ΤΕΧΝΟΛΟΠΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΒΑΑΑΣ ΣΧΟΑΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΑΗΡΟΦΟΡΙΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ «Μ Ε Λ Ε Τ Η ΤΕΧΝΙΚΩΝ ΑΝΩΝΥΜΙΑΣ ΣΤΟ ΑΙΑΑΙΚΤΥΟ ΚΑΙ ΤΡΟΠΟΙ Π Ο Υ ΑΥΤΕΣ ΕΝΤΑΣΣΟΝΤΑΙ ΣΤΗΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗ Μ ΑΤΩ Ν» ΦΟΙΤΗΤΗΣ: ΚΑΤΣΑΝΟΣ ΣΠΥΡΟΣ ΑΜ:294 ΕΠΙΒΑΕΠΟΥΣΑ ΚΑΘΗΓΗΤΡ1Α: ΣΤΟΥΠΑ ΚΩΝΣΤΑΝΤΙΝΑ
Τ.Ε.Ι. ΚΑΒΑΛΑΣ ΤΜΗΜΑ Σ. Δ. Ο. " μ: - ; : : ρ;γν ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΒΑΛ^ί ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ «Μ Ε Λ Ε Τ Η ΤΕΧΝΙΚΩΝ ΑΝΩΝΥΜΙΑΣ ΣΤΟ Μ ΑΜ Κ ΤΥΟ ΚΑΙ ΤΡΟΠΟΙ Π Ο Υ Α ΥΤΕΣ ΕΝΤΑΣΣΟΝΤΑΙ ΣΤΗΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗ Μ ΑΤΩ Ν» ΦΟΙΤΗΤΗΣ: ΚΑΤΣΑΝΟΣ ΣΠΥΡΟΣ ΑΜ:294 ΕΠΙΒΑΕΠΟΥΣΑ ΚΑΘΗΓΗΤΡΙΑ: ΣΤΟΥΠΑ ΚΩΝΣΤΑΝΤΙΝΑ
ΠΕΡΙΕΧΟΜΕΝΑ 1. Εισαγωγή... σελ 4 2. Προσωπικά Δεδομένα... σελ 6 2.1 Η έννοια των προσωπικών δεδομένων... σελ 6 2.2 Προστασία Προσωπικών Δεδομένων... σελ 7 2.2.1 Κοινοτική Οδηγία 95/46/ΕΕ...σελ 8 2.2.2 Κοινοτική Οδηγία 2002/58/ΕΕ...σελ 9 2.3 Προστασία Προσωπικών Δεδομένων στην Ελλάδα...σελ 10 2.3.1 Κανονισμοί Α.Δ.Α.Ε...σελ 12 2.3.2 Κανονισμός για τη διασφάλιση του Απορρήτου...σελ 13 2.4 Συμβουλές Προς Χρήστες...σελ 15 2.5 Υποχρεώσεις των Παρόχων Υπηρεσιών Διαδικτύου...σελ 17 3. Ασφάλεια Δικτύων... σελ 20 3.1 Φυσική Ασφάλεια...σελ 20 3.2 Εξωγενείς Επιθέσεις... σελ 20 3.3 Διαφύλαξη Προσωπικών Δεδομένων και Διακίνησης Πληροφορίας... σελ 22 3.3.1 Πιστοποίηση... σελ 22 3.3.2 Εξουσιοδότηση... σελ 22 3.3.3 Ιδιωτικότητα... σελ 23 3.3.4 Ακεραιότητα... σελ 24 3.4 Firewalls... σελ 25 3.4.1 Η Αναγκαιότητα Χρήσης των Firewalls...σελ 26 3.4.2 Ζητήματα Σχεδίασης των Firewalls... σελ 26 3.4.3 Δυνατότητες των Firew alls...σελ 28 3.4.4 Αδυναμίες των Firewalls... σελ 29 4. Ανώνυμη Φυλλομέτρηση...σελ 30 4.1 Anonymizer... σελ 30 4.1.1 Εισαγωγή...σελ 30 4.1.2 Αρχές Αειτουργίας...σελ 31 4.1.3 Σημεία Ευπάθειας...σελ 32 4.2 Crowds...σελ 33 4.2.1 Εισαγωγή... σελ 33 4.2.2 Αρχές Αειτουργίας... σελ 35
4.2.3 Σημεία Ευπάθειας... 4.3 Onion Routing 4.3.1 Εισαγωγή... 4.3.2 Αρχές Λειτουργία... 4.3.3 Σημεία Ευπάθειας... 4.4 TRUSTe... 4.4.1 Εισαγωγή 4.4.2 Αρχές Λειτουργίας... 4.5 Ρ 3Ρ... 4.5.1 Εισαγωγή... 4.5.2 Αρχές Λειτουργίας... 4.4.3 Σημεία Ευπάθειας... 4.6 Lucent Personalized Web 4.6.1 Εισαγωγή 4.6.2 Αρχές Λειτουργίας... 4.6.3 Σημεία Ευπάθειας... 4.7 H ordes... 4.7.1 Εισαγωγή... 4.7.2 Αρχές Λειτουργίας... 4.7.3 Σημεία Ευπάθειας... 4.8 Freedom... 4.8.1 Εισαγωγή... 4.8.2 Αρχές Λειτουργίας... 4.8.3 Σημεία Ευπάθειας.....σελ 37..σελ 40...σελ 42..σελ 43.σελ 43..σελ 44..σελ 46..σελ 46..σελ 47..σελ 50..σελ 50..σελ 50..σελ 53..σελ 57..σελ 57..σελ 58..σελ 59.σελ 61..σελ 62..σελ 62..σελ 62 σελ 66 5. Συγκριτιιοή Αξιολόγηση των Τεχνολογιών Ενίσχυσης της Ανωνυμίας και της Ιδιωτικότητας...σελ 67 5.1 Βαθμός Επιτυχούς Αντιμετώπισης Απειλών Ασφάλειας... σελ 67 5.1.1 Επίθεση Αντίστροφης Πορείας (Trace Back Attack)...σελ 67 5.1.2 Επίθεση από Εχθρικούς Συνεργάτες (Malicious Collaborators)... σελ 69 5.1.3 Επίθεση από Ωτακoυστές(Eavesdroppers)...σελ 70 5.1.4 Επίθεση Κωδικοποίησης Μηνυμάτων (Message Coding Attack)...σελ 71 5.1.5 Επίθεση Χρονοσήμανσης (Timing Attack)...σελ 73 5.1.6 Επίθεση Υπερφόρτωσης Μηνυμάτων (Flooding Attack)... σελ 73
5.1.7 Επίθεση Περιόδων Σύνδεσης (Connection Period Attacks)...σελ 73 5.1.8 Επίθεση από Αξιοποίηση cookies... σελ 74 5.1.9 Επίθεση σε Υττηρεσίες Προσωποποίησης...σελ 75 5.2 Τεχνολογικά Ζητήματα Εφαρμογών...σελ 76 5.2.1 Αξιοπιστία (Reliability)... σελ 76 5.2.2 Πολυπλοκότητα Εγκατάστασης (Installation Complexity)...σελ 78 5.2.3 Απόδοση (Performance)... σελ 78 5.2.4 Επιπλέον Χρόνος Αναμονής (Overhead Eaten)...σελ 79 5.3. Ικανοποίηση Απαιτήσεων Χρηστών...σελ 8Θ 5.3.1 Ανωνυμία (Anonymity)... σελ 80 5.3.2 Χαμηλό Κόστος (Low Cost)... σελ 81 5.3.3 Χρηστικότητα (Usability)...σελ 82 5.3.4 Αοιπές Παρεχόμενες Υπηρεσίες (Services.)...σελ 83 Αναφορές...σελ 84
1.Εισαγωγή To Διαδίκτυο, όχι πολλά χρόνια πριν, αποτελούσε ένα κατά πολύ μικρότερο «μέρος» συγκριτικά με σήμερα. Οι κόμβοι του ήταν διεσπαρμένοι σε μερικά ακαδημαϊκά ιδρύματα, ερευνητικά εργαστήρια και εταιρείες. Οι χρήστες του περιλάμβαναν φοιτητές, ερευνητές και γενικότερα ανθρώπους που ασχολούνταν κατά τον έναν ή τον άλλο τρόπο με την τεχνολογία και τις επιστήμες. Η υποδομή του, το διάσημο ζεύγος πρωτοκόλλων TCP/IP, είχε σχεδιαστεί για να λειτουργεί απλά και αποτελεσματικά, χωρίς να περιλαμβάνει ιδιαίτερους μηχανισμούς ή «δικλίδες». Όμως κατά την πάροδο των χρόνων υττήρχε τεράστια ανάπτυξη του διαδικτύου που οδηγεί καθημερινά στην μετατροττή των δεδομένων του φυσικού κόσμου σε ψηφιακή - ηλεκτρονική μορφή. Καθώς σχεδόν οποιαδήποτε υπηρεσία ή οργανισμός, ιδρύματα, εταιρείες και ιδιώτες χρησιμοποιούν υπολογιστές με πρόσβαση στο διαδίκτυο τις περισσότερες φορές για την διαχείριση των δεδομένων τους, η αξία της πληροφορίας που συγκεντρώνεται στο διαδίκτυο αποκτά τεράστιες διαστάσεις και γίνεται ένα θέμα που ολοένα και περισσότερο συζητιέται. Σε πολλές περιπτώσεις μάλιστα, ολόκληρη η πληροφορία είναι αποθηκευμένη σε ψηφιακά μέσα, χωρίς να υπάρχει σε έντυπη ή αναλογική μορφή. Η εξάρτηση μας στα συστήματα αυτά, και το γεγονός ότι η λειτουργικότητα και η φιλικότητα των υπολογιστικών συστημάτων έχουν αυξηθεί σημαντικά, οδηγούν σε μια ενισχυμένη πολυπλοκότητα των συστημάτων αυτών. Η πολυπλοκότητα αυτή οδηγεί σε μια πληθώρα αδυναμιών και προβλημάτων στην ασφάλεια των συστημάτων και των δεδομένων, είτε από προγραμματιστικά λάθη, είτε από κακές ρυθμίσεις, είτε από ης σχέσεις εμπιστοσύνης που δημιουργούνται, είτε από άλλους λόγους. Ο πληθυσμός του Internet αν και έχει ακουστά πολλές περιπτώσεις παραβίασης της ασφάλειας συστημάτων και κλοτιής δεδομένων, δεν έχει δεχτεί μια ολοκληρωμένη εκπαίδευση σε θέματα που αφορούν την δικτυακή ασφάλεια. Οι περισσότεροι χρήστες βρίσκονται σε σύγχυση όσον αφορά την ασφάλεια των δεδομένων τους, μην γνωρίζοντας τους κινδύνους και τις απειλές που αντιμετωπίζουν, ενώ οι εταιρείες παροχής υπηρεσιών -είτε πρόκειται για e- mail, είτε για υποβολή φορολογικών δηλώσεων και web banking- εθίζουν τους χρήστες σε πρακτικές χαμηλής ασφάλειας και παρέχουν μια αίσθηση ότι ασχολούνται αποτελεσματικά με την ασφάλεια των δεδομένων τους. Οι χρήστες παραβιασμένων συστημάτων αντιμετωπίζουν πολύ σοβαρούς κινδύνους, χωρίς να το γνωρίζουν τις περισσότερες φορές. Ένας επιτιθέμενος μπορεί να παρακολουθεί ότι πληκτρολογείτε στον υπολογιστή για να μάθει αριθμούς πιστωτικών καρτών και κωδικούς, να χρησιμοποιήσει
το τίύστημα για τη διακίνηση πορνογραφικού υλικού, να αποσπάσει ευαίσθητα δεδομένα, ακόμα και να πραγματοποιήσει επιθέσεις σε άλλα συστήματα μέσω αυτού, ώστε να σβήσουν τα ίχνη του. Αυτή η ευρεία ανάπτυξη και αξιοποίηση του Internet οδήγησε στην ανάγκη διασφάλισης της ανωνυμίας και της ιδιωτικότητας σε σειρά εφαρμογών υπεράνω του ιστού. Στην παρούσα εργασία παρουσιάζουμε το νομικό πλαίσιο προστασίας των προσωτιικών δεδομένων, τα μέτρα ασφαλείας που πρέπει να παίρνουμε, καθώς και τα ευρύτερα αξιοποιούμενα πρωτόκολλα, υπηρεσίες και εργαλεία ενίσχυσης της ιδιωτικότητας και ανωνυμίας κατά τη φυλλομέτρηση (Anonymous Web Browsing), που είναι τα Anonymizer, Onion Routing, Crowds, TRUSTe, PSP, LPWA, Hordes και Freedom, δίνοντας έμφαση στην αρχιτεκτονική τους, τις αρχές λειτουργίας τους και τα σημεία ευπάθειάς τους. Ακολούθως, διεξάγουμε συγκριτική αξιολόγηση των προαναφερόμενων, με γενικά κριτήρια σύγκρισης τη δυνατότητα αντιμετώπισης γνωστών απειλών, τα ανακύπτοντα τεχνολογικά ζητήματα εφαρμογών και το μέτρο ικανοποίησης στις απαιτήσεις των χρηστών.
2. Προσωπικά Δεδομένα Ο σεβασμός και η προστασία της αξιοπρέπειας, της ιδιωτικής ζωής και της ελεύθερης ανάπτυξης της προσωπικότητας αποτελούν πρωταρχική επιδίωξη κάθε δημοκρατικής κοινωνίας. Η τεράστια πρόοδος της πληροφορικής, η ανάπτυξη νέων τεχνολογιών, οι νέες μορφές διαφήμισης και ηλεκτρονικών συναλλαγών και η ανάγκη της ηλεκτρονικής οργάνωσης του κράτους έχουν σαν συνέπεια την αυξημένη ζήτηση προσωπικών πληροφοριών από τον ιδιωτικό και δημόσιο τομέα. Η ανεξέλεγκτη καταχώριση και επεξεργασία των προσωπικών δεδομένων σε ηλεκτρονικά και χειρόγραφα αρχεία υπηρεσιών, εταιρειών και οργανισμών μπορεί να δημιουργήσει προβλήματα στην ιδιωτική ζωή του πολίτη. Οι κίνδυνοι αυτοί αυξάνονται με τις νέες δυνατότητες ταχύτατης μεταφοράς πληροφοριών παγκοσμίως μέσω του Internet. Για την προστασία του ατόμου στην κοινωνία της πληροφορίας δεν αρκούν οι παραδοσιακές θεσμικές εγγυήσεις και ρυθμίσεις, αλλά χρειάζεται ειδική αντιμετώτηση. Η 7 Φεβρουάριου είναι η Παγκόσμια Ημέρα Ασφαλής Πλοήγησης στο Διαδίκτυο. Καθιερώθηκε με την πρωτοβουλία της Ευρωπαίας Επιτρόπου Βιβιάν Ρέντινγκ με σκοπό να ευαισθητοποιήσει τους χρήστες για τους κινδύνους του διαδικτύου. Για την ασφαλή πλοήγηση στο Διαδίκτυο έχουν παρθεί μέτρα τόσο σε διεθνή όσο και σε εγχώριο εττίπεδο, τα ποια και θα αναλυθούν παρακάτω. Ταυτόχρονα, έχουν δημιουργηθεί ειδικές οργανώσεις και η ΕΕ έχει θεσπίσει ειδικούς νόμους για την προστασία των χρηστών. 2.1 Η Έννοια των Προσωπικών Δεδομένων. Η απώλεια ψηφιακών δεδομένων αποτελεί μια από τις μεγαλύτερες μη υπολογιζόμενες ζημιές για τις σύγχρονες κοινωνίες. Η προστασία δεδομένων από εξωτερικούς ή και εσωτερικούς κινδύνους όπως επίσης και η διασφάλιση της ομαλής λειτουργίας των υπολογιστικών συστημάτων ενός εταιρικού ή οικιακού δικτύου πρέπει να συγκαταλέγονται μεταξύ των προτεραιοτήτων των εκάστοτε χρηστών. Η μόλυνση ενός ή και περισσοτέρων συστημάτων από ψηφιακό ιό πολύ συχνά έχει ως αποτέλεσμα την καταστροφή ζωτικών δεδομένων για την εταιρεία ή για το ίσιο το άτομο, ενώ εξίσου σημαντική είναι και η ζημιά σε χαμένες ώρες εργασίας για μέρος ή το σύνολο του υπαλληλικού προσωπικού. Ένας hacker π.χ. μπορεί να χρησιμοποιήσει εταιρικά ή προσωπικά δεδομένα που έχουν εμπιστευθεί οι πελάτες μιας εταιρίας, στιγματίζοντας ανεπανόρθωτα τόσο
την εταιρεία και ετηβαρύνοντας την οικονομικά (έμμεσα ή άμεσα) όσο και το ίδιο το άτομο. Η ανάπτυξη των νέων τεχνολογιών και οι νέες μορφές διαφήμισης και ηλεκτρονικών συναλλαγών οδήγησαν στην αυξημένη ζήτηση προσο^πικών πληροφοριών από τον ιδιο^τικό και δημόσιο τομέα. Οι προσωπικές αυτές πληροφορίες που αναφέρονται σε κάθε είδους δραστηριότητα προσωτηκή είτε επαγγελματική του ατόμου ονομάζονται προσωτηκά δεδομένα. Ορισμός Προσωπικών Δεδομένων. Προσωπικά δεδομένα είναι, σύμφωνα με τον Νόμο 2472/1997 και την Οδηγία 95 / 46/ ΕΚ κάθε πληροφορία που αναφέρεται στο πρόσωπό του κάθε ατόμου, π.χ. το όνομα και το επάγγελμά του ατόμου, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, η φυλετική του προέλευση, τα πολιτικά του φρονήματα, η θρησκεία που πιστεύει, οι φιλοσοφικές του απόψεις η συνδικαλιστική του δράση, η υγεία του, η ερωπκή του ζωή και οι τυχόν ποινικές του διώξεις και καταδίκες 2.2 Προστασία Προσωπικών Δεδομένων. Αναγνωρίζοντας ότι η συλλογή, η επεξεργασία και, ιδιαίτερα, η διαβίβαση ή κοινοποίηση προσωτηκών δεδομένων μέσω των νέων τεχνολογιών πληροφοριών, και, συγκεκριμένα των λεωφόρων πληροφοριών, διέπονται από τις διατάξεις της Συνθήκης για την Προστασία του Ατόμου από την Αυτόματη Επεξεργασία Προσωτηκών Δεδομένων (Στρασβούργο 1981, Σειρά Ευρωπαϊκών Συνθηκών Αρ. 108) και από ετημέρους συστάσεις για την προστασία δεδομένων και κυρίως τη Σύσταση Αρ. R(90)19 για την προστασία των προσωπικών δεδομένων που χρησιμοποιούνται στην εξόφληση λογαριασμών και άλλες συναφείς εργασίες. Χρησιμοποιώντας το Διαδίκτυο οι χρήστες επιφορτίζονται με ευθύνες όσον αφορά στη δράση τους και θέτουν σε κίνδυνο την ιδιωτικότητά τους. Είναι σημαντικό να συμπεριφέρονται με τρόπο που να τους εξασςκιλίζει προστασία και να προάγει ης αγαθές σχέσεις με τα άλλα πρόσωπα. Οι παρούσες κατευθυντήριες γραμμές προτείνουν ορισμένους πρακτικούς τρόπους για τιι διασφάλιση της ιδιωτικότητας, αλλά πρέπει επίσης να γνωρίζουν τα δικαιώματα και τις υποχρεώσεις τους που απορρέουν από τον νόμο. Πρέπει να έχουν υπόψη τους ότι ο σεβασμός της ιδιωηκότητας αποτελεί θεμελιώδες δικαίωμα για κάθε άτομο και τυγχάνει προστασίας από αντίστοιχη νομοθεσία. [33]
2.2.1 Κοινοτική Οδηγία 95/46/Ε.Ε.. Η Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωτηκού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών έχει διπλό στόχο: την προστασία των θεμελιωδών δικαιωμάτων και της ιδιωτικής ζωής του ατόμου και την εξασφάλιση της ελεύθερης κυκλοφορίας των προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης, για την επίτευξη οικονομικής και κοινωνικής προόδου και συνεργασίας, καθώς και τεχνικής και επιστημονικής συνεργασίας στην ολοένα αναπτυσσόμενη κοινωνία της πληροφορικής και των τηλεπικοινωνιών. Η Οδηγία 95/46/ΕΚ αποτελεί το κείμενο αναφοράς, σε ευρωπαϊκό επίπεδο, στα θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα. Θεσπίζει ένα κανονιστικό πλαίσιο που αποσκοπεί στην εγκαθίδρυση μιας ισορροπίας μεταξύ ενός υψηλού επιπέδου προστασίας της ιδιωτικής ζωής των προσώπων και της ελεύθερης κυκλοφορίας των δεδομένων προσωτηκού χαρακτήρα στην Ευρωπαϊκή Ένωση. Η εν λόγω Οδηγία ορίζει ως «δεδομένα προσωπικού χαρακτήρα» κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλο ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα (π.χ. πληροιροριακή βάση δεδομένων πελατών) καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο (παραδοσιακά αρχεία σε χαρτί). Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Συνεπώς η Ελλάδα είναι υπεύθυνη για την προστασία των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται οι οργανισμοί ηλεκτρονικού εμπορίου που είναι εγκατεστημένοι στα γεωγραφικά όρια της Ελλάδας.
2.2.2 Κοινοτική Οδηγία 2002/58/Ε.Ε. (Για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ) Η Οδηγία 2002/58/ΕΚ αναθεωρεί καν αναπροσαρμόζει την προηγούμενη Οδηγία 97/96/ΕΚ περί επεξεργασίας των δεδομένων προσωτηκού χαρακτήρα καν προστασίας της ιδιωτικής ζωής στον τηλετηκοινωνιακό τομέα, προκειμένου να ληφθούν υπόψη οι νέες υπηρεσίες και τεχνολογικές εξελίξεις. Η Οδηγία 2002/58/ΕΚ αποτελεί βασικό στοιχείο του κανονιστικού πλαισίου που επιδιώκει να εξασφαλίσει τη συνέχιση της ανάπτυξης του τομέα ηλεκτρονικών επικοινωνιών, με οφέλη για το σύνολο των εταιρειών και των ιδιωτών που χρησιμοποιούν τις υπηρεσίες ηλεκτρονικών επικοινωνιών.. Η εν λόγω Οδηγία ετηβάλλει τη θέστηση ειδικών νομικών και τεχνικών διατάξεων για την προστασία βασικών δικαιωμάτων και ελευθεριών. Η δυνατότητα προστασίας των δεδομένων προσωπικού χαρακτήρα των χρηστών αποτελεί προϋπόθεση για την ανάπτυξη του ηλεκτρονικού εμπορίου. Με την Οδηγία 2002/58/ΕΚ εναρμονίζονται οι διατάξεις των κρατών μελών οι οποίες απαιτούνται προκειμένου να διασφαλίζεται ισοδύναμο επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών, ιδίως το δικαίωμα στην ιδιωτική ζωή, όσον αφορά την επεξεργασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, καθώς και να διασφαλίζεται η ελεύθερη κυκλοφορία των δεδομένων αυτών και των εξοπλισμών και υττηρεσιών ηλεκτρονικών επικοινωνιών στην Ευρωπαϊκή Ένωση. Η Οδηγία λοιπόν για την προστασία προσωπικών δεδομένων στηρίζεται στις εξής βασικές αρχές: Η επεξεργασία προσωπικών δεδομένων πρέπει να είναι πάντοτε θεμιτή και νόμιμη. Τα προσωπικά δεδομένα πρέπει πάντα να συλλέγοντας για ρητώς καθορισμένους και νόμιμους σκοπούς και να χρησιμοποιούνται ανάλογα. Τα προσωπικά δεδομένα πρέπει να είναι κατάλληλα και να μην υπερβαίνουν τα απολύτως αναγκαία για τους σκοπούς της επεξεργασίας τους Τα δεδομένα που αποκαλύπτουν την ταυτότητα των προσώπων δεν πρέπει να φυλάσσονται για περισσότερο χρόνο απ' όσο είναι απαραίτητο Τα δεδομένα πρέπει να είναι ακριβή και, όπου χρειάζεται, να ενημερώνονται
Οι κάτοχοι δεδομένων οφείλουν να παρέχουν στα πρόσωπα που αφορούν τα δεδομένα αυτά εύλογα μέσα για τη διόρθωση, τη διαγραφή ή τη δέσμευση ανακριβών δεδομένων Πρέπει να λαμβάνονται τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα για την αποτροπή της παράνομης ή χωρίς άδεια επεξεργασίας προσωτηκών δεδομένων Τα προσωπικά δεδομένα δεν πρέπει να μεταφέρονται σε χώρες ή επικράτειες εκτός του Ευρωπαϊκού Οικονομικού Χώρου, εκτός εάν αυτές εγγυώνται "επαρκές επίπεδο προστασίας" για τα πρόσωπα που αφορούν τα δεδομένα Η οδηγία επιβάλλει επίσης στα κράτη μέλη την υποχρέωση να συστήσουν μία η περισσότερες ανεξάρτητες εποπτικές Αρχές για να παρακολουθούν την εφαρμογή της. Ένα από τα καθήκοντα αυτών των Αρχών είναι να τηρούν ενημερωμένο δημόσιο μητρώο, ώστε το κοινό να μπορεί να γνωρίζει τα ονόματα όλων των κατόχων προσωπικών δεδομένων και το είδος της επεξεργασίας στην οποία τα υποβάλλουν. Επίσης ο φορέας παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, οφείλει να λαμβάνει από κοινού με τους φορείς παροχής δημόσιων δικτύων επικοινωνιών, καθόσον αφορά την ασφάλεια του δικτύου, τα ενδεδειγμένα τεχνικά και οργανωτικά μέσα προκειμένου να προστατεύεται η ασφάλεια των υπηρεσιών του. Οι εν λόγω φορείς υποχρεώνονται να ενημερώνουν τους συνδρομητές σε περίπτωση που υπάρχει ιδιαίτερος κίνδυνος για την ασφάλεια του δικτύου. [33] 2.3 Προστασία Προσωπικών Δεδομένων Στην Ελλάδα. "Κάθε πολίτης πρέπει να είναι σε θέση να γνωρίζει κάθε στιγμή ποιος, πού, πότε, πώς και γιατί επεξεργάζεται τα προσωπικά του στοιχεία". Στην Ελλάδα έχει ιδρυθεί και λειτουργεί από το Νοέμβριο του 1997 ως ανεξάρτητη διοικητική υπηρεσία η Αρχή Προστασίας Δεδομένων Προσωτιικού Χαρακτήρα, με βάση το Νόμο 2472/97. Αποστολή της Αρχής Προστασίας Δεδομένων είναι η εποπτεία της εφαρμογής των νόμων και άλλων ρυθμίσεων που αφορούν στην προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα που συλλέγουν οι οργανισμοί ηλεκτρονικού εμπορίου για τους πελάτες τους, στα πλαίσια πραγματοποίησης ηλεκτρονικών συναλλαγών. Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Συγκεκριμένα κάθε οργανισμός ηλεκτρονικού εμπορίου υπόκειται σε έλεγχο από την εν λόγω Αρχή.
Η Αρχή αυτή έχει τις εξής αρμοδιότητες: Να εκδίδει οδηγίες και κανονιστικές πράξεις για την εφαρμογή των διατάξεων που αφορούν στην προστασία προσιοπικών δεδομένων και να γνωμοδοτεί για σχετικά θέματα. Να απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και να επιβάλλει/βοηθάει όσους διατηρούν αρχεία να καταρτίζουν κώδικες δεοντολογίας. Να καταγγέλλει τις παραβάσεις στις αρμόδιες διοικητικές και δικαστικές αρχές αλλά και να επιβάλλει κυρώσεις. Να ενεργεί, αυτεπαγγέλτως ή κατόπιν καταγγελίας, ελέγχους σε κάθε αρχείο. Στη χώρα μας, το βασικό νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων, καθορίζεται από τους νόμους 2472/97 (Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα) και 3471/06 (Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του Ν. 2472/97), ενώ ο Νόμος 2774/1999 για την προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα καταργήθηκε στις 29 Ιουλίου 2006. Ο Νόμος 2472/97 ενσωματώνει στο ελληνικό δίκαιο την ευρωπαϊκή οδηγία 95/46/ΕΚ και αναφέρεται στην "Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα". Αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Με λίγα λόγια καθορίζει τις υποχρεώσεις των φορέων και των υπηρεσιών που "εκτελούν την επεξεργασία" και θέτει τα δικαιώματα προστασίας των ατόμων, όσον αφορά την προστασία και διαφύλαξη των προσωπικών τους δεδομένων. Με βάση το νόμο 2472/97: Η επεξεργασία προσωπικών πληροφοριών είναι επιτρεπτή μόνο σης περιπτώσεις που ο νόμος προσδιορίζει περιοριστικά και δεσμευτικά. Η επεξεργασία επιτρέπεται μόνο για νόμιμους, θεμιτούς και εξειδικευμένους σκοπούς που είναι γνωστοί στον πολίτη. Αναγνωρίζονται και κατοχυρώνονται νέα δικαιώματα των πολιτών για να αμύνονται έναντι των προσβολών της ιδιωτικής ζωής και της προσωπικότητας τους (δικαίωμα προηγούμενης πληροφόρησης, διόρθωσης, αποζημίωσης). Οι ρυθμίσεις του νόμου 2472/97 συμπληρώθηκαν από το Νόμο 3471/06 (Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής
στον τομέα των ηλεκτρονικών επικοινωνιών). Ο νόμος αυτός κατοχύρωσε σημαντικά δικαιώματα των συνδρομητών και χρηστών τηλεπικοινωνιακών υπηρεσιών. 2.3.1 Κανονισμοί Α.Δ.Α.Ε. Η Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) είναι ένας νέος φορέας που λειτουργεί με βάσει το Ν. 3115/2003 με σκοπό την προστασία του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας με οποιοδήποτε άλλο τρόπο, καθώς και την ασφάλεια των δικτύων και των πληροφοριών. Η ΑΔΑΕ είναι Ανεξάρτητη Αρχή που απολαμβάνει διοικητικής αυτοτέλειας. Έδρα της ΑΔΑΕ είναι η Αθήνα, αλλά μπορεί με απόφαση της να εγκαθιστά και να λειτουργεί γραφεία και σε άλλες πόλεις της Ελλάδας. Οι αποφάσεις της ΑΔΑΕ κοινοποιούνται στον Υπουργό Δικαιοσύνης και στο τέλος κάθε χρόνου υποβάλλεται έκθεση των πεπραγμένων της στη Βουλή. Η ΑΔΑΕ υπόκειται σε κοινοβουλευτικό έλεγχο κατά τον τρόπο και τη διαδικασία που κάθε φορά προβλέπεται από τον κανονισμό της Βουλής. Η ΑΔΑΕ για την εκπλήρωση της αποστολής της έχει τις ακόλουθες αρμοδιότητες: 1. Διενέργεια αυτεπάγγελτων ελέγχων σε επιχειρήσεις και υττηρεσίες που έχουν γενικό αντικείμενο την επικοινωνία. 2. Κατάσχεση ψηφιακών πειστηρίων, καταστροφή στοιχείων που αποκτήθηκαν με παράνομη παραβίαση του απορρήτου των ετηκοινωνιών. 3. Εξέταση καταγγελιών σχετικά με την προστασία των δικαιωμάτων των αιτούντων. 4. Συνεργασία με άλλες αρχές της χώρας και με αντίστοιχες αρχές άλλων κρατών, για θέματα ασφάλειας επικοινωνιών. 5. Έκδοση κανονισμού εσωτερικής λειτουργίας, ο οποίος δημοσιεύεται στην εφημερίδα της Κυβερνήσεως. 6. Έκδοση κανονιστικών πράξεων, μέσω των οποίων ρυθμίζεται κάθε διαδικασία και λεπτομέρεια σε σχέση με τις αρμοδιότητες της Αρχής. 7. Σύνταξη, μια φορά το χρόνο, έκθεσης πεπραγμένων, στην οποία περιγράφεται το έργο της Αρχής, διατυπώνονται παρατηρήσεις και προτείνονται νομοθετικές μεταβολές στον τομέα διασφάλισης του απορρήτου των επικοινωνιών. Το ηλεκτρονικό εμπόριο βασίζεται στην επικοινωνία των πελατών με τους οργανισμούς που προσφέρουν υτιηρεσίες ηλεκτρονικού εμπορίου. Για να γίνει μια ηλεκτρονική συναλλαγή, πρέπει πρώτα να ετηκοινωνήσει ο
πελάτης με τον έμπορα, να δώσει τα προσωτπ,κά του στοιχεία, τον αριθμό της πιστωτικής του κάρτας και να λάβει πληροφορίες σχετικές με τη συναλλαγή. Είναι προφανές ότι η επικοινωνία αυτή πρέπει να είναι απόρρητη, αφού σε καμιά περίπτωση τα προσωπικά στοιχεία του πελάτη και ιδιαίτερα οι αριθμοί των πιστωτικών του καρτών δεν πρέπει να γνωστοποιούνται σε τρίτους. Όπως αναφέρθηκε τηο πάνω, σκοπός της ΑΔΑΕ είναι η προστασία του απορρήτου των ετηκοινωνιών. Συνεπώς κάθε οργανισμός ηλεκτρονικού εμπορίου υπόκειται σε έλεγχο από την ΑΔΑΕ. Η ΑΔΑΕ έχει εκδώσει κάποιους κανονισμούς για τη διασφάλιση του απορρήτου των επικοινωνιών και κάθε οργανισμός ηλεκτρονικού εμπορίου, σύμφωνα με τα παραπάνω, πρέπει να τους ακολουθεί. Η ΑΔΑΕ ελέγχει τους οργανισμούς ηλεκτρονικού εμπορίου για την τήρηση των κανόνων, και η ίδια ελέγχεται από το κράτος. Η ΑΔΑΕ έχει εκδώσει και δημοσιεύσει στην εφημερίδα της κυβερνήσεως κανονισμούς ασφαλείας για το διαδίκτυο, τη διασφάλιση απορρήτου τηλεπικοινωνιακής υποδομής, την κινητή και σταθερή τηλεφωνία, το θεσμικό πλαίσιο για την ασφάλεια, καθώς και την ασφάλεια για αυτόματες τραπεζικές συναλλαγές. Με δεδομένο ότι το μεγαλύτερο μέρος του ηλεκτρονικού εμπορίου πραγματοποιείται μέσω του διαδικτύου, κάθε οργανισμός ηλεκτρονικού εμπορίου πρέπει να συμμορφώνεται και να τηρεί τους κανονισμούς ασφαλείας για το διαδίκτυο. Συγκεκριμένα θα πρέπει να ακολουθεί τουλάχιστον τους κανονισμούς που περιγράφονται στη συνέχεια με λεπτομέρεια, οι οποίοι δημοσιεύθηκαν στις 26 Ιανουαρίου 2005 στην εφημερίδα της κυβερνήσεως.[34], [35] 2.3.2 Κανονισμός για τη Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις Συναφείς Υπηρεσίες και Εφαρμογές Σκοπός του συγκεκριμένου Κανονισμού είναι: Η διασφάλιση του απορρήτου των διαδικτυακών επικοινωνιών. Η ασφάλεια των διαδικτυακών τηλε^κοινωνιακών φορέων και Δημοσίων οργανισμών. Η θέσπιση των υποχρεώσεων των εν λόγω φορέων αναφορικά με την ασφάλεια και το απόρρητο των επικοινωνιών. Ο έλεγχος στους εν λόγω φορείς σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσεις τους. Στις διατάξεις του Κανονισμού εμπίπτουν όλοι οι Τηλεπικοινωνιακοί Φορείς Διαδικτύου και οι Δημόσιοι Οργανισμοί και ιδιαίτερα οι:
Πάροχοι πρόσβαίτης στο Διαδίκτυο (σταθεροί και κινητοί τηλεπικοινωνιακοί πάροχοι, Internet Service Providers κλπ.). Πάροχοι διαδικτυακών υττηρεσιών. Πάροχοι διαδικτυακών υπηρεσιών προστιθέμενης αξίας. Οι οργανισμοί ηλεκτρονικού εμπορίου είναι πάροχοι διαδικτυακών υπηρεσιών, αφού οι ηλεκτρονικές συναλλαγές πραγματοποιούνται μέσω του διαδικτύου. Συνεπώς οι οργανισμοί αυτοί πρέπει να εφαρμόζουν τον συγκεκριμένο Κανονισμό. Η ΑΛΑΕ ελέγχει του οργανισμούς αυτούς για την τήρηση του εν λόγω, και όχι μόνο. Κανονισμού. Στον παρακάτω πινάκα είναι συνοπτικά οι νομοθετικές ρυθμίσεις για την διαφύλαξη των προσωτηκών δεδομένων. Οδηγίες Ευρωπαϊκού Συμβουλίου και Κοινοβουλίου Προστασία του ατόμου από την επεξεργασία Οδηγία 95/46/ΕΚ δεδομένων προσωπικού χαρακτήρα. Οδηγία 2Θ02/58/ΕΚ Προστασία της επεξεργασίας των προσωττικών δεδομένων και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών ετηκοινωνιών. Σύσταση Αρ. R (99) 5 Προστασία της ιδιωτικότητας στο διαδίκτυο. Θεσμικό πλαίσιο Προστασία του ατόμου από την επεξεργασία Νόμος 2472/97 δεδομένων προσωπικού χαρακτήρα Νόμος 3471/Θ6 Α.Λ.Α.Ε. Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Προστασία του απορρήτου των επιστολών, της ελεύθερης επικοινωνίας και της ασφάλειας των δικτύων και των πληροφοριών.
2.4 Συμβουλές Προς Χρήστες Να θυμάστε ότι το Διαδίκτυο δεν είναι ασφαλές. Ωστόσο, υπάρχουν, και διαρκώς αναπτύσσονται, διάφορα μέσα τα οποία σας επιτρέπουν να βελτιώσετε την προστασία των δεδομένων σας. Συνεπώς, να χρησιμοποιείτε όλα τα διαθέσιμα μέσα για την προστασία των δεδομένων και των επικοινωνιών σας, όπως τη νόμιμη κρυπτογράφηση για τα εμπιστευτικού χαρακτήρα ηλεκτρονικά μηνύματά σας καθώς και κωδικούς πρόσβασης για τον προσωπικό σας υπολογιστή. Να θυμάστε ότι κάθε συναλλαγή σας, κάθε επίσκεψή σας στο Διαδίκτυο, αφήνει ίχνη. Αυτά τα «ηλεκτρονικά ίχνη» μπορούν να χρησιμοποιηθούν, εν αγνοία σας, για να διαμορφωθεί ένα προφίλ για το άτομό σας και τα ενδιαφέροντά σας. Αν δεν ετηθυμείτε να συμβεί αυτό, σας παροτρύνουμε να χρησιμοποιείτε τα τελευταία τεχνικά μέσα, τα οποία περιλαμβάνουν τη δυνατότητα ενημέρωσής σας κάθε φορά που αφήνετε ίχνη, ώστε να τα σβήνετε. Μπορείτε επίσης να ζητάτε να ενημερώνεστε για την πολιτική ιδιωτικότητας που ακολουθούν διάφορα προγράμματα και ηλεκτρονικοί τόποι Διαδικτύου και να προτιμάτε εκείνα που καταγράφουν τα λιγότερα δεδομένα ή εκείνα που προσφέρουν πρόσβαση με ταυτόχρονη διατήρηση της ανωνυμίας. Η ανώνυμη πρόσβαση και χρήση υπηρεσιών, καθώς και τα ανώνυμα μέσα εξόφλησης λογαριασμών, αποτελούν την καλύτερη προστασία της ιδιωτικότητάς σας. Αναζητήστε τα τεχνικά μέσα που διασφαλίζουν την ανωνυμία σας όπου χρειάζεται. Η πλήρης ανωνυμία ίσως να μην επιτρέπεται λόγω νομικών περιορισμών. Σε αυτές τις περιπτώσεις και εφόσον επιτρέπεται από τον νόμο, μπορείτε να χρησιμοποιείτε ψευδώνυμο ώστε μόνο ο Παροχέας Υττηρεσιών Διαδικτύου να γνωρίζει την ταυτότητά σας. Να δίνετε στον Παροχέα Υπηρεσιών Διαδικτύου, ή κάθε άλλο πρόσωπο, μόνο τα δεδομένα που είναι απαραίτητα για την εκπλήρωση συγκεκριμένου σκοπού για τον οποίο έχετε ενημερωθεί. Δίνετε ιδιαίτερη προσοχή στους αριθμούς των πιστωτικών καρτών και των τραπεζικών λογαριασμών σας, επειδή η χρήση και η κατάχρηση αυτών στο χώρο του Διαδικτύου ενδεχομένως γίνεται πολύ εύκολα. Να θυμάστε ότι η ηλεκτρονική σας διεύθυνση αποτελεί προσωπικό σας δεδομένο και ότι άλλα πρόσωπα μπορεί να επιθυμούν να το χρησιμοποιήσουν για διαφορετικούς σκοπούς, όπως είναι η εισαγωγή της σε καταλόγους ή σε λίστες χρηστών. Μη διστάζετε να ρωτάτε για το σκοπό του καταλόγου ή άλλης χρήσης. Μπορείτε να ζητήσετε την παράλειψη των στοιχείων σας εφόσον δεν επιθυμείτε να εγγραφείτε σε μια τέτοια λίστα.
Να είστε ετηφυλακτικοί με τόπους Διαδικτύου όπου ζητούνται περισσότερα στοιχεία από όσα είναι απαραίτητα για την πρόσβαση ή την ολοκλήρωση μιας συναλλαγής, ή όταν δεν σας εξηγούν το λόγο για τον οποίο σας ζητούν τόσες πληροφορίες. Να θυμάστε ότι φέρετε πλήρη ευθύνη έναντι του νόμου για την επεξεργασία των δεδομένων, για παράδειγμα, αν φορτώνετε παράνομα στοιχεία από το διαδίκτυο στον υπολογιστή σας ή αντίστροφα, και ότι τα ίχνη σας μπορούν να βρεθούν ακόμα και στην περίπτωση που χρησιμοποιείτε ψευδώνυμο. Μην αποστέλλετε κακόβουλη αλληλογραφία. Μπορεί να στραφεί εναντίον σας και, επιπλέον, να υποστείτε τις συνέπειες του νόμου. Ο Παροχέας Υπηρεσιών Διαδικτύου που χρησιμοποιείτε είναι υπεύθυνος για την ορθή χρήση των δεδομένων που του παρέχετε. Ρωτήστε τον/την τι είδους δεδομένα συλλέγει, επεξεργάζεται και αποθηκεύει, με ποιον τρόπο και για ποιο σκοπό. Να επαναλαμβάνετε την ερώτηση αυτή κατά διαστήματα. Να επιμένετε για την αλλαγή τους αν είναι λανθασμένα ή για τη διαγραφή τους αν είναι υπερβολικά, «ξεπερασμένα» ή περιττά. Να ζητάτε από τον Παροχέα σας να ενημερώνει τρίτους, στους οποίους έχει διαβιβάσει ή κοινοποιήσει τα δεδομένα σας για τυχόν τροποποιήσεις. Αν δεν είστε ικανοποιημένος/η με τον τρόπο με τον οποίο ο Παροχέας σας συλλέγει, χρησιμοποιεί, αποθηκεύει, διαβιβάζει ή κοινοποιεί δεδομένα και αρνείται να αλλάξει τη συμπεριφορά του/της, τότε εξετάστε ενδεχόμενη αλλαγή Παροχέα. Αν τηστεύετε ότι ο Παροχέας σας δεν συμμορφώνεται με τους κανόνες προστασίας δεδομένων, μπορείτε να ενημερώσετε τις αρμόδιες αρχές ή να προβείτε σε ενέργειες σύμφωνα με το νόμο. Να ενημερώνεστε για τους κινδύνους που σχετίζονται με την ασφάλεια και την ιδιωτικότητα στο Διαδίκτυο, καθώς και για τις διαθέσιμες μεθόδους και τεχνικές για τη μείωση αυτών των κινδύνων. Αν σκοπεύετε να στείλετε δεδομένα σε άλλη χώρα, πρέπει να γνωρίζετε ότι ενδέχεται να παρέχεται μικρότερη προστασία εκεί. Αν τα εν λόγω δεδομένα αφορούν εσάς, είστε σαφώς ελεύθερος να τα διαβιβάσετε/κοινοποιήσετε. Ωστόσο, οφείλετε να συμβουλευτείτε, για παράδειγμα, την αρμόδια αρχή στη χώρα σας, προκειμένου να βεβαιωθείτε ότι επιτρέπεται η διαβίβαση δεδομένων, πριν αποστείλετε δεδομένα άλλων προσώπων στο εξωτερικό. Ίσως χρειαστεί να ζητήσετε από τον αποδέκτη να παράσχει τις απαραίτητες εγγυήσεις για την προστασία των δεδομένων.
2.5 Υποχρεώσεις των Παροχών Υπηρεσιών Διαδικτύου. Να ακολουθούν τις κατάλληλες διαδικασίες και να χρησιμοποιούν τις διαθέσιμες τεχνολογίες, κατά προτίμηση όσες συνοδεύονται από πιστοποίηση, προκειμένου να προστατεύσετε την ιδιωτικότητα των ενδιαφερομένων (ακόμα και στην περίπτωση που δεν είναι χρήστες του Διαδικτύου), ιδιαίτερα, όσον αφορά στη διασφάλιση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, καθώς και της φυσικής και λογικής ασφάλειας του δικτύου και των αντιστοίχων παρεχομένων υτιηρεσιών. Να πληροφορούν τους χρήστες για τους κινδύνους, σχετικά με την ιδιωτικότητα, που παρουσιάζονται λόγω χρήσης του Διαδικτύου, προτού ολοκληρώσουν την εγγραφή τους ή αρχίσουν να χρησιμοποιούν τις προσφερόμενες υτιηρεσίες. Οι κίνδυνοι αυτού του είδους μπορεί να αφορούν στην ακεραιότητα και την εμπιστευτικότητα των δεδομένων, στην ασφάλεια του δικτύου ή σε άλλους κινδύνους σχετικά με την ιδιωτικότητα, όπως η κρυφή συλλογή ή καταγραφή δεδομένων. Να πληροφορούν τους χρήστες για τα τεχνικά μέσα τα οποία μπορούν να χρησιμοποιούν νόμιμα προκειμένου να μειώνουν τους κινδύνους για την ασφάλεια των δεδομένων και των επικοινωνιών, όπως είναι η νόμιμα διαθέσιμη κρυπτογράφηση και οι ψηφιακές υπογραφές. Να προσφέρετε τέτοιου είδους τεχνικά μέσα σε τιμή κόστους, όχι σε απαγορευτική τιμή. Προτού αποδεχθούν την εγγραφή και τη σύνδεση χρηστών στο Διαδίκτυο, να τους πληροφορούν για τις δυνατότητες ανώνυμης πρόσβασης, καθώς και για τις δυνατότητες χρήσης και εξόφλησης υπηρεσιών, με τρόπους που παρέχουν τη δυνατότητα διατήρησης της ανωνυμίας, όπως οι προπληρωμένες κάρτες πρόσβασης. Σε περιπτώσεις όπου η πλήρης ανωνυμία ενδεχομένως να μην επιτρέπεται λόγω νομικών περιορισμών, μπορείτε, εφόσον το επιτρέπει ο νόμος, να τους προσφέρετε τη δυνατότητα χρήσης ψευδωνύμων. Να πληροφορείτε τους χρήστες για την ύπαρξη προγραμμάτων τα οποία τους επιτρέπουν την ανώνυμη έρευνα και φυλλομέτρηση ιστοσελίδων στο Διαδίκτυο. Σχεδιάστε το σύστημά σας κατά τέτοιον τρόπο ώστε να παρακάμπτεται ή να ελαχιστοποιείται η χρήση προσωπικών δεδομένων. Μη διαβάζουν, τροποποιούν ή διαγράφουν μηνύματα που έχουν αποσταλεί σε τρίτα πρόσωπα. Μην επιτρέπουν οποιαδήποτε παρεμβολή που αφορά στο περιεχόμενο της επικοινωνίας, εκτός εάν η εν λόγω παρεμβολή προβλέπεται από τον νόμο και εκτελείται από δημόσια αρχή.
Η οτυλλογή, η επεξεργασία και η αποθήκευση δεδομένων των χρηστών είναι θεμιτή μόνο όταν κρίνεται απαραίτητη για σαφείς, συγκεκριμένους και νόμιμους σκοπούς. Μην διαβιβάζουν ή κοινοποιούν δεδομένα εκτός εάν η ετηκοινωνία προβλέπεται από τον νόμο. Μην αποθηκεύουν δεδομένα για χρονικό διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για να επιτευχθεί ο σκοπός της επεξεργασίας. Μην χρησιμοποιούν δεδομένα για ιδιοτελείς σκοπούς προώθησης/πώλησης υττηρεσιών ή/και αγαθών εκτός εάν το ενδιαφερόμενο άτομο έχει ενημερωθεί και δεν έχει εκφράσει αντίρρηση ή, στην περίπτωση της επεξεργασίας δεδομένων κίνησης ή ευαίσθητων δεδομένων, το ενδιαφερόμενο άτομο έχει δώσει τη ρητή συγκατάθεσή του. Φέρουν την ευθύνη για την ορθή χρήση των δεδομένων. Στην εισαγωγική σας σελίδα τονίστε με σαφήνεια τη φράση «Πολιτική ιδιωτικότητας». Η φράση, αντίστοιχα, πρέπει να παραπέμπει σε ιστοσελίδα με αναλυτική επεξήγηση της πρακτικής ιδιωτικότητας που τηρείτε. Να ενημερώνουν τους χρήστες για την ταυτότητά σας, το είδος των δεδομένων που συλλέγουν, επεξεργάζονται και αποθηκεύουν, τον τρόπο, το σκοπό και το χρονικό διάστημα τήρησης των δεδομένων προτού αρχίσουν να χρησιμοποιούν τις υπηρεσίες, κατά τη διάρκεια της ετήσκεψής τους στον τόπο σας και οποτεδήποτε ρωτηθείτε. Εάν είναι απαραίτητο, να ζητάν τη συγκατάθεσή τους. Να διορθώνουν άμεσα ανακριβή δεδομένα κατόπιν αιτήσεως των χρηστών. Να διαγράφουν τα δεδομένα εάν αυτά είναι υπερβολικά, «ξεπερασμένα» ή περιττά και να σταματάνε την εκτέλεση της επεξεργασίας εάν υπάρχουν αντιρρήσεις εκ μέρους των χρηστών. Να ειδοποιούν τα τρίτα πρόσωπα προς τα οποία έχουν διαβιβαστεί ή κοινοποιηθεί τα δεδομένα για τυχόν τροποποιήσεις. Αποφύγετε την κρυφή συλλογή δεδομένων. Οι πληροφορίες που δίνονται στους χρήστες πρέπει να είναι ακριβείς και ενημερωμένες. Η δημοσίευση δεδομένα στον διαδικτυακό σας τόπο μπορεί να καταπατά την ιδιωηκότητα άλλων προσώπων και ενδέχεται να απαγορεύεται από τον νόμο. Επίσης η προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής αποτελεί μια από τις σημαντικότερες παραμέτρους της ανάπτυξης του ηλεκτρονικού εμπορίου. Σε κάθε συναλλαγή ηλεκτρονικού εμπορίου συγκεντρώνονται πληροφορίες για τον πελάτη. Όμως, με την καταγραφή των προσωπικών δεδομένων του πελάτη, που γίνεται κατά εκούσιο τρόπο, ο φορέας παροχής υπηρεσιών έχει αυτόματα δημιουργήσει εικόνα για τα ενδιαφέροντα και τις συνήθειες του πελάτη.
Τότε υπάρχει κίνδυνος να κάνει χρήση των δεδομένων αυτών με οποιοδήποτε τρόπο και για οποιοδήποτε σκοπό. Το πρόβλημα αυτό που συνδέεται με τον κίνδυνο διατάραξης της ιδιωτικής ζωής του κάθε πολίτη, μπορεί να κλονίσει το απαραίτητο κλίμα εμπιστοσύνης για την πραγματοποίηση συναλλαγών στο ηλεκτρονικό εμπόριο. Εντούτοις, στην Οδηγία για το Ηλεκτρονικό Εμπόριο δεν υπάρχει ειδική ρύθμιση για την προστασία των δεδομένων προσωπικού χαρακτήρα, καθώς υπάρχουν ήδη δύο Οδηγίες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα: Η Οδηγία 95/46/ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, και η Οδηγία 97/96/ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα. Τα προσωτηκά δεδομένα και η ιδιωτική ζωή των πολιτών προστατεύονται από την Ευρωπαϊκή Ένωση. Τα στοιχεία των καταναλωτών, που αποθηκεύονται από τους φορείς παροχής υπηρεσιών, στα πλαίσια των συναλλαγών του ηλεκτρονικού εμπορίου είναι προσωτηκά δεδομένα και άρα προστατεύονται από την Ευρωπαϊκή Ένωση μέσω της κοινοτικής Οδηγίας 95/46ΈΚ καθώς και της Οδηγίας 2002/58ΈΚ η οποία έχει τεθεί σε εφαρμογή για την αντικατάσταση της προηγούμενης Οδηγίας 97/96ΈΚ.[33]
3. Ασφάλ ΐα Δικτύων Η ασφάλεια δικτύων και εφαρμογών που είτε έχουν πρόσβαση στο Internet είτε είναι διαδικτυακές εφαρμογές αποτελείται από τα ακόλουθα μέρη [32]: Την φυσική ασφάλεια των εγκαταστάσεων, και του hardware. Την αντιμετώτηση εξωγενούς επιθέσεων. Την διαφύλαξη των προσωπικών δεδομένων και της διακίνησης, πληροφορίας μέσω του δικτυακού τόπου και εφαρμογών. 3.1 Φυσική Ασφάλεια Μερικά από τα μέτρα πρόληψης από επιχειρήσεις είναι η απαγόρευση της φυσικής πρόσβασης σε άτομα που δεν έχουν εξουσιοδότηση, η κάλυψη των καλωδιώσεων δικτύων για την αποφυγή υποκλοπών, η διατήρηση αντιγράφων ασφαλείας και διεργασίες αντιμετώπισης φυσικής καταστροφής, προφύλαξη hardware από υπέρταση, προφύλαξη hardware από στατικό ηλεκτρισμό και μαγνητικά πεδία. 3.2 Εξωγενείς Επιθέσεις Μία επίθεση προκαλεί την παραβίαση των μηχανισμών ασφάλειας, όταν μέσω αυτής, ο (μη εξουσιοδοτημένος) επιτιθέμενος αποκτά πρόσβαση στους μηχανισμούς ελέγχου της πρόσβασης του συστήματος. Η παραβίαση μπορεί να οδηγήσει σε παραβίαση της Εμπιστευτικότητας, Ακεραιότητας ή της Διαθεσιμότητας. Όμως πια είναι τα βασικά κίνητρα τέτοιων επιθέσεων ; Οι λόγοι που οδηγούν κάποια άτομα να εκτελούν επιθέσεις βασίζονται σε κίνητρα που διαφέρουν για τον καθένα και έχουν να κάνουν τόσο με την προσωπικότητα του κάθε επιτιθέμενου, όσο και με το κέρδος που προκύπτει από αυτές τις ενέργειες. Οι πιο συνήθης λόγοι είναι οι παρακάτω; Οικονομικά Κίνητρα Υπάρχουν εταιρίες που στα πλαίσια του ανταγωνισμού με τους αντίπαλούς τους, προσλαμβάνουν επαγγελματίες crackers με σκοπό να εισβάλουν στα συστήματα του ανταγωνιστή και να κατασκοπεύσουν τα σχέδιά του, ή ακόμα και να του προκαλέσουν προβλήματα και καταστροφές. Επίσης υπάρχουν άτομα μεμονωμένα ή και ομάδες που εισβάλλουν σε δίκτυα για να βρουν πιστωτικές κάρτες, τραπεζικούς λογαριασμούς και άλλα
ευαίσθητα στοιχεία από τα οποία θα βγάλουν κέρδος. Τελευταία στο internet εμφανίστηκε ο όρος "identify theft", δηλαδή κλοπή ταυτότητας. Σε μια επίθεση τέτοιου τύπου ο επιτιθέμενος καταφέρνει να πείσει ότι είναι το πρόσωπο που προσποιείται και να εκμεταλλευτεί αυτό το γεγονός. Από κακία ή εκδίκηση Σε αυτήν την περίπτωση ο επιτιθέμενος θέλει να προκαλέσει ζημιά στο στόχο του, συνήθως παίρνοντας με αυτόν τον τρόπο εκδίκηση για κάποιο γεγονός που συνέβη στο παρελθόν και για το οποίο νιώθει ότι αδικήθηκε. Ένα τέτοιο παράδειγμα θα μπορούσε να είναι ένας υπάλληλος μίας εταιρίας που απολύθηκε και θέλει να πάρει εκδίκηση. Για το γόητρο Διεισδύοντας σε δίκτυα που φημίζονται για την ασφάλειας τους προσπαθούν να εντυπωσιάσουν και να διευρύνουν την φήμη τους. Κάτι τέτοιο θα μπορούσε να τους βοηθήσει και στην μετέπειτα επαγγελματική τους καριέρα-από blackhats σε ethical hackers. Από περιέργεια ή χόμπι Είναι αρκετοί που πραγματοποιούν τέτοιου είδους ενέργειες γιατί διακατέχονται από αυξημένη περιέργεια, είτε επειδή θέλουν να μάθουν πως λειτουργούν τα συστήματα και τα δίκτυα και είναι ένας πρακτικός τρόπος για να το καταφέρουν. Σε μερικές περιπτώσεις τέτοια άτομα προκαλούν ζημιά χωρίς απαραίτητα να το ετηδιώκουν. Για πολιτικούς λόγους Τέτοιου είδους δραστηριότητα έχει στόχο κυρίως κυβερνητικούς οργανισμούς, και έχει να κάνει με ιδεολογικά κίνητρα, που οδηγούν σε εκδηλώσεις διαμαρτυρίας ή σε ενέργειες με στόχο να αποκαλύψουν στην κοινωνία περιπτώσεις διαφθοράς. Παρόλο που η διείσδυση του διαδικτύου στη χώρα μας είναι από τις χαμηλότερες στην Ε.Ε., οι συνέπειες της επιταχυνόμενης εφαρμογής του εμφανίζονται ήδη σε πολλά επίπεδα: στις εμπορικές συναλλαγές και τις επιχειρηματικές δραστηριότητες στην εκπαίδευση στην εργασία στη διασκέδασή στις προσωτηκές και οικογενειακές σχέσεις Μερικά από τα μέτρα προφύλαξης από εξωγενείς επιθέσεις είναι η χρήση hardware και software firewalls, η χρήση εξειδικευμένου software προστασίας και η συνεχής επίβλεψη της ασφάλειας των πληροφοριακών συστημάτων.
3.3 Διαφύλαξη Προσωπικών Δεδομένων και Διακίνησης Πληροφο^ Οι βασικές παράμετροι ασφαλείας από τις διεργασίες και τις τεχνικές που εφαρμόζονται με σκοπό την διαφύλαξη των προσωτηκών δεδομένων και την διακίνηση της πληροφορίας είναι: η πιστοποίηση και η εξουσιοδότηση των χρηστών, η διαφύλαξη της ανωνυμίας και της ακεραιότητας των δεδομένων. 3.3.1 Πιστοποίηση Πιστοποίηση των χρηστών είναι η διεργασία με την οποία καθορίζεται αν ο χρήστης είναι αυτός/ή που δηλώνει ότι είναι. Σε κάθε είδους δίκτυα ηλεκτρονικών υπολογιστών και ιδιαίτερα στον Ιστό η τηστοποίηση των χρηστών ετητυγχάνεται συνήθως με την χρήση κωδικών χρηστών και κωδικών πρόσβασης. Η διαδικασία απαιτεί την εγγραφή του χρήστη από τον ίδιο ή από κάποιον άλλον (για λογαριασμό του χρήστη). Κατά την εγγραφή αποθηκεύονται προσωπικές πληροφορίες του χρήστη όπως όνομα, τόπος κατοικίας, ενδιαφέροντα κτλ, και στην συνέχεια αποδίδεται ή διαλέγεται ο κωδικός χρήστη και ο κωδικός πρόσβασης. Σε κάθε επόμενη χρήστη του δικτυακού τόπου ο χρήστης πρέπει να τηστοποιήσει τον εαυτό του με την επαλήθευση των κωδικών. Η αδυναμία του παραπάνω τρόπου πιστοποίησης χρηστών είναι ότι προϋποθέτει την σωστή φύλαξη των κωδικών πρόσβασης από τους ίδιους τους χρήστες. Πολλές φορές οι κωδικοί χάνονται, υποκλέπτονται, ή δημοσιοποιούνται από λάθος του χρήστη. Για τον παραπάνω λόγω, πολλές υπηρεσίες ηλεκτρονικού επιχειρείν απαιτούν πιο εξειδικευμένους τρόπους πιστοποίησης απαιτώντας την χρήση ψηφιακών πιστοποιητικών που έχουν πιστοποιηθεί από κάποια Αρχή Εξουσιοδότησης (Certificate Authority - CA). 3.3.2 Εξουσιοδότηση Η εξουσιοδότηση των χρηστών είναι η διεργασία κατά την οποία αποδίδονται δικαιώματα χρήσης και πρόσβασης δικτυακών τόπων, αρχείων, εφαρμογών και πόρων συστήματος. Προϋποθέτει ότι κάποιος Διαχειριστής έχει καθορίσει στο σύστημα τα δικαιώματα πρόσβασης και χρήσης των πόρων του (πχ πρόσβαση σε αρχεία, ώρες πρόσβασης, χώρος αποθήκευσης). Η διεργασία της εξουσιοδότησης ακολουθεί την διεργασία της πιστοποίησης και καθορίζει τα περαιτέρω δικαιώματα πρόσβασης των χρηστών.
3.3.3 Ιδιωτικότητα Η Ιδιωτικότητα στο Internet μπορεί να διαχωριστεί στις παρακάτω κατηγορίες ανάλογα με ποια προσωπική πληροφορία μπορεί να μοιραστεί και με ποιον, αν τα μηνύματα μπορούν να ανταλλαχθούν μεταξύ χρηστών χωρίς να έχουν πρόσβαση τρίτοι, αν και πώς κάποιος μπορεί να στείλει μηνύματα ανώνυμα Ιδιωτικότητα Προσωπικών Δεδομένων Οι περισσότεροι χρήστες του Internet θέλουν να είναι σίγουροι ότι τα προσωπικά τους δεδομένα δεν θα κοινοποιηθούν σε τρίτους χωρίς την άδειά τους. Μία ετήσια έρευνα από την Graphics, Visualization and Usability Center του Ινστιτούτου Τεχνολογίας της Georgia έδειξε ότι το 70% από τους χρήστες του Internet που ρωτήθηκαν ανησυχούσαν για την ιδιωτικότητα των δεδομένων τους και για τον λόγο αυτό απέφευγαν να εγγραφούν σε δικτυακούς τόπους. Το 86% εκφράσανε την επιθυμία να έχουν την δυνατότητα να ελέγχουν τα προσωπικά τους δεδομένα. Μία άλλη μελέτη από την TRUSTe φανέρωσε ότι το 78% των χρηστών που ρωτήθηκαν θα ήταν λιγότερο επιφυλακτικοί να κοινοποιήσουν προσωπικά τους δεδομένα σε δικτυακούς τόπους οι οποίοι παρείχαν πιστοποιημένη ασφάλεια προσωπικών δεδομένων. Το World Wide Web Consortium s Platform for Personal Privacy Project (P3P) προσφέρει συγκεκριμένες συστάσεις για πρακτικές που θα επιτρέψουν σε χρήστες να ορίσουν και να μοιραστούν προσωπικά δεδομένα με δικτυακούς τόπους στους οποίους επιθυμούν να τα κοινοποιήσουν. Το Ρ3Ρ συμπεριλαμβάνει μερικά από προτάσεις όπως το Open Profiling Standard (OPS). Χρησιμοποιώντας λογισμικό που είναι σύμφωνο με τις προτάσεις του Ρ3Ρ οι χρήστες θα μπορούν να δημιουργήσουν προσωπικά προφίλ ολόκληρα ή εν μέρει μπορούν να χρησιμοποιηθούν από δικτυακούς τόπους ανάλογα με την επιθυμία των χρηστών. Ένα εργαλείο το οποίο θα βοηθήσει έναν χρήστη να αποφασίσει αν θα εμπιστευθεί έναν δικτυακό τόπο με τα προσωπικά του δεδομένα είναι η Δήλωση Πολιτικής Ιδιωτικότητας την οποία ένας δικτυακός τόπος κοινοποιεί.
Ιδιωτικότητα Μηνυμάτων Στο Internet η ιδιωτικότητα μηνυμάτων, ειδικά για συναλλαγές ηλεκτρονικού επιχειρείν απαιτούν κρυπτογράφηση. Η τηο κοινή προσέγγιση είναι μέσω Public Key Infrastructure (ΡΚΙ). Για επικοινωνία μέσω ηλεκτρονικού ταχυδρομείου είναι σύνηθες να χρησιμοποιείτε το Pretty Good Privacy (PGP), το οποίο επιτρέπει σε χρήστες να κρυπτογραφεί ένα μήνυμα ή απλά να στέλνει μία ψηφιακή υπογραφή που μπορεί να χρησιμοποιηθεί για να αποδειχθεί ότι το μήνυμα δεν έχει μεταβληθεί κατά την αποστολή του. Ανωνυμία Η ανωνυμία αποτελεί έννοια ιδιαίτερης σημασίας στα σύγχρονα ψηφιακά περιβάλλοντα. Στη γενική περίπτωση, σε περιβάλλον απλής πλοήγησης στον ιστό, αλλά κυρίως σε υπηρεσίες ηλεκτρονικού επιχειρείν και ηλεκτρονικής διακυβέρνησης πρέπει να μπορεί να διασφαλιστεί η ανωνυμία, δηλαδή η δυνατότητα ενός χρήστη να μην αποκαλύπτεται η ταυτότητά του χωρίς τη σύμφωνη γνώμη του, εκτός βεβαίως από τις περιπτώσεις που αυτό απαιτηθεί ύστερα από σχετική δικαστική εντολή. Η ιδιωτικότητα μπορεί να θεωρηθεί ως το δικαίωμα ελέγχου των τρόπων και των μεθόδων με τους οποίους μια πληροφορία που σχετίζεται με ένα φυσικό πρόσωπο αποκτάται, κατανέμεται, διαμοιράζεται και χρησιμοποιείται από άλλες οντότητες. Υπάρχουν περιπτώσεις που ο χρήστης δεν επιθυμεί να αποκαλύψει την ταυτότητά του (πχ κατά την αναφορά ενός εγκλήματος). Ένας τρόπος για να ετητευχθεί η ανωνυμία του αποστολέα είναι με την χρήση ενός δικτυακού τόπου ο οποίος προωθεί το μήνυμα από την δική του διεύθυνση. Περαιτέρω λεπτομέρειες και τεχνικές ανωνυμίας θα αναλυθούν στην συνέχεια. 3.3.4 Ακεραιότητα Ακεραιότητα όσον αφορά την ασφάλεια δεδομένων είναι η διαβεβαίωση ότι η πληροφορία μπορεί να γίνει προσβάσιμη ή να μεταβληθεί μόνο από χρήστες που έχουν το δικαίωμα να το κάνουν. Μέτρα που μπορούν να παρθούν για την προστασία της ακεραιότητας των δεδομένων είναι η απαγόρευση της πρόσβασης σε δεδομένα, η διατήρηση επίπεδα εξουσιοδότησης χρηστών και η χρησιμοποίηση πολύπλοκων μεθόδων πιστοποίησης.
3.4 Firewalls Τα δίκτυα των οργανισμών, ετηχειρήσεων αλλά και τα οικιακά συνδέονται με το διαδίκτυο για την πραγματοποίηση των ηλεκτρονικών συναλλαγών. Όπως αναφέρθηκε παραπάνω, αυτό εγκυμονεί κινδύνους, αφού οι χρήστες του διαδικτύου μπορούν να προσεγγίσουν τις ιδιωτικές πληροφορίες του οργανισμού. Για έναν οργανισμό ηλεκτρονικού εμπορίου είναι πολύ σημαντικό να μπορεί να διαφυλάξει τα προσωπικά δεδομένα των πελατών του από μη εξουσιοδοτημένη πρόσβαση. Είναι ετηθυμητό να υπάρχει ένα είδος διαχωρισμού ανάμεσα στο δίκτυο του οργανισμού και το διαδίκτυο. Η παρεμβολή ενός ενδιάμεσου συστήματος ανάμεσα στα δύο δίκτυα θα μπορούσε να τα διαχωρίσει. Ένα τέτοιο ενδιάμεσο σύστημα θα προστατεύει το ιδιόκτητο δίκτυο από επιθέσεις που προέρχονται από τον έξω κόσμο και θα παρέχει ένα μοναδικό σημείο ελέγχου, όπου θα ελέγχεται η κίνηση από και προς το δίκτυο. Επιπλέον το ενδιάμεσο αυτό σύστημα θα μπορούσε να χρησιμοποιηθεί και για συλλογή πληροφοριών διαχείρισης για χρήση του δικτύου, αφού μπορεί να καταγράφει οτιδήποτε διακινείται από ή προς το δίκτυο. Αυτά τα ενδιάμεσα συστήματα ονομάζονται φράγματα ασφαλείας (firewalls). Firewall είναι ένας μηχανισμός που χρησιμοποιείται για να ελέγχει την πρόσβαση από και προς το ιδιόκτητο δίκτυο με απώτερο σκοπό την προστασία του δικτύου. Λειτουργεί σαν μια ττύλη από την οποία περνάει όλη η κίνηση δεδομένων από και προς το εξωτερικό δίκτυο. Στην πύλη εξετάζεται και αποφασίζεται αν θα επιτραπεί ή όχι η διέλευση των δεδομένων, σύμφωνα με την πολιτική ασφάλειας που εφαρμόζει ο οργανισμός του συστήματος. Το firewall δεν είναι απλώς ένα σύνολο συνιστωσών λογισμικού ή υλικού, αλλά η τεχνική έκφραση μιας συγκεκριμένης στρατηγικής προστασίας των πόρων ενός οργανισμού. Ένα firewall είναι ουσιαστικά ένα «τείχος» ασφάλειας μεταξύ του μη ασφαλούς δημόσιου δικτύου και του ιδιόκτητου δικτύου που θεωρείται ασφαλές και αξιότηστο. Το πιο δύσκολο κομμάτι για την υλοποίηση του firewall είναι η εύρεση των κριτηρίων που θα προσδιορίσουν ποια πακέτα επιτρέπεται και ποια όχι να περάσουν στο «απέναντι» δίκτυο. Ένα firewall δεν μπορεί να λειτουργήσει σωστά, ανεξαρτήτως του πως έχει σχεδιαστεί ή υλοποιηθεί, εάν δεν έχει καθοριστεί μια σαφής πολιτική ασφάλειας. Το firewall που λειτουργεί σωστά υλοποιεί και ενισχύει την πολιτική ασφάλειας που βρίσκεται κάθε φορά σε ισχύ και πρέπει να είναι συγκεκριμένη και σαφής. Το firewall αποτελεί την πρώτη γραμμή άμυνας
του οργανισμού απέναντι στους ετιίδοξους εισβολείς, αλλά ποτέ τη μοναδική. Η χρήση ενός φράγματος ασφάλειας δεν αποτελεί πανάκεια για την ασφάλεια του δικτύου. Όπως όλα τα συστήματα ασφάλειας μπορεί να παραβιαστεί από κάποιον ικανό εισβολέα. Επιπλέον το firewall αλληλεπιδρά με το διαδίκτυο και χρειάζεται ιδιαίτερη προσοχή στην εγκατάσταση του και την σωστή διαμόρφωσή του. 3.4.1 Η Αναγκαιότητα Χρήσης των Firewalls Σε ένα περιβάλλον χωρίς firewalls η δικτυακή ασφάλεια αποτελεί αποκλειστικά μέριμνα του κάθε σταθμού ξεχωριστά και όλοι οι σταθμοί πρέπει να συνεργάζονται ώστε να παρέχουν ένα ομοιόμορφα υψηλό επίπεδο ασφάλειας. Όσο πιο μεγάλο είναι το δίκτυο, τόσο πιο δύσκολα επιτυγχάνεται η διατήρηση όλων των σταθμών σε υψηλά επίπεδα ασφάλειας. Εξαιτίας της πολυπλοκότητας του δικτύου, τα λάθη και οι παραλήψεις στην ασφάλεια είναι συχνό φαινόμενο, με αποτέλεσμα να δημιουργούνται «οπές» ασφάλειας πς οποίες μπορούν να ανακαλύψουν και να εκμεταλλευτούν οι εισβολείς. Τα firewalls έχουν σχεδιαστεί έτσι ώστε να παρέχουν προηγμένες λειτουργίες παρακολούθησης και καταγραφής και η διαχείριση τους να είναι σχετικά εύκολή.[36] 3.4.2 Ζητήματα Σχεδίασης των Firewalls. Η υλοποίηση ενός firewall δεν αποτελεί τετριμμένο θέμα και δεν παρέχεται ενσωματωμένη σε κανένα λειτουργικό σύστημα. Ό λόγος είναι ότι ένα firewall αποτελεί περισσότερο φιλοσοφία προστασίας και λιγότερο υλικό και λογισμικό που παρέχει πλήρη προστασία από κάθε εξωτερική απειλή. Υπάρχει μια αντίληψη ότι το firewall εξασφαλίζει την πλήρη προστασία ενός δικτύου απέναντι σε κάθε είδους απειλή η οποία είναι τελείως λανθασμένη και μπορεί να οδηγήσει το διαχειριστή ασφάλειας ενός οργανισμού στην καταστροφική άποψη ότι με την εγκατάσταση ενός firewall είναι εγγυημένη η ασφάλεια του εσωτερικού δικτύου του οργανισμού την οποία διαχειρίζεται. Η εγκατάσταση ενός firewall αποτελεί σημαντική σχεδιαστική απόφαση για τους παρακάτω λόγους: Η εγκατάσταση ενός firewall επιφέρει καθυστέρηση στο χρόνο απόκρισης των προγραμμάτων που υλοποιούν τις υπηρεσίες που παρέχει η ιστοθέση.