Μία σειρά από πολύ σημαντικά προβλήματα/δυσλειτουργίες που αφορούν την πλατφόρμα της Webex αποκαλύπτονται σε επίσημο έγγραφο του Νομικού Συμβούλου του Υπουργείου Παιδείας, το οποίο μάλιστα συντάχθηκε τον προηγούμενο Δεκέμβριο.
Με τις σχετικές επισημάνσεις καταρρέουν και τα τελευταία επιχειρήματα του Υπουργείου για την ασφάλεια της πλατφόρμας (την οποία χρησιμοποιούν εκατομμύρια φυσικά πρόσωπα στη χώρα) και προκύπτουν ερωτηματικά τόσο για την Cisco, όσο και για την επιλογή του Υπουργείου να καταλήξει στο συγκεκριμένο προϊόν για την τηλεκπαίδευση.
Cisco και Υπεργολάβοι δουλεύουν μαζί
Ας πάρουμε όμως τα πράγματα από την αρχή: Μέχρι στιγμής ξέραμε ότι η Cisco, η οποία προσφέρει την πλατφόρμα Webex για τη διαδικασία της τηλεκπαίδευσης ενεργεί μόνη της, χωρίς μεσάζοντες.
Σήμερα όμως το News 24/7 αποκαλύπτει ότι τα προσωπικά δεδομένα μαθητών, γονιών και εκπαιδευτικών που σχετίζονται με την τηλεκπαίδευση μέσω Cisco Webex, έρχονται σε γνώση και άλλων εταιρειών, «Υπεργολάβων» της Cisco.
Αυτή η παραδοχή γίνεται στο έγγραφο με ΑΠ 230/6759, 11/12/2020, το οποίο συντάχθηκε από τον Νομικό Σύμβουλο του Υπουργείου Παιδείας για να υπερασπιστεί τις επιλογές του Υπουργείου στην τηλεκπαίδευση. Κοντολογίς, το ίδιο το Υπουργείο Παιδείας το οποίο ένα χρόνο τώρα αρνείται ότι η διαδικασία της τηλεκπαίδευσης είναι επισφαλής για εκπαιδευτικούς και μαθητές, “μαρτυρά” ότι υφίσταται τεράστιο πρόβλημα!
Πιο συγκεκριμένα, στο σημείο του εγγράφου που αναφέρεται στα μέτρα ασφάλειας της Cisco, διαβάζουμε:
«Υπάρχουν Πολιτικές και Διαδικασίες για τη διασφάλιση της προστασίας των προσωπικών δεδομένων από Υπεργολάβους (συμπεριλαμβανομένης της διενέργειας ελέγχων)».
Και παραπέμπει σε υποσημείωση στο τέλος της σελίδας όπου αναφέρεται:
«Οι υπεργολάβοι έχουν γνωστοποιηθεί στο ΥΠΑΙΘ. Σε περίπτωση που υπάρξουν περαιτέρω υπεργολάβοι αφ’ ενός υπάρχει συμβατική δέσμευση του Εκτελούντος ότι θα γνωστοποιηθούν στο ΥΠΑΙΘ προκειμένου αυτό να διατυπώσει τυχόν αντιρρήσεις, αφ’ ετέρου ότι και αυτοί θα δεσμευτούν με υποχρέωση τήρησης των εν λόγω Πολιτικών.
Επισημαίνεται δε ότι στην περίπτωση που οι Υπεργολάβοι βρίσκονται εκτός ΕΟΧ, η CISCO έχει αναλάβει συμβατικώς τη δέσμευση να διασφαλίζει την τήρηση των προϋποθέσεων του Κεφαλαίου V του ΓΚΠΔ και, συνακόλουθα, να ενημερώνει σχετικά το ΥΠΑΙΘ (όπως και σε κάθε άλλη περίπτωση διαβίβασης εκτός ΕΟΧ, επί παραδείγματι ενδοομιλικές διαβιβάσεις)”.
Απολύτως φυσιολογικά προκύπτουν τα ακόλουθα ερωτήματα, στα οποία το Υπουργείο Παιδείας οφείλει να απαντήσει άμεσα: Τι είδους «Υπεργολάβοι» είναι αυτοί; Λαμβάνουν προσωπικά δεδομένα οποιουδήποτε είδους από αυτά που συλλέγει η Cisco; Για ποιο σκοπό και με ποια νομιμοποίηση;
Και πότε θα έπρεπε να ενημερωθούν τα υποκείμενα των δεδομένων για αυτό; Δεν αποτελεί υποχρέωση του Υπουργείου Παιδείας (ως Υπεύθυνου Επεξεργασίας) και της Cisco (ως Εκτελούσα την Επεξεργασία) να ενημερώσουν σχετικά;
Και επίσης, το κύριο ερώτημα που πρέπει να απαντηθεί είναι γιατί αποκρύφθηκε εξαρχής η εμπλοκή τρίτων εταιρειών στην τηλεκπαίδευση, μέσω της Cisco;
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία γνωρίζει πιθανότατα για τους «Υπεργολάβους», καθώς της έχουν διαβιβαστεί τα σχετικά έγγραφα, πώς αξιολογεί την εμπλοκή τους, αλλά και το γεγονός ότι αποκρύπτεται αυτή η συμμετοχή;
Οι απαντήσεις αναμένονται με πολύ μεγάλο ενδιαφέρον…
Υπάρχει γενικό πρόβλημα ασφάλειας στην Webex
To έγγραφο της 11ης Δεκεμβρίου όμως δεν αποκαλύπτει μόνο την ύπαρξη υπεργολάβων, αλλά καταδεικνύει και την έλλειψη ασφάλειας της πλατφόρμας Cisco Webex, παρά τα όσα λέγονταν από πλευράς Υπουργείου Παιδείας.
Στο έγγραφο, μεταξύ άλλων, διαβάζουμε και τα εξής:
«Η κρυπτογράφηση από άκρη σε άκρη (end – to- end encryption) θα είχε ως συνέπεια τη μείωση της λειτουργικότητας της πλατφόρμας, καθώς ορισμένες λειτουργίες δυσχεραίνονται σημαντικά έτσι, ώστε να μην αποκλείεται ακόμη και η αδυναμία παροχής της υπηρεσίας».
Η παραπάνω φράση συνιστά επίσημη πλέον παραδοχή από το ίδιο το Υπουργείο ότι δεν υπάρχει κρυπτογράφηση από άκρο σε άκρο της επικοινωνίας μέσω Webex.
Εξηγούμαστε: Το end – to end – encryption διασφαλίζει ότι το περιεχόμενο της επικοινωνίας θα είναι γνωστό μόνο στα μέρη που επικοινωνούν, εν προκειμένω μεταξύ μαθητών και εκπαιδευτικού. Ούτε η Cisco ούτε κάποιος άλλος θα είχε τη δυνατότητα να γνωρίζει το περιεχόμενο του μαθήματος και όσων συμβαίνουν εκεί. Έτσι θα διασφαλίζονταν το απόρρητο.
Αυτή η τεχνολογία χρησιμοποιείται και στις πλατφόρμες ανταλλαγής μηνυμάτων στο διαδίκτυο. Ούτε το WhatsApp που ανταλλάσσει δεδομένα με το facebook δεν καταργεί το end – to end – encryption, θεωρώντας στοιχειώδες το να εξασφαλίζει την ιδιωτικότητα της επικοινωνίας μεταξύ των χρηστών.
Άλλωστε, για τη σημασία του end – to end – encryption έκανε λόγο και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όταν στις 15/4/2020 εξέδιδε τις οδηγίες για τη χρήση λογισμικού τηλεργασίας και χαρακτηριστικά ανέφερε:
«Στην περίπτωση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση). Για παράδειγμα, θα πρέπει να αποφεύγεται λογισμικό τηλεδιάσκεψης το οποίο δεν εξασφαλίζει κρυπτογράφηση από άκρη σε άκρη (end-to-end encryption)».
Αλήθεια, πώς θα κρίνει η Αρχή επαρκή τα μέτρα της Cisco Webex μετά από αυτή την παραδοχή έλλειψης ασφάλειας;