Μετρικές και μεθοδολογίες αξιολόγησης ιδιωτικότητας και ασφάλειας πληροφοριακών συστημάτων

Abstract

H δυσκολία στη κατανόηση της πολιτικής προστασίας δεδομένων των ιστοσελίδων από τους χρήστες αποτελεί κοινό τόπο προβληματισμού. Τις περισσότερες φορές χρήστες χωρίς εξειδικευμένες γνώσεις δεν έχουν την δυνατότητα να αντιληφθούν τις λεπτομέρειες αλλά ούτε και να εστιάσουν στις διαφορές μεταξύ των πολιτικών. Η δημιουργία μίας διαδικασίας όπου θα αναδεικνύει τους κινδύνους και θα ενημερώνει με απλό και κατανοητό τρόπο τους χρήστες αποτελεί ένα δύσκολο στοίχημα για τους ερευνητές της συγκεκριμένης ερευνητικής περιοχής. Πρώτος στόχος της διδακτορικής διατριβής ήταν η δημιουργία ενός πλαισίου για την αξιολόγηση των πολιτικών προστασίας δεδομένων, το οποίο θα έχει τη δυνατότητα προσαρμογής ανάλογα με τις ιδιαιτερότητες κάθε κατηγορίας που εξετάζει. Ο βασικός κορμός του πλαισίου βασίζεται στις αρχές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), που αποτελεί και τον πλέον διαδεδομένο κανονισμό για την προάσπιση της ιδιωτικότητας των χρηστών. Η αξιολόγηση χαρακτηριστικών στο κείμενο της πολιτικής προστασίας δεδομένων, όπως είναι η αναγνωσιμότητα (readability), η παρουσία οπτικής αναπαράστασης πληροφοριών κ.α., μας επιτρέπουν να δημιουργήσουμε ένα αξιόπιστο πλαίσιο σύγκρισης. Επίσης, ανάλογα με την κατηγορία του θέματος των ιστοτόπων, μπορούμε να ορίσουμε διαφορετικό συντελεστή βαρύτητας ανά κριτήριο. Για παράδειγμα, στην περίπτωση όπου καταγράφονται δεδομένα παιδιών ή ιατρικά δεδομένα, ο συντελεστής βαρύτητας κάποιων κατηγοριών μπορεί να προσαρμοστεί αναλόγως, ενώ υπάρχει και η δυνατότητα ενσωμάτωσης επιπλέον κριτηρίων. Στη συνέχεια, μέσω της ερευνητικής καταγραφής, παρατηρήσαμε ότι δεν υπάρχει μία συγκεκριμένη διαδικασία για την τεχνική αξιολόγηση των ιστοσελίδων σχετικά με τα μέτρα που έχουν υλοποιηθεί για την προάσπιση της ιδιωτικότητας. Ο δεύτερος στόχος της διδακτορικής διατριβής ήταν να ορίσουμε συγκεκριμένες μετρικές, όπου θα μπορούσαμε να αξιολογήσουμε και να συγκρίνουμε την υλοποίηση των ιστοτόπων σε σχέση με το επίπεδο ασφάλειας και ιδιωτικότητας που προσφέρουν. Συγκεντρώσαμε τα κυριότερα τεχνικά χαρακτηριστικά που επηρεάζουν την ιδιωτικότητα των δεδομένων κατά τη διάρκεια της χρήσης των ιστοτόπων καθώς και τους τρόπους επικοινωνίας με τους χρήστες. Στη συνέχεια, ορίσαμε τις ελάχιστες απαιτήσεις ασφάλειας για την προστασία των δεδομένων και καθορίσαμε ανάλογα τους συντελεστές βαρύτητας κάθε μετρικής. Ως τελικό σκοπό έχουμε ορίσει τη δημιουργία ενός ολοκληρωμένου πλαισίου αξιολόγησης της ιδιωτικότητας των ιστοτόπων με τη χρήση μετρικών και μεθοδολογιών που θα παρέχουν όλες τις αναγκαίες πληροφορίες σχετικά με το επίπεδο προστασίας της ιδιωτικότητας. Το προτεινόμενο πλαίσιο αποτελεί ένα συνδυαστικό μοντέλο αξιολόγησης της πολιτικής προστασίας δεδομένων και της υλοποίησης των τεχνικών μέτρων. Επιπλέον, τα αποτελέσματα της αξιολόγησης είναι απόλυτα συγκρίσιμα (ποσοτικοποιημένα), για κάθε χρήστη που επιθυμεί να επιλέξει ανάμεσα σε δύο ή περισσότερους ιστοτόπους βάσει της αξιολόγησης τους πριν τη χρήση τους. Επιπρόσθετα μελετήσαμε τις προτεινόμενες τεχνολογίες υλοποίησης ψηφιακών πληρωμών. Η επιλογή του τεχνολογικού υπόβαθρου ανά προτεινόμενο μοντέλο επηρεάζει σημαντικά και την προστασία της ιδιωτικότητας των χρηστών. Η ολοένα αυξανόμενη χρήση των ηλεκτρονικών πληρωμών καθώς και η επικείμενη χρήση ψηφιακών νομισμάτων από τις Κεντρικές Τράπεζες (Ψηφιακό Ευρώ) αποτελεί ένα νέο πεδίο έρευνας σχετικό με την ιδιωτικότητα των χρηστών. Προτείνουμε ένα μοντέλο αξιολόγησης του επιπέδου προστασίας της ιδιωτικότητας των συστημάτων ψηφιακών πληρωμών, λαμβάνοντας υπόψιν μας τις αναγκαίες τεχνολογικές απαιτήσεις για την ομαλή λειτουργία τους, όπως για παράδειγμα είναι η δυνατότητα ελέγχου των συναλλαγών από τις αρμόδιες αρχές για παράνομες ενέργειες αλλά και η ανθεκτικότητά του συστήματος σε μεγάλο όγκο συναλλαγών. Τέλος, παρουσιάζουμε τα σημαντικότερα διεθνή πρότυπα προστασίας ιδιωτικότητας με σκοπό την αντιστοίχιση των απαιτήσεων, των οργανωτικών πρακτικών και των διαδικασιών κάθε προτύπου. Κατόπιν με βάση τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) ως οδηγό, ορίσαμε την αντιστοιχία στις οργανωτικές πρακτικές και διαδικασίες μεταξύ των προτύπων όπου αυτό ήταν εφικτό.