Οι προκλήσεις διασφάλισης προσωπικών δεδομένων στις έξυπνες πόλεις

Η έννοια της “έξυπνης πόλης’’ ακούγεται όλο και περισσότερο τον τελευταίο καιρό και έχει εισβάλει σε μεγάλο βαθμό στην καθημερινότητα μας

Έλενα Μπούα
Procurement Manager in OTE Group Finance Division
MsC ‘’Management & Economics of Telecom Networks’’

Η λίστα των έξυπνων πόλεων αριθμεί πολλές & μεγάλες πόλεις τόσο διεθνώς, όπως Νέα Υόρκη, Βαρκελώνη, Δανία, Βιέννη, Άμστερνταμ, όσο και στον ελληνικό χώρο όπως τα Τρίκαλα, η Καλαμάτα, το Ηράκλειο, η Θεσσαλονίκη και η Αθήνα.

Παρότι οι περισσότερες έρευνες που έχουν γίνει με αντικείμενο την έξυπνη πόλη εστιάζουν στις αδιαμφισβήτητες θετικές επιπτώσεις, με κυρίαρχη αυτή της βελτίωσης της ποιότητας ζωής των πολιτών, εκφράζονται τα τελευταία χρόνια ανησυχίες ως προς τη χρήση των προσωπικών δεδομένων για δευτερεύοντες σκοπούς, δηλαδή άλλο σκοπό από αυτό που πρωταρχικά προοριζόταν. Χαρακτηριστικό παράδειγμα αποτελεί η ING Bank, η οποία ανακοίνωσε το 2014 την πρόθεσή της να μοιραστεί τα στοιχεία των πελατών της με εμπορικούς φορείς για να εξαχθούν στατιστικά συμπεράσματα για το προφίλ του μέσου καταναλωτή. Το γεγονός αυτό προκάλεσε κύμα αντιδράσεων από τους πελάτες, πολλοί εκ των οποίων απέσυραν τους λογαριασμούς τους από την τράπεζα, με αποτέλεσμα η τελευταία να ακυρώσει τα πλάνα της και να απολογηθεί δημοσίως. Αντίστοιχα, αντιμέτωπη με την αντίδραση 700.000 Άγγλων πολιτών βρέθηκε η Εθνική Υπηρεσία Υγείας της Αγγλίας όταν αποκαλύφθηκε ότι το αρχείο με το ιστορικό των ασθενών είχε μοιραστεί σε ασφαλιστικές εταιρείες, χωρίς οι πολίτες να έχουν λάβει γνώση.

Επιπλέον από τεχνική σκοπιά, οι λύσεις έξυπνων πόλεων κάνουν χρήση  πολλών, διαφορετικών και ταυτόχρονα περίπλοκων, ψηφιακών τεχνολογιών και υποδομής ICT, που πολλές φορές στερούνται κρυπτογράφησης ή αλληλεπιδρούν με μη ασφαλή, παλιά συστήματα, γεγονός που τα καθιστά ευάλωτα σε ψηφιακές επιθέσεις (διαθεσιμότητας, εμπιστευτικότητας ή ακεραιότητας).

Δεδομένου ότι οι υπηρεσίες μιας έξυπνης πόλης είναι ένα είδος cloud computing και μάλιστα στη συντριπτική τους πλειοψηφία είναι υπηρεσίες που δίνονται από τρίτα μέρη και όχι την ίδια την πόλη, οι πιο συνηθισμένοι κίνδυνοι που έχουν παρατηρηθεί είναι: η Εξάντληση πόρων (resource exhaustion), η Διακύβευση του interface για τη διαχείριση της υπηρεσίας (management GUI and API compromise), η Έλλειψη απομόνωσης πόρων (lack of resource isolation), Κλείδωμα δεδομένων / παρόχου υπηρεσιών (Data/Vendor Lock-In), Υποκλοπή λογαριασμών/δεδομένων (Intercepting data), Άγνωστο προφίλ κινδύνου (Unknown Risk Profile), Απώλεια και διαρροή δεδομένων (Data Loss or Leakage).

Μελέτη συμβάσεων με αντικείμενο τις έξυπνες πόλεις

Αναγνωρίζοντας αυτά τα προβλήματα, στα πλαίσια Μεταπτυχιακής Διατριβής, και προκειμένου να διαπιστωθεί ο βαθμός διασφάλισης των προσωπικών δεδομένων των χρηστών απέναντι στους κινδύνους αυτούς, μελετήθηκαν συμβάσεις με αντικείμενο έξυπνες εφαρμογές σε δήμους τόσο στον ελληνικό όσο και στον ευρωπαϊκό χώρο. Τα αποτελέσματα ανέδειξαν σημαντική έως και πλήρη σε κάποιες περιπτώσεις έλλειψη ενός πλαισίου διασφάλισης των βασικών δικαιωμάτων,  της ιδιωτικότητας και της ασφάλειας των δεδομένων των χρηστών & ταυτόχρονα πολιτών μιας έξυπνης πόλης.

Ως συμπέρασμα, κρίνεται επιτακτική ανάγκη σε κάθε περίπτωση που ένας δήμος ή μια πόλη επιλέγει την παροχή μιας «έξυπνης» υπηρεσίας στους δημότες ή πολίτες του, να προβεί σε μια διαδικασία αναγνώρισης και αποτίμησης κινδύνων και να υλοποιεί για την αντιμετώπισή τους όπου αυτό είναι δυνατό ένα νομικά κατοχυρωμένο πλαισίου συνεργασίας μεταξύ των δημοτικών φορέων και των εταιρειών παροχής τεχνολογικών λύσεων. Με τον τρόπο αυτό, θα αποτυπώνονται ρητά συγκεκριμένοι όροι και SLAs στις διαδικασίες προμήθειας μιας έξυπνης πόλης και στις συμβάσεις και θα υπάρχουν οι αντίστοιχες κυρώσεις σε περίπτωση μη τήρησης αυτών.

Ακολουθούν κάποια ενδεικτικά παραδείγματα:

• Κίνδυνος της εξάντλησης των πόρων και υποκλοπής λογαριασμών/δεδομένων μπορούν να αντιμετωπιστούν με συγκεκριμένους όρους μιας σύμβασης, όπως software integrity checks, εφαρμογή κρυπτογραφίας και εφαρμογή μηχανισμών αυθεντικοποίησης.
• Κίνδυνος έλλειψης απομόνωσης πόρων και κλείδωμα δεδομένων μπορούν να αντιμετωπιστούν με τη συμφωνία μεσεγγύησης (escrow agreement), ώστε να διασφαλιστεί η απρόσκοπτη και αδιάλειπτη παροχή της υπηρεσίας.
• Κίνδυνος διακύβευσης του interface μπορεί να αντιμετωπιστεί με την τήρηση διεθνών προτύπων όπως το ISO 27034, εφαρμογή μεθόδων αυθεντικοποίησης, περιορισμούς διεύθυνσης IP, administrator roles & privileges.

Ανάγκη για χρηματοδότηση

Παράλληλα με την έννοια της ασφάλειας και ιδιωτικότητας, εξίσου σημαντική είναι και η έννοια της χρηματοδότησης. Απόδειξη αυτού είναι ότι όσο καλά σχεδιασμένο και αν είναι ένα έργο, όσο και αν συμμετέχουν ενεργά και αποτελεσματικά όλοι οι εμπλεκόμενοι φορείς, το όραμα μιας έξυπνης πόλης δεν μπορεί να επιτευχθεί, εάν δεν εξασφαλιστεί η απαραίτητη χρηματοδότηση.

Από τις περιπτώσεις των έξυπνων πόλεων που έχουν μελετηθεί τόσο διεθνώς όσο και σε ελληνικό επίπεδο, προκύπτει ότι δεν υπάρχει ένα συγκεκριμένο και σταθερό σχήμα χρηματοδότησης. Κάθε εφαρμογή έξυπνης πόλης υλοποιείται με διαφορετικό τρόπο. Υπάρχουν έργα που βασίζονται σε ευρωπαϊκές χρηματοδοτήσεις (Horizon 2020, Interreg, URBACT ΙΙΙ, ELENA, JESSICA κ.α.), έργα που βασίζονται στην ανάληψη ιδιωτικών πρωτοβουλιών από μεγάλες ή νεοσύστατες εταιρείες (startups) για υλοποίηση πιλοτικών ή δοκιμασμένων εφαρμογών για λόγους εμπορικής προβολής κ.α.

Το μόνο σίγουρο είναι ότι κάθε πόλη, που θέλει να εξασφαλίσει μια επαρκή χρηματοδότηση, θα πρέπει να δημιουργήσει ένα καλά σχεδιασμένο και ελκυστικό business plan, στο οποίο θα αναλύονται βασικές παράμετροι όπως τα ενδεχόμενα ρίσκα, οι πηγές χρηματοδότησης, ο αριθμός των εμπλεκόμενων μερών, η διάρκεια της χρηματοδότησης, με σκοπό να αποδεικνύεται η βιωσιμότητα της λύσης.

Συνοψίζοντας, η έννοια της χρηματοδότησης είναι άρρηκτα συνδεδεμένη με τις έννοιες της ασφάλειας και ιδιωτικότητας και το σημείο τομής τους είναι οι έξυπνες διαδικασίες προμήθειας και τα SLAs που θα πρέπει να αποτελούν κομμάτι κάθε σύμβασης στο πλαίσιο έργων έξυπνης πόλης.