06 ديسمبر 2022
معلومات التعريف الشخصية (PII) هي أي معلومات مرتبطة بفرد معين يمكن استخدامها لكشف هوية هذا الفرد أو سرقتها، مثل رقم الضمان الاجتماعي أو الاسم الكامل أو عنوان البريد الإلكتروني أو رقم الهاتف.
مع تزايد اعتماد الأشخاص على تكنولوجيا المعلومات في عملهم وحياتهم الشخصية، ازدادت كمية معلومات التعريف الشخصية التي يتم مشاركتها مع المؤسسات. على سبيل المثال، تقوم الشركات بجمع البيانات الشخصية للعملاء لفهم أسواقها، كما أن المستهلكين يعطون بسهولة أرقام هواتفهم وعناوين منازلهم للتسجيل في الخدمات والتسوق عبر الإنترنت.
يمكن أن يكون لمشاركة معلومات التعريف الشخصية فوائدها، حيث إنها تتيح للشركات تكييف المنتجات والخدمات حسب رغبات واحتياجات عملائها، مثل عرض نتائج أكثر ملاءمة في تطبيقات التصفح. ومع ذلك، فإن المخازن المتزايدة لمعلومات التعريف الشخصية المتراكمة لدى المؤسسات تجذب انتباه المجرمين الإلكترونيين.
يسرق المخترقون معلومات التعريف الشخصية (PII) لارتكاب جرائم سرقة الهوية، أو بيعها في السوق السوداء، أو الاحتفاظ بها عبر برامج الفدية. ووفقًا لتقرير IBM حول تكلفة اختراق أمن البيانات لعام 2024 ، بلغ متوسط تكلفة اختراق أمن البيانات الناجم عن الهجوم ببرامج الفدية 5.68 مليون دولار أمريكي. ويتعين على الأفراد وخبراء أمن المعلومات التعامل مع بيئة تكنولوجيا معلومات وبيئة قانونية معقدة للحفاظ على خصوصية البيانات في مواجهة هذه الهجمات.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
تنقسم معلومات التعريف الشخصية (PII) إلى نوعين: معلومات تعريف مباشرة ومعلومات تعريف غير مباشرة. معلومات التعريف المباشرة فريدة لكل شخص، وتشمل معلومات مثل رقم جواز السفر أو رقم رخصة القيادة. وعادةً ما يكفي مصدر معلومات تعريف مباشر واحد لتحديد هوية الشخص.
معلومات التعريف غير المباشرة ليست فريدة. وهي تشمل تفاصيل شخصية أكثر عمومية مثل العرق ومكان الميلاد. على الرغم من أن مصدر معلومات تعريف غير مباشر واحد لا يمكنه تحديد هوية الشخص، إلا أن مجموعة من أنواع معلومات التعريف يمكنها ذلك. على سبيل المثال، يمكن تحديد 87٪ من المواطنين الأمريكيين بناء على جنسهم والرمز البريدي وتاريخ ميلادهم فقط.
لا تُعتبر جميع البيانات الشخصية معلومات تعريف شخصية. على سبيل المثال، لا تعتبر البيانات المتعلقة بعادات المشاهدة المباشرة لشخص ما معلومات تعريف شخصية. ذلك لأنه سيكون من الصعب، إن لم يكن من المستحيل، تحديد هوية شخص ما بناءً على ما شاهده على نتفليكس فقط. تشير معلومات التعريف الشخصية فقط إلى المعلومات التي تشير إلى شخص معين، مثل نوع المعلومات التي قد تقدمها للتحقق من هويتك عند الاتصال بالبنك الذي تتعامل معه.
من بين معلومات التعريف الشخصية، تكون بعض المعلومات أكثر حساسية من غيرها. معلومات التعريف الشخصية الحساسة هي معلومات حساسة تحدد هوية الفرد بشكل مباشر ويمكن أن تسبب ضررًا كبيرًا في حالة تسريبها أو سرقتها
.رقم الضمان الاجتماعي (SSN) هو مثال جيد على معلومات التعريف الشخصية الحساسة. نظرًا لأن العديد من الوكالات الحكومية والمؤسسات المالية تستخدم أرقام الضمان الاجتماعي للتحقق من هويات الأشخاص، فإن المجرم الذي يسرق رقم الضمان الاجتماعي يمكنه بسهولة الوصول إلى السجلات الضريبية أو الحسابات المصرفية لضحيته. تشمل الأمثلة الأخرى لمعلومات التعريف الشخصية الحساسة ما يلي:
- أرقام التعريف الفريدة، مثل أرقام رخصة القيادة وأرقام جوازات السفر وغيرها من أرقام بطاقات الهوية الصادرة عن الحكومة.
- البيانات البيومترية، مثل بصمات الأصابع ومسح شبكية العين.
- المعلومات المالية، بما في ذلك أرقام الحسابات المصرفية وأرقام بطاقات الائتمان.
- السجلات الطبية.
عادةً ما تكون معلومات التعريف الشخصية الحساسة غير متاحة للعامة، وتفرض معظم القوانين الحالية على المؤسسات حمايتها عن طريق تشفيرها، أو التحكم في الأشخاص الذين يمكنهم الوصول إليها أو اتخاذ تدابير أخرى فيما يتعلق بالأمن السيبراني.
معلومات التعريف الشخصية غير الحساسة هي البيانات الشخصية التي لا تسبب، بمعزل عن غيرها، ضررًا كبيرًا للشخص إذا تم تسريبها أو سرقتها. قد تكون أو لا تكون فريدة من نوعها لشخص ما. على سبيل المثال، يمكن أن يكون اسم المستخدم على وسائل التواصل الاجتماعي غير حساس لمعلومات التعريف الشخصية غير الحساسة: يمكن أن يحدد هوية شخص ما، ولكن لا يمكن لأي جهة خبيثة أن ترتكب سرقة الهوية معتمدة فقط على اسم حساب على وسائل التواصل الاجتماعي. تشمل الأمثلة الأخرى لمعلومات التعريف الشخصية غير الحساسة ما يلي:
- الاسم الكامل للشخص
- اسم الأم قبل الزواج
- رقم الهاتف
- عنوان IP
- مكان الميلاد
- تاريخ الميلاد
- التفاصيل الجغرافية (الرمز البريدي، المدينة، الولاية، الدولة، إلخ.)
- معلومات التوظيف
- عنوان البريد الإلكتروني أو عنوان المراسلة
- العرق أو الإثنية
- الدين
غالبًا ما تكون معلومات التعريف الشخصية غير الحساسة متاحة للعامة. على سبيل المثال، قد تكون أرقام الهواتف مدرجة في دليل الهاتف، وقد تكون العناوين مدرجة في سجلات الملكية العامة للحكومة. لا تتطلب بعض لوائح خصوصية البيانات حماية معلومات التعريف الشخصية غير الحساسة، لكن العديد من الشركات تضع ضمانات على أي حال. وذلك لأن المجرمين يمكن أن يتسببوا في مشاكل من خلال تجميع أجزاء متعددة من معلومات التعريف الشخصية غير الحساسة.
على سبيل المثال، يمكن لأحد المخترقين اختراق تطبيق الحساب المصرفي لشخص ما باستخدام رقم هاتفه وعنوان بريده الإلكتروني واسم الأم قبل الزواج. يمنحهم البريد الإلكتروني اسم المستخدم. يتيح انتحال رقم الهاتف للمخترقين الحصول على رمز التحقق. يوفر اسم الأم قبل الزواج إجابة على سؤال الأمان.
من الجدير بالذكر أن اعتبار شيء ما على أنه حساس أو غير حساس فيما يتعلق بمعلومات التعريف الشخصية يعتمد بشكل كبير على السياق. قد يكون الاسم الكامل بمفرده غير حساس، ولكن قائمة بالأشخاص الذين زاروا طبيبًا معينًا قد تكون حساسة. وبالمثل، قد يكون رقم هاتف شخص ما متاحًا للجمهور، ولكن قاعدة بيانات أرقام الهواتف المستخدمة للمصادقة الثنائية على أحد مواقع التواصل الاجتماعي قد تكون معلومات شخصية حساسة.
متى تصبح المعلومات الحساسة معلومات تعريف شخصية؟
يحدد السياق أيضًا ما إذا كان شيء ما يعتبر ضمن معلومات التعريف الشخصية من الأساس. على سبيل المثال، غالبًا ما يُنظر إلى بيانات تحديد الموقع الجغرافي المجهولة المجمعة على أنها بيانات شخصية عامة لأنه لا يمكن عزل هوية أي مستخدم واحد بعينه.
ومع ذلك، يمكن أن تصبح السجلات الفردية لبيانات تحديد الموقع الجغرافي مجهولة الهوية ضمن معلومات التعريف الشخصية، كما يتضح من دعوى قضائية حديثة للجنة التجارة الفيدرالية (FTC).
تجادل لجنة التجارة الفيدرالية بأن وسيط البيانات Kochava كان يبيع بيانات تحديد الموقع الجغرافي التي تُعدّ بمثابة معلومات تعريف شخصية لأن "موجز البيانات المخصص للشركة يسمح للمشترين بتحديد وتتبع مستخدمين محددين للأجهزة المحمولة. على سبيل المثال، من المحتمل أن يكون موقع الجهاز المحمول ليلاً هو عنوان منزل المستخدم ويمكن دمجه مع سجلات الملكية للكشف عن هويته."
كما تؤدي التطورات التي تشهدها التكنولوجيا إلى أن يصبح من السهل تحديد هوية الأشخاص بكمية أقل من المعلومات، مما قد يقلل من عتبة ما يعتبر معلومات تعريف شخصية بشكل عام. على سبيل المثال، ابتكر باحثون في IBM وجامعة ماريلاند خوارزمية. تحدد هذه الخوارزمية أفراداً محددين من خلال الجمع بين بيانات الموقع المجهولة والمعلومات المتاحة للجمهور من مواقع شبكات التواصل الاجتماعي.
لوائح الخصوصية الدولية
بحسب McKinsey، نفذت 75٪ من الدول قوانين خصوصية البيانات التي تحكم عمليات جمع معلومات التعريف الشخصية والاحتفاظ بها واستخدامها. قد يكون الامتثال لهذه اللوائح أمراً صعباً لأن دوائر الاختصاص القضائي المختلفة قد يكون لها قواعد وقوانين مختلفة أو حتى متناقضة.
كما يشكل ظهور الحوسبة السحابية والقوى العاملة عن بُعد تحديًا أيضًا. في هذه البيئات، قد يتم جمع البيانات في مكان ما، وتخزينها في مكان آخر، ومعالجتها في مكان ثالث. قد تنطبق لوائح مختلفة على البيانات في كل مرحلة، اعتمادًا على الموقع الجغرافي.
ومما يزيد الأمور تعقيدًا أن اللوائح المختلفة تضع معايير مختلفة لأنواع البيانات التي يجب حمايتها. تتطلب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) من المؤسسات حماية جميع البيانات الشخصية، والتي تُعرَّف على أنها "أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديد هويته."
بموجب اللائحة العامة لحماية البيانات، يجب على المؤسسات حماية معلومات التعريف الشخصية الحساسة وغير الحساسة. كما يجب عليها أيضًا حماية الأشياء التي قد لا تعتبر بيانات حساسة في سياقات أخرى. تتضمن هذه المعلومات الآراء السياسية والانتماءات التنظيمية وأوصاف الخصائص الجسدية.
لوائح الخصوصية في الولايات المتحدة
يعرّف مكتب الإدارة والميزانية التابع لحكومة الولايات المتحدة الأمريكية (OMB) معلومات التعريف الشخصية بشكل أضيق على النحو التالي:
[I]المعلومات التي يمكن استخدامها لتمييز أو تتبع هوية الفرد، مثل اسمه، ورقم الضمان الاجتماعي، والسجلات البيومترية، وما إلى ذلك بمفردها، أو عند دمجها مع معلومات شخصية أو تعريفية أخرى مرتبطة أو قابلة للربط بفرد معين، مثل تاريخ ومكان الميلاد، واسم الأم قبل الزواج، وما إلى ذلك.
كما قال Bart Willemsen، المحلل لدى Gartner ، "في الولايات المتحدة ... تشير معلومات التعريف الشخصية تاريخياً إلى عشرين أو ثلاثين معرفاً مثل الاسم أو العنوان أو رقم الضمان الاجتماعي أو رخصة القيادة أو رقم بطاقة الائتمان".
في حين تفتقر الولايات المتحدة إلى قوانين خصوصية البيانات على المستوى الفيدرالي، تخضع الحكومة إلى قانون الخصوصية لعام 1974، الذي يتحكم في كيفية قيام الحكومة بجمع معلومات التعريف الشخصية واستخدامها ومشاركتها. بعض الولايات الأمريكية لديها لوائح خصوصية البيانات الخاصة بها، وأبرزها كاليفورنيا. يمنح قانون خصوصية المستهلك في كاليفورنيا (CCPA) وقانون حقوق الخصوصية في كاليفورنيا (CPRA) المستهلكين حقوقًا معينة حول كيفية قيام المؤسسات بجمع معلومات التعريف الشخصية الخاصة بهم وتخزينها واستخدامها
لوائح الخصوصية المرتبطة بالمجال
تستخدم بعض المجالات لوائح خصوصية البيانات الخاصة بها. في الولايات المتحدة الأمريكية، يحكم قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) كيفية جمع مؤسسات الرعاية الصحية للسجلات الطبية ومعلومات التعريف الشخصية للمرضى وحمايتها.
وبالمثل، فإن معيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) هو معيار عالمي في القطاع المالي لكيفية تعامل شركات بطاقات الائتمان والتجار ومعالجي الدفع مع المعلومات الحساسة لحامل البطاقة.
تشير الأبحاث إلى أن المؤسسات واجهت صعوبات في التعامل مع هذا المجال المتغير من القوانين ومعايير الصناعات المختلفة. ووفقًا لمؤسسة ESG، فإن 66% من المؤسسات التي خضعت لتدقيق خصوصية البيانات في السنوات الثلاث الماضية فشلت مرة واحدة على الأقل، و23% منها فشلت ثلاث مرات أو أكثر.
يمكن أن يؤدي عدم الامتثال للوائح خصوصية البيانات ذات الصلة إلى غرامات وإلحاق الضرر بالسمعة وفقدان الأعمال وعواقب أخرى على المؤسسة. على سبيل المثال، تم تغريم شركة Amazon مبلغ 888 مليون دولار أمريكي لانتهاكها اللائحة العامة لحماية البيانات في عام 2021.
يسرق المخترقون معلومات التعريف الشخصية لأسباب عديدة: لسرقة الهوية، أو للابتزاز، أو لبيعها في السوق السوداء، حيث يمكن أن يصل سعر رقم الضمان الاجتماعي إلى دولار أمريكي واحد لكل رقم ضمان اجتماعي و2000 دولار أمريكي لرقم جواز السفر.
قد يستهدف المخترقون أيضًا معلومات التعريف الشخصية كجزء من هجوم أكبر: فقد يحتجزونها كرهينة باستخدام برمجيات الفدية أو يسرقون معلومات التعريف الشخصية للاستيلاء على حسابات البريد الإلكتروني للمديرين التنفيذيين لاستخدامها في عمليات التصيد الاحتيالي واختراق البريد الإلكتروني للأعمال (BEC).
غالبا ما يستخدم المجرمون الإلكترونيون هجمات هندسة وسائل التواصل الاجتماعي لخداع الضحايا المطمئنين لتسليم معلومات التعريف الشخصية عن طيب خاطر، ولكن قد يشترونها أيضاً على الشبكة الخفية أو يتمكنون من الوصول إليها كجزء من عملية أكبر لاختراق أمن البيانات. يمكن سرقة معلومات التعريف الشخصية بشكل فعلي عن طريق الوصول إلى سلة مهملات الشخص أو التجسس عليه أثناء استخدامه لجهاز كمبيوتر.
قد تراقب الجهات الخبيثة أيضًا حسابات وسائل التواصل الاجتماعي الخاصة بالهدف، حيث يشارك العديد من الأشخاص دون علمهم معلومات التعريف الشخصية غير الحساسة كل يوم. وبمرور الوقت، يمكن للمهاجمين جمع معلومات كافية لانتحال شخصية الضحية أو اختراق حساباتهم.
بالنسبة إلى المؤسسات، قد تكون حماية معلومات التعريف الشخصية معقدة. حيث إن نمو الحوسبة السحابية وخدمات البرمجيات كخدمة يعني أنه قد يتم تخزين ومعالجة معلومات التعريف الشخصية في مواقع متعددة بدلاً من شبكة مركزية واحدة.
وفقا لتقرير صادر عن مؤسسة ESG، من المتوقع أن تتضاعف كمية البيانات الحساسة المخزنة في السحابات العامة بحلول عام 2024، وتعتقد أكثر من نصف المؤسسات أن هذه البيانات ليست آمنة بما فيه الكفاية.
لحماية معلومات التعريف الشخصية، تقوم المؤسسات عادة بإنشاء إطارات عمل خصوصية البيانات. يمكن أن تتخذ إطارات العمل هذه أشكالاً مختلفة اعتماداً على المؤسسة ومعلومات التعريف الشخصية التي تجمعها ولوائح خصوصية البيانات التي يجب أن تتبعها. على سبيل المثال، يوفر المعهد الوطني الأمريكي للمعايير والتقنية (NIST) نموذج إطار العمل هذا:
1. تحديد جميع معلومات التعريف الشخصية في أنظمة المؤسسة.
2. تقليل جمع واستخدام معلومات التعريف الشخصية إلى الحد الأدنى، والتخلص بانتظام من أي معلومات تعريف شخصية لم تعد هناك حاجة إليها.
3. تصنيف معلومات التعريف الشخصية وفقًا لمستوى الحساسية.
4. تطبيق عناصر التحكم في أمن البيانات . قد تتضمن أمثلة عناصر التحكم ما يلي:
- التشفير: إن تشفير معلومات التعريف الشخصية أثناء النقل، وفي حالة التخزين، وأثناء الاستخدام من خلال التشفير المتجانس أو الحوسبة السرية يمكن أن يساعد في الحفاظ على أمان معلومات التعريف الشخصية وامتثالها بغض النظر عن مكان تخزينها أو التعامل معها.
- إدارة الهوية والوصول (IAM): يمكن أن تضع المصادقة متعددة العوامل المزيد من الحواجز بين المخترقين والبيانات الحساسة. وبالمثل، يمكن أن يؤدي فرض مبدأ الامتياز الأقل من خلال هندسة الثقة الصفرية وعناصر التحكم في الوصول المستندة إلى الأدوار (RBAC) إلى الحد من عدد المخترقين الذين يمكنهم الوصول إلى معلومات التعريف الشخصية إذا اخترقوا الشبكة.
- التدريب: يتعلم الموظفون كيفية التعامل مع معلومات التعريف الشخصية والتخلص منها بشكل صحيح. كما يتعلمون كيفية حماية معلومات التعريف الشخصية الخاصة بهم. يغطي هذا التدريب مجالات مثل مكافحة التصيد الاحتيالي، والهندسة الاجتماعية، والوعي بوسائل التواصل الاجتماعي.
- إخفاء الهوية: إخفاء هوية البيانات هو عملية إزالة الخصائص المحددة للبيانات الحساسة. تتضمن تقنيات إخفاء الهوية الشائعة تجريد المعرفات من البيانات أو تجميع البيانات أو إضافة ضوضاء بشكل استراتيجي إلى البيانات.
- أدوات الأمن السيبراني: يمكن أن تساعد أدوات منع فقدان البيانات (DLP) في تتبع البيانات أثناء حركتها عبر الشبكة، مما يسهل كشف التسريبات والاختراقات. يمكن أن تساعد حلول الأمن السيبراني الأخرى التي تقدم طرق عرض عالية المستوى للنشاط على الشبكة - مثل أدوات الكشف والاستجابة الموسعة (XDR) - في تتبع استخدام معلومات التعريف الشخصية وإساءة استخدامها.
5. صياغة خطة استجابة للحوادث من أجل تسريبات وانتهاكات معلومات التعريف الشخصية.
تجدر الإشارة إلى أن المعهد الوطني للمعايير والتكنولوجيا (NIST) وخبراء خصوصية البيانات الآخرين يوصون غالبًا بتطبيق عناصر تحكم مختلفة على مجموعات البيانات المختلفة بناءً على مدى حساسية البيانات. قد يكون تطبيق عناصر تحكم صارمة على البيانات غير الحساسة أمرًا مُرهقًا وغير مُجدٍ من حيث التكلفة.