You are here

Χ. Παπαδόπουλος: Προκλήσεις στην προστασία δεδομένων

07/05/2022 06:00

Η αλματώδης εξέλιξη της τεχνολογίας και η συνεχής ανάπτυξη μεθόδων ανάλυσης δεδομένων, δημιουργούν ιδιαίτερες προκλήσεις στην προστασία προσωπικών δεδομένων, τονίζει ο Πρόεδρος του Συνδέσμου Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου Χριστόδουλος Παπαδόπουλος.

Σε συνέντευξη του στη StockWatch, αναφέρει ότι οι συνθήκες που διαμορφώνονται λόγω της πανδημίας COVID-19, απαιτούν επισταμένη παρακολούθηση και εγρήγορση από όλους.

Σύμφωνα με τον κ. Παπαδόπουλο, η ασφάλεια των πληροφοριών είναι μία από τις βασικές ανησυχίες των σύγχρονων οργανισμών.

Στη συνέντευξή του στη StockWatch, αναφέρεται στους κύριους παράγοντες για την ασφάλεια, όπως είναι η παγκοσμιοποίηση, οι κυβερνητικές οδηγίες, οι κανονιστικές απαιτήσεις, οι τρομοκρατικές δραστηριότητες και οι κλιμακούμενες απειλές στον κυβερνοχώρο.

Ο κ. Παπαδόουλος αναφέρει ακόμη πώς άλλαξε το πεδίο για τις επιχειρήσεις ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων 2016/679 (γνωστός ως GDPR), που ισχύει σε όλη την ΕΕ από τις 25 Μαΐου 2018.

Σημειώνει ότι στις μεγάλες κυρίως επιχειρήσεις, υπάρχει σημαντικός πλέον βαθμός ωριμότητας και ενσυναίσθησης σε ό,τι αφορά στη συμμόρφωση με τον ΓΚΠΔ.

Ο Σύνδεσμος Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου έχει ιδρυθεί κάτω από την αιγίδα του ΚΕΒΕ.

Η συνέντευξη

Ερ.: Ποιοι οι στόχοι του Συνδέσμου Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου και οι δράσεις του από το 2018 που συστάθηκε;

Απ.: Ο Κυπριακός Σύνδεσμος Προστασίας Πληροφοριών και Προστασίας Προσωπικών Δεδομένων, δημιουργήθηκε από επαγγελματίες Ασφάλειας Πληροφοριών και Προστασίας Προσωπικών Δεδομένων, προκειμένου να εκπροσωπεί άτομα ή οργανισμούς που ασχολούνται με την προστασία των πληροφοριών και το απόρρητο δεδομένων.

Κύριοι στόχοι του συνδέσμου είναι η ανταλλαγή, η ανάλυση, η επικοινωνία και η εκπαίδευση σχετικά με τα τρέχοντα ζητήματα προστασίας δεδομένων, ιδιωτικότητας και ασφάλειας.

Ως Σύνδεσμος έχουμε λάβει μέρος σε αρκετές ημερίδες, θέτοντας μερικές και υπό την αιγίδα μας, όπως την InfoCom Security Cyprus 2018 κλπ.

Δυστυχώς, λόγω της πανδημίας, οι δράσεις του Συνδέσμου είχαν περιοριστεί το προηγούμενο διάστημα. Η εκλογή του νέου Διοικητικού μας Συμβουλίου τον περασμένο μήνα, δίνει το έναυσμα έτσι ώστε να μπορέσουμε να άμεσα να επαναδραστηριοποιηθούμε, προγραμματίζοντας διάφορες δράσεις, όπως μικρής διάρκειας επαναλαμβανόμενα webinars με σχετική θεματολογία, παρουσιάζοντας νέες νομοθεσίες που έρχονται, νέες τεχνικές προστασίας κλπ., όπως επίσης και συμμετοχή σε διάφορες εκδηλώσεις και σεμινάρια, τα οποία άρχισαν δειλά - δειλά να διεξάγονται.

Ερ.: Πώς άλλαξε το πεδίο για τις επιχειρήσεις ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων 2016/679 (γνωστός ως GDPR), που ισχύει σε όλη την ΕΕ από τις 25 Μαΐου 2018; Ποιες οι σημαντικότερες προκλήσεις που προκύπτουν κατά την εφαρμογή του;

Απ.: Ο Κανονισμός (ΕΕ) 2016/679 προσάρμοσε στα νέα δεδομένα της ψηφιακής εποχής και εκσυγχρόνισε τις αρχές για την προστασία των προσωπικών δεδομένων. Καθόρισε τα δικαιώματα των φυσικών προσώπων και τις υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία. Καθόρισε, επίσης, νέα μέσα για την εξασφάλιση της συμμόρφωσης καθώς και κυρώσεις για όσους παραβιάζουν τους κανόνες. Σε γενικές γραμμές, η εναρμόνιση των υπευθύνων/εκτελούντων την επεξεργασία δεδομένων με τους νέους κανόνες φαίνεται ότι σταδιακά αυξάνεται και συγχρόνως οι πολίτες γνωρίζουν καλύτερα τα δικαιώματά τους. 

Τέσσερα σχεδόν χρόνια μετά την εφαρμογή του ΓΚΠΔ (GDPR), οι προκλήσεις για τις επιχειρήσεις παραμένουν πολλές. Ο πρώτος χρόνος εφαρμογής του ΓΚΠΔ, για πολλούς οργανισμούς, ήταν μεγάλη πρόκληση. Πλέον, οι οργανισμοί θα πρέπει να είναι σε θέση να αποδεικνύουν διαρκώς τη συμμόρφωσή τους προς τον Κανονισμό, ενώ, παράλληλα, να μετασχηματίσουν τις λειτουργίες τους και να εκπαιδεύουν το προσωπικό τους, έτσι ώστε να μπορούν να αντιμετωπίζουν επιτυχώς τους κινδύνους που προκύπτουν από τη μη συμμόρφωση και τις κακόβουλες επιθέσεις, χωρίς να παρεμποδίζουν την ανάπτυξη του οργανισμού τους.

Η εικόνα που αποκομίζουμε μέσα από την καθημερινή μας ενασχόληση με ζητήματα προστασίας δεδομένων είναι ότι, στις μεγάλες κυρίως επιχειρήσεις, υπάρχει σημαντικός πλέον βαθμός ωριμότητας και ενσυναίσθησης σε ό,τι αφορά στη συμμόρφωση με τον ΓΚΠΔ. Είναι πολύ σημαντικό οι επιχειρήσεις να είναι σε θέση να διαχειριστούν σωστά τα δεδομένα που συλλέγουν και επεξεργάζονται, ως εκ τούτου, η λήψη των κατάλληλων κάθε φορά τεχνικών και οργανωτικών μέτρων είναι κρίσιμης σημασίας. Οδηγός και σύμβουλος σε όλη αυτή τη διαδικασία είναι ο Υπεύθυνος Προστασίας Δεδομένων, ο οποίος, μέσω της εξειδικευμένης κατάρτισης και εμπειρίας του, θα πρέπει να αποσαφηνίζει τις γκρίζες ζώνες του ΓΚΠΔ και να συμβουλεύει την επιχείρηση ως προς τον προσήκοντα τρόπο χειρισμού των κρίσιμων ζητημάτων που ο ΓΚΠΔ εγείρει. Είναι αυτός που συνδράμει την επιχείρηση στην αναγκαία κάθε φορά στάθμιση, στις ασφαλείς επιλογές και στο αναγκαίο μέτρο, τη χρυσή τομή της αναλογικότητας, έως ότου τουλάχιστον η νομολογία δείξει καθαρά τον δρόμο.

Ερ.: Πόσο σημαντική είναι η προστασία των πληροφοριών και της ιδιωτικότητας στο νέο ψηφιοποιημένο περιβάλλον;

Απ.: Η αλματώδης εξέλιξη της τεχνολογίας και η συνεχής ανάπτυξη μεθόδων ανάλυσης δεδομένων, δημιουργούν ιδιαίτερες προκλήσεις στην προστασία προσωπικών δεδομένων. Ταυτόχρονα, οι συνθήκες που διαμορφώνονται λόγω της πανδημίας COVID-19, απαιτούν επισταμένη παρακολούθηση και εγρήγορση από όλους.

Μερικά χρόνια πριν, κανείς δεν θα μπορούσε να φανταστεί τις δυνατότητες που μπορούσε να παρέχει ο «ψηφιακός κόσμος» του διαδικτύου σε ό,τι αφορά στους τρόπους και στα μέσα επικοινωνίας με άλλους ανθρώπους σε όλο τον κόσμο.

Στον κορμό της, η βασική ιδέα για αυτόν τον «ψηφιακό κόσμο» παραμένει ίδια. Με άλλα λόγια, οι πληροφορίες μεταφέρονται με επιτυχία από το ένα μέρος στο άλλο ακολουθώντας τρεις βασικές αρχές, ανεξάρτητα από το μέσο όρο ή τον τύπο των πληροφοριών. Πρώτον, πρέπει να εξασφαλίζεται ότι οι πληροφορίες μεταφέρονται με ασφάλεια. Δεύτερον, πρέπει να εξασφαλίζεται πως δεν υπάρχουν παρεμβάσεις στα αρχικά δεδομένα κατά τη διαδικασία μεταφοράς και τρίτον, ότι διασφαλίζεται η παράδοσή τους μόνο στον αποδέκτη. Μολαταύτα, θα πρέπει να γνωρίζουμε ότι ο ιδιοκτήτης των δεδομένων που μεταφέρονται, κατέχει τα δικαιώματα προστασίας στην «ιδιωτικότητα».

Χωρίς αμφιβολία, η ανάγκη προστασίας των μεταφερόμενων δεδομένων από την αρχή της διαδικασίας ανταλλαγής πληροφοριών, είναι πολύ σημαντική. Πρώτες οι κυβερνήσεις και οι στρατιωτικές υπηρεσίες άρχισαν να επινοούν τρόπους για να εξασφαλίσουν την προστασία των μεταδιδόμενων πληροφοριών (για προφανείς λόγους). Είναι σαφές ότι η Ασφάλεια των Πληροφοριών δεν αφορά μόνο τα ψηφιακά δεδομένα, αλλά και τα φυσικά.

Η ασφάλεια των δεδομένων επικεντρώνεται περισσότερο στην προστασία δεδομένων από κακόβουλες επιθέσεις και την εκμετάλλευση κλεμμένων δεδομένων με σκοπό το κέρδος. Η ασφάλεια είναι απαραίτητη για την προστασία των δεδομένων, δεν αρκεί όμως για την αντιμετώπιση της ιδιωτικής ζωής.

Οι τρεις βασικοί πυλώνες της Ασφάλειας Πληροφοριών είναι η διατήρηση της Εμπιστευτικότητας, της Ακεραιότητας και της Διαθεσιμότητας συστημάτων και δεδομένων. Αυτό ορίζει σαφώς τους στόχους, τις πτυχές, τις ιδιότητες και τα κριτήρια που αφορούν τις πληροφορίες υπό προστασία. Ένα αποτελεσματικό σύστημα ασφάλειας πρέπει να διασφαλίζει ότι και οι τρεις αρχές καλύπτονται και λαμβάνονται υπόψη κατά την προστασία των δεδομένων. Είναι προφανές πως δεν υπάρχει καμία αναφορά στην ιδιωτικότητα των δεδομένων στο πλαίσιο της ασφάλειας των πληροφοριών, δεδομένου ότι η μία ασχολείται με δεδομένα και η άλλη με μια πιο ανθρώπινη διάσταση.

Ερ.: Αντιλαμβάνονται αυτή τη σημασία οι επιχειρήσεις και τι κάνουν για να προστατευτούν;

Απ.: Η ασφάλεια των πληροφοριών είναι μία από τις βασικές ανησυχίες των σύγχρονων οργανισμών. Ο όγκος και η αξία των δεδομένων που χρησιμοποιούνται στις καθημερινές επιχειρηματικές συναλλαγές, ενημερώνουν όλο και περισσότερο για τον τρόπο που λειτουργούν οι οργανισμοί και πόσο επιτυχημένοι είναι. Προκειμένου να προστατευθούν αυτές οι πληροφορίες όλο και περισσότερες εταιρείες πιστοποιούνται κατά το ISO 27001.

Οι κύριοι παράγοντες για την ασφάλεια είναι αναμφισβήτητα η παγκοσμιοποίηση, οι κυβερνητικές οδηγίες, οι κανονιστικές απαιτήσεις, οι τρομοκρατικές δραστηριότητες και οι κλιμακούμενες απειλές στον κυβερνοχώρο. Επιπλέον, οργανισμοί που αναζητούν συμβόλαια με κυβερνήσεις ή μεγάλους εταιρικούς πελάτες αντιλαμβάνονται όλο και περισσότερο ότι το ISO 27001 αποτελεί πλέον προϋπόθεση για την ύπαρξη επιχειρηματικής δραστηριότητας.

Η πιστοποίηση θεωρείται μια ισχυρή διαβεβαίωση της δέσμευσής τους να εκπληρώσουν τις υποχρεώσεις τους προς τους πελάτες και τους επιχειρηματικούς τους συνεργάτες. Αυτή η κατάσταση γίνεται ακόμη πιο επιτακτική με την έλευση του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ (GDPR), ο οποίος απαιτεί από τις επιχειρήσεις να διασφαλίζουν τα προσωπικά δεδομένα όλων των κατοίκων της ΕΕ και βαριά πρόστιμα (έως και 4% του παγκόσμιου ετήσιου κύκλου εργασιών ή 20 εκατομμυρίων ευρώ, ανάλογα με το ποιο είναι μεγαλύτερο) μπορεί να προκύψουν από σοβαρές παραβιάσεις δεδομένων.

Παρόλο που ο GDPR δεν προσφέρει συγκεκριμένες οδηγίες για τη διασφάλιση της προστασίας των δεδομένων, το ISO 27001 προσφέρει ένα σύνολο προδιαγραφών που περιγράφουν τα χαρακτηριστικά ενός αποτελεσματικού συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS).

Με βάση το ISO 27001, αλλά και μερικά άλλα πρότυπα, οι επιχειρήσεις προχωρούν σε πλειάδα τεχνολογικών αναβαθμίσεων, π.χ. κρυπτογράφηση, καταγραφή και συνεχόμενο έλεγχο των υποδομών πληροφορικής και πολλά άλλα.

Ερ.: Σε ποια πεδία και με ποιους τρόπους συνεργάζεται ο Σύνδεσμος με επιχειρήσεις και κρατικούς φορείς;

Απ.: Ο Σύνδεσμος Προστασίας Πληροφοριών και Ιδιωτικότητας Κύπρου έχει ιδρυθεί κάτω από την αιγίδα του ΚΕΒΕ, επομένως η συνεργασία μας είναι συνεχής και δεδομένη.

Πέραν αυτού, υπάρχει επικοινωνία τόσο με το γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όσο και με το γραφείο του Επιτρόπου Επικοινωνιών, όπου γίνονται και συναντήσεις με σκοπό την ανταλλαγή απόψεων, αλλά και ενημέρωσης σχετικά με τα θέματα που μας αφορούν.

Σε ότι αφορά τις επιχειρήσεις, η συνεργασία περιορίζεται προς το παρόν με τα μέλη του Συνδέσμου. Δράττοντας την ευκαιρία που μας δίνετε με αυτή τη συνέντευξη, θα ήθελα να προσκαλέσω τους αναγνώστες σας όπως μας ακολουθήσουν στους λογαριασμούς κοινωνικών δικτύων που διατηρούμε (Facebook, Twitter και Twitter), καθώς επίσης και τους επαγγελματίες που ασχολούνται με αυτά τα θέματα, να εγγραφούν στο Σύνδεσμο και να συνεισφέρουν και αυτοί όπως μπορούν για την εκπλήρωση των στόχων μας και την καλύτερη ενημέρωση και προστασία του κοινού και των οργανισμών.

Περισσότερες πληροφορίες μπορούν να βρεθούν μέσα από την ιστοσελίδα του Συνδέσμου https://caipp.eu.

Της Γεωργίας Χαννή