عامل‌های انسانی در امنیت اطلاعات/تهدیدهای درونی

چکیده

ویرایش

در این مقاله به بررسی برخی از مسائل کلیدی مربوط به تهدیدهای درونی امنیت اطلاعات و ماهیت وفاداری و خیانت در چارچوب فرهنگی، سیاسی و اقتصادی سازمان می‌پردازیم. تفاوت‌های منطقه‌ای و فرهنگی تفاوت‌های خودرا در تهدیدهای امنیتی و ریسک‌ها آشکار می‌کند. تهدیدها در این زمان رکود و بحران اقتصادی موجب ایجاد عدم اطمینان شخصی و سازمانی و موجب افزایش رفتارهای غیر طبیعی در درازمدت در کارمندان و مدیران می‌شود. در چنین شرایطی چگونه سازمان‌ها بدانند که چه کسی قابل اعتماد است؟

این مشخص است که به دلیل دسترسی مشروع و قانونی افراد خودی به اطلاعات و دانش و دارایی‌های سازمان و آگاهی از محل قرار گرفتن و نحوه دسترسی به آنها موجبات اهمیت مسأله امنیت اطلاعات در مقابل افراد داخلی سازمان را به وجود آورده‌است. در واقع به همین دلایل است که برای مهاجمان خارجی به صرفه تر است که از افراد داخل سازمان برای دستیابی به اطلاعات سازمان استفاده نمایند.

در واقع این مقاله ریسک‌های داخلی که باید در زمینه‌های تغییرات فنی، اجتماعی، تجاری و همچنین فاکتورهای فرهنگی مورد بررسی قرار گیرند را مورد بررسی قرار داده است. تجربیات نشان داده است که اعتماد به فناوری (تکنولوژی) بدون در نظر گرفتن فاکتورهای عامل انسانی و افراد داخل سازمان می‌تواند نتیجه بسیار بدی درپی داشته باشد. افراد خودی باعث صدمات بیشتری به سازمان می‌شوند آنها حق قانونی به منظور دستیابی به فایل‌ها و اطلاعات را دارند. افراد داخلی از محیط کار دانش سازمان و موقعیت دارایی‌های حیاتی و ارزشمند سازمان با خبرند. افراد داخلی با توجه به این اطلاعات می‌دانند که چگونه رد خود را پاک نمایند که برعکس تهدیدات خارجی که باید هدف گذاری و جمع‌آوری منابع انجام شود و از لایه‌های مختلف عبور نمایند به این دلیل می‌باشد که برای مهاجمان خارجی به صرفه تر می‌باشد که از افراد داخل سازمان استفاده نماید.

این مقاله از دید کارشناسان می‌باشد و در آن موضوعات و دستاوردها در مورد خطرات و تهدیدات داخلی آمده‌است.

تهدیدات درونی

ویرایش

تهدیدات درونی همیشه خود را نشان می‌دهند و به شیوه‌های گوناگون خود را آشکار می‌سازند. این مقاله به برجسته‌سازی مخاطرات درونی در زمینه‌های فنی فناوری، اجتماعی، کسب و کار و عوامل فرهنگی می‌پردازد.

افراد سازمان به عنوان یک تهدید علیه سازمان

ویرایش

افراد یک سازمان بصورت بالقوه می توانند خطرات بیشتری را به نسبت حمله کنندگان خارج از سازمان برای امنیت آن سازمان ایجاد کنند. این افراد بواسطه حق دسترسی که به اطلاعات و امکانات سازمان دارند، از محل دارایی های با ارزش سازمان و یا از جریان فرآیندهای بحرانی سازمان اطلاع دارند. همچنین افراد یک سازمان خواهند دانست چطور، چه زمان و به کجا حمله کنند و چطور رد پای خود را پوشش دهند. افراد خارج از سازمان قبل از حمله نیاز دارند منابع و اطلاعات زیادی را مورد هدف قرار داده و جمع آوری کنند اما در مقابل افراد داخل سازمان می توانند مستقیماً اطلاعات را مورد هدف قرار داده و لازم نیست بر سدهایی که بر سر راه حمله برندگان خارجی وجود دارد حائل آیند.

تهدید داخلی جدی است و باقی می‌ماند

ویرایش

در حال حاضر بسیاری از شکل‌های فناوری که برای حفاظت اطلاعات وجود دارد برای جلوگیری از نفوذ غیر مجاز افراد خارج از سازمان می‌باشد از جمله دیوار آتش و سیستم‌های کشف دخول غیر مجاز. از طرفی بکارگیری این ابزار که برای محافظت در مقابل افراد خارج از سازمان بکار گرفته می‌شود برای کاربران داخل سازمان مقرون بصرفه نیست. همچنین حمله‌های خارجی در یا سازمان اغلب بصورت آسانتری قابل پیگیری و دفاع می‌باشد.

  فناوری‌هایی (تکنولوژی) به منظور محافظت از اطلاعات در دسترس است ولی معمولان این ابزار برای مقابله با تهدیدات خارجی می‌باشد و متاسفانه سرمایه‌گذاری کمتری برای مقابله با تهدیدات داخلی می‌باشد، تحقیقات نشان داده است که 70 درصد حملات و کلاهبرداری‌ها از طریق افراد داخل سازمان می‌باشد اما 90 در صد ابزار برای مقابله به تهدیدات خارجی می‌باشد.
  مهاجمان داخلی معمولاً قسمتی از سازمان یا بخش کاری ما هستند که می‌شود با تعیین سطح دسترسی‌ها تا حدودی در مقابل تهدیدات ایستادگی نمود
  بعضی از افراد بی قصد و نیت و در واقع غیر عمد باعث به وجود آوردن تهدیداتی برای سازمان می‌شود مثلاً استفاده نا مناسب از اینترنت و بوجود آوردن شرایط حملات ویروسی به شبکه سازمان و به خطر اندازی آینده و اطلاعات سازمان شود.
  تهدیدات داخلی مانند یک تومور می‌باشد که اگر زود تشخیص داده شود قابل درمان و رفع مشکل است و اگر توجهی به آن نشود باعث خطرات زیاد و سرانجام مرگ می‌گردد.

طبق تحقیقات BERR (2008) بسیاری از سازمان‌ها (نتایج عنوان شده برای بریتانیا ذکر شده) به اندازه کافی برای محافظت اطلاعات خود و مشتری‌های خود اقدامات خاصی انجام نداده‌اند:

از جمله برخی از موارد قابل توجه در تهدید درونی می‌توان به موارد زیر اشاره نمود:

  • ۵۲٪ از سازمان‌ها ارزیابی رسمی (فرمال) در خصوص خطرات امنیتی را انجام نمی‌دهند.
  • ۶۷٪ از سازمان‌ها کنترلی جهت جلوگیری از خروج اطلاعات محرمانه از طریق USB و ... را انجام نمی‌دهند.
  • ۷۸ درصد از هارد کامپیوترهای شرکت‌ها در مقابل سرقت امن نیستند.
  • ۸۴٪ از شرکت‌ها به بررسی خروج اطلاعات محرمانه از طریق ایمیل‌های خروجی نمی‌پردازند.

عاملهای فناوری و اجتماعی اثرگذار بر تهدید درونی

ویرایش

فناوری، نگرش اجتماعی را با داده‌ها و ارتباطات در دسترس، بطور فزاینده‌ای افزایش داده‌است. این قابلیت به بهره‌برداری از فرصت‌های جدید با تاثیر گذاری عمده بر تعاملات اجتماعی و ساختارهای اجتماعی در خانه و محل کار دست یافته‌است.

عاملهای کسب و کار و اقتصادی موثر بر تهدید درونی

ویرایش

دنیای کسب و کار تغییر یافته‌است. همهٔ شرکتها و سازمانها، به خصوص کسب و کارهای تجاری، با بروز استراتژی‌های جدید برای بقا در بازارهای ملی و بین‌المللی پویا مواجه شده‌اند. رکود اقتصاد جهانی کنونی باعث از بین رفتن کسب و کارهای سنتی از طریق افزایش هزینه‌ها، کاهش درآمدها و کمبود منابع سرمایه‌گذاری گشته است.

عوامل فرهنگی اثرگذار بر تهدید درونی

ویرایش
  1. فرهنگ سازمانی
  2. فرهنگ منطقه‌ای

حداقل باید دو دیدگاه فرهنگی در هنگام بررسی تهدید درونی مورد تحلیل قرار بگیرد: فرهنگ سازمانی و فرهنگ ملی/مذهبی. هرکدام از این عوامل می‌تواند بر روی رفتار و تاثیر میزان حفاظت اطلاعات موثر باشد.

چرا و چه زمانی خودی به سمت «راه نادرست» می‌رود؟

ویرایش

ارتباط بین تهدیدات بالفعل، بالقوه و فعالیتهای مخرب باید مورد کاوش قرار بگیرد حملات درونی از درجات مختلفی از انگیزه، فرصت و ظرفیت ساخته شده‌اند. در حالیکه فرصت و توانایی به فرد درون سازمانی یا از طرف سازمان و آشکارا داده خواهد شد و یا ممکن است حمله کنندگان یک بار بصورت مخفیانه وارد شوند.

اهمیت عوامل غیر فنی در تهدید درونی

ویرایش
  1. اجبار حداقل سیاست‌های امنیتی
  2. گسترش سیاست‌های سنتی
  3. چک کردن رفتار پرسنل در حال انجام کار
  4. اجرای ارزیابی‌های خطر‌های متمرکز (ایجاد الگو)

کمترین کنترل‌های تکنیکی در مقابل حمله‌های داخلی باید شامل موارد ذیل باشد:

  • رمزنگاری
  • کنترل دسترسی
  • حداقل امتیاز دسترسی
  • نظارت و ارائه گزارش

این امر مستلزم تمرکز بر عوامل انسانی، ادراکات، و انتظارات می‌باشد و نه بمانند علامت زدن خانه‌های خالی تست!

آموزش امنیت حیاتی و آگاهی

ویرایش
  1. تغییر رفتار ضروری
  2. اطمینان درک حقیقی دلایل کنترل امنیت
  3. آموزش افراد خارج از سازمان

حفاظت از اطلاعات یک سازمان مسئولیت همه کارکنان است. آموزش، آموزش و آگاهی برای عاملهای انسانی و اجتماعی شاید بزرگترین عامل غیرفنی در دسترس و عمومی باشند. بسیاری از مشکلات بوجود آمده از فرد درون سازمان بیشتر از جهل او ناشی می‌شود تا انگیزه‌های مخرب. شکست‌های اتفاقی می‌تواند احتمال اثرات بزرگ و به هم پیوسته را در مقیاس گسترده افزایش دهد.

اقداماتی که بهتر است برای مقابله با تهدیدات افراد داخلی سازمانها انجام گردد

ویرایش
  • عدم انکار وجود تهدید
  • قبول اینکه افراد در موقعیت قابل اعتماد موجب ضربه بیشتر به سازمان می گردد
  • صبر نکنید تا مورد تهاجم قرار گیرید
  • تمام اطلاعات مهم و حساس را رمزنگاری نمایید
  • افزایش ریسک مهاجم داخلی و بررسی راهکارها و سرمایه گذاری در این رابطه
  • ارزیابی خطر به صورت مناسب با در نظر گرفتن انگیزه و توانایی ها

نتیجه‌گیری

ویرایش

این مقاله به بررسی عوامل انسانی بسیاری که می‌تواند درارزیابی و مدیدیریت تهدیدهای درونی مورد استفاده قرار بگیرد پرداخت.

  • وجود یک تهدید بدین شکل را نمی‌توان انکار کرد و به شکست منجر خواهد شد
  • بالارفتن افزایش تهدیدات درونی و اثرات آن درسطح بالای سازمان
  • نباید منتظر ماند تا زمانی که حمله‌ای به اطلاعات صورت بپذیرد
  • رمزنگاری تمام اطلاعات و ارتباطات حساس
  • اعمال سیاستهای خود بطور مداوم (از جمله نحوه استفادهٔ اطلاعات بطور قابل قبول)
  • بکاربردن و حفاظت از حداقل حقوق همیشگی
  • انتظار می‌رود نقض اطلاعات تصادفی، احتمال وقوع بیشتری نسبت به حملات مخرب دارد
  • بپذیرید آنهایی که در موقعیت اعتمادی بالاتری هستند، ممکن است باعث بزرگترین آسیب‌ها شوند
  • نظارت بر رفتار و شناسایی فرصت‌ها جهت تقویت امنیت
  • اعمال کنترل سختگیرانهٔ رفت و آمد کارکنان
  • برقراری تعادل (دراندیشیدن تدبیر) بین تهدیدهای داخلی و خارجی

نتیجه گیری کلی این مقاله بدین صورت که تکنولوژی می تواند موجب کنترل دسترسی اطلاعات و حساب کاربران و افراد داخلی یا خارجی گردند و لی این محیط کار و عامل های انسانی هستند که موفقیت یک طرح مقابله با تهدید را کنترل نمابد باید کنترل های امنبت چالاک و سریع باشد و در محیط های مختلف قابل اجرا.

درنهایت: باید پذیرفت که تهدید امنیت اطلاعات از سوی افراد درون سازمانی (درون سازمان) را نمی‌توان حذف کرد اما می‌توان آن را ارزیابی و مدیریت کرد. عوامل انسانی و رفتار درونی از منظر اجزاء IT و مزایای امنیتی ممکن است در دراز مدت و به مراتب بسیار کمتر قابل درک باشد. این مسئله را باید در مقابل ارتباطات تجاری اولویت داد. ایجاد توازن صرف از منظر مسائل تهدید درونی ممکن است در طول یک رکود اقتصادی به توجیه قابل توجهی در سازمان احتیاج داشته باشد اما این یک چالش است که باید پذیرفته شود.

نام انگلیسی مقاله

ویرایش

Carl Colwilli (2010) Human factors in information security: The insider Threats.

دانلود مقاله

ویرایش

منبع

یا

[دریافت مقاله اصلی]