خطرات امنیتی همیشه
در کمین شرکتها و سازمانها هستند و از آنجا که شرکتها دربارهی اجرای
برنامههای مختلف در کامپیوتر یا موبایل کارمندانشان اطلاعات درستی ندارند،
امنیت اطلاعات شرکت بیشتر در معرض خطر قرار میگیرد.
به گزارش سافت گذر و به نقل اززومیت؛ استفاده
فزاینده کارمندان از اپلیکیشنهای ثالث (third-party) برای موارد کاری
آنهم بدون اطلاع بخشIT، به دلیل احتمال وجود کدهای مخرب یا عدم استفاده از
پروتکلهای امنیتی قوی و رعایت نشدن قوانین حریم خصوصی، خطرات امنیتی را
افزایش میدهد.
چند نفر از شما بازی Pokemon Go را روی گوشی همراه کاریتان دانلود کردهاید؟
اگر
متعجب بودید که دپارتمان IT اجازه چنین کاری را به شما داده است، تعجب
نکنید - به نظر میآید بسیاری از شرکتها ذهنیتی درباره آنچه کارمندانشان
انجام میدهند، ندارند.
برای مثال، وقتی شرکت امنیت سایبری
Imperva از یک مشتری بانکی خود در مورد حدس او از تعداد اپلیکیشنهایی که
کارمندانش استفاده میکنند، سؤال پرسید، عدد تخمینی شرکت بین ۷۵ تا ۱۰۰
بود. اما عدد آماری در حقیقت چیزی نزدیک ۸۰۰ بود.
چرا این موضوع اهمیت دارد
اپلیکیشنهای
ابری (Cloud-based apps) اغلب به دوربین، موقعیت جغرافیایی، دادهها و
اطلاعات تماس موجود روی گوشی شما دسترسی دارند. بنابراین شما نمیدانید چه
میزان از اطلاعات حساس شرکت ممکن است در معرض سرقتهای زیرکانه آنها باشد.
ما
میتوانیم کلید درِ پشتی شرکت خود را در اختیار هکرها، افراد شیاد و
جاسوسها قرار دهیم؛ مخصوصا اگر بهطور ناشیانهای از همان اطلاعات ورود به
اپلیکیشنهای داخلی (کاری) در ورود به اپلیکیشنهای خارجی (غیر کاری)
استفاده کنیم.
Ryan Kalember نایبرئیس ارشد بخش استراتژی امنیت
سایبری در ProofPoint گفت: « اگر ندانید کدام اپلیکیشن ثالث (third-party)
به اطلاعات شما دسترسی دارد، این یک مشکل حیاتی در عملکرد صحیح است. »
شرکتهای
بزرگ تکنولوژی مانند LinkedIn، MySpace و Dropbox به دلیل سرقتهای
اطلاعاتی، مشکلات بزرگی را متحمل شدهاند؛ بهطوریکه شرکت مطالعات امنیتی
Ponemon میانگین هزینه هر نفوذ غیرقانونی را ۴ میلیون دلار ارزیابی کرده که
معادل ۱۵۸ دلار به ازای هر رکورد سرقتشده است. از نظر متخصصان، عدم توجه
کافی به اپلیکیشنهای مورداستفاده در کار، نوعی مشارکت در بروز مشکل است.
Jon
Huberman مدیر اجرایی ارشد شرکت اشتراک فایل Syncplicity گفت: «اگر یک
تجارت برای کاربران خود ابزار لازم را فراهم نکند؛ خود آنها این ابزار را
پیدا میکنند، اما این یک مسئله بزرگ برای شرکتها است- انتشار غیرقانونی
اطلاعات مشکل بزرگی است.»
اسکلتی در گنجه
با وجود اینکه
اپلیکیشنهایی مثل Slack، Evernote، WhatsApp و Dropbox میتوانند -در داخل
محل کار و بیرون از آنجا- در بهتر انجام دادن کارها به ما کمک کنند؛ اما
ما اغلب چیزی در مورد تائید این برنامهها توسط بخش IT شرکت خود یا میزان
اطلاعاتی که -به طور نوشته شده و نشده- در این فضای ابری به اشتراک
میگذاریم، نمیدانیم.
Terry Ray مدیر ارشد استراتژی تولید Imperva گفت:
کارکنان
اغلب درباره امنیت فکر نمیکنند یا نمیدانند اطلاعات حساس و غیرحساس
کدام هستند.ریسک مربوط به نفوذ و نشر اطلاعات، به وسیله محیط ابری بسیار
بدتر و توسعهپذیرتر میشود؛ اگرچه اپلیکیشنهای ابری مانند Microsoft
Office 365 بهطور فزاینده محبوب و معروف میشوند چراکه این برنامهها
هزینههای IT را بسیار کاهش میدهند.»
یک
نگرانی برای دپارتمان IT این است که این اپلیکیشنهای ثالث ممکن است از
پروتکلهای امنیتی قوی استفاده نکرده باشند؛ زیرا هدف اصلی و اولیه در
توسعه این برنامهها جذب حداکثر مصرفکننده بوده است و خود دیتا ممکن است
در کشوری دیگر ذخیره شود که با قوانین ضعیفتری در زمینه حفاظت اطلاعات
اداره میشود.
Cesar Garlati مدیر ارشد استراتژی امنیتی در بنیاد Prpl، که یک نهاد غیرانتفاعی ارتقای استانداردهای نرمافزار کد باز است، میگوید:
امنیت اپلیکیشن مانند اسکلت درون گنجه (اصطلاحی
به معنای رازی قدیمی و ناخوشایند که فاش شدن آن به سود صاحبش نیست) است.
این روزها نرمافزارها نوشته نمیشوند بلکه تجمیع (assembled) میشوند.
برنامهنویسها از کتابخانهها استفاده میکنند، بنابراین شما نمیدانید چه
میزان از کدهای معیوب ممکن است در یک برنامه پنهان باشند و امنیت آن را به
خطر بیاندازند.
آوردن تجهیزات شخصی (مانند گوشی هوشمند، تبلت و
لپتاپ برای مصارف کاری) همواره یک تهدید برای مدل امنیتی بوده
است. سازمانها کنترل را از دست میدهند.
در
حالی که شرکتها برای محافظت از اطلاعات قابلشناسایی افراد مانند
شمارههای تأمین اجتماعی و کارت اعتباری، تلاش زیادی میکنند؛ اما اغلب به
نظر میرسد این اطلاعات بیخطر و ساده هستند که به شیادان کمک میکنند یک
ایمیل فیشینگ قابلباورتر یا یک درخواست پرداخت صورتحساب موجهتر بسازند.
سایر تهدیدها
بسیاری از اپلیکیشنها همچنین مملو از کدهای مخرب (malware) هستند که تهدید دیگری برای امنیت شرکت محسوب میشود.
Kalember میگوید:
اغلب برنامههای موبایل آلوده به کدهای مخرب، از طریق فروش اطلاعات کاربران و فیشینگ اطلاعات بانکی درآمد کسب میکنند.
سازمانهای بسیاری به وسیله این اپلیکیشنهای فیشینگ (phishing)
متضرر شدهاند؛ اپلیکیشنهایی که خود را به شکل برنامه دیگری مثل Flash
Player یا یک اپلیکیشن انجیل (Bible app) معرفی میکنند. این اتفاق زمانی
رخ میدهد که شرکتها به افراد شاغل در بخش مالی اجازه دسترسی به حسابهای
بانکی شرکت از طریق دستگاههای قابلحمل میدهند.
Huberman
از Syncplicity اشاره میکند که اگر شرکتی درباره اپلیکیشنهایی که
کارمندانش استفاده میکنند یا دادههایی که به اشتراک گذاشته میشوند،
اطلاع نداشته باشد؛ این خود میتواند زمانی که کارمندان به شرکت دیگری
منتقل میشوند مشکلساز باشد.
او دراینباره میگوید: تمام اطلاعات همراه این کارمندان منتقل میشوند و احتمالا به دست شرکتهای رقیب میافتند.»
همچنین برنامههای ایمیل بر پایه وب نیز میتوانند خطرآفرین باشند.
Huberman
چنین میگوید که پزشکها قبل از اینکه محیط امنی برای به اشتراکگذاری
اطلاعات بیماران در اختیار داشته باشند، از برنامههای ایمیل باز مانند
Gmail که همراه با نقض آشکار قوانین حریم خصوصی اطلاعات است، استفاده
میکنند.
جامعه پزشکی متوجه این موضوع شد؛ اما بحث آنها
این بود که برای نجات جان انسانها نیازمند مشاوره با همکاران بودند. ما
قادر بودیم ابزار درست را برای به اشتراک گذاشتن اطلاعات بهطور امن و روی
هر دستگاهی، بدون نقض هیچ قانونی در اختیار آنها قرار دهیم.
بستن راه های نفوذ
پس شرکتهای تجاری در رابطه با این مسئله چهکاری باید انجام دهند؟
توصیه متخصصان امنیت بسیار محکم و استوار است و میتوان آن را به چند بخش تقسیم کرد:
- ضروری
کردن استفاده از یک برنامه مدیریت دستگاه موبایل که قادر است اپلیکیشنهای
نصبشده روی دستگاههای کاربران و چگونگی قوانین حریم خصوصی و امنیت آنها
را شناسایی کند
- مطمئن بودن از اینکه تمام دستگاههای مربوط به شرکت، رمزنگاری (encrypted) شدهاند.
- شفافسازی
برای کارکنان درباره اینکه کدام دسته از اطلاعات را نمیتوانند با
اپلیکیشنهای ثالث به اشتراک بگذارند و کدام مورد را میتوانند
- نظارت بر برنامهها و دادههای روی شبکه شرکت که مورد دسترسی قرار میگیرند
- آموزش کارمندان برای شناختن رفتار خطرآفرین و تشخیص ایمیلهای فیشینگ
- ابزارهای
موردنیاز کارمندان برای عملکرد بهتر را در اختیارشان قرار بدهیم تا نسبت
به دانلود اپلیکیشنهای تائید نشده احساس وسوسه نکنند
البته که
هیچ یک از این موارد آسان نیست و برای بسیاری از شرکتها کار از کار
گذشته است، با این حال هنوز هم دیر نشده؛ هر زمان که شرکتها و سازمانها
احساس کنند که اطلاعاتشان در معرض خطر است باید نسبت به امنیت اطلاعات
اقدام کنند.