امنیت اطلاعات و رفتار کارکنان؛ مخاطره کارکنان ناآگاه

 

بیشتر افراد نسبت به خطر، واکنش احساسی از خود نشان می‌دهند. این واکنش باعث تعجب افرادی می‌شود که از آمار واقعی مربوط به خطر اطلاع دارند.

Sarah Hogg مدیر شرکت Frontier Economics مقاله‌ای در روزنامه ایندیپندنت منتشر کرده که در آن، مشکلاتی که در شبکه راه آهن انگلیس روی می‌دهند را توضیح داده است:

«در مسیرم به سمت قطاری که با سرعتی حداقل نصف سرعت چند هفته پیش حرکت می‌کرد، به یک تابلو رسیدم که روی آن نوشته شده بود تا این لحظه از سال، 61 نفر در جاده‌های لینکلنشر فوت کرده‌اند. حدود 449 نفر هم به شدت آسیب دیده‌اند. آیا این موضوع نشان دهنده نادیده گرفتن یکی از پیامدهای تصادف Hatfield نیست؟ ماشین‌ها بسیار بیشتر از قطارها منجر به مرگ انسان‌ها می‌شوند …».

با این حال از آنجایی که دیدگاه و ادراک ما نسبت به خطرات قطار با خطرات جاده‌ای (ماشین‌ها) متفاوت است، ما به ازای هر مرگ، برای قطارها حدوداً 150 برابر خودروها بیشتر وقت صرف امنیت می‌کنیم.

مثال‌های دیگری هم از تأثیر دیدگاه افراد نسبت به خطر وجود دارد. در حوزه مراقبت‌های بهداشتی هزینه زیادی صرف درمان بیماری‌هایی مثل سرطان می‌شود. بدون شک ما هم از انجام این کار استقبال می‌کنیم اما اگر منابع کافی صرف کنترل عفونت‌های بعد از جراحی و گسترش عوامل عفونی مثل MRSA می‌شد، زندگی افراد بیشتری حفظ می‌شد. این «منابع کافی» بسیار کمتر از مبالغی است که در حال حاضر صرف مبارزه با برخی بیماری‌ها می‌شود. دلایل این اختلاف بیشتر به فرهنگ، درک خطر و فرهنگ عمومی ارتباط دارد تا منطق بالینی.

در سازمان‌هایی مثل بخش‌های مراقب بهداشتی دولتی، دولت‌های محلی و سایر خدمات عمومی نیازی که برای ایجاد اطمینان و قطعیت بین عموم وجود دارد تأثیرات ناخوشایندی بر مدیریت خطر دارد. هیچ چیز همیشه صددرصد قطعی نیست بنابراین هیچ سیستم اطلاعاتی هم همیشه صددرصد امن نیست. این نگرش مطلق­ گرایی موجب شده مدیریت خطر در بعضی حوزه‌ها پیچیده‌تر از حد لازم شود. در سیاست، معمولاً مدیریت خطر بیشتر مبتنی بر مدیریت افکار عمومی است تا رویارویی با مخاطرات واقعی.

در آمریکا یک منبع اطلاعاتی با عنوان ” Vanderbilt University Television News Index and Abstracts ” وجود دارد. زمانی از این منبع برای تحلیل محتوای خبرها از ژانویه 1984 تا فوریه 1986 استفاده شد. در این تحقیق، بیش از 500 خبر شبانگاهی مورد بررسی قرار گرفت و مشخص شد که حدود 1.7 درصد از وقت اخبار مربوط به انعکاس خطرات محیط زیستی است. در همان دوره، 57 ماجرا و داستان درباره تنباکو بازگو شد و 482 خبر مربوط به تصادفات و بحث امنیت در صنعت خطوط هوایی بود. بر اساس آمارهای واقعی مرگ و میر باید به ازای هر ثانیه پوشش خبری تصادفات هوایی، 26.5 دقیقه پوشش اخبار مربوط به تنباکو وجود داشته باشد. نسبت مرگ و میر در اثر بیماری‌های حاد در مقابل مزمن، 7 به 1 است.

علاوه بر این، مشخص شده است که معمولاً در پوشش اخبار این تمایل وجود دارد که وضعیت محدوده جغرافیایی که خود دفتر خبری در آن قرار دارد، بیشتر تحت پوشش قرار بگیرد تا تأثیر واقعی خود رویدادها. در مثال بالا بر اساس تعداد حوادث، پوشش خبری ایالت‌های «جانبی» مثل آلاباما و ویرجینیای شرقی حدوداً یک سوم پوشش کالیفرنیا و نیویورک بود. حالا شما حدس بزنید که دفتر این شبکه خبری در کجا قرار داشت!

John Allen Paulos استاد ریاضیات در دانشگاه Temple در فیلادلفیا عدم درک عموم نسبت به اعداد و خطر را در مطالعه خودش با عنوان «بی­ سوادی ریاضی و پیامدهای آن» توضیح داده است. یکی از مسایلی که وی درباره آنها بحث می‌کند این است که مردم چگونه رویدادها را شخصی­ سازی می‌کنند، فراموش می‌کنند که گاهی وقت­ ها به هر حال اتفاق ­های بد و ناخوشایند رخ می‌دهند و ضرب‌المثل «اتفاقه دیگه! پیش میاد[1]!» درست است. ارتباط بین «بی­ سوادی ریاضی» و «شبه‌علم[2]» یکی از قوی‌ترین موضوع­ های مورد بحث Allen است. اگر ما واقعاً درباره وقایع، منطقی فکر می‌کردیم کلاهبرداری‌های بازار سهام، بازاریابی هرمی و پیشگویان به تاریخ می‌پیوستند. اگر واقعاً ما منطقی فکر می‌کردیم، درک خطر مشکل مهمی تلقی نمی‌شد.

یکی از عوامل مهم در درک خطر به بحث کنترل ارتباط دارد. درک خطر فراتر از آمار و اعداد است. اگر خطری خارجی و بیگانه باشد (یعنی ناآشنا و احتمالاً عجیب باشد) و اگر فردی که با خطر روبرو است حس کند کنترل شرایط را در دست ندارد، بیشتر خطر را حس می‌کند. به عنوان مثال اگر شما قرار بود تا نیمه‌های شب در مهمانی حضور داشته باشید که فاصله زیادی تا منزل شما دارد، وقتی قصد برگشتن به خانه را دارید بیشتر افراد این طور فکر می‌کنند که برگشتن با خودرو و رانندگی، ایمن‌تر از پیاده رفتن است.

ترس از مورد حمله واقع شدن و کتک ­کاری باعث می‌شود که بسیاری از مردم (به خصوص خانم‌ها) برگشتن با خودرو را ترجیح دهند. واقعیت این است که رانندگی با خودرو در هر زمانی خطرناک‌ترین کاری است که یک فرد بزرگسال می‌تواند انجام دهد. این واقعیت که کتک ­کاری و مورد حمله واقع شدن یک خطر بیرونی است موجب می‌شود که این خطر جدی‌تر به نظر برسد.

جدول زیر نشان می‌دهد که چطور ممکن است برخی تصورات افراد در درک خطر اختلال ایجاد کند.

 

کم خطرتر	پرخطرتر
مزمن	حاد
قابل کنترل	غیرقابل کنترل
تحت کنترل شخص	تحت کنترل دیگران
قابل شناسایی	غیرقابل شناسایی
زمان و مکان‌های متفاوت	زمان و مکان متمرکز
عادلانه	ناعادلانه
آشنا	ناآشنا
فوری	تأخیری
طبیعی	مصنوعی
داوطلبانه و ارادی	غیرارادی

 

مزمن – حاد

اگر یک وضعیت پزشکی مزمن باشد (یعنی شرایطی که به مرور زمان ایجاد شده، مثل دیابت یا بیماری قلبی)، در این صورت این بیماری چشم­گیر به نظر نمی‌رسد و مثل شرایط حاد در نظر گرفته نمی‌شود (وضعیتی که ناگهانی ایجاد می‌شود، مثل ویروس ابولا یا تصادف با خودرو). اگر 10 هزار فردی که هر سال به دلیل بیماری‌های ناشی از مصرف سیگار جان خود را از دست می‌دهند، ساعت 1 عصر دهم اردیبهشت در میدان آزادی تهران جان خود را از دست می‌دادند، در این صورت عکس‌العمل‌ها نسبت به این موضوع بسیار منفی‌تر بود و سعی می‌شد بلافاصله اقدامی برای مقابله با آن صورت گیرد.

این واقعیت که بیشتر مرگ و میرهای ناشی از مصرف سیگار مربوط به شرایط مزمن هستند و هر یک از این مرگ و میرها در زمان و مکان متفاوتی رخ می‌دهد باعث کاهش تأثیر این شرایط می‌شود. هر مرگ، یک تراژدی است اما هیچ مرگ و میری در رسانه‌ها منتشر نمی‌شود مگر این که قربانی آن یک فرد مشهور باشد.

بیشتر مرگ و میرها مزمن هستند اما مرگ و میرهای حاد و فوری در خبرها منتشر می‌شوند.

در حوزه امنیت اطلاعات، مسایل مزمن معمولاً به مشکلات زیرساختی و ساختاری مرتبط هستند مثل طراحی ضعیف سیستم‌ها، رویه‌های نامناسب یا آموزش نادرست و نامناسب کارمندان. مقابله با این موارد به دلایل مختلفی سخت است از جمله این که اعتراف به وجود چنین مشکلاتی نشان دهنده مقصر بودن یک شخص است. هرگز قدرت خجالت زده شدن اشخاص را نادیده نگیرید.

می‌توان به راحتی مسأله شرایط حاد و مزمن را به حوزه امنیت اطلاعات ارتباط داد. مردم بیشتر تمایل دارند که بر مشکلات حاد تمرکز کنند (به ویژه اگر این مسایل خارجی، بیگانه یا تحت کنترل دیگران در نظر گرفته شوند). چنین مشکلاتی می‌توانند شامل آلودگی به ویروس‌های رایانه ­ای، هک و جاسوسی صنعتی باشند. یک نمونه از خطرات مزمن، درجه اعتمادی است که خیلی از شرکت­ ها نسبت به افرادی دارند که سیستم‌ها را از ابتدا و از صفر توسعه داده‌اند.

مثال‌های مختلفی از افرادی که به عنوان طراح، برنامه ­نویس، اپراتور و مسئول یک برنامه کاربردی مهم بوده‌اند مشاهده کرده‌ام. در هیچ کدام از این موارد، آن شخص مستندات معناداری ارایه نمی‌کرد. این سازمان‌ها خودشان را در معرض خطرات قابل توجهی قرار می‌دهند. اگر این فرد کارش را ترک کند، بیمار شده یا فوت کند چنین برنامه کاربردی مهمی که برای ادامه فعالیت آن کسب و کار حیاتی است بدون پشتیبانی باقی می‌ماند و ممکن است اتفاق ­های فاجعه­ باری رخ دهد. همچنین شخصی که چنین برنامه کاربردی را توسعه داده و نگهداری می‌کند در موقعیتی قرار دارد که می‌تواند به روش‌های مختلف از آن شرکت کلاهبرداری و اخاذی کند. چنین فعالیت‌هایی می‌تواند شامل اختلاس یا اخاذی و سایر فعالیت‌های مشابه باشد. خطری که چنین فردی ایجاد می‌کند، بیشتر مزمن است تا حاد. در بسیاری از موارد سازمان‌ها تصمیم می‌گیرند برای پیشگیری از رنجیدن آن شخص این خطر را نادیده بگیرند. اگر این خطر برای سازمان مثل خطرات بیرونی و خارجی تلقی می‌شد، سازمان از پذیرش آن خودداری می‌کرد.

 

خشم اخلاقی

یکی از عمومی‌ترین شیوه‌ها برای نمایش نحوه ادراک و واکنش نشان دادن در مقابل خطر روشی است که جامعه­ شناسان و روان­شناسان به آن «خشم اخلاقی» می‌گویند. این بیماری در صنعت روزنامه­ نگاری انگلیس به خوبی درک شده است (برخی از روزنامه‌ها به ایجاد چنین خشمی علاقه دارند) و معمولاً این روش برای به دست آوردن امتیازهای سیاسی یا افزایش تیراژ استفاده می‌شود. این گروه بیشتر بر روی مسایل مرتبط با سلامت، مثل واکسن سه­ گانه MMR و BSE تمرکز می‌کنند.

مثال واکسن MMR (سرخک، سرخچه و اوریون) حادتر است. اخیراً گزارشی در انگلستان منتشر شد که اعلام می‌کرد بین MMR و اوتیسم در کودکان ارتباط وجود دارد. این تحقیق بر اساس پیدا شدن آنتی ­بادی‌های مختلف در روده کودکان مبتلا به اوتیسم انجام گرفت. این گزارش شامل داستان‌های مختلف (و ناراحت کننده) از کودکانی بود که بعد از دریافت این واکسن، مبتلا به اوتیسم شده بودند. در نتیجه، کاهش چشم­گیری در تزریق این واکسن رخ داد. این الگو با وجود انتشار چندین گزارش که نتایج تحقیق اولیه را رد می‌کردند، همچنان ادامه پیدا کرد. نتایج این تحقیق به میزان زیادی مورد شک بود زیرا حامی مالی آن سازمانی بود که سرمایه ­گذاری زیادی صرف این موضوع کرده بود. تعداد کودکانی که این واکسن را دریافت نکردند به میزانی زیاد شد که شرایط را برای همه­ گیر شدن بیماری‌هایی که MMR جهت پیشگیری از آنها طراحی شده بود فراهم کرد. آمار پیش ­بینی شده برای مرگ و میر در اثر این بیماری و عوارض جانبی این بیماری‌ها بسیار بیشتر از تعداد کودکانی بود که (حتی طبق تحقیق اصلی) ممکن بود دچار اوتیسم شوند. این خشم و برافروختگی اخلاقی اثراتی واقعی داشت و ممکن است در آینده نزدیک برای خیلی از کودکان پیامدهای فاجعه ­باری داشته باشد.

موضوع مورد نظر می‌تواند باعث ایجاد ترس و وحشت شود و اغلب وقت­ ها یک کمپین برای آن اجرا می‌شود (که معمولاً توسط یک اقلیت فوق­ العاده پرصدا از جانب یک اکثریت خاموش و ساکت برگزار می‌شود). معمولاً در حدی به این موضوع ­ها توجه می‌شود که نسبت به هر خطر یا تهدید واقعی بیشتر است. این پدیده می‌تواند منجر به تغییر ارتباطات بین کلمات شود. به عنوان مثال توجه کنید که در حال حاضر در کشورهایی مثل انگلیس و آمریکا به جای این که پناه جویان به عنوان افراد مظلوم رنج کشیده از استبداد در نظر گرفته شوند، افراد فریبکار و راحت­ طلبی دیده می‌شوند که به دنبال زندگی آسان هستند.

حوزه امنیت اطلاعات هم از چنین طغیان خشمی رنج می‌برد. شهرت و آوازه بیش از حد ویروس ­نویسان بلغاری، جوانان اسکریپت­ نویس و Fluffy Bunny و Cult of the Dead Cow (دو سازمان هکری) نمونه‌هایی از این پدیده هستند. یکی از مثال‌های مشهور این موضوع در استرالیا رخ داد و مربوط به یک رویداد هک بود که بر یک شرکت تولید لوازم الکترونیکی تأثیر گذاشت. پوشش خبری صورت گرفته برای این رویداد، 10 برابر بیشتر از اتفاقی بود که در اثر نشستن یک گونه پرنده (باکلان) روی برخی خطوط برق ایجاد شد. آسیب ایجاد شده توسط این پرنده 20 تا 30 برابر بیشتر از آسیب‌های ایجاد شده توسط یک هکر بود. از آنجایی که رویداد اول مثل دومی یک رویداد ناشی از جبر طبیعت تلقی نمی‌شد، توجه بیشتری به آن جلب شد.

همین شرایط در رابطه با برداشت نامریی پول از خودپردازها[3] هم مشاهده می‌شود هرچند تقریباً تمام چنین رویدادهایی ناشی از اشتباه دارنده کارت یا کلاهبرداری‌های جزیی است که توسط یکی از اعضای خانواده وی صورت می‌گیرد. همچنین وقتی کلاهبرداری‌هایی انجام می­شود شاهد مطرح شدن عبارت­ های نامعقولی مثل «آیا اینترنت محل امنی است؟» از سوی خبرنگاران تلویزیونی هستیم. واقعیت این است که زمان و پول زیادی صرف مقابله با ترس ایجاد شده توسط این اقدام ­ها می‌شود که از آنچه برای مقابله با خطرات واقعی لازم است، بسیار بیشتر است. سعی کنید تحت تأثیر چنین شایعاتی قرار نگیرید و البته خود شما هم آغازگر چنین شایعاتی نباشید.

امنیت اطلاعات هم مثل هر حوزه دیگری در معرض اتفاق ­ها و گرایش ­های زودگذر قرار دارد و به همین دلیل ممکن است در این حوزه هم شاهد بروز خشم اخلاقی باشیم. مد و گرایش ­ها می‌توانند بر راهکارها و خطرات تأثیرگذار باشند. تا سال‌ها تصور می‌شد که زیرساخت کلید عمومی[4] (PKI) راه حل ایده ­آلی برای تمام مسایل امنیتی است. در ادامه، توجه شما را به نقل قولی از مقاله Carl Ellison و Bruce Schneier تحت عنوان «آنچه که درباره زیرساخت کلید عمومی به شما گفته نشده است» جلب می‌کنیم (مجله Computer Security، 16/1/2000):

«امنیت رایانه ­ای قربانی بیماری «سالِ …» شده است. اول، فایروال بود بعد سیستم‌های تشخیص نفوذ، سپس وی‌پی‌ان و حالا مرجع صدور گواهی دیجیتال[5] (CA) و زیرساخت کلید عمومی. در تبلیغات محصولات امنیتی گفته می‌شود که اگر X را بخرید، ایمن خواهید بود اما واقعیت به این سادگی­ ها هم نیست؛ به ویژه که این موضوع برای PKI هم صدق می‌کند».

 

محصولات بسیاری هستند که به عنوان یک چوب جادو تبلیغ می‌شوند. مدتی قرار بود کارت‌های هوشمند ناجی جهان باشند. این قضیه حدود 15 سال ادامه داشت تا بالاخره راهکاری برای کارت‌های هوشمند تهیه شد که افراد تمایل به پرداخت هزینه برای تهیه آن داشته باشند. زمان، تلاش و هزینه زیادی صرف راهکارهای مد روز می‌شود (از جمله آگاهی­ بخشی). سعی کنید از این هیجان­ ها به دور باشید، پول خودتان را دور نریزید و به چیزهایی پایبند باشید که واقعاً مهم هستند.

 

پراکندگی در زمان و مکان‌های مختلف – متمرکز بودن در یک زمان و مکان

در حوزه تداوم کسب و کار بخشی به نام «بازیابی از فاجعه» وجود دارد. برنامه­ ریزی برای فاجعه کار معقولی است زیرا بالاخره فاجعه اتفاق می‌افتد. سناریوی پرکاربرد «سقوط هواپیما بر روی ساختمان» که زمانی به عنوان یک مثال خاص و افراطی در نظر گرفته می‌شد، بعد از حادثه 11 سپتامبر برای مردم بسیار آشنا است. در حادثه سقوط هواپیمای British Midland 737 در فرودگاه East Midlands در نزدیکی شهر Kegworth در انگلستان، مرکز داده بانک از بین رفت و 46 مسافر هواپیما نیز جان خود را از دست دادند.

تمرکز بر فجایع، کار آسانی است اما به باور من رویدادهایی که در زمان و مکان‌های مختلف رخ می‌دهند این پتانسیل را دارند که آسیب فوق­ العاده چشم­گیری به بار آورند. یک نمونه از چنین رویدادهایی خطا در محاسبات سالیانه یک بیمه عمر 25 ساله است. هر کدام از این رویدادها به تنهایی کوچک هستند اما این خطاها به مرور زمان تجمیع می‌شود. از آنجایی که این رویدادها اغلب کوچک هستند معمولاً گزارش داده نمی‌شوند. از آنجا که گزارش نمی‌شوند هزینه آنها هم برآورد نمی‌شود و از آنجایی که هزینه آنها برآورد نمی‌شود، عده کمی از وقوع آنها اطلاع دارند؛ اگرچه ممکن است اثر تجمیعی آنها بسیار زیاد باشد.

مثال بعدی، نقص پیوسته اما شناسایی نشده در یک رویه پشتیبان­ گیری است که جهت محافظت از یک مرکز داده بزرگ طراحی شده است. هر نقص کوچک تأثیر اندکی دارد ولی در صورتی که نیاز به بازیابی کامل مرکز داده از روی نسخه پشتیبان وجود داشته باشد تجمیع این خطاها می‌تواند ویران­گر باشد. ممکن است رویدادی که باعث نیاز به بازیابی مرکز داده می‌شود، یک رویداد حاد باشد مثل سیل اما آسیب اصلی در اثر نقص مزمن در پشتیبان گیری ایجاد شده است.

یک مثال دیگر از رویدادهای پراکنده در زمان و مکان، نقص دیسک لپ­ تاپ است. معمولاً به ندرت از اطلاعات روی لپ­ تاپ‌ها پشتیبان­ گیری می‌شود. ارزیابی چنین رویدادهایی به خصوص در بین تعداد بسیار زیادی نیروی کار متحرک کار سختی است و در عین حال خطری جدی برای اطلاعات محسوب می‌شود. لپ ­تاپ‌ها در معرض خطراتی مثل سرقت قرار دارند که نه تنها موجب ایجاد خسارت­ های مستقیم می‌شود (در حال حاضر یک لپ­تاپ خوب حدوداً بیش از 2 هزار پوند انگلیس قیمت دارد) بلکه هزینه از دست رفتن اطلاعات و بازیابی آنها هم وجود دارد.

با فراگیر شدن فناوری‌هایی مثل PDA این مشکل بیشتر هم می‌شود. رقمی که در سال 2004 برای خسارت­ های ناشی از سرقت یا گم شدن لپ­ تاپ‌ها در سازمانی با حدود 25 هزار کارمند در انگلیس گفته شده بود، حدود 1 میلیون پوند در سال بود. این رقم فقط برای سخت افزار بود. مشکل کلی هیچ وقت مورد بررسی قرار نگرفت چون هر گم شدن یا سرقت فقط با توجه به شرایط بخشی از سازمان که سرقت از آن صورت گرفته بود مورد بررسی قرار گرفت. تنها زمانی که این اعداد و ارقام جمع شدند محدوده واقعی خسارت ­ها برآورد شده و با مشکل مقابله شد. این کار از طریق انجام اقدام­ های زیر صورت گرفت:

• متمرکز کردن خرید (که باعث شد امکان دریافت تخفیف چشم­گیری فراهم شود.)
• ایجاد یک دفتر ثبت برای سخت افزارها
• مسئول شناختن کارمندان برای سخت افزارهایی که در اختیارشان است (و توضیح دادن مسئولیت‌های­شان به آنها).
• دریافت امضا از افراد در هنگام تحویل گرفتن تجهیزات
• علامت گذاشتن بر روی تجهیزات با استفاده از جوهر ماورای بنفشی که مالکیت آنها را مشخص می‌کند.
• قرار دادن برچسب‌هایی روی لپ­تاپ‌ها با مضمون «این لپ­تاپ متعلق به شرکت XXX و شماره این دارایی nnn است».

 

آشنا – ناآشنا

آشنایی داشتن باعث کوچک شمردن می‌شود اما تا به حال چند بار برای شما پیش آمده کاری را متقبل شوید که در ابتدا سخت و دشوار به نظر می‌رسیده ولی بعداً مشخص شده که این کار از آنچه تصور می‌کردید آسان‌تر بوده است و فقط اضطراب این که قبلاً هیچ وقت آن کار را انجام نداده بودید، باعث ترس شما شده است. این موضوع در رابطه با درک خطر هم صدق می‌کند. ما از هکرها می‌ترسیم اما از افرادی که در بخش پشتیبانی فناوری اطلاعات کار می‌کنند و آنها را می‌شناسیم ترسی نداریم.

چنین ترسی ذاتی، درونی و کاملاً قابل درک است. نقطه ضعف این سازوکار بقا (ریشه بیشتر احساسات و عواطف درونی به سازوکارهای بقای داخلی ما برمی‌گردد) این است که می‌تواند موجب شود افراد در هنگام مقابله با خطرات تهدید کننده امنیت اطلاعات، عکس‌العمل نامناسبی از خود نشان دهند. معمولاً با خطرات ناشناس، بیگانه و بیرونی با انرژی و قدرت بیشتری مقابله می‌شود تا خطرات نسبتاً آشنا، حتی اگر پتانسیل آسیب رساندن این خطرات آشنا بیشتر باشد.

میزان درک و آشنایی با خطر به مرور زمان تغییر می‌کند. پس از حادثه 11 سپتامبر آمریکا مسافران هواپیما نسبت به انتظار در فرودگاه‌ها صبر و طاقت بیشتری پیدا کردند. تجربه‌ای که من از سفر در خطوط هوایی داخلی آمریکا داشتم برای من بیشتر یادآور مسافرت با اتوبوس یا قطار در انگلیس بود از این جهت که بازرسی‌ها در حداقل میزان ممکن قرار داشتند و زمان سوار کردن مسافران کوتاه بود. صبر و بردباری مردم در مقابل افزایش بازرسی‌های امنیتی پس از حادثه 11 سپتامبر در خطوط هوایی داخلی آمریکا قابل درک بود. همچنین کاهش تدریجی این صبر و بردباری هم قابل درک بود. یکی از مفسران، این شرایط را به صورت زیر توصیف می‌کند:

«ناگهان اعضای گارد ملی بیشتر شبیه به جوان 22 ساله‌ای به نظر می‌رسیدند که فقط 45 دقیقه با اسلحه M-16 آموزش دیده‌اند».

حس امنیت فراهم شده توسط افرادی که به شدت مجهز شده باشند، به تدریح کاهش می‌یابد. اروپایی‌ها چندان متوجه افزایش امنیت در فرودگاه‌های بین­ المللی نشدند زیرا بیشتر آنها به آن عادت کرده‌اند.

 

سازوکارهای بقا

ما انسان‌ها چندین سازوکار داخلی داریم که برای کمک به بقای ما طراحی شده‌اند. شناخته شده‌ترین این سازوکارها عکس‌العملی با عنوان «یا فرار یا مبارزه» است. این عکس‌العمل باعث می‌شود که خون از اندام‌های داخلی به سمت اندام‌های تحتانی و خارجی حرکت کند (جهت سوخت­ رسانی به ماهیچه‌ها). هورمون‌ها و مواد شیمیایی دیگری هم آزاد می‌شوند تا آستانه تحمل درد را افزایش دهند.

بدن شروع به تعریق می‌کند و هضم و گوارش متوقف می‌شود. متأسفانه خطراتی که این روزها باعث ایجاد چنین عکس‌العمل‌هایی می‌شوند (دعوا با رئیس، ترافیک شدید و غیره) به فرار یا مبارزه مرتبط نیستند و بنابراین این واکنش هدر می‌رود. از آنجایی که ما در این شرایط فرار یا مبارزه نمی‌کنیم این واکنش منجر به آسیب رسیدن به بدن ما می‌شود (افزایش فشار خون، زخم معده، مشکلات قلبی و غیره) و به هیچ وجه برای ما خوب نیست.

ما قادر به نادیده گرفتن این عکس‌العمل نیستیم؛ این عکس‌العمل درونی و ذاتی است. ترس و تردید ما نسبت به ناشناخته‌ها یکی از چنین سازوکارهایی است و از آنجایی که ما سعی داریم در زمینه خطر و امنیت، عکس‌العمل و اطلاع­رسانی مناسبی داشته باشیم باید این موضوع را قبول کنیم.

باید دقت داشت که کاهش سطح خطر یا امنیت حس شده بعد از یک دوره افزایشی معمولاً اهمیت زیادی دارد، به ویژه اگر اتفاق خاصی رخ نداده باشد. ممکن است انجام این کار موجب این تصور شود که توابع امنیتی در حال گوش کردن و فکر کردن هستند. افزایش مستمر و پیوسته سطح امنیت باعث ایجاد بی­ احترامی می‌شود.

یک نمونه از این بی­ احترامی‌ها، بازرسی محتوای ایمیل بود. حدوداً در اواخر دهه 90 میلادی شاهد افزایش نگرانی‌ها در رابطه با تأثیرات بالقوه این موضوع بر شرکت‌هایی بودیم که ایمیل‌های سازمانی آنها حاوی زبان نامناسب و محتوای توهین ­آمیز بود. دلیل این نگرانی ترس از دادخواهی قضایی و آسیب رسیدن به برند سازمان بود. عکس‌العمل اولیه نصب نرم افزاری بود که محتوای ایمیل را بررسی کرده و ایمیل‌هایی که محتوای آنها نامناسب به نظر می‌رسید را مسدود می‌کرد. سیستم‌های اولیه ساده بودند و معمولاً به جای مرتب کردن پیام‌ها جهت تحلیل بیشتر، آنها را حذف می‌کردند. معمولاً مدیران امنیت کلماتی را انتخاب کرده و آنها را مسدود می ­کردند.

یک مثال دیگر از تأثیر آشنایی بر مدیریت امنیت، دیدگاه و درک مدیران امنیت نسبت به سطح خطر است. سال‌ها پیش من برای حدود 18 ماه در بخش مسکن شورای شهر کار می‌کردم. کار من جمع­ آوری کرایه‌های معوقه بود که گاهی وقت­ ها منجر به اخراج مستأجرین می‌شد. یک روز یکی از مدیران ارشد از من پرسید به نظر من چه درصدی از مستأجرین بدهی معوقه دارند؟ من هم رقم 15 درصد را اعلام کردم اما رقم واقعی 2 درصد بود (که در انگلستان جزو بهترین ارقام و آمار محسوب می‌شد). ارتباط نزدیک من با این موضوع باعث شده بود که من در اعلام این اعداد و ارقام اغراق کنم. به همین دلیل است که مدیران امنیت اطلاعات حضور هکرها را در همه جا حس می‌کنند. این پدیده با نیاز به کاهش کنترل‌ها پس از عبور از یک خطر یا اغراق­ آمیز به نظر رسیدن عکس‌العمل اولیه نسبت به یک خطر در ارتباط است.

اغلب مواقع کارشناسان امنیت اطلاعات از تأثیر تصورات و ادراکات خودشان بر خطر چشم ­پوشی می‌کنند. Anne Adams و Angela Sasse از کالج دانشگاهی لندن این استدلال را مطرح کرده‌اند که لو رفتن تصادفی رمزهای عبور توسط کاربران تا حدی نتیجه غفلت و شیوه‌های نادرست پیاده­ سازی کنترل‌ها است که این امر ناشی از دیدگاه خاص مدیران امنیت اطلاعات نسبت به خطر و تهدید است.

Adams و Sasse یک نظرسنجی مبتنی بر پرسش­ نامه تهیه کرده‌اند تا اطلاعات کاربران در رابطه با رفتار و درک آنها نسبت به رمز عبور و استفاده از آن را مشخص کنند. نتایج این نظرسنجی منجر به آشکار شدن چند نکته مهم شد، از جمله:

• الزام به حفظ کردن رمزهای عبور متفاوت برای سیستم‌های مختلف کار سختی است و منجر به انتخاب رمزهای عبور ضعیف می‌شود. مفهوم بهترین روش (یا روش‌های توصیه شده) که برای مدیران امنیت اطلاعات مفهوم آشنایی است معمولاً غیرکاربردی است. کاربران انتخاب رمزهای عبور را تحت کنترل فرایندی می‌دانند که بر آنها تحمیل شده است. ممکن است یکی از نتایج این شرایط نوشتن رمزهای عبور توسط کاربران باشد.
• بسیاری از کاربران تصور می‌کنند که استفاده از اطلاعات شخصی (مثل نام همسر، شماره پلاک خودرو و غیره) روش خوبی باشد؛ طرز فکری که بسیاری از کارشناسان امنیت آن را قبول ندارند. وقتی فرایندهایی جهت جلوگیری از استفاده مجدد از رمز عبور و به کار بردن رمزهای عبور ضعیف تعیین شود، ممکن است این فرایندها منجر به کاهش امنیت شوند زیرا باعث می‌شوند که بیشتر کاربران رمزهای عبورشان را بنویسند.

این فرایند تأثیر دیگری هم بر امنیت دارد که بررسی کمیت آن کار سختی است و پتانسیل زیادی برای آسیب رساندن دارد. اعتبار امنیت و توجه نسبت به آن کاهش پیدا می‌کند زیرا کاربران به این نتیجه می‌رسند که برای رسیدن به کارهای­شان باید کنترل‌های امنیتی ظاهراً عقلانی را دور بزنند.

سایر نتایج این مطالعه هم قابل توجه هستند. از جمله برجسته‌ترین نتایج این است که معمولاً کاربران اطلاع کافی درباره مسایل امنیتی ندارند از این جهت که آنها باید «مدل خاص خودشان را درباره خطرات امنیتی و اهمیت امنیت بسازند و اینها اغلب مواقع بسیار نادرست هستند». کاربران بر این باورند که برخی سیستم‌ها و اطلاعات خاص مهم هستند (مثل منابع انسانی و اطلاعات کارمندان) اما سایر دارایی ها که ممکن است در صورت به خطر افتادن آنها آسیب‌های جبران­ناپذیری ایجاد شود را نادیده می‌گیرند.

نتیجه چنین شرایطی این است که کاربران یا به دلیل ندانستن اهمیت سیستم‌ها یا به دلیل این که آن سیستم‌ها را بی­اهمیت تلقی می‌کنند، موجب به خطر افتادن آنها می‌شوند. Adams و Sasse مفهوم «نیاز به دانستن» را تا حدی بی­ اهمیت تلقی می‌کنند از این جهت که در بسیاری از شرایط (شاید خارج از محیط‌ هایی مثل محیط‌ های دولتی و نظامی) باعث کاهش امنیت می‌شود. تصور و ادراکات خاص کارشناسان امنیت، ریشه چنین مشکلاتی تلقی می‌شود و این شرایط، ناشی از آشنایی با آنچه «بهترین روش» خوانده می‌شود، است.

 

رواشناسی خطر یا «چرا افراد کارهای احمقانه انجام می‌دهند؟»

تا به حال چند بار از خودتان سؤال کرده ­اید که به چه دلیل این کار را انجام دادم؟ چرا رانندگان قطار از چراغ قرمز عبور می‌کنند؟ چرا برخی مواقع خلبان‌ها به چپ می‌پیچند در حالی که به وضوح به آنها اعلام شده که باید به سمت راست بپیچند؟

رفتارهای به ظاهر غیرقابل توجیه، دلایلی دارند که بیشتر آنها ریشه در روان­شناسی اجتماعی دارند.

 

– سازوکارهای دفاعی

ذهن انسان در تنظیم و ایجاد سازوکارهای دفاعی در مقابل رویدادهای عذاب ­آور بسیار خوب عمل می‌کند که به این پدیده، «دنبال کردن آرامش خاطر» (وضعیتی که بسیاری از افراد آن را خوشایند حس می‌کنند) گفته می‌شود. این وضعیت می‌تواند به روش‌های مختلف نمود پیدا کند از موضوع ­های کوچکی مثل مخفی کردن قبض‌های ترسناک پشت ساعت گرفته تا موضوع ­های بزرگی مثل فاصله گرفتن از شرایط مرگ­بار مختلف، شبیه آنها در جنگ جهانی اول درباره بسیاری از سران نظامی مشاهده شد.

Norman Dixon در نوشته خودش با عنوان «روان­شناسی بی­ کفایتی نظامی» به خوبی توضیح داده که چطور ممکن است این سازوکارهای دفاعی به حدی برسند که باعث شوند سران ارشد نظامی، پشت خطوط دفاعی پنهان شوند (در دنیای فیزیکی چندین کیلومتر پشت خطوط دفاعی!) و احمقانه‌ترین، غیرقابل تصورترین و به ظاهر ابلهانه‌ترین تصمیم­ ها را در جنگ بگیرند.

Dixon در کتاب مرتبط دیگری تحت عنوان «بدترین دشمن ما» می‌نویسد دو جنبه از روان­شناسی انسانی در ایجاد این آرامش خاطر نقش دارند. این دو شامل «توجه انتخابی» و «سیستم سیگنالینگ عاطفی[6]» (ASS) هستند. توجه انتخابی ابزاری است که افراد می‌توانند با استفاده از آن به دنبال چیزهای بسیار خاصی باشند مثل آب، غذا و همسر آینده. این موضوع به خوبی در نحوه خرید آقایان در سوپر مارکت‌ها مشهود است؛ آقاین بسیار متمرکزتر از خانم‌ها هستند، شاید به این دلیل که توجه انتخابی آنها کامل‌تر است. آنها وارد فروشگاه شده، آنچه که به دنبالش هستند را انتخاب کرده و همه اقلام دیگر را نادیده می‌گیرند و از فروشگاه خارج می‌شوند.

سیگنالینگ عاطفی، پایه و اساس اصطلاحی با عنوان «اختلال عاطفی» است. اختلال­ های عاطفی الگوهای رفتاری هستند که در اثر نقص این سیستم و ایجاد اثرات نامطلوب به وجود می‌آیند. از ASS جهت ایجاد محرک‌هایی برای برآورده شدن یک نیاز استفاده شده (همین سیستم باعث ایجاد حس گرسنگی در هنگام نیاز به غذا می‌شود) و سپس سیگنال دیگری برای توقف این رفتار ارسال می‌شود (این سازوکار موجب می‌شود که وقتی به اندازه کافی غذا خوردید، خوردن غذا برای شما ناخوشایند باشد). این سیستم بسیار پیچیده است و نقص آن می‌تواند باعث وقوع رویدادهای غیرمنتظره و ناخواسته‌ای شود؛ از پرخوری گرفته تا قتل. یکی از اثرات چنین نقصی توسعه سازوکارهای دفاعی مثل سرکوب، انکار، رفتار عقلانی، انزوا و برنامه‌ریزی است.

تأثیرات چنین سازوکارهای دفاعی برای مسئولین حوزه امنیت اطلاعات بسیار مشهود است. به عنوان مثال عده زیادی تصور می‌کنند امکان وقوع اتفاق های فاجعه ­بار (برای خودشان) وجود ندارد و با بیان عبارت­ هایی مثل «قبلاً هرگز چنین اتفاقی در اینجا رخ نداده» سعی به عقلانی نشان دادن آن می‌کنند با این وجود که قبلاً شواهد تجربی کافی را مشاهده کرده‌اند که نشان می‌داده بالاخره چنین اتفاقی رخ خواهد داد. «تیراندازی به سمت پیام رسان» یک تجلی دیگر از این سازوکارهای دفاعی است که در آن سعی می‌شود حس عصبانیت متوجه فردی شود که مستقیماً در ماجرا دخالتی ندارد. یکی از نتایج چنین رفتاری شکل­ گیری یک سازمان غیرسالم است و می‌تواند باعث کاهش امنیت و همچنین کاهش انگیزه گزارش دادن رویدادها شود.

دنبال کردن آرامش خاطر می‌تواند تأثیرات قابل توجهی بر فرایند تصمیم ­گیری داشته باشد. مردم در هنگام رویارویی با خروجی‌های مختلف اغلب تصمیم به انتخاب خروجی می‌گیرند که کمترین خطر را داشته باشد حتی وقتی شواهد بیشتر به نفع گزینه‌های کمتر خوشایند باشد. این عامل می‌تواند بر درک خطر و تصمیم­ گیری (و حتی حافظه) تأثیرگذار باشد. بسیاری از این عوامل با کاهش شدید صلاحیت همراه شده و باعث می‌شوند کار اعمال کنترل‌های مناسب و متقاعد کردن افراد به اعمال کنترل‌های مناسب فوق ­العاده دشوار شود.

 

حافظه

حافظه انتخابی (که اغلب حاصل سازوکارهای دفاعی است) منجر به ایجاد مشکلاتی در دو حوزه برای ما می‌شود: اولی به آرامش خاطر و دیگری به «ذهنیت غایب» مربوط است. دلیل این که افراد، بیشتر مواقع فراموش­کار (و ظاهراً ابله) به نظر می‌رسند این است که ظرفیت محدودی برای حفظ اطلاعات دارند. این مسأله به خوبی شناخته شده است که خیلی از مردم در درک و تحلیل اطلاعات در هنگام انجام کارهای پیچیده دچار مشکل می‌شوند. به همین دلیل است که استفاده از گوشی تلفن همراه در هنگام رانندگی خطرناک است (حتی در صورت استفاده از هندزفری).

یکی از عوامل مهمی که می‌تواند بر حافظه تأثیرگذار باشد، استرس است. انسان‌ها وقتی تحت استرس قرار می‌گیرند، به شدت بر کاری که در حال انجام آن هستند متمرکز می‌شوند، خصوصیتی که در هنگام رویارویی با خطراتی که زندگی یا اندام ­های بدن آنها را تهدید می‌کند، بسیار مفید است. ممکن است این ویژگی در هنگام رویارویی با شرایط پیچیده منجر به ایجاد مشکلاتی شود. مثال‌های متعدد از سقوط هواپیما با وجود سیستم‌های هشدار پیشرفته و کمک رسان‌های الکترونیک به خوبی باعث روشن شدن این موضوع شده است.

ممکن است خلبان‌ها روی یک مسأله خاص متمرکز شده و سیگنال‌های منتشر شده از سوی منابع دیگر را نادیده بگیرند. این ویژگی موجب محدود شدن آگاهی ما می‌شود و می‌تواند باعث شود که انسان‌های منطقی، کارهای به ظاهر غیرمنطقی انجام دهند. یکی از وظایف برنامه آگاهی­ بخشی سعی در مختل کردن این فرایند و تشویق کردن افراد به متوقف شدن (حتی برای یک لحظه) و پرسیدن این سؤال است که آیا شرایطی که در آن دچار شده‌اند، از نظر امنیتی مشکل آفرین نیست.

 

تفکر گروهی

افراد وقتی در گروه قرار دارند، تصمیم­ های متفاوت با تصمیم­ های فردی می‌گیرند. این ویژگی، مسئول بسیاری از اشتباه ­ها است؛ چه در حوزه‌های نظامی، پزشکی، فنی یا تجاری. البته منظور این نیست که تمام تصمیم­ گیری‌های گروهی باعث اشتباه می‌شود، شواهد مختلفی وجود دارد که نشان می‌دهد گروه‌های منسجم می‌توانند تصمیم­ های معقول و کاملی بگیرند که افراد تنها قادر به انجام آن نیستند.

Irving Janis یک روان­شناس آمریکایی اهل ييل، تفکر گروهی را به صورت زیر تعریف می‌کند:

«یک شیوه تفکر خاص که افراد وقتی درگیر آن می‌شوند زمانی است که وارد یک گروه منسجم می‌شوند که در آن تلاش اعضا برای یکپارچه شدن، بر انگیزه آنها جهت ارزیابی کردن راهکارهای جایگزین غلبه می‌کند».

به نظر می‌رسد که این بیماری به جای ارزیابی انتقادی موضوع مورد نظر باعث بیشتر شدن تأکید بر هماهنگی و انسجام می‌شود. من به شخصه بارها تأثیر چنین تفکر گروهی را مشاهده کرده ­ام. من متقاعد شدم که این امر به «تأثیر Noddy» مرتبط است. سعی کنید در جلسه‌ای که همه دیدگاه مثبت دارند، «نه» بگویید. اگر تفکر گروهی فعال شده باشد، انجام این کار برای شما بسیار سخت خواهد بود، این طبیعت انسان ها است. بازگو کردن صحبت‌های مخالف در یک گروه منسجم کار دشواری است.

تفکر گروهی منجر به فجایع مختلفی شده است: انفجار فضاپیمای چلنجر یکی از آنها است و یورش به عراق در سال 2003 یکی دیگر از آنها.

Janis بر این باور است که تفکر گروهی هشت علامت دارد که عبارتند از:

1. توهم آسیب پذیر نبودن
2. باور به خلاقیت ذاتی گروه
3. عقلانیت جمعی
4. کلیشه‌های خارج از گروه
5. خودسانسوری
6. توهم یکپارچگی
7. فشار مستقیم بر مخالفان
8. جبهه­ گیری ذهنیتی.

روش‌های پیشگیری از تفکر گروهی عبارتند از:

• تعیین مسئولیت تصمیم­ های مختلف برای افراد
• انتخاب شخصی (از قبل) که نقش حامی بدی را بر عهده دارد. این امر باعث کاهش حس عدم راحتی در بیان مخالفت می‌شود و موجب ایجاد این اطمینان می‌شود که نقایص به درستی مطرح می‌شوند.
• ایجاد کانال‌های ناشناس برای اظهارنظر (مثلاً صندوق انتقادها و پیشنهادها یا نظرسنجی درباره نگرش افراد).

 

اثر Noddy

این تأثیر در ملاقات‌هایی که در آن تفکر گروهی صورت می‌گیرد، رخ می‌دهد. وقتی یک نفر شروع به اقدام به روشی می‌کند که مورد تأیید سایرین باشد (در این حالت بسیاری از افراد به صورت ناخودآگاه به نشانه تأیید، شروع به تکان دادن سر می‌کنند)، دیگران به او می‌پیوندند. قابلیت انسان در تشخیص و واکنش نشان دادن به کوچک ترین سیگنال‌های نیمه خودآگاه، فوق­ العاده است. خودتان امتحان کنید! در جلسه‌ها وقتی یک تصمیم مثبت از سوی یکی از شرکت کنندگان پیشنهاد می‌شود، سرتان را تکان دهید. دیگران هم از شما پیروی کرده و به آرامی سرشان را تکان می‌دهند به خصوص اگر نگاه شما به آنها باشد. این تأثیر در کل جلسه منتشر می‌شود و مخالفت با آن تصمیم مدام سخت‌تر خواهد شد. اگر شما در جلسه‌ای هستید که هدف آن اتخاذ تصمیم­ های مبتنی بر ریسک است (مثل توافق درباره یک راهکار آگاهی ­بخشی) مطمئن شوید که این تفکر گروهی فعال نمی‌شود. در اسرع وقت با اثر Noddy مقابله کنید.

 

طرز تفکر کاربران

حالا که مشخص شد استانداردها، روش‌های توصیه شده و دیدگاه‌های کارشناسان بر اهمیت آگاهی ­بخشی تأکید دارند باید به یک مشکل خاص پرداخت. ما به خوبی با طرز تفکر کاربران آشنا نیستیم، اغلب به این دلیل که تفکر ما محدودیت‌هایی دارد. Sasse، Brostoff و Weirich برای تشریح دیدگاه افراد نسبت به امنیت، 7 مسأله را شناسایی کرده‌اند که منجر به ایجاد رفتارهای ناخواسته در زمینه استفاده از رمز عبور می‌شود. این 7 مسأله عبارتند از:

 

1- مسایل هویتی

افرادی که عادت­ ها و رفتارهای خوبی در زمینه رمز عبور از خود نشان می‌دهند، اغلب با عبارت­ هایی مثل «پارانوئید»، «وسواسی» یا «چنین افرادی هیچ وقت به دیگران اعتماد نمی‌کنند، حتی خودشان» توصیف می‌شوند. برخی افراد به این واقعیت که سر رشته‌ای در امنیت ندارند، افتخار می‌کنند (من مخ نیستم) یا از قوانین پیروی نمی‌کنند (من از دستورات پیروی نمی‌کنم).

 

2- مسایل اجتماعی

از نظر عده زیادی، به اشتراک گذاشتن رمز عبور با دیگران، نشانه اعتماد به دوستان و همکاران است؛ رمز عبورتان را در اختیار افرادی که به آنها اعتماد دارید، قرار دهید تا دیگران رمز عبورشان را در اختیار شما قرار ندهند و به این ترتیب نشان دهند که اعتمادی به شما ندارند. همین موضوع برای سایر رفتارهای مرتبط با رمز عبور هم صدق می‌کند، مثل قفل کردن صفحه رایانه وقتی برای چند لحظه آن را ترک می‌کنید. این رفتار به همکاران و دوستان شما نشان می‌دهد که به آنها اعتماد ندارید.

 

3- هیچ شخصی به دنبال هدف گرفتن من نیست.

بیشتر کاربران تصور می‌کنند داده‌های ذخیره شده بر روی سیستم آنها به اندازه‌ای مهم نیست که یک هکر یا جاسوس صنعتی به دنبال هدف گرفتن آنها باشد. به عنوان مثال تصور می‌شود که هکرها به دنبال هدف گرفتن افراد یا مؤسسه­ های ثروتمند و مشهور هستند. بعضی کاربران قبول دارند که ممکن است هکرها افرادی مثل آنها را هدف بگیرند، به این دلیل که به یک سیستم بزرگتر رسیده یا از این طریق پیش­روی کنند اما مسلماً این موضوع را خیلی محتمل نمی‌دانند صرفاً به دلیل تعداد کاربرانی که می‌توان با این روش هدف گرفت.

 

4- هکرها نمی‌توانند آسیب زیادی ایجاد کنند.

بیشتر کاربران تصور نمی‌کنند فردی که به حساب کاربری آنها نفوذ می‌کند قادر به ایجاد آسیب‌های جدی برای سازمان یا خود آنها باشد.

 

5- رویه‌های کاری غیررسمی

اغلب سازوکارها و مقررات رمز عبور فعلی با رویه‌های کاری رسمی یا غیررسمی در تناقض هستند (به عنوان مثال اگر مبتلا به بیماری شدید و نمی‌توانید در محل کارتان حضور پیدا کنید باید یک نفر از اعضای گروه قادر به دسترسی به حساب کاربری شما و انجام کارهای­تان باشد).

 

6- مسئولیت­ پذیری

برخی کاربران اطلاع دارند که رفتار آنها با مقررات امنیتی انطباق ندارد اما تصور نمی‌کنند که مسئولیتی متوجه آنها باشد زیرا قوانین را غیرواقعی و رفتار خودشان را یک عمل و اقدام متداول تلقی می‌کنند. همچنین این افراد اطلاع دارند که هر چقدر خوب رفتار کنند باز هم همیشه احتمال نفوذ یک هکر به سیستم‌های آنها وجود دارد. این افراد همیشه می‌توانند ادعا کنند که این رفتار نادرست آنها نبوده که منجر به رخنه شده است.

بعضی کاربران این واقعیت را قبول دارند که اگر فردی حالا به سیستم آنها نفوذ می‌کند، مسئولیت رفتارهای گذشته متوجه آنها است (به عنوان مثال نوشتن رمز عبور).

 

7- گرفتاری دو سره

اگر یک سیستم رایانه ­ای سازوکارهای امنیتی قوی داشته باشد، احتمال هدف گرفتن آن توسط هکری که به دنبال اثبات قابلیت‌های خودش است و در نهایت راهی برای نفوذ پیدا می‌کند، بیشتر خواهد بود. اگر این سیستم امنیت ضعیفی داشته باشد، ممکن است هکرهای مبتدی که سعی می‌کنند بدون هدف گرفتن یک سیستم خاص به سیستم‌های مختلف رخنه کنند، موفق به نفوذ به آن شوند.

به طور مشابه، اگر شما از قوانین پیروی کنید (مثلاً صفحه را قفل کنید) مردم تصور می‌کنند که شما داده‌های آسیب پذیری در رایانه ­تان دارید و ممکن است بیشتر سعی کنند به آن نفوذ کنند اما اگر از قوانین پیروی نکنید، نفوذ به سیستم برای دیگران آسان‌تر خواهد بود.

 

طرح و الگو

یکی از ویژگی‌های مهم امنیت اطلاعات این است که می‌تواند منجر به برانگیختن احساسات شود، حتی گاهی وقت­ ها هم احساسات قابل توجه. ممکن است مسئولان امنیت اطلاعات متهم به ایجاد قوانین غیرضروری و دست و پاگیر شوند. این شرایط می‌تواند منجر به دور زدن کنترل‌های امنیتی توسط افراد شود در حالی که تصور می‌کنند کار درستی را انجام می‌دهند.

این احساسات (که معمولاً خشم است) نتیجه یک تضاد بین طرح مورد استفاده توسط افراد مسئول امنیت و افراد دیگری است که با دیدگاه متفاوتی به آن نگاه می‌کنند. این طرح، تنها یک دیدگاه نسبت به جهان است و چارچوبی تشکیل می‌دهد که می‌توانیم طبق آن تصمیم ­هایی سریع اتخاذ کنیم. این طرح به ما کمک می‌کند که فقط بر چیزهایی متمرکز شویم که برای ما مهم به نظر می‌رسند و موارد بی­ اهمیت را نادیده بگیریم و از این جهت به تصمیم­ گیری سریع کمک می‌کند.

متأسفانه همان­طور که پیش از این بیان شد، طرح‌های مورد استفاده توسط افراد مسئول امنیت با آنچه دیگران استفاده می‌کنند متفاوت هستند. یک مثال از این موضوع در بیشتر محیط‌ های کاری بحث اخلاق کار گروهی است. این امر موجب ایجاد احترام، رفتار متمدنانه و به اشتراک­ گذاری اطلاعات بین اعضا می‌شود. یکی از ویژگی‌های مهم امنیت فیزیکی در دفاتر فیزیکی این است که باید هر فردی را که کارت پرسنلی مناسب روی لباسش نصب نکرده، به چالش بکشید. برای من به شخصه این کار بسیار سخت بود، احتمالاً به این دلیل که من تمایل دارم با دیگران مهربان باشم. نتیجه این شرایط، برخورد و تضاد بین قوانین و طرح‌های رفتاری معمولی است.

مثالی از این موضوع را از یک شرکت به خاطر دارم که در آن اپراتورهای رایانه­ ای دسترسی به ساختمان دفتر مرکزی را در خارج از ساعات کاری کنترل می‌کردند. آنها یک سیستم ارتباطی ساده بین در اصلی و مرکز عملیات داشتند و برای تأیید دسترسی افراد باید از مرکز عملیاتی برای باز کردن در به سمت در می‌رفتند. اپراتورها معمولاً افرادی که می‌شناختند را تأیید می‌کردند (خدمه، همکاران و سایر کارمندان). وقتی قادر به شناسایی فردی که تقاضای ورود کرده بود نبودند باید از وی درخواست می‌کردند که کارت پرسنلی خودش را نشان دهد. یک بار یکی از اعضای هیأت مدیره (که مثل بسیاری از اعضای آن برای کارمندان کاملاً ناآشنا بود) در خارج از ساعات عادی تقاضای دسترسی داشت. دلیل این دسترسی برداشتن یک وسیله غیرکاری از روی میزکارش بود. اپراتور مسئول، وی را نشناخت و البته او کارت پرسنلی هم نداشت (در واقع او هم از جمله افرادی بود که تصور می‌کنند این قوانین برای آنها نیست). اپراتور از دسترسی وی جلوگیری کرد اما این عضو هیأت مدیره سعی کرد به زور داخل شود و روز بعد سعی کرد اپراتور را اخراج کند هر چند که خوشبختانه نتوانست این کار را انجام دهد. از این رو، الگوی رفتاری اعضای هیأت مدیره با الگوی رفتاری اپراتورها بسیار متفاوت است.

یکی از ویژگی‌های مهم یک طرح رفتاری این است که ممکن است افرادی در آن دخیل شوند که اطلاعات ارایه شده برای آنها با اطلاعات طرح خودشان در تناقض باشد به خصوص اگر آنها را در جریان دنباله‌ای از اطلاعات قرار دهد که طرح خودشان را پشتیبانی می‌کند. در چنین شرایطی آنها معمولاً طرح‌های دیگر را نادیده می‌گیرند. این پذیرش و رد انتخابی اثرات مختلفی دارد از جمله کاهش قابلیت یادگیری. به نظرم همین ویژگی می‌تواند دلیلی برای ارتکاب خطا توسط افراد مختلف باشد. وقتی به دنبال تغییر رفتار هستید باید این ویژگی‌ها را در نظر داشته باشید. هر فردی در صورتی که زمان کافی برای هضم اطلاعات داشته باشد می‌تواند آن را درک کند (و از این طریق دیدگاه خودش نسبت به جهان را تغییر دهد) به این شرط که برای اطلاعات جدیدی که به وی ارایه می‌شود یک محدودیت وجود داشته باشد. این امر نشان می‌دهد که تغییر طرز فکر افراد یک رویکرد راهبردی و پایدار است نه یک تغییر تاکتیکی بزرگ و ناگهانی.

برای تغییر این طرح‌ها باید اجزای آنها به صورت فعالانه به چالش کشیده شوند. بهترین راه برای انجام این کار ارایه مثال‌های واقع­ گرایانه‌ای است که مخاطبین واقعی بتوانند به خوبی ارتباط آنها با هر یک از عناصر طرح مورد نظر را درک کنند. برای مقابله با عادت به اشتراک گذاشتن رمز عبور در محیط‌ های اداری می‌توان بر محافظت شخصی که افراد در صورت نگه داشتن رمز عبور برای خودشان خواهند داشت تأکید کرد. مردم خطر را به صورت خطی درک نمی‌کنند و استفاده از مثال‌ها، داستان‌ها و عکس ­ها بسیار کارآمدتر از ارایه آمار و ارقام است. ما می‌توانیم از این ویژگی انسان‌ها به نفع خودمان استفاده کنیم، اگر رسانه‌ها حقایق را تحریف کرده  و سعی می‌کنند از طریق اظهارات وسیع، کلیات و اصطلاح­ های سنگین طرح‌های غیرمفیدی ایجاد کنند، ما هم می‌توانیم به آن واکنش نشان دهیم.

 

اثر تماشاچی

اثر تماشاچی اصطلاحی است که از آن برای توصیف تمایل کمتر یک گروه از افراد برای کمک به فردی که دچار دردسر شده است، در مقایسه با یک فرد تنها استفاده می‌شود. یک تماشاچی معمولاً حس خجالت داشته، نمی‌داند چطور کمک کند و در بسیاری مواقع حس عدم مسئولیت دارد. حادثه‌ای که باعث شد یک کار آکادمیک انجام شود که پایه و اساس این اصطلاح را شکل داد، مربوط به قتل یک زن به نام Kitty Genovese در سال 1964 در شهر نیویورک بود. وی به طرز بی‌رحمانه‌ای در مقابل چشمان مردم کشته شد در حالی که دیگران تماشاچی بودند و کاری برای کمک به او انجام ندادند.

روان­شناسان اجتماعی Latane و Darnley درباره این پدیده تحقیق کرده و دلیل این اتفاق را پیدا کردند. آنها توضیح دادند که رفتار «کمک به دیگران» از مدلی پیروی می‌کند که شامل 5 مرحله می‌شود:

1. توجه به مسأله
2. تصمیم­ گیری درباره اضطراری بودن آن
3. قبول مسئولیت
4. تصمیم­ گیری درباره آنچه که باید انجام شود.
5. اقدام برای کمک.

این مطالعه به این نتیجه رسید که وقتی فردی دچار دردسر است بهتر است بین یک یا دو نفر قرار داشته باشد تا یک جمع. با افزایش تعداد افراد حاضر، حس مسئولیت کاهش پیدا می‌کند زیرا افراد حس می‌کنند فرد دیگری اقدام خواهد کرد.

اگر افراد زیادی در مجاورت یک شخص قرار داشته باشند، حس مسئولیت­ پذیری کاهش پیدا می‌کند.

می‌توان نتیجه ­گیری‌های مختلفی از این پدیده داشت. مهم‌ترین آنها به گزارش دادن حوادث ارتباط دارد. اگر در زمینه ایجاد حس مسئولیت در افراد موفق نباشیم و اگر آنها حس کنند که می‌توانند به نوعی با آن کنار بیایند (این مشکل، مشکل فرد دیگری است) آن حادثه را گزارش نخواهند داد. Douglas Adams (سال 1980) در دومین کتابش از سری «راهنمای مسافران مجانی کهکشان» یک میدان خیالی برای مخفی کردن اشیا از معرض دید توصیف می‌کند:

«بحث «مشکل دیگران» بسیار ساده‌تر و کارآمدتر است و ممکن است افراد آن را تا صدها سال ادامه دهند. به این دلیل که این استدلال متکی بر سرشت طبیعی افراد برای ندیدن چیزهایی است که دوست ندارند، انتظار ندارند یا نمی‌توانند توضیح بدهند».

 

رستوران آخر جهان

غارت­گران متروی لندن از همین پدیده استفاده می‌کنند. تاکتیک آنها شروع یک بحث با طرف مقابل با به کار بردن نام‌های شخصی است که برای ناظرین این طور به نظر برسد که دو طرف همدیگر را می‌شناسند. این عامل، احتمال مداخله را به میزان زیادی کاهش می‌دهد.

 

خلاصه و جمع بندی

به خاطر داشته باشید که اغلب مواقع افراد از طریق مسیرهای غیرمنطقی و با پایه‌ها و اصول غیرمنطقی به نتیجه می‌رسند. واقعیت این است که بیشتر وقت­ ها آنها تصور می‌کنند که کاملاً منطقی بوده‌اند. تعجب نکنید، در واقع شما باید انتظار تصمیم ­های ظاهراً غیرمنطقی را داشته باشید. مردم دخیل در این فرایندها احمق نیستند. آنها صرفاً قربانی ویژگی‌های ذاتی خودشان هستند. به خاطر داشته باشید که شما هم همین نقایص داخلی و ذاتی را دارید.

بهتر است به این نکته توجه داشته باشید که مردم موضوع­ ها را به روش‌های متفاوت می‌بینند. ممکن است آنچه از نظر شما مخاطره­ آمیز به نظر می‌رسد از نظر آنها تصادفی باشد. ممکن است آنچه از نظر آنها اقدام درست و خوبی تلقی می‌شود از نظر شما یک حماقت باشد.

مردم خطرات را به روش خطی یا منطقی محاسبه نمی‌کنند. عوامل مختلفی بر ادراکات آنها تأثیرگذار است. اگر این موضوع را قبول نکنید، قابلیت شما برای برقراری ارتباطات مؤثر و کارآمد کاهش می‌یابد.

برقراری ارتباط درباره خطر نیاز به درک و تفکر دارد. در هنگام گفتگو با افراد غیرمتخصص از به کار بردن اصطلاحات فنی خودداری کنید. هر مثالی که در ذهن دارید را به صورتی توضیح دهید که برای آنها قابل درک باشد. تصاویر کلامی می‌توانند فوق ­العاده مفید باشند.

هرگز سعی نکنید مخاطبین خودتان را فریب دهید، آنها متوجه این موضوع شده و از دست رفتن اعتبار شما می‌تواند اثراتی پایدار و دایمی داشته باشد.

حافظه انسان جایزالخطا است. معمولاً مردم به دلایل مختلف دچار فراموشی می‌شوند. این امر بر فرایندهای تصمیم ­گیری و قابلیت آنها برای عکس‌العمل نشان دادن جهت تغییر شرایط تأثیرگذار است.

وقتی با تفکر گروهی منفی روبرو می‌شوید باید هرچه سریع‌تر با آن مقابله کنید. به خاطر داشته باشید که شما با مخالفت‌هایی روبرو خواهید شد. دفاع اصلی شما حقیقت است. به حقایق پایبند بمانید و فرضیات طرف مقابل (که واقعیت ندارند) را برای او مشخص کنید.

به خاطر داشته باشید که تغییرات تدریجی نسبت به تغییرات یک ­باره و ناگهانی تأثیر بیشتری برای ایجاد تغییرات همیشگی دارند. به خصوص این موضوع در صورتی که افراد تحت تأثیر تغییرات در فرایند تغییر دخیل باشند بیشتر صدق می‌کند.

طرز فکر مخاطبین مورد نظرتان را درک کنید و از آن به عنوان پایه و اساس کارهای خودتان در زمینه آگاهی­ بخشی استفاده کنید. ما برای تغییر رفتار افراد باید درک کنیم که چرا افراد به یک روش خاص اقدام می‌کنند. اگر بتوانید طرح و الگوی مخاطبین را تغییر دهید احتمال تغییر رفتار آنها بیشتر خواهد شد.

تلاش ما این است که به افراد کمک کنیم به حالت «هوشیاری منطقی» برسند. شما باید امنیت را به صورت یک حالت و وضعیت منطقی جلوه دهید. هرگز پارانوئید یا غیرمنطقی جلوه نکنید. هرگز روش‌هایی که از نظر امنیتی ضعیف هستند را مثبت به تصویر نکشید. ممکن است عمل کردن خارج از چارچوب قوانین، کار جذابی به نظر برسد. به ویژه این امر برای مواقعی که چارچوب‌های مقرراتی غیرمنطقی به نظر می‌رسند، صدق می‌کند (سرکوب گری بیش از حد، محدود کردن افراطی یا نادرست). کنترل‌های مناسب (که مورد پذیرش مخاطبین شما باشند) بسیار بهتر از دیکتاتوری یا ظلم و فشار عمل می‌کنند.

هرگز اجازه ندهید که افراد تبدیل به ناظر و تماشاچی شوند. افراد باید حس کنند که خودشان مالک و مسئول مشکلات موجود در زمینه امنیت اطلاعات هستند. شما باید با متقاعد کردن افراد به تأیید وجود مشکل و مسئولیت داشتن برای رویارویی با مشکل و این که اگر اقدام لازم را انجام ندهند، بالاخره شناسایی خواهند شد آنها را تشویق به اقدام کنید.

 

پیشنهاد فراست به شما : کتاب الکترونیک ۱۰ توصیه برای آموزش امنیت سایبری به کارکنان

 

• [1] Shit Happens
• [2] شبه‌‌علم به ادعاها، باورها یا کارهایی گفته می‌شود که به غلط با عنوان علم ارایه می‌شوند ولی بر پایه یک روش علمی نیستند.
• [3]  برداشت پول نقد از دستگاه خودپرداز در شرایطی که نه مشتری و نه بانک مسئولیت آن را قبول نمی‌کنند.
• [4] Public Key Infrastructure
• [5] Certification Authorities
• [6] Affective Signalling System