8 تکنولوژی خطرناک برای امنیت اطلاعات سازمان‌ها و شرکت‌ها

نام نویسنده: Mary Brandel

دنیای اقتصاد – تکنولوژی‏های جدید اعم از محصولات و سرویس‌ها از انواع مختلف با روش‌های گوناگونی وارد محیط‌های کار می‏شوند.

از گوشی‏های هوشمند، سیستم‌های Voice-over-IP و حافظه‏های فلش گرفته تا دنیای آنلاین. این تکنولوژی‏ها پس از مدتی بخشی از زندگی روزمره مردم می‏شوند به طوری که تصور زندگی بدون آنها غیرممکن می‏شود. اما سوال اینجاست که آیا کارکنان بايد حتما از آنها در محیط کار استفاده کنند یا بالعکس بايد از آنها پرهیز کنند.
در نظرسنجی اخیری که مرکز تحقیقاتی Yankee Group انجام داده است، 86درصد از 500 پاسخ‏دهنده در این نظرسنجی گفته‏اند که حداقل از یکی از تکنولوژی‏های مورد بحث در این مقاله در محل کار استفاده می‏کنند.
متاسفانه این تکنولوژی‏ها باعث بروز برخی مشکلات در واحدهای IT سازمان‌ها هم شده‏اند. استفاده از برخی تکنولوژی‏ها نوعی ریسک محسوب می‏شود. از سوی دیگر کاربران توقع دارند که واحد IT از دستگاه‏ها و سرویس‌ها به ويژه آنهایی که با آنها در برنامه‏ها سر و کار دارند، پشتیبانی کند.
ممنوع کردن استفاده از برخی تکنولوژی‏ها در بسیاری از شرکت‌های بر خلاف فرهنگ آن سازمان است ولی از طرفی دیگر نمی‏توانند تمام ریسک‌های امنیتی را نیز نادیده بگیرند.
«من فکر نمی‏کنم كاركنان وقت این را داشته باشند که در مورد تمام تکنولوژی‏ها مطالعه کنند و همه جنبه‏های آن را در نظر بگیرند، آنها مشغول کار خودشان هستند و وقت چنین کارهایی را ندارند.» این صحبت‌های«شارون فايني»، مدیر بخش امنیت اطلاعات مرکز درمانی Dekalb است. او ادامه می‏دهد: «من فکر می‏کنم این وظیفه من است که در مورد این تکنولوژی‏ها تحقیق کنم و به‌صورت ساده به آنها آموزش دهم و در عین حال مسائل امنیتی آن را هم در نظر بگیرم.»
برخی دیگر مانند «مايكل ميلر»، معاون بخش امنیت سرویس‌های ارتباطی شرکت Global Crossing معتقد است که ابتدا واحد IT باید صبر کند تا ببیند استفاده از این دستگاه‏ها تاثیری مثبت بر روی راندمان کار دارد یا باعث بروز مشکلاتی مانند نفوذ Worm و یا افزایش تافیک شبکه می‏شود. براساس نظر او واکنش به این تکنولوژی‏ها بايد ترکیبی از پیروی از فرهنگ سازمان و دادن حق دسترسی (در حد منطقی) به کارکنان و مطمئن بودن از سطح امنیتی شبکه باشد.
«جاش‌ها لبروك» تحلیلگر Yankee Group می‏گوید: «مقابله با مشکلاتی که این تکنولوژِی‏ها باعث آن هستند، منابع زیادی از بخش IT سازمان را به خود اختصاص می‏دهد. استفاده از برخی تکنولوژی‏ها برای بخش‌های IT سازمان‌ها به یک کابوس تبدیل خواهد شد، مگر آنکه کارکنان سیاست‌های سازمان در خصوص استفاده از تکنولوژی‏های جدید را به خوبی بپذیرند. در همان حال بی‏توجهی به زیر نظر داشتن تکنولوژی‏های جدید خطر بالقوه‏ای در خصوص امنیت اطلاعات سازمان است.»

برای نمونه در زیر به بررسی خطرهاي 8 تکنولوژی معروف پرداخته می‏شود:
1. Instant Messaging
این روزها مردم از IMها (Instant Messaging) برای هر چیزی استفاده می‏کنند، از مطمئن شدن رسیدن بچه‏ها به منزل تا گفت‌وگو با همکاران و یا حتی شرکای تجاری. براساس تحقیق Y،Yankee Groupن40 درصد از پاسخگویان گفته بودند که از IM در محل کار استفاده می‏کنند. IMها مسائل امنیتی متعددی را به چالش می‏کشاند. به‌خصوص که تبادل اطلاعات در IM و در محیط اینترنت، خط ارتباطی ناامنی محسوب می‏شود و چه‌بسا یک نفوذگر از همین طریق بتواند به اطلاعات محرمانه‏ای که مثلا یک کارمند با یک مشتری در خارج از سازمان و بر روی بستر اینترنت در حال تبادل آن هستند، دسترسی پیدا کند.
یک راه برای مقابله با تهدیدات IMها استفاده از سرورهای IMهای درون‏سازمانی است. مثلا در اواخر سال 2005، شرکت Global Crossing از نرم‏افزار Live Communications Server یا به اختصار LCS، برای این منظور استفاده کرد. این شرکت در ادامه در آگوست 2006، کارکنانش را از استفاده از IMهای شرکت‌هایی نظیر AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتی که از طریق سرورهای داخلی انجام می‏شود، رمز شده (Encrypted) و تمامی IM برون سازمانی محافظت شده‏اند.
همچنین به کارگیری سرورهای IMهای داخلی به واحد امنیت آن سازمان کنترل بیشتری می‏دهد. «ميلر» می‏گوید: «از این طریق ما این توانایی را داریم که سیاست‌های امنیتی را به راحتی اعمال کنیم. برایی نمونه ما می‏توانیم تبادل فایل از طریق IM را محدود کنیم یا کاربران اجازه استفاده از URLهای ارسال شده از طریق شخصی که با آن مشغول چت هستند، نداشته باشند. اینها روش‌های متداولی برای جلوگیری از ورود Wormها به درون سازمان است.» او ادامه می‏دهد: «این روش از اتلاف وقت هم جلوگیری می‏کند.»
روش‌های سخت‏گیرانه‏تری هم وجود دارد. سیاست امنیتی مرکز درمانی DeKalb، استفاده از IMها را کلا ممنوع كرده است. «فايني» برای اطمینان بیشتر نیز اکثر سایت‌هایی را که از طریق آنها می‏توان IMها دانلود کرد را نیز محدود کرده است. اما او نمی‏تواند سایت‌های AOL یا Yahoo را هم بلاک کند؛ چرا که بسیاری از پرسنل از این سایت‌ها برای ایمیل استفاده می‏کنند. گروه او همچنین از یک نرم‏افزار کمکی که وظیفه آن پیدا کردن کامپیوترهایی است که بر روی آنها نرم‏افزار IM نصب شده است نیز استفاده می‏کنند. در صورتی که این نرم‏افزار وجود چنین کامپیوتری را اعلام کند، به کارمند خاطی تذکر داده و سیاست امنیتی سازمان به او یادآور می‏شود. فايني همچنین متدهای مختلفی را برای بلاک کردن ارسال اطلاعات از درون سازمان به بیرون به‌کار گرفته است. در حال حاضر او از یک برنامه کمکی متعلق به شرکت Vericept برای مانیتور کردن اطلاعات استفاده می‏کند. همچنین تیم او اکثر پورت‌های کامپیوترها را بسته‏اند تا نرم‏افزارها راهی جز استفاده از پورت 80 (HTTP Port) برای تبادل اطلاعات با بیرون از سازمان را نداشته باشند.
مرکز درمانی DeKalb به دنبال یافتن ایده‏هایی برای استفاده از نرم‏افزارهایی نظیر IBM Lotus Notes یا حتی نرم‏افزارهای رایگان IM نظیر Jabber برای افرادی که برای امور کاری می‏خواهند در داخل سازمان چت کنند مي‌گردد. فايني در آخر می‏گوید: «هیچ چیز 100درصد نیست. IM هنوز نگرانی بزرگی برای امنیت و همین‌طور کارایی سازمان است.»

2. Web Mail
50درصد پاسخگویان نظرسنجی Yankee Group گفته‏اند که آنها از ایمیل‌ها برای اهداف تجاری سازمان استفاده می‏کنند. مشکل استفاده از ایمیل‌های سرویس‏دهنده‏هایی نظیر G،Google Gmail، Microsoft Hotmail، AOL و Yahoo این است که کاربران به ناامن بودن آنها توجه نمی‏کنند. چرا که اطلاعات بر روی سرورهای ISPها و همان میل‏سرورها ذخیره می‏شوند. کارکنان بی‏توجه به این مسائل، اطلاعات بسیار مهمی نظیر شماره‏های امنیتی، کلمه عبور و بسیاری دیگر از اطلاعات محرمانه سازمان را از این طریق بر روی اینترنت جابه جا می‏کنند.
یکی از راه‏های کاهش دادن خطر لو رفتن اطلاعات سازمان از طریق ایمیل‌ها استفاده از برنامه‏های مانتورینگ و اعمال فیلترها برای بررسی محتوای ایمیل‌ها و بلاک کردن آنها در صورت مغایر بودن با سیاست‌های امنیتی سازمان است. در این زمینه «مايكل ماشادو» مدیر بخش IT شرکت WebEx از برنامه‏ای متعلق به شرکت Reconnex برای مانیتور و فیلتر کردن ایمیل‌ها استفاده می‏کند.
همچنین مرکز درمانی DeKalb از نرم‏افزار Vericept برای مانیتور کردن تمامی ایمیل‌ها استفاده می‏کند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش مي‌دهد و او را از خطرات احتمالی چنین اقداماتی آگاه می‏سازد.

3. دستگاه‏های ذخیره‏سازی قابل‏حمل
(Portable Storage Devices)
یکی از اصلی‏ترین نگرانی‏های مدیران IT، افزایش روزافزون دستگاه‏های ذخیره‏سازی اطلاعات از Apple iPhone و iPodها گرفته تا حافظه‏های فلش و ورود آنها به سازمان است. «هالبروك» این رابطه می‏گوید: «مردم براحتی می‏توانند با این وسایل تمامی اطلاعات محرمانه سازمان را کپی کنند و آنها را به محلی ناامن منتقل کنند.»
«تنها در این سه هفته اخیر، من 6 مطلب مختلف در مورد خطرات این دستگاه‏ها شنیدم» اینها مطلبی بود که « مارك رودس اوسلي» معمار امنیت اطلاعات و نویسنده کتاب
«Network Security: The Complete Reference» بیان می‏کند.
در حالی که بستن پورت‌های USB کار آسانی است، اما بسیاری از مدیران شبکه این روش را روشی درست نمی‏دانند. «ميلر» در خصوص اتفاده از این روش می‏گوید: «اگر مردم بخواهند اطلاعاتی جابه جا کنند، به هرحال راهی برای آن پیدا می‏کنند. اگر شما پورت‌های USB را بلاک کنید، در مورد Infrared، و CD Writer و سایر موارد چه می‏خواهید بکنید؟»
او پیشنهاد می‏دهد بايد حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجیه کرد که استفاده نادرست از این وسایل چه خطراتی برای سازمان می‏تواند به‌همراه داشته باشد. ميلر ادامه می‏دهد: «بسیاری از فاجعه‏هایی که در این رابطه اتفاق می‏افتد، غیرعمدی بوده است و به همین خاطر است که کارکنان باید آموزش ببینند.»
«ماشادو» هم موافق بلاک کردن USBها در شرکت WebEx نیست. چا که این موضوع باعث درخواست‌های بی‏شمار به واحد IT سازمان می‏شود و کم‏کم مسوولان ناچار می‏شوند در خصوص این درخواست‌ها استثناهایی را لحاظ کنند و پس از اندک مدتی مدیریت این استثناها غیرکنترل می‏شود. او می‏گوید: «همه یک استثنا دارند که از نظر خودشان مهم‌ترین کار سازمان است. پاسخگویی به این کاربران زمان‏بر است.»
او معتقد است که بهترین کار استفاده از ابزاری است که به‌صورت خودکار به کاربری که در حال کپی کردن اطلاعات بر روی این دستگاه‏ها است، پیغام هشدار دهد. او می‏گوید: «در این صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نیز قابل ردیابی خواه بود.»
اما فايني خود را طرفدار بلاک کردن USB در مرکز درمانی DeKalb می‏داند و از نرم‏افزار Vericept برای این منظور استفاده می‏کند. او همچنین دادن یپغام هشدار به کاربر را نیز ایده جالبی می‏داند.
در همین حال دانشگاه ایالتی Grand Valley میشیگان و برخی دیگر از دانشگاه‏ها به‌دنبال روشی برای استاندارد کردن رمزگذاری حافظه‏های فلش برای بالا بردن امنیت این دستگاه‏ها هستند.

4. PDAها و گوشی‏های هوشمند
هر روز بر تعداد کسانی که از PDAها استفاده می‏کنند، افزوده می‏شود. اما زمانی که آنها می‏خواهند اطلاعات را از روی PC به آن منتقل کنند یا بالعکس، می‏توانند مسبب مشکلاتی شوند. از ایجاد یک اشکال کوچک گرفته تا صفحه آبی ویندوز. «هالبروك» در این خصوص می‏گوید: «این نوع مشکلات، اشکالات غیررایجی نیستند. اشکالات ناخوشایندی هستند که مدام تکرار می‌شوند.»
مساله اینجا است که آیا پرسنل باید برای استفاده از این دستگاه‏ها آزاد باشند. یک کارمند می‏تواند از در خارج شود، در حالی که اطلاعات زیادی از سازمان را در درون PDA خود ذخیره کرده است.
مانند بسیاری از سازمان‌ها، شرکت WebEx خطرات این دستگاه‏ها را از طریق استاندارد کردن استفاده از یک برند خاص PDA کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصی از PDA را در محل کار دارند که مسائل امنیتی آن به‌دت تحت کنترل واحد IT است. این شرکت همین کار را در مورد Laptopها نیز انجام داده است که بنا به عقیده «ماشادو» از PDAها بسیار خطرناکترند؛ چرا که می‏توانند اطلاعات بیشتری را در خود ذخیره کنند. کارکنان اجازه آوردن Laptop با برند دیگر را به درون سازمان ندارند.

5. گوشی‏های دوربین‏دار
یک کارگر بیمارستان در مقابل اتاق پرستاران ایستاده بود و با پرستاران بسیار خودمانی مشغول صحبت بود. هیچ‌کس متوجه این موضوع نبود که او مدام دکمه کوچک موبایلش را می‏فشارد. این یک صحنه از دزدی اطلاعات با گوشی دوربین‏دار می‏تواند باشد.
«فايني» در این مورد می‏گوید: «یکی از این تست‌ها که من رای مرکز درمانی DeKalb انجام داده بودم، رفتن به اتاق پرستاران (در حالی که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها به‌صورت نامحسوس بود. من می‏خواستم ببینم که آیا از این طریق می‏توان به اطلاعات پرونده‏ها و کاغذهایی که روی میز قرار داشتند، دسترسی داشت یا خیر.»
وقتی او به اتاق کارش باز می‏گردد، اطلاعات خاصی در مورد آن پرونده‏ها از آن عکس‌ها به‌دست نمی‏آید اما به‌صورت تصادفی نام کامپیوتر (نه IP) را که بر روی مانیتور نمایش داده شده بود، در یکی از عکس‌ها می‏بیند.
«این نوع اطلاعات می‏تواند در کنار سایر اطلاعات به‌دست آمده از روش‌های دیگر باعث ایجاد دید روشن برای طرح‌ریزی یک حمله شود.»
او در این مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض دید قرار دادن اطلاعات کلیدی هشدار داده است.

6. Skype و دیگر سرویس‌های VoIP
تکنولوژی دیگری که به شدت در حال رشد است Skype است، نرم‏افزاری قابل‏دانلود که کاربران از طریق آن می‏توانند تماس‌های تلفنی رایگان برقرار کنند. 20درصد از پاسخگویان به این نظرسنجی گفته‏اند از این سرویس برای اهداف تجاری استفاده می‏کنند.
خطری که Skype یک سازمان را تهدید می‏کند، همان خطری است که هر نرم‏افزار کوچک قابل‏دانلود دیگر را تهدید می‏کند. هالبروك در این خصوص می‏گوید: «نرم‏افزارهای تجاری برای یک سازمان از لحاظ امنیتی مطمئن‏تر از برنامه‏های کوچک قابل‏دانلود بر روی اینترنت می‏باشند. بنابراین دانلود هر نرم‏افزاری می‏تواند نوعی ریسک برای سازمان محسوب شود.»
Skype حداقل 4 مورد مشکل امنیتی را اعلام کرده است و برای آنها آپدیت ارائه کرده است. متاسفانه اغلب بخش‌های IT سازمان‌ها آماری در مورد اینکه چه تعداد از پرسنل از این نرم‏افزار استفاده می‏کنند و از این تعداد چند نفر از آخرین نسخه استفاده نمی‏کنند، اطلاعاتي ندارند. لذا نمی‏تواند کنترل صحیحی را اعمال کند.
بنا به نظر شرکت Gartner ایمن‏ترین راه، محدود کردن ترافیک‌های مربوط به این نرم‏افزار در شبکه است و اگر قرار شد برخی افراد از آن استفاده کنند، بايد ویرایش آخر این نرم‏افزار را به‌همراه آپدیت‏هایش اجرا کنند.

7. برنامه‏های کوچک قابل‏دانلود
براساس تحقیق Yankee Group استفاده‏کنندگان این برنامه‏ها از دستگاه‏هایی نظیر Q و Nokia E62 جهت دسترسی سریع به اینترنت برای دانلود آنها استفاده می‏کنند. این برنامه‏ها می‏توانند به آسانی وارد یک کامپیوتر شوند و این درگاهی دیگر برای ورود اطلاعات ناخواسته به اکوسیستم سازمان است که با معیارهای امنیتی بخش IT سازگار نیست.
مشکل اینجا است که این برنامه‏های کوچک قدرت پردازش کامپیوتر و پهنای باند شبکه را شغال می‏کنند. هالبروك می‏گوید: «من نمی‏خواهم بگویم اینها ویروس هستند اما شما در حال دانلود کردن نرم افزاری هستید که اطمینان زیادی به آن ندارید.»
WebEx به کارکنانش در خصوص ریسک‌های این برنامه‏های کوچک آموزش می‏دهد و از Reconnex برای مانیتور برنامه‏های نصب شده بر روی کامپیوترها استفاده می‏کند، ضمن اینکه برخی از حق دسترسی‏هایی را که به صورت پیش فرض برای دانلود فعال می‏باشند نیز غیرفعال کرده است.

8. دنیاهای مجازی (Virtual Worlds)
کارکنان شرکت‌های تجاری در حال تجربه کردن زندگی کاری در دنیاهایی مجازی هستند، دنیاهایی که برخی معتقدند زندگی دوم ما انسان‌ها است. ام وظیفه بخش IT سازمان این است که در خصوص خطرات آن آگاه باشد.
در همان حال ذات این محیط‌ها براساس دانلود حجم زیادی از اطلاعات و برنامه‏ها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن می‏کنند.
Gartner پیشنهاد می‏کند که کارکنان حتی‏الامکان در خارج از شبکه درونی سازمان و یا منزل در حالی که توسط Firewall بیرونی سازمان کامپیوترشان محافظت می‏شود، از این محیط‌ها استفاده کنند. در واقع سازمان دارای دو دیواره آتش باشد. اولی از کامپیوترهایی که می‏خواهند به این محیط‌ها دسترسی داشته باشند محافظت کند و دومین دیواره آتش بعد از دیواره آتش اول از شبکه داخلی سازمان محافظت کند.

منبع : Computer World