Ασφάλεια προσωπικών δεδομένων Πέτρος Νικοπολιτίδης, Επικ.Καθηγητής. Τμήμα Πληροφορικής Α.Π.Θ.
Προσωπικά δεδομένα Σύμφωνα με την Ευρωπαική Επιτροπή, προσωπικά δεδομένα αποτελούν οι «οποιεσδήποτε πληροφορίες που συνδέονται μοναδικά με ένα άτομο, σε προσωπικό, επαγγελματικό ή κοινωνικό επίπεδο» Το άτομο που αφορούν ονομάζεται υποκείμενο των δεδομένων Μπορεί να είναι πολλών ειδών
Προσωπικά δεδομένα Κάποια είδη δεδομένων είναι ευαίσθητα διαρροή τους μπορεί να προκαλέσει προβλήματα στο υποκείμενο στο οποίο αναφέρονται το υποκείμενο θέλει να έχει τον έλεγχο σε αυτά
Προσωπικά δεδομένα Επεξεργασία προσωπικών δεδομένων Κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως: συλλογή, καταχώριση, οργάνωση, διατήρηση ή αποθήκευση, τροποποίηση, εξαγωγή, χρήση, διαβίβαση, διάδοση, συσχέτιση ή συνδυασμός, διασύνδεση, δέσμευση, διαγραφή, καταστροφή Νόμιμη επεξεργασία (Νόμος 2472/1997) Πρέπει να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους Πότε επιτρέπεται η επεξεργασία Επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του (με ορισμένες εξαιρέσεις) Απαγορεύεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων (με ορισμένες εξαιρέσεις μετά από άδεια της Αρχής)
Προσωπικά δεδομένα Αν διαρρεύσουν; Ο Gary T. Marx, καθηγητής Κοινωνιολογίας στο MIT, εντόπισε στην παραβίαση ορίων (border crossing) τη βασική αιτία που χαρακτηρίζει μια διαρροή δεδομένων ως παραβίαση της ιδιωτικότητας Αναφέρει τέσσερα είδη παραβίασης ορίων: Φυσικά όρια, από διαρροή δεδομένων που αποκαλύπτουν τη θέση ενός χρήστη Κοινωνικά όρια, από διαρροή δεδομένων που παραβιάζουν προσδοκίες τήρησης της εμπιστευτικότητας ανάμεσα σε μέλη μιας κοινωνικής ομάδας (π.χ. οικογένεια, επαγγελματική συντεχνία, συνάδελφοι) Χωρικά / χρονικά όρια, από διαρροή δεδομένων που παραβιάζουν τη προσδοκία του ατόμου ότι διαφορετικά επεισόδια και περίοδοι της ζωής του θα παραμείνουν διαχωρισμένα μεταξύ τους (π.χ. οι πράξεις της εφηβείας δεν προβάλλονται στην οικογενειακή ζωή του ατόμου) Εφήμερα όρια, από διαρροή δεδομένων που αποκαλύπτουν στιγμές κατά τις οποίες το άτομο ενήργησε απερίσκεπτα και οι οποίες ελπίζει ότι θα ξεχαστούν σύντομα
Προσωπικά δεδομένα Παραδείγματα παραβίασης από διαρροή Δεδομένα θέσης Καταγράφονται από ενσωματωμένο σύστημα εντοπισμού στο smartphone (πχ GPS, Galileo κτλ) Διαρροή τους μπορεί να προκαλέσει παραβίαση φυσικών ορίων Πχ ένας ασθενής έχει λάβει ιατρική οδηγία να παραμείνει σπίτι του. Ο ασθενής παραβαίνει την οδηγία και πηγαίνει σε χώρο διασκέδασης. Η διαρροή της πληροφορίας θέσης συνάγει οτι ο χρήστης δε παρέμεινε στο σπίτι του Ιατρικά δεδομένα Προέρχονται από ιατρικούς αισθητήρες που «φοράει» ο χρήστης Διαρροή τους μπορεί να προκαλέσει παραβίαση κοινωνικών ορίων Πχ. διαρροή για χρήστη με κάποιο πρόβλημα υγείας μπορεί να οδηγήσει σε απόρριψη της αίτησης πρόσληψης του από μελλοντικό εργοδότη
Τρόποι διαρροής Παθητικοί υποκλοπή πληροφοριών από ένα σύστημα, δεν επηρρεάζουν τη λειτουργία του δύσκολος ο εντοπισμός τους προσπάθεια πρόληψης
Τρόποι διαρροής Ενεργητικοί Επηρρεάζουν τη λειτουργία του συστήματος (π.χ. Μεταβολή data) Εύκολος ο εντοπισμός τους αλλά δύσκολη η αντιμετώπισή όλων των δυνατών επιθέσεων Ποιο ρεαλιστικός στόχος ο εντοπισμός τους και η ανάνηψη από το αποτέλεσμά τους
GDPR Τα ευαίσθητα δεδομένα πρέπει να προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα Έως τώρα χειριζόταν με νομοθεσία στις χώρες μέλη της ΕΕ Η ΕΕ υλοποίησε την General Data Protection Regulation (GDPR, Regulation (EU) 2016/679) για εναρμόνιση των κανονισμών ασφαλείας προσωπικών δεδομένων σε όλη την ΕΕ ισχυροποίηση και ενοποίηση των μηχανισμών ασφαλείας για τους πολίτες της ευκολότερη συμμόρφωση non-ee οργανισμών και εταιρειών
GDPR H GDPR θα τεθεί σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη στις 25.05.2018 χωρίς την ανάγκη ψήφισης τοπικής εθνικής νομοθεσίας Ποιούς αφορά; Στην επικράτεια της ΕΕ Κάθε data controller (δημόσιος οργανισμός & επιχείρηση που συλλέγει προσωπικά δεδομένα πολιτών της ΕΕ), processor (οργανισμό επεξεργασίας τους, πχ cloud providers) πολίτη που συλλέγονται δεδομένα του Δημόσιους οργανισμούς & επιχειρήσεις εκτός ΕΕ, εάν συλλέγουν ή/και επεξεργάζονται προσωπικά δεδομένα πολιτών της
GDPR Ο data controller οφείλει να μπορεί να υποστηρίξει τις απαιτήσεις ασφαλείας ακόμη και αν η επεξεργασία των δεδομένων που διατηρεί γίνεται από συνεργαζόμενο data processor Οι data controllers οφείλουν να υλοποιούν μέτρα ασφαλείας σύμφωνα με την αρχή data protection by design Αυτό απαιτεί την ενσωμάτωση μηχανισμών προστασίας ήδη από τη διαδικασία ανάπτυξης των προιόντων και υπηρεσιών ΙΤ
GDPR Ο data controller οφείλει να ενημερώνει άμεσα τον εθνικό φορέα επίβλεψης σε περίπτωση παραβίασης προσωπικών δεδομένων Εντός 72 ωρών Και επίσης το υποκείμενο τους, εαν η διαρροή συνεπάγεται πρόβλημα Δεν απαιτείται ενημέρωση αν διαρρεύσουν anonymized ή encrypted data
GDPR Συμμόρφωση Η GDPR προβλέπει κυρώσεις (sanctions) σε περιπτώσεις παραβιάσεων και παράλειψης συμμόρφωσης, π.χ γραπτή παρατήρηση στη πρώτη διαπίστωση μη ηθελημένης μησυμμόρφωσης πρόστιμο έως 10 ΜΕ η εως του 2% του παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας σε περιπτώσεις μη-συμμόρφωσης πρόστιμο έως 20 ΜΕ η εως του 4% του παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας σε περιπτώσεις παραβιάσεων ως αποτέλεσμα μη-συμμόρφωσης
Απαιτήσεις ασφαλείας Τι απαιτείται για να είναι ένα σύστημα ασφαλές; Eμπιστευτικότητα (Confidentiality) Εμπιστευτικότητα δεδομένων (Data Confidentiality) Εξασφαλίζει οτι η ευαίσθητη πληροφορία δε θα γίνει γνωστή σε μη εξουσιοδοτημένους χρήστες Ιδιωτικότητα (Privacy) Εξασφαλίζει οτι ο χρήστης καθορίζει ποιες προσωπικές του πληροφορίες θα συλλέγονται και από ποιές οντότητες Ακεραιότητα (Integrity) Ακεραιότητα Δεδομένων (Data Integrity) Εξασφαλίζει ακεραιότητα δεδομένων και προγραμμάτων Ακεραιότητα Συστήματος (System Integrity) Εξαφαλίζει οτι το σύστημα εκτελεί τις λειτουργίες του χωρίς παρέμβαση από μη εξουδιοδοτημένη οντότητα
Απαιτήσεις ασφαλείας Τι απαιτείται για να είναι ένα σύστημα ασφαλές; Αυθεντικότητα (authenticity) Πιστοποίηση ταυτότητας χρήστη/μηνύματος Εξασφαλίζει οτι ένας χρήστης είναι όντως αυτός που υποστηρίζει, οτι ένα μήνυμα έρχεται όντως από τον αναγραφόμενο αποστολέα Καταλογισιμότητα (accountability) Εξασφαλίζει οτι ένας χρήστης δε μπορεί να αρνηθεί ενέργεια την οποία έκανε
Μηχανισμοί ασφαλείας Κρυπτογραφία Συμμετρική
Μηχανισμοί ασφαλείας Κρυπτογραφία Ασύμμετρη
Μηχανισμοί ασφαλείας Κρυπτογραφία Η GDPR απαιτεί encryption & decryption να γίνονται τοπικά και όχι από κάποιο remote service Επειδή τόσο το κλειδί όσο και τα plain δεδομένα πρέπει να παραμένουν στην κατοχή του ιδιοκτήτη Μπορεί κάποιος τρίτος (πχ cloud service) να κατέχει τα encrypted δεδομένα όχι όμως και το κλειδί αποκρυπτογράφησης
Μηχανισμοί ασφαλείας Data pseudonymisation Αντικατάσταση πεδίων που οδηγούν σε αναγνώριση Είτε με τη παραγωγή των δεδομένων Πχ TMSI σε cellular systems Είτε και μετέπειτα Πχ mix zones σε location-based services
Μηχανισμοί ασφαλείας Έλεγχος πρόσβασης Σε επίπεδο δικτύου
Μηχανισμοί ασφαλείας Έλεγχος πρόσβασης - σε επίπεδο εφαρμογής Διαχείριση λογαριασμών χρηστών Διαδικασίες για την προσθήκη, μεταβολή ιδιοτήτων και διαγραφή λογαριασμού Μηχανισμοί ελέγχου πρόσβασης Αποτροπή πρόσβασης σε πόρους/εφαρμογές/αρχεία από μη εξουσιοδοτημέ- νους χρήστες. εγγυημένα ορθή ταυτοποίηση και αυθεντικοποίηση των χρηστών συγκεκριμένη εκχώρηση δικαιωμάτων/εξουσιοδοτήσεων σε κάθε χρήστη Διαχείριση συνθηματικών (διατηρούνται σε μη αναγνώσιμη μορφή) κανόνες αποδοχής για το ελάχιστο μήκος και τους επιτρεπτούς χαρακτήρες κανόνες ιστορικότητας του συνθηματικού συχνότητα αλλαγής του Μη επιτυχημένες προσπάθειες πρόσβασης από εξουσιοδοτημένο χρήστη Αδρανοποιημένος υπολογιστής διαδικασίες αυτόματης αποσύνδεσης ή ενεργοποίησης προφύλαξης οθόνης
Μηχανισμοί ασφαλείας Διαμόρφωση υπολογιστών Προστασία από κακόβουλο λογισμικό - αντιβιοτικά προγράμματα (antivirus), - προγράμματα τειχών ασφαλείας (firewall) - ενημερώσεις ασφαλείας Ρυθμίσεις υπολογιστών - δεν πρέπει η συνολική διαμόρφωση να επηρεάζεται από απλούς χρήστες Υπολογιστές διακομιστές - δεν πρέπει ένας υπολογιστής - διακομιστής να χρησιμοποιείται ως σταθμός εργασίας από κάποιον χρήστη Σύνδεση αποσπώμενων μερών - δεν πρέπει να διατίθεται δυνατότητα εξαγωγής δεδομένων με τη χρήση αποσπώμενων μέσων (εκτός αν προβλέπεται από την πολιτική ασφαλείας) Υπολογιστές με πρόσβαση στο Διαδίκτυο - δεν πρέπει να αποθηκεύονται δεδομένα προσωπικού χαρακτήρα σε υπολογιστές που έχουν σύνδεση με το διαδίκτυο
Μηχανισμοί ασφαλείας Ασφάλεια λογισμικού Σχεδιασμός εφαρμογών - δυνατότητα διαγραφής δεδομένων μετά το χρονικό διάστημα πραγματοποίησης της επεξεργασίας - μηχανισμοί προστασίας των δεδομένων από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας Ασφαλής ανάπτυξη εφαρμογών - τεχνικές εντοπισμού σημείων ευπάθειας Προστασία αρχείων λειτουργικών συστημάτων - έλεγχος και προστασία από μη εξουσιοδοτημένη πρόσβαση ή τροποποίηση στα (i) λειτουργικά αρχεία των συστημάτων (system files), (ii) δεδομένα ελέγχου συστημάτων (system test data), και (iii) πηγαίο κώδικας (source code) των προγραμμάτων
Μηχανισμοί ασφαλείας Παρατηρητής αναφοράς Είναι ο μηχανισμός ασφαλείας που χρησιμοποιείται για τον έλεγχο πρόσβασης του συνόλου υποκείμενων οντοτήτων (χρήστες, διεργασίες, νήματα) στα διαθέσιμα αντικείμενα. Aποφασίζει ή αποκλείει την πρόσβαση στηριζόμενος σε μία βάση με - άδειες πρόσβασης υποκειμένων (clearance) στα αντικείμενα - επίπεδα διαβάθμισης (classification) των αντικειμένων Ιδιότητες Παρατηρητή: - - - Πλήρης παρεμβολή σε κάθε απόπειρα πρόσβασης Προστασία από μη εξουσιοδοτημένη τροποποίηση Μαθηματικά επαληθεύσιμη ορθότητα
Μηχανισμοί ασφαλείας Η πολιτική ασφάλειας είναι μία δήλωση περιορισμών πρόσβασης στα αντικείμενα ή /και στη μεταφορά πληροφορίας, που επιβάλλεται από τον παρατηρητή αναφοράς. Ευρέως διαδεδομένο μοντέλο ασφάλειας: Bell-LaPadula (αποτροπή διαρροής ευαίσθητων δεδομένων) Εκχωρείται ένα επίπεδο ασφαλείας (level) σε κάθε υποκείμενο και αντικείμενο. Ο παρατηρητής αναφοράς επιβάλλει (μέσω πίνακα ελέγχου πρόσβασης) τις ιδιότητες: - επιτρεπτή ανάγνωση, αν το level του υποκειμένου είναι >= από το level του αντικειμένου - επιτρεπτή εγγραφή, αν το level του υποκειμένου είναι <= από το level του αντικειμένου Άλλες πολιτικές/μοντέλα: - Clark-Wilson (ακεραιότητα δεδομένων) - Lipner - Chinese-Wall (προστασία από συνθήκες σύγκρουσης συμφερόντων)
Μηχανισμοί ασφαλείας Αντίδραση & ανάνηψη μετά από επίθεση IDS
Μηχανισμοί ασφαλείας Συχνός έλεγχος επιπέδου ασφαλείας NVA
Απαιτήσεις σε ανθρώπινο κεφάλαιο H GDPR απαιτεί την ύπαρξη data protection officer σε κάθε οργανισμό που κατέχει προσωπικά δεδομένα Εξειδικευμένο προσωπικό, με skills σε γνώση νομοθεσίας και πρακτικών προστασίας προσωπικών δεδομένων διαχείριση διεργασιών ΙΤ, αφάλειας δεδομένων, αντιμετώπισης κυβερνοεπιθέσεων Αναμένεται να είναι σημαντικό ανθρώπινο κεφάλαιο του οργανισμού αποθαρρύνεται να παίζουν τον παραπάνω ρόλο περισσότερα του ενός άτομα στον «ελεύθερο» χρόνο τους στον οργανισμό καθιστά πολύ πιο εύκολο το να γίνουν λάθη και παραλείψεις