Εμφάνιση 1-10 από 10
  1. #1
    Εγγραφή
    03-07-2020
    Μηνύματα
    5
    Downloads
    0
    Uploads
    0
    ISP
    another
    Το παρακάτω κείμενο όπως το κοινοποίησα σε ενημερωτικά μέσα, οργανισμούς νομικών θεμάτων, προστασίας και τηλεπικοινιών για ένα θέμα που προέκυψε με μια υπηρεσία του δημοσίου τομέα και θα ήθελα να το κοινοποιήσω ώστε να βρεθεί μια λύση.

    Σας στέλνω αυτό το μήνυμα ώστε να γνωστοποιήσω ένα θέμα που παρατηρώ καιρό και αποφάσισα ότι είναι καιρός να γνωστοποιηθεί και να αλλάξει καθώς για το 2020 είναι ανεπίτρεπτο

    Αφιλοκερδώς έχω αναλάβει τη διαχείριση προσωπικών υποθέσεων συγγενικού προσώπου με φορείς του δημοσίου και του ιδιωτικού τομέα. Μεταξύ αυτών καλούμαι να συνδιαλλαχθώ με υπηρεσίες αγροτικών φορέων του δημοσίου τομέα όπως του ΟΠΕΚΕΠΕ και του ΚΕΠΠΥΕΛ, για να αναγνωρίζεται ως αγρότης σύμφωνα με τα απαιτούμενα κριτήρια στο μητρώο αγροτών και να αποκτά το αφορολόγητο για την ετήσια φορολογική δήλωσή του.

    Μέχρι και πέρυσι έπρεπε πρώτα να επισκεφθώ τον ΟΠΕΚΕΠΕ για να καταχωρηθούν στοιχεία από το Ε1 ώστε να εκδοθεί ένα έγγραφο που χρειάζεται για την αίτηση στον αρμόδιο φορέα ΚΕΠΠΥΕΛ.

    Φέτος καλούμαι, λόγω αλλαγής της διαδικασίας υποβολής, αντί της επίσκεψης στον ΟΠΕΚΕΠΕ, να κάνω χρήση του ιστοτόπου του μητρώου αγροτών (https://maae.minagric.gr/maae/) του ΥΠΑΑΤ (Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων). Μέχρι εδώ όλα καλά. Ο ιστότοπος έχει ασφάλεια με πιστοποιητικό SSL.

    Μετά την πιστοποίηση με κωδικούς Taxis, ζητείται να κάνω εγγραφή στον ιστότοπο των ηλεκτρονικών υπηρεσιών του ΥΠΑΑΤ (http://e-services.minagric.gr/) , λόγω της περίπτωσης που δεν υπάρχουν τα στοιχεία στο μητρώο

    Ο συγκεκριμένος ιστότοπος δεν παρέχει υποστήριξη κρυπτογραφημένης σύνδεσης HTTPS[1,2]. Είναι εμφανές ότι από το 2015 έχει να ενημερωθεί και να αναβαθμιστεί η υποδομή του. Η πολιτική χρήσης είναι αρκετά λιτή και ελλιπής, μόλις μια σελίδα, με ημερομηνία. Πολιτική χρήσης ψηφιακών υπηρεσιών ΥΠΑΑΤ (Αρχείο PDF, http://www.minagric.gr/images/storie...akon020415.pdf)

    Δεν υπάρχει πολιτική χρήσης προσωπικών δεδομένων ούτε ενημέρωση και για το GDPR που εφαρμόζεται από το 2018.

    Παρόλα αυτά υπάρχει και μια σύνδεση της google-analytics.com για την καταγραφή στατιστικών επισκεψιμότητας, κάτι που δεν είναι απαραίτητο και καθόλου χρήσιμο για τη σωστή λειτουργία.

    Όλα αυτά με αποθαρρύνουν και μ´ απαγορεύουν για χρησιμοποιήσω την υπηρεσία μέχρις ότου παρέχει ασφάλεια σύνδεσης με πιστοποιητικό SSL.

    Πλέον καλούνται οι πολίτες, εφόσον είναι ικανοί, να μεριμνήσουν οι ίδιοι να χρησιμοποιήσουν την υπηρεσία. Όσοι δεν μπορούν θα πρέπει να απευθυνθούν σε εξωτερικούς φορείς - ιδιώτες. Συνεπώς, όσο αυξάνεται ο αριθμός των χρηστών τόσο αυξάνεται τόσο κίνδυνος παραβίασης και κλοπής προσωπικών δεδομένων.

    Είναι επιτακτική ανάγκη να γίνει καταγραφή των ιστοτόπων του δημόσιου τομέα και να μεταβούν άμεσα στην αναβάθμιση των υποδομών τους, κυρίως στο τομέα της ασφάλειας, όσο η γίνεται απαραίτητη και αναγκαία η μετάβαση στις ψηφιακές υπηρεσίες, τώρα ειδικά με την πανδημία του COVID-19.

    Οι διαχειριστές αυτών των ιστοτόπων θα μπορούσαν να χρησιμοποιήσουν δωρεάν πιστοποιητικά SSL από υπηρεσίες όπως StartSSL (https://www.startssl.com/), Wosign (https://buy.wosign.com/free/) και Let’s Encrypt (https://letsencrypt.org), μέχρις ότου μεταβούν σε άλλη αρχή πιστοποίησης που θα προσφέρει πιστοποιητικά με περισσότερα χαρακτηριστικά που θα καλύπτουν καλύτερα τις ανάγκες τους.

    Σας επισυνάπτω στιγμιότυπα των ιστοτόπων που αναφέρω.


    Ευχαριστώ για το χρόνο σας.



    Πληροφορίες

    [1]
    HTTP
    Για την πλοήγηση στο διαδίκτυο χρησιμοποιείται το πρωτόκολλο επιπέδου εφαρμογής HTTP. Θα έχετε παρατηρήσει ότι στις διευθύνσεις που εισάγουμε στον browser μας, συνήθως στην αρχή γράφει http:// . Αυτό διευκρινίζει στον web server το πρωτόκολλο εφαρμογής που θα χρησιμοποιηθεί στην σύνδεση. Αυτό το πρωτόκολλο είναι μη κρυπτογραφημένο, όποτε ένας κακόβουλος με τις κατάλληλες τεχνικές γνώσεις μπορεί να υποκλέψει την επικοινωνία μας με το συγκεκριμένο web server, και να δει τι γράφουμε πχ σε ένα email ή ποιο συγκεκριμένο άρθρο διαβάζουμε στην wikipedia.

    [2]
    HTTPS
    Για την αποφυγή των παραπάνω, δημιουργήθηκε το πρωτόκολλο HTTPS. Το s σημαίνει secure και μας δείχνει ότι η σύνδεση με το συγκεκριμένο ιστότοπο είναι ασφαλής. Αυτό σημαίνει ότι οποιοσδήποτε τρίτος (εκτός από εμάς και το διαχειριστή της ιστοσελίδας) παρεμβαίνει σε αυτή τη σύνδεση, μπορεί να δει τον ιστότοπο που επισκεπτόμαστε, αλλά δε μπορεί να δει τι ακριβώς κάνουμε εκεί. Π.χ. δε μπορεί να δει τι άρθρα διαβάζουμε ή τι γράφουμε εκεί, ούτε και τους κωδικούς που δίνουμε για είσοδο και διάφορα άλλα δεδομένα της σύνδεσης μας με τον ασφαλή ιστότοπο. Σαν τρίτο μέρος μπορεί να θεωρηθεί οποιοσδήποτε κακόβουλος που θέλει να μάθει τα πάντα για εμάς.

    Από το 2017 τα προγράμματα πλοήγησης (browsers) Mozilla Firefox, Google Chrome, Opera, Vivaldi και Microsoft Edge προειδοποιούν αν η σύνδεση με τον συγκεκριμένο ιστότοπο επίσκεψης είναι ασφαλής η όχι.


    Από τον Ιούλιο του 2018 με την κυκλοφορία της έκδοσης 68, ο Chrome επισημαίνει πλέον όλες τις τοποθεσίες HTTP (δηλαδή όσες δεν διαθέτουν SSL) ως «μη ασφαλείς», υποστηρίζοντας ένθερμα ότι οι ιστότοποι πρέπει να υιοθετήσουν την κρυπτογράφηση HTTPS, με την εγκατάσταση ενός πιστοποιητικού ασφαλείας SSL.

    * πηγή

    https://stinpriza.org/https-gia-asfalesteri-ploigisi/



    Παραθέτω μερικές ιστοσελίδες δημόσιων υπηρεσιών που παρατηρήσει και έχουν μερική ή καθόλου προστασία με HTTPS

    Εργασίας


    Ασφαλιστικά ταμεία
    • http://www.tsay.gr/ - ΤΣΑΥ - Ταμείο Σύνταξης Ασφάλισης Υγειονομικών
    • http://www.etaa.gr/ - ΕΤΑΑ - Ενιαίο Ταμείο Ανεξάρτητα Απασχολούμενων


    Παιδεία


    Διοικητικά


    Νομικά


    Αρμόδιοι φορείς τηλεπικοινωνιών
    • http://www.adae.gr/ - ΑΔΑΕ - Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών


    Αρμόδιοι φορείς αγροτικού τομέα
    • http://elga.gr/ - ΕΓΛΑ - Οργανισμού Ελληνικών Γεωργικών Ασφαλίσεων
    • https://services.elga.gr/ - Ηλεκτρονικές υπηρεσίες του ΕΛΓΑ (ασφαλής)


    Συγκοινωνίες


    Υπουργεία


    Σωμάτων ασφαλείας




    Εξωτερικοί σύνδεσμοι




    Άρθρα
    Attached Thumbnails Attached Thumbnails ΥΠΑΑΤ-2020-1-6.png  

    ΥΠΑΑΤ-2020-2-6.png  

    ΥΠΑΑΤ-2020-3-6.png  

    ΥΠΑΑΤ-2020-4-6.png  

    ΥΠΑΑΤ-2020-5-6.png  

    ΥΠΑΑΤ-2020-6-6.png  


  2. #2
    Εγγραφή
    31-05-2007
    Ηλικία
    53
    Μηνύματα
    3.883
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    110000/11000
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΤΕΡΨΙΘΕΑ
    Router
    Fritz!Box 7590
    Αξιέπαινη η προσπάθεια,
    αλλά φοβάμαι ότι χάνεις τον χρόνο σου.
    Disclaimer:
    Any views or opinions expressed represent the official view of the voices in my head.

  3. #3
    Εγγραφή
    03-07-2020
    Μηνύματα
    5
    Downloads
    0
    Uploads
    0
    ISP
    another
    Το μόνο σίγουρο. Κάθε φορά που προσπαθείς για το καλύτερο είναι βέβαιο ότι τουλάχιστον θα θυσιασεις το χρόνο σου.

  4. #4
    Εγγραφή
    16-09-2013
    Μηνύματα
    28.146
    Downloads
    1
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    55.000/5.500
    ISP
    COSMOTE
    Router
    AVM FRITZ!Box 7530
    SNR / Attn
    25(dB) / 9(dB)
    Path Level
    Interleaved
    Δεν είναι ακριβώς έτσι, πάντα κάποιος πρέπει να κάνει την αρχή έστω και αν αισθάνεται εκείνη την στιγμή ότι απλά ματαιοπονεί, σίγουρα ένας κούκος δεν φέρνει την άνοιξη αλλά αν αυξηθούν οι "κούκοι" τότε κάτι θα γίνει.
    Imagination is more important than knowledge.
    Knowledge is limited

    IMAGINATION ENCIRCLES THE WORLD

    Albert Einstein

  5. #5
    Εγγραφή
    03-07-2020
    Μηνύματα
    5
    Downloads
    0
    Uploads
    0
    ISP
    another
    Πολύ σωστά, γι´ αυτό κινούμαι να ενημερώνω και να παροτρύνω το κόσμο, παρά να σχολιάζω και να γράφω σοφίσματα και φανφάρες όπως κάνει η πλειοψηφία των χρηστών του ίντερνετ.

    Αναφέρετε εσείς όσες ιστοσελίδες έχετε παρατηρήσει όπου υπάρχει έλλειψη ασφαλείας.

  6. #6
    Το avatar του μέλους sdikr
    sdikr Guest
    Βλέπω στην λίστα έχεις βάλει αρκετές σελίδες που είναι μόνο με Http, αλλά πηγαίνοντας σε μερικές απο εκείνες δεν βλέπω να σου ζητάνε κάπου να τους στείλεις κάποια δεδομένα έτσι ώστε να χρειάζεται το https

    Πχ για την παιδεία σε πάει στο https://dschool.edu.gr/dschool2-project/services/ και στο https://auth.e-me.edu.gr/?eme=https:...100102ab9ed2ba που σου ζητάει πλέον να δώσεις στοιχεία.

    Το ίδιο πχ και τα ΚΕΠ, για να κάνεις κάποια αίτηση σε δρομολογεί στον Ερμη που διαθέτει Https


    Και φυσικά έχουμε και σουρεαλ καταστάσεις με της αρχή προστασίας προσωπικών δεδομένων να μην έχει ssl
    http://www.adae.gr/ilektronikes-ypir...po-ton-politi/

  7. #7
    Εγγραφή
    03-07-2020
    Μηνύματα
    5
    Downloads
    0
    Uploads
    0
    ISP
    another
    Αυτές οι ιστοσελίδες είναι όσες έχω πετύχει λόγω της συνδιαλλαγής μου με δημόσιες υπηρεσίες. Φέτος έμαθα για την ηλεκτρονική υπηρεσία του ΥΠΑΑΤ που είναι για χρόνια σε HTTP και διαπίστωσα οιδοιης όμασι ότι τη χρησιμοποιούν και οι υπάλληλοι με την αγροτική υπηρεσία που συνδιαλλάσσομαι. Όταν τους ρώτησα και μιλούσα τι συνέβαινε με είπαν ότι έχουν πιστοποίηση ISO για την ασφάλεια. Γι´ αυτό εν μέρει θα μας βοηθήσει και από την αφέλεια ή την ασχετοσύνη τους.

    Την ίδια δρομολόγηση που κάνει το ΚΕΠ έκανε για την περίπτωσή μου το ΥΠΑΑΤ, μόνο που αργότερα με ανακατεύθυνε σε HTTP. HTTPS χρειάζονται όλες γιατί προσφέρει ασφάλεια αλλά και ταυτοποίηση. Οποιαδήποτε δρομολόγηση μέσω HTTP είναι εξίσου επικίνδυνη και μπορεί εύκολα να παραποιηθεί. Το 2018 η ΓΓΠΣ έβαλε στην αρχική της σελίδα HTTPS παρόλο για τη σύνδεση στο λογαριασμό είχε ήδη από το 2012. Αντίστοιχα πρέπει να κινηθεί ο ΟΑΕΔ, το ΕΛΓΑ όπως ενέφερα μαζί με άλλες.

    Η Forthnet στην αρχική της σελίδα δεν είχε ποτέ HTTPS. Τους τηλεφώνησα και είπαν όταν καταγράφουν την παρατήρηση παρόλο που δεν θα ´πρεπε να με ενοχλεί καθώς το myAccount της ήταν σε HTTPS. Τέλη 2017 με αρχές του 2018 έγινε ανανέωση συμβολαίου με φυσική παρουσία και αργότερα είχε έρθει μήνυμα με προσωπικό κωδικό για να βλέπω την εξέλιξη του αιτήματος σε HTTP. Πλέον δεν υπάρχει η ιστοσελίδα της καθώς κάνει ανακατεύθυνση στη σελίδα της Nova. Ευκαιρία να πω ότι για κωδικό σύνδεσης στο Webmail της είναι ο κωδικός της σύνδεσης (ευτυχώς είχει HTTPS)

    Στις υπηρεσίες του Υπουργείου Παιδείας (https://dschool.edu.gr/dschool2-project/services/) όταν χρειαστεί να κατεβάσεις αρχείο, για παράδειγμα ένα βιβλίο σε PDF, θα γίνεται μέσω HTTP όπου μια επίθεση του τύπου MITM θα ήταν ιδανική.

    Αρκετές ειδησεογραφικές ιστοσελίδες από έντυπες εφημερίδες και ιστολόγια έχουν HTTPS παρόλο που η πλειοψηφία τους δεν χρειάζεται να μεταφερθούν δεδομένα λογαριασμού. Προστατεύουν την τελική διεύθυνση του επισκέπτη της ιστοσελίδας από οποιονδήποτε μπορεί να έχει πρόσβαση στο δίκτυο τους.

    Δεν είμαστε στο 2012 που το HTTPS ήταν ακριβό και ασύμφορο να το αποκτήσεις.

    Χωρίς παρεξήγηση

  8. #8
    Εγγραφή
    07-09-2018
    Μηνύματα
    116
    Downloads
    0
    Uploads
    0
    ISP
    Max
    Σε μια ίδια περίπου κατάσταση βρισκόμουν ο ίδιος και μπορώ να πω ότι σε ένα βαθμό σε καταλαβαίνω. Για καιρό είχα αναλάβει τις υποθέσεις αρκετά κοντινών μου συγγενών - γιατί μόνοι τους τα έκαναν μούσκεμα - μέχρι που βρήκα αξιόλογους και αξιόπιστους επαγγελματίες και ευτυχώς πήραν τη σκυτάλη. Φυσικά έχω τον τελευταίο λόγο ύστερα από συνεννόηση με τα σχετιζόμενα πρόσωπα.

    Μικρή ιστορία.

    Για καιρό μιλούσα με την ΓΓΠΣ ώστε να διορθώσει το API της καθώς πάλευα για καιρό να διορθώσω ένα bug μιας desktop εφαρμογής που έφτιαχνα, γιατί η ιστοσελίδα δεν με ικανοποιούσε. Για καιρό έστελνα ηλεκτρονικά μηνύματα και αναλωνόμουν σε τηλεφωνικές συνομιλίες με πολλά πρόσωπα μέχρι να βρω τα κατάλληλα. Για κάτι τόσο απλό έπρεπε να κάνω μαραθώνιο, γι’ αυτό και σ´ ένα σημείο τα παράτησα. Επίσης, όπως και εσύ, είχα επικοινωνήσει με δημόσιες υπηρεσίες για να χρησιμοποιήσουν HTTPS για πολλές από τις ηλεκτρονικές τους υπηρεσίες πριν το 2015 και παρατήρησα ότι πολλές μετέβησαν από 2017 και μετά. Δεν γνωρίζω ακριβώς τι σχεδιασμό έχουν και επιτυγχάνουν, το μόνο σίγουρο είναι ότι τα πράγματα προχωρούν πολύ αργά. Γνωρίζω ότι το gov.gr το σχεδίαζαν από το 2017 και λόγω της πανδημίας παρατηρούμε ότι είναι ακόμη στην αρχή, όχι σε δοκιμαστική beta φάση όπως αναφέρεται αλλά πολύ πίσω ακόμη και από την alpha.

    Θα προσπαθήσω από τη σειρά μου να πιέσω και εγώ γιατί ένας μόνο του θέλει και συμμάχους.

  9. #9
    Εγγραφή
    03-07-2020
    Μηνύματα
    5
    Downloads
    0
    Uploads
    0
    ISP
    another
    Από τους πρώτους, ανάμεσα σε άλλους, παραλήπτες της επιστολής μου ήταν η Ένωση Πληροφορικών Ελλάδας, ΕΠΕ, η οποία εκδίδει συχνά δελτία τύπου που αναφέρει τα κακώς κείμενα του κλάδου. Από τις 16 Ιουλίου έχει αναρτήσει νέο δελτίο τύπου σχετικά με το φερόμενο θέμα με τίτλο «Ελλιπή τεχνικά μέτρα ασφάλειας σε ιστοτόπους δημόσιων φορέων» το οποίο, όπως παραθέτω, μπορείτε να βρείτε στη σελίδα τους.

    Spoiler:
    Δελτίο Τύπου - «Ελλιπή τεχνικά μέτρα ασφάλειας σε ιστοτόπους δημόσιων φορέων»

    16/07/2020

    Πολύς λόγος γίνεται σήμερα για την ασφάλεια των προσωπικών δεδομένων των πολιτών, ιδίως σε σχέση με παρεχόμενες σε αυτούς ψηφιακές υπηρεσίες από δημόσιους και ιδιωτικούς φορείς. Από το 2018 έχει τυπικά τεθεί σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) για την προστασία των προσωπικών δεδομένων των πολιτών. Παρόλα αυτά, στη χώρα μας φαίνεται να υπάρχουν ακόμη πολλά κενά στο θέμα αυτό. Θα προσπαθήσουμε να γίνουμε σαφέστεροι μ’ ένα παράδειγμα/μελέτη περίπτωσης.
    Προς:
    Γενική Γραμματεία Ψηφιακής Πολιτικής

    Κοινωνία της Πληροφορίας Α.Ε.

    Υπουργείο Οικονομικών

    Υπουργείο Εσωτερικών
    Κοιν.:
    Γραφεία Τύπου πολιτικών κομμάτων

    ΜΜΕ


    Αθήνα, 17/7/2020
    Δελτίο Τύπου - «Ελλιπή τεχνικά μέτρα ασφάλειας σε ιστοτόπους δημόσιων φορέων»

    Αξιότιμοι Κύριοι,

    Πολύς λόγος γίνεται σήμερα για την ασφάλεια των προσωπικών δεδομένων των πολιτών, ιδίως σε σχέση με παρεχόμενες σε αυτούς ψηφιακές υπηρεσίες από δημόσιους και ιδιωτικούς φορείς. Από το 2018 έχει τυπικά τεθεί σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)1 για την προστασία των προσωπικών δεδομένων των πολιτών. Παρόλα αυτά, στη χώρα μας φαίνεται να υπάρχουν ακόμη πολλά κενά στο θέμα αυτό. Θα προσπαθήσουμε να γίνουμε σαφέστεροι μ’ ένα παράδειγμα/μελέτη περίπτωσης.

    Ας υποθέσουμε λοιπόν ότι έρχεται ο καιρός για κάποιον αγρότη να ενημερώσει διαδικτυακά το μητρώο του στον Ο.Π.Ε.Κ.Ε.Π.Ε.2 προκειμένου να αναγνωρίζεται ως αγρότης με ό,τι φορολογικά ή άλλα οφέλη αποκομίζει από αυτή του την ιδιότητα. Πρόκειται δηλαδή για εργασία που είναι υποχρεωτική για τον καθένα τους. Πλέον, θα χρειαστεί να επισκεφθεί τον ιστότοπο3 του μητρώου αγροτών του ΥΠΑΑΤ (Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων), ο οποίος πράγματι έχει ασφάλεια με πιστοποιητικό SSL. Αφού όμως γίνει η είσοδος εκεί με τον μηχανισμό ταυτοποίησης του TaxisNet και εφόσον δεν υπάρχουν ακόμη στοιχεία στο μητρώο, απαιτείται εγγραφή στον ιστότοπο4 ηλεκτρονικών υπηρεσιών του ΥΠΑΑΤ, ο οποίος όμως δεν παρέχει υποστήριξη κρυπτογραφημένης σύνδεσης HTTPS (συγκεκριμένα λείπει το ‘S’ - secure από το URL που χρησιμοποιεί απλό πρωτόκολλο HTTP).

    Μάλιστα φαίνεται ότι από το 2015 έχει να ενημερωθεί και να αναβαθμιστεί η υποδομή της εν λόγω ηλεκτρονικής πλατφόρμας. Η πολιτική χρήσης είναι αρκετά λιτή και ελλιπής, μόλις μια σελίδα5, ενώ δεν υπάρχει πολιτική χρήσης προσωπικών δεδομένων ούτε ενημέρωση για το GDPR. Παρόλα αυτά υπάρχει και μια σύνδεση της Google Analytics6 για την καταγραφή στατιστικών επισκεψιμότητας, κάτι που δεν είναι απαραίτητο και καθόλου χρήσιμο για τη σωστή λειτουργία της ηλεκτρονικής αυτής υπηρεσίας.

    Τα παραπάνω θα έπρεπε να αποθαρρύνουν κάθε σώφρονα πολίτη να χρησιμοποιήσει την εν λόγω ηλεκτρονική υπηρεσία, τουλάχιστον μέχρις ότου η πλατφόρμα αποκτήσει ασφάλεια σύνδεσης με πιστοποιητικό SSL. Παρόλα αυτά, οι πολίτες οδηγούνται από το κράτος στο να εκθέσουν τα δεδομένα τους σε κίνδυνο χωρίς καμία διασφάλιση εμπιστευτικότητας. Ακολούθως, όσο αυξάνεται ο αριθμός των χρηστών τόσο αυξάνεται ο κίνδυνος παραβίασης και κλοπής προσωπικών δεδομένων, καθώς αυξάνεται το προσδοκώμενο όφελος από μια τέτοια παραβίαση ασφάλειας.

    Παρόμοια προβλήματα είχαμε καταδείξει και στο παρελθόν7 σχετικά με ιδιώτη ανάδοχο της υπηρεσίας του Κτηματολογίου Αθηνών8. Ευτυχώς τότε οι παρατηρήσεις μας είχαν υιοθετηθεί από τους εμπλεκόμενους Δημόσιους και Ιδιωτικούς φορείς, με αποτέλεσμα την -έστω και πρόχειρη- λήψη ανάλογων μέτρων από τους τελευταίους.

    Για να καταδείξουμε τη σημασία του πρωτοκόλλου HTTPS, επισημαίνουμε ότι από το 2017 και μετά, τα προγράμματα πλοήγησης (browsers) Mozilla Firefox, Google Chrome, Opera, Vivaldi και Microsoft Edge προειδοποιούν τους χρήστες για το ότι η σύνδεση με συγκεκριμένους ιστότοπους επίσκεψης ενδέχεται να μην είναι ασφαλής. Επίσης, από τον Ιούλιο του 2018 και μετά την κυκλοφορία της έκδοσης 68, το Chrome επισημαίνει πλέον όλες τις τοποθεσίες HTTP (δηλαδή όσες δεν διαθέτουν SSL) ως «μη ασφαλείς», υποστηρίζοντας έντονα ότι οι ιστότοποι πρέπει να υιοθετήσουν την κρυπτογράφηση HTTPS, με την εγκατάσταση ενός πιστοποιητικού ασφαλείας SSL9.

    Με αφορμή το παραπάνω ενδεικτικό παράδειγμα, θεωρούμε πως είναι πλέον επιτακτική ανάγκη να γίνει καταγραφή των ιστοτόπων του δημόσιου τομέα που δεν είναι επαρκώς ασφαλείς, ώστε οι αντίστοιχες υπηρεσίες να μεταβούν άμεσα στην αντίστοιχη αναβάθμιση των ψηφιακών υποδομών τους, ιδίως σε αυτήν την εποχή της Πανδημίας που η αξιοποίηση ψηφιακών υπηρεσιών έχει γίνει απαραίτητη. Μια ενδεχομένως καλή αρχή θα ήταν οι διαχειριστές των “προβληματικών” ιστοτόπων να χρησιμοποιήσουν δωρεάν πιστοποιητικά SSL από υπηρεσίες όπως π.χ. η Let’s Encrypt10, μέχρις ότου μεταβούν σε άλλη αρχή πιστοποίησης που θα προσφέρει πιστοποιητικά με περισσότερα χαρακτηριστικά που θα καλύπτουν καλύτερα τις ανάγκες τους.

    Στο παρακάτω παράρτημα παραθέτουμε μια ενδεικτική λίστα ιστοτόπων που πρέπει να αξιολογηθούν ως προς τη συμμόρφωση με το GDPR και την ασφάλεια που παρέχουν στον χρήστη.

    Με εκτίμηση,

    Το ΔΣ της Ένωσης Πληροφορικών Ελλάδας (ΕΠΕ)
    Η Πρόεδρος Ο Αντιπρόεδρος Ο Γεν. Γραμματέας Ο Ειδ. Γραμματέας Ο Ταμίας
    Χαρά Ξανθάκη Δημήτρης Κυριακός Χάρης Γεωργίου Φώτης Αλεξάκος Γιάννης Φάκας
    proedros<στο>epe.org.gr antiproedros<στο>epe.org.gr gen_grammateas<στο>epe.org.gr eid_grammateas<στο>epe.org.gr tamias<στο>epe.org.gr

    Ένωση Πληροφορικών Ελλάδας, Τ.Θ. 13801, Τ.Κ. 10310, Αθήνα
    E-mail: info<στο>epe.org.gr – Τηλέφωνο: 698 172 3690
    ΠΑΡΑΡΤΗΜΑ

    Αρμόδιοι φορείς τηλεπικοινωνιών
    http://www.adae.gr/ - ΑΑΔΕ

    Υπουργεία
    http://www.mindev.gov.gr/ - Υπουργείο Ανάπτυξης
    http://www.minagric.gr/ - ΥΠΠΑΤ – Υπουργείο Αγροτικής Ανάπτυξης και Τροφίμων
    http://visitgreece.gr/ - Εθνικός Οργανισμός Τουρισμού – καμπάνια Visit Greece

    (Υπ. Εργασίας)

    http://oaed.gr/ - ΟΑΕΔ - Οργανισμός Απασχόλησης Εργατικού Δυναμικού

    Ασφαλιστικά ταμεία
    http://www.tsay.gr/ - ΤΣΑΥ - Ταμείο Σύνταξης Ασφάλισης Υγειονομικών
    http://www.etaa.gr/ - ΕΤΑΑ - Ενιαίο Ταμείο Ανεξάρτητα Απασχολούμενων

    Παιδεία
    http://ebooks.edu.gr/ - Αποθετήριο σχολικών βιβλίων
    http://duth.gr/ - Δημοκρίτειο Πανεπιστήμιο Θράκης

    Διοικητικοί φορείς
    http://www.et.gr/ - Εθνικό Τυπογραφείο
    http://www.opengov.gr/ - Ανοιχτή Διακυβέρνηση
    http://www.data.gov.gr/ - Ανοιχτά Δεδομένα
    http://www.kep.gov.gr/ - Κέντρο Εξυπηρέτησης Πολιτών
    http://www.e-poleodomia.gr/ - Πολεοδομία

    Νομικά
    http://www.areiospagos.gr/ - Άρειος Πάγος
    http://www.gak.gr/ - Γενικά Αρχεία του Κράτους

    Αρμόδιοι φορείς αγροτικού τομέα
    http://elga.gr/ - ΕΓΛΑ - Οργανισμού Ελληνικών Γεωργικών Ασφαλίσεων

    Συγκοινωνίες
    http://www.olp.gr/en/ - Οργανισμός Λιμένα Πειραιά

    Σώματα ασφαλείας
    http://www.astynomia.gr/ - Ελληνική Αστυνομία
    http://www.passport.gov.gr/ - Διεύθυνση Διαβατηρίων και Εγγράφων Ασφαλείας – Ελληνική Αστυνομία



    1 https://is.gd/ef6tGP

    2 https://is.gd/ddhZ7Y

    3 https://maae.minagric.gr/maae/

    4 http://e-services.minagric.gr

    5 https://is.gd/PqalYS

    6 https://analytics.withgoogle.com/

    7 https://is.gd/mn8B15

    8 https://www.ktimatologio-athina.gr/

    9 https://is.gd/ZwLXuM

    10 https://letsencrypt.org


    Σχετικά Αρχεία

    L20-0717-01V1_Asfaleia_Platformvn_Dimosiou.pdf 709 KB

  10. #10
    Εγγραφή
    07-09-2018
    Μηνύματα
    116
    Downloads
    0
    Uploads
    0
    ISP
    Max
    Ευχάριστη κινητοποίηση, εύχομαι να έχει αντίστοιχη εξέλιξη όπως με την περίπτωση του Κτηματολογίου της Αθήνας.

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας