Ούτε αυτοτελές, ούτε σημερινό είναι το θέμα με τις διαρροές των μέιλ αποδήμων στην ευρωβουλευτή της Ν.Δ. Αννα-Μισέλ Ασημακοπούλου, εμπλέκοντας κορυφαία πρόσωπα της κυβέρνησης με… προϊόντα εγκλήματος.
Οι ρίζες του προβλήματος μας γυρίζουν στο καλοκαίρι του 2019, όταν μαζί με τον Τάκη Θεοδωρικάκο στο υπουργείο Εσωτερικών και τον αρμόδιο για θέματα εκλογών και αυτοδιοίκησης (δηλαδή σε ρόλο που συνδυάζει γνώσεις και… χρηματοδοτικά εργαλεία), Θοδωρή Λιβάνιο, διορίζονται σε θέσεις γενικών γραμματέων ο Μιχάλης Σταυριανουδάκης (Εσωτερικών και Οργάνωσης) και ο Νάσος Μπαλέρμπας (Ιθαγένειας). Υπουργός Ψηφιακής Διακυβέρνησης αναλαμβάνει ο Κυριάκος Πιερρακάκης.
Δύο χρόνια αργότερα, στον ανασχηματισμό, υπουργός αναλαμβάνει -με παρεμβατική ατζέντα- ο Μάκης Βορίδης, με αναπληρωτή υπουργό τον Στέλιο Πέτσα που λόγω κονδυλίων «Τρίτση» αναφέρεται απευθείας στον πρωθυπουργό, οι δύο γενικοί γραμματείς μένουν στις θέσεις τους, ενώ ο Θοδωρής Λιβάνιος αναβαθμίζεται επιτελικά στο Μαξίμου.
Τον Ιανουάριο του 2023 με βάση την απογραφή του 2021 επανακαθορίστηκαν οι έδρες Επικρατείας από 12 σε 15 και ανακοινώθηκε ότι οι πρόσθετες έδρες θα χρησιμοποιηθούν για την εκπροσώπηση των αποδήμων. Οι απόδημοι, με τη συνταγματική αναθεώρηση του 2019, ψηφίζουν πλέον σε ειδικά εκλογικά κέντρα του εξωτερικού αντί για πρεσβείες /προξενεία και αλλάζει ο τρόπος που μπορούν να εγγραφούν για να ψηφίσουν στο εξωτερικό. Παρόλο που η Βουλή του 2019 ήταν αναθεωρητική και ψηφίστηκε η αναθεώρηση που περιείχε την ψήφο απόδημων, οι σχετικές αλλαγές ανακοινώθηκαν το 2023, επί Βορίδη και Πέτσα στο υπουργείο Εσωτερικών.
Τον Μάιο του 2023 και ενόψει εκλογών, υπουργός Εσωτερικών αναλαμβάνει η κ. Καλλιόπη Σπανού, με τους δύο έμπειρους γενικούς γραμματείς να συνεχίζουν στον ίδιο ρόλο.
Στις 27 Ιουνίου του 2023 ορκίζεται η νέα κυβέρνηση, με υπουργό Εσωτερικών τη Νίκη Κεραμέως και τον έμπειρο στα οργανωτικά, στα εκλογικά και στις δημοσκοπήσεις, Θοδωρή Λιβάνιο, ως αναπληρωτή υπουργό. Οπως υποψιάζεστε, οι δύο γενικοί γραμματείς παρέμειναν στο υπουργείο Εσωτερικών, με μια μικρή αλλαγή στους ρόλους και στις αρμοδιότητες.
Από το gov.gr στη… Singular Logic
Η συλλογή προσωπικών δεδομένων των αποδήμων ξεκίνησε από το gov.gr στη διεύθυνση apodimoi.gov.gr. Το συγκεκριμένο domain είχε ενεργό πρωτόκολλο ασφαλούς σύνδεσης (https) όταν έγιναν οι πρώτες εγγραφές, η συνδρομή του οποίου -κόστους μερικών ευρώ- έληξε τους προηγούμενους μήνες, αφήνοντας την αρχική πλατφόρμα απροστάτευτη και… ενεργή για πολύ καιρό, πριν τελικά «κατέβει» στις 5 Μαρτίου φέτος, μόλις άρχισε η φασαρία. Αναμενόμενα, μαντέψτε πού παραπέμπει το link του gov.gr στη διαδρομή > Πολίτης και καθημερινότητα > Ελληνες του εξωτερικού > Εγγραφή στους ειδικούς εκλογικούς καταλόγους εξωτερικού!
Πρόσφατα η ευθύνη συλλογής προσωπικών δεδομένων για την επιστολική ψήφο (μόνιμων κατοίκων ή αποδήμων) πέρασε στο υπουργείο Εσωτερικών, με πλατφόρμα… «powered by Singular Logic». Ισως εκεί οφείλεται η σπουδή του πρωθυπουργικού γραφείου να προσδιορίσει τη διαρροή σε… απροσδιόριστο χρονικό διάστημα της υπηρεσιακής κυβέρνησης, εκθέτοντας ανεπανόρθωτα τους υπουργούς Βορίδη, Πέτσα και Πιερρακάκη, σε μια προσπάθεια να θωρακίσει την αξιοπιστία της τρέχουσας πολιτικής ηγεσίας, της Singular Logic και της ασφαλούς μετάδοσης των εκλογικών αποτελεσμάτων που πλέον τίθενται στο μικροσκόπιο.
Το νέο περιβάλλον λειτουργεί από τις 19.2.2024 στη διεύθυνση epistoliki.ypes.gov.gr καθιερώνοντας μια «ενδιαφέρουσα» διαδικασία για την ψήφο των αποδήμων: ο ενδιαφερόμενος ταυτοποιείται μέσω ΑΑΔΕ (taxisnet) κι ενώ μπορεί να δώσει έγκριση για μεταφορά των απαιτούμενων δεδομένων του από την Εφορία, η νέα πλατφόρμα τού ζητά να δηλώσει… email ώστε να εγγραφεί για την ψήφο των αποδήμων (το ίδιο e-mail με την ΑΑΔΕ ή όποιο άλλο θέλει) και λαμβάνει αλληλογραφία για να επιβεβαιώσει την εγγραφή του. Με αυτή τη διαδικασία δημιουργείται μια νέα βάση δεδομένων για τα στοιχεία που δηλώθηκαν (η οποία δεν σχετίζεται με την ΑΑΔΕ) με διαχειριστή το υπουργείο Εσωτερικών, σήμερα.
Φυσικά, το παραμύθι για ευθύνες στην υπηρεσιακή κυβέρνηση δεν έχει… δράκο. Καμία υπηρεσιακή κυβέρνηση δεν θα έκανε αλλαγές στις βάσεις δεδομένων και στις διαδικασίες – ο ρόλος της είναι για να διασφαλίζει ότι δεν θα στραβώσει κάτι.
Η Singular Logic οφείλει να ξεκαθαρίσει τα πραγματικά γεγονότα, καθώς υπάρχουν αρκετές πιθανολογούμενες παραβάσεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR): Η βάση δεδομένων που δημιουργείται με κάθε νέα εγγραφή οφείλει να είναι απόρρητη, σε ασφαλές περιβάλλον, προστατευμένη από διαδικασίες και συστήματα ασφαλείας, όπως οι βάσεις δεδομένων της ΑΑΔΕ.
Η πρόσβαση σε αυτά τα δεδομένα πρέπει να είναι ελεγχόμενη, με αυστηρά πρωτόκολλα, με συγκεκριμένη λίστα ατόμων που έχουν πρόσβαση, καταγραφή ποιος μπήκε, πότε και τι ακριβώς διάβασε.
Τα… CSI του Μαξίμου
Το μέγαρο Μαξίμου επικαλείται δική του έρευνα, σύμφωνα με την οποία ενώ όλα ήταν τέλεια, μετά τις 25 Μαΐου και κατά τη διάρκεια της υπηρεσιακής κυβέρνησης, η μοναδική μετακλητή υπάλληλος στο γραφείο του γενικού γραμματέα Μιχάλη Σταυριανουδάκη, υποτίθεται εν αγνοία του προϊσταμένου της, είχε τις γνώσεις να προσπεράσει όλα τα συστήματα ασφαλείας και να υποκλέψει το αρχείο τής (απόρρητης) βάσης δεδομένων και το έστειλε στον Νίκο Θεοδωρόπουλο (Head of Hellenic Diaspora @Νέα Δημοκρατία), ο οποίος με τη σειρά του προώθησε στην Αννα-Μισέλ Ασημακοπούλου μια λίστα με μέιλ «που δεν σχετίζονται με την πλατφόρμα εγγραφής στην επιστολική ψήφο».
Μόνο ανόητος μπορεί να πιστέψει ότι μια μετακλητή υπάλληλος πήρε μόνη της πρωτοβουλία να χακάρει ένα… ασφαλές σύστημα ή ότι ο γραμματέας Αποδήμων της έστειλε προσωπικό αίτημα, παρακάμπτοντας όλη την πολιτική ηγεσία.
Αν πιστέψουμε όσα ισχυρίζεται το Μαξίμου, τότε ο υπουργός Μάκης Βορίδης και ο αναπληρωτής του, Στέλιος Πέτσας, δεν διασφάλισαν την προστασία της βάσης δεδομένων η οποία φιλοξενείται στα data centers (των οποίων την πολιτική ευθύνη είχε ο Κυριάκος Πιερρακάκης), με βάση τους κανόνες GDPR.
Σκάβοντας βαθύτερα
Σύμφωνα με τους κανόνες GDPR (ΓΚΠΔ) το υπουργείο Εσωτερικών έχει ορίσει τους απαιτούμενους Data Protection Officers (DPO) που εισηγούνται διαδικασίες δημιουργίας, διαχείρισης και προστασίας των προσωπικών δεδομένων και φυσικά περιμένουμε από τη σημερινή υπουργό Νίκη Κεραμέως να δώσει άμεσα στη δημοσιότητα τις σχετικές εισηγήσεις για την προστασία της συγκεκριμένης βάσης δεδομένων.
Σύμφωνα με την πολιτική απορρήτου του υπουργείου Εσωτερικών, ο χώρος φιλοξενίας (τα data centers) όπου αποθηκεύονται τα προσωπικά δεδομένα των πολιτών βρίσκεται στη Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης – η οποία υπάγεται στο υπουργείο Ψηφιακής Διακυβέρνησης, με πολιτικό προϊστάμενο τον Κυριάκο Πιερρακάκη τότε, ο οποίος έχει αποδείξει τις ικανότητές του στη δημιουργία προϋποθέσεων… ανοιχτής πρόσβασης στα προσωπικά δεδομένα εκατοντάδων χιλιάδων δικαιούχων από τις λίστες των διαφόρων pass και όχι μόνο, που κατασκευάστηκαν με σειριακή λογική, χωρίς κρυπτογράφηση και τα δεδομένα τους (μας) έχουν γίνει φέιγ-βολάν και συνεχίζουν να είναι ανοιχτά στους ενδιαφερόμενους.
Η υπόθεση ερευνάται σήμερα ταυτόχρονα από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, από την Εισαγγελία και από το ίδιο το υπουργείο Εσωτερικών. Ερευνα ετοιμάζεται και σε επίπεδο Ευρωβουλής, όπως και σε άλλες χώρες που έχουν γίνει σχετικές καταγγελίες από αποδήμους, ενώ ήδη κατατέθηκε στο Διοικητικό Πρωτοδικείο Αθηνών η πρώτη αγωγή κατά του Ελληνικού Δημοσίου από κάτοικο Ολλανδίας, για παραβίαση των άρθρων 5, 6, 12 και κυρίως της παρ. 4 του άρθρου 32 του GDPR, με έμφαση στην παράλειψη του Ελληνικού Δημοσίου να διασφαλίσει ότι πρόσωπα που έχουν πρόσβαση σε προσωπικά δεδομένα ενεργούν μόνο κατ’ εντολή του υπεύθυνου επεξεργασίας. Εχει ενδιαφέρον ότι από την πρώτη στιγμή, χωρίς να έχει προηγηθεί επίσημη έρευνα, ενεπλάκη στο ζήτημα με δελτίο Τύπου του υπουργείου Εσωτερικών, ο σημερινός γ.γ. Εσωτερικών και Οργάνωσης, Νάσος Μπαλέρμπας, δηλώνοντας με εντυπωσιακή σιγουριά ότι το υπουργείο Εσωτερικών «δεν παρέχει διευθύνσεις ηλεκτρονικού ταχυδρομείου εκλογέων σε υποψήφιους ή κόμματα».
Αλλά και η ίδια η υπουργός, Νίκη Κεραμέως, διαβεβαίωσε αρκετές φορές (αναφερόμενη στη δική της θητεία) ότι το υπουργείο δεν μοιράζει τη λίστα.
Παράλληλες έρευνες
Η έρευνα του πρωθυπουργικού γραφείου δημιούργησε περισσότερα ερωτήματα αντί να δίνει απαντήσεις. Το αφήγημα είναι ότι ο Σταυριανουδάκης είχε την επίβλεψη και οι υπουργοί (Βορίδης, Πέτσας και αργότερα Κεραμέως και Λιβάνιος) τον είχαν αφήσει χωρίς επίβλεψη (εάν ισχύει η ημερομηνία διαρροής). Και ο Πιερρακάκης με τον διάδοχό του, που είχαν την πολιτική ευθύνη για τα data centers, τις βάσεις δεδομένων του Δημοσίου και για την κυβερνοασφάλεια της χώρας, πετούσαν αετό;
Θυμίζουμε ότι από τις 3 Μαρτίου που καταγράφηκαν οι πρώτες αντιδράσεις, έπρεπε να έχει εξεταστεί ο τεχνικός εξοπλισμός όσων είχαν πρόσβαση στα επίμαχα δεδομένα, ώστε να διαπιστωθούν ίχνη αντιγραφής ή διάθεσης αρχείων προσωπικών δεδομένων σε μη εξουσιοδοτημένους τρίτους, να γίνει άρση απορρήτου των επικοινωνιών και φυσικά να γίνει αντίστοιχη έρευνα στον εξοπλισμό του γραφείου της ευρωβουλεύτριας. Εγινε κάτι από αυτά;
Ερωτήματα
Βασική αρχή και λόγος ύπαρξης του Γενικού Κανονισμού Διαχείρισης Προσωπικών Δεδομένων είναι να εγγυηθεί τη διαφάνεια και τον έλεγχο στη χρήση των προσωπικών δεδομένων.
Οι πολίτες έχουν δικαίωμα να ξέρουν ποιος έχει πρόσβαση στα δεδομένα τους και πώς αυτά θα χρησιμοποιηθούν. Η έρευνα πρέπει να δείξει:
● Ποιος χειρίζεται τη βάση δεδομένων και ποιες είναι οι εισηγήσεις του αρμόδιου DPO;
● Ποιες είναι οι δικλίδες ασφαλείας; Εχει γίνει εκτίμηση κινδύνου;
● Ποιος έδωσε εντολή για τη λίστα στη μετακλητή υπάλληλο;
● Ποιος άλλος έχει τη λίστα και πώς χρησιμοποιείται;
● Από ποια ip στάλθηκε σε 40.000 αποδέκτες το e-mail της Ασημακοπούλου;
● Ποιος είναι ο DPO της Ασημακοπούλου και πώς διασφάλισε τη συμμόρφωση με το GDPR;
Οφείλονται άμεσα απαντήσεις, ενώ οι θιγέντες χρήστες πρέπει να ενημερωθούν για τη διαρροή των προσωπικών τους δεδομένων, όπως προβλέπει το GDPR, εάν η κυβέρνηση θέλει να θωρακίσει τη σοβαρότητά της και να διασφαλίσει την αξιοπιστία της επιστολικής ψήφου -η οποία πλέον αφορά πολύ περισσότερους ψηφοφόρους στο εσωτερικό της χώρας- καθώς αποδείχτηκαν δυσδιάκριτες οι διαχωριστικές γραμμές κράτους και κόμματος.
Διαβολικές συμπτώσεις
Πολύ βολικά, οι ευθύνες εστιάζονται στο χρονικό διάστημα της υπηρεσιακής κυβέρνησης. Είναι όμως έτσι; Αυτό θα προκύψει από την απάντηση για την ακριβή ημερομηνία της διαρροής και από τις ενέργειες αποκατάστασης όταν αυτή έγινε αντιληπτή, καθώς πληθαίνουν οι καταγγελίες θιγόμενων ότι έδωσαν τα μέιλ τους φέτος για την επιστολική ψήφο. Η σημερινή υπουργός Εσωτερικών, Νίκη Κεραμέως, οφείλει να παράσχει όλα τα στοιχεία και να συνεργαστεί με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ώστε η Εισαγγελία να έχει όλα τα στοιχεία και τις ενέργειες που έγιναν έστω εκ των υστέρων για τη στεγανοποίηση των προβλημάτων.
Είναι μόνο μια ατυχής σύμπτωση για τη Νίκη Κεραμέως και τον Θοδωρή Λιβάνιο ότι τα μέιλ της Ασημακοπούλου (την 1η Μαρτίου 2024) χρονικά ακολούθησαν τα επιβεβαιωτικά μέιλ του υπουργείου Εσωτερικών στους αποδήμους για τη νέα πλατφόρμα; Είναι ατυχής σύμπτωση ότι και κατά την περίοδο που διαπιστώθηκε διαρροή προσωπικών δεδομένων των μαθητών από το webex είχε παραιτηθεί νωρίτερα ο DPO και δεν είχε προσληφθεί αντικαταστάτης;