اطلاع‌رسانی

آیا انسان‌ها ضعیف‌ترین حلقه زنجیره امنیت هستند؟

مرکز امنیت سایبری ملی بریتانیا (NCSC) یک چالش جدید برای فعالان حوزه امنیت مقرر کرد و از آن‌ها خواست که این عادت را که هنگام بررسی رفتارهای مربوط به امنیت در محل کار، کاربران را "ضعیف‌ترین پیوند" می‌خوانند، ترک کنند.

مرکز امنیت سایبری ملی بریتانیا (NCSC) یک چالش جدید برای فعالان حوزه امنیت مقرر کرد و از آن‌ها خواست که این عادت را که هنگام بررسی رفتارهای مربوط به امنیت در محل کار، کاربران را “ضعیف‌ترین پیوند” می‌خوانند، ترک کنند. این مرکز پیشنهاد کرد که در عوض کاربران را قوی‌ترین پیوند و یکی از مهم‌ترین اجزای دفاعی هر سازمانی بدانند، با این استدلال که ابداع سیاست‌های امنیتی که برای کاربران کار کنند نه علیه آن‌ها، برای رسیدن راهکارهای امنیتی به نتیجه مطلوب ضروری است.

این که کاربران از امنیت شرکتی ناامید شوند، کاملاً منطقی به نظر می‌رسد. متخصصین Usability همواره بر این باورند که در حوزه امنیت رایانه‌ای، از سیاست‌ها و قوانینی استفاده می‌شود که بدون توجه به این واقعیت تدوین شده‌‌اند که شغل اصلی اکثر افراد با امنیت کامپیوتری ارتباطی ندارد. این روش‌ها توجه و وقت کاربران را صرف سیاست‌های پیچیده‌‌‌ای می‌کنند که نه فقط باعث ناامیدی آن‌ها می‌شوند (و به آن‌ها تلقین می‌کند که با [workaround[1های خطرناک با مسائل مختلف مقابله کنند) بلکه هزینه‌های زیادی از نظر اقتصادی و بهره‌وری برای مشاغل دارد.

یکی از بخش‌های جدید این رویکرد، راهنمای پسورد ۲۰۱۵ NCSC است که دوری از الزامات پیچیدگی پسوردها (این که پسوردها حتماً باید پیچیده باشند) و عدم نیاز به تغییرات مکرر پسورد را توصیه می‌کند. مورد اول باعث می‌شود تایپ کردن صحیح پسوردها سخت شود و هر دو مورد با هم باعث می‌شوند که به خاطر سپردن پسوردها سخت شود. موسسه ملی استاندارد و فناوری امریکا از این توصیه‌ها پیروی کرده و نویسنده اصلی استاندارد NIST که الزامات پیچیدگی را در این استاندارد تعبیه کرده بود، در ژورنال Wall Street به دلیل پیچیده کردن غیرضروری زندگی کاربران از آن‌ها عذرخواهی کرد.

این تغییرات نشان دهنده یک تغییر فرهنگی در خیلی از فعالان حوزه امنیت است بخصوص این که شاغلان حوزه امنیت، بیشتر به دلیل دانش فنی استخدام می‌شوند نه مهارت‌های “نرم” بین فردی. در کنفرانس‌های امنیتی معمولاً موارد این چنینی زیاد مشاهده می‌شود که متخصصین حوزه امنیت از کاربران اظهار ناامیدی می‌کنند و آن‌ها را مشکل آفرین می‌دانند.

“Susan A” از مرکز NCSC می‌گوید: “ما واقعاً سعی داریم این شعار (ضعیف خواندن کاربران) را به چالش بکشیم… چون این طرز نگرش به مسئله مفید نیست.” وی در عوض اشاره می‌کند که “اول از همه باید این مسئله را حل کنیم که چطور می‌توانیم در محل‌های کاری خطرات را به بهترین شکل مدیریت کنیم. در صورتیکه با مردم کار کنیم می‌توانیم راهکارهای بهتری برای مدیریت خطر پیدا کنیم.”

NCSC قصد دارد در انتهای سال جاری یک راهنمای جدید منتشر کند تا این طرز تفکر را بهتر توضیح داده و مثال‌هایی از سازمان‌هایی را که تغییر عملکرد داده‌‌اند، به نمایش بگذارد.

وی اضافه می‌کند: “اگر فرهنگ کاری مدرن و فرهنگ امنیتی مدرن را مقایسه کنید می‌بینید که مشاغل از این واقعیت اطلاع دارند که افراد بزرگ‌ترین سرمایه آن‌ها محسوب می‌شوند.” اما در مقابل، فرهنگ امنیت بیشتر به صورت فرماندهی و کنترلی است. “نمی‌توان با داشتن دو فرهنگ ناسازگار در یک سازمان پیشرفت کرد.” تحقیقی که در وزارت کار و بازنشستگی انجام شد و نشان داد که کاربران تمام تلاش خودشان را بکار می‌بستند تا بتوانند با سیستم‌های دارای نقص جزئی در یک سازمان پیچیده و بزرگ که تعداد زیادی تجهیزات کامپیوتری قدیمی‌تر دارد، کار کنند باعث تغییر تصویر ایجاد شده از کاربران شد. “برای من این مسئله تأثیرات زیادی داشت و نحوه تفکر من راجع به این مسئله را کاملاً تغییر داد.”

[box type=”info” align=”” class=”” width=””] “نمی‌توان با داشتن دو فرهنگ ناسازگار در یک سازمان پیشرفت کرد.”[/box]

 امنیت سایبری

رویکردی جدید

رویکرد جدید، که Susan A آن را “صرفاً شروع” می‌نامد و از نظر او نیاز به تغییرات بزرگی در طرز تفکر افراد دارد، مستلزم ایجاد درک بهتری از منشأ مشکلات است.

به نظر “Angela Sasse” استاد کالج دانشگاهی لندن، در حال حاضر روش‌های متداول شامل آموزش با هدف افزایش آگاهی، آموزش فیشینگ و سایر تلاش‌ها برای “اصلاح کاربران” هستند. اما می‌توان با رفع مشکلات بنیادی (مثل فرسودگی و آسیب‌پذیری تجهیزات IT یا کاهش استرس و اضافه‌کاری برای پیشگیری از ارتکاب خطا توسط کارمندان) بهره‌وری اقتصادی را افزایش داد. پیدا کردن دلیل رفتاری که آن را نمی‌پسندید و قصد پیشگیری از آن را دارید نقش مهمی دارد.

موسسه تحقیقات در علوم امنیت سایبری (RISCS) به سرپرستی Sasse نقش مهمی در الهام بخشیدن برای این ایده جدید به NCSC داشته است. مقاله سال ۱۹۹۹ از Sasse به نام “کاربران دشمن نیستند” توسط یک گروه در BT سفارش داده شده بود که از او خواسته بودند کشف کند که “چرا این کاربران احمق نمی‌توانند پسوردشان را حفظ کنند(!)”. اما منشأ اصلی این درخواست، حسابداران شرکت بودند که هشدار داده بودند افزایش بی‌وقفه هزینه‌های بخش راهنمایی (help desk) کاربران برای پسورد، کمپانی را در آستانه ورشکستگی قرار داده است.

Sasse دو مشکل در رویکرد قبلی مشاهده کرد: اول این که متخصصین امنیت اکثراً طرز فکرشان طوری است که وقت کاربران را یک منبع رایگان برای خودشان تلقی می‌کنند که می‌توانند به صورت دلخواه از آن استفاده کنند؛ دوم این که بعضی از مشکلاتی که کاربران قرار است با آن‌ها مقابله کنند، ارزش پیروی از توصیه‌های امنیتی را ندارند.

اخیراً Sasse از ۲۵۰ متخصص درخواست کرده است تا سه نکته امنیتی مهم از دیدگاه خودشان را ذکر کنند که در نهایت ۱۵۲ توصیه منحصربه‌فرد جمع‌آوری شد. او می‌گوید “مشکل از افرادی است که مکانیزم‌های امنیتی را طوری طراحی می‌کنند که بسیار پرزحمت و ناکارآمد هستند…

این واقعیت که خود متخصصین هم نمی‌توانند سر متدهای امنیتی مهم با هم به توافق برسند نشان می‌دهد که این عرصه چقدر آشفته و پر هرج و مرج است.” در عوض متخصصین امنیتی باید به این توجه داشته باشند که “گاهی اوقات ارزش‌های مهم از نظر افراد متفاوت هستند. متخصصین امنیتی معمولاً نسبت به این امر موضع‌گیری سرسختانه و مغرورانه‌‌‌ای دارند و اصرار دارند که ارزش‌های خودشان باید ارزش‌های کاربران باشند. این موضوع نیاز به تغییر مبرم دارد.”

یکی دیگر از پیچیدگی‌های این مسئله این است که انسان‌ها در تمام مراحل آن نقش پررنگی دارند.

“Wendy Nather”، استراتژیست امنیت در شرکت Duo Security که سیستم‌های احراز هویت دو مرحله‌‌‌ای را ابداع کرد با این موضوع موافق است اما اضافه می‌کند: “به نظر من انسان‌ها همیشه ضعیف‌ترین حلقه زنجیره هستند اما نه لزوماً کاربران سیستم‌ها بلکه سازندگان و طراحان تکنولوژی. یکی از مضحک‌ترین موارد این است که دنیای وب برای این ساخته شده که مردم روی لینک‌های مختلف کلیک کنند اما ما همیشه به کاربران گوشزد می‌کنیم که روی لینک‌ها کلیک نکنند!”

وب تنها یک نمونه است؛ “امنیت” ما را ملزم می‌کند که از خیلی امکانات تعبیه شده در تکنولوژی که کاربردهای مهمی هم دارند، اجتناب کنیم – و گاهی به خاطر استفاده از این ویژگی‌ها ما را احمق می‌خوانند! Nather توصیه می‌کند که توابع امنیتی را باید مثل یک سرویس سازمانی دانست و با سایر بخش‌های کمپانی این طور رفتار کرد “ما اینجاییم تا به شما در انجام کارهایتان به روشی امن و متناسب با میزان تحمل خطرتان کمک کنیم…با رعایت این نکات عملکردتان خیلی بهتر خواهد شد.”

یکی از مشکلات، هشدار مداوم درباره مشکلات فنی است که کاربران قادر به حل آن‌ها نیستند. هشدارهای مربوط به مجوزهای برنامه‌ها (certificate warnings) را در نظر بگیرید: اکثر افراد در مواجه با این هشدارها دو انتخاب برای خودشان در نظر می‌گیرند یا این که در هر صورت کار را ادامه بدهند یا تسلیم شوند. معمولاً افراد به نادیده گرفتن این هشدارها زود عادت می‌کنند. Nather می‌گوید یک بار متوجه شدم نوه سه ساله‌ام یک نوار ابزار برای مرورگر دانلود کرده؛ او هنوز خواندن و نوشتن را یاد نگرفته بود اما می‌دانست کلیک کردن روی دکمه‌های هایلایت شده باعث از بین رفتن موانع مزاحم می‌شوند. دکتر Jessica Barker به عنوان یک مشاور مستقل این طور عنوان می‌کند که “افرادی که این سیستم‌ها را به این صورت طراحی می‌کنند خودشان را به جای کاربرانشان در نظر نمی‌گیرند… اگر منابع انسانی و حسابدارها برای باز کردن رزومه‌ها و فاکتورها روی فایل‌های ضمیمه کلیک نکنند، پس چطور باید کارشان را انجام بدهند؟”

“Morey Haber” نائب رئیس تکنولوژی شرکت BeyondTrust که محصولاتی برای مدیریت آسیب‌پذیری و مدیریت دسترسی ویژه تولید می‌کند بر این باور است که در دوره‌های اولیه ابداع کامپیوتر که مین فریم‌ها کاملاً محصور بودند و فقط در صورت نیاز باز می‌شدند رویکرد مخالف (مخالف با روش پیشنهادی NCSC) برای کامپیوترهای خانگی ضروری بود چون یکسری تغییرات باعث شدند انسان‌ها تبدیل به مشکل اصلی شوند. “از آن زمان تا به حال ما شاهد اعمال رویکردهای امنیتی تحمیلی بوده‌ایم.” او طراحان را از جمله انسان‌هایی می‌داند که باعث این مشکل شده‌اند: “در بعضی موارد کاربران نهایی مقصر نیستند، بلکه چرخه حیات (نرم‌افزارها) مشکل آفرین است.” اما خیلی از فروشنده‌ها حتی این رویکرد جدید را یک فرصت برای خودشان می‌دانند: تکنولوژی آن‌ها می‌تواند از شرکت‌ها در برابر کاربران‌شان محافظت کند.

[box type=”info” align=”” class=”” width=””]”روش متعادل این است که کنترل‌های امنیتی مناسبی را به کار برد و به مردم کمک کرد تا درک کنند که چرا باید از این کنترل‌ها پیروی کنند و دلیل اهمیت آن‌ها چیست.”[/box]

پیدا کردن یک نقطه تعادل

“Amanda Finch” مدیر کل IISP (موسسه متخصصین امنیت اطلاعات) مردم را هم قوی‌ترین و هم ضعیف‌ترین پیوندهای این زنجیره می‌داند و می‌گوید “واقعاً لازم است که در این زمینه تعادل برقرار شود… روش متعادل این است که کنترل‌های امنیتی مناسبی را به کار برد و به مردم کمک کرد تا درک کنند که چرا باید از این کنترل‌ها پیروی کنند و دلیل اهمیت آن‌ها چیست، اما اگر این کار غیرممکن باشد یا باعث سخت شدن کار و زندگی آن‌ها ‌شود در این صورت باید با هم کار کنند تا بتوانند این مشکلات را رفع کنند.”

یکی از مشکلاتی که دکتر “Barker” معمولاً وقتی به کمپانی‌ها دعوت می‌شود تا پکیج‌های آموزشی افزایش آگاهی را طراحی و عرضه کند این است که اغلب کمپانی‌ها به دنبال اصلاح سریع مشکلات هستند. او می‌گوید “کمپانی‌ها فکر می‌کنند می‌توانند خیلی سریع گزینه انجام آموزش را تیک بزنند و بعد مطمئن شوند که از آن به بعد افراد هیچ خطایی را مرتکب نمی‌شوند… یا این که معمولاً به من این طور می‌گویند که باید کاربران را بترسانم تا درست رفتار کنند. شنیدن چنین صحبت‌هایی برای من چیز جدیدی نیست اما این رویکرد هیچ کمکی به شرکت‌ها نمی‌کند.”

بدتر اینکه معمولاً آموزش به صورت مجموعه‌‌‌ای از قوانین به مردم عرضه می‌شود که به آن‌ها اعلام می‌کند چه کارهایی را باید انجام بدهند. در چنین رویکردی از دو اصل مهم چشم پوشی می‌شود: اینکه به مردم بگوییم چرا باید این کار را انجام بدهند و اینکه دلیل اهمیت آن را توضیح بدهیم. Barker می‌گوید “اگر آموزش را به خوبی توضیح داده و تناسب آن را حفظ کنید احتمال پیروی از فرایندها توسط افراد، درک دلیل انجام کار خواسته شده و افزایش علاقه و تعامل آن‌ها بیشتر می‌شود.”

“Nather” هم به این مشکلات اشاره کرده و آن‌ها را با آموزش رانندگی مقایسه می‌کند: “در آموزش رانندگی ما به مردم چگونگی اجتناب از راه‌های مختلف منجر به تصادف را آموزش نمی‌دهیم.” Nather با استفاده از یک روش ابداعی، موفقیت خوبی در آموزش افراد کسب کرده. روش او به این صورت است که از شرکت کنندگان می‌خواهد سعی کنند همدیگر را به هر روشی گول بزنند. او می‌گوید “با انجام این روش بلافاصله طرز تفکر مهاجمین را در افراد مشاهده می‌کنید و با توجه به اطلاعاتی که از همکلاسی خودشان دارند، به دنبال روش‌هایی برای به دام‌‌انداختن آن‌ها می‌گردند.” در نهایت Nather نتیجه‌گیری می‌کند که: “نباید از کاربران انتظار داشته باشیم که به ‌‌اندازه خود ما اطلاعات و دانش داشته باشند چون یادگیری تمام این مطالب برای ما دهه‌ها زمان برده است.”

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × سه =

دکمه بازگشت به بالا