ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΜΕΣΟΛΟΓΓΙΟΥ ΤΜΗΜΑ ΕΦΑΡΜΟΓΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΤΗ ΔΙΟΙΚΗΣΗ ΚΑΙ ΟΙΚΟΝΟΜΙΑ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΕΙΣΗΓΗΤΗΣ: ΣΠΟΥΔΑΣΤΕΣ: Δρ. ΣΥΡΜΑΚΕΣΗΣ ΣΠΥΡΟΣ ΑΠΟΣΤΟΛΟΠΟΥΛΟΥ ΝΙΚΟΛΙΤΣΑ Α.Μ.: 9521 ΔΑΡΑΜΟΥΣΚΑΣ ΒΑΣΙΛΗΣ Α.Μ.: 9516
ΔΙΑΔΙΚΤΥΟ Το διαδίκτυο προσφέρει: Μετατροπή των δεδομένων σε ψηφιακή - ηλεκτρονική μορφή. Πρόσβαση στη μεγαλύτερη δεξαμενή πληροφοριών στον κόσμο. Ένα εξαιρετικά πολύτιμο εργαλείο για το επιχειρείν.
ΟΡΙΣΜΟΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Κάθε πληροφορία που αναφέρεται στο πρόσωπό του κάθε ατόμου, π.χ. το όνομα και το επάγγελμά του ατόμου, την οικογενειακή του κατάσταση, την ηλικία του, τα πολιτικά του φρονήματα κ.λ.π.
ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Η διαφύλαξη από τη συλλογή, την επεξεργασία και τη διαβίβαση ή κοινοποίηση προσωπικών δεδομένων μέσω των νέων τεχνολογιών πληροφοριών. Παγκόσμια Ημέρα Ασφαλής Πλοήγησης στο Διαδίκτυο ορίζεται η 7η Φεβρουαρίου.
ΝΟΜΟΘΕΤΙΚΕΣ ΡΥΘΜΙΣΕΙΣ Θεσμικό πλαίσιο Νόμος 2472/97 Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Νόμος 3471/06 Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Α.Δ.Α.Ε. Προστασία του απορρήτου των επιστολών, της ελεύθερης επικοινωνίας και της ασφάλειας των δικτύων και των πληροφοριών. Οδηγίες Ευρωπαϊκού Συμβουλίου και Κοινοβουλίου Οδηγία 95/46/ΕΚ Προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων και της ελεύθερης κυκλοφορίας αυτών . Οδηγία 2002/58/ΕΚ Προστασία της επεξεργασίας των προσωπικών δεδομένων και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Σύσταση Αρ. R (99) 5 Προστασία της ιδιωτικότητας στο διαδίκτυο.
ΔΙΑΔΙΚΤΥΑΚΑ ΕΓΚΛΗΜΑΤΑ Στην Ηλεκτρονική Αλληλογραφία (e-mail). Στις ηλεκτρονικές συναλλαγές. Στις ηλεκτρονικές πληρωμές. Στις ηλεκτρονικές τραπεζικές συναλλαγές. Στην άμεση συνομιλία (chat). Στο διαμοιρασμό αρχείων.
ΑΣΦΑΛΕΙΑ ΠΕΡΙΜΕΤΡΟΥ Ορισμός: Όλα τα σημεία πρόσβασης του δικτύου του παρόχου σε εξωτερικά δίκτυα. Σκοπός: Η προστασία των διάφορων πόρων του παρόχου από εισβολείς, και η αποτροπή από μη εξουσιοδοτημένη πρόσβαση σε στοιχεία του δικτύου του. Μέσα Προστασίας: Σύστημα firewall:Ένας μηχανισμός «περιμετρικής άμυνας» ελέγχει την πρόσβαση από και προς το ιδιόκτητο δίκτυο.
FIREWALLS 1/2 Δυνατότητες των Firewalls:
FIREWALLS 2/2 Αδυναμίες των Firewalls:
ΑΣΦΑΛΕΙΑ WEB ΕΞΥΠΗΡΕΤΗΤΩΝ 1/2 Ορισμός: Ο web εξυπηρετητής διαχειρίζεται και διανέμει πληροφορίες στο διαδίκτυο και προστατεύει τα ευαίσθητα δεδομένα που στέλνονται από το πρόγραμμα πλοήγησης (web browser) του χρήστη στον εξυπηρετητή αυτού που επικοινωνεί. Οι εξυπηρετητές μπορούν να διακριθούν από τα εξής : Απόδοση. Πλατφόρμες. Ασφάλεια. Εμπόριο.
ΑΣΦΑΛΕΙΑ WEB ΕΞΥΠΗΡΕΤΗΤΩΝ 2/2 Εξυπηρετούν αιτήσεις HTTP. Παρέχουν έλεγχο προσπέλασης. Εκτελούν scripts ή προγράμματα, είτε για να προσθέσουν λειτουργικότητα στις ιστοσελίδες, είτε για να παράσχουν πρόσβαση πραγματικού χρόνου. Καταγράφουν τις συναλλαγές ηλεκτρονικού εμπορίου που πραγματοποιούν οι χρήστες.
ΑΣΦΑΛΕΙΑ WEB ΕΦΑΡΜΟΓΩΝ Ορισμός: Η προστασία αγαθών όπως μιας ιστοσελίδας ή μιας βάσης δεδομένων μιας επιχείρησης. Απαιτήσεις Ασφαλείας: Αυθεντικοποίηση : Αποσκοπεί στην εξακρίβωση της ταυτότητας. Εμπιστευτικότητα: Αφορά την ιδιωτικότητα και τη μυστικότητα. Εξουσιοδότηση: Ο έλεγχος πρόσβασης σε συγκεκριμένες πληροφορίες και υπηρεσίες. Ακεραιότητα: Η προστασία των δεδομένων από τυχαία ή σκόπιμη τροποποίηση. Μη αποποίηση ευθύνης: Ένας χρήστης δεν μπορεί να αρνηθεί την εκτέλεση μιας λειτουργίας. Διαθεσιμότητα: Η άμεση πρόσβαση στις υπηρεσίες του συστήματος για τους νόμιμους χρήστες του.
ΚΡΥΠΤΟΓΡΑΦΗΣΗ Ορισμός: Είναι ο μετασχηματισμός δεδομένων σε μορφή που να είναι αδύνατον να διαβαστεί χωρίς την γνώση της σωστής ακολουθίας bit (κλειδί). Η αντίστροφη διαδικασία είναι η αποκρυπτογράφηση και απαιτεί γνώση του κλειδιού. Σκοπός: Η εξασφάλιση του απόρρητου των δεδομένων κρατώντας τα κρυφά από όλους όσους έχουν πρόσβαση σε αυτά.
ΜΕΘΟΔΟΙ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ 1/2 ΜΕΘΟΔΟΙ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ 1/2 Συμμετρική κρυπτογράφηση (Symmetric Cryptography ή Secret-Key Cryptography). Χρησιμοποιείται το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση. Το κλειδί αυτό πρέπει να είναι γνωστό μόνο στα εξουσιοδοτημένα μέρη ,δηλαδή στον αποστολέα ώστε να κρυπτογραφήσει το μήνυμα και στο παραλήπτη για να το αποκρυπτογραφήσει. Ασύμμετρη κρυπτογράφηση (Public-Key Cryptography). Στην ασύμμετρη κρυπτογράφηση, χρησιμοποιούνται διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση: το δημόσιο (public) και το ιδιωτικό (private) κλειδί αντίστοιχα.
ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΚΑΙ ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΩΝ ΜΕΘΟΔΩΝ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ Συμμετρική κρυπτογράφηση Ασύμμετρη κρυπτογράφηση (-) Η συνεννόηση και ανταλλαγή του κλειδιού, χωρίς κάποιος τρίτος να μάθει για αυτό. (+) Παρέχουν ψηφιακές υπογραφές που δεν μπορούν να αποκηρυχθούν από την πηγή τους. (+) Η κρυπτογράφηση πραγματοποιείται με ταχύτατους ρυθμούς. (-) Έλλειψη ταχύτητας. (+) Δεν υπάρχει ανάγκη για πιστοποίηση των κλειδιών. (-) Ανάγκη για πιστοποίηση και επαλήθευση των δημόσιων κλείδων από οργανισμούς.
ΠΙΣΤΟΠΟΙΗΣΗ ΑΥΘΕΝΤΙΚΟΤΗΤΑΣ Ορισμός: Η τεχνική με την οποία κάποιος πιστοποιεί ότι αυτός με τον οποίο επικοινωνεί είναι αυτός που πρέπει και όχι κάποιος άλλος. Κατηγορίες: Πιστοποίηση Αυθεντικότητας Βασισμένη σε Μοιραζόμενο Μυστικό Κλειδί. Πιστοποίηση Αυθεντικότητας με τη Χρήση Κέντρου Διανομής Κλειδιών. Πιστοποίηση Αυθεντικότητας με Χρήση Κρυπτογραφίας Δημοσίου Κλειδιού.
ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ 1/2 Ορισμός: ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ 1/2 Ορισμός: Μία μέθοδος διασφάλισης του περιεχομένου ενός ηλεκτρονικού εγγράφου, ως προς : Tη γνησιότητα, Την ακρίβεια, Την εξατομίκευση του εκδότη του εγγράφου αυτού, Τη μη αλλοίωση του κειμένου αυτού. Κατηγορίες: Υπογραφές με Κρυπτογραφία Μυστικού Κλειδιού. Υπογραφές με Κρυπτογραφία Δημοσίου Κλειδιού.
ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ 2/2 Ψηφιακές Υπογραφές χωρίς μυστικότητα ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ 2/2 Ψηφιακές Υπογραφές χωρίς μυστικότητα Ψηφιακές Υπογραφές με μυστικότητα
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Πιστοποιούν ότι το άτομο που στέλνει πληροφορίες είναι πραγματικά αυτό που δηλώνει ότι είναι. Περιλαμβάνουν διάφορες πληροφορίες όπως το όνομα του χρήστη, το όνομα της εταιρίας που το εκδίδει, έναν σειριακό αριθμό. Χρησιμοποιούν πανίσχυρη τεχνολογία απόκρυψης και είναι πιο ασφαλή ακόμη και από τις υπογραφές. Εκδίδονται έναντι χρεώσεως από ιδιωτικές εταιρίες που ονομάζονται Digital Authorities. Το πιο γνωστό πρότυπο που επικρατεί είναι το Χ.509.
ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ Αποτελούν αντικείμενο πολλών και διαφορετικών τύπων επιθέσεων, όπως: Της απώλειας του απόρρητου, Της ακεραιότητας των δεδομένων, Της πλαστοπροσωπίας. Το πρωτόκολλο SSL, παρέχει απόρρητη επικοινωνία μεταξύ δύο συστημάτων, και αποτελεί σήμερα το πιο διαδεδομένο πρωτόκολλο ασφάλειας για το ηλεκτρονικό εμπόριο.
ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ Αρχιτεκτονική Τοποθέτηση του SSL
ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΟΥ ΤΑΧΥΔΡΟΜΕΙΟΥ Ένα ηλεκτρονικό μήνυμα, κατά την πορεία του από τον αποστολέα στον τελικό παραλήπτη, μπορεί εύκολα να διαβαστεί, να τροποποιηθεί ακόμα και να εμποδιστεί από το να φθάσει στον τελικό του προορισμό. Το Privacy Enhanced Mail (PEM), προβλέπει για αυτή την αδυναμία, εφαρμόζοντας : Υπηρεσίες απόρρητης συναλλαγής, Πιστοποίηση ταυτότητας, Ακεραιότητα των μηνυμάτων, Εξασφάλιση της μη αποκήρυξης της πηγής. Ένα ηλεκτρονικό μήνυμα, κατά την πορεία του από τον αποστολέα στον τελικό παραλήπτη, μπορεί εύκολα να διαβαστεί, να τροποποιηθεί ακόμα και να εμποδιστεί από το να φθάσει στον τελικό του προορισμό.
ΕΦΑΡΜΟΓΕΣ ΗΛΕΚΤΡΟΝΙΚΩΝ ΠΛΗΡΩΜΩΝ Χαρακτηριστικά Ασφαλείας: Αυθεντικοποίηση Πληρωμής. Ακεραιότητα Πληρωμής. Έγκριση Πληρωμής. Εμπιστευτικότητα Πληρωμής. Υπηρεσίες Ασφαλείας: Ανωνυμία Χρήστη. Μη Ανίχνευση Θέσης. Μη Ανίχνευση Συναλλαγής Πληρωμής. Εμπιστευτικότητα των Δεδομένων της Συναλλαγής Πληρωμής. Μη αποκήρυξη των Μηνυμάτων της Συναλλαγής Πληρωμής. Μη Επανάληψη Μηνυμάτων Συναλλαγής Πληρωμής.
ΣΥΝΗΘΕΙΕΣ ΚΑΙ ΧΡΗΣΗ ΤΟΥ ΔΙΑΔΙΚΤΥΟΥ Ενημέρωση για θέματα κινδύνων στο διαδίκτυο Το 21% (1/5 των χρηστών) αγνοεί εντελώς τους κινδύνους του διαδικτύου. Το 60%, δεν γνωρίζει πού πρέπει να απευθυνθεί σε περίπτωση κινδύνου.
ΣΥΜΠΕΡΑΣΜΑ Η απώλεια ψηφιακών δεδομένων αποτελεί μια από τις μεγαλύτερες μη υπολογιζόμενες ζημιές για μια σύγχρονη κοινωνία. Η προστασία των προσωπικών δεδομένων από εξωτερικούς ή και εσωτερικούς κινδύνους πρέπει να συγκαταλέγονται μεταξύ των προτεραιοτήτων όλων των χρηστών!