Η ΕΠΟΧΗ ΤΗΣ ΤΗΛΕΡΓΑΣΙΑΣ: ΠΩΣ ΝΑ ΔΙΑΧΕΙΡΙΣΤΕΙΤΕ ΕΞΥΠΝΑ ΤΟΥΣ ΚΙΝΔΥΝΟΥΣ

Η εξάπλωση του νέου κορονωϊού μέσα σε λίγους μήνες ανέτρεψε τις ζωές όλων. Ένα μεγάλο μέρος του εταιρικού κόσμου,  αντιμετωπίζει τις μοναδικές προκλήσεις που θέτει η σημερινή πανδημία υιοθετώντας τεχνολογίες και πρακτικές για την εξ αποστάσεως εργασία. Οι εταιρείες, αποφασισμένες να διατηρήσουν την ανάπτυξη τους, αναγκάζονται να προσαρμόζουν τις επιχειρηματικές τους πρακτικές ώστε να επιτρέπουν την τηλεργασία και να ενισχύουν την παρουσία του εργατικού τους  δυναμικού στον κυβερνοχώρο. Από την πλευρά τους, οι εργαζόμενοι βασίζονται στα ψηφιακά εργαλεία για να μπορούν να επικοινωνούν με τους συναδέλφους τους και να ολοκληρώνουν την εργασία τους, ενώ μένουν ασφαλείς στο σπίτι.

Καθώς ο αριθμός των εργαζόμενων  που συνδέονται στο διαδίκτυο κάθε μέρα για εργασία έχει σπάσει κάθε ρεκόρ, αποτελεί φυσικό επακόλουθο η αύξηση του βαθμού ευπάθειας των εταιρειών στον κυβερνοχώρο. Δυστυχώς, οι κακόβουλοι χάκερς, έχουν αρπάξει αυτήν την  ευκαιρία, και έχουν μεγιστοποιήσει τόσο τη συχνότητα όσο και την πολυπλοκότητα των επιθέσεων τους. Χαρακτηριστικό παράδειγμα αποτελούν τα phishing emails με θέμα τις ενημερώσεις για τον κορωνοϊό και  με αποστολέα δήθεν τις υγειονομικές αρχές, από χάκερς που εκμεταλλέυονται τον φόβο των πολιτών σχετικά με την πανδημία.

Οι γνωστές απειλές που προέρχονται από phishing και ransomware, η εκθετική αύξηση των σημείων πρόσβασης στο δίκτυο, η εξάρτηση από μη ασφαλή δίκτυα Wi-Fi και η αυξημένη χρήση των εικονικών ιδιωτικών δίκτυα (VPN)  οδηγούν αναπόφευκτα σε πολλαπλασιασμό επέλευσης περιστατικών παραβίασης δεδομένων.

Πολλά έχουν γραφτεί σχετικά με τις βασικές προφυλάξεις που πρέπει να λαμβάνουν οι επιχειρήσεις για να προστατευθούν από τις κυβερνοεπιθέσεις. Όλες οι εταιρείες θα πρέπει να φροντίζουν για την ανάπτυξη και την αναθεώρηση συστημάτων, πολιτικών και διαδικασιών που αποσκοπούν στη διασφάλιση της τηλεργασίας (π.χ. επαλήθευση πολλών παραγόντων, επιδιόρθωση συστημάτων VPN / απομακρυσμένης πρόσβασης, ενισχυμένη παρακολούθηση συστήματος, τείχη προστασίας). Τα εξειδικευμένα στελέχη  (π.χ οι ΥΠΔ) θα πρέπει να στοχεύουν στην αύξηση της ευαισθητοποίησης των εργαζομένων αναφορικά με την προστασία των δεδομένων ενώ εργάζονται εξ αποστάσεως και να τους εκπαιδέυουν πάνω σε  ειδικά θέματα ασφαλείας που αφορούν το πεδίο εργασίας τους. Επίσης, η διοίκηση θα πρέπει να προσφέρει νέες λύσεις ασφαλούς απομακρυσμένης πρόσβασης και να διασφαλίζει ότι τα σχέδιά ασφαλείας και επιχειρησιακής συνέχειας της εταιρείας είναι επικαιροποιημένα.

Ωστόσο, πέρα ​​από αυτές τις προφυλάξεις, η διοίκηση θα πρέπει επίσης να εξετάσει πώς θα εξασφαλίσει ότι το προσωπικό ασφαλείας ΙΤ θα  μπορεί να διαχειριστεί ενώ εργάζεται από το σπίτι, κρίσιμες εργασίες του κυβερνοχώρου – για παράδειγμα, επισκοπήσεις των αρχείων καταγραφής, ανίχνευση επιθέσων και εφαρμογή του σχεδίου αποκατάστασης περιστατικών ασφαλείας .

Για τις περισσότερες εταιρείες, τα σχετικά σχέδια διαχείρισης του κινδύνου και αποκατάστασης του περιστατικού,  προϋποθέτουν φυσική πρόσβαση σε διακομιστές αλλά  ακόμη και όταν η φυσική πρόσβαση δεν αποτελεί τεχνική απαίτηση, οι ομάδες ΙΤ μπορεί να βασίζονται στο πόσο γρήγορα θα συγκεντρωθούν σε μία κοινή αίθουσα για να συντονίσουν τις ενέργειες τους! Επομένως, ο εντοπισμός και η αντιμετώπιση ενός περιστατικού, ενώ το βασικό προσωπικό ασφαλείας είναι  διασκορπισμένο και εργάζεται εξ αποστάσεως θα δημιουργήσει νέες μοναδικές προκλήσεις.

Ένα από τα χειρότερα πιθανά σενάρια, είναι ότι οι επαγγελματίες ΙΤ που είναι υπεύθυνοι για τον εντοπισμό και την αποτροπή παραβιάσεων ενδέχεται να καταλήξουν οι ίδιοι αποκλεισμένοι από τα συστήματα απομακρυσμένης πρόσβασης που καλούνται να προστατεύσουν. Χωρίς φυσική πρόσβαση στους επηρεαζόμενους διακομιστές και τα συστήματα δημιουργίας αντιγράφων ασφαλείας, τα πρωτόκολλα ανταπόκρισης στις διεισδύσεις ενδέχεται να μην είναι πλέον έγκυρα  ενώ παράλλλα οι αναλύσεις για τον προσδιορισμό του εύρους και της σοβαρότητας μιας παραβίασης δεν θα είναι το ίδιο αξιόπιστες.

Παρ’ολα αυτά κατόπιν μελέτης και σχεδιασμού, οι εταιρείς θα μπορούν να μετριάσουν όλα αυτά τα ρίσκα. Βασικά μέτρα τέτοιου σχεδιασμού αποτελούν τα εξής:

  • Ανάπτυξη εναλλακτικών καναλιών επικοινωνίας. Οι εταιρείες θα πρέπει να καθιερώσουν εναλλακτικά μέσα επικοινωνίας για το προσωπικό που διαχειρίζεται τα περιστατικά ασφαλείας. Και τούτο διότι, υπό κανονικές συνθήκες εργασίας (στις εγκαταστάσεις της εταιρείας), τα μέλη της ομάδας ασφάλειας μπορούν γρήγορα να συγκεντρωθούν στο γραφείο για να συντονίσουν το σχέδιο τους, αν χρειαστεί, ενώ εάν μια κυβερνοεπίθεση θέτει σε κίνδυνο τους διακομιστές ηλεκτρονικού ταχυδρομείου ή τις εφαρμογές επικοινωνίας μέσω διαδικτύου, και τα μέλη της ομάδας ασφαλείας εργάζονται εξ αποστάσεως, η ικανότητα της εταιρείας να συντονίζει γρήγορα μια αποτελεσματική ανταπόκριση διακυβευέται. Επομένως, καθίσταται επιτακτική ανάγκη εκπόνησης ενός τεκμηριωμένου εναλλακτικού σχεδίου. Σε πολλές εταιρείες έχουν ήδη προκαθοριστεί γέφυρες επικοινωνίας μέσω βίντεο και τηλεδιάσκεψης και πλατφόρμες ανταλλαγής μηνυμάτων που επιτρέπουν τη δημιουργία μιας γρήγορης ενναλακτικής δράσης.
  • Ορισμός εφεδρικού προσωπικού. Οι εταιρείες πρέπει επίσης να έχουν προβλέψει την περίπτωση που το βασικό προσωπικό ασφαλείας, το οποίο διαχειρίζεται την αντιμετώπιση των περιστατικών να μην είναι διαθέσιμο λόγω νοσηλείας. Ως εκ τούτου θα πρέπει να έχουν οριστεί εκτ ων προτέρων αντικαταστάτες ή τρίτοι συμβεβλημένοι υπεύθυνοι ασφαλείας για να ικανοποιήσουν τις ανάγκες της εταιρείας.
  • Επανεξέταση του βασικού σχεδίου ασφαλείας. Οι εταιρείες θα πρέπει να επανεξετάσουν το σχέδιο ασφαλείας τους με στόχο τον εντοπισμό περιπτώσεων όπου συνήθως θα απαιτείται η φυσική παρουσία των μελών του προσωπικού. Στη συνέχεια, η διοίκηση θα πρέπει να αναπτύξει ένα σχέδιο είτε για να παρακάμψει την ανάγκη για αυτή τη φυσική παρουσία είτε για να διασφαλίσει ότι το απαραίτητο προσωπικό θα έχει πρόσβαση μόνο σε κρίσιμες υποδομές χωρίς να διακυβεύεται η ασφάλεια ή η υγεία του.
  • Εκτέλεση άσκησης προσομοίωσης. Ένα κοινό πρόβλημα που αντιμετωπίζουν οι εταιρείες είναι ότι δεν καταφέρνουν πράγματι να εκτελέσουν τα σχέδια αντιμετώπισης περιστατικών ασφαλείας για τη δημιουργία των οποίων έχουν επενδύσει αρκετό χρόνο και πόρους. Οι ασκήσεις προσομοίωσης, οι οποίες αντιμετωπίζουν ρεαλιστικά ένα περιστατικό ασφαλείας, είναι βασικές για τον εντοπισμό λαθών σε ένα πρόγραμμα αντιμετώπισης περιστατικών. Ειδικά στο πλαίσιο ενός απομακρυσμένου εργασιακού περιβάλλοντος, οι εταιρείες μπορούν να αξιοποιήσουν τέτοιες ασκήσεις για τον εντοπισμό τρωτών σημείων στις διαδικασίες απόκρισης όταν οι εργαζόμενοι καλούνται να δράσουν από το περιβάλλον του σπιτιού τους και η επικοινωνία είναι δύσκολη.
  • Διεξαγωγή ελέγχων ευπάθειας των εικονικών ιδιωτικών δικτύων (VPN). Tα τρωτά σημεία των VPN βρίσκονται σε ιδιαίτερο κίνδυνο τόσο επειδή τα δίκτυα αυτά θεωρείται ότι είναι «πάντα» από τη φύση τους ασφαλή και άρα δύσκολα έχει ήδη προβεί κάποιος σε νεότερο έλεγχο τους αλλά και επειδή πλέον οι χάκερ στοχεύουν όλο και περισσότερο στο να καταφέρουν να τα διαπεράσουν.
  • Εκτίμηση ανάγκης παροχής αυξημένων προνομίων στους διαχειριστές. Οι εταιρείες που επιθυμούν να ενισχύσουν τις δυνατότητες γρήγορης και αποτελεσματικής αντιμετώπισης περιστατικών ενδέχεται να μπουν στον πειρασμό να επεκτείνουν τα δικαιώματα διαχειριστών διευρύνοντας τα δικαιώματα πρόσβασης ή αυξάνοντας τον αριθμό των ατόμων που κατέχουν τα δικαιώματα αυτά. Ωστόσο, αυτές οι επεκτάσεις δικαιωμάτων αποτελούν σημαντικές πηγές ευπάθειας. Έτσι, οι εταιρείες πρέπει να σταθμίζουν προσεκτικά τις ανάγκες πρόσβασης σε αντίστοιχα αρχεία καταγραφής με τους αυξημένους κινδύνους που προκύπτουν και να είναι βέβαιοι ότι όλοι οι προνομιούχοι λογαριασμοί είναι ασφαλείς και υπό έλεγχο.
  • Μελέτη των οδηγιών από αρμόδιες αρχές και οργανώσεις. Για παράδειγμα Αρχές προστασίας δεδομένων προσωπικού χαρακτήρα έχουν δημοσιεύσει κατευθυντήριες γραμμές για τη διαχείριση περιστατικών αλλά και συμβουλές εμπειρογνωμόνων που οι εταιρείες μπορούν να εκμεταλλευτούν για να μετριάσουν τους κινδύνους της απομακρυσμένης εργασίας.

Λόγω του COVID-19, οι εταιρείες βασίζουν τη λειτουργία τους σε απομακρυσμένο εργατικό δυναμικό με αποτέλεσμα να αφήνονται εκτεθειμένες σε νέες ευπάθειες που οι επιδρομείς του κυβερνοχώρου είναι έτοιμοι να εκμεταλλευτούν. Τώρα είναι η ώρα να επανεξετάσουν τα σχέδια αντιμετώπισης περιστατικών και επιχειρησιακής συνέχειας για να εξασφαλίσουν ότι είναι έτοιμοι να ανταπεξέλθουν σε αυτές τις νέες απειλές.

 

ΣΥΜΒΟΥΛΕΣ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΕΞ ΑΠΟΣΤΑΣΕΩΣ ΕΡΓΑΣΙΑ

Ο Παγκόσμιος Οργανισμός Υγείας (WHO)  έχει ορίσει ως πανδημία το νέο μυστηριώδη ιό COVID-19 (Coronavirus). Στην προσπάθεια τους οι εταιρείες και οι οργανισμοί να περιορίσουν τις επιπτώσεις που ακολουθούν την εξάπλωση του, λαμβάνουν ενεργά μέτρα, ζητώντας από το προσωπικό τους να εργαστεί εξ αποστάσεως και από την ασφάλεια των σπιτιών τους, για να αποφύγει τη μόλυνση, μη γνωρίζοντας ταυτόχρονα για πόσο διάστημα θα χρειαστεί να συνεχιστεί η εργασία τους με αυτόν τον τρόπο. Αναπόφευκτα, αυτές οι εξελίξεις προκαλούν κρίσεις στον τομέα του κυβερνοχώρου και των προσωπικών δεδομένων.

Παρ’ όλο που η εργασία εκ αποστάσεως προσφέρει ευελιξία στους εργαζόμενους, συνεπάγεται πραγματικούς κινδύνους για την ασφάλεια του κυβερνοχώρου, τους οποίους οι εταιρείες και οργανισμοί οφείλουν να λάβουν υπόψιν τους  όσο αυτό το μέτρο κατά της εξάπλωσης του COVID-19 συνεχίζεται.

Κατά την εφαρμογή του συστήματος απομακρυσμένης εργασίας, υπάρχει αυξημένος κίνδυνος πρόσβασης των εργαζομένων στα δεδομένα μέσω ασύρματων και μη ασφαλών δικτύων Wi-Fi. Οι κίνδυνοι αυξάνονται εφόσον οι εργαζόμενοι χρησιμοποιούν προσωπικές συσκευές για την εκτέλεση εργασιών και εφόσον δεν ακολουθούν  τα γενικά πρωτόκολλα ασφαλείας που έχει θεσπίσει η εταιρεία.

Παράλληλα, οι εργαζόμενοι που δουλεύουν εξ αποστάσεως, δυσκολεύονται πολλές φορές να εξισορροπήσουν την εργασία με τα παιδιά ή ακόμα και τα κατοικίδια ζώα που βρίσκονται στο σπίτι, ή ενδέχεται τις εργάσιμες ώρες να ασχολούνται με  καθημερινές δουλειές του σπιτιού με αποτέλεσμα να αποσπάται η προσοχή τους. Τα μικρά  παιδιά που μπορεί να έχουν πρόσβαση σε έναν ανοικτό υπολογιστή μπορεί εύκολα να προκαλέσουν περιστατικό ασφαλείας ή να πέσουν θύματα επιθέσεων phishing.

Για τους λόγους αυτούς,  το ανθρώπινο δυναμικό θα πρέπει να εκπαιδεύεται συχνά και να του παρέχονται σαφείς οδηγίες ανάλογα με την πολιτική απομακρυσμένης πρόσβασης που εφαρμόζει κάθε εταιρεία.

Επιπλέον, θα πρέπει να δοθεί ιδιαίτερη έμφαση στην συνεργασία των τμημάτων του ανθρώπινου δυναμικού (ΗR) με το τμήμα Πληροφορικής (ΙΤ),  έτσι ώστε να ακολουθείται ένα σταθερό και δυνατό επίπεδο ελέγχου σε όλη την εταιρεία ή τον οργανισμό.

Αναμφίβολα, η πολιτική απομακρυσμένης πρόσβασης που πρέπει να εφαρμόζεται,  θα διασφαλίζει ότι  οι συνδέσεις στο δίκτυο και η συνακόλουθη διαβίβαση δεδομένων θα πραγματοποιείται μέσω ενός εικονικού ιδιωτικού δικτύου (VPN), το οποίο δρομολογεί με ασφάλεια τις συνδέσεις μέσω του ιδιωτικού δικτύου της εταιρείας ή άλλου μηχανισμού κρυπτογραφημένης σύνδεσης.  Όπου οι υπάλληλοι μπορούν να έχουν πρόσβαση εξ αποστάσεως σε ευαίσθητες πληροφορίες στο δίκτυο, τα VPN θα πρέπει να διαμορφώνονται με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ως πρόσθετο μέτρο ασφαλείας. Με αυτόν τον τρόπο, θα είναι αδύνατο ένας μη εξουσιοδοτημένος χρήστης  να συνδεθεί μέσω του VPN χωρίς την ταυτοποίηση του από δεύτερο παράγοντα (π.χ  κωδικός που αποστέλλεται σε smartphone του εργαζόμενου, βιομετρική ταυτοποίηση, κλπ).

Το Τμήμα Πληροφορικής θα πρέπει να διασφαλίζει ότι έχουν εγκατασταθεί firewalls για να εντοπίζονται απόπειρες εισβολής από μη εξουσιοδοτημένες ή ύποπτες διευθύνσεις πρωτοκόλλου Internet (IP). Εάν υπάρχουν περιοχές της χώρας ή / και του κόσμου από τις οποίες οι εργαζόμενοι δεν έχουν λόγο να συνδέονται εξ αποστάσεως με το δίκτυο της εταιρείας, το Τμήμα Πληροφορικής μπορεί αποτρέψει τις συνδέσεις αυτές θέτοντας  σε “μαύρη λίστα” τις IP διευθύνσεις  για τις συγκεκριμένες γεωγραφικές περιοχές.  Σε μια πολυεθνική εταιρεία όπου οι εργαζόμενοι μπορεί να είναι διασκορπισμένοι σε όλο τον κόσμο ίσως το μέτρο αυτό να μην μπορεί να εφαρμοστεί, ωστόσο δεν ισχύει το ίδιο για μικρότερες εταιρείες αλλά και το δημόσιο τομέα.

Όπως προαναφέραμε, οι προσωπικές συσκευές που ενδέχεται να χρησιμοποιούν οι εργαζόμενοι, όταν εργάζονται εξ αποστάσεως παρουσιάζει πρόσθετους κινδύνους στον κυβερνοχώρο λόγω της έλλειψης εταιρικού ελέγχου των συσκευών. Όταν οι κινητές συσκευές (π.χ. κινητά τηλέφωνα, tablet, φορητοί υπολογιστές κλπ). επιτρέπεται να συνδεθούν στο εταιρικό δίκτυο, οι εταιρείες θα πρέπει να διασφαλίζουν ότι αυτές οι συσκευές είναι εξοπλισμένες με λογισμικό διαχείρισης συσκευών κινητής τηλεφωνίας (MDM). Το λογισμικό MDM επιτρέπει στο εταιρικό Τμήμα Πληροφορικής να διαχειρίζεται τέτοιες συσκευές διασφαλίζοντας ότι οι συσκευές είναι διαμορφωμένες σύμφωνα με ασφαλή πρότυπα, ενημερώσεις λογισμικού και ενημερώσεις κώδικα για τις συσκευές και τις εφαρμογές που περιέχονται σε αυτές, εντοπίζοντας την τοποθεσία των συσκευών και – ακόμη σε περιπτώσεις όπου αυτές οι συσκευές χάνονται ή που μπορεί να κλαπούν – επιτρέποντας τη διαγραφή των δεδομένων από απόσταση.

Αυτή η περίοδος είναι ιδανική για να παρασχεθεί μία ενημερωμένη εκπαίδευση στο προσωπικό σχετικά με τις αποδεκτές πολιτικές χρήσης, την υλικοτεχνική υποδομή σύνδεσης, την κατάλληλη χρήση του Wi-Fi και τα μέτρα που πρέπει να ληφθούν σε περίπτωση αντιμετώπισης περιστατικού ασφαλείας. Η εκπαίδευση αυτή θα ήταν ορθό να ενημερώσει το προσωπικό για τον αυξημένο κίνδυνο επιθέσεων ηλεκτρονικού “ψαρέματος” (phishing) που έχει προκαλέσει η πανδημία του COVID-19. Οι εγκληματίες του κυβερνοχώρου, αναγνωρίζουν και προσπαθούν να εκμεταλλευτούν το γεγονός ότι οι υπάλληλοι είναι λιγότερο προσεκτικοί σε συνθήκες απομακρυσμένης εργασίας. Έχουν ήδη αναφερθεί αναφορές από επιτιθέμενους που εκμεταλλεύονται τον COVID-19 στέλνοντας κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου σε επιχειρήσεις σε γεωγραφικές περιοχές που επηρεάζονται σημαντικά από τον ιό. Θα πρέπει να τονιστεί ότι  όλοι οι υπάλληλοι οφείλουν να προσέχουν κατά το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου, ιδιαίτερα εκείνων που περιέχουν συνδέσμους ή συνημμένα, και να αναφέρουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου στο τμήμα πληροφορικής. Ανεξάρτητα από τις προσπάθειες της εταιρείας και τα εξελιγμένα μέτρα ασφαλείας που έχουν τεθεί σε εφαρμογή για τη δημιουργία ασφαλούς περιβάλλοντος για τους απομακρυσμένους εργαζόμενους, ο κίνδυνος του ανθρώπινου λάθους είναι πάντα αυτός που υπερτερεί.

Βασικό μέτρο που είναι αναγκαίο να εφαρμοστεί είναι και η τήρηση μιας λίστας με τα στοιχεία επικοινωνίας για το βασικό προσωπικό της εταιρείας, συμπεριλαμβανομένου του προσωπικού πληροφορικής. Όλοι οι εργαζόμενοι θα πρέπει να την  έχουν στη διάθεση τους, σε έντυπη μορφή ενώ εργάζονται εξ αποστάσεως. Ομοίως, οι υπάλληλοι που συμμετέχουν στην ομάδα αντιμετώπισης περιστατικών της ασφαλείας της εταιρείας θα πρέπει να έχουν διαβάσει το σχέδιο αντιμετώπισης περιστατικών παραβίασης της εταιρείας και να τους είναι εύκολα προσβάσιμο αλλά και υλοποιήσιμο σε περίπτωση εμφάνισης συμβάντος στον κυβερνοχώρο, ενώ παραμένουν εκτός γραφείου.

Σε κάθε περίπτωση για την νομότυπη και ασφαλή διαχείριση των δεδομένων κρίνεται αναγκαία η συμβολή και καθοδήγηση του Υπεύθυνου Προστασίας Προσωπικών δεδομένων που έχει οριστεί από την εκάστοτε εταιρεία είτε στο δημόσιο ή στον ιδιωτικό τομέα.

Είναι άλλωστε σημαντικό να θυμόμαστε ότι όλες οι εταιρείες είναι διαφορετικές, με περισσότερο ή λιγότερο πολύπλοκες δομές, και ότι  ανάλογα με το μέγεθος και την σύνθεση της εταιρείας καθώς και την ευαισθησία των πληροφοριών που διατηρεί η κάθε μία, οι έλεγχοι και διαδικασίες μπορεί να διαφέρουν ουσιωδώς, με αποτέλεσμα να καθίσταται επιτακτική η ανάγκη μίας εξειδικευμένης καθοδήγησης.

ΑΠΔΠΧ: ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ΔΙΑΧΕΙΡΙΣΗΣ ΤΟΥ COVID-19

Μετά τη δήλωση του Ευρωπαϊκού Συμβουλίου Προστασίας Προσωπικών δεδομένων, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του COVID-1, η ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων εξέδωσε κείμενο Κατευθυντήριων Γραμμών, κατόπιν της υπ’ αρ. 5/2020 απόφασης της Ολομέλειάς της.

Σύμφωνα με τις σχετικές οδηγίες, η Αρχή επιβεβαιώνει και τα όσα δήλωσε το ανωτέρω Συμβούλιο ενισχύοντας την άποψη του ότι η προστασία προσωπκών δεδομένων και η σχετική νομοθεσία του GDPR δεν θα αποτελέσει τροχοπέδη στην αντιμέτωπιση αυτής της κρίσιμης κατάστασης. Συνακόλουθα, η ΑΠΔΠΧ δήλωσε ότι  το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο και ότι πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται σε σχέση με άλλα θεμελιώδη δικαιώματα, όπως η ζωή και η υγεία.

Στο κείμενο επίσης εξειδικεύονται τα προσωπικά δεδομένα που μπορεί να τυγχάνουν επεξεργασίας για την διαχείριση του ιού από τόσο από υγειονομικές μονάδες όσο και από εργοδότες.

Επιπλέον, κάνει αναφορά στις νομιμοποιητικές βάσεις επεξεργασίας τόσο του ν. 4624/2019  όσο και του GDPR σε συνδυασμό με την υπ’ αρ. 01/2020 Γνωµοδότηση της Αρχής, και τις σχετικές ρυθμίσεις των ΠΝΠ και των εφαρµοστικών αυτών υπουργικών αποφάσεων.

Στη συνέχεια οι κατευθυντήριες γραμμές αναλύουν το πλαίσιο επεξεργασίας των προσωπικών δεδομένων στον ιδιωτικό τομέα, ιδίως τις εργασιακές σχέσεις, και ορίζει ότι από τις κείµενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010) προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία συναφή προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων, αφετέρου, οι εργαζόµενοι οµοίως υποχρεούνται να εφαρµόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόµων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαµβανοµένης της υποχρέωσής τους να αναφέρουν αµέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που µπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άµεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Τονίζει βέβαια ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας και ότι σε κάθε περίπτωση πρέπει να δοθεί ιδιαίτερη προσοχή στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό (αρχές του περιορισµού της επεξεργασίας σε συνδυασµό µε την αρχή της αναλογικότητας), τηρουµένης της αρχής της ασφαλούς επεξεργασίας (ιδίως της εµπιστευτικότητας πληροφοριών) δια της λήψης της απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας.

Αναφορά κάνει επίσης στα δεδομένα θανόντων, που παρ’ όλο που δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα, εφόσον η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, τότε θα πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.

Η ΑΠΔΠΧ αναφέρθηκε επίσης  στην επεξεργασία δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, και της αναγκαιότητας αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και η Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19 παρ. 2 ΠΝΠ ΦΕΚ Α’55/11-3-2020) ή κατόπιν ψευδωνυµοποίησης και λήψης των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφαλείας (βλ. άρθρο πέµπτο ΠΝΠ ΦΕΚ Α’64/14-3-2020).

Τέλος, λόγω της συνεχούς εξέλιξης των πραγµατικών και νοµικών δεδοµένων, η ΑΠΔΠΧ  επιφυλάχθηκε να εκδώσει ειδικότερες οδηγίες, εφόσον χρειαστεί.

Δείτε τις κατευθυντήριες γραμμές εδώ.

Η ΔΗΛΩΣΗ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΣΥΜΒΟΥΛΙΟΥ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΓΙΑ ΤΟΝ COVID-19

Καθώς βρισκόμαστε σε μια πρωτόγνωρη πρόκληση που προκαλεί η πανδημία του Κορωνοϊού, το Ευρωπαϊκό Συμβούλιο Προστασίας Προσωπικών Δεδομένων (EDPB),  θεώρησε σκόπιμο να προβεί σε δήλωση σχετικά με την προστασία των προσωπικών δεδομένων εφόσον γίνεται επεξεργασία απλών και κυρίως ειδικών κατηγοριών π.δ. για την πρόληψη και το μετριασμό του κινδύνου που προκύπτει από την εξάπλωση του ιού.

Ο πρόεδρος του Συμβουλίου χαρακτηριστικά τονίζει ότι οι κανόνες για την προστασία προσωπικών δεδομένων  όπως είναι ο GDPR, δεν θα εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωναϊού. Ωστόσο, τονισε ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίζει την προστασία των προσωπικών δεδομένων των υποκειμένων των δεδομένων. Επομένως, θα πρέπει να ληφθούν υπόψη διάφοροι παράγοντες  που θα εγγυώνται τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων.

Το GDPR είναι μια ευρεία νομοθεσία και προβλέπει ρητά τους κανόνες που ισχύουν για την επεξεργασία των προσωπικών δεδομένων σε ένα πλαίσιο όπως αυτό που σχετίζεται με το COVID-19. Πράγματι, ο GDPR ορίζει νοιμοποιητικές βάσεις που επιτρέπουν στους εργοδότες και στις αρμόδιες δημόσιες υγειονομικές αρχές την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο επιδημιών, χωρίς να απαιτείται η συναίνεση του υποκειμένου των δεδομένων. Αυτό ισχύει, για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για τους εργοδότες για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (Άρθρα 6 και 9 του GDPR) ή προς συμμόρφωση τους με άλλη νομική υποχρέωση.

Για την επεξεργασία δεδομένων στην ηλεκτρονική επικοινωνία, όπως είναι τα δεδομένα τοποθεσίας κινητού τηλεφώνου, εφαρμόζονται επιπρόσθετοι κανόνες. Οι εθνικές νομοθεσίες που εφαρμόζουν την οδηγία  e-Privacy για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών προβλέπουν την αρχή ότι τα δεδομένα θέσης μπορούν να χρησιμοποιηθούν μόνο από τον χειριστή όταν ανωνυμοποιούνται  ή με τη συγκατάθεση των ατόμων. Οι δημόσιες αρχές θα πρέπει πρώτα να επιδιώξουν την επεξεργασία των δεδομένων θέσης σε ανωνυμοποιημένη μορφή (δηλ. επεξεργασία δεδομένων που συγκεντρώνονται με τρόπο που δεν μπορεί να γίνει αναστροφή τους σε προσωπικά δεδομένα). Αυτό θα μπορούσε να επιτρέψει τη δημιουργία αναφορών σχετικά με τη συγκέντρωση των κινητών συσκευών σε μια συγκεκριμένη τοποθεσία (“χαρτογράφηση”).

Όταν δεν είναι δυνατή η επεξεργασία μόνο ανώνυμων δεδομένων, το άρθρο 15 της οδηγίας e-Privacy για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών επιτρέπει στα κράτη μέλη να θεσπίσουν νομοθετικά μέτρα για την εθνική ασφάλεια και τη δημόσια ασφάλεια. Αυτή η νομοθεσία έκτακτης ανάγκης είναι δυνατή υπό την προϋπόθεση ότι αποτελεί ένα αναγκαίο, κατάλληλο και αναλογικό μέτρο μιας δημοκρατικής κοινωνίας. Εάν θεσπιστούν τέτοιου είδους μέτρα, το κράτος μέλος υποχρεούται να θέσει σε εφαρμογή επαρκείς διασφαλίσεις, όπως τη χορήγηση στους πολίτες του δικαιώματος δικαστικής προσφυγής.

Συμπερασματικά θα λέγαμε ότι, ο GDPR έχει εξετάσει ρητά το είδος επεξεργασίας που έχει προκύψει με τη νέα αυτή συνθήκη της πανδημίας. Τα μέτρα που εφαρμόζονται ήδη για την καταπολέμήση του μπορούν και πρέπει να εφαρμοστούν εφόσον άλλωστε υπερέχει η αξία της ανθρώπινης ζωής. Σε κάθε περίπτωση όμως, κάθε υπεύθυνος επεξεργασίας στο μέτρο που είναι εφικτό θα πρέπει να ακολουθεί τις αρχές της αναγκαιότητας, της νομιμότητας, αντικειμενικότητας και διαφάνειας, του περιορισμού του σκοπού, του περιορισμού της περιόδου αποθήκευσης, της ακεραιότητας και της εμπιστευτικότητας και της ελαχιστοποίησης. Παράλληλα, κρίνεται ευκταίο να λαμβάνουν τα κατάλληλα τεχνικά κι οργανωτικά μέτρα (όπως η κρυπτογράφηση) για την αποφυγή παραβίασης των προσωπικων δεδομένων και να προτιμάται σε πρώτο στάδιο η ανωνυμοποίηση τους αν γίνεται μαζική συλλογή όπως ορίζεται στην οδηγία e-Privacy.

 

ΚΟΡΩΝΟΪΟΣ ΚΑΙ ΕΡΓΑΣΙΑΚΟ ΠΕΡΙΒΑΛΛΟΝ: ΤΙ ΜΠΟΡΟΥΝ ΝΑ ΣΥΛΛΕΞΟΥΝ ΚΑΙ ΤΙ ΝΑ ΑΠΟΚΑΛΥΨΟΥΝ ΟΙ ΕΡΓΟΔΟΤΕΣ;

Είναι γεγονός ότι ολόκληρος ο πλανήτης παρακολουθεί με αγωνία τις ραγδαίες εξελίξεις γύρω από την εξάπλωση του κορωνοϊού, με προσπάθειες για λήψη μέτρων σε ατομικό και συλλογικό επίπεδο για την αντιμετώπισή του.

Η Ιταλία είναι η χώρα που βρίσκεται εδώ και πολλές ημέρες στο επίκεντρο των συζητήσεων, αφού μέσα σε πολύ μικρό χρονικό διάστημα ο αριθμός των κρουσμάτων αλλά και των νεκρών έχει αυξηθεί δραματικά. Με συνολικά πάνω από 10.000 κρούσματα, σε μία και μόνο ημέρα καταγράφηκαν 168 θάνατοι, με τον αριθμό των νεκρών να φτάνει από τους 463 στους 631.

Ένα από τα θέματα που έχουν ευλόγως προκύψει αφορά τους εργοδότες και τα μέτρα που αυτοί χρειάζεται να λάβουν για τον περιορισμό του ιού. Τι θα πρέπει οι εργοδότες να λαμβάνουν υπόψη όταν υποπτεύονται κάποιο πιθανό κρούσμα και τι στοιχεία έχουν τη δυνατότητα να ζητάνε από τους εργαζομένους τους; Μπορούν οι εργοδότες να συλλέγουν προσωπικά δεδομένα των εργαζομένων για να τα επεξεργαστούν για λόγους που συνδέονται με την αποτροπή εξάπλωσης του ιού, εκφεύγουν ωστόσο από τους νόμιμους σκοπούς επεξεργασίας;

Όπως δήλωσε η ίδια η Ιταλική Αρχή, αυτή λαμβάνει συχνά το τελευταίο διάστημα ερωτήματα από δημόσιους και ιδιωτικούς φορείς με θέμα τη δυνατότητα προληπτικής συλλογής από τους εργαζομένους πληροφοριών σχετικών με την παρουσία συμπτωμάτων του κορωνοϊού, καθώς και αναφορικά με τις τελευταίες τους μετακινήσεις, με στόχο την ιχνηλασιμότητα και την αντιμετώπιση του ιού. Ένα ακόμη ερώτημα που απασχόλησε επανειλημμένως την Αρχή, αφορούσε την λεγόμενη «αυτοδήλωση» των εργαζομένων ότι οι τελευταίοι δεν έχουν παρουσιάσει συμπτώματα γρίπης, σε συνδυασμό με την παροχή επιπλέον ευαίσθητων προσωπικών πληροφοριών.

Στο πλαίσιο αυτό, η Ιταλική Αρχή κατ’ αρχάς τόνισε ότι αρμόδια για την διεξαγωγή των απαιτούμενων ιατρικών ελέγχων των εργαζομένων είναι η εκ του νόμου ορισμένη υγειονομική Αρχή. Από την άλλη μεριά, η Αρχή υπογράμμισε ότι οι εργοδότες πρέπει να απέχουν από την εκ των προτέρων και με συστηματικό και γενικευμένο τρόπο συλλογή προσωπικών δεδομένων εργαζομένων, μεταξύ άλλων μέσω συγκεκριμένων αιτήσεων προς τον συγκεκριμένο εργαζόμενο, που αφορούν την εκδήλωση τυχόν συμπτωμάτων γρίπης σε αυτόν ή στις πλησιέστερες επαφές του, ενώ σε καμία περίπτωση οι εργοδότες δεν δύνανται να συλλέξουν πληροφορίες που αφορούν καταστάσεις και πρόσωπα εκτός του εργασιακού περιβάλλοντος.

Σύμφωνα με την Ιταλική Αρχή, η πρόληψη της εξάπλωσης του κορωνοϊού είναι ένας στόχος που πρέπει να επιτύχουν οι φορείς που έχουν επισήμως επιφορτιστεί με αυτή την αποστολή με κατάλληλο και επαγγελματικό τρόπο. Άλλωστε, η έρευνα και η συλλογή πληροφοριών σχετικά με τα τυπικά συμπτώματα του κορωνοϊού και τις πρόσφατες μετακινήσεις κάθε ατόμου είναι ευθύνη των επαγγελματιών του τομέα της υγείας και του συστήματος πολιτικής προστασίας που προσφάτως εγκρίθηκαν από τον κρατικό μηχανισμό.

Επομένως, σε συμφωνία και με τις συστάσεις της Εποπτικής Αρχής της Δανίας, στο πλαίσιο των κανόνων προστασίας δεδομένων, ο εργοδότης μπορεί να καταγράφει και να αποκαλύπτει πληροφορίες που δεν είναι απολύτως συγκεκριμένες και θα μπορούσαν να θεωρηθούν δεδομένα υγείας όταν οι καταστάσεις το απαιτούν. Για παράδειγμα, τέτοια δεδομένα μπορεί να αποτελούν τα κατωτέρω:

  • Ότι ένας εργαζόμενος έχει επιστρέψει από τις λεγόμενες «περιοχές κινδύνου»
  • Ότι ένας εργαζόμενος βρίσκεται σε κατ’ οίκον περιορισμό (χωρίς να δηλώνεται ο λόγος)
  • Ότι ένας εργαζόμενος είναι άρρωστος (χωρίς να δηλώνεται ο λόγος).

Σε ορισμένες περιπτώσεις, είναι επίσης δικαιολογημένο για τον εργοδότη να καταγράφει και να αποκαλύπτει πληροφορίες οι οποίες μπορεί να θεωρηθούν δεδομένα υγείας, όπως ότι ένας εργαζόμενος έχει μολυνθεί από τον κορωνοϊό. Η δικαιολογητική βάση εδώ μπορεί να είναι ότι η διοίκηση και οι συνάδελφοι του εργαζομένου θα πρέπει να λάβουν όλες τις απαραίτητες προφυλάξεις.

Ωστόσο, είναι σημαντικό για τους εργοδότες να λαμβάνουν υπόψη πάντα ότι η καταχώριση ή η κοινοποίηση πρέπει να είναι πραγματική, ενώ παράλληλα οι πληροφορίες που αποκαλύπτονται πρέπει να περιορίζονται σε ό,τι είναι απαραίτητο. Συνεπώς, ο εργοδότης πρέπει να εξετάσει:

  • εάν υπάρχει πράγματι ένας σοβαρός λόγος για την καταχώριση ή τη γνωστοποίηση των εν λόγω πληροφοριών,
  • κατά πόσο είναι απαραίτητο να διευκρινιστούν περαιτέρω οι διαθέσιμες πληροφορίες (πώς μπορεί να εφαρμοστεί στην συγκεκριμένη περίπτωση η αρχή της ελαχιστοποίησης), και
  • εάν είναι απαραίτητο να ανακοινώσει στους λοιπούς εργαζομένους ονόματα (π.χ. το όνομα του προσβεβλημένου ατόμου ή του εργαζόμενου που παραμένει σε κατ’ οίκον περιορισμό).

ΚΟΡΩΝΟΪΟΣ: Η ΝΕΑ ΤΑΣΗ ΣΤΙΣ ΕΠΙΘΕΣΕΙΣ PHISHING

Καθώς οι ανακοινώσεις για την πρόληψη και την αντιμετώπιση του κορωνοϊού (COVID-19) έχουν λάβει μεγάλες διαστάσεις, οι κρατικές υπηρεσίες και οι φορείς προσφέρουν πληροφορίες και καθοδήγηση σε όλα τα επίπεδα, ενώ οι οργανισμοί προσπαθούν να προετοιμαστούν και να προστατεύσουν εργαζομένους και πελάτες. Ωστόσο, υπάρχει μια πτυχή των ενημερωτικών αυτών δράσεων που δεν έχει προσεχθεί αρκετά… και αυτή δεν είναι άλλη από τις επιθέσεις ηλεκτρονικού ψαρέματος (email phishing attacks) από ενημερωμένους hackers, οι οποίοι προσπαθούν να αξιοποιήσουν τον φόβο των ανθρώπων προς όφελός τους.

Οι οργανισμοί σε όλο τον κόσμο ενημερώνουν τους εργαζόμενους σχετικά με τον κορωνοϊό σε τομείς που αφορούν κυρίως ενημερωμένες ταξιδιωτικές πολιτικές και απαιτήσεις εργασίας στο σπίτι. Οι επιχειρήσεις ενδέχεται επίσης να προσαρμόζουν ή να αλλάζουν προγραμματισμένα συνέδρια και επιχειρηματικές πρωτοβουλίες με σκοπό την αποτροπή της εξάπλωσης του ιού. Οι hackers, ωστόσο, έχουν κάνει την έρευνά τους και έχουν ήδη αρπάξει την ευκαιρία…

Μέσα από την κοινωνική μηχανική -δηλαδή τις πράξεις χειραγώγησης των ατόμων με σκοπό την απόσπαση προσωπικών πληροφοριών- μπορούν να στοχεύσουν σε εργαζόμενους οργανισμών οι οποίοι, βάσει θέσης ή χαρακτηριστικών, είναι περισσότερο πιθανό να ανταποκριθούν σε μια ηλεκτρονική αλληλογραφία με κάποιον που προσποιείται τον διευθυντή ή κάποιον ανώτερο τους. Όπως συνέβη στην περίπτωση της WHO phishing campaign (βλ. παρακάτω) αλλά και σε άλλες περιπτώσεις, οι εργαζόμενοι ενός οργανισμού ενδέχεται να λαμβάνουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία εκ πρώτης όψεως φαίνεται να προέρχονται από τον διευθυντή τους. Ο εκάστοτε hacker μπορεί να υποκλέψει την ταυτότητα ενός ανώτερου στελέχους του οργανισμού καθώς και την εμφανή διεύθυνση ηλεκτρονικού του ταχυδρομείου με σκοπό να αποστείλει ένα φαινομενικά απλό και νόμιμο αίτημα για την αντιμετώπιση μιας κρίσιμης επιχειρηματικής ανάγκης που αφορά τον κορωνοϊό. Οι ανυποψίαστοι και νευρικοί υπάλληλοι ενδέχεται να ανταποκριθούν άμεσα και σε μεγαλύτερο βαθμό, επιτρέποντας στον hacker να εισέλθει απρόσκοπτα στα συστήματα πληροφοριών του οργανισμού.

·         Η “WHO phishing campaign”

Στην καμπάνια αυτή, τα μηνύματα phishing που ελήφθησαν είχαν καμουφλαριστεί κατάλληλα ώστε να φαίνεται ότι έχουν αποσταλεί από υψηλόβαθμα στελέχη του Παγκόσμιου Οργανισμού Υγείας (World Health Organization – “WHO”), ενώ ζητούσαν από τους στόχους τους να μοιραστούν ευαίσθητες πληροφορίες, όπως ονόματα χρήστη και κωδικούς πρόσβασης, κατευθύνοντάς τους σε απατηλές σελίδες μέσω κακόβουλων συνδέσεων ενσωματωμένων στα μηνύματα ηλεκτρονικού ταχυδρομείου. Ακόμη, μπορεί να ζητούσαν από τους παραλήπτες να ανοίξουν συνημμένα αρχεία που περιείχαν κακόβουλο λογισμικό.

Ένα παράδειγμα μιας τέτοιας καμπάνιας «ψαρέματος» που χρησιμοποιούσε τον κορωνοϊό ως δόλωμα και ζητούσε από τα δυνητικά θύματα να «διαβάσουν το συνημμένο έγγραφο σχετικά με τα μέτρα ασφαλείας σχετικά με τη εξάπλωση του κορωνοϊού» εντοπίστηκε εντός του προηγούμενου μήνα.

Παράλληλα, ζητήθηκε από τους παραλήπτες του email να κατεβάσουν το συνημμένο αρχείο στον υπολογιστή τους κάνοντας κλικ σε ένα κουμπί «Μέτρα Ασφαλείας», το οποίο τους ανακατεύθυνε σε απατηλή ιστοσελίδα phishing. Αυτή η ιστοσελίδα φόρτωνε την σελίδα του Παγκόσμιου Οργανισμού Υγείας σε ένα πλαίσιο στο παρασκήνιο, ενώ εμφάνιζε ένα pop-up παράθυρο που ζητούσε από τους χρήστες να επαληθεύσουν το ηλεκτρονικό τους ταχυδρομείο. Μόλις έγραφαν τα ονόματα χρήστη και τους κωδικούς πρόσβασης και πατούσαν κλικ στο κουμπί «Επαλήθευση», τα διαπιστευτήριά τους αποστέλλονταν σε έναν απομακρυσμένο server ελεγχόμενο από τους hackers μέσω μιας μη κρυπτογραφημένης σύνδεσης HTTP, ανακατευθύνοντας πλέον του χρήστες στην επίσημη ιστοσελίδα του Οργανισμού. Έτσι, μία φαινομενικά απλή ενημέρωση για τον κορωνοϊό είχε μετατραπεί ξαφνικά σε παραβίαση προσωπικών δεδομένων.

 

Ακόμα κι αν ένας οργανισμός χρησιμοποιήσει τείχη προστασίας, φίλτρα ιστότοπων, ανιχνευτές κακόβουλου λογισμικού ή άλλα λογισμικά ασφαλείας για να εμποδίσει τέτοιες επιθέσεις, δεν είναι ποτέ εύκολο να προβλέψει πλήρως το ανθρώπινο στοιχείο. Είναι φανερό άλλωστε ότι οι περισσότερες παραβιάσεις προσωπικών δεδομένων οφείλονται σε ανθρώπινο λάθος. Συνεπώς, όλα συνηγορούν στο ότι η καλύτερη υπεράσπιση ενός οργανισμού συνίσταται στην ευαισθητοποίηση των εργαζομένων του και το καλύτερο θα ήταν οι οργανισμοί να ενημερώνουν αναλυτικά τους εργαζομένους τους για αυτού του είδους την απειλή, προκειμένου να αποφευχθούν τυχόν δυσάρεστες συνέπειες.

Η ΙΡΛΑΝΔΙΚΗ ΑΡΧΗ…ΕΜΠΟΔΙΟ ΣΤΟΥΣ ΚΟΛΟΣΣΟΥΣ ΤΗΣ ΤΕΧΝΟΛΟΓΙΑΣ

H Ιρλανδική Αρχή Προστασίας Προσωπικών Δεδομένων προβαίνει με έντονη κινητικότητα σε ενέργειες ελέγχου κατά του Facebook αλλά και της Google.

Λίγες μόνο μέρες πριν τον εοαρτασμό της μέρας των ερωτευμένων, απέστειλλε πράκτορες στα γραφεία του Facebook στο Δουβλίνο, μετά από ενημέρωση που είχε ότι το Facebook θα απελευθέρωνε στην αγορά μία νέα υπηρεσία γνωριμιών.

Το Facebook βρέθηκε εκτεθειμένο καθώς είχε ενημερώσει στις 3 Φεβρουαρίου την Ιρλανδική Αρχή ότι η εφαρμογή θα κυκλοφορήσει στις 13 Φεβρουαρίου! Αυτή ήταν όμως η μοναδική ενημέρωση που της παρείχε χωρίς καμία περαιτέρω πληροφορία ή έγγραφη τεκμηρίωση για την αξιοπιστία του νέου αυτού προϊόντος σε σχέση με την προστασία προσωπικών δεδομένων. Και το βασικότερο όλων: δεν είχε προβεί στη σύνταξη Έκθεσης Εκτίμησης Αντικτύπου που απαιτείται από τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων.

Για τον λόγο αυτό, η Ιρλανδική Αρχή απέστειλλε πράκτορες στα γραφεία του Facebook προκειμένου να συγκεντρώσουν την απαραίτητη επίσημη έγγραφη τεκμηρίωση. Κατόπιν τούτου, το Facebook ανακοίνωσε ότι θα αναβάλλει την κυκλοφορία της εφαρμογής γνωριμιών (παρ’όλο που θα ήταν ιδανικό να τεθεί σε λειτουργία τη μέρα του Αγίου Βαλεντίνου). Και τούτο διότι υποστηρίζει ότι θέλει να είναι απόλυτα βέβαιο ότι έχει λάβει όλα τα απαραίτητα μέτρα συμμόρφωσης με την ευραωπαϊκή νομοθεσία και ότι θα έχει ήδη διαθέσει τις απαραίτητες διαβεβαιώσεις περί νομιμότητας και αξιολόγησης κινδύνου στην εν λόγω Αρχή πρίν η εφαρμογή βγει στην αγορά.

Αυτήν την περίοδο η Ιρλανδική Αρχή εξετάζει τα έγγραφα που σχετίζονται με τη νέα εφαρμογή γνωριμιών του Facebook.

Παράλληλα, δεν μένει στάσιμη και εκφράζει την ανησυχία της σχετικά με τον τρόπο που η Google επεξεργάζεται τα δεδομένα γεωεντοπισμού των χρηστών της μετά από σειρά καταγγελιών από πλήθος οργανισμών προστασίας των καταναλωτών στην Ευρώπη. Εγείρονται ερωτήματα αναφορικά με την τήρηση της αρχής της διαφάνειας καθώς οι χρήστες δεν μπορούν ούτε να ελέγξουν αλλά ούτε να κατανοήσουν τον τρόπο με τον οποίο οι εταιρείες χρησιμοποούν τα δεδομένα γεωεντοπισμού τους για να τους παρέχουν υπηρεσίες. Από την πλευρά της η Google διαβεβαιώνει ότι θα συνεργαστεί πλήρως με την Αρχή αλλά και τους οργανισμούς καταναλώτών για την βελτίωση του επιπέδου διαφάνειας και ελέγχου του χρήστη και ότι ήδη έχει προβεί σε αρκετές αλλαγές του προϊόντος για την εξυπηρέτηση αυτού του σκοπού. Άλλωστε, ο GDPR και το υπέρογκο ύψος των προστίμων που προβλέπει δεν της αφήνει πολλά περιθώρια μη λήψης μέτρων, ίσα ίσα που ενδέχεται να χρειαστεί να αλλάξει όλο το επιχειρηματικό της μοντέλο προκειμένου να συμβαδίζει με τη νομοθεσία προστασίας των προσωπικών δεδομένων.

Οι κινήσεις της Ιρλανδικής Αρχής φανερώνουν ότι πλέον δεν μπορούμε να ξεφύγουμε από την πραγματικότητα της ψηφιακής εποχής που ζούμε. Όλα αυτά τα δεδομένα που κυκλοφορούν στο διαδίκτυο αποτελούν τον σημαντικότερο πόρο αξίας για την κοινωνία εφόσον βελτιώνει την παραγωγικότητα της ταυτόχρονα όμως η ενημέρωση και ο έλεγχος τους απο τα άτομα είναι καίριας σημασίας εφόσον κάθε δραστηριότητα τους αφήνει πλέον ένα ψηφιακό ίχνος. Το γεγονός ότι οι εποπτικές αρχές δεν μένουν αδρανείς ως προς αυτές τις εξελίξεις αναμφίβολα δημιουργεί μία αισιόδοξη αντίληψη για το μέλλον της ιδιωτικότητας των πολιτών.

 

 

H ΩΡΑ ΤΟΥ BREXIT: ΤΙ ΣΥΜΒΑΙΝΕΙ ΜΕ ΤΟN GDPR;

Περίπου 1.300 ημέρες μετά τη βρετανική ψηφοφορία για την αποχώρηση της Βρετανίας από την Ευρωπαϊκή Ένωση και έπειτα από μήνες πολιτικών διαμαρτυριών, η ημέρα του Brexit τελικά έφτασε. Διανύουμε πλέον και επίσημα την μεταβατική περίοδο, κατά τη διάρκεια της οποίας ο Boris Johnson υποσχέθηκε να διακόψει όλους τους δεσμούς της Βρετανίας με την Ευρώπη. Η Βρετανία θα συνεχίσει να υπόκειται στους νόμους της Ε.Ε. κατά την περίοδο αυτή, αλλά πλέον θα είναι ελεύθερη να εκτελεί νέες εμπορικές συμφωνίες με άλλες χώρες.

Στο πεδίο της ιδιωτικότητας, η Βρετανία μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα και θα παραμείνει στο πλαίσιο του GDPR κατά τη μεταβατική περίοδο. Ωστόσο, μετά το πέρας της περιόδου αυτής θα πρέπει να αποκτήσει καθεστώς “επάρκειας” από τις Βρυξέλλες, εφόσον οι διασυνοριακές μεταφορές δεδομένων προσωπικού χαρακτήρα προς και από την Ε.Ε. πρόκειται να συνεχιστούν και μετά το Δεκέμβριο του 2020, όταν και θα λήξει η μεταβατική περίοδος.

Μάλιστα, νωρίτερα το 2019, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, Wojciech Wiewiórowski, ανέφερε ότι, αν και η Βρετανία μπορεί να πετύχει μία συμφωνία για τα προσωπικά δεδομένα μετά το Brexit, θα ήταν άδικο μέχρι τότε να αφήσουμε τους Βρετανούς εκτεθειμένους.

 Ο αντίκτυπος

H Βρετανία αντιμετωπίζει πλέον την προοπτική να θεωρηθεί ως τρίτη χώρα εφόσον εξήλθε της Ε.Ε. Κατά συνέπεια, η διαβίβαση δεδομένων προσωπικού χαρακτήρα από οργανισμούς εντός της Ε.Ε. σε άλλους οργανισμούς στην Βρετανία θα υπόκειται σε αυστηρούς κανόνες για την προστασία των δεδομένων που διαβιβάζονται σε τρίτες χώρες, όπως ορίζει ο GDPR. Έτσι, οι οργανισμοί της Ε.Ε. θα πρέπει να εξασφαλίσουν ότι οι διαβιβάσεις τους στην Βρετανία είναι νόμιμες και τηρούν το κατάλληλο επίπεδο επάρκειας. Αλλά… τι σημαίνει επάρκεια;

Η επάρκεια

Πρόκειται για μία ισχυρή εξασφάλιση από τις χώρες εκτός Ε.Ε. ότι διαθέτουν ισχυρούς νόμους για τα δεδομένα προσωπικού χαρακτήρα, οι οποίοι παρέχουν ισοδύναμες διασφαλίσεις με εκείνες που υπάρχουν στην Ε.Ε. Το ζήτημα είναι η Βρετανία να αποδείξει στην Ε.Ε. ότι αποτελεί ασφαλή χώρο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, έτσι ώστε να μην επιβάλλονται περιορισμοί στις μεταφορές δεδομένων και να μην απαιτούνται περαιτέρω εγγυήσεις ή όροι. Να μπορεί να εξομοιωθεί δηλαδή η διαβίβαση σε αυτή την «τρίτη χώρα» με διαβίβαση εντός Ε.Ε.

Η Ευρωπαϊκή Επιτροπή μπορεί να αξιολογήσει το επίπεδο προστασίας των προσωπικών δεδομένων των χωρών εκτός Ε.Ε., προκειμένου να διαπιστώσει αν είναι κατά βάση ισοδύναμο με εκείνο της Ε.Ε. Εάν μια χώρα «περάσει» τις αυστηρές δοκιμές, η Επιτροπή μπορεί να εκδώσει μια απόφαση Επάρκειας. Οι χώρες που διαθέτουν την επάρκεια δεν δεσμεύονται από τις κατάλληλες εγγυήσεις που ορίζονται στο άρθρο 46 και το άρθρο 47 του GDPR και τα προσωπικά δεδομένα μπορούν να κυκλοφορούν ελεύθερα μεταξύ τους και της Ε.Ε.

Η βρετανική κυβέρνηση κατέστησε σαφές ότι θα επιδιώξει την επίτευξη μίας συμφωνίας επάρκειας με την Ε.Ε., ωστόσο η διαδικασία για αυτό μπορεί να ξεκινήσει μόνο όταν η Βρετανία αποχωρήσει οριστικά από την Ένωση. Μέχρι τότε όμως, τι θα ισχύσει για τους οργανισμούς;

Οι ενέργειες των οργανισμών

Οι διαθέσιμες επιλογές για την νόμιμη και ασφαλή διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ Βρετανίας και Ε.Ε. είναι οι εξής:

  • Απόφαση Επάρκειας
  • Δεσμευτικοί Εταιρικοί Κανόνες (Binding Corporate Rules -BCRs): Οι BCRs είναι εσωτερικοί κανόνες για τη μεταφορά δεδομένων σε πολυεθνικές εταιρείες και ομίλους.
  • Τυποποιημένες Συμβατικές Ρήτρες της Ε.Ε: Η Ευρωπαϊκή Επιτροπή μπορεί να αποφασίσει ότι ορισμένες τυποποιημένες συμβατικές ρήτρες παρέχουν επαρκείς εγγυήσεις για τη μεταφορά των προσωπικών δεδομένων σε διεθνές επίπεδο.

Οι οργανισμοί έχουν περάσει μήνες και -σε ορισμένες περιπτώσεις- χρόνια μέχρι να εισάγουν τον GDPR στις δραστηριότητές τους, ενώ έχουν επενδύσει σε μεγάλο βαθμό από πλευράς πόρων για να επιτύχουν κατάλληλο επίπεδο συμμόρφωσης. Το Brexit σημαίνει ότι ενδέχεται να αντιμετωπίσουν πρόσθετες προκλήσεις για να εξασφαλίσουν τη συμμόρφωση με τα νέα δεδομένα. Πολλοί οργανισμοί ή πολυεθνικοί όμιλοι με έδρα στην Ε.Ε. που επεξεργάζονται προσωπικά δεδομένα διαθέτουν ήδη κάποια μορφή συμφωνίας επεξεργασίας με συνεργάτες ή προμηθευτές της Βρετανίας ή συγκεκριμένης διαβίβασης δεδομένων προσωπικού χαρακτήρα μεταξύ των μελών του ομίλου.

Παρ’ όλα αυτά, η αβεβαιότητα που αναδύεται σε όλη την αγορά κατά την μεταβατική περίοδο αυτή είναι φανερή. Ωστόσο, η εσωτερική προετοιμασία των οργανισμών, η ενημέρωση με τις πιο πρόσφατες πληροφορίες και η σωστή καθοδήγηση δεν ήταν ποτέ πιο σημαντική, καθώς οποιαδήποτε προετοιμασία τώρα θα φέρει τον οργανισμό στην καλύτερη δυνατή θέση για να ανταποκριθεί στα νέα δεδομένα.

28 ΙΑΝΟΥΑΡΙΟΥ: HAPPY DATA PRIVACY DAY! 7 ΤΡΟΠΟΙ ΔΙΑΣΦΑΛΙΣΗΣ ΤΗΣ ΙΔΙΩΤΙΚΟΤΗΤΑΣ ΣΑΣ

  1. ΠΡΟΣΟΧΗ ΣΤΗ ΧΡΗΣΗ ΚΩΔΙΚΩΝ

Σε πόσες διαφορετικές περιστάσεις χρησιμοποιούμε κωδικούς στην καθημερινή μας ζωή;

Από τον κωδικό του κινητού μας, του υπολογιστή μας, τον αποθηκευτικό χώρο στο cloud, μέχρι τους on line λογαριασμούς μας όπως το ebanking κτλ.  Όλοι αυτοί οι κωδικοί παραμένουν ευάλωτοι σε επιθέσεις και προσπάθειες υποκλοπής. Για το λόγο αυτό οι κωδικοί που χρησιμοποιούμε είναι απαραίτητο να έχουν αυξημένο επίπεδο πολυπλοκότητας. Ενώ το μέτρο αυτό θα έπρεπε να θεωρείται αυτονόητο, οι περισσότεροι από εμάς προτιμούν την «εύκολη λύση» για να θυμούνται πιο εύκολα τους κωδικούς τους και να εκτελούν πιο γρήγορα τις συναλλαγές τους χωρίς να κατανοούν τους κινδύνους που αυτό υποκρύπτει. Προτείνουμε το συνδυασμό μικρών και κεφαλαίων γραμμάτων με αριθμούς και σύμβολα. Υπάρχει και η επιλογή του συστήματος ενεργοποίησης ελέγχου ταυτότητας δύο παραγόντων κυρίως για την προστασία λογαριασμών. Αντί να ζητάτε μόνο ένα όνομα χρήστη και έναν κωδικό πρόσβασης, ο έλεγχος ταυτότητας δύο στοιχείων σας ζητά να εισαγάγετε τον κωδικό πρόσβασής σας καθώς και μια άλλη μορφή απόδειξης ότι είστε ο πραγματικός κάτοχος του λογαριασμού. Αυτό προσθέτει ένα πρόσθετο επίπεδο ασφάλειας επιπλέον του μοναδικού σας κωδικού πρόσβασης και καθιστά πιο δύσκολο το έργο των hackers!

  1. ΠΡΟΣΤΑΤΕΥΣΤΕ ΤΑ EMAIL ΣΑΣ

 

Xρησιμοποιούμε το ηλεκτρονικό ταχυδρομείο σε προσωπικό επίπεδο αλλά και στην επαγγελματική μας δραστηριότητα. Το περιεχόμενο των μηνυμάτων μας μπορεί να είναι ευαίσθητο και να αποκαλύπτει πληροφορίες που μπορεί να θέτουν σε κίνδυνο ακόμα και τη ζωή μας. Κάθε πάροχος υπηρεσιών ηλεκτρονικού ταχυδρομείου, είτε το Gmail, το Yahoo, το Hotmail κλπ. έχει διαφορετικά μέτρα ασφαλείας. Όλες οι παραπάνω εταιρείες παρέχουν μέτρα ασφαλείας για την προστασία του λογαριασμού του χρήστη και στέλνουν  μηνύματα στους πελάτες τους σε περίπτωση που ο λογαριασμός τους απειλείται από διαφορετικές διευθύνσεις IP. Ο πιο διαδεδομένος όμως τρόπος προστασίας των ηλεκτρονικών μηνυμάτων είναι η κρυπτογράφηση. Η κρυπτογράφηση διαφοροποιείται ανάλογα με τον πάροχο ηλεκτρονικού ταχυδρομείου που χρησιμοποιείτε. Για παράδειγμα το Gmail, χρησιμοποιεί το TLS για την αποστολή μηνυμάτων, τα οποίο είναι επαρκές για έναν απλό ιδιώτη χρήστη. Οι επιχειρήσεις ωστόσο ίσως είναι απαραίτητο να εξετάσουν την end to end κρυπτογράφηση, χωρίς αυτό να σημαίνει και ότι η διασφάλιση του TLS δεν είναι μια καλή αρχή.

  1. ΑΠΟΦΥΓΕΤΕ ΤΗΝ ΧΡΗΣΗ ΤΩΝ ΔΩΡΕΑΝ VPN

Δεν υπάρχει αμφιβολία ότι τα δωρεάν VPN είναι ικανά να καλύψουν τις βασικές μας ανάγκες για ανώνυμη πλοήγηση στο σπίτι, ή πολύ περισσότερο, σε δημόσιους χώρους, όπου υπάρχουν σημαντικοί κίνδυνοι χωρίς τη χρήση VPN. Η εξασφάλιση ενός υψηλού επιπέδου ασφαλείας που θα περιλαμβάνει εξειδικευμένη συντήρηση hardware αλλά και δικτύου απαιτεί  μεγαλύτερο κόστος. Τα δωρεάν VPN όμως ενέχουν κινδύνους υποκλοπής κωδικών από κακόβουλα λογισμικά. Επίσης συνήθως περιλαμβάνουν τα ενοχλητικά pop ups διαφημίσεων και παράλληλα είναι πολύ πιθανό τα δεδομένα να διαβιβάζονται σε τρίτους διαφημιστικούς παρόχους με αποτέλεσμα να τίθεται σε κίνδυνο η ιδιωτικότητα σας.  Συμπεραίνουμε λοιπόν ότι μία μικρή επένδυση για την αγορά VPN καθίσταται  επιτακτική.

 

  1. ΠΩΣ ΝΑ ΠΑΡΑΜΕΙΝΕΤΕ ΑΣΦΑΛΕΙΣ ΑΠΟ ΕΠΙΘΕΣΕΙΣ PHISING

Το ηλεκτρονικό “ψάρεμα” είναι ένας εύκολος τρόπος για να κλέψουν οι κυβερνοεγκληματίες τις προσωπικές σας πληροφορίες, όπως αριθμούς πιστωτικών καρτών και κωδικούς πρόσβασης λογαριασμού, ακόμη και αν δεν διαθέτουν την απαραίτητη τεχνογνωσία. Στις περισσότερες περιπτώσεις, οι απατεώνες είναι σε θέση να πείσουν ή να εξαναγκάσουν τα θύματά τους να δώσουν οι ίδιοι τις πληροφορίες τους. Οι Phishers μπορεί να επικοινωνήσουν μαζί σας μέσω ψευδούς ηλεκτρονικού ταχυδρομείου, τηλεφωνικής κλήσης ή ψεύτικου ιστότοπου. Συχνά εμφανίζονται ως ευυπόληπτες εταιρείες, όπως μια τράπεζα, πάροχοι υπηρεσιών κινητής τηλεφωνίας ή ένας λογαριασμός κοινωνικής δικτύωσης  και προσπαθούν να σας πείσουν να αποκαλύψετε τα προσωπικά σας στοιχεία.

Πώς μπορείτε εύκολα να αναγνωρίσετε τα ύποπτα αυτά email;

Συνήθως περιλαμβάνουν hyperlink σε ύποπτα website με μη αναγνωρίσιμα URLS. Επίσης μπορεί να περιλαμβάνουν συνημμένα αρχεία με ransomware, κακόβουλο λογισμικό και άλλους ιούς. Μπορεί επίσης να προβάλλουν  μια επείγουσα ανάγκη ήένα δώρο / λαχείο για να σας κινητοποιήσουν.

Πώς μπορείτε να τα αποτρέψετε;

Τα φίλτρα spam είναι η πιο προφανής λύση. Αυτά συνήθως δουλεύουν αξιολογώντας την προέλευση του μηνύματος και αναλύοντας το περιεχόμενό του για χαρακτηριστικά που μοιάζουν με ανεπιθύμητα μηνύματα. Ελέγξτε τη διεύθυνση URL για τυχόν υπερσύνδεσμους και προσδιορίστε εάν ο ιστότοπος στον οποίο οδηγεί είναι παράνομος. Ποτέ μην ανοίξετε συνημμένα αρχεία και αποφύγετε να κάνετε κλικ σε συνδέσμους. Και φυσικά..απλά να είστε περισσότερο υποψιασμένοι! Οι μεγάλες και αξιόπιστες εταιρείες δεν θα ζητήσουν ποτέ προσωπικά σας στοιχεία απευθείας μέσω ηλεκτρονικού ταχυδρομείου. Είναι πολύ πιθανό να προσφέρουν κάποια μορφή επαλήθευσης στο ίδιο το μήνυμα ηλεκτρονικού ταχυδρομείου, όπως π.χ. έναν αριθμό λογαριασμού. Σε περίπτωση αμφιβολίας, μπορείτε να ελέγξετε την εταιρεία που έρχεται σε επαφή μαζί σας για να διασφαλίσετε ότι η επικοινωνία είναι γνήσια.

  1. ΟΙ ΚΑΛΥΤΕΡΕΣ ΠΡΑΚΤΙΚΕΣ ΠΡΟΣΤΑΣΙΑΣ ΣΤΑ SOCIAL MEDIA

Ένας στους πέντε οργανισμούς παγκοσμίως προσβάλλονται από κακόβουλο λογισμικό που διανέμεται από τα κοινωνικά μέσα.  Δισεκατομμύρια χρήστες έχουν καθημερινά πρόσβαση στα μέσα κοινωνικής δικτύωσης  τα οποία καθιστούν εύκολο το διαμοιρασμό των κακόβουλων λογισμικών. Το πλέον διαδεδομένο Instagram όπου οι influencers αποτελούν μέρος μιας βιομηχανίας αξίας εκατομμυρίων, μπορεί να αποβεί απειλητικό για αυτούς εφόσον ψεύτικες εταιρείες μπορεί να τους πλησιάσουν με πρόταση δήθεν διαφήμισης των προϊόντων τους, και εκείνοι πατώντας το Link παραπομπής για να δουν αν είναι όντως γνήσια η εταιρεία που τους πλησιάζει, μεταβαίνουν σε μία σελίδα στην οποία συνδέονται μέσω των κωδικών τους οποίους στη συνέχεια μπορεί να κλέψει ο χάκερ και να μπλοκάρει το λογαριασμό τους.

Για να παραμείνετε ασφαλείς και παράλληλα ενεργοί χρήστες των social media, χρειάζεται σύνεση και προσοχή ως προς το τι ποστάρετε και ως προς την υπερβολική έκθεση των προσωπικών σας δεδομένων όπως ημερομηνία γέννησης, τηλέφωνο κτλ. Σε περίπτωση που σας ζητείται ημερομηνία γέννησης, καλύτερα να γράψετε κάτι αναληθές και σε καμία περίπτωση όπου σας ζητείται email, μην συμπληρώσετε το εργασιακό σας. Αποφύγετε τη σύνδεση σε δημόσια Wi-fi και πάντα να κάνετε χρήση πολύπλοκων κωδικών ασφαλείας.

 

  1. ΠΡΟΣΟΧΗ ΣΤΙΣ ΠΟΛΙΤΙΚΕΣ ΑΠΟΡΡΗΤΟΥ

Πόσοι από εμάς θα αφιερώσουμε χρόνο για να διαβάσουμε τις νέες πολιτικές απορρήτου των ιστοσελίδων που μας ενημερώνουν ότι έκαναν αλλαγή ή για να αλλάξουμε τις ρυθμίσεις των δεδομένων μας; Εγγραφόμαστε σε ιστοσελίδες για να λάβουμε υπηρεσίες, αλλά δεν σκεφτόμαστε ποιος μπορεί να αποθηκεύει τα κλικ μας ή τι κάνουν με τα προσωπικά μας στοιχεία. Είναι περίεργο, στην αρχή, όταν οι συσκευές μας φαίνεται να “ξέρουν” πού ζούμε ή πόσο χρονών είμαστε ή τι βιβλία που μας αρέσει ή ποια μάρκα οδοντόκρεμας χρησιμοποιούμε. Όμως, όπως έχει γίνει φανερό τα τελευταία έτη, δεν γνωρίζουμε πραγματικά ποιος βλέπει τα δεδομένα μας ή πώς και ποιοι ακριβώς τα χρησιμοποιούν. Στο σκάνδαλο της Cambridge Analytica, όλες οι πληροφορίες είχαν συλλεχθεί «νόμιμα» μέσω μίας εφαρμογής απάντησης σε ερωτηματολόγιο ωστόσο τα προσωπικά δεδομένα των φίλων των χρηστών του Facebook που κατέβαζαν την εφαρμογή γίνονταν επίσης γνωστά στην Cambridge Analytica γεγονός που ξεπερνάει τα όρια ανοχής αυτής της παραβίασης ιδιωτικότητας.

Διαβάζοντας προσεκτικά τις πολιτικές απορρήτου οι οποίες συγκεκριμενοποιούν και τα δικαιώματα των χρηστών όσον αφορά τη διαχείριση των προσωπικών τους δεδομένων, έχουμε τον έλεγχο και μπορούμε να ασκούμε ουσιώδη επιρροή στην αλόγιστη χρήση τους. Όσο αδιαφορούμε και μένουμε ανενημέρωτοι τόσο περισσότερο συναινούμε στο να μοιραζόμαστε παραπάνω στοιχεία από αυτά που επιθυμούμε.

 

  1. ΠΡΟΣΟΧΗ ΣΤΙΣ ΔΩΕΡΑΝ ΕΦΑΡΜΟΓΕΣ

Η πρόσφατη έρευνα της Symantec σχετικά με τις εφαρμογές για κινητά υπογράμμισε πως – το 63% των καταναλωτών είναι πρόθυμοι να ανταλλάξουν μέρος της ιδιωτικής ζωής τους για μια δωρεάν εφαρμογή. Ωστόσο, η εταιρεία προειδοποίησε ότι το “δωρεάν” σπάνια έρχεται χωρίς κόστος. Η εταιρεία ενημέρωσε: “Τα προσωπικά και ευαίσθητα δεδομένα είναι το νόμισμα για πληροφορίες και περιεχόμενο στον σημερινό ψηφιακό κόσμο. Οι περισσότεροι χρήστες των εφαρμογών δεν γνωρίζουν τις παραβιάσεις απορρήτου που συνοδεύουν τη δωρεάν πρόσβαση σε δημοφιλείς εφαρμογές”. Οι καταναλωτές θα πρέπει να εκπαιδεύονται οι ίδιοι σχετικά με τις εφαρμογές για κινητά πριν από τη λήψη, διαβάζοντας κριτικές και καθορίζοντας τα δικαιώματα τους. Επιπλέον, οι καταναλωτές θα πρέπει να λάβουν υπόψη ότι η διαχείριση των δικαιωμάτων των εφαρμογών είναι διαφορετική με το iOS, το οποίο επιτρέπει μεγαλύτερο έλεγχο από το Android.

Εάν μια εφαρμογή σας ζητήσει άδεια πρόσβασης σε στοιχεία γεωγραφικού εντοπισμού, πείτε “Όχι”.  Κάντε λήψη εφαρμογών μόνο από τα επίσημα καταστήματα εφαρμογών και όχι από ιστότοπους κοινής χρήσης αρχείων.  Διαβάστε την πολιτική απορρήτου της εφαρμογής για να δείτε σε ποιες πληροφορίες έχει πρόσβαση και αντίστοιχα να είστε επιφυλακτικοί με εφαρμογές χωρίς πολιτική απορρήτου και σχετική τεκμηρίωση. Γενικότερα προσπαθήστε να προτιμάτε τις εγκεκριμένες και πιο δημοφιλείς εφαρμογές καθώς είναι λιγότερο πιθανό να είναι κακόβουλες.

 

11,5 ΕΚΑΤΟΜΜΥΡΙΑ ΕΥΡΩ ΠΡΟΣΤΙΜΟ ΑΠΟ ΤΗΝ ΙΤΑΛΙΚΗ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Η Αρχή Προστασίας Προσωπικών δεδομένων της Ιταλίας επέβαλλε δύο κυρώσεις στην εταρεία Eni Gas και Luce (Egl), συνολικού ύψους 11,5 εκατομμυρίων ευρώ, για παράνομη επεξεργασία προσωπικών δεδομένων στο πλαίσιο δραστηριοτήτων εμπορικής προώθησης και ανεπιθύμητης επικοινωνίας. Οι κυρώσεις καθορίστηκαν λαμβάνοντας υπόψη τις παραμέτρους που αναφέρονται στον κανονισμό της ΕΕ, μεταξύ των οποίων είναι ο αριθμός των υποκειμένων που έθιξε η παραβίαση, η βαρύτητα και διάρκεια της παραβίασης και οι οικονομικές συνθήκες της Egl.

Η πρώτη κύρωση ύψους 8,5 εκατομμυρίων ευρώ αφορά τις παράνομες πρακτικές δραστηριοτήτων telemarketing που διαπιστώθηκαν κατά τις επιθεωρήσεις και ελέγχους που διεξήγαγε η Αρχή μετά από δεκάδες αναφορές και καταγγελίες που υποβλήθηκαν μετά την εφαρμογή του Gdpr. Οι έλεγχοι αποκάλυψαν ένα περιορισμένο περιπτώσεων που αποκάλυπταν  σοβαρά προβλήματα σχετικά με τη γενική επεξεργασία δεδομένων.

Μεταξύ των παραβιάσεων επισημάνθηκαν οι ανεπιθύμητες κλήσεις που έγιναν χωρίς τη συγκατάθεση του κληθέντος ή παρά την άρνησή του να λάβει προωθητικές κλήσεις και χωρίς η εταιρεία να έχει προβεί σε έλεγχο του δημόσιου μητρώου. Παράλληλα, σημειώθηκε έλλειψη τεχνικο-οργανωτικών μέτρων ικανών να αναγνωρίσουν τις εκφράσεις βουλήσεων των χρηστών ενώ οι χρόνοι διατήρησης δεδομένων υπερέβαιναν  τους επιτρεπόμενους. Τέλος, η λίστα πελατών αποκτήθηκε από τρίτο πάροχο χωρίς τη συγκατάθεση των υποκειμένων για την κοινοποίηση των δεδομένων τους.

Μετά την διαπίστωση των ανωτέρω παραβιάσεων, η Αρχή επέβαλλε στην Egl την εφαρμογή διαδικασιών και συστημάτων για την έγκυρη διαπίστωση των συγκαταθέσεων που έχουν όντως ληφθεί πριν την έναρξη των προωθητικών ενεργειών και της έδωσε επίσης εντολή δημιουργίας αυτόματων διαγραμμάτων ροής των δεδομένων από τη βάση της με στόχο την απομάκρυνση από αυτήν όσων πελατών δεν επιθυμούσαν να λαμβάνουν διαφημιστικές κλήσεις. Απαγόρευσε επίσης τη χρήση της λίστας πελατών από τους παρόχους που δε είχαν προηγουμένως λάβει ρητή συναίνεση για τη διαβίβαση των δεδομένων τους στην Egl.

H δεύτερη κύρωση ύψους τριών εκατομμυρίων ευρώ, αφορούσε παραβιάσεις προσωπικών δεδομένων που αναγράφονταν σε συμβόλαια παροχής πετρελαίου και φυσικού αερίου. Συγκεκριμένα καταγέλλεται ότι οι πελάτες έμαθαν για τη σύναψη νέας σύμβασης μόνο αφού έλαβαν την επιστολή ακύρωσης του παλαιού προμηθευτή ή από τα πρώτα τιμολόγια της Egl. Σε ορισμένες περιπτώσεις, οι αναφορές  κατέγραψαν την ύπαρξη ανακριβών δεδομένων στα συμβόλαια που επηρέασαν περίπου 7200 καταναλωτές. Οι έρευνες της Αρχής αποκάλυψαν ότι η πρακτική που υιοθέτησε η Egl για την απόκτηση νέων πελατών από τρίτες εταιρείες που ενεργούσαν εκ μέρους της, που έκαναν χρήση συγκεκριμένων οργανωτικών μεθόδων , δεν ήταν συμμορφωμένες με τον Κανονισμό καθώς παραβίαζαν την αρχή της ακρίβειας, διόρθωσης και επικαιροποίησης των δεδομένων.

Μετά τη διαπίστωση των ανωτέρω, η Αρχή διέταξε την Egl να υιοθετήσει σειρά διορθωτικών μέτρων και να εισάγει σύστημα ειδοποιήσεων για τον εντοπισμό των πλημμελών διαδικασιών. Η λήψη των μέτρων αυτών θα πρέπει να γίνει σε συγκεκριμένο χρόνο και η πληρωμή των προστίμων μέσα σε 30 μέρες.

 

 

Top