امنیت بازار رقابت الکترونیک در گرو قانون حفاظت از دادههای شخصی
من و شما هم مانند خیلیهای دیگر این اجازه را به آن اپ میدهیم بدون اینکه بپرسیم چرا؟ شاید هم فقط میخواهیم از شر اعلانهای آزاردهندهای که دسترسی میخواهند، راحت شویم. اما این همه ماجرا نیست. حفره اصلی این جمعآوری اطلاعات، آن جایی است که شما دیگر مخاطب سرویسی که روزگاری به اطلاعات شما دسترسی پیدا کرده بود، نیستید و میخواهید دادههایی که پیشتر در اختیار آن قرار داده بودید، پس بگیرید. اما چون سازندگان و ارائهدهندگان خدمات آنلاین، برای این روزهای مبادا چارهای نیندیشیدهاند، احتمالا اطلاعات شما بار دیگر در دست شرکتی باقی میماند و روی امنیت و سرنوشت آن کنترلی ندارید. در یک سال اخیر اطلاعات شخصی کاربران ایرانی، بارها و بارها در فضای مجازی نشت کرده و کارشناسان علت آن را نبود اکوسیستم امنیت و راهکارهای حفظ اطلاعات کاربران دانستند. در واقع نبود قانونی که از حقوق و امنیت اطلاعات شما حمایت کند، برای همه نگرانکننده است.
در همین راستا رویا دهبسته، مدیر عامل شرکت تامین امنیت سایبری باگدشت درخصوص از ضرورت اجرایی شدن قانون مقررات عمومی حفاظت از دادهها(GDPR) که توسط اتحادیه اروپا پیشنهاد شده، میگوید: «شهروندان ایرانی نیازمند قوانینی شفاف در این خصوص هستند تا بتوانند با اعتماد بیشتری اطلاعات شخصی خود را به اشتراک بگذارند. همه شهروندان باید نسبت به حقوقی مثل میزان و حد اشتراکگذاری اطلاعات و کنترلهای امنیتی مربوطه، آگاه شوند. همچنین در همکاریهای تجاری بین چند کسب و کار نیز قوانینی که این اعتماد را در اشتراکگذاری اطلاعات ایجاد و تقویت کند، اولویت بسیاری دارد.» قوانین حفاظت از دادهها (GDPR)، به هفت حوزه اصلی شفافیت، محدودیت، جمعآوری حداقل اطلاعات، دقت، ذخیرهسازی، یکپارچهسازی و مسوولیتپذیری اشاره دارند. اجرایی شدن هر یک از این اصول میتواند ریسک نشت اطلاعات را تا حد قابلتوجهی کاهش دهد. هرچند این قوانین توسط اتحادیه اروپا تصویب شده است، اما هر شرکتی در هر نقطه از جهان که به نوعی اطلاعات اروپاییان را پردازش کند، ملزم به رعایت این قوانین است.
چاقوی دو لبه توسعه بازار با ریسکهای سنگین امنیتی
افزایش حملات امنیتی که به نشت اطلاعات در سالهای اخیر ختم شده، به تنهایی نشاندهنده ارزش اطلاعات افراد و کسب و کارها نزد مهاجمان است. با این حال جمعآوری و پردازش اطلاعات مشتریان برای ارائه خدمات و رقابت در بازار، هنوز به عنوان یکی از اصول رایج توسعه بازار شناخته میشود.
مدیر عامل باگدشت در این باره میگوید: ذخیرهسازی حجم زیادی از اطلاعات مشتریان، ریسکهای امنیتی فراوانی را برای کسب و کارها با خود به همراه دارد. صاحبان کسبوکار باید توجه داشته باشند که امکان به خطر افتادن حریم خصوصی افراد همیشه وجود دارد و میتواند به شهرت یک برند به راحتی ضربه بزند. همین حالا هم بسیاری از دادههای محرمانه سازمانها و حتی اشخاص، در فضای دارک وب -شبکهای محافظت شده برای مقاصد غیرقانونی- خرید و فروش میشود. وی تاکید می کند: در حال حاضر در خارج از ایران، اگر سازمانی قربانی حملات امنیتی شود، مجوزهای فعالیت آنها متوقف یا با عدم به روزرسانی روبهرو میشود که این موضوع در فضای رقابت، هزینه سنگینی را به آنها تحمیل میکند؛ در کشور ما هم مراکز نظارتی تا حدودی این موارد را اعمال میکنند که البته به دلیل نبود قوانینی شفاف و دقیق که بتواند اهمیت میزان نشت اطلاعات را مشخص کند. همچنین نبود دقت در مسائل فنی در کنار عدم مسوولیتپذیری بعضی شرکتها؛ قوانین نظارت موجود به طور کامل اجرایی نمیشود که همین امر لزوم شکلگیری قانونی شبیه gdpr را روشن میکند.
رعایت حقوق شهروندی، کلید طلایی رشد
در ادامه این مقام مسوول شرکت باگدشت از حق شهروندی کنترل بر اطلاعات هر ایرانی میگوید: شهروندان ایرانی، نیازمند قوانین شفاف در این حوزه هستند تا بتوانند با اعتماد بیشتری اطلاعات شخصی خود را به اشتراک بگذارند. همه باید به حقوق خود در میزان اشتراکگذاری اطلاعات و کنترلهای امنیتی مربوطه آگاه شویم. همچنین در همکاریهای تجاری بین چند کسبوکار نیز قوانینی که این اعتماد را در اشتراکگذاری اطلاعات ایجاد و تقویت کند، اولویت بسیاری دارد. ما در ایران به قوانین بومی شده با این اهداف نیاز داریم تا با رعایت حقوق شهروندان و کسبوکارها، بتوانیم به رشد و بهرهوری دست یابیم. در صورت عملیاتی شدن چنین قوانینی سازمانهایی که دارای سوابق رعایت اصول اساسی و سختگیرانه امنیتی از نوع GDPR هستند، میتوانند روابط بینالمللی خود را در سطح جهانی توسعه دهند.
جریمه ۲۰ میلیون یورویی برای خاطیان
این کارشناس حوزه تامین امنیت سایبری، مهمترین دلیل برای ایجاد قوانین عمومی و سختگیرانه حفاظت از محرمانگی دادههای اروپاییان را مشکلات ایجاد شده برای شهروندان و کسب و کارها به دلیل لو رفتن اطلاعات آنها در طول سالهای گذشته میداند و میافزاید: به دنبال همین مشکلات امنیتی، اتحادیه اروپا اهمیت حفظ امنیت اطلاعات افراد را همواره بیشتر از هر نوع کسبوکاری دانسته و سختگیرانهترین قوانین موجود در جهان را برای حفظ حریم خصوصی و امنیتی شهروندان تدوین کردند. ضمانت اجرایی چنین قانونی، جریمه ۲۰ میلیون یورویی(۴ درصد از گردش مالی سال قبل) شرکتهایی است که با هر نوعی از نشت اطلاعات مشتریان خود رو به رو میشوند و در صورت وقوع رخدادی امنیتی، بیشترین میزان از دو نوع جریمه اعمال خواهد شد. در همین راستا پس از اجراییشدن این قانون، بسیاری از اپلیکیشنها و وبسایتهای استارتآپی که به اصول حفاظت از دادهها کمتوجهی میکردند، از چرخه توسعه کسب و کار خارج شدند.
وی همچنین در خصوص فایده این قبیل قوانین چنین میگوید: کسب و کارها و کاربران باید اطمینان حاصل کنند که اطلاعات محرمانه و طبقهبندیشده آنها تحت محافظتهای امنیتی نگهداری و پردازش میشوند. کاربران که مشتریان اصلی کسبوکارها هستند باید به صورت دقیق از حقوق خود در اشتراکگذاری اطلاعات خصوصی و پردازش آنها توسط سازمانها مطلع باشند. اگر کسبوکارها این موارد را رعایت کنند میتوانند سهم بیشتری در بازار رقابتی کسب کنند و از سوی دیگر ریسک نشت اطلاعات و تاثیر آن بر ارزش کسب و کار بین مشتریان یا ورشکستگی را کاهش دهند. در همین حال این قوانین، کسبوکارهایی را که اولویت امنیت دادهها را در نظر نمیگیرند، از میدان به در میکنند و به تنهایی منجر به ایجاد بازاری جدید برای متخصصان امنیت و همچنین افزایش شانس برد کسب و کارهای ایمن در میدان رقابت میشوند. به طور مثال یکی از دستاوردهای اجرایی شدن این قوانین، به میدان آمدن استارتآپها و شرکتهای نوآور در زمینه امنیت اطلاعات، مشاوره و ارائه خدمات تخصصی در این زمینه است.
بازار امن، باب میل مشتریان
مدیرعامل این شرکت درباره تاثیر چنین قانونی بر بازار رقابت معتقد است: قوانین حفاظت از دادهها به شدت روی تقاضای بازار تاثیرگذار خواهد بود. هر چقدر آگاهی شهروندان نسبت به اهمیت اجرای اصول امنیتی در کسب و کارها افزایش پیدا کند، استقبال آنها از محصولات ایمن بیشتر خواهد شد. همچنین در همکاریهای بین چند کسبوکار در مدل بنگاه به بنگاه، شرکتهای بزرگتر تمایل به ایجاد همکاری با سازمانها و شرکتهایی خواهند داشت که پایبند به اصول و قوانین حفاظت از دادهها و ایمنسازی مستمر باشند. بنابراین یکی از متغیرهای مهم در کسب سهم بازار جدید، ایمنتر بودن محصولات و اطمینان مشتریان به حفاظت از اطلاعات آنها است. در واقع امنیت اطلاعات به واسطه قوانینی از این دست، بر روند عرضه و تقاضای مشتریان و ارائهدهندگان خدمات تاثیر خواهد داشت.
باگدشت، میدان رقابت را ایمن میکند
در ادامه وی از نقش شرکت باگدشت در تامین امنیت بازار چنین میگوید: شرکت باگدشت به عنوان شرکت ارزیابی امنیتی به روش مدرن باگ بانتی (کشف و اعلام آسیبپذیری سیستمها برای دریافت جایزه با هدف ایمنسازی سامانهها) و همچنین مشاوره و پیادهسازی سطوح مختلف امنسازی، به سازمانها در توسعه محصول امن از ابتدای چرخه حیات توسعه محصول و همچنین تسریع در فرآیند ایمنسازی مشکلات امنیتی کمک میکند. در حال حاضر استارتآپها و شرکتهای کوچک و متوسط، ایمنسازی سامانههای خود را به صورت مقرون به صرفه و برونسپاری شده با همکاری باگدشت پیادهسازی میکنند. همچنین سازمانهای بزرگ، در قالب باگ بانتی اختصاصی و مشاوره ایمنسازی از خدمات سطح حرفهای باگدشت استفاده میکنند. مجموعه باگدشت با تجربیات خود در پروژههای زیرساختی و مهم کشوری، امکان مشاوره و پیادهسازی عملکرد سازمان منطبق با قوانین به روز امنیتی مانند GDPR را مهیا کرده است. شرکت باگدشت تاکید دارد: قانون حفاظت از دادهها یکی از نیازمندیهای توسعه کسب و کار در هر سطحی است تا کاربران و کسب و کارها بتوانند با اعتماد بیشتری به فعالیت بپردازند و همچنین الگوی مناسبی از توسعه ایمن محصول در دسترس داشته باشند. در صورت اجرایی شدن چنین قوانینی، شرکت باگدشت امید دارد بتواند با تکیه بر تجربیات خود در این حوزه، خدماتی متناسب با سطح نیازمندی و بلوغ هر سازمان ارائه کند. از جمله خدماتی که این مجموعه در حال حاضر ارائه میکند میتوان به برگزاری کارگاههای آموزشی تخصصی متناسب با نیاز هر سازمان و همچنین ارزیابی امنیتی و ایمنسازی امنیتی سامانههای وب، موبایل و شبکه اشاره کرد.