Μετρικές και μεθοδολογίες αξιολόγησης ιδιωτικότητας και ασφάλειας πληροφοριακών συστημάτων

Abstract

Users often encounter challenges in comprehending websites’ data protection policies, particularly those without specialized expertise. Frequently, they are unable to discern critical details or distinguish among various approaches. Developing mechanisms that clearly communicate potential risks and present information in an accessible manner remains a complex objective for researchers in this domain. The primary aim of the doctoral thesis was to develop a framework for evaluating data protection policies that can be tailored to the specific characteristics of each examined category. This framework is structured around the principles of the General Data Protection Regulation (GDPR), which is a widely applied regulation for user privacy. Evaluating criteria within data protection policy texts, such as readability and the inclusion of visual information, makes it possible to create a consistent basis for comparison. Additionally, different weighting factors can be assigned to each criterion depending on the website category. For instance, in cases involving children's data or medical data, certain categories' weighting factors may be modified, and additional criteria can be incorporated as needed. Research identified that there is currently no established procedure for technical evaluation of websites on their privacy measures. The second aim of the doctoral thesis was to establish specific metrics to assess and compare websites regarding the security and privacy level they offer. Key technical aspects influencing data privacy during website use, as well as user communication methods, were collected. Minimum security requirements for data protection were then defined, and weighting factors for each metric were determined accordingly. Our primary objective is to develop a comprehensive privacy evaluation framework for websites, utilizing metrics and methodologies designed to deliver complete information regarding the level of privacy protection offered. This framework integrates the assessment of both data protection policies and technical implementations. Additionally, the quantifiable nature of results evaluation, allows users to effectively compare privacy standards across multiple websites prior to usage. In the subsequent sections of the doctoral thesis, we examined technologies proposed for the implementation of digital payment methods. The selection of an appropriate technological foundation for each model plays a critical role in ensuring user privacy protection. The growing prevalence of electronic payments, alongside the anticipated adoption of digital currencies (such as the Digital Euro) by Central Banks, introduces new challenges in safeguarding user privacy. Our research presents an evaluation model for these technologies, tailored to address the specific requirements inherent in developing digital payment systems. In conclusion, we outlined the principal international privacy protection standards with the objective of mapping their respective requirements, organizational practices, and procedures. Using the General Data Protection Regulation as a reference framework, we established correspondence in both organizational practices and procedural aspects.

H δυσκολία στη κατανόηση της πολιτικής προστασίας δεδομένων των ιστοσελίδων από τους χρήστες αποτελεί κοινό τόπο προβληματισμού. Τις περισσότερες φορές χρήστες χωρίς εξειδικευμένες γνώσεις δεν έχουν την δυνατότητα να αντιληφθούν τις λεπτομέρειες αλλά ούτε και να εστιάσουν στις διαφορές μεταξύ των πολιτικών. Η δημιουργία μίας διαδικασίας όπου θα αναδεικνύει τους κινδύνους και θα ενημερώνει με απλό και κατανοητό τρόπο τους χρήστες αποτελεί ένα δύσκολο στοίχημα για τους ερευνητές της συγκεκριμένης ερευνητικής περιοχής. Πρώτος στόχος της διδακτορικής διατριβής ήταν η δημιουργία ενός πλαισίου για την αξιολόγηση των πολιτικών προστασίας δεδομένων, το οποίο θα έχει τη δυνατότητα προσαρμογής ανάλογα με τις ιδιαιτερότητες κάθε κατηγορίας που εξετάζει. Ο βασικός κορμός του πλαισίου βασίζεται στις αρχές του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ), που αποτελεί και τον πλέον διαδεδομένο κανονισμό για την προάσπιση της ιδιωτικότητας των χρηστών. Η αξιολόγηση χαρακτηριστικών στο κείμενο της πολιτικής προστασίας δεδομένων, όπως είναι η αναγνωσιμότητα (readability), η παρουσία οπτικής αναπαράστασης πληροφοριών κ.α., μας επιτρέπουν να δημιουργήσουμε ένα αξιόπιστο πλαίσιο σύγκρισης. Επίσης, ανάλογα με την κατηγορία του θέματος των ιστοτόπων, μπορούμε να ορίσουμε διαφορετικό συντελεστή βαρύτητας ανά κριτήριο. Για παράδειγμα, στην περίπτωση όπου καταγράφονται δεδομένα παιδιών ή ιατρικά δεδομένα, ο συντελεστής βαρύτητας κάποιων κατηγοριών μπορεί να προσαρμοστεί αναλόγως, ενώ υπάρχει και η δυνατότητα ενσωμάτωσης επιπλέον κριτηρίων. Στη συνέχεια, μέσω της ερευνητικής καταγραφής, παρατηρήσαμε ότι δεν υπάρχει μία συγκεκριμένη διαδικασία για την τεχνική αξιολόγηση των ιστοσελίδων σχετικά με τα μέτρα που έχουν υλοποιηθεί για την προάσπιση της ιδιωτικότητας. Ο δεύτερος στόχος της διδακτορικής διατριβής ήταν να ορίσουμε συγκεκριμένες μετρικές, όπου θα μπορούσαμε να αξιολογήσουμε και να συγκρίνουμε την υλοποίηση των ιστοτόπων σε σχέση με το επίπεδο ασφάλειας και ιδιωτικότητας που προσφέρουν. Συγκεντρώσαμε τα κυριότερα τεχνικά χαρακτηριστικά που επηρεάζουν την ιδιωτικότητα των δεδομένων κατά τη διάρκεια της χρήσης των ιστοτόπων καθώς και τους τρόπους επικοινωνίας με τους χρήστες. Στη συνέχεια, ορίσαμε τις ελάχιστες απαιτήσεις ασφάλειας για την προστασία των δεδομένων και καθορίσαμε ανάλογα τους συντελεστές βαρύτητας κάθε μετρικής. Ως τελικό σκοπό έχουμε ορίσει τη δημιουργία ενός ολοκληρωμένου πλαισίου αξιολόγησης της ιδιωτικότητας των ιστοτόπων με τη χρήση μετρικών και μεθοδολογιών που θα παρέχουν όλες τις αναγκαίες πληροφορίες σχετικά με το επίπεδο προστασίας της ιδιωτικότητας. Το προτεινόμενο πλαίσιο αποτελεί ένα συνδυαστικό μοντέλο αξιολόγησης της πολιτικής προστασίας δεδομένων και της υλοποίησης των τεχνικών μέτρων. Επιπλέον, τα αποτελέσματα της αξιολόγησης είναι απόλυτα συγκρίσιμα (ποσοτικοποιημένα), για κάθε χρήστη που επιθυμεί να επιλέξει ανάμεσα σε δύο ή περισσότερους ιστοτόπους βάσει της αξιολόγησης τους πριν τη χρήση τους. Επιπρόσθετα μελετήσαμε τις προτεινόμενες τεχνολογίες υλοποίησης ψηφιακών πληρωμών. Η επιλογή του τεχνολογικού υπόβαθρου ανά προτεινόμενο μοντέλο επηρεάζει σημαντικά και την προστασία της ιδιωτικότητας των χρηστών. Η ολοένα αυξανόμενη χρήση των ηλεκτρονικών πληρωμών καθώς και η επικείμενη χρήση ψηφιακών νομισμάτων από τις Κεντρικές Τράπεζες (Ψηφιακό Ευρώ) αποτελεί ένα νέο πεδίο έρευνας σχετικό με την ιδιωτικότητα των χρηστών. Προτείνουμε ένα μοντέλο αξιολόγησης του επιπέδου προστασίας της ιδιωτικότητας των συστημάτων ψηφιακών πληρωμών, λαμβάνοντας υπόψιν μας τις αναγκαίες τεχνολογικές απαιτήσεις για την ομαλή λειτουργία τους, όπως για παράδειγμα είναι η δυνατότητα ελέγχου των συναλλαγών από τις αρμόδιες αρχές για παράνομες ενέργειες αλλά και η ανθεκτικότητά του συστήματος σε μεγάλο όγκο συναλλαγών.Τέλος, παρουσιάζουμε τα σημαντικότερα διεθνή πρότυπα προστασίας ιδιωτικότητας με σκοπό την αντιστοίχιση των απαιτήσεων, των οργανωτικών πρακτικών και των διαδικασιών κάθε προτύπου. Κατόπιν με βάση τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) ως οδηγό, ορίσαμε την αντιστοιχία στις οργανωτικές πρακτικές και διαδικασίες μεταξύ των προτύπων όπου αυτό ήταν εφικτό.