Πέμπτη 17 Οκτωβρίου 2013

Επείγουσα ενημέρωση από τους υπαλλήλους του ΕΜΠ: Σε κίνδυνο τα προσωπικά δεδομένα τους

Η επίσημη ηλεκτρονική πλατφόρμα της απογραφής των υπαλλήλων των ΑΕΙ, η οποία έχει τεθεί σε λειτουργία από την Τετάρτη 16/10/2013, καταγράφει δεδομένα τα οποία διαθέτει ήδη η κυβέρνηση και η Ενιαία Αρχή Πληρωμών μέσω των τακτικών απογραφών των δημοσίων υπαλλήλων. Είναι αξιοπερίεργο γιατί το Υπουργείο Παιδείας ακολουθεί αυτή την περιττή διαδικασία.
Τα δεδομένα, τα πιθανά λάθη, ελλείψεις ή ψεύδη των δηλώσεων δεν μπορούν να διασταυρωθούν αν δεν αντιπαραβληθούν με το hard copy των πρωτοτύπων εγγράφων. Αυτό δεν μπορεί να συμβεί πριν τη λήξη της απεργίας στα ΑΕΙ. Όμως και μετά από τη λήξη της απεργίας, θα απαιτηθούν πολλές εβδομάδες μέχρι να ολοκληρωθεί ο έλεγχος των στοιχείων. Επομένως η "λίστα των διαθέσιμων" δεν θα υπάρξει στις επόμενες ημέρες, όπως δεν υπήρξε στις προηγούμενες προθεσμίες, στις 16/9 ή τις 9/10. Ο λόγος είναι ότι το Υπουργείο Παιδείας ακολουθεί λάθος μέθοδο συλλογής και νόμιμης αξιολόγησης, μία μέθοδο απολύτως ασύμβατη με τους νόμους του κράτους.

Το πλέον σοβαρό στοιχείο, είναι ότι η πλατφόρμα κατασκευάστηκε (πιθανόν για λόγους ταχύτητας ή κόστους) χωρίς τις απαραίτητες προδιαγραφές ασφαλείας. Η είσοδος σε αυτήν γίνεται χωρίς κωδικό ασφαλείας χρήστη, χωρίς κλειδάριθμο, χωρίς κρυπτογράφηση και χωρίς επιβεβαίωση σύνδεσης-ταυτοποίησης. Επιτρέπει σε οιονδήποτε πολίτη με απλές γνώσεις διαδικτύου ο οποίος γνωρίζει έναν ΑΦΜ-ΑΜΚΑ να εισέλθει εξ ονόματος άλλου και να συμπληρώσει ή να αλλοιώσει στοιχεία. Οι ΑΦΜ-ΑΜΚΑ είναι ως γνωστόν μη απόρρητοι δημόσιοι αριθμοί φορολογικής και ασφαλιστικής ταυτότητας, οι οποίοι είναι γνωστοί σε όλες τις εφορίες και τις δημόσιες υπηρεσίες της χώρας, σε όλους τους χειριστές του TAXIS στις τράπεζες κ.α. δηλαδή σε χιλιάδες χρήστες.

Ειδικότερα:

1. Η χρήση της συγκεκριμένης ιστοσελίδας δεν είναι ασφαλής καθώς τα δεδομένα δεν κρυπτογραφούνται (χρήση πρωτοκόλλου TLS). Η μη χρήση ασφαλούς σύνδεσης συνεπάγεται ότι η ιστοσελίδα και το περιεχόμενό της δεν είναι υπογεγραμμένο. Υπάρχει η δυνατότητα τρίτος να υποκλέψει την επικοινωνία του υπαλλήλου με τη σελίδα απογραφής (Eavesdropping) καθώς επίσης και να παρουσιάσει εικονικό αντίγραφο της σελίδας χωρίς τη γνώση του υπαλλήλου  (man-in-the-middle).

2. Η ιστοσελίδα δεν περιέχει δήλωση του νόμου προστασίας προσωπικών δεδομένων που να αναφέρει αναλυτικά το σκοπό της επεξεργασίας, πού θα χρησιμοποιηθούν τα δεδομένα και από ποιον.

3. Τα στοιχεία αρχικής εισόδου δεν μπορούν να θεωρηθούν αυστηρά προσωπικά (δεν γίνεται χρήση μυστικού κλειδιού ή one-time-password) αλλά είναι διαθέσιμα σε ένα μεγάλο πλήθος υπαλλήλων που πραγματοποιούν επεξεργασία των δεδομένων του υπαλλήλου για διάφορους λόγους (διοικητικούς, μισθοδοσίας κτλ). Κατά συνέπεια δεν μπορεί η ηλεκτρονική απογραφή σε αυτή την πλατφόρμα να επέχει θέση υπεύθυνης δήλωσης από τον υπάλληλο.

Η διαδικασία η οποία βρίσκεται σε εξέλιξη, έχει ήδη θέσει σε μεγάλο κίνδυνο τα δημόσια αρχειακά δεδομένα. Η επιλογή αυτή του Υπουργείου Παιδείας, εκτός από την παράνομη και εκβιαστική φύση της, εκθέτει αυτούς που τη δημιούργησαν τόσο πρόχειρα, προκειμένου να παρουσιάσουν μία φαινομενική επιτυχία μετά από δύο αποτυχίες. Παραβιάζει κάθε έννοια ηθικής, νομιμότητας, χρηστής δημοκρατικής διοίκησης και προστασίας των πολιτών.


πηγή : left.gr