امنیت داده‌ها چیست و چگونه باید از داده‌ها محافظت کرد؟

چرا امنیت داده‌ها مهم است؟

داده‌ها، شریان حیاتی هر سازمانی هستند، زیرا تصمیم‌گیری‌ها را هدفمند می‌کنند، راه‌حل‌هایی برای مشکلات ارائه می‌دهند و عملکرد فعالیت‌های تجاری را بهبود می‌بخشند، به‌طوری‌که خدمات بهتری در اختیار مشتریان قرار بگیرد و کمپین‌های بازاریابی اثرگذاری بالایی داشته باشند. این رویکرد افزایش سوددهی را به‌همراه خواهد داشت. از سویی دیگر، داده‌ها به کارشناسان امنیتی اجازه می‌دهند مخاطرات را به‌سرعت شناسایی کرده و اقدامات لازم برای مقابله با تهدیدات اتخاذ کنند. به همین دلیل است که داده‌ها ارزشمندترین دارایی یک سازمان شناخته می‌شوند و ضروری است به بهترین شکل از آن‌ها محافظت کرد. 

درست همانند دستور‌العمل مخفی کوکاکولا که در گاوصندقی دور از دسترس همگان قرار دارد، محافظت از اطلاعات خاص نیز به همین اندازه اهمیت دارد. با این‌حال، محافظت از داده‌ها همیشه به‌سادگی قرار دادن آن‌ها در گاوصندوقی مهروموم‌شده نیست، به‌ویژه هنگامی که صحبت از یک محیط دیجیتال به‌میان آید. به‌طور معمول، کارمندان، ذی‌نفعان و شرکا برای انجام فعالیت‌های خود مجبور هستند به داده‌ها دسترسی داشته باشند. به ‌همین دلیل، هرچه افراد بیشتری به اطلاعات دسترسی داشته باشند، شانس افشای اطلاعات به‌دلیل اشتباهات انسانی بیشتر می‌شود. 

نقض داده‌ها، زمانی اتفاق می‌افتد که افراد بتوانند به‌شکل غیرمجاز به داده‌ها دسترسی پیدا کنند، چالشی که تقریبا همه سازمان‌های کوچک و بزرگ در تمام صنایع با آن روبه‌رو هستند. در سال 2021 میلادی، نزدیک به 63 درصد شرکت‌کنندگان در نظرسنجی KPMG اعلام کردند که نقض داده‌ای را تجربه کرده‌اند. همچنین، پیش‌بینی می‌شود در سال‌های آتی شرکت‌های بیشتری با این مشکل روبه‌رو شوند. نقض داده‌ها به دلایل مختلفی اتفاق می‌افتد که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد: 

• وجود باگ در نرم‌افزارهایی که با پایگاه‌های داده در ارتباط هستند
• حمله‌های فیشینگ
• حمله‌های انکار سرویس توزیع‌شده
• دسترسی‌های فیزیکی به تجهیزات
• عدم وجود کنترل‌های دسترسی
• درهای پشتی روی سامانه‌ها

بد نیست بدانید که بزرگ‌ترین و شناخته‌‌شده‌ترین شرکت‌ها نیز با حمله‌های سایبری و نفوذ به زیرساخت‌ها که منجر به افشای اطلاعات آن‌ها شده، روبه‌رو شده‌اند. در بیشتر موارد، نقض داده‌ها تبعات سنگین زیادی برای شرکت‌ها به‌همراه دارد و باعث کاهش فعالیت‌های تجاری یک شرکت می‌شود، زیرا در مدت زمان حسابرسی و انجام ارزیابی‌های امنیتی، شرکت‌ها مجبور هستند دامنه فعالیت‌های تجاری خود را محدود کنند. علاوه بر این، در برخی کشورها، نقض‌های داده‌ای جریمه‌های سنگین زیادی را برای شرکت‌ها به‌همراه دارند. در موارد بحرانی‌تر، شرکت‌ها ممکن است ورشکست شده و از گردونه تجارت کنار بروند. 

امنیت داده‌ها یکی از مولفه‌های مهم در انطباق داده‌ها است که خط‌مشی‌ها و رویه‌هایی را برای محافظت از داده‌ها تعریف می‌کند. فرآیند انطباق داده‌ها، شامل انتخاب استانداردهای قابل اجرا، تعریف سنجه‌ها و کنترل‌هایی برای دستیابی به مخازنی است که داده‌ها روی آن‌ها ذخیره‌سازی شده‌اند. به‌طور کلی، سازمان‌های بزرگی که اطلاعات حساس مربوط به مشتریان را نگه‌داری می‌کنند، مجبور هستند قوانین، خط‌مشی‌ها و مقررات کشوری یا بین‌المللی و صنعتی را رعایت کنند تا اجازه فعالیت در یک کشور یا کشورهای مختلف را داشته باشند. استانداردهای انطباق با مقررات مستلزم استفاده از کنترل‌ها و فناوری‌های خاصی است که با هدف پاسخ‌گویی به معیارهای تعریف‌شده برای محافظت از داده‌ها مورد استفاده قرار می‌گیرند. از استانداردها و قوانین انطباقی که یک کارشناس امنیت سایبری باید در مورد آن‌ها اطلاع داشته باشد باید به PCI DSS، HIPAA، Federal Information Security Modernization Act،   Sarbanes-Oxley Act، GDPR و CCPA اشاره کرد. 

به‌عنوان مثال، HIPAA مقرراتی را برای حفاظت از اطلاعات پزشکی تشریح می‌کند و استانداردهای امنیتی برای محافظت از داده‌های بیماران در اختیار سازمان‌های بهداشت و درمان قرار می‌دهد. در برخی کشورها مثل ایالات متحده، عدم رعایت چنین قوانینی، جریمه‌ها و مجازات‌های سنگینی را به‌همراه دارد. PCI DSS نیز یک استاندارد جهانی است که با هدف حفاظت از داده‌های مربوط به کارت‌های بانکی و اعتباری توسعه پیدا کرده است. این دستورالعمل خط‌مشی‌هایی برای شرکت‌ها و سازمان‌های فعال در امور مالی تعریف می‌کند تا بر مبنای آن‌ها به‌شیوه ایمن شبکه‌های مربوطه به پرداخت‌ها و تراکنش‌ها را پیاده‌سازی کنند و به‌شکل صحیح اطلاعات صاحبلان کارت‌ها را حفظ کرده و از کانال‌های ارتباطی ایمن و رمزگذاری‌شده برای ارسال و دریافت داده‌های مالی استفاده کنند. 

تقریبا بیشتر مقررات و استانداردها، مشمول ممیزی هستند که طی آن سازمان‌ها باید ثابت کنند که به خط‌مشی‌های تعیین‌شده یک استاندارد پایبند هستند. فراتر از پیشگیری از بروز نقض و رعایت مقررات، امنیت داده‌ها باعث حفظ اعتماد مشتری به برند و ایجاد تعاملات پایدار می‌شود که نقش مهمی در حفظ مزیت رقابتی نسبت به رقبا دارد. 

امنیت داده‌ها به چه دسته تقسیم می‌شود؟

قبل از این‌که سازمانی بتواند به محافظت از داده‌ها بپردازد، باید بداند چه داده‌هایی در اختیار دارد. ایده‌آل‌ترین روش برای تشخیص نوع داده‌ها طبقه‌بندی آن‌ها است. برای این منظور باید بدانید داده‌ها در چه مکان‌هایی قرار دارند و برای چه مقاصدی استفاده می‌شوند. در مکانیزم طبقه‌بندی داده‌ها، کارشناسان امنیتی اقدام به برچسب‌گذاری داده‌ها می‌کنند تا فرآیند مدیریت، ذخیره‌سازی و ایمن‌سازی آن‌ها به‌شکل ساده‌تری انجام شود. به‌طور کلی، داده‌ها به چهار گروه اصلی زیر تقسیم می‌شوند: 

• طلاعات عمومی (Public Information)
• اطلاعات محرمانه (Confidential Information)
• اطلاعات حساس (Sensitive Information)
• اطلاعات شخصی (Personal Information)

این طبقه‌بندی بسته به نوع سازمان و بزرگی و کوچکی آن می‌تواند با تغییراتی همراه باشد. به‌طور مثال، برخی کسب‌وکارها در فرآیند  برچسب‌‌گذاری داده‌ها تنها از دو حالت برای طبقه‌بندی اطلاعات استفاده می‌کنند که «تنها استفاده تجاری» (Business Use Only) و «پنهان» (Secret) نام دارد. داده‌های حساس اغلب به‌عنوان «محرمانه» یا «سری» طبقه‌بندی می‌شوند. این داده‌ها به‌شرح زیر هستند:

• اطلاعاتی که اشاره به هویت افراد دارند
• اطلاعات سوابق پزشکی افراد 
• اطلاعات آماری و مربوط به پرونده‌های مالیاتی
• اطلاعات مربوط به مالکیت معنوی

فرآیند فهرست‌بندی و طبقه‌بندی داده‌ها پیچیده و سخت است، زیرا داده‌ها ممکن است در مکان‌های مختلفی مثل کامپیوترهای کاربران، سرورها، استوریج‌ها، فضای ابری، پایگاه‌های داده توزیع‌شده یا دستگاه‌های سیار مثل لپ‌تاپ‌ها ذخیره شده باشند. علاوه بر این، داده‌ها می‌توانند سه حالت زیر را داشته باشند. 

• در وضعیت انتقال: داده‌ها از طریق کانال‌های ارتباطی در حال انتقال هستند.
• در وضعیت سکون: داده‌ها در پایگاه‌های داده روی استوریج‌ها یا سرورها قرار دارند. 
• در وضعیت استفاده: داده‌ها در حال استفاده هستند. این فرآیند تنها اشاره به نوشتن، به‌روزرسانی، تغییر و پردازش دارد، اما انتقال یا ذخیره‌سازی را شامل نمی‌شود. 

اندرو فروهلیچ (Andrew Froehlich)، کارشناس امنیت شبکه و مدیر شرکت West Gate Networks در این باره می‌گوید: «در مواجهه با تهدیدات سایبری در حال افزایش و تکامل، متخصصان فناوری اطلاعات باید یک استراتژی مبتنی بر بهترین شیوه‌ها برای ایمن‌سازی داده‌های در وضعیت سکون، در حال استفاده و در حال انتقال را تدوین کنند. سازمان‌ها به‌دلیل این‌که دائما با چالش سرقت اطلاعات روبه‌رو هستند، مجبور به محافظت از داده‌ها هستند، زیرا داده‌های به‌سرقت‌رفته را می‌توان برای جعل هویت، حمله‌های فیشینگ و غیره مورد استفاده قرار دارد. سازمان‌های کوچک و متوسط اهداف جذابی برای سرقت اطلاعات هستند، زیرا اغلب سیاست‌ها و ابزارهای پیچیده‌ای برای محافظت از داده‌ها در اختیار ندارند. با این حال، این حرف بدان معنا نیست که شرکت‌های بزرگ‌تر مصون هستند؛ آن‌ها نیز باید بودجه مناسبی برای خریداری ابزارهای امنیتی و آموزش کارکنان تخصیص دهند. علاوه بر این، در حالی که سازمان‌ها زمان زیادی را صرف شناسایی و دفع تهدیدات خارجی می‌کنند، نباید از تهدیدات داخلی غافل شوند. گزارش تحقیقات نقض داده‌های 2022 موسسه ورایزون نشان می‌دهد که تقریبا از هر پنج نقض داده، یکی به‌دلیل سرقت یا سهل‌انگاری کارمندان اتفاق افتاده است. هنگامی که شرکتی خود را موظف به محافظت از داده‌ها بداند، در مرحله بعد باید به‌فکر توسعه استراتژی‌هایی برای نظارت و ایمن‌سازی داده‌ها باشد».

از آن‌جایی که داده‌ها شکل واحدی ندارند برای محافظت از داده‌هایی که در وضعیت سکون، در حال استفاده و پردازش قرار دارند باید از خط‌مشی‌های مختلفی استفاده کرد. کارشناسان امنیتی یک استراتژی دفاع در عمق که ترکیبی از ابزارها، تکنیک‌ها و خط‌مشی‌ها برای محافظت از داده‌ها پیشنهاد می‌کنند. فن‌آوری‌های مهمی که برای محافظت از داده‌ها در دسترس کارشناسان امنیتی قرار دارند به‌شرح زیر هستند: 

• رمزگذاری (Encryption)
• داده‌پوشانی (Data Masking)
• کنترل دسترسی (Access Control)
• پیشگیری از بروز مشکل از دست دادن اطلاعات (Data Loss Prevention)
• پشتیبان‌گیری از داده‌ها و خودترمیمی (Data Backup and Resiliency)

رمزگذاری

رمزگذاری، فرآیند تبدیل متن ساده قابل خواندن به متن ناخوانا با استفاده از الگوریتم‌های رمزگذاری است. اگر داده‌های رمزگذاری‌‌شده رهگیری شوند، ارزشی ندارند، زیرا فردی که کلید رمزگذاری مرتبط را ندارد، نمی‌تواند آن‌ها را بخواند یا رمزگشایی کند. رمزگذاری به دو گروه اصلی متقارن و نامتقارن تقسیم می‌شود:

رمزگذاری متقارن از یک کلید مخفی واحد برای رمزگذاری و رمزگشایی استفاده می‌کند. استاندارد رمزگذاری پیشرفته (Advanced Encryption Standard) کارآمدترین الگوریتم مورد استفاده در رمزنگاری کلید متقارن است. 

رمزگذاری نامتقارن از دو کلید وابسته به هم استفاده می‌کند. یک کلید عمومی برای رمزگذاری داده‌ها و یک کلید خصوصی برای رمزگشایی داده‌ها استفاده می‌شود. از الگوریتم‌های قدرتمند در این زمینه باید به مکانیزم تبادل کلید Diffie-Hellman و Rivest-Shamir-Adleman اشاره کرد. 

داده‌پوشانی

داده‌پوشانی شامل پنهان‌سازی داده‌ها است، به‌طوری که امکان خواندن آن‌ها وجود ندارد. در این حالت، یک لایه پوششی از داده‌های به‌ظاهر معتبر روی داده‌های اصلی قرار می‌گیرد، اما فاقد هرگونه اطلاعات حساسی است. از تکنیک‌های رایج داده‌پوشانی باید به Scrambling، Substitution، Shuffling، Data Aging، Variance، Masking Out و Nullifying اشاره کرد. پنهان کردن داده‌ها زمانی مفید است که داده‌های خاصی برای تست نرم‌افزار، آموزش کاربر و تجزیه‌وتحلیل داده‌ها مورد نیاز است، اما نباید از داده‌های حساس استفاده کرد. در شرایطی که هر دو فناوری رمزگذاری و داده‌پوشانی عملکرد تقریبا یکسانی دارند، اما هر دو داده‌هایی را ایجاد می‌کنند که در صورت رهگیری غیرقابل خواندن هستند و متفاوت از داده‌های اصلی هستند. 

کنترل دسترسی

یکی از بهترین راه‌ها برای ایمن‌سازی داده‌ها، کنترل افرادی است که به آن‌ها دسترسی دارند. اگر فقط افراد مجاز بتوانند داده‌ها را مشاهده، ویرایش و حذف کنند، به میزان قابل توجهی امنیت اطلاعات افزایش پیدا می‌کند. کنترل دسترسی شامل دو فرآیند اصلی زیر است:

• احراز هویت: فرآیندی است برای اطمینان از این‌که کاربران همان افرادی هستند که ادعا می‌کنند.
• مجوز فرآیند: راهکاری است که اجازه می‌دهد فرد احرازهویت‌شده، تنها به داده‌ها و منابع موردنیاز دسترسی پیدا کنند.

احراز هویت و تخصیص مجوز مولفه‌های اصلی یک استراتژی مدیریت هویت و دسترسی سازمانی (IAM) سرنام Identity and Access Management هستند. سایر فرآیندها و تکنیک‌های اساسی IAM، احراز هویت چند عاملی (MFA)، اصل دسترسی با تخصیص کمترین امتیاز، کنترل دسترسی مبتنی بر نقش و مدیریت دسترسی ممتاز هستند. راهکار دیگری که مورد توجه کارشناسان امنیتی قرار دارد، استراتژی کنترل دسترسی با اعتماد صفر است. این چارچوب کنترل و نظارت سخت‌گیرانه‌ای برای دسترسی به منابع ارائه می‌کند. 

پیشگیری از بروز مشکل از دست دادن اطلاعات

یک راهکار موثر در مورد استراتژی محافظت از داده‌ها، DLP سرنام Data Loss Prevention است. این مکانیزم، داده‌ها را برای شناسایی ناهنجاری‌ها و نقض خط‌مشی‌های نظارتی تجزیه‌و‌تحلیل می‌کند. راه‌حل‌های مبتنی بر DLP، مبتنی بر مکانیزم کشف داده‌ها و دارایی‌ها، طبقه‌بندی داده‌ها و تجزیه‌وتحلیل داده‌های در حال انتقال، در حال سکون و در حال استفاده هستند. 

مکانیزم فوق، مشکلات را شناسایی کرده و گزارشی در اختیار کارشناسان امنیتی قرار می‌دهد. ابزارهای DLP قابلیت ادغام با فناوری‌هایی مثل سیستم‌های SIEM را دارند تا فرآیند هشداردهی و پاسخ‌دهی به‌شکل خودکار انجام شود. 

پشتیبان‌گیری از داده‌ها 

پشتیبان‌گیری از داده‌ها شامل کپی گرفتن از فایل‌ها و پایگاه‌های داده در یک مکان ثانویه است. در چنین شرایطی، اگر داده‌های اصلی از کار بیفتند، خراب شوند یا به‌سرقت بروند، یک نسخه پشتیبان از اطلاعات وجود دارد که تضمین می‌کند امکان بازگرداندن اطلاعات به شرایط عادی وجود دارد. پشتیبان‌گیری از داده‌ها به‌ویژه در مورد برنامه‌های بازیابی پس از فاجعه، ضروری است. 

ویژگی خودترمیمی یکی دیگر از استراتژی‌هایی است که مورد توجه قرار دارد. توانایی یک سازمان برای انطباق و بازیابی پس از حادثه سایبری، به ویژگی خودترمیمی و انعطاف‌پذیری سازمان بستگی دارد. 

امنیت داده‌ها، حریم خصوصی داده‌ها و محافظت از داده‌ها

• امنیت داده‌ها، حریم خصوصی داده‌ها و محافظت از داده‌ها مفاهیمی در ظاهر شبیه به هم هستند، اما از نظر فنی تفاوت‌هایی دارند. 
• امنیت داده‌ها دامنه گسترده‌ای دارد و هدف آن محافظت از اطلاعات دیجیتال در برابر دسترسی‌های غیرمجاز، از دست دادن عمدی اطلاعات و پیشگیری از بروز مشکل خراب شدن داده‌ها است. 
• حریم خصوصی داده‌ها در درجه اول بر محرمانگی و اصول سه‌گانه امنیت که پیش‌تر اشاره کردیم، متمرکز است. 
• حفاظت از داده‌ها روی یکپارچگی و دسترس‌پذیری اطلاعات متمرکز است. 

به‌طور مثال، تصور کنید عوامل تهدید یک فایل محرمانه به‌دست می‌آورند، اما رمزگذاری مانع خواندن داده‌ها می‌شود. اطلاعات به خودی خود غیرقابل دسترس باقی می‌مانند و حریم خصوصی داده‌ها دست نخورده باقی می‌ماند. با این حال، مهاجمان همچنان می‌توانند فایل ناخوانا را خراب یا از بین ببرند که یک نقص امنیتی به‌شمار می‌رود. 

• حریم خصوصی داده‌ها هدفش حفظ هویت افراد است و این اطمینان خاطر را می‌دهد که از روش‌های منحصر‌به‌فردی برای جمع‌آوری، ذخیره و استفاده از داده‌های حساس که مطابق با مقررات قانونی است، استفاده شده است. خط‌مشی‌ها و اقداماتی که برای حفظ حریم خصوصی انجام می‌شود از دسترسی اشخاص غیرمجاز به داده‌ها، صرف‌نظر از انگیزه آن‌ها پیشگیری می‌کند.
• حفاظت از داده‌ها تضمین می‌کند که اگر اطلاعات دیجیتال مفقود شوند، خراب شوند یا دزدیده شوند، اختلالی در عملکردهای تجاری به‌وجود نمی‌آید، زیرا همواره نسخه پشتیبانی برای بازیابی از اطلاعات در دسترس قرار دارد. حفاظت از داده‌ها بخش مهمی از استراتژی امنیت داده‌ها است که در صورت موفقیت‌آمیز نبودن دیگر مکانیزم‌های امنیتی، به‌عنوان آخرین راه‌حل قادر به محافظت از داده‌ها است.