O Αθανάσιος Κοσμόπουλος είναι υπεύθυνος Προστασίας Δεδομένων του Υπουργείου Ψηφιακής Διακυβέρνησης και προϊστάμενος της Μονάδας Οργάνωσης και Υποστήριξης της Διαχειριστικής Αρχής.
Είναι εθνικός αντιπρόσωπος της Ελλάδας στο Ευρωπαϊκό Κέντρο Ικανοτήτων Κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης, και σύνδεσμος του Υπουργείου Ψηφιακής Διακυβέρνησης με το European Security and Defense College (ESDC). Επιχειρησιακός Συντονιστής, επικεφαλής του Παρατηρητηρίου Ανάλυσης Υβριδικών Απειλών του Υπουργείου Ψηφιακής Διακυβέρνησης (ΠΑΝΥΑ) και πρόεδρος της Διυπουργικής Επιτροπής Υπευθύνων Προστασίας Δεδομένων του Δημοσίου Τομέα.
Αποφοίτησε από τη Στρατιωτική Σχολή Αξιωματικών Σωμάτων (ΣΣΑΣ), ως στρατιωτικός νομικός σύμβουλος με τον βαθμό του ανθυπολοχαγού, αρχηγός της τάξης του 1987. Φοίτησε στη Σχολή Πληροφορικής & Ηλεκτρονικών Υπολογιστών των Ενόπλων Δυνάμεων (ΣΠΗΥ). Εκπαιδεύτηκε στη Σχολή Αλεξιπτωτιστών και μετεκπαιδεύτηκε σε σχολές Πληροφοριών και Ειδικών Επιχειρήσεων στην Ελλάδα και στο εξωτερικό. Του έχουν απονεμηθεί οι Χρυσές Πτέρυγες Αλεξιπτωτιστών των Αμερικανών Πεζοναυτών. Δίδαξε ως λέκτορας στο Τμήμα Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου, υπηρέτησε στο Γενικό Επιτελείο Εθνικής Άμυνας, σε μονάδες Ειδικών Δυνάμεων και στην Αντικατασκοπία της Εθνικής Υπηρεσίας Πληροφοριών. Είναι κάτοχος μεταπτυχιακού LL.M στο Ευρωπαϊκό Δίκαιο και Πολιτική από το Πανεπιστήμιο Uninettuno στη Ρώμη και υποψήφιος διδάκτωρ του Παντείου Πανεπιστημίου.
ΣΥΝΕΝΤΕΥΞΗ: ΒΙΒΙΑΝ ΜΑΡΓΕΛΛΟΥ

Τι ακριβώς κάνουν οι Υπηρεσίες σας σχετικά με την προστασία προσωπικών δεδομένων; Τι πρέπει να γνωρίζουν οι πολίτες για την αποστολή σας;
Οι Υπηρεσίες και τα Γραφεία Προστασίας Δεδομένων έχουν μια πολύ ουσιαστική αποστολή: να διασφαλίζουν ότι η χρήση των προσωπικών δεδομένων γίνεται νόμιμα, με διαφάνεια, με ασφάλεια και με σεβασμό στα δικαιώματα του πολίτη.
Στην πράξη, δεν είμαστε ένα γραφείο που απλώς ελέγχει έγγραφα ή βάζει υπογραφές. Παρακολουθούμε πώς ένας οργανισμός συλλέγει, χρησιμοποιεί, αποθηκεύει και διαβιβάζει προσωπικά δεδομένα. Συμβουλεύουμε την πολιτική ηγεσία, τη διοίκηση και τις υπηρεσίες πριν ληφθούν αποφάσεις που επηρεάζουν πολίτες, αξιολογούμε κινδύνους, εισηγούμαστε μέτρα ασφάλειας, εκπαιδεύουμε το προσωπικό και βοηθούμε ώστε η προστασία δεδομένων να ενσωματώνεται από την αρχή σε κάθε διαδικασία, έργο ή ψηφιακή υπηρεσία.
Οι πολίτες πρέπει να γνωρίζουν κάτι πολύ βασικό: η προστασία δεδομένων δεν είναι εμπόδιο στη λειτουργία του κράτους ή της διοίκησης. Είναι εγγύηση εμπιστοσύνης. Όταν ένας πολίτης δίνει τα στοιχεία του σε μια δημόσια υπηρεσία ή χρησιμοποιεί μια ψηφιακή πλατφόρμα, πρέπει να ξέρει ποιος τα χρησιμοποιεί, για ποιο σκοπό, για πόσο χρόνο, με ποια ασφάλεια και ποια δικαιώματα έχει.
Η αποστολή μας, λοιπόν, είναι διπλή. Από τη μια, να βοηθούμε τη διοίκηση να λειτουργεί αποτελεσματικά και νόμιμα. Από την άλλη, να προστατεύουμε τον πολίτη από αυθαίρετη, υπερβολική ή αδιαφανή χρήση των δεδομένων του. Σε μια εποχή τεχνητής νοημοσύνης, μεγάλων βάσεων δεδομένων και ψηφιακών υπηρεσιών, αυτό δεν είναι μια τυπική συμμόρφωση. Είναι θεμελιώδες ζήτημα δημοκρατίας, ασφάλειας και εμπιστοσύνης στο κράτος.
Πάροχοι υπηρεσιών, διαχειριστές ιστότοπων, εφαρμογών και πλατφορμών, μέσα κοινωνικής δικτύωσης. Πόσο ασφαλή είναι τα προσωπικά μας δεδομένα;
Τα προσωπικά μας δεδομένα είναι σήμερα περισσότερο προστατευμένα θεσμικά, αλλά όχι αυτομάτως ασφαλή στην πράξη. Υπάρχει ένα ισχυρό ευρωπαϊκό πλαίσιο, με τον GDPR, τις υποχρεώσεις κυβερνοασφάλειας και πλέον με αυστηρότερες απαιτήσεις για κρίσιμες και σημαντικές οντότητες. Όμως η πραγματική ασφάλεια εξαρτάται από τρεις παράγοντες: πρώτον, από το πόσο σοβαρά εφαρμόζει κάθε οργανισμός την προστασία δεδομένων· δεύτερον, από το επίπεδο τεχνικής ασφάλειας των συστημάτων του· τρίτον, από τη συμπεριφορά του ίδιου του χρήστη.
Οι μεγάλες πλατφόρμες διαθέτουν ισχυρούς μηχανισμούς ασφάλειας, αλλά συλλέγουν τεράστιο όγκο δεδομένων. Άρα το ζήτημα δεν είναι μόνο αν τα δεδομένα «κλαπούν», αλλά και πώς χρησιμοποιούνται, για ποιους σκοπούς, για πόσο χρόνο, με ποιους διαμοιράζονται και αν ο πολίτης έχει πραγματικό έλεγχο. Ιδίως στα μέσα κοινωνικής δικτύωσης, τα δεδομένα μας δεν είναι μόνο το όνομα, το email ή το τηλέφωνό μας. Είναι οι προτιμήσεις μας, οι αναζητήσεις μας, οι επαφές μας, η τοποθεσία μας, οι συνήθειές μας, ακόμη και συμπεράσματα που παράγονται για εμάς μέσω αλγορίθμων.
Επομένως, δεν θα έλεγα ότι πρέπει να φοβόμαστε την τεχνολογία. Θα έλεγα όμως ότι πρέπει να πάψουμε να τη χρησιμοποιούμε αφελώς. Ασφάλεια υπάρχει όταν συνδυάζονται νομοθεσία, τεχνικά μέτρα, λογοδοσία των οργανισμών και ψηφιακή ωριμότητα των πολιτών.
Γνωρίζουν οι πολίτες τις πιθανές διαδρομές των προσωπικών τους δεδομένων; Τι πρέπει να αξιολογούν πριν δώσουν τη συγκατάθεσή τους;
Σε μεγάλο βαθμό όχι. Οι περισσότεροι πολίτες γνωρίζουν ότι «δίνουν δεδομένα», αλλά δεν γνωρίζουν πάντα τη διαδρομή αυτών των δεδομένων. Ένα απλό πάτημα στο «αποδέχομαι» μπορεί να ενεργοποιεί αλυσίδες επεξεργασίας: πάροχοι υπηρεσιών, διαφημιστικά δίκτυα, συνεργαζόμενες εταιρείες, αναλυτικά εργαλεία, υποδομές cloud, τρίτες χώρες, ακόμη και αυτοματοποιημένα προφίλ συμπεριφοράς.
Πριν δώσει κάποιος συγκατάθεση, πρέπει να αξιολογεί πέντε απλά πράγματα. Πρώτον, ποιος ζητά τα δεδομένα. Είναι γνωστός και αξιόπιστος φορέας ή άγνωστη εφαρμογή; Δεύτερον, ποια δεδομένα ζητούνται. Είναι αναγκαία για την υπηρεσία ή υπερβολικά; Τρίτον, για ποιον σκοπό ζητούνται. Άλλο η εκτέλεση μιας υπηρεσίας και άλλο η εμπορική εκμετάλλευση ή η στοχευμένη διαφήμιση. Τέταρτον, σε ποιους θα κοινοποιηθούν. Πέμπτον, αν μπορεί να ανακαλέσει εύκολα τη συγκατάθεσή του.
Η συγκατάθεση δεν πρέπει να είναι μηχανική πράξη. Πρέπει να είναι ελεύθερη, συγκεκριμένη, ενημερωμένη και σαφής. Αν ο πολίτης δεν καταλαβαίνει τι αποδέχεται, τότε πρακτικά δεν έχει πραγματικό έλεγχο. Και αν μια εφαρμογή ζητά πρόσβαση σε δεδομένα που δεν σχετίζονται με τη λειτουργία της -για παράδειγμα φακό, μικρόφωνο, επαφές ή τοποθεσία χωρίς προφανή λόγο- αυτό πρέπει να λειτουργεί ως προειδοποιητικό σήμα.
Από την άλλη πλευρά, οι πολίτες έχουν ευθύνη για τα δεδομένα που παρέχουν χωρίς καν να το αντιλαμβάνονται, όπως με κάποια prompts (προτροπές προς συστήματα τεχνητής νοημοσύνης) όπου συμπληρώνουν οι ίδιοι προσωπικά και συχνά ευαίσθητα δεδομένα τους, τα οποία μετά παραμένουν στο σύστημα Τεχνητής Νοημοσύνης με μη ιχνηλατίσιμες διαδρομές και περαιτέρω χρήσεις.
Πόσο καλά γνωρίζουν οι πολίτες πως μπορούν να αντιδράσουν σε περίπτωση παραβίασης των προσωπικών τους δεδομένων;
Η γνώση έχει βελτιωθεί, αλλά παραμένει ανεπαρκής. Πολλοί πολίτες γνωρίζουν γενικά ότι έχουν «δικαιώματα», αλλά δεν ξέρουν πάντα ποια είναι αυτά ή πώς τα ασκούν. Σε περίπτωση παραβίασης, το πρώτο που πρέπει να κάνουν είναι να διασφαλίσουν άμεσα τον λογαριασμό ή την υπηρεσία που επηρεάστηκε: αλλαγή κωδικών, ενεργοποίηση πολυπαραγοντικής ταυτοποίησης, έλεγχος για ύποπτες συναλλαγές ή ύποπτη δραστηριότητα.
Δεύτερον, πρέπει να απευθυνθούν στον οργανισμό που επεξεργάζεται τα δεδομένα τους και να ζητήσουν ενημέρωση: τι συνέβη, ποια δεδομένα επηρεάστηκαν, ποια μέτρα λήφθηκαν και τι πρέπει να κάνουν οι ίδιοι. Τρίτον, μπορούν να ασκήσουν τα δικαιώματά τους: πρόσβαση, διόρθωση, διαγραφή, περιορισμό επεξεργασίας, εναντίωση, φορητότητα όπου εφαρμόζεται. Τέταρτον, αν δεν λάβουν ικανοποιητική απάντηση ή θεωρούν ότι υπήρξε παράνομη επεξεργασία, μπορούν να απευθυνθούν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Το κρίσιμο είναι να μη θεωρούμε την παραβίαση δεδομένων ως κάτι αόριστο ή τεχνικό που αφορά μόνο τους ειδικούς. Μπορεί να έχει πολύ πρακτικές συνέπειες: οικονομική απάτη, υποκλοπή ταυτότητας, εκβιασμό, στοχοποίηση, κοινωνική μηχανική ή παραπληροφόρηση. Γι’ αυτό η ενημέρωση του πολίτη είναι μέρος της ίδιας της άμυνας.
Είστε προσβάσιμοι στο γενικό κοινό;
Η προστασία προσωπικών δεδομένων δεν έχει νόημα αν παραμένει μια κλειστή, γραφειοκρατική ή τεχνική διαδικασία. Ο Υπεύθυνος Προστασίας Δεδομένων πρέπει να είναι προσβάσιμος, όχι μόνο τυπικά αλλά και ουσιαστικά. Ο ρόλος του δεν είναι να λειτουργεί ως εμπόδιο, αλλά ως σημείο εμπιστοσύνης ανάμεσα στον πολίτη και τον οργανισμό.
Ο πολίτης πρέπει να μπορεί να επικοινωνεί, να υποβάλλει ερωτήματα, να ασκεί δικαιώματα και να ζητά να του δοθούν εξηγήσεις σε γλώσσα κατανοητή. Αυτό είναι ιδιαίτερα σημαντικό στον δημόσιο τομέα, γιατί εκεί η σχέση πολίτη και κράτους δεν είναι σχέση απλής εμπορικής συναλλαγής. Είναι σχέση εμπιστοσύνης, νομιμότητας και θεσμικής ευθύνης.
Η προσβασιμότητα, όμως, δεν είναι μόνο θέμα email ή τηλεφώνου. Είναι θέμα κουλτούρας. Σημαίνει ότι ο οργανισμός εξηγεί τι κάνει με τα δεδομένα, δεν κρύβεται πίσω από δυσνόητες πολιτικές απορρήτου, απαντά έγκαιρα και αντιμετωπίζει τον πολίτη ως υποκείμενο δικαιωμάτων και όχι ως απλό χρήστη μιας υπηρεσίας.
Πως συγκρίνεται το επίπεδο κυβερνοασφάλειας στην Ελλάδα σε σχέση με άλλες ευρωπαϊκές χώρες;
Η Ελλάδα έχει κάνει σημαντική πρόοδο τα τελευταία χρόνια. Έχουν αναπτυχθεί θεσμοί, στρατηγικές, μηχανισμοί αντιμετώπισης περιστατικών και ένα πιο ώριμο πλαίσιο κυβερνοασφάλειας. Η ψηφιοποίηση του κράτους δημιούργησε νέες δυνατότητες για τον πολίτη, αλλά ταυτόχρονα αύξησε και την επιφάνεια επίθεσης. Όσο περισσότερες υπηρεσίες γίνονται ψηφιακές, τόσο μεγαλύτερη πρέπει να είναι και η επένδυση στην ασφάλεια, στην ανθεκτικότητα και στη διαχείριση κινδύνου.
Σε σχέση με άλλες ευρωπαϊκές χώρες, η Ελλάδα δεν βρίσκεται πλέον στο περιθώριο. Έχει βελτιώσει αισθητά τη θεσμική και επιχειρησιακή της εικόνα. Ωστόσο, εξακολουθούν να υπάρχουν προκλήσεις: έλλειψη εξειδικευμένου ανθρώπινου δυναμικού, ανάγκη για συνεχή εκπαίδευση, άνισο επίπεδο ωριμότητας ανάμεσα σε δημόσιους και ιδιωτικούς φορείς, και ανάγκη καλύτερης συνεργασίας μεταξύ κράτους, αγοράς, ακαδημαϊκής κοινότητας και πολιτών.
Το σημαντικό είναι να μη βλέπουμε την κυβερνοασφάλεια ως τεχνικό έργο που τελειώνει. Είναι διαρκής διαδικασία. Απαιτεί πρόληψη, ανίχνευση, απόκριση, ανάκαμψη και κυρίως κουλτούρα ασφάλειας. Η Ελλάδα έχει κάνει βήματα, αλλά το περιβάλλον απειλών εξελίσσεται ταχύτερα από οποιοδήποτε θεσμικό πλαίσιο. Άρα χρειάζεται συνεχής εγρήγορση.
Ποια δεδομένα γίνονται συχνότερα στόχος επιθέσεων;
Στόχος γίνονται κυρίως τα δεδομένα που έχουν οικονομική, επιχειρησιακή ή εκβιαστική αξία. Πρώτα απ’ όλα, τα στοιχεία ταυτοποίησης: ονόματα, ΑΦΜ, αριθμοί ταυτότητας, διευθύνσεις, τηλέφωνα, email. Δεύτερον, τα στοιχεία πρόσβασης: usernames, passwords, κωδικοί, στοιχεία ανάκτησης λογαριασμού. Τρίτον, τα οικονομικά δεδομένα: τραπεζικά στοιχεία, κάρτες, συναλλαγές, φορολογικά δεδομένα. Τέταρτον, τα δεδομένα υγείας, τα οποία είναι εξαιρετικά ευαίσθητα και μπορούν να χρησιμοποιηθούν για εκβιασμό ή απάτη. Πέμπτον, δεδομένα που αφορούν παιδιά, εργαζόμενους ή ευάλωτες ομάδες.
Δεν πρέπει όμως να υποτιμούμε και τα μεταδεδομένα. Μερικές φορές δεν χρειάζεται να ξέρει κάποιος το περιεχόμενο μιας επικοινωνίας. Αρκεί να ξέρει ποιος μιλά με ποιον, πότε, από πού και με ποια συχνότητα. Από αυτά μπορούν να εξαχθούν συμπεράσματα για συνήθειες, σχέσεις, μετακινήσεις, επαγγελματικές δραστηριότητες ή πολιτικές και κοινωνικές προτιμήσεις.
Σήμερα οι επιθέσεις δεν στοχεύουν μόνο στην «κλοπή» δεδομένων. Συχνά στοχεύουν στην κρυπτογράφηση δεδομένων μέσω ransomware, στην αλλοίωση πληροφοριών, στη διακοπή υπηρεσιών ή στη χειραγώγηση εμπιστοσύνης. Γι’ αυτό η προστασία δεδομένων και η κυβερνοασφάλεια δεν είναι δύο διαφορετικοί κόσμοι. Είναι δύο πλευρές της ίδιας πραγματικότητας: της ίδιας πραγματικότητας: της προστασίας του πολίτη, της ασφαλούς λειτουργίας των οργανισμών και τελικά της εμπιστοσύνης στην ψηφιακή κοινωνία.
Ποια ήταν η δυσκολότερη επίθεση που έχετε αντιμετωπίσει;
Όταν πριν πολύ καιρό μού έστειλε μια άλλη υπηρεσία ασφαλείας της Ελλάδας ένα USB stick όπου μέσα υπήρχαν τα ενεργά διαπιστευτήρια περίπου 2.000 πολιτών, τα οποία είχε βρει μια τρίτη υπηρεσία ασφαλείας και πληροφοριών ξένης συμμαχικής μας χώρας στο Dark Web κάπου σε ασιατικού ενδιαφέροντος servers.
Ώσπου να δούμε τι είχε συμβεί στην πράξη, ανησυχήσαμε ότι τα συστήματά μας υπέστησαν σοβαρή επίθεση, με αποτέλεσμα να διαρρεύσουν κρίσιμα δεδομένα πολιτών.
Τελικά μετά από λεπτομερή και επιμελημένη διερεύνηση διαπιστώσαμε ότι η διαρροή δεν είχε προέλθει από συστήματα υπηρεσιακά δικά μας, αλλά από την παραβίαση του πληροφοριακού συστήματος ενός λογιστικού – φοροτεχνικού γραφείου στην περιφέρεια, όπου οι πολίτες είχαν δώσει το όνομα χρήστη και το σύνθημα τους αυτούσιο στον λογιστή τους για να τους συμπληρώσει τη φορολογική τους δήλωση.
Το γραφείο εκεί υπέστη κυβερνοεπίθεση και τα δεδομένα κλάπηκαν.
Με αυτήν την ευκαιρία εκδώσαμε ανακοίνωση στους πολίτες της χώρας μέσω της ΑΑΔΕ ότι θα πρέπει να χρησιμοποιούν τη διαδικασία εξουσιοδότησης λογιστή μέσα από το TAXIS και να μη δίνουν αυτούσια τα διαπιστευτήριά τους σε τρίτους, καθώς με αυτά συνδέονται πλέον σχεδόν 2.000 διαφορετικές υπηρεσίες του ευρύτερου δημόσιου τομέα.
Μέχρι να εξακριβώσουμε τι είχε συμβεί, φοβηθήκαμε ότι είχαμε υποστεί σοβαρότατη επίθεση με ανυπολόγιστες διαστάσεις ζημιάς, αλλά ευτυχώς «η ψυχή μας πήγε στη θέση της», όταν επιβεβαιώσαμε ότι τα πληροφοριακά μας συστήματα ήταν απαραβίαστα και άθικτα.
Βεβαίως ενημερώσαμε τους συγκεκριμένους πολίτες -μολονότι η διαρροή δεν είχε γίνει από δικά μας δημόσια συστήματα- να αλλάξουν συνθηματικά άμεσα, διότι αυτό αποτελούσε χρέος μας σε κάθε περίπτωση, αφού ενημερωθήκαμε για το συμβάν.









































































































