Δίκαιο Πληροφοριακών Συστημάτων

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα Δίκαιο Πληροφοριακών Συστημάτων Ενότητα: Προστασία και άρση του απορρήτου Γεώργιος Πρεζεράκος Τμήμα ΗΥΣ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Σκοποί ενότητας Παρουσίαση της ΑΔΑΕ και του νομοθετικού πλαισίου της λειτουργίας της Κατανόηση του εθνικού νομοθετικού πλαισίου για την προστασία και άρση του απορρήτου Συζήτηση για τα μέτρα και τις διαδικασίες που απορρέουν από τους κανονισμούς της ΑΔΑΕ. 4

Περιεχόμενα ενότητας 1. Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) 2. Προστασία & Άρση του Απορρήτου Ι 3. Προστασία & Άρση του Απορρήτου ΙΙ 4. Γνωμοδοτήσεις 5. Κανονισμοί της ΑΔΑΕ 6. Διαδικασίες Ελέγχου 5

ΑΔΑΕ

Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών Σύσταση της Αρχής βάσει του Ν. 3115/2003 Εκπλήρωση συνταγματικής επιταγής Άρθρο 19 του Συντάγματος Η ΑΔΑΕ λειτουργεί από 1/8/2003. 7

Σκοπός της ΑΔΑΕ (1/2) Άρθρο 19 παραγρ.1 του Συντάγματος «το απόρρητο της κάθε είδους επικοινωνίας είναι απόλυτα κατοχυρωμένο και ότι η άρση του επιτρέπεται μόνο σε συγκεκριμένες περιπτώσεις» Λόγοι εθνικής ασφάλειας Διακρίβωση ιδιαιτέρως σοβαρών εγκλημάτων Ν. 2225/94 «Για την προστασία της ελευθερίας της ανταπόκρισης και επικοινωνίας και άλλες διατάξεις» μέτρα για την διασφάλιση της επικοινωνίας κυρώσεις σε περίπτωση παραβιάσεων ακολουθητέα διαδικασία για τις περιπτώσεις άρσης απορρήτου. 8

Σκοπός της ΑΔΑΕ (2/2) Άρθρο 1 Ν.3115/2003 «με σκοπό την προστασία του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας με οποιονδήποτε άλλο τρόπο.» «Στην έννοια της προστασίας του απορρήτου περιλαμβάνεται και ο έλεγχος της τήρησης των όρων και της διαδικασίας άρσης του απορρήτου.» 9

Αρμοδιότητες της ΑΔΑΕ (1/4) Άρθρο 6, Ν.3115/2003 Διενέργεια ελέγχων, με σκοπό την προστασία του απορρήτου επιστολών και επικοινωνιών. Οι έλεγχοι μπορεί να διενεργούνται αυτεπαγγέλτως ή κατόπιν καταγγελίας Τακτικοί και έκτακτοι έλεγχοι Αφορούν εγκαταστάσεις, τεχνικό εξοπλισμό, αρχεία, βάσεις δεδομένων 10

Αρμοδιότητες της ΑΔΑΕ (2/4) Παραδείγματα εποπτευόμενων φορέων: Δημόσιες υπηρεσίες Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) Ιδιωτικές επιχειρήσεις που έχουν ως γενικό αντικείμενο την επικοινωνία όπως, Εταιρίες σταθερής / κινητής τηλεφωνίας, πάροχοι διασύνδεσης στο διαδίκτυο, πάροχοι υπηρεσιών κτλ Εκδίδει κανονιστικές πράξεις που ρυθμίζουν λεπτομερώς τις υποχρεώσεις των εποπτευόμενων από την ΑΔΑΕ φορέων Δημοσιεύονται στην Εφημερίδα της Κυβέρνησης 11

Αρμοδιότητες της ΑΔΑΕ (3/4) Άρθρο 6, Ν.3115/2003 Εξετάζει καταγγελίες σχετικά με την προστασία των δικαιωμάτων των αιτούντων, όταν θίγονται από τον τρόπο και τη διαδικασία άρσης του απορρήτου Καλεί σε ακρόαση τους εποπτευόμενους δημόσιους φορείς, υπηρεσίες, εταιρίες και κάθε άλλο πρόσωπο που ενδέχεται να συμβάλει στην εκπλήρωση της αποστολής της Προβαίνει σε κατάσχεση μέσων παραβίασης του απορρήτου, καταστροφή στοιχείων που έχουν καταγραφεί παράνομα. Εποπτεύει τη λειτουργία και οργάνωση των υπηρεσιών ταχυδρομείων 12

Αρμοδιότητες της ΑΔΑΕ (4/4) Άρθρο 9, Ν.3115/2003 Εγγύηση και διασφάλιση της άρσης του απορρήτου των επικοινωνιών σε συνεργασία με τα αρμόδια Υπουργεία ρυθμίζονται οι διαδικασίες, καθώς και οι τεχνικές και οργανωτικές εγγυήσεις για την άρση του απορρήτου, μετά από αρμόδια δικαστική και εισαγγελική έγκριση Καθορισμός στοιχείων στα οποία επιτρέπεται η πρόσβαση Τεχνικές μέθοδοι πρόσβασης Υποχρεώσεις παρόχων επικοινωνίας Τεχνικές λήψης, αναπαραγωγής, μεταβίβασης στοιχείων Εγγυήσεις για χρήση και καταστροφή τους Άλλες λεπτομέρειες της διαδικασίας 13

Προστασία & Άρση του Απορρήτου Ι ΠΔ 47-10/03/2005 Ν. 2225/1994 Ν. 3115/2003

Εισαγωγή (1/2) Το Προεδρικό Διάταγμα 47/10-3-2005 ορίζει τις διαδικασίες καθώς και τις τεχνικές και οργανωτικές εγγυήσεις για την άρση του απορρήτου των επικοινωνιών και τη διασφάλισή του. 15

Εισαγωγή (2/2) Η άρση του απορρήτου πραγματοποιείται μόνο στο βαθμό που δε θίγεται η ιδιωτική ζωή και η προσωπικότητα του πολίτη, παρά μόνο στο μέτρο και για όσο χρονικό διάστημα είναι απολύτως αναγκαίο, χάριν της προστασίας της εθνικής ασφάλειας, της διακρίβωσης εγκλημάτων όπως προβλέπει η σχετική νομοθεσία και των εν γένει ατομικών δικαιωμάτων και ελευθεριών. 16

Ορισμοί Διάταξη Άρσης Απορρήτου Η απόφαση για άρση του απορρήτου που εκδίδεται από Δικαστική Αρχή Αρμόδια Αρχή Η Δικαστική ή άλλη δημόσια αρχή, η οποία δικαιούται να υποβάλει αίτηση για άρση του απορρήτου Πάροχος Η επιχείριση η οποία παρέχει υπηρεσίες επικοινωνιών διαθέσιμες στο κοινό ή η επιχείριση η οποία εγκαθιστά, λειτουργεί, ελέγχει ή διαθέτει δίκτυο που παρέχει υπηρεσίες επικοινωνιών 17

Αδικήματα (1/4) Σύμφωνα με τον Ν. 2225/1994 (με τις ανανεώσεις και τις τροποποιήσεις του) άρση του απορρήτου επιτρέπεται μόνο για Λόγους εθνικής ασφάλειας Συγκεκριμένες κακουργηματικές πράξεις του Ποινικού Κώδικα 18

Αδικήματα (2/4) εσχάτη προδοσία (άρθρο 134 Π.Κ.) διάδοση εγγράφων, εικόνων ή παραστάσεων ή συνωμοσία με σκοπό την εσχάτη προδοσία (άρθρο 135 1-2 Π.Κ.) απόπειρα δολοφονίας πρωθυπουργού, προέδρου της βουλής, αναπληρωτών τους, προέδρου κοινοβουλευτικού κόμματος (άρθρο 134Α Π.Κ.) βασανιστήρια και άλλες προσβολές της ανθρώπινης αξιοπρέπειας (άρθρα 137Α Π.Κ., 137Β Π.Κ.) επιβουλή της ακεραιότητας της χώρας (άρθρο 138 Π.Κ.) προσβολή εναντίον της διεθνούς ειρήνης της χώρας (άρθρο 139 Π.Κ.) προδοσία της χώρας (άρθρο 140 Π.Κ.) στρατιωτική υπηρεσία στον εχθρό (άρθρο 143 Π.Κ.), υποστήριξη πολεμικής δύναμης του εχθρού (άρθρο 144 Π.Κ.) παραβίαση μυστικών της πολιτείας (άρθρο 146 Π.Κ.) κατασκοπεία που θέτει σε κίνδυνο τη χώρα ή σύμμαχο (άρθρο 148 2 Π.Κ.) νόθευση ή καταστροφή εγγράφων του κράτους (άρθρο 150 Π.Κ.) 19

Αδικήματα (3/4) κατάχρηση πληρεξουσιότητας του κράτους (άρθρο 151 Π.Κ.) βία κατά πολιτικών σωμάτων και της κυβέρνησης (άρθρο 157 Π.Κ.) προσβολές κατά του Προέδρου της Δημοκρατίας (άρθρο 168 Π.Κ.) εγκληματική οργάνωση (άρθρο 187 1-2 Π.Κ.) πρόσκληση σε συνεισφορά για χρηματικές ποινές (άρθρο 207 Π.Κ.) σύσταση ένοπλης ομάδας (άρθρο 208 Π.Κ.) εμπρησμός που μπορεί να οδηγήσει σε ή είχε αποτέλεσμα το θάνατο (άρθρο 264 περ. β - γ Π.Κ.) έκρηξη (άρθρο 270 Π.Κ.) παραβάσεις σχετικές με τις εκρηκτικές ύλες (άρθρο 272 Π.Κ.) καταστροφή προστατευτικών εγκαταστάσεων που μπορεί να οδηγήσει σε ή είχε αποτέλεσμα θάνατο (άρθρο 275 β -γ Π.Κ.) διατάραξη μετακίνησης με τρένο, πλοίο, αεροσκάφος που μπορεί να οδηγήσει σε ή είχε αποτέλεσμα θάνατο (άρθρο 291 Π.Κ.) ανθρωποκτονία με πρόθεση (άρθρο 299 Π.Κ.) αρπαγή (άρθρο 322 Π.Κ.) αρπαγή ανηλίκων (άρθρο 324 Π.Κ.) 20

Αδικήματα (4/4) διακεκριμένες περιπτώσεις κλοπής (άρθρο 374 Π.Κ.) ληστεία (άρθρο 380 Π.Κ.) εκβίαση (άρθρο 385 Π.Κ.) παραχάραξη νομίσματος κακουργήματα σχετικά με το εμπόριο όπλων κακουργήματα σχετικά με τα ναρκωτικά κακουργήματα σχετικά με τα τελωνεία κακουργήματα σχετικά με τις πληροφορίες κεφαλαιαγοράς. Παιδική Πορνογραφία (Ν.3666/2008); Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας; 21

Είδη Επικοινωνίας (1/2) Η άρση του απορρήτου δεν αφορά τη δια ζώσης επικοινωνία Αφορά κάθε είδους επικοινωνία, η οποία διαξάγεται μέσω δικτύου επικοινωνίας ή παρόχου υπηρεσιών επικοινωνιών 22

Είδη Επικοινωνίας (2/2) Επιστολογραφία Τηλετυπική Επικοινωνία Τηλεφωνική Επικοινωνία Επικοινωνία μέσω δικτύων δεδομένων Επικοινωνίες μέσω Διαδικτύου Ασύρματη Επικοινωνία Δορυφορική Επικοινωνία Επικοινωνία μέσω μισθωμένων κυκλωμάτων Υπηρεσίες Προστιθέμενης Αξίας Συνδυασμός των παραπάνω 23

Υπηρεσίες Προστιθέμενης Αξίας Ενδεικτικά: Αυτόματος τηλεφωνητής Γραπτά μηνύματα (SMS/MMS) Ηλεκτρονικό ταχυδρομείο Πρόσβαση σε ιστοσελίδες Ηλεκτρονικές συναλλαγές Πολύ συχνά, διαφοροποιείται ο πάροχος πρόσβασης από τον πάροχο της υπηρεσίας 24

Στοιχεία Επικοινωνίας (1/2) Εφόσον τηρούνται όλες οι νόμιμες προϋποθέσεις, διάφορα στοιχεία είναι δυνατόν να ζητούνται από τους παρόχους, σε μία διάταξη άρσης του απορρήτου. Ενδεικτικά αναφέρονται: Τηλεφωνική επικοινωνία Καλών και καλούμενος αριθμός κλήσης, συνδρομητής και πελάτης, ακόμα και στις αναπάντητες κλήσεις Ώρα έναρξης και λήξης της επικοινωνίας Γεωγραφικός εντοπισμός καλούντος και καλούμενου Περιεχόμενο επικοινωνίας... 25

Στοιχεία Επικοινωνίας (2/2) Επικοινωνίες μέσω διαδικτύου Επισκεπτόμενες διευθύνσεις Χρησιμοποιούμενες υπηρεσίες Ανταλλαγή αρχείων μέσω π.χ. FTP Υπηρεσίες προστιθέμενης αξίας Φωνητικά μηνύματα αυτόματου τηλεφωνητή Στοιχεία και περιεχόμενο μηνυμάτων FAX, SMS/MMS Περιεχόμενο, διευθύνσεις αποστολέων και παραληπτών μηνυμάτων ηλεκτρονικού ταχυδρομείου Αριθμοί πιστωτικών καρτών, τραπεζικών λογαριασμών, στοιχεία συναλλασσομένων προσώπων σε ηλεκτρονικές συναλλαγές... 26

Ειδικές Περιπτώσεις (1/2) Αριθμοί κλήσης εκτός δημοσίων καταλόγων Η αρμόδια αρχή λαμβάνει γνώση από τον πάροχο Φορητότητα αριθμών κλήσης Η αρμόδια αρχή απευθύνεται στο φορέα που διαθέτει τη σχετική βάση δεδομένων Εκτροπή κλήσης Στην περίπτωση της εκτροπής σε αριθμό του ίδιου παρόχου, η διάταξη αφορά και το νέο αριθμό Στην περίπτωση άλλου παρόχου, πραγματοποιείται ενημέρωση της αρμόδιας αρχής, η οποία εκδίδει νέα διάταξη για τον άλλο πάροχο 27

Ειδικές Περιπτώσεις (2/2) Περιαγωγή Η καταγραφή του περιεχομένου της επικοινωνίας είναι δυνατή μόνο με τη συνεργασία του παρόχου του εξωτερικού Ωστόσο, οι καλούμενοι και καλούντες αριθμοί κλήσης και ο χρόνος καταγράφονται Συνδρομητικά κέντρα και Ιδιωτικά Δίκτυα Η αρμόδια αρχή μεριμνά και εξασφαλίζει τη συνεργασία του ιδιοκτήτη Τηλεκάρτες ή κάρτες ανανέωσης χρόνου ομιλίας Εξατομίκευση των καρτών, εφόσον προβλέπεται Ανάλυση επικοινωνιών που διεξάγονται από κοινόχρηστες παροχές 28

Ειδικές Περιπτώσεις Υπηρεσιών Διαδικτύου Όταν από την ίδια σύνδεση μέσω LAN ή VPN εξυπηρετούνται περισσότεροι του ενός χρήστες, ο εντοπισμός κάθε χρήστη γίνεται με ανάλυση των διεξαγομένων επικοινωνιών, σε συνεργασία με τον πάροχο Σε περίπτωση εξυπηρέτησης χρήστη από πάροχο υπηρεσίας Internet του εξωτερικού (π.χ. για e-mail), η εκτέλεση της διάταξης πραγματοποιείται με παρακολούθηση και ανάλυση των πακέτων IP Για την περίπτωση του κρυπτογραφημένου περιεχομένου: Η αρμόδια αρχή επιτρέπεται να έχει πρόσβαση στα απαραίτητα δημόσια ή ιδιωτικά κλειδιά Οι Πάροχοι Υπηρεσιών Πιστοποίησης είναι υποχρεωμένοι να συνεργάζονται με την αρμόδια αρχή 29

Απαραίτητος εξοπλισμός (1/2) Οι πάροχοι είναι υποχρεωμένοι να διαθέτουν τον απαραίτητο εξοπλισμό ή/και λογισμικό για την άρση του απορρήτου Σε περιπτώσεις αναβάθμισης ή τροποποίησης των υφιστάμενων συστημάτων/υπηρεσιών, οι πάροχοι πρέπει να φροντίζουν για την ανάλογη αναβάθμιση του απαραίτητου εξοπλισμού ή/και λογισμικού για την άρση του απορρήτου 30

Απαραίτητος εξοπλισμός (2/2) Σε περιπτώσεις μη ύπαρξης του απαραίτητου εξοπλισμού, πρέπει να ενημερώνεται η ΑΔΑΕ Τα απαραίτητα μισθωμένα κυκλώματα για την άρση του απορρήτου εξασφαλίζονται από την αρμόδια αρχή, η οποία αναλαμβάνει και το σχετικό κόστος Εφόσον είναι διαθέσιμος ο απαραίτητος εξοπλισμός, ο πάροχος υποχρεούται να τον ενεργοποιεί μέσα σε τρεις ώρες από τη γνωστοποίηση της διάταξης 31

Μέσα και Μέθοδοι (1/6) Η διάταξη που επιβάλλει την άρση του απορρήτου, προσδιορίζει τις συγκεκριμένες μορφές και τα στοιχεία επικοινωνίας στα οποία αναφέρεται η άρση και εξατομικεύει τα στοιχεία αυτά Η εκτέλεση μιας διάταξης για άρση του απορρήτου πραγματοποιείται με τη συνεργασία του παρόχου και της αρμόδιας αρχής 32

Μέσα και Μέθοδοι (2/6) Την ευθύνη για την εκτέλεση μιας διάταξης για άρση του απορρήτου έχει η αρμόδια αρχή Σε περίπτωση που ζητείται καταγραφή του περιεχομένου της επικοινωνίας για συγκεκριμένο διάστημα, πραγματοποιείται: Στις εγκαταστάσεις της αρμόδιας αρχής με επισύνδεση μέσω μισθωμένου κυκλώματος, ή Με άλλο κατάλληλο τρόπο με ταυτόχρονη διαβίβαση του περιεχομένου και των στοιχείων της επικοινωνίας στην αρμόδια αρχή 33

Μέσα και Μέθοδοι (3/6) Σε περίπτωση που ο πάροχος δεν μπορεί να παραδώσει αμέσως τα στοιχεία επικοινωνίας στην αρμόδια αρχή, αποθηκεύονται με μέριμνα του παρόχου και για χρονικό διάστημα έως επτά ημέρες Ο πάροχος πρέπει να παρέχει τη δυνατότητα πολλαπλής και ταυτόχρονης διάθεσης στα στοιχεία επικοινωνίας από περισσότερες της μίας αρμόδιας αρχής 34

Μέσα και Μέθοδοι (4/6) Η εκτέλεση της διάταξης και η διαβίβαση των στοιχείων στην αρμόδια αρχή πρέπει να γίνονται με τρόπο τέτοιο, ώστε να εξασφαλίζεται αξιοπιστία, εγκυρότητα, ακρίβεια, ταχύτητα και ασφάλεια Στη διαδικασία εκτέλεσης της διάταξης πρέπει να εμπλέκεται ο ελάχιστος αναγκαίος αριθμός προσώπων Τα χρησιμοποιούμενα μέσα για την εκτέλεση μίας διάταξης διατίθενται από τον πάροχο, τον οποίο βαρύνει το σχετικό κόστος 35

Μέσα και Μέθοδοι (5/6) Σε περίπτωση που τα διατιθέμενα στοιχεία απαιτείται να υποβληθούν σε ειδική επεξεργασία, η εργασία αυτή πραγματοποιείται κατά περίπτωση, είτε από την αρμόδια αρχή είτε από τον πάροχο Σε περίπτωση που η επεξεργασία από τον πάροχο συνεπάγεται κόστος, αυτό καταβάλλεται από την αρμόδια αρχή 36

Μέσα και Μέθοδοι (6/6) Σε περίπτωση που για την εκτέλεση μίας διάταξης απαιτείται ειδική διαδικασία ή εξοπλισμός ή επιπρόσθετα στοιχεία, ο πάροχος ενημερώνει την αρμόδια αρχή, προκειμένου να αντιμετωπιστούν τα σχετικά προβλήματα Σε περίπτωση που κάποια διάταξη δεν είναι δυνατόν να εκτελεστεί για τεχνικούς ή άλλους λόγους, ο πάροχος πρέπει να δικαιολογήσει πλήρως την αδυναμία στην αρμόδια αρχή και την ΑΔΑΕ, με σχετικό έγγραφο 37

Υποχρεώσεις των Παρόχων (1/4) Η άμεση ανταπόκριση σε κάθε αίτημα για άρση του απορρήτου Η συνεργασία με τις αρμόδιες αρχές για την παροχή των τεχνικών πληροφοριών που αφορούν στη μεταξύ τους διασύνδεση προκειμένου να παραγματοποιείται η απρόσκοπτη και ακριβής εκτέλεση κάθε διάταξης Η λήψη όλων των αναγκαίων μέτρων για τη διασφάλιση του απορρήτου κατά την εκτέλεση των διατάξεων 38

Υποχρεώσεις των Παρόχων (2/4) Η ενημέρωση της ΑΔΑΕ και της αρμόδιας αρχής στην περίπτωση που για την εκτέλεση κάποιας διάταξης απαιτείται η συνεργασία ή συμμετοχή άλλο παρόχου Η ενημέρωση της ΑΔΑΕ και της αρμόδιας αρχής για οποιοδήποτε έκτακτο περιστατικό ή πρόβλημα που εμφανίζεται κατά την εκτέλεση κάποιας διάταξης Η γνωστοποίηση στην αρμόδια αρχή των αριθμών κλήσης που είναι εκτός καταλόγων, εφόσον ζητηθούν 39

Υποχρεώσεις των Παρόχων (3/4) Η διαβίβαση στην αρμόδια αρχή των ζητουμένων στοιχείων σε αποκωδικοποιημένη μορφή, σε περίπτωση που ο πάροχος χρησιμοποιεί μεθόδους κωδικοποίησης, συμπίεσης ή κρυπτογράφησης Η επιλογή ενός υπαλλήλου - «εξουσιοδοτημένου προσώπου» για την τήρηση του απορρήτου, που παρέχει πλήρη εγγύηση τόσο σε επίπεδο τεχνικών γνώσεων όσο και σε προσωπική ακεραιότητα και γνωστοποίηση των στοιχείων του στην ΑΔΑΕ 40

Υποχρεώσεις των Παρόχων (4/4) Η παροχή στις αρμόδιες αρχές των απαραίτητων διεπαφών για τη διαβίβαση των στοιχείων Η διαβίβαση στις αρμόδιες αρχές του περιεχομένου και των στοιχείων της επικοινωνίας κατά το χρόνο που αυτή διεξάγεται, καθ όλο το εικοσιτετράωρο Η διατήρηση της αξιοπιστίας του συστήματος διασύνδεσης σε υψηλότατο επίπεδο 41

ΕΥΠ & απόρρητο (1/3) Με βάση σχέδιο νόμου που ψηφίστηκε από την Βουλή τον Φεβ. 2008 Η ΕΥΠ καθίσταται Τεχνικής Φύσεως Αρχή Ασφαλείας Πληροφοριών (INFOSEC), κατά την παρ. 5 του ΜΕΡΟΥΣ Ι της υπ αριθμ. 264/19-3-2001 Απόφασης του Συμβουλίου της Ευρωπαϊκής Ενωσης και την παρ. 3 του άρθρου 2 του π.δ.325/2003 Μεριμνά για την ασφάλεια των εθνικών επικοινωνιών και των συστημάτων τεχνολογίας πληροφοριών, καθώς και για την πιστοποίηση του διαβαθμισμένου υλικού των εθνικών επικοινωνιών. 42

ΕΥΠ & απόρρητο (2/3) Με βάση σχέδιο νόμου που ψηφίστηκε από την Βουλή τον Φεβ. 2008 Αποτελεί την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων, κατά την παρ. 36 Τμήμα ΧΙ, Κεφάλαιο ΙΙΙ του ΜΕΡΟΥΣ ΙΙ της υπ αριθμ. 264/19-3-2001 Απόφασης του Συμβουλίου της Ευρωπαϊκής Ένωσης και την παρ. 4 του άρθρου 2 του π.δ. 325/2003 Μεριμνά για τη στατική και ενεργητική αντιμετώπιση σε περιπτώσεις πρόκλησης βλάβης ή καταστροφής δικτύων επικοινωνιών, εγκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής. 43

ΕΥΠ & απόρρητο (3/3) Επίσης θεσπίζεται η θέση εισαγγελέα «πλήρους, αποκλειστικής απασχόλησης με τριετή θητεία» αποκλειστικά για την ΕΥΠ 44

Προστασία και άρση του απορρήτου ΙΙ Ν. 3674/10-7-2008

Φιλοσοφία Ρυθμίσεις για την αποτελεσματικότερη προστασία από τις υποκλοπές στη σταθερή και κινητή τηλεφωνία, καθώς και αυστηρότερες κυρώσεις για την παραβίαση του απορρήτου των ηλεκτρονικών επικοινωνιών 46

Τακτικοί Έλεγχοι Οι εταιρείες κινητής και σταθερής τηλεφωνίας υποχρεώνονται σε τακτικούς ελέγχους των συστημάτων τους, καθώς και σε πλήρη γνώση των τεχνικών δυνατοτήτων τους, ώστε να μην μπορούν να επικαλεστούν άγνοια, σε περίπτωση παραβίασης του απορρήτου των επικοινωνιών. 47

Πολιτικές ασφαλείας Οι πάροχοι επικοινωνιών υποχρεώνονται να καταρτίζουν και να εφαρμόζουν ειδικό σχέδιο πολιτικής ασφάλειας για την προστασία του απορρήτου της επικοινωνίας, σύμφωνα με τους κανονισμούς της Αρχής Διασφάλισης Απορρήτων Επικοινωνιών (ΑΔΑΕ). 48

Υπεύθυνος Ασφαλείας Σε περίπτωση παραβίασης ενημερώνεται αμέσως: Η εισαγγελική αρχή Η ΑΔΑΕ Οι θιγόμενοι συνδρομητές Ορίζεται και η υποχρέωση διασφάλισης των αποδεικτικών στοιχείων της τελέσεως του εγκλήματος. 49

Ποινές (1/3) Σε βαθμό κακουργήματος τιμωρείται η παραβίαση δικτύου, εφόσον ο δράστης είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον, παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον. Ακόμα αυστηρότερα τιμωρείται η τέλεση τέτοιων εγκλημάτων αν προκληθεί κίνδυνος στο δημοκρατικό πολίτευμα ή σε απόρρητο που αναφέρεται στην ασφάλεια του κράτους ή στην ασφάλεια εγκαταστάσεων κοινής ωφέλειας. 50

Ποινές (2/3) Τιμωρείται ακόμη η αθέμιτη διάθεση στο εμπόριο, ή και η δημόσια διαφήμιση, τεχνικών μέσων για την τέλεση υποκλοπών ή προσφορά υπηρεσιών για την τέλεση των εν λόγω πράξεων. Με τις διατάξεις του νομοσχεδίου τιμωρείται όχι μόνον η μαγνητοφώνηση προφορικής συνομιλίας, αλλά γενικώς η αποτύπωσή τους σε άλλα μέσα όπως σε μνήμες κινητών τηλεφώνων, φωτογραφικών μηχανών, κλπ. 51

Ποινές (3/3) Το αδίκημα της τηλεφωνικής υποκλοπής αναβαθμίζεται σε κακούργημα τιμωρούμενο με κάθειρξη μέχρι δέκα ετών. Παράλληλα απαγορεύεται, απολύτως και χωρίς διάκριση, η χρήση αποδεικτικών μέσων, που έχουν αποκτηθεί παράνομα, ενώ προβλέπεται η αστική ευθύνη εκείνου που κατά παράβαση του νόμου προκαλεί σε άλλον περιουσιακή ζημία ή ηθική βλάβη. 52

ΕΛ.ΑΣ. & Απόρρητο Με το νομοσχέδιο, τέλος, ανατίθεται και ρητώς στην Ελληνική Αστυνομία αρμοδιότητα για την πρόληψη και καταστολή των εγκλημάτων παραβίασης του απορρήτου των ηλεκτρονικών επικοινωνιών. 53

Γνωμοδοτήσεις

Η γνωμοδότηση Σανιδά (6/2009) Τα blogs και τα εξωτερικά στοιχεία των κλήσεων δεν προστατεύονται από το απόρρητο των επιστολών και της ελεύθερης ανταπόκρισης και επικοινωνίας 55

Η γνωμοδότηση Σανιδά (1/3) Έτσι, δεν θα απαιτείται άδεια οποιασδήποτε Αρχής (συγκεκριμένα της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών, όπως ρητά αναφέρει η γνωμοδότηση) για να μπορούν προανακριτικές, ανακριτικές, εισαγγελικές και δικαστικές αρχές να ζητούν «ηλεκτρονικά ίχνη» εγκληματικής πράξης (όπως υβριστικών ή απειλητικών δημοσιευμάτων στο διαδίκτυο ή φωτογραφιών παιδικής πορνογραφίας). 56

Η γνωμοδότηση Σανιδά (2/3) Η γνωμοδότηση αφορά κυρίως τις τηλεφωνικές συνδιαλέξεις και τα «εξωτερικά στοιχεία» τους: τα ονοματεπώνυμα και τα στοιχεία συνδρομητών, αριθμοί τηλεφώνων, χρόνος και τόπος κλήσης και διάρκεια συνδιάλεξης θα είναι προσβάσιμα στις αρχές με απλό αίτημά τους στους παροχείς των υπηρεσιών. 57

Η γνωμοδότηση Σανιδά (3/3) Η γνωμοδότηση αναφέρει ρητά ότι η Αρχή Διασφάλισης του Απορρήτου των Τηλεπικοινωνιών δεν δικαιούται να ελέγξει το εάν η απόφαση των δικαστικών αρχών για άρση του απορρήτου είναι σύννομη ή όχι, καθώς κάτι τέτοιο θα αποτελούσε «υπέρβαση της δικαιοδοσίας της». 58

Η γνωμοδότηση Τέντε (9/2009) Μετά από ερώτημα της ΑΔΑΕ Επιβεβαιώνει την γνωμοδότηση Σανιδά Ιδιαίτερα σε περιπτώσεις εξύβρισης / δυσφήμισης 59

Νομικό αδιέξοδο (1/2) Ποινική δίωξη για την άρνηση της Cosmote να αποκαλύψει τον κάτοχο κινητού (16/7/2009) Ποινική δίωξη κατά παντός υπευθύνου στην Cosmote άσκησε ο Εισαγγελέας Πρωτοδικών μετά την άρνηση της εταιρείας να κοινοποιήσει τα στοιχεία κατόχου κινητού, σε βάρος του οποίου είχε γίνει καταγγελία για απειλητικά μηνύματα. 60

Νομικό αδιέξοδο (2/2) Η ποινική δίωξη ασκήθηκε αυτεπαγγέλτως για δύο κατηγορίες σε βαθμό πλημμελήματος, υπόθαλψη εγκληματία και απόκρυψη στοιχείων. Η εταιρεία αρνήθηκε να ικανοποιήσει παραγγελία της Εισαγγελίας για την αποκάλυψη της ταυτότητας πελάτη της επικαλούμενη τις ανεξάρτητες αρχές για τις Επικοινωνίες και τα Προσωπικά Δεδομένα 61

Κανονισμοί της ΑΔΑΕ

Κανονισμοί της ΑΔΑΕ (1/3) ΦΕΚ 87/26 Ιαν 2005: Κανονισμός για τη Διασφάλιση του Απορρήτου κατά την Παροχή Κινητών Τηλεπικοινωνιακών Υπηρεσιών Κανονισμός για τη Διασφάλιση του Απορρήτου κατά την Παροχή Σταθερών Τηλεπικοινωνιακών Υπηρεσιών Κανονισμός για τη Διασφάλιση του Απορρήτου κατά την Παροχή Τηλεπικοινωνιακών Υπηρεσιών μέσω Ασύρματων Δικτύων 63

Κανονισμοί της ΑΔΑΕ (2/3) ΦΕΚ 88/26 Ιαν 2005: Κανονισμός για τη Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές Κανονισμός για τη Διασφάλιση του Απορρήτου Διαδικτυακών Υποδομών Κανονισμός για τη Διασφάλιση του Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου ΦΕΚ 298/8 Μαρ. 2005: Κανονισμός για τη Διασφάλιση του Απορρήτου των συναλλαγών κατά τη χρήση Αυτόματων Ταμειολογιστικών Μηχανών (ATMs) 64

Κανονισμοί της ΑΔΑΕ (3/3) Κανονισμός για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών Κανονισμός ΦΕΚ Β' 2715/17-11-2011 Αντικαθιστά όλους τους προηγούμενους 65

Πολιτικές ασφαλείας Οι κανονισμοί της ΑΔΑΕ εισάγουν υποχρεωτικά στη χώρα μας την ανάγκη για ύπαρξη Πολιτικών ασφαλείας Διαδικασιών ασφαλείας Στους φορείς που διαθέτουν πληροφοριακά συστήματα για μετάδοση φωνής ή/και δεδομένων Συλλογή και επεξεργασία των σχετικών στοιχείων επικοινωνίας 66

Κανονισμός ΦΕΚ Β' 2715/17-11-2011 (1/2) Πολιτική Αποδεκτής Χρήσης Πολιτική Φυσικής Ασφάλειας Πολιτική Λογικής Πρόσβασης Πολιτική Απομακρυσμένης Λογικής Πρόσβασης Πολιτική Διαχείρισης και Εγκατάστασης ΠΕΣ Πολιτική Διαχείρισης Περιστατικών Ασφάλειας 67

Κανονισμός ΦΕΚ Β' 2715/17-11-2011 (2/2) Πολιτική Ασφάλειας Δικτύου Πολιτική Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών Πολιτική Αντιμετώπισης Κακόβουλου Λογισμικού Πολιτική Χρήσης Κρυπτογραφίας 68

Διασφάλιση Απορρήτου κατά την παροχή Σταθερών Τηλεπικοινωνιακών Υπηρεσιών O Κανονισμός περιλαμβάνει: Πολιτική Διασφάλισης του Απορρήτου Σταθερών Τηλεπικοινωνιακών Υπηρεσιών (ΠΔΑΣΤΥ) Πολιτική Προστασίας Τηλεπικοινωνιακών Δικτύων Πολιτική Επεξεργασίας των Δεδομένων Επικοινωνίας Πολιτική σε σχέση με το προσωπικό και τους συνεργάτες Πολιτική Πρόσβασης Πολιτική Αποδεκτής Χρήσης 69

Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις συναφείς Υπηρεσίες και Εφαρμογές O Κανονισμός περιλαμβάνει: Πολιτική Ασφάλειας Παρόχου Πολιτική Πρόσβασης Πολιτική Αποδεκτής Χρήσης Βασικοί Κανόνες Τήρησης του Απορρήτου των Επικοινωνιών Υποχρεώσεις χρήστη 70

Διασφάλιση του Απορρήτου των Διαδικτυακών Υποδομών O Κανονισμός περιλαμβάνει: Πολιτική Ασφάλειας Περιμέτρου Πολιτική Διαχείρισης και Εγκατάστασης Τηλεπικοινωνιακού Εξοπλισμού Πολιτική Αντιγράφων Ασφάλειας Σχέδιο Έκτακτης Ανάγκης Διαδικασία Χειρισμού Περιστατικών Ασφάλειας Διαδικασία Ελέγχου Ασφάλειας Δικτύου Διαδικασία Αποτίμησης Κινδύνων 71

Διασφάλιση του Απορρήτου Εφαρμογών O Κανονισμός περιλαμβάνει: και Χρήστη Διαδικτύου Πολιτική Ασφάλειας Χρήστη Διαδικτύου Πολιτική Ορθής (Δεοντολογικής) Συμπεριφοράς Χρήστη Χρήση Κρυπτογραφικών Αλγορίθμων Χρήση Κωδικών Ασφαλείας Προστασία και Αποτροπή Ιών Πολιτική Ασφάλειας Παρόχου Υπηρεσίας Εφαρμογής Διαδικασία Σύμβασης Υπεργολαβίας 72

Διαδικασίες ελέγχου

Έλεγχοι Ασφάλειας για την προστασία του Απορρήτου (1/2) Επικοινωνία: μετάδοση δεδομένων μέσα από οποιοδήποτε κανάλι επικοινωνίας (τεχνολογίες μετάδοσης και το φυσικό μέσο) και Επεξεργασία των δεδομένων με σκοπό την οργάνωση και μετάδοσή τους στα κανάλια επικοινωνίας. Η Διασφάλιση Απορρήτου επιτυγχάνεται με την εξασφάλιση των παρακάτω αρχών : περιορισμός χρήσης: τα δεδομένα δεν θα αποκαλύπτονται σε όποιους τρίτους. εγγυήσεις ασφαλείας: προφύλαξη έναντι στην απώλεια, καταστροφή ή μη εξουσιοδοτημένη χρήση, αλλοίωση ή αποκάλυψη. διαφάνεια: αποδεικνύεται ο σκοπός ύπαρξης των δεδομένων και ο ιδιοκτήτης των δεδομένων. 74

Έλεγχοι Ασφάλειας για την προστασία του Απορρήτου (2/2) Οι παραπάνω αρχές ικανοποιούνται μέσα από τις ακόλουθες υπηρεσίες: Εμπιστευτικότητα δεδομένων (τα δεδομένα δεν αποκαλύπτονται σε μη εξουσιοδοτημένες οντότητες). Ικανοποιούν την αρχή περιορισμού της χρήσης. Πιστοποίηση και έλεγχος προσπέλασης δεδομένων (αποδεικνύεται η ταυτότητα μίας οντότητας καθώς και η γνησιότητα των δεδομένων που ανταλλάσσονται). Ικανοποιούν την αρχή περιορισμού της χρήσης. Ακεραιότητα δεδομένων (τα δεδομένα δεν τροποποιούνται κατά την μεταφορά τους). Ικανοποιεί την αρχή εγγυήσεων ασφάλειας. Μη αποποίηση (απαραίτητη για να αποδεικνύεται ο σκοπός ύπαρξης των δεδομένων). Ικανοποιεί την αρχή της διαφάνειας. 75

Ασφάλεια Πληροφορίας και Επικοινωνιών για τη Διασφάλιση του Απορρήτου 76

Έλεγχοι της ΑΔΑΕ Η ΑΔΑΕ εποπτεύει τη διασφάλιση του απορρήτου μέσα από ελέγχους στον κύκλο ζωής της Ασφάλειας Πληροφορίας και Επικοινωνιών των εποπτευόμενων φορέων 77

Έλεγχοι της ΑΔΑΕ Διαχείριση Ασφάλειας Έλεγχος του εποπτευόμενο φορέα για το κατά πόσον έχει πραγματοποιήσει ανάλυση πληροφοριακού κινδύνου, με σκοπό τον εντοπισμό των ευαίσθητων από πλευράς ασφάλειας πληροφοριακών πόρων. Έλεγχος Γενικής Πολιτικής Ασφάλειας καθώς και επιμέρους ειδικών Πολιτικών και συμμόρφωση αυτών με τα όσα ορίζονται στους σχετικούς Κανονισμούς της ΑΔΑΕ. Έλεγχος Τεχνικών Εγχειριδίων που περιγράφουν τη διαμόρφωση των συστημάτων ασφάλειας. 78

Έλεγχοι της ΑΔΑΕ Υλοποίηση Ασφάλειας Έλεγχος εφαρμογής κατάλληλης αρχιτεκτονικής ασφάλειας δικτύου με τη χρήση ειδικού εξοπλισμού όπου απαιτείται (firewalls, VPNs, routers, κτλ) Έλεγχος εφαρμογής κατάλληλων κρυπτογραφικών τεχνικών και αλγορίθμων και τεχνικών διαχείρισης κρυπτογραφικών κλειδιών Ύπαρξη προστασίας από μη εξουσιοδοτημένη πρόσβαση σε συστήματα. 79

Έλεγχοι της ΑΔΑΕ Παρακολούθηση Ασφάλειας Έλεγχος στις διαδικασίες εντοπισμού περιστατικών ασφάλειας Έλεγχος στις διαδικασίες αντιμετώπισης περιστατικών ασφάλειας Έλεγχος στα συστημάτων ειδοποίησης και αντιμετώπισης επιθέσεων (Intrusion Detection and Response Systems) Έλεγχος στις διαδικασίες συνέχειας λειτουργιών (Business Continuity Plan) 80

Έλεγχοι της ΑΔΑΕ Επιβεβαίωση Ασφάλειας Έλεγχο διαδικασιών εσωτερικών ελέγχων ασφάλειας των εποπτευόμενων φορέων, όπως self-audits Έλεγχο των τεχνικών διείσδυσης στο δίκτυο και τα συστήματα (Penetration testing) που πιθανώς πραγματοποιεί ο εποπτευόμενος φορέας. 81

Βιβλιογραφία http://www.adae.gr http://www.in.gr http://www.e-lawyer.gr 82

Τέλος Ενότητας