Απάντηση - «χαστούκι» στον ΣΥΡΙΖΑ για το gov.gr από την Αρχή Προστασίας Δεδομένων
Τι αναφέρει σε ανακοίνωσή της
Απανωτές και σβουριχτές «σφαλιάρες» τρώει ο ΣΥΡΙΖΑ με αφορμή τη δήλωση του τομεάρχη Ψηφιακής Πολιτικής Μάριου Κάτση περί κενών ασφαλείας στο gov.gr.
Τα όσα μάλιστα είπε ο βουλευτής του ΣΥΡΙΖΑ έσπευσε να υιοθετήσει η «Εφημερίδα των Συντακτών», προκαλώντας την αντίδραση του υπουργείου Ψηφιακής Διακυβέρνησης που έκανε λόγο για ανυπόστατο ισχυρισμό και επισημαίνοντας πως στην ψηφιακή υπηρεσία της Υπεύθυνης Δήλωσης, με τη δημιουργία κάθε νέου εγγράφου γεννιέται και ένας μοναδικός κωδικός για το συγκεκριμένο έγγραφο, με τον οποίο εκείνος στον οποίο απευθύνεται το έγγραφο μπορεί να το αναζητήσει.
Σφαλιάρα και από την Αρχή Προστασίας Δεδομένων
Το νέο χαστούκι ήρθε σήμερα από την Αρχή Προστασίας Δεδομένων, η οποία σε ανακοίνωσή της αναφέρει ρητά πώς μετά από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για είναι επαρκή.
Ολόκληρη η ανακοίνωση
Η Αρχή Προστασίας Δεδομένων ενημερώθηκε στις 18/5/2021 από την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) σχετικά με πιθανό πρόβλημα ασφάλειας κατά την επικύρωση εγγράφων που παράγονται από τις υπηρεσίες του ιστότοπου gov.gr. Συγκεκριμένα, στο έγγραφο της ΕΠΕ αναφέρεται ότι είναι δυνατόν κάποιος με απλή αναζήτηση στο Google να αποκτήσει πρόσβαση στον υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη και ότι, επιπρόσθετα, αν λάβει γνώση μέσω κάποιας πηγής ή εντελώς τυχαία του κωδικού hash key που χρησιμοποιείται για την επικύρωση (validation), μπορεί να αποκτήσει αντίγραφο του εγγράφου. Αναφέρεται επίσης ότι η προστασία των εγγράφων μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται από τη σχετική νομοθεσία.
Η Αρχή διερεύνησε άμεσα τα αναφερόμενα στο δελτίο Τύπου της ΕΠΕ ενώ περαιτέρω, την 19/5/2021, πραγματοποιήθηκε τηλεδιάσκεψη στελεχών της Αρχής και του Υπουργείου Ψηφιακής Διακυβέρνησης για την παροχή αναλυτικών πληροφοριών σε σχέση με τα μέτρα ασφάλειας του εν λόγω συστήματος.
Μετά από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για την ανωτέρω επεξεργασία είναι επαρκή.
Τα όσα μάλιστα είπε ο βουλευτής του ΣΥΡΙΖΑ έσπευσε να υιοθετήσει η «Εφημερίδα των Συντακτών», προκαλώντας την αντίδραση του υπουργείου Ψηφιακής Διακυβέρνησης που έκανε λόγο για ανυπόστατο ισχυρισμό και επισημαίνοντας πως στην ψηφιακή υπηρεσία της Υπεύθυνης Δήλωσης, με τη δημιουργία κάθε νέου εγγράφου γεννιέται και ένας μοναδικός κωδικός για το συγκεκριμένο έγγραφο, με τον οποίο εκείνος στον οποίο απευθύνεται το έγγραφο μπορεί να το αναζητήσει.
Σφαλιάρα και από την Αρχή Προστασίας Δεδομένων
Το νέο χαστούκι ήρθε σήμερα από την Αρχή Προστασίας Δεδομένων, η οποία σε ανακοίνωσή της αναφέρει ρητά πώς μετά από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για είναι επαρκή.Ολόκληρη η ανακοίνωση
Η Αρχή Προστασίας Δεδομένων ενημερώθηκε στις 18/5/2021 από την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) σχετικά με πιθανό πρόβλημα ασφάλειας κατά την επικύρωση εγγράφων που παράγονται από τις υπηρεσίες του ιστότοπου gov.gr. Συγκεκριμένα, στο έγγραφο της ΕΠΕ αναφέρεται ότι είναι δυνατόν κάποιος με απλή αναζήτηση στο Google να αποκτήσει πρόσβαση στον υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη και ότι, επιπρόσθετα, αν λάβει γνώση μέσω κάποιας πηγής ή εντελώς τυχαία του κωδικού hash key που χρησιμοποιείται για την επικύρωση (validation), μπορεί να αποκτήσει αντίγραφο του εγγράφου. Αναφέρεται επίσης ότι η προστασία των εγγράφων μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται από τη σχετική νομοθεσία.
Η Αρχή διερεύνησε άμεσα τα αναφερόμενα στο δελτίο Τύπου της ΕΠΕ ενώ περαιτέρω, την 19/5/2021, πραγματοποιήθηκε τηλεδιάσκεψη στελεχών της Αρχής και του Υπουργείου Ψηφιακής Διακυβέρνησης για την παροχή αναλυτικών πληροφοριών σε σχέση με τα μέτρα ασφάλειας του εν λόγω συστήματος.
Μετά από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για την ανωτέρω επεξεργασία είναι επαρκή.