تکنولوژیهای جدید اعم از محصولات و سرویسها از انواع مختلف با روشهای گوناگونی وارد محیطهای کار میشوند.از گوشیهای هوشمند، سیستمهای Voice-over-IP و حافظههای فلش گرفته تا دنیای آنلاین. این تکنولوژیها پس از مدتی بخشی از زندگی روزمره مردم میشوند به طوری که تصور زندگی بدون آنها غیرممکن میشود. اما سوال اینجاست که آیا کارکنان بايد حتما از آنها در محیط کار استفاده کنند یا بالعکس بايد از آنها پرهیز کنند.
در نظرسنجی اخیری که مرکز تحقیقاتی Yankee Group انجام داده است، 86درصد از 500 پاسخدهنده در این نظرسنجی گفتهاند که حداقل از یکی از تکنولوژیهای مورد بحث در این مقاله در محل کار استفاده میکنند.
متاسفانه این تکنولوژیها باعث بروز برخی مشکلات در واحدهای IT سازمانها هم شدهاند. استفاده از برخی تکنولوژیها نوعی ریسک محسوب میشود. از سوی دیگر کاربران توقع دارند که واحد IT از دستگاهها و سرویسها به ويژه آنهایی که با آنها در برنامهها سر و کار دارند، پشتیبانی کند.
ممنوع کردن استفاده از برخی تکنولوژیها در بسیاری از شرکتهای بر خلاف فرهنگ آن سازمان است ولی از طرفی دیگر نمیتوانند تمام ریسکهای امنیتی را نیز نادیده بگیرند.
«من فکر نمیکنم كاركنان وقت این را داشته باشند که در مورد تمام تکنولوژیها مطالعه کنند و همه جنبههای آن را در نظر بگیرند، آنها مشغول کار خودشان هستند و وقت چنین کارهایی را ندارند.» این صحبتهای«شارون فايني»، مدیر بخش امنیت اطلاعات مرکز درمانی Dekalb است. او ادامه میدهد: «من فکر میکنم این وظیفه من است که در مورد این تکنولوژیها تحقیق کنم و بهصورت ساده به آنها آموزش دهم و در عین حال مسائل امنیتی آن را هم در نظر بگیرم.»
برخی دیگر مانند «مايكل ميلر»، معاون بخش امنیت سرویسهای ارتباطی شرکت Global Crossing معتقد است که ابتدا واحد IT باید صبر کند تا ببیند استفاده از این دستگاهها تاثیری مثبت بر روی راندمان کار دارد یا باعث بروز مشکلاتی مانند نفوذ Worm و یا افزایش ترافیک شبکه میشود. براساس نظر او واکنش به این تکنولوژیها بايد ترکیبی از پیروی از فرهنگ سازمان و دادن حق دسترسی (در حد منطقی) به کارکنان و مطمئن بودن از سطح امنیتی شبکه باشد.
«جاشها لبروك» تحلیلگر Yankee Group میگوید: «مقابله با مشکلاتی که این تکنولوژِیها باعث آن هستند، منابع زیادی از بخش IT سازمان را به خود اختصاص میدهد. استفاده از برخی تکنولوژیها برای بخشهای IT سازمانها به یک کابوس تبدیل خواهد شد، مگر آنکه کارکنان سیاستهای سازمان در خصوص استفاده از تکنولوژیهای جدید را به خوبی بپذیرند. در همان حال بیتوجهی به زیر نظر داشتن تکنولوژیهای جدید خطر بالقوهای در خصوص امنیت اطلاعات سازمان است.»
برای نمونه در زیر به بررسی خطرهاي 8 تکنولوژی معروف پرداخته میشود:
1. Instant Messaging
این روزها مردم از IMها (Instant Messaging) برای هر چیزی استفاده میکنند، از مطمئن شدن رسیدن بچهها به منزل تا گفتوگو با همکاران و یا حتی شرکای تجاری. براساس تحقیق Y،Yankee Groupن40 درصد از پاسخگویان گفته بودند که از IM در محل کار استفاده میکنند. IMها مسائل امنیتی متعددی را به چالش میکشاند. بهخصوص که تبادل اطلاعات در IM و در محیط اینترنت، خط ارتباطی ناامنی محسوب میشود و چهبسا یک نفوذگر از همین طریق بتواند به اطلاعات محرمانهای که مثلا یک کارمند با یک مشتری در خارج از سازمان و بر روی بستر اینترنت در حال تبادل آن هستند، دسترسی پیدا کند.
یک راه برای مقابله با تهدیدات IMها استفاده از سرورهای IMهای درونسازمانی است. مثلا در اواخر سال 2005، شرکت Global Crossing از نرمافزار Live Communications Server یا به اختصار LCS، برای این منظور استفاده کرد. این شرکت در ادامه در آگوست 2006، کارکنانش را از استفاده از IMهای شرکتهایی نظیر AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتی که از طریق سرورهای داخلی انجام میشود، رمز شده (Encrypted) و تمامی IM برون سازمانی محافظت شدهاند.
همچنین به کارگیری سرورهای IMهای داخلی به واحد امنیت آن سازمان کنترل بیشتری میدهد. «ميلر» میگوید: «از این طریق ما این توانایی را داریم که سیاستهای امنیتی را به راحتی اعمال کنیم. برایی نمونه ما میتوانیم تبادل فایل از طریق IM را محدود کنیم یا کاربران اجازه استفاده از URLهای ارسال شده از طریق شخصی که با آن مشغول چت هستند، نداشته باشند. اینها روشهای متداولی برای جلوگیری از ورود Wormها به درون سازمان است.» او ادامه میدهد: «این روش از اتلاف وقت هم جلوگیری میکند.»
روشهای سختگیرانهتری هم وجود دارد. سیاست امنیتی مرکز درمانی DeKalb، استفاده از IMها را کلا ممنوع كرده است. «فايني» برای اطمینان بیشتر نیز اکثر سایتهایی را که از طریق آنها میتوان IMها دانلود کرد را نیز محدود کرده است. اما او نمیتواند سایتهای AOL یا Yahoo را هم بلاک کند؛ چرا که بسیاری از پرسنل از این سایتها برای ایمیل استفاده میکنند. گروه او همچنین از یک نرمافزار کمکی که وظیفه آن پیدا کردن کامپیوترهایی است که بر روی آنها نرمافزار IM نصب شده است نیز استفاده میکنند. در صورتی که این نرمافزار وجود چنین کامپیوتری را اعلام کند، به کارمند خاطی تذکر داده و سیاست امنیتی سازمان به او یادآور میشود. فايني همچنین متدهای مختلفی را برای بلاک کردن ارسال اطلاعات از درون سازمان به بیرون بهکار گرفته است. در حال حاضر او از یک برنامه کمکی متعلق به شرکت Vericept برای مانیتور کردن اطلاعات استفاده میکند. همچنین تیم او اکثر پورتهای کامپیوترها را بستهاند تا نرمافزارها راهی جز استفاده از پورت 80 (HTTP Port) برای تبادل اطلاعات با بیرون از سازمان را نداشته باشند.
مرکز درمانی DeKalb به دنبال یافتن ایدههایی برای استفاده از نرمافزارهایی نظیر IBM Lotus Notes یا حتی نرمافزارهای رایگان IM نظیر Jabber برای افرادی که برای امور کاری میخواهند در داخل سازمان چت کنند ميگردد. فايني در آخر میگوید: «هیچ چیز 100درصد نیست. IM هنوز نگرانی بزرگی برای امنیت و همینطور کارایی سازمان است.»
2. Web Mail
50درصد پاسخگویان نظرسنجی Yankee Group گفتهاند که آنها از ایمیلها برای اهداف تجاری سازمان استفاده میکنند. مشکل استفاده از ایمیلهای سرویسدهندههایی نظیر G،Google Gmail، Microsoft Hotmail، AOL و Yahoo این است که کاربران به ناامن بودن آنها توجه نمیکنند. چرا که اطلاعات بر روی سرورهای ISPها و همان میلسرورها ذخیره میشوند. کارکنان بیتوجه به این مسائل، اطلاعات بسیار مهمی نظیر شمارههای امنیتی، کلمه عبور و بسیاری دیگر از اطلاعات محرمانه سازمان را از این طریق بر روی اینترنت جابه جا میکنند.
یکی از راههای کاهش دادن خطر لو رفتن اطلاعات سازمان از طریق ایمیلها استفاده از برنامههای مانیتورینگ و اعمال فیلترها برای بررسی محتوای ایمیلها و بلاک کردن آنها در صورت مغایر بودن با سیاستهای امنیتی سازمان است. در این زمینه «مايكل ماشادو» مدیر بخش IT شرکت WebEx از برنامهای متعلق به شرکت Reconnex برای مانیتور و فیلتر کردن ایمیلها استفاده میکند.
همچنین مرکز درمانی DeKalb از نرمافزار Vericept برای مانیتور کردن تمامی ایمیلها استفاده میکند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش ميدهد و او را از خطرات احتمالی چنین اقداماتی آگاه میسازد.
3. دستگاههای ذخیرهسازی قابلحمل
(Portable Storage Devices)
یکی از اصلیترین نگرانیهای مدیران IT، افزایش روزافزون دستگاههای ذخیرهسازی اطلاعات از Apple iPhone و iPodها گرفته تا حافظههای فلش و ورود آنها به سازمان است. «هالبروك» این رابطه میگوید: «مردم براحتی میتوانند با این وسایل تمامی اطلاعات محرمانه سازمان را کپی کنند و آنها را به محلی ناامن منتقل کنند.»
«تنها در این سه هفته اخیر، من 6 مطلب مختلف در مورد خطرات این دستگاهها شنیدم» اینها مطلبی بود که « مارك رودس اوسلي» معمار امنیت اطلاعات و نویسنده کتاب
«Network Security: The Complete Reference» بیان میکند.
در حالی که بستن پورتهای USB کار آسانی است، اما بسیاری از مدیران شبکه این روش را روشی درست نمیدانند. «ميلر» در خصوص استفاده از این روش میگوید: «اگر مردم بخواهند اطلاعاتی جابه جا کنند، به هرحال راهی برای آن پیدا میکنند. اگر شما پورتهای USB را بلاک کنید، در مورد Infrared، و CD Writer و سایر موارد چه میخواهید بکنید؟»
او پیشنهاد میدهد بايد حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجیه کرد که استفاده نادرست از این وسایل چه خطراتی برای سازمان میتواند بههمراه داشته باشد. ميلر ادامه میدهد: «بسیاری از فاجعههایی که در این رابطه اتفاق میافتد، غیرعمدی بوده است و به همین خاطر است که کارکنان باید آموزش ببینند.»
«ماشادو» هم موافق بلاک کردن USBها در شرکت WebEx نیست. چرا که این موضوع باعث درخواستهای بیشمار به واحد IT سازمان میشود و کمکم مسوولان ناچار میشوند در خصوص این درخواستها استثناهایی را لحاظ کنند و پس از اندک مدتی مدیریت این استثناها غیرکنترل میشود. او میگوید: «همه یک استثنا دارند که از نظر خودشان مهمترین کار سازمان است. پاسخگویی به این کاربران زمانبر است.»
او معتقد است که بهترین کار استفاده از ابزاری است که بهصورت خودکار به کاربری که در حال کپی کردن اطلاعات بر روی این دستگاهها است، پیغام هشدار دهد. او میگوید: «در این صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نیز قابل ردیابی خواهد بود.»
اما فايني خود را طرفدار بلاک کردن USB در مرکز درمانی DeKalb میداند و از نرمافزار Vericept برای این منظور استفاده میکند. او همچنین دادن یپغام هشدار به کاربر را نیز ایده جالبی میداند.
در همین حال دانشگاه ایالتی Grand Valley میشیگان و برخی دیگر از دانشگاهها بهدنبال روشی برای استاندارد کردن رمزگذاری حافظههای فلش برای بالا بردن امنیت این دستگاهها هستند.
4. PDAها و گوشیهای هوشمند
هر روز بر تعداد کسانی که از PDAها استفاده میکنند، افزوده میشود. اما زمانی که آنها میخواهند اطلاعات را از روی PC به آن منتقل کنند یا بالعکس، میتوانند مسبب مشکلاتی شوند. از ایجاد یک اشکال کوچک گرفته تا صفحه آبی ویندوز. «هالبروك» در این خصوص میگوید: «این نوع مشکلات، اشکالات غیررایجی نیستند. اشکالات ناخوشایندی هستند که مدام تکرار میشوند.»
مساله اینجا است که آیا پرسنل باید برای استفاده از این دستگاهها آزاد باشند. یک کارمند میتواند از در خارج شود، در حالی که اطلاعات زیادی از سازمان را در درون PDA خود ذخیره کرده است.
مانند بسیاری از سازمانها، شرکت WebEx خطرات این دستگاهها را از طریق استاندارد کردن استفاده از یک برند خاص PDA کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصی از PDA را در محل کار دارند که مسائل امنیتی آن بهشدت تحت کنترل واحد IT است. این شرکت همین کار را در مورد Laptopها نیز انجام داده است که بنا به عقیده «ماشادو» از PDAها بسیار خطرناکترند؛ چرا که میتوانند اطلاعات بیشتری را در خود ذخیره کنند. کارکنان اجازه آوردن Laptop با برند دیگر را به درون سازمان ندارند.
5. گوشیهای دوربیندار
یک کارگر بیمارستان در مقابل اتاق پرستاران ایستاده بود و با پرستاران بسیار خودمانی مشغول صحبت بود. هیچکس متوجه این موضوع نبود که او مدام دکمه کوچک موبایلش را میفشارد. این یک صحنه از دزدی اطلاعات با گوشی دوربیندار میتواند باشد.
«فايني» در این مورد میگوید: «یکی از این تستها که من برای مرکز درمانی DeKalb انجام داده بودم، رفتن به اتاق پرستاران (در حالی که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها بهصورت نامحسوس بود. من میخواستم ببینم که آیا از این طریق میتوان به اطلاعات پروندهها و کاغذهایی که روی میز قرار داشتند، دسترسی داشت یا خیر.»
وقتی او به اتاق کارش باز میگردد، اطلاعات خاصی در مورد آن پروندهها از آن عکسها بهدست نمیآید اما بهصورت تصادفی نام کامپیوتر (نه IP) را که بر روی مانیتور نمایش داده شده بود، در یکی از عکسها میبیند.
«این نوع اطلاعات میتواند در کنار سایر اطلاعات بهدست آمده از روشهای دیگر باعث ایجاد دیدی روشن برای طرحریزی یک حمله شود.»
او در این مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض دید قرار دادن اطلاعات کلیدی هشدار داده است.
6. Skype و دیگر سرویسهای VoIP
تکنولوژی دیگری که به شدت در حال رشد است Skype است، نرمافزاری قابلدانلود که کاربران از طریق آن میتوانند تماسهای تلفنی رایگان برقرار کنند. 20درصد از پاسخگویان به این نظرسنجی گفتهاند از این سرویس برای اهداف تجاری استفاده میکنند.
خطری که Skype یک سازمان را تهدید میکند، همان خطری است که هر نرمافزار کوچک قابلدانلود دیگر را تهدید میکند. هالبروك در این خصوص میگوید: «نرمافزارهای تجاری برای یک سازمان از لحاظ امنیتی مطمئنتر از برنامههای کوچک قابلدانلود بر روی اینترنت میباشند. بنابراین دانلود هر نرمافزاری میتواند نوعی ریسک برای سازمان محسوب شود.»
Skype حداقل 4 مورد مشکل امنیتی را اعلام کرده است و برای آنها آپدیت ارائه کرده است. متاسفانه اغلب بخشهای IT سازمانها آماری در مورد اینکه چه تعداد از پرسنل از این نرمافزار استفاده میکنند و از این تعداد چند نفر از آخرین نسخه استفاده نمیکنند، اطلاعاتي ندارند. لذا نمیتواند کنترل صحیحی را اعمال کند.
بنا به نظر شرکت Gartner ایمنترین راه، محدود کردن ترافیکهای مربوط به این نرمافزار در شبکه است و اگر قرار شد برخی افراد از آن استفاده کنند، بايد ویرایش آخر این نرمافزار را بههمراه آپدیتهایش اجرا کنند.
7. برنامههای کوچک قابلدانلود
براساس تحقیق Yankee Group استفادهکنندگان این برنامهها از دستگاههایی نظیر Q و Nokia E62 جهت دسترسی سریع به اینترنت برای دانلود آنها استفاده میکنند. این برنامهها میتوانند به آسانی وارد یک کامپیوتر شوند و این درگاهی دیگر برای ورود اطلاعات ناخواسته به اکوسیستم سازمان است که با معیارهای امنیتی بخش IT سازگار نیست.
مشکل اینجا است که این برنامههای کوچک قدرت پردازش کامپیوتر و پهنای باند شبکه را اشغال میکنند. هالبروك میگوید: «من نمیخواهم بگویم اینها ویروس هستند اما شما در حال دانلود کردن نرم افزاری هستید که اطمینان زیادی به آن ندارید.»
WebEx به کارکنانش در خصوص ریسکهای این برنامههای کوچک آموزش میدهد و از Reconnex برای مانیتور برنامههای نصب شده بر روی کامپیوترها استفاده میکند، ضمن اینکه برخی از حق دسترسیهایی را که به صورت پیش فرض برای دانلود فعال میباشند نیز غیرفعال کرده است.
8. دنیاهای مجازی (Virtual Worlds)
کارکنان شرکتهای تجاری در حال تجربه کردن زندگی کاری در دنیاهایی مجازی هستند، دنیاهایی که برخی معتقدند زندگی دوم ما انسانها است. اما وظیفه بخش IT سازمان این است که در خصوص خطرات آن آگاه باشد.
در همان حال ذات این محیطها براساس دانلود حجم زیادی از اطلاعات و برنامهها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن میکنند.
Gartner پیشنهاد میکند که کارکنان حتیالامکان در خارج از شبکه درونی سازمان و یا منزل در حالی که توسط Firewall بیرونی سازمان کامپیوترشان محافظت میشود، از این محیطها استفاده کنند. در واقع سازمان دارای دو دیواره آتش باشد. اولی از کامپیوترهایی که میخواهند به این محیطها دسترسی داشته باشند محافظت کند و دومین دیواره آتش بعد از دیواره آتش اول از شبکه داخلی سازمان محافظت کند.