Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet): Η Άβολη Αλήθεια Πίσω από την Καινοτομία
Γράφει ο Γιάννης Κωνσταντινίδης*
Μια κριτική ματιά στο νέο «πορτοφόλι» της ΕΕ και τους κρυφούς κινδύνους όσον αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας στην ψηφιακή εποχή.
Τι είναι οι ψηφιακές ταυτότητες;
Οι ψηφιακές ταυτότητες (digital identities) είναι το σύνολο των πληροφοριών (π.χ. ονοματεπώνυμο, επαγγελματική ιδιότητα, διεύθυνση, αριθμός τηλεφώνου, κωδικός πρόσβασης) που μας χαρακτηρίζουν όταν χρησιμοποιούμε τις ηλεκτρονικές υπηρεσίες στο Διαδίκτυο. Με απλά λόγια, πρόκειται για τους «ψηφιακούς εαυτούς» μας όταν συνδεόμαστε στις πλατφόρμες κοινωνικής δικτύωσης, στις υπηρεσίες ηλεκτρονικής διακυβέρνησης, στα ηλεκτρονικά τραπεζικά συστήματα, κ.α. Στην πράξη, οι ψηφιακές ταυτότητες εμπεριέχουν προσωπικά δεδομένα τα οποία σε αρκετές περιπτώσεις είναι -και- ευαίσθητα (π.χ. στην περίπτωση των υπηρεσιών υγείας). Επομένως, οι ψηφιακές ταυτότητες πρέπει να επιτρέπουν την ταχεία και απροβλημάτιστη πρόσβαση στις ηλεκτρονικές υπηρεσίες και ταυτόχρονα να συνοδεύονται από πολύ αυστηρές εγγυήσεις όσον αφορά την ασφάλεια και την προστασία της ιδιωτικότητας.
Πώς εξελίχθηκαν οι ψηφιακές ταυτότητες;
Υπάρχουν τρία βασικά μοντέλα για την οργάνωση των ψηφιακών ταυτοτήτων (Εικόνα 1). Στο κεντρικοποιημένο (centralised) μοντέλο, ένας φορέας διατηρεί μια κεντρική βάση δεδομένων με τις ψηφιακές ταυτότητες όλων των χρηστών. Ένα βασικό μειονέκτημα του κεντρικοποιημένου μοντέλου είναι ότι οι χρήστες πρέπει να διατηρούν έναν ξεχωριστό λογαριασμό για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό (federated) μοντέλο, πολλοί φορείς συνεργάζονται μεταξύ τους και ανταλλάσουν τα στοιχεία των ψηφιακών ταυτοτήτων χρησιμοποιώντας ένα κοινό πρωτόκολλο. Για παράδειγμα, εάν κάποιος χρήστης διαθέτει ένα λογαριασμό σε έναν κεντρικό πάροχο (π.χ. Facebook, Google, Microsoft ή gov.gr), τότε μπορεί να συνδεθεί σε κάποια άλλη συμβατή υπηρεσία με τα ίδια στοιχεία της ψηφιακής του ταυτότητας. Επομένως, το ομοσπονδιακό μοντέλο είναι αρκετά εύχρηστο, ωστόσο η συνολική διαχείριση των ψηφιακών ταυτοτήτων και των περιεχομένων τους πραγματοποιείται από ορισμένους κεντρικούς παρόχους (οι οποίοι ενδέχεται να γνωρίζουν τις επιμέρους δραστηριότητες των χρηστών).
Εικόνα 1:Στο κεντρικοποιημένο μοντέλο, οι χρήστες διαθέτουν ξεχωριστούς λογαριασμούς (και κωδικούς πρόσβασης) για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό μοντέλο, υπάρχουν κεντρικοί πάροχοι που λειτουργούν ως ενιαίες «πύλες πρόσβασης» στις υπηρεσίες. Τέλος, στο αποκεντρωμένο μοντέλο, οι χρήστες χρησιμοποιούν τα ψηφιακά τους πορτοφόλια και ιδανικά επιλέγουν τις επιμέρους πληροφορίες που πρόκειται να μοιραστούν με τους παρόχους των υπηρεσιών (Δημιουργός: Γιάννης Κωνσταντινίδης)
Επομένως, τόσο στο κεντρικοποιημένο οσο και στο ομοσπονδιακό μοντέλο, ένας σημαντικός προβληματισμός είναι η συγκέντρωση ενός μεγάλου όγκου δεδομένων σε κεντρικά σημεία τα οποία θεωρούνται ελκυστικά για τους κακόβουλους επιτιθέμενους (βλ. μαζικές παραβιάσεις δεδομένων - data breaches). Ως «αντίδοτο», προτάθηκε το αποκεντρωμένο (decentralised) μοντέλο, το οποίο συχνά συνδέεται και με την έννοια της «αυτοκυρίαρχης ταυτότητας» (self-sovereign identity - SSI). Σ’ αυτό το μοντέλο, ο ίδιος ο χρήστης ελέγχει όλα τα στοιχεία της ταυτότητας που πρόκειται να χρησιμοποιηθούν από τις υπηρεσίες. Αντί να βασίζεται σε κεντρικούς παρόχους, κάθε χρήστης κρατάει μια σειρά από «διαπιστευτήρια» (credentials), τα οποία έχουν εκδοθεί από αξιόπιστους φορείς, και τα διατηρεί σε μια εφαρμογή που ονομάζεται ψηφιακό πορτοφόλι (digital wallet) ή πορτοφόλι ψηφιακής ταυτότητας (digital identity wallet). Όταν χρειάζεται να αποδείξει κάτι (π.χ. την ηλικία του), παρουσιάζει το ψηφιακό διαπιστευτήριο που είναι υπογεγραμμένο από κάποιον αξιόπιστο φορέα (π.χ. το ληξιαρχείο) και δεν αποκαλύπτει το σύνολο των προσωπικών του δεδομένων.
Εικόνα 2: Στο αποκεντρωμένο μοντέλο, ο εκδότης (issuer) εκδίδει και παραδίδει ένα διαπιστευτήριο στο χρήστη (holder), ο οποίος το αποθηκεύει στο ψηφιακό του πορτοφόλι. Στη συνέχεια, ο χρήστης παρουσιάζει το διαπιστευτήριο σε έναν ελεγκτή (verifier), δηλ. σε κάποιον φορέα που ζητά την επιβεβαίωση της ταυτότητας ή/και της ιδιότητας του χρήστη. Η εγκυρότητα του διαπιστευτηρίου επαληθεύεται με βάση τις πληροφορίες που βρίσκονται σε ένα ειδικό μητρώο. (Δημιουργός: Γιάννης Κωνσταντινίδης)
Τι συμβαίνει στην ΕΕ με τις ψηφιακές ταυτότητες;
Με την αναθεώρηση του Κανονισμού eIDAS (2024/1183), η Ευρωπαϊκή Επιτροπή έχει θεσπίσει ότι κάθε κράτος-μέλος της ΕΕ πρέπει να προσφέρει στους πολίτες ένα πορτοφόλι ψηφιακής ταυτότητας. Αυτό θα είναι μια εφαρμογή για κινητές συσκευές στην οποία κάθε χρήστης θα μπορεί να αποθηκεύει έγγραφα σε ψηφιακή μορφή (π.χ. αστυνομικές ταυτότητες, διπλώματα οδήγησης, τίτλους σπουδών, έγγραφα κοινωνικής ασφάλισης και λοιπά ταξιδιωτικά έγγραφα). Η αλληλεπίδραση του χρήστη με τις εκάστοτε υπηρεσίες θα γίνεται μέσω του πορτοφολιού, δηλαδή θα επιλέγει ο χρήστης τα διαπιστευτήρια που επιθυμεί να μοιραστεί. Όπως προαναφέρθηκε, δεν αποστέλλονται ολόκληρα τα έγγραφα από τον εκάστοτε χρήστη, αλλά μια επιλεγμένη παρουσίαση (presentation) ορισμένων δεδομένων σε συνδυασμό με τις κατάλληλες ψηφιακές αποδείξεις που αποδεικνύουν κρυπτογραφικά την εγκυρότητα των εγγράφων.
Βέβαια, το αρχικό όραμα της «αυτοκυρίαρχης ταυτότητας» φαίνεται να περιορίζεται αισθητά στον τρέχοντα σχεδιασμό του ευρωπαϊκού πορτοφολιού. Ειδικότερα, τα προσχέδια της αρχιτεκτονικής (Architecture and Reference Framework - ARF) προβλέπουν τη χρήση μιας παραδοσιακής υποδομής δημοσίου κλειδιού (Public Key Infrastructure - PKI). Με απλά λόγια, αντί να αξιοποιηθεί ένα πλήρως αποκεντρωμένο σύστημα, η Ευρωπαϊκή Επιτροπή επιλέγει ουσιαστικά να εκμεταλλευτεί τις υπάρχουσες εθνικές υποδομές που συγκεντρώνουν τα στοιχεία των ψηφιακών ταυτοτήτων. Άρα πρόκειται περισσότερο για ένα διασυνοριακό ομοσπονδιακό μοντέλο στο οποίο οι χρήστες είναι υπεύθυνοι για τη διαχείριση και τον διαμοιρασμό των διαπιστευτηρίων τους και όχι για ένα πλήρως αποκεντρωμένο μοντέλο.
Ενισχύεται ή υπονομεύεται η προστασία της ιδιωτικότητας και των προσωπικών δεδομένων;
Βάσει των τρεχουσών εξελίξεων, προκύπτουν αρκετοί κίνδυνοι που σχετίζονται με την προστασία των δεδομένων και την ιδιωτικότητα. Αρχικά, το πορτοφόλι μπορεί να δημιουργήσει μοναδικά αναγνωριστικά για κάθε χρήστη (αν και θεωρητικά αυτό είναι απαραίτητο για την ταυτοποίηση του εκάστοτε χρήστη κατά την πρόσβασή του σε διασυνοριακές υπηρεσίες στην ΕΕ) και αρκετοί ειδικοί εκφράζουν το φόβο ότι αυτά τα αναγνωριστικά θα επιτρέπουν τη διαρκή παρακολούθηση και το συσχετισμό όλων των δραστηριοτήτων των χρηστών.
Ειδικότερα, σύμφωνα με την τοποθέτηση μιας ομάδας διακεκριμένων ακαδημαϊκών (ειδικών σε θέματα κρυπτογραφίας), η προτεινόμενη αρχιτεκτονική δεν περιλαμβάνει επαρκή τεχνικά μέτρα για τον περιορισμό της «παρατηρησιμότητας» (observability) και την αποτροπή της «συσχέτισης» των δραστηριοτήτων των χρηστών (linkability). Αυτό σημαίνει ότι ακόμα και αν οι δραστηριότητες των χρηστών πραγματοποιούνται μέσα από τη χρήση ψευδωνύμων, δεν υπάρχει κάποια ειδική μέριμνα που να εμποδίζει τους παρόχους υπηρεσιών από το να συλλέγουν τα μοτίβα χρήσης και να τα συσχετίζουν μεταξύ τους. Άρα, στην πράξη, αυτό το κενό επιτρέπει την πλήρη ιχνηλάτηση των δραστηριοτήτων των χρηστών. Η τελευταία έκδοση της αρχιτεκτονικής (ARF 2.3.0) αναγνωρίζει αυτούς τους κινδύνους, ωστόσο, η ενσωμάτωση των κατάλληλων μηχανισμών παραμένει σε επίπεδο συζήτησης και δεν έχει ακόμα υλοποιηθεί (κυρίως λόγω της πολυπλοκότητας και ορισμένων τεχνικών περιορισμών). Σε παρόμοια κατεύθυνση φαίνεται να κινείται και το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI) το οποίο αναγνωρίζει τη σημασία των τεχνικών μέτρων, όπως π.χ. οι αποδείξεις μηδενικής γνώσης (zero-knowledge proofs - ZKPs), αλλά επιβεβαιώνει ότι (προς το παρόν) η πλήρης εξάλειψη της ιχνηλάτησης δεν είναι εφικτή λόγω της τεχνικής πολυπλοκότητας και της έλλειψης διαλειτουργικότητας.
Όσον αφορά τη συνολική «ευελιξία» και λογοδοσία του οικοσυστήματος, υπάρχουν επίσης αρκετά αρνητικά σχόλια. Για παράδειγμα, εάν μία υπηρεσία αποφασίσει να ζητήσει περισσότερα στοιχεία απ’ όσα είναι απαραίτητα, δεν προβλέπεται κάποιος μηχανισμός αποτροπής ή έστω ελέγχου. Παράλληλα, θεωρείται ότι ένα τεράστιο μερίδιο ευθύνης θα μετατοπιστεί στους χρήστες, επειδή αυτοί θα καλούνται διαρκώς να εγκρίνουν τα διαπιστευτήρια που θα μοιράζονται με τους παρόχους των υπηρεσιών. Μάλιστα, εάν κάτι πάει στραβά (π.χ. σε περίπτωση κλοπής της συσκευής του χρήστη ή ηλεκτρονικής απάτης), δεν υπάρχουν επαρκή μέτρα προστασίας και άρα ο χρήστης επωμίζεται ένα μεγάλο μερίδιο των ευθυνών. Ενώ μάλιστα, δεν προβλέπεται (ακόμα) κάποιου είδους διαδικασία ανάκτησης ή επαναφοράς.
Τελος, ένας επιπλέον προβληματισμός αφορά την επέκταση της λειτουργικότητας του πορτοφολιού, καθότι πρόκειται να συγκεντρώσει σταδιακά κάθε είδους ηλ. έγγραφο και πιστοποιητικό (π.χ. ακόμα και τα εισιτήρια μετακινήσεων και τα στοιχεία ηλεκτρονικών πληρωμών). Έτσι, αναδύεται ο κίνδυνος ενός εκτεταμένου και διασυνδεδεμένοι ψηφιακού «φακελώματος», όπου ένας κακόβουλος αναλυτής ή επιτιθέμενος θα μπορούσε να ανακαλύψει υπερβολικά πολλές πληροφορίες για κάποιο πρόσωπο μέσα από ένα ενιαίο μέσο.
Προς μια επιφυλακτική αποδοχή ή αμφισβήτηση του πλαισίου;
Παρόλο που η νέα ευρωπαϊκή ψηφιακή ταυτότητα αποτελεί σημαντικό βήμα για την εξέλιξη των σύγχρονων ψηφιακών υπηρεσιών στο Διαδίκτυο, συνοδεύεται από αρκετές προκλήσεις. Εάν οι πολίτες πρόκειται να εμπιστευτούν μία τέτοιου είδους τεχνολογική λύση, τότε πρέπει να το πράξουν με πλήρη επίγνωση των πλεονεκτημάτων καθώς και των πιθανών κινδύνων που ελλοχεύουν. Ταυτόχρονα, οι ειδικοί οφείλουν να αναπτύξουν περαιτέρω και να τεκμηριώσουν τους μηχανισμούς που συνεισφέρουν στην ασφάλεια και στην ιδιωτικότητα, διαφορετικά ενδέχεται να περάσουμε από το «πορτοφόλι που προστατεύει τα δεδομένα του χρήστη» στο «πορτοφόλι που αποκαλύπτει αυθαίρετα τα δεδομένα του χρήστη». Τέλος, η συνεισφορά των εμπειρογνωμόνων και των οργανώσεων της κοινωνίας των πολιτών είναι εξαιρετικά σημαντική, καθότι με αυτόν τον τρόπο μπορούν να εντοπιστούν και να διορθωθούν τα κενά και οι πιθανές παραλείψεις πριν από την τελική υλοποίηση.
*Ο Γιάννης Κωνσταντινίδης (CISSP, CIPM, CIPP/E, ISO/IEC 27001 & 27701 Lead Implementer) είναι σύμβουλος κυβερνοασφάλειας και μέλος της Homo Digitalis από το 2019.
Κοινή διακήρυξη για τη δημιουργία δικτύου προστασίας Δικαιωμάτων του Ανθρώπου κατά την ανάπτυξη & χρήση συστημάτων ΤΝ -GAIN
Με περηφάνια ανακοινώνουμε την επίσημη έναρξη ενός συνεργατικού και συμπεριληπτικού δικτύου, το οποίο δεσμεύεται για την προστασία και προώθηση των Δικαιωμάτων του Ανθρώπου, της Δημοκρατίας και του Κράτους Δικαίου κατά την ανάπτυξη και χρήση συστημάτων Τεχνητής Νοημοσύνης στην Ελλάδα.
Το δίκτυο γεννήθηκε μέσα από μια πολυμερή διαβούλευση που ξεκίνησε κατά την ημερίδα του Φεβρουαρίου 2025, την οποία διοργάνωσε η Homo Digitalis, και ενόψει της εφαρμογής του Ευρωπαϊκού Κανονισμού για την Τεχνητή Νοημοσύνη (Κανονισμός 2024/1689).
Το κείμενο της διακήρυξης βρίσκεται διαθέσιμο εδώ.
Αποστολή του δικτύου είναι να λειτουργήσει ως χώρος συνεργασίας, συνηγορίας, νομικών παρεμβάσεων και ευαισθητοποίησης του κοινού, διασφαλίζοντας ότι τα συστήματα ΤΝ στην Ελλάδα συμμορφώνονται με τα θεμελιώδη δικαιώματα και τις δημοκρατικές αξίες όπως κατοχυρώνονται στο Σύνταγμα της Ελλάδας, τον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ και την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου.
Ο προσωρινός τίτλος του Δικτύου είναι Greek Artificial Intelligence Network – GAIN, ενώ το ιδρυτικό συνέδριο (το οποίο θα διεξαχθεί εντός 3 μηνών) θα καθορίσει το πλαίσιο διακυβέρνησης, τις αρχές και την μελλοντική πορεία του δικτύου.
Η πρωτοβουλία συντονίζεται από την Homo Digitalis, με την υποστήριξη του European Artificial Intelligence & Society Fund (EAISF) και είναι ανοικτή σε κάθε ενδιαφερόμενο οργανισμό.
Εάν ενδιαφέρεστε μπορείτε να συμπληρώστε τη φόρμα συμμετοχής εδώ.
Οι ιδρυτικοί φορείς του δικτύου είναι (αλφαβητικά):
Ανοιχτό Εργαστήριο Αθήνα | Open Lab Athens
Δίκτυο για τα Δικαιώματα του Παιδιού | Network for Children’s Rights
Ε.Κ.ΠΟΙ.ΖΩ.Ένωση Καταναλωτών «Η Ποιότητα της Ζωής» | Consumers’ Association “The Quality of Life” EKPIZO
ΕΛΛΗΝΙΚΟ ΣΥΜΒΟΥΛΙΟ ΓΙΑ ΤΟΥΣ ΠΡΟΣΦΥΓΕΣ | GREEK COUNCIL FOR REFUGEES
Οργανισμός Ανοιχτών Τεχνολογιών – ΕΕΛΛΑΚ | Open Technologies Alliance (GFOSS)
ΠΑΡΑΤΗΡΗΤΗΡΙΟ ΑΣΤΥΝΟΜΕΥΣΗΣ copwatch.gr
DATAWO
HIAS Greece
Homo Digitalis
I Have Rights
KnowledgeRights21 (National coordinator for Greece and Cyprus)
OmniaTV (iCase Κοιν.Σ.Επ.)
Reporters United
Solomon
Vouliwatch
WHEN Equity Empowerment Change
WWF Greece
Πίσω από τα αρκτικόλεξα: Εξηγώντας GDPR & DSA στο ευρύ κοινό
Γράφει η Νίκη Γεωργακοπούλου
Εισαγωγή
DSA, GDPR/ΓΚΠΔ … πολλά αρκτικόλεξα μαζεύτηκαν…γιατί να διαβάσω αυτό το άρθρο;
Μήπως χρησιμοποιείς ή έστω έχεις ακούσει κάποιες από τις κάτωθι εταιρείες/υπηρεσίες;
Alibaba Ali Express, Amazon Store, Apple AppStore, Booking.com, Google Search, Google Play, Google Maps, Google Shopping, Youtube, Instagram, Facebook, LinkedIn, Pinterest, Snapchat, TikTok, X (πρώην Twitter), XVideos, Wikipedia, Zalando, Bing!
Εάν ναι, τότε αφιέρωσε 3 λεπτά γιατί ίσως σε ενδιαφέρει!
Ορισμοί
DSA (Digital Service Act ), η Πράξη για τις Ψηφιακές Υπηρεσίες. Με απλά λόγια πρόκειται για έναν ευρωπαϊκό Κανονισμό, δηλαδή μια δέσμη κανόνων που εφαρμόζονται σε επίπεδο ΕΕ.
Ο νόμος αυτός αφορά τις ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες για τους καταναλωτές και τα αγαθά, τις υπηρεσίες και το περιεχόμενο.
Πιο συγκεκριμένα, ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες είναι ενδεικτικά τα μέσα κοινωνικής δικτύωσης, οι πλατφόρμες ανταλλαγής περιεχομένου, τα καταστήματα εφαρμογών, οι μηχανές αναζήτησης και οι επιγραμμικές πλατφόρμες ταξιδιών και διαμονής.
Απώτερος Στόχος:
Η προστασία θεμελιωδών δικαιωμάτων τόσο των καταναλωτών όσο και των χρηστών αυτών των υπηρεσιών καθώς και η ανάπτυξη του ανταγωνισμού, δημιουργώντας ένα νέο πρότυπο λογοδοσίας στο επιγραμμικό σύμπαν αναφορικά με το παράνομο περιεχόμενο, την παραπληροφόρηση καθώς και πληθώρα άλλων κοινωνικών κινδύνων.
GDPR (General Data Protection Regulation) ή ΓΚΠΔ (Γενικός Κανονισμός Προστασίας για την Προστασία Δεδομένων) είναι ένας Κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς και δημόσιους φορείς εντός της ΕΕ, καθώς και σε οργανισμούς εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα εντός της ΕΕ.
Απώτερος στόχος:
Να δώσει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και να ενοποιήσει το ρυθμιστικό πλαίσιο για τις επιχειρήσεις, διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ
Κοινό σημείο και των δύο νομοθετημάτων είναι ότι αποσκοπούν στην προστασία του προσώπου που βρίσκεται εγκατεστημένο στην ΕΕ, ασχέτως της έδρας της εκάστοτε υπηρεσίας, δημιουργώντας -από διαφορετική σκοπιά- έναν πιο διαφανή και ασφαλή ψηφιακό κόσμο!
ΤΙ σχέση έχει με τον ΓΚΠΔ
Ο DSA και ο ΓΚΠΔ αλληλοσυμπληρώνονται καθώς προσεγγίζουν το ίδιο ζήτημα από διαφορετική σκοπιά.
Ο DSA αποσκοπεί στη συμπλήρωση των κανόνων του ΓΚΠΔ προκειμένου να επιτευχθεί υψηλότερο επίπεδο προστασίας των δεδομένων. Ένα χαρακτηριστικό παράδειγμα ταυτόχρονης εφαρμογής των νομοθετημάτων αποτελεί η επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς. Οι πάροχοι υπηρεσιών πλατφόρμας εμπίπτουν ταυτόχρονα και στο πεδίο εφαρμογής του DSA και του ΓΚΠΔ.
Ειδικότερα, εκτός από τις προϋποθέσεις του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο DSA απαγορεύει στους παρόχους επιγραμμικών πλατφορμών να στοχεύουν διαφημίσεις που προβαίνουν σε κατάρτιση προφίλ χρηστών βασιζόμενο σε ευαίσθητα προσωπικά δεδομένα όπως βιομετρικά δεδομένα, σεξουαλικός προσανατολισμός, πολιτικές και θρησκευτικές πεποιθήσεις.
Επιπλέον, αξίζει να σημειωθεί απαγορεύεται κάθε χρήση της κατάρτισης προφίλ για την παρουσίαση στοχευμένων διαφημίσεων, όταν οι πάροχοι γνωρίζουν με εύλογη βεβαιότητα ότι ο χρήστης είναι ανήλικος.
DSA: η Ευρωπαϊκή Επιτροπή ζητά διευκρινίσεις από μεγάλες εταιρείες
Η Ευρωπαϊκή Επιτροπή με όχημα τον DSA ζητά πληροφορίες από μεγάλες εταιρείες αναφορικά με μέτρα που έχουν λάβει για την προστασία των χρηστών, την αποφυγή παραπλανητικών πρακτικών, την προστασία των ανηλίκων και τη διαφάνεια των συστημάτων συστάσεων. H Επιτροπή είχε θέσει προθεσμία απάντησης, η οποία -για ορισμένες- έχει παρέλθει, γεγονός που μπορεί να οδηγήσει σε υψηλά πρόστιμα ή/και περιορισμό των υπηρεσιών αυτών.
Ειδικότερα, η Επιτροπή έθεσε ορισμένα ερωτήματα σχετικά με τα ανωτέρω στις εταιρείες SHEIN και Τemu. Οι εταιρείες αυτές παρότι βρίσκονται στην Κίνα παρέχουν υπηρεσίες και προϊόντα σε Πολίτες εγκατεστημένους στην ΕΕ και ως εκ τούτου βρίσκει εφαρμογής ο DSA.
Το αίτημα παροχής πληροφοριών απαιτούσε διευκρινίσεις αναφορικά με το εάν έχουν ληφθεί μέτρα για τον μείωση κινδύνου που σχετίζεται με τους καταναλωτές, την δημόσια υγεία και ευημερία των χρηστών. Επιπλέον ετέθησαν και ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα και τα μέτρα που έχουν ληφθεί.
Επίσης, η Επιτροπή έχει ξεκινήσει έλεγχο κατά του TikTok αναφορικά με ζητήματα για την προστασία των ανηλίκων, την διαφάνεια της διαφήμισης, την πρόσβαση των ερευνητών σε δεδομένα, καθώς και την διαχείριση κινδύνου εθιστικού σχεδιασμού και επιβλαβούς περιεχομένου. Οι εργασίες της Επιτροπής επικεντρώνονται ιδίως στο θέμα των αρνητικών επιπτώσεων που προκαλούνται από τον σχεδιασμό του αλγορίθμου, που παράγει και τονώνει τον εθισμό. Στόχος αυτής της εργασίας είναι η αντιμετώπιση πιθανών κινδύνων για τη σωματική και ψυχική ευεξία του προσώπου και ιδίως του ανηλίκου καθώς και η διασφάλιση των δικαιωμάτων του παιδιού. Σε αυτό το σημείο, αξίζει να σημειωθεί, ότι εγείρονται σοβαρές αμφιβολίες για τα εργαλεία επαλήθευσης της ηλικίας που χρησιμοποιεί το TikTok προκειμένου να αποτρέψει την πρόσβαση ανηλίκων σε ακατάλληλο περιεχόμενο. Επιπρόσθετα, άλλος ένας έλεγχος που διενεργείται στο TikTok σχετίζεται με την προστασία της ιδιωτικότητας και των ρυθμίσεων απορρήτου, δίνοντας έμφαση στις προεπιλεγμένες (by default) ρυθμίσεις που γίνονται για τους ανήλικους χρήστες.
Μια ακόμη ενδιαφέρουσα έρευνα γίνεται στη Meta και το Instagram. Βασικοί πυλώνες της έρευνας αυτής είναι α) οι παραπλανητικές διαφημίσεις και η παραπληροφόρηση, β) η προβολή πολιτικού περιεχομένου, γ) ο μηχανισμός επισήμανσης παράνομου περιεχομένου καθώς και δ) η μη διαθεσιμότητα αποτελεσματικού εργαλείου πολιτικού διαλόγου και παρακολούθησης εκλογών τρίτων σε πραγματικό χρόνο. Η διακοπή του CrowdTangle, του εργαλείου για παρακολούθηση των εκλογών σε πραγματικό χρόνο, θα μπορούσε να επιφέρει ζημία στον πολιτικό διάλογο και στις εκλογικές διαδικασίες.
Ανάλογες εργασίες και έλεγχος συμμόρφωσης με τον DSA έχει ξεκινήσει η Επιτροπή για τις: Amazon, Google, X και Microsoft.
Μέχρι στιγμής, δεν υπάρχουν πληροφορίες που να επιβεβαιώνουν ότι όλες οι εταιρείες έχουν απαντήσει στα αιτήματα-ερωτήματα της Ευρωπαϊκής Επιτροπής που άπτονται του DSA.
Επίλογος
Πριν το κλείσιμο του άρθρου αξίζει να συνοψίσουμε τους στόχους που θέτει ο DSA, ενδεικτικά: η ισχυρότερη προστασία των ατόμων που αποτελούν στόχο διαδικτυακής παρενόχλησης και εκφοβισμού, η δημιουργία εύχρηστων-δωρεάν μηχανισμών υποβολής καταγγελιών για την περίπτωση που μια διαδικτυακή πλατφόρμα μειώνει το περιεχόμενο, ύπαρξη διαφάνειας σχετικά με τη διαφήμιση (σκοπούς, απαγόρευση στοχευμένης διαφήμισης που βασίζεται στη συλλογή ευαίσθητων δεδομένων ή δεδομένων ανηλίκων).
Η πλήρης εφαρμογή του ξεκίνησε τον Φεβρουάριο 2024 και ενδεχομένως είναι πολύ νωρίς για να βγουν συμπεράσματα.
Στην Ελλάδα αρμόδιοι για ορισμένα ζητήματα που ανάγονται στον DSA είναι το Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ ως Συντονιστής Ψηφιακών Υπηρεσιών έχει οριστεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).
Τέλος, ας ευχηθούμε η δήλωση της Χένα Βίρκουνεν (Φιλανδή Πολιτικός) να βγει αληθινή «Δεσμευόμαστε ότι κάθε πλατφόρμα που λειτουργεί στην Ευρωπαϊκή Ένωση θα σέβεται τη νομοθεσία μας, που ως στόχο έχει να καταστήσει το διαδικτυακό περιβάλλον δίκαιο, ασφαλές και δημοκρατικό για όλους τους Ευρωπαίους πολίτες.»
Τα σχολεία της Μεσσηνίας στο επίκεντρο της ψηφιακής ευαισθητοποίησης
Από τις 31 Μαρτίου έως τις 7 Μαΐου, η ΑΜΚΕ Homo Digitalis επισκέφθηκε 11 σχολεία πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης στη Μεσσηνία, φέρνοντας την ενημέρωση και την εκπαίδευση γύρω από την ασφάλεια στο διαδίκτυο πιο κοντά σε μαθήτριες και μαθητές.
Κατά τη διάρκεια των εκπαιδεύσεων σε Αρφαρά, Δώριο, Εύα, Θουρία, Καλαμάτα, Κυπαρισσία, Πύλο, Φιλιατρά, Φοινικούντα και Χώρα, 554 μαθήτριες και μαθητές ήρθαν σε επαφή με βασικά ζητήματα του ψηφιακού κόσμου, όπως: Διαδικτυακός εκφοβισμός, Ασφάλεια στο διαδίκτυο, Αναγνώριση και κατανόηση των deepfakes, και Υπεύθυνη χρήση των μέσων κοινωνικής δικτύωσης.
Η ενημέρωση και ευαισθητοποίηση των παιδιών, αλλά και των ενηλίκων, αποτελεί απαραίτητο βήμα για μια ασφαλή και υγιή πλοήγηση στον ψηφιακό κόσμο.
Η δράση υλοποιήθηκε με την υποστήριξη του Ιδρύματος Καπετάν Βασίλη και Κάρμεν Κωνσταντακόπουλου και θα συνεχιστεί με νέες παρουσιάσεις την περίοδο Σεπτεμβρίου – Δεκεμβρίου 2025.
Αν το σχολείο σας βρίσκεται στη Μεσσηνία και επιθυμεί να φιλοξενήσει δωρεάν εκπαιδεύσεις, επικοινωνήστε με την ομάδα της Homo Digitalis στο info@homodigitalis.gr.
Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια
Γράφει o Τάσος Αραμπατζής
Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.
Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.
Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις
Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.
Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.
Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.
Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.
Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής
Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.
Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.
- Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
- Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
- Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
- Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.
Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου
Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.
Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.
Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.
Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.
Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.
Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.
Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων
Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.
Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.
Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.
Κλείνοντας: μια πρόσκληση για σκέψη και δράση
Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.
Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.
Μπορείς κι εσύ να γίνεις επαγγελματίας στον τομέα της ασφάλειας τεχνολογιών και πληροφοριών χωρίς τεχνικές γνώσεις!
Γράφει o Γιάννης Ντόκος*
Ο κόσμος των τεχνολογιών είναι διαρκώς μεταβαλλόμενος. Νέες εξελίξεις στον κλάδο λαμβάνουν πλέον χώρα σε καθημερινή βάση, με την πρόοδο των κλάδων όπως αυτών της τεχνητής νοημοσύνης, των κβαντικών υπολογιστών και των συσκευών/μεθόδων ταυτοποίησης. Αναμφίβολα οι εξελίξεις αυτές είναι ελκυστικές, τόσο για τους καταναλωτές και το ευρύτερο κοινό, όσο και για όσους από εμάς ενδιαφερόμαστε να εργαστούμε στον κλάδο των τεχνολογιών. Χρειάζεται,ωστόσο, να κατέχουμε τεχνικές δεξιότητες προκειμένου να απασχοληθούμε στον τομέα της προστασίας πληροφοριών και τεχνολογιών;
Η παρεξήγηση των "τεχνικών γνώσεων"
Πολύ συχνά, όταν ακούμε για επαγγέλματα στον τομέα της ασφάλειας τεχνολογιών και δεδομένων, φανταζόμαστε προγραμματιστές, χάκερς και άτομα που παίζουν με καλώδια, διακομιστές και μόντεμ.. Βεβαίως είναι και αυτές οι εξειδικεύσεις σχετικές με το αντικείμενο, ωστόσο η ασφάλεια πληροφοριών περιλαμβάνει ένα ευρύ φάσμα ρόλων και δραστηριοτήτων – και όχι απαραίτητα τεχνικής φύσης!
Ας πάρουμε τα πράγματα με τη σειρά. Είναι οι τεχνικές γνώσεις χρήσιμες στους κλάδους αυτούς; Αναμφίβολα. Ειδικά αν μιλάμε για θέσεις που απαιτούν τη χρήση τέτοιων δεξιοτήτων σε καθημερινή βάση. Εάν επιδιώκω να ασχοληθώ με τον προγραμματισμό ή την ανάλυση δεδομένων, προφανώς πρέπει να ξέρω πώς να γράφω κώδικα ή να αναλύω δεδομένα προκειμένου να εξάγω κάποιο συμπέρασμα. Σε αυτές τις θέσεις εργασίας, οι τεχνικές δεξιότητες είναι προαπαιτούμενο! Σε μεγαλύτερο ή μικρότερο βαθμό, είναι απαραίτητες.
Τί γίνεται όμως αν θέλει κανείς να ασχοληθεί με το αντικείμενο της ασφάλειας τεχνολογιών, πληροφοριών ή προσωπικών δεδομένων; Πρέπει να είναι τότε άσος με τους υπολογιστές, την ρύθμιση δικτύων και τις μεθόδους πρόσβασης σε αυτά; Η απάντηση, ευτυχώς, είναι “όχι”. Και αυτό είναι πράγματι ένα πολύ θετικό μήνυμα, διότι ανοίγει διόδους εισροής στους παραπάνω κλάδους σε μεγάλο αριθμό επαγγελματιών που δεν είναι αναγκαστικά τεχνικά καταρτισμένοι. Παράλληλα, επιτρέπει τη σχετικά εύκολη μετάβαση από έναν παρεμφερή κλάδο (βλέπε προστασία πληροφοριών), σε έναν άλλο κλάδο εξίσου σχετικό (όπως η διαχείριση κινδύνου στον τομέα της τεχνητής νοημοσύνης). Επομένως, όσοι από εσάς ενδιαφέρεστε να εντρυφήσετε στα παρακλάδια αυτά, έχετε τη δυνατότητα να το κάνετε χωρίς να χρειάζεται να μπορείτε να διαπεράσετε καλά προστατευμένα δίκτυα “χακάροντας” όποιον υπολογιστή και διακομιστή βρεθεί στο διάβα σας (αν και κάπου θα σας φανεί χρήσιμη αυτή η δεξιότητα)!
Μισό λεπτό όμως! Είναι τόσο εύκολο ο καθένας να μπει στον κλάδο χωρίς τεχνικές γνώσεις; Ίσως όχι εύκολο, αλλά θα έλεγα πως είναι σίγουρα εφικτό, με μια σωστή στάση και την καλλιέργεια σχετικών ικανοτήτων! Οι τεχνολογίες εξελίσσονται γρήγορα, αλλά παράλληλα γίνονται διαθέσιμα όλο και περισσότερα εργαλεία. μέσα και πλατφόρμες που κάνουν πιο προσιτές και κατανοητές τις βασικές έννοιες, ακόμη και σε άτομα με μηδενική επαφή με τον προγραμματισμό ή τις υποδομές δικτύου.
Δεξιότητες για επαγγελματίες στην προστασία πληροφοριών και τεχνολογιών
Σίγουρα οι καθαρά τεχνικές δεξιότητες μπορούν να αποκτηθούν με τον χρόνο, υπάρχουν ωστόσο κάποιες δεξιότητες γενικού χαρακτήρα και στάσεις ζωής που είναι απολύτως καθοριστικές:
- Αναλυτική σκέψη και επίλυση προβλημάτων
Η ασφάλεια πληροφοριών είναι τομέας όπου καλείσαι διαρκώς να αναλύεις προβλήματα, να εντοπίζεις μοτίβα και να βρίσκεις λύσεις. Η ικανότητα να σκέφτεσαι λογικά και να επιλύεις προβλήματα είναι ζωτικής σημασίας και προαπαιτούμενο εάν ο εν λόγω κλάδος σε ενδιαφέρει!
- Περιέργεια και διάθεση για μάθηση
Η τεχνολογία εξελίσσεται συνεχώς. Επομένως, το πηγαίο ενδιαφέρον για τέτοιες εξελίξεις και η διάθεση για μάθηση είναι καίρια. Είτε πρόκειται για νέα εργαλεία, νέες απειλές στην κυβερνοασφάλεια, ή νέους τρόπους προστασίας των δεδομένων, η περιέργεια είναι σύμμαχος των επαγγελματιών του κλάδου.
- Επικοινωνιακές δεξιότητες
Η αλληλεπίδραση με συνεργάτες, νομοθέτες και προμηθευτές είναι καθημερινή και απαραίτητη στον τομέα. Συνεπώς, η ανάπτυξη επικοινωνιακών δεξιοτήτων και διαπροσωπικών σχέσεων είναι απαραίτητη ούτως ώστε να καταλάβουμε,να συνεργαστούμε, να πείσουμε τους άλλους και να βελτιώσουμε την ασφάλεια των υποδομών μας.
- Σφαιρική γνώση και επίγνωση
Η προστασία τεχνολογιών απαιτεί να μπορεί κανείς να δει τη μεγαλύτερη εικόνα και να συνδέει τις κουκίδες. Τυχόν προβλήματα που προκύπτουν είναι πολυπαραγοντικά και άπτονται πολλών διαστάσεων, με αποτέλεσμα η σφαιρική γνώση να είναι μεγάλο προσόν.
Τι μπορείς να κάνεις χωρίς τεχνικές γνώσεις;
Υπάρχουν αρκετές ειδικότητες που μπορούν να προσεγγιστούν με βασικές ή και μηδενικές τεχνικές γνώσεις:
- IT Project Management: Εστιάζει στον σχεδιασμό και τη διαχείριση έργων τεχνολογίας.
- Governance, Risk & Compliance Analyst: Ασχολείται με την κανονιστική συμμόρφωση και την αξιολόγηση κινδύνου.
- Security Awareness Trainer: Εκπαιδεύει προσωπικό σε θέματα ψηφιακής ασφάλειας.
- SOC Analyst: Εισαγωγική θέση σε Security Operations Center, με έμφαση στην παρακολούθηση και αναφορά συμβάντων ασφαλείας.
Τέτοιες εισαγωγικές θέσεις επιτρέπουν σε κάποιον να μπορεί να αναπτύξει σταδιακά τεχνικές γνώσεις και να εξελιχθεί σε πιο εξειδικευμένες θέσεις.
Από πού να ξεκινήσεις
Αν δεν έχεις τεχνικό υπόβαθρο, υπάρχουν πρακτικά βήματα που μπορείς να ακολουθήσεις:
Online μαθήματα και πιστοποιήσεις
Πολλές προσβάσιμες πλατφόρμες (Coursera, edX, Udemy, Cybrary, Pluralsight) προσφέρουν βασικά μαθήματα για αρχάριους. Πιστοποιήσεις όπως CompTIA Security+, Google IT Support, ή η σειρά ISC2 Certified in Cybersecurity είναι εξίσου καλά πρώτα βήματα.
Επιμόρφωση και ενημέρωση
Καθημερινή ανάγνωση άρθρων, blogs, και βιβλίων βοηθά στην κατανόηση και εξοικείωση με το πεδίο. Το να ενημερώνεσαι για τις εξελίξεις είναι βασική συνήθεια κάθε επαγγελματία στον χώρο.
Συμμετοχή σε κοινότητες
Φόρουμ, ομάδες στο LinkedIn, και συμμετοχή σε events (όπως τα BSides, OWASP Meetups και φυσικά τα event που διοργανώνει η Homo Digitalis!) θα σε φέρουν κοντά με άλλους επαγγελματίες του χώρου που μπορεί να έχουν πολύ χρήσιμες πληροφορίες ή κατευθυντήριες γραμμές να σου προτείνουν.
Εύρεση μέντορα
Ένας μέντορας, κάποιος που να σε καθοδηγεί, μπορεί να είναι ανεκτίμητος. Το ίντερνετ, εξειδικευμένες πλατφόρμες (π.χ. ΆλληλονΝΕΤ) ή το YouTube παρέχουν τέτοιες δυνατότητες.
Το κατάλληλο mindset
Το πιο σημαντικό στοιχείο για να πετύχει κάποιος στον χώρο – περισσότερο και από τις γνώσεις – είναι η επιμονή, η υπομονή και η περιέργεια. Πολλοί επαγγελματίες του χώρου ξεκίνησαν από διαφορετικά υπόβαθρα: βιολογία, νομική, διοίκηση επιχειρήσεων ή ακόμη και τέχνες! Με τη σωστή νοοτροπία και αντιμετώπιση, άτομα από κάθε υπόβαθρο μπορούν να απασχοληθούν στο πεδίο της ασφάλειας πληροφοριών και τεχνολογιών!
Εν κατακλείδι
Η ασφάλεια πληροφοριών δεν είναι κλειστή μόνο στους χάκερς, τους προγραμματιστές και τους τεχνικούς δικτύων. Το πεδίο έχει ανοίξει τις πόρτες του σε όσους έχουν την όρεξη, τη σωστή νοοτροπία και τη διάθεση να εξελίσσονται. Με σωστή καθοδήγηση, επιμονή και αξιοποίηση των διαθέσιμων πόρων, οποιοσδήποτε μπορεί να μπει στον χώρο και να διαπρέψει!
*Ο Γιάννης Ντόκος είναι Ειδικός IT Governance, Risk, and Compliance (GRC).
Η Homo Digitalis στο Startup Europe Week 2025 του JOIST Park
Στις 13 Μαΐου, σε περιμένουμε στο JOIST Innovation Park, εκεί όπου η καινοτομία συναντά τις ευκαιρίες.
Το φετινό event συγκεντρώνει πρωτοπόρους στην τεχνητή νοημοσύνη, την κυβερνοασφάλεια, την επιστημονική έρευνα και την επιχειρηματικότητα χωρίς σύνορα – για μια ημέρα γεμάτη τολμηρές ιδέες και ουσιαστικό αντίκτυπο.
Τι περιλαμβάνει το πρόγραμμα;
AI, Cybersecurity, and the Future of Startups
• Λαμπρινή Γυφτοκώστα – Homo Digitalis
• Αναστάσιος Αραμπατζής – Ειδικός Κυβερνοασφάλειας
• Παναγιώτης Πιέρρος – TicTac S.A.
Bridging the Gap: Turning European Scientific Research into Startups
• Ιωάννης Κουρούτζης – Πανεπιστήμιο Θεσσαλίας
• Φώτης Τέκος – Foodoxys / Olea Fortius
• Κέλλυ Παπαδοπούλου – Pi tech
• Κωνσταντίνος Ακρίβος – Indeex
Scaling Startups Across Borders in Europe
• Λάμπρος Κούρτης – Επενδυτής & Μέλος VC
• Manuel Seuffert – IMP³ROVE Academy
• Αχιλλέας Μπαρλάς – Enterprise Europe Network Hellas
Είσαι έτοιμος να συνδεθείς με το ευρωπαϊκό startup οικοσύστημα;
Κάνε εγγραφή εδω.
Γενετικά Δεδομένα και Ιδιωτικές Εταιρείες: Το Παράδειγμα της 23andMe και οι Προκλήσεις για την Ελλάδα
Γράφει o Τάσος Αραμπατζής
Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.
Η Περίπτωση της 23andMe
Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.
Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως "credential stuffing", όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.
Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.
Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .
Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.
«23andMe» και στην Ελλάδα;
Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος "First Steps", το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.
Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.
Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.
Οι Κίνδυνοι της Ιδιωτικοποίησης
Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.
Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.
Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.
Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.
Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.
Άρθρο 77 AI Act: Τι ισχύει 6 μήνες μετά τον ορισμό των Αρχών Θεμελιωδών Δικαιωμάτων;
Στην πρώτη επίσημη προθεσμία που έθεσε ο Κανονισμός για την Τεχνητή Νοημοσύνη, (AI ACT) ζητούσε από τα κράτη μέλη να διορίσουν μία οι περισσότερες αρχές σύμφωνα με το άρθρο 77 για την προστασία των θεμελιωδών δικαιωμάτων από παραβιάσεις συστημάτων υψηλού ρίσκου μέχρι και τις 2 Νοεμβρίου 2024.
Σήμερα, 2 Μαΐου 2025, έξι μήνες μετά την παρέλευση της προθεσμίας, 25 από τις 27 Ευρωπαϊκές χώρες (2), έχουν διορίσει συνολικά 210 αρχές, ένας αριθμός που μοιάζει συγκλονιστικός και συνάμα περνά ένα ηχηρό μήνυμα για το πόσο το ζήτημα των θεμελιωδών δικαιωμάτων αφορά τις χώρες αυτές. Αντικατοπτρίζει όμως την πραγματικότητα; Με την παρούσα σύντομη μελέτη θα προσπαθήσουμε να δώσουμε απαντήσεις στα εξής ερωτήματα:
– Σε τι αποσκοπεί το άρθρο 77 του Κανονισμού για την ΤΝ;
– Ποιες αρχές διορίστηκαν από τα κράτη μέλη μέχρι και σήμερα;
– Ποιες αρμοδιότητες δίνει πραγματικά ο Κανονισμός για την ΤΝ στις ρυθμιστικές αυτές αρχές αλλά και ποιες υποχρεώσεις απορρέουν από το άρθρο 78 του Κανονισμού της ΤΝ για την εμπιστευτικότητα των πληροφοριών;
– Ποιες είναι οι τέσσερις εθνικές αρχές που έχουν αναλάβει αυτό τον ρόλο, ποιες είναι οι υφιστάμενες και ποιες οι νέες εξουσίες τους σύμφωνα με τον Κανονισμό για την ΤΝ;
Μέσα από ένα case study, η Διευθύντρια Δικαιωμάτων του Ανθρώπου και Τεχνητής Νοημοσύνης της Homo Digitalis, Λαμπρινή Γυφτοκώστα, προσπαθεί να δει πως θα συνεργαστούν αυτές οι αρχές, θέτοντας ταυτόχρονα και κάποια ερωτήματα που σίγουρα θα μας απασχολήσουν σε βάθος χρόνου.
Μπορείτε να διαβάσετε τη μελέτη μας εδώ.