Privacy and Confidentiality – Todays Reality


Published in Netweek Magazine 17-1-2015

http://www.netweek.gr/default.asp?pid=9&la=1&cID=5&arId=28891#

Στη μετά Snowden εποχή είναι πλέον προφανές ότι οι περισσότερες αναπτυγμένες κοινωνίες δείχνουν ιδιαίτερη ευαισθησία στην προστασία των ανθρωπίνων δικαιωμάτων, παραχωρώντας, παράλληλα, σχετικά εύκολα το βασικό δικαίωμα της ιδιωτικότητας, προς όφελος της λειτουργικότητας στις καθημερινές ψηφιακές εφαρμογές και χρήσεις των social media.

Το World Wide Web Foundation, του οποίου προεδρεύει ο Μπέρνερς Λι, μέτρησε πρόσφατα τη συνεισφορά του Web στην κοινωνική, οικονομική και πολιτική πρόοδο 86 χωρών. Στις διαπιστώσεις της αναφοράς περιλαμβάνονται τα εξής σημεία:

  • Το 74% των χωρών είτε στερούνται ξεκάθαρων και αποτελεσματικών κανόνων ουδετερότητας διαδικτύου (net neutrality) και/ή δημιουργούν υπόνοιες για διακρίσεις όσον αφορά στη διακίνηση πληροφορίας σε αυτό.
  • Το 62% των χωρών αναφέρουν ότι το Web παίζει σημαντικό ρόλο στην πυροδότηση κοινωνικής ή πολιτικής δραστηριότητας
  • Το 74% των χωρών δεν κάνουν αρκετά πράγματα για να σταματήσουν την online παρενόχληση των γυναικών.

Στην κορυφή της λίστας των αναπτυγμένων χωρών βρίσκεται η Δανία, ενώ ακολουθούν η Φινλανδία, η Νορβηγία, η Μ. Βρετανία και η Σουηδία, με την Ελλάδα να βρίσκεται στην 30ή θέση. Όσον αφορά τους παρόχους υπηρεσιών Big Data/social media, επειδή ακριβώς χρησιμοποιούν μοντέλα για την ταχύτατη δωρεάν διάδοσή τους σε πολύ μεγάλο αριθμό χρηστών παγκοσμίως, τα πολύ ισχυρά τμήματα νομικών συμβούλων που διαθέτουν παρέχουν σε αυτούς τους οργανισμούς την αντίστοιχη νομική θωράκιση, προκειμένου οι όποιες αγωγές για κατάργηση της ιδιωτικότητας είτε από ιδιώτες είτε από κρατικούς/θεσμικούς φορείς να είναι δύσκολο να στοιχειοθετηθούν. Το μόνο σίγουρο είναι ότι o συνδυασμός των τεχνολογιών του mobile / always on connectivity, του geolocation, του RFID, του GPS κ.λπ., προσφέρει ιδιαίτερα ελκυστικά χρηστικά χαρακτηριστικά, γεγονός που στην πράξη διευκολύνει το real-time user profiling, το οποίο είναι αδιαφανές ως προς τον χρήστη και πολλές φορές διενεργείται χωρίς τη ρητή συναίνεσή του (για παράδειγμα, συνήθως δίνεται μόνο η δυνατότητα του opt-out, ήτοι «εάν διαφωνείς, δεν αποκτάς πρόσβαση»).

Εάν υπάρχει, τελικά, μια καθοριστική γραμμή άμυνας για τον χρήστη, αυτή είναι η εξειδικευμένη εκπαίδευση που μπορεί να λάβει για να μάθει να προστατεύει τα προσωπικά του δεδομένα από τρίτους στο διαδίκτυο, να διαβάζει την εκάστοτε πολιτική χρήσης μιας υπηρεσίας και να ξέρει τι ισχύει από τον νόμο, αναφορικά με την προστασία των προσωπικών του δεδομένων και πώς μπορεί να απαιτήσει αποζημίωση σε περίπτωση μη-εγκεκριμένης εγγραφής τους σε αρχείο ή διαρροής των προσωπικών δεδομένων του.

Ιδιωτικότητα vs Εμπιστευτικότητα
Τι γίνεται αν επιχειρήσει κανείς να ορίσει την Ιδιωτικότητα σε σχέση με την Εμπιστευτικότητα (Privacy vs. Confidentiality). Ποιος κερδίζει; Ποιος χάνει και τι; H απάντηση δεν είναι τόσο απλή όσο φαίνεται εκ πρώτης όψεως. Η ιδιωτικότητα αφορά τους ανθρώπους, ενώ η εμπιστευτικότητα αφορά τα δεδομένα. Η μεν μια σχετίζεται άμεσα με την αίσθηση ελέγχου της πρόσβασης των άλλων στα προσωπικά μας στοιχεία, η δε άλλη αφορά τη διατήρηση των αναγνωριστικών χαρακτηριστικών σχετικά με το ποιος και με ποιον τρόπο θα έχει πρόσβαση στα δεδομένα.

Στο πρόσφατο EUROCACS/ISRM στα τέλη του Σεπτεμβρίου έγινε λόγος για τη λέξη της χρονιάς για το 2013, που δεν ήταν άλλη από το «Privacy» (Ιδιωτικότητα). Η λέξη Privacy φιγουράριζε παντού: σε εφημερίδες, σε περιοδικά, σε tabloids, σε ιστοσελίδες. Να θυμηθούμε κάποιες περιπτώσεις; The guardian: “US to extend privacy protection rights to EU citizens”, Forbes: “The underground economy of data breaches”, The NY Times: “Web privacy becomes a business imperative”. Ποια είναι όμως και η ιστορία πίσω από το μεταρρυθμιστικό πλαίσιο της ιδιωτικότητας και της προστασίας των δεδομένων στη ΕΕ; Στις 25/01/12 η ευρωπαϊκή επιτροπή πρότεινε μια συνολική μεταρρύθμιση της οδηγίας που εξεδόθη το 1995 για την προστασία των δεδομένων. Περίπου ένα χρόνο μετά, στις 10/01/13, ο κ. Άλμπρεχτ – μέλος της Ομάδας τωv Πρασίvωv / Ευρωπαϊκής Ελεύθερης Συμμαχίας – παρουσίασε στο ευρωκοινοβούλιο τις τροπολογίες του στην πρόταση της επιτροπής, οι οποίες έγιναν αποδεκτές με συντριπτική πλειοψηφία από την επιτροπή πολιτικών ελευθεριών (LIBE) στις 22/10/13.

Έτσι φέτος, στις 12/03/2014, το ευρωκοινοβούλιο ενέκρινε αυτές τις τροπολογίες με ψηφοφορία στην Ολομέλεια. Στο μεσοδιάστημα προέκυψαν οι αποκαλύψεις του Snowden, οι διαπραγματεύσεις μεταξύ EE και ΗΠΑ για την προστασία των δεδομένων και η απόφαση για την Google λίγο πριν την έναρξη του θέρους και συγκεκριμένα τον Μαϊο. Η σχετική αίτηση για την έκδοση προδικαστικής αποφάσεως αφορούσε τα δεδομένα προσωπικού χαρακτήρα, την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων αυτών, τις μηχανές αναζήτησης στο διαδίκτυο, την επεξεργασία δεδομένων που περιλαμβάνονται σε ιστοτόπους κ.λπ. Οι παραβιάσεις δεδομένων «υψηλών» προσώπων συνεχίστηκαν η μία μετά την άλλη και τα πρόσωπα εκτίθονταν κατ’ εξακολούθηση στο κοινό. Οι ηγεσίες των κρατών αναγκάστηκαν να θέσουν την ασφάλεια στον κυβερνοχώρο σε ύψιστη προτεραιότητά τους.

Ουδέν κρυπτόν υπό το Web
Ο αριθμός των εταιρειών που κοινοποιήθηκαν από το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) το 2013 για τις παραβιάσεις μας ανησυχεί και μας θυμίζει ότι δεν υπάρχει μέρος για να κρυφτεί κανείς στον κυβερνοχώρο. Ανεξάρτητα από τον κλάδο, το μέγεθος και τον τύπο του οργανισμού, φαίνεται ότι οι κυβερνοεπιθέσεις μπορούν να συμβούν ανά πάσα στιγμή. Πρέπει, λοιπόν, να δεχθούμε ότι ως ένα σημείο μια κυβερνοεπίθεση είναι, τελικά, αναπόφευκτη. Ο Alan Tang, Director of Research – Security & Risk της Info- Tech Research Group, δικαίως αναρωτιέται αν βρισκόμαστε στη μέση ενός πολέμου: «Οι εγκληματίες του κυβερνοχώρου αποσκοπούν σε ιδίον οικονομικό όφελος, ενώ οι πραγματικοί τρομοκράτες των κυβερνοεπιθέσεων στοχεύουν στη δημιουργία φόβου». Το ερώτημα είναι: Εφόσον δεν υπάρχει «κατάπαυση του πυρός» στον κυβερνοχώρο, ποιος θα κερδίσει τη μάχη; Το σίγουρο είναι ότι υπάρχουν τρεις περιπτώσεις που ίσως μπορέσουν να μας βοηθήσουν στην μάχη εναντίον των μη ορατών αντιπάλων. Αυτές είναι:

  • Νέες τροποποιήσεις και προσαρμογές σε πρότυπα και κανονισμούς
  • Σύγχρονες πρακτικές και στρατηγικές ασφάλειας
  • Εκπαιδευμένο και έμπειρο προσωπικό ειδικών στην ασφάλεια.

Σε ομιλίες του στα πλαίσια συνεδρίων, ο Todd Fitzgerald, Global Director of Information Security της Grant Thornton International Ltd, εξηγεί τις παρελθοντικές επιθέσεις (healthcare, credit cards, NY Times, living social, skype/snapchat) ως αποτέλεσμα των τεχνολογικών τάσεων (cloud, Big Data, mobility). Υπάρχουν, πλέον, νομοθεσίες και έχουν θεσπιστεί πλαίσια (Cybersecurity Framework, PCI data standards DSS 3.0, ISO27001:2013), όμως οι αριθμός των απειλών είναι σε ασυμμετρία με τον υπάρχοντα αριθμό ειδικών στην Ασφάλεια Πληροφοριών. Ο μόνος τρόπος για να κερδηθεί αυτή η κρίσιμη μάχη είναι να συνεργαστεί το σύνολο της κοινωνίας και των αρμόδιων φορέων, με κοινό στόχο την απόσβεση μέρους του σοκ που δημιουργούν οι κυβερνοαπειλές σε micro ή macro επίπεδο. Αναρωτιέται κανείς, μήπως η λύση πρέπει να βρεθεί έξω από τα καθημερινά στερεότυπα. Θυμόμαστε για άλλη μία φορά τη ρήση του Albert Einstein: «We cannot solve our problems with the same thinking we used when we created them». Ας σκεφτούμε λοιπόν.

Advertisement

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.