1 / 20

Προστασία προσωπικών δεδομένων και ασφάλεια:σχέση αλληλοσυμπλήρωσης ή σύγκρουσης;

Λίλιαν Μήτρου, Επ. Καθηγήτρια Πανεπιστήμιο Αιγαίου. Προστασία προσωπικών δεδομένων και ασφάλεια:σχέση αλληλοσυμπλήρωσης ή σύγκρουσης;. ICT-Forum, 29.10.2007. Κοινωνία της Πληροφορίας Κοινωνία κινδύνων και διακινδυνεύσεων.

hedwig-phillips
Download Presentation

Προστασία προσωπικών δεδομένων και ασφάλεια:σχέση αλληλοσυμπλήρωσης ή σύγκρουσης;

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Λίλιαν Μήτρου, Επ. Καθηγήτρια Πανεπιστήμιο Αιγαίου Προστασία προσωπικών δεδομένωνκαι ασφάλεια:σχέση αλληλοσυμπλήρωσης ή σύγκρουσης; ICT-Forum, 29.10.2007

  2. Κοινωνία της Πληροφορίας Κοινωνία κινδύνων και διακινδυνεύσεων • Ραγδαία αύξηση του όγκου της πληροφορίας, των πληροφοριακών ροών και των επικοινωνιών • Πληροφορία και πληροφοριακή ροή ως κρίσιμο, κεντρικό μέγεθος οργάνωσης της Κοινωνίας της Πληροφορίας • Αντίστοιχη διαφοροποίηση και πολλαπλασιασμός των κινδύνων • Κοινωνία της πληροφορίας: ευάλωτη σε απειλές και προσβολές (π.χ. ηλεκτρονικό έγκλημα)

  3. Ασφάλεια και Κίνδυνοι • Έλλειψη κινδύνου- Προστασία έναντι κάθε είδους κινδύνου • Εξασφάλιση εννόμων αγαθών • Πρόνοια για μελλοντικές καταστάσεις • Πρόληψη απειλών • Διάγνωση κινδύνων και διακινδυνεύσεων • Κίνδυνος:αντικειμενικά διαπιστώσιμη παρουσία κάποιου επικείμενου κακού που απειλεί την ύπαρξη ενός εννόμου αγαθού

  4. Οι διαστάσεις της ασφάλειας • Ασφάλεια κοινωνικού συνόλου • Ασφάλεια έναντι εγκλήματος • Πρόληψη και καταστολή παραβατικότητας • Κοινό και ηλεκτρονικό έγκλημα • Ασφάλεια πληροφοριακών συστημάτων και πληροφοριών • Χάριν της προστασίας συμφερόντων κυρίων • Χάριν της προστασίας υποδομών και δικτύων

  5. Ασφάλεια πληροφοριών & συστημάτων • Ασφάλεια πληροφοριών: διατήρηση της εμπιστευτικότητας, της ακεραιότητας και διαθεσιμότητας • Ασφάλεια πληροφοριακών συστημάτων: προστασία των στοιχείων που συνιστούν ένα πληροφοριακό σύστημα (hardware, software, πληροφορία, άνθρωποι, διαδικασίες) • Η ασφάλεια δεν είναι τεχνικό ζήτημα!

  6. Μέτρα ασφάλειας ως όρος αξιοποίνου • Κρίσιμο στοιχείο για την κρίση βαρύτητα μίας πράξης ή και για τη στοιχειοθέτηση εγκλήματος • Η λήψη μέτρων ασφάλειας αποτελεί στοιχείο της έννοιας των απορρήτων (άρθρο 370 Β Π.Κ.), η παραβίαση των οποίων διώκεται ποινικά • Η λήψη μέτρων ασφαλείας συνιστά όρο για τον αξιόποινο χαρακτήρα της παράνομης πρόσβασης σε στοιχεία υπολογιστή(άρθρο 370 Γ ΠΚ) – αν και γίνεται δεκτό ότι η πρόσβαση είναι αξιόποινη και χωρίς παραβίαση μέτρων εφόσον έχει εκδηλωθεί αντίθετη βούληση δικαιούχου • Cybercrime Convention: ευχέρεια να εξαρτηθεί η ποινικοποίηση του hacking και από τη λήψη μέτρων ασφαλείας.

  7. Προστασία δεδομένων • Δικαίωμα κάθε ανθρώπου να μην καθίσταται πληροφοριακό αντικείμενο και να συμπροσδιορίζει, ποιες πληροφορίες που το αφορούν θα καταστούν γνωστές στο περιβάλλον (πληροφοριακός αυτοκαθορισμός) • Προϋπόθεση αυτονομίας, ελευθερίας και συμμετοχής • Αντικείμενο της σχετικής νομοθεσίας είναι η εισαγωγή υποχρεώσεων και ο προσδιορισμός των ορίων, εντός των οποίων η επεξεργασία προσωπικών δεδομένων είναι συνταγματικά ανεκτή και νόμιμη • Σύνολο κανόνων, προϋποθέσεων, όρων, εξουσιών και απαγορεύσεων – διαδικασιών, εγγυήσεων, αντιβάρων

  8. Ασφάλεια ως παράμετρος της προστασίας δικαιωμάτων/1 • Αναγκαία και προφανής προϋπόθεση για την αποτελεσματική προστασία συνταγματικών αγαθών, όπως το απόρρητο, η ελευθερία της επικοινωνίας, η προστασία της ιδιωτικότητας και των προσωπικών δεδομένων • Η διάσταση αυτή αποτυπώνεται θεσμικά σε • Νομοθεσία για το απόρρητο των επικοινωνιών (ν. 3115/2003) • Νομοθεσία για την προστασία προσωπικών δεδομένων (ν.2472/97) • Νομοθεσία για την προστασία προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες

  9. Ασφάλεια ως παράμετρος της προστασίας δικαιωμάτων/2 • Προστασία απορρήτου • Υποχρέωση λήψης τεχνικών και οργανωτικών μέτρων • Τόσο κατά τη φάση σχεδιασμού του πληροφοριακού συστήματος/συστήματος επεξεργασίας όσο κατά την επεξεργασία. – Έργα ΚΠΣ • Επίπεδο ασφάλειας ανάλογο προς το είδος και την ένταση των κινδύνων και το είδος των δεδομένων που υπόκεινται σε επεξεργασία • Υποχρέωση ενημέρωσης (χρηστών) για τα μέτρα ασφάλειας αλλά και για τα όρια αποτελεσματικότητας

  10. Η προσέγγιση της Αρχής Προστασίας Προσωπικών Δεδομένων • Σχέδιο/Μέτρα ασφάλειας (άρθρο 10 ν. 2472/97)ως στοιχείο γνωστοποίησης και βασική προϋπόθεση για την αδειοδότηση επεξεργασιών και αρχείων (άρθρο 6 § 2 η ν. 2472/97) • Σχέδιο Ασφάλειας-Πολιτική Ασφάλειας • Επιβολή κυρώσεων για μη τήρηση μέτρων ασφάλειαςκατά την καταστροφή – Οδηγία Αρχής • Επιβολή κυρώσεων για παραβίαση απορρήτου και μέτρων ασφάλειας (Υπουργείο Δικαιοσύνης)

  11. Ασφάλεια πληροφοριακών συστημάτων = προστασία προσωπικών δεδομένων; • Μία «επίθεση» δεν προσβάλλει απαραίτητα το απόρρητο της επεξεργασίας προσωπικών δεδομένων • Τα μέτρα ασφάλειας δεν ταυτίζονται με τα μέτρα προστασίας και ενίσχυσης της ιδιωτικότητας (PETs) • Η ανωνυμία και η ψευδωνυμία δεν εντάσσονται στο πεδίο της ασφάλειας • Οι αναλύσεις επικινδυνότητας εστιάζουν συνήθως στην ταυτοποίηση και αυθεντικοποίηση αλλά δεν λαμβάνουν πάντα πρόνοια ώστε να περιορίσουν τη συλλογή και επεξεργασία δεδομένων.

  12. Ασφάλεια πληροφοριακών συστημάτων εναντίονΠροστασίας δεδομένων; • Όλες οι τρέχουσες τεχνολογίες/μέθοδοι αυθεντικοποίησης που είναι αναγκαία για την έγκριση πρόσβασης/χρήσης υπηρεσίας ή την απονομή ευθυνών προϋποθέτουν/ενέχουν χρήση προσωπικών δεδομένων • Η πρόληψη εσωτερικών απειλών και η διαχείριση της ασφάλειας προϋποθέτει και συνεπάγεται ευρεία επέμβαση στην ιδωτικότητα και προσβολή δικαιωμάτων

  13. Το παράδειγμα της επιτήρησης εργαζομένων • Η προστασία συστημάτων από εσωτερική επίθεση ή κατάχρηση εμπλέκει την διάγνωση, πρόληψη και καταστολή της κακής χρήσης • ISO/IEC 17799 (και πλέον ΙSO/IEC 27002:2005) προτείνει το λεγόμενο personnel screening ως μία υποκατηγορία της ασφάλειας προσωπικού, αποσκοπώντας στην διαχείριση της ασφάλειας πληροφορίας • Ο έλεγχος και η επιτήρηση στον χώρο εργασίας περιορίζουν την ιδιωτικότητα και τα δικαιώματα των εργαζομένων • Εξισορρόπηση συμφερόντων: διαφάνεια και αναλογία κινδύνων και επιτήρησης

  14. DRM και ιδιωτικότητα • Επαλήθευση του hard-software: τεχνολογίες προσδιορισμού ταυτότητας, καταγραφής ιχνών και εντοπισμού χρηστών • Πρόσβαση σε προστατευόμενα έργα μετά από διαπίστωση της ταυτότητας και ανίχνευση της χρήσης της πληροφορίας • Εξ’ αποστάσεως διαπίστωση της συμμόρφωσης προς τις επιταγές της πνευματικής ιδιοκτησίας. • Αναπόφευκτη η εντατική επεξεργασία πληροφορίας • Η εφαρμογή των κανόνων για την προστασία της διανοητικής ιδιοκτησίας δεν θίγουν τις υποχρεώσεις που απορρέουν από την προστασία προσωπικών δεδομένων (Άρθρο 2 (3) α της Οδηγίας 2004/48/ΕK)

  15. Ασφάλεια έναντι απειλώνκαι εγκλήματος • Επιδίωξη ασφάλειας:βασικός παράγοντας ίδρυσης του κράτους και νομιμοποίησης της εξουσίας του • Θετικές ενέργειες για τη διασφάλιση «της ανεμπόδιστης και αποτελεσματικής άσκησης των δικαιωμάτων» από τους φορείς τους – • Υποχρέωση λήψης επαρκών και κατάλληλων μέτρων για την προστασίατων πολιτών από κάθε είδους κινδύνους (άρθρο 2 παρ. 1 Συντ.)

  16. Κράτος πρόληψης και συλλογή πληροφορίας • Διεύρυνση πεδίου δράσης του κράτους μέσω μιας γενικότερης πολιτικο-νομικής στρατηγικής πρόληψης από κάθε είδους «ενδεχόμενους» κινδύνους • Εκ των προτέρων κινητοποίηση των κρατικών μηχανισμών • Έγκαιρη διάγνωση κινδύνων και απειλών • Αντιτρομοκρατικές νομοθεσίες • έγκαιρη ανίχνευση «δυνάμει» εγκληματιών και εν γένει «υπόπτων πληθυσμών» • θέσπιση προληπτικών περιορισμών σε μια σειρά από θεμελιώδη δικαιώματα (απόρρητο, προστασία, δεδομένων) • Προφανώς οι στοχεύσεις αυτές προυποθέτουν και συνεπάγονται αύξηση της συλλογής και επεξεργασίας προσωπικών δεδομένων

  17. Υποχρεωτική προληπτική τήρησητηλεπικοινωνιακών δεδομένων • Οδηγία 2006/24/ΕΚ: Υποχρεωτική και καθολική διατήρηση • Από τους Παρόχους Ηλεκτρονικών Δικτύων και Υπηρεσιών • Εξωτερικών στοιχείων επικοινωνίας συνδρομητών και χρηστών • Για τους σκοπούς της διερεύνησης, διαπίστωσης, εξιχνίασης και καταστολής «σοβαρών ποινικών αδικημάτων»

  18. Βασικά ζητήματα • Τήρηση αρχών σκοπού και αναλογικότητας • Η Οδηγία αφήνει στα κ-μ διακριτική ευχέρεια ως προς • Το χρονικό διάστημα διατήρησης (6-24 μήνες) • Τα σοβαρά ποινικά αδικήματα για τα οποία θα επιτρέπεται η πρόσβαση των αρχών στα δεδομένα που διατηρούνται • Τις εθνικές αρχές στις οποίες θα επιτρέπεται η πρόσβαση • Τις διαδικασίες νόμιμης και εξουσιοδοτημένης πρόσβασης • Τις εθνικές αρχές εποπτείας και ελέγχου της τήρησης • Τις προδιαγραφές και τα Τεχνικά και Οργανωτικά μέτρα διασφάλισης των διατηρούμενων δεδομένων

  19. Δημοκρατικές αρχές για τηνασφάλεια συστημάτων και δικτύων • Η ασφάλεια των πληροφοριακών συστημάτων και δικτύων πρέπει να είναι συμβατή με τις βασικές αρχές μιας δημοκρατικής κοινωνίας. • «Security should be implemented in a manner consistent with the values recognised by democratic societies including the freedom to exchange thoughts and ideas, the free flow of information, the confidentiality of information and communication, the appropriate protection of personal information, openness and transparency” (OECD Guidelines for the Security of Information Systems and Networks –2002)

  20. Το δημοκρατικό όριο της ασφάλειας (κάθε είδους!) • Πρώτη προϋπόθεση για την προστασία ελευθεριών και δικαιωμάτων είναι η ενσωμάτωση του συνόλου των νομικών απαιτήσεων σε τεχνικές προδιαγραφές και τις πολιτικές ασφάλειας • Όχι μόνο εκτίμηση κινδύνων (risk assessment) αλλά και εκτίμηση επιπτώσεων στα δικαιώματα • Τα μέτρα ασφαλείας θα πρέπει να αξιολογούνται και με κριτήριο το ερώτημα : είναι συμβατά με τις δημοκρατικές «προδιαγραφές» • Εν τέλει μία δημοκρατική κοινωνία θα πρέπει να μπορεί και να επιλέγει να αποδέχεται κινδύνους και διακινδυνεύσεις.

More Related