سرقت داده های خصوصی همیشه از دغدغه ها افراد مختلف بوده است، بر طبق گزارشات امنیتی تقریبا دو سوم سرقت داده ها به دلیل موقعیت داده ها و در معرض خطر قرار گرفتن اطلاعات شناسایی فردی(PII) می باشد. حتما تاکنون از دوستان خود شنیده اید که در مورد مسائلی در طول روز و در خانه یا خیابان صحبت شده است و سپس در شبکه های اجتماعی خود تبلیغاتی مرتبط با آن صحبتها مشاهده کرده و از این موضوع تعجب می کنند.
اگر به نوعی در حیطه امنیت اطلاعات کار کرده باشید و بخواهید این موضوع که چطور شرکت ها اطلاعات را جمع آوری می کنند برای کسی توضیح بدهید، مستلزم این است که افراد درک کنند که به احتمال زیاد این اجازه جمع آوری این اطلاعات را خودشان البته نه حتما آگاهانه به وبسایت های مختلف داده اند.
این پروسه ها اغلب قابل مشاهده نیست، بخشی از داده ها به صورت محرمانه از اقداماتی که کاربر انجام میدهد جمع آوری می شوند و بخشی از آنها را خود کاربر منتشر می کند. سپس شرکتها از تکنولوژی هایی در تصمیم گیریهای هوشمندانه برای کشف ترجیحات و علاقمندی های کاربر استفاده می کنند.
برای مثال از GPS برنامه نقشه و مسیریابی، برای یافتن رستورانی با یک غذای خاص استفاده می کنید، در نهایت از طریق این جستجو برنامه می تواند بفهمد که شما بیرون از خانه غذا می خورید، چه روزی از هفته و چندبار بیرون رفته اید، آماده طی چه مسافتی هستید، چه غذاهایی را ترجیح میدهید و چه زمانی از روز غذا خورده اید … . در این مورد بخشی از داده فقط نام رستوران بوده و سایر اطلاعات براساس این نتیجه به دست می آید.
برخی از کاربران در برابر داده های خود و حفظ امنیت و حریم خصوصی آنها درایت بیشتری به خرج میدهند. اما با این حال همچنان عدم آگاهی در حفظ حریم خصوصی داده ها بسیار زیاد است. افراد بسیاری هنگام ثبت نام مثلا برای دریافت یک هدیه رایگان! دقت خاصی به آنچه موقع ثبت نام از آنها درخواست می شود توجهی نکرده و اطلاعات خود را وارد می کنند.
حفظ امنیت داده ها و حریم خصوصی در سازمانها
طبق گزارشات و نظرسنجی های انجام شده توسط شرکت های امنیتی در نیمه سال 2022 مشخص شد که 32درصد از سازمانها فوق العاده به کنترل های امنیتی سازمان خود مطمئن هستند و 58درصد از آنها اطمینان نسبی به کنترل های امنیتی خود دارد. در هر حال این اطمینان بالا هم نمی تواند دقیق باشد. طبق همین نظرسنجی ها مشخص شده است که 77 درصد از سازمانها با حوادث امنیتی و سرقت های متعددی روبرو شده، برخی از آنها تاثیر شدیدی بر سازمان به همراه داشته است. به طور واقع بینانه کنترل های امنیتی باید بتواند بخش عمده ای از این حوادث را پوشش دهد.
حفظ حریم خصوصی فقط یک وظیفه نیست!
بهداشت سایبری بهتر منجر به کاهش موارد نقض حریم خصوصی داده ها می شود و نیازمند بررسی و به روز رسانی مداوم است، زیرا مهاجمان نیز به طور مداوم به روز می شوند و ظرفیت های خود را ارتقا میدهند. دامنه حملات از باج افزارها تا حملات گروه های مجرمان سازمان دهی شده بسیار پیچیده، چشم اندازی از تهدیدات قابل توجه است.
عدم موفقیت در تامین امنیت سایبری می تواند فرصت برای سرقت و نقض داده های خصوصی را فراهم کند. نه تنها چنین حوادثی اعتماد مشتریان به سازمان را تحت شعاع قرار می دهد بلکه سازمان تبدیل به یک فرصت بالقوه برای نقض داده های مداوم می شود.
قوانینی برای حفظ امنیت داده ها در نظر گرفته شده و نمونه های زیادی از نقض قوانین حفظ حریم خصوصی داده ها وجود دارد. یک مورد قابل توجه خسارت 390 میلیون یورویی متا برای نقض قوانین داده های خصوصی کاربران بوده که از آن برای تبلیغات هدفمند استفاده می کرد. طبق این حکم استدلال متا مبنی بر اینکه زمانی که کاربران عضو شبکه های اجتماعی می شوند قوانین و شرایط را پذیرفته و در واقع با دریافت تبلیغات شخصی موافقت دارند، نیز رد شد.
یک سازمان باید به حریم خصوصی داده های مشتریان خود به همان شیوه ای که انتظار دارند سایر سازمان ها از داده های شخصی آنها مراقبت کنند، توجه ویژه داشته باشند. شکی در این نیست که حفظ و نگهداری داده های خصوصی یک چالش است اما باید به عنوان یکی از مؤلفه های جلب اعتماد مشتری و حفظ آنها در نظر گرفته شود و با آن روبرو شد.
چالش هایی که هر سازمانی در زمان حفظ حریم خصوصی داده ها با آن مواجه می شود:
کمبود نیروی کار امنیتی : چرا که داده های سازمان به سرعت و به طور مداوم افزایش می یابد بدون اینکه کنترل مناسبی در همه نقاط یا روی مسئولیت هایی که نیاز به اقدام دارند مثل وصله ها داشته باشند، همچین به طور کلی مسائل امنیتی پیچیدگی زیادی به همراه دارند.
ارتباطات: سازمانها در مواقعی در تلاش هستند تا به طور شفافی با کاربران خود در ارتباط بوده و در مورد آنچه که جمع آوری و استفاده می شود به آنها آگاهی میدهند.
جرایم سایبری: مهاجمان هم اطلاعات فردی و هم سازمانی را هدف قرار داده و داده ها را جمع آوری و ذخیره می کند. به علاوه هر چه ارتباطات اینترنتی یک کسب و کار بیشتر باشد، امکان حمله نیز گسترش می یابد.
سرقت داده ها: سرقت داده ها در صورتی که جزییات خصوصی نشت پیدا کنند، می تواند منجر به نقض حریم خصوصی کاربران شود و مهاجمان همچنان از تکنیک هایی که برای سرقت اطلاعات استفاده کرده، بهره گیری کنند.
تهدیدات داخلی: کارمندان داخلی یا پیمانکاران ممکن است بتوانند دسترسی غیرمجاز و نامناسبی به اطلاعات داشته باشد در صورتی که به خوبی از آنها حفاظت نشده باشد.
امنیت داده ها برای ایده های بنیادی مالکیت اطلاعات، به یک استراتژی جامع وابسته هستند و از سه عنصر اصلی تشکیل شده اند، ضروری است.
اولین قدم کشف داده ها و انجام موفقیت آمیز دسته بندی دارایی های اطلاعاتی است که ممکن است نیاز به حفاظت داشته باشند، دومین مرحله، مدیریت داده ها برای اطمینان از اینکه داده ها به درستی مدیریت می شوند در عین حال که سیاست های داخلی رعایت شده و الزامات انطباق خارجی برآورده می شوند، ضروری است. در آخر حفاظت از داده ها که برای پیشگیری از دسترسی به اطلاعات یا خطرات بالقوه توسط منابع احراز هویت نشده، لازم است.
نهایتا سازمانها باید در خصوص حفظ امنیت داده هایی که نسبت به آنها مسئول هستند، توجه داشته و به مقررات و قوانین حفظ حریم خصوصی پایبند باشند.
برخی از مهمترین تکنولوژی ها در زمینه حریم خصوصی داده ها:
Encryption یکی از روشهای پنهان نمودن اطلاعات با استفاده از الگوریتم های رمزنگاری هستند و تنها اشخاص و بخش هایی که کلید رمزگشایی را در اختیار داشته باشند می توانند به اطلاعات دسترسی داشته باشند.
کنترل دسترسی تضمین می کند که تنها افراد و بخش های احراز هویت شده به سیستم و داده ها دسترسی داشته باشد. این امکان با استفاده از راهکارهای DLP ممکن شده و از نشت اطلاعات حساس در شبکه جلوگیری می کند.
احراز هویت چند عاملی نیز یکی از مهمترین تکنولوژی ها برای کاربران و سازمانهاست که دسترسی احراز هویت نشده مهاجمان و افراد متفرقه به حساب های کاربر و سیستم ها را سخت تر می کند.
اینها تنها برخی از فناوریهای موجود امروزی هستند که میتوانند از حریم خصوصی کاربر محافظت کنند و دادهها را امنتر نگه دارند. با این حال، فناوری به تنهایی برای محافظت از حریم خصوصی داده ها کافی نیست و در کنار آن آموزش در این زمینه ضروری است.
