Σημειώσεις από την Ομιλία που πραγματοποιήθηκε στο ετήσιο Συνέδριο της ΑΔΑΕ το έτος 2007.
ΤΕΧΝΙΚΑ ΘΕΜΑΤΑ ΔΙΑΣΦΑΛΙΣΗΣ ΑΣΦΑΛΕΙΑΣ
Νομικές Συμβουλές Ψηφιακής Αυτοάμυνας.
Είμαι δικηγόρος, η νομική σύμβουλος της εεχι. Επέλεξα όμως να σας μιλήσω σε αυτήν την συνεδρία και όχι σε αυτήν των συναδέλφων μου στη διπλανή αίθουσα, γιατί θέλω να σας παρουσιάσω πρακτικές διασφάλισης του απορρήτου, τόσο για τους χρήστες όσο και για τις επιχειρήσεις από νομικής πλευράς μεν, αλλά σε επίπεδο απλής πρακτικής.
Χρήστες:
Φαντάζομαι ότι δεν έχουμε πολλούς απλούς χρήστες του διαδικτύου ανάμεσά μας, αλλά αυτά που θα πω για τους χρήστες, χρήσιμο θα ήταν να τα υπενθυμίζετε οι επιχειρηματίες και οι επαγγελματίες στους πελάτες σας, οι οποίοι είναι απλοί χρήστες.
Ενημερωθείτε. Αφιερώστε χρόνο και μάθετε να χρησιμοποιείτε το διαδίκτυο και τον υπολογιστή σας. Για να μάθετε, π.χ. ότι ένα παράθυρο δεν κλείνει από το ΟΚ αλλά από το κατάλληλο εικονίδιο. (παράδειγμα Κόκκα). Αλλά και για να μάθετε πώς να κατευθύνετε το firewall σας, πώς να αποτρέπετε την εγκατάσταση cookies όταν δεν τη χρειάζεστε και όλα τα άλλα τεχνικά που σας είπε νωρίτερα ο κ. Βασιλάκος.
Μην δίνετε όλα σας τα προσωπικά στοιχεία, με την παραμικρή ευκαιρία και, αν σας ζητηθεί ρωτήστε το λόγο και προσπαθήστε να ικανοποίησετε το συνεργάτη σας με τις λιγότερες δυνατές πληροφορίες.
Αποφύγετε τα chain letters. Φτάνει πια με την ατελείωτη αλυσίδα μηνυμάτων που αν δεν τα στείλετε κάτι κακό θα σας συμβεί και αν τα στείλετε κάτι καλό θα σας έρθει. Πίσω από αυτά κάποιοι επιτήδειοι, εκμεταλλεύονται αυτό την τεράστια δεξαμενή ηλεκτρονικών διευθύνσεων.
Ο κωδικός σας δεν μπορεί να είναι η ημερομηνία γέννησής σας ή το όνομά σας!
Μην συγκατατίθεστε σε οποιοδήποτε προγραμματάκι εμφανίζεται στον υπολογιστή σας.
Για προσωπικές συζητήσεις, chatting, γνωριμίες και άλλα παρόμοια, εμπιστευθείτε οργανωμένες ιστοσελίδες και γνωστούς δικτυακούς τόπους. Μην εμπιστεύεστε μόνο ό,τι σας συστήνουν, αλλά και όποια σελίδα έχει όρους χρήσης. Το διαδίκτυο δεν είναι ξέφραγο αμπέλι, επομένως κι ο χρήστης δεν πρέπει να συμπεριφέρεται σαν να είναι η κάθε ιστοσελίδα ξέφραγο αμπέλι. Εμπιστευθείτε περισσότερο αυτές που είναι οργανωμένες, με όρους χρήσης, και οπωσδήποτε ΤΑΥΤΟΤΗΤΑ ιδιοκτητών, και στοιχεία επικοινωνίας.
Επιχειρήσεις-Επαγγελματίες:
Είναι αστείο πλέον να μιλάμε για επιχειρήσεις που λειτουργούν στο χώρο του διαδικτύου, χωρίς νομική υποστήριξη, όσο αστείο σας ακούγεται ένας δικηγόρος να έχει στήσει μόνος του όλο το μηχανογραφικό και πληροφοριακό σύστημα μιας δικηγορικής εταιρείας. Και δεν έχω ως παράδειγμα φυσικά τον εαυτό μου, γιατί η θητεία μου στην ΕΕΧΙ με όπλισε με άρτια τεχνική κατάρτιση στα δίκτυα. Όσο και να διαβάζει ένας τεχνικός τους νόμους δεν θα έχει ποτέ την κατάρτιση που απαιτείται για να αντιμετωπίσει όλα τα προβλήματα που είναι πιθανόν να προκύψουν.
Όσοι λειτουργείτε τις επιχειρήσεις σας από τις ιστοσελίδες σας, έχετε δυνατότητα αγοραπωλησιών μέσω διαδικτύου, ή προσφέρετε οποιεσδήποτε υπηρεσίες μέσω διαδικτύου, προσθέστε όρους χρήσης στους δικτυακούς σας τόπους. Όπως εσείς δεν θα εμπιστευόσασταν να πραγματοποιήσετε αγορές μέσα από ένα Amazon χωρίς όρους χρήσης έτσι κι ο πελάτης σας είναι λογικό να μην σας εμπιστεύεται αν δεν έχετε πλήρεις όρους χρήσης. Τι σημαίνει αυτό;
Σημαίνει ότι ορίζετε τα δικαιώματα των χρηστών και επισκεπτών σας. Σημαίνει επίσης ότι αυτοί γνωρίζουν ότι είστε μια επώνυμη εταιρεία με οργάνωση και νομική προστασία. Σημαίνει ακόμη ότι γνωρίζουν ως ποιο σημείο φτάνει η δική σας ευθύνη και ως ποιο η δική τους κατά την περιήγησή τους στο site σας. Ξέρουν τι μπορούν και τι δεν μπορούν να κάνουν στο δικτυακό σας τόπο.
Ενημερώστε τους επισκέπτες της ιστοσελίδας σας για τη συλλογή πληροφοριών που τους αφορούν. Έχετε αυτήν την υποχρέωση από το νόμο, αλλά λίγοι το γνωρίζετε.
Ενημερώστε τους πελάτες και χρήστες σας, για το αν αποθηκεύετε ή όχι τις πληροφορίες που σας δίνουν, ονοματεπώνυμο, ηλικία, φύλο, διεύθυνση, οτιδήποτε…
Ενημερώστε τους αν γίνονται πληρωμές μέσα από το site σας, για το τι γίνονται τα στοιχεία της πιστωτικής τους κάρτας, με ποια τράπεζα συνεργάζεστε, και ποιος είναι υπεύθυνος για τα στοιχεία αυτά, εσείς ή η τράπεζα.
Και τέλος, ασχοληθείτε με το να θεσπίσετε διαδικασίες εντός αλλά και εκτός της εταιρείας. Προσθέστε όρους εμπιστευτικότητας των πληροφοριών που κατέχετε με τους υπαλλάληλους που τα διαχειρίζονται, και θα προσέθετα, αμείψτε τους για την ορθή χρήση τους!
Δημιουργήστε κανονισμό και επιβάλλετέ τον σχετικά με τις πληροφορίες που περνάνε από τα χέρια σας. Αν σας φαίνεται υπερβολή, σκεφτείτε ότι οι πληροφορίες που έχετε για τον κάθε πελάτη σας, μπορεί να είναι για εσάς ασήμαντες και συνηθισμένες, όμως για κάποιος τρίτο μπορεί να είναι θησαυρός. Σκεφτείτε τι θα γινόταν αν όλοι εμείς οι δικηγόροι μεταδίδαμε τα δικά σας δεδομένα, των πελατών μας, χωρίς κανένα μέτρο ασφάλειας ή μιλούσαμε γι΄αυτά δεξιά κι αριστερά.
Και μην ξεχνάτε ότι οι υπάλληλοι και τα στελέχη σας δεν ζουν μόνο μέσα στην εταιρεία σας, αλλά και έξω από αυτήν. Κυκλοφορούν, μιλούν και έχουν σύνδεση από το σπίτι. Πιθανόν να συνδέονται και στο δίκτυο της εταιρείας σας από το σπίτι σας. Είναι εμφανές ότι θα πρέπει να φροντίσετε να πιστοποιείται κάθε είσοδος χρήστη στο δίκτυό σας, αν δεν θέλετε να βρεθείτε προ εκπλήξεως, όπως οι διευθυντές των Υποκαταστημάτων ΟΤΕ σε κάποιες επαρχιακές πόλεις, οι οποίοι αντιμετώπισαν καταγγελία ιδιώτη, ο οποίος διεπίστωσε ότι η γυναίκα του, η οποία ήταν υπάλληλος του ΟΤΕ, παρακολουθούσε τις κλήσεις του.
ΕΝΗΜΕΡΩΣΗ ΤΩΝ ΑΡΜΟΔΙΩΝ
Φροντίσατε να διασφαλιστείτε με όλα όσα σας είπαμε εγώ και ο κ. Βασιλάκος; Πολύ ωραία. Έχετε κάνει τα πάντα.
Αλλά δυστυχώς δεν αρκεί… Είπαμε πώς διασφαλίζεται το απόρρητο, από πλευράς ιδιωτών, να πούμε τώρα και πώς δεν διασφαλίζεται με κανένα τρόπο το απόρρητο, που είναι και η συνηθέστερη περίπτωση:
Το απόρρητο δεν μπορεί λοιπόν να διασφαλιστεί, όταν η άγνοια (τόσο της νομοθεσίας όσο και στοιχειωδών τεχνικών κανόνων) βρίσκεται σε ένα επίπεδο πάνω από τον απλό πολίτη, δηλαδή, στις αστυνομικές και στις δικαστικές αρχές, οι οποίες δεν είναι πάντοτε κατάλληλα ενημερωμένες για τη νομοθεσία ή μολονότι είναι ενημερωμένες, την υπερβαίνουν.
Είναι δυστυχώς σύνηθες το φαινόμενο να γίνονται καταρχήν συλλήψεις αθώων, λόγω της άγνοιας της νομοθεσίας των διενεργούντων τη σύλληψη και δυστυχώς στη συνέχεια οι ίδιοι αθώωοι πολίτες να βρίσκονται κατηγορούμενοι και ακόμη χειρότερα προφυλακισμένοι επί μήνες, λόγω της άγνοιας των δικαστικών λειτουργών στα σχετικά τεχνικά θέματα.
Έτσι θα προέτεινα σε εσάς τους ιθύνοντες της ΑΔΑΕ και των λοιπών ανεξάρτητων αρχών της ΑΠΔΠΧ ή της ΕΕΤΤ και λοιπών, να ανησυχείτε λιγότερο για τα ολισθήματα και τις παραβιάσεις του απορρήτου από πλευράς ιδιωτών αλλά ακόμη και των μεγάλων εταιρειών, γιατί όλοι αυτοί ελέγχονται από εμάς τους ίδιους. Όταν ένας ιδιώτης ή μια εταιρεία κάνει μια παρανομία αργά ή γρήγορα θα καταγγελθεί από τον θιγόμενο, και η υπόθεση θα πάρει το δρόμο της δικαιοσύνης. Το θέμα είναι τι γίνεται όταν η δικαιοσύνη, αρχής γενομένης από τη σύλληψη ενός υποτιθέμενου δράστη, αναλαμβάνει όχι μόνο να εφαρμόσει αλλά κατά περίπτωση και να ερμηνεύσει το νόμο.
Είναι σαφές ότι ο νόμος 2251/94 που θεσπίζει τη διαδικασία άρσης του απορρήτου δεν επαρκεί, χωρίς αυτό να σημαίνει κατά την ταπεινή μου γνώμη ότι η υπερβολική διεύρυνσή του θα αποτελέσει λύση
Ακούσατε πριν από τον κ. Μαραβέλα ότι η προνογραφία ανηλίκων είναι από τις περιπτώσεις εγκλημάτων που δεν περιελήφθησαν σε εκείνα που αίρουν το απόρρητο. Μα μην ανησυχείτε, κ. Μαραβέλα, διότι είναι σύνηθες φαινόμενο να αλλάζουν τα εγκλήματα ονομασία μέχρι να φτάσουν στον εισαγγελέα, προκειμένου να επιτευχθεί η άρση του απορρήτου, και να αποκαλυφθεί ο δράστης, κι έτσι έχουμε απειλές που βαφτίζονται εκβιάσεις, και πλήθος εγκλημάτων που ζορίζονται να γίνουν από εγκληματική οργάνωσης, ενώ δεν έχουν παρά μόνο έναν δράστη (το 187 ΠΚ θέλει τρία + άτομα), με τη χαρακτηριστική συνοδευτική φράση στη σχηματιζόμενη δικογραφία “λόγω της ιδιάζουσας φύσης του εγκλήματος τεκμαίρεται ότι ο δράστης δεν θα μπορούσε να έχει ενεργήσει από μόνος του”!!!!!
Το δεύτερο είναι υψηλόβαθμοι δικαστές (εφέτες και αρεοπαγίτες) να κρίνουν ζητήματα εγκλημάτων στενά συνδεδεμένων με καθαρά τεχνικούς όρους και τεχνικές διεργασίες. Και όπως είναι αναμενόμενο, συχνά σφάλλουν στην κρίση τους.
Και θα μου πείτε, τι μπορούμε να κάνουμε; Να εκπαιδεύσουμε όλη την ελληνική αστυνομία και όλο το δικαστικό σώμα στην αντίστοιχη νομοθεσία; Ίσως λοιπόν δεν θα ήταν και τόσο κακή ιδέα αυτό.
Για να μην αντιμετωπίσουμε ξανά το φαινόμενο που περιγράφει συνάδελφος στη διπλανή αίθουσα, να αιτείται από εισαγγελέα άρση του απορρήτου τηλεπικοινωνιακού παρόχου, κατόπιν μηνύσεως του θιγόμενου, για έγκλημα που δεν περιλαμβάνεται στα όσα αίρουν το απόρρητο, διότι ο εισαγγελέας λαμβάνει υπόψη το νόμο για τα προσωπικά δεδομένα, αλλά όχι και το νόμο περί άρσεως του απορρήτου.
Για να μην αντιμετωπίσουμε και πάλι το φαινόμενο της υπόθεσης Σκαγιά, ο οποίος παραμένει προφυλακισμένος επί εξάμηνο, διότι οι δικαστικές αρχές δεν κατόρθωσαν να ξεχωρίσουν τη διαφορά μεταξύ Καταχωρητή και ιδιοκτήτη ιστοσελίδας πορνογραφικού περιεχομένου. Και άλλα πολλά παρόμοια.
- Εισέλθετε στο σύστημα ή εγγραφείτε για να υποβάλετε σχόλια