الطرف الثالث لا يعرف سرية البيانات.. فماذا نعرف عنه
تصرح المواقع الإلكترونية والتطبيقات عن وجود الأطراف الثالثة أو الخارجية في سياسة الحماية والخصوصية، لكن لم توضح ما البيانات التي ستشاركها بالضبط!، يتطلع الطرف الثالث على بيانات المستخدمين السرية، فماذا يعرف عنَّا بالتحديد؟
تتمثل خطورة الأطراف الخارجية في زيادة فرص اختراق البيانات، نشر معهد بونيمون_ مؤسسة الأبحاث الأمنية الرائدة في مجال تكنولوجيا المعلومات_ تقريرًا في يناير عام 2020، أن الطرف الثالث تسبب في اختراق واحدًا على الأقل للبيانات لـ 53% من المؤسسات، بلغت إصلاحات الاختراق قرابة 7 ملايين ونصف دولار في المتوسط.
مَن هو الطرف الثالث؟
الأطراف الخارجية هي الشركاء التي دخلت في علاقات تجارية مع المؤسسات وبموجب ذلك يمكنها الوصول إلى بيانات الشركة أو العملاء أو الأنظمة وغيرها من البيانات السرية، تتضمن مقدم الخدمات أو الشركاء أو البائعين، سنتناول لاحقًا من خلال السرقات ما الذي وصلوا إليه.
وتتعرض المؤسسات لمخاطر رقمية مع تزايد انتشار المؤسسات الطرف الثالث جغرافيًا، قد يكون لدى المؤسسة الأم قواعد أمان حازمة إلا أن هذا لا يعني التزام مؤسسات الطرف الثالث أو الشركاء؛ الذي يعد تهديدًا محتملًا لمهاجمة الأنظمة الأكثر أمانًا.
لماذا تتعاون التطبيقات مع أطراف خارجية؟
رغم المخاطر التي يقدمها الطرف الثالث، إلا أن التعاون معهم يزيد من فرص الحصول على ميزات عدة؛ وأبرزها: زيادة السرعة والكفاءة والمرونة من خلال تقليل أوقات الإنتاج والتسليم خاصًة في سلاسل التوريد وعمليات البيع، فضلًا عن تعزيز فرص الابتكار وذلك في خدمات تكنولوجيا المعلومات واستضافة المواقع الإلكترونية والتطبيقات وخدمات الحوسبة السحابية.
لماذا نهتم بمخاطر الطرف الثالث؟
تعتمد الشركات الكبرى على تبني سياسة قوية لأمن المعلومات رغم استهدافها بنسبة 43%، إلا أن المشكلة في التفاعلات مع الأطراف الثالثة خاصًة عند تعرضها للاختراق، بالتالي المساهمة في سرقة البيانات ووصول المخترقين والتهديدات الأمنية السيبرانية أو القانونية أو المالية أو المتعلقة بسمعة الموقع الإلكتروني؛ في بداية العام الجاري وتحديدًا في يناير 2024 تعرضت شركة "مايكروسوفت" إلى هجوم على أنظمة البريد الإلكتروني وفي مارس تم تحديد المتسللون وكانوا يحملون اسم "ميدنايت بليزارد" أو "NOBELIUM"، هو تابع للحكومة الروسية، تمكن المهاجمون من تنزيل نحو 60 ألف رسالة بريد إلكتروني من وزارة الخارجية الأمريكية فقط.
رغم أن هذا الاختراق سياسيًا إلا أنه قد يشمل مستخدمي "ميكروسوفت"، لأنها جزءًا من النظام البيئي للتكنولوجيا لمعظم المؤسسات والأفراد حول العالم؛ ما يعني أن قد يكون هناك طرف ثالث في نظامك، لذا يجب متابعة أي تحديثات للشركة بعد هذا الاختراق، حتى لو لم يكن اختراقًا مباشرًا لحساباتك.
فأشهر الشركات المصنعة للسيارات تعرضت لتهديدات أمنية رقمية، تضرر أكثر من 3 ملايين من عملاء شركة "فولكس فاجن" من اختراق بيانات الشركة، ترك المهاجمون بيانات العملاء على الإنترنت مكشوفة في الفترة من أغسطس 2019 إلى مايو 2021، إلا أن الشركة رغم تنبيهها بوجود طرف ثالث اخترق البيانات لم تعلن هذا إلا في يونيو عام 2021.
وتضمنت البيانات المخترقة، المعلومات التالية:
-اسم العميل الأول والأخير.
-عناوين البريد الإلكتروني.
-أرقام الهواتف.
-العناوين الشخصية.
-عناوين أماكن العمل.
-السيارات المُشتراة.
-السيارات المؤجرة.
-بيانات أكثر تفصيلية عن السيارات؛ مثل: أرقام الهوية والعلامة التجارية والموديل وسنة الإنتاج والألوان.
ووجدت دراسة أجرتها "سكيورتي سكور كارد"_المعنية بالكشف عن تهديدات الطرف الثالث_ ما لا يقل عن 29% من جميع خروق البيانات ناتجة عن هجوم من جهة خارجية.
مخاطر الطرف الثالث
يعتبر الطرف الثالث الحلقة الأضعف، لذا قد يُعرض إحدى المواقع الإلكترونية أو التطبيقات لاختراق، مما يؤدي إلى التهديد بإحدى المخاطر الآتية:
- الهجوم الإلكتروني
يعتبر الهجوم الإلكتروني أحد المخاطر السيبرانية التي تتعرض لها المؤسسات إلى جانب خرق البيانات وغيرها من المخاطر الأخرى، غالبًا ما تتعامل المواقع الإلكترونية التجارية مع تلك المخاطر من خلال وقف التعامل مع بائعين جدد ومراقبة البائعين القدامى.
- تسريب البيانات
تزيد مخاطر تسرب البيانات في عدم الحفاظ على سرية المعلومات الحساسة للمستخدمين، لا يحدث بالضرورة نتيجة لهجومٍ إلكتروني، لكن قد تزيد من المشكلات التقنية التي يواجهها الموقع؛ مثل خطأ في الأذونات، إلا أن نتائجها تطول قاعدة بيانات العملاء مثل سجل الدخول وسجل الطلبات والمعلومات المالية.
- خرق البيانات
يختلف تسريب البيانات عن خرق البيانات، عادًة ما يتسبب خرق البيانات في إلحاق الضرر على مستويات متعددة؛ مثل: النقل غير المصرح به أو النسخ غير المقصود لقاعدة البيانات من التطبيق أو التعرض إلى الهندسة الاجتماعية مثل إرسال بريدًا إلكترونيًا ضارًا.
- حماية البيانات
لائحة الاتحاد الأوروبي لحماية البيانات " GDPR "، تنص على الامتثال للوائح والاتفاقيات المحلية وعادًة ما تتبعها الشركات مع الأطراف الخارجية، إلا أن في حال التعرض إلى إحدى التهديدات السابقة فإن فقدان البيانات أو الإضرار بجودتها أو إساءة استخدامها يمكنه أن يعيق فرص الحماية.
- صعوبة التتبع
بسبب انتشار الطرف الثالث فقد تواجه الشركات صعوبة في تتبع المخترقين، ومعرفة التوقيت ومكان الاختراق ومن ثم الوصول إلى البيانات.
- تشويه السمعة
عادًة ما يؤدي خرق البيانات أو تسريب البيانات من الأطراف الخارجية، إلى تشويه سمعة الموقع الإلكتروني أو التطبيق، يجعل المستخدمين غير راضيين عن ضوابط الموقع الأمنية.
كيف نوقف تهديدات الأطراف الخارجية؟
ربما القواعد الأمنية التالية غير معني بها المستخدمين أكثر من ملاك المواقع لإدارة مخاطر الطرف الثالث:
1- تقييم المخاطر
يجب وضع سياسة لتقييم مدى تهديد الطرف الثالث للأمن السيبراني، إحدى خطوات هذه العملية هي مشاركة البيانات مع بائعين من أماكن جغرافية تفرض قوانين متعلقة بحماية الخصوصية والبيانات، وتأثير أماكن البائعين في الامتثال إلى تلك اللوائح.
2- الوصول إلى البيانات
تحديد الأشخاص الذين يصلون إلى البيانات ومن أي أجهزة، فيجب ألا تكون جميع المعلومات متاحة لكل الأفراد أو مشاركة قاعدة البيانات مع عملاء دون تقييم المخاطر الأمنية أكثر من مرة خلال التعاقد.
عملية تقييم المخاطر مستمرة لبناء نظام أمن سيبراني قوي يحمي البيانات من التهديدات، برأيك هل تتبع الشركات في مصر حماية قوية ضد الأطراف الخارجية؟