Το δικαίωμα του ανθρώπου στην κυβερνοασφάλεια μπορεί να μοιάζει δεδομένο, αλλά η πραγματικότητα είναι μάλλον διαφορετική. Τι χρειάζεται να γίνει για να αποτελέσει αυτονόητο μέρος της ασφάλειας;
Το θέμα της κυβερνοασφάλειας απασχολεί ήδη πολύ (δείτε και σχετικό κείμενο εδώ, στο 2045.gr), και θα συνεχίσει να απασχολεί και στο μέλλον, καθώς η ζωή μας μετακομίζει σιγά-σιγά από τον πραγματικό στον ψηφιακό κόσμο. Παρότι όμως η σημασία του αυξάνεται καθημερινά, δεν είναι βέβαιο ότι ταυτόχρονα αυξάνεται και η κατανόηση των επιμέρους θεμάτων του. Ή ότι η προσέγγιση σε αυτό από τις οργανωμένες κοινωνίες εξελίσσεται ακολουθώντας τον ίδιο ρυθμό.
Νομική, τεχνική και ανθρώπινη προσέγγιση της κυβερνοασφάλειας
Πριν όμως συζητήσουμε για την ανάγκη εισαγωγής ενός, νέου, δικαιώματος στην κυβερνοασφάλεια, χρήσιμες είναι ορισμένες επισημάνσεις. Η πρώτη και σημαντικότερη αφορά το γεγονός της διάστασης μεταξύ των προσδοκιών του κοινού και της τεχνικής, και νομικής προσέγγισης στο θέμα. Το κοινό, καθένας δηλαδή από εμάς, παίρνει τον όρο κυβερνοασφάλεια κυριολεκτικά – και πολύ καλά κάνει: Η κυβερνοασφάλεια εξασφαλίζει ασφάλεια για όλους μας στο διαδίκτυο. Αντιθέτως όμως, η νομική προσέγγιση μέχρι σήμερα δεν επιδιώκει ακριβώς το ίδιο: Με τον όρο «κυβερνοασφάλεια» ο νόμος σήμερα εννοεί την ηλεκτρονική ασφάλεια ορισμένων κρίσιμων υποδομών (ενέργεια, μεταφορές, νοσοκομεία κα.). Το ίδιο και οι τεχνικοί, οι ειδικοί της κυβερνοασφάλειας: Επιδιώκουν να προστατεύσουν συστήματα υπολογιστών. Το άτομο, ο άνθρωπος, ο χρήστης δεν μπαίνει πουθενά στη νομική και τεχνική συλλογιστική – ή, στην καλύτερη, μπαίνει μόνο έμμεσα.
Η δεύτερη επισήμανση αφορά την τεχνική προσέγγιση στο θέμα. Εδώ μπορεί να ειπωθούν πολλά, αφού η τεχνική πλευρά της κυβερνοασφάλειας είναι μακράν πιο εξελιγμένη από τη νομική ή το ρυθμιστικό πλαίσιο. Το μόνο όμως που ενδιαφέρει αυτό εδώ το κείμενο είναι ότι όλα αυτά τα εργαλεία, όλα αυτά τα δισεκατομμύρια που έχουν δαπανηθεί και δαπανώνται, στοχεύουν να προστατεύσουν υποδομές. Για τους τεχνικούς δεν έχει σημασία ο άνθρωπος, ούτε καν το περιεχόμενο της πληροφορίας: Το μόνο που έχει σημασία είναι να μην «περάσουν» οι επιθέσεις, και να μην δοθεί πρόσβαση στην πληροφορία. Φυλούν τα τείχη, χωρίς να τους νοιάζει τι υπάρχει πίσω από αυτά.
Η τρίτη επισήμανση αφορά το γεγονός ότι η Ελλάδα στον τομέα αυτόν δεν νομοθετεί μόνη. Παρότι το θέμα ανήκει έμμεσα μόνο στην αρμοδιότητα της ΕΕ, στην Ελλάδα εφαρμόζουμε Κοινοτικούς κανόνες και έχουμε ιδρύσει αρχές (ιδίως, την Εθνική Αρχή Κυβερνοασφάλειας, που λειτουργεί ως Διεύθυνση του Υπουργείου Ψηφιακής Διακυβέρνησης και δεν φαίνεται μέχρι σήμερα να διαθέτει ιστότοπο…) σύμφωνα με Κοινοτικές απαιτήσεις. Αυτό βέβαια δεν αποκλείει τη δυνατότητα στο μέλλον να πάρουμε νομοθετική πρωτοβουλία και να πρωτοτυπήσουμε, όμως για την ώρα απλά ακολουθούμε τους υπόλοιπους Ευρωπαίους.
Τέλος, δεν μπορεί παρά να επισημανθεί ότι και ο ίδιος ο όρος «κυβερνοασφάλεια» (παρότι κατά το ήμισυ ελληνικός: «κυβερνο» / cybersecurity) έχει φιλολογικές καταβολές (από το cyberspace του Gibson), και τελικά μπερδεύει: Εννοεί το ίντερνετ; Κάτι παραπάνω; Κάτι λιγότερο; Όμως, ομολογουμένως αυτή η επισήμανση τελικά περιττεύει, ο όρος από τη λογοτεχνία μπήκε σε νόμους σε όλη την υφήλιο, τελικά δηλαδή ήρθε για να μείνει.
Έχοντας πει τα παραπάνω, μπορούμε άραγε να μιλήσουμε για ένα δικαίωμα καθενός από εμάς στην κυβερνοασφάλεια;
Κατά τη γνώμη μου, ναι. Αλλά, το θέμα χρειάζεται επεξηγήσεις.
Αρχικά πρέπει να σημειωθεί ότι η εποχή μας είναι η εποχή της σωρηδόν πρότασης νέων δικαιωμάτων: Από το δικαίωμα στο ίντερνετ μέχρι το δικαίωμα στο καθαρό νερό, σε μια ταχυδρομική διεύθυνση, σε έναν τραπεζικό λογαριασμό, στο δικαίωμα της ώριμης ηλικίας, στην κυριολεξία έχει προταθεί να «δικαιωματοποιηθεί» οτιδήποτε βρίσκεται κάτω από τον ήλιο, κάθε πτυχή της καθημερινής μας ζωής. Αυτό φυσικά δεν έχει καμία σχέση με τους «δικαιωματιστές» (μακριά από εμάς!). Είναι απλά η, ίσως σπασμωδική, προσπάθεια της ανθρωπότητας πρώτα να κατανοήσει και μετά να κατοχυρώσει την νέα πραγματικότητα γύρω της, αυτή την μεταβατική περίοδο που ζούμε.
Επομένως, η συζήτηση για ένα νέο δικαίωμα στην κυβερνοασφάλεια δεν μπορεί να ξεφύγει από το γενικό πλαίσιο της «δικαιωματοποίησης», που, αν μη τι άλλο, της αφαιρεί αξιοπιστία.
Το άλλο πλαίσιο από το οποίο δεν μπορεί να ξεφύγει, είναι αυτό του γενικού δικαιώματος στην ασφάλεια.
“Το δικαίωμα στην ασφάλεια είναι, για εμένα τουλάχιστον, ο μόνος λόγος που δημιουργήθηκαν ανθρώπινες κοινωνίες και εξακολουθούμε να ζούμε όλοι μαζί.”
Το ξέρω ότι θυμίζει Λεβιάθαν, όμως για μένα είναι η μόνη πειστική εξήγηση – και για όλους τους υπόλοιπους έστω μια από τις βασικές αιτίες δημιουργίας ανθρώπινων κοινωνιών (οι άλλες που την ανταγωνίζονται είναι η δικαιοσύνη ή η εγγενής κοινωνικότητα του ανθρώπου – καθένας μπορεί να διαλέξει…). Σε κάθε περίπτωση το βασικό δικαίωμα στην ασφάλεια λέει ακριβώς αυτό, ότι καθένας μας δικαιούται να είναι ασφαλής. Ας μην μπούμε στη συζήτηση τι ακριβώς περιλαμβάνει αυτή η «ασφάλεια», δεν χωρά το ίντερνετ όλο για να απαντηθεί. Αντί γι αυτό, ας σκεφτούμε μόνο μήπως η κυβερνοασφάλεια είναι τελικά αυτονόητο μέρος της ασφάλειας.
Για να απαντηθεί αυτό, αν δηλαδή το γενικό μας δικαίωμα στην ασφάλεια καλύπτει και την κυβερνοασφάλεια, θα πρέπει να αρχίσουμε να αναλύουμε τι ακριβώς θα κάλυπτε ένα δικαίωμα στην κυβερνοασφάλεια (αν φυσικά υποθέσουμε ότι συμφωνούμε τι καλύπτει το δικαίωμα στην ασφάλεια, κάτι που είμαι βέβαιος ότι δεν συμβαίνει στην πραγματικότητα, όμως ας κάνουμε μια υπόθεση εργασίας…).
Κυβερνοασφάλεια για τον άνθρωπο και όχι για τα αντικείμενα
Ένα δικαίωμα στην κυβερνοασφάλεια, νομίζω, ότι θα κάλυπτε άτομα και όχι αντικείμενα (assets). Αυτό δεν είναι καθόλου αυτονόητο σήμερα. Όλοι οι νόμοι που παγκοσμίως έχουν εκδοθεί για την κυβερνοασφάλεια καλύπτουν αντικείμενα πληροφορικής (IT assets) και όχι τους ανθρώπους. Το ίδιο και όλες οι προσπάθειες των πληροφορικών: Προσπαθούν να «σώσουν» συστήματα και δίκτυα ή, το πολύ, τις πληροφορίες που τηρούνται σε αυτά, όχι όμως τους ανθρώπους που όλα αυτά αφορούν.
“Επίσης, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε το δικαίωμα στα άτομα να αντιδράσουν, κάθε φορά που θα δέχονταν επίθεση. Ούτε αυτό συμβαίνει σήμερα.”
Όλοι οι νόμοι είναι στραμμένοι στις υποδομές και με μόνο συμμετέχοντα το Κράτος: Αν κάποια υποδομή (νοσοκομείο, ενέργεια κλπ) αποτύχει να πάρει μέτρα και συμβεί ζημιά, το πολύ να φάει πρόστιμο. Το πρόστιμο επιβάλλεται από κρατική αρχή και πάει στο κρατικό ταμείο. Τα άτομα, που τελικά θίχτηκαν, δεν συμμετέχουν πουθενά. Ένα δικαίωμα στην κυβερνοασφάλεια θα το άλλαζε αυτό.
Τέλος, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε στους τρίτους, τους κυβερνο-επιτιθέμενους, μια σαφή εικόνα παραβίασης. Τώρα δεν συμβαίνει αυτό. Οι κυβερνο-εγκληματίες (που συχνά είναι τα ίδια τα Κράτη, αλλά και αυτό δεν χωρά να αναλυθεί εδώ) δεν είναι σαφές τι ακριβώς έγκλημα κάνουν – ή, μάλλον, είναι σαφές ότι το έγκλημά τους δεν στρέφεται κατά ατόμων αλλά κατά οργανισμών (ή και κρατών). Είναι σαν να ληστεύουν τράπεζα ή να διαπράττουν ασφαλιστική απάτη: Παρανομούν, αλλά δεν βλάπτουν άμεσα ιδιώτες. Αυτό έχει (ή δεν έχει) την ηθική αξία του. Αντιθέτως, ένα δικαίωμα στην κυβερνοασφάλεια (όπως, για παράδειγμα, ισχύει στα προσωπικά δεδομένα) θα έφερνε αντιμέτωπο απευθείας τον παραβάτη με το θύμα του. Ο πρώτος θα γνωρίζει ότι βλάπτει, ο δεύτερος θα έχει δικαίωμα (ή και υποχρέωση) να αμυνθεί.
Κάπου εκεί νομίζω ότι βρίσκεται η διαφορά με το γενικό δικαίωμα στην ασφάλεια: Η κυβερνοασφάλεια είναι, ή έστω μπορεί να γίνει, πολύ πιο συγκεκριμένη. Ενώ μπορούμε να συζητάμε για αιώνες τι ακριβώς περιλαμβάνει η «ασφάλεια» για τον άνθρωπο (όπως ήδη κάνουμε, άλλωστε…), η κυβερνοασφάλεια είναι κάτι απτό που συμβαίνει τώρα και χρειάζεται αντιμετώπιση. Ομολογουμένως μετά από δεκαετίες, για παράδειγμα το 2045, θα πρέπει να αλλάξει όνομα(!), καθώς η ψηφιακή ζωή μας πιθανότατα θα έχει γίνει αξεχώριστη με την πραγματική. Άρα μάλλον η γενική ασφάλεια θα περιλαμβάνει και την κυβερνοασφάλεια. Θα θεωρεί δηλαδή καθένας αυτονόητο ότι το περιπολικό της Αστυνομίας μπορεί να κληθεί για να προστατεύσει το σπίτι μας και από κυβερνοεπιθέσεις. Μέχρι να συμβεί αυτό όμως, ή, νομίζω σωστότερα, για να συμβεί αυτό όμως, πρέπει να γίνει ξεκάθαρο σε καθέναν ότι έχουμε δικαίωμα στην κυβερνοασφάλεια – εμείς, οι πολίτες, όχι τα λιμάνια και οι σταθμοί της χώρας.