Αρχή Προστασίας Δεδομένων: Επαρκή τα μέτρα ασφάλειας στο gov.gr

Σχετικά με πιθανό πρόβλημα ασφάλειας κατά την επικύρωση εγγράφων που παράγονται από τις υπηρεσίες του ιστότοπου gov.gr ενημερώθηκε στις 18 Μαΐου η Αρχή Προστασίας Δεδομένων από την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ).
Συγκεκριμένα, στο έγγραφο της ΕΠΕ αναφέρεται ότι είναι δυνατόν κάποιος με απλή αναζήτηση στο Google να αποκτήσει πρόσβαση στον υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη και ότι, επιπρόσθετα, αν λάβει γνώση μέσω κάποιας πηγής ή εντελώς τυχαία του κωδικού hash key που χρησιμοποιείται για την επικύρωση (validation), μπορεί να αποκτήσει αντίγραφο του εγγράφου.
Αναφέρεται επίσης, ότι η προστασία των εγγράφων μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται από τη σχετική νομοθεσία.
Η Αρχή διερεύνησε άμεσα τα αναφερόμενα στο δελτίο Τύπου της ΕΠΕ, ενώ περαιτέρω, τη 19 Μαΐου, πραγματοποιήθηκε τηλεδιάσκεψη στελεχών της Αρχής και του υπουργείου Ψηφιακής Διακυβέρνησης για την παροχή αναλυτικών πληροφοριών σε σχέση με τα μέτρα ασφάλειας του εν λόγω συστήματος.
Έπειτα από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για την ανωτέρω επεξεργασία είναι επαρκή.