ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΚΙΝΔΥΝΕΥΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Γράφει o Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc*
Με αφορμή την πολύ πρόσφατη δημοσίευση του «Εθνικού Πλαισίου Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων» (6/5/2025), υπενθυμίζεται σε όλους η σημαντικότητα της διενέργειας εκτίμησης κινδύνων (risk assessment) που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ειδικότερα για τα προσωπικά δεδομένα, κάθε ολοκληρωμένο πρόγραμμα συμμόρφωσης πρέπει όντως να περιλαμβάνει μια ολοκληρωμένη Ανάλυση Διακινδύνευσης (Risk Assessment). Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ σχετικά με την προστασία δεδομένων (υψηλού κινδύνου) είναι η υλοποίηση της Μελέτης Αντικτύπου (Data Privacy Impact Analysis - DPIA), εντούτοις συστήνεται να διενεργείται (και) μια γενικότερη ανάλυση διακινδύνευσης για το σύνολο των κινδύνων / απειλών. Σύμφωνα με τις γενικότερες επιταγές ασφάλειας (άρθρο 32 του ΓΚΠΔ), η Ανάλυση Διακινδύνευσης πρέπει να σχετίζεται με τα ευρήματα που εντοπίζονται από την φάση της αρχικής Χαρτογράφησης (Data Mapping) και να υλοποιείται τόσο ΠΡΙΝ, όσο και ΜΕΤΑ από την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων.
Κίνδυνος / Απειλή ορίζεται ως η πιθανότητα ή απειλή ζημίας, απώλειας ή αρνητικής συνέπειας σε ευαίσθητα περιεχόμενα / πληροφορίες και προσωπικά δεδομένα, με αρνητική επίπτωση στα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων (και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων) ή/και την απρόσκοπτη λειτουργία του Οργανισμού (ως υπεύθυνος επεξεργασίας). Οι κίνδυνοι μπορεί να προέρχονται τόσο από εγγενείς όσο και από εξωγενείς παράγοντες και μπορούν να μετριαστούν με κατάλληλα μέτρα. Η Διαχείριση Διακινδύνευσης αφορά το σύνολο διαδικασιών που σχετίζονται με τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση των παραπάνω κινδύνων.
Στάδια Υλοποίησης
Για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την Διαχείριση Διακινδύνευσης σχετικά με τα προσωπικά δεδομένα, ένας Οργανισμός (ως υπεύθυνος επεξεργασίας) συστήνεται να υιοθετήσει την μέθοδο DMRA (Decision Matrix Risk Assessment technique), μια συστηματική προσέγγιση που χρησιμοποιείται για τον αρχικό προσδιορισμό του επιπέδου κινδύνου (Risk Level) και τη σύγκριση διαφορετικών κινδύνων. Πρόκειται για ένα ευρέως χρησιμοποιούμενο εργαλείο για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την διαχείριση κινδύνων, βάσει και του διεθνούς προτύπου ISO 31000.
Σύμφωνα με την συγκεκριμένη μέθοδο, η ανάλυση διακινδύνευσης αποτελείται από τα ακόλουθα στάδια, κατά την υλοποίηση των οποίων απαιτείται διαρκή επικοινωνία μεταξύ των εμπλεκόμενων τμημάτων και διευθύνσεων του Οργανισμού:
- Ορισμός του οργανωτικού πλαισίου και των γενικότερων κανόνων
- Προσδιορισμός των κινδύνων που απειλούν αφενός τα υπό επεξεργασία προσωπικά δεδομένα για διαφορετικές κατηγορίες υποκειμένων που συνδιαλέγονται με τον Οργανισμό και αφετέρου την γενικότερη ασφάλεια του Οργανισμού
- Ανάλυση των εντοπισμένων κινδύνων
- Αξιολόγηση των εντοπισμένων κινδύνων
- Αντιμετώπιση / διαχείριση των εντοπισμένων κινδύνων
- Παρακολούθηση υλοποίησης διορθωτικών ενεργειών και επανεξέταση.
Ειδικότερα, ο υπεύθυνος επεξεργασίας δεδομένων προτείνεται να ακολουθεί τα εξής στάδια:
1.Στάδιο Εντοπισμού Κινδύνων (Risk Identification) [**]
Αφορά τον εντοπισμό, την αναγνώριση και την περιγραφή των κινδύνων / απειλών που θα μπορούσαν να επηρεάσουν την ακεραιότητα, την εμπιστευτικότητα ή/και την διαθεσιμότητα των υπό επεξεργασία προσωπικών δεδομένων, καθώς και την ασφαλή λειτουργία ολόκληρου του Οργανισμού. Η έρευνα επεκτείνεται και στην εξέταση των πηγών κινδύνου και των αιτιών που μπορεί να προκαλέσουν τους συγκεκριμένους κινδύνους. Οι γενικότερες συνθήκες που μπορεί να απειλούνται είναι η Ακεραιότητα των δεδομένων (Integrity /αλλοίωση δεδομένων), η Εμπιστευτικότητα των δεδομένων (Confidentiality) και η Διαθεσιμότητα των δεδομένων (Availability).
[**]Ενδεικτικοί κίνδυνοι:
Απώλεια δεδομένων - Κλοπή προσωπικών δεδομένων - Διαρροή προσωπικών δεδομένων - Μη εγκεκριμένη τροποποίηση δεδομένων - Μη ικανοποίηση αιτήματος υποκειμένων δεδομένων - Μη εγκεκριμένη διαγραφή δεδομένων - Αδυναμία λήψης backup / Μη διαθέσιμο backup - Μη προσβασιμότητα σε φακέλους & αρχεία του Οργανισμού - Μη προσβασιμότητα σε διαδικτυακές υπηρεσίες - Σφάλματα χρήσης / Αμέλεια χρηστών - Ελλιπής εκπαίδευση χρηστών σε κανόνες ασφάλειας & προστασίας δεδομένων - Φυσικές καταστροφές - Πυρκαγιά / Πλημμύρα - Φθορά / απώλεια σε hardware - Αστοχία κρίσιμου υλικού - Κίνδυνος μόλυνσης από ιούς και διασπορά - Κυβερνοεπίθεση / Παράνομη εισβολή σε δίκτυο / Hacking - Παρεμπόδιση κυβεροκυκλοφορίας - Λογισμικό ή δράσεις που εκμεταλλεύονται κενά ασφαλείας - Ανεπιθύμητα μηνύματα (spam) – Δολιοφθορά – Παραπληροφόρηση - Πλαστογραφία
Απάτη / Εξαπάτηση - Ακατάλληλο περιεχόμενο κ.ο.κ.
2.Ανάλυση Κινδύνων (Risk Analysis)
Αφορά την κατανόηση των πηγών, των αιτιών και της φύσης των ήδη εντοπισμένων κινδύνων / απειλών για τα υπό επεξεργασία προσωπικά δεδομένα και τον ίδιο τον Οργανισμό, καθώς και την εξέταση των υφιστάμενων μέτρων για την πρόληψη ή την αντιμετώπιση τους. Ακολουθεί ο υπολογισμός της Πιθανότητας να προκύψουν οι εντοπισμένοι κίνδυνοι και η ανάλυση των Συνεπειών / Επιπτώσεων τους, εφόσον οι κίνδυνοι συμβούν.
Η εξέταση επάρκειας των υφιστάμενων ελέγχων και μέτρων ερευνά το αν επαρκούν τα υφιστάμενα μέτρα για την πρόληψη ή τον μετριασμό των κινδύνων, καθώς και για την ανάκαμψη κατόπιν της εμφάνισης τους. Ταυτόχρονα, η αποτελεσματικότητα των υφιστάμενων μέτρων αξιολογείται λαμβάνοντας υπόψη: 1) ποιοι είναι οι υφιστάμενοι έλεγχοι για έναν συγκεκριμένο κίνδυνο και 2) εάν αυτοί οι έλεγχοι είναι ικανοί να αντιμετωπίσουν επαρκώς τον κίνδυνο. Στην πράξη, αξιολογείται αν οι έλεγχοι υλοποιούνται με τον προβλεπόμενο τρόπο και αν μπορούν να αποδειχθούν αποτελεσματικοί, όταν αυτό απαιτηθεί.
Συγκεκριμένα, ένας εντοπισμένος κίνδυνος / ανεπιθύμητο γεγονός σχετικά τα προσωπικά δεδομένα βαθμολογείται ως προς την Πιθανότητα (Π) εμφάνισης ενός κινδύνου και ως προς την Σοβαρότητα (Σ) των συνεπειών του. Και οι 2 παράμετροι μετρούνται με την χρήση 5βάθμιου πίνακα, όπου το 1 είναι απίθανο ένας κίνδυνος να συμβεί ή εάν συμβεί, να έχει μηδαμινές επιπτώσεις. Αντίστοιχα, η αξιολόγηση 5 σημαίνει ότι ένας κίνδυνος είναι σχεδόν σίγουρο ότι θα συμβεί, ενώ εάν συμβεί αναμένεται να έχει καταστροφικές συνέπειες.
- Συχνότητα/πιθανότητα (Π) εμφάνισης εντοπισμένου κινδύνου, λαμβάνοντας υπόψη το γενικότερο επίπεδο προστασίας και τα υφιστάμενα μέτρα προστασίας:
- Σοβαρότητα (Σ) των συνεπειών από τον συγκεκριμένο κίνδυνο / ανεπιθύμητο συμβάν / απειλή για τα προσωπικά δεδομένα, εφόσον εμφανιστεί:
Η εκτίμηση των επιπτώσεων επεκτείνεται και στους πελάτες, το προσωπικό, την Διοίκηση, τις συνεργαζόμενες εταιρείες / εκτελούντες την επεξεργασία, την φήμη του Οργανισμού, τις νομικές και κανονιστικές υποχρεώσεις κ.ο.κ.
Μετά τον υπολογισμό της Πιθανότητας και της Σοβαρότητας, υπολογίζεται η επίπτωση σύμφωνα με το παρακάτω γινόμενο:
Επίπτωση = Σοβαρότητα * Πιθανότητα
Η κατάταξη της επίπτωσης γίνεται σύμφωνα με τον παρακάτω πίνακα:
Στον επόμενο πίνακα παρουσιάζεται συνοπτικά η σχέση μεταξύ πιθανότητας, σοβαρότητας και επίπτωσης:
3.Αξιολόγηση Κινδύνων (Risk Evaluation)
Σε συνέχεια του εντοπισμού και της ανάλυσης των κινδύνων, αποφασίζεται ποιοι κίνδυνοι θα αντιμετωπιστούν, με ποιον τρόπο και με ποια προτεραιότητα. Αυτό το βήμα βοηθά τον Οργανισμό στη λήψη αποφάσεων σχετικά με την ανεκτικότητα και την ιεράρχηση του κάθε κινδύνου, συγκρίνοντας το εκτιμώμενο επίπεδο κινδύνου με τα προ-αποφασιμένα κριτήρια κινδύνου.
4.Αντιμετώπιση Κινδύνων (Post Risk Assessment) [***]
Η διαχείριση των εντοπισμένων κινδύνων περιλαμβάνει πολλές επιλογές, βάσει εκτιμήσεων και αποφάσεων του Οργανισμού, όπως ή αποφυγή του κινδύνου, η αντιμετώπιση ή μετριασμός του, η τροποποίηση της πιθανότητας ή/και επίπτωσης και η αφαίρεση της πηγής του κινδύνου. Μετά την υλοποίηση των μέτρων συνιστάται η επαναξιολόγηση του κινδύνου, για να διαγνωστεί εάν αυτός αντιμετωπίστηκε επαρκώς και να προκύψει ο εναπομείναν κίνδυνος.
[***]Ενδεικτικά Τεχνικά και Οργανωτικά Μέτρα:
Πρόγραμμα συμμόρφωσης με ΓΚΠΔ και κείμενη Νομοθεσία - Πολιτικές / Διαδικασίες διαχείρισης δεδομένων - Διαχείριση αναφοράς και διαχείρισης παραβιάσεων / εισβολών / απώλειας δεδομένων - Business Continuity Plan, Disaster Recovery Plan - Εκπαιδεύσεις εργαζομένων στην ορθή χρήση λογισμικού – Σύμβαση εμπιστευτικότητας δεδομένων με συνεργαζόμενες εταιρείες - Παρακολούθηση υλοποίησης έργου συνεργαζόμενων εταιρειών, Clean desk policy - Γενικότερη ασφάλεια χώρων (εσωτερικών και εξωτερικών) - Λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) - Λειτουργία συστήματος πυρανίχνευσης / πυροπροστασίας - Εφαρμογή προγράμματος απεντομώσεων / μυοκτονιών - Ελεγχόμενες συνθήκες κρίσιμων χώρων (control room, φυσικό αρχείο κλπ.) - Πρόγραμμα προληπτικών συντηρήσεων κρίσιμων υποδομών / εξοπλισμού, Απαγόρευση πρόσβασης σε ακατάλληλους ιστότοπους - Απενεργοποίηση / ελεγχόμενες θύρες USB - Δοκιμαστική ανάκτηση ανά τακτά χρονικά διαστήματα - Ελεγχόμενες προσβάσεις / εξουσιοδοτήσεις - Αναβαθμίσεις και προληπτική συντήρηση λογισμικού - Ισχυροί κωδικοί πρόσβασης - Remote backup - Αντιμετώπιση απώλειας δεδομένων (DLP) / Data Loss, Data Leak – FIREWALL – ANTIVIRUS - PENETRATION TEST - Διαχείριση LOG files - Δικαιώματα χρηστών μέσω active directory – Κρυπτογράφηση βάσεων - BYOD/P - VDI (Virtual Desktop Infrastructure) – VPN κ.ο.κ.
5.Ανασκόπηση
Ακόμα και μετά την ολοκλήρωση της ανάλυσης διακινδύνευσης, ο Οργανισμός πρέπει να προχωράει σε διαρκή έλεγχο, αφού οι κίνδυνοι /απειλές μπορεί να είναι δυναμικοί και να διαφοροποιούνται μέσα στον χρόνο, καθιστώντας τα επιλεχθέντα διορθωτικά μέτρα μη αποτελεσματικά. Γενικά, η αξιολόγηση των κινδύνων ανασκοπείται κατά ελάχιστο σε ετήσια βάση ή όποτε προκύπτουν σημαντικές αλλαγών (π.χ. χρήση νέου εξοπλισμού, συλλογή και επεξεργασία νέων δεδομένων, τροποποίηση τρόπου επεξεργασίας κ.λπ.).
* Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO, QMS IRCA Lead Auditor ISO 9001:2015, CQI IRCA Lead Auditor ISO 27001:2013, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ και MSc in International Business and Finance. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι πρώην μέλος του Δ.Σ. του European Association of Data Protection Professional (EADPP), γενικός γραμματέας & επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων του Ελληνικού παραρτήματος EADPP, επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας (EIQSH) και μέλος της Homo Digitalis.
ΒΙΒΛΙΟΓΡΑΦΙΚΕΣ ΑΝΑΦΟΡΕΣ / ΠΗΓΕΣ
-Τσιπτσέ, Ο., Κωστούλας, Δ. (Ιανουάριος 2020), «Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα», Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
-https://www.homodigitalis.gr/posts/9331, Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά, Δημοσθένης Κ. Κωστούλας, 7 Ιουνίου 2021
-BSI, 2009. BS ISO 31000: Risk management: principles and guidelines, London: British Standards Institution.
-Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων (Αρ. Φύλλου 2186), 6 Μαίου 2025)
-Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
-Baybutt P. Calibration of risk matrices for process safety. J Loss Prevent Process Industries. 2015;38:163–168, 2015.
-Wall KD The trouble with risk matrice. DRMI Working Papers Ongoing Research; 2011.
-Duijm NJ. Recommendations on the use and design of risk matrices. Saf Sci. 2015;76:21–31. 2015
-Korombel A, Tworek P. Qualitative risk analysis as a stage of risk management in investment projects: advantages and disadvantages of selected methods-theoretical approach 2011;1(2):51–54
-https://safeti.com/product/workshop-risk-assessment
Μπορείς κι εσύ να γίνεις επαγγελματίας στον τομέα της ασφάλειας τεχνολογιών και πληροφοριών χωρίς τεχνικές γνώσεις!
Γράφει o Γιάννης Ντόκος*
Ο κόσμος των τεχνολογιών είναι διαρκώς μεταβαλλόμενος. Νέες εξελίξεις στον κλάδο λαμβάνουν πλέον χώρα σε καθημερινή βάση, με την πρόοδο των κλάδων όπως αυτών της τεχνητής νοημοσύνης, των κβαντικών υπολογιστών και των συσκευών/μεθόδων ταυτοποίησης. Αναμφίβολα οι εξελίξεις αυτές είναι ελκυστικές, τόσο για τους καταναλωτές και το ευρύτερο κοινό, όσο και για όσους από εμάς ενδιαφερόμαστε να εργαστούμε στον κλάδο των τεχνολογιών. Χρειάζεται,ωστόσο, να κατέχουμε τεχνικές δεξιότητες προκειμένου να απασχοληθούμε στον τομέα της προστασίας πληροφοριών και τεχνολογιών;
Η παρεξήγηση των "τεχνικών γνώσεων"
Πολύ συχνά, όταν ακούμε για επαγγέλματα στον τομέα της ασφάλειας τεχνολογιών και δεδομένων, φανταζόμαστε προγραμματιστές, χάκερς και άτομα που παίζουν με καλώδια, διακομιστές και μόντεμ.. Βεβαίως είναι και αυτές οι εξειδικεύσεις σχετικές με το αντικείμενο, ωστόσο η ασφάλεια πληροφοριών περιλαμβάνει ένα ευρύ φάσμα ρόλων και δραστηριοτήτων – και όχι απαραίτητα τεχνικής φύσης!
Ας πάρουμε τα πράγματα με τη σειρά. Είναι οι τεχνικές γνώσεις χρήσιμες στους κλάδους αυτούς; Αναμφίβολα. Ειδικά αν μιλάμε για θέσεις που απαιτούν τη χρήση τέτοιων δεξιοτήτων σε καθημερινή βάση. Εάν επιδιώκω να ασχοληθώ με τον προγραμματισμό ή την ανάλυση δεδομένων, προφανώς πρέπει να ξέρω πώς να γράφω κώδικα ή να αναλύω δεδομένα προκειμένου να εξάγω κάποιο συμπέρασμα. Σε αυτές τις θέσεις εργασίας, οι τεχνικές δεξιότητες είναι προαπαιτούμενο! Σε μεγαλύτερο ή μικρότερο βαθμό, είναι απαραίτητες.
Τί γίνεται όμως αν θέλει κανείς να ασχοληθεί με το αντικείμενο της ασφάλειας τεχνολογιών, πληροφοριών ή προσωπικών δεδομένων; Πρέπει να είναι τότε άσος με τους υπολογιστές, την ρύθμιση δικτύων και τις μεθόδους πρόσβασης σε αυτά; Η απάντηση, ευτυχώς, είναι “όχι”. Και αυτό είναι πράγματι ένα πολύ θετικό μήνυμα, διότι ανοίγει διόδους εισροής στους παραπάνω κλάδους σε μεγάλο αριθμό επαγγελματιών που δεν είναι αναγκαστικά τεχνικά καταρτισμένοι. Παράλληλα, επιτρέπει τη σχετικά εύκολη μετάβαση από έναν παρεμφερή κλάδο (βλέπε προστασία πληροφοριών), σε έναν άλλο κλάδο εξίσου σχετικό (όπως η διαχείριση κινδύνου στον τομέα της τεχνητής νοημοσύνης). Επομένως, όσοι από εσάς ενδιαφέρεστε να εντρυφήσετε στα παρακλάδια αυτά, έχετε τη δυνατότητα να το κάνετε χωρίς να χρειάζεται να μπορείτε να διαπεράσετε καλά προστατευμένα δίκτυα “χακάροντας” όποιον υπολογιστή και διακομιστή βρεθεί στο διάβα σας (αν και κάπου θα σας φανεί χρήσιμη αυτή η δεξιότητα)!
Μισό λεπτό όμως! Είναι τόσο εύκολο ο καθένας να μπει στον κλάδο χωρίς τεχνικές γνώσεις; Ίσως όχι εύκολο, αλλά θα έλεγα πως είναι σίγουρα εφικτό, με μια σωστή στάση και την καλλιέργεια σχετικών ικανοτήτων! Οι τεχνολογίες εξελίσσονται γρήγορα, αλλά παράλληλα γίνονται διαθέσιμα όλο και περισσότερα εργαλεία. μέσα και πλατφόρμες που κάνουν πιο προσιτές και κατανοητές τις βασικές έννοιες, ακόμη και σε άτομα με μηδενική επαφή με τον προγραμματισμό ή τις υποδομές δικτύου.
Δεξιότητες για επαγγελματίες στην προστασία πληροφοριών και τεχνολογιών
Σίγουρα οι καθαρά τεχνικές δεξιότητες μπορούν να αποκτηθούν με τον χρόνο, υπάρχουν ωστόσο κάποιες δεξιότητες γενικού χαρακτήρα και στάσεις ζωής που είναι απολύτως καθοριστικές:
- Αναλυτική σκέψη και επίλυση προβλημάτων
Η ασφάλεια πληροφοριών είναι τομέας όπου καλείσαι διαρκώς να αναλύεις προβλήματα, να εντοπίζεις μοτίβα και να βρίσκεις λύσεις. Η ικανότητα να σκέφτεσαι λογικά και να επιλύεις προβλήματα είναι ζωτικής σημασίας και προαπαιτούμενο εάν ο εν λόγω κλάδος σε ενδιαφέρει!
- Περιέργεια και διάθεση για μάθηση
Η τεχνολογία εξελίσσεται συνεχώς. Επομένως, το πηγαίο ενδιαφέρον για τέτοιες εξελίξεις και η διάθεση για μάθηση είναι καίρια. Είτε πρόκειται για νέα εργαλεία, νέες απειλές στην κυβερνοασφάλεια, ή νέους τρόπους προστασίας των δεδομένων, η περιέργεια είναι σύμμαχος των επαγγελματιών του κλάδου.
- Επικοινωνιακές δεξιότητες
Η αλληλεπίδραση με συνεργάτες, νομοθέτες και προμηθευτές είναι καθημερινή και απαραίτητη στον τομέα. Συνεπώς, η ανάπτυξη επικοινωνιακών δεξιοτήτων και διαπροσωπικών σχέσεων είναι απαραίτητη ούτως ώστε να καταλάβουμε,να συνεργαστούμε, να πείσουμε τους άλλους και να βελτιώσουμε την ασφάλεια των υποδομών μας.
- Σφαιρική γνώση και επίγνωση
Η προστασία τεχνολογιών απαιτεί να μπορεί κανείς να δει τη μεγαλύτερη εικόνα και να συνδέει τις κουκίδες. Τυχόν προβλήματα που προκύπτουν είναι πολυπαραγοντικά και άπτονται πολλών διαστάσεων, με αποτέλεσμα η σφαιρική γνώση να είναι μεγάλο προσόν.
Τι μπορείς να κάνεις χωρίς τεχνικές γνώσεις;
Υπάρχουν αρκετές ειδικότητες που μπορούν να προσεγγιστούν με βασικές ή και μηδενικές τεχνικές γνώσεις:
- IT Project Management: Εστιάζει στον σχεδιασμό και τη διαχείριση έργων τεχνολογίας.
- Governance, Risk & Compliance Analyst: Ασχολείται με την κανονιστική συμμόρφωση και την αξιολόγηση κινδύνου.
- Security Awareness Trainer: Εκπαιδεύει προσωπικό σε θέματα ψηφιακής ασφάλειας.
- SOC Analyst: Εισαγωγική θέση σε Security Operations Center, με έμφαση στην παρακολούθηση και αναφορά συμβάντων ασφαλείας.
Τέτοιες εισαγωγικές θέσεις επιτρέπουν σε κάποιον να μπορεί να αναπτύξει σταδιακά τεχνικές γνώσεις και να εξελιχθεί σε πιο εξειδικευμένες θέσεις.
Από πού να ξεκινήσεις
Αν δεν έχεις τεχνικό υπόβαθρο, υπάρχουν πρακτικά βήματα που μπορείς να ακολουθήσεις:
Online μαθήματα και πιστοποιήσεις
Πολλές προσβάσιμες πλατφόρμες (Coursera, edX, Udemy, Cybrary, Pluralsight) προσφέρουν βασικά μαθήματα για αρχάριους. Πιστοποιήσεις όπως CompTIA Security+, Google IT Support, ή η σειρά ISC2 Certified in Cybersecurity είναι εξίσου καλά πρώτα βήματα.
Επιμόρφωση και ενημέρωση
Καθημερινή ανάγνωση άρθρων, blogs, και βιβλίων βοηθά στην κατανόηση και εξοικείωση με το πεδίο. Το να ενημερώνεσαι για τις εξελίξεις είναι βασική συνήθεια κάθε επαγγελματία στον χώρο.
Συμμετοχή σε κοινότητες
Φόρουμ, ομάδες στο LinkedIn, και συμμετοχή σε events (όπως τα BSides, OWASP Meetups και φυσικά τα event που διοργανώνει η Homo Digitalis!) θα σε φέρουν κοντά με άλλους επαγγελματίες του χώρου που μπορεί να έχουν πολύ χρήσιμες πληροφορίες ή κατευθυντήριες γραμμές να σου προτείνουν.
Εύρεση μέντορα
Ένας μέντορας, κάποιος που να σε καθοδηγεί, μπορεί να είναι ανεκτίμητος. Το ίντερνετ, εξειδικευμένες πλατφόρμες (π.χ. ΆλληλονΝΕΤ) ή το YouTube παρέχουν τέτοιες δυνατότητες.
Το κατάλληλο mindset
Το πιο σημαντικό στοιχείο για να πετύχει κάποιος στον χώρο – περισσότερο και από τις γνώσεις – είναι η επιμονή, η υπομονή και η περιέργεια. Πολλοί επαγγελματίες του χώρου ξεκίνησαν από διαφορετικά υπόβαθρα: βιολογία, νομική, διοίκηση επιχειρήσεων ή ακόμη και τέχνες! Με τη σωστή νοοτροπία και αντιμετώπιση, άτομα από κάθε υπόβαθρο μπορούν να απασχοληθούν στο πεδίο της ασφάλειας πληροφοριών και τεχνολογιών!
Εν κατακλείδι
Η ασφάλεια πληροφοριών δεν είναι κλειστή μόνο στους χάκερς, τους προγραμματιστές και τους τεχνικούς δικτύων. Το πεδίο έχει ανοίξει τις πόρτες του σε όσους έχουν την όρεξη, τη σωστή νοοτροπία και τη διάθεση να εξελίσσονται. Με σωστή καθοδήγηση, επιμονή και αξιοποίηση των διαθέσιμων πόρων, οποιοσδήποτε μπορεί να μπει στον χώρο και να διαπρέψει!
*Ο Γιάννης Ντόκος είναι Ειδικός IT Governance, Risk, and Compliance (GRC).
Γενετικά Δεδομένα και Ιδιωτικές Εταιρείες: Το Παράδειγμα της 23andMe και οι Προκλήσεις για την Ελλάδα
Γράφει o Τάσος Αραμπατζής
Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.
Η Περίπτωση της 23andMe
Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.
Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως "credential stuffing", όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.
Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.
Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .
Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.
«23andMe» και στην Ελλάδα;
Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος "First Steps", το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.
Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.
Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.
Οι Κίνδυνοι της Ιδιωτικοποίησης
Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.
Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.
Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.
Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.
Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.
Πάσχα, νηστεία και εθισμός στα social media. Μήπως είναι η ευκαιρία μας για αποχή;
Γράφει η Μαρία Φουλεδάκη
Το Πάσχα είναι ευκαιρία αποτοξίνωσης – όχι μόνο από το κρέας, αλλά και από την υπερβολική χρήση των social media! Όπως προσέχουμε τι τρώμε, ας προσέξουμε και τι «καταναλώνουμε» ψηφιακά.
Σας παρουσιάζουμε λοιπόν 10 +1 Απλές και αποτελεσματικές στρατηγικές για να «νηστέψεις» από τα social media
1. Αυτοπαρατήρηση και περιορισμός της χρήσης των social media
Η αυτοπαρατήρηση είναι το πρώτο και σημαντικότερο βήμα. Παρακολουθήστε για μερικές μέρες, μέσω των εφαρμογών του κινητού σας τον χρόνο που καταναλώνεται στη χρήση των social media. Έπειτα ορίστε συγκεκριμένα χρονικά όρια ημερησίως. Η μέρες αυτές παρέχουν σημαντική βοήθεια καθώς θα βρεθούμε με φίλους, είτε από επιθυμία είτε από ανάγκη θα βγούμε από το σπίτι και το χώρο εργασίας μας. Είναι μια ευκαιρία να αφήσουμε το κινητό στην τσάντα ή στην τσέπη και να απολαύσουμε αυτές τις μέρες. Υπάρχουν εξάλλου πολλές εφαρμογές ιδιαίτερα διαδεδομένες που προσφέρουν εργαλεία παρακολούθησης χρόνου, όπως το forest (android, iOS) αλλά και τα ήδη ενσωματωμένα σε android Digital Wellbeing και για (iOS) Screen Time.
2. Αφαιρέστε εφαρμογές απότο κινητό σας
Τα smartphones μας μοιάζουν με το πασχαλινό τραπέζι. Είναι γεμάτα με εφαρμογές στην επιφάνεια τους, με αποτέλεσμα να είναι εξαιρετικά εύκολο το διαρκές «τσιμπολόγημα». Η διαγραφή από το smartphone μας κάποιων εφαρμογών, ώστε να έχουμε δυνατότητα πρόσβασης σε αυτήν μόνο από υπολογιστή ή από browser περιορίζει κατά συνθήκη σημαντικά την χρήση τους και κυρίως την αλόγιστη χρήση αυτών. Από το 2021 έχω διαγράψει την εφαρμογή Facebook από το κινητό μου, με αποτέλεσμα να το επισκέπτομαι πολύ περιορισμένα μέσα στην εβδομάδα και κυρίως πιο συνειδητά. Δεν εμφανίζονται πλέον notifications που να με αποσπούν απ’ οτιδήποτε άλλο κάνω. Μετά από τέσσερα χρόνια τολμώ να πώ ότι δεν έχω στερηθεί τίποτα από όσα μπορεί να μου προσφέρει το συγκεκριμένο μέσο κοινωνικής δικτύωσης.
3. Η καλή μέρα απότο πρωί φαίνεται
Ξεκινήστε την ημέρα σας μακριά από οθόνες! Οκ, κλείστε το ξυπνητήρι πρώτα… Έρευνες έχουν δείξει πόσο ωφέλιμη είναι για την σωματική και ψυχική υγεία η πρωινή άσκηση. Η άσκηση δεν είναι απαραίτητο να είναι αυτή του Ολυμπιονίκη, ακόμα και μερικές ασκήσεις stretching ή ένας δεκάλεπτος περίπατος γύρω από το τετράγωνο εκτός από μια αναζωογονητική συνήθεια είναι και ένας εξαιρετικός τρόπος απεμπλοκής από τη χρήση του κινητού ή του υπολογιστή χωρίς ακόμα να έχεις πιει την πρώτη γουλιά καφέ. Φορέστε τα ακουστικά σας, βάλτε την αγαπημένη σας playlist και περπατήστε ακόμα και για ελάχιστο χρόνο. Τα αποτελέσματα θα είναι άμεσα και θα σας ενθουσιάσουν.
4. Επιλέξτε τι θα παρακολουθείτε
Αφιερώστε λίγο χρόνο για να ελέγξετε την «προσωπικότητα» των socialmedia σας. Ανατρέξτε στους «φίλους» σας στο Facebook και Instagram αλλά και τις προτιμήσεις σας στο Tik Tok και κάντε ένα γερό ξεσκαρτάρισμα. Όλοι μας ακολουθούμε σελίδες που ίσως είχαν ένα ενδιαφέρον το 2007 που ξεκινήσαμε να έχουμε Social Media οι οποίες πλέον δεν παρουσιάζουν κάτι το συγκλονιστικό ή δραστήριους διαδικτυακούς φίλους που το περιεχόμενο τους δεν μας ενδιαφέρει και εμφανίζονται διαρκώς στο timeline μας. Με τον καιρό, οι λογαριασμοί που ακολουθούμε μπορεί να συσσωρεύονται χωρίς ιδιαίτερη σκέψη. Μια στοχευμένη εκκαθάριση μπορεί να κάνει την εμπειρία σας στα social media πιο υγιή και ουσιαστική. Αφαιρέστε ή κάντε mute λογαριασμούς και φίλους που:
- Δεν συνδέεστε πια μέσα από κοινά ενδιαφέροντα ή αλληλεπίδραση.
- Τους ακολουθήσατε από συνήθεια ή εκ παραδρομής.
Η μείωση των ψηφιακών «θορύβων» σας βοηθά να αποκτήσετε ένα πιο «καθαρό» και θετικό feed, και να εστιάζετε σε ό,τι πραγματικά έχει αξία για εσάς
5. Καθιερώστε μια «ψηφιακή αποτοξίνωση» ημέρας
Οι ανοιξιάτικες Κυριακές είναι η καλύτερη ευκαιρία! Ακόμα κι αν δεν υπάρχει η δυνατότητα εκδρομής και φαγητού με φίλους, η Κυριακή απόμόνη της προσφέρει την αίσθηση της χαλάρωσης. Επιλέξτε την Κυριακή, που -ελπίζω- να ξυπνάτε λίγο πιο αργά, αγοράστε μια Κυριακάτικη εφημερίδα, ξεφυλλίστε τα περιοδικά της, μαγειρέψτε κάτι διαφορετικό, κάντε μια όμορφη βόλτα είτε με το αυτοκίνητο είτε με τα πόδια και αφήστε το κινητό στο σπίτι (εφόσον πάντα οι συνθήκες το επιτρέπουν)
6. Γίνετε πιο δημιουργικοί
Προς θεού, δεν ζητάμε να παρουσιάσετε το Πάσχα του 2026 την έκθεση ζωγραφικής σας. Η δημιουργικότητα μπορεί να έχει πολλές εκφάνσεις. Κλείστε το κινητό και αλλάξτε την διακόσμηση σε ένα χώρο του σπιτιού σας, ακόμα και με πράγματα που υπάρχουν ήδη στο σπίτι. Αναζητήστε στο κινητό σας παλιές φωτογραφίες ή φωτογραφίες με φίλους και ωραίες αναμνήσεις και διαμορφώστε ένα ψηφιακό άλμπουμ, φυτέψτε λουλούδια στο μπαλκόνι σας και δείτε να μεγαλώνουν, ζωγραφίστε κούπες και άλλες τόσες απλές και εύκολες ιδέες που μπορούν να σας απασχολήσουν και να ομορφύνουν την καθημερινότητα σας.
7. Εμπλέξτε φίλους ή οικογένεια
Συμφωνήστε με έναν φίλο να κάνετε μαζί ένα διάλειμμα από τα μέσα κοινωνικής δικτύωσης και ενθαρρύνετε ο ένας τον άλλον. Επικοινωνήστε την πρόοδο σας αλλά και τα οφέλη της και κάντε «brainstorming» για τις εναλλακτικές σας. Το γεγονός ότι δεν είστε μόνοι σας σε αυτήν την προσπάθεια θα βοηθήσει σημαντικά, όπως θα βοηθήσει και η εμπιστοσύνη που έχετε δείξει ο ένας στον άλλο για την επίτευξη του κοινού στόχου.
8. Think before you post
Σκεφτείτε σοβαρά οποιοδήποτε post σας. Πριν μοιραστείτε κάτι είτε αυτό είναι μια ευχάριστη στιγμή, είτε κάποιο επίτευγμα σαςείτε μια είδηση, αναρωτηθείτε γιατί το κάνετε. Πριν μοιραστείτε κάτι, ρωτήστε τον εαυτό σας: «Γιατί το κάνω;» Η ενσυνείδητη χρήση μειώνει τη μηχανική εξάρτηση και ενισχύει την προσωπική αυθεντικότητα.
9. Επιστροφή στην περίοδο πριν τα social media
Πως περνάγαμε άραγε τα καλοκαίρια μαςπριν τα social media, πως κρατούσαμε τις αναμνήσεις ζωντανές, ποιες είναι οι μυρωδιές μας και οι αισθήσεις μας από την προηγούμενη εικοσαετία. Ας δώσουμε την ευκαιρία σε ένα καλό βιβλίο, την αίσθηση του οποίου δεν μπορεί να αντικαταστήσει ούτε το καλύτερο e-book, ας ενωθούμε με την φύση ή ακόμα κι αν είναι δύσκολο αυτό ας αφουγκραστούμε τους ήχους της μεγαλούπολης μας, ας παρακολουθήσουμε διακριτικά και με ενσυναίσθηση τους ανθρώπους γύρω μας, τα χρώματα και τα ιδιαίτερα χαρακτηριστικά των κατά τ’ άλλα γκρίζων πολυκατοικιών, ας πλάσουμε ιστορίες με φαντασία ή χωρίς, ας μιλήσουμε με τους ανθρώπους μας με το κινητό στο αθόρυβο, ας τους ακουμπήσουμε, ας τους αφουγκραστούμε. Είναι τόσο ξεχωριστοί οι καφέδες όταν έχει κλείσει το κινητό μας από μπαταρία άρα το story θα ανέβει ετεροχρονισμένα και τα notification θα ελεγχθούν μετά από ώρα.
10. Manifest Your Digital Freedom
Αντί να δεις την αποτοξίνωση σαν στέρηση, δες την ως ευκαιρία να οραματιστείς τη σχέση που θέλεις να έχεις με το διαδίκτυο. Φαντάσου τον εαυτό σου να χρησιμοποιεί τα social media με μέτρο, μόνο για πράγματα που σου δίνουν χαρά, γνώση και έμπνευση. Γράψε σε ένα χαρτί πώς θα ήθελες να μοιάζει η καθημερινότητά σου χωρίς το άγχος της υπερσύνδεσης. Και κάθε μέρα, κάνε ένα μικρό βήμα πιο κοντά σε αυτό το όραμα. Το κλειδί δεν είναι να «κόψεις» κάτι, αλλά να δημιουργήσεις μια νέα ψηφιακή πραγματικότητα που να σε εκφράζει.
+1. Δώσε χρόνο
Η αλλαγή συνηθειών και μάλιστα τόσο έντονων και πολλές φορές απαραίτητων για την κοινωνική μας υπόσταση είναι μια αρκετά δύσκολη και ίσως κάποιες φορές επίπονη προσπάθεια. Κάθε μέρα που θα περιορίζεις έστω και ελάχιστα την χρήση των social media θα είναι μια μικρή νίκη.
Τα social media είναι ένα σπουδαίο τεχνολογικό επίτευγμα το οποίο μας παρέχεται δωρεάν (ή όχι και τόσο δωρεάν αν αναλογιστεί κανείς ότι το πληρώνουμε με τα προσωπικά μας δεδομένα), μας συνδέει με φίλους από μακριά, μας παρέχει σημαντική γρήγορη πληροφόρηση. Ωστόσο, ακόμα και μία μικρή αλλαγή μπορεί να κάνει τη διαφορά. Η κάθε μέρα που αποφεύγεις τη συνεχιζόμενη χρήση των social media είναι μια νίκη για τον εαυτό σου"
Η επιρροή του GDPR στα Μέσα Κοινωνικής Δικτύωσης μέσα από τη μελέτη περίπτωσης του Facebook
Γράφει η Μαρία Κατσιώτη
Σύμφωνα με την ΕΛΣΤΑΤ (Ελληνική Στατιστική Αρχή, 2023), η πρόσβαση των Ελλήνων στα Μέσα Κοινωνικής Δικτύωσης (ΜΚΔ) είναι ένας από τους κύριους λόγους χρήσης του Διαδικτύου. Η επίδραση των ΜΚΔ στη ζωή μας μπορεί να είναι θετική (δυνατότητες επικοινωνίας, πρόσβασης σε πληροφορίες, συμμετοχής σε ομάδες κ.α.) αλλά και αρνητική (όπως επιρροή πολιτικής βούλησης, διακρίσεις, εκφοβισμός, εθισμός, παραπληροφόρηση, παράνομη συλλογή και επεξεργασία δεδομένων). Αναφορικά με την προστασία προσωπικών δεδομένων χρηστών, με στόχο τον αποτελεσματικότερο περιορισμό των σχετικών αρνητικών επιπτώσεων (σε σχέση με την Οδηγία 95/46), ο ευρωπαίος νομοθέτης ψήφισε τον GDPR το 2016, ο οποίος τέθηκε σε εφαρμογή το 2018. Στο σημείο αυτό τίθεται το ερώτημα: τελικά ο GDPR έχει συμβάλλει μέχρι στιγμής στον περιορισμό των αρνητικών επιπτώσεων των ΜΚΔ στην προστασία προσωπικών δεδομένων χρηστών; Για να δώσουμε μία απάντηση, ας μελετήσουμε την περίπτωση του Facebook ως ΜΚΔ της Meta.
Τι είναι το Facebook, πως λειτουργεί και ποια είναι η σχέση του με τα προσωπικά μας δεδομένα;
Το Facebook είναι μία διαδικτυακή πλατφόρμα που επιτρέπει στους χρήστες να αναπτύσσουν δίκτυα και κοινότητες εντός αυτού και να ανταλλάσσουν μηνύματα, περιεχόμενα και γενικά πληροφορίες (προσωπικά δεδομένα και μη). Αν και οι περισσότεροι χρήστες πιστεύουν ότι οι υπηρεσίες του Facebook παρέχονται δωρεάν, στην πραγματικότητα λανθάνουν. Μέχρι το 2023, το μοντέλο εσόδων του Facebook ήταν αποκλειστικά η διαφήμιση. Το μοντέλο εσόδων διαφήμισης σημαίνει ότι το Facebook συλλέγει και γενικά επεξεργάζεται τα προσωπικά δεδομένα που ο χρήστης παρέχει κατά την εγγραφή του σε αυτό και από την διάδραση του με άλλους χρήστες, με ιστοσελίδες και περιεχόμενα, καθώς και προσωπικά του δεδομένα εκτός πλατφόρμας που παρέχονται από τρίτους με στόχο να καταρτίσει το προφίλ του εκάστοτε χρήστη και να προβαίνει σε στοχευμένες διαφημίσεις επί πληρωμή (από επιχειρηματικούς χρήστες συνήθως για διαφήμιση του προϊόντος τους) βάσει του προφίλ και συμπεριφοράς του (Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, 2020).
Αυτή η αναλυτική (έως ψυχογραφική) κατάρτιση προφίλ σε συνδυασμό με το μέγεθος και τον παγκόσμιο χαρακτήρα της εταιρίας δημιουργεί κινδύνους για τα δικαιώματα και ελευθερίες του ατόμου και ιδίως για την προστασία των προσωπικών δεδομένων του χρήστη, όπως η χειραγώγηση της βούλησης των χρηστών τόσο για καταναλωτικές όσο και για πολιτικές ενέργειες (π.χ. σκάνδαλο Cambridge analytica), η έλλειψη νομιμότητας επεξεργασίας, διαφάνειας, ουσιαστικής ενημέρωσης και ελέγχου του χρήστη επί των προσωπικών του δεδομένων, η αίσθηση της διαρκής παρακολούθησης του, οι ενδεχόμενες διακρίσεις βάσει προφίλ, η στόχευση και η ενδεχόμενη αρνητική επιρροή στην ανάπτυξη των παιδιών.
Πλέον, μετά την ανακοίνωση της Meta τον Οκτώβριο του 2023, το Facebook υιοθέτησε το μοντέλο “pay or consent” (Συνδρομή ή Συγκατάθεση για συμπεριφορική διαφήμιση), παρέχοντας σήμερα στους χρήστες τρεις (στην αρχή ήταν δύο) εναλλακτικές επιλογές για τη χρήση του Facebook: α) με συνδρομή (η οποία είναι πλέον μικρότερη σε σχέση με την αρχική προτεινόμενη λόγω της Γνώμης 08/2024 του ΕΣΠΔ, όπως αναφέρεται παρακάτω), β) με εξατομικευμένες διαφημίσεις και γ) λιγότερο εξατομικευμένες διαφημίσεις (η τρίτη επιλογή δόθηκε μετά από τη Γνώμη 08/2024 του ΕΣΠΔ).
Από το 2016 μέχρι το 2025, ποια ήταν τελικά η επιρροή του GDPR στο Facebook;
Από το 2016 που ψηφίστηκε ο GDPR μέχρι σήμερα, το Facebook έχει προβεί σε πολλές τροποποιήσεις και ενέργειες προς συμμόρφωση με αυτόν κατόπιν σχετικών Πράξεων του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), Αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), καθώς και κατόπιν του συνόλου προστίμων που επέβαλε η Ιρλανδική Αρχή Προστασίας Δεδομένων στη Meta Ireland, ως θυγατρική της Meta, για το ΜΚΔ Facebook.
Ειδικότερα, σχετικές Πράξεις του ΕΣΠΔ που έχουν εκδοθεί και έχουν ασκήσει επιρροή στο Facebook είναι ενδεικτικά οι ακόλουθες:
- «Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης (Έκδοση 2.0)».
- “Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them (Version 2.0)”.
- “Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR)”. Βάσει της απόφασης η META δεν μπορεί να χρησιμοποιεί τη «σύμβαση» ή το «έννομο συμφέρον» ως νομική βάση επεξεργασίας για σκοπούς συμπεριφορικής διαφήμισης.
- «Γνώμη 8/2024 σχετικά με την έγκυρη συγκατάθεση στο πλαίσιο μοντέλων συγκατάθεσης ή πληρωμής τα οποία εφαρμόζουν μεγάλες επιγραμμικές πλατφόρμες».
Αναφορικά με τα πρόστιμα από την Ιρλανδική Επιτροπή για την Προστασία Δεδομένων, επιβλήθηκαν ενδεικτικά τα ακόλουθα κατά το διάστημα 2022-2024:
- 15/3/2022: Πρόστιμο 17 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης τεχνικών και οργανωτικών μέτρων ασφαλείας
- 28/11/2022: Πρόστιμο 265 εκατομμύρια ευρώ στη Meta (Facebook) λόγω έλλειψης προστασίας δεδομένων από το σχεδιασμό και εξ ορισμού (by design and by default)
- 4/1/2023: Πρόστιμο 210 εκατομμύρια ευρώ στη Meta (Facebook) λόγω του ότι δεν νομιμοποιείται να χρησιμοποιεί ως νομική βάση της «σύμβασης» για την συμπεριφορική διαφήμιση ως πράξη επεξεργασίας
- 22/5/2023: Πρόστιμο ρεκόρ 1,2 δισ. Ευρώ στη Meta (Facebook) λόγω παράνομων διαβιβάσεων δεδομένων στις ΗΠΑ, κατόπιν μάλιστα της ακύρωσης της Απόφασης Επάρκειας της Ευρωπαικής Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, δυνάμει της Απόφασης ΔΕΕ Schrems II (2020).
- 17/12/2024 : Πρόστιμο 250 εκατομμύρια ευρώ, μεταξύ άλλων, λόγω του ότι τα συστήματα επεξεργασίας του Facebook δεν ήταν by design και by default σχεδιασμένα σύμφωνα με τον GDPR.
Τέλος, παρακάτω παρουσιάζονται ενδεικτικά κάποιες ενέργειες στις οποίες προέβη η εταιρία σε σχέση με την επεξεργασία προσωπικών δεδομένων χρηστών στο Facebook προς συμμόρφωση με τον GDPR και τις Πράξεις του ΕΣΠΔ και της Ιρλανδικής Επιτροπής, καθώς και Αποφάσεις του ΔΕΕ:
- Διορισμός Υπεύθυνου Προστασίας Δεδομένων για πρώτη φορά με ανακοίνωση του 2017.
- Aνακοίνωση της Meta ότι από τις 7 Σεπτεμβρίου 2023, η διατλαντική μεταφορά δεδομένων χρηστών του Facebook θα πιστοποιηθεί βάσει του νέου Πλαισίου Προστασίας Προσωπικών Δεδομένων (DPF), το οποίο πράγματι συνέβη (βλέπετε εδώ).
- Αλλαγή της νομικής βάσης για την επεξεργασία δεδομένων για την συμπεριφορική διαφήμιση από τη «σύμβαση» στην νομική βάση της «συγκατάθεσης».
- Για να είναι έγκυρη η «συγκατάθεση», η Meta υιοθέτησε το μοντέλο “pay or consent” με τρεις εναλλακτικές επιλογές, όπως αναφέρθηκε προηγουμένως.
- Δημιουργία πιο αναλυτικής και «διάφανης» Πολιτικής Προσωπικών Δεδομένων με παραδείγματα, βίντεο και φωτογραφίες. Σύμφωνα με έρευνα (Hanlon & Jones, 2023), μεταξύ των ετών 2005 και 2023, το Facebook ως ΜΚΔ έχει τροποποιήσει την Πολιτική Απορρήτου του 24 φορές, με την πρώτη έκδοση να περιέχει 1.000 λέξεις, ενώ η έκδοση του 2023 να έχει φτάσει τις 11.476 λέξεις.
- Δημιουργία διαφόρων εργαλείων για μεγαλύτερο έλεγχο των προσωπικών δεδομένων των χρηστών και διαφάνεια (π.χ. εργαλείο μεταβίβασης των δεδομένων σε άλλη υπηρεσία και εργαλείο πρόσβασης, διαχείρισης και διαγραφής των παρεχόμενων δεδομένων κ.ά.).
Λαμβάνοντας όλα τα ανωτέρω υπόψη, γίνεται αντιληπτό ότι ο GDPR μέσω των προβλεπόμενων αρμόδιων οργάνων και πράξεων ασκεί επιρροή, έστω και με αργούς ρυθμούς, σε μεγάλες επιγραμμικές πλατφόρμες (όπως τα ΜΚΔ) οι οποίες (πολλές φορές υπό το «φόβο» επιβολής προστίμου) προβαίνουν σε ενέργειες συμμόρφωσης, συμβάλλοντας με τον τρόπο αυτόν στην διεκδίκηση του ελέγχου του Υποκειμένου των Δεδομένων επί των προσωπικών του δεδομένων.
Βιβλιογραφία - Αναφορές
Hanlon, A., & Jones, K. (2023, July 07). Ethical concerns about social media privacy policies: do users have the ability to comprehend their consent actions? Journal of Strategic Marketing. doi:10.1080/0965254X.2023.2232817.
Meta. (2024, November 12). Facebook and Instagram to Offer Subscription for No Ads in Europe. Ανάκτηση Μάρτιος 2025.
Ελληνική Στατιστική Αρχή. (2024). ΕΡΕΥΝΑ ΧΡΗΣΗΣ ΤΕΧΝΟΛΟΓΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΣ ΑΠΟ ΝΟΙΚΟΚΥΡΙΑ ΚΑΙ ΑΤΟΜΑ.
Ευρωπαικό Συμβούλιο Προσωπικών Δεδομένων. (8/2020, Σεπτέμβριος). Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης-Έκδοση 2.0.
*Η Μαρία Κατσιώτη είναι Δικηγόρος, Msc Law and Informatics.
NIS2, GDPR και Ανθεκτικότητα: Διδάγματα από την Επανάσταση του 1821
Γράφει ο Τάσος Αραμπατζής
Η κυβερνοασφάλεια και η προστασία προσωπικών δεδομένων είναι δύο άρρηκτα συνδεδεμένες έννοιες στον σύγχρονο ψηφιακό κόσμο. Η Ευρωπαϊκή Ένωση, μέσα από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και την Οδηγία NIS2, θέτει αυστηρά πλαίσια για την προστασία των προσωπικών δεδομένων, την διαχείριση των κινδύνων φυσικών και ψηφιακών, και την ενίσχυση της ανθεκτικότητας των κρίσιμων υποδομών.
Ωστόσο, παρά τις ομοιότητες, πολλές επιχειρήσεις και οργανισμοί εξακολουθούν να αντιμετωπίζουν τις δύο ρυθμίσεις ως ξεχωριστές υποχρεώσεις συμμόρφωσης, με αποτέλεσμα αυξημένο κόστος και πολυπλοκότητα. Ωστόσο, οι μεμονωμένες τακτικές οδηγούν σε σπατάλη πόρων και σε αβέβαια αποτελέσματα, ένα μάθημα που ως χώρα το έχουμε μάθει από την εποχή της Επανάστασης του 1821.
Όταν οι Έλληνες αποφάσισαν να αποκτήσουν ενιαία στρατηγική απέναντι στον κοινό εχθρό, η Επανάσταση πήρε μία εντελώς διαφορετική τροπή οδηγώντας στο ανεξάρτητο Ελληνικό κράτος του 1830. Αυτό το μάθημα βρίσκει απόκριση και στην αντιμετώπιση των προκλήσεων της συμμόρφωσης με μία πληθώρα κανονιστικών απαιτήσεων.
Μια ενιαία στρατηγική διακυβέρνησης μπορεί να συμβάλει στη μείωση αυτών των προκλήσεων, εξασφαλίζοντας ταυτόχρονα υψηλότερο επίπεδο προστασίας δεδομένων και ανθεκτικότητας απέναντι σε κυβερνοαπειλές.
Τι είναι η Οδηγία NIS2 και γιατί είναι σημαντική;
Η Οδηγία NIS2 (Network and Information Security Directive 2) αποτελεί την αναβαθμισμένη εκδοχή του αρχικού NIS, με στόχο την ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας κρίσιμων υποδομών στην Ευρώπη.
Οι βασικές αλλαγές του NIS2 περιλαμβάνουν:
Διεύρυνση του πεδίου εφαρμογής: Περιλαμβάνει πλέον περισσότερους τομείς, όπως η υγειονομική περίθαλψη, η διαχείριση υδάτων, η ενέργεια, οι τράπεζες, οι δημόσιες υπηρεσίες και οι πάροχοι ψηφιακών υπηρεσιών.
Αυστηρότερες απαιτήσεις ασφάλειας: Οι οργανισμοί πρέπει να υιοθετήσουν στρατηγικές διαχείρισης κινδύνων που περιλαμβάνουν μέτρα όπως έλεγχος πρόσβασης, κρυπτογράφηση, διαχείριση εφοδιαστικής αλυσίδας και ανθεκτικότητα σε κυβερνοεπιθέσεις.
Υποχρέωση αναφοράς περιστατικών: Οι επιχειρήσεις πρέπει να ενημερώνουν άμεσα τις αρμόδιες αρχές για κυβερνοεπιθέσεις που μπορούν να επηρεάσουν τη λειτουργία τους.
Αυστηρότερα πρόστιμα: Οι διοικήσεις οργανισμών φέρουν πλέον προσωπική ευθύνη για την εφαρμογή πολιτικών κυβερνοασφάλειας, με κυρώσεις που μπορούν να αγγίξουν το 2% του ετήσιου κύκλου εργασιών ή 10 εκατ. ευρώ.
NIS2 και GDPR: Συγκλίσεις και Αποκλίσεις
Το NIS2 και ο GDPR στοχεύουν αμφότερα στην προστασία δεδομένων, και αυτό είναι απόλυτα λογικό εάν αναλογιστούμε την σημασία των δεδομένων – προσωπικών και εταιρικών – στην διαδικασία λήψης αποφάσεων. Εντούτοις, προσεγγίζουν το ζήτημα από διαφορετικές οπτικές:
Κοινά σημεία | |
Διαχείριση κινδύνων και προστασία δεδομένων | Αμφότεροι οι κανονισμοί απαιτούν από τους οργανισμούς να λαμβάνουν μέτρα προστασίας για την αποφυγή διαρροής ή παραβίασης δεδομένων. |
Υποχρέωση αναφοράς περιστατικών | Οι επιχειρήσεις οφείλουν να αναφέρουν σοβαρά περιστατικά ασφαλείας στις αρμόδιες αρχές (DPA για τον GDPR, CSIRT/National Competent Authorities για το NIS2). |
Πρόστιμα και κυρώσεις | Η μη συμμόρφωση με τις απαιτήσεις μπορεί να οδηγήσει σε υψηλά πρόστιμα και νομικές επιπτώσεις. |
Διαφορές | |
Εστίαση | Ο GDPR προστατεύει τα προσωπικά δεδομένα φυσικών προσώπων, ενώ ο NIS2 εστιάζει στην ασφάλεια των δικτύων και πληροφοριακών συστημάτων κρίσιμων υποδομών. |
Υποχρεώσεις συμμόρφωσης | Ο GDPR απαιτεί την εφαρμογή αρχών προστασίας δεδομένων (data minimization, purpose limitation), ενώ ο NIS2 απαιτεί ενισχυμένα μέτρα κυβερνοασφάλειας (ανθεκτικότητα συστημάτων, διαχείριση εφοδιαστικής αλυσίδας). |
Η Ανάγκη για Ενιαία Διακυβέρνηση της Συμμόρφωσης
Οι επιχειρήσεις που δραστηριοποιούνται σε τομείς που καλύπτονται τόσο από τον GDPR όσο και από το NIS2 συχνά υιοθετούν ξεχωριστές στρατηγικές συμμόρφωσης, κάτι που αυξάνει την πολυπλοκότητα και το λειτουργικό κόστος.
Αντί αυτού, η προσέγγιση της ενιαίας διακυβέρνησης της συμμόρφωσης μπορεί να προσφέρει σημαντικά πλεονεκτήματα:
Μείωση κόστους: Αντί για πολλαπλά, παράλληλα compliance προγράμματα, οι οργανισμοί μπορούν να ενοποιήσουν τις πολιτικές τους και να αξιοποιήσουν κοινές δομές (π.χ. Security Operations Centers – SOCs, Risk Management Frameworks).
Απλοποίηση διαδικασιών: Η δημιουργία ενός ενιαίου προγράμματος διαχείρισης κινδύνου που συνδυάζει τις απαιτήσεις του GDPR και του NIS2 μπορεί να μειώσει τη γραφειοκρατία και να επιταχύνει τη συμμόρφωση.
Ενίσχυση της ανθεκτικότητας: Η ενσωμάτωση πρακτικών κυβερνοασφάλειας στο πλαίσιο προστασίας δεδομένων διασφαλίζει ότι τα προσωπικά δεδομένα προστατεύονται όχι μόνο νομικά, αλλά και τεχνικά.
Ενδυνάμωση του ρόλου των DPOs και CISOs: Αντί να λειτουργούν ανεξάρτητα, οι Υπεύθυνοι Προστασίας Δεδομένων (DPOs) και οι Διευθυντές Κυβερνοασφάλειας (CISOs) μπορούν να συνεργάζονται για την επίτευξη κοινών στόχων.
Η Επιτυχία Βρίσκεται στην Στρατηγική: Τι Μας Διδάσκουν οι Ήρωες του 1821
Η 25η Μαρτίου 1821 σηματοδοτεί τον αγώνα για ελευθερία, ανεξαρτησία και ανθεκτικότητα απέναντι στις απειλές. Σήμερα, οι επιχειρήσεις και οι οργανισμοί βρίσκονται σε μια διαφορετική μάχη—την προστασία των δεδομένων και της επιχειρησιακής τους συνέχειας απέναντι σε κυβερνοαπειλές.
Όπως τότε, η επιτυχία δεν έγκειται μόνο στην άμυνα, αλλά στη στρατηγική, τη συνεργασία και την προετοιμασία. Ο NIS2 και ο GDPR δεν πρέπει να θεωρούνται εμπόδια, αλλά ασπίδα προστασίας απέναντι σε έναν ψηφιακό εχθρό που εξελίσσεται διαρκώς. Η υιοθέτηση μιας ενιαίας στρατηγικής διακυβέρνησης είναι το κλειδί για την ανθεκτικότητα, εξασφαλίζοντας ότι οι επιχειρήσεις θα συνεχίσουν να λειτουργούν απρόσκοπτα, ακόμα και μπροστά στις μεγαλύτερες προκλήσεις.
Τα παρακάτω ερωτήματα θα πρέπει να είναι στο πίσω μέρος του μυαλού όλων των στελεχών των επιχειρήσεων:
- Πώς μπορεί η δική σας επιχείρηση να οχυρωθεί απέναντι στις κυβερνοαπειλές και να διασφαλίσει τη συνέχειά της;
- Ποιες στρατηγικές ανθεκτικότητας μπορείτε να υιοθετήσετε σήμερα για να προστατεύσετε τα δεδομένα και τις υποδομές σας;
Η ιστορία μάς διδάσκει ότι η ανθεκτικότητα και η αποφασιστικότητα είναι το κλειδί για την επιβίωση. Το ίδιο ισχύει και για την ψηφιακή εποχή.
Η Σαρακοστή και η Κυβερνοασφάλεια: Ένα Μάθημα Προετοιμασίας και Ανθεκτικότητας
Γράφει ο Τάσος Αραμπατζής
Η Σαρακοστή είναι μια περίοδος πνευματικής προετοιμασίας, εγκράτειας και εσωτερικού ελέγχου που οδηγεί στην κορύφωση του Πάσχα. Οι χριστιανοί καλούνται να ακολουθήσουν μια πορεία αυτοσυγκράτησης, μετάνοιας και ενίσχυσης της πνευματικότητάς τους μέσα από τη νηστεία, την προσευχή και τη φιλανθρωπία.
Εντούτοις, το άρθρο αυτό δεν είναι για να μιλήσουμε για νηστεία. Αν μεταφέρουμε αυτό το πλαίσιο στον επιχειρηματικό κόσμο, βλέπουμε ότι η προετοιμασία για ισχυρότερη κυβερνοασφάλεια και κανονιστική συμμόρφωση έχει πολλά κοινά σημεία με το νόημα της Σαρακοστής. Και στις δύο περιπτώσεις, ο δρόμος προς την επιτυχία απαιτεί πειθαρχία, αυτοαξιολόγηση και δέσμευση για συνεχή βελτίωση.
Σε αυτό το άρθρο, θα αναλύσουμε πώς οι βασικές αρχές της Σαρακοστής μπορούν να προσφέρουν ένα ισχυρό πλαίσιο προετοιμασίας για τις επιχειρήσεις, προκειμένου να θωρακιστούν απέναντι σε κυβερνοαπειλές και να συμμορφωθούν με τις αυστηρότερες ρυθμίσεις που επιβάλλουν κανονιστικά πλαίσια όπως το NIS2, το DORA και το GDPR.
Αυτοαξιολόγηση: Η Σημασία της Ενδοσκόπησης
Κατά τη Σαρακοστή, οι πιστοί καλούνται να αναλογιστούν τις πράξεις τους και να εξετάσουν πού χρειάζονται βελτίωση. Ομοίως, οι επιχειρήσεις πρέπει να κάνουν μια ειλικρινή ενδοσκόπηση της κυβερνοασφάλειάς τους.
- Πότε ήταν η τελευταία φορά που πραγματοποιήθηκε ένας πλήρης έλεγχος ασφάλειας;
- Υπάρχουν κενά στην πολιτική πρόσβασης ή στην προστασία ευαίσθητων δεδομένων;
- Κατά πόσο το ανθρώπινο δυναμικό είναι εκπαιδευμένο στις βέλτιστες πρακτικές ασφάλειας;
Η περίοδος της Σαρακοστής μάς υπενθυμίζει ότι μόνο με ειλικρινή αυτογνωσία μπορούμε να προχωρήσουμε μπροστά. Για τις επιχειρήσεις, η αυτοαξιολόγηση είναι το πρώτο βήμα προς την ανθεκτικότητα και τη συμμόρφωση.
Πειθαρχία και Εγκράτεια: Ενίσχυση της Ανθεκτικότητας
Η νηστεία της Σαρακοστής δεν αφορά μόνο τη διατροφική αποχή, αλλά και την αυτοσυγκράτηση από κακές συνήθειες και την καλλιέργεια θετικών στάσεων. Αντίστοιχα, οι επιχειρήσεις πρέπει να επιδείξουν πειθαρχία και εγκράτεια στην εφαρμογή των πολιτικών κυβερνοασφάλειας:
- Περιορισμένη πρόσβαση (Zero Trust): Δεν χρειάζονται οι εργαζόμενοι ή οι συνεργάτες πρόσβαση σε όλα τα δεδομένα. Η προσέγγιση Zero Trust απαιτεί αυστηρή διαχείριση ταυτοτήτων και δικαιωμάτων.
- Ελεγχόμενη χρήση τεχνολογιών: Οι ανεξέλεγκτες cloud εφαρμογές και οι shadow ΑΙ και IT πρακτικές μπορούν να εκθέσουν την εταιρεία σε κινδύνους. Μια πειθαρχημένη πολιτική περιορίζει τους τεχνολογικούς κινδύνους και προστατεύει από επιθέσεις χωρίς να επηρεάζει την αποδοτικότητα και την παραγωγικότητα.
- Συμμόρφωση με τους κανονισμούς: Οι οργανισμοί πρέπει να αντιστέκονται στον πειρασμό των “γρήγορων λύσεων” που παρακάμπτουν τη συμμόρφωση. Μόνο με πειθαρχημένη εφαρμογή των προτύπων ασφάλειας θα αποφύγουν πρόστιμα και επιθέσεις.
Όπως η νηστεία οδηγεί σε εσωτερική ενδυνάμωση, έτσι και η συνεπής εφαρμογή πολιτικών κυβερνοασφάλειας ενισχύει την ανθεκτικότητα των επιχειρήσεων απέναντι στις απειλές.
Μετάνοια και Διορθωτικές Ενέργειες
Η Σαρακοστή είναι περίοδος μετάνοιας και αλλαγής, όπου οι άνθρωποι αναγνωρίζουν τα λάθη τους και προσπαθούν να τα διορθώσουν. Το ίδιο πρέπει να κάνουν και οι επιχειρήσεις.
Αν ένας οργανισμός έχει ήδη δεχθεί κυβερνοεπίθεση ή έχει παραβιάσει κανονισμούς, η «μετάνοια» μεταφράζεται σε διορθωτικές ενέργειες:
- Ανάλυση περιστατικών: Τι πήγε λάθος; Πώς μπορεί να αποφευχθεί στο μέλλον;
- Βελτίωση πολιτικών και διαδικασιών: Αν τα συστήματα απέτυχαν να σταματήσουν ή να περιορίσουν μία επίθεση, μήπως το πρόβλημα είναι διαδικασίες και απαιτείται αναβάθμιση της στρατηγικής ασφαλείας;
- Εκπαίδευση προσωπικού: Πολλές επιθέσεις συμβαίνουν λόγω ανθρώπινων λαθών. Πώς αισθάνονται οι υπάλληλοί σας απέναντι στην κυβερνοασφάλεια; Ένα καλά εκπαιδευμένο προσωπικό μπορεί να μειώσει τις πιθανότητες λαθών και παραβιάσεων.
Η αληθινή «μετάνοια» για μια επιχείρηση είναι να μαθαίνει από τα λάθη της και να γίνεται καλύτερη.
Φιλανθρωπία και Κοινοτική Ευθύνη: Διαμοιρασμός της Γνώσης στην Κυβερνοασφάλεια
Η Σαρακοστή προτρέπει τους πιστούς να ασκούν φιλανθρωπία και αλληλεγγύη. Στον κόσμο της κυβερνοασφάλειας, αυτό μεταφράζεται σε διαμοιρασμό γνώσης και συνεργασία για τη θωράκιση του οικοσυστήματος.
- Προγράμματα ενδυνάμωσης στην κυβερνοασφάλεια: Οι επιχειρήσεις μπορούν να διοργανώνουν εκπαιδευτικά σεμινάρια όχι μόνο για το προσωπικό τους, αλλά και για συνεργάτες και πελάτες.
- Συνεργασία με φορείς κυβερνοασφάλειας: Η ανταλλαγή πληροφοριών για απειλές (threat intelligence sharing) μεταξύ εταιρειών μπορεί να αποτρέψει κυβερνοεπιθέσεις. Η συλλογική άμυνα είναι το καλύτερο αντίμετρο στις επιθέσεις.
- Στήριξη startup και μικρομεσαίων επιχειρήσεων: Η λογιστική αλυσίδα αποτελεί ένα «αγαπημένο» στόχο των επιθέσεων. Οι μεγάλες εταιρείες μπορούν να βοηθήσουν μικρότερες επιχειρήσεις να βελτιώσουν την ασφάλειά τους, δημιουργώντας ένα πιο ασφαλές επιχειρηματικό περιβάλλον για όλους.
Όπως η φιλανθρωπία προσφέρει στήριξη στην κοινωνία, ειδικά σε δύσκολες περιόδους, έτσι και η ανταλλαγή γνώσεων και πληροφοριών στην κυβερνοασφάλεια ενισχύει την προστασία όλων.
Η Σαρακοστή ως Πλαίσιο Κυβερνοασφάλειας
Η Σαρακοστή δεν είναι απλώς μια θρησκευτική παράδοση, αλλά ένα πλαίσιο προετοιμασίας και ενίσχυσης που μπορεί να εφαρμοστεί και στην κυβερνοασφάλεια.
- Αυτοαξιολόγηση → Τακτικός έλεγχος ασφάλειας.
- Πειθαρχία και εγκράτεια → Συνεπής εφαρμογή πολιτικών ασφάλειας.
- Μετάνοια και βελτίωση → Μάθηση από λάθη και αναπροσαρμογή στρατηγικών.
- Φιλανθρωπία και συνεργασία → Κοινοτική ευθύνη για τη διάδοση της γνώσης.
Όπως η Σαρακοστή προετοιμάζει τους πιστούς για την Ανάσταση, έτσι και η οργανωμένη προετοιμασία στην κυβερνοασφάλεια εξασφαλίζει την επιχειρησιακή συνέχεια και ανθεκτικότητα απέναντι στις κυβερνοαπειλές του μέλλοντος.
Καλή Σαρακοστή!
Πώς να διασφαλίσεις τον ψηφιακό σου εαυτό σε δημόσιους και κοινόχρηστους χώρους
Γράφει o Γιάννης Ντόκος*
Έχεις ποτέ αναρωτηθεί: “Πού σταματάει ο “φυσικός” μου εαυτός, και πού ξεκινάει ο ψηφιακός;”; Μην εκπλήσσεσαι, αν δυσκολεύεσαι να απαντήσεις. Με καθημερινά τεχνολογικά άλματα να φέρνουν παντού κινητά τηλέφωνα, έξυπνα ρολόγια και φριτέζες με wifi, τα όρια μεταξύ του ψηφιακού και απτού μας κόσμου ολοένα θολώνουν. Και, σαν να μην έφτανε η παραπάνω σύγχυση, προσβολές στον φυσικό κόσμο επιφέρουν μεταβολές στον ψηφιακό, και τούμπαλιν. Πόσω δε μάλλον, όταν βρισκόμαστε σε χώρους και περιβάλλοντα που χρησιμοποιούνται από περισσότερα, καλόβουλα αλλά και κακόβουλα, άτομα. Πώς όμως μπορούμε να φροντίσουμε, ούτως ώστε η παρουσία μας σε φυσικά και ψηφιακά δημόσιους χώρους να γίνεται με τρόπο ασφαλή; Παρακάτω θα σου δείξω πόσο εύκολα μπορούν να πληγούν τα ψηφιακά σου όρια στον φυσικό κόσμο, και πώς να μείνεις ασφαλής σε αυτόν.
Το δωρεάν wifi έχει ένα κόστος
Παραδέξου το, το έχεις κάνει ουκ ολίγες φορές - είσαι έξω, και δε θες να χαλάσεις δεδομένα για να συνδεθείς στο ίντερνετ. Ευτυχώς, είσαι σε καφετέρια με ανοιχτό ή δημόσια διαθέσιμο wifi! Είναι η τυχερή σου μέρα, αλλά μπορεί να μετατραπεί στην χειρότερή σου μέρα εξίσου εύκολα. Γιατί ομώς; Όπως εσύ έχεις δωρεάν πρόσβαση στο δίκτυο της καφετέριας προκειμένου να χαζέψεις στο ίντερνετ, την ίδια πρόσβαση θα μπορούσε να έχει κάποιος ο οποίος ενδιαφέρεται για τα δεδομένα σου. Το ΑΦΜ σου, τους κωδικούς στους λογαριασμούς σου (τραπεζικούς και μη), τις επικοινωνίες σου. Και με την πρόσβαση που έχουν στο κοινόχρηστο δίκτυο, οι τρόποι να σε βλάψουν είναι ατέλειωτοι - ανακατεύθυνση των στοιχείων σου, κλοπή ταυτότητας, ψεύτικα σάιτ της τράπεζας της επιλογής σου. Μετά θα τρέχεις, και δεν θα αξίζει τα λίγα mb που σώζεις με το δωρεάν ίντερνετ.
Τι να κάνω;
Όσο απλά μπορείς να πάθεις κακό, τόσο απλό είναι να προστατευτείς από αυτό. Ενδεικτικά, πράξε ώς εξής:
● Μη χρησιμοποιείς το δημόσια διαθέσιμο δίκτυο: Είναι ελκυστικό, αλλά αν μπορείς και δεν επείγει, μη το χρησιμοποιήσεις. Χρησιμοποίησε τον πάροχο της επιλογής σου για να συνδεθείς μέσω κινητής τηλεφωνίας, ή περίμενε να γυρίσεις σπίτι και να μπεις μέσω του δικού σου (ελπίζω ασφαλούς) wifi.
● Αν πρέπει οπωσδήποτε να συνδεθείς στο δημόσιο δίκτυο, συνδέσου μέσω VPN: Με αυτό τον τρόπο, τα δεδομένα σου ταξιδεύουν μέσα σε ένα κρυπτογραφημένο τούνελ που δύσκολα προσβάλλεται από κακόβουλα άτομα.
● Πρόσεχε σε ποιές υπηρεσίες συνδέεσαι και τί δεδομένα μοιράζεσαι: Αν θες να ολοκληρώσεις τραπεζικές συναλλαγές διαδικτυακά, καλύτερα να μην το κάνεις από το wifi της καφετέριας ή του αεροδρομίου.
Μήπως σε παρακολουθούν;
Χρησιμοποιώ τη δημόσια συγκοινωνία συχνά. Όταν δεν έχω κάτι να κάνω, μου αρέσει να παρακολουθώ τους γύρω μου (όχι δόλια, το ορκίζομαι!). Μου έχει τύχει ουκ ολίγες φορές να παρατηρήσω κάποιον επιβάτη, ο οποίος όντας απορροφημένος στο κινητό ή τον υπολογιστή του, προσελκύει πολλά βλέμματα στην οθόνη του. Τα βλέμματα κάποιες φορές δεν αποστρέφονται, είναι επίμονα, και ενίοτε οδηγούν σε μηχανορραφίες, σκέψεις και σημειώσεις από τον δράστη. Με τον ίδιο τρόπο, μπορεί και από σένα να αποσπάσουν το pin της συσκευής ή τον κωδικό της εφαρμογής της τράπεζάς σου, ή ίσως το pin της κάρτας σου όταν κάνεις ανάληψη, και να τα απομνημονεύσουν ή να τα σημειώσουν κάπου. Την πάτησες…
Το φαινόμενο shoulder surfing (ελληνιστί “οπτική υποκλοπή”) δεν είναι κάτι καινούργιο, αλλά είναι εξαιρετικά αποτελεσματικό, διότι εκμεταλλεύεται την αφηρημάδα ή την αφέλειά μας. Και, κακά τα ψέματα, σε μία χώρα όπου το κοινωνικό ενδιαφέρον (ήτοι κουτσομπολιό) “πάει σύννεφο”, και να κοιτάζει ο άλλος, δε δίνουμε σημασία.
Τι να κάνω;
Αν βρίσκεσαι σε δημόσιο χώρο περιτριγυρισμένος από περίεργα βλέμματα, οι παρακάτω ενέργειες μπορεί να βοηθήσουν:
● Γίνε λίγο καχύποπτος/η:Μην εμπιστεύεσαι άτομα γύρω σου τα οποία δεν ξέρεις (καλά). Σε δημόσια σημεία, καθένας μπορεί να έχει αγαθά ή μοχθηρά κίνητρα. Κάλυψε το pin σου στην τράπεζα, ή εγκατάστησε μια οθόνη προστασίας ιδιωτικότητας στο κινητό ή τον υπολογιστή σου (είναι καλή επένδυση!). Όπως λένε στο χωριό μου, zero trust!
● Κοίτα τους κι εσύ: Τώρα παίζεις με την ψυχολογία τους. Αν κάποιος φαίνεται να σε κοιτάει ύποπτα με σκοπό να σου αποσπάσει δεδομένα και στοιχεία, ανταπόδωσε το βλέμμα. Όχι με μανία (μη βρεις το μπελά σου), αλλά με τρόπο που να δείχνει ό,τι έχεις επίγνωση της κατάστασης. Συνήθως αυτό αρκεί να τους κάνει να σταματήσουν.
● Play it safe: Όπως και στη παραπάνω περίπτωση, αν θεωρείς οτι τραβάς τα βλέμματα πάνω σου (με σκοπό να σου υποκλέψουν τα στοιχεία, προφανώς!), καλύτερα να αποφύγεις να ανοίξεις εκείνο το αρχείο που αναγράφει το ΑΦΜ, την ημερομηνία γέννησής σου και τον αριθμό τηλεφώνου σου.
Τα πράγματά σου και τα μάτια σου!
Φαντάσου το εξής σενάριο: βρίσκεσαι στο σινεμά και θες επειγόντως να χρησιμοποιήσεις την τουαλέτα. Αφήνεις το κινητό σου πάνω στο κάθισμα. Τί μπορεί να πάει στραβά; Πολλά μπορούν να συμβούν.. Κάποιος κακόβουλος μπορεί να έχει βάλει στο μάτι το τηλέφωνό σου, και με την πρώτη ευκαιρία να το αρπάξει. Ίσως δουλεύεις remote από μια καφετέρια και θες να κάνεις ένα διάλειμμα. Θα άφηνες τον υπολογιστή σου ξεκλείδωτο πάνω στο τραπέζι; Ελπίζω πως όχι.
Οι προσωπικές μας συσκευές είναι σαν την κεντρική πόρτα του σπιτιού μας - αν είναι ανοιχτές ή ξεκλείδωτες, προσκαλούν πιθανούς εγκληματίες να εισβάλλουν και να υφαρπάξουν χρήσιμα για αυτούς στοιχεία. Μη τους δώσεις αυτή τη δυνατότητα.
Τι να κάνω;
Αν βρίσκεσαι σε δημόσιο χώρο, όπου η συσκευή σου κινδυνεύει να κλαπεί ή να διαρραγεί, κάνε τα ακόλουθα:
● Πάρε τη συσκευή μαζί σου: Μην αφήνεις ανεπίβλεπτες τις συσκευές σου, εάν υπάρχει ο παραμικρός κίνδυνος απώλειας ή κλοπής. Και προφανώς, μην την αφήνεις σε ανοιχτή θέα, ούτε καν μέσα στο κλειδωμένο σου αυτοκίνητο. Δες ένα παράδειγμα εδώ
● Κλείδωσέ την: Πάντα κλείδωνε τη συσκευή σου όταν δε βρίσκεσαι κάπου κοντά. Αυτό δε θα σε σώσει από την απώλεια δεδομένων, αλλά τουλάχιστον θα κερδίσεις λίγο χρόνο.
● Ενεργοποίησε τη δυνατότητα απομακρυσμένης διαγραφή: Ως ύστατο μέτρο, εάν είναι τεχνικά εφικτό, ενεργοποίησε τη δυνατότητα να διαγράψεις τα περιεχόμενα της συσκευής σου εξ αποστάσεως.
*Ο Γιάννης Ντόκος είναι IT GRC Expert.
Συμμόρφωση στην Εποχή της Τεχνητής Νοημοσύνης και της Κυβερνοασφάλειας: Πρόκληση ή Ευκαιρία;
Γράφει o Τάσος Αραμπατζής
Για χρόνια, η κυβερνοασφάλεια αγωνιζόταν να εξασφαλίσει μια θέση στην ατζέντα της διοίκησης των επιχειρήσεων. Χρειάστηκαν πρόστιμα εκατομμυρίων, νομικές διαμάχες και υψηλού προφίλ παραβιάσεις δεδομένων για να συνειδητοποιήσουν οι επιχειρήσεις ότι η ασφάλεια δεν είναι απλώς ένα ζήτημα πληροφορικής—είναι επιχειρηματικός κίνδυνος. Κανονισμοί όπως το GDPR, η NIS2 και το EU AI Act λειτουργούν ως καταλύτες, αναγκάζοντας τους οργανισμούς να επενδύσουν στη συμμόρφωση.
Αλλά εδώ είναι το βασικό ερώτημα: Είναι η συμμόρφωση ένα αναγκαίο κακό ή αποτελεί το θεμέλιο μιας ανθεκτικής στρατηγικής κυβερνοασφάλειας;
Συμμόρφωση: Το Ελάχιστο Απαραίτητο Επίπεδο Ασφάλειας
Οι κανονιστικές απαιτήσεις λειτουργούν ως βασική γραμμή άμυνας. Μπορεί να μην προσφέρουν την πιο εξελιγμένη προστασία, αλλά καθορίζουν μια δομημένη προσέγγιση στη διαχείριση κινδύνων. Σύμφωνα με την τελευταία έκθεση Thales Data Threat Report 2024, οι οργανισμοί που απέτυχαν σε ελέγχους συμμόρφωσης υπέστησαν περισσότερες παραβιάσεις δεδομένων από εκείνους που πέτυχαν. Το συμπέρασμα είναι σαφές—η συμμόρφωση δεν αφορά μόνο την αποφυγή προστίμων, αλλά και την αποτροπή κυβερνοεπιθέσεων.
Για παράδειγμα, οι επιχειρήσεις που επένδυσαν σε πρακτικές προστασίας δεδομένων λόγω του GDPR βρίσκονται τώρα σε πλεονεκτική θέση για να αντιμετωπίσουν τις νέες προκλήσεις των κανονισμών για την τεχνητή νοημοσύνη. Αντίστοιχα, η NIS2 επιβάλλει μέτρα ασφαλείας βάσει κινδύνου, τα οποία ευθυγραμμίζονται με τις βέλτιστες πρακτικές κυβερνοασφάλειας.
Κανονιστική Υπερφόρτωση; Όχι Ακριβώς.
Ένα συχνό παράπονο των επαγγελματιών ασφάλειας είναι ότι βυθίζονται σε κανονιστικές απαιτήσεις. Όμως, αν εξετάσουμε προσεκτικά τους κανονισμούς, παρατηρούμε σημαντικές επικαλύψεις.
- EU AI Act vs. GDPR: Ο Νόμος για την ΤΝ (AI Act) επεκτείνει τις αρχές του GDPR, επιβάλλοντας διαφάνεια στις αποφάσεις που λαμβάνονται από συστήματα ΤΝ.
- NIS2 vs. DORA: Το DORA και η NIS2 επιβάλλουν παρόμοιες απαιτήσεις κυβερνοασφάλειας σε χρηματοπιστωτικά ιδρύματα, εξασφαλίζοντας ανθεκτικότητα έναντι κυβερνοαπειλών.
Η κατανόηση αυτών των αλληλεπικαλύψεων επιτρέπει στους οργανισμούς να αναπτύξουν μια ενοποιημένη στρατηγική συμμόρφωσης αντί να αντιμετωπίζουν κάθε κανονισμό ξεχωριστά. Παρότι το κανονιστικό τοπίο φαίνεται ομιχλώδες, εντούτοις ακολουθώντας μία ολιστική προσέγγιση επιτρέπει στις επιχειρήσεις να συμμορφωθούν με περισσότερη εμπιστοσύνη.
Η Παγίδα της Πολυπλοκότητας: Όταν η Συμμόρφωση Γίνεται Γρίφος
Δεν είναι όμως όλα τόσο απλά. Πολλοί κανονισμοί είναι σκόπιμα γενικοί ώστε να μπορούν να εφαρμόζονται σε μία πλειάδα περιπτώσεων. Αυτή όμως η γενικότητα προσθέτει περισσότερη πολυπλοκότητα, αναγκάζοντας τις επιχειρήσεις να τους προσαρμόσουν στις δικές τους ανάγκες. Αυτό δημιουργεί ένα δίλημμα: Πώς μπορεί μια εταιρεία να διασφαλίσει τη συμμόρφωση αν δεν είναι σαφές τι ακριβώς απαιτείται;
Ένα χαρακτηριστικό παράδειγμα είναι το Άρθρο 86 του EU AI Act, το οποίο δίνει στους πολίτες το δικαίωμα να λαμβάνουν “σαφείς και ουσιαστικές εξηγήσεις” για το πώς ένα σύστημα ΤΝ επηρεάζει μια απόφαση. Σύμφωνα με την Luiza Jarovsky, αυτή η απαίτηση εγείρει κρίσιμα ερωτήματα:
- Αν ακόμη και οι ίδιοι οι δημιουργοί των συστημάτων ΤΝ δεν μπορούν να εξηγήσουν πλήρως πώς λειτουργούν (το πρόβλημα του “μαύρου κουτιού”), πώς μπορούν οι οργανισμοί να δώσουν ξεκάθαρες απαντήσεις;
- Είναι τεχνολογικά εφικτό να συμμορφωθούν οι εταιρείες με αυτή την απαίτηση;
Αυτές οι αβεβαιότητες δημιουργούν ένταση μεταξύ της ρυθμιστικής φιλοδοξίας και της τεχνικής πραγματικότητας.
Βελτιώνουν τα Πρόστιμα την Ασφάλεια;
Παρόλο που τα πρόστιμα είναι ισχυρό κίνητρο, συχνά οδηγούν σε επιφανειακή συμμόρφωση αντί για ουσιαστικές βελτιώσεις ασφάλειας.
Το GDPR υπάρχει από το 2018, αλλά οι παραβιάσεις δεδομένων συνεχίζονται αμείωτες. Μερικές εταιρείες βλέπουν τη συμμόρφωση ως οικονομική εξίσωση:
“Αν το κόστος της συμμόρφωσης είναι μεγαλύτερο από το ρίσκο του προστίμου, γιατί να συμμορφωθούμε;”
Το ίδιο ερώτημα θα προκύψει και με τον EU AI Act. Αν οι οργανισμοί δυσκολευτούν να συμμορφωθούν με τις απαιτήσεις διαφάνειας στην ΤΝ, θα επιβληθούν βαριά πρόστιμα ή θα υιοθετηθεί μια πιο ήπια προσέγγιση μέχρι να καθοριστούν οι βέλτιστες πρακτικές;
Και βεβαίως δεν θα πρέπει να ξεχνάμε την επίδραση της τρέχουσας γεωπολιτικής κατάστασης στο πως τελικά θα επιβληθεί η εκάστοτε νομοθεσία. Η πρόσφατη απόφαση για την απόσυρση του ΑΙ Liability Directive είναι ένα παράδειγμα αυτής της επίδρασης.
Η Πρόκληση της Εφαρμογής: Ποιος Επιβλέπει τους Ρυθμιστές;
Οι κανονισμοί είναι αποτελεσματικοί μόνο αν εφαρμόζονται σωστά. Το EU AI Act εισάγει νέες απαιτήσεις συμμόρφωσης, αλλά έχουν οι ρυθμιστικές αρχές την τεχνογνωσία να επιβλέψουν πολύπλοκα μοντέλα ΤΝ;
Το GDPR αντιμετώπισε σοβαρές προκλήσεις στην επιβολή του:
- Οι ρυθμιστικές αρχές είναι συχνά υποστελεχωμένες, καθυστερώντας τις έρευνες.
- Υπάρχει ασυνέπεια στην επιβολή των κανόνων μεταξύ των κρατών-μελών της ΕΕ.
Ο EU AI Act είναι ακόμη πιο πολύπλοκος. Αν οι ρυθμιστές δεν μπορούν να επιβάλουν αυστηρή συμμόρφωση, οι επιχειρήσεις μπορεί να καθυστερήσουν τις προσαρμογές τους, περιμένοντας να δουν αν οι κανόνες θα εφαρμοστούν πραγματικά.
Η πρόσφατη εξέλιξη με το Smart Policing της ΕΛΑΣ αναδεικνύει αυτό ακριβώς το πρόβλημα:
“Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης ότι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.”
Οι ακούσιες συνέπειες της συμμόρφωσης: Καταπνίγοντας την καινοτομία;
Ενώ τα πλαίσια συμμόρφωσης αποσκοπούν στην προστασία των καταναλωτών και των επιχειρήσεων, μπορούν επίσης να δημιουργήσουν εμπόδια στην καινοτομία. Ο GDPR προοριζόταν να ενισχύσει τα δικαιώματα προστασίας της ιδιωτικής ζωής, αλλά πολλές μικρές επιχειρήσεις αντιμετώπισαν και αντιμετωπίζουν με δυσκολία το βάρος της συμμόρφωσης, οδηγώντας σε:
- Σε φυγή των νεοφυών επιχειρήσεων σε λιγότερο ρυθμιζόμενες αγορές.
- Εμπόδια στην καινοτομία λόγω της νομικής αβεβαιότητας.
Θα μπορούσε να συμβεί το ίδιο με την πράξη της ΕΕ για την τεχνητή νοημοσύνη; Οι νεοσύστατες επιχειρήσεις τεχνητής νοημοσύνης ίσως βρουν ευκολότερο να δραστηριοποιηθούν στις ΗΠΑ ή την Ασία, όπου οι κανονισμοί είναι λιγότερο αυστηροί. Η ακούσια συνέπεια; Η Ευρώπη θα μπορούσε να μείνει πίσω στην ανάπτυξη της τεχνητής νοημοσύνης, παρά το γεγονός ότι ήταν από τους πρώτους που τη ρύθμισαν.
Συμμόρφωση ως ανταγωνιστικό πλεονέκτημα
Οι οργανισμοί που σκέφτονται μπροστά από την εποχή τους αλλάζουν το σενάριο και αντιμετωπίζουν τη συμμόρφωση όχι ως βάρος ή πρόκληση, αλλά ως ανταγωνιστικό διαφοροποιητικό στοιχείο. Για παράδειγμα, σύμφωνα με έρευνα της Thales, το 89% των πελατών θα συμφωνούσαν με την χρήση των δεδομένων τους μόνο εφόσον υπάρχουν βασικές πολιτικές ασφάλειας και ιδιωτικότητας. Οι εταιρείες που αντιμετωπίζουν προληπτικά τη διαφάνεια της ΤΝ, την προστασία των δεδομένων και τους κινδύνους κυβερνοασφάλειας θα κερδίσουν μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.
Πάρτε για παράδειγμα τις χρηματοπιστωτικές υπηρεσίες που βασίζονται στην ΤΝ. Μια τράπεζα που μπορεί να εξηγήσει με σαφήνεια γιατί απορρίφθηκε ένα δάνειο (σύμφωνα με τον νόμο περί ΤΝ) θα καλλιεργήσει ισχυρότερες σχέσεις με τους πελάτες της από μια τράπεζα που κρύβεται πίσω από την αλγοριθμική αδιαφάνεια. Παρομοίως, ένας πάροχος υγειονομικής περίθαλψης με ισχυρό πλαίσιο ασφαλείας συμβατό με το NIS2 θα ξεχωρίσει ως αξιόπιστος φορέας σε έναν κλάδο που μαστίζεται από παραβιάσεις δεδομένων.
Τελική σκέψη: Η συμμόρφωση δεν είναι επιλογή-αλλά ο τρόπος που την προσεγγίζετε είναι
Ρυθμιστικά πλαίσια όπως ο GDPR, η NIS2 και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη ήρθαν για να μείνουν. Θα διαμορφώσουν τον τρόπο λειτουργίας των επιχειρήσεων στην ψηφιακή οικονομία, επηρεάζοντας τα πάντα, από τη διακυβέρνηση της ΤΝ έως τις επενδύσεις στην κυβερνοασφάλεια. Οι οργανισμοί μπορούν να επιλέξουν να βλέπουν τη συμμόρφωση ως βάρος, αντιδρώντας σε κάθε νέα εντολή με απογοήτευση - ή μπορούν να την αγκαλιάσουν ως θεμέλιο για την οικοδόμηση εμπιστοσύνης, ασφάλειας και μακροπρόθεσμης επιτυχίας.
Ποια θα είναι η δική σας προσέγγιση;