دراسة خرق البيانات العامة الوطنية والمخاطر التي يتعرض لها سماسرة البيانات
بسبب خرق أمني حديث، يتم تحذير المستهلكين من أن أرقام الضمان الاجتماعي الخاصة بهم، إلى جانب أنواع أخرى من المعلومات الشخصية، قد يتم تداولها على شبكة الويب المظلمة. تعد شركة National Public Data (NPD)، وهي شركة تجمع البيانات المستخدمة لإجراء فحوصات الخلفية، واحدة من أحدث الشركات التي تعرضت لخرق كبير. يقدر عدد السجلات بحوالي 2.9 مليار تم اختراق شبكات 5G، وفقًا للجهة المسؤولة عن الحادث، مع تسريب البيانات عبر الإنترنت.
إن شركة NPD ليست سوى واحدة من العديد من شركات وساطة البيانات التي تخزن مليارات السجلات. فما هي الالتزامات التي تقع على عاتق هذه الشركات لحماية المعلومات الحساسة، وهل قد تؤدي مثل هذه الخروقات إلى مزيد من التدقيق؟
خرق الحزب الوطني الديمقراطي
أكدت NPD مؤخرًا في بيان موجز إفادة وترجع أسباب الاختراق إلى نشاط جهة تهديد في ديسمبر 2023. وتشير الشركة إلى “… تسريبات محتملة لبيانات معينة في أبريل 2024 وصيف 2024”. وبالإضافة إلى أرقام الضمان الاجتماعي، تتضمن البيانات المعنية أيضًا الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين البريد، وفقًا للبيان.
أ الجهة الفاعلة المهددة المعروفة باسم USDoD بدأت شركة قراصنة الإنترنت ببيع البيانات عبر الإنترنت في أبريل/نيسان، بينما يزعم أن أحد القراصنة الآخرين سرب البيانات عبر الإنترنت في يوليو/تموز، وفقًا لـ KrebsOnSecurity.
يتضمن بيان NPD التحذيرات القياسية للمستهلكين لمراقبة حساباتهم المالية وتقارير الائتمان.
لا يزال من غير الواضح كيف حدث اختراق NPD. إن الجهات الفاعلة في مجال التهديد تبحث دائمًا عن الفرص، وأي كيان هو ضحية محتملة.
“العنصر البشري هو عمومًا نقطة الضعف في الأمن”، دوغلاس ماكي، المدير التنفيذي لأبحاث التهديدات في شركة الأمن السيبراني سونيك وولويشير التقرير إلى أن العنصر البشري يلعب دورًا في 68% من الخروقات، وفقًا لـ تقرير Verizon حول تحقيقات خرق البيانات لعام 2024.
المخاطر التي يواجهها سماسرة البيانات
تقديرات كم عدد وسطاء البيانات الذين يعملون تختلف أعداد هذه البيانات حول العالم، ولكن من المرجح أن يكون عددها بالآلاف. يقول روبرت هيوز، مدير أمن المعلومات في شركة حلول الهوية: “هناك قدر هائل من المال يمكن جنيه الآن من جمع كل هذه البيانات”.آر إس إيه، كما يقول InformationWeek.
تجمع هذه الشركات كميات هائلة من البيانات عن الأفراد وتستثمر فيها، مما يجعل السماسرة أهدافًا جذابة للجهات الفاعلة التي تهدد أمن المعلومات. ويقول ماكي: “إن ملف المخاطرة الذي تقدمه هذه الشركات مرتفع للغاية لأنها تحتفظ بمعلومات ذات قيمة عالية”.
ومن الطبيعي أن ينتقل هذا الخطر إلى حياة الأفراد عندما يتم اختراق هذه البيانات. ومن العواقب المحتملة سرقة الهوية وعمليات التصيد الاحتيالي الأكثر إقناعًا عندما تقع أرقام الضمان الاجتماعي وغيرها من المعلومات الشخصية في أيدي جهات سيئة.
يواجه سماسرة البيانات مهمة شاقة عندما يتعلق الأمر بحماية كميات هائلة من البيانات القيمة والحساسة التي يحتفظون بها. لا تظل هذه البيانات ثابتة في مكان منيع لا يمكن اختراقه. بل إنها تنتقل مع استخدام الشركات لها، ومع تحركها تزداد مخاطر التعرض للخطر.
“يتم نقل البيانات إلى بيئات أقل، والتي عادة ما توفر وصولاً أكبر من قبل المزيد من المستخدمين والمزيد من الخدمات، حيث ربما لا يتم تصحيح الثغرات الأمنية بشكل استباقي كما قد تكون في … البيئات الأعلى،” برونو كورتيك، المؤسس المشارك والرئيس والمدير التنفيذي لشركة أمان البيانات بيدروك سيكيوريتي, يوضح.
تحتاج أية مؤسسة تقوم بتخزين بيانات حساسة، أو وسيط بيانات أو غير ذلك، إلى حوكمة البيانات لفهم كيفية حمايتها.
يقول كورتيك: “يبدأ الأمر بمعرفة مكان وجود بياناتك، ثم ينتقل إلى معرفة ما هي البيانات الحساسة، ثم ينتقل إلى ما يتم الوصول إليه، وكيف يتم الوصول إليه”.
وتزداد صعوبة الإجابة على هذه الأسئلة مع تزايد حجم البيانات المتاحة، وكثير منها غير منظم وممتد عبر بيئات مختلفة. ويزعم كورتيك أن الكيانات تحتاج إلى الاستفادة من تكنولوجيا أكثر تطوراً.
“نحن بحاجة إلى جلب [in] ويقول: “إن الذكاء الاصطناعي يحمينا من تسرب البيانات وتحديد حساسية البيانات”.
رغم أن الذكاء الاصطناعي قد يكون وسيلة لمكافحة تسرب البيانات، إلا أن الخروقات لا تزال تحدث. ويمكن لأي كيان أن يكون ضحية لاختراق، حتى مع أفضل خطط الأمن السيبراني. وعندما يحدث ذلك لسمسار بيانات، أو أي مؤسسة أخرى، فإن التواصل مهم.
ويقول ماكي: “هناك مسؤولية تتمثل في الشفافية تجاه المستخدمين النهائيين وتزويدهم بالمعلومات التي يحتاجون إليها حتى يتمكنوا من حماية أنفسهم في أقرب وقت ممكن”.
التدقيق التنظيمي
إن أي كيان يتولى حماية البيانات الشخصية لديه اعتبارات تنظيمية. فأوروبا لديها اللائحة العامة لحماية البيانات (GDPR)، ولكن الولايات المتحدة ليس لديها بعد قانون فيدرالي لخصوصية البيانات. وبدلاً من ذلك، هناك مجموعة من قوانين الولايات ذات القواعد ودرجات الصرامة المتفاوتة. فماذا يعني هذا بالنسبة لوسطاء البيانات العاملين في الولايات المتحدة؟
تميل الشركات العامة الكبيرة إلى جذب المزيد من الاهتمام من قبل الجهات التنظيمية. على سبيل المثال، فرضت لجنة التجارة الفيدرالية (FTC) غرامة قدرها 5 مليارات دولار على شركة Meta (الشركة الأم لفيسبوك) في عام 2019 بسبب انتهاكات خصوصية مستخدميها.
ولكن لا يلزم بالضرورة أن تكون شركات وساطة البيانات كبيرة أو عامة لكي تمتلك كميات هائلة من البيانات. وقد لا تمتلك الشركات الصغيرة نسبيا الموارد أو الدافع اللازم لتطبيق أفضل ممارسات الأمن السيبراني. وقد لا تحظى بنفس القدر من الاهتمام من جانب الهيئات التنظيمية.
“عندما تنظر إلى اللاعبين الأصغر حجمًا في السوق، [they] يقول هيوز: “قد تكون ضوابط الأمان الخاصة بالشركات الصغيرة ضعيفة، وقد تكون المخاطرة تستحق العناء بالنسبة لوسطاء البيانات الصغار”.
تأخذ بعض اللوائح الحكومية، مثل تلك الموجودة في كاليفورنيا، هذا في الاعتبار. ينطبق قانون خصوصية المستهلك في كاليفورنيا (CCPA) على أي شركة تشتري أو تبيع أو تشارك المعلومات الشخصية لأكثر من 100000 شخص الذين يعيشون في الولاية. كما أن الولاية يتطلب من وسطاء البيانات التسجيل مع وكالة حماية الخصوصية في كاليفورنيا.
هل يمكن أن تؤدي الخروقات الكبيرة، مثل تلك التي تعرضت لها شركة NPD، إلى مزيد من التدقيق التنظيمي؟
تحظى خصوصية البيانات بمزيد من الاهتمام. يتم النظر في قانون حقوق الخصوصية الأمريكي (APRA) على المستوى الفيدرالي، ويحدد التشريع سماسرة البيانات ككيانات مغطاة.
ويقول كورتيك: “إن التركيز على هذه الشركات على وجه التحديد ربما يكون خيارًا حكيمًا لأنها بحاجة إلى العمل بأقصى قدر من الإلحاح لحماية بياناتنا”.