بالاتر از خطر

مترجم: سید حسین محتسبی

نویسنده: Mary Brandel

منبع: Computer World

تکنولوژی‏های جدید اعم از محصولات و سرویس‌ها از انواع مختلف با روش‌های گوناگونی وارد محیط‌های کار می‏شوند. از گوشی‏های هوشمند، سیستم‌های Voice-over-IP و حافظه‏های فلش گرفته تا دنیای آنلاین. این تکنولوژی‏ها پس از مدتی بخشی از زندگی روزمره مردم می‏شوند به طوری که تصور زندگی بدون آنها غیرممکن می‏شود. اما سوال اینجاست که آیا کارکنان باید حتما از آنها در محیط کار استفاده کنند یا بالعکس باید از آنها پرهیز کنند.

در نظرسنجی اخیری که مرکز تحقیقاتی Yankee Group انجام داده است، ۸۶درصد از ۵۰۰ پاسخ‏دهنده در این نظرسنجی گفته‏اند که حداقل از یکی از تکنولوژی‏های مورد بحث در این مقاله در محل کار استفاده می‏کنند.

متاسفانه این تکنولوژی‏ها باعث بروز برخی مشکلات در واحدهای IT سازمان‌ها هم شده‏اند. استفاده از برخی تکنولوژی‏ها نوعی ریسک محسوب می‏شود. از سوی دیگر کاربران توقع دارند که واحد IT از دستگاه‏ها و سرویس‌ها به ویژه آنهایی که با آنها در برنامه‏ها سر و کار دارند، پشتیبانی کند.

ممنوع کردن استفاده از برخی تکنولوژی‏ها در بسیاری از شرکت‌های بر خلاف فرهنگ آن سازمان است ولی از طرفی دیگر نمی‏توانند تمام ریسک‌های امنیتی را نیز نادیده بگیرند.

«من فکر نمی‏کنم کارکنان وقت این را داشته باشند که در مورد تمام تکنولوژی‏ها مطالعه کنند و همه جنبه‏های آن را در نظر بگیرند، آنها مشغول کار خودشان هستند و وقت چنین کارهایی را ندارند.» این صحبت‌های«شارون فاینی»، مدیر بخش امنیت اطلاعات مرکز درمانی Dekalb است. او ادامه می‏دهد: «من فکر می‏کنم این وظیفه من است که در مورد این تکنولوژی‏ها تحقیق کنم و به‌صورت ساده به آنها آموزش دهم و در عین حال مسائل امنیتی آن را هم در نظر بگیرم.»

برخی دیگر مانند «مایکل میلر»، معاون بخش امنیت سرویس‌های ارتباطی شرکت Global Crossing معتقد است که ابتدا واحد IT باید صبر کند تا ببیند استفاده از این دستگاه‏ها تاثیری مثبت بر روی راندمان کار دارد یا باعث بروز مشکلاتی مانند نفوذ Worm و یا افزایش ترافیک شبکه می‏شود. براساس نظر او واکنش به این تکنولوژی‏ها باید ترکیبی از پیروی از فرهنگ سازمان و دادن حق دسترسی (در حد منطقی) به کارکنان و مطمئن بودن از سطح امنیتی شبکه باشد.

«جاش‌ها لبروک» تحلیلگر Yankee Group می‏گوید: «مقابله با مشکلاتی که این تکنولوژِی‏ها باعث آن هستند، منابع زیادی از بخش IT سازمان را به خود اختصاص می‏دهد. استفاده از برخی تکنولوژی‏ها برای بخش‌های IT سازمان‌ها به یک کابوس تبدیل خواهد شد، مگر آنکه کارکنان سیاست‌های سازمان در خصوص استفاده از تکنولوژی‏های جدید را به خوبی بپذیرند. در همان حال بی‏توجهی به زیر نظر داشتن تکنولوژی‏های جدید خطر بالقوه‏ای در خصوص امنیت اطلاعات سازمان است.»

برای نمونه در زیر به بررسی خطرهای ۸ تکنولوژی معروف پرداخته می‏شود:

۱. Instant Messaging

این روزها مردم از IMها (Instant Messaging) برای هر چیزی استفاده می‏کنند، از مطمئن شدن رسیدن بچه‏ها به منزل تا گفت‌وگو با همکاران و یا حتی شرکای تجاری. براساس تحقیق Y،Yankee Groupن۴۰ درصد از پاسخگویان گفته بودند که از IM در محل کار استفاده می‏کنند. IMها مسائل امنیتی متعددی را به چالش می‏کشاند. به‌خصوص که تبادل اطلاعات در IM و در محیط اینترنت، خط ارتباطی ناامنی محسوب می‏شود و چه‌بسا یک نفوذگر از همین طریق بتواند به اطلاعات محرمانه‏ای که مثلا یک کارمند با یک مشتری در خارج از سازمان و بر روی بستر اینترنت در حال تبادل آن هستند، دسترسی پیدا کند.

یک راه برای مقابله با تهدیدات IMها استفاده از سرورهای IMهای درون‏سازمانی است. مثلا در اواخر سال ۲۰۰۵، شرکت Global Crossing از نرم‏افزار Live Communications Server یا به اختصار LCS، برای این منظور استفاده کرد. این شرکت در ادامه در آگوست ۲۰۰۶، کارکنانش را از استفاده از IMهای شرکت‌هایی نظیر AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتی که از طریق سرورهای داخلی انجام می‏شود، رمز شده (Encrypted) و تمامی IM برون سازمانی محافظت شده‏اند.

همچنین به کارگیری سرورهای IMهای داخلی به واحد امنیت آن سازمان کنترل بیشتری می‏دهد. «میلر» می‏گوید: «از این طریق ما این توانایی را داریم که سیاست‌های امنیتی را به راحتی اعمال کنیم. برایی نمونه ما می‏توانیم تبادل فایل از طریق IM را محدود کنیم یا کاربران اجازه استفاده از URLهای ارسال شده از طریق شخصی که با آن مشغول چت هستند، نداشته باشند. اینها روش‌های متداولی برای جلوگیری از ورود Wormها به درون سازمان است.» او ادامه می‏دهد: «این روش از اتلاف وقت هم جلوگیری می‏کند.»

روش‌های سخت‏گیرانه‏تری هم وجود دارد. سیاست امنیتی مرکز درمانی DeKalb، استفاده از IMها را کلا ممنوع کرده است. «فاینی» برای اطمینان بیشتر نیز اکثر سایت‌هایی را که از طریق آنها می‏توان IMها دانلود کرد را نیز محدود کرده است. اما او نمی‏تواند سایت‌های AOL یا Yahoo را هم بلاک کند؛ چرا که بسیاری از پرسنل از این سایت‌ها برای ایمیل استفاده می‏کنند. گروه او همچنین از یک نرم‏افزار کمکی که وظیفه آن پیدا کردن کامپیوترهایی است که بر روی آنها نرم‏افزار IM نصب شده است نیز استفاده می‏کنند. در صورتی که این نرم‏افزار وجود چنین کامپیوتری را اعلام کند، به کارمند خاطی تذکر داده و سیاست امنیتی سازمان به او یادآور می‏شود. فاینی همچنین متدهای مختلفی را برای بلاک کردن ارسال اطلاعات از درون سازمان به بیرون به‌کار گرفته است. در حال حاضر او از یک برنامه کمکی متعلق به شرکت Vericept برای مانیتور کردن اطلاعات استفاده می‏کند. همچنین تیم او اکثر پورت‌های کامپیوترها را بسته‏اند تا نرم‏افزارها راهی جز استفاده از پورت ۸۰ (HTTP Port) برای تبادل اطلاعات با بیرون از سازمان را نداشته باشند.

مرکز درمانی DeKalb به دنبال یافتن ایده‏هایی برای استفاده از نرم‏افزارهایی نظیر IBM Lotus Notes یا حتی نرم‏افزارهای رایگان IM نظیر Jabber برای افرادی که برای امور کاری می‏خواهند در داخل سازمان چت کنند می‌گردد. فاینی در آخر می‏گوید: «هیچ چیز ۱۰۰درصد نیست. IM هنوز نگرانی بزرگی برای امنیت و همین‌طور کارایی سازمان است.»

۲. Web Mail

۵۰درصد پاسخگویان نظرسنجی Yankee Group گفته‏اند که آنها از ایمیل‌ها برای اهداف تجاری سازمان استفاده می‏کنند. مشکل استفاده از ایمیل‌های سرویس‏دهنده‏هایی نظیر G،Google Gmail، Microsoft Hotmail، AOL و Yahoo این است که کاربران به ناامن بودن آنها توجه نمی‏کنند. چرا که اطلاعات بر روی سرورهای ISPها و همان میل‏سرورها ذخیره می‏شوند. کارکنان بی‏توجه به این مسائل، اطلاعات بسیار مهمی نظیر شماره‏های امنیتی، کلمه عبور و بسیاری دیگر از اطلاعات محرمانه سازمان را از این طریق بر روی اینترنت جابه جا می‏کنند.

یکی از راه‏های کاهش دادن خطر لو رفتن اطلاعات سازمان از طریق ایمیل‌ها استفاده از برنامه‏های مانیتورینگ و اعمال فیلترها برای بررسی محتوای ایمیل‌ها و بلاک کردن آنها در صورت مغایر بودن با سیاست‌های امنیتی سازمان است. در این زمینه «مایکل ماشادو» مدیر بخش IT شرکت WebEx از برنامه‏ای متعلق به شرکت Reconnex برای مانیتور و فیلتر کردن ایمیل‌ها استفاده می‏کند.

همچنین مرکز درمانی DeKalb از نرم‏افزار Vericept برای مانیتور کردن تمامی ایمیل‌ها استفاده می‏کند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش می‌دهد و او را از خطرات احتمالی چنین اقداماتی آگاه می‏سازد.

۳. دستگاه‏های ذخیره‏سازی قابل‏حمل

(Portable Storage Devices)

یکی از اصلی‏ترین نگرانی‏های مدیران IT، افزایش روزافزون دستگاه‏های ذخیره‏سازی اطلاعات از Apple iPhone و iPodها گرفته تا حافظه‏های فلش و ورود آنها به سازمان است. «هالبروک» این رابطه می‏گوید: «مردم براحتی می‏توانند با این وسایل تمامی اطلاعات محرمانه سازمان را کپی کنند و آنها را به محلی ناامن منتقل کنند.»

«تنها در این سه هفته اخیر، من ۶ مطلب مختلف در مورد خطرات این دستگاه‏ها شنیدم» اینها مطلبی بود که « مارک رودس اوسلی» معمار امنیت اطلاعات و نویسنده کتاب

«Network Security: The Complete Reference» بیان می‏کند.

در حالی که بستن پورت‌های USB کار آسانی است، اما بسیاری از مدیران شبکه این روش را روشی درست نمی‏دانند. «میلر» در خصوص استفاده از این روش می‏گوید: «اگر مردم بخواهند اطلاعاتی جابه جا کنند، به هرحال راهی برای آن پیدا می‏کنند. اگر شما پورت‌های USB را بلاک کنید، در مورد Infrared، و CD Writer و سایر موارد چه می‏خواهید بکنید؟»

او پیشنهاد می‏دهد باید حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجیه کرد که استفاده نادرست از این وسایل چه خطراتی برای سازمان می‏تواند به‌همراه داشته باشد. میلر ادامه می‏دهد: «بسیاری از فاجعه‏هایی که در این رابطه اتفاق می‏افتد، غیرعمدی بوده است و به همین خاطر است که کارکنان باید آموزش ببینند.»

«ماشادو» هم موافق بلاک کردن USBها در شرکت WebEx نیست. چرا که این موضوع باعث درخواست‌های بی‏شمار به واحد IT سازمان می‏شود و کم‏کم مسوولان ناچار می‏شوند در خصوص این درخواست‌ها استثناهایی را لحاظ کنند و پس از اندک مدتی مدیریت این استثناها غیرکنترل می‏شود. او می‏گوید: «همه یک استثنا دارند که از نظر خودشان مهم‌ترین کار سازمان است. پاسخگویی به این کاربران زمان‏بر است.»

او معتقد است که بهترین کار استفاده از ابزاری است که به‌صورت خودکار به کاربری که در حال کپی کردن اطلاعات بر روی این دستگاه‏ها است، پیغام هشدار دهد. او می‏گوید: «در این صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نیز قابل ردیابی خواهد بود.»

اما فاینی خود را طرفدار بلاک کردن USB در مرکز درمانی DeKalb می‏داند و از نرم‏افزار Vericept برای این منظور استفاده می‏کند. او همچنین دادن یپغام هشدار به کاربر را نیز ایده جالبی می‏داند.

در همین حال دانشگاه ایالتی Grand Valley میشیگان و برخی دیگر از دانشگاه‏ها به‌دنبال روشی برای استاندارد کردن رمزگذاری حافظه‏های فلش برای بالا بردن امنیت این دستگاه‏ها هستند.

۴. PDAها و گوشی‏های هوشمند

هر روز بر تعداد کسانی که از PDAها استفاده می‏کنند، افزوده می‏شود. اما زمانی که آنها می‏خواهند اطلاعات را از روی PC به آن منتقل کنند یا بالعکس، می‏توانند مسبب مشکلاتی شوند. از ایجاد یک اشکال کوچک گرفته تا صفحه آبی ویندوز. «هالبروک» در این خصوص می‏گوید: «این نوع مشکلات، اشکالات غیررایجی نیستند. اشکالات ناخوشایندی هستند که مدام تکرار می‌شوند.»

مساله اینجا است که آیا پرسنل باید برای استفاده از این دستگاه‏ها آزاد باشند. یک کارمند می‏تواند از در خارج شود، در حالی که اطلاعات زیادی از سازمان را در درون PDA خود ذخیره کرده است.

مانند بسیاری از سازمان‌ها، شرکت WebEx خطرات این دستگاه‏ها را از طریق استاندارد کردن استفاده از یک برند خاص PDA کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصی از PDA را در محل کار دارند که مسائل امنیتی آن به‌شدت تحت کنترل واحد IT است. این شرکت همین کار را در مورد Laptopها نیز انجام داده است که بنا به عقیده «ماشادو» از PDAها بسیار خطرناکترند؛ چرا که می‏توانند اطلاعات بیشتری را در خود ذخیره کنند. کارکنان اجازه آوردن Laptop با برند دیگر را به درون سازمان ندارند.

۵. گوشی‏های دوربین‏دار

یک کارگر بیمارستان در مقابل اتاق پرستاران ایستاده بود و با پرستاران بسیار خودمانی مشغول صحبت بود. هیچ‌کس متوجه این موضوع نبود که او مدام دکمه کوچک موبایلش را می‏فشارد. این یک صحنه از دزدی اطلاعات با گوشی دوربین‏دار می‏تواند باشد.

«فاینی» در این مورد می‏گوید: «یکی از این تست‌ها که من برای مرکز درمانی DeKalb انجام داده بودم، رفتن به اتاق پرستاران (در حالی که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها به‌صورت نامحسوس بود. من می‏خواستم ببینم که آیا از این طریق می‏توان به اطلاعات پرونده‏ها و کاغذهایی که روی میز قرار داشتند، دسترسی داشت یا خیر.»

وقتی او به اتاق کارش باز می‏گردد، اطلاعات خاصی در مورد آن پرونده‏ها از آن عکس‌ها به‌دست نمی‏آید اما به‌صورت تصادفی نام کامپیوتر (نه IP) را که بر روی مانیتور نمایش داده شده بود، در یکی از عکس‌ها می‏بیند.

«این نوع اطلاعات می‏تواند در کنار سایر اطلاعات به‌دست آمده از روش‌های دیگر باعث ایجاد دیدی روشن برای طرح‌ریزی یک حمله شود.»

او در این مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض دید قرار دادن اطلاعات کلیدی هشدار داده است.

۶. Skype و دیگر سرویس‌های VoIP

تکنولوژی دیگری که به شدت در حال رشد است Skype است، نرم‏افزاری قابل‏دانلود که کاربران از طریق آن می‏توانند تماس‌های تلفنی رایگان برقرار کنند. ۲۰درصد از پاسخگویان به این نظرسنجی گفته‏اند از این سرویس برای اهداف تجاری استفاده می‏کنند.

خطری که Skype یک سازمان را تهدید می‏کند، همان خطری است که هر نرم‏افزار کوچک قابل‏دانلود دیگر را تهدید می‏کند. هالبروک در این خصوص می‏گوید: «نرم‏افزارهای تجاری برای یک سازمان از لحاظ امنیتی مطمئن‏تر از برنامه‏های کوچک قابل‏دانلود بر روی اینترنت می‏باشند. بنابراین دانلود هر نرم‏افزاری می‏تواند نوعی ریسک برای سازمان محسوب شود.»

Skype حداقل ۴ مورد مشکل امنیتی را اعلام کرده است و برای آنها آپدیت ارائه کرده است. متاسفانه اغلب بخش‌های IT سازمان‌ها آماری در مورد اینکه چه تعداد از پرسنل از این نرم‏افزار استفاده می‏کنند و از این تعداد چند نفر از آخرین نسخه استفاده نمی‏کنند، اطلاعاتی ندارند. لذا نمی‏تواند کنترل صحیحی را اعمال کند.

بنا به نظر شرکت Gartner ایمن‏ترین راه، محدود کردن ترافیک‌های مربوط به این نرم‏افزار در شبکه است و اگر قرار شد برخی افراد از آن استفاده کنند، باید ویرایش آخر این نرم‏افزار را به‌همراه آپدیت‏هایش اجرا کنند.

۷. برنامه‏های کوچک قابل‏دانلود

براساس تحقیق Yankee Group استفاده‏کنندگان این برنامه‏ها از دستگاه‏هایی نظیر Q و Nokia E۶۲ جهت دسترسی سریع به اینترنت برای دانلود آنها استفاده می‏کنند. این برنامه‏ها می‏توانند به آسانی وارد یک کامپیوتر شوند و این درگاهی دیگر برای ورود اطلاعات ناخواسته به اکوسیستم سازمان است که با معیارهای امنیتی بخش IT سازگار نیست.

مشکل اینجا است که این برنامه‏های کوچک قدرت پردازش کامپیوتر و پهنای باند شبکه را اشغال می‏کنند. هالبروک می‏گوید: «من نمی‏خواهم بگویم اینها ویروس هستند اما شما در حال دانلود کردن نرم افزاری هستید که اطمینان زیادی به آن ندارید.»

WebEx به کارکنانش در خصوص ریسک‌های این برنامه‏های کوچک آموزش می‏دهد و از Reconnex برای مانیتور برنامه‏های نصب شده بر روی کامپیوترها استفاده می‏کند، ضمن اینکه برخی از حق دسترسی‏هایی را که به صورت پیش فرض برای دانلود فعال می‏باشند نیز غیرفعال کرده است.

۸. دنیاهای مجازی (Virtual Worlds)

کارکنان شرکت‌های تجاری در حال تجربه کردن زندگی کاری در دنیاهایی مجازی هستند، دنیاهایی که برخی معتقدند زندگی دوم ما انسان‌ها است. اما وظیفه بخش IT سازمان این است که در خصوص خطرات آن آگاه باشد.

در همان حال ذات این محیط‌ها براساس دانلود حجم زیادی از اطلاعات و برنامه‏ها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن می‏کنند.

Gartner پیشنهاد می‏کند که کارکنان حتی‏الامکان در خارج از شبکه درونی سازمان و یا منزل در حالی که توسط Firewall بیرونی سازمان کامپیوترشان محافظت می‏شود، از این محیط‌ها استفاده کنند. در واقع سازمان دارای دو دیواره آتش باشد. اولی از کامپیوترهایی که می‏خواهند به این محیط‌ها دسترسی داشته باشند محافظت کند و دومین دیواره آتش بعد از دیواره آتش اول از شبکه داخلی سازمان محافظت کند.