عامل‌های انسانی در امنیت اطلاعات/عملکرد عامل انسانی در امنیت فضای سایبر (دستورکار پژوهشی)

در گزارش مرکز پاسخگویی دولت آمریکا تحت عنوان «ارزیابی تکنولوژی: امنیت سایبری برای حفاظت زیر ساختهای حیاتی» عنوان شده است که ارتباطی قوی بین مردم، تکنولوژی و فرآیندهایی که منجر به گسترش یک سیستم امنیت سایبری قوی خواهد شد وجود دارد. در این گزارش تأکید شده است که طراحی تکنولوژی معمولا منجر به بروز خطاهای انسانی می‌شود. این خطا ها باعث آسیب پذیری و حساسیت سیستم شده و در این زمینه ۴ مبحث حساس را مشخص می‌نمایند:

• کنترل دسترسی ها و استفاده از نام کاربری و رمز عبور

• خطا در انجام رویه ها

• اجزا شبکه که به شکل ضعیفی ترکیب شده اند

• مدیریت ضعیف سیستم: مدیران شبکه با دانش اندک در خصوص رویه های سیستم و اجزای نرم افزاری و رابط کاربر، سیستم را نسبت به حملات اینترنتی حساس میکنند.

ارزیابی ما در خصوص نیازمندیهای تحقیقاتی عملکرد های انسان بر روی امنیت سایبری بر مبنای 4 فاکتور فوق انجام گرفته است. هدف این مطالعه فراهم آوردن اطلاعات اولویت بندی شده در حطیه امنیت سایبری و ارائه توصیه هایی برای تحقیقات آینده در این زمینه است. یکی از اهداف این تلاش تسهیل طراحی سیستم های امنیت سایبری بدون خطا از طریق استفاده از سیستم task modeling است . task Modeling شیوه ای است که بر مبنای تعریف فعالیت هایی که احتمال بروز خطا در آنها زیاد است و توالی های پر خطر کار میکند. این سیستم اولویت بندی مناسبی برای مباحث مورد نیاز فرآیند "یکپارچه‌سازی سیستم‌های انسانی " ارائه میدهد و بر اساس کاربرد پذیری، خطاهای انسانی، اگاهی موقعیتی و رویت پذیری اقدام به طراحی سیستم های امنیت سایبری می‌کند.

کاربرد پذیری و رعایت امنیت در نرم افزارهای رابط

طبق استاندارد ANSI-2001 کاربرد پذیری به معنای این است که یک محصول خاص برای گروه خاصی از مشتریان به منظور رسیدن به هدف خاص و به صورت موثر، کار آمد، و رضایت بخش قابل استفاده باشد . در حوزه امنیت سایبری این تعریف با افزوده اصطلاح " مورد پذیرش کاربر " و "رضایتمندی" تکمیل شده است. مورد پذیرش واقع شدن به معنی کاهش پیچیدگی و سردرگمی کاربر و رضایتمندی به معنی کاهش حجم کار کاربر تعریف شده است. کاربرد پذیری را می‌توان با کاهش احتمال بروز خطاهای انسانی بیش از پیش بهبود بخشید. کته مهم در کاربرد سیستم توجه به استفاده کاربران در سطوح متفاوت با نرم افزار ها و سیستم های مبتنی بر امنیت سایبری است. به همین منظور 5 گروه عمده کاربران تعریف شده‏‌اند: 1-کاربر خانگی و یا بنگاههای اقتصادی کوچک

2-بنگاههای بزرگ

3- زیر ساخت ها و بخش های حساس

4- ساختارهای ملی

5- ساختار های منطقه‌ای

هر یک ازاین گروهها دیدگاهای مختلفی در خصوص امنیت سایبری دارند که نشان دهنده علائق، دانش، نیاز و مسوولیت های آنها ست. علاوه بر کاربران متفاوت با خواسته های متفاوت ، نواحی مستعد بروز خطا نیز تقسیم بندیهای خاص خود را دارند و باید به هنگام طراحی سیستمهای امنیتی مد نظر قرار گیرند نواحی مستعد بروز خطا عبارتند از: رمز عبور، سیستم های ضد ویروس، دیواره های آتش ، سیستم های ضد جاسوسی، سیستم پیام همزمان، اسکایپ، اتاق های گفتگو، شبکه های اجتماعی، دستگاههای موبایل ، دستگاههای USB و شبکه های بی سیم . هر یک از این نواحی با ویژگی‌های خاص خود نیازمند نرم افزار های رابط متفاوتی هستند.

کاهش ریسک/ کاهش خطاهای انسانی

طبق پژوهش های گراس (2004)عمده مشکلات امنیتی در حوزه فناوری اطلاعات ناشی از خطاهای انسانی است. علاوه بر مشکلات ناشی از رمز عبور، تصدیق هویت نیز از جمله نواحی مستعد بروز خطا است. با در نظرگرفتن جنبه های اقتصادی، تلاش های فراوان و سرمایه گزاری های وسیعی برای جایگزینی تصدیق هویت از طریق سیستم هایی مانند اثر انگشت و اسکن چشم انجام گرفته است بااین وجود طبق بررسی های انجام شده در سازمانها وضعیت نسبت به گذشته تغییر اندکی داشته : همچنان لازم است کابران از رمز عبور های طولانی و پیچیده استفاده کنند، به دلیل کوتاه بودن زمان کاربری، رمز عبور مکررا در سیستم مورد استفاده قرار میگیرد. علیرغم وجود مکانیزم های تک ورودی ، وجود سیستمهای متعدد باعث شده است که بزرگترین دغدغه کاربران استفاده از رمز عبور های متعدد باشد. تحقیقات پارکین و همکارانش نشان داده است که هر کاربر اینترنتی به طور متوسط با 25 کاربری اینترنتی متفاوت سر و کار دارد و با فرض استفاده تکراری از رمز عبور، هر کاربر به طور متوسط 6.5 رمز عبور متفاوت خواهد داشت که کار با آن را دشوار و احتمال بروز خطا را زیاد خواهد کرد.

آگاهی از شرایط در امنیت سایبری

آگاهی از شرایط در حوزه امنیت سایبری به معنای قابلیت ارزیابی اطلاعات، بررسی شرایط و تصمیم گیری در یک بازه زمانی محدود است. در بیشتر موارد تحلیل گران وادار به انجام این ارزیابی و تصمیم گیری میشوند. طراحی سیستم هایی که با ارائه اطلاعات مرتبط ، تحلیل گر را در تصمیم گیری سریع تر یاری کنند از جمله نیاز های سیستم های امنیتی است.

امنیت سایبری و رویت پذیری

یکی ازمهمترین مشکلات سیستم های امنیت سایبری، پشتیبانی از کاربر در استخراج سریع و دقیق اطلاعات مورد نیاز برای انجام عملیات است. با توجه به حجم بیار زیاد اطلاعات و سرعت تولید آن، رابط کاربر برای کاربرهای امنیت سایبری باید ویژگی های زیر را دارا باشند:

• سطح آگاهی اپراتور های سیستمهای امنیتی باید در سطح بالایی باشد. در سیستم های فعلی این سطح آگاهی متکی به قابلیت های شخص اپراتور است که در طولانی مدت خطر بروز خطاهای انسانی را افزایش خواهد داد.

• جداسازی اطلاعات از نویز در یک سیستم بصری یا صوری بسیار حیاتی است.

• نرم افزار رابط باید کاملا متناسب با اطلاعات مورد نیاز اپراتور سیستم امنیتی بوده و باید به اندازه کافی انعطاف پذیر و سریع طراحی تا بتواند پاسخگوی تغییرات شرایط کاری امنیتی باشد

در این مقاله جمع بندی کلی از فعالیت های پژوهشی مورد نیاز جهت پیاده سازی سیستم های امینت شبکه با توجه به عملکرد انسانی ارائه شده است. این موارد شامل روشهایی برای بهبود کاربری، تعامل بهتر بین سیستمهای اتوماسیون و کاربر، نرم افزار های رابط، آگاهی ازموقعیت، پشتیبانی تصمیم‌گیری، اعلام خطر و موارد مشابه است.

رویه های ارزیابی خطرپذیری

همانگونه که تشریح شد کاربردپذیری یکی از مهمترین فاکتور های تأثیرگذار بر روی عملکرد انسانی است بنابر این لازم است ارزیابی مناسبی از طراحی رابط کاربر انجام گیرد و خطوط راهنما نیز برای طراحان رابط کاربر تعریف شود تا طراحی مناسبی به منظور جلو گیری از بروز خطاهای انسانی داشته باشند. ارزیابی رابطهای کاربران باید شامل دو بخش باشد: در بخش نخست کارشناسان سیستم HSI باید نرم افزار را از نظر مطابقت با استاندارهای تعریف شده بررسی نمایند و در بخش بعد باید چند کاربر به عنوان نماینده کاربران با سیستم کار کرده و ضعف های آن را ارزیابی نمایند. برای ارزیابی فرآیندهای صحه گذاری بیش از سادگی کاربری نرم افزار باید به مشکلاتی مانند احتمال بروز خطا ی انسانی و حجم کار کاربر نیز دقت شود. برای هر نوع روش جایگزین یا پشتیبان رمز عبور مانند استفاده از توکن یا کارت یا روش های بیومتریک نیز ارزیابی کاربرد پذیری لازم است.

تعامل بین کاربر و سیستم اتوماسیون

به دلیل حجم زیاد و سرعت بالای تبادل اطلاعات بسیاری از روشهای پایش و کنترل در سیستم های امنیتی، به صورت اتوماتیک تلاش برای حمله و یا دست یابی غیر قانونی اطلاعات را تشخیص میدهند اما در این میان جای خالی اپراتور انسانی نیزدیده میشود. طراحی نقش های بهینه برای حضو.ر اپراتور در این سطح مورد نیاز است تا از بروز خطاهایی که از دید سیستم اتوماسیون پنهان میماند جلو گیری کند علاوه بر آن در برخی شرایط لازم است کاربر انسانی بدون نظارت بیش از حد سیستم اتوماسیون به کار خود ادامه دهد. به همین دلیل طراحی روند دقیق تعامل بین اپراتور و سیستم اتوماسون ضروری است.

رویه ها و رابطهای کاربر

تحقیقات وسیع بر روی نحوه طراحی رویه ها و رابطهای کاربری برای کمک به کاربران در نظارت، مدیریت و تصمیم گیری در مورد رویدادهای ناخواسته و ناگهانی در فضای سایبر مورد نیاز است و لازم است این رویه ها متناسب با ادراک و میزان مهارت کامپیوتری کاربر باشد. آگاهی از شرایط و پشتیبانی تصمیم گیری اطلاعاتی که نشانگر وقایع درونی سیستم امنیتی هستند و همچنین آنچه در آینده برای سیستم به وجود خواهد آمد، باید به کار بر نشان داده شود. در این شرایط نیاز به سیستم های پشتیبان تصمیم گیری است که باید به منظور کاهش خطاهای انسانی و یا نحوه اصلاح این خطاها اقدام به تصمیم گیری و پیاده سازی آن کنند.

اعلام خطر

سیستمهای اعلام خطر از جمله ملزومات سیستم های امنیتی هستند که در شرایطی که نیاز به توجه و عملکرد کاربر وجود دارد اما حضور وی دیده نمیشود با اعلام خطر توجه وی را جلب نماید بدون آنکه خود موجب تولید خطای جدیدی باشند. نکته مهم در این بخش طراحی یک سیستم واحد اعلام خطا است که قادر به اولویت بندی خطاها، درک ارتباط بین آنها و ارزیابی وضعیت امنیتی شبکه باشد.

نرم افزارهای راهنما

تحقیقات وسیع بر روی نرم افزارهای راهنمای برخط به منظور کمک به کاربر جهت بازیابی در شرایط بروز خطا، ارائه راهنمایی های لازم بدون نیاز به خروج از نرم افزار با حد اقل اتلاف زمان و کمترین مقدار آموزش نیز از جمله دیگر نیازمندی های بخش امنیت سایبری است.

مورد استفاده برای این مطلب: دریافت مقاله اصلی