Η προστασία των προσωπικών δεδομένων έρχεται όλο και συχνότερα στο προσκήνιο, με αφορμή τις κατά καιρούς κυβερνοεπιθέσεις από χάκερς, αλλά και την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης. Ερευνητές από το Εργαστήριο Επιχειρηματικής Αναλυτικής, του Τμήματος Διοικητικής Επιστήμης και Τεχνολογίας (ΔΕΤ), του Οικονομικού Πανεπιστημίου Αθηνών (ΟΠΑ) δημιούργησαν ένα λογισμικό, το PDGuard, που έρχεται να γίνει «σύμμαχος» για χρήστες και εταιρείες στην προστασία των προσωπικών δεδομένων.
Ο Δρ. Δημήτρης Μητρόπουλος, οι κ.κ. Θοδωρής Σωτηρόπουλος, Νίκος Κουτσαβασίλης και ο καθηγητής Διομήδης Σπινέλλης, σε πρόσφατη έρευνα που δημοσιεύθηκε στο έγκριτο περιοδικό International Journal of Information Security, τον περασμένο Σεπτέμβριο, παρουσίασαν το νέο λογισμικό, το οποίο έχει ήδη εφαρμοστεί με επιτυχία σε δυο μελέτες περίπτωσης.
«Δυστυχώς στις μέρες μας η διαρροή προσωπικών δεδομένων πλήττει συχνά τη φήμη αλλά και τα οικονομικά οργανισμών κάθε μεγέθους», τόνισε, μιλώντας στο ΑΠΕ-ΜΠΕ, ο κ. Σπινέλλης.
«Το σύστημα PDGuard επιτρέπει στις επιχειρήσεις να ελέγχουν με ασφάλεια, αξιοπιστία και, κυρίως, διαφάνεια την πρόσβαση στα προσωπικά δεδομένα των πελατών τους. Επειδή με τη χρήση του τα δεδομένα παραμένουν κρυπτογραφημένα μέχρι τη στιγμή που θα χρησιμοποιηθούν, η επιχείρηση διασφαλίζεται από πολλούς κινδύνους διαρροής προσωπικών δεδομένων», εξήγησε.
Ο κ. Σπινέλλης, τόνισε επίσης ότι βάση ειδικών μεθόδων ανάλυσης που έχει αναπτύξει η ερευνητική ομάδα, μπορεί να πιστοποιηθεί ότι το λογισμικό εφαρμογών της εκάστοτε εταιρίας είναι συμβατό με την τεχνολογία PDGuard και δεν μπορεί να οδηγήσει σε διαρροή δεδομένων μέσω κάποιας «Κερκόπορτας».
«Επιπλέον, το σύστημα PDGuard επιτρέπει στους πελάτες κάθε οργανισμού να ρυθμίζουν με ακρίβεια τη χρήση των προσωπικών τους δεδομένων ανάλογα με τις προτιμήσεις τους και να ελέγχουν πότε και πώς αυτά χρησιμοποιούνται. Έτσι, απολαμβάνουν υπηρεσίες υψηλότερης ποιότητας αλλά και σιγουριά ως προς τη χρήση των δεδομένων τους. Στην επιστημονική μελέτη που δημοσιεύσαμε περιγράφουμε σημαντικά περιστατικά διαρροής δεδομένων σε όλο τον κόσμο, το υψηλότατο κόστος των οποίων θα μπορούσε να έχει αποφευχθεί με τη χρήση του PDGuard», επεσήμανε.
To «μυστικό» του PDGuard, βρίσκεται στην κρυπτογράφηση
Για την καινοτομία που φέρνει το εν λόγω λογισμικό μίλησε στο ΑΠΕ-ΜΠΕ και ο Δρ. Δημήτρης Μητρόπουλος:
«Ο τρόπος με τον οποίο επεξεργάζονται οι διάφορες ηλεκτρονικές εφαρμογές τα δεδομένα προσωπικού χαρακτήρα, σπανίως ελέγχεται αποτελεσματικά από τα φυσικά πρόσωπα που αφορούν. Σκεφθείτε πως ένας πολίτης, όταν ξεκινά να χρησιμοποιεί μια διαδικτυακή εφαρμογή, πρέπει κάθε φορά να διαβάζει την πολιτική επεξεργασίας προσωπικών δεδομένων της (η οποία πολλές φορές μπορεί να περιλαμβάνει σελίδες από δυσνόητους νομικούς όρους). Από εκεί και πέρα δεν μπορεί να είναι απόλυτα σίγουρος για το πώς η εφαρμογή τα χρησιμοποιεί.
Επιπλέον, όπως καταδεικνύουν τα τακτικά φαινόμενα διαρροών προσωπικών δεδομένων, οι οργανισμοί που τα αποθηκεύουν συνήθως αποτυγχάνουν να τα προστατεύσουν επαρκώς. Η καινοτομία της αρχιτεκτονικής «PDGuard» έγκειται στο ότι λύνει και τα δυο παραπάνω προβλήματα χρησιμοποιώντας στοιχεία από την τεχνολογία λογισμικού και την εφαρμοσμένη κρυπτογραφία».
Ο κ. Μητρόπουλος εξήγησε και το πώς ακριβώς λειτουργεί το λογισμικό. Το βασικό είναι ότι στο πλαίσιο της αρχιτεκτονικής PDGuard, τα προσωπικά δεδομένα αποθηκεύονται πάντα κρυπτογραφημένα. «Η επεξεργασία τους γίνεται από την εκάστοτε εφαρμογή του υπεύθυνου επεξεργασίας δεδομένων («data controller»), μέσω μιας ειδικής προγραμματιστικής διεπαφής που ονομάζουμε «PDGuard API (Application Programming Interface)». Συγκεκριμένα, μέσω της διεπαφής αυτής, η εκάστοτε εφαρμογή επικοινωνεί με μια «απομακρυσμένη», έμπιστη τρίτη οντότητα που ονομάζουμε «φορέας μεσεγγύησης» (escrow agent) για να πάρει αφ' ενός την απαραίτητη εξουσιοδότηση για την επεξεργασία και αφ' ετέρου τα αντίστοιχα κρυπτογραφικά κλειδιά», εξήγησε.
«Χρησιμοποιώντας τις υπηρεσίες που παρέχει ένας escrow agent, ο εκάστοτε χρήστης («data subject») μπορεί εύκολα να ορίζει κανόνες που θα καθορίζουν τον τρόπο με τον οποίο οι εφαρμογές χρησιμοποιούν τα προσωπικά του δεδομένα. Έτσι π.χ. ένας χρήστης μπορεί να επιτρέψει σε έναν υπεύθυνο επεξεργασίας δεδομένων να χρησιμοποιήσει την ταχυδρομική του διεύθυνση (συγκεκριμένος τύπος δεδομένων) για να του στείλει ένα δέμα (συγκεκριμένη χρήση δεδομένων) αλλά δεν επιτρέπει την χρησιμοποίησή της για την αποστολή διαφημίσεων (συγκεκριμένη χρήση δεδομένων), συνέχισε.
Όπως σημείωσε, έναν escrow agent μπορεί να λειτουργεί και να παρέχει είτε ένας ανεξάρτητος αρμόδιος οργανισμός (λ.χ. το Υπουργείο Ψηφιακής Διακυβέρνησης) είτε ο ίδιος ο υπεύθυνος επεξεργασίας.
Τέλος, ανέφερε ότι η αρχιτεκτονική του λογισμικού περιλαμβάνει και ένα εργαλείο «στατικής ανάλυσης» κώδικα που μπορεί να χρησιμοποιηθεί για τον εντοπισμό λανθασμένων χρήσεων του PDGuard API από τους προγραμματιστές της εκάστοτε εφαρμογής.
Η προστιθέμενη αξία
Μία σημαντική πτυχή της ανάπτυξης του λογισμικού αυτού, είναι ότι αποτελεί προϊόν έρευνας ελληνικού πανεπιστημίου, με εφαρμογή σε παγκόσμια κλίμακα.
«Η αρχιτεκτονική είναι πλήρως συμβατή με τις απαιτήσεις που εισάγει ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης μιας και ακολουθεί την προσέγγιση "προστασία και ιδιωτικότητα ήδη από τον σχεδιασμό" (security and privacy-by-design) και εισάγει ένα πλαίσιο όπου τα προσωπικά δεδομένα είναι διαθέσιμα σε κάθε περίπτωση με την απαραίτητη συναίνεση του χρήστη», τόνισε ο κ. Μητρόπουλος.
«Ένα μεγάλο πλεονέκτημα της αρχιτεκτονικής είναι πως μπορεί εύκολα να ενσωματωθεί σε εταιρικές εφαρμογές μιας και η προσπάθεια που απαιτείται από την πλευρά των προγραμματιστών είναι μικρή. Για παράδειγμα, ο αριθμός των γραμμών του κώδικα της εφαρμογής ταυτοποίησης της εφημερίδας Guardian που χρησιμοποιήσαμε για να αναδείξουμε την εφαρμοσιμότητα της αρχιτεκτονικής μας, αυξήθηκε μόνο κατά 4,8%», επεσήμανε.
Από την πλευρά του, ο κ. Σπινέλλης, υπογράμμισε και μία άλλη πτυχή της επιτυχίας. «Το PDGuard αποδεικνύει τον άριστο διάλογο της πανεπιστημιακής έρευνας με την κοινωνία και τη συμβολή του Πανεπιστημίου ως κυψέλη γνώσης με άμεση και τελεσφόρο εφαρμογή στην αγορά», επεσήμανε. «Στο Τμήμα ΔΕΤ η παραγωγή γνώσης, η εξωστρέφεια και η διασύνδεση της εφαρμοσμένης έρευνας με την παραγωγή και την αγορά, προς όφελος των πολιτών, αποτελεί σημαντική παράμετρο της ανάπτυξης των ανθρώπων του και του Τμήματος, με συνεργασίες εντός και εκτός Ελλάδας».
Ανοικτός κώδικας
Αξίζει να σημειωθεί, ότι ο κώδικας της αρχιτεκτονικής του PDGuard είναι δημόσια διαθέσιμος, στη διεύθυνση: https://github.com/AUEB-BALab/PDGuard .
Αναγνώριση
Η δουλειά των ερευνητών έχει διαδοθεί με γρήγορους ρυθμούς, και συνεχίζει. Ήδη, ο κ. Μητρόπουλος, έχει προσκληθεί να παρουσιάσει το λογισμικό ως κεντρικός ομιλητής στο ΜyData General Meeting (https://mydata.org/athens-community-meeting/), μια συνάντηση που διοργάνωσε ο οργανισμός MyData (https://mydata.org/), μια από τις μεγαλύτερες κοινότητες που ασχολούνται με τα προσωπικά δεδομένα και την διαχείρισή τους, παγκοσμίως.