Mike Chapple

تتصدر الأمن السيبراني وخصوصية البيانات الأخبار باستمرار. تقوم الحكومات بتمرير قوانين جديدة للأمن السيبراني. تستثمر الشركات في ضوابط الأمن السيبراني مثل جدران الحماية والتشفير والتدريب على الوعي بمستويات قياسية.

ومع ذلك، يفقد الناس أرضية فيما يتعلق بخصوصية البيانات.

في عام 2024، أفاد مركز موارد سرقة الهوية أن الشركات أرسلت 1.3 مليار إشعار لضحايا خروقات البيانات. هذا أكثر من ثلاثة أضعاف الإشعارات المرسلة في العام السابق. من الواضح أنه على الرغم من الجهود المتزايدة، فإن خروقات البيانات الشخصية لا تستمر فحسب، بل تتسارع أيضًا.

ماذا يمكنك أن تفعل حيال هذا الوضع؟ يعتقد الكثير من الناس أن قضية الأمن السيبراني هي مشكلة تقنية. إنهم على حق: الضوابط التقنية هي جزء مهم من حماية المعلومات الشخصية، لكنها ليست كافية.

بصفتي أستاذًا لتكنولوجيا المعلومات والتحليلات والعمليات في جامعة نوتردام، أدرس طرق حماية الخصوصية الشخصية.

تتكون الحماية القوية للخصوصية الشخصية من ثلاثة أركان.. ضوابط تقنية يمكن الوصول إليها، والوعي العام بالحاجة إلى الخصوصية، والسياسات العامة التي تعطي الأولوية للخصوصية الشخصية. يلعب كل منها دورًا حاسمًا في حماية الخصوصية الشخصية. أي ضعف في أي منها يعرض النظام بأكمله للخطر.

خط الدفاع الأول

التكنولوجيا هي خط الدفاع الأول، حيث تحرس الوصول إلى أجهزة الكمبيوتر التي تخزن البيانات وتقوم بتشفير المعلومات أثناء انتقالها بين أجهزة الكمبيوتر لمنع المتسللين من الوصول إليها. ولكن حتى أفضل أدوات الأمان يمكن أن تفشل عند إساءة استخدامها أو تكوينها بشكل خاطئ أو تجاهلها.

هناك ضابطان تقنيان مهمان بشكل خاص.. التشفير والمصادقة متعددة العوامل. هذه هي العمود الفقري للخصوصية الرقمية، وتعمل بشكل أفضل عند اعتمادها على نطاق واسع وتنفيذها بشكل صحيح.

يستخدم التشفير الرياضيات المعقدة لوضع البيانات الحساسة في تنسيق غير قابل للقراءة ولا يمكن فتحه إلا بالمفتاح الصحيح. على سبيل المثال، يستخدم متصفح الويب الخاص بك تشفير HTTPS لحماية معلوماتك عند زيارة صفحة ويب آمنة. يمنع هذا أي شخص على شبكتك، أو أي شبكة بينك وبين موقع الويب، من التنصت على اتصالاتك. اليوم، يتم تشفير جميع حركة مرور الويب تقريبًا بهذه الطريقة.

ولكن إذا كنا جيدين جدًا في تشفير البيانات على الشبكات، فلماذا ما زلنا نعاني من كل هذه الخروقات الأمنية؟ الحقيقة هي أن تشفير البيانات أثناء النقل ليس سوى جزء من التحدي.

تأمين البيانات المخزنة

نحتاج أيضًا إلى حماية البيانات أينما تم تخزينها، على الهواتف وأجهزة الكمبيوتر المحمولة والخوادم التي تشكل التخزين السحابي. لسوء الحظ، هذا هو المكان الذي غالبًا ما يقصر فيه الأمان. إن تشفير البيانات المخزنة، أو البيانات في حالة السكون، ليس منتشرًا على نطاق واسع مثل تشفير البيانات التي تنتقل من مكان إلى آخر.

في حين أن الهواتف الذكية الحديثة تقوم عادةً بتشفير الملفات افتراضيًا، لا يمكن قول الشيء نفسه عن التخزين السحابي أو قواعد بيانات الشركات. أفاد 10٪ فقط من المؤسسات أن 80٪ على الأقل من المعلومات التي لديهم مخزنة في السحابة مشفرة، وفقًا لمسح صناعي عام 2024. هذا يترك كمية هائلة من المعلومات الشخصية غير المشفرة يحتمل أن تكون مكشوفة إذا تمكن المهاجمون من اقتحامها. بدون تشفير، فإن اقتحام قاعدة بيانات يشبه فتح خزانة ملفات غير مقفلة، كل شيء بالداخل يمكن للمهاجم الوصول إليه.

المصادقة متعددة العوامل هي إجراء أمني يتطلب منك تقديم أكثر من شكل واحد من أشكال التحقق قبل الوصول إلى المعلومات الحساسة. يصعب اختراق هذا النوع من المصادقة أكثر من كلمة المرور وحدها لأنه يتطلب مجموعة من أنواع مختلفة من المعلومات. غالبًا ما يجمع بين شيء تعرفه، مثل كلمة المرور، وشيء لديك، مثل تطبيق هاتف ذكي يمكنه إنشاء رمز تحقق أو شيء يمثل جزءًا مما أنت عليه، مثل بصمة الإصبع. يقلل الاستخدام السليم للمصادقة متعددة العوامل من خطر الاختراق بنسبة 99.22٪.

في حين أن 83٪ من المؤسسات تتطلب من موظفيها استخدام المصادقة متعددة العوامل، وفقًا لمسح صناعي آخر، فإن هذا لا يزال يترك الملايين من الحسابات محمية بكلمة مرور فقط. مع تزايد تطور المهاجمين واستمرار تفشي سرقة بيانات الاعتماد، فإن سد هذه الفجوة البالغة 17٪ ليس مجرد ممارسة جيدة، بل هو ضرورة.

تعد المصادقة متعددة العوامل واحدة من أبسط الخطوات وأكثرها فعالية التي يمكن للمؤسسات اتخاذها لمنع خروقات البيانات، لكنها لا تزال غير مستخدمة على نطاق واسع. يمكن أن يؤدي توسيع نطاق اعتمادها إلى تقليل عدد الهجمات الناجحة كل عام بشكل كبير.

الوعي يمنح الناس المعرفة التي يحتاجونها

حتى أفضل التقنيات تقصر عندما يرتكب الناس أخطاء. لعب الخطأ البشري دورًا في 68٪ من خروقات البيانات في عام 2024، وفقًا لتقرير صادر عن Verizon. يمكن للمؤسسات التخفيف من هذا الخطر من خلال تدريب الموظفين، وتقليل البيانات، بمعنى جمع المعلومات الضرورية فقط لمهمة ما، ثم حذفها عندما لم تعد هناك حاجة إليها، وضوابط الوصول الصارمة.

يمكن أن تساعد السياسات وعمليات التدقيق وخطط الاستجابة للحوادث المؤسسات على الاستعداد لاحتمال حدوث خرق للبيانات حتى تتمكن من وقف الضرر ومعرفة المسؤول والتعلم من التجربة. من المهم أيضًا الحماية من التهديدات الداخلية والاقتحام المادي باستخدام ضمانات مادية مثل تأمين غرف الخوادم.

السياسة العامة تحاسب المنظمات

تساعد الحمايات القانونية في محاسبة المنظمات على الحفاظ على حماية البيانات ومنح الأشخاص التحكم في بياناتهم. يعد نظام حماية البيانات العامة للاتحاد الأوروبي أحد أكثر قوانين الخصوصية شمولاً في العالم. إنه يفرض ممارسات قوية لحماية البيانات ويمنح الأشخاص الحق في الوصول إلى بياناتهم الشخصية وتصحيحها وحذفها. ولنظام حماية البيانات العامة أسنان.. في عام 2023، تم تغريم Meta مبلغ 1.4 مليار دولار أميركي عندما تبين أن Facebook انتهك القانون.

على الرغم من سنوات من المناقشة، لا يزال لدى الولايات المتحدة قانون خصوصية فيدرالي شامل. تم تقديم العديد من المقترحات في الكونجرس، لكن لم يتمكن أي منها من تجاوز خط النهاية. وبدلاً من ذلك، يتم ملء الفجوات بمزيج من اللوائح الحكومية والقواعد الخاصة بالصناعة، مثل قانون قابلية نقل التأمين الصحي والمساءلة “HIPAA” لبيانات الصحة وقانون جرام-ليتش-بليلي للمؤسسات المالية.

أصدرت بعض الولايات قوانين الخصوصية الخاصة بها، لكن هذا التنوع يترك الأميركيين بحماية غير متساوية ويخلق صداعًا في الامتثال للشركات العاملة عبر الولايات القضائية.

الأدوات والسياسات والمعرفة اللازمة لحماية البيانات الشخصية موجودة، ولكن استخدام الأفراد والمؤسسات لها لا يزال قاصرًا. يمكن أن يمنع التشفير الأقوى، والاستخدام الأكثر انتشارًا للمصادقة متعددة العوامل، والتدريب الأفضل، والمعايير القانونية الأكثر وضوحًا العديد من الخروقات. من الواضح أن هذه الأدوات تعمل. المطلوب الآن هو الإرادة الجماعية، والتفويض الفيدرالي الموحد، لوضع هذه الحمايات موضع التنفيذ.

إعداد: وحدة الترجمات بمركز سمت للدراسات
المصدر: THE CONVERSATION