Συμμετοχή στην ανοιχτή διαβούλευση της Ευρωπαϊκής Στρατηγικής Δεδομένων
Η Homo Digitalis κατέθεσε σήμερα τις θέσεις και τις προτάσεις της ενώπιον της Ευρωπαϊκής Επιτροπής αναφορικά με την Ευρωπαϊκή Στρατηγική Δεδομένων συμμετέχοντας στην σχετική ανοιχτή διαβούλευση.
Μπορείτε να δείτε τις απαντήσεις μας στο σχετικό ερωτηματολόγιο της Ευρωπαϊκής Επιτροπής εδώ και το πρόσθετο υπόμνημα που καταθέσαμε με τις προτάσεις μας εδώ.
Οι δράσεις της Homo Digitalis στη τελευταία μελέτη του FRA
Σήμερα, 28.05.2020, ο Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης δημοσίευσε το 2ο μέρος της μελέτης του για την επίδραση που έχουν τα μέτρα κατά της πανδημίας του COVID-19 στα ανθρώπινα δικαιώματα. Η μελέτη καλύπτει την περίοδο 21 Μάρτη έως 30 Απρίλη και έχει τον επίσημο τίτλο: «Coronavirus pandemic in the EU – Fundamental Rights Implications – Bulletin 2».
Αποτελεί μεγάλη τιμή για την οργάνωσή μας το γεγονός ότι γίνεται αναφορά στις δράσεις μας σε εθνικό επίπεδο, όπως αυτές αναλύθηκαν στην πρόσφατη μελέτη μας, αναφορικά με τη χρήση drones από την Ελληνική αστυνομία, τη σύσταση εθνικού μητρώου ασθενών COVID-19 και την αποστολή μηνυμάτων SMS στο 13033 προς λήψη βεβαίωσης μετακίνησης.
Μπορείτε να διαβάσετε το πλήρες κείμενο της μελέτης εντελώς δωρεάν εδώ.
Ανοιχτή Επιστολή της EDRi προς την Ευρωπαϊκή Επιτροπή για τα 2 χρόνια GDPR
Σήμερα, 25/05/2018, είναι η επέτειος δύο χρόνων από τη θέση σε ισχύ των διατάξεων του GDPR. H European Digital Rights – EDRi απέστειλε ανοιχτή επιστολή προς την Αντιπρόεδρο της Ευρωπαϊκής Επιτροπής κ. Věra Jourová, και τον Επίτροπο στον τομέα της Δικαιοσύνης κ. Didier Reynders
Η επιστολή κάνει αναφορά τόσο στα σημαντικά επιτεύγματα που έλαβαν χώρα όσο και στις προκλήσεις που ανέκυψαν τα δύο τελευταία αυτά χρόνια!
Επίσης περιγράφει τις σχετικές δράσεις των οργανώσεων του δικτύου όπως για παράδειγμα η noyb, η Privacy International, η Access Now, η Panopticon Foundation, η Xnet, η Open Rights Group, η Asociatia pentru Tehnologie si Internet – ApTI και φυσικά αυτές της Homo Digitalis.
Διαβάστε την ανοιχτή επιστολή εδώ.
Η ΕΛ.ΑΣ. απαντάει για τις φήμες συνεργασίας με την CLEARVIEW AI
Στις 25/02 η Homo Digitalis απηύθυνε ανοιχτή επιστολή προς τον Υπουργό Προστασίας του Πολίτη κ. Μ. Χρυσοχοΐδη (Αριθμός Πρωτοκόλλου: 22069/25.02.2020). Με την επιστολή μας στοχεύαμε να πληροφορηθούμε αναφορικά με τη πιθανή χρήση της εφαρμογής Clearview AI από αρχές επιβολής του νόμου στην Ελληνική Επικράτεια.
Συγκεκριμένα, σύμφωνα με τα ειδησεογραφικά πρακτορεία EURACTIV και BuzzFeed και το έντυπο υλικό της εταιρίας Clearview που αποκτήθηκε κατόπιν αιτήματος πρόσβασης σε έγγραφα στις Η.Π.Α., η Ελλάδα φαινόταν να αποτελούσε μία εκ των χωρών στις οποίες εθνικές αρχές επιβολής του νόμου είχαν πιθανόν συνεργαστεί με την εταιρία Clearview και είχαν χρησιμοποιήσει την εφαρμογή Clearview AI ή σχεδίαζαν να το κάνουν στο μέλλον. Άλλες ευρωπαϊκές χώρες που ανέφεραν τα σχετικά δημοσιεύματα ήταν η Ολλανδία και η Ιταλία, μεταξύ άλλων.
Στις 8 Μαϊου έφτασε στα γραφεία της οργάνωσής μας έντυπη επιστολή της ΕΛ.ΑΣ. και συγκεκριμένα του Τμήματος Κοινωνικών Ζητημάτων και Αντιμετώπισης Ρατσισμού, με ημερομηνία αποστολής 16/04/2020. Εξαιτίας των μέτρων αντιμετώπισης του COVID-19, καταφέραμε να λάβουμε στα χέρια μας την επιστολή αυτή την εβδομάδα.
Με την επιστολή της, η ΕΛ.ΑΣ. μας ενημερώνει οτι δεν χρησιμοποιείται από τις υπηρεσίες της η εφαρμογή CLEARVIEW AI, καθώς και ότι η ΕΛ.ΑΣ. στο πλαίσιο της αποστολής της χρησιμοποιεί υλικοτεχνικό εξοπλισμό και μέσα σύμφωνα με την ισχύουσα νομοθεσία.
Μπορείτε να δείτε το πλήρες κείμενο της απάντησης της ΕΛ.ΑΣ. εδώ.
Η Homo Digitalis θα εξακολουθεί να παρακολουθεί με μεγάλο ενδιαφέρον και προσοχή τη χρήση νέων τεχνολογιών από τις αρχές επιβολής του νόμου στην Ελλάδα.
Η COMMUNIA δημοσιεύει δωρεάν εργαλείο για τη μεταφορά της Οδηγίας 2019/790
Στις 18 Μάη, ένα χρόνο μετά την δημοσίευση στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης της Οδηγίας 2019/790 για τα δικαιώματα πνευματικής ιδιοκτησίας και τα συγγενικά δικαιώματα στην ψηφιακή ενιαία αγορά, η COMMUNIA δημοσίευσε το δωρεάν εργαλείο “DSM Directive Implementation Tracker”, με το οποίο μπορείς να παρακολουθείς τις εξελίξεις της μεταφοράς της Οδηγίας σε όλα τα Κράτη Μέλη της ΕΕ.
Η Homo Digitalis έχει τη μεγάλη τιμή και χαρά να συμμετέχει στην ενημέρωση του σχετικού εργαλείου και να καταγράφει τις σχετικές εξελίξεις που λαμβάνουν χώρα στην Ελλάδα!
Η COMMUNIA αποτελεί μία από τις πλέον αναγνωρισμένες ενώσεις οργανώσεων της κοινωνίας των πολιτών στο χώρο της πνευματικής ιδιοκτησίας και του κοινόχρηστου υλικού. Μέλη της είναι διεθνώς αναγνωρισμένες οργανώσεις, όπως η ελληνική οργάνωση ΕΛΛΑΚ, η Creative Commons, η Centrum Cyfrowe, η Open Knowledge International, η Wikimedia κ.α
Μπορείς να δεις και να επεξεργαστείς το εργαλείο εδώ.
Θυμίζουμε ότι την προηγούμενη εβδομάδα, στις 14/05, η Homo Digitalis υπέβαλε και τις επίσημες θέσεις και προτάσεις τις αναφορικά με τα άρθρα 3,4,5 και 17 της Οδηγίας 2019/790 στο πλαίσιο της ανοιχτής διαβούλευσης του Οργανισμού Πνευματικής Ιδιοκτησίας. Μπορείς να δεις το υπόμνημα μου καταθέσαμε εδώ.
"Siri με ακούς;"
Σήμερα, ο Thomas Le Bonniec, πρώην εργαζόμενος μίας εταιρείας-υπεργολάβου της Apple απηύθυνε δημόσια επιστολή προς τις Αρχές Προστασίας Δεδομένων της ΕΕ και του Ευρωπαϊκού Οικονομικού Χώρου. Συγκεκριμένα, η επιστολή απευθύνθηκε προς τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS), το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) και τις Αρχές Προστασίας Δεδομένων της Νορβηγίας, της Ισλανδίας και του Λιχτενστάιν.
Ο κ. Le Bonniec δηλώνει ότι εργάστηκε για την Globe Technical Services, ενός υπεργολάβου της Apple στην Ιρλανδία μεταξύ Μαΐου και Ιουλίου 2019. Κατά τη διάρκεια της εργασίας του ασχολήθηκε με την εξέλιξη της Siri, του γνωστού συστήματος τεχνητής νοημοσύνης για φωνητικές εντολές, το οποίο χρησιμοποιεί η Apple στις συσκευές της.
Ο κ. Le Bonniec ισχυρίζεται ότι καθημερινά άκουγε εκατοντάδες συνομιλίες, οι οποίες συλλέγονταν από διάφορες Apple συσκευές (iPhone, iPad, Apple Watch, κ.ά.). Οι συνομιλίες αυτές συλλέγονταν από την Apple και ο ίδιος και οι συνάδελφοι του της άκουγαν, χωρίς οι χρήστες των συσκευών να το γνωρίζουν. Μάλιστα, περιλαμβάνονταν και πολλές συνομιλίες μη χρηστών συσκευών της εταιρίας, οι οποίοι απλά τύχαινε να βρίσκονται κοντά σε μία συσκευή.
Στην επιστολή αναφέρεται ότι το σύστημα συνέλεγε κάθε είδους πληροφορίες: ονόματα, διευθύνσεις, μηνύματα, αναζητήσεις, τσακωμούς, συζητήσεις, ταινίες, μουσική, τοποθεσίες. Ο κ. Le Bonniec άκουγε κάθε είδους συνομιλίες: προβλήματα υγείας, κουτσομπολιά, ψυχολογικά προβλήματα, παράνομες σχέσεις, πολιτικές συζητήσεις, σεξουαλικότητα, ναρκωτικά.
Αυτά συνέβαιναν μέσω της Siri, χωρίς καν το σύστημα να είναι σε λειτουργία.
Οι πρώτες καταγγελίες
Λίγες ημέρες μετά τη λήξη της συνεργασίας της εταιρίας με τον κ. Le Bonniec, ένας συνάδελφός του μίλησε στην Guardian, καταθέτοντας τα ίδια στοιχεία που ο κ. Le Bonniec αναφέρει στην επιστολή του.
Το παράδειγμά του ακολούθησαν και άλλοι συνάδελφοί του, συμπεριλαμβανομένου και του κ. Le Bonniec.
Ένα μήνα μετά το δημοσίευμα της Guardian, η Apple προχώρησε σε δημόσιες δηλώσεις για την προστασία της ιδιωτικότητας από τη Siri. Δεσμεύτηκε ότι θα κάνει ό,τι μπορεί για να αυξάνει διαρκώς την ιδιωτικότητα των χρηστών του συστήματος, χωρίς να σχολιάσει ευθέως τις κατηγορίες.
Η Apple δεσμεύτηκε ότι από τον Αύγουστο του 2019 και στο εξής δε θα διατηρεί δεδομένα από τις ηχογραφήσεις της Siri. Θα διατηρούνται μόνο τα δεδομένα που θα συλλέγονται με τη συγκατάθεση των χρηστών και μόνο για σκοπούς βελτίωσης του συστήματος. Στα συγκεκριμένα δεδομένα θα έχουν πρόσβαση μόνο εργαζόμενοι της εταιρίας.
Πιθανή παραβίαση της ιδιωτικότητας εκατομμυρίων ανθρώπων
Ο κ. Le Bonniec ισχυρίζεται ότι παρά τις δηλώσεις της, η Apple δεν τροποποίησε ποτέ τις πρακτικές της και συνεχίζει να συλλέγει και να επεξεργάζεται παράνομα ιδιωτικές συνομιλίες μέσω της Siri.
Οι Αρχές Προστασίας Δεδομένων της ΕΕ δεν έχουν μέχρι στιγμής δώσει τη δέουσα προσοχή στο ζήτημα και δεν έχουν διεξάγει έλεγχο στην Apple και στους υπεργολάβους της σχετικά με τις καταγγελίες των εργαζομένων και πρώην εργαζομένων.
Μετά την επιστολή του κ. Le Bonniec, η οποία ξαναφέρνει το θέμα στην επιφάνεια, κάνοντας μάλιστα λόγο για συνέχεια της πρακτικής της Apple έως σήμερα, οι Αρχές της ΕΕ οφείλουν να εξετάσουν την υπόθεση.
Αν οι σχετικές πρακτικές εφαρμόζονταν πράγματι από την Apple, πρόκειται για σημαντικότατη παραβίαση της Ευρωπαϊκής νομοθεσίας (του GDPR και της Οδηγίας E-privacy).
Οι πιθανές παραβιάσεις μπορεί να επισύρουν πρόστιμα πολλών εκατομμυρίων ευρώ, ακόμη και αν έλαβαν τέλος τον Αύγουστο του 2019
Σε περίπτωση, δε, που συνεχίζονται έως σήμερα, τα πρόστιμα μπορεί να ακόμη σημαντικότερα.
Οι καταγγελίες αφορούν την ιδιωτική ζωή εκατομμυρίων ανθρώπων σε όλο τον κόσμο. Όχι μόνο των χρηστών συσκευών Apple, αλλά και όσων βρίσκονται -περιστασιακά ή σε τακτική βάση- στον ίδιο χώρο με χρήστες συσκευών Apple.
Η κινητοποίηση των Αρχών Προστασίας Δεδομένων αναμένεται με ιδιαίτερο ενδιαφέρον.
Η Homo Digitalis θα απευθυνθεί προς τον EDPS και το EDPB, ζητώντας την περαιτέρω διερεύνηση της υπόθεσης.
Μπορείτε να διαβάσετε το πλήρες κείμενο της επιστολής του κ. Le Bonniec στα αγγλικά εδώ.
H Homo Digitalis συμμετείχε στο "Lighting talks" της DevStaff
Η HomoDigitalis συμμετείχε την Πέμπτη 14/05 στο “Lighting talks” της DevStaff, ένα ψηφιακό στρογγυλό τραπέζι όπου αντιπρόσωποι από διάφορους οργανισμούς παρουσίασαν θέματα και projects με τα οποία ασχολούνται. Η DevStaff αποτελεί τη κοινότητα των developers στην Κρήτη.
Εμείς παρευρεθήκαμε για να παρουσιάσουμε την πλατφόρμα του My Data Done Right, ενός εργαλείου που βοηθάει στην άσκηση των δικαιωμάτων των χρηστών και στην προστασία των ψηφιακών τους δικαιωμάτων.
Το My Data Done Right είναι ένα εργαλείο, το οποίο έχει αναπτύξει η ολλανδική οργάνωση ψηφιακών δικαιωμάτων Bits of Freedom. Έχει ως στόχο να δώσει στους χρήστες τη δυνατότητα να ασκήσουν τα δικαιώματα που τους παρέχει ο GDPR σε μερικά μόνο κλικ. Η Homo Digitalis έχει αναλάβει να αναπτύξει την πλατφόρμα στα ελληνικά και να την ενσωματώσει στις ανάγκες της ελληνικής αγοράς.
Την οργάνωσή μας εκπροσώπησε στη παρουσίαση αυτή ο Στέργιος Κωνσταντίνου. Ευχαριστούμε θερμά την ομάδα της DevStaff για την πρόσκληση!
Για περισσότερα νέα σχετικά με την πλατφόρμα του My Data Done Right… Stay tuned!!
Ασφάλεια υπολογιστών και προστασία της ιδιωτικότητας εν μέσω της πανδημίας COVID-19
Γράφει ο Γιάννης Κωνσταντινίδης*
Zούμε αδιαμφισβήτητα πρωτόγνωρες καταστάσεις. Ενώ φυσικά είναι προτεραιότητα να σωθούν ανθρώπινες ζωές και να περιοριστεί η εξάπλωση του κορωνοϊού, δεν πρέπει να ξεχνάμε τη σπουδαιότητα της θωράκισης μας ενάντια σε ψηφιακές απειλές. Γιατί δυστυχώς, αυτούς τους μήνες παρατηρούμε ότι αρκετοί επιτήδειοι χρησιμοποιούν την πανδημία ως «ευκαιρία» για να εξαπολύσουν επιθέσεις και απάτες μέσω του Διαδικτύου. Όπως θα δούμε στη συνέχεια μέσα από πραγματικά παραδείγματα, από τις κυβερνοεπιθέσεις σημειώνεται τεράστιο αρνητικό αντίκτυπο τόσο στους τελικούς χρήστες του Διαδικτύου όσο και στις κρίσιμες υποδομές που εστιάζουν στην αντιμετώπιση του COVID-19.
Σε αυτό το άρθρο, θα μελετήσουμε ορισμένα πρόσφατα γεγονότα κυβερνοασφάλειας και θα σχολιάσουμε τρόπους με τους οποίους μπορούμε να προστατευτούμε από αυτές. Όσοι εργάζεστε απομακρυσμένα από το σπίτι και χρησιμοποιείτε ψηφιακά εργαλεία τηλεσυνεργασίας και τηλεδιάσκεψης, είναι σημαντικό να ακολουθείτε τις διαδικασίες και κατευθυντήριες γραμμές που έχει θεσπίσει ο εργοδότης σας. Πρέπει να είμαστε εξαιρετικά προσεκτικοί στις ηλεκτρονικές επικοινωνίες (e-communications) και συναλλαγές (e-transactions) μας, γιατί άθελα μας μπορεί να εκθέσουμε τους εαυτούς μας ή/και άλλους.
Ηλεκτρονικό Ταχυδρομείο και SMS
Σε ένα περιστατικό, που δυνητικά «εκμεταλλεύεται» την παρούσα κατάσταση, οι επιτιθέμενοι υποδύονται στελέχη της Ελληνικής Αστυνομίας και αποστέλλουν αληθοφανή μηνύματα ηλεκτρονικού ταχυδρομείου (e-mails) σε υποψήφια θύματα τους. Το περιεχόμενο αυτών των μηνυμάτων έχει συνήθως αυστηρό ύφος, προσπαθεί να δημιουργήσει ένα κλίμα άγχους και προτρέπει τους χρήστες σε μία άμεση ενέργεια. Μέσα από τέτοιες επιθέσεις, οι επιτήδειοι προσπαθούν να παραπλανήσουν τους χρήστες και έχουν πιθανότατα ως απώτερο στόχο να μεταδώσουν κακόβουλο λογισμικό (malicious software) και να αποσπάσουν στοιχεία πιστωτικών καρτών, κωδικούς πρόσβασης σε ηλεκτρονικές υπηρεσίες και κοινωνικά δίκτυα, κ.α.
Στο παρακάτω στιγμιότυπο οθόνης, μπορούμε να δούμε στην πράξη το περιεχόμενο και τη δομή ενός μηνύματος που έφτασε απαρεμπόδιστα στο ηλεκτρονικό γραμματοκιβώτιο (e-mailbox).
Στο παράδειγμα αυτό, δυστυχώς το σύστημα ηλεκτρονικής αλληλογραφίας δεν κατόρθωσε να το χαρακτηρίσει αυτομάτως ως ανεπιθύμητο (spam). Επομένως, δεν πρέπει να βασιζόμαστε εξ’ ολοκλήρου στην παρουσία των προκαθορισμένων μηχανισμών ελέγχου. Χρειάζεται να είμαστε πάντοτε επιφυλακτικοί.
Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως επιστολή της Ελληνικής Αστυνομίας και περιλαμβάνει ύποπτο αρχείο.
Εξετάζοντας λίγο πιο προσεκτικά αυτό το μήνυμα, παρατηρούμε αρχικά ότι η διεύθυνση αποστολής είναι αληθοφανής. Το όνομα χώρου (domain name) που απεικονίζεται είναι το hellenicpolice.gr. Αυτό όμως δεν εξασφαλίζει σε καμία περίπτωση ότι το μήνυμα όντως στάλθηκε επίσημα από την υποδομή της Ελληνικής Αστυνομίας. Έπειτα, βλέπουμε ότι έχει γίνει επισύναψη (attach) ενός αρχείου με κατάληξη .iso που μάλλον δεν είναι κάτι που φυσιολογικά θα περιμέναμε. Ταυτόχρονα, παρατηρούμε ότι υπάρχουν ορθογραφικά λάθη και έλλειψη συνοχής σε αρκετά τμήματα του κειμένου. Τέλος, η επιστολή αυτή ούτε απευθύνεται σε κάποιο συγκεκριμένο άτομο ούτε αναφέρεται σε συγκεκριμένες καταστάσεις και αυτό κινεί αρκετά τις υποψίες.
H ανάγνωση της κεφαλίδας (header) ενός μηνύματος ηλεκτρονικής αλληλογραφίας μπορεί να μας βοηθήσει να κατανοήσουμε περισσότερες πληροφορίες σχετικά με την προέλευση του. Είναι ένας τρόπος που συχνά προδίδει τον επιτιθέμενο. Αυτή η μέθοδος προϋποθέτει ωστόσο κάποιες τεχνικές γνώσεις και σε αυτό το άρθρο δεν σκοπεύουμε να την αναλύσουμε περαιτέρω.
Η Ελληνική Αστυνομία, σε ανακοίνωση της, επιβεβαίωσε το περιστατικό. Φυσικά, παρόμοιες επιθέσεις έχουν εμφανιστεί σε πολλές ακόμη χώρες. Σε τέτοιου είδους απόπειρες προτείνεται η άμεση διαγραφή των μηνυμάτων και η επικοινωνία με τις διωκτικές αρχές εφόσον κρίνεται απαραίτητο.
Σε άλλα επεισόδια που αποτυπώθηκαν από υπηρεσίες κυβερνοασφάλειας του Ηνωμένου Βασιλείου και των Ηνωμένων Πολιτειών, επιθέσεις ηλεκτρονικού ψαρέματος (phishing) πραγματοποιούνται εξίσου μέσω SMS. Συγκεκριμένα, σε ένα μήνυμα που παρουσιάζεται ως επίσημη επικοινωνία της Κυβέρνησης του Ηνωμένου Βασιλείου, οι χρήστες προτρέπονται να επισκεφτούν σύνδεσμο που λέγεται ότι περιέχει πληροφορίες σχετικά με την καταβολή ενός υποτιθέμενου επιδόματος. Αντιθέτως, πρόκειται για παγίδα και οι επιτιθέμενοι επιθυμούν την υποκλοπή λογαριασμών χρηστών, τραπεζικών στοιχείων, κ.α. Πέραν αυτού, τέτοιες επικοινωνίες μπορεί να χρησιμοποιηθούν ως μέσο για επιθέσεις ransomware οι οποίες μπορεί να έχουν ολέθριες συνέπειες για τις υποδομές και τα άτομα που μάχονται ενάντια στον κορωνοϊό.
Απόπειρα ηλεκτρονικού ψαρέματος μέσω SMS που παρουσιάζεται ως επίσημη επικοινωνία της Κυβέρνησης του Ηνωμένου Βασιλείου (πηγή).
Τηλεργασία
Η εργασία από το σπίτι είναι ομολογουμένως δύσκολη, αν σκεφτούμε ότι ίσως να μοιράζονται πολλά άτομα τον ίδιο χώρο. Όμως, οι δραστηριότητες επεξεργασίας εμπιστευτικών ή προσωπικών δεδομένων είναι αναγκαίο να διεκπεραιώνονται σε ένα απομονωμένο μέρος λαμβάνοντας διαρκώς υπόψιν τις κατευθυντήριες γραμμές του εργοδότη και τηρώντας τη νομοθεσία. Δεν αποκαλύπτουμε τα δεδομένα σε όσους δεν έχουν αιτιολογημένη και εξουσιοδοτημένη πρόσβαση και ταυτόχρονα ορίζουμε τεχνικά μέτρα για την προστασία τους από πιθανούς επιτιθέμενους. Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) έχει δημοσιεύσει συμβουλές κυβερνοασφάλειας για την εξ’ αποστάσεως εργασία. Επιπρόσθετες συμβουλές μπορούν μάλιστα να βρεθούν αναρτημένες σε σελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης. Ιδιαίτερα σημαντικές είναι και οι πρόσφατες κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας.
Σε προηγούμενο άρθρο είχε αναφερθεί ότι ακόμα και με το συνδυασμό HTTPS και TLS δεν παρέχεται προστασία απέναντι στην ανάλυση της δικτυακής κίνησης (network traffic analysis). Ένας κακόβουλος αναλυτής μπορεί να είναι σε θέση να παρακολουθήσει τη συμπεριφορά μας και να αντλήσει ουσιαστικές πληροφορίες. Με την αξιοποίηση κατάλληλα ρυθμισμένων εικονικών ιδιωτικών δικτύων (virtual private networks), τα δεδομένα περνούν κρυπτογραφημένα μέσα από «τούνελ» προτού φτάσουν στον εκάστοτε προορισμό καθιστώντας δυσκολότερη την ανίχνευση τους. Τους τελευταίους μήνες έχουν καταγραφεί ραγδαίες αυξήσεις στη χρήση VPNs σε παγκόσμιο επίπεδο. Βέβαια, η επιλογή παρόχων VPNs δεν είναι πάντα εύκολη υπόθεση καθώς μερικοί υποκύπτουν σε κυβερνοεπιθέσεις και άλλοι δε σέβονται την ιδιωτικότητα των χρηστών τους.
Διαθέτει ο εργοδότης μας υπηρεσία VPN; Λογισμικό κρυπτογράφησης; Ακολουθούμε την εκάστοτε προβλεπόμενη διαδικασία και ερχόμαστε σε επικοινωνία με το τμήμα τεχνικής υποστήριξης σε περίπτωση που αντιμετωπίσουμε πρόβλημα ή εάν έχουμε οποιουδήποτε είδους αμφιβολία.
Οι επικοινωνίες σε πραγματικό χρόνο (real-time communications) είναι καθοριστικές στο πλαίσιο της τηλεργασίας. Το FBI των ΗΠΑ έχει προειδοποιήσει για περιπτώσεις όπου άγνωστοι εισήλθαν σε ελεύθερα προσβάσιμες Διαδικτυακές τηλεδιασκέψεις και παρεμπόδισαν την ομαλή τους διεξαγωγή. Οι διοργανωτές των συνεδριών τηλεδιάσκεψης οφείλουν να ελέγχουν ποιοι εισέρχονται σε αυτές και να ορίζουν—όπου καθίσταται δυνατό—κωδικούς εισόδου και άλλα συναφή μέτρα. Προτιμούμε υπηρεσίες και εφαρμογές που προσφέρουν κρυπτογράφηση από-άκρο-σε-άκρο (end-to-end encryption) για τον περιορισμό φαινομένων διαρροής.
Μαθαίνουμε επίσης ότι περίπου πεντακόσιες χιλιάδες στοιχεία λογαριασμών της πλατφόρμας Zoom, γνωστής υπηρεσίας τηλεδιασκέψεων διοχετεύτηκαν στον σκοτεινό ιστό (dark web). Έναν παράγοντα αποτέλεσαν τα προβλέψιμα και αδύναμα συνθηματικά που χρησιμοποιούσαν οι χρήστες. Με τον ορισμό μακροσκελών και πολύπλοκων συνθηματικών και με την ενεργοποίηση—όπου είναι εφικτό—της αυθεντικοποίησης πολλαπλών παραγόντων (multi-factor authentication) διαφυλάσσουμε τους λογαριασμούς μας.
Συσκευές και Λογισμικό
Εμφανίστηκε μία νέα επίθεση που στοχεύει σε οικιακούς δρομολογητές (routers) και κατορθώνει να αλλάξει τις καταχωρημένες ρυθμίσεις DNS—θυμηθείτε ότι έχει γίνει σύντομη αναφορά στο DNS σε προηγούμενο άρθρο—με αποτέλεσμα ορισμένες φορές να ανακατευθύνει τους χρήστες σε διαφορετική σελίδα.
Εκεί, οι επιτιθέμενοι προτρέπουν στους χρήστες να εγκαταστήσουν μία υποτιθέμενη εφαρμογή του Παγκόσμιου Οργανισμού Υγείας (World Health Organization) που προσφέρει ενημέρωση και οδηγίες για τον κορωνοϊό. Στην πραγματικότητα, αποτελεί κακόβουλο λογισμικό με τελικό σκοπό την υποκλοπή κωδικών πρόσβασης και λοιπών πληροφοριών.
Σελίδα στην οποία ανακατευθύνεται ο χρήστης και προτρέπει τη λήψη μίας υποτιθέμενης εφαρμογής του Παγκόσμιου Οργανισμού Υγείας (πηγή).
Κάποιοι προσπαθούν να εκμεταλλευτούν την πιθανή ανησυχία των πολιτών σχετικά με την πανδημία και προωθούν «σκιώδεις» εφαρμογές. Απαιτείται μεγάλη προσοχή κάθε φορά που εγκαθιστούμε λογισμικό. Προτιμούμε να λαμβάνουμε αξιόπιστες εφαρμογές από τα προεπιλεγμένα καταστήματα εφαρμογών (application marketplaces) που αντιστοιχούν στη συσκευή/λειτουργικό σύστημα που χρησιμοποιούμε. Επιπλέον, φροντίζουμε να κρατάμε το λογισμικό μας ενημερωμένο και δε λαμβάνουμε ενημερώσεις από μη-εγκεκριμένες πηγές.
Τελικές Σκέψεις
Με την πανδημία COVID-19 να έχει εξαναγκάσει τους περισσότερους να βρίσκονται στο σπίτι και να χρησιμοποιούν υπηρεσίες του Διαδικτύου για επαγγελματικούς λόγους και για ψυχαγωγία, τα φαινόμενα ηλεκτρονικών επιθέσεων και εγκλημάτων έχουν αυξηθεί. Είναι σημαντικό να βρισκόμαστε σε διαρκή επαγρύπνηση ώστε να εντοπίζουμε και να αντιμετωπίζουμε αποτελεσματικά διάφορες απόπειρες. Ας μην ξεχνάμε βέβαια και όσους δεν έχουν τόσο μεγάλη εξοικείωση με τις νέες τεχνολογίες, παρέχοντας τους συμβουλές και καθοδήγηση σε προβλήματα που ίσως αντιμετωπίζουν.
Για περισσότερες πληροφορίες σχετικά με την προστασία των προσωπικών δεδομένων εν μέσω της πανδημίας του κορωνοϊού, μπορείτε να διαβάσετε το άρθρο της Ελπίδας Βαμβακάς και της Μαρίνας Ζαχαροπούλου. Παράλληλα, ο Ιωάννης Κροντήρης στο άρθρο του δίνει έμφαση στην κινητή τηλεφωνία και στις εφαρμογές ιχνηλάτησης.
*Ο Γιάννης Κωνσταντινίδης εργάζεται ως σύμβουλος σε θέματα κυβερνοασφάλειας και διαχείρισης επικινδυνότητας. Είναι απόφοιτος του Τμήματος Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου και νυν μεταπτυχιακός φοιτητής στον τομέα της Ηλεκτρονικής Διακυβέρνησης. Συμμετέχει επί έτη σε πολλαπλά έργα ελεύθερου και ανοικτού λογισμικού και δίνει ομιλίες σχετικά με θέματα ιδιωτικότητας και προστασίας δεδομένων, πνευματικών δικαιωμάτων και ανοικτών τεχνολογιών.
Υποβολή Υπομνήματος ενώπιον του ΟΠΙ για τη μεταφορά της Οδηγίας 2019/790 (CDSM)
Σήμερα, 14.05.2020, η Homo Digitalis υπέβαλε τις θέσεις και τις προτάσεις της ενώπιον του Οργανισμού Πνευματικής Ιδιοκτησίας (ΟΠΙ) στο πλαίσιο της Ανοιχτής Διαβούλευσης του τελευταίου για τη μεταφορά στην εθνική έννομη τάξη της Οδηγίας (ΕΕ) 2019/790 για τα δικαιώματα πνευματικής ιδιοκτησίας και τα συγγενικά δικαιώματα στην ψηφιακή ενιαία αγορά (Οδηγία CDSM) και την τροποποίηση των Οδηγιών 96/9/ΕΚ και 2001/29/ΕΚ.
Ο στόχος της Οδηγίας είναι να εξασφαλίσει την προστασία των πνευματικών δικαιωμάτων των δικαιούχων και να προσφέρει ένα εναρμονισμένο πλαίσιο για την προστασία των ελευθεριών των χρηστών, ανταποκρινόμενη στις προκλήσεις που προέρχονται από τις τεχνολογικές εξελίξεις. Η ενσωμάτωσή της στο εθνικό δίκαιο θα πρέπει, άρα, να ανταποκρίνεται στην προσπάθεια εξισορρόπησης θεμελιωδών δικαιωμάτων, και στην επίτευξη συνεργασίας μεταξύ των διαδικτυακών παρόχων υπηρεσιών κοινής χρήσης περιεχομένου, και των δικαιούχων.
Με το υπόμνημά της, η Homo Digitalis υποβάλει τις θέσεις και τις προτάσεις της για:
-
- Τα άρθρα 3 και 4 της Οδηγίας, τα οποία αφορούν την εξόρυξη κειμένων και δεδομένων για σκοπούς επιστημονικής έρευνας και προβλέπουν τις σχετικές εξαιρέσεις,
- Το άρθρο 5 της Οδηγίας, το οποίο σχετίζεται με τη χρήση έργων και άλλων αντικειμένων προστασίας σε ψηφιακές και διασυνοριακές διδακτικές δραστηριότητες, και
- Το άρθρο 17 της Οδηγίας, το οποίο αφορά τη χρήση προστατευόμενου περιεχομένου από παρόχους επιγραμμικών υπηρεσιών ανταλλαγής περιεχομένου.
Η συντακτική ομάδα του υπομνήματος αποτελείται από τα μέλη μας (κατ’ αλφαβητική σειρά):
Δρ. Γιαννοπούλου Αλεξάνδρα, Γιβροπούλου Αιμιλία, και Στεργίου Φωτεινή
H Homo Digitalis παραμένει στην διάθεση του Οργανισμού Πνευματικής Ιδιοκτησίας προκειμένου να συζητήσουμε λεπτομερώς τις ως άνω θέσεις και προτάσεις μας.
Τέλος, η Homo Digitalis ευχαριστεί θερμά τις οργανώσεις COMMUNIA και Wikimedia DE για την αγαστή συνεργασία και στήριξη στο πλαίσιο των σχετικών δράσεων μας αναφορικά με τη μεταφορά της Οδηγίας CDSM στην εθνική έννομη τάξη.
Το πλήρες κείμενο του υπομνήματος βρίσκεται διαθέσιμο εδώ.