ايتنا - کارت‌های اعتباری و حریم خصوصی

به‌نظر می‌رسد مردم واقعاً نمی‌دانند بر سر اطلاعاتی که در کارت‌های اعتباری آنها ذخیره شده، چه می‌آید؛ چرا که بنابر پژوهش‌هایی که به‌تازگی انجام شده، این امکان وجود دارد که اطلاعات مربوط به هویت فرد از طریق این ردی که کارت‌ها برجا می‌گذارند، افشا شود. مطمئناً فرایندهایی وجود دارند تا تراکنش‌ها به‌صورت گمنام انجام شوند؛ اما یافته‌های مطالعه اخیر در مؤسسه فناوری ماساچوست (MIT) نشان می‌دهند که این تراکنش‌ها آنقدرها هم که فکر می‌کنیم، گمنام نیستند.

بنابر این یافته‌ها، تنها چهار مؤلفه تاریخی ـ ‌مکانی در طی سه ماه مربوط به خریدهای انجام‌شده توسط کارت‌های اعتباری لازم است تا بتوان از روی تراکنش‌ها، هویت کامل فرد را شناسایی کرد.

ایو-الکساندر دو مونتوی (یک دانشجوی کارشناسی ارشد در دانشگاه MIT در رشته هنرها و علوم رسانه‌ای و نویسنده اصلی این پژوهش) می‌گوید: «چیزی که ما در این تحقیق پیدا کردیم، این است که داده‌های مربوط به کارت‌های اعتباری از طریق چیزی که ما «حمله ائتلافی» می‌نامیم، تا حد زیادی قابل‌شناسایی هستند.» مطالعه دانشگاه MIT به این نتیجه رسیده است که چهار نقطه خرید دو مؤلفه‌ای (روز، مکان خریداری) در ۹۰ درصد از موارد، اطلاعات کافی را برای شناسایی فرد را در اختیار قرار می‌دهند.

اما دانشگاه MIT تنها به یافتن چگونگی لو رفتن هویت فرد اکتفا نکرد. در واقع، پژوهشگران همچنین به این مسئله توجه کردند که دانستن قیمت تقریبی یک کالا، تا چه حد می‌تواند در شناسایی فرد موردنظر کمک کند. آنها با مجهز بودن به سه بخش اضافی از اطلاعات در مورد خریدهای ما، ۹۴ درصد شانس شناسایی ما را از روی سوابق کارت اعتباری دارند. به‌عنوان مثال، دو مونتوی می‌گوید: «اگر ببینم که شما چه چیزی خریده‌اید، یک شلوار جین یا یک پیتزا، می‌توانم متوجه شوم که آن کالا چه حدود قیمتی داشته است.» این نوع اطلاعات قیمت را می‌توان از کسانی به‌دست آورد که یا آن را توئیت می‌کنند، یا روی فیس‌بوک چیزی پست می‌کنند، و یا در اینستاگرام عکسی از آخرین خرید خود آپلود می‌نمایند.

داده‌ها برای چه جمع‌آوری می‌شوند؟
مجموعه‌های بزرگی از داده‌های سرشار از اطلاعات ظاهراً گمنام، اغلب توسط پژوهشگران، دانشمندان و مؤسسات تحلیل آراء مورد استفاده قرار می‌گیرند تا از روندها و عادات جدید و مهم، پرده‌برداری کنند. دو مونتوی اظهار می‌کند: «چیزهای جالبی وجود دارند که افراد می‌توانند با آن داده‌ها انجام دهند؛ مانند عرضه کردن دیدگاهی یکتا از الگوی مصرف و اقتصاد؛ از جمله اطلاعاتی پیرامون تورّم. خیلی مهم است که ما بتوانیم از این داده‌ها برای تحقیقات استفاده کنیم.»

برای نمونه، تاریخچه و سوابق کارت‌های اعتباری اغلب توسط خرده‌فروشان و به‌منظور جمع‌آوری اطلاعاتی راجع به محبوب‌ترین نوع محصولات، اینکه این محصولات کجا خریداری می‌شوند و مصرف‌کنندگان چه مبلغی برای آنها می‌پردازند، مورد استفاده قرار می‌گیرند. پژوهشگرانی که به مطالعه اقتصاد می‌پردازند نیز ممکن است از این نتایج برای به‌دست آوردن یافته‌هایی پیرامون چگونگی و میزان صرف هزینه از سوی مصرف‌کنندگان استفاده کنند.

بنابر پژوهش انجام‌شده در دانشگاه MIT، با نگاه به گستره‌ای فراتر از داده‌های مصرفی، می‌بینیم که اطلاعات موجود در مجموعه‌های بزرگ داده‌ها از این پتانسیل برخوردار هستند تا به ما کمک کنند درک بهتری از چگونگی مبارزه با بیماری‌ها (با استفاده از اطلاعات پزشکی)، طراحی شهرها (با استفاده از اطلاعات ترافیکی) و پژوهش در رفتار انسانی داشته باشیم.

هنگامی که این نوع از اطلاعات در اختیار پژوهشگران قرار می‌گیرد، چیزهایی مثل نام، شماره حساب، نشانی، و دیگر اطلاعات اجتماعی از این مجموعه از داده‌ها دریافت می‌شوند. اما آنچه که از آن غفلت می‌شود، فراداده‌ها (metadata) است؛ یعنی اطلاعاتی که به توصیف داده‌های دیگر می‌پردازند. فراداده‌ها ممکن است خود شامل چیزهای دیگری نیز باشند همچون مکان، نام رسته‌ها، برچسب‌های ساختاری، و دیگر دارایی‌ها که به مردم کمک می‌کنند تا به دسته‌بندی اطلاعات بر حسب گروه‌هایی بپردازند که ویژگی‌های مشترکی دارند. بدین‌ترتیب، فراداده‌ها به اکتشاف اطلاعات کمک شایانی می‌کنند.

اصلاح فرایند
پژوهش‌های دانشگاه MIT نشان می‌دهند که به‌منظور خصوصی نگاه داشتن اطلاعات مربوط به هویت، پاک کردن اطلاعات هویت شخصی، ممکن است در برخی موارد کافی نباشد. دو مونتوی می‌گوید: «این امر نشان می‌دهد که گمنام‌سازی داده‌های گسترده، مانند فراداده‌های مربوط به تلفن همراه یا کارت‌های اعتباری، کار واقعاً دشواری است.» او ادامه می‌دهد: «من فکر می‌کنم معنای این مسئله این است که ما باید در مورد اصلاح فرایند و روش‌های محافظت از داده‌ها، بیشتر فکر کنیم.»

منظور دو مونتوی از محافظت از داده‌ها، رسیدگی به اطلاعات مربوط به حریم خصوصی است و نه امنیت اطلاعات. او می‌گوید: «امنیت مستلزم میزان زیادی رمزنگاری، کنترل و غیره است. نشت اطلاعات معمولاً منجر به لو رفتن هویت افراد می‌شود. در اینجا امنیت یک ملاحظه عمده نیست؛ زیرا مجرمان سایبری باید مجموعه‌های بسیار بزرگی از داده‌ها را به‌دست بیاورند (مطالعه دانشگاه MIT نیازمند سوابق کارت اعتباری حدود ۱ میلیون و یکصد هزار نفر از مردم بود تا بتواند به نتایج مورد نیاز خود برسد)، و این‌که این مجرمان باید از انگیزه کافی برای شناسایی تک‌تک افراد از روی مجموعه داده‌ها برخوردار باشند که البته این امری نامحتمل است.»

این یافته‌ها به‌جای رسیدگی به دغدغه‌های امنیتی، از نیاز عمده‌تر و بزرگتری در زمینه حریم خصوصی در هنگام کار با مجموعه داده‌ها سخن می‌گویند. گروه پژوهشی در دانشگاه MIT برای این کار، طرحی مدنظر دارد. دو مونتوی می‌گوید: «ایده‌ای که ما داریم، این است که ما کد را با هم به‌اشتراک می‌گذاریم، ولی داده‌ها را به‌اشتراک نمی‌گذاریم.»

او ادامه می‌دهد: «یک طرف واسط که می‌خواهد از این داده‌ها استفاده کند، قسمتی از کد را به شما می‌فرستد که درون داده‌ها، چیزی را کامل می‌کند.» این طرف واسط پاسخ را دریافت می‌کند و نگهدارنده داده‌ها هرگز اطلاعات واقعی را منتشر نخواهد کرد، که همچنین بدین معناست که شانس زیادی برای لو رفتن یا دزدیده شدن اطلاعات وجود نخواهد داشت.

فراداده‌های مربوط به تلفن همراه
یافته‌های مربوط به فراداده‌ها، مشابه گزارش دانشگاه MIT هستند که دو سال پیش منتشر شد و نشان می‌داد که گمنام‌سازی داده‌های تلفن‌های همراه هم سختی‌های خاص خودش را دارد. در این مطالعه، پژوهشگران داده‌های مربوط به حدود یک میلیون و نیم کاربر تلفن همراه را بررسی کردند و متوجه شدند که چهار نقطه مرجع، برای شناسایی افراد با دقت ۹۵ درصد کافی است. این یافته‌ها بدان معنا هستند که فرد (یا نهادی همچون دولت) دارای مجموعه‌ای از داده‌های گمنام‌سازی‌شده از شبکه‌های ارتباطی، قادر است ما را بر اساس برج‌های تقویت آنتن که به آنها اتصال پیدا می‌کنیم و نیز زمان تماس، شناسایی کنند.

پاسخ پژوهشگران دانشگاه MIT به این مسئله مشابه پاسخی است که برای گمنام‌سازی بهترِ داده‌های مربوط به کارت‌های اعتباری، بدان دست یافتند. این سیستم که openPDS/SafeAnswers نام دارد، به کاربران اجازه می‌دهد تا خودشان به جمع‌آوری داده‌ها بپردازند و مستلزم استفاده از برنامه‌هایی است که تنها می‌توانند پرسش‌هایی در مورد داده‌ها درون یک PDS (انبار داده‌های شخصی) مطرح کنند. بنابراین، با اینکه داده‌های حاصل از مختصات GPS و شتاب‌سنج برای پاسخ دادن به یک پرسش مورد استفاده قرار می‌گیرند، اما داده‌های واقعی درون یک وسیله سیار نگهداری خواهند شد.

محافظت از داده‌های دیجیتالی
پژوهش انجام‌شده در دانشگاه MIT علاوه بر طرح پیشنهادی برای حفظ گمنامی، روی روش‌هایی برای مبارزه با نشت داده‌ها نیز فعالیت می‌کند. در حال حاضر برای رسیدگی به چالش‌های فنی، قانونی و تجاری امنیت سایبری، سه نوع تلاش عمده در حال انجام هستند. آخرین این تلاش‌ها توسط یک کنسرسیوم جدید در دانشکده مدیریت دانشگاه MIT در حال انجام است. این کنسرسیوم با تمرکز بر مسائل مدیریتی و عملیاتی، در پی یافتن روش‌هایی برای بهبود امنیت زیرساخت‌های حیاتی می‌باشد.

برای رویارویی هرچه بهتر با جنبه‌های فنی مقوله امنیت سایبری و نیز برای نقویت مؤثرتر پیشگیری از حملات وب و روش‌های بازگردانی، آزمایشگاه علوم کامپیوتر و هوش مصنوعی در دانشگاه MIT، متخصصانی از حوزه‌های نرم‌افزار، سخت‌افزار و رمزنگاری را گرد هم آورده است. همچنین، «ابتکار سیاست امنیت سایبری» این دانشگاه نیز به‌منظور ایجاد یک بنیان مستحکم در جهت ایجاد سیاست امنیت سایبری مداوم و همیشگی، پژوهشگران دانشگاه MIT را دور هم جمع کرده است.

همان‌طور که دیده می‌شود، هنگامی که ذهن‌های آماده در دانشگاه MIT در پی حل یک مسئله می‌روند، همه جا را مورد واکاوی قرار می‌دهند.

ریسک بیش‌ازپیش در زمینه حریم خصوصی
یکی از یافته‌های بسیار جالب مطالعه دانشگاه MIT این بود که دانستن بهای پرداختی در یک تراکنش، ریسک لو رفتن هویت را تا ۲۲ درصد افزایش می‌دهد. روش‌های گوناگونی وجود دارند که فرد می‌تواند در این مورد حدس بزند؛ از جمله از طریق رسانه‌های اجتماعی. بنابراین، کسانی که دغدغه حریم خصوصی را در ذهن خود دارند، بهتر است از ارسال توئیت‌هایی در مورد آخرین رستورانی که در آن نهار صرف کرده‌اند، یا برچسب‌گذاری (tagging) در پست فیس‌بوک یا اینستاگرام خود، دوری نمایند.

گزارش دانشگاه MIT با عنوان «یکتا در عرصه بازار: درباره قابلیت شناسایی مجدد فراداده‌های کارت‌های اعتباری» نشان داد که اگر کسی به یک پایگاه داده‌های بسیار بزرگ از کارت‌های اعتباری گمنام دسترسی داشته باشد، برای دستیابی به هویت شما، تنها به چند تکه پازل دیگر نیاز دارد.

منبع: ماهنامه دنياي كامپيوتر و ارتباطات