None 12 בספטמבר 2016

פרטיות ואבטחת מידע במסנג'ר

התחום של צ'אט בוטים ממשיך לצמוח בקצב מסחרר ולא יורד מהכותרות. כמות המשתמשים גדלה כמו גם כמות החברות שבוחרות לספק שירות דרך צ'אט בוטים.

אבל לא הכל ורוד, כמו כל תחום חדש, צ'אט בוטים מביאים בעיות ואתגרים חדשים, ביניהם נושא הפרטיות ואבטחת מידע.

כבית תוכנה הפועל עם לקוחות ביינלאומים, היינו עדים לתשומת לב רבה בשנה האחרונה עם ההתעסקות לגבי ביטול הסדר "נמל מבטחים" בין ארה"ב ואיחוד הארופי, משפטי ראווה מול פייסבוק וחברות גדולות נוספות,דיון בזכות להשכח ועוד. כתוצאה מכך חשיבות של  תכנון נושאי הפרטיות(privacy by design) כחלק מארכיטקטורה של כל מוצר דיגיטלי, עלתה והתעצמה בפרט בתחום צ'אט בוטים שמהווה תחום חדש שצומח בטירוף מצד אחד ופרוץ מצד שני..

פתיחת המסנג'רים השונים לפיתוח צ'אט בוטים יצרה ערוץ תקשורת חדש בין חברות ללקוחותיהם עם סוגיות פרטיות ואבטחת מידע רבות. הבוטים ממשיכים להכנס לתחומים חדשים ,לנהל איתנו דיאלוג ולהציג לנו מידע. בחלק מהמקרים מדובר על מידע רגיש (אישי,בריאותי,פיננסי ועוד) שצריך לוודא שלא יעשה בו שימוש לרעה.

נתייחס למספר נקודות בולטות שביניהן:

  1. הזדהות הבוט - איך המשתמש ידע שהבוט איתו הוא התחיל להתכתב באמת שייך לחברה שהוא טוען ליצג? היום אין חנויות/מרקטפלייס לבוטים שעושים סינון ובדיקה של בוטים כמו שאפל וגוגל עושים לאפלקציות. לכן שום דבר לא מפריע ליצור בוט שמתחזה לייצג חברה מסוימת, משתמש בלוגו שלה ומושך מהמשתמש פרטים אישיים רגישים למטרות זדוניות. למרות שהתחום מאוד חדש נרשמו כבר מקרים כאלה

  2.   הפתרון כרגע זה לגלות ערנות, להכנס לבוטים שמבקשים מידע רגיש רק דרך עמוד  פייסבוק/אתר רשמי של החברה בלבד ולחשוב היטב אם הפרטים שמבקשים מאיתנו למסור באמת הכרחים למתן שירות.

  3. הזדהות המשתמש -  הצד השני של המטבע, זה איך בוט מוודא את זהותו של המשתמש? הרי יש אינספור מקרים שפרופילים של פייסבוק ופלטפורמות אחרות נפרצות ולכן אי אפשר להניח בוודאות שהמשתמש שהתחבר למסנג'ר הוא אכן האדם הנכון.

  4.   הפתרון לבעיה זו הוא הזדהות באמצעי נוסף כגון איימל/סמס(מספר טלפון) כדי לוודא את זהות המשתמש. במקרים שמדובר במידע שהוא מאוד רגיש, כדאי לבצע תהליך רישום והפקת סיסמא כדי למנוע מצבים בהם הסמרטפון נגנב ואיתו הגישה לאיימל/סמס.מסנג'ר.כבית תוכנה שמבצע פרויקטים רבים בתחום, בנינו לעצמנו תשתיות שמאפשרות לכלל הלקוחות שלנו להזדהות באמצעות פתרונות הזדהות חכמים.

  5. חשיפת המידע העובר לצד ג'- כל התקשורת שלכם עם הבוט מתבצעת בתוך המסנג'ר וחשופה לחברה שמפעילה אותו(קרי פייסבוק,מיקרוסופט, kik ועוד). לכן עצם העובדה שהבוט מבקש מכם פרטי הזדהות אישיים ומוסר לכם מידע רגיש, חושפת את כל המידע לצד ג'. זאת בעיית פרטיות חמורה שדורשת ממפעיל הבוט התייחסות רצינית ומותאמת לכל מקרה ספציפי. מפעיל הבוט צריך לעדכן את משתמשיו, במדיניות הפרטיות שהמידע שלו נחשף לגורם צד ג', במקרים בהם יש רגולציה בעניין או במקרים בהם קיים חשש עסקי , מפעיל הבוט צריך לוודא שהמידע הרגיש לא יופיע בתוך המסנג'ר. אחד הפתרונות הוא להפנות את המשתמש דרך לינק לעמוד הזדהות/עמוד הצגה של מידע רגיש, כך פרטים אלה לא יהיו חלק מההתכתבות במסנג'ר. הדבר גם מאפשר  ליישם דרישה אפשרית של המשתמש למחוק כל מידע שלו ממפעיל הבוט(הזכות להשכח), הרי אם מידע זה יופיע כחלק מהסטוריית התכתבות במסנג'ר הדבר יהיה מאוד בעייתי כי היסטוריה זו נשמרת על ידי המסנג'ר עצמו (כולל גיבויים). גם כאן יצרנו תשתיות באיניטק כדי לאפשר לבוטים של לקוחות שלנו להתנהל מול הזדהות והצגת מידע בדפדפן.

לסיכום , אין כוונתי כאן להפחיד או לדחות את האנשים משימוש בבוטים, ההפך הוא הנכון, אני מאמין שהשימוש בבוטים ישפר את איכות שירות/קניה/קבלת מידע של כולנו.

אבל כמו בכל כלי יש צורך לשמור על מספר כללים כדי למנוע שימוש לרעה.

מאמר זה מבחינתי מהווה חיבור בין שתי תחומים (צ'אט בוטים ופרטיות המידע) שאנחנו כבית תוכנה בחרנו לחרוט על דגלנו ולקדם. כחלק מצמיחת בוטים יצוצו עוד אתגרים רבים, נמשיך לעדכן אותכם בהתפתחויות.

נשמח לעמוד לרשותכם בכל שאלה.

בברכה

ישי טנצר

מנכ"ל איניטק

https://initech.co.il/he/chatbot-development/​

contact@initech.co.il

 

#חדשות מעולם הצ'אט בוטים #software company #web solutions #web design #web development #bot #chatbot #facebook #privacy by design #software development #privacy