Λογισμικά κατασκοπείας: μία νέα απειλή για το απόρρητο της επικοινωνίας

Γράφει η Σοφία-Δέσποινα Φεϊζίδου

Η εξέγερση του Πολυτεχνείου, τον Νοέμβριο του 1973, αποτέλεσε την μαζικότερη αντιδικτατορική εκδήλωση και τον προάγγελο της πτώσης του καθεστώτος της στρατιωτικής δικτατορίας, που είχε επιβληθεί στην Ελλάδα από τις 21 Απριλίου 1963 και, μεταξύ άλλων, είχε καταργήσει τις ατομικές ελευθερίες.

Μία από τις σημαντικότερες ατομικές ελευθερίες είναι το δικαίωμα στην προστασία της επικοινωνίας, και δη του απορρήτου αυτής. Το δικαίωμα του ατόμου να μοιράζεται και να ανταλλάσσει σκέψεις, ιδέες, συναισθήματα, ειδήσεις και γνώμες, εντός πλαισίου οικειότητας και εμπιστευτικότητας, με πρόσωπα της επιλογής του, χωρίς τον φόβο ότι η ιδιωτική επικοινωνία του παρακολουθείται και κάθε έκφρασή του μπορεί να αποκαλυφθεί σε τρίτους ή/και να χρησιμοποιηθεί εναντίον του, είναι όρος εκ των ων ουκ άνευ του δημοκρατικού πολιτεύματος. Πρόκειται, επομένως, για θεμελιώδες ατομικό δικαίωμα, το οποίο κατοχυρώνεται τόσο στην διεθνή και ευρωπαϊκή νομοθεσία όσο και στα εθνικά Συντάγματα – η διάταξη του άρθρου 19 του Ελληνικού Συντάγματος χρονολογείται από το 1975 (τυχαίο; Δεν νομίζω!).

Ωστόσο, η αποκάλυψη των παρακολουθήσεων πολιτικών προσώπων ή συγγενών τους, ηθοποιών, δημοσιογράφων, επιχειρηματιών και άλλων, ένα χρόνο νωρίτερα, καταδεικνύει ότι η προστασία του απορρήτου της επικοινωνίας ήταν, είναι και παραμένει ευάλωτη, πολλώ δε μάλλον, στη σύγχρονη ψηφιακή εποχή.

Λογισμικά κατασκοπείας: ένα νέο εργαλείο στα χέρια των κρατικών υπηρεσιών και των εταιρειών

Το λογισμικό κατασκοπείας, ευρύτερα γνωστό ως «spyware», είναι ένα είδος κακόβουλου λογισμικού, κατάλληλα σχεδιασμένου για την κρυφή παρακολούθηση των δραστηριοτήτων ενός ατόμου στις ηλεκτρονικές του συσκευές, τον ηλεκτρονικό υπολογιστή ή το κινητό τηλέφωνο, εν αγνοία ή χωρίς τη συγκατάθεση του χρήστη. Το συγκεκριμένο λογισμικό εγκαθίσταται στις συσκευές με το άνοιγμα ενός μηνύματος ηλεκτρονικού ταχυδρομείου ή συνημμένου αρχείου, και, μετά την εγκατάστασή του, εντοπίζεται με δυσκολία, και, αν ακόμη εντοπιστεί, πολύ δύσκολα αποδεικνύεται ποιος ήταν υπεύθυνος για την επίθεση. Μέσω αυτού, παρέχεται πλήρης και αναδρομική πρόσβαση σε δεδομένα και συλλέγονται προσωπικά στοιχεία λ.χ. αρχεία και μηνύματα που δημιουργήθηκαν στο παρελθόν, μεταδεδομένα χρονικά προγενέστερων επικοινωνιών, κωδικοί πρόσβασης, ιστορικό περιήγησης ή αριθμοί πιστωτικών καρτών, ενώ είναι δυνατή η καταγραφή στιγμιοτύπου οθόνης ή συνομιλιών και η παρακολούθηση ήχου και βίντεο μέσω της ενεργοποίησης του μικροφώνου ή της κάμερας της συσκευής.

Τα πιο γνωστά λογισμικά κατασκοπείας, τα οποία έχουν σχεδιαστεί για να διεισδύουν και να ελέγχουν κινητές συσκευές εξ αποστάσεως, είναι τα ακόλουθα:

1.Predator: Για την εγκατάσταση του συγκεκριμένου λογισμικού αποστέλλεται μέσω μηνύματος στο κινητό τηλέφωνο του χρήστη ένας σύνδεσμος (link), ο οποίος φαίνεται απόλυτα φυσιολογικός, μαζί με μια δελεαστική περιγραφή, ικανή να παραπλανήσει τον χρήστη και να τον πείσει να πατήσει το link. Τότε, το λογισμικό εγκαθίσταται αυτόματα, παρέχοντας πλήρη πρόσβαση στη συσκευή, σε μηνύματα και αρχεία αλλά και στην κάμερα και το μικρόφωνο.

2.Pegasus: Το συγκεκριμένο λογισμικό αποσκοπεί να πείσει το χρήστη να επιλέξει τον σύνδεσμο που θα εγκαταστήσει το λογισμικό στη συσκευή, αλλά μπορεί να εγκαθίσταται στη συσκευή του υποψήφιου θύματος και χωρίς να απαιτείται καμία ενέργεια εκ μέρους του για την ενεργοποίησή του (μία αναπάντητη κλήση στο WhatsApp αρκεί για να κάνει το λογισμικό ό,τι καλύτερο μπορεί!).Αμέσως μετά την εγκατάστασή του, το λογισμικό εκτελεί τις εντολές του χειριστή του και παρέχει τη δυνατότητα συλλογής τεράστιου όγκου προσωπικών δεδομένων, όπως κωδικούς πρόσβασης, καταγραφή μηνυμάτων κειμένου ή κλήσεων, συλλογή αρχείων και εντοπισμό της θέσης μέσω GPS, χωρίς να καταλείπεται κανένα ίχνος της ύπαρξής του στη συσκευή.

Τον Ιούνιο του 2023, ο Πρόεδρος της Εξεταστικής Επιτροπής του Ευρωπαϊκού Κοινοβουλίου για τη διερεύνηση της χρήσης του λογισμικού Pegasus και αντίστοιχου κατασκοπευτικού λογισμικού παρακολούθησης δήλωσε: «Τα λογισμικά κατασκοπείας μπορεί να αποτελέσουν πολύτιμο εργαλείο για την καταπολέμηση του εγκλήματος, αλλά όταν τα χρησιμοποιούν λανθασμένα οι κυβερνήσεις γίνονται τεράστιος κίνδυνος για το κράτος δικαίου και τα θεμελιώδη δικαιώματα». Πράγματι, οι τεχνολογικές δυνατότητες των κατασκοπευτικών λογισμικών επιτρέπουν την μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα και παρακολούθηση των δραστηριοτήτων των ατόμων χωρίς τη γνώση και τη συγκατάθεσή τους. Κατά συνέπεια, η εκτεταμένη και ανεξέλεγκτη χρήση τους οδηγεί στην παραβίαση του δικαιώματος στο απόρρητο της επικοινωνίας καθώς και του δικαιώματος στην προστασία των προσωπικών δεδομένων, στην προσβολή του δικαιώματος της προστασίας της ιδιωτικής ζωής εν γένει.

Σύμφωνα με τα πορίσματα της επιτροπής, η κατάχρηση λογισμικών παρακολούθησης είναι γενικευμένη στην Ευρωπαϊκή Ένωση, καθώς, εκτός από την Ελλάδα, διαπιστώθηκε χρήση αντίστοιχων λογισμικών και στην Πολωνία, την Ουγγαρία, την Ισπανία και την Κύπρο, και φυσικά κατακριτέα. Η ανάγκη θέσπισης ενός ρυθμιστικού πλαισίου για την αντιμετώπιση των φαινομένων κατάχρησης βρίσκεται πλέον στο προσκήνιο, όχι μόνο σε εθνικό, αλλά πρωτίστως, σε ενωσιακό επίπεδο.

Τι χρειαζόμαστε λοιπόν;

  1. Σαφείς κανόνες κατά της κατάχρησης λογισμικών κατασκοπείας: Οι ευρωπαϊκοί κανόνες πρέπει να καθορίζουν με σαφήνεια τον τρόπο χρήσης των λογισμικών από τις αρχές επιβολής του νόμου. Πρέπει να προβλέπονται εξαιρετικές περιπτώσεις, κατά τις οποίες και μόνον θα επιτρέπεται η χρήση τους, για προκαθορισμένο σκοπό και για περιορισμένο χρονικό διάστημα, και ένας κοινός νομικός ορισμός της έννοιας των «λόγων εθνικής ασφάλειας». Επίσης, πρέπει να κατοχυρώνεται η υποχρέωση ειδοποίησης των προσώπων που παρακολουθήθηκαν με τη χρήση τέτοιων λογισμικών ή των υποκειμένων των δεδομένων που διέρρευσαν στο πλαίσιο της παρακολούθησης άλλων προσώπων, καθώς και διαδικασίες εποπτείας και ανεξάρτητου ελέγχου μετά από κάθε περιστατικό παράνομης χρήσης τέτοιων λογισμικών.
  2. Συμμόρφωση της εθνικής νομοθεσίας με τη νομολογία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου: Το Δικαστήριο καταλείπει μεν ευρεία διακριτική ευχέρεια στις εθνικές αρχές σε ζητήματα στάθμισης του δικαιώματος στην ιδιωτική ζωή με τους λόγους εθνικής ασφάλειας, πλην όμως έχει αναπτύξει και ερμηνεύσει σε πληθώρα αποφάσεων, από το 1978 έως και σήμερα, τα κριτήρια που εισάγει η ΕΣΔΑ και τα οποία πρέπει να πληρούνται για να θεωρηθεί νόμιμος ο περιορισμός του δικαιώματος της απόρρητης, ελεύθερης επικοινωνίας.
  3. Σύσταση του «Εργαστηρίου Τεχνολογίας της Ευρωπαϊκής Ένωσης»: Πρόκειται για ένα ανεξάρτητο ινστιτούτο έρευνας, το οποίο θα είναι αρμόδιο να διερευνά υποθέσεις παρακολούθησης και να παρέχει τεχνολογική υποστήριξη, όπως έλεγχο συσκευών και εγκληματολογικές μελέτες.
  4. Αναθεώρηση της εξωτερικής πολιτικής και των αδειών εξαγωγής: Οι ευρωβουλευτές ζήτησαν την διεξοδική επανεξέταση των αδειών εξαγωγής λογισμικών κατασκοπείας και την αποτελεσματικότερη εφαρμογή των ενωσιακών κανόνων για τον έλεγχο των εξαγωγών τους. Η Ευρωπαϊκή Ένωση οφείλει, ακόμη, να χαράξει κοινή στρατηγική με τις ΗΠΑ για τα λογισμικά κατασκοπείας αλλά και να έρθει σε επαφή με χώρες εκτός ΕΕ σχετικά με τους κανόνες πώλησης και εξαγωγής κατασκοπευτικών λογισμικών, προκειμένου να διασφαλιστεί ότι η αναπτυξιακή βοήθεια που παρέχει δεν θα χρησιμοποιείται για την αγορά και τη χρήση τέτοιων λογισμικών.

Συμπέρασμα

Εν κατακλείδι, καθώς αναλογιζόμαστε τα διδάγματα της ιστορίας και τον διαρκή αγώνα για τη δημοκρατία και τα θεμελιώδη δικαιώματα, η διαχρονική σοφία του Βενιαμίν Φραγκλίνου αντηχεί με βαθιά σημασία: “ Όσοι θυσιάζουν στοιχειώδεις ελευθερίες για λίγη ασφάλεια, δεν αξίζουν ούτε ελευθερία ούτε ασφάλεια “. Οι πρόσφατες αποκαλύψεις για την κατάχρηση του λογισμικού κατασκοπείας κατέδειξαν τη λεπτή ισορροπία μεταξύ ασφάλειας και ατομικών ελευθεριών. Παρόλο που το λογισμικό κατασκοπείας μπορεί να χρησιμοποιείται ως εργαλείο για την καταπολέμηση του εγκλήματος, η πιθανότητα κατάχρησής του αποτελεί σοβαρή απειλή για το κράτος δικαίου και τις ίδιες τις αρχές πάνω στις οποίες θεμελιώνονται οι δημοκρατικές μας κοινωνίες.

 

*H Σοφία-Δέσποινα Φεϊζίδου, είναι δικηγόρος, απόφοιτος της Νομικής Σχολής Αθηνών και κάτοχος μεταπτυχιακού με ειδίκευση στο “Δίκαιο & Τεχνολογίες Πληροφορικής και Επικοινωνιών” του Τμήματος Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς. Η διπλωματική της είχε θέμα τη συγκριτική επισκόπηση της νομολογίας των ευρωπαϊκών δικαστηρίων (ΕΔΔΑ και ΔΕΕ) για τις μαζικές παρακολουθήσεις.


Πράξη για την Τεχνητή Νοημοσύνη: μια θετική νομοθετική εξέλιξη για την προστασία των πολιτών;

Γράφει η Δανάη Σκεύη*

Καθημερινά ερχόμαστε, εκούσια ή ακουσία, σε επαφή με συστήματα τεχνητής νοημοσύνης (ΤΝ) για ποικίλους σκοπούς∙ από την καθαριότητα του σπιτιού με αυτόνομο ρομποτικό βοηθό, την εξυπηρέτηση πελατών με ψηφιακά bots, την αυτοματοποιημένη αξιολόγηση βιογραφικών, μέχρι τη λήψη ασφάλειας ζωής βάσει συστήματος κατάταξης ασφαλειοληπτών. Στις σταδιακά αυξανόμενες περιπτώσεις πρόκλησης σωματικής βλάβης, βλάβης της υγείας, οικονομικής ζημίας, δυσμενούς μεταχείρισης ή άλλης προσβολής της προσωπικότητας, το ερώτημα που προβάλλει επιτακτικό έχει να κάνει με την επαρκή (ή μη) προστασία των πολιτών κατά την επαφή τους με συστήματα ΤΝ.

Μπορούν να εμπιστεύονται οι πολίτες τα συστήματα ΤΝ; Το θέμα είναι πραγματικά εκτενές και δεν μπορεί να δοθεί μια μονοδιάστατη απάντηση. Ενόψει των κανόνων που αναμένονται να τεθούν σε ισχύ σε λίγο καιρό στην Ευρωπαϊκή Ένωση, στο άρθρο σκιαγραφείται μια πρώτη απάντηση μέσα από τις ρυθμίσεις της Πράξης για την Τεχνητή Νοημοσύνη (εν συντομία Πράξη ΤΝ), αφού πρώτα δοθούν μερικές διευκρινίσεις για τη νέα νομοθεσία.

(i) Τι είναι η Πράξη ΤΝ;

Η Πράξη ΤΝ είναι το νομοθετικό πλαίσιο που πρότεινε η Ευρωπαϊκή Επιτροπή για να αντιμετωπίσει «ολιστικά» τα συστήματα τεχνητής νοημοσύνης ώστε να θεωρούνται ασφαλή και αξιόπιστα. Η Πράξη ΤΝ αποτελεί το επιστέγασμα μιας μακριάς νομοθετικής προσπάθειας, κατά την οποία έλαβαν χώρα πολλές διαβουλεύσεις, πολιτικές πιέσεις και αλληλουποχωρήσεις προκειμένου να επιτευχθεί ο πολιτικός στόχος της δημιουργίας ενός οικοσυστήματος εμπιστοσύνης των πολιτών στην τεχνητή νοημοσύνη (ecosystem of trust) και ενός οικοσυστήματος επιχειρηματικής αριστείας στην τεχνητή νοημοσύνη (ecosystem of excellence). Στις 8 Δεκεμβρίου 2023, μετά από έναν τριήμερο μαραθώνιο διαβουλεύσεων, επιτεύχθηκε η πολιτική συμφωνία για το περιεχόμενο της Πράξης ΤΝ. Τα αρμόδια όργανα, δηλαδή το Συμβούλιο της Ε.Ε. και το Ευρωκοινοβούλιο, πέτυχαν συμφωνία πάνω σε εριζόμενα άρθρα και πλέον έχει ανοίξει ο δρόμος για τη νομοτεχνική επεξεργασία του νόμου και την τελική ψήφιση. Μόλις η Πράξη ψηφισθεί, θα χρειαστούν ακόμα δύο χρόνια για να αποτελέσει δεσμευτικό δίκαιο.

(ii) Σε ποιους απευθύνεται η Πράξη ΤΝ;

Η Πράξη ΤΝ επιβάλλει κανόνες για την ανάπτυξη, κυκλοφορία και χρήση συστημάτων ΤΝ στην Ευρωπαϊκή αγορά. Οι κανόνες απευθύνονται σε όλα τα πρόσωπα που συμμετέχουν στην αλυσίδα αξίας (AI value chain), δηλαδή στα πρόσωπα που είναι υπεύθυνα για την ανάπτυξη, εμπορία, εισαγωγή, διανομή και χρήση συστημάτων ΤΝ, αποκαλούμενα εν συνόλω «φορείς εκμετάλλευσης». Ακριβώς επειδή ο στόχος είναι η Πράξη να ρυθμίσει την ανάπτυξη και εποπτεία των συστημάτων, οι κανόνες επιβάλλονται στους φορείς εκμετάλλευσης επειδή αυτοί έχουν τον έλεγχο των συστημάτων καθόλη τη διάρκεια του κύκλου ζωής τους (AI lifecycle).

(iii) Ποια η προστασία των πολιτών βάσει της Πράξης ΤΝ;

Το ότι οι κανόνες της Πράξης ΤΝ στοχεύουν να ρυθμίσουν τις υποχρεώσεις των φορέων εκμετάλλευσης δεν σημαίνει ότι το νέο νομοθετικό πλαίσιο είναι μικρής σημασίας για πολίτες. Παραμένει εξαιρετικά σημαντικό να υπάρξει εξοικείωση με τις καινούργιες ρυθμίσεις. Τούτο διότι οι πολίτες είναι, εν τέλει,  οι τελικοί αποδέκτες που θα κάνουν χρήση όλων αυτών των καινούργιων εφαρμογών. Αν κάποιος φορέας εκμετάλλευσης δεν συμμορφώνεται πλήρως με τις υποχρεώσεις ασφάλειας ή δεν εποπτεύει επαρκώς το σύστημα που αναπτύσσει, οι τελικά ζημιωθέντες – ηθικά και υλικά –  θα είναι όσοι πολίτες έλθουν σε επαφή με το εν λόγω σύστημα. Κατά δεύτερον, με το να γνωρίζουν οι πολίτες τις υποχρεώσεις των φορέων εκμετάλλευσης θα είναι προετοιμασμένοι για τα χαρακτηριστικά που αναμένουν να δουν κατά την αγορά ή με άλλο τρόπο επαφή με συστήματα ΤΝ. Θα γνωρίζουν και άρα θα μπορούν να ασκήσουν αποτελεσματικά τα δικαιώματα τους, τα οποία θα βασίζουν είτε στην Πράξη ΤΝ (ανάλογα με το τελικό της περιεχόμενο), είτε σε συναφείς προστατευτικούς νόμους όπως τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ) και τους νόμους που παρέχουν αποζημίωση για την πρόκληση ζημίας (άρθρο 6 Ν. 2251/1994, ΑΚ 914 επ.).

Τούτων λεχθέντων, ποιες είναι οι σημαντικότερες ρυθμίσεις της Πράξης ΤΝ;

  1. Απαγορεύσεις: Η Πράξη ΤΝ απαγορεύει εντελώς ορισμένες πρακτικές οι οποίες αντίκεινται στις κοινές Ευρωπαϊκές αξίες. Έτσι, απαγορεύονται συστήματα που απευθύνονται στο υποσυνείδητο των ανθρώπων και συστήματα που εκμεταλλεύονται τρωτά σημεία ευάλωτων ομάδων, όπως των παιδιών και των ηλικιωμένων. Ακόμη, απαγορεύονται  πρακτικές που προβαίνουν σε κοινωνική ταξινόμηση των πολιτών (socialscoring) και πρακτικές βιομετρικής ταυτοποίησης προσώπων (biometrical identification). Ωστόσο, οι τελευταίες απαγορεύσεις δεν θα είναι απόλυτες, αφού προβλέπονται εξαιρέσεις όπως, για παράδειγμα, η βιομετρική ταυτοποίηση σε δημόσιους χώρους για τη διακρίβωση βαρύτατων αδικημάτων (π.χ. τρομοκρατία).
  2. Υποχρεώσεις για συστήματα υψηλού κινδύνου: Η Πράξη ΤΝ επιβάλλει ένα πλέγμα εκτενών υποχρεώσεων στους φορείς εκμετάλλευσης που αναπτύσσουν αρκετά επικίνδυνα συστήματα (high-riskAIsystems). Περιληπτικά, επιβάλλονται υποχρεώσεις διενέργειας εκτίμησης επιπτώσεων στα θεμελιώδη δικαιώματα, διαχείρισης κινδύνου, διακυβέρνησης δεδομένων, τήρησης διαφάνειας, πληροφόρησης χρηστών, ανθρώπινης εποπτείας, τεχνικής ασφάλειας καθώς και άλλες υποχρεώσεις που εξειδικεύονται σε επιμέρους άρθρα της Πράξης.
  3. Υποχρεώσεις για συστήματα γενικού σκοπού και για μοντέλα θεμελίωσης: Νομοθετικό «πονοκέφαλο» έχει προκαλέσει η εμπορική κυκλοφορία συστημάτων που χρησιμοποιούνται για πολλαπλούς σκοπούς και τα οποία μπορεί να ενσωματώνονται σε άλλα συστήματα υψηλού κινδύνου [general-purposeAI (GPAI) systems], με αποτέλεσμα να εμφανίζουν διαφοροποιημένους – και όχι μονοδιάστατους – κινδύνους. Παρόμοιο προβληματισμό έχουν προκαλέσει και τα λεγόμενα μοντέλα θεμελίωσης (foundationmodels), δηλαδή μεγάλα συστήματα ικανά να εκτελούν με επάρκεια ένα ευρύ φάσμα διακριτών εργασιών, όπως το γνωστό πλέον παράδειγμα του ChatGPT. Το τελικό κείμενο της Πράξης αναμένεται να περιέχει υποχρεώσεις διαφάνειας για αυτά τα συστήματα προτού διατεθούν στην αγορά, αλλά και πιο αυστηρούς κανόνες για τα μοντέλα θεμελίωσης με υψηλό αντίκτυπο (high impact) που μπορούν να διαδίδουν συστημικούς κινδύνους κατά μήκος της αλυσίδας αξίας [1].

 

(iv) Πώς αποτιμάται η Πράξη ΤΝ σε σχέση με την προστασία των πολιτών;

Η Πράξη ΤΝ αποτελεί σίγουρα μια θετική νομοθετική εξέλιξη για την κοινή Ευρωπαϊκή αγορά. Αν μάλιστα ανατρέξουμε στις πρωτοβουλίες που έχουν λάβει χώρα παγκοσμίως για τη ρύθμιση της τεχνητής νοημοσύνης θα διαπιστώσουμε ότι η Ε.Ε. είναι η πρώτη χώρα – ή κατ’ ακριβολογία δικαιοδοσία – που θα ψηφίσει δεσμευτικούς κανόνες για την τεχνητή νοημοσύνη καθορίζοντας την «τύχη» 440 εκατομμύρια πολιτών. Η Ε.Ε. έχει, αναμφίβολα, δείξει αποφασιστικότητα σε σύγκριση με άλλες ηγέτιδες χώρες στην τεχνητή νοημοσύνη, όπως οι ΗΠΑ και η Κίνα, με το να απαγορεύσει ρητά ορισμένες αμφιλεγόμενες πρακτικές και να επιβάλλει ένα διαφοροποιημένο πλέγμα κανόνων βάσει του κινδύνου που προκαλούν τα συστήματα ΤΝ. Φαίνεται να αξιοποιεί την ήπια δύναμη (soft power) που διαθέτει στον τομέα της ρύθμισης, λειτουργώντας ως ρυθμιστική κοιτίδα για τρίτες χώρες και αγορές.

Απεναντίας, όταν η συζήτηση στρέφεται στην προστασία των πολιτών, η Πράξη ΤΝ θα πρέπει να αξιολογηθεί υπό το φως της επαρκούς (ή μη) προστασίας των δικαιωμάτων των πολιτών. Σχετικά με αυτό το ζήτημα, οι ενώσεις καταναλωτών έχουν εκφραστεί με επιφυλάξεις. Η Ursula Pachl, αναπληρώτρια γενική διευθύντρια της Ευρωπαϊκής Οργάνωσης Καταναλωτών (BEUC), τον Δεκέμβριο 2023 δήλωσε: «Ο νόμος για την τεχνητή νοημοσύνη περιέχει τόσο καλά όσο και κακά σημεία, αλλά συνολικά τα μέτρα για την προστασία των καταναλωτών δεν είναι ικανοποιητικά […] Πάρα πολλά ζητήματα έχουν αφεθεί υπορυθμιζόμενα, με υπερβολική εξάρτηση από την καλή θέληση των εταιρειών για αυτορρύθμιση. Για παράδειγμα, οι εικονικοί βοηθοί ή τα παιχνίδια που λειτουργούν με τεχνητή νοημοσύνη δεν θα ρυθμιστούν επαρκώς, καθώς δεν θεωρούνται συστήματα υψηλού κινδύνου. Επίσης, συστήματα όπως το ChatGPT ή το Bard δεν θα αποκτήσουν τις προστατευτικές δικλείδες που απαιτούνται για να τα εμπιστευτούν οι καταναλωτές. Υπάρχουν, ωστόσο, ορισμένες σημαντικές διατάξεις που θα επιτρέψουν στους καταναλωτές να αναλάβουν δράση εάν έχουν υποστεί αθέμιτη μεταχείριση ή έχουν υποστεί ζημία» [2].

Συνοψίζοντας, αν και φαίνεται ότι η Πράξη ΤΝ αποτελεί θετική εξέλιξη για την προστασία των πολιτών θα ήταν μάλλον βιαστική η οριστική απάντηση στο ερώτημα του τίτλου. Η κρίση για την επάρκεια (ή μη) του ρυθμιστικού πλαισίου θα περάσει από τριπλή βάσανο. Πρώτον, αναμένουμε την τελική μορφή της Πράξης ΤΝ για την αξιολόγηση των αλλαγών που έχουν μεσολαβήσει από τη στιγμή της αρχικής πρότασης τον Απρίλιο 2021 μέχρι την τελική ψήφιση. Δεύτερον, ελλείψεις προστασίας ενδεχομένως να μπορεί επιλυθούν από τη λοιπή προστατευτική νομοθεσία, κυρίως το δίκαιο προστασίας καταναλωτή, προστασίας προσωπικών δεδομένων και αστικής ευθύνης, τα οποία θα κληθούν να καλύψουν – στο βαθμό του εφικτού – τυχόν ελλείψεις. Τρίτον, η προστασία των πολιτών θα εξαρτηθεί και από την έκταση και την αποτελεσματική εποπτεία της αγοράς συστημάτων ΤΝ από τις Αρχές. Στο μέτρο που ο ρόλος των εποπτικών Αρχών θα είναι περιορισμένος, θα πρέπει οι πολίτες να εξοπλιστούν με επαρκή δικαιώματα για να καλυφθεί το έλλειμμα προστασίας που θα δημιουργηθεί.

 

[1]Council of Europe, Press Release 986/23, Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world, 9/12/2023; European Parliament, Press Release, 20231206IPR15699, Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI, 9/12/2023.

[2]The European Consumer Organization (BEUC),  BEUC-PR-2023-057, EU rules on AI lack punch to sufficiently protect consumers, 9/12/2023

*Η Δανάη Σκεύη είναι Υποψήφια Διδάκτορας της Νομικής Σχολής του Εθνικού Καποδιστριακού Πανεπιστημίου Αθηνών.


«State Surveillance»: Πόσο αυτό απέχει από τις μαύρες μέρες της περιόδου της Χούντας των Συνταγματαρχών.

Γράφει η Μαρία Μεν. Φουλεδάκη

Στις 17 Νοεμβρίου κάθε χρόνου, τιμούμε τους αγώνες του Πολυτεχνείου, οι οποίοι αποδεδειγμένα συνέβαλαν στην πτώση της Χούντας των Συνταγματαρχών.

Οι ενέργειες της ομάδας των Συνταγματαρχών είναι γνωστές σε όλους, ειδικότερα στις παλαιότερες γενιές. Σημαντική βοήθεια στο έργο τους παρείχε και η εμπνευσμένη από άλλα καθεστώτα παρακολούθηση των πολιτικών προσώπων και συγκεκριμένα πολιτικών οι οποίοι ήταν γνωστοί στην ομάδα των Συνταγματαρχών για την αντιδιδακτορική τους δράση και ιδεολογία. Πρόκειται ίσως για την πιο έντονη έκφανση του «state surveillance» του πρόσφατου παρελθόντος στη Χώρα μας.

Η κρατική παρακολούθηση, γνωστή και ως state surveillance, αναφέρεται κυρίως στην παρακολούθηση δραστηριοτήτων φυσικών προσώπων από το κράτος και τις κρατικές υπηρεσίες.

Στην εποχή της ραγδαίας εξέλιξης της τεχνολογίας, η ως άνω παρακολούθηση πραγματοποιείται μέσω τεχνολογικών μέσων, όπως την παρακολούθηση των τηλεφωνικών επικοινωνιών, ιδίως αυτών που πραγματοποιούνται με τα πλήρως διαδομένα στο σύνολο του πληθυσμού «smart phones», τη χρήση του διαδικτύου αλλά και τις κάμερες παρακολούθησης, που αποτελούν πλέον συνήθη πρακτική του κράτους για την προστασία των δημοσίων χώρων από παράνομες ενέργειες.

Γίνεται εύκολα αντιληπτό, ότι οι παραπάνω ενέργειες αν και φέρουν τον μανδύα της διαφύλαξης και προστασίας των δημοσίων και κρατικών συμφερόντων, εντούτοις η μη σύννομη και σίγουρα μη αναλογική χρήση τους, κυρίως από άτομα ή οργανώσεις «μη διαφανών» συμφερόντων μπορούν με σιγουριά να οδηγήσουν σε σημαντικό κίνδυνο των ατομικών ελευθεριών και τις ιδιωτικής ζωής.

Η εξέλιξη της τεχνολογίας και η σημαντική διάδοση του διαδικτύου που αυτό παρέχει δυνατότητες και ευκαιρίες στο σύνολο του πληθυσμού ανά την υφήλιο σε τομείς όπως η ενημέρωση, η εκπαίδευση, η οικονομία και η κοινωνικοποίηση, ωστόσο αν συνδυαστεί με «σκοτεινές ενέργειες» όπως το cyber Bullyning, το grooming και μη νομότυπων παρακολουθήσεων, όπως τις υποκλοπές αλλά και το phising καταδεικνύουν με τον πιο εμφατικό τρόπο τους κινδύνους για την ασφάλεια αλλά και την Ιδιωτικότητα των φυσικών προσώπων, τόσο αυτών που ασχολούνται με τον δημόσιο βίο όσο και για τον απλό πολίτη- χρήστη των νέων αυτών τεχνολογιών.

Τις μέρες αυτές, σε όλες τις εκπαιδευτικές μονάδες, σε οργανισμούς και στις πλατείες πραγματοποιούνται εκδηλώσεις για να τιμήσουν οι συμμετέχοντες τα 50 χρόνια από την εξέγερση του Πολυτεχνείου.

Τιμάται η μέρα που οι φοιτητές με την στήριξη του ελληνικού λαού, αντέδρασαν και διεκδίκησαν εκτός από την πτώση της Χούντας, τον σεβασμό στις ανθρώπινες ελευθερίες και την ιδιωτική ζωή, αξίες και έννοιες που καταπατήθηκαν βάναυσα την μαύρη εκείνη επταετία για τη χώρα μας.

Οι Συνταγματάρχες, το δικό τους «Σύνταγμα» και η δική τους «Επανάσταση» στηρίχτηκαν στον φόβο του λαού. Η λογοκρισία οποιοδήποτε μέσου, η προπαγάνδα και η παρακολουθήσεις κάθε είδους και με κάθε αποδέκτη αποτέλεσαν το ισχυρότερο όπλο στα χέρια των Συνταγματαρχών.

Από την έναρξη της επικράτησης των Συνταγματαρχών, ο ΟΤΕ εκσυγχρονίστηκε ώστε παρακολουθείται με ευκολία το σύνολο του ελληνικού λαού μέσω των τηλεφωνικών επικοινωνιών. Την θέση του διαδικτύου την περίοδο της Χούντας είχαν αναλάβει οι θυρωροί μεγάλου αριθμού των πολυκατοικιών, οι οποίοι ήλεγχαν τις κινήσεις των κατοίκων των οικημάτων αλλά και των επισκεπτών αυτών στην οικία τους, παραβιάζοντας καταφανώς την Ιδιωτικότητα των πολιτών.

Τα email εκείνης της εποχής, που δεν είναι άλλα από την αλληλογραφία τέθηκαν υπό τον πλήρη έλεγχο της Χούντας, καθώς γράμματα που απευθύνοντας κυρίως σε φοιτητές ή είχαν κατεύθυνση προς τις ανατολικές χώρες ελέγχονταν από άτομα που είχαν παρεισφρήσει στα ελληνικά ταχυδρομεία.

Οι πλατφόρμες κοινωνικής δικτύωσης της εποχής, ήταν τα καφενεία και οι συναθροίσεις με αποτέλεσμα το καθεστώς να αποστέλλει σε κάθε γωνιά της χώρας καταδότες ώστε να ενημερώνουν για τυχόν ύποπτες συζητήσεις που θα μπορούσαν να βλάψουν το καθεστώς.

Βασικά θύματα της παραφωνίας αυτής, ήταν οι πολιτικοί, εξάλλου με τις πρακτικές τους οι Συνταγματάρχες είχαν καταστήσει σαφές δεν θα υπήρχε καμία ανοχή σε οτιδήποτε αναδείκνυε πολιτική αντίθεση ή δραστηριότητα ενάντια στο καθεστώς

Τα πολιτικά πρόσωπα της χώρας που τόλμησαν να εκφράσουν τις απόψεις τους κατά του καθεστώτος ή να συμμετάσχουν με οποιοδήποτε τρόπο σε πράξεις και δράσεις αντίδρασης, βίωσαν την ύψιστη μορφή κρατικής παρακολούθησης, η οποία είχε ως αποτέλεσμα την σύλληψη και φυλάκιση τους, ακόμα και την εξορία τους. Ακόμη όμως και εκείνοι που δεν συνελήφθησαν παρέμειναν θύματα της παρακολούθησης από τις αρχές, που περιλάμβανε κατασκοπεία, παρακολούθηση επικοινωνιών και απειλές.

Το state surveillance της περιόδου εκείνης, αποτέλεσε την βία του έρποντος φασισμού της καθημερινότητας με διαρκή παραβίαση της ιδιωτικής ζωής.

Κι αν σήμερα θεωρούμε ότι κλείνουμε αισίως πενήντα έτη από την εγκαθίδρυση του δημοκρατικού πολιτεύματος, που συνταγματικά κατοχυρώνει με σθένος τις ανθρώπινες ελευθερίες και τον σεβασμό στην ιδιωτική ζωή, εντούτοις οι παρακολουθήσεις πολιτικών και ατόμων που επηρεάζουν την δημόσια σφαίρα, αμαυρώνουν την αίσθηση ελευθερίας που οφείλει να υπερασπίζεται ένα δημοκρατικό κράτος.

Η αντιμετώπιση τόσο από τους πολίτικους όσο και από τους απλούς πολίτες, οφείλει να είναι άμεση και αποτελεσματική καθώς υπάρχει μεγάλος κίνδυνος, οι ανθρώπινες ελευθερίες και ο σεβασμός στην ιδιωτική ζωή να αντιμετωπιστούν από κάποιους σαν τους νεκρούς του Πολυτεχνείου, δηλαδή να «μην υπάρχουν».

 

*Μαρία Μεν. Φουλεδάκη, Δικηγόρος Ηρακλείου, LLM Δίκαιο της Οικονομίας και των Επιχειρήσεων, Υπεύθυνη Προστασίας Δεδομένων”.


O CSAM ως Δούρειος Ίππος για μαζική παρακολούθηση;

Γράφει η Νίκη Γεωργακοπούλου*

Τον Μάιο  του 2022, η Ευρωπαϊκή Επιτροπή κατέθεσε μια Πρόταση Κανονισμού, γνωστή ως CSAR ( Child Sexual Abuse Regulation) ή CSAM (Child Sexual Abuse Material) και αφορά – όπως προδίδει και το όνομά της- την σεξουαλική κακοποίηση παιδιών.  Ειδικότερα, ο εν λόγω Κανονισμός αποσκοπεί στην πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης των παιδιών είτε μέσω της διάδοσης υλικού σεξουαλικής εκμετάλλευσης  είτε μέσω της άγρας ανηλίκων (grooming).  Σε αυτό το σημείο, αξίζει να σημειωθεί πώς η Πρόταση αυτή αφορά τα πάσης φύσεως διαδικτυακά μέσα (πλατφόρμες, ιστότοπους, εφαρμογές, εφαρμογές ανταλλαγής μηνυμάτων,  μέσα κοινωνικής δικτύωσης). Ωστόσο, υπάρχει έντονη υπόνοια ότι η εφαρμογή του συγκεκριμένου  Κανονισμού θα δημιουργήσει περισσότερα και δυσκολότερα προβλήματα από αυτά που προσπαθεί να λύσει.

Οι συζητήσεις για την συγκεκριμένη Πρόταση Κανονισμού έχουν ξεκινήσει από τον Οκτώβριο του 2021, ωστόσο λόγω διάφορων καθυστερήσεων εν τέλει ο “φάκελος” υιοθετήθηκε και προτάθηκε στις 11 Μαϊου του 2022.

Ο προτεινόμενος αυτός Κανονισμός CSA διαφαίνεται ότι θα  αντικαταστήσει τον Kανονισμό (ΕΕ) 2021/1232 , ως «ενδιάμεση διάταξη για την προστασία της ιδιωτικής ζωής των ηλεκτρονικών επικοινωνιών». Η προαναφερθείσα διάταξη έχει ισχύ μέχρι τις 3 Αυγούστου 2024, αλλά η Ευρωπαϊκή Επιτροπή επιβεβαίωσε ότι, εάν καταστεί  απαραίτητο και προς  αποφυγή νομοθετικού κενού, μπορεί να παραταθεί. Η Ευρωπαϊκή Επιτροπή προέβη σε αυτή τη διαβεβαίωση έπειτα από πιέσεις που ασκούνται για την ψήφιση του προτεινόμενου Κανονισμού εν όψει των επικείμενων Ευρωεκλογών. Πιο συγκεκριμένα, το νέο Ευρωπαϊκό Κοινοβούλιο θα εκλεγεί τον Ιούνιο του 2024 και η νέα Ευρωπαϊκή Επιτροπή θα διοριστεί λίγο αργότερα. Εάν ο κανονισμός CSA δεν έχει πλήρως εγκριθεί πριν από τις εκλογές, η νομοθετική διαδικασία θα συνεχιστεί αυτόματα στη συνέχεια, εάν υπάρξει προηγούμενη θέση σε πρώτη ανάγνωση. Διαφορετικά, η θέση του Κοινοβουλίου θα καταστεί άκυρη και η Διάσκεψη των Προέδρων πρέπει να αποφασίσει εάν θα συνεχίσει ή όχι τις ημιτελείς εργασίες (άρθρο 240 Κανονισμού του Ευρωπαϊκού Κοινοβουλίου).Επομένως, υπάρχει χρόνος για προσεκτική μελέτη κάθε πιθανού σεναρίου σε περίπτωση ψήφισης της εν λόγω Πρότασης.

Η εν λόγω Πρόταση Κανονισμού έχει αναταράξει τα νερά και έχει προκαλέσει πολλές αντιδράσεις. Μια πρόσφατα δημοσιευμένη ανεξάρτητη έρευνα αποκάλυψε ότι τμήματα της Ευρωπαϊκής Επιτροπής, και συγκεκριμένα η Γενική Διεύθυνση Μετανάστευσης και το τμήμα Εσωτερικών Υποθέσεων , προωθούν τα συμφέροντα της βιομηχανίας μέσω του προτεινόμενου κανονισμού.  Στις 25 Σεπτεμβρίου 2023 , 7 κορυφαία ειδησεογραφικά πρακτορεία (Balkan Insight (στα αγγλικά), Zeit (στα γερμανικά), Le Monde (στα γαλλικά), De Groene Amsterdammer (στα Ολλανδικά), El Diario (στα Ισπανικά), IRPI Media (στα ιταλικά) και Solomon (στα ελληνικά) ) δημοσίευσαν μια κοινή έρευνα στην οποία αποκάλυψαν στενούς δεσμούς μεταξύ της βιομηχανίας τεχνολογίας (εταιρεία Thorn) και κορυφαίων εκπροσώπων του προσωπικού της Ευρωπαϊκής Επιτροπής που είναι υπεύθυνοι για τον Κανονισμό για τη σεξουαλική κακοποίηση παιδιών (CSA) – συμπεριλαμβανομένης της Επιτρόπου Εσωτερικών Υποθέσεων, Ylva Johansson ( Ίλβα Γιόχανσον ) και της Προέδρου της Επιτροπής Ursula Gertrud von der Leyen (Ούρσουλα φον ντερ Λάιεν) . Προς επίρρωση των ανωτέρω, στην έρευνα υπογραμμίζεται ότι η Johansson, η κορυφαία Επίτροπος για τον Κανονισμό CSA, αρνήθηκε να συναντηθεί με εκπροσώπους της κοινωνίας των πολιτών και απέτυχε να συνεργαστεί με ειδικούς της τεχνολογίας – ενώ δέχθηκε να επικοινωνήσει με  εταιρείες τεχνολογίας επιτήρησης. Επιπρόσθετα, στο φως της δημοσιότητας ήρθε/αποκαλύφθηκε ότι το τμήμα των Εσωτερικών Υποθέσεων της Επιτροπής  φέρεται να έχει χρησιμοποιήσει απαγορευμένη στόχευση ατόμων με βάση τις θρησκευτικές και πολιτικές απόψεις τους , σε μια προσπάθεια χειραγώγησης της κοινής και πολιτικής γνώμης στα κράτη μέλη όπου οι κυβερνήσεις αντιτάχθηκαν στον νόμο.

Ο CSAR ως Δούρειος Ίππος για μαζική παρακολούθηση;

Οι υποστηρικτές του CSAR υποστηρίζουν πως ο προτεινόμενος κανονισμός αποσκοπεί στην πάταξη της σεξουαλικής εκμετάλλευσης ανηλίκων. Προς επίτευξη του συγκεκριμένου-ανώτερου- σκοπού, θα πρέπει να ελέγχονται όλες οι ιδιωτικές επικοινωνίες (από το Facebook και το TikTok μέχρι το Telegram, Signal ακόμα και οι επικοινωνίες από το προσωπικό κινητό έκαστου πολίτη) προκειμένου να εντοπιστεί τυχόν ύποπτο υλικό. Η πρακτική αυτή έρχεται σε αντίθεση με κατοχυρωμένα και θεμελιώδη ανθρώπινα δικαιώματα καθώς και τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR). Επιπλέον, για να επιτευχθεί κάτι τέτοιο, θα πρέπει να μην εφαρμόζεται η κρυπτογραφία στην ανταλλαγή μηνυμάτων στο διαδίκτυο, η κατάργηση της οποίας θα καταστήσει το διαδίκτυο ένα ανοικείο και ανασφαλές περιβάλλον.

Παράλληλα, η μαζική παρακολούθηση θα δημιουργήσει ποικίλα προβλήματα χωρίς ταυτόχρονα να λύνει αυτό που υπόσχεται. Ενδεικτικά, θα εκτοξευθεί ο όγκος  των ψευδώς “ύποπτων” μηνυμάτων προς έλεγχο, κάτι που δυσχεράνει ιδιαίτερα το ουσιαστικό έργο των Αρχών. Περαιτέρω, οι άνθρωποι και ιδίως οι νέοι- υπό τη δαμόκλειο σπάθη της παρακολούθησης- θά χάσουν τον αυθορμητισμο και την ελευθερία στην επικοινωνία, κάτι που θα οδηγήσει σε αποξένωση και απομόνωση. Επιπρόσθετα, τα Ηνωμένα Έθνη, η Unicef καθώς και το Παγκόσμιο Δίκτυο Δικαιωμάτων του Παιδιού κρούουν των κώδωνα για προβλήματα στην ανάπτυξη και την αυτοέκφραση τους. Επιπλέον, ομάδες LGBTQI+ ατόμων, θρησκευτικές μειονότητες καθώς και κάθε άλλη ομάδα πιθανότατα θα αισθάνεται το φόβο της υπονόμευσης και της παρακολούθησης.

Σε κάθε περίπτωση, ο σκοπός της προστασίας των παιδιων και της πάταξης της παιδικής πορνογραφίας μπορεί να επιτευχθεί και με άλλους τρόπους, οπως:

  1. Διευκόλυνση της πρόσβασης στην Δικαιοσύνη
  2. Εφαρμογή του DSA (Digital Service Act)
  3. Ευαισθητοποίηση και εκπαίδευση των παιδιών καθώς και των φροντιστών τους αναφορικά με την παιδική πορνογραφία
  4. Δημιουργία κατάλληλης ομάδας ψυχολογικής υποστήριξης
  5. Δημιουργία και προώθηση ειδικών τηλεφωνικών γραμμών (hotlines)

Η εν λόγω Πρόταση φαίνεται πως ενισχύει μια  αγορά μαζικής επιτήρησης στην οποία  το απόρρητο των επικοινωνιών  θα χρησιμοποιείται για την αποκόμιση  κέρδους. Περαιτέρω δε, παρόλο που ο Κανονισμός CSA προορίζεται αποκλειστικά για την αντιμετώπιση της διαδικτυακής σεξουαλικής κακοποίησης παιδιών, φαίνεται ότι η Επιτροπή είναι ανοιχτή στο να επιτρέψει τη μαζική παρακολούθηση για περαιτέρω πεδία εγκληματικότητας. Όταν αξιωματούχοι της Europol πρότειναν τη χρήση του προτεινόμενου Κέντρου ΕΕ για τη σάρωση για έτερα εγκλήματα  από του  CSAM, η Επιτροπή δεν απέρριψε την ιδέα.

Ωστόσο, έντονες  αντιδράσεις  γεννώνται από εμπειρογνώμονες παιδικής προστασίας ,  επιζώντες  σεξουαλικής κακοποίησης ,  την  αστυνομία , πολλές εθνικές κυβερνήσεις (Γερμανία, Αυστρία, Πολωνία, Σουηδία και Ολλανδία) ,  αξιωματούχοι του ΟΗΕ, ΜΚΟ, έχουν προειδοποιήσει ότι τα προτεινόμενα μέτρα θα μπορούσαν να κάνουν περισσότερο κακό παρά καλό στα ίδια τα παιδιά που υποτίθεται ότι προστατεύουν. και θα είχε άνευ προηγουμένου αντίκτυπο στην ασφάλεια και το απόρρητο των επικοινωνιών σε παγκόσμια κλίμακα.

Επιπροσθέτως, ορισμένοι ευρωβουλευτές που εξέφρασαν επιφυλάξεις για τον προτεινόμενο κανονισμό και τάχθηκαν υπερ της κρυπτογράφησης ήταν οι Patrick Breyer (Πειρατικό Κόμμα, Πράσινοι/EFA), Saskia Bricmont (Πράσινοι/EFA), Alex Agius Saliba (S&D), Birgit Sippel (S&D) και Tiemo Wolken. (S&D).

Επιλογικά, στο πλαίσιο της εκστρατείας «Stop Scanning Me» της EDRi (European Digital Rights) στην οποία αποτελεί μέλος και η Homo Digitalis και η οποία έχει ως βασική αποστολή την υπεράσπιση της κρυπτογράφησης και της ιδιωτικής ασφαλούς επικοινωνίας, η EDRi υποστήριξε  το ταξίδι 23 εθελοντών από όλη την Ευρώπη σε μια δράση στο Ευρωπαϊκό Κοινοβούλιο. Σε διάστημα τριών ημερών, ακτιβιστές προερχόμενοι από την Ελλάδα (Homo Digitalis), την Ιταλία, την Tσεχία, την Αυστρία, τη Σουηδία, τη Φινλανδία, τη Νορβηγία, τη Ρουμανία, τη Γερμανία και την Ισπανία είχαν συναντήσεις με ευρωβουλευτές από όλες τις πολιτικές ομάδες. Μίλησαν  για τον κανονισμό CSA και τις σοβαρές συνέπειες που θα είχαν τα προτεινόμενα μέτρα στις ζωές  και την καθημερινότητα των ανθρώπων.

*Η Νίκη Γεωργακοπούλου είναι απόφοιτη της Νομικής Σχολής του ΕΚΠΑ και κάτοχος MSc “Δικαιο και Πληροφορική” του ΠΑΜΑΚ. Στη διπλωματική της εργασία ασχολήθηκε με το Βlockchain και τα Smart Legal Contracts.


Γιορτάζοντας την Ημέρα του Όχι: Μια Υπενθύμιση της Σημασίας της Υπεράσπισης των Προσωπικών σας Δεδομένων

Γράφει ο Αναστάσιος Αραμπατζής*

Στις 28 Οκτωβρίου, η Ελλάδα τιμά μια κομβική στιγμή στην ιστορία της – την Ημέρα του Όχι. Αυτή η ημέρα, που χαρακτηρίζεται από παρελάσεις, εορτασμούς και μια βαθιά αίσθηση εθνικής υπερηφάνειας, χρησιμεύει ως υπενθύμιση του ακλόνητου πνεύματος αντίστασης και της άρνησης να υποκύψει στην καταπίεση. Καθώς ολοκληρώνουμε τον φετινό Μήνα Ευαισθητοποίησης για την Κυβερνοασφάλεια, πέρα από την ιστορική της σημασία, η Ημέρα του Όχι κρύβει πολύτιμα μαθήματα για τον σύγχρονο κόσμο, ιδιαίτερα στον τομέα της ψηφιακής προστασίας προσωπικών δεδομένων.

Η ιστορική σημασία της Ημέρας του Ελληνικού Όχι

Πριν εμβαθύνουμε στην ψηφιακή σφαίρα, ας εξερευνήσουμε εν συντομία το ιστορικό πλαίσιο της Ημέρας του Όχι. Στις 28 Οκτωβρίου 1940, η Ελλάδα βρέθηκε αντιμέτωπη με μια κρίσιμη απόφαση. Οι φασιστικές δυνάμεις του Μουσολίνι, ευθυγραμμισμένες με τη ναζιστική Γερμανία, απαίτησαν από την Ελλάδα να παραδοθεί και να επιτρέψει στα ιταλικά στρατεύματα να καταλάβουν ελληνικό έδαφος. Σε απάντηση, η Ελλάδα ξεστόμισε ένα ηχηρό «ΟΧΙ» απορρίπτοντας τις δυνάμεις εισβολής και επιλέγοντας να υπερασπιστεί την ελευθερία και την κυριαρχία της.

Αυτή η πράξη ανυπακοής πυροδότησε ένα άγριο κίνημα αντίστασης και τελικά έπαιξε ρόλο στο ευρύτερο θέατρο του Β’ Παγκοσμίου Πολέμου. Η Ημέρα του Όχι συμβολίζει τον θρίαμβο της αποφασιστικότητας και το πνεύμα του «όχι» στην καταπίεση.

Ένας σύγχρονος παραλληλισμός: Υπεράσπιση της ψηφιακής σας ελευθερίας

Ενώ τα γεγονότα του 1940 μπορεί να φαίνονται μακρινά, το πνεύμα της Ημέρας του Όχι αντηχεί έντονα στη σημερινή ψηφιακή εποχή. Ακριβώς όπως οι Έλληνες υπερασπίστηκαν τη γη και την ελευθερία τους, οι πολίτες σήμερα πρέπει να υπερασπιστούν τα ψηφιακά τους περιουσιακά στοιχεία, κυρίως τα προσωπικά τους δεδομένα.

Στο ψηφιακό τοπίο, τα προσωπικά σας δεδομένα αποτελούν πολύτιμο περιουσιακό στοιχείο. Περιλαμβάνει την ταυτότητά σας, οικονομικά στοιχεία, προσωπικές επικοινωνίες και πολλά άλλα. Ωστόσο, απειλείται συνεχώς από διάφορες πλευρές, συμπεριλαμβανομένων εγκληματιών στον κυβερνοχώρο, μεσιτών δεδομένων, ακόμη και ορισμένων εταιρειών τεχνολογίας. Το διακύβευμα είναι υψηλό και η ανάγκη να προστατεύσετε ό,τι σας ανήκει δεν ήταν ποτέ πιο κρίσιμη.

Το σύγχρονο τοπίο απειλών

Ο ψηφιακός κόσμος παρουσιάζει ένα δικό του πεδίο μάχης. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διάφορες τακτικές για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα προσωπικά σας δεδομένα. Τα μηνύματα ηλεκτρονικού “ψαρέματος”, οι παραβιάσεις δεδομένων, οι επιθέσεις ransomware και η κλοπή ταυτότητας είναι μόνο μερικά από τα όπλα που χρησιμοποιούν. Ο κυβερνοχώρος είναι ένα πεδίο μάχης για να διατηρήσετε τα δεδομένα σας ασφαλή.

Σε αυτό το πλαίσιο, ο εορτασμός της Ημέρας του Όχι χρησιμεύει ως υπενθύμιση ότι ακριβώς όπως οι πρόγονοί μας στάθηκαν σταθερά ενάντια στις δυνάμεις εισβολής, έτσι και εσείς πρέπει να παραμείνετε σταθεροί στην υπεράσπιση της ψηφιακής σας ελευθερίας.

Ανάληψη της κυριότητας του απορρήτου των δεδομένων

Λοιπόν, πώς μπορείτε να υπερασπιστείτε αποτελεσματικά αυτό που είναι δικό σας στον ψηφιακό κόσμο; Ακολουθούν ορισμένα πρακτικά βήματα που πρέπει να λάβετε υπόψη:

  1. Ισχυροί κωδικοί πρόσβασης: Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης για όλους τους λογαριασμούς σας στο διαδίκτυο. Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης για να τους παρακολουθείτε με ασφάλεια.
  2. Έλεγχος ταυτότητας δύο παραγόντων (2FA): Ενεργοποιήστε το 2FA όπου είναι δυνατόν. Αυτό προσθέτει ένα επιπλέον επίπεδο ασφάλειας, απαιτώντας κάτι που γνωρίζετε (κωδικός πρόσβασης) και κάτι που έχετε (το smartphone σας ή ένα φυσικό κλειδί ασφαλείας).
  3. Τακτικές ενημερώσεις λογισμικού: Διατηρείτε ενημερωμένες τις συσκευές και το λογισμικό σας. Οι ενημερώσεις λογισμικού συχνά περιλαμβάνουν ενημερώσεις ασφαλείαςτου κώδικα για προστασία από ευπάθειες.
  4. 4. Ρυθμίσεις απορρήτου: Ελέγξτε και προσαρμόστε τις ρυθμίσεις απορρήτου στους λογαριασμούς και τις εφαρμογές κοινωνικών μέσων. Περιορίστε τον όγκο των προσωπικών πληροφοριών που μοιράζεστε δημόσια.
  5. 5. Ασφαλές WiFi: Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης για τα δίκτυά σας Wi-Fi. Αποφύγετε τη χρήση προεπιλεγμένων κωδικών πρόσβασης δρομολογητή, καθώς είναι εύκολοι στόχοι για τους κακοποιούς.
  6. Αποφύγετε το ηλεκτρονικό ψάρεμα (phishing): Να είστε προσεκτικοί με ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα που ζητούν προσωπικά στοιχεία. Επαληθεύστε την ταυτότητα του αποστολέα πριν μοιραστείτε ευαίσθητα δεδομένα.
  7. Εκπαιδεύστε τον εαυτό σας: Μείνετε ενημερωμένοι σχετικά με τις τελευταίες απειλές και βέλτιστες πρακτικές στον κυβερνοχώρο. Η γνώση είναι μια ισχυρή άμυνα.

Τιμώντας την Ημέρα του Όχι και την Ψηφιακή Ελευθερία

Η Ημέρα του Όχι είναι μια απόδειξη της δύναμης του ανθρώπινου πνεύματος απέναντι στις αντιξοότητες. Μας υπενθυμίζει ότι όταν πιέζονται, τα άτομα μπορούν να επιστρατεύσουν αξιοσημείωτο θάρρος για να υπερασπιστούν τα δικαιώματα και την ελευθερία τους.

Στην ψηφιακή εποχή, πρέπει ομοίως να ορθώσουμε το ανάστημά μας και να προστατεύσουμε τα προσωπικά μας δεδομένα, τα οποία αποτελούν το θεμέλιο των διαδικτυακών ταυτοτήτων και της ψηφιακής μας ζωής. Ακριβώς όπως οι Έλληνες γιόρτασαν την ελευθερία τους την Ημέρα του Όχι, μπορούμε να γιορτάσουμε την ψηφιακή μας ελευθερία προστατεύοντας προληπτικά τα προσωπικά μας δεδομένα.

Συμπέρασμα

Η Ημέρα του Όχι είναι κάτι περισσότερο από ένα ιστορικό γεγονός. Είναι μια γιορτή της ανθεκτικότητας, του θάρρους και της δύναμης του να λες «όχι» στην καταπίεση. Στον σημερινό κόσμο, όπου τα προσωπικά δεδομένα βρίσκονται υπό συνεχή απειλή, αυτό το πνεύμα αντίστασης παραμένει επίκαιρο.

Καθώς γιορτάζετε την Ημέρα του Όχι, επιτρέψτε του να σας υπενθυμίσω ότι αξίζει να υπερασπιστείτε την ψηφιακή σας ελευθερία. Αναλαμβάνοντας την κυριότητα του απορρήτου των δεδομένων σας και παραμένοντας σε εγρήγορση ενόψει διαδικτυακών απειλών, μπορείτε να δηλώσετε με υπερηφάνεια «ΟΧΙ» σε εισβολείς δεδομένων και να προστατεύσετε αυτό που δικαιωματικά σας ανήκει στον ψηφιακό κόσμο. Ακριβώς όπως οι πρόγονοί μας υπερασπίστηκαν τη γη και την ελευθερία τους, μπορείτε και εσείς να υπερασπιστείτε τα ψηφιακά σας περιουσιακά στοιχεία και τα προσωπικά σας δεδομένα.

*Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων. 


Ενίσχυση του ψηφιακού σας φρουρίου: Εξερεύνηση προηγμένων μεθόδων ελέγχου ταυτότητας

Γράφει ο Αναστάσιος Αραμπατζής

Στη σημερινή ψηφιακή εποχή, όπου οι προσωπικές και ευαίσθητες πληροφορίες βρίσκονται σε συνεχή κίνδυνο, η υιοθέτηση ισχυρών μέτρων ασφαλείας δεν ήταν ποτέ πιο κρίσιμη. Καθώς γιορτάζουμε τον Μήνα Ευαισθητοποίησης για την Ασφάλεια στον Κυβερνοχώρο, το θέμα του φετινού εορτασμού μας ενθαρρύνει να υιοθετήσουμε συμπεριφορές που ενισχύουν την ασφάλειά μας στο διαδίκτυο. Ένας από τους βασικούς πυλώνες της ασφάλειας στον κυβερνοχώρο είναι ο έλεγχος ταυτότητας και σε αυτό το άρθρο, θα διερευνήσουμε πέντε ισχυρές μεθόδους ελέγχου ταυτότητας που μπορούν να βοηθήσουν στην προστασία της ψηφιακής σας ταυτότητας: Χωρίς χρήση κωδικού πρόσβασης, αντιστοίχιση αριθμών, κλειδιά πρόσβασης (passkeys), έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και MFA ανθεκτικό στο ηλεκτρονικό ψάρεμα (phishing).

Έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης

H ταλαιπωρία και οι κίνδυνοι ασφαλείας που σχετίζονται με τους παραδοσιακούς κωδικούς πρόσβασης έχουν προκαλέσει την εξέλιξη μεθόδων ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης. Αυτές οι καινοτόμες προσεγγίσεις εξαλείφουν την ανάγκη για δύσχρηστους κωδικούς πρόσβασης και εισάγουν φιλικές προς το χρήστη αλλά εξαιρετικά ασφαλείς εναλλακτικές λύσεις. Παραδείγματα ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης περιλαμβάνουν τα βιομετρικά στοιχεία, όπως δακτυλικά αποτυπώματα ή αναγνώριση προσώπου, και διαπιστευτήρια με χρήση συσκευών (hardware tokens).

  • Τα βιομετρικά στοιχεία, όπως τα δακτυλικά αποτυπώματα και η αναγνώριση προσώπου, έχουν κερδίσει δημοτικότητα με λειτουργίες όπως το Face ID της Apple και το Windows Hello. Αυτές οι τεχνολογίες χρησιμοποιούν μοναδικά φυσικά χαρακτηριστικά για την επαλήθευση της ταυτότητάς σας, καθιστώντας σχεδόν αδύνατη την πρόσβαση μη εξουσιοδοτημένων ατόμων στους λογαριασμούς σας.
  • Τα hardware tokens είναι φυσικές συσκευές που συνδέετε στον υπολογιστή ή την κινητή συσκευή σας για έλεγχο ταυτότητας. Δημιουργούν κωδικούς πρόσβασης μίας χρήσης ή χρησιμοποιούν κρυπτογραφικά κλειδιά, προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας στη διαδικασία σύνδεσής σας.

Υιοθετώντας μεθόδους ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης όπως οι ανωτέρω, μπορείτε να βελτιώσετε σημαντικά την ασφάλειά σας στο διαδίκτυο, εξαλείφοντας παράλληλα την ανάγκη απομνημόνευσης σύνθετων κωδικών πρόσβασης. Αυτό όχι μόνο κάνει την ψηφιακή σας ζωή πιο ασφαλή αλλά και πιο βολική.

Έλεγχος ταυτότητας με αντιστοίχιση αριθμών

Ο έλεγχος ταυτότητας με αντιστοίχιση αριθμών (number-matching) είναι μια απλή αλλά αποτελεσματική μέθοδος που βοηθά στη μείωση των τυχαίων συνδέσεων διατηρώντας παράλληλα την ασφάλεια. Με αυτήν την προσέγγιση, οι χρήστες καλούνται να πληκτρολογήσουν ένα μοναδικό σύνολο αριθμών ή χαρακτήρων που εμφανίζονται στην οθόνη της υπηρεσίας κατά τη διαδικασία σύνδεσης. Αυτή η απλή πράξη όχι μόνο επαληθεύει την ταυτότητά σας, αλλά ελαχιστοποιεί επίσης τις πιθανότητες ακούσιας ή μη εξουσιοδοτημένης πρόσβασης.

Δείτε πώς λειτουργεί ο έλεγχος ταυτότητας αντιστοίχισης αριθμών:

  • Κατά τη σύνδεση, η υπηρεσία ή η εφαρμογή δημιουργεί ένα δυναμικό σύνολο αριθμών ή χαρακτήρων που είναι μοναδικοί για τη συνεδρία σας. Αυτοί οι αριθμοί εμφανίζονται συνήθως στην οθόνη.
  • Για να ολοκληρώσετε τον έλεγχο ταυτότητας, πρέπει να πληκτρολογήσετε στο κινητό σας με ακρίβεια τους αριθμούς ή τους χαρακτήρες που εμφανίζονται στην οθόνη υπηρεσίας. Αυτό διασφαλίζει ότι συμμετέχετε ενεργά στη διαδικασία σύνδεσης και δεν συνδέεστε κατά λάθος από αποθηκευμένο κωδικό πρόσβασης ή λειτουργία αυτόματης συμπλήρωσης φόρμας.
  • Δεδομένου ότι οι αριθμοί ή οι χαρακτήρες είναι δυναμικοί και αλλάζουν με κάθε περίοδο σύνδεσης, καθίσταται εξαιρετικά δύσκολο για τους εγκληματίες του κυβερνοχώρου να τους προβλέψουν ή να τους αναπαράγουν, ενισχύοντας τη συνολική ασφάλεια της διαδικασίας ελέγχου ταυτότητας.

Ο έλεγχος ταυτότητας αντιστοίχισης αριθμών επιτυγχάνει ισορροπία μεταξύ της ευκολίας του χρήστη και της ασφάλειας. Απαιτώντας από εσάς να συμμετέχετε ενεργά στη σύνδεση, μειώνει τον κίνδυνο τυχαίων συνδέσεων, ενώ εξακολουθεί να παρέχει ένα ισχυρό επίπεδο προστασίας από μη εξουσιοδοτημένη πρόσβαση.

Κλειδιά πρόσβασης (passkeys)

Τα passkeys δημιουργούνται χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού, γνωστή και ως ασύμμετρη κρυπτογράφηση, η οποία χρησιμοποιεί ένα σύνολο ιδιωτικών και δημόσιων κλειδιών. Το ιδιωτικό κλειδί, ένα κρίσιμο μέρος του passkey, διατηρείται στη συσκευή του χρήστη, ενώ το δημόσιο κλειδί διατηρείται στην εφαρμογή ή τον ιστότοπο της υπηρεσίας. Η τιμή του ιδιωτικού κλειδιού του passkey δεν είναι προσβάσιμη από διαδικτυακές εφαρμογές ή υπηρεσίες. Η εφαρμογή ή ο ιστότοπος καθορίζει εάν ένα δημόσιο κλειδί αντιστοιχεί στο passkey που χρησιμοποιεί ο χρήστης για να συνδεθεί στο λογαριασμό του.

Σε αντίθεση με έναν κωδικό πρόσβασης, αυτή η προσέγγιση ελέγχου ταυτότητας αυξάνει δραματικά την ανθεκτικότητα των λογαριασμών, επειδή το ιδιωτικό κλειδί δεν μπορεί να κλαπεί ή να υποκλαπεί κατά τη μεταφορά. Επιπλέον, ο λογαριασμός σας δεν μπορεί να εκτεθεί λόγω ασθενούς κωδικού πρόσβασης ή επαναχρησιμοποίησης κωδικού πρόσβασης, καθώς δεν υπάρχει κωδικός πρόσβασης.

Ωστόσο, θα πρέπει να είστε προσεκτικοί ώστε να μην δημιουργείτε passkeys σε κοινόχρηστους υπολογιστές, καθώς τα passkeys θα πρέπει να δημιουργούνται μόνο σε μεμονωμένα ελεγχόμενες συσκευές. Μόλις δημιουργηθεί ένα κλειδί πρόσβασης σε αυτήν τη συσκευή, οποιοσδήποτε μπορεί να αποκτήσει πρόσβαση σε αυτή, μπορεί να συνδεθεί ξανά στον λογαριασμό σας χρησιμοποιώντας το αποθηκευμένο passkey, ακόμα κι αν εσείς έχετε αποσυνδεθεί.

Έλεγχος ταυτότητας πολλών παραγόντων (MFA)

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) αποτελεί μία ισχυρή άμυνα έναντι της μη εξουσιοδοτημένης πρόσβασης, απαιτώντας από τους χρήστες να παρέχουν πολλαπλές μορφές αποδεικτικών στοιχείων για να αποδείξουν την ταυτότητά τους. Ενώ το MFA είναι ένα ισχυρό εργαλείο ασφαλείας, είναι σημαντικό να γνωρίζετε πιθανές ευπάθειες, όπως MFA bombing και prompt fatigue, για να διασφαλίσετε τη συνεχή αποτελεσματικότητά του στην προστασία της ψηφιακής σας ταυτότητας.

To ΜFΑ σε δράση:

Το MFA συνήθως περιλαμβάνει έναν συνδυασμό του κάτι που γνωρίζετε (όπως έναν κωδικό πρόσβασης ή PIN), κάτι που έχετε (όπως ένα smartphone ή ένα διακριτικό υTλικού) και κάτι που είστε (όπως ένα δακτυλικό αποτύπωμα ή αναγνώριση προσώπου). Αυτή η πολυεπίπεδη προσέγγιση αυξάνει σημαντικά τον πήχη για τους εγκληματίες του κυβερνοχώρου που προσπαθούν να παραβιάσουν τους λογαριασμούς σας. Ακόμα κι αν καταφέρουν να αποκτήσουν έναν παράγοντα (π.χ. τον κωδικό πρόσβασής σας), εξακολουθούν να χρειάζονται τους άλλους παράγοντες για να αποκτήσουν πρόσβαση.

Ευπάθειες σε επιθέσεις ηλεκτρονικού ψαρέματος (phishing):

Ενώ το MFA προσθέτει επίπεδα προστασίας, δεν είναι απρόσβλητο από επιθέσεις ηλεκτρονικού ψαρέματος. Μια αναδυόμενη απειλή είναι γνωστή ως «MFA bombing». Σε αυτήν την επίθεση, οι εγκληματίες του κυβερνοχώρου πλημμυρίζουν τους χρήστες με προτροπές MFA, κατακλύζοντάς τους και ενδεχομένως εξαπατώντας τους να εγκρίνουν μία μη εξουσιοδοτημένη πρόσβαση. Για να προφυλαχθείτε από το MFA bombing, είναι σημαντικό να παραμείνετε σε εγρήγορση και να επιβεβαιώσετε προσεκτικά κάθε προτροπή MFA, ειδικά εάν λάβετε κάποια απροσδόκητη.

Μια άλλη πρόκληση με το MFA είναι το prompt fatigue. Με την αύξηση των διαδικτυακών υπηρεσιών που απαιτούν MFA, οι χρήστες ενδέχεται να συνηθίσουν να εγκρίνουν προτροπές MFA χωρίς να επαληθεύσουν διεξοδικά τη νομιμότητά τους. Αυτός ο εφησυχασμός μπορεί να αξιοποιηθεί από απατεώνες που μιμούνται τις προτροπές MFA. Για να αντιμετωπίσετε το prompt fatigue, αφιερώστε πάντα λίγο χρόνο για να επιβεβαιώσετε το πλαίσιο της προτροπής MFA και να βεβαιωθείτε ότι ευθυγραμμίζεται με τις ενέργειές σας.

Το MFA παραμένει ένα ισχυρό μέτρο ασφαλείας όταν χρησιμοποιείται σωστά. Θυμηθείτε, το MFA είναι ένα πολύτιμο εργαλείο, αλλά απαιτεί την ενεργό συμμετοχή σας για να διατηρήσετε την αποτελεσματικότητά του στο συνεχώς εξελισσόμενο τοπίο των διαδικτυακών απειλών.

MFA ανθεκτικό στο ηλεκτρονικό ψάρεμα

Ο ανθεκτικός στο ηλεκτρονικό ψάρεμα (phishing) έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) αντιπροσωπεύει την αιχμή της ασφάλειας στο διαδίκτυο και ένα πρωταρχικό παράδειγμα αυτού είναι η FIDO (Fast Identity Online) Alliance. Η FIDO ηγείται της προσπάθειας να καταστεί εξαιρετικά δύσκολο για τους εγκληματίες του κυβερνοχώρου να εξαπατήσουν τους χρήστες και να θέσουν σε κίνδυνο την ψηφιακή τους ταυτότητα.

Η προσέγγιση FIDO:

Η προσέγγιση του FIDO στο MFA που είναι ανθεκτικό στο phishing περιστρέφεται γύρω από τα κρυπτογραφικά κλειδιά. Αντί να βασίζεται αποκλειστικά σε κάτι που γνωρίζετε (όπως έναν κωδικό πρόσβασης) ή κάτι που έχετε (όπως ένα διακριτικό υλικού), το FIDO αξιοποιεί κρυπτογραφικά κλειδιά μοναδικά για τη συσκευή σας. Αυτά τα κλειδιά είναι σχεδόν αδύνατο να αναπαραχθούν από τους επιτιθέμενους, μειώνοντας τον κίνδυνο επιθέσεων ηλεκτρονικού ψαρέματος.

Ένα από τα δυνατά σημεία του FIDO είναι η ικανότητά του να αξιολογεί το πλαίσιο μιας προσπάθειας σύνδεσης. Λαμβάνει υπόψη διάφορους παράγοντες, όπως η συσκευή, η τοποθεσία και τα μοτίβα συμπεριφοράς του χρήστη. Εάν μια προσπάθεια σύνδεσης αποκλίνει από τον κανόνα, το FIDO μπορεί να ενεργοποιήσει πρόσθετες προκλήσεις ή ειδοποιήσεις ελέγχου ταυτότητας, παρέχοντας ένα επιπλέον επίπεδο ασφάλειας έναντι προσπαθειών ηλεκτρονικού ψαρέματος.

Οι λύσεις MFA ανθεκτικές στο phishing όπως το FIDO κάνουν βήματα στην εξάλειψη της εξάρτησης από τον κωδικό πρόσβασης. Αυτό είναι σημαντικό επειδή οι κωδικοί πρόσβασης είναι συχνά ο πιο αδύναμος κρίκος στην ασφάλεια στο διαδίκτυο. Μειώνοντας την εξάρτηση από τους κωδικούς πρόσβασης, το FIDO συμβάλλει στον μετριασμό του κινδύνου επιθέσεων ηλεκτρονικού ψαρέματος (phishing) που στοχεύουν τις ευπάθειες των κωδικών πρόσβασης.

Συμπέρασμα

Σε μια εποχή όπου οι διαδικτυακές απειλές εξελίσσονται συνεχώς, η υιοθέτηση ισχυρών μεθόδων ελέγχου ταυτότητας είναι ζωτικής σημασίας για την προστασία της ψηφιακής σας ταυτότητας. Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης, η αντιστοίχιση αριθμών, τα passkeys, ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και το MFA που είναι ανθεκτικό στο phishing είναι όλα ισχυρά εργαλεία για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο. Υιοθετώντας αυτές τις μεθόδους, μπορείτε να γιορτάσετε τον Μήνα Ευαισθητοποίησης για την Ασφάλεια στον Κυβερνοχώρο ενισχύοντας το ψηφιακό σας φρούριο και διασφαλίζοντας ότι η παρουσία σας στο διαδίκτυο παραμένει ασφαλής.

Θυμηθείτε, η καλύτερη άμυνα είναι μια ισχυρή επίθεση ελέγχου ταυτότητας. Μείνετε ασφαλείς, μείνετε σε εγρήγορση!


Ψηφιακό Χάσμα και τρίτη ηλικία

Γράφει ο Ιωάννης Βασιλάκης*

Ζούμε στην εποχή που οι ψηφιακές υπηρεσίες επεκτείνονται ραγδαία Η πρόσφατη πανδημία και η αναγκαιότητα που αιφνιδίως προέκυψε για κοινωνική αποστασιοποίηση και περιορισμό των μετακινήσεων, λειτούργησε ως καταλύτης, επιταχύνοντας την ψηφιοποίηση. Δεν αποτελεί υπερβολή ο ισχυρισμός ότι έχει αλλάξει πλήρως ο τρόπος που ζούμε και εργαζόμαστε.

Πλέον, ολοένα και περισσότερες δραστηριότητες πραγματοποιούνται μέσω διαδικτύου και σήμερα θεωρείται δεδομένο μία υπηρεσία να παρέχεται και δικτυακά. Οι τραπεζικές συναλλαγές, η πρόσβαση στα φορολογικά δεδομένα, η λήψη αποτελεσμάτων ιατρικών εξετάσεων, η εκπαίδευση, η έρευνα και αγορά προϊόντων και υπηρεσιών, η συμμετοχή στα κοινά, η ψυχαγωγία, είναι μερικές μόνο από τις δραστηριότητες που δύναται να υλοποιηθούν μέσω διαδικτύου. Ενίοτε δε ο διαδικτυακός τρόπος, αποτελεί και τη μοναδική επιλογή.

Μέσω της ψηφιοποίησης των διαδικασιών, οι οργανισμοί και επιχειρήσεις επιδιώκουν, μεταξύ των άλλων, να προσφέρουν ποιοτικότερες και ταχύτερες υπηρεσίες αυξάνοντας την ανταγωνιστικότητα, να μειώσουν τη γραφειοκρατία, να εξοικονομήσουν πόρους, να βελτιώσουν την ασφάλεια των συναλλαγών και πολλά άλλα οφέλη για το κοινό που αξιοποιεί τις υπηρεσίες αλλά και για τους ίδιους τους οργανισμούς.

Βεβαίως, ταυτόχρονα η ψηφιοποίηση απαιτείται να έχει τον άνθρωπο στο επίκεντρο και να αναπτύσσεται με δικαιοσύνη και ισότητα, δίχως να οδηγεί σε αποκλεισμούς. Παρόλα αυτά, οι παρεχόμενες ψηφιακές υπηρεσίες και ο τρόπος που αυτές εξελίσσονται και εφαρμόζονται, ενίοτε δε λαμβάνουν υπόψη ότι οι χρήστες στους οποίους απευθύνονται, έχουν διαφορετικού επιπέδου τεχνικές δεξιότητες και ευκαιρίες. Αποτέλεσμα αυτού είναι ευάλωτες κατηγορίες πληθυσμού, όπως οι ηλικιωμένοι, να αντιμετωπίζουν δυσκολίες στην αξιοποίηση των υπηρεσιών.

Ως βασικές αιτίες των δυσκολιών, εντοπίζονται:

  • Το γνωστικό επίπεδο των ηλικιωμένων σε θέματα χρήσης εφαρμογών πληροφορικής το οποίο συχνά δεν επαρκεί. Παράλληλα, απαιτείται τακτικά επικαιροποίηση των γνώσεων, γεγονός που αποτελεί ένα ακόμη εμπόδιο.
  • Οι αυξανόμενοι κίνδυνοι του διαδικτύου που σε συνδυασμό με την απουσία των απαραίτητων γνώσεων, δημιουργούν υπερβολική ανασφάλεια ή φόβο.
  • Οι φυσικές δυνατότητες των ανθρώπων, που φθίνουν με την πάροδο του χρόνου. Η μειωμένη όραση και ακοή, η περιορισμένη εστίαση των δακτύλων και τα προβλήματα κινητικότητας, η δυσκολία στην κατανόηση νέων και σύνθετων πληροφοριών, καθιστούν δυσχερή τη χρήση συσκευών και εφαρμογών. Αυτονόητα, το πρόβλημα είναι εντονότερο στην περίπτωση που για την αξιοποίηση των προσφερόμενων υπηρεσιών, είναι απαραίτητη η χρήση έξυπνων κινητών (λ.χ. προγράμματα πλοήγησης).
  • Η επιφυλακτικότητα με την οποία αντιμετωπίζεται η κάθε μεγάλη αλλαγή στην καθημερινότητα, ειδικά αν μεσολαβεί σύντομη περίοδος “ωρίμανσης”, όπως συνέβη κατά τα τελευταία έτη με την ταχεία εξέλιξη της ψηφιοποίησης.
  • Τα ελλιπή ψηφιακά μέσα. Ειδικότερα, η απουσία πρόσβασης στο διαδίκτυο ή η ανεπαρκής ταχύτητα που δεν καλύπτει τις ανάγκες όλων των υπηρεσιών, συχνό φαινόμενο σε δυσπρόσιτες περιοχές. Επίσης, η αξιοποίηση των ψηφιακών ευκολιών, προϋποθέτει την ύπαρξη και των ανάλογων συσκευών που δεν είναι δεδομένη στους ηλικιωμένους.

Επιπλέον, προκειμένου οι ψηφιακές υπηρεσίες να προσφέρουν περισσότερες και πιο εξειδικευμένες επιλογές ή να γίνουν πιο ελκυστικές στο ευρύ κοινό, αναβαθμίζονται συνεχώς ή προσθέτουν νέους τρόπους επικοινωνίας (Φωνητική Πύλη, chatbox κ.λπ). Οι συχνές αλλαγές, δυσκολεύουν τους ανθρώπους μεγάλης ηλικίας ακόμη περισσότερο, καθώς δεν έχουν μεγάλη ευχέρεια προσαρμογής στις νέες τεχνολογίες.

Επιπρόσθετα, η λήψη αυξημένων τεχνικών μέτρων ασφάλειας, προκαλεί ακόμη περισσότερες δυσκολίες, ειδικά στους μεγαλύτερους σε ηλικία συνανθρώπους μας. Πιο συγκεκριμένα, μέτρα όπως η υιοθέτηση ισχυρού password αυξημένης πολυπλοκότητας και η τακτική αλλαγή του, η υποχρεωτική χρήση αυθεντικοποίησης πολλαπλών παραγόντων (2FA, 3FA), είναι απαραίτητα μέτρα που δυσκολεύουν ωστόσο τη χρήση των εφαρμογών.

Αναμφίβολα λοιπόν, μολονότι οι υπηρεσίες μέσω διαδικτύου σκοπό έχουν να διευκολύνουν με ίδιους όρους τη ζωή όλων των πολιτών και να βοηθούν στην κοινωνική τους ένταξη, αποδεικνύεται ότι δεν απολαμβάνουν ισότιμα όλες οι κατηγορίες τα οφέλη. Το γεγονός αυτό προκαλεί συχνά τα αντίθετα με τα επιδιωκόμενα αποτελέσματα.

Οι δυσκολίες που αναφέρθηκαν, απογοητεύουν τους ανθρώπους της τρίτης ηλικίας. Η έλλειψη των απαιτούμενων γνώσεων, τους δημιουργεί νευρικότητα και τους αποτρέπει από τη χρήση των υπηρεσιών. Η συχνή αναζήτηση υποστήριξης από το συγγενικό ή το φιλικό περιβάλλον για υποθέσεις που απαιτείται να διεκπεραιωθούν διαδικτυακά (λ.χ συνταξιοδοτικά θέματα, χορήγηση επιδομάτων), μειώνει την αυτοπεποίθησή τους και δημιουργεί αρνητικά συναισθήματα.

Το διαδίκτυο, αντί για μέσο διευκόλυνσης, κοινωνικής ένταξης και ψυχαγωγίας, εμφανίζεται ως αφιλόξενο περιβάλλον που προκαλεί ταλαιπωρία και εγκυμονεί κινδύνους. Η χρήση του αντί να είναι ευχάριστη και δημιουργική, προκαλεί ανησυχία και δυσφορία που συχνά οδηγεί τους ηλικιωμένους στην απομόνωση και στον κοινωνικό αποκλεισμό.

Η ανισότητα στην πρόσβαση και αξιοποίηση της τεχνολογίας, γνωστή και ως «ψηφιακό χάσμα», αποτελεί πρόκληση για την κοινωνία μας. Είναι απαραίτητη η ανάληψη πρωτοβουλιών για άμβλυνση του προβλήματος, όπως για παράδειγμα:

  • Επέκταση των προγραμμάτων εκπαίδευσης και τακτική επικαιροποίηση του εκπαιδευτικού υλικού, με βάση τις τελευταίες αλλαγές της τεχνολογίας. Είναι απαραίτητο να επισημαίνονται και οι κίνδυνοι, δίχως να προκαλείται αδικαιολόγητη ανησυχία αλλά εγρήγορση και ευαισθητοποίηση.
  • Υποστήριξη από νεότερες γενιές και συνέχιση της βοήθειας που ήδη προσφέρουν σε καθημερινή βάση. Ενθάρρυνση των ηλικιωμένων για προσωπική συμμετοχή στη χρήση υπό την εποπτεία τους, προκειμένου να αποκτήσουν την απαραίτητη αυτοπεποίθηση και να απομυθοποιήσουν τα φαινομενικά προβλήματα.
  • Δημιουργία κοινοτήτων ψηφιακής ενσωμάτωσης σε εθελοντικό επίπεδο που θα ενθαρρύνουν την ανταλλαγή γνώσεων και εμπειριών μεταξύ των ηλικιωμένων. Κατά αυτόν τον τρόπο, επιτυγχάνεται ταυτόχρονα η βελτίωση των γνώσεων αλλά και η κοινωνική ένταξη.
  • Βελτίωση των υποδομών και της ποιότητας σύνδεσης στις δυσπρόσιτες περιοχές. Οικονομική υποστήριξη σε ηλικιωμένους με περιορισμένους πόρους, για αγορά του απαραίτητου εξοπλισμού. Παροχή, τεχνικών συμβουλών για την επιλογή, όταν απαιτείται.
  • Σχεδιασμός των εφαρμογών με μεγαλύτερη στόχευση στην κάλυψη των ιδιαίτερων αναγκών των ατόμων της τρίτης ηλικίας, που άλλωστε αποτελούν και ένα πολύ μεγάλο μέρος του κοινού που απευθύνονται.

Συνοψίζοντας, η εξέλιξη των μέσων τεχνολογίας και το οργανωτικό πλαίσιο των σχετικών ψηφιακών υπηρεσιών, είναι απαραίτητο να αφουγκράζεται τις ανάγκες όλων των κοινωνικών ομάδων. Απαιτείται η συμμετοχή όλων, έτσι ώστε οι διαδικτυακές υπηρεσίες να προσφέρονται με τρόπο που να αξιοποιούνται ισότιμα από όλους, καθώς η πρόσβαση και η αξιοποίηση των ψηφιακών ευκολιών αποτελεί θεμελιώδες δικαίωμα.

Μονοσήμαντη ανάπτυξη της τεχνολογίας, δίχως να λαμβάνεται υπόψη αν οι υπηρεσίες αξιοποιούνται επαρκώς και σε πνεύμα δικαιοσύνης, ακυρώνει ουσιαστικά τις όποιες προσπάθειες του ψηφιακού μετασχηματισμού.

*O Ιωάννης Βασιλάκης είναι απόφοιτος της Σχολής Ικάρων, του Τμήματος Πληροφορικής του ΕΑΠ και μεταπτυχιακός φοιτητής στο ΠΜΣ «Ψηφιακή Καινοτομία και Διοίκηση” του Πανεπιστημίου Πατρών. Είναι Αξιωματικός της Πολεμικής Αεροπορίας και επί του παρόντος Διοικητής στο Κέντρο Μηχανογράφησης του 251 ΓΝΑ


Θα χάσουμε τον τελευταίο πυλώνα της ψηφιακής μας ασφάλειας;

Γράφουν οι Viktoria Tomova και Chloé Berthélémy, European Digital Rights – EDRi

Εάν χρησιμοποιείτε κρυπτογραφημένες εφαρμογές όπως το WhatsApp, το Signal ή το ProtonMail, θα πρέπει να ανησυχείτε για την πιθανή ψήφιση ενός νέου ευρωπαϊκού νόμου. Αυτό το σχέδιο νόμου απειλεί να εγκαταστήσει ένα κατασκοπευτικό λογισμικό σε κάθε συσκευή και να παρακολουθεί τις ιδιωτικές σας επικοινωνίες με φίλους, συναδέλφους και οικογένειες, ακόμη και αν αυτές είναι κρυπτογραφημένες.

Αυτό αποτελεί μέρος μιας ευρύτερης τάσης στην Ευρώπη, όπου αρχές επιβολής του νόμου και υπηρεσίες εθνικής ασφάλειας μπορούν να χακάρουν ολόκληρα δίκτυα επικοινωνιών και όπου άνθρωποι δικάζονται, κρατούνται ή ανακρίνονται επειδή χρησιμοποιούν κρυπτογραφημένα εργαλεία ή επειδή απλά παρακολουθούν μαθήματα ψηφιακής εκπαίδευσης. Δημοσιογράφοι, πολιτικοί αντίπαλοι και υπερασπιστές των Δικαιωμάτων του Ανθρώπου στοχοποιούνται με λογισμικό κατασκοπείας, όπως είδαμε ακόμα και στην Ελλάδα, υπονομεύοντας την ασφάλειά τους και εμποδίζοντάς τους στον σημαντικό τους ρόλο για τη κοινωνία. Υπάρχει μια αυξημένη πολιτική πίεση από τα κράτη και τις αρχές επιβολής του νόμου για μέτρα παρακολούθησης και κερκόπορτες στους ιδιωτικούς χώρους του καθενός και της καθεμίας από εμάς.

Στην EDRi, ακούμε καθημερινά από ανθρώπους των οποίων η ζωή εξαρτάται από την ψηφιακή τους ασφάλεια. Πρόκειται για δημοσιογράφους, ακτιβιστές στον χώρο της γεωργικής παραγωγής, γυναίκες ακτιβίστριες, υπέρμαχους των ανθρωπίνων δικαιωμάτων, εργαζόμενους στο σεξ και απλούς ανθρώπους που εκτιμούν την ιδιωτική τους ζωή. Η κατάργηση της κρυπτογράφησης και η ποινικοποίηση της χρήσης της δεν θα επιλύσει τα βαθιά κοινωνικά ζητήματα που αντιμετωπίζουμε. Αντ’ αυτού, οι κυβερνήσεις θα πρέπει να προστατεύουν και να προωθούν το ίδιο το εργαλείο που εξασφαλίζει την ψηφιακή μας ασφάλεια.

Ποιες είναι οι τρέχουσες επιθέσεις στην κρυπτογράφηση;

Εδώ και δεκαετίες, τα κράτη έχουν υποστηρίξει τη δημιουργία μίας κερκόπορτας που παρέχει κατ’ εξαίρεση πρόσβαση σε κρυπτογραφημένα δεδομένα. Χωρίς επιτυχία. Σήμερα, στρέφονται προς τις εταιρείες για να τους αναθέσουν απευθείας τη σάρωση όλου του περιεχομένου τους και τον εντοπισμό των «ανεπιθύμητων».

Για παράδειγμα, η Ευρωπαϊκή Ένωση προτείνει έναν νέο νόμο – τον κανονισμό για τη θέσπιση κανόνων με σκοπό την πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης παιδιών (εφεξής με το αγγλικό του αρκτικόλεξο CSA) – που υποτίθεται ότι αποσκοπεί στην καταπολέμηση της διάδοσης υλικού σεξουαλικής κακοποίησης παιδιών. Αυτό που κάνει όμως είναι να μετατρέψει το τηλέφωνο ή το έξυπνο ρολόι σας σε μηχανή κατασκοπείας. Ανεξάρτητα από το αν είστε ύποπτοι για διάπραξη εγκλήματος ή όχι, εσείς και τα άλλα εκατοντάδες εκατομμύρια ανθρώπων που ζουν στην ΕΕ θα επηρεαστείτε. Οι κυβερνήσεις της Ισπανίας και της Κύπρου έχουν καταστήσει σαφές ότι βλέπουν αυτόν τον νόμο ως την ευκαιρία τους να αποκτήσουν ευρεία πρόσβαση στα ιδιωτικά κρυπτογραφημένα μηνύματα των ανθρώπων. Και δεν θα σταματήσει εδώ, η Ισπανία ζητά επίσης ρητά να απαγορεύσει την κρυπτογράφηση απ’άκρη σε άκρη.

Η δαιμονοποίηση της κρυπτογράφησης περιλαμβάνεται όλο και περισσότερο στις κατασταλτικές ενέργειες των κρατών κατά των ακτιβιστών. Πρόσφατες περιπτώσεις δείχνουν ότι η χρήση κρυπτογραφημένων εργαλείων εκλαμβάνεται ως “ύποπτη” ή “παράνομη” συμπεριφορά. Ο Sean Binder και η Sarah Mardini, δύο νεαροί ακτιβιστές, οι οποίοι έκαναν επιχειρήσεις έρευνας και διάσωσης στην Ελλάδα για να σώσουν ανθρώπους. Ωστόσο, από το 2021 αντιμετωπίζουν την κατηγορία της κατασκοπείας επειδή συντονίστηκαν με άλλους ανθρωπιστικούς φορείς μέσω του WhatsApp, της κρυπτογραφημένης υπηρεσίας ανταλλαγής μηνυμάτων που χρησιμοποιούν 2 δισεκατομμύρια άνθρωποι σε όλο τον κόσμο.

“As absurd as the charges may be, they cast a shadow over your life that makes it impossible to move on.” – αναφέρει η Seán Binder, υπερασπιστής δικαιωμάτων του ανθρώπου

Μια άλλη περίπτωση ποινικοποίησης αφορά 7 άτομα που δικάζονται στη Γαλλία για τη χρήση κρυπτογραφημένων εργαλείων. Τετριμμένα γεγονότα, όπως η χρήση του Signal και άλλων κοινών κρυπτογραφημένων εφαρμογών, και συνηθισμένων εργαλείων ψηφιακής ανωνυμίας όπως το Tor ή η συμμετοχή σε εκπαιδεύσεις ψηφιακής ασφάλειας, χρησιμοποιούνται ως απόδειξη ότι προσπαθούν να αποκρύψουν εγκληματική δραστηριότητα.

“In our case, the French state attempts to criminalise the use of these tools in order to delegitimise and erase all possibilities to protect ourselves online. Its goal is to intensify the already ferocious repression of activists.” – Camille, κατηγορούμενη στην υπόθεση December 8th

Επιπλέον, τα κράτη της ΕΕ καθυστερούν να βάλουν τέλος στην επικίνδυνη αγορά των τεχνολογιών παρακολούθησης. Η αγορά αυτή, η οποία ονομάστηκε “βιομηχανία ανασφάλειας” από τον Έντουαρντ Σνόουντεν, τον πρώην πράκτορα της NSA που αποκάλυψε πριν από δέκα χρόνια τις εκτεταμένες κατασκοπευτικές δραστηριότητες των ΗΠΑ, έχει γίνει ανεξέλεγκτη. Έφερε στον κόσμο εξαιρετικά παρεμβατικά λογισμικό όπως τα διαβόητα Pegasus και Predator, που μπορούν να μετατρέψουν το τηλέφωνό σας σε μια μηχανή κατασκοπείας όλο το 24ωρο που ακούει και βλέπει ό,τι κάνετε. Στην Ισπανία, το εργαλείο αυτό επηρέασε 65 άμεσα θύματα και χιλιάδες παράπλευρους στόχους, οδηγώντας στη μεγαλύτερη υπόθεση πιστοποιημένης κυβερνοπαρακολούθησης στην ιστορία. Στην Ελλάδα το ίδιο, με πολλά και γνωστά θύματα συμπεριλαμβανομένων αρχηγών πολιτικών κομμάτων και έγκριτων δημοσιογράφων. Και παρόλα αυτά δεν γίνεται τίποτα για να σταματήσει αποτελεσματικά η παραγωγή, η πώληση και η χρήση τέτοιου κατασκοπευτικού λογισμικού.

Η ιδιωτική ζωή ενδυναμώνει, η παρακολούθηση αποδυναμώνει

Μπροστά σε τέτοιες επιθέσεις, είναι ακόμη πιο σημαντικό να προστατευθεί η κρυπτογράφηση και η ψηφιακή ασφάλεια των ανθρώπων. Η κρυπτογράφηση επιτρέπει την εμπιστευτική επικοινωνία, διατηρεί την ικανότητά μας να εργαζόμαστε, να οργανωνόμαστε, να κοινωνικοποιούμαστε, να αγαπάμε και να φροντίζουμε ο ένας τον άλλον με ασφάλεια.

Για παράδειγμα, οι διαδικτυακοί χώροι είναι απαραίτητοι για τους νέους καθώς εξερευνούν την ταυτότητά τους, διαμορφώνουν τις απόψεις και τις πεποιθήσεις τους και συνδέονται με άλλους. Το να γίνουν τα μέσα κοινωνικής δικτύωσης, οι εφαρμογές άμεσων μηνυμάτων και τα βιντεοπαιχνίδια ενδυναμωτικοί και ασφαλείς χώροι για τους νέους μπορεί να γίνει εφικτό μόνο αν οι ιδιωτικές εταιρείες, οι κυβερνήσεις και άλλοι σέβονται την ακεραιότητα και την ιδιωτικότητα αυτών των χώρων.

Τα στοιχεία δείχνουν ότι το 80% των νέων δεν θα ένιωθαν άνετα να εξερευνήσουν τη σεξουαλικότητά τους ή να είναι πολιτικά ενεργοί εάν οι αρχές είχαν τη δυνατότητα να παρακολουθούν την ψηφιακή τους επικοινωνία.

Στην περίπτωση των γυναικών ακτιβιστριών, των ακτιβιστών της φυλετικής δικαιοσύνης και των υπερασπιστών των δικαιωμάτων των μεταναστών, οι μη ασφαλείς επικοινωνίες μπορεί να έχουν συνέπειες ζωής ή θανάτου. Για παράδειγμα, διοργανωτές και διαδηλωτές του Black Lives Matter έχουν μοιραστεί ότι αισθάνονται ασφαλέστερα επικοινωνώντας με κρυπτογράφηση. Ομοίως, οι ζωές των σεξεργατών εξαρτώνται από την ιδιωτική επικοινωνία και την κρυπτογράφηση, καθώς υφίστανται βάναυση ποινικοποίηση και διακρίσεις σε όλες τις χώρες.

“I rely on the internet to work and I also want to stay safe. I am used to not being protected by my government but at least don’t prevent me from protecting myself. I don’t need this extra fear of ‘they are watching everything I do and I can’t do anything about it.” – Ember, σεξεργάτρια

Δεδομένων των σοβαρών συνεπειών για τη ζωή πολλών ανθρώπων, και ιδίως των πιο περιθωριοποιημένων, είναι ζωτικής σημασίας να διασφαλιστεί η ιδιωτική ζωή όλων. Ωστόσο, ο κανονισμός CSA θα μπορούσε να υπονομεύσει την κρυπτογράφηση και να επιτρέψει τη μαζική παρακολούθηση. Καθώς το Ευρωπαϊκό Κοινοβούλιο πρόκειται να ψηφίσει επί του εν λόγω σχεδίου νόμου, έχει τη μοναδική ευκαιρία να διαφυλάξει την εμπιστοσύνη που έχουμε στις ασφαλείς και εμπιστευτικές επικοινωνίες, απορρίπτοντάς το.


Ενίσχυση της ασφάλειας στον κυβερνοχώρο Η σημασία του MFA και η κατανόηση του τρόπου με τον οποίο το phishing το παρακάμπτει

Γράφουν η Ninoslava Bogdanovic και ο Αναστάσιος Αραμπατζής

Στο σημερινό ψηφιακό τοπίο, η ασφάλεια στον κυβερνοχώρο είναι υψίστης σημασίας για την προστασία των ευαίσθητων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) έχει αναδειχθεί ως ένα ισχυρό μέτρο ασφαλείας, προσθέτοντας ένα επιπλέον επίπεδο προστασίας από παραβιάσεις λογαριασμών.

Το MFA είναι μια προσέγγιση ελέγχου ταυτότητας που ενισχύει τη διαδικασία σύνδεσης, απαιτώντας από τους χρήστες να παρέχουν πολλαπλά στοιχεία ή “παράγοντες” από διαφορετικές κατηγορίες. Αυτοί οι παράγοντες περιλαμβάνουν κάτι που έχετε, κάτι που γνωρίζετε και κάτι που είστε.

Το MFA ενσωματώνει δύο ή περισσότερους από αυτούς τους παράγοντες στη ροή ελέγχου ταυτότητας. Παραδείγματα περιλαμβάνουν την πληκτρολόγηση ενός κωδικού πρόσβασης και την ανταπόκριση σε μια ειδοποίηση push σε ένα καταχωρημένο smartphone, την εισαγωγή ενός κωδικού πρόσβασης και την παροχή ενός κωδικού μιας χρήσης από μια συσκευή πιστοποίησης υλικού, ή τη χρήση μιας βιομετρικής σάρωσης προσώπου ή/και μιας φράσης πρόσβασης για το ξεκλείδωμα ενός κρυπτογραφικού διαπιστευτηρίου που είναι αποθηκευμένο σε μια καταχωρημένη συσκευή, όπως ένα τηλέφωνο ή ένα token υλικού.

Ωστόσο, είναι σημαντικό να κατανοήσετε ότι η MFA δεν είναι απαραβίαστη και μπορεί να παρακαμφθεί σε ορισμένα σενάρια, όπως οι επιθέσεις phishing. Αυτό το άρθρο έχει ως στόχο να αναδείξει τη σημασία της MFA και να ρίξει φως στον τρόπο με τον οποίο οι επιθέσεις phishing μπορούν να υπονομεύσουν την αποτελεσματικότητά της.

Η σημασία του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)

Πολλοί οργανισμοί κυβερνοασφάλειας στην Ευρώπη και τις Ηνωμένες Πολιτείες έχουν αναλύσει τη σημασία του MFA, η οποία μπορεί να συνοψιστεί στα ακόλουθα σημεία:

α. Ενίσχυση του ελέγχου ταυτότητας: Το MFA συνδυάζει πολλαπλούς παράγοντες ελέγχου ταυτότητας, όπως κωδικούς πρόσβασης, φυσικά διακριτικά και βιομετρικά δεδομένα, αυξάνοντας σημαντικά τη δυσκολία των επιτιθέμενων να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Ακόμη και αν ένας παράγοντας παραβιαστεί, τα πρόσθετα επίπεδα ασφάλειας λειτουργούν ως εμπόδιο κατά της μη εξουσιοδοτημένης εισόδου.

β. Προστασία από επιθέσεις με βάση τον κωδικό πρόσβασης: Το MFA μετριάζει τους κινδύνους που συνδέονται με αδύναμους ή παραβιασμένους κωδικούς πρόσβασης, απαιτώντας έναν πρόσθετο παράγοντα ελέγχου ταυτότητας, καθιστώντας δυσκολότερο για τους επιτιθέμενους να εκμεταλλευτούν τα τρωτά σημεία των κωδικών πρόσβασης.

γ. Διασφάλιση της απομακρυσμένης πρόσβασης: Με την αύξηση της απομακρυσμένης εργασίας και των υπηρεσιών που βασίζονται στο cloud, το MFA διαδραματίζει κρίσιμο ρόλο στην εξασφάλιση απομακρυσμένων συνδέσεων, διασφαλίζοντας ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση σε εταιρικούς πόρους ή προσωπικούς λογαριασμούς από διάφορες τοποθεσίες.

δ. Συμμόρφωση και κανονιστικές απαιτήσεις: Το MFA συχνά απαιτείται ή συνιστάται ανεπιφύλακτα από τα πρότυπα και τους κανονισμούς του κλάδου, αποδεικνύοντας τη δέσμευση για την προστασία ευαίσθητων δεδομένων και την εμπέδωση της εμπιστοσύνης των πελατών.

Κατά την εφαρμογή της MFA, μια εταιρεία θα πρέπει να εξετάσει τα παρακάτω πλεονεκτήματα και μειονεκτήματα:

Πλεονεκτήματα Μειονεκτήματα

  • μπορεί να χρησιμοποιήσει κωδικούς μίας χρήσης (OTPs) που αποστέλλονται σε τηλέφωνα τα οποία παράγονται τυχαία σε πραγματικό χρόνο και είναι δύσκολο να παραβιαστούν
  • μπορεί να μειώσει τις παραβιάσεις ασφαλείας έως και κατά 99,9% σε σχέση με τους κωδικούς πρόσβασης
  • μπορεί να ρυθμιστεί εύκολα από τους χρήστες
  • επιτρέπει στις επιχειρήσεις να επιλέξουν να περιορίσουν την πρόσβαση ανάλογα με την ώρα της ημέρας ή την τοποθεσία
  • έχει κλιμακούμενο κόστος, καθώς υπάρχουν ακριβά και πολύ εξελιγμένα εργαλεία MFA αλλά και πιο προσιτά για μικρές επιχειρήσεις

Μειονεκτήματα

  • απαιτείται τηλέφωνο για να λάβετε έναν κωδικό μηνύματος κειμένου
  • τα token υλικού μπορεί να χαθούν ή να κλαπούν
  • τα τηλέφωνα μπορεί να χαθούν η να κλαπούν
    τα βιομετρικά δεδομένα που υπολογίζονται από τους αλγορίθμους MFA για τις προσωπικές ταυτότητες, όπως τα δακτυλικά αποτυπώματα, δεν είναι πάντα ακριβή και μπορούν να δημιουργήσουν ψευδώς θετικά ή αρνητικά αποτελέσματα
  • Η επαλήθευση MFA μπορεί να αποτύχει σε περίπτωση βλάβης του δικτύου ή του διαδικτύου
  • Οι τεχνικές MFA πρέπει να αναβαθμίζονται συνεχώς για να προστατεύουν από τους εγκληματίες που εργάζονται αδιάκοπα για να τις παραβιάσουν

Κατανόηση του τρόπου με τον οποίο το Phishing παρακάμπτει το MFA

Όλες οι μέθοδοι MFA δεν προσφέρουν τα ίδια επίπεδα ασφάλειας. Τα τελευταία δύο χρόνια, πολυάριθμες επιθέσεις εκμεταλλεύτηκαν αδυναμίες στις εφαρμογές MFA, επιτρέποντας στους εγκληματίες να παρακάμψουν την προστασία MFA. Είναι ζωτικής σημασίας να σημειωθεί ότι δεν παρέχουν όλες οι λύσεις MFA το ίδιο επίπεδο άμυνας έναντι επιθέσεων αυθεντικοποίησης και ότι η ασφάλεια και η χρηστικότητα μιας εγκατάστασης MFA μπορεί να επηρεαστεί από κρίσιμες λεπτομέρειες εφαρμογής.

α. Επιθέσεις ηλεκτρονικού “ψαρέματος”: Το ηλεκτρονικό “ψάρεμα” (phishing) περιλαμβάνει εγκληματίες του κυβερνοχώρου που υποδύονται νόμιμες οντότητες και εξαπατούν άτομα ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Εκμεταλλευόμενοι τα ανθρώπινα τρωτά σημεία, οι επιτιθέμενοι μπορούν να αποκτήσουν ονόματα χρηστών, κωδικούς πρόσβασης, ακόμη και κωδικούς MFA, θέτοντας σε κίνδυνο λογαριασμούς.

β. Phishing σε πραγματικό χρόνο: Οι επιτιθέμενοι που πραγματοποιούν phishing σε πραγματικό χρόνο μπορούν να καταλάβουν γρήγορα κωδικούς ή tokens MFA αμέσως μετά την εισαγωγή τους από τα θύματα κατά τη διάρκεια της σύνδεσης. Χρησιμοποιώντας τους κωδικούς που αποκτώνται πριν λήξουν, οι επιτιθέμενοι μπορούν να παρακάμψουν το πρόσθετο επίπεδο ασφάλειας MFA.

γ. Επιθέσεις Man-in-the-Middle: Στις επιθέσεις man-in-the-middle, οι επιτιθέμενοι υποκλέπτουν την επικοινωνία μεταξύ χρηστών και νόμιμων υπηρεσιών, συλλέγοντας διαπιστευτήρια, συμπεριλαμβανομένων των κωδικών MFA, χωρίς να ανιχνεύονται. Οι υποκλαπείσες πληροφορίες χρησιμοποιούνται στη συνέχεια για την απόκτηση μη εξουσιοδοτημένης πρόσβασης.

δ. Κοινωνική μηχανική και πλαστοπροσωπία: Οι επιθέσεις phishing βασίζονται σε μεγάλο βαθμό στην κοινωνική μηχανική, με τους επιτιθέμενους να υποδύονται αξιόπιστες οντότητες για να εξαπατήσουν τα θύματα. Δημιουργώντας πειστικά αντίγραφα μηνυμάτων ηλεκτρονικού ταχυδρομείου ή ιστότοπων, οι επιτιθέμενοι αυξάνουν την πιθανότητα τα θύματα να αποκαλύψουν τα διαπιστευτήρια MFA.

Αντιμετώπιση των κινδύνων

Για να αντιμετωπίσουν τους κινδύνους των επιθέσεων κατά του MFA, οι επιχειρήσεις θα πρέπει να εξετάσουν τα εξής:

Εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας: Τα προγράμματα τακτικής εκπαίδευσης μπορούν να βοηθήσουν τα άτομα να αναγνωρίζουν τις απόπειρες phishing και να αποφεύγουν να πέφτουν θύματά τους, μειώνοντας τον κίνδυνο αποκάλυψης των διαπιστευτηρίων MFA.

Αμφίδρομος έλεγχος ταυτότητας: Η ρύθμιση του ελέγχου ταυτότητας με αντιστοίχιση αριθμού προσθέτει ένα επιπλέον επίπεδο ασφάλειας χρησιμοποιώντας ένα ξεχωριστό κανάλι επικοινωνίας για τις προτροπές επαλήθευσης, καθιστώντας δυσκολότερη την παράκαμψη της MFA από τους επιτιθέμενους.

Σύνθετη προστασία από phishing: Η χρήση προηγμένων λύσεων προστασίας από το phishing που χρησιμοποιούν μηχανική μάθηση και νοημοσύνη απειλών μπορεί να ανιχνεύσει και να αποκλείσει τις προσπάθειες phishing, μειώνοντας τις πιθανότητες επιτυχών επιθέσεων.

Ισχυροί κωδικοί πρόσβασης και ρυθμίσεις MFA: Η έμφαση στη χρήση ισχυρών, μοναδικών κωδικών πρόσβασης και η εφαρμογή MFA ανθεκτικών στο phishing συμβάλλει στην ελαχιστοποίηση των επιπτώσεων των επιτυχημένων επιθέσεων phishing.

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι ένα κρίσιμο μέτρο ασφαλείας που ενισχύει σημαντικά τους μηχανισμούς ελέγχου ταυτότητας. Ωστόσο, δεν είναι αδιαπέραστο από τις επιθέσεις phishing. Η κατανόηση της σημασίας του MFA και των τακτικών που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου είναι απαραίτητη για την ενίσχυση της συνολικής ασφάλειας στον κυβερνοχώρο. Συνδυάζοντας την ανθεκτική στο phishing MFA με την εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας, τον αμφίδρομο έλεγχο ταυτότητας, τις προηγμένες λύσεις κατά του phishing και τις ισχυρές πρακτικές κωδικών πρόσβασης, τα άτομα και οι οργανισμοί μπορούν να ενισχύσουν τις άμυνες ασφαλείας τους και να μειώσουν τον κίνδυνο να πέσουν θύματα επιθέσεων phishing που αποσκοπούν στην παράκαμψη του MFA.

Αν θέλετε να μάθετε περισσότερα για τον έλεγχο ταυτότητας πολλαπλών παραγόντων και για το πώς ο οργανισμός σας μπορεί να αναπτύξει με επιτυχία και αποτελεσματικότητα το MFA, κατεβάστε το τελευταίο μας έγγραφο, “Επιλέγοντας μία λύση Multi–Factor Authentication: Πώς να αντιμετωπίσετε τις ανθρώπινες και τεχνολογικές ανησυχίες“.