تعریف امنیت داده
امنیت داده، که یکی از انواع امنیت سایبری میباشد، پروسه محافظت از اطلاعات دیجیتال در تمام چرخه حیات آن جهت پیشگیری از هر گونه سوءاستفاده، سرقت یا دسترسی غیرمجاز است. امنیت دادهها هر چیزی را میتواند شامل شود: سختافزار، نرمافزار، تجهیزات ذخیرهسازی و دستگاههای کاربران، دسترسی و کنترل حسابهای Admin و سیاستها و رویههای تدوین شده برای سازمانها.
امنیت دادهها از ابزارها و فناوریهایی استفاده میکند که پایش دادههای یک سازمان و نحوه بکارگیری آنها را بهبود میبخشد. این ابزارها میتوانند از دادهها در برابر تهدیداتی نظیر پنهانسازی داده (Data Masking)، رمزگذاری و ویرایش اطلاعات حساس محافظت کنند. فناوریهای بکارگرفته شده در راهکارهای امنیتی همچنین به سازمانها کمک میکند تا پروسههای بازرسی خود را سادهتر کنند و از مقررات سختگیرانه حفاظت از دادهها پیروی نمایند.
مدیریت منسجم امنیت داده، سازمانها را قادر میسازد از اطلاعات خود در برابر حملات سایبری محافظت کنند. همچنین به آنها کمک میکند تا خطر خطای انسانی و تهدیدات داخلی را که همچنان عامل بسیاری از نشتهای دادهها هستند، به حداقل برسانند. در ادامه با بررسی مزایای امنیت داده به تعریف بیشتری از این مفهوم می پردازیم.
همچنین بخوانید: سرقت داد، روشهای سرقت داده و پیشگیری از آن
مزایای امنیت داده
به نوعی، با نگاه کردن به مزایای حفظ امنیت داده که در ادامه با جزئیات بیشتر توضیح داده شده، تعریف امنیت داده آسانتر میشود:
- اطلاعات شما را ایمن نگه میدارد: با اتخاذ یک رویکرد متمرکز بر حفظ امنیت دادهها و بکارگیری مجموعهای مناسب از ابزارها، اطمینان حاصل میکنید که دادههای حساس در اختیار افراد غیرمجاز قرار نمیگیرند. این دادههای حیاتی و حساس میتوانند شامل اطلاعات پرداخت مشتری، سوابق بیمارستانی و دادههای بیماران و اطلاعات شناسایی افراد باشد. با بکارگیری یک استراتژی جهت برقراری امنیت دادهها که در جهت پاسخگویی به نیازهای خاص سازمان ایجاد شده، اطلاعات ایمن باقی میمانند.
- به حفظ شهرت شما کمک میکند: وقتی افراد با سازمان شما تجارت میکنند، اطلاعات حساس خود را به شما میسپارند، بکارگیری یک استراتژی امنیت داده شما را قادر میسازد از دادههای مشتریان حفاظت کنید. شما در قبال آن چه دریافت خواهید کرد؟ شهرتی فوق العاده در میان مشتریان، شرکاء و به طور کلی دنیای تجارت.
- برتر از رقبای خود باشید: در بسیاری از سازمانها و صنایع، نشتدادهها امری کاملاً عادی است، بنابراین اگر بتوانید دادهها را ایمن نگه دارید، خود را از رقبایی که ممکن است برای انجام همین کار با مشکل مواجه شوند، متمایز میکنید.
- صرفهجویی در هزینههای پشتیبانی و توسعه: اگر اقدامات و معیارهای حفظ امنیت دادهها را در مراحل اولیه توسعه به کار ببرید، به احتمال زیاد مجبور نخواهید شد منابع ارزشمندی را جهت شناسایی و اعمال وصلهها، اصلاحیهها یا رفع مشکلات کدنویسی در این مسیر صرف کنید.
چرا امنیت دادهها برای سازمان ها مهم است؟
دلایل زیادی وجود دارد که چرا حفظ امنیت دادهها برای سازمانها در تمامی صنایع در سراسر جهان مهم است. سازمانها از نظر قانونی موظف هستند از دادههای مشتریان و کاربران در برابر مفقود یا سرقت شدن و در دسترس افرا غیرمجاز قرار گرفتن محافظت کنند. به عنوان مثال، استانداردهای زیر تعهدات قانونی سازمانها را جهت حفاظت از دادهها تشریح مینمایند:
استانداردهای امنیت داده
- California Consumer Privacy Act – به اختصار CCPA
- European Union’s General Data Protection Regulation – به اختصار GDPR
- Health Insurance Portability and Accountability Act – به اختصار HIPAA
- Payment Card Industry Data Security Standard – به اختصار PCI DSS
همچنین امنیت سایبری دادهها موجب جلوگیری از نشت دادهها میشود. هک یا از دست دادن دادههای سازمانها میتواند منجر به از بین رفتن اعتماد مشتریان به سازمان و واگذاری کسبوکار به رقیبان شود. علاوه بر این ضمن به بار آوردن خطر خسارات مالی جدی، سازمان موظف به پرداخت قانونی جریمه و ترمیم خسارت در صورت از بین رفتن دادههای حساس میباشد.
مقایسه امنیت داده و حریم خصوصی دادهها
امنیت دادهها و حریم خصوصی دادهها هر دو موجب محافظت از دادهها میشوند، اما با هم تفاوت دارند. امنیت داده مستلزم کنترل دسترسی به دادهها با بکارگیری قواعد سفت و سخت و کاملاً واضح و شفاف است. به عنوان مثال، به موجب یکی از سیاستها در حفظ امنیت داده، هیچ کس به جز کسی که یک پایگاه داده را عیبیابی میکند، اجازه دستیابی به اطلاعات پرداخت مشتری را ندارد. به این ترتیب، احتمال نقض امنیت داده کاهش مییابد.
از سوی دیگر، حریم خصوصی دادهها شامل تصمیمات ظریفتر و استراتژیکتر در خصوص اشخاصی است که به انواع خاصی از دادهها دسترسی دارند.. با استفاده از همین مثال، استراتژی سازمان دیگری ممکن است به تیم توسعه کمک کند تا بدانند کدام مشتریان با استفاده از PayPal پرداخت کردهاند. سپس آنها میتوانند تصمیم بگیرند که آیا عاقلانه است که Payoneer، Skrill یا Stripe را نیز بپذیرند یا خیر. سپس اجازه دهند تا برای دو هفته بعدی به اطلاعات پرداخت دسترسی داشته باشند.
وقتی صحبت از امنیت داده در رایانش ابری یا بسترهای درون سازمانی میشود، این نوع از تصمیمات بیشتر در حوزه حریم خصوصی دادهها قرار میگیرند.
بهترین راه جهت حفظ امنیت دادهها و حریم خصوصی
چرا حفظ امنیت دادهها اهمیت دارد؟ در درجه اول، دادههای شما را ایمن نگه داشته و موجب اعتماد مشتریان شما میشود. در اینجا به برخی از بهترین اقداماتی که بکارگیری آنها در سازمانها موثر بوده، میپردازیم:
- اطلاعات خود را ایمن کنید: این به معنای مدیریت افرادی است که به دادههای شما دسترسی دارند و آنها را رمزگذاری میکنند. تنها افرادی که برای انجام اقدامات ضروری به دادهها نیاز دارند باید به آنها دسترسی داشته باشند. همچنین ضروری است که اطلاعات هنگام جابهجایی بین پایگاهداده و کامپیوتر یا تجهیزات رمزگذاری شوند.
- آماده مقابله با تهدیدات باشید: میتوانید با آزمایش سیستمهای خود، آموزش کارکنان، طراحی یک استراتژی جهت مدیریت رویدادها و ایجاد یک برنامه بازیابی اطلاعات، برای رویدادهای احتمالی آینده آماده شوید.
- دادههایی را که استفاده نمیکنید، حذف نمائید: توصیه میشود نسخههای دیجیتال و فیزیکی دادههایی که دیگر به آن نیاز ندارید حذف نمائید. به این ترتیب احتمال کشف آن توسط هکرها و سوءاستفاده از آن کاهش مییابد.
انواع امنیت داده
سازمانها میتوانند از طیف گستردهای از انواع امنیت داده جهت محافظت از دادهها، دستگاهها، شبکهها، سیستمها و کاربران خود استفاده کنند. برخی از رایجترین انواع امنیت داده که سازمانها باید با بکارگیری ترکیبی آنها از داشتن بهترین استراتژی ممکن، اطمینان حاصل نمایند، عبارتند از:
رمزگذاری (Encryption)
رمزگذاری دادهها به معنای بکارگیری الگوریتمهایی در جهت در همریختن دادهها و پنهان کردن دادهها میباشد. رمزگذاری دادهها تضمین میکند که فقط گیرندگان پیام با در اختیار داشتن کلید رمزگشایی مناسب، توانایی خواندن دادهها را دارند. این امر جهت پیشگیری از نشت دادهها بسیار مهم است زیرا حتی اگر مهاجم بتواند به دادهها دسترسی پیدا کند بدون کلید رمزگشایی قادر به خواندن داده نخواهد بود.
رمزگذاری دادهها همچنین شامل بکارگیری راهکارهایی نظیر Tokenization است که از دادهها هنگام انتقال در کل زیرساخت فناوری اطلاعات سازمان محافظت میکند.
پاک کردن دادهها
توصیه میشود در مواردی که سازمانها دیگر نیازی به دادههای خاصی ندارند، برای همیشه آنها را از سیستم خود حذف کنند. پاککردن دادهها تکنیکی موثر جهت مدیریت امنیت داده است و شانس و احتمال وقوع نشتداده را کاهش میدهد.
پنهانسازی دادهها
مخفیسازی دادهها (Data Masking) به یک سازمان امکان میدهد تا با پنهان کردن و جایگزین کردن حروف یا اعداد خاصی، دادهها را پنهان کند. این فرآیند نوعی رمزگذاری است که در صورت رهگیری دادهها توسط هکرها، دادهها را غیرقابل مصرف میکند. پیام اصلی فقط توسط شخصی قابل خواندن است که کد رمزگشایی یا کاراکترهای جایگزین شده را داشته باشد.
پایداری دادهها
سازمانها میتوانند با ایجاد نسخ پشتیبان یا کپی از دادههای خود، خطر سرقت یا از دست دادن تصادفی دادهها را کاهش دهند. تهیه نسخ پشتیبان از دادهها جهت محافظت از اطلاعات و اطمینان از دسترسی دائمی آنها بسیار حیاتی است. این امر به ویژه در هنگام نشت داده یا حملات باجافزاری بسیار مهم است. علاوه بر این اطمینان حاصل نمائید که سازمان میتواند نسخ پشتیبان را در مواقع مورد نیاز بازیابی کند.
بزرگترین خطرات نقض امنیت داده
سازمانها امروزه با تهدیدات امنیتی پیچیدهتر و حملات سایبری پیشرفتهتری، روبرو هستند. برخی از بزرگترین خطرات در نقض امنیت دادهها عبارتند از:
افشاء سهوی دادهها
بسیاری از نشتهای داده نتیجه هک نیست، بلکه از طریق کارمندانی است که بهطور سهوی یا در اثر سهلانگاری اطلاعات حساس را افشاء میکنند. کارمندان به راحتی میتوانند دادهها را در اختیار فرد غیرمجازی قرار دهند، یا اجازه دسترسی به دادهها را بدهند و یا به دلیل عدم آگاهی از سیاستهای امنیتی سازمانی خود، اطلاعات را اشتباه مدیریت کنند یا آنها را از دست بدهند.
حملات فیشینگ
در حملات فیشینگ، مجرمان سایبری پیامهایی را معمولاً از طریق ایمیل، سرویس پیام کوتاه (SMS) یا سرویسهای پیامرسان فوری (Instant Messaging Services) ارسال میکنند که در ظاهر به نظر میرسد از یک فرستنده معتبر و قابل اعتماد باشد. این پیامها شامل پیوندهای مخرب یا پیوستهایی هستند که گیرندگان را به دانلود بدافزار یا بازدید از یک سایت جعلی ترغیب میکنند. به این ترتیب مهاجمان قادر خواهند بود تا اطلاعات اصالتسنجی کاربران یا اطلاعات مالی آنها را سرقت کنند.
این حملات همچنین میتواند به مهاجمان کمک کند تا دستگاههای کاربران را هک کنند یا به شبکه سازمانها دسترسی پیدا کنند. حملات فیشینگ اغلب با مهندسی اجتماعی همراه میشوند که هکرها از آن برای دستیابی به اطلاعات حساس یا رمزهای عبور حسابهای قربانیان استفاده میکنند.
تهدیدات داخلی
یکی از بزرگترین تهدیدات علیه امنیت دادهها در هر سازمانی، خود کارکنان آن هستند. تهدیدات داخلی افرادی هستند که به طور عمدی یا سهواً دادههای سازمان خود را در معرض خطر قرار میدهند. تهدیدات داخلی در سه دسته قرار میگیرند:
- حساب کاربری هک شده: در این حالت، کارمند متوجه نمیشود که حساب یا اطلاعات اصالتسنجی او هک شده است. یک مهاجم میتواند خود را کارمندی معتبر معرفی کرده و اقدام به اجرای فعالیتهای مخرب نماید.
- کارمند بدخواه: کارمند بدخواه به طور فعال تلاش میکند تا دادهها را از سازمان خود سرقت کند و در جهت منافع شخصی خود به سازمان آسیب برساند.
- کارمند سهلانگار: کارمند به طور تصادفی، از طریق رفتارهای سهلانگارانه، با رعایت نکردن خطمشیها یا قواعد امنیتی یا ناآگاهی از آنها، باعث آسیب به سازمان و دادههای آن میشود.
بدافزار
نرمافزارهای مخرب معمولاً از طریق ایمیل و حملات مبتنی بر وب منتشر میشوند. مهاجمان با سوءاستفاده از آسیبپذیریهای موجود در نرمافزارها، مرورگرهای وب یا برنامههای کاربردی تحت وب از بدافزارها جهت آلوده کردن سیستمها و شبکههای سازمان، استفاده میکنند. بدافزار میتواند منجر به حملات سایبری نظیر سرقت داده، اخاذی و آسیب به شبکه شوند.
باجافزار
حملات باجافزاری خطری جدی برای امنیت دادهها در سازمانها با هر اندازه و مقیاسی میباشند. باجافزار نوعی بدافزار است که هدف آن آلوده نمودن دستگاهها و رمزگذاری دادههای آنهاست. سپس مهاجمان با وعده بازگرداندن یا بازیابی دادهها پس از پرداخت باج، از قربانی خود باج مطالبه میکنند. برخی از انواع باجافزار به سرعت پخش میشوند و کل شبکه را آلوده میکنند؛ حتی باجافزارها میتوانند نسخ پشتیبان سرورهای داده را نیز از بین ببرند.
همچنین بخوانید: حذف رایگان باج افزار
ذخیرهسازی دادههای ابری
سازمانها به طور فزایندهای دادهها را به بسترهای ابری منتقل میکنند و به منظور امکان همکاری و اشتراکگذاری آسانتر، ابتدا از بسترهای مبتنی بر ابر استفاده میکنند. اما انتقال دادهها به بسترهای ابری میتواند کنترل و محافظت از آن را در برابر از دست دادن دادهها دشوارتر کند. بکارگیری بسترهای ابری برای پروسههای کار از راه دور که در آن کاربران با استفاده از دستگاههای شخصی و شبکههای کمتر امن به اطلاعات دسترسی پیدا میکنند، حیاتی است. این کار اشتراکگذاری اشتباه دادهها که ممکن است به طور تصادفی انجام شود یا اشتراک دادهها با اهداف خرابکارانه را با اشخاص غیرمجاز آسانتر میکند.
راهکارهای حیاتی حفاظت از امنیت دادهها
راهکارهای بیشماری جهت محافظت از اطلاعات و دادههای کاربران در سازمانها وجود دارد که در ادامه به آنها میپردازیم:
کنترل دسترسی
کنترل دسترسی، سازمانها را قادر میسازد تا قواعدی را در خصوص افرادی که مجاز به دسترسی به دادهها و سیستمها در بسترهای دیجیتالی هستند، اعمال کنند. آنها این کار را از طریق فهرستی موسوم به Access Control List – به اختصار ACL – انجام میدهند که دسترسی به فهرستها، فایلها و شبکهها را فیلتر میکنند و مشخص مینمایند که کدام یک از کاربران مجاز به دسترسی به اطلاعات و سیستمها میباشند.
حفظ امنیت داده در بسترهای ابری
همانطور که سازمانها به طور فزایندهای در حال انتقال دادههای خود به بسترهای ابری هستند، به راهکاری نیاز دارند که آنها را قادر میسازد:
- دادهها را در حین انتقال به بسترهای ابری ایمن کنند.
- از برنامههای کاربردی مبتنی بر ابر محافظت کنند.
این امر حتی برای ایمن نمودن پروسههای کاری پویا بسیار مهم است زیرا کارمندان اغلب امروزه از خانه و به صورت دورکار کار میکنند.
پیشگیری از از دست رفتن دادهها
پیشگیری از از دست رفتن دادهها (Data Loss Prevention – به اختصار DLP) سازمانها را قادر میسازد تا هر گونه نشت احتمالی دادهها را شناسایی و از آن جلوگیری کنند. همچنین به آنها کمک میکند تا نفوذ و اشتراکگذاری غیرمجاز اطلاعات در خارج از سازمان را شناسایی نمایند، اطلاعات را به نحو بهینهای پایش کنند و ضمن جلوگیری از تخریب دادههای حساس، بر مبنای مقررات و قواعد دادههای مربوطه عمل نمایند.
امنیت ایمیل
ابزارهای امنیتی مبتنی بر ایمیل این امکان را برای سازمانها فراهم میکنند تا تهدیدات امنیتی ناشی از ایمیل را شناسایی و از آنها جلوگیری کنند. این امر نقش مهمی در جلوگیری از کلیک کردن کارمندان بر روی لینکهای مخرب، باز کردن پیوستهای بدافزاری و بازدید از سایتهای جعلی دارد. راهکارهای امنیتی ایمیل همچنین میتوانند رمزگذاری سراسری را در ایمیل و پیامهای تلفن همراه ارائه دهند که این امر دادهها را ایمن نگه میدارد.
مدیریت کلیدها
مدیریت کلیدها شامل بکارگیری کلیدهای رمزنگاری جهت رمزگذاری دادهها است. کلیدهای عمومی و خصوصی برای رمزگذاری و سپس رمزگشایی دادهها مورد استفاده قرار میگیرند که امکان اشتراکگذاری امن دادهها را فراهم میکنند. سازمانها همچنین میتوانند از هش (Hash) برای تبدیل هر رشته از کاراکترها به مقادیر دیگر استفاده کنند تا بدین ترتیب از بکارگیری کلیدها اجتناب نمایند.
استانداردهای امنیت دادهها
امنیت دادهها به سازمانها اجازه میدهد تا از استانداردها، قوانین و مقررات ایالتی پیروی کنند. برخی از مهمترین این استانداردها عبارتند از:
General Data Protection Regulation
استاندارد General Data Protection Regulations – به اختصار GDPR – قانونی است که از دادههای شخصی شهروندان اروپایی محافظت میکند. هدف آن افزایش کنترل و حفظ حقوق و حریم خصوصی افراد بر روی دادههایشان است و کنترلهای شدیدی را بر نحوه پردازش این اطلاعات توسط سازمانها اعمال میکند. GDPR تضمین میکند که سازمانها دادههای شخصی را به صورت ایمن پردازش میکنند و از دادهها در برابر پردازش غیرمجاز، از دست رفتن تصادفی، آسیب و تخریب محافظت میکند. همچنین نقض این استاندارد، جریمهای معادل 4 درصد از گردش مالی سالانه یک شرکت یا 20 میلیون یورو (هر کدام مقدار بالاتری دارد) را به همراه خواهد داشت.
California Consumer Privacy Act
هدف قانون California Consumer Privacy Act – به اختصار CCPA – این است که به مصرفکنندگان کنترل بیشتری بر نحوه جمعآوری دادههای شخصی توسط کسبوکارها بدهد. این استاندارد حقوق زیر را برای کاربران به رسمیت میشناسد:
- آگاهی از دادههایی که یک کسبوکار در اختیار دارد.
- کسبوکارها چگونه از آن دادهها استفاده میکنند و یا چگونه آن را به اشتراک میگذارند.
- حق حذف آن اطلاعات.
- حق جلوگیری از فروش آن دادهها به اشخاص ثالث.
- حق اجتناب از تفکیک مفاد استاندارد CCPA در هنگام اجرا.
- سازمانها باید به مصرفکنندگان در خصوص شیوههای حفظ حریم خصوصی آنها اطلاعرسانی کنند.
Health Insurance Portability and Accountability Act
قانون Health Insurance Portability and Accountability Act – به اختصار HIPAA – یکی از قوانین دولت امریکا است که از دادههای پزشکی بیماران و انتشار و افشاء آنها بدون رضایت یا اطلاع بیماران محافظت میکند. در واقع HIPAA قانون حفظ حریم خصوصی است که به افشاء و بکارگیری اطلاعات بیماران میپردازد و تضمین میکند که دادهها به درستی محافظت میشوند. همچنین به موجب این قانون امنیتی تمام اطلاعات بهداشتی که از طریق آن هویت افراد قابل تشخیص است و در یک سازمان به صورت الکترونیکی ایجاد، نگهداری، دریافت یا منتقل میشود، محافظت میشوند.
عدم رعایت این استاندارد منجر به جریمه 50 هزار دلاری برای هر تخلف، حداکثر جریمه سالانه 1.5 میلیون دلاری و 10 سال زندان میشود.
Sarbanes-Oxley Act
Sarbanes-Oxley – به اختصار SOX – قانونی است که مقررات حسابرسی و مالی را برای سازمانهای عمومی و دولتی تشریح میکند. این قوانین از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیتهای مالی متقلبانه محافظت میکند. هدف اصلی این مجموعه مقررات، تنظیم حسابرسی، گزارشگیری مالی و سایر فعالیتهای تجاری در سازمانهای سهامی عام است. دستورالعملهای آن برای سایر شرکتها، سازمانهای خصوصی و شرکتهای غیرانتفاعی نیز اعمال میشود.
Sarbanes-Oxley – به اختصار SOX – قانونی است که مقررات حسابرسی و مالی را برای سازمانهای عمومی و دولتی تشریح میکند. این قوانین از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیتهای مالی متقلبانه محافظت میکند. هدف اصلی این مجموعه مقررات، تنظیم حسابرسی، گزارشگیری مالی و سایر فعالیتهای تجاری در سازمانهای سهامی عام است. دستورالعملهای آن برای سایر شرکتها، سازمانهای خصوصی و شرکتهای غیرانتفاعی نیز اعمال میشود.
Payment Card Industry Data Security Standard
استاندارد Payment Card Industry Data Security Standard – به اختصار PCI DSS – تضمین میکند که سازمانها به طور ایمن دادههای کارت اعتباری را پردازش، ذخیره و انتقال میدهند. استاندارد PCI DSS توسط شرکتهایی مانند American Express، Mastercard و Visa برای کنترل و مدیریت استانداردهای امنیتی PCI و افزایش امنیت حساب در طول تراکنشهای آنلاین راهاندازی شده است. PCI DSS توسط PCI Security Standards Council – به اختصار PCI SSC – اداره و مدیریت میشود. عدم رعایت این استاندارد میتواند منجر به جریمه ماهانه تا 100 هزار دلار و تعلیق پذیرش کارت شود.
International Standards Organization 27001
International Standards Organization – به اختصار ISO 27001 – استانداردی بین المللی برای ایجاد، پیادهسازی، نگهداری و بهبود سیستمهای مدیریت امنیت اطلاعات است. همچنین بینش و نگرشی در خصوص چگونگی توسعه سیاستهای امنیتی جامع و به حداقل رساندن خطرات آنها به سازمانها ارائه میدهد.