IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

GDPR

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

حریم شخصی کاربران در سرویس دهنده ایمیل گوگل به خطر افتاد

به گزارش سایت اینفوسکیوریتی، پس از آن که معلوم شد ، توسعه دهندگان برنامه های شخص ثالث می توانند محتوای ایمیل های کاربران Gmail را بخوانند. گوگل در یک موقعیت امنیتی جدید قرار گرفته است.Takian.ir Gmail privacy scandal

این "راز کثیف" که از طرف یک منبع برای وال استریت جورنال ارسال شده است، به کاربرانی مربوط می شود که تصمیم می گیرند حساب های Gmail خود را به برنامه های شخص ثالث (third-party apps) برای چیزهایی مانند سفر یا خرید تبدیل کنند که با انجام این کار از آنها خواسته می شود مجوزهای برنامه را به «خواندن، ارسال، حذف و مدیریت ایمیل خود» اختصاص دهید. 
با این حال، بسیاری از کاربران ممکن است ناآگاه باشند که نفوذگران حتی خیلی بهتر از الگوریتم های هوشمند کامپیوتری، با چشم های خود در حال بررسی ایمیل های شخصی آنها هستند.
این گزارش ادعا کرد که در مورد برنامه بازاریابی Return Path، کامندان این شرکت به حدود 8000 ایمیل از سرویس دهنده Gmail سرک کشیده اند تا به توسعه برنامه خود کمک کنند. آقای Edison برنامه نویس مدیریت ایمیل نیز به کارکنان خود اجازه داده است تا بصورت هوشمند به "هزاران" ایمیل پاسخ دهند.
از سوی دیگر، گوگل ادعا کرد که این شرکت ها دسترسی به ایمیل های کاربران را مجاز می دانند و ادعا دارند که خود کاربران به صراحت از اجازه آنها برای انجام این کار آگاه بوده اند در صورتی که بسیاری از کاربران معمولا هنگام استفاده از برنامه های جانبی، سیاست  ها و دسترسی ها را مطالعه نکرده و فقط بر روی دکمه تایید کلیک میکنند.
با این حال، هنگامی که کاربر قصد استفاده از برنامه های شخص ثالث (third-party apps) را دارد، حریم خصوصی کاربر یک مسئله مهم است که باید به آن توجه ویژه ای داشت علی الخصوص پس از رسوایی کمبریج آنالیتیک (Cambridge Analytica scandal) که در آن جزئیات  87m کاربر فیس بوک توسط توسعه دهنده نرم افزار برای استفاده در تبلیغات سیاسی هدفمند فروخته شد.
در سال 2015 شبکه اجتماعی سیاست جدیدی را مطرح کردند که اجازه دسترسی را به توسعه دهندگان شخص ثالث میداد.
اوجنیر چرشمن (Evgeny Chereshnev)، مدیر عامل شرکت خصوصی Biolink.Tech ، ادعا کرد که GDPR سازمانها را ملزم به بهبود آگاهی کاربران در مورد نحوه استفاده از داده های آنها میکند و میگوید:
"این نوع و سطح از دسترسی، موجب رفتن به سمت امنیت کمتر میشود و مردم باید بدانند که هر بار که آنها به یک دستگاه شخص ثالث متصل می شوند و یا برنامه شخس ثالثی را نصب می کنند، خودشان حق دسترسی را برای این برنامه ها و کارمندان انها فراهم می کنند - اغلب حتی بدون فکر کردن در مورد آن برنامه و سطح دسترسی ان برنامه، "او افزود : "این برنامه ها به مخاطبین کاربران دسترسی کامل دارند، اطلاعات مربوط به رفتار کاربر و همچنین مواردی مانند موقعیت مکانی GPS را براحتی به دست می آورند، بنابراین باید بسیار جدی گرفته شود."

ضرورت یافتن راه حل برای امنیت اطلاعات اشخاص ثالث توسط صنعت امنیت سایبری

به گزارش مجله اینفو سکیوریتی، طی جلسه وبیناری که توسط آتاکاما برگزار شد، کارشناسان اعلام کردند که سازمان ها باید متوجه مسئولیت بیشتری در قبال امنیت اشخاص ثالثی که به داده های آنها دسترسی دارند، باشند.

برایان هِر، مدیر حوزه CISO در مینلاین اینفورمیشن سیستمز، در این وبینار ابتدا چگونگی وابستگی بیشتر سازمانها به اشخاص ثالث را نشان داد؛ بدین معنی که تعداد بیشتری از نهادها به اطلاعات محرمانه اشخاص ثالث دسترسی پیدا می کنند. وی توضیح داد که: "سازمان ها روز به روز داده های بیشتری را خارج از کنترل کاربران ثالث قرار می دهند"، و افزود: "فضای رگولاتوری و قانونی در تلاش است تا این موضوع را تحت بررسی بیشتری قرار دهد و این شیوه تجارت که توسط ما انجام میشود را تغییر دهد".

قانون GDPR اتحادیه اروپا به طور کلی به عنوان پیشگامی در قوانین محافظت از داده ها تلقی می شود و سایر کشورها مانند ایالات متحده از نظر مقررات رگولاتوری خود، شروع به پیروی از این قوانین کرده اند. اکنون در رابطه با دسترسی به داده های شخص ثالث در GDPR، برخی توصیفات جدید در حال ظهور است که احتمالاً پیامدهایی جهانی در پی داشته باشد.

پاتریک برت، وکیل سابق رگولاتوری و حریم خصوصی در فیلیپ نایزر از نیویورک، توضیح داد که "در حال حاضر تمرکز بیشتر و بیشتر بر روی اشخاص ثالث است". در GDPR، سازمانها و نهادها، مسئولیت های واضح و مشخصی در راستای انجام ارزیابی ریسک و سایر بررسی های فنی هنگام تحویل داده ها و اطلاعات به اشخاص ثالث، بر عهده دارند.

برت خاطرنشان کرد که در تعدادی از پرونده های اخیر که جریمه ها توسط دفتر کمیساری اطلاعات انگلیس (ICO) از جمله سازمان هایی مانندBA ، Marriott و Ticketmaster صادر شده است، گفته شده که مسئولیت بر عهده اشخاص ثالث است، "اما در تک به تک موارد، ICO مشخص کرده است که این مسئولیت آن شرکت ها است و آنها به هیچ عنوان شخص ثالثی را مسئول نمی دانند"؛ و به طبع این مشکلات در نهایت به دلیل عدم موفقیت آن شرکت ها و سازمان ها در انجام مراقبت های لازم بود.

برت افزود كه اصول مشابهی نیز در قانون حریم خصوصی مصرف كنندگان كالیفرنیا (CCPA) وجود دارد.

دیمیتری نمیروفسکی، بنیانگذار و مدیر ارشد اجرایی در آتاکاما، با بیان اینکه سازمانها به طور کامل کنترل می کنند که چه اتفاقی برای داده های آنها می افتد، انتقادها را پذیرفت. وی با اشاره به اینکه در یک محیط دیجیتالی که به طور فزاینده ای دیجیتالی شده است، قرار داریم افزود: "من فکر نمی کنم امروز بتوانید بدون استفاده از شخص ثالث به هر شکلی در این صنعت وجود و حضور داشته باشید". در این زمینه نیز بسیار مهم است که شرکت ها رویکرد صحیحی را برای اطمینان از حفظ یکپارچگی داده های سپرده شده به اشخاص ثالث پیدا کنند. نمیروفسکی گفت: "بسیار مهم است که شما از ابزارهایی که استفاده می کنید، مراقبت و محافظت کنید و این کار را به شکلی انجام دهید که عملکرد مورد انتظار از نیروی کار خود را حفظ و عرضه کنید".

به گفته نمیروفسکی، مدیریت توزیع و ارائه کلیدهای رمزگذاری برای دستیابی به این امر بسیار مهم است. وی اظهار داشت: "کلید واژه این مورد، در مسئله مدیریت هویت و دسترسی خلاصه می شود". این بدین دلیل است که اگر اعتبار کاربر مجاز به خطر بیفتد، به طبع آن تمام داده ها برای مهاجم رمزگشایی می شوند.

بنابراین به خطر افتادن حساب، بزرگترین مسئله و معضل امنیتی در مورد اشخاص ثالث است، زیرا حتی پس از ارزیابی کافی ریسک نیز امکان بروز نقص ها و نفوذهایی نیز وجود دارد. هِر نیز گفت: "این مسئله به مشكل بزرگی تبدیل خواهد شد كه صنعت امنیت سایبری باید آن را حل كند. در نهایت این به درک درست و نزدیک کردن آن رمزگذاری تا حد امکان به میزان استفاده از داده ها برمیگردد، تا جایی که در صورت حادث شدن چیزی در این بین، باعث بروز مشکلی نشده و اصلا مهم نباشد".