عاملهای انسانی در امنیت اطلاعات/تهدیدهای درونی
چکیده
ویرایشدر این مقاله به بررسی برخی از مسائل کلیدی مربوط به تهدیدهای درونی امنیت اطلاعات و ماهیت وفاداری و خیانت در چارچوب فرهنگی، سیاسی و اقتصادی سازمان میپردازیم. تفاوتهای منطقهای و فرهنگی تفاوتهای خودرا در تهدیدهای امنیتی و ریسکها آشکار میکند. تهدیدها در این زمان رکود و بحران اقتصادی موجب ایجاد عدم اطمینان شخصی و سازمانی و موجب افزایش رفتارهای غیر طبیعی در درازمدت در کارمندان و مدیران میشود. در چنین شرایطی چگونه سازمانها بدانند که چه کسی قابل اعتماد است؟
این مشخص است که به دلیل دسترسی مشروع و قانونی افراد خودی به اطلاعات و دانش و داراییهای سازمان و آگاهی از محل قرار گرفتن و نحوه دسترسی به آنها موجبات اهمیت مسأله امنیت اطلاعات در مقابل افراد داخلی سازمان را به وجود آوردهاست. در واقع به همین دلایل است که برای مهاجمان خارجی به صرفه تر است که از افراد داخل سازمان برای دستیابی به اطلاعات سازمان استفاده نمایند.
در واقع این مقاله ریسکهای داخلی که باید در زمینههای تغییرات فنی، اجتماعی، تجاری و همچنین فاکتورهای فرهنگی مورد بررسی قرار گیرند را مورد بررسی قرار داده است. تجربیات نشان داده است که اعتماد به فناوری (تکنولوژی) بدون در نظر گرفتن فاکتورهای عامل انسانی و افراد داخل سازمان میتواند نتیجه بسیار بدی درپی داشته باشد. افراد خودی باعث صدمات بیشتری به سازمان میشوند آنها حق قانونی به منظور دستیابی به فایلها و اطلاعات را دارند. افراد داخلی از محیط کار دانش سازمان و موقعیت داراییهای حیاتی و ارزشمند سازمان با خبرند. افراد داخلی با توجه به این اطلاعات میدانند که چگونه رد خود را پاک نمایند که برعکس تهدیدات خارجی که باید هدف گذاری و جمعآوری منابع انجام شود و از لایههای مختلف عبور نمایند به این دلیل میباشد که برای مهاجمان خارجی به صرفه تر میباشد که از افراد داخل سازمان استفاده نماید.
این مقاله از دید کارشناسان میباشد و در آن موضوعات و دستاوردها در مورد خطرات و تهدیدات داخلی آمدهاست.
تهدیدات درونی
ویرایشتهدیدات درونی همیشه خود را نشان میدهند و به شیوههای گوناگون خود را آشکار میسازند. این مقاله به برجستهسازی مخاطرات درونی در زمینههای فنی فناوری، اجتماعی، کسب و کار و عوامل فرهنگی میپردازد.
افراد سازمان به عنوان یک تهدید علیه سازمان
ویرایشافراد یک سازمان بصورت بالقوه می توانند خطرات بیشتری را به نسبت حمله کنندگان خارج از سازمان برای امنیت آن سازمان ایجاد کنند. این افراد بواسطه حق دسترسی که به اطلاعات و امکانات سازمان دارند، از محل دارایی های با ارزش سازمان و یا از جریان فرآیندهای بحرانی سازمان اطلاع دارند. همچنین افراد یک سازمان خواهند دانست چطور، چه زمان و به کجا حمله کنند و چطور رد پای خود را پوشش دهند. افراد خارج از سازمان قبل از حمله نیاز دارند منابع و اطلاعات زیادی را مورد هدف قرار داده و جمع آوری کنند اما در مقابل افراد داخل سازمان می توانند مستقیماً اطلاعات را مورد هدف قرار داده و لازم نیست بر سدهایی که بر سر راه حمله برندگان خارجی وجود دارد حائل آیند.
تهدید داخلی جدی است و باقی میماند
ویرایشدر حال حاضر بسیاری از شکلهای فناوری که برای حفاظت اطلاعات وجود دارد برای جلوگیری از نفوذ غیر مجاز افراد خارج از سازمان میباشد از جمله دیوار آتش و سیستمهای کشف دخول غیر مجاز. از طرفی بکارگیری این ابزار که برای محافظت در مقابل افراد خارج از سازمان بکار گرفته میشود برای کاربران داخل سازمان مقرون بصرفه نیست. همچنین حملههای خارجی در یا سازمان اغلب بصورت آسانتری قابل پیگیری و دفاع میباشد.
فناوریهایی (تکنولوژی) به منظور محافظت از اطلاعات در دسترس است ولی معمولان این ابزار برای مقابله با تهدیدات خارجی میباشد و متاسفانه سرمایهگذاری کمتری برای مقابله با تهدیدات داخلی میباشد، تحقیقات نشان داده است که 70 درصد حملات و کلاهبرداریها از طریق افراد داخل سازمان میباشد اما 90 در صد ابزار برای مقابله به تهدیدات خارجی میباشد.
مهاجمان داخلی معمولاً قسمتی از سازمان یا بخش کاری ما هستند که میشود با تعیین سطح دسترسیها تا حدودی در مقابل تهدیدات ایستادگی نمود
بعضی از افراد بی قصد و نیت و در واقع غیر عمد باعث به وجود آوردن تهدیداتی برای سازمان میشود مثلاً استفاده نا مناسب از اینترنت و بوجود آوردن شرایط حملات ویروسی به شبکه سازمان و به خطر اندازی آینده و اطلاعات سازمان شود.
تهدیدات داخلی مانند یک تومور میباشد که اگر زود تشخیص داده شود قابل درمان و رفع مشکل است و اگر توجهی به آن نشود باعث خطرات زیاد و سرانجام مرگ میگردد.
طبق تحقیقات BERR (2008) بسیاری از سازمانها (نتایج عنوان شده برای بریتانیا ذکر شده) به اندازه کافی برای محافظت اطلاعات خود و مشتریهای خود اقدامات خاصی انجام ندادهاند:
از جمله برخی از موارد قابل توجه در تهدید درونی میتوان به موارد زیر اشاره نمود:
- ۵۲٪ از سازمانها ارزیابی رسمی (فرمال) در خصوص خطرات امنیتی را انجام نمیدهند.
- ۶۷٪ از سازمانها کنترلی جهت جلوگیری از خروج اطلاعات محرمانه از طریق USB و ... را انجام نمیدهند.
- ۷۸ درصد از هارد کامپیوترهای شرکتها در مقابل سرقت امن نیستند.
- ۸۴٪ از شرکتها به بررسی خروج اطلاعات محرمانه از طریق ایمیلهای خروجی نمیپردازند.
عاملهای فناوری و اجتماعی اثرگذار بر تهدید درونی
ویرایشفناوری، نگرش اجتماعی را با دادهها و ارتباطات در دسترس، بطور فزایندهای افزایش دادهاست. این قابلیت به بهرهبرداری از فرصتهای جدید با تاثیر گذاری عمده بر تعاملات اجتماعی و ساختارهای اجتماعی در خانه و محل کار دست یافتهاست.
عاملهای کسب و کار و اقتصادی موثر بر تهدید درونی
ویرایشدنیای کسب و کار تغییر یافتهاست. همهٔ شرکتها و سازمانها، به خصوص کسب و کارهای تجاری، با بروز استراتژیهای جدید برای بقا در بازارهای ملی و بینالمللی پویا مواجه شدهاند. رکود اقتصاد جهانی کنونی باعث از بین رفتن کسب و کارهای سنتی از طریق افزایش هزینهها، کاهش درآمدها و کمبود منابع سرمایهگذاری گشته است.
عوامل فرهنگی اثرگذار بر تهدید درونی
ویرایش- فرهنگ سازمانی
- فرهنگ منطقهای
حداقل باید دو دیدگاه فرهنگی در هنگام بررسی تهدید درونی مورد تحلیل قرار بگیرد: فرهنگ سازمانی و فرهنگ ملی/مذهبی. هرکدام از این عوامل میتواند بر روی رفتار و تاثیر میزان حفاظت اطلاعات موثر باشد.
چرا و چه زمانی خودی به سمت «راه نادرست» میرود؟
ویرایشارتباط بین تهدیدات بالفعل، بالقوه و فعالیتهای مخرب باید مورد کاوش قرار بگیرد حملات درونی از درجات مختلفی از انگیزه، فرصت و ظرفیت ساخته شدهاند. در حالیکه فرصت و توانایی به فرد درون سازمانی یا از طرف سازمان و آشکارا داده خواهد شد و یا ممکن است حمله کنندگان یک بار بصورت مخفیانه وارد شوند.
اهمیت عوامل غیر فنی در تهدید درونی
ویرایش- اجبار حداقل سیاستهای امنیتی
- گسترش سیاستهای سنتی
- چک کردن رفتار پرسنل در حال انجام کار
- اجرای ارزیابیهای خطرهای متمرکز (ایجاد الگو)
کمترین کنترلهای تکنیکی در مقابل حملههای داخلی باید شامل موارد ذیل باشد:
- رمزنگاری
- کنترل دسترسی
- حداقل امتیاز دسترسی
- نظارت و ارائه گزارش
این امر مستلزم تمرکز بر عوامل انسانی، ادراکات، و انتظارات میباشد و نه بمانند علامت زدن خانههای خالی تست!
آموزش امنیت حیاتی و آگاهی
ویرایش- تغییر رفتار ضروری
- اطمینان درک حقیقی دلایل کنترل امنیت
- آموزش افراد خارج از سازمان
حفاظت از اطلاعات یک سازمان مسئولیت همه کارکنان است. آموزش، آموزش و آگاهی برای عاملهای انسانی و اجتماعی شاید بزرگترین عامل غیرفنی در دسترس و عمومی باشند. بسیاری از مشکلات بوجود آمده از فرد درون سازمان بیشتر از جهل او ناشی میشود تا انگیزههای مخرب. شکستهای اتفاقی میتواند احتمال اثرات بزرگ و به هم پیوسته را در مقیاس گسترده افزایش دهد.
اقداماتی که بهتر است برای مقابله با تهدیدات افراد داخلی سازمانها انجام گردد
ویرایش- عدم انکار وجود تهدید
- قبول اینکه افراد در موقعیت قابل اعتماد موجب ضربه بیشتر به سازمان می گردد
- صبر نکنید تا مورد تهاجم قرار گیرید
- تمام اطلاعات مهم و حساس را رمزنگاری نمایید
- افزایش ریسک مهاجم داخلی و بررسی راهکارها و سرمایه گذاری در این رابطه
- ارزیابی خطر به صورت مناسب با در نظر گرفتن انگیزه و توانایی ها
نتیجهگیری
ویرایشاین مقاله به بررسی عوامل انسانی بسیاری که میتواند درارزیابی و مدیدیریت تهدیدهای درونی مورد استفاده قرار بگیرد پرداخت.
- وجود یک تهدید بدین شکل را نمیتوان انکار کرد و به شکست منجر خواهد شد
- بالارفتن افزایش تهدیدات درونی و اثرات آن درسطح بالای سازمان
- نباید منتظر ماند تا زمانی که حملهای به اطلاعات صورت بپذیرد
- رمزنگاری تمام اطلاعات و ارتباطات حساس
- اعمال سیاستهای خود بطور مداوم (از جمله نحوه استفادهٔ اطلاعات بطور قابل قبول)
- بکاربردن و حفاظت از حداقل حقوق همیشگی
- انتظار میرود نقض اطلاعات تصادفی، احتمال وقوع بیشتری نسبت به حملات مخرب دارد
- بپذیرید آنهایی که در موقعیت اعتمادی بالاتری هستند، ممکن است باعث بزرگترین آسیبها شوند
- نظارت بر رفتار و شناسایی فرصتها جهت تقویت امنیت
- اعمال کنترل سختگیرانهٔ رفت و آمد کارکنان
- برقراری تعادل (دراندیشیدن تدبیر) بین تهدیدهای داخلی و خارجی
نتیجه گیری کلی این مقاله بدین صورت که تکنولوژی می تواند موجب کنترل دسترسی اطلاعات و حساب کاربران و افراد داخلی یا خارجی گردند و لی این محیط کار و عامل های انسانی هستند که موفقیت یک طرح مقابله با تهدید را کنترل نمابد باید کنترل های امنبت چالاک و سریع باشد و در محیط های مختلف قابل اجرا.
درنهایت: باید پذیرفت که تهدید امنیت اطلاعات از سوی افراد درون سازمانی (درون سازمان) را نمیتوان حذف کرد اما میتوان آن را ارزیابی و مدیریت کرد. عوامل انسانی و رفتار درونی از منظر اجزاء IT و مزایای امنیتی ممکن است در دراز مدت و به مراتب بسیار کمتر قابل درک باشد. این مسئله را باید در مقابل ارتباطات تجاری اولویت داد. ایجاد توازن صرف از منظر مسائل تهدید درونی ممکن است در طول یک رکود اقتصادی به توجیه قابل توجهی در سازمان احتیاج داشته باشد اما این یک چالش است که باید پذیرفته شود.
نام انگلیسی مقاله
ویرایشCarl Colwilli (2010) Human factors in information security: The insider Threats.
دانلود مقاله
ویرایشیا