Η ΕΠΕ (Ένωση Πληροφορικών Ελλάδας), ως φορέας έκφρασης και επίσημης αντιπροσώπευσης των δεκάδων χιλιάδων επιστημόνων και επαγγελματιών Πληροφορικής και νέων Τεχνολογιών, αποφοίτων Πληροφορικής των ιδρυμάτων του Πανεπιστημιακού και του Τεχνολογικού τομέα της Ανώτατης Εκπαίδευσης της χώρας μας, μεταξύ των άλλων, έχει επισημάνει πολλές φορές στο παρελθόν τα πολύ σοβαρά προβλήματα στη λειτουργία κρατικών φορέων και οργανισμών, σε ότι αφορά τον τρόπο μελέτης, ανάθεσης, προμήθειας και χρήσης υλικού (hardware) και λογισμικού (software) υποδομής.
Η ΕΠΕ έχει επίσης επισημάνει την επισταμένη ανάγκη ιδιαίτερης προσοχής σε ζητήματα Πολιτικής Ασφάλειας (Security Policy) σε σχέση με τις υποδομές αυτές, τόσο σε επίπεδο δεδομένων προσωπικού χαρακτήρα, όσο και σε επίπεδο διοικητικών πληροφοριών και διαδικασιών γενικότερα, καθώς οι Τεχνολογίες Πληροφορικής και Τηλεπικοινωνιών (ΤΠΕ)απαιτούν εξειδικευμένες γνώσεις και πρακτικές, από προσωπικό που συχνά δεν τις κατέχει ή δεν είναι αρμόδιο για αυτά τα ζητήματα.
Ως αποτέλεσμα, ακόμα και βασικές διαδικασίες και πρακτικές ασφάλειας, όπως ο έλεγχος πρόσβασης σε ψηφιακά αρχεία και ηλεκτρονική αλληλογραφία κρατικών οργανισμών και δημόσιων φορέων, όχι απλώς να μην διασφαλίζεται, αλλά συχνά να τίθεται σε άμεσο κίνδυνο, με άγνωστες εν γένει συνέπειες, βραχυπρόθεσμα ή μακροπρόθεσμα,
σε ότι αφορά την προστασία προσωπικών δεδομένων ατόμων αλλά και ζωτικές πληροφορίες για το σύνολο της κρατικής υποδομής.
Εδώ και αρκετούς μήνες, ήδη από τις αρχές του 2010, η χώρα μας βρίσκεται υπό αυστηρή δημοσιοοικονομική επιτήρηση από την Ευρωπαϊκή Ένωση, μέσω των αρμόδιων οργάνων της. Εκπρόσωποι του Eurogroup, της Ευρωπαϊκής Κεντρικής Τράπεζας (EKT) και του Διεθνούς Νομισματικού Ταμείου (ΔΝΤ), βρίσκονται εκ περιτροπής στην Ελλάδα, με αποστολή κάθε φορά τον λεπτομερή έλεγχο μιας τεράστιας πληθώρας στοιχείων που αφορούν το δημοσιοοικονομικό έλεγχο και την αξιολόγηση των αποτελεσμάτων εφαρμογής των αντίστοιχων νόμων που έχουν ψηφιστεί έκτοτε και αφορούν ακριβώς σε αυτή τη δημοσιονομική προσαρμογή της χώρας μας.
Οι αρμοδιότητες αυτών των προσώπων, των οποίων ο συνολικός αριθμός και ο ρόλος του καθενός ξεχωριστά δεν είναι απόλυτα ξεκάθαρα ακόμα και τώρα, δίνει εκ των πραγμάτων μοναδική δυνατότητα πρόσβασης σε υπουργεία, δημόσιους φορείς, κρατικές υπηρεσίες και οργανισμούς. Υπό κανονικές συνθήκες, παρόμοιο επίπεδο πρόσβασης, τόσο σε ευρύτητα όσο και σε βάθος πληροφόρησης, έχουν μόνο διορισμένοι ορκισμένοι δημόσιοι υπάλληλοι κάθε βαθμίδας, οι οποίοι όμως και πάλι εργάζονται σε συγκεκριμένα τμήματα οργανισμών και φορέων, δηλαδή ποτέ δεν έχουν τόσο μαζική ελεύθερη πρόσβαση σε λεπτομερή στοιχεία π.χ. άλλου υπουργείου.
Αντίθετα, στην περίπτωση των λεγόμενων «ελεγκτών» που επισκέπτονται τακτικά πλέον τη χώρα μας, μπορούν να εντοπιστούν ορισμένα εξαιρετικά ζητήματα ασφάλειας:
- Δεν είναι απόλυτα γνωστός (δημόσια) ο ακριβής αριθμός τους, καθώς και η ιδιότητα, η αρμοδιότητα και η εν γένει βαθμίδα του καθενός, ως μέλος της κάθε «αποστολής».
- Δεν πρόκειται για διορισμένους ορκισμένους δημόσιους υπαλλήλους, αλλά για αλλοδαπούς, υπαλλήλους διαφόρων φορέων και οργανισμών (Eurogroup, ΕΚΤ, ΔΝΤ), πράγμα που σημαίνει ότι δεν δεσμεύονται απαραιτήτως από κανένα απόρρητο, ούτε και διοικητική διαδικασία ελέγχου, σε ότι αφορά το χειρισμό ευαίσθητων δεδομένων του εκάστοτε κρατικού οργανισμού τον οποίο επισκέπτονται.
- Η παραμονή τους στην Ελλάδα είναι συνήθως εξαιρετικά μικρή, μερικά 24ωρα ή μερικές ημέρες, πράγμα που σημαίνει ότι οποιαδήποτε διαδικασία δεν ελεγχθεί επιτόπου τη στιγμή που πραγματοποιείται, είναι εξαιρετικά δύσκολο ως απίθανο να μπορεί να ελεγχθεί εκ των υστέρων – πολύ περισσότερο να επιβληθούν οποιαδήποτε μορφής «κυρώσεις» αν διαπιστωθούν παραβιάσεις διοικητικών κανονισμών ως προς το απόρρητο.
- Αντίθετα με τη διοικητική οργάνωση και το σαφή διαχωρισμό αρμοδιοτήτων, ανά υπουργείο ευθύνης, ανά οργανισμό, ή ακόμα και ανά υπηρεσία ή τμήμα μέσα σε έναν οργανισμό, όπου η πρόσβαση σε αρχεία και δεδομένα από υπαλλήλους γίνεται αναγκαστικά «διαμερισματοποιημένα» (compartmentalized), στην περίπτωση των «ελεγκτών» ο διαχωρισμός αυτός φαίνεται να εξαφανίζεται εντελώς ή τουλάχιστον σε πολύ μεγάλο βαθμό. Πρακτικά, πολύ λίγοι άνθρωποι, πέραν και εκτός των ίδιων των κρατικών φορέων, αποκτούν ξαφνικά πρόσβαση σε τεράστιας ευρύτητας πληροφορίες.
- Επιπλέον, ο τρόπος και οι συνθήκες των ελέγχων που γίνονται στα πλαίσια των παραπάνω «αποστολών» είναι τέτοιες, ώστε η πληροφόρηση που λαμβάνουν οι «ελεγκτές» είναι καθολική, λεπτομερέστατη και απόλυτα έγκυρη, εφόσον προέρχεται από τις πιο επίσημες και αρμόδιες πηγές. Αυτό σημαίνει πρακτικά ότι το επίπεδο ασφάλειας (εμπιστευτικότητας) των πληροφοριών αυτών είναι το ανώτερο δυνατό, εννοείται τουλάχιστονγια τον εκάστοτε φορέα. Κάποιοι κρατικοί φορείς διαχειρίζονται πληροφορίες χαμηλού επιπέδου εμπιστευτικότητας (π.χ. διαχειριστικά έξοδα μιας γραμματείας ενός δημόσιου οργανισμού), ενώ άλλοι θέματα εξαιρετικής κρισιμότητας σε επίπεδο εθνικής ασφάλειας (π.χ. αγορές και αποθέματα καυσίμων Σωμάτων Στρατού, στο υπουργείο Άμυνας).
- Είναι φυσικό εκ των πραγμάτων, οι παραπάνω έλεγχοι να βασίζονται κατά κανόνα σε ψηφιακά αρχεία και ηλεκτρονική αλληλογραφία, μεταξύ των «ελεγκτών» και των αρμόδιων υπαλλήλων του κάθε οργανισμού, τόσο κατά τη διάρκεια των συναντήσεων, όσο και πριν και μετά από τις επισκέψεις των «αποστολών» στη χώρα μας. Ως εκ τούτου, δεδομένα σε ψηφιακή μορφή αποθηκεύονται, αντιγράφονται, τυπώνονται, μεταδίδονται, κατά το δοκούν, στα πλαίσια των τυπικών (κανονικών) διαδικασιών. Αυτό σημαίνει ότι ο βαθμός έκθεσής τους, σε ότι αφορά την εμπιστευτικότητα και τον έλεγχο πρόσβασης σε αυτά, να είναι εξαιρετικά μεγάλος και να μην μπορεί εν γένει να περιοριστεί στα πλαίσια μιας συγκεκριμένης συνάντησης, σε συγκεκριμένο τόπο και χρόνο.
- Σημειώνεται ότι, ενώ από την πλευρά της εκάστοτε αρμόδιας υπηρεσίας ή φορέα ο έλεγχος της ασφάλειας πρόσβασης μπορεί εν γένει να ελεγχθεί (εσωτερικό δίκτυο, υποδομή Η/Υ, διαδικασίες προσωπικού), αντίθετα στην πλευρά του «αποδέκτη», δηλαδή των μελών των «αποστολών» αυτών, αντίστοιχοι έλεγχοι είναι μάλλον αδύνατοι. Πρακτικά, οτιδήποτε καταλήγει στους Η/Υ, στους λογαριασμούς ηλεκτρονικής αλληλογραφίας ή στους φακέλους με τα εκτυπωμένα αντίγραφα των «ελεγκτών», δηλαδή οτιδήποτε παραλαμβάνουν ως δεδομένα για τους ελέγχους, δεν μπορεί να ελεγχθεί ως προς την εξουσιοδότηση πρόσβασης σε αυτά (ή ασφαλούς διαγραφής τους), παρά μόνο από τους ίδιους του «ελεγκτές», στο βαθμό και την έκταση που οι ίδιοι το επιθυμούν και το επιτρέπουν.
- Σημειώνεται επίσης ότι κάποιες τεχνολογίες και κάποιες ευρύτατα διαδεδομένες πρακτικές χρήσης αυτών εμπεριέχουν αποδεδειγμένα αυξημένο κίνδυνο σε ότι αφορά την ασφάλεια των εμπλεκόμενων δεδομένων. Για παράδειγμα, είναι γνωστό ότι συγκεκριμένα πρωτόκολλα ασύρματης σύνδεσης σε τοπικό δίκτυο (WiFi) εμπεριέχουν σαφή κίνδυνο παραβίασης του απορρήτου, λόγω προβλημάτων στη σχεδίαση ή στην υλοποίησή τους. Και μπορεί αυτό να εντάσσεται εν μέρει στους αντίστοιχους μηχανισμούς ασφάλειας του συγκεκριμένου φορέα/τοποθεσίας (ασφάλεια τοπικού δικτύου WiFi, αν χρησιμοποιήθηκε κατά τη συνάντηση), αλλά η χρήση του εκ των υστέρων, σε άλλο τόπο και χρόνο, από τον «παραλήπτη», δημιουργεί εν γένει έκθεση αντίστοιχης σοβαρότητας, σε όποια δεδομένα αποθήκευσε και πήρε μαζί του (ετεροχρονισμένη παραβίαση, μέσω του ίδιου αδύναμου κρίκου).
- 9Ανάλογοι κίνδυνοι υπάρχουν στην αποστολή χωρίς ισχυρή κρυπτογράφηση, μηνυμάτων, συνημμένων εγγράφων και αρχείων, μέσω ηλεκτρονικού ταχυδρομείου, καθώς στην περίπτωση αυτή τα δεδομένα συχνά διαχέονται στο διαδίκτυο με ακαθόριστο τρόπο (ανάλογα τα πρωτόκολλα δρομολόγησης και την τεχνολογία πρόσβασης) και παραμένουν σε προσωρινές μνήμες (caches) ενδιάμεσων κόμβων για πολλές ώρες ή και ημέρες, των οποίων η ασφάλεια είναι μη ελέγξιμη και συχνά εντελώς άγνωστη στον αποστολέα και στον παραλήπτη.
- Ειδικά για την πολύ διαδεδομένη τεχνολογία αποθήκευσης τύπου SSD(Solid-StateDisk), που συχνά βλέπουμε ως πολύ μικρές φορητές συσκευές τύπου «USBstick» ή «thumbdrive», είναι φυσικό να δίνεται ιδιαίτερη προσοχή σε επίπεδο ελέγχου πρόσβασης σε ευαίσθητα δεδομένα, καθώς επιτρέπει την αποθήκευση μαζικού όγκου δεδομένων γρήγορα, σε πολύ μικρό χώρο και χωρίς ιδιαίτερο εξοπλισμό (όπως π.χ. στην περίπτωση CD ή DVD εγγραφής). Επίσης, είναι γνωστό ότι ακόμα και όταν προβλέπονται συγκεκριμένες διαδικασίες ασφαλούς διαγραφής, οι συσκευές SSD είναι εν γένει εξαιρετικά δύσκολο ως αδύνατο να διαγραφούν εντελώς (securewipe) λόγω της συγκεκριμένης τεχνολογίας και της κατασκευής τους, με αποτέλεσμα να χρειάζονται ειδικό χειρισμό όταν τα απαιτούμενα επίπεδα ασφάλειας είναι αυξημένα.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου