Συνέντευξη του Αλέξανδρου Κρυστάλλη, Information Security Consultant, DPO της εταιρείας Aspida, στο Reporter.gr και τον Γιώργο Αλεξάκη

Μεγάλες αλλαγές στην καθημερινότητα των επιχειρήσεων φέρνει ο νέος κανονισμός για την προστασία των προσωπικών δεδομένων, γνωστός και ως GDPR. Ειδικά στον ναυτιλιακό κλάδο οι προκλήσεις με το νέο πλαίσιο είναι πιο μεγάλες. Αυτό τονίζει μιλώντας στο Reporter.gr ο Αλέξανδρος Κρυστάλλης Information Security Consultant, DPO της εταιρείας Aspida, που εξειδικεύεται στα θέματα ορθής χρήσης των IT και ΟΤ συστημάτων. Μάλιστα όπως αναφέρει ξ ναυτιλία, βρίσκεται ποιο εκτεθειμένος απέναντι στον κανονισμό έναντι άλλων, λόγω της ιδιαιτερότητας του αντικείμενου και των κανονισμών που έχει.

«Σε καθημερινή βάση μία ναυτιλιακή πρέπει να επεξεργάζεται ένα μεγάλο όγκο προσωπικών δεδομένων, όπου μεγάλο μέρος αυτών είναι και ευαίσθητα δεδομένα, για τα οποία ο κανονισμός έχει ακόμα ποιο αυστηρές απαιτήσεις» τονίζει ο κ Κρυστάλλης. Ο ίδιος στέκεται ιδιαίτερα στα θέματα κυβερνοασφάλειας στη ναυτιλία.

«Τα τελευταία χρόνια παρατηρείται μια αύξηση των κινδύνων κυβερνοασφάλειας στην ναυτιλία. Άλλωστε αυτό το επιβεβαιώνει και η πληθώρα “guidelines” τα οποία έχουν εκδοθεί προς τις ναυτιλιακές για τη διαχείριση των κυβερνο – απειλών (cyber threats)» σημειώνει και προσθέτει ότι «η εκάστοτε ναυτιλιακή εταιρία να επιλέξει τους κατάλληλους συνεργάτες ώστε να προχωρήσει στο κατάλληλο και ανταποδοτικότερο σχέδιο υλοποίησης»

1. Τι αλλαγές στην καθημερινότητα των επιχειρήσεων φέρνει η νέα οδηγία; Εξασφαλίζεται, θεωρείτε, η προστασία των δεδομένων με το νέο πλαίσιο;

Οι επιχειρήσεις τίθενται υπόλογες προς την επεξεργασία των προσωπικών δεδομένων απέναντι στις αρχές, τα υποκείμενα δεδομένων και τους συνεργάτες τους. Αυτό θα επιφέρει μία σταδιακή αλλαγή στη κουλτούρα της διαχείρισης των εν λόγω δεδομένων, κυρίως σε οργανωτικό και διαδικαστικό επίπεδο. Ο κανονισμός δεν εξασφαλίζει την προστασία των δεδομένων, αλλά την προστασία του υποκειμένου δεδομένων. Όσο αφορά την διασφάλιση των εν λόγω δεδομένων, ο κανονισμός φέρνει ένα πλαίσιο, το οποίο εάν εφαρμοστεί σωστά θα αυξήσει κατά πολύ τις πιθανότητες, του να παραμείνουν ασφαλή τα δεδομένα.

2. Τι αλλαγές έρχονται σε σχέση με αυτά που ίσχυαν μέχρι τώρα;

Στο γενικό πλαίσιο όχι πολλές. Σε αρκετά σημεία μάλιστα το GDPR είναι ίδιο με τον DPD και τον Ν. 2472/1997. Αυτό που φέρνει ο νέος κανονισμός είναι ένα ποιο εκσυγχρονισμένο πλαίσιο της ήδη υπάρχουσας οδηγίας του 1995, απαλείφοντας κάποια γραφειοκρατικά ζητήματα, όπως η ανακοίνωση στην αρχή της ύπαρξης αρχείου προσωπικών δεδομένων, και θέτοντας ένα γενικό πλαίσιο για την ορθή χρήση των πληροφορικών συστημάτων και την ευκολότερη διαχείριση των προσωπικών δεδομένων. Τέλος ορίζει ποιες θα είναι οι ποινές σε περίπτωση μη συμμόρφωσης.

3. Ποιους κλάδους αφορά; Πώς θα γίνεται ο έλεγχος συμμόρφωσης και τι πρόστιμα προβλέπονται; Ποιες οι κυρώσεις για όσους δε συμμορφωθούν;

Αφορά όλους τους κλάδους και όλες τις επιχειρήσεις με εγκατάσταση εντός της Ε.Ε. καθώς και εκείνες εκτός Ένωσης που επεξεργάζονται δεδομένα Ευρωπαίων πολιτών.

Προς το παρόν οι έλεγχοι θα γίνονται από τις αρμόδιες αρχές. Για την Ελλάδα αυτή θα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ενδέχεται στο μέλλον η αγορά του εκάστοτε κλάδου να απαιτεί την ύπαρξη κάποιας πιστοποίησης για την προστασία των δεδομένων και επομένως να δούμε στο μέλλον ελέγχους υπό την μορφή Audit από κάποιους εγκεκριμένους φορείς πιστοποίησης όπως περιγράφονται στα Άρθρα 43 και 44 του κανονισμού.

Οι κυρώσεις που αναφέρονται στον κανονισμό σε περίπτωση μη συμμόρφωσης είναι έως και 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου τζίρου!

4. Οι ναυτιλιακές επιχειρήσεις τι θα πρέπει να κάνουν;

Ότι και όλες οι υπόλοιπες επιχειρήσεις από τους υπόλοιπους κλάδους, να συμμορφωθούν με τον κανονισμό. Ο κλάδος της ναυτιλίας βρίσκεται ποιο εκτεθειμένος απέναντι στον κανονισμό έναντι άλλων, λόγο της ιδιαιτερότητας του αντικείμενου και των κανονισμών που τον διέπουν. Σε καθημερινή βάση μία ναυτιλιακή πρέπει να επεξεργάζεται ένα μεγάλο όγκο προσωπικών δεδομένων, όπου μεγάλο μέρος αυτών είναι και ευαίσθητα δεδομένα, για τα οποία ο κανονισμός έχει ακόμα ποιο αυστηρές απαιτήσεις.

Θα πρέπει λοιπόν να εφαρμόσουν το κατάλληλο πλάνο ώστε να αιτιολογήσουν νομικά τους λόγους για τους οποίους κάνουν την επεξεργασία των δεδομένων αυτών, καθώς και να λάβουν τα κατάλληλα οργανωτικά και τεχνικά μέτρα για να διασφαλίσουν τα δεδομένα τα οποία κατέχουν.

5. Όταν όλοι μιλάνε ότι τα δεδομένα – big data - είναι πλέον ένας «φυσικός πόρος» πώς νομίζετε ότι αυτός θα προστατευθεί και δε θα γίνει ένα νέο αντικείμενο «κερδοσκοπίας», όπως είδαμε στις περιπτώσεις της Cambridge Analytica;

Τα δεδομένα δεν πρόκειται να γίνουν ένα νέο αντικείμενο κερδοσκοπίας... είναι ήδη! Αυτό που θα φέρει το GDPR είναι να διαφυλάξει τα δικαιώματα των χρηστών στις διαδικτυακές υπηρεσίες και πλατφόρμες όπως είναι το Facebook από όπου η Cambridge Analyticα αντλούσε πληροφορίες και έκανε ένα “Profiling” στους χρήστες του για να χρησιμοποιηθούν τα δεδομένα αυτά για στοχευμένες πολιτικές καμπάνιες κατά την προεκλογική περίοδο του 2016 στις ΗΠΑ. Από εδώ και πέρα, κατά την αποδοχή των όρων χρήσης θα πρέπει ο χρήστης να ζητήσει εκείνος να χρησιμοποιηθούν τα δεδομένα του “Opt-in” και όχι να θεωρείται ως “by-default” η συγκατάθεσή του και αν δεν θέλει να την άρει “Opt-out”.

6. Πως μπορεί να γίνει διαχείριση κίνδυνων στη ναυτιλία ; Παρατηρείται άλλωστε τα τελευταία χρόνια και αύξηση των κινδύνων κυβερνο-ασφάλειας.

Πράγματι τα τελευταία χρόνια παρατηρείται μια αύξηση των κινδύνων κυβερνοασφάλειας στην ναυτιλία. Άλλωστε αυτό το επιβεβαιώνει και η πληθώρα “guidelines” τα οποία έχουν εκδοθεί προς τις ναυτιλιακές για τη διαχείριση των κυβερνο – απειλών (cyber threats).

Οι ναυτιλιακές αρχίζουν πλέον και αυτές να εισέρχονται στον κόσμο του ΙοΤ, με δικτυακά συνδεδεμένες συσκευές ελέγχου, παρακολούθησης του πλοίου από το γραφείο, εξελιγμένης επικοινωνίας και πλοήγησης. Είναι λογικό ότι προς τα εκεί θα μετασχηματιστεί ο κλάδος μιας και παρέχει μία πληθώρα διευκολύνσεων ιδίως στις εταιρίες που αναλαμβάνουν την διαχείριση των πλοίων. Όταν λοιπόν αλλάζει το περιβάλλον των ναυτιλιακών εταιριών, είναι φυσικό επακόλουθο να αλλάξουν και οι κίνδυνοι. Για την διαχείριση αυτών των κινδύνων υπάρχουν αρκετές ενέργειες αντιμετώπισης, όπως για παράδειγμα, ένα Risk Assessment για τα γραφεία και ένα Audit-on-board για τα πλοία, έτσι ώστε να ανιχνευθούν τυχόν κίνδυνοι και να βρεθεί ποια είναι η πιθανότητα να συμβεί κάτι και με τι επιπτώσεις. Αντίστοιχα σε καθαρά δικτυακό επίπεδο η διεξαγωγή ενός Penetration Testing, θα χαρτογραφήσει όλα τα ευάλωτα σημεία της δικτυακής υποδομής, ενώ η εκπαίδευση (training) του προσωπικού έρχεται να καλύψει τον ποιο αδύναμο κρίκο ενός πληροφοριακού συστήματος, τον χρήστη του.

Τέλος η ανάπτυξη μίας σειράς διαδικασιών και ορθής χρήσης των IT και ΟΤ συστημάτων αρχίζει πλέον να κρίνεται απαραίτητη όλο και περισσότερο με τις απαιτήσεις της αγοράς όπως με γίνεται με το Tanker Management and Self Assessment 3 (TMSA3) και RightShip που εισάγουν πλέον το cyber security ως προϋπόθεση για τις ναυτιλιακές.

Το θετικό είναι ότι ήδη υπάρχουν όλα τα τεχνολογικά μέσα προκειμένου να επιτευχθούν αυτά αρκεί η εκάστοτε ναυτιλιακή εταιρία να επιλέξει τους κατάλληλους συνεργάτες όπως είναι η Aspida ώστε να προχωρήσει στο κατάλληλο και ανταποδοτικότερο σχέδιο υλοποίησης.