ضرورت یافتن راه حل برای امنیت اطلاعات اشخاص ثالث توسط صنعت امنیت سایبری
اخبار داغ فناوری اطلاعات و امنیت شبکهبه گزارش مجله اینفو سکیوریتی، طی جلسه وبیناری که توسط آتاکاما برگزار شد، کارشناسان اعلام کردند که سازمان ها باید متوجه مسئولیت بیشتری در قبال امنیت اشخاص ثالثی که به داده های آنها دسترسی دارند، باشند.
برایان هِر، مدیر حوزه CISO در مینلاین اینفورمیشن سیستمز، در این وبینار ابتدا چگونگی وابستگی بیشتر سازمانها به اشخاص ثالث را نشان داد؛ بدین معنی که تعداد بیشتری از نهادها به اطلاعات محرمانه اشخاص ثالث دسترسی پیدا می کنند. وی توضیح داد که: "سازمان ها روز به روز داده های بیشتری را خارج از کنترل کاربران ثالث قرار می دهند"، و افزود: "فضای رگولاتوری و قانونی در تلاش است تا این موضوع را تحت بررسی بیشتری قرار دهد و این شیوه تجارت که توسط ما انجام میشود را تغییر دهد".
قانون GDPR اتحادیه اروپا به طور کلی به عنوان پیشگامی در قوانین محافظت از داده ها تلقی می شود و سایر کشورها مانند ایالات متحده از نظر مقررات رگولاتوری خود، شروع به پیروی از این قوانین کرده اند. اکنون در رابطه با دسترسی به داده های شخص ثالث در GDPR، برخی توصیفات جدید در حال ظهور است که احتمالاً پیامدهایی جهانی در پی داشته باشد.
پاتریک برت، وکیل سابق رگولاتوری و حریم خصوصی در فیلیپ نایزر از نیویورک، توضیح داد که "در حال حاضر تمرکز بیشتر و بیشتر بر روی اشخاص ثالث است". در GDPR، سازمانها و نهادها، مسئولیت های واضح و مشخصی در راستای انجام ارزیابی ریسک و سایر بررسی های فنی هنگام تحویل داده ها و اطلاعات به اشخاص ثالث، بر عهده دارند.
برت خاطرنشان کرد که در تعدادی از پرونده های اخیر که جریمه ها توسط دفتر کمیساری اطلاعات انگلیس (ICO) از جمله سازمان هایی مانندBA ، Marriott و Ticketmaster صادر شده است، گفته شده که مسئولیت بر عهده اشخاص ثالث است، "اما در تک به تک موارد، ICO مشخص کرده است که این مسئولیت آن شرکت ها است و آنها به هیچ عنوان شخص ثالثی را مسئول نمی دانند"؛ و به طبع این مشکلات در نهایت به دلیل عدم موفقیت آن شرکت ها و سازمان ها در انجام مراقبت های لازم بود.
برت افزود كه اصول مشابهی نیز در قانون حریم خصوصی مصرف كنندگان كالیفرنیا (CCPA) وجود دارد.
دیمیتری نمیروفسکی، بنیانگذار و مدیر ارشد اجرایی در آتاکاما، با بیان اینکه سازمانها به طور کامل کنترل می کنند که چه اتفاقی برای داده های آنها می افتد، انتقادها را پذیرفت. وی با اشاره به اینکه در یک محیط دیجیتالی که به طور فزاینده ای دیجیتالی شده است، قرار داریم افزود: "من فکر نمی کنم امروز بتوانید بدون استفاده از شخص ثالث به هر شکلی در این صنعت وجود و حضور داشته باشید". در این زمینه نیز بسیار مهم است که شرکت ها رویکرد صحیحی را برای اطمینان از حفظ یکپارچگی داده های سپرده شده به اشخاص ثالث پیدا کنند. نمیروفسکی گفت: "بسیار مهم است که شما از ابزارهایی که استفاده می کنید، مراقبت و محافظت کنید و این کار را به شکلی انجام دهید که عملکرد مورد انتظار از نیروی کار خود را حفظ و عرضه کنید".
به گفته نمیروفسکی، مدیریت توزیع و ارائه کلیدهای رمزگذاری برای دستیابی به این امر بسیار مهم است. وی اظهار داشت: "کلید واژه این مورد، در مسئله مدیریت هویت و دسترسی خلاصه می شود". این بدین دلیل است که اگر اعتبار کاربر مجاز به خطر بیفتد، به طبع آن تمام داده ها برای مهاجم رمزگشایی می شوند.
بنابراین به خطر افتادن حساب، بزرگترین مسئله و معضل امنیتی در مورد اشخاص ثالث است، زیرا حتی پس از ارزیابی کافی ریسک نیز امکان بروز نقص ها و نفوذهایی نیز وجود دارد. هِر نیز گفت: "این مسئله به مشكل بزرگی تبدیل خواهد شد كه صنعت امنیت سایبری باید آن را حل كند. در نهایت این به درک درست و نزدیک کردن آن رمزگذاری تا حد امکان به میزان استفاده از داده ها برمیگردد، تا جایی که در صورت حادث شدن چیزی در این بین، باعث بروز مشکلی نشده و اصلا مهم نباشد".
برچسب ها: آنالیز ریسک, قوانین ارتباطی, شخص ثالث, Regulation, Risk Assessment, Third party, Encryption, cybersecurity, GDPR, رمزگذاری, امنیت سایبری