ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Transcript

1 ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

2 ΔΙΑΔΙΚΤΥΟ Το διαδίκτυο προσφέρει: Μετατροπή των δεδομένων σε ψηφιακή - ηλεκτρονική μορφή. Πρόσβαση στη μεγαλύτερη δεξαμενή πληροφοριών στον κόσμο. Ένα εξαιρετικά πολύτιμο εργαλείο για το επιχειρείν.

3 ΟΡΙΣΜΟΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Κάθε πληροφορία που αναφέρεται στο πρόσωπό του κάθε ατόμου, π.χ. το όνομα και το επάγγελμά του ατόμου, την οικογενειακή του κατάσταση, την ηλικία του, τα πολιτικά του φρονήματα κ.λ.π.

4 ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Η διαφύλαξη από τη συλλογή, την επεξεργασία και τη διαβίβαση ή κοινοποίηση προσωπικών δεδομένων μέσω των νέων τεχνολογιών πληροφοριών. Παγκόσμια Ημέρα Ασφαλής Πλοήγησης στο Διαδίκτυο ορίζεται η 7η Φεβρουαρίου.

5 ΝΟΜΟΘΕΤΙΚΕΣ ΡΥΘΜΙΣΕΙΣ Θεσμικό πλαίσιο Νόμος 2472/97 Νόμος 3471/06 Α.Δ.Α.Ε. Οδηγίες Ευρωπαϊκού Συμβουλίου και Κοινοβουλίου Οδηγία 95/46/ΕΚ Οδηγία 2002/58/ΕΚ Σύσταση Αρ. R (99) 5 Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Προστασία του απορρήτου των επιστολών, της ελεύθερης επικοινωνίας και της ασφάλειας των δικτύων και των πληροφοριών. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων και της ελεύθερης κυκλοφορίας αυτών. Προστασία της επεξεργασίας των προσωπικών δεδομένων και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Προστασία της ιδιωτικότητας στο διαδίκτυο.

6 ΔΙΑΔΙΚΤΥΑΚΑ ΕΓΚΛΗΜΑΤΑ Στην Ηλεκτρονική Αλληλογραφία ( ). Στις ηλεκτρονικές συναλλαγές. Στις ηλεκτρονικές πληρωμές. Στις ηλεκτρονικές τραπεζικές συναλλαγές. Στην άμεση συνομιλία (chat). Στο διαμοιρασμό αρχείων.

7 ΑΣΦΑΛΕΙΑ ΠΕΡΙΜΕΤΡΟΥ Ορισμός: Όλα τα σημεία πρόσβασης του δικτύου του παρόχου σε εξωτερικά δίκτυα. Σκοπός: Η προστασία των διάφορων πόρων του παρόχου από εισβολείς, και η αποτροπή από μη εξουσιοδοτημένη πρόσβαση σε στοιχεία του δικτύου του. Μέσα Προστασίας: Σύστημα firewall:ένας μηχανισμός «περιμετρικής άμυνας» ελέγχει την πρόσβαση από και προς το ιδιόκτητο δίκτυο.

8 FIREWALLS 1/2 Δυνατότητες των Firewalls: Το firewall απλοποιεί τη διαχείριση ασφάλειας, αφού ο έλεγχος προσπέλασης στο δίκτυο επικεντρώνεται κυρίως σε αυτό το σημείο. Το firewall εφαρμόζει έλεγχο προσπέλασης από και προς το δίκτυο, υλοποιώντας την πολιτική ασφάλειας του οργανισμού. Το firewall προσφέρει αποτελεσματική καταγραφή της δραστηριότητας στο δίκτυο. Το firewall προστατεύει τα διαφορετικά δίκτυα εντός του ίδιου οργανισμού. Το firewall έχει τη δυνατότητα απόκρυψης των πραγματικών διευθύνσεων της επιχείρησης.

9 FIREWALLS 2/2 Αδυναμίες των Firewalls: Το firewall δεν μπορεί να προστατεύσει από προγράμματα-ιούς. Το firewall δεν μπορεί να προστατεύσει απέναντι στις επιθέσεις κακόβουλ ων χρηστ ών από το εσωτ ερικό του οργανισμού. Το firewall δε μπορεί να προστατέψει τον οργανισμό απέναντι σε επιθέσεις συσχετιζόμενες με δεδομένα. Το firewall δεν μπορεί να προστατέψει τον οργανισμό από απειλές άγνωστου τύπου. Το firewall δεν μπορεί να προστατέψει από συνδέσεις οι οποίες δε διέρχονται από αυτό. Η αυστηρή ρύθμιση της ασφάλειας διαμέσου του firewall.

10 ΑΣΦΑΛΕΙΑ WEB ΕΞΥΠΗΡΕΤΗΤΩΝ 1/2 Ορισμός: Ο web εξυπηρετητής διαχειρίζεται και διανέμει πληροφορίες στο διαδίκτυο και προστατεύει τα ευαίσθητα δεδομένα που στέλνονται από το πρόγραμμα πλοήγησης (web browser) του χρήστη στον εξυπηρετητή αυτού που επικοινωνεί. Οι εξυπηρετητές μπορούν να διακριθούν από τα εξής : Απόδοση. Πλατφόρμες. Ασφάλεια. Εμπόριο.

11 ΑΣΦΑΛΕΙΑ WEB ΕΞΥΠΗΡΕΤΗΤΩΝ 2/2 Λειτουργίες των Web Εξυπηρετητών: Εξυπηρετούν αιτήσεις HTTP. Παρέχουν έλεγχο προσπέλασης. Εκτελούν scripts ή προγράμματα, είτε για να προσθέσουν λειτουργικότητα στις ιστοσελίδες, είτε για να παράσχουν πρόσβαση πραγματικού χρόνου. Καταγράφουν τις συναλλαγές ηλεκτρονικού εμπορίου που πραγματοποιούν οι χρήστες.

12 ΑΣΦΑΛΕΙΑ WEB ΕΦΑΡΜΟΓΩΝ Ορισμός: Η προστασία αγαθών όπως μιας ιστοσελίδας ή μιας βάσης δεδομένων μιας επιχείρησης. Απαιτήσεις Ασφαλείας: Αυθεντικοποίηση : Αποσκοπεί στην εξακρίβωση της ταυτότητας. Εμπιστευτικότητα: Αφορά την ιδιωτικότητα και τη μυστικότητα. Εξουσιοδότηση: Ο έλεγχος πρόσβασης σε συγκεκριμένες πληροφορίες και υπηρεσίες. Ακεραιότητα: Η προστασία των δεδομένων από τυχαία ή σκόπιμη τροποποίηση. Μη αποποίηση ευθύνης: Ένας χρήστης δεν μπορεί να αρνηθεί την εκτέλεση μιας λειτουργίας. Διαθεσιμότητα: Η άμεση πρόσβαση στις υπηρεσίες του συστήματος για τους νόμιμους χρήστες του.

13 ΚΡΥΠΤΟΓΡΑΦΗΣΗ Ορισμός: Είναι ο μετασχηματισμός δεδομένων σε μορφή που να είναι αδύνατον να διαβαστεί χωρίς την γνώση της σωστής ακολουθίας bit (κλειδί). Η αντίστροφη διαδικασία είναι η αποκρυπτογράφηση και απαιτεί γνώση του κλειδιού. Σκοπός: Η εξασφάλιση του απόρρητου των δεδομένων κρατώντας τα κρυφά από όλους όσους έχουν πρόσβαση σε αυτά.

14 ΜΕΘΟΔΟΙ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ 1/2 Συμμετρική κρυπτογράφηση (Symmetric Cryptography ή Secret-Key Cryptography). Χρησιμοποιείται το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση. Το κλειδί αυτό πρέπει να είναι γνωστό μόνο στα εξουσιοδοτημένα μέρη,δηλαδή στον αποστολέα ώστε να κρυπτογραφήσει το μήνυμα και στο παραλήπτη για να το αποκρυπτογραφήσει. Ασύμμετρη κρυπτογράφηση (Public-Key Cryptography). Στην ασύμμετρη κρυπτογράφηση, χρησιμοποιούνται διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση: το δημόσιο (public) και το ιδιωτικό (private) κλειδί αντίστοιχα.

15 ΣΥΜΜΕΤΡΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

16 ΜΗ ΣΥΜΜΕΤΡΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

17 ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΚΑΙ ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΩΝ ΜΕΘΟΔΩΝ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ Συμμετρική κρυπτογράφηση (-) Η συνεννόηση και ανταλλαγή του κλειδιού, χωρίς κάποιος τρίτος να μάθει για αυτό. (+) Η κρυπτογράφηση πραγματοποιείται με ταχύτατους ρυθμούς. (+) Δεν υπάρχει ανάγκη για πιστοποίηση των κλειδιών. Ασύμμετρη κρυπτογράφηση (+) Παρέχουν ψηφιακές υπογραφές που δεν μπορούν να αποκηρυχθούν από την πηγή τους. (-) Έλλειψη ταχύτητας. (-) Ανάγκη για πιστοποίηση και επαλήθευση των δημόσιων κλείδων από οργανισμούς.

18 ΠΙΣΤΟΠΟΙΗΣΗ ΑΥΘΕΝΤΙΚΟΤΗΤΑΣ Ορισμός: Η τεχνική με την οποία κάποιος πιστοποιεί ότι αυτός με τον οποίο επικοινωνεί είναι αυτός που πρέπει και όχι κάποιος άλλος. Κατηγορίες: Πιστοποίηση Αυθεντικότητας Βασισμένη σε Μοιραζόμενο Μυστικό Κλειδί. Πιστοποίηση Αυθεντικότητας με τη Χρήση Κέντρου Διανομής Κλειδιών. Πιστοποίηση Αυθεντικότητας με Χρήση Κρυπτογραφίας Δημοσίου Κλειδιού.

19 ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ Ορισμός: Μία μέθοδος διασφάλισης του περιεχομένου ενός ηλεκτρονικού εγγράφου, ως προς : Tη γνησιότητα, Την ακρίβεια, Την εξατομίκευση του εκδότη του εγγράφου αυτού, Τη μη αλλοίωση του κειμένου αυτού. Κατηγορίες: Υπογραφές με Κρυπτογραφία Μυστικού Κλειδιού. Υπογραφές με Κρυπτογραφία Δημοσίου Κλειδιού.

20 ΠΩΣ ΛΕΙΤΟΥΡΓΟΥΝ ΟΙ ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

21 Η «ΠΕΡΙΛΗΨΗ» ΕΝΟΣ ΜΗΝΥΜΑΤΟΣ

22 ΕΛΕΓΧΟΣ ΑΚΕΡΑΙΟΤΗΤΑΣ ΕΝΟΣ ΜΗΝΥΜΑΤΟΣ

23 ΥΠΟΓΡΑΦΟΝΤΑΣ ΤΗΝ «ΠΕΡΙΛΗΨΗ» ΤΟΥ ΜΗΝΥΜΑΤΟΣ

24 ΜΗ ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΗΣ/ΜΗ ΑΡΝΗΣΗ ΥΠΟΓΡΑΦΗΣ

25 ΕΛΕΓΧΟΣ ΑΚΕΡΑΙΟΤΗΤΑΣ ΚΑΙ ΑΥΘΕΝΤΙΚΟΤΗΤΑΣ ΕΓΓΡΑΦΟΥ

26 ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Πιστοποιούν ότι το άτομο που στέλνει πληροφορίες είναι πραγματικά αυτό που δηλώνει ότι είναι. Περιλαμβάνουν διάφορες πληροφορίες όπως το όνομα του χρήστη, το όνομα της εταιρίας που το εκδίδει, έναν σειριακό αριθμό. Χρησιμοποιούν πανίσχυρη τεχνολογία απόκρυψης και είναι πιο ασφαλή ακόμη και από τις υπογραφές. Εκδίδονται έναντι χρεώσεως από ιδιωτικές εταιρίες που ονομάζονται Digital Authorities. Το πιο γνωστό πρότυπο που επικρατεί είναι το Χ.509.

27 ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ Αποτελούν αντικείμενο πολλών και διαφορετικών τύπων επιθέσεων, όπως: Της απώλειας του απόρρητου, Της ακεραιότητας των δεδομένων, Της πλαστοπροσωπίας. Το πρωτόκολλο SSL, παρέχει απόρρητη επικοινωνία μεταξύ δύο συστημάτων, και αποτελεί σήμερα το πιο διαδεδομένο πρωτόκολλο ασφάλειας για το ηλεκτρονικό εμπόριο.

28 ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ Αρχιτεκτονική Τοποθέτηση του SSL

29 Με μεγαλύτερη λεπτομέρεια

30 Πρωτόκολλο ασφαλούς σύνδεσης

31 Ηλεκτρονικές πληρωμές

32 Έίδη ηλεκτρονικής απάτης

33 ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΤΑΧΥΔΡΟΜΕΙΟΥ Ένα ηλεκτρονικό μήνυμα, κατά την πορεία του από τον αποστολέα στον τελικό παραλήπτη, μπορεί εύκολα να διαβαστεί, να τροποποιηθεί ακόμα και να εμποδιστεί από το να φθάσει στον τελικό του προορισμό. Το Privacy Enhanced Mail (PEM), προβλέπει για αυτή την αδυναμία, εφαρμόζοντας : Υπηρεσίες απόρρητης συναλλαγής, Πιστοποίηση ταυτότητας, Ακεραιότητα των μηνυμάτων, Εξασφάλιση της μη αποκήρυξης της πηγής.

34 ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΩΝ ΠΛΗΡΩΜΩΝ Χαρακτηριστικά Ασφαλείας: Αυθεντικοποίηση Πληρωμής. Ακεραιότητα Πληρωμής. Έγκριση Πληρωμής. Εμπιστευτικότητα Πληρωμής. Υπηρεσίες Ασφαλείας: Ανωνυμία Χρήστη. Μη Ανίχνευση Θέσης. Μη Ανίχνευση Συναλλαγής Πληρωμής. Εμπιστευτικότητα των Δεδομένων της Συναλλαγής Πληρωμής. Μη αποκήρυξη των Μηνυμάτων της Συναλλαγής Πληρωμής. Μη Επανάληψη Μηνυμάτων Συναλλαγής Πληρωμής.

35 ΣΥΝΗΘΕΙΕΣ ΚΑΙ ΧΡΗΣΗ ΤΟΥ ΔΙΑΔΙΚΤΥΟΥ Ενημέρωση για θέματα κινδύνων στο διαδίκτυο ΑΠΌ ΤΟ ΙΔΙΟ ΤΟ ΔΙΑΔΙΚΤΥΟ 7% ΣΧΟΛΕΙΟ 21% TV 28% ΕΦΗΜ ΕΡΙΔΕΣ 27% ΠΕΡΙΟΔΙΚΑ 17% Το 21% (1/5 των χρηστών) αγνοεί εντελώς τους κινδύνους του διαδικτύου. Το 60%, δεν γνωρίζει πού πρέπει να απευθυνθεί σε περίπτωση κινδύνου.

36 ΣΥΜΠΕΡΑΣΜΑ Η απώλεια ψηφιακών δεδομένων αποτελεί μια από τις μεγαλύτερες μη υπολογιζόμενες ζημιές για μια σύγχρονη κοινωνία. Η προστασία των προσωπικών δεδομένων από εξωτερικούς ή και εσωτερικούς κινδύνους πρέπει να συγκαταλέγονται μεταξύ των προτεραιοτήτων όλων των χρηστών!