تحذر شركة AT&T عملائها من الاختراقات. حماية البيانات كانت معركة كبيرة - من شركات مثل AT&T

هذا الأسبوع، أخطرت شركة AT&T ملايين العملاء بأن بياناتهم قد سُرقت على الأرجح في عملية تسريب البيانات التي كشفت عنها الشركة في وقت سابق من هذا الشهر. وفي هذه الأثناء، لا تزال القوانين الشاملة التي من شأنها حماية العملاء من الاختراقات تكافح من أجل تمريرها، حيث حاربت AT&T ومنافسيها مجموعة من قوانين البيانات وأثرت بشدة على خليط من قوانين البيانات بحجة أن النهج فشل في كبح جماح المشكلة.

كانت معلومات عملاء AT&T التي تمت سرقتها من عملاء AT&T ذات قيمة كبيرة بالنسبة لمجرمي الإنترنت لدرجة أن مكتب التحقيقات الفيدرالي طلب من الشركة تأجيل تقديم إفصاح إلى لجنة الأوراق المالية والبورصات بسبب مخاوف محتملة تتعلق بالأمن القومي والسلامة العامة. تم اختراق البيانات من "جميع" عملاء شركة AT&T الخلوية "تقريبًا" وعملاء مزودي خدمات الاتصالات اللاسلكية الذين استخدموا شبكتها في الفترة ما بين 1 مايو 2022 و31 أكتوبر 2022.

هذه ليست المرة الأولى حتى هذا العام التي تتعرض فيها AT&T للاختراق. فقد كانت الشركة تتصارع بالفعل مع تسريب بيانات غير ذي صلة حدث في مارس. في ذلك الوقت، قالت AT&T إن معلومات شخصية، مثل أرقام الضمان الاجتماعي الخاصة بـ 73 مليون عميل حالي وسابق، تم نشرها على شبكة الإنترنت المظلم.

لطالما طالب المدافعون عن المستهلكين وبعض المشرعين بمزيد من الحماية لبيانات العملاء. على الرغم من صدور قوانين الولايات في حوالي 20 ولاية، إلا أن خليط اللوائح التنظيمية بين الولايات والوكالات التي تنظم خصوصية البيانات، يمكن أن يؤدي إلى تناقضات وثغرات. ومما يزيد الأمور تعقيدًا أن جماعات الضغط من شركات التكنولوجيا الكبرى إلى شركات الاتصالات الهاتفية تؤثر بشدة على العديد من جهود التنظيم هذه على مستوى الولايات وعلى المستوى المحلي.

قالت AT&T في بيان لها: "لقد دعمنا منذ فترة طويلة سياسة خصوصية فيدرالية شاملة تحمي جميع الأمريكيين وتطبق عبر نظام الإنترنت البيئي. ما زلنا نعتقد أن سياسة الخصوصية الفيدرالية يجب أن تضع مجموعة متسقة من الحماية، التي تفرضها جهة تنظيمية واحدة، لجميع المستهلكين."

اللوبيات هي "جوهر المشكلة

إن الاحتفاظ بالمعلومات الخاصة مثل من تراسله وما تشاهده بالإضافة إلى عنوانك ورقم الضمان الاجتماعي يجعل بيانات شركات الاتصالات هدفاً عالي القيمة. قد تكون هذه البيانات لا تقدر بثمن لمحاولات التصيد الاحتيالي ومحاولات الاحتيال المستهدفة.

قال دومينيك سيليتو، أستاذ الأمن السيبراني في جامعة بافالو، إن البيانات التي تحتفظ بها شركات الاتصالات الهاتفية هي "البوابة إلى كل شيء آخر على الإنترنت". "كل الاتصالات التي لدينا، كل شيء يمر عبر مزود اتصالات أو مزود خدمة الإنترنت."

وهذه الثروة من البيانات تجذب القراصنة.

وأشار سيليتو إلى أن "هذه الشركات الكبيرة، بسبب حجمها وكنز البيانات الدفين، لديها بالتأكيد هدفًا مستهدفًا".

وهي ليست وحدها: في العام الماضي فقط، أدت الهجمات الإلكترونية الكبيرة إلى تجميد وكلاء السيارات وتأخير سيارات الإسعاف.

في الوقت الحالي، توجد قوانين خصوصية البيانات في 19 ولاية تغطي ما لا يقل عن 150 مليون أمريكي، على الرغم من اختلافها في الحجم والنطاق. هناك لوائح فيدرالية تتعلق بمجالات محددة من الخصوصية، مثل القوانين التي تغطي البيانات الطبية أو المعلومات المتعلقة بالأطفال، كما أن هناك وكالات مثل لجنة الاتصالات الفيدرالية تنظم الاتصالات السلكية واللاسلكية. لكن لا يوجد قانون كبير وشامل لخصوصية البيانات على المستوى الفيدرالي، والعديد من قوانين الولايات تكتبها بشكل أساسي الصناعات من خلال جماعات الضغط الخاصة بها، كما قال آلان بتلر، المدير التنفيذي ورئيس مركز معلومات الخصوصية الإلكترونية.

"وقال إيريك نونان، الرئيس التنفيذي لشركة CyberSheath للأمن السيبراني: "إن جوهر المشكلة في تشريع قوانين الاتصالات هو جماعات الضغط وفعاليتها على مدى عقود عديدة.

يسير الأمن السيبراني وخصوصية البيانات جنبًا إلى جنب. إن أشد اللوائح التنظيمية المقترحة ستفرض قواعد لتقليل البيانات بمعنى أنه إذا جمعت الشركات بيانات أقل، فسيكون هناك عدد أقل متاح للقراصنة لسرقتها في المقام الأول. سيكون هناك أيضًا قواعد أكثر صرامة لأمن البيانات وقواعد إخطار في حالة حدوث اختراق.

من غير الواضح ما إذا كانت هذه القواعد ستمنع الاختراقات التي قامت بها AT&T أو ستوفر حماية أفضل لعملائها. لكن المدافعين عن المستهلكين انتقدوا صناعة الاتصالات لوقوفها في طريق قوانين أكثر شمولاً.

وشددت المجموعات التجارية على أن قوانين الخصوصية الواقعية قد نجحت في تمرير العديد من الولايات.

قال أندرو كينجمان، مستشار تحالف الخصوصية والأمن في الولايات، في بيان: "في غياب تشريع فيدرالي عملي لخصوصية البيانات، يفخر تحالفنا متعدد القطاعات بأنه كان واحدًا من العديد من أصحاب المصلحة الذين عملوا على إطار عمل شامل للخصوصية يغطي الآن أكثر من 100 مليون أمريكي وحظي بدعم ساحق من الحزبين في المجالس التشريعية للولايات ذات الديناميكيات السياسية المختلفة بشكل كبير".

تقول مجموعات التجارة الصناعية إنه في حين أن الأمن السيبراني وخصوصية البيانات يمكن أن يكونا مترابطين، إلا أن هناك توترًا بين هذين المفهومين قد لا يتم تغطيته بالكامل في قانون خصوصية البيانات.

كيف تبدو محاولة تمرير قوانين خصوصية البيانات

عندما كان كولين والكي، وهو محامي خصوصية البيانات والأمن السيبراني، في مجلس النواب في أوكلاهوما، ركز على تشريعات خصوصية البيانات. بعد أن أقرّت كاليفورنيا قانونها التاريخي لخصوصية البيانات في عام 2018، حاول تمرير تشريع مماثل في ولايته.

"كان لدينا جماعات ضغط من أمازون. كان لدينا جماعات ضغط من جوجل. كان لدينا كل ذلك. ولكن العائق الأول أمامنا لتمرير هذا القانون في أوكلاهوما كان AT&T و Verizon." قال والكه لشبكة CNN. رفضت فيريزون التعليق.

في بيان لها، قالت أمازون إنها تدعم "تشريع الخصوصية الفيدرالي الأمريكي الذي يتطلب الشفافية، والوصول إلى المعلومات الشخصية للفرد، والقدرة على حذف المعلومات الشخصية، ويحظر بيع البيانات الشخصية دون موافقة. وفي حالة عدم وجود إجراء من الكونجرس، فإننا ندعم قوانين الولايات المصاغة جيدًا التي تحمي خصوصية المستهلكين، مع الاستمرار في السماح بالابتكار."

وقالت مونيكا بريستلي، ممثلة الولاية في ولاية فيرمونت، إن جماعات الضغط من مختلف الصناعات "خرجت بكامل قوتها في اللحظة الأخيرة"، حتى أنها استضافت ندوات عبر الإنترنت ومكالمات على مستوى البلدة أو المدينة، ضد مشروع قانون الخصوصية التاريخي هذا العام. أحد اللوبيات، وهو تحالف الخصوصية والأمن في الولاية، يمثل شركات AT&T، وT-Mobile، وVirizon، وMeta، بالإضافة إلى شركات السيارات والرعاية الصحية وبطاقات الدفع.

وقد استخدم حاكم فيرمونت حق النقض (الفيتو) ضد مشروع القانون في يونيو، والذي كان من شأنه أن يكون واحدًا من أقوى القوانين في البلاد.

قالت مجموعات التجارة الصناعية إن القدرة على مقاضاة الشركات بسبب انتهاكات البيانات والمتطلبات الصارمة لتقليل البيانات كانت ستكون مكلفة للغاية بالنسبة للشركات الصغيرة في فيرمونت للامتثال لها.

"قال بريستلي: "الجزء الأصعب في مشاريع القوانين هذه هو أنها ذات طبيعة تقنية للغاية، وتميل الصناعة إلى تسليم الولاية سياسة وتشجعها على العمل بها. "لقد خلقت الصناعات هذا الوحش الخارج عن السيطرة، وهم أنفسهم في خطر. ويجب أن يتغير شيء ما."

لماذا لا يوجد قانون وطني للخصوصية؟

يقول المدافعون إن جماعات الضغط الخاصة بشركات التكنولوجيا الكبرى وجماعات الضغط الخاصة بالاتصالات قد حولت تركيزها من سحق النقاش الفيدرالي إلى الانخراط بعمق على مستوى الولايات.

قال نونان: "إن القانون الوطني يضع الجميع على قدم المساواة". "إنه يضع خط الأساس لما يبدو عليه الأمر الجيد بالنسبة لمقدمي خدمات البنية التحتية الحيوية هؤلاء، بما في ذلك شركات الاتصالات، ومن ثم يعطي الحكومة معيارًا لتطبيقه."

يقول المدافعون عن القانون الشامل إن المستهلك العادي لا ينبغي أن يضطر إلى تحليل اتفاقيات المستخدم الكثيفة لمعرفة ما يجري مع بياناته.

وقالت AT&T في بيان لها: "يمكن لعملائنا إدارة كيفية استخدامنا ومشاركة معلوماتهم لأنشطة معينة بما في ذلك الإعلانات والتسويق، ويمكنهم إلغاء الاشتراك في أي وقت."

لكن تشديد اللوائح يعني أنه يجب على الشركات إنفاق المزيد من الموارد لتعزيز أمنها الإلكتروني. كما تضغط الشركات أيضًا ضد السماح للأفراد بمقاضاة الأفراد للحصول على تعويضات.

قال العديد من خبراء الخصوصية لـCNN إن الكثير من أعمال شركات الاتصالات متجذرة في سوق الوساطة في البيانات، حسبما قال العديد من خبراء الخصوصية لـCNN. وهي بيانات قيّمة.

قال بتلر: "مثل العديد من الصناعات الأخرى، ترى صناعة الاتصالات أن تسويق البيانات للاستخدامات الإعلانية هو مصدر دخل إضافي."

في أبريل الماضي، فرضت لجنة الاتصالات الفيدرالية غرامة على شركات AT&T وSprint وTe-Mobile وTe-Mobile وVirizon ما يقرب من 200 مليون دولار لمشاركتها بيانات العملاء الشخصية بشكل غير قانوني دون موافقتهم. تنبع الغرامات من مزاعم لجنة الاتصالات الفيدرالية في عام 2020 بأن الشركات شاركت لسنوات سجلات الموقع الجغرافي للمستخدمين بشكل غير صحيح مع أطراف ثالثة، بما في ذلك السجون، كجزء من برامجها التجارية.

وردًا على غرامات لجنة الاتصالات الفيدرالية، قالت جميع شركات الاتصالات اللاسلكية إنها تتوقع استئناف القرار.

كما أن لجنة الاتصالات الفيدرالية ليست الجهة التنظيمية الوحيدة لشركات الاتصالات، والتي يمكن أن تكون كيانات عملاقة.

قال نونان: "إنه مجال مبهم للغاية ويتطلب الوضوح، وهذا الوضوح لا يمكن أن يأتي إلا من خلال التنظيم".