8 تکنولوژي خطرناک براي امنيت اطلاعات سازمان‌ها و شرکت‌ها

دنياي اقتصاد - تکنولوژي‏هاي جديد اعم از محصولات و سرويس‌ها از انواع مختلف با روش‌هاي گوناگوني وارد محيط‌هاي کار مي‏شوند.

از گوشي‏هاي هوشمند، سيستم‌هاي Voice-over-IP و حافظه‏هاي فلش گرفته تا دنياي آنلاين. اين تکنولوژي‏ها پس از مدتي بخشي از زندگي روزمره مردم مي‏شوند به طوري که تصور زندگي بدون آنها غيرممکن مي‏شود. اما سوال اينجاست که آيا کارکنان بايد حتما از آنها در محيط کار استفاده کنند يا بالعکس بايد از آنها پرهيز کنند.
در نظرسنجي اخيري که مرکز تحقيقاتي Yankee Group انجام داده است، 86درصد از 500 پاسخ‏دهنده در اين نظرسنجي گفته‏اند که حداقل از يکي از تکنولوژي‏هاي مورد بحث در اين مقاله در محل کار استفاده مي‏کنند.
متاسفانه اين تکنولوژي‏ها باعث بروز برخي مشکلات در واحدهاي IT سازمان‌ها هم شده‏اند. استفاده از برخي تکنولوژي‏ها نوعي ريسک محسوب مي‏شود. از سوي ديگر کاربران توقع دارند که واحد IT از دستگاه‏ها و سرويس‌ها به ويژه آنهايي که با آنها در برنامه‏ها سر و کار دارند، پشتيباني کند.
ممنوع کردن استفاده از برخي تکنولوژي‏ها در بسياري از شرکت‌هاي بر خلاف فرهنگ آن سازمان است ولي از طرفي ديگر نمي‏توانند تمام ريسک‌هاي امنيتي را نيز ناديده بگيرند.
«من فکر نمي‏کنم كاركنان وقت اين را داشته باشند که در مورد تمام تکنولوژي‏ها مطالعه کنند و همه جنبه‏هاي آن را در نظر بگيرند، آنها مشغول کار خودشان هستند و وقت چنين کارهايي را ندارند.» اين صحبت‌هاي«شارون فايني»، مدير بخش امنيت اطلاعات مرکز درماني Dekalb است. او ادامه مي‏دهد: «من فکر مي‏کنم اين وظيفه من است که در مورد اين تکنولوژي‏ها تحقيق کنم و به‌صورت ساده به آنها آموزش دهم و در عين حال مسائل امنيتي آن را هم در نظر بگيرم.»
برخي ديگر مانند «مايكل ميلر»، معاون بخش امنيت سرويس‌هاي ارتباطي شرکت Global Crossing معتقد است که ابتدا واحد IT بايد صبر کند تا ببيند استفاده از اين دستگاه‏ها تاثيري مثبت بر روي راندمان کار دارد يا باعث بروز مشکلاتي مانند نفوذ Worm و يا افزايش ترافيک شبکه مي‏شود. براساس نظر او واکنش به اين تکنولوژي‏ها بايد ترکيبي از پيروي از فرهنگ سازمان و دادن حق دسترسي (در حد منطقي) به کارکنان و مطمئن بودن از سطح امنيتي شبکه باشد.
«جاش‌ها لبروك» تحليلگر Yankee Group مي‏گويد: «مقابله با مشکلاتي که اين تکنولوژِي‏ها باعث آن هستند، منابع زيادي از بخش IT سازمان را به خود اختصاص مي‏دهد. استفاده از برخي تکنولوژي‏ها براي بخش‌هاي IT سازمان‌ها به يک کابوس تبديل خواهد شد، مگر آنکه کارکنان سياست‌هاي سازمان در خصوص استفاده از تکنولوژي‏هاي جديد را به خوبي بپذيرند. در همان حال بي‏توجهي به زير نظر داشتن تکنولوژي‏هاي جديد خطر بالقوه‏اي در خصوص امنيت اطلاعات سازمان است.»

براي نمونه در زير به بررسي خطرهاي 8 تکنولوژي معروف پرداخته مي‏شود:
1. Instant Messaging
اين روزها مردم از IMها (Instant Messaging) براي هر چيزي استفاده مي‏کنند، از مطمئن شدن رسيدن بچه‏ها به منزل تا گفت‌وگو با همکاران و يا حتي شرکاي تجاري. براساس تحقيق Y،Yankee Groupن40 درصد از پاسخگويان گفته بودند که از IM در محل کار استفاده مي‏کنند. IMها مسائل امنيتي متعددي را به چالش مي‏کشاند. به‌خصوص که تبادل اطلاعات در IM و در محيط اينترنت، خط ارتباطي ناامني محسوب مي‏شود و چه‌بسا يک نفوذگر از همين طريق بتواند به اطلاعات محرمانه‏اي که مثلا يک کارمند با يک مشتري در خارج از سازمان و بر روي بستر اينترنت در حال تبادل آن هستند، دسترسي پيدا کند.
يک راه براي مقابله با تهديدات IMها استفاده از سرورهاي IMهاي درون‏سازماني است. مثلا در اواخر سال 2005، شرکت Global Crossing از نرم‏افزار Live Communications Server يا به اختصار LCS، براي اين منظور استفاده کرد. اين شرکت در ادامه در آگوست 2006، کارکنانش را از استفاده از IMهاي شرکت‌هايي نظير AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتي که از طريق سرورهاي داخلي انجام مي‏شود، رمز شده (Encrypted) و تمامي IM برون سازماني محافظت شده‏اند.
همچنين به کارگيري سرورهاي IMهاي داخلي به واحد امنيت آن سازمان کنترل بيشتري مي‏دهد. «ميلر» مي‏گويد: «از اين طريق ما اين توانايي را داريم که سياست‌هاي امنيتي را به راحتي اعمال کنيم. برايي نمونه ما مي‏توانيم تبادل فايل از طريق IM را محدود کنيم يا کاربران اجازه استفاده از URLهاي ارسال شده از طريق شخصي که با آن مشغول چت هستند، نداشته باشند. اينها روش‌هاي متداولي براي جلوگيري از ورود Wormها به درون سازمان است.» او ادامه مي‏دهد: «اين روش از اتلاف وقت هم جلوگيري مي‏کند.»
روش‌هاي سخت‏گيرانه‏تري هم وجود دارد. سياست امنيتي مرکز درماني DeKalb، استفاده از IMها را کلا ممنوع كرده است. «فايني» براي اطمينان بيشتر نيز اکثر سايت‌هايي را که از طريق آنها مي‏توان IMها دانلود کرد را نيز محدود کرده است. اما او نمي‏تواند سايت‌هاي AOL يا Yahoo را هم بلاک کند؛ چرا که بسياري از پرسنل از اين سايت‌ها براي ايميل استفاده مي‏کنند. گروه او همچنين از يک نرم‏افزار کمکي که وظيفه آن پيدا کردن کامپيوترهايي است که بر روي آنها نرم‏افزار IM نصب شده است نيز استفاده مي‏کنند. در صورتي که اين نرم‏افزار وجود چنين کامپيوتري را اعلام کند، به کارمند خاطي تذکر داده و سياست امنيتي سازمان به او يادآور مي‏شود. فايني همچنين متدهاي مختلفي را براي بلاک کردن ارسال اطلاعات از درون سازمان به بيرون به‌کار گرفته است. در حال حاضر او از يک برنامه کمکي متعلق به شرکت Vericept براي مانيتور کردن اطلاعات استفاده مي‏کند. همچنين تيم او اکثر پورت‌هاي کامپيوترها را بسته‏اند تا نرم‏افزارها راهي جز استفاده از پورت 80 (HTTP Port) براي تبادل اطلاعات با بيرون از سازمان را نداشته باشند.
مرکز درماني DeKalb به دنبال يافتن ايده‏هايي براي استفاده از نرم‏افزارهايي نظير IBM Lotus Notes يا حتي نرم‏افزارهاي رايگان IM نظير Jabber براي افرادي که براي امور کاري مي‏خواهند در داخل سازمان چت کنند مي‌گردد. فايني در آخر مي‏گويد: «هيچ چيز 100درصد نيست. IM هنوز نگراني بزرگي براي امنيت و همين‌طور کارايي سازمان است.»

2. Web Mail
50درصد پاسخگويان نظرسنجي Yankee Group گفته‏اند که آنها از ايميل‌ها براي اهداف تجاري سازمان استفاده مي‏کنند. مشکل استفاده از ايميل‌هاي سرويس‏دهنده‏هايي نظير G،Google Gmail، Microsoft Hotmail، AOL و Yahoo اين است که کاربران به ناامن بودن آنها توجه نمي‏کنند. چرا که اطلاعات بر روي سرورهاي ISPها و همان ميل‏سرورها ذخيره مي‏شوند. کارکنان بي‏توجه به اين مسائل، اطلاعات بسيار مهمي نظير شماره‏هاي امنيتي، کلمه عبور و بسياري ديگر از اطلاعات محرمانه سازمان را از اين طريق بر روي اينترنت جابه جا مي‏کنند.
يکي از راه‏هاي کاهش دادن خطر لو رفتن اطلاعات سازمان از طريق ايميل‌ها استفاده از برنامه‏هاي مانيتورينگ و اعمال فيلترها براي بررسي محتواي ايميل‌ها و بلاک کردن آنها در صورت مغاير بودن با سياست‌هاي امنيتي سازمان است. در اين زمينه «مايكل ماشادو» مدير بخش IT شرکت WebEx از برنامه‏اي متعلق به شرکت Reconnex براي مانيتور و فيلتر کردن ايميل‌ها استفاده مي‏کند.
همچنين مرکز درماني DeKalb از نرم‏افزار Vericept براي مانيتور کردن تمامي ايميل‌ها استفاده مي‏کند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش مي‌دهد و او را از خطرات احتمالي چنين اقداماتي آگاه مي‏سازد.

3. دستگاه‏هاي ذخيره‏سازي قابل‏حمل
(Portable Storage Devices)
يکي از اصلي‏ترين نگراني‏هاي مديران IT، افزايش روزافزون دستگاه‏هاي ذخيره‏سازي اطلاعات از Apple iPhone و iPodها گرفته تا حافظه‏هاي فلش و ورود آنها به سازمان است. «هالبروك» اين رابطه مي‏گويد: «مردم براحتي مي‏توانند با اين وسايل تمامي اطلاعات محرمانه سازمان را کپي کنند و آنها را به محلي ناامن منتقل کنند.»
«تنها در اين سه هفته اخير، من 6 مطلب مختلف در مورد خطرات اين دستگاه‏ها شنيدم» اينها مطلبي بود که « مارك رودس اوسلي» معمار امنيت اطلاعات و نويسنده کتاب
«Network Security: The Complete Reference» بيان مي‏کند.
در حالي که بستن پورت‌هاي USB کار آساني است، اما بسياري از مديران شبکه اين روش را روشي درست نمي‏دانند. «ميلر» در خصوص استفاده از اين روش مي‏گويد: «اگر مردم بخواهند اطلاعاتي جابه جا کنند، به هرحال راهي براي آن پيدا مي‏کنند. اگر شما پورت‌هاي USB را بلاک کنيد، در مورد Infrared، و CD Writer و ساير موارد چه مي‏خواهيد بکنيد؟»
او پيشنهاد مي‏دهد بايد حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجيه کرد که استفاده نادرست از اين وسايل چه خطراتي براي سازمان مي‏تواند به‌همراه داشته باشد. ميلر ادامه مي‏دهد: «بسياري از فاجعه‏هايي که در اين رابطه اتفاق مي‏افتد، غيرعمدي بوده است و به همين خاطر است که کارکنان بايد آموزش ببينند.»
«ماشادو» هم موافق بلاک کردن USBها در شرکت WebEx نيست. چرا که اين موضوع باعث درخواست‌هاي بي‏شمار به واحد IT سازمان مي‏شود و کم‏کم مسوولان ناچار مي‏شوند در خصوص اين درخواست‌ها استثناهايي را لحاظ کنند و پس از اندک مدتي مديريت اين استثناها غيرکنترل مي‏شود. او مي‏گويد: «همه يک استثنا دارند که از نظر خودشان مهم‌ترين کار سازمان است. پاسخگويي به اين کاربران زمان‏بر است.»
او معتقد است که بهترين کار استفاده از ابزاري است که به‌صورت خودکار به کاربري که در حال کپي کردن اطلاعات بر روي اين دستگاه‏ها است، پيغام هشدار دهد. او مي‏گويد: «در اين صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نيز قابل رديابي خواهد بود.»
اما فايني خود را طرفدار بلاک کردن USB در مرکز درماني DeKalb مي‏داند و از نرم‏افزار Vericept براي اين منظور استفاده مي‏کند. او همچنين دادن يپغام هشدار به کاربر را نيز ايده جالبي مي‏داند.
در همين حال دانشگاه ايالتي Grand Valley ميشيگان و برخي ديگر از دانشگاه‏ها به‌دنبال روشي براي استاندارد کردن رمزگذاري حافظه‏هاي فلش براي بالا بردن امنيت اين دستگاه‏ها هستند.

4. PDAها و گوشي‏هاي هوشمند
هر روز بر تعداد کساني که از PDAها استفاده مي‏کنند، افزوده مي‏شود. اما زماني که آنها مي‏خواهند اطلاعات را از روي PC به آن منتقل کنند يا بالعکس، مي‏توانند مسبب مشکلاتي شوند. از ايجاد يک اشکال کوچک گرفته تا صفحه آبي ويندوز. «هالبروك» در اين خصوص مي‏گويد: «اين نوع مشکلات، اشکالات غيررايجي نيستند. اشکالات ناخوشايندي هستند که مدام تکرار مي‌شوند.»
مساله اينجا است که آيا پرسنل بايد براي استفاده از اين دستگاه‏ها آزاد باشند. يک کارمند مي‏تواند از در خارج شود، در حالي که اطلاعات زيادي از سازمان را در درون PDA خود ذخيره کرده است.
مانند بسياري از سازمان‌ها، شرکت WebEx خطرات اين دستگاه‏ها را از طريق استاندارد کردن استفاده از يک برند خاص PDA کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصي از PDA را در محل کار دارند که مسائل امنيتي آن به‌شدت تحت کنترل واحد IT است. اين شرکت همين کار را در مورد Laptopها نيز انجام داده است که بنا به عقيده «ماشادو» از PDAها بسيار خطرناکترند؛ چرا که مي‏توانند اطلاعات بيشتري را در خود ذخيره کنند. کارکنان اجازه آوردن Laptop با برند ديگر را به درون سازمان ندارند.

5. گوشي‏هاي دوربين‏دار
يک کارگر بيمارستان در مقابل اتاق پرستاران ايستاده بود و با پرستاران بسيار خودماني مشغول صحبت بود. هيچ‌کس متوجه اين موضوع نبود که او مدام دکمه کوچک موبايلش را مي‏فشارد. اين يک صحنه از دزدي اطلاعات با گوشي دوربين‏دار مي‏تواند باشد.
«فايني» در اين مورد مي‏گويد: «يکي از اين تست‌ها که من براي مرکز درماني DeKalb انجام داده بودم، رفتن به اتاق پرستاران (در حالي که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها به‌صورت نامحسوس بود. من مي‏خواستم ببينم که آيا از اين طريق مي‏توان به اطلاعات پرونده‏ها و کاغذهايي که روي ميز قرار داشتند، دسترسي داشت يا خير.»
وقتي او به اتاق کارش باز مي‏گردد، اطلاعات خاصي در مورد آن پرونده‏ها از آن عکس‌ها به‌دست نمي‏آيد اما به‌صورت تصادفي نام کامپيوتر (نه IP) را که بر روي مانيتور نمايش داده شده بود، در يکي از عکس‌ها مي‏بيند.
«اين نوع اطلاعات مي‏تواند در کنار ساير اطلاعات به‌دست آمده از روش‌هاي ديگر باعث ايجاد ديدي روشن براي طرح‌ريزي يک حمله شود.»
او در اين مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض ديد قرار دادن اطلاعات کليدي هشدار داده است.

6. Skype و ديگر سرويس‌هاي VoIP
تکنولوژي ديگري که به شدت در حال رشد است Skype است، نرم‏افزاري قابل‏دانلود که کاربران از طريق آن مي‏توانند تماس‌هاي تلفني رايگان برقرار کنند. 20درصد از پاسخگويان به اين نظرسنجي گفته‏اند از اين سرويس براي اهداف تجاري استفاده مي‏کنند.
خطري که Skype يک سازمان را تهديد مي‏کند، همان خطري است که هر نرم‏افزار کوچک قابل‏دانلود ديگر را تهديد مي‏کند. هالبروك در اين خصوص مي‏گويد: «نرم‏افزارهاي تجاري براي يک سازمان از لحاظ امنيتي مطمئن‏تر از برنامه‏هاي کوچک قابل‏دانلود بر روي اينترنت مي‏باشند. بنابراين دانلود هر نرم‏افزاري مي‏تواند نوعي ريسک براي سازمان محسوب شود.»
Skype حداقل 4 مورد مشکل امنيتي را اعلام کرده است و براي آنها آپديت ارائه کرده است. متاسفانه اغلب بخش‌هاي IT سازمان‌ها آماري در مورد اينکه چه تعداد از پرسنل از اين نرم‏افزار استفاده مي‏کنند و از اين تعداد چند نفر از آخرين نسخه استفاده نمي‏کنند، اطلاعاتي ندارند. لذا نمي‏تواند کنترل صحيحي را اعمال کند.
بنا به نظر شرکت Gartner ايمن‏ترين راه، محدود کردن ترافيک‌هاي مربوط به اين نرم‏افزار در شبکه است و اگر قرار شد برخي افراد از آن استفاده کنند، بايد ويرايش آخر اين نرم‏افزار را به‌همراه آپديت‏هايش اجرا کنند.

7. برنامه‏هاي کوچک قابل‏دانلود
براساس تحقيق Yankee Group استفاده‏کنندگان اين برنامه‏ها از دستگاه‏هايي نظير Q و Nokia E62 جهت دسترسي سريع به اينترنت براي دانلود آنها استفاده مي‏کنند. اين برنامه‏ها مي‏توانند به آساني وارد يک کامپيوتر شوند و اين درگاهي ديگر براي ورود اطلاعات ناخواسته به اکوسيستم سازمان است که با معيارهاي امنيتي بخش IT سازگار نيست.
مشکل اينجا است که اين برنامه‏هاي کوچک قدرت پردازش کامپيوتر و پهناي باند شبکه را اشغال مي‏کنند. هالبروك مي‏گويد: «من نمي‏خواهم بگويم اينها ويروس هستند اما شما در حال دانلود کردن نرم افزاري هستيد که اطمينان زيادي به آن نداريد.»
WebEx به کارکنانش در خصوص ريسک‌هاي اين برنامه‏هاي کوچک آموزش مي‏دهد و از Reconnex براي مانيتور برنامه‏هاي نصب شده بر روي کامپيوترها استفاده مي‏کند، ضمن اينکه برخي از حق دسترسي‏هايي را که به صورت پيش فرض براي دانلود فعال مي‏باشند نيز غيرفعال کرده است.

8. دنياهاي مجازي (Virtual Worlds)
کارکنان شرکت‌هاي تجاري در حال تجربه کردن زندگي کاري در دنياهايي مجازي هستند، دنياهايي که برخي معتقدند زندگي دوم ما انسان‌ها است. اما وظيفه بخش IT سازمان اين است که در خصوص خطرات آن آگاه باشد.
در همان حال ذات اين محيط‌ها براساس دانلود حجم زيادي از اطلاعات و برنامه‏ها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن مي‏کنند.
Gartner پيشنهاد مي‏کند که کارکنان حتي‏الامکان در خارج از شبکه دروني سازمان و يا منزل در حالي که توسط Firewall بيروني سازمان کامپيوترشان محافظت مي‏شود، از اين محيط‌ها استفاده کنند. در واقع سازمان داراي دو ديواره آتش باشد. اولي از کامپيوترهايي که مي‏خواهند به اين محيط‌ها دسترسي داشته باشند محافظت کند و دومين ديواره آتش بعد از ديواره آتش اول از شبکه داخلي سازمان محافظت کند.