Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet): Η Άβολη Αλήθεια Πίσω από την Καινοτομία
Γράφει ο Γιάννης Κωνσταντινίδης*
Μια κριτική ματιά στο νέο «πορτοφόλι» της ΕΕ και τους κρυφούς κινδύνους όσον αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικότητας στην ψηφιακή εποχή.
Τι είναι οι ψηφιακές ταυτότητες;
Οι ψηφιακές ταυτότητες (digital identities) είναι το σύνολο των πληροφοριών (π.χ. ονοματεπώνυμο, επαγγελματική ιδιότητα, διεύθυνση, αριθμός τηλεφώνου, κωδικός πρόσβασης) που μας χαρακτηρίζουν όταν χρησιμοποιούμε τις ηλεκτρονικές υπηρεσίες στο Διαδίκτυο. Με απλά λόγια, πρόκειται για τους «ψηφιακούς εαυτούς» μας όταν συνδεόμαστε στις πλατφόρμες κοινωνικής δικτύωσης, στις υπηρεσίες ηλεκτρονικής διακυβέρνησης, στα ηλεκτρονικά τραπεζικά συστήματα, κ.α. Στην πράξη, οι ψηφιακές ταυτότητες εμπεριέχουν προσωπικά δεδομένα τα οποία σε αρκετές περιπτώσεις είναι -και- ευαίσθητα (π.χ. στην περίπτωση των υπηρεσιών υγείας). Επομένως, οι ψηφιακές ταυτότητες πρέπει να επιτρέπουν την ταχεία και απροβλημάτιστη πρόσβαση στις ηλεκτρονικές υπηρεσίες και ταυτόχρονα να συνοδεύονται από πολύ αυστηρές εγγυήσεις όσον αφορά την ασφάλεια και την προστασία της ιδιωτικότητας.
Πώς εξελίχθηκαν οι ψηφιακές ταυτότητες;
Υπάρχουν τρία βασικά μοντέλα για την οργάνωση των ψηφιακών ταυτοτήτων (Εικόνα 1). Στο κεντρικοποιημένο (centralised) μοντέλο, ένας φορέας διατηρεί μια κεντρική βάση δεδομένων με τις ψηφιακές ταυτότητες όλων των χρηστών. Ένα βασικό μειονέκτημα του κεντρικοποιημένου μοντέλου είναι ότι οι χρήστες πρέπει να διατηρούν έναν ξεχωριστό λογαριασμό για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό (federated) μοντέλο, πολλοί φορείς συνεργάζονται μεταξύ τους και ανταλλάσουν τα στοιχεία των ψηφιακών ταυτοτήτων χρησιμοποιώντας ένα κοινό πρωτόκολλο. Για παράδειγμα, εάν κάποιος χρήστης διαθέτει ένα λογαριασμό σε έναν κεντρικό πάροχο (π.χ. Facebook, Google, Microsoft ή gov.gr), τότε μπορεί να συνδεθεί σε κάποια άλλη συμβατή υπηρεσία με τα ίδια στοιχεία της ψηφιακής του ταυτότητας. Επομένως, το ομοσπονδιακό μοντέλο είναι αρκετά εύχρηστο, ωστόσο η συνολική διαχείριση των ψηφιακών ταυτοτήτων και των περιεχομένων τους πραγματοποιείται από ορισμένους κεντρικούς παρόχους (οι οποίοι ενδέχεται να γνωρίζουν τις επιμέρους δραστηριότητες των χρηστών).
Εικόνα 1:Στο κεντρικοποιημένο μοντέλο, οι χρήστες διαθέτουν ξεχωριστούς λογαριασμούς (και κωδικούς πρόσβασης) για κάθε υπηρεσία που χρησιμοποιούν. Αντίθετα, στο ομοσπονδιακό μοντέλο, υπάρχουν κεντρικοί πάροχοι που λειτουργούν ως ενιαίες «πύλες πρόσβασης» στις υπηρεσίες. Τέλος, στο αποκεντρωμένο μοντέλο, οι χρήστες χρησιμοποιούν τα ψηφιακά τους πορτοφόλια και ιδανικά επιλέγουν τις επιμέρους πληροφορίες που πρόκειται να μοιραστούν με τους παρόχους των υπηρεσιών (Δημιουργός: Γιάννης Κωνσταντινίδης)
Επομένως, τόσο στο κεντρικοποιημένο οσο και στο ομοσπονδιακό μοντέλο, ένας σημαντικός προβληματισμός είναι η συγκέντρωση ενός μεγάλου όγκου δεδομένων σε κεντρικά σημεία τα οποία θεωρούνται ελκυστικά για τους κακόβουλους επιτιθέμενους (βλ. μαζικές παραβιάσεις δεδομένων - data breaches). Ως «αντίδοτο», προτάθηκε το αποκεντρωμένο (decentralised) μοντέλο, το οποίο συχνά συνδέεται και με την έννοια της «αυτοκυρίαρχης ταυτότητας» (self-sovereign identity - SSI). Σ’ αυτό το μοντέλο, ο ίδιος ο χρήστης ελέγχει όλα τα στοιχεία της ταυτότητας που πρόκειται να χρησιμοποιηθούν από τις υπηρεσίες. Αντί να βασίζεται σε κεντρικούς παρόχους, κάθε χρήστης κρατάει μια σειρά από «διαπιστευτήρια» (credentials), τα οποία έχουν εκδοθεί από αξιόπιστους φορείς, και τα διατηρεί σε μια εφαρμογή που ονομάζεται ψηφιακό πορτοφόλι (digital wallet) ή πορτοφόλι ψηφιακής ταυτότητας (digital identity wallet). Όταν χρειάζεται να αποδείξει κάτι (π.χ. την ηλικία του), παρουσιάζει το ψηφιακό διαπιστευτήριο που είναι υπογεγραμμένο από κάποιον αξιόπιστο φορέα (π.χ. το ληξιαρχείο) και δεν αποκαλύπτει το σύνολο των προσωπικών του δεδομένων.
Εικόνα 2: Στο αποκεντρωμένο μοντέλο, ο εκδότης (issuer) εκδίδει και παραδίδει ένα διαπιστευτήριο στο χρήστη (holder), ο οποίος το αποθηκεύει στο ψηφιακό του πορτοφόλι. Στη συνέχεια, ο χρήστης παρουσιάζει το διαπιστευτήριο σε έναν ελεγκτή (verifier), δηλ. σε κάποιον φορέα που ζητά την επιβεβαίωση της ταυτότητας ή/και της ιδιότητας του χρήστη. Η εγκυρότητα του διαπιστευτηρίου επαληθεύεται με βάση τις πληροφορίες που βρίσκονται σε ένα ειδικό μητρώο. (Δημιουργός: Γιάννης Κωνσταντινίδης)
Τι συμβαίνει στην ΕΕ με τις ψηφιακές ταυτότητες;
Με την αναθεώρηση του Κανονισμού eIDAS (2024/1183), η Ευρωπαϊκή Επιτροπή έχει θεσπίσει ότι κάθε κράτος-μέλος της ΕΕ πρέπει να προσφέρει στους πολίτες ένα πορτοφόλι ψηφιακής ταυτότητας. Αυτό θα είναι μια εφαρμογή για κινητές συσκευές στην οποία κάθε χρήστης θα μπορεί να αποθηκεύει έγγραφα σε ψηφιακή μορφή (π.χ. αστυνομικές ταυτότητες, διπλώματα οδήγησης, τίτλους σπουδών, έγγραφα κοινωνικής ασφάλισης και λοιπά ταξιδιωτικά έγγραφα). Η αλληλεπίδραση του χρήστη με τις εκάστοτε υπηρεσίες θα γίνεται μέσω του πορτοφολιού, δηλαδή θα επιλέγει ο χρήστης τα διαπιστευτήρια που επιθυμεί να μοιραστεί. Όπως προαναφέρθηκε, δεν αποστέλλονται ολόκληρα τα έγγραφα από τον εκάστοτε χρήστη, αλλά μια επιλεγμένη παρουσίαση (presentation) ορισμένων δεδομένων σε συνδυασμό με τις κατάλληλες ψηφιακές αποδείξεις που αποδεικνύουν κρυπτογραφικά την εγκυρότητα των εγγράφων.
Βέβαια, το αρχικό όραμα της «αυτοκυρίαρχης ταυτότητας» φαίνεται να περιορίζεται αισθητά στον τρέχοντα σχεδιασμό του ευρωπαϊκού πορτοφολιού. Ειδικότερα, τα προσχέδια της αρχιτεκτονικής (Architecture and Reference Framework - ARF) προβλέπουν τη χρήση μιας παραδοσιακής υποδομής δημοσίου κλειδιού (Public Key Infrastructure - PKI). Με απλά λόγια, αντί να αξιοποιηθεί ένα πλήρως αποκεντρωμένο σύστημα, η Ευρωπαϊκή Επιτροπή επιλέγει ουσιαστικά να εκμεταλλευτεί τις υπάρχουσες εθνικές υποδομές που συγκεντρώνουν τα στοιχεία των ψηφιακών ταυτοτήτων. Άρα πρόκειται περισσότερο για ένα διασυνοριακό ομοσπονδιακό μοντέλο στο οποίο οι χρήστες είναι υπεύθυνοι για τη διαχείριση και τον διαμοιρασμό των διαπιστευτηρίων τους και όχι για ένα πλήρως αποκεντρωμένο μοντέλο.
Ενισχύεται ή υπονομεύεται η προστασία της ιδιωτικότητας και των προσωπικών δεδομένων;
Βάσει των τρεχουσών εξελίξεων, προκύπτουν αρκετοί κίνδυνοι που σχετίζονται με την προστασία των δεδομένων και την ιδιωτικότητα. Αρχικά, το πορτοφόλι μπορεί να δημιουργήσει μοναδικά αναγνωριστικά για κάθε χρήστη (αν και θεωρητικά αυτό είναι απαραίτητο για την ταυτοποίηση του εκάστοτε χρήστη κατά την πρόσβασή του σε διασυνοριακές υπηρεσίες στην ΕΕ) και αρκετοί ειδικοί εκφράζουν το φόβο ότι αυτά τα αναγνωριστικά θα επιτρέπουν τη διαρκή παρακολούθηση και το συσχετισμό όλων των δραστηριοτήτων των χρηστών.
Ειδικότερα, σύμφωνα με την τοποθέτηση μιας ομάδας διακεκριμένων ακαδημαϊκών (ειδικών σε θέματα κρυπτογραφίας), η προτεινόμενη αρχιτεκτονική δεν περιλαμβάνει επαρκή τεχνικά μέτρα για τον περιορισμό της «παρατηρησιμότητας» (observability) και την αποτροπή της «συσχέτισης» των δραστηριοτήτων των χρηστών (linkability). Αυτό σημαίνει ότι ακόμα και αν οι δραστηριότητες των χρηστών πραγματοποιούνται μέσα από τη χρήση ψευδωνύμων, δεν υπάρχει κάποια ειδική μέριμνα που να εμποδίζει τους παρόχους υπηρεσιών από το να συλλέγουν τα μοτίβα χρήσης και να τα συσχετίζουν μεταξύ τους. Άρα, στην πράξη, αυτό το κενό επιτρέπει την πλήρη ιχνηλάτηση των δραστηριοτήτων των χρηστών. Η τελευταία έκδοση της αρχιτεκτονικής (ARF 2.3.0) αναγνωρίζει αυτούς τους κινδύνους, ωστόσο, η ενσωμάτωση των κατάλληλων μηχανισμών παραμένει σε επίπεδο συζήτησης και δεν έχει ακόμα υλοποιηθεί (κυρίως λόγω της πολυπλοκότητας και ορισμένων τεχνικών περιορισμών). Σε παρόμοια κατεύθυνση φαίνεται να κινείται και το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI) το οποίο αναγνωρίζει τη σημασία των τεχνικών μέτρων, όπως π.χ. οι αποδείξεις μηδενικής γνώσης (zero-knowledge proofs - ZKPs), αλλά επιβεβαιώνει ότι (προς το παρόν) η πλήρης εξάλειψη της ιχνηλάτησης δεν είναι εφικτή λόγω της τεχνικής πολυπλοκότητας και της έλλειψης διαλειτουργικότητας.
Όσον αφορά τη συνολική «ευελιξία» και λογοδοσία του οικοσυστήματος, υπάρχουν επίσης αρκετά αρνητικά σχόλια. Για παράδειγμα, εάν μία υπηρεσία αποφασίσει να ζητήσει περισσότερα στοιχεία απ’ όσα είναι απαραίτητα, δεν προβλέπεται κάποιος μηχανισμός αποτροπής ή έστω ελέγχου. Παράλληλα, θεωρείται ότι ένα τεράστιο μερίδιο ευθύνης θα μετατοπιστεί στους χρήστες, επειδή αυτοί θα καλούνται διαρκώς να εγκρίνουν τα διαπιστευτήρια που θα μοιράζονται με τους παρόχους των υπηρεσιών. Μάλιστα, εάν κάτι πάει στραβά (π.χ. σε περίπτωση κλοπής της συσκευής του χρήστη ή ηλεκτρονικής απάτης), δεν υπάρχουν επαρκή μέτρα προστασίας και άρα ο χρήστης επωμίζεται ένα μεγάλο μερίδιο των ευθυνών. Ενώ μάλιστα, δεν προβλέπεται (ακόμα) κάποιου είδους διαδικασία ανάκτησης ή επαναφοράς.
Τελος, ένας επιπλέον προβληματισμός αφορά την επέκταση της λειτουργικότητας του πορτοφολιού, καθότι πρόκειται να συγκεντρώσει σταδιακά κάθε είδους ηλ. έγγραφο και πιστοποιητικό (π.χ. ακόμα και τα εισιτήρια μετακινήσεων και τα στοιχεία ηλεκτρονικών πληρωμών). Έτσι, αναδύεται ο κίνδυνος ενός εκτεταμένου και διασυνδεδεμένοι ψηφιακού «φακελώματος», όπου ένας κακόβουλος αναλυτής ή επιτιθέμενος θα μπορούσε να ανακαλύψει υπερβολικά πολλές πληροφορίες για κάποιο πρόσωπο μέσα από ένα ενιαίο μέσο.
Προς μια επιφυλακτική αποδοχή ή αμφισβήτηση του πλαισίου;
Παρόλο που η νέα ευρωπαϊκή ψηφιακή ταυτότητα αποτελεί σημαντικό βήμα για την εξέλιξη των σύγχρονων ψηφιακών υπηρεσιών στο Διαδίκτυο, συνοδεύεται από αρκετές προκλήσεις. Εάν οι πολίτες πρόκειται να εμπιστευτούν μία τέτοιου είδους τεχνολογική λύση, τότε πρέπει να το πράξουν με πλήρη επίγνωση των πλεονεκτημάτων καθώς και των πιθανών κινδύνων που ελλοχεύουν. Ταυτόχρονα, οι ειδικοί οφείλουν να αναπτύξουν περαιτέρω και να τεκμηριώσουν τους μηχανισμούς που συνεισφέρουν στην ασφάλεια και στην ιδιωτικότητα, διαφορετικά ενδέχεται να περάσουμε από το «πορτοφόλι που προστατεύει τα δεδομένα του χρήστη» στο «πορτοφόλι που αποκαλύπτει αυθαίρετα τα δεδομένα του χρήστη». Τέλος, η συνεισφορά των εμπειρογνωμόνων και των οργανώσεων της κοινωνίας των πολιτών είναι εξαιρετικά σημαντική, καθότι με αυτόν τον τρόπο μπορούν να εντοπιστούν και να διορθωθούν τα κενά και οι πιθανές παραλείψεις πριν από την τελική υλοποίηση.
*Ο Γιάννης Κωνσταντινίδης (CISSP, CIPM, CIPP/E, ISO/IEC 27001 & 27701 Lead Implementer) είναι σύμβουλος κυβερνοασφάλειας και μέλος της Homo Digitalis από το 2019.
Πίσω από τα αρκτικόλεξα: Εξηγώντας GDPR & DSA στο ευρύ κοινό
Γράφει η Νίκη Γεωργακοπούλου
Εισαγωγή
DSA, GDPR/ΓΚΠΔ … πολλά αρκτικόλεξα μαζεύτηκαν…γιατί να διαβάσω αυτό το άρθρο;
Μήπως χρησιμοποιείς ή έστω έχεις ακούσει κάποιες από τις κάτωθι εταιρείες/υπηρεσίες;
Alibaba Ali Express, Amazon Store, Apple AppStore, Booking.com, Google Search, Google Play, Google Maps, Google Shopping, Youtube, Instagram, Facebook, LinkedIn, Pinterest, Snapchat, TikTok, X (πρώην Twitter), XVideos, Wikipedia, Zalando, Bing!
Εάν ναι, τότε αφιέρωσε 3 λεπτά γιατί ίσως σε ενδιαφέρει!
Ορισμοί
DSA (Digital Service Act ), η Πράξη για τις Ψηφιακές Υπηρεσίες. Με απλά λόγια πρόκειται για έναν ευρωπαϊκό Κανονισμό, δηλαδή μια δέσμη κανόνων που εφαρμόζονται σε επίπεδο ΕΕ.
Ο νόμος αυτός αφορά τις ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες για τους καταναλωτές και τα αγαθά, τις υπηρεσίες και το περιεχόμενο.
Πιο συγκεκριμένα, ψηφιακές υπηρεσίες που λειτουργούν ως μεσάζοντες είναι ενδεικτικά τα μέσα κοινωνικής δικτύωσης, οι πλατφόρμες ανταλλαγής περιεχομένου, τα καταστήματα εφαρμογών, οι μηχανές αναζήτησης και οι επιγραμμικές πλατφόρμες ταξιδιών και διαμονής.
Απώτερος Στόχος:
Η προστασία θεμελιωδών δικαιωμάτων τόσο των καταναλωτών όσο και των χρηστών αυτών των υπηρεσιών καθώς και η ανάπτυξη του ανταγωνισμού, δημιουργώντας ένα νέο πρότυπο λογοδοσίας στο επιγραμμικό σύμπαν αναφορικά με το παράνομο περιεχόμενο, την παραπληροφόρηση καθώς και πληθώρα άλλων κοινωνικών κινδύνων.
GDPR (General Data Protection Regulation) ή ΓΚΠΔ (Γενικός Κανονισμός Προστασίας για την Προστασία Δεδομένων) είναι ένας Κανονισμός της ΕΕ που αποσκοπεί στην προστασία των προσωπικών δεδομένων των φυσικών προσώπων.
Ο ΓΚΠΔ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς και δημόσιους φορείς εντός της ΕΕ, καθώς και σε οργανισμούς εκτός ΕΕ που προσφέρουν αγαθά ή υπηρεσίες σε άτομα εντός της ΕΕ.
Απώτερος στόχος:
Να δώσει στους πολίτες μεγαλύτερο έλεγχο επί των προσωπικών τους δεδομένων και να ενοποιήσει το ρυθμιστικό πλαίσιο για τις επιχειρήσεις, διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων εντός της ΕΕ
Κοινό σημείο και των δύο νομοθετημάτων είναι ότι αποσκοπούν στην προστασία του προσώπου που βρίσκεται εγκατεστημένο στην ΕΕ, ασχέτως της έδρας της εκάστοτε υπηρεσίας, δημιουργώντας -από διαφορετική σκοπιά- έναν πιο διαφανή και ασφαλή ψηφιακό κόσμο!
ΤΙ σχέση έχει με τον ΓΚΠΔ
Ο DSA και ο ΓΚΠΔ αλληλοσυμπληρώνονται καθώς προσεγγίζουν το ίδιο ζήτημα από διαφορετική σκοπιά.
Ο DSA αποσκοπεί στη συμπλήρωση των κανόνων του ΓΚΠΔ προκειμένου να επιτευχθεί υψηλότερο επίπεδο προστασίας των δεδομένων. Ένα χαρακτηριστικό παράδειγμα ταυτόχρονης εφαρμογής των νομοθετημάτων αποτελεί η επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς. Οι πάροχοι υπηρεσιών πλατφόρμας εμπίπτουν ταυτόχρονα και στο πεδίο εφαρμογής του DSA και του ΓΚΠΔ.
Ειδικότερα, εκτός από τις προϋποθέσεις του ΓΚΠΔ για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο DSA απαγορεύει στους παρόχους επιγραμμικών πλατφορμών να στοχεύουν διαφημίσεις που προβαίνουν σε κατάρτιση προφίλ χρηστών βασιζόμενο σε ευαίσθητα προσωπικά δεδομένα όπως βιομετρικά δεδομένα, σεξουαλικός προσανατολισμός, πολιτικές και θρησκευτικές πεποιθήσεις.
Επιπλέον, αξίζει να σημειωθεί απαγορεύεται κάθε χρήση της κατάρτισης προφίλ για την παρουσίαση στοχευμένων διαφημίσεων, όταν οι πάροχοι γνωρίζουν με εύλογη βεβαιότητα ότι ο χρήστης είναι ανήλικος.
DSA: η Ευρωπαϊκή Επιτροπή ζητά διευκρινίσεις από μεγάλες εταιρείες
Η Ευρωπαϊκή Επιτροπή με όχημα τον DSA ζητά πληροφορίες από μεγάλες εταιρείες αναφορικά με μέτρα που έχουν λάβει για την προστασία των χρηστών, την αποφυγή παραπλανητικών πρακτικών, την προστασία των ανηλίκων και τη διαφάνεια των συστημάτων συστάσεων. H Επιτροπή είχε θέσει προθεσμία απάντησης, η οποία -για ορισμένες- έχει παρέλθει, γεγονός που μπορεί να οδηγήσει σε υψηλά πρόστιμα ή/και περιορισμό των υπηρεσιών αυτών.
Ειδικότερα, η Επιτροπή έθεσε ορισμένα ερωτήματα σχετικά με τα ανωτέρω στις εταιρείες SHEIN και Τemu. Οι εταιρείες αυτές παρότι βρίσκονται στην Κίνα παρέχουν υπηρεσίες και προϊόντα σε Πολίτες εγκατεστημένους στην ΕΕ και ως εκ τούτου βρίσκει εφαρμογής ο DSA.
Το αίτημα παροχής πληροφοριών απαιτούσε διευκρινίσεις αναφορικά με το εάν έχουν ληφθεί μέτρα για τον μείωση κινδύνου που σχετίζεται με τους καταναλωτές, την δημόσια υγεία και ευημερία των χρηστών. Επιπλέον ετέθησαν και ζητήματα που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα και τα μέτρα που έχουν ληφθεί.
Επίσης, η Επιτροπή έχει ξεκινήσει έλεγχο κατά του TikTok αναφορικά με ζητήματα για την προστασία των ανηλίκων, την διαφάνεια της διαφήμισης, την πρόσβαση των ερευνητών σε δεδομένα, καθώς και την διαχείριση κινδύνου εθιστικού σχεδιασμού και επιβλαβούς περιεχομένου. Οι εργασίες της Επιτροπής επικεντρώνονται ιδίως στο θέμα των αρνητικών επιπτώσεων που προκαλούνται από τον σχεδιασμό του αλγορίθμου, που παράγει και τονώνει τον εθισμό. Στόχος αυτής της εργασίας είναι η αντιμετώπιση πιθανών κινδύνων για τη σωματική και ψυχική ευεξία του προσώπου και ιδίως του ανηλίκου καθώς και η διασφάλιση των δικαιωμάτων του παιδιού. Σε αυτό το σημείο, αξίζει να σημειωθεί, ότι εγείρονται σοβαρές αμφιβολίες για τα εργαλεία επαλήθευσης της ηλικίας που χρησιμοποιεί το TikTok προκειμένου να αποτρέψει την πρόσβαση ανηλίκων σε ακατάλληλο περιεχόμενο. Επιπρόσθετα, άλλος ένας έλεγχος που διενεργείται στο TikTok σχετίζεται με την προστασία της ιδιωτικότητας και των ρυθμίσεων απορρήτου, δίνοντας έμφαση στις προεπιλεγμένες (by default) ρυθμίσεις που γίνονται για τους ανήλικους χρήστες.
Μια ακόμη ενδιαφέρουσα έρευνα γίνεται στη Meta και το Instagram. Βασικοί πυλώνες της έρευνας αυτής είναι α) οι παραπλανητικές διαφημίσεις και η παραπληροφόρηση, β) η προβολή πολιτικού περιεχομένου, γ) ο μηχανισμός επισήμανσης παράνομου περιεχομένου καθώς και δ) η μη διαθεσιμότητα αποτελεσματικού εργαλείου πολιτικού διαλόγου και παρακολούθησης εκλογών τρίτων σε πραγματικό χρόνο. Η διακοπή του CrowdTangle, του εργαλείου για παρακολούθηση των εκλογών σε πραγματικό χρόνο, θα μπορούσε να επιφέρει ζημία στον πολιτικό διάλογο και στις εκλογικές διαδικασίες.
Ανάλογες εργασίες και έλεγχος συμμόρφωσης με τον DSA έχει ξεκινήσει η Επιτροπή για τις: Amazon, Google, X και Microsoft.
Μέχρι στιγμής, δεν υπάρχουν πληροφορίες που να επιβεβαιώνουν ότι όλες οι εταιρείες έχουν απαντήσει στα αιτήματα-ερωτήματα της Ευρωπαϊκής Επιτροπής που άπτονται του DSA.
Επίλογος
Πριν το κλείσιμο του άρθρου αξίζει να συνοψίσουμε τους στόχους που θέτει ο DSA, ενδεικτικά: η ισχυρότερη προστασία των ατόμων που αποτελούν στόχο διαδικτυακής παρενόχλησης και εκφοβισμού, η δημιουργία εύχρηστων-δωρεάν μηχανισμών υποβολής καταγγελιών για την περίπτωση που μια διαδικτυακή πλατφόρμα μειώνει το περιεχόμενο, ύπαρξη διαφάνειας σχετικά με τη διαφήμιση (σκοπούς, απαγόρευση στοχευμένης διαφήμισης που βασίζεται στη συλλογή ευαίσθητων δεδομένων ή δεδομένων ανηλίκων).
Η πλήρης εφαρμογή του ξεκίνησε τον Φεβρουάριο 2024 και ενδεχομένως είναι πολύ νωρίς για να βγουν συμπεράσματα.
Στην Ελλάδα αρμόδιοι για ορισμένα ζητήματα που ανάγονται στον DSA είναι το Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ ως Συντονιστής Ψηφιακών Υπηρεσιών έχει οριστεί η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).
Τέλος, ας ευχηθούμε η δήλωση της Χένα Βίρκουνεν (Φιλανδή Πολιτικός) να βγει αληθινή «Δεσμευόμαστε ότι κάθε πλατφόρμα που λειτουργεί στην Ευρωπαϊκή Ένωση θα σέβεται τη νομοθεσία μας, που ως στόχο έχει να καταστήσει το διαδικτυακό περιβάλλον δίκαιο, ασφαλές και δημοκρατικό για όλους τους Ευρωπαίους πολίτες.»
Από την Ευαισθητοποίηση στη Διαχείριση του Ανθρώπινου Ρίσκου: Ώρα για μια Νέα Προσέγγιση στην Κυβερνοασφάλεια
Γράφει o Τάσος Αραμπατζής
Παρά τις τεχνολογικές εξελίξεις και τις επενδύσεις στην ασφάλεια των πληροφοριακών συστημάτων, ο ανθρώπινος παράγοντας εξακολουθεί να αποτελεί τον πιο ευάλωτο κρίκο στην αλυσίδα της κυβερνοασφάλειας.
Σύμφωνα με την αναφορά Verizon Data Breach Investigations Report (DBIR) 2025, η ανθρώπινη συμπεριφορά σχετίζεται άμεσα με το 60% των περιστατικών παραβίασης δεδομένων. Από ακούσια λάθη μέχρι κακή εκτίμηση κινδύνων και παραπλάνηση μέσω κοινωνικής μηχανικής, ο άνθρωπος παραμένει το πιο σύνθετο και απρόβλεπτο «σύστημα» εντός κάθε οργανισμού.
Phishing και κλεμμένοι κωδικοί: Οι πιο ακριβές επιθέσεις
Δεν είναι τυχαίο ότι οι επιθέσεις τύπου phishing και η χρήση κλεμμένων διαπιστευτηρίων συγκαταλέγονται ανάμεσα στις πιο δαπανηρές για τις επιχειρήσεις.
Σύμφωνα με την αναφορά της IBM, Cost of a Data Breach 2024, το μέσο παγκόσμιο κόστος μίας επίθεσης phishing ανέρχεται σε 4.88 εκατομμύρια δολάρια, ενώ μία επίθεση κοινωνικής μηχανικής κοστίζει στις επιχειρήσεις 4.77 εκατομμύρια δολάρια. Τέλος, το κόστος μίας επίθεσης που ξεκινά από κλεμμένα διαπιστευτήρια ανέρχεται σε 4.81 εκατομμύρια δολάρια.
Ο κυριότερος λόγος για την υψηλή οικονομική επίδραση αυτών των επιθέσεων είναι ότι είναι πολύ δύσκολο να ανιχνευθούν – είναι ύπουλες επιθέσεις, όπου οι επιτιθέμενοι εκμεταλλεύονται την ανωνυμία που τους παρέχουν οι κλεμμένοι κωδικοί και κινούνται αθόρυβα μέσα στα δίκτυα των επιχειρήσεων. Σε αντίθεση, π.χ., οι επιθέσεις ransomware είναι άμεσα ορατές διότι οι επιτιθέμενοι τις διαφημίζουν για να ζητήσουν λύτρα.
Το κόστος τους δεν περιορίζεται μόνο σε οικονομικές ζημίες, αλλά επεκτείνεται και σε νομικές συνέπειες, απώλεια εμπιστοσύνης, ζημιές στη φήμη και μείωση της παραγωγικότητας. Επιπλέον, οι επιθέσεις αυτές είναι εξαιρετικά εξελιγμένες, αξιοποιούν τεχνικές εξαπάτησης που βασίζονται στην ψυχολογία και «ξεγελούν» ακόμα και τους πιο προσεκτικούς χρήστες. Η χρήση της Παραγωγικής ΤΝ (GenAI) κάνει την κατάσταση ακόμα πιο πολύπλοκη για τις επιχειρήσεις και τους ανθρώπους.
Εκπαίδευση ευαισθητοποίησης: απαραίτητη, αλλά όχι επαρκής
Η εκπαίδευση ευαισθητοποίησης στην κυβερνοασφάλεια αποτελεί βασικό εργαλείο για την αντιμετώπιση των κινδύνων που προέρχονται από τον ανθρώπινο παράγοντα. Μελέτες δείχνουν ότι, όταν εφαρμόζεται σωστά, μπορεί να μειώσει σημαντικά την ευπάθεια των εργαζομένων σε επιθέσεις τύπου phishing. Συγκεκριμένα, πρόσφατη έρευνα αναφέρει ότι το τακτικό πρόγραμμα εκπαίδευσης μπορεί να μειώσει τον κίνδυνο από 60% σε 10% εντός του πρώτου έτους εφαρμογής.
Ωστόσο, παρά την αναγνώριση της σημασίας της, η αποτελεσματικότητα της εκπαίδευσης ευαισθητοποίησης συχνά περιορίζεται λόγω διαφόρων παραγόντων.
- Προσέγγιση συμμόρφωσης αντί αλλαγής συμπεριφοράς: Πολλοί οργανισμοί αντιμετωπίζουν την εκπαίδευση ως μια υποχρέωση συμμόρφωσης, εστιάζοντας στην ολοκλήρωση των μαθημάτων παρά στην πραγματική αλλαγή συμπεριφοράς των εργαζομένων. Αυτό οδηγεί σε προγράμματα που δεν καταφέρνουν να επηρεάσουν ουσιαστικά τις καθημερινές πρακτικές των χρηστών.
- Έλλειψη εξατομίκευσης: Η γενική προσέγγιση στην εκπαίδευση δεν λαμβάνει υπόψη τις διαφορετικές ανάγκες και ρόλους των εργαζομένων, με αποτέλεσμα να μην αντιμετωπίζονται οι συγκεκριμένοι κίνδυνοι που σχετίζονται με κάθε θέση εργασίας.
- Ανεπαρκής ενίσχυση και επανάληψη: Η εκπαίδευση συχνά παρέχεται ως εφάπαξ δραστηριότητα, χωρίς συνεχή ενίσχυση και επανάληψη, γεγονός που μειώνει την αποτελεσματικότητά της με την πάροδο του χρόνου.
- Έλλειψη μέτρησης αποτελεσματικότητας: Πολλές επιχειρήσεις δεν διαθέτουν μηχανισμούς για την αξιολόγηση της αποτελεσματικότητας των προγραμμάτων εκπαίδευσης, καθιστώντας δύσκολη την αναγνώριση και διόρθωση των αδυναμιών.
Από την ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου
Η παραδοσιακή προσέγγιση της ευαισθητοποίησης στην κυβερνοασφάλεια, αν και απαραίτητη, αποδεικνύεται ανεπαρκής για την αντιμετώπιση των σύγχρονων απειλών. Αυτό έχει οδηγήσει σε μια μετατόπιση προς τη διαχείριση του ανθρώπινου ρίσκου (Human Risk Management - HRM), μια πιο στοχευμένη και μετρήσιμη προσέγγιση που εστιάζει στην κατανόηση και την αλλαγή της ανθρώπινης συμπεριφοράς.
Σύμφωνα με την Forrester, το HRM περιλαμβάνει τη μέτρηση και την ποσοτικοποίηση των ανθρώπινων συμπεριφορών ασφαλείας, την υλοποίηση πολιτικών και εκπαιδευτικών παρεμβάσεων βάσει του ανθρώπινου ρίσκου, και την ενδυνάμωση του εργατικού δυναμικού για την προστασία του εαυτού τους και της οργάνωσης από κυβερνοεπιθέσεις.
Το HRM δημιουργεί έναν συνεχή κύκλο ανατροφοδότησης μεταξύ των λειτουργιών ασφαλείας και της εκπαίδευσης ευαισθητοποίησης. Καθώς οι ομάδες ασφαλείας εντοπίζουν νέες απειλές ή ευπάθειες, αυτές οι πληροφορίες μπορούν να ενσωματωθούν γρήγορα στα εκπαιδευτικά υλικά και να χρησιμοποιηθούν για τη δημιουργία πιο σχετικών εκπαιδευτικών εκστρατειών.
Το HRM προσφέρει επίσης τη δυνατότητα εξατομικευμένης εκπαίδευσης, προσαρμοσμένης στο προφίλ κινδύνου κάθε εργαζομένου. Για παράδειγμα, ένας υπάλληλος που έχει συχνή πρόσβαση σε ευαίσθητα δεδομένα μπορεί να λάβει εντατικότερη εκπαίδευση σχετικά με τα πρωτόκολλα διαχείρισης δεδομένων, ενώ κάποιος που ταξιδεύει συχνά για εργασία μπορεί να εκπαιδευτεί επιπλέον στις πρακτικές ασφαλούς απομακρυσμένης πρόσβασης.
Επιπλέον, το HRM επιτρέπει την ποσοτικοποίηση της αποτελεσματικότητας των προγραμμάτων ευαισθητοποίησης στην ασφάλεια. Οι οργανώσεις μπορούν να παρακολουθούν πώς οι αλλαγές στη συμπεριφορά των χρηστών συσχετίζονται με τη μείωση των περιστατικών ασφαλείας, παρέχοντας απτά αποδεικτικά στοιχεία για τον αντίκτυπο του προγράμματος και τις περιοχές που χρειάζονται βελτίωση.
Η μετάβαση από την απλή ευαισθητοποίηση στη διαχείριση του ανθρώπινου ρίσκου είναι μια αναγνώριση ότι η ανθρώπινη συμπεριφορά είναι ένας κρίσιμος παράγοντας στην κυβερνοασφάλεια. Με την υιοθέτηση πολιτικών διαχείρισης ανθρώπινου ρίσκου, οι εταιρείες μπορούν να δημιουργήσουν μια πιο ανθεκτική και ευαισθητοποιημένη κουλτούρα ασφαλείας, μειώνοντας ουσιαστικά τον κίνδυνο που προέρχεται από τον ανθρώπινο παράγοντα.
Ψηφιακή ενδυνάμωση όλων των κοινωνικών ομάδων
Η συζήτηση για την κυβερνοασφάλεια δεν μπορεί να περιοριστεί μόνο στο επιχειρηματικό περιβάλλον. Η ψηφιακή ζωή είναι πλέον αναπόσπαστο μέρος της καθημερινότητας όλων μας. Παιδιά, έφηβοι, ηλικιωμένοι —όλοι χρησιμοποιούν το διαδίκτυο, και όλοι είναι πιθανοί στόχοι κακόβουλων ενεργειών.
Για τα παιδιά, η ενδυνάμωση αφορά την ασφαλή πλοήγηση, την αναγνώριση του διαδικτυακού εκφοβισμού και την κατανόηση των προσωπικών δεδομένων. Για τους ηλικιωμένους, η προστασία σχετίζεται συχνά με απάτες, παραπληροφόρηση και χειραγώγηση. Η εκπαίδευση αυτών των ομάδων χρειάζεται διαφορετική γλώσσα, μέσα και μεθοδολογία, αλλά είναι εξίσου σημαντική με αυτή των εργαζομένων.
Η δημιουργία μιας κουλτούρας που σέβεται τα ψηφιακά δικαιώματα όλων των πολιτών είναι πλέον κοινωνική επιταγή. Δεν αρκεί να προστατευόμαστε ατομικά· χρειάζεται συλλογική υπευθυνότητα. Ο σεβασμός στα προσωπικά δεδομένα, η ασφαλής χρήση της τεχνολογίας και η απόρριψη κακόβουλων πρακτικών είναι στάσεις ζωής που πρέπει να ενθαρρυνθούν σε όλα τα επίπεδα της κοινωνίας.
Κλείνοντας: μια πρόσκληση για σκέψη και δράση
Η διαχείριση του ανθρώπινου ρίσκου δεν είναι ζήτημα τεχνολογίας – είναι ζήτημα πολιτισμού. Αφορά την καλλιέργεια μιας κουλτούρας ευθύνης, διαρκούς μάθησης και ψηφιακού σεβασμού. Είναι καιρός να σταματήσουμε να ρίχνουμε το βάρος μόνο στους χρήστες και να αναγνωρίσουμε ότι η προστασία ξεκινά από το πώς σχεδιάζουμε τα συστήματα, τα μηνύματα και τις εμπειρίες τους.
Το μέλλον της κυβερνοασφάλειας περνά μέσα από τον άνθρωπο. Ας τον ενδυναμώσουμε.