Γιατί δεν εμπιστευόμαστε την ασφάλεια των ψηφιακών υπηρεσιών του δημοσίου

Τις προηγούμενες εβδομάδες με αφορμή τις πρυτανικές εκλογές στα πανεπιστήμια, ανακινήθηκε στην ελληνική κοινότητα πληροφορικής το ζήτημα της ηλεκτρονικής διεξαγωγής εκλογικών διαδικασιών. Η κινητικότητα αυτή μάλλον εντάσσεται στο γενικότερο ενδιαφέρον που υπάρχει το τελευταίο διάστημα για την ενσωμάτωση ανοικτών προτύπων και λογισμικού στα πλαίσια της ανοικτής διακυβέρνησης. Το ενδιαφέρον αυτό είναι αρκετά λογικό αν διανοηθεί κανείς το τεράστιο φαγοπότι που έχει στηθεί εδώ και δεκαετίες σε κάθε πτυχή της πληροφορικής στο δημόσιο.

Όμως, ακόμη κι αν υπάρχει η θέληση από την μεριά των κυβερνώντων υπάρχει ένα πολύ βασικό ερώτημα που πρέπει να απαντηθεί. Είναι η θέληση αρκετή; Είμαστε έτοιμοι να περάσουμε σε μια εποχή πλήρως ψηφιακών ανοικτών δημόσιων υπηρεσιών; Μπορούμε αυτή την στιγμή να εμπιστευτούμε τα προσωπικά μας ψηφιακά δεδομένα σε οποιονδήποτε κρατικό φορέα;

Η απάντηση είναι όχι.

 

Free as in free beer…

Από την περίοδο 2008-2009 και μετά ξεκίνησε μια μαζική μετάβαση, τουλάχιστον όσον αφορά τις ιστοσελίδες των φορέων του δημοσίου, σε πλατφόρμες ανοικτού λογισμικού (π.χ WordPress, Joomla). Οι λόγοι της κίνησης δεν είναι τόσο προφανείς. Δεν υπήρξε καμία απολύτως αλλαγή στην νοοτροπία ή στον τρόπο σκέψης, όπως θα πίστευε κάποιος, σχετικά με το πως θα πρέπει να λειτουργούν οι δημόσιες ψηφιακές υποδομές.

Απλώς το ανοικτό λογισμικό πληρούσε και κάποιες άλλες προϋποθέσεις.

Είναι δωρεάν, εύκολο στην εγκατάσταση και αρκετά πιασάρικο με όρους marketing. Άλλωστε το μόνο που χρειάζεται ένα site π.χ σε WordPress για να έχει τις βασικές λειτουργίες, είναι μια μορφοποίηση στην εμφάνιση (ένα template δηλαδή). Ακόμη κι αυτό μπορεί να βρεθεί με 5 έως 50 ευρώ. Παράλληλα, μετά από αλλεπάλληλες επιθέσεις που έχουν δεχθεί κρατικά sites στο παρελθόν μάλλον δημιουργήθηκε η ψευδαίσθηση ότι το ανοικτό λογισμικό θα είναι και πιο “ασφαλές”.

Η τέλεια λύση τόσο για υπερκοστολογημένα έργα όσο και για γρήγορες δουλειές από in-house τμήματα πληροφορικής. Τα τελευταία, λαμβάνοντας υπόψιν και το πόσο υποστελεχωμένα είναι, ίσως να μην είχαν και άλλη λύση.

 

Μπορώ να έχω τα δεδομένα σας;

Αν σας έλεγε κάποιος ότι το σύστημα web banking που χρησιμοποιείτε σερβίρει ταυτόχρονα και μια ποικιλία από malware τι θα κάνατε? Κατά πάσα πιθανότητα θα παίρνατε τους λογαριασμούς σας και θα τους μεταφέρατε σε κάποια άλλη τράπεζα. Αν σας πουν το ίδιο για κάποια διαδικτυακή υπηρεσία του δημοσίου τι θα κάνατε όμως; Θα αλλάζατε δήμο; Περιφέρεια; Ίσως χώρα;

Πιθανότατα όχι.

Ακόμη και σε αυτή την περίπτωση δεν θα μπορούσατε να πάρετε τα δεδομένα σας. Η μόνη εναλλακτική θα ήταν να αντικαταστήσετε τα κλικ σε μία σελίδα με την αναμονή σε τεράστιες ουρές δημοσίων υπηρεσιών ή με δαιδαλώδη τηλεφωνήματα για να πάρετε τις πληροφορίες που θέλετε, ενώ παράλληλα θα εύχεστε να μην πέσουν τα στοιχεία σας σε κάποιον κακόβουλο αφού τελειώσετε την δουλειά σας.

Όλα τα παραπάνω δεν είναι σενάρια επιστημονικής φαντασίας. Είναι σε μεγάλο βαθμό η κατάσταση των δημόσιων ψηφιακών υποδομών στην Ελλάδα σήμερα. Το γεγονός ότι η κατάσταση αυτή δεν έχει δημιουργήσει πρωτοσέλιδα ειδήσεων οφείλεται σε πολλούς λόγους:

  • Από την κατάσταση αυτή επωφελείται μια μεγάλη, άγνωστη για τους περισσότερους, αγορά προσωπικών δεδομένων. Τα αρχεία ενός υπουργείου έχουν πάρα πολλές χρήσεις. Για παράδειγμα μπορούν να μετατραπούν πολύ εύκολα σε επικερδή πελατολόγια με πολλούς αγοραστές.
  •  Όταν μιλάμε για στόχους όπως ένας κρατικός φορέας, υπάρχει η τεχνογνωσία και το κίνητρο για ιδιαίτερα εξελιγμένες επιθέσεις οι οποίες χωρίς τις κατάλληλες υποδομές, προσωπικό και ελέγχους, μπορούν να περάσουν απαρατήρητες για χρόνια.
  • Γιατί πολύ απλά τα προσωπικά δεδομένα στην Ελλάδα δεν έχουν και ιδιαίτερη σημασία.
  •  Τέλος όπως αναφέρθηκε και παραπάνω αυτή η κατάσταση τροφοδοτεί αέναα μια κατάσταση εξάρτησης. Εργολάβοι παραδίδουν έργα σε φορείς χωρίς αντίστοιχα τμήματα πληροφορικής, με αποτέλεσμα να αναλαμβάνουν εξ’ ολοκλήρου την τεχνική υποστήριξη (με μία νέα σύμβαση) επομένως ακόμη και να γίνει κάτι αντιληπτό, θα μπει κάτω απ’ το χαλάκι (και πιθανότατα δεν θα διορθωθεί και ποτέ).

Ας ξεκινήσουμε απ’ τα βασικά

Γιατί τα λέμε όλα αυτά; Γιατί δεν είναι δυνατόν να μην έχει παρατηρήσει κανείς ότι η Γενική Γραμματεία Καταναλωτή εδώ και καιρό “διατηρεί” παράλληλα και online κατάστημα φαρμακευτικών προϊόντων

 

grammateia_katanalwth_viagra_scaled

Το ίδιο και η Περιφέρεια Πελοποννήσου.

ppel_chlora_scaled

 

Ή ότι ένα link από το Υπουργείο Οικονομίας, Υποδομών, Ναυτιλίας & Τουρισμού θα μπορούσε να θέσει σε κίνδυνο έναν ανυποψίαστο χρήστη.

yme2_scaled

Επίσης πρέπει να γίνει κατανοητό ότι στην θέση ενός ανεπιθύμητου “e-shop” για SEO poisoning (το οποίο έχει βρεθεί εκεί μέσω απλών αυτοματοποιημένων επιθέσεων, θα επανέλθουμε σε αυτό τις επόμενες μέρες) θα μπορούσε να βρίσκεται οποιοδήποτε κακόβουλο λογισμικό το οποίο θα μόλυνε τους επισκέπτες της υπηρεσίας. Ή θα μπορούσε να εγκατασταθεί ένα backdoor για να αποκτηθεί πρόσβαση στα δεδομένα του server. Από εκεί ίσως κάποιος πιο επίδοξος να προχωρούσε στο εσωτερικό δίκτυο του Υπουργείου. Και μετά…;

Όλα τα παραπάνω αποτελούν προϊόν πολύ πρόχειρης και επιφανειακής έρευνας που πραγματοποιήσαμε και αφορούν μόνο ελάχιστες από τις δεκάδες διαδικτυακές υπηρεσίες του δημοσίου. Ωστόσο, κρίνοντας από τo περιεχόμενο της παρακάτω ανακοίνωσης για “εγκατάσταση antivirus” τα πράγματα δεν πρέπει να είναι πολύ διαφορετικά και στα εσωτερικά πληροφοριακά συστήματα. Ίσως μάλιστα κάποια απ’ τα δεδομένα σας αυτή την στιγμή να είναι κρυπτογραφημένα από κάποιο ransomware και το δημόσιο να πρέπει να χρειαστεί να πληρώσει αδρά για να τα ανακτήσει.

 

ransomware_scaled

 

 Επίλογος

Αν και ο καθένας από εμάς είναι νομικά υποχρεωμένος να καταθέτει μια πληθώρα προσωπικών στοιχείων στο δημόσιο, βλέπουμε πως μέχρι σήμερα το δημόσιο δεν έχει καμία υποχρέωση απέναντι στους πολίτες για την ασφαλή διαφύλαξη των δεδομένων τους. Φυσικά για τα παραπάνω δεν φταίει το ανοικτό λογισμικό. Το αντίθετο, το ανοικτό/ελεύθερο λογισμικό μπορεί να αποτελέσει κομμάτι της λύσης. Μάλιστα έχουμε και λαμπρά παραδείγματα στην ανάπτυξη ανοικτών υποδομών. Όμως πρέπει να γίνει αντιληπτό πως οτιδήποτε χρησιμοποιείται για την αποστολή, επεξεργασία και αποθήκευση ευαίσθητων δεδομένων είναι απαραίτητο να περνάει μια μεγάλη σειρά τυποποιημένων ελέγχων (τεχνικών και νομικών) πριν τεθεί σε λειτουργία και πρέπει να συνεχίσει να ελέγχεται τακτικά για όσο καιρό χρησιμοποιείται. Ταυτόχρονα είναι απαραίτητη η εκπαίδευση όλων των χρηστών πάνω στην ορθή και ασφαλή χρήση των Η/Υ και του διαδικτύου μιας και το ανθρώπινο λάθος τείνει να γίνει ο πιο εκμεταλλεύσιμος παράγοντας στην πλειονότητα των ηλεκτρονικών επιθέσεων. Με λίγα λόγια ο δρόμος προβλέπεται μακρύς και δύσκολος.

Μέχρι τότε, ας είμαστε προσεκτικοί 😉

Υ.Γ Η δημοσίευση αυτή έγινε μετά την άκαρπη προσπάθεια μας να επικοινωνήσουμε με ορισμένους από τους παραπάνω φορείς για τα παραπάνω ζητήματα.

Υ.Γ2 : Η αναφορά σε “ανοικτό λογισμικό” στο μεγαλύτερο μέρος του άρθρου είναι σκόπιμη. Τα δεδομένα έως τώρα δεν αφήνουν καμία αμφιβολία ότι κανείς δεν το αντιλαμβάνεται σαν ανοικτό/ελεύθερο λογισμικό αλλά σαν “δωρεάν”.

Comments are closed.