ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΚΙΝΔΥΝΕΥΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Γράφει o Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc*

Με αφορμή την πολύ πρόσφατη δημοσίευση του «Εθνικού Πλαισίου Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων» (6/5/2025), υπενθυμίζεται σε όλους η σημαντικότητα της διενέργειας εκτίμησης κινδύνων (risk assessment) που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ειδικότερα για τα προσωπικά δεδομένα, κάθε ολοκληρωμένο πρόγραμμα συμμόρφωσης πρέπει όντως να περιλαμβάνει μια ολοκληρωμένη Ανάλυση Διακινδύνευσης (Risk Assessment). Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ σχετικά με την προστασία δεδομένων (υψηλού κινδύνου) είναι η υλοποίηση της Μελέτης Αντικτύπου (Data Privacy Impact Analysis - DPIA), εντούτοις συστήνεται να διενεργείται (και) μια γενικότερη ανάλυση διακινδύνευσης για το σύνολο των κινδύνων / απειλών. Σύμφωνα με τις γενικότερες επιταγές ασφάλειας (άρθρο 32 του ΓΚΠΔ), η Ανάλυση Διακινδύνευσης πρέπει να σχετίζεται με τα ευρήματα που εντοπίζονται από την φάση της αρχικής Χαρτογράφησης (Data Mapping) και να υλοποιείται τόσο ΠΡΙΝ, όσο και ΜΕΤΑ από την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών  δεδομένων.

Κίνδυνος / Απειλή ορίζεται ως η πιθανότητα ή απειλή ζημίας, απώλειας ή αρνητικής συνέπειας σε ευαίσθητα περιεχόμενα / πληροφορίες και προσωπικά δεδομένα, με αρνητική επίπτωση στα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων (και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων) ή/και την απρόσκοπτη λειτουργία του Οργανισμού (ως υπεύθυνος επεξεργασίας). Οι κίνδυνοι μπορεί να προέρχονται τόσο από εγγενείς όσο και από εξωγενείς παράγοντες και μπορούν να μετριαστούν με κατάλληλα μέτρα. Η Διαχείριση Διακινδύνευσης αφορά το σύνολο διαδικασιών που σχετίζονται με τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση των παραπάνω κινδύνων.

 

Στάδια Υλοποίησης

Για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την Διαχείριση Διακινδύνευσης σχετικά με τα προσωπικά δεδομένα, ένας Οργανισμός (ως υπεύθυνος επεξεργασίας) συστήνεται να υιοθετήσει την μέθοδο DMRA (Decision Matrix Risk Assessment technique), μια συστηματική προσέγγιση που χρησιμοποιείται για τον αρχικό προσδιορισμό του επιπέδου κινδύνου (Risk Level) και τη σύγκριση διαφορετικών κινδύνων. Πρόκειται για ένα ευρέως χρησιμοποιούμενο εργαλείο για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την διαχείριση κινδύνων, βάσει και του διεθνούς προτύπου ISO 31000.

Σύμφωνα με την συγκεκριμένη μέθοδο, η ανάλυση διακινδύνευσης αποτελείται από τα ακόλουθα στάδια, κατά την υλοποίηση των οποίων απαιτείται διαρκή επικοινωνία μεταξύ των εμπλεκόμενων τμημάτων και διευθύνσεων του Οργανισμού:

  • Ορισμός του οργανωτικού πλαισίου και των γενικότερων κανόνων
  • Προσδιορισμός των κινδύνων που απειλούν αφενός τα υπό επεξεργασία προσωπικά δεδομένα για διαφορετικές κατηγορίες υποκειμένων που συνδιαλέγονται με τον Οργανισμό και αφετέρου την γενικότερη ασφάλεια του Οργανισμού
  • Ανάλυση των εντοπισμένων κινδύνων
  • Αξιολόγηση των εντοπισμένων κινδύνων
  • Αντιμετώπιση / διαχείριση των εντοπισμένων κινδύνων
  • Παρακολούθηση υλοποίησης διορθωτικών ενεργειών και επανεξέταση.

Ειδικότερα, ο υπεύθυνος επεξεργασίας δεδομένων προτείνεται να ακολουθεί τα εξής στάδια:

1.Στάδιο Εντοπισμού Κινδύνων (Risk Identification) [**]

Αφορά τον εντοπισμό, την αναγνώριση και την περιγραφή των κινδύνων / απειλών που θα μπορούσαν να επηρεάσουν την ακεραιότητα, την εμπιστευτικότητα ή/και την διαθεσιμότητα των υπό επεξεργασία προσωπικών δεδομένων, καθώς και την ασφαλή λειτουργία ολόκληρου του Οργανισμού. Η έρευνα επεκτείνεται και στην εξέταση των πηγών κινδύνου και των αιτιών που μπορεί να προκαλέσουν τους συγκεκριμένους κινδύνους. Οι γενικότερες συνθήκες που μπορεί να απειλούνται είναι η Ακεραιότητα των δεδομένων (Integrity /αλλοίωση δεδομένων), η Εμπιστευτικότητα των δεδομένων (Confidentiality) και η Διαθεσιμότητα των δεδομένων (Availability).

[**]Ενδεικτικοί κίνδυνοι:

Απώλεια δεδομένων - Κλοπή προσωπικών δεδομένων - Διαρροή προσωπικών δεδομένων - Μη εγκεκριμένη τροποποίηση δεδομένων - Μη ικανοποίηση αιτήματος υποκειμένων δεδομένων - Μη εγκεκριμένη διαγραφή δεδομένων - Αδυναμία λήψης backup / Μη διαθέσιμο backup - Μη προσβασιμότητα σε φακέλους & αρχεία του Οργανισμού - Μη προσβασιμότητα σε διαδικτυακές υπηρεσίες - Σφάλματα χρήσης / Αμέλεια χρηστών - Ελλιπής εκπαίδευση χρηστών σε κανόνες ασφάλειας & προστασίας δεδομένων - Φυσικές καταστροφές - Πυρκαγιά / Πλημμύρα - Φθορά / απώλεια σε hardware - Αστοχία κρίσιμου υλικού - Κίνδυνος μόλυνσης από ιούς και διασπορά - Κυβερνοεπίθεση / Παράνομη εισβολή σε δίκτυο / Hacking - Παρεμπόδιση κυβεροκυκλοφορίας - Λογισμικό ή δράσεις που εκμεταλλεύονται κενά ασφαλείας - Ανεπιθύμητα μηνύματα (spam)ΔολιοφθοράΠαραπληροφόρηση - Πλαστογραφία

Απάτη / Εξαπάτηση - Ακατάλληλο περιεχόμενο κ.ο.κ.

 

2.Ανάλυση Κινδύνων (Risk Analysis)

Αφορά την κατανόηση των πηγών, των αιτιών και της φύσης των ήδη εντοπισμένων κινδύνων / απειλών για τα υπό επεξεργασία προσωπικά δεδομένα και τον ίδιο τον Οργανισμό, καθώς και την εξέταση των υφιστάμενων μέτρων για την πρόληψη ή την αντιμετώπιση τους. Ακολουθεί ο υπολογισμός της Πιθανότητας να προκύψουν οι εντοπισμένοι κίνδυνοι και η ανάλυση των Συνεπειών / Επιπτώσεων τους, εφόσον οι κίνδυνοι συμβούν.

Η εξέταση επάρκειας των υφιστάμενων ελέγχων και μέτρων ερευνά το αν επαρκούν τα υφιστάμενα μέτρα για την πρόληψη ή τον μετριασμό των κινδύνων, καθώς και για την ανάκαμψη κατόπιν της εμφάνισης τους. Ταυτόχρονα, η αποτελεσματικότητα των υφιστάμενων μέτρων αξιολογείται λαμβάνοντας υπόψη: 1) ποιοι είναι οι υφιστάμενοι έλεγχοι για έναν συγκεκριμένο κίνδυνο και 2) εάν αυτοί οι έλεγχοι  είναι ικανοί να αντιμετωπίσουν επαρκώς τον κίνδυνο. Στην πράξη, αξιολογείται αν οι έλεγχοι υλοποιούνται με τον προβλεπόμενο τρόπο και αν μπορούν να αποδειχθούν αποτελεσματικοί, όταν αυτό απαιτηθεί.

Συγκεκριμένα, ένας εντοπισμένος κίνδυνος / ανεπιθύμητο γεγονός σχετικά τα προσωπικά δεδομένα βαθμολογείται ως προς την Πιθανότητα (Π) εμφάνισης ενός κινδύνου και ως προς την Σοβαρότητα (Σ) των συνεπειών του. Και οι 2 παράμετροι μετρούνται με την χρήση 5βάθμιου πίνακα, όπου το 1 είναι απίθανο ένας κίνδυνος να συμβεί ή εάν συμβεί, να έχει μηδαμινές επιπτώσεις. Αντίστοιχα, η αξιολόγηση 5 σημαίνει ότι ένας κίνδυνος είναι σχεδόν σίγουρο ότι θα συμβεί, ενώ εάν συμβεί αναμένεται να έχει καταστροφικές συνέπειες.

  • Συχνότητα/πιθανότητα (Π) εμφάνισης εντοπισμένου κινδύνου, λαμβάνοντας υπόψη το γενικότερο επίπεδο προστασίας και τα υφιστάμενα μέτρα προστασίας:

  • Σοβαρότητα (Σ) των συνεπειών από τον συγκεκριμένο κίνδυνο / ανεπιθύμητο συμβάν / απειλή για τα προσωπικά δεδομένα, εφόσον εμφανιστεί:

Η εκτίμηση των επιπτώσεων επεκτείνεται και στους πελάτες, το προσωπικό, την Διοίκηση, τις συνεργαζόμενες εταιρείες / εκτελούντες την επεξεργασία, την φήμη του Οργανισμού, τις νομικές και κανονιστικές υποχρεώσεις κ.ο.κ.

Μετά τον υπολογισμό της Πιθανότητας και της Σοβαρότητας, υπολογίζεται η επίπτωση σύμφωνα με το παρακάτω γινόμενο:

Επίπτωση = Σοβαρότητα * Πιθανότητα

Η κατάταξη της επίπτωσης γίνεται σύμφωνα με τον παρακάτω πίνακα:

Στον επόμενο πίνακα παρουσιάζεται συνοπτικά η σχέση μεταξύ πιθανότητας, σοβαρότητας και επίπτωσης:

3.Αξιολόγηση Κινδύνων (Risk Evaluation)

Σε συνέχεια του εντοπισμού και της ανάλυσης των κινδύνων, αποφασίζεται ποιοι κίνδυνοι θα αντιμετωπιστούν, με ποιον τρόπο και με ποια προτεραιότητα. Αυτό το βήμα βοηθά τον Οργανισμό στη λήψη αποφάσεων σχετικά με την ανεκτικότητα και την ιεράρχηση του κάθε κινδύνου, συγκρίνοντας το εκτιμώμενο επίπεδο κινδύνου με τα προ-αποφασιμένα κριτήρια κινδύνου.

 

4.Αντιμετώπιση Κινδύνων (Post Risk Assessment) [***]

Η διαχείριση των εντοπισμένων κινδύνων περιλαμβάνει πολλές επιλογές, βάσει εκτιμήσεων και αποφάσεων του Οργανισμού, όπως ή αποφυγή του κινδύνου, η αντιμετώπιση ή μετριασμός του, η τροποποίηση της πιθανότητας ή/και επίπτωσης και η αφαίρεση της πηγής του κινδύνου. Μετά την υλοποίηση των μέτρων συνιστάται η επαναξιολόγηση του κινδύνου, για να διαγνωστεί εάν αυτός αντιμετωπίστηκε επαρκώς και να προκύψει ο εναπομείναν κίνδυνος.

 

[***]Ενδεικτικά Τεχνικά και Οργανωτικά Μέτρα:

Πρόγραμμα συμμόρφωσης με ΓΚΠΔ και κείμενη Νομοθεσία - Πολιτικές / Διαδικασίες διαχείρισης δεδομένων - Διαχείριση αναφοράς και διαχείρισης παραβιάσεων / εισβολών / απώλειας δεδομένων - Business Continuity Plan, Disaster Recovery Plan - Εκπαιδεύσεις εργαζομένων στην ορθή χρήση λογισμικού Σύμβαση εμπιστευτικότητας δεδομένων με συνεργαζόμενες εταιρείες - Παρακολούθηση υλοποίησης έργου συνεργαζόμενων εταιρειών, Clean desk policy - Γενικότερη ασφάλεια χώρων (εσωτερικών και εξωτερικών) - Λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) - Λειτουργία συστήματος πυρανίχνευσης / πυροπροστασίας - Εφαρμογή προγράμματος απεντομώσεων / μυοκτονιών - Ελεγχόμενες συνθήκες κρίσιμων χώρων (control room, φυσικό αρχείο κλπ.) - Πρόγραμμα προληπτικών συντηρήσεων κρίσιμων υποδομών / εξοπλισμού, Απαγόρευση πρόσβασης σε ακατάλληλους ιστότοπους - Απενεργοποίηση / ελεγχόμενες θύρες USB - Δοκιμαστική ανάκτηση ανά τακτά χρονικά διαστήματα  - Ελεγχόμενες προσβάσεις / εξουσιοδοτήσεις - Αναβαθμίσεις και προληπτική συντήρηση λογισμικού - Ισχυροί κωδικοί πρόσβασης - Remote backup - Αντιμετώπιση απώλειας δεδομένων (DLP) / Data Loss, Data LeakFIREWALLANTIVIRUS - PENETRATION TEST - Διαχείριση LOG files - Δικαιώματα χρηστών μέσω active directory  Κρυπτογράφηση βάσεων - BYOD/P - VDI (Virtual Desktop Infrastructure) – VPN κ.ο.κ.

5.Ανασκόπηση

Ακόμα και μετά την ολοκλήρωση της ανάλυσης διακινδύνευσης, ο Οργανισμός πρέπει να προχωράει σε διαρκή έλεγχο, αφού οι κίνδυνοι /απειλές μπορεί να είναι δυναμικοί και να διαφοροποιούνται μέσα στον χρόνο, καθιστώντας τα επιλεχθέντα διορθωτικά μέτρα μη αποτελεσματικά. Γενικά, η αξιολόγηση των κινδύνων ανασκοπείται κατά ελάχιστο σε ετήσια βάση ή όποτε προκύπτουν σημαντικές αλλαγών (π.χ. χρήση νέου εξοπλισμού, συλλογή και επεξεργασία νέων δεδομένων, τροποποίηση τρόπου επεξεργασίας κ.λπ.).

 

* Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO, QMS IRCA Lead Auditor ISO 9001:2015, CQI IRCA Lead Auditor ISO 27001:2013, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ και MSc in International Business and Finance. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι πρώην μέλος του Δ.Σ. του European Association of Data Protection Professional (EADPP), γενικός γραμματέας & επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων του Ελληνικού παραρτήματος EADPP, επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας (EIQSH) και μέλος της Homo Digitalis.

 

ΒΙΒΛΙΟΓΡΑΦΙΚΕΣ ΑΝΑΦΟΡΕΣ / ΠΗΓΕΣ

-Τσιπτσέ, Ο., Κωστούλας, Δ. (Ιανουάριος 2020), «Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα», Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

-https://www.homodigitalis.gr/posts/9331, Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά, Δημοσθένης Κ. Κωστούλας, 7 Ιουνίου 2021

-BSI, 2009. BS ISO 31000: Risk management: principles and guidelines, London: British Standards Institution.

-Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων (Αρ. Φύλλου 2186), 6 Μαίου 2025)

-Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL

-Baybutt P. Calibration of risk matrices for process safety. J Loss Prevent Process Industries. 2015;38:163–168, 2015.

-Wall KD The trouble with risk matrice. DRMI Working Papers Ongoing Research; 2011.

-Duijm NJ. Recommendations on the use and design of risk matrices. Saf Sci. 2015;76:21–31. 2015

-Korombel A, Tworek P. Qualitative risk analysis as a stage of risk management in investment projects: advantages and disadvantages of selected methods-theoretical approach 2011;1(2):51–54

-https://safeti.com/product/workshop-risk-assessment

 


Μπορείς κι εσύ να γίνεις επαγγελματίας στον τομέα της ασφάλειας τεχνολογιών και πληροφοριών χωρίς τεχνικές γνώσεις!

Γράφει o Γιάννης Ντόκος*

Ο κόσμος των τεχνολογιών είναι διαρκώς μεταβαλλόμενος. Νέες εξελίξεις στον κλάδο λαμβάνουν πλέον χώρα σε καθημερινή βάση, με την πρόοδο των κλάδων όπως αυτών της τεχνητής νοημοσύνης, των κβαντικών υπολογιστών και των συσκευών/μεθόδων ταυτοποίησης. Αναμφίβολα οι εξελίξεις αυτές είναι ελκυστικές, τόσο για τους καταναλωτές και το ευρύτερο κοινό, όσο και για όσους από εμάς ενδιαφερόμαστε να εργαστούμε στον κλάδο των τεχνολογιών. Χρειάζεται,ωστόσο, να κατέχουμε τεχνικές δεξιότητες προκειμένου να απασχοληθούμε στον τομέα της προστασίας πληροφοριών και τεχνολογιών;

Η παρεξήγηση των "τεχνικών γνώσεων"

Πολύ συχνά, όταν ακούμε για επαγγέλματα στον τομέα της ασφάλειας τεχνολογιών και δεδομένων, φανταζόμαστε προγραμματιστές, χάκερς και άτομα που παίζουν με καλώδια, διακομιστές και μόντεμ.. Βεβαίως είναι και αυτές οι εξειδικεύσεις σχετικές με το αντικείμενο, ωστόσο η ασφάλεια πληροφοριών περιλαμβάνει ένα ευρύ φάσμα ρόλων και δραστηριοτήτων – και όχι απαραίτητα τεχνικής φύσης!

Ας πάρουμε τα πράγματα με τη σειρά. Είναι οι τεχνικές γνώσεις χρήσιμες στους κλάδους αυτούς; Αναμφίβολα. Ειδικά αν μιλάμε για θέσεις που απαιτούν τη χρήση τέτοιων δεξιοτήτων σε καθημερινή βάση. Εάν επιδιώκω να ασχοληθώ με τον προγραμματισμό ή την ανάλυση δεδομένων, προφανώς πρέπει να ξέρω πώς να γράφω κώδικα ή να αναλύω δεδομένα προκειμένου να εξάγω κάποιο συμπέρασμα. Σε αυτές τις θέσεις εργασίας, οι τεχνικές δεξιότητες είναι προαπαιτούμενο! Σε μεγαλύτερο ή μικρότερο βαθμό, είναι απαραίτητες.

Τί γίνεται όμως αν θέλει κανείς να ασχοληθεί με το αντικείμενο της ασφάλειας τεχνολογιών, πληροφοριών ή προσωπικών δεδομένων; Πρέπει να είναι τότε άσος με τους υπολογιστές, την ρύθμιση δικτύων και τις μεθόδους πρόσβασης σε αυτά; Η απάντηση, ευτυχώς, είναι “όχι”. Και αυτό είναι πράγματι ένα πολύ θετικό μήνυμα, διότι ανοίγει διόδους εισροής στους παραπάνω κλάδους σε μεγάλο αριθμό επαγγελματιών που δεν είναι αναγκαστικά τεχνικά καταρτισμένοι. Παράλληλα, επιτρέπει τη σχετικά εύκολη μετάβαση από έναν παρεμφερή κλάδο (βλέπε προστασία πληροφοριών), σε έναν άλλο κλάδο εξίσου σχετικό (όπως η διαχείριση κινδύνου στον τομέα της τεχνητής νοημοσύνης). Επομένως, όσοι από εσάς ενδιαφέρεστε να εντρυφήσετε στα  παρακλάδια αυτά, έχετε τη δυνατότητα να το κάνετε χωρίς να χρειάζεται να μπορείτε να διαπεράσετε καλά προστατευμένα δίκτυα “χακάροντας” όποιον υπολογιστή και διακομιστή βρεθεί στο διάβα σας (αν και κάπου θα σας φανεί χρήσιμη αυτή η δεξιότητα)!

Μισό λεπτό όμως! Είναι τόσο εύκολο ο καθένας να μπει στον κλάδο χωρίς τεχνικές γνώσεις; Ίσως όχι εύκολο, αλλά θα έλεγα πως είναι σίγουρα εφικτό, με μια σωστή στάση και την καλλιέργεια σχετικών ικανοτήτων! Οι τεχνολογίες εξελίσσονται γρήγορα, αλλά παράλληλα γίνονται διαθέσιμα όλο και περισσότερα εργαλεία. μέσα και πλατφόρμες που κάνουν πιο προσιτές και κατανοητές τις βασικές έννοιες, ακόμη και σε άτομα με μηδενική επαφή με τον προγραμματισμό ή τις υποδομές δικτύου.

Δεξιότητες για επαγγελματίες στην προστασία πληροφοριών και τεχνολογιών

Σίγουρα οι καθαρά τεχνικές δεξιότητες μπορούν να αποκτηθούν με τον χρόνο, υπάρχουν ωστόσο κάποιες δεξιότητες γενικού χαρακτήρα και στάσεις ζωής που είναι απολύτως καθοριστικές:

 

  1. Αναλυτική σκέψη και επίλυση προβλημάτων

Η ασφάλεια πληροφοριών είναι τομέας όπου καλείσαι διαρκώς να αναλύεις προβλήματα, να εντοπίζεις μοτίβα και να βρίσκεις λύσεις. Η ικανότητα να σκέφτεσαι λογικά και να επιλύεις προβλήματα είναι ζωτικής σημασίας και προαπαιτούμενο εάν ο εν λόγω κλάδος σε ενδιαφέρει!

 

  1. Περιέργεια και διάθεση για μάθηση

Η τεχνολογία εξελίσσεται συνεχώς. Επομένως, το πηγαίο ενδιαφέρον για τέτοιες εξελίξεις και η διάθεση για μάθηση είναι καίρια. Είτε πρόκειται για νέα εργαλεία, νέες απειλές στην κυβερνοασφάλεια, ή νέους τρόπους προστασίας των δεδομένων, η περιέργεια είναι σύμμαχος των επαγγελματιών του κλάδου.

 

  1. Επικοινωνιακές δεξιότητες

Η αλληλεπίδραση με συνεργάτες, νομοθέτες και προμηθευτές είναι καθημερινή και απαραίτητη στον τομέα. Συνεπώς, η ανάπτυξη επικοινωνιακών δεξιοτήτων και διαπροσωπικών σχέσεων είναι απαραίτητη ούτως ώστε να καταλάβουμε,να συνεργαστούμε, να πείσουμε τους άλλους και να βελτιώσουμε την ασφάλεια των υποδομών μας.

 

  1. Σφαιρική γνώση και επίγνωση

Η προστασία τεχνολογιών απαιτεί να μπορεί κανείς να δει τη μεγαλύτερη εικόνα και να συνδέει τις κουκίδες. Τυχόν προβλήματα που προκύπτουν είναι πολυπαραγοντικά και άπτονται πολλών διαστάσεων, με αποτέλεσμα η σφαιρική γνώση να είναι μεγάλο προσόν.

Τι μπορείς να κάνεις χωρίς τεχνικές γνώσεις;

Υπάρχουν αρκετές ειδικότητες που μπορούν να προσεγγιστούν με βασικές ή και μηδενικές τεχνικές γνώσεις:

 

  • IT Project Management: Εστιάζει στον σχεδιασμό και τη διαχείριση έργων τεχνολογίας.

 

  • Governance, Risk & Compliance Analyst: Ασχολείται με την κανονιστική συμμόρφωση και την αξιολόγηση κινδύνου.

 

  • Security Awareness Trainer: Εκπαιδεύει προσωπικό σε θέματα ψηφιακής ασφάλειας.

 

  • SOC Analyst: Εισαγωγική θέση σε Security Operations Center, με έμφαση στην παρακολούθηση και αναφορά συμβάντων ασφαλείας.

 

Τέτοιες εισαγωγικές θέσεις επιτρέπουν σε κάποιον να μπορεί να αναπτύξει σταδιακά τεχνικές γνώσεις και να εξελιχθεί σε πιο εξειδικευμένες θέσεις.

Από πού να ξεκινήσεις

Αν δεν έχεις τεχνικό υπόβαθρο, υπάρχουν πρακτικά βήματα που μπορείς να ακολουθήσεις:

Online μαθήματα και πιστοποιήσεις

Πολλές προσβάσιμες πλατφόρμες (Coursera, edX, Udemy, Cybrary, Pluralsight) προσφέρουν βασικά μαθήματα για αρχάριους. Πιστοποιήσεις όπως CompTIA Security+, Google IT Support, ή η σειρά ISC2 Certified in Cybersecurity είναι εξίσου καλά πρώτα βήματα.

 

Επιμόρφωση και ενημέρωση

Καθημερινή ανάγνωση άρθρων, blogs, και βιβλίων βοηθά στην κατανόηση και εξοικείωση με το πεδίο. Το να ενημερώνεσαι για τις εξελίξεις είναι βασική συνήθεια κάθε επαγγελματία στον χώρο.

Συμμετοχή σε κοινότητες

Φόρουμ, ομάδες στο LinkedIn, και συμμετοχή σε events (όπως τα BSides, OWASP Meetups και φυσικά τα event που διοργανώνει η Homo Digitalis!) θα σε φέρουν κοντά με άλλους επαγγελματίες του χώρου που μπορεί να έχουν πολύ χρήσιμες πληροφορίες ή κατευθυντήριες γραμμές να σου προτείνουν.

 

Εύρεση μέντορα

Ένας μέντορας, κάποιος που να σε καθοδηγεί, μπορεί να είναι ανεκτίμητος. Το ίντερνετ, εξειδικευμένες πλατφόρμες (π.χ. ΆλληλονΝΕΤ) ή το YouTube παρέχουν τέτοιες δυνατότητες.

 

Το κατάλληλο mindset

Το πιο σημαντικό στοιχείο για να πετύχει κάποιος στον χώρο – περισσότερο και από τις γνώσεις – είναι η επιμονή, η υπομονή και η περιέργεια. Πολλοί επαγγελματίες του χώρου ξεκίνησαν από διαφορετικά υπόβαθρα: βιολογία, νομική, διοίκηση επιχειρήσεων ή ακόμη και τέχνες! Με τη σωστή νοοτροπία και αντιμετώπιση, άτομα από κάθε υπόβαθρο μπορούν να απασχοληθούν στο πεδίο της ασφάλειας πληροφοριών και τεχνολογιών!

Εν κατακλείδι

Η ασφάλεια πληροφοριών δεν είναι κλειστή μόνο στους χάκερς, τους προγραμματιστές και τους τεχνικούς δικτύων. Το πεδίο έχει ανοίξει τις πόρτες του σε όσους έχουν την όρεξη, τη σωστή νοοτροπία και τη διάθεση να εξελίσσονται. Με σωστή καθοδήγηση, επιμονή και αξιοποίηση των διαθέσιμων πόρων, οποιοσδήποτε μπορεί να μπει στον χώρο και να διαπρέψει!

*Ο Γιάννης Ντόκος είναι Ειδικός IT Governance, Risk, and Compliance (GRC).

 


Γενετικά Δεδομένα και Ιδιωτικές Εταιρείες: Το Παράδειγμα της 23andMe και οι Προκλήσεις για την Ελλάδα

Γράφει o Τάσος Αραμπατζής

Τα γενετικά δεδομένα αποτελούν μία από τις πιο πολύτιμες και ευαίσθητες μορφές προσωπικών πληροφοριών. Ο τρόπος με τον οποίο συλλέγονται, αποθηκεύονται και αξιοποιούνται από ιδιωτικές εταιρείες εγείρει πλήθος νομικών, ηθικών και κοινωνικών ερωτημάτων. Η περίπτωση της αμερικανικής εταιρείας 23andMe, σε συνδυασμό με τις πρόσφατες εξελίξεις στην Ελλάδα, αναδεικνύουν με σαφήνεια τους κινδύνους που σχετίζονται με την εμπορική διαχείριση γενετικών δεδομένων.

Η Περίπτωση της 23andMe

Η 23andMe ιδρύθηκε με την υπόσχεση να φέρει την γενετική ανάλυση στο ευρύ κοινό, προσφέροντας προσιτά τεστ DNA για πληροφορίες καταγωγής και υγείας. Ωστόσο, τον Μάρτιο του 2025, η εταιρεία υπέβαλε αίτηση πτώχευσης, μετά από χρόνια οικονομικών προβλημάτων λογω του μη βιώσιμου επιχειρηματικού μοντέλου της, μείωση στη ζήτηση των υπηρεσιών της και σοβαρά περιστατικά παραβίασης ασφαλείας.

Τον Οκτώβριο του 2023, η 23andMe υπέστη μια σοβαρή παραβίαση ασφαλείας που επηρέασε περίπου 6,9 εκατομμύρια χρήστες. Η επίθεση πραγματοποιήθηκε μέσω τεχνικής γνωστής ως "credential stuffing", όπου οι εισβολείς χρησιμοποίησαν επαναχρησιμοποιημένα ονόματα χρήστη και κωδικούς πρόσβασης από προηγούμενες διαρροές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών.

Η διαρροή περιλάμβανε ευαίσθητες πληροφορίες, όπως ονόματα, φωτογραφίες προφίλ, έτος γέννησης, τοποθεσία, εθνοτική καταγωγή, και γενετικά δεδομένα, όπως ομάδες απλοτύπων μιτοχονδριακού DNA και Y-χρωμοσώματος. Ιδιαίτερη ανησυχία προκάλεσε το γεγονός ότι οι εισβολείς στόχευσαν συγκεκριμένες εθνοτικές ομάδες, όπως Εβραίους Ασκενάζι και άτομα κινεζικής καταγωγής, με τα δεδομένα τους να πωλούνται στο dark web.

Η αντίδραση της εταιρείας επικρίθηκε έντονα, καθώς απέδωσε την ευθύνη στους χρήστες για τη χρήση επαναλαμβανόμενων κωδικών πρόσβασης, ενώ καθυστέρησε να αναγνωρίσει δημόσια την παραβίαση. Αυτό οδήγησε σε περισσότερες από δύο δωδεκάδες ατομικές και συλλογικές αγωγές, κατηγορώντας την εταιρεία για αμέλεια και παραβίαση της ιδιωτικότητας .

Ωστόσο, το ζήτημα δεν περιορίζεται μόνο στην παραβίαση. Κατά τη διαδικασία πτώχευσης, το πτωχευτικό δικαστήριο ενέκρινε την πώληση των περιουσιακών στοιχείων της εταιρείας -συμπεριλαμβανομένων των γενετικών δεδομένων- σε νέο επενδυτή, υπό τον όρο ότι θα τηρηθεί η ισχύουσα νομοθεσία. Παρ’ όλα αυτά, στις ΗΠΑ δεν υπάρχει ενιαίο αυστηρό νομικό πλαίσιο για την προστασία τέτοιων δεδομένων από ιδιωτικές εταιρείες, αφήνοντας σημαντικά κενά και ενισχύοντας τους φόβους για κακή χρήση τους.

«23andMe» και στην Ελλάδα;

Το πρόβλημα όμως δεν είναι μόνο αμερικανικό. Στην Ελλάδα, όπως αποκάλυψαν οι Reporters United και δημοσίευσε και η ΕφΣυν, το Υπουργείο Υγείας υπέγραψε προγραμματική σύμβαση με ιδιωτικές εταιρείες (RealGenix και Beginnings) για την υλοποίηση του προγράμματος "First Steps", το οποίο προβλέπει την αλληλούχιση του πλήρους γονιδιώματος 100.000 νεογνών μέχρι το 2029. Σύμφωνα με τη σύμβαση, τα ερευνητικά αποτελέσματα των αναλύσεων θα αποτελούν αποκλειστική ιδιοκτησία της ιδιωτικής εταιρείας, γεγονός που έχει προκαλέσει σφοδρές αντιδράσεις.

Το Ινστιτούτο Υγείας του Παιδιού, αρμόδιος δημόσιος φορέας για τον προληπτικό έλεγχο νεογνών, εξέφρασε σοβαρές επιφυλάξεις, επισημαίνοντας την απουσία επιστημονικής αξιολόγησης και τους ηθικούς κινδύνους της ιδιωτικοποίησης του ανθρώπινου γονιδιώματος. Αν και η κυβέρνηση αναφέρει ότι τα δεδομένα θα είναι ψευδωνυμοποιημένα και θα εφαρμόζεται ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), δεν διευκρινίζονται συγκεκριμένες ασφαλιστικές δικλείδες, ούτε ο τρόπος που οι εταιρείες θα διαχειρίζονται τα δεδομένα μετά την ολοκλήρωση του έργου.

Ο Υπουργός Υγείας, Άδωνις Γεωργιάδης, υπερασπίστηκε το πρόγραμμα, δηλώνοντας ότι πιστεύει στη διαφάνεια και τη λογοδοσία, και ότι το πρόγραμμα έχει ως στόχο την πρόληψη και την προστασία της δημόσιας υγείας. Ωστόσο, οι ανησυχίες παραμένουν σχετικά με την ιδιωτικοποίηση του γενετικού υλικού και την έλλειψη σαφών όρων και προϋποθέσεων για τη χρήση των δεδομένων.

Οι Κίνδυνοι της Ιδιωτικοποίησης

Η σύνδεση με την περίπτωση της 23andMe είναι προφανής: και στις δύο περιπτώσεις, η διαχείριση γενετικών δεδομένων περνά σε χέρια ιδιωτών, με ελλιπές ή ασαφές πλαίσιο προστασίας.

Τα γενετικά δεδομένα είναι μοναδικά, δεν αλλάζουν, και μπορούν να χρησιμοποιηθούν όχι μόνο για ιατρικούς σκοπούς, αλλά και για ταυτοποίηση, κοινωνική μηχανική, ή ακόμη και impersonation attacks – επιθέσεις στις οποίες κάποιος προσποιείται την ταυτότητα του ατόμου βάσει γενετικής πληροφορίας. Η ιδιωτικοποίησή τους χωρίς αυστηρούς όρους διαχείρισης καθιστά εφικτή την επαναπροσδιορισιμότητα της ταυτότητας των υποκειμένων και δημιουργεί εύλογες ανησυχίες για μελλοντική κακή χρήση.

Επιπρόσθετα, η πρόσβαση στο γενετικό υλικό δεν αφορά μόνο το υποκείμενο, αλλά και τους συγγενείς του. Οποιοσδήποτε αποκτήσει πρόσβαση σε αυτή την πληροφορία μπορεί να λάβει πληροφορίες και για το στενό συγγενικό περιβάλλον, οπότε η παραβίαση ασφαλείας αυτών των δεδομένων εγκυμονεί σοβαρούς κινδύνους για οποιονδήποτε σχετίζεται βιολογικά με το θύμα.

Επιπλέον, η απώλεια ελέγχου του γενετικού υλικού από τους πολίτες και το δημόσιο τομέα ανοίγει τον δρόμο για εμπορική εκμετάλλευση χωρίς διαφάνεια. Όπως έδειξε η περίπτωση της 23andMe, σε ένα καθεστώς πτώχευσης ή εξαγοράς, η τύχη των δεδομένων εξαρτάται περισσότερο από τις οικονομικές επιδιώξεις των επενδυτών και λιγότερο από τα δικαιώματα των πολιτών.

Η ανάγκη για αυστηρότερο νομοθετικό πλαίσιο, διαφανείς διαδικασίες, ισχυρή δημόσια εποπτεία και ενημέρωση των πολιτών είναι επιτακτική. Τα γενετικά δεδομένα δεν είναι απλά ιατρικές πληροφορίες. Είναι φορείς ταυτότητας, ιστορίας και μελλοντικών δυνατοτήτων. Οφείλουμε να τα προστατεύσουμε ως τέτοια – όχι μόνο για εμάς, αλλά και για τις επόμενες γενιές.


Παραχωρούμε αιγίδα και ομιλία στο 15o InfoCom Security 2025!

Με χαρά ανακοινώνουμε ότι η Homo Digitalis παραχωρεί για ακόμη μια χρόνια την αιγίδα της στο 15o InfoCom Security 2025!! Η επετειακή εκδοχή του θα λάβει χώρα στις 2 & 3 Απριλίου στο Ωδείο Αθηνών!

O Κωνσταντίνος Κακαβούλης θα εκπροσωπήσει το ΔΣ μας εκεί, παραχωρώντας και την εναρκτήρια τοποθέτηση του συνεδρίου κατά τη δεύτερη ημέρα διεξαγωγής του!

Οι εγγραφές είναι ανοιχτές και δωρεάν!! Μπορείτε να κάνετε τη δίκη σας, καθώς και να δείτε το πλήρες πρόγραμμα για τις 2 ημέρες του συνεδρίου εδώ.

Ευχαριστούμε θερμά την ομάδα των διοργανωτών για την εξαιρετική συνεργασία (SmartPress S.A., IT Security Pro ) στο πλαίσιο της εκδήλωσης.

 


Συνδιοργανώνουμε εκδήλωση για τη Κυβερνοασφάλεια και την προστασία προσωπικών δεδομένων στο Πάρκο Καινοτομίας JOIST στη Λάρισα!

Στις 20 Μαρτίου 2025 και ώρα 18:00 – 20:30 η Homo Digitalis έχει τη μεγάλη χαρά να συνδιοργανώνει και να συμμετέχει στην εκδήλωση “Κυβερνοασφάλεια και προστασία προσωπικών δεδομένων: Ανθεκτικότητα, Συμμόρφωση, Καινοτομία” στο Πάρκο Καινοτομίας JOIST στη Λάρισα!

Στόχος της εκδήλωσης είναι η ευαισθητοποίηση και ενδυνάμωση των επιχειρήσεων όλων των κλάδων και μεγεθών ώστε να μπορούν να γίνουν ανθεκτικές και να καινοτομούν με ασφάλεια και σεβασμό στα δικαιώματα των πολιτών.

Στην εκδήλωση θα συμμετέχουν ως ομιλητές/ομιλήτριες :
ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας Μιχαήλ Μπλέτσας.
ο  Παναγιώτης Σούλος Μέλος του ISC2 Hellenic Chapter, Information Security GRC Senior Manager στην STEELMET Corporate Services,
η Λαμπρινή Γυφτοκώστα, Διευθύντρια Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης της Homo Digitalis,
o Γιάννης Κούκουρας Μέλος του ISC2 Hellenic Chapter, Managing Director στην TwelveSec TwelveSec, και
η Karina Iskandarova, Ιδρύτια της CharismaWorks

⌛ Συντονίζει ο Αναστάσιος Αραμπατζής από Bora – Cybersecurity Marketing και Homo Digitalis.

Δηλώστε συμμετοχή δωρεάν εδώ.

 


Με μεγάλη επιτυχία ολοκληρώθηκε η συμμετοχή της Homo Digitalis στο Digital World Summit Greece

Η Homo Digitalis είχε τη μεγάλη τιμή και χαρά να δώσει το παρόν με διπλή εκπροσώπηση στο Digital World Summit Greece, σήμερα Τρίτη 28 Μαΐου στο Εθνικό Ίδρυμα Ερευνών!

Συγκεκριμένα, ο Αντιπρόεδρος μας και Partner στην Digital Law Experts (DLE), Στέφανος Βιτωράτος, συμμετείχε ως συντονιστής στο 1ο πάνελ του συνεδρίου, με θέμα “#ΑΙ: Η τομή ανάμεσα σε ρύθμιση και καινοτομία”, σε μία συναρπαστική συζήτηση μαζί με ομιλητές, όπως οι Δημήτρης Γερογιάννης (Πρόεδρος ΑΙ Catalyst), Λίλιαν Μήτρου (Καθηγήτρια, Τμήμα Μηχανικών Πληροφοριακών & Επικοινωνιακών Συστημάτων, Πανεπιστημίου Αιγαίου), Χαράλαμπος Τσέκερης (Προεδρεύων της Εθνικής Επιτροπής Βιοηθικής & Τεχνοηθικής), Γιάννης Μαστρογεωργίου (Ειδικός Γραμματέας Μακροπρόθεσμου Σχεδιασμού, Προεδρία της Ελληνικής Κυβέρνησης) και Φώτης Δραγανίδης (Διευθυντής Tεχνολογίας Microsoft Hellas).

Η Διευθύντρια μας για ζητήματα Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης, Λαμπρινή Γυφτοκώστα, ήταν ομιλήτρια στο 2ο πάνελ του Digital World Summit Greece 2024, με θέμα “#Κυβερνοασφάλεια, Ασφάλεια των Πολιτών και Τεχνητή Νοημοσύνη“! To πάνελ συντόνισε  ο Κωνσταντίνος Αναγνωστόπουλος (Co-founder & Director, Athens Legal Tech), ενώ έδωσαν το παρόν ως ομιλητές και οι Ναταλία Σούλια (Senior Associate | Privacy, Data Protection & Cybersecurity, KG Law FIrm), Θωμάς Δομπρίδης (Προϊστάμενος της Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης), Αντώνης Μπρούμας (Επικεφαλής του τομέα δικαίου και τεχνολογίας, EY Πλατής-Αναστασιάδης) και Στέλλα Τσιτσούλα (Founder, RED.comm, Co-Founder | Women4Cyber GR | Founder Hellenic Cybersecurity Institute)!

Ευχαριστούμε τους διοργανωτές για την ευγενική πρόσκληση, όπως κάθε χρόνο, στο σημαντικό αυτό συνέδριο.

 


H Homo Digitalis με διπλή εκπροσώπηση στο Digital World Summit Greece

Η Homo Digitalis έχει τη μεγάλη τιμή και χαρά να συμμετέχει με διπλή εκπροσώπηση στο Digital World Summit Greece, την Τρίτη 28 Μαΐου στο Εθνικό Ίδρυμα Ερευνών!

Συγκεκριμένα, ο Αντιπρόεδρος μας και Partner στην Digital Law Experts (DLE), Στέφανος Βιτωράτος, θα συμμετέχει ως συντονιστής στο 1ο πάνελ του συνεδρίου, με θέμα “#ΑΙ: Η τομή ανάμεσα σε ρύθμιση και καινοτομία”, σε μία συναρπαστική συζήτηση που θα συμμετέχουν ως ομιλητές οι Δημήτρης Γερογιάννης (Πρόεδρος ΑΙ Catalyst), Λίλιαν Μήτρου (Καθηγήτρια, Τμήμα Μηχανικών Πληροφοριακών & Επικοινωνιακών Συστημάτων, Πανεπιστημίου Αιγαίου), Χαράλαμπος Τσέκερης (Προεδρεύων της Εθνικής Επιτροπής Βιοηθικής & Τεχνοηθικής), Γιάννης Μαστρογεωργίου (Ειδικός Γραμματέας Μακροπρόθεσμου Σχεδιασμού, Προεδρία της Ελληνικής Κυβέρνησης) και Φώτης Δραγανίδης (Διευθυντής Tεχνολογίας Microsoft Hellas).

Η Διευθύντρια μας για ζητήματα Δικαιωμάτων του Ανθρώπου & Τεχνητής Νοημοσύνης, Λαμπρινή Γυφτοκώστα, θα συμμετέχει ως ομιλήτρια στο 2ο πάνελ του Digital World Summit Greece 2024, με θέμα “#Κυβερνοασφάλεια, Ασφάλεια των Πολιτών και #ΤεχνητήΝοημοσύνη“! To πολύ ενδιαφέρον αυτό πάνελ θα συντονίσει ο Κωνσταντίνος Αναγνωστόπουλος (Co-founder & Director, Athens Legal Tech), ενώ θα δώσουν το παρόν ως ομιλητές και οι Ναταλία Σούλια (Senior Associate | Privacy, Data Protection & Cybersecurity, KG Law FIrm), Θωμάς Δομπρίδης (Προϊστάμενος της Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης), Αντώνης Μπρούμας (Επικεφαλής του τομέα δικαίου και τεχνολογίας, EY Πλατής-Αναστασιάδης) και Στέλλα Τσιτσούλα (Founder, RED.comm, Co-Founder | Women4Cyber GR | Founder Hellenic Cybersecurity Institute)!

Μπορείτε να κάνετε εγγραφή και να διαβάσετε περισσότερα για το συνέδριο και το πρόγραμμά του εδώ.

 


Από την Εθνική στην Ψηφιακή Κυριαρχία: Η Οδύσσεια της Ταυτότητας στην Εποχή του eIDAS

Γράφουν οι Νικολέττα Γεωργακοπούλου, Χαράλαμπος Δάφτσιος και Αναστάσιος Αραμπατζής*

Στις 25 Μαρτίου, οι Έλληνες γιορτάζουμε την Ημέρα της Ανεξαρτησίας μας, σε ανάμνηση της εξέγερσης του 1821, σηματοδοτώντας μια κομβική στιγμή στην ιστορία του έθνους μας, όπου ο αγώνας για ταυτότητα και κυριαρχία θριάμβευσε. Αυτό το ιστορικό γεγονός συμβολίζει όχι μόνο την αναζήτηση της εθνικής ελευθερίας, αλλά και τη διαρκή ανθρώπινη προσδοκία για αυτοδιάθεση και ταυτότητα.

Στη σημερινή ψηφιακή εποχή, ένας παρόμοιος αγώνας εκτυλίσσεται εντός της Ευρωπαϊκής Ένωσης μέσω της εφαρμογής του πλαισίου eIDAS και της εμφάνισης των πορτοφολιών ευρωπαϊκής ψηφιακής ταυτότητας (EUDI). Ο αγώνας αυτός, κατά αναλογία της Ελληνικής Επανάστασης, είναι ένα σύγχρονο ταξίδι προς την ψηφιακή κυριαρχία, με στόχο την καθιέρωση ασφαλών, επαληθεύσιμων και καθολικά αποδεκτών ψηφιακών ταυτοτήτων για τους πολίτες της ΕΕ.

Η μάχη για την ταυτότητα

H Επανάσταση του 1821 δεν ήταν απλώς μια στρατιωτική αντιπαράθεση, αλλά μια βαθιά διεκδίκηση της πολιτιστικής και εθνικής ταυτότητας, ενσαρκώνοντας τη συλλογική λαχτάρα για αυτοδιοίκηση και αναγνώριση στην παγκόσμια σκηνή. Ήρωες όπως ο Θεόδωρος Κολοκοτρώνης και η Λασκαρίνα Μπουμπουλίνα έγιναν σύμβολα αυτής της μάχης, αναβιώνοντας το θάρρος και την ανθεκτικότητα που απαιτούνται για τη σφυρηλάτηση της ταυτότητας ενός έθνους. Η Επανάσταση αφορούσε τόσο τη δημιουργία μιας μοναδικής ελληνικής ταυτότητας όσο και την απόκτηση αυτονομίας, με το νεοσύστατο κράτος να επιδιώκει να συνδεθεί με το αρχαίο παρελθόν του και να θέσει τα θεμέλια για ένα κυρίαρχο μέλλον.

Στο σύγχρονο ψηφιακό πεδίο, η ΕΕ αντιμετωπίζει τη δική της μάχη για την ταυτότητα, αντιμετωπίζοντας τις πολυπλοκότητες της διαφύλαξης των προσωπικών δεδομένων και της καθιέρωσης αξιόπιστων ψηφιακών ταυτοτήτων για τους πολίτες της. Η κλοπή ταυτότητας, οι παραβιάσεις της ιδιωτικής ζωής και οι κυβερνοεπιθέσεις αποτελούν σύγχρονα ισοδύναμα των προκλήσεων που αντιμετωπίσαμε οι Έλληνες στον αγώνα μας για ανεξαρτησία. Όπως οι πρόγονοί μας  αγωνίστηκαν για το δικαίωμα να ορίσουν την εθνική τους ταυτότητα, έτσι και οι σημερινοί πολίτες και θεσμοί της ΕΕ αγωνίζονται για την εξασφάλιση ψηφιακών ταυτοτήτων που εξασφαλίζουν την ιδιωτικότητα, την αποτελεσματικότητα και την εμπιστοσύνη στις διαδικτυακές αλληλεπιδράσεις.

Και στις δύο εποχές, το βασικό θέμα είναι η ταυτότητα – άλλοτε εθνική, τώρα ψηφιακή. Οι αγώνες αυτοί υπογραμμίζουν τη σημασία της ταυτότητας και της αυτοδιάθεσης ως ακρογωνιαίων λίθων της ελευθερίας και της κυριαρχίας σε κάθε εποχή.

eIDAS και EUDI: Το πλαίσιο της ψηφιακής ελευθερίας

O eIDAS, κανονισμός της ΕΕ που τέθηκε σε ισχύ το 2014, είναι σχεδιασμένος να διευκολύνει την ψηφιακή αλληλεπίδραση μέσα στην Ευρωπαϊκή Ένωση, επιτρέποντας την ασφαλή ηλεκτρονική ταυτοποίηση και τις ψηφιακές υπογραφές για διασυνοριακές συναλλαγές. Στόχος του είναι να χτίσει ψηφιακή εμπιστοσύνη και να διασφαλίσει την ασφάλεια στις ηλεκτρονικές συναλλαγές, ενισχύοντας έτσι την ψηφιακή κυριαρχία εντός της ΕΕ.

Τα πορτοφόλια ευρωπαϊκής ψηφιακής ταυτότητας (EUDI) αποτελούν μέρος της προσπάθειας της ΕΕ να ενισχύσει επιπλέον την ψηφιακή κυριαρχία, προσφέροντας στους πολίτες έναν ασφαλή και εύκολο τρόπο για τη διαχείριση της ψηφιακής τους ταυτότητας και πρόσβασης σε διάφορες υπηρεσίες. Στόχος η ενίσχυση της ψηφιακής αυτονομίας και η εξοικονόμηση χρόνου, μέσω της απαλοιφής της γραφειοκρατίας. Τα EUDI επιτρέπουν την ασφαλή επαλήθευση ταυτότητας, την ψηφιακή υπογραφή εγγράφων και την πρόσβαση σε δημόσιες και ιδιωτικές υπηρεσίες, διευκολύνοντας την καθημερινή ζωή και ενισχύοντας την ασφάλεια και την ιδιωτικότητα των πολιτών της ΕΕ. Πιο συγκεκριμένα, ο πολίτης θα επιλέγει τι θα κοινοποιεί και σε ποιον κάθε φορά.

Κυριαρχία: Δρόμοι Παράλληλοι

Ο αγώνας της Ελλάδας για ανεξαρτησία αλλά και η σύγχρονη προσπάθεια της Ευρωπαϊκής Ένωσης για επίτευξη ψηφιακής κυριαρχίας αποτελούν δρόμους παράλληλους στον αγώνα για αυτοδιάθεση.

Σε αμφότερες τις περιπτώσεις, η ενότητα και οι κοινές αξίες έχουν καθοριστικό ρόλο στην αντιμετώπιση των προκλήσεων, αντικατοπτρίζοντας την ισχύ της συλλογικής προσπάθειας έναντι της ατομικής. Επιπλέον, η ασφάλεια, είτε πρόκειται για την προστασία των συνόρων είτε για την ασφάλεια στον κυβερνοχώρο, παραμένει κεντρική προτεραιότητα, απαραίτητη για την ενίσχυση της εμπιστοσύνης μεταξύ των πολιτών. Έτσι, και οι δύο διαδρομές προς την κυριαρχία -η εθνική και η ψηφιακή- επισημαίνουν την αξία της ενότητας, των κοινών αξιών και της ασφάλειας, ως θεμελιώδη στοιχεία για την προώθηση της αυτοδιάθεσης και την αντιμετώπιση των προκλήσεων σε κάθε περίπτωση.

Μελλοντικές Προκλήσεις και Δυνατότητες

Η ενεργή συμμετοχή των Ελλήνων πολιτών σε  πρωτοβουλίες ψηφιακής ταυτότητας, όπως το EUDI, αποτελεί μια σπουδαία ευκαιρία για σύγχρονη συμμετοχή στη δημοκρατική διαδικασία. Μέσω της ενσωμάτωσης σε αυτό το ψηφιακό οικοσύστημα, οι Έλληνες πολίτες ενδυναμώνουν τη δική τους φωνή και συμβάλλουν στην κατασκευή μιας πιο ανοιχτής, διαδραστικής και διαφανούς κοινωνίας. Είναι άραγε, η ενεργός συμμετοχή στην ψηφιακή εποχή είναι πλέον ένας ουσιαστικός τρόπος για την ενίσχυση της δημοκρατίας και της προσωπικής ελευθερίας;

Τα EUDI έχουν τη δυνατότητα να επαναπροσδιορίσουν την ιδιότητα του πολίτη. Επιτρέποντας την ασφαλή αποθήκευση και διαχείριση προσωπικών δεδομένων, ενισχύουν την ιδιωτικότητα μέσω ελεγχόμενης πρόσβασης και συναίνεσης. Η ψηφιακή ταυτότητα διευκολύνει την ασφαλή αλληλεπίδραση με δημόσιες υπηρεσίες και ιδιωτικές εταιρείες, προσφέροντας προστασία από απάτες και κυβερνοεπιθέσεις. Αυτή η εξέλιξη υπόσχεται μια νέα εποχή ψηφιακής αυτονομίας, διασφαλίζοντας την ασφάλεια και την εμπιστοσύνη στις ψηφιακές συναλλαγές, ενώ ταυτόχρονα ενδυναμώνει τη δημοκρατική συμμετοχή μέσω της ψηφιακής πρόσβασης. Ωστόσο, κάθε νόμισμα έχει δύο όψεις και δεν υπάρχουν μόνο πλεονεκτήματα.

Τελικές Σκέψεις και Προβληματισμοί

Στην εποχή μας, όπου η ελαχιστοποίηση του χρόνου για την εκτέλεση εργασιών είναι  το πλέον ζητούμενο, το  EUDI  φαντάζει ως ένα εξαιρετικό εργαλείο.Είναι πολύ λογικό  πολλοί από εμάς να εντυπωσιαστούμε από τις δυνατότητες του. Ωστόσο, με μια δεύτερη ανάγνωση προβληματιζόμαστε τόσο για τεχνικά και ρυθμιστικά όσο και για κοινωνικά ζητήματα που θα ανακύψουν. Υπάρχουν εγγυήσεις για ασφάλεια και διαλειτουργικότητα των συστημάτων; Θα έχουμε πάντα πρόσβαση στα δεδομένα μας ή υπάρχει ο κίνδυνος να αποκλειστούμε λόγω τεχνικού σφάλματος; Έπειτα, διασφαλίζεται η ιδιωτικότητα, εμπιστευτικότητα και η προστασία των προσωπικών δεδομένων ενιαία σε όλα τα κράτη-μέλη; Περαιτέρω, η κοινωνία είναι έτοιμη να ξανασυστηθεί ψηφιακά και να μεταβεί σε ένα άυλο κόσμο και να γνωρίσει τους κινδύνους του; Ο πολίτης, έχει την ελευθερία να διαμορφώσει αυτό το πλαίσιο ή θα ενταχθεί σε ένα ήδη ρυθμισμένο πλαίσιο  χωρίς δυνατότητα ελεύθερης δράσης;

Αυτή η εξέλιξη υπόσχεται μια νέα εποχή ψηφιακής αυτονομίας, η οποία ωστόσο απαιτεί ορισμένες θυσίες. Οι υποχωρήσεις που πρέπει να γίνουν  ενδεχομένως να είναι δυσανάλογες και ενδεχομένως να μην υπάρχει “κουμπί” αναίρεσης και επιστροφής στην προτέρα κατάσταση.

* Η Νικολέττα Γεωργακοπούλου είναι Δικηγόρος – DPO, ο Χαράλαμπος Δάφτσιος, είναι Σύμβουλος Ψηφιακού Μετασχηματισμού και ο Αναστάσιος Αραμπατζής είναι Επαγγελματίας & Αρθρογράφος Κυβερνοασφάλειας

 


Από την Καθαρά Δευτέρα στην «Κυβερνο-καθαριότητα»: Πρακτικές υγιεινής στον κυβερνοχώρο

Γράφουν οι Αναστάσιος Αραμπατζής & Ιωάννης Βασιλάκης

Η Καθαρά Δευτέρα, είναι μια γιορτή βαθιά ριζωμένη στην ελληνική παράδοση. Σηματοδοτεί την έναρξη της Σαρακοστής, που είναι περίοδος νηστείας, ταξινόμησης σκέψεων και ανανέωσης. Παράλληλα αποτελεί υπενθύμιση για την αναγκαιότητα αποτοξίνωσης, όχι μόνο του σώματος, αλλά και της ψυχής.

Το παρόν άρθρο, προσεγγίζει το πώς οι αρχές και το νόημα τής Καθαράς Δευτέρας, έστω και μεταφορικά, μπορούν να εμπνεύσουν, καλλιεργώντας μια υγιή, ισορροπημένη και ασφαλή τελικά παρουσία στον κυβερνοχώρο.

Η «υγιεινή» στον Κυβερνοχώρο

Στην εποχή της ψηφιακής επικοινωνίας, όπου μεγάλο πλήθος δραστηριοτήτων μας πραγματοποιείται στο διαδίκτυο, η τήρηση κανόνων «κυβερνο-υγιεινής» γίνεται ολοένα και πιο επιτακτική. Η υγιεινή στον κυβερνοχώρο, αναφέρεται στις συνήθειες και στα μέτρα που απαιτείται να λαμβάνουμε για να παραμένουμε ασφαλείς στον ψηφιακό κόσμο, προστατεύοντας πληροφορίες που αφορούν στην επαγγελματική ή στην προσωπική μας ζωή.

Τα είδη απειλών στο διαδίκτυο πολλαπλασιάζονται καθημερινά. Οι κακόβουλοι χρήστες, χρησιμοποιούν εξυπνότερες και πιο στοχευμένες μεθόδους επίθεσης. Αυτονόητα λοιπόν απαιτείται μεγάλη προσοχή και συνεχής εγρήγορση. Η υιοθέτηση κανόνων «κυβερνο-υγιεινής», μειώνει την έκθεσή μας στον κίνδυνο και μας θωρακίζει από τις απειλές.

Πολιτική καθαρού γραφείου – Θεμέλιο της καθαριότητας στον κυβερνοχώρο

Όπως η Καθαρά Δευτέρα αποτελεί ευκαιρία πνευματικής «κάθαρσης» αλλά και τακτοποίησης της οικίας και των ατομικών ειδών, ομοίως η πολιτική καθαρού γραφείου (clean desk policy) εξασφαλίζει ότι ο φυσικός και ψηφιακός εργασιακός μας χώρος είναι καθαρός, οργανωμένος και προστατευμένος.

Για να διασφαλίσουμε επιτυχημένη υλοποίηση πολιτικής καθαρού γραφείου, προτείνεται να εφαρμόζουμε τα εξής:

  • Προστατεύουμε κάθε πληροφορία που αφορά σε Δεδομένα Προσωπικού Χαρακτήρα (ΔΠΧ) ή εμπιστευτικά έγγραφα και δεν τα αφήνουμε εκτεθειμένα
  • Αποσυνδέουμε ή απενεργοποιούμε τη συσκευή μας, όταν απομακρυνόμαστε από το χώρο εργασίας. Ασφαλίζουμε τις φορητές συσκευές (Laptop, Tablet) και τα ανάλογα μέσα αποθήκευσης (λ.χ CD, USB)
  • Κάνουμε περιοδικά εκκαθάριση του φυσικού και του ψηφιακού μας αρχείου
  • Τηρούμε την αρχή της ελαχιστοποίησης αναφορικά με την επεξεργασία των ΔΠΧ και τα διαγράφουμε με ασφαλή τρόπο όταν απαιτείται, εφαρμόζοντας την αρχή του περιορισμού της περιόδου αποθήκευσης
  • Τοποθετούμε τον εκτυπωτή σε ελεγχόμενο χώρο. Εφόσον υπάρχει η δυνατότητα, ρυθμίζουμε τη λειτουργία του έτσι ώστε να απαιτείται η εισαγωγή PIN πριν την εκτύπωση
  • Προστατεύουμε τα διαπιστευτήριά μας (username, password). Δεν τα εκθέτουμε αναγράφοντάς τα σε σημειώσεις στο γραφείο ούτε τα διατηρούμε σε αρχεία εντός του Η/Υ

Ασφαλής Πλοήγηση στο ψηφιακό τοπίο: Ad Blockers και Cookie Banners

Ο ψηφιακός χώρος που κινούμαστε έχει πανομοιότυπες ανάγκες τακτοποίησης και οργάνωσης, με το χώρο του φυσικού μας περιβάλλοντος. Η αξιοποίηση των «Ad Blockers» και η ορθή συμπλήρωση των «cookie banners» , αποτελούν βασικά εργαλεία «καθαρής» και ασφαλούς πλοήγησης στο διαδίκτυο.

Τα ad blockers είναι λογισμικά που χρησιμοποιούμε κατά την περιήγηση στο διαδίκτυο και εμποδίζουν την εμφάνιση διαφημιστικών παραθύρων που συχνά αποτελούν και πηγή κινδύνου. Λειτουργούν είτε ενσωματωμένα σε κάποιο browser (ως επεκτάσεις) είτε ως αυτόνομες εφαρμογές. Η εγκατάσταση των ad blockers είναι απλή. Η χρήση τους ενδείκνυται κυρίως για λόγους ασφαλείας αλλά και για αύξηση της ταχύτητας πλοήγησης, καθώς μειώνουν το χρόνο φόρτωσης των σελίδων που επισκεπτόμαστε.

Τα Cookie Banners είναι αναδυόμενα μηνύματα που εμφανίζονται συνήθως στην αρχή της επίσκεψης σε μια ιστοσελίδα. Σκοπό έχουν αφενός μεν να ενημερώσουν τον επισκέπτη για τη χρήση των cookies (μικρά αρχεία που αποθηκεύονται στον υπολογιστή τού χρήστη για λόγους λειτουργικότητας, στατιστικών κ.λπ.) αφετέρου δε να αιτηθούν τη συγκατάθεσή του, για τα cookies που αποδέχεται να αποθηκευτούν.

Συνίσταται η αποδοχή μόνο των «υποχρεωτικών» cookies (απαραίτητα για λόγους λειτουργικότητας). Ιδιαίτερη προσοχή απαιτείται στη μέθοδο που ακολουθεί το cookie banner της σελίδας, καθώς συχνά χρησιμοποιείται καταχρηστικά η «opt-out» μέθοδος (προεπιλεγμένα ακόμη και τα μη υποχρεωτικά cookies), μολονότι για τη λήψη συγκατάθεσης απαιτείται σαφής θετική ενέργεια του χρήστη («opt-in»).

Καλλιέργεια της προσοχής στις ψηφιακές αλληλεπιδράσεις

Αναμφίβολα ο ρόλος του λογισμικού προστασίας είναι εξαιρετικά σημαντικός. Ωστόσο, το πρωτεύον για την αποφυγή κινδύνων είναι η προσοχή που απαιτείται να επιδεικνύει ο χρήστης κατά την ψηφιακή του αλληλεπίδραση. Επιβάλλεται να αναζητούμε διαρκώς ενημέρωση για νέες απειλές, να λειτουργούμε με κριτική σκέψη και να είμαστε επιφυλακτικοί στις άγνωστες πηγές. Όπως ακριβώς κάνουμε και στον πραγματικό κόσμο.

Για να ελαχιστοποιήσουμε τον κίνδυνο, μπορούμε να εφαρμόσουμε τις παρακάτω απλές συμβουλές:

  • Επιδεικνύουμε ιδιαίτερη προσοχή στη λήψη μηνυμάτων ακόμα και από -φαινομενικά- αξιόπιστους αποστολείς, ειδικά εάν περιέχουν συνημμένα αρχεία ή συνδέσμους (URL) που προτείνεται να ανοίξουμε. Οι κακόβουλοι αποστολείς επιλέγουν σκόπιμα ηλεκτρονικές διευθύνσεις παρόμοιες με τις πραγματικές και αληθοφανές κείμενο που συχνά επικαλείται κάποια δήθεν «σημαντική» εκκρεμότητα.
  • Αποφεύγουμε να «μοιράζουμε» το email μας «παντού». Κάνουμε χρήση του φίλτρου ανεπιθύμητης ηλεκτρονικής αλληλογραφίας και διαγράφουμε τα μηνύματα που βρίσκονται στον ανάλογο φάκελο, χωρίς να τα ανοίξουμε.
  • Δεν απαντάμε και δεν προωθούμε «αλυσιδωτές επιστολές». Φροντίζουμε να προστατεύουμε την ιδιωτική ζωή φίλων, συνεργατών και πελατών με τους οποίους αλληλογραφούμε, διατηρώντας εμπιστευτικό το email τους, κάνοντας χρήση της «κρυφής κοινοποίησης» (BCC).
  • Είμαστε πάντα υποψιασμένοι για μηνύματα από άγνωστους αποδέκτες και ποτέ δεν ανοίγουμε τα συνημμένα αυτών. Επικοινωνούμε αν χρειαστεί με τον αποστολέα εισερχόμενου μηνύματος, αν  το μήνυμα που έχουμε λάβει είναι μη αναμενόμενο (λ.χ. αποστολή ασυνήθιστη ώρα)

Καθιέρωση Προσωπικού Προγράμματος «Κυβερνο-καθαριότητας»

Το πνεύμα της Καθαράς Δευτέρας μπορεί να αποτελέσει την αφορμή να υιοθετήσουμε σε τακτική βάση ανάλογες συνήθεις νοικοκυροσύνης και στον τρόπο που λειτουργούμε στον ψηφιακό κόσμο. Ένα προσωπικό πρόγραμμα «κυβερνο-καθαριότητας» και ασφαλούς διαχείρισης προσωπικών αρχείων, επιτυγχάνεται όταν ακολουθούμε οδηγίες σαν τις προτεινόμενες:

  • Θέτουμε χρονικό όριο χρήσης στα Social Media. Ελαχιστοποιούμε τις πληροφορίες που δημοσιεύουμε. Επιδιώκουμε λιτή παρουσία, μειώνοντας τις αντιδράσεις μας και τα σχόλια. Η σιωπή εκτός από χρυσός ενίοτε είναι και ασφάλεια. Εξάλλου, είναι πλέον κοινή η πεποίθηση ότι τα επόμενα έτη θα αποτελεί επιδίωξη η απαλλαγή από το σύνολο των ψηφιακών πληροφοριών που σήμερα -άκριτα πολλές φορές- αναρτούμε.
  • Κάνουμε τακτικά, έλεγχο και αναθεώρηση των ρυθμίσεων απορρήτου. Επιλέγουμε αξιόπιστες σελίδες για πληροφόρηση και ελέγχουμε τις πληροφορίες που μοιραζόμαστε κατά την εγγραφή. Συγκρίνουμε τα προσδοκώμενα οφέλη από την εγγραφή μας με τα δεδομένα που καλούμαστε να μοιραστούμε. Είμαστε ιδιαίτερα προσεκτικοί στις εφαρμογές που επιτρέπουμε να κάνουν χρήση μικροφώνου, κάμερας και γεωεντοπισμού.
  • Φροντίζουμε να κάνουμε περιοδικά τακτοποίηση του περιεχομένου των συσκευών μας. Διαγράφουμε τακτικά τα περιττά αρχεία που δεν έχουν μελλοντική αξία και δημιουργούμε αντίγραφα ασφαλείας για όσα έχουν σημαντικότητα
  • Αναζητούμε «ψηφιακή ευεξία», κάνοντας συχνά διαλείμματα από τις οθόνες.  Φροντίζουμε να ασχολούμαστε με ψηφιακές δραστηριότητες που μας προσφέρουν ηρεμία και αποφεύγουμε στρεσογόνα ψηφιακά περιβάλλοντα και τοξικές συζητήσεις

Συμπέρασμα

Καθώς η Καθαρά Δευτέρα σηματοδοτεί μια στροφή προς την πνευματική ανανέωση και την εγκράτεια, ας καλλιεργήσουμε ψηφιακές συνήθειες που αντικατοπτρίζουν ανάλογες αξίες.

Διαχειριζόμαστε τις δυνατότητες του διαδικτύου με κριτική σκέψη και μέτρο. Διδασκόμαστε από τα ψηφιακά μας λάθη, βελτιώνοντας τη συμπεριφορά μας στο διαδίκτυο. Επιδιώκουμε τη συνεχή ενημέρωση σε θέματα ασφάλειας και προάγουμε την κουλτούρα προστασίας και στο ευρύτερο περιβάλλον μας.

Λειτουργούμε με σεβασμό και αγάπη κατά τις ψηφιακές μας συναναστροφές για ένα ασφαλέστερο ψηφιακό κόσμο, που ταυτόχρονα σέβεται τις ανθρώπινες αξίες και δικαιώματα.