Προστασία της ασφάλειας στον κυβερνοχώρο & I.P.

4.2.1 Πώς μπορεί μια εταιρεία να εξασφαλίσει την ασφάλεια κατά τη διάρκεια διεθνών συναλλαγών;

Η ασφάλεια είναι θεμελιώδης ανάγκη και απαίτηση για κάθε διαδικτυακή δραστηριότητα και δε στο ηλεκτρονικό εμπόριο, όπου ένας τεράστιος αριθμός δεδομένων διαμοιράζεται και αποθηκεύεται. Ωστόσο, δεν πρόκειται μόνο για την εξασφάλιση επιχειρηματικών δεδομένων, αλλά και για την προστασία ευαίσθητων δεδομένων πελατών, γεγονός που καθιστά δυνατή την ασφαλή πλοήγηση και εξασφαλίζει τις πληρωμές.

Για κάθε επιχειρηματικό σχεδιασμό για την έναρξη της πώλησης, τα μέτρα ασφαλείας είναι κρίσιμα. Κάθε πληροφορία που πηγαίνει στο διαδίκτυο είναι επιρρεπής στις ‘’κυβερνοεπιθέσεις’’. Παρά το γεγονός ότι μια επιχείρηση μπορεί να θεσπίσει νέα αυστηρά μέτρα μετά από σχετική επίθεση, τα οποία όμως θα είναι αποτελεσματικά για το μέλλον, τα δεδομένα που είχαν αποθηκευτεί προηγουμένως θα εξακολουθούν να είναι εκτεθειμένα σε κίνδυνο. Αυτός είναι ο λόγος για τον οποίο η εφαρμογή των μέτρων ασφαλείας αποτελεί αναγκαιότητα, η οποία θα πρέπει επίσης να περιλαμβάνει τακτικά και ακριβή μέτρα ελέγχου, συμπεριλαμβανομένων των τακτικών επικαιροποιήσεων λογισμικού προκειμένου να είναι σε θέση να εντοπίζουν άμεσα τυχόν ‘’κυβερνοεπιθέσεις’’ πριν προκαλέσουν αυτές την οποιαδήποτε βλάβη.

Η ‘online ασφάλεια’ συνδέεται με online πληρωμές, κάτι που συμβαίνει συχνά. Στο πλαίσιο αυτό, η κρυπτογραφημένη (κωδικοποιημένη) διαβίβαση δεδομένων μεταξύ του καταναλωτή και του πωλητή, ιδίως των στοιχείων της πιστωτικής κάρτας, αποτελεί προϋπόθεση. Αυτό θα πρέπει επίσης να περιλαμβάνει την ικανότητα επιβεβαίωσης τόσο από την πλευρά του πωλητή όσο και από την μεριά του αγοραστή. Ωστόσο, πριν από την υλοποίηση οποιασδήποτε online πληρωμής, υπάρχουν και άλλα μέτρα που είναι αναγκαία να εφαρμοστούν. Αυτά αρχίζουν με τη διασφάλιση του δικτύου (-ων) των επιχειρήσεων, ιδίως εξασφαλίζοντας τον server από επιθέσεις τρίτων, τόσο από εξωτερικές (στο Διαδίκτυο) όσο και από μέσα (LAN), και εξασφαλίζοντας τον server από μη εξουσιοδοτημένα πρόσωπα να έχουν πρόσβαση στα δεδομένα του πελάτη χωρίς τη συγκατάθεσή του. Άλλα βασικά μέτρα ασφαλείας περιλαμβάνουν τα πρωτόκολλα ασφαλείας SSL και τις δικλείδες ασφαλείας (security seals).

Το πρωτόκολλo ασφαλείας SSL, συνδέει το όνομα του server ή την εταιρική επωνυμία με την οργανωτική ταυτότητα (δηλαδή το όνομα της εταιρείας) και τη θέση. Είναι το πρώτο βήμα για την προστασία μιας ιστοσελίδας ηλεκτρονικού εμπορίου. Σκοπός της εφαρμογής του είναι η εξασφάλιση συνδέσεων από τον web server στον browser, συγκεκριμένα, πρέπει να εξασφαλιστούν οι συναλλαγές με πιστωτικές κάρτες, μεταφορά δεδομένων, λογότυπα και browser των μέσων κοινωνικής δικτύωσης. Ένας χώρος ηλεκτρονικού εμπορίου που διαθέτει πιστοποιητικό SSL θα έχει ένα λουκέτο ή green bar δίπλα στο πρωτόκολλο του HTTPS στο μπαρ διευθύνσεων.

Οι Security seals (γνωστές επίσης ως δικλείδες ασφαλείας) τεκμηριώνουν την προσχώρηση ενός ηλεκτρονικού καταστήματος σε μια πολιτική προστασίας της ιδιωτικής ζωής, όταν διενεργήθηκε η τελευταία σάρωση ασφαλείας (π.χ. για κακόβουλο λογισμικό ή ιούς) και εάν ο δικτυακός τόπος είναι ασφαλής. Υπάρχουν δύο τύποι σφραγίδων ασφαλείας. Ο πρώτος είναι αυτός της επαλήθευσης του εξυπηρετητή και ο δεύτερος είναι της επαλήθευσης του τόπου. Ο πρώτος θα σαρώσει τον διακομιστή φιλοξενίας για την εξάλειψη κάθε δυνητικού κινδύνου. Στην δεύτερη περίπτωση ο χρήστης προστατεύεται από την εισαγωγή μη επιθυμητών ‘’σεναρίων’’ σε αυτές τις σελίδες και αλλοίωση των δεδομένων των χρηστών, που ενδέχεται να ακυρώσουν τις συναλλαγές ή την καταστροφή δεδομένων ( SQL injection). Ένας δικτυακός τόπος ηλεκτρονικού εμπορίου που διαθέτει σήμα εμπιστοσύνης θα έχει σήμα ή “ασφαλές” / “επαληθευμένο” μήνυμα (π.χ. Η Norton Secure) στη σελίδα του, αλλά και σε πολλές περιπτώσεις στο μπαρ διευθύνσεων, και η νομιμότητά της μπορεί να ελεγχθεί με κλικ σε αυτό το εικονίδιο για να πάει στη σελίδα που επαληθεύει την αυθεντικότητα αυτής της σφραγίδας. Μια άλλη ένδειξη ότι ο χώρος είναι ασφαλισμένος είναι το “green name”του protector στο μπαρ διευθύνσεων του browser.

Οι online πληρωμές είναι ιδιαίτερα ευάλωτες στις κυβερνοεπιθέσεις και σε απάτες και το πρόβλημα θα συνεχίσει να αυξάνεται λόγω της αυξανόμενης δημοτικότητας των online και των αγορών μέσω κινητών τηλεφώνων. Οι ‘’κυβερνοεγκληματίες’’ κλέβουν ευαίσθητες πληροφορίες και οι συναλλαγές χωρίς κάρτα (CNP) αποτελούν τεράστιο στόχο για αυτούς. Οι καταναλωτές προτιμούν τη χρήση πιστωτικών καρτών (ή καρτών εν γένει) για online συναλλαγές. Η Ευρωπαϊκή Κεντρική Τράπεζα υπολογίζει ότι οι συναλλαγές CNP αντιπροσωπεύουν πάνω από το 60% στις απάτες χρηστών κάρτας.

Άλλα παραδείγματα online απάτης στο ηλεκτρονικό εμπόριο είναι:

Merchant Identity Fraud (απάτη αλλαγής ταυτότητας εμπόρου): Όταν ένας κυβερνοεγκληματίας δημιουργεί εμπορικό λογαριασμό παρόμοιο με αυτό μιας νόμιμης επιχείρησης και πραγματοποιεί παράνομες χρεώσεις σε κλεμμένες πιστωτικές κάρτες πριν ο πραγματικός κάτοχος της κάρτας το καταλάβει.

Card Theft (κλοπή κάρτας): Όταν κάποιος καταγράφει παράνομα πληροφορίες μιας πιστωτικής κάρτας, οι οποίες πληροφορίες μπορούν να χρησιμοποιηθούν για διάφορες αγορές. Παράνομη καταγραφή στοιχείων μπορεί να είναι ο αριθμός κάρτας, η ημερομηνία λήξης και το CVV / CVC.

Customer Identity Theft (Κλοπή δεδομένων χρήστη): Όταν ένας κυβερνοεγκληματίας λαμβάνει βασικές πληροφορίες για προσωπικά στοιχεία όπως κωδικούς κάρτας κτλ. τα οποία στην συνέχεια χρησιμοποιούνται για αγορές.

Card Testing (Χρήση κλεμμένης κάρτας): Όταν ένας απατεώνας χρησιμοποιεί κλεμμένες κάρτες για να κάνει συχνές αγορές χαμηλής αξίας.

Package Interception (Αλλαγή διεύθυνσης παραλήπτη από online αγορά): Όταν ένας απατεώνας χρησιμοποιεί μια κλεμμένη κάρτα για να αγοράσει φυσικά αντικείμενα και στη συνέχεια αλλάζει διεύθυνση παραλαβής του πακέτου κατά τη διάρκεια της παράδοσης.

Phishing (Προσπάθεια αλίευσης προσωπικών δεδομένων): Όταν ένας κυβερνοεγκληματίας προσπαθεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα, όπως το όνομα χρήστη, ο κωδικός πρόσβασης, λεπτομέρειες της πιστωτικής κάρτας κ.λπ., που σχετίζονται με μηνύματα ηλεκτρονικού ταχυδρομείου ή ιστοσελίδες.

False Demand for a Refund (ψευδής απαίτηση αποζημίωση): Όταν ένας ‘’ψεύτικος’’ κάτοχος κάρτας αποκτά έσοδα από ακύρωση αγοράς λαμβάνοντας επιστροφή, ως ‘’ψεύτικος’’ πελάτης οπότε προσπαθεί και λαμβάνει πίσω χρήματα από νόμιμη αγορά.

Malicious redirect (κακόβουλη ανακατεύθυνση): Όταν ένας κυβερνοεγκληματίας αντιδρά σε ‘’μολυσμένο’’ site.

Pagejacking (ανακατεύθυνση σε κακόβουλες ιστοσελίδες): Όταν οι κυβερνοεγκληματίες επιτίθενται σε ιστότοπους και ανακατευθύνουν τους πελάτες σε μη ασφαλείς σελίδες. Κυβερνοεπιθέσεις που μπορούν να είναι ευκολότερο ο εντοπισμό και την εξάλειψη τους.

Malvertising (ψευδής διαφήμιση): Όταν μεταδίδονται ψεύτικες διαφημιστικές εκστρατείες (που χαρακτηρίζονται από ορθογραφικά λάθη, εσφαλμένο προϊόν, κ.λπ.) και οποίες μπορούν να ‘’μολύνουν’’ μια ιστοσελίδα.

Suspicious pop ups (Κακόβουλα αναδυόμενα παράθυρα): Όταν εμφανίζονται ψεύτικα μηνύματα στην οθόνη, κατεβάζοντας κακόβουλο λογισμικό στον υπολογιστή απλά και μόνο με ένα κλικ.

Defacement (παραμόρφωση): Όταν ένας κυβερνοεγκληματίας αντικαθιστά το περιεχόμενο ενός ιστότοπου με άλλο όνομα, λογότυπο ή εικόνες με ιδεολογικό περιεχόμενο.

Ορισμένα πρόσθετα μέτρα που είναι αναγκαία για την προστασία από τις διάφορες μορφές απάτης που αναφέραμε και παραπάνω, και για την εγγύηση της ασφάλειας των συναλλαγών, περιλαμβάνουν το PCI DSS Certification, ένα μέτρο που δημιουργήθηκε για να αυξήσει το επίπεδο ασφάλειας και να μειώσει τις απάτες με πιστωτικές κάρτες, το Adress Verification Service (AVS) για να επαληθεύσει κατά πόσο ο αγοραστής είναι και ο ιδιοκτήτης της κάρτας, και το Card Verification Value (CVV)  το οποίο επίσης είναι γνωστό ως Card Security Code (CSC) που πιστοποιεί ότι ο αγοραστής έχει την κάρτα στην κατοχή του.

Να σημειωθεί ότι τα δύο τελευταία ισχύουν μόνο για τις συναλλαγές με πιστωτικές κάρτες ενώ το AVS δεν εφαρμόζεται σε όλες τις χώρες. Το 3D Secure είναι ένα πρόσθετο επίπεδο ασφάλειας για online συναλλαγές πιστωτικών και χρεωστικών καρτών που προσθέτει ένα επιπλέον στάδιο επαλήθευσης για τους πελάτες που πραγματοποιούν διαδικτυακές αγορές.

Επιπλέον, ο εντοπισμός διευθύνσεων IP, αριθμών κάρτας και άλλων στοιχείων που μπορούν να συσχετιστούν με συναλλαγές που φαίνεται να είναι δόλιες, είναι σημαντικά μέτρα ασφαλείας. Οι online επιχειρήσεις θα πρέπει επίσης να διασφαλίζουν την παροχή πληροφοριών σχετικά με τα διεθνή επιτόκια συναλλάγματος και μάλιστα όλες οι πληροφορίες πρέπει να διασφαλίζεται ότι παρέχονται στη γλώσσα της αγοράς-στόχου. Ανάλογα με τη χώρα στόχο, ενδέχεται να απαιτούνται διαφορετικά μέτρα ασφάλειας, και η απόφαση για το κατά πόσον μια επιχείρηση τα εφαρμόζει ή όχι, αυτό επηρεάζει και την πρόσβαση της εν λόγω επιχείρησης στην αγορά – στόχο.

Εκτός από τις βασικές λύσεις για την προστασία από την απάτη όπως αναφέραμε προηγουμένως, υπάρχουν επίσης πιο προηγμένα εργαλεία στην αγορά, καθένα από τα οποία παρέχει μια σειρά πλήρως ολοκληρωμένων ελέγχων για την πρόληψη και την ανίχνευση της απάτης πριν από την επεξεργασία αίτησης συναλλαγής ή επαλήθευσης. Θα πρέπει να επιλέγονται με βάση το είδος του τόπου ηλεκτρονικού εμπορίου, το μέγεθος της επιχείρησης, τον αριθμό των πελατών και τη δυνατότητα πρόσβασης στις νέες αγορές.

4.2.2  Προστασία διανοητικής Ιδιοκτησίας και GDPR

Η Διανοητική ιδιοκτησία (IP) αναφέρεται σε διάφορες πτυχές της δημιουργικότητας των ατόμων και των ομάδων και προστατεύεται από το νόμο. Είναι επίσης ιδιοκτησία συγκεκριμένου προϊόντος ή υπηρεσίας, το οποίο καθίσταται  σημαντική συνιστώσα του ηλεκτρονικού εμπορίου κατά το οποίο ανταλλάσσονται περιγραφές προϊόντων – υπηρεσιών, εικόνων, βίντεο ή άλλων δεδομένων. Δεδομένου ότι το εμπόριο μέσω του Διαδικτύου πρέπει να προστατεύεται, θα πρέπει να προστατεύονται εξίσου τα συστήματα τεχνολογικής ασφάλειας και η τήρηση των νόμων σχετικά με το e–commerce. Καλά παραδείγματα θεωρούνται τα διπλώματα ευρεσιτεχνίας, τα εμπορικά σήματα, τα δικαιώματα πνευματικής ιδιοκτησίας και τα εμπορικά απόρρητα. Το ηλεκτρονικό εμπόριο και οι online επιχειρήσεις βασίζονται σε άδειες εκμετάλλευσης προϊόντων ή διπλωμάτων ευρεσιτεχνίας, καθώς και εμπορικά σήματα, τα οποία, εάν δεν προστατεύονται, μπορούν να προκαλέσουν ζημία στην επιχείρηση. Ως εκ τούτου, η IP συνδέεται στενά με τυχόν ευαίσθητα δεδομένα και ασφάλεια και αφορά το GDPR.

Το GDPR αφορά τον Γενικό κανονισμό για την προστασία προσωπικών δεδομένων βάσει του οποίου η συλλογή δεδομένων προσωπικού χαρακτήρα καθορίζεται από τη συγκατάθεση του καταναλωτή στο ότι συμφωνεί ότι τα προσωπικά του δεδομένα συλλέγονται και αποθηκεύονται. Αυτό σημαίνει ότι δεν είναι δυνατή η συλλογή, αποθήκευση και χρήση δεδομένων χωρίς την άδεια του πελάτη. Ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ), της 14ης Απριλίου 2016, που εκδόθηκε στις 25 Μαΐου 2018, σχεδιάστηκε για την προστασία των πολιτών της ΕΕ. Ο κανονισμός εισάγει περιορισμούς τόσο στη συλλογή δεδομένων όσο και στη χρήση δεδομένων.

Η προστασία των δεδομένων προσωπικού χαρακτήρα και ευαίσθητων δεδομένων είναι υποχρεωτική, καθώς και η διάκριση μεταξύ τους, δεδομένου ότι ενδέχεται να απαιτούνται διαφορετικά επίπεδα προστασίας. Τα δεδομένα προσωπικού χαρακτήρα, εκτός από τα ονόματα, τις διευθύνσεις ή τις λεπτομέρειες των τραπεζικών λογαριασμών, είναι τα cookies και οι διευθύνσεις IP και τα βιομετρικά δεδομένα, θα ταξινομούνται ως ευαίσθητα δεδομένα. Μια ιστοσελίδα ηλεκτρονικού εμπορίου θα έρθει σε ‘’επαφή’’ με ένα τεράστιο ποσό προσωπικών και ευαίσθητων δεδομένων, επομένως τα μέτρα ασφαλείας πρέπει να εισάγονται από τη στιγμή που μια επιχείρηση δέχεται επισκέπτες στην ιστοσελίδα (ιδίως εάν η ιστοσελίδα χρησιμοποιεί cookies, έχει ήδη συλλέξει δεδομένα από τον επισκέπτη ή ζητάει από τους επισκέπτες της να επιτρέψουν την αποστολή ηλεκτρονικού ενημερωτικού δελτίου) και κατά τη μετατροπή τους σε πελάτες (δημιουργία λογαριασμού, αγορά, εισαγωγή δεδομένων). Σε κάθε περίπτωση, οι επιχειρήσεις υποχρεούνται να εξηγούν στους πελάτες τους λόγους για τους οποίους ζητούν τα δεδομένα τους και ότι είναι υπεύθυνοι για την προστασία των προσωπικών και όχι μόνο δεδομένων των πελατών. Οι πληροφορίες αυτές θα πρέπει επίσης να είναι διαθέσιμες για τους πελάτες (π.χ. στην πολιτική για την προστασία της ιδιωτικής ζωής ή σε οποιοδήποτε άλλο μέρος στην ιστοσελίδα που είναι εύκολο να βρεθεί).

Η ψηφιοποίηση διευκολύνει τη συλλογή δεδομένων, αλλά με την εισαγωγή του GDPR το ποσό των συλλεγόμενων δεδομένων μειώνεται σημαντικά, δεδομένου ότι οι πελάτες είναι πιο προσεκτικοί με τις πληροφορίες που μοιράζονται στο διαδίκτυο.

Οι επιχειρήσεις αρχίζουν επίσης να κατανοούν ότι δεν χρειάζεται να συλλέγουν τόσο πολλά δεδομένα από τους πελάτες, καθώς πρέπει οι ίδιες να χτίζουν την εμπιστοσύνη των πελατών τους, οι οποίοι με την σειρά τους θεωρούν ότι οι εταιρείες εκμεταλλεύονται τα δεδομένα τους και δεν είναι πρωταρχικός τους στόχος η προστασία αυτών. Στο ηλεκτρονικό εμπόριο, η συλλογή δεδομένων και η αποθήκευση δεδομένων δεν είναι απαραίτητες για την ολοκλήρωση μιας εντολής, αλλά μπορεί να είναι ζωτικής σημασίας για τους σκοπούς άλλων δραστηριοτήτων, π.χ. ανάλυση της διαδικτυακής συμπεριφοράς των καταναλωτών ή της εγγραφής τους σε ηλεκτρονικό ενημερωτικό δελτίο. Ανάλογα με την περίπτωση, ο καταναλωτής πρέπει πάντα να επιβεβαιώνει ότι συμφωνεί εντός του δικτυακού τόπου, με τον πάροχο ηλεκτρονικού εμπορίου, να συλλέξει τα στοιχεία τους, τα οποία ισχύουν στο πλαίσιο του GDPR.

Στήριξη της ασφάλειας του ηλεκτρονικού εμπορίου και διασφάλιση των online δραστηριοτήτων των καταναλωτών και, ως εκ τούτου, η προστασία των δικαιωμάτων τους διαδικτυακά είναι η στρατηγική για την ψηφιακή ενιαία αγορά της ΕΕ (που δρομολογήθηκε τον Μάιο του 2015). Οι κύριες προτάσεις αυτής της στρατηγικής περιλαμβάνουν τις υπηρεσίες πληρωμών και την απαγόρευση του γεωγραφικού αποκλεισμού, μεταξύ άλλων. Όσον αφορά την πληρωμή, η οδηγία για τις υπηρεσίες πληρωμών (κανονισμός (ΕΕ) 2015 / 2366) δημιουργήθηκε για την αύξηση των δικαιωμάτων των καταναλωτών, την εγγύηση των ασφαλών και ταχύτερων πληρωμών, την περιγραφή των δικαιωμάτων επιστροφής, την παροχή σαφών πληροφοριών σχετικά με τις μεθόδους πληρωμής και την προώθηση των πληρωμών με την χρήση κινητών τηλεφώνων. Ως απάντηση στον Γεωγραφικό αποκλεισμό, ο κανονισμός 2018 / 302, της 28ης Φεβρουαρίου 2018, που εκδόθηκε στις 3 Δεκεμβρίου 2018, θέτει τέρμα στο Γεωγραφικό αποκλεισμό, διευκολύνοντας την δραστηριότητα σε σχέση με το ηλεκτρονικό εμπόριο (πώληση και αγορά εκτός της χώρας διαμονής) και αυξάνοντας τις πωλήσεις εντός της ΕΕ. Η επιβολή περιορισμών επιβάλλει περιορισμούς όχι μόνο στους καταναλωτές και τις επιχειρήσεις, αλλά και στις οικονομίες. Επιπλέον, οι καταναλωτές έλαβαν πρόσθετη προστασία τον Απρίλιο του 2018 από τις προτάσεις μιας νέας συμφωνίας για τους καταναλωτές, η οποία υποχρεώνει τους διαδικτυακούς τόπους να ενημερώνουν τους καταναλωτές εάν αγοράζουν από έναν έμπορο ή ένα άτομο, εάν το αποτέλεσμα αναζήτησης είναι προπληρωμένο από έμπορο και υπό ποιες προϋποθέσεις, καθώς και επιτρέποντας στους καταναλωτές να ακυρώσουν την οποιαδήποτε σύμβαση αγοράς κάποιας ψηφιακής υπηρεσίας εντός 14 ημερών. Αναμένεται ότι τον Ιανουάριο του 2021 θα τεθούν σε ισχύ νέοι κανόνες ΦΠΑ για τις διαδικτυακές πωλήσεις αγαθών και υπηρεσιών, γεγονός που θα απλουστεύσει τους κανόνες ΦΠΑ για τις πωλήσεις αγαθών στο διαδίκτυο και θα καταπολεμήσει επίσης την φορολογική απάτη. Η ΕΕ θεσπίζει τακτικά νέους κανόνες για την προστασία των διαδικτυακών δικαιωμάτων των καταναλωτών και τη βελτίωση των επιδόσεων του ηλεκτρονικού εμπορίου. Περισσότερες πληροφορίες σχετικά με το θέμα αυτό, μπορούν να βρεθούν στην Ευρωπαϊκή Επιτροπή για τη διαμόρφωση των ψηφιακών μελλοντικών πολιτικών της Ευρώπης.