Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια
Γράφει o Τάσος Αραμπατζής
Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.
Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.
Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις
Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.
Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.
Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.
Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.
Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής
Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.
Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.
- Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
- Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
- Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
- Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.
Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου
Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.
Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.
Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.
Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.
Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.
Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.
Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων
Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.
Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.
Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.
Κλείνοντας: μια πρόσκληση για σκέψη και δράση
Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.
Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΚΙΝΔΥΝΕΥΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Γράφει o Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc*
Με αφορμή την πολύ πρόσφατη δημοσίευση του «Εθνικού Πλαισίου Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων» (6/5/2025), υπενθυμίζεται σε όλους η σημαντικότητα της διενέργειας εκτίμησης κινδύνων (risk assessment) που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ειδικότερα για τα προσωπικά δεδομένα, κάθε ολοκληρωμένο πρόγραμμα συμμόρφωσης πρέπει όντως να περιλαμβάνει μια ολοκληρωμένη Ανάλυση Διακινδύνευσης (Risk Assessment). Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ σχετικά με την προστασία δεδομένων (υψηλού κινδύνου) είναι η υλοποίηση της Μελέτης Αντικτύπου (Data Privacy Impact Analysis - DPIA), εντούτοις συστήνεται να διενεργείται (και) μια γενικότερη ανάλυση διακινδύνευσης για το σύνολο των κινδύνων / απειλών. Σύμφωνα με τις γενικότερες επιταγές ασφάλειας (άρθρο 32 του ΓΚΠΔ), η Ανάλυση Διακινδύνευσης πρέπει να σχετίζεται με τα ευρήματα που εντοπίζονται από την φάση της αρχικής Χαρτογράφησης (Data Mapping) και να υλοποιείται τόσο ΠΡΙΝ, όσο και ΜΕΤΑ από την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων.
Κίνδυνος / Απειλή ορίζεται ως η πιθανότητα ή απειλή ζημίας, απώλειας ή αρνητικής συνέπειας σε ευαίσθητα περιεχόμενα / πληροφορίες και προσωπικά δεδομένα, με αρνητική επίπτωση στα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων (και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων) ή/και την απρόσκοπτη λειτουργία του Οργανισμού (ως υπεύθυνος επεξεργασίας). Οι κίνδυνοι μπορεί να προέρχονται τόσο από εγγενείς όσο και από εξωγενείς παράγοντες και μπορούν να μετριαστούν με κατάλληλα μέτρα. Η Διαχείριση Διακινδύνευσης αφορά το σύνολο διαδικασιών που σχετίζονται με τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση των παραπάνω κινδύνων.
Στάδια Υλοποίησης
Για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την Διαχείριση Διακινδύνευσης σχετικά με τα προσωπικά δεδομένα, ένας Οργανισμός (ως υπεύθυνος επεξεργασίας) συστήνεται να υιοθετήσει την μέθοδο DMRA (Decision Matrix Risk Assessment technique), μια συστηματική προσέγγιση που χρησιμοποιείται για τον αρχικό προσδιορισμό του επιπέδου κινδύνου (Risk Level) και τη σύγκριση διαφορετικών κινδύνων. Πρόκειται για ένα ευρέως χρησιμοποιούμενο εργαλείο για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την διαχείριση κινδύνων, βάσει και του διεθνούς προτύπου ISO 31000.
Σύμφωνα με την συγκεκριμένη μέθοδο, η ανάλυση διακινδύνευσης αποτελείται από τα ακόλουθα στάδια, κατά την υλοποίηση των οποίων απαιτείται διαρκή επικοινωνία μεταξύ των εμπλεκόμενων τμημάτων και διευθύνσεων του Οργανισμού:
- Ορισμός του οργανωτικού πλαισίου και των γενικότερων κανόνων
- Προσδιορισμός των κινδύνων που απειλούν αφενός τα υπό επεξεργασία προσωπικά δεδομένα για διαφορετικές κατηγορίες υποκειμένων που συνδιαλέγονται με τον Οργανισμό και αφετέρου την γενικότερη ασφάλεια του Οργανισμού
- Ανάλυση των εντοπισμένων κινδύνων
- Αξιολόγηση των εντοπισμένων κινδύνων
- Αντιμετώπιση / διαχείριση των εντοπισμένων κινδύνων
- Παρακολούθηση υλοποίησης διορθωτικών ενεργειών και επανεξέταση.
Ειδικότερα, ο υπεύθυνος επεξεργασίας δεδομένων προτείνεται να ακολουθεί τα εξής στάδια:
1.Στάδιο Εντοπισμού Κινδύνων (Risk Identification) [**]
Αφορά τον εντοπισμό, την αναγνώριση και την περιγραφή των κινδύνων / απειλών που θα μπορούσαν να επηρεάσουν την ακεραιότητα, την εμπιστευτικότητα ή/και την διαθεσιμότητα των υπό επεξεργασία προσωπικών δεδομένων, καθώς και την ασφαλή λειτουργία ολόκληρου του Οργανισμού. Η έρευνα επεκτείνεται και στην εξέταση των πηγών κινδύνου και των αιτιών που μπορεί να προκαλέσουν τους συγκεκριμένους κινδύνους. Οι γενικότερες συνθήκες που μπορεί να απειλούνται είναι η Ακεραιότητα των δεδομένων (Integrity /αλλοίωση δεδομένων), η Εμπιστευτικότητα των δεδομένων (Confidentiality) και η Διαθεσιμότητα των δεδομένων (Availability).
[**]Ενδεικτικοί κίνδυνοι:
Απώλεια δεδομένων - Κλοπή προσωπικών δεδομένων - Διαρροή προσωπικών δεδομένων - Μη εγκεκριμένη τροποποίηση δεδομένων - Μη ικανοποίηση αιτήματος υποκειμένων δεδομένων - Μη εγκεκριμένη διαγραφή δεδομένων - Αδυναμία λήψης backup / Μη διαθέσιμο backup - Μη προσβασιμότητα σε φακέλους & αρχεία του Οργανισμού - Μη προσβασιμότητα σε διαδικτυακές υπηρεσίες - Σφάλματα χρήσης / Αμέλεια χρηστών - Ελλιπής εκπαίδευση χρηστών σε κανόνες ασφάλειας & προστασίας δεδομένων - Φυσικές καταστροφές - Πυρκαγιά / Πλημμύρα - Φθορά / απώλεια σε hardware - Αστοχία κρίσιμου υλικού - Κίνδυνος μόλυνσης από ιούς και διασπορά - Κυβερνοεπίθεση / Παράνομη εισβολή σε δίκτυο / Hacking - Παρεμπόδιση κυβεροκυκλοφορίας - Λογισμικό ή δράσεις που εκμεταλλεύονται κενά ασφαλείας - Ανεπιθύμητα μηνύματα (spam) – Δολιοφθορά – Παραπληροφόρηση - Πλαστογραφία
Απάτη / Εξαπάτηση - Ακατάλληλο περιεχόμενο κ.ο.κ.
2.Ανάλυση Κινδύνων (Risk Analysis)
Αφορά την κατανόηση των πηγών, των αιτιών και της φύσης των ήδη εντοπισμένων κινδύνων / απειλών για τα υπό επεξεργασία προσωπικά δεδομένα και τον ίδιο τον Οργανισμό, καθώς και την εξέταση των υφιστάμενων μέτρων για την πρόληψη ή την αντιμετώπιση τους. Ακολουθεί ο υπολογισμός της Πιθανότητας να προκύψουν οι εντοπισμένοι κίνδυνοι και η ανάλυση των Συνεπειών / Επιπτώσεων τους, εφόσον οι κίνδυνοι συμβούν.
Η εξέταση επάρκειας των υφιστάμενων ελέγχων και μέτρων ερευνά το αν επαρκούν τα υφιστάμενα μέτρα για την πρόληψη ή τον μετριασμό των κινδύνων, καθώς και για την ανάκαμψη κατόπιν της εμφάνισης τους. Ταυτόχρονα, η αποτελεσματικότητα των υφιστάμενων μέτρων αξιολογείται λαμβάνοντας υπόψη: 1) ποιοι είναι οι υφιστάμενοι έλεγχοι για έναν συγκεκριμένο κίνδυνο και 2) εάν αυτοί οι έλεγχοι είναι ικανοί να αντιμετωπίσουν επαρκώς τον κίνδυνο. Στην πράξη, αξιολογείται αν οι έλεγχοι υλοποιούνται με τον προβλεπόμενο τρόπο και αν μπορούν να αποδειχθούν αποτελεσματικοί, όταν αυτό απαιτηθεί.
Συγκεκριμένα, ένας εντοπισμένος κίνδυνος / ανεπιθύμητο γεγονός σχετικά τα προσωπικά δεδομένα βαθμολογείται ως προς την Πιθανότητα (Π) εμφάνισης ενός κινδύνου και ως προς την Σοβαρότητα (Σ) των συνεπειών του. Και οι 2 παράμετροι μετρούνται με την χρήση 5βάθμιου πίνακα, όπου το 1 είναι απίθανο ένας κίνδυνος να συμβεί ή εάν συμβεί, να έχει μηδαμινές επιπτώσεις. Αντίστοιχα, η αξιολόγηση 5 σημαίνει ότι ένας κίνδυνος είναι σχεδόν σίγουρο ότι θα συμβεί, ενώ εάν συμβεί αναμένεται να έχει καταστροφικές συνέπειες.
- Συχνότητα/πιθανότητα (Π) εμφάνισης εντοπισμένου κινδύνου, λαμβάνοντας υπόψη το γενικότερο επίπεδο προστασίας και τα υφιστάμενα μέτρα προστασίας:
- Σοβαρότητα (Σ) των συνεπειών από τον συγκεκριμένο κίνδυνο / ανεπιθύμητο συμβάν / απειλή για τα προσωπικά δεδομένα, εφόσον εμφανιστεί:
Η εκτίμηση των επιπτώσεων επεκτείνεται και στους πελάτες, το προσωπικό, την Διοίκηση, τις συνεργαζόμενες εταιρείες / εκτελούντες την επεξεργασία, την φήμη του Οργανισμού, τις νομικές και κανονιστικές υποχρεώσεις κ.ο.κ.
Μετά τον υπολογισμό της Πιθανότητας και της Σοβαρότητας, υπολογίζεται η επίπτωση σύμφωνα με το παρακάτω γινόμενο:
Επίπτωση = Σοβαρότητα * Πιθανότητα
Η κατάταξη της επίπτωσης γίνεται σύμφωνα με τον παρακάτω πίνακα:
Στον επόμενο πίνακα παρουσιάζεται συνοπτικά η σχέση μεταξύ πιθανότητας, σοβαρότητας και επίπτωσης:
3.Αξιολόγηση Κινδύνων (Risk Evaluation)
Σε συνέχεια του εντοπισμού και της ανάλυσης των κινδύνων, αποφασίζεται ποιοι κίνδυνοι θα αντιμετωπιστούν, με ποιον τρόπο και με ποια προτεραιότητα. Αυτό το βήμα βοηθά τον Οργανισμό στη λήψη αποφάσεων σχετικά με την ανεκτικότητα και την ιεράρχηση του κάθε κινδύνου, συγκρίνοντας το εκτιμώμενο επίπεδο κινδύνου με τα προ-αποφασιμένα κριτήρια κινδύνου.
4.Αντιμετώπιση Κινδύνων (Post Risk Assessment) [***]
Η διαχείριση των εντοπισμένων κινδύνων περιλαμβάνει πολλές επιλογές, βάσει εκτιμήσεων και αποφάσεων του Οργανισμού, όπως ή αποφυγή του κινδύνου, η αντιμετώπιση ή μετριασμός του, η τροποποίηση της πιθανότητας ή/και επίπτωσης και η αφαίρεση της πηγής του κινδύνου. Μετά την υλοποίηση των μέτρων συνιστάται η επαναξιολόγηση του κινδύνου, για να διαγνωστεί εάν αυτός αντιμετωπίστηκε επαρκώς και να προκύψει ο εναπομείναν κίνδυνος.
[***]Ενδεικτικά Τεχνικά και Οργανωτικά Μέτρα:
Πρόγραμμα συμμόρφωσης με ΓΚΠΔ και κείμενη Νομοθεσία - Πολιτικές / Διαδικασίες διαχείρισης δεδομένων - Διαχείριση αναφοράς και διαχείρισης παραβιάσεων / εισβολών / απώλειας δεδομένων - Business Continuity Plan, Disaster Recovery Plan - Εκπαιδεύσεις εργαζομένων στην ορθή χρήση λογισμικού – Σύμβαση εμπιστευτικότητας δεδομένων με συνεργαζόμενες εταιρείες - Παρακολούθηση υλοποίησης έργου συνεργαζόμενων εταιρειών, Clean desk policy - Γενικότερη ασφάλεια χώρων (εσωτερικών και εξωτερικών) - Λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) - Λειτουργία συστήματος πυρανίχνευσης / πυροπροστασίας - Εφαρμογή προγράμματος απεντομώσεων / μυοκτονιών - Ελεγχόμενες συνθήκες κρίσιμων χώρων (control room, φυσικό αρχείο κλπ.) - Πρόγραμμα προληπτικών συντηρήσεων κρίσιμων υποδομών / εξοπλισμού, Απαγόρευση πρόσβασης σε ακατάλληλους ιστότοπους - Απενεργοποίηση / ελεγχόμενες θύρες USB - Δοκιμαστική ανάκτηση ανά τακτά χρονικά διαστήματα - Ελεγχόμενες προσβάσεις / εξουσιοδοτήσεις - Αναβαθμίσεις και προληπτική συντήρηση λογισμικού - Ισχυροί κωδικοί πρόσβασης - Remote backup - Αντιμετώπιση απώλειας δεδομένων (DLP) / Data Loss, Data Leak – FIREWALL – ANTIVIRUS - PENETRATION TEST - Διαχείριση LOG files - Δικαιώματα χρηστών μέσω active directory – Κρυπτογράφηση βάσεων - BYOD/P - VDI (Virtual Desktop Infrastructure) – VPN κ.ο.κ.
5.Ανασκόπηση
Ακόμα και μετά την ολοκλήρωση της ανάλυσης διακινδύνευσης, ο Οργανισμός πρέπει να προχωράει σε διαρκή έλεγχο, αφού οι κίνδυνοι /απειλές μπορεί να είναι δυναμικοί και να διαφοροποιούνται μέσα στον χρόνο, καθιστώντας τα επιλεχθέντα διορθωτικά μέτρα μη αποτελεσματικά. Γενικά, η αξιολόγηση των κινδύνων ανασκοπείται κατά ελάχιστο σε ετήσια βάση ή όποτε προκύπτουν σημαντικές αλλαγών (π.χ. χρήση νέου εξοπλισμού, συλλογή και επεξεργασία νέων δεδομένων, τροποποίηση τρόπου επεξεργασίας κ.λπ.).
* Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO, QMS IRCA Lead Auditor ISO 9001:2015, CQI IRCA Lead Auditor ISO 27001:2013, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ και MSc in International Business and Finance. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι πρώην μέλος του Δ.Σ. του European Association of Data Protection Professional (EADPP), γενικός γραμματέας & επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων του Ελληνικού παραρτήματος EADPP, επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας (EIQSH) και μέλος της Homo Digitalis.
ΒΙΒΛΙΟΓΡΑΦΙΚΕΣ ΑΝΑΦΟΡΕΣ / ΠΗΓΕΣ
-Τσιπτσέ, Ο., Κωστούλας, Δ. (Ιανουάριος 2020), «Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα», Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
-https://www.homodigitalis.gr/posts/9331, Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά, Δημοσθένης Κ. Κωστούλας, 7 Ιουνίου 2021
-BSI, 2009. BS ISO 31000: Risk management: principles and guidelines, London: British Standards Institution.
-Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων (Αρ. Φύλλου 2186), 6 Μαίου 2025)
-Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
-Baybutt P. Calibration of risk matrices for process safety. J Loss Prevent Process Industries. 2015;38:163–168, 2015.
-Wall KD The trouble with risk matrice. DRMI Working Papers Ongoing Research; 2011.
-Duijm NJ. Recommendations on the use and design of risk matrices. Saf Sci. 2015;76:21–31. 2015
-Korombel A, Tworek P. Qualitative risk analysis as a stage of risk management in investment projects: advantages and disadvantages of selected methods-theoretical approach 2011;1(2):51–54
-https://safeti.com/product/workshop-risk-assessment
Μπορείς κι εσύ να γίνεις επαγγελματίας στον τομέα της ασφάλειας τεχνολογιών και πληροφοριών χωρίς τεχνικές γνώσεις!
Γράφει o Γιάννης Ντόκος*
Ο κόσμος των τεχνολογιών είναι διαρκώς μεταβαλλόμενος. Νέες εξελίξεις στον κλάδο λαμβάνουν πλέον χώρα σε καθημερινή βάση, με την πρόοδο των κλάδων όπως αυτών της τεχνητής νοημοσύνης, των κβαντικών υπολογιστών και των συσκευών/μεθόδων ταυτοποίησης. Αναμφίβολα οι εξελίξεις αυτές είναι ελκυστικές, τόσο για τους καταναλωτές και το ευρύτερο κοινό, όσο και για όσους από εμάς ενδιαφερόμαστε να εργαστούμε στον κλάδο των τεχνολογιών. Χρειάζεται,ωστόσο, να κατέχουμε τεχνικές δεξιότητες προκειμένου να απασχοληθούμε στον τομέα της προστασίας πληροφοριών και τεχνολογιών;
Η παρεξήγηση των "τεχνικών γνώσεων"
Πολύ συχνά, όταν ακούμε για επαγγέλματα στον τομέα της ασφάλειας τεχνολογιών και δεδομένων, φανταζόμαστε προγραμματιστές, χάκερς και άτομα που παίζουν με καλώδια, διακομιστές και μόντεμ.. Βεβαίως είναι και αυτές οι εξειδικεύσεις σχετικές με το αντικείμενο, ωστόσο η ασφάλεια πληροφοριών περιλαμβάνει ένα ευρύ φάσμα ρόλων και δραστηριοτήτων – και όχι απαραίτητα τεχνικής φύσης!
Ας πάρουμε τα πράγματα με τη σειρά. Είναι οι τεχνικές γνώσεις χρήσιμες στους κλάδους αυτούς; Αναμφίβολα. Ειδικά αν μιλάμε για θέσεις που απαιτούν τη χρήση τέτοιων δεξιοτήτων σε καθημερινή βάση. Εάν επιδιώκω να ασχοληθώ με τον προγραμματισμό ή την ανάλυση δεδομένων, προφανώς πρέπει να ξέρω πώς να γράφω κώδικα ή να αναλύω δεδομένα προκειμένου να εξάγω κάποιο συμπέρασμα. Σε αυτές τις θέσεις εργασίας, οι τεχνικές δεξιότητες είναι προαπαιτούμενο! Σε μεγαλύτερο ή μικρότερο βαθμό, είναι απαραίτητες.
Τί γίνεται όμως αν θέλει κανείς να ασχοληθεί με το αντικείμενο της ασφάλειας τεχνολογιών, πληροφοριών ή προσωπικών δεδομένων; Πρέπει να είναι τότε άσος με τους υπολογιστές, την ρύθμιση δικτύων και τις μεθόδους πρόσβασης σε αυτά; Η απάντηση, ευτυχώς, είναι “όχι”. Και αυτό είναι πράγματι ένα πολύ θετικό μήνυμα, διότι ανοίγει διόδους εισροής στους παραπάνω κλάδους σε μεγάλο αριθμό επαγγελματιών που δεν είναι αναγκαστικά τεχνικά καταρτισμένοι. Παράλληλα, επιτρέπει τη σχετικά εύκολη μετάβαση από έναν παρεμφερή κλάδο (βλέπε προστασία πληροφοριών), σε έναν άλλο κλάδο εξίσου σχετικό (όπως η διαχείριση κινδύνου στον τομέα της τεχνητής νοημοσύνης). Επομένως, όσοι από εσάς ενδιαφέρεστε να εντρυφήσετε στα παρακλάδια αυτά, έχετε τη δυνατότητα να το κάνετε χωρίς να χρειάζεται να μπορείτε να διαπεράσετε καλά προστατευμένα δίκτυα “χακάροντας” όποιον υπολογιστή και διακομιστή βρεθεί στο διάβα σας (αν και κάπου θα σας φανεί χρήσιμη αυτή η δεξιότητα)!
Μισό λεπτό όμως! Είναι τόσο εύκολο ο καθένας να μπει στον κλάδο χωρίς τεχνικές γνώσεις; Ίσως όχι εύκολο, αλλά θα έλεγα πως είναι σίγουρα εφικτό, με μια σωστή στάση και την καλλιέργεια σχετικών ικανοτήτων! Οι τεχνολογίες εξελίσσονται γρήγορα, αλλά παράλληλα γίνονται διαθέσιμα όλο και περισσότερα εργαλεία. μέσα και πλατφόρμες που κάνουν πιο προσιτές και κατανοητές τις βασικές έννοιες, ακόμη και σε άτομα με μηδενική επαφή με τον προγραμματισμό ή τις υποδομές δικτύου.
Δεξιότητες για επαγγελματίες στην προστασία πληροφοριών και τεχνολογιών
Σίγουρα οι καθαρά τεχνικές δεξιότητες μπορούν να αποκτηθούν με τον χρόνο, υπάρχουν ωστόσο κάποιες δεξιότητες γενικού χαρακτήρα και στάσεις ζωής που είναι απολύτως καθοριστικές:
- Αναλυτική σκέψη και επίλυση προβλημάτων
Η ασφάλεια πληροφοριών είναι τομέας όπου καλείσαι διαρκώς να αναλύεις προβλήματα, να εντοπίζεις μοτίβα και να βρίσκεις λύσεις. Η ικανότητα να σκέφτεσαι λογικά και να επιλύεις προβλήματα είναι ζωτικής σημασίας και προαπαιτούμενο εάν ο εν λόγω κλάδος σε ενδιαφέρει!
- Περιέργεια και διάθεση για μάθηση
Η τεχνολογία εξελίσσεται συνεχώς. Επομένως, το πηγαίο ενδιαφέρον για τέτοιες εξελίξεις και η διάθεση για μάθηση είναι καίρια. Είτε πρόκειται για νέα εργαλεία, νέες απειλές στην κυβερνοασφάλεια, ή νέους τρόπους προστασίας των δεδομένων, η περιέργεια είναι σύμμαχος των επαγγελματιών του κλάδου.
- Επικοινωνιακές δεξιότητες
Η αλληλεπίδραση με συνεργάτες, νομοθέτες και προμηθευτές είναι καθημερινή και απαραίτητη στον τομέα. Συνεπώς, η ανάπτυξη επικοινωνιακών δεξιοτήτων και διαπροσωπικών σχέσεων είναι απαραίτητη ούτως ώστε να καταλάβουμε,να συνεργαστούμε, να πείσουμε τους άλλους και να βελτιώσουμε την ασφάλεια των υποδομών μας.
- Σφαιρική γνώση και επίγνωση
Η προστασία τεχνολογιών απαιτεί να μπορεί κανείς να δει τη μεγαλύτερη εικόνα και να συνδέει τις κουκίδες. Τυχόν προβλήματα που προκύπτουν είναι πολυπαραγοντικά και άπτονται πολλών διαστάσεων, με αποτέλεσμα η σφαιρική γνώση να είναι μεγάλο προσόν.
Τι μπορείς να κάνεις χωρίς τεχνικές γνώσεις;
Υπάρχουν αρκετές ειδικότητες που μπορούν να προσεγγιστούν με βασικές ή και μηδενικές τεχνικές γνώσεις:
- IT Project Management: Εστιάζει στον σχεδιασμό και τη διαχείριση έργων τεχνολογίας.
- Governance, Risk & Compliance Analyst: Ασχολείται με την κανονιστική συμμόρφωση και την αξιολόγηση κινδύνου.
- Security Awareness Trainer: Εκπαιδεύει προσωπικό σε θέματα ψηφιακής ασφάλειας.
- SOC Analyst: Εισαγωγική θέση σε Security Operations Center, με έμφαση στην παρακολούθηση και αναφορά συμβάντων ασφαλείας.
Τέτοιες εισαγωγικές θέσεις επιτρέπουν σε κάποιον να μπορεί να αναπτύξει σταδιακά τεχνικές γνώσεις και να εξελιχθεί σε πιο εξειδικευμένες θέσεις.
Από πού να ξεκινήσεις
Αν δεν έχεις τεχνικό υπόβαθρο, υπάρχουν πρακτικά βήματα που μπορείς να ακολουθήσεις:
Online μαθήματα και πιστοποιήσεις
Πολλές προσβάσιμες πλατφόρμες (Coursera, edX, Udemy, Cybrary, Pluralsight) προσφέρουν βασικά μαθήματα για αρχάριους. Πιστοποιήσεις όπως CompTIA Security+, Google IT Support, ή η σειρά ISC2 Certified in Cybersecurity είναι εξίσου καλά πρώτα βήματα.
Επιμόρφωση και ενημέρωση
Καθημερινή ανάγνωση άρθρων, blogs, και βιβλίων βοηθά στην κατανόηση και εξοικείωση με το πεδίο. Το να ενημερώνεσαι για τις εξελίξεις είναι βασική συνήθεια κάθε επαγγελματία στον χώρο.
Συμμετοχή σε κοινότητες
Φόρουμ, ομάδες στο LinkedIn, και συμμετοχή σε events (όπως τα BSides, OWASP Meetups και φυσικά τα event που διοργανώνει η Homo Digitalis!) θα σε φέρουν κοντά με άλλους επαγγελματίες του χώρου που μπορεί να έχουν πολύ χρήσιμες πληροφορίες ή κατευθυντήριες γραμμές να σου προτείνουν.
Εύρεση μέντορα
Ένας μέντορας, κάποιος που να σε καθοδηγεί, μπορεί να είναι ανεκτίμητος. Το ίντερνετ, εξειδικευμένες πλατφόρμες (π.χ. ΆλληλονΝΕΤ) ή το YouTube παρέχουν τέτοιες δυνατότητες.
Το κατάλληλο mindset
Το πιο σημαντικό στοιχείο για να πετύχει κάποιος στον χώρο – περισσότερο και από τις γνώσεις – είναι η επιμονή, η υπομονή και η περιέργεια. Πολλοί επαγγελματίες του χώρου ξεκίνησαν από διαφορετικά υπόβαθρα: βιολογία, νομική, διοίκηση επιχειρήσεων ή ακόμη και τέχνες! Με τη σωστή νοοτροπία και αντιμετώπιση, άτομα από κάθε υπόβαθρο μπορούν να απασχοληθούν στο πεδίο της ασφάλειας πληροφοριών και τεχνολογιών!
Εν κατακλείδι
Η ασφάλεια πληροφοριών δεν είναι κλειστή μόνο στους χάκερς, τους προγραμματιστές και τους τεχνικούς δικτύων. Το πεδίο έχει ανοίξει τις πόρτες του σε όσους έχουν την όρεξη, τη σωστή νοοτροπία και τη διάθεση να εξελίσσονται. Με σωστή καθοδήγηση, επιμονή και αξιοποίηση των διαθέσιμων πόρων, οποιοσδήποτε μπορεί να μπει στον χώρο και να διαπρέψει!
*Ο Γιάννης Ντόκος είναι Ειδικός IT Governance, Risk, and Compliance (GRC).
Γενετικά Δεδομένα και Ιδιωτικές Εταιρείες: Το Παράδειγμα της 23andMe και οι Προκλήσεις για την Ελλάδα
Γράφει o Τάσος Αραμπατζής
Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.
Η Περίπτωση της 23andMe
Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.
Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως "credential stuffing", όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.
Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.
Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .
Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.
«23andMe» και στην Ελλάδα;
Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος "First Steps", το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.
Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.
Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.
Οι Κίνδυνοι της Ιδιωτικοποίησης
Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.
Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.
Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.
Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.
Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.
Παραχωρούμε αιγίδα και ομιλία στο 15o InfoCom Security 2025!
Με χαρά ανακοινώνουμε ότι η Homo Digitalis παραχωρεί για ακόμη μια χρόνια την αιγίδα της στο 15o InfoCom Security 2025!! Η επετειακή εκδοχή του θα λάβει χώρα στις 2 & 3 Απριλίου στο Ωδείο Αθηνών!
O Κωνσταντίνος Κακαβούλης θα εκπροσωπήσει το ΔΣ μας εκεί, παραχωρώντας και την εναρκτήρια τοποθέτηση του συνεδρίου κατά τη δεύτερη ημέρα διεξαγωγής του!
Οι εγγραφές είναι ανοιχτές και δωρεάν!! Μπορείτε να κάνετε τη δίκη σας, καθώς και να δείτε το πλήρες πρόγραμμα για τις 2 ημέρες του συνεδρίου εδώ.
Ευχαριστούμε θερμά την ομάδα των διοργανωτών για την εξαιρετική συνεργασία (SmartPress S.A., IT Security Pro ) στο πλαίσιο της εκδήλωσης.
Συνδιοργανώνουμε εκδήλωση για τη Κυβερνοασφάλεια και την προστασία προσωπικών δεδομένων στο Πάρκο Καινοτομίας JOIST στη Λάρισα!
Στις 20 Μαρτίου 2025 και ώρα 18:00 – 20:30 η Homo Digitalis έχει τη μεγάλη χαρά να συνδιοργανώνει και να συμμετέχει στην εκδήλωση “Κυβερνοασφάλεια και προστασία προσωπικών δεδομένων: Ανθεκτικότητα, Συμμόρφωση, Καινοτομία” στο Πάρκο Καινοτομίας JOIST στη Λάρισα!
Στόχος της εκδήλωσης είναι η ευαισθητοποίηση και ενδυνάμωση των επιχειρήσεων όλων των κλάδων και μεγεθών ώστε να μπορούν να γίνουν ανθεκτικές και να καινοτομούν με ασφάλεια και σεβασμό στα δικαιώματα των πολιτών.
Στην εκδήλωση θα συμμετέχουν ως ομιλητές/ομιλήτριες :
ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας Μιχαήλ Μπλέτσας.
ο Παναγιώτης Σούλος Μέλος του ISC2 Hellenic Chapter, Information Security GRC Senior Manager στην STEELMET Corporate Services,
η Λαμπρινή Γυφτοκώστα, Διευθύντρια Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης της Homo Digitalis,
o Γιάννης Κούκουρας Μέλος του ISC2 Hellenic Chapter, Managing Director στην TwelveSec TwelveSec, και
η Karina Iskandarova, Ιδρύτια της CharismaWorks
⌛ Συντονίζει ο Αναστάσιος Αραμπατζής από Bora – Cybersecurity Marketing και Homo Digitalis.
Δηλώστε συμμετοχή δωρεάν εδώ.
Με μεγάλη επιτυχία ολοκληρώθηκε η συμμετοχή της Homo Digitalis στο Digital World Summit Greece
Η Homo Digitalis είχε τη μεγάλη τιμή και χαρά να δώσει το παρόν με διπλή εκπροσώπηση στο Digital World Summit Greece, σήμερα Τρίτη 28 Μαΐου στο Εθνικό Ίδρυμα Ερευνών!
Συγκεκριμένα, ο Αντιπρόεδρος μας και Partner στην Digital Law Experts (DLE), Στέφανος Βιτωράτος, συμμετείχε ως συντονιστής στο 1ο πάνελ του συνεδρίου, με θέμα “#ΑΙ: Η τομή ανάμεσα σε ρύθμιση και καινοτομία”, σε μία συναρπαστική συζήτηση μαζί με ομιλητές, όπως οι Δημήτρης Γερογιάννης (Πρόεδρος ΑΙ Catalyst), Λίλιαν Μήτρου (Καθηγήτρια, Τμήμα Μηχανικών Πληροφοριακών & Επικοινωνιακών Συστημάτων, Πανεπιστημίου Αιγαίου), Χαράλαμπος Τσέκερης (Προεδρεύων της Εθνικής Επιτροπής Βιοηθικής & Τεχνοηθικής), Γιάννης Μαστρογεωργίου (Ειδικός Γραμματέας Μακροπρόθεσμου Σχεδιασμού, Προεδρία της Ελληνικής Κυβέρνησης) και Φώτης Δραγανίδης (Διευθυντής Tεχνολογίας Microsoft Hellas).
Η Διευθύντρια μας για ζητήματα Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης, Λαμπρινή Γυφτοκώστα, ήταν ομιλήτρια στο 2ο πάνελ του Digital World Summit Greece 2024, με θέμα “#Κυβερνοασφάλεια, Ασφάλεια των Πολιτών και Τεχνητή Νοημοσύνη“! To πάνελ συντόνισε ο Κωνσταντίνος Αναγνωστόπουλος (Co-founder & Director, Athens Legal Tech), ενώ έδωσαν το παρόν ως ομιλητές και οι Ναταλία Σούλια (Senior Associate | Privacy, Data Protection & Cybersecurity, KG Law FIrm), Θωμάς Δομπρίδης (Προϊστάμενος της Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης), Αντώνης Μπρούμας (Επικεφαλής του τομέα δικαίου και τεχνολογίας, EY Πλατής-Αναστασιάδης) και Στέλλα Τσιτσούλα (Founder, RED.comm, Co-Founder | Women4Cyber GR | Founder Hellenic Cybersecurity Institute)!
Ευχαριστούμε τους διοργανωτές για την ευγενική πρόσκληση, όπως κάθε χρόνο, στο σημαντικό αυτό συνέδριο.
H Homo Digitalis με διπλή εκπροσώπηση στο Digital World Summit Greece
Η Homo Digitalis έχει τη μεγάλη τιμή και χαρά να συμμετέχει με διπλή εκπροσώπηση στο Digital World Summit Greece, την Τρίτη 28 Μαΐου στο Εθνικό Ίδρυμα Ερευνών!
Συγκεκριμένα, ο Αντιπρόεδρος μας και Partner στην Digital Law Experts (DLE), Στέφανος Βιτωράτος, θα συμμετέχει ως συντονιστής στο 1ο πάνελ του συνεδρίου, με θέμα “#ΑΙ: Η τομή ανάμεσα σε ρύθμιση και καινοτομία”, σε μία συναρπαστική συζήτηση που θα συμμετέχουν ως ομιλητές οι Δημήτρης Γερογιάννης (Πρόεδρος ΑΙ Catalyst), Λίλιαν Μήτρου (Καθηγήτρια, Τμήμα Μηχανικών Πληροφοριακών & Επικοινωνιακών Συστημάτων, Πανεπιστημίου Αιγαίου), Χαράλαμπος Τσέκερης (Προεδρεύων της Εθνικής Επιτροπής Βιοηθικής & Τεχνοηθικής), Γιάννης Μαστρογεωργίου (Ειδικός Γραμματέας Μακροπρόθεσμου Σχεδιασμού, Προεδρία της Ελληνικής Κυβέρνησης) και Φώτης Δραγανίδης (Διευθυντής Tεχνολογίας Microsoft Hellas).
Η Διευθύντρια μας για ζητήματα Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης, Λαμπρινή Γυφτοκώστα, θα συμμετέχει ως ομιλήτρια στο 2ο πάνελ του Digital World Summit Greece 2024, με θέμα “#Κυβερνοασφάλεια, Ασφάλεια των Πολιτών και #ΤεχνητήΝοημοσύνη“! To πολύ ενδιαφέρον αυτό πάνελ θα συντονίσει ο Κωνσταντίνος Αναγνωστόπουλος (Co-founder & Director, Athens Legal Tech), ενώ θα δώσουν το παρόν ως ομιλητές και οι Ναταλία Σούλια (Senior Associate | Privacy, Data Protection & Cybersecurity, KG Law FIrm), Θωμάς Δομπρίδης (Προϊστάμενος της Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης), Αντώνης Μπρούμας (Επικεφαλής του τομέα δικαίου και τεχνολογίας, EY Πλατής-Αναστασιάδης) και Στέλλα Τσιτσούλα (Founder, RED.comm, Co-Founder | Women4Cyber GR | Founder Hellenic Cybersecurity Institute)!
Μπορείτε να κάνετε εγγραφή και να διαβάσετε περισσότερα για το συνέδριο και το πρόγραμμά του εδώ.
Από την Εθνική στην Ψηφιακή Κυριαρχία: Η Οδύσσεια της Ταυτότητας στην Εποχή του eIDAS
Γράφουν οι Νικολέττα Γεωργακοπούλου, Χαράλαμπος Δάφτσιος και Αναστάσιος Αραμπατζής*
Στις 25 Μαρτίου, οι Έλληνες γιορτάζουμε την Ημέρα της Ανεξαρτησίας μας, σε ανάμνηση της εξέγερσης του 1821, σηματοδοτώντας μια κομβική στιγμή στην ιστορία του έθνους μας, όπου ο αγώνας για ταυτότητα και κυριαρχία θριάμβευσε. Αυτό το ιστορικό γεγονός συμβολίζει όχι μόνο την αναζήτηση της εθνικής ελευθερίας, αλλά και τη διαρκή ανθρώπινη προσδοκία για αυτοδιάθεση και ταυτότητα.
Στη σημερινή ψηφιακή εποχή, ένας παρόμοιος αγώνας εκτυλίσσεται εντός της Ευρωπαϊκής Ένωσης μέσω της εφαρμογής του πλαισίου eIDAS και της εμφάνισης των πορτοφολιών ευρωπαϊκής ψηφιακής ταυτότητας (EUDI). Ο αγώνας αυτός, κατά αναλογία της Ελληνικής Επανάστασης, είναι ένα σύγχρονο ταξίδι προς την ψηφιακή κυριαρχία, με στόχο την καθιέρωση ασφαλών, επαληθεύσιμων και καθολικά αποδεκτών ψηφιακών ταυτοτήτων για τους πολίτες της ΕΕ.
Η μάχη για την ταυτότητα
H Επανάσταση του 1821 δεν ήταν απλώς μια στρατιωτική αντιπαράθεση, αλλά μια βαθιά διεκδίκηση της πολιτιστικής και εθνικής ταυτότητας, ενσαρκώνοντας τη συλλογική λαχτάρα για αυτοδιοίκηση και αναγνώριση στην παγκόσμια σκηνή. Ήρωες όπως ο Θεόδωρος Κολοκοτρώνης και η Λασκαρίνα Μπουμπουλίνα έγιναν σύμβολα αυτής της μάχης, αναβιώνοντας το θάρρος και την ανθεκτικότητα που απαιτούνται για τη σφυρηλάτηση της ταυτότητας ενός έθνους. Η Επανάσταση αφορούσε τόσο τη δημιουργία μιας μοναδικής ελληνικής ταυτότητας όσο και την απόκτηση αυτονομίας, με το νεοσύστατο κράτος να επιδιώκει να συνδεθεί με το αρχαίο παρελθόν του και να θέσει τα θεμέλια για ένα κυρίαρχο μέλλον.
Στο σύγχρονο ψηφιακό πεδίο, η ΕΕ αντιμετωπίζει τη δική της μάχη για την ταυτότητα, αντιμετωπίζοντας τις πολυπλοκότητες της διαφύλαξης των προσωπικών δεδομένων και της καθιέρωσης αξιόπιστων ψηφιακών ταυτοτήτων για τους πολίτες της. Η κλοπή ταυτότητας, οι παραβιάσεις της ιδιωτικής ζωής και οι κυβερνοεπιθέσεις αποτελούν σύγχρονα ισοδύναμα των προκλήσεων που αντιμετωπίσαμε οι Έλληνες στον αγώνα μας για ανεξαρτησία. Όπως οι πρόγονοί μας αγωνίστηκαν για το δικαίωμα να ορίσουν την εθνική τους ταυτότητα, έτσι και οι σημερινοί πολίτες και θεσμοί της ΕΕ αγωνίζονται για την εξασφάλιση ψηφιακών ταυτοτήτων που εξασφαλίζουν την ιδιωτικότητα, την αποτελεσματικότητα και την εμπιστοσύνη στις διαδικτυακές αλληλεπιδράσεις.
Και στις δύο εποχές, το βασικό θέμα είναι η ταυτότητα – άλλοτε εθνική, τώρα ψηφιακή. Οι αγώνες αυτοί υπογραμμίζουν τη σημασία της ταυτότητας και της αυτοδιάθεσης ως ακρογωνιαίων λίθων της ελευθερίας και της κυριαρχίας σε κάθε εποχή.
eIDAS και EUDI: Το πλαίσιο της ψηφιακής ελευθερίας
O eIDAS, κανονισμός της ΕΕ που τέθηκε σε ισχύ το 2014, είναι σχεδιασμένος να διευκολύνει την ψηφιακή αλληλεπίδραση μέσα στην Ευρωπαϊκή Ένωση, επιτρέποντας την ασφαλή ηλεκτρονική ταυτοποίηση και τις ψηφιακές υπογραφές για διασυνοριακές συναλλαγές. Στόχος του είναι να χτίσει ψηφιακή εμπιστοσύνη και να διασφαλίσει την ασφάλεια στις ηλεκτρονικές συναλλαγές, ενισχύοντας έτσι την ψηφιακή κυριαρχία εντός της ΕΕ.
Τα πορτοφόλια ευρωπαϊκής ψηφιακής ταυτότητας (EUDI) αποτελούν μέρος της προσπάθειας της ΕΕ να ενισχύσει επιπλέον την ψηφιακή κυριαρχία, προσφέροντας στους πολίτες έναν ασφαλή και εύκολο τρόπο για τη διαχείριση της ψηφιακής τους ταυτότητας και πρόσβασης σε διάφορες υπηρεσίες. Στόχος η ενίσχυση της ψηφιακής αυτονομίας και η εξοικονόμηση χρόνου, μέσω της απαλοιφής της γραφειοκρατίας. Τα EUDI επιτρέπουν την ασφαλή επαλήθευση ταυτότητας, την ψηφιακή υπογραφή εγγράφων και την πρόσβαση σε δημόσιες και ιδιωτικές υπηρεσίες, διευκολύνοντας την καθημερινή ζωή και ενισχύοντας την ασφάλεια και την ιδιωτικότητα των πολιτών της ΕΕ. Πιο συγκεκριμένα, ο πολίτης θα επιλέγει τι θα κοινοποιεί και σε ποιον κάθε φορά.
Κυριαρχία: Δρόμοι Παράλληλοι
Ο αγώνας της Ελλάδας για ανεξαρτησία αλλά και η σύγχρονη προσπάθεια της Ευρωπαϊκής Ένωσης για επίτευξη ψηφιακής κυριαρχίας αποτελούν δρόμους παράλληλους στον αγώνα για αυτοδιάθεση.
Σε αμφότερες τις περιπτώσεις, η ενότητα και οι κοινές αξίες έχουν καθοριστικό ρόλο στην αντιμετώπιση των προκλήσεων, αντικατοπτρίζοντας την ισχύ της συλλογικής προσπάθειας έναντι της ατομικής. Επιπλέον, η ασφάλεια, είτε πρόκειται για την προστασία των συνόρων είτε για την ασφάλεια στον κυβερνοχώρο, παραμένει κεντρική προτεραιότητα, απαραίτητη για την ενίσχυση της εμπιστοσύνης μεταξύ των πολιτών. Έτσι, και οι δύο διαδρομές προς την κυριαρχία -η εθνική και η ψηφιακή- επισημαίνουν την αξία της ενότητας, των κοινών αξιών και της ασφάλειας, ως θεμελιώδη στοιχεία για την προώθηση της αυτοδιάθεσης και την αντιμετώπιση των προκλήσεων σε κάθε περίπτωση.
Μελλοντικές Προκλήσεις και Δυνατότητες
Η ενεργή συμμετοχή των Ελλήνων πολιτών σε πρωτοβουλίες ψηφιακής ταυτότητας, όπως το EUDI, αποτελεί μια σπουδαία ευκαιρία για σύγχρονη συμμετοχή στη δημοκρατική διαδικασία. Μέσω της ενσωμάτωσης σε αυτό το ψηφιακό οικοσύστημα, οι Έλληνες πολίτες ενδυναμώνουν τη δική τους φωνή και συμβάλλουν στην κατασκευή μιας πιο ανοιχτής, διαδραστικής και διαφανούς κοινωνίας. Είναι άραγε, η ενεργός συμμετοχή στην ψηφιακή εποχή είναι πλέον ένας ουσιαστικός τρόπος για την ενίσχυση της δημοκρατίας και της προσωπικής ελευθερίας;
Τα EUDI έχουν τη δυνατότητα να επαναπροσδιορίσουν την ιδιότητα του πολίτη. Επιτρέποντας την ασφαλή αποθήκευση και διαχείριση προσωπικών δεδομένων, ενισχύουν την ιδιωτικότητα μέσω ελεγχόμενης πρόσβασης και συναίνεσης. Η ψηφιακή ταυτότητα διευκολύνει την ασφαλή αλληλεπίδραση με δημόσιες υπηρεσίες και ιδιωτικές εταιρείες, προσφέροντας προστασία από απάτες και κυβερνοεπιθέσεις. Αυτή η εξέλιξη υπόσχεται μια νέα εποχή ψηφιακής αυτονομίας, διασφαλίζοντας την ασφάλεια και την εμπιστοσύνη στις ψηφιακές συναλλαγές, ενώ ταυτόχρονα ενδυναμώνει τη δημοκρατική συμμετοχή μέσω της ψηφιακής πρόσβασης. Ωστόσο, κάθε νόμισμα έχει δύο όψεις και δεν υπάρχουν μόνο πλεονεκτήματα.
Τελικές Σκέψεις και Προβληματισμοί
Στην εποχή μας, όπου η ελαχιστοποίηση του χρόνου για την εκτέλεση εργασιών είναι το πλέον ζητούμενο, το EUDI φαντάζει ως ένα εξαιρετικό εργαλείο.Είναι πολύ λογικό πολλοί από εμάς να εντυπωσιαστούμε από τις δυνατότητες του. Ωστόσο, με μια δεύτερη ανάγνωση προβληματιζόμαστε τόσο για τεχνικά και ρυθμιστικά όσο και για κοινωνικά ζητήματα που θα ανακύψουν. Υπάρχουν εγγυήσεις για ασφάλεια και διαλειτουργικότητα των συστημάτων; Θα έχουμε πάντα πρόσβαση στα δεδομένα μας ή υπάρχει ο κίνδυνος να αποκλειστούμε λόγω τεχνικού σφάλματος; Έπειτα, διασφαλίζεται η ιδιωτικότητα, εμπιστευτικότητα και η προστασία των προσωπικών δεδομένων ενιαία σε όλα τα κράτη-μέλη; Περαιτέρω, η κοινωνία είναι έτοιμη να ξανασυστηθεί ψηφιακά και να μεταβεί σε ένα άυλο κόσμο και να γνωρίσει τους κινδύνους του; Ο πολίτης, έχει την ελευθερία να διαμορφώσει αυτό το πλαίσιο ή θα ενταχθεί σε ένα ήδη ρυθμισμένο πλαίσιο χωρίς δυνατότητα ελεύθερης δράσης;
Αυτή η εξέλιξη υπόσχεται μια νέα εποχή ψηφιακής αυτονομίας, η οποία ωστόσο απαιτεί ορισμένες θυσίες. Οι υποχωρήσεις που πρέπει να γίνουν ενδεχομένως να είναι δυσανάλογες και ενδεχομένως να μην υπάρχει “κουμπί” αναίρεσης και επιστροφής στην προτέρα κατάσταση.
* Η Νικολέττα Γεωργακοπούλου είναι Δικηγόρος – DPO, ο Χαράλαμπος Δάφτσιος, είναι Σύμβουλος Ψηφιακού Μετασχηματισμού και ο Αναστάσιος Αραμπατζής είναι Επαγγελματίας & Αρθρογράφος Κυβερνοασφάλειας