Μεθόδους εφαρμογής των γενικών αρχών και κανόνων αυθεντικοποίησης Στρατηγική για την ιεράρχηση της κρισιμότητας κάθε ηλεκτρονικής υπηρεσίας

Transcript

1

2 Εξοικείωση με κανόνες και οδηγίες του ΠΨΑ Βασίζονται στο ισχύον νομικό και κανονιστικό πλαίσιο για την προστασία των προσωπικών και ευαίσθητων προσωπικών δεδομένων, καθώς και στην προστασία τηςιδιωτικότητας του πολίτη. Ενημέρωση των εμπλεκομένων στελεχών της Δημόσιας Διοίκησης Μεθόδους εφαρμογής των γενικών αρχών και κανόνων αυθεντικοποίησης Στρατηγική για την ιεράρχηση της κρισιμότητας κάθε ηλεκτρονικής υπηρεσίας Καθοδήγηση η των Φορέων Επιλογή των κατάλληλων μηχανισμών αυθεντικοποίησης Καθορισμό των διαδικασιών εγγραφής και ταυτοποίησης των χρηστών

3 Εισαγωγή στο ΠΨΑ Ποιες είναι οι απειλές σε θέματα ασφάλειας Υφιστάμενες μέθοδοι ασφαλείας στις Ηλεκτρονικές Υπηρεσίες Διάκριση Επιπέδων Εμπιστοσύνης στις Υπηρεσίες Ηλεκτρονικής Διακυβέρνησης Ταυτοποίηση ο κατά την χρήση Ηλεκτρονικών Υπηρεσιών Εγγραφή και Αυθεντικοποίηση οντοτήτων στις Υπηρεσίες Ηλεκτρονικής Διακυβέρνησης βρη ης Οδηγίες εφαρμογής του ΠΨΑ

4 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

5 Σε ανώτερα στελέχη του Δημόσιου και Ιδιωτικού Τομέα Λαμβάνουν αποφάσεις σχετικά με τη στρατηγική, τις βασικές αρχές και τις πολιτικές για την αυθεντικοποίηση των πολιτών και των επιχειρήσεων στις ηλεκτρονικές υπηρεσίες των φορέων του Δημοσίου Σε επιχειρησιακά στελέχη των φορέων Δημόσιας Διοίκησης Διατυπώνουν κανόνες και οδηγίες για οργανωτικά και επιχειρησιακά θέματα των φορέων αναφορικά με τους ρόλους, τις αρμοδιότητες και τις διαδικασίες που απαιτούνται για την υποστήριξη της λειτουργίας και τη συνεχή βλί βελτίωση των παρεχόμενων ηλεκτρονικών υπηρεσιών Σε στελέχη των διευθύνσεων πληροφορικής των φορέων της Δημόσιας Διοίκησης ης και σε αναδόχους έργων Διατυπώνουν κανόνες και οδηγίες για τεχνικά θέματα που αφορούν στο σχεδιασμό και την ανάπτυξη ηλεκτρονικών υπηρεσιών

6 Θέσπιση κανόνων και οδηγιών για την ιεράρχηση της κρισιμότητας κάθε ηλεκτρονικής υπηρεσίας Επιλογή των μηχανισμών αυθεντικοποίησης με τρόπο σαφή, απλό, μεθοδικό και καλά τεκμηριωμένο Εναρμόνιση με το ισχύον νομικό και κανονιστικό πλαίσιο για την προστασία των προσωπικών και ευαίσθητων προσωπικών δεδομένων, καθώς και στην προστασία της ιδιωτικότητας του πολίτη

7 Για τους φορείς της Δημόσιας Διοίκησης Βελτίωση της ασφάλειας των ηλεκτρονικών συναλλαγών Εφαρμογή της «αρχής της αναλογικότητας» κατά τη διαδικασία επιλογής των μηχανισμών μ αυθεντικοποίησης ης Προστασία των δεδομένων που διακινούνται Συμμόρφωση με τις διατάξεις του νομικού και κανονιστικού πλαισίου για την προστασία των προσωπικών, ευαίσθητων προσωπικών και οικονομικών δεδομένων που ανταλλάσσονται στις ηλεκτρονικές συναλλαγές Για τους αναδόχους έργων ανάπτυξης ηλεκτρονικών υπηρεσιών Δυνατότητα για δημιουργία νέων προϊόντων και εφαρμογών Ανταπόκριση σε ένα σύνολο κοινών προδιαγραφών αυθεντικοποίησης για όλα τα έργα

8 Παροχή κανόνων και οδηγιών για Κατηγοριοποίηση των δεδομένων που επεξεργάζονται οι ηλεκτρονικές υπηρεσίες σε «Απλά», «Οικονομικά» μ ή «Ευαίσθητα» Ν. 2472/97 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα Καθορισμός «επιπέδων εμπιστοσύνης» για τις ηλεκτρονικές υπηρεσίες Συσχέτιση κάθε επιπέδου εμπιστοσύνης με κατάλληλα «επίπεδα αυθεντικοποίησης» Συσχέτιση κάθε επιπέδου εμπιστοσύνης με τις κατάλληλες «διαδικασίες εγγραφής» των χρηστών στην υπηρεσία.

9 Οι Φορείς πρέπει: Να προσδιορίσουν το επίπεδο εμπιστοσύνης στο οποίο εντάσσεται η υπηρεσία, αφού πρώτα προσδιορίσουν επακριβώς τις κατηγορίες δεδομένων που αξιοποιούνται. Ανάλογα με το επίπεδο εμπιστοσύνης και ακολουθώντας τις συστάσεις του παρόντος ΠΨΑ να επιλέξουν τον κατάλληλο λ μηχανισμό αυθεντικοποίησης. Ανάλογα με το επίπεδο εμπιστοσύνης και ακολουθώντας τις συστάσεις του παρόντος ΠΨΑ, να υιοθετήσουν τις απαραίτητες διαδικασίες εγγραφής των χρηστών.

10 Σε όλους τους φορείς της Δημόσιας Διοίκησης: Υπουργεία Περιφέρειες ρφ ρ Νομαρχιακές Αυτοδιοικήσεις Οργανισμούς Τοπικής Αυτοδιοίκησης Εποπτευόμενους φορείς του Δημόσιου Τομέα Ανεξάρτητες Αρχές...και τους υπόλοιπους φορείς του Δημόσιου Τομέα όπως αυτός ορίζεται βάσει του Ν. 2527/97, άρθρο 1. Σε οργανισμούς του ευρύτερου Δημόσιου και του Ιδιωτικού Τομέα: Δημόσιες Επιχειρήσεις Κοινής Ωφέλειας Τραπεζικούς και Χρηματοπιστωτικούς Οργανισμούς Επιχειρήσεις Πληροφορικής και Υπηρεσιών Σε οποιονδήποτε ενδιαφερόμενο πολίτη

11 Ο Φορέας πάροχος της ηλεκτρονικής υπηρεσίας Ο Φορέας πάροχος της Κεντρικής Διαδικτυακής Πύλης (ΚΔΠ) Ο Φορέας πάροχος Υπηρεσιών Δημοσίου Κλειδιού Ο Τελικός Χρήστης

12 Πλαίσιο Ψηφιακής Αυθεντικοποίησης Το σύνολο των απαιτουμένων διαδικασιών αναφορικά με (α) την εγγραφή (β) την ταυτοποίηση και (γ) την αυθεντικοποίηση Απαιτήσεις Ασφάλειας Οι ιδιότητες-χαρακτηριστικά ασφάλειας (Ιδιωτικότητα, Εμπιστευτικότητα, Ακεραιότητα, Αυθεντικοποίηση) οι οποίες απαιτείται να διασφαλίζονται κατά την παροχή μιας ηλεκτρονικής υπηρεσίας Ιδιωτικότητα Μη αποκάλυψη προσωπικών πληροφοριών σε μη εξουσιοδοτημένες οντότητες Εμπιστευτικότητα Διαδικασία διασφάλισης μη εξουσιοδοτημένης αποκάλυψης των δεδομένων που αξιοποιούνται κατά τη διεκπεραίωση μιας συναλλαγής Ακεραιότητα Δεδομένων Διαδικασία διασφάλισης μη εξουσιοδοτημένης τροποποίησης των δεδομένων που αξιοποιούνται κατά τη διεκπεραίωση μιας συναλλαγής

13 Αυθεντικοποίηση Διαδικασία πιστοποίησης και επιβεβαίωσης της ταυτότητας των χρηστών Διαπιστευτήρια-Μηχανισμός Αυθεντικοποίησης Τα εχέγγυα που παρουσιάζει μια οντότητα προκειμένου να αποδείξει τη γνησιότητα η ενός ισχυρισμού Επίπεδο Εμπιστοσύνης Βαθμός βεβαιότητας στην αξιοπιστία, εντιμότητα, αξία ή ικανότητα κάποιας οντότητας Εγγραφή Οντότητας Το σύνολο των διαδικασιών μέσω των οποίων η οντότητα εκδηλώνει ενδιαφέρον χρήσης μιας συγκεκριμένης ηλεκτρονικής υπηρεσίας και παρέχει τα απαιτούμενα στοιχεία για τη λήψη του δικαιώματος αυτού

14 Επίπεδο Εγγραφής Ένταξη σε συγκεκριμένο σύνολο διαδικασιών που ακολουθούνται για τη συλλογή των απαιτούμενων στοιχείων και την πιστοποίηση της ορθότητας Επίπεδο Αυθεντικοποίησης Ένταξη σε συγκεκριμένου ρμ τύπου διαπιστευτήρια για την τεκμηρίωση η της εγκυρότητας της ταυτότητας μιας οντότητας Ηλεκτρονική Ταυτότητα Η ταυτότητα που αξιοποιεί ο χρήστης για την αναγνώριση του σε μια ηλεκτρονική υπηρεσία Ταυτοποίηση Διαδικασία δήλωσης ταυτότητας από το χρήστη στις υπηρεσίες ηλεκτρονικής διακυβέρνησης

15 Απλά Δεδομένα Πληροφορίες που είναι δημοσίως προσπελάσιμες και δεν περιέχονται σε αυτές προσωπικά δεδομένα Προσωπικά Δεδομένα Πληροφορίες που αναφέρονται στο υποκείμενο των δεδομένων (άρθρο 2α σε συνδυασμό με άρθρο 2γ του ν. 2472/97) Ευαίσθητα Δεδομένα Πληροφορίες που αναφέρονται στο υποκείμενο των δδ δεδομένων (άρθρο θ 2α σε συνδυασμό με άρθρο 2β του ν. 2472/97) Αρχή Εγγραφής Αποτελεί την οντότητα που είναι υπεύθυνη για τη συλλογή των απαιτούμενων στοιχείων και την πιστοποίηση της ταυτότητας μιας οντότητας που αιτείται εγγραφής σε κάποια ηλεκτρονική υπηρεσία Αρχή Πιστοποίησης Αποτελεί την οντότητα εκείνη που αναλαμβάνει την τεχνική διαχείριση των ψηφιακών πιστοποιητικών για ολόκληρο των κύκλο ζωή τους

16 Το Ηνωμένο Βασίλειο θεωρείται ότι έχει ένα από τα πλέον επιτυχημένα Πλαίσια Πληροφορίες και οδηγίες σχετικά με τις διαδικασίες ψηφιακής αυθεντικοποίησης των χρηστών Τέσσερα επίπεδα εμπιστοσύνης τα οποία προσδιορίζονται με βάση το είδος της συναλλαγής που διεκπεραιώνεται και τη σοβαρότητα των επιπτώσεων που είναι δυνατόν να προκύψουν σε περιπτώσεις εκδήλωσης επίθεσης ανάλογη είναι και η σοβαρότητα των επιπτώσεων σε περίπτωση απειλής Κατάταξη σε υψηλά επίπεδα αν πρόκειται για οικονομικές συναλλαγές Άλλες χώρες: Ιρλανδία Ολλανδία Αυστραλία Νέα Ζηλανδία ΗΠΑ

17 ΠΨΑ με καλά ορισμένα επίπεδα εμπιστοσύνης Διαφορετική προσέγγιση στον προσδιορισμό των επιπέδων αυτών Καθορίζονται με βάση τις επιπτώσεις που επέρχονται από τη μη ορθή διαχείριση των δεδομένων των χρηστών ΠΨΑ Ηνωμένου Βασιλείου, Η.Π.Α, Αυστραλίας Καθορίζονται με βάση τους πιθανούς κινδύνους που εμφανίζονται σε μια υπηρεσία ΠΨΑ Νέας Ζηλανδίας Τα θέματα αυθεντικοποίησης και εγγραφής δεν περιγράφονται αναλυτικά σε όλα τα πλαίσια Εξαιρούνται τα πλαίσια Ηνωμένου Βασιλείου και ΗΠΑ Οι διαδικασίες εγγραφής έχουν ως στόχο τη διασφάλιση της απαιτούμενης βεβαιότητας για την ορθότητα της ταυτότητας Οι διαδικασίες αυθεντικοποίησης ης έχουν ως κύριο στόχο τη διασφάλιση της απαιτούμενης βεβαιότητας για την ηλεκτρονική οντότητα που ισχυρίζεται ο πολίτης Επίτευξη του απαιτούμενου βαθμού βεβαιότητας για την ορθότητα των στοιχείων που προσκομίζει ή αποστέλλει ένας πολίτης

18 Σε οποιαδήποτε προσπάθεια ανάπτυξης ενός νέου Πλαισίου Ψηφιακής Αυθεντικοποίησης θα πρέπει Να προσδιορίζονται ρζ τα επιθυμητά επίπεδα εμπιστοσύνης Να υλοποιούνται σε συνδυασμό με τα αντίστοιχα επίπεδα αυθεντικοποίησης και εγγραφής Επίτευξη απαιτούμενου βαθμού βεβαιότητας για την Επίτευξη απαιτούμενου βαθμού βεβαιότητας για την ορθότητα των ηλεκτρονικών ταυτοτήτων

19 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

20 Βασικές παράμετροι για την αποτίμηση της επικινδυνότητας Ανάλυση των δυνητικών απειλών Ανάλυση των αρνητικών επιπτώσεων Τι σημαίνει «απειλή»: οποιαδήποτε πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσοτέρων ιδιοτήτων χαρακτηριστικών ασφάλειας ενός πληροφοριακού συστήματος Πηγές απειλών Κακόβουλες ενέργειες που προκαλούνται από εξωτερικές ή εσωτερικές οντότητες Σχεδιαστικά λάθη ή μη ηθελημένες ενέργειες

21 Συμβατικός τρόπος διεκπεραίωσης συναλλαγής με Δημόσια Διοίκηση Φυσική παρουσία του πολίτη Ταυτοποίηση Προσκόμιση του κατάλληλου εγγράφου Αυθεντικοποίηση (Διαφοροποιείται ανάλογα με το είδος της συναλλαγής και το Φορέα) ) Απειλές Χρήση πλαστών στοιχείων Απουσία ουσιαστικού ελέγχου από την πλευρά του δημόσιου υπαλλήλου Υπηρεσίες ηλεκτρονικής διακυβέρνησης Ευπάθειες στα πληροφοριακά συστήματα (λογισμικό, τοποθεσία κ.λ.π.) Ευπάθειες στις διαδικασίες δ εγγραφής, ταυτοποίησης και αυθεντικοποίησης Σκοπός κακόβουλου χρήστη/εισβολέα Μη εξουσιοδοτημένη η πρόσβαση (σε( πληροφορία, ρ, στην παρεχόμενη ρχμ υπηρεσία) ) Αντιποίηση αρχής (εξουσιοδοτημένου χρήστη, υπηρεσίας) Παραβίαση της ιδιωτικότητας και παράνομη πρόσβαση ή χρήση των δεδομένων προσωπικού χαρακτήρα Άρνηση παροχής υπηρεσίας

22 Υποκλοπή Διακριτικών Αυθεντικοποίησης (Μη εξουσιοδοτημένη Πρόσβαση, Παραβίαση Ιδιωτικότητας, Υποβολή Λανθασμένων Στοιχείων) Επιθέσεις ενδιάμεσου (Παραβίαση Ιδιωτικότητας, Υποβολή λανθασμένων στοιχείων) Υποκλοπή επικοινωνίας-δεδομένων (Παραβίαση Ιδιωτικότητας, Μη εξουσιοδοτημένη Πρόσβαση) Υποκλοπή Συνόδου (Μη εξουσιοδοτημένη Πρόσβαση) Επιθέσεις επανάληψης (Μη εξουσιοδοτημένη Πρόσβαση, Υποβολή λανθασμένων στοιχείων) Επιθέσεις πλαστοπροσωπίας (Μη εξουσιοδοτημένη Πρόσβαση) Επιθέσεις Πλημμύρας (Άρνηση πρόσβασης στην Υπηρεσία) Επιθέσεις τροποποίησης δεδομένων (Υποβολή Λανθασμένων Στοιχείων) Ιομορφικό λογισμικό (Άρνηση πρόσβασης στην Υπηρεσία) Υπερχειλίσεις προσωρινών χώρων (Άρνηση πρόσβασης στην Υπηρεσία, Μη εξουσιοδοτημένη Πρόσβαση) Μη εξουσιοδοτημένη είσοδος στο λειτουργικό σύστημα (Μη εξουσιοδοτημένη Πρόσβαση)

23 Αυθεντικοποίηση (authentication), η οποία σχετίζεται με το επίπεδο εμπιστοσύνης το οποίο οι συναλλασσόμενοι απαιτούν, σε σχέση με την ταυτότητα των εμπλεκομένων μερών. Εξουσιοδότηση (authorization), η οποία σχετίζεται με τα δικαιώματα που διαθέτει κάθε οντότητα, στο πλαίσιο μιας συναλλαγής. Ακεραιότητα (integrity) των δεδομένων, που αφορά στην απαίτηση περί μη τροποποίησης του περιεχομένου των μηνυμάτων κατά τη διάρκεια μιας συναλλαγής. Μη-αποποίηση (non-repudiation) αποστολής και λήψης δεδομένων, που αφορά στην παροχή στοιχείων, με βάση τα οποία μία οντότητα δε θα δύναται, κατ αρχάς, σε μεταγενέστερο χρόνο να αρνηθεί ότι έχει συμμετάσχει σε μία συγκεκριμένη ρμ ηλεκτρονική συναλλαγή. Υπηρεσίες διασφάλισης της Εμπιστευτικότητας (confidentiality) των ανταλλασσόμενων μηνυμάτων μ και γενικότερα της Ιδιωτικότητας (Privacy) των εμπλεκομένων οντοτήτων σε μία ηλεκτρονική συναλλαγή Άμεση ενημέρωση των υπολογιστών με τις νέες εκδοχές, τουλάχιστον σε ότι σχετίζεται με την ασφάλεια των υπολογιστικών συστημάτων (patches, ενημερώσεις ιών κτλ)

24 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

25 + Προσωποποίηση (Personalisation)

26 Η Υπάρχουσα Κατάσταση εξετάζεται με βάση τους παρακάτω τέσσερις ρςάξονες: Εγγραφή Χρηστών Ταυτοποίηση Χρηστών Αυθεντικοποίηση Χρηστών Προστασία Δεδομένων και Υπηρεσίες Ασφάλειας

27 Εγγραφή μέσω ηλεκτρονικών φορμών Κατοχή έγκυρης διεύθυνσης ηλεκτρονικού ταχυδρομείου Μέθοδος εγγραφής από το είδος της συναλλαγής και την κρισιμότητά της Προβλήματα Χρησιμοποίηση διαθέσιμων πληροφοριών από κακόβουλους χρήστες για εγγραφή (Εξαιρούνται τα Τραπεζικά Συστήματα) Είναι ανεξάρτητα του επιπέδου ολοκλήρωσης στο οποίο εντάσσεται η υπηρεσία Τρόποι αντιμετώπισης Διαβάθμιση στον τρόπο εγγραφής φύση και χαρακτηρισμός των δεδομένων που ανταλλάσσονται κρισιμότητα των συναλλαγών Η εγγραφή δεν πρέπει να γίνεται με βάση το επίπεδο ηλεκτρονικής ολοκλήρωσης της υπηρεσίας, αλλά σε συνδυασμό με το ορισμένο επίπεδο εμπιστοσύνης και το επίπεδο αυθεντικοποίησης

28 Ταυτοποίηση Χρήση μοναδικού αναγνωριστικού για την ταυτοποίηση Έκδοση από τον αντίστοιχο φορέα Δεν αποτελεί καθολικό μοναδικό αναγνωριστικό Αυθεντικοποίηση Χρηστών Αυθεντικοποίηση των χρηστών μέσω συνθηματικού Αντιστοίχιση με το όνομα του χρήστη Σε περίπτωση κάποιων υπηρεσιών ηλεκτρονικής τραπεζικής, αυθεντικοποίηση αξιοποίηση συνθηματικών μιας χρήσης Προστασία Δεδομένων & Υπηρεσίες Ασφάλειας Αξιοποίηση ξο οησητου πρωτοκόλλου ου SSL Ανεξάρτητα από την κρισιμότητα απειλών - κινδύνων Δεν αξιοποιούνται εναλλακτικοί μηχανισμοί ασφάλειας για την προστασία των δδ δεδομένων Παράδειγμα: ο προσωρινός κωδικός που εκδίδεται από την υπηρεσία του ΙΚΑ

29 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

30 Η αξιοποίηση υπηρεσιών ηλεκτρονικής διακυβέρνησης απαιτεί συλλογή και επεξεργασία προσωπικών δεδομένων Προϋποθέσεις και εγγυήσεις νομοθεσίας (ν. 2472/97) Προστασία, μη αποκάλυψη και δημοσιοποίηση προσωπικών δεδομένων Πληροφοριακή ιδιωτικότητα Ως ιδιωτικότητα ορίζεται η μη αποκάλυψη προσωπικών πληροφοριών σε μη εξουσιοδοτημένες οντότητες η οποία αποτελεί βασική παράμετρο της σχετικής νομοθεσίας που αναγνωρίζεται ρητά (άρθρο 10 ν.2472/97), ενώ η παραβίασή της τιμωρείται και με ποινικές κυρώσεις (άρθρο 22 4 ν. 2472/97) Η ί δδ έ δ ό ί βά Η κατηγοριοποίηση δεδομένων για ιδιωτικότητα γίνεται με βάση τα ιδιαίτερα χαρακτηριστικά των δεδομένων που αξιοποιούνται για τη διεκπεραίωση μιας συγκεκριμένης συναλλαγής ηλεκτρονικής διακυβέρνησης

31 Δημόσια Διαθέσιμα Δεδομένα (δημοσίως προσπελάσιμα και δεν περιέχουν προσωπικές πληροφορίες) Δεδομένα Προσωπικού Χαρακτήρα Στοιχεία για τον προσδιορισμό της ταυτότητας του προσώπου Οι προσωπικές πληροφορίες αφορούν και στις σχέσεις ενός προσώπου προς πρόσωπα ή πράγματα Ψυχικές καταστάσεις Σχέσεις προς το περιβάλλον (Περιουσιακή κατάσταση, επαγγελματική και οικονομική δραστηριότητα, οικογενειακή κατάσταση) Δεν λογίζονται γζ ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία Ευαίσθητα Δεδομένα (δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων)

32 Το επίπεδο ιδιωτικότητας θα πρέπει να συνδέεται με μια υπηρεσία ή συναλλαγή Ανεξαρτήτως του προσδιορισμένου επιπέδου αυθεντικοποίησης, εγγραφής και εμπιστοσύνης Το επίπεδο ιδιωτικότητας θα πρέπει να λαμβάνεται υπόψη στον καθορισμό των επιπέδων εμπιστοσύνης Επίπεδο ιδιωτικότητας 1 Υπηρεσίες που δεν απαιτούν την αξιοποίηση ή την ανταλλαγή κάποιων προσωπικών δεδομένων Δημόσια διαθέσιμες πληροφορίες από μία κυβερνητική διαδικτυακή πύλη Επίπεδο ιδιωτικότητας 2 Υπηρεσίες που απαιτούν την ανταλλαγή προσωπικών δεδομένων Έκδοση ενός δημόσιου εγγράφου Επίπεδο ιδιωτικότητας 3 Υπηρεσίες που απαιτούν την ανταλλαγή ευαίσθητων προσωπικών δεδομένων Ηλεκτρονική υποβολή της δήλωσης φορολογίας εισοδήματος Α Αίτηση για χορήγηση αντίγραφου πιστοποιητικού ποινικού μητρώου

33 Βασικές υποχρεώσεις της Δημόσιας Διοίκησης για χρήση δεδομένων προσωπικού χαρακτήρα Σαφής προσδιορισμός και διαχωρισμός των δεδομένων προσωπικού και στατιστικού χαρακτήρα Τα δεδομένα στατιστικού χαρακτήρα δεν οδηγούν σε προσδιορισμό της ταυτότητας των φυσικών προσώπων Διαδικασίες ανωνυμοποίησης/ ης πολλαπλής κωδικοποίησης ης Ενημέρωση των στελεχών για τις κατηγορίες των ευαίσθητων δεδομένων Π.χ. άλλο η φυλετική ή εθνική προέλευση (φυλετική ή εθνική μειονότητα = ευαίσθητα δεδομένα) και άλλο η ιθαγένεια (=απλά δεδομένα) Σε περίπτωση προσφυγής σε εξωτερικούς ιδιωτικούς φορείς για την αποθήκευση και πρόσβαση σε προσωπικά δεδομένα χρήστη: Όροι για τη συλλογή και επεξεργασία δεδομένων Ενιαίο πρότυπο συμβατικών όρων που θα προσδιορίζουν τις υποχρεώσεις των τρίτων ως προς τη συλλογή και χρήση προσωπικών δεδομένων Σαφής καθορισμός πολιτικών εφαρμογής των κανόνων προστασίας και των πολιτικών/μέτρων ασφάλειας

34 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

35 Η «εμπιστοσύνη», μ η ερμηνεύεται ως «η η πίστη στην αξιοπιστία, εντιμότητα, αξία ή ικανότητα κάποιας οντότητας» Η διάκριση σε επίπεδα εμπιστοσύνης εξασφαλίζει: Ελευθερία της πληροφόρησης και ενημέρωσης των πολιτών για θέματα δημόσιας διαβούλευσης Εκπλήρωση του δικαιώματος συμμετοχής στην κοινωνία της πληροφορίας Διαφύλαξη του δικαιώματος κάθε πολίτη για αποτελεσματική και ασφαλή διεκπεραίωση των συναλλαγών του με τους δημόσιους φορείς Διαφύλαξη και ορθή διαχείριση των προσωπικών δεδομένων κάθε πολίτη

36 Επίπεδο 0 Υπηρεσίες που αξιοποιούν δημόσια προσπελάσιμες πληροφορίες ρ και έχουν ως κύριο στόχο την πληροφόρηση των πολιτών γύρω από συγκεκριμένα θέματα Επίπεδο 1 Υπηρεσίες που απαιτούν ανταλλαγή δεδομένων μικρής ή ελάχιστης κρισιμότητας (Απαιτείται μικρός βαθμός βεβαιότητας για την ορθότητα της ηλεκτρονικής οντότητας του πολίτη & προτείνονται κάποια μέτρα ασφάλειας που έχουν ως στόχο την προστασία των δεδομένων που ανταλλάσσονται και την ελαχιστοποίηση της πιθανότητας εμφάνισης κάποιας απειλής) Επίπεδο 2 Υπηρεσίες που απαιτούν ανταλλαγή προσωπικών δεδομένων τα οποία δεν είναι χαρακτηρισμένα ως ευαίσθητα (Οι επιπτώσεις αφορούν στη δημοσιοποίηση προσωπικών στοιχείων, χωρίς τη γνώση ή έγκριση του χρήστη, είτε σε μη εξουσιοδοτημένα άτομα είτε στο ευρύ κοινό) Επίπεδο 3 Υπηρεσίες που απαιτούν ανταλλαγή είτε ευαίσθητων προσωπικών δδ δεδομένων, είτε υπηρεσίες ηλεκτρονικής ολοκλήρωσης λή επιπέδου 4, όπου ο χρήστης πραγματοποιεί και τις οικονομικές συναλλαγές που απαιτούνται ηλεκτρονικά

37 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

38 Θα πρέπει να συνταχθούν έντυπα για την παροχή και λήψη συγκατάθεσης, τα οποία θα δίδονται στους αιτούμενους την εγγραφή. Κατά την αίτηση για εγγραφή σε διάφορες υπηρεσίες θα πρέπει να καθίσταται σαφές στους αιτούντες, εάν και ποια δεδομένα είναι αναγκαία για την εγγραφή. Κατά την αίτηση για λήψη υπηρεσιών θα πρέπει να καθίσταται σαφές στους αιτούντες ποια και τι είδους δεδομένα είναι αναγκαία για την επεξεργασία και τη διεκπεραίωση της αίτησής τους Κατά την αίτηση θα πρέπει να γίνεται σαφής διαχωρισμός, τόσο στους αιτούντες όσο και στους χειριστές, μεταξύ των απαραίτητων δεδομένων και των δεδομένων, των οποίων η παροχή είναι προαιρετική Θα πρέπει να γίνεται διαχωρισμός των δεδομένων ταυτοποίησης και των δεδομένων που αφορούν το περιεχόμενο της αιτηθείσας ή παρεχόμενης πληροφορίας και υπηρεσίας

39 Ανεξάρτητα από τη συγκατάθεση, δηλ. ακόμη και εάν η παροχή δεδομένων προβλέπεται ρητά από διάταξη νόμου ως υποχρεωτική, θα πρέπει κατά την εγγραφή σε υπηρεσίες να ενημερώνονται οι αιτούντες σύμφωνα με το άρθρο 11 του ν. 2472/97 τουλάχιστον για την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του, το σκοπό της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και την ύπαρξη του δικαιώματος πρόσβασης Η ενημέρωση μπορεί να γίνει και ηλεκτρονικά, με γενική αναγραφή των σχετικών όρων στο δικτυακό τόπο. Στην περίπτωση αυτή θα πρέπει ο «τόπος» της ενημέρωσης να είναι εμφανής και να επισημαίνεται στον εγγραφόμενο - ηλεκτρονικά συναλλασσόμενο Θα πρέπει να επισημαίνεται στους χειριστές των αιτήσεων εγγραφής ή των αιτήσεων για ηλεκτρονική παροχή υπηρεσιών ότι τα προσωπικά δεδομένα θα πρέπει να είναι ακριβή και επικαιροποιημένα. Καθιέρωση χρονικού διαστήματος για έλεγχο επικαιροποιημένων στοιχείων (ανά έτος) Τα αρχεία-δεδομένα θα πρέπει να καταστρέφονται μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού. Για την καταστροφή θα πρέπει να ακολουθούνται οι οδηγίες της Αρχής Προστασίας Προσωπικών Δεδομένων που περιέχονται στη σχετική Οδηγία 1/2005 (

40 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

41 Με τον όρο ταυτοποίηση, υπό το πρίσμα του ΠΨΑ, νοείται η διαδικασία δήλωσης ταυτότητας από το χρήστη στις υπηρεσίες ηλεκτρονικής διακυβέρνησης βρη ης Προβλήματα Οι χρήστες-πολίτες αξιοποιούν διαφορετικού είδους «ταυτότητες» στις συναλλαγές τους με τη Δημόσια Διοίκηση Δημιουργούνται διαφορετικού είδους νομικοί, θεσμικοί και «τεχνικοί» περιορισμοί Με βάση το ΠΨΑ: Προτείνεται η ταυτοποίηση των χρηστών σε ηλεκτρονικές υπηρεσίες της δημόσιας διοίκησης μέσω της Κεντρικής Διαδικτυακής Πύλης (ΚΔΠ) με αξιοποίηση ξεχωριστών αναγνωριστικών των χρηστών ανά υπηρεσία Χρήση διαφορετικού αναγνωριστικού για το επίπεδο εμπιστοσύνης μίας υπηρεσίας Οι διαδικασίες της εγγραφής και της αυθεντικοποίησης πραγματοποιούνται στην ΚΔΠ Δεν απαιτείται να έχουν οι χρήστες προηγουμένως εγγραφεί στις ανεξάρτητες ηλεκτρονικές υπηρεσίες Ενδεχόμενη εγγραφή τους σε αυτές δε σχετίζεται με τη διαδικασία αυθεντικοποίησης στην ΚΔΠ (Δεν προκύπτει καμία απολύτως συσχέτιση)

42 Διαφορετικά αναγνωριστικά ανά φορέα Δημιουργία ψηφιακού φακέλου αναγνωριστικών ανά χρήστη Η αποθήκευση του κάθε αναγνωριστικού του χρήστη στην ΚΔΠ δεν είναι νόμιμο να είναι υποχρεωτική. Θα πρέπει να παρέχεται η δυνατότητα, σε κάθε επικοινωνία ο χρήστης να εισάγει εκ νέου τα αναγνωριστικά του ώστε να αποφεύγεται η τήρησή τους από την ΚΔΠ. Η επιλογή, περί τήρησης ή μη των αναγνωριστικών από την ΚΔΠ, θα πρέπει να είναι του χρήστη και να δηλώνεται στη φάση της αρχικής εγγραφής, με τις προϋποθέσεις που ορίζει ο Ν. 2472/97.

43 Πλεονεκτήματα Η συγκεκριμένη υλοποίηση συμμορφώνεται πλήρως με το ισχύον νομοθετικό πλαίσιο Αναιρεί την οποιαδήποτε απαίτηση περί ύπαρξης πολλαπλών σημείων αυθεντικοποίησης του χρήστη Δεν απαιτεί την έκδοση πολλαπλών διαπιστευτηρίων ή τήρησής τους στην ΚΔΠ Επιτρέπει την υποστήριξη υπηρεσιών διαλειτουργικότητας, μέσω της ΚΔΠ, μεταξύ διαφορετικών υπηρεσιών, όπου αυτό είναι επιθυμητό Μειονεκτήματα Δημιουργία συνόδων μεταξύ της ΚΔΠ και του εξυπηρετητή της υπηρεσίας κάθε φορέα Απαιτείται η ανάπτυξη συγκεκριμένου λεπτομερούς πλαισίου για τον η ξη γ ρμ μρ ς γ έλεγχο (auditing) των παρεχόμενων υπηρεσιών από την ΚΔΠ

44 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

45 Με τον όρο εγγραφή μιας οντότητας σε μια υπηρεσία ορίζεται το σύνολο των διαδικασιών μέσω των οποίων η οντότητα εκδηλώνει ενδιαφέρον χρήσης μιας συγκεκριμένης ηλεκτρονικής υπηρεσίας και παρέχει όλα τα στοιχεία που απαιτούνται για την έγκριση του δικαιώματος αυτού Τύποι Οντοτήτων Φυσικά Πρόσωπα Νομικά Πρόσωπα Ιδιωτικού Δικαίου (ΝΠΙΔ) Νομικά Πρόσωπα Δημοσίου Δικαίου (ΝΠΔΔ)

46 Πιθανόν να απαιτείται η προσκόμιση συγκεκριμένων δημόσιων εγγράφων/πιστοποιητικών, δηλαδή να έχουν εκδοθεί από: Τις αρχές της νομοθετικής, εκτελεστικής και δικαστικής εξουσίας του κράτους Τις δημόσιες υπηρεσίες, νομικά πρόσωπα δημόσιου δικαίου και οργανισμούς τοπικής αυτοδιοίκησης Τους οργανισμούς και τις επιχειρήσεις κοινής ωφέλειας Τα νομικά πρόσωπα ιδιωτικού δικαίου, που τελούν υπό την εποπτεία του κράτους και ανήκουν στο δημόσιο τομέα Συμβολαιογράφους και υποθηκοφυλακεία Ληξιαρχεία Τις ελληνικές κοινότητες και τα ιδρύματα του εξωτερικού, όπως εκπαιδευτικά, φιλανθρωπικά, εκκλησιαστικά, πολιτιστικά Τα δημόσια εκπαιδευτικά ιδρύματα της χώρας, όλων των βαθμίδων εκπαίδευσης Τους διεθνείς οργανισμούς Υπηρεσίες ξένων κρατών εγκατεστημένες στην ελληνική επικράτεια

47 Με τον όρο αυθεντικοποίηση νοείται η διαδικασία πιστοποίησης και επιβεβαίωσης της ταυτότητας των χρηστών, η οποία σε κάθε περίπτωση βασίζεται στα διαπιστευτήρια που κατέχει ο χρήστης. Αναγνωρίζεται ρζ και επιβεβαιώνεται ββ η ορθότητα της ταυτότητας ενός χρήστη ή κάποιων χαρακτηριστικών της Είναι ανεξάρτητη με την παροχή εξουσιοδότησης (authorization) στους προσφερόμενους πληροφοριακούς πόρους Στις υπηρεσίες ηλεκτρονικής διακυβέρνησης θα πρέπει να υποστηρίζονται εναλλακτικοί τρόποι αυθεντικοποίησης Με βάση τη βεβαιότητα που απαιτείται για την ορθότητα της ηλεκτρονικής ταυτότητας μιας οντότητας Προσδιορισμός ρ του επιπέδου εμπιστοσύνης Δυνατότητα πρόσβασης σε υπηρεσίες χαμηλότερου επιπέδου με την αξιοποίηση ισχυρότερων διακριτικών 3 επίπεδα αυθεντικοποίησης

48 Κατηγοριοποίηση η η με βάση τη μέθοδο η οποία αξιοποιείται για την πιστοποίηση της ταυτότητας ενός χρήστη: Κάτι που γνωρίζει (something known) ο χρήστης (συνθηματικό) Κάτι που κατέχει (something possessed) ο χρήστης (έξυπνη κάρτα) Κάποιο χαρακτηριστικό γνώρισμα (something inherent) (βιομετρικές μέθοδοι) Συνδυασμός κάποιων εκ των ανωτέρω χαρακτηριστικών γνωρισμάτων Αξιοποιούν δύο τύπους κλειδιών: Μυστικά κλειδιά Συνθηματικά, κωδικοί και συμμετρικά κλειδιά Ασύμμετρα κλειδιά δά Ζεύγη κλειδιών

49 ΠΛΑΙΣΙΟ ΨΗΦΙΑΚΗΣ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ

50 Κατηγοριοποίηση Δεδομένων Προσδιορισμός Επιπέδου εμπιστοσύνης Προσδιορισμός δεδομένων που επεξεργάζεται η υπηρεσία Κατάταξη σε: Απλά Οικονομικά Ευαίσθητα Προσδιορισμός επιπέδου εμπιστοσύνης Συσχετισμός Επιπέδων Εμπιστοσύνης, Αυθεντικοποίησης και Εγγραφής

51 Εγγραφή σε Υπηρεσία Αρχική Εγγραφή Αίτηση χρήστη για αξιοποίηση νέας υπηρεσίας Χρήση Υπηρεσίας Ανάκληση η Εγγραφής Υπηρεσίας

52 ...για ταυτοποίηση και αυθεντικοποίηση από την ΚΔΠ Βήματα ολοκλήρωσης εγγραφής Επιλογή της υπηρεσίας Υποβολή ηλεκτρονικής αίτησης στο Διαδικτυακό τόπο της ΚΔΠ Ηλεκτρονική υποβολή ή απευθείας κατάθεση των απαιτουμένων δικαιολογητικών για την ολοκλήρωση της εγγραφής Με βάση το επίπεδο εμπιστοσύνης Μετά τον απαραίτητο έλεγχο, παραλαβή των αντίστοιχων διακριτικών αυθεντικοποίησης Με βάση το επίπεδο εμπιστοσύνης είτε ηλεκτρονικά είτε με φυσική παρουσία Δυνατότητα για ταυτόχρονη εγγραφή σε περισσότερες από μία υπηρεσίες Επιλογή έκδοσης Μόνο του «ισχυροτέρου» διαπιστευτηρίου αυθεντικοποίησης Ένα διακριτικό αυθεντικοποίησης, ανά επίπεδο εμπιστοσύνης

53 ΑΙΤΗΣΗ ΧΡΗΣΤΗ ΓΙΑ ΑΞΙΟΠΟΙΗΣΗ ΝΕΑΣ ΥΠΗΡΕΣΙΑΣ Βήματα ολοκλήρωσης εγγραφής (Επιλογή της νέας υπηρεσίας στο Διαδικτυακό τόπο της ΚΔΠ, Υποβολή ηλεκτρονικής αίτησης, Ηλεκτρονική υποβολή ή απευθείας κατάθεση των απαιτουμένων δικαιολογητικών, Χρήση υπαρχόντων διακριτικών αυθεντικοποίησης (κατόπιν ενεργοποίησης) ή έκδοση νέων) Ομοίως, όπως προηγουμένως δυνατότητα επιλογής έκδοσης διαπιστευτηρίου αυθεντικοποίησης ο ΧΡΗΣΗ ΤΗΣ ΥΠΗΡΕΣΙΑΣ: Εφόσον είναι επιτυχής η διαδικασία εγγραφής Απαιτούμενες ενέργειες (Επίσκεψη στο Διαδικτυακό τόπο της ΚΔΠ, Εισαγωγή του απαιτούμενου για την ταυτοποίηση αναγνωριστικού και για την αυθεντικοποίηση διακριτικού, Επιλογή της υπηρεσίας για εγγραφή, Επιβεβαίωση της πρόθεσης για ανάκληση της χρήσης της ηλεκτρονικής υπηρεσίας) ) Βήματα (Επίσκεψη στο Διαδικτυακό τόπο της ΚΔΠ, Επιλογή της ηλεκτρονικής υπηρεσίας, Εισαγωγή του απαιτούμενου για την ταυτοποίηση αναγνωριστικού και για την αυθεντικοποίηση διακριτικού)