امنیت اطلاعات و رفتار کارکنان؛ مخاطره کارکنان ناآگاه

بیشتر افراد نسبت به خطر، واکنش احساسی از خود نشان میدهند. این واکنش باعث تعجب افرادی میشود که از آمار واقعی مربوط به خطر اطلاع دارند.
Sarah Hogg مدیر شرکت Frontier Economics مقالهای در روزنامه ایندیپندنت منتشر کرده که در آن، مشکلاتی که در شبکه راه آهن انگلیس روی میدهند را توضیح داده است:
«در مسیرم به سمت قطاری که با سرعتی حداقل نصف سرعت چند هفته پیش حرکت میکرد، به یک تابلو رسیدم که روی آن نوشته شده بود تا این لحظه از سال، 61 نفر در جادههای لینکلنشر فوت کردهاند. حدود 449 نفر هم به شدت آسیب دیدهاند. آیا این موضوع نشان دهنده نادیده گرفتن یکی از پیامدهای تصادف Hatfield نیست؟ ماشینها بسیار بیشتر از قطارها منجر به مرگ انسانها میشوند …».
با این حال از آنجایی که دیدگاه و ادراک ما نسبت به خطرات قطار با خطرات جادهای (ماشینها) متفاوت است، ما به ازای هر مرگ، برای قطارها حدوداً 150 برابر خودروها بیشتر وقت صرف امنیت میکنیم.
مثالهای دیگری هم از تأثیر دیدگاه افراد نسبت به خطر وجود دارد. در حوزه مراقبتهای بهداشتی هزینه زیادی صرف درمان بیماریهایی مثل سرطان میشود. بدون شک ما هم از انجام این کار استقبال میکنیم اما اگر منابع کافی صرف کنترل عفونتهای بعد از جراحی و گسترش عوامل عفونی مثل MRSA میشد، زندگی افراد بیشتری حفظ میشد. این «منابع کافی» بسیار کمتر از مبالغی است که در حال حاضر صرف مبارزه با برخی بیماریها میشود. دلایل این اختلاف بیشتر به فرهنگ، درک خطر و فرهنگ عمومی ارتباط دارد تا منطق بالینی.
در سازمانهایی مثل بخشهای مراقب بهداشتی دولتی، دولتهای محلی و سایر خدمات عمومی نیازی که برای ایجاد اطمینان و قطعیت بین عموم وجود دارد تأثیرات ناخوشایندی بر مدیریت خطر دارد. هیچ چیز همیشه صددرصد قطعی نیست بنابراین هیچ سیستم اطلاعاتی هم همیشه صددرصد امن نیست. این نگرش مطلق گرایی موجب شده مدیریت خطر در بعضی حوزهها پیچیدهتر از حد لازم شود. در سیاست، معمولاً مدیریت خطر بیشتر مبتنی بر مدیریت افکار عمومی است تا رویارویی با مخاطرات واقعی.
در آمریکا یک منبع اطلاعاتی با عنوان ” Vanderbilt University Television News Index and Abstracts ” وجود دارد. زمانی از این منبع برای تحلیل محتوای خبرها از ژانویه 1984 تا فوریه 1986 استفاده شد. در این تحقیق، بیش از 500 خبر شبانگاهی مورد بررسی قرار گرفت و مشخص شد که حدود 1.7 درصد از وقت اخبار مربوط به انعکاس خطرات محیط زیستی است. در همان دوره، 57 ماجرا و داستان درباره تنباکو بازگو شد و 482 خبر مربوط به تصادفات و بحث امنیت در صنعت خطوط هوایی بود. بر اساس آمارهای واقعی مرگ و میر باید به ازای هر ثانیه پوشش خبری تصادفات هوایی، 26.5 دقیقه پوشش اخبار مربوط به تنباکو وجود داشته باشد. نسبت مرگ و میر در اثر بیماریهای حاد در مقابل مزمن، 7 به 1 است.
علاوه بر این، مشخص شده است که معمولاً در پوشش اخبار این تمایل وجود دارد که وضعیت محدوده جغرافیایی که خود دفتر خبری در آن قرار دارد، بیشتر تحت پوشش قرار بگیرد تا تأثیر واقعی خود رویدادها. در مثال بالا بر اساس تعداد حوادث، پوشش خبری ایالتهای «جانبی» مثل آلاباما و ویرجینیای شرقی حدوداً یک سوم پوشش کالیفرنیا و نیویورک بود. حالا شما حدس بزنید که دفتر این شبکه خبری در کجا قرار داشت!
John Allen Paulos استاد ریاضیات در دانشگاه Temple در فیلادلفیا عدم درک عموم نسبت به اعداد و خطر را در مطالعه خودش با عنوان «بی سوادی ریاضی و پیامدهای آن» توضیح داده است. یکی از مسایلی که وی درباره آنها بحث میکند این است که مردم چگونه رویدادها را شخصی سازی میکنند، فراموش میکنند که گاهی وقت ها به هر حال اتفاق های بد و ناخوشایند رخ میدهند و ضربالمثل «اتفاقه دیگه! پیش میاد[1]!» درست است. ارتباط بین «بی سوادی ریاضی» و «شبهعلم[2]» یکی از قویترین موضوع های مورد بحث Allen است. اگر ما واقعاً درباره وقایع، منطقی فکر میکردیم کلاهبرداریهای بازار سهام، بازاریابی هرمی و پیشگویان به تاریخ میپیوستند. اگر واقعاً ما منطقی فکر میکردیم، درک خطر مشکل مهمی تلقی نمیشد.
یکی از عوامل مهم در درک خطر به بحث کنترل ارتباط دارد. درک خطر فراتر از آمار و اعداد است. اگر خطری خارجی و بیگانه باشد (یعنی ناآشنا و احتمالاً عجیب باشد) و اگر فردی که با خطر روبرو است حس کند کنترل شرایط را در دست ندارد، بیشتر خطر را حس میکند. به عنوان مثال اگر شما قرار بود تا نیمههای شب در مهمانی حضور داشته باشید که فاصله زیادی تا منزل شما دارد، وقتی قصد برگشتن به خانه را دارید بیشتر افراد این طور فکر میکنند که برگشتن با خودرو و رانندگی، ایمنتر از پیاده رفتن است.
ترس از مورد حمله واقع شدن و کتک کاری باعث میشود که بسیاری از مردم (به خصوص خانمها) برگشتن با خودرو را ترجیح دهند. واقعیت این است که رانندگی با خودرو در هر زمانی خطرناکترین کاری است که یک فرد بزرگسال میتواند انجام دهد. این واقعیت که کتک کاری و مورد حمله واقع شدن یک خطر بیرونی است موجب میشود که این خطر جدیتر به نظر برسد.
جدول زیر نشان میدهد که چطور ممکن است برخی تصورات افراد در درک خطر اختلال ایجاد کند.
کم خطرتر | پرخطرتر |
مزمن | حاد |
قابل کنترل | غیرقابل کنترل |
تحت کنترل شخص | تحت کنترل دیگران |
قابل شناسایی | غیرقابل شناسایی |
زمان و مکانهای متفاوت | زمان و مکان متمرکز |
عادلانه | ناعادلانه |
آشنا | ناآشنا |
فوری | تأخیری |
طبیعی | مصنوعی |
داوطلبانه و ارادی | غیرارادی |
مزمن – حاد
اگر یک وضعیت پزشکی مزمن باشد (یعنی شرایطی که به مرور زمان ایجاد شده، مثل دیابت یا بیماری قلبی)، در این صورت این بیماری چشمگیر به نظر نمیرسد و مثل شرایط حاد در نظر گرفته نمیشود (وضعیتی که ناگهانی ایجاد میشود، مثل ویروس ابولا یا تصادف با خودرو). اگر 10 هزار فردی که هر سال به دلیل بیماریهای ناشی از مصرف سیگار جان خود را از دست میدهند، ساعت 1 عصر دهم اردیبهشت در میدان آزادی تهران جان خود را از دست میدادند، در این صورت عکسالعملها نسبت به این موضوع بسیار منفیتر بود و سعی میشد بلافاصله اقدامی برای مقابله با آن صورت گیرد.
این واقعیت که بیشتر مرگ و میرهای ناشی از مصرف سیگار مربوط به شرایط مزمن هستند و هر یک از این مرگ و میرها در زمان و مکان متفاوتی رخ میدهد باعث کاهش تأثیر این شرایط میشود. هر مرگ، یک تراژدی است اما هیچ مرگ و میری در رسانهها منتشر نمیشود مگر این که قربانی آن یک فرد مشهور باشد.
بیشتر مرگ و میرها مزمن هستند اما مرگ و میرهای حاد و فوری در خبرها منتشر میشوند.
در حوزه امنیت اطلاعات، مسایل مزمن معمولاً به مشکلات زیرساختی و ساختاری مرتبط هستند مثل طراحی ضعیف سیستمها، رویههای نامناسب یا آموزش نادرست و نامناسب کارمندان. مقابله با این موارد به دلایل مختلفی سخت است از جمله این که اعتراف به وجود چنین مشکلاتی نشان دهنده مقصر بودن یک شخص است. هرگز قدرت خجالت زده شدن اشخاص را نادیده نگیرید.
میتوان به راحتی مسأله شرایط حاد و مزمن را به حوزه امنیت اطلاعات ارتباط داد. مردم بیشتر تمایل دارند که بر مشکلات حاد تمرکز کنند (به ویژه اگر این مسایل خارجی، بیگانه یا تحت کنترل دیگران در نظر گرفته شوند). چنین مشکلاتی میتوانند شامل آلودگی به ویروسهای رایانه ای، هک و جاسوسی صنعتی باشند. یک نمونه از خطرات مزمن، درجه اعتمادی است که خیلی از شرکت ها نسبت به افرادی دارند که سیستمها را از ابتدا و از صفر توسعه دادهاند.
مثالهای مختلفی از افرادی که به عنوان طراح، برنامه نویس، اپراتور و مسئول یک برنامه کاربردی مهم بودهاند مشاهده کردهام. در هیچ کدام از این موارد، آن شخص مستندات معناداری ارایه نمیکرد. این سازمانها خودشان را در معرض خطرات قابل توجهی قرار میدهند. اگر این فرد کارش را ترک کند، بیمار شده یا فوت کند چنین برنامه کاربردی مهمی که برای ادامه فعالیت آن کسب و کار حیاتی است بدون پشتیبانی باقی میماند و ممکن است اتفاق های فاجعه باری رخ دهد. همچنین شخصی که چنین برنامه کاربردی را توسعه داده و نگهداری میکند در موقعیتی قرار دارد که میتواند به روشهای مختلف از آن شرکت کلاهبرداری و اخاذی کند. چنین فعالیتهایی میتواند شامل اختلاس یا اخاذی و سایر فعالیتهای مشابه باشد. خطری که چنین فردی ایجاد میکند، بیشتر مزمن است تا حاد. در بسیاری از موارد سازمانها تصمیم میگیرند برای پیشگیری از رنجیدن آن شخص این خطر را نادیده بگیرند. اگر این خطر برای سازمان مثل خطرات بیرونی و خارجی تلقی میشد، سازمان از پذیرش آن خودداری میکرد.
خشم اخلاقی
یکی از عمومیترین شیوهها برای نمایش نحوه ادراک و واکنش نشان دادن در مقابل خطر روشی است که جامعه شناسان و روانشناسان به آن «خشم اخلاقی» میگویند. این بیماری در صنعت روزنامه نگاری انگلیس به خوبی درک شده است (برخی از روزنامهها به ایجاد چنین خشمی علاقه دارند) و معمولاً این روش برای به دست آوردن امتیازهای سیاسی یا افزایش تیراژ استفاده میشود. این گروه بیشتر بر روی مسایل مرتبط با سلامت، مثل واکسن سه گانه MMR و BSE تمرکز میکنند.
مثال واکسن MMR (سرخک، سرخچه و اوریون) حادتر است. اخیراً گزارشی در انگلستان منتشر شد که اعلام میکرد بین MMR و اوتیسم در کودکان ارتباط وجود دارد. این تحقیق بر اساس پیدا شدن آنتی بادیهای مختلف در روده کودکان مبتلا به اوتیسم انجام گرفت. این گزارش شامل داستانهای مختلف (و ناراحت کننده) از کودکانی بود که بعد از دریافت این واکسن، مبتلا به اوتیسم شده بودند. در نتیجه، کاهش چشمگیری در تزریق این واکسن رخ داد. این الگو با وجود انتشار چندین گزارش که نتایج تحقیق اولیه را رد میکردند، همچنان ادامه پیدا کرد. نتایج این تحقیق به میزان زیادی مورد شک بود زیرا حامی مالی آن سازمانی بود که سرمایه گذاری زیادی صرف این موضوع کرده بود. تعداد کودکانی که این واکسن را دریافت نکردند به میزانی زیاد شد که شرایط را برای همه گیر شدن بیماریهایی که MMR جهت پیشگیری از آنها طراحی شده بود فراهم کرد. آمار پیش بینی شده برای مرگ و میر در اثر این بیماری و عوارض جانبی این بیماریها بسیار بیشتر از تعداد کودکانی بود که (حتی طبق تحقیق اصلی) ممکن بود دچار اوتیسم شوند. این خشم و برافروختگی اخلاقی اثراتی واقعی داشت و ممکن است در آینده نزدیک برای خیلی از کودکان پیامدهای فاجعه باری داشته باشد.
موضوع مورد نظر میتواند باعث ایجاد ترس و وحشت شود و اغلب وقت ها یک کمپین برای آن اجرا میشود (که معمولاً توسط یک اقلیت فوق العاده پرصدا از جانب یک اکثریت خاموش و ساکت برگزار میشود). معمولاً در حدی به این موضوع ها توجه میشود که نسبت به هر خطر یا تهدید واقعی بیشتر است. این پدیده میتواند منجر به تغییر ارتباطات بین کلمات شود. به عنوان مثال توجه کنید که در حال حاضر در کشورهایی مثل انگلیس و آمریکا به جای این که پناه جویان به عنوان افراد مظلوم رنج کشیده از استبداد در نظر گرفته شوند، افراد فریبکار و راحت طلبی دیده میشوند که به دنبال زندگی آسان هستند.
حوزه امنیت اطلاعات هم از چنین طغیان خشمی رنج میبرد. شهرت و آوازه بیش از حد ویروس نویسان بلغاری، جوانان اسکریپت نویس و Fluffy Bunny و Cult of the Dead Cow (دو سازمان هکری) نمونههایی از این پدیده هستند. یکی از مثالهای مشهور این موضوع در استرالیا رخ داد و مربوط به یک رویداد هک بود که بر یک شرکت تولید لوازم الکترونیکی تأثیر گذاشت. پوشش خبری صورت گرفته برای این رویداد، 10 برابر بیشتر از اتفاقی بود که در اثر نشستن یک گونه پرنده (باکلان) روی برخی خطوط برق ایجاد شد. آسیب ایجاد شده توسط این پرنده 20 تا 30 برابر بیشتر از آسیبهای ایجاد شده توسط یک هکر بود. از آنجایی که رویداد اول مثل دومی یک رویداد ناشی از جبر طبیعت تلقی نمیشد، توجه بیشتری به آن جلب شد.
همین شرایط در رابطه با برداشت نامریی پول از خودپردازها[3] هم مشاهده میشود هرچند تقریباً تمام چنین رویدادهایی ناشی از اشتباه دارنده کارت یا کلاهبرداریهای جزیی است که توسط یکی از اعضای خانواده وی صورت میگیرد. همچنین وقتی کلاهبرداریهایی انجام میشود شاهد مطرح شدن عبارت های نامعقولی مثل «آیا اینترنت محل امنی است؟» از سوی خبرنگاران تلویزیونی هستیم. واقعیت این است که زمان و پول زیادی صرف مقابله با ترس ایجاد شده توسط این اقدام ها میشود که از آنچه برای مقابله با خطرات واقعی لازم است، بسیار بیشتر است. سعی کنید تحت تأثیر چنین شایعاتی قرار نگیرید و البته خود شما هم آغازگر چنین شایعاتی نباشید.
امنیت اطلاعات هم مثل هر حوزه دیگری در معرض اتفاق ها و گرایش های زودگذر قرار دارد و به همین دلیل ممکن است در این حوزه هم شاهد بروز خشم اخلاقی باشیم. مد و گرایش ها میتوانند بر راهکارها و خطرات تأثیرگذار باشند. تا سالها تصور میشد که زیرساخت کلید عمومی[4] (PKI) راه حل ایده آلی برای تمام مسایل امنیتی است. در ادامه، توجه شما را به نقل قولی از مقاله Carl Ellison و Bruce Schneier تحت عنوان «آنچه که درباره زیرساخت کلید عمومی به شما گفته نشده است» جلب میکنیم (مجله Computer Security، 16/1/2000):
«امنیت رایانه ای قربانی بیماری «سالِ …» شده است. اول، فایروال بود بعد سیستمهای تشخیص نفوذ، سپس ویپیان و حالا مرجع صدور گواهی دیجیتال[5] (CA) و زیرساخت کلید عمومی. در تبلیغات محصولات امنیتی گفته میشود که اگر X را بخرید، ایمن خواهید بود اما واقعیت به این سادگی ها هم نیست؛ به ویژه که این موضوع برای PKI هم صدق میکند».
محصولات بسیاری هستند که به عنوان یک چوب جادو تبلیغ میشوند. مدتی قرار بود کارتهای هوشمند ناجی جهان باشند. این قضیه حدود 15 سال ادامه داشت تا بالاخره راهکاری برای کارتهای هوشمند تهیه شد که افراد تمایل به پرداخت هزینه برای تهیه آن داشته باشند. زمان، تلاش و هزینه زیادی صرف راهکارهای مد روز میشود (از جمله آگاهی بخشی). سعی کنید از این هیجان ها به دور باشید، پول خودتان را دور نریزید و به چیزهایی پایبند باشید که واقعاً مهم هستند.
پراکندگی در زمان و مکانهای مختلف – متمرکز بودن در یک زمان و مکان
در حوزه تداوم کسب و کار بخشی به نام «بازیابی از فاجعه» وجود دارد. برنامه ریزی برای فاجعه کار معقولی است زیرا بالاخره فاجعه اتفاق میافتد. سناریوی پرکاربرد «سقوط هواپیما بر روی ساختمان» که زمانی به عنوان یک مثال خاص و افراطی در نظر گرفته میشد، بعد از حادثه 11 سپتامبر برای مردم بسیار آشنا است. در حادثه سقوط هواپیمای British Midland 737 در فرودگاه East Midlands در نزدیکی شهر Kegworth در انگلستان، مرکز داده بانک از بین رفت و 46 مسافر هواپیما نیز جان خود را از دست دادند.
تمرکز بر فجایع، کار آسانی است اما به باور من رویدادهایی که در زمان و مکانهای مختلف رخ میدهند این پتانسیل را دارند که آسیب فوق العاده چشمگیری به بار آورند. یک نمونه از چنین رویدادهایی خطا در محاسبات سالیانه یک بیمه عمر 25 ساله است. هر کدام از این رویدادها به تنهایی کوچک هستند اما این خطاها به مرور زمان تجمیع میشود. از آنجایی که این رویدادها اغلب کوچک هستند معمولاً گزارش داده نمیشوند. از آنجا که گزارش نمیشوند هزینه آنها هم برآورد نمیشود و از آنجایی که هزینه آنها برآورد نمیشود، عده کمی از وقوع آنها اطلاع دارند؛ اگرچه ممکن است اثر تجمیعی آنها بسیار زیاد باشد.
مثال بعدی، نقص پیوسته اما شناسایی نشده در یک رویه پشتیبان گیری است که جهت محافظت از یک مرکز داده بزرگ طراحی شده است. هر نقص کوچک تأثیر اندکی دارد ولی در صورتی که نیاز به بازیابی کامل مرکز داده از روی نسخه پشتیبان وجود داشته باشد تجمیع این خطاها میتواند ویرانگر باشد. ممکن است رویدادی که باعث نیاز به بازیابی مرکز داده میشود، یک رویداد حاد باشد مثل سیل اما آسیب اصلی در اثر نقص مزمن در پشتیبان گیری ایجاد شده است.
یک مثال دیگر از رویدادهای پراکنده در زمان و مکان، نقص دیسک لپ تاپ است. معمولاً به ندرت از اطلاعات روی لپ تاپها پشتیبان گیری میشود. ارزیابی چنین رویدادهایی به خصوص در بین تعداد بسیار زیادی نیروی کار متحرک کار سختی است و در عین حال خطری جدی برای اطلاعات محسوب میشود. لپ تاپها در معرض خطراتی مثل سرقت قرار دارند که نه تنها موجب ایجاد خسارت های مستقیم میشود (در حال حاضر یک لپتاپ خوب حدوداً بیش از 2 هزار پوند انگلیس قیمت دارد) بلکه هزینه از دست رفتن اطلاعات و بازیابی آنها هم وجود دارد.
با فراگیر شدن فناوریهایی مثل PDA این مشکل بیشتر هم میشود. رقمی که در سال 2004 برای خسارت های ناشی از سرقت یا گم شدن لپ تاپها در سازمانی با حدود 25 هزار کارمند در انگلیس گفته شده بود، حدود 1 میلیون پوند در سال بود. این رقم فقط برای سخت افزار بود. مشکل کلی هیچ وقت مورد بررسی قرار نگرفت چون هر گم شدن یا سرقت فقط با توجه به شرایط بخشی از سازمان که سرقت از آن صورت گرفته بود مورد بررسی قرار گرفت. تنها زمانی که این اعداد و ارقام جمع شدند محدوده واقعی خسارت ها برآورد شده و با مشکل مقابله شد. این کار از طریق انجام اقدام های زیر صورت گرفت:
- متمرکز کردن خرید (که باعث شد امکان دریافت تخفیف چشمگیری فراهم شود.)
- ایجاد یک دفتر ثبت برای سخت افزارها
- مسئول شناختن کارمندان برای سخت افزارهایی که در اختیارشان است (و توضیح دادن مسئولیتهایشان به آنها).
- دریافت امضا از افراد در هنگام تحویل گرفتن تجهیزات
- علامت گذاشتن بر روی تجهیزات با استفاده از جوهر ماورای بنفشی که مالکیت آنها را مشخص میکند.
- قرار دادن برچسبهایی روی لپتاپها با مضمون «این لپتاپ متعلق به شرکت XXX و شماره این دارایی nnn است».
آشنا – ناآشنا
آشنایی داشتن باعث کوچک شمردن میشود اما تا به حال چند بار برای شما پیش آمده کاری را متقبل شوید که در ابتدا سخت و دشوار به نظر میرسیده ولی بعداً مشخص شده که این کار از آنچه تصور میکردید آسانتر بوده است و فقط اضطراب این که قبلاً هیچ وقت آن کار را انجام نداده بودید، باعث ترس شما شده است. این موضوع در رابطه با درک خطر هم صدق میکند. ما از هکرها میترسیم اما از افرادی که در بخش پشتیبانی فناوری اطلاعات کار میکنند و آنها را میشناسیم ترسی نداریم.
چنین ترسی ذاتی، درونی و کاملاً قابل درک است. نقطه ضعف این سازوکار بقا (ریشه بیشتر احساسات و عواطف درونی به سازوکارهای بقای داخلی ما برمیگردد) این است که میتواند موجب شود افراد در هنگام مقابله با خطرات تهدید کننده امنیت اطلاعات، عکسالعمل نامناسبی از خود نشان دهند. معمولاً با خطرات ناشناس، بیگانه و بیرونی با انرژی و قدرت بیشتری مقابله میشود تا خطرات نسبتاً آشنا، حتی اگر پتانسیل آسیب رساندن این خطرات آشنا بیشتر باشد.
میزان درک و آشنایی با خطر به مرور زمان تغییر میکند. پس از حادثه 11 سپتامبر آمریکا مسافران هواپیما نسبت به انتظار در فرودگاهها صبر و طاقت بیشتری پیدا کردند. تجربهای که من از سفر در خطوط هوایی داخلی آمریکا داشتم برای من بیشتر یادآور مسافرت با اتوبوس یا قطار در انگلیس بود از این جهت که بازرسیها در حداقل میزان ممکن قرار داشتند و زمان سوار کردن مسافران کوتاه بود. صبر و بردباری مردم در مقابل افزایش بازرسیهای امنیتی پس از حادثه 11 سپتامبر در خطوط هوایی داخلی آمریکا قابل درک بود. همچنین کاهش تدریجی این صبر و بردباری هم قابل درک بود. یکی از مفسران، این شرایط را به صورت زیر توصیف میکند:
«ناگهان اعضای گارد ملی بیشتر شبیه به جوان 22 سالهای به نظر میرسیدند که فقط 45 دقیقه با اسلحه M-16 آموزش دیدهاند».
حس امنیت فراهم شده توسط افرادی که به شدت مجهز شده باشند، به تدریح کاهش مییابد. اروپاییها چندان متوجه افزایش امنیت در فرودگاههای بین المللی نشدند زیرا بیشتر آنها به آن عادت کردهاند.
سازوکارهای بقا
ما انسانها چندین سازوکار داخلی داریم که برای کمک به بقای ما طراحی شدهاند. شناخته شدهترین این سازوکارها عکسالعملی با عنوان «یا فرار یا مبارزه» است. این عکسالعمل باعث میشود که خون از اندامهای داخلی به سمت اندامهای تحتانی و خارجی حرکت کند (جهت سوخت رسانی به ماهیچهها). هورمونها و مواد شیمیایی دیگری هم آزاد میشوند تا آستانه تحمل درد را افزایش دهند.
بدن شروع به تعریق میکند و هضم و گوارش متوقف میشود. متأسفانه خطراتی که این روزها باعث ایجاد چنین عکسالعملهایی میشوند (دعوا با رئیس، ترافیک شدید و غیره) به فرار یا مبارزه مرتبط نیستند و بنابراین این واکنش هدر میرود. از آنجایی که ما در این شرایط فرار یا مبارزه نمیکنیم این واکنش منجر به آسیب رسیدن به بدن ما میشود (افزایش فشار خون، زخم معده، مشکلات قلبی و غیره) و به هیچ وجه برای ما خوب نیست.
ما قادر به نادیده گرفتن این عکسالعمل نیستیم؛ این عکسالعمل درونی و ذاتی است. ترس و تردید ما نسبت به ناشناختهها یکی از چنین سازوکارهایی است و از آنجایی که ما سعی داریم در زمینه خطر و امنیت، عکسالعمل و اطلاعرسانی مناسبی داشته باشیم باید این موضوع را قبول کنیم.
باید دقت داشت که کاهش سطح خطر یا امنیت حس شده بعد از یک دوره افزایشی معمولاً اهمیت زیادی دارد، به ویژه اگر اتفاق خاصی رخ نداده باشد. ممکن است انجام این کار موجب این تصور شود که توابع امنیتی در حال گوش کردن و فکر کردن هستند. افزایش مستمر و پیوسته سطح امنیت باعث ایجاد بی احترامی میشود.
یک نمونه از این بی احترامیها، بازرسی محتوای ایمیل بود. حدوداً در اواخر دهه 90 میلادی شاهد افزایش نگرانیها در رابطه با تأثیرات بالقوه این موضوع بر شرکتهایی بودیم که ایمیلهای سازمانی آنها حاوی زبان نامناسب و محتوای توهین آمیز بود. دلیل این نگرانی ترس از دادخواهی قضایی و آسیب رسیدن به برند سازمان بود. عکسالعمل اولیه نصب نرم افزاری بود که محتوای ایمیل را بررسی کرده و ایمیلهایی که محتوای آنها نامناسب به نظر میرسید را مسدود میکرد. سیستمهای اولیه ساده بودند و معمولاً به جای مرتب کردن پیامها جهت تحلیل بیشتر، آنها را حذف میکردند. معمولاً مدیران امنیت کلماتی را انتخاب کرده و آنها را مسدود می کردند.
یک مثال دیگر از تأثیر آشنایی بر مدیریت امنیت، دیدگاه و درک مدیران امنیت نسبت به سطح خطر است. سالها پیش من برای حدود 18 ماه در بخش مسکن شورای شهر کار میکردم. کار من جمع آوری کرایههای معوقه بود که گاهی وقت ها منجر به اخراج مستأجرین میشد. یک روز یکی از مدیران ارشد از من پرسید به نظر من چه درصدی از مستأجرین بدهی معوقه دارند؟ من هم رقم 15 درصد را اعلام کردم اما رقم واقعی 2 درصد بود (که در انگلستان جزو بهترین ارقام و آمار محسوب میشد). ارتباط نزدیک من با این موضوع باعث شده بود که من در اعلام این اعداد و ارقام اغراق کنم. به همین دلیل است که مدیران امنیت اطلاعات حضور هکرها را در همه جا حس میکنند. این پدیده با نیاز به کاهش کنترلها پس از عبور از یک خطر یا اغراق آمیز به نظر رسیدن عکسالعمل اولیه نسبت به یک خطر در ارتباط است.
اغلب مواقع کارشناسان امنیت اطلاعات از تأثیر تصورات و ادراکات خودشان بر خطر چشم پوشی میکنند. Anne Adams و Angela Sasse از کالج دانشگاهی لندن این استدلال را مطرح کردهاند که لو رفتن تصادفی رمزهای عبور توسط کاربران تا حدی نتیجه غفلت و شیوههای نادرست پیاده سازی کنترلها است که این امر ناشی از دیدگاه خاص مدیران امنیت اطلاعات نسبت به خطر و تهدید است.
Adams و Sasse یک نظرسنجی مبتنی بر پرسش نامه تهیه کردهاند تا اطلاعات کاربران در رابطه با رفتار و درک آنها نسبت به رمز عبور و استفاده از آن را مشخص کنند. نتایج این نظرسنجی منجر به آشکار شدن چند نکته مهم شد، از جمله:
- الزام به حفظ کردن رمزهای عبور متفاوت برای سیستمهای مختلف کار سختی است و منجر به انتخاب رمزهای عبور ضعیف میشود. مفهوم بهترین روش (یا روشهای توصیه شده) که برای مدیران امنیت اطلاعات مفهوم آشنایی است معمولاً غیرکاربردی است. کاربران انتخاب رمزهای عبور را تحت کنترل فرایندی میدانند که بر آنها تحمیل شده است. ممکن است یکی از نتایج این شرایط نوشتن رمزهای عبور توسط کاربران باشد.
- بسیاری از کاربران تصور میکنند که استفاده از اطلاعات شخصی (مثل نام همسر، شماره پلاک خودرو و غیره) روش خوبی باشد؛ طرز فکری که بسیاری از کارشناسان امنیت آن را قبول ندارند. وقتی فرایندهایی جهت جلوگیری از استفاده مجدد از رمز عبور و به کار بردن رمزهای عبور ضعیف تعیین شود، ممکن است این فرایندها منجر به کاهش امنیت شوند زیرا باعث میشوند که بیشتر کاربران رمزهای عبورشان را بنویسند.
این فرایند تأثیر دیگری هم بر امنیت دارد که بررسی کمیت آن کار سختی است و پتانسیل زیادی برای آسیب رساندن دارد. اعتبار امنیت و توجه نسبت به آن کاهش پیدا میکند زیرا کاربران به این نتیجه میرسند که برای رسیدن به کارهایشان باید کنترلهای امنیتی ظاهراً عقلانی را دور بزنند.
سایر نتایج این مطالعه هم قابل توجه هستند. از جمله برجستهترین نتایج این است که معمولاً کاربران اطلاع کافی درباره مسایل امنیتی ندارند از این جهت که آنها باید «مدل خاص خودشان را درباره خطرات امنیتی و اهمیت امنیت بسازند و اینها اغلب مواقع بسیار نادرست هستند». کاربران بر این باورند که برخی سیستمها و اطلاعات خاص مهم هستند (مثل منابع انسانی و اطلاعات کارمندان) اما سایر دارایی ها که ممکن است در صورت به خطر افتادن آنها آسیبهای جبرانناپذیری ایجاد شود را نادیده میگیرند.
نتیجه چنین شرایطی این است که کاربران یا به دلیل ندانستن اهمیت سیستمها یا به دلیل این که آن سیستمها را بیاهمیت تلقی میکنند، موجب به خطر افتادن آنها میشوند. Adams و Sasse مفهوم «نیاز به دانستن» را تا حدی بی اهمیت تلقی میکنند از این جهت که در بسیاری از شرایط (شاید خارج از محیط هایی مثل محیط های دولتی و نظامی) باعث کاهش امنیت میشود. تصور و ادراکات خاص کارشناسان امنیت، ریشه چنین مشکلاتی تلقی میشود و این شرایط، ناشی از آشنایی با آنچه «بهترین روش» خوانده میشود، است.
رواشناسی خطر یا «چرا افراد کارهای احمقانه انجام میدهند؟»
تا به حال چند بار از خودتان سؤال کرده اید که به چه دلیل این کار را انجام دادم؟ چرا رانندگان قطار از چراغ قرمز عبور میکنند؟ چرا برخی مواقع خلبانها به چپ میپیچند در حالی که به وضوح به آنها اعلام شده که باید به سمت راست بپیچند؟
رفتارهای به ظاهر غیرقابل توجیه، دلایلی دارند که بیشتر آنها ریشه در روانشناسی اجتماعی دارند.
– سازوکارهای دفاعی
ذهن انسان در تنظیم و ایجاد سازوکارهای دفاعی در مقابل رویدادهای عذاب آور بسیار خوب عمل میکند که به این پدیده، «دنبال کردن آرامش خاطر» (وضعیتی که بسیاری از افراد آن را خوشایند حس میکنند) گفته میشود. این وضعیت میتواند به روشهای مختلف نمود پیدا کند از موضوع های کوچکی مثل مخفی کردن قبضهای ترسناک پشت ساعت گرفته تا موضوع های بزرگی مثل فاصله گرفتن از شرایط مرگبار مختلف، شبیه آنها در جنگ جهانی اول درباره بسیاری از سران نظامی مشاهده شد.
Norman Dixon در نوشته خودش با عنوان «روانشناسی بی کفایتی نظامی» به خوبی توضیح داده که چطور ممکن است این سازوکارهای دفاعی به حدی برسند که باعث شوند سران ارشد نظامی، پشت خطوط دفاعی پنهان شوند (در دنیای فیزیکی چندین کیلومتر پشت خطوط دفاعی!) و احمقانهترین، غیرقابل تصورترین و به ظاهر ابلهانهترین تصمیم ها را در جنگ بگیرند.
Dixon در کتاب مرتبط دیگری تحت عنوان «بدترین دشمن ما» مینویسد دو جنبه از روانشناسی انسانی در ایجاد این آرامش خاطر نقش دارند. این دو شامل «توجه انتخابی» و «سیستم سیگنالینگ عاطفی[6]» (ASS) هستند. توجه انتخابی ابزاری است که افراد میتوانند با استفاده از آن به دنبال چیزهای بسیار خاصی باشند مثل آب، غذا و همسر آینده. این موضوع به خوبی در نحوه خرید آقایان در سوپر مارکتها مشهود است؛ آقاین بسیار متمرکزتر از خانمها هستند، شاید به این دلیل که توجه انتخابی آنها کاملتر است. آنها وارد فروشگاه شده، آنچه که به دنبالش هستند را انتخاب کرده و همه اقلام دیگر را نادیده میگیرند و از فروشگاه خارج میشوند.
سیگنالینگ عاطفی، پایه و اساس اصطلاحی با عنوان «اختلال عاطفی» است. اختلال های عاطفی الگوهای رفتاری هستند که در اثر نقص این سیستم و ایجاد اثرات نامطلوب به وجود میآیند. از ASS جهت ایجاد محرکهایی برای برآورده شدن یک نیاز استفاده شده (همین سیستم باعث ایجاد حس گرسنگی در هنگام نیاز به غذا میشود) و سپس سیگنال دیگری برای توقف این رفتار ارسال میشود (این سازوکار موجب میشود که وقتی به اندازه کافی غذا خوردید، خوردن غذا برای شما ناخوشایند باشد). این سیستم بسیار پیچیده است و نقص آن میتواند باعث وقوع رویدادهای غیرمنتظره و ناخواستهای شود؛ از پرخوری گرفته تا قتل. یکی از اثرات چنین نقصی توسعه سازوکارهای دفاعی مثل سرکوب، انکار، رفتار عقلانی، انزوا و برنامهریزی است.
تأثیرات چنین سازوکارهای دفاعی برای مسئولین حوزه امنیت اطلاعات بسیار مشهود است. به عنوان مثال عده زیادی تصور میکنند امکان وقوع اتفاق های فاجعه بار (برای خودشان) وجود ندارد و با بیان عبارت هایی مثل «قبلاً هرگز چنین اتفاقی در اینجا رخ نداده» سعی به عقلانی نشان دادن آن میکنند با این وجود که قبلاً شواهد تجربی کافی را مشاهده کردهاند که نشان میداده بالاخره چنین اتفاقی رخ خواهد داد. «تیراندازی به سمت پیام رسان» یک تجلی دیگر از این سازوکارهای دفاعی است که در آن سعی میشود حس عصبانیت متوجه فردی شود که مستقیماً در ماجرا دخالتی ندارد. یکی از نتایج چنین رفتاری شکل گیری یک سازمان غیرسالم است و میتواند باعث کاهش امنیت و همچنین کاهش انگیزه گزارش دادن رویدادها شود.
دنبال کردن آرامش خاطر میتواند تأثیرات قابل توجهی بر فرایند تصمیم گیری داشته باشد. مردم در هنگام رویارویی با خروجیهای مختلف اغلب تصمیم به انتخاب خروجی میگیرند که کمترین خطر را داشته باشد حتی وقتی شواهد بیشتر به نفع گزینههای کمتر خوشایند باشد. این عامل میتواند بر درک خطر و تصمیم گیری (و حتی حافظه) تأثیرگذار باشد. بسیاری از این عوامل با کاهش شدید صلاحیت همراه شده و باعث میشوند کار اعمال کنترلهای مناسب و متقاعد کردن افراد به اعمال کنترلهای مناسب فوق العاده دشوار شود.
حافظه
حافظه انتخابی (که اغلب حاصل سازوکارهای دفاعی است) منجر به ایجاد مشکلاتی در دو حوزه برای ما میشود: اولی به آرامش خاطر و دیگری به «ذهنیت غایب» مربوط است. دلیل این که افراد، بیشتر مواقع فراموشکار (و ظاهراً ابله) به نظر میرسند این است که ظرفیت محدودی برای حفظ اطلاعات دارند. این مسأله به خوبی شناخته شده است که خیلی از مردم در درک و تحلیل اطلاعات در هنگام انجام کارهای پیچیده دچار مشکل میشوند. به همین دلیل است که استفاده از گوشی تلفن همراه در هنگام رانندگی خطرناک است (حتی در صورت استفاده از هندزفری).
یکی از عوامل مهمی که میتواند بر حافظه تأثیرگذار باشد، استرس است. انسانها وقتی تحت استرس قرار میگیرند، به شدت بر کاری که در حال انجام آن هستند متمرکز میشوند، خصوصیتی که در هنگام رویارویی با خطراتی که زندگی یا اندام های بدن آنها را تهدید میکند، بسیار مفید است. ممکن است این ویژگی در هنگام رویارویی با شرایط پیچیده منجر به ایجاد مشکلاتی شود. مثالهای متعدد از سقوط هواپیما با وجود سیستمهای هشدار پیشرفته و کمک رسانهای الکترونیک به خوبی باعث روشن شدن این موضوع شده است.
ممکن است خلبانها روی یک مسأله خاص متمرکز شده و سیگنالهای منتشر شده از سوی منابع دیگر را نادیده بگیرند. این ویژگی موجب محدود شدن آگاهی ما میشود و میتواند باعث شود که انسانهای منطقی، کارهای به ظاهر غیرمنطقی انجام دهند. یکی از وظایف برنامه آگاهی بخشی سعی در مختل کردن این فرایند و تشویق کردن افراد به متوقف شدن (حتی برای یک لحظه) و پرسیدن این سؤال است که آیا شرایطی که در آن دچار شدهاند، از نظر امنیتی مشکل آفرین نیست.
تفکر گروهی
افراد وقتی در گروه قرار دارند، تصمیم های متفاوت با تصمیم های فردی میگیرند. این ویژگی، مسئول بسیاری از اشتباه ها است؛ چه در حوزههای نظامی، پزشکی، فنی یا تجاری. البته منظور این نیست که تمام تصمیم گیریهای گروهی باعث اشتباه میشود، شواهد مختلفی وجود دارد که نشان میدهد گروههای منسجم میتوانند تصمیم های معقول و کاملی بگیرند که افراد تنها قادر به انجام آن نیستند.
Irving Janis یک روانشناس آمریکایی اهل ييل، تفکر گروهی را به صورت زیر تعریف میکند:
«یک شیوه تفکر خاص که افراد وقتی درگیر آن میشوند زمانی است که وارد یک گروه منسجم میشوند که در آن تلاش اعضا برای یکپارچه شدن، بر انگیزه آنها جهت ارزیابی کردن راهکارهای جایگزین غلبه میکند».
به نظر میرسد که این بیماری به جای ارزیابی انتقادی موضوع مورد نظر باعث بیشتر شدن تأکید بر هماهنگی و انسجام میشود. من به شخصه بارها تأثیر چنین تفکر گروهی را مشاهده کرده ام. من متقاعد شدم که این امر به «تأثیر Noddy» مرتبط است. سعی کنید در جلسهای که همه دیدگاه مثبت دارند، «نه» بگویید. اگر تفکر گروهی فعال شده باشد، انجام این کار برای شما بسیار سخت خواهد بود، این طبیعت انسان ها است. بازگو کردن صحبتهای مخالف در یک گروه منسجم کار دشواری است.
تفکر گروهی منجر به فجایع مختلفی شده است: انفجار فضاپیمای چلنجر یکی از آنها است و یورش به عراق در سال 2003 یکی دیگر از آنها.
Janis بر این باور است که تفکر گروهی هشت علامت دارد که عبارتند از:
- توهم آسیب پذیر نبودن
- باور به خلاقیت ذاتی گروه
- عقلانیت جمعی
- کلیشههای خارج از گروه
- خودسانسوری
- توهم یکپارچگی
- فشار مستقیم بر مخالفان
- جبهه گیری ذهنیتی.
روشهای پیشگیری از تفکر گروهی عبارتند از:
- تعیین مسئولیت تصمیم های مختلف برای افراد
- انتخاب شخصی (از قبل) که نقش حامی بدی را بر عهده دارد. این امر باعث کاهش حس عدم راحتی در بیان مخالفت میشود و موجب ایجاد این اطمینان میشود که نقایص به درستی مطرح میشوند.
- ایجاد کانالهای ناشناس برای اظهارنظر (مثلاً صندوق انتقادها و پیشنهادها یا نظرسنجی درباره نگرش افراد).
اثر Noddy
این تأثیر در ملاقاتهایی که در آن تفکر گروهی صورت میگیرد، رخ میدهد. وقتی یک نفر شروع به اقدام به روشی میکند که مورد تأیید سایرین باشد (در این حالت بسیاری از افراد به صورت ناخودآگاه به نشانه تأیید، شروع به تکان دادن سر میکنند)، دیگران به او میپیوندند. قابلیت انسان در تشخیص و واکنش نشان دادن به کوچک ترین سیگنالهای نیمه خودآگاه، فوق العاده است. خودتان امتحان کنید! در جلسهها وقتی یک تصمیم مثبت از سوی یکی از شرکت کنندگان پیشنهاد میشود، سرتان را تکان دهید. دیگران هم از شما پیروی کرده و به آرامی سرشان را تکان میدهند به خصوص اگر نگاه شما به آنها باشد. این تأثیر در کل جلسه منتشر میشود و مخالفت با آن تصمیم مدام سختتر خواهد شد. اگر شما در جلسهای هستید که هدف آن اتخاذ تصمیم های مبتنی بر ریسک است (مثل توافق درباره یک راهکار آگاهی بخشی) مطمئن شوید که این تفکر گروهی فعال نمیشود. در اسرع وقت با اثر Noddy مقابله کنید.
طرز تفکر کاربران
حالا که مشخص شد استانداردها، روشهای توصیه شده و دیدگاههای کارشناسان بر اهمیت آگاهی بخشی تأکید دارند باید به یک مشکل خاص پرداخت. ما به خوبی با طرز تفکر کاربران آشنا نیستیم، اغلب به این دلیل که تفکر ما محدودیتهایی دارد. Sasse، Brostoff و Weirich برای تشریح دیدگاه افراد نسبت به امنیت، 7 مسأله را شناسایی کردهاند که منجر به ایجاد رفتارهای ناخواسته در زمینه استفاده از رمز عبور میشود. این 7 مسأله عبارتند از:
1- مسایل هویتی
افرادی که عادت ها و رفتارهای خوبی در زمینه رمز عبور از خود نشان میدهند، اغلب با عبارت هایی مثل «پارانوئید»، «وسواسی» یا «چنین افرادی هیچ وقت به دیگران اعتماد نمیکنند، حتی خودشان» توصیف میشوند. برخی افراد به این واقعیت که سر رشتهای در امنیت ندارند، افتخار میکنند (من مخ نیستم) یا از قوانین پیروی نمیکنند (من از دستورات پیروی نمیکنم).
2- مسایل اجتماعی
از نظر عده زیادی، به اشتراک گذاشتن رمز عبور با دیگران، نشانه اعتماد به دوستان و همکاران است؛ رمز عبورتان را در اختیار افرادی که به آنها اعتماد دارید، قرار دهید تا دیگران رمز عبورشان را در اختیار شما قرار ندهند و به این ترتیب نشان دهند که اعتمادی به شما ندارند. همین موضوع برای سایر رفتارهای مرتبط با رمز عبور هم صدق میکند، مثل قفل کردن صفحه رایانه وقتی برای چند لحظه آن را ترک میکنید. این رفتار به همکاران و دوستان شما نشان میدهد که به آنها اعتماد ندارید.
3- هیچ شخصی به دنبال هدف گرفتن من نیست.
بیشتر کاربران تصور میکنند دادههای ذخیره شده بر روی سیستم آنها به اندازهای مهم نیست که یک هکر یا جاسوس صنعتی به دنبال هدف گرفتن آنها باشد. به عنوان مثال تصور میشود که هکرها به دنبال هدف گرفتن افراد یا مؤسسه های ثروتمند و مشهور هستند. بعضی کاربران قبول دارند که ممکن است هکرها افرادی مثل آنها را هدف بگیرند، به این دلیل که به یک سیستم بزرگتر رسیده یا از این طریق پیشروی کنند اما مسلماً این موضوع را خیلی محتمل نمیدانند صرفاً به دلیل تعداد کاربرانی که میتوان با این روش هدف گرفت.
4- هکرها نمیتوانند آسیب زیادی ایجاد کنند.
بیشتر کاربران تصور نمیکنند فردی که به حساب کاربری آنها نفوذ میکند قادر به ایجاد آسیبهای جدی برای سازمان یا خود آنها باشد.
5- رویههای کاری غیررسمی
اغلب سازوکارها و مقررات رمز عبور فعلی با رویههای کاری رسمی یا غیررسمی در تناقض هستند (به عنوان مثال اگر مبتلا به بیماری شدید و نمیتوانید در محل کارتان حضور پیدا کنید باید یک نفر از اعضای گروه قادر به دسترسی به حساب کاربری شما و انجام کارهایتان باشد).
6- مسئولیت پذیری
برخی کاربران اطلاع دارند که رفتار آنها با مقررات امنیتی انطباق ندارد اما تصور نمیکنند که مسئولیتی متوجه آنها باشد زیرا قوانین را غیرواقعی و رفتار خودشان را یک عمل و اقدام متداول تلقی میکنند. همچنین این افراد اطلاع دارند که هر چقدر خوب رفتار کنند باز هم همیشه احتمال نفوذ یک هکر به سیستمهای آنها وجود دارد. این افراد همیشه میتوانند ادعا کنند که این رفتار نادرست آنها نبوده که منجر به رخنه شده است.
بعضی کاربران این واقعیت را قبول دارند که اگر فردی حالا به سیستم آنها نفوذ میکند، مسئولیت رفتارهای گذشته متوجه آنها است (به عنوان مثال نوشتن رمز عبور).
7- گرفتاری دو سره
اگر یک سیستم رایانه ای سازوکارهای امنیتی قوی داشته باشد، احتمال هدف گرفتن آن توسط هکری که به دنبال اثبات قابلیتهای خودش است و در نهایت راهی برای نفوذ پیدا میکند، بیشتر خواهد بود. اگر این سیستم امنیت ضعیفی داشته باشد، ممکن است هکرهای مبتدی که سعی میکنند بدون هدف گرفتن یک سیستم خاص به سیستمهای مختلف رخنه کنند، موفق به نفوذ به آن شوند.
به طور مشابه، اگر شما از قوانین پیروی کنید (مثلاً صفحه را قفل کنید) مردم تصور میکنند که شما دادههای آسیب پذیری در رایانه تان دارید و ممکن است بیشتر سعی کنند به آن نفوذ کنند اما اگر از قوانین پیروی نکنید، نفوذ به سیستم برای دیگران آسانتر خواهد بود.
طرح و الگو
یکی از ویژگیهای مهم امنیت اطلاعات این است که میتواند منجر به برانگیختن احساسات شود، حتی گاهی وقت ها هم احساسات قابل توجه. ممکن است مسئولان امنیت اطلاعات متهم به ایجاد قوانین غیرضروری و دست و پاگیر شوند. این شرایط میتواند منجر به دور زدن کنترلهای امنیتی توسط افراد شود در حالی که تصور میکنند کار درستی را انجام میدهند.
این احساسات (که معمولاً خشم است) نتیجه یک تضاد بین طرح مورد استفاده توسط افراد مسئول امنیت و افراد دیگری است که با دیدگاه متفاوتی به آن نگاه میکنند. این طرح، تنها یک دیدگاه نسبت به جهان است و چارچوبی تشکیل میدهد که میتوانیم طبق آن تصمیم هایی سریع اتخاذ کنیم. این طرح به ما کمک میکند که فقط بر چیزهایی متمرکز شویم که برای ما مهم به نظر میرسند و موارد بی اهمیت را نادیده بگیریم و از این جهت به تصمیم گیری سریع کمک میکند.
متأسفانه همانطور که پیش از این بیان شد، طرحهای مورد استفاده توسط افراد مسئول امنیت با آنچه دیگران استفاده میکنند متفاوت هستند. یک مثال از این موضوع در بیشتر محیط های کاری بحث اخلاق کار گروهی است. این امر موجب ایجاد احترام، رفتار متمدنانه و به اشتراک گذاری اطلاعات بین اعضا میشود. یکی از ویژگیهای مهم امنیت فیزیکی در دفاتر فیزیکی این است که باید هر فردی را که کارت پرسنلی مناسب روی لباسش نصب نکرده، به چالش بکشید. برای من به شخصه این کار بسیار سخت بود، احتمالاً به این دلیل که من تمایل دارم با دیگران مهربان باشم. نتیجه این شرایط، برخورد و تضاد بین قوانین و طرحهای رفتاری معمولی است.
مثالی از این موضوع را از یک شرکت به خاطر دارم که در آن اپراتورهای رایانه ای دسترسی به ساختمان دفتر مرکزی را در خارج از ساعات کاری کنترل میکردند. آنها یک سیستم ارتباطی ساده بین در اصلی و مرکز عملیات داشتند و برای تأیید دسترسی افراد باید از مرکز عملیاتی برای باز کردن در به سمت در میرفتند. اپراتورها معمولاً افرادی که میشناختند را تأیید میکردند (خدمه، همکاران و سایر کارمندان). وقتی قادر به شناسایی فردی که تقاضای ورود کرده بود نبودند باید از وی درخواست میکردند که کارت پرسنلی خودش را نشان دهد. یک بار یکی از اعضای هیأت مدیره (که مثل بسیاری از اعضای آن برای کارمندان کاملاً ناآشنا بود) در خارج از ساعات عادی تقاضای دسترسی داشت. دلیل این دسترسی برداشتن یک وسیله غیرکاری از روی میزکارش بود. اپراتور مسئول، وی را نشناخت و البته او کارت پرسنلی هم نداشت (در واقع او هم از جمله افرادی بود که تصور میکنند این قوانین برای آنها نیست). اپراتور از دسترسی وی جلوگیری کرد اما این عضو هیأت مدیره سعی کرد به زور داخل شود و روز بعد سعی کرد اپراتور را اخراج کند هر چند که خوشبختانه نتوانست این کار را انجام دهد. از این رو، الگوی رفتاری اعضای هیأت مدیره با الگوی رفتاری اپراتورها بسیار متفاوت است.
یکی از ویژگیهای مهم یک طرح رفتاری این است که ممکن است افرادی در آن دخیل شوند که اطلاعات ارایه شده برای آنها با اطلاعات طرح خودشان در تناقض باشد به خصوص اگر آنها را در جریان دنبالهای از اطلاعات قرار دهد که طرح خودشان را پشتیبانی میکند. در چنین شرایطی آنها معمولاً طرحهای دیگر را نادیده میگیرند. این پذیرش و رد انتخابی اثرات مختلفی دارد از جمله کاهش قابلیت یادگیری. به نظرم همین ویژگی میتواند دلیلی برای ارتکاب خطا توسط افراد مختلف باشد. وقتی به دنبال تغییر رفتار هستید باید این ویژگیها را در نظر داشته باشید. هر فردی در صورتی که زمان کافی برای هضم اطلاعات داشته باشد میتواند آن را درک کند (و از این طریق دیدگاه خودش نسبت به جهان را تغییر دهد) به این شرط که برای اطلاعات جدیدی که به وی ارایه میشود یک محدودیت وجود داشته باشد. این امر نشان میدهد که تغییر طرز فکر افراد یک رویکرد راهبردی و پایدار است نه یک تغییر تاکتیکی بزرگ و ناگهانی.
برای تغییر این طرحها باید اجزای آنها به صورت فعالانه به چالش کشیده شوند. بهترین راه برای انجام این کار ارایه مثالهای واقع گرایانهای است که مخاطبین واقعی بتوانند به خوبی ارتباط آنها با هر یک از عناصر طرح مورد نظر را درک کنند. برای مقابله با عادت به اشتراک گذاشتن رمز عبور در محیط های اداری میتوان بر محافظت شخصی که افراد در صورت نگه داشتن رمز عبور برای خودشان خواهند داشت تأکید کرد. مردم خطر را به صورت خطی درک نمیکنند و استفاده از مثالها، داستانها و عکس ها بسیار کارآمدتر از ارایه آمار و ارقام است. ما میتوانیم از این ویژگی انسانها به نفع خودمان استفاده کنیم، اگر رسانهها حقایق را تحریف کرده و سعی میکنند از طریق اظهارات وسیع، کلیات و اصطلاح های سنگین طرحهای غیرمفیدی ایجاد کنند، ما هم میتوانیم به آن واکنش نشان دهیم.
اثر تماشاچی
اثر تماشاچی اصطلاحی است که از آن برای توصیف تمایل کمتر یک گروه از افراد برای کمک به فردی که دچار دردسر شده است، در مقایسه با یک فرد تنها استفاده میشود. یک تماشاچی معمولاً حس خجالت داشته، نمیداند چطور کمک کند و در بسیاری مواقع حس عدم مسئولیت دارد. حادثهای که باعث شد یک کار آکادمیک انجام شود که پایه و اساس این اصطلاح را شکل داد، مربوط به قتل یک زن به نام Kitty Genovese در سال 1964 در شهر نیویورک بود. وی به طرز بیرحمانهای در مقابل چشمان مردم کشته شد در حالی که دیگران تماشاچی بودند و کاری برای کمک به او انجام ندادند.
روانشناسان اجتماعی Latane و Darnley درباره این پدیده تحقیق کرده و دلیل این اتفاق را پیدا کردند. آنها توضیح دادند که رفتار «کمک به دیگران» از مدلی پیروی میکند که شامل 5 مرحله میشود:
- توجه به مسأله
- تصمیم گیری درباره اضطراری بودن آن
- قبول مسئولیت
- تصمیم گیری درباره آنچه که باید انجام شود.
- اقدام برای کمک.
این مطالعه به این نتیجه رسید که وقتی فردی دچار دردسر است بهتر است بین یک یا دو نفر قرار داشته باشد تا یک جمع. با افزایش تعداد افراد حاضر، حس مسئولیت کاهش پیدا میکند زیرا افراد حس میکنند فرد دیگری اقدام خواهد کرد.
اگر افراد زیادی در مجاورت یک شخص قرار داشته باشند، حس مسئولیت پذیری کاهش پیدا میکند.
میتوان نتیجه گیریهای مختلفی از این پدیده داشت. مهمترین آنها به گزارش دادن حوادث ارتباط دارد. اگر در زمینه ایجاد حس مسئولیت در افراد موفق نباشیم و اگر آنها حس کنند که میتوانند به نوعی با آن کنار بیایند (این مشکل، مشکل فرد دیگری است) آن حادثه را گزارش نخواهند داد. Douglas Adams (سال 1980) در دومین کتابش از سری «راهنمای مسافران مجانی کهکشان» یک میدان خیالی برای مخفی کردن اشیا از معرض دید توصیف میکند:
«بحث «مشکل دیگران» بسیار سادهتر و کارآمدتر است و ممکن است افراد آن را تا صدها سال ادامه دهند. به این دلیل که این استدلال متکی بر سرشت طبیعی افراد برای ندیدن چیزهایی است که دوست ندارند، انتظار ندارند یا نمیتوانند توضیح بدهند».
رستوران آخر جهان
غارتگران متروی لندن از همین پدیده استفاده میکنند. تاکتیک آنها شروع یک بحث با طرف مقابل با به کار بردن نامهای شخصی است که برای ناظرین این طور به نظر برسد که دو طرف همدیگر را میشناسند. این عامل، احتمال مداخله را به میزان زیادی کاهش میدهد.
خلاصه و جمع بندی
به خاطر داشته باشید که اغلب مواقع افراد از طریق مسیرهای غیرمنطقی و با پایهها و اصول غیرمنطقی به نتیجه میرسند. واقعیت این است که بیشتر وقت ها آنها تصور میکنند که کاملاً منطقی بودهاند. تعجب نکنید، در واقع شما باید انتظار تصمیم های ظاهراً غیرمنطقی را داشته باشید. مردم دخیل در این فرایندها احمق نیستند. آنها صرفاً قربانی ویژگیهای ذاتی خودشان هستند. به خاطر داشته باشید که شما هم همین نقایص داخلی و ذاتی را دارید.
بهتر است به این نکته توجه داشته باشید که مردم موضوع ها را به روشهای متفاوت میبینند. ممکن است آنچه از نظر شما مخاطره آمیز به نظر میرسد از نظر آنها تصادفی باشد. ممکن است آنچه از نظر آنها اقدام درست و خوبی تلقی میشود از نظر شما یک حماقت باشد.
مردم خطرات را به روش خطی یا منطقی محاسبه نمیکنند. عوامل مختلفی بر ادراکات آنها تأثیرگذار است. اگر این موضوع را قبول نکنید، قابلیت شما برای برقراری ارتباطات مؤثر و کارآمد کاهش مییابد.
برقراری ارتباط درباره خطر نیاز به درک و تفکر دارد. در هنگام گفتگو با افراد غیرمتخصص از به کار بردن اصطلاحات فنی خودداری کنید. هر مثالی که در ذهن دارید را به صورتی توضیح دهید که برای آنها قابل درک باشد. تصاویر کلامی میتوانند فوق العاده مفید باشند.
هرگز سعی نکنید مخاطبین خودتان را فریب دهید، آنها متوجه این موضوع شده و از دست رفتن اعتبار شما میتواند اثراتی پایدار و دایمی داشته باشد.
حافظه انسان جایزالخطا است. معمولاً مردم به دلایل مختلف دچار فراموشی میشوند. این امر بر فرایندهای تصمیم گیری و قابلیت آنها برای عکسالعمل نشان دادن جهت تغییر شرایط تأثیرگذار است.
وقتی با تفکر گروهی منفی روبرو میشوید باید هرچه سریعتر با آن مقابله کنید. به خاطر داشته باشید که شما با مخالفتهایی روبرو خواهید شد. دفاع اصلی شما حقیقت است. به حقایق پایبند بمانید و فرضیات طرف مقابل (که واقعیت ندارند) را برای او مشخص کنید.
به خاطر داشته باشید که تغییرات تدریجی نسبت به تغییرات یک باره و ناگهانی تأثیر بیشتری برای ایجاد تغییرات همیشگی دارند. به خصوص این موضوع در صورتی که افراد تحت تأثیر تغییرات در فرایند تغییر دخیل باشند بیشتر صدق میکند.
طرز فکر مخاطبین مورد نظرتان را درک کنید و از آن به عنوان پایه و اساس کارهای خودتان در زمینه آگاهی بخشی استفاده کنید. ما برای تغییر رفتار افراد باید درک کنیم که چرا افراد به یک روش خاص اقدام میکنند. اگر بتوانید طرح و الگوی مخاطبین را تغییر دهید احتمال تغییر رفتار آنها بیشتر خواهد شد.
تلاش ما این است که به افراد کمک کنیم به حالت «هوشیاری منطقی» برسند. شما باید امنیت را به صورت یک حالت و وضعیت منطقی جلوه دهید. هرگز پارانوئید یا غیرمنطقی جلوه نکنید. هرگز روشهایی که از نظر امنیتی ضعیف هستند را مثبت به تصویر نکشید. ممکن است عمل کردن خارج از چارچوب قوانین، کار جذابی به نظر برسد. به ویژه این امر برای مواقعی که چارچوبهای مقرراتی غیرمنطقی به نظر میرسند، صدق میکند (سرکوب گری بیش از حد، محدود کردن افراطی یا نادرست). کنترلهای مناسب (که مورد پذیرش مخاطبین شما باشند) بسیار بهتر از دیکتاتوری یا ظلم و فشار عمل میکنند.
هرگز اجازه ندهید که افراد تبدیل به ناظر و تماشاچی شوند. افراد باید حس کنند که خودشان مالک و مسئول مشکلات موجود در زمینه امنیت اطلاعات هستند. شما باید با متقاعد کردن افراد به تأیید وجود مشکل و مسئولیت داشتن برای رویارویی با مشکل و این که اگر اقدام لازم را انجام ندهند، بالاخره شناسایی خواهند شد آنها را تشویق به اقدام کنید.
پیشنهاد فراست به شما : کتاب الکترونیک ۱۰ توصیه برای آموزش امنیت سایبری به کارکنان
- [1] Shit Happens
- [2] شبهعلم به ادعاها، باورها یا کارهایی گفته میشود که به غلط با عنوان علم ارایه میشوند ولی بر پایه یک روش علمی نیستند.
- [3] برداشت پول نقد از دستگاه خودپرداز در شرایطی که نه مشتری و نه بانک مسئولیت آن را قبول نمیکنند.
- [4] Public Key Infrastructure
- [5] Certification Authorities
- [6] Affective Signalling System