Ασφαλείς Διαδρομές στο Διαδίκτυο: Οδηγός για Γονείς και Ανήλικους

Γράφει η Σταυρίνα Χούσου*

Σύμφωνα με την UNICEF, το 1/3 των διαδικτυακών χρηστών είναι ανήλικοι, ενώ παιδιά 8-18 ετών περνούν περίπου το 1/3 της ημέρας τους online. Το διαδίκτυο είναι άρρηκτο και συχνά ευεργετικό στοιχείο της ζωής της «διασυνδεδεμένης γενιάς», αλλά κρύβει και κινδύνους. Η έλλειψη εκπαίδευσης και η έμφυτη αθωότητά τους, καθιστούν τα παιδιά ευάλωτους διαδικτυακούς στόχους.

Βασικά σημεία

Η συζήτηση για την κυβερνοασφάλεια πρέπει να ξεκινάει όταν το παιδί πρωτοέρχεται σε επαφή με το διαδίκτυο, με απλούς τρόπους όπως ρωτώντας το για τους σκοπούς των εφαρμογών και των αναζητήσεών του, αλλά και τους πιθανούς κινδύνους τους. Για τα μικρά παιδιά (3-8 ετών), η αυτόνομη χρήση του διαδικτύου δεν είναι ασφαλής. Οι γονείς και κηδεμόνες πρέπει να εξοικειωθούν με τους γονικούς ελέγχους στις ρυθμίσεις των συσκευών και εφαρμογών (ΜΚΔ, πλατφόρμες streaming), ώστε να περιορίζουν το περιεχόμενο, τον χρόνο οθόνης και τη πρόσβαση σε τρίτες ιστοσελίδες στα παιδιά. Αυτό βέβαια δεν υποκαθιστά τον ρόλο της συζήτησης και της ενεργούς ενασχόλησης.

Κίνδυνοι και τρόποι προστασίας

Σε όλη τη διάρκεια της ζωής τους τα παιδιά θα έρθουν σε επαφή με πληθώρα διαδικτυακών κινδύνων. Από νωρίς πρέπει να μάθουν να τους εντοπίζουν και να προφυλάσσονται κατάλληλα.

Θύτες και απατεώνες στο διαδίκτυο. Θύτες εκμεταλλεύονται την αθωότητα των παιδιών για να τα παρασύρουν σε επικίνδυνες καταστάσεις ή να αποσπάσουν προσωπικά δεδομένα. Κοινωνικά δίκτυα και πλατφόρμες παιχνιδιών προσφέρουν ανώνυμους χώρους που διευκολύνουν αυτές τις επαφές. Ακόμα κι αν τα παιδιά είναι ενημερωμένα, μπορεί να δελεαστούν από προσφορές δωρεάν πρόσβασης σε παιχνίδια ή άλλα προνόμια.

Το ‘grooming’ αναδεικνύεται ως η βασικότερη μέθοδος των θυτών και αφορά τη δημιουργία συναισθηματικής σχέσης με ένα παιδί στο διαδίκτυο, με σκοπό την κακοποίηση ή την σεξουαλική εκμετάλλευση. Σε αυτές τις περιπτώσεις, δεν μπορεί να υποκατασταθεί η παραδοσιακή, αλλά προσαρμοσμένη για την ψηφιακή εποχή, συζήτηση για τους κινδύνους από ξένους.

Κι αυτός ο κίνδυνος δεν πρέπει να υποτιμάτε. Σχεδόν το 90% των URLs με υλικό σεξουαλικής κακοποίησης παιδιών βρίσκονται στην ΕΕ, σύμφωνα με την Europol. Το 94% των αναφορών αφορούσε τις πλατφόρμες της Meta, όπου οι κρυπτογραφημένες συνομιλίες παρέχουν κάλυψη στους εγκληματίες. Επιπλέον, σύμφωνα με το Online Grooming Communication Project  (OGC) μόλις 18 λεπτά επικοινωνίας αρκούν για να κερδίσουν οι groomers την εμπιστοσύνη ενός παιδιού.

Phishing και κακόβουλο λογισμικό. Το phishing είναι μια από τις πιο διαδεδομένες μορφές διαδικτυακής απάτης. Οι επιτιθέμενοι αποσπούν ευαίσθητες πληροφορίες μέσω παραπλανητικών μηνυμάτων ή ιστοσελίδων. Τα παιδιά δυσκολεύονται να αναγνωρίσουν αυτές τις απάτες, καθώς συχνά είναι εξαιρετικά πειστικές και φαίνεται να προέρχονται από γνωστούς ή αξιόπιστες πηγές. Κακόβουλα λογισμικά, που περιέχουν ιούς ή αποσπούν δεδομένα, συχνά κρύβονται πίσω από συνδέσμους που διαμοιράζονται μέσω phishing ή άλλων επιθέσεων. Τα παιδιά είναι πιθανό να ανοίξουν τέτοιους συνδέσμους, αφού συχνά συνοδεύονται από δελεαστικές προσφορές ή εμφανίζονται ως παιχνίδια.

Είναι σημαντικό να εκπαιδεύσουμε τα παιδιά να αναγνωρίζουν τα σημάδια τέτοιων ενεργειών, αποφεύγοντας συνδέσμους από άγνωστους ή ύποπτους αποστολείς και αξιολογώντας ύποπτα μηνύματα, όπως αυτά χωρίς περιεχόμενο. Αυτούς ακριβώς τους κινδύνους θίγει και η Ευρωπαϊκή Καμπάνια Κυβερνοασφάλειας 2024 #ThinkB4UClick.

Υπερβολική ή άκριτη κοινοποίηση προσωπικών στοιχείων.  Η δημοσίευση προσωπικών δεδομένων στο διαδίκτυο απαιτεί προσοχή, καθώς στοιχεία όπως φωτογραφίες και διευθύνσεις μπορούν να οδηγήσουν στην ταυτοποίηση του παιδιού. Τα παιδιά πρέπει να κατανοούν τη σημασία των ιδιωτικών προφίλ και να έχουν τον έλεγχο των πληροφοριών τους. Επιπλέον, πρέπει να εκπαιδεύονται σχετικά με το «διαδικτυακό αποτύπωμα», καθώς οτιδήποτε δημοσιεύεται μπορεί να παραμείνει μόνιμα, καθιστώντας την προστασία της ιδιωτικότητας εξαιρετικά σημαντική. 

Κυβερνοεκφοβισμός Έρευνες δείχνουν ότι περίπου 60% των παιδιών έχουν γίνει μάρτυρες διαδικτυακού εκφοβισμού, χωρίς να έχουν αντιδράσει. Ο καλύτερος τρόπος αντιμετώπισης είναι ενθαρρύνετε το παιδί να επικοινωνεί για τις διαδικτυακές εμπειρίες που το προβληματίζουν, αλλά και να ακολουθεί τον χρυσό κανόνα: «Μην κάνεις ό,τι δε θέλεις να σου κάνουν». Η κυβερνοασφάλεια δεν έχει πάντα τεχνικές ρίζες. Η καλλιέργεια ενός ευγενούς και κριτικού ανθρώπου είναι η πρώτη γραμμή άμυνας.

Παραπληροφόρηση. Ενθαρρύνετε τα να σκέφτονται κριτικά για ό,τι βρίσκουν online και εκπαιδεύστε τα να αναγνωρίζουν αξιόπιστες πηγές. Είναι απαραίτητο να αξιολογούν την πηγή της πληροφορίας (ποιος είναι ο συγγραφέας και ποιος ο σκοπός του) και τα χαρακτηριστικά του ιστότοπου (π.χ. URL, domain). Επίσης, πρέπει να σκεφτούν αν οι πληροφορίες είναι λογικές και αν συνάδουν με όσα ήδη γνωρίζουν, ή αν χρειάζεται να βρουν άλλες πηγές για επιβεβαίωση. Για μεγαλύτερα παιδιά και ενήλικες, η σειρά εκπαιδευτικών βίντεο  Online Verification Skills είναι εξαιρετική πηγή, ενώ για μικρότερα παιδιά, αξιόλογο εργαλείο αποτελεί το εκπαιδευτικό παιχνίδι της Μαρίας Παππά, ‘Αλήθεια, Άποψη ή Ανακρίβεια’.

Ο ρόλος των «μεγάλων» στην κυβερνοασφάλεια των «μικρών»

Σεβασμός της ιδιωτικότητας. Μοιραστείτε φωτογραφίες των παιδιών μόνο με στενούς φίλους ή οικογένεια, σε κρυπτογραφημένα κανάλια. Απενεργοποιήστε τις υπηρεσίες τοποθεσίας και αναγνώρισης προσώπου, και αποφύγετε τη δημοσίευση φωτογραφιών που αποκαλύπτουν προσωπικές πληροφορίες. Αφαιρέστε τα μεταδεδομένα EXIF από τις φωτογραφίες που μοιράζεστε για να τις προστατεύσετε σε περίπτωση διαρροής.

Πολλές ευρωπαϊκές Αρχές Προστασίας Προσωπικών Δεδομένων συμβουλεύουν τους γονείς να αποφεύγουν τη δημοσίευση προσωπικού υλικού των παιδιών τους, καθώς τα μικρά παιδιά δεν μπορούν να δώσουν ενημερωμένη συγκατάθεση. Αυτή η πρακτική επίσης εκθέτει τα παιδιά σε σοβαρούς κινδύνους. Ακόμη και μια απλή φωτογραφία μπορεί να ταυτοποιήσει ένα παιδί, αυξάνοντας τον κίνδυνο κλοπής ταυτότητας ή ψηφιακής απαγωγής, όπου οι εικόνες των παιδιών χρησιμοποιούνται σε ψεύτικους λογαριασμούς. Σύμφωνα με προβλέψεις της Barclays, έως το 2030, η δημόσια κοινοποίηση εικόνων από γονείς θα μπορούσε να ευθύνεται για τα 2/3 όλων των περιπτώσεων απάτης ταυτότητας.

Ευθύνη των ενηλίκων η προστασία των ψηφιακών υποδομών του νοικοκυριού. Ενημερώστε τα λογισμικά των συσκευών σας συχνά – και ιδανικά αυτόματα. Χρησιμοποιήστε ασφαλές, ιδιωτικό Wi-Fi. Σε δημόσια δίκτυα, προτιμήστε VPN για μεγαλύτερη ασφάλεια και περιορίστε τις αναζητήσεις σας. Εγκαταστείτε λογισμικά ασφαλείας και anti-virus.

Τα παιδιά μεγαλώνουν. Έτσι, η επιθυμία τους για αυτονομία αυξάνεται. Είναι κρίσιμο να μεταβούμε σταδιακά από την εποπτεία στην εμπιστοσύνη, επιτρέποντάς τους να χρησιμοποιούν τα εργαλεία που τους έχετε παρέχει, πάντα με λογικά όρια, ανοιχτή επικοινωνία και υποστηρίζοντας τις αξίες που τους εμφυσουμε. Η ισορροπία μεταξύ αυτονομίας και εποπτείας είναι μια νέα συζήτηση, κι ενώ υπάρχουν χρήσιμες οδηγίες, δεν υπάρχουν απόλυτες λύσεις.

Αναφορά ακατάλληλων συμπεριφορών: Χρησιμοποιήστε τα φίλτρα αναφοράς στα ΜΚΔ για να επισημάνετε ύποπτες ή ανάρμοστες συμπεριφορές που αφορούν ανήλικους. Μην επαναπαύεστε και μην αγνοείται ανησυχητικά περιστατικά. Πολλά παιδιά μπορεί να μην απολαμβάνουν της προστασίας που τους αξίζει.

Επίλογος

Η εκπαίδευση των παιδιών για την κυβερνοασφάλεια προϋποθέτει την συνεχή ενημέρωση και εκπαίδευση των ενηλίκων. Ας μείνουμε ενεργοί, ενήμεροι και προσιτοί ιδιαίτερα στα παιδιά που βρίσκονται κάτω από τη φροντίδα μας. Είναι ευθύνη όλων μας.

Σύνδεσμοι για περαιτέρω ενημέρωση/Επιμόρφωση:

* H Σταυρίνα Χούσου είναι απόφοιτος της Σχολής Διεθνών και Ευρωπαϊκών Σπουδών του Πανεπιστημίου του Πειραιά και κάτοχος Μεταπτυχιακού Διπλώματος στη Δημόσια Πολιτική και τις Νέες Τεχνολογίες από το Πανεπιστήμιο Sciences Po Paris. Εργάζεται ως Regulatory Consultant στην εταιρεία naaia.ai, μία συμβουλευτική για θέματα που άπτονται της ΤΝ και της διαχείρισης δεδομένων.

 


Ψηφιακά Δικαιώματα στην Ελλάδα: Επισκόπηση από τη Δεύτερη Έκθεση για την Ψηφιακή Δεκαετία

Γράφει o Χάρης Δάφτσιος*

Η πρωτοβουλία της Ευρωπαϊκής Ένωσης, Ψηφιακή Δεκαετία, που ξεκίνησε το 2021, έχει ως στόχο την επίτευξη εκτεταμένου ψηφιακού μετασχηματισμού έως το 2030. Ένα βασικό στοιχείο αυτής της πρωτοβουλίας είναι η Ευρωπαϊκή Διακήρυξη για τα Ψηφιακά Δικαιώματα και Αρχές, η οποία θεσπίζει κατευθυντήριες γραμμές για την προστασία και την προώθηση των ψηφιακών δικαιωμάτων εντός της ΕΕ. Η Ελλάδα, όπως και τα άλλα κράτη μέλη, εργάζεται ενεργά προς την επίτευξη αυτών των στόχων, αλλά η πρόοδος είναι μικτή, όπως αποκαλύπτεται στη δεύτερη έκθεση “State of the Digital Decade” του 2024. Αυτό το άρθρο εξετάζει την τρέχουσα κατάσταση των ψηφιακών δικαιωμάτων στην Ελλάδα, αντλώντας στοιχεία από την έκθεση και άλλες συναφείς πηγές.

Αντίληψη του Κοινού και Ευαισθητοποίηση:

Αν και η Ελλάδα έχει κάνει βήματα για την ενσωμάτωση των αρχών της Ψηφιακής Δεκαετίας στη εθνική στρατηγική της, η αντίληψη του κοινού για αυτές τις προσπάθειες παραμένει χαμηλή. Σύμφωνα με την έρευνα Special Eurobarometer του 2024, μόνο το 33% των Ελλήνων πιστεύει ότι η ΕΕ προστατεύει αποτελεσματικά τα ψηφιακά τους δικαιώματα, ένα ποσοστό σημαντικά χαμηλότερο από τον μέσο όρο της ΕΕ που είναι 47%. Αυτή η δυσπιστία υπογραμμίζεται περαιτέρω από τις αυξημένες ανησυχίες για την ασφάλεια των παιδιών στο διαδίκτυο (62%) και τον έλεγχο των προσωπικών δεδομένων (51%). Επιπλέον, η Ελλάδα παρουσιάζει χαμηλότερη από τον μέσο όρο ευαισθητοποίηση σχετικά με την εφαρμογή των offline δικαιωμάτων στον ψηφιακό τομέα, με μόνο το 50% των ερωτηθέντων να αναγνωρίζει αυτήν την αρχή, σε σύγκριση με το μέσο όρο της ΕΕ που είναι 62%.

Κύριοι Τομείς Ανησυχίας:

  1. Ψηφιακές Δεξιότητες και Εκπαίδευση:

Παρά τις διάφορες κυβερνητικές πρωτοβουλίες για την ενίσχυση του ψηφιακού αλφαβητισμού, η Ελλάδα αντιμετωπίζει προκλήσεις στον εφοδιασμό των πολιτών της με τις απαραίτητες ψηφιακές δεξιότητες. Η έκθεση του 2024 αποκαλύπτει ότι μόνο το 52.4% του ελληνικού πληθυσμού διαθέτει βασικές ψηφιακές δεξιότητες, έναντι του μέσου όρου της ΕΕ που είναι 55.6%. Αυτό το χάσμα δεξιοτήτων είναι ιδιαίτερα εμφανές στον χαμηλό αριθμό ειδικών ICT, που ανέρχεται στο 2.4% της συνολικής απασχόλησης, σημαντικά χαμηλότερο από το μέσο όρο της ΕΕ που είναι 4.8%. Τα ευρήματα αυτά υπογραμμίζουν την ανάγκη για πιο αποτελεσματικά και στοχευμένα προγράμματα κατάρτισης για να γεφυρωθεί το ψηφιακό χάσμα και να διασφαλιστεί ότι όλοι οι πολίτες μπορούν να συμμετέχουν πλήρως στην ψηφιακή οικονομία.

  1. Ηλεκτρονική Ταυτοποίηση (e-ID):

Παρά την πρόοδο στον ψηφιακό μετασχηματισμό των δημόσιων υπηρεσιών, η Ελλάδα δεν έχει ακόμα θεσπίσει ένα σύστημα ηλεκτρονικής ταυτοποίησης που να συμμορφώνεται με τον Κανονισμό eIDAS. Αν και η χώρα αναπτύσσει ενεργά τον κόμβο eIDAS της και έχει πραγματοποιήσει επιτυχείς δοκιμές με άλλα κράτη μέλη, η απουσία ενός πλήρως λειτουργικού συστήματος e-ID παρεμποδίζει την απρόσκοπτη διασυνοριακή πρόσβαση στις ψηφιακές υπηρεσίες εντός της ΕΕ.

  1. e-Health:

Ενώ η Ελλάδα παρουσιάζει αξιέπαινη πρόοδο στον τομέα του e-health, με έναν εντυπωσιακό ετήσιο ρυθμό ανάπτυξης 21.6%, παραμένει πίσω από τον μέσο όρο της ΕΕ. Παρά το γεγονός ότι οι πολίτες μπορούν πλέον να έχουν πρόσβαση στους ηλεκτρονικούς ιατρικούς τους φακέλους μέσω της εφαρμογής myHealth, απαιτούνται περαιτέρω βελτιώσεις για την επέκταση των διαθέσιμων τύπων δεδομένων και την εξασφάλιση της συμμόρφωσης με τις οδηγίες προσβασιμότητας στο διαδίκτυο.

  1. Προστασία και Ενδυνάμωση Χρηστών:

Παραμένουν ανησυχίες σχετικά με την προστασία και την ενδυνάμωση των χρηστών στον ψηφιακό κόσμο. Παρόλο που η Ελλάδα έχει εφαρμόσει μέτρα για την ενίσχυση της ιδιωτικότητας και της ασφάλειας στο διαδίκτυο, όπως τα Μνημόνια Συνεργασίας μεταξύ των αρχών προστασίας δεδομένων και άλλων θεσμών, εξακολουθούν να υπάρχουν προκλήσεις στην εξασφάλιση μιας αξιόπιστης και ασφαλούς ψηφιακής εμπειρίας για όλους. Αυτό είναι ιδιαίτερα σημαντικό, δεδομένου ότι η Ελλάδα αναφέρει υψηλότερη από τον μέσο όρο έκθεση σε εχθρικό ή υποτιμητικό περιεχόμενο στο διαδίκτυο, που επηρεάζει το 25.7% των χρηστών του διαδικτύου, έναντι του μέσου όρου της ΕΕ που είναι 33.5%.

Θετικές Εξελίξεις και Προοπτικές:

Παρά τις προκλήσεις, η Ελλάδα έχει σημειώσει σημαντική πρόοδο σε ορισμένους τομείς. Οι προσπάθειες της χώρας να ψηφιοποιήσει τις δημόσιες υπηρεσίες έχουν αποφέρει θετικά αποτελέσματα, με σημαντική αύξηση στον αριθμό των υπηρεσιών που είναι διαθέσιμες μέσω της πύλης Gov.gr. Επιπλέον, η Ελλάδα έχει λάβει προληπτικά μέτρα για την προώθηση της ψηφιακής προσβασιμότητας, δημοσιεύοντας έναν Οδηγό Ψηφιακής Προσβασιμότητας για τους ιστότοπους και τις εφαρμογές δημόσιας διοίκησης. Η πρόσφατη ίδρυση της Εθνικής Αρχής Κυβερνοασφάλειας υπογραμμίζει περαιτέρω τη δέσμευση για την ενίσχυση της κυβερνοασφάλειας και την προστασία των κρίσιμων υποδομών.

Συμπέρασμα:

Η δεύτερη έκθεση για την Ψηφιακή Δεκαετία αποκαλύπτει μια μικτή εικόνα για την Ελλάδα. Ενώ η χώρα έχει σημειώσει αξιοσημείωτη πρόοδο στην ψηφιοποίηση των δημόσιων υπηρεσιών και την προώθηση της ψηφιακής προσβασιμότητας, εξακολουθούν να υφίστανται σημαντικές προκλήσεις σε τομείς όπως οι ψηφιακές δεξιότητες, η υιοθέτηση του e-ID και η προστασία των χρηστών στο διαδίκτυο. Η αντίληψη του κοινού επίσης υστερεί, υποδεικνύοντας την ανάγκη για μεγαλύτερη διαφάνεια και συμμετοχή των πολιτών στη διαμόρφωση του ψηφιακού μέλλοντος. Η αντιμετώπιση αυτών των προκλήσεων είναι κρίσιμη για την πλήρη πραγματοποίηση του οράματος της Ψηφιακής Δεκαετίας για μια ψηφιακά ενδυναμωμένη και περιεκτική κοινωνία. Με την προτεραιοποίηση των επενδύσεων στην ανάπτυξη ψηφιακών δεξιοτήτων, την επιτάχυνση της εφαρμογής του e-ID και την ενίσχυση των μέτρων διαδικτυακής ασφάλειας, η Ελλάδα μπορεί να ανοίξει το δρόμο για ένα πιο ευημερούν και ψηφιακά ανθεκτικό μέλλον.

Χρήσιμες Παραπομπές για σχετική ενημέρωση:

[1] https://digital-strategy.ec.europa.eu/en/library/digital-decade-2024-country-reports

[2] https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en#digital-rights-and-principles

[3] https://digital-strategy.ec.europa.eu/en/library/digital-decade-2024-special-eurobarometer-report

[4] https://europa.eu/eurobarometer/surveys/detail/3174

[5] https://digital-strategy.ec.europa.eu/en/factpages/state-digital-decade-2024-report

[6] https://digital-strategy.ec.europa.eu/en/policies/2024-state-digital-decade-package

[7] https://www.linkedin.com/pulse/driving-europes-digital-future-closer-look-eus-path-tsinganos-phd-prqtf/

[8] https://ec.europa.eu/newsroom/dae/redirection/document/106722

*Ο Χάρης Δάφτσιος, είναι Σύμβουλος Ψηφιακού Μετασχηματισμού.

 


Προστασία εταιρικών δεδομένων: αναγκαιότητα στην ψηφιακή εποχή

Γράφει o Ιωάννης Βασιλάκης*

Τα αγαθά των εταιρειών ως στόχος των επιτιθέμενων

Οι επιχειρήσεις διαχειρίζονται πολύτιμες πληροφορίες που πρέπει να προστατεύονται από επιθέσεις. Εταιρικά δεδομένα, επιχειρηματικά σχέδια με τεχνική μοναδικότητα, προσωπικά στοιχεία πελατών, συμβάσεις εμπιστευτικού χαρακτήρα, στρατηγικά πλάνα και κάθε άλλο «περιουσιακό στοιχείο» που συμβάλλει στην επιτυχία της επιχείρησης, αποτελεί στόχο των επιτιθέμενων.

Στο επίκεντρο των κυβερνοεπιθέσεων, είναι συχνά και οι υποδομές πληροφορικής των εταιρειών, μέσω των οποίων πραγματοποιείται η διαχείριση και η φύλαξη των δεδομένων και η λειτουργία των οργανισμών. Στην περίπτωση αυτή, αντικείμενο επίθεσης είναι τα δίκτυα και ο σχετικός εξοπλισμός, τα συστήματα διαχείρισης βάσεων δεδομένων, τα λειτουργικά συστήματα, οι εταιρικές ιστοσελίδες  κ.λπ.

Είδη απειλών και επιπτώσεις των επιθέσεων

Οι επιχειρήσεις και οι εργαζόμενοι βρίσκονται αντιμέτωποι με ποικίλες και εξελισσόμενες κυβερνοαπειλές που χρησιμοποιούν διάφορες μεθόδους, όχι απαραίτητα τεχνικές.

  • Το «social engineering» (κοινωνική μηχανική), είναι η ευρύτερη πρακτική της χειραγώγησης ανθρώπων για την αποκάλυψη εμπιστευτικών πληροφοριών.
  • Το «phishing» αποτελεί μία τεχνική «social engineering», όπου με χρήση ηλεκτρονικών μηνυμάτων που δείχνουν έμπιστα, οι επιτιθέμενοι προσπαθούν να αποσπάσουν ευαίσθητες πληροφορίες (κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών) ή να πείσουν τους χρήστες να επιτρέψουν την εγκατάσταση κακόβουλου λογισμικού (malware).
  • Το «malware» μπορεί να έχει διάφορες μορφές, ανάλογα με το είδος της επίθεσης και το στόχο του επιτιθέμενου. Η κλοπή δεδομένων ή η καταστροφή τους, η καταγραφή των δραστηριοτήτων τού χρήστη εν αγνοία του, η κρυπτογράφηση εταιρικών αρχείων και η αξίωση καταβολής λύτρων (ransomware), είναι μερικά από τα πιο διαδεδομένα είδη επιθέσεων.

Οι επιπτώσεις μιας επιτυχούς επίθεσης μπορεί να είναι καταστροφικές για τον οργανισμό και εξαρτώνται από παράγοντες όπως: η φύση και η έκταση της επίθεσης, το μέγεθος του οργανισμού και ο κλάδος που δραστηριοποιείται, η ικανότητα ανάκαμψης κ.λπ.

Οι βασικότερες επιπτώσεις μιας κυβερνοεπίθεσης περιλαμβάνουν:

  • Διατάραξη ή και διακοπή της λειτουργίας του οργανισμού.
  • Αμφισβήτηση της αξιοπιστίας με αντίκτυπο στις μείωση των πωλήσεων, την πτώση της μετοχής και τη διακοπή εταιρικών συνεργασιών
  • Επιβολή διοικητικών προστίμων από κρατικές αρχές
  • Αξιώσεις αποζημίωσης από θιγόμενους (παραβίαση προσωπικών δεδομένων, απώλεια κερδών κ.λπ.)
  • Κόστος ανάκαμψης μετά την επίθεση

Αντιμετώπιση Απειλών

Η αποτελεσματική αντιμετώπιση των κυβερνοαπειλών, προϋποθέτει τη συντονισμένη προσπάθεια από πλευράς οργανισμού αλλά και υπαλλήλων. Είναι απαραίτητο να εφαρμόζονται συνδυαστικά, οργανωτικά και τεχνικά μέτρα, στα οποία συνίσταται να περιλαμβάνονται τα ακόλουθα:

Εξειδικευμένο προσωπικό σε κομβικές θέσεις – Διαρκής εκπαίδευση

Η επιλογή του κατάλληλου προσωπικού σε κρίσιμους ρόλους κυβερνοασφάλειας, ανήκει στον πυρήνα της αποτελεσματικής στρατηγικής έναντι των κυβερνοαπειλών. Η συνεχής εκπαίδευση των εμπλεκομένων, ώστε να γνωρίζουν το ισχύον θεσμικό πλαίσιο, τις τρέχουσες τάσεις και απειλές, τις νέες δυνατότητες των εργαλείων προστασίας κ.λπ., αποτελεί αυτονόητη απαίτηση.

Βεβαίως, στις περιπτώσεις που υπάρχει αναγκαιότητα για βαθιά γνώση ειδικών θεμάτων, η συνεργασία με έμπιστους εξωτερικούς συμβούλους (λ.χ penetration testers, ειδικοί αναλυτές) αποτελεί επίσης επιλογή, ειδικά για τους μεγάλους οργανισμούς.

Εφαρμογή κατάλληλων τεχνικών μέτρων

Ως τεχνικά μέτρα, αναφέρονται ενδεικτικά τα εξής που καλύπτουν ένα ευρύ φάσμα τομέων:

  • Χρήση firewall, για προστασία του δικτύου από εξωτερικές απειλές.
  • Εγκατάσταση λογισμικού ανίχνευσης ιών και κακόβουλου λογισμικού.
  • Κρυπτογράφηση δεδομένων
  • Δημιουργία αντιγράφων ασφαλείας
  • Πρόσβαση στα συστήματα, μόνο από εξουσιοδοτημένα άτομα.
  • Τακτική ενημέρωση των λογισμικών και επιδιόρθωση ευπαθειών
  • Υποχρέωση χρήσης ισχυρών κωδικών πρόσβασης και λειτουργία διπλής επαλήθευσης (2 factor authentication)
  • Παρακολούθηση και αξιολόγηση των αρχείων καταγραφής
  • Εφαρμογή Virtual Private Network (VPN), για τους εργαζόμενους που απαιτείται να έχουν εξ αποστάσεως πρόσβαση στους εταιρικούς Η/Υ.

Ευαισθητοποίηση εργαζομένων – «Ανθρώπινο Firewall»

Λαμβάνοντας υπόψη ότι η συντριπτική πλειοψηφία των κυβερνοεπιθέσεων εκκινεί από ανθρώπινα σφάλματα (ακούσιες ενέργειες ή παραλείψεις), εύκολα γίνεται αντιληπτό ότι παρά τα προηγμένα τεχνικά μέτρα ασφάλειας, η ευαισθητοποίηση των εργαζομένων παραμένει η σημαντικότερη παράμετρος στην προστασία ενός οργανισμού.

Οι εργαζόμενοι μπορούν να λειτουργήσουν ως ένα «Ανθρώπινο Firewall», αποτελώντας τη βασικότερη γραμμή άμυνας κατά των κυβερνοεπιθέσεων. Όπως ήδη αναφέρθηκε, οι επιτιθέμενοι συχνά εκμεταλλεύονται -μέσω χειραγώγησης- τις ανθρώπινες αδυναμίες (ευπιστία, άγνοια, κόπωση κ.λπ.), προκειμένου να πετύχουν το σκοπό τους. Ως εκ τούτου, η εκπαίδευση των υπαλλήλων για την αναγνώριση και αποφυγή ανάλογων απειλών, είναι επιβεβλημένη.

Ειδικότερα, είναι απαραίτητο να αναπτυχθεί μια ισχυρή κουλτούρα κυβερνοασφάλειας, η οποία να προωθεί τη διαρκή ευαισθητοποίηση και την υιοθέτηση σε ατομικό επίπεδο καλών πρακτικών όπως:

  • Συμμόρφωση με τις πολιτικές του οργανισμού (αυτονόητο)
  • Άμεση ενημέρωση του ΙΤ της εταιρείας, για ασυνήθεις συμπεριφορές του Η/Υ
  • Διατήρηση της εμπιστευτικότητας των διαπιστευτηρίων
  • Ορθή χρήση του λογαριασμού email (έλεγχος αξιοπιστίας αποστολέα, επιφυλακτικότητα με τα συνημμένα και την επίσκεψη υπερσυνδέσμων κ.λπ.)
  • Ελαχιστοποίηση χρήσης δεδομένων (όχι περιττές αποθηκεύσεις και διαβιβάσεις)
  • Αποσύνδεση από τα συστήματα, κατά την απομάκρυνση από το γραφείο
  • Προστασία των ιδιωτικών μέσων (Laptop, Tablet κ.λπ.), ειδικά εάν η εταιρεία έχει υιοθετήσει πολιτική BYOD (Bring Your Own Device)
  • Αποφυγή δημοσιοποίησης εταιρικών πληροφοριών στα Κοινωνικά Δίκτυα

 

Σχέδιο διαχείρισης των περιστατικών ασφαλείας

Ανεξάρτητα με το επίπεδο ετοιμότητας, είναι πάντα πιθανό ένας οργανισμός να αποτελέσει θύμα επίθεσης. Ως εκ τούτου, είναι απαραίτητο να υπάρχει εκ των προτέρων σχέδιο διαχείρισης συμβάντων, με στόχο την αντιμετώπιση της επίθεσης, την ελαχιστοποίηση των συνεπειών και την ταχεία ανάκαμψη. Το σχέδιο θα πρέπει να περιλαμβάνει τόσο τεχνικά ζητήματα (λ.χ. αναγνώριση απειλής, μέθοδος απομόνωσης κακόβουλου λογισμικού, αξιοποίηση backup), όσο και οργανωτικά (ενεργοποίηση εμπλεκομένων, επικοινωνιακή διαχείριση, συνεργασία με κρατικές αρχές κ.λπ.)

Υιοθέτηση προτύπων

Η συμμόρφωση του οργανισμού με διεθνή πρότυπα ασφάλειας πληροφοριών, πέραν του τυπικού οφέλους (αξιοπιστία, ανταγωνιστικό πλεονέκτημα κ.λπ.), παρέχει και ουσιαστικά πλεονεκτήματα.

Ειδικότερα, προκειμένου ο οργανισμός να εναρμονιστεί με το εκάστοτε πρότυπο, υποχρεούται να υιοθετήσει συγκεκριμένες πρακτικές και μέτρα, ενισχύοντας έτσι τη συνολική του προστασία. Η διαδικασία αυτή, νομοτελειακά, οδηγεί τον οργανισμό να αναθεωρήσει και να βελτιώσει πολιτικές, να ενισχύσει τα  τεχνολογικά του μέσα, συμβάλλοντας σε μια πιο οργανωμένη και αποδοτική λειτουργία, που τελικά αναβαθμίζει οριζόντια όλες τις δομές του.

Πολιτική Ασφάλειας – Προστασία της Ιδιωτικότητας

Η εκπόνηση και εφαρμογή πολιτικής ασφάλειας, αποτελεί το βασικό πλαίσιο προστασίας του οργανισμού. Περιλαμβάνει όλα τα αναγκαία οργανωτικά και τεχνικά μέτρα, τις αρχές που τηρεί ο οργανισμός, τις αρμοδιότητες των εμπλεκομένων και την απόδοση ευθυνών, τα αγαθά που απαιτείται να προστατεύονται και ό,τι άλλο αναγκαίο για να εξασφαλίζεται η απαραίτητη προστασία. Η δέσμευση της διοίκησης έναντι των στόχων της πολιτικής, αποτελεί καθοριστικό παράγοντα καθώς έτσι εξασφαλίζεται η επιτυχής εφαρμογή της.

Ταυτόχρονα, η πολιτική ασφάλειας θα πρέπει να εγγυάται ότι η εφαρμογή των μέτρων προστασίας, δεν λειτουργεί εις βάρος των ατομικών δικαιωμάτων και της ιδιωτικότητας των εργαζομένων. Είναι απαραίτητο να τηρούνται οι αρχές της αναλογικότητας και της νομιμότητας, ώστε τα μέτρα ασφαλείας να μην παραβιάζουν τις προσωπικές ελευθερίες των υπαλλήλων του οργανισμού.

Η πολιτική ασφάλειας, δεν είναι ένα στατικό έγγραφο. Είναι αναγκαία η συνεχής αξιολόγηση και βελτίωση, προκειμένου να καλύπτει τις σύγχρονες απαιτήσεις, ακολουθώντας τις εξελίξεις στην τεχνολογία, τις αλλαγές στις επιχειρηματικές δραστηριότητες και τα νέα είδη απειλών.

Επίλογος

Η ισχυρή άμυνα έναντι των αυξανόμενων κυβερνοεπιθέσεων αποτελεί απαραίτητη προϋπόθεση για την ανθεκτικότητα των οργανισμών. Η επένδυση στην κυβερνοασφάλεια εγγυάται την αδιάλειπτη λειτουργία, την προστασία των δεδομένων και την αξιοπιστία του οργανισμού στον ανταγωνιστικό χώρο.

*Ο Ιωάννης Βασιλάκης είναι απόφοιτος της Σχολής Ικάρων, του Τμήματος Πληροφορικής του ΕΑΠ και μεταπτυχιακός φοιτητής στο ΠΜΣ «Ψηφιακή Καινοτομία και Διοίκηση” του Πανεπιστημίου Πατρών. Εργάζεται ως Αξιωματικός Πληροφορικής στην Πολεμική Αεροπορία.

 


Smart Devices at Home: πώς το κλιματιστικό και το ψυγείο ξέρουν πολλά για εμάς και σε ποιους τα λένε

Γράφει η Νίκη Γεωργακοπούλου*

Σήμερα έχει τελικό μπασκετ και θα μαζευτούμε μεγάλη παρέα στο σπίτι. Αύριο είναι ο τελικός του αγαπημένου μου μουσικού διαγωνισμού και θέλουμε να το γιορτάσουμε . Μέσα σε όλα αυτά έχει πολλή ζέστη και  στη δουλειά τελειώνουμε πολύ αργά. Ωστόσο δεν αγχώνομαι για τις προμηθειες και για τα ποτά γιατί έχω έξυπνες συσκευές στο σπίτι  και τις έχω συγχρονίσει με το email μου όλες. Το ψυγείο ξέρει τις προτιμήσεις μου και μάλιστα εντοπίζει τις προσφορές στο internet και κάνει την αντίστοιχη παραγγελία για εμένα. Επομένως δεν αγχώνομαι ιδιαίτερα. Θα χρειαστεί να το ενημερώσω μόνο ότι θα έρθει και η παρέα μου για να υπολογίσει ανάλογα την παραγγελία.

Αυτό δεν είναι ένα σενάριο επιστημονικής φαντασίας αλλά πραγματικότητα…

Η ιδέα των έξυπνων συσκευών εκφράστηκε για πρώτη φορά το 1990 με τον όρο Internet of Things (IoT).   Ο όρος “things” αναφέρεται στα πράγματα εν ευρεία εννοία και δεν αφορά κάποιο συγκεκριμένο προϊόν. Ενδεικτικά μπορεί να είναι αυτοκίνητο με συνδεδεμένους αισθητήρες, ψυγείο, κλιματιστικό , φώτα και πολλά άλλα προϊόντα τεχνολογίας. Η βασική ιδέα του ΙοΤ είναι η διασύνδεση και η επικοινωνία  ποικίλων συσκευών είτε σε τοπικό είτε σε παγκόσμιο δίκτυο, δηλαδή το διαδίκτυο. Η τεχνολογία αυτή αποσκοπεί στον χειρισμό των περισσότερων συσκευών από μία κεντρική συσκευή, το κινητό ή τον υπολογιστή του χρήστη. Η τεχνολογία αυτή είναι αδιαμφισβήτητα γοητευτική, ωστόσο, εγείρονται και κάποιοι προβληματισμοί, οι οποίοι θα αναφερθούν παρακάτω.

Τι είναι και Πώς  λειτουργεί το ΙοΤ

Το IoT (Internet of Things) αναφέρεται λοιπόν  σε ένα δίκτυο συνδεδεμένων συσκευών, μέσω του οποίου επιτυγχάνεται η  επικοινωνία μεταξύ των συσκευών αυτών στο διαδίκτυο και κυρίως αξιοποιώντας τεχνολογίες και υπηρεσίες Cloud. Η χρήση τεχνολογιών Cloud εξυπηρετεί στην ανταλλαγή και αποθήκευση δεδομένων προκειμένου να βελτιώσει την εμπειρία του χρήστη.

Τα πράγματα αυτά είναι προϊόντα που φέρουν αισθητήρες (sensors), έχουν εγκατεστημένο  λογισμικό και έχουν πρόσβαση στο διαδίκτυο (internet) προκειμένου να επιτευχθεί η επικοινωνία με τις άλλες συσκευές αλλά και τα κεντρικά συστήματα μέσω των οποίων διαχέεται η πληροφορία.

Πιο συγκεκριμένα,  οι έξυπνες συσκευές συνδέονται με το internet ή σε τοπικό δίκτυο και εν συνεχεία μπορούν να χρησιμοποιήσουν ποικίλα πρωτόκολλα επικοινωνίας (Wi-Fi,Bluetooth, Zigbee, 5G) για την επικοινωνία με τον χρήστη. Στη συνέχεια, συλλέγουν δεδομένα του χρήστη και τα αποστέλλουν στο Cloud προκειμένου να επεξεργαστούν. Στο στάδιο της επεξεργασίας γίνεται η συλλογή, η ανάλυση και η ερμηνεία των δεδομένων για την εξαγωγή ουσιαστικών πληροφοριών. Παράλληλα με την διαδικασία συλλογής δεδομένων του χρήστη, οι αισθητήρες (sensors) που είναι ενσωματωμένοι στις συσκευές ΙοΤ συλλέγουν συνεχώς δεδομένα από το περιβάλλον τους.

Έπειτα, τα δεδομένα που έχουν  συλλεχθεί μεταδίδονται μέσω δικτύου στο Cloud, επεξεργάζονται, αναλύονται και η έξυπνη συσκευή “προσαρμόζεται” στην αντίστοιχη συνθήκη και εκτελείται μία συγκεκριμένη εργασία. Αξίζει να σημειωθεί ότι σε κάθε στάδιο, ο χρήστης μπορεί να αλληλεπιδρά με την έξυπνη συσκευή μέσω μιας εφαρμογής που έχει εγκαταστήσει στο smartphone του και έχει πραγματοποιήσει εγγραφή με το email του.

Πόσα ξέρουν οι συσκευές για τους χρήστες τους;

Οι αισθητήρες των έξυπνων συσκευών  “διαβάζουν” τις συνθήκες του περιβάλλοντος ώστε να δοθεί η αντίστοιχη εντολή για την κατάλληλη ενέργεια. Για παράδειγμα, οι αισθητήρες ενός έξυπνου κλιματιστικού  “διαβάζουν” τη θερμοκρασία του χώρου, την υγρασία καθώς και την έκταση του, προκειμένου να προσαρμόσουν το πρόγραμμα του κλιματιστικού αναλόγως. Επιπλέον, το έξυπνο αυτό κλιματιστικό, ο χρήστης μπορεί να το χειρίζεται απομακρυσμένα από το κινητό του τηλέφωνο μέσω της εγκατεστημένης εφαρμογής στο κινητό του, ώστε να διαμορφώσει το ιδανικό περιβάλλον για την επιστροφή του στο χώρο.

Η έξυπνη συσκευή  χρησιμοποιώντας διάφορες τεχνολογίες (NLP, deep learning και τεχνητή νοημοσύνη), “μαθαίνει¨ και αποθηκεύει τις προτιμήσεις του χρήστη στο Cloud, ώστε την επόμενη φορά το κλιματιστικό να δημιουργήσει το τέλειο περιβάλλον για τον χρήστη. Περαιτέρω, το email που χρησιμοποιεί ο χρήστης,  μπορεί να αποκαλύψει το διαδικτυακό προφιλ του και το υλικο αυτό να αποτελέσει υλικό εκπαίδευσης της έξυπνης συσκευής, προκειμένου το κλιματιστικό να “προσαρμοστεί” στις ανάγκες του.

Αντίστοιχο παράδειγμα έξυπνης συσκευής αποτελεί το ψυγείο. Οι ειδικοί ενσωματωμένοι αισθητήρες διαβάζουν τα barcodes και άλλες πληροφορίες των τροφίμων και των ποτών, ώστε να γνωρίζει τι προϊόντα προτιμά ο χρήστης, τι ποσότητες που  καταναλώνει, την ημερομηνία λήξης των προϊόντων,  ώστε να  προειδοποιεί για έγκαιρη κατανάλωση. Περαιτέρω, το ψυγείο μπορεί να μάθει τις διατροφικές ανάγκες του χρήστη και σε συνδυασμό με κάποια στοιχεία υγείας, να προτείνει διαιτολόγιο. Επιπλέον, ο χρήστης μπορεί απομακρυσμένα να ελέγξει τι έχει στο ψυγείο του και να κάνει μια αντίστοιχη παραγγελία στο super market. Όλες αυτές οι πληροφορίες συγχρονίζονται με το email του χρήστη, αποθηκεύονται στο Cloud, προκειμένου ο χρήστης να έχει πρόσβαση σε όλες αυτές τις πληροφορίες ανά πάσα στιγμή.

Προβληματισμοί

Αδιαμφισβήτητα πρόκειται για μια πολύ γοητευτική τεχνολογία που εύκολα μπορεί να συναρπάσει το χρήστη με τις δυνατότητες και τις διευκολύνσεις που προσφέρονται. Ωστόσο εγείρονται ενδιαφέροντα ερωτήματα.

Μπορούν οι κατασκευαστές των έξυπνων συσκευών να μάθουν πράγματα για εμάς τους χρήστες; Τι μάθαινουν για εμάς; Πού αποθηκεύεται αυτή η πληροφορία; Με ποιο τρόπο επεξεργάζονται όλα αυτά τα δεδομένα και τι συμπεράσματα βγάζουν για εμάς; Πού βρίσκονται οι κατασκευαστές όλων αυτών των συσκευών και πού αποθηκεύονται όλες αυτές οι πληροφορίες για εμάς; Συνάγεται λοιπόν πώς το απόρρητο και η ασφάλεια των δεδομένων μας τίθενται υπό συζήτηση. Η διασφάλιση της ασφάλειας των συσκευών IoT και η προστασία των δεδομένων όλων ημών των χρηστών αποτελούν μείζον θέμα.

Επιπλέον, η διαχείριση ενός μεγάλου αριθμού συνδεδεμένων συσκευών μπορεί να είναι πολύπλοκη καθώς όλες αυτές οι διαφορετικές συσκευές και πλατφόρμες πρέπει να συνεργάζονται απρόσκοπτα και να αλληλεπιδρούν χωρίς διακοπές. Σήμερα, είναι τεχνολογικά εφικτό κάτι τέτοιο; Τι σημαίνει αυτό για τον χρήστη;

Επίλογος

Το IoT αποτελεί  μια σημαντική τεχνολογική πρόοδο, συνδέοντας τον φυσικό και τον ψηφιακό κόσμο για τη δημιουργία εξυπνότερου  και πιο ευέλικτου περιβάλλοντος.  Ο άνθρωπος βελτιώνει τη ζωή του και εξοικονομεί πολύτιμο χρόνο. Ποιο είναι όμως το κόστος για την κατάκτηση και χρήση αυτών των τεχνολογίων; Με ποιο τρόπο εξαγοράζεται αυτή η εξοικονόμηση χρόνου; Πόσο πολύτιμα είναι τα δεδομένα όλων ημών των χρηστών και πώς αξιοποιούνται από τις εταιρείες; Οι εταιρείες αυτές μοιράζονται τα δεδομένα μας με τρίτες εταιρείες, ξένες προς εμάς; Ποιος είναι ο σκοπός της ανταλλαγής των δεδομένων μας;

*Η Νίκη Γεωργακοπούλου είναι απόφοιτη της Νομικής Σχολής του ΕΚΠΑ και κάτοχος MSc “Δικαιο και Πληροφορική” του ΠΑΜΑΚ. Στη διπλωματική της εργασία ασχολήθηκε με το Βlockchain και τα Smart Legal Contracts.