پروفسور آلن وودوارد یکی از کارشناسان، مشاوران و محققان برجسته امنیت اطلاعات است. در این مطلب از فراست، با مسیری که او به عنوان یک فارغ التحصیل رشته فیزیک در پیش گرفت تا در نهایت استاد مهمان دانشگاه سوری شد، آشنا میشویم.
قدرت آموزش و تحصیلات را هرگز نباید دستکم گرفت و یکی از اشخاصی که سهم قابل توجهی در یادگیری و آموزش در حوزه امنیت اطلاعات دارد، پروفسور آلن وودوارد است.
آقای وودوارد یکی از کارشناسان امنیتی است که در 15 سال اخیر از دانش گسترده فنی و امنیتی خودش در هر دو بخش خصوصی و دولتی برای پشتیبانی از تحقیقات مرتبط با امنیت سایبری از طریق آموزش، مربیگری، حمایت و تحقیق استفاده کرده است. او یکی از اساتید مهمان دانشکده علوم رایانه دانشگاه سوری است و باور دارد که تجربهاش در حوزه امنیت، وی را در جایگاه منحصر به فرد و خاصی قرار داده تا بتواند بینش و اطلاعات دانشگاهی خود را با دیگران در میان بگذارد.
وودوارد میگوید: «من فکر میکنم تعریف کاملی از واژه پروفسور هستم. با این حال همچنان درباره بسیاری از مسایل، اطلاعات کمی دارم!». نکته جالبی که درباره او وجود دارد این است که مسیر آلن برای تبدیل شدن به یکی از دانشگاهیان حوزه امنیت سایبری از جهات مختلف پیچیده و ناهموار بوده است. در واقع این مسیر با مطالعه فیزیک در دانشگاه ساوتهمپتون در اوایل دهه 1980 میلادی آغاز شد. وی گفته هر چند ماهیت طبیعی فیزیک برای ذهن منطقی و مهندس گونه او مناسب بود اما تجارب متمرکز بر فناوری در اواخر این دوره، مسیر حرکتش را به سمت امنیت اطلاعات باز کرده است.
او می گوید: «یکی از اقدام هایی که من در پروژه سال آخر خودم انجام دادم، استفاده از یک رایانه بود (شاید امروزه این پروژه مضحک به نظر برسد اما در آن زمان ما خیلی از رایانه استفاده نمیکردیم!). این اتفاق باعث شد به شیوه کار رایانه ها علاقمند شوم و تحقیقات دوره بعد از فارغ التحصیلی را در این زمینه و در حوزه پردازش سیگنال در پیش بگیرم».
زمانی که آلن در حال انجام تحقیقات پس از فارغالتحصیلی اش بود، برحسب اتفاق یکی از مؤسسههای دولتی بریتانیا از او درخواست کرد بر روی یک سیگنال خاص که این مؤسسه در بازیابی و رمزگشایی آن با مشکل روبرو بود، کار کند. وی در این خصوص گفته که: «آنها از من خواستند سیگنال خاصی را که خودشان قادر به انجام این کار نبودند، بازیابی کنم. من این کار را انجام دادم و مشخص شد توانایی انجام چنین کاری را دارم. سپس آنها یک شغل در آن مؤسسه به من پیشنهاد دادند و در نهایت شروع به کار در سمتهای شغلی مختلف برای دولت که همه آنها به بحث امنیت اطلاعات و پردازش سیگنال مربوط بودند، کردم».
جایگاه شغلی مهم
به گفته آلن در آن دوران (یعنی اواسط دهه 80 میلادی) عموماً تمرکز بر تحلیل رمزنگاری و تفسیر انواع مختلف سیگنال مثل رادیو، تلفن و ترافیک ماهواره بود. بخشی از این تلاشها مربوط به کار او روی یک سیستم تشخیص زیردریایی جدید در حوزه زیردریاییها بوده است. وی در اینباره گفته: «زیردریاییها از طریق صدا با یکدیگر ارتباط برقرار میکنند. بنابراین من با انواع فناوریهایی که معکوس کردن آنها سخت بود، آشنا شدم. سؤالی که وجود دارد این است که چگونه می شود سیگنالی که مثل نویز به نظر میرسد را دریافت و رمزگشایی کرده و سپس یک سیگنال مشخص را از آن استخراج کرد؟».
آلن توضیح میدهد این کار باعث شده به طرز فکر افرادی که چنین سیستمی را ساختهاند فکر کند تا فرضیات آنها درباره آنچه باعث امنسازی چنین سیستمهایی میشود را بهتر درک نماید. او می گوید: «اگر توانایی تشخیص فرضیات این افراد را داشته باشید، بهتر میتوانید آنها را درک کنید. اشخاصی که دایماً محصولات جدیدی تولید میکنند، تصور نمیکنند شاید یک نفر به دنبال تشخیص طرز کار آنها باشد. من در زمینه ساختن چنین سیستمهایی خیلی مهارت ندارم اما دانش کافی برای از هم باز کردن آنها و تشخیص عملکردشان را دارم که در حوزه امنیت، این یک مزیت به حساب می آید».
آلن میگوید، این شغل دولتی اهمیت زیادی دارد، «اقداماتی که من انجام دادم و از انجام آنها لذت میبردم، کارهایی بودند که تأثیر و الزامات عملیاتی فوری داشتند؛ شما باید این الزامات را به سرعت درک کنید، یک محصول ساخته و عرضه کنید. اگرچه قرارداد کاری از ما خواسته تا یک پروژه خاص را در سریعترین زمان ممکن انجام دهیم ولی هدف اصلی، تلاشهایی بود که در راستای ساخت و اجرای پروژه انجام شد».
البته به خاطر ماهیت حساس بیشتر کارهای دولتی آلن نمیتوان جزییات مربوط به کارهای او را در حوزه امنیت، ارتباطات مخفی و جرم شناسی رایانه ای تشریح کرد. با این حال او به چند نمونه از دستاوردهای مهمی که در طول کار در سطح ملی به آنها دست پیدا کرده است، اشاره میکند.
با رسیدن به اوایل دهه 90 میلادی و سقوط دیوار برلین، نیاز دولت آمریکا به افسران اطلاعاتی کمتر شد. به همین خاطر آلن تصمیم گرفت به سمت یک شغل جدید روی آورد.
ورود به بخش خصوصی
آلن توضیح میدهد که الهام بخش گام بعدی او در حرفهاش، مؤسس شرکت “Logica” بوده است. Logica یک شرکت فناوری اطلاعات چندملیتی و مشاور مدیریت بود که مسئولیت پروژههای زیرساخت در حوزه ارتباطات از جمله طراحی شبکه سوئیفت برای انتقال وجه بین المللی را بر عهده داشته است.
آلن در Logica با سیستمهای مختلفی از جمله کنترل ترافیک هوایی، انرژی، صنایع خدماتی (آب، برق و گاز) و ارتش، در حوزههای گوناگون کار کرد. او میگوید: «شغلهای من بسیار متنوع بودند و امور مختلفی را از نصب فنی بعضی از قدرتمندترین سیستمهای آن دوره گرفته تا نظارت بر طراحی چنین سیستمهایی و مشورت درباره قراردادهای چند میلیون پوندی که پشت این پروژهها قرار داشت، شامل میشدند».
آلن، پیشرفتهای فناوری در دوره کارش در Logica و همچنین تأثیر آنها بر چشمانداز امنیت اطلاعات از جمله رشد و توسعه سیستمهای به هم پیوسته که امروزه شاهد آن هستیم را به خاطر دارد. وی می گوید: «شاید بعضی از روشهای حفاظت از سیستمها و نفوذ به آنها تغییر کرده باشد اما این روشها به میزان زیادی شبیه راهکارهای گذشته هستند. عامل مشترک بین همه این روشها حضور انسانها در این حلقه است. ابتدا ما باید مطمئن میشدیم که سیستمها در برابر خطا و حتی زیر بار حمله تحمل پذیر هستند. بعضی از سیستمها به هیچ وجه نباید دچار خرابی و از کار افتادگی شوند. ما باید مجموعهای کامل از فنون جدید را که در حال حاضر بسیار متداول هستند، ابداع میکردیم».
نکته جالب اینجا است که آلن، مهمترین چالشی که با آن روبرو شده را نصب فیزیکی سیستمهایی میداند که با آنها کار کرده است، «سیستمهای قدرتمندی که آن زمان با آنها کار میکردم، برای کار نیاز به یک سیستم تهویه هوا و آب خنک داشتند. یک مرکز داده امروزی را در نظر بگیرید؛ یک سیستم معمولی در آن زمان به بزرگی چنین مرکزی بود».
آلن در سال 1997 شرکت Logica را ترک کرد تا در کنار بعضی از همکاران آن زمان خودش، شروع به کار در شرکتی به نام “Charteris” کند. نام این شرکت بر اساس این مفهوم انتخاب شده بود که همه کارمندان آن باید تخصص بالایی داشته باشند و بیشتر آنها مهندس تأییده (Chartered Engineer) بوده یا یک مدرک معادل در حوزه فناوری اطلاعات داشتند. لازم به ذکر است خود آلن هم جزو مهندسان دارای مجوز، کارشناس IT و همچنین یک فیزیکدان دارای مدرک بود.
او میگوید: «ما متوجه شدیم گاهی وقت ها باید در شرایطی کار کنیم که دیگران تجربه حل مشکل در این شرایط را ندارند. یک بار یک نفر خارج از این شرکت، ما را «رد ادایر[1]» حوزه فناوری اطلاعات نامید. در واقع هدف ما انجام کارهای جذاب و نسبتاً کوچک بود اما در عین حال تلاش میکردیم در انجام کارمان بهترین باشیم».
Charteris در سال 2000 وارد بازار بورس شد. سپس آلن با این هدف که بتواند رسالت اصلی آن یعنی اولویت دادن به کیفیت به جای کمیت را محقق کند، همچنان همکاری و مشارکت خودش با این شرکت را حفظ کرد. وی گفته: «با وجود سرمایه گذاران بیرونی، شرایط سختتر میشود؛ چون همه به دنبال رشد و سود هستند و گاهی اوقات شرایطی ایجاد میشود که باید به مشتریان اعلام کنیم قادر به کمک به آنها نیستیم. این موضوع با سود و رشد سازگاری ندارد ولی در واقع تنها راه برای ایجاد اعتماد است و در طی مدت طولانی، اعتماد و درستی بسیار ارزشمندتر از سود است».
این موضوع با آنچه آلن پیش از این درباره اقداماتش در دولت گفته بود و همچنین علاقهاش به انجام کارهای مهم همخوانی دارد و کاملاً مشخص است که او در سراسر دوره کاری اش همچنان این رویکرد را حفظ کرده است.
یک محقق حقیقی
همانطور که متوجه شدید، تا اواسط دهه 2000 میلادی آلن تجربه قابل توجهی در حوزههای چالش برانگیز و ماهرانه امنیت اطلاعات کسب کرد و همزمان میزان پیچیدگی دنیای اینترنت نیز افزایش مییافت. این دانش گسترده توسط چندین سازمان از جمله یوروپل که از او درخواست کرد به عنوان مشاور در این سازمان فعالیت کند، به رسمیت شناخته شد. او عضو یک گروه مشاوره بود که به یوروپل کمک میکرد چشمانداز تهدیدات سایبری را ارزیابی کند. وی به این سازمان توضیح میداد که چگونه میتواند بر اساس استانداردهای قانونی سطح اروپا عمل کند (کارهایی که گسترش یافته و تا امروز ادامه دارد).
در همان زمان بود که شغل او به حوزه دانشگاه هم توسعه یافت. او میگوید: «در حال حاضر با چند نفر از آشنایان قدیمی در تماس هستم و بعضی از آنها در جریان هستند که در حوزه سایبری فعالیت داشتم. آنها از من میپرسند که تدریس به عنوان استاد مهمان چه حس و حالی دارد و پاسخ من این است که اگر پیشنهاد کار دولتی و فعالیتم در بخش خصوصی وجود نداشت، مسیر حرفهای من از همان ابتدا به دانشگاه ختم میشد».
وی همچنین گفته: «من استاد راهنمای یک دانشجوی PhD شدم و فعالیت در حوزه تحقیق، به ویژه نهان نگاری دیجیتال را شروع کردم. آنها از من خواستند که به عنوان استاد مهمان در این دانشگاه فعالیت کنم و کاری که وارد آن شده بودم را ادامه دهم». آلن گفته که او به دلایل مختلف وارد حوزه تحقیق و دانشگاه شد اما به یک نکته مهم که در ابتدا باعث جذب او به دانشگاه و فرصت مشارکت در کارهای دانشگاهی خاص شد نیز اشاره میکند: «یکی از موضوعاتی که حس خیلی قوی نسبت به آن دارم و 15 سال پیش متوجه آن شدم، این بود که آدمهای زیادی به حوزه علوم رایانه و مهمتر از آن، امنیت سایبری وارد نمیشوند. من سعی دارم دیگران را تشویق کنم که امنیت سایبری را به عنوان یک مسیر حرفهای انتخاب کنند».
آلن در راستای تحقق این هدف با دانشگاه سوری همکاری کرد تا بتواند با ارایه انواع آموزش ها و دورههایی که امکان کار در این صنعت را فراهم میکنند، دیگران را تشویق به ورود به این حوزه کند. او میگوید: «این حوزه همچنان در حال رشد و ترقی است. به نظرم یکی از جذابترین جنبهها این است که صنعت امنیت سایبری باید به سمت یک وضعیت تأیید شده با گواهینامههای استاندارد حرکت کند. در این صورت کدام نهاد حرفهای بر این موضوع نظارت خواهد داشت و آیا دانشگاهها باید طرحهای آموزشی که این نهادها آنها را تأیید کرده اند، اجرا کنند یا خیر؟».
آلن باور دارد گامهای مثبتی در این زمینه طی شده و تلاشهایی برای تبدیل امنیت سایبری به یک رشته و مسیر شغلی مفید و کاربردی صورت گرفته که برای همه تازه واردان به این حوزه مزایایی دارد. با این وجود او تأیید میکند که: «هنوز تخصص لازم در این حوزه را نداریم. برای من، نه تنها مربی بودن بلکه تدریس نیز مهم است؛ یعنی هدایت و راهنمایی مردم و آموزش آنها درباره رخنههای واقعی».
قدرت یادگیری
یکی از جوانب مهم کار آلن در حوزه دانشگاهی، فعالیت در زمینه تدریس و راهنمایی دانشجویانی است که دورههای مختلفی را در حوزه امنیت سایبری می گذرانند. او می گوید: «من کل دوره را آموزش نمیدهم ولی سعی میکنم موضوعاتی مثل نحوه استفاده از Wireshark را توضیح دهم. نکته مربوط به بسیاری از مدارک حوزه علوم رایانه این است که این آموزشها بسیار نظری هستند. بنابراین خوب است که دانشجویان را در آزمایشگاهها تعلیم داده و نحوه انجام کار را به آنها آموزش دهیم. دانشجویان، این موضوعات را به صورت نظری آموزش میبینند اما به شخصی مثل من نیاز دارند تا به آنها برای کار عملی در این حوزه کمک کند».
آلن همچنین توضیح میدهد که هدف اصلی استاد مهمان فراهم کردن اطلاعاتی است که به پر کردن خلأ بین آموزشهای سنتی کلاس درس و آنچه در دنیای واقعی رخ میدهد، کمک کند.
از آلن پرسیدیم که در این سالها چه جنبههایی از تدریس و مربی گری برای او جذابتر بودهاند. او با یک لبخند صریح گفت: «ابتدا باید بگویم که تمایل من به لذت نبردن است. گاهی وقت ها دانشجویانی دارید که یک دوره خاص را می گذرانند اما به هیچ وجه به کارشان علاقمند نیستند؛ در این صورت روح آنها نابود می شود. گاهی اوقات در سالنی 100 نفره سخنرانی میکنی و بعضی از حضار در حال کار با گوشی یا حرف زدن هستند. در این شرایط به آنها یادآوری میکنم که برای این دوره چقدر پول پرداخت کردهاند».
در مقابل، به گفته آلن دانشجویانی هم هستند که واقعاً به یاد گرفتن علاقه دارند و دائماً سؤال میپرسند، «به نظرم ویژگی که باعث لذت بخش شدن این کار میشود این است که به خود من ثابت میشود آنچه در حال تدریس آن هستم را درک میکنم. گاهی اوقات ممکن است تصور کنید که یک موضوع خاص را کاملاً درک میکنید اما آیا به اندازهای بر آن تسلط دارید که وقتی شخصی از شما سؤالی بپرسد، بتوانید به خوبی پاسخ وی را بدهید؟».
به گفته آلن، تجربه طولانی او در این حوزه باعث شده بتواند درباره بعضی اشتباهات امنیتی که در گذشته صورت گرفته و همچنین راهکار برطرف سازی آنها تاریخچهای مختصر ارایه دهد، «این یک دانش انباشته شده است و واقعاً لازم است آن را به نسل بعدی منتقل کنیم زیرا در غیر این صورت از بین خواهد رفت».
یکی از موضوعاتی که هیچ وقت از بین نخواهد رفت، شور و اشتیاق آلن به یادگیری است. او میگوید: «من تا ابد می توانم دانشجو باشم. من به یاد گرفتن موضوعات جدید علاقه دارم و هرگز دست از یاد گرفتن بر نمیدارم. در حوزه امنیت سایبری نیز همیشه مسایل جدیدی برای یاد گرفتن وجود دارد. امیدوارم همیشه در موقعیتی باشم که بتوانم به یاد گرفتن ادامه دهم».
[1] رد ادایر یک مأمور آتشنشانی اهل ایالات متحده آمریکا بود. شهرت او به دلیل نوآوری در خاموش کردن و اطفای چاههای نفت از طریق دریایی و هوایی میباشد (ویکیپدیا).
منبع: infosecurity-magazine