ربما كانت أشهر عملية سرقة للبيانات على الإطلاق ارتكبها "شخص مطلع على بواطن الأمور" هي عملية استحواذ إدوارد سنودن على بيانات من وكالة الأمن القومي الأميركية وإفصاحه عنها، فقد بيّنت قضية سنودن ثمن التركيز على التهديدات الخارجية على حساب استبعاد المفسدين الداخليين. وفي أعقاب هذه الواقعة، راحت الشركات تتبنى - على نحو متزايد - تقنيات متطورة يمكن أن تساعدها في الحيلولة دون التصدير المتعمد وغير المتعمد لبروتوكول الإنترنت الخاص بالمؤسسة، وغيره من البيانات الحساسة والبيانات الخاصة.
وهنا يأتي دور حلول منع فقدان البيانات التي تساعد الشركات على الكشف عن الأنماط أو السلوكيات الشاذة، من خلال تسجيل النقرات على لوحة المفاتيح، ومراقبة حركة مرور المعلومات على الشبكة، ومعالجة اللغة الطبيعية، وغير ذلك من السبل، مع تطبيق سياسات محل العمل وثيقة الصلة في الوقت عينه. ورغم أن هناك جدوى تجارية مشروعة من وراء تعميم هذه التقنية، فقد تحتوي أدوات منع فقدان البيانات على مجموعة كبيرة من قوانين الخصوصية الفدرالية والدولية التي تتراوح ما بين قوانين تتعلق بمراقبة الموظفين والجرائم الحاسوبية وربما تشريعات انتهاك سرية البيانات. وبالنظر إلى ما سبق، يتعين على الشركات أن تدرس المخاطر القانونية المرتبطة بأدوات منع فقدان البيانات قبل تنفيذها ووضع خطة استناداً إليها.
وهناك العديد من الأسئلة المحورية التي ينبغي أن تبحثها الشركات قبل تعميم برامج منع فقدان البيانات. أولاً، مَن الذي تراقبه؟ ثانياً، ما الذي تراقبه؟ ثالثاً، أين تتم عملية المراقبة؟ لننظر إلى كل سؤال بقدر أكبر من التفصيل:
مَن الذي تراقبه؟ السؤال الأول مهم لأن إجابته ربما تقتضي منك إرسال إشعار مسبق والحصول على موافقة. ربما بدا هذا الإجراء بسيطاً بما يكفي فيما يختص برسائل البريد الإلكتروني للموظفين، غير أنه يمثل تحديات فيما يتعلق برسائل الغير، وغير ذلك من الأنشطة الإلكترونية. على سبيل المثال، لو كانت شركة ما تستخدم أدوات منع فقدان البيانات لمراقبة الأنشطة الإلكترونية للموظفين، فينبغي أولاً أن تبحث قوانين مراقبة الموظفين وتمتثل لها. فثمة ولايات مثل كونيتيكت وديلاوير تحظر صراحةً على جهات العمل مراقبة الموظفين دون إشعار مسبق.
والقوانين الأخرى التي لا تستهدف مراقبة الموظفين، لكنها تُقيد مراقبة المراسلات الإلكترونية بشكل عام أكثر، ومثال عليها قانون خصوصية الاتصالات الإلكترونية لا بد أن توضع في الحسبان أيضاً، فرغم حظر قانون خصوصية الاتصالات الإلكترونية لمراقبة المراسلات الإلكترونية عموماً، هناك استثناءان ربما كانا ساريين على شركتك. يسمح "استثناء أغراض العمل" لجهات التوظيف بمراقبة المراسلات الإلكترونية للموظفين لو كان لدى جهة التوظيف "غرض أعمال شرعي" للمراقبة، وهذا بند جامع له تفسيرات فضفاضة. ويجوز لجهات التوظيف أيضاً مراقبة مراسلات محل العمل في حالة حصولها على موافقة موظفيها بذلك. غالباً ما تلجأ الشركات إلى هذا الإجراء ببساطة بمطالبة موظفيها بإقرار ممارسات مراقبتها والموافقة عليها خلال فترة إعداد الموظفين الجدد وقبل أن يكون الموظف قادراً على تسجيل دخوله إلى أجهزة الشركة أو شبكاتها ونظمها.
لو جاز أن راقبت برامج منع فقدان البيانات مراسلات الغير ورصدتها (على سبيل المثال الأقارب أو الأصدقاء الذين يراسلون الموظفين على عنوان نطاق عملهم)، فينبغي على الشركات أيضاً أن تحتاط لقوانين التنصت على المكالمات الهاتفية، وأن تبتكر إجراءات مناسبة للحد من الخطورة القانونية المصاحبة لها. تفرض ولايات مثل كاليفورنيا وإلينوي موافقة جميع أطراف المراسلة على اعتراض المراسلات، وهي في مرحلة انتقالية. ويعني هذا أنه قبل أن تتمكن الشركات من فحص رسالة بريد إلكتروني واردة من صديق أو قريب من أقرباء الموظف، لا بد أن تتوصل جهة التوظيف إلى طريقة لإشعار الموظفين بمراقبة مراسلات الغير، وطريقة للحصول على موافقة الغير على تلك المراقبة. ومن دون هذه الخطوة، قد تواجه الشركات خطر إقامة دعاوى جماعية و/أو إجراءات إنفاذ القانون ضدها. وكما أثبتتْ التسويات الأخيرة المقترحة التي تورطت فيها شركات تقنية، فالأطراف الثالثة التي لم تعطِ موافقتها، وفُحصت مراسلاتها بالفعل لمجرد أنها تواصلت مع مستخدمين أعطوا موافقتهم، على استعداد لمقاضاة تلك الشركات استناداً إلى قوانين التنصت على المكالمات الهاتفية "بموافقة الجميع". لدى الشركات خيارات محدودة بالنظر إلى التحديات العملية التي تنطوي عليها الحصول على موافقة الغير. ويعتمد كثيرون على نشر إشعار على موقع الشركة الإلكتروني الرسمي، وتضمين بيان في حاشية جميع رسائل البريد الإلكتروني للموظفين، مفاده أن جميع المراسلات الإلكترونية الواردة إلى نطاق الشركة أو الصادرة منه هي ملكية خاصة للشركة وعرضةً للمراقبة، وأن ذلك يعني الموافقة الضمنية التي تصاحب المراسلات المستمرة للغير مع الموظف عبر نطاق الشركة بعد الإفصاحات المذكورة آنفاً.
ما الذي تراقبه؟ يجب تحليل هذا السؤال بطريقتينْ: الأولى، من الضروري تحديد ما إذا كانت شركتك تنوي مراقبة البيانات العابرة و/أو المخزنة. وكثير من تشريعات الولايات المتعلقة بالتنصت على المكالمات، وكذلك قانون خصوصية الاتصالات الإلكترونية، كما ذكرنا، تحظر الاعتراض الإلكتروني للبيانات العابرة دون موافقة. والانتهاكات يمكن أن تؤدي إلى عقوبات قانونية ومدنية. ومن ناحية أخرى، من الممكن أن تندرج مراقبة البيانات المخزنة و/أو جمعها تحت قانون المراسلات المخزنة، الذي يحظر عموماً الوصول غير المصرح به إلى المراسلات الإلكترونية المخزنة في منشأة مزود خدمة المراسلات الإلكترونية والإفصاح عنها (أي البيانات المخزنة على الخوادم المؤسسية). وبينما لا يحظر قانون المراسلات المخزنة عموماً جهات التوظيف من الوصول إلى المراسلات المخزنة على نظمها الخاصة، قد تود الشركات أن تفكر أكثر من مرة قبل أن تطلع إلى المراسلات التي يخزنها مزود خدمة المراسلات الإلكترونية الخاص بها (على سبيل المثال، "مايكروسوفت" (Microsoft)، و"جي ميل" (Gmail)... إلخ) دون الحصول على التخويلات المناسبة.
ثانياً، من الضروري بحث أنواع استخدام شبكة الإنترنت أو المراسلات الإلكترونية التي يجوز مراقبتها، لأن هناك أنواع محددة مشمولة بالحماية. على سبيل المثال، تحظر حوالي 25 ولاية أميركية على جهات التوظيف إلزام الموظف أو مطالبته بالتصديق على استخدام حساب إلكتروني شخصي (على سبيل المثال، حساب على وسائل التواصل الاجتماعي أو مدونات أو حساب بريد إلكتروني)، أو إمداد جهة التوظيف بمعلومات تسجيل الدخول إلى حسابات شخصية. وبوسع تقنية منع فقدان البيانات - سواء عن طريق تسجيل النقرات على لوحة المفاتيح أو التقاط لقطات للشاشة - التحايل على هذه القوانين عبر حصولها بلا قصد على معلومات تسجيل الدخول إلى الحسابات الشخصية للموظف. وفي سياق مراقبة محل العمل، أقرت المحاكم وسلطات الولايات التشريعية مصالح الخصوصية في بيانات الموقع الجغرافي والمراسلات بين الموكلين والمحامين وأنشطة تنظيم النقابات. وفي غالبية هذه الحالات، لا بد من تحليل مصلحة خصوصية الموظف، وتحقيق التوازن بينها وبين المصلحة المشروعة للأعمال فيما يتعلق بإجراء عملية المراقبة في سياق الظروف المحددة.
أين تتم عملية المراقبة؟ وهذا السؤال الثالث مهم تحديداً، لو كانت الشركات تعتزم تثبيت برامج منع فقدان البيانات على الأجهزة الشخصية التي تُستخدم لأغراض العمل. ويمكن أن يندرج ذلك تحت قوانين الجرائم الحاسوبية وقوانين برامج التجسس الخاصة بالولاية التي تحظر، وفي كثير من الحالات تجرِّم، الوصول إلى أي حاسوب دون تصريح. كثير من الولايات، مثل كاليفورنيا ونيويورك وماساتشوستس لديها قوانين مشابهة تحكم استخدام الكتب. وانتهاك هذه القوانين يمكن أن يؤدي إلى عقوبات مشددة، تصل بحد أقصى إلى غرامات أو تعويضات عن أضرار و/أو السجن.
وبعيداً عن قوانين الخصوصية هذه، فإن الوصول غير المصرح به إلى البيانات أو فقدان البيانات الناجم عن عناصر داخلية فاسدة قد يؤدي إلى سن الولاية لقوانين إشعارات الانتهاك، الأمر الذي يعتمد على الظروف المحيطة. لدى 48 ولاية أميركية قوانين لإشعارات انتهاك سرية البيانات توجب إرسال إشعارات إلى الأشخاص الذين يصل إلى معلومات تعريفهم الشخصية أشخاص ليس لديهم تصريح بالوصول إلى تلك البيانات.
اعتبارات عالمية
والشركات التي تبحث فكرة استخدام أدوات منع فقدان البيانات ينبغي أن تضع في الحسبان قوانين الخصوصية العالمية. على سبيل المثال، النظام الأوروبي العام لحماية البيانات وقوانين الخصوصية السارية للدول الأعضاء تكفل تدابير وقائية أكثر تطوراً بكثير للموظفين مما يكفله القانون الأميركي. لقد يسرت العولمة على الشركات الناشئة والشركات المتعددة الجنسيات الكبرى أن تستعين بموظفين أو متعاقدين مستقلين في أقصى بقاع العالم. غير أن الجانب السلبي لذلك يكمن في أن جميع الشركات التي تستفيد من القوة العاملة الدولية تحتاج إلى العمل في حدود قوانين الخصوصية العالمية، بما في ذلك تلك التي تحكم مراقبة الموظفين. والشركات التي لديها موظفين في شتى أنحاء العالم يتعين عليها وضع استراتيجية امتثال تكفل التدابير الوقائية الملائمة بموجب القانون الدولي، وتتفادى في الوقت ذاته تنفيذ تدابير وقائية متقدمة للخصوصية بشكل غير مقصود على الموظفين الأميركيين بما يتجاوز نطاق القانون الأميركي.
ورغم أن الاعتبارات الواردة أعلاه ليست شاملة بأي حال من الأحوال، فهي تقدم نقطة انطلاق مفيدة لتقييم آثار الخصوصية والمخاطر القانونية التي ينطوي عليها استخدام تقنية منع فقدان البيانات للتصدي للمخاطر الداخلية. وبالطبع، لا يوجد نهج واحد يناسب الجميع فيما يتعلق بدمج هذه التقنية في برنامج منع فقدان البيانات. وبالتالي، فمن الأفكار السديدة أن تجري أولاً تقييماً لفهم أثر الخصوصية والمخاطر القانونية الناجمة عن استخدام أدوات منع فقدان البيانات. وما أن يُفهم الأثر والأخطار، ستكون الشركات حينئذ في وضع يسمح لها بتحديد تدابير التخفيف من وطأة الأخطار المناسبة لموقفها المحدد. وهذه التدابير ينبغي أن تتكون على الأقل من مجموعة من السبل الفنية والمؤسسية والسياسية، بما في ذلك:
- سياسات (1) توضح الجدوى التجارية من المراقبة بشكل لا لبس فيه. (2) وتشرح أنه لا ينبغي للموظفين أو أي أطراف ثالثة يتواصل معها الموظفون عبر نطاقات الشركة أن يتوقعوا أي قدر من الخصوصية في تلك المراسلات. (3) وتُعرّف الملكية المؤسسية عموماً على أنها لا تشمل فقط الأجهزة الحاسوبية، وإنما تمتد أيضاً إلى بيانات اعتماد تسجيل الدخول وكلمات المرور والمراسلات كلها الواردة إلى الشركة.
- أسلوب مراقبة مستند إلى المخاطر.
- تضييق نطاق المراقبة باستخدام الوسم أو غيره من التقنيات الشبيهة، بهدف مراقبة توقيت مغادرة البيانات لقاعدة البيانات وانتقالها عبر الشبكة المؤسسية.
- تشفير جميع البيانات وتقييد الوصول بشرط "الحاجة إلى المعرفة".
- بحث خطة لتعريف القوى العاملة بالشركة بعملية المراقبة، وغرس إحساس بالهدف المشترك والقيمة المشتركة لحماية بروتوكول الإنترنت المؤسسي وغيره من أصول البيانات.
لقد أسفرت الحالات الأخيرة الجسيمة لانتهاك سرية البيانات عن ارتفاع كبير في الوعي بالمخاطر الخارجية التي تهدد بروتوكول الإنترنت وغيره من البيانات السرية. ولا ينبغي أن تصرف هذه الأحداث انتباه الشركات عن حماية نفسها من المخاطر الداخلية المحتملة بكل دأب. ومن الحكمة أن تبحث الشركات فكرة تنفيذ إجراءات وقائية استباقية، مثل إضافة برامج منع فقدان البيانات إلى برامج منع فقدان البيانات الخاصة بها. وإذ تضع الشركات هذه الفكرة موضع التنفيذ، ينبغي أن تكون خطواتها مدروسة، وأن تُجري التحليل القانوني المسبق الضروري قبل تعميم مثل هذه التقنيات.