دوستان عزیز و همراهان بخش امنیت سکان آکادمی، ورود شما را به فصل سوم از دوره ی آموزشی OWASP TOP 10 خوش آمد می گوییم. در این فصل، قصد داریم در مورد یکی از آسیب پذیری های مهم که در رتبه ی سوم از لیست OWASP TOP 10 قرار دارد، صحبت کنیم.
در دنیایی زندگی می کنیم که داده ها اهمیت زیادی دارند و بیشتر مردم خواسته یا ناخواسته با داده ها سر و کار دارند. منظور از داده ها چیست؟ خب این داده ها می تواند هر نوع اطلاعاتی باشد، از جمله اطلاعات شخصی، بانکی، داده های شرکتی و سازمانی، پزشکی و موارد دیگر. همه ی این داده ها جز دارایی های ما به حساب می آیند پس توجه به حفاظت از آن ها، خیلی مهم است.
قبل از این که بخواهیم به آسیب پذیری مربوط به داده های حساس بپردازیم، ابتدا باید شما را با داده های حساس و اهمیت آن ها آشنا کنیم. پس در این بخش همراه ما باشید.
داده های حساس
ابتدا می خواهیم بگوییم داده چیست؟ هر نوع اطلاعات مربوط به شما یا زندگی شما یا محل کار شما و دنیایی که در آن زندگی می کنید، داده محسوب می شود.
برخی از داده های شخصی می تواند شامل موارد زیر باشد:
- داده های شناسنامه ای
- داده های موجود در گوشی شما (اکانت های شبکه های اجتماعی، ارتباط ها، شماره ها، پیام ها و ...)
- داده های مربوط به محل زندگی و محل کارتان
- مشخصات خانواده ی شما
- پرونده ی پزشکی شما
- و موارد دیگر
همان طور که مشاهده می کنید، همین داده های شخصی، بخش بزرگی از زندگی شما را در بر دارد و شاید همه ی زندگی شما بر اساس آن ها باشد. به نظر شما این داده ها مهم و حساس نیستند؟ از نظر ما حتی نحوه ی لباس پوشیدن شما نیز یک دادهی بسیار مهم است.
اگر بخواهیم با شما صادق باشیم باید بگوییم که هر داده ای، هر چند بی اهمیت، جز داده های حساس یا Sensitive Data به حساب می آید. بگذارید برایتان مثالی بزنیم. شما در منزل خود وسایل زیادی دارید. اگر به یکی از کشو های میز یا حتی جعبه های داخل انبار نگاهی سطحی داشته باشید، به نظرتان می آید که لوازم و وسایلی دارید که هیچ وقت مورد نیاز نمی شود و مهم نیستند. اما به محض این که یکی از آن ها را دور بیاندازید، به سرعت به آن نیاز پیدا می کنید و مهم می شود. پس می بینید که حتی چیزی که در حالت عادی برایتان مهم نیست، در شرایط خاص، مهم می شود.
داده های حساس هم همین گونه هستند. ممکن است در نگاه اول فقط به عنوان یک داده باشند و با خود بگویید اگر نباشند هم مهم نیست یا اگر کسی آن ها را در اختیار داشته باشد، اهمیتی ندارد اما وقتی در شرایط استفاده قرار بگیرند، در اصل همه ی آن ها مهم و حساس خواهند بود.
داده های حساس، به داده هایی گفته می شوند که نیاز است از آن ها در برابر دسترسی های غیر مجاز، محافظت کرد. چرا؟ چون می خواهیم آسیب های احتمالی ای که از افشای آن ها، برایتان رخ می دهد را به حداقل برسانیم. وقتی داده های حساس به دست افراد نادرست برسند، حریم خصوصی و امنیت افراد به خطر می افتد، هویت آن ها به سرقت می رود یا به نام آن ها کلاهبرداری صورت می گیرد.
اجازه دهید مثال دیگری را برایتان بیان کنیم. فرض کنید یک کسب و کار الکترونیکی برای خودتان راه اندازی کرده اید. به احتمال زیاد، حجم زیادی از داده های حساس را خواهید داشت از جمله شماره ها و اطلاعات مشتریانتان، فاکتور های خرید و فروش و تسویه حساب، فرم های انتقال اطلاعات و موارد دیگر. اگر این داده ها افشا شوند، شما با یک مشکل امنیتی جدی و پر هزینه رو به رو خواهید شد.
انواع داده های حساس
داده های حساس، می تواند شخصی یا غیر شخصی باشد. داده های شخصی هر گونه اطلاعاتی است که به یک شخص حقیقی شناسایی شده یا قابل شناسایی مربوط می شود، در حالی که داده های غیر شخصی شامل مواردی است که قابلیت شناسایی و منحصر به فرد بودن برای یک شخص را ندارد.
برخی از داده های حساس عبارت اند از:
- اطلاعات پزشکی محافظت شده (PHI) که شامل تاریخچه ی پزشکی، نتیجه های آزمایش و اطلاعات بیمه در مورد افراد است.
- اطلاعات شخصی قابل شناسایی (PII) که می تواند یک فرد را شناسایی کند (به عنوان مثال، نام، تاریخ تولد، شماره ی تامین اجتماعی، شماره ی گواهینامه ی رانندگی، اطلاعات حساب بانکی، آدرس)
- داده های بیومتریک، مانند اثر انگشت و اسکن شبکیه ی چشم
- داده های ژنتیکی
- داده های مربوط به زندگی جنسی یا گرایش جنسی یک شخص طبیعی
- منشاء نژادی یا قومیتی
- نظر های سیاسی
- سازمان مذهبی، فلسفی یا سیاسی
- اعتقادهای مذهبی یا فلسفی
- عضویت در اتحادیه های کارگری و موارد دیگر
جمع بندی
بسیار خب، به احتمال بسیار زیاد، تا به این جای کار متوجه ی اهمیت داده ها شده اید و می دانید چه داده هایی در چه زمان هایی ممکن است حساس و مهم شوند. پس آماده هستید تا به بخش بعد برویم و در مورد آسیب پذیری مربوط به این داده های حساس، صحبت کنیم.
در انتهای این بخش لازم است این نکته را هم برایتان بگوییم که برای حفاظت از داده ها، مقررات حفظ حریم خصوصی مانند CCPAو GDPRوجود دارد که سازمان ها را مجبور می کنند که از داده ها به هر قیمتی محافظت کنند و در صورت رعایت نکردن، آن ها را جریمه می کنند.
