Η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ), με αφορμή πρόσφατα (24/7/2013) δημοσιεύματα στον Τύπο και στο διαδίκτυο1, εκφράζει τη δημόσια διαμαρτυρία της για τη συνεχιζόμενη αδράνεια όλων των εμπλεκομένων συναρμόδιων φορέων σχετικά με τη διαλεύκανση της υπόθεση της μαζικής διαρροής των φορολογικών δεδομένων εκατομμυρίων πολιτών, η οποία έγινε γνωστή πριν από οκτώ μήνες το Νοέμβριο του 2012. Η ΕΠΕ έχει καταθέσει επίσημη καταγγελία-προσφυγή στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) από τον περασμένο Μάρτιο (Γ/ΕΙΣ/1597/04-03-2013) για το συγκεκριμένο θέμα. Στη συγκεκριμένη 11-σέλιδη αναφορά παρουσιάζονται αναλυτικά στοιχεία και δημοσιεύματα τόσο για τη διαρροή, όσο και για πολλές άλλες παραβιάσεις ασφάλειας σε δημόσιους φορείς.
Η συγκεκριμένη διαρροή δεδομένων, που όπως διαπιστώθηκε περιελάμβανε λεπτομερέστατα φορολογικά δεδομένα εκατομμυρίων πολιτών, έγινε γνωστή το Νοέμβριο του 2012 μετά από σχετικά δημοσιεύματα στον Τύπο και στο διαδίκτυο2,3,4. Έκτοτε ακολούθησαν συνεχόμενες αναφορές για διάφορους ιδιώτες και εταιρίες όπου βρέθηκε στην κατοχή τους μεγάλο τμήμα των δεδομένων αυτών, τα οποία προφανώς προμηθεύτηκαν παράνομα έναντι αμοιβής από άτομα που τα είχαν στην κατοχή τους και τα εμπορεύονταν. Ένας εκ των κατηγορούμενων για τις παράνομες αυτές διακινήσεις προσωπικών δεδομένων, αφού εντοπίστηκε από το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος (ΣΔΗΕ) και συνελήφθη, φέρεται να δήλωσε πως ουσιαστικά ολόκληρη η κύρια βάση δεδομένων του TAXIS με τις βασικές
φορολογικές δηλώσεις πολιτών (Ε1, Ε9, κτλ) ήταν διαθέσιμη στην «αγορά» ακόμα και για ποσά της τάξης των 3.000 ευρώ. Ιδιοκτήτης εταιρίας στη Δάφνη5, στην κατοχή του οποίου βρέθηκε επίσης τεράστιος όγκος παρόμοιων δεδομένων, φέρεται να επιβεβαίωσε πως προέρχονταν από «εσωτερική» διαρροή και πως εκτός των βασικών φορολογικών στοιχείων εισοδήματος υπάρχει πλήρης καταγραφή διευθύνσεων ακινήτων, αυτοκινήτων και λοιπής περιουσιακής κατάστασης των πολιτών. Σύμφωνα με σχετικά δημοσιεύματα, το ΣΔΗΕ κατάφερε να εντοπίσει αρκετά γρήγορα την πιθανή πηγή της διαρροής, η οποία φέρεται να είναι υψηλόβαθμο στέλεχος του ΥΠΟΙΚ, που όμως μέχρι και σήμερα δεν έχει κατονομαστεί δημοσίως, ούτε είναι γνωστό αν του έχουν απαγγελθεί κατηγορίες.
Ο τότε γ.γ. στη ΓΓΠΣ κ. Χάρης Θεοχάρης, που σήμερα είναι γ.γ. στη Γ.Γ. Εσόδων, ερωτηθείς μέσω Twitter στις 21/11/2012 σχετικά με το θέμα της διαρροής είχε δηλώσει πως «δεν είχε λεπτομέρειες ακόμα» και πως δεν μπορούσε να συνδράμει (ως επικεφαλής της ΓΓΠΣ) ουσιαστικά στην έρευνα του ΣΔΗΕ χωρίς να του έχει δοθεί συγκεκριμένο χρονικό πλαίσιο για το πότε είχε γίνει διαρροή. Έκτοτε, ούτε η ΓΓΠΣ, ούτε το υπουργείο Οικονομικών (υπηρεσία ΚΕΠΥΟ) έχουν προβεί σε καμία σχετική ανακοίνωση για το θέμα ως προς τη διαλεύκανση της υπόθεσης. Πριν μερικές ημέρες, στις 4/7/2013, στα πλαίσια του 3ου Συνεδρίου για την Ηλεκτρονική Διακυβέρνηση6 (Greek e-Gov Forum 2013), ο νέος γ.γ. της ΓΓΠΣ κ. Χάρης Τσαβδάρης, απαντώντας σε ερώτηση σχετικά με το ίδιο θέμα είπε πως ο ίδιος είναι ακόμα πολύ «φρέσκος» στη θέση και δεν γνωρίζει καλά την υπόθεση. Διαβεβαίωσε πάντως πως η διερεύνηση έχει προχωρήσει και πως η ασφάλεια αποτελεί μία από τις βασικές προτεραιότητες του σχεδιασμού της νέας ΓΓΠΣ υπό την εποπτεία του. Το ίδιο διαβεβαίωσε και η υφυπουργός Ηλεκτρονικής Διακυβέρνησης κα Εύη Χριστοφιλοπούλου, τονίζοντας πως η ασφάλεια είναι βασικός στρατηγικός παράγοντας στο σχεδιασμό του υπουργείου7.
Τόσο ο κ. Θεοχάρης το Νοέμβριο του 2012, όσο και ο κ. Τσαβδάρης πριν λίγες μέρες, διαβεβαίωσαν πως στη ΓΓΠΣ υπάρχει επικαιροποιημένη Πολιτική Ασφάλειας8 και αρμόδιο γραφείο ασφάλειας. Σημειώνεται πως ένα από τα βασικά συστατικά στοιχεία στο επιχειρησιακό πλάνο οποιασδήποτε Πολιτικής Ασφάλειας σε πληροφοριακά συστήματα είναι ακριβώς η πλήρης καταγραφή ηλεκτρονικού «ίχνους» και η δυνατότητα σε μεταγενέστερο χρόνο της αναλυτικής διερεύνησής του (audit trail), ώστε να εντοπίζεται ο χρόνος, ο τόπος, ο τρόπος και η έκταση κάθε παραβίασης των πρωτοκόλλων ασφάλειας όταν αυτό συμβαίνει.
Συνεπώς, στη συγκεκριμένη περίπτωση είναι φανερό πως στη ΓΓΠΣ (εφόσον η διαρροή προέρχεται από εκεί) στην πραγματικότητα είτε δεν εφαρμόζει ορθή Πολιτική Ασφάλειας είτε δεν έχει ακόμα εξαντλήσει (για άγνωστο λόγο) τις δυνατότητες διερεύνησης σε τεχνικό επίπεδο.
Δημοσιεύματα στον Τύπο και στο διαδίκτυο στις 24/7/2013 αναφέρουν πως η ΓΓΠΣ καλείται από τον περασμένο Δεκέμβριο (2012) συνεχώς να παραδώσει σχετικά στοιχεία στο ΣΔΗΕ και στην ΑΠΔΠΧ που διερευνούν την υπόθεση, χωρίς όμως να συμμορφώνεται με το αίτημα αυτό. Μάλιστα ο νέος γ.γ. της ΓΓΠΣ κ. Χάρης Τσαβδάρης φέρεται να κατέθεσε στις 18/7/2013 στη σχετική συνεδρίαση της ΑΠΔΠΧ ότι «τα στοιχεία διέρρευσαν από την υπηρεσία του», ότι «έχει διαταχθεί ΕΔΕ η οποία όμως δεν έχει καταλήξει σε πόρισμα και σε απόδοση ευθυνών» και πως (το πιο σημαντικό) «λόγω έλλειψης κονδυλίων, δεν μπορούν να ληφθούν μέτρα προστασίας». Με αφορμή τα παραπάνω, έχει γίνει γνωστό πως ήδη έχουν κατατεθεί στη Βουλή σχετικές ερωτήσεις από βουλευτές τουλάχιστον δύο κομμάτων9, ζητώντας ενημέρωση και εξηγήσεις για τις καθυστερήσεις στη διερεύνηση της υπόθεσης.
Από τα παραπάνω είναι πλέον σαφές, οκτώ ολόκληρους μήνες μετά την αποκάλυψη της
διαρροής, ότι:
- Πρόκειται για εσωτερική παραβίαση της ασφάλειας στα αντίστοιχα πληροφοριακά συστήματα, δηλαδή της ΓΓΠΣ ή/και του ΚΕΠΥΟ (η Γ.Γ Εσόδων δεν είχε συσταθεί ακόμα).
- Αφορά σε υψηλά ιστάμενα πρόσωπα, λόγω της φύσης και της έκτασης της διαρροής, χωρίς όμως ακόμα να έχει προσδιοριστεί κανένα συγκεκριμένο άτομο ως υπεύθυνο της διαρροής.
- Τόσο οι επικεφαλής της ΓΓΠΣ όσο και του ΥΠΟΙΚ (ΚΕΠΥΟ) φέρονται να διαβεβαιώνουν δημόσια ότι η ασφάλεια των προσωπικών δεδομένων εκατομμυρίων Ελλήνων πολιτών είναι διασφαλισμένη, ενώ την ίδια στιγμή σε κατάθεση στην ΑΠΔΠΧ παραδέχονται ότι η εσωτερική ΕΔΕ δεν έχει ακόμα καταδείξει κανέναν υπεύθυνο και η έλλειψη κονδυλίων καθιστά απαγορευτική οποιαδήποτε βελτίωση της σημερινής κατάστασης.
Αξίζει να σημειωθεί ότι η ΕΠΕ, και πάλι με δική της δημόσια παρέμβαση10,11 , είχε ζητήσει από τα αρμόδια υπουργεία ήδη από τον Οκτώβριο του 2011 (πριν γίνει γνωστή η συγκεκριμένη διαρροή) να ενημερωθεί σχετικά με την εφαρμοζόμενη Πολιτική Ασφάλειας στους δημόσιους οργανισμούς. Αφορμή υπήρξαν οι αλλεπάλληλες επισκέψεις των εκπροσώπων της τρόικας στα υπουργεία, κατά τις οποίες τους παρέχονταν (όπως εξακολουθεί να συμβαίνει και σήμερα)
πλήρη στοιχεία φορολογικού και όχι μόνο χαρακτήρα, ταυτόχρονα με τη χρήση ασύρματων δικτύων και μεταφέρσιμων αποθηκευτικών μέσων εκτός του συγκεκριμένου χώρου και ετεροχρονισμένα, συνθήκες που καθιστούν εξαιρετικά πιθανή την παραβίαση της ασφάλειας σε επίπεδο διαρροής των αντίστοιχων δεδομένων. Μετά από ερώτηση στη Βουλή12 το υπουργείο Εσωτερικών και ο αρμόδιος υπουργός κ. Αν. Γιαννίτσης απάντησε ότι (τουλάχιστον στο συγκεκριμένο υπουργείο) δεν εφαρμοζόταν καμία σχετική Πολιτική Ασφάλειας για την προστασία των οικείων πληροφοριακών συστημάτων. Μόλις ένα μήνα αργότερα η παράλειψη αυτή επιβεβαιώθηκε με τον πιο ξεκάθαρο τρόπο, σε άλλο δημόσιο φορέα, με τη μαζικότερη ίσως διαρροή προσωπικών δεδομένων πολιτών που έχει γίνει ποτέ στην Ελλάδα.
Σημειώνεται επίσης πως εδώ και αρκετούς μήνες η σύσταση της Γ.Γ. Εσόδων έχει σημάνει ουσιαστικά μια εντελώς νέα προσέγγιση στο θέμα των φορολογικών ελέγχων και της διασταύρωσης των σχετικών στοιχείων. Ήδη ένα μεγάλο μέρος των αρμοδιοτήτων της ΓΓΠΣ έχει μεταφερθεί στη Γ.Γ. Εσόδων, μαζί φυσικά με τις αντίστοιχες βάσεις δεδομένων και το
λογισμικό. Παράλληλα, προωθείται
- η εγκατάσταση on-line φορολογικών μηχανισμών στις ταμειακές μηχανές σε όλη την επικράτεια13, με σκοπό την άμεση συγκέντρωση των φορολογικών στοιχείων «από την πηγή»,
- η σύσταση ομάδων «κρούσης» για επιτόπιους φορολογικούς ελέγχους14,15, οι οποίες θα διαθέτουν φορητούς Η/Υ με δεδομένα και ψηφιακά πιστοποιητικά πρόσβασης εξαιρετικά μεγάλης επικινδυνότητας (π.χ. περίπτωση κλοπής ή απώλειάς τους),
- η χρήση της Φοροκάρτας και της Κάρτας του Πολίτη, που σε συνδυασμό με την άμεση on-line καταγραφή των συναλλαγών θα μπορεί να δώσει πλήρη εικόνα του «φορολογικού προφίλ» κάθε πολίτη16.
Όλες αυτές οι προοπτικές δείχνουν να βασίζονται σε μια αμιγώς κεντρικοποιημένη (centralized) αρχιτεκτονική, με βάση τρεις κεντρικούς κόμβους αποθήκευσης, επεξεργασίας και ανάλυσης των δεδομένων (big data analytics, data mining, κτλ). Η προσέγγιση αυτή πολλαπλασιάζει το ρίσκο ως προς την πιθανότητα νέων περιστατικών παραβίασης της ασφάλειας σε κάθε επίπεδο και ταυτόχρονα καθιστά σχεδόν βέβαιη την αυξημένη δυσκολία συντήρησης (maintainability) και το συνεχώς αυξανόμενο κόστος επέκτασης του συστήματος (scalability), έτσι ώστε το επίπεδο των υπηρεσιών προς τους πολίτες να διατηρείται σε ένα ελάχιστο αποδεκτό επίπεδο ποιότητας και αξιοπιστίας17,18,19.
Βάσει των παραπάνω, η Ένωση Πληροφορικών Ελλάδας, η οποία βάσει του καταστατικού της έχει δικαίωμα και καθήκον να παρεμβαίνει σε κάθε ζήτημα μείζονος εθνικού
2 http://www.zougla.gr/greece/article/ixe-fakelosi-9-ekat-polites
3 http://www.enikos.gr/society/98211,Paranoma_arxeia_9000000_politwn!_.html
4 http://www.enikos.gr/society/98243,Enhmerwsh_ek_twn_esw;_.html
5 http://www.enikos.gr/society/110233,TWRA_-_Ereyna_se_etairia_poy_kateixe_par.html
6 http://www.ictplus.gr/default.asp?pid=30&la=1&rID=25262&ct=9
7 http://www.ictplus.gr/default.asp?pid=30&la=1&rID=25525&ct=2
8 http://en.wikipedia.org/wiki/Security_policy
9 http://tvxs.gr/news/ellada/salos-gia-skandalo-ton-diarroon-erotisi-syriza-%E2%80%93-anakoinosi-dimar
10 http://www.epe.org.gr/showarticle.jsp?articleid=494
12 Αριθ. 372/21-10-2011, βουλευτής Αχαΐας κ. Νίκος Ι. Νικολόπουλος
13 http://www.forologikanea.gr/news/online-sundesi-ton-tameiakon-me-ti-ggps
14 http://www.tanea.gr/news/economy/article/5029514/swma-3-731-foro-rampo-gia-ta-esoda/
15 http://www.imerisia.gr/article.asp?catid=26516&subid=2&pubid=84393148
16 http://www.enet.gr/?i=news.el.article&id=233024
17 https://en.wikipedia.org/wiki/ISO_9000
18 https://en.wikipedia.org/wiki/ISO_9001#Contents_of_ISO_9001