του Κωνσταντίνου Ντζαμίλη, Quality Control & Process Manager, D.P.O. Υπεύθυνος προσωπ. δεδομένων D.P.O., Ethics & Cyber Security*
* Secure your cyberspace, secure your digital life.
Σε έναν ψηφιοποιημένο κόσμο ταχύτερο από το αναμενόμενο, ο όγκος των δεδομένων στους Οργανισμούς έχει αυξηθεί ραγδαία. Η διαχείριση και η δομή των πληροφοριακών συστημάτων τους έχει γίνει πιο περίπλοκη και η περίμετρος του δικτύου τους είναι πιο εκτεταμένη.
Όλα τα παραπάνω συμβαίνουν σε ένα διασυνδεδεμένο περιβάλλον, καθιστώντας το πολύ ευάλωτο σε οποιαδήποτε κακόβουλη δραστηριότητα. Έτσι, οι Οργανισμοί πρέπει να σχεδιάσουν και να εφαρμόσουν μια κατάλληλη αρχιτεκτονική άμυνας στον κυβερνοχώρο για την προστασία των κρίσιμων υποδομών και των ευαίσθητων πληροφοριών τους από διαρροή, παραβίαση ή ακόμα και διακοπή της διαθεσιμότητας.
Ο ρόλος του ΥΠΔ (D.P.O.) δεν είναι πλέον αποκλειστικά και μόνο ένας ρόλος με νομική υπόσταση και γνώση ως προς τον Κανονισμό και την εφαρμογή του. Ο Γενικός Κανονισμός Προστασίας Δεδομένων (G.D.P.R.) απαιτεί τον D.P.O. ως ηγετικό ρόλο στην ασφάλεια του Οργανισμού. Οι Υπεύθυνοι Προστασίας Δεδομένων είναι υπεύθυνοι για την επίβλεψη της στρατηγικής και της εφαρμογής της προστασίας δεδομένων για τη διασφάλιση της συμμόρφωσης με το G.D.P.R. Είναι άρρηκτα πλέον συνδεδεμένος με την ουσιαστική κατανόηση αλλά και την επάρκεια γνώσεων ασφάλειας πληροφοριακών συστημάτων είτε αυτά είναι On Premise είτε αυτά είναι στο Cloud. Πρέπει να είναι πιστοποιημένος γνώστης ώστε να μπορεί να διαπιστώνει που μπορούν να ορισθούν και να εφαρμοστούν διορθωτικές ενέργειες στην πολιτική ασφαλείας ενός Οργανισμού. Να μπορεί να διακρίνει και να προτείνει καθώς δεν έχει ελεγκτικό ρόλο στην ασφαλή λειτουργία ενός Οργανισμού, συμμετέχει όμως με τις διαπιστώσεις του που τις επικοινωνεί στην Κεντρική Διοίκησή του ή στον Εσωτερικό Έλεγχο αν υπάρχει. Άρα η επιλογή του πρέπει να είναι προσεκτική και ορθά δομημένη ως προς τα προσόντα και τα Security Certifications.
Με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ, ξεκίνησε να ισχύει ένα κανονιστικό πλαίσιο προστασίας τους. Με τον ν.4624/2019 η Ελλάδα ουσιαστικά την επικύρωσε και την εφάρμοσε σε όλη την επικράτεια.
Πρόσθετα στην Ελληνική Επικράτεια το νομοθετικό πλαίσιο δίνει την «γραμμή πλεύσης» για την ετοιμότητα των Οργανισμών, 4577/2019, 1027/2019, 4961/2022, 5002/2022 και τέλος η Εθνική Στρατηγική Κυβερνοασφάλειας 2020 – 2025 του Υπουργείου Ψηφιακής Διακυβέρνησης που αποτελεί έναν εξαιρετικό οδηγό στρατηγικής για την ασφάλεια των πληροφοριών απέναντι σε κυβερνοαπειλές.
Από τότε όμως και με την αυξανόμενη χρήση ψηφιακών τεχνολογιών καθημερινά, βιώνουμε πολλαπλές επιθέσεις, γνωστές και άγνωστες, που υποκλέπτουν δεδομένα προσωπικά, ευαίσθητα & οικονομικά.
Σήμερα η ανάγκη προστασίας δεν περιορίζεται μόνο στα τεχνικά και οργανωτικά μέτρα του Κανονισμού αλλά και στην υιοθέτηση μέτρων, λύσεων και διαδικασιών ώστε να αξιολογείται καθημερινά η προστασία των δεδομένων και ο κίνδυνος που αφορά την ασφάλεια των Οργανισμών στον κυβερνοχώρο. Η διαχείριση του ψηφιακού κινδύνου είναι πλέον επιτακτική και η οποιαδήποτε περίοδο χάριτος έχει τελειώσει οριστικά.
Πολλαπλές έρευνες που έχουν δημοσιοποιηθεί δείχνουν ότι οι επιχειρήσεις και οι Οργανισμοί δεν είναι έτοιμοι ως προς την ικανότητά τους να προστατευτούν από τον κίνδυνο σοβαρής επίθεσης και ότι το προσωπικό τους έχει ελάχιστη έως μηδενική εκπαίδευση στην αντιμετώπιση κινδύνων ασφαλείας, φυσικών και λογικών.
Οι Οργανισμοί θα πρέπει να παρακολουθούν μέσω συστημάτων ασφαλείας τα δίκτυά τους και να συλλέγουν αρχεία καταγραφής συμβάντων από διάφορα αρχεία καταγραφής ασφαλείας.
Όλα τα αρχεία καταγραφής συμβάντων πρέπει να αναλυθούν και οι Οργανισμοί να λαμβάνουν ειδοποιήσεις και αναφορές για τυχόν ύποπτα συμβάντα. Επιπλέον, οι Οργανισμοί μέσω συστημάτων πρέπει να παρακολουθούν τις παγκόσμιες απειλές στον κυβερνοχώρο σε πραγματικό χρόνο. Με αυτόν τον τρόπο, οι Οργανισμοί θα λαμβάνουν πληροφορίες σχετικά με απειλές που σχετίζονται με συστήματα και εφαρμογές που χρησιμοποιούν και λαμβάνουν τα κατάλληλα μέτρα για την αντιμετώπισή τους.
Οι Οργανισμοί διαχειρίζονται καθημερινά μεγάλο όγκο προσωπικών δεδομένων. Η διαχείριση των προσωπικών δεδομένων πραγματοποιείται σε έναν κόσμο που γίνεται όλο και πιο ευάλωτος σε κακόβουλες δραστηριότητες και πρέπει να συμμορφώνεται με κανονιστικές και νομικές απαιτήσεις. Ως αποτέλεσμα, οι Οργανισμοί θέλουν να αποκτήσουν αυξημένη ασφάλεια για την προστασία των προσωπικών δεδομένων.
Επιπλέον, οι Οργανισμοί θα πρέπει να βρίσκουν και να παρακολουθούν όλες τις συνδεδεμένες συσκευές στο δίκτυό τους και να ορίζουν κατάλληλες πολιτικές, όπως αφαιρούμενη αποθήκευση, κρυπτογράφηση κ.λπ.
Τα τεχνικά & οργανωτικά μέτρα που θα πρέπει να υλοποιούνται είναι συνδεδεμένα τόσο με την εφαρμογή των Security controls του ISO 27001 (ISO 27002) όσο και με μέτρα κυβερνοασφάλειας που συμβάλλουν στην προστασία αυτών των πληροφοριών από υποκλοπές, ζημιά και μη εξουσιοδοτημένη πρόσβαση, κλπ. Τα εφαρμοζόμενα μέτρα κυβερνοασφάλειας συμβάλλουν στη διατήρηση και τη βελτίωση της εμπιστοσύνης ενός Οργανισμού, τόσο εσωτερικά, όσο και για εξωτερικούς συνεργάτες και πελάτες.
Το ISO 27701:2019 υποστηρίζει το υπάρχον Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ενός Οργανισμού. Σκιαγραφεί ένα πλαίσιο για την αποτελεσματική διαχείριση των προσωπικών δεδομένων των ενδιαφερομένων του. Επιπλέον, παρέχει βοήθεια στους Οργανισμούς ώστε να συμμορφώνονται με νομικές και ρυθμιστικές απαιτήσεις, όπως το G.D.P.R., ώστε να μειωθεί ο κίνδυνος παραβίασης αυτών των δεδομένων.
Το Σύστημα Διαχείρισης Πληροφοριών Απορρήτου επηρεάζει όλους τους Οργανισμούς και περιλαμβάνει οδηγίες, διαδικασίες και πολιτικές για το προσωπικό και τα ενδιαφερόμενα μέρη.
Ένα σημαντικό σημείο στην λειτουργία των Οργανισμών είναι η διαχείριση των απειλών των προσωπικών δεδομένων ή και των οικονομικών, ευθυγραμμισμένη με την συμμόρφωση που πρέπει να έχουν καθώς υπόκεινται σε πολλαπλές νομοθετικές και εταιρικές ρυθμιστικές απαιτήσεις οπότε καλούνται να αποδείξουν ότι διαχειρίζονται και προστατεύουν αποτελεσματικά τις πληροφορίες που έχουν στην κατοχή τους.
Παρόλο που δεν υπάρχουν σε αξιόλογο ποσοστό in place μηχανισμοί κυβερνοασφάλειας τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα συναντούμε μεγάλη δυσπιστία στο ότι μπορούν να αποτελέσουν στόχο κυβερνοεπιθέσεων, νοοτροπία που πρέπει να αλλάξει. Παράλληλα θα πρέπει όλοι να κατανοήσουν ότι η ανάλυση δεδομένων είναι αυτή που θα βοηθήσει την εφαρμογή μέτρων ασφαλείας ώστε να εξάγονται ασφαλείς πληροφορίες για την κατανόηση γιατί δέχθηκαν επίθεση ή γιατί θα δεχθούν αν δεν εφαρμόσουν άμεσα τεχνολογικά μέτρα προστασίας.
Ethics & G.D.P.R.
Η ηθική και το δίκαιο είναι αλληλένδετα και οι ηθικές αρχές παρέχουν συχνά τη βάση για νομικά πλαίσια. Αυτό ισχύει ιδιαίτερα όταν πρόκειται για τον τομέα των κανονισμών απορρήτου/προστασίας προσωπικών δεδομένων.
Όπως γνωρίζουμε, η ηθική εξέταση του απορρήτου των προσωπικών δεδομένων υπάρχει εδώ και δεκαετίες, αλλά έχει αυξηθεί τα τελευταία χρόνια λόγω του αυξανόμενου όγκου προσωπικών δεδομένων που επεξεργάζονται και αποθηκεύονται στο διαδίκτυο. Η ανησυχία για την κακή χρήση ή εκμετάλλευση προσωπικών δεδομένων οδήγησε στην ανάπτυξη νομικών πλαισίων για την προστασία των δικαιωμάτων ιδιωτικής ζωής των ατόμων.
Ένα βασικό παράδειγμα αυτού είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), ο οποίος θεωρείται ευρέως ως ένας από τους πιο αυστηρούς κανονισμούς προστασίας δεδομένων στον κόσμο. Ο GDPR επηρεάστηκε από ηθικές αρχές, όπως ο σεβασμός του ατομικού απορρήτου και το δικαίωμα ελέγχου των προσωπικών δεδομένων κάποιου.
Ο ΓΚΠΔ σχεδιάστηκε για να απαιτεί από τους Οργανισμούς να λαμβάνουν ρητή συγκατάθεση για τη συλλογή και επεξεργασία προσωπικών δεδομένων, να παρέχουν διαφάνεια σχετικά με τη συλλογή και χρήση δεδομένων και να επιβάλλουν σημαντικά πρόστιμα για παραβιάσεις.
Στην σημερινή ψηφιακή εποχή, η συλλογή προσωπικών δεδομένων και το στοχευμένο μάρκετινγκ έχουν γίνει διάχυτες πτυχές του σύγχρονου εμπορίου. Ωστόσο, καθώς η τεχνολογία έχει προχωρήσει, έχουν προκύψει ανησυχίες σχετικά με την ηθική της συλλογής προσωπικών δεδομένων χωρίς πλήρη συναίνεσή τους.
Οι υποστηρικτές της συλλογής προσωπικών δεδομένων για στοχευμένο μάρκετινγκ υποστηρίζουν ότι επιτρέπει στις εταιρείες να δημιουργούν πιο εξατομικευμένες και σχετικές εμπειρίες για τους καταναλωτές. Αυτή η προσέγγιση μπορεί να περιλαμβάνει εξατομικευμένες συστάσεις, διαφημίσεις και προτάσεις προϊόντων, οι οποίες μπορούν να αυξήσουν την πιθανότητα μιας αγοράς, ωφελώντας έτσι τόσο την εταιρεία όσο και τον καταναλωτή.
Ωστόσο, οι επικριτές της πρακτικής υποστηρίζουν ότι η συλλογή και χρήση προσωπικών δεδομένων με αυτόν τον τρόπο παραβιάζει τα ηθικά πρότυπα παραβιάζοντας το προσωπικό απόρρητο και την αυτονομία. Υποστηρίζουν ότι μια τέτοια συλλογή και χρήση δεδομένων μπορεί να περιλαμβάνει επεμβατικές πρακτικές όπως το Data mining, η παρακολούθηση και η δημιουργία προφίλ που παραβιάζουν το απόρρητο και την αυτονομία του ατόμου. Επιπλέον, υποστηρίζουν ότι οι καταναλωτές πρέπει να έχουν πλήρη κατανόηση των δεδομένων που συλλέγονται από αυτούς, πώς θα χρησιμοποιηθούν και να τους παρέχονται ευκαιρίες να εξαιρεθούν από τη συλλογή δεδομένων ανά πάσα στιγμή.
Επιπλέον, οι “επικριτές” και οι “φύλακες” έχουν θέσει το ζήτημα της απόκτησης της κατάλληλης συναίνεσης σε σχέση με τη συλλογή δεδομένων. Η συναίνεση είναι μια από τις πιο θεμελιώδεις αρχές στη νομοθεσία περί προστασίας δεδομένων. θα πρέπει να δίνεται ελεύθερα, να ενημερώνεται, να είναι συγκεκριμένη και ξεκάθαρη. Η λήψη συναίνεσης από άτομα είναι κρίσιμης σημασίας για τη διασφάλιση της σύννομης και δίκαιης επεξεργασίας των προσωπικών τους δεδομένων. Ωστόσο, αυτό δεν πρέπει να χρησιμοποιείται ως δικαιολογία για την απόκρυψη ή την παραποίηση της προβλεπόμενης χρήσης των πληροφοριών που συλλέγονται.
Συνολικά, η δεοντολογία έχει διαδραματίσει κρίσιμο ρόλο στη διαμόρφωση των κανονισμών περί απορρήτου των προσωπικών δεδομένων, υπογραμμίζοντας τη σημασία της δημιουργίας ενός ισχυρού και διαφανούς πλαισίου για τη συλλογή και την επεξεργασία προσωπικών δεδομένων. Ενώ οι κανονισμοί παρέχουν τη βάση για την προστασία των δεδομένων, είναι σημαντικό για τους Οργανισμούς να υιοθετήσουν μια προληπτική προσέγγιση στον ηθικό χειρισμό δεδομένων για να διασφαλίσουν ότι προχωρούν και πέρα από τις κανονιστικές απαιτήσεις.
Μήπως ο ρόλος βαίνει σε αλλαγή και προετοιμαζόμαστε για τον D.P.E.O.: Data Protection & Ethics Officer;
To 2024 είναι προ των πυλών και η Ευρώπη το εξετάζει με αρκετή προσοχή.
Για όλους τους Οργανισμούς στον Ελλαδικό χώρο υπάρχουν αξιόλογες εταιρείες που μπορούν να βοηθήσουν στην υιοθέτηση τεχνολογικών δομών που θα αποτρέψουν κυβερνοκινδύνους, να βοηθήσουν στην εφαρμογή πολιτικών και διαδικασιών και να προετοιμάσουν ολιστικά έναν Οργανισμό με σύγχρονες λύσεις κυβερνοασφάλειας απέναντι στις εσωτερικές ή εξωτερικές απειλές που βρίσκονται στο κατώφλι του.