[Owasp-greece] Sxolio tou OWASP.gr gia tin Hmera Prostasias Proswpikwn Dedomenvn

Konstantinos Papapanagiotou conpap at di.uoa.gr
Thu Jan 29 04:47:27 EST 2009


Τo OWASP.gr με αφορμή την Ευρωπαϊκή Ημέρα για την Προστασία των
Προσωπικών Δεδομένων ανάρτησε σχετικό σχόλιο στο blog του
(http://blog.owasp.gr) το οποίο παραθέτουμε παρακάτω, αποζητώντας
πιθανά σχόλια και απόψεις. Εναλλακτικά, τη συγκεκριμένη ανάρτηση
μπορείτε να τη βρείτε και να τη σχολιάσετε ανατρέχοντας στη διεύθυνση
στο τέλος του e-mail.

Ημέρα Προστασίας Προσωπικών Δεδομένων
Χτες, 28/1 ήταν η Ευρωπαϊκή ημέρα για την προστασία των προσωπικών
δεδομένων. Η ημερα αυτή έχει θεσπιστεί για την ενίσχυση ουσιαστικά της
αφύπνισης σχετικά με τα προσωπικά δεδομένα.

Σίγουρα πολλοί από εσάς ούτε το ξέρατε, ούτε το ακούσατε από κάπου,
καθότι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αποφάσισε ότι
το μόνο που έπρεπε να κάνει για φέτος είναι να αναρτήσει την
προηγούμενη μέρα στο site της μια ανακοίνωση για ένα σεμινάριο που
διοργάνωσε με θέμα "Πρόσβαση στα δημόσια έγγραφα και προστασία
προσωπικών δεδομένων" και με αφορμή τη συγκεκριμένη μέρα. Γνωρίζουμε
ότι οι εγκαταστάσεις, οι υποδομές και οι δυνατότητες της Αρχής είναι
περιορισμένες, δεδομένου και του μόνιμου προβλήματος της έλλειψης
προσωπικού. Παρόλα, όπως πολύ σωστά επισημαίνει και ο e-lawyer,
θεωρούμε ότι θα έπρεπε να υπάρξει μια μεγαλύτερη προβολή του θέματος
στα μέσα, αφού άλλωστε ο κύριος στόχος της συγκεκριμένης μέρας είναι η
ενημέρωση και η αφύπνιση.

Ζούμε στην εποχή του Facebook και του Myspace. Θα έλεγε κανείς ότι τα
προσωπικά μας δεδομένα είναι πιο εύκολο από ποτέ όχι μόνο να
αποκαλυφθούν αλλά να διαδοθούν και να αποθηκευθούν με μεγάλη ταχύτητα
και ευκολία. Οι τεχνολογίες που μας το επιτρέπουν αυτό είναι πολύ
πρόσφατες και έχουν μεγάλη και ταχεία διείσδυση, με αποτέλεσμα πολλοί
να μη μπορούν να τις χρησιμοποιήσουν σωστά και κυρίως να μην
αντιλαμβάνονται τους κινδύνους.

Ας μην πάμε μακριά: Η Τράπεζα της Ελλάδος αποφάσισε να αναρτήσει στο
site της λίστα με τα ονόματα των υποψηφίων που πληρούσαν τις
προϋποθέσεις συμμετοχής σε διαγωνισμό της. Η λίστα, σε μορφή pdf,
περιλαμβάνει ονοματεπώνυμο, πατρώνυμο και αριθμό ταυτότητας και αρχικά
είχε αναρτηθεί αυτούσια. Πλέον οι νομικοί σύμβουλοι της τράπεζας
αποφάσισαν να ακολουθήσουν την αμερικάνικη τακτική και παρέθεσαν και
το σχετικό disclaimer: "Οποιαδήποτε ανακοίνωση, διάδοση ή χρήση μέρους
ή ολόκληρου του ως άνω πίνακα χωρίς την άδεια της Τράπεζας της
Ελλάδος, απαγορεύεται αυστηρά και μπορεί να επιφέρει ποινική και
αστική ευθύνη." Λες και κάποιος που θα θέλει να εκμεταλλευθεί τα
δεδομένα της λίστας θα φοβηθεί από την ανακοίνωση αυτή και δε θα το
κάνει. Λες και δεν υπάρχει άλλος τρόπος ανακοίνωσης των ονομάτων.
Ευτυχώς η Αρχή Προστασίας Προσωπικών Δεδομένων ακολούθησε καλύτερη
τακτική στο δικό της διαγωνισμό, η οποία ναι μεν μπορεί να οδηγήσει σε
ταλαιπωρία κάποιους, αλλά σίγουρα διαφυλάσσει καλύτερα τα προσωπικά
τους δεδομένα.

Δε χρειάζονται λοιπόν μόνο μεγαλόπνοα σχέδια, υποδομές και κονδύλια.
Καλά είναι και αυτά και δίνουν πολλές δυνατότητες αλλά ας μην
πνιγόμαστε σε μια κουταλιά νερό. Το πρώτο και κυριότερο που χρειάζεται
είναι ενημέρωση. Και η ενημέρωση δεν είναι μόνο τα σεμινάρια και οι
ημερίδες, είναι και οι ανακοινώσεις, τα δελτία τύπου, οι εγκύκλιοι σε
δημόσιες υπηρεσίες, οι ενημερωτικές αναρτήσεις στα σχετικά site (DART,
saferinternet, CERTs, πάροχοι υπηρεσιών Internet) τα ενημερωτικά
φυλλάδια που μπορούν για παράδειγμα να διανεμηθούν μαζί με τους
λογαριασμούς του ΟΤΕ ή με e-mail μέσα από τους παρόχους υπηρεσιών
internet. Όλα αυτά είναι πράγματα που γενικά είναι εύκολο να γίνουν
αλλά δεν γίνονται στο βαθμό που θα έπρεπε. Έχουμε δημιουργήσει και
χρηματοδοτούμε ένα κάρο φορείς, τελικά όμως τι κάνουν όλοι αυτοί; Δεν
έχει περάσει πολύς καιρός από τότε που συζητούσαμε στα πλαίσια των
εργασιών της ομάδας εργασίας ΙΑ4 του e-business forum, το κίνδυνο
διάσπασης των "δυνάμεών" μας και της δημιουργίας πολλαπλών φορέων για
την προστασία και την ασφάλεια στο Internet. Με τη δημιουργία του DART
δημιουργήθηκε η ελπίδα ότι θα συσπειρωθούν εκεί οι ειδικοί και οι
αρμόδιοι φορείς, κάτω από τη συντονιστική ομπρέλα της Ειδικής
Γραμματείας Ψηφιακού Σχεδιασμού. Όρεξη και διάθεση υπήρχε και υπάρχει,
δράσεις και συνεργασία χρειάζονται.


http://owasp.wordpress.com/2009/01/29/%CE%B7%CE%BC%CE%AD%CF%81%CE%B1-%CF%80%CF%81%CE%BF%CF%83%CF%84%CE%B1%CF%83%CE%AF%CE%B1%CF%82-%CF%80%CF%81%CE%BF%CF%83%CF%89%CF%80%CE%B9%CE%BA%CF%8E%CE%BD-%CE%B4%CE%B5%CE%B4%CE%BF%CE%BC%CE%AD%CE%BD/


More information about the Owasp-greece mailing list