master_admin

Σήμερα η Homo Digitalis, ανταποκρινόμενη στην πρόσκληση της Επιτροπής του ΟΗΕ για τα Δικαιώματα του Παιδιού, υπέβαλλε έκθεση σχετικά με τα δικαιώματα του παιδιού στο ψηφιακό περιβάλλον.

Η έκθεση θα χρησιμοποιηθει από την Επιτροπή κατά την έκδοση του Γενικού Σχολίου αναφορικά με τα δικαιώματα του παιδιού στο ψηφιακό περιβάλλον.

Μπορείτε να διαβάσετε την έκθεση στα αγγλικά εδώ.

Στις 8-10 Μαΐου η οργάνωσή μας είχε τη μεγάλη τιμή και χαρά να συμμετέχει στην συνάντηση που διοργάνωσαν  οι οργανώσεις noyb και Access Now στην Βιέννη υπό την αιγίδα του Digital Freedom Fund.

Η εκδήλωση αφορούσε την εφαρμογή των διατάξεων του Γενικού Κανονισμού Προσωπικών Δεδομένων στην πράξη και είχε τον τίτλο « Ένας χρόνος μετά τον GDPR: Προώθηση των Δικαιωμάτων μέσω της αποτελεσματικής εφαρμογής των μέτρων επιβολής του νόμου».

Στη συνάντηση συμμετείχαν μέσω πρόσκλησης 15 εκπρόσωποι κορυφαίων οργανισμών της κοινωνίας των πολιτών για να συζητήσουν κοινές δράσεις και να χαράξουν στρατηγική αναφορικά με την εφαρμογή των διατάξεων του GDPR σε ευρωπαϊκό και εθνικό επίπεδο.

Την οργάνωσή μας αντιπροσώπευσε στην εκδήλωση το ιδρυτικό μας μέλος, Λευτέρης Χελιουδάκης.

Θα θέλαμε να ευχαριστήσουμε θερμά τους διοργανωτές τόσο για την πρόσκληση όσο και για την εξαιρετική διοργάνωση της εκδήλωσης.

Σήμερα η Homo Digitalis βρέθηκε στην Ευαγγελική Σχολή Νέας Σμύρνης και μίλησε στους μαθητές της Α’ και Β’ Λυκείου για το ψηφιακό αποτύπωμα και για τα δικαιώματα που έχουν σχετικά με τα προσωπικά τους δεδομένα.

Η παρουσίαση έγινε στο πλαίσιο της προετοιμασίας των μαθητών για τη συμμετοχή τους στη Βουλή των Εφήβων.

Για την παρουσίαση εργάστηκαν οι Μαίρη Μουζάκη, Αναστασία Καραγιάννη, Παναγιώτης Γιαλής, Κίμωνας Γεωργάκης, Μαρία-Αλεξάνδρα Παπουτσή και Κωνσταντίνος Κακαβούλης.

Ευχαριστούμε πολύ τη Διεύθυνση του Λυκείου για την πρόσκληση!

Μείνετε συντονισμένοι! Θα ακολουθήσουν πολλές ακόμα παρουσιάσεις σε σχολεία!

Της Αναστασίας Καραγιάννη *

Πριν από λίγες μέρες έπεσε στην αντίληψή μου το βίντεο ενός χρήστη στο YouΤube, ο οποίος προσπαθούσε να εξηγήσει πώς αυτή η πλατφόρμα διευκολύνει την σεξουαλική εκμετάλλευση των παιδιών από παιδόφιλους. Μάλιστα, σχολίαζε ότι πρόκειται για μία αρκετά επικερδή δραστηριότητα σε αυτόν τον χώρο, καθώς στα συγκεκριμένα βίντεο προβάλλονταν διαφημίσεις, τόσο του Fortnite, όσο και της Disney και άλλων εταιριών!

Αναρωτήθηκα πώς επιτρέπεται αυτό και πώς ήταν τόσο προφανές που το παρατήρησε και το ανακάλυψε;

Στο βίντεο, λοιπόν, που ανέβασε ο Matt Watson παρουσιάζονται ανεβασμένα βίντεο των παιδιών σε καθημερινά στιγμιότυπα, όπως σε αθλητικές δραστηριότητες, σε παιχνίδια, σε πισίνα με μαγιό. Πρόκειται για ‘αθώα’ βίντεο, χωρίς επικίνδυνο, άσεμνο ή πορνογραφικό περιεχόμενο. Ωστόσο, αποκτούν soft porno περιεχόμενο στα μάτια παιδόφιλων, οι οποίοι τα σχολιάζουν, τονίζοντας παγωμένα στιγμιότυπα, και τα προωθούν κατ’ αυτόν τον τρόπο. Δεν διστάζουν, μάλιστα, να προσθέσουν στα σχόλια links-συνδέσεις με υλικό παιδικής πορνογραφίας.

Για την αξιοπιστία του πειράματος που έκανε, ο Matt Watson χρησιμοποίησε έναν ολοκαίνουργιο λογαριασμό στο YouTube και ένα VPN, ώστε οι αναζητήσεις του να μην επηρεαστούν από προηγούμενη δραστηριότητα στην πλατφόρμα.

Το αποτέλεσμα ήταν σοκαριστικό. Τόσο η πλαϊνή γραμμή όσο και η πρώτη σελίδα των αποτελεσμάτων ήταν γεμάτες με βίντεο ανηλίκων σε διάφορες άσεμνες πόζες. Με αυτόν τον τρόπο, απέδειξε ότι οι αλγόριθμοι που χρησιμοποιεί το YouTube και που παραπέμπουν στα βίντεο αυτά είναι πολύ απλοί, καθώς πληκτρολογώντας απλές φράσεις, όπως ‘κορίτσια σε πισίνα’ ή ‘μικρά κορίτσια κάνουν γυμναστική’ εμφανίζονται βίντεο που παραπέμπουν σε υλικό με το περιεχόμενο και τα σχόλια, όπως περιγράφηκε παραπάνω.

Πονοκέφαλο προκαλούν στο Youtube τόσο ο χαρακτηρισμός αυτών των βίντεο και ο τρόπος αντιμετώπισής τους, όσο και το γεγονός ότι αποτελούν μία κερδοσκοπική δραστηριότητα, αφού εξαιτίας της υψηλής θεαματικότητας έχουν τοποθετηθεί διαφημίσεις από γνωστές και μεγάλες εταιρίες.

Σχετικά, λοιπόν, με τον χαρακτηρισμό τους, οι διαθέσιμοι τρόποι σήμανσης των βίντεο που κυκλοφορούν στην πλατφόρμα  είναι η ακατάλληλη γλώσσα που χρησιμοποιείται ή η κάλυψη αμφιλεγόμενων θεμάτων και ευαίσθητων γεγονότων. Δεν είναι, όμως, η πρώτη φορά που το YouTube κατηγορείται ότι θέτει σε κίνδυνο τα παιδιά ή ότι δεν τα προστατεύει από την έκθεσή τους σε παιδόφιλους, μέσα από τα σχόλια που παραθέτουν.

Στη φωτογραφία βλέπουμε τους διαθέσιμους τρόπους σήμανσης ενός βίντεο στο YouTube

Το 2018, μια έρευνα του Times of London έδειξε ότι το YouTube δεν κατάφερε να απομακρύνει άμεσα τις ζωντανές ροές-live streamings με ακατάλληλο περιεχόμενο. Το 2017, μάλιστα, η Google δέχθηκε επικρίσεις από το πρόγραμμα Trusted Flagger που διαθέτει το YouTube, στο οποίο συμμετέχουν και ειδικοί παιδικής προστασίας, έπειτα από τις διαμαρτυρίες τους για απουσία δράσης και αντιμετώπισης σχετικά με τον κίνδυνο για σεξουαλική εκμετάλλευση παιδιών, τόσο εξαιτίας απρεπών φωτογραφιών όσο και άσεμνων σχολίων.

Σε μια συνέντευξη που παραχώρησε το 2017 στην Forbes, αν και δεν δημοσιεύτηκε, ένας από τους συμμετέχοντες σε αυτή την εκστρατεία ευαισθητοποίησης, εξέφρασε την δυσαρέσκειά του σχετικά με τον αργό ρυθμό που το YouTube ανταποκρίθηκε και διαχειρίστηκε τις αναφορές που υποβλήθηκαν. Μετά από την υποβολή 526 αναφορών που υποβλήθηκαν σε λιγότερο από 60 ημέρες σχετικά την ασφάλεια των παιδιών στην πλατφόρμα, οι ίδιοι έλαβαν συνολικά μόνο 15 απαντήσεις, ενώ μόλις οι 8 εξετάστηκαν για τον έλεγχο παραβίασης των Κοινοτικών Οδηγιών. Εκπρόσωπος του YouTube δεσμεύτηκε ότι θα προσπαθήσει να προσθέσει μία λειτουργία αναθεώρησης σχολίων και θα προσλάβει επιπλέον προσωπικό για να διαχειριστεί αυτήν την κατάσταση.

Στα ίδια πλαίσια, θα πρέπει να γίνει αναφορά και στο ερευνητικό τεύχος του Daily Dot του 2013 σχετικά με το ποσοστό των παιδόφιλων που έρχονται σε επαφή με ανηλίκους μέσω σχολίων στο YouTube. Τα βίντεο που προσελκύουν το ενδιαφέρον των  παιδόφιλων χρονολογούνται από το 2013, ενώ εξακολουθούν να αναπαράγονται και το 2019! Εκατομμύρια σχόλια και περισσότερα από 400 κανάλια στο YouTube διαγράφηκαν για τα απρεπή σχόλια και τα άσεμνα βίντεο που προωθούσαν,  όπως ανέφερε η Chi Hea Cho, εκπρόσωπος της Google, μητρικής εταιρίας του YouTube. Μάλιστα, η Chi Hea Cho επισήμανε ότι ανέφερε αυτές τις παράνομες δραστηριότητες και στο Εθνικό Κέντρο για τα Εξαφανισμένα και Κακοποιημένα Παιδιά.

Τα παιδιά που μαγνητοσκοπούν και ανεβάζουν τα βίντεο αυτά είναι, σχεδόν σε όλες τις περιπτώσεις, κάτω των 13 ετών. Και αναρωτιέμαι:

-Γιατί δεν αντιδρούν οι γονείς τους;

-Πώς επιτρέπεται να αναπαράγεται αυτό το υλικό, εφόσον το YouTube γνωρίζει το πώς χρησιμοποιείται και προωθείται;

-Αντί για κατασταλτικά μέτρα, γιατί δεν λαμβάνουν τόσο η Google όσο και το YouTube προληπτικά μέτρα;

-Αντί για διαγραφή σχολίων και λογαριασμών, κατόπιν εορτής, γιατί αυτές οι πλατφόρμες δεν αναπτύσσουν φίλτρα προστασίας και δεν εφαρμόζουν πολιτικές σύμφωνες με τους κανόνες παιδικής προστασίας;

Η Epic Games και η Nestle απέσυραν τις διαφημίσεις τους σε αντίστοιχα βίντεο από τις δύο πλατφόρμες. Αρκεί όμως αυτό;

*Η Αναστασία Καραγιάννη είναι νομικός με εξειδίκευση στα ψηφιακά δικαιώματα των παιδιών. Είναι μέλος της Homo Digitalis και συνδημιουργός της ChildAct, η οποία έχει ως σκοπό την προστασία των ψηφιακών δικαιωμάτων των παιδιών. Στις 8 Νοεμβρίου 2018 εκπροσώπησε τη Homo Digitalis στη συνεδρίαση με θέμα ‘Facebook και άλλοι κοινωνικοί κίνδυνοι’, που έλαβε χώρα στο Ευρωπαϊκό Κοινοβούλιο.

Του Αναστάσιου Αραμπατζή*

Το τελευταίο χρονικό διάστημα υπάρχει έντονο ενδιαφέρον και επενδύσεις στον τομέα της Τεχνητής Νοημοσύνης από εταιρείες που ελπίζουν να αξιοποιήσουν τη δύναμη αυτόνομων λύσεων με δυνατότητες μάθησης. Η τεχνητή νοημοσύνη χρησιμοποιείται ήδη από οργανισμούς στον ασφαλιστικό κλάδο, στην έρευνα για τον καρκίνο του μαστού, σε χρηματοπιστωτικούς οργανισμούς και στην επιβολή του νόμου.

Εντούτοις, σύμφωνα με μία πρόσφατη έρευνα της ESET, οι υψηλές προσδοκίες των επιχειρήσεων και η παραπλανητική διαφήμιση προϊόντων τεχνητής νοημοσύνης έχουν δημιουργήσει μία υπερβάλλουσα δημοσιότητα σχετικά με την τεχνητή νοημοσύνη, σε σημείο που το 75% των υψηλόβαθμων στελεχών συστημάτων πληροφορικής να θεωρούν την τεχνητή νοημοσύνη ως πανάκεια για τα θέματα κυβερνοσφάλειας των εταιρειών τους. Τέτοιες προσδοκίες, σε συνδυασμό με το επίπεδο της τεχνολογίας της τεχνητής νοημοσύνης, θέτουν τους οργανισμούς σε κίνδυνο. Παρότι η τεχνητή νοημοσύνη είναι εκπληκτικά χρήσιμη στην υποβοήθηση λήψεως αποφάσεων από τους ανθρώπους, από μόνη της δεν μπορεί να αντικαταστήσει μία στρατηγική ασφάλειας πληροφοριών.

Ας πάρουμε για παράδειγμα τις προσπάθειες του Facebook να καταπολεμήσει και να μειώσει τις “ψευδείς ειδήσεις” που διαδίδονται με εκπληκτική ταχύτητα μέσω της πλατφόρμας του.  Η πλατφόρμα κοινωνικής δικτύωσης χρησιμοποίησε τους καλύτερους μηχανικούς της για να αναπτύξουν εργαλεία τεχνητής νοημοσύνης για τον εντοπισμό και εξάλειψη ψευδών ειδήσεων. Παρά τις έντονες προσπάθειές τους, ο Greg Marra, διευθυντής παραγωγής στη Facebook, παραδέχθηκε ότι “μπορούμε να μειώσουμε την εμφάνιση ψευδών ειδήσεων μόνο κατά 80%”. Εάν η τεχνητή νοημοσύνη επιλύει μόνο το 80% των θεμάτων ψευδών ειδήσεων στο Facebook, τότε οι εταιρείες προϊόντων κυβερνοασφάλειας κάνουν μη ρεαλιστικούς ισχυρισμούς.

Η σκληρή αλήθεια είναι ότι μεγάλο μέρος του ενθουσιασμού που περιβάλλει την τεχνητή νοημοσύνη είναι υπερβολή. Εντούτοις η τεχνητή νοημοσύνη προσφέρει ελπίδες για υψηλής νοημοσύνης λύσεις. Είναι ώρα για ένα τεστ αλήθειας: τι μπορεί και τι δεν μπορεί να κάνει η τεχνητή νοημοσύνη;

• Η τεχνητή νοημοσύνη μπορεί να βοηθήσει στο επίπεδο κυβερνοασφάλειας ενός οργανισμού

Η αλήθεια είναι ότι ο τομέας της κυβερνοσφάλειας είχε ανάγκη μία τεχνολογία σαν την τεχνητή νοημοσύνη λόγω των σημαντικών αλλαγών στο τοπίο των απειλών και της έλλειψης εξειδικευμένου προσωπικού για τη στελέχωση θέσεων εργασίας κυβερνοασφάλειας.

Τα τελευταία χρόνια σχεδόν κάθε οργανισμός έχει μετασχηματιστεί ψηφιακά (digital transformation). Ο όρος “ψηφιακός μετασχηματισμός” υπονοεί τη χρήση ψηφιακών τεχνολογιών για την εκτέλεση μίας διαδικασίας ώστε αυτή να γίνει περισσότερο αποδοτική ή αποτελεσματική. Η γενική ιδέα είναι η χρήση της τεχνολογίας όχι μόνο για να αντιγράψουμε μία υφιστάμενη υπηρεσία σε ψηφιακή μορφή, αλλά για να μετασχηματίσουμε αυτή την υπηρεσία σε κάτι σημαντικά καλύτερο. Ο ψηφιακός μετασχηματισμός μπορεί να περιλαμβάνει πολλές τεχνολογίες, αλλά οι πιο σύγχρονες τάσεις είναι το cloud computing, το Internet of Things (IoT), τα μεγάλα δεδομένα (big data) και η τεχνητή νοημοσύνη.

Εκτός από τη χρήση τεχνολογίας, ο ψηφιακός μετασχηματισμός είναι μία αλλαγή στην κουλτούρα των οργανισμών η οποία επιβάλλει στους οργανισμούς να προκαλούν συνεχώς την υφιστάμενη κατάσταση, να πειραματίζονται και να μαθαίνουν από τις από αποτυχίες τους. Στη σημερινή εποχή το μόνο σταθερό είναι ότι όλα αλλάζουν και η κουλτούρα των οργανισμών πρέπει να διευκολύνει την αλλαγή.

Η χρήση τέτοιων τεχνολογιών έχει ανοίξει νέους ορίζοντες για τις ικανότητες των οργανισμών αλλά έχει επίσης δημιουργήσει νέες πολυπλοκότητες, διασυνδέσεις και σημεία τρωτοτήτων τα οποία οι κυβερνοεγκληματίες έμαθαν πολύ γρήγορα να εκμεταλλεύονται. Οι παραδοσιακές προσεγγίσεις της περιμετρικής ασφάλειας και κυβερνοσφάλειας δεν ισχύουν πλέον για τον νέο, ψηφιακό οργανισμό. Την ίδια στιγμή, οι ομάδες κυβερνοσφάλειας που αποτελούνται μόνο από ανθρώπους δεν μπορούν να επεξεργαστούν την πλημμύρα δεδομένων απειλών με την οποία έρχονται αντιμέτωποι κάθε μέρα.

Όπως αναφέρει χαρακτηριστικά η σελίδα Security Intelligence της IBM, οι αναλυτές δεδομένων ασφαλείας είναι υπερφορτωμένοι, υποστελεχωμένοι και παρουσιάζουν σημάδια κούρασης και εξόντωσης. Είναι ανθρωπίνως αδύνατο να συμβαδίσουμε με το διαρκώς εξελισσόμενο και εκτεινόμενο πεδίο των απειλών, ειδικά εάν λάβουμε υπόψη τις καθημερινές εργασίες και λειτουργίες ενός κέντρου επιχειρήσεων ασφαλείας (Security Operations Center, SOC). Τι μπορεί να κάνει η τεχνητή νοημοσύνη για να βελτιωθεί αυτή η κατάσταση; Σύμφωνα με μία πρόσφατη αναφορά του Ponemon, οι οργανισμοί οι οποίοι κατάφεραν να αναγνωρίσουν μια παραβίαση ασφαλείας σε λιγότερο από 100 ημέρες κέρδισαν περισσότερο από 1 εκατομμύριο δολάρια σε σύγκριση με αυτούς τους οργανισμούς όπου παρόμοια περιστατικά παρέμειναν άγνωστα για περισσότερο από 100 ημέρες. Παρομοίως, οι οργανισμοί που κατάφεραν να περιορίσουν την παραβίαση σε λιγότερο από 30 ημέρες κέρδισαν άνω του 1 εκατομμυρίου δολαρίων σε σύγκριση με αυτούς που χρειάστηκαν περισσότερο χρόνο.

Η ταχύτητα, ακρίβεια και υπολογιστική ισχύς της τεχνητής νοημοσύνης προσφέρουν μια μοναδική ευκαιρία για την προστασία ενός οργανισμού χωρίς περίμετρο ασφαλείας και για συνεχή επεξεργασία του τεράστιου όγκου δεδομένων απειλών που αντιμετωπίζουν οι οργανισμοί σε καθημερινή βάση. Αυτό γίνεται λόγω του ότι η τεχνητή νοημοσύνη λειτουργεί εξαιρετικά καλά σε επαναλαμβανόμενες εργασίες όπως η αναζήτηση συγκεκριμένων μοτίβων επιθέσεων. Έτσι, η υλοποίηση της τεχνητής νοημοσύνης στους οργανισμούς μπορεί να βοηθήσει στην αποτελεσματική αντιμετώπιση της έλλειψης πόρων που αντιμετωπίζουν τα περισσότερα κέντρα επιχειρήσεων ασφαλείας και μπορεί να προσφέρει οφέλη μεγέθους κλίμακας στην πρόληψη και αναγνώριση προσβολών, στην αναγνώριση απάτης και στην κακή χρησιμοποίηση πιστοποιητικών ταυτοποίησης.

Επιπρόσθετα, οι αλγόριθμοι τεχνητής νοημοσύνης μπορούν να εφαρμοστούν για την συμπεριφορική ανάλυση χρηστών και δικτύων. Για παράδειγμα οι αλγόριθμοι μπορούν να χρησιμοποιηθούν για τη διερεύνηση δραστηριοτήτων ανθρώπων και συσκευών ώστε να σηματοδοτηθούν πιθανές κακόβουλες δραστηριότητες εκ των έσω.

• Η Τεχνητή Νοημοσύνη Δεν Είναι Μαγεία

Ο Arthur Clarke είχε γράψει ότι “Οποιαδήποτε ικανοποιητικά προηγμένη τεχνολογία δεν διακρίνεται από τη μαγεία”. Αυτό όμως δεν είναι αλήθεια για την τεχνητή νοημοσύνη. Ο επικεφαλής Τεχνητής Νοημοσύνης της Google, Rodney Brooks, σημειώνει ότι “Η Τεχνητή Νοημοσύνη έχει υπερεκτιμηθεί ξανά και ξανά, και τη δεκαετία του 1960, και τη δεκαετία του 1980 και πάλι σήμερα, αλλά οι μακροπρόθεσμες προοπτικές της έχουν υποεκτιμηθεί”. Στην πραγματικότητα, σύμφωνα με τον Brooks, η Τεχνητή Νοημοσύνη είναι μία ακόμα εφαρμογή του νόμου του Amara, ο οποίος λέει ότι “Τείνουμε να υπερεκτιμάμε την επίδραση της τεχνολογίας βραχυπρόθεσμα, και να υποεκτιμούμε την μακροπρόθεσμη επίδρασή της”.

Ένα λάθος που κάνουμε είναι η τάση να θεωρούμε την Τεχνητή Νοημοσύνη ως ένα είδος “μαγικής σκόνης” που την ψεκάζουμε σε ένα οργανισμό και αυτός, ξαφνικά, γίνεται πιο έξυπνος. Ο Andrew Moore, επικεφαλής του Τμήματος Επιχειρήσεων Cloud AI της Google, είπε πρόσφατα ότι “η Τεχνητή Νοημοσύνη αφορά τη χρήση μαθηματικών ώστε οι μηχανές να παίρνουν αληθινά καλές αποφάσεις. Επί του παρόντος δεν αφορά την εξομοίωση της ανθρώπινης νοημοσύνης. Η επίλυση προβλημάτων τεχνητής νοημοσύνης περιλαμβάνει πολλή μηχανική, πολλά μαθηματικά και γραμμική άλγεβρα. Δεν είναι με κανένα τρόπο μία μαγικού τύπου λύση”.

Στην πραγματικότητα οι σημερινοί αλγόριθμοι τεχνητής νοημοσύνης δεν είναι τίποτα άλλο από παραδοσιακοί αλγόριθμοι εκμάθησης μηχανών. Η εκμάθηση μηχανών χρησιμοποιεί στατιστικές τεχνικές για να δώσει στους υπολογιστές την ικανότητα να “μαθαίνουν”. Χρησιμοποιούν δηλαδή δεδομένα για να βελτιώνουν σταδιακά την απόδοση των υπολογιστών σε συγκεκριμένες εργασίες χωρίς επιπρόσθετο προγραμματισμό. Ένα σύστημα εκμάθησης μηχανών είναι ένα σύνολο αλγορίθμων που δέχεται πακέτα δεδομένων και αποδίδει συσχετισμούς, προτάσεις και ίσως και αποφάσεις. Η εν λόγω τεχνολογία είναι ήδη πανταχού παρούσα: κάθε “συναλλαγή” μας με την Google, την Amazon, την Facebook και τη Spotify διευκολύνεται από συστήματα εκμάθησης μηχανών.

Εν κατακλείδι, όπως ανέφερε η Fei-Fei Li, καθηγήτρια στο Πανεπιστήμιο του Stanford, “δεν υπάρχει τίποτα το τεχνητό στην τεχνητή νοημοσύνη. Είναι εμπνευσμένη από ανθρώπους, έχει δημιουργηθεί από ανθρώπους και – το πιο σημαντικό – επηρεάζει τους ανθρώπους. Είναι ένα πολύ δυνατό εργαλείο που μόλις αρχίζουμε να το καταλαβαίνουμε και αυτό εμπεριέχει μεγάλη ευθύνη”.

• Η Τεχνητή Νοημοσύνη δεν Εξαλείφει την Ανθρώπινη Νοημοσύνη

Η τεχνητή νοημοσύνη εστιάζει κυρίως στην ανάπτυξη της εκμάθησης των μηχανών, ώστε να επεξεργάζονται τεράστιες ποσότητες δεδομένων απειλών. Η ικανότητα της τεχνητής νοημοσύνης να πραγματοποιεί αυτές τις δραστηριότητες χωρίς περιορισμούς και σε σχεδόν πραγματικό χρόνο, την κάνει ένα πολύτιμο σύμμαχο για την υλοποίηση ενός μοντέρνου, αποτελεσματικού προγράμματος κυβερνοασφάλειας. Αυτές οι δραστηριότητες μπορούν να πραγματοποιηθούν σε κάθε στάδιο της κυβερνοσφάλειας, επιτρέποντας στη τεχνητή νοημοσύνη να προσφέρει αξία πριν, κατά και μετά την εκδήλωση μίας κυβερνοεπίθεσης. Αλλά, η τεχνητή νοημοσύνη δεν αντιγράφει την ανθρώπινη ενόραση. Δεν αναιρεί την απαίτηση για ανθρώπινους εμπειρογνώμονες στην κυβερνοασφάλεια.

Όπως αναφέρεται και σε ένα άρθρο του περιοδικού Computer Weekly, τα εργαλεία εκμάθησης μηχανών είναι “πολύτιμα” για την ανάλυση κακόβουλου λογισμικού διότι είναι ικανά να μάθουν γρήγορα τη διαφορά μεταξύ καθαρών και μολυσμένων δεδομένων όταν τροφοδοτούνται με κατάλληλα δείγματα. Αυτές οι μηχανές είναι τόσο καλές όσο και τα δεδομένα που εισάγονται σε αυτές. Σε τελική ανάλυση, είναι ο άνθρωπος που χρειάζεται να ξέρει πως να ρωτήσει τις κατάλληλες ερωτήσεις ώστε να αξιοποιήσει στο μέγιστο τις δυνατότητες της τεχνητής νοημοσύνης.

Τα διάφορα εργαλεία τεχνητής νοημοσύνης μπορούν να καταγράψουν και να αναφέρουν βασικά δεδομένα συστήματος ακόμα και χωρίς την ανθρώπινη επίβλεψη, αλλά δεν μπορούν να σχεδιάσουν έξυπνα σχέδια ανταπόκρισης σε απειλές. Η τελευταία δήλωση είναι σύμφωνη και με τα ευρήματα πρόσφατης έρευνας του ινστιτούτου Ponemon ότι το 55% των συναγερμών ασφαλείας που ανιχνεύονται από συστήματα τεχνητής νοημοσύνης απαιτεί ενέργειες από τον άνθρωπο.

• Προκατειλημμένοι Αλγόριθμοι

Η τεχνητή νοημοσύνη έχει ένα ακόμα πρόβλημα: οι προκαταλήψεις και οι αντιλήψεις των δημιουργών των αλγορίθμων αποτυπώνονται σε αυτούς. Όπως σημειώνει και η καθηγήτρια του Stanford, Fei-Fei Li, συστήματα τεχνητής νοημοσύνης είναι “εισαγωγή προκαταλήψεων και παραγωγή προκαταλήψεων”. Παρότι οι αλγόριθμοι που βρίσκονται πίσω από την τεχνητή νοημοσύνη φαίνεται να είναι ουδέτεροι, τα δεδομένα που παράγονται από αυτούς δεν είναι. Αυτό που έχει σημασία είναι οι άνθρωποι που δημιουργούν αυτούς τους αλγορίθμους και γιατί τους δημιουργούν.

Για το ίδιο θέμα, ο Justin Sherman, ερευνητής κυβερνοσφάλειας στο ινστιτούτο New America έγραψε ότι: “Αυτό που παραβλέπεται συχνά είναι η διασύνδεση μεταξύ αλγορίθμων και προκαταλήψεων. Αντίθετα με το τι πιστεύουν πολλοί από εμάς, η τεχνολογία δεν είναι αντικειμενική. Οι αλγόριθμοι της τεχνητής νοημοσύνης και η διαδικασία λήψης αποφάσεων καθορίζονται από τα άτομα που τα δημιουργούν. Ο κίνδυνος των προκατειλημμένων αλγορίθμων είναι ήδη μεγάλος. Ως κοινωνία διατρέχουμε μεγάλο κίνδυνο εισάγοντας τις προκαταλήψεις μας – ρατσισμός, ξενοφοβία, σεξισμός, κοινωνικός αποκλεισμός – σε μηχανές που θα παραχθούν σε μαζικούς αριθμούς και θα θεωρούμε ότι λειτουργούν με τεχνολογική αντικειμενικότητα”.

• Τεχνητή Νοημοσύνη: Εχθρός ή Φίλος;

Τα εργαλεία για την ανάπτυξη συστημάτων τεχνητής νοημοσύνης είναι διαθέσιμα σε όλους. Αναμένεται, λοιπόν, οι κακόβουλοι δρώντες να τα εκμεταλλευτούν και να δημιουργήσουν τεχνολογίες και τεχνικές κυβερνοεπιθέσεων βασισμένες στην τεχνητή νοημοσύνη, οι οποίες θα είναι πιο εξελιγμένες από ότι οι τεχνολογίες που χρησιμοποιούνται για την υπεράσπιση των οργανισμών. “Οι εγκληματίες είναι το ίδιο εξειδικευμένοι με τις κοινότητες που αναπτύσσουν τεχνολογίες για την υπεράσπισή τους. Χρησιμοποιούν τις ίδιες τεχνικές, όπως έξυπνες επιθέσεις phishing ή ανάλυση της συμπεριφοράς των πιθανών στόχων για να επιλέξουν τον κατάλληλο τρόπο επίθεσης ή ακόμα “έξυπνο” κακόβουλο λογισμικό το οποίο κρύβεται όταν καταλάβει ότι κάποιος το παρακολουθεί”.

Οι πιο κοινοί τρόποι με τους οποίους οι κυβερνοεγκληματίες μπορούν να χρησιμοποιήσουν την τεχνητή νοημοσύνη είναι η μείωση της αποτελεσματικότητας των αλγορίθμων με μόλυνση των δεδομένων από τα οποία τροφοδοτούνται, κυβερνοεγκλήματα με χρήση chatbots τα οποία αναλύουν και μιμούνται την ανθρώπινη συμπεριφορά, απάτες κλοπής ταυτοτήτων, phishing και επιθέσεις άρνησης παροχής υπηρεσιών (Distributed Denial of Services, DDoS).

• Υλοποίηση Τεχνολογίας Τεχνητής Νοημοσύνης

Πέρα από το τι μπορεί να κάνει η τεχνητή νοημοσύνη για να αυξήσει το επίπεδο της εταιρικής ασφάλειας, οι εταιρείες πρέπει να σκεφτούν τον τρόπο υλοποίησης αυτής της τεχνολογίας. Πως μπορούν οι οργανισμοί να αναπτύξουν αποτελεσματικά λύσεις τεχνητής νοημοσύνης ώστε να μεγιστοποιήσουν τα αποτελέσματα;

Αρχικά, οι εταιρείες πρέπει “να σταματήσουν να σκέφτονται ότι η τεχνητή νοημοσύνη είναι μαγεία”. Η τεχνητή νοημοσύνη δεν είναι πανάκεια και δεν θα λύσει όλες τις προκλήσεις ασφαλείας. Η τεχνητή νοημοσύνη θα αυξήσει την απόδοση μόνο εάν χρησιμοποιηθεί εκεί που προσθέτει πραγματική αξία, εάν βοηθά στην επίτευξη του σκοπού της εταιρείας. Είναι αναγκαίο οι ομάδες που στελεχώνουν τα κέντρα επιχειρήσεων ασφαλείας να κατανοήσουν τις δυνατότητες και τους περιορισμούς της τεχνητής νοημοσύνης.

Επίσης πρέπει να βεβαιωθούν ότι μπορούν να ωφεληθούν από την τεχνητή νοημοσύνη μέσω της αυτοματοποίησης των διαδικασιών της ανάλυσης τυποποιημένων απειλών ώστε οι άνθρωποι να εστιάσουν στο μικρό ποσοστό κακόβουλων και πολύπλοκων δραστηριοτήτων. Εκμεταλλευόμενοι τις δυνατότητες της τεχνητής νοημοσύνης, τα κέντρα επιχειρήσεων μπορούν να διπλασιάσουν τον αριθμό των περιστατικών που μπορούν να διαχειριστούν χωρίς να διπλασιάσουν τον αριθμό των αναλυτών.

• Συμπέρασμα

Η τεχνητή νοημοσύνη είναι πολύ σημαντική και μπορεί να αλλάξει τις ζωές μας με τρόπους που δεν μπορούμε ακόμα να φανταστούμε. Είναι όμως αφελές να ισχυριζόμαστε ότι αυτό έχει ήδη συμβεί. Η τεχνητή νοημοσύνη έχει τεράστιες δυνατότητες και όπου έχει χρησιμοποιηθεί έχει βελτιώσει σημαντικά την ταχύτητα και την ακρίβεια. Εάν συνδυαστεί με τις κατάλληλες διαδικασίες και δεξιότητες καθώς και την κατάλληλη σχεδίαση για ενσωμάτωση στον τρόπο λειτουργίας του οργανισμού, τότε είναι πιθανό να μεγιστοποιήσουμε τα οφέλη της τεχνητής νοημοσύνης και να θέσουμε τα θεμέλια για τη μελλοντική μηχανική ευφυΐα.

* Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Σήμερα αρθρογραφεί για τη στήλη State of Security της εταιρείας Tripwire και για το blog της Venafi. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.

Δύο έτη μετά την θέση σε ισχύ των νέων κανόνων για την δικτυακή ουδετερότητα, η Ευρωπαϊκή Επιτροπή δημοσίευσε σήμερα, 30.04.2019, την έκθεσή της αναφορικά με την εφαρμογή των διατάξεων αυτών από τα Κράτη Μέλη.

Δυστυχώς, η έκθεση της Ευρωπαϊκής Επιτροπής δεν προσφέρει την αναγκαία διεξοδική ανάλυση που θα περίμενε κανείς. Συγκεκριμένα, καταλήγει, παρά το μέγεθός της, σε γενικά και επιφανειακά συμπεράσματα, χωρίς να κάνει λόγο για τις παραλείψεις στις οποίες έχουν προβεί συγκεκριμένα Κράτη Μέλη, συμπεριλαμβανομένης της χώρας μας, αναφορικά με την εφαρμογή των διατάξεων αυτών.

Οι εν λόγω παραλείψεις έχουν τονισθεί από αντίστοιχες πρόσφατες μελέτες που διεξήγαγαν αναγνωρισμένες οργανώσεις της κοινωνίας των πολιτών, όπως εκείνη της Εpicenter.works.

Αντιδρώντας στην κατάσταση που έχει δημιουργηθεί και προκειμένου να εκφράσουν ανοιχτά τους κινδύνους που ενυπάρχουν στην Ευρωπαϊκή Ένωση αναφορικά με τη δικτυακή ουδετερότητα, 29 οργανώσεις της κοινωνίας των πολιτών, μεταξύ των οποίων και η Homo Digitalis, απέστειλαν σήμερα ανοιχτή επιστολή προς της Ευρωπαϊκή Επιτροπή και το Φορέα Ευρωπαϊκών Ρυθμιστικών Αρχών για τις Ηλεκτρονικές Επικοινωνίες (BEREC).

Η επιστολή τονίζει την ανάγκη να εξασφαλιστεί στη πράξη η προστασία των χρηστών του διαδικτύου (φυσικά και νομικά πρόσωπα), ώστε η κυκλοφορία στο διαδίκτυο να συμμορφώνεται ουσιαστικά με την αρχή της μη διακριτικής μεταχείρισης. Η επιστολή αυτή αποσκοπεί στο να ανοίξει τον διάλογο με τα ευρωπαϊκά όργανα προκειμένου η επικείμενη αναθεώρηση των κατευθυντήριων γραμμών του BEREC, να αποτελέσει μια αληθινή ευκαιρία βελτίωσης της προβληματικής κατάστασης που έχει δημιουργηθεί.

Αυτό που επιθυμούμε είναι μία αληθινή ψηφιακή ενιαία αγορά που προστατεύει και προωθεί την ανοιχτή, ουδέτερη, και χωρίς διακρίσεις πρόσβαση στο διαδίκτυο.

Το κείμενο της επιστολής βρίσκεται εδώ.

Τα πνευματικά δικαιώματα στην ανωτέρω φωτογραφία ανήκουν στην Any IP Ltd .

της Θεοδώρας Φιρίγγου.*

Σημείωση: Το πρωτότυπο άρθρο είναι δημοσιευμένο στα αγγλικά. Η παρούσα εκδοχή είναι μεταφρασμένη στα ελληνικά από την ομάδα εθελοντών της Homo Digitalis.

Χρησιμοποιώντας τις διάφορες ηλεκτρονικές υπηρεσίες, δεν μπορούμε παρά να μην παρατηρήσουμε ότι βομβαρδιζόμαστε διαρκώς από προτάσεις για διαδικτυακό περιεχόμενο της αρεσκείας μας, προϊόντα, αλλά και υπηρεσίες διαφόρων διαφημιστών.

Το YouTube και το Netflix, για παράδειγμα, προβάλλουν προτεινόμενα βίντεο, το Spotify παρέχει βοήθεια για την ανακάλυψη νέας μουσικής με το Spotify Radar, ενώ το Facebook και άλλες πλατφόρμες διαφημίζουν προϊόντα σύμφωνα με τις προηγούμενες αναζητήσεις των χρηστών τους. Κοινός παρανομαστής για τη χρήση τέτοιων αλγοριθμικών συστημάτων από τους διάφορους παρόχους ηλεκτρονικών υπηρεσιών είναι η επιθυμία τους να “ικανοποιούν” το χρήστη, ενισχύοντας την εξατομικευμένη του ψηφιακή εμπειρία.

Ωστόσο, είναι αυτή η απόπειρα να εξατομικευθεί η αλληλεπίδρασή σου με την εκάστοτε υπηρεσία πράγματι τόσο αθώα και πώς ένας αλγόριθμος αποφασίζει για το τι θα σου άρεσε να δεις ή να ακούσεις;

Ίσως να σου έχει συμβεί: γνωρίζεις κάποιον, και έπειτα λαμβάνεις ξαφνικά πρόταση από το Facebook να κάνεις αίτημα φιλίας σε αυτό το άτομο· ή συζητάς για ένα προϊόν στην εφαρμογή Messenger  και το ίδιο προϊόν ύστερα διαφημίζεται στην αρχική σου σελίδα στο Facebook. Δεν είναι τρομακτικό; Και τι θα συμβεί εάν τα πράγματα γίνουν πιο σοβαρά, πχ. στην περίπτωση που ένας χρήστης καταλήξει εγκλωβισμένος σε μια φιλτραρισμένη φούσκα περιορισμένης θεώρησης του κόσμου, ή εάν υπάρξει θύμα διακριτικής μεταχείρισης κατά την προσφορά μιας προτεινόμενης θέσης εργασίας;

Όντας προβληματισμένη από μία σειρά αναπάντητων ερωτημάτων, επεδίωξα να διεκπεραιώσω μια έρευνα αναφορικά με το δικαίωμα αιτιολόγησης. Πέντε μήνες αργότερα και έχοντας διεξάγει εμπειρική έρευνα ασκώντας το δικαίωμα μου κατά παρόχων ηλεκτρονικών υπηρεσιών, έλαβα βραβείο για τη διατριβή μου στην αλγοριθμική λογοδοσία και το δικαίωμα αιτιολόγησης. Με αυτό το άρθρο θα ήθελα να μοιραστώ κάποιες από τις διαπιστώσεις μου μαζί με το κοινό της Homo Digitalis.

Εντοπισμός του προβλήματος

Εξαιτίας της πολυσύνθετης και αδιαφανούς φύσης των αλγοριθμικών συστημάτων, η εκτεταμένη χρήση τους στην αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, έχει προξενήσει ερωτήματα σχετικά με θέματα διαφάνειας και λογοδοσίας. Οι αλγόριθμοι νοούνται ως ένα “μαύρο κουτί” και έτσι επιβραδύνουν κάθε απόπειρα αξιολόγησης της διαδικασίας λήψης αποφάσεων και των αποτελεσμάτων αυτής.

Ταυτόχρονα, οι διατάξεις της Ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων, όπως εκείνες του Γενικού Κανονισμού για την Προστασία Δεδομένων (“GDPR”), προβλέπουν την αρχή της διαφανούς επεξεργασίας και την αρχή της λογοδοσίας οι οποίες δεσμεύουν τον υπεύθυνο επεξεργασίας και θέτουν τις αναγκαίες εγγυήσεις για την τήρηση των αρχών αυτών. Μία από τις εγγυήσεις αυτές, είναι το δικαίωμα αιτιολόγησης, η ύπαρξη και το πεδίο εφαρμογής του οποίου έχει, ωστόσο, κινήσει μία εκτενή ακαδημαϊκή συζήτηση.

Το εάν η όχι η εφαρμογή του δικαιώματος αιτιολόγησης στην πράξη, αντικατοπτρίζει τον θεμελιώδη σκοπό του, υπήρξε το βασικό θέμα έρευνας της διατριβής μου. Στο πλαίσιο αυτό χρησιμοποίησα την ακόλουθη μεθοδολογία: Πρώτον, προκειμένου να προσδιορίσω το σκοπό του δικαιώματος, επικεντρώθηκα στην χαρτογράφηση και ανάλυση του ευρωπαϊκού νομοθετικού πλαισίου και της σχετικής βιβλιογραφίας.

Στη συνέχεια, χρησιμοποίησα εμπειρική έρευνα προκειμένου να αντιληφθώ πως λειτουργεί στη πράξη το δικαίωμα αιτιολόγησης. Συγκεκριμένα, άσκησα το εν λόγω δικαίωμα κατά πέντε (5) παρόχων επιγραμμικών υπηρεσιών, ρωτώντας τους αναφορικά με τον τρόπο λειτουργίας των αλγοριθμικών συστημάτων που χρησιμοποιούνται τόσο για προτάσεις εξατομικευμένου διαδικτυακού περιεχομένου όσο και για στοχευμένη διαφήμιση.

Το νομοθετικό πλαίσιο

Παρά την έλλειψη ενός συγκεκριμένου άρθρου για το δικαίωμα στην αιτιολόγηση τόσο στην Οδηγία 95/46 όσο και στον GDPR, το δικαίωμα απορρέει από το Άρθρο 22 και το σημείο 71 των διατάξεων του GDPR σχετικά με τις εγγυήσεις κατά της αυτοματοποιημένης λήψης αποφάσεων, και τα Άρθρα 13(2)(στ), 14(2)(ζ), και 15(1)(η) του GDPR όπως και το Άρθρο 12 της Οδηγίας 95/46.

Ειδικότερα, σύμφωνα με το Άρθρο 22 του GDPR ‘οι υπεύθυνοι επεξεργασίας οφείλουν να λαμβάνουν τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων, των ελευθεριών τους και των εννόμων συμφερόντων τους, τουλάχιστον το δικαίωμά εξασφάλισης ανθρώπινης παρέμβασης έναντι των υπεύθυνων, για να εκφράσουν τη δική τους οπτική γωνία και να προσβάλλουν την απόφαση.

Εξάλλου, όπως αποτυπώνεται στο Άρθρο 13-15 του GDPR, το υποκείμενο των δεδομένων πρέπει να έχει πρόσβαση στα προσωπικά δεδομένα και τις πληροφορίες σχετικά με ‘την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, ουσιώδης πληροφορία για τη λογική που επικρατεί, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες μιας τέτοιας διαδικασίας για το υποκείμενο των δεδομένων’. Τέλος, σύμφωνα με το Άρθρο 12 της Οδηγίας Προστασίας Δεδομένων οι υπεύθυνοι οφείλουν να παρέχουν στα υποκείμενα των δεδομένων ΄γνώσεις για τη λογική που επικρατεί’ σε οποιαδήποτε αυτοματοποιημένη λήψη αποφάσεων.

Πεδίο και δυνατότητα εφαρμογής του δικαιώματος στην αιτιολόγηση

Μέσω της ανάλυσης των σχετικών νομοθετικών διατάξεων, της ακαδημαϊκής συζήτησης γύρω από αυτές, και των αντιφάσεων της επιχειρηματολογίας κατά του δικαιώματος στην αιτιολόγηση, κατέστη δυνατό να προσδιοριστεί ο σκοπός και το πεδίο εφαρμογής του δικαιώματος αυτού.

Ειδικότερα, από την ανάλυση αποδείχθηκε ότι το δικαίωμα στην αιτιολόγηση συνεπάγεται την παροχή σημαντικών πληροφοριών σχετικά με τη λογική που ακολουθείται, και η σημασία των παρεχόμενων πληροφοριών θα πρέπει να ερμηνεύεται με ευέλικτο τρόπο. Η πληροφορία μπορεί ενδεχομένως να αναφέρεται είτε στη λειτουργία του συστήματος, είτε σε μία συγκεκριμένη απόφαση και μπορεί να αποτελέσει είτε εκ των προτέρων είτε εκ των υστέρων αιτιολόγηση σε σχέση με το χρόνο κατά τον οποίο λήφθηκε η απόφαση.

Επιπλέον, προκειμένου να αξιολογηθεί κατά πόσο μια αιτιολόγηση είναι ή όχι ουσιαστική, η πληροφορία που παρέχεται πρέπει να εξετάζεται υπό το φως της λειτουργικής της αξίας (ιδίως σχετικά με το εάν δίνει τη δυνατότητα στα υποκείμενα των δεδομένων να ασκήσουν τα δικαιώματά τους). Επιπροσθέτως, η επεξήγηση πρέπει να αποβλέπει στην εξατομικευμένη διαφάνεια, υπό την έννοια της προσωπικής κατανόησης της πληροφορίας  σε ουσιαστικό βάθος.

Η πληροφορία πρέπει επίσης να είναι κατανοητή και να παρέχεται σε σαφή και απλή γλώσσα, προκειμένου ένα σύνηθες υποκείμενο δεδομένων (π.χ. συνήθως ένας χρήστης χωρίς εξειδίκευση σε τεχνολογικής φύσεως θέματα) να μπορεί να την αντιληφθεί πλήρως. Όσον αφορά στα κριτήρια εφαρμογής του δικαιώματος, πρέπει να λαμβάνει χώρα μία αυτοματοποιημένη λήψη απόφασης (συμπεριλαμβανομένης και της κατάρτισης προφίλ), η οποία πάρθηκε χωρίς καμία ανθρώπινη παρέμβαση.

Επιπλέον, η αυτοματοποιημένη απόφαση πρέπει να έχει έννομα ή εξίσου σημαντικά αποτελέσματα, τα οποία ωστόσο πρέπει να ερμηνεύονται υπό ευρεία έννοια, συμπεριλαμβανομένων υποθέσεων κατά τις οποίες οι ελευθερίες και τα δικαιώματα του υποκειμένου των δεδομένων απειλούνται ή ακόμα της υπόθεσης στοχευμένης διαφήμισης που στηρίζεται στην ανάλυση προφίλ.

Τέλος, το δικαίωμα στην επεξήγηση πρέπει να είναι σεβαστό ανεξάρτητα από  εμπορικά απόρρητα και δικαιώματα διανοητικής ιδιοκτησίας. Αυτό σημαίνει ότι τα εμπορικά απόρρητα και τα δικαιώματα διανοητικής ιδιοκτησίας δεν μπορούν να δικαιολογήσουν την άρνηση παροχής πληροφοριών και ότι το δικαίωμα προστασίας δεδομένων υπερισχύει του αυτών.

Ζητήματα συμμόρφωσης που ανακύπτουν

Λαμβάνοντας υπόψη το πεδίο και τη δυνατότητα εφαρμογής του δικαιώματος αιτιολόγησης, η εμπειρική μου έρευνα εστίασε στην εξέταση του κατά πόσο το δικαίωμα αυτό πληροί τους σκοπούς του όταν ασκείται στην πράξη.

Συγκεκριμένα, κατέθεσα έναν αριθμό αιτημάτων αιτιολόγησης που αφορούσαν προτεινόμενο διαδικτυακό περιεχόμενο και στοχευμένη διαφήμιση σε πέντε φορείς ηλεκτρονικών υπηρεσιών, ήτοι  Facebook, YouTube, LinkedIn, Spotify και Netflix. Δεν εκπλήσσει το γεγονός ότι τα αποτελέσματα της ανάλυσης της εμπειρικής έρευνας φανέρωσαν έναν μεγάλο αριθμό ζητημάτων συμμόρφωσης και χάσμα μεταξύ θεωρίας και πράξης.

Tόσο η υποβολή των αιτημάτων όσο και η λήψη ουσιωδών πληροφοριών από τους παρόχους αποδείχθηκε ιδιαίτερα απαιτητική ως διαδικασία: απαιτούσε νομικές γνώσεις επί του θέματος, οργάνωση, επιμονή και υπομονή. Με άλλα λόγια, είναι αμφίβολο κατά πόσο ένα σύνηθες υποκείμενο δεδομένων -ένας κανονικός άνθρωπος δηλαδή, χωρίς εξειδικευμένες γνώσεις- θα μπορούσε να διαχειριστεί επαρκώς την άσκηση των δικαιωμάτων του/της αντιμετωπίζοντας τέτοια εμπόδια.

Παρόλο που οι πολιτικές απορρήτου ήταν εύκολα προσβάσιμες, συχνά ήταν προβληματικές από πλευράς πληρότητας και σαφήνειας. Ο προσδιορισμός των κατάλληλων μέσων επικοινωνίας με τους υπεύθυνους επεξεργασίας ήταν ακόμα πιο δύσκολος. Ωστόσο, τα πιο ανησυχητικά ευρήματα προέκυψαν από την επικοινωνία με τους υπευθύνους. Ποικίλες δυσλειτουργίες, όπως η αποφυγή διοικητικού φόρτου εργασίας, έλλειψη γνώσης, η άγνοια, και άρνηση ικανοποίησης των αιτημάτων καθιστούσαν τη διαδικασία πολύπλοκη.

Επιπλέον, οι εξηγήσεις που δόθηκαν δεν ήταν ικανοποιητικές. Δόθηκαν γενικές, αποσπασματικές και παραπλανητικές πληροφορίες, οι οποίες δεν μπορούσαν να εκπληρώσουν τον σκοπό του δικαιώματος στην αιτιολόγηση,  δεδομένου ότι δεν θα μπορούσαν να θεωρηθούν ως ουσιώδεις πληροφορίες.

Κάποιοι υπεύθυνοι επεξεργασίας αρνήθηκαν να δώσουν πλήρη εξήγηση και δικαιολόγησαν τη στάση τους είτε χρησιμοποιώντας λόγους εμπορικού απορρήτου ή υποστήριξαν ότι το Άρθρο 22 του GDPR και συνεπώς το Άρθρο 15 (1)(η), δεν εφαρμόζονται καθώς η αυτοματοποιημένη διαδικασία δεν παράγει έννομα ή εξίσου σημαντικά αποτελέσματα. Βέβαια, κανένα από αυτά τα επιχειρήματα δεν αποτελούν βάσιμες δικαιολογίες στις οποίες οι υπεύθυνοι θα μπορούσαν να βασιστούν ώστε να αποφύγουν να παρέχουν εξήγηση στο υποκείμενο των δεδομένων.

Συνοψίζοντας, το πόρισμα μου από την εμπειρική έρευνα σε έναν περιορισμένο αριθμό φορέων ηλεκτρονικών υπηρεσιών απέδειξε ότι το δικαίωμα στην αιτιολόγηση δεν πληροί το πεδίο εφαρμογής του σύμφωνα με τις διατάξεις της Ευρωπαϊκής νομοθεσίας περί προστασίας προσωπικών δεδομένων όταν ασκείται στη πράξη κατά των υπεύθυνων επεξεργασίας. Το πιο ανησυχητικό είναι το γεγονός ότι επιβεβαιώθηκε ότι τα δικαιώματα των υποκειμένων των δεδομένων καταστρατηγούνται σε μεγάλο βαθμό στο διαδικτυακό περιβάλλον.

Τελικά, μάλλον πρέπει να σκεφτόμαστε διπλά πριν πανηγυρίσουμε αυτή τη γενναιόδωρα ‘ενισχυμένα προσωποποιημένη εμπειρία’ καθώς οι νομικές εγγυήσεις που μας προστατεύουν από δυσμενή επεξεργασία των προσωπικών μας δεδομένων, ειδικά κατά τη διάρκεια της αυτοματοποιημένης λήψης αποφάσεων και της κατάρτισης προφίλ, δεν φαίνεται να εφαρμόζονται από υπεύθυνους επεξεργασίας με δεσπόζουσα θέση στην αγορά. Είναι επομένως αμφίβολο ότι η επεξεργασία των προσωπικών μας δεδομένων γίνεται σύμφωνα με τις αρχές της διαφάνειας και της λογοδοσίας.

*Η Θεοδώρα Φιρίγγου είναι δικηγόρος με εξειδίκευση στο Ποινικό Δίκαιο (LL.M, University of Hamburg) και στο Δίκαιο Διανοητικής Ιδιοκτησίας, Πληροφορίας, Επικοινωνιών και Τεχνολογίας (LL.M IP/ICT Law, KUL). Επικεντρώνει την έρευνα και το ενδιαφέρον της στο δίκαιο προστασίας της ιδιωτικότητας και των προσωπικών δεδομένων και κυρίως στα ζητήματα που ανακύπτουν από τη χρήση νέων τεχνολογιών όπως η μηχανική εκμάθηση και η τεχνητή νοημοσύνη.

Written by Vyron Kavalinis *

On the web, it is widespread that a website needs the user’s registration to display its content or provide its service or even allow to comment on an article. The registration of the user, and consequently, the account creation requires the use of a username and a password.

The username will need to be unique and no longer linked to the page itself to create the required account while the username and password combination proves the user’s identity and the correct completion give them access to the content of your page. Even in our email, if we want to sign in we will need a username (usually our email address) and a password.

The password is usually a combination of letters, symbols and numbers. The use of strong passwords is necessary to protect the user’s security and identity. An easy password is more likely to be guessed by someone else and therefore has access to our personal data.

Initially, an easy password is short. The bigger the password is, the harder  is to be guessed by someone, and the resulting combinations are much more. From researches into millions leaked passwords, it has been revealed that combinations and selections preferred by users are very easy and are in the form “123456”, “password”, “football” and other simple words that we all use in our everyday life, and it is therefore easy for a  third person to guess and find.

It is also worth mentioning the fact that a large number of users use the same password on all the pages they need to link. So if someone knows our email or our username then with a single password they can have access to all the pages we have an account, whether this page is our bank’s account or a shop that we are buying or even our own profile on Facebook.

The best way to increase security levels is to create more complex passwords. It is recommended that the password be long, usually over 12 characters, and be sentences that the user can easily remember.

A good way is the use of Online tools, which add words at random and create sentences for their use as passwords or setting up codes in accordance with some options determined by the user. In the text that follows we shall refer to some examples of such tools that you can use.

It is worth mentioning that a password with at least 12 characters can take few centuries for an invader to break it. In the current computer capacities and with the simultaneous use of many of them, this time might not be actual but still is so much to break. For example, according to researches that have been carried out, a supercomputer (having an efficiency as 100 computers at the same time) can break a 10-character password in 3 years.

It is not recommended to use the same password in every web site and application as also to not write down the passwords on simple text files or notebooks.

Moreover, the use of symbols and numbers  can really help as the password becomes more complicated and therefore more difficult for a third person to find it.

The use of password generators is a very good solution since the most enable the user to set the parameters of the password and to create one, ready for use. Generators’ use is very helpful as if necessary for a web site to use capital symbols and small will create a more complex password. For example in that case a human would allocate a password “Letmein!123”, while a password generator would allocate “lwIXgHeaWiq”. The second choice is more difficult to find even if it doesn’t include special characters and symbols.

The use of password generators doesn’t require specific and specialised knowledge from the user, while there are many online tools that can be used for the creation of our passwords. We can show you online password generators that you can use:

Strong password generator (https://www.strongpasswordgenerator.com/). It gives the opportunity to define the length of the code and also some options of configuration, like the use of “voice words”. With the use of voice words actually the generator shows the letter and number combination in words so the passwords be more memorable.

Norton Password Generator (https://my.norton.com/extspa/idsafe?path=pwd-gen|). Norton, known in the field of safety has set up an online tool for the creation of passwords. This specific tool gives many options as the choice of the length of the code and the use of capitals, symbols and numbers.

XKpassword (https://xkpasswd.net/s/). XKpassword is probably one of the few, who offer so many options for the creation of the password. A feature differentiating it from the majority of password generators is the selection of provider according to the rules of which the password will be created. Some of these examples are according to the frameworks of AppleID, WiFi etc.

Finally, we would recommend the use of password managers for the storage and the management of your passwords. Password managers are substantially programs, which manage your passwords and store them coded in order to be understood by someone other. Through the use of this programs you just need to know one password and this is your access code to your password manager.

With the use of password managers you don’t have to remember your passwords by heart, as they have addons for every known browser, that when you enter to a web site they immediately recognise through the relevant form and give you the possibility of automatic completing.

Some password managers, also authorise the automatic completion with random passwords when registering and their automatic storage.

Since there is the possibility for somebody to intercept the password from the password manager and therefore to have access to the others, many from password managers provide also extra safeguards in the event of unusual mobility.

One of the most well-known password managers is the LastPass and the 1Password. Both provide the possibility of free use, while upon payment subscription they unlock more options and functions. Both have admins for Chrome, Mozilla, Opera and operate with Windows, Linux and MacOS. It is also noteworthy that if you take notice that your main code has been intercepted you can request for your account to be deleted, while 1Password recognises the device with which you are connecting and if you wish to connect from a new one you have to complete the master password you have been given after your registration to the application automatically.

We shall mention that there have been notified various safety lapses in password managers. Despite all these, each and every company immediately takes all the necessary steps to fill these gaps and increase the safety of their services. Even after of those notifications their use is considered to be more safe than the storage of passwords within a simple file, which will not contain any type of encryption.

Homo Digitalis has no interest in suggesting the above tools. We recommend you use these tools as safe alternatives given the wide variety of such tools. It shall be noted that many of these tools might have as objective to intercept your data. Therefore, we recommend you be very careful when you are using such tools.

* Viron is a graduate from the Department of Informatics Engineering, TEI Crete. He works for a company, which operates in the field of Web hosting and domain names. He deals with the development of web sites and safety. In the past he has undertaken SSL certificates.

Σήμερα, τα Κράτη Μέλη της Ευρωπαϊκής Ένωσης υπερψήφισαν την προτεινόμενη ευρωπαϊκή Οδηγία για τα δικαιώματα πνευματικής ιδιοκτησίας και τα συγγενικά δικαιώματα στην ψηφιακή ενιαία αγορά και την τροποποίηση των Οδηγιών 96/9/ΕΚ και 2001/29/ΕΚ.

Έξι (6) Κράτη Μέλη καταψήφισαν (Φινλανδία, Ιταλία, Λουξεμβούργο, Ολλανδία, Σουηδία, Πολωνία), τρία (3) ήταν εκείνα που απείχαν (Βέλγιο, Εσθονία, Σλοβενία), και δεκαεννέα (19) αυτά που υπερψήφισαν, συμπεριλαμβανομένης δυστυχώς, της Ελλάδας.

Θυμίζουμε ότι η οργάνωση μας είχε ενημερώσει λεπτομερώς μέσω ανοιχτών επιστολών τόσο τους αρμόδιους Υπουργούς όσο και τον Πρόεδρο της Ελληνικής Δημοκρατίας και τον Πρωθυπουργό για τις πολύ σημαντικές αρνητικές επιπτώσεις του Άρθρου 17.

Τα Κράτη Μέλη θα έχουν τώρα στη διάθεσή τους μία περίοδο δύο ετών για να μεταφέρουν την σχετική νομοθεσία στο εθνικό τους Δίκαιο.