رادار تكنولوژي

وقتی دیتات داره تندتر از همیشه لو میره — ولی می‌تونی جلودارش بشی!

  • ۲۱ تیر ۱۴۰۴

این روزا بحث حریم خصوصی و امنیت سایبری همه جا هست؛ هر روز یه خبر جدید درباره هک شدن و لو رفتن داده‌ها یا تصویب قوانین جدید می‌شنویم. دولت‌ها مدام دارن قانون جدید برای امنیت سایبری تصویب می‌کنن، شرکت‌ها هم دارن رکورد هزینه برای ابزارهای امنیتی رو می‌زنن، مثلا فایروال (یعنی دیوار آتشی مجازی که جلوی ورود هکرها رو به شبکه می‌گیره)، رمزنگاری و آموزش پرسنل. اما با این همه سروصدا، هر سال اوضاع بدتر می‌شه!

کمی شوکه کننده‌ست، ولی اتفاقیه که افتاده: فقط تو سال ۲۰۲۴، شرکت‌ها مجبور شدن ۱.۳ میلیارد خبر به قربانی‌های نقض داده (data breach یعنی وقتی اطلاعات شخصی بدون اجازه درز پیدا می‌کنه) بفرستن؛ این یعنی بیشتر از سه برابر سال قبل! پروسه نفوذ به اطلاعات شخصی داره سرعت می‌گیره، پس فقط ابزار و قوانین کافی نیست.

حالا باید چی کار کنیم؟ اکثر مردم فکر می‌کنن قضیه امنیت سایبری فقط فنیه. خب، بیراه هم نمی‌گن؛ ابزارای فنی مثل رمزنگاری داده‌ها یا احراز هویت چند مرحله‌ای خیلی مهمه. اما به قول یه استاد IT دانشگاه نوتردام که کلی رو این موضوع تحقیق کرده، محافظت واقعی سه تا پایه اساسی داره:

۱. ابزارهای فنی درست و در دسترس
۲. آگاهی مردم و آموزش‌های عمومی
۳. قوانین و سیاست‌های تاثیرگذار دولتی

هر کدوم از این سه تا ضعیف باشه، کل سیستم از هم می‌پاشه.

بیاید اول راجع به بخش فنی یا همون خط اول دفاع حرف بزنیم:

خط اول دفاع: تکنولوژی، رمزنگاری و احراز هویت چندمرحله‌ای

ابزارای فنی مثل سپر محافظ عمل می‌کنن؛ اطلاعات رو رمزنگاری می‌کنن (رمزنگاری یعنی تبدیل داده‌ها به فرمت غیرقابل خوندن تا فقط کسی که کلیدش رو داره بتونه بازش کنه)، یا جلوی نفوذ رو با دیوار آتش می‌گیرن. مثلاً موقعی که با گوشی یا لپتاپ‌تون سایت‌هایی رو که HTTPS دارن باز می‌کنین، اطلاعات شما با یه الگوریتم ریاضی قوی رمز می‌شن و واسه کس دیگه‌ای قابل خوندن نیست. جالبه بدونین تقریباً همه ترافیک وب، این روزا رمزنگاری شده‌ست.

اما چرا پس با این همه رمزنگاری باز هم انقدر داده‌ها لو می‌رن؟ اینجاست که یه نکته مهم میاد وسط: اکثر سازمان‌ها داده‌ها رو وقتی «در حال انتقال» هستن رمزنگاری می‌کنن، نه وقتی که «ذخیره شدن». اصلاً رمزنگاری دیتاهای ذخیره‌شده (که بهش می‌گن data at rest) زیاد جدی گرفته نمی‌شه، جز توی گوشیای جدید که پیش‌فرض داده‌ها رمز هستن. اما تو سرویس‌های ابری یا بانک‌های داده شرکتی، فقط ۱۰٪ سازمانا گفتن که بالای ۸۰٪ دیتاهاشون رو توی فضای ابری رمزگذاری کردن! راحت‌تر بگم، دزد اگه به فایل‌هاتون توی شرکت دسترسی پیدا کنه و رمزگذاری انجام نشده باشه، مثل اینه که در کشوی بایگانی بازه!

بعدش هم بحث احراز هویت چندمرحله‌ای مطرح می‌شه (Multifactor authentication یعنی وقتی برای ورود به حساب کاربری، علاوه بر رمزعبور باید یه تاییدیه دیگه هم وارد کنی — مثلاً یه کد روی گوشی یا اثر انگشت). این روش ریسک نقض شدن حساب‌ها رو تا ۹۹.۲۲٪ پایین میاره! با این حال، توی ۸۳٪ سازمان‌ها استفاده می‌شه، یعنی هنوز میلیون‌ها حساب فقط با رمز ساده محافظت می‌شن؛ با توجه به زیرکی هکرها، حتی این درصد پایین فوق‌العاده مهمه!

آگاهی و تاثیر اشتباهات انسانی

حتی اگه بهترین تکنولوژی دنیا رو هم داشته باشیم، تا وقتی آدم‌ها اشتباه کنن، حفره هست! گزارش Verizon تو ۲۰۲۴ می‌گه ۶۸٪ نقض‌های داده به خاطر خطای انسانی بوده. مواردی مثل کلیک روی لینک‌های مشکوک، انتخاب رمزای ضعیف… خلاصه بی‌دقتی. برای این مشکل سه تا راه اصلی هست: آموزش کارکنان، کم کردن داده‌های جمع‌آوری‌شده (Data minimization یعنی فقط چیزایی رو برداری که واقعاً نیاز داری)، و محدود کردن دسترسی‌ها.

علاوه بر اون، سیاست‌های قوی، بازرسی (audit یعنی بررسی منظم امنیت سیستم)، برنامه پاسخگویی به رخدادها (incident response plan)، و حتی کارای خیلی ساده مثل قفل کردن اتاق سرورها می‌تونه جلوی کلی خرابکاری رو بگیره.

نقش قوانین و سیاست‌های عمومی (Public Policy) در حفظ اطلاعات

قانون خوب باعث می‌شه شرکت‌ها حساب پس بدن و مردم هم حق داشته باشن داده‌هاشون رو ببینن یا حتی پاک کنن. مثلاً توی اروپا قانونی هست به اسم GDPR (General Data Protection Regulation یعنی مقررات جامع حفظ داده‌های شخصی) که واقعاً محکم اجرا می‌شه؛ شرکت‌ها رو مجبور می‌کنه اطلاعاتت رو امن نگه دارن و حتی بهت حق می‌ده داده‌ت رو اصلاح یا پاک کنی. جالب اینکه سال ۲۰۲۳، متا (همون فیسبوک) رو بابت نقض GDPR، ۱.۲ میلیارد یورو جریمه کردن!

برعکس تو آمریکا، هنوز قانون جامع فدرالی برای حفاظت از داده‌ها نداریم. چندتا لایحه معرفی شده ولی هیچکدوم قانون نشده. فعلاً یه مشت قانون پراکنده ایالتی یا مربوط به بعضی صنعتا مثل HIPAA (برای سلامت) یا Gramm-Leach-Bliley (برای بانک‌ها) وجود داره که کامل نیست و آدم رو سردرگم می‌کنه.

نتیجه؟ همه چیز آماده‌ست اما استفاده نمی‌کنیم!

ابزارها، دانش و راهکارها برای حفاظت از داده‌ها حاضرن. اگه رمزنگاری قوی، احراز هویت چندمرحله‌ای همه‌گیرتر، آموزش بهتر و قوانین شفاف‌تر داشته باشیم، خیلی از این نقض‌ها قابل پیش‌گیری هستن. مشکل اینجاست: استفاده از این ابزارها هنوز کامل نشده و قانون واحد سراسری هم وجود نداره. پس اگه می‌خوای اطلاعاتت رو محافظت کنی، باید هم به ابزار فنی و هم آگاهی‌ات اعتماد کنی و منتظر قانون فدرالی بمونی که بالاخره بیاد و اوضاع رو سر و سامون بده!

راستی این مقاله بخشی از یه سری مطلب درباره حریم خصوصی داده‌هاست — مثلاً اینکه کی اطلاعاتت رو جمع می‌کنه، چطوری جمع می‌شه، کی اون‌ها رو می‌فروشه یا می‌خره و نهایتاً خودت چی کار می‌تونی بکنی. خلاصه، دنیای دیجیتال مساله حریم خصوصی رو خیلی جدی‌تر کرده و لازمه ما هم جدی‌تر مراقب باشیم. حالا که می‌دونی، دست به کار شو و راه ورود هکرها رو ببند!

منبع: +