• Σχόλιο του χρήστη 'Γιώργος Ρουσόπουλος' | 21 Νοεμβρίου 2016, 13:50

    Προτεραιότητα 5.5. (σελ. 27) Προβλέπεται κοινή αυθεντικοποίηση για όλες τις δημόσιες e-υπηρεσίες και διαχείριση πολλαπλών διαδικτυακών προφίλ. Για το συγκεκριμένο ζήτημα απαιτείται προσεχτική μελέτη και περισσότερες δικλείδες ασφάλειας ώστε να μην υπάρχει κίνδυνος περιστατικού διαρροής πολλαπλών δεδομένων. Οι κεντρικές βάσεις δεδομένων μεγαλώνουν τον κίνδυνο αυτό. Π.χ. ως ορολογία χρησιμοποιείται η «συνένωση» μητρώων, ενώ δεν θα ήταν σκόπιμη συνένωση ή συνδυασμός δεδομένων, παρά μόνο ενιαία μορφή πρόσβασης σε μη κεντρικές βάσεις. Προτεραιότητα 5.7. (σελ. 28) Τίθεται ως προτεραιότητα η βελτίωση των δημόσιων μητρώων και των ανοιχτών δεδομένων. Σκόπιμο είναι να γίνει αναφορά στην νομοθεσία για την προστασία των προσωπικών δεδομένων, ως ένα βασικό παράγοντα που πρέπει να ληφθεί υπόψη για την αξιολόγηση, εκκαθάριση και διασύνδεση των μητρώων. Παράλληλα, θα πρέπει να εξεταστούν/επανεξεταστούν και οι κανόνες πρόσβασης σε κάθε ένα μητρώο. Τομέας Παρέμβασης 7 Ο τομέας αυτός παρουσιάζεται ως ο πλέον αδύναμος/ανισοβαρής στο κείμενο της στρατηγικής. Οι προς εφαρμογή προτεραιότητες δεν καλύπτουν επαρκώς τις υφιστάμενες και μελλοντικές ανάγκες για ασφάλεια πληροφοριών. Θα έπρεπε να υπάρχει τουλάχιστον αναφορά στη σύνταξη και υλοποίηση εθνικής στρατηγικής κυβερνοασφάλειας (άλλωστε υπάρχει και συναφής ομάδα εργασίας στη Γεν. Γραμ. Τηλεπικοινωνιών και Ταχυδρομείων και νομοπαρασκευαστική επιτροπή για την NIS οδηγία). Στο πλαίσιο της οδηγίας NIS (2016/1148 - σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση) γίνεται ρητή αναφορά στην υποχρέωση κάθε κράτους μέλους «να διαθέτει εθνική στρατηγική ασφάλειας συστημάτων δικτύου και πληροφοριών που να καθορίζει τους στρατηγικούς στόχους και τις συγκεκριμένες δράσεις πολιτικής που πρέπει να εφαρμοστούν.» (βλ. άρ. 7 NIS οδηγίας, όπως και αιτιολογική σκέψη υπ’ αριθμ. 29). Επιπλέον, η ασφάλεια στις ΤΠΕ θα πρέπει να αντιμετωπισθεί όχι μόνο ως απαίτηση, αλλά ως παράγοντας που μπορεί να συνεισφέρει στην ανάπτυξη, δίδοντας ιδίως, έμφαση σε επενδύσεις για την έρευνα και ανάπτυξη σχετικής τεχνολογίας (καλό είναι να γίνει και αναφορά σε προηγούμενους τομείς της ΕΨΣ). Ειδικότερα σχόλια για τον τομέα 7: Προτεραιότητα 7.1. α) Είναι κρίσιμη η αναφορά σε άμεση ενσωμάτωση της οδηγίας NIS καθώς και άμεσης κατάρτισης και εφαρμογής της εθνικής στρατηγικής κυβερνοασφάλειας. Αυτό θα έπρεπε να αποτελεί βασική προτεραιότητα. β) Θα πρέπει να γίνει ρητή αναφορά ότι η ασφάλεια αποτελεί αναπόσπαστο τμήμα κάθε έργου ΤΠΕ, το οποίο πρέπει να ενσωματώνεται σε αυτά από τη φάση του σχεδιασμού. Ήδη από τον κανονισμό 2016/679 (GDPR) προβλέπεται υποχρέωση privacy by design, άρα, ουσιαστικά ζητάμε επίσης “security by design” (και ενδεχομένως πρέπει να γίνει και επιπλέον αναφορά για privacy by default). Σκόπιμο είναι η ενότητα αυτή να συνδεθεί και με την Προτεραιότητα 5.1 με ρητή υποχρέωση για privacy by design κατά τον ενιαίο σχεδιασμό των έργων,ως απαραίτητη προϋπόθεση των αρχών του ενιαίου σχεδιασμού. Βλέπε σχετικά καιάρ. 25 του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR – Κανονισμός Ε.Ε. 679/2016) γ) Υπάρχει πλέγμα φορέων που δραστηριοποιούνται σε θέματα ασφάλειας, λόγω αρμοδιότητας (και όχι μόνο το Εθνικό Cert και o ENISA). Απαιτείται ευρύτερο πλαίσιο συνεργασίας υπό συγκεκριμένη δομή, η οποία θα πρέπει να ορισθεί νομοθετικά. Αυτό, σε μεγάλο βαθμό, προβλέπεται και στην οδηγία NIS (βλ. αρ. 8 οδηγίας). δ) Η αναφορά στην άμεση ενσωμάτωση του GDPR πρέπει να διαφοροποιηθεί. Δεν απαιτείται απλά η ενσωμάτωση (η οποία νομοτεχνικά έχει δρομολογηθεί μέσω νομοπαρασκευαστικής επιτροπής) αλλά η δέσμευση του κράτους για την υλοποίηση των αλλαγών που επιφέρει ο Γενικός Κανονισμός, με την έμπρακτη ενίσχυση της Εθνικής Αρχής Προστασίας Προσωπικών Δεδομένων και την πρόβλεψη πόρων για δράσεις για την άμεση εφαρμογή του Κανονισμού από Δημόσιο και Ιδιωτικό τομέα. Η άμεση εφαρμογή του GPDR και η εξειδίκευση των επιχειρήσεων ΤΠΕ σε θέματα προστασίας δεδομένων μπορεί να αποτελέσει ανταγωνιστικό τους πλεονέκτημα, καθώς ο τομέας αυτός αναμένεται να παρουσιάσει ραγδαία αυξανόμενο ενδιαφέρον. Προτεραιότητα 7.2 Όσον αφορά στην πιστοποίηση υπηρεσιών υπολογιστικού νέφους (cloud), είναι θετική η αναφορά σε ειδικό πιστοποιητικό. Καθώς όμως οι υπηρεσίες cloud χρησιμοποιούνται κατά κόρον για την επεξεργασία δεδομένων προσωπικού χαρακτήρα θα έχουν άμεση εφαρμογή και οι διατάξεις των αρ. 40 έως 43 του Γενικού Κανονισμού 2016/679 (GDPR). Άρα, τυχόν πιστοποίηση για θέματα προστασίας δεδομένων (που περιλαμβάνει και θέματα ασφάλειας ΤΠΕ κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα) πρέπει να γίνεται βάσει των κριτηρίων που εγκρίνει η εθνική αρχή προστασίας δεδομένων (βλ. αρ. 42 παρ. 5 GDPR) ή (κεντρικά για όλη την Ευρώπη) το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Και πάλι, σκόπιμη είναι η ενίσχυση της Εθνικής Αρχής Προστασίας Δεδομένων. Προτεινόμενη δομή της ενότητας 7: 7.1 Εφαρμογή στρατηγικής ασφάλειας πληροφοριών και ψηφιακών υποδομών 7.2 Εφαρμογή γενικού κανονισμού προστασίας δεδομένων 7.3 Προώθηση πιστοποίησης ασφάλειας πληροφοριών και προστασίας δεδομένων για ψηφιακές υπηρεσίες, συμπεριλαμβανομένων υπηρεσιών cloud 7.4 Προώθηση κωδίκων δεοντολογίας και ορθών πρακτικών για την προστασία δεδομένων και την ασφάλεια πληροφοριών 7.5 Διασφάλιση κρίσιμων υποδομών Δημόσιας Διοίκησης. Τέλος, σκόπιμη είναι και η αναφορά στην προώθηση του e-contract, ιδίως στον τομέα παρέμβασης 2.