Νέο πεδίο για την ασφάλεια και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση

Από το 2013 και μετά έχουν συντελεστεί σημαντικές αλλαγές στην Ευρωπαϊκή Ένωση τόσο σε τεχνολογικό επίπεδο όσο και στο ειδικό αντικείμενο της ασφάλειας πληροφοριών.

Αργυρώ Χατζοπούλου

 Δ/ντρια Εταιρικής Διακυβέρνησης της TÜV AUSTRIA HELLAS

Big Data, Internet of Things, Artificial Intelligence δεν είναι πλέον θεωρητικές έννοιες αλλά έχουν βρει εφαρμογή σε επαγγελματικό αλλά και σε προσωπικό επίπεδο.

Ταυτόχρονα, το πλήθος και το είδος των απειλών ασφαλείας αυξάνονται συνεχώς.

Νέες απειλές όπως ransomware attacks,⁽¹⁾ κυβερνοεπιθέσεις που οδηγούν στην κλοπή δεδομένων ή κυβερνοεπιθέσεις που οδηγούν στην διακοπή της παροχής υπηρεσίας είναι πλέον μέρος της καθημερινής λειτουργίας.

Βάση στοιχείων της Ευρωπαϊκής Ένωσης,⁽²⁾ για το 2016 έχουν καταγραφεί περισσότερες από 4000 ransomware attacks, νούμερο το οποίο δείχνει μια αύξηση κατά 300% σε σχέση με το 2015. Οι οικονομικές επιπτώσεις του κυβερνοεγκλήματος έχουν πενταπλασιαστεί το 2017 σε σχέση με το 2013 και αναμένεται να τετραπλασιαστεί το 2019 (σε σχέση με το 2017).

Βάση μιας έρευνας της Ευρωπαϊκής Επιτροπής⁽³⁾ το 87% των συμμετεχόντων θεωρούν ότι το κυβερνοέγκλημα είναι μια σημαντική πρόκληση για την εσωτερική ασφάλεια της Ευρωπαϊκής Ένωσης. Οι δυο μεγαλύτερες ανησυχίες (βάση της ίδιας μελέτης) είναι η κακή χρήση των δεδομένων προσωπικού χαρακτήρα τους και η ασφάλεια των συναλλαγών.

Η Ευρωπαϊκή Ένωση με την σειρά της έχει προχωρήσει σε μια σειρά σημαντικές αλλαγές όσο αφορά τα δεδομένα προσωπικού χαρακτήρα, την ασφάλεια στο διαδίκτυο και τις τραπεζικές συναλλαγές.

Συγκεκριμένα έχουν ήδη εκδοθεί τα ακόλουθα:

• Κανονισμός (ΕΕ) 679/2016 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27^ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
• Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 6ης Ιουλίου 2016 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση.
• Οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2015 σχετικά με υπηρεσίες πληρωμών στην εσωτερική αγορά, την τροποποίηση των οδηγιών 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και του κανονισμού (ΕΕ) αριθ. 1093/2010 και την κατάργηση της οδηγίας 2007/64/ΕΚ
• Πρόταση για έναν κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την δημιουργία ενός European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres.
• Πρόταση για τον κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες)

Στις απαιτήσεις που προκύπτουν από τα παραπάνω κάθε επιχείρηση οφείλει να οργανωθεί, να αντιμετωπίσει τα θέματα ασφάλειας και ιδιωτικότητας συστηματικά εφαρμόζοντας τα ακόλουθα βήματα:

• Αναγνώριση του βαθμού στον οποίο τα παραπάνω κείμενα εφαρμόζονται στην λειτουργία του
• Αναγνώριση του βαθμού συμμόρφωσης προς τις παραπάνω απαιτήσεις – GAP Analysis.
• Οργάνωση και δημιουργία πλάνου συμμόρφωσης για την κάλυψη των αναγνωρισμένων κενών
• Έλεγχος της εφαρμογής και της αποτελεσματικότητας των οργανωτικών και τεχνικών μέτρων

Στην παραπάνω προσπάθεια και με στόχο την υποβοήθηση των επιχειρήσεων να κατανοήσουν πως είναι οργανωμένοι, σε ποιο βαθμό συμμόρφωσης βρίσκονται και ποια μέτρα παίρνουν ήδη τόσο σε τεχνικό και οργανωτικό επίπεδο όσο και σε επίπεδο κατανόησης και ενημέρωσης από την μεριά του προσωπικού, η TÜV AUSTRIA HELLAS, έχει εντάξει στο δυναμικό της, τις ακόλουθες υπηρεσίες:

• GDPR Initial Assessment by TÜV AUSTRIA: Η συγκεκριμένη υπηρεσία αποτελεί μια μοναδική, πρωτοποριακή μεθοδολογία αξιολόγησης της τρέχουσας κατάσταση συμμόρφωσης του οργανισμού ως προς τις απαιτήσεις του σχήματος Privacy Seal by TÜV AUSTRIA, του ιδιωτικού προτύπου πιστοποίησης που μπορούν να εφαρμόσουν οι επιχειρήσεις και να πιστοποιηθούν σε σχέση με την προστασία της ιδιωτικότητας των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται.
• IT Audit: Η συγκεκριμένη υπηρεσία, αποσκοπεί στην αναγνώριση μέσω αντικειμενικών αποδείξεων στην αξιολόγηση του βαθμού στον οποίο ο οργανισμός λαμβάνει επαρκή μέτρα για την εξασφάλιση της προστασίας των πόρων, της διατήρησης της ακεραιότητας των δεδομένων και την αποτελεσματική εξυπηρέτηση των επιχειρηματικών στόχων.
• Penetration testing & Vulnerability assessments: Μέσω των υπηρεσιών αυτών, δίνονται αναλυτικές αναφορές με τις αδυναμίες της μηχανογραφικής υποδομής του οργανισμού καθώς και του βαθμού έκθεσής της σε πιθανές κακόβουλες επιθέσεις.
• Workshops & Εξειδικευμένα σεμινάρια: Σχεδιάζονται και υλοποιούνται εξατομικευμένα workshops Social Engineering, Ιδιωτικότητας, Ασφάλειας κλπ με σκοπό την αποτίμηση του βαθμού ενημέρωσης και κατανόησης του προσωπικού των πολιτικών ασφαλείας.

Η TÜV AUSTRIA HELLAS, και σε θέματα τεχνολογίας, ελέγχου και πιστοποίησης των πληροφοριακών συστημάτων, παραμένει ο αξιόπιστος, ανεξάρτητος και εξειδικευμένος συνεργάτης σας. Για περισσότερες πληροφορίες επικοινωνήστε:

TÜV AUSTRIA HELLAS, Διεύθυνση Επιθεωρήσεων Συστημάτων Πληροφορικής (Information Systems’ Inspections’ Division), +30 210 5220920, e–mail: isid@tuv.at, πρόσωπα επικοινωνίας: κος Απόστολος Καρράς (apostolos.karras@tuv.at), κος Άγης Σωλέας (agisilaos.soleas@tuv.at). 

• ransomware: Το ransomware είναι ένα είδος κακόβουλου λογισμικού το οποίο εγκαθίστανται σε ηλεκτρονικούς υπολογιστές με αποτέλεσμα να κλειδώνονται απομακρυσμένα. Το ransomware δημιουργεί ένα αναδυόμενο (pop-up) παράθυρο το οποίο εμφανίζεται ότι προέρχεται από μια επίσημη Αρχή, αναγράφοντας ότι ο υπολογιστής έχει κλειδώσει για διάφορες παράνομες δραστηριότητες (παιδική πορνογραφία, συμμετοχή σε παράνομα παίγνια, παράνομη κατοχή οπτικοακουστικών αρχείων κ.α.) και απαιτείται η καταβολή κάποιου ποσού προκειμένου να ξεκλειδώσει ο υπολογιστής και τα αρχεία του. Υπάρχουν αρκετές εκδόσεις του ανωτέρω κακόβουλου λογισμικού με διαφορετικά χαρακτηριστικά η κάθε μια.
• (2) & (3) http://europa.eu/rapid/press-release_MEMO-17-3194_en.htm