عندما يتعلّق الأمن بالخصوصية، فإن الأمور الصغيرة هي التي تؤدي إلى أحداث فادحة.
ينظر الناس غالباً إلى الخصوصية والأمن على أنّهما موضوع واحد. ولكن الحقيقة هي أنّ الخصوصية، ورغم ارتباطها بالأمن، أصبحت نظاماً قائماً بحدّ ذاتها، ما يعني أنّ على خبراء الأمن أن يتعرفوا أكثر على أنواع الأخطاء البسيطة التي يمكن أن تؤدي إلى هفوات خطيرة في الخصوصية.
نظام الخصوصية
مع بدء تطبيق قانون حماية البيانات العامة (GDPR) في أوروبا الربيع الفائت، وتوقعات دخول قانون الخصوصية في ولاية كاليفورنيا الأميركية حيّز التنفيذ عام 2020، على الشركات أن تتوقع تعاظم أهمية موضوع الخصوصية في السنوات المقبلة. وقد صادقت كلّ من ولايتي كولورادو وفيرمونت على قوانين للخصوصية، وكذلك فعلت البرازيل، أما الهند فهي في طريقها نحو إقرار قانون خاص بها في هذا الشأن.
يقول مارك بوير، المدير العام ومدير قسم العائدات في شركة “Egress Software Technologies” إنّه وقبل كلّ شيء، على الشركات أنّ تفكّر بإدراج الخصوصية في تصميم أنظمتها.
يتطلّب مبدأ الخصوصية في التصميم من الشركات طرح الأسئلة التالية: ما نوع البيانات التي نخزنها؟ وما الأهداف التجارية التي تدفعنا إلى تخزينها؟ هل يجب تشفير البيانات؟ كيف سيتمّ إتلاف هذه البيانات عندما تصبح قديمة، وما المدّة المطلوبة لذلك؟ هل هناك قوانين موجبة تنصّ على شروط لإتلاف البيانات؟ كيف ستحمي الشركة المعلومات التعريفية الشخصية للبطاقات المصرفية والمعلومات الطبية؟
هفوات الرسائل الإلكترونية
– الرسالة الإلكترونية العرضية: يشير بوير من “Egress Software” في حديث لموقع “Dark Reading” المتخصص في أمن المعلومات، إلى أنّ الكثير من الرسائل الإلكترونية المرسلة خطأَ تُرسل لأن المستخدم يطبع أوّل حرفين من اسم المرسل إليه ويضغط على الاسم الذي يظهر له أولاً. صحيح أنّ تدريب المستخدمين على التحقّق من خانة «إلى» مرّتين قبل الضغط على زرّ الإرسال قد يكون مفيداً بعض الشيء، ولكن تقنيات التعلّم الآلي والذكاء الصناعي تستطيع تعقّب أنماط الإرسال لدى المستخدمين والجهات التي يرسلون الرسائل إليها، ودفعهم إلى التحقّق مرّة أخرى من صحّة هوية المرسل إليه للتأكد من أنهم يرسلونها إلى الشخص الصحيح. أمّا بالنسبة إلى الأشخاص العاملين في مجال المبيعات والصحافة الذين يتعاملون مع جهات اتصال كثيرة، فيمكن اعتماد نظام يعلّمهم عندما تكون المرّة الأولى التي يتواصلون بها مع شخص ما وسؤالهم ما إذا كانوا يريدون فعلاً إرسال هذا الملف.
– إرسال رسالة من العمل إلى صديق، أو زوج، أو حساب شخصي: يشير بوير أيضاً إلى أنّه على الشركات أن تعيد التفكير بكيفية التحكّم بالمعلومات العملية التي ترسلها إلى موظفيها. فقد تكون هذه الرسائل الإلكترونية تتحدّث عن موضوع عادي كخطط العطلة، أو حول معلومات داخلية مهمة عن منتج جديد. في الحالتين، على الشركات أن تقرّر ما إذا كانت ستسمح لموظفيها بإعادة إرسال هذه الرسائل إلى أشخاص من خارجها أو حجب ميزة إعادة الإرسال عنهم.
– إضافة المستخدم شخصاً غير مناسب إلى لائحة المرسل إليهم: يمكن للرسائل الإلكترونية أن تصل إلى الأشخاص الخطأ عندما يضيف أحدهم شخصاً إلى لائحة المرسل إليهم ليبقيه على اطلاع، ولكن قد يحصل ويرسل إلى شخص آخر رسالة إلكترونية تحتوي على معلومات سرية لا يصحّ أن يطّلع عليها هذا الشخص المضاف، حسب بوير. في هذه الحالة أيضاً، على الشركات تدريب الأشخاص على إظهار حساسية ضرورية في التعامل مع الرسائل الإلكترونية وهوية الأشخاص الذين يجب أن يحصلوا فعلاً على المعلومات التي يتمّ إرسالها. ويقول إنّ التقنيات التي تستخدم برامج الذكاء الصناعي والتعلّم الآلي قد تساعد في هذا المجال، ويمكن استخدامها أيضاً لحجب الوصول في حال عُرف أن المعلومات أُرسلت إلى شخص لا يحقّ له الحصول عليها.
المزامنة والمشاركة
– “المزامنة والمشاركة” تسبب اختراقات محتملة للبيانات: يرى تشاك هولاند، مدير إدارة في شركة “Viria Security”، أنّ على الشركات أن تعيد النظر بسياسة السماح للموظف باستخدام جهازه الخاص في مكان العمل للقيام بوظيفته، لأنّه وفي كلّ مرّة يعمد فيها الموظف إلى الربط بين جهاز العمل وجهاز محمول آخر، ينقل نسخة من معلومات الشركة إلى سحابته الخاصة. وينطبق الأمر نفسه، وربّما أسوأ، على الموظّف الذي قد ينقل نسخة من معلوماته الشخصية إلى شبكة الشركة التي يعمل فيها.
– إهمال فصل موظف سابق عن شبكة الشركة: يقول هولاند إنّ على الشركات أن تبدي اهتماماً أكبر بفصل الموظفين الذين تركوا عملهم سواء لأجل وظيفة أخرى أو بسبب سوء الأداء، عن شبكات الشركة. فغالباً ما تترك الشركات الحسابات القديمة مفتوحة، مما يتيح تخزين معلومات حساسة على القرص الصلب في كومبيوتر الموظف السابق أو في بريده الإلكتروني. كما على الشركات أن تعي جيداً أنّ القراصنة يبحثون عن هذا النوع من الحسابات ليحصلوا على معلومات يمكنهم بيعها أو تساعدهم في شنّ اعتداءات على نطاق واسع.
– ترك الرسائل الإلكترونية وعمليات نقل المعلومات دون تشفير: يجدر بالشركات ألا ترسل أبداً بيانات أو رسائل إلكترونية غير مشفرة عبر شبكة الشركة، حسبما أفاد أحد المسؤولين في شركة “BigID”، يضيف المسؤول أنّ أقساماً محدّدة كالموارد البشرية والتسويق والمحاسبة عليها أن تبذل اهتماماً إضافياً بأمور الخصوصية والاهتمام بالمعلومات الخاصة والحساسة.
– استخدام الخصوصية للمساومة في عمليات الدمج والاستحواذ. عندما تأخذ الشركات الخصوصية في حسبانها خلال عمليات الدمج والاستحواذ، غالباً ما تستخدمها لحثّ الشركات الأخرى على خفض سعر الشراء. ولكن بعد إتمام الصفقة، وبدل الاستفادة من الأرباح في الاستثمار بالأمن والخصوصية، غالباً ما تنتقل الشركة إلى العمل فوراً.