των δεδομένων του πολίτη δεν ευσταθούν και καταλήγουν ότι «το τεχνικό μέρος της απάντησης του υπουργείου […] είναι εντελώς άσχετο με την εξαιρετικά προβληματική σχεδίαση και υλοποίηση ολόκληρης της διαδικασίας στην πλατφόρμα».

Σε αυτά, έχει κάτι να απαντήσει το υπουργείο Ψηφιακής Διακυβέρνησης;

Και ένα σχόλιο

Από την πλευρά μας, θεωρούμε κακόγουστο το μέρος της ανακοίνωσης που τονίζει ότι «[η ψηφιακή μετάβαση της χώρας] δεν επιβραδύνεται, δεν υπονομεύεται, δεν σταματά», καθώς αφήνει υπονούμενα για… νεολουδίτες, που αυτονόητα δεν υπάρχουν στην «Εφ.Συν.».

Το πρόβλημα στο gov.gr είναι υπαρκτό, δεν κρύβεται και μας ενδιαφέρει να επιλυθεί, για να εδραιωθεί ισχυρή πεποίθηση στους πολίτες ότι η ψηφιακή πύλη του Δημοσίου είναι και παραμένει αξιόπιστη και ασφαλής.

Δουλειά του υπουργείου είναι να προχωράνε τα πράγματα, δουλειά μας είναι να παρατηρούμε για λογαριασμό των αναγνωστών, εάν είναι καλώς καμωμένα. Καλοδεχούμενες λοιπόν οι βελτιώσεις ασφαλείας που αναπόφευκτα θα έρθουν – θεωρούμε ότι το δημοσίευμά μας επιταχύνει αυτή την κατεύθυνση…