Ασφάλεια και προστασία της ιδιωτικότητας σε πληροφοριακά συστήματα ηλεκτρονικής διακυβέρνησης

Abstract

e-Government is directly related to the reform and modernization of Public Administration through the exploitation of modern technologies and methodologies. However, for such a reform it is not adequate to automate existing processes and deliver them via the Internet. Public Administration is required to establish and maintain a universal privacy and security level, not only relevant and equal to that of existing services, but suffice enough to ensure that personal data is exploited transparently and lawfully, taking into account citizens' interests. The scope of this thesis is to examine the application and utilization of applicable innovative technologies and methodologies towards improving privacy and security in e-Government Information Systems and devise a framework for integrated management of digital identities. Initially, security and privacy requirements in e-Government are depicted and the potential threats and their possible implications regarding the loss of the previous requirements are catalogued and summarized. Next, comprehensive methodologies for integration and management of sectorial identifiers in X.509 v3 digital certificates, in federated environments and in e-Government 2.0 environments are proposed. Taking into account the requirements and limitations of the Greek legal and regulatory framework an integrated and holistic Digital Authentication Framework is also proposed, through the identification of appropriate levels of trust, authentication and registration of end users. Finally, a comprehensive architecture is proposed for the first time, which integrates and exploits Privacy Policies and Preferences in e-Government environments towards the provision of simplified services and the necessary control mechanisms for users regarding the collection, processing and storage of their personal data.

Η Ηλεκτρονική Διακυβέρνηση είναι άμεσα συνδεδεμένη με τη μεταρρύθμιση και τον εκσυγχρονισμό της Δημόσιας Διοίκησης μέσω της αξιοποίησης σύγχρονων τεχνολογιών και μεθοδολογιών. Για να καταστεί όμως δυνατή και επιτυχημένη μία τέτοια μετάβαση, δεν αρκεί η αυτοματοποίηση των υπαρχουσών διαδικασιών και η παροχή τους μέσω του Διαδικτύου. Η Δημόσια Διοίκηση καλείται να εγκαθιδρύσει και να διατηρήσει καθολικά ένα επίπεδο προστασίας και ασφάλειας, όχι μόνο αντίστοιχο και ισότιμο με αυτό των υπαρχουσών υπηρεσιών, αλλά ικανό να διασφαλίσει ότι τα προσωπικά δεδομένα αξιοποιούνται με τρόπο διαφανή και σύννομο, λαμβάνοντας υπ' όψιν το συμφέρον των πολιτών. Σκοπός της παρούσας διατριβής είναι η μελέτη εφαρμογής και αξιοποίησης τεχνολογιών και μεθοδολογιών προάσπισης της ιδιωτικότητας σε Πληροφοριακά Συστήματα Ηλεκτρονικής Διακυβέρνησης, καθώς και η διαμόρφωση ενός πλαισίου για την ολοκληρωμένη διαχείριση των ψηφιακών ταυτοτήτων για όλες τις συμμετέχουσες οντότητες. Αρχικά, αποτυπώνονται οι απαιτήσεις ασφάλειας και ιδιωτικότητας σε Π.Σ. Ηλεκτρονικής Διακυβέρνησης και καταγράφονται συγκεντρωτικά τόσο οι δυνητικές απειλές όσο και οι πιθανές επιπτώσεις τους αναφορικά με την απώλεια των προηγούμενων απαιτήσεων, και προτείνονται τρόποι αντιμετώπισης και ελαχιστοποίησης τους. Στη συνέχεια προτείνονται ολοκληρωμένες μεθοδολογίες ενσωμάτωσης και διαχείρισης τομεακών αναγνωριστικών σε ψηφιακά πιστοποιητικά Χ.509 ν3, σε περιβάλλοντα ομόσπονδων ταυτοτήτων και σε περιβάλλοντα Ηλεκτρονικής Διακυβέρνησης 2.0. Λαμβάνοντας υπ' όψιν τις απαιτήσεις και τους περιορισμούς του ελληνικού νομικού και κανονιστικού πλαισίου, προτείνεται ένα ολοκληρωμένο Πλαίσιο Ψηφιακής Αυθεντικοποίησης, μέσω του προσδιορισμού των κατάλληλων επιπέδων εμπιστοσύνης, αυθεντικοποίησης και εγγραφής των τελικών χρηστών. Τέλος, προτείνεται για πρώτη φορά μία ολοκληρωμένη αρχιτεκτονική ενσωμάτωσης και αξιοποίησης Πολιτικών και Προτιμήσεων Ιδιωτικότητας σε Π.Σ. Ηλεκτρονικής Διακυβέρνησης, με στόχο την απλουστευμένη παροχή ηλεκτρονικών υπηρεσιών, την παροχή των απαραίτητων ελεγκτικών μηχανισμών στους χρήστες για τη συλλογή, επεξεργασία και αποθήκευση των προσωπικών τους δεδομένων, καθώς και τη διαβεβαίωση για την τήρηση των αντίστοιχων νομικών και κανονιστικών απαιτήσεων από την πλευρά των παροχών.