Ο Προτεινόμενος Κανονισμός για την Πρόληψη και Καταπολέμηση της Σεξουαλικής Κακοποίησης Παιδιών: Νομικές Προκλήσεις και Δημοκρατικά Διακυβεύματα
Γράφει o Στέργιος Κωνσταντίνου*
1. Εισαγωγή
Η Ευρωπαϊκή Επιτροπή, στις 11 Μαΐου 2022, παρουσίασε την πρόταση Κανονισμού για την πρόληψη και καταπολέμηση της σεξουαλικής κακοποίησης παιδιών (Regulation to Prevent and Combat Child Sexual Abuse - CSA Regulation), με αριθμό αναφοράς 2022/0155(COD). Η πρόταση αποσκοπεί στη δημιουργία ενός υποχρεωτικού ενωσιακού πλαισίου για την ανίχνευση, αναφορά και αφαίρεση υλικού σεξουαλικής κακοποίησης παιδιών (CSAM) από διαδικτυακές υπηρεσίες επικοινωνίας.
Η ανάγκη προστασίας των παιδιών είναι αυτονόητη και θεμιτή. Ωστόσο, η προτεινόμενη λύση εγείρει σοβαρά νομικά και τεχνικά ζητήματα, που σχετίζονται με τον σεβασμό των θεμελιωδών δικαιωμάτων, την κυβερνοασφάλεια και τη νομολογιακή παράδοση της Ευρωπαϊκής Ένωσης.
2. Ιστορικό -Τρέχουσα Νομοθετική Κατάσταση
Η πορεία προς τον προτεινόμενο Κανονισμό για την πρόληψη και καταπολέμηση της σεξουαλικής κακοποίησης παιδιών ξεκίνησε με τη Στρατηγική της ΕΕ (2020-2025), που έθεσε τα θεμέλια για μόνιμο νομοθετικό πλαίσιο. Ακολούθησε το μεταβατικό καθεστώς της «προσωρινής παρέκκλισης» (Chat Control 1.0) [1], η οποία επιτρέπει μέχρι το 2026 στους παρόχους να συνεχίσουν εθελοντικές πρακτικές ανίχνευσης.
Στις 11 Μαΐου 2022, η Επιτροπή παρουσίασε την κύρια πρόταση κανονισμού (2022/0155 COD), εισάγοντας την υποχρέωση εντοπισμού και αναφοράς CSAM και grooming. Η πρόταση προκάλεσε έντονες αντιδράσεις: ο Ευρωπαϊος Επόπτης για την Προστασία Δεδομένων (εφεξής «EDPS» ή «ΕΕΠΔ») και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ» ή «EDPB») προειδοποίησαν για παραβίαση θεμελιωδών δικαιωμάτων, ενώ δημοσιογραφικές έρευνες και παρεμβάσεις οργανώσεων πολιτών ανέδειξαν ζητήματα διαφάνειας και συγκρούσεων συμφερόντων [2].
Το Ευρωπαϊκό Κοινοβούλιο υιοθέτησε τον Νοέμβριο 2023 τη θέση του [3], εισάγοντας κρίσιμες τροποποιήσεις: εξαίρεση της end-to-end κρυπτογράφησης, περιορισμό των εντολών ανίχνευσης (εξηγείται κατωτέρω) σε περιπτώσεις συγκεκριμένης υποψίας και ενίσχυση δικλείδων ασφαλείας. Αντίθετα, στο Συμβούλιο της Ε.Ε., οι διαδοχικές προεδρίες (Βέλγιο, Ουγγαρία, Πολωνία) απέτυχαν να εξασφαλίσουν συναίνεση, καθώς ισχυρή «μειοψηφία αποκλεισμού» κρατών-μελών (Γερμανία, Λουξεμβούργο, Αυστρία, Ολλανδία κ.ά.) αντιτάχθηκε στη γενικευμένη σάρωση. Η Δανική Προεδρία (2025) επιχειρεί εκ νέου συμβιβασμό, με ψηφοφορία να αναμένεται τον Οκτώβριο 2025.
Παράλληλα, εξελίξεις όπως η προτεινόμενη αναθεώρηση της Οδηγίας 2011/93/ΕΕ και νομολογιακές κρίσεις (π.χ. του ΕΔΔΑ το 2024, που απέρριψε την υποχρέωση υποβάθμισης της κρυπτογράφησης) διαμορφώνουν το περιβάλλον της συζήτησης. Η Ελλάδα παραμένει επισήμως αναποφάσιστη, γεγονός που αναδεικνύει την ανάγκη διαφάνειας και δημόσιας λογοδοσίας.
3. Εντολές ανίχνευσης (Detection Orders) – Τι είναι και ποια η διαδικασία
3.1. Τι είναι η εντολή ανίχνευσης;
Η έκδοση εντολών ανίχνευσης αποτελεί το πλέον αμφιλεγόμενο στοιχείο του προτεινόμενου κανονισμού. Συγκεκριμένα, αποτελεί το νομικό εργαλείο βάσει του οποίου οι αρμόδιες αρχές μπορούν να υποχρεώσουν έναν πάροχο υπηρεσιών επικοινωνίας να εφαρμόσει τεχνολογικά μέτρα.
3.2. Ποια θα είναι η διαδικασία έκδοσής μιας εντολής ανίχνευσης;
- Αίτημα αρχής: Η αρμόδια εθνική αρχή (δικαστική ή ανεξάρτητη διοικητική αρχή) διαπιστώνει ότι ένας πάροχος ενέχει σοβαρό κίνδυνο να χρησιμοποιείται για διάδοση CSAM και ότι τα γενικά μέτρα συμμόρφωσης δεν επαρκούν.
- Έκδοση εντολής: Η εντολή ανίχνευσης καθορίζει το εύρος (τύπος περιεχομένου: γνωστό CSAM, νέο CSAM ή grooming [4]), τη διάρκεια (περιορισμένη χρονικά), και τα μέτρα που πρέπει να ληφθούν.
- Εφαρμογή από τον πάροχο: Ο πάροχος υποχρεούται να εγκαταστήσει τα σχετικά εργαλεία σάρωσης, τα οποία ενδέχεται να λειτουργούν ακόμη και σε end-to-end κρυπτογραφημένες υπηρεσίες μέσω τεχνολογιών όπως το client-side scanning.
- Αναφορά: Ο πάροχος πρέπει να αναφέρει στις αρχές τυχόν ευρήματα. Εν προκειμένω ωστόσο δεν υπάρχει σαφές πλαίσιο με τις υποχρεώσεις ενεργειών των παρόχων όταν δεν θα υπάρχουν ευρήματα
- Έλεγχος & εποπτεία: Θεωρητικά η εντολή υπόκειται σε δικαστικό ή διοικητικό έλεγχο για να διασφαλίζεται η νομιμότητα και η αναλογικότητα.
3.3. Περιορισμοί
Περιορισμοί στην διαδικασία, πολλοί εκ των οποίων τέθηκαν από το Ευρωπαϊκό Κοινοβούλιο, περιλαμβάνουν:
Αρχή της Εσχάτης Εκδοχής: Σύμφωνα με την Ευρωπαϊκή Επιτροπή, η ανίχνευση επιβάλλεται ως μέτρο έσχατης ανάγκης στους παρόχους υπηρεσιών. Μια εντολή ανίχνευσης θα επιβάλλεται μόνο αφού διαπιστωθεί ότι η αξιολόγηση κινδύνων και τα μέτρα μετριασμού του παρόχου υπηρεσιών δεν επαρκούν για την προστασία των θεμελιωδών δικαιωμάτων των παιδιών [5].
Στοχευμένη Εφαρμογή: Η θέση του Ευρωπαϊκού Κοινοβουλίου προβλέπει ότι οι εντολές ανίχνευσης θα χρησιμοποιούνται μόνο εάν υπάρχει εύλογη υποψία ότι μεμονωμένοι χρήστες ή ομάδες συνδέονται με υλικό σεξουαλικής κακοποίησης παιδιών. Τα εντάλματα θα είναι χρονικά περιορισμένα, με τις κρυπτογραφημένες επικοινωνίες end-to-end και τα κείμενα μηνύματα να εξαιρούνται από το πεδίο εφαρμογής τους [6].
Παράνομο υλικό: Σύμφωνα με την Ευρωπαϊκή Επιτροπή, η ανίχνευση θεωρητικά θα αφορά σαφώς παράνομο περιεχόμενο, ήτοι υλικό σεξουαλικής κακοποίησης παιδιών. Η διάκριση μεταξύ γνωστού και νέου υλικού σεξουαλικής κακοποίησης παιδιών (CSAM) είναι κρίσιμη για τη νομική αξιολόγηση, καθώς η ανίχνευση νέου υλικού συνεπάγεται σημαντικά υψηλότερους κινδύνους για τα θεμελιώδη δικαιώματα λόγω των υψηλών ποσοστών λανθασμένων αποτελεσμάτων. Παράλληλα, η επισήμανση πιθανών συνομιλιών με σκοπό την παιδική σεξουαλική κακοποίηση θα βασίζεται σε ταξινομητές τεχνητής νοημοσύνης που έχουν εκπαιδευτεί σε επιβεβαιωμένες περιπτώσεις παιδικής σεξουαλικής κακοποίησης. Εντούτοις, δεν παρέχεται καμία πληροφορία ως προς τα μέτρα για την διασφάλιση των θεμελιωδών δικαιωμάτων των χρηστών
Χρονικός Περιορισμός: Σύμφωνα με την Ευρωπαϊκή Επιτροπή, οι εντολές ανίχνευσης θα είναι χρονικά περιορισμένα και θα υπόκεινται σε επανεξετάσεις. Αυτή η διαδικαστική εγγύηση αποσκοπεί στη διασφάλιση ότι τα μέτρα παραμένουν αναλογικά και αναγκαία καθ' όλη τη διάρκεια της εφαρμογής τους.
3.4. Εποπτική Αρχή
Σύμφωνα με την Ευρωπαϊκή Επιτροπή, το προτεινόμενο «Κέντρο για την Πρόληψη και Καταπολέμηση της Σεξουαλικής Κακοποίησης Παιδιών» της Ε.Ε. θα διαδραματίσει κεντρικό ρόλο στη διαδικασία καθώς θα συνεργάζεται με αντίστοιχα κέντρα όπως των Η.Π.Α., του Καναδά, της Αυστραλίας, θα υποστηρίζει τον ιδιωτικό τομέα, παρέχοντάς του βάση δεδομένων που περιλαμβάνει δείκτες για τον εντοπισμό της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο. Ωστόσο, δεν παρέχεται καμία πληροφορία ως προς την συνεργασία του Κέντρου αυτού με τις Αρχές Προστασίας Δεδομένων των κρατών – μελών καθώς και τις εποπτικές αρχές που έχουν οριστεί για την διασφάλιση των θεμελιωδών δικαιωμάτων από τα μοντέλα AI στα κράτη μέλη, θέτοντας ζήτημα θεσμικής ισορροπίας και ελέγχου..
4. Τεχνικό σκέλος - Ανεπάρκειες και Κίνδυνοι Ασφαλείας
4.1. Υπονόμευση της Κρυπτογράφησης
Η ανίχνευση περιεχομένου σε υπηρεσίες με end-to-end κρυπτογράφηση προϋποθέτει την εφαρμογή τεχνολογιών "client-side scanning". Αυτό δημιουργεί συστημικές τρωτότητες ασφαλείας που μπορούν να αξιοποιηθούν από εγκληματικές οργανώσεις ή εχθρικούς παράγοντες.
4.2. Τι είναι το Client-Side Scanning
Το client-side scanning (CSS) είναι η τεχνολογική μέθοδος με την οποία επιδιώκεται η υλοποίηση των εντολών ανίχνευσης σε πλατφόρμες με end-to-end κρυπτογράφηση.
Αντί η σάρωση να γίνεται στον διακομιστή, πραγματοποιείται στη συσκευή του χρήστη (π.χ. κινητό, υπολογιστής), πριν ή κατά την αποστολή ενός μηνύματος ή αρχείου. Η συσκευή συγκρίνει το περιεχόμενο με βάσεις δεδομένων «ψηφιακών αποτυπωμάτων» γνωστού CSAM. Αν υπάρξει ταυτοποίηση, αποστέλλεται ειδοποίηση στις αρχές. Στην πράξη, το CSS παρακάμπτει την κρυπτογράφηση, αφού η ανίχνευση γίνεται πριν αυτή ενεργοποιηθεί.
5. Νομική Βάση και Διαδικαστικά Ζητήματα
5.1. Νομική Βάση
Η πρόταση στηρίζεται στο Άρθρο 114 ΣΛΕΕ (εσωτερική αγορά), λειτουργώντας ως lex specialis έναντι του Digital Services Act (DSA), γεγονός που επηρεάζει το σύνολο της ευρωπαϊκής ψηφιακής νομοθεσίας. Ωστόσο, πρόκειται για νομική βάση που παραδοσιακά χρησιμοποιείται για ζητήματα αγοράς, όχι για τόσο παρεμβατικές ρυθμίσεις που επηρεάζουν θεμελιώδη δικαιώματα.
5.2. Παραβίαση Θεμελιωδών Δικαιωμάτων
5.2.1. Παραβίαση των Άρθρων 7 και 8 του ΧΘΔΕΕ
Η πρόταση εγείρει σοβαρά ερωτήματα ως προς τη συμβατότητά της με τα Άρθρα 7 (Σεβασμός της ιδιωτικής και οικογενειακής ζωής) και 8 (προστασία δεδομένων προσωπικού χαρακτήρα) του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (εφεξής «ΧΘΔΕΕ»). Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), στην κοινή τους γνώμη 04/2022, κατέληξαν ότι η πρόταση θα μπορούσε να καταστεί η βάση για de facto γενικευμένη και διακριτική σάρωση του περιεχομένου σχεδόν όλων των τύπων ηλεκτρονικών ιδιωτικών επικοινωνιών των χρηστών των εφαρμογών [7].
5.2.2. Νομολογιακό Πλαίσιο του Δικαστηρίου της Ευρωπαϊκής Ένωσης
Το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ») έχει καθιερώσει σταθερή νομολογία κατά της γενικευμένης επιτήρησης. Στις υποθέσεις Digital Rights Ireland [8] (C-293/12), Tele2 Sverige (C-203/15) και La Quadrature du Net (C-511/18, C-512/18, C-520/18), το ΔΕΕ αποφάνθηκε ότι το ενωσιακό δίκαιο αποκλείει εθνικά νομοθετικά μέτρα που προβλέπουν, ως προληπτικό μέτρο, τη γενική και διακριτική διατήρηση δεδομένων κίνησης και τοποθεσίας σχετικά με ηλεκτρονικές επικοινωνίες, για σκοπούς καταπολέμησης σοβαρού εγκλήματος [9].
5.2.3. Το Κριτήριο του Άρθρου 52(1) του Χάρτη
Πέραν της συγκεκριμένης νομολογίας περί γενικευμένης επιτήρησης, η πρόταση αντιμετωπίζει θεμελιώδες πρόβλημα σχετικά με τον έλεγχο αναλογικότητας που προβλέπει το Άρθρο 52(1) του Χάρτη, το οποίο απαιτεί κάθε περιορισμός των θεμελιωδών δικαιωμάτων να προβλέπεται από τον νόμο, να σέβεται την ουσία αυτών των δικαιωμάτων, και υπό την αρχή της αναλογικότητας, να επιβάλλεται μόνο εάν είναι αναγκαίος και ανταποκρίνεται πραγματικά σε στόχους γενικού συμφέροντος.
Η διαδικασία των εντολών ανίχνευσης, ακόμη και με τις προτεινόμενες εγγυήσεις, αδυνατεί να περάσει τον τριπλό έλεγχο της νομιμότητας, αναγκαιότητας και αναλογικότητας stricto sensu που απαιτεί το Άρθρο 52(1).
5.2.4. Παραβίαση του Άρθρου 11 του Χάρτη
Η δυνητική επίδραση "chilling effect" στην ελευθερία της έκφρασης και πληροφόρησης (Άρθρο 11 του Χάρτη) συνιστά επιπλέον προβληματική διάσταση της πρότασης, καθώς οι πολίτες ενδέχεται να αυτο-περιορίζονται στην ψηφιακή τους έκφραση υπό τον φόβο παρακολούθησης.
6. Πρακτικές Επιπτώσεις και Κοινωνικό-Οικονομικές Συνέπειες
Η υιοθέτηση του προτεινόμενου κανονισμού θα επιφέρει σοβαρές πρακτικές συνέπειες για επιχειρήσεις, πολίτες και την ευρύτερη κοινωνία:
Επιχειρηματικές Επιπτώσεις: Οι πάροχοι υπηρεσιών θα αναγκαστούν να αναδιαρθρώσουν ριζικά την αρχιτεκτονική ασφαλείας τους, με αυξημένο κόστος συμμόρφωσης που θα μεταφερθεί στους καταναλωτές. Η αβεβαιότητα ως προς την τεχνική εφαρμογή θα αποθαρρύνει επενδύσεις σε καινοτόμες τεχνολογίες ασφαλείας.
Κοινωνικές Επιπτώσεις: Η δημιουργία κλίματος καχυποψίας θα επηρεάσει δυσανάλογα ευάλωτες ομάδες που βασίζονται στην ανώνυμη επικοινωνία για την προστασία τους, συμπεριλαμβανομένων δημοσιογράφων, ακτιβιστών ανθρωπίνων δικαιωμάτων και θυμάτων ενδοοικογενειακής βίας.
Γεωπολιτικές Επιπτώσεις: Η ΕΕ θα χάσει το ηθικό πλεονέκτημα στις διεθνείς συζητήσεις περί ψηφιακών δικαιωμάτων, παρέχοντας πολύτιμα επιχειρήματα σε αυταρχικά καθεστώτα για την αιτιολόγηση των δικών τους μέτρων επιτήρησης. Παράλληλα, θα υπάρχει πλέον σε όλες τις υποδομές επικοινωνίας που διαθέτει μια τρωτότητα σε ό, τι αφορά την κρυπτογράφηση, η οποία μπορεί να οδηγήσει σε σοβαρά ζητήματα της άμυνας των κρατών – μελών.
7. Συμπεράσματα
Η προστασία των παιδιών είναι αδιαπραγμάτευτη, αλλά η επιδίωξή της δεν μπορεί να στηρίζεται σε μέτρα που παραβιάζουν τα θεμελιώδη δικαιώματα και υπονομεύουν την ψηφιακή ασφάλεια.
Παρά τις διαδικαστικές εγγυήσεις, η προτεινόμενη διαδικασία εγείρει σοβαρά ερωτήματα αναλογικότητας. Η εφαρμογή στις κρυπτογραφημένες υπηρεσίες μέσω client-side scanning καθιστά την προστασία εκ σχεδιασμού αναποτελεσματική, ενώ η γενικευμένη φύση της σάρωσης δεν ικανοποιεί το κριτήριο της στοχευμένης παρέμβασης που απαιτεί η νομολογία του ΔΕΕ. Πρακτικά, η φύση των εντολών ανίχνευσης προσιδιάζει περισσότερο σε γενικευμένη επιτήρηση, κάτι που η νομολογία του ΔΕΕ έχει απορρίψει επανειλημμένα.
Ο προτεινόμενος κανονισμός, στη σημερινή του μορφή, αδυνατεί να ικανοποιήσει τα κριτήρια αναγκαιότητας και αναλογικότητας που απαιτούνται από τη νομολογία του ΔΕΕ. Η υιοθέτησή του θα συνιστούσε παραβίαση του ουσιώδους περιεχομένου θεμελιωδών δικαιωμάτων όπως αυτών της ιδιωτικής και οικογενειακής ζωής και της προστασίας προσωπικών δεδομένων.
Παραπομπές
[1]Κανονισμός (ΕΕ) 2021/1232.του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουλίου 2021, περί προσωρινής παρεκκλίσεως από ορισμένες διατάξεις της οδηγίας 2002/58/ΕΚ όσον αφορά τη χρήση τεχνολογιών από παρόχους υπηρεσιών διαπροσωπικών επικοινωνιών ανεξαρτήτως αριθμών για την επεξεργασία προσωπικών και άλλων δεδομένων, προς καταπολέμηση της σεξουαλικής κακοποίησης παιδιών στο διαδίκτυο
[2] ΕΣΠΔ-ΕΕΠΔ, «Κοινή γνωμοδότηση 4/2022 σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση κανόνων με σκοπό την πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης παιδιών, 28/07/2022
[3] Ευρωπαϊκό Κοινοβούλιο, «ΕΚΘΕΣΗ σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση κανόνων με σκοπό την πρόληψη και την καταπολέμηση της σεξουαλικής κακοποίησης παιδιών», 16.11.2023 - (COM(2022)0209 – C9‑0174/2022 – 2022/0155(COD))
[4] Εσκεμμένη προσέγγιση και επικοινωνία με ανήλικο, κυρίως μέσω διαδικτυακών μέσων, με σκοπό τη χειραγώγησή του και την προετοιμασία για μελλοντική σεξουαλική κακοποίηση ή εκμετάλλευση.
[5] Ευρωπαϊκή Επιτροπή, «Συχνές ερωτήσεις», ερώτημα «Πως θα διασφαλίσει η νομοθεσία αυτή την προστασία της ιδιωτικής ζωής», προσπελάστηκε στις 15/9/2025, ώρα 13:07
[6] Ευρωπαϊκό Κοινοβούλιο, «How the EU is fighting child sexual abuse online», προσπελάστηκε στις 15/9/2025, ώρα 13:11
[7] 'EDPB-EDPS Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (28 July 2022)
[8] Με την απόφαση «Digital Rights Ireland» καταργήθηκε η Οδηγία 2006/24/ΕΚ, την οποία ενσωμάτωσε ο ν. 3917/2011, ο οποίος παραμένει σε ισχύ στην Ελλάδα.
[9] ΔΕΕ, Commissioner of An Garda Síochána,C140/20, 5/4/2022.
*Ο Στέργιος Κωνσταντίνου είναι Δικηγόρος, Advanced LLM – IP & ICT Law και διαθέτει μεταξύ άλλων πιστοποιήσεις CIPP/E, CIPM, FIP
Καταθέσαμε στο Υπουργείο Παιδείας, Θρησκευμάτων και Αθλητισμού Αίτημα Χορήγησης Εγγράφων για το Μνημόνιο Συνεργασίας «OpenAI for Greece»
Στην Homo Digitalis υποστηρίζουμε τις καινοτομίες που φέρνουν οι νέες τεχνολογίες και πιστεύουμε ότι μπορούν να συμβάλουν ουσιαστικά στη βελτίωση της κοινωνίας μας, εφόσον η χρήση τους γίνεται με σεβασμό στο ισχύον νομικό πλαίσιο και με στόχο την προώθηση και προστασία των δικαιωμάτων και ελευθεριών όλων μας. Στοχεύουμε σε έναν καλύτερο κόσμο, όπου η υιοθέτηση τεχνολογικών λύσεων αποτελεί προϊόν κριτικής σκέψης και αποτέλεσμα ενημερωμένων και ισορροπημένων αποφάσεων.
Με αυτό το πρίσμα, μας προβλημάτισε η υπογραφή, την Παρασκευή 5 Σεπτεμβρίου, του Μνημονίου Συνεργασίας «OpenAI for Greece» από το Υπουργείο Παιδείας, Θρησκευμάτων και Αθλητισμού με την OpenAI και άλλους φορείς, για την πιλοτική χρήση του εργαλείου ChatGPT Edu από εκπαιδευτικούς και μαθητές σε 20 Λύκεια της χώρας.
Πώς θα αισθάνονται οι εκπαιδευτικοί και οι μαθητές όταν καλούνται να χρησιμοποιούν εργαλεία μιας εταιρείας όπως η OpenAI, στην οποία έχει ήδη επιβληθεί πρόστιμο 15 εκατομμυρίων ευρώ για παραβάσεις της νομοθεσίας περί προσωπικών δεδομένων στην Ιταλία και η οποία τελεί υπό έρευνα για πιθανές παραβάσεις και σε άλλες χώρες, όπως η Αυστρία;
Και με ποιο σκεπτικό προκρίνονται συστήματα Τεχνητής Νοημοσύνης που βασίζονται σε λογισμικό αποκλειστικής εκμετάλλευσης από τεχνολογικούς κολοσσούς των ΗΠΑ, έναντι αντίστοιχων εργαλείων που θα μπορούσαν να αναπτυχθούν με ελεύθερο και ανοικτό λογισμικό από ερευνητικά κέντρα και φορείς στην Ελλάδα; Η επιλογή αυτή παραβλέπει τη στρατηγική της Ευρωπαϊκής Ένωσης για την ενίσχυση της ανοικτότητας, της διαφάνειας και της τεχνολογικής κυριαρχίας και, σε περίπτωση γενικευμένης υιοθέτησης, οδηγεί αναπόφευκτα σε εξάρτηση του εκπαιδευτικού μας συστήματος από ιδιόκτητο λογισμικό και εταιρείες ξένων συμφερόντων.
Με βάση όλα τα ανωτέρω, καταθέσαμε σήμερα (αριθμός πρωτ. 108260/8/9/2025 και συμπληρωματικά 110202/11/9/2025) ενώπιον του Υπουργείου Παιδείας, Θρησκευμάτων και Αθλητισμού αίτημα χορήγησης εγγράφων και παροχής πληροφοριών με το οποίο εκφράζουμε λεπτομερώς τους προβληματισμούς μας και αιτούμαστε πρόσβαση τόσο στο Μνημόνιο Συνεργασίας όσο και σε άλλα σχετικά νομικά παραδοτέα που θα πρέπει να έχουν εκπονηθεί σχετικά με τις υποχρεώσεις που ανακύπτουν από τον Ν.4624/2019 και τον Ν. 4961/2022.
Μπορείτε να δείτε το αίτημά μας εδώ.
Συμμετοχή της Homo Digitalis στην τελική Γενική Συνέλευση και εκδήλωση πολιτικής του έργου EITHOS
Αυτή την εβδομάδα (2–3/9), ο Εκτελεστικός Διευθυντής της Homo Digitalis, Λευτέρης Χελιουδάκης, συμμετείχε διαδικτυακά στην εκδήλωση πολιτικής του ευρωπαϊκού έργου EITHOS καθώς και στην τελική Γενική Συνέλευσή του.
Στο πλαίσιο της ιδιότητάς του ως pro bono μέλος του Εξωτερικού Συμβουλευτικού Οργάνου του έργου, ο Ελευθέριος συνέβαλε στην 3η συνεδρία με τίτλο «Ψηφιακή Εκπαίδευση και Ασφάλεια στο Διαδίκτυο για τη Νεολαία». Η παρουσίασή του εστίασε στη χρήση deepfakes υλικού παιδικής εκμετάλλευσης από νέους, ανέδειξε βασικές διατάξεις του Ελληνικού Ποινικού Κώδικα και τόνισε πώς οι εκπαιδευτικές πρωτοβουλίες μπορούν να διαδραματίσουν κρίσιμο ρόλο στην ευαισθητοποίηση για τις υποχρεώσεις και τα δικαιώματα των θυμάτων.
Επιπλέον, συμμετείχε στη σχετική συνάντηση του κοινοπραξίας με το Εξωτερικό Συμβουλευτικό Όργανο.
Ευχαριστούμε θερμά τους διοργανωτές και τα υπόλοιπα μέλη του Εξωτερικού Συμβουλευτικού Οργάνου για την ευγενική πρόσκληση και την άψογη συνεργασία καθ’ όλη τη διάρκεια υλοποίησης του έργου.
Η μυστικοπάθεια του Ιουλίου Καίσαρα: Μια ιστορική αναδρομή στις μεθόδους κρυπτογράφησης
Γράφει o Γιάννης Ντόκος*
Φαντάσου, για μια στιγμή, τον Ιούλιο Καίσαρα να ζει τον 21ο αιώνα. Όχι πλέον με χρυσή πανοπλία και λεγεώνες να τον υπηρετούν, αλλά με ένα κινητό στο χέρι που θα είχε σίγουρα ενεργοποιημένη διπλή επαλήθευση, face unlock και VPN! Γιατί; Γιατί, όπως φαίνεται, ο Καίσαρας εκτιμούσε ιδιαίτερα την ιδιωτικότητα των συνομιλιών του. Ήξερε ότι οι πληροφορίες είναι δύναμη και ότι, αν θες να τις κρατήσεις ασφαλείς, πρέπει να τις προστατεύσεις.
Πώς φτάσαμε όμως από τον πιο μυστικοπαθή αυτοκράτορα που έζησε ποτέ, στους “αλγορίθμους AES” και τα “κλειδιά RSA”; Εμπρός, πίσω, στην αρχαία Ρώμη!
Από το πεδίο της μάχης στα μυστικά μηνύματα
Η Ρώμη του 1ου αιώνα π.Χ. ήταν γεμάτη κατασκόπους, προδότες και περίεργους τύπους. Σαν το Facebook, ένα πράγμα: ό,τι έλεγες, μπορούσε να διαρρεύσει, και το κουτσομπολιό έπαιρνε κι έδινε!
Ο Ιούλιος Καίσαρας ήξερε πως κάθε γράμμα που έστελνε στους συμμάχους του μπορούσε να πέσει στα λάθος χέρια. Έτσι εφηύρε μια απλή αλλά αποτελεσματική μέθοδο για να προστατεύσει τα μηνύματα αυτά: την κρυπτογράφηση. Συγκεκριμένα, ανέπτυξε αυτό που σήμερα ονομάζουμε “ο Κώδικας του Καίσαρα” (“Caesar cipher”).
Τι είναι ο Κώδικας του Καίσαρα;
Για να λέμε την αλήθεια, όχι κάτι εξαιρετικά περίπλοκο. Ο Καίσαρας βασίστηκε στην ιδέα της αντικατάστασης. Έπαιρνε κάθε γράμμα του μηνύματος και το μετατόπιζε κατά έναν σταθερό αριθμό θέσεων στο αλφάβητο. Για παράδειγμα, με μετατόπιση +3, το Α γινόταν Δ, το Β γινόταν Ε, το Γ γινόταν Ζ κ.ο.κ.
Έτσι, η γνωστή του φράση: Veni, vidi, vici με την εφαρμογή του κώδικα του Καίσαρα με μετατόπιση +3 γινόταν:
Yhql, ylgl, ylfl
Βέβαια, αυτό ήταν ένα μήνυμα που έκανε ο ίδιος γνωστό τοις πάσι, οπότε η κρυπτογράφησή του δε θα είχε ιδιαίτερο νόημα!
Το Yhql, ylgl, ylfl, για τα μάτια ενός απλού στρατιώτη ή πολίτη, φαινόταν ακατανόητο. Μόνο οι πραγματικά “ψαγμένοι” της εποχής ήξεραν τον αριθμό μετατόπισης και μπορούσαν να επαναφέρουν το μήνυμα στην αρχική του μορφή (μετατοπίζοντας τα νέα γράμματα 3 θέσεις πίσω).
Γιατί δούλευε τότε, αλλά όχι σήμερα;
Τον 1ο αιώνα π.Χ., η ιδέα αυτή ήταν επαναστατική. Η μαθηματική θεωρία της κρυπτογραφίας δεν ήταν διαδεδομένη στον απλό κόσμο, υπολογιστές δεν υπήρχαν (παρά μόνο στα Αντικύθηρα) για να δοκιμάσουν όλες τις πιθανές μετατοπίσεις. Σπανίως κάποιος να καταλάβαινε τι γινόταν, κι ακόμα κι έτσι η μετατόπιση με το χέρι ήταν δύσκολη υπόθεση!
Σήμερα, όμως, ένας μέσος υπολογιστής μπορεί να δοκιμάσει και τις 25 πιθανές μετατοπίσεις (ο αριθμός προφανώς εξαρτάται από τον αριθμό γραμμάτων της κάθε αλφαβήτου) σε λιγότερο από ένα δευτερόλεπτο. Ο κώδικας του Καίσαρα είναι σίγουρα μια απαρχαιωμένη μέθοδος κρυπτογράφησης (κυριολεκτικά και μεταφορικά).
Η κρυπτογράφηση μετά τον Καίσαρα
Η ιδέα του “μεταμφιεσμένου” μηνύματος δεν πέθανε μετά την αρχαία Ρώμη, αλλά εξελίχθηκε. Στον Μεσαίωνα, μοναχοί, έμποροι και βασιλιάδες ανέπτυξαν πιο περίπλοκα συστήματα. Κατά την Αναγέννηση, ο Blaise de Vigenère παρουσίασε έναν πιο ανθεκτικό κώδικα με χρήση “κλειδιών” που επαναλαμβάνονται, αποφεύγοντας το σταθερό μοτίβο του Καίσαρα (που ήταν κι ένα απο τα “ψεγάδια” της μεθόδου αυτής).
Στον 20ό αιώνα, η κρυπτογράφηση μπήκε στην υπηρεσία των στρατών με μηχανές όπως η περίφημη Enigma των Γερμανών στον Β’ Παγκόσμιο Πόλεμο, η οποία έσπασε τελικά από τον Alan Turing και την ομάδα του στο Bletchley Park – ένα επίτευγμα που συντόμευσε τον πόλεμο κατά χρόνια.
Από τον Καίσαρα στα κλειδιά 256-bit
Σήμερα, η κρυπτογράφηση είναι παντού: στις τραπεζικές συναλλαγές, στα μηνύματα που στέλνεις στο κινητό, ακόμη και στο Wi-Fi σου. Τα πρωτόκολλα όπως το AES (Advanced Encryption Standard) και το RSA βασίζονται σε πολύπλοκα μαθηματικά προβλήματα, τα οποία, για να λυθούν χωρίς το σωστό «κλειδί», θα χρειαζόταν περισσότερος χρόνος απ’ ό,τι έχει απομείνει μέχρι τη θερμική κατάρρευση του ήλιου. Άλλες μέθοδοι κρυπτογράφησης είναι το One-Time Pad, DES, 3DES, Blowfish, Twofish, Skipjack (πολλά ψάρια πέσανε), Elliptic Curve Cryptography (ECC) και άλλες πολλές! Ας ρίξουμε μια ματιά στις δύο πιο διαδεδομένες.
Η AES είναι ο “βασιλιάς” της συμμετρικής κρυπτογράφησης στον 21ο αιώνα. Αντί για απλή μετατόπιση γραμμάτων, χρησιμοποιεί πολύπλοκους μαθηματικούς μετασχηματισμούς σε μπλοκ δεδομένων των 128-bit, με κλειδιά 128, 192 ή 256 bit. Για να το «σπάσει» κάποιος με ωμή δύναμη (brute force, που λέει και η γιαγιά μου), θα χρειαζόταν υπολογιστική ισχύ μεγαλύτερη από ό,τι υπάρχει σήμερα στο σύμπαν (και μάλλον και σε άλλα σύμπαντα, αν αυτά υπάρχουν). Το AES χρησιμοποιείται παντού: από τραπεζικές συναλλαγές και VPN, μέχρι την αποθήκευση δεδομένων σε κινητά.
Η RSA, από την άλλη, φέρνει κάτι διαφορετικό: ασύμμετρη κρυπτογράφηση. Δεν υπάρχει μόνο ένα κοινό μυστικό κλειδί, αλλά ένα ζευγάρι κλειδιών - δημόσιο και ιδιωτικό - τα οποία σχετίζονται το ένα με το άλλο. Το δημόσιο μπορείς να το μοιραστείς ελεύθερα για να σου στέλνουν μηνύματα, αλλά μόνο το ιδιωτικό σου κλειδί μπορεί να τα αποκρυπτογραφήσει (και προφανώς πρέπει να μείνει κρυφό). Η ασφάλειά της βασίζεται στο γεγονός ότι, ενώ είναι εύκολο να πολλαπλασιάσεις δύο τεράστιους πρώτους αριθμούς, είναι πρακτικά αδύνατο να βρεις αυτούς τους αριθμούς αν έχεις μόνο το γινόμενο. Η RSA είναι η “καρδιά” του HTTPS, της ηλεκτρονικής υπογραφής και της ασφαλούς ανταλλαγής κλειδιών.
Τόσο η AES, όσο και η RSA βασίζονται στη μυστικότητα των κλειδιών. Εάν το κλειδί της AES, ή το ιδιωτικό κλειδί της RSA γίνουν γνωστά, τα μηνύματα δεν είναι πλέον ασφαλή!
Η κρυπτογράφηση και η ιδιωτικότητα – τότε και τώρα
Στην εποχή του Καίσαρα, η ιδιωτικότητα σήμαινε να μη φτάσει το γράμμα σου στα λάθος χέρια. Σήμερα, η έννοια έχει επεκταθεί: αφορά τα δεδομένα μας, τις φωτογραφίες μας, τις συνομιλίες μας, τις τοποθεσίες μας, ακόμα και τις συνήθειες πλοήγησής μας. Και ενώ η τεχνολογία μάς έχει δώσει εργαλεία ανώτερα από οποιονδήποτε κώδικα της Ρώμης, ταυτόχρονα έχει αυξήσει και τους κινδύνους. Σήμερα, η κρυπτογράφηση εξελίσσεται με τη χρήση κβαντικών υπολογιστών, οι οποίοι ανατρέπουν όλα τα δεδομένα και προσδοκίες σχετικά με το πως οι πληροφορίες κρυπτογραφούνται και αποκρυπτογραφούνται!
Ένα διαχρονικό μάθημα
Η ιστορία του Ιουλίου Καίσαρα και του κώδικά του μας υπενθυμίζει ότι η ανάγκη για προστασία των πληροφοριών είναι τόσο παλιά όσο και ο ίδιος ο πολιτισμός και η ιστορία του κόσμου. Από τα απλά αλφάβητα της Ρώμης μέχρι την κβαντική κρυπτογράφηση του αύριο, ο στόχος παραμένει ο ίδιος: να κρατήσουμε τα μυστικά μας… μυστικά.
Η διαφορά είναι ότι σήμερα δεν αρκεί να μετακινήσουμε γράμματα. Χρειάζεται να κατανοήσουμε τους κινδύνους, να χρησιμοποιούμε σύγχρονα εργαλεία και –ίσως το πιο δύσκολο– να καλλιεργήσουμε μια κουλτούρα προστασίας της ιδιωτικότητας. Γιατί, όπως έδειξε και η μοίρα του Καίσαρα, ακόμη κι αν κρύβεις τα λόγια σου, πρέπει να προσέχεις και τους ανθρώπους γύρω σου.
Αν ποτέ σκεφτείς ότι η κρυπτογράφηση είναι υπερβολή, θυμήσου ότι ένας από τους πιο ισχυρούς άνδρες στην ιστορία έκανε τα γράμματα “σαλάτα” για να προφυλάξει τα μυστικά του. Λες αυτό να είναι η σαλάτα του Καίσαρα τελικά;
*Ο Γιάννης Ντόκος είναι ειδικός IT Governance, Risk, and Compliance (GRC) και μέλος της Homo Digitalis.
Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet): Η Άβολη Αλήθεια Πίσω από την Καινοτομία
Γράφει ο Γιάννης Κωνσταντινίδης*
Μια κριτική ματιά στο νέο «πορτοφόλι» της ΕΕ και τους κρυφούς κινδύνους όσον αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας στην ψηφιακή εποχή.
Τι είναι οι ψηφιακές ταυτότητες;
Οι ψηφιακές ταυτότητες (digital identities) είναι το σύνολο των πληροφοριών (π.χ. ονοματεπώνυμο, επαγγελματική ιδιότητα, διεύθυνση, αριθμός τηλεφώνου, κωδικός πρόσβασης) που μας χαρακτηρίζουν όταν χρησιμοποιούμε τις ηλεκτρονικές υπηρεσίες στο Διαδίκτυο. Με απλά λόγια, πρόκειται για τους «ψηφιακούς εαυτούς» μας όταν συνδεόμαστε στις πλατφόρμες κοινωνικής δικτύωσης, στις υπηρεσίες ηλεκτρονικής διακυβέρνησης, στα ηλεκτρονικά τραπεζικά συστήματα, κ.α. Στην πράξη, οι ψηφιακές ταυτότητες εμπεριέχουν προσωπικά δεδομένα τα οποία σε αρκετές περιπτώσεις είναι -και- ευαίσθητα (π.χ. στην περίπτωση των υπηρεσιών υγείας). Επομένως, οι ψηφιακές ταυτότητες πρέπει να επιτρέπουν την ταχεία και απροβλημάτιστη πρόσβαση στις ηλεκτρονικές υπηρεσίες και ταυτόχρονα να συνοδεύονται από πολύ αυστηρές εγγυήσεις όσον αφορά την ασφάλεια και την προστασία της ιδιωτικότητας.
Πώς εξελίχθηκαν οι ψηφιακές ταυτότητες;
Υπάρχουν τρία βασικά μοντέλα για την οργάνωση των ψηφιακών ταυτοτήτων (Εικόνα 1). Στο κεντρικοποιημένο (centralised) μοντέλο, ένας φορέας διατηρεί μια κεντρική βάση δεδομένων με τις ψηφιακές ταυτότητες όλων των χρηστών. Ένα βασικό μειονέκτημα του κεντρικοποιημένου μοντέλου είναι ότι οι χρήστες πρέπει να διατηρούν έναν ξεχωριστό λογαριασμό για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό (federated) μοντέλο, πολλοί φορείς συνεργάζονται μεταξύ τους και ανταλλάσουν τα στοιχεία των ψηφιακών ταυτοτήτων χρησιμοποιώντας ένα κοινό πρωτόκολλο. Για παράδειγμα, εάν κάποιος χρήστης διαθέτει ένα λογαριασμό σε έναν κεντρικό πάροχο (π.χ. Facebook, Google, Microsoft ή gov.gr), τότε μπορεί να συνδεθεί σε κάποια άλλη συμβατή υπηρεσία με τα ίδια στοιχεία της ψηφιακής του ταυτότητας. Επομένως, το ομοσπονδιακό μοντέλο είναι αρκετά εύχρηστο, ωστόσο η συνολική διαχείριση των ψηφιακών ταυτοτήτων και των περιεχομένων τους πραγματοποιείται από ορισμένους κεντρικούς παρόχους (οι οποίοι ενδέχεται να γνωρίζουν τις επιμέρους δραστηριότητες των χρηστών).
Εικόνα 1:Στο κεντρικοποιημένο μοντέλο, οι χρήστες διαθέτουν ξεχωριστούς λογαριασμούς (και κωδικούς πρόσβασης) για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό μοντέλο, υπάρχουν κεντρικοί πάροχοι που λειτουργούν ως ενιαίες «πύλες πρόσβασης» στις υπηρεσίες. Τέλος, στο αποκεντρωμένο μοντέλο, οι χρήστες χρησιμοποιούν τα ψηφιακά τους πορτοφόλια και ιδανικά επιλέγουν τις επιμέρους πληροφορίες που πρόκειται να μοιραστούν με τους παρόχους των υπηρεσιών (Δημιουργός: Γιάννης Κωνσταντινίδης)
Επομένως, τόσο στο κεντρικοποιημένο οσο και στο ομοσπονδιακό μοντέλο, ένας σημαντικός προβληματισμός είναι η συγκέντρωση ενός μεγάλου όγκου δεδομένων σε κεντρικά σημεία τα οποία θεωρούνται ελκυστικά για τους κακόβουλους επιτιθέμενους (βλ. μαζικές παραβιάσεις δεδομένων - data breaches). Ως «αντίδοτο», προτάθηκε το αποκεντρωμένο (decentralised) μοντέλο, το οποίο συχνά συνδέεται και με την έννοια της «αυτοκυρίαρχης ταυτότητας» (self-sovereign identity - SSI). Σ’ αυτό το μοντέλο, ο ίδιος ο χρήστης ελέγχει όλα τα στοιχεία της ταυτότητας που πρόκειται να χρησιμοποιηθούν από τις υπηρεσίες. Αντί να βασίζεται σε κεντρικούς παρόχους, κάθε χρήστης κρατάει μια σειρά από «διαπιστευτήρια» (credentials), τα οποία έχουν εκδοθεί από αξιόπιστους φορείς, και τα διατηρεί σε μια εφαρμογή που ονομάζεται ψηφιακό πορτοφόλι (digital wallet) ή πορτοφόλι ψηφιακής ταυτότητας (digital identity wallet). Όταν χρειάζεται να αποδείξει κάτι (π.χ. την ηλικία του), παρουσιάζει το ψηφιακό διαπιστευτήριο που είναι υπογεγραμμένο από κάποιον αξιόπιστο φορέα (π.χ. το ληξιαρχείο) και δεν αποκαλύπτει το σύνολο των προσωπικών του δεδομένων.
Εικόνα 2: Στο αποκεντρωμένο μοντέλο, ο εκδότης (issuer) εκδίδει και παραδίδει ένα διαπιστευτήριο στο χρήστη (holder), ο οποίος το αποθηκεύει στο ψηφιακό του πορτοφόλι. Στη συνέχεια, ο χρήστης παρουσιάζει το διαπιστευτήριο σε έναν ελεγκτή (verifier), δηλ. σε κάποιον φορέα που ζητά την επιβεβαίωση της ταυτότητας ή/και της ιδιότητας του χρήστη. Η εγκυρότητα του διαπιστευτηρίου επαληθεύεται με βάση τις πληροφορίες που βρίσκονται σε ένα ειδικό μητρώο. (Δημιουργός: Γιάννης Κωνσταντινίδης)
Τι συμβαίνει στην ΕΕ με τις ψηφιακές ταυτότητες;
Με την αναθεώρηση του Κανονισμού eIDAS (2024/1183), η Ευρωπαϊκή Επιτροπή έχει θεσπίσει ότι κάθε κράτος-μέλος της ΕΕ πρέπει να προσφέρει στους πολίτες ένα πορτοφόλι ψηφιακής ταυτότητας. Αυτό θα είναι μια εφαρμογή για κινητές συσκευές στην οποία κάθε χρήστης θα μπορεί να αποθηκεύει έγγραφα σε ψηφιακή μορφή (π.χ. αστυνομικές ταυτότητες, διπλώματα οδήγησης, τίτλους σπουδών, έγγραφα κοινωνικής ασφάλισης και λοιπά ταξιδιωτικά έγγραφα). Η αλληλεπίδραση του χρήστη με τις εκάστοτε υπηρεσίες θα γίνεται μέσω του πορτοφολιού, δηλαδή θα επιλέγει ο χρήστης τα διαπιστευτήρια που επιθυμεί να μοιραστεί. Όπως προαναφέρθηκε, δεν αποστέλλονται ολόκληρα τα έγγραφα από τον εκάστοτε χρήστη, αλλά μια επιλεγμένη παρουσίαση (presentation) ορισμένων δεδομένων σε συνδυασμό με τις κατάλληλες ψηφιακές αποδείξεις που αποδεικνύουν κρυπτογραφικά την εγκυρότητα των εγγράφων.
Βέβαια, το αρχικό όραμα της «αυτοκυρίαρχης ταυτότητας» φαίνεται να περιορίζεται αισθητά στον τρέχοντα σχεδιασμό του ευρωπαϊκού πορτοφολιού. Ειδικότερα, τα προσχέδια της αρχιτεκτονικής (Architecture and Reference Framework - ARF) προβλέπουν τη χρήση μιας παραδοσιακής υποδομής δημοσίου κλειδιού (Public Key Infrastructure - PKI). Με απλά λόγια, αντί να αξιοποιηθεί ένα πλήρως αποκεντρωμένο σύστημα, η Ευρωπαϊκή Επιτροπή επιλέγει ουσιαστικά να εκμεταλλευτεί τις υπάρχουσες εθνικές υποδομές που συγκεντρώνουν τα στοιχεία των ψηφιακών ταυτοτήτων. Άρα πρόκειται περισσότερο για ένα διασυνοριακό ομοσπονδιακό μοντέλο στο οποίο οι χρήστες είναι υπεύθυνοι για τη διαχείριση και τον διαμοιρασμό των διαπιστευτηρίων τους και όχι για ένα πλήρως αποκεντρωμένο μοντέλο.
Ενισχύεται ή υπονομεύεται η προστασία της ιδιωτικότητας και των προσωπικών δεδομένων;
Βάσει των τρεχουσών εξελίξεων, προκύπτουν αρκετοί κίνδυνοι που σχετίζονται με την προστασία των δεδομένων και την ιδιωτικότητα. Αρχικά, το πορτοφόλι μπορεί να δημιουργήσει μοναδικά αναγνωριστικά για κάθε χρήστη (αν και θεωρητικά αυτό είναι απαραίτητο για την ταυτοποίηση του εκάστοτε χρήστη κατά την πρόσβασή του σε διασυνοριακές υπηρεσίες στην ΕΕ) και αρκετοί ειδικοί εκφράζουν το φόβο ότι αυτά τα αναγνωριστικά θα επιτρέπουν τη διαρκή παρακολούθηση και το συσχετισμό όλων των δραστηριοτήτων των χρηστών.
Ειδικότερα, σύμφωνα με την τοποθέτηση μιας ομάδας διακεκριμένων ακαδημαϊκών (ειδικών σε θέματα κρυπτογραφίας), η προτεινόμενη αρχιτεκτονική δεν περιλαμβάνει επαρκή τεχνικά μέτρα για τον περιορισμό της «παρατηρησιμότητας» (observability) και την αποτροπή της «συσχέτισης» των δραστηριοτήτων των χρηστών (linkability). Αυτό σημαίνει ότι ακόμα και αν οι δραστηριότητες των χρηστών πραγματοποιούνται μέσα από τη χρήση ψευδωνύμων, δεν υπάρχει κάποια ειδική μέριμνα που να εμποδίζει τους παρόχους υπηρεσιών από το να συλλέγουν τα μοτίβα χρήσης και να τα συσχετίζουν μεταξύ τους. Άρα, στην πράξη, αυτό το κενό επιτρέπει την πλήρη ιχνηλάτηση των δραστηριοτήτων των χρηστών. Η τελευταία έκδοση της αρχιτεκτονικής (ARF 2.3.0) αναγνωρίζει αυτούς τους κινδύνους, ωστόσο, η ενσωμάτωση των κατάλληλων μηχανισμών παραμένει σε επίπεδο συζήτησης και δεν έχει ακόμα υλοποιηθεί (κυρίως λόγω της πολυπλοκότητας και ορισμένων τεχνικών περιορισμών). Σε παρόμοια κατεύθυνση φαίνεται να κινείται και το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI) το οποίο αναγνωρίζει τη σημασία των τεχνικών μέτρων, όπως π.χ. οι αποδείξεις μηδενικής γνώσης (zero-knowledge proofs - ZKPs), αλλά επιβεβαιώνει ότι (προς το παρόν) η πλήρης εξάλειψη της ιχνηλάτησης δεν είναι εφικτή λόγω της τεχνικής πολυπλοκότητας και της έλλειψης διαλειτουργικότητας.
Όσον αφορά τη συνολική «ευελιξία» και λογοδοσία του οικοσυστήματος, υπάρχουν επίσης αρκετά αρνητικά σχόλια. Για παράδειγμα, εάν μία υπηρεσία αποφασίσει να ζητήσει περισσότερα στοιχεία απ’ όσα είναι απαραίτητα, δεν προβλέπεται κάποιος μηχανισμός αποτροπής ή έστω ελέγχου. Παράλληλα, θεωρείται ότι ένα τεράστιο μερίδιο ευθύνης θα μετατοπιστεί στους χρήστες, επειδή αυτοί θα καλούνται διαρκώς να εγκρίνουν τα διαπιστευτήρια που θα μοιράζονται με τους παρόχους των υπηρεσιών. Μάλιστα, εάν κάτι πάει στραβά (π.χ. σε περίπτωση κλοπής της συσκευής του χρήστη ή ηλεκτρονικής απάτης), δεν υπάρχουν επαρκή μέτρα προστασίας και άρα ο χρήστης επωμίζεται ένα μεγάλο μερίδιο των ευθυνών. Ενώ μάλιστα, δεν προβλέπεται (ακόμα) κάποιου είδους διαδικασία ανάκτησης ή επαναφοράς.
Τελος, ένας επιπλέον προβληματισμός αφορά την επέκταση της λειτουργικότητας του πορτοφολιού, καθότι πρόκειται να συγκεντρώσει σταδιακά κάθε είδους ηλ. έγγραφο και πιστοποιητικό (π.χ. ακόμα και τα εισιτήρια μετακινήσεων και τα στοιχεία ηλεκτρονικών πληρωμών). Έτσι, αναδύεται ο κίνδυνος ενός εκτεταμένου και διασυνδεδεμένοι ψηφιακού «φακελώματος», όπου ένας κακόβουλος αναλυτής ή επιτιθέμενος θα μπορούσε να ανακαλύψει υπερβολικά πολλές πληροφορίες για κάποιο πρόσωπο μέσα από ένα ενιαίο μέσο.
Προς μια επιφυλακτική αποδοχή ή αμφισβήτηση του πλαισίου;
Παρόλο που η νέα ευρωπαϊκή ψηφιακή ταυτότητα αποτελεί σημαντικό βήμα για την εξέλιξη των σύγχρονων ψηφιακών υπηρεσιών στο Διαδίκτυο, συνοδεύεται από αρκετές προκλήσεις. Εάν οι πολίτες πρόκειται να εμπιστευτούν μία τέτοιου είδους τεχνολογική λύση, τότε πρέπει να το πράξουν με πλήρη επίγνωση των πλεονεκτημάτων καθώς και των πιθανών κινδύνων που ελλοχεύουν. Ταυτόχρονα, οι ειδικοί οφείλουν να αναπτύξουν περαιτέρω και να τεκμηριώσουν τους μηχανισμούς που συνεισφέρουν στην ασφάλεια και στην ιδιωτικότητα, διαφορετικά ενδέχεται να περάσουμε από το «πορτοφόλι που προστατεύει τα δεδομένα του χρήστη» στο «πορτοφόλι που αποκαλύπτει αυθαίρετα τα δεδομένα του χρήστη». Τέλος, η συνεισφορά των εμπειρογνωμόνων και των οργανώσεων της κοινωνίας των πολιτών είναι εξαιρετικά σημαντική, καθότι με αυτόν τον τρόπο μπορούν να εντοπιστούν και να διορθωθούν τα κενά και οι πιθανές παραλείψεις πριν από την τελική υλοποίηση.
*Ο Γιάννης Κωνσταντινίδης (CISSP, CIPM, CIPP/E, ISO/IEC 27001 & 27701 Lead Implementer) είναι σύμβουλος κυβερνοασφάλειας και μέλος της Homo Digitalis από το 2019.
H Homo Digitalis μίλησε στην 2η Διεθνή Διάσκεψη του ΙΑΤ που είναι αφιερωμένη στη Δημοκρατία και την Κοινωνική Δικαιοσύνη
Η Homo Digitalis συμμετείχε στη 2η Διεθνή Διάσκεψη του Ινστιτούτου Τσίπρα
Ο Κωνσταντίνος Κακαβούλης βρέθηκε ανάμεσα σε ακαδημαϊκούς, επαγγελματίες, πολιτικούς και ακτιβιστές από την Ελλάδα, την Ευρωπαϊκή Ένωση και τις ΗΠΑ. Μίλησε για την ανάγκη της ενίσχυσης της προστασίας των ψηφιακών δικαιωμάτων στις σύγχρονες δημοκρατίες, σε ένα πάνελ που συγκέντρωσε πολύ έντονο ενδιαφέρον. Ανάμεσα στους εξέχοντες ομιλητές της εκδήλωσης ήταν ο Bernie Sanders, o Michael Sandel, o Jeffrey Kopstein και πολλοί άλλοι. Η ομιλία είναι διαθέσιμη στο link εδώ.
Ευχαριστούμε θερμά για την πρόσκληση και τις εξαιρετικές συνομιλίες που είχαμε στο πλαίσιο της εκδήλωσης!
Πίσω από τα αρκτικόλεξα: Εξηγώντας GDPR & DSA στο ευρύ κοινό
Γράφει η Νίκη Γεωργακοπούλου
Εισαγωγή
DSA, GDPR/ΓΚΠΔ … πολλά αρκτικόλεξα μαζεύτηκαν…γιατί να διαβάσω αυτό το άρθρο;
Μήπως χρησιμοποιείς ή έστω έχεις ακούσει κάποιες από τις κάτωθι εταιρείες/υπηρεσίες;
Alibaba Ali Express, Amazon Store, Apple AppStore, Booking.com, Google Search, Google Play, Google Maps, Google Shopping, Youtube, Instagram, Facebook, LinkedIn, Pinterest, Snapchat, TikTok, X (πρώην Twitter), XVideos, Wikipedia, Zalando, Bing!
Εάν ναι, τότε αφιέρωσε 3 λεπτά γιατί ίσως σε ενδιαφέρει!
Ορισμοί
DSA (Digital Service Act ), η Πράξη για τις Ψηφιακές Υπηρεσίες. Με απλά λόγια πρόκειται για έναν ευρωπαϊκό Κανονισμό, δηλαδή μια δέσμη κανόνων που εφαρμόζονται σε επίπεδο ΕΕ.
Ο νόμος αυτός αφορά τις ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες για τους καταναλωτές και τα αγαθά, τις υπηρεσίες και το περιεχόμενο.
Πιο συγκεκριμένα, ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες είναι ενδεικτικά τα μέσα κοινωνικής δικτύωσης, οι πλατφόρμες ανταλλαγής περιεχομένου, τα καταστήματα εφαρμογών, οι μηχανές αναζήτησης και οι επιγραμμικές πλατφόρμες ταξιδιών και διαμονής.
Απώτερος Στόχος:
Η προστασία θεμελιωδών δικαιωμάτων τόσο των καταναλωτών όσο και των χρηστών αυτών των υπηρεσιών καθώς και η ανάπτυξη του ανταγωνισμού, δημιουργώντας ένα νέο πρότυπο λογοδοσίας στο επιγραμμικό σύμπαν αναφορικά με το παράνομο περιεχόμενο, την παραπληροφόρηση καθώς και πληθώρα άλλων κοινωνικών κινδύνων.
GDPR (General Data Protection Regulation) ή ΓΚΠΔ (Γενικός Κανονισμός Προστασίας για την Προστασία Δεδομένων) είναι ένας Κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς και δημόσιους φορείς εντός της ΕΕ, καθώς και σε οργανισμούς εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα εντός της ΕΕ.
Απώτερος στόχος:
Να δώσει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και να ενοποιήσει το ρυθμιστικό πλαίσιο για τις επιχειρήσεις, διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ
Κοινό σημείο και των δύο νομοθετημάτων είναι ότι αποσκοπούν στην προστασία του προσώπου που βρίσκεται εγκατεστημένο στην ΕΕ, ασχέτως της έδρας της εκάστοτε υπηρεσίας, δημιουργώντας -από διαφορετική σκοπιά- έναν πιο διαφανή και ασφαλή ψηφιακό κόσμο!
ΤΙ σχέση έχει με τον ΓΚΠΔ
Ο DSA και ο ΓΚΠΔ αλληλοσυμπληρώνονται καθώς προσεγγίζουν το ίδιο ζήτημα από διαφορετική σκοπιά.
Ο DSA αποσκοπεί στη συμπλήρωση των κανόνων του ΓΚΠΔ προκειμένου να επιτευχθεί υψηλότερο επίπεδο προστασίας των δεδομένων. Ένα χαρακτηριστικό παράδειγμα ταυτόχρονης εφαρμογής των νομοθετημάτων αποτελεί η επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς. Οι πάροχοι υπηρεσιών πλατφόρμας εμπίπτουν ταυτόχρονα και στο πεδίο εφαρμογής του DSA και του ΓΚΠΔ.
Ειδικότερα, εκτός από τις προϋποθέσεις του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο DSA απαγορεύει στους παρόχους επιγραμμικών πλατφορμών να στοχεύουν διαφημίσεις που προβαίνουν σε κατάρτιση προφίλ χρηστών βασιζόμενο σε ευαίσθητα προσωπικά δεδομένα όπως βιομετρικά δεδομένα, σεξουαλικός προσανατολισμός, πολιτικές και θρησκευτικές πεποιθήσεις.
Επιπλέον, αξίζει να σημειωθεί απαγορεύεται κάθε χρήση της κατάρτισης προφίλ για την παρουσίαση στοχευμένων διαφημίσεων, όταν οι πάροχοι γνωρίζουν με εύλογη βεβαιότητα ότι ο χρήστης είναι ανήλικος.
DSA: η Ευρωπαϊκή Επιτροπή ζητά διευκρινίσεις από μεγάλες εταιρείες
Η Ευρωπαϊκή Επιτροπή με όχημα τον DSA ζητά πληροφορίες από μεγάλες εταιρείες αναφορικά με μέτρα που έχουν λάβει για την προστασία των χρηστών, την αποφυγή παραπλανητικών πρακτικών, την προστασία των ανηλίκων και τη διαφάνεια των συστημάτων συστάσεων. H Επιτροπή είχε θέσει προθεσμία απάντησης, η οποία -για ορισμένες- έχει παρέλθει, γεγονός που μπορεί να οδηγήσει σε υψηλά πρόστιμα ή/και περιορισμό των υπηρεσιών αυτών.
Ειδικότερα, η Επιτροπή έθεσε ορισμένα ερωτήματα σχετικά με τα ανωτέρω στις εταιρείες SHEIN και Τemu. Οι εταιρείες αυτές παρότι βρίσκονται στην Κίνα παρέχουν υπηρεσίες και προϊόντα σε Πολίτες εγκατεστημένους στην ΕΕ και ως εκ τούτου βρίσκει εφαρμογής ο DSA.
Το αίτημα παροχής πληροφοριών απαιτούσε διευκρινίσεις αναφορικά με το εάν έχουν ληφθεί μέτρα για τον μείωση κινδύνου που σχετίζεται με τους καταναλωτές, την δημόσια υγεία και ευημερία των χρηστών. Επιπλέον ετέθησαν και ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα και τα μέτρα που έχουν ληφθεί.
Επίσης, η Επιτροπή έχει ξεκινήσει έλεγχο κατά του TikTok αναφορικά με ζητήματα για την προστασία των ανηλίκων, την διαφάνεια της διαφήμισης, την πρόσβαση των ερευνητών σε δεδομένα, καθώς και την διαχείριση κινδύνου εθιστικού σχεδιασμού και επιβλαβούς περιεχομένου. Οι εργασίες της Επιτροπής επικεντρώνονται ιδίως στο θέμα των αρνητικών επιπτώσεων που προκαλούνται από τον σχεδιασμό του αλγορίθμου, που παράγει και τονώνει τον εθισμό. Στόχος αυτής της εργασίας είναι η αντιμετώπιση πιθανών κινδύνων για τη σωματική και ψυχική ευεξία του προσώπου και ιδίως του ανηλίκου καθώς και η διασφάλιση των δικαιωμάτων του παιδιού. Σε αυτό το σημείο, αξίζει να σημειωθεί, ότι εγείρονται σοβαρές αμφιβολίες για τα εργαλεία επαλήθευσης της ηλικίας που χρησιμοποιεί το TikTok προκειμένου να αποτρέψει την πρόσβαση ανηλίκων σε ακατάλληλο περιεχόμενο. Επιπρόσθετα, άλλος ένας έλεγχος που διενεργείται στο TikTok σχετίζεται με την προστασία της ιδιωτικότητας και των ρυθμίσεων απορρήτου, δίνοντας έμφαση στις προεπιλεγμένες (by default) ρυθμίσεις που γίνονται για τους ανήλικους χρήστες.
Μια ακόμη ενδιαφέρουσα έρευνα γίνεται στη Meta και το Instagram. Βασικοί πυλώνες της έρευνας αυτής είναι α) οι παραπλανητικές διαφημίσεις και η παραπληροφόρηση, β) η προβολή πολιτικού περιεχομένου, γ) ο μηχανισμός επισήμανσης παράνομου περιεχομένου καθώς και δ) η μη διαθεσιμότητα αποτελεσματικού εργαλείου πολιτικού διαλόγου και παρακολούθησης εκλογών τρίτων σε πραγματικό χρόνο. Η διακοπή του CrowdTangle, του εργαλείου για παρακολούθηση των εκλογών σε πραγματικό χρόνο, θα μπορούσε να επιφέρει ζημία στον πολιτικό διάλογο και στις εκλογικές διαδικασίες.
Ανάλογες εργασίες και έλεγχος συμμόρφωσης με τον DSA έχει ξεκινήσει η Επιτροπή για τις: Amazon, Google, X και Microsoft.
Μέχρι στιγμής, δεν υπάρχουν πληροφορίες που να επιβεβαιώνουν ότι όλες οι εταιρείες έχουν απαντήσει στα αιτήματα-ερωτήματα της Ευρωπαϊκής Επιτροπής που άπτονται του DSA.
Επίλογος
Πριν το κλείσιμο του άρθρου αξίζει να συνοψίσουμε τους στόχους που θέτει ο DSA, ενδεικτικά: η ισχυρότερη προστασία των ατόμων που αποτελούν στόχο διαδικτυακής παρενόχλησης και εκφοβισμού, η δημιουργία εύχρηστων-δωρεάν μηχανισμών υποβολής καταγγελιών για την περίπτωση που μια διαδικτυακή πλατφόρμα μειώνει το περιεχόμενο, ύπαρξη διαφάνειας σχετικά με τη διαφήμιση (σκοπούς, απαγόρευση στοχευμένης διαφήμισης που βασίζεται στη συλλογή ευαίσθητων δεδομένων ή δεδομένων ανηλίκων).
Η πλήρης εφαρμογή του ξεκίνησε τον Φεβρουάριο 2024 και ενδεχομένως είναι πολύ νωρίς για να βγουν συμπεράσματα.
Στην Ελλάδα αρμόδιοι για ορισμένα ζητήματα που ανάγονται στον DSA είναι το Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ ως Συντονιστής Ψηφιακών Υπηρεσιών έχει οριστεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).
Τέλος, ας ευχηθούμε η δήλωση της Χένα Βίρκουνεν (Φιλανδή Πολιτικός) να βγει αληθινή «Δεσμευόμαστε ότι κάθε πλατφόρμα που λειτουργεί στην Ευρωπαϊκή Ένωση θα σέβεται τη νομοθεσία μας, που ως στόχο έχει να καταστήσει το διαδικτυακό περιβάλλον δίκαιο, ασφαλές και δημοκρατικό για όλους τους Ευρωπαίους πολίτες.»
Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια
Γράφει o Τάσος Αραμπατζής
Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.
Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.
Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις
Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.
Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.
Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.
Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.
Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής
Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.
Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.
- Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
- Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
- Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
- Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.
Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου
Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.
Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.
Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.
Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.
Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.
Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.
Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων
Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.
Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.
Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.
Κλείνοντας: μια πρόσκληση για σκέψη και δράση
Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.
Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΚΙΝΔΥΝΕΥΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Γράφει o Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc*
Με αφορμή την πολύ πρόσφατη δημοσίευση του «Εθνικού Πλαισίου Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων» (6/5/2025), υπενθυμίζεται σε όλους η σημαντικότητα της διενέργειας εκτίμησης κινδύνων (risk assessment) που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ειδικότερα για τα προσωπικά δεδομένα, κάθε ολοκληρωμένο πρόγραμμα συμμόρφωσης πρέπει όντως να περιλαμβάνει μια ολοκληρωμένη Ανάλυση Διακινδύνευσης (Risk Assessment). Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ σχετικά με την προστασία δεδομένων (υψηλού κινδύνου) είναι η υλοποίηση της Μελέτης Αντικτύπου (Data Privacy Impact Analysis - DPIA), εντούτοις συστήνεται να διενεργείται (και) μια γενικότερη ανάλυση διακινδύνευσης για το σύνολο των κινδύνων / απειλών. Σύμφωνα με τις γενικότερες επιταγές ασφάλειας (άρθρο 32 του ΓΚΠΔ), η Ανάλυση Διακινδύνευσης πρέπει να σχετίζεται με τα ευρήματα που εντοπίζονται από την φάση της αρχικής Χαρτογράφησης (Data Mapping) και να υλοποιείται τόσο ΠΡΙΝ, όσο και ΜΕΤΑ από την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων.
Κίνδυνος / Απειλή ορίζεται ως η πιθανότητα ή απειλή ζημίας, απώλειας ή αρνητικής συνέπειας σε ευαίσθητα περιεχόμενα / πληροφορίες και προσωπικά δεδομένα, με αρνητική επίπτωση στα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων (και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων) ή/και την απρόσκοπτη λειτουργία του Οργανισμού (ως υπεύθυνος επεξεργασίας). Οι κίνδυνοι μπορεί να προέρχονται τόσο από εγγενείς όσο και από εξωγενείς παράγοντες και μπορούν να μετριαστούν με κατάλληλα μέτρα. Η Διαχείριση Διακινδύνευσης αφορά το σύνολο διαδικασιών που σχετίζονται με τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση των παραπάνω κινδύνων.
Στάδια Υλοποίησης
Για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την Διαχείριση Διακινδύνευσης σχετικά με τα προσωπικά δεδομένα, ένας Οργανισμός (ως υπεύθυνος επεξεργασίας) συστήνεται να υιοθετήσει την μέθοδο DMRA (Decision Matrix Risk Assessment technique), μια συστηματική προσέγγιση που χρησιμοποιείται για τον αρχικό προσδιορισμό του επιπέδου κινδύνου (Risk Level) και τη σύγκριση διαφορετικών κινδύνων. Πρόκειται για ένα ευρέως χρησιμοποιούμενο εργαλείο για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την διαχείριση κινδύνων, βάσει και του διεθνούς προτύπου ISO 31000.
Σύμφωνα με την συγκεκριμένη μέθοδο, η ανάλυση διακινδύνευσης αποτελείται από τα ακόλουθα στάδια, κατά την υλοποίηση των οποίων απαιτείται διαρκή επικοινωνία μεταξύ των εμπλεκόμενων τμημάτων και διευθύνσεων του Οργανισμού:
- Ορισμός του οργανωτικού πλαισίου και των γενικότερων κανόνων
- Προσδιορισμός των κινδύνων που απειλούν αφενός τα υπό επεξεργασία προσωπικά δεδομένα για διαφορετικές κατηγορίες υποκειμένων που συνδιαλέγονται με τον Οργανισμό και αφετέρου την γενικότερη ασφάλεια του Οργανισμού
- Ανάλυση των εντοπισμένων κινδύνων
- Αξιολόγηση των εντοπισμένων κινδύνων
- Αντιμετώπιση / διαχείριση των εντοπισμένων κινδύνων
- Παρακολούθηση υλοποίησης διορθωτικών ενεργειών και επανεξέταση.
Ειδικότερα, ο υπεύθυνος επεξεργασίας δεδομένων προτείνεται να ακολουθεί τα εξής στάδια:
1.Στάδιο Εντοπισμού Κινδύνων (Risk Identification) [**]
Αφορά τον εντοπισμό, την αναγνώριση και την περιγραφή των κινδύνων / απειλών που θα μπορούσαν να επηρεάσουν την ακεραιότητα, την εμπιστευτικότητα ή/και την διαθεσιμότητα των υπό επεξεργασία προσωπικών δεδομένων, καθώς και την ασφαλή λειτουργία ολόκληρου του Οργανισμού. Η έρευνα επεκτείνεται και στην εξέταση των πηγών κινδύνου και των αιτιών που μπορεί να προκαλέσουν τους συγκεκριμένους κινδύνους. Οι γενικότερες συνθήκες που μπορεί να απειλούνται είναι η Ακεραιότητα των δεδομένων (Integrity /αλλοίωση δεδομένων), η Εμπιστευτικότητα των δεδομένων (Confidentiality) και η Διαθεσιμότητα των δεδομένων (Availability).
[**]Ενδεικτικοί κίνδυνοι:
Απώλεια δεδομένων - Κλοπή προσωπικών δεδομένων - Διαρροή προσωπικών δεδομένων - Μη εγκεκριμένη τροποποίηση δεδομένων - Μη ικανοποίηση αιτήματος υποκειμένων δεδομένων - Μη εγκεκριμένη διαγραφή δεδομένων - Αδυναμία λήψης backup / Μη διαθέσιμο backup - Μη προσβασιμότητα σε φακέλους & αρχεία του Οργανισμού - Μη προσβασιμότητα σε διαδικτυακές υπηρεσίες - Σφάλματα χρήσης / Αμέλεια χρηστών - Ελλιπής εκπαίδευση χρηστών σε κανόνες ασφάλειας & προστασίας δεδομένων - Φυσικές καταστροφές - Πυρκαγιά / Πλημμύρα - Φθορά / απώλεια σε hardware - Αστοχία κρίσιμου υλικού - Κίνδυνος μόλυνσης από ιούς και διασπορά - Κυβερνοεπίθεση / Παράνομη εισβολή σε δίκτυο / Hacking - Παρεμπόδιση κυβεροκυκλοφορίας - Λογισμικό ή δράσεις που εκμεταλλεύονται κενά ασφαλείας - Ανεπιθύμητα μηνύματα (spam) – Δολιοφθορά – Παραπληροφόρηση - Πλαστογραφία
Απάτη / Εξαπάτηση - Ακατάλληλο περιεχόμενο κ.ο.κ.
2.Ανάλυση Κινδύνων (Risk Analysis)
Αφορά την κατανόηση των πηγών, των αιτιών και της φύσης των ήδη εντοπισμένων κινδύνων / απειλών για τα υπό επεξεργασία προσωπικά δεδομένα και τον ίδιο τον Οργανισμό, καθώς και την εξέταση των υφιστάμενων μέτρων για την πρόληψη ή την αντιμετώπιση τους. Ακολουθεί ο υπολογισμός της Πιθανότητας να προκύψουν οι εντοπισμένοι κίνδυνοι και η ανάλυση των Συνεπειών / Επιπτώσεων τους, εφόσον οι κίνδυνοι συμβούν.
Η εξέταση επάρκειας των υφιστάμενων ελέγχων και μέτρων ερευνά το αν επαρκούν τα υφιστάμενα μέτρα για την πρόληψη ή τον μετριασμό των κινδύνων, καθώς και για την ανάκαμψη κατόπιν της εμφάνισης τους. Ταυτόχρονα, η αποτελεσματικότητα των υφιστάμενων μέτρων αξιολογείται λαμβάνοντας υπόψη: 1) ποιοι είναι οι υφιστάμενοι έλεγχοι για έναν συγκεκριμένο κίνδυνο και 2) εάν αυτοί οι έλεγχοι είναι ικανοί να αντιμετωπίσουν επαρκώς τον κίνδυνο. Στην πράξη, αξιολογείται αν οι έλεγχοι υλοποιούνται με τον προβλεπόμενο τρόπο και αν μπορούν να αποδειχθούν αποτελεσματικοί, όταν αυτό απαιτηθεί.
Συγκεκριμένα, ένας εντοπισμένος κίνδυνος / ανεπιθύμητο γεγονός σχετικά τα προσωπικά δεδομένα βαθμολογείται ως προς την Πιθανότητα (Π) εμφάνισης ενός κινδύνου και ως προς την Σοβαρότητα (Σ) των συνεπειών του. Και οι 2 παράμετροι μετρούνται με την χρήση 5βάθμιου πίνακα, όπου το 1 είναι απίθανο ένας κίνδυνος να συμβεί ή εάν συμβεί, να έχει μηδαμινές επιπτώσεις. Αντίστοιχα, η αξιολόγηση 5 σημαίνει ότι ένας κίνδυνος είναι σχεδόν σίγουρο ότι θα συμβεί, ενώ εάν συμβεί αναμένεται να έχει καταστροφικές συνέπειες.
- Συχνότητα/πιθανότητα (Π) εμφάνισης εντοπισμένου κινδύνου, λαμβάνοντας υπόψη το γενικότερο επίπεδο προστασίας και τα υφιστάμενα μέτρα προστασίας:
- Σοβαρότητα (Σ) των συνεπειών από τον συγκεκριμένο κίνδυνο / ανεπιθύμητο συμβάν / απειλή για τα προσωπικά δεδομένα, εφόσον εμφανιστεί:
Η εκτίμηση των επιπτώσεων επεκτείνεται και στους πελάτες, το προσωπικό, την Διοίκηση, τις συνεργαζόμενες εταιρείες / εκτελούντες την επεξεργασία, την φήμη του Οργανισμού, τις νομικές και κανονιστικές υποχρεώσεις κ.ο.κ.
Μετά τον υπολογισμό της Πιθανότητας και της Σοβαρότητας, υπολογίζεται η επίπτωση σύμφωνα με το παρακάτω γινόμενο:
Επίπτωση = Σοβαρότητα * Πιθανότητα
Η κατάταξη της επίπτωσης γίνεται σύμφωνα με τον παρακάτω πίνακα:
Στον επόμενο πίνακα παρουσιάζεται συνοπτικά η σχέση μεταξύ πιθανότητας, σοβαρότητας και επίπτωσης:
3.Αξιολόγηση Κινδύνων (Risk Evaluation)
Σε συνέχεια του εντοπισμού και της ανάλυσης των κινδύνων, αποφασίζεται ποιοι κίνδυνοι θα αντιμετωπιστούν, με ποιον τρόπο και με ποια προτεραιότητα. Αυτό το βήμα βοηθά τον Οργανισμό στη λήψη αποφάσεων σχετικά με την ανεκτικότητα και την ιεράρχηση του κάθε κινδύνου, συγκρίνοντας το εκτιμώμενο επίπεδο κινδύνου με τα προ-αποφασιμένα κριτήρια κινδύνου.
4.Αντιμετώπιση Κινδύνων (Post Risk Assessment) [***]
Η διαχείριση των εντοπισμένων κινδύνων περιλαμβάνει πολλές επιλογές, βάσει εκτιμήσεων και αποφάσεων του Οργανισμού, όπως ή αποφυγή του κινδύνου, η αντιμετώπιση ή μετριασμός του, η τροποποίηση της πιθανότητας ή/και επίπτωσης και η αφαίρεση της πηγής του κινδύνου. Μετά την υλοποίηση των μέτρων συνιστάται η επαναξιολόγηση του κινδύνου, για να διαγνωστεί εάν αυτός αντιμετωπίστηκε επαρκώς και να προκύψει ο εναπομείναν κίνδυνος.
[***]Ενδεικτικά Τεχνικά και Οργανωτικά Μέτρα:
Πρόγραμμα συμμόρφωσης με ΓΚΠΔ και κείμενη Νομοθεσία - Πολιτικές / Διαδικασίες διαχείρισης δεδομένων - Διαχείριση αναφοράς και διαχείρισης παραβιάσεων / εισβολών / απώλειας δεδομένων - Business Continuity Plan, Disaster Recovery Plan - Εκπαιδεύσεις εργαζομένων στην ορθή χρήση λογισμικού – Σύμβαση εμπιστευτικότητας δεδομένων με συνεργαζόμενες εταιρείες - Παρακολούθηση υλοποίησης έργου συνεργαζόμενων εταιρειών, Clean desk policy - Γενικότερη ασφάλεια χώρων (εσωτερικών και εξωτερικών) - Λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) - Λειτουργία συστήματος πυρανίχνευσης / πυροπροστασίας - Εφαρμογή προγράμματος απεντομώσεων / μυοκτονιών - Ελεγχόμενες συνθήκες κρίσιμων χώρων (control room, φυσικό αρχείο κλπ.) - Πρόγραμμα προληπτικών συντηρήσεων κρίσιμων υποδομών / εξοπλισμού, Απαγόρευση πρόσβασης σε ακατάλληλους ιστότοπους - Απενεργοποίηση / ελεγχόμενες θύρες USB - Δοκιμαστική ανάκτηση ανά τακτά χρονικά διαστήματα - Ελεγχόμενες προσβάσεις / εξουσιοδοτήσεις - Αναβαθμίσεις και προληπτική συντήρηση λογισμικού - Ισχυροί κωδικοί πρόσβασης - Remote backup - Αντιμετώπιση απώλειας δεδομένων (DLP) / Data Loss, Data Leak – FIREWALL – ANTIVIRUS - PENETRATION TEST - Διαχείριση LOG files - Δικαιώματα χρηστών μέσω active directory – Κρυπτογράφηση βάσεων - BYOD/P - VDI (Virtual Desktop Infrastructure) – VPN κ.ο.κ.
5.Ανασκόπηση
Ακόμα και μετά την ολοκλήρωση της ανάλυσης διακινδύνευσης, ο Οργανισμός πρέπει να προχωράει σε διαρκή έλεγχο, αφού οι κίνδυνοι /απειλές μπορεί να είναι δυναμικοί και να διαφοροποιούνται μέσα στον χρόνο, καθιστώντας τα επιλεχθέντα διορθωτικά μέτρα μη αποτελεσματικά. Γενικά, η αξιολόγηση των κινδύνων ανασκοπείται κατά ελάχιστο σε ετήσια βάση ή όποτε προκύπτουν σημαντικές αλλαγών (π.χ. χρήση νέου εξοπλισμού, συλλογή και επεξεργασία νέων δεδομένων, τροποποίηση τρόπου επεξεργασίας κ.λπ.).
* Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO, QMS IRCA Lead Auditor ISO 9001:2015, CQI IRCA Lead Auditor ISO 27001:2013, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ και MSc in International Business and Finance. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι πρώην μέλος του Δ.Σ. του European Association of Data Protection Professional (EADPP), γενικός γραμματέας & επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων του Ελληνικού παραρτήματος EADPP, επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας (EIQSH) και μέλος της Homo Digitalis.
ΒΙΒΛΙΟΓΡΑΦΙΚΕΣ ΑΝΑΦΟΡΕΣ / ΠΗΓΕΣ
-Τσιπτσέ, Ο., Κωστούλας, Δ. (Ιανουάριος 2020), «Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα», Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
-https://www.homodigitalis.gr/posts/9331, Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά, Δημοσθένης Κ. Κωστούλας, 7 Ιουνίου 2021
-BSI, 2009. BS ISO 31000: Risk management: principles and guidelines, London: British Standards Institution.
-Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων (Αρ. Φύλλου 2186), 6 Μαίου 2025)
-Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
-Baybutt P. Calibration of risk matrices for process safety. J Loss Prevent Process Industries. 2015;38:163–168, 2015.
-Wall KD The trouble with risk matrice. DRMI Working Papers Ongoing Research; 2011.
-Duijm NJ. Recommendations on the use and design of risk matrices. Saf Sci. 2015;76:21–31. 2015
-Korombel A, Tworek P. Qualitative risk analysis as a stage of risk management in investment projects: advantages and disadvantages of selected methods-theoretical approach 2011;1(2):51–54
-https://safeti.com/product/workshop-risk-assessment