نشت اطلاعات و خطای انسانی

نشت اطلاعات و داده‌ها سال‌های زیادی است برای سازمان‌ها و شرکت‌ها وجود داشته است. این مشکل امنیتی در سال‌های اخیر و با همه‌گیری شبکه‌های اجتماعی نمود بیشتری پیدا کرده است. شیطنت‌های رسانه‌ای و همینطور استفاده رقبای تجاری از این نقص امنیتی باعث شده است حساسیت‌ها در این خصوص بیشتر شود. در مطلب داده‌های بی‌حیا در خصوص این مشکل پیشتر نوشته‌ام.
اما نشت اطلاعات به تنهایی مشکل حیاتی برای سازمان‌ها نیست. هر چند برخی از اطلاعات منتشر شده میتواند باعث به خطر افتادن حریم شخصی و یا اطلاعات خصوصی افراد شود، اما در طراحی سامانه‌های تجاری و دولتی، روند احراز هویت و شناسایی مشتریان باید به شیوه‌ای اتفاق بیفتد که مانع از سوءاستفاده از اطلاعات شخصی افراد و سرقت هویت (Identity Theft) باشد.
مهمترین مشکل در خصوص نشت اطلاعات، به خطر افتادن اعتبار سازمان و یا شرکتی است که نشتی داده از آن صورت گرفته است. برخی اوقات این رخداد باعث عواقب سختی مانند تحت تاثیر قرار گرفتن اعتماد مشتریان و واکنش بازار سرمایه به آن شرکت می‌باشد. برخی اوقات نشت اطلاعات میتواند باعث زیر سوال رفتن فعالیت‌های حفاظت از داده‌ها در شرکت‌ها و سازمان‌ها و حتی منجر به اخراج کادر اجرایی مرتبط شود.
در بیشتر اوقات، اما نشر اطلاعات پس از یک ماجراجویی خبری، فراموش میشود و مشتریان به ادامه مسیر در طول چرخه‌ی عمر مشتری می پردازدند. خیلی از شرکت‌های مطرح دنیا در سالیان گذشته دچار نشر اطلاعات گسترده شده‌اند. برخی از این شرکت‌ها عبارتند از Adobe، Adult Friend Finder، Canva، Dubsmash، eBay، Equifax، Heartland، Payment Systems، LinkedIn، Marriott International، My Fitness Pal، MySpace، NetEase، Yahoo، Zynga. در تعدادی از این نشتی‌ها گستردگی به حدی بوده است که سازمان‌های مختلفی از FBI تا ناظران مالی در ماجرا وارد شده‌اند و ابعاد ماجرا را بررسی کرده‌اند. داستان این 14 شرکت را در The 14 biggest data breaches of the 21st century می‌توانید بخوانید.

مقصر نشت اطلاعات کیست؟

از سال 2004 List of data breaches در ویکیپدیا و همینطور Balloon Race: Data Breaches نگهداری می‌شود. بر اساس این فهرست و از حدود 29 میلیارد رکورد داده نشت شده از میان 358 رخداد خطاهای انسانی مستقیم و غیرمستقیم یکی از مهمترین دلایل نشت اطلاعات است. استفاده از اسکریپت‌ها و برنامه‌های آماده، عدم رعایت زون‌بندی‌های امنیتی (DMZ) در زمان تست درون سازمانی، استفاده از برنامه‌های آماده در قالب کانتینرهای Docker و مانند آن در سال‌های اخیر شدت همه‌گیری نشت داده را بیشتر کرده است.

بر اساس اطلاعاتی که از Data Breaches وجود دارد، حدود 40 درصد از نشت اطلاعات، بدون Hack اتفاق افتاده است و علت اصلی نشت داده، خطای انسانی عمد و یا غیر عمد بوده است. از میان سهم 10 درصدی دزدی اطلاعات در هنگام حمل و نقل فیزیکی (Lost/Stolen Media) قابل توجه است.

همچنین کمتر از 1% موارد مربوط به انتشار عمدی داده‌ها از طریق عوامل درونی سازمان بوده است:

آیا خطر سرقت هویت جدی است؟

سرقت هویت در دنیای جدید تعریف متفاوتی دارد. پیشتر در زمانی که کسب و کارهای دیجیتال ارزش فعلی را نداشتند و امکان احراز هویت به صورت آنی نبود، سرقت هویت یکی از مشکلات جدی پس از نشت اطلاعات بود. این موضوع به حدی جدی است که در آمریکا سازمان فدرالی برای کمک به شهروندان تحت عنوان IdentityTheft.gov وجود دارد.

در ایران هم پلیس فضای تولید و تبادل اطلاعات سعی به آموزش در این خصوص دارد. خوشبختانه (البته متاسفانه) به علت دوری فضای کسب و کار ایران از جامعه جهانی روش‌های متداول سرقت هویت ممکن است به سادگی در ایران قابل استفاده نباشد و از این رو آسیب به کاربران ایرانی کمتر است. هر چند خطر به خطر افتادن حریم شخصی اطلاعات در موارد متعددی وجود دارد.

در پاسخ به سوال «آیا خطر سرقت هویت جدی است؟» باید گفت همواره این ریسک می‌تواند وجود داشته باشد، هر چند مکانیزیم‌های اعتبار و هویت‌سنجی مختلفی برای پیشگیری از آسیب در این خصوص وجود دارد. جمله‌ی قدیمی “رفع خطر احتمالی” را باید همواره در نظر داشت.