Από την Εθνική στην Ψηφιακή Κυριαρχία: Η Οδύσσεια της Ταυτότητας στην Εποχή του eIDAS

Γράφουν οι Νικολέττα Γεωργακοπούλου, Χαράλαμπος Δάφτσιος και Αναστάσιος Αραμπατζής*

Στις 25 Μαρτίου, οι Έλληνες γιορτάζουμε την Ημέρα της Ανεξαρτησίας μας, σε ανάμνηση της εξέγερσης του 1821, σηματοδοτώντας μια κομβική στιγμή στην ιστορία του έθνους μας, όπου ο αγώνας για ταυτότητα και κυριαρχία θριάμβευσε. Αυτό το ιστορικό γεγονός συμβολίζει όχι μόνο την αναζήτηση της εθνικής ελευθερίας, αλλά και τη διαρκή ανθρώπινη προσδοκία για αυτοδιάθεση και ταυτότητα.

Στη σημερινή ψηφιακή εποχή, ένας παρόμοιος αγώνας εκτυλίσσεται εντός της Ευρωπαϊκής Ένωσης μέσω της εφαρμογής του πλαισίου eIDAS και της εμφάνισης των πορτοφολιών ευρωπαϊκής ψηφιακής ταυτότητας (EUDI). Ο αγώνας αυτός, κατά αναλογία της Ελληνικής Επανάστασης, είναι ένα σύγχρονο ταξίδι προς την ψηφιακή κυριαρχία, με στόχο την καθιέρωση ασφαλών, επαληθεύσιμων και καθολικά αποδεκτών ψηφιακών ταυτοτήτων για τους πολίτες της ΕΕ.

Η μάχη για την ταυτότητα

H Επανάσταση του 1821 δεν ήταν απλώς μια στρατιωτική αντιπαράθεση, αλλά μια βαθιά διεκδίκηση της πολιτιστικής και εθνικής ταυτότητας, ενσαρκώνοντας τη συλλογική λαχτάρα για αυτοδιοίκηση και αναγνώριση στην παγκόσμια σκηνή. Ήρωες όπως ο Θεόδωρος Κολοκοτρώνης και η Λασκαρίνα Μπουμπουλίνα έγιναν σύμβολα αυτής της μάχης, αναβιώνοντας το θάρρος και την ανθεκτικότητα που απαιτούνται για τη σφυρηλάτηση της ταυτότητας ενός έθνους. Η Επανάσταση αφορούσε τόσο τη δημιουργία μιας μοναδικής ελληνικής ταυτότητας όσο και την απόκτηση αυτονομίας, με το νεοσύστατο κράτος να επιδιώκει να συνδεθεί με το αρχαίο παρελθόν του και να θέσει τα θεμέλια για ένα κυρίαρχο μέλλον.

Στο σύγχρονο ψηφιακό πεδίο, η ΕΕ αντιμετωπίζει τη δική της μάχη για την ταυτότητα, αντιμετωπίζοντας τις πολυπλοκότητες της διαφύλαξης των προσωπικών δεδομένων και της καθιέρωσης αξιόπιστων ψηφιακών ταυτοτήτων για τους πολίτες της. Η κλοπή ταυτότητας, οι παραβιάσεις της ιδιωτικής ζωής και οι κυβερνοεπιθέσεις αποτελούν σύγχρονα ισοδύναμα των προκλήσεων που αντιμετωπίσαμε οι Έλληνες στον αγώνα μας για ανεξαρτησία. Όπως οι πρόγονοί μας  αγωνίστηκαν για το δικαίωμα να ορίσουν την εθνική τους ταυτότητα, έτσι και οι σημερινοί πολίτες και θεσμοί της ΕΕ αγωνίζονται για την εξασφάλιση ψηφιακών ταυτοτήτων που εξασφαλίζουν την ιδιωτικότητα, την αποτελεσματικότητα και την εμπιστοσύνη στις διαδικτυακές αλληλεπιδράσεις.

Και στις δύο εποχές, το βασικό θέμα είναι η ταυτότητα – άλλοτε εθνική, τώρα ψηφιακή. Οι αγώνες αυτοί υπογραμμίζουν τη σημασία της ταυτότητας και της αυτοδιάθεσης ως ακρογωνιαίων λίθων της ελευθερίας και της κυριαρχίας σε κάθε εποχή.

eIDAS και EUDI: Το πλαίσιο της ψηφιακής ελευθερίας

O eIDAS, κανονισμός της ΕΕ που τέθηκε σε ισχύ το 2014, είναι σχεδιασμένος να διευκολύνει την ψηφιακή αλληλεπίδραση μέσα στην Ευρωπαϊκή Ένωση, επιτρέποντας την ασφαλή ηλεκτρονική ταυτοποίηση και τις ψηφιακές υπογραφές για διασυνοριακές συναλλαγές. Στόχος του είναι να χτίσει ψηφιακή εμπιστοσύνη και να διασφαλίσει την ασφάλεια στις ηλεκτρονικές συναλλαγές, ενισχύοντας έτσι την ψηφιακή κυριαρχία εντός της ΕΕ.

Τα πορτοφόλια ευρωπαϊκής ψηφιακής ταυτότητας (EUDI) αποτελούν μέρος της προσπάθειας της ΕΕ να ενισχύσει επιπλέον την ψηφιακή κυριαρχία, προσφέροντας στους πολίτες έναν ασφαλή και εύκολο τρόπο για τη διαχείριση της ψηφιακής τους ταυτότητας και πρόσβασης σε διάφορες υπηρεσίες. Στόχος η ενίσχυση της ψηφιακής αυτονομίας και η εξοικονόμηση χρόνου, μέσω της απαλοιφής της γραφειοκρατίας. Τα EUDI επιτρέπουν την ασφαλή επαλήθευση ταυτότητας, την ψηφιακή υπογραφή εγγράφων και την πρόσβαση σε δημόσιες και ιδιωτικές υπηρεσίες, διευκολύνοντας την καθημερινή ζωή και ενισχύοντας την ασφάλεια και την ιδιωτικότητα των πολιτών της ΕΕ. Πιο συγκεκριμένα, ο πολίτης θα επιλέγει τι θα κοινοποιεί και σε ποιον κάθε φορά.

Κυριαρχία: Δρόμοι Παράλληλοι

Ο αγώνας της Ελλάδας για ανεξαρτησία αλλά και η σύγχρονη προσπάθεια της Ευρωπαϊκής Ένωσης για επίτευξη ψηφιακής κυριαρχίας αποτελούν δρόμους παράλληλους στον αγώνα για αυτοδιάθεση.

Σε αμφότερες τις περιπτώσεις, η ενότητα και οι κοινές αξίες έχουν καθοριστικό ρόλο στην αντιμετώπιση των προκλήσεων, αντικατοπτρίζοντας την ισχύ της συλλογικής προσπάθειας έναντι της ατομικής. Επιπλέον, η ασφάλεια, είτε πρόκειται για την προστασία των συνόρων είτε για την ασφάλεια στον κυβερνοχώρο, παραμένει κεντρική προτεραιότητα, απαραίτητη για την ενίσχυση της εμπιστοσύνης μεταξύ των πολιτών. Έτσι, και οι δύο διαδρομές προς την κυριαρχία -η εθνική και η ψηφιακή- επισημαίνουν την αξία της ενότητας, των κοινών αξιών και της ασφάλειας, ως θεμελιώδη στοιχεία για την προώθηση της αυτοδιάθεσης και την αντιμετώπιση των προκλήσεων σε κάθε περίπτωση.

Μελλοντικές Προκλήσεις και Δυνατότητες

Η ενεργή συμμετοχή των Ελλήνων πολιτών σε  πρωτοβουλίες ψηφιακής ταυτότητας, όπως το EUDI, αποτελεί μια σπουδαία ευκαιρία για σύγχρονη συμμετοχή στη δημοκρατική διαδικασία. Μέσω της ενσωμάτωσης σε αυτό το ψηφιακό οικοσύστημα, οι Έλληνες πολίτες ενδυναμώνουν τη δική τους φωνή και συμβάλλουν στην κατασκευή μιας πιο ανοιχτής, διαδραστικής και διαφανούς κοινωνίας. Είναι άραγε, η ενεργός συμμετοχή στην ψηφιακή εποχή είναι πλέον ένας ουσιαστικός τρόπος για την ενίσχυση της δημοκρατίας και της προσωπικής ελευθερίας;

Τα EUDI έχουν τη δυνατότητα να επαναπροσδιορίσουν την ιδιότητα του πολίτη. Επιτρέποντας την ασφαλή αποθήκευση και διαχείριση προσωπικών δεδομένων, ενισχύουν την ιδιωτικότητα μέσω ελεγχόμενης πρόσβασης και συναίνεσης. Η ψηφιακή ταυτότητα διευκολύνει την ασφαλή αλληλεπίδραση με δημόσιες υπηρεσίες και ιδιωτικές εταιρείες, προσφέροντας προστασία από απάτες και κυβερνοεπιθέσεις. Αυτή η εξέλιξη υπόσχεται μια νέα εποχή ψηφιακής αυτονομίας, διασφαλίζοντας την ασφάλεια και την εμπιστοσύνη στις ψηφιακές συναλλαγές, ενώ ταυτόχρονα ενδυναμώνει τη δημοκρατική συμμετοχή μέσω της ψηφιακής πρόσβασης. Ωστόσο, κάθε νόμισμα έχει δύο όψεις και δεν υπάρχουν μόνο πλεονεκτήματα.

Τελικές Σκέψεις και Προβληματισμοί

Στην εποχή μας, όπου η ελαχιστοποίηση του χρόνου για την εκτέλεση εργασιών είναι  το πλέον ζητούμενο, το  EUDI  φαντάζει ως ένα εξαιρετικό εργαλείο.Είναι πολύ λογικό  πολλοί από εμάς να εντυπωσιαστούμε από τις δυνατότητες του. Ωστόσο, με μια δεύτερη ανάγνωση προβληματιζόμαστε τόσο για τεχνικά και ρυθμιστικά όσο και για κοινωνικά ζητήματα που θα ανακύψουν. Υπάρχουν εγγυήσεις για ασφάλεια και διαλειτουργικότητα των συστημάτων; Θα έχουμε πάντα πρόσβαση στα δεδομένα μας ή υπάρχει ο κίνδυνος να αποκλειστούμε λόγω τεχνικού σφάλματος; Έπειτα, διασφαλίζεται η ιδιωτικότητα, εμπιστευτικότητα και η προστασία των προσωπικών δεδομένων ενιαία σε όλα τα κράτη-μέλη; Περαιτέρω, η κοινωνία είναι έτοιμη να ξανασυστηθεί ψηφιακά και να μεταβεί σε ένα άυλο κόσμο και να γνωρίσει τους κινδύνους του; Ο πολίτης, έχει την ελευθερία να διαμορφώσει αυτό το πλαίσιο ή θα ενταχθεί σε ένα ήδη ρυθμισμένο πλαίσιο  χωρίς δυνατότητα ελεύθερης δράσης;

Αυτή η εξέλιξη υπόσχεται μια νέα εποχή ψηφιακής αυτονομίας, η οποία ωστόσο απαιτεί ορισμένες θυσίες. Οι υποχωρήσεις που πρέπει να γίνουν  ενδεχομένως να είναι δυσανάλογες και ενδεχομένως να μην υπάρχει “κουμπί” αναίρεσης και επιστροφής στην προτέρα κατάσταση.

* Η Νικολέττα Γεωργακοπούλου είναι Δικηγόρος – DPO, ο Χαράλαμπος Δάφτσιος, είναι Σύμβουλος Ψηφιακού Μετασχηματισμού και ο Αναστάσιος Αραμπατζής είναι Επαγγελματίας & Αρθρογράφος Κυβερνοασφάλειας

 

by Homo Digitalis

Από την Καθαρά Δευτέρα στην «Κυβερνο-καθαριότητα»: Πρακτικές υγιεινής στον κυβερνοχώρο

Γράφουν οι Αναστάσιος Αραμπατζής & Ιωάννης Βασιλάκης

Η Καθαρά Δευτέρα, είναι μια γιορτή βαθιά ριζωμένη στην ελληνική παράδοση. Σηματοδοτεί την έναρξη της Σαρακοστής, που είναι περίοδος νηστείας, ταξινόμησης σκέψεων και ανανέωσης. Παράλληλα αποτελεί υπενθύμιση για την αναγκαιότητα αποτοξίνωσης, όχι μόνο του σώματος, αλλά και της ψυχής.

Το παρόν άρθρο, προσεγγίζει το πώς οι αρχές και το νόημα τής Καθαράς Δευτέρας, έστω και μεταφορικά, μπορούν να εμπνεύσουν, καλλιεργώντας μια υγιή, ισορροπημένη και ασφαλή τελικά παρουσία στον κυβερνοχώρο.

Η «υγιεινή» στον Κυβερνοχώρο

Στην εποχή της ψηφιακής επικοινωνίας, όπου μεγάλο πλήθος δραστηριοτήτων μας πραγματοποιείται στο διαδίκτυο, η τήρηση κανόνων «κυβερνο-υγιεινής» γίνεται ολοένα και πιο επιτακτική. Η υγιεινή στον κυβερνοχώρο, αναφέρεται στις συνήθειες και στα μέτρα που απαιτείται να λαμβάνουμε για να παραμένουμε ασφαλείς στον ψηφιακό κόσμο, προστατεύοντας πληροφορίες που αφορούν στην επαγγελματική ή στην προσωπική μας ζωή.

Τα είδη απειλών στο διαδίκτυο πολλαπλασιάζονται καθημερινά. Οι κακόβουλοι χρήστες, χρησιμοποιούν εξυπνότερες και πιο στοχευμένες μεθόδους επίθεσης. Αυτονόητα λοιπόν απαιτείται μεγάλη προσοχή και συνεχής εγρήγορση. Η υιοθέτηση κανόνων «κυβερνο-υγιεινής», μειώνει την έκθεσή μας στον κίνδυνο και μας θωρακίζει από τις απειλές.

Πολιτική καθαρού γραφείου – Θεμέλιο της καθαριότητας στον κυβερνοχώρο

Όπως η Καθαρά Δευτέρα αποτελεί ευκαιρία πνευματικής «κάθαρσης» αλλά και τακτοποίησης της οικίας και των ατομικών ειδών, ομοίως η πολιτική καθαρού γραφείου (clean desk policy) εξασφαλίζει ότι ο φυσικός και ψηφιακός εργασιακός μας χώρος είναι καθαρός, οργανωμένος και προστατευμένος.

Για να διασφαλίσουμε επιτυχημένη υλοποίηση πολιτικής καθαρού γραφείου, προτείνεται να εφαρμόζουμε τα εξής:

  • Προστατεύουμε κάθε πληροφορία που αφορά σε Δεδομένα Προσωπικού Χαρακτήρα (ΔΠΧ) ή εμπιστευτικά έγγραφα και δεν τα αφήνουμε εκτεθειμένα
  • Αποσυνδέουμε ή απενεργοποιούμε τη συσκευή μας, όταν απομακρυνόμαστε από το χώρο εργασίας. Ασφαλίζουμε τις φορητές συσκευές (Laptop, Tablet) και τα ανάλογα μέσα αποθήκευσης (λ.χ CD, USB)
  • Κάνουμε περιοδικά εκκαθάριση του φυσικού και του ψηφιακού μας αρχείου
  • Τηρούμε την αρχή της ελαχιστοποίησης αναφορικά με την επεξεργασία των ΔΠΧ και τα διαγράφουμε με ασφαλή τρόπο όταν απαιτείται, εφαρμόζοντας την αρχή του περιορισμού της περιόδου αποθήκευσης
  • Τοποθετούμε τον εκτυπωτή σε ελεγχόμενο χώρο. Εφόσον υπάρχει η δυνατότητα, ρυθμίζουμε τη λειτουργία του έτσι ώστε να απαιτείται η εισαγωγή PIN πριν την εκτύπωση
  • Προστατεύουμε τα διαπιστευτήριά μας (username, password). Δεν τα εκθέτουμε αναγράφοντάς τα σε σημειώσεις στο γραφείο ούτε τα διατηρούμε σε αρχεία εντός του Η/Υ

Ασφαλής Πλοήγηση στο ψηφιακό τοπίο: Ad Blockers και Cookie Banners

Ο ψηφιακός χώρος που κινούμαστε έχει πανομοιότυπες ανάγκες τακτοποίησης και οργάνωσης, με το χώρο του φυσικού μας περιβάλλοντος. Η αξιοποίηση των «Ad Blockers» και η ορθή συμπλήρωση των «cookie banners» , αποτελούν βασικά εργαλεία «καθαρής» και ασφαλούς πλοήγησης στο διαδίκτυο.

Τα ad blockers είναι λογισμικά που χρησιμοποιούμε κατά την περιήγηση στο διαδίκτυο και εμποδίζουν την εμφάνιση διαφημιστικών παραθύρων που συχνά αποτελούν και πηγή κινδύνου. Λειτουργούν είτε ενσωματωμένα σε κάποιο browser (ως επεκτάσεις) είτε ως αυτόνομες εφαρμογές. Η εγκατάσταση των ad blockers είναι απλή. Η χρήση τους ενδείκνυται κυρίως για λόγους ασφαλείας αλλά και για αύξηση της ταχύτητας πλοήγησης, καθώς μειώνουν το χρόνο φόρτωσης των σελίδων που επισκεπτόμαστε.

Τα Cookie Banners είναι αναδυόμενα μηνύματα που εμφανίζονται συνήθως στην αρχή της επίσκεψης σε μια ιστοσελίδα. Σκοπό έχουν αφενός μεν να ενημερώσουν τον επισκέπτη για τη χρήση των cookies (μικρά αρχεία που αποθηκεύονται στον υπολογιστή τού χρήστη για λόγους λειτουργικότητας, στατιστικών κ.λπ.) αφετέρου δε να αιτηθούν τη συγκατάθεσή του, για τα cookies που αποδέχεται να αποθηκευτούν.

Συνίσταται η αποδοχή μόνο των «υποχρεωτικών» cookies (απαραίτητα για λόγους λειτουργικότητας). Ιδιαίτερη προσοχή απαιτείται στη μέθοδο που ακολουθεί το cookie banner της σελίδας, καθώς συχνά χρησιμοποιείται καταχρηστικά η «opt-out» μέθοδος (προεπιλεγμένα ακόμη και τα μη υποχρεωτικά cookies), μολονότι για τη λήψη συγκατάθεσης απαιτείται σαφής θετική ενέργεια του χρήστη («opt-in»).

Καλλιέργεια της προσοχής στις ψηφιακές αλληλεπιδράσεις

Αναμφίβολα ο ρόλος του λογισμικού προστασίας είναι εξαιρετικά σημαντικός. Ωστόσο, το πρωτεύον για την αποφυγή κινδύνων είναι η προσοχή που απαιτείται να επιδεικνύει ο χρήστης κατά την ψηφιακή του αλληλεπίδραση. Επιβάλλεται να αναζητούμε διαρκώς ενημέρωση για νέες απειλές, να λειτουργούμε με κριτική σκέψη και να είμαστε επιφυλακτικοί στις άγνωστες πηγές. Όπως ακριβώς κάνουμε και στον πραγματικό κόσμο.

Για να ελαχιστοποιήσουμε τον κίνδυνο, μπορούμε να εφαρμόσουμε τις παρακάτω απλές συμβουλές:

  • Επιδεικνύουμε ιδιαίτερη προσοχή στη λήψη μηνυμάτων ακόμα και από -φαινομενικά- αξιόπιστους αποστολείς, ειδικά εάν περιέχουν συνημμένα αρχεία ή συνδέσμους (URL) που προτείνεται να ανοίξουμε. Οι κακόβουλοι αποστολείς επιλέγουν σκόπιμα ηλεκτρονικές διευθύνσεις παρόμοιες με τις πραγματικές και αληθοφανές κείμενο που συχνά επικαλείται κάποια δήθεν «σημαντική» εκκρεμότητα.
  • Αποφεύγουμε να «μοιράζουμε» το email μας «παντού». Κάνουμε χρήση του φίλτρου ανεπιθύμητης ηλεκτρονικής αλληλογραφίας και διαγράφουμε τα μηνύματα που βρίσκονται στον ανάλογο φάκελο, χωρίς να τα ανοίξουμε.
  • Δεν απαντάμε και δεν προωθούμε «αλυσιδωτές επιστολές». Φροντίζουμε να προστατεύουμε την ιδιωτική ζωή φίλων, συνεργατών και πελατών με τους οποίους αλληλογραφούμε, διατηρώντας εμπιστευτικό το email τους, κάνοντας χρήση της «κρυφής κοινοποίησης» (BCC).
  • Είμαστε πάντα υποψιασμένοι για μηνύματα από άγνωστους αποδέκτες και ποτέ δεν ανοίγουμε τα συνημμένα αυτών. Επικοινωνούμε αν χρειαστεί με τον αποστολέα εισερχόμενου μηνύματος, αν  το μήνυμα που έχουμε λάβει είναι μη αναμενόμενο (λ.χ. αποστολή ασυνήθιστη ώρα)

Καθιέρωση Προσωπικού Προγράμματος «Κυβερνο-καθαριότητας»

Το πνεύμα της Καθαράς Δευτέρας μπορεί να αποτελέσει την αφορμή να υιοθετήσουμε σε τακτική βάση ανάλογες συνήθεις νοικοκυροσύνης και στον τρόπο που λειτουργούμε στον ψηφιακό κόσμο. Ένα προσωπικό πρόγραμμα «κυβερνο-καθαριότητας» και ασφαλούς διαχείρισης προσωπικών αρχείων, επιτυγχάνεται όταν ακολουθούμε οδηγίες σαν τις προτεινόμενες:

  • Θέτουμε χρονικό όριο χρήσης στα Social Media. Ελαχιστοποιούμε τις πληροφορίες που δημοσιεύουμε. Επιδιώκουμε λιτή παρουσία, μειώνοντας τις αντιδράσεις μας και τα σχόλια. Η σιωπή εκτός από χρυσός ενίοτε είναι και ασφάλεια. Εξάλλου, είναι πλέον κοινή η πεποίθηση ότι τα επόμενα έτη θα αποτελεί επιδίωξη η απαλλαγή από το σύνολο των ψηφιακών πληροφοριών που σήμερα -άκριτα πολλές φορές- αναρτούμε.
  • Κάνουμε τακτικά, έλεγχο και αναθεώρηση των ρυθμίσεων απορρήτου. Επιλέγουμε αξιόπιστες σελίδες για πληροφόρηση και ελέγχουμε τις πληροφορίες που μοιραζόμαστε κατά την εγγραφή. Συγκρίνουμε τα προσδοκώμενα οφέλη από την εγγραφή μας με τα δεδομένα που καλούμαστε να μοιραστούμε. Είμαστε ιδιαίτερα προσεκτικοί στις εφαρμογές που επιτρέπουμε να κάνουν χρήση μικροφώνου, κάμερας και γεωεντοπισμού.
  • Φροντίζουμε να κάνουμε περιοδικά τακτοποίηση του περιεχομένου των συσκευών μας. Διαγράφουμε τακτικά τα περιττά αρχεία που δεν έχουν μελλοντική αξία και δημιουργούμε αντίγραφα ασφαλείας για όσα έχουν σημαντικότητα
  • Αναζητούμε «ψηφιακή ευεξία», κάνοντας συχνά διαλείμματα από τις οθόνες.  Φροντίζουμε να ασχολούμαστε με ψηφιακές δραστηριότητες που μας προσφέρουν ηρεμία και αποφεύγουμε στρεσογόνα ψηφιακά περιβάλλοντα και τοξικές συζητήσεις

Συμπέρασμα

Καθώς η Καθαρά Δευτέρα σηματοδοτεί μια στροφή προς την πνευματική ανανέωση και την εγκράτεια, ας καλλιεργήσουμε ψηφιακές συνήθειες που αντικατοπτρίζουν ανάλογες αξίες.

Διαχειριζόμαστε τις δυνατότητες του διαδικτύου με κριτική σκέψη και μέτρο. Διδασκόμαστε από τα ψηφιακά μας λάθη, βελτιώνοντας τη συμπεριφορά μας στο διαδίκτυο. Επιδιώκουμε τη συνεχή ενημέρωση σε θέματα ασφάλειας και προάγουμε την κουλτούρα προστασίας και στο ευρύτερο περιβάλλον μας.

Λειτουργούμε με σεβασμό και αγάπη κατά τις ψηφιακές μας συναναστροφές για ένα ασφαλέστερο ψηφιακό κόσμο, που ταυτόχρονα σέβεται τις ανθρώπινες αξίες και δικαιώματα.

 

 

by Homo Digitalis

Η κοινή μας καμπάνια για τον μήνα Κυβερνοασφάλειας με το Share Foundation έχει ξεκινήσει

Μαζί με το Share Foundation και άλλες οργανώσεις της κοινωνίας των πολιτών, συμμετέχουμε σε μία κοινή εκστρατεία για τον Ευρωπαϊκό Μήνα Κυβερνοασφάλειας!

Μέσα από γρίφους, αποσαφηνίζουμε ορισμένους βασικούς όρους και εργαλεία σχετικά με την ασφαλή και ιδιωτική πλοήγησή μας στο διαδίκτυο!

Εάν θέλεις να συμμετέχεις, μπορείς να ακολουθήσεις τη Homo Digitalis στα social media μας (X, LinkedIn, Facebook και Instagram) για να λύσεις τους γρίφους και να ενημερωθείς και εσύ!

 

by Homo Digitalis

Μιλήσαμε στο Κεντρικό Δελτίο Ειδήσεων του Ant1

O Στέφανος Βιτωράτος εκπροσωπώντας τη Homo Digitalis συμμετείχε σε ρεπορτάζ για το κεντρικό δελτίο ειδήσεων του ΑNT1 σχετικά με την πρόσφατη επίθεση DDoS εναντίον της Τράπεζας Θεμάτων του Ινστιτούτου Εκπαιδευτικής Πολιτικής.

“Οι κυβερνοεπιθέσεις θα πρέπει να θεωρούνται μέρος της καθημερινότητας, όσο επενδύουμε στον ψηφιακό μετασχηματισμό του κράτους. Η συγκεκριμένη επίθεση ήταν απλά ένα καμπανάκι αφύπνισης για την ανάγκη προστασία των κρίσιμων υποδομών” ανέφερε στο δελτίο, μεταξύ άλλων.

Μπορείτε να δείτε το σχετικό απόσπασμα εδώ. Ευχαριστούμε τον ΑΝΤ1 για τη συμπερίληψη και την αναφορά στις δράσεις μας.

 

by Homo Digitalis

Ομιλία μας στο Συνέδριο Infocom Security για την Τεχνητή Νοημοσύνη, τα προσωπικά δεδομένα και την Κυβερνοασφάλεια

Για ακόμη μία χρονιά, η Homo Digitalis έχει τη μεγάλη χαρά να δίνει το παρόν στο Συνέδριο Infocom Security! Η 13η έκδοση του συνεδρίου, το οποίο αποτελεί σημείο αναφοράς στον τομέα των τεχνολογιών πληροφορικής στην Ελλάδα, λαμβάνει χώρα στις 26 & 27 Απριλίου στο Ωδείο Αθηνών.

Το μέλος μας, Δημήτρης Ντόσας, Μηχανικός Υποδομών και Ασφάλειας θα μας εκπροσωπήσει στο πλαίσιο της 3ης ενότητας της 1ης ημέρας του συνεδρίου στο πάνελ συζήτησης “ArtificialIntelligence – CyberSecurity – DataProtection: Partners or Rivals?” όπου οι συμμετέχοντες θα αναδείξουν όλες τις προκλήσεις και τις πτυχές σχετικά με την Τεχνητή Νοημοσύνη και τη συσχέτιση με την ασφάλεια και την ιδιωτικότητα.

Στο πάνελ συμμετέχουν κορυφαίοι ειδικοί, υπό τον συντονισμό του εξαιρετικού Βασίλη Βασιλόπουλου, Δημοσιογράφου & DPO της ΕΡΤ.

-Ηλιάνα Κωστή Δικηγόρος, υπ. διδάκτωρ Παν. Αιγαίου στα Προσωπικά Δεδομένα και την Τεχνητή Νοημοσύνη,

-Αθανάσιος Κοσμόπουλος – Υπεύθυνος Προστασίας Δεδομένων Υπουργείου Ψηφιακής Διακυβέρνησης, Εθνικός Αντιπρόσωπος στο European Cybersecurity Competence Center,

-Σπύρος Τάσσης, Πρόεδρος Ελληνικής Ένωσης για την Προστασία Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP ), και

-Λεωνίδας Κανέλλος – Πρόεδρος DPO Network.

Ευχαριστούμε θερμά του διοργανωτές για την ευγενική τους πρόσκληση!  Μπορείτε να κάνετε δωρεάν εγγραφή και να μάθετε περισσότερα, εδώ.

 

by Homo Digitalis

Η πρόκληση της συμμόρφωσης με τις απαιτήσεις των νέων ευρωπαϊκών κανόνων για την κυβερνοασφάλεια

Γράφουν οι Αναστάσιος Αραμπατζής και Λευτέρης Χελιουδάκης

Τα τελευταία χρόνια, ο αριθμός των πρωτοβουλιών ψηφιακής πολιτικής σε επίπεδο ΕΕ έχει διευρυνθεί. Έχουν ήδη υιοθετηθεί πολλές νομοθετικές προτάσεις που καλύπτουν τις τεχνολογίες πληροφοριών και επικοινωνιών (ΤΠΕ) και επηρεάζουν τα δικαιώματα και τις ελευθερίες των ανθρώπων στην ΕΕ, ενώ άλλες παραμένουν υπό διαπραγμάτευση. Οι περισσότερες από αυτές τις νομοθετικές πράξεις είναι καίριας σημασίας και αφορούν ένα ευρύ φάσμα πολύπλοκων θεμάτων, όπως η τεχνητή νοημοσύνη, η διακυβέρνηση δεδομένων, η προστασία της ιδιωτικής ζωής και η ελευθερία της έκφρασης στο διαδίκτυο, η πρόσβαση των αρχών επιβολής του νόμου σε ψηφιακά δεδομένα, η ηλεκτρονική υγεία και η κυβερνοασφάλεια.

Οι φορείς της κοινωνίας των πολιτών χρειάζονται συχνά βοήθεια για να παρακολουθήσουν αυτές τις πολιτικές πρωτοβουλίες της ΕΕ, ενώ οι επιχειρήσεις αντιμετωπίζουν σοβαρές προκλήσεις στην κατανόηση της πολύπλοκης νομικής γλώσσας των νομοθετικών απαιτήσεων. Το παρόν άρθρο αποσκοπεί στην ευαισθητοποίηση σχετικά με δύο πρόσφατα εκδοθείσες νομοθεσίες της ΕΕ για την ασφάλεια στον κυβερνοχώρο, και συγκεκριμένα την Πράξη για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) και την αναθεωρημένη έκδοση της Οδηγίας για την Ασφάλεια Δικτύων και Πληροφοριών (NIS2).

NIS2

Η NIS2 αποτελεί την αναγκαία απάντηση στο διευρυμένο τοπίο που απειλεί τις κρίσιμες ευρωπαϊκές υποδομές.

Η αρχική έκδοση της Oδηγίας εισήγαγε διάφορες υποχρεώσεις για την εθνική εποπτεία των φορέων εκμετάλλευσης βασικών υπηρεσιών (ΦΕΒΥ) και των παρόχων ψηφιακών υπηρεσιών (ΠΨΥ). Για παράδειγμα, τα κράτη μέλη της ΕΕ πρέπει να εποπτεύουν το επίπεδο κυβερνοασφάλειας των φορέων εκμετάλλευσης σε κρίσιμους τομείς, όπως η ενέργεια, οι μεταφορές, το νερό, η υγειονομική περίθαλψη, οι ψηφιακές υποδομές, οι τράπεζες και οι υποδομές της χρηματοπιστωτικής αγοράς. Επιπλέον, τα κράτη μέλη πρέπει να εποπτεύουν τους παρόχους κρίσιμων ψηφιακών υπηρεσιών, συμπεριλαμβανομένων των διαδικτυακών αγορών, των υπηρεσιών υπολογιστικού νέφους και των μηχανών αναζήτησης.

Για το λόγο αυτό, τα κράτη μέλη της ΕΕ έπρεπε να δημιουργήσουν αρμόδιες εθνικές αρχές που θα είναι επιφορτισμένες με αυτά τα εποπτικά καθήκοντα. Επιπλέον, η NIS εισήγαγε διαύλους για τη διασυνοριακή συνεργασία και ανταλλαγή πληροφοριών μεταξύ των κρατών μελών της ΕΕ.

Ωστόσο, η ψηφιοποίηση των υπηρεσιών και το αυξημένο επίπεδο των κυβερνοεπιθέσεων σε ολόκληρη την ΕΕ οδήγησαν την Ευρωπαϊκή Επιτροπή το 2020 να προτείνει μια αναθεωρημένη έκδοση της NIS, δηλαδή τη NIS2. Η νέα οδηγία τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και τα κράτη μέλη έχουν πλέον 21 μήνες, έως τις 17 Οκτωβρίου 2024, για να μεταφέρουν τα μέτρα της στο εθνικό τους δίκαιο.

Οι νέες διατάξεις έχουν διευρύνει το πεδίο εφαρμογής της NIS με σκοπό την ενίσχυση των απαιτήσεων ασφαλείας που επιβάλλονται στα κράτη μέλη της ΕΕ, τον εξορθολογισμό των υποχρεώσεων αναφοράς περιστατικών ασφαλείας και τη θέσπιση ισχυρότερων εποπτικών μέτρων και αυστηρότερων απαιτήσεων τήρησης της νομοθεσίας, όπως για παράδειγμα ένα εναρμονισμένο καθεστώς κυρώσεων για όλα τα κράτη μέλη της ΕΕ.

Η NIS2 εισάγει τα ακόλουθα στοιχεία:

  • Διευρυμένη εφαρμογή: Η NIS2 αυξάνει τον αριθμό των τομέων που καλύπτουν οι διατάξεις της, συμπεριλαμβανομένων των ταχυδρομικών υπηρεσιών, των κατασκευαστών αυτοκινήτων, των πλατφορμών των μέσων κοινωνικής δικτύωσης, της διαχείρισης αποβλήτων, της παραγωγής χημικών προϊόντων και αγροτικών προϊόντων διατροφής. Οι νέοι κανόνες ταξινομούν τις οντότητες σε “βασικές οντότητες” και “σημαντικές οντότητες” και ισχύουν για τους υπεργολάβους και τους παρόχους υπηρεσιών που δραστηριοποιούνται στους καλυπτόμενους τομείς.
  • Αυξημένη ετοιμότητα για τις παγκόσμιες απειλές στον κυβερνοχώρο: Η NIS2 επιδιώκει να ενισχύσει τη συλλογική επίγνωση της κατάστασης μεταξύ των βασικών οντοτήτων για τον εντοπισμό και την κοινοποίηση σχετικών απειλών πριν αυτές επεκταθούν σε όλα τα κράτη μέλη. Για παράδειγμα, το δίκτυο EU-CyCLONe θα βοηθήσει στον συντονισμό και τη διαχείριση περιστατικών μεγάλης κλίμακας, ενώ θα δημιουργηθεί ένας εθελοντικός μηχανισμός αμοιβαίας μάθησης για την ενίσχυση της ευαισθητοποίησης.
  • Εξορθολογισμένα πρότυπα ανθεκτικότητας με αυστηρότερες κυρώσεις. Σε αντίθεση με τη NIS, η NIS2 προβλέπει υψηλότατες κυρώσεις και ισχυρά μέτρα ασφαλείας. Για παράδειγμα, οι παραβάσεις της νομοθεσίας από βασικές οντότητες θα υπόκεινται σε διοικητικά πρόστιμα μέγιστου ύψους τουλάχιστον 10 εκατ. ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους, ενώ οι σημαντικές οντότητες θα υπόκεινται σε πρόστιμα μέγιστου ύψους τουλάχιστον 7 εκατ. ευρώ ή 1,4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους.
  • Εξορθολογισμένες διαδικασίες αναφορών. Η NIS2 εξορθολογίζει τις υποχρεώσεις υποβολής αναφορών ώστε να αποφευχθεί η πρόκληση υπερβολικής υποβολής και η δημιουργία υπερβολικού φόρτου για τις καλυπτόμενες οντότητες.
  • Διευρυμένο εδαφικό πεδίο εφαρμογής: Σύμφωνα με τους νέους κανόνες, συγκεκριμένες κατηγορίες οντοτήτων που δεν είναι εγκατεστημένες στην Ευρωπαϊκή Ένωση αλλά προσφέρουν υπηρεσίες εντός αυτής θα υποχρεούνται να ορίζουν αντιπρόσωπο στην ΕΕ.

DORA

Η πράξη για τη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) αντιμετωπίζει ένα θεμελιώδες πρόβλημα στο χρηματοπιστωτικό οικοσύστημα της ΕΕ: πώς ο τομέας μπορεί να παραμείνει ανθεκτικός κατά τη διάρκεια σοβαρών επιχειρησιακών διαταραχών. Πριν από την DORA, τα χρηματοπιστωτικά ιδρύματα χρησιμοποιούσαν την κατανομή κεφαλαίου για τη διαχείριση των σημαντικών κατηγοριών λειτουργικού κινδύνου. Ωστόσο, πρέπει να αντιμετωπίσουν καλύτερα τις προκλήσεις που ανακύπτουν για την ενίσχυση της κυβερνοσφασάλειας τους και να ενσωματώσουν πρακτικές που θα ενισχύσουν την ανθεκτικότητα τους έναντι ενός εξελισσόμενου τοπίου απειλών στο ευρύτερο επιχειρησιακό πλαίσιο τους.

Το δελτίο τύπου του Ευρωπαϊκού Συμβουλίου παρέχει μια περιεκτική δήλωση του σκοπού της Πράξης για την ψηφιακή επιχειρησιακή ανθεκτικότητα:

«Η πράξη DORA καθορίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ (τεχνολογίες πληροφοριών και επικοινωνιών), όπως πλατφόρμες υπολογιστικού νέφους ή υπηρεσίες ανάλυσης δεδομένων».

Με άλλα λόγια, η DORA δημιουργεί ένα ομοιογενές κανονιστικό πλαίσιο για την ψηφιακή επιχειρησιακή ανθεκτικότητα, ώστε να διασφαλιστεί ότι όλες οι χρηματοπιστωτικές οντότητες μπορούν να προλαμβάνουν και να μετριάζουν τις απειλές στον κυβερνοχώρο.

Σύμφωνα με το άρθρο 2 του κανονισμού, η DORA εφαρμόζεται σε χρηματοπιστωτικές οντότητες, συμπεριλαμβανομένων τραπεζών, ασφαλιστικών επιχειρήσεων, επιχειρήσεων επενδύσεων και παρόχων υπηρεσιών κρυπτοστοιχείων. Ο κανονισμός καλύπτει επίσης κρίσιμα τρίτα μέρη που προσφέρουν σε χρηματοπιστωτικές εταιρείες υπηρεσίες ΤΠΕ και κυβερνοασφάλειας.

Επειδή η DORA είναι κανονισμός και όχι οδηγία, είναι εκτελεστή και ισχύει άμεσα σε όλα τα κράτη μέλη της ΕΕ από την ημερομηνία εφαρμογή της. H DORA συμπληρώνει την Oδηγία NIS2 και αντιμετωπίζει πιθανές επικαλύψεις ως ειδικό δίκαιο (“lex specialis”).

Η συμμόρφωση με τη DORA αναλύεται σε πέντε πυλώνες που καλύπτουν ποικίλες πτυχές της πληροφορικής και της κυβερνοασφάλειας, παρέχοντας στις χρηματοπιστωτικές επιχειρήσεις μια εμπεριστατωμένη βάση για την ψηφιακή ανθεκτικότητα.

  • Διαχείριση κινδύνων ΤΠΕ: Οι διαδικασίες εσωτερικής διακυβέρνησης και ελέγχου διασφαλίζουν την αποτελεσματική και συνετή διαχείριση κινδύνων ΤΠΕ.
  • Διαχείριση, ταξινόμηση και αναφορά περιστατικών που σχετίζονται με τις ΤΠΕ: Ανίχνευση, διαχείριση και προειδοποίηση περιστατικών που σχετίζονται με ΤΠΕ, με τον καθορισμό, την καθιέρωση και την εφαρμογή μιας διαδικασίας αντιμετώπισης και διαχείρισης περιστατικών κυβερνοασφάλειας.
  • Έλεγχος ψηφιακής επιχειρησιακής ανθεκτικότητας: Αξιολόγηση της ετοιμότητας για τη διαχείριση περιστατικών κυβερνοασφάλειας, εντοπισμός ατελειών, ελλείψεων και κενών στην ψηφιακή επιχειρησιακή ανθεκτικότητα και ταχεία εφαρμογή διορθωτικών μέτρων.
  • Διαχείριση του κινδύνου ΤΠΕ από τρίτους: Πρόκειται για αναπόσπαστο στοιχείο του κινδύνου κυβερνοασφάλειας εντός του πλαισίου διαχείρισης κινδύνου ΤΠΕ.
  • Ανταλλαγή πληροφοριών: Ανταλλαγή πληροφοριών σχετικά με απειλές στον κυβερνοχώρο, συμπεριλαμβανομένων δεικτών συμβιβασμού, τακτικών, τεχνικών και διαδικασιών (TTP) και ειδοποιήσεων για την κυβερνοασφάλεια, για την ενίσχυση της ανθεκτικότητας των χρηματοπιστωτικών οντοτήτων.

Σύμφωνα με το άρθρο 64, ο κανονισμός τέθηκε σε ισχύ στις 17 Ιανουαρίου 2023 και εφαρμόζεται από τις 17 Ιανουαρίου 2025. Είναι επίσης σημαντικό να σημειωθεί ότι το άρθρο 58 ορίζει ότι έως τις 17 Ιανουαρίου 2026, η Ευρωπαϊκή Επιτροπή θα επανεξετάσει “την καταλληλότητα των ενισχυμένων απαιτήσεων για τους νόμιμους ελεγκτές και τα ελεγκτικά γραφεία όσον αφορά την ψηφιακή επιχειρησιακή ανθεκτικότητα”.

Τέσσερα βήματα για τη συμμόρφωση σήμερα

Παρόλο που οι προθεσμίες είναι πιο μακριά, οι επηρεαζόμενοι οργανισμοί δεν χρειάζεται να κάθονται και να περιμένουν. Ο χρόνος (και το χρήμα) είναι πολύτιμος όταν προετοιμάζεστε για την συμμόρφωση με τις απαιτήσεις των NIS2 και DORA. Οι οργανισμοί πρέπει να αξιολογήσουν και να προσδιορίσουν τις ενέργειες που μπορούν να προβούν για να προετοιμαστούν για τους νέους κανόνες.

Οι ακόλουθες συστάσεις αποτελούν ένα καλό σημείο εκκίνησης:

  • Διακυβέρνηση και διαχείριση κινδύνων: Κατανοήστε τις νέες απαιτήσεις και αξιολογήστε τις τρέχουσες διαδικασίες διακυβέρνησης και διαχείρισης κινδύνων. Επιπλέον, εξετάστε το ενδεχόμενο να αυξήσετε τη χρηματοδότηση για προγράμματα που βοηθούν στον εντοπισμό απειλών και περιστατικών κυβερνοεπιθέσεων και να ενισχύσετε τις πρωτοβουλίες εκπαίδευσης για την ευαισθητοποίηση σε θέματα κυβερνοασφάλειας σε επίπεδο επιχείρησης.
  • Αναφορά περιστατικών: Αξιολογήστε την ωριμότητα της διαχείρισης συμβάντων και της υποβολής εκθέσεων για να κατανοήσετε τις τρέχουσες δυνατότητες και να μετρήσετε την ευαισθητοποίηση σχετικά με τα διάφορα πρότυπα υποβολής εκθέσεων συμβάντων κυβερνοασφάλειας που αφορούν τον κλάδο σας. Θα πρέπει επίσης να ελέγξετε την ικανότητά σας να αναγνωρίζετε καταστάσεις ατυχημάτων που αποφεύγονται την τελευταία στιγμή.
  • Δοκιμή ανθεκτικότητας: Αναγνώριση των ταλέντων που απαιτούνται για το σχεδιασμό και τη διεξαγωγή δοκιμών ανθεκτικότητας, συμπεριλαμβανομένων εκπαιδευτικών συνεδρίων για τα μέλη του διοικητικού συμβουλίου σχετικά με τις τεχνικές που χρησιμοποιούνται και τις επιπτώσεις τους.
  • Διαχείριση κινδύνων από τρίτους: Για να βοηθήσετε στη δημιουργία ενός σχεδίου περιορισμού των κινδύνων, επικεντρωθείτε στην ενίσχυση της χαρτογράφησης των συμβάσεων και στην αξιολόγηση των τρωτών σημείων τρίτων μερών. Αναγνωρίστε τις υπηρεσίες που είναι απαραίτητες για τη φιλοξενία θεμελιωδών επιχειρηματικών διαδικασιών. Ελέγξτε αν έχει εφαρμοστεί μια αρχιτεκτονική ανοχής σε σφάλματα για να μειωθούν οι επιπτώσεις της διακοπής λειτουργίας κρίσιμων παρόχων.

Το άρθρο αυτό εκπονήθηκε στο πλαίσιο του έργου “Increasing Civic Engagement in the Digital Agenda — ICEDA” με την υποστήριξη της Ευρωπαϊκής Ένωσης και του South East Europe (SEE) Digital Rights Network. Το περιεχόμενο αυτού του άρθρου δεν θα πρέπει να θεωρείται ότι αποτελεί επίσημη θέση της Ευρωπαϊκής Ένωσης ή του SEΕ.

Photo by FLY:D on Unsplash

by master_admin

Ομιλία για DORA και NIS2 σε εκπαιδευτικό webinar

Στις 29 Μαρτίου, 15:00 – 17:00 Ώρα Ελλάδας, η Homo Digitalis θα έχει την μεγάλη χαρά να συμμετέχει στο online webinar που διοργανώνει το Open Data Kosovo στον τομέα της κυβερνοασφάλειας!

Εκεί θα μιλήσουμε για πρόσφατες νομοθετικές πρωτοβουλίες σε επίπεδο ΕΕ, όπως ο Κανονισμός DORA και η αναθεωρημένη Οδηγία ΝΙS2, ενώ ειδικοί θα μιλήσουν και για την κατάσταση που επικρατεί στη γειτονική χώρα.

Την ομάδα μας θα εκπροσωπήσουν οι Αναστάσιος Αραμπατζής και Λευτέρης Χελιουδάκης.

Δωρεάν Εγγραφή εδώ και περισσότερες πληροφορίες για την εκδήλωση εδώ.

Το webinar εκπονείται στο πλαίσιο του έργου “Increasing Civic Engagement in the Digital Agenda — ICEDA” με την υποστήριξη της Ευρωπαϊκής Ένωσης, του South East Europe (SEE) Digital Rights Network και του SHARE Foundation!

 

by Homo Digitalis