Καθώς διανύουμε την Εβδομάδα Προστασίας της Ιδιωτικής Ζωής (27-31 Ιανουαρίου) και σήμερα γιορτάζουμε την Ημέρα Προστασίας των Προσωπικών Δεδομένων (28 Ιανουαρίου), είναι η κατάλληλη στιγμή για να επισημάνουμε τον κρίσιμο ρόλο που διαδραματίζει η προστασία των δεδομένων στην επιτυχία των σύγχρονων επιχειρήσεων.
Στην πραγματικότητα, η προστασία της ιδιωτικής ζωής και των δεδομένων συμβαδίζει με την κυβερνοασφάλεια, εξηγεί ο Phil Muncaster από την ομάδα της παγκόσμιας εταιρίας λογισμικού ασφαλείας ESET. Σημαντικοί νόμοι όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (ΓΚΠΔ ) τονίζουν όχι μόνο την ανάγκη προάσπισης των δικαιωμάτων προστασίας της ιδιωτικής ζωής των πελατών, αλλά και της προστασίας των πιο ευαίσθητων προσωπικών στοιχείων τους (PII) μέσω τεχνολογιών αιχμής, όπως η κρυπτογράφηση.
«Οι τελευταίοι 12 μήνες ήταν μια σημαντική περίοδος για την προστασία της ιδιωτικής ζωής διεθνώς, χάρη σε νέους νόμους, σημαντικές νομικές αποφάσεις και αναδυόμενες τάσεις τεχνολογίας και απειλών. Ήρθε η ώρα να ετοιμαστούμε για το 2025» προειδοποιεί ο Muncaster από την ESET.
Τι έγινε το 2024;
Κατά τη διάρκεια του περασμένου έτους είδαμε:
Επιβολή υπέρογκων προστίμων και διακανονισμών
Μεταξύ αυτών περιλαμβάνονται:
- πρόστιμο 310 εκατ. ευρώ στο LinkedIn βάσει του ΓΚΠΔ, επειδή δεν ζήτησε συγκατάθεση από τους χρήστες για την επεξεργασία προσωπικών δεδομένων,
- πρόστιμο ύψους 294 εκατ. ευρώ στην Uber βάσει του ΓΚΠΔ επειδή δεν διασφάλισε επαρκώς τα δεδομένα των οδηγών που ήταν αποθηκευμένα στις ΗΠΑ,
- πρόστιμο ύψους 91 εκατ. ευρώ στην Meta βάσει του ΓΚΠΔ, επειδή αποθήκευε τους κωδικούς πρόσβασης των χρηστών σε απλό κείμενο,
- διακανονισμός ύψους 1,4 δισ. δολαρίων μεταξύ της Meta και της πολιτείας του Τέξας για παράνομη συλλογή και χρήση βιομετρικών δεδομένων πολιτών.
Σημαντικές δικαστικές αποφάσεις
Σημαντικές αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) θα έχουν σοβαρές επιπτώσεις για τις εταιρείες που δραστηριοποιούνται στην ΕΕ. Σε αυτές περιλαμβάνονται:
- Η υπόθεση Lindenpotheke, όπου το ΔΕΕ έκρινε ότι οι επιχειρήσεις μπορούν να μηνύουν τους ανταγωνιστές τους για παραβιάσεις του ΓΚΠΔ βάσει των νόμων περί αθέμιτου ανταγωνισμού. Η ίδια απόφαση διεύρυνε τον ορισμό των δεδομένων υγείας.
- Η υπόθεση C-621/22, στην οποία το ΔΕΕ καθόρισε τα «έννομα συμφέροντα » ως νόμιμη βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον οι εταιρείες ακολουθούν αυστηρά μέτρα προστασίας της ιδιωτικής ζωής.
Περισσότεροι νόμοι σχετικά με την κυβερνοασφάλεια
Μεταξύ των νόμων που ψηφίστηκαν ή προωθήθηκαν το 2024 ήταν:
- Η οδηγία NIS2, η οποία συμπεριλαμβάνει περισσότερες εταιρείες και απαιτεί την εφαρμογή αυστηρών ελέγχων κυβερνοασφάλειας.
- Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο (CRA), ο οποίος επιβάλλει ένα αυστηρό σύνολο απαιτήσεων κυβερνοασφάλειας για το υλικό και το λογισμικό που πωλείται στην ΕΕ.
- Η πράξη αλληλεγγύης στον κυβερνοχώρο (CSA), η οποία έχει σχεδιαστεί για να βοηθήσει τα κράτη μέλη να εντοπίζουν καλύτερα, να προετοιμάζονται και να ανταποκρίνονται σε απειλές μεγάλης κλίμακας για την κυβερνοασφάλεια.
Διεθνείς πρωτοβουλίες διακυβέρνησης της Τεχνητής Νοημοσύνης
Αυτές περιλάμβαναν:
- Ο κανονισμός της ΕΕ για την Τεχνητή Νοημοσύνη
- Περισσότερες χώρες (συμπεριλαμβανομένου του Ηνωμένου Βασιλείου, της ΕΕ και των ΗΠΑ) υπέγραψαν τη Σύμβαση-πλαίσιο του Συμβουλίου της Ευρώπης για την Τεχνητή Νοημοσύνη
- Το πλαίσιο διακυβέρνησης της Κίνας για την ασφάλεια της Τεχνητής Νοημοσύνης.
Τι να περιμένουμε το 2025
Ο αντίκτυπος αυτών των γεγονότων θα είναι αισθητός καθ’ όλη τη διάρκεια του 2025 και πέραν αυτού, ενώ οι επερχόμενοι νόμοι και οι μακροπρόθεσμες τάσεις του τοπίου απειλών θα δημιουργήσουν επείγουσες ανάγκες για τις ομάδες κυβερνοασφάλειας και συμμόρφωσης. Οι εταιρείες θα πρέπει να είναι προετοιμασμένες για:
Περισσότερους νόμους για την προστασία των δεδομένων
Μεταξύ αυτών περιλαμβάνονται το νομοσχέδιο C-27 του Καναδά, το νομοσχέδιο Data (Use and Access) του Ηνωμένου Βασιλείου και οκτώ νόμοι για την προστασία της ιδιωτικής ζωής σε επίπεδο πολιτείας, στο Ντέλαγουερ, την Αϊόβα, τη Νεμπράσκα, το Νιου Χάμσαϊρ, το Νιου Τζέρσεϊ, το Τενεσί, τη Μινεσότα και το Μέριλαντ. Αυτοί θα συμβάλουν αθροιστικά στην ευαισθητοποίηση και την κατοχύρωση των δικαιωμάτων προστασίας της ιδιωτικής ζωής, καθώς και στη ρυθμιστική επιβολή. Το τελικό αποτέλεσμα θα είναι πιθανότατα να αυξηθεί η πίεση στις ομάδες συμμόρφωσης και στους επικεφαλής των επιχειρήσεων να ενισχύσουν τα μέτρα προστασίας των δεδομένων.
Περισσότερα μέτρα
Επίσης θα δούμε τις ρυθμιστικές αρχές να ασκούν μεγαλύτερη πίεση, καθώς οι νόμοι που ψηφίστηκαν το 2024 αρχίζουν να εφαρμόζονται και να τίθενται σε ισχύ. Για παράδειγμα, η Πράξη της ΕΕ για την Τεχνητή Νοημοσύνη θα φέρει:
- Απαγόρευση των συστημάτων τεχνητής νοημοσύνης (ΤΝ) που ενέχουν απαράδεκτους κινδύνους (συμπεριλαμβανομένης της κοινωνικής βαθμολόγησης και της μη στοχευμένης απόσπασης δεδομένων προσώπου) από τις 2 Φεβρουαρίου
- Απαιτήσεις για τα μοντέλα ΤΝ γενικής χρήσης που θα τεθούν σε ισχύ στις 2 Αυγούστου. Αυτές θα περιλαμβάνουν εντολή για τους προγραμματιστές γενετικής τεχνητής νοημοσύνης (GenAI) να αξιολογούν και να μετριάζουν τους συστημικούς κινδύνους και να τεκμηριώνουν τα μέτρα κυβερνοασφάλειας.
Περισσότερες απειλές και μεγαλύτερος κίνδυνος προστασίας της ιδιωτικής ζωής
Κατά το προηγούμενο έτος, οι παραβιάσεις δεδομένων που ανακοινώθηκαν στις ΗΠΑ σημείωσαν ρεκόρ, με αποτέλεσμα πάνω από 353 εκατομμύρια τελικοί χρήστες να εκτεθούν σε απάτη ταυτότητας. Καθώς τα εργαλεία τεχνητής νοημοσύνης, τα κλεμμένα διαπιστευτήρια και η προσφορά κακόβουλων υπηρεσιών συνεχίζουν να πολλαπλασιάζονται στον κόσμο του ηλεκτρονικού εγκλήματος, αναμένετε έναν κατακλυσμό εξελιγμένων κυβερνοεπιθέσεων που μπορεί να πιάσουν απροετοίμαστες τις ομάδες κυβερνοασφάλειας. Η GenAI θα βελτιώσει ιδιαίτερα την ποιότητα των εκστρατειών κοινωνικής μηχανικής και της αναγνώρισης των ευάλωτων και εκτεθειμένων στοιχείων πληροφορικής.
Οι εταιρείες που θα αποτύχουν να βελτιώσουν την κυβερνοασφάλεια τους σύμφωνα με τις βέλτιστες πρακτικές κινδυνεύουν να βρεθούν στο στόχαστρο των ρυθμιστικών αρχών για την προστασία της ιδιωτικής ζωής.
Φορείς απειλών που αξιοποιούν τους νέους νόμους
Ακριβώς όπως έκαναν μετά την εισαγωγή του ΓΚΠΔ, οι κυβερνοεγκληματίες θα μπορούσαν να χρησιμοποιήσουν την απειλή ρυθμιστικών μέτρων για να αναγκάσουν τα θύματα τους να πληρώσουν μετά από επιθέσεις εκβιασμού. Τα πρόστιμα της NIS2 θα μπορούσαν να φτάσουν τα 10 εκατ. ευρώ ή το 2% των παγκόσμιων ετήσιων εσόδων, για παράδειγμα. Είναι επίσης πιθανό ότι αν ο νέος νόμος συμβάλει στην προώθηση βελτιώσεων μεταξύ των ρυθμιζόμενων εταιρειών, οι φορείς απειλών θα στρέψουν την προσοχή τους σε μικρότερες εταιρείες που δεν υπόκεινται στην οδηγία.
Η τεχνητή νοημοσύνη δημιουργεί προκλήσεις συμμόρφωσης σε θέματα προστασίας της ιδιωτικής ζωής
Τα συστήματα τεχνητής νοημοσύνης εκπαιδεύονται χρησιμοποιώντας τεράστιους όγκους δεδομένων. Ορισμένες φορές τα δεδομένα αυτά προέρχονται από το διαδίκτυο και άλλες φορές από λογαριασμούς πελατών. Αυτό δημιουργεί πιθανές προκλήσεις για την προστασία της ιδιωτικής ζωής, εάν δεν έχει εξασφαλιστεί η συγκατάθεση τους (όπως διαπίστωσε η LinkedIn στο Ηνωμένο Βασίλειο). Ορισμένα συστήματα τεχνητής νοημοσύνης μπορεί επίσης να καταστήσουν δυσκολότερο για τους οργανισμούς να αφαιρούν ή να διορθώνουν προσωπικές πληροφορίες όταν το ζητούν οι χρήστες. Αρκετές πολιτείες των ΗΠΑ σχεδιάζουν ήδη νόμους για την τεχνητή νοημοσύνη, ακολουθώντας το παράδειγμα του Κολοράντο.
Τι πρέπει να γίνει στη συνέχεια
Σε αυτό το πλαίσιο, το 2025 θα μπορούσε να είναι μια κρίσιμη χρονιά για τις ομάδες κυβερνοασφάλειας και συμμόρφωσης. Θα πρέπει να:
- Παρακολουθούν τις σχετικές ρυθμιστικές και νομοθετικές αλλαγές και να κατανοούν τις απαιτήσεις συμμόρφωσης που ισχύουν.
- Ενισχύσουν την ασφάλεια των δεδομένων σύμφωνα με τις βέλτιστες πρακτικές του κλάδου.
- Διασφαλίσουν ότι οι υπεύθυνοι των εταιρικών δεδομένων προσδιορίζονται με σαφήνεια και να δημιουργήσουν ένα ισχυρό σύστημα αναφοράς που προσδιορίζει τους ρόλους και τις ευθύνες όλων των εμπλεκομένων
- Πραγματοποιούν εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) πριν από την εισαγωγή οποιουδήποτε νέου προϊόντος ή υπηρεσίας (π.χ. ενός νέου εργαλείου τεχνητής νοημοσύνης), καθώς και εφαρμογή κατάλληλων διασφαλίσεων με βάση την DPIA
- Παρακολούθηση των επιδόσεων, επανεξέταση των πρωτοκόλλων ασφαλείας και αντιμετώπιση των τομέων που απαιτούν προσοχή
Η προστασία των δεδομένων μπορεί συχνά να μοιάζει με αγγαρεία. Στην πραγματικότητα, όμως, θα πρέπει να αντιμετωπίζεται ως ευκαιρία. Προσφέρει στις εταιρείες την ευκαιρία να ενισχύσουν την αφοσίωση και την εμπιστοσύνη των πελατών, και μετριάζει τον κίνδυνο παραβιάσεων που βλάπτουν τη φήμη και τα οικονομικά τους. Αν οι εταιρείες δουν το 2025 μέσα από αυτό το πρίσμα οι επόμενοι 12 μήνες θα μπορούσαν να ανοίξουν την πόρτα σε νέες επαγγελματικές δυνατότητες.
