Αρχική Θεσμικό πλαίσιο τηλεργασίας στον δημόσιο τομέαΆρθρο 6 Θέματα προστασίας δεδομένων προσωπικού χαρακτήραΣχόλιο του χρήστη Μιχάλης Παππάς | 29 Απριλίου 2021, 21:46
- Αρχική
- Πρωθυπουργός της Ελλάδας
- Ανοικτή Διακυβέρνηση
- Δικτυακός Τόπος Υπουργείου
- Διαβουλεύσεις Υπουργείων
Στην παράγραφο 3 αναφέρεται ότι " ... [ο φορέας] διασφαλίζει τη σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» μόνο μέσω σύνδεσης εικονικού ιδιωτικού δικτύου με κρυπτογραφημένη και προστατευμένη δρομολόγηση δεδομένων". Η σύνδεση εικονικού ιδιωτικού δικτύου, δυνητικά αφήνει ευάλωτο το (επιθυμητά) προστατευμένο και με υψηλό επίπεδο ασφαλείας τοπικό δίκτυο του φορέα σε δικτυακές επιθέσεις που μπορεί να οφείλονται αν ο σταθμός εργασίας του εξ'αποστάσεως χρήστη έχει παραβιαστεί. Σε οικιακό περιβάλλον ο διαχειριστής δικτύου του φορέα και δεν μπορεί να επιβάλει κάποια πολιτική, αν ο υπολογιστής είναι του ίδιου του χρήστη (όπως επιτρέπεται από το άρθρο 12, παρ. 1) ή αν υπάρχουν άλλοι μολυσμένοι και/ή παραβιασμένοι υπολογιστές στο εξ'αποστάσεως τοπικό δίκτυο. Επιπρόσθετα, υπάρχουν πλέον διαθέσιμες τεχνολογίες οι οποίες παρέχουν εξ'αποστάσεως πρόσβαση στην επιφάνεια εργασίας του χρήστη, οι οποίες όμως δε χρησιμοποιούν την υποδομή της εκάστοτε εταιρίας για να πραγματοποιήσουν τη σύνδεση προς τον υπολογιστή εταιρίας (λ.χ Anydesk, Remote Utilities κ.α. μέσω relay εγκατεστημένου στον ίδιο το φορέα). Σημαντικός αριθμός φορέων χρησιμοποιεί αυτές τις λύσεις, οπότε και αποφεύγεται η αγορά επιπρόσθετου εξοπλισμού και παραμετροποίησης, με όφελος και προς την εκάστοτε οργανωτική μονάδα Πληροφορικής και προς τον φορολογούμενο. Θα πρέπει όμως να τονισθεί ότι θα πρέπει να αποφευχθεί η χρήση λογισμικού τηλεχειρισμού όταν η δικτυακή κίνηση περνάει μέσα από το δίκτυο της κατασκευάστριας εταιρίας και για λόγους συμμόρφωσης με τον ΓΚΠΔ. Εν ολίγοις προτείνεται επιπρόσθετα και η χρήση των παραπάνω συστημάτων τηλεχειρισμού, σε σχέση με τα ιδιωτικά ιδεατά δίκτυα, λαμβάνοντας όμως τον περιορισμό της διακίνησης δεδομένων μέσω της κατασκευάστριας εταιρίας. Με αυτό το σκεπτικό προτείνεται η ακόλουθη αλλαγή στην παράγραφο 3. "3. Για την πρόσβαση στο δίκτυο, ο φορέας ως υπεύθυνος επεξεργασίας δεδομένων διασφαλίζει ότι υπάρχει δυνατότητα ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του φορέα, καθορίζει τους περιορισμούς σύμφωνα με τους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση, διασφαλίζει τη σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» (ΑΡΧΗ ΑΛΛΑΓΗΣ) είτε μέσω προγραμμάτων τηλεχειρισμού με κρυπτογραφημένη και προστατευμένη δρομολόγηση των δεδομένων του χρήστη απευθείας προς το δίκτυο του φορέα, είτε μέσω σύνδεσης εικονικού ιδιωτικού δικτύου με κρυπτογραφημένη και προστατευμένη δρομολόγηση δεδομένων (ΤΕΛΟΣ ΑΛΛΑΓΗΣ), εγκαθιστά ασφαλές πρωτόκολλο ασύρματης σύνδεσης με ισχυρό κωδικό στη συσκευή τηλεργασίας που χρησιμοποιεί ο τηλεργαζόμενος, όταν ο τελευταίος συνδέεται στο διαδίκτυο μέσω ασύρματου δικτύου, και διασφαλίζει ότι αποφεύγεται η χρήση αρχείων με δεδομένα προσωπικού χαρακτήρα σε υπηρεσίες προσωπικής διαδικτυακής αποθήκευσης των τηλεργαζόμενων."