در حالیکه همیشه فرض بر این است که تهدیدات امنیت اطلاعات و حریم خصوصی از خارج سرچشمه میگیرند، همه نشانهها دال بر این هستند که تهدیدات داخلی، خواسته یا ناخواسته، بسیار خطرناکاند.
Forrester اخیرا گزارش خود را تحت عنوان درک جایگاه امنیت اطلاعات و حریم خصوصی منتشر کرده است و در آن به بیان دیدگاههایی درباب دلایلی که در پس نفوذ غیرقانونی در اطلاعات وجود دارند پرداخته و هشدار داده است که تهدیدات داخلی دلیل اصلی به حساب میآیند. این نظرسنجی، جامعه آماری خود را از کشورهای کانادا، فرانسه، آلمان، انگلیس و ایالات متحده و از شرکتهایی با دو کارمند یا بیشتر ساخته است و موضوعاتی همچون نحوه تخصیص بودجه به مسائل امنیتی و چشماندازهای در حال تغییر مسئولیتهای تیمهای امنیتی را تحت پوشش قرار داده است.
بر طبق تحقیقات این شرکت، کارمندان داخلی با ۳۶ درصد سوءاستفاده ناخواسته از اطلاعات، بزرگترین منبع درز اطلاعات در ۲۱ ماه گذشته بودهاند. روشن است که اینجا صحبت از سهلانگاری است. آمار و ارقام این مطالعه نشان میدهد که تنها ۲۴ درصد از کارمندان مشاغل کوچک و متوسط آمریکای شمالی و اروپا که تحقیق رویشان انجام شده درباره نحوه حفظ امنیت در کار آموزش دیدهاند، در حالی که فقط ۵۷ درصد کارکنان این شرکتها گفتهاند که از سیاستهای امنیتی جاری شرکتشات مطلع هستند.
Heidi Shey تحلیلگر و نویسنده این گزارش در Forrester میگوید: “کارمندان نمیدانند که از چه مسائلی بیاطلاع هستند. شما باید راهنمایی و محدودههای امنیتی را در کار برای آنها تعیین کنید.”
چه چیز را بررسی کنیم
در هر صورت، مهم است که هر کسبوکاری نسبت به آنچه روی شبکههایش در حال وقوع است دید داشته باشد. با توجه به این که به گفته ۲۵ درصد از نمونههای آماری، سوءاستفاده یک مخرب داخلی رایجترین شیوه نفوذ به اطلاعات در سال گذشته بوده است. به گفته وی، در حالیکه بیشترین تمرکز روی مسائل خارجی و آنچه که به داخل شبکه راه مییاد است، باید به مسائل داخلی نیز توجه داشت و بررسی کرد که چه اتفاقاتی در شرکت در حال وقوع است و چه چیزی از آن خارج میشود.
برای نمونه، ممکن است کسی باشد که سطح دسترسی کارمندان به بخشهایی از شبکه را داشته باشد و هر کاری که انجام دهد به مثابه کارهای کارمندان تلقی شود. در چنین شرایطی، اغلب شرکتها به اتفاقی مشابه این توجه ندارند حتی اگر این مسئله مشکوک به نظر برسد.
او میگوید: “تیمهای امنیتی باید چنین مسائلی را ببینند و از خود سوال کنند آیا این یک موضوع عادی است؟ آیا این یک الگوی معمولی است؟ آیا این چیزی است که کارمندان عموما به عنوان بخشی از کار خود انجام میدهند یا این یک فعالیت غیر عادی است؟ در نظر گرفتن چنین الگوهایی یکی از راههای حل این مشکل است.“
البته تمهید وسایلی برای پیگیری این دست رفتارها اغلب به کلام سادهتر است تا در عمل. این در حالی است که نتایج نظرسنجی نشان میدهد که ۱۷ درصد از مجموع بودجههای امنیتی شرکتکنندگان در نظرسنجی به امنیتِ داده اختصاص مییابد. اگر خود سرمایهها در وهله اول کم باشند این مبالغ زیاد به نظر نمیرسد. با توجه به مسائل ذکر شده، اینکه شرکتها دقیقا چه روشی را برای سرمایهگذاری روی راهکارهای امنیتی انتخاب میکنند مهم است.
Shey توضیح میدهد، اغلب، شرکتها بودجه خود را صرفا (یا عمدتا) صرف سرمایهگذاری روی فناوری کرده و انتظار دارند که این فناوری باقی مسائل مربوط به کارشان را نیز انجام دهد. آنان روی مسائلی که کاربران مستقیما با آنها ارتباط دارند از جمله فرآیندهای داخلی و سیاستها سرمایهگذاری نمیکنند. برخی از این راهکارها باید مطابق سازی یا اصلاح شوند تا بتوانند در راستای خواستههای حقیقی شرکت باشند.
وی میگوید: “تا زمانی که آنها جایگاهشان را در برنامههایی که کاربران مستقیما با آنها در ارتباطند نیابند، هر چه که انجام دهند به اندازه انتظارشان موثر نخواهد بود. اگر ندانید اطلاعاتتان چیست یا اینکه از چه چیز باید حفاظت کنید، کار زیادی برای حفاظت از آن نخواهید کرد.”
راهکارهای پیشنهادی
از آنجا که برخی راهکارها مشابه جلوگیری از انتشار دادهها، راهحلهای شکست ناپذیر نیستند Shey رویکردی جامعتر به امنیت را با استفاده چارچوب کنترل اطلاعاتی توصیه میکند. وی میگوید: “اقداماتی مثل جلوگیری از انتشار داده و رمزگذاری برای حفاظت داده مفید اما بیشتر تاکتیکی هستند. در سطوح بالاتر لازم است استراتژیکیتر برخورد کنید. این همان جایی است که پای این نوع چارچوب به میان میآید.”
این چارچوب به سه بخش تقسیم می شود. اولین بخش تعریف یک شرکت از دادههایش است، یعنی آنچه که باید مورد حفاظت قرار بگیرد. بنابراین جنبه هایی مانند کشف داده، دستهبندی و تعیین اینکه در حقیقت چه چیزی برای شرکت ارزش بیشتری دارد در این قسمت مهم میشود.
Shey میگوید لازم است شرکتها دادههای خود را تشریح کنند. ابزارهای گزارشگیری شرکتها عموما سنتی است که آنها را از هشدارها و رویدادها مطلع میسازد. آنها میتوانند دادههای این ابزارها را تحلیل کرده و ببینند که چه اطلاعاتی را میتوانند درباره دیده شدن، محیطشان و اینکه دقیقا چه اتفاقاتی در محیط اطرافشان در حال وقوع است به دست آورند. به علاوه میتوانند نقایص دادهها را نیز بررسی کنند تا ببینند چگونه ممکن است از این نقایص استفاده شود. با نگاهی به دادههای امنیتی و اطلاعاتشان درباره این دادهها، شرکتها میتوانند ملزومات مورد نیاز دادههایشان را بشناسند.
بخش نهایی این چارچوب حفاظت است. حفاظت و بررسی کنترلهای دسترسی، دسترسی مناسب به دادهها (اجتناب از دادههایی که دیگر مورد نیاز نیستند یک مسئولیت است) و از بین بردن یا رمزگذاری دادههایی که برای اجرای آخرین مرحله از چارچوب کنترل داده الزامی هستند.
وی معتقد است: “این چارچوب روشی است که ما آن را برای تشکیلات اقتصادی واقعا مفید میدانیم. این چارچوب روش خوبی برای تفکر درباره امنیت داده است و اینکه چگونه در تشکیلات اقتصاد ی با دادهها برخورد کرده و آنها را مدیریت کنیم.
تیمهای امنیتی یک مسئولیت جدید نیز خواهند داشت. وقتی پای حریم خصوصی به میان میآید، امنیت تنها بخش کوچکی از یک تصویر بزرگتر است و بنابراین گروههای امنیت فناوری اطلاعات تنها افراد درگیر نیستند. در هر صورت، نتایج این نظرسنجی نشان میدهد که ۳۰ درصد از تیمهای امنیتی شرکتکننده “به طور کامل” مسئول حریم خصوصی و مقررات هستند. ۳۴ درصد هم اظهار داشتهاند که تیمهای امنیتی “بیشترین” مسئولیت را در قبال حریم خصوصی دارند.
این یافته با سال ۲۰۱۲ که مسئولیت حفظ حریم خصوصی و مقررات شرکت به یک کارمند اختصاص داده میشد در تضاد است. تغییرات در سال ۲۰۱۳ ممکن است لزوما سودمند نباشند. با این حال برنامههای مربوط به حریم خصوصی ابتدا باید کامل شوند و تیمهای امنیتی مسئولیتهای بسیار زیادی خواهند یافت.
Shey میگوید: “مردم تصور میکنند که امنیت اطلاعات مقولهای فنی است. اما در مورد حریم خصوصی ظاهرا نظرات متفاوت است. به همین دلیل تنوع زیادی در درصدهای افراد دیده میشود.”
Shey به آوردن نمونههایی از دیگر بخشهای درگیر شامل بخش حقوقی شرکت پرداخت. همانطور که پیشتر ذکر شد این بخشها نیز گروههای اختصاصی حریم خصوصی و توابع حریم خصوصی در شرکت هستند، اما ممکن است همیشه هم به این صورت نباشد.
این بدان معناست که امنیت و حریم خصوصی دوشادوش یکدیگرند. حریم خصوصی بیشتر جنبه نظارتی و تنظیمی اقدامات است، درحالیکه امنیت جنبه اجرایی آن مسئله است. امنیت، اطمینان خاطر میدهد که اقدامات انجام شده در عمل از سیاستهای حفظ حریم خصوصی پشتیبانی میکنند. وی اشاره میکند همین که میبینیم شرکتها به حریم خصوصی اهمیت میدهند خوب است. ممکن است در ادامه شرکتها تشخیص دهند که لازم است یک گروه اختصاصی داشته باشند.
وی میگوید: “این گروه نباید مشابه یک افزونه روی کارهایی باشد که گروه امنیتی در حال انجام آنها است. گروه امنیتی باید درگیر شود اما لازم نسیت تلاشهای حفظ حریم خصوصی را هدایت کند.”