Ποιες είναι οι τελευταίες εξελίξεις για έναν ισχυρό έλεγχο ταυτότητας χωρίς κωδικούς πρόσβασης

Γράφουν η Ninoslava Bogdanović και ο Αναστάσιος Αραμπατζής

Τα εταιρικά και προσωπικά δεδομένα αποθηκεύονται σε κατανεμημένες πλατφόρμες υπολογιστικού νέφους με αυξανόμενο ρυθμό λόγω της επιτάχυνσης του ψηφιακού μετασχηματισμού σε όλους τους κλάδους και τομείς, της αυξημένης υιοθέτησης τεχνολογιών που βασίζονται στο υπολογιστικό νέφος και των υβριδικών μορφών εργασίας. Πολλές οντότητες, συμπεριλαμβανομένων εφαρμογών, οργανισμών, ανθρώπων, συσκευών κ.λπ. έχουν πρόσβαση σε αυτά τα δεδομένα.

Τα παραδοσιακά μέτρα ασφαλείας δεν είναι πλέον επαρκή για τη διασφάλιση των δεδομένων μας, επειδή τα παραδοσιακά όρια των εταιρειών έχουν συρρικνωθεί. Η ταυτότητα έχει γίνει το νέο κάστρο προς φύλαξη, ωστόσο νέα ζητήματα ασφαλείας συνδέονται με την προστασία της ταυτότητας. Για να αντιμετωπίσουν αυτή την τάση, οι επιχειρήσεις επενδύουν στην ενίσχυση των ελέγχων πρόσβασης, στη μετάβαση σε μια προσέγγιση μηδενικής εμπιστοσύνης στην κυβερνοασφάλεια και στη μεγιστοποίηση της αποτελεσματικότητας του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).

Τι είναι το MFA;

Μια στέρεη πολιτική διαχείρισης πρόσβασης πρέπει να περιλαμβάνει το MFA ως κρίσιμο στοιχείο. Το MFA είναι απαραίτητο για τον περιορισμό της ικανότητας των επιτιθέμενων να κλέβουν τις ψηφιακές μας ταυτότητες και να έχουν πρόσβαση στα συστήματά μας. Η MFA απαιτεί ένα ή περισσότερα επιπλέον στοιχεία επαλήθευσης εκτός από το όνομα χρήστη και τον κωδικό πρόσβασης, γεγονός που μειώνει την πιθανότητα επιτυχούς κυβερνοεπίθεσης.

Τι είναι η κόπωση από το MFA;

Υπάρχουν κρίσιμα στοιχεία υλοποίησης που μπορούν να επηρεάσουν την ασφάλεια και τη χρηστικότητα μιας υλοποίησης MFA και είναι σημαντικό να θυμόμαστε ότι δεν προσφέρουν όλες οι λύσεις MFA την ίδια προστασία από επιθέσεις αυθεντικοποίησης. Λόγω ελαττωμάτων στην εφαρμογή του MFA, είδαμε πολλές επιθέσεις τα δύο προηγούμενα χρόνια, όταν οι κλέφτες μπορούσαν να παρακάμψουν την προστασία MFA.

Σε τέτοιες επιθέσεις, γνωστές και ως push bombing ή κόπωση από το MFA, οι εγκληματίες του κυβερνοχώρου βομβαρδίζουν ανυποψίαστους στόχους με ειδοποιήσεις push για κινητά, ζητώντας τους να αποδεχθούν προσπάθειες εισόδου στους εταιρικούς λογαριασμούς τους με κλεμμένα διαπιστευτήρια. Τα θύματα συχνά ενδίδουν στα κακόβουλα αιτήματα push MFA που αποστέλλονται επανειλημμένα, είτε ακούσια είτε σε μια προσπάθεια να σταματήσουν να λαμβάνουν αυτό που μοιάζει με ατελείωτη ροή ειδοποιήσεων, επιτρέποντας στους επιτιθέμενους να συνδεθούν στους λογαριασμούς τους.

Ποιες είναι οι τελευταίες εξελίξεις στον έλεγχο πρόσβασης;

Για να μετριάσουν τις επιθέσεις μέσω MFA, οι τεχνολογικοί γίγαντες Google και Microsoft ανακοίνωσαν πρόσφατα δύο πρωτοβουλίες που κινούνται προς ένα ασφαλέστερο και μάλιστα χωρίς κωδικούς πρόσβασης μέλλον. Ας εξετάσουμε ποιες είναι αυτές οι εξελίξεις.

Η Google κάνει ένα βήμα προς ένα μέλλον χωρίς κωδικούς πρόσβασης.

Ο τεχνολογικός γίγαντας εγκαινίασε πρόσφατα τα passkeys, ένα είδος ψηφιακού διαπιστευτηρίου, ως επιλογή για τη δημιουργία και χρήση αντί των κωδικών πρόσβασης ως μια ασφαλέστερη και πιο πρακτική εναλλακτική λύση.

Τι είναι τα passkeys;

Τα passkeys δημιουργούνται χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού, γνωστή και ως ασύμμετρη κρυπτογράφηση, η οποία χρησιμοποιεί ένα σύνολο ιδιωτικών και δημόσιων κλειδιών. Το ιδιωτικό κλειδί, ένα κρίσιμο μέρος του passkey, διατηρείται στη συσκευή, ενώ το δημόσιο κλειδί βρίσκεται στην πλευρά της εφαρμογής ή του ιστότοπου. Η τιμή του passkey δεν είναι προσβάσιμη στους ιστότοπους. Η Google καθορίζει αν το δημόσιο κλειδί ενός ιστότοπου αντιστοιχεί στο κλειδί πρόσβασης που χρησιμοποιεί ο χρήστης για να συνδεθεί στο λογαριασμό του.

Σε αντίθεση με έναν κωδικό πρόσβασης, αυτή η προσέγγιση ελέγχου ταυτότητας αυξάνει δραματικά την ανθεκτικότητα των λογαριασμών, επειδή το κλειδί δεν μπορεί να κλαπεί από τον ιστότοπο στον οποίο είναι αποθηκευμένο, ή να υποκλαπεί κατά τη μεταφορά. Επιπλέον, ο λογαριασμός δεν μπορεί να δεχθεί επίθεση λόγω αδύναμου κωδικού πρόσβασης ή επαναχρησιμοποίησης κωδικού πρόσβασης, καθώς δεν υπάρχει κωδικός πρόσβασης.

Εικόνα 1: Passkey. Πηγή: Google

Όπως σημείωσε η Google στην ανακοίνωσή της:

“Η χρήση κωδικών πρόσβασης θέτει μεγάλη ευθύνη στους χρήστες. Η επιλογή ισχυρών κωδικών πρόσβασης και η απομνημόνευσή τους σε διάφορους λογαριασμούς μπορεί να είναι δύσκολη. Επιπλέον, ακόμη και οι πιο έμπειροι χρήστες συχνά παραπλανώνται και τους παραδίδουν κατά τη διάρκεια προσπαθειών phishing. Το 2SV (2FA/MFA) βοηθά, αλλά και πάλι επιβαρύνει τον χρήστη με πρόσθετες, ανεπιθύμητες τριβές και εξακολουθεί να μην προστατεύει πλήρως από επιθέσεις phishing και στοχευμένες επιθέσεις όπως η “ανταλλαγή SIM” για επαλήθευση SMS. Τα Passkeys συμβάλλουν στην αντιμετώπιση όλων αυτών των ζητημάτων”.

Τα passkeys χρησιμοποιούν τις τρεις μορφές πληροφοριών που χρησιμοποιούνται συχνά στην MFA: κάτι που έχετε (όπως ένα smartphone), κάτι που είστε (όπως τα βιομετρικά σας στοιχεία) ή κάτι που γνωρίζετε (όπως ένα PIN ή ένα μοτίβο). Παρόλο που τα passkeys χαρακτηρίζονται ως ένας τύπος MFA, η FIDO Alliance ισχυρίζεται ότι αρκετοί ρυθμιστικοί οργανισμοί πρέπει ακόμη να το αναγνωρίσουν αυτό, παρόλο που προσπαθούν ενεργά να το πράξουν.

Θα ήταν καλύτερο να μην δημιουργήσετε ένα passkey στον κοινόχρηστο υπολογιστή στον χώρο της επιχείρησής σας, καθώς τα passkeys θα πρέπει να δημιουργούνται μόνο σε συσκευές που ελέγχετε μεμονωμένα. Η Google δήλωσε ότι τα passkeys για τη σύνδεση των εργαζομένων θα ενεργοποιηθούν από τους διαχειριστές λογαριασμών Workspace “σύντομα”. Καθώς οποιοσδήποτε χρησιμοποιεί τη συσκευή θα μπορούσε να έχει πρόσβαση στο λογαριασμό σας Google, δεν θα πρέπει να δημιουργήσετε ένα passkey σε κοινόχρηστες συσκευές, όπως ο οικογενειακός σας υπολογιστής. Μόλις δημιουργηθεί ένα passkey σε αυτή τη συσκευή, οποιοσδήποτε μπορεί να την ξεκλειδώσει μπορεί να συνδεθεί ξανά στο λογαριασμό σας χρησιμοποιώντας το passkey, ακόμη και αν έχετε αποσυνδεθεί.

Η Microsoft ενισχύει το MFA με αντιστοίχιση αριθμών.

Η Microsoft ανακοίνωσε ότι θα αρχίσει να επιβάλλει την αντιστοίχιση αριθμών για τις ειδοποιήσεις MFA μέσω του Microsoft Authenticator για να εμποδίσει τις προσπάθειες επίθεσης λόγω κόπωσης MFA.

“Από τις 8 Μαΐου 2023, η αντιστοίχιση αριθμών ενεργοποιείται για όλες τις ειδοποιήσεις push του Authenticator. Καθώς οι σχετικές υπηρεσίες αναπτύσσονται, οι χρήστες παγκοσμίως που έχουν ενεργοποιήσει τις ειδοποιήσεις push του Authenticator θα αρχίσουν να βλέπουν την αντιστοίχιση αριθμών στα αιτήματα έγκρισής τους”, αναφέρεται στην ανακοίνωση της εταιρείας.

Τι είναι η αντιστοίχιση αριθμών;

Η αντιστοίχιση αριθμών είναι μια ρύθμιση που αναγκάζει τον χρήστη να εισάγει τους αριθμούς που εμφανίζονται στην πλατφόρμα όπου προσπαθεί να πιστοποιηθεί στην εφαρμογή authenticator για να εγκρίνει το αίτημα, εξηγεί ο αμερικανικός οργανισμός Cybersecurity and Infrastructure Security Agency (CISA).

Εικόνα 2: Αντιστοίχιση Αριθμών. Πηγή: Microsoft

Η απαίτηση αντιστοίχισης αριθμών μειώνει την κόπωση από το MFA με την ανάγκη πρόσβασης στην οθόνη σύνδεσης για την έγκριση αιτήσεων. Όταν οι χρήστες χρησιμοποιούν το Microsoft Authenticator για να απαντήσουν σε ένα μήνυμα MFA push, θα βλέπουν έναν αριθμό. Για να ολοκληρώσουν την έγκριση, πρέπει να εισάγουν αυτόν τον αριθμό στην εφαρμογή. Οι χρήστες δεν μπορούν να εγκρίνουν αιτήματα χωρίς την εισαγωγή των αριθμών στην οθόνη σύνδεσης.

“Η αντιστοίχιση αριθμών αποτελεί βασική αναβάθμιση της ασφάλειας στις παραδοσιακές ειδοποιήσεις δεύτερου παράγοντα στο Microsoft Authenticator. Θα καταργήσουμε τους διαχειριστικούς ελέγχους και θα επιβάλουμε την εμπειρία αντιστοίχισης αριθμών σε όλη την επικράτεια για όλους τους χρήστες ειδοποιήσεων push του Microsoft Authenticator από τις 8 Μαΐου 2023”, αναφέρει η Microsoft.

Αν θέλετε να μάθετε περισσότερα για τον έλεγχο ταυτότητας πολλαπλών παραγόντων και για το πώς ο οργανισμός σας μπορεί να αναπτύξει με επιτυχία και αποτελεσματικότητα το MFA, κατεβάστε το τελευταίο μας έγγραφο, “Επιλέγοντας μια λύση ελέγχου ταυτότητας πολλαπλών παραγόντων: Πώς να αντιμετωπίσετε τις ανθρώπινες και τεχνολογικές ανησυχίες.


Ενισχυμένη προστασία της ταυτότητας μέσω της ενδυνάμωσης των ανθρώπων

Γράφουν η Ninoslava Bogdanović και ο Αναστάσιος Αραμπατζής

Παρόλο που η ασφάλεια στον κυβερνοχώρο φαίνεται να είναι πρωτίστως τεχνολογικό ζήτημα, τελικά περιστρέφεται γύρω από τον άνθρωπο. Οι άνθρωποι διαδραματίζουν καθοριστικό ρόλο στην ασφάλεια στον κυβερνοχώρο, καθώς μπορούν να θέσουν ακούσια σε κίνδυνο ευαίσθητες πληροφορίες και συστήματα μέσω τακτικών κοινωνικής μηχανικής ή λαθών. Αυτή η παραδοχή υπογραμμίζει την ανάγκη ενδυνάμωσης των ατόμων με κατάλληλες τεχνολογίες και εκπαίδευση ευαισθητοποίησης.

Εκτός από τις προκλήσεις που θέτουν οι προηγμένοι επιτιθέμενοι και τις τεχνικές πτυχές της εφαρμογής του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), το πραγματικό εμπόδιο έγκειται στην έμπνευση των ατόμων, τόσο σε προσωπικό όσο και σε επαγγελματικό επίπεδο, ώστε να υιοθετήσουν αυτό το κρίσιμο χαρακτηριστικό ασφαλείας. Δυστυχώς, πολυάριθμες αναφορές δείχνουν ότι οι επιχειρήσεις και οι ιδιώτες δεν αξιοποιούν πλήρως τις δυνατότητες του MFA.

Ενώ το 56% των επιχειρήσεων δηλώνει ότι έχει εφαρμόσει MFA, αυτό περιορίζεται κυρίως σε προνομιούχους και απομακρυσμένους υπαλλήλους. Είναι σοκαριστικό ότι μόνο το 8% των υψηλόβαθμων στελεχών χρησιμοποιούν MFA στις διάφορες εφαρμογές και συσκευές τους. Ωστόσο, το ζήτημα επεκτείνεται πέρα από το εταιρικό πεδίο. Ακόμη και οι χρήστες των μέσων κοινωνικής δικτύωσης παραμελούν τις βέλτιστες πρακτικές για τη διασφάλιση των διαδικτυακών λογαριασμών και των προσωπικών τους πληροφοριών. Για παράδειγμα, μόλις το 2,6% των χρηστών του Twitter έχουν ενεργοποιήσει MFA για τους λογαριασμούς τους.

Διάφοροι λόγοι συμβάλλουν σε αυτή την επικίνδυνη συμπεριφορά:

  • Προκλήσεις εφαρμογής και ενσωμάτωσης: Η πολυπλοκότητα της ενσωμάτωσης του MFA στις καθημερινές επιχειρησιακές ροές εργασίας το καθιστά δύσκολο έργο.
  • Αναποτελεσματική επικοινωνία: Η σημασία της εφαρμογής του MFA δεν βρίσκει αποτελεσματική απήχηση στις επιχειρήσεις και την κοινωνία.
  • Λανθασμένες αντιλήψεις σχετικά με την ασφάλεια στον κυβερνοχώρο: Ορισμένα άτομα έχουν πεποιθήσεις όπως “δεν θα μου συμβεί” ή “δεν έχω τίποτα να κρύψω”, υπονομεύοντας την αντιληπτή ανάγκη για MFA.
  • Φόβος και αβεβαιότητα: Ο εκφοβιστικός χαρακτήρας της ασφάλειας στον κυβερνοχώρο αποξενώνει τα άτομα από την ενεργό συμμετοχή σε μέτρα προστασίας.

Για να αντιμετωπιστούν αυτές οι ανησυχίες, είναι ζωτικής σημασίας να αναγνωριστεί ότι η ασφάλεια στον κυβερνοχώρο δεν εξαρτάται αποκλειστικά από την τεχνολογία ή τις διαδικασίες. Ενώ η τεχνολογία μπορεί να προσφέρει μόνο ένα ορισμένο επίπεδο προστασίας, οι εργαζόμενοι μπορούν να παρέχουν την κατανόηση του πλαισίου που είναι απαραίτητη για τον εντοπισμό και την πρόληψη επιθέσεων. Με την παροχή των κατάλληλων εργαλείων, γνώσεων και υποστήριξης, οι οργανισμοί μπορούν να απελευθερώσουν το πλήρες δυναμικό του εργατικού δυναμικού τους και να δημιουργήσουν μια κουλτούρα που αγκαλιάζει και μεγιστοποιεί τα πλεονεκτήματα της τεχνολογίας.

Είναι σημαντικό να ενδυναμώσουμε τους ανθρώπους στην κυβερνοασφάλεια και την προστασία της ταυτότητας, ώστε να αξιοποιήσουμε τα οφέλη των ψηφιακών τεχνολογιών. Ακολουθούν ορισμένες στρατηγικές για την επίτευξη αυτού του στόχου

Καλλιέργεια ψηφιακής νοοτροπίας

Για να ενδυναμωθούν τα άτομα, είναι ζωτικής σημασίας να καλλιεργηθεί μια ψηφιακή νοοτροπία εντός του οργανισμού. Αυτό περιλαμβάνει την ανάπτυξη μιας οργανωτικής κουλτούρας που αγκαλιάζει τις τεχνολογικές εξελίξεις, ενθαρρύνει τον πειραματισμό και προωθεί τη συνεχή μάθηση. Δίνοντας έμφαση στην αξία της τεχνολογίας και στις δυνατότητές της να οδηγήσει σε θετικές αλλαγές, οι εργαζόμενοι είναι πιο πιθανό να υιοθετήσουν νέα εργαλεία και προσεγγίσεις, αποτελώντας ενεργούς συμμετέχοντες στον ψηφιακό μετασχηματισμό.

Καλλιέργεια νοοτροπίας κυβερνοασφάλειας

Για τη διασφάλιση των ψηφιακών μας ταυτοτήτων στον σημερινό διασυνδεδεμένο κόσμο, η ενδυνάμωση και η εμπλοκή των ατόμων στην κυβερνοασφάλεια είναι υψίστης σημασίας. Κάθε οργανισμός διαθέτει μια κουλτούρα ασφάλειας και οργάνωσης, η οποία θα πρέπει να μετατραπεί σε θετική και προληπτική. Η επίρριψη ευθυνών στα άτομα για τα λάθη είναι αντιπαραγωγική. Ο απλός βομβαρδισμός των ανθρώπων με περισσότερη τεχνολογία επιδεινώνει την κατάσταση εισάγοντας περιττή πολυπλοκότητα. Αντ’ αυτού, θα πρέπει να καλλιεργήσουμε μια κουλτούρα που γιορτάζει τις μικρές νίκες. Εστιάζοντας και στους τρεις τομείς της ασφάλειας στον κυβερνοχώρο -ανθρώπους, διαδικασίες και τεχνολογία- οι επιχειρήσεις και οι κοινωνίες μας μπορούν να γίνουν ασφαλέστερες και ισχυρότερες.

Παροχή ευκαιριών κατάρτισης και ανάπτυξης

Η επένδυση στην κατάρτιση και την επαγγελματική ανάπτυξη είναι το κλειδί για την ενδυνάμωση των εργαζομένων ώστε να αξιοποιούν αποτελεσματικά την τεχνολογία. Αυτό περιλαμβάνει την προσφορά ολοκληρωμένων εκπαιδευτικών προγραμμάτων, εργαστηρίων και πόρων που εφοδιάζουν τα άτομα με τις απαραίτητες δεξιότητες για την αποτελεσματική αξιοποίηση των τεχνολογικών εργαλείων και πλατφορμών. Παρέχοντας συνεχείς ευκαιρίες μάθησης, οι οργανισμοί δίνουν τη δυνατότητα στους εργαζόμενους να ενημερώνονται για τις τελευταίες τεχνολογικές εξελίξεις και να τις αξιοποιούν για να βελτιώνουν τις διαδικασίες εργασίας τους. Η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας δεν πρέπει να επικεντρώνεται αποκλειστικά στο “γιατί” (τις συνέπειες μιας παραβίασης), αλλά και στο “γιατί εγώ;”. Η πτυχή του “γιατί εγώ;”, παρέχει στα άτομα το πλαίσιο που απαιτείται για να κατανοήσουν τη σημασία της ασφάλειας στον κυβερνοχώρο για τη δική τους ζωή. Χωρίς αυτή την κατανόηση, καθίσταται δύσκολο να επηρεαστεί το εσωτερικό κίνητρο των ανθρώπων, το οποίο είναι το κλειδί για την προώθηση αλλαγής συμπεριφοράς. Η κατανόηση των λόγων που κρύβονται πίσω από ορισμένες συμπεριφορές, ή την έλλειψη αυτών, είναι ζωτικής σημασίας για την αποτελεσματική εκπαίδευση ευαισθητοποίησης.

Προσαρμογή τεχνολογικών λύσεων στις ατομικές ανάγκες

Αναγνωρίζοντας ότι κάθε εργαζόμενος έχει μοναδικές απαιτήσεις και προτιμήσεις, οι οργανισμοί θα πρέπει να προσπαθούν να προσφέρουν τεχνολογικές λύσεις που ανταποκρίνονται στις ατομικές ανάγκες. Αυτό μπορεί να περιλαμβάνει την παροχή μιας σειράς εργαλείων και πλατφορμών προς επιλογή, επιτρέποντας στους εργαζόμενους να επιλέξουν αυτά που ταιριάζουν καλύτερα με το στυλ εργασίας και τους στόχους τους. Οι προσαρμόσιμες διεπαφές, οι ευέλικτες ενσωματώσεις εφαρμογών και οι εξατομικευμένες ρυθμίσεις χρήστη δίνουν τη δυνατότητα στα άτομα να βελτιστοποιήσουν την τεχνολογική τους εμπειρία για αυξημένη παραγωγικότητα.

Η ενδυνάμωση των ατόμων για την αξιοποίηση των πλεονεκτημάτων της τεχνολογίας είναι μια ισχυρή στρατηγική για τους οργανισμούς που στοχεύουν να ευδοκιμήσουν στην ψηφιακή εποχή. Καλλιεργώντας την ψηφιακή νοοτροπία, τη νοοτροπία της κυβερνοασφάλειας, παρέχοντας ευκαιρίες κατάρτισης και ανάπτυξης, προσαρμόζοντας τις τεχνολογικές λύσεις, ενθαρρύνοντας τη συνεργασία, δίνοντας έμφαση στα οφέλη της αυτοματοποίησης και προωθώντας την καινοτομία, οι οργανισμοί μπορούν να δημιουργήσουν ένα περιβάλλον όπου τα άτομα θα αισθάνονται ότι έχουν τη δυνατότητα να αξιοποιήσουν τις δυνατότητες της τεχνολογίας στο έπακρο.

Αν θέλετε να μάθετε περισσότερα για τον έλεγχο ταυτότητας πολλαπλών παραγόντων και για το πώς ο οργανισμός σας μπορεί να αναπτύξει με επιτυχία και αποτελεσματικότητα το MFA, κατεβάστε το τελευταίο μας έγγραφο, “Πως να επιλέξετε μία λύση Multi-Factor Authentication: Πώς να αντιμετωπίσετε τις ανθρώπινες και τεχνολογικές ανησυχίες“.


Πολιτική επικοινωνία μέσω μηνυμάτων: Υπό ποιες προϋποθέσεις επιτρέπεται;

Γράφει η Κατερίνα Μεζίνη*

 

Πολιτική είναι η επικοινωνία που πραγματοποιείται από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης, σε προεκλογική ή μη προεκλογική περίοδο, για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξή τους και τη διαμόρφωση πολιτικής συμπεριφοράς.

Η πολιτική επικοινωνία μπορεί να πραγματοποιείται με ποικίλους τρόπους, όπως η άμεση παρουσίαση των πολιτικών ιδεών ή η συμπερίληψή τους σε ενημερωτικό δελτίο, η πρόσκληση ανάγνωσής τους σε ιστοσελίδα ή η πρόσκληση συμμετοχής σε κάποια εκδήλωση ή δραστηριότητα.

Η πολιτική επικοινωνία δεν περιλαμβάνει επικοινωνία που δεν προέρχεται από τα πρόσωπα που αναφέρθηκαν παραπάνω ή μηνύματα από τα πρόσωπα αυτά που το περιεχόμενο τους δε σχετίζεται με την προώθηση πολιτικών ιδεών (π.χ. περιλαμβάνουν ευχές).

Η πολιτική επικοινωνία κατ’ αρχήν επιτρέπεται και προστατεύεται από το Σύνταγμα ιδίως στο πλαίσιο του γενικού δικαιώματος συμμετοχής στην πολιτική ζωή της χώρας (άρθρο 5 παρ. 1 Συντ.), του δικαιώματος των πολιτών στην πληροφόρηση (άρθρο 5Α παρ. 1 Συντ.), και της εκπλήρωσης της συνταγματικής αποστολής των πολιτικών κομμάτων (άρθρο 29 παρ. 1 Συντ.).

Φυσικά, οι μέθοδοι που χρησιμοποιούνται για την πολιτική επικοινωνία προϋποθέτουν επεξεργασία προσωπικών δεδομένων, όπως ονοματεπωνύμων, ταχυδρομικών διευθύνσεων, τηλεφωνικών αριθμών, διευθύνσεων ηλεκτρονικού ταχυδρομείου.

Ενόψει των επικείμενων εκλογών και λόγω της προεκλογικής περιόδου την οποία διανύουμε, ως πολίτες λαμβάνουμε συχνά, ακόμη και καθημερινά, τέτοια μηνύματα.

Σημαντικό, λοιπόν, είναι να γνωρίζουμε τις υποχρεώσεις προς τις οποίες θα πρέπει να συμμορφώνεται ο εκάστοτε υποψήφιος βουλευτής ή πολιτικό κόμμα -ως υπεύθυνοι επεξεργασίας- αλλά και τα δικαιώματα που έχουμε και μπορούμε να ασκήσουμε σε περίπτωση που ο αποστολέας παραβιάζει τις εν λόγω υποχρεώσεις.

Έτσι, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε στις 31 Μαρτίου 2023 τις υπ. αριθμόν 1/2023 Κατευθυντήριες Γραμμές «σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα».

Ο συνηθέστερος τρόπος με τον οποίο διεξάγεται η πολιτική επικοινωνία σήμερα είναι μέσω ηλεκτρονικών μηνυμάτων. Η εν λόγω μορφή επικοινωνίας περιλαμβάνει την επικοινωνία με SMS, MMS, e-mail, Viber, Whatsapp, Skype, Facebook Messenger κτλ.

 

Α) Σε ποιες νομικές βάσεις μπορεί να στηριχθεί;

Η πολιτική επικοινωνία είναι δυνατόν να διενεργείται είτε με βάση τη συγκατάθεση του αποδέκτη είτε λόγω έννομου συμφέροντος του υποψηφίου ή του πολιτικού κόμματος που τη διενεργεί.

i. Συγκατάθεση

Η συγκατάθεση θα πρέπει να είναι ελεύθερη, συγκεκριμένη, εύκολα ανακλητή και να αποδεικνύεται ότι το υποκείμενο που την παρείχε είχε ενημερωθεί επαρκώς για την επεξεργασία των προσωπικών του δεδομένων.

Η δήλωση της συγκατάθεσης, για να είναι νόμιμη, μπορεί ενδεικτικά να παρέχεται με την έγγραφη συμπλήρωση ειδικού εντύπου (π.χ. κατά τη διάρκεια εκδηλώσεων ή στο πλαίσιο λειτουργίας των πολιτικών γραφείων των υποψηφίων βουλευτών κατά την προεκλογική περίοδο) ή ηλεκτρονικά (π.χ. μέσω της εγγραφής σε ιστοσελίδα που διατηρεί ο αποστολέας ή με τη συμπλήρωση ειδικού ηλεκτρονικού εντύπου και αποστολή του μέσω ηλεκτρονικού ταχυδρομείου).

ii. Έννομο συμφέρον

Η πολιτική επικοινωνία μπορεί να στηρίζεται στη νομική βάση του υπέρτερου εννόμου συμφέροντος του υπευθύνου επεξεργασίας (άρθρο 6, παρ. 1 στ’ ΓΚΠΔ), εφόσον αποδεικνύεται ότι η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννομου συμφέροντος του υπευθύνου επεξεργασίας για την προώθηση των πολιτικών του θέσεων, και έναντι του συμφέροντος αυτού δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες τους βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας.

Πολιτική επικοινωνία χωρίς τη συγκατάθεση του υποκειμένου επιτρέπεται εφόσον τα στοιχεία επικοινωνίας έχουν αποκτηθεί νόμιμα στο πλαίσιο προηγούμενης, παρόμοιας επαφής και το υποκείμενο κατά τη συλλογή των δεδομένων ενημερώθηκε για τη χρήση τους με σκοπό την πολιτική επικοινωνία και δεν εξέφρασε αντίρρηση για αυτή τη χρήση.

Η προηγούμενη επαφή δεν είναι απαραίτητο να έχει αμιγώς πολιτικό χαρακτήρα, Π.χ. είναι νόμιμη η αποστολή μηνυμάτων όταν τα στοιχεία ηλεκτρονικού ταχυδρομείου συλλέχθηκαν στο πλαίσιο προηγούμενης πρόσκλησης για συμμετοχή σε κάποια εκδήλωση ή δράση, ανεξαρτήτως του πολιτικού χαρακτήρα της.

Αντιθέτως, δεν θεωρείται ότι συνιστά παρόμοια επαφή και δεν είναι νόμιμη η χρήση των ηλεκτρονικών στοιχείων επικοινωνίας προς το σκοπό της πολιτικής επικοινωνίας όταν τα στοιχεία αυτά αποκτήθηκαν στο πλαίσιο επαγγελματικής σχέσης, όπως για παράδειγμα η χρήση του αρχείου πελατών από υποψήφιο βουλευτή.

Ενδεικτικά παραδείγματα περιπτώσεων στις οποίες δεν επιτρέπεται να χρησιμοποιηθούν τα προσωπικά δεδομένα για τον σκοπό της πολιτικής επικοινωνίας:

  • Εάν ο υποψήφιος έχει συλλέξει διευθύνσεις ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικούς αριθμούς από το διαδίκτυο με χρήση ανιχνευτή ιστού (web crawler)
  • Εάν ο υποψήφιος έχει αγοράσει από τρίτη εταιρεία λίστα με στοιχεία επικοινωνίας πολιτών, ακόμα και αν υφίσταται συγκατάθεση για τη χρήση τους με σκοπό την εμπορική προώθηση προϊόντων/υπηρεσιών
  • Εάν ο υποψήφιος έχει συλλέξει στοιχεία επικοινωνίας επαγγελματιών από καταλόγους ή δημόσια μητρώα που είναι αναρτημένα στο διαδίκτυο για σκοπούς διαφάνειας ή επαγγελματικής επικοινωνίας
  • Εάν ο υποψήφιος που κατείχε δημόσια θέση έχει συλλέξει δεδομένα πολιτών τα οποία αυτοί παρείχαν στο πλαίσιο των συναλλαγών τους με την υπηρεσία του.

Σημειώνεται ότι η σχέση φίλου ή ακολούθου σε μέσα κοινωνικής δικτύωσης δικαιολογεί την αποστολή ενός πρώτου μηνύματος μέσω του οποίου ο υπεύθυνος επεξεργασίας υποψήφιος ή κόμμα, κατόπιν σχετικής ενημέρωσης, μπορεί να ζητήσει τη συγκατάθεση του υποκειμένου των δεδομένων για τη λήψη προσωπικών μηνυμάτων πολιτικού περιεχομένου δια του ίδιου μέσου κοινωνικής δικτύωσης.

Β) Τι πρέπει να περιλαμβάνει κάθε μήνυμα πολιτικής επικοινωνίας;

Σε κάθε ηλεκτρονική πολιτική επικοινωνία απαιτείται:

1) Να αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα, καθώς επίσης και μια έγκυρη διεύθυνση στην οποία ο αποδέκτης του μηνύματος μπορεί να ζητεί τον τερματισμό της επικοινωνίας.

2) Να διευκρινίζεται η πηγή από την οποία έχουν συλλεγεί τα στοιχεία επικοινωνίας του υποκειμένου, εφόσον αυτή δεν είναι το ίδιο το υποκείμενο.

3) Να γίνεται παραπομπή σε πλήρες κείμενο ενημέρωσης (το οποίο μπορεί να είναι αναρτημένο είτε στην ιστοσελίδα είτε στο προφίλ που διατηρεί ο αποστολέας στα social media) σύμφωνα με τα άρθρα 13 ή 14 ΓΚΠΔ (δηλαδή ενημερωτικό σημείωμα που περιλαμβάνει πληροφορίες σχετικά με τους σκοπούς επεξεργασίας, τη νομική βάση, το χρόνο τήρησης των δεδομένων, τυχόν αποδέκτες, την πηγή των δεδομένων, τις διαβιβάσεις σε άλλες χώρες, τα δικαιώματα του υποκειμένου).

4) Να αναφέρεται ο τρόπος με τον οποίο ο αποδέκτης του μηνύματος μπορεί να ασκεί τα δικαιώματά του, μεταξύ των οποίων και να ζητεί τον τερματισμό της επικοινωνίας (δικαίωμα εναντίωσης). Σε περίπτωση άσκησης του δικαιώματος εναντίωσης, ο υπεύθυνος επεξεργασίας κατ’ αρχήν οφείλει να μην υποβάλλει πλέον τα δεδομένα του υποκειμένου σε επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας.

Στην περίπτωση που δε πληρούνται οι ανωτέρω προϋποθέσεις ο λήπτης του μηνύματος έχει το δικαίωμα να υποβάλει σχετική καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Γ) Δικαιώματα του δέκτη της πολιτικής επικοινωνίας

Σε κάθε περίπτωση, ο λήπτης του μηνύματος έχει το δικαίωμα να ασκήσει τα δικαιώματα που απορρέουν από τον Γενικό Κανονισμό Προστασίας Δεδομένων και από το ν.4624/2019.

Ειδικότερα, ο λήπτης μηνύματος που περιέχει πολιτική επικοινωνία μπορεί να:

  • ανακαλέσει τη συγκατάθεση του ελεύθερα και ανά πάσα στιγμή,
  • ζητήσει πρόσβαση στα προσωπικά του δεδομένα και στις πληροφορίες σχετικά με το ποια δεδομένα του επεξεργάζεται ο αποστολέας, τους σκοπούς της επεξεργασίας, τους αποδέκτες των δεδομένων του και τη διάρκεια της επεξεργασίας,
  • ζητήσει τη διαγραφή των προσωπικών δεδομένων που το αφορούν,
  • ζητήσει τον περιορισμό της επεξεργασίας μόνο για συγκεκριμένους σκοπούς,
  • αντιταχθεί στην επεξεργασία προσωπικών δεδομένων που το αφορούν,
  • ζητήσει τη διόρθωση των στοιχείων του,
  • υποβάλλει καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

*Η Κατερίνα Μεζίνη είναι απόφοιτη του τμήματος Νομικής του ΕΚΠΑ και μεταπτυχιακή φοιτήτρια στο ΠΜΣ «Δίκαιο και Τεχνολογίες Πληροφορικής και Επικοινωνιών» του Πανεπιστημίου Πειραιώς.

Πηγές:

1) ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ της ΑΠΔΠΧ 1/2023 Επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα

2) Κατευθυντήριες οδηγίες σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα

3) Podcast “TheDigitalSpectator” του Στέργιου Κωνσταντίνου, επεισόδιο με τίτλο: «Πολιτική Επικοινωνία: Τι πρέπει να ξέρουμε;»


Η πρόκληση της συμμόρφωσης με τις απαιτήσεις των νέων ευρωπαϊκών κανόνων για την κυβερνοασφάλεια

Γράφουν οι Αναστάσιος Αραμπατζής και Λευτέρης Χελιουδάκης

Τα τελευταία χρόνια, ο αριθμός των πρωτοβουλιών ψηφιακής πολιτικής σε επίπεδο ΕΕ έχει διευρυνθεί. Έχουν ήδη υιοθετηθεί πολλές νομοθετικές προτάσεις που καλύπτουν τις τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ) και επηρεάζουν τα δικαιώματα και τις ελευθερίες των ανθρώπων στην ΕΕ, ενώ άλλες παραμένουν υπό διαπραγμάτευση. Οι περισσότερες από αυτές τις νομοθετικές πράξεις είναι καίριας σημασίας και αφορούν ένα ευρύ φάσμα πολύπλοκων θεμάτων, όπως η τεχνητή νοημοσύνη, η διακυβέρνηση δεδομένων, η προστασία της ιδιωτικής ζωής και η ελευθερία της έκφρασης στο διαδίκτυο, η πρόσβαση των αρχών επιβολής του νόμου σε ψηφιακά δεδομένα, η ηλεκτρονική υγεία και η κυβερνοασφάλεια.

Οι φορείς της κοινωνίας των πολιτών χρειάζονται συχνά βοήθεια για να παρακολουθήσουν αυτές τις πολιτικές πρωτοβουλίες της ΕΕ, ενώ οι επιχειρήσεις αντιμετωπίζουν σοβαρές προκλήσεις στην κατανόηση της πολύπλοκης νομικής γλώσσας των νομοθετικών απαιτήσεων. Το παρόν άρθρο αποσκοπεί στην ευαισθητοποίηση σχετικά με δύο πρόσφατα εκδοθείσες νομοθεσίες της ΕΕ για την ασφάλεια στον κυβερνοχώρο, και συγκεκριμένα την Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) και την αναθεωρημένη έκδοση της Οδηγίας για την Ασφάλεια Δικτύων και Πληροφοριών (NIS2).

NIS2

Η NIS2 αποτελεί την αναγκαία απάντηση στο διευρυμένο τοπίο που απειλεί τις κρίσιμες ευρωπαϊκές υποδομές.

Η αρχική έκδοση της Oδηγίας εισήγαγε διάφορες υποχρεώσεις για την εθνική εποπτεία των φορέων εκμετάλλευσης βασικών υπηρεσιών (ΦΕΒΥ) και των παρόχων ψηφιακών υπηρεσιών (ΠΨΥ). Για παράδειγμα, τα κράτη μέλη της ΕΕ πρέπει να εποπτεύουν το επίπεδο κυβερνοασφάλειας των φορέων εκμετάλλευσης σε κρίσιμους τομείς, όπως η ενέργεια, οι μεταφορές, το νερό, η υγειονομική περίθαλψη, οι ψηφιακές υποδομές, οι τράπεζες και οι υποδομές της χρηματοπιστωτικής αγοράς. Επιπλέον, τα κράτη μέλη πρέπει να εποπτεύουν τους παρόχους κρίσιμων ψηφιακών υπηρεσιών, συμπεριλαμβανομένων των διαδικτυακών αγορών, των υπηρεσιών υπολογιστικού νέφους και των μηχανών αναζήτησης.

Για το λόγο αυτό, τα κράτη μέλη της ΕΕ έπρεπε να δημιουργήσουν αρμόδιες εθνικές αρχές που θα είναι επιφορτισμένες με αυτά τα εποπτικά καθήκοντα. Επιπλέον, η NIS εισήγαγε διαύλους για τη διασυνοριακή συνεργασία και ανταλλαγή πληροφοριών μεταξύ των κρατών μελών της ΕΕ.

Ωστόσο, η ψηφιοποίηση των υπηρεσιών και το αυξημένο επίπεδο των κυβερνοεπιθέσεων σε ολόκληρη την ΕΕ οδήγησαν την Ευρωπαϊκή Επιτροπή το 2020 να προτείνει μια αναθεωρημένη έκδοση της NIS, δηλαδή τη NIS2. Η νέα οδηγία τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και τα κράτη μέλη έχουν πλέον 21 μήνες, έως τις 17 Οκτωβρίου 2024, για να μεταφέρουν τα μέτρα της στο εθνικό τους δίκαιο.

Οι νέες διατάξεις έχουν διευρύνει το πεδίο εφαρμογής της NIS με σκοπό την ενίσχυση των απαιτήσεων ασφαλείας που επιβάλλονται στα κράτη μέλη της ΕΕ, τον εξορθολογισμό των υποχρεώσεων αναφοράς περιστατικών ασφαλείας και τη θέσπιση ισχυρότερων εποπτικών μέτρων και αυστηρότερων απαιτήσεων τήρησης της νομοθεσίας, όπως για παράδειγμα ένα εναρμονισμένο καθεστώς κυρώσεων για όλα τα κράτη μέλη της ΕΕ.

Η NIS2 εισάγει τα ακόλουθα στοιχεία:

  • Διευρυμένη εφαρμογή: Η NIS2 αυξάνει τον αριθμό των τομέων που καλύπτουν οι διατάξεις της, συμπεριλαμβανομένων των ταχυδρομικών υπηρεσιών, των κατασκευαστών αυτοκινήτων, των πλατφορμών των μέσων κοινωνικής δικτύωσης, της διαχείρισης αποβλήτων, της παραγωγής χημικών προϊόντων και αγροτικών προϊόντων διατροφής. Οι νέοι κανόνες ταξινομούν τις οντότητες σε “βασικές οντότητες” και “σημαντικές οντότητες” και ισχύουν για τους υπεργολάβους και τους παρόχους υπηρεσιών που δραστηριοποιούνται στους καλυπτόμενους τομείς.
  • Αυξημένη ετοιμότητα για τις παγκόσμιες απειλές στον κυβερνοχώρο: Η NIS2 επιδιώκει να ενισχύσει τη συλλογική επίγνωση της κατάστασης μεταξύ των βασικών οντοτήτων για τον εντοπισμό και την κοινοποίηση σχετικών απειλών πριν αυτές επεκταθούν σε όλα τα κράτη μέλη. Για παράδειγμα, το δίκτυο EU-CyCLONe θα βοηθήσει στον συντονισμό και τη διαχείριση περιστατικών μεγάλης κλίμακας, ενώ θα δημιουργηθεί ένας εθελοντικός μηχανισμός αμοιβαίας μάθησης για την ενίσχυση της ευαισθητοποίησης.
  • Εξορθολογισμένα πρότυπα ανθεκτικότητας με αυστηρότερες κυρώσεις. Σε αντίθεση με τη NIS, η NIS2 προβλέπει υψηλότατες κυρώσεις και ισχυρά μέτρα ασφαλείας. Για παράδειγμα, οι παραβάσεις της νομοθεσίας από βασικές οντότητες θα υπόκεινται σε διοικητικά πρόστιμα μέγιστου ύψους τουλάχιστον 10 εκατ. ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους, ενώ οι σημαντικές οντότητες θα υπόκεινται σε πρόστιμα μέγιστου ύψους τουλάχιστον 7 εκατ. ευρώ ή 1,4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους.
  • Εξορθολογισμένες διαδικασίες αναφορών. Η NIS2 εξορθολογίζει τις υποχρεώσεις υποβολής αναφορών ώστε να αποφευχθεί η πρόκληση υπερβολικής υποβολής και η δημιουργία υπερβολικού φόρτου για τις καλυπτόμενες οντότητες.
  • Διευρυμένο εδαφικό πεδίο εφαρμογής: Σύμφωνα με τους νέους κανόνες, συγκεκριμένες κατηγορίες οντοτήτων που δεν είναι εγκατεστημένες στην Ευρωπαϊκή Ένωση αλλά προσφέρουν υπηρεσίες εντός αυτής θα υποχρεούνται να ορίζουν αντιπρόσωπο στην ΕΕ.

DORA

Η πράξη για τη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) αντιμετωπίζει ένα θεμελιώδες πρόβλημα στο χρηματοπιστωτικό οικοσύστημα της ΕΕ: πώς ο τομέας μπορεί να παραμείνει ανθεκτικός κατά τη διάρκεια σοβαρών επιχειρησιακών διαταραχών. Πριν από την DORA, τα χρηματοπιστωτικά ιδρύματα χρησιμοποιούσαν την κατανομή κεφαλαίου για τη διαχείριση των σημαντικών κατηγοριών λειτουργικού κινδύνου. Ωστόσο, πρέπει να αντιμετωπίσουν καλύτερα τις προκλήσεις που ανακύπτουν για την ενίσχυση της κυβερνοσφασάλειας τους και να ενσωματώσουν πρακτικές που θα ενισχύσουν την ανθεκτικότητα τους έναντι ενός εξελισσόμενου τοπίου απειλών στο ευρύτερο επιχειρησιακό πλαίσιο τους.

Το δελτίο τύπου του Ευρωπαϊκού Συμβουλίου παρέχει μια περιεκτική δήλωση του σκοπού της Πράξης για την ψηφιακή επιχειρησιακή ανθεκτικότητα:

«Η πράξη DORA καθορίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ (τεχνολογίες πληροφοριών και επικοινωνιών), όπως πλατφόρμες υπολογιστικού νέφους ή υπηρεσίες ανάλυσης δεδομένων».

Με άλλα λόγια, η DORA δημιουργεί ένα ομοιογενές κανονιστικό πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα, ώστε να διασφαλιστεί ότι όλες οι χρηματοπιστωτικές οντότητες μπορούν να προλαμβάνουν και να μετριάζουν τις απειλές στον κυβερνοχώρο.

Σύμφωνα με το άρθρο 2 του κανονισμού, η DORA εφαρμόζεται σε χρηματοπιστωτικές οντότητες, συμπεριλαμβανομένων τραπεζών, ασφαλιστικών επιχειρήσεων, επιχειρήσεων επενδύσεων και παρόχων υπηρεσιών κρυπτοστοιχείων. Ο κανονισμός καλύπτει επίσης κρίσιμα τρίτα μέρη που προσφέρουν σε χρηματοπιστωτικές εταιρείες υπηρεσίες ΤΠΕ και κυβερνοασφάλειας.

Επειδή η DORA είναι κανονισμός και όχι οδηγία, είναι εκτελεστή και ισχύει άμεσα σε όλα τα κράτη μέλη της ΕΕ από την ημερομηνία εφαρμογή της. H DORA συμπληρώνει την Oδηγία NIS2 και αντιμετωπίζει πιθανές επικαλύψεις ως ειδικό δίκαιο (“lex specialis”).

Η συμμόρφωση με τη DORA αναλύεται σε πέντε πυλώνες που καλύπτουν ποικίλες πτυχές της πληροφορικής και της κυβερνοασφάλειας, παρέχοντας στις χρηματοπιστωτικές επιχειρήσεις μια εμπεριστατωμένη βάση για την ψηφιακή ανθεκτικότητα.

  • Διαχείριση κινδύνων ΤΠΕ: Οι διαδικασίες εσωτερικής διακυβέρνησης και ελέγχου διασφαλίζουν την αποτελεσματική και συνετή διαχείριση κινδύνων ΤΠΕ.
  • Διαχείριση, ταξινόμηση και αναφορά περιστατικών που σχετίζονται με τις ΤΠΕ: Ανίχνευση, διαχείριση και προειδοποίηση περιστατικών που σχετίζονται με ΤΠΕ, με τον καθορισμό, την καθιέρωση και την εφαρμογή μιας διαδικασίας αντιμετώπισης και διαχείρισης περιστατικών κυβερνοασφάλειας.
  • Έλεγχος ψηφιακής επιχειρησιακής ανθεκτικότητας: Αξιολόγηση της ετοιμότητας για τη διαχείριση περιστατικών κυβερνοασφάλειας, εντοπισμός ατελειών, ελλείψεων και κενών στην ψηφιακή επιχειρησιακή ανθεκτικότητα και ταχεία εφαρμογή διορθωτικών μέτρων.
  • Διαχείριση του κινδύνου ΤΠΕ από τρίτους: Πρόκειται για αναπόσπαστο στοιχείο του κινδύνου κυβερνοασφάλειας εντός του πλαισίου διαχείρισης κινδύνου ΤΠΕ.
  • Ανταλλαγή πληροφοριών: Ανταλλαγή πληροφοριών σχετικά με απειλές στον κυβερνοχώρο, συμπεριλαμβανομένων δεικτών συμβιβασμού, τακτικών, τεχνικών και διαδικασιών (TTP) και ειδοποιήσεων για την κυβερνοασφάλεια, για την ενίσχυση της ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων.

Σύμφωνα με το άρθρο 64, ο κανονισμός τέθηκε σε ισχύ στις 17 Ιανουαρίου 2023 και εφαρμόζεται από τις 17 Ιανουαρίου 2025. Είναι επίσης σημαντικό να σημειωθεί ότι το άρθρο 58 ορίζει ότι έως τις 17 Ιανουαρίου 2026, η Ευρωπαϊκή Επιτροπή θα επανεξετάσει “την καταλληλότητα των ενισχυμένων απαιτήσεων για τους νόμιμους ελεγκτές και τα ελεγκτικά γραφεία όσον αφορά την ψηφιακή επιχειρησιακή ανθεκτικότητα”.

Τέσσερα βήματα για τη συμμόρφωση σήμερα

Παρόλο που οι προθεσμίες είναι πιο μακριά, οι επηρεαζόμενοι οργανισμοί δεν χρειάζεται να κάθονται και να περιμένουν. Ο χρόνος (και το χρήμα) είναι πολύτιμος όταν προετοιμάζεστε για την συμμόρφωση με τις απαιτήσεις των NIS2 και DORA. Οι οργανισμοί πρέπει να αξιολογήσουν και να προσδιορίσουν τις ενέργειες που μπορούν να προβούν για να προετοιμαστούν για τους νέους κανόνες.

Οι ακόλουθες συστάσεις αποτελούν ένα καλό σημείο εκκίνησης:

  • Διακυβέρνηση και διαχείριση κινδύνων: Κατανοήστε τις νέες απαιτήσεις και αξιολογήστε τις τρέχουσες διαδικασίες διακυβέρνησης και διαχείρισης κινδύνων. Επιπλέον, εξετάστε το ενδεχόμενο να αυξήσετε τη χρηματοδότηση για προγράμματα που βοηθούν στον εντοπισμό απειλών και περιστατικών κυβερνοεπιθέσεων και να ενισχύσετε τις πρωτοβουλίες εκπαίδευσης για την ευαισθητοποίηση σε θέματα κυβερνοασφάλειας σε επίπεδο επιχείρησης.
  • Αναφορά περιστατικών: Αξιολογήστε την ωριμότητα της διαχείρισης συμβάντων και της υποβολής εκθέσεων για να κατανοήσετε τις τρέχουσες δυνατότητες και να μετρήσετε την ευαισθητοποίηση σχετικά με τα διάφορα πρότυπα υποβολής εκθέσεων συμβάντων κυβερνοασφάλειας που αφορούν τον κλάδο σας. Θα πρέπει επίσης να ελέγξετε την ικανότητά σας να αναγνωρίζετε καταστάσεις ατυχημάτων που αποφεύγονται την τελευταία στιγμή.
  • Δοκιμή ανθεκτικότητας: Αναγνώριση των ταλέντων που απαιτούνται για το σχεδιασμό και τη διεξαγωγή δοκιμών ανθεκτικότητας, συμπεριλαμβανομένων εκπαιδευτικών συνεδρίων για τα μέλη του διοικητικού συμβουλίου σχετικά με τις τεχνικές που χρησιμοποιούνται και τις επιπτώσεις τους.
  • Διαχείριση κινδύνων από τρίτους: Για να βοηθήσετε στη δημιουργία ενός σχεδίου περιορισμού των κινδύνων, επικεντρωθείτε στην ενίσχυση της χαρτογράφησης των συμβάσεων και στην αξιολόγηση των τρωτών σημείων τρίτων μερών. Αναγνωρίστε τις υπηρεσίες που είναι απαραίτητες για τη φιλοξενία θεμελιωδών επιχειρηματικών διαδικασιών. Ελέγξτε αν έχει εφαρμοστεί μια αρχιτεκτονική ανοχής σε σφάλματα για να μειωθούν οι επιπτώσεις της διακοπής λειτουργίας κρίσιμων παρόχων.

Το άρθρο αυτό εκπονήθηκε στο πλαίσιο του έργου “Increasing Civic Engagement in the Digital Agenda — ICEDA” με την υποστήριξη της Ευρωπαϊκής Ένωσης και του South East Europe (SEE) Digital Rights Network. Το περιεχόμενο αυτού του άρθρου δεν θα πρέπει να θεωρείται ότι αποτελεί επίσημη θέση της Ευρωπαϊκής Ένωσης ή του SEΕ.

Photo by FLY:D on Unsplash


Ημέρα Προστασίας Προσωπικών Δεδομένων 2023: Προστατέψτε την Ιδιωτικότητά σας Σήμερα και Κάθε Μέρα!

Γράφει ο Αναστάσιος Αραμπατζής*

28 Ιανουαρίου. Το διαστημικό λεωφορείο “Challenger” εξερράγη λίγα δευτερόλεπτα μετά την απογείωση. Το τουβλάκι Lego κατοχυρώνεται με δίπλωμα ευρεσιτεχνίας και ο δίσκος “We Are the World” του USA for Africa πουλάει πάνω από 20 εκατομμύρια αντίτυπα.

Και το πιο σημαντικό, η 28η Ιανουαρίου είναι η Ημέρα Προστασίας Προσωπικών Δεδομένων, η διεθνής ημέρα για την ενδυνάμωση των ανθρώπων και των επιχειρήσεων να σέβονται την ιδιωτική ζωή και να οικοδομούν εμπιστοσύνη.

Τα δεδομένα μας είναι πολύτιμα. Ακόμα και αν διαφωνείτε, πολλοί οργανισμοί και ομάδες θα πληρώσουν αδρά για να αποκτήσουν πρόσβαση σε αυτά και δεν έχουν όλοι το συμφέρον σας κατά νου. Έχετε όμως τη δύναμη να αναλάβετε τον έλεγχο των δεδομένων σας.

Το τοπίο των της διεθνούς νομοθεσίας για την προστασία της ιδιωτικής ζωής έχει αλλάξει σημαντικά από την καθιέρωση της Ημέρας Προστασίας Δεδομένων το 2007. Κανονισμοί και νόμοι σε όλο τον κόσμο, όπως ο GDPRπου εφαρμόζεται στην Ευρωπαϊκή Ένωση, θέτουν αυστηρές απαιτήσεις στις επιχειρήσεις και παρέχουν δικαιώματα στους πολίτες.

Η Ημέρα Προστασίας Προσωπικών Δεδομένων αποτελεί μια ευκαιρία για οργανισμούς και πολίτες να ευαισθητοποιηθούν σχετικά με την προστασία της ιδιωτικής ζωής και των δεδομένων, να υιοθετήσουν τις βέλτιστες πρακτικές και να συζητήσουν γιατί η προστασία της ιδιωτικής ζωής έχει σημασία.

Στόχος της Ημέρας Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι η ευαισθητοποίηση σχετικά με την προστασία της ιδιωτικής ζωής στο διαδίκτυο. Η ιδιωτικότητα των δεδομένων πρέπει να αποτελεί προτεραιότητα τόσο για τα άτομα όσο και για τους οργανισμούς.

 

Ο σκοπός είναι διττός:

  • να βοηθήσει τους πολίτες να κατανοήσουν ότι έχουν τη δυνατότητα να διαχειρίζονται τα δεδομένα τους
  • να βοηθήσει τους οργανισμούς να κατανοήσουν γιατί είναι απαραίτητο να σέβονται τα δεδομένα των χρηστών τους

 

Γιατί είναι σημαντική η Ημέρα Προστασίας Προσωπικών Δεδομένων;

Τα δεδομένα μας συλλέγονται καθημερινά – ο υπολογιστής μας, το smartphone μας και σχεδόν κάθε άλλη συσκευή που είναι συνδεδεμένη στο διαδίκτυο συλλέγει δεδομένα. Συχνά όμως έχουμε κάποιες επιλογές όσον αφορά τον τρόπο με τον οποίο αυτά τα δεδομένα συλλέγονται, μοιράζονται ή ακόμη και πωλούνται.

Τα προσωπικά δεδομένα μπορούν να αποθηκεύονται επ’ αόριστον. Τα δεδομένα μπορούν να χρησιμοποιηθούν για την εξαγωγή συμπερασμάτων σχετικά με την κοινωνικοοικονομική μας κατάσταση, τα δημογραφικά στοιχεία και τις προτιμήσεις μας.

Ακόμη και φαινομενικά αθώες πληροφορίες, όπως τα αγαπημένα σας εστιατόρια ή τα αντικείμενα που αγοράζετε μέσω διαδικτύου, μπορούν να χρησιμοποιηθούν για να γίνουν υποθέσεις σχετικά με εσάς και τις συνήθειές σας. Πολλές εταιρείες έχουν τη δυνατότητα να παρακολουθούν τα δεδομένα των χρηστών και των καταναλωτών τους και πωλούν τα δεδομένα για κέρδος.

Αν αυτή η πραγματικότητα σας φαίνεται τρομακτική, τότε είναι η κατάλληλη στιγμή να λάβετε μέτρα για να ελέγξετε τον τρόπο με τον οποίο διαμοιράζονται τα δεδομένα σας.

Δεν μπορείτε να κλειδώσετε όλα τα δεδομένα σας – ακόμη και αν σταματήσετε να χρησιμοποιείτε το διαδίκτυο, οι εταιρείες πιστωτικών καρτών και οι τράπεζες καταγράφουν τις αγορές σας.

Μπορείτε όμως να λάβετε απλά μέτρα για τη διαχείρισή τους και να αποκτήσετε μεγαλύτερο έλεγχο σχετικά με το σε ποιους μοιράζονται.

 

Τα δεδομένα σας λένε την ιστορία σας

Οι ιστότοποι, οι εφαρμογές και οι υπηρεσίες συλλέγουν δεδομένα σχετικά με τη συμπεριφορά, τα ενδιαφέροντα και τις αγορές σας. Μερικές φορές, αυτά περιλαμβάνουν προσωπικά δεδομένα, άλλες φορές περιλαμβάνουν ευαίσθητα δεδομένα σχετικά με την υγεία σας – σκεφτείτε πώς ένα έξυπνο ρολόι μετράει και καταγράφει πόσα βήματα κάνετε.

Αν και είναι αλήθεια ότι δεν μπορείτε να ελέγξετε τον τρόπο με τον οποίο μοιράζεται και επεξεργάζεται κάθε byte των δεδομένων σας, μπορείτε όμως να επηρεάσετε τον τρόπο με τον οποίο αυτά διαμοιράζονται με μερικά απλά βήματα.

Να θυμάστε, τα δεδομένα σας είναι πολύτιμα και σας αξίζει να είστε επιλεκτικοί με ποιον τα μοιράζεστε!

Ακολουθούν μερικές απλές συμβουλές που θα σας βοηθήσουν να διαχειριστείτε το απόρρητο των δεδομένων σας:

 

Γνωρίστε το συμβιβασμό μεταξύ ιδιωτικότητας και ευκολίας

Όταν κατεβάζετε μια νέα εφαρμογή, ανοίγετε έναν νέο διαδικτυακό λογαριασμό ή γίνεστε μέλος σε μια νέα πλατφόρμα κοινωνικής δικτύωσης, συχνά θα σας ζητηθεί πρόσβαση στις προσωπικές σας πληροφορίες πριν καν τη χρησιμοποιήσετε!

Τα δεδομένα αυτά μπορεί να περιλαμβάνουν τη γεωγραφική σας θέση, τις επαφές και τις φωτογραφίες σας.

Για τις επιχειρήσεις πίσω από τις εφαρμογές, οι προσωπικές σας πληροφορίες έχουν τεράστια αξία – και θα πρέπει να εξετάσετε αν η υπηρεσία που θα λάβετε ως αντάλλαγμα αξίζει τα δεδομένα που πρέπει να παραδώσετε, ακόμη και αν η υπηρεσία είναι δωρεάν.

Λάβετε τεκμηριωμένες αποφάσεις σχετικά με την κοινοποίηση των δεδομένων σας σε επιχειρήσεις ή υπηρεσίες:

  • Αξίζει η υπηρεσία, η εφαρμογή ή το παιχνίδι την ποσότητα ή τον τύπο των προσωπικών δεδομένων που θέλουν ως αντάλλαγμα;
  • Μπορείτε να ελέγξετε το απόρρητο των δεδομένων σας και να εξακολουθείτε να χρησιμοποιείτε την υπηρεσία;
  • Είναι τα δεδομένα που ζητούνται σχετικά με την εφαρμογή ή την υπηρεσία (δηλαδή, “γιατί ένα παιχνίδι χρειάζεται να γνωρίζει όλες τις επαφές μου”);
  • Εάν δεν έχετε χρησιμοποιήσει μια εφαρμογή, υπηρεσία ή λογαριασμό εδώ και αρκετούς μήνες, αξίζει να τη διατηρήσετε γνωρίζοντας ότι μπορεί να συλλέγει και να μοιράζεται τα δεδομένα σας;

 

Προσαρμόστε τις ρυθμίσεις απορρήτου στο επίπεδο άνεσής σας

Ελέγξτε τις ρυθμίσεις απορρήτου και ασφάλειας για κάθε εφαρμογή, λογαριασμό ή συσκευή. Αυτές θα πρέπει να είναι εύκολο να βρεθούν στην ενότητα Ρυθμίσεις και η αλλαγή τους διαρκεί λίγα λεπτά.

Ρυθμίστε τις στο επίπεδο άνεσής σας για την κοινοποίηση προσωπικών πληροφοριών. Γενικά, είναι συνετό να προτιμάτε να κοινοποιείτε λιγότερα δεδομένα, όχι περισσότερα.

Δεν χρειάζεται να το κάνετε αυτό για κάθε λογαριασμό ταυτόχρονα. Ξεκινήστε για μερικές ρυθμίσεις για μία ή δύο εφαρμογές και με την πάροδο του χρόνου θα συνηθίσετε να προσαρμόζετε όλες τις ρυθμίσεις στην άνεσή σας.

Καθαρίστε τα cookies. Όλοι έχουμε κάνει κλικ στο “αποδοχή cookies” χωρίς να γνωρίζουμε τι σημαίνει αυτό. Η τακτική εκκαθάριση των cookies από το πρόγραμμα περιήγησης θα αφαιρέσει ορισμένες πληροφορίες που τοποθετούνται στη συσκευή σας, συχνά για διαφημιστικούς σκοπούς.

Ωστόσο, τα cookies μπορεί να αποτελέσουν κίνδυνο για την ασφάλεια, καθώς οι κακόβουλοι δρώντες μπορούν εύκολα να υποκλέψουν αυτά τα αρχεία.

Δοκιμάστε προγράμματα περιήγησης που προστατεύουν την ιδιωτικότητα. Η φροντίδα της διαδικτυακής σας ιδιωτικότητας μπορεί να σας φαίνεται περίπλοκη, αλλά ορισμένα προγράμματα περιήγησης κάνουν το έργο αυτό λίγο πιο εύκολο.

Πολλά προγράμματα περιήγησης «μπλοκάρουν» τα cookies τρίτων και διαθέτουν από προεπιλογή ισχυρές ρυθμίσεις απορρήτου. Η αλλαγή των προγραμμάτων περιήγησης είναι απλή και μπορεί να είναι πολύ αποτελεσματική για την προστασία της ιδιωτικής σας ζωής.

 

Προστατέψτε τα δεδομένα σας

Το απόρρητο των δεδομένων και η ασφάλεια των δεδομένων πάνε χέρι-χέρι. Μαζί με τη διαχείριση των ρυθμίσεων απορρήτου των δεδομένων σας, ακολουθήστε τέσσερις απλές συμβουλές για την ασφάλεια στον κυβερνοχώρο για να τα διατηρήσετε ασφαλή:

  1. Δημιουργήστε μεγάλους (τουλάχιστον 12 χαρακτήρες) μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό και συσκευή. Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για την εύκολη και ασφαλή αποθήκευση κάθε κωδικού πρόσβασης.
  2. Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) όπου επιτρέπεται – αυτό διατηρεί τα δεδομένα σας ασφαλή, ακόμη και αν ο κωδικός πρόσβασης παραβιαστεί.
  3. Ενεργοποιήστε τις αυτόματες ενημερώσεις συσκευών, λογισμικού και προγραμμάτων περιήγησης ή βεβαιωθείτε ότι εγκαθιστάτε τις ενημερώσεις αμέσως μόλις είναι διαθέσιμες.
  4. Μάθετε πώς να αναγνωρίζετε τα μηνύματα phishing, τα οποία μπορεί να αποστέλλονται ως μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα κειμένου ή άμεσα μηνύματα.

 

Μπορείτε να κατεβάσετε το infographic που ετοιμάσαμε για την Ημέρα Προστασίας των Προσωπικών Δεδομένων. Μοιραστείτε το με τους φίλους σας και την οικογένειά σας και συζητήστε τρόπους για την προστασία των δεδομένων σας.

Πάρτε τον έλεγχο των δεδομένων σας τώρα!

Το άρθρο αυτό εκπονήθηκε στο πλαίσιο του έργου “Increasing Civic Engagement in the Digital Agenda — ICEDA” με την υποστήριξη της Ευρωπαϊκής Ένωσης και του South East Europe (SEE) Digital Rights Network. Το περιεχόμενο αυτού του άρθρου δεν θα πρέπει να θεωρείται ότι αποτελεί επίσημη θέση της Ευρωπαϊκής Ένωσης ή του SEΕ.

* Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.


Υποβολή Σχολίων για το Σχ. Νόμου για τη διαδικασία άρσης του απορρήτου

Σήμερα, η Ομάδα Legal & Policy της Homo Digitalis υπέβαλε τα σχόλιά της στο πλαίσιο της ανοιχτής διαβούλευσης του Υπουργείου Δικαιοσύνης επί του σχεδίου νόμου με τίτλο «Διαδικασία Άρσης του Απορρήτου Των Επικοινωνιών, Κυβερνοασφάλεια και Προστασία Προσωπικών Δεδομένων Πολίτων»

H Ηοmo Digitalis χαιρετίζει την υποβολή του παρόντος Σχ. Νόμου για την ρύθμιση της διαδικασίας άρσης του απορρήτου των επικοινωνιών, συμπεριλαμβανομένης της αναδιάρθρωσης της Εθνικής Υπηρεσίας Πληροφοριών (ΕΥΠ) και του ποινικού κολασμού της εμπορίας, κατοχής και χρήσης απαγορευμένων λογισμικών παρακολούθησης στα Κεφάλαια Β έως Ε του παρούντος Σχ. Νόμου.Τα ζητήματα άρσης απορρήτου των επικοινωνιών χρήζουν διευκρίνισης, ώστε να διασφαλιστεί το κύρος της διαδικασίας και να εξασφαλιστεί το Συνταγματικά κατοχυρωμένο δικαίωμα του απορρήτου των επικοινωνιών (βλέπετε Άρθρο 19 του Συντάγματος). Παρά το γεγονός ότι το νομοσχέδιο παρουσιάζει έναν περιορισμένο αριθμό θετικών στοιχείων, βρίθει σειράς προβληματικών ρυθμίσεων, τις οποίες υπογραμμίζουμε στα σχόλια μας, ενώ η θεσμική παράλειψη της συμπερίληψης της ΑΔΑΕ στη νομοπαρασκευαστική διαδικασία δημιουργεί σημαντικές προκλήσεις. Η Homo Digitalis καλεί το Υπουργείο Δικαιοσύνης να λάβει σοβαρά υπόψη τις σχετικές παρατηρήσεις της ΑΔΑΕ επί των διατάξεων του παρόντος Σχ. Νόμου, όπως αυτές έχουν αναρτηθεί στον ιστότοπο της και στην παρούσα δημόσια διαβούλευση. Η Homo Digitalis συντάσσεται τις παρατηρήσεις αυτές στο σύνολό τους.

Επίσης, η Homo Digitalis χαιρετίζει την τροποποίηση των εθνικών ρυθμίσεων ενσωμάτωσης στην εθνική έννομη τάξη της Οδηγίας 2016/680 στον ν.4624/2019 στο Κεφάλαιο ΣΤ του παρόντος Σχ.Νόμου, η οποία αποτελεί απόρροια της υποβολή σχετικής καταγγελίας ενώπιον της Ευρωπαϊκής Επιτροπής από τη Homo Digitalis τον Οκτώβριο του 2019, και των σχετικών διαβουλεύσεων που εκκινήθηκαν από την Επιτροπή με το Ελληνικό Κράτος. Η εν λόγω αναθεώρηση  καίτοι μετά την πάροδο της ταχθείσας από την Ευρωπαϊκή Επιτροπή ημερομηνία συμμόρφωσης του Ελληνικού Κράτους (Ιούνιος 2022), διασφαλίζει τη συμμόρφωση με το Ευρωπαϊκό Δίκαιο και εξασφαλίζει το Συνταγματικά κατοχυρωμένο δικαίωμα στην προστασία των προσωπικών δεδομένων (βλέπετε Άρθρο 9Α του Συντάγματος).

Μπορείτε να διαβάσετε αναλυτικά όλα τα σχόλια μας στην ιστοσελίδα της Δημόσια Διαβούλευσης ή εδώ.


Έγκλημα στο διαδίκτυο: Μία γενική επισκόπηση

Γράφει η Κατερίνα Μεζίνη*

Ο κυβερνοχώρος έχει αναδειχθεί ως το βασικό μέσο επικοινωνίας της σύγχρονης εποχής. Όπως χαρακτηριστικά έχει υποστηριχθεί: «Δεν θα ήταν υπερβολή εάν λέγαμε ότι η κοινωνία, η διοίκηση και η οικονομία είναι σε πολύ μεγάλο βαθμό εξαρτημένες από την αποτελεσματικότητα και την ασφάλεια των πληροφορικών συστημάτων». Οι εν λόγω εξελίξεις δεν έχουν αφήσει ανεπηρέαστη μία ακόμη πτυχή της κοινωνίας μας, την εγκληματικότητα και κατ’ επέκταση το ποινικό δίκαιο. Η τεχνολογική καινοτομία, όπως έχει αποδειχθεί και στην πράξη, μπορεί να αξιοποιηθεί για κοινωνικό καλό, αλλά εξίσου εύκολα και για κακόβουλους και παράνομους σκοπούς. Καθώς οι κοινωνίες βασίζονται όλο και περισσότερο στις πληροφορίες και την τεχνολογία, γίνονται όλο και πιο ευάλωτες στον κίνδυνο του εγκλήματος στον κυβερνοχώρο.

Ο κυβερνοχώρος εμφανίζεται συχνά στο ποινικό δίκαιο είτε ως πεδίο εγκληματικής συμπεριφοράς (ως τόπος ή ως εργαλείο  του εγκλήματος ) είτε ως μέσο άντλησης των αποδείξεων.

Ηλεκτρονικό Έγκλημα θεωρείται η αξιόποινη εγκληματική πράξη που τελείται με τη χρήση ηλεκτρονικών μέσων. Ανάλογα με τον τρόπο τέλεσης τα ηλεκτρονικά εγκλήματα διαχωρίζονται σε εγκλήματα τελούμενα με τη χρήση Ηλεκτρονικών Υπολογιστών (computer crimes) και, εάν τελέσθηκαν μέσω του Διαδικτύου, σε Κυβερνοεγκλήματα (cyber crimes).

Επιπλέον από τη θεωρία γίνεται ένας επιπλέον διαχωρισμός μεταξύ αδικημάτων που τελούνται αποκλειστικά μέσω (ή και κατά) ηλεκτρονικών συσκευών (κυβερνοεγκλημα με τη στενή έννοια) και αδικημάτων για τα οποία ο Η/Υ είναι βοηθητικό μέσο (κυβερνοέγκλημα με την ευρεία έννοια).

Μεταξύ των παραγόντων που ευνοούν την εν λόγω εγκληματικότητα και ωθούν τους δράστες στη διάπραξη αυτών των εγκλημάτων συγκαταλέγεται η δυνατότητα απόστασης μεταξύ δράστη και θύματος. Η φυσική παρουσία του δράστη στον τόπο του εγκλήματος δεν είναι πλέον αναγκαία. Τα παραδοσιακά εδαφικά όρια δεν αποτελούν πλέον εμπόδιο. Κατ’ αυτόν τον τρόπο, αίρεται ο ηθικός και ο συναισθηματικός φραγμός που συγκρατεί το άτομο από τη διενέργεια εγκληματικών πράξεων.

Ένα από τα βασικά χαρακτηριστικά του κυβερνοεγκλήματος είναι πως αυτό δε γνωρίζει σύνορα, μπορεί δηλαδή να λάβει διεθνείς και διασυνοριακές διαστάσεις. Επιπλέον η ανωνυμία του δράστη αλλά και οι δυνατότητες που δίνει το διαδίκτυο για το δυσχερέστερο εντοπισμό του (πχ. η ανώνυμη περιήγηση, η περιήγηση με τη χρήση VPN κ.α.)  αποτελούν παράγοντες που παίζουν καταλυτικό ρόλο στην αύξηση της εγκληματικότητας στο διαδίκτυο.

Το ποινικό δίκαιο δεν παρέμεινε αδρανές στην απειλητική εμφάνιση και ραγδαία αύξηση του διαδικτυακού εγκλήματος. Αλλά και η εγκληματολογική επιστήμη έχει κάνει σημαντικά βήματα και έχει σημειώσει πρόοδο στην εξιχνίαση των εγκλημάτων και την αποκάλυψη των δραστών.

Μπορείτε να επιλέξετε μία από τις παρακάτω ενότητες προκειμένου να διαβάσετε το σχετικό κείμενο.

Σε διεθνές επίπεδο, ένα σημαντικό βήμα προς τη κατεύθυνση της ποινικοποίησης των συμπεριφορών αυτών αποτέλεσε η Σύμβαση της Βουδαπέστης για το έγκλημα στον Κυβερνοχώρο. Η εν λόγω Σύμβαση υπεγράφη το 2001 στην Βουδαπέστη από τα Κράτη Μέλη του Συμβουλίου της Ευρώπης προκειμένου «να επιδιωχθεί κατά προτεραιότητα μία κοινή αντεγκληματική πολιτική που θα στοχεύει στην προστασία της κοινωνίας από το έγκλημα στον κυβερνοχώρο, κυρίως με την υιοθέτηση της κατάλληλης νομοθεσίας και την ενίσχυση της διεθνούς συνεργασίας».

Η εν λόγω Σύμβαση ήταν αναγκαία για να αποτρέψει τις ενέργειες που στρέφονται κατά των συστημάτων υπολογιστών, των δικτύων υπολογιστών και των ηλεκτρονικών δεδομένων καθώς και την μη νόμιμη χρήση αυτών των συστημάτων, με την ποινικοποίηση αυτής και την υιοθέτηση μέτρων για την αποτελεσματική καταπολέμηση αυτών των εγκληματικών πράξεων, διευκολύνοντας τον εντοπισμό, την έρευνα και την δίωξή τους ,τόσο σε τοπικό όσο και σε διεθνές επίπεδο και προβλέποντας ρυθμίσεις για ταχεία και αξιόπιστη διεθνή συνεργασία.

Στο πεδίο του ουσιαστικού ποινικού δικαίου, η εν λόγω Σύμβαση περιλαμβάνει τέσσερις κατηγορίες αδικημάτων για τα οποία τα συμβαλλόμενα κράτη θα πρέπει να θεσπίσουν κατάλληλα μέτρα:

Α) Εγκλήματα κατά της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των δεδομένων και συστημάτων υπολογιστών. Εδώ περιλαμβάνεται:

1) Η παράνομη πρόσβαση (ιδίως το γνωστό ως “hacking”).

2) Η υποκλοπή δια τεχνικών μέσων μη δημοσίων διαβιβάσεων δεδομένων υπολογιστή από και προς ή εντός ενός συστήματος υπολογιστή.

3) Οι Παρεμβολές σε δεδομένα (η άνευ δικαιώματος βλάβη, διαγραφή, φθορά, αλλοίωση ή καταστολή δεδομένων υπολογιστών, όταν αυτή διαπράττεται από πρόθεση).

4) Οι Παρεμβολές σε συστήματα (η άνευ δικαιώματος σοβαρή παρακώλυση της λειτουργίας ενός συστήματος υπολογιστή δια της εισαγωγής, διαβίβασης, βλάβης, διαγραφής, φθοράς, αλλοίωσης ή καταστολής δεδομένων υπολογιστή, όταν αυτή διαπράττεται από πρόθεση).

5) Η Κακή χρήση συσκευών (η εκ προθέσεως και άνευ δικαιώματος παραγωγή, πώληση, προμήθεια προς χρήση, εισαγωγή, διανομή ή άλλως διάθεση συσκευής ή κωδικών Η/Υ, κωδικών πρόσβασης ή συναφών δεδομένων με σκοπό τη διάπραξη των παραπάνω εγκλημάτων).

Β) Εγκλήματα σχετικά με υπολογιστές. Εδώ περιλαμβάνεται η:

1)Πλαστογραφία σχετική με υπολογιστές (δηλαδή η από πρόθεση και άνευ δικαιώματος εισαγωγή, αλλοίωση, διαγραφή ή καταστολή δεδομένων υπολογιστή, που έχει ως αποτέλεσμα την παραγωγή μη αυθεντικών δεδομένων, με σκοπό να θεωρηθούν αυτά αυθεντικά ή να γίνουν ενέργειες με βάση αυτά ωσάν να είναι αυθεντικά για νόμιμους σκοπούς, ασχέτως του εάν αυτά τα δεδομένα είναι ή όχι άμεσα αναγνώσιμα ή αντιληπτά).

2) Η απάτη σχετική με υπολογιστές (η από πρόθεση και άνευ δικαιώματος πρόκληση απώλειας ξένης περιουσίας δια της α) εισαγωγής, αλλοίωσης, διαγραφής ή καταστολής δεδομένων υπολογιστή, β) παρέμβασης στη λειτουργία ενός συστήματος υπολογιστή με δόλια ή αθέμιτη πρόθεση για να προσπορισθεί, άνευ δικαιώματος, οικονομικό όφελος για τον ίδιο ή για άλλο πρόσωπο).

Γ) Εγκλήματα σχετικά με το περιεχόμενο

Εδώ περιλαμβάνονται εγκλήματα σχετικά με την παιδική πορνογραφία, δηλαδή η από πρόθεση παραγωγή με σκοπό τη διανομή, η προσφορά ή διάθεση, η διανομή ή μετάδοση, η προμήθεια για ιδία χρήση ή για άλλο πρόσωπο και η κατοχή παιδικής πορνογραφίας σε ένα σύστημα υπολογιστή.

Ενδιαφέρον είναι να αναφερθεί πως ο όρος παιδική πορνογραφία περιλαμβάνει πορνογραφικό υλικό που απεικονίζει οπτικά:

α. ένα ανήλικο να εμπλέκεται σε σαφώς σεξουαλική συμπεριφορά

β. ένα πρόσωπο που φαίνεται ότι είναι ανήλικο να συμμετέχει σε σαφώς σεξουαλική συμπεριφορά,

γ. ρεαλιστικές εικόνες που απεικονίζουν ένα ανήλικο να εμπλέκεται σε σαφώς σεξουαλική συμπεριφορά (περιλαμβάνονται ζωγραφιές, κινούμενα σχέδια κ.τ.λ.)

Δ) Εγκλήματα σχετικά με παραβιάσεις συγγραφικών και συγγενικών δικαιωμάτων

Σημαντικό είναι στο σημείο αυτό να επισημανθεί πως την εν λόγω Σύμβαση ακολούθησε το Πρόσθετο Πρωτόκολλο (της 28ης /1/2003)  της Σύμβασης για το έγκλημα στον κυβερνοχώρο. Το εν λόγω νομοθετικό κείμενο υποχρεώνει τα κράτη μέλη να ποινικοποιήσουν στο εσωτερικό ποινικό τους δίκαιο πράξεις όπως τη διάδοση ρατσιστικού και ξενοφοβικού υλικού μέσω συστημάτων υπολογιστών, την απειλή και την προσβολή με ρατσιστικά και ξενοφοβικά κίνητρα, καθώς και την άρνηση, την υποβάθμιση της σημασίας, την έγκριση ή δικαιολόγηση γενοκτονίας ή εγκλημάτων κατά της ανθρωπότητας.

Επιπλέον, η ΕΕ έχει θεσπίσει πλήθος οδηγιών για την αντιμετώπιση του διαδικτυακού εγκλήματος. Η οδηγία 2011/92/ΕΕ σχετικά με την καταπολέμηση της σεξουαλικής κακοποίησης και της σεξουαλικής εκμετάλλευσης παιδιών και της παιδικής πορνογραφίας καθώς και η Οδηγία 2013/40/ΕΕ για τις επιθέσεις κατά των συστημάτων πληροφορικής με την οποία καταργήθηκε η απόφαση-πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου της 24.12.2005 αποτελούν χαρακτηριστικά παραδείγματα.

Το Ευρωπαϊκό Κοινοβούλιο (ΕΚ) ζήτησε την 14η/12/2021, μια ευρωπαϊκή οδηγία για την εξάλειψη της έμφυλης βίας στον κυβερνοχώρο. Η Ολομέλεια του ΕΚ υπερψήφισε την έκθεση νομοθετικής πρωτοβουλίας για την αντιμετώπιση της έμφυλης βίας στο διαδίκτυο με 513 ψήφους υπέρ, 122 κατά και 58 αποχές.

Στις 8 Μαρτίου 2022, η Επιτροπή υιοθέτησε πρόταση οδηγίας για την καταπολέμηση της βίας κατά των γυναικών και της εξ οικείων βίας (ενδοοικογενειακής βίας). Η οδηγία έχει ως στόχο να καταπολεμήσει και να ποινικοποιήσει την έμφυλη βία, στην οποία περιλαμβάνεται και η διαδικτυακή βία, η «κυβερνοβία». Ενδιαφέρον είναι να σημειωθεί πως το 2020 εκτιμήθηκε ότι 1 στις 2 νέες γυναίκες είχε υποστεί έμφυλη κυβερνοβία[1].

Οι ειδικότερες διατάξεις που αφορούν την κυβερνοβία είναι:

  • Μη συναινετική κοινοχρησία υλικού προσωπικής φύσης ή παραποιημένου υλικού (άρθρο 7). Το αδίκημα αυτό αφορά την χωρίς συναίνεση παραγωγή, επεξεργασία και θέση σε κατάσταση διαθεσιμότητας για πλήθος τελικών χρηστών μέσω τεχνολογιών πληροφοριών και επικοινωνιών εικόνων, βίντεο ή υλικού που απεικονίζουν σεξουαλικές δραστηριότητες ενός προσώπου.
  • Παρενοχλητική κυβερνοπαρακολούθηση (άρθρο 8), η οποία περιλαμβάνει:

α) την επανειλημμένη συμμετοχή σε απειλητική ή εκφοβιστική συμπεριφορά που απευθύνεται σε άλλο πρόσωπο, μέσω τεχνολογιών πληροφοριών και επικοινωνιών,

β) τη θέση άλλου προσώπου υπό συνεχή παρακολούθηση, χωρίς τη συναίνεση του εν λόγω προσώπου ή νόμιμη άδεια, μέσω τεχνολογιών πληροφοριών και επικοινωνιών,

γ) τη θέση υλικού που περιέχει τα δεδομένα προσωπικού χαρακτήρα άλλου προσώπου, χωρίς τη συναίνεση του εν λόγω προσώπου, σε κατάσταση προσβασιμότητας για πλήθος τελικών χρηστών, μέσω τεχνολογιών πληροφοριών και επικοινωνιών, με σκοπό την υποκίνηση των εν λόγω τελικών χρηστών να προκαλέσουν σωματική ή σημαντική ψυχολογική βλάβη στο εν λόγω πρόσωπο.

  • Κυβερνοπαρενόχληση (άρθρο 9), που συνίσταται στην έναρξη επίθεσης με τρίτους κατά άλλου προσώπου, καθιστώντας απειλητικό ή προσβλητικό υλικό προσβάσιμο για πλήθος τελικών χρηστών, μέσω τεχνολογιών πληροφοριών και επικοινωνιών, με αποτέλεσμα την πρόκληση σημαντικής ψυχολογικής βλάβης στο πρόσωπο που δέχεται την επίθεση.
  • Κυβερνοϋποκίνηση βίας ή μίσους (άρθρο 10), που συνίσταται στην υποκίνηση βίας ή μίσους κατά ομάδας προσώπων ή μέλους τέτοιας ομάδας προσδιοριζόμενης βάσει του βιολογικού ή του κοινωνικού φύλου, με τη διάδοση στο κοινό υλικού που περιέχει τέτοια υποκίνηση μέσω τεχνολογιών πληροφοριών και επικοινωνιών.

Επιπλέον προβλέπεται πως τα κράτη μέλη οφείλουν να διασφαλίζουν ότι τα θύματα μπορούν να αναφέρουν στις αρμόδιες αρχές τα ποινικά αδικήματα της βίας κατά των γυναικών ή της εξ οικείων βίας με εύκολο και προσβάσιμο τρόπο. Αυτό περιλαμβάνει τη δυνατότητα αναφοράς ποινικών αδικημάτων στο διαδίκτυο ή μέσω άλλων τεχνολογιών πληροφοριών και επικοινωνιών, συμπεριλαμβανομένης της δυνατότητας υποβολής αποδεικτικών στοιχείων, ιδίως όσον αφορά την καταγγελία ποινικών αδικημάτων κυβερνοβίας. Επιπλέον, περιλαμβάνει και την υποχρέωση για τη θέσπιση μέτρων για την απομάκρυνση του διαδικτυακού υλικού.

[1] Υπηρεσία Έρευνας του Ευρωπαϊκού Κοινοβουλίου (EPRS), Combating gender-based violence: Cyberviolence, European added value assessment, 2021 (Καταπολέμηση της έμφυλης βίας:  κυβερνοβία, αξιολόγηση της ευρωπαϊκής προστιθέμενης αξίας, 2021).

Η Σύμβαση της Βουδαπέστης για το έγκλημα στον κυβερνοχώρο κυρώθηκε με τον ν. 4411/2016 με τον οποίο μεταφέρθηκαν στο ελληνικό δίκαιο και οι διατάξεις της οδηγίας  2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών. Η ενσωμάτωση της σύμβασης στο ελληνικό δίκαιο έγινε με καθυστέρηση καθώς παρότι η χώρα μας υπέγραψε την 21/11/2001, την κύρωσε μετά την πάροδο 15 ετών!

Εν συντομία, οι διατάξεις του Ποινικού μας Κώδικα που θα μπορούσαμε να πούμε ότι αποτελούν το ελληνικό ποινικό δίκαιο του διαδικτύου είναι οι: 292Α, 292Β, 292Γ, 292Δ, 292Ε, 370 παρ.2, 370Α, 370Β, 370Γ, 370Δ, 370Ε,  348Α  παρ. 2, 386Α.

Αν έχετε πέσει θύμα ή υποψιάζεστε την τέλεση ενός από τα παραπάνω εγκλήματα θα πρέπει να απευθυνθείτε άμεσα στις αρμόδιες αρχές.

    • Η αρμόδια υπηρεσία είναι η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος.

Για οποιοδήποτε θέμα αφορά παραβατική συμπεριφορά μέσω Διαδικτύου, επικοινωνήστε με τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος με τους ακόλουθους τρόπους:

    • Τηλέφωνο : 11188
    • Email: ccu@cybercrimeunit.gov.gr
    • μέσω του portal σε αυτή τη διεύθυνση
    • Ταχυδρομική διεύθυνση: Λ. Αλεξάνδρας 173, Τ.Κ. 11522, Αθήνα

Ο ενδιαφερόμενος μπορεί πλέον να υποβάλει προς τη Δίωξη Ηλεκτρονικού Εγκλήματος μέσω της ψηφιακής πύλης της Δημόσιας Διοίκησης gov.gr, στην ενότητα «Πολίτης και καθημερινότητα» και την υποενότητα «Καταγγελίες», την καταγγελία του για:

    • Αδικήματα τελούμενα σε βάρος ανηλίκων μέσω διαδικτύου
    • Οικονομικά κυβερνοεγκλήματα όπου εμπλέκονται ηλεκτρονικά/ψηφιακά νομίσματα
    • Παραβίαση του απορρήτου των ηλεκτρονικών και τηλεφωνικών επικοινωνιών
    • Παράνομη διακίνηση οπτικοακουστικών έργων μέσω διαδικτύου
    • Παράνομη πρόσβαση σε ηλεκτρονικό υπολογιστή
    • Περιπτώσεις απάτης με υπολογιστή

Μετά την ολοκλήρωση της επεξεργασίας, ο πολίτης ενημερώνεται από την Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας για τυχόν επόμενα βήματα.

    • Για την υποβολή μιας καταγγελίας σχετικά με περιεχόμενο που συναντάς στο διαδίκτυο και το οποίο θεωρείς παράνομο, μπορείς να επικοινωνήσεις με τη SafeLine με έναν από τους παρακάτω τρόπους:

Συμπληρώνοντας την ηλεκτρονική φόρμα υποβολής καταγγελίας της ιστοσελίδας ή στέλνοντας e-mail στην ηλεκτρονική διεύθυνση report@safeline.gr

*Η Κατερίνα Μεζίνη είναι απόφοιτη του τμήματος Νομικής του ΕΚΠΑ και μεταπτυχιακή φοιτήτρια στο ΠΜΣ «Δίκαιο και Τεχνολογίες Πληροφορικής και Επικοινωνιών» του Πανεπιστημίου Πειραιώς.

ΠΗΓΕΣ:

    • Σύμβαση της Βουδαπέστης για το έγκλημα στον Κυβερνοχώρο.
    • Επίσημη ιστοσελίδα της Ελληνικής Αστυνομίας.
    • Ζέκος Γεώργιος, Διαδίκτυο και Τεχνητή Νοημοσύνη στο ελληνικό δίκαιο, εκδόσεις Σάκκουλα, 2022, σελ. 349 επ.
    • Ιγγλεζάκης Ιωάννης, Δίκαιο πληροφορικής, εκδόσεις Σάκκουλα, 2021, σελ. 399 επ.
    • Council of Europe action against Cybercrime, διαθέσιμο εδώ.
    • Ευρωπαϊκό Κοινοβούλιο, «Έμφυλη βία στο διαδίκτυο: το ΕΚ ζητά ευρωπαϊκή νομοθεσία για την αντιμετώπισή της», 14/12/2021, διαθέσιμο εδώ.
    • Πρόταση Οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την καταπολέμηση της βίας κατά των γυναικών και της εξ οικείων βίας, διαθέσιμη εδώ.


4 καλές συνήθειες για να είστε εσείς και οι αγαπημένοι σας πιο ασφαλείς

Γράφει ο Αναστάσιος Αραμπατζής*

 

Ο Οκτώβριος είναι ο μήνας ευαισθητοποίησης για την κυβερνοασφάλεια. Η πρωτοβουλία αυτή έχει ως στόχο να βοηθήσει τους πολίτες (αλλά και τις επιχειρήσεις) να προστατεύσουν τους εαυτούς τους από τους διάφορους κινδύνους που ελλοχεύουν στο διαδίκτυο.

Στο πλαίσιο των δράσεων για την αύξηση της ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας σε εθνικό και παγκόσμιο επίπεδο, οι κυβερνήσεις και οι επιχειρήσεις συνεργάζονται υπό την καθοδήγηση του ENISA στην Ευρωπαϊκή Ένωση και της Εθνικής Συμμαχίας για την Κυβερνοασφάλεια (National Cybersecurity Alliance, NCA), καθώς και του Οργανισμού για την Ασφάλεια στον Κυβερνοχώρο και την Ασφάλεια των Υποδομών (CISA) στις Ηνωμένες Πολιτείες.

Τα συνθήματα για τις φετινές εκστρατείες είναι “Think Before U Click” και “See Yourself in Cyber“. Αυτά καταδεικνύουν ότι παρόλο που η ασφάλεια στον κυβερνοχώρο μπορεί να είναι ένα περίπλοκο, τεχνικό θέμα, τελικά έχει να κάνει με τους ανθρώπους.

Ο καθένας μας έχει ένα ρόλο να παίξει στην κυβερνοασφάλεια, ανεξάρτητα από τη θέση που κατέχουμε.

    1. Οι πολίτες μπορούν να λάβουν απλές προφυλάξεις για να διασφαλίσουν την ψηφιακή τους ιδιωτικότητα και τις πληροφορίες τους.
    2. Οι πωλητές και οι προμηθευτές μπορούν να διασφαλίσουν τη φήμη της εταιρείας τους θέτοντας σε εφαρμογή ισχυρά μέτρα κυβερνοασφάλειας, ώστε να βοηθήσουν στην αποτροπή ενός περιστατικού είτε στην εταιρεία τους είτε στην εφοδιαστική αλυσίδα.
    3. Οι ιδιοκτήτες και οι φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας μπορούν να μάθουν πώς η εταιρεία τους συμβάλλει στη συνολική κυβερνοασφάλεια του οικοσυστήματος αλλά και του κράτους.

Ο μήνας ευαισθητοποίησης για την κυβερνοασφάλεια χρησιμεύει ως υπενθύμιση σε όλους ότι υπάρχουν πολυάριθμοι τρόποι για να διασφαλίσετε τα δεδομένα σας. Ακόμη και η εκμάθηση των βασικών αρχών της κυβερνοασφάλειας μπορεί να έχει σημαντικό αντίκτυπο.

Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων

Όλοι συμφωνούν ότι η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (multi-factor authentication, MFA) είναι η καλύτερη προφύλαξη για τον μετριασμό των επιθέσεων με χρήση κωδικών πρόσβασης.

Μια οδηγία του CISA υπογραμμίζει ότι “ο MFA είναι μια από τις σημαντικότερες πρακτικές κυβερνοασφάλειας για τη μείωση του κινδύνου εισβολής. Σύμφωνα με σχετική έρευνα, οι χρήστες που ενεργοποιούν τον MFA έχουν έως και 99% λιγότερες πιθανότητες να παραβιαστεί ένας λογαριασμός”.

Επομένως, είναι σημαντικό να ενεργοποιείται ο MFA όπου αυτό είναι δυνατό, υπογραμμίζει μία άλλη αναφορά του ENISA. Αυτό αφορά τόσο λογαριασμούς σε μέσα κοινωνικής δικτύωσης όσο και πιο ευαίσθητες εφαρμογές, όπως εφαρμογές τραπεζών.

Ένα λάθος που κάνουν ορισμένες επιχειρήσεις είναι ότι προστατεύουν με έλεγχο ταυτότητας πολλαπλών παραγόντων μόνο τους προνομιούχους λογαριασμούς τους, όπως οι διαχειριστές IT, και τους απομακρυσμένους χρήστες τους. Ωστόσο, κάθε εργαζόμενος και κάθε άτομο αποτελούν δυνητικό στόχο για τους επίδοξους hackers.

Ως εκ τούτου, ο MFA θα πρέπει να είναι ενεργοποιημένος για κάθε εργαζόμενο, ώστε να μειωθεί η πιθανότητα να παραβιάσουν οι επιτιθέμενοι έναν λογαριασμό.

Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για ισχυρούς, μοναδικούς κωδικούς πρόσβασης

Τα κλειδιά του ψηφιακού σας κάστρου είναι οι κωδικοί πρόσβασής σας. Θέλετε να λάβετε κάθε δυνατή προφύλαξη για να διατηρήσετε τους κωδικούς πρόσβασής σας ασφαλείς, όπως ακριβώς θα κάνατε και με τα κλειδιά του σπιτιού σας.

Όλοι οι κωδικοί πρόσβασης θα πρέπει να δημιουργούνται σύμφωνα με τρεις κατευθυντήριες αρχές, ανεξάρτητα από τους λογαριασμούς που προστατεύουν: μακρύς, μοναδικός, σύνθετος.

Εάν ο κωδικός πρόσβασής σας είναι μακρύς, ξεχωριστός και σύνθετος, η συμβουλή είναι να μην τον αλλάξετε ποτέ, εκτός εάν παρατηρήσετε ότι κάποιος άλλος χρησιμοποιεί τον συγκεκριμένο λογαριασμό χωρίς την άδειά σας ή ότι ο κωδικός πρόσβασης εκλάπη κατά τη διάρκεια παραβίασης δεδομένων. Οι πιο πρόσφατες οδηγίες του Εθνικού Ινστιτούτου Επιστημών και Τεχνολογίας (NIST) των ΗΠΑ υποστηρίζουν αυτή τη σύσταση.

Στην πραγματικότητα, αν αλλάζετε συχνά τους κωδικούς πρόσβασής σας, κινδυνεύετε να επαναλάβετε τους παλιούς ή να αναπτύξετε «ανθυγιεινές» συνήθειες, όπως η χρήση πανομοιότυπων ή αδύναμων κωδικών πρόσβασης.

Καθώς η ζωή μας έχει γίνει όλο και περισσότερο ψηφιακή και κάνουμε περισσότερα πράγματα στο διαδίκτυο, μπορεί πλέον να (δια)χειριζόμαστε πάνω από 100 κωδικούς πρόσβασης. Η δημιουργία, η αποθήκευση και η απομνημόνευση όλων αυτών των κωδικών πρόσβασης μπορεί να είναι μια μεγάλη ταλαιπωρία.

Ωστόσο, οι κωδικοί πρόσβασης αποτελούν την πρώτη γραμμή άμυνάς σας έναντι των κακόβουλων δρώντων και των παραβιάσεων δεδομένων. Οι φιλικοί προς το χρήστη διαχειριστές κωδικών πρόσβασης (password managers) μπορούν να κάνουν τη διαχείριση των κωδικών σας πιο απλή από ποτέ.

Ένας διαχειριστής κωδικών πρόσβασης παρέχει τον ευκολότερο τρόπο για τη δημιουργία και τη διατήρηση ισχυρών κωδικών πρόσβασης για τον αυξανόμενο αριθμό διαδικτυακών λογαριασμών στους οποίους συνδεόμαστε.

Με τη χρήση ενός διαχειριστή κωδικών πρόσβασης, μπορείτε να αποφύγετε τη χρήση ενός ακατάστατου αυτοκόλλητου σημειώματος στην οθόνη του υπολογιστή σας με τους πιο σημαντικούς κωδικούς πρόσβασης ή ενός περίπλοκου σημειωματάριου χωμένου σε ένα συρτάρι. Το μόνο που χρειάζεται να θυμάστε για να αποκτήσετε πρόσβαση στο θησαυροφυλάκιο του διαχειριστή κωδικών πρόσβασης είναι ένας ισχυρός κωδικός πρόσβασης.

Να ενημερώνετε πάντα το λογισμικό σας

Η ενημέρωση του λογισμικού και των εφαρμογών σας είναι ένας από τους απλούστερους τρόπους για να διατηρείτε τις πληροφορίες σας ασφαλείς. Οι ενημερώσεις λογισμικού είναι μια απλή μέθοδος για να είστε ένα βήμα μπροστά από τους κακούς, επειδή μπορείτε να είστε σίγουροι ότι πάντα αναζητούν νέους τρόπους πρόσβασης στα δεδομένα σας μέσω ευάλωτου λογισμικού.

Ορισμένοι σημαντικοί λόγοι προκειμένου να ενημερώσετε άμεσα το λογισμικό σας είναι οι ακόλουθοι:

    1. Κλείνετε τα κενά ασφαλείας. Οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή σας εξαιτίας ελαττωμάτων του λογισμικού. Οι κυβερνοεγκληματίες θεωρούν αυτά τα ελαττώματα ως ξεκλείδωτες πόρτες που τους παρέχουν πρόσβαση για να μολύνουν τα συστήματα με κακόβουλο λογισμικό. Οι ενημερώσεις ασφαλείας λογισμικού κλείνουν αυτές τις ανοιχτές πύλες.
    2. Διασφαλίζετε τα δεδομένα σας. Ένας επιτιθέμενος που αποκτά πρόσβαση μέσω ενός κενού ασφαλείας λογισμικού θα αναζητήσει εμπιστευτικά έγγραφα, κωδικούς πρόσβασης και άλλα προσωπικά δεδομένα, όπως οικονομικές πληροφορίες. Τα δεδομένα σας προστατεύονται καλύτερα όταν το λογισμικό ενημερώνεται για την αντιμετώπιση των κενών ασφαλείας.

Όταν κατεβάζετε και εγκαθιστάτε ενημερώσεις, οι ακόλουθες συμβουλές μπορεί να φανούν χρήσιμες:

    1. Κατεβάζετε ενημερώσεις λογισμικού αποκλειστικά από την πηγή που τις παρήγαγε. Ποτέ μην χρησιμοποιείτε λογισμικό που έχει σπάσει, είναι πειρατικό ή έχει χρησιμοποιηθεί χωρίς άδεια χρήσης (ακόμη και αν σας το έδωσε φίλος/φίλη σας). Αυτά συχνά έχουν ιούς και δημιουργούν περισσότερα προβλήματα από όσα διορθώνουν.
    2. Αυτοματοποιήστε τη διαδικασία. Η δυνατότητα αυτόματης ενημέρωσης του προγράμματός σας προσφέρεται συνήθως ως προεπιλογή από λογισμικό αξιόπιστων προμηθευτών. Μην αλλάξετε αυτή τη ρύθμιση.

Αναγνωρίστε phishing μηνύματα

Το ηλεκτρονικό “ψάρεμα” (phishing) είναι μια δημοφιλής τακτική των κυβερνοεγκληματιών, αλλά δεν χρειάζεται να την πατήσετε. Στην πλειονότητα των επιθέσεων στον κυβερνοχώρο, οι εγκληματίες χρησιμοποιούν την κοινωνική μηχανική και το κάνουν επειδή είναι αποτελεσματική.

Ο καθένας μπορεί να πέσει θύμα του σωστού «δολώματος» τη λάθος στιγμή. Εκτός από πολλές άλλες επιχειρήσεις, όπως το Twitter, η Sony και η Google, η κοινωνική μηχανική έχει επίσης χρησιμοποιηθεί για να θέσει σε κίνδυνο ανθρώπους και οικογένειες.

Οι εγκληματίες του κυβερνοχώρου είναι όλο και πιο πειστικοί σε πολλές από τις απόπειρες phishing. Σύμφωνα με την Jessica Barker, ένας από τους λόγους που η κοινωνική μηχανική είναι τόσο αποτελεσματική είναι ότι θα χειραγωγήσει τα συναισθήματά μας για να διαστρεβλώσει την κρίση μας. Τα πάντα εξαρτώνται από το πώς προσλαμβάνουμε τις πληροφορίες.

Σύμφωνα με τη θεωρία της συμπεριφοράς, υπάρχουν δύο τρόποι με τους οποίους ο καθένας μας επεξεργάζεται τις πληροφορίες: γρήγορα και αργά. Όταν σκεφτόμαστε αργά, είμαστε συγκροτημένοι, σκεπτόμενοι και λογικοί. Οι εγκληματίες του κυβερνοχώρου θέλουν να σκεφτόμαστε διαφορετικά.

Θέλουν να μας αναγκάσουν να σκεφτόμαστε γρήγορα, ώστε να είμαστε ευάλωτοι, συναισθηματικοί και εύκολα ελεγχόμενοι. Ως εκ τούτου, οι εγκληματίες του κυβερνοχώρου χειρίζονται τα συναισθήματά μας για να μας πείσουν να κάνουμε κλικ σε αμφισβητήσιμους συνδέσμους, να κατεβάσουμε επικίνδυνα συνημμένα αρχεία και να αποκαλύψουμε τα διαπιστευτήριά μας.

Αφιερώστε μερικά δευτερόλεπτα για να βεβαιωθείτε ότι το μήνυμα ηλεκτρονικού ταχυδρομείου ή το μήνυμα SMS προέρχεται από τον παραλήπτη που φαίνεται να το έστειλε, προτού κάνετε κλικ σε συνδέσμους ή κατεβάσετε τα συνημμένα αρχεία. Ακολουθούν ορισμένες σύντομες οδηγίες για την αναγνώριση ενός μηνύματος phishing:

    • Περιέχει μια προσφορά που φαίνεται πολύ καλή για να είναι αληθινή;
    • Χρησιμοποιεί απειλητική, τρομακτική ή επείγουσα γλώσσα;
    • Ζητάει την αποστολή προσωπικών πληροφοριών;
    • Υπάρχει η αίσθηση του επείγοντος να ανοίξετε έναν άγνωστο σύνδεσμο ή συνημμένο αρχείο;
    • Πρόκειται για ένα περίεργο επαγγελματικό αίτημα;
    • Ταιριάζει η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα με την επιχείρηση από την οποία προέρχεται; Δώστε προσοχή σε μικρά ορθογραφικά λάθη όπως Anazon.com ή Pavpal.com.

Η αναγνώριση ενός μηνύματος που αποτελεί μέρος της εκστρατείας ηλεκτρονικού “ψαρέματος” είναι το δύσκολο κομμάτι. Το μόνο που απομένει να κάνετε είναι να το αναφέρετε. Αναφέρετε το μήνυμα ηλεκτρονικού ταχυδρομείου το συντομότερο δυνατό στον υπεύθυνο πληροφορικής ή στον υπεύθυνο ασφαλείας, αν βρίσκεστε στον χώρο εργασίας σας και έχει σταλεί στη διεύθυνση ηλεκτρονικού ταχυδρομείου της εργασίας σας.

Εάν το μήνυμα ηλεκτρονικού ταχυδρομείου εστάλη στην προσωπική σας διεύθυνση ηλεκτρονικού ταχυδρομείου, μην ακολουθήσετε τις οδηγίες. Μην απαντήσετε στο μήνυμα ηλεκτρονικού ταχυδρομείου και μην κάνετε κλικ σε κανένα σύνδεσμο.

Πατήστε απλώς το κουμπί διαγραφής. Μπορείτε να ενισχύσετε την ασφάλειά σας μπλοκάροντας τη διεύθυνση αποστολής από το πρόγραμμα ηλεκτρονικού ταχυδρομείου σας.

Όλοι έχουν δικαίωμα σε ένα ασφαλές διαδίκτυο, οπότε ας θυμόμαστε: #BeCyberSmart.

*Ο Αναστάσιος Αραμπατζής είναι μέλος της Homo Digitalis, απόστρατος Αξιωματικός της Πολεμικής Αεροπορίας με πάνω από 25 χρόνια εμπειρία σε θέματα ασφάλειας πληροφοριών. Κατά τη θητεία του στην Π.Α. ήταν πιστοποιημένος αξιολογητής του ΝΑΤΟ σε θέματα κυβερνοασφάλειας και έχει τιμηθεί για τις γνώσεις του και την απόδοσή του. Άρθρα του έχουν δημοσιευθεί σε πληθώρα έγκριτων ιστοσελίδων.


Ψηφιακή Προσβασιμότητα: Η πρόσβαση των ανάπηρων ατόμων και των ατόμων με μαθησιακές δυσκολίες στο διαδίκτυο

Γράφει η Κατερίνα Μεζίνη*

Οι περισσότεροι από εμάς χρησιμοποιούμε καθημερινά προϊόντα και υπηρεσίες του διαδικτύου χωρίς καν να το αντιλαμβανόμαστε. Επικοινωνούμε με άλλα άτομα, κάνουμε τραπεζικές συναλλαγές, πραγματοποιούμε διαδικτυακές αγορές, ενημερωνόμαστε και ψυχαγωγούμαστε μέσω του διαδικτύου.

Φαίνεται φυσικό για μερικούς από εμάς, αλλά για άλλους είναι μια καθημερινή πρόκληση.

Σύμφωνα με στοιχεία που παρέχει ο Παγκόσμιος Οργανισμός Υγείας Πάνω από 1 δισεκατομμύριο άνθρωποι εκτιμάται ότι βιώνουν αναπηρία. Αυτό αντιστοιχεί περίπου στο 15% του παγκόσμιου πληθυσμού.

Από την άλλη πλευρά, η δυσλεξία είναι η πιο συχνή μαθησιακή δυσκολία και, σύμφωνα με τη Διεθνή Οργάνωση για τη Δυσλεξία, επηρεάζει περίπου το 10% του παγκόσμιου πληθυσμού.

Πόσο εύκολο είναι για αυτά τα άτομα να έχουν πρόσβαση στο διαδίκτυο και στις υπηρεσίες που προσφέρει;

Σύμφωνα με το κοινωνικό μοντέλο της αναπηρίας, η αναπηρία είναι η κατάσταση την οποία βιώνει ένα άτομο λόγω φυσικών και κοινωνικών φραγμών που θέτει η ίδια η κοινωνία.

Ως «προσβασιμότητα», γενικά, ορίζεται «το χαρακτηριστικό του φυσικού, δομημένου και ψηφιακού περιβάλλοντος, που επιτρέπει σε όλα τα άτομα – χωρίς διακρίσεις φύλου, ηλικίας και λοιπών χαρακτηριστικών, όπως σωματική διάπλαση, δύναμη, αντίληψη, εθνικότητα − να έχουν πρόσβαση σε αυτό, δηλαδή να μπορούν αυτόνομα, με ασφάλεια και με άνεση να προσεγγίσουν και να χρησιμοποιήσουν τις υποδομές, αλλά και τις υπηρεσίες και τα αγαθά που διατίθενται στο συγκεκριμένο περιβάλλον.»

Ο όρος προσβασιμότητα στο διαδίκτυο (Web Accessibility), σημαίνει ότι οι ιστότοποι και οι τεχνολογίες σχεδιάζονται και αναπτύσσονται έτσι ώστε τα άτομα με αναπηρίες να μπορούν να τα χρησιμοποιούν και να έχουν ισότιμη πρόσβαση με τους υπόλοιπους χρήστες.

Η προσβασιμότητα στον ιστότοπο είναι η ανάγκη οι ιστότοποι να χρησιμοποιούν εργαλεία και τεχνολογίες που έχουν αναπτυχθεί για να βοηθούν την αντίληψη, την κατανόηση, την πλοήγηση και την αλληλεπίδραση ενός ατόμου με αναπηρία στον ιστότοπο. Η προσβασιμότητα θα πρέπει να ενσωματώνεται εξ αρχής  στη διαδικασία ανάπτυξης και σχεδιασμού του διαδικτύου αντί να προσπαθούν τα ίδια τα άτομα να την προσαρμόσουν εκ των υστέρων.

Η Κοινοπραξία Παγκόσμιου Ιστού (W3C) έχει εκδώσει Οδηγίες για την Προσβασιμότητα του Περιεχομένου του Ιστού (WCAG) με σκοπό τη δημιουργία μιας σειράς διεθνώς κοινών κατευθυντήριων γραμμών που διέπουν τα πρότυπα προσβασιμότητας του περιεχομένου του Ιστού.

 

Το φάσμα των βλαβών που επιδιώκει να αντιμετωπίσει η προσβασιμότητα στο διαδίκτυο είναι πολύ ευρύ. Συνοπτικά:

1. ΔΙΑΤΑΡΑΧΕΣ ΤΗΣ ΟΡΑΣΗΣ

Τόσο η τύφλωση όσο και άλλες διαταραχές της όρασης όπως η μειωμένη όραση, η αχρωματοψία, ο καταρράκτης, το γλαύκωμα καθιστούν δύσκολη την πλοήγηση στο διαδίκτυο. Προκειμένου να αντιμετωπιστούν αυτές οι δυσκολίες και να καταστεί ο ιστότοπος προσβάσιμος μπορούν να χρησιμοποιηθούν προγράμματα ανάγνωσης οθόνης, ηχητικές περιγραφές αλλά και εργαλεία μεγέθυνσης οθόνης.

Ωστόσο με τη χρήση τέτοιων εργαλείων, πολλοί ιστότοποι ενδέχεται είτε να δυσλειτουργούν  (π.χ όταν το κείμενο αλλάζει μέγεθος, μπορεί να χαλάσει η διάταξη του ιστότοπου) είτε να μην λειτουργούν καθόλου. Σύμφωνα με τις οδηγίες WCAG 2.1 AA, οι ιστότοποι θα πρέπει να μπορούν να αλλάζουν μέγεθος έως και 200% παραμένοντας πλήρως λειτουργικοί.

Επιπλέον, πολλές οπτικές παθήσεις δυσχεραίνουν την αντίληψη της αντίθεσης. Οι σχεδιαστές ιστοσελίδων θα πρέπει να λαμβάνουν υπόψιν τους αυτή την παράμετρο κατά τον χρωματικό σχεδιασμό μιας ιστοσελίδας και ως εκ τούτου να μην χρησιμοποιούν μικρές διαβαθμίσεις στο χρώμα.

 

2. ΔΙΑΤΑΡΑΧΕΣ ΤΗΣ ΑΚΟΗΣ

Το περιεχόμενο ήχου και βίντεο αποτελεί πρόκληση για τα άτομα με προβλήματα ακοής. Όπως όλες οι αναπηρίες, έτσι και τα προβλήματα ακοής ποικίλλουν. Ορισμένοι άνθρωποι είναι κωφοί, ενώ άλλοι μπορεί να έχουν μικρή απώλεια ακοής.

Τα συνήθη εργαλεία και τεχνικές που χρησιμοποιούνται για την υποστήριξη ατόμων με προβλήματα ακοής στο διαδίκτυο είναι τα εξής:

α) Λεζάντες και υπότιτλοι: Οι λεζάντες πρέπει να είναι σαφείς και ορατές, με καλή αντίθεση σε σχέση με τις μεταβαλλόμενες εικόνες και με καλά αναγνώσιμο μέγεθος γραμματοσειράς. Ένας τρόπος για να διασφαλιστεί ότι οι λεζάντες είναι ευανάγνωστες είναι να τοποθετούνται σε σκουρόχρωμο φόντο για να αποφευχθεί η ανάμειξη του κειμένου με τις εικόνες.

Πολλές πλατφόρμες βίντεο, όπως το YouTube, είναι σε θέση να δημιουργούν αυτόματα λεζάντες. Ωστόσο, αυτές οι αυτόματα δημιουργούμενες λεζάντες δεν είναι πάντα αξιόπιστες, καθώς η τεχνολογία αναγνώρισης ομιλίας ενδέχεται να ανιχνεύσει εσφαλμένα τις λέξεις.

β) Περιγραφές: Οι περιγραφές είναι λεπτομερείς εκδόσεις κειμένου τόσο της ομιλίας όσο και άλλων ηχητικών πληροφοριών (όπως οι ήχοι του περιβάλλοντος, το γέλιο κ.λπ.) και χρησιμοποιούνται τόσο για περιεχόμενο βίντεο όσο και για περιεχόμενο ήχου.

 

3. ΝΕΥΡΟΛΟΓΙΚΕΣ ΔΙΑΤΑΡΑΧΕΣ

Τα άτομα με νευρολογικές διαταραχές μπορεί να έχουν προβλήματα στην προβολή πληροφοριών, στην πραγματοποίηση ελεγχόμενων κινήσεων, καθώς και σε πολλά άλλα ζητήματα.

Παλαιότερα ήταν σύνηθες να βλέπουμε τρεμοπαίξιμο, αναβοσβήσιμο ή κινούμενο περιεχόμενο σε ιστότοπους ως έναν τρόπο να τραβήξουμε την προσοχή σε ένα συγκεκριμένο στοιχείο. Το περιεχόμενο που τρεμοπαίζει μπορεί να προκαλέσει επιληπτικές κρίσεις σε άτομα με φωτοευαίσθητη επιληψία. Ευτυχώς, αυτή η σχεδιαστική πρακτική έχει σε μεγάλο βαθμό εγκαταλειφθεί.

 

4. ΜΑΘΗΣΙΑΚΕΣ ΔΙΑΤΑΡΑΧΕΣ:

Πολλά άτομα με δυσλεξία ή άλλες μαθησιακές διαταραχές ενδέχεται να διαβάζουν ευκολότερα ορισμένες γραμματοσειρές, χρώματα ή αντιθέσεις. Για παράδειγμα, θεωρείται παγκοσμίως ότι είναι πιο δύσκολο για τους δυσλεκτικούς να διαβάσουν γραμματοσειρές τύπου Serif. Καλύτερες επιλογές για γραμματοσειρές είναι αυτές της οικογένειας Sans Serif, όπως η Verdana.

Σημαντικό είναι επίσης να παρέχεται η δυνατότητα στους χρήστες να παρακάμπτουν τη διαμόρφωση του ιστοτόπου και να χρησιμοποιούν αντ’ αυτού τις δικές τους προτιμώμενες ρυθμίσεις.

 

5. ΚΙΝΗΤΙΚΕΣ ΑΝΑΠΗΡΙΕΣ

Τα άτομα με σωματικές αναπηρίες μπορούν επίσης να αντιμετωπίσουν προβλήματα στη χρήση του διαδικτύου. Ενδέχεται για παράδειγμα να μην είναι σε θέση να ελέγχουν το ποντίκι ή το πληκτρολόγιο και έτσι ο χρήστης μπορεί να βασίζεται σε προσαρμοστικές τεχνολογίες ή σε φωνητικές εντολές.

 

ΝΟΜΟΘΕΣΙΑ

Α. Οδηγία 2016/2102 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Η ΕΕ δημοσίευσε την οδηγία 2016/2102 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Οκτωβρίου 2016, σχετικά με την προσβασιμότητα των ιστότοπων και των κινητών εφαρμογών των οργανισμών του δημόσιου τομέα[1] για την τυποποίηση και την εναρμόνιση του πλαισίου γύρω από την προσβασιμότητα των οργανισμών του δημόσιου τομέα στον Παγκόσμιο Ιστό και στα κινητά. Η εν λόγω οδηγία έχει ενσωματωθεί στην ελληνική έννομη τάξη με τον ν. 4727/2020

Β. Οδηγία 2019/882 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Ακολούθως, η Ευρωπαϊκή Πράξη για την Προσβασιμότητα[2] (European Accessibility Act) σχετικά με τις απαιτήσεις προσβασιμότητας προϊόντων και υπηρεσιών, αποσκοπεί στην εισαγωγή περισσότερων προσβάσιμων προϊόντων και υπηρεσιών στην αγορά και στη μείωση των τιμών των υπηρεσιών αυτών. Αυτή η πράξη είναι συμπληρωματική της οδηγίας 2016/2102 που αναφέρθηκε παραπάνω.

Είναι σημαντικό ότι η νέα οδηγία δεν εφαρμόζεται μόνο σε οργανισμούς του δημόσιου τομέα, αλλά και σε ιδιωτικές επιχειρήσεις.

Η Ευρωπαϊκή Πράξη Προσβασιμότητας θα καλύπτει προϊόντα και υπηρεσίες όπως υπολογιστές και λειτουργικά συστήματα, έξυπνα τηλέφωνα και άλλες συσκευές επικοινωνίας, εξοπλισμό τηλεόρασης που σχετίζεται με υπηρεσίες ψηφιακής τηλεόρασης, ΑΤΜ και τερματικά πληρωμών, τηλεφωνικές υπηρεσίες, τραπεζικές υπηρεσίες, ηλεκτρονικό εμπόριο, ηλεκτρονικά εισιτήρια, ηλεκτρονικά βιβλία κ.α.

Είναι σημαντικό να σημειωθεί ότι η εν λόγω οδηγία εφαρμόζεται σε προϊόντα και υπηρεσίες που πωλούνται ή χρησιμοποιούνται εντός της ΕΕ, ανεξάρτητα από τον τόπο εγκατάστασης των επιχειρήσεων που παρέχουν τα εν λόγω προϊόντα και υπηρεσίες. (π.χ. ΗΠΑ, Κίνα)

Η Ευρωπαϊκή Πράξη Προσβασιμότητας προσδιορίζει τις απαιτήσεις προσβασιμότητας που θα πρέπει να τηρούν οι οικονομικοί φορείς που διαθέτουν στην αγορά προϊόντα και υπηρεσίες. Δεν επιβάλλει λεπτομερείς τεχνικούς περιορισμούς για να καταστούν τα προϊόντα και οι υπηρεσίες προσβάσιμα. Αυτό επιτρέπει περιθώρια για καινοτομία και ευελιξία.

Το άρθρο 14 παρ. 1 στοιχείο β’ της Οδηγίας ορίζει πως οι απαιτήσεις προσβασιμότητας εφαρμόζονται μόνον στον βαθμό που η συμμόρφωση δεν συνεπάγεται την επιβολή δυσανάλογης επιβάρυνσης για τους ενδιαφερόμενους οικονομικούς φορείς.

Ωστόσο, κατά την ενσωμάτωση και εφαρμογή της εν λόγω διάταξης θα πρέπει να γίνει ένας πολύ προσεκτικός καθορισμός των λόγων βάσει των οποίων θα μπορούν να χορηγηθούν εξαιρέσεις από τη συμμόρφωση με την απαίτηση της προσβασιμότητας, δεδομένου ότι η προσβασιμότητα αποτελεί θεμελιώδες ανθρώπινο δικαίωμα των ατόμων με αναπηρία. Η υποχρέωση εφαρμογής της προσβασιμότητας θα πρέπει να είναι άνευ όρων.

Η τελική προθεσμία για τα κράτη μέλη της ΕΕ να υιοθετήσουν τις απαιτήσεις της Ευρωπαϊκής Πράξης Προσβασιμότητας και να την ενσωματώσουν στη δική τους νομοθεσία ήταν η 28η Ιουνίου 2022. Στην Ελλάδα η εν λόγω οδηγία δεν έχει ενσωματωθεί μέχρι και σήμερα.

Μόλις την 4η Οκτωβρίου 2022 και ώρα 21:30 τέθηκε σε δημόσια ηλεκτρονική διαβούλευση το σχέδιο νόμου με τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2019/882 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 17ης Απριλίου 2019 σχετικά με τις απαιτήσεις προσβασιμότητας προϊόντων και υπηρεσιών». Η διαδικασία της δημόσιας διαβούλευσης θα ολοκληρωθεί την 18η Οκτωβρίου 2022, ημέρα Τρίτη και ώρα 21:30.

Η προθεσμία συμμόρφωσης για τις επιχειρήσεις και τους οργανισμούς αναμένεται να λήξει στις 28 Ιουνίου 2025.  Από τις 28 Ιουνίου 2025, οι πελάτες θα μπορούν να υποβάλλουν καταγγελίες ενώπιον των εθνικών δικαστηρίων ή αρχών εάν οι υπηρεσίες ή τα προϊόντα δεν τηρούν τους νέους κανόνες.

Στόχος της διασφάλισης της προσβασιμότητας είναι η άρση όλων των εμποδίων που αντιμετωπίζουν τα άτομα με αναπηρίες, ώστε να συμμετέχουν πλήρως και ισότιμα σε όλες τις πτυχές της ζωής, να ζουν ανεξάρτητα,  με τη μέγιστη δυνατή αυτονομία,  και με τον ίδιο βαθμό ασφάλειας και άνεσης με όλους.

Σύμφωνα με το άρθρο 9 της Διεθνούς Σύμβασης του Ο.Η.Ε. για τα Δικαιώματα των Ατόμων με Αναπηρία τα συμβαλλόμενα κράτη οφείλουν να λαμβάνουν κατάλληλα μέτρα προκειμένου να διασφαλίζουν στα άτομα με αναπηρίες την ίση πρόσβαση -μεταξύ άλλων- στην πληροφορία και τις επικοινωνίες, συμπεριλαμβανομένων και των τεχνολογιών και συστημάτων πληροφορίας και επικοινωνιών.

Ευτυχώς, υπάρχουν διαθέσιμες τεχνολογίες για τη μείωση ή την άρση των εμποδίων στην ψηφιακή τους πρόσβαση. Όπως εύστοχα έχει επισημάνει ο Tim Berners-Lee, διευθυντής του W3C και εφευρέτης του Παγκόσμιου Ιστού: «Η δύναμη του Παγκόσμιου Ιστού έγκειται στην καθολικότητά του. Η πρόσβαση όλων, ανεξαρτήτως αναπηρίας, αποτελεί μια ουσιώδη παράμετρο.»

 

*Η Κατερίνα Μεζίνη είναι απόφοιτη του τμήματος Νομικής του ΕΚΠΑ και μεταπτυχιακή φοιτήτρια στο ΠΜΣ «Δίκαιο και Τεχνολογίες Πληροφορικής και Επικοινωνιών» του Πανεπιστημίου Πειραιώς.

 

Πηγές:

  1. Μαρία Σαπαρδάνη, «Η έννοια της αναπηρίας υπό το πρίσμα της νομολογίας του ΔΕΕ και του ΕΔΔΑ για την απαγόρευση των διακρίσεων: μία πολυδιάστατη προσέγγιση με κοινωνικές προεκτάσεις» σε: Ελληνική Επιθεώρηση Ευρωπαϊκού Δικαίου, τεύχος 1ο, 2019.
  2. W3C, «Introduction to Web Accessibility: What is Web Accessibility», διαθέσιμο στο: https://www.w3.org/WAI/fundamentals/accessibility-intro/#what
  3. Ιωάννης Μπασδέκης, Συνδικαλιστική εκπαίδευση στελεχών αναπηρικού κινήματος: Ηλεκτρονική προσβασιμότητα και αναπηρία, 2013, διαθέσιμο στο: https://www.esamea.gr/multimedia/must-see/39-publications/books-studies/520-ekpaideytiko-egxeiridio-no-6-ilektroniki-prosbasimotita-kai-anapiria-toy-ioanni-mpasdeki
  4. ΑΚΕΘ, «Γιατί η προσβασιμότητα στο διαδίκτυο είναι τόσο σημαντική και τι μπορείς να κάνεις για να την επιτύχεις», 2020, διαθέσιμο στο: https://www.aketh.gr/nea/prosvasimotita
  5. Harshal V. Patil, «Web accessibility issues and challenges for disabled Person», International Journal of Computer Research and Technology, Volume 7, issue 1, 2021, διαθέσιμο στο:
  6. basponccollege.org/ClgIJCRTJournals/IJCRT/IJCRT%202021.pdf#page=63
  7. https://eur-lex.europa.eu/
  8. European Commission, European accessibility act, διαθέσιμο στο: https://ec.europa.eu/social/main.jsp?catId=1202&langId=en
  9. Εθνική Αρχή Προσβασιμότητας(ΕΑΠ), ΓΝΩΜΟΔΟΤΗΣΗ της Εθνικής Αρχής Προσβασιμότητας (ΕΑΠ) με θέμα «Προσβασιμότητα και ασφάλεια: ενσωμάτωση της Οδηγίας ΕΕ 2019/882 στο εθνικό δίκαιο», 6 Οκτωβρίου 2021, διαθέσιμη στο: https://www.amea.gov.gr/opinions/4
  10. https://www.w3.org/TR/WCAG21/#abstract
  11. http://www.opengov.gr/ypoian/?p=13504

 

[1] Γνωστή εν συντομία ως Ευρωπαϊκή Οδηγία για την Προσβασιμότητα στον Παγκόσμιο Ιστό.

[2] ΟΔΗΓΙΑ (EE) 2019/882 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 17ης Απριλίου 2019.