Τρίτη 13 Οκτωβρίου 2015

Ασφάλεια Συστημάτων Πληροφορικής και Δικτύων στην Ελλάδα


Στη Χώρα μας,μέτρα για ασφάλεια συστημάτων πληροφορικής και δικτύων προβλέπονται, σήμερα, μόνο σε σχέση με την προστασία προσωπικών δεδομένων και την προστασία του απορρήτου της επικοινωνίας. Ειδικότερα, σχετικές διατάξεις υφίστανται στο Ν. 2472/1997 και τον Ν. 3471/2006.
   Καταρχήν, στο Ν.2472/1997 (άρθρο 10 παρ. 3) που διέπει την προστασία προσωπικών δεδομένων, γενικά προβλέπεται η υποχρέωση του υπεύθυνου επεξεργασίας να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Σύμφωνα με την ίδια διάταξη, αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας.
   Παραπέρα, στο Ν.3471/2006, ο οποίος βρίσκει εφαρμογή κατά την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της παροχής υπηρεσιών ηλεκτρονικών επικοινωνιών, προβλέπεται ότι «ο φορέας παροχής διαθεσίµων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαµβάνει τα ενδεδειγµένα τεχνικά και οργανωτικά µέτρα, προκειµένου να προστατεύεται η ασφάλεια των υπηρεσιών του, καθώς και η ασφάλεια του δηµοσίου δικτύου ηλεκτρονικών επικοινωνιών. Τα µέτρα αυτά, εφόσον είναι αναγκαίο, λαµβάνονται από κοινού µε τον φορέα παροχής του δηµοσίου δικτύου ηλεκτρονικών επικοινωνιών, πρέπει δε να εγγυώνται επίπεδο ασφαλείας ανάλογο προς τον υπάρχοντα κίνδυνο, λαµβανοµένων υπόψη αφ' ενός των πλέον προσφάτων τεχνικών δυνατοτήτων αφ' ετέρου δε του κόστους εφαρµογής τους» (άρθρο 12 παρ. 1).
Πιο ειδικά, στην περίπτωση που υφίσταται ιδιαίτερος κίνδυνος παραβίασης της ασφάλειας του δηµοσίου δικτύου ηλεκτρονικών επικοινωνιών, ο φορέας που παρέχει διαθέσιµη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών οφείλει να ενηµερώσει τους συνδροµητές. Εφόσον ο κίνδυνος αυτός είναι εκτός του πεδίου των µέτρων που οφείλει να λαµβάνει ο πάροχος της υπηρεσίας, ο φορέας έχει την υποχρέωση να ενηµερώνει τους συνδροµητές και για όλες τις δυνατότητες αποτροπής του κινδύνου, καθώς και για το αναµενόµενο κόστος.
Σχετικές ρυθμίσεις προβλέπονται και στο Ν. 4070/2012 όσον αφορά την ασφάλεια και την ακεραιότητα δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών. Ειδικότερα, σύμφωνα με το άρθρο 37 παρ. 1 του νόμου, «οι επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό λαμβάνουν πρόσφορα τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά στην ασφάλεια των δικτύων και υπηρεσιών. Τα μέτρα αυτά, λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υφιστάμενο κίνδυνο. Οι επιχειρήσεις αυτές λαμβάνουν ιδίως μέτρα για την αποτροπή και ελαχιστοποίηση των επιπτώσεων από περιστατικά ασφαλείας που επηρεάζουν τους χρήστες και τα διασυνδεμένα δίκτυα». Σημαντικό είναι ότι, σύμφωνα με άλλη διάταξη του ίδιου νόμου (άρθρο 37 παρ. 4), κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών, πρέπει να κοινοποιείται από τις επιχειρήσεις που παρέχουν πρόσβαση σε δίκτυα ή υπηρεσίες ηλεκτρονικών επικοινωνιών στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.), η οποία με τη σειρά της κοινοποιεί κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.), η οποία ενημερώνει τις αρμόδιες εθνικές αρχές σε άλλα κράτη μέλη της ΕΕ και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), όπως, ενδεχομένως και το κοινό.
Οι ρυθμίσεις της νομοθεσίας για τα προσωπικά δεδομένα και τις ηλεκτρονικές επικοινωνίες έχουν, ωστόσο, περιορισμένο πεδίο εφαρμογής και, ως εκ τούτου, εύλογα γίνεται η διαπίστωση ότι υφίσταται ρυθμιστικό έλλειμμα σε ό,τι αφορά την προστασία από τους κινδύνους και τις απειλές για την ασφάλεια των συστημάτων και των δικτύων πληροφορικής, στη Χώρα μας.
Για την αντιμετώπιση των σχετικών κινδύνων απαιτείται συντονισμένη προσπάθεια και ειδικότερα, η κατάρτιση εθνικής στρατηγικής κυβερνοασφάλειας και η θέσπιση μέτρων ασφάλειας δικτύων και πληροφοριών, όπως και αντιμετώπισης κινδύνων που να εμπλέκουν όλους τους φορείς, δηλ. τις δημόσιες αρχές, τους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας και τους ιδιώτες που παρέχουν υπηρεσίες της κοινωνίας της πληροφορίας.
Αξίζει να σημειωθεί ότι και στη Χώρα μας έχει συνταχθεί προσχέδιο Εθνικής Στρατηγικής Κυβερνοασφάλειας που προβλέπει μέτρα, ανάλογα με όσα προβλέπονται και σε αντίστοιχα ρυθμιστικά κείμενα της αλλοδαπής. Σε αυτό προβλέπονται ως στρατηγικές κατευθύνσεις: α) η δημιουργία ενός ασφαλούς, ανθεκτικού και αξιόπιστου διαδικτυακού περιβάλλοντος όπου θα διασφαλίζεται η ακεραιότητα, διαθεσιμότητα και η εμπιστευτικότητα της διακινούμενης πληροφορίας, β) η ανάδειξη της κυβερνοασφάλειας ως θέματος κοινού ενδιαφέροντος και υπευθυνότητας όλων των εμπλεκόμενων φορέων, δημόσιων και ιδιωτικών, γ) η ευαισθητοποίηση του πληθυσμού για την ευθύνη καθενός εντός του κυβερνοχώρου και δ) η δραστηριοποίηση της Ελληνικής Δημοκρατίας σε διεθνές επίπεδο και ειδικότερα μέσω της ανταλλαγής πληροφοριών, της διαμόρφωσης διεθνών στρατηγικών, της ανάπτυξης και υιοθέτησης κανονισμών, της συμμετοχής σε κοινές ασκήσεις και την ανάληψη πρωτοβουλιών ή κοινών έργων με άλλες χώρες. Ιδιαίτερα σημαντικό είναι ότι προβλέπεται η δημιουργία Εθνικής Αρχής Κυβερνοασφάλειας, με διευρυμένες αρμοδιότητες και με διοικητική και επιχειρησιακή δομή ανάλογη με ένα εθνικό κέντρο αντιμετώπισης έκτακτων περιστατικών ασφάλειας (CERT). H Aρχή αυτή θα φέρει την ευθύνη υλοποίησης της Εθνικής Στρατηγικής και θα παρακολουθεί, συντονίζει και αξιολογεί το έργο των εμπλεκόμενων φορέων με σκοπό την υλοποίηση της Εθνικής Στρατηγικής.  
Βεβαίως, πρέπει να αναφερθεί ότι ήδη λειτουργεί στη Χώρα μας, η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) – στο πλαίσιο της Εθνικής Υπηρεσίας Πληροφοριών –, η οποία   έχει ως αποστολή να μεριμνά για την πρόληψη και τη στατική και ενεργητική αντιμετώπιση ηλεκτρονικών επιθέσεων κατά δικτύων επικοινωνιών, εγκαταστάσεων αποθήκευσης πληροφοριών και συστημάτων πληροφορικής, καθώς και για τη συλλογή, την επεξεργασία δεδομένων και την ενημέρωση των αρμόδιων φορέων[1]. Η αρμοδιότητά της, ωστόσο, είναι περιορισμένη, καθ’ όσον αφορά μόνο τις ηλεκτρονικές απειλές προς τον Δημόσιο τομέα και τις κρίσιμες υποδομές της χώρας.
Σε επίπεδο Ευρωπαϊκής Ένωσης, έχουν ληφθεί μεμονωμένα νομοθετικά μέτρα για την αντιμετώπιση του ηλεκτρονικού εγκλήματος με πιο πρόσφατη, την οδηγία 2013/40/EE για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαίσιο 2005/222/ΔΕΥ του Συμβουλίου.
 Στις 7.2.2013 κατατέθηκε από την Ευρωπαϊκή Επιτροπή Πρόταση Οδηγίας σχετικά με την εξασφάλιση κοινού υψηλού επιπέδου ασφάλειας δικτύωνκαι πληροφοριών, η οποία αναμένεται να εγκριθεί σύντομα και η οποία θα αποτελέσει ορόσημο για την αντιμετώπιση των σύγχρονων προκλήσεων στο ζήτημα της Κυβερνοασφάλειας.
Ειδικότερα, η ψήφιση της οδηγίας θα επιφέρει βελτίωση της ασφάλειας του διαδικτύου και των ιδιωτικών δικτύων και συστημάτων πληροφοριών που υποστηρίζουν τη λειτουργία των Ευρωπαϊκών κοινωνιών και των οικονομιών. Οι στόχοι αυτοί θα επιτευχθούν απαιτώντας από τα κράτη μέλη της ΕΕ να αυξήσουν την ετοιμότητά τους, να βελτιώσουν τη μεταξύ τους συνεργασία, και ζητώντας από τους φορείς εκμετάλλευσης των υποδομών ζωτικής σημασίας, όπως είναι η ενέργεια, οι μεταφορές, καθώς και από τους βασικούς παρόχους υπηρεσιών της κοινωνίας της πληροφορίας (πλατφόρμες ηλεκτρονικού εμπορίου, κοινωνικά δίκτυα κλπ), όπως και από τις δημόσιες διοικήσεις να θεσπίσουν κατάλληλα μέτρα για τη διαχείριση των κινδύνων για την ασφάλεια και να αναφέρουν τα σοβαρά συμβάντα στις αρμόδιες εθνικές αρχές. Η οδηγία είναι μέτρο ελάχιστης εναρμόνισης και αυτό σημαίνει ότι τα κράτη μέλη μπορούν να λάβουν μέτρα που να εξασφαλίζουν υψηλότερο επίπεδο ασφαλείας.
Μεταξύ των άλλων, προβλέπεται στο σχέδιο οδηγίας, κατά πρώτον, η κατάρτιση Εθνικής στρατηγικής για την ασφάλεια δικτύων και πληροφοριών και εθνικό σχέδιο συνεργασίας για την ασφάλεια δικτύων και πληροφοριών. Κατά δεύτερον, προβλέπεται η δημιουργία αρμόδιας εθνικής αρχής για την ασφάλεια των συστημάτων δικτύων και πληροφοριών, αλλά και η κατάρτιση ομάδας αντιμετώπισης έκτακτων αναγκών στην πληροφορική (“CERT”) που θα είναι υπεύθυνη για τον χειρισμό συμβάντων και κινδύνων. Περαιτέρω, ρυθμίζονται ζητήματα συνεργασίας μεταξύ αρμόδιων αρχών, στο πλαίσιο της οποίας προβλέπεται η δημιουργία δικτύου συνεργασίας και ενός ασφαλούς συστήματος ανταλλαγής πληροφοριών, η παροχή έγκαιρων ειδοποιήσεων κοκ. Ιδιαίτερα σημαντικές είναι οι ουσιαστικού δικαίου ρυθμίσεις (στο κεφάλαιο IV), όπου θεσπίζονται οι απαιτήσεις ασφάλειας που αφορούν τη δημόσια διοίκηση και τους φορείς της αγοράς κλπ. Τέλος, προβλέπεται η θέσπιση κυρώσεων σε περίπτωση παραβίασης των εθνικών διατάξεων που θεσπίζονται κατ’ εφαρμογή της οδηγίας, οι οποίες πρέπει να είναι ουσιαστικές, αναλογικές και αποτρεπτικές.




Τετάρτη 7 Οκτωβρίου 2015

Safe Harbor for U.S. Companies processing data of European Citizens Gone?


To enable the data transfer between U.S. and E.U., the Commission entered into an agreement with the U.S., which does not provide an adequate level of protection of personal data. In fact, according to Directive 95/46, the transfer of personal data to countries that do not guarantee an adequate level of protection (Article 25). Within the framework of this Agreement, the Commission Decision 2000/520/EC was issued, which allows personal data from the EU to be transferred to U.S.A., in case the organization receiving the data is committed to comply with the Safe Harbor Principles, included in Annex I of the Decision.

Practically, in order to join the Safe Harbor Framework, a company must self-certify to the Department of Commerce that it complies with EU standards. The FTC enforces the promise that companies make when they certify that they participate in the Safe Harbor Framework. The certified organizations are included in the U.S.-EU Safe Harbor List, It is reported that almost 3,500 organizations across a broad range of industries in USA are safe-harbor certified (see: here).

The situation changed with the revelations concerning the US government's covert surveillance programs. Notably, European Commission Vice-President Viviane Reding announced in July 2013 a European Commission (Commission) plan to review the Safe Harbor and publish the results before the end of 2013. She observed that the Safe Harbor "may not be so safe after all," noting that it "could be a loophole”for data transfers because "it allows data transfers from EU to US companies – although US data protection standards are lower than our European ones.

The breakthrough came with the Decision of the CJEU of 6 October 2015 in case C-362/14 Maximillian Schrems v. Data Protection Commissioner. The Court declared the Decision as invalid and opened up a Pandora's box, as far the data transfers from the EU to US are concerned.

In more particular, this case refers to a request for a preliminary ruling under Article 267 TFEU from the Hight Court of Ireland. The dispute in the main proceedings concerned a complaint of an Austrian citizen, Mr. Schrems. The complainant had been a Facebook user since 2008. As it happens with other subscribers residing in the EU, some or all of the data provided by Mr Schrems to Facebook is transferred from Facebook’s Irish subsidiary to servers located in the United States, where it is processed. Schrems lodged a complaint with the Irish supervisory authority, taking the view that, in the light of the revelations made in 2013 by Edward Snowden concerning the activities of the United States intelligence services (in particular the National Security Agency (‘the NSA’)), the law and practice of the United States do not offer sufficient protection against surveillance by the public authorities of the data transferred to that country. The Irish authority rejected the complaint, on the ground, in particular, that in a decision of 26 July 2000 the Commission considered that, under the ‘safe harbour’ scheme, the United States ensuresan adequate level of protection of the personal data transferred (the Safe Harbour Decision). The High Court of Ireland, before which the case had been brought, wished to ascertain whether that Commission decision had the effect of preventing a national supervisory authority from investigating a complaint alleging that the third country does not ensure an adequate level of protection and, where appropriate, from suspending the contested transfer of data.

 The CJEU held that the existence of a Commission decision finding that a third country ensures an adequate level of protection of the personal data transferred cannot eliminate or even reduce the powers available to the national supervisory authorities under the Charter of Fundamental Rights of the European Union and the directive. The Court stresses in this regard the right, guaranteed by the Charter, to the protection of personal data and the task with which the national supervisory authorities are entrusted under the Charter.

The Court stated that no provision of the directive 95/46 prevents oversight by the national supervisory authorities of transfers of personal data to third countries which have been the subject of a Commission decision. Thus, even if the Commission had adopted a decision, the national supervisory authorities, when dealing with a claim, must be able to examine, with complete independence, whether the transfer of a person’s data to a third country complies with the requirements laid down by the directive.

The Court alone has jurisdiction to declare that an EU act, such as a Commission decision, is invalid . Consequently, where a national authority or the person who has brought the matter before the national authority considers that a Commission decision is invalid, that authority or person must be able to bring proceedings before the national courts so that they may refer the case to the Court of Justice if they too have doubts as to the validity of the Commission decision. It is thus ultimately the Court of Justice which has the task of deciding whether or not a Commission decision is valid.
 
Consequently, the Court  investigated whether the Safe Harbour Decision is invalid. Consequently, it stated that the Commission was required to find that the United States in fact ensures, by reason of its domestic law or its international commitments, a level of protection of fundamental rights essentially equivalent to that guaranteed within the EU under the directive read in the light of the Charter. The Court observed that the Commission did not make such a finding, but merely examined the safe harbour scheme. Without needing to establish whether that scheme ensures a level of protection essentially equivalent to that guaranteed with in the EU, the Court found that the scheme is applicable solely to the United States undertakings which adhere to it, and United States public authorities are not themselves subject to it. Further more, national security, public interest and law enforcement requirements of the United States prevail over the safe harbour scheme, so that United States undertakings are bound to disregard, without limitation, the protective rules laid down by that scheme where they conflict with such requirements. The United States safe harbour scheme thus enables interference, by United States public authorities, with the fundamental rights of persons, and the Commission decision does not refer either to the existence, in the United States, of rules intended to limit any such interference or to the existence of effective legal protection against the interference.

The Court considered that that analysis of the scheme is borne out by two Commission communications, according to which the United States authorities were able to access the personal data transferred from the Member States to the United States and process it in a way incompatible, in particular, with the purposes for which it was transferred, beyond what was strictly necessary and proportionate to the protection of national security. Also, the Commission noted that the persons concerned had no administrative or judicial means of redress enabling, in particular, the data relating to them to be accessed and, as the case may be, rectified or erased. As regards a level of protection essentially equivalent to the fundamental rights and freedoms guaranteed within the EU, the Court finds that, under EU law, legislation is not limited to what is strictly necessary where it authorises, on a generalised basis, storage of all the personal data of all the persons whose data is transferred from the EU to the United States without any differentiation, limitation or exception being made in the light of the objective pursued and without an objective criterion being laid down for determining the limits of the access of the public authorities to the data and of its subsequent use.

The Court added that legislation permitting the public authorities to have access on a generalised basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life. Likewise, the Court stated that legislation not providing for any possibility for an individual to pursue legal remedies in order to have access to personal data relating to him, or to obtain the rectification or erasure of such data, compromises the essence of the fundamental right to effective judicial protection, the existence of such a possibility being inherent in the existence of the rule of law. Finally, the Court found that the Safe Harbour Decision denied the national supervisory authorities their powers where a person calls into question whether the decision is compatible with the protection of the privacy and of the fundamental rights and freedoms of individuals. The Court held that the Commission did not have competence to restrict the national supervisory authorities’ powers in that way.

For all those reasons, the Court declared the Safe Harbour Decision invalid. As a result,  the Irish supervisory authority is required to examine Mr Schrems’ complaint with all due diligence and, at the conclusion of its investigation, is to decide whether, pursuant to the directive, transfer of the data of Facebook’s European subscribersto the United States should be suspended on the ground that that country does not afford an adequate level of protection of personal data.

The consequences from this decision are very important, since the practice of data flow between EU and USA will be influenced. However, the EU Commission and the Rat in Luxembourg find no reason to stop data flows (!) [see here].

The Vice-President of the EU Commission, Frans Timmermans, mentioned in a statement that this decision confirmed the EU Commission's approach for the renegotiation of the Safe Harbor.

 The Article 29 Working Party welcomed the Court's decision, which reaffirmed that data protection rights are an inherent part of the EU fundamental rights regime. It recognizes that the decision will have major consequences on all stakeholders and for this reason, it stated in a press release issued in 6 October 2015 that a first round of discussions between experts is organized this week in Brussels and that an extraordinary plenary meeting of the Working Party will be shortly scheduled.
.



 See Court of Justice of the European Uniion, PRESS RELEASE No 117/15