ال حركه و اذهب إلى أي مكان الخروقات وغيرها اختراق تي موبايل تصدرت عناوين الأخبار هذا العام، لكن هذه الحوادث كانت مجرد عدد قليل من بين العديد من الحوادث في عام 2023. إذا كنت تشعر أنه لا يمكنك قضاء يوم دون رؤية أخبار عن خرق آخر للبيانات، فهذا ليس مجرد خيالك. شهدت خروقات البيانات ارتفاعًا كبيرًا خلال العقد الماضي.
قامت شركة Apple بتكليف دراسة مستقلة للتعمق في الأرقام والأسباب وراء مليارات السجلات التي تم اختراقها في العامين الماضيين فقط. ومع الكم الهائل من البيانات التي يتم إنشاؤها وتحفيز الجهات الفاعلة في مجال التهديد، هل سيكون من المحتم أن تكون أرقام الاختراقات المذهلة أمرًا لا مفر منه؟
مليارات السجلات
تشير دراسة شركة آبل، التي أجراها ستيوارت مادنيك، الأستاذ في معهد ماساتشوستس للتكنولوجيا، إلى أنه تم اختراق أكثر من 2.6 مليار سجل شخصي في عامي 2021 و2022. ولا يظهر هذا الاتجاه أي علامات على التباطؤ. وفي الأشهر التسعة الأولى من هذا العام، قفز عدد خروقات البيانات في الولايات المتحدة بنسبة 20% مقارنة بعام 2022 ككل.
ومن الجدير بالذكر أن كمية البيانات الشخصية التي تجمعها الشركات وتخزنها زادت بشكل كبير في السنوات الأخيرة، ومن غير المرجح أن تتباطأ نظرا لقيمة الوصول إلى مجموعات كبيرة من البيانات.
“تقوم الشركات بمعالجة المزيد والمزيد من المعلومات الشخصية، سواء داخليًا أو من خلال أطراف ثالثة. “إن المزيد من المعلومات الشخصية التي تتم معالجتها و/أو مشاركتها مع مقدمي الخدمات أو أطراف ثالثة يزيد من منطقة المخاطر المحتملة التي يمكن أن تتعرض فيها البيانات للخطر،” إيرين إيلمان، شريك ومحامي خصوصية في شركة محاماة وطنية. برادلي“، يقول InformationWeek في مقابلة عبر البريد الإلكتروني.
يعد مكان تخزين هذه البيانات عاملاً مهمًا عند تقييم اتجاهات الاختراق. شمل ما مجموعه 82% من الانتهاكات بيانات مخزنة في السحابة: عامة أو خاصة أو عبر بيئات مختلفة متعددة، وفقًا لـ تقرير تكلفة خرق البيانات 2023 من آي بي إم الأمن.
كان للانتقال إلى السحابة فوائد واضحة، ولكن من الواضح أن الجهات الفاعلة في مجال التهديد تولي اهتمامًا وتستفيد من نقاط الضعف. سوريا بيسواس، المدير الفني لإدارة المخاطر والحوكمة في شركة الاستشارات الأمنية مجموعة إن سي سييشير إلى أن مقدمي الخدمات السحابية يعملون وفق نموذج المسؤولية المشتركة. ويوضح قائلاً: “يتحمل مقدمو الخدمات السحابية مسؤولية أمان السحابة، بينما يتحمل العملاء مسؤولية الأمن في السحابة”.
يمكن أن تؤدي التكوينات السحابية الخاطئة إلى حدوث خروقات كبيرة للبيانات. هذا العام، كشفت Microsoft AI عن طريق الخطأ 38 تيرابايت من المعلومات الحساسة بسبب خطأ في تكوين السحابة، وفقًا لموقع TechCrunch.
ينمو سطح الهجوم بشكل كبير بسبب الطبيعة المترابطة للأعمال والتكنولوجيا. تستخدم معظم المؤسسات مجموعة متنوعة من البائعين الخارجيين للعمل، وأي ثغرات أمنية وانتهاكات ناتجة عن هؤلاء البائعين يمكن أن يكون لها تأثير مضاعف. تعمل جميع المؤسسات تقريبًا (98%) مع بائع تم اختراقه خلال العامين الماضيين، وفقًا لتقرير شركة Apple.
غالبًا ما يكون الاستعانة بمصادر خارجية ضروريًا، ولكنه يعني أن المنظمات لا تملك السيطرة الكاملة على أمنها. حتى لو قامت إحدى المؤسسات بإجراء العناية الواجبة على البائع، فهل يعني ذلك أن البائع يحافظ على ممارساته الأمنية؟ يقول بيسواس: “بمجرد العمل مع أحد الموردين، ليس هناك ما يضمن استمرار اتباع هذه الممارسات الأمنية ما لم تكن لديك عملية مراقبة قوية للغاية”.
تعد البيانات الشخصية ذات قيمة بالنسبة للجهات الفاعلة في مجال التهديد، وتستمر في استهداف المؤسسات التي تحمي تلك المعلومات عبر هجمات برامج الفدية. في وقت سابق من هذا العام، وكانت هجمات برامج الفدية في انخفاضولكن يبدو أن ذلك كان هدوءاً مؤقتاً. يشير تقرير Apple إلى أن هجمات برامج الفدية ارتفعت بنسبة 70% في الأرباع الثلاثة الأولى من هذا العام مقارنة بالسنوات الثلاث الأولى من عام 2022.
أصبحت مجموعات برامج الفدية أكثر تنظيماً وتستهدف المنظمات التي تخزن معلومات حساسة سعياً لتحقيق مكاسب مالية.
“في الواقع، من المضلل أن نطلق عليهم مجموعات. “إنها شركات جريئة تتمتع بموارد جيدة، ولديها سلاسل توريد كاملة لأطراف ثالثة (مثل وسطاء الوصول الأولي ومقدمي التفاوض بشأن برامج الفدية)، وتنجح في تحقيق الأرباح،” هيذر جانت إيفانز، رئيس قسم تكنولوجيا المعلومات في شركة إصدار البطاقات وحلول الدفع. ماركيتا، يقول InformationWeek عبر البريد الإلكتروني. “ليس من المستغرب أن يتم تكرار نموذج الأعمال الناجح هذا.”
التأثير الفردي
مع كشف مليارات السجلات الشخصية، قد يكون من السهل أن ننسى أن خرق البيانات، وخاصة تلك التي تنطوي على معلومات حساسة، يمكن أن يسبب ضررًا فرديًا. يمكن أن يكون للمعلومات المخترقة عواقب تؤثر على الموارد المالية للشخص وخصوصيته وسلامته الشخصية.
في وقت سابق من هذا العام، قام المتسللون بسرقة البيانات وتسريبها من شركة الاختبارات الجينية 23andMe، زاعمين أنهم جمعوا قائمة بأسماء الأشخاص ذوي التراث اليهودي الأشكناز. تم الكشف عن المزيد من المعلومات، وتمكن المتسللون من الوصول إلى المعلومات الشخصية تقريبًا 5.5 مليون شخصبحسب موقع TechCrunch.
وأشار تقرير أبل أيضًا إلى حدوث اختراق لمدارس مينيابوليس العامة في مارس. كشف الاختراق عن أكثر من 300000 ملف حساس يتضمن معلومات خاصة بالطلاب حول الاعتداءات الجنسية والحياة المنزلية المسيئة والصحة العقلية.
قد يتمكن الأفراد من التحكم في المعلومات الشخصية التي يشاركونها في بعض الظروف، ولكنهم في كثير من الأحيان لا يفعلون ذلك. يحتاج الناس إلى الحصول على الرعاية الصحية، على سبيل المثال، ويجب عليهم مشاركة البيانات الحساسة التي من المحتمل أن يتم كشفها عن طريق الاختراق.
حماية البيانات
إن انتشار البيانات، والجهات الفاعلة التهديدية المحفزة التي تسعى إلى استغلال نقاط الضعف، ومساحة الهجوم المترامية الأطراف، تجعل حماية البيانات تحديًا. ولكن هناك طرقًا لتطوير المدافعين وتقليل عدد الانتهاكات.
على سبيل المثال، يمكن للمؤسسات تقييم سياسات الأمان السحابية الخاصة بها لمنع النشر والاستغلال اللاحق للتكوينات الخاطئة. بالإضافة إلى ذلك، يؤكد تقرير Apple على أهمية التشفير الشامل لتحسين أمان البيانات السحابية.
يقول جانت إيفانز: “بالإضافة إلى تشفير البيانات أثناء الراحة والحركة، هناك حلول ناشئة توفر تخزينًا لا مركزيًا للبيانات المجزأة والمشفرة التي لا قيمة لها للمهاجمين ولكن يتم إعادة تجميعها تلقائيًا عندما يطلبها المستخدمون المصرح لهم”.
يمكن أن تكون الحلول الناشئة مثل هذه أدوات قوية، ولكن حماية البيانات بشكل فعال تتطلب نهجًا شاملاً لا يشمل الحلول التقنية فحسب، بل يشمل أيضًا التدريب والاستجابة للحوادث والمشاركة بين جميع أصحاب المصلحة.
يقول إيلمان: “من أجل التنفيذ الناجح للآليات اللازمة… لحماية البيانات، يجب معالجة تثقيف صناع القرار ودعم مبادرات الامتثال على أعلى مستوى في المؤسسة من خلال عمليات تنفيذ واضحة في جميع أنحاء الشركة ككل”.
