Search
Asset 2

آیا اطلاعات تلفن همراه شما دارای امنیت است؟

شرکت «ایپسوس موری» در پژوهش خود از بیش از ۱۶هزار نفر بزرگسال در ۲۰ کشور درباره‌‏ی تأثیر فناوری‌های الکترونیکی در زندگی روزانه‌‏شان نظرخواهی کرده که بیشتر آنان نسبت به داشتن یک زندگی ساده‌تر و آهسته‌تر تمایل نشان داده بودند.. (سین‌گالاپ، گِتی ایمیجز)
شرکت «ایپسوس موری» در پژوهش خود از بیش از ۱۶هزار نفر بزرگسال در ۲۰ کشور درباره‌‏ی تأثیر فناوری‌های الکترونیکی در زندگی روزانه‌‏شان نظرخواهی کرده که بیشتر آنان نسبت به داشتن یک زندگی ساده‌تر و آهسته‌تر تمایل نشان داده بودند.. (سین‌گالاپ، گِتی ایمیجز)

ریک داکین مدیر عامل شرکت کول فایر می‌‌‏گوید: “گوشی‌های هوشمند فاقد بسیاری از کنترل‌های پایه امنیتی هستند.”

ریک داکین مدیرعامل شرکت کول فایر می‌گوید: "گوشی‌های هوشمند فاقد بسیاری از امکانات کنترل‌ اطلاعات مانند فایروال، کنترل دسترسی، سخت‌سازی سیستم (روشهای‌های امنیتی بر اساس کاهش سطح آسیب‌پذیری) یا حتی حفاظت در برابر نرم‌افزارهای مخرب هستند که کاربران را در برابر دزدی اطلاعات آسیب‌پذیر می‌کند. (سین‌گالاپ، گِتی ایمیجز)

اورسون وِلز تحول جامعه را در فیلم کلاسیک خود “اَمبِرسون‌های باشکوه” به تصویر کشید. در این داستان که در مورد مدرنیزه کردن یک شهر آمریکایی است، اختراع جدید اتومبیل در حال جایگزینی روش قدیمی حمل‌ونقل با کالسکه است. هنگامی که نگهبان قدیمی از پذیرفتن فن‌آوری جدید خودداری کرد، دیگران در ثروت از او پیشی گرفته و وی را پشت سر گذاشتند.

 امروزه ما در حال گذر از شکاف مشابهی هستیم. دنیای سرتاسر دیجیتال – تحلیل اطلاعات و رایانش ابری، اجتماعی و موبایل – دنیای آنالوگ و غیردیجیتال را از میدان به در کرده و مشاغل با درآمد پایین را از طریق اتوماسیون نرم‌افزاری و چاپ سه‌بعدی حذف می‌کند.

ریک داکین مدیرعامل شرکت کول فایر با آگاهی از تأثیری که فن‌آوریهای جدید بر مصرف‌کنندگان و شرکتهای تجاری دارد، با وارد شدن به سال ۲۰۱۳، پیش‌بینی‌هایی کرده‌است که در مورد پذیرش خطر حاکمیت (جی‌آرسی) اطلاعات و تهدیدات افزایش یافته امنیت اینترنتی و حملات پیچیده فیشینگ (تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وب‌سایت، آدرس ایمیل و…) از طریق ایمیل می‌باشد.

با فن‌آوری جدید و آسیب‌پذیر تلفن همراه، کول‌فایر پیش‌بینی می‌کند که در سال ۲۰۱۳ “بیش از یک میلیون کاربر تحت تأثیر قرار خواهند گرفت و خسارات وارده بیش از ۱۰ میلیون دلار خواهد بود.”

آقای داکین به شوخی گفت که وکلا منبع درآمد جدیدی با پیگیری پرونده شرکتهایی که قادر به حفاظت از اطلاعات مشتریان و مصرف‌کنندگان خود نیستند کسب خواهند کرد. سپس با نگاهی جدی کول فایر پیش‌بینی می‌کند که “دولت انتقال سرمایه‌گذاری را به سمت رایانش ابری “امن” هدایت خواهد کرد.”

جالب‌ترین پیش‌بینی کول فایر اینست که “حفاظت از زیرساختهای حیاتی (سی‌آی‌پی) جایگزین صنعت پرداخت کارت (پی‌سی‌آی) استاندارد خواهد شد. بانکها، پردازنده‌های پرداخت و سایر نهادهای ملی از نظر قابلیت حفاظت از سیستمهای حیاتی و اطلاعات حساس به تکامل بیشتری دست می‌یابند.”

به نظر می‌رسد که فن‌آوریهای جدیدتر جایگزین فن‌آوریهای نوین خواهند شد.

تا چه اندازه داده‌های تلفن همراه دارای امنیت است

سپتامبر گذشته در یک سخنرانی شرکت کردم که آقای داکین سخنران اصلی در زمینه نفوذ در اطلاعات و نیاز به حفاظت از اطلاعات جهت تحقق الزامات نظارتی جدید برای حریم خصوصی و انطباق بود. پس از این ارائه تأمل‌برانگیز در مورد میزان عدم آمادگی بیشتر شرکتها در زمینه اطلاعات و روند بی‌وای‌اُ دی (سیاستی که به کارکنان این اجازه را می‌دهد که دستگاههای قابل حمل خود از جمله تلفن همراه را به محل کار بیاورند)، من او را ملاقات کردم تا بیشتر در این مورد بحث کنیم.  در حالیکه در پشت بام یک هتل در مانهاتان بودیم به سخنان او در مورد وضعیت عدم آمادگی بسیاری از صنایع گوش می‌کردم، که این واقعیت را روشن می‌کرد که تحقق جی‌آرسی نقش عظیمی در تغییر جهت به سمت دیجیتال ایفا خواهد کرد.

شرکت سیستمهای کول فایر (تأسیس ‌شده در سال ۲۰۰۱) یک شرکت انطباقی و ممیزی مستقل آی‌تی است که امنیت اطلاعات و راه‌‌کارهای مدیریت جی‌آرسی را برای مشتریان فراهم می‌کند. این شرکت یک دفتر اصلی در لوزویل کولورادو و هفت دفتر منطقه‌ای در آمریکا دارد.

 در مصاحبه‌ای که با داکین داشتم در ادامه، نظر او را در مورد اینکه قابل حمل بودن تا چه میزان قوانین اطلاعات کاربران را تغییر خواهد داد، جویا شدم.

 او گفت که بسترهای(platform) نرم‌افزاری قابل حمل برای بچه‌های آرامی که گِیم (بازی کامپیوتری) بازی می‌کنند و در شبکه‌های اجتماعی به اشتراک می‌گذارند، طراحی شده‌است. ولی به‌کارگیری فراگیر و قابلیت‌های قدرتمند، آنها را برای نسل بعدی کاربردهای تجاری تلفن همراه ایده‌آل می‌کند.

متأسفانه سیستم‌عاملهای بسترهای نرم‌افزاری ذاتاً آسیب‌پذیر هستند و معماری اولیه را برای استقرار امکانات کنترلی نسل قبلی آی‌تی مانند فایروال، کنترل دسترسی و سخت‌سازی سیستم و یا حتی محافظت در برابر بدافزار ندارند.

وی گفت: “واضح است که امنیت لازم از طریق فروشندگان این بسترهای نرم‌افزاری فراهم نخواهد شد. ما عادت داشتیم که با برجسته‌سازی شکافهای امنیتی سیسم‌عامل ویندوز شوخی کنیم. امروزه گوگل و اَپل فقدان این امنیت تعبیه شده را به سطح کاملاً جدیدی برده‌اند که بسیار پرمخاطره‌تر از محصولات مایکروسافت است.”

پرسیدم: “چه صنایع دیگری نیز در معرض خطر قرار دارند؟”

آقای داکین گفت: “پر خطرترین عرصه، پزشکی قابل حمل است. کاربردهای پزشکی توسعه‌یافته خانگی تلفن همراه (mobile application) در حال رایج‌تر شدن است، بدون در نظر گرفتن اینکه چگونه با استانداردهای های‌تِک و های‌پا(HIPAA) در حفاظت سابقه بیمار مطابقت داشته‌باشد.”

او افزود: “روند نگران کننده‌تر برای حسابرسان، در حذف کابردهای تلفن همراه از بررسی دامنه است زیرا راهنمای حسابرسی در این زمینه روشن نیست. حذف صورت‌مسأله آن را حل نمی‌کند. ما متخصصین آی‌تی باید کابردهای ابری و تلفن همراه را در بسترهای نرم‌افزاری موجود بررسی کنیم.”

این یک چالش در چشم‌انداز متغیر دنیای دیجیتال است.

ظهور بی‌وای‌اُ دی گوشی‌های هوشمند و تبلِت‌ها

پرسیدم: “روند بی‌وای‌اُ دی به سمت فضای بی‌توبی  B2B(ارتباط و مبادله تجاری بین دو سازمان تجاری مانند ارتباط بین تولیدکننده و عمده‌فروش) حرکت می‌کند، در این مورد چه شکافهایی در مدیریت امنیت اطلاعات وجود دارد؟”

او پاسخ داد: “علاوه بر محدودیت‌های ذاتی سیستم‌های عامل، به‌کارگیری برنامه‌های کاربردی تلفن همراه (mobile application) بر روی دستگاههای شخصی به خودی خود خطرات و مشکلات ویژه‌ای ایجاد می‌کند:

•           صاحب این داده‌ها بر روی گوشی‌های هوشمند و تبلت‌ها کیست؟

•           چگونه یک سازمان می‌فهمد چه زمانی اطلاعات شرکت بر روی یک ابر شخصی کپی‌برداری شده‌است؟

•           آیا می‌توانیم کنترل دسترسی را بر روی دستگاهی که متعلق به شرکت نیست اعمال کنیم؟

•           زمانی که دستگاهی به سرقت رفته یا گم شده چگونه شرکت می‌تواند بفهمد که چه اطلاعاتی در خطر است؟

•           آیا کاربران به شرکتها اجازه پاکسازی راه دور دستگاههای شخصی را می‌دهند؟

•           از آنجاییکه کاربران می‌توانند هر تعداد برنامه‌های کاربردی ناامنی را داونلود کنند، چگونه سازمانها می‌توانند متوجه این شوند که یک تروجان در حال برداشت اطلاعات از دستگاه شخصی است؟

“و زمانی‌که اطلاعات گم شد، سازمان کجا می‌تواند سیاهه‌های لازم برای هدایت تجزیه و تحلیل قانونی را دریافت کرده و برنامه لازم را در پاسخ به رویداد به اجرا در آورد؟”

او پس از مکثی توضیح داد: “بی‌وای‌اُ دی در مسیری روبه‌جلو قرار دارد. صنایعی مانند ساخت‌وساز(که سهامداران متعددی دارد) نیازمند به کارگیری برنامه‌های کاربردی هوشمندتری با دانش روز هستند تا پروژه‌ها را در مسیر روبه‌جلو در برنامه زمانی کوتاهی نگه‌دارند. آن دسته از رهبرانی که برنامه‌های کابردی تلفن همراه با محتوای غنی‌تری را به‌کار گیرند در بازار برنده خواهند بود. با این وجود دستگاههای تلفن همراه برای حداقل چندین نسل بعدی در معرض خطر باقی خواهد ماند.”

چالشهای امنیتی در ابر

باید توجه کرد که تعهدات مرتبط با نفوذ در اطلاعات به بخش آی‌تی مربوط نیست، بلکه به مدیریت اجرایی مرتبط است. پرسیدم: “چرا مدیران پیامی در خطر انطباق دریافت نکرده‌اند؟”

داکین با یک مقایسه مناسب پاسخ داد: “من متعجب می‌شوم زمانی‌که می‌بینم مدیران ارشد از نفوذ قابل توجه در اطلاعات شگفت‌زده می‌شوند. بسیاری از نسلهای جدید مدیران ارشد اطلاعاتی در حال یکپارچه شدن با عملکردهای تجاری هستند، اما این انتقال هنوز در مراحل اولیه خود است. بسیاری از عملکردهای آی‌تی ناظر بر پردازش، انتقال و ذخیره‌سازی بیتهای اطلاعات بر روی سیستمهایی هستند که آنان مدیریتش را بر عهده دارند.”

او افزود: “به همین دلیل بخش آی‌تی ممکن است بحرانی بودن عملیات و حساسیت اطلاعات را درک نکند.”

 “تنها مدیران تجاری اهمیت این سیستمها را درک می‌کنند. در بسیاری موارد با تغییر فرایند، بیشتر از تغییر معماری می‌توان از اطلاعات حفاظت کرد. اما تنها واحد تجاری تعیین می‌کند که کدام استراتژی بهتر می‌باشد.”

او با توجه به پردازش پرداخت و عملیات های بهداشت و درمان مثالی عنوان کرد: “سازمان‌های پیشرو به منظور محدود کردن خطر از طریق کاهش دامنه سطح حمله، اطلاعات حساس را از فرآیندهای کلیدی حذف می‌کنند.”

پرسیدم: “شرکتها از چه مشکلات انطباقی دیگری باید مطلع باشند؟”

”  کول فایر اوایل تابستان امسال یک نظرسنجی را انجام داد برای درک اینکه چگونه شرکتهای آماده‌شده، فن‌آوری تلفن همراه را که شامل دستگاه‌های شخصی می‌شود به کار گرفته‌اند. این نظرسنجی نشان داد که تقریباً ۵۰% سازمانهای بررسی شده با کارکنانشان در مورد امنیت تلفن همراه شروع به صحبت نکرده‌بودند. آنان در دوره‌ای از انکار به سر می‌برند.”

 با بازتاب رشد رایانش ابری، آقای داکین چنین گفت: “خدمات بررسی قانونی ما و مشارکتمان در برنامه‌های کابردی تلفن همراه و امنیت ابر، ما را در جریان نگه می‌دارد. با این وجود قدرت ما از همکاری با دیگر رهبران صنعتی ناشی می‌شود. زمانیکه اُرِکل از ما خواست که خدمات میزبانی مبتنی بر ابرش را از نظر الزامات انطباقی اعتبار ببخشیم، مشتاق همکاری بودیم. از طریق درگیر شدن در محیطهای پیچیده و سخت چیزهای بسیاری آموخته‌ایم. درک کرده‌ایم که خرد منحصربه‌‌‏فردی وجود ندارد. ما باید با کار کردن با مشتری‌هایمان به‌‌‏تدرج دانش خود را افزایش دهیم. همتایان ما در وی‌اِم‌وِر از ما خواستند که با آنان برای ساخت معماری مرجع در انطباق سیستم مجازی همکاری کنیم.”

به عبارت دیگر با اطلاعات بیشتر خطر بیشتری نیز همراه است.

شرکتهای بیشتری برای حفاظت اعتبار و مالکیت معنوی خود نیازمند این هستند که در امن کردن اطلاعاتشان هشیاری لازم را داشته‌باشند، در حالیکه خطر انطباق را با عصر جدید دیجیتال درک می‌کنند.

اخبار مرتبط

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

عضویت در خبرنامه اپک تایمز فارسی