الزام رعایت مقررات GDPR برای سازندگان آنتی‌ویروس‌ها

مقررات GDPR از چه زمانی مطرح شد؟

ارائه‌دهندگان آنتی‌ویروس‌ها نیز هم‌چون سازمان شما، ناچارند تا طبق مقررات حفاظت از اطلاعات عمومی (GDPR) عمل کنند؛ زیرا به فایل‌ها و سایر داده‌های شما دسترسی دارند و اگر خطایی پیش بیاید و آن‌ها زیر بار نروند، مسئولیت آن بر دوش شماست و این شمایید که متحمل جریمه و خسارت می‌شوید.

آیا می‌دانید فروشندگان آنتی‌ویروس‌ها با داده‌های شما چه می‌کنند (فرایندی که به آن دورسنجی می‌گویند) و تا چه اندازه شما روی آن کنترل و مسئولیت دارید؟ دورسنجی ضرورت آنتی‌ویروس‌ها است و فروشندگان آنتی‌ویروس‌ها از طریق دورسنجی ابزارهای الکترونیکی مورد نظر شما را حفاظت می‌کنند. از سوی دیگر، این اطلاعات مهم کاری شما هستند، اطلاعاتی درباره ویژگی‌های سخت‌افزاری که حاوی داده‌های کارمندان است. به‌طور صریح می‌توان گفت: اگر ارائه‌دهنده آنتی‌ویروس شما، هک شود و داده‌های مشتریان شما لو برود، شرم و رسوایی آن بر دوش شماست.

معیارها به‌گونه‌ای درنظر گرفته شده‌اند تا خطرات، اقدامات امنیتی، معیارهای حفاظتی و مکانیسم‌های اطمینان‌بخش از حفظ داده‌های شخصی را برآورده کنند و رضایت نهایی را به همراه داشته باشند. کنترل‌گر و پردازنده باید از فنون و معیارهای سازمانی مناسبی استفاده کنند تا به سطح امنیتی مناسب در برابر خطرات دست یابند.

قوانین حفاظت از اطلاعات عمومی GDPR در 25 ماه می، سال 2018 ، تمامی سازمان‌هایی که مطابق با مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (GDPR) عمل نکرده‌اند، خسارات سنگینی متحمل خواهند شد؛ اما چه کسی ناظر بر نظارت کنندگان است؟

شما می‌بایست نظارت کنید، زیرا مثلاً Kaspersky-NSA، در دسترسی به شاخه‌های دور از دسترس با مشکل مواجه است.

در اینجا آنچه در طول زمان سازندگان آنتی‌ویروس شناخته شده Kaspersky Lab پشت سر گذارده‌اند، را به طور خلاصه آورده‌ایم. ورود مقررات حفاظتی داده‌های عمومی اتحادیه اروپا، یک زنگ خطر برای این ارائه‌دهندگان است. با گسترش مسئولیت‌ها و تغییر ماهیت آن‌ها، مشکلات کسپرسکی، می‌تواند تبدیل به مشکلات شما شود. سیر زمانی کسپرسکی در سال‌های 2012-2015 نشان دهنده تعاملاتی با مافیای روسیه و اشتراک گذاری اطلاعات ۴۰۰ میلیون کاربر با مجرمین سایبری دارد. اما شرکت کسپرسکی از عملکرد خود بشدت دفاع می‌کند.

ابتدای سال 2017 به‌موجب سوءظن‌هایی که متوجه تعاملات کسپرسکی و دولت روسیه است، وزارت امنیت داخلی آمریکا، استفاده از محصولات کسپرسکی را در دولت فدرال ایالات متحده ممنوع می‌نماید.

اواسط2017 مجله Wall Street ادعا می‌کند که در سال 2015، هکرهایی که برای دولت روسیه کار می‌کردند از آنتی‌ویروس Kaspersky برای سرقت اطلاعات طبقه‌بندی‌شده از رایانه‌ خانگی یکی از عوامل NSA استفاده کردند.

اکتبر 2017 Kaspersky بیان داشت که آن عامل NSA تحت بازجویی اظهار داشته که آنتی‌ویروس خود را برای نصب یک کپی تقلبی از نرم‌افزار Microsoft Office غیرفعال کرده بود. او نمی‌دانسته است که برنامه Keygen که برای نرم‌افزار تقلبی استفاده می‌کند، یک راه نفوذ (backdoor) روی رایانه‌ او ایجاد می‌کند.

پس از آن، او آنتی‌ویروس خود را فعال کرد، و فایل‌های او به عنوان نمونه‌هایی از یک بدافزار شناسایی و به کسپرسکی ارسال شدند تا مورد بررسی و بازرسی قرار بگیرند. یکی از کارمندان Kaspersky دریافت؛ که آن داده‌ها بدافزار نیستند بلکه اطلاعات طبقه‌بندی‌شده و بسیار سری NSA می‌باشند. او داده‌های شناسایی شده را به آقای Eugene Kaspersky ارائه داد که ایشان نیز دستور نابودی آن اطلاعات را دادند.

در حال حاضر Kaspersky کد منابع آنتی‌ویروس خود را در اختیار دولت گذاشته تا مورد تجزیه و تحلیل قرار گیرد، این کار به‌ منظور شفاف‌سازی صورت گرفت که راه به‌جایی نبرد زیرا دولت هیچ پاسخی نداد. شرکت Kaspersky در حال حاضر درگیر مبارزه دشواری است تا از شهرت خود به عنوان یک آنتی‌ویروس مورد اطمینان، در برابر یک حس عمومی از سوءظن شدید و بدگمانی که نسبت به محصولات کسپرسکی ایجاد شده، دفاع نماید.

اصول امنیت سایبری بر چه پایه‌ای استوار است؟

صنعت امنیت سایبری بر پایه همکاری و تبادل اطلاعات است تا عقاید و اصول پایه خود را به اجرا درآورد، این اصول عبارتند از: حفظ داده در برابر دست‌کاری و نشت داده‌ها.

داده‌های ضروری برای موارد خاص توسط چند سازنده نرم‌افزار جمع‌آوری می‌شوند تا در بین ارائه‌دهندگان خدمات بازرسی بدافزارها، مثل VirusTotal ،این داده‌ها توزیع شوند. مهم‌تر اینکه، به اشتراک‌گذاری داده‌ها کمک می‌کند تا با گروه‌های بزرگ مجرمان سایبری مقابله شود. این یعنی ما با سایرین همکاری می‌کنیم، تا از آژانس‌های اجرای قانون در مواردی همچون عملیات مشهور Tover، حمایت نماییم. با همکاری و اتحاد نیروها توانستیم بوت‌نت Gameover ZeuS را که مسئول انتشار باج‌افزار CryptoLocker بود، نابود کنیم.

صاحبان آنتی‌ویروس‌ها، برای برتری دادن نرم‌افزارهایشان، ویروس تولید نمی‌کنند. این درواقع یک ذهنیت منفی است و باید دور انداخته شود و هیچ دلیلی برای این ادعا نمی‌توان یافت.

صنعت امنیت اطلاعات یا امنیت سایبری، یا هر نام دیگری که دوست دارید برایش انتخاب کنید، بر شفافیت عملکرد تأکید دارد. این همان شفافیتی است که سازمان شما بر طبق مقررات GDPR، باید از ارائه‌دهندگان امنیت سایبری تقاضا کند. داستانی که با مشکلات Kaspersky آغاز شد؛

این داستان سودمند بود، زیرا پس از آن، GDPR در اتحادیه اروپا تمامی ارائه‌دهندگان آنتی‌ویروس را ملزم به رعایت مقررات کرد.

تمامی شرکت‌های بزرگ و کوچک در نهایت مجبورند تا بدانند یک آنتی‌ویروس چه می‌کند. در اینجاست که دورسنجی زیر ذره‌بین قرار می‌گیرد؛ دورسنجی یک فرایند ارتباطی مکانیزه شده است که در آن، داده‌ها به‌ منظور بازبینی و بررسی، انتخاب و به دستگاه‌ها و تجهیزات خاصی ارسال می‌شوند.

از این رو نرم‌افزار آنتی‌ویروس شما برای حفاظت بهتر، اطلاعات شما را جمع‌آوری می‌کند. Kaspersky درباره برخی اقدامات ابتکاری خود در زمینه شفاف‌سازی، می‌گوید: “کاربران محصولات Kaspersky Lab می‌توانند داده‌هایی را که تحت فرایند ویروس‌یابی قرار می‌گیرند تا حداقل ممکن، کاهش دهند. تمام داده‌هایی که در این فرایند بررسی و یا انتقال داده می‌شوند از طریق رمزگذاری، اعتبارنامه‌های دیجیتالی و محل نگهداری مجزا و سیاست‌های سختگیرانه دسترسی داده‌ها به‌ شدت حفظ و نگهداری می‌شوند.”

بله، البته کاربران روی مقدار داده‌هایی که به اشتراک گذارده می‌شوند، کنترل و نظارت دارند زیرا حضور در شبکه امنیتی Kaspersky داوطلبانه است و در هر زمان می‌توان آن را غیرفعال ساخت. اگر کاربران KSN را غیرفعال کنند، فقط مقدار داده‌ بسیار اندکی که برای عملکرد مناسب محصول لازم است، به اشتراک گذاشته می‌شود.
سؤال شما به‌ عنوان یک کسب‌ و کار که اطلاعات مشتریانش را در اختیار دارد این است که: “آن حداقل ممکن داده‌ها چه میزان باید باشد؟ و شما به‌عنوان یک شرکت آنتی‌ویروس از چه نوع رمزگذاری استفاده می‌کنید؟”

شاید درگذشته کسب‌ و کارها به‌سادگی و بدون اینکه اطلاع زیادی از کارکرد و طرز کار یک آنتی‌ویروس داشته باشند؛ به آن اطمینان می‌کردند اما امروزه این‌گونه نیست و مشاغل نیاز دارند تا درباره آن تحقیق و بررسی کنند. درست مثل شما که خدمتی را ارائه می‌دهید، ارائه‌دهندگان آنتی‌ویروس‌ها نیز مجبورند تا مطابق مقررات حفاظت از دادهای عمومی، عمل کنند. شما باید در اسرع وقت با ارائه‌دهندگان آنتی‌ویروس خود، ارتباط برقرار کرده و دریابید که با اطلاعات شما چه می‌کنند و آن‌ها را کجا می‌فرستند.

اما دورسنجی چیست؟

Lookout یکی دیگر از ارائه‌دهندگان معتبر می‌گوید: “هر ماه میلیون‌ها ابزار در 150 کشور از راه دور اطلاعات خود را به‌صورت دورسنجی (telemetry) به Lookout Security Cloud مخابره می‌کنند، و اطمینان می‌یابند که Lookout قادر است تا عاملان تهدید را تا رسیدن به سرمنشأ آن ردیابی کند، و تهدیدهای جدیدی همچون نرم‌افزار جاسوسی Pegasus را شناسایی کند.”

این میلیون‌ها ابزار متعلق به چه کسانی است؟ آیا برخی از این ابزارها متعلق به خودتان است؟

نگران نباشید اما بدانید دورسنجی چیست، زیرا قانون الزام می‌کند که شما بدانید. وقتی هک صورت می‌گیرد، و داده‌های مشتریان افشا می‌شود، مسئولیت افشای این اطلاعات به گردن شما است و به گردن ارائه‌دهندگان امنیتی نیست، چرا که شما مسئول ابزارها و نرم‌افزارهای سازمانتان هستید. پس سؤال اینجاست که ارائه‌دهندگان امنیتی چگونه در حفاظت از سیستم نقش دارند؛ به هر حال همان قسمت از سیستم، تحت ویروس‌یابی قرار می‌گیرد، اما چه میزان از اطلاعات را آنتی‌ویروس مخابره می‌کند و تا چه میزان ارائه‌دهندگان نرم‌افزار آنتی‌ویروس، درباره آنچه با داده‌ها می‌کنند، شفافیت دارند؟

“جارنو نیم” از تیم F-Secure در این باره گفت: “نمی‌توانیم بیش از این چیزی را تأیید کنیم.”

هم‌چنین “کریس ویس پال” مدیر ارشد تکنولوژی Veracode، درباره حفره‌های امنیتی در آنتی‌ویروس‌ها می‌گوید: “تأمین‌کنندگان امنیت سایبری باید در سطحی بالاتر از استانداردهای سازندگان سایر نرم‌افزارها باشند. تاکنون، معدودی از محققان در زمینه‌های امنیتی، این دستگاه‌ها را از نظر آسیب‌پذیری مورد آزمایش قرار داده‌اند. آن‌ها در عوض روی یافتن نقاط آسیب‌پذیر در سیستم‌عامل‌ها و اپلیکیشن‌ها تمرکز کرده‌اند، درحالی‌که نرم‌افزارهای امنیتی را نادیده می‌گیرند.”

متأسفانه، این خبر ناراحت کننده‌ایست؛ هیچ محصولی نمی‌تواند صد درصد امنیت را تأمین کند، حتی نرم‌افزارهای حفاظتی نمی‌توانند امنیت کامل خود را تضمین کنند. اما موضوع در اینجا چیز دیگری است. آنچه در اینجا برای شما و سازمانتان اهمیت دارد آماده شدن برای GDPR است. برای این منظور، فراموش نکنید که شفافیت اقدامات ارائه‌دهنده آنتی‌ویروس و مطابقت با GDPA را بررسی کنید.

بر اساس این گفته‌ها، هم ارائه‌دهندگان آنتی‌ویروس و هم شما، مسئول داده‌های مشتریان هستید.

از نگاه قانون، هر دوی شما متحمل جریمه می‌شوید. “ماتیو جی.شوارتز” با 17 بنگاه امنیتی تماس گرفت تا روند دورسنجی آن‌ها را مشخص کند: یعنی اقدامات اشتراک‌گذاری داده‌ها و معیارهای امنیتی آن‌ها را بررسی کرد. این روش راه خوبی برای تحقیق درباره طرح GDPR صاحبان آنتی‌ویروس است. هرچند، اصرار داریم تا هر چه زودتر با فروشنده نرم‌افزار امنیتی خود صحبت کنید و یک دید همه جانبه درباره حفاظت اطلاعات خود به دست بیاورید.

توضیح:

ما از Kaspersky بیشتر به عنوان یک ارائه‌دهنده آنتی‌ویروس نام بردیم؛ تنها به دلیل حجم اخباری که از این نرم‌افزار گزارش‌شده و قصد ما تنها آوردن مثال بود. با این حال جانب انصاف رعایت شده و مثل همیشه به کاربران توصیه می‌کنیم تا به‌دقت روی ویژگی‌های امنیتی سیاست نرم‌افزار، قبل از استفاده از آن به‌خوبی دقت کنند.