امنیت سایبری در گفتگو با پروفسور آلن وودوارد

پروفسور آلن وودوارد یکی از کارشناسان، مشاوران و محققان برجسته امنیت اطلاعات است. در این مطلب از فراست، با مسیری که او به عنوان یک فارغ ­التحصیل رشته فیزیک در پیش گرفت تا در نهایت استاد مهمان دانشگاه سوری شد، آشنا می‌شویم.

 

قدرت آموزش و تحصیلات را هرگز نباید دستکم گرفت و یکی از اشخاصی که سهم قابل توجهی در یادگیری و آموزش در حوزه امنیت اطلاعات دارد، پروفسور آلن وودوارد است.

آقای وودوارد یکی از کارشناسان امنیتی است که در 15 سال اخیر از دانش گسترده فنی و امنیتی خودش در هر دو بخش خصوصی و دولتی برای پشتیبانی از تحقیقات مرتبط با امنیت سایبری از طریق آموزش، مربی­‌گری، حمایت و تحقیق استفاده کرده است. او یکی از اساتید مهمان دانشکده علوم رایانه دانشگاه سوری است و باور دارد که تجربه‌اش در حوزه امنیت، وی را در جایگاه منحصر به فرد و خاصی قرار داده تا بتواند بینش و اطلاعات دانشگاهی خود را با دیگران در میان بگذارد.

وودوارد می‌گوید: «من فکر می­‌کنم تعریف کاملی از واژه پروفسور هستم. با این حال همچنان درباره بسیاری از مسایل، اطلاعات کمی دارم!». نکته جالبی که درباره او وجود دارد این است که مسیر آلن برای تبدیل شدن به یکی از دانشگاهیان حوزه امنیت سایبری از جهات مختلف پیچیده و ناهموار بوده است. در واقع این مسیر با مطالعه فیزیک در دانشگاه ساوتهمپتون در اوایل دهه 1980 میلادی آغاز شد. وی گفته هر چند ماهیت طبیعی فیزیک برای ذهن منطقی و مهندس گونه او مناسب بود اما تجارب متمرکز بر فناوری در اواخر این دوره، مسیر حرکتش را به سمت امنیت اطلاعات باز کرده است.

او می­ گوید: «یکی از اقدام هایی که من در پروژه سال آخر خودم انجام دادم، استفاده از یک رایانه بود (شاید امروزه این پروژه مضحک به نظر برسد اما در آن زمان ما خیلی از رایانه استفاده نمی‌کردیم!). این اتفاق باعث شد به شیوه کار رایانه ها علاقمند شوم و تحقیقات دوره بعد از فارغ­ التحصیلی را در این زمینه و در حوزه پردازش سیگنال در پیش بگیرم».

زمانی که آلن در حال انجام تحقیقات پس از فارغ‌التحصیلی اش بود، برحسب اتفاق یکی از مؤسسه‌های دولتی بریتانیا از او درخواست کرد بر روی یک سیگنال خاص که این مؤسسه در بازیابی و رمزگشایی آن با مشکل روبرو بود، کار کند. وی در این خصوص گفته که: «آنها از من خواستند سیگنال خاصی را که خودشان قادر به انجام این کار نبودند، بازیابی کنم. من این کار را انجام دادم و مشخص شد توانایی انجام چنین کاری را دارم. سپس آنها یک شغل در آن مؤسسه به من پیشنهاد دادند و در نهایت شروع به کار در سمت‌های شغلی مختلف برای دولت که همه آنها به بحث امنیت اطلاعات و پردازش سیگنال مربوط بودند، کردم».

جایگاه شغلی مهم

به گفته آلن در آن دوران (یعنی اواسط دهه 80 میلادی) عموماً تمرکز بر تحلیل رمزنگاری و تفسیر انواع مختلف سیگنال مثل رادیو، تلفن و ترافیک ماهواره بود. بخشی از این تلاش‌ها مربوط به کار او روی یک سیستم تشخیص زیردریایی جدید در حوزه زیردریایی­‌ها بوده است. وی در این‌باره گفته: «زیردریایی‌ها از طریق صدا با یکدیگر ارتباط برقرار می‌کنند. بنابراین من با انواع فناوری‌هایی که معکوس کردن آنها سخت بود، آشنا شدم. سؤالی که وجود دارد این است که چگونه می­ شود سیگنالی که مثل نویز به نظر می‌رسد را دریافت و رمزگشایی کرده و سپس یک سیگنال مشخص را از آن استخراج کرد؟».

آلن توضیح می‌دهد این کار باعث شده به طرز فکر افرادی که چنین سیستمی را ساخته‌اند فکر کند تا فرضیات آنها درباره آنچه باعث امن‌سازی چنین سیستم‌هایی می‌شود را بهتر درک نماید. او می ­گوید: «اگر توانایی تشخیص فرضیات این افراد را داشته باشید، بهتر می‌توانید آنها را درک کنید. اشخاصی که دایماً محصولات جدیدی تولید می‌کنند، تصور نمی‌کنند شاید یک نفر به دنبال تشخیص طرز کار آنها باشد. من در زمینه ساختن چنین سیستم‌هایی خیلی مهارت ندارم اما دانش کافی برای از هم باز کردن آنها و تشخیص عملکردشان را دارم که در حوزه امنیت، این یک مزیت به حساب می ­آید».

آلن می‌گوید، این شغل دولتی اهمیت زیادی دارد، «اقداماتی که من انجام دادم و از انجام آنها لذت می‌بردم، کارهایی بودند که تأثیر و الزامات عملیاتی فوری داشتند؛ شما باید این الزامات را به سرعت درک کنید، یک محصول ساخته و عرضه کنید. اگرچه قرارداد کاری از ما خواسته تا یک پروژه خاص را در سریع­ترین زمان ممکن انجام دهیم ولی هدف اصلی، تلاش‌­هایی بود که در راستای ساخت و اجرای پروژه انجام شد».

البته به خاطر ماهیت حساس بیشتر کارهای دولتی آلن نمی‌توان جزییات مربوط به کارهای او را در حوزه امنیت، ارتباطات مخفی و جرم شناسی رایانه ای تشریح کرد. با این حال او به چند نمونه از دستاوردهای مهمی که در طول کار در سطح ملی به آنها دست پیدا کرده است، اشاره می‌کند.

با رسیدن به اوایل دهه 90 میلادی و سقوط دیوار برلین، نیاز دولت آمریکا به افسران اطلاعاتی کمتر شد. به همین خاطر آلن تصمیم گرفت به سمت یک شغل جدید روی آورد.

ورود به بخش خصوصی

آلن توضیح می‌دهد که الهام بخش گام بعدی او در حرفه‌اش، مؤسس شرکت “Logica” بوده است. Logica یک شرکت فناوری اطلاعات چندملیتی و مشاور مدیریت بود که مسئولیت پروژه‌های زیرساخت در حوزه ارتباطات از جمله طراحی شبکه سوئیفت برای انتقال وجه بین المللی را بر عهده داشته است.

آلن در Logica با سیستم‌های مختلفی از جمله کنترل ترافیک هوایی، انرژی، صنایع خدماتی (آب، برق و گاز) و ارتش، در حوزه‌های گوناگون کار کرد. او می‌گوید: «شغل‌های من بسیار متنوع بودند و امور مختلفی را از نصب فنی بعضی از قدرتمندترین سیستم‌های آن دوره گرفته تا نظارت بر طراحی چنین سیستم‌هایی و مشورت درباره قراردادهای چند میلیون پوندی که پشت این پروژه‌ها قرار داشت، شامل می‌شدند».

آلن، پیشرفت‌های فناوری در دوره کارش در Logica و همچنین تأثیر آنها بر چشم‌انداز امنیت اطلاعات از جمله رشد و توسعه سیستم‌های به هم پیوسته که امروزه شاهد آن هستیم را به خاطر دارد. وی می ­گوید: «شاید بعضی از روش‌های حفاظت از سیستم‌ها و نفوذ به آنها تغییر کرده باشد اما این روش‌ها به میزان زیادی شبیه راهکارهای گذشته هستند. عامل مشترک بین همه این روش‌­ها حضور انسان‌­ها در این حلقه است. ابتدا ما باید مطمئن می‌شدیم که سیستم‌ها در برابر خطا و حتی زیر بار حمله تحمل پذیر هستند. بعضی از سیستم‌ها به هیچ وجه نباید دچار خرابی و از کار افتادگی شوند. ما باید مجموعه‌ای کامل از فنون جدید را که در حال حاضر بسیار متداول هستند، ابداع می‌کردیم».

نکته جالب اینجا است که آلن، مهمترین چالشی که با آن روبرو شده را نصب فیزیکی سیستم‌هایی می‌داند که با آنها کار کرده است، «سیستم‌های قدرتمندی که آن زمان با آنها کار می‌کردم، برای کار نیاز به یک سیستم تهویه هوا و آب خنک داشتند. یک مرکز داده امروزی را در نظر بگیرید؛ یک سیستم معمولی در آن زمان به بزرگی چنین مرکزی بود».

آلن در سال 1997 شرکت Logica را ترک کرد تا در کنار بعضی از همکاران آن زمان خودش، شروع به کار در شرکتی به نام “Charteris” کند. نام این شرکت بر اساس این مفهوم انتخاب شده بود که همه کارمندان آن باید تخصص بالایی داشته باشند و بیشتر آنها مهندس تأییده (Chartered Engineer) بوده یا یک مدرک معادل در حوزه فناوری اطلاعات داشتند. لازم به ذکر است خود آلن هم جزو مهندسان دارای مجوز، کارشناس IT و همچنین یک فیزیکدان دارای مدرک بود.

او می‌گوید: «ما متوجه شدیم گاهی وقت ها باید در شرایطی کار کنیم که دیگران تجربه حل مشکل در این شرایط را ندارند. یک بار یک نفر خارج از این شرکت، ما را «رد ادایر[1]» حوزه فناوری اطلاعات نامید. در واقع هدف ما انجام کارهای جذاب و نسبتاً کوچک بود اما در عین حال تلاش می‌­کردیم در انجام کارمان بهترین باشیم».

Charteris در سال 2000 وارد بازار بورس شد. سپس آلن با این هدف که بتواند رسالت اصلی آن یعنی اولویت دادن به کیفیت به جای کمیت را محقق کند، همچنان همکاری و مشارکت خودش با این شرکت را حفظ کرد. وی گفته: «با وجود سرمایه گذاران بیرونی، شرایط سخت‌تر می‌شود؛ چون همه به دنبال رشد و سود هستند و گاهی اوقات شرایطی ایجاد می‌شود که باید به مشتریان اعلام کنیم قادر به کمک به آنها نیستیم. این موضوع با سود و رشد سازگاری ندارد ولی در واقع تنها راه برای ایجاد اعتماد است و در طی مدت طولانی، اعتماد و درستی بسیار ارزشمندتر از سود است».

این موضوع با آنچه آلن پیش از این درباره اقداماتش در دولت گفته بود و همچنین علاقه‌اش به انجام کارهای مهم همخوانی دارد و کاملاً مشخص است که او در سراسر دوره کاری­ اش همچنان این رویکرد را حفظ کرده است.

یک محقق حقیقی

همانطور که متوجه شدید، تا اواسط دهه 2000 میلادی آلن تجربه قابل توجهی در حوزه‌های چالش برانگیز و ماهرانه امنیت اطلاعات کسب کرد و همزمان میزان پیچیدگی دنیای اینترنت نیز افزایش می­‌یافت. این دانش گسترده توسط چندین سازمان از جمله یوروپل که از او درخواست کرد به عنوان مشاور در این سازمان فعالیت کند، به رسمیت شناخته شد. او عضو یک گروه مشاوره بود که به یوروپل کمک می‌کرد چشم‌انداز تهدیدات سایبری را ارزیابی کند. وی به این سازمان توضیح می‌داد که چگونه می‌تواند بر اساس استانداردهای قانونی سطح اروپا عمل کند (کارهایی که گسترش یافته و تا امروز ادامه دارد).

در همان زمان بود که شغل او به حوزه دانشگاه هم توسعه یافت. او می‌گوید: «در حال حاضر با چند نفر از آشنایان قدیمی در تماس هستم و بعضی از آنها در جریان هستند که در حوزه سایبری فعالیت داشتم. آنها از من می‌پرسند که تدریس به عنوان استاد مهمان چه حس و حالی دارد و پاسخ من این است که اگر پیشنهاد کار دولتی و فعالیتم در بخش خصوصی وجود نداشت، مسیر حرفه‌ای من از همان ابتدا به دانشگاه ختم می‌شد».

وی همچنین گفته: «من استاد راهنمای یک دانشجوی PhD شدم و فعالیت در حوزه تحقیق، به ویژه نهان نگاری دیجیتال را شروع کردم. آنها از من خواستند که به عنوان استاد مهمان در این دانشگاه فعالیت کنم و کاری که وارد آن شده بودم را ادامه دهم». آلن گفته که او به دلایل مختلف وارد حوزه تحقیق و دانشگاه شد اما به یک نکته مهم که در ابتدا باعث جذب او به دانشگاه و فرصت مشارکت در کارهای دانشگاهی خاص شد نیز اشاره می‌کند: «یکی از موضوعاتی که حس خیلی قوی نسبت به آن دارم و 15 سال پیش متوجه آن شدم، این بود که آدم‌های زیادی به حوزه علوم رایانه و مهمتر از آن، امنیت سایبری وارد نمی‌شوند. من سعی دارم دیگران را تشویق کنم که امنیت سایبری را به عنوان یک مسیر حرفه‌ای انتخاب کنند».

آلن در راستای تحقق این هدف با دانشگاه سوری همکاری کرد تا بتواند با ارایه انواع آموزش ها و دوره‌هایی که امکان کار در این صنعت را فراهم می‌کنند، دیگران را تشویق به ورود به این حوزه کند. او می‌گوید: «این حوزه همچنان در حال رشد و ترقی است. به نظرم یکی از جذاب‌ترین جنبه‌ها این است که صنعت امنیت سایبری باید به سمت یک وضعیت تأیید شده با گواهینامه‌های استاندارد حرکت کند. در این صورت کدام نهاد حرفه‌ای بر این موضوع نظارت خواهد داشت و آیا دانشگاه‌ها باید طرح‌های آموزشی که این نهادها آنها را تأیید کرده اند، اجرا کنند یا خیر؟».

آلن باور دارد گام‌های مثبتی در این زمینه طی شده و تلاش‌هایی برای تبدیل امنیت سایبری به یک رشته و مسیر شغلی مفید و کاربردی صورت گرفته که برای همه تازه واردان به این حوزه مزایایی دارد. با این وجود او تأیید می‌کند که: «هنوز تخصص لازم در این حوزه را نداریم. برای من، نه تنها مربی بودن بلکه تدریس نیز مهم است؛ یعنی هدایت و راهنمایی مردم و آموزش آنها درباره رخنه‌های واقعی».

قدرت یادگیری

یکی از جوانب مهم کار آلن در حوزه دانشگاهی، فعالیت در زمینه تدریس و راهنمایی دانشجویانی است که دوره‌های مختلفی را در حوزه امنیت سایبری می گذرانند. او می گوید: «من کل دوره را آموزش نمی‌دهم ولی سعی می‌کنم موضوعاتی مثل نحوه استفاده از Wireshark را توضیح دهم. نکته مربوط به بسیاری از مدارک حوزه علوم رایانه این است که این آموزش‌ها بسیار نظری هستند. بنابراین خوب است که دانشجویان را در آزمایشگاه‌ها تعلیم داده و نحوه انجام کار را به آنها آموزش دهیم. دانشجویان، این موضوعات را به صورت نظری آموزش می‌بینند اما به شخصی مثل من نیاز دارند تا به آنها برای کار عملی در این حوزه کمک کند».

آلن همچنین توضیح می‌دهد که هدف اصلی استاد مهمان فراهم کردن اطلاعاتی است که به پر کردن خلأ بین آموزش‌های سنتی کلاس درس و آنچه در دنیای واقعی رخ می‌دهد، کمک کند.

از آلن پرسیدیم که در این سال‌ها چه جنبه‌هایی از تدریس و مربی گری برای او جذاب‌تر بوده‌اند. او با یک لبخند صریح گفت: «ابتدا باید بگویم که تمایل من به لذت نبردن است. گاهی وقت ها دانشجویانی دارید که یک دوره خاص را می گذرانند اما به هیچ وجه به کارشان علاقمند نیستند؛ در این صورت روح آنها نابود می ­شود. گاهی اوقات در سالنی 100 نفره سخنرانی می‌کنی و بعضی از حضار در حال کار با گوشی یا حرف زدن هستند. در این شرایط به آنها یادآوری می‌کنم که برای این دوره چقدر پول پرداخت کرده‌اند».

در مقابل، به گفته آلن دانشجویانی هم هستند که واقعاً به یاد گرفتن علاقه دارند و دائماً سؤال می‌پرسند، «به نظرم ویژگی که باعث لذت بخش شدن این کار می‌شود این است که به خود من ثابت می‌شود آنچه در حال تدریس آن هستم را درک می‌کنم. گاهی اوقات ممکن است تصور کنید که یک موضوع خاص را کاملاً درک می‌کنید اما آیا به اندازه‌ای بر آن تسلط دارید که وقتی شخصی از شما سؤالی بپرسد، بتوانید به خوبی پاسخ وی را بدهید؟».

به گفته آلن، تجربه طولانی او در این حوزه باعث شده بتواند درباره بعضی اشتباهات امنیتی که در گذشته صورت گرفته و همچنین راهکار برطرف سازی آنها تاریخچه‌ای مختصر ارایه دهد، «این یک دانش انباشته شده است و واقعاً لازم است آن را به نسل بعدی منتقل کنیم زیرا در غیر این صورت از بین خواهد رفت».

یکی از موضوعاتی که هیچ وقت از بین نخواهد رفت، شور و اشتیاق آلن به یادگیری است. او می‌­گوید: «من تا ابد می­ توانم دانشجو باشم. من به یاد گرفتن موضوعات جدید علاقه دارم و هرگز دست از یاد گرفتن بر نمی‌دارم. در حوزه امنیت سایبری نیز همیشه مسایل جدیدی برای یاد گرفتن وجود دارد. امیدوارم همیشه در موقعیتی باشم که بتوانم به یاد گرفتن ادامه دهم».

[1]  رد ادایر یک مأمور آتش‌نشانی اهل ایالات متحده آمریکا بود. شهرت او به دلیل نوآوری در خاموش کردن و اطفای چاه‌های نفت از طریق دریایی و هوایی می‌باشد (ویکی‌پدیا).

 

منبع: infosecurity-magazine

خروج از نسخه موبایل