ریک داکین مدیر عامل شرکت کول فایر میگوید: “گوشیهای هوشمند فاقد بسیاری از کنترلهای پایه امنیتی هستند.”
اورسون وِلز تحول جامعه را در فیلم کلاسیک خود “اَمبِرسونهای باشکوه” به تصویر کشید. در این داستان که در مورد مدرنیزه کردن یک شهر آمریکایی است، اختراع جدید اتومبیل در حال جایگزینی روش قدیمی حملونقل با کالسکه است. هنگامی که نگهبان قدیمی از پذیرفتن فنآوری جدید خودداری کرد، دیگران در ثروت از او پیشی گرفته و وی را پشت سر گذاشتند.
امروزه ما در حال گذر از شکاف مشابهی هستیم. دنیای سرتاسر دیجیتال – تحلیل اطلاعات و رایانش ابری، اجتماعی و موبایل – دنیای آنالوگ و غیردیجیتال را از میدان به در کرده و مشاغل با درآمد پایین را از طریق اتوماسیون نرمافزاری و چاپ سهبعدی حذف میکند.
ریک داکین مدیرعامل شرکت کول فایر با آگاهی از تأثیری که فنآوریهای جدید بر مصرفکنندگان و شرکتهای تجاری دارد، با وارد شدن به سال ۲۰۱۳، پیشبینیهایی کردهاست که در مورد پذیرش خطر حاکمیت (جیآرسی) اطلاعات و تهدیدات افزایش یافته امنیت اینترنتی و حملات پیچیده فیشینگ (تلاش برای بدست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و… از طریق جعل یک وبسایت، آدرس ایمیل و…) از طریق ایمیل میباشد.
با فنآوری جدید و آسیبپذیر تلفن همراه، کولفایر پیشبینی میکند که در سال ۲۰۱۳ “بیش از یک میلیون کاربر تحت تأثیر قرار خواهند گرفت و خسارات وارده بیش از ۱۰ میلیون دلار خواهد بود.”
آقای داکین به شوخی گفت که وکلا منبع درآمد جدیدی با پیگیری پرونده شرکتهایی که قادر به حفاظت از اطلاعات مشتریان و مصرفکنندگان خود نیستند کسب خواهند کرد. سپس با نگاهی جدی کول فایر پیشبینی میکند که “دولت انتقال سرمایهگذاری را به سمت رایانش ابری “امن” هدایت خواهد کرد.”
جالبترین پیشبینی کول فایر اینست که “حفاظت از زیرساختهای حیاتی (سیآیپی) جایگزین صنعت پرداخت کارت (پیسیآی) استاندارد خواهد شد. بانکها، پردازندههای پرداخت و سایر نهادهای ملی از نظر قابلیت حفاظت از سیستمهای حیاتی و اطلاعات حساس به تکامل بیشتری دست مییابند.”
به نظر میرسد که فنآوریهای جدیدتر جایگزین فنآوریهای نوین خواهند شد.
تا چه اندازه دادههای تلفن همراه دارای امنیت است
سپتامبر گذشته در یک سخنرانی شرکت کردم که آقای داکین سخنران اصلی در زمینه نفوذ در اطلاعات و نیاز به حفاظت از اطلاعات جهت تحقق الزامات نظارتی جدید برای حریم خصوصی و انطباق بود. پس از این ارائه تأملبرانگیز در مورد میزان عدم آمادگی بیشتر شرکتها در زمینه اطلاعات و روند بیوایاُ دی (سیاستی که به کارکنان این اجازه را میدهد که دستگاههای قابل حمل خود از جمله تلفن همراه را به محل کار بیاورند)، من او را ملاقات کردم تا بیشتر در این مورد بحث کنیم. در حالیکه در پشت بام یک هتل در مانهاتان بودیم به سخنان او در مورد وضعیت عدم آمادگی بسیاری از صنایع گوش میکردم، که این واقعیت را روشن میکرد که تحقق جیآرسی نقش عظیمی در تغییر جهت به سمت دیجیتال ایفا خواهد کرد.
شرکت سیستمهای کول فایر (تأسیس شده در سال ۲۰۰۱) یک شرکت انطباقی و ممیزی مستقل آیتی است که امنیت اطلاعات و راهکارهای مدیریت جیآرسی را برای مشتریان فراهم میکند. این شرکت یک دفتر اصلی در لوزویل کولورادو و هفت دفتر منطقهای در آمریکا دارد.
در مصاحبهای که با داکین داشتم در ادامه، نظر او را در مورد اینکه قابل حمل بودن تا چه میزان قوانین اطلاعات کاربران را تغییر خواهد داد، جویا شدم.
او گفت که بسترهای(platform) نرمافزاری قابل حمل برای بچههای آرامی که گِیم (بازی کامپیوتری) بازی میکنند و در شبکههای اجتماعی به اشتراک میگذارند، طراحی شدهاست. ولی بهکارگیری فراگیر و قابلیتهای قدرتمند، آنها را برای نسل بعدی کاربردهای تجاری تلفن همراه ایدهآل میکند.
متأسفانه سیستمعاملهای بسترهای نرمافزاری ذاتاً آسیبپذیر هستند و معماری اولیه را برای استقرار امکانات کنترلی نسل قبلی آیتی مانند فایروال، کنترل دسترسی و سختسازی سیستم و یا حتی محافظت در برابر بدافزار ندارند.
وی گفت: “واضح است که امنیت لازم از طریق فروشندگان این بسترهای نرمافزاری فراهم نخواهد شد. ما عادت داشتیم که با برجستهسازی شکافهای امنیتی سیسمعامل ویندوز شوخی کنیم. امروزه گوگل و اَپل فقدان این امنیت تعبیه شده را به سطح کاملاً جدیدی بردهاند که بسیار پرمخاطرهتر از محصولات مایکروسافت است.”
پرسیدم: “چه صنایع دیگری نیز در معرض خطر قرار دارند؟”
آقای داکین گفت: “پر خطرترین عرصه، پزشکی قابل حمل است. کاربردهای پزشکی توسعهیافته خانگی تلفن همراه (mobile application) در حال رایجتر شدن است، بدون در نظر گرفتن اینکه چگونه با استانداردهای هایتِک و هایپا(HIPAA) در حفاظت سابقه بیمار مطابقت داشتهباشد.”
او افزود: “روند نگران کنندهتر برای حسابرسان، در حذف کابردهای تلفن همراه از بررسی دامنه است زیرا راهنمای حسابرسی در این زمینه روشن نیست. حذف صورتمسأله آن را حل نمیکند. ما متخصصین آیتی باید کابردهای ابری و تلفن همراه را در بسترهای نرمافزاری موجود بررسی کنیم.”
این یک چالش در چشمانداز متغیر دنیای دیجیتال است.
ظهور بیوایاُ دی گوشیهای هوشمند و تبلِتها
پرسیدم: “روند بیوایاُ دی به سمت فضای بیتوبی B2B(ارتباط و مبادله تجاری بین دو سازمان تجاری مانند ارتباط بین تولیدکننده و عمدهفروش) حرکت میکند، در این مورد چه شکافهایی در مدیریت امنیت اطلاعات وجود دارد؟”
او پاسخ داد: “علاوه بر محدودیتهای ذاتی سیستمهای عامل، بهکارگیری برنامههای کاربردی تلفن همراه (mobile application) بر روی دستگاههای شخصی به خودی خود خطرات و مشکلات ویژهای ایجاد میکند:
• صاحب این دادهها بر روی گوشیهای هوشمند و تبلتها کیست؟
• چگونه یک سازمان میفهمد چه زمانی اطلاعات شرکت بر روی یک ابر شخصی کپیبرداری شدهاست؟
• آیا میتوانیم کنترل دسترسی را بر روی دستگاهی که متعلق به شرکت نیست اعمال کنیم؟
• زمانی که دستگاهی به سرقت رفته یا گم شده چگونه شرکت میتواند بفهمد که چه اطلاعاتی در خطر است؟
• آیا کاربران به شرکتها اجازه پاکسازی راه دور دستگاههای شخصی را میدهند؟
• از آنجاییکه کاربران میتوانند هر تعداد برنامههای کاربردی ناامنی را داونلود کنند، چگونه سازمانها میتوانند متوجه این شوند که یک تروجان در حال برداشت اطلاعات از دستگاه شخصی است؟
“و زمانیکه اطلاعات گم شد، سازمان کجا میتواند سیاهههای لازم برای هدایت تجزیه و تحلیل قانونی را دریافت کرده و برنامه لازم را در پاسخ به رویداد به اجرا در آورد؟”
او پس از مکثی توضیح داد: “بیوایاُ دی در مسیری روبهجلو قرار دارد. صنایعی مانند ساختوساز(که سهامداران متعددی دارد) نیازمند به کارگیری برنامههای کاربردی هوشمندتری با دانش روز هستند تا پروژهها را در مسیر روبهجلو در برنامه زمانی کوتاهی نگهدارند. آن دسته از رهبرانی که برنامههای کابردی تلفن همراه با محتوای غنیتری را بهکار گیرند در بازار برنده خواهند بود. با این وجود دستگاههای تلفن همراه برای حداقل چندین نسل بعدی در معرض خطر باقی خواهد ماند.”
چالشهای امنیتی در ابر
باید توجه کرد که تعهدات مرتبط با نفوذ در اطلاعات به بخش آیتی مربوط نیست، بلکه به مدیریت اجرایی مرتبط است. پرسیدم: “چرا مدیران پیامی در خطر انطباق دریافت نکردهاند؟”
داکین با یک مقایسه مناسب پاسخ داد: “من متعجب میشوم زمانیکه میبینم مدیران ارشد از نفوذ قابل توجه در اطلاعات شگفتزده میشوند. بسیاری از نسلهای جدید مدیران ارشد اطلاعاتی در حال یکپارچه شدن با عملکردهای تجاری هستند، اما این انتقال هنوز در مراحل اولیه خود است. بسیاری از عملکردهای آیتی ناظر بر پردازش، انتقال و ذخیرهسازی بیتهای اطلاعات بر روی سیستمهایی هستند که آنان مدیریتش را بر عهده دارند.”
او افزود: “به همین دلیل بخش آیتی ممکن است بحرانی بودن عملیات و حساسیت اطلاعات را درک نکند.”
“تنها مدیران تجاری اهمیت این سیستمها را درک میکنند. در بسیاری موارد با تغییر فرایند، بیشتر از تغییر معماری میتوان از اطلاعات حفاظت کرد. اما تنها واحد تجاری تعیین میکند که کدام استراتژی بهتر میباشد.”
او با توجه به پردازش پرداخت و عملیات های بهداشت و درمان مثالی عنوان کرد: “سازمانهای پیشرو به منظور محدود کردن خطر از طریق کاهش دامنه سطح حمله، اطلاعات حساس را از فرآیندهای کلیدی حذف میکنند.”
پرسیدم: “شرکتها از چه مشکلات انطباقی دیگری باید مطلع باشند؟”
” کول فایر اوایل تابستان امسال یک نظرسنجی را انجام داد برای درک اینکه چگونه شرکتهای آمادهشده، فنآوری تلفن همراه را که شامل دستگاههای شخصی میشود به کار گرفتهاند. این نظرسنجی نشان داد که تقریباً ۵۰% سازمانهای بررسی شده با کارکنانشان در مورد امنیت تلفن همراه شروع به صحبت نکردهبودند. آنان در دورهای از انکار به سر میبرند.”
با بازتاب رشد رایانش ابری، آقای داکین چنین گفت: “خدمات بررسی قانونی ما و مشارکتمان در برنامههای کابردی تلفن همراه و امنیت ابر، ما را در جریان نگه میدارد. با این وجود قدرت ما از همکاری با دیگر رهبران صنعتی ناشی میشود. زمانیکه اُرِکل از ما خواست که خدمات میزبانی مبتنی بر ابرش را از نظر الزامات انطباقی اعتبار ببخشیم، مشتاق همکاری بودیم. از طریق درگیر شدن در محیطهای پیچیده و سخت چیزهای بسیاری آموختهایم. درک کردهایم که خرد منحصربهفردی وجود ندارد. ما باید با کار کردن با مشتریهایمان بهتدرج دانش خود را افزایش دهیم. همتایان ما در ویاِموِر از ما خواستند که با آنان برای ساخت معماری مرجع در انطباق سیستم مجازی همکاری کنیم.”
به عبارت دیگر با اطلاعات بیشتر خطر بیشتری نیز همراه است.
شرکتهای بیشتری برای حفاظت اعتبار و مالکیت معنوی خود نیازمند این هستند که در امن کردن اطلاعاتشان هشیاری لازم را داشتهباشند، در حالیکه خطر انطباق را با عصر جدید دیجیتال درک میکنند.