Cyber security και GDPR – Mία ιδιαίτερη σχέση

Λίνα Δικαιάκου
Δ.Μ.Ε. – Δικηγόρος-Νόμικη Σύμβουλος με ειδίκευση στις δημόσιες πολιτικές και στο ευρωπαϊκό δίκαιο

Ένας νέος κόσμος

Με τις νέες τεχνολογικές εξελίξεις και εφαρμογές έχει δημιουργηθεί ένας καινούριος θαυμαστός, α λα Χάξλεϊ, κόσμος, ψηφιακός αυτή τη φορά με όλα τα νέα -smart- συστήματα δικτύωσης: smart home, smart cars, smart business, smart cities κλπ. Ολόκληροι πια τομείς υπηρεσιών, όπως αυτοί της υγειάς (πχ Internet of Medical Things – IoMT), της ασφάλειας, των μεταφορών, ο κατασκευαστικός τομέας (Ιndustry 4.0), ο αγροδιατροφικός, αλλά αυτός της εθνικής άμυνας (Ιnternet of Military Thing) επανεφεύρονται για να ενσωματώσουν αυτές τις αλλαγές, έτσι ώστε να κάνουμε λόγο σήμερα για το Internet of Everything (IoE) – τη διαδικτύωση των πάντων.

Διευρύνεται, έτσι, το πεδίο για κακόβουλες και παράνομες ενέργειες, καθώς οι νέες υπηρεσίες φέρουν νέους κινδύνους σε επίπεδο λειτουργίας μιας επιχείρησης αλλά και απειλές για την εκμετάλλευση ή παραβίαση των προσωπικών μας δεδομένων.

Λύση σε αυτά τα προβλήματα αποτελεί βέβαια, όπως, πάντα, η γνώση και η κατανόηση των σύγχρονων τεχνολογικών εξελίξεων, η πρόβλεψη ειδικών δικλείδων ασφαλείας, η διαρκής ενημέρωση και ευαισθητοποίηση των χρηστών στο πλαίσιο της προαγωγής της κυβερνο-υγιεινής (cyber-hygiene) ως και η διαρκής εκπαίδευση των εμπλεκομένων φορέων και προσώπων.

Η κατανόηση, βέβαια, αντλείται πρωτίστως από τις ίδιες τις έννοιες που αποδίδουμε σε αυτά τα τεχνολογικά επιτεύγματα ως και από το ρυθμιστικό τους περιεχόμενο. Και ενώ η νομοθεσία των προσωπικών δεδομένων μετρά πλέον αρκετά χρόνια και έχει καταστεί τμήμα της κουλτούρας μας, ο cyber κόσμος μάς αποκαλύπτεται σιγά – σιγά. Και μάλλον μας κατευθύνει.

Έτσι, όταν κάνουμε λόγο για cyber attacks αναφερόμαστε ουσιαστικά στις κυβερνοεπιθέσεις, δηλαδή σε μη εξουσιοδοτημένες προσβάσεις στα συστήματα μιας επιχείρησης που μπορεί́ να οδηγήσουν σε απώλεια δεδομένων και πληροφοριών με αποτέλεσμα σημαντικές οικονομικές και επιχειρηματικές επιπτώσεις (πχ στη φήμη της εταιρείας). Από την άλλη η κυβερνοασφάλεια (cybersecurity), αφορά ακριβώς στα μέτρα που πρέπει να λαμβάνει μία επιχείρηση για την απόκρουση των παραβιάσεων των δικτυών, των συσκευών και  των προγραμμάτων της και την προστασία τους από εξωτερικές ή εσωτερικές απειλές, ώστε να αποφύγει την πιθανή́ διακοπή της λειτουργιάς της.

 Η σύμπλευση των πεδίων Cybersecurity και GDPR

Αξιοσημείωτο είναι, πάντως, ότι παρά το φαινομενικό τους χρονικό και ρυθμιστικό διαχωρισμό, τα δύο αυτά πεδία (Cybersecurity και GDΡR) συμπλέκονται, ιδίως σε επίπεδο κοινών αρχών από τις οποίες διέπονται και οι οποίες αντίστοιχα μεταφράζονται σε αναγκαία ληπτέα μέτρα και θεσπιστέες διαδικασίες από τους φορείς για την αντιμετώπιση και απόκρουση των απειλών. Ποιες είναι αυτές οι βασικές έννοιες και αρχές; confidentiality, integrity, availiability.

Ειδικότερα, η αρχή της εμπιστευτικότητας ορίζει ότι η πρόσβαση στις πληροφορίες πρέπει να επιτρέπεται ανά́ πασά στιγμή́ μονό σε εξουσιοδοτημένα άτομα. Αντίστοιχα, η αρχή της ακεραιότητας διασφαλίζει ότι οι πληροφορίες πρέπει να προστατεύονται από μη εξουσιοδοτημένη τροποποίηση ή παραβίαση, ενώ τέλος αυτή της διαθεσιμότητας, ότι οι πληροφορίες πρέπει να είναι άμεσα διαθέσιμες τη στιγμή που ο εκάστοτε (νομιμοποιούμενος) χρήστης απαιτεί́ πρόσβαση σε αυτές.

Ταυτόχρονα, πολλά είδη κυβερνοαπειλών (cyberthreats) συνθέτουν, αντιστοίχως, το πλαίσιο απειλών για την παραβίαση προσωπικών δεδομένων ή αποσκοπούν σε αυτό ακριβώς. Για παράδειγμα, όλοι σχεδόν έχουμε λάβει ανεπιθύμητα μηνύματα ηλεκτρονικού́ ταχυδρομείου – SPAM ή Phishing, δηλαδή κακόβουλα μηνύματα ηλεκτρονικού́ ταχυδρομείου με σκοπό να μας παραπλανήσουν και να εκμαιεύσουν εμπιστευτικές πληροφορίες. Επίσης, συχνές είναι στους φορείς ή τις επιχειρήσεις οι παραβιάσεις προσωπικών δεδομένων, δηλαδή παράνομες επιθέσεις που αποσκοπούν στη διαρροή́, αλλοίωση ή μη διαθεσιμότητα προσωπικών δεδομένων ή οι απλές διαρροές δεδομένων σε μη εξουσιοδοτημένους χρήστες από ανθρώπινο λάθος (και όχι από δόλο). Από τις σοβαρότερες παραβιάσεις, μάλιστα, θεωρείται η περίπτωση «Identity theft», όταν δηλαδή ο επιτιθέμενος αποκτά δεδομένα προσωπικού χαρακτήρα του χρήστη (passwords, αρθμούς ταυτότητας, ΑΜΚΑ, ΑΦΜ κ.α.), με αποτέλεσμα την ιδιοποίηση της ταυτότητας του χρήστη (impersonation) για την άντληση οικονομικού οφέλους εις βάρος του (π.χ. αγορές προϊόντων μέσω πιστωτικών καρτών, παράνομη επιστροφή φόρου κ.λπ.). Η κλασσική έννοια της «κλοπής» αλλάζει εντελώς περιεχόμενο και γίνεται ίσως και πιο βίαιη.

Για τις επιχειρήσεις, αντιστοίχως, οι πιο επικίνδυνες περιπτώσεις αποτελούν οι “dos attacks (denial of services)”. Πρόκειται για επιθέσεις με τις οποίες μεγάλος όγκος διαδικτυακής κίνησης στοχεύει σε μια υπηρεσία, με σκοπό να καταστεί αδύνατο από τα συστήματα να εξυπηρετήσουν νόμιμα αιτήματα. Ουσιαστικά, οι επιτιθέμενοι εκμεταλλεύονται την πεπερασμένη χωρητικότητα συστημάτων και δικτύων, ώστε να καταστήσουν αδύνατη την παροχή υπηρεσιών (απώλεια διαθεσιμότητας). Πιο γνώριμη, ίσως, στο κοινό είναι η περίπτωση των “insider threats”, δηλαδή των απειλών που προέρχονται από στελέχη, εργαζόμενους ή και εξωτερικούς συνεργάτες μιας επιχείρησης, οι οποίοι κατέχουν εσωτερική πληροφόρηση για τις πρακτικές ασφαλείας, τα υπολογιστικά συστήματα και τα δεδομένα της και επιθυμούν την πρόκληση ζημίας εις βάρος της, για λόγους δυσαρέσκειας, αντεκδίκησης ή και απλώς οικονομικούς. Οι εν λόγω απειλές μπορούν να οδηγήσουν σε πλήθος επιθέσεων με πολύ μεγάλο αντίκτυπο για τον φορέα ή την επιχείρηση και είναι εξαιρετικά δύσκολο να διαγνωσθούν ή και αντιμετωπισθούν.

Τέλος, πολύ λόγος γίνεται τώρα τελευταία για τα λεγόμενα “botnets”. Τι είναι όμως αυτά; Πρόκειται για δίκτυα, τα οποία αποτελούνται από υπολογιστικές συσκευές ανυποψίαστων χρηστών που έχουν μολυνθεί με κακόβουλο λογισμικό και ελέγχονται κεντρικά από κάποιον επιτιθέμενο, προκειμένου να χρησιμοποιηθούν ομαδικά στην αποστολή μηνυμάτων ανεπιθύμητης αλληλογραφίας, σε επιθέσεις άρνησης υπηρεσίας, σε cryptojacking κλπ. Έτσι, ο χρήστης μετατρέπεται, άθελα του, σε «εγκληματικό» εργαλείο των hackers ή των cybercriminals.

Αρμόδιοι φορείς και νομικό πλαίσιο (Stakeholders and legal framework)

Ελεγκτικοί μηχανισμοί και δημόσιοι φορείς, στους οποίους ανατίθενται οι σχετικές αρμοδιότητες ελέγχου και εποπτείας των οργανισμών και επιχειρήσεων και στους οποίους υποχρεούται μία επιχείρηση να αναφέρεται είναι, ως επί το πλείστον, η Αρχή Διασφάλισης Απορρήτου Επικοινωνίας, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η Δ/νση Δίωξης Κυβερνοεγκλήματος της Ελληνικής Αστυνομίας και φυσικά η ΕΑΚ (Εθνική Αρχή Κυβερνοασφάλειας), το κατεξοχήν αρμόδιο όργανο για τον έλεγχο και την αξιολόγηση των φορέων, τη συνολική́ διαχείριση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, τη συλλογή́ και επεξεργασία πολίτικων ασφάλειας και σχεδίων αποκατάστασης, ως και για τον συντονισμό́, εποπτεία και ενημέρωση του ιδιωτικού τομέα. Αντίστοιχο ευρωπαϊκό όργανο για την επίτευξη ενός υψηλού́ κοινού́ επιπέδου ασφάλειας πληροφοριών σε όλη την Ευρώπη είναι ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA). Ο ENISA συμβάλλει στην πολιτική της Ε.Ε. στον κυβερνοχώρο, ενισχύει την αξιοπιστία των προϊόντων, υπηρεσιών και διαδικασιών ΤΠΕ με συστήματα πιστοποίησης κυβερνοασφάλειας, συνεργάζεται με κράτη μέλη και φορείς της Ε.Ε. και βοηθά την Ευρωπαϊκή Επιτροπή να προετοιμαστεί για τις μελλοντικές προκλήσεις ασφάλειας πληροφοριών. Τέλος, το βασικό θεσμικό πλαίσιο για τα προσωπικά δεδομένα είναι ο Γενικός Κανονισμός 2016/679 και ο ν. 4624/2019, ενώ για την κυβερνοασφάλεια ο Ν. 5160/2024 (οδηγία NIS II), η Οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (2022/2557), η οποία αναμένεται να ενσωματωθεί στο εθνικό δίκαιο τους επόμενους μήνες και ο Κανονισμός DORA 2022/2554 για την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα.

Συμπέρασμα

Οι δύο υπό εξέταση τομείς, της κυβερνοασφάλειας αφενός και της προστασίας των προσωπικών δεδομένων και της ιδιωτικότητας αφετέρου, αποτελούν ενεργά πεδία παραγωγής δικαιωμάτων και υποχρεώσεων και αντίστοιχα, ενεργοποίησης ελεγκτικών και κυρωτικών μηχανισμών και έχουν, τελικά, περισσότερα κοινά απ’ ότι ευρέως θεωρείται, βαίνοντας αλληλοσυμπληρούμενοι και όχι αλληλοσυγκρουόμενοι.

Ιδιαίτερα αν αναλογισθεί κάποιος ότι αφορούν σε αντικείμενα ρύθμισης που άπτονται τόσο του ιδιωτικού όσο και του δημόσιου τομέα, αποσκοπούν στην προστασία κοινών έννομων αγαθών και αρχών, προβλέπουν την ανάγκη ενημέρωσης και ευαισθητοποίησης του κοινού, απαιτούν την διαρκή εκπαίδευση και επιμόρφωση των εμπλεκομένων προσώπων και προϋποθέτουν, τέλος, την ανάγκη συλλογής, ανάλυσης και τεκμηρίωσης δεδομένων κυβερνοεπιθέσεων που ενέχουν παραβίαση της ιδιωτικότητας, με σκοπό την απόκτηση ολοκληρωμένης εικόνας για τα εν λόγω περιστατικά, καθώς και την πραγματοποίηση περαιτέρω δράσεων για την αντιμετώπισή τους. Ο παρόμοιος, δε, τρόπος με τον οποίο αντιμετωπίζονται από το νομοθέτη ενισχύει την πεποίθηση αυτή: για παράδειγμα προβλέπεται η υποχρέωση στους φορείς και τις επιχειρήσεις να ορίζουν υπεύθυνο πρόσωπο (contact person), να λαμβάνουν μέτρα και διαδικασίες ασφαλείας (τόσο προτρεπτικά όσο και αποκαταστατικά), αλλιώς επιβάλλονται κυρώσεις, να αναφέρουν άμεσα περιστατικά παραβιάσεων στις αρμόδιες αρχές, οι οποίες, εξάλλου, είναι επιφορτισμένες, και στις δύο περιπτώσεις, να εποπτεύουν και επιβάλλουν ελέγχους κ.α.

Τούτο βεβαία δεν σημαίνει ότι δεν υπάρχει βάση στους προβληματισμούς και στις ανησυχίες που διατυπώνονται, κατά καιρούς, για την αντίθεση μεταξύ των δύο (security vs privacy). Πράγματι, στην περίπτωση που το «έννομο αγαθό» της κυβερνοασφάλειας διαχωρισθεί από το έννομο αγαθό της προστασίας της ιδιωτικότητας και κινηθεί αυτόνομα, ως υπέρτερο, για λόγους π.χ. που ανάγονται στην δημόσια τάξη και ασφάλεια, την άμυνα της χώρας ή τη δημόσια υγεία και την προστασία του περιβάλλοντος, τότε ενδεχομένως η υποχώρηση των δικαιωμάτων επί των προσωπικών μας δεδομένων να είναι εντυπωσιακή. Και αντίστοιχα, η αύξηση ισχύος της αντιπαρατιθέμενης – πια – άλλης πλευράς.