Χωρίς να είναι κανείς hacker ή ειδήμων στους υπολογιστές μπορεί με μια απλή αναζήτηση στο google να βρει τα ονοματεπώνυμα των διοικητικών υπαλλήλων των πανεπιστημίων, το
ΑΦΜ τους και αν ψάξει κανείς λίγο περισσότερο μπορεί να βρει ημερομηνία γέννησης και τα ονόματα των γονέων τους οπότε αυτομάτως έχει πρόσβαση και στο ΑΜΚΑ.
Το παραπάνω ίσως γεγονός είναι που οδήγησε τους Συλλόγους εργαζομένων στο ΕΜΠ να ζητήσουν την παρέμβαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) να υποστηρίξει σε επιστολή της ότι η ιστοσελίδα απογραφής είναι μη ασφαλής αναδεικνύοντας παράλληλα και άλλα προβλήματα της πλατφόρμας απογραφής του Υπουργείο Παιδείας.
Πιο αναλυτικά στην επιστολή που απέστειλε η ΕΠΕ στον υπουργό Παιδείας τονίζει ότι ένα από τα σοβαρότερα προβλήματα είναι το γεγονός ότι δεν διασφαλίζεται η ταυτοποίηση του χρήστη και συνακόλουθα των υποβαλλόμενων στοιχείων.
Το πρόβλημα εστιάζεται στο γεγονός ότι η είσοδος στην πλατφόρμα πραγματοποιείται με το ΑΦΜ και το ΑΜΚΑ που είναι δυο αριθμοί με ευρεία χρήση και οι οποίοι είναι δημόσια διαθέσιμοι τόσο εντός του Πανεπιστημίου όσο και σε άλλες δημόσιες υπηρεσίες. Οι αριθμοί αυτοί είναι διαθέσιμοι και στο ευρύ κοινό οπότε μπορεί κάποιος κακόβουλος να μπει στην ιστοσελίδα και να εισάγει ανακριβή στοιχεία.
Επιβεβαιώνονται λοιπόν απόλυτα οι ισχυρισμοί της ένωσης πληροφορικών που στην επιστολή της αναφέρει ότι δημιουργείται μείζον ζήτημα για τον πραγματικό χρήστη της διαδικτυακής εφαρμογής, καθώς οποιοσδήποτε τρίτος (πέραν του ίδιου του ενδιαφερόμενου διοικητικού υπαλλήλου) μπορεί να εισάγει στο σύστημα δεδομένα αντί αυτού.
Τέλος, το ίδιο το πληροφοριακό σύστημα συνολικά καθίσταται αναξιόπιστο ως προς τα δεδομένα που καταγράφει, καθώς κανείς δεν μπορεί εν γένει να διασφαλίσει την ταυτοποίηση των χρηστών και την εγκυρότητα των υποβαλλόμενων στοιχείων και της βάσης δεδομένων. Τονίζεται επίσης στην επιστολή ότι η ασφάλεια της «πλατφόρμας» του υπουργείου είναι διάτρητη καθώς, δεν υπάρχει εγκατεστημένο πιστοποιητικό ασφάλειας, έτσι ώστε να είναι δυνατός ο έλεγχος και η πιστοποίηση του φορέα εξυπηρέτησης ούτε επίσης κρυπτογράφηση δεδομένων. Παράλληλα δεν υπάρχει ούτε δήλωση περί προστασίας των προσωπικών δεδομένων.
Στη συγκεκριμένη σελίδα, υποστηρίζει η ΕΠΕ, δεν αναφέρεται πουθενά δήλωση για την τήρηση των προβλέψεων του νόμου περί προστασίας των προσωπικών δεδομένων, σχετικά με τον τρόπο επεξεργασίας, το χρόνο και τον τόπο αποθήκευσης, καθώς και τον υπεύθυνο διαχείρισης, όπως προβλέπεται από τους σχετικούς νόμους και τις διατάξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Όλα τα παραπάνω οδηγούν στο συμπέρασμα ότι τα δεδομένα της συγκεκριμένης υπηρεσίας είναι άκυρα και παράνομα και άνευ νομικής υπότασης αφού μεταξύ των άλλων δεν διασφαλίζεται η εγκυρότητα του τρόπου επεξεργασίας των δεδομένων. Η Ένωση Πληροφορικών Ελλάδος κατόπιν των ανωτέρω καλεί την αρμόδια Υπηρεσία να απενεργοποιήσει άμεσα τη συγκεκριμένη πλατφόρμα και να ενημερώσει όσους υπαλλήλους έχουν απογραφεί για τους κινδύνους ασφάλειας. Παράλληλα καλεί την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να προχωρήσει σε πλήρη εξωτερικό έλεγχο (external audit) σχετικά με πιθανή παραβίαση του συστήματος με πιθανή διαρροή ή αλλοίωση προσωπικών δεδομένων.
Το διοικητικό συμβούλιο της ΕΠΕ θεωρεί υποχρέωσή του να ενημερώσει τους διοικητικούς υπαλλήλους τους οποίους αφορά η συγκεκριμένη απογραφή, ότι το συγκεκριμένο σύστημα ενέχει σοβαρότατους κινδύνους για την ασφάλεια των προσωπικών τους δεδομένων καθώς και ότι ενδέχεται να έχουν υποβληθεί στοιχεία στη συγκεκριμένη διαδικτυακή πλατφόρμα εν αγνοία τους, με τη χρήση του ΑΦΜ και του ΑΜΚΑ τους.
Καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Όλα αυτά τα προβλήματα που εντόπισε η Ένωση Πληροφορικών Ελλάδας οδήγησαν τους Συλλόγους Εργαζομένων του Εθνικού Μετσόβιου Πολυτεχνείου να προχωρήσουν σε καταγγελία του Υπουργείου Παιδείας στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) ζητώντας την παρέμβαση της Αρχής για τα προβλήματα που έχουν προκύψει. Στην καταγγελία τους οι εργαζόμενοι τονίζουν ότι η σελίδα απογραφής δεν είναι ασφαλής, δεν περιέχει δήλωση περί προστασίας προσωπικών δεδομένων, ενώ τα στοιχεία εισόδου δεν μπορούν να θεωρηθούν απολύτως προσωπικά.
Βασίλης Καλόγηρος
ΑΦΜ τους και αν ψάξει κανείς λίγο περισσότερο μπορεί να βρει ημερομηνία γέννησης και τα ονόματα των γονέων τους οπότε αυτομάτως έχει πρόσβαση και στο ΑΜΚΑ.
Το παραπάνω ίσως γεγονός είναι που οδήγησε τους Συλλόγους εργαζομένων στο ΕΜΠ να ζητήσουν την παρέμβαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) να υποστηρίξει σε επιστολή της ότι η ιστοσελίδα απογραφής είναι μη ασφαλής αναδεικνύοντας παράλληλα και άλλα προβλήματα της πλατφόρμας απογραφής του Υπουργείο Παιδείας.
Πιο αναλυτικά στην επιστολή που απέστειλε η ΕΠΕ στον υπουργό Παιδείας τονίζει ότι ένα από τα σοβαρότερα προβλήματα είναι το γεγονός ότι δεν διασφαλίζεται η ταυτοποίηση του χρήστη και συνακόλουθα των υποβαλλόμενων στοιχείων.
Το πρόβλημα εστιάζεται στο γεγονός ότι η είσοδος στην πλατφόρμα πραγματοποιείται με το ΑΦΜ και το ΑΜΚΑ που είναι δυο αριθμοί με ευρεία χρήση και οι οποίοι είναι δημόσια διαθέσιμοι τόσο εντός του Πανεπιστημίου όσο και σε άλλες δημόσιες υπηρεσίες. Οι αριθμοί αυτοί είναι διαθέσιμοι και στο ευρύ κοινό οπότε μπορεί κάποιος κακόβουλος να μπει στην ιστοσελίδα και να εισάγει ανακριβή στοιχεία.
Επιβεβαιώνονται λοιπόν απόλυτα οι ισχυρισμοί της ένωσης πληροφορικών που στην επιστολή της αναφέρει ότι δημιουργείται μείζον ζήτημα για τον πραγματικό χρήστη της διαδικτυακής εφαρμογής, καθώς οποιοσδήποτε τρίτος (πέραν του ίδιου του ενδιαφερόμενου διοικητικού υπαλλήλου) μπορεί να εισάγει στο σύστημα δεδομένα αντί αυτού.
Τέλος, το ίδιο το πληροφοριακό σύστημα συνολικά καθίσταται αναξιόπιστο ως προς τα δεδομένα που καταγράφει, καθώς κανείς δεν μπορεί εν γένει να διασφαλίσει την ταυτοποίηση των χρηστών και την εγκυρότητα των υποβαλλόμενων στοιχείων και της βάσης δεδομένων. Τονίζεται επίσης στην επιστολή ότι η ασφάλεια της «πλατφόρμας» του υπουργείου είναι διάτρητη καθώς, δεν υπάρχει εγκατεστημένο πιστοποιητικό ασφάλειας, έτσι ώστε να είναι δυνατός ο έλεγχος και η πιστοποίηση του φορέα εξυπηρέτησης ούτε επίσης κρυπτογράφηση δεδομένων. Παράλληλα δεν υπάρχει ούτε δήλωση περί προστασίας των προσωπικών δεδομένων.
Στη συγκεκριμένη σελίδα, υποστηρίζει η ΕΠΕ, δεν αναφέρεται πουθενά δήλωση για την τήρηση των προβλέψεων του νόμου περί προστασίας των προσωπικών δεδομένων, σχετικά με τον τρόπο επεξεργασίας, το χρόνο και τον τόπο αποθήκευσης, καθώς και τον υπεύθυνο διαχείρισης, όπως προβλέπεται από τους σχετικούς νόμους και τις διατάξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Όλα τα παραπάνω οδηγούν στο συμπέρασμα ότι τα δεδομένα της συγκεκριμένης υπηρεσίας είναι άκυρα και παράνομα και άνευ νομικής υπότασης αφού μεταξύ των άλλων δεν διασφαλίζεται η εγκυρότητα του τρόπου επεξεργασίας των δεδομένων. Η Ένωση Πληροφορικών Ελλάδος κατόπιν των ανωτέρω καλεί την αρμόδια Υπηρεσία να απενεργοποιήσει άμεσα τη συγκεκριμένη πλατφόρμα και να ενημερώσει όσους υπαλλήλους έχουν απογραφεί για τους κινδύνους ασφάλειας. Παράλληλα καλεί την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να προχωρήσει σε πλήρη εξωτερικό έλεγχο (external audit) σχετικά με πιθανή παραβίαση του συστήματος με πιθανή διαρροή ή αλλοίωση προσωπικών δεδομένων.
Το διοικητικό συμβούλιο της ΕΠΕ θεωρεί υποχρέωσή του να ενημερώσει τους διοικητικούς υπαλλήλους τους οποίους αφορά η συγκεκριμένη απογραφή, ότι το συγκεκριμένο σύστημα ενέχει σοβαρότατους κινδύνους για την ασφάλεια των προσωπικών τους δεδομένων καθώς και ότι ενδέχεται να έχουν υποβληθεί στοιχεία στη συγκεκριμένη διαδικτυακή πλατφόρμα εν αγνοία τους, με τη χρήση του ΑΦΜ και του ΑΜΚΑ τους.
Καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Όλα αυτά τα προβλήματα που εντόπισε η Ένωση Πληροφορικών Ελλάδας οδήγησαν τους Συλλόγους Εργαζομένων του Εθνικού Μετσόβιου Πολυτεχνείου να προχωρήσουν σε καταγγελία του Υπουργείου Παιδείας στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) ζητώντας την παρέμβαση της Αρχής για τα προβλήματα που έχουν προκύψει. Στην καταγγελία τους οι εργαζόμενοι τονίζουν ότι η σελίδα απογραφής δεν είναι ασφαλής, δεν περιέχει δήλωση περί προστασίας προσωπικών δεδομένων, ενώ τα στοιχεία εισόδου δεν μπορούν να θεωρηθούν απολύτως προσωπικά.
Βασίλης Καλόγηρος
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου