Xəbərlər
Gizlilik (Məxfilik) və Təhlükəsizlik – Privacy vs. Security - Sadiq İsmaylov
Gizlilik (Məxfilik) və Təhlükəsizlik – Privacy vs. Security
Məxfilik və təhlükəsizlik bir -biri ilə əlaqəli olsa da, heç bir şəkildə asılı deyil. Həm də hər hansı birinə sahib olmaqla digərindən imtina etmək lazım deyil. Məxfiliyin təmin edilməsinə kömək etmək üçün təhlükəsizlik mexanizmlərindən istifadə etmək vacibdir. Mühafizəçilər, kilidlər, kameralar, giriş nəzarətləri (access control) və şifrələmə (enryption), məxfiliyin təmin edilməsinə kömək etmək üçün yerləşdirilə bilən təhlükəsizlik mexanizmləridir. Yalnız perimetr deyil, verilənlər bazasındakı fərdi sətirlər və ya sütunlar kimi məlumat elementlərinin özləri də qorunmalıdır. Mümkün olan ən güclü təhlükəsizlik tədbirləri ilə belə, məlumatlara qanuni şəkildə daxil olan bir işçi, məlumatların işlənməsini tənzimləyən məxfilik siyasətini dərindən başa düşmədiyi təqdirdə onu səhv idarə edə bilər. Düzgün yoxlama (Auditing), pozuntuların faktiki olaraq aşkarlanmasına kömək edə bilər, lakin bu da tam deyil və yoxlamalar zamanı hər hansı məqamlardan yan keçmək olar. Bu səbəblərə görə yalnız təhlükəsizliyə və ya məxfiliyə etibar etməklə, məlumatları qorumaq olmaz. Təklif olunan ən yaxşı qoruma həm təhlükəsizliyi, həm də məxfiliyi birlikdə istifadə etməklə olur.
Şifrələmədəki yeni irəliləyişlər, faydalılığını qoruyarkən həssas məlumatları qorumaq üçün bir vasitə təmin edir. Homomorf şifrələmə, çox tərəfli hesablama və diferensial məxfilik, xam məlumatların əldə edilməsini maneə törədən, lakin yenə də məlumatlar üzərində təhlil aparmaq qabiliyyətini təmin edən texnologiya nümunəsidir. Kredit hesabat verən şirkətlər kimi etibarlı üçüncü tərəflər də, lazımsız şəxsi məlumatları açıqlamadan istifadəçilər haqqında məlumat vermək üçün istifadə edilə bilər. Bəzi hallarda məxfilik praktiklərindən təhlükəsizlik məqsədləri üçün məxfilikdən imtina etmələri istənilir, belə olan halda ifadə olunan siyasətlərə və ya müqavilə razılaşmalarına zidd olur. Ən az müqavimət göstərmək və şirkətin öhdəliklərinə qarşı həssas məlumatları açıqlamaq əvəzinə məxfilik həlləri təklif etməlisiniz.
Məxfilik və təhlükəsizlik (Privacy and Security), şəxsi məlumatları qorumaq üçün ortaq bir məqsəd daşıyır. Bu baxımdan çox oxşardırlar. Ancaq eyni məqsədə çatmaq üçün fərqli yanaşmalara sahibdirlər. Məxfilik, şəxsi məlumatların necə istifadə olunacağını, paylaşılmasını və saxlanılmasını tənzimlədiyi halda, təhlükəsizlik, həssas məlumatlara girişi məhdudlaşdırır və toplama, saxlama və ötürmə zamanı baxılmaqdan qoruyur. Bu şəkildə simbiyotik bir əlaqə qururlar. Məxfilik siyasəti təhlükəsizlik sistemlərinə məlumatları qorumaq üçün lazım olan təhlükəsizlik haqqında məlumat verə bilər və təhlükəsizlik sistemləri buna uyğun olaraq bu məxfilik siyasətini tətbiq edə bilər. Məsələn, bir siyasət yalnız əmək haqqı idarəçilərinin işçilərin maaşlarını görə biləcəyini və verilənlər bazasına giriş nəzarətlərinin bu siyasəti tətbiq edə biləcəyini ifadə edə bilər. XACML - eXtensible Access Control Markup Language, təhlükəsizlik nəzarətləri vasitəsi ilə proqramlaşdırılmış şəkildə tətbiq oluna bilən siyasətlərin tərifinə icazə verən bir siyasət dili nümunəsidir. Microsoft-un SQL Server-in Siyasətə əsaslanan İdarəetmə Sistemi, verilənlər bazası tərəfindən proqramla tətbiq oluna bilən istifadəçi və qrup siyasətlərinin tərifinə icazə verir. Həm məxfilik, həm də təhlükəsizliyi təmin etmək üçün gümüş güllə yoxdur və heç kim də bunu düzəltmir. Əksinə, nizamnaməyə, standartlara və siyasətlərə uyğun olaraq davamlı təhsil, məlumatlılıq və müvafiq nəzarət tədbirlərinin tətbiqi tələb olunur.
Məxfilik praktikləri üçün məxfilik və təhlükəsizlik ilə bağlı əsas problem, iş əməliyyatlarına mənfi təsir etmədən həm məlumat toplama, həm də təhlükəsizlik təhdidlərinin artdığı bir mühitdə necə qorunacağını ifadə etməkdir. Məxfilik və təhlükəsizlik eyni olmasa da, hər birinə olan bağlılığımız olmalıdır. Təhlükəsizlik naminə məxfilik tərəfini aşağı salmaq istədikdə, məxfiliyi qorumaq naminə arzu olunan məqsədlərə necə çatmaq barədə müzakirə başlanılmalıdır.
08.09.2021