ΔΙΚΑΙΟ ΚΑΙ ΔΕΟΝΤΟΛΟΓΙΑ ΣΤΙΣ ΕΦΑΡΜΟΓΕΣ ΕΠΑΥΞΗΜΕΝΗΣ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑΣ

Συνδυάστε Βιβλίο (έντυπο) + e-book και κερδίστε 14€
Δωρεάν μεταφορικά σε όλη την Ελλάδα για αγορές άνω των 30€
credit-card

Πληρώστε σε έως άτοκες δόσεις των /μήνα με πιστωτική κάρτα.

Σε απόθεμα

Τιμή: 32,00 €

* Απαιτούμενα πεδία

Κωδικός Προϊόντος: 18640
Μιχαηλάκη Α.
  • Έκδοση: 2022
  • Σχήμα: 17χ24
  • Βιβλιοδεσία: Εύκαμπτη
  • Σελίδες: 304
  • ISBN: 978-960-654-743-0
Στο έργο Δίκαιο και Δεοντολογία στις εφαρμογές Επαυξημένης Πραγματικότητας» αναλύονται ζητήματα των αναδυομένων τεχνολογιών από την πλευρά του Δικαίου και της Δεοντολογίας. Η απόκτηση βασικών γνώσεων γύρω από ζητήματα των τεχνολογιών αυτών είναι πλέον απαραίτητο εργαλείο για κάθε νομικό της πράξης, ο οποίος καλείται να συμβάλει στην επίλυση των εκάστοτε διαφορών, μέσα από την παροχή των σωστών νομικών συμβουλών. Ειδικότερα, η μελέτη αναλύει τις τεχνολογίες: του Διαδικτύου των Πραγμάτων, της εικονικής πραγματικότητας, της επαυξημένης πραγματικότητας, των κρυπτονομισμάτων και της τεχνητής νοημοσύνης. Σκοπός του βιβλίου είναι να συμβάλει στην εξοικείωση των νομικών αναγνωστών με τις έννοιες αυτές, δεδομένου ότι η ευρεία εξάπλωσή τους σε κάθε πτυχή της καθημερινότητας καθιστά άμεση την ανάγκη για ρύθμισή τους, τόσο σε παγκόσμιο, αλλά ακόμα περισσότερο σε ενωσιακό και εθνικό επίπεδο. Με την εμφάνιση εφαρμογών τεχνολογιών, όπως η επαυξημένη πραγματικότητα και η τεχνητή νοημοσύνη στην ελληνική πραγματικότητα, οι οποίες θα καλύπτουν ευαίσθητους τομείς, όπως η υγεία και η εκπαίδευση, θα μεγεθυνθεί και η ανάγκη για οριοθέτησή τους.
 

ΠΡΟΛΟΓΟΣ V

ΕΙΣΑΓΩΓΗ 1

ΠΡΩΤΟ ΚΕΦΑΛΑΙΟ

Διαδίκτυο των Πραγμάτων

1. Ζητήματα ασφαλείας 16

2. Το Διαδίκτυο των Πραγμάτων (IoT) σε σχέση με την προστασία
των δεδομένων και την Κυβερνοασφάλεια 19

3. Εφαρμογές του διαδικτύου των Πραγμάτων 26

3.1 Μη επανδρωμένα αεροσκάφη (Drones) 33

3.1.1 Χρήσεις 34

3.1.2 Προστασία της ιδιωτικής ζωής 36

4. Διαδίκτυο των πραγμάτων και ιδιωτικότητα 39

5. Διαδίκτυο των σκέψεων 43

ΔΕΥΤΕΡΟ ΚΕΦΑΛΑΙΟ

Κρυπτονομίσματα

1. Εισαγωγικά 47

2. Κρυπτονομίσματα και τρίτοι: χρηματιστήριο, χρηματοπιστωτικά

ιδρύματα κι επενδυτές 49

3. Προβλήματα από τη χρήση των κρυπτονομισμάτων 52

4. Ειδικότερα θέματα κατά τη χρήση των κρυπτονομισμάτων 56

5. Είδη κρυπτονομισμάτων 61

5.1 Bitcoin 61

5.2 Ethereum - Ether 73

VIII

5.3 Ripple 73

5.4 KodakCoin 75

5.5 Petro 76

6. Τεχνολογία blockchain 76

6.1 Εφαρμογές της τεχνολογίας blockchain 80

6.2 Νομικά ζητήματα της τεχνολογίας blockchain 82

7. Θέματα φορολόγησης 90

7.1 Η φορολόγηση σε σχέση με την τεχνολογία blockchain

και το διαμοιρασμένο δημόσιο καθολικό (shared public ledger) 92

7.2 Η φορολόγηση σε σχέση με την ICO (Initial Coin Offering) 94

7.3 Η φορολόγηση των κρυπτονομισμάτων 95

8. Τα κρυπτονομίσματα στην ελληνική πραγματικότητα
και η φορολόγησή τους 105

ΤΡΙΤΟ ΚΕΦΑΛΑΙΟ

Εικονική και Επαυξημένη Πραγματικότητα

1. Εισαγωγικά 109

2. Εφαρμογές των τεχνολογιών εικονικής
και επαυξημένης πραγματικότητας 113

3. Κοινωνικός εγκλιματισμός στις νέες τεχνολογίες 120

4. Εικονική πραγματικότητα 122

4.1 Εικονικοί Κόσμοι: έννοια 125

4.2 Ιδιομορφίες και νομικοί προβληματισμοί επί των εικονικών κόσμων 127

4.2.1 Προστασία της ιδιωτικής ζωής στον εικονικό κόσμο 128

4.2.2 Κυριότητα εικονικών κινητών πραγμάτων 129

4.2.3 Φορολόγηση των παιχνιδιών στους εικονικούς κόσμους 130

4.2.4 Αδικοπραξίες εντός των εικονικών κόσμων 131

4.2.5 Δικαίωμα στη δημοσιότητα και ελευθερία έκφρασης 132

4.2.6 Σωματικές βλάβες και τόπος τέλεσης του αδικήματος 133

4.2.7 Όροι χρήσης 134

4.3 Εφαρμογές των εικονικών κόσμων 134

 

IX

5. Επαυξημένη πραγματικότητα 138

5.1 Εφαρμογές της επαυξημένης πραγματικότητας 141

5.1.1 Μουσεία 142

5.1.2 Tα γυαλιά της Google 143

5.1.3 Εφαρμογές των γυαλιών της Google 145

5.1.4 PokemonGo 151

5.2 Επαυξημένη Πραγματικότητα και ηλεκτρονικό εμπόριο 160

6. Ζητήματα ασφάλειας των δεδομένων κατά τη χρήση των νέων τεχνολογιών και των ψηφιακών εφαρμογών 160

7. Νέες τεχνολογίες: ζητήματα προστασίας κι εφαρμοστέο δίκαιο 164

7.1 Πνευματική Ιδιοκτησία 164

7.2 Προστασία της ιδιωτικότητας 167

7.3 Ασφάλεια 169

7.4 Προστασία της ελευθερίας λόγου κι έκφρασης 170

7.5 EULAS (End-User License Agreement) 172

7.6 ToS (Terms of Service) 173

7.7 Εγκυρότητα των δικαιοπραξιών 174

7.8 Αδικοπραξίες 175

7.9 Ειδικά ζητήματα κυριότητας 175

7.10 Δικαίωμα στην ιδιωτική ζωή 178

7.11 Εφαρμοστέο Δίκαιο 180

ΤΕΤΑΡΤΟ ΚΕΦΑΛΑΙΟ

Τεχνητή Νοημοσύνη

1. Εισαγωγικά 187

2. Ορισμοί 189

3. Τεχνητή νοημοσύνη και ανθρώπινη αυτονομία 193

4. Νομικό πλαίσιο 196

5. Εφαρμογές της Τεχνητής Νοημοσύνης 207

5.1 Αναγνώριση προσώπου (facial recognition) 210

5.2 Ειδικά ζητήματα για τις εφαρμογές της τεχνητής νοημοσύνης 217

5.3 Ειδικά ζητήματα για τις εφαρμογές της ρομποτικής 225

6. Κενά και προκλήσεις 232

X

ΣΥΜΠΕΡΑΣΜΑΤΑ 239

ΠΑΡΑΡΤΗΜΑ Α΄ 253

ΠΑΡΑΡΤΗΜΑ Β΄ 264

Βιβλιογραφία – Αρθρογραφία 265

Αλφαβητικό Ευρετήριο 291

11

ΠΡΩΤΟ ΚΕΦΑΛΑΙΟ

Διαδίκτυο των Πραγμάτων

Στις 22 Μαρτίου του έτους 1876, η εφημερίδα New York Times παρουσίασε μία νέα «καυτή» τεχνολογία, το τηλέφωνο, το οποίο θα σηματοδοτούσε την έναρξη μίας εποχής όπου οι άνθρωποι δεν θα χρειαζόταν να βγουν από τα σπίτια τους ποτέ. «Φέρνοντας η συσκευή του τηλεφώνου τη μουσική και τους ιερείς μέσα σε κάθε σπίτι, θα άδειαζε τις αίθουσες συναυλιών και τις εκκλησίες» παρατήρησαν οι New York Times.

Τα πράγματα δεν εξελίχθησαν ακριβώς έτσι, αλλά σχεδόν 150 έτη αργότερα, η ιδέα ότι η τεχνολογία μας ενθαρρύνει να αποσυρθούμε από τον αληθινό κόσμο, ακόμη και αν προσκολληθούμε κάπου αλλού, δεν μοιάζει τόσο αμφίβολη. Ούτως ή άλλως, μπορεί κάποιος να έχει τα πάντα από τον καναπέ του σπιτιού του, συμπεριλαμβανομένης της μουσικής και της πνευματικής καθοδήγησης. Το μόνο που χρειάζεται είναι ένα «έξυπνο τηλέφωνο» [21].

Η επαυξημένη πραγματικότητα αποτελεί το συνδυασμό της εικονικής πραγματικότητας και της πραγματικής, την τεχνολογία που επαυξάνει αληθινά μέρη, ανθρώπους και πράγματα με πλούσιες εικονικές εμπειρίες. Πρόκειται για μία ενισχυμένη εκδοχή της πραγματικότητας, όπου ζωντανές άμεσες ή έμμεσες όψεις του περιβάλλοντος του φυσικού – πραγματικού κόσμου επαυξάνουν – ανυψώνονται με υπερτεθειμένες εικόνες που έχουν δημιουργηθεί από τον υπολογιστή πάνω στην οπτική που έχει ο χρήστης για τον πραγματικό κόσμο, ενισχύοντας έτσι την τρέχουσα αντίληψή του για την πραγματικότητα. Το διαδίκτυο συγχωνεύεται με το φυσικό κόσμο γύρω μας[22]: ο αληθινός κόσμος υπερσυνδέεται και ευρετηριάζεται, ενώ μέχρι τώρα το διαδίκτυο συνέδεε και ευρετηρίαζε την ανθρώπινη γνώση και την έκανε αναζητήσιμη[23].

Καθώς η επαυξημένη πραγματικότητα οδήγησε τον υπολογιστή στον έξω κόσμο και τον έκανε να εμφανίζεται παντού, δημιουργήθηκε ένας καινούριος όρος, η έννοια της συνεχούς ή διάχυτης χρήσης του υπολογιστή - του «ubiquitous computing» ή «ubicomp» ή «pervasive computing»[24]. Η γραμμή που διαχωρίζει

12

τον κυβερνοχώρο από την πραγματικότητα έχει καταστεί εξαιρετικά δύσκολο να οριοθετηθεί και σύντομα η οριοθέτηση αυτή θα καταστεί αδύνατη. Η διάδοση της συνεχούς ή διάχυτης χρήσης του υπολογιστή (PerC) θα εγκαταστήσει το διαδίκτυο για πάντα γύρω μας, παρέχοντάς μας συνεχείς πληροφορίες στον αληθινό κόσμο όπου πλοηγούμαστε. Επιπρόσθετα, με την ενσωμάτωση του υπολογιστή στο φυσικό κόσμο, η συνεχής ή διάχυτη χρήση του υπολογιστή (PerC) θα μεταφέρει τις αρετές του κυβερνοχώρου στον υλικό κόσμο. Θα ενεργοποιήσει την, ίσως αυτόνομη, ανταπόκριση του κυβερνοποιημένου περιβάλλοντος (cyberized environment[25]) στα δεδομένα, τα οποία μέχρι σήμερα δεν είχαν συλλεχθεί και δεν ήταν δυνατόν να συλλεχθούν. Ας φανταστούμε όχι ένα ρομπότ[26], ούτε μία απομονωμένη

13

και μη αναγνωρίσιμη συσκευή, αλλά έναν κόσμο κορεσμένο με δικτυωμένη ευφυΐα[27].

Χάρη στα μοναδικά χαρακτηριστικά του δυναμικού περιβάλλοντος της τεχνολογίας της διάχυτης ή συνεχούς χρήσης του υπολογιστή, όπως είναι η χαλαρότητα των φυσικών ορίων και η ad-hoc διάδραση με συσκευές αδιευκρίνιστης εμπιστοσύνης, οι καταναλωτές, συμπεριλαμβανομένων και των εταιριών και των οργανισμών, θα θέτουν ως προαπαιτούμενο τη διασφάλιση της ασφάλειας, με τρόπους όπως η επαλήθευση των μηνυμάτων και των οντοτήτων, ο έλεγχος πρόσβασης και η εμπιστευτικότητα και η προστασία της ακεραιότητας του διαύλου επικοινωνίας. Επίσης, η προστασία των προσωπικών δεδομένων όπως η ταυτότητα και οι πληροφορίες τοποθεσίας αποτελούν ένα σημαντικό κριτήριο για τη μεγάλης κλίμακας ανάπτυξη της σχετικής τεχνολογίας. Με τον ερχομό των κατάλληλων συσκευών και τεχνολογιών, όπως είναι οι ασύρματοι αισθητήρες και η τεχνολογία RFID[28], οι χρήστες ήδη ανησυχούν για την εμφάνιση τεχνολογιών «Μεγάλου Αδελφού» που θα καταγράφουν τις συναλλαγές τους χωρίς τη συναίνεσή τους. Για παράδειγμα, μπορεί να αποκαλυφθεί η ταυτότητα ενός χρήστη που συμμετέχει σε μία θεωρητικά ανώνυμη συναλλαγή ή μπορεί να ταυτοποιηθούν διαφορετικές συναλλαγές από το χρήστη στο ίδιο σύστημα, με στόχο τη δημιουργία ενός προφίλ. Πρόκειται ξεκάθαρα για μία εγγενή ανταλλαγή ανάμεσα στην ιδιωτικότητα –

14

απόρρητο και την πρόσβαση της τεχνολογίας της διάχυτης χρήσης του υπολογιστή, σύμφωνα με την οποία (ανταλλαγή), από την πλευρά του χρήστη, κανένας δεν θα έπρεπε να έχει τη δυνατότητα να ανακαλύψει την πραγματική ταυτότητα αυτού, να συνδέσει περισσότερες συνεδρίες του χρήστη στο σύστημα ή να αποκτήσει πληροφορίες για το περιεχόμενο αυτών, όπως την τοποθεσία, την ώρα και τη διάρκεια, το είδος της υπηρεσίας κ.ο.κ. Από την άλλη πλευρά, η ανάγκη ελέγχου της πρόσβασης μεγεθύνεται. Οι πάροχοι υπηρεσιών χρειάζονται την πιστοποίηση ενός μηνύματος, μιας οντότητας ή του ίδιου του περιεχομένου, με στόχο την παροχή εξουσιοδότησης πρόσβασης σε μία υπηρεσία για την αποτροπή καταχρηστικών ενεργειών ή για την προστασία των πληρωμών ή την παροχή προσωποποιημένων και σχετικών με το περιβάλλον υπηρεσιών ή τέλος για να αποκρυπτογραφήσουν την ταυτότητα του προσώπου για λόγους λογοδοσίας ή ευθύνης, σε περιπτώσεις κατάχρησης των υπηρεσιών, για την ανάκληση προνομίων ή για παράνομες ενέργειες. Για την ισορροπία των ανωτέρω, κρίθηκε ότι η ανωνυμία στην τεχνολογία της διάχυτης χρήσης του υπολογιστή πρέπει να είναι υπό όρους και μόνο υπό πολύ καλά προσδιορισμένες προϋποθέσεις πρέπει να εκτίθεται η ταυτότητα του χρήστη[29].

Αντίθετα με άλλες τεχνολογίες, η διάχυτη χρήση του υπολογιστή μπορεί να προκύψει με οποιαδήποτε συσκευή, σε κάθε τοποθεσία και με οποιαδήποτε μορφή. Ο χρήστης αλληλεπιδρά με τον υπολογιστή, ο οποίος εμφανίζεται σε διάφορες μορφές, όπως τα φορητά (laptop και tablets), τα τερματικά (terminals) και τα τηλέφωνα. Όταν οι έννοιες αυτές εμπλέκουν και αντικείμενα, είναι επίσης γνωστές και ως «physical computing» ή «Διαδίκτυο των Πραγμάτων» (Internet of things)[30]. Το διαδίκτυο των πραγμάτων αφορά πολλά αντικείμενα καθημερινής

15

χρήσης, τα οποία έχουν τη δυνατότητα να στέλνουν και να δέχονται δεδομένα μέσω διαδικτύου[31]. Συσκευές που μπορούν να φορεθούν και συγκεντρώνουν δεδομένα (σχετικά με το βηματισμό του χρήστη, την ποιότητα του ύπνου του, τις καταναλωθείσες θερμίδες, τη γεωγραφική του θέση), τα οποία θα μπορούν να αναλυθούν από τα συγχρονισμένα με αυτές τηλέφωνα ή tablets, δισκία με αισθητήρες τα οποία θα λαμβάνουν πληροφορίες από τον οργανισμό του χρήστη, θα τις υποβάλλουν σε συσκευές, όπως τα «έξυπνα» τηλέφωνα και θα προειδοποιούν στην περίπτωση πιθανών προβλημάτων υγείας, αισθητήρες που θα τοποθετούνται κάτω από τα στρώματα των νηπίων και θα ελέγχουν την υγεία τους (αναπνοή και καρδιακούς παλμούς) είναι κάποιες από τις ρεαλιστικές εκφράσεις του διαδικτύου των πραγμάτων[32].

Όπως μπορεί να γίνει αντιληπτό, ο προσωπικός υπολογιστής έχει γίνει ακόμη πιο προσωπικός – μπορεί να φορεθεί[33]. Ωστόσο, όσες συσκευές μπορούν να φορεθούν σήμερα έχουν τη δυνατότητα να αφουγκράζονται και να επικοινωνούν περισσότερο. Στην πραγματικότητα είναι «ενσωματώσιμα». Επίσης, ο προσωπικός υπολογιστής γίνεται καθημερινά μικρότερος, φθηνότερος και ισχυρότερος[34]. Και

16

ακόμη περισσότερο, τα «έξυπνα» τηλέφωνα τείνουν να αντικατασταθούν από «έξυπνα» ρολόγια, τα οποία πραγματοποιούν τηλεφωνικές κλήσεις, συνδέονται με το διαδίκτυο ή λαμβάνουν φωτογραφίες, στην πραγματικότητα λειτουργούν όπως ένα «έξυπνο» τηλέφωνο ή ένα tablet. Στο άμεσο μέλλον κάθε άνθρωπος θα είναι συνδεδεμένος με τουλάχιστον επτά συσκευές, με επτά «ηλεκτρονικά κατοικίδια», τα οποία θα «σιτίζονται» καθημερινά με δεδομένα. Στο μέλλον οι οδοντόβουρτσες θα ειδοποιούν για την ανάγκη αντικατάστασής τους, θερμικές κάμερες στα καταστήματα θα αντιλαμβάνονται τα ενδιαφέροντα και τις προτιμήσεις των καταναλωτών, ώστε ο πωλητής να «επεμβαίνει» την κατάλληλη στιγμή, ενώ όλες οι πληροφορίες των προϊόντων, μαζί με διαφημίσεις και ανακοινώσεις προσφορών θα προβάλλονται σε οθόνη.

Το διαδίκτυο των πραγμάτων έχει ήδη λάβει μέρος στις ζωές μας με απεριόριστες μορφές. Kάποιες από αυτές είναι ευπρόσδεκτες, όπως οι εντοπίσιμες συσκευές εκγύμνασης, τα οικιακά προειδοποιητικά συστήματα ασφαλείας ή τα οχήματα με εξ αποστάσεως ξεκλείδωμα κι εκκίνηση. Άλλες είναι ακούσιες και ενδέχεται να προκαλέσουν ανησυχία στους καταναλωτές, όπως τα διασυνδεδεμένα παιχνίδια, τα οποία κατά τη λειτουργία τους παρακολουθούν τα παιδιά ή τεχνολογίες ικανές να εντοπίσουν χωρίς την έγκριση του χρήστη την τοποθεσία του ή τις αγοραστικές του συνήθειες. Καθώς το διαδίκτυο των πάντων (πλέον) ωριμάζει, τα διαφορετικά «έξυπνα» οικιακά και εμπορικά δίκτυα που δημιουργεί θα έχουν τη δυνατότητα να επικοινωνούν μεταξύ τους, παράγοντας «έξυπνα» και πιθανόν πιο ανθεκτικά, πράγματα, πόλεις και κοινωνίες[35].

1. Ζητήματα ασφαλείας

Τον Οκτώβριο του 2016 έλαβε χώρα μία κυβερνοεπίθεση της μορφής «distributed denial of service (DDoS)[36]» από μικρές και φθηνές συσκευές συνδεδεμένες στο διαδίκτυο,

17

η οποία συλλογικά έγινε γνωστή ως «Mirai botnet»[37]. Η επίθεση παρέλυσε κυριολεκτικά τους διακομιστές με τους οποίους συνδεόταν στο διαδίκτυο μία τεχνολογική εταιρία με την επωνυμία Dyn. Αυτό από μόνο του δεν θα ήταν σημαντικό, αν δεν αποκαλυπτόταν ότι η συγκεκριμένη εταιρία διαχειριζόταν κρίσιμες διαδικτυακές υποδομές, κάτι που οδήγησε στην επιβράδυνση και διακοπή της πρόσβασης σε σημαντικές διαδικτυακές συσκευές στις περισσότερες από τις ανατολικές Πολιτείες των ΗΠΑ[38]. Η επίθεση αυτή υπήρξε τόσο επιτυχής και αξιοσημείωτη, διότι εκμεταλλεύτηκε τις ευπάθειες της ασφάλειας του διαδικτύου των πραγμάτων και απέδειξε ότι σχεδόν τα πάντα είναι συνδεδεμένα με το διαδίκτυο και ό,τι δεν έχει ακόμα συνδεθεί, θα συνδεθεί στο άμεσο μέλλον[39]. Αρχικά θεωρήθηκε ότι η επίθεση είχε πολιτικά κίνητρα, αλλά από τις έρευνες προέκυψε ότι πίσω από αυτή δεν ήταν κάποιοι επαναστάτες ή κάποια παρακρατική οργάνωση, αλλά τρεις φοιτητές οι οποίοι προσπαθούσαν να κερδίσουν στο διαδικτυακό παιχνίδι Minecraft[40]. Αξιωματούχοι του FBI δήλωσαν ότι οι εισβολείς δεν είχαν συνειδητοποιήσει το μέγεθος της απειλής. Το περιστατικό αυτό καταδεικνύει τις ιδιαιτερότητες στη διαχείριση των πολύπλευρων διαδικτυακών απειλών που απευθύνονται τόσο στο δημόσιο τομέα, όσο και στον ιδιωτικό. Οι επιθέσεις

18

μέσω του διαδικτύου των πραγμάτων προέρχονται από μη κυβερνητικούς φορείς, όπως άτομα με παραβατικές συμπεριφορές εντός του κυβερνοχώρου, πολιτικά υποκινούμενους ακτιβιστές, εφήβους εν μέσω παιχνιδιών και αποτελούν ασύμμετρες απειλές που μπορούν να χρησιμοποιηθούν με στόχο την προσβολή δικαιωμάτων και κρίσιμων υποδομών. Πλέον επιδιώκονται συνεργασίες ανάμεσα σε φορείς του Δημοσίου και του ιδιωτικού τομέα για την περιχαράκωση του διαδικτύου των πάντων, αλλά δεν είναι ακόμα εμφανές εάν αυτό είναι αρκετό.

Δεδομένου, λοιπόν, ότι οποιεσδήποτε «έξυπνες» ηλεκτρονικές συσκευές - και όχι μόνο οι υπολογιστές ή τα κινητά τηλέφωνα- μπορούν πια να πέσουν θύματα εισβολέα (hacker), είναι δυνατό ακόμα και οι συσκευές της κουζίνας να αξιοποιηθούν από τους τελευταίους ως εργαλεία μιας «κυβερνοεπίθεσης». Το ζήτημα της παραβίασης των πολύ πιο ευάλωτων συσκευών στο «διαδίκτυο των πραγμάτων» έρχεται στο προσκήνιο, καθώς όπως ανακοίνωσε η αμερικανική εταιρία κυβερνο-ασφάλειας Proofpoint, ανακάλυψε για πρώτη φορά ένα ψυγείο, το οποίο έστελνε στο διαδίκτυο ανεπιθύμητα και κακόβουλα ηλεκτρονικά μηνύματα (spam). Στην επιθετική διαδικτυακή «καμπάνια», που ενορχήστρωσαν οι εισβολείς (hackers), το ψυγείο συμμετείχε ανάμεσα σε πάνω από 100.000 άλλες συσκευές που απάρτιζαν το εν λόγω κακόβουλο δίκτυο (botnet). Η επίθεση - πιθανώς η πρώτη αποδεδειγμένη επίθεση που εκμεταλλεύτηκε το «Διαδίκτυο των Πραγμάτων» με τη σχεδόν ανύπαρκτη κυβερνο-ασφάλειά του - είχε ως στόχο ηλεκτρονικούς υπολογιστές, δρομολογητές, «έξυπνες» τηλεοράσεις.[41]. Οι ειδικοί αναλυτές της Proofpoint εκτιμούν ότι τουλάχιστον το 25% αυτών των μηνυμάτων - «δολωμάτων» δεν πέρασαν καθόλου μέσω των παραδοσιακών διαύλων (ηλεκτρονικών υπολογιστών ή «έξυπνων» τηλεφώνων). Αντίθετα, το κακόβουλο λογισμικό σε μεγάλο βαθμό εγκαταστάθηκε και διοχετεύτηκε μέσω άλλων «έξυπνων» συσκευών, όπως οι «λευκές» συσκευές της κουζίνας και τα συστήματα οικιακών πολυμέσων (home multi-media) που συνήθως είναι συνδεδεμένα με τηλεοράσεις. Οι ιδιοκτήτες αυτών των συσκευών δεν γνώριζαν ότι οι συσκευές τους είχαν ενταχθεί στο κακόβουλο δίκτυο και είχαν «αξιοποιηθεί» από αυτό για την αποστολή των ανεπιθύμητων μηνυμάτων σε άλλους χρήστες και επιχειρήσεις - στόχους. Καμία συσκευή που είχαν παραβιάσει οι εισβολείς (hackers) δεν απέστειλε περισσότερα από δέκα τέτοια μηνύματα, ώστε να γίνει πιο δύσκολο το «μπλοκάρισμα» της κυβερνο-επίθεσης. Ο επικεφαλής ασφαλείας της Proofpoint προειδοποίησε ότι τέτοιες

19

επιθέσεις θα είναι συχνότερες στο μέλλον, καθώς οι συσκευές ενός σπιτιού γίνονται ολοένα πιο «έξυπνες» και διασυνδέονται στο διαδίκτυο[42].

Ένα εξαιρετικά σοβαρό περιστατικό που καταδεικνύει τις τραγικές συνέπειες από τις αδυναμίες της ασφάλειας του κυβερνοχώρου αποτελεί η περίπτωση του Πανεπιστημιακού Νοσοκομείου του Ντίσελντροφ[43]. Έπειτα από επίθεση εισβολέων - hackers το Σεπτέμβριο του 2020, τα ηλεκτρονικά συστήματα του νοσοκομείου νέκρωσαν, με αποτέλεσμα να τεθεί το νοσοκομείο εκτός λειτουργίας και να μην μπορεί να εξυπηρετήσει κανένα περιστατικό. Μια γυναίκα ασθενής που εκείνο το βράδυ διακομίστηκε στα επείγοντα και έπρεπε να εγχειριστεί αμέσως, μεταφέρθηκε στο πλησιέστερο νοσοκομείο, λόγω αδυναμίας να της παράσχουν οποιαδήποτε ιατρική βοήθεια. Παρά το σύντομο της διαδρομής, η ασθενής κατέληξε. Το περιστατικό αυτό αποτελεί πιθανότητα το πρώτο, σε παγκόσμια κλίμακα, κρούσμα κυβερνοεπίθεσης, που είχε παράπλευρη απώλεια. Αυτό που έκανε πιο τραγική τη συγκεκριμένη επίθεση ήταν το γεγονός ότι οι δράστες αποκάλυψαν ότι ο στόχος της επίθεσής τους ήταν το πανεπιστήμιο και όχι το νοσοκομείο και παρότι παρείχαν άμεσα τους κωδικούς για το ξεκλείδωμα των διακομιστών του νοσοκομείου, ήταν ήδη αργά για την ασθενή.

2. Το Διαδίκτυο των Πραγμάτων (IoT) σε σχέση με την προστασία των δεδομένων και την Κυβερνοασφάλεια

Οι Ηνωμένες Πολιτείες της Αμερικής ως πρωτοπόροι των τεχνολογιών του διαδικτύου, εστίασαν σταδιακά στους κινδύνους των τεχνολογιών του διαδικτύου των πραγμάτων, συμπεριλαμβανομένων και των τρόπων με τους οποίους οι τεχνολογίες αυτές θα μπορούσαν να χρησιμοποιηθούν και ως μέσα εισβολής πολιτικά υποκινούμενων ομάδων. Συγκεκριμένα, καλλιεργήθηκε μία εθελοντική προσέγγιση, τόσο για την κυβερνοασφάλεια, όσο και για την ιδιωτικότητα των δεδομένων, σε αντίθεση με την ολοένα και περισσότερο υποχρεωτική και περιεκτική προσέγγιση που καλλιεργείται στην Ευρωπαϊκή Ένωση, κυρίως ως προς την προστασία των προσωπικών δεδομένων, μέσα από το Γενικό Κανονισμό Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (GDPR)[44], ο οποίος τέθηκε σε εφαρμογή

20

το Μάιο του 2018[45]. Για τους πολίτες των χωρών της Ευρωπαϊκής Ένωσης οι διαδικτυακές αναζητήσεις προστατεύονται ως προσωπικά δεδομένα, ενώ οι πολίτες των Ηνωμένων Πολιτειών δεν απολαμβάνουν αντίστοιχης προστασίας[46]. Επίσης, στις ΗΠΑ, οι διατάξεις για την κυβερνοασφάλεια, ειδικά στο πλαίσιο του διαδικτύου των πραγμάτων, περιλαμβάνουν ένα συνονθύλευμα από ομοσπονδιακούς και πολιτειακούς νόμους και πολιτικές, οι οποίοι, λόγω του εύρους και της πολυπλοκότητάς τους, σε γενικές γραμμές δεν μπορούν να μετριάσουν τα ζητήματα ασφαλείας που προκύπτουν[47]. Οι ελλείψεις σε επίπεδο ρυθμίσεων παραμένουν, παρά τις φιλότιμες προσπάθειες φορέων όπως η Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission -FTC), η οποία κυρίως προβαίνει σε συστάσεις, οι οποίες δεν είναι υποχρεωτικές[48]. Οι συστάσεις αυτές είναι σύμφωνες τόσο με το Πλαίσιο Κυβερνοασφάλειας του 2014 του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (National Institute of Standards and Technology[49]), όσο και με το Πλαίσιο του διαδικτύου των Πραγμάτων του 2015 του ιδίου φορέα.

Σε αντίθεση με τα ανωτέρω, η Ευρωπαϊκή Ένωση είχε εξαρχής μία διακριτή, υποχρεωτική και πολύ πιο ολοκληρωμένη προσέγγιση τόσο ως προς την κυβερνοασφάλεια, όσο και την ιδιωτικότητα της πληροφορίας, σε σχέση με το καθεστώς που ακολουθείται στις ΗΠΑ[50]. Επίσης, η Ευρωπαϊκή Ένωση έδινε παραδοσιακά

21

έμφαση σε θέματα που προέκυπταν αναφορικά με το διαδίκτυο των πραγμάτων. Συγκεκριμένα, το 2014 η Ευρωπαϊκή Επιτροπή χρηματοδότησε ένα πρόγραμμα με την ονομασία CΙPHER, το οποίο είχε ως στόχο να πραγματοποιήσει μία «σε βάθος ανάλυση της πραγματικότητας στην ασφάλεια των ιδιωτικών πληροφοριακών συστημάτων στην Ευρώπη»[51]. Ειδικότερα, το πρόγραμμα CΙPHER περιελάμβανε μία απόπειρα να δημιουργηθεί ένας οδικός χάρτης με συστάσεις προς τους ιθύνοντες που θα περιελάμβαναν το διαδίκτυο των πραγμάτων. Περαιτέρω, η Ευρωπαϊκή Επιτροπή ίδρυσε τη Συμμαχία για τις Καινοτομίες του διαδικτύου των Πραγμάτων, η οποία επιφορτίστηκε με την αρμοδιότητα να αναπτύξει ένα πλαίσιο μεγάλης κλίμακας, το οποίο θα αντιμετωπίζει ζητήματα σχετικά με το διαδίκτυο των Πραγμάτων[52]. Η ομάδα αυτή είχε διεθνείς συνεργασίες και δέχθηκε αντιπροσωπείες από όλο τον κόσμο με στόχο τη συζήτηση της διακυβέρνησης του διαδικτύου των πραγμάτων, ενισχύοντας τη θέση της Ευρωπαϊκής Ένωσης ως βασικού κόμβου για την κυβερνοασφάλεια και τη διακυβέρνηση της ιδιωτικότητας. Τέλος, το 2015 η Ευρωπαϊκή Επιτροπή παρουσίασε το πρόγραμμα Horizon 2020, το οποίο περιελάμβανε στόχους για τις «έξυπνες» πόλεις και την ανάπτυξη του διαδικτύου των πραγμάτων[53]. Με λίγα λόγια, η Ευρωπαϊκή Ένωση αγκάλιασε το «Διαδίκτυο των πάντων», του οποίου συσκευές που μπορούν να φορεθούν (wearables) αποτελούνται από ολοκληρωμένες τεχνολογίες – κλειδιά (όπως τα νανο–ηλεκτρονικά ή τα οργανικά ηλεκτρονικά) κι «έξυπνα» συστήματα, τα οποία παρέχουν νέες λειτουργίες σε μία σειρά από καταναλωτικά προϊόντα, όπως ρούχα, υφάσματα, ρολόγια και άλλες συσκευές που μπορούν να φορεθούν στο ανθρώπινο σώμα[54].

Μία βασική πτυχή του πώς διαμορφώνεται η διακυβέρνηση του διαδικτύου των πραγμάτων στην Ευρωπαϊκή Ένωση είναι ο Γενικός Κανονισμός Προστασίας για τα Προσωπικά Δεδομένα[55]. Μολονότι το μεγαλύτερο τμήμα του ΓΚΠΔ έχει εστιάσει στις διατάξεις του σχετικά με την προστασία της ιδιωτικότητας και τα πιθανά

22

μεγάλα πρόστιμα που μπορούν να επιβληθούν στις περιπτώσεις που παραβιάζονται οι κανόνες προστασίας των δεδομένων, ένας σημαντικός στόχος του ΓΚΠΔ είναι να κατακρημνίσει, στο βαθμό που αυτό είναι εφικτό, τα εναπομείναντα νομοθετικά εμπόδια μεταξύ των κρατών – μελών της Ευρωπαϊκής Ένωσης και να προχωρήσει προς μία κοινή Ευρωπαϊκή αγορά[56]. Σε αυτή τη βάση, ο ΓΚΠΔ αποτελεί ένα αναλυτικό ρυθμιστικό καθεστώς με ευρύ φάσμα απαιτήσεων ως προς τη διασφάλιση της φορητότητας των δεδομένων και τη συγκατάθεση[57]. Όσο πρωτοποριακές και αν υπήρξαν αυτές οι ρυθμίσεις, δεν είχαν υπόψη τους το διαδίκτυο των πραγμάτων και αυτό προκύπτει και από τη διαπίστωση του ENISA (European Union Agency for Network and Information Security)[58] το 2017, σύμφωνα με την οποία «δεν υπήρξαν νομικές κατευθυντήριες γραμμές για τις συσκευές του διαδικτύου των πραγμάτων και των υπηρεσιών εμπιστοσύνης (service trust), αλλά ούτε κι ένα ελάχιστο επίπεδο που να προσδιορίζει την ασφάλεια και την ιδιωτικότητα των διασυνδεδεμένων και «έξυπνων» συσκευών»[59].

Ακόμα κι εάν ο Γενικός Κανονισμός αποτελεί μία ριζική αλλαγή με σημαντικά πλεονεκτήματα για τα υποκείμενα των δεδομένων, αποδείχθηκε και σημαντική πρόκληση. Οι οργανισμοί χρειάζεται να προχωρήσουν σε χρονοβόρες και σύνθετες τροποποιήσεις για τις διαδικασίες επεξεργασίας των προσωπικών δεδομένων, προκειμένου να είναι συμβατοί με τον Κανονισμό. Οι πολίτες, ως υποκείμενα δεδομένων αποκτούν νέα δικαιώματα, για τα οποία πρωτίστως θα πρέπει να ενημερωθούν και να τα κατανοήσουν. Τέλος, και ο ρόλος των αρχών προστασίας μεταβάλλεται, όπως επίσης και οι απαιτήσεις τους προς τους οργανισμούς. Η συμμόρφωση προς το Γενικό Κανονισμό, αφενός μεν αποτελεί πρόκληση για τα σχετιζόμενα ενδιαφερόμενα μέρη και για το λόγο αυτό προέκυψαν διάφορα ερευνητικά προγράμματα, όπως το ευρωπαϊκό έργο DEFeND (Data govErnance For supportiNg gDpr), του οποίου στόχος είναι η δημιουργία αυτής της πλατφόρμας[60]. Για την επιτυχία του έργου αυτού απαραίτητες προϋποθέσεις είναι η ικανοποίηση των νομικών απαιτήσεων και αυτών που αφορούν στην ιδιωτικότητα,

23

η αποτελεσματική στήριξη των οργανισμών ως προς την συμμόρφωσή τους με το Γενικό Κανονισμό και η παροχή των λειτουργιών που απαιτούν οι υπεύθυνοι επεξεργασίας των δεδομένων προς υποστήριξη της συμμόρφωσης με το Γενικό Κανονισμό. Περαιτέρω, πρέπει να πληρούνται οι κατάλληλες προδιαγραφές, ώστε να διασφαλιστεί ότι οι χρήστες του θα αγκαλιάσουν και θα χρησιμοποιήσουν την πλατφόρμα[61].

Παράλληλα, η Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή εξέδωσε το Σεπτέμβριο του 2018 Γνωμοδότηση σχετικά με την εμπιστοσύνη, την ιδιωτικότητα και την ασφάλεια των καταναλωτών και των επιχειρήσεων στο διαδίκτυο των πραγμάτων[62]. Σύμφωνα με τη Γνωμοδότηση αυτή, «οι καταναλωτές έχουν εξοικειωθεί περισσότερο με την άσκηση ελέγχου επί των προσωπικών τους δεδομένων και των ιδιωτικών τους προτιμήσεων βάσει του νέου Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ). Ο χρήστης μιας συσκευής πρέπει να ελέγχει τον τρόπο με τον οποίο γίνεται χρήση των δεδομένων που παράγει και το ποιος έχει τη δυνατότητα πρόσβασης σε αυτά, λαμβανομένου υπόψη ότι η ποικιλία των δεδομένων, καθώς και η συγκέντρωση και η σύνδεσή τους με άλλα δεδομένα, συνεπάγονται σοβαρό κίνδυνο για την ιδιωτικότητα στο οικοσύστημα του ΔτΠ».[63]. Μέσα σε αυτό το πλαίσιο ο Γενικός Κανονισμός τέθηκε σε εφαρμογή το Μάιο του 2018 και οδήγησε στην επανεκτίμηση των κινδύνων που απορρέουν από την επεξεργασία προσωπικών δεδομένων, με βασικό ζητούμενο την ασφάλεια της επεξεργασίας αυτής[64]. Για το λόγο αυτό, γίνονται προσπάθειες εξεύρεσης αντικειμενικών κριτηρίων για το επίπεδο ασφάλειας των προϊόντων, υπηρεσιών κι επεξεργασίας που στηρίζονται στην Τεχνολογία της Πληροφορίας και των Επικοινωνιών (ICT[65]), κριτήρια τα οποία θα δικαιολογήσουν τη χρήση της τεχνολογίας

24

σε περίπτωση σφάλματος. Η ανασφάλεια αυτή υπήρξε ένα από τα ζητήματα που η Ευρωπαϊκή Ένωση προσπάθησε να επιλύσει με τον Κανονισμό για την Κυβερνοασφάλεια[66], ο οποίος τέθηκε σε εφαρμογή την 27η Ιουνίου 2019. Ο Κανονισμός δημιουργεί ένα σχέδιο πιστοποίησης για την Κυβερνοασφάλεια σε όλη την Ευρωπαϊκή Ένωση, στον τομέα της τεχνολογίας των πληροφοριών και των επικοινωνιών. Περαιτέρω, ο Κανονισμός αυτός ανανεώνει και ενισχύει την ENISA, την Ευρωπαϊκή Υπηρεσία για την Κυβεροασφάλεια, καθορίζοντας τον ειδικό ρόλο της και τις αρμοδιότητές της.

Όσο λοιπόν, ο Γενικός Κανονισμός για την Προστασία των Δεδομένων εστιάζει στην «Προστασία των Δεδομένων ήδη από το σχεδιασμό» (Data Protection by Design[67]), όπου συναντώνται συστατικά τόσο σχετικά με την ιδιωτικότητα, όσο και με την ασφάλεια, ο Ευρωπαϊκός Κανονισμός για την Κυβερνοασφάλεια εστιάζει στην «Ασφάλεια ήδη εξ ορισμού» (Security by Design[68]), κάτι που απαντάται

25

κυρίως στις ΗΠΑ. Εκεί οι κανόνες για τη διαχείριση του διαδικτύου των Πραγμάτων σε σχέση με τα ζητήματα της κυβερνοασφάλειας και της ιδιωτικότητας εκδόθηκαν από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (National Institute of Standards and Technology – NIST[69]). Οι σχεδιαστές και οι κατασκευαστές των τεχνολογιών των πληροφοριών και των επικοινωνιών έχουν πλέον την ευκαιρία να επωφεληθούν από μία ευρεία ευρωπαϊκή πιστοποίηση ασφαλείας στον κυβερνοχώρο, η οποία θα αυξήσει σημαντικά την εμπιστοσύνη των πολιτών προς τα προϊόντα, τις υπηρεσίες και τις διαδικασίες τους. Η πιστοποίηση είναι προαιρετική, εκτός εάν προβλέπεται κάτι διαφορετικό από την εσωτερική νομοθεσία του Κράτους – μέλους. Ορίζεται ρητά ότι η Ευρωπαϊκή Επιτροπή πρέπει να εξετάζει, τουλάχιστον κάθε δύο χρόνια, εάν πρέπει να καταστεί υποχρεωτική κάποια συγκεκριμένη διαδικασια πιστοποίησης – ο πρώτος έλεγχος οφείλει να έχει πραγματοποιηθεί μέχρι την 31 Δεκεμβρίου 2023.

Ο Ευρωπαϊκός Κανονισμός για την Κυβερνοασφάλεια περιέχει τρία επίπεδα ασφαλείας: το βασικό, το ουσιώδες και το υψηλό[70]. Τα επίπεδα αυτά αντικατοπτρίζουν τον κίνδυνο που συνδέεται με την επιδιωκόμενη χρήση των τομέων των τεχνολογιών πληροφοριών κι επικοινωνίας, αναφορικά με την πιθανότητα και τον αντίκτυπο ενός συμβάντος. Κάθε επίπεδο ασφαλείας καθορίζει τις λειτουργίες ασφαλείας που πρέπει να αξιολογηθούν, καθώς και το βαθμό αυστηρότητας και βάθους της αξιολόγησης. Οι κατασκευαστές και οι πάροχοι που παρουσιάζουν χαμηλό κίνδυνο, ο οποίος κατατάσσεται στο βασικό επίπεδο ασφαλείας, μπορούν να εκδώσουν μία δήλωση συμμόρφωσης βασισμένη σε αυτοαξιολόγηση. Όπου δεν υπάρχει τέτοιου είδους αυτοαξιολόγηση ή τα επίπεδα ασφαλείας είναι ουσιώδη ή υψηλά, η διαδικασία πιστοποίησης πρέπει να πραγματοποιηθεί από ανεξάρτητο τρίτο μέρος. Το πλαίσιο της πιστοποίησης θα καθορίζει εάν το τρίτο μέρος θα μπορεί να είναι ιδιώτης ή δημόσιος οργανισμός ή εθνική αρχή πιστοποίησης της κυβερνοασφάλειας. Μολονότι η ανωτέρω πιστοποίηση δεν θα καθιστά τα προϊόντα ή τις υπηρεσίες ή τις διαδικασίες απόλυτα ασφαλή, η αξιολόγηση της συμμόρφωσης θα δηλώνει ότι αυτά έχουν ελεγχθεί και ότι συμφωνούν με συγκεκριμένες απαιτήσεις, όπως τεχνικά χαρακτηριστικά. Επίσης, δεδομένου

26

Back to Top