بمب ساعتي سرقت اطلاعات‌

اشاره :
با وجود ميلياردها دلاري كه صرف طراحي و توليد محصولات امنيتي مي‌شود، به‌رغم وصله‌گذاري‌ها، ارتقاي سيستم‌عامل‌ها، برنامه‌هاي كاربردي و نيز افزايش هشدارها و در مورد لزوم هشياري كاربران در برابر سرقت هويت، بيشتر سازمان‌ها افزايش ايمني چشمگيري را نسبت به سال گذشته احساس مي‌كنند.

 

جالب است که هيچ‌کس به اين واقعيت توجهي ندارد که کارمندان يک شرکت، «حلقه ضعيف» زنجيره امنيت محسوب مي‌شوند.

با وجود ميلياردها دلاري كه صرف طراحي و توليد محصولات امنيتي مي‌شود، به‌رغم وصله‌گذاري‌ها، ارتقاي سيستم‌عامل‌ها، برنامه‌هاي كاربردي و نيز افزايش هشدارها و در مورد لزوم هشياري كاربران در برابر سرقت هويت، بيشتر سازمان‌ها افزايش ايمني چشمگيري را نسبت به سال گذشته احساس مي‌كنند.

دهمين نظرسنجي عمومي و سالانه اينفورميشن ويك در حيطه امنيت كه با همكاري شركت مشاوره امنيتي Accenture انجام شد، نشان مي‌دهد دو سوم از 1101 نفري كه در ايالات متحده و 89 درصد 1991 نفري كه در چين مورد نظرسنجي واقع شدند، فكر مي‌كنند نه تنها آسيب‌پذيري آن‌ها نسبت به سال گذشته تغييري نكرده، كه شايد بيشتر هم شده است.
آنچه به اين مشكل افزوده، رشد پيچيده فناوري‌هاي امنيتي است. نخستين مشكل امنيتي كه نيمي از آمريكايي‌ها به آن رأي دادند، «مديريت پيچيدگي امنيت» است.
آنچه كه اصطلاحاً «دفاع در عمق» گفته مي‌شود، مؤيد نكته‌اي است كه Alastair MacWillson، سرپرست بخش مديريت عمومي Accenture، مي‌گويد. به گفته وي: «شما انبوهي از فناوري‌ها را به خدمت مي‌گيريد و وقتي كنترل آن‌ها از دست شما خارج مي‌شود، هيچ‌‌كدام نمي‌توانند امنيت درستي را برايتان تأمين كنند.»
وي مي‌افزايد: «اين عمل مثل اين است كه بيست تا قفل روي در كار گذاشته باشيد و به كاركرد هيچ كدامشان اطمينان نداريد!» با اين وجود، مي‌توان اين احتمال را هم در نظر گرفت كه كساني كه مورد نظرسنجي واقع شده‌اند، هنوز چندان نسبت به سرقت يا گم شدن اطلاعات شركت يا مشتريانشان احساس نگراني نمي‌كنند.
تنها يك سوم آمريكايي‌ها و كمتر از نيمي از چيني‌ها اظهار داشتند كه «جلوگيري از قانون‌شكني» بزرگ‌ترين چالش آن‌ها محسوب مي‌شود. همچنين، تنها يك چهارم آمريكايي‌ها دسترسي‌هاي غيرمجاز كارمندان به اطلاعات يا سرقت اطلاعات توسط اشخاصي خارج از شركت را جزو سه اولويت نخست امنيتي خود مي‌دانستند.
حتي وقتي سخن از سرقت يا گم شدن تجهيزات موبايل كه حاوي اطلاعات شركتي يا حساس است، اين تعداد از اين هم كمتر مي شود. عدم احساس خطر نسبت به اين موارد با وجود گسترش روزافزون گم‌شدن اطلاعات در فروشگاه‌ها و شركت‌هاي بسيار زيادي كه TJX  ،Veternas Affairs و  Georgia Community Health Department تنها برخي از آن‌ها هستند، همچنان وجود دارد.
در عوض، مانند سال گذشته، سه اولويت نخست امنيتي، ويروس‌ها يا كرم‌ها (65 درصد آمريكايي‌ها و 75 درصد چيني‌ها)، جاسوس‌افزارها و بدافزارها (56 درصد آمريكايي‌ها و 61 درصد چيني‌ها)، و هرزنامه (چهل درصد آمريكايي‌ها و نيز چيني‌هايي كه مورد نظرسنجي واقع شدند) هستند.

اينجا روشنايي بيشتر است‌

نمودار 1

با اين وصف آيا حرفه‌اي‌هاي امنيت بر نكته نادرستي متمركز شده‌اند؟ Jerry Dixon مي‌گويد: بله.
او كه سرپرست بخش امنيتي National Cyber است، مي‌گويد: «بدانيد كه داده‌هايتان كجا هستند و چه كساني به آن‌ها دسترسي دارند. اين شامل يكپارچگي داده‌ها در پايگاه داده شما است؛ داده‌هايي كه از آن براي پيشبرد تجارتتان استفاده مي‌كنيد.»
وقتي پرسيده مي‌شود حرفه‌اي‌هاي امنيت بايد بيشتر در مورد چه چيزي نگران باشند، Bruce Schneier، سرپرست فناوري در شركت خدماتي BT Counterpane، مي‌گويد: «جرم، جم، جرم و اطاعت از قانون.» به همين دليل چنين مي‌نمايد كه حرفه‌اي‌هاي امنيت، از تمركز بر تهديدهاي امنيتي‌اي كه با هدف پول درآوردن از اطلاعات شخصي مشتريان طراحي شده‌اند، غافلند.
نگاهي موشكافانه به نتايج اين نظرسنجي نشان مي‌دهد كه توجه فعلي سازمان‌ها، به ميزان آسيب‌پذيري داده‌هاي مشتريان دربرابر سرقت اطلاعات محدود است.
براي نمونه، به گفته هفتاد درصد آمريكايي‌هايي كه مورد نظرسنجي واقع شدند، امسال نخستين دليلي كه باعث بروز احساس آسيب‌پذيري در مقابل يك حمله مي‌شد، افزايش پيچدگي تهديدها شامل تزريق SQL بود. تزريق SQLشيوه‌اي از برنامه‌نويسي براي يك وب‌سايت است كه يك هدف را دنبال مي‌كند و آن، ربودن اطلاعات از پايگاه‌داده‌اي است كه توسط يك برنامه كاربردي مورد دسترسي واقع مي‌شود.

نمودار 2

سه دليل بعدي كه موجب بروز حس خطر در شركت‌ها مي‌شود عبارتند از وجود راه‌هاي بيشتر براي مورد حمله قرار گرفتن يك شبكه (از جمله نقاط دسترسي بي‌سيم)، حجم رو به رشد حملات و افزايش تبعات خرابكارانه‌اي كه برخي از حملات باعث مي‌شوند (مانند سرقت، خراب كردن داده‌ها و اخاذي).
تنها سيزده درصد نظرسنجي شوندگان آمريكايي حملات موسوم به denial-of-service را جزو سه اولويت امنيتي خود محسوب كرده‌اند كه اين ميزان، از آمار 26 درصدي سال گذشته كمتر است. نظرسنجي شوندگان چيني نيز آمار تقريباً يكساني داشتند.

از سوي ديگر به نظر مي‌رسد دليل آسودگي برخي از حرفه‌اي‌هاي امنيت، بي‌خبري است: بات‌نت‌ها كه مي‌توانند از دور كنترل منابع آي‌تي را در دست گيرند و براي تدارك حمله يا ربودن اطلاعات، مورد استفاده قرار گيرند، براي نخستين بار در نظرسنجي امسال مشاهده شدند؛ هر چند تنها ده درصد آمريكايي‌ها و سيزده درصد چيني‌ها آن را جزو سه اولويت امنيتي خود قرار داده بودند. شايد دليل اين امر آن است كه شركت‌ها بيشتر اوقات از مورد دستبرد واقع شدن توسط بات‌نت‌ها بي‌خبرند.
دلا‌يل افزايش آسيب پذيري

به گونه مشابهي، ويروس‌ها، كرم‌ها و فيشينگ، سه چالش نخست از فعاليت‌هاي غيرقانوني هستند كه نظرسنجي شوندگان آمريكايي به آن اشاره كردند. هفتمين مورد در فهرست، سرقت هويت بود.
البته ‌اين به آن معني نيست كه سرقت هويت تهديد بزرگي محسوب نمي‌شود. سرقت هويت و اخاذي، بدترين سناريوهاي ممكن براي يك شركت به‌شمار مي‌آيند، ولي اين‌كه شركتي تا كنون به آن دچار نشده را نبايد به حساب تمهيدات امنيتي مناسب يا خوش شانسي آن گذاشت.
TJX، يكي از شركت‌هاي بدشانسي است كه طي چند سال گذشته تعدادي از ركوردهاي اطلاعاتي 7/45 ميليون مشتري آن، از سيستم‌هاي آي‌تي اين شركت به سرقت رفته است. اين بحران، امسال هنگامي كه خرابكاران با استفاده از كارت‌هاي اعتباري تقلبي، ميليون‌ها دلار از فروشگاه‌هاي وال مارت خريد كردند، آشكار شد.
از سوي ديگر، شركت VA كه سال گذشته به عنوان سمبل ناامني شناخته شد، بيست و هفت ميليون ركورد اطلاعاتي ذخيره شده روي يك لپ‌تاپ شركت را هنگامي كه از خانه يكي از كارمندان شركت دزديده شد، از دست داد. ولي خوشبختانه پس از اين واقعه، هيچ خرابكاري مرتبط با آن كه نشانه سوء‌استفاده از آن اطلاعات باشد، مشاهده نشد.
مورد ديگري نيز وجود دارد كه دال بر افزايش نگراني‌هاي امنيتي است: نظرسنجي‌شوندگان آمريكايي در وهله اول ميزان سرمايه‌گذاري‌ها در بخش امنيت را با توانايي آن‌ها در كاهش ساعت‌هايي كه كارمندان درگير موارد امنيتي هستند، سنجيده‌اند (48 درصد)، دومين اولويت توجه به اين مورد است كه چنين تمهيداتي چه اندازه در حفظ ركوردهاي اطلاعات مؤثر بوده است (35 درصد) و سومين اولويت، كاهش شمار اعمال خلاف قانون بوده است (33 درصد).
شايد شگفت‌انگيزترين مورد در كل اين نظرسنجي، اين است كه تقريباً يك‌چهارم نظرسنجي‌شوندگان آمريكايي ارزش نقدي سرمايه گذاري‌هاي خود در بخش امنيت را به حساب نمي‌آورند.

خوش‌شانس‌ها

همان‌طور كه اشاره شد، مهم‌ترين موضوع حملات در فضاي سايبر، ميزان ساعات غيرفعال بودن (down) يك شبكه و پس از آن، غيرفعال شدن برنامه‌هاي كاربردي، از جمله ايميل است كه غيرقابل دسترس مي‌شوند. سومين جايگاه از حيث اهميت خرابكاري كه توسط يك چهارم آمريكايي ها و 41 درصد چيني‌ها گزارش شد، فاش شدن اطلاعات خصوصي شركت‌ها است.
چهارمين مورد، از دست رفتن مينورهاي مالي است كه 18درصد آمريكايي ها و 21 درصد چيني‌ها بدان اشاره كردند. اين دسته را مي‌توان جزو خوش شانس‌ها به شمار آورد.

نمودار 3

تخمين ميزان اثرات سوء مالي ناشي از قصور در بخش امنيت، در كوتاه مدت سخت است؛ به ويژه اگر ماجرا به از دست رفتن اطلاعات، مربوط شود (چون بايد منتظر ماند و ديد آيا از اين اطلاعات سوء‌استفاده خواهد شد يا نه).
در واقع، بيشترين درصد نظرسنجي‌شوندگان به اين مورد اذعان كرده‌اند. 35 درصد آمريكايي‌ها و 31درصد چيني‌ها اظهار داشتند كه از مجموع خسارات مالي شركت خود بي‌خبرند.

بزرگ‌ترين چالش‌هاي امنيتي

بنابراين، خسارات امنيتي به طرز آزاردهنده‌اي در آينده خود را نشان خواهد داد. براي نمونه، TJX از يك خسارت بيست ميليون دلاري ناشي از دزديده شدن يكي از كامپيوترهايش در 28 آوريل امسال خبر داده است. خسارت مربوط به خريدهاي غيرقانوني از فروشگاه‌هاي وال مارت نيز به هشت ميليون دلار مي‌رسد.
در دوازده ماه گذشته (منتهي به ماه جولا‌ي)، برخي از حملا‌ت با هدف سرق پول از طريق دنياي زيرزميني هكرهاي خرابكار و دزدان اينترنتي انجام گرفته است و حملات آتي مشابه، نگراني حرفه‌اي‌هاي امنيت را برانگيخته است.
بيش از نيمي از نظرسنجي‌شوندگان هكرهاي كامپيوتري را منبع نفوذ گري ها و لو رفتن اطلاعات محرمانه شركتشان در طي سال گذشته مي‌دانند و بيش از يك سوم آن‌ها نيز كدنويسان خرابكار را باعث چنين خساراتي مي‌دانند. نكته حائز اهميت اين كه ميزان نفوذگري‌ها توسط افراد غيرمجاز از 28 درصد در سال 2006 به 34 درصد در سال جاري افزايش پيدا كرده است.
ريچ ماريل، سرپرست بخش آي‌تي مركز درماني BryanLGH در لينكلن، بزرگ‌ترين چالش امنيتي اين مركز را حفظ داده‌هاي مرتبط با بيماران مي‌داند و خاطرنشان مي‌كند كه در اين مورد، نه از هكرها بلكه از استفاده نادرست از اين اطلاعات توسط خود كاركنان بيمارستان، چه كاركنان بين‌المللي و چه داخلي، نگران است.
او مي‌گويد: «ما هميشه از اين‌كه مردم سابقه توانمندي‌هاي خود را با ديگران به اشتراك بگذارند يا اطلاعات سازمان روي لپ‌تاپ‌ها يا حافظه‌هاي جانبي در جايي جا بماند، نگران بوده‌ايم.» راه حل اين مشكل آموزش كارمندان براي پرهيز از موارد مشابه و استفاده از فناوري‌هاي امنيتي از جمله رمزنگاري است.
ماريل مي‌گويد: «شركت‌ها بدون مديريت دقيق در حوزه حقوق دسترسي كاربر و درخواست از كاربران براي حفظ اطلاعات مربوط به لاگين و پسورد، با دست خود يك تهديد پنهان را وارد عرصه مي‌كنند.» او مي‌افزايد: «به عنوان نمونه در بيمارستان تعداد زيادي از مردم اطلاعات لاگين و پسورد خود را مي‌نوشتند و آن را همراه خود نگه مي‌داشتند و حتي آن را به كامپيوترشان منتقل مي‌كردند.» مشابه اين موارد خيلي اتفاق مي‌افتد.

مشخصه چين‌

آمريكايي‌ها و چيني‌هايي كه در نظرسنجي شركت كرده بودند، هم ويژگي‌هاي مشابهي داشتند، هم تفاوت‌هاي زيادي. براي مثال، سوء‌استفاده از آسيب‌پذيري‌هاي سيستم‌عامل، نخستين ابزار براي حمله به شركت‌هاي هر دو كشور بود. 43 درصد آمريكايي‌ها و دوسوم چيني‌ها به اين مورد اشاره كردند.
در دومين مورد از بيشترين شيوه‌هاي حملات، يعني آسيب‌پذيري در برنامه‌هاي كاربردي، 41 درصد سيستم‌هاي چيني از اين حيث مورد حمله واقع شده بودند كه اين ميزان براي سيستم‌هاي آمريكايي، كمتر از يك چهارم بود. به عقيده مك ويلسون، از مؤسسه Accenture، اين تفاوت مي‌تواند ناشي از استفاده گسترده از نرم‌افزارهاي بدون مجوز در چين باشد. او مي‌گويد: «آن‌ها به وصله‌هاي امنيتي دسترسي ندارند.»

نمودار 4

ميزان اشاره به ديگر شيوه‌هاي رايج در حملات خرابكارانه از ديد نظرسنجي‌شوندگان آمريكايي و چيني عبارتند از: تغيير اطلاعات در ضميمه ايميل‌ها (26 درصد و 25 درصد)، حمله با سوءاستفاده از آسيب‌پذيري‌هاي سيستم‌عامل (24 درصد و 31 درصد).
البته همه نگراني‌ها به اين موارد محدود نمي‌شود. از 804 آمريكايي‌اي كه گفته بودند در دوازده ماه گذشته شاهد لو رفتن اطلاعات محرمانه شركت خود بوده‌اند، هيجده درصد آن‌ها اين خسارات را ناشي از دسترسي غيرمجاز كارمندان و شانزده درصد، ناشي از دسترسي مشكوك كاربران و كارمندان مجاز مي‌دانند.
ولي اين رقم كمتر از آمار 25 درصدي شركت‌هايي است كه در سال 2006 از چنين اخاذي‌هايي خبر داده بودند.

جالب است كه هيچ كس به اين واقعيت توجهي ندارد كه كارمندان يك شركت يك «حلقه ضعيف» در زنجيره امنيت محسوب مي‌شوند.
گري مين، از شركت DuPont، كه محصولات شيميايي توليد مي‌كند، رئيس شركت را تهديد كرده بود كه اگر مبلغ مورد نظر وي را به او ندهد، پيش از آن‌كه FBI خبردار شود، اطلاعات سري شركت كه ارزش تجاري آن چهارصد ميليون دلار بود را به رقيب اين شركت خواهد فروخت.

اولويت‌هاي امنيتي‌

مين، توانسته بود با مخفي داشتن هويت خود وارد سرور شركت DuPont شود كه حاوي كتابخانه الكترونيكي اين شركت بود و به خيل عظيمي از اسناد حساس كه برخي از آن‌ها اسناد pdf بود، دست يابد.
مين حدود بيست و دو هزار سند حساس را از اين كتابخانه الكترونيكي دانلود و به شانزده هزار و هفتصد و شش سند دسترسي پيدا كرد.
مين گناهكار شناخته شد و به بيش از ده سال زندان، پرداخت 250 هزار دلار جريمه و جبران خسارات، محكوم شد.
با وجود چنين كلاهبرداري‌هايي، كارمندان در محافظت از داده‌هاي شركت كه در جاهاي مختلف از جمله روي لپ‌تاپ‌ها ذخيره مي‌‌شود، قصور مي‌كنند.
لپ‌تاپ‌ها و رسانه‌هاي ذخيره‌سازي قابل حمل به طور فزاينده‌اي از خودرو و خانه كارمندان ربوده مي‌شود. چند ماه پيش يك كامپيوتر كه از آن براي پشتيبان‌گيري از نام و شماره امنيت اجتماعي همه كارمندان شاغل در ايالت اوهايو (شامل 64 هزار ركورد) استفاده مي‌شد، از خودرو يكي از كارآموزان آن مركز دزديده شد.
بيشتر از يك سال پيش از اين واقعه، يك لپ‌تاپ حاوي نام، آدرس و اطلاعات كارت‌هاي اعتباري (credit) و نقدي 342 (debit) هزار نفر از مشتريان سايت Hotel.com از خودرو يكي از كارمندان شركت Ernst & Young در تگزاس ربوده شد.
روندا مك لين، سرپرست امور اجرايي شركت مشاوره‌اي MacLean Risk Partner و نيز سرپرست اسبق بخش امنيتي Bank of America و شركت بويينگ، مي‌گويد: «دليل بيشتر اين وقايع، خطاهاي انساني يا فرايندهاي تجاري نادرست است.»
به طور مشابه، تنها پنج درصد نظرسنجي‌شوندگان، ارائه‌دهندگان قراردادي خدمات، مشاوران يا حسابرسان شركت را دليل بروز خرابكاري قلمداد كردند؛ ولي اين امر به اين معني نيست كه اين موارد مورد غفلت واقع شوند.
در ماه آوريل دپارتمان Community Health در ايالت جورجيا گزارش داد كه دو ميليون و نهصد هزار ركورد حاوي اطلاعات شخصي از جمله نام، آدرس، تاريخ تولد، Medicaid)¹) و شماره‌هاي هويتي مربوط به حفظ سلامت كودكان و شماره‌هاي امنيت اجتماعي اين مركز كه در ديسكي ذخيره شده بود، از مركز ارائه خدمات Affiliated Computer Services ربوده شده است.
رندي بار، سرپرست بخش امنيت شركت و برگزاركننده كنفرانس WebEx مي‌گويد: «اگر در روابط كاري لازم باشد كه يك شريك يا ارائه‌دهنده خدمات به هر يك از داده‌هاي ما دسترسي پيدا كند، ما قراردادي كتبي به امضا مي‌رسانيم كه طبق آن حق خواهيم داشت سيستم‌هاي آنان را براي اطمينان از امن بودنشان به طور متناوب بررسي كنيم.»
بار مي‌افزايد: «همه اين قراردادها شامل چك كردن سابقه سيستم‌ها نيز مي‌شود و اين سياستي است كه از سال 2004 تاكنون اعمال مي‌شود.»
شايد فكر كنيد با آموزش درست كارمندان يك شركت مي توان باعث شد دست‌كم كارمندان درستكار در اثر سهل‌ا‌‌نگاري موجب از دست رفتن اطلاعات در خلال تبادل ايميل يا استفاده از سرويس‌هاي پيام‌رساني فوري و نيز در شبكه‌هاي نظير به نظير نشوند.
ولي شايد اين تفكر اشتباه باشد. هرچند طبق گفته 37 درصد از نظرسنجي‌شوندگان نخستين اولويت تاكتيكي براي شركت‌هاي آمريكايي در سال 2007، ايجاد و ارتقاي آگاهي كاربر از سياست‌هاي امنيتي است، با اين همه، اين ميزان از 42 درصد سال گذشته كمتر است.
همچنين درصد كمتري از شركت‌هاي آمريكايي در نظر دارند سيستم‌هاي كنترل دسترسي، نرم‌افزارهاي مانيتورينگ و سيستم‌هاي دسترسي از راه دور امن و بهتري را به كار بندند. در چين، شركت‌ها بر نصب برنامه‌هاي فايروال، سيستم‌هاي كنترل دسترسي و نرم‌افزارهاي مانيتورينگ بهتر، متمركز شده‌اند.
تنها نوزده درصد نظرسنجي‌شوندگان گفته‌اند كه فناوري امنيت و آموزش سياست‌هاي امنيتي تأثير زيادي در كاهش خرابكاري‌هاي ناشي از كم‌توجهي كارمندان خواهد داشت كه اين درصد با ميزان سال گذشته برابر است. مك لين در اين باره مي‌گويد: «اين كار محدود به نشان دادن چند فيلم ويديويي (براي آموزش آن‌ها) نمي‌شود. به عقيده وي ما بايد روند آموزش كارمندان را دنبال كنيم تا مطمئن شويم آن‌ها دست‌كم اصول اوليه‌اي را كه ضروري است، آموخته‌اند.»
طي دوازده ماه گذشته (منتهي به ماه جولا‌ي)، بزرگ‌ترين تغييري كه در حيطه امنيت در مركز درماني آيزنهاور در كاليفرنيا انجام گرفته است، اين بوده كه اسناد كاغذي بيماران به ركوردهاي الكترونيكي تبديل شده است.
ديويد پيترز، سرپرست امور اجرايي اين مركز، مي‌گويد: «اين كار مسئوليت ما در حصول اطمينان از امن بودن اطلاعات را بيشتر مي‌كند و اين تنها به دليل احتمال از دست رفتن اطلاعات به صورت آنلاين نيست، بلكه اين حجم اطلاعات است كه چالش‌برانگيز مي‌شود. چند سال پيش يك اسكن از نوع CAT مي‌توانست 250 تا 500 تصوير در اختيارتان بگذارد، ولي با سيستم‌هاي جديد مي‌توان بيش از پنج هزار تصوير گرفت.»
هرچه پزشكان و كاركنان درماني بيشتري براي انجام كارهاي خود به پورتال اينترانت آيزنهاور متصل مي‌شوند، پيترز و تيم او بايد انجام مانيتورينگ براي شناسايي مشكلات امنيتي را بيشتر كنند و مطمئن شوند كه تنها پزشكان و كاركنان مجاز، به ركوردهاي درماني دسترسي مي‌يابند. پيترز مي‌گويد: «كاربران هنگام ورورد به مركز درماني، يك قرارداد مكتوب را امضا مي كنند. ما نيز براي يادآوري قوانين امنيتي، مفاد آن را در پورتالشان يادآوري مي‌كنيم.»

ترجمه علي حسيني
منبع: اينفورميشن ويك