دبي – خاص
كشفت سيكيوروركس Secureworks، الشركة المتخصصة في توفير الحماية للشركات في العالم الرقمي المتصل بالإنترنت، عن الخطوات التي يمكن للشركات اتباعها لتطبيق تقنيات التشفير والترميز المتفدّم (توكنيزيشن) لحماية البيانات بكلفة محدودة وإجراءات بسيطة.
وتعمل تقنية الترميز المتقدّم (توكنيزيشن) على إخفاء البيانات الحساسة وحمايتها من عمليات الوصول غير المصرح بها من خلال جعل هذه البيانات لايمكن إعادتها إلى حالتها ماقبل الترميز باستخدام الخوارزميات الرياضية. ويتم استخدام هذه التقنية في العديد من أجهزة معالجة بطاقات الائتمان بهدف حماية التعاملات التي تتم عن طريق هذه البطاقات من خلال استخدام ميزة تجزئة التشفير على سبيل المثال، لإنشاء رمز عشوائي من رقم بطاقة الائتمان بالإضافة إلى اسم المتجر وتفاصيل المعاملة وتاريخها. وتوفر هذه الرموز أيضاً مستويات عالية من السلامة من خلال ضمان عدم قيام الأشخاص غير المصرح بهم بتغيير المحتوى. كما يمكن استخدام تقنية الترميز للحد من المخاطر المرتبطة بتخزين أو معالجة البيانات السرية بشكل كبير.
وقد تكون بعض الشركات قلقة من صعوبة أو تكلفة تطبيق تقنيات التشفير أو الترميز. لكن تطبيق هذه التقنيات يمكن أن يكون بسيطاً وحتى سلساً في كثير من الحالات لكن إذا قامت شركة تزويد هذه التقنيات بتصميم حلول التشفير أو الترميز بحسب احتياجات الشركة التي ترغب بتطبيق هذه الحلول، وذلك للتقليل من تأثير مثل هذه الحلول على بيئة العمل القائمة لدى هذه الشركة.
الخطوة 1: اكتشاف البيانات القديمة وتحويلها
تحتاج أي شركة في البداية إلى الوصول إلى المخزون الذي يحتوي على البيانات السرية داخل شبكتها أو تلك التي تمر من خلالها. فعلى سبيل المثال، يمكن لأجهزة معالجة عمليات الدفع أن لا تقوم بتخزين البيانات لكن يمكن لهذه البيانات أن تتعرض للاختراق أثناء عملية المعالجة، يمكن هنا لشركات تزويد تقنيات الترميز أو الأدوات المؤتمتة مثل تطبيق الحماية ضد فقدان البيانات DLP، المساعدة في مواجهة ذلك. وكثيراً ما يتم فقدان البيانات في المواقع التي لا يتم عادة تخزين هذه البيانات فيها. فالكثير من الشركات الكبيرة تستخدم البيانات الأصلية لما بعد العمليات في تطبيقات المكاتب الخلفية لديها مثل تطبيقات تحليل البيانات والتسويق وبرامج ولاء العملاء. كما يمكن أن تنتشر البيانات القديمة المخزنة وتصل إلى الجداول أو رسائل البريد الإلكتروني ومستندات أخرى على أجهزة الكمبيوتر في كافة أنحاء الشبكة، وكافة هذه المواقع تخضع إلى عمليات التدقيق التنظيمية حتى إذا كانت البيانات فيها مشفرة بشكل كبير.
الخطوة 2: تعديل مواصفات الرسالة
تحتاج الشركة عند إضافة الترميز إلى تزويد الجهات المستقبلة بتعليمات واضحة بشأن البيانات التي يتم إرسالها إلى مرحلة الترميز والشكل التي ستكون عليه ومايجب أن يتم إعادته إلى مالك البيانات. وتقوم الشركات التي تمتلك طرقاً جاهزة لمعالجة البيانات بالفعل باستخدام مواصفات الرسالة لإعلام المستلم بالبيانات الواردة (على سبيل المثال: يمكنك الحصول هنا على رقم تعريف شخصي ورقم بطاقة واضح. قم بإرسال هذا الرقم مرة أخرى إلى جانب رمز التفويض). لكن يجب تعديل هذه الرسالة لتتضمن تعليمات الترميز المعرفة من قبل المعالج لتكون (قم بإرسال رقم الرمز المميز إلى جانب رمز التفويض). وإذا ما اختارت الشركة تضمين التشفير في البيانات المرسلة، فيجب أن تشير مواصفات الرسالة إلى أن البيانات المشفرة ستحل الآن محل ماكان سابقاً نص بيانات واضح فقط.
الخطوة 3: تضمين التشفير للحصول على حماية إضافية
إن تشفير البيانات السرية قبل إرسالها إلى معالج آخر هي عملية اختيارية لكن ينصح بها بشدة عن تنفيذ حلول الترميز. حيث يقدم مزودو خدمات الترميز عادة خدمة تشفير إضافية لمزيد من الحماية والأمان. وقد لا تحتاج الشركات التي تستخدم إطار حماية خاص بها مثل أن تقوم بنقل البيانات إلى كيان آخر، إلى مستوى تشفير إضافي. علاوة على ذلك، قد تكون لدى بعض الشركات حلول تشفير خاصة بها ولن تحتاج إلى هذه الخدمة من شركات تزويد تقنيات الترميز.
الخطوة 4: ضبط العمليات إذا لزم الأمر
ينبغي على الشركات في هذه المرحلة من مراحل الترميز أن تستعرض قواعدها وعملياتها الداخلية الخاصة بالبيانات وتقييم أثر البيانات المشفرة أو المرّمزة. ويتطلب تنفيذ عمليات الترميز السلسة مناقشة مشتركة بين الشركة ومزود خدمات الترميز حول النظم التي تلمس البيانات الحساسة بالإضافة إلى فهم متطلبات عمل هذه النظم. وتعتبر هذه الخطوة هامة بشكل خاص بالنسبة للشركات الكبيرة التي تستخدم البيانات السرية لأغراض إضافية تتجاوز أذونات الدفع، مثل البائعين الذين يستخدمون بطاقات الائتمان أو الأدوات التي تنقل أرقام الضمان الاجتماعي أو المعلومات الطبية.
وبهذه المناسبة، قال باتريك بارنيت، المتخصص في أمن المعلومات لدى سيكيوروركس: “يمكن لتقنيات الترميز أن تخفف من المخاطر إلى حد كبير عند دمجها مع ضوابط أمنية أخرى مثل نطاقات الدفاع والسياسات الأمنية القوية، وإدارة برامج التصحيح وعمليات التسجيل المحمية، وأدوات التنبيه وحماية النقاط النهائية ونظم كشف التسللات الأمنية والوقاية منها IDS/IPSK. وتعتمد النظم الخلفية للعديد من الشركات على البيانات السرية مثل بيانات بطاقات الائتمان والضمان الاجتماعي، وبيانات جوازات السفر وأرقام رخص القيادة، كأدوات فريدة لتحديد الهوية والوصول إلى معلومات الفوترة وحالة الطلب وخدمة العملاء. وتسمح تقنية الترميز للشركات بالحفاظ على وظيفة النظم الخلفية من دون تعريض البيانات الحساسة لهجمات المخترقين”.
كما يمكن استخدام تقنية الترميز مع تقنيات التشفير لحماية البيانات المخزنة في الخدمات السحابية أو التطبيقات. حيث تضمن تقنيات التشفير حماية البيانات المتبادلة مع أطراف ثالثة من خلال حمايتها بمفاتيح وصول تضمن عرض المحتوى من قبل المستخدمين المصرح لهم فقط. القاعدة الأساسية لمشاركة البيانات الآمنة على شبكة الإنترنت، وهي بروتوكول طبقة المنافذ الآمنة TLS، تعتمد على تقنيات التشفير لإنشاء نفق آمن بين المستخدم النهائي والموقع الإلكتروني المستخدم. وتعتبر تقنية تشفير المفتاح غير المتماثل، أو تقنية المفتاح العام، عنصراً هاماً أيضاً من ضمن لائحة شهادات بروتوكول طبقة المنافذ الآمنة TLS المستخدمة للتحقق من صحة الهوية. وبالاعتماد على حالة الاستخدام، يمكن للشركة استخدام تقنية التشفير أو الترميز أو مزيج من الاثنتين لتأمين أنواع مختلفة من البيانات وتلبية المتطلبات التنظيمية.