قوانین جالب کشورهای مختلف برای حفاظت از داده‌های کاربران

خیلی وقت‌ها در فضای مجازی این سوال برایمان پیش آمده کاربری که داریم با او صحبت می‌کنیم یا صفحه‌اش را می‌خوانیم، آیا هویتش واقعی است؟ این موضوع مخصوصا وقتی مسائل مهمی مثل انتشار خبر یا مسائل مالی مطرح باشد، اهمیت بیشتری پیدا می‌کند. اخبار جعلی، سواستفاده از هویت کاربران، سرقت اطلاعات افراد، حملات و جاسوسی‌های سایبری نمونه‌ای از جرایمی هستند که روزانه در اینترنت رخ می‌دهند. شرکت‌های و سازمان‌های اطلاعاتی برای جلوگیری از این جرایم و رفع آسیب پذیری‌ها در رقابت هستند و برای افزایش ایمنی خودشان تلاش می‌کنند. یکی از راه‌هایی که سازمان‌ها از آن برای جلوگیری از حملات سایبری استفاده می‌کنند، احراز هویت است که با استفاده از این تکنولوژی می‌توان از بروز جرایم جلوگیری و محیط وب را ایمن کرد.

احراز هویت را می‌توان فرآیندی برای تعیین اینکه آیا کسی یا چیزی در واقعیت کیست، تعریف کرد. این فرآیند حصول اطمینان از اینکه یک فرد همان شخصی که ادعا می‌کند، است. در این فرآیند اعتبار یک کاربر با اعتبار در پایگاه داده‌های دیگر کاربران مجاز یا اطلاعات ثبت شده در سامانه احراز هویت تطبیق داده می‌شود و اگر مطابقت داشت، کنترل دسترسی برای سیستم به فرد داده می‌شود. احراز هویت صحت فرآیند‌های امن و اطلاعات سازمانی را تضمین می‌کند. در گذشته شناسایی یک فرد عملا براساس تماس چشمی و ظاهر فیزیکی بود. در طول سال ها، امضای دست نویس به عنوان رایج‌ترین روش احراز هویت (اغلب توسط یک مهر پشتیبانی می‌شود) تکامل یافت. در دهه‌های اخیر احراز هویت فنی فعال شده، اهمیت فزاینده‌ای پیدا کرده است. امروزه، برای بسیاری از کار‌های روزمره، از بانکداری الکترونیکی گرفته تا دسترسی به ساختمان و سفر به سراسر جهان یک فرآیند احراز هویت مورد نیاز است. تایید هویت یک فرد راهی برای محافظت از او و دارایی هایش است.

یکی از معمول‌ترین روش‌های احراز هویت دیجیتالی، رمز‌های عبور است که براساس رشته‌ای از اطلاعات که فقط توسط شخص شناخته شده، به نهادی که احراز هویت را انجام می‌دهد، ارائه می‌شود. این رایج‌ترین نوع احراز هویت مورد استفاده و در عین حال یکی از آسیب پذیرترین‌ها است. رمز عبور‌های نامناسب معمولاً عبارتند از: نام یا نام خانوادگی کاربر، تاریخ تولد، رمز عبور خالی، qwerty.
توکن‌های نرم‌افزاری، نوع دیگری از احراز هویت هستند که از طریق نرم‌افزار انجام و از طریق یک فرآیند تامین امن روی دستگاه کاربر نصب می‌شود. این روش بسیار ارزان‌تر است، اما دارای تمام آسیب پذیری‌هایی که همه نرم افزار‌ها ممکن است داشته باشند، است به عنوان مثال، بدافزار. اثر انگشت، عنبیه یا اسکن شبکیه چشم را می‌توان یکی از ایمن‌ترین روش‌های احراز هویت نام برد. برای این فرآیند لازم است که کاربر به دستگاه‌های تخصصی دسترسی داشته باشد که می‌تواند اثر انگشت، شبکیه یا شاید عنبیه را اسکن کند. همچنین، می‌توان این نوع احراز هویت را با تشخیص صدا انجام داد.

فرآیند احراز هویت به سازمان‌ها کمک می‌کند تا شبکه‌های خودشان را با اجازه دادن به کاربران برای دسترسی به منابع حفاظت شده ایمن نگه دارند. این منابع ممکن است سیستم‌های کامپیوتری، پایگاه‌های داده، شبکه ها، خدمات مبتنی بر شبکه یا وب سایت‌ها باشند. پس از اینکه فرآیند احراز هویت انجام شد کاربر در روند مجوزدهی قرار می‌گیرد تا مشخص شود آیا امکان دسترسی به سیستم یا منبع حفاظت شده را دارد یا خیر. ممکن است در این فرآیند تایید هویت یک کاربر اعلام بشود، اما امکان دسترسی به منبع به او داده نشود. احراز هویت و مجوزدهی به جای یکدیگر استفاده می‌شوند، اما موضوع اینجاست که این دو فرآیند با یکدیگر اجرا می‌شوند و دو عملکرد جدای از هم هستند. مجوزدهی فرآیند دقیق تری است و تایید می‌کند که کاربر اجازه دسترسی به منبع یا سیستم درخواستی را دارد یا خیر. همیشه احراز هویت پیش از فرآیند مجوزدهی انجام می‌گیرد. در طول فرآیند احراز هویت اعتبارنامه‌هایی که از سوی کاربر ارائه می‌شود با اطلاعاتی که در یک پایگاه داده در سیستم یا سیستم عامل محلی وجود دارد، مقایسه و تطبیق داده می‌شود. اگر اعتبارنامه‌های ورودی با اطلاعات موجود در سیستم یکی باشد و نهادی که تاییده شده اجازه استفاده از منبع را داشته باشد، کاربر نیز اجازه دسترسی خواهد داشت. مجوز‌هایی که به کاربر داده می‌شود تعیین می‌کنند کاربر اجازه دسترسی به کدام منابع را خواهد داشت.

کارشناسان امنیت سایبری پس از انجام مطالعاتی گفته اند که در زمان همه گیری کرونا در دنیا و زمانی که مردم بیشترین وقت خود را در اینترنت می‌گذارندند، جرایم سایبری و سواستفاده‌های آنلاین افزایش داشته است. کارشناسان می‌گویند کودکان و نوجوانان بیشترین آسیب دیدگان از سواستفاده‌های آنلاین هستند. گزارشی منتشر شده که در آن آمده میزان استفاده از سخنان تنفر آمیز در بین جوانان هنگام چت کردن افزایش ۷۰ درصدی داشته است. در سال ۲۰۱۰ فقط در آمریکا بیش از هشت میلیون نفر قربانی کلاهبرداری یا سرقت هویت شدند که خسارات ناشی از آن در همین سال حدود ۳۷ میلیارد دلار برآورد شده است. همین موضوع لزوم افزایش قوانین سایبری را بیش از پیش مهم می‌کند. همه رسانه‌های اجتماعی با همکاری دولت ها، سازمان‌های غیردولتی و مربیان باید برای پیشگیری از جرایم سایبری همکاری داشته باشند. از طریق آموزش می‌توان به افرادی که در اینترنت حضور دارند فهماند که ناشناس نیستند و اگر کار غیرقانونی انجام دهند، ردیابی می‌شوند و طبق قانون با آن‌ها برخورد خواهد شد. ریشه کن کردن جرایم سایبری و آزار و اذیت‌های آنلاین غیرممکن است، اما می‌توان با وضع قوانین و مقررات هوشمند، مقیاس پذیر و متناسب میزان آن را کمتر و از رخداد جرایم سایبری خطرناک جلوگیری کرد.
کشور‌های مختلف در جهان باتوجه به افزایش جرایم سایبری قوانینی را در حوزه احراز هویت وضع کرده اند که در ادامه به آن‌ها اشاره خواهد شد:

در تاریخ ۹/۶/۹۸ به کلیه وزارتخانه‌ها، مؤسسات و شرکت‌های دولتی و مؤسسات و نهاد‌های عمومی غیردولتی مصوبه نظام هویت معتبر در فضای مجازی کشور ابلاغ شد. در این مصوبه آمده که برای هر نوع تعامل فنی، اقتصادی (پولی و مالی)، فرهنگی، اجتماعی، سیاسی و اداری میان اشخاص، گروه‌ها، اشیاء، خدمات، محتوا‌ها و مکان‌ها به هویت معتبر نیاز بوده و شکل‌گیری نظام قابل اطمینان برای هویت در فضای مجازی کشور ضروری است.هدف از ایجاد این نظام استقرار زیست‌بوم تامین‌کننده زیرساخت تعاملات آزادانه، سالم، پویا، مسئولانه و سودمند با رعایت حقوق فردی و جمعی در روابط اجتماعی، اقتصادی، سیاسی و فناورانه بین انواع موجودیت‌ها در فضای مجازی است. سامانه یکپارچه پیام ایران از سوی سازمان فناوری اطلاعات و در راستای اجرای تکالیف قانونی و وظایف محوله درخصوص ارائه خدمات الکترونیکی این سازمان طراحی شده است. اشخاص حقیقی، حقوقی، ساطمان‌ها و نهاد‌ها می‌توانن با مراجعه به این سیستم درخواست‌های خودشان را برای خدمات مختلف ثبت و پس از طی شدن روند بررسی آن را اخذ کنند.

کشور‌های اتحادیه اروپا از سیستم eIDAS (خدمات شناسایی الکترونیکی، احراز هویت و اعتماد) برای احراز هویت طرف‌های درگیر در تراکنش‌های آنلاین (انتقال وجوه، تعامل با خدمات عمومی) استفاده می‌کنند. این استاندارد به شهروندان، مشاغل و نهاد‌های دولتی در یکی از کشور‌های اتحادیه اروپا اجازه می‌دهد تا به خدمات کشور عضو دیگر به روشی امن دسترسی داشته باشند که شامل اعتبارسنجی آن‌ها در برابر پایگاه‌های داده ملی است.

دولت کانادا قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA) را دارد. طبق این قانون سازمان‌هایی که فعالیت‌های تجاری دارند باید اطلاعات شخصی افراد را با آگاهی آن‌ها جمع آوری و استفاده کنند و فقط در موارد خاص اجازه افشای آن‌ها را دارند. همچنین سازمان‌ها باید اهداف خودشان از جمع آوری اطلاعات را شفاف سازی کرده و استفاده از اطلاعات را فقط محدود به اهداف عنوان شده کنند. علاوه بر این سازمان‌ها در کانادا باید از اطلاعات شخصی افراد حفاظت مناسب و درستی داشته باشند. طبق اصول ۴.۱.۴ و ۴.۷.۴ سازمان‌های PIPEDA ملزم هستند درباره سیاست‌ها و شیوه‌های حفظ حریم خصوصی افراد با کارمندانشان صحبت کرده و به آن‌ها حفظ حریم خصوصی افراد را آموزش دهند. سازمان‌ها باید به طور مداوم این آموزش‌ها را داشته باشند و اطمینان حاصل کنند افرادی که با اطلاعات شخصی مردم در ارتباط هستند، آموزش‌های لازم را دیده باشند.

در سال ۲۰۱۱، وزارت بازرگانی آمریکا کنفرانسی را برگزار و استراتژی ملی این کشور درخصوص هویت‌های مورداعتماد در فضای مجازی یا NSTIC اعلام کرد. این استراتژی مشارکتی بین دولت و بخش خصوصی به منظور بهبود امنیت آنلاین و تقویت اعتماد مردم به فضای مجازی است. همچنین این کار برای افزایش امنیت تراکنش‌های آنلاین با دولت آمریکا نیز است.

در انگلیس، شناسه کاربران باید به تایید شبکه‌های اجتماعی برسد تا بتوان به سواستفاده‌های آنلاین پایان داد. حدود ۶۴ درصد از اعضای BCS (انجمن رایانه‌ای انگلیس) در نظرسنجی که از سوی این سازمان انجام شد شرکت کردمد و گفتند از پلتفرم‌هایی مثل توئیتر و فیسبوک درخواست دارند تا از افراد شناسه واقعی بخواهند تا کاربران در برابر پست‌هایی که منتشر می‌کنند پاسخگو باشند. حدود یک چهارم (۲۶ درصد) اعضا نیز گفتند کابران تایید نشده باقی بمانند و ۱۰ درصد باقی مانده هم نظری نداشتند.

دولت کره برای احراز هویت دو چالش دارد: شناسایی آنلاین (اعتبارسنجی کاربر) و احراز هویت آنلاین (اعتبارسنجی فعالیت). کنترل دسترسی به اطلاعات نیز به دو دسته داده‌های عمومی و داده‌های خصوصی تقسیم می‌شود. نگاه دولت کره به بحث احراز هویت، منعکس کننده چندین ویژگی منحصر به فرد اقتصاد، زیرساخت و توسعه این کشور است. کره سرمایه گذاری زیادی در بحث زیرساخت‌های ICT به عنوان یک اولویت ملی، ایجاد شبکه‌های باند پهن و گسترش دسترسی آن‌ها به تقریباً هر خانه را برای اولین بار انجام داده است. در این کشور شبکه‌های پهن باند به طور میانگین بیش از ۲۰۰ مگابیت در ثانیه سرعت دارد.

قانون چارچوب اعتماد هویت دیجیتال نیوزلند در سال ۲۰۲۱ تهیه و در سپتامبر همان سال به پارلمان معرفی شد. این چارچوب قوانینی را برای ارائه خدمات هویت دیجیتال تعریف می‌کند. استرالیا تصمیم گرفته نسخه پیشرفته myGovID را با قابلیت‌های تأیید چهره ارائه کند. بیش از ۶ میلیون استرالیایی و ۱ میلیون کسب و کار در حال حاضر از برنامه اعتبارسنجی هویت دیجیتال استفاده می‌کنند، که از ژوئن ۲۰۱۹ در دسترس است. GovID و myGov (خدمات دولتی آنلاین) اکنون متصل و مورد استفاده هستند.

 

 

منبع : فارس