Διασφάλιση Ιδιωτικότητας σε Κατανεμημένα Συστήματα Μεγάλης Κλίμακας

Abstract

Η συνεχώς αυξανόμενη εξάρτηση των παρεχόμενων – από κρατικούς και ιδιωτικούς φορείς – υπηρεσιών από τις Τεχνολογίες Πληροφορίας και Επικοινωνίας (ΤΠΕ) αυξάνει δραματικά τις ευπάθειες των συστημάτων, το πλήθος και το εύρος των απειλών και των επιθέσεων, καθώς και τη σοβαρότητα των συνεπειών για τον πάροχο αλλά και τον τελικό χρήστη της εκάστοτε υπηρεσίας σε περίπτωση κάποιου περιστατικού ασφάλειας. Οι σημερινές επιθέσεις προς τις προσφερόμενες ηλεκτρονικές υπηρεσίες και τα πληροφοριακά συστήματα που τις υποστηρίζουν αποτελούν ένα νέο είδος ηλεκτρονικού πολέμου, ενώ μπορεί να έχουν ποινικό, οικονομικό ή τρομοκρατικό κίνητρο και να οδηγήσουν σε αποσταθεροποίηση της κοινωνίας. Διαρροές κρίσιμων πληροφοριών, τροποποίηση ευαίσθητων δεδομένων και μη διαθεσιμότητα βασικών λειτουργιών μπορεί να θέσουν σε κίνδυνο οικονομικά συμφέροντα εταιρειών αλλά και στρατηγικά συμφέροντα κρατών. Δεδομένου ότι οι επιθέσεις εναντίον των ΤΠΕ εξελίσσονται συνεχώς και η ανίχνευσή τους γίνεται όλο και πιο δύσκολη, η εξασφάλιση ενός επαρκούς επιπέδου ασφάλειας και προστασίας της ιδιωτικότητας των χρηστών κρίνεται αναγκαία. Για το λόγο αυτό, αποτελεί πλέον επιτακτική ανάγκη κατά τον σχεδιασμό και την ανάπτυξη ασφαλών πληροφοριακών συστημάτων να λαμβάνονται υπόψη: (α) η ποικιλία και ένταση των κινδύνων που αντιμετωπίζουν τα σύγχρονα πληροφοριακά συστήματα, (β) οι Νομικές και Κανονιστικές απαιτήσεις για την προστασία ευαίσθητων δεδομένων και δεδομένων προσωπικού χαρακτήρα, καθώς και (γ) το σημαντικό κόστος από τυχόν σκόπιμες παραβιάσεις της ασφάλειας του συστήματος, όπως επίσης και των ακούσιων, τυχαίων και φυσικών γεγονότων που απειλούν ένα σύγχρονο πληροφοριακό σύστημα. Για την αποτελεσματική αντιμετώπιση των ζητημάτων αυτών, καθοριστική συνεισφορά έχει η χάραξη στρατηγικών, ο ορισμός πολιτικών, η ανάπτυξη υπηρεσιών και μηχανισμών καθώς και η - εκ των προτέρων, κατά τη διάρκεια και εκ των υστέρων - αξιολόγηση του συνολικού εγχειρήματος για τη δημιουργία ενός ολοκληρωμένου περιβάλλοντος ασφάλειας και εμπιστοσύνης. Στόχος της παρούσας διδακτορικής διατριβής είναι η παρουσίαση ενός ολοκληρωμένου πλαισίου ασφάλειας και μίας πλατφόρμας που υιοθετεί τα απαιτούμενα τεχνικά, διαδικαστικά και οργανωτικά μέτρα για την προστασία των πληροφοριακών συστημάτων από τις απειλές στις οποίες εκτίθενται ή/και την ελαχιστοποίηση των όποιων επιπτώσεων από δυνητικά περιστατικά ασφάλειας. Η προαναφερθείσα πλατφόρμα ακολουθεί την προσέγγιση ασφάλειας και προστασίας της ιδιωτικότητας από τον σχεδιασμό του συστήματος (security- & privacy-by-design), καλύπτοντας ανάγκες σχετικές με τη διαχείριση της μετάδοσης, αποθήκευσης και επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα ικανοποιεί τις απαιτήσεις που απορρέουν από την ισχύουσα νομοθεσία περί προστασίας της ιδιωτικότητας, υιοθετώντας και επεκτείνοντας καινοτόμους μηχανισμούς ασφάλειας και προστασίας δεδομένων. Η αποτελεσματικότητα της προαναφερθείσας πλατφόρμας εξετάζεται και επαληθεύεται σε συστήματα που διαχειρίζονται δεδομένα (προσωπικά και μη) σε ετερογενή κατανεμημένα περιβάλλοντα, και, συγκεκριμένα, σε συστήματα παροχής υπηρεσιών στους τομείς διαχείρισης παραγωγής, ηλεκτρονικής διακυβέρνησης και παρακολούθησης της υγείας του ατόμου.