الأمن الإلكتروني والإمتياز: حماية العلامة التجارية مع تجنب المسؤولية القضائية (الجزء 1)

14

شكلّت برامج الفدية والهجمات الإلكترونية الأخرى في السنوات الأخيرة أعداء المنظمة الحالية التي تعتمد على البيانات. حتّى أصبحت الهجمات مُدمّرة بشكل متزايد، ممّا يزيد من تكلفة الإنفاق لكل هجوم إلى ملايين الدولارات. تأتي التهديدات الإلكترونية بأشكال عديدة ويستخدم المهاجمون تقنيات ومنصات مُتعدّدة. وليست هذه مسألة «ما إذا كانت» منظمة سيتم إستهدافها من قبل مجرمي الإنترنت، بل «متى». زادت انتهاكات الأمن السيبراني، بما في ذلك شبكات الإمتيازات البارزة مثل (دايري كوين – Dairy Queen) و(سوبر فالو – Supervalu) و (شطائر جيمي جون- Sandwich Shops   Jimmy John’ s) و (غود ويل- Goodwill) و )يو بي إس (UPS – .

غالبًا ما تُعدل البرامج الضارة التكوينات قبل إتلاف البيانات. وتُكلف إنتهاكات البيانات هذه الشركات بشكل متزايد وبعدة طرق، مثل إسترداد (أو حذف) السجلات المفقودة ودفع تكاليف الدفاع القانوني والتسوية وإخطار المُتضررين من الإنتهاك  وتوفير خدمات مراقبة الائتمان للعملاء أو الموظفين المُتضررين. بالإضافة إلى ذلك، قد يُؤدي عدم وجود أمان كافٍ للبيانات، سواء كان هناك خرق أم لا، أو إستخدام بيانات المُستهلك بشكل غير لائق إلى مسؤوليات كبيرة لاسيما يُمكن أن يكون لفقدان سمعة العلامة التجارية تأثيرا سلبيا على شبكة الإمتياز بأكملها التي إستغرقت المانح سنوات لبنائها.

تُعتبر تكلفة السمعة مهمة بشكل خاص لمانحي الإمتياز لأن أهم أصولهم هي علاماتهم التجارية. غالبًا ما يعمل المانحون في القطاعات التي تكون فيها العلامات التجارية تنافسية للغاية، حيث يُمكن للمستهلكين نقل عملائهم إلى مكان آخر بسهولة. ففي حالة حدوث خرق، من غير المرجح أن يُميّز العملاء بين المانح الذي يُرخص العلامة والممنوح الذي يُدير مؤسسته بإستخدام تلك العلامة. لذلك، فإنّ الخرق على مستوى ممنوح الإمتياز، الذي لا علاقة له أو لا علاقة له بأفعال المانح، قد يشوه سمعة العلامة التجارية بأكملها في نظر الجمهور وله تأثير كبير على نتائج نظام الإمتياز بأكمله.

تحدث الهجمات الإلكترونية كل 11 ثانية، ووفقًا لآخر تقرير لخرق البيانات الذي نشرته شركة آي بي آم (IBM) ومعهد بونيمون (Ponemon) فإن تكلفة خرق البيانات في عام 2021 قد بلغت 4.24 مليون دولار أمريكي مع زيادة 10٪ مقارنة بمتوسط ​​تكلفة عام 2019 الذي قُدر ب 3.86 مليون دولار.

من المُتوقع أن يصل متوسط ​​التكلفة العالمية للجرائم الإلكترونية إلى ذروته عند 6 مليارات دولار أمريكي سنويًا بحلول نهاية عام 2021 نتيجة إنتشار هجمات برامج الفدية.

يأخذ تقرير معهد بونيمون وشركة آي بي آم في الإعتبار، المئات من محركات التكلفة التي تتراوح من الأنشطة القانونية والتنظيمية والتقنية إلى حقوق ملكية العلامة التجارية المفقودة ودوران العملاء وإستنزاف إنتاجية العملاء والموظفين.

ويُبيّن أحدث تقرير لجنة التجارة الفيدرالية في ما يلي أنواع سرقة الهوية:

  • الإحتيال عن طريق بطاقات الإئتمان (الحسابات الجديدة والقائمة) بنسبة 32.3٪.
  • سرقة هُويات الأخرى (كالبريد الإلكتروني أو وسائل التواصل الاجتماعي والتحايل على القانون والتأمين والخدمات الطبية وعمليات الشراء أو المدفوعات عبر الإنترنت وحسابات الأوراق المالية وغيرها) بنسبة 26.5٪.
  • الإحتيال على القرض أو الإيجار (إيجار شقة أو منزل، قرض سيارة، إستئجار سيارة، قرض تجاري، قرض طالب، قرض سكن) بنسبة 14.4٪.
  • الإحتيال عبر الهاتف والمرافق (الخط الأرضي والجوال: الحسابات الجديدة والقائمة) بنسبة 11.0٪.
  • الإحتيال المصرفي (بطاقات الخصم، تحويل الأموال الإلكتروني: الحسابات الجديدة والقائمة) بنسبة 7.3٪.
  • التوظيف أو الإحتيال الضريبي (الإحتيال في العمل أو الراتب والتهّرب الضريبي) بنسبة 5.5٪.
  • الإحتيال على المستندات أو المزايا الحكومية (رخصة قيادة صادرة أو مزورة، مزايا حكومية مطلوبة أو مُستلمة، وثائق حكومية أخرى صادرة أو مزوّرة) بنسبة 3٪.

لهذا يتعيّن على مانحي الإمتياز فهم التحديات التي يفرضها الأمن السيبراني وطرق التعامل معها.

ويتّضح أنّ لمانحي الإمتياز إلتزام بالأمن السيبراني تجاه الممنوحين والمستهلكين. إذ يجب أن يكونوا على دراية بأنهم يديرون في نفس الوقت العديد من البيانات الخاصة بالمستهلكين، سواء من خلال قاعدة بيانات مركزية لدى مانح الامتياز أو من قبل الشركة للبيانات التي تعالجها الأجهزة المختلفة على مستوى الممنوحين. ويجب الحرص دائماً على ضمان إحترام أمن البيانات وسرّية معلومات المستهلكين لا سيما فيما يتعلق بما يلي:

  • معالجة بطاقات الائتمان
  • إصدار تذكرة طيران أو رحلة بحرية
  • استئجار سيارة أو مركبة مائية أو عربة جليد
  • حجز غرفة في فندق
  • ملء خزان الغاز الخاص بهم في محطة الخدمة
  • شراء هاتف محمول على الإحداثيات السكنية والكشف عن بعض المعلومات السرية
  • شراء كتاب أو نظارة عبر شبكة الإمتياز
  • شراء أو استئجار جهاز كمبيوتر بموجب عقد خدمة يسمح لموظفي مانح الإمتياز بالوصول إلى بيانات العميل
  • تناول العشاء في سلسلة مطاعم
  • شراء أثاث من متجر صغير أو كبير
  • جمع أو معالجة المعلومات الطبية / الصحية للمريض عند إصدار وصفة طبية أو معالجة وصفة طبية في صيدلية
  • معالجة الإقرار الضريبي
  • معالجة تحويل الأموال التي تقدم خدمات مالية للأفراد.

يتم تطبيق لوائح وطنية ومحلية مختلفة أثناء خرق البيانات على الأطراف المتأثرة. حيث يقع العبء على عاتق مانح الإمتياز ليكافح من أجل الإمتثال للقوانين أو اللوائح المختلفة التي تنطبق عند حدوث الأمن السيبراني، بغض النظر عما إذا كان على مستوى وحداته الخاصة (وحدات الشركات) أو على مستوى ممنوحي الإمتياز.

كما تجعل إنتهاكات البيانات أيضًا مانحي الإمتياز عُرضة لدعاوى المُستهلك الفردية والجماعية. وتستند هذه الإجراءات إلى عدة قوانين تشريعية و/أو سوابق قضائية. وقد إزداد إتّجاه المحاكم حدة إزاء هذه الإنتهاكات للبيانات، ولم يعد أصحاب الشكاوى بحاجة إلى إثبات وجود ضرر فعلي (مثل سرقة الهوية) لإلتماس العدالة.

نظرًا لطبيعة أنظمة الإمتياز، غالبًا ما يفرض مانح الإمتياز إستخدام أنواع معيّنة من حزم البرامج وأنظمة الكمبيوتر التي يتعيّن على الممنوحين إستخدامها في مؤسساتهم من أجل ضمان التوحيد والتماسك في جميع أنحاء نظام الإمتياز. أمّا الجانب الآخر من هذا التوحيد فهو خطر تحميل مانح الإمتياز المسؤولية إذا تم إختراق أنظمة أو برامج الكمبيوتر المطلوبة على الرغم من أنّ النتيجة النهائية لمثل هذه الحالات باءت بفشل المنظمين في القيام بذلك. على سبيل المثال، رفعت لجنة التجارة الفيدرالية في عام 2012، دعوى قضائية ضد فنادق ويندهام لفشلها في الحفاظ على أمن نظام الكمبيوتر الذي تطلب من ممنوحي الإمتياز إستخدامه لتخزين معلومات موظفي العملاء.  حيث برّأت المحكمة مانح الإمتياز بالكامل من أي مسؤولية عن إنتهاكات البيانات في فنادق ويندهام الحاصلة على إمتياز.

ونشهد إدخال المزيد والمزيد من البنود في عقود الإمتياز التي تسمح لمانحي الإمتياز بالوصول إلى قواعد بيانات الممنوحين. وتضلّ حدود إلتزام مانح الإمتياز بمراقبة أنشطة الممنوحين في إستخدامهم وإفصاحهم ومعالجتهم لمعلومات المستهلك أكبر قضايا مانح الإمتياز والتي لم يتم حلّها بعد. إلى أي مدى تجعل “المشاركة” أو “المعرفة” مانح الإمتياز مسؤولاً؟ في الأمن السيبراني كما هو الحال في المجالات الأخرى، هناك توتّر لم يتم حلّه بين جهود مانحي الإمتياز للحفاظ على فصلهم القانوني عن ممنوحيهم وإشراكهم في أنشطة ممنوحي الإمتياز من أجل حماية العلامة التجارية. لذلك فإنّه بالإضافة إلى حماية قيمة علاماتهم التجارية من الهجمات الإلكترونية وجعل أنظمة الإمتياز الخاصة بهم متوافقة مع قوانين البيانات، يحتاج مانحو الإمتياز إلى توجيه ممارسات بيانات الممنوحين – ولكن ليس الإرشاد مفرط.