Είναι τρομακτικά εντυπωσιακό πώς ένας οργανισμός του μεγέθους της Amazon μπορεί να κρύβει τόσο μεγάλους κινδύνους. Σύμφωνα με τρεις υπαλλήλους της που απολύθηκαν ή παραιτήθηκαν από θέσεις Information Security, υψηλά στην ιεραρχία της εταιρείας, όχι μόνο υπάρχουν τέτοιου κίνδυνοι αλλά είναι και πάγια πρακτική της εταιρείας να τους κρύβει κάτω από το χαλί.
«Είναι πρακτικά αδύνατο να ασκήσει ένας πελάτης της Amazon το δικαίωμα πρόσβασης ή διαγραφής των δεδομένων του» λένε στο Politico τα πρώην στελέχη της εταιρείας.
Η ταχύτητα με την οποία μεγεθύνθηκε η Amazon, η αποθήκευση σε πολλά διαφορετικά σημεία, χωρίς την ανάλογη χαρτογράφηση των δεδομένων ώστε να είναι δυνατή η ανάκτησή τους, καθιστούν σχεδόν αδύνατο να γνωρίζουν πού έχουν αποθηκεύσει τι. Και, αν δε γνωρίζουν τι αποθηκεύουν, πώς μπορούν να το προστατέψουν;
Ο κύριος λόγος που οι υπάλληλοι αυτοί απολύθηκαν ή οδηγήθηκαν σε παραίτηση, σύμφωνα με το Politico, ήταν το γεγονός ότι επεσήμαιναν σταθερά τα προβλήματα ασφάλειας που αντιμετώπιζαν. Πρώην υπάλληλοι της Amazon που είχαν ακόμη πρόσβαση στα συστήματά της, υπάλληλοι με πρόσβαση σε δεδομένα που δεν δικαιολογούνται από τη θέση τους, ασθενείς διαδικασίες ελέγχου και μια τάση να προσπερνώνται ακόμη και αυτές.
«Αν δε γνωρίζουν τι προστατεύουν και με ποιον τρόπο το ελέγχουν, πώς θα είναι σε θέση να διαπιστώσουν έστω μια παραβίαση των συστημάτων τους;», διερωτάται ένα από τα πρώην στελέχη της εταιρείας.
Αν αυτά συμβαίνουν στις ΗΠΑ, όπου υπάρχει κατακερματισμένη νομοθεσία και έλλειψη κεντρικής νομοθετικής ρύθμισης όπως στην Ευρώπη με τον GDPR, θα περίμενε κανείς στην Γηραιά Ηπειρο τα πράγματα να είναι διαφορετικά.
Όμως η Εποπτική Αρχή Προστασίας Δεδομένων στο Λουξεμβούργο, όπου έχει την έδρα της η Amazon στην Ευρώπη, δεν έχει ολοκληρώσει καμιά από τις έρευνες που διεξάγει για την εταιρεία. Η επιλογή χωρών όπως η Ιρλανδία και το Λουξεμβούργο από τις Big Tech σχετίζονται με τη δυνατότητα (ή την αδυναμία) των τοπικών εποπτικών αρχών να διεξάγουν αποτελεσματικούς ελέγχους και να επιβάλουν το νόμο.
Ένας από τους πρώην εργαζόμενους της Amazon, ο οποίος βρισκόταν στις ΗΠΑ, από το 2014 είχε εντοπίσει και επισημάνει ένα σημαντικό κενό ασφάλειας στις ηλεκτρονικές συναλλαγές. Το ίδιο κενό εντόπισε και επισήμανε το 2016, ξανά το 2018. Λίγο αργότερα διορθώθηκε, ενώ ήταν σε γνώση της εταιρείας πάνω από 4 χρόνια.
Για να μην υπάρχει κίνδυνος θα έπρεπε να σταματήσουν οι συναλλαγές σε κάποιες αγορές. Αντ’ αυτού, η Amazon επέλεξε να επηρεάσει τις αρμόδιες ρυθμιστικές Αρχές ώστε να κερδίσει μια διετία ως περίοδο χάριτος μέχρι να διορθώσει το πρόβλημα.
Η αντίδραση μιας εταιρείας σε τέτοια προβλήματα ασφάλειας σχετίζεται άμεσα με την έμπρακτη δέσμευση της Διοίκησης στην αφιέρωση των αναγκαίων πόρων και τη λήψη των ενδεδειγμένων μέτρων για την επίλυσή τους. Στην Amazon προτιμούν την παρουσίαση μιας ωραιοποιημένης εικόνας τόσο για το κοινό, όσο και για τις Εποπτικές Αρχές.
Η ωραιοποίηση της εικόνας από τη μια αποφεύγει να δώσει λαβές σε ενδεχόμενους ελέγχους, οι οποίοι ίσως ανακαλύψουν περισσότερα κενά, ενώ, από την άλλη δίνει τη δικαιολογία στους Ελεγκτικούς Μηχανισμούς να ισχυριστούν ότι «φαίνεται η εταιρεία να λαμβάνει τα ενδεδειγμένα μέτρα», όταν αυτοί οι Μηχανισμοί ψάχνουν μια τέτοια δικαιολογία.
Οι ανησυχίες αυτές, σχετικά με την Amazon και τις πρακτικές της όσον αφορά την ασφάλεια και την προστασία των δεδομένων των φυσικών προσώπων, είναι ενεργές στην Ελλάδα, καθώς δεν έχει αποσαφηνιστεί το πλαίσιο εμπλοκής της στο πρόγραμμα εμβολιασμών.
Η αναφορά της εταιρείας ευθέως στο Σχέδιο που δημοσιοποιήθηκε τον περασμένο Δεκέμβρη, η μοναδική ονομαστική αναφορά σε εταιρεία μέσα στις 18 σελίδες του Σχεδίου, αφήνει όλα τα πιθανά ερωτήματα ανοιχτά, καθώς
• δεν έχει δημοσιοποιηθεί η σύμβαση παροχής υπηρεσιών μεταξύ της Amazon και του Ελληνικού Δημοσίου,
• δεν έχει προκηρυχθεί σχετικός διαγωνισμός όπου ίσως περιγράφονταν οι σχετικοί όροι,
• δεν είναι γνωστό πώς διαχειρίζεται η εταιρεία τα δεδομένα που λαμβάνει,
• δεν έχει δημοσιοποιηθεί Εκτίμηση Αντικτύπου Προστασίας Δεδομένων, όπως προβλέπεται στον GDPR,
• δεν έχει δημοσιοποιηθεί κάποια διαβούλευση με την Αρχή Προστασίας Δεδομένων,
με αποτέλεσμα να υπάρχει παντελής έλλειψη ενημέρωσης και διαφάνειας.
Τότε, ποιες είναι οι εγγυήσεις για την ασφάλεια των προσωπικών δεδομένων εκατομμυρίων Ελλήνων πολιτών που θα επιλέξουν να εμβολιαστούν; Και πώς θα ασκήσουν τα δικαιώματά τους αν αυτή η δυνατότητα έχει εξαλειφθεί από την αρχή;
Ο Θόδωρος Μπλίκας είναι Διπλωματούχος Ηλεκτρολόγος Μηχανικός, MBA, Certified DPO
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου