بزرگ‌ترین تهدیدات امنیتی شرکت‌ها از داخلشان می‌آیند

نوشته آرش زاد 27 مهر 1392

در حالیکه همیشه فرض بر این است که تهدیدات امنیت اطلاعات و حریم خصوصی از خارج سرچشمه می‌گیرند، همه نشانه‌ها دال بر این هستند که تهدیدات داخلی، خواسته یا ناخواسته، بسیار خطرناک‌اند.

Forrester اخیرا گزارش خود را تحت عنوان درک جایگاه امنیت اطلاعات و حریم خصوصی منتشر کرده است و در آن به بیان دیدگاه‌هایی درباب دلایلی که در پس نفوذ غیرقانونی در اطلاعات وجود دارند پرداخته و هشدار داده است که تهدیدات داخلی دلیل اصلی به حساب می‌آیند. این نظرسنجی، جامعه آماری خود را از کشور‌های کانادا، فرانسه، آلمان، انگلیس و ایالات متحده و از شرکت‌هایی با دو کارمند یا بیشتر ساخته است و موضوعاتی همچون نحوه تخصیص بودجه به مسائل امنیتی و چشم‌اندازهای در حال تغییر مسئولیت‌های تیم‌های امنیتی را تحت پوشش قرار داده است.

nsasecurity_primary-100041064-large.jpg

بر طبق تحقیقات این شرکت، کارمندان داخلی با ۳۶ درصد سوءاستفاده ناخواسته از اطلاعات، بزرگ‌ترین منبع درز اطلاعات در ۲۱ ماه گذشته بوده‌اند. روشن است که اینجا صحبت از سهل‌انگاری است. آمار و ارقام این مطالعه نشان می‌دهد که تنها ۲۴ درصد از کارمندان مشاغل کوچک و متوسط آمریکای شمالی و اروپا که تحقیق روی‌شان انجام شده درباره نحوه حفظ امنیت در کار آموزش دیده‌اند، در حالی که فقط ۵۷ درصد کارکنان این شرکت‌ها گفته‌اند که از سیاست‌های امنیتی جاری شرکت‌شات مطلع هستند.

Heidi Shey تحلیل‌گر و نویسنده این گزارش در Forrester می‌گوید: “کارمندان نمی‌دانند که از چه مسائلی بی‌اطلاع هستند. شما باید راهنمایی و محدوده‌های امنیتی را در کار برای آن‌ها تعیین کنید.”

چه چیز را بررسی کنیم

در هر صورت، مهم است که هر کسب‌و‌کاری نسبت به آنچه روی شبکه‌‌هایش در حال وقوع است دید داشته باشد. با توجه به این که به گفته ۲۵ درصد از نمونه‌های آماری، سوء‌استفاده یک مخرب داخلی رایج‌ترین شیوه نفوذ به اطلاعات در سال گذشته بوده است. به گفته وی، در حالی‌که بیشترین تمرکز روی مسائل خارجی و آنچه که به داخل شبکه راه می‌یاد است، باید به مسائل داخلی نیز توجه داشت و بررسی کرد که چه اتفاقاتی در شرکت در حال وقوع است و چه چیزی از آن خارج می‌شود.

برای نمونه، ممکن است کسی باشد که سطح دسترسی کارمندان به بخش‌هایی از شبکه را داشته باشد و هر کاری که انجام دهد به مثابه کارهای کارمندان تلقی شود. در چنین شرایطی، اغلب شرکت‌ها به اتفاقی مشابه این توجه ندارند حتی اگر این مسئله مشکوک به نظر برسد.

او می‌گوید: “تیم‌های امنیتی باید چنین مسائلی را ببینند و از خود سوال کنند آیا این یک موضوع عادی است؟ آیا این یک الگوی معمولی است؟ آیا این چیزی است که کارمندان عموما به عنوان بخشی از کار خود انجام می‌دهند یا این یک فعالیت غیر عادی است؟ در نظر گرفتن چنین الگوهایی یکی از راه‌های حل این مشکل است.

البته تمهید وسایلی برای پیگیری این دست رفتارها اغلب به کلام ساده‌تر است تا در عمل. این در حالی است که نتایج نظرسنجی نشان می‌دهد که ۱۷ درصد از مجموع بودجه‌های امنیتی شرکت‌کنندگان در نظرسنجی به امنیتِ داده اختصاص می‌یابد. اگر خود سرمایه‌‌ها در وهله اول کم باشند این مبالغ زیاد به نظر نمی‌رسد. با توجه به مسائل ذکر شده، اینکه شرکت‌ها دقیقا چه روشی را برای سرمایه‌گذاری روی راه‌کارهای امنیتی انتخاب می‌کنند مهم است.

Shey توضیح می‌دهد، اغلب، شرکت‌ها بودجه خود را صرفا (یا عمدتا) صرف سرمایه‌گذاری روی فناوری کرده و انتظار دارند که این فناوری باقی مسائل مربوط به کارشان را نیز انجام دهد. آنان روی مسائلی که کاربران مستقیما با آن‌ها ارتباط دارند از جمله فرآیندهای داخلی و سیاست‌ها سرمایه‌گذاری نمی‌کنند. برخی از این راه‌کارها باید مطابق سازی یا اصلاح شوند تا بتوانند در راستای خواسته‌های حقیقی شرکت باشند.

وی می‌گوید: “تا زمانی که آن‌ها جایگاهشان را در برنامه‌هایی که کاربران مستقیما با آن‌ها در ارتباطند نیابند، هر چه که انجام دهند به اندازه انتظارشان موثر نخواهد بود. اگر ندانید اطلاعاتتان چیست یا اینکه از چه چیز باید حفاظت کنید، کار زیادی برای حفاظت از آن نخواهید کرد.”

راه‌کارهای پیشنهادی

از آنجا که برخی راه‌کارها مشابه جلوگیری از انتشار داده‌ها، راه‌حل‌های شکست‌ ناپذیر نیستند Shey رویکردی جامع‌تر به امنیت را با استفاده چارچوب کنترل اطلاعاتی توصیه می‌کند. وی می‌گوید: “اقداماتی مثل جلوگیری از انتشار داده و رمزگذاری برای حفاظت داده مفید اما بیشتر تاکتیکی هستند. در سطوح بالاتر لازم است استراتژیکی‌تر برخورد کنید. این همان جایی است که پای این نوع چارچوب به میان می‌آید.”

این چارچوب به سه بخش تقسیم می شود. اولین بخش تعریف یک شرکت از داده‌هایش است، یعنی آنچه که باید مورد حفاظت قرار بگیرد. بنابراین جنبه هایی مانند کشف داده، دسته‌بندی و تعیین اینکه در حقیقت چه چیزی برای شرکت ارزش بیشتری دارد در این قسمت مهم می‌شود.

Shey می‌گوید لازم است شرکت‌ها داده‌های خود را تشریح کنند. ابزارهای گزارش‌گیری شرکت‌ها عموما سنتی است که آن‌ها را از هشدارها و رویدادها مطلع می‌سازد. آن‌ها می‌توانند داده‌های این ابزارها را تحلیل کرده و ببینند که چه اطلاعاتی را می‌توانند درباره دیده شدن، محیطشان و اینکه دقیقا چه اتفاقاتی در محیط اطرافشان در حال وقوع است به دست آورند. به علاوه می‌توانند نقایص داده‌ها را نیز بررسی کنند تا ببینند چگونه ممکن است از این نقایص استفاده شود. با نگاهی به داده‌های امنیتی و اطلاعاتشان درباره این داده‌ها، شرکت‌ها می‌توانند ملزومات مورد نیاز داده‌هایشان را بشناسند.

بخش نهایی این چارچوب حفاظت است. حفاظت و بررسی کنترل‌های دسترسی، دسترسی مناسب به داده‌ها (اجتناب از داده‌هایی که دیگر مورد نیاز نیستند یک مسئولیت است) و از بین بردن یا رمزگذاری داده‌هایی که برای اجرای آخرین مرحله از چارچوب کنترل داده الزامی هستند.

وی معتقد است: “این چارچوب روشی است که ما آن را برای تشکیلات اقتصادی واقعا مفید می‌دانیم. این چارچوب روش خوبی برای تفکر درباره امنیت داده است و اینکه چگونه در تشکیلات اقتصاد ی با داده‌ها برخورد کرده و آن‌ها را مدیریت کنیم.

تیم‌های امنیتی یک مسئولیت جدید نیز خواهند داشت. وقتی پای حریم خصوصی به میان می‌آید، امنیت تنها بخش کوچکی از یک تصویر بزرگ‌تر است و بنابراین گروه‌های امنیت فناوری اطلاعات تنها افراد درگیر نیستند. در هر صورت، نتایج این نظرسنجی نشان می‌دهد که ۳۰ درصد از تیم‌های امنیتی شرکت‌کننده “به طور کامل” مسئول حریم خصوصی و مقررات هستند. ۳۴ درصد هم اظهار داشته‌اند که تیم‌های امنیتی “بیشترین” مسئولیت را در قبال حریم خصوصی دارند.

این یافته با سال ۲۰۱۲ که مسئولیت حفظ حریم خصوصی و مقررات شرکت به یک کارمند اختصاص داده می‌شد در تضاد است. تغییرات در سال ۲۰۱۳ ممکن است لزوما سودمند نباشند. با این حال برنامه‌های مربوط به حریم خصوصی ابتدا باید کامل شوند و تیم‌های امنیتی مسئولیت‌های بسیار زیادی خواهند یافت.

Shey می‌گوید: “مردم تصور می‌کنند که امنیت اطلاعات مقوله‌ای فنی است. اما در مورد حریم خصوصی ظاهرا نظرات متفاوت است. به همین دلیل تنوع زیادی در درصدهای افراد دیده می‌شود.”

Shey به آوردن نمونه‌هایی از دیگر بخش‌های درگیر شامل بخش حقوقی شرکت پرداخت. همانطور که پیش‌تر ذکر شد این بخش‌ها نیز گروه‌های اختصاصی حریم خصوصی و توابع حریم خصوصی در شرکت هستند، اما ممکن است همیشه هم به این صورت نباشد.

این بدان معناست که امنیت و حریم خصوصی دوشادوش یکدیگرند. حریم خصوصی بیشتر جنبه نظارتی و تنظیمی اقدامات است، درحالیکه امنیت جنبه اجرایی آن مسئله است. امنیت، اطمینان خاطر می‌دهد که اقدامات انجام شده در عمل از سیاست‌های حفظ حریم خصوصی پشتیبانی می‌کنند. وی اشاره می‌کند همین که می‌بینیم شرکت‌ها به حریم خصوصی اهمیت می‌دهند خوب است. ممکن است در ادامه شرکت‌ها تشخیص دهند که لازم است یک گروه اختصاصی داشته باشند.

وی می‌گوید: “این گروه نباید مشابه یک افزونه روی کارهایی باشد که گروه امنیتی در حال انجام آن‌ها است. گروه امنیتی باید درگیر شود اما لازم نسیت تلاش‌های حفظ حریم خصوصی را هدایت کند.”

منبع PC World
نویسنده آرش زاد