آیا انسانها ضعیفترین حلقه زنجیره امنیت هستند؟
مرکز امنیت سایبری ملی بریتانیا (NCSC) یک چالش جدید برای فعالان حوزه امنیت مقرر کرد و از آنها خواست که این عادت را که هنگام بررسی رفتارهای مربوط به امنیت در محل کار، کاربران را "ضعیفترین پیوند" میخوانند، ترک کنند.
مرکز امنیت سایبری ملی بریتانیا (NCSC) یک چالش جدید برای فعالان حوزه امنیت مقرر کرد و از آنها خواست که این عادت را که هنگام بررسی رفتارهای مربوط به امنیت در محل کار، کاربران را “ضعیفترین پیوند” میخوانند، ترک کنند. این مرکز پیشنهاد کرد که در عوض کاربران را قویترین پیوند و یکی از مهمترین اجزای دفاعی هر سازمانی بدانند، با این استدلال که ابداع سیاستهای امنیتی که برای کاربران کار کنند نه علیه آنها، برای رسیدن راهکارهای امنیتی به نتیجه مطلوب ضروری است.
این که کاربران از امنیت شرکتی ناامید شوند، کاملاً منطقی به نظر میرسد. متخصصین Usability همواره بر این باورند که در حوزه امنیت رایانهای، از سیاستها و قوانینی استفاده میشود که بدون توجه به این واقعیت تدوین شدهاند که شغل اصلی اکثر افراد با امنیت کامپیوتری ارتباطی ندارد. این روشها توجه و وقت کاربران را صرف سیاستهای پیچیدهای میکنند که نه فقط باعث ناامیدی آنها میشوند (و به آنها تلقین میکند که با [workaround[1های خطرناک با مسائل مختلف مقابله کنند) بلکه هزینههای زیادی از نظر اقتصادی و بهرهوری برای مشاغل دارد.
یکی از بخشهای جدید این رویکرد، راهنمای پسورد 2015 NCSC است که دوری از الزامات پیچیدگی پسوردها (این که پسوردها حتماً باید پیچیده باشند) و عدم نیاز به تغییرات مکرر پسورد را توصیه میکند. مورد اول باعث میشود تایپ کردن صحیح پسوردها سخت شود و هر دو مورد با هم باعث میشوند که به خاطر سپردن پسوردها سخت شود. موسسه ملی استاندارد و فناوری امریکا از این توصیهها پیروی کرده و نویسنده اصلی استاندارد NIST که الزامات پیچیدگی را در این استاندارد تعبیه کرده بود، در ژورنال Wall Street به دلیل پیچیده کردن غیرضروری زندگی کاربران از آنها عذرخواهی کرد.
این تغییرات نشان دهنده یک تغییر فرهنگی در خیلی از فعالان حوزه امنیت است بخصوص این که شاغلان حوزه امنیت، بیشتر به دلیل دانش فنی استخدام میشوند نه مهارتهای “نرم” بین فردی. در کنفرانسهای امنیتی معمولاً موارد این چنینی زیاد مشاهده میشود که متخصصین حوزه امنیت از کاربران اظهار ناامیدی میکنند و آنها را مشکل آفرین میدانند.
“Susan A” از مرکز NCSC میگوید: “ما واقعاً سعی داریم این شعار (ضعیف خواندن کاربران) را به چالش بکشیم… چون این طرز نگرش به مسئله مفید نیست.” وی در عوض اشاره میکند که “اول از همه باید این مسئله را حل کنیم که چطور میتوانیم در محلهای کاری خطرات را به بهترین شکل مدیریت کنیم. در صورتیکه با مردم کار کنیم میتوانیم راهکارهای بهتری برای مدیریت خطر پیدا کنیم.”
NCSC قصد دارد در انتهای سال جاری یک راهنمای جدید منتشر کند تا این طرز تفکر را بهتر توضیح داده و مثالهایی از سازمانهایی را که تغییر عملکرد دادهاند، به نمایش بگذارد.
وی اضافه میکند: “اگر فرهنگ کاری مدرن و فرهنگ امنیتی مدرن را مقایسه کنید میبینید که مشاغل از این واقعیت اطلاع دارند که افراد بزرگترین سرمایه آنها محسوب میشوند.” اما در مقابل، فرهنگ امنیت بیشتر به صورت فرماندهی و کنترلی است. “نمیتوان با داشتن دو فرهنگ ناسازگار در یک سازمان پیشرفت کرد.” تحقیقی که در وزارت کار و بازنشستگی انجام شد و نشان داد که کاربران تمام تلاش خودشان را بکار میبستند تا بتوانند با سیستمهای دارای نقص جزئی در یک سازمان پیچیده و بزرگ که تعداد زیادی تجهیزات کامپیوتری قدیمیتر دارد، کار کنند باعث تغییر تصویر ایجاد شده از کاربران شد. “برای من این مسئله تأثیرات زیادی داشت و نحوه تفکر من راجع به این مسئله را کاملاً تغییر داد.”
رویکردی جدید
رویکرد جدید، که Susan A آن را “صرفاً شروع” مینامد و از نظر او نیاز به تغییرات بزرگی در طرز تفکر افراد دارد، مستلزم ایجاد درک بهتری از منشأ مشکلات است.
به نظر “Angela Sasse” استاد کالج دانشگاهی لندن، در حال حاضر روشهای متداول شامل آموزش با هدف افزایش آگاهی، آموزش فیشینگ و سایر تلاشها برای “اصلاح کاربران” هستند. اما میتوان با رفع مشکلات بنیادی (مثل فرسودگی و آسیبپذیری تجهیزات IT یا کاهش استرس و اضافهکاری برای پیشگیری از ارتکاب خطا توسط کارمندان) بهرهوری اقتصادی را افزایش داد. پیدا کردن دلیل رفتاری که آن را نمیپسندید و قصد پیشگیری از آن را دارید نقش مهمی دارد.
موسسه تحقیقات در علوم امنیت سایبری (RISCS) به سرپرستی Sasse نقش مهمی در الهام بخشیدن برای این ایده جدید به NCSC داشته است. مقاله سال 1999 از Sasse به نام “کاربران دشمن نیستند” توسط یک گروه در BT سفارش داده شده بود که از او خواسته بودند کشف کند که “چرا این کاربران احمق نمیتوانند پسوردشان را حفظ کنند(!)”. اما منشأ اصلی این درخواست، حسابداران شرکت بودند که هشدار داده بودند افزایش بیوقفه هزینههای بخش راهنمایی (help desk) کاربران برای پسورد، کمپانی را در آستانه ورشکستگی قرار داده است.
Sasse دو مشکل در رویکرد قبلی مشاهده کرد: اول این که متخصصین امنیت اکثراً طرز فکرشان طوری است که وقت کاربران را یک منبع رایگان برای خودشان تلقی میکنند که میتوانند به صورت دلخواه از آن استفاده کنند؛ دوم این که بعضی از مشکلاتی که کاربران قرار است با آنها مقابله کنند، ارزش پیروی از توصیههای امنیتی را ندارند.
اخیراً Sasse از 250 متخصص درخواست کرده است تا سه نکته امنیتی مهم از دیدگاه خودشان را ذکر کنند که در نهایت 152 توصیه منحصربهفرد جمعآوری شد. او میگوید “مشکل از افرادی است که مکانیزمهای امنیتی را طوری طراحی میکنند که بسیار پرزحمت و ناکارآمد هستند…
این واقعیت که خود متخصصین هم نمیتوانند سر متدهای امنیتی مهم با هم به توافق برسند نشان میدهد که این عرصه چقدر آشفته و پر هرج و مرج است.” در عوض متخصصین امنیتی باید به این توجه داشته باشند که “گاهی اوقات ارزشهای مهم از نظر افراد متفاوت هستند. متخصصین امنیتی معمولاً نسبت به این امر موضعگیری سرسختانه و مغرورانهای دارند و اصرار دارند که ارزشهای خودشان باید ارزشهای کاربران باشند. این موضوع نیاز به تغییر مبرم دارد.”
یکی دیگر از پیچیدگیهای این مسئله این است که انسانها در تمام مراحل آن نقش پررنگی دارند.
“Wendy Nather”، استراتژیست امنیت در شرکت Duo Security که سیستمهای احراز هویت دو مرحلهای را ابداع کرد با این موضوع موافق است اما اضافه میکند: “به نظر من انسانها همیشه ضعیفترین حلقه زنجیره هستند اما نه لزوماً کاربران سیستمها بلکه سازندگان و طراحان تکنولوژی. یکی از مضحکترین موارد این است که دنیای وب برای این ساخته شده که مردم روی لینکهای مختلف کلیک کنند اما ما همیشه به کاربران گوشزد میکنیم که روی لینکها کلیک نکنند!”
وب تنها یک نمونه است؛ “امنیت” ما را ملزم میکند که از خیلی امکانات تعبیه شده در تکنولوژی که کاربردهای مهمی هم دارند، اجتناب کنیم – و گاهی به خاطر استفاده از این ویژگیها ما را احمق میخوانند! Nather توصیه میکند که توابع امنیتی را باید مثل یک سرویس سازمانی دانست و با سایر بخشهای کمپانی این طور رفتار کرد “ما اینجاییم تا به شما در انجام کارهایتان به روشی امن و متناسب با میزان تحمل خطرتان کمک کنیم…با رعایت این نکات عملکردتان خیلی بهتر خواهد شد.”
یکی از مشکلات، هشدار مداوم درباره مشکلات فنی است که کاربران قادر به حل آنها نیستند. هشدارهای مربوط به مجوزهای برنامهها (certificate warnings) را در نظر بگیرید: اکثر افراد در مواجه با این هشدارها دو انتخاب برای خودشان در نظر میگیرند یا این که در هر صورت کار را ادامه بدهند یا تسلیم شوند. معمولاً افراد به نادیده گرفتن این هشدارها زود عادت میکنند. Nather میگوید یک بار متوجه شدم نوه سه سالهام یک نوار ابزار برای مرورگر دانلود کرده؛ او هنوز خواندن و نوشتن را یاد نگرفته بود اما میدانست کلیک کردن روی دکمههای هایلایت شده باعث از بین رفتن موانع مزاحم میشوند. دکتر Jessica Barker به عنوان یک مشاور مستقل این طور عنوان میکند که “افرادی که این سیستمها را به این صورت طراحی میکنند خودشان را به جای کاربرانشان در نظر نمیگیرند… اگر منابع انسانی و حسابدارها برای باز کردن رزومهها و فاکتورها روی فایلهای ضمیمه کلیک نکنند، پس چطور باید کارشان را انجام بدهند؟”
“Morey Haber” نائب رئیس تکنولوژی شرکت BeyondTrust که محصولاتی برای مدیریت آسیبپذیری و مدیریت دسترسی ویژه تولید میکند بر این باور است که در دورههای اولیه ابداع کامپیوتر که مین فریمها کاملاً محصور بودند و فقط در صورت نیاز باز میشدند رویکرد مخالف (مخالف با روش پیشنهادی NCSC) برای کامپیوترهای خانگی ضروری بود چون یکسری تغییرات باعث شدند انسانها تبدیل به مشکل اصلی شوند. “از آن زمان تا به حال ما شاهد اعمال رویکردهای امنیتی تحمیلی بودهایم.” او طراحان را از جمله انسانهایی میداند که باعث این مشکل شدهاند: “در بعضی موارد کاربران نهایی مقصر نیستند، بلکه چرخه حیات (نرمافزارها) مشکل آفرین است.” اما خیلی از فروشندهها حتی این رویکرد جدید را یک فرصت برای خودشان میدانند: تکنولوژی آنها میتواند از شرکتها در برابر کاربرانشان محافظت کند.
پیدا کردن یک نقطه تعادل
“Amanda Finch” مدیر کل IISP (موسسه متخصصین امنیت اطلاعات) مردم را هم قویترین و هم ضعیفترین پیوندهای این زنجیره میداند و میگوید “واقعاً لازم است که در این زمینه تعادل برقرار شود… روش متعادل این است که کنترلهای امنیتی مناسبی را به کار برد و به مردم کمک کرد تا درک کنند که چرا باید از این کنترلها پیروی کنند و دلیل اهمیت آنها چیست، اما اگر این کار غیرممکن باشد یا باعث سخت شدن کار و زندگی آنها شود در این صورت باید با هم کار کنند تا بتوانند این مشکلات را رفع کنند.”
یکی از مشکلاتی که دکتر “Barker” معمولاً وقتی به کمپانیها دعوت میشود تا پکیجهای آموزشی افزایش آگاهی را طراحی و عرضه کند این است که اغلب کمپانیها به دنبال اصلاح سریع مشکلات هستند. او میگوید “کمپانیها فکر میکنند میتوانند خیلی سریع گزینه انجام آموزش را تیک بزنند و بعد مطمئن شوند که از آن به بعد افراد هیچ خطایی را مرتکب نمیشوند… یا این که معمولاً به من این طور میگویند که باید کاربران را بترسانم تا درست رفتار کنند. شنیدن چنین صحبتهایی برای من چیز جدیدی نیست اما این رویکرد هیچ کمکی به شرکتها نمیکند.”
بدتر اینکه معمولاً آموزش به صورت مجموعهای از قوانین به مردم عرضه میشود که به آنها اعلام میکند چه کارهایی را باید انجام بدهند. در چنین رویکردی از دو اصل مهم چشم پوشی میشود: اینکه به مردم بگوییم چرا باید این کار را انجام بدهند و اینکه دلیل اهمیت آن را توضیح بدهیم. Barker میگوید “اگر آموزش را به خوبی توضیح داده و تناسب آن را حفظ کنید احتمال پیروی از فرایندها توسط افراد، درک دلیل انجام کار خواسته شده و افزایش علاقه و تعامل آنها بیشتر میشود.”
“Nather” هم به این مشکلات اشاره کرده و آنها را با آموزش رانندگی مقایسه میکند: “در آموزش رانندگی ما به مردم چگونگی اجتناب از راههای مختلف منجر به تصادف را آموزش نمیدهیم.” Nather با استفاده از یک روش ابداعی، موفقیت خوبی در آموزش افراد کسب کرده. روش او به این صورت است که از شرکت کنندگان میخواهد سعی کنند همدیگر را به هر روشی گول بزنند. او میگوید “با انجام این روش بلافاصله طرز تفکر مهاجمین را در افراد مشاهده میکنید و با توجه به اطلاعاتی که از همکلاسی خودشان دارند، به دنبال روشهایی برای به دامانداختن آنها میگردند.” در نهایت Nather نتیجهگیری میکند که: “نباید از کاربران انتظار داشته باشیم که به اندازه خود ما اطلاعات و دانش داشته باشند چون یادگیری تمام این مطالب برای ما دههها زمان برده است.”