دور تقنية المعلومات في حماية خصوصية البيانات

دور تقنية المعلومات في حماية خصوصية البيانات
أصبحت خصوصية البيانات (أو المعلومات) إحدى حقول البحث متزايدة الأهمية في عصرنا الحالي –عصر تقنية المعلومات، خاصة في إدارة بيانات المؤسسات والإدارات الحكومية وكذلك الشركات الخاصة التجارية والخدمية والصحية ، تلك التي تقوم بتخزين مئات الآلاف أو الملايين من سجلات العملاء أو المواطنين، والتي تتضمن بياناتهم الشخصية واهتماماتهم والأنشطة التي قاموا بها وميولهم، مع الإمكانية الجبارة في تحليل هذه البيانات ومقارنتها وسهولة نقلها بين القارات في ثواني معدودة. وبتصاعد عدد المخترقين (Hackers) و سارقي الهويات (Identity Theft)، فعمليات اختراق خصوصية البيانات تقوم بالتأثير على حياتنا الخاصة وأعمالنا بشكل لم نكن لنتخيله من قبل. والأرقام تتحدث، فوفقاً لتقرير منظمة (Privacy Rights Clearinghouse – PRC)، أنه منذ شهر يناير 2005 إلى سبتمبر 2008، فإن عدد السجلات التي تحتوي على معلومات شخصية حساسة وتم اختراقها أمنياً في الولايات المتحدة فقط تجاوزت 230,411,730 سجل، والعدد في ازدياد يومي.

إن الخصوصية، وبصفة عامة، هي مقياس غير موضوعي، أي يختلف تعريفها وحدودها من بيئة إلى أخرى. ولكن الصفة المشتركة في جميع هذه التعريفات هي منظور أن الخصوصية إحدى حقوق الإنسان في حياته، ولكنها تعتمد بشكل أساسي على البيئة والسياق. قام روجر كلارك، الاستشاري والخبير في خصوصية البيانات والأعمال الالكترونية، بتعريف الخصوصية بأنها “قدرة الأشخاص على المحافظة على ‘مساحتهم الشخصية‘، في مأمن من التدخل من قِبل منشآت أو أشخاص آخرين”، وقام بتحديد مستويات (أبعاد) من الخصوصية، وهي:
1- خصوصية الشخص (Privacy of the person): والمعنية بسلامة الفرد في جسده، مثل قضايا التطعيم أو نقل الدم دون الحصول على موافقة الشخص المعني، أو الإجبار على تقديم عينات من سوائل الجسد أو أنسجته.
2- خصوصية السلوك الشخصي (Privacy of personal behavior): ويتصل ذلك بكل الجوانب السلوكية، وبشكل خاص الأمور الحساسة، مثل الأنشطة السياسية والممارسات الدينية، سواءً في الحياء الخاصة أو الأماكن العامة، وقد يشار إليه “بوسائل الخصوصية”.
3- خصوصية الاتصالات الشخصية (Privacy of personal communications): وهي مطالبة الأشخاص بالقدرة على الاتصال فيما بينهم دون المراقبة الروتينية من قِبل أشخاص آخرين أو منظمات، وهو ما يشار إليه أحياناً “باعتراض الخصوصية” (Privacy Deception).
4- خصوصية البيانات الشخصية (Privacy of personal Data): وهي مطالبة الأشخاص بأن لا تكون البيانات الخاصة عنهم متوفرة تلقائياً لغيرهم من الأفراد أو المنظمات، حتى في حالة أن تكون البيانات مملوكة من طرف آخر، فلهم القدرة على ممارسة قدر كبير من السيطرة أو التحكم بتلك البيانات وطريقة استخدامها. وهذا ما يعرف ” بخصوصية المعلومات أو خصوصية البيانات”. وعرّفها روجر “بأنها رغبة الشخص بالتحكم ،أو على الأقل التأثير بشكل كبير في كيفية التعامل مع بياناته الشخصية”.

بدأ الحديث عن خصوصية البيانات في منتصف الستينات من التاريخ الميلادي، وما زاد من أهمية الموضوع هو تسارع إمكانيات الحاسبات الآلية وقدرة تطبيقاتها على معالجة المعلومات الشخصية ومقارنتها ونقلها، وفي الحقيقة أن الكثير من المنظمات خلال السنوات الماضية كانت تسعى، وما زالت، لزيادة كمية المعلومات الشخصية المختزنة لديهم، عن عملائهم الحاليين أو المستقبليين وذلك لدراسة إمكانيات التطوير والإعلان والترويج لمنتجاتهم. يقول روجر “إن القلق المتزايد من الناس حول حفظ خصوصياتهم يجب أن يكون رد فعل لطريقة استخدام المنشآت لتلك المعلومات وليس لتقنية المعلومات بذاتها”. إن التحدي في قضايا استخدام البيانات الشخصية في بيئة تقنية المعلومات، هي المشاركة مع الغير (من أفراد أو منشآت) لما فيه المصلحة العامة أو الخاصة، دون اختراق سياسات الخصوصية المتفق عليها مع العميل أو تلك التي تفرضها القوانين الدولية أو في بيئة العمل، وهنا يبرز دور أخصائيي أمن المعلومات في تصميم واستغلال البرمجيات والأجهزة الالكترونية و الموارد البشرية لضمان عدم اختراق خصوصية الآخرين.

استخلص باحثان من جامعة تكساس في أوستن، إمكانية اكتشاف هوية المستخدمين المجهولي الهوية في الشبكة الاجتماعية المعروفة عالميا “تويتر” (Twitter)، والمسجلين أيضاً في شبكات اجتماعية أخرى، وذلك بمراقبة شبكة اتصالات هؤلاء المستخدمين مع الشبكات الأخرى.ذكر الباحثان “لقد قمنا بتقديم دليل ملموس على نجاح عمل الخوارزمية (De-Anonymization Algorithm) وذلك من خلال تجربتها على أشهر شبكتين اجتماعيتين في الانترنت ‘تويتر‘ و‘فليكر‘، وتبين لنا أن ثلث المستخدمين المجهولي الهوية، أعضاء عشوائيين،  في الشبكتين يمكن اكتشافهم، أي إعادة تعريف هويتهم، من خلال الرسم البياني لشبكة ‘تويتر‘، بوجود نسبة خطأ 12% فقط، مع الرغم بأن نسبة التداخل بين هؤلاء الأعضاء هي أقل من 15%”.  النتيجة هي أن محاولة البقاء متخفياً في الشبكات الاجتماعية بالدخول بأسماء مختلفة أو بإدخال بيانات غير صحيحة أمر يمكن اكتشافه ويمكن تكوين صورة عن المستخدم واهتماماته، وذلك باستخدام خوارزميات التقنيات الحديثة، من تنقيب البيانات (Data Mining) و دراسة السلوكيات وغيرها.

مسجل نقرات لوحة المفاتيح (أو KeyLogger)، هي برامج أو أجهزة مراقبة، لها إمكانية تسجيل النقرات على لوحة المفاتيح والتقاط صور لشاشات العرض والقيام بتخزينها في ملفات التسجيل (Log files)، مع إمكانية التوثيق لهذه البيانات، من دون علم المستخدم. قد تستخدم هذه الأداة في سرقة البيانات الشخصية كبيانات البطاقات الائتمانية وكلمات المرور والرسائل البريدية وعناوين الصفحات الالكترونية وغيرها. وفي الجانب الآخر من الاستخدام، فقد تستخدم هذه الأداة لمراقبة الأجهزة الخاصة، إن تمت استخدامها من قِبل أشخاص غير مصرح لهم، وقد تقوم بعض الشركات بمراقبة بعض الموظفين للتأكد من عدم إرسالهم لبيانات خاصة بالمنشأة إلى المنافسين أو بيعها لأغراض خاصة.

نستنتج من المثالين السابقين أن تطبيقات تقنية المعلومات سلاح ذو حدين، والمستخدم هو من يقرر أي الحدين يستخدم، فمثلاً خوارزمية الـ (De-Anonymization) إن تم استخدامها في التعرف على الأشخاص المشبوهين في التخطيط لعمليات إرهابية أو الترويج للمخدرات أو المواد الإباحية، فعندها قد استخدمنا هذه التقنية لصالحنا وصالح الأمة، أما إن استخدمت لأمور الابتزاز أو التعدي، فعندها أصبحنا كمن نقضت غزلها من بعد قوة.

إن من أكثر التحديات صعوبة في إدارة أمن البيانات الخصوصية هي الامتثال للأنظمة، حيث قامت مؤخراً –في نوفمبر 2008- مؤسسة أ.م.ر للبحوث (AMR Research Ltd.) باستطلاع شمل 154 متخذ قرار في كبرى شركات تقنية المعلومات في الولايات المتحدة الأمريكية. استخلص البحث أن أكثر ثلاث صعوبات في إدارة خصوصية البيانات هي: تعدد واختلاف سياسات الخصوصية في المناطق المختلفة –جغرافياً، ومواكبة التغييرات المستمرة في الأنظمة والسياسات، وأخيراً إجبار الأفراد والمنشآت الحكومية لإتباع هذه القوانين والأنظمة. واستُنتِج أيضاً، بأن أكثر ما يخشى عليه أصحاب الشركات في قضايا خصوصية البيانات هي خسارة ثقة العملاء و الموظفين والمستثمرين والعلامات التجارية، ثم يأتي خشية فقدان الحقوق الفكرية للمنتجات والبحوث والدراسات, ومن ثم يأتي الخوف من التلاعب بالحسابات المالية للمنشأة. والجدير بالذكر أن 55% من الشركات المشاركة في الاستطلاع ستقوم بزيادة قيمة الاستثمار الداخلي في قضايا حفظ خصوصية البيانات في عام 2009 مقارنة بما أنفقته في العام الأسبق، وتتمثل هذه الزيادة باستخدام التقنيات والسياسات الحديثة مثل: أمن الشبكات (من جدران نارية ومضادات الفيروسات والشبكات الخاصة الافتراضية VPN)، وأدوات مراقبة أنشطة قواعد البيانات، والأمن الاحترازي (من أنظمة كشف التلاعب وكشف نقاط ضعف التطبيقات والشبكات)، وتطبيقات الحكم والخطورة والإذعان (GRC), وغيرها من الأنظمة والأدوات التي تساعد المنشآت في حماية خصوصية بياناتها.

على المنشآت التي تقوم باستخدام تقنية المعلومات في ادارة بيانات المنشآة وعملائها، وكذلك من تقوم منشأته على الاعمال الالكترنية (e-Business)، أن يضعوا في إعتبارهم بعض النقاط عن خصوصية البيانات ومدى تأثيرها على عمل المنشآة وسمعتها، ومنها:
ولاء العملاء يعتمد مباشرةً بالخصوصية: يعتمد الكثير من العملاء على خدمة الانترنت للتسوق وإجراء العمليات البنكية و مراجعة المعاملات الحكومية وأمور الرعاية الصحية، وغيرها من الخدمات، ذلك طالما أنهم يثقون بأن معلوماتهم الشخصية والمالية مؤمنة ومحمية و متعذرة الوصول إليها من قِبل الأشخاص الغير مصرح لهم بذلك. ولكن عندما تتصدع هذه الثقة، فإن ولاء العميل قد يتبخر في ثواني معدودة، فبالنسبة لهم أن تكلفة سرقة هويتهم أو التعرض لعمليات النصب هي خطورة كافية لمنعهم من إجراء أعمال مع منشآت معروف عنها أنها غير جديرة بالثقة بإعطائهم بياناتهم الشخصية. وهذه بعض الأرقام المثيرة للانتباه التي تعكس نظرة العملاء لبياناتهم الشخصية على حسب استطلاع قام به موقع TechRepublic:
–         86% من مستخدمي الانترنت قلقين على معلوماتهم الشخصية،
–         45% من المستخدمين لا يقوموا بإدخال أسماءهم الحقيقة،
–         5% فقط يستخدموا برامج إخفاء هوية الحاسب الآلي عند إتصالهم بالانترنت،
–         94% يطالبوا بمعاقبة منتهكي الخصوصية.
تقنية المعلومات تتحمل معظم عبء انتهاكات الخصوصية: وهذه بعض النقاط التي يجب أخذها في عين الاعتبار عند تصميم وتطوير النظم المعلوماتية للمنشآت:
–         معرفة نوع البيانات التي تتعامل معها والتي تحتوي على معلومات شخصية مُعرِّفة (Personally Identifiable Information)، مثل اسم المستخدم وكلمات المرور والعناوين البريدية وبطاقات الإئتمان وأرقام الضمان الاجتماعي وغيرها. وعدم تجميع بيانات أكثر من اللازم، لأنها عبء على المنشأة في حفظها وحمايتها.
–         تنفيذ آليات لتبليغ المستخدمين عند تجميع بياناتهم والهدف منها، وإعطاء أحقية الرفض لهم. تسجيل إقرار لرفض المستخدمين بتجميع بياناتهم قد يخدم المنشآة مستقبلاً.
–         تحديد موقع نقاط الضعف في المنشآة: في التطبيقات أو قواعد البيانات أو الشبكات اللاسلكية أو نقط الدخول للشبكة أو أحد الواجهات الأخرى.
–         تحديد خطوات وسياسات لتأمين وحماية المعلومات الشخصية من الدخول الغير مصرح به أو إساءة الإستخدام، مثل ضوابط الوصول أو الدخول لها وخوارزميات التشفير والأمن المادي ومراجعة الحسابات (auditing).
تحديد سياسات تصنيف البيانات: حالياً، يعتبر مدراء البيانات (Data Managers) هم المستضيفين/المتعهدين لبيانات منشآتهم، وبهذا فهم مطالبون بالنظر إلى هذه البيانات كأصل ذات قيمة ثمينة، بالإضافة إلى إدارتها بناءاً على ماتمثله للمنشأة أو من تمثله من العملاء. ينبغي على المنشآت تحديد سياسات لإستخدام المعلومات الشخصية، وتقوم بتصنيف نوع البيانات ومدى سريتها وأهميتها، بجانب توعية الموظفين بأهمية هذه المعلومات والسياسات المفروضة.
القيام بتحديد النظم الحساسة، يساعد على تحليل المخاطر: الحصول على نظرة شاملة عن تصنيفات البيانات و والأنظمة التي تعمل عليها، يساعد على استهداف المنشأة للأنظمة التي تمتلك أكثر البيانات حساسية للقيام بتحليلها بدقة للوصول إلى تحديد المخاطر التي قد تصيب سلامة وخصوصية هذه البيانات، وسبل الحماية منها.
المنشأة مسئولة عن الإثبات: هل تمت محاولة اختراق بياناتك؟ هل نجحت؟ ما هي البيانات المستهدفة؟ ما عدد العملاء الذين تم استهدافهم؟. حتى في العمليات الفاشلة، قد تحتاج المنشأة للإفصاح عن الهجوم، وإثبات عدم تسرب أي بيانات خاصة (للعملاء أو الموظفين) للأشخاص الغير مصرح لهم. والأهم هو تحديث وتجهيز وتفعيل دور أنظمة الحماية و اكتشاف التطفل (intrusion detection) وتسجيل جميع عملياتها الاحترازية والدفاعية. ويأتي دورها هذا لمسئوليتها عن حفظ هذه البيانات، ففي الولايات المتحدة الأمريكية، تُلزَم المنشأة التي تعرضت للهجوم وتسربت منها معلومات شخصية، بدفع 100 دولار عن كل سجل شخصي تم اختراقه.
رئيس الحقوق الشخصية (Chief Privacy Officer): وهو المسئول عن إنشاء سياسات الخصوصية لكلاً من العملاء أو الموظفين، وإعادة النظر والبت في القضايا ذات الصلة.
توضيح حدود المسئولية: تكثر في مشاريع تقنية المعلومات التعامل بالعقود الخارجية (Outsourcing)، والتي تحتاج إلى عملية “مشاركة البيانات” من كلا الطرفين. ولكن من هو المسئول عن عمليات اختراق أو سرقة هذه البيانات الشخصية إذا حصلت عند الطرف المتعاقد معه أو من أحد موظفيه؟. “لا يمكن منع وقوع الحوادث دائماً”، ولكن يمكن الحصول على بعض الضمانات عند الاتفاق على توقيع العقود الخارجية، والأهم من ذلك هو توثيقها من كلا الطرفين، بالإضافة إلى مشاركة الخبراء القانونيين، إن لزم الأمر.

أخيراً، فنُذَكِر بما قاله روجر كلارك ” إن القلق المتزايد من الناس حول حفظ خصوصياتهم يجب أن يكون رد فعل لطريقة استخدام المنشآت لتلك المعلومات وليس لتقنية المعلومات بذاتها”، فالتقنية سلاح ذو حدين والمستخدم هو من يحدد أي الحدين يستخدم. وللحفاظ على خصوصيتك وخصوصية بياناتك هذه بعض النصائح، قم بقراءة سياسات الخصوصية (Privacy Policy) قبل تسجيل أي بيانات خاصة بك في مواقع الانترنت، وكن حذر دائماً عند تسجيل البيانات الخصوصية. تأكد من أن الموقع يستخدم إحدى تقنيات التشفير، ويمكن معرفة ذلك من عنوان الموقع (URL Address)، مثلاً أن يبدأ العنوان بـ https، وتأكد من وجود علامة القفل في زاوية الشاشة. قم بقراءة اتفاقيات الاستخدام قبل تنصيب البرامج. قم بفحص دوري للبرامج التي تعمل في جهازك وتستخدم إحدى المنافذ لديك للاتصال بشبكة الانترنت وذلك بتنفيذ الأمر التالي (Start -> Run -> Netstat)، أو باستخدام أحد برامج مراقبة المنافذ مثل البرنامج المجاني Spybot Search and Distroy. لا تقم بالاتصال بالانترنت باستخدام شبكة لاسلكية مجهولة أو أنها لا تستخدم إحدى بروتوكولات الحماية الحديثة مثل WPA2.  قم بتغيير الإعدادات الافتراضية المستخدمة من الشركة المصنعة، مثل اسم الجهاز وكلمات المرور. قم بتبليغ الجهات المختصة عند اكتشافك لمواقع مشبوهة، وعند تعرض جهازك لأي اختراق أمني و تسرب معلومات خاصة عنك أو عن عملائك. ويمكنك الحصول على بعض النصائح التوعوية في استخدام تقنية المعلومات عن طريق زيارةموقع هيئة الاتصالات وتقنية المعلومات (الحملة التوعوية).

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً