ΕΛΛΗΝΙΚΗ ΟΙΚΟΝΟΜΙΑ

Σοβαρές ελλείψεις στο σύστημα προστασίας δεδομένων

ΜΑΤΘΑΙΟΣ ΤΣΙΜΙΤΑΚΗΣ

Η διάσπαση της διαχείρισης της πληροφορικής ανάμεσα σε δύο γενικές γραμματείες και η υποβάθμιση του ρόλου της στη Γενική Γραμματεία Εσόδων είναι λάθος, τονίζει ο κ. Δ. Σπινέλλης.

ΕΤΙΚΕΤΕΣ:

Η δήλωση του αναπληρωτή υπουργού Οικονομικών, Τρύφωνα Αλεξιάδη, στον ΣΚΑΪ πρόσφατα, ότι παραβιάστηκε το φορολογικό του προφίλ, δεν εξέπληξε όσους γνωρίζουν το επίπεδο ασφαλείας των πληροφοριακών συστημάτων του Δημοσίου. Για την ακρίβεια, αποδεικνύει ότι κάποια μορφή ασφάλειας δεδομένων υπάρχει πλέον, εφόσον έγινε καταγραφή της ενέργειας της κλοπής από τους υπολογιστές και μπόρεσε να εντοπιστεί ο παραβάτης. Η αυξανόμενη συσχέτιση δεδομένων του Δημοσίου με τραπεζικά δεδομένα και η σύσταση περιουσιολογίου, προκειμένου να ικανοποιηθεί η σχετική απαίτηση του Μνημονίου για ανεξαρτητοποίηση της Γενικής Γραμματείας Δημοσίων Εσόδων και την πάταξη της παραοικονομίας, βρίσκουν το Δημόσιο ανέτοιμο να αντεπεξέλθει και ευάλωτο σε επιθέσεις.

Η μεγαλύτερη υπόθεση παραβίασης δεδομένων αποκαλύφθηκε τον Ιούλιο του 2013, όταν η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) ανακάλυψε ότι το σύνολο των Ε1, όλων των φορολογουμένων από το 2003 έως το 2009 και μερικώς το 2012, το ΕΤΑΚ των ετών ’08, ’09 και 2012 και το Ε9 πωλούνταν από ιδιωτικές εταιρείες, ύστερα από συστηματικές διαρροές της Γενικής Γραμματείας
Πληροφοριακών Συστημάτων. Το 2014 επιβλήθηκαν πρόστιμα σε 15 εταιρείες και δύο φυσικά πρόσωπα που είχαν αποκτήσει πρόσβαση σε αυτά τα δεδομένα, συνολικού ύψους 243.500 ευρώ. Η Αρχή διέγνωσε ότι δεν είχαν αποκτηθεί απλώς τα δεδομένα με παράνομο τρόπο από δημόσιες βάσεις δεδομένων (κυρίως από το υπουργείο Οικονομικών), αλλά είχαν χρησιμοποιηθεί για στοχευμένες διαφημιστικές και άλλες ενέργειες, χωρίς να δοθεί στους αποδέκτες το δικαίωμα της ενημέρωσης ή της αντίρρησης, όπως ορίζει ο νόμος. Οχι μόνο χρησιμοποιούνταν παράνομα, δηλαδή, αλλά και εν κρυπτώ.

Ακόμα σημαντικότερο, όμως, είναι ότι οι ερευνητές της ΑΠΔΠΧ διαπίστωσαν σοβαρές ελλείψεις στο σύστημα προστασίας των δεδομένων αυτών από την πλευρά της διοίκησης.

«Δεν υπήρχε πολιτική κωδικών ασφαλείας (passwords) – έβαζε ο κάθε ένας ό,τι ήθελε, δεν τηρούνταν πρωτόκολλο ασφαλείας και οι διαχειριστές μικρών συστημάτων μπορούσαν να σβήνουν κατά το δοκούν τα αρχεία καταγραφής (log files)», λέει ο κ. Βασίλης Βλάχος, καθηγητής του Τμήματος Μηχανικών Πληροφορικής του ΤΕΙ Θεσσαλίας. Το 2014 η ΓΓΠΣ διόρθωσε το σύστημα ασφαλείας της, κάτι που πιστοποιείται από τις εκθέσεις προόδου που απεστάλησαν στην ΑΠΔΠΧ ανά τρίμηνο. Το 2015 οι έλεγχοι σταμάτησαν, ενώ η υποβάθμιση της ΓΓΠΣ και η αναβάθμιση της Γενικής Γραμματείας Εσόδων έχουν δημιουργήσει νέους πονοκεφάλους στη διοίκηση.

Είναι χαρακτηριστικό πως, σύμφωνα με κύκλους του υπουργείου Οικονομικών, όταν έπεσαν τα συστήματα του taxis κατά την κατάθεση των φορολογικών δηλώσεων, φέτος, στο γραφείο του κ. Αλεξιάδη έφτασαν δύο εκθέσεις, μία από τη Γενική Γραμματεία Εσόδων και μία από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων. Στελέχη της ΑΠΔΠΧ επισημαίνουν ότι η διασύνδεση περισσότερων δεδομένων και η δημιουργία περιουσιολογίου δημιουργούν την ανάγκη για τη θέσπιση περισσότερων δικλίδων ασφαλείας, κάτι που δυσχεραίνεται από την υποστελέχωση και την αδυναμία μετάταξης εξειδικευμένου προσωπικού.

«Η διάσπαση της διαχείρισης της πληροφορικής ανάμεσα σε δύο γενικές γραμματείες και η υποβάθμιση του ρόλου της στη Γενική Γραμματεία Εσόδων είναι λάθος. Δεν μπορεί ένας σύγχρονος οργανισμός να λειτουργήσει ικανοποιητικά εάν η πληροφορική δεν έχει στρατηγικό ρόλο και ενιαία διοίκηση», σχολιάζει ο κ. Δ. Σπινέλλης, πρώην γενικός γραμματέας Πληροφοριακών Συστημάτων και καθηγητής πληροφορικής στην ΑΣΟΕΕ.

«Τα προσωπικά δεδομένα διασφαλίζονται αποτελεσματικότερα εάν φυλάσσονται αποκεντρωμένα (για παράδειγμα, οι τράπεζες να ρωτιούνται για συγκεκριμένα δεδομένα βάσει κριτηρίων αντί να τα στέλνουν μαζικά στο υπουργείο Οικονομικών). Επίσης, πρέπει να υπάρχει διαφάνεια στην πρόσβαση στα δεδομένα: ο κάθε πολίτης να μπορεί άμεσα να γνωρίζει ποιος υπάλληλος είδε τα δεδομένα του και για ποιο λόγο», συμπληρώνει ο ίδιος.

Το πρόβλημα της ασυμβατότητας των διαδικασιών παρατηρείται σε όλα τα επίπεδα. Ο Μανώλης Τερροβίτης, επιστήμονας συνεργαζόμενος με το ερευνητικό κέντρο «Αθηνά», βρήκε πως η ΕΛΣΤΑΤ αντιμετωπίζει πρόβλημα άντλησης στοιχείων, αφού διαφορετικές υπηρεσίες, χρησιμοποιούν διαφορετικές μεθόδους ασφαλείας ή και καθόλου. «Η υπηρεσία διαμόρφωσε δικές της μεθόδους, αφού αντλεί από όλο το εύρος του Δημοσίου, όμως το επίπεδο διαφέρει από το taxis που το επίπεδο γενικά είναι καλό, ως το ΗΔΙΚΑ που πολλές φορές δεν γίνεται επαρκής προστασία».

«Η ασφάλεια συχνά αντιμετωπίζεται με μελέτες που χρηματοδοτούνται με κάθε έργο πληροφορικής του ΕΣΠΑ, υλοποιούνται μια φορά (και αν) και δεν ανανεώνονται ποτέ. Ομως η ασφάλεια πρέπει να είναι κτήμα του κάθε οργανισμού, όχι αποσπασματικό παράρτημα έργων πληροφορικής.

Αν δεν γίνει αυτό, δεν πρόκειται να διασφαλιστούν ικανοποιητικά τα προσωπικά δεδομένα», εξηγεί ο κ. Σπινέλλης. Το υπουργείο Εσωτερικών αναπτύσσει σύστημα ψηφιακής υπογραφής, όμως απουσιάζει οποιαδήποτε πρωτοβουλία για την ενοποίηση των ταυτοποιήσεων (κοινό password) και των εξουσιοδοτήσεων.

Έντυπη

ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ