ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ. Σχολή Θετικών Επιστηµών και Τεχνολογίας. Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH. Θεµατική Ενότητα

Transcript

1 Aσφάλεια Yπολογιστών Σηµείωση Το ΕΑΠ είναι υπεύθυνο για την επιµέλεια έκδοσης και την ανάπτυξη των κειµένων σύµφωνα µε τη Μεθοδολογία της εξ Αποστάσεως Εκπαίδευσης. Για την επιστηµονική αρτιότητα και πληρότητα των συγγραµ- µάτων την αποκλειστική ευθύνη φέρουν οι συγγραφείς, κριτικοί αναγνώστες και ακαδηµαϊκοί υπεύθυνοι που ανέλαβαν το έργο αυτό.

2

3 ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος A' Aσφάλεια Yπολογιστών ΣΩΚΡΑΤΗΣ KΑΤΣΙΚΑΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου ΠATPA 2001

4 ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος A' Aσφάλεια Yπολογιστών Συγγραφή ΣΩKPATHΣ KATΣIKAΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου Κριτική Ανάγνωση HMHTPIOΣ ΓKPITZAΛHΣ Eπίκ. Kαθηγητής Tµήµατος Πληροφορικής Oικονοµικού Πανεπιστηµίου Aθηνών Ακαδηµαϊκός Υπεύθυνος για την επιστηµονική επιµέλεια του τόµου ΠAYΛOΣ ΣΠYPAKHΣ Καθηγητής Tµήµατος Mηχανικών H/Y & Πληροφορικής Πανεπιστηµίου Πατρών Επιµέλεια στη µέθοδο της εκπαίδευσης από απόσταση AXIΛΛEAΣ KAMEAΣ Γλωσσική Επιµέλεια IΩANNHΣ ΓAΛANOΠOYΛOΣ Τεχνική Επιµέλεια EΣΠI EK OTIKH EΠE Καλλιτεχνική Επιµέλεια, Σελιδοποίηση TYPORAMA Συντονισµός ανάπτυξης εκπαιδευτικού υλικού και γενική επιµέλεια των εκδόσεων ΟΜΑ Α ΕΚΤΕΛΕΣΗΣ ΕΡΓΟΥ ΕΑΠ / ISBN: Kωδικός Έκδοσης: ΠΛH 35/1 Copyright 2000 για την Ελλάδα και όλο τον κόσµο ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Οδός Παπαφλέσσα & Υψηλάντη, Πάτρα Τηλ: (0610) , Φαξ: (0610) Σύµφωνα µε το Ν. 2121/1993, απαγορεύεται η συνολική ή αποσπασµατική αναδηµοσίευση του βιβλίου αυτού ή η αναπαραγωγή του µε οποιοδήποτε µέσο χωρίς την άδεια του εκδότη.

5 ÂÚÈÂ fiìâó Πρόλογος K º π 1 Ó ÁÎË appleúôûù Û ÙˆÓ appleïëúôêôúèòó Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Η οικονοµική σηµασία της πληροφορίας Πληροφορία και παγκοσµιοποίηση της οικονοµίας Η πληροφορία ως αγαθό Η αξία της πληροφορίας Η κοινωνική σηµασία της πληροφορίας Ένα πλαίσιο για την προστασία των πληροφοριών Θεσµικές ρυθµίσεις Οργανωσιακές ρυθµίσεις Κοινωνικές δράσεις Σύνοψη Bιβλιογραφία κεφαλαίου K º π 2 H AÛÊ ÏÂÈ ÏËÚÔÊÔÚÈÒÓ ÛÙ A ÙÔÌ ÙÔappleÔÈËÌ Ó ÏËÚÔÊÔÚÈ Î ÛÙ Ì Ù Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Οµαδοποίηση εννοιών Οµάδα εννοιών «αγαθά» Ένα παράδειγµα Οµάδα εννοιών «ιδιοκτήτης και χρήστης» Οµάδα εννοιών «ιδιότητες»... 48

6 6 A ºA EIA Y O O I TøN 2.5 Οµάδα εννοιών «κίνδυνοι» Οµάδα εννοιών «στόχοι» Οµάδα εννοιών «εξασφάλιση» Οµάδα εννοιών «µέτρα προστασίας» Σύνοψη Bιβλιογραφία κεφαλαίου K º π 3 TÔ ÈÔ AÛÊ ÏÂÈ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Ο κύκλος ζωής του σχεδίου ασφάλειας Φάση σχεδιασµού Φάση υλοποίησης Φάση συντήρησης ιαχείριση κινδύνων Ο ρόλος και η αναγκαιότητα της διαχείρισης κινδύνων Η διαχείριση κινδύνων ως επιστηµονική µέθοδος και ως τεχνική επικοινωνίας Μεθοδολογίες διαχείρισης κινδύνων Ένα παράδειγµα Πολιτικές ασφάλειας Η δοµή µιας πολιτικής ασφάλειας: κανόνες, πρότυπα και διαδικασίες Τα περιεχόµενα µιας πολιτικής ασφάλειας Σύνοψη Bιβλιογραφία κεφαλαίου... 92

7 EPIEXOMENA 7 K º π 4 ÙÔappleÔ ËÛË Î È A ıâóùèîôappleô ËÛË Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Εξακρίβωση ταυτότητας Tαυτοποίηση Αυθεντικοποίηση Συνθηµατικά Εικασία συνθηµατικών Υποκλοπή συνθηµατικών Παραβίαση αρχείου συνθηµατικών Η διαχείριση του µηχανισµού συνθηµατικών Σύνοψη Bιβλιογραφία κεφαλαίου K º π 5 ŒÏÂÁ Ô ÚÔÛapple Ï ÛË Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Υποκείµενα και αντικείµενα Πολιτικές ελέγχου προσπέλασης Μοντέλα ελέγχου προσπέλασης ικτυώµατα Μοντέλο Bell-LaPadula Μοντέλο Biba Μοντέλο Σινικού Τείχους Μοντέλο Clark-Wilson Μοντέλα πολιτικών RBAC Μοντέλο Graham-Denning

8 8 A ºA EIA Y O O I TøN Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο ανάκλησης-παραχώρησης Μηχανισµοί ελέγχου προσπέλασης Ευρετήρια Λίστες ελέγχου προσπέλασης Πίνακας ελέγχου προσπέλασης υνατότητες Έλεγχος προσπέλασης µέσω διαδικασίας Σύνοψη Bιβλιογραφία κεφαλαίου K º π 6 AÛÊ ÏÂÈ ÂÈÙÔ ÚÁÈÎÒÓ ÛÙËÌ ÙˆÓ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Μηχανισµοί προστασίας ιεργασίες Προστασία της µνήµης Προστασία Εισόδου/Εξόδου Προστασία αρχείων Οι πυρήνες ασφάλειας Η ασφάλεια του Unix Ταυτοποίηση και αυθεντικοποίηση χρηστών Έλεγχος προσπέλασης Ίχνος ελέγχου Περικαλύµµατα Οι περιορισµοί ασφάλειας του παραδοσιακού Unix Η ασφάλεια των Windows NT Ταυτοποίηση και αυθεντικοποίηση

9 EPIEXOMENA Έλεγχος προσπέλασης Σύνοψη Bιβλιογραφία κεφαλαίου K º π 7 K Îfi Ô ÏÔ ÔÁÈÛÌÈÎfi Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Ιοµορφικό λογισµικό οµή ιών Τύποι ιών Μακρο-ιοί Προστασία Μη ιοµορφικό κακόβουλο λογισµικό Κερκόπορτες Λογικές βόµβες ούρειοι Ίπποι Έλικες Βακτήρια Σύνοψη Bιβλιογραφία κεφαλαίου Bιβλιογραφικές προτάσεις Bιβλιογραφία Eπίλογος Απαντήσεις ασκήσεων αυτοαξιολόγησης Aπαντήσεις δραστηριοτήτων Γλωσσάριο

10

11 ÚfiÏÔÁÔ Όταν, το 1988, ήρθα για πρώτη φορά σ επαφή µε το γνωστικό αντικείµενο της ασφάλειας υπολογιστών, το αντικείµενο αυτό αφενός µεν δεν ήταν ευρέως γνωστό (όταν έλεγες ότι ασχολείσαι µε ασφάλεια υπολογιστών, σε κοίταζαν παράξενα και µερικοί ίσως και λίγο ύποπτα), αφετέρου η αναγνώρισή του ως επιστηµονικού / ερευνητικού αντικειµένου κάθε άλλο παρά καθολική ήταν (οι περισσότεροι το θεωρούσαν περιοχή επαγγελµατικής µάλλον παρά επιστηµονικής δραστηριοποίησης). Επιπλέον, οι γνώσεις µας γύρω από το αντικείµενο ήταν ακόµη αρκετά περιορισµένες σε έκταση. Σήµερα, δώδεκα χρόνια µετά, η ασφάλεια πληροφοριακών και επικοινωνιακών συστη- µάτων αποτελεί αναµφισβήτητα ένα από τα κεντρικά αντικείµενα ενδιαφέροντος των επιστηµόνων που ασχολούνται µε τα συστήµατα αυτά, τόσο σε τεχνικό όσο και σε οικονοµικό και διοικητικό επίπεδο. Παράλληλα, το επιστηµονικό αντικείµενο της ασφάλειας έχει διευρυνθεί πάρα πολύ. Ήταν, λοιπόν, αναπόφευκτο να γραφούν και σχετικά βιβλία για τις ανάγκες του Ελληνικού Ανοικτού Πανεπιστηµίου. Το πρώτο από τα βιβλία αυτά, που ασχολείται µε την ασφάλεια υπολογιστών συστηµάτων, κρατάτε τώρα στα χέρια σας. Το δεύτερο βιβλίο αναφέρεται στην ασφάλεια δικτύων. Το βιβλίο είναι δοµηµένο σε επτά κεφάλαια. Στο πρώτο κεφάλαιο δίνουµε ορισµούς για τις πρωταρχικές έννοιες «δεδοµένα» και «πληροφορία», όπως επίσης και µια αρχική αίσθηση του τι σηµαίνει «προστασία» της πληροφορίας, και εξηγούµε γιατί υπάρχει πράγµατι ανάγκη για τέτοια προστασία. Ως εισαγωγικό κεφάλαιο, θεωρείται µικρής δυσκολίας. Στο δεύτερο κεφάλαιο θεµελιώνουµε ένα επαρκώς αποδεκτό σύνολο όρων, που θα µας επιτρέψει την αποτελεσµατική και σαφή επικοινωνία µε κοινή γλώσσα. Στο κεφάλαιο αυτό ξεκαθαρίζουµε, λοιπόν, βασικές έννοιες σχετικές µε το αντικείµενο της µελέτης µας δίνοντας αυστηρούς (πια) ορισµούς. Και πάλι, ο βαθµός δυσκολίας δεν είναι µεγάλος, αλλά απαιτείται πολύ προσεκτική µελέτη, ώστε ο αναγνώστης να κάνει κτήµα του τους ορισµούς των βασικών εννοιών και όχι απλώς να τις αποστηθίσει. Στα δύο πρώτα κεφάλαια είδαµε την αναγκαιότητα προστασίας των πληροφοριακών συστηµάτων µιας επιχείρησης. Η προστασία αυτή θα πρέπει, φυσικά, να προκύψει ως αποτέλεσµα ενός συγκροτηµένου σχεδίου. Στο τρίτο κεφάλαιο µαθαίνουµε από τι αποτελείται και πώς αναπτύσσεται ένα τέτοιο σχέδιο. Ο βαθµός δυσκολίας του κεφαλαίου είναι µέτριος. Στο τέταρτο κεφάλαιο µπαίνουµε σε εξειδικευµένα τεχνικά θέµατα και ασχολούµαστε µε την ταυτοποίηση και την αυθεντικοποίηση χρηστών σε σύγχρονα, µη κατα-

12 12 A ºA EIA Y O O I TøN νεµηµένα, υπολογιστικά συστήµατα. Η ύλη του κεφαλαίου είναι τεχνική, αλλά όχι ιδιαίτερα δύσκολη. Στο πέµπτο κεφάλαιο ασχολούµαστε µε τον έλεγχο προσπέλασης και γνωρίζουµε πολιτικές, µοντέλα και µηχανισµούς ελέγχου προσπέλασης. Το κεφάλαιο αυτό περιέχει αρκετά θεωρητικά ζητήµατα και έχει έντονο µαθηµατικό φορµαλισµό. Θεωρείται από τα περισσότερο δυσνόητα στην περιοχή της ασφάλειας υπολογιστών. Στο έκτο κεφάλαιο ασχολούµαστε µε την ασφάλεια λειτουργικών συστηµάτων. Συζητάµε τους µηχανισµούς προστασίας και πώς αυτοί εξειδικεύονται σε δύο συγκεκριµένα λειτουργικά συστήµατα. Η ύλη εδώ παρουσιάζει µέτριο βαθµό δυσκολίας. Στο έβδοµο και τελευταίο κεφάλαιο ασχολούµαστε µε το κακόβουλο λογισµικό και γνωρίζουµε τους ιούς, τις κερκόπορτες, τις λογικές βόµβες, τους ούρειους Ίππους, τους έλικες και τα βακτήρια. Και πάλι, ο βαθµός δυσκολίας είναι µικρός έως µέτριος. Πριν σας παραδώσω το κείµενο, θα ήθελα να ευχαριστήσω το συνάδελφο και καλό φίλο ηµήτρη Γκρίτζαλη, Επίκουρο Καθηγητή του Τµήµατος Πληροφορικής του Οικονοµικού Πανεπιστηµίου Αθηνών, που, ως Κριτικός Αναγνώστης, είχε την ατυχία να υποστεί πρώτος τα δοκίµιά µου. Εγώ είχα την ευτυχία να υποστώ την όπως πάντα εποικοδοµητική κριτική του. Ευχαριστίες επίσης αρµόζουν και στην Οµάδα Εκτέλεσης Έργου του ΕΑΠ για τη µεθοδική τους δουλειά και τις εύστοχες παρατηρήσεις και υποδείξεις τους. Ο συνεργάτης µου και υποψήφιος διδάκτορας του Τµή- µατος Πληροφοριακών και Επικοινωνιακών Συστηµάτων του Πανεπιστηµίου Αιγαίου Κώστας Βασιλείου µε βοήθησε δίνοντάς µου ενδεικτικές απαντήσεις σε κάποιες δραστηριότητες, και γι αυτό τον ευχαριστώ. Ευχαριστίες όµως πρέπει να αποδοθούν σ όλους όσοι υπήρξαν ή είναι φοιτητές µου, που από το 1982, που άρχισα να διδάσκω, µ έµαθαν και συνεχίζουν να µε µαθαίνουν πώς να κάνω τη δουλειά αυτή καλύτερα. Τέλος, και ίσως πιο πολύ απ όλους, ευχαριστώ τη γυναίκα µου και τα παιδιά µου, που εξακολουθούν να ανέχονται την ενασχόλησή µου µε την επιστήµη σε βάρος ίσως της επαφής µου µ αυτούς. Ελπίζω να συνεχίσουν να µε συγχωρούν. Τελειώνοντας, θα ήθελα να σας παρακαλέσω να κρίνετε επιστηµονικά και αντικει- µενικά το βιβλίο αυτό και να µου γνωστοποιήσετε την κριτική σας θετική ή αρνητική. Καλή µελέτη! Σωκράτης Κ. Κάτσικας Ιούνιος 2000

13 Ó ÁÎË appleúôûù Û ÙˆÓ appleïëúôêôúèòó ÎÔapplefi Το εισαγωγικό αυτό κεφάλαιο έχει σκοπό να δώσει ορισµούς για τις έννοιες «δεδο- µένα» και «πληροφορία», όπως επίσης και µια αρχική αίσθηση του τι σηµαίνει «προστασία» της πληροφορίας, και να εξηγήσει γιατί υπάρχει πράγµατι ανάγκη για τέτοια προστασία. 1 º π ÚÔÛ ÔÎÒÌÂÓ appleôùâï ÛÌ Ù Όταν θα έχετε τελειώσει τη µελέτη του κεφαλαίου αυτού, θα µπορείτε να: ιακρίνετε τις έννοιες «δεδοµένα» και «πληροφορία». Αναφέρετε δύο λόγους για τους οποίους η πληροφορία έχει οικονοµική σηµασία. Αναφέρετε έξι παράγοντες που διαµορφώνουν την αξία της πληροφορίας. Αναφέρετε δύο λόγους για τους οποίους η πληροφορία έχει κοινωνική σηµασία. Περιγράψετε τη δοµή ενός πλαισίου προστασίας της πληροφορίας. Αναφέρετε τρεις νοµικές και µια κανονιστική ρύθµιση σχετικές µε την προστασία της πληροφορίας. Περιγράψετε τέσσερις βασικές οργανωσιακές ρυθµίσεις που πρέπει να κάνει µια επιχείρηση ή ένας οργανισµός προκειµένου να εξασφαλίσει την προστασία των πληροφοριών που διαχειρίζεται. ŒÓÓÔÈ ÎÏÂÈ È δεδοµένα πληροφορία προστασία ασφάλεια ÈÛ ÁˆÁÈÎ apple Ú ÙËÚ ÛÂÈ Καθηµερινά αυξάνουν οι αναφορές των εφηµερίδων και περιοδικών για να µη µιλή-

14 14 KEºA AIO 1: ƒ π ø ƒ º ƒπø σουµε για τις σελίδες του κυβερνοχώρου σε ζητήµατα σχετικά µε την «ασφάλεια» ή την «προστασία» των πληροφοριών και τη σηµασία τους. Είναι όµως πραγµατικά απαραίτητη και σηµαντική η προστασία της πληροφορίας; Αν ναι, γιατί; Πρέπει να προστατεύονται όλες οι πληροφορίες ισότιµα; Το εισαγωγικό αυτό κεφάλαιο έχει σκοπό να δώσει απαντήσεις στα ερωτήµατα αυτά. Η παρουσίαση του κεφαλαίου γίνεται σε τρεις ενότητες, από τις οποίες οι δύο πρώτες συζητούν την οικονοµική και την κοινωνική σηµασία της πληροφορίας, ενώ η τελευταία αναλύει ένα πλαίσιο προστασίας της πληροφορίας. Η ασφάλεια υπολογιστών αναφέρεται στον έλεγχο πρόσβασης σε πληροφορίες. Ωστόσο, το να ελέγξει κανείς την πρόσβαση σε πληροφορίες µπορεί να είναι πολύ δύσκολο ή ακόµη και εντελώς αδύνατο. Για το λόγο αυτό συνήθως αντικαθιστούµε το στόχο αυτό µε τον αµεσότερο και ευκολότερο να επιτευχθεί στόχο, του ελέγχου της πρόσβασης σε δεδοµένα. Η διαφοροποίηση ανάµεσα στις πληροφορίες και στα δεδοµένα είναι πολύ λεπτή, αλλά η έλλειψη κατανόησής της είναι µια από τις συχνότερες αιτίες παρεξηγήσεων. Τα δεδοµένα δεν είναι τίποτε άλλο παρά ένα σύνολο καταγραµµένων συµβόλων. Πληροφορία είναι τα δεδοµένα µαζί µε την (υποκειµενική) ερµηνεία τους. Πιο αναλυτικά και περισσότερο αυστηρά, «δεδοµένα είναι φυσικά φαινόµενα που έχουν επιλεγεί διά συµφωνίας για να αντιπροσωπεύσουν συγκεκριµένες πτυχές του πραγµατικού και νοητού µας κόσµου. Οι ερµηνείες που εµείς αντιστοιχίζουµε στα δεδοµένα ονοµάζονται πληροφορίες. Τα δεδοµένα χρησιµοποιούνται για την αποθήκευση και µετάδοση πληροφορίας και για την παραγωγή νέας πληροφορίας µέσω επεξεργασίας των δεδοµένων σύµφωνα µε αυστηρούς κανόνες». Όταν η συσχέτιση ανάµεσα στα δεδοµένα και στις πληροφορίες είναι µεγάλη, οι δύο διαφορετικοί αυτοί στόχοι µπορεί να επιτευχθούν µε όµοια µέσα. Ωστόσο, αυτό δεν αποτελεί τον κανόνα. Ένα καλό παράδειγµα περίπτωσης όπου αυτό δε συµβαίνει είναι οι δίαυλοι συγκαλυµµένης µετάδοσης πληροφορίας, όπου η εξαγωγή της πληροφορίας µπορεί να γίνει από το γεγονός και µόνο ότι απαγορεύεται η πρόσβαση σε κάποια δεδοµένα ή σε κάποιον πόρο ενός συστήµατος. Ένα άλλο παράδειγµα είναι το πρόβληµα της εξαγωγής συµπερασµάτων σε στατιστικές βάσεις δεδοµένων. Φανταστείτε µια βάση δεδοµένων µε στοιχεία για τις επιστροφές φόρου κάθε φορολογούµενου (όπως θα µπορούσε να είναι ένα υποσύστηµα του συστήµατος TAXIS). Η βάση αυτή δε χρησιµοποιείται µόνο από τους εφοριακούς του Υπουργείου Οικονοµικών, που φυσικά πρέπει να έχουν πρόσβαση στη µεµονω-

15 π ø π ƒ ƒ π 15 µένη εγγραφή του κάθε φορολογούµενου, αλλά και από τους σχεδιαστές πολιτικής του Υπουργείου Εθνικής Οικονοµίας, οι οποίοι, ενώ πρέπει να έχουν πρόσβαση σε στατιστικές περιλήψεις των επιστροφών φόρων, δεν έχουν καµία αρµοδιότητα ανάγνωσης µεµονωµένων εγγραφών. Ας υποθέσουµε ότι το σύστηµα διαχείρισης της βάσης επιτρέπει στατιστικές ερωτήσεις µόνο σε σύνολα δεδοµένων αρκετά µεγάλα, ώστε να προστατεύονται οι µεµονωµένες εγγραφές. Είναι δυνατόν να συνάγει κανείς πληροφορία για µεµονωµένες εγγραφές κάτω απ αυτές τις συνθήκες; Και βέβαια είναι: αρκεί να συνδυάσει τα αποτελέσµατα που θα του δώσουν δύο στατιστικές ερωτήσεις σε δύο διαφορετικά, µεγάλα σύνολα εγγραφών, που διαφέρουν όµως µόνο κατά µία εγγραφή. Έτσι είναι δυνατή η συναγωγή πληροφορίας για µια µεµονωµένη εγγραφή, χωρίς καν να γίνει άµεση προσπέλαση των δεδοµένων. Κλείνουµε τα εισαγωγικά µας αυτά σχόλια δίνοντας µια πρώτη αίσθηση του τι σηµαίνει προστασία είτε δεδοµένων είτε πληροφοριών. Λέγοντας λοιπόν προστασία, εννοούµε συνήθως τη διατήρηση τριών βασικών ιδιοτήτων της πληροφορίας ή των δεδοµένων: της εµπιστευτικότητας, της ακεραιότητας και της διαθεσιµότητας. ε θα προχωρήσουµε σε αυστηρό ορισµό των εννοιών αυτών εδώ, πράγµα που θα αναβάλουµε για το επόµενο κεφάλαιο. Προς το παρόν θα αρκεστούµε στη χρήση των όρων αυτών µε την έννοια που έχουν στην κοινή γλώσσα.

16 16 KEºA AIO 1: ƒ π ø ƒ º ƒπø 1.1 oèîôóôìèî ÛËÌ Û ÙË appleïëúôêôú ÏËÚÔÊÔÚ Î È apple ÁÎÔÛÌÈÔappleÔ ËÛË ÙË ÔÈÎÔÓÔÌ Ο ατοµικός, επιχειρηµατικός και εθνικός πλούτος εκφράζεται όλο και περισσότερο ως συνάρτηση της πληροφορίας. Η ανάπτυξη και η απόδοση των δύο τρίτων περίπου της οικονοµίας βασίζεται σε τοµείς της βιοµηχανίας ή των υπηρεσιών που εξαρτώνται σε πολύ µεγάλο βαθµό από τις τεχνολογίες πληροφοριών και επικοινωνιών. Αυτό που είναι ίσως σηµαντικότερο δεν είναι τόσο η σηµερινή εξάρτηση της οικονοµίας από την πληροφορία, όσο οι διαµορφούµενες µελλοντικές τάσεις. Σύµφωνα µε εκτιµήσεις, το µακρο οικονοµικό κλίµα αναµένεται να αλλάξει δραµατικά µέσα στις επόµενες δεκαετίες, προς την κατεύθυνση της ακόµη µεγαλύτερης εξάρτησης από την πληροφορία. Οι εκτιµήσεις αυτές βασίζονται κυρίως στη διαπίστωση ότι η παραγωγή του παγκόσµιου οικονοµικού προϊόντος τείνει να ισοκατανεµηθεί περισσότερο απ ό,τι σήµερα. Πράγµατι, το κέντρο βάρους της παγκόσµιας οικονοµικής δραστηριότητας µετατοπίζεται γεωγραφικά µακρύτερα από τη Βόρεια Αµερική και την Ευρώπη, αφού οι αναπτυγµένες χώρες της λεκάνης του Ειρηνικού Ωκεανού, αλλά και οι αναπτυσσόµενες χώρες, συµµετέχουν όλο και περισσότερο σ αυτήν. Η προϊούσα αυτή παγκοσµιοποίηση της οικονοµίας βασίζεται σε πολύ µεγάλο βαθµό στις αυξηµένες δυνατότητες συλλογής, επεξεργασίας, αποθήκευσης και µετάδοσης πληροφοριών που παρέχουν οι σύγχρονες τεχνολογίες πληροφοριών και επικοινωνιών. Πρέπει επίσης να σηµειώσουµε το παρατηρούµενο ήδη φαινόµενο της µετατόπισης της οικονοµικής δραστηριότητας των ανεπτυγµένων οικονοµικά χωρών από τοµείς της κατασκευαστικής ή µεταποιητικής βιοµηχανίας σε τοµείς των υπηρεσιών appleïëúôêôú ˆ Á ıfi Από τη συζήτηση που κάναµε στην προηγούµενη παράγραφο φαίνεται ότι, σε µακρο οικονοµικό τουλάχιστον επίπεδο, η σηµασία της πληροφορίας είναι µεγάλη. Έχει όµως οικονοµική αξία η πληροφορία σε επίπεδο επιχείρησης; Είναι δηλαδή η πληροφορία αγαθό, και µάλιστα µε µετρήσιµη αξία; Για να µπορέσουµε να απαντήσουµε πειστικά στο ερώτηµα αυτό, θα πρέπει να ανοίξουµε µια παρένθεση και να συζητήσουµε µερικά χαρακτηριστικά της πληροφορίας, που την κατατάσσουν χωρίς αµφιβολία ανά- µεσα στα αγαθά, αλλά ταυτόχρονα τη διαφοροποιούν ουσιαστικά απ αυτά. Ακούγοντας τη λέξη αγαθό, κάποιος αµέσως θα σκεφτεί κάτι υλικό. Πράγµατι, είναι πολύ εύκολο να συσχετίσουµε την έννοια αυτή µε υλικά πράγµατα. Το µοντέλο του καταστηµατάρχη µε το µαγαζί του γεµάτο µε υλικά αγαθά (ή πράγµατα), που τα πουλάει, είναι τόσο απλό όσο και κατανοητό για όλους. Παρατηρήστε στο µοντέλο αυτό

17 1.1 Oπ ªπ ª π ƒ º ƒπ 17 ότι ο καταστηµατάρχης έχει αγοράσει αυτά τα αγαθά, πληρώνοντας κάποιο κόστος. Όταν πουλήσει ένα απ αυτά, τότε µειώνεται το στοκ του κατά ένα, εισπράττει µια αξία και ενδεχοµένως αποκοµίζει κάποιο κέρδος. Αντίστοιχα, ο πελάτης φεύγει από το κατάστηµα έχοντας πληρώσει µια αξία και παίρνοντας µαζί του «κάτι», το οποίο πολλές φορές µπορεί και να µεταπωλήσει. Προχωρώντας ένα επίπεδο αφαίρεσης πιο πάνω, πάντα όσον αφορά τα αγαθά, σκεφτείτε το µοντέλο του παροχέα υπηρεσιών, δηλαδή του δικηγόρου, του µηχανικού, του γιατρού ή του κουρέα. Ποιο είναι εδώ το αγαθό που πουλιέται και, κατά συνέπεια, έχει αξία; Μα φυσικά ο χρόνος του παροχέα. εν είναι δύσκολο να διαπιστώσει κανείς ότι και ο χρόνος είναι αγαθό, µε κάποια βέβαια χαρακτηριστικά πολύ διαφορετικά από ένα υλικό αγαθό, αλλά και αρκετές οµοιότητες. Μια σηµαντική οµοιότητα είναι ότι ο χρόνος, όπως και κάθε υλικό αγαθό, µπορεί να πουληθεί από τον εκάστοτε «ιδιοκτήτη» του µια µόνο φορά. Μια σηµαντική διαφορά είναι ότι, σε αντίθεση µε τα υλικά αγαθά, ο χρόνος δεν µπορεί να µεταπωληθεί. Το επόµενο επίπεδο αφαίρεσης µας φέρνει στην έννοια της πληροφορίας ως αγαθού. Αποφεύγοντας τον αυστηρό οικονοµολογικό ορισµό του αγαθού, πιστεύω ότι θα συµφωνήσετε µάλλον άµεσα µε την άποψη ότι κάτι είναι αγαθό αν κάποιος πληρώνει για να το αποκτήσει, ή, διαφορετικά, αν είναι δυνατόν, να αποτελέσει αντικεί- µενο οικονοµικής συναλλαγής, αν έχει δηλαδή αξία. Συνεχίζοντας µε την υπόθεση ότι συµφωνήσαµε σ αυτό, πιστεύω ότι κανείς δε θα διαφωνήσει µε τον ισχυρισµό ότι πολλοί θα πλήρωναν για να αποκτήσουν πληροφορία: οι επενδυτές για να µάθουν σε ποιο ύψος θα διαµορφωθεί η τιµή µιας µετοχής στο χρηµατιστήριο, οι διαφηµιστές για να αποκτήσουν λίστες διευθύνσεων πελατών, οι επιχειρηµατίες για να µάθουν τα σχέδια των ανταγωνιστών τους, οι φοιτητές για να µάθουν τις απαντήσεις στα θέµατα των εξετάσεων κτλ. Αφού, λοιπόν, η πληροφορία αποτελεί αντικείµενο οικονοµικής συναλλαγής, είναι λογικό να δεχτούµε ότι αποτελεί αγαθό και έχει οικονοµική αξία. Αποµένει να συζητήσουµε αν η αξία αυτή είναι µετρήσιµη και αν είναι πώς µπορεί να µετρηθεί. Πριν όµως αρχίσουµε τη συζήτηση αυτή, είναι χρήσιµο να επισηµάνουµε ένα ιδιαίτερο χαρακτηριστικό της πληροφορίας που την καθιστά αρκετά διαφορετική από άλλα είδη αγαθών και που παίζει ιδιαίτερο ρόλο στη διαµόρφωση της αξίας της: Η πληροφορία δεν καταναλώνεται. Σε πλήρη αντίθεση µε τα υλικά αγαθά ή το χρόνο, η πληροφορία µπορεί να πουληθεί περισσότερες από µία φορές, από τον ίδιο ιδιοκτήτη. Ο χρηµατιστής µπορεί να πουλήσει σε όλους τους πελάτες του τις πληροφορίες που έχει για τη διαµόρφωση της τιµής µιας µετοχής, ο δυσαρεστηµένος υπάλληλος µπορεί να πουλήσει εσωτερικές πληροφορίες για την επιχείρηση στην οποία απασχολείται σε περισσότερους από έναν αντα-

18 18 KEºA AIO 1: ƒ π ø ƒ º ƒπø γωνιστές της, ο κάτοχος της λίστας πελατών µπορεί να την πουλήσει σε περισσότερους από ένα διαφηµιστές κ.ο.κ Í ÙË appleïëúôêôú Επιστρέφοντας τώρα στο ερώτηµα αν η αξία της πληροφορίας είναι µετρήσιµη, παραθέτουµε τρία επιχειρήµατα που συνηγορούν στο να απαντήσουµε καταφατικά: 1. Η συλλογή, δηµιουργία ή συντήρηση της πληροφορίας συνεπάγεται κόστος. 2. Η πληροφορία έχει αξία για αυτούς στους οποίους ανήκει, αυτούς που τη φυλάγουν, αυτούς που τη χρησιµοποιούν και αυτούς που επιθυµούν να την αποκτήσουν. Το κόστος και η αξία της πληροφορίας υπάρχουν ήδη στον πραγµατικό κόσµο. Η πληροφορία, λοιπόν, έχει κόστος ή αξία ή και τα δύο, και το κόστος της µπορεί να αντανακλά σωστά την αξία της ή όχι. Η αξία της πληροφορίας σχεδόν πάντα δια- µορφώνεται από µια σειρά παράγοντες, που, ανάλογα και µε την υποκειµενική γνώµη των ενδιαφεροµένων να την αποτιµήσουν, την κάνουν µεγαλύτερη από το αναγνωρίσιµο κόστος. Οι παράγοντες αυτοί είναι: Η αποκλειστική κατοχή Η χρησιµότητα Το κόστος δηµιουργίας (απόκτησης) ή αναδηµιουργίας (επαναπόκτησης) Η αστική ή άλλη νοµική ευθύνη Η µετατρεψιµότητα ή διαπραγµατευσιµότητα Η επιχειρησιακή σηµασία Ο βαθµός στον οποίο µια πληροφορία βρίσκεται στην αποκλειστική κατοχή κάποιου σχετίζεται άµεσα µε την αξία που έχει η πληροφορία για τον κάτοχό της. Αυτό γίνεται αµέσως κατανοητό αν σκεφτούµε το παράδειγµα ενός επιχειρηµατικού µυστικού, που φυσικά έχει µεγάλη αξία για τον κάτοχό του όταν αυτός είναι ο αποκλειστικός κάτοχος. Όλοι οι ιδιοκτήτες πιτσαρίας στην Αθήνα της δεκαετίας του 70 που σέβονταν τον εαυτό τους είχαν και κάποιο µυστικό συστατικό της ζύµης της πίτσας τους, που υποτίθεται την έκανε µοναδική σε γεύση, τραγανότητα κτλ. Αργότερα, βέβαια, όταν αποµυθοποιήθηκε και η πίτσα στην Ελλάδα, αποκαλύφθηκε ότι δεν υπήρξαν ποτέ τέτοια µυστηριώδη συστατικά, αλλά όλοι τους φύλαγαν τότε ως κόρη οφθαλµού τα επιχειρηµατικά τους αυτά µυστικά. Ο βαθµός αποκάλυψης επίσης επηρεάζει την αξία που µια πληροφορία έχει και για τρίτους, εκτός δηλαδή από τον κάτοχό της. Για παράδειγµα, η αποκάλυψη µιας πληροφορίας σε όλους αυτούς

19 1.1 Oπ ªπ ª π ƒ º ƒπ 19 που µπορούν να τη χρησιµοποιήσουν δε δίνει συγκριτικό πλεονέκτηµα σε κανέναν και, συνεπώς, η πληροφορία έχει µικρότερη αξία απ αυτήν που θα είχε αν αποκαλυπτόταν σε έναν και µοναδικό. Η δηµόσια ανακοίνωση των αυριανών τιµών των µετοχών στο χρηµατιστήριο (αν ήταν δυνατός ο καθορισµός τους) απαξιώνει προφανώς την αξία της πληροφορίας αυτής, σε αντίθεση µε την αποκάλυψή της σε έναν (ή ακόµη και σε λίγους) επιλεγµένο επενδυτή. Πληροφορία που είναι χρήσιµη έχει αξία τουλάχιστον ίση µε τη χρήση που θα της γίνει. Αντίστροφα, πληροφορία που δεν µπορεί να χρησιµοποιηθεί απ αυτούς που την κατέχουν µπορεί να έχει και αρνητική αξία, να αποτελεί δηλαδή ζηµιογόνο παράγοντα. Η χρησιµότητα της πληροφορίας µπορεί να αποδειχθεί εύκολα αν σκεφτού- µε ότι η καταστροφή (ή η µη διαθεσιµότητά) της µπορεί να έχει ως αποτέλεσµα τη θέση της επιχείρησης σε κατάσταση µη λειτουργίας. Έτσι, η συνέχιση της λειτουργίας της επιχείρησης βασίζεται συχνά στην ύπαρξη της πληροφορίας. Φανταστείτε πόσο αποτελεσµατική θα ήταν µια υπηρεσία παροχής πληροφοριών τηλεφωνικού καταλόγου αν για κάποιο λόγο ο υπολογιστής που χρησιµοποιεί βρισκόταν εκτός λειτουργίας, κάνοντας µη διαθέσιµη την απαιτούµενη πληροφορία. Η «αντίστροφη» αυτή λογική χρησιµοποιείται επίσης για να εκτιµήσει την τάξη µεγέθους της αξίας της πληροφορίας. Μια από τις ευκολότερες και πιο συντηρητικές µεθόδους καθορισµού της αξίας µιας οντότητας είναι ο καθορισµός τού πόσο κόστισε στην επιχείρηση η δηµιουργία ή απόκτησή της, όταν η διαδικασία αυτή µπορεί να επαναληφθεί µε περίπου το ίδιο κόστος. Ωστόσο, αν η διαδικασία δεν µπορεί να επαναληφθεί (ή η επανάληψή της είναι απαγορευτικά δαπανηρή), το αρχικό κόστος πιθανόν να µην είναι καλός δείκτης της τρέχουσας αξίας. Το κόστος έκδοσης του τηλεφωνικού καταλόγου της Αττικής σε ηλεκτρονική µορφή αποτελεί πολύ καλή ένδειξη της αξίας της πληροφορίας που περιέχει, ενώ, αντίθετα, το κόστος συλλογής πληροφοριών από τον Άρη αποτελεί πιθανόν κακή εκτίµηση της αξίας τους. Όταν η πληροφορία ενέχει µια σχέση εµπιστοσύνης, πιθανόν λόγω της προσωπικής, επιχειρηµατικής ή εθνικής φύσης της, ο κάτοχός της µπορεί να φέρει νοµική ευθύνη για αστοχία της προστασίας της. Ο γιατρός που αποκαλύπτει πληροφορίες ιατρικής φύσης που του έγιναν γνωστές κατά την εξάσκηση του λειτουργήµατός του υπέχει ποινική ευθύνη. Ήδη ο όρκος του Ιπποκράτη, λειτουργώντας ως κώδικας δεοντολογίας, απαγορεύει ρητά την πράξη αυτή. Αν η πληροφορία είναι ανακριβής ή ανεπίκαιρη ή σε µορφή ακατάλληλη ή ακατάληπτη από το χρήστη της, είναι δυνατόν να προκύψουν ευθύνες για παραβίαση της ακεραιότητας ή της διαθεσιµότητάς της. Πρέπει πάντως να σηµειώσουµε ότι η ευθύνη είναι πολύπλοκη ως στοιχείο απο-

20 20 KEºA AIO 1: ƒ π ø ƒ º ƒπø τίµησης της πληροφορίας, λόγω της εξαιρετικά πιθανοτικής φύσης της. Πράγµατι, για να αποτιµηθεί έτσι µια πληροφορία, θα πρέπει να συµβεί η αστοχία της προστασίας, θα πρέπει ένας τρίτος να υποστεί ζηµιά και επίσης θα πρέπει αυτός ο τρίτος να απαιτήσει αποζηµίωση από τον κάτοχο της πληροφορίας. Μέχρις ότου η διαδικασία αυτή οδηγήσει σε πραγµατοποίηση εξόδων, η ύπαρξη µιας θεωρητικής ευθύνης δεν είναι εύκολο να ποσοτικοποιηθεί πρακτικά. Όταν η πληροφορία αντιπροσωπεύει οικονοµική αξία, όπως, π.χ., σε περιπτώσεις ηλεκτρονικής µεταφοράς χρηµάτων, η αξία της είναι τουλάχιστον ίση µε την αξία που αντιπροσωπεύει, αφού η τροποποίησή της προκαλεί αντίστοιχη τροποποίηση σε οικονοµική αξία. Συχνά µπορούµε να αποτιµήσουµε την αξία µιας πληροφορίας µε βάση τις επιπτώσεις που έχει στην επιχείρηση η απουσία της. Αν η απουσία της πληροφορίας έχει επιπτώσεις στην επιχειρηµατική λειτουργία, η ποσοτικοποίηση αυτών των επιπτώσεων δίνει ένα µέτρο της αξίας που έχει η πληροφορία για την επιχείρηση. Μπορούµε τώρα να συνοψίσουµε την ενότητα αυτή, λέγοντας ότι η πληροφορία είναι αγαθό που έχει οικονοµική αξία, η οποία µπορεί µάλιστα να µετρηθεί. Εποµένως, ως αγαθό µε αξία, η πληροφορία χρήζει προστασίας των τριών βασικών ιδιοτήτων της: της εµπιστευτικότητας, της ακεραιότητας και της διαθεσιµότητάς της. ÕÛÎËÛË A ÙÔ ÍÈÔÏfiÁËÛË 1.1 Χαρακτηρίστε τις παρακάτω προτάσεις ως σωστές ή λάθος: Σωστό Λάθος 1. Η συµβολοσειρά ΥΙΙ2214 είναι πληροφορία. 2. Η συµβολοσειρά ΥΙΙ2214 είναι ένα δεδοµένο. 3. Ο αριθµός αυτοκινήτου ΥΙΙ2214 είναι ένα δεδοµένο. 4. Ο αριθµός αυτοκινήτου ΥΙΙ2214 είναι πληροφορία. 5. Ο αριθµός αυτοκινήτου ΥΙΙ2214 του συγγραφέα είναι ένα δεδοµένο. 6. Ο αριθµός αυτοκινήτου ΥΙΙ2214 του συγγραφέα είναι πληροφορία.

21 1.2 π ø π ª π ƒ º ƒπ 21 ÕÛÎËÛË A ÙÔ ÍÈÔÏfiÁËÛË 1.2 Η πληροφορία έχει µακρο οικονοµική σηµασία γιατί (επιλέξτε µια από τις ακόλουθες απαντήσεις): 1. Η οικονοµία έχει αυξανόµενους δεσµούς εξάρτησης από την πληροφορία. 2. Το παγκόσµιο προϊόν τείνει να ισοκατανεµηθεί. 3. Η οικονοµική δραστηριότητα στις ανεπτυγµένες χώρες µετατοπίζεται προς τον τοµέα των υπηρεσιών. 4. Κανένα από τα παραπάνω. ÕÛÎËÛË A ÙÔ ÍÈÔÏfiÁËÛË 1.3 Η πληροφορία έχει µικρο οικονοµική σηµασία γιατί (επιλέξτε µια από τις ακόλουθες απαντήσεις): 1. εν καταναλώνεται. 2. Eίναι αγαθό. 3. H συλλογή, δηµιουργία και συντήρησή της κοστίζουν. 4. Kανένα από τα παραπάνω. Ú ÛÙËÚÈfiÙËÙ 1.1 Στην Παράγραφο συζητήσαµε έξι παράγοντες που διαµορφώνουν την αξία µιας πληροφορίας και δώσαµε αντίστοιχα παραδείγµατα. Προσπαθήστε να δώσετε ένα δικό σας σύνολο παραδειγµάτων, δίνοντας ένα παράδειγµα για κάθε παράγοντα. Αν νοµίζετε ότι υπάρχουν και άλλοι παράγοντες διαµόρφωσης αξίας της πληροφορίας, αναφέρετέ τους και δώστε παραδείγµατα. 1.2 ÎÔÈÓˆÓÈÎ ÛËÌ Û ÙË appleïëúôêôú Η πληροφορία δεν αποτελεί, όπως φάνηκε στην προηγούµενη ενότητα, µόνο πηγή πλούτου. Πράγµατι, η αυξανόµενη εξάρτηση της οικονοµίας από την πληροφορία, σε συνδυασµό µε την παρατήρηση ότι οι τεχνολογικά ανεπτυγµένες χώρες βρίσκονται σε πλεονεκτική θέση ως προς τη δυνατότητα εκµετάλλευσης της πληροφορίας

22 22 KEºA AIO 1: ƒ π ø ƒ º ƒπø σε σχέση µε τις τεχνολογικά εξαρτηµένες, οδηγεί στο συµπέρασµα ότι η άναρχη αξιοποίηση της πληροφορίας καταλήγει νοµοτελειακά στη διεύρυνση του υφιστά- µενου χάσµατος ανάµεσα στις δύο αυτές κατηγορίες χωρών, µε ταυτόχρονη ανάπτυξη πελατειακών σχέσεων ή σχέσεων ελέγχου και εξάρτησης. Μπορεί, λοιπόν, η πληροφορία να αποτελέσει και ισχυρό όργανο κοινωνικού ελέγχου. Βέβαια, η παραπάνω διαπίστωση ήταν ισχυρή σε οποιαδήποτε χρονική στιγµή της ανθρώπινης ιστορίας, µετά τη συγκρότηση της τελευταίας γύρω από οργανωµένες κοινωνικές οµάδες. Πάντα η κατοχή πληροφορίας αποτελούσε συγκριτικό πλεονέκτηµα για το άτοµο ή την κοινωνική οµάδα που κατείχε την πληροφορία. ιαχρονικά, ωστόσο, µεταβάλλεται ο βαθµός στον οποίο µπορεί να αξιοποιηθεί η πληροφορία, λόγω της µεταβολής των δυνατοτήτων της τεχνολογικής υποδοµής που χρησι- µοποιείται για το σκοπό αυτό. Πράγµατι, σε αντίθεση µε το παρελθόν, οι σηµερινές δυνατότητες των τεχνολογιών πληροφοριών και επικοινωνιών, µέσα στις δεδοµένες κοινωνικές συνθήκες, επιτρέπουν τη συγκέντρωση, επεξεργασία, αποθήκευση και µετάδοση µεγάλου όγκου πληροφοριών, γεγονός που µπορεί να οδηγήσει: στην ενοποίηση και ολοκληρωµένη παράθεση αυτών, στη συνδυασµένη χρήση πληροφοριών που συλλέχθηκαν ενδεχοµένως για διαφορετικούς σκοπούς ή στη λήψη αποφάσεων αποκλειστικά µε βάση αυτοµατοποιηµένη επεξεργασία πληροφοριών, επιτρέποντας έτσι την άσκηση ελέγχου ή επίβλεψης των δραστηριοτήτων ατόµων ή ακόµη και ολόκληρων κοινωνικών οµάδων. Η ανθρώπινη ιστορία είναι γεµάτη µε παραδείγµατα καταχρηστικής ή ακόµη και εγκληµατικής αξιοποίησης πληροφοριών που συλλέχθηκαν αρχικά για κάποιο κοινωνικά αποδεκτό σκοπό. Σε πολλές περιπτώσεις οι θιγόµενοι δεν ήταν απλώς µέλη µιας κοινωνικής ή επαγγελµατικής οµάδας, ούτε καν πολίτες µιας και µόνης χώρας. Το Εβραϊκό Ολοκαύτωµα, η γενοκτονία των Ποντίων και οι κάθε λογής διώξεις των «πολιτικά αντιφρονούντων» σε όλα τα µήκη και τα πλάτη της γης και σε όλες τις εποχές αποτελούν κλασικά παραδείγµατα καταχρηστικής αξιοποίησης πληροφοριών σχετικών µε τις θρησκευτικές πεποιθήσεις, την εθνική ταυτότητα ή τη φιλοσοφική/πολιτική τοποθέτηση ατόµων ή οµάδων. Πληροφορίες που αφορούν την οικονο- µική κατάσταση, το ποινικό µητρώο, τις επαγγελµατικές δραστηριότητες, τις συνδικαλιστικές δραστηριότητες, την κατάσταση της υγείας, τα γενετικά χαρακτηριστι-

23 1.2 π ø π ª π ƒ º ƒπ 23 κά, τις σεξουαλικές προτιµήσεις ατόµων γίνονται επίσης, πολύ συχνά, αντικείµενο καταχρηστικής αξιοποίησης. Τα καταδικαστέα απ όλους αυτά κρούσµατα θα µπορούσαν, βέβαια, να είχαν αποφευχθεί µε έναν πολύ απλό αλλά ελάχιστα πρακτικό τρόπο: αν οι σχετικές πληροφορίες δε συλλέγονταν ποτέ. Αν και η επιλογή αυτή είναι δυνατή όσον αφορά κάποιες τέτοιες προσωπικές πληροφορίες (π.χ. θρησκευτικές, φιλοσοφικές, πολιτικές πεποιθήσεις), θα συµφωνήσουµε όλοι εύκολα, πιστεύω, ότι το κοινωνικό όφελος που προκύπτει από τη σωστή χρήση και αξιοποίηση άλλων τέτοιων, επίσης προσωπικών, πληροφοριών είναι ανυπολόγιστο. Έτσι, λοιπόν, η «λύση» της αποχής από τη συλλογή πληροφοριών δεν αποτελεί, στην πραγµατικότητα, λύση στο πρόβληµα της κατάχρησης της πληροφορίας για καµία σύγχρονη κοινωνία. Πού βρίσκεται λοιπόν η λύση; Η λύση πιστεύω ότι βρίσκεται όχι στην άκριτη απαγόρευση συλλογής ή χρήσης των πληροφοριών, αλλά στην επιβολή κανόνων και πρακτικών που θα εξασφαλίζουν (στο µέτρο του δυνατού) την κοινωνικά αποδεκτή χρήση τους. Με άλλα λόγια, η λύση βρίσκεται στην υιοθέτηση, από κάθε διακριτή κοινωνία, ενός πλαισίου δράσεων προστασίας των πληροφοριών και της χρήσης τους. Ένα τέτοιο πλαίσιο θα συζητήσου- µε στην επόµενη ενότητα. Χαρακτηρίστε τις παρακάτω προτάσεις ως σωστές ή λάθος: ÕÛÎËÛË A ÙÔ ÍÈÔÏfiÁËÛË 1.4 Σωστό Λάθος 1. Η πληροφορία έχει κοινωνική σηµασία, επειδή µπορεί να οδηγήσει σε διεύρυνση του χάσµατος ανάµεσα στις τεχνολογικά ανεπτυγµένες και τις τεχνολογικά αναπτυσσόµενες χώρες. 2. Η πληροφορία έχει κοινωνική σηµασία, επειδή η κατοχή της αποτελεί συγκριτικό πλεονέκτηµα. 3. Η πληροφορία έχει κοινωνική σηµασία, επειδή επιτρέπει την άσκηση ελέγχου ή επίβλεψης των δραστηριοτήτων ατόµων ή οµάδων. 4. Η πληροφορία έχει κοινωνική σηµασία επειδή χρησιµοποιείται καταχρηστικά.

24 24 KEºA AIO 1: ƒ π ø ƒ º ƒπø 1.3 ŒÓ appleï ÛÈÔ ÁÈ ÙËÓ appleúôûù Û ÙˆÓ appleïëúôêôúèòó Ένα αποτελεσµατικό πλαίσιο προστασίας των πληροφοριών σε µια σύγχρονη κοινωνία πρέπει να έχει τα εξής, τουλάχιστον, βασικά χαρακτηριστικά: Να είναι κοινωνικά αποδεκτό, δηλαδή η ανάπτυξή του να έχει βασιστεί στις απόψεις του κοινωνικού συνόλου. Να είναι πολυδύναµο, δηλαδή η ανάπτυξή του να έχει βασιστεί στην ανάλογη διεθνή εµπειρία και πρακτική. Να είναι πολυδιάστατο, δηλαδή να συνδυάζει θεσµικές ρυθµίσεις, οργανωσιακές ρυθµίσεις και κοινωνικές δράσεις. Είναι αυτονόητο ότι ένα τέτοιο πλαίσιο δεν είναι δυνατόν να είναι ταυτόχρονα αρκετά χρήσιµο στην πράξη και αρκετά γενικό ώστε να µπορεί να καλύψει όλα τα είδη της πληροφορίας και όλα τα είδη των συστηµάτων που συλλέγουν, αποθηκεύουν, επεξεργάζονται και µεταδίδουν πληροφορίες. Η κατάσταση, λοιπόν, αποτυπώνεται σε δύο άξονες, όπως φαίνεται και στο Σχήµα 1.1: Ο ένας αντιπροσωπεύει τοµεακά πληροφοριακά συστήµατα (π.χ. Πληροφοριακά Συστήµατα Υγείας, Πληροφοριακά Συστήµατα ηµόσιας ιοίκησης, Πληροφοριακά Συστήµατα Κοινωνικής Ασφάλισης, Νοµικά Πληροφοριακά Συστήµατα κτλ.) και ο άλλος δράσεις που πρέπει να αναληφθούν ώστε να αναγνωριστούν και να ικανοποιηθούν οι ανάγκες και απαιτήσεις προστασίας των σχετικών πληροφοριών. ΤΟΜΕΙΣ ΕΦΑΡΜΟΓΗΣ Θεσµικές Ρυθµίσεις Υγεία ηµόσια ιοίκηση Κοινωνική Ασφάλιση ικαιοσύνη Ì 1.1 Πλαίσιο προστασίας πληροφοριών Οργανωσιακές Ρυθµίσεις Κοινωνικές ράσεις Κάποιες από τις δράσεις αυτές, καθώς και οι συνακόλουθες ρυθµίσεις, µπορούν, και πρέπει, να είναι κοινές ανάµεσα στα διάφορα τοµεακά πληροφοριακά συστήµατα. Είναι αυτά τα κοινά σηµεία που θα µας απασχολήσουν στη συνέχεια ÂÛÌÈÎ Ú ıì ÛÂÈ ιακρίνουµε τις θεσµικές ρυθµίσεις σε κανονιστικές και νοµικές. Πέρα από αυτή τη λειτουργική διάκριση, οι θεσµικές ρυθµίσεις διακρίνονται και ανάλογα µε το γεω-

25 1.3 π π π ƒ π ø ƒ º ƒπø 25 γραφικό πεδίο εφαρµογής τους σε διεθνείς, εθνικές και τοπικές, δηλαδή αυτές που ισχύουν µόνο σε ορισµένες περιοχές µιας χώρας (π.χ. σε ένα οµόσπονδο κρατίδιο της Γερµανίας). Τέλος, διακρίνονται και ανάλογα µε το τοµεακό πεδίο εφαρµογής τους σε οριζόντιες, δηλαδή µε πεδίο εφαρµογής µεγαλύτερο του ενός τοµέα και σε κατακόρυφες, δηλαδή µε πεδίο εφαρµογής ένα µόνο τοµέα (π.χ. µόνο στην Υγεία). Ο σκοπός µας εδώ δεν είναι να δώσουµε µια αναλυτική περιγραφή όλων των θεσµικών ρυθµίσεων που αφορούν την προστασία των πληροφοριών, αλλά απλώς να τοποθετήσουµε την υπόλοιπη συζήτησή µας µέσα στο κατάλληλο θεσµικό πλαίσιο. Θα περιοριστούµε, λοιπόν, µόνο στη σύντοµη αναφορά του ισχύοντος στην Ευρωπαϊκή Ένωση και στην Ελλάδα νοµικού πλαισίου, παραπέµποντας τον ενδιαφερό- µενο για περισσότερες λεπτοµέρειες αναγνώστη στην (πλούσια) σχετική βιβλιογραφία. Πρέπει να διευκρινίσω ότι το κανονιστικό πλαίσιο για το θέµα που µας ενδιαφέρει εδώ είναι ακόµα αρκετά ρευστό σε διεθνές επίπεδο και ανύπαρκτο σε ελληνικό, γι αυτό και δε θεωρώ σκόπιµη τη λεπτοµερή αναφορά σ αυτό, µε εξαίρεση µια σύντοµη συζήτηση σχετικά µε τις οδηγίες ασφάλειας πληροφοριακών συστηµάτων του Οργανισµού Οικονοµικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ). Àªµ 108 À Àªµ À π À Àƒø Η πρώτη σε ευρωπαϊκό επίπεδο ρύθµιση σχετική µε την επεξεργασία προσωπικών δεδοµένων ήταν η σύµβαση 108 του Συµβουλίου της Ευρώπης περί «Προστασίας των ατόµων από την αυτοµατοποιηµένη επεξεργασία προσωπικών δεδοµένων» της 28 Ιανουαρίου Ο τίτλος και µόνο της σύµβασης µας ωθεί στο να κάνουµε δύο πολύ ενδιαφέρουσες παρατηρήσεις: 1. Η σύµβαση µιλά για δεδοµένα και όχι για πληροφορίες. Βλέπουµε, λοιπόν, αµέσως µια εφαρµογή της παρατήρησης που κάναµε στην εισαγωγή του κεφαλαίου ότι ο στόχος της προστασίας πληροφοριών συχνά αντικαθίσταται µε το στόχο της προστασίας δεδοµένων. 2. Η σύµβαση αναφέρεται σε προστασία δεδοµένων προσωπικού χαρακτήρα. Η ίδια η σύµβαση ορίζει τα δεδοµένα αυτά ως κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή µπορεί να εξακριβωθεί. Είναι φανερό ότι ανώνυµες, συγκεντρωτικές ή στατιστικές πληροφορίες δεν εντάσσονται στο πεδίο εφαρµογής της σύµβασης. Τα συµβαλλόµενα κράτη µέλη δηλώνουν καταρχήν ότι επιθυµούν να ενισχύσουν τα µέτρα προστασίας των δικαιωµάτων και των θεµελιωδών ελευθεριών των πολι-

26 26 KEºA AIO 1: ƒ π ø ƒ º ƒπø τών τους, και ειδικότερα του δικαιώµατος της προστασίας της προσωπικής ζωής, ενόψει της αυξανόµενης διασυνοριακής ροής προσωπικών δεδοµένων, τα οποία µάλιστα υφίστανται αυτοµατοποιηµένη επεξεργασία. Ταυτόχρονα επιβεβαιώνουν την προσήλωσή τους στην αρχή της ελεύθερης διακίνησης της πληροφορίας µεταξύ τους και διαπιστώνουν ότι υπάρχει ανάγκη υιοθέτησης κανόνων σεβασµού και των δύο αυτών αρχών. Στη συνέχεια, η σύµβαση καθορίζει το σκοπό και το στόχο της, ορίζει βασικές έννοιες (προσωπικά δεδοµένα, αυτοµατοποιηµένο αρχείο, αυτοµατοποιηµένη επεξεργασία, ελεγκτής αρχείου) και καθορίζει το πεδίο εφαρµογής της: αυτοµατοποιηµένα αρχεία προσωπικών δεδοµένων του δηµόσιου και του ιδιωτικού τοµέα, επιτρέποντας στους συµβαλλόµενους να επεκτείνουν ή υπό όρους να περιορίσουν αυτό το πεδίο εφαρµογής και σε άλλες κατηγορίες αρχείων ή δεδοµένων. Στο κεφάλαιο ΙΙ, η σύµβαση αναφέρεται στην απαιτούµενη ποιότητα των δεδοµένων, απαγορεύει την αυτοµατοποιηµένη επεξεργασία ειδικών κατηγοριών δεδοµένων (φυλετικής προέλευσης, πολιτικών ή θρησκευτικών ή άλλων πεποιθήσεων, υγείας, σεξουαλικής ζωής, ποινικού µητρώου), απαιτεί τη λήψη κατάλληλων µέτρων ασφάλειας των αυτοµατοποιηµένων αρχείων, κατοχυρώνει το δικαίωµα του υποκειµένου των δεδοµένων να γνωρίζει την ύπαρξη του αρχείου που περιέχει δικά του δεδοµένα, να πληροφορείται τα καταχωρισµένα δεδοµένα που την/τον αφορούν, να αιτείται τη διόρθωση ή διαγραφή λανθασµένων δεδοµένων που την/τον αφορούν και να αποζηµιώνεται αν αυτό δε συµβεί, ορίζει συγκεκριµένες περιπτώσεις εξαίρεσης εφαρµογής των παραπάνω, θεµελιώνει την υποχρέωση των συµβαλλόµενων µερών να νοµοθετήσουν ποινές για την παραβίαση των οριζοµένων σ αυτήν και επιτρέπει τη θεσµοθέτηση ευρύτερων (µε την έννοια των ισχυρότερων) σχετικών ρυθµίσεων από τα συµβαλλόµενα µέρη. Το Κεφάλαιο ΙΙΙ της σύµβασης είναι αφιερωµένο στη διασυνοριακή ροή δεδοµένων, την οποία επιτρέπει, δίνοντας όµως ταυτόχρονα στα συµβαλλόµενα µέρη το δικαίω- µα να αρνηθούν τέτοια ροή αν η χώρα προορισµού των δεδοµένων ή κάποια ενδιάµεση κατά τη µεταφορά των δεδοµένων χώρα δεν έχει επαρκή µέτρα προστασίας τους. Το Κεφάλαιο IV αναφέρεται στην παροχή αµοιβαίας βοήθειας µεταξύ των συµβαλλόµενων µερών, καθορίζει τις ρυθµίσεις που τα συµβαλλόµενα µέρη πρέπει να ανα-

27 1.3 π π π ƒ π ø ƒ º ƒπø 27 λάβουν προκειµένου να καταστεί δυνατή η αλληλοβοήθεια στην υλοποίηση της σύµβασης, θεµελιώνει την υποχρέωση των µερών να βοηθούν υποκείµενα δεδοµένων που διαµένουν στο εξωτερικό, δίνει το δικαίωµα άρνησης παροχής βοήθειας σε συγκεκριµένες περιπτώσεις και, τέλος, ρυθµίζει την οικονοµική πλευρά του θέµατος. Το Κεφάλαιο V ιδρύει Συµβουλευτική Επιτροπή σχετική µε τη σύµβαση, καθορίζει τις αρµοδιότητές της και ρυθµίζει τις διαδικασίες σύγκλησής της. Το Κεφάλαιο VI αναφέρεται στη διαδικασία τροποποίησης της σύµβασης. Τέλος, το Κεφάλαιο VII περιέχει τις τελικές ρυθµίσεις της σύµβασης. Àƒø π π 95/46 (95/C 93/01) Η πιο γενική και πρόσφατη θεσµική ρύθµιση για την προστασία των πληροφοριών σε επίπεδο Ευρωπαϊκής Ένωσης είναι η οδηγία 95/46 (ή 95/C 93/01) του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της Ευρωπαϊκής Ένωσης «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδοµένων αυτών». Η οδηγία διαπιστώνει καταρχήν ότι τα συστήµατα επεξεργασίας δεδοµένων υπηρετούν τον άνθρωπο και πρέπει να σέβονται τις θεµελιώδεις ελευθερίες και τα δικαιώµατά του, ιδιαίτερα δε την ιδιωτική ζωή, συµβάλλοντας ταυτόχρονα στην ευηµερία του, απαιτείται µεν η εξασφάλιση της ελεύθερης διακίνησης των δεδοµένων προσωπικού χαρακτήρα, µε ταυτόχρονη όµως εξασφάλιση της προστασίας των θεµελιωδών δικαιωµάτων του ατόµου, η επεξεργασία και η ανταλλαγή ακόµη και η διασυνοριακή δεδοµένων προσωπικού χαρακτήρα προβλέπεται να αυξηθεί και πρέπει να ενθαρρυνθεί, υπάρχει ανάγκη διεθνούς (ευρωπαϊκής) νοµοθετικής ρύθµισης σχετικής µε την προστασία δεδοµένων προσωπικού χαρακτήρα, προκειµένου να διασφαλιστεί η µε ίσο βαθµό προστασίας επεξεργασία τέτοιων πληροφοριών που διακινούνται µεταξύ κρατών µελών, η οποιαδήποτε επεξεργασία δεδοµένων προσωπικού χαρακτήρα πρέπει να εκτελείται κατά τρόπο θεµιτό και σύννοµο, και στη συνέχεια προχωρεί στον ορισµό προϋποθέσεων σχετικά µε τη θεµιτή επεξεργασία δεδοµένων προσωπικού χαρακτήρα, οι κυριότερες από τις οποίες είναι οι εξής:

28 28 KEºA AIO 1: ƒ π ø ƒ º ƒπø Τα δεδοµένα πρέπει να συλλέγονται για καθορισµένους, σαφείς και νόµιµους σκοπούς και η µεταγενέστερη επεξεργασία τους να συµβιβάζεται µε τους σκοπούς αυτούς. Πρέπει επίσης να είναι κατάλληλα, συναφή προς το θέµα, ακριβή και να διατηρούνται µε µορφή που επιτρέπει τον προσδιορισµό του ατόµου στο οποίο αναφέρονται µόνο για όσο χρονικό διάστηµα είναι απαραίτητο. Επεξεργασία δεδοµένων προσωπικού χαρακτήρα επιτρέπεται µόνο όταν υπάρχει η ρητή συγκατάθεση του υποκειµένου των δεδοµένων ή είναι απαραίτητη για την εκτέλεση συµβατικών υποχρεώσεων του υποκειµένου ή είναι απαραίτητη για την τήρηση του νόµου ή είναι απαραίτητη για τη διαφύλαξη βιοτικού συµφέροντος του υποκειµένου, ή είναι απαραίτητη για την εκπλήρωση έργου δηµόσιου συµφέροντος ή είναι απαραίτητη για την επίτευξη του έννοµου συµφέροντος τρίτων, µε την προϋπόθεση ότι δεν υπερισχύει το συµφέρον ή οι θεµελιώδεις ελευθερίες και δικαιώµατα του υποκειµένου. Απαγορεύεται η επεξεργασία δεδοµένων προσωπικού χαρακτήρα σχετικών µε τη φυλετική ή την εθνική καταγωγή, τα πολιτικά φρονήµατα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, εκτός αν πληρούνται κάποιες ρητά αναφερόµενες προϋποθέσεις. Ειδικά, η τήρηση πλήρους ποινικού µητρώου επιτρέπεται µόνο κάτω από τον έλεγχο της δηµόσιας αρχής. Προκειµένου να συλλεχθούν και καταχωριστούν ή µεταδοθούν δεδοµένα προσωπικού χαρακτήρα, επιβάλλεται η πλήρης ενηµέρωση του υποκειµένου σχετικά µε την ταυτότητα του υπεύθυνου της επεξεργασίας, τους σκοπούς της επεξεργασίας, τους αποδέκτες των δεδοµένων, την υποχρέωση ή όχι παροχής των δεδοµένων και τις πιθανές συνέπειες σε περίπτωση άρνησης συµµόρφωσης, την ύπαρξη δικαιώµατος πρόσβασης και πιθανής διόρθωσης των δεδοµένων. Κατοχυρώνεται το δικαίωµα του υποκειµένου των δεδοµένων να πληροφορείται αν υπάρχει επεξεργασία δεδοµένων που το αφορούν, να λαµβάνει γνώση, σε εύληπτη µορφή, των δεδοµένων που το αφορούν, να διορθώνει, διαγράφει ή δεσµεύει δεδοµένα ελλιπή ή ανακριβή και να αντιτάσσεται σε αποφάσεις που βασίζονται αποκλειστικά σε αυτοµατοποιηµένη επεξεργασία δεδοµένων που αξιολογεί ορισµένες πτυχές της προσωπικότητάς του. Καθορίζονται οι υποχρεώσεις του υπεύθυνου για την επεξεργασία των δεδοµένων προσωπικού χαρακτήρα, προκειµένου να διασφαλιστεί το απόρρητο και η ασφάλεια της επεξεργασίας. Οι προϋποθέσεις αυτές περιλαµβάνουν την υποχρέωση του υπεύθυνου της επεξεργασίας να λάβει κατάλληλα τεχνικά και οργανωτικά µέτρα και να λαµβάνει άδεια επεξεργασίας από την αρµόδια εθνική αρχή ελέγχου.

29 1.3 π π π ƒ π ø ƒ º ƒπø 29 ª 2472/97 Παρ όλο που η χώρα µας επικύρωσε τη σύµβαση 108 του Συµβουλίου της Ευρώπης µε το νόµο 2068/1992, δεν προχώρησε ωστόσο άµεσα στη θέσπιση αντίστοιχης εθνικής νοµοθεσίας. Αυτό έγινε στις 10 Απριλίου 1997, όταν δηµοσιεύτηκε στην Εφηµερίδα της Κυβερνήσεως ο νόµος 2472 περί «Προστασίας του ατόµου από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα». Αντικείµενο του νόµου αυτού είναι «η θέσπιση των προϋποθέσεων για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα προς προστασία των δικαιωµάτων και των θεµελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής». Η φιλοσοφία του νόµου ακολουθεί εκείνη της κοινοτικής οδηγίας που συζητήσαµε στην προηγούµενη παράγραφο, αλλά µε µια σηµαντική διαφορά: Ο νόµος 2472 διαχωρίζει µια ειδική κατηγορία δεδοµένων προσωπικού χαρακτήρα, τα οποία ονοµάζει ευαίσθητα δεδοµένα. Αυτά είναι «τα δεδοµένα που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήµατα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συµµετοχή σε ένωση, σωµατείο και συνδικαλιστική οργάνωση, την υγεία, την κοινωνική πρόνοια και την ερωτική ζωή, καθώς και τα σχετικά µε ποινικές διώξεις ή καταδίκες». Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα επιτρέπεται υπό την προϋπόθεση ότι το υποκείµενο των δεδοµένων έχει δώσει τη συγκατάθεσή του προς τούτο. Αντίθετα, η συλλογή και επεξεργασία των ευαίσθητων δεδοµένων γενικά απαγορεύεται, εκτός εάν συντρέχουν πολύ συγκεκριµένες προϋποθέσεις και δοθεί η άδεια προς τούτο από την Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα. Ο νόµος, επίσης, καθορίζει τους όρους υπό τους οποίους είναι νόµιµη η διασύνδεση αρχείων, επιτρέπει τη διασυνοριακή ροή δεδοµένων προσωπικού χαρακτήρα προς χώρες της Ευρωπαϊκής Ένωσης ελεύθερα και προς τρίτες χώρες υπό προϋποθέσεις, θεσπίζει ρυθµίσεις που εξασφαλίζουν το απόρρητο και την ασφάλεια της επεξεργασίας, καθορίζει τα δικαιώµατα του υποκειµένου των δεδοµένων, θεσπίζει την ανεξάρτητη Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα και περιγράφει τις αρµοδιότητές της και, τέλος, ορίζει κυρώσεις σε περιπτώσεις µη συµ- µόρφωσης µε τις διατάξεις του. Ο νόµος 2472 αποτελεί ένα σχετικά πλήρες νοµοθετικό πλαίσιο για την προστασία πληροφοριών στη χώρα µας. Πέρα από τις νοµικές του ρυθµίσεις, περιέχει και σειρά διατάξεων οι οποίες είτε άµεσα είτε έµµεσα παραπέµπουν σε τεχνικές ρυθµίσεις που ο υπεύθυνος της επεξεργασίας πρέπει να έχει υπόψη του και να εφαρµόσει.

30 30 KEºA AIO 1: ƒ π ø ƒ º ƒπø π π π º π ƒ º ƒπ ø À ª ø À ƒ π ª À π ªπ À ƒ π π À Οι οδηγίες αυτές, που εκδόθηκαν το 1992 και αναθεωρήθηκαν το 1998, αποτελούν το πιο σηµαντικό παράδειγµα κανονιστικής ρύθµισης, δηλαδή ρύθµισης που, ενώ δεν έχει ισχύ νόµου και συνεπώς δεν έχει και υποχρεωτικό χαρακτήρα, εντούτοις αποτελεί κανονισµό, µε τον οποίο τα ενδιαφερόµενα µέρη καλό είναι να συµµορφώνονται. Οι οδηγίες αυτές έχουν τους εξής στόχους: Να αυξήσουν την ευαισθητοποίηση του κοινού στους κινδύνους που αντιµετωπίζουν τα πληροφοριακά συστήµατα και στα µέτρα ασφάλειας που µπορούν να µειώσουν τους κινδύνους αυτούς. Να παράσχουν ένα γενικό πλαίσιο που θα βοηθήσει αυτούς που έχουν την ευθύνη, στο δηµόσιο και στον ιδιωτικό τοµέα, της ανάπτυξης και υλοποίησης µέτρων ασφάλειας πληροφοριακών συστηµάτων. Να ενισχύσουν τη συνεργασία µεταξύ του δηµόσιου και του ιδιωτικού τοµέα στην ανάπτυξη και υλοποίηση τέτοιων µέτρων. Να αυξήσουν την εµπιστοσύνη του κοινού στα πληροφοριακά συστήµατα και στον τρόπο µε τον οποίο αυτά χρησιµοποιούνται. Να διευκολύνουν την ανάπτυξη και χρήση πληροφοριακών συστηµάτων σε εθνικό και διεθνές επίπεδο. Να ενισχύσουν τη διεθνή συνεργασία στην ασφάλεια πληροφοριακών συστηµάτων. Οι οδηγίες αφορούν τόσο το δηµόσιο όσο και τον ιδιωτικό τοµέα και όλα τα πληροφοριακά συστήµατα. Στηρίζονται σε εννέα βασικές αρχές. Η αρχή της απόδοσης ευθύνης απαιτεί ότι οι τοµείς ευθύνης των ιδιοκτητών, παροχέων και χρηστών πληροφοριακών συστηµάτων, καθώς και όλων των µερών που σχετίζονται µε την ασφάλειά τους, πρέπει να είναι σαφώς διατυπωµένοι. Η έκφραση «όλων των µερών που σχετίζονται µε την ασφάλειά τους» εµπεριέχει τις διοικήσεις των οργανισµών ή επιχειρήσεων, τους προγραµµατιστές, τους παροχείς υπηρεσιών συντήρησης, τους υπεύθυνους λειτουργίας των πληροφοριακών συστηµάτων, τους υπεύθυνους ανάπτυξης λογισµικού, τους υπεύθυνους ασφάλειας των πληροφοριακών συστηµάτων και τους εσωτερικούς και εξωτερικούς ελεγκτές πληροφοριακών συστηµάτων. Η αρχή της ενηµέρωσης ορίζει ότι οι ιδιοκτήτες, παροχείς και χρήστες πληροφοριακών συστηµάτων, καθώς και όλα τα µέρη που σχετίζονται µε την ασφάλειά τους,

31 1.3 π π π ƒ π ø ƒ º ƒπø 31 πρέπει να είναι συνεχώς ενήµεροι περί των µέτρων, πρακτικών και διαδικασιών ασφάλειας πληροφοριακών συστηµάτων. Η αρχή αυτή στοχεύει στο να βοηθήσει αυτούς που έχουν έννοµο συµφέρον να πληροφορηθούν τα µέτρα ασφάλειας ενός πληροφοριακού συστήµατος. εν πρέπει να χρησιµοποιηθεί ως επιχείρηµα για την απόκτηση πρόσβασης στο ίδιο το πληροφοριακό σύστηµα ή στις υπηρεσίες ασφάλειάς του και δε θα πρέπει, συνεπώς, να ερµηνευτεί ως παράγοντας διακύβευσης της ίδιας της ασφάλειας του συστήµατος, λόγω του επιπέδου της πληροφορίας που πρέπει να δοθεί για την ικανοποίηση της αρχής αυτής. Η αρχή της ηθικής ορίζει ότι τα πληροφοριακά συστήµατα και τα µέτρα ασφάλειάς τους πρέπει να παρέχονται και να χρησιµοποιούνται έτσι ώστε να διατηρείται ο σεβασµός των δικαιωµάτων και των έννοµων συµφερόντων όλων. Όπως έχουµε πει, τα πληροφοριακά συστήµατα εισβάλλουν µαζικά στις κοινωνίες µας και στον πολιτισµό µας. Οι κανόνες και οι προσδοκίες του ανθρώπου εξελίσσονται σε σχέση µε την κατάλληλη παροχή και χρήση των πληροφοριακών συστηµάτων και της ασφάλειάς τους. Η αρχή αυτή υποστηρίζει την ανάπτυξη κοινωνικών προτύπων στις περιοχές αυτές. Σηµαντικά σχετικά θέµατα είναι η έκφραση των προτύπων αυτών σ όλα τα µέλη της κοινωνίας µας και η γαλούχηση των νέων µ αυτά. Η αρχή του πολυδύναµου ορίζει ότι τα µέτρα, οι πρακτικές και οι διαδικασίες ασφάλειας πληροφοριακών συστηµάτων πρέπει να είναι πολυδύναµες, να παίρνουν δηλαδή υπόψη τους και να αναφέρονται σε όλες τις σχετικές όψεις του ζητήµατος, που περιλαµβάνουν την τεχνική, τη διοικητική, την οργανωσιακή, την επιχειρησιακή, την εµπορική, την εκπαιδευτική και τη νοµική άποψη. Όταν αναπτύσσουµε ή συντηρούµε µέτρα, πρακτικές και διαδικασίες ασφάλειας πληροφοριακών συστηµάτων, είναι σηµαντικό να αναλύουµε όλο το φάσµα των απαιτήσεων ασφάλειας και των διαθέσιµων επιλογών. Για παράδειγµα, σ έναν οργανισµό η ικανοποίηση της αρχής αυτής θα απαιτούσε τη συνεργασία τεχνικών, νοµικών, της διοίκησης και των χρηστών. Όλες αυτές οι οµάδες έχουν διαφορετικές οπτικές, απαιτήσεις και πόρους, που πρέπει να συνδυαστούν προκειµένου να παραχθεί το βέλτιστο επίπεδο ασφάλειας για το πληροφοριακό σύστηµα. Όµοια, σε επίπεδο πολιτικής, τα τεχνικά πρότυπα, οι κώδικες καλής πρακτικής, η νοµοθεσία, η ενηµέρωση του κοινού, η εκπαίδευση στην ασφάλεια πληροφοριακών συστηµάτων είναι παράγοντες που µπορούν να αλληλοσυµπληρώνονται. Η αρχή της αναλογικότητας ορίζει ότι τα µέτρα ασφάλειας ενός πληροφοριακού συστήµατος πρέπει να είναι ανάλογα µε την αξία του συστήµατος, το βαθµό εξάρτησης από το σύστηµα και τη σοβαρότητα, πιθανότητα εµφάνισης και έκταση της ζηµιάς που µπορεί να συµβεί σ αυτό. εν απαιτούν όλα τα πληροφοριακά συστή-