Παραχωρούμε την αιγίδα μας στο 3RD IN-HOUSE LAWYERS FORUM
Για ακόμη μία χρονιά, η Homo Digitalis έχει τη μεγάλη τιμή και χαρά να παραχωρεί την αιγίδα της στο 3RD IN-HOUSE LAWYERS FORUM, που διοργάνωσε η CLEON Conferences & Communications στις 29/1 στο Divani Caravel Hotel στην Αθήνα!
Μέσα στον κύκλο ομιλητών, είχαμε την υπερηφάνεια να φιλοξενούνται και μέλη μας, υπό την επαγγελματική τους φυσικά ιδιότητα, συμπεριλαμβανομένου του Γραμματέα του Δ.Σ. μας, Στέφανου Βιτωράτου!
Ευχαριστούμε τους διοργανωτές για τη συνεργασία, μεταξύ άλλων τον κ Γρηγόριο Λεωνίδη. Μπορείτε να μάθετε περισσότερα για το συνέδριο εδώ.
Ο οργάνωσή μας παραχωρεί εθελοντικά την αιγίδα της σε επιλεγμένες δράσεις, πρωτοβουλίες και λοιπές εκδηλώσεις, στοχεύοντας στην ενεργή υποστήριξη και την ανάδειξη των πρωτοβουλιών που σχετίζονται με την προάσπιση των ψηφιακών δικαιωμάτων. Εάν έχετε σχετικούς σκοπούς και σας ενδιαφέρει κάποια αφιλοκερδή συνεργασία επικοινωνήστε μαζί μας στο info@homodigitalis.gr
Γιορτάζουμε την Ημέρα Προστασίας Προσωπικών Δεδομένων, εκδίδοντας τον Ετήσιο Απολογισμό μας
Σήμερα είναι η 28η Ιανουαρίου, η Παγκόσμια Ημέρα Προστασίας Προσωπικών Δεδομένων! Στη Homo Digitalis εργαζόμαστε σκληρά για να αποδώσουμε πραγματικό νόημα στην ημέρα αυτή, και να μην παραμείνει μία απλή ημέρα ευχολογίων.
Γι’ αυτό λοιπόν σήμερα, ένα έτος μετά από τον τελευταίο εορτασμό, εμείς εκδίδουμε τον ετήσιο απολογισμό-αναφορά μας για το 2024, ο οποίος περιλαμβάνει όλες τις επιτυχίες μας και τις σημαντικές δράσεις μας στους τομείς της ευαισθητοποίησης, της συνδιαμόρφωσης πολιτικών αποφάσεων και τις στρατηγικού χαρακτήρα νομικές παρεμβάσεις στο πλαίσιο της προστασίας των ψηφιακών δικαιωμάτων μας!
Επίσης, αυτή τη χρονιά έχουμε τη τιμή να προλογίζει τον ετήσιο απολογισμό μας ο Προεδρεύων της Εθνικής Επιτροπής Βιοηθικής & Τεχνοηθικής, κ. Χαράλαμπος Τσέκερης, παραχωρώντας με βλέμμα στο μέλλον τις σκέψεις του για το 2025 και τις προκλήσεις και ευκαιρίες που ανακύπτουν από τη χρήση της Τεχνητής Νοημοσύνης.
Τέλος, συνεχίζοντας να έχουμε υψηλά τον πήχη στον τομέα της διαφάνειας, η ετήσια αναφορά μας περιλαμβάνει και τον οικονομικό απολογισμό μας, όπως ακριβώς και στα παρελθοντικά παραδοτέα μας.
Ένα μεγάλο ευχαριστώ στο Διοικητικό Συμβούλιο, τους εργαζομένους μας, το δίκτυο εθελοντών μας, τους συνεργάτες μας και τους δωρητές μας για όλα όσα έχουμε καταφέρει να κατορθώσουμε!
Ας τιμήσουμε λοιπόν μαζί ακόμη μία Ημέρα Προστασίας Προσωπικών Δεδομένων όχι μόνο με εορτασμούς, αλλά και με κριτική προσέγγιση των τεχνολογικών λύσεων, καίριες παρεμβάσεις και σκληρή δουλειά!
Μπορείτε να διαβάσετε τον ετήσιο απολογισμό – αναφορά μας εδώ.
Data Privacy Framework - Ένα Χρόνο Μετά: Το Παιδί Περπάτησε (Μάλλον) προς Λάθος Κατεύθυνση...
Γράφουν οι Χρήστος Μακρής και Φωτεινή Κακαβά*
Τα πρώτα μας γενέθλια ήταν πάντοτε τα πιο σημαντικά. Μέσα σε ένα χρόνο ζωής, οι περισσότεροι από εμάς βιώσαν τεράστιες αλλαγές. Άλλοι περπάτησαν, άλλοι μίλησαν, όλοι γέλασαν και όλοι έκλαψαν.
Κάπως έτσι πρέπει να αξιολογήσουμε και το «θεσμικό τέκνο» που προέκυψε από μια δυσλειτουργική σχέση ετών μεταξύ ΕΕ και ΗΠΑ: την απόφαση επάρκειας του άρθρου 45 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) που αφορά την διατλαντική διαβίβαση των προσωπικών μας δεδομένων ως Ευρωπαίοι πολίτες. Το Data Privacy Framework (DPF) συμπλήρωσε ένα έτος ζωής στις 10 Ιουλίου 2024 και έτσι οι «γονείς» αποφάσισαν να μαζευτούν στις 18-19 Ιουλίου 2024 στην Ουάσιγκτον, προκειμένου να αξιολογήσουν την πορεία ανάπτυξης του τέκνου τους.
Προκειμένου δε να καθησυχάσουν το κοινό τους ότι όλα πάνε ή θα πάνε καλά, αποφάσισαν να συντάξουν μία έκθεση ελέγχου των πεπραγμένων, με βάση στοιχεία που παρείχαν οι αρμόδιες υπηρεσίες της κυβέρνησης των Ηνωμένων Πολιτειών και με την συμμετοχή διάφορων αμερικανικών ΜΚΟ που προασπίζονται τα ανθρώπινα δικαιώματα σε θέματα ψηφιακών δικαιωμάτων και όχι μόνο.
Το αποτέλεσμα ήταν ένα κείμενο 21 σελίδων, το οποίο υποβλήθηκε στις 9 Οκτωβρίου 2024 από την Ευρωπαϊκή Επιτροπή στο Ευρωπαϊκό Κοινοβούλιο και στο Ευρωπαϊκό Συμβούλιο προς αξιολόγηση.
Ας κάνουμε όμως εδώ μία παύση, για να φρεσκάρουμε λίγο την μνήμη μας. Το Data Privacy Framework (DPF) δεν είναι το μοναδικό τέκνο ΕΕ και ΗΠΑ. Έχουν προηγηθεί δύο ατελέσφορες προσπάθειες: EU–US Safe Harbor Principles και Privacy Shield Framework. Γιατί ατελέσφορες; Γιατί και οι δύο αντίστοιχα ακυρώθηκαν από το Ευρωπαϊκό Δικαστήριο μετά από προσφυγή σε αυτό του υπέρμαχου για τα προσωπικά δεδομένα και το δικαίωμα στην ιδιωτικότητα, Max Schrems.
Η παράνομη απενεργοποίηση των ανεξάρτητων εποπτικών Αρχών από την αξιολόγηση της ορθής εφαρμογής των αποφάσεων επάρκειας, η επί της ουσίας κατάργηση του θεμελιώδους δικαιώματος για προστασία των δεδομένων μας με βάση το άρθρο 8 της Ευρωπαϊκής Χάρτας Θεμελιωδών Δικαιωμάτων, καθώς και η αδυναμία πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στις ΗΠΑ, αποτέλεσαν θεμέλιους λίθους στο σκεπτικό των αποφάσεων που έκριναν την ακύρωση των δύο προηγούμενων αποφάσεων επάρκειας.
Τι διαφορετικό όμως έχει η παρούσα απόφαση επάρκειας σε σχέση με τις προηγούμενες; Από που απορρέει η νομιμότητα της και τι είναι αυτό που την καθιστά στο απυρόβλητο; Οι απαντήσεις κρύβονται στην πολυαναμενόμενη ετήσια έκθεση ελέγχου της Ευρωπαϊκής Επιτροπής που δημοσιεύθηκε στις 9 Οκτωβρίου 2024 και η οποία κρίνει (κατά πολύ) την μελλοντική πορεία της απόφασης επάρκειας.
Εν τέλει, ως συντάκτες του άρθρου, μπήκαμε στον κόπο να την διαβάσουμε από κοινού και να μεταφέρουμε την προσωπική μας άποψη σε σχέση με τα μέχρι σήμερα πεπραγμένα, ξεκινώντας πάντα από δύο απλές παραδοχές: (α) οι ΗΠΑ δεν έχουν κωδικοποιημένη νομοθεσία αντίστοιχη με τον ΓΚΠΔ και την Ευρωπαϊκή Χάρτα Θεμελιωδών Δικαιωμάτων, και επομένως δεν χωρεί νομοθετική αντιπαραβολή και (β) είναι τόσες οι Επιτροπές, Υποεπιτροπές, Υπηρεσίες, Γραφεία και Πάνελ Ειδικών στην δαιδαλώδη κυβέρνηση των Ηνωμένων Πολιτείων, που σε πιάνει πονοκέφαλος όταν προσπαθείς να βάλεις σε μία σειρά ποιος είναι υπεύθυνος για τι.
Προσπερνώντας λοιπόν τα ως άνω, η ανάγνωση της έκθεσης ελέγχου δεν ήταν τόσο δύσκολη. Ήταν απλά γεμάτη με ευχές από την Ευρωπαϊκή Επιτροπή να μεγαλώσει το παιδί με σωστές αρχές και να πάρει το δρόμο τον σωστό, βγάζοντάς μας ασπροπρόσωπους στην κοινωνία (βέβαια εκ των πραγμάτων από την ανάγνωση του DPF την πλήρη επιμέλεια του τέκνου την διατηρούν οι ΗΠΑ – με ό,τι σημαίνει αυτό, και απλά έχουν από κοινού την γονική μέριμνα με την ΕΕ).
Από κανένα σημείο της έκθεσης ελέγχου δεν προέκυψε πως προστατεύονται τα θεμελιώδη δικαιώματα των Ευρωπαίων πολιτών από πρακτικές επιτήρησης των Υπηρεσιών Ασφαλείας των ΗΠΑ, παρά μόνο εκφράστηκαν ανησυχίες από τις ΜΚΟ που συμμετείχαν στην διαβούλευση ότι οι Υπηρεσίες Ασφαλείας πλέον αγοράζουν δεδομένα πολιτών από εταιρείες του ιδιωτικού τομέα στα πλαίσια των πρακτικών παρακολούθησης. Το κείμενο της έκθεσης ελέγχου επικεντρώνει κυρίως σε εντατικές προσπάθειες επιμόρφωσης των Αμερικανών πρακτόρων των Υπηρεσιών Ασφαλείας, προκειμένου να ενημερωθούν για το πλαίσιο συμφωνίας της απόφασης επάρκειας και να συμμορφώνονται οικειοθελώς (;!) με τις αρχές της ελαχιστοποίησης των δεδομένων και της αναλογικότητας με βάση τον σκοπό της επεξεργασίας. Κοινώς, δεοντολογικά ευχολόγια.
Επιπλέον, σε σχέση με τις πολύ μεγάλες πλατφόρμες (Google, Meta), οι οποίες έχουν βρεθεί στο επίκεντρο της διαμόρφωσης των αποφάσεων επάρκειας μεταξύ ΕΕ-ΗΠΑ, γίνεται αναφορά ότι δημοσιοποιούν τα στοιχεία των αιτημάτων που έχουν δεχθεί από τις Υπηρεσίες Ασφαλείας κατά την διάρκεια του έτους στα πλαίσια διαφάνειας των εν λόγω διεργασιών. Παρ’ όλα αυτά, όταν μπήκαμε στην αντίστοιχη σελίδα της Google ανακαλύψαμε ότι η λεγόμενη διαφάνεια εκτεινόταν σε απλά στατιστικά νούμερα και με ένα προοίμιο ότι «Σε αυτή την αναφορά αιτημάτων εθνικής ασφάλειας των ΗΠΑ, αναφέρουμε ξεχωριστά τα αιτήματα από φορείς των ΗΠΑ που χρησιμοποιούν τη νομοθεσία εθνικής ασφάλειας επειδή αυτή η νομοθεσία περιορίζει τόσο τον όγκο των πληροφοριών που επιτρέπεται να κοινοποιούμε εμείς και άλλες εταιρείες πληροφοριών όσο και τη χρονική στιγμή που μπορούμε να τις κοινοποιήσουμε». Επομένως, άνθρακες ο θησαυρός.
Εν τέλει, κανείς δεν μπορεί να απαντήσει το κρισιμότερο ερώτημα όλων: πως μπορεί ένας Ευρωπαίος πολίτης να ασκήσει στις ΗΠΑ το κατοχυρωμένο δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας του άρθρου 79 ΓΚΠΔ; Απλά, δεν μπορεί. Το Data Protection Review Court (DPRC) (η σύσταση του οποίου συμφωνήθηκε μεταξύ ΕΕ – ΗΠΑ για να εκπληρωθεί το δικαίωμα δικαστικής προσφυγής) δεν είναι δικαστήριο, είναι μία διαδικασία δύο επιπέδων, όπως περιγράφεται στον ιστότοπο του Υπουργείο Δικαιοσύνης των ΗΠΑ, το οποίο μπορεί να επιβάλει την κατάλληλη αποκατάσταση (appropriate remediation) σε βάρος των εταιρειών που παραβιάζουν την απόφαση επάρκειας. Άμεση αποκατάσταση της παραβίασης δικαιωμάτων σε βάρος των υποκειμένων επεξεργασίας δεν υπάρχει. Δικαιώματα όπως αυτό της πρόσβασης, της λήθης, της διόρθωσης, του περιορισμού της επεξεργασίας και της εναντίωσης, δεν μπορούν να εξασκηθούν πέραν από τα διοικητικά όρια της ΕΕ. Επομένως, καμία έκθεση ελέγχου και κανένα στατιστικό δεδομένο δεν μπορούν να δώσουν λύσεις στα καίρια αυτά προβλήματα. Όποιος από εσάς θέλει, μπορεί να διαβάσει την εν λόγω έκθεση ελέγχου εδώ.
Χωρίς να θέλουμε να υποτιμήσουμε την προσπάθεια όλων όσων συμμετείχαν στην σύνταξη του εν λόγω εγγράφου, δεν μπορούμε να βρούμε κάτι ουσιαστικό σε αυτό που να χρήζει περαιτέρω αναφοράς. Η ισχύουσα απόφαση επάρκειας συνεχίζει να «μπάζει νερά». Νομίζουμε ότι είμαστε κοντά σε μία ακόμη «επίθεση» από πλευράς NOYB και Max Schrems για την ακύρωση της εν λόγω απόφασης (και κατά την άποψή μας, όχι αδικαιολόγητη). Η νέα εκλογή Προέδρου στις ΗΠΑ δείχνει κατά πολύ την κατεύθυνση που θα πάρει η επερχόμενη κυβέρνηση σε θέματα Εθνικής Ασφαλείας. Ήδη ο Ντόναλντ Τραμπ την ημέρα της ορκωμοσίας του κατάργησε ένα μεγάλο σύνολο ομοσπονδιακών νομοθετημάτων της κυβέρνησης Μπάιντεν, ειδικά όσα αφορούν την προστασία θεμελιωδών δικαιωμάτων και διακρίσεων. Οι ΗΠΑ βαδίζουν αδιαμφισβήτητα προς μία πολιτική εσωστρέφειας και περιορισμών στην διεκδίκηση των θεμελιωδών δικαιωμάτων.
Επειδή λοιπόν πολλοί θα θεωρήσουν ότι είμαστε ενάντια σε κάθε προσπάθεια συμφωνίας μεταξύ ΕΕ-ΗΠΑ σε θέματα διατλαντικών διαβιβάσεων δεδομένων, θα τους προλάβουμε δηλώνοντας το ακριβώς αντίθετο. Η ασφαλής μεταφορά δεδομένων στην άλλη άκρη του Ατλαντικού αποτελεί ίσως το κρισιμότερο ζήτημα βιωσιμότητας της καινοτομίας και της εξέλιξης των νέων τεχνολογιών, που θα προσφέρουν στην ανθρωπότητα λύσεις σε θεμελιώδεις τομείς όπως ενδεικτικά στην προαγωγή της κλινικής έρευνας, σε εύρεση θεραπειών για χρόνιες νόσους και στην ορθή κατανομή παγκόσμιων πόρων για την αντιμετώπιση φαινομένων υποσιτισμού και αδυναμίας περίθαλψης. Όχι όμως σε βάρος των θεμελιωδών δικαιωμάτων του ανθρώπου. Τα δεδομένα μας είναι ο νέος χρυσός αλλά ας επωφεληθούμε όλοι από αυτό.
* Ο Χρήστος Μακρής είναι Δικηγόρος με 15ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο Ευρωπαϊκό και Διεθνές Δίκαιο, μεταπτυχιακός φοιτητής στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και ακαδημαϊκός ερευνητής σε θέματα Τεχνητής Νοημοσύνης και Προστασίας Δεδομένων.
Η Φωτεινή Κακαβά είναι Data Protection & Privacy legal expert, με 6ετή εμπειρία, κάτοχος μεταπτυχιακού τίτλου στο πρόγραμμα Law & Technology του Πανεπιστημίου του Τίλμπουργκ (Tilburg University, the Netherlands) και κάτοχος πιστοποίησης CIPM (Certified Information Privacy Management).
Ο πέμπτος κύκλος ανοιχτών χρηματοδοτήσεων του NGI TALER είναι εδώ! Κάνε την αίτησή σου!
Έχεις μια καινοτόμο ιδέα που βασίζεται στις αρχές του ελεύθερου-ανοιχτού λογισμικού και την προάσπιση της ιδιωτικότητας και υποστηρίζει την αποστολή του NGI TALER, αλλά έχασες τις πρώτες 4 προσκλήσεις χρηματοδότησης μας;
Μην ανησυχείς!
Η 5η Ανοιχτή Πρόσκληση του NGI TALER δημοσιεύτηκε τη 1η Δεκεμβρίου 2024 και έχεις σχεδόν δύο μήνες για να καταθέσεις την αίτηση σου. Η προθεσμία υποβολής είναι η 1η Φεβρουαρίου 2025, και ώρα 12:00 CET (Ώρα Κεντρικής Ευρώπης – μεσημέρι).
Αναζητούμε προτάσεις που θα φέρουν την επανάσταση στα ψηφιακά συστήματα πληρωμών και θα συμβάλουν σε ένα ανοιχτό, αξιόπιστο και προσανατολισμένο στην προστασία της ιδιωτικότητας διαδίκτυο για όλους.
Το NGI TALER προσφέρει χρηματοδότηση μεταξύ 5.000 και 50.000 ευρώ! Είτε είσαι μικρομεσαία επιχείρηση, ακαδημαϊκός φορέας, δημόσια αρχή, μη κερδοσκοπικός οργανισμός, κοινότητα ή άτομο – θέλουμε τις καινοτόμες ιδέες σου! Δεν υπάρχουν περιορισμοί στο ποιος μπορεί να καταθέσει αίτηση.
Είμαστε ανοιχτοί σε κάθε δημιουργική και χρήσιμη ιδέα. Θα μπορούσες να ενισχύσεις το GNU Taler αναπτύσσοντας βοηθητικά εργαλεία, βελτιώνοντας την εμπειρία χρήστη, δημιουργώντας ενσωματώσεις σε εφαρμογές FOSS (P2P μικροπληρωμές σε άμεση ανταλλαγή μηνυμάτων, πλατφόρμες κοινωνικών μέσων ή εργαλεία τηλεδιάσκεψης), για να αναφέρουμε μερικές ιδέες, αλλά δεν υπάρχει περιορισμός.
Για περισσότερες πληροφορίες σχετικά με αυτήν και άλλες προσκλήσεις χρηματοδότησης του οικοσυστήματος NGI – The Next Generation Internet, μπορείς να επισκεφτείς την ιστοσελίδα του εδώ.
Μπορείς να διαβάσεις την αναλυτική Ανοιχτή Πρόσκληση, τον Οδηγό για τους Αιτούντες, τις Απαιτήσεις Επιλεξιμότητας και τις Συχνές Ερωτήσεις στην ιστοσελίδα του Ιδρύματος NLnet εδώ.
Τέλος, μπορείς να κάνεις εγγραφή και να δώσεις ενεργά το παρόν στο TALER Integration Community Hub (TALER ICH) για να συζητήσεις και να λάβεις απαντήσεις στις ερωτήσεις σου, εδώ.
Μην χάσεις αυτήν την μοναδική ευκαιρία να συνδιαμορφώσεις το διαδίκτυο της επόμενης γενιάς!
Το NGI TALER συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση. Απόψεις και γνώμες που εκφράζονται είναι ωστόσο αυτές του/των συγγραφέα/ων και δεν αντικατοπτρίζουν απαραίτητα αυτές της Ευρωπαϊκής Ένωσης. Ούτε η Ευρωπαϊκή Ένωση ούτε η αρμόδια αρχή χορήγησης μπορούν να θεωρηθούν υπεύθυνοι γι’ αυτές.
Ασφαλείς Διαδρομές στο Διαδίκτυο: Οδηγός για Γονείς και Ανήλικους
Γράφει η Σταυρίνα Χούσου*
Σύμφωνα με την UNICEF, το 1/3 των διαδικτυακών χρηστών είναι ανήλικοι, ενώ παιδιά 8-18 ετών περνούν περίπου το 1/3 της ημέρας τους online. Το διαδίκτυο είναι άρρηκτο και συχνά ευεργετικό στοιχείο της ζωής της «διασυνδεδεμένης γενιάς», αλλά κρύβει και κινδύνους. Η έλλειψη εκπαίδευσης και η έμφυτη αθωότητά τους, καθιστούν τα παιδιά ευάλωτους διαδικτυακούς στόχους.
Βασικά σημεία
Η συζήτηση για την κυβερνοασφάλεια πρέπει να ξεκινάει όταν το παιδί πρωτοέρχεται σε επαφή με το διαδίκτυο, με απλούς τρόπους όπως ρωτώντας το για τους σκοπούς των εφαρμογών και των αναζητήσεών του, αλλά και τους πιθανούς κινδύνους τους. Για τα μικρά παιδιά (3-8 ετών), η αυτόνομη χρήση του διαδικτύου δεν είναι ασφαλής. Οι γονείς και κηδεμόνες πρέπει να εξοικειωθούν με τους γονικούς ελέγχους στις ρυθμίσεις των συσκευών και εφαρμογών (ΜΚΔ, πλατφόρμες streaming), ώστε να περιορίζουν το περιεχόμενο, τον χρόνο οθόνης και τη πρόσβαση σε τρίτες ιστοσελίδες στα παιδιά. Αυτό βέβαια δεν υποκαθιστά τον ρόλο της συζήτησης και της ενεργούς ενασχόλησης.
Κίνδυνοι και τρόποι προστασίας
Σε όλη τη διάρκεια της ζωής τους τα παιδιά θα έρθουν σε επαφή με πληθώρα διαδικτυακών κινδύνων. Από νωρίς πρέπει να μάθουν να τους εντοπίζουν και να προφυλάσσονται κατάλληλα.
Θύτες και απατεώνες στο διαδίκτυο. Θύτες εκμεταλλεύονται την αθωότητα των παιδιών για να τα παρασύρουν σε επικίνδυνες καταστάσεις ή να αποσπάσουν προσωπικά δεδομένα. Κοινωνικά δίκτυα και πλατφόρμες παιχνιδιών προσφέρουν ανώνυμους χώρους που διευκολύνουν αυτές τις επαφές. Ακόμα κι αν τα παιδιά είναι ενημερωμένα, μπορεί να δελεαστούν από προσφορές δωρεάν πρόσβασης σε παιχνίδια ή άλλα προνόμια.
Το ‘grooming’ αναδεικνύεται ως η βασικότερη μέθοδος των θυτών και αφορά τη δημιουργία συναισθηματικής σχέσης με ένα παιδί στο διαδίκτυο, με σκοπό την κακοποίηση ή την σεξουαλική εκμετάλλευση. Σε αυτές τις περιπτώσεις, δεν μπορεί να υποκατασταθεί η παραδοσιακή, αλλά προσαρμοσμένη για την ψηφιακή εποχή, συζήτηση για τους κινδύνους από ξένους.
Κι αυτός ο κίνδυνος δεν πρέπει να υποτιμάτε. Σχεδόν το 90% των URLs με υλικό σεξουαλικής κακοποίησης παιδιών βρίσκονται στην ΕΕ, σύμφωνα με την Europol. Το 94% των αναφορών αφορούσε τις πλατφόρμες της Meta, όπου οι κρυπτογραφημένες συνομιλίες παρέχουν κάλυψη στους εγκληματίες. Επιπλέον, σύμφωνα με το Online Grooming Communication Project (OGC) μόλις 18 λεπτά επικοινωνίας αρκούν για να κερδίσουν οι groomers την εμπιστοσύνη ενός παιδιού.
Phishing και κακόβουλο λογισμικό. Το phishing είναι μια από τις πιο διαδεδομένες μορφές διαδικτυακής απάτης. Οι επιτιθέμενοι αποσπούν ευαίσθητες πληροφορίες μέσω παραπλανητικών μηνυμάτων ή ιστοσελίδων. Τα παιδιά δυσκολεύονται να αναγνωρίσουν αυτές τις απάτες, καθώς συχνά είναι εξαιρετικά πειστικές και φαίνεται να προέρχονται από γνωστούς ή αξιόπιστες πηγές. Κακόβουλα λογισμικά, που περιέχουν ιούς ή αποσπούν δεδομένα, συχνά κρύβονται πίσω από συνδέσμους που διαμοιράζονται μέσω phishing ή άλλων επιθέσεων. Τα παιδιά είναι πιθανό να ανοίξουν τέτοιους συνδέσμους, αφού συχνά συνοδεύονται από δελεαστικές προσφορές ή εμφανίζονται ως παιχνίδια.
Είναι σημαντικό να εκπαιδεύσουμε τα παιδιά να αναγνωρίζουν τα σημάδια τέτοιων ενεργειών, αποφεύγοντας συνδέσμους από άγνωστους ή ύποπτους αποστολείς και αξιολογώντας ύποπτα μηνύματα, όπως αυτά χωρίς περιεχόμενο. Αυτούς ακριβώς τους κινδύνους θίγει και η Ευρωπαϊκή Καμπάνια Κυβερνοασφάλειας 2024 #ThinkB4UClick.
Υπερβολική ή άκριτη κοινοποίηση προσωπικών στοιχείων. Η δημοσίευση προσωπικών δεδομένων στο διαδίκτυο απαιτεί προσοχή, καθώς στοιχεία όπως φωτογραφίες και διευθύνσεις μπορούν να οδηγήσουν στην ταυτοποίηση του παιδιού. Τα παιδιά πρέπει να κατανοούν τη σημασία των ιδιωτικών προφίλ και να έχουν τον έλεγχο των πληροφοριών τους. Επιπλέον, πρέπει να εκπαιδεύονται σχετικά με το «διαδικτυακό αποτύπωμα», καθώς οτιδήποτε δημοσιεύεται μπορεί να παραμείνει μόνιμα, καθιστώντας την προστασία της ιδιωτικότητας εξαιρετικά σημαντική.
Κυβερνοεκφοβισμός Έρευνες δείχνουν ότι περίπου 60% των παιδιών έχουν γίνει μάρτυρες διαδικτυακού εκφοβισμού, χωρίς να έχουν αντιδράσει. Ο καλύτερος τρόπος αντιμετώπισης είναι ενθαρρύνετε το παιδί να επικοινωνεί για τις διαδικτυακές εμπειρίες που το προβληματίζουν, αλλά και να ακολουθεί τον χρυσό κανόνα: «Μην κάνεις ό,τι δε θέλεις να σου κάνουν». Η κυβερνοασφάλεια δεν έχει πάντα τεχνικές ρίζες. Η καλλιέργεια ενός ευγενούς και κριτικού ανθρώπου είναι η πρώτη γραμμή άμυνας.
Παραπληροφόρηση. Ενθαρρύνετε τα να σκέφτονται κριτικά για ό,τι βρίσκουν online και εκπαιδεύστε τα να αναγνωρίζουν αξιόπιστες πηγές. Είναι απαραίτητο να αξιολογούν την πηγή της πληροφορίας (ποιος είναι ο συγγραφέας και ποιος ο σκοπός του) και τα χαρακτηριστικά του ιστότοπου (π.χ. URL, domain). Επίσης, πρέπει να σκεφτούν αν οι πληροφορίες είναι λογικές και αν συνάδουν με όσα ήδη γνωρίζουν, ή αν χρειάζεται να βρουν άλλες πηγές για επιβεβαίωση. Για μεγαλύτερα παιδιά και ενήλικες, η σειρά εκπαιδευτικών βίντεο Online Verification Skills είναι εξαιρετική πηγή, ενώ για μικρότερα παιδιά, αξιόλογο εργαλείο αποτελεί το εκπαιδευτικό παιχνίδι της Μαρίας Παππά, ‘Αλήθεια, Άποψη ή Ανακρίβεια’.
Ο ρόλος των «μεγάλων» στην κυβερνοασφάλεια των «μικρών»
Σεβασμός της ιδιωτικότητας. Μοιραστείτε φωτογραφίες των παιδιών μόνο με στενούς φίλους ή οικογένεια, σε κρυπτογραφημένα κανάλια. Απενεργοποιήστε τις υπηρεσίες τοποθεσίας και αναγνώρισης προσώπου, και αποφύγετε τη δημοσίευση φωτογραφιών που αποκαλύπτουν προσωπικές πληροφορίες. Αφαιρέστε τα μεταδεδομένα EXIF από τις φωτογραφίες που μοιράζεστε για να τις προστατεύσετε σε περίπτωση διαρροής.
Πολλές ευρωπαϊκές Αρχές Προστασίας Προσωπικών Δεδομένων συμβουλεύουν τους γονείς να αποφεύγουν τη δημοσίευση προσωπικού υλικού των παιδιών τους, καθώς τα μικρά παιδιά δεν μπορούν να δώσουν ενημερωμένη συγκατάθεση. Αυτή η πρακτική επίσης εκθέτει τα παιδιά σε σοβαρούς κινδύνους. Ακόμη και μια απλή φωτογραφία μπορεί να ταυτοποιήσει ένα παιδί, αυξάνοντας τον κίνδυνο κλοπής ταυτότητας ή ψηφιακής απαγωγής, όπου οι εικόνες των παιδιών χρησιμοποιούνται σε ψεύτικους λογαριασμούς. Σύμφωνα με προβλέψεις της Barclays, έως το 2030, η δημόσια κοινοποίηση εικόνων από γονείς θα μπορούσε να ευθύνεται για τα 2/3 όλων των περιπτώσεων απάτης ταυτότητας.
Ευθύνη των ενηλίκων η προστασία των ψηφιακών υποδομών του νοικοκυριού. Ενημερώστε τα λογισμικά των συσκευών σας συχνά – και ιδανικά αυτόματα. Χρησιμοποιήστε ασφαλές, ιδιωτικό Wi-Fi. Σε δημόσια δίκτυα, προτιμήστε VPN για μεγαλύτερη ασφάλεια και περιορίστε τις αναζητήσεις σας. Εγκαταστείτε λογισμικά ασφαλείας και anti-virus.
Τα παιδιά μεγαλώνουν. Έτσι, η επιθυμία τους για αυτονομία αυξάνεται. Είναι κρίσιμο να μεταβούμε σταδιακά από την εποπτεία στην εμπιστοσύνη, επιτρέποντάς τους να χρησιμοποιούν τα εργαλεία που τους έχετε παρέχει, πάντα με λογικά όρια, ανοιχτή επικοινωνία και υποστηρίζοντας τις αξίες που τους εμφυσουμε. Η ισορροπία μεταξύ αυτονομίας και εποπτείας είναι μια νέα συζήτηση, κι ενώ υπάρχουν χρήσιμες οδηγίες, δεν υπάρχουν απόλυτες λύσεις.
Αναφορά ακατάλληλων συμπεριφορών: Χρησιμοποιήστε τα φίλτρα αναφοράς στα ΜΚΔ για να επισημάνετε ύποπτες ή ανάρμοστες συμπεριφορές που αφορούν ανήλικους. Μην επαναπαύεστε και μην αγνοείται ανησυχητικά περιστατικά. Πολλά παιδιά μπορεί να μην απολαμβάνουν της προστασίας που τους αξίζει.
Επίλογος
Η εκπαίδευση των παιδιών για την κυβερνοασφάλεια προϋποθέτει την συνεχή ενημέρωση και εκπαίδευση των ενηλίκων. Ας μείνουμε ενεργοί, ενήμεροι και προσιτοί ιδιαίτερα στα παιδιά που βρίσκονται κάτω από τη φροντίδα μας. Είναι ευθύνη όλων μας.
Σύνδεσμοι για περαιτέρω ενημέρωση/Επιμόρφωση:
- Protecting Kids Online | Security.org
- Center of Missing and Epxloited Children: Courses
* H Σταυρίνα Χούσου είναι απόφοιτος της Σχολής Διεθνών και Ευρωπαϊκών Σπουδών του Πανεπιστημίου του Πειραιά και κάτοχος Μεταπτυχιακού Διπλώματος στη Δημόσια Πολιτική και τις Νέες Τεχνολογίες από το Πανεπιστήμιο Sciences Po Paris. Εργάζεται ως Regulatory Consultant στην εταιρεία naaia.ai, μία συμβουλευτική για θέματα που άπτονται της ΤΝ και της διαχείρισης δεδομένων.
Ο τέταρτος κύκλος ανοιχτών χρηματοδοτήσεων του NGI TALER είναι εδώ! Κάνε την αίτησή σου!
Έχεις μια καινοτόμο ιδέα που βασίζεται στις αρχές του ελεύθερου-ανοιχτού λογισμικού και την προάσπιση της ιδιωτικότητας και υποστηρίζει την αποστολή του NGI TALER, αλλά έχασες τις πρώτες τρεις προσκλήσεις χρηματοδότησης μας;
Μην ανησυχείς!
Η 4η Ανοιχτή Πρόσκληση του NGI TALER δημοσιεύτηκε τη 1 Οκτωβρίου 2024 και έχεις σχεδόν δύο μήνες για να καταθέσεις την αίτηση σου. Η προθεσμία υποβολής είναι η 1 Δεκεμβρίου 2024, και ώρα 12:00 CET (Ώρα Κεντρικής Ευρώπης – μεσημέρι).
Αναζητούμε προτάσεις που θα φέρουν την επανάσταση στα ψηφιακά συστήματα πληρωμών και θα συμβάλουν σε ένα ανοιχτό, αξιόπιστο και προσανατολισμένο στην προστασία της ιδιωτικότητας διαδίκτυο για όλους.
Το NGI TALER προσφέρει χρηματοδότηση μεταξύ 5.000 και 50.000 ευρώ! Είτε είσαι μικρομεσαία επιχείρηση, ακαδημαϊκός φορέας, δημόσια αρχή, μη κερδοσκοπικός οργανισμός, κοινότητα ή άτομο – θέλουμε τις καινοτόμες ιδέες σου! Δεν υπάρχουν περιορισμοί στο ποιος μπορεί να καταθέσει αίτηση.
Είμαστε ανοιχτοί σε κάθε δημιουργική και χρήσιμη ιδέα. Θα μπορούσες να ενισχύσεις το GNU Taler αναπτύσσοντας βοηθητικά εργαλεία, βελτιώνοντας την εμπειρία χρήστη, δημιουργώντας ενσωματώσεις σε εφαρμογές FOSS (P2P μικροπληρωμές σε άμεση ανταλλαγή μηνυμάτων, πλατφόρμες κοινωνικών μέσων ή εργαλεία τηλεδιάσκεψης), για να αναφέρουμε μερικές ιδέες, αλλά δεν υπάρχει περιορισμός.
Για περισσότερες πληροφορίες σχετικά με αυτήν και άλλες προσκλήσεις χρηματοδότησης του οικοσυστήματος NGI – The Next Generation Internet, μπορείς να επισκεφτείς την ιστοσελίδα του εδώ.
Μπορείς να διαβάσεις την αναλυτική Ανοιχτή Πρόσκληση, τον Οδηγό για τους Αιτούντες, τις Απαιτήσεις Επιλεξιμότητας και τις Συχνές Ερωτήσεις στην ιστοσελίδα του Ιδρύματος NLnet εδώ.
Τέλος, μπορείς να κάνεις εγγραφή και να δώσεις ενεργά το παρόν στο TALER Integration Community Hub (TALER ICH) για να συζητήσεις και να λάβεις απαντήσεις στις ερωτήσεις σου, εδώ.
Μην χάσεις αυτήν την μοναδική ευκαιρία να συνδιαμορφώσεις το διαδίκτυο της επόμενης γενιάς!
Το NGI TALER συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση. Απόψεις και γνώμες που εκφράζονται είναι ωστόσο αυτές του/των συγγραφέα/ων και δεν αντικατοπτρίζουν απαραίτητα αυτές της Ευρωπαϊκής Ένωσης. Ούτε η Ευρωπαϊκή Ένωση ούτε η αρμόδια αρχή χορήγησης μπορούν να θεωρηθούν υπεύθυνοι γι’ αυτές.
Ψηφιακά Δικαιώματα στην Ελλάδα: Επισκόπηση από τη Δεύτερη Έκθεση για την Ψηφιακή Δεκαετία
Γράφει o Χάρης Δάφτσιος*
Η πρωτοβουλία της Ευρωπαϊκής Ένωσης, Ψηφιακή Δεκαετία, που ξεκίνησε το 2021, έχει ως στόχο την επίτευξη εκτεταμένου ψηφιακού μετασχηματισμού έως το 2030. Ένα βασικό στοιχείο αυτής της πρωτοβουλίας είναι η Ευρωπαϊκή Διακήρυξη για τα Ψηφιακά Δικαιώματα και Αρχές, η οποία θεσπίζει κατευθυντήριες γραμμές για την προστασία και την προώθηση των ψηφιακών δικαιωμάτων εντός της ΕΕ. Η Ελλάδα, όπως και τα άλλα κράτη μέλη, εργάζεται ενεργά προς την επίτευξη αυτών των στόχων, αλλά η πρόοδος είναι μικτή, όπως αποκαλύπτεται στη δεύτερη έκθεση “State of the Digital Decade” του 2024. Αυτό το άρθρο εξετάζει την τρέχουσα κατάσταση των ψηφιακών δικαιωμάτων στην Ελλάδα, αντλώντας στοιχεία από την έκθεση και άλλες συναφείς πηγές.
Αντίληψη του Κοινού και Ευαισθητοποίηση:
Αν και η Ελλάδα έχει κάνει βήματα για την ενσωμάτωση των αρχών της Ψηφιακής Δεκαετίας στη εθνική στρατηγική της, η αντίληψη του κοινού για αυτές τις προσπάθειες παραμένει χαμηλή. Σύμφωνα με την έρευνα Special Eurobarometer του 2024, μόνο το 33% των Ελλήνων πιστεύει ότι η ΕΕ προστατεύει αποτελεσματικά τα ψηφιακά τους δικαιώματα, ένα ποσοστό σημαντικά χαμηλότερο από τον μέσο όρο της ΕΕ που είναι 47%. Αυτή η δυσπιστία υπογραμμίζεται περαιτέρω από τις αυξημένες ανησυχίες για την ασφάλεια των παιδιών στο διαδίκτυο (62%) και τον έλεγχο των προσωπικών δεδομένων (51%). Επιπλέον, η Ελλάδα παρουσιάζει χαμηλότερη από τον μέσο όρο ευαισθητοποίηση σχετικά με την εφαρμογή των offline δικαιωμάτων στον ψηφιακό τομέα, με μόνο το 50% των ερωτηθέντων να αναγνωρίζει αυτήν την αρχή, σε σύγκριση με το μέσο όρο της ΕΕ που είναι 62%.
Κύριοι Τομείς Ανησυχίας:
- Ψηφιακές Δεξιότητες και Εκπαίδευση:
Παρά τις διάφορες κυβερνητικές πρωτοβουλίες για την ενίσχυση του ψηφιακού αλφαβητισμού, η Ελλάδα αντιμετωπίζει προκλήσεις στον εφοδιασμό των πολιτών της με τις απαραίτητες ψηφιακές δεξιότητες. Η έκθεση του 2024 αποκαλύπτει ότι μόνο το 52.4% του ελληνικού πληθυσμού διαθέτει βασικές ψηφιακές δεξιότητες, έναντι του μέσου όρου της ΕΕ που είναι 55.6%. Αυτό το χάσμα δεξιοτήτων είναι ιδιαίτερα εμφανές στον χαμηλό αριθμό ειδικών ICT, που ανέρχεται στο 2.4% της συνολικής απασχόλησης, σημαντικά χαμηλότερο από το μέσο όρο της ΕΕ που είναι 4.8%. Τα ευρήματα αυτά υπογραμμίζουν την ανάγκη για πιο αποτελεσματικά και στοχευμένα προγράμματα κατάρτισης για να γεφυρωθεί το ψηφιακό χάσμα και να διασφαλιστεί ότι όλοι οι πολίτες μπορούν να συμμετέχουν πλήρως στην ψηφιακή οικονομία.
- Ηλεκτρονική Ταυτοποίηση (e-ID):
Παρά την πρόοδο στον ψηφιακό μετασχηματισμό των δημόσιων υπηρεσιών, η Ελλάδα δεν έχει ακόμα θεσπίσει ένα σύστημα ηλεκτρονικής ταυτοποίησης που να συμμορφώνεται με τον Κανονισμό eIDAS. Αν και η χώρα αναπτύσσει ενεργά τον κόμβο eIDAS της και έχει πραγματοποιήσει επιτυχείς δοκιμές με άλλα κράτη μέλη, η απουσία ενός πλήρως λειτουργικού συστήματος e-ID παρεμποδίζει την απρόσκοπτη διασυνοριακή πρόσβαση στις ψηφιακές υπηρεσίες εντός της ΕΕ.
- e-Health:
Ενώ η Ελλάδα παρουσιάζει αξιέπαινη πρόοδο στον τομέα του e-health, με έναν εντυπωσιακό ετήσιο ρυθμό ανάπτυξης 21.6%, παραμένει πίσω από τον μέσο όρο της ΕΕ. Παρά το γεγονός ότι οι πολίτες μπορούν πλέον να έχουν πρόσβαση στους ηλεκτρονικούς ιατρικούς τους φακέλους μέσω της εφαρμογής myHealth, απαιτούνται περαιτέρω βελτιώσεις για την επέκταση των διαθέσιμων τύπων δεδομένων και την εξασφάλιση της συμμόρφωσης με τις οδηγίες προσβασιμότητας στο διαδίκτυο.
- Προστασία και Ενδυνάμωση Χρηστών:
Παραμένουν ανησυχίες σχετικά με την προστασία και την ενδυνάμωση των χρηστών στον ψηφιακό κόσμο. Παρόλο που η Ελλάδα έχει εφαρμόσει μέτρα για την ενίσχυση της ιδιωτικότητας και της ασφάλειας στο διαδίκτυο, όπως τα Μνημόνια Συνεργασίας μεταξύ των αρχών προστασίας δεδομένων και άλλων θεσμών, εξακολουθούν να υπάρχουν προκλήσεις στην εξασφάλιση μιας αξιόπιστης και ασφαλούς ψηφιακής εμπειρίας για όλους. Αυτό είναι ιδιαίτερα σημαντικό, δεδομένου ότι η Ελλάδα αναφέρει υψηλότερη από τον μέσο όρο έκθεση σε εχθρικό ή υποτιμητικό περιεχόμενο στο διαδίκτυο, που επηρεάζει το 25.7% των χρηστών του διαδικτύου, έναντι του μέσου όρου της ΕΕ που είναι 33.5%.
Θετικές Εξελίξεις και Προοπτικές:
Παρά τις προκλήσεις, η Ελλάδα έχει σημειώσει σημαντική πρόοδο σε ορισμένους τομείς. Οι προσπάθειες της χώρας να ψηφιοποιήσει τις δημόσιες υπηρεσίες έχουν αποφέρει θετικά αποτελέσματα, με σημαντική αύξηση στον αριθμό των υπηρεσιών που είναι διαθέσιμες μέσω της πύλης Gov.gr. Επιπλέον, η Ελλάδα έχει λάβει προληπτικά μέτρα για την προώθηση της ψηφιακής προσβασιμότητας, δημοσιεύοντας έναν Οδηγό Ψηφιακής Προσβασιμότητας για τους ιστότοπους και τις εφαρμογές δημόσιας διοίκησης. Η πρόσφατη ίδρυση της Εθνικής Αρχής Κυβερνοασφάλειας υπογραμμίζει περαιτέρω τη δέσμευση για την ενίσχυση της κυβερνοασφάλειας και την προστασία των κρίσιμων υποδομών.
Συμπέρασμα:
Η δεύτερη έκθεση για την Ψηφιακή Δεκαετία αποκαλύπτει μια μικτή εικόνα για την Ελλάδα. Ενώ η χώρα έχει σημειώσει αξιοσημείωτη πρόοδο στην ψηφιοποίηση των δημόσιων υπηρεσιών και την προώθηση της ψηφιακής προσβασιμότητας, εξακολουθούν να υφίστανται σημαντικές προκλήσεις σε τομείς όπως οι ψηφιακές δεξιότητες, η υιοθέτηση του e-ID και η προστασία των χρηστών στο διαδίκτυο. Η αντίληψη του κοινού επίσης υστερεί, υποδεικνύοντας την ανάγκη για μεγαλύτερη διαφάνεια και συμμετοχή των πολιτών στη διαμόρφωση του ψηφιακού μέλλοντος. Η αντιμετώπιση αυτών των προκλήσεων είναι κρίσιμη για την πλήρη πραγματοποίηση του οράματος της Ψηφιακής Δεκαετίας για μια ψηφιακά ενδυναμωμένη και περιεκτική κοινωνία. Με την προτεραιοποίηση των επενδύσεων στην ανάπτυξη ψηφιακών δεξιοτήτων, την επιτάχυνση της εφαρμογής του e-ID και την ενίσχυση των μέτρων διαδικτυακής ασφάλειας, η Ελλάδα μπορεί να ανοίξει το δρόμο για ένα πιο ευημερούν και ψηφιακά ανθεκτικό μέλλον.
Χρήσιμες Παραπομπές για σχετική ενημέρωση:
[1] https://digital-strategy.ec.europa.eu/en/library/digital-decade-2024-country-reports
[3] https://digital-strategy.ec.europa.eu/en/library/digital-decade-2024-special-eurobarometer-report
[4] https://europa.eu/eurobarometer/surveys/detail/3174
[5] https://digital-strategy.ec.europa.eu/en/factpages/state-digital-decade-2024-report
[6] https://digital-strategy.ec.europa.eu/en/policies/2024-state-digital-decade-package
[8] https://ec.europa.eu/newsroom/dae/redirection/document/106722
*Ο Χάρης Δάφτσιος, είναι Σύμβουλος Ψηφιακού Μετασχηματισμού.
Προστασία εταιρικών δεδομένων: αναγκαιότητα στην ψηφιακή εποχή
Γράφει o Ιωάννης Βασιλάκης*
Τα αγαθά των εταιρειών ως στόχος των επιτιθέμενων
Οι επιχειρήσεις διαχειρίζονται πολύτιμες πληροφορίες που πρέπει να προστατεύονται από επιθέσεις. Εταιρικά δεδομένα, επιχειρηματικά σχέδια με τεχνική μοναδικότητα, προσωπικά στοιχεία πελατών, συμβάσεις εμπιστευτικού χαρακτήρα, στρατηγικά πλάνα και κάθε άλλο «περιουσιακό στοιχείο» που συμβάλλει στην επιτυχία της επιχείρησης, αποτελεί στόχο των επιτιθέμενων.
Στο επίκεντρο των κυβερνοεπιθέσεων, είναι συχνά και οι υποδομές πληροφορικής των εταιρειών, μέσω των οποίων πραγματοποιείται η διαχείριση και η φύλαξη των δεδομένων και η λειτουργία των οργανισμών. Στην περίπτωση αυτή, αντικείμενο επίθεσης είναι τα δίκτυα και ο σχετικός εξοπλισμός, τα συστήματα διαχείρισης βάσεων δεδομένων, τα λειτουργικά συστήματα, οι εταιρικές ιστοσελίδες κ.λπ.
Είδη απειλών και επιπτώσεις των επιθέσεων
Οι επιχειρήσεις και οι εργαζόμενοι βρίσκονται αντιμέτωποι με ποικίλες και εξελισσόμενες κυβερνοαπειλές που χρησιμοποιούν διάφορες μεθόδους, όχι απαραίτητα τεχνικές.
- Το «social engineering» (κοινωνική μηχανική), είναι η ευρύτερη πρακτική της χειραγώγησης ανθρώπων για την αποκάλυψη εμπιστευτικών πληροφοριών.
- Το «phishing» αποτελεί μία τεχνική «social engineering», όπου με χρήση ηλεκτρονικών μηνυμάτων που δείχνουν έμπιστα, οι επιτιθέμενοι προσπαθούν να αποσπάσουν ευαίσθητες πληροφορίες (κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών) ή να πείσουν τους χρήστες να επιτρέψουν την εγκατάσταση κακόβουλου λογισμικού (malware).
- Το «malware» μπορεί να έχει διάφορες μορφές, ανάλογα με το είδος της επίθεσης και το στόχο του επιτιθέμενου. Η κλοπή δεδομένων ή η καταστροφή τους, η καταγραφή των δραστηριοτήτων τού χρήστη εν αγνοία του, η κρυπτογράφηση εταιρικών αρχείων και η αξίωση καταβολής λύτρων (ransomware), είναι μερικά από τα πιο διαδεδομένα είδη επιθέσεων.
Οι επιπτώσεις μιας επιτυχούς επίθεσης μπορεί να είναι καταστροφικές για τον οργανισμό και εξαρτώνται από παράγοντες όπως: η φύση και η έκταση της επίθεσης, το μέγεθος του οργανισμού και ο κλάδος που δραστηριοποιείται, η ικανότητα ανάκαμψης κ.λπ.
Οι βασικότερες επιπτώσεις μιας κυβερνοεπίθεσης περιλαμβάνουν:
- Διατάραξη ή και διακοπή της λειτουργίας του οργανισμού.
- Αμφισβήτηση της αξιοπιστίας με αντίκτυπο στις μείωση των πωλήσεων, την πτώση της μετοχής και τη διακοπή εταιρικών συνεργασιών
- Επιβολή διοικητικών προστίμων από κρατικές αρχές
- Αξιώσεις αποζημίωσης από θιγόμενους (παραβίαση προσωπικών δεδομένων, απώλεια κερδών κ.λπ.)
- Κόστος ανάκαμψης μετά την επίθεση
Αντιμετώπιση Απειλών
Η αποτελεσματική αντιμετώπιση των κυβερνοαπειλών, προϋποθέτει τη συντονισμένη προσπάθεια από πλευράς οργανισμού αλλά και υπαλλήλων. Είναι απαραίτητο να εφαρμόζονται συνδυαστικά, οργανωτικά και τεχνικά μέτρα, στα οποία συνίσταται να περιλαμβάνονται τα ακόλουθα:
Εξειδικευμένο προσωπικό σε κομβικές θέσεις – Διαρκής εκπαίδευση
Η επιλογή του κατάλληλου προσωπικού σε κρίσιμους ρόλους κυβερνοασφάλειας, ανήκει στον πυρήνα της αποτελεσματικής στρατηγικής έναντι των κυβερνοαπειλών. Η συνεχής εκπαίδευση των εμπλεκομένων, ώστε να γνωρίζουν το ισχύον θεσμικό πλαίσιο, τις τρέχουσες τάσεις και απειλές, τις νέες δυνατότητες των εργαλείων προστασίας κ.λπ., αποτελεί αυτονόητη απαίτηση.
Βεβαίως, στις περιπτώσεις που υπάρχει αναγκαιότητα για βαθιά γνώση ειδικών θεμάτων, η συνεργασία με έμπιστους εξωτερικούς συμβούλους (λ.χ penetration testers, ειδικοί αναλυτές) αποτελεί επίσης επιλογή, ειδικά για τους μεγάλους οργανισμούς.
Εφαρμογή κατάλληλων τεχνικών μέτρων
Ως τεχνικά μέτρα, αναφέρονται ενδεικτικά τα εξής που καλύπτουν ένα ευρύ φάσμα τομέων:
- Χρήση firewall, για προστασία του δικτύου από εξωτερικές απειλές.
- Εγκατάσταση λογισμικού ανίχνευσης ιών και κακόβουλου λογισμικού.
- Κρυπτογράφηση δεδομένων
- Δημιουργία αντιγράφων ασφαλείας
- Πρόσβαση στα συστήματα, μόνο από εξουσιοδοτημένα άτομα.
- Τακτική ενημέρωση των λογισμικών και επιδιόρθωση ευπαθειών
- Υποχρέωση χρήσης ισχυρών κωδικών πρόσβασης και λειτουργία διπλής επαλήθευσης (2 factor authentication)
- Παρακολούθηση και αξιολόγηση των αρχείων καταγραφής
- Εφαρμογή Virtual Private Network (VPN), για τους εργαζόμενους που απαιτείται να έχουν εξ αποστάσεως πρόσβαση στους εταιρικούς Η/Υ.
Ευαισθητοποίηση εργαζομένων – «Ανθρώπινο Firewall»
Λαμβάνοντας υπόψη ότι η συντριπτική πλειοψηφία των κυβερνοεπιθέσεων εκκινεί από ανθρώπινα σφάλματα (ακούσιες ενέργειες ή παραλείψεις), εύκολα γίνεται αντιληπτό ότι παρά τα προηγμένα τεχνικά μέτρα ασφάλειας, η ευαισθητοποίηση των εργαζομένων παραμένει η σημαντικότερη παράμετρος στην προστασία ενός οργανισμού.
Οι εργαζόμενοι μπορούν να λειτουργήσουν ως ένα «Ανθρώπινο Firewall», αποτελώντας τη βασικότερη γραμμή άμυνας κατά των κυβερνοεπιθέσεων. Όπως ήδη αναφέρθηκε, οι επιτιθέμενοι συχνά εκμεταλλεύονται -μέσω χειραγώγησης- τις ανθρώπινες αδυναμίες (ευπιστία, άγνοια, κόπωση κ.λπ.), προκειμένου να πετύχουν το σκοπό τους. Ως εκ τούτου, η εκπαίδευση των υπαλλήλων για την αναγνώριση και αποφυγή ανάλογων απειλών, είναι επιβεβλημένη.
Ειδικότερα, είναι απαραίτητο να αναπτυχθεί μια ισχυρή κουλτούρα κυβερνοασφάλειας, η οποία να προωθεί τη διαρκή ευαισθητοποίηση και την υιοθέτηση σε ατομικό επίπεδο καλών πρακτικών όπως:
- Συμμόρφωση με τις πολιτικές του οργανισμού (αυτονόητο)
- Άμεση ενημέρωση του ΙΤ της εταιρείας, για ασυνήθεις συμπεριφορές του Η/Υ
- Διατήρηση της εμπιστευτικότητας των διαπιστευτηρίων
- Ορθή χρήση του λογαριασμού email (έλεγχος αξιοπιστίας αποστολέα, επιφυλακτικότητα με τα συνημμένα και την επίσκεψη υπερσυνδέσμων κ.λπ.)
- Ελαχιστοποίηση χρήσης δεδομένων (όχι περιττές αποθηκεύσεις και διαβιβάσεις)
- Αποσύνδεση από τα συστήματα, κατά την απομάκρυνση από το γραφείο
- Προστασία των ιδιωτικών μέσων (Laptop, Tablet κ.λπ.), ειδικά εάν η εταιρεία έχει υιοθετήσει πολιτική BYOD (Bring Your Own Device)
- Αποφυγή δημοσιοποίησης εταιρικών πληροφοριών στα Κοινωνικά Δίκτυα
Σχέδιο διαχείρισης των περιστατικών ασφαλείας
Ανεξάρτητα με το επίπεδο ετοιμότητας, είναι πάντα πιθανό ένας οργανισμός να αποτελέσει θύμα επίθεσης. Ως εκ τούτου, είναι απαραίτητο να υπάρχει εκ των προτέρων σχέδιο διαχείρισης συμβάντων, με στόχο την αντιμετώπιση της επίθεσης, την ελαχιστοποίηση των συνεπειών και την ταχεία ανάκαμψη. Το σχέδιο θα πρέπει να περιλαμβάνει τόσο τεχνικά ζητήματα (λ.χ. αναγνώριση απειλής, μέθοδος απομόνωσης κακόβουλου λογισμικού, αξιοποίηση backup), όσο και οργανωτικά (ενεργοποίηση εμπλεκομένων, επικοινωνιακή διαχείριση, συνεργασία με κρατικές αρχές κ.λπ.)
Υιοθέτηση προτύπων
Η συμμόρφωση του οργανισμού με διεθνή πρότυπα ασφάλειας πληροφοριών, πέραν του τυπικού οφέλους (αξιοπιστία, ανταγωνιστικό πλεονέκτημα κ.λπ.), παρέχει και ουσιαστικά πλεονεκτήματα.
Ειδικότερα, προκειμένου ο οργανισμός να εναρμονιστεί με το εκάστοτε πρότυπο, υποχρεούται να υιοθετήσει συγκεκριμένες πρακτικές και μέτρα, ενισχύοντας έτσι τη συνολική του προστασία. Η διαδικασία αυτή, νομοτελειακά, οδηγεί τον οργανισμό να αναθεωρήσει και να βελτιώσει πολιτικές, να ενισχύσει τα τεχνολογικά του μέσα, συμβάλλοντας σε μια πιο οργανωμένη και αποδοτική λειτουργία, που τελικά αναβαθμίζει οριζόντια όλες τις δομές του.
Πολιτική Ασφάλειας – Προστασία της Ιδιωτικότητας
Η εκπόνηση και εφαρμογή πολιτικής ασφάλειας, αποτελεί το βασικό πλαίσιο προστασίας του οργανισμού. Περιλαμβάνει όλα τα αναγκαία οργανωτικά και τεχνικά μέτρα, τις αρχές που τηρεί ο οργανισμός, τις αρμοδιότητες των εμπλεκομένων και την απόδοση ευθυνών, τα αγαθά που απαιτείται να προστατεύονται και ό,τι άλλο αναγκαίο για να εξασφαλίζεται η απαραίτητη προστασία. Η δέσμευση της διοίκησης έναντι των στόχων της πολιτικής, αποτελεί καθοριστικό παράγοντα καθώς έτσι εξασφαλίζεται η επιτυχής εφαρμογή της.
Ταυτόχρονα, η πολιτική ασφάλειας θα πρέπει να εγγυάται ότι η εφαρμογή των μέτρων προστασίας, δεν λειτουργεί εις βάρος των ατομικών δικαιωμάτων και της ιδιωτικότητας των εργαζομένων. Είναι απαραίτητο να τηρούνται οι αρχές της αναλογικότητας και της νομιμότητας, ώστε τα μέτρα ασφαλείας να μην παραβιάζουν τις προσωπικές ελευθερίες των υπαλλήλων του οργανισμού.
Η πολιτική ασφάλειας, δεν είναι ένα στατικό έγγραφο. Είναι αναγκαία η συνεχής αξιολόγηση και βελτίωση, προκειμένου να καλύπτει τις σύγχρονες απαιτήσεις, ακολουθώντας τις εξελίξεις στην τεχνολογία, τις αλλαγές στις επιχειρηματικές δραστηριότητες και τα νέα είδη απειλών.
Επίλογος
Η ισχυρή άμυνα έναντι των αυξανόμενων κυβερνοεπιθέσεων αποτελεί απαραίτητη προϋπόθεση για την ανθεκτικότητα των οργανισμών. Η επένδυση στην κυβερνοασφάλεια εγγυάται την αδιάλειπτη λειτουργία, την προστασία των δεδομένων και την αξιοπιστία του οργανισμού στον ανταγωνιστικό χώρο.
*Ο Ιωάννης Βασιλάκης είναι απόφοιτος της Σχολής Ικάρων, του Τμήματος Πληροφορικής του ΕΑΠ και μεταπτυχιακός φοιτητής στο ΠΜΣ «Ψηφιακή Καινοτομία και Διοίκηση” του Πανεπιστημίου Πατρών. Εργάζεται ως Αξιωματικός Πληροφορικής στην Πολεμική Αεροπορία.
Ανοιχτή Επιστολή ενώπιον της Κομισιόν για τη χρήση εργαλείων επαλήθευσης της ηλικίας
Σήμερα, η Homo Digitalis υπογράφει επιστολή της European Digital Rights (EDRi) και άλλων 62 οργανώσεων και εμπειρογνωμόνων, με την οποία καλούμε την Ευρωπαϊκή Επιτροπή European Commission να σταματήσει τις προτάσεις για τη χρήση εργαλείων επαλήθευσης της ηλικίας κατά την εφαρμογή των Digital Services Act και eIDAS. Τα αποδεικτικά στοιχεία δείχνουν ότι αυτά τα εργαλεία είναι επικίνδυνα, εισάγουν διακρίσεις και δεν είναι ασφαλή:
- Η επαλήθευση βάσει εγγράφων αποκλείει όσους δεν διαθέτουν ταυτότητα, επιδεινώνοντας το ψηφιακό χάσμα,
- Η «ακρίβειά» της εφαρμογής τους βασίζεται στην επεξεργασία τεράστιου όγκου προσωπικών δεδομένων, απειλώντας το δικαίωμά μας στην διαδικτυακή ανωνυμία,
- Ενέχουν κινδύνους και για την προστασία της ιδιωτικής ζωής, καθώς οι μέθοδοι εκτίμησης της ηλικίας συχνά χρησιμοποιούν ευαίσθητα δεδομένα όπως τα βιομετρικά, τα οποία είναι επιρρεπή σε σφάλματα & μεροληψία,
- Οι προσεγγίσεις που βασίζονται σε βιομετρικά στοιχεία μπορεί να είναι προκατειλημμένες, με βάση το φύλο, τη φυλή ή την αναπηρία.
Τα εργαλεία επαλήθευσης της ηλικίας δεν είναι μια εύκολη τεχνολογική λύση για την αντιμετώπιση των αναγκών των παιδιών στο διαδίκτυο. Αντιθέτως επιφέρει σημαντικές προκλήσεις και κινδύνους
Μπορείτε να διαβάστε περισσότερα στην ανοιχτή επιστολή μας εδώ.