Οι Έξυπνες κάμερες παραμένουν μη πλήρως λειτουργικές με καθυστερήσεις στη συμμόρφωση με τον νόμο 5256/2025

Μετά από σχετικές νομικές ενέργειες στις οποίες προχώρησε η Homo Digitalis, αναδείχθηκε ότι το Ενιαίο Ηλεκτρονικό Σύστημα καταγραφής και διαχείρισης παραβάσεων Κ.Ο.Κ. και προστίμων (Ε.Η.Σ.) το οποίο θεσπίσθηκε με τον Ν.5256/2025 τον Δεκέμβριο του 2025, παραμένει μη πλήρως λειτουργικό, ενώ υπάρχει ελλιπής συμμόρφωση και με τα χρονοδιαγράμματα αλλά και τις νομικές υποχρεώσεις.

Η οδική ασφάλεια και η προστασία όλων των οδηγών, επιβατών και πεζών, αποτελεί σημαντικό σκοπό, ωστόσο ο τρόπος με τον οποίο εφαρμόζεται το νομικό πλαίσιο που πρόσφατα υιοθετήθηκε και η εγκατάσταση και χρήση των σχετικών συστημάτων επιτήρησης και των αλγορίθμων που τα συνοδεύει, δημιουργεί προκλήσεις τόσο για τη λογοδοσία των αρμόδιων φορέων, όσο και για την προστασία των δικαιωμάτων όλων μας.

Πλήθος δημοσιευμάτων έντυπων, τηλεοπτικών και διαδικτυακών μέσων ενημέρωσης, διακινούσαν ανακριβείς πληροφορίες για μεγάλο χρονικό διάστημα ότι το Ε.Η.Σ. όχι μόνο είναι πλήρως λειτουργικό, αλλά και πως το σύστημα είναι ήδη σε θέση να επιβάλλει αυτοματοποιημένα πρόστιμα για παραβάσεις, όπως η χρήση κινητού τηλεφώνου, η χρήση κράνους, ή η χρήση ζώνης ασφαλείας κατά την οδήγηση.

Τον Φεβρουάριο και τον Μάρτιο του 2026, η Homo Digitalis αποφάσισε να χρησιμοποιήσει κάθε νομικό εργαλείο και όλες τις εγγυήσεις που προβλέπονται στη νομοθεσία, προκειμένου να μάθει τι συμβαίνει με την πορεία υλοποίησης του Ε.Η.Σ., και εάν τα χρονοδιαγράμματα και η υιοθέτηση των σχετικών υπουργικών αποφάσεων και των πρωτοκόλλων συνεργασίας που απαιτεί η νομοθεσία έχουν τηρηθεί.

Ειδικότερα, στις 24 Φεβρουαρίου καταθέσαμε Αίτημα Χορήγησης Εγγράφων στον κ. Ιωάννη Μελά, Διοικητή της Αυτοτελούς Υπηρεσίας με την επωνυμία

«Οδική Υπηρεσία Συστημάτων Εποπτείας και Ασφάλειας (ΟΔ.Υ.Σ.Ε.ΑΣ.), του Υπουργείου Υποδομών και Μεταφορών, με το οποίο αιτηθήκαμε πρόσβαση στην εκτίμηση αντικτύπου για την προστασία προσωπικών δεδομένων και την αλγοριθμική εκτίμηση αντικτύπου σχετικά με την πιλοτική εφαρμογή που φαίνεται με βάση τον ιστότοπο της Διαύγειας να έχουν εκπονηθεί. Μάλιστα, επειδή πολύ πριν από την υιοθέτηση του νομικού πλαισίου, και ειδικότερα από τις 31/07/2025, έχει δημοσιευθεί στη Διαύγεια απευθείας ανάθεση στην Εταιρία με την επωνυμία «ΕΥΡ.ΗΛΕΚ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» για την Ανάπτυξη Πιλοτικού Πληροφοριακού Συστήματος για την καταγραφή και ανάλυση δεδομένων από τροχαίες παραβάσεις, καλέσαμε την ΟΔ.Υ.Σ.Ε.ΑΣ. να μας παραχωρήσει πρόσβαση και σε αυτή τη Σύμβαση.

Επίσης, καλέσαμε την Υπηρεσία, όπως υποχρεούται με βάση τον Ν.5256/2025, να μας ενημερώσει ως προς τα κριτήρια και τη μεθοδολογία βάσει των οποίων επελέγησαν τα συγκεκριμένα σημεία εγκατάστασης της πιλοτικής εφαρμογής του συστήματος, καθώς και ως προς τα αντικειμενικά και τεχνικά κριτήρια που οδήγησαν στη διαφοροποίηση των χρησιμοποιούμενων τεχνολογιών ανά σημείο εγκατάστασης (ενσωματωμένο radar για έλεγχο ταχύτητας τύπου “Spot Speed”, συστήματα ανίχνευσης μη χρήσης κράνους, μη χρήσης ζώνης ασφαλείας, χρήσης κινητού τηλεφώνου κατά την οδήγηση, καθώς και συστήματα καταγραφής παραβίασης ερυθρού σηματοδότη, κ.ο.κ.).

Ακόμη, καθώς με βάση τις διατάξεις του Άρθρου 23, παρ. 11 του Ν.5256/2025, ορίζεται ότι με κοινή απόφαση των Υπουργών Υποδομών και Μεταφορών, Ψηφιακής Διακυβέρνησης και Προστασίας του Πολίτη, ρυθμίζεται κάθε τεχνικό και λεπτομερειακό θέμα για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας που πραγματοποιείται μέσω του Ε.Η.Σ. σύμφωνα με το άρθρο 16 (Ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα), αιτηθήκαμε από την ΟΔ.Υ.Σ.Ε.ΑΣ.  να μας χορηγηθεί αντίγραφο της ως άνω Κοινής Υπουργικής Απόφασης ή, εναλλακτικώς, να μας γνωστοποιηθεί η ακριβής διεύθυνση του διαδικτυακού τόπου στον οποίο αυτή έχει νομίμως αναρτηθεί. Επιπροσθέτως, αιτηθήκαμε να ενημερωθούμε και για τον χρόνο έναρξης λειτουργίας του συστήματος.

Τέλος, επειδή με βάση τις διατάξεις του Άρθρου 23, παρ. 12 του Ν.5256/2025,

προβλέπεται ότι με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης, Εθνικής Οικονομίας και Οικονομικών, Εσωτερικών, Δικαιοσύνης και του κατά περίπτωση συναρμόδιου Υπουργού, κατόπιν γνώμης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, για τη λειτουργία του Ε.Η.Σ. του άρθρου 4, καθορίζονται: α) η διαδικασία διαβίβασης, στις αρμόδιες δικαστικές, εισαγγελικές και διοικητικές αρχές, των δεδομένων που αυτές ζητούν νομίμως κατά την άσκηση των καθηκόντων τους, β) ο τρόπος, με τον οποίο ο υπεύθυνος επεξεργασίας ενημερώνει το κοινό ότι πρόκειται να εισέλθει σε χώρο που εμπίπτει στην εμβέλεια εγκατεστημένων ή φορητών συστημάτων επιτήρησης,  το περιεχόμενο της ενημέρωσης και επιπλέον δικαιώματα των υποκειμένων των δεδομένων, πέραν των ήδη κατοχυρωμένων στον Γενικό Κανονισμό για την Προστασία Δεδομένων και στον ν. 4624/2019 και γ) κάθε άλλο ειδικότερο ή τεχνικό θέμα που είναι αναγκαίο για την εφαρμογή του άρθρου 16, ζητήσαμε να ενημερωθούμε εάν έχει παρασχεθεί σχετική Γνώμη από την ΑΠΔΠΧ.

Ωστόσο, η  ΟΔ.Υ.Σ.Ε.ΑΣ. αρνήθηκε σιωπηρώς να απαντήσει στο άνω αίτημά μας.

Παράλληλα, στις 27 Φεβρουαρίου, καταθέσαμε καταγγελία ενώπιον της κας. Αλεξάνδρας Ρογκάκου, Διοικήτριας της Εθνικής Αρχής Διαφάνειας (ΕΑΔ) για παράλειψη σημαντικών υποχρεώσεων διαφάνειας από την ΟΔ.Υ.Σ.Ε.ΑΣ, αναφορικά με την πιλοτική θέση σε λειτουργία και χρήση του Ε.Η.Σ. Πιο συγκεκριμένα,  σύμφωνα με τα Άρθρα 4, 5 του Ν.4961/2022, οι φορείς του δημόσιου τομέα που κατά την άσκηση των αρμοδιοτήτων τους χρησιμοποιούν συστήματα τεχνητής νοημοσύνης για τη διαδικασία λήψης ή την υποστήριξη της διαδικασίας λήψης μιας απόφασης ή την έκδοση πράξης, οι οποίες επηρεάζουν τα δικαιώματα ενός φυσικού ή νομικού προσώπου, έχουν την υποχρέωση να εκπονήσουν Αλγοριθμική εκτίμηση αντικτύπου πριν από την έναρξη λειτουργίας του συστήματος. Επίσης, σύμφωνα με το Άρθρο 6 του Ν.4961/2022, φορέας του δημόσιου τομέα που χρησιμοποιεί σύστημα τεχνητής νοημοσύνης ενέχει υποχρέωση διαφάνειας, δηλαδή πρέπει να παρέχει, δημόσια, πληροφορίες σχετικά με α) τον χρόνο έναρξης λειτουργίας του συστήματος, β) τις παραμέτρους λειτουργίας, τις δυνατότητες και τα τεχνικά χαρακτηριστικά του συστήματος, γ) τις κατηγορίες των αποφάσεων που λαμβάνονται ή των πράξεων που εκδίδονται με τη συμμετοχή του συστήματος ή υποστηρίζονται από αυτό και δ) τη διενέργεια αλγοριθμικής εκτίμησης αντικτύπου. Με βάση τα ανωτέρω, καλέσαμε την ΕΑΔ να εξετάσει τη συμμόρφωσή της ΟΔ.Υ.Σ.Ε.ΑΣ, με τις ως άνω υποχρεώσεις.

Στις 23 Απριλίου, η ΕΑΔ απάντησε επίσημα στην καταγγελία μας, ενημερώνοντάς μας ότι από τη διερεύνηση της αναφοράς μας, τέθηκαν υπόψη της υπηρεσιακές απόψεις της αρμόδιας εμπλεκόμενης υπηρεσίας από τις οποίες προκύπτει ότι δεν έχει εκδοθεί μέχρι σήμερα η κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης, Εσωτερικών, Προστασίας του Πολίτη και Υποδομών και Μεταφορών, η οποία διαπιστώνει τη πλήρη λειτουργία του Ε.Η.Σ. και των απαραίτητων διασυνδέσεών του» . Επιπλέον, η ΕΑΔ απέστειλε έγγραφο προς την αρμόδια υπηρεσία με το οποίο ζητείται ενημέρωση για την ημερομηνία έναρξης της πλήρους λειτουργίας του ΕΗΣ προκειμένου να εξεταστεί σε μελλοντικό χρόνο και εφόσον εκδοθεί η ανωτέρω διαπιστωτική πράξη, τη συμμόρφωση της υπηρεσίας με τις υποχρεώσεις της.

Στις αρχές του Μαρτίου, είχε προηγηθεί και νέα κατάθεση αιτήματος πρόσβασης σε έγγραφα από τη Homo Digitalis, αυτή τη φορά ενώπιον της Ελληνικής Αστυνομίας. Σύμφωνα με το Άρθρο 16, παρ. 2, περ.β του Ν.5256/2025, εντός τριών (3) μηνών από την έναρξη ισχύος του εν λόγω νόμου, οι από κοινού υπεύθυνοι επεξεργασίας υπογράφουν πρωτόκολλο συνεργασίας, στο οποίο καθορίζονται οι σχέσεις τους έναντι των υποκειμένων των δεδομένων και οι αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ. Σύμφωνα με το Άρθρο 49 του Ν.5256/2025, η ισχύς του εν λόγω νόμου αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως, ήτοι στις 8 Δεκεμβρίου 2025. Επομένως, η ΕΛ.ΑΣ. από κοινού με τους υπόλοιπους Υπευθύνους Επεξεργασίας θα έπρεπε έως τις 8 Μαρτίου 2026, ήτοι 3 μήνες από τη θέση σε ισχύ του Ν.5256/2025 και του Άρθρου 16 αυτού, να έχει υπογράψει το εν λόγω πρωτόκολλο συνεργασίας. Το πρωτόκολλο αυτό αποτελεί σημαντικό έγγραφο καθώς καθορίζει τις σχέσεις των από κοινού Υπευθύνων με τα υποκείμενα δεδομένα και τις αντίστοιχες ευθύνες τους, σύμφωνα με τις υποχρεώσεις που ανακύπτουν από τις διατάξεις του ΓΚΠΔ.

Ωστόσο, η  ΕΛ.ΑΣ. αρνήθηκε σιωπηρώς να απαντήσει στο άνω αίτημά μας.

Συμπερασματικά, η εφαρμογή του Ε.Η.Σ. όπως θεσπίστηκε με τον Ν. 5256/2025, τελεί σε κατάσταση μη πλήρους λειτουργίας, συνοδευόμενη από ουσιώδεις ελλείψεις ως προς τη συμμόρφωση με τις προβλεπόμενες κανονιστικές και οργανωτικές υποχρεώσεις. Η Homo Digitalis θα συνεχίσει με τις δράσεις τις να ελέγχει την πορεία της συμμόρφωσης με το ισχύον νομοθετικό πλαίσιο, προκειμένου να διασφαλιστεί τόσο η αποτελεσματικότητα του συστήματος όσο και η πλήρης κατοχύρωση των δικαιωμάτων των υποκειμένων των δεδομένων κατά το μελλοντικό στάδιο της θέσης του σε ισχύ.

by Homo Digitalis

Διαχείριση Κινδύνου στον Ψηφιακό Κόσμο - Αγγαρεία ή Αναγκαιότητα;

Γράφει o Ιωάννης Ντόκος*

“Τίποτα στη ζωή δεν είναι βέβαιο παρά μόνο ο θάνατος και οι φόροι”, είπε κάποτε ο Benjamin Franklin (ή κάποιος προκάτοχός του). Η φράση όμως θα μπορούσε κάλλιστα να περιλαμβάνει ακόμα μία συνιστώσα, τον κίνδυνο. “Death, taxes and risk”. Στον ψηφιακό κόσμο, οι εκάστοτε κίνδυνοι είναι μία σταθερά που πρέπει μονίμως να λαμβάνουμε υπόψιν, είτε ως πολίτες, χρήστες προϊόντων ή υπηρεσιών, ή ως ειδήμονες στον κλάδο της διαχείρισης κινδύνων. Ας δούμε πώς η σωστή διαχείριση κινδύνου μπορεί να προσφέρει βεβαιότητα και ασφάλεια στον ψηφιακό χώρο.

Τί σημαίνει κίνδυνος, και γιατί χρήζει προσοχής;

Ο ψηφιακός κόσμος αλλάζει γρήγορα, καθημερινά. Η έννοια του κινδύνου, ωστόσο, είναι σχετικά στατική: κάθε σύστημα, κάθε πρόγραμμα, κάθε άνθρωπος που χρησιμοποιεί τεχνολογία δημιουργεί ένα “άνοιγμα”, ένα τρωτό σημείο. Αυτά τα ανοίγματα δεν είναι από μόνα τους επικίνδυνα, αλλά είναι ευάλωτα σε απειλές που μπορούν να τα εκμεταλλευτούν.  Σκέψου, για παράδειγμα, ένα ελάττωμα σε ένα υπολογιστικό σύστημα μιας μονάδας επεξεργασίας πυρηνικής ενέργειας, μία ελλιπή διαδικασία πρόσβασης σε ευαίσθητα δεδομένα, ένα κακό “σετάρισμα” ενός διακόπτη δικτύου. Το καμπανάκι κινδύνου ηχεί.

Ο κίνδυνος υπάρχει πριν κάνεις οτιδήποτε, είναι “εγγενής”. Είναι εκεί by default, χωρίς να λαμβάνει υπόψη τυχόν μέτρα προστασίας. Όταν οδηγείς ένα ποδήλατο, η οδήγηση και μόνο ενέχει κίνδυνο. Στον ψηφιακό κόσμο, ο εγγενής κίνδυνος προκύπτει από πράγματα όπως η ανθρώπινη απροσεξία, η πολυπλοκότητα των συστημάτων ή η αξία των δεδομένων που μοιράζεσαι με άλλους. Από μόνος του ο κίνδυνος είναι μια βεβαιότητα, μια σταθερά της ζωής. Αυτό δε σημαίνει ότι τον αγνοούμε.

Ωραία ως εδώ. Το γεγονός ότι περνάω το κατώφλι της πόρτας κάθε πρωί είναι μια επικίνδυνη κατάσταση, θεωρητικά. Τί νόημα έχει οποιαδήποτε δράση αν ο κίνδυνος είναι ούτως ή άλλως εκεί; Η επόμενη φάση είναι να αναγνωρίσεις ποιοι κίνδυνοι χρήζουν προσοχής και δράσης. Εδώ χρειάζεται ψυχρή παρατήρηση και λογική σκέψη. Κάποιοι κίνδυνοι είναι πιο σημαντικοί από άλλους, επομένως πρέπει να περάσουν από το “κόσκινο” της διαχείρισης.

Υπολογισμός του κινδύνου

Στην πιο απλή του μορφή, ο κίνδυνος (ψηφιακός και μη) είναι απλά μια συνάρτηση πιθανότητας και αντίκτυπου. Ο εκάστοτε κίνδυνος επιφέρει (αρνητικές) συνέπειες (αντίκτυπος) με κάποια συχνότητα (πιθανότητα). Έχοντας τη δυνατότητα, με τρόπο ποσοτικό (με τη χρήση ακριβών και εμπεριστατωμένων αριθμών, συνήθως νομισματικών για τον αντίκτυπο και μονάδων ετήσιου ποσοστού εμφάνισης για την πιθανότητα) ή ποιοτικό (με πιο αυθαίρετους υπολογισμούς, συνήθως με χρήση κλίμακας από το 1 ως το 5) να υπολογίσουμε τις μεταβλητές της πιθανότητας και του αντικτύπου, μας φέρνει πιο κοντά στον υπολογισμό του κινδύνου.

 

 

Στο παράδειγμα της οδήγησης ποδηλάτου, ένας κίνδυνος είναι η αιφνίδια συνάντησή μου με μία καφέ αρκούδα (και οι δυσάρεστες συνέπειες που θα ακολουθήσουν). Η πιθανότητα να συμβεί αυτό αλλάζει ανάλογα με την περίσταση - εάν οδηγώ το ποδήλατό μου σε κάποια περιοχή του Κορυδαλλού, οι πιθανότητες να συναντήσω την αρκούδα αγγίζουν το μηδέν. Εάν πάλι έχω πάει για ποδηλασία στα βουνά της Πίνδου, η κατάσταση αλλάζει άρδην. Ο αντίκτυπος της συνάντησης με την αρκούδα αλλάζει επίσης. Εάν κουβαλάω σπρέι για αρκούδες ή έχω παρακολουθήσει πολλά βίντεο σχετικά με το πώς να αντιμετωπίσεις μια καφέ αρκούδα (ο υποφαινόμενος έχει παρακολουθήσει ουκ ολίγα τέτοια βίντεο), μπορεί να τη γλιτώσω με μώλωπες και γρατζουνιές (ή ένα σπασμένο ποδήλατο). Εάν πάλι στερούμαι γνώσης και εργαλείων, τα πράγματα δυσκολεύουν.

Εδώ διαφαίνεται και η σημασία των μέτρων προστασίας και η μετάβαση από τον εγγενή στον υπολειμματικό κίνδυνο. Μέσω των μέτρων προστασίας στη διάθεσή μου (σπρέι), μπορώ να χαμηλώσω τον αντίκτυπο της συνάντησης από τον βέβαιο θάνατο, στην εισαγωγή στο νοσοκομείο για ράμματα. Ο υπολειμματικός κίνδυνος είναι ο κίνδυνος που απομένει αφού πάρουμε μέτρα προστασίας κατά αυτού! Τα μέτρα προστασίας είναι αναπόσπαστο κομμάτι της διαχείρισης του κινδύνου.

Τρόποι διαχείρισης κινδύνου

Υπάρχουν τέσσερις ενδεδειγμένοι τρόποι αντιμετώπισης ενός κινδύνου, αφού γίνει αυτός αντιληπτός (και αφού υπολογιστεί ποσοτικά ή ποιοτικά). Οι επιλογές αυτές είναι: αποδοχή, μεταβίβαση, μείωση ή εξάλειψη.

Αποδοχή σημαίνει ότι καταλαβαίνεις τον κίνδυνο και τον κρατάς, όχι παθητικά ή με άγνοια, αλλά με λογική. Κάποιοι κίνδυνοι είναι τόσο μικροί που κοστίζει περισσότερο να τους αντιμετωπίσεις παρά να τους αποδεχτείς. Εάν οδηγώ το ποδήλατό μου στο κέντρο της πόλης, αποδέχομαι την απειροελάχιστη πιθανότητα (0.00001%) να μου επιτεθεί αρκούδα, και απολαμβάνω τη βόλτα μου.

Μεταβίβαση είναι η μετάθεση του κινδύνου σε άλλον (συνήθως μέσω ασφάλειας). Ο κίνδυνος δεν εξαφανίζεται, απλά αλλάζει χέρια. Η ευθύνη παραμένει σε αυτόν που υπόκειται στον κίνδυνο, απλά υπάρχει κάλυψη σε περίπτωση ζημίας λόγω του κινδύνου. Στο σενάριο με την αρκούδα ελπίζω η ασφάλειά μου να καλύπτει τέτοιες επιθέσεις, ή τουλάχιστον η οικογένειά μου να λάβει ένα χρηματικό ποσό (μέσω της ασφάλειας ζωής μου) σε περίπτωση που το σπρέι δε με βοηθήσει.

Μιας και μιλάμε για το σπρέι, αυτό είναι μέθοδος μείωσης του κινδύνου! Μείωση σημαίνει ότι περιορίζεις την πιθανότητα ή τον αντίκτυπο, και πρόκειται για την πιο συνηθισμένη μέθοδο αντιμετώπισης κινδύνων. Εδώ περιλαμβάνεται κάθε μορφή προληπτικής προστασίας. Κάθε μέτρο προστασίας που λαμβάνω στοχεύει στη μείωση του κινδύνου. Εάν έχω πάει για ποδηλασία στα βουνά της Πίνδου με 10 άλλους φίλους, οι πιθανότητες να επιτεθεί η αρκούδα σε εμένα αντί σε έναν από αυτούς μειώνονται ριζικά!.

Εξάλειψη είναι η πιο απόλυτη επιλογή, καθώς απομακρύνεσαι από τον κίνδυνο και την πηγή του. Η εξάλειψη είναι το τελικό ξεκαθάρισμα: η αναγνώριση ότι κάτι δεν επιδέχεται “μπαλώματα”. Υπάρχουν πολλές πεινασμένες αρκούδες στο βουνό που σκοπεύω να επισκεφτώ; Επιλέγω θάλασσα αντί για βουνό και έχω το κεφάλι μου ήσυχο!

Ενώ οι παραπάνω τρόποι αντιμετώπισης κινδύνου είναι όλοι δόκιμοι, υπάρχει μια αντίδραση που δεν είναι θεμιτή - η άγνοια κινδύνου. Το να γνωρίζουμε τον κίνδυνο και να επιλέγουμε συνειδητά να τον αγνοήσουμε θα οδηγήσει αναπόφευκτα σε αρνητικά αποτελέσματα!

Η αντιμετώπιση κινδύνου στον ψηφιακό κόσμο

Κίνδυνοι παρόμοιοι με την τυχαία συνάντηση με την αρκούδα υπάρχουν στον ψηφιακό και διαδικτυακό χώρο, μόνο που αντί για πεινασμένα τετράποδα, συναντούμε χάκερς, κακοστημένες πλατφόρμες, χρήση τεχνητής νοημοσύνης που προσβάλλει τα ανθρώπινα δικαιώματα και ελαττωματικούς εξοπλισμούς. Και με την ίδια λογική όπως την εκδρομή μας στο δάσος, οι κίνδυνοι αυτοί χρήζουν ειδικής μεταχείρισης, λαμβάνοντας υπόψη τις παρακάτω βασικές αρχές:

  1. Η διαχείριση κινδύνου δεν είναι μεμονωμένο συμβάν, αλλά κύκλος. Εντοπίζεις, αξιολογείς, ενεργείς, επανεξετάζεις τακτικά. Ο ψηφιακός κόσμος μεταβάλλεται συνεχώς, πράγμα που  σημαίνει ότι η εικόνα του κινδύνου μεταβάλλεται εξίσου. Ό,τι ήταν ασφαλές το πρωί μπορεί να είναι τρωτό το βράδυ. Η τεχνολογία δεν περιμένει κανέναν - και οι σχετικοί κίνδυνοι πρέπει συνεχώς να καταγράφονται και να αντιμετωπίζονται.
  2. Η ολιστική αντιμετώπιση κινδύνων είναι κρίσιμη. Ένα κενό είναι αρκετό να προκαλέσει ριζικές βλάβες σε πολίτες, χρήστες, επιχειρήσεις. Η μερική προστασία δημιουργεί μια ψευδή αίσθηση ασφάλειας. Στον ψηφιακό χώρο, το αδύναμο σημείο συχνά δεν είναι το πιο εμφανές. Μπορεί να είναι το ξεχασμένο αρχείο, ο ανεπαρκής κωδικός, ο εξωτερικός συνεργάτης που χρησιμοποιεί μια εύθραυστη εφαρμογή. Απαιτείται επομένως συνολική θεώρηση.
  3. Χρειάζεται επίσης κατανόηση ότι ο κίνδυνος δεν είναι μόνο τεχνικός, αλλά και οργανωτικός, ανθρώπινος, ή διαδικαστικός. Στην πράξη, οι περισσότερες ζημιές προκύπτουν από λάθη, παραλείψεις, ή ασυνεννοησία. Η τεχνολογία απλώς οξύνει τις συνέπειες. Επομένως είναι απαραίτητο να τον αντιμετωπίζουμε από πολλές διαφορετικές πλευρές.
  4. Η επίγνωση και εκπαίδευση σε θέματα προστασίας πληροφοριών και δεδομένων είναι κλειδί στη μείωση κινδύνων. Όσο κι αν οργανωθείς, πάντα θα υπάρχει κάποιος να γράψει τους κωδικούς του σε κοινή θέα, να ανοίξει το λάθος αρχείο, να πατήσει κατά λάθος «διαγραφή». Το ανθρώπινο στοιχείο δεν εξαλείφεται.
  5. Πάντα η πρόληψη είναι φθηνότερη από την αποκατάσταση. Για τον απλό χρήστη, η διαχείριση κινδύνων ίσως μοιάζει με αγγαρεία, η πραγματικότητα όμως είναι ότι ο κόσμος της τεχνολογίας έχει μεγαλώσει τόσο, που η άγνοια κινδύνου κοστίζει. Όπως κανείς δεν περιμένει να βάλει συναγερμό αφού γίνει διάρρηξη, έτσι και η διαχείριση κινδύνου λειτουργεί καλύτερα πριν συμβεί το κακό.

Η ουσία της διαχείρισης κινδύνου είναι η στοχευμένη καθαρότητα: παρόλο που η απόλυτη ασφάλεια δεν είναι εφικτή, επιδιώκουμε την σταθερότητα προσπαθώντας να αποφύγουμε τα σημαντικά λάθη. Όταν καταλάβεις αυτό, η διαχείριση κινδύνου παύει να είναι βάρος. Γίνεται οργανωμένη και συντονισμένη προσπάθεια, και μετά συνήθεια. Ένα είδος νοητικού τεστ όπου ρωτάς: “Τι μπορεί να πάει στραβά; Πόσο με νοιάζει; Τι κάνω για αυτό;”. Όχι ως άσκηση φόβου, αλλά ως άσκηση καθαρού συλλογισμού και προστασίας. Ο κίνδυνος πάντα θα υπάρχει. Η διαχείρισή του είναι συνειδητή επιλογή, και η επίγνωσή του εργαλείο.

* Ο Ιωάννης Ντόκος είναι ειδικός διαχείρισης κινδύνου τεχνολογιών πληροφορίας (IT), προστασίας πληροφοριών και διαχείρισης κινδύνου τρίτων μερών, ενώ έχει γνώσεις στην προστασία προσωπικών δεδομένων. Ειδικεύεται στον ISO27001, NIST, NIS2 και τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ). Στον ελεύθερό του χρόνο προσφέρει συμβουλές σταδιοδρομίας σε θέματα διακυβέρνησης πληροφορικής, κινδύνου και συμμόρφωσης μέσω του καναλιού του στο YouTube.

by Homo Digitalis

Συμμόρφωση στην Εποχή της Τεχνητής Νοημοσύνης και της Κυβερνοασφάλειας: Πρόκληση ή Ευκαιρία;

Γράφει o Τάσος Αραμπατζής

Για χρόνια, η κυβερνοασφάλεια αγωνιζόταν να εξασφαλίσει μια θέση στην ατζέντα της διοίκησης των επιχειρήσεων. Χρειάστηκαν πρόστιμα εκατομμυρίων, νομικές διαμάχες και υψηλού προφίλ παραβιάσεις δεδομένων για να συνειδητοποιήσουν οι επιχειρήσεις ότι η ασφάλεια δεν είναι απλώς ένα ζήτημα πληροφορικής—είναι επιχειρηματικός κίνδυνος. Κανονισμοί όπως το GDPR, η NIS2 και το EU AI Act λειτουργούν ως καταλύτες, αναγκάζοντας τους οργανισμούς να επενδύσουν στη συμμόρφωση.

Αλλά εδώ είναι το βασικό ερώτημα: Είναι η συμμόρφωση ένα αναγκαίο κακό ή αποτελεί το θεμέλιο μιας ανθεκτικής στρατηγικής κυβερνοασφάλειας;

Συμμόρφωση: Το Ελάχιστο Απαραίτητο Επίπεδο Ασφάλειας

Οι κανονιστικές απαιτήσεις λειτουργούν ως βασική γραμμή άμυνας. Μπορεί να μην προσφέρουν την πιο εξελιγμένη προστασία, αλλά καθορίζουν μια δομημένη προσέγγιση στη διαχείριση κινδύνων. Σύμφωνα με την τελευταία έκθεση Thales Data Threat Report 2024, οι οργανισμοί που απέτυχαν σε ελέγχους συμμόρφωσης υπέστησαν περισσότερες παραβιάσεις δεδομένων από εκείνους που πέτυχαν. Το συμπέρασμα είναι σαφές—η συμμόρφωση δεν αφορά μόνο την αποφυγή προστίμων, αλλά και την αποτροπή κυβερνοεπιθέσεων.

Για παράδειγμα, οι επιχειρήσεις που επένδυσαν σε πρακτικές προστασίας δεδομένων λόγω του GDPR βρίσκονται τώρα σε πλεονεκτική θέση για να αντιμετωπίσουν τις νέες προκλήσεις των κανονισμών για την τεχνητή νοημοσύνη. Αντίστοιχα, η NIS2 επιβάλλει μέτρα ασφαλείας βάσει κινδύνου, τα οποία ευθυγραμμίζονται με τις βέλτιστες πρακτικές κυβερνοασφάλειας.

Κανονιστική Υπερφόρτωση; Όχι Ακριβώς.

Ένα συχνό παράπονο των επαγγελματιών ασφάλειας είναι ότι βυθίζονται σε κανονιστικές απαιτήσεις. Όμως, αν εξετάσουμε προσεκτικά τους κανονισμούς, παρατηρούμε σημαντικές επικαλύψεις.

  • EU AI Act vs. GDPR: Ο Νόμος για την ΤΝ (AI Act) επεκτείνει τις αρχές του GDPR, επιβάλλοντας διαφάνεια στις αποφάσεις που λαμβάνονται από συστήματα ΤΝ.
  • NIS2 vs. DORA: Το DORA και η NIS2 επιβάλλουν παρόμοιες απαιτήσεις κυβερνοασφάλειας σε χρηματοπιστωτικά ιδρύματα, εξασφαλίζοντας ανθεκτικότητα έναντι κυβερνοαπειλών.

Η κατανόηση αυτών των αλληλεπικαλύψεων επιτρέπει στους οργανισμούς να αναπτύξουν μια ενοποιημένη στρατηγική συμμόρφωσης αντί να αντιμετωπίζουν κάθε κανονισμό ξεχωριστά. Παρότι το κανονιστικό τοπίο φαίνεται ομιχλώδες, εντούτοις ακολουθώντας μία ολιστική προσέγγιση επιτρέπει στις επιχειρήσεις να συμμορφωθούν με περισσότερη εμπιστοσύνη.

Η Παγίδα της Πολυπλοκότητας: Όταν η Συμμόρφωση Γίνεται Γρίφος

Δεν είναι όμως όλα τόσο απλά. Πολλοί κανονισμοί είναι σκόπιμα γενικοί ώστε να μπορούν να εφαρμόζονται σε μία πλειάδα περιπτώσεων. Αυτή όμως η γενικότητα προσθέτει περισσότερη πολυπλοκότητα, αναγκάζοντας τις επιχειρήσεις να τους προσαρμόσουν στις δικές τους ανάγκες. Αυτό δημιουργεί ένα δίλημμα: Πώς μπορεί μια εταιρεία να διασφαλίσει τη συμμόρφωση αν δεν είναι σαφές τι ακριβώς απαιτείται;

Ένα χαρακτηριστικό παράδειγμα είναι το Άρθρο 86 του EU AI Act, το οποίο δίνει στους πολίτες το δικαίωμα να λαμβάνουν “σαφείς και ουσιαστικές εξηγήσεις” για το πώς ένα σύστημα ΤΝ επηρεάζει μια απόφαση. Σύμφωνα με την Luiza Jarovsky, αυτή η απαίτηση εγείρει κρίσιμα ερωτήματα:

  • Αν ακόμη και οι ίδιοι οι δημιουργοί των συστημάτων ΤΝ δεν μπορούν να εξηγήσουν πλήρως πώς λειτουργούν (το πρόβλημα του “μαύρου κουτιού”), πώς μπορούν οι οργανισμοί να δώσουν ξεκάθαρες απαντήσεις;
  • Είναι τεχνολογικά εφικτό να συμμορφωθούν οι εταιρείες με αυτή την απαίτηση;

Αυτές οι αβεβαιότητες δημιουργούν ένταση μεταξύ της ρυθμιστικής φιλοδοξίας και της τεχνικής πραγματικότητας.

Βελτιώνουν τα Πρόστιμα την Ασφάλεια;

Παρόλο που τα πρόστιμα είναι ισχυρό κίνητρο, συχνά οδηγούν σε επιφανειακή συμμόρφωση αντί για ουσιαστικές βελτιώσεις ασφάλειας.

Το GDPR υπάρχει από το 2018, αλλά οι παραβιάσεις δεδομένων συνεχίζονται αμείωτες. Μερικές εταιρείες βλέπουν τη συμμόρφωση ως οικονομική εξίσωση:

“Αν το κόστος της συμμόρφωσης είναι μεγαλύτερο από το ρίσκο του προστίμου, γιατί να συμμορφωθούμε;”

Το ίδιο ερώτημα θα προκύψει και με τον EU AI Act. Αν οι οργανισμοί δυσκολευτούν να συμμορφωθούν με τις απαιτήσεις διαφάνειας στην ΤΝ, θα επιβληθούν βαριά πρόστιμα ή θα υιοθετηθεί μια πιο ήπια προσέγγιση μέχρι να καθοριστούν οι βέλτιστες πρακτικές;

Και βεβαίως δεν θα πρέπει να ξεχνάμε την επίδραση της τρέχουσας γεωπολιτικής κατάστασης στο πως τελικά θα επιβληθεί η εκάστοτε νομοθεσία. Η πρόσφατη απόφαση για την απόσυρση του ΑΙ Liability Directive είναι ένα παράδειγμα αυτής της επίδρασης.

Η Πρόκληση της Εφαρμογής: Ποιος Επιβλέπει τους Ρυθμιστές;

Οι κανονισμοί είναι αποτελεσματικοί μόνο αν εφαρμόζονται σωστά. Το EU AI Act εισάγει νέες απαιτήσεις συμμόρφωσης, αλλά έχουν οι ρυθμιστικές αρχές την τεχνογνωσία να επιβλέψουν πολύπλοκα μοντέλα ΤΝ;

Το GDPR αντιμετώπισε σοβαρές προκλήσεις στην επιβολή του:

  • Οι ρυθμιστικές αρχές είναι συχνά υποστελεχωμένες, καθυστερώντας τις έρευνες.
  • Υπάρχει ασυνέπεια στην επιβολή των κανόνων μεταξύ των κρατών-μελών της ΕΕ.

Ο EU AI Act είναι ακόμη πιο πολύπλοκος. Αν οι ρυθμιστές δεν μπορούν να επιβάλουν αυστηρή συμμόρφωση, οι επιχειρήσεις μπορεί να καθυστερήσουν τις προσαρμογές τους, περιμένοντας να δουν αν οι κανόνες θα εφαρμοστούν πραγματικά.

Η πρόσφατη εξέλιξη με το Smart Policing της ΕΛΑΣ αναδεικνύει αυτό ακριβώς το πρόβλημα:

Τα 4,5 χρόνια έρευνας της ΑΠΔΠΧ, φανερώνουν επίσης ότι η πολιτεία πρέπει να στηρίξει την Αρχή Προστασίας Δεδομένων, καθώς η υψηλή εξειδίκευση των ελεγκτών της δεν είναι αρκετή, αλλά αντιθέτως απαιτούνται περισσότεροι ανθρώπινοι και οικονομικοί πόροι. Και όλα αυτά χωρίς να υπολογίζουμε τον αυξημένο φόρτο εργασίας που προβλέπεται τα ερχόμενα χρόνια με την AI Act.

Οι ακούσιες συνέπειες της συμμόρφωσης: Καταπνίγοντας την καινοτομία;

Ενώ τα πλαίσια συμμόρφωσης αποσκοπούν στην προστασία των καταναλωτών και των επιχειρήσεων, μπορούν επίσης να δημιουργήσουν εμπόδια στην καινοτομία. Ο GDPR προοριζόταν να ενισχύσει τα δικαιώματα προστασίας της ιδιωτικής ζωής, αλλά πολλές μικρές επιχειρήσεις αντιμετώπισαν και αντιμετωπίζουν με δυσκολία το βάρος της συμμόρφωσης, οδηγώντας σε:

  • Σε φυγή των νεοφυών επιχειρήσεων σε λιγότερο ρυθμιζόμενες αγορές.
  • Εμπόδια στην καινοτομία λόγω της νομικής αβεβαιότητας.

Θα μπορούσε να συμβεί το ίδιο με την πράξη της ΕΕ για την τεχνητή νοημοσύνη; Οι νεοσύστατες επιχειρήσεις τεχνητής νοημοσύνης ίσως βρουν ευκολότερο να δραστηριοποιηθούν στις ΗΠΑ ή την Ασία, όπου οι κανονισμοί είναι λιγότερο αυστηροί. Η ακούσια συνέπεια; Η Ευρώπη θα μπορούσε να μείνει πίσω στην ανάπτυξη της τεχνητής νοημοσύνης, παρά το γεγονός ότι ήταν από τους πρώτους που τη ρύθμισαν.

Συμμόρφωση ως ανταγωνιστικό πλεονέκτημα

Οι οργανισμοί που σκέφτονται μπροστά από την εποχή τους αλλάζουν το σενάριο και αντιμετωπίζουν τη συμμόρφωση όχι ως βάρος ή πρόκληση, αλλά ως ανταγωνιστικό διαφοροποιητικό στοιχείο. Για παράδειγμα, σύμφωνα με έρευνα της Thales, το 89% των πελατών θα συμφωνούσαν με την χρήση των δεδομένων τους μόνο εφόσον υπάρχουν βασικές πολιτικές ασφάλειας και ιδιωτικότητας. Οι εταιρείες που αντιμετωπίζουν προληπτικά τη διαφάνεια της ΤΝ, την προστασία των δεδομένων και τους κινδύνους κυβερνοασφάλειας θα κερδίσουν μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.

Πάρτε για παράδειγμα τις χρηματοπιστωτικές υπηρεσίες που βασίζονται στην ΤΝ. Μια τράπεζα που μπορεί να εξηγήσει με σαφήνεια γιατί απορρίφθηκε ένα δάνειο (σύμφωνα με τον νόμο περί ΤΝ) θα καλλιεργήσει ισχυρότερες σχέσεις με τους πελάτες της από μια τράπεζα που κρύβεται πίσω από την αλγοριθμική αδιαφάνεια. Παρομοίως, ένας πάροχος υγειονομικής περίθαλψης με ισχυρό πλαίσιο ασφαλείας συμβατό με το NIS2 θα ξεχωρίσει ως αξιόπιστος φορέας σε έναν κλάδο που μαστίζεται από παραβιάσεις δεδομένων.

Τελική σκέψη: Η συμμόρφωση δεν είναι επιλογή-αλλά ο τρόπος που την προσεγγίζετε είναι

Ρυθμιστικά πλαίσια όπως ο GDPR, η NIS2 και ο νόμος της ΕΕ για την τεχνητή νοημοσύνη ήρθαν για να μείνουν. Θα διαμορφώσουν τον τρόπο λειτουργίας των επιχειρήσεων στην ψηφιακή οικονομία, επηρεάζοντας τα πάντα, από τη διακυβέρνηση της ΤΝ έως τις επενδύσεις στην κυβερνοασφάλεια. Οι οργανισμοί μπορούν να επιλέξουν να βλέπουν τη συμμόρφωση ως βάρος, αντιδρώντας σε κάθε νέα εντολή με απογοήτευση - ή μπορούν να την αγκαλιάσουν ως θεμέλιο για την οικοδόμηση εμπιστοσύνης, ασφάλειας και μακροπρόθεσμης επιτυχίας.

Ποια θα είναι η δική σας προσέγγιση;

by Homo Digitalis