کمیته رکن چهارم – تاریخچه فعالیتهای اینترنتی و سوابق کارتهای اعتباری، چه چیزهایی درباره شما برملا میکنند؟
بهنظر میرسد مردم واقعاً نمیدانند بر سر اطلاعاتی که در کارتهای اعتباری آنها ذخیره شده، چه میآید؛ چرا که بنابر پژوهشهایی که بهتازگی انجام شده، این امکان وجود دارد که اطلاعات مربوط به هویت فرد از طریق این ردی که کارتها برجا میگذارند، افشا شود. مطمئناً فرایندهایی وجود دارند تا تراکنشها بهصورت گمنام انجام شوند؛ اما یافتههای مطالعه اخیر در مؤسسه فناوری ماساچوست (MIT) نشان میدهند که این تراکنشها آنقدرها هم که فکر میکنیم، گمنام نیستند.
بنابر این یافتهها، تنها چهار مؤلفه تاریخی ـ مکانی در طی سه ماه مربوط به خریدهای انجامشده توسط کارتهای اعتباری لازم است تا بتوان از روی تراکنشها، هویت کامل فرد را شناسایی کرد.
ایو-الکساندر دو مونتوی (یک دانشجوی کارشناسی ارشد در دانشگاه MIT در رشته هنرها و علوم رسانهای و نویسنده اصلی این پژوهش) میگوید: «چیزی که ما در این تحقیق پیدا کردیم، این است که دادههای مربوط به کارتهای اعتباری از طریق چیزی که ما «حمله ائتلافی» مینامیم، تا حد زیادی قابلشناسایی هستند.» مطالعه دانشگاه MIT به این نتیجه رسیده است که چهار نقطه خرید دو مؤلفهای (روز، مکان خریداری) در ۹۰ درصد از موارد، اطلاعات کافی را برای شناسایی فرد را در اختیار قرار میدهند.
اما دانشگاه MIT تنها به یافتن چگونگی لو رفتن هویت فرد اکتفا نکرد. در واقع، پژوهشگران همچنین به این مسئله توجه کردند که دانستن قیمت تقریبی یک کالا، تا چه حد میتواند در شناسایی فرد موردنظر کمک کند. آنها با مجهز بودن به سه بخش اضافی از اطلاعات در مورد خریدهای ما، ۹۴ درصد شانس شناسایی ما را از روی سوابق کارت اعتباری دارند. بهعنوان مثال، دو مونتوی میگوید: «اگر ببینم که شما چه چیزی خریدهاید، یک شلوار جین یا یک پیتزا، میتوانم متوجه شوم که آن کالا چه حدود قیمتی داشته است.» این نوع اطلاعات قیمت را میتوان از کسانی بهدست آورد که یا آن را توئیت میکنند، یا روی فیسبوک چیزی پست میکنند، و یا در اینستاگرام عکسی از آخرین خرید خود آپلود مینمایند.
دادهها برای چه جمعآوری میشوند؟
مجموعههای بزرگی از دادههای سرشار از اطلاعات ظاهراً گمنام، اغلب توسط پژوهشگران، دانشمندان و مؤسسات تحلیل آراء مورد استفاده قرار میگیرند تا از روندها و عادات جدید و مهم، پردهبرداری کنند. دو مونتوی اظهار میکند: «چیزهای جالبی وجود دارند که افراد میتوانند با آن دادهها انجام دهند؛ مانند عرضه کردن دیدگاهی یکتا از الگوی مصرف و اقتصاد؛ از جمله اطلاعاتی پیرامون تورّم. خیلی مهم است که ما بتوانیم از این دادهها برای تحقیقات استفاده کنیم.»
برای نمونه، تاریخچه و سوابق کارتهای اعتباری اغلب توسط خردهفروشان و بهمنظور جمعآوری اطلاعاتی راجع به محبوبترین نوع محصولات، اینکه این محصولات کجا خریداری میشوند و مصرفکنندگان چه مبلغی برای آنها میپردازند، مورد استفاده قرار میگیرند. پژوهشگرانی که به مطالعه اقتصاد میپردازند نیز ممکن است از این نتایج برای بهدست آوردن یافتههایی پیرامون چگونگی و میزان صرف هزینه از سوی مصرفکنندگان استفاده کنند.
بنابر پژوهش انجامشده در دانشگاه MIT، با نگاه به گسترهای فراتر از دادههای مصرفی، میبینیم که اطلاعات موجود در مجموعههای بزرگ دادهها از این پتانسیل برخوردار هستند تا به ما کمک کنند درک بهتری از چگونگی مبارزه با بیماریها (با استفاده از اطلاعات پزشکی)، طراحی شهرها (با استفاده از اطلاعات ترافیکی) و پژوهش در رفتار انسانی داشته باشیم.
هنگامی که این نوع از اطلاعات در اختیار پژوهشگران قرار میگیرد، چیزهایی مثل نام، شماره حساب، نشانی، و دیگر اطلاعات اجتماعی از این مجموعه از دادهها دریافت میشوند. اما آنچه که از آن غفلت میشود، فرادادهها (metadata) است؛ یعنی اطلاعاتی که به توصیف دادههای دیگر میپردازند. فرادادهها ممکن است خود شامل چیزهای دیگری نیز باشند همچون مکان، نام رستهها، برچسبهای ساختاری، و دیگر داراییها که به مردم کمک میکنند تا به دستهبندی اطلاعات بر حسب گروههایی بپردازند که ویژگیهای مشترکی دارند. بدینترتیب، فرادادهها به اکتشاف اطلاعات کمک شایانی میکنند.
اصلاح فرایند
پژوهشهای دانشگاه MIT نشان میدهند که بهمنظور خصوصی نگاه داشتن اطلاعات مربوط به هویت، پاک کردن اطلاعات هویت شخصی، ممکن است در برخی موارد کافی نباشد. دو مونتوی میگوید: «این امر نشان میدهد که گمنامسازی دادههای گسترده، مانند فرادادههای مربوط به تلفن همراه یا کارتهای اعتباری، کار واقعاً دشواری است.» او ادامه میدهد: «من فکر میکنم معنای این مسئله این است که ما باید در مورد اصلاح فرایند و روشهای محافظت از دادهها، بیشتر فکر کنیم.»
منظور دو مونتوی از محافظت از دادهها، رسیدگی به اطلاعات مربوط به حریم خصوصی است و نه امنیت اطلاعات. او میگوید: «امنیت مستلزم میزان زیادی رمزنگاری، کنترل و غیره است. نشت اطلاعات معمولاً منجر به لو رفتن هویت افراد میشود. در اینجا امنیت یک ملاحظه عمده نیست؛ زیرا مجرمان سایبری باید مجموعههای بسیار بزرگی از دادهها را بهدست بیاورند (مطالعه دانشگاه MIT نیازمند سوابق کارت اعتباری حدود ۱ میلیون و یکصد هزار نفر از مردم بود تا بتواند به نتایج مورد نیاز خود برسد)، و اینکه این مجرمان باید از انگیزه کافی برای شناسایی تکتک افراد از روی مجموعه دادهها برخوردار باشند که البته این امری نامحتمل است.»
این یافتهها بهجای رسیدگی به دغدغههای امنیتی، از نیاز عمدهتر و بزرگتری در زمینه حریم خصوصی در هنگام کار با مجموعه دادهها سخن میگویند. گروه پژوهشی در دانشگاه MIT برای این کار، طرحی مدنظر دارد. دو مونتوی میگوید: «ایدهای که ما داریم، این است که ما کد را با هم بهاشتراک میگذاریم، ولی دادهها را بهاشتراک نمیگذاریم.»
او ادامه میدهد: «یک طرف واسط که میخواهد از این دادهها استفاده کند، قسمتی از کد را به شما میفرستد که درون دادهها، چیزی را کامل میکند.» این طرف واسط پاسخ را دریافت میکند و نگهدارنده دادهها هرگز اطلاعات واقعی را منتشر نخواهد کرد، که همچنین بدین معناست که شانس زیادی برای لو رفتن یا دزدیده شدن اطلاعات وجود نخواهد داشت.
فرادادههای مربوط به تلفن همراه
یافتههای مربوط به فرادادهها، مشابه گزارش دانشگاه MIT هستند که دو سال پیش منتشر شد و نشان میداد که گمنامسازی دادههای تلفنهای همراه هم سختیهای خاص خودش را دارد. در این مطالعه، پژوهشگران دادههای مربوط به حدود یک میلیون و نیم کاربر تلفن همراه را بررسی کردند و متوجه شدند که چهار نقطه مرجع، برای شناسایی افراد با دقت ۹۵ درصد کافی است. این یافتهها بدان معنا هستند که فرد (یا نهادی همچون دولت) دارای مجموعهای از دادههای گمنامسازیشده از شبکههای ارتباطی، قادر است ما را بر اساس برجهای تقویت آنتن که به آنها اتصال پیدا میکنیم و نیز زمان تماس، شناسایی کنند.
پاسخ پژوهشگران دانشگاه MIT به این مسئله مشابه پاسخی است که برای گمنامسازی بهترِ دادههای مربوط به کارتهای اعتباری، بدان دست یافتند. این سیستم که openPDS/SafeAnswers نام دارد، به کاربران اجازه میدهد تا خودشان به جمعآوری دادهها بپردازند و مستلزم استفاده از برنامههایی است که تنها میتوانند پرسشهایی در مورد دادهها درون یک PDS (انبار دادههای شخصی) مطرح کنند. بنابراین، با اینکه دادههای حاصل از مختصات GPS و شتابسنج برای پاسخ دادن به یک پرسش مورد استفاده قرار میگیرند، اما دادههای واقعی درون یک وسیله سیار نگهداری خواهند شد.
محافظت از دادههای دیجیتالی
پژوهش انجامشده در دانشگاه MIT علاوه بر طرح پیشنهادی برای حفظ گمنامی، روی روشهایی برای مبارزه با نشت دادهها نیز فعالیت میکند. در حال حاضر برای رسیدگی به چالشهای فنی، قانونی و تجاری امنیت سایبری، سه نوع تلاش عمده در حال انجام هستند. آخرین این تلاشها توسط یک کنسرسیوم جدید در دانشکده مدیریت دانشگاه MIT در حال انجام است. این کنسرسیوم با تمرکز بر مسائل مدیریتی و عملیاتی، در پی یافتن روشهایی برای بهبود امنیت زیرساختهای حیاتی میباشد.
برای رویارویی هرچه بهتر با جنبههای فنی مقوله امنیت سایبری و نیز برای نقویت مؤثرتر پیشگیری از حملات وب و روشهای بازگردانی، آزمایشگاه علوم کامپیوتر و هوش مصنوعی در دانشگاه MIT، متخصصانی از حوزههای نرمافزار، سختافزار و رمزنگاری را گرد هم آورده است. همچنین، «ابتکار سیاست امنیت سایبری» این دانشگاه نیز بهمنظور ایجاد یک بنیان مستحکم در جهت ایجاد سیاست امنیت سایبری مداوم و همیشگی، پژوهشگران دانشگاه MIT را دور هم جمع کرده است.
همانطور که دیده میشود، هنگامی که ذهنهای آماده در دانشگاه MIT در پی حل یک مسئله میروند، همه جا را مورد واکاوی قرار میدهند.
ریسک بیشازپیش در زمینه حریم خصوصی
یکی از یافتههای بسیار جالب مطالعه دانشگاه MIT این بود که دانستن بهای پرداختی در یک تراکنش، ریسک لو رفتن هویت را تا ۲۲ درصد افزایش میدهد. روشهای گوناگونی وجود دارند که فرد میتواند در این مورد حدس بزند؛ از جمله از طریق رسانههای اجتماعی. بنابراین، کسانی که دغدغه حریم خصوصی را در ذهن خود دارند، بهتر است از ارسال توئیتهایی در مورد آخرین رستورانی که در آن نهار صرف کردهاند، یا برچسبگذاری (tagging) در پست فیسبوک یا اینستاگرام خود، دوری نمایند.
گزارش دانشگاه MIT با عنوان «یکتا در عرصه بازار: درباره قابلیت شناسایی مجدد فرادادههای کارتهای اعتباری» نشان داد که اگر کسی به یک پایگاه دادههای بسیار بزرگ از کارتهای اعتباری گمنام دسترسی داشته باشد، برای دستیابی به هویت شما، تنها به چند تکه پازل دیگر نیاز دارد.
منبع: ماهنامه دنیای کامپیوتر و ارتباطات