مقررات GDPR از چه زمانی مطرح شد؟
ارائهدهندگان آنتیویروسها نیز همچون سازمان شما، ناچارند تا طبق مقررات حفاظت از اطلاعات عمومی (GDPR) عمل کنند؛ زیرا به فایلها و سایر دادههای شما دسترسی دارند و اگر خطایی پیش بیاید و آنها زیر بار نروند، مسئولیت آن بر دوش شماست و این شمایید که متحمل جریمه و خسارت میشوید.
آیا میدانید فروشندگان آنتیویروسها با دادههای شما چه میکنند (فرایندی که به آن دورسنجی میگویند) و تا چه اندازه شما روی آن کنترل و مسئولیت دارید؟ دورسنجی ضرورت آنتیویروسها است و فروشندگان آنتیویروسها از طریق دورسنجی ابزارهای الکترونیکی مورد نظر شما را حفاظت میکنند. از سوی دیگر، این اطلاعات مهم کاری شما هستند، اطلاعاتی درباره ویژگیهای سختافزاری که حاوی دادههای کارمندان است. بهطور صریح میتوان گفت: اگر ارائهدهنده آنتیویروس شما، هک شود و دادههای مشتریان شما لو برود، شرم و رسوایی آن بر دوش شماست.
معیارها بهگونهای درنظر گرفته شدهاند تا خطرات، اقدامات امنیتی، معیارهای حفاظتی و مکانیسمهای اطمینانبخش از حفظ دادههای شخصی را برآورده کنند و رضایت نهایی را به همراه داشته باشند. کنترلگر و پردازنده باید از فنون و معیارهای سازمانی مناسبی استفاده کنند تا به سطح امنیتی مناسب در برابر خطرات دست یابند.
قوانین حفاظت از اطلاعات عمومی GDPR در 25 ماه می، سال 2018 ، تمامی سازمانهایی که مطابق با مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (GDPR) عمل نکردهاند، خسارات سنگینی متحمل خواهند شد؛ اما چه کسی ناظر بر نظارت کنندگان است؟
شما میبایست نظارت کنید، زیرا مثلاً Kaspersky-NSA، در دسترسی به شاخههای دور از دسترس با مشکل مواجه است.
در اینجا آنچه در طول زمان سازندگان آنتیویروس شناخته شده Kaspersky Lab پشت سر گذاردهاند، را به طور خلاصه آوردهایم. ورود مقررات حفاظتی دادههای عمومی اتحادیه اروپا، یک زنگ خطر برای این ارائهدهندگان است. با گسترش مسئولیتها و تغییر ماهیت آنها، مشکلات کسپرسکی، میتواند تبدیل به مشکلات شما شود. سیر زمانی کسپرسکی در سالهای 2012-2015 نشان دهنده تعاملاتی با مافیای روسیه و اشتراک گذاری اطلاعات ۴۰۰ میلیون کاربر با مجرمین سایبری دارد. اما شرکت کسپرسکی از عملکرد خود بشدت دفاع میکند.
ابتدای سال 2017 بهموجب سوءظنهایی که متوجه تعاملات کسپرسکی و دولت روسیه است، وزارت امنیت داخلی آمریکا، استفاده از محصولات کسپرسکی را در دولت فدرال ایالات متحده ممنوع مینماید.
اواسط2017 مجله Wall Street ادعا میکند که در سال 2015، هکرهایی که برای دولت روسیه کار میکردند از آنتیویروس Kaspersky برای سرقت اطلاعات طبقهبندیشده از رایانه خانگی یکی از عوامل NSA استفاده کردند.
اکتبر 2017 Kaspersky بیان داشت که آن عامل NSA تحت بازجویی اظهار داشته که آنتیویروس خود را برای نصب یک کپی تقلبی از نرمافزار Microsoft Office غیرفعال کرده بود. او نمیدانسته است که برنامه Keygen که برای نرمافزار تقلبی استفاده میکند، یک راه نفوذ (backdoor) روی رایانه او ایجاد میکند.
پس از آن، او آنتیویروس خود را فعال کرد، و فایلهای او به عنوان نمونههایی از یک بدافزار شناسایی و به کسپرسکی ارسال شدند تا مورد بررسی و بازرسی قرار بگیرند. یکی از کارمندان Kaspersky دریافت؛ که آن دادهها بدافزار نیستند بلکه اطلاعات طبقهبندیشده و بسیار سری NSA میباشند. او دادههای شناسایی شده را به آقای Eugene Kaspersky ارائه داد که ایشان نیز دستور نابودی آن اطلاعات را دادند.
در حال حاضر Kaspersky کد منابع آنتیویروس خود را در اختیار دولت گذاشته تا مورد تجزیه و تحلیل قرار گیرد، این کار به منظور شفافسازی صورت گرفت که راه بهجایی نبرد زیرا دولت هیچ پاسخی نداد. شرکت Kaspersky در حال حاضر درگیر مبارزه دشواری است تا از شهرت خود به عنوان یک آنتیویروس مورد اطمینان، در برابر یک حس عمومی از سوءظن شدید و بدگمانی که نسبت به محصولات کسپرسکی ایجاد شده، دفاع نماید.
اصول امنیت سایبری بر چه پایهای استوار است؟
صنعت امنیت سایبری بر پایه همکاری و تبادل اطلاعات است تا عقاید و اصول پایه خود را به اجرا درآورد، این اصول عبارتند از: حفظ داده در برابر دستکاری و نشت دادهها.
دادههای ضروری برای موارد خاص توسط چند سازنده نرمافزار جمعآوری میشوند تا در بین ارائهدهندگان خدمات بازرسی بدافزارها، مثل VirusTotal ،این دادهها توزیع شوند. مهمتر اینکه، به اشتراکگذاری دادهها کمک میکند تا با گروههای بزرگ مجرمان سایبری مقابله شود. این یعنی ما با سایرین همکاری میکنیم، تا از آژانسهای اجرای قانون در مواردی همچون عملیات مشهور Tover، حمایت نماییم. با همکاری و اتحاد نیروها توانستیم بوتنت Gameover ZeuS را که مسئول انتشار باجافزار CryptoLocker بود، نابود کنیم.
صاحبان آنتیویروسها، برای برتری دادن نرمافزارهایشان، ویروس تولید نمیکنند. این درواقع یک ذهنیت منفی است و باید دور انداخته شود و هیچ دلیلی برای این ادعا نمیتوان یافت.
صنعت امنیت اطلاعات یا امنیت سایبری، یا هر نام دیگری که دوست دارید برایش انتخاب کنید، بر شفافیت عملکرد تأکید دارد. این همان شفافیتی است که سازمان شما بر طبق مقررات GDPR، باید از ارائهدهندگان امنیت سایبری تقاضا کند. داستانی که با مشکلات Kaspersky آغاز شد؛
این داستان سودمند بود، زیرا پس از آن، GDPR در اتحادیه اروپا تمامی ارائهدهندگان آنتیویروس را ملزم به رعایت مقررات کرد.
تمامی شرکتهای بزرگ و کوچک در نهایت مجبورند تا بدانند یک آنتیویروس چه میکند. در اینجاست که دورسنجی زیر ذرهبین قرار میگیرد؛ دورسنجی یک فرایند ارتباطی مکانیزه شده است که در آن، دادهها به منظور بازبینی و بررسی، انتخاب و به دستگاهها و تجهیزات خاصی ارسال میشوند.
از این رو نرمافزار آنتیویروس شما برای حفاظت بهتر، اطلاعات شما را جمعآوری میکند. Kaspersky درباره برخی اقدامات ابتکاری خود در زمینه شفافسازی، میگوید: “کاربران محصولات Kaspersky Lab میتوانند دادههایی را که تحت فرایند ویروسیابی قرار میگیرند تا حداقل ممکن، کاهش دهند. تمام دادههایی که در این فرایند بررسی و یا انتقال داده میشوند از طریق رمزگذاری، اعتبارنامههای دیجیتالی و محل نگهداری مجزا و سیاستهای سختگیرانه دسترسی دادهها به شدت حفظ و نگهداری میشوند.”
بله، البته کاربران روی مقدار دادههایی که به اشتراک گذارده میشوند، کنترل و نظارت دارند زیرا حضور در شبکه امنیتی Kaspersky داوطلبانه است و در هر زمان میتوان آن را غیرفعال ساخت. اگر کاربران KSN را غیرفعال کنند، فقط مقدار داده بسیار اندکی که برای عملکرد مناسب محصول لازم است، به اشتراک گذاشته میشود.
سؤال شما به عنوان یک کسب و کار که اطلاعات مشتریانش را در اختیار دارد این است که: “آن حداقل ممکن دادهها چه میزان باید باشد؟ و شما بهعنوان یک شرکت آنتیویروس از چه نوع رمزگذاری استفاده میکنید؟”
شاید درگذشته کسب و کارها بهسادگی و بدون اینکه اطلاع زیادی از کارکرد و طرز کار یک آنتیویروس داشته باشند؛ به آن اطمینان میکردند اما امروزه اینگونه نیست و مشاغل نیاز دارند تا درباره آن تحقیق و بررسی کنند. درست مثل شما که خدمتی را ارائه میدهید، ارائهدهندگان آنتیویروسها نیز مجبورند تا مطابق مقررات حفاظت از دادهای عمومی، عمل کنند. شما باید در اسرع وقت با ارائهدهندگان آنتیویروس خود، ارتباط برقرار کرده و دریابید که با اطلاعات شما چه میکنند و آنها را کجا میفرستند.
اما دورسنجی چیست؟
Lookout یکی دیگر از ارائهدهندگان معتبر میگوید: “هر ماه میلیونها ابزار در 150 کشور از راه دور اطلاعات خود را بهصورت دورسنجی (telemetry) به Lookout Security Cloud مخابره میکنند، و اطمینان مییابند که Lookout قادر است تا عاملان تهدید را تا رسیدن به سرمنشأ آن ردیابی کند، و تهدیدهای جدیدی همچون نرمافزار جاسوسی Pegasus را شناسایی کند.”
این میلیونها ابزار متعلق به چه کسانی است؟ آیا برخی از این ابزارها متعلق به خودتان است؟
نگران نباشید اما بدانید دورسنجی چیست، زیرا قانون الزام میکند که شما بدانید. وقتی هک صورت میگیرد، و دادههای مشتریان افشا میشود، مسئولیت افشای این اطلاعات به گردن شما است و به گردن ارائهدهندگان امنیتی نیست، چرا که شما مسئول ابزارها و نرمافزارهای سازمانتان هستید. پس سؤال اینجاست که ارائهدهندگان امنیتی چگونه در حفاظت از سیستم نقش دارند؛ به هر حال همان قسمت از سیستم، تحت ویروسیابی قرار میگیرد، اما چه میزان از اطلاعات را آنتیویروس مخابره میکند و تا چه میزان ارائهدهندگان نرمافزار آنتیویروس، درباره آنچه با دادهها میکنند، شفافیت دارند؟
“جارنو نیم” از تیم F-Secure در این باره گفت: “نمیتوانیم بیش از این چیزی را تأیید کنیم.”
همچنین “کریس ویس پال” مدیر ارشد تکنولوژی Veracode، درباره حفرههای امنیتی در آنتیویروسها میگوید: “تأمینکنندگان امنیت سایبری باید در سطحی بالاتر از استانداردهای سازندگان سایر نرمافزارها باشند. تاکنون، معدودی از محققان در زمینههای امنیتی، این دستگاهها را از نظر آسیبپذیری مورد آزمایش قرار دادهاند. آنها در عوض روی یافتن نقاط آسیبپذیر در سیستمعاملها و اپلیکیشنها تمرکز کردهاند، درحالیکه نرمافزارهای امنیتی را نادیده میگیرند.”
متأسفانه، این خبر ناراحت کنندهایست؛ هیچ محصولی نمیتواند صد درصد امنیت را تأمین کند، حتی نرمافزارهای حفاظتی نمیتوانند امنیت کامل خود را تضمین کنند. اما موضوع در اینجا چیز دیگری است. آنچه در اینجا برای شما و سازمانتان اهمیت دارد آماده شدن برای GDPR است. برای این منظور، فراموش نکنید که شفافیت اقدامات ارائهدهنده آنتیویروس و مطابقت با GDPA را بررسی کنید.
بر اساس این گفتهها، هم ارائهدهندگان آنتیویروس و هم شما، مسئول دادههای مشتریان هستید.
از نگاه قانون، هر دوی شما متحمل جریمه میشوید. “ماتیو جی.شوارتز” با 17 بنگاه امنیتی تماس گرفت تا روند دورسنجی آنها را مشخص کند: یعنی اقدامات اشتراکگذاری دادهها و معیارهای امنیتی آنها را بررسی کرد. این روش راه خوبی برای تحقیق درباره طرح GDPR صاحبان آنتیویروس است. هرچند، اصرار داریم تا هر چه زودتر با فروشنده نرمافزار امنیتی خود صحبت کنید و یک دید همه جانبه درباره حفاظت اطلاعات خود به دست بیاورید.
توضیح:
ما از Kaspersky بیشتر به عنوان یک ارائهدهنده آنتیویروس نام بردیم؛ تنها به دلیل حجم اخباری که از این نرمافزار گزارششده و قصد ما تنها آوردن مثال بود. با این حال جانب انصاف رعایت شده و مثل همیشه به کاربران توصیه میکنیم تا بهدقت روی ویژگیهای امنیتی سیاست نرمافزار، قبل از استفاده از آن بهخوبی دقت کنند.