المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : حماية البيانات الإلكترونية


Eng.Jordan
04-15-2015, 10:26 AM
حماية البيانات الكبيرة من نفسها(*)
خطة ثلاثية الخطوات لاستخدام البيانات بشكل صحيح في عصر تجاوز الحكومات.
S” .A“.< پنتلاند>

باختصار
لطالما كانت البيانات حول السلوك البشري ضرورية لعمل كلٍّ من الحكومة والصناعة. ولكن كيف نُمكن المؤسسات من جمع وتحليل البيانات دون إساءة استخدام تلك المعلومات؟

يمكننا البدء بتبني بعض المبادئ الأساسية. وينبغي على وكالة الأمن القومي (NSA)ا(1) والمنظمات الحكومية الأخرى أن تترك البيانات الكبيرة منتشرة في قواعد بيانات منفصلة عن بعضها وظيفيا وتشرف عليها منظمات مستقلة. وينبغي على كل من يحتفظ بالبيانات الشخصية أو يشاركها، بمن في ذلك المواطنين، أن يحمي عمليات نقل وتخزين المعلومات عن طريق التشفير.

في العصر الرقمي، يتعين علينا أيضا أن ندرك أن السياسة القائمة والتقاليد المتبعة لن تكون كافية. فالسبيل الوحيد لمعرفة الأساليب الناجعة هو من خلال التجريب الشفاف والمتواصل في إجراءات التعامل مع البيانات الكبيرة.



على مدى العقود القليلة الأولى من وجودها، كانت وكالة الأمن القومي (NSA)ا(1) دائرة هادئة لها وظيفة أساسية واحدة هي: مراقبة الاتحاد السوڤييتي. فقد كان عدوها وحيدا ومحددا بوضوح. وكانت أدواتها الرئيسة عمليات التنصت على الهواتف، وطائرات التجسس والميكروفونات المخفية.

تغير كل ذلك بعد هجمات الحادي عشر من سبتمبر. وأصبح العدو الرئيس للوكالة NSA شبكة منتشرة من الإرهابيين المستقلين. فأي شخص في العالم يمكن أن يكون هدفا مشروعا للتجسس. كما أن طبيعة التجسس نفسها قد تغيرت مع انتشار قنوات الاتصال الرقمية الجديدة. ومع بداية النمو المطرد لأجهزة الهواتف النقالة المتصلة بالإنترنت لم تعد الأدوات القديمة للوكالة NSA كافية على ما يبدو.

واستجابة لذلك، تبنت الوكالة NSA استراتيجية جديدة هي: جمع كل المعلومات. وعلى حد تعبير مدير الوكالة NSA السابق <K. ألكسندر>، عندما تبحث عن إبرة في كومة قش، فأنت بحاجة إلى كومة القش برمتها. فقد بدأت الوكالة NSA بجمع كم هائل من تسجيلات المكالمات الهاتفية التي يجريها بالفعل كل شخص تقريبا في الولايات المتحدة الأمريكية؛ وسرعان ما بدأت بتجميع البيانات الكبيرة حول مجمل الرسائل التي يتم تبادلها على الإنترنت عن طريق الأشخاص جميعهم تقريبا خارج الولايات المتحدة. ولم يمضِ وقت طويل حتى بدأت الوكالة NSA بجمع كمية من البيانات كل ساعتين تعادل في حجمها التعداد السكاني للولايات المتحدة.

وكان المكان الطبيعي بالنسبة إلى الوكالة NSA لتخزين كومة القش الجديدة الهائلة هذه هو المكان ذاته الذي كانت تخزن فيه على الدوام المعلومات الاستخباراتية: في المرافق الآمنة الخاصة بالوكالة. بيد أن هناك عواقب لهذا التجميع المركز للبيانات في مكان واحد. فقد أصبحت فجأة المعلومات الشخصية الخاصة بجميع البشر تقريبا في كل أنحاء العالم في متناول أي محلِّل يعمل لدى الوكالة NSA إذا ما رغب في الاطلاع عليها. وتخزينُ البيانات أيضا جعل الوكالة NSA معرضة أكثر من أي وقت مضى للتسريبات. أحد المقاولين التابعين للوكالة NSA حينها، <E. سنودن>، الذي أغضبه الحجم الهائل لأنشطة جمع البيانات السرية التي تقوم بها الوكالة NSA، تمكن من تحميل آلاف الملفات السرية من أحد خوادم الوكالة في هاواي، وطار إلى هونگ كونگ وسلّم الوثائق إلى الصحافة.

كانت البيانات حول السلوك البشري، مثلما هي الحال مع معلومات التعداد السكاني، ضرورية لعمل كل من الحكومة والصناعة. ولكن أن تقوم وكالة سرية بجمع البيانات عن مجمل السكان، وتخزين تلك البيانات في مجموعات خوادم سرية، وتعمل عليها بقليل من الإشراف أو من دون إشراف هو أمرٌ يختلف نوعيا عن أي شيء سبق ذلك. ليس من المستغرب، إذن، أن تثير إفصاحات <سنودن> مثل هذا الجدل العام الساخط.

وحتى الآن ينْصبُّ جُل التعليقات حول أنشطة جمع البيانات للوكالة NSA على الأبعاد الأخلاقية والسياسية. ولم يولَ سوى اهتمام ضئيل للجوانب الهيكلية والتقنية لكارثة الوكالة NSA. وليست فقط السياسات الحكومية لجمع واستخدام البيانات الكبيرة غير ملائمة، ولكن أيضا عملية صناعة وتقييم تلك السياسات بحاجة إلى التحرك بشكل أسرع. ويجب أن تتكيف الممارسات الحكومية مع السرعة التي تتطور بها التقانة. فلا توجد إجابة بسيطة، ولكن بإمكان مجموعة قليلة من المبادئ الأساسية أن تضعنا على الطريق الصحيح.

الخطوة 1
بعثرة كومة القش

كان <ألكسندر> مخطئا حول البحث عن إبرة في كومة قش. فأنت لا تحتاج إلى كومة القش برمتها - وإنما إلى المقدرة فقط على فحص أي جزء منها. فتخزين كميات هائلة من المعلومات في مكان واحد ليس أمرا غير ضروري فحسب، وإنما هو من الخطورة بمكان بالنسبة إلى كل من الجواسيس والأشخاص المتجسس عليهم على حد سواء. وبالنسبة إلى الحكومات، تصبح إمكانية التسريبات الهدَّامة مرجَّحة أكثر بكثير. أما بالنسبة إلى الأفراد، فإنه توجد إمكانية لارتكاب انتهاكات غير مسبوقة لمسألة الخصوصية.

http://www.oloommagazine.com/Images/Articles/2014/11-12/2014_11_12_63_b.jpg


تشير الإفصاحات التي عرضها <سنودن> بوضوح إلى أن المعلومات التي في حوزة الحكومة أصبحت مركزة أكثر من اللازم. وينبغي على الوكالة NSA والمنظمات الحكومية الأخرى إبقاء البيانات الكبيرة في مكانها، بحيث تشرف عليها المنظمة التي أنشأت قاعدة البيانات، مع مخططات تشفير encryption مختلفة. ويجب أن يتم تخزين الأنواع المختلفة من البيانات بشكل منفصل: البيانات المالية في قاعدة بيانات فعلية واحدة، والسجلات الصحية في قاعدة بيانات أخرى، وهلم جرا. ويجب أن يتم تخزين المعلومات عن الأفراد والإشراف عليها بشكل منفصل عن الأنواع الأخرى من المعلومات. والوكالة NSA أو أي كيانات أخرى ممن لها أسباب قانونية وجيهة للقيام بذلك ستبقى قادرة على فحص أي جزء من كومة القش المنتشرة على نطاق واسع. فهي ببساطة لن تحتفظ بكومة القش بكاملها في موقع خادم واحد.

أسهل طريقة لإنجاز عملية تفكيك هذا التجمع هي بوقف اختزان المعلومات. لنفسح المجال لشركات الاتصالات وشركات الإنترنت أن تحتفظ بسجلاتها. ولا يوجد أي داعٍ للعجلة في تدمير مخازن البيانات الحالية الموجودة لدى الوكالة NSA، لأن كلاّ من محتوى تلك السجلات والبرامج المرتبطة بها سوف يصبح عاجلا قديما لا قيمة له.

قد يكون من الصعب أن نتصور أن تقوم الوكالة NSA بالتخلي عن أنشطتها في جمع البيانات - وفي الواقع، لن يحدث هذا الأمر دون أن يصدر تشريع أو أمر تنفيذي بذلك - ولكن القيام بذلك سوف يصبُّ في مصلحة الوكالة ذاتها. ويبدو أن الوكالة NSA تُدرك هذا الأمر أيضا. وفي كلمة ألقاها نائب وزير الدفاع حينها <B .A. كارتر> في منتدى «الأمن» الذي أقيم الصيف الماضي في مدينة آسپن بولاية كولارادو الأمريكية، شَخَّص فيها مصدر المشكلات التي تعاني منها الوكالة NSA. «جاء الفشل [من تسريبات <سنودن>] جرّاء شكلين من الممارسات تقوم بهما الوكالة ونحن بحاجة إلى الانكفاء عنهما... كانت هناك كمية هائلة من المعلومات المجمعة بشكل مركز في مكان واحد. وهذا خطأ». وثانيا، «كان هناك شخص واحد أُعطيت إليه صلاحيات كبيرة جدا للوصول إلى تلك المعلومات ونقلها. ولم يتوجب أن يكون الأمر على هذا النحو أيضا». إن قواعد البيانات الموزَّعة والمشفَّرة التي تعمل على أنظمة حواسيب مختلفة لن تجعل نمط <سنودن> للتسريب أكثر صعوبة فحسب، وإنما سوف توفر أيضا الحماية ضد الهجمات الإلكترونية من الخارج. فأي محاولة للاستفادة من المعلومات لن ينجم عنها على الأرجح سوى الوصول إلى جزء محدود جدا من قاعدة البيانات بأكملها. وحتى الحكومات الاستبدادية سوف تستفيد من توزيع البيانات: فالبيانات المجمَّعة بشكل مركز يمكن أن تُسهِّل على المطلعين من داخل المؤسسة القيام بانقلاب.

كيف يمكن أن تساعد عملية توزيع البيانات على حماية الخصوصية الفردية؟ تكمن الإجابة في أنها تُمكِّن من تتبع أنماط الاتصال بين قواعد البيانات ومشغليها من البشر. فكل فئة من عملية تحليل البيانات، سواء كانت عملية بحث عن مادة معينة أو إجراء حساب لإحصائية ما، لها نمط اتصال مميز خاص بها - أي توقيعها الخاص على شبكة الإنترنت للروابط وعمليات الإرسال بين قواعد البيانات. وهذه التواقيع، أي دليل المعلومات التوضيحية حول البيانات الخلفية(2) ****data about ****data، يمكن استخدامها في مراقبة الأنماط العامة للاتصالات مع الاحتفاظ بخصوصيتها.

لنأخذ في الاعتبار هذه المقارنة: عندما تكون أنماط الاتصال بين مختلف الإدارات في شركة ما مرئية (كما هي الحال مع البريد العادي)، فإن أنماط العمليات العادية تكون مرئية للموظفين في تلك الشركة علما بأن محتوى العمليات (محتوى الرسائل البريدية) يظل محجوبا. فعلى سبيل المثال، لو لاحظ الشخص المسؤول عن حفظ السجلات الصحية للموظفين بأنه تم الاطلاع بشكل مفاجئ على عدد غير طبيعي من تلك السجلات الخاصة من قبل مكتب السجلات المالية، لكان بإمكانه أن يطلب تفسيرا لذلك. وبالطريقة ذاتها، فإن هيكلة عمليات البيانات الكبيرة بشكل يولِّد معلومات توضيحية عن البيانات الخلفية تجعل عملية الرقابة ممكنة. ويمكن لشركات الاتصالات تتبع ما يحدث لها. ويمكن للمؤسسات المدنية المستقلة، وكذلك الصحافة، أن تستخدم هذه البيانات لتقوم بوظيفة هيئة رقابية على الوكالة NSA. ومع دليل المعلومات التوضيحية حول البيانات الخلفية، يمكننا أن نفعل مع الوكالة NSA ما تفعله هي مع كل شخص آخر.

الخطوة 2
تقوية خطوط إرسال البيانات لدينا

إن إزالة المخزون الهائل للبيانات لدى الوكالة NSA ليست سوى الخطوة الأولى نحو ضمان الخصوصية في عالم غني بالمعلومات. ولعل حماية عملية نقل وتخزين المعلومات عبر التشفير لا تقل أهمية عن ذلك. فمن دون مثل وسائل الحماية هذه، يمكن اختلاس البيانات من دون أن يعلم أحد بذلك. وهذا الشكل من أشكال الحماية مطلوب على نحو خاص في عالم ترتفع فيه معدلات الجرائم الإلكترونية ومخاطر الحرب الإلكترونية.

كل من يستخدم البيانات الشخصية، سواء كان جهة حكومية، أو مؤسسة خاصة أو فرد، ينبغي أن يتَّبع بعض القواعد الأمنية الأساسية. وينبغي أن يتم التبادل الخارجي للبيانات فقط بين نظم البيانات التي تتمتع بمعايير أمنية مماثلة. ويجب أن تتطلب كل عملية خاصة بالبيانات سلسلة موثوقة من إثباتات الهويِّة بحيث يمكننا معرفة مصدر البيانات ووجهتها. وينبغي أن تخضع جميع المؤسسات لرقابة دليل المعلومات التوضيحية والتدقيق التحقيقي، على غرار الطريقة التي تتم فيها اليوم مراقبة بطاقات الائتمان لاكتشاف عمليات الاحتيال.

أحد النماذج الجيدة هو ما يسمى شبكة الثقة(3). وتشمل شبكات الثقة شبكة حاسوب تتابع كل التصاريح التي يقدمها المستخدم لكل جزء من البيانات ضمن إطار قانوني يحدد ما هو مسموح به وما هو محظور التعامل به بالنسبة إلى هذه البيانات - ويحدد العواقب في حال وقوع انتهاك لهذه التصاريح. ومن خلال المحافظة على تسلسل تاريخي غير قابل للعبث به للتصاريح ومصادرها، يمكن مراجعة وتدقيق شبكات الثقة بشكل آلي لضمان أن هناك التزام بالاتفاقيات الخاصة باستخدام البيانات.

وقد أثبتت الإصدارات الراسخة من شبكات الثقة بأنها آمنة ومتينة على حد سواء. وأشهر هذه الشبكات هي شبكة جمعية الاتصالات السلكية واللاسلكية المالية العالمية بين المصارف «سويفت» (SWIFT)ا(4) التي يستخدمها نحو 000 10 مصرف ومنظمات أخرى لتحويل الأموال. وإحدى أكثر المزايا المميزة لشبكة سويفت هي أنها لم يسبق اختراقها على الإطلاق (على حد علمنا). وعندما سُئِل عن سبب سطوه على المصارف، يقال إن العقل المدبر <W. ساتون> أجاب: «لأن هذا هو المكان الذي توجد فيه الأموال». واليوم شبكة «سويفت» SWIFT هي الموقع الذي توجد فيه الأموال، إذ يتم تحويل آلاف البلايين من الدولارات يوميا عبر هذه الشبكة. وبسبب أنظمة التدقيق الآلي والمراقبة لدليل المعلومات التوضيحية المصممة داخلها والمسؤولية المشتركة، لم تتخلص شبكة الثقة هذه من اللصوص فحسب، وإنما كفِلت بكل ثقة وصول الأموال إلى الجهة المُرْسلة إليها.

مع دليل المعلومات التوضيحية حول البيانات الخلفية، يمكننا أن نفعل مع الوكالة NSA ما تفعله هي مع شخص آخر.


لقد كانت شبكات الثقة معقدة ومكلفة التشغيل، ولكنها أصبحت بفضل تدني تكاليف قدرة الحوسبة في متناول المنظمات الأصغر حجما وحتى في متناول الأفراد. وقد ساعد فريق البحث الذي يعمل معي في معهد ماساتشوستس للتقانة (.M.I.T)ا(5)، بالشراكة مع المعهد Institute for Data Driven Design، على بناء نظام يسمى openPDS (مخزن البيانات الشخصية المفتوح)، وهو نظام من هذا النوع خاص بالمستهلك. والفكرة من وراء هذه البرمجية، التي نقوم حاليا باختبارها مع مجموعة متنوعة من شركائنا من الشركات الصناعية والحكومية، هي دمقرطة أمن البيانات على مستوى شبكة سويفت بحيث يصبح بمقدور الشركات التجارية والمؤسسات الحكومية المحلية والأفراد تبادل المعلومات الحساسة بشكل آمن - بما في ذلك السجلات الصحية والمالية. وقد بدأت حكومات عدة ولايات في الولايات المتحدة الأمريكية بإجراء تقييم لهذا التصميم من أجل خدمات تحليل البيانات الداخلية والخارجية على حد سواء. ومع انتشار استخدام شبكات الثقة على نطاق واسع، ستصبح عملية نقل البيانات بين الأفراد والمؤسسات أكثر أمانا؛ مما يسهِّل من عملية تنفيذ تصاميم تخزين البيانات الموزعة والآمنة التي تحمي الأفراد والمؤسسات من إساءة استخدام البيانات الكبيرة.

الخطوة 3
على الإطلاق، لا يجب التوقف عن إجراء التجارب

الخطوة الأخيرة وربما الأكثر أهمية بالنسبة إلينا هي أن نعترف بأننا لا نمتلك الإجابة عن جميع التساؤلات، وأنه لا توجد، في واقع الأمر، إجابات نهائية. وكل ما نعلمه علم اليقين هو أنه مع تغير التقانة، لا بد من إجراء تغييرات في الهياكل الرقابية الموجودة لدينا. وهذا العصر الرقمي هو شيء جديد تماما؛ فلا يمكننا الاعتماد فقط على السياسة الحالية أو التقاليد المتبعة. وعوضا عن ذلك يجب أن نستمر بتجربة الأفكار الجديدة في الواقع لمعرفة ما يصْلح وما لا يصْلح.

الضغط الذي تمارسه الدول الأخرى والمواطنون وشركات التقانة تَسبَّب بالفعل في قيام البيت الأبيض بتقديم اقتراح لفرض بعض القيود على المراقبة التي تقوم بها الوكالة NSA. وتطالب شركات التقانة بحق نشر المعلومات حول طلبات الوكالة NSA - دليل المعلومات التوضيحية حول البيانات الخلفية - في مسعى منها إلى استعادة الثقة. وفي الشهر 5/2014 أَقرَّ مجلس النواب قانون الحرية في الولايات المتحدة الأمريكية؛ مع أن العديد من دُعاة الخصوصية يعتبرون مشروع القانون هذا ضعيفا، إلا أنه سيبدأ بالحد من جمع البيانات الضخمة ويقدِّم بعض الشفافية في هذه العملية. (في الوقت الراهن، لا يزال إصدار هذا القانون رهن موافقة مجلس الشيوخ.)

وهذه جميعها خطوات في الاتجاه الصحيح. إلا أن أي تغيير نقوم به الآن لن يكون سوى إصلاحات قصيرة الأجل لمشكلات طويلة الأجل. فالتقانة في تطور مستمر، ويتعين على معدل الابتكار في العمليات الحكومية أن يواكب هذا التطور. وفي نهاية المطاف، فإن التغيير الأكثر أهمية الذي يمكن أن نقوم به هو أن نُجري التجارب بشكل متواصل وأن نقوم بإجراء الاختبارات على نطاق صغير وتطبيقها لمعرفة ما يصلح والإبقاء عليه والتخلص مما لا يصلح.

المؤلف
Alex “Sandy” Pentland
يدير <پنتلاند> مختبر الديناميكية البشرية التابع لمعهد ماساتشوستس للتقانة (M.I.T)ا(6) ويشارك في إدارة مبادرات البيانات الكبيرة والبيانات الشخصية للمنتدى الاقتصادي العالمي. وقد نُشِر كتابه الأخير، «الفيزياء الاجتماعية»(7)، في الشهر 1/2014 عن طريق دار النشر “بنگوين پرس” Penguin Press.
http://www.oloommagazine.com/Images/Articles/2014/11-12/2014_11_12_63_a.jpg
مراجع للاستزادة

Personal Data: The Emergence of a New Asset Class. World Economic Forum, January 2011.
www.weforum.org/reports/personal-data-emergence-new-asset-class
Social Physics: How Good Ideas Spread—The Lessons from a New Science. Alex
Pentland. Penguin Press, 2014.

(*)Saving Big Data from Itself
(1) the National Security Agency
(2) مصطلح ****data يعني دليل المعلومات أو المعلومات التوضيحية مثل تلك الموجودة في بطاقات فهرس المكتبات العامة التي تحتوي على معلومات عن الكتب ومؤلفيها وغيرها من المعلومات.
(3) trust network
(4) the Society for Worldwide Interbank Financial Telecommunication
(5) the Massachusetts Institute of Technology
(6) the M.I.T. Human Dynamics Laboratory
(7) Social Physics