یکی از استانداردهای بین المللی در زمینۀ امنیت کامپیوتر، ضوابط مشترک[۴۸]است و هدف آن فراهم کردن شرایطی است که به واسطۀ آن کاربران امکان تشخیص نیازمندیهای امنیتی خود، توسعه دهندگان امکان تشخیص ویژگیهای امنیتی مورد نیاز محصولات و ارزیابان امکان تشخیص کیفیت مورد نظر محصولات را داشته باشند؛ در مجموع این استاندارد، الزامات مورد نیاز برای امنیت فناوری اطلاعات، محصولات یا سیستم را در دستههای مجزای الزامات کارکردی و الزامات اطمینان بخش، ارائه میدهد. الزامات کارکردی، تعیین کنندۀ رفتارهای امنیتی مطلوب و الزامات اطمینان بخش، پایهای برای بدست آوردن اطمینان در زمینۀ واقعیت داشتن ادعای اثربخشی اقدامات امنیتی و پیادهسازی صحیح آنها میباشد.
علاوه براین، امنیت اطلاعات که در داخل استاندارد تعریف شده، به عنوان حفاظت از محرمانه بودن (اطمینان از این که اطلاعات تنها در دسترس افراد مجاز است)، تمامیت/درستی (حفاظت از دقیق و کامل بودن اطلاعات و روشهای
پردازش را بیان می کند) و در دسترس بودن (اطمینان از دسترسی کاربر مجاز به اطلاعات و دارایی ها در زمان مورد نیاز میباشد)، است (ملادو، فورناندز مدینا و پاتینی[۴۹]، ۲۰۰۷).
در این راستا سازمان بین المللی استاندارد[۵۰]، پنج سرویس امنیتی شامل تصدیق هویت، کنترل دسترسی، محرمانه بودن، صحت (درستی) داده و غیرقابل انکار بودن، را مطرح نموده است (تک، لی و پارک[۵۱]، ۲۰۰۳). علاوه بر آن استاندارد ISO17799، سه عنصر سنتی امنیت اطلاعات، از قبیل محرمانگی، صحت (درستی) و در دسترس بودن را در زمینۀ الزامات امنیتی، تحکیم نموده است؛ بیشاپ (۲۰۰۳)، امنیت کامپیوتر را مبتنی بر محرمانگی، صحت (درستی) و دردسترس بودن میداند (بیشاپ، ۲۰۰۳، به نقل از چانگ و هو[۵۲]، ۲۰۰۶).
در نتیجه با توجه به مباحث مطرح شده در زمینۀ الزامات امنیتی، در این پژوهش، شش معیار مطرح میگردد که عبارتاند از تصدیق هویت، محرمانگی و حریم خصوصی، تمامیت (درستی)، عدم انکار، اعتبار و در دسترس بودن که در مراحل بعدی، هریک از این مؤلفه ها تشریح و تبیین میگردند.
تصدیق هویت[۵۳]
در تجارت الکترونیک، هویتها در اطلاعات گنجانده شده اند و معاملات در یک شبکۀ باز و ذاتا ناامن رخ می دهند. عقد قرارداد با یک فردی خاص، نیازمند توانایی شناخت هویت کاربر به عنوان دریافت کننده ای است که باید اثبات نماید فرستندۀ پیام ارسال شده میباشد. در حالی که مشکلات شناسایی، در تمام معاملات با افراد غریبه وجود دارد، اما به نظر میرسد که معاملات تجارت الکترونیک، این مشکلات را تشدید و باعث بروز مشکلات قانونی گردیده است. علاوه بر این مشکل هویت اشتباه در معاملات تجارت الکترونیک، موضوعات به ظاهر غیرمرتبطی از قبیل حریم خصوصی، امنیت شبکه، امضاء دیجیتال و قوانین امنیت شبکه را دربر میگیرد و باید آن را با فاکتورهای مطرح در ذهن، مانند افزایش استفاده از هویت جعلی در مبادلات آنلاین و سختیهای زیاد تصدیق هویت سایر طرفین قرارداد، مورد بازبینی قرارداد (مایک[۵۴]، ۲۰۱۲). لگات (۲۰۰۹)، سهولت خرید آنلاین را همراه با تهدیدات امنیتی مانند سرقت هویت و تقلب میداند (لگات، ۲۰۰۹، به نقل از لی، زییانگ، ما و وانگ[۵۵]، ۲۰۱۲).
در بیان مفهوم تصدیق هویت باید گفت که تصدیق هویت به معنای تأیید هویت ادعایی یک کاربر- یا پردازنده – در سیستم است. این کار را معمولاً یک پردازندۀ تصدیق هویت انجام میدهد. تصدیق هویت نخستین گام برای دسترسی به موجودیتهای دیگر سیستم است (جعفری،۱۳۸۵). واژۀ “سرقت هویت” در این مفهوم نشان دهندۀ استفادۀ غیرمجاز از اطلاعات مربوط به موجودیت یک فرد است؛ باید در نظر داشت که در اختیار داشتن اطلاعات به طور خودکار، نشان دهندۀ این نیست که شخصی با چنین دانش و اختیاراتی، فردی خواهد بود که اطلاعات به او تعلق دارد (مایک، ۲۰۱۲).
از این رو افرادی از جمله دلفی و هلمان - پیشگامان دانش رمزنگاری - در مقالۀ خود تصدیق هویت را به دو دسته تقسیم کردند:
تصدیق هویت کاربر
تصدیق هویت پیام (دلفی و هلمان، به نقل از جعفری، ۱۳۸۵).
فرایند تصدیق هویت مشتری
کلاین (۲۰۰۴)، مطرح کرد که معضل ناشی از امنیت، در تجارت آنلاین به هنگام تصدیق هویت مشتری، حادتر می شود. برای کاهش خسارت به مشتریان و کسب و کارها، بسیاری از خرده فروشان آنلاین اقداماتی در جهت تصدیق هویت مشتریان به کار گرفتند که این اقدامات برای بررسی خریدار یا کاربر مجاز، در روش پرداخت میباشند (کلاین،۲۰۰۴؛ به نقل از، لی و همکاران، ۲۰۱۲). با این حال بتناگار و گوس[۵۶] (۲۰۰۴)، روشهای احراز هویت را مسبب پیچیدگی فرایند پرداخت میدانند و خواهان حفاظتهای قویتر در مقابل تقلب میباشند که این موارد، سهولت خرید آنلاین را برای کاربران کاهش میدهد.
اگرچه ممکن است که همیشه برای مصرف کنندگان آشکار نباشد، اما رویههای تصدیق هویت مشتریان آنلاین، براساس ارتباط و همکاری بین کاربران انسانی و تکنولوژی کامپیوتر در سیستم تصدیق هویت میباشد. با این حال، به صورت ساده یا پیچیده، این فرایند می تواند به پنج مرحله زیر تجزیه شود:
برخی از اطلاعات مانند پاسخ به سؤالات امنیتی، کد شناسایی شخصی یا کدهای تأیید کارت اعتباری، بین سیستم تصدیق هویت و مشتری به اشتراک گذاشته می شود.
در زمان انجام معامله، از مشتری ارائۀ اطلاعات به منظور تکمیل فرایند خرید خواسته می شود.
مشتری با ارائۀ اطلاعات، به درخواست سیستم پاسخ میدهد.
صحت اطلاعات ارائه شده، توسط سیستم تأیید می شود.
پس از تکمیل بررسی، معامله توسط مشتری نهایی میگردد (لی و همکاران، ۲۰۱۲).
محرمانگی و حریم خصوصی[۵۷]
حریم خصوصی یکی از اساسیترین مصادیق حقوق بشر است، تا آنجا که گاه تمامی موارد حقوق بشر را جنبهها و ابعادی از حریم خصوصی میدانند. سابقۀ این مفهوم به مباحث ارسطو، در تمایز میان قلمرو عمومی سیاست، فعالیت سیاسی و قلمرو خصوصی یا خانگی خانواده مربوط میگردد. علاوه بر نگرانی موجود در حوزۀ جرایم اینترنتی، مشتریان نیز در مورد اطلاعات شخصی خود نگران هستند، زیرا امکان جمع آوری اطلاعات مصرف کننده بدون رضایت آنها، وجود دارد. درنتیجه، این امر نگرانیها در حوزۀ حفظ حریم خصوصی و سرقت هویت افراد را به دلیل نگرانی مصرف کننده در مورد استفاده، ذخیره و سوء استفاده از اطلاعاتش را افزایش میدهد.
بنابراین سیاستها در زمینۀ امنیت و حفظ حریم خصوصی، یکی از مهمترین جنبه های معاملات آنلاین است (کرافت و کاکار[۵۸]، ۲۰۰۹). کادیل و مورفی براین عقیده هستند که مشتریان با خرید محصول، بدون احراز هویت، از بازار فیزیکی، احساس امنیت مینمایند. اما در معاملات الکترونیکی در اینترنت شرایط متفاوت است؛ بنابراین با افزایش کاربرد اینترنت، نگرانی مشتریان درمورد جمع آوری اطلاعات توسط شرکتهای آنلاین و نحوۀ استفاده از اطلاعات شخصی آنها نیز افزایش مییابد (کادیل و مورفی ۲۰۰۰، به نقل از، مارتینز لوپز، لونا و مارتینز[۵۹]، ۲۰۰۵).
در تعریف حریم خصوصی میتوان گفت که حریم خصوصی، حق هر انسان در تعیین زمان، شیوه و حدود افشای اطلاعات مربوط به او است؛ این تعریف بیشتر، حریم خصوصی اطلاعات را دربر دارد. از سوی دیگر در تعریف ISO -که بیشتر حوزۀ رایانه و اطلاعات را مد نظر دارد- دو عنصر"جمع آوری اطلاعات” و “استفاده از آن” مد نظر است؛ به بیان دیگر حق نظارت فرد بر نوع اطلاعات جمعآوری و نگهداری شده درباره خود و آگاهی درباره افرادی که به این اطلاعات دسترسی پیدا می کنند، است. شاید جامعترین تعریف برای اصطلاح حریم خصوصی، تعریف کمیتهای به نام کالکات انگلستان باشد که آن را، حق افراد برای حمایت شدن در مقابل ورود بدون اجازه به امور زندگی و خانواده، با ابزار مستقیم فیزیکی یا نشر اطلاعات میداند.
از سوی دیگر باید در نظر داشت که حریم خصوصی را میتوان به حوزه های مجزایی تقسیم کرد. دکتر مهدخت بروجردی حوزه های حریم خصوصی را اینگونه بر میشمارد:
حریم اطلاعات: که شامل تصویب قوانینی است که اطلاعات شخصی نظیر اطلاعات مالی، پزشکی و دولتی افراد را تحت کنترل قرار میدهد. این حوزه به حفاظت داده ها نیز معروف است.
حریم جسمانی: که به حفاظت از جسم افراد، در مقابل آزمایشهای ژنتیک، دارویی و نظایر آن مربوط می شود.
حریم ارتباطات: که امنیت پستهای الکترونیکی، تلفنها، پست و سایر اشکال ارتباطات را بر عهده دارد.
حریم مکانی: که به اعمال مجموعه ای از محدودیتها و نظارتها، در محیط کار و زندگی افراد و همچنین اماکن عمومی مربوط می شود. حریم مکانی معمولاً به وسیلۀ نظارت ویدئویی و یا چک کردن هویت افراد، مورد تجاوز قرار میگیرد (ثروتی و مومنی ازندریانی، ۱۳۸۸).
عوامل نقضکنندۀ حریم خصوصی
جعفری (۱۳۸۵)، عوامل ناقض حریم خصوصی را در دستههای زیر طبقه بندی کرده است:
دسترسی غیرمجاز و ناخواسته به اطلاعات
این دسترسیها شامل اطلاعات ساکن (ذخیره شده در کامپیوتر کاربر) و اطلاعات در حال گذر (عبور کننده از مسیرهای ارتباطی، نظیر خطوط شبکه سفر) میباشد؛ دسترسی غیرمجاز به اطلاعات ساکن را با مکانیزم کنترل دسترسی و دسترسی غیرمجاز به اطلاعات در حال گذر را با مکانیزم رمزگذاری و نهاننگاری میتوان جلوگیری نمود.
رصد کردن رفتار کاربران
رصد کردن رفتار کاربران به معنی ضبط و بررسی رفتار کاربر در یک شبکه یا در کل اینترنت است؛ این عمل اگر بدون اطلاع یا رضایت کاربر باشد، ناقض حریم خصوصی او محسوب می شود که برای جلوگیری از چنین مواردی، ابزارهای گمنام سازی مطرح میگردد.
جمع آوری اطلاعات از بازدیدکنندگان
سرویس دهندگان میتوانند به راحتی اطلاعات گیرندۀ خدمات را براساس معیارهای مختلف پیگیری، ضبط و تحلیل نمایند و از این رهگذر به اطلاعات ارزشمند تجاری، فرهنگی و سیاسی دست یابند. ابزارهای مدیریت و محدودیت کوکیها و فایروالهای شخصی تا حدودی در کاهش این مخاطرات مؤثر هستند.
با توجه به این مباحث، برای اطمینان مشتریان در زمینۀ حفاظت از حریم خصوصی آنها، الزاماتی مطرح میگردد و گروههایی مثل TRUSTe و BBB online، برنامههایی را پیشنهاد می کنند که کسب و کارها بتوانند به منظور نشان دادن تعهدشان به حریم خصوصی و امنیت در آنها شرکت نمایند؛ برای مثال نشان TRUSTe برای مصرف کننده در وب سایتها، به معنی اطمینان کامل او در زمینۀ حفاظت از حریم خصوصی خود است (بلانگر و همکاران، ۲۰۰۲).
محرمانگی
بحث دیگر، حفاظت از محرمانگی میباشد. از این رو یک سرویس محرمانگی، دسترسی به تمام داده های ارسالی را تنها توسط کاربران مجاز فراهم مینماید و محرمانگی، محافظت از دادۀ منتقل شده در مقابل حملات غیرفعال است. محرمانگی سرویس گستردهای است که تمام داده های انتقالی کاربر، بین کاربران را در یک برهۀ زمانی، محافظت می کند (عباس نژادورزی و عباس نژادورزی، ۱۳۸۹). به بیان دیگر میتوان گفت که محرمانگی، عبارت است از توانایی جلوگیری از آشکار شدن اطلاعات برای هرکسی که مجاز به استفاده از آن نباشد (دروین، کروگر و استین[۶۰]، ۲۰۰۷).
باید توجه داشت که پنهان کردن و پنهان نگاه داشتن یکی از عناصر اصلی امنیت است. استاندارد ایزو[۶۱]، محرمانگی را فاش نشدن اطلاعات و قرار نگرفتن آنها در دسترس افراد یا پردازندههای غیر مجاز میداند. در کاربردهای عادی، اغلب محرمانگی اطلاعات _ و نه داده ها _ اهمیت دارد و مورد توجه قرار میگیرد.
برای حفظ محرمانگی داده ها، راه حلهای موجود شامل استفاده از نهان نگاری[۶۲] و رمزنگاری[۶۳] است که در روش نهان نگاری تلاش می شود تا با پنهان کردن داده های محرمانه در دل تودهای از داده های عادی، محرمانگی داده های عادی حفظ شود.
شانون سیستمهای حفظ محرمانگی را به سه دسته تقسیم کرده است:
سیستم پنهانسازی
سیستم اختفا
سیستم حقیقی محرمانگی (جعفری،۱۳۸۵).