Τεχνολογίες ιασφάλισης Ιδιωτικότητας

Transcript

1 ΤΕΧΝΟΛΟΓΙΕΣ ΙΑΣΦΑΛΙΣΗΣ Ι ΙΩΤΙΚΟΤΗΤΑΣ Μάθηµα: Τεχνολογίες ιασφάλισης Ιδιωτικότητας Πλαίσιο Ψηφιακής Αυθεντικοποίησης ιδάσκων:αναπλ. Καθ. Κ. Λαµπρινουδάκης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 1 Χρησιµότητα του ΠΨΑ Θέσπιση κανόνων και οδηγιών για την ιεράρχηση της κρισιµότητας κάθε ηλεκτρονικής υπηρεσίας Επιλογή των µηχανισµών αυθεντικοποίησης µε τρόπο σαφή, απλό, µεθοδικό και καλά τεκµηριωµένο Εναρµόνιση µε το ισχύον νοµικό και κανονιστικό πλαίσιο για την προστασία των προσωπικών και ευαίσθητων προσωπικών δεδοµένων, καθώς και στην προστασία της ιδιωτικότητας του πολίτη. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 2 1

2 Οφέλη του ΠΨΑ (1/2) Για τους φορείς της ηµόσιας ιοίκησης Βελτίωση της ασφάλειας των ηλεκτρονικών συναλλαγών Εφαρµογή της «αρχής της αναλογικότητας» κατά τη διαδικασία επιλογής των µηχανισµών αυθεντικοποίησης Προστασία των δεδοµένων που διακινούνται Συµµόρφωση µε τις διατάξεις του νοµικού και κανονιστικού πλαισίου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 3 Οφέλη του ΠΨΑ (2/2) Για τους αναδόχους έργων ανάπτυξης ηλεκτρονικών υπηρεσιών υνατότητα για δηµιουργία νέων προϊόντων και εφαρµογών Ανταπόκριση σε ένα σύνολο κοινών προδιαγραφών αυθεντικοποίησης για όλα τα έργα Για τους Πολίτες/Επιχειρήσεις Ασφάλεια συναλλαγών Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 4 2

3 Περιεχόµενα του ΠΨΑ Παροχή κανόνων και οδηγιών για Κατηγοριοποίηση των δεδοµένων που επεξεργάζονται οι ηλεκτρονικές υπηρεσίες σε «Απλά», «Οικονοµικά» ή «Ευαίσθητα» Ν. 2472/97 για την προστασία του ατόµου από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα Καθορισµός «επιπέδων εµπιστοσύνης»για τις ηλεκτρονικές υπηρεσίες Συσχέτιση κάθε επιπέδου εµπιστοσύνης µε κατάλληλα «επίπεδα αυθεντικοποίησης» Συσχέτιση κάθε επιπέδου εµπιστοσύνης µε τις κατάλληλες «διαδικασίες εγγραφής» των χρηστών στην υπηρεσία. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 5 Βασικά βήµατα Οι Φορείς πρέπει: Να προσδιορίσουν το επίπεδο εµπιστοσύνηςστο οποίο εντάσσεται η υπηρεσία, αφού πρώτα προσδιορίσουν επακριβώς τις κατηγορίες δεδοµένων που αξιοποιούνται. Ανάλογα µε το επίπεδο εµπιστοσύνης και ακολουθώντας τις συστάσεις του παρόντος ΠΨΑ να επιλέξουν τον κατάλληλο µηχανισµό αυθεντικοποίησης. Ανάλογα µε το επίπεδο εµπιστοσύνης και ακολουθώντας τις συστάσεις του παρόντος ΠΨΑ, να υιοθετήσουν τις απαραίτητες διαδικασίες εγγραφής των χρηστών. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 6 3

4 Πεδίο Εφαρµογής του Πλαισίου Κυβερνητικοί Οργανισµοί Ευρύτερος ηµόσιος Τοµέας Υπηρεσίες G2G Περιφέρειες Υπηρεσίες G2G Υπουργεία Υπηρεσίες G2B Υπηρεσίες G2G Ν. 2527/97, άρθρο 1 Υπηρεσίες G2G Επιχειρήσεις Ιδιωτικός Τοµέας Νοµαρχίες Υπηρεσίες G2C ήµοι Ελληνική ηµόσια ιοίκηση Πολίτες Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 7 Γενική Αρχιτεκτονική ΠΨΑ Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 8 4

5 Βασικές Έννοιες (1/4) Πλαίσιο Ψηφιακής Αυθεντικοποίησης Το σύνολο των απαιτουµένων διαδικασιών αναφορικά µε (α) την εγγραφή (β) την ταυτοποίηση και (γ) την αυθεντικοποίηση Απαιτήσεις Ασφάλειας Οι ιδιότητες-χαρακτηριστικά ασφάλειας (Ιδιωτικότητα, Εµπιστευτικότητα, Ακεραιότητα, Αυθεντικοποίηση) οι οποίες απαιτείται να διασφαλίζονται κατά την παροχή µιας ηλεκτρονικής υπηρεσίας Ιδιωτικότητα Μη αποκάλυψη προσωπικών πληροφοριών σε µη εξουσιοδοτηµένες οντότητες Εµπιστευτικότητα ιαδικασία διασφάλισης µη εξουσιοδοτηµένης αποκάλυψης των δεδοµένων που αξιοποιούνται κατά τη διεκπεραίωση µιας συναλλαγής Ακεραιότητα εδοµένων ιαδικασία διασφάλισης µη εξουσιοδοτηµένης τροποποίησης των δεδοµένων που αξιοποιούνται κατά τη διεκπεραίωση µιας συναλλαγής Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 9 Βασικές Έννοιες (2/4) Αυθεντικοποίηση ιαδικασία πιστοποίησης και επιβεβαίωσης της ταυτότητας των χρηστών ιαπιστευτήρια-μηχανισµός Αυθεντικοποίησης Τα εχέγγυα που παρουσιάζει µια οντότητα προκειµένου να αποδείξει τη γνησιότητα ενός ισχυρισµού Επίπεδο Εµπιστοσύνης Βαθµός βεβαιότητας στην αξιοπιστία, εντιµότητα, αξία ή ικανότητα κάποιας οντότητας Εγγραφή Οντότητας Το σύνολο των διαδικασιών µέσω των οποίων η οντότητα εκδηλώνει ενδιαφέρον χρήσης µιας συγκεκριµένης ηλεκτρονικής υπηρεσίας και παρέχει τα απαιτούµενα στοιχεία για τη λήψη του δικαιώµατος αυτού Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 10 5

6 Βασικές Έννοιες (3/4) Επίπεδο Εγγραφής Ένταξη σε συγκεκριµένο σύνολο διαδικασιών που ακολουθούνται για τη συλλογή των απαιτούµενων στοιχείων και την πιστοποίηση της ορθότητας Επίπεδο Αυθεντικοποίησης Ένταξη σε συγκεκριµένου τύπου διαπιστευτήρια για την τεκµηρίωση της εγκυρότητας της ταυτότητας µιας οντότητας Ηλεκτρονική Ταυτότητα Η ταυτότητα που αξιοποιεί ο χρήστης για την αναγνώριση του σε µια ηλεκτρονική υπηρεσία Ταυτοποίηση ιαδικασία δήλωσης ταυτότητας από το χρήστη στις υπηρεσίες ηλεκτρονικής διακυβέρνησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 11 Βασικές Έννοιες (4/4) Απλά εδοµένα Πληροφορίες που είναι δηµοσίως προσπελάσιµες και δεν περιέχονται σε αυτές προσωπικά δεδοµένα Προσωπικά εδοµένα Πληροφορίες που αναφέρονται στο υποκείµενο των δεδοµένων (άρθρο 2α σε συνδυασµό µε άρθρο 2γ του ν. 2472/97) Ευαίσθητα εδοµένα Πληροφορίες που αναφέρονται στο υποκείµενο των δεδοµένων (άρθρο 2α σε συνδυασµό µε άρθρο 2β του ν. 2472/97) Αρχή Εγγραφής Αποτελεί την οντότητα που είναι υπεύθυνη για τη συλλογή των απαιτούµενων στοιχείων και την πιστοποίηση της ταυτότητας µιας οντότητας που αιτείται εγγραφής σε κάποια ηλεκτρονική υπηρεσία Αρχή Πιστοποίησης Αποτελεί την οντότητα εκείνη που αναλαµβάνει την τεχνική διαχείριση των ψηφιακών πιστοποιητικών για ολόκληρο των κύκλο ζωή τους Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 12 6

7 Φράσεις-Κλειδιά Ενδεικτικά των Επιπέδων Κατάταξης Φράσεις-κλειδιά, σύµφωνα µε την ερµηνεία που έχει δοθεί από το Internet Engineering Task Force (IETF) Request For Comments (RFC) 2119 συµπληρώνουν τα επίπεδα συµµόρφωσης. ΠΡΕΠΕΙ ΝΑ, ΑΠΑΙΤΕΙΤΑΙ ΝΑ και ΘΑ ΠΡΕΠΕΙ ΝΑ Πρότυπα Υποχρεωτικά Απόλυτη απαίτηση του Πλαισίου. ΕΝ ΠΡΕΠΕΙ ΝΑ και ΕΝ ΘΑ ΠΡΕΠΕΙ ΝΑ Πρότυπα Υποχρεωτικά Αυστηρή απαγόρευση της προδιαγραφής. ΠΡΟΤΕΙΝΕΤΑΙ ΝΑ, ΣΥΝΙΣΤΑΤΑΙ ΝΑ, ΥΝΑΤΑΙ ΝΑ και ΠΡΟΑΙΡΕΤΙΚΑ Πρότυπα Προαιρετικά Παράληψη αθέτηση µιας προδιαγραφής ΕΝ ΠΡΟΤΕΙΝΕΤΑΙ ΝΑ και ΕΝ ΣΥΝΙΣΤΑΤΑΙ ΝΑ Πρότυπα Προαιρετικά Ανοικτό το ενδεχόµενο της υιοθέτησης µιας συµπεριφοράς που δεν συνιστάται σε µεµονωµένες περιπτώσεις ΜΕΛΕΤΑΤΑΙ ΝΑ Πρότυπα Υπό ιαµόρφωση προδιαγραφές προς ενσωµάτωση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 13 Ανάλυση απειλών και επιπτώσεις Αποτίµηση της επικινδυνότητας Ανάλυση των δυνητικών απειλών Ανάλυση των αρνητικών επιπτώσεων Τι σηµαίνει «απειλή» οποιαδήποτε πιθανή ενέργεια ή ένα γεγονός που µπορεί να προκαλέσει την απώλεια ενός ή περισσοτέρων ιδιοτήτων-χαρακτηριστικών ασφάλειας ενός πληροφοριακού συστήµατος Πηγή απειλών Κακόβουλες ενέργειες που προκαλούνται από εξωτερικές ή εσωτερικές οντότητες Σχεδιαστικά λάθη ή µη ηθεληµένες ενέργειες Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 14 7

8 Εξαιρέσεις από το ΠΨΑ Απαιτείται η διεξαγωγή ολοκληρωµένης µελέτης αποτίµησης επικινδυνότητας Μεθοδολογικά εκπονείται στο πλαίσιο ενός απολύτως συγκεκριµένου και καλά περιγραµµένου συστήµατος Πληθώρα παραµέτρων δεν είναι δυνατό να γενικευθούν εν είναι δυνατό να ληφθούν υπόψη σε γενικού χαρακτήρα ανάλυση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 15 Κατηγορίες Απειλών - Γενικά (1/2) Συµβατικός τρόπος διεκπεραίωσης συναλλαγής µε ηµόσια ιοίκηση Φυσική παρουσία του πολίτη Ταυτοποίηση Προσκόµιση του κατάλληλου εγγράφου Αυθεντικοποίηση ιαφοροποιείται ανάλογα µε το είδος της συναλλαγής και το Φορέα Απειλές Χρήση πλαστών στοιχείων Απουσία ουσιαστικού ελέγχου από την πλευρά του δηµόσιου υπαλλήλου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 16 8

9 Κατηγορίες Απειλών Γενικά (2/2) Υπηρεσίες ηλεκτρονικής διακυβέρνησης Ευπάθειες στα πληροφοριακά συστήµατα (λογισµικό, τοποθεσία κ.λ.π.) Ευπάθειες στις διαδικασίες εγγραφής, ταυτοποίησης και αυθεντικοποίησης Σκοπός κακόβουλου χρήστη/εισβολέα Μη εξουσιοδοτηµένη πρόσβαση Αντιποίηση αρχής Παραβίαση της ιδιωτικότητας και παράνοµη πρόσβαση ή χρήση των δεδοµένων προσωπικού χαρακτήρα Άρνηση παροχής υπηρεσίας Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 17 Πιθανές Επιθέσεις Επιθέσεις αξιοποίησης λεξικών Επιθέσεις εξαντλητικής αναζήτησης Επιθέσεις τυχαίων δοκιµών Υποκλοπή κατά τη µετάδοση των διαπιστευτηρίων Υποκλοπή µε την αξιοποίηση ιοµορφικού λογισµικού (trojan horses, key loggers, spywares) Επιθέσεις κοινωνικής µηχανικής (social engineering) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 18 9

10 Απειλές στα Πρωτόκολλα Αυθεντικοποίησης και στις Παρεχόµενες υπηρεσίες (1/4) Ενεργές / παθητικές απειλές ιαφοροποίηση στη διαδικασία εκτέλεσης ανάλογα µε την υπηρεσία ή το πρωτόκολλο αυθεντικοποίησης Υποκλοπή επικοινωνίας-δεδοµένων (eavesdropping): Ο επιτιθέµενος παρακολουθεί το δίκτυο για να καταγράψει τα µεταδιδόµενα δεδοµένα µε δύο βασικούς στόχους: την υποκλοπή δεδοµένων την ανάλυση των δεδοµένων και την αξιοποίησή τους σε µελλοντική επίθεση Παράδειγµα: Α Β Υποκλοπή σηµάτων Μορς στο β Παγκόσµιο Πόλεµο, καφάο δικτύου ΟΤΕ Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 19 Απειλές στα Πρωτόκολλα Αυθεντικοποίησης και στις Παρεχόµενες υπηρεσίες (2/4) Επιθέσεις ενδιάµεσου (man-in-the-middle attacks) Ο επιτιθέµενος ενεργεί ως ενδιάµεσος τροποποιώντας κατάλληλα τα αποστελλόµενα µηνύµατα, προωθώντας τα στη συνέχεια στα θύµατά του, χωρίς αυτό να γίνεται αντιληπτό Παράδειγµα: Ιστοσελίδες Τραπεζών Α Υποκλοπή Συνόδου (session hijacking) Ο επιτιθέµενος αξιοποιεί δεδοµένα προηγούµενης έγκυρης συνόδου για µη εξουσιοδοτηµένη πρόσβαση αποκτώντας τον έλεγχο της νέας συνόδου που πραγµατοποιείται Παράδειγµα: Χρήση Β Α Β Β Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 20 10

11 Απειλές στα Πρωτόκολλα Αυθεντικοποίησης και στις Παρεχόµενες υπηρεσίες (3/4) Επιθέσεις επανάληψης (replay attacks) Ο επιτιθέµενος αξιοποιεί τα δεδοµένα αυθεντικοποίησης σε µεταγενέστερο χρόνο για να επιτύχει πρόσβαση ως νόµιµος χρήστης Παρόµοια µε Υποκλοπή Συνόδου Επιθέσεις πλαστοπροσωπίας (impersonation attacks) Ο επιτιθέµενος έχει επιτύχει µη εξουσιοδοτηµένη πρόσβαση σε κάποιο από τα διακριτικά αυθεντικοποίησης του νόµιµου χρήστη Παράδειγµα: Πιστωτικές κάρτες µέσω Internet Επιθέσεις πληµµύρας (flooding attacks) Ο επιτιθέµενος προσπαθεί να δηµιουργήσει σηµαντικό υπολογιστικό φόρτο Αναίτια κατανάλωση των υπολογιστικών πόρων του συστήµατος για άρνηση παροχής υπηρεσίας (denial of service) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 21 Απειλές στα Πρωτόκολλα Αυθεντικοποίησης και στις Παρεχόµενες υπηρεσίες (4/4) Επιθέσεις τροποποίησης δεδοµένων Μη εξουσιοδοτηµένη τροποποίηση των δεδοµένων µιας συναλλαγής Τροποποίηση αποθηκευµένων δεδοµένων Έγχυση κακόβουλου κώδικα (injection attacks) στα δεδοµένα Παράδειγµα: Κατάργηση κωδικού ασφάλειας και αλλαγή στοιχειών σε ένα υπολογιστή/βάση δεδοµένων Επιθέσεις απόκρυψης ταυτότητας (spoofing) Ο επιτιθέµενος καθιστά εφικτή την απόκρυψη της αληθινής του ταυτότητας αξιοποιώντας την ταυτότητα κάποιας άλλης εξουσιοδοτηµένης οντότητας Παράδειγµα: Χρήση ψευδούς ονόµατος Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 22 11

12 Απειλές κατά τη διαδικασία εγγραφής Πλαστοπροσωπία (Impersonation) Αποποίηση Εγγραφής (registration repudiation) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 23 Άλλες Απειλές Ιοµορφικό λογισµικό (viral software) Εκτέλεση κακόβουλου κώδικα Υπερχειλίσεις προσωρινών χώρων (buffer overflow) Τροποποίηση της ροής εκτέλεσης της εφαρµογής Μη εξουσιοδοτηµένη είσοδος στο λειτουργικό σύστηµα Λαθεµένη πρόσβαση σε εµπιστευτικές πληροφορίες και εξουσιοδότηση για εκτέλεση ενεργειών Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 24 12

13 Πιθανές Επιπτώσεις Απειλών-Κινδύνων (1/3) Υποκλοπή ιακριτικών Αυθεντικοποίησης Μη εξουσιοδοτηµένη Πρόσβαση Παραβίαση Ιδιωτικότητας Υποβολή Λανθασµένων Στοιχείων Επιθέσεις ενδιάµεσου Παραβίαση Ιδιωτικότητας Υποβολή λανθασµένων στοιχείων Υποκλοπή επικοινωνίας-δεδοµένων Παραβίαση Ιδιωτικότητας Μη εξουσιοδοτηµένη Πρόσβαση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 25 Πιθανές Επιπτώσεις Απειλών-Κινδύνων (2/3) Υποκλοπή Συνόδου Μη εξουσιοδοτηµένη Πρόσβαση Επιθέσεις επανάληψη Μη εξουσιοδοτηµένη Πρόσβαση Υποβολή λανθασµένων στοιχείων Επιθέσεις πλαστοπροσωπίας Μη εξουσιοδοτηµένη Πρόσβαση Επιθέσεις Πληµµύρας Άρνηση πρόσβασης στην Υπηρεσία Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 26 13

14 Πιθανές Επιπτώσεις Απειλών-Κινδύνων (3/3) Επιθέσεις τροποποίησης δεδοµένων Υποβολή Λανθασµένων Στοιχείων Ιοµορφικό λογισµικό Άρνηση πρόσβασης στην Υπηρεσία Υπερχειλίσεις προσωρινών χώρων Άρνηση πρόσβασης στην Υπηρεσία Μη εξουσιοδοτηµένη Πρόσβαση Μη εξουσιοδοτηµένη είσοδος στο λειτουργικό σύστηµα Μη εξουσιοδοτηµένη Πρόσβαση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 27 Τρόποι Αντιµετώπισης και Ελαχιστοποίησης των Απειλών και Κινδύνων (1/2) Αυθεντικοποίηση (authentication) Επίπεδο εµπιστοσύνης για συναλλαγή Εξουσιοδότηση (authorization) ικαιώµατα πρόσβασης Ακεραιότητα (integrity) Μη τροποποίηση περιεχοµένου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 28 14

15 Τρόποι Αντιµετώπισης και Ελαχιστοποίησης των Απειλών και Κινδύνων (2/2) Μη-αποποίηση (non-repudiation) αποστολής και λήψης δεδοµένων Υπηρεσίες διασφάλισης της Εµπιστευτικότητας (confidentiality) και Ιδιωτικότητας (Privacy) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 29 Ελαχιστοποίηση Απειλών ιακριτικών Αυθεντικοποίησης Αξιοποίηση Ασφαλών Συνθηµατικών Ασφαλής αποθήκευσή τους και όχι σε µη κρυπτογραφηµένη µορφή Ασφαλής µετάδοση των διαπιστευτηρίων κατά τη διαδικασία αυθεντικοποίησης Περιορισµός έγκυρων προσπαθειών υποβολής συνθηµατικού Τακτική αλλαγή του συνθηµατικού από το χρήστη ιατήρηση διακριτικών αυθεντικοποίησης σε ασφαλή µέρη Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 30 15

16 Ελαχιστοποίηση Απειλών στα Πρωτόκολλα Αυθεντικοποίησης και στις Παρεχόµενες υπηρεσίες (1/2) Υποκλοπή επικοινωνίας-δεδοµένων ιασφάλιση Εµπιστευτικότητας Επιθέσεις Ενδιάµεσου Αξιοποίηση µηχανισµών ασφάλειας (SSL) Επιθέσεις Επανάληψης και υποκλοπές Συνόδων Μη επεξεργασία δεδοµένων από προηγούµενες συνόδους Κρυπτογραφηµένη µορφή κρίσιµων δεδοµένων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 31 Ελαχιστοποίηση Απειλών στα Πρωτόκολλα Αυθεντικοποίησης και στις Παρεχόµενες υπηρεσίες (2/2) Επιθέσεις πλαστοπροσωπίας Μη αποκάλυψη δεδοµένων που µπορεί να οδηγήσουν στην επίτευξη επιθέσεων πλαστοπροσωπίας (πρωτόκολλο Kerberos) Επιθέσεις πληµµύρας ύσκολο να ελαχιστοποιηθούν, αλλά µπορούν να ανιχνευθούν Αξιοποίηση κατάλληλων µηχανισµών (MULTOPS, ανάλυσης φάσµατος, στατιστικές µεθόδους, υλοποιήσεις µε υλικό από συγκεκριµένους κατασκευαστές) Επιθέσεις τροποποίησης δεδοµένων Αξιοποίηση κατάλληλων µηχανισµών ακεραιότητας Επιθέσεις απόκρυψης ταυτότητας Αξιοποίηση κατάλληλων µηχανισµών φιλτραρίσµατος Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 32 16

17 Ελαχιστοποίηση και Τρόποι Αντιµετώπισης των Απειλών κατά τη διαδικασία εγγραφής Η υπηρεσία εγγραφής θα πρέπει: Να ταυτοποιεί και να αυθεντικοποιεί τις οντότητες που αιτούνται εγγραφής Να είναι αυστηρή και ακριβής κατά τον έλεγχο της ορθότητας των υποβληθέντων δικαιολογητικών και στοιχείων ώστε να είναι δυνατή η ανίχνευση ψευδών δικαιολογητικών Να αξιοποιεί διαδικασίες καταγραφής όλων των ενεργειών που πραγµατοποιούνται από την υπηρεσία εγγραφής Αποφυγή αποποίησης εγγραφής Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 33 Ελαχιστοποίηση και Τρόποι Αντιµετώπισης άλλων απειλών Άµεση ενηµέρωση των υπολογιστών µε τις νέες εκδοχές, τουλάχιστον σε ότι σχετίζεται µε την ασφάλεια των υπολογιστικών συστηµάτων (patches, ενηµερώσεις ιών κτλ) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 34 17

18 Επίπεδα ιαθεσιµότητας Υπηρεσιών Ηλεκτρονικής ιακυβέρνησης + Προσωποποίηση (Personalisation) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 35 Καταγραφή υπάρχουσας κατάστασης Για τις πιο συχνά χρησιµοποιούµενεςυπηρεσίες µηχανισµούς που αξιοποιούνται ανά υπηρεσία για την εγγραφή των χρηστών για την Αυθεντικοποίηση των χρηστών επίπεδο ηλεκτρονικής ολοκλήρωσης στο οποίο κατατάσσεται κάθε υπηρεσία Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 36 18

19 Υφιστάµενη Κατάσταση Ηλεκτρονικών Υπηρεσιών (1/2) είγµα υπηρεσιών για Υπουργείο Οικονοµικών ΙΚΑ Εθνικό Τυπογραφείο ΟΑΕ Υπηρεσίες µέσω ΚΕΠ εν πρέπει υπάρχει συσχέτιση επιπέδου ηλεκτρονικής ολοκλήρωσης και µηχανισµού αυθεντικοποίησης Επίπεδο Ολοκλήρωσης 3 Επίπεδο Ολοκλήρωσης User Name User Name/Password εν Απαιτείται Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 37 Υφιστάµενη Κατάσταση Ηλεκτρονικών Υπηρεσιών (2/2) Η εγγραφή των χρηστών πραγµατοποιείται µέσω κατάλληλης ηλεκτρονικής φόρµας Συµπληρώνεται από το χρήστη Αποστέλλεται στο φορέα-πάροχο της ηλεκτρονικής υπηρεσίας Πιστοποιεί την ορθότητα των υποβληθέντων στοιχείων του χρήστη Παρέχεται πρόσβαση στο χρήστη Εκδίδονται τα απαραίτητα διαπιστευτήρια Η διαδικασία εγγραφής µέσω της ηλεκτρονικής φόρµας διαφοροποιείται από φορέα σε φορέα Taxisnet vsικα Oι Φορείς αποστέλλουν τα διαπιστευτήρια µέσω ηλεκτρονικού ταχυδροµείου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 38 19

20 εδοµένα Συναλλαγών (1/2) Πληροφοριακά εδοµένα Ανακοινώσεις Προκηρύξεις ιατάξεις και Κανονισµοί Αιτήσεις Οικονοµικά εδοµένα Φορολογική ήλωση Φορολογική Ενηµερότητα ήλωση ΦΠΑ Πληρωµή ΦΠΑ ήλωση στοιχείων οχηµάτων Έλεγχος ορθότητας στοιχείων Ι.Χ Οχηµάτων Υποβολή τροποποιητικών δηλώσεων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 39 εδοµένα Συναλλαγών (2/2) Ασφαλιστικά εδοµένα Βεβαίωση Ασφαλιστικής Ενηµερότητας Ηλεκτρονική Υποβολή Α.Π.. Επιβεβαίωση Εγκυρότητας Ασφαλιστικής Ενηµερότητας εδοµένα εργαζοµένων Αναζήτηση Ανέργων Αναζήτηση θέσεων εργασίας Βεβαιώσεις Πολιτών Πιστοποιητικά Πιστοποιητικό οικογενειακής κατάστασης Πιστοποιητικό γέννησης Αντίγραφο ποινικού µητρώου εδοµένα αυθεντικοποίησης Συνθηµατικό ιαπιστευτήρια Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 40 20

21 Υπάρχουσα Κατάσταση υπηρεσιών στον ιδιωτικό τοµέα (1/2) Εγγραφή σε υπηρεσίες που προσφέρονται από Τραπεζικά Συστήµατα Φυσική παρουσία σε κατάστηµα της τράπεζας Αίτηση εγγραφής Άµεση ταυτοποίηση και έγκριση εγγραφής Έκδοση αναγνωριστικού χρήστη Αποστολή ταχυδροµικώς του διακριτικού αυθεντικοποίησης Αξιοποίηση διαθέσιµης ηλεκτρονικής φόρµας στο ιαδικτυακό τόπο της τράπεζας Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 41 Υπάρχουσα Κατάσταση υπηρεσιών στον ιδιωτικό τοµέα (2/2) ιακριτικά αυθεντικοποίησης Συνθηµατικά Συνθηµατικά µιας χρήσης Αξιοποίηση SSL Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 42 21

22 Συµπεράσµατα Υπάρχουσας Κατάστασης Εγγραφή Χρηστών Ταυτοποίηση Χρηστών Αυθεντικοποίηση Χρηστών Προστασία εδοµένων και Υπηρεσίες Ασφάλειας Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 43 Συµπεράσµατα για την Εγγραφή Χρηστών (1/2) Εγγραφή µέσω ηλεκτρονικών φορµών Κατοχή έγκυρης διεύθυνσης ηλεκτρονικού ταχυδροµείου Μέθοδος εγγραφής από το είδος της συναλλαγής και την κρισιµότητά της Προβλήµατα Χρησιµοποίηση διαθέσιµων πληροφοριών από κακόβουλους χρήστες για εγγραφή Εξαιρούνται τα Τραπεζικά Συστήµατα Είναι ανεξάρτητα του επιπέδου ολοκλήρωσης στο οποίο εντάσσεται η υπηρεσία Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 44 22

23 Συµπεράσµατα για την Εγγραφή Χρηστών (2/2) Τρόποι αντιµετώπισης ιαβάθµιση στον τρόπο εγγραφής φύση και χαρακτηρισµό των δεδοµένων που ανταλλάσσονται κρισιµότητα των συναλλαγών Η εγγραφή δεν πρέπεινα γίνεται µε βάση το επίπεδο ηλεκτρονικής ολοκλήρωσηςτης υπηρεσίας, αλλάσε συνδυασµό µε το ορισµένο επίπεδο εµπιστοσύνης και το επίπεδο αυθεντικοποίησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 45 Συµπεράσµατα για την Ταυτοποίηση Χρηστών Χρήση µοναδικού αναγνωριστικού για την ταυτοποίηση Έκδοση από τον αντίστοιχο φορέα εν αποτελεί καθολικό µοναδικό αναγνωριστικό Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 46 23

24 Συµπεράσµατα για την Αυθεντικοποίηση Χρηστών Αυθεντικοποίηση των χρηστών µέσω συνθηµατικού Αντιστοίχιση µε το όνοµα του χρήστη Κατά περίπτωση αξιοποίηση συνθηµατικών µιας χρήσης Τραπεζικά Συστήµατα Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 47 Συµπεράσµατα για την προστασία εδοµένων & Υπηρεσίες Ασφάλειας Αξιοποίηση του πρωτοκόλλου SSL Ανεξάρτητα από την κρισιµότητα απειλών -κινδύνων εν αξιοποιούνται εναλλακτικοί µηχανισµοί ασφάλειας για την προστασία των δεδοµένων Παράδειγµα: ο προσωρινός κωδικός που εκδίδεται από ΙΚΑ Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 48 24

25 Μηχανισµοί Ασφάλειας στο ηµόσιο Τοµέα Ταυτοποίηση Αναγνωριστικό Υπηρεσίας Τρόπος Εγγραφής (εναλλακτικά) Αξιοποίηση Ηλεκτρονικής Φόρµας εν απαιτείται εγγραφή Τρόπος Αυθεντικοποίησης Χρήστη (εναλλακτικά) Συνθηµατικό Username/password Αναγνωριστικό Υπηρεσίας εν απαιτείται αυθεντικοποίηση ιασφαλίζονται Ακεραιότητα Εµπιστευτικότητα Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 49 Προσδιορισµός Ιδιωτικότητας Συλλογή και επεξεργασία προσωπικών δεδοµένων Προϋποθέσεις και εγγυήσεις νοµοθεσίας (ν. 2472/97 και ν.3471/2006) Προστασία, µη αποκάλυψη και δηµοσιοποίηση προσωπικών δεδοµένων Πληροφοριακή ιδιωτικότητα Ως ιδιωτικότητα ορίζεται η µη αποκάλυψη προσωπικών πληροφοριών σε µη εξουσιοδοτηµένες οντότητες η οποία αποτελεί βασική παράµετρο της σχετικής νοµοθεσίας που αναγνωρίζεται ρητά (άρθρο 10 ν.2472/97), ενώ η παραβίασή της τιµωρείται και µε ποινικές κυρώσεις (άρθρο 22 4 ν. 2472/97) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 50 25

26 Κατηγοριοποίηση εδοµένων για Ιδιωτικότητα Με βάση τα ιδιαίτερα χαρακτηριστικά των δεδοµένων που αξιοποιούνται για τη διεκπεραίωση µιας συγκεκριµένης συναλλαγής ηλεκτρονικής διακυβέρνησης ηµόσια ιαθέσιµα εδοµένα Προσωπικά εδοµένα Ευαίσθητα εδοµένα Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 51 εδοµένα προσωπικού χαρακτήρα (1/2) Ως δεδοµένα προσωπικού χαρακτήρα ή προσωπικά δεδοµένα νοείται κάθε πληροφορία που αναφέρεται στο υποκείµενο των δεδοµένων, δηλ. στο φυσικό πρόσωπο, στο οποίο αναφέρονται τα δεδοµένα και του οποίου η ταυτότητα είναι γνωστή ή µπορεί να εξακριβωθεί, δηλαδή µπορεί να προσδιορισθεί αµέσως ή εµµέσως, ιδίως βάσει αριθµού ταυτότητας ή βάσει ενός η περισσότερων συγκεκριµένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονοµική, πολιτιστική, πολιτική ή κοινωνική (άρθρο 2α σε συνδυασµό µε άρθρο 2 γ του ν. 2472/97). Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 52 26

27 εδοµένα προσωπικού χαρακτήρα (2/2) Λογίζονται ως δεδοµένα προσωπικού χαρακτήρα Στοιχεία για τον προσδιορισµό της ταυτότητας του προσώπου Οι προσωπικές πληροφορίες αφορούν και στις σχέσεις ενός προσώπου προς πρόσωπα ή πράγµατα Ψυχικές καταστάσεις Σχέσεις προς το περιβάλλον Περιουσιακή κατάσταση, επαγγελµατική και οικονοµική δραστηριότητα, οικογενειακή κατάσταση ενλογίζονται ως δεδοµένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 53 Ευαίσθητα εδοµένα Ως ευαίσθητα προσδιορίζονται σαφώς στο νόµο (άρθρο 2β του ν. 2472/97, όπως ισχύει) τα δεδοµένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήµατα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συµµετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά µε ποινικές διώξεις ή καταδίκες, καθώς και στη συµµετοχή σε συναφείς µε τα ανωτέρω ενώσεις προσώπων. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 54 27

28 ιασφάλιση της Ιδιωτικότητας (1/2) Βασικές υποχρεώσεις της ηµόσιας ιοίκησης για χρήση δεδοµένων προσωπικού χαρακτήρα Σαφής προσδιορισµός και διαχωρισµός των δεδοµένων προσωπικού και στατιστικού χαρακτήρα Τα δεδοµένα στατιστικού χαρακτήρα δεν οδηγούν σε προσδιορισµό της ταυτότητας των φυσικών προσώπων ιαδικασίες ανωνυµοποίησης/ πολλαπλής κωδικοποίησης Ενηµέρωση των στελεχών για τις κατηγορίες των ευαίσθητων δεδοµένων Π.χ. άλλο η φυλετική ή εθνική προέλευση (φυλετική ή εθνική µειονότητα = ευαίσθητα δεδοµένα) και άλλο η ιθαγένεια (=απλά δεδοµένα) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 55 ιασφάλιση της Ιδιωτικότητας (2/2) Σε περίπτωση προσφυγής σε εξωτερικούς ιδιωτικούς φορείς για την αποθήκευση και πρόσβαση σε προσωπικά δεδοµένα χρήστη: Όροι για τη συλλογή και επεξεργασία δεδοµένων Ενιαίο πρότυπο συµβατικών όρων που θα προσδιορίζουν τις υποχρεώσεις των τρίτων ως προς τη συλλογή και χρήση προσωπικών δεδοµένων Σαφής καθορισµός πολιτικών εφαρµογής των κανόνων προστασίας και των πολιτικών/µέτρων ασφάλειας Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 56 28

29 Επίπεδα Εµπιστοσύνης - Γενικά Τα δεδοµένα που αξιοποιούνται από τις υπηρεσίες ηλεκτρονικής διακυβέρνησης µπορούν να κατηγοριοποιηθούν, ως προς το βαθµό κρισιµότητάς τους Προσωπικά δεδοµένα Ευαίσθητα δεδοµένα προσωπικού χαρακτήρα Οικονοµικά δεδοµένα Τα οικονοµικά δεδοµένα που δεν καλύπτονται από το φορολογικό απόρρητο εντάσσονται στα προσωπικά δεδοµένα. Ο καθορισµός του βαθµού κρισιµότητας εξαρτάται από τις επιπτώσεις Για το χρήστη ή / και το φορέα που προσφέρει την υπηρεσία, λόγω της αποκάλυψης ή «παράνοµης και αθέµιτης» χρήσης των δεδοµένων Την ιδιωτικότητα του ατόµου Εκτίµηση της πιθανότητας επέλευσης βλάβης Αποκάλυψη Εµπιστευτικών εδοµένων Μη εξουσιοδοτηµένη τροποποίηση Μη διαθεσιµότητα εδοµένων Αποποίηση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 57 Στόχοι διάκρισης επιπέδων εµπιστοσύνης Ελευθερία της πληροφόρησης και ενηµέρωσης των πολιτών για θέµατα δηµόσιας διαβούλευσης Εκπλήρωση του δικαιώµατος συµµετοχής στην κοινωνία της πληροφορίας ιαφύλαξη του δικαιώµατος κάθε πολίτη για αποτελεσµατική και ασφαλή διεκπεραίωση των συναλλαγών του µε τους δηµόσιους φορείς ιαφύλαξη και ορθή διαχείριση των προσωπικών δεδοµένων κάθε πολίτη Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 58 29

30 Προσδιορισµός Επιπέδων Εµπιστοσύνης (1/2) Η «εµπιστοσύνη», ερµηνεύεται ως «η πίστη στην αξιοπιστία, εντιµότητα, αξία ή ικανότητα κάποιας οντότητας» Επίπεδο εµπιστοσύνης είναι o βαθµός βεβαιότητας ως προς την ορθότητα Της ηλεκτρονικής οντότητας Των δεδοµένων Αξιοποίηση κατάλληλων µηχανισµών ασφάλειας για την προστασία των δεδοµένων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 59 Προσδιορισµός Επιπέδων Εµπιστοσύνης (2/2) Το επίπεδο εµπιστοσύνης διαµορφώνεται ανάλογα µε Την αξία των συναλλαγών Την κρισιµότητα των δεδοµένων που χρησιµοποιούνται Των άµεσων ή έµµεσων επιπτώσεων που µπορεί να προκύψουν από την εκδήλωση επιθέσεων Την επιρροή του θεσµικού πλαισίου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 60 30

31 Επίπεδα Εµπιστοσύνης (1/2) Επίπεδο 0 Αξιοποίηση δηµόσιας προσπελάσιµης πληροφορίας Απαιτήσεις ασφάλειας ιαθεσιµότητα και Αυθεντικότητα υπηρεσίας Ακεραιότητα του παρεχόµενου πληροφοριακού υλικού Επίπεδο 1 Υπηρεσίες που απαιτούν ανταλλαγή δεδοµένων µικρής ή ελάχιστης κρισιµότητας Απαιτήσεις ασφάλειας Ορθότητα ηλεκτρονικής οντότητας πολίτη Μικρής κλίµακας προστασία των δεδοµένων που ανταλλάσσονται Αυθεντικότητα υπηρεσίας Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 61 Επίπεδα Εµπιστοσύνης (2/2) Επίπεδο 2 Υπηρεσίες που απαιτούν ανταλλαγή προσωπικών δεδοµένων (όχι ευαίσθητα) Απαιτήσεις ασφάλειας Εµπιστευτικότητα και Ακεραιότητα των δεδοµένων ταυτοποίησης, των διαπιστευτηρίων του χρήστη και των δεδοµένων που ανταλλάσσονται Αυθεντικότητα υπηρεσίας Μη αποποίηση αποστολής και λήψης δεδοµένων Επίπεδο 3 Υπηρεσίες που απαιτούν ανταλλαγή είτε ευαίσθητων προσωπικών δεδοµένων, είτε υπηρεσίες ηλεκτρονικής ολοκλήρωσης επιπέδου 4, όπου ο χρήστης πραγµατοποιεί και τις οικονοµικές συναλλαγές που απαιτούνται ηλεκτρονικά Απαιτήσεις ασφάλειας Όπως στο Επίπεδο Εµπιστοσύνης 2 και επιπλέον Υπηρεσίες εποπτείας (auditing) Χρονοσήµανση των ενεργειών Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 62 31

32 Προστασία Προσώπων Ποια η νοµική βάση της επεξεργασίας προσωπικών δεδοµένων Εφαρµογή των γενικών αρχών επεξεργασίας ιαδικαστικές προϋποθέσεις νοµιµότητας της επεξεργασίας ικαιώµατα των προσώπων στο είδος και την έκταση των δεδοµένων προσωπικού χαρακτήρα που επιτρέπεται να υφίστανται επεξεργασία Η νοµοθεσία για την προστασία του ατόµου από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα βρίσκει εφαρµογή αποκλειστικάστην επεξεργασία δεδοµένων φυσικών προσώπων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 63 Τα δικαιώµατα των προσώπων (1/2) Άρθρα του Ν. 2472/97 Ενηµέρωση των προσώπων για τη συλλογή και παραγωγή δεδοµένων που συνεπάγονται οι διαδικασίες της ταυτοποίησης και αυθεντικοποίησης, µε τρόπο πρόσφορο και σαφή για τα ακόλουθα: Την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του Το σκοπό της επεξεργασίας Τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδοµένων Την ύπαρξη του δικαιώµατος πρόσβασης Ενηµέρωση για την υποχρέωση ή µη παροχής των στοιχείων καθώς και για τις συνέπειες µη παροχής υποχρεωτικών στοιχείων. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 64 32

33 Τα δικαιώµατα των προσώπων (1/2) Ο νόµος δεν προσδιορίζει τους ειδικότερους τρόπους της ενηµέρωσης Προφορικά Ηλεκτρονικά Γενική αναγραφή των σχετικών όρων στο δικτυακό τόπο Εξειδικευµένα προς το συναλλασσόµενο µε τη διοίκηση ικαιώµατα πρόσβασης, διόρθωσης και αντίρρησης όπως στα άρθρα 12 και 13 του ν. 2472/97 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 65 Συµµόρφωση µε διαδικαστικές προϋποθέσεις (1/4) Ο ν. 2472/97 έχει εισαγάγει σύστηµα γνωστοποίησης των αρχείων και επεξεργασίας δεδοµένων προσωπικού χαρακτήρα (άρθρο 6). Γνωστοποίηση στην Αρχή Προστασίας Προσωπικών εδοµένων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 66 33

34 Συµµόρφωση µε διαδικαστικές προϋποθέσεις (2/4) Ονοµατεπώνυµο / επωνυµία / τίτλος / διεύθυνση Τοποθεσία όπου είναι εγκατεστηµένο το αρχείο ή ο κύριος εξοπλισµός που υποστηρίζει την επεξεργασία Περιγραφή του σκοπού της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο. Το είδος των δεδοµένων προσωπικού χαρακτήρα που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο. Το χρονικό διάστηµα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο. Τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδοµένα προσωπικού χαρακτήρα. Τις ενδεχόµενες διαβιβάσεις και το σκοπό της διαβίβασης δεδοµένων προσωπικού χαρακτήρα σε τρίτες χώρες. Τα βασικά χαρακτηριστικά του συστήµατος και των µέτρων ασφαλείας του αρχείου ή της επεξεργασίας. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 67 Συµµόρφωση µε διαδικαστικές προϋποθέσεις (3/4) Πρότερη γνωστοποίηση και αίτηση προς την Αρχή Προστασίας Προσωπικών εδοµένων για παροχή σχετικής άδειας (άρθρο 7 ν. 2472/97) Περιλαµβάνεται και η διασύνδεση αρχείων, που απαιτείται εάν Ένα τουλάχιστον από τα αρχεία που πρόκειται να διασυνδεθούν περιέχει ευαίσθητα δεδοµένα Με τη διασύνδεση πρόκειται να αποκαλυφθούν ευαίσθητα δεδοµένα Για την πραγµατοποίηση της διασύνδεσης πρόκειται να γίνει χρήση ίδιου (ενιαίου) κωδικού αριθµού. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 68 34

35 Συµµόρφωση µε διαδικαστικές προϋποθέσεις (4/4) Το κανονιστικό πλαίσιο που αφορά την επεξεργασία προσωπικών δεδοµένων κρίνεται επαρκές Εξειδικεύσεις µπορούν να προκύψουν κατά την εφαρµογή των αρχών της αναλογικότητας και του σκοπού Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 69 Υποχρεώσεις και ενέργειες της ηµόσιας ιοίκησης (1/4) Έντυπα για παροχή και λήψη συγκατάθεσης Καθορισµός απαιτούµενων δεδοµένων για την εγγραφή Καθορισµός απαιτούµενων δεδοµένων για την επεξεργασία και τη διεκπεραίωση αίτησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 70 35

36 Υποχρεώσεις και ενέργειες της ηµόσιας ιοίκησης (2/4) ιάκριση απαιτούµενων και προαιρετικών δεδοµένων κατά την αίτηση ιαχωρισµός των δεδοµένων ταυτοποίησης και των δεδοµένων που αφορούν το περιεχόµενο της αιτηθείσας ή παρεχόµενης πληροφορίας και υπηρεσίας Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 71 Υποχρεώσεις και ενέργειες της ηµόσιας ιοίκησης (3/4) Τήρηση άρθρου 11 του ν. 2472/97 Υποχρεωτική ενηµέρωση κατά την εγγραφή Γενική αναγραφή των σχετικών όρων στο δικτυακό τόπο Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 72 36

37 Υποχρεώσεις και ενέργειες της ηµόσιας ιοίκησης (4/4) Ακριβή και επικαιροποιηµένα προσωπικά δεδοµένα από τους χειριστές Καθιέρωση χρονικού διαστήµατος για έλεγχο επικαιροποιηµένων στοιχείων (ανά έτος;) Υποχρέωση διαγραφής/καταστροφής δεδοµένων µη αναγκαίων για την εκπλήρωση ενός σκοπού Τα αρχεία-δεδοµένα θα πρέπει να καταστρέφονται µετά το πέρας της περιόδου που απαιτείται για την πραγµατοποίηση του σκοπού. Για την καταστροφή θα πρέπει να ακολουθούνται οι οδηγίες της Αρχής Προστασίας Προσωπικών εδοµένων (ΑΠΠ ) που περιέχονται στη σχετική Οδηγία 1/2005 ( Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 73 ιαδικαστικές ενέργειες έναντι ΑΠΠ Γνωστοποίηση για τη συλλογή και επεξεργασία ευαίσθητων δεδοµένων Αίτηση για άδεια στην περίπτωση της επεξεργασίας ευαίσθητων δεδοµένων Αίτηση για άδεια διασύνδεσης εφόσον γίνεται διασύνδεση αρχείων, εκ των οποίων έστω το ένα περιλαµβάνει ευαίσθητα ή γίνεται χρήση ενιαίου κωδικού αριθµού Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 74 37

38 Ταυτοποίηση - Ορισµός Με τον όρο ταυτοποίηση, υπό το πρίσµα του ΠΨΑ, νοείται η διαδικασία δήλωσης ταυτότητας από το χρήστη στις υπηρεσίες ηλεκτρονικής διακυβέρνησης Προβλήµατα Οι χρήστες-πολίτες αξιοποιούν διαφορετικού είδους «ταυτότητες» στις συναλλαγές τους µε τη ηµόσια ιοίκηση ηµιουργούνται διαφορετικού είδους νοµικοί, θεσµικοί και «τεχνικοί» περιορισµοί Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 75 Ταυτοποίηση µε βάση το ΠΨΑ (1/2) Προτείνεται η ταυτοποίηση των χρηστών σε ηλεκτρονικές υπηρεσίες της δηµόσιας διοίκησης µέσω της Κεντρικής ιαδικτυακής Πύλης (Κ Π) µε αξιοποίηση ξεχωριστών αναγνωριστικών των χρηστών ανά υπηρεσία Χρήση διαφορετικού αναγνωριστικού για το επίπεδο εµπιστοσύνης µίας υπηρεσίας Οι διαδικασίες της εγγραφής και της αυθεντικοποίησης πραγµατοποιούνται στην Κ Π εν απαιτείται να έχουν οι χρήστες προηγουµένως εγγραφεί στις ανεξάρτητες ηλεκτρονικές υπηρεσίες Ενδεχόµενη εγγραφή τους σε αυτές δε σχετίζεται µε τη διαδικασία αυθεντικοποίησης στην Κ Π εν προκύπτει καµία απολύτως συσχέτιση Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 76 38

39 Ταυτοποίηση µε βάση το ΠΨΑ (2/2) ιαφορετικά αναγνωριστικά ανά φορέα ηµιουργία ψηφιακού φακέλου αναγνωριστικών ανά χρήστη Η αποθήκευση του κάθε αναγνωριστικού του χρήστη στην Κ Π δεν είναι νόµιµο να είναι υποχρεωτική. Θα πρέπει να παρέχεται η δυνατότητα, σε κάθε επικοινωνία ο χρήστης να εισάγει εκ νέου τα αναγνωριστικά του ώστε να αποφεύγεται η τήρησή τους από την Κ Π. Η επιλογή, περί τήρησης ή µη των αναγνωριστικών από την Κ Π, θα πρέπει να είναι του χρήστη και να δηλώνεται στη φάση της αρχικής εγγραφής, µε τις προϋποθέσεις που ορίζει ο Ν. 2472/97. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 77 Μη αποθήκευση αναγνωριστικών από Κ Π Πλεονεκτήµατα Πλήρης συµµόρφωση µε ισχύον νοµοθετικό πλαίσιο Καµία απαίτηση για πολλαπλά σηµεία αυθεντικοποίησης Υποστήριξη υπηρεσιών διαλειτουργικότητας Μειονεκτήµατα ηµιουργία συνόδων µεταξύ Κ Π και εξυπηρετητή της υπηρεσίας Υψηλής αξιοπιστίας Μεγάλης διαθεσιµότητας Ανάπτυξη πλαισίου για τον έλεγχο (auditing) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 78 39

40 Υποχρεώσεις Φορέα προς Κ Π Για κάθε νέα ηλεκτρονική υπηρεσία η Κ Π ενηµερώνεται για: Το Αναγνωριστικό Το Επίπεδο Εµπιστοσύνης Το Επίπεδο Αυθεντικοποίησης Επίπεδο Εµπιστοσύνης Μηχανισµό αυθεντικοποίησης στις περιπτώσεις ύπαρξης εναλλακτικών επιλογών Το Επίπεδο Εγγραφής Το ιακριτικό Αυθεντικοποίησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 79 Περιγραφή Λειτουργίας (1/2) Οικοδόµηση σχέσης εµπιστοσύνης Ανταλλαγή ενός διακριτικού (token) ηµιουργία ενός Εικονικού Ιδιωτικού ικτύου (Virtual Private Network) Υπηρεσίες µη αποποίησης αποστολής και λήψης µηνύµατος Υπηρεσίες χρονοσήµανσης Εγγραφή πολίτη στην Κ Π Συµπληρώνεται αίτηση εγγραφής Επιλέγονται µία προς µία οι ηλεκτρονικές υπηρεσίες που επιθυµεί να χρησιµοποιήσει ηλώνονται τα µοναδικά αναγνωριστικά που αντιστοιχούν στις υπηρεσίες Ο πολίτης δηλώνει αν επιθυµεί, ανά παρεχόµενη υπηρεσία, να αποθηκευθεί στην Κ Π το ανά περίπτωση απαιτούµενο αναγνωριστικό Χρήση ηλεκτρονικής υπηρεσίας από την Κ Π H Κ Π ενηµερώνει το χρήστη για τα διαπιστευτήρια που απαιτούνται Ο χρήστης εισάγει τα διαπιστευτήριά του και εφόσον το αποτέλεσµα του σχετικού ελέγχου είναι θετικό, µπορεί να κάνει πλέον χρήση της αιτούµενης υπηρεσίας. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 80 40

41 Περιγραφή Λειτουργίας (2/2) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 81 Χρήση Υπηρεσίας Επιπέδου Εµπιστοσύνης 0 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 82 41

42 Χρήση Υπηρεσίας Επιπέδου Εµπιστοσύνης 1 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 83 Χρήση Υπηρεσίας Επιπέδου Εµπιστοσύνης 2 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 84 42

43 Χρήση Υπηρεσίας Επιπέδου Εµπιστοσύνης 3 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 85 Αποτίµηση Πλεονεκτήµατα Η συγκεκριµένη υλοποίηση συµµορφώνεται πλήρως µε το ισχύον νοµοθετικό πλαίσιο Αναιρεί την οποιαδήποτε απαίτηση περί ύπαρξης πολλαπλών σηµείων αυθεντικοποίησης του χρήστη εν απαιτεί την έκδοση πολλαπλών διαπιστευτηρίων ή τήρησής τους στην Κ Π. Επιτρέπει την υποστήριξη υπηρεσιών διαλειτουργικότητας, µέσω της Κ Π, µεταξύ διαφορετικών υπηρεσιών, όπου αυτό είναι επιθυµητό Μειονεκτήµατα ηµιουργία συνόδων µεταξύ της Κ Π και του εξυπηρετητή της υπηρεσίας κάθε φορέα Απαιτείται η ανάπτυξη συγκεκριµένου λεπτοµερούς πλαισίου για τον έλεγχο (auditing) των παρεχόµενων υπηρεσιών από την Κ Π Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 86 43

44 Αυθεντικοποίηση - Ορισµός Με τον όρο αυθεντικοποίηση νοείται η διαδικασία πιστοποίησης και επιβεβαίωσης της ταυτότητας των χρηστών, η οποία σε κάθε περίπτωση βασίζεται στα διαπιστευτήρια που κατέχει ο χρήστης. Αναγνωρίζεται και επιβεβαιώνεται η ορθότητα της ταυτότητας ενός χρήστη ή κάποιων χαρακτηριστικών της Είναι ανεξάρτητη µε την παροχή εξουσιοδότησης (authorization) στους προσφερόµενους πληροφοριακούς πόρους Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 87 Μηχανισµοί Αυθεντικοποίησης (1/2) Κατηγοριοποίηση µε βάση τη µέθοδο η οποία αξιοποιείται για την πιστοποίηση της ταυτότητας ενός χρήστη: Κάτι που γνωρίζει (something known) ο χρήστης (συνθηµατικό) Κάτι που κατέχει (something possessed) ο χρήστης (έξυπνη κάρτα) Κάποιο χαρακτηριστικό γνώρισµα (something inherent) (βιοµετρικές µέθοδοι) Συνδυασµός κάποιων εκ των ανωτέρω χαρακτηριστικών γνωρισµάτων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 88 44

45 Μηχανισµοί Αυθεντικοποίησης (2/2) Αξιοποιούν δύο τύπους κλειδιών: Μυστικά κλειδιά Συνθηµατικά, κωδικοί και συµµετρικά κλειδιά Ασύµµετρα κλειδιά Ζεύγη κλειδιών Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 89 ιακριτικά Αυθεντικοποίησης Συνθηµατικά ιακριτικά συνθηµατικών µιας χρήσης (one time password tokens) ιακριτικά Χαλαρής και Σκληρής Αποθήκευσης (soft/hard tokens) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 90 45

46 Απαιτήσεις Αυθεντικοποίησης Εναλλακτικοί τρόποι αυθεντικοποίησης Με βάση τη βεβαιότητα που απαιτείται για την ορθότητα της ηλεκτρονικής ταυτότητας µιας οντότητας Προσδιορισµός του επιπέδου εµπιστοσύνης υνατότητα πρόσβασης σε υπηρεσίες χαµηλότερου επιπέδου µε την αξιοποίηση ισχυρότερων διακριτικών 3 επίπεδα αυθεντικοποίησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 91 Επίπεδο Αυθεντικοποίησης 0 Πρόσβαση στις δηµόσιες πληροφορίες Συσχετισµός µε επίπεδο εµπιστοσύνης Επίπεδο εµπιστοσύνης 0 Προτεινόµενος µηχανισµός αυθεντικοποίησης εν απαιτείται µηχανισµός αυθεντικοποίησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 92 46

47 Επίπεδο Αυθεντικοποίησης 1 Παροχή αιτήσεων για off-lineεπεξεργασία και πραγµατοποίηση της συναλλαγής µε το φορέα σε φυσικό επίπεδο Συσχετισµός µε επίπεδο εµπιστοσύνης Επίπεδα εµπιστοσύνης 1 και 2 Προτεινόµενος µηχανισµός αυθεντικοποίησης Συνθηµατικά και συνθηµατικά µιας χρήσης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 93 Επίπεδο Αυθεντικοποίησης 2 (1/2) Επεξεργασία ευαίσθητων προσωπικών δεδοµένων και διενέργεια οικονοµικών συναλλαγών Συσχετισµός µε επίπεδο εµπιστοσύνης Επίπεδο εµπιστοσύνης 3 Προτεινόµενος µηχανισµός αυθεντικοποίησης Ψηφιακά πιστοποιητικά που θα εκδίδονται από την κατάλληλη Υποδοµή ηµόσιου Κλειδιού (PKI) Αξιοποίηση διακριτικών χαλαρής ή σκληρής αποθήκευσης Στόχος είναι να µη δηµιουργηθούν έµµεσα προϋποθέσεις αποκλεισµού Υψηλό το κόστος έκδοσης διακριτικών σκληρής αποθήκευσης ιαφορετικό επίπεδο προστασίας Προσοχή στην περίπτωση διακριτικών χαλαρής αποθήκευσης για τις ψηφιακές υπογραφές (Π.. 150/2001) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 94 47

48 Συσχέτιση Επίπεδου Εµπιστοσύνης & Επιπέδου Αυθεντικοποίησης Επίπεδο Εµπιστοσύνης Επίπεδο Aυθεντικοποίησης 0 0 1, Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 95 Εγγραφή - Ορισµός Με τον όρο εγγραφή µιας οντότητας σε µια υπηρεσία ορίζεται το σύνολο των διαδικασιών µέσω των οποίων η οντότητα εκδηλώνει ενδιαφέρον χρήσης µιας συγκεκριµένης ηλεκτρονικής υπηρεσίας και παρέχει όλα τα στοιχεία που απαιτούνται για την έγκριση του δικαιώµατος αυτού Τύποι Οντοτήτων Φυσικά Πρόσωπα Νοµικά Πρόσωπα Ιδιωτικού ικαίου (ΝΠΙ ) Νοµικά Πρόσωπα ηµοσίου ικαίου (ΝΠ ) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 96 48

49 Τρόπος Εγγραφής Φυσικών Προσώπων Πιθανόν να απαιτείται η προσκόµιση συγκεκριµένων δηµόσιων εγγράφων/πιστοποιητικών, δηλαδή να έχουν εκδοθεί από: Τις αρχές της νοµοθετικής, εκτελεστικής και δικαστικής εξουσίας του κράτους Τις δηµόσιες υπηρεσίες, νοµικά πρόσωπα δηµόσιου δικαίου και οργανισµούς τοπικής αυτοδιοίκησης Τους οργανισµούς και τις επιχειρήσεις κοινής ωφέλειας Τα νοµικά πρόσωπα ιδιωτικού δικαίου, που τελούν υπό την εποπτεία του κράτους και ανήκουν στο δηµόσιο τοµέα Συµβολαιογράφους και υποθηκοφυλακεία Ληξιαρχεία Τις ελληνικές κοινότητες και τα ιδρύµατα του εξωτερικού, όπως εκπαιδευτικά, φιλανθρωπικά, εκκλησιαστικά, πολιτιστικά Τα δηµόσια εκπαιδευτικά ιδρύµατα της χώρας, όλων των βαθµίδων εκπαίδευσης Τους διεθνείς οργανισµούς Υπηρεσίες ξένων κρατών εγκατεστηµένες στην ελληνική επικράτεια Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 97 Επίπεδο Εγγραφής 0 ιαδικασία Εγγραφής εν απαιτείται κάποια συγκεκριµένη διαδικασία εγγραφής Απαιτήσεις ασφάλειας εν υπάρχουν απαιτήσεις ασφάλειας Συσχετισµός µε Επίπεδο Αυθεντικοποίησης Επίπεδο Αυθεντικοποίησης 0 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 98 49

50 Επίπεδο Εγγραφής 1 (1/2) ιαδικασία Εγγραφής Ηλεκτρονική συµπλήρωση αίτησης Ηλεκτρονική αποστολή στην Αρχή Εγγραφής Έλεγχος από τον Αρµόδιο Φορέα αναφορικά µε: την εγκυρότητα των στοιχείων της υποβληθείσας αίτησης τη µη ύπαρξη άλλου λογαριασµού για τον αιτούντα χρήστη για το συγκεκριµένο επίπεδο εγγραφής την εγκυρότητα των αναγνωριστικών αν ο αιτών δικαιούται να χρησιµοποιήσει την ηλεκτρονική υπηρεσία που δήλωσε Σε θετική απάντηση, δηµιουργία ενός λογαριασµού χρήστη Ενηµέρωση χρήστη στη διεύθυνση αλληλογραφίας του µε συστηµένη επιστολή Σε αρνητική απάντηση ενηµέρωση στη διεύθυνση αλληλογραφίας του χρήστη Η Κ Π αποθηκεύει όσα στοιχεία είναι απαραίτητα για το χαρακτηρισµό των διαπιστευτηρίων Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 99 Επίπεδο Εγγραφής 1 (2/2) Απαιτήσεις ασφάλειας Εµπιστευτικότητα και Ακεραιότητα των δεδοµένων που αποστέλλει ο χρήστης στην Αρχή Εγγραφής δεδοµένων που αποστέλλονται στο χρήστη από την Αρχή Εγγραφής διαπιστευτηρίων του χρήστη Μη Αποποίηση αποστολής και λήψης εδοµένων Συσχετισµός µε Επίπεδο Αυθεντικοποίησης Επίπεδο Αυθεντικοποίησης 1 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

51 Επίπεδο Εγγραφής 2 (1/2) ιαδικασία Εγγραφής Όπως στο Επίπεδο 1 για συµπλήρωση και αποστολή αίτησης και έλεγχο στοιχείων Παραλαβή διακριτικού αυθεντικοποίησης µε φυσική παρουσία στον Αρµόδιο Φορέα και ταυτοποίηση Ο χρόνος παραλαβής των διακριτικών θα πρέπει να καθοριστεί από την Αρχή Πιστοποίησης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 101 Επίπεδο Εγγραφής 2 (2/2) Απαιτήσεις ασφάλειας Εµπιστευτικότητα και Ακεραιότητα των δεδοµένων που αποστέλλει ο χρήστης στην Αρχή Εγγραφής δεδοµένων που αποστέλλονται στο χρήστη από την Αρχή Εγγραφής διαπιστευτηρίων του χρήστη Μη Αποποίηση αποστολής και Λήψης εδοµένων συµµετοχής σε ηλεκτρονικές συναλλαγές Συσχετισµός µε Επίπεδο Αυθεντικοποίησης Επίπεδο Αυθεντικοποίησης 1 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

52 Επίπεδο Εγγραφής 3 ιαδικασία Εγγραφής Αντίστοιχες µε του επιπέδου 2, αλλά Παραλαβή προσωπικού κωδικού πρόσβασης (PIN Personal Identification Number) του διακριτικού µε συστηµένη επιστολή στη διεύθυνση αλληλογραφίας Απαιτήσεις ασφάλειας Αντίστοιχες του επιπέδου 2 Συσχετισµός µε Επίπεδο Αυθεντικοποίησης Επίπεδο Αυθεντικοποίησης 2 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 103 Οδηγίες Προσδιορισµού Επιπέδου εµπιστοσύνης Προσδιορισµός δεδοµένων που επεξεργάζεται η υπηρεσία Κατάταξη σε: Απλά Οικονοµικά Ευαίσθητα Προσδιορισµός επιπέδου εµπιστοσύνης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

53 Προσδιορισµός επιπέδου εµπιστοσύνης (1/2) Αξιοποίηση απλών δεδοµένων Επίπεδο εµπιστοσύνης 0: δηµόσια προσπελάσιµες πληροφορίες Επίπεδο εµπιστοσύνης 1: απλά δεδοµένα που αναφέρονται σε φυσικό πρόσωπο και δεν γίνεται επεξεργασία αναγνωριστικών Επίπεδο εµπιστοσύνης 2:απλά δεδοµένα που αναφέρονται σε φυσικό πρόσωπο και γίνεται επεξεργασία αναγνωριστικών Επίπεδο εµπιστοσύνης 2: οικονοµικά δεδοµένα που δεν εντάσσονται στο φορολογικό απόρρητο Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 105 Προσδιορισµός επιπέδου εµπιστοσύνης (2/2) Αξιοποίηση οικονοµικών δεδοµένων Επίπεδο εµπιστοσύνης 3: οικονοµικές συναλλαγές µη προκαθορισµένου ύψους Επίπεδο εµπιστοσύνης 3: οικονοµικά δεδοµένα που εντάσσονται στο φορολογικό απόρρητο Αξιοποίηση ευαίσθητων δεδοµένων Επίπεδο εµπιστοσύνης 3 Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

54 Συσχετισµός Επιπέδων Εµπιστοσύνης, Αυθεντικοποίησης και Εγγραφής Επίπεδο Εµπιστοσύνης Επίπεδο Εγγραφής Επίπεδο Αυθεντικοποίησης Μηχανισµός Αυθεντικοποίησης Συνθηµατικά Συνθηµατικά µιας Χρήσης Πιστοποιητικά ( ιακριτικό Χαλαρής Αποθήκευσης) Πιστοποιητικά ( ιακριτικό Σκληρής Αποθήκευσης) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 107 Παράδειγµα Εφαρµογής Υπηρεσίες ηµοτολογίου (µέσω ΚΕΠ) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

55 Σκοπός Εξετάζονται υπηρεσίες του ηµοτολογίου που προσφέρονται ηλεκτρονικά µέσω των ικτυακών Τόπων των Κέντρων Εξυπηρέτησης Πολιτών (ΚΕΠ). Συγκεκριµένα οι υπηρεσίες αυτές είναι: Χορήγηση Αντίγραφου Πιστοποιητικού Γέννησης (ΦΕΚ τ. Β 896/ ) Χορήγηση Πιστοποιητικού Οικογενειακής Κατάστασης Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 109 Υπάρχουσα διαδικασία Εγγραφής Βήµατα διαδικασίας εγγραφής Βήµα1:Εγγραφή στον ιστοτόπο Ο χρήστης επισκέπτεται το δικτυακό τόπο του Κ.Ε.Π. και επιλέγει το σύνδεσµο «Εγγραφή Χρήστη». Ο χρήστης µεταφέρεται στη σχετική ηλεκτρονική σελίδα, συµπληρώνει τη φόρµα εγγραφής και την υποβάλει. Τα υποβληθέντα στοιχεία ελέγχονται και, εφόσον πιστοποιηθεί η ορθότητά τους και η µοναδικότητα του ονόµατος χρήστη που εισήγαγε ο χρήστης, δηµιουργείται ο λογαριασµός για τον αιτούντα. Αποστέλλονται στην ηλεκτρονική διεύθυνση που δήλωσε κατά τη διάρκεια της εγγραφής ένας κωδικός ενεργοποίησης και ένα [link]. Βήµα2:Ο χρήστης επισκέπτεται το [link], εισάγει τον κωδικό ενεργοποίησης και εφ όσον ο κωδικός είναι σωστός µπορεί πλέον να κάνει χρήση των ηλεκτρονικών υπηρεσιών που προσφέρονται από τον ιστότοπο του Κέντρου Εξυπηρέτησης Πολιτών. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

56 Καταγραφή Αξιοποιούµενων εδοµένων (1/2) εδοµένα που Υποβάλλονται κατά την Εγγραφή Όνοµα και Επώνυµο Όνοµα Πατέρα Χώρα, Νοµός και Πόλη κατοικίας Τηλέφωνο Επικοινωνίας Όνοµα χρήστη (username) και Συνθηµατικό (password) που επιθυµεί να χρησιµοποιεί ιεύθυνση ηλεκτρονικού ταχυδροµείου Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 111 Καταγραφή Αξιοποιούµενων εδοµένων (1/2) εδοµένα που Υποβάλλονται κατά την Αξιοποίηση των Υπηρεσιών Νοµός και ιεύθυνση ΚΕΠ που θα διεκπεραιώσει την αίτηση του χρήστη ηµοτολόγιο του δήµου ή της κοινότητας που είναι εγγεγραµµένος ο χρήστης Όνοµα & Επώνυµο Όνοµα Πατέρα Αριθµός ελτίου Ταυτότητας Τόπος Γέννησης Τηλέφωνο Επικοινωνίας Λόγος Έκδοσης Πιστοποιητικού Αριθµός ηµοτολογίου (µόνο για την υπηρεσία χορήγησης πιστοποιητικού οικογενειακής κατάστασης) Οικογενειακή Κατάσταση (µόνο για την υπηρεσία χορήγησης πιστοποιητικού οικογενειακής κατάστασης) Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης

57 Επιπτώσεις Απειλών Οι περισσότερες από τις απειλές που έχουν ως στόχο την υποκλοπή / τροποποίηση των δεδοµένων δεν επιφέρουν σηµαντικές επιπτώσεις καθώς τα δεδοµένα τα οποία αξιοποιούνται είναι «απλά δεδοµένα». Οι σηµαντικότερες επιπτώσεις που µπορεί να προκύψουν αφορούν περιπτώσεις µη εξουσιοδοτηµένης πρόσβασης στην υπηρεσία µε στόχο την αίτηση χορήγησης των πιστοποιητικών από µη εξουσιοδοτηµένα άτοµα. Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης 113 Εφαρµογή του ΠΨΑ στις Υπηρεσίες Προσδιορισµός Κατηγορίας εδοµένων: Τα δεδοµένα που αξιοποιούνται στις προαναφερόµενες υπηρεσίες, εντάσσονται στην κατηγορία «Απλά εδοµένα» Προσδιορισµός Επιπέδου Εµπιστοσύνης: Οι υπηρεσίες εντάσσονται στο Επίπεδο Εµπιστοσύνης 2 (γίνεται επεξεργασία αναγνωριστικών του χρήστη Αριθµός ελτίου Ταυτότητας). Oι υπηρεσίες θα πρέπει να υιοθετήσουν Επίπεδο Εγγραφής 2 και Επίπεδο Αυθεντικοποίησης 1. O µηχανισµός αυθεντικοποίησης που πρέπει να αξιοποιηθεί είναι «ΣΥΝΘΗΜΑΤΙΚΑ», ενώ προαιρετικά µπορούν να αξιοποιηθούν και «ΣΥΝΘΗΜΑΤΙΚΑ ΜΙΑΣ ΧΡΗΣΗΣ». Τεχνολογίες ιασφάλισης Ιδιωτικότητας Αναπλ. Καθ. Κ. Λαµπρινουδάκης