Επιτρέπει την πρόσβαση μη εγγεγραμμένων χρηστών
Διάτρητο είναι μεγάλο μέρος της ηλεκτρονικής υποδομής του Δημοσίου, καθώς επιτρέπει την πρόσβαση μη εγγεγραμμένων χρηστών σε υπηρεσίες και εφαρμογές και τους δίνει την δυνατότητα να συλλέγουν στοιχεία, αλλά και να παραχαράσσουν δημόσια έγγραφα.
Σύμφωνα με στελέχη της ΓΓΠΣ και άλλων αρμόδιων υπηρεσιών Ιστοσελίδες και εφαρμογές υπουργείων, φορέων, οργανισμών και υπηρεσιών του Δημοσίου λόγω αβλεψιών και ελλιπούς εποπτείας παρουσιάζουν μεγάλα κενά ασφαλείας και παρότι θεωρητικά παρέχουν περιορισμένη ή διαβαθμισμένη πρόσβαση στους χρήστες τους, τελικά είναι ανοικτές σε όλους όσους έχουν στοιχειώδεις γνώσεις πληροφορικής και ειδικά στους θηρευτές δημοσίων έγγραφων τύπου Wikileaks.
Η μη τυποποίηση της διαδικασίας κατασκευής ιστοσελίδων για το Δημόσιο, η χρησιμοποίηση διαφορετικών τεχνολογιών και η αδυναμία των στελεχών των εκάστοτε φορέων να παρακολουθήσουν και να αξιολογήσουν το έργο των επιχειρήσεων που αναλάμβαναν την δημιουργία των ιστοτόπων έχουν επιφέρει ρήγματα ασφάλειας στην ηλεκτρονική υποδομή του Δημοσίου.
Είναι ενδεικτικό ότι σε πάρα πολλές περιπτώσεις αρκεί η πληκτρολόγηση των λέξεων test, demo ή admin στα πεδία Όνομα Χρήστη (Username) και Κωδικός (Password) για να εισέλθει κάποιος τρίτος στην εσωτερική υποδομή (διαβαθμισμένη) των ιστοσελίδων δημόσιων φορέων και να «ξεκλειδώσει» το περιεχόμενο τους αποκτώντας πρόσβαση σε δημόσια έγγραφα.
Οι τρύπες αυτές στην υποδομή των ιστοσελίδων δημόσιων -και μη- φορέων οφείλονται σε δύο λόγους. Στην προχειρότητα και στην έλλειψη γνώσης. Αποτελεί συνήθεια για όσους κατασκευάζουν σελίδες στο internet να δημιουργούν test account (δοκιμαστικούς λογαριασμούς) για να διαπιστώσουν την ορθή λειτουργία της υποδομής που αναπτύσσουν, στο σκέλος της εγγραφής χρηστών.
Ωστόσο, σε πολλές περιπτώσεις οι δοκιμαστικοί χρήστες (Username: test και Password : test) δεν διαγράφονται από την βάση του συστήματος, δίνοντας διαρκή πρόσβαση σε όσους γνωρίζουν το μεγάλο αυτό κενό ασφαλείας. Οι δε δημόσιοι υπάλληλοι που αναλαμβάνουν τη διαχείριση των ηλεκτρονικών πυλών και υπηρεσιών δεν διαθέτουν στις περισσότερες περιπτώσεις την εμπειρία ώστε να ελέγξουν την συγκεκριμένη «λεπτομέρεια».
Με τον πιο πάνω τρόπο οποιοσδήποτε γνωρίζει την τρωτότητα του συστήματος μπορεί να αποκτήσει πρόσβαση σε δεδομένα του Δημοσίου, αλλά και να παρέμβει σε αυτά, καθώς σε πολλές περιπτώσεις ο διαχειριστής του συστήματος δεν μπορεί να αντιληφθεί πως π.χ. η εγγραφή ενός ονόματος ή η προσθήκη μιας δαπάνης έχει καταχωρηθεί από χρήστη με test account.
Σύμφωνα με στελέχη της ΓΓΠΣ και άλλων αρμόδιων υπηρεσιών Ιστοσελίδες και εφαρμογές υπουργείων, φορέων, οργανισμών και υπηρεσιών του Δημοσίου λόγω αβλεψιών και ελλιπούς εποπτείας παρουσιάζουν μεγάλα κενά ασφαλείας και παρότι θεωρητικά παρέχουν περιορισμένη ή διαβαθμισμένη πρόσβαση στους χρήστες τους, τελικά είναι ανοικτές σε όλους όσους έχουν στοιχειώδεις γνώσεις πληροφορικής και ειδικά στους θηρευτές δημοσίων έγγραφων τύπου Wikileaks.
Η μη τυποποίηση της διαδικασίας κατασκευής ιστοσελίδων για το Δημόσιο, η χρησιμοποίηση διαφορετικών τεχνολογιών και η αδυναμία των στελεχών των εκάστοτε φορέων να παρακολουθήσουν και να αξιολογήσουν το έργο των επιχειρήσεων που αναλάμβαναν την δημιουργία των ιστοτόπων έχουν επιφέρει ρήγματα ασφάλειας στην ηλεκτρονική υποδομή του Δημοσίου.
Είναι ενδεικτικό ότι σε πάρα πολλές περιπτώσεις αρκεί η πληκτρολόγηση των λέξεων test, demo ή admin στα πεδία Όνομα Χρήστη (Username) και Κωδικός (Password) για να εισέλθει κάποιος τρίτος στην εσωτερική υποδομή (διαβαθμισμένη) των ιστοσελίδων δημόσιων φορέων και να «ξεκλειδώσει» το περιεχόμενο τους αποκτώντας πρόσβαση σε δημόσια έγγραφα.
Οι τρύπες αυτές στην υποδομή των ιστοσελίδων δημόσιων -και μη- φορέων οφείλονται σε δύο λόγους. Στην προχειρότητα και στην έλλειψη γνώσης. Αποτελεί συνήθεια για όσους κατασκευάζουν σελίδες στο internet να δημιουργούν test account (δοκιμαστικούς λογαριασμούς) για να διαπιστώσουν την ορθή λειτουργία της υποδομής που αναπτύσσουν, στο σκέλος της εγγραφής χρηστών.
Ωστόσο, σε πολλές περιπτώσεις οι δοκιμαστικοί χρήστες (Username: test και Password : test) δεν διαγράφονται από την βάση του συστήματος, δίνοντας διαρκή πρόσβαση σε όσους γνωρίζουν το μεγάλο αυτό κενό ασφαλείας. Οι δε δημόσιοι υπάλληλοι που αναλαμβάνουν τη διαχείριση των ηλεκτρονικών πυλών και υπηρεσιών δεν διαθέτουν στις περισσότερες περιπτώσεις την εμπειρία ώστε να ελέγξουν την συγκεκριμένη «λεπτομέρεια».
Με τον πιο πάνω τρόπο οποιοσδήποτε γνωρίζει την τρωτότητα του συστήματος μπορεί να αποκτήσει πρόσβαση σε δεδομένα του Δημοσίου, αλλά και να παρέμβει σε αυτά, καθώς σε πολλές περιπτώσεις ο διαχειριστής του συστήματος δεν μπορεί να αντιληφθεί πως π.χ. η εγγραφή ενός ονόματος ή η προσθήκη μιας δαπάνης έχει καταχωρηθεί από χρήστη με test account.
Σχόλιο ΕΛΕΥΘΕΡΩΝ ΕΛΛΗΝΩΝ:
αυτοί οι άνθρωποι με αυτή την τεχνολογία θα προστατεύουν τα προσωπικά μας δεδομένα;Ούτε σε τριτοκοσμικές χώρες δεν συμβαίνουν αυτά τα φαινόμενα. Διαρροές δεδομένων αλλά και επεμβάσεις μπορούν να δημιουργήσουν τεράστια προβλήματα στους πολίτες. Η ηλεκτρονική διακυβέρνηση για όλους εμάς δεν είναι αποδεχτή, ο λόγος είναι όταν διαχειρίζονται λεπτά προσωπικά δεδομένα θα πρέπει να μας διασφαλίσουν το μέγιστο της ασφάλειας τους, πράγμα αδύνατον μέχρι σήμερα. Εταιρείες που δαπανούν χιλιάδες ευρώ για την ασφάλεια των συστημάτων τους κατά καιρούς χακάρονται και κλέβονται δεδομένα. Το πως θα διασφαλίσει το δημόσιο την αποτροπή χάκερς δεν μπορούν να μας το εγγυηθούν.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Τα μηνύματα που δημοσιεύονται στο χώρο αυτό εκφράζουν τις απόψεις των αποστολέων τους. Το ιστολόγιο μας δεν υιοθετεί καθ’ οιονδήποτε τρόπο τις απόψεις αυτές. Ο καθένας έχει δικαίωμα να εκφράζει την γνώμη του, όποια και να είναι αυτή.
Παρακαλούμε να γράφετε με Ελληνικούς χαρακτήρες, επίσης οι σχολιασμοί σας να μη ξεφεύγουν από τα όρια της ευπρέπειας.
Σχόλια τα οποία περιέχουν ύβρεις, θα διαγράφονται.
Τα σχόλια πλέον ελέγχονται από τους διαχειριστές του ιστολογίου, γιαυτό θα υπάρχουν καθυστερήσεις στην εμφάνιση τους. Γενικά γίνονται όλα αποδεχτά, εκτός από αυτά που είναι διαφημίσεις ή απάτες.
Σας ευχαριστούμε για την κατανόηση.
(επικοινωνία:eleftheroi.ellines@gmail.com)