تکنولوژیهای جدید اعم از محصولات و سرویس ها از انواع مختلف با روش های گوناگونی وارد محیط های کار میشوند.
از گوشیهای هوشمند، سیستم های voice-over-ip و حافظههای فلش گرفته تا دنیای آنلاین. این تکنولوژیها پس از مدتی بخشی از زندگی روزمره مردم میشوند به طوری که تصور زندگی بدون آنها غیرممکن میشود. اما سوال اینجاست که آیا کارکنان باید حتما از آنها در محیط کار استفاده کنند یا بالعکس باید از آنها پرهیز کنند.
در نظرسنجی اخیری که مرکز تحقیقاتی yankee group انجام داده است، 86درصد از 500 پاسخدهنده در این نظرسنجی گفتهاند که حداقل از یکی از تکنولوژیهای مورد بحث در این مقاله در محل کار استفاده میکنند.
متاسفانه این تکنولوژیها باعث بروز برخی مشکلات در واحدهای IT سازمان ها هم شدهاند. استفاده از برخی تکنولوژیها نوعی ریسک محسوب میشود. از سوی دیگر کاربران توقع دارند که واحد IT از دستگاهها و سرویس ها به ویژه آنهایی که با آنها در برنامهها سر و کار دارند، پشتیبانی کند.
ممنوع کردن استفاده از برخی تکنولوژیها در بسیاری از شرکت های بر خلاف فرهنگ آن سازمان است ولی از طرفی دیگر نمیتوانند تمام ریسک های امنیتی را نیز نادیده بگیرند.
«من فکر نمیکنم کارکنان وقت این را داشته باشند که در مورد تمام تکنولوژیها مطالعه کنند و همه جنبههای آن را در نظر بگیرند، آنها مشغول کار خودشان هستند و وقت چنین کارهایی را ندارند.» این صحبت های«شارون فاینی»، مدیر بخش امنیت اطلاعات مرکز درمانی dekalb است. او ادامه میدهد: «من فکر میکنم این وظیفه من است که در مورد این تکنولوژیها تحقیق کنم و به صورت ساده به آنها آموزش دهم و در عین حال مسائل امنیتی آن را هم در نظر بگیرم.»
برخی دیگر مانند «مایکل میلر»، معاون بخش امنیت سرویس های ارتباطی شرکت global crossing معتقد است که ابتدا واحد IT باید صبر کند تا ببیند استفاده از این دستگاهها تاثیری مثبت بر روی راندمان کار دارد یا باعث بروز مشکلاتی مانند نفوذ worm و یا افزایش ترافیک شبکه میشود. براساس نظر او واکنش به این تکنولوژیها باید ترکیبی از پیروی از فرهنگ سازمان و دادن حق دسترسی (در حد منطقی) به کارکنان و مطمئن بودن از سطح امنیتی شبکه باشد.
«جاش ها لبروک» تحلیلگر yankee group میگوید: «مقابله با مشکلاتی که این تکنولوژیها باعث آن هستند، منابع زیادی از بخش IT سازمان را به خود اختصاص میدهد. استفاده از برخی تکنولوژیها برای بخش های IT سازمان ها به یک کابوس تبدیل خواهد شد، مگر آنکه کارکنان سیاست های سازمان در خصوص استفاده از تکنولوژیهای جدید را به خوبی بپذیرند. در همان حال بیتوجهی به زیر نظر داشتن تکنولوژیهای جدید خطر بالقوهای در خصوص امنیت اطلاعات سازمان است.»
برای نمونه در زیر به بررسی خطرهای 8 تکنولوژی معروف پرداخته میشود:
1. Instant Messaging
این روزها مردم از IMها (Instant Messaging) برای هر چیزی استفاده میکنند، از مطمئن شدن رسیدن بچهها به منزل تا گفت وگو با همکاران و یا حتی شرکای تجاری. براساس تحقیق y،yankee groupن40 درصد از پاسخگویان گفته بودند که از IM در محل کار استفاده میکنند. IMها مسائل امنیتی متعددی را به چالش میکشاند. به خصوص که تبادل اطلاعات در IM و در محیط اینترنت، خط ارتباطی ناامنی محسوب میشود و چه بسا یک نفوذگر از همین طریق بتواند به اطلاعات محرمانهای که مثلا یک کارمند با یک مشتری در خارج از سازمان و بر روی بستر اینترنت در حال تبادل آن هستند، دسترسی پیدا کند.
یک راه برای مقابله با تهدیدات IMها استفاده از سرورهای IMهای درونسازمانی است. مثلا در اواخر سال 2005، شرکت global crossing از نرمافزار Live Communications Server یا به اختصار lcs، برای این منظور استفاده کرد. این شرکت در ادامه در آگوست 2006، کارکنانش را از استفاده از IMهای شرکت هایی نظیر AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتی که از طریق سرورهای داخلی انجام میشود، رمز شده (ENCRYPTED) و تمامی IM برون سازمانی محافظت شدهاند.
همچنین به کارگیری سرورهای IMهای داخلی به واحد امنیت آن سازمان کنترل بیشتری میدهد. «میلر» میگوید: «از این طریق ما این توانایی را داریم که سیاست های امنیتی را به راحتی اعمال کنیم. برایی نمونه ما میتوانیم تبادل فایل از طریق IM را محدود کنیم یا کاربران اجازه استفاده از urlهای ارسال شده از طریق شخصی که با آن مشغول چت هستند، نداشته باشند. اینها روش های متداولی برای جلوگیری از ورود wormها به درون سازمان است.» او ادامه میدهد: «این روش از اتلاف وقت هم جلوگیری میکند.»
روش های سختگیرانهتری هم وجود دارد. سیاست امنیتی مرکز درمانی dekalb، استفاده از IMها را کلا ممنوع کرده است. «فاینی» برای اطمینان بیشتر نیز اکثر سایت هایی را که از طریق آنها میتوان IMها دانلود کرد را نیز محدود کرده است. اما او نمیتواند سایت های AOL یا Yahoo را هم بلاک کند؛ چرا که بسیاری از پرسنل از این سایت ها برای ایمیل استفاده میکنند. گروه او همچنین از یک نرمافزار کمکی که وظیفه آن پیدا کردن کامپیوترهایی است که بر روی آنها نرمافزار IM نصب شده است نیز استفاده میکنند. در صورتی که این نرمافزار وجود چنین کامپیوتری را اعلام کند، به کارمند خاطی تذکر داده و سیاست امنیتی سازمان به او یادآور میشود. فاینی همچنین متدهای مختلفی را برای بلاک کردن ارسال اطلاعات از درون سازمان به بیرون به کار گرفته است. در حال حاضر او از یک برنامه کمکی متعلق به شرکت vericept برای مانیتور کردن اطلاعات استفاده میکند. همچنین تیم او اکثر پورت های کامپیوترها را بستهاند تا نرمافزارها راهی جز استفاده از پورت 80 (HTTP Port) برای تبادل اطلاعات با بیرون از سازمان را نداشته باشند.
مرکز درمانی dekalb به دنبال یافتن ایدههایی برای استفاده از نرمافزارهایی نظیر ibm Lotus Notes یا حتی نرمافزارهای رایگان IM نظیر jabber برای افرادی که برای امور کاری میخواهند در داخل سازمان چت کنند می گردد. فاینی در آخر میگوید: «هیچ چیز 100درصد نیست. IM هنوز نگرانی بزرگی برای امنیت و همین طور کارایی سازمان است.»
2. web mail
50درصد پاسخگویان نظرسنجی yankee group گفتهاند که آنها از ایمیل ها برای اهداف تجاری سازمان استفاده میکنند. مشکل استفاده از ایمیل های سرویسدهندههایی نظیر g،google gmail، Microsoft hotmail، AOL و Yahoo این است که کاربران به ناامن بودن آنها توجه نمیکنند. چرا که اطلاعات بر روی سرورهای ispها و همان میلسرورها ذخیره میشوند. کارکنان بیتوجه به این مسائل، اطلاعات بسیار مهمی نظیر شمارههای امنیتی، کلمه عبور و بسیاری دیگر از اطلاعات محرمانه سازمان را از این طریق بر روی اینترنت جابه جا میکنند.
یکی از راههای کاهش دادن خطر لو رفتن اطلاعات سازمان از طریق ایمیل ها استفاده از برنامههای مانیتورینگ و اعمال فیلترها برای بررسی محتوای ایمیل ها و بلاک کردن آنها در صورت مغایر بودن با سیاست های امنیتی سازمان است. در این زمینه «مایکل ماشادو» مدیر بخش IT شرکت WebEx از برنامهای متعلق به شرکت reconnex برای مانیتور و فیلتر کردن ایمیل ها استفاده میکند.
همچنین مرکز درمانی dekalb از نرمافزار vericept برای مانیتور کردن تمامی ایمیل ها استفاده میکند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش می دهد و او را از خطرات احتمالی چنین اقداماتی آگاه میسازد.
3. دستگاههای ذخیرهسازی قابلحمل
(Portable storage Devices)
یکی از اصلیترین نگرانیهای مدیران IT، افزایش روزافزون دستگاههای ذخیرهسازی اطلاعات از Apple iPhone و ipodها گرفته تا حافظههای فلش و ورود آنها به سازمان است. «هالبروک» این رابطه میگوید: «مردم براحتی میتوانند با این وسایل تمامی اطلاعات محرمانه سازمان را کپی کنند و آنها را به محلی ناامن منتقل کنند.»
«تنها در این سه هفته اخیر، من 6 مطلب مختلف در مورد خطرات این دستگاهها شنیدم» اینها مطلبی بود که « مارک رودس اوسلی» معمار امنیت اطلاعات و نویسنده کتاب
«Network Security: the complete reference» بیان میکند.
در حالی که بستن پورت های USB کار آسانی است، اما بسیاری از مدیران شبکه این روش را روشی درست نمیدانند. «میلر» در خصوص استفاده از این روش میگوید: «اگر مردم بخواهند اطلاعاتی جابه جا کنند، به هرحال راهی برای آن پیدا میکنند. اگر شما پورت های USB را بلاک کنید، در مورد Infrared، و CD Writer و سایر موارد چه میخواهید بکنید؟»
او پیشنهاد میدهد باید حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجیه کرد که استفاده نادرست از این وسایل چه خطراتی برای سازمان میتواند به همراه داشته باشد. میلر ادامه میدهد: «بسیاری از فاجعههایی که در این رابطه اتفاق میافتد، غیرعمدی بوده است و به همین خاطر است که کارکنان باید آموزش ببینند.»
«ماشادو» هم موافق بلاک کردن usbها در شرکت WebEx نیست. چرا که این موضوع باعث درخواست های بیشمار به واحد IT سازمان میشود و کمکم مسوولان ناچار میشوند در خصوص این درخواست ها استثناهایی را لحاظ کنند و پس از اندک مدتی مدیریت این استثناها غیرکنترل میشود. او میگوید: «همه یک استثنا دارند که از نظر خودشان مهم ترین کار سازمان است. پاسخگویی به این کاربران زمانبر است.»
او معتقد است که بهترین کار استفاده از ابزاری است که به صورت خودکار به کاربری که در حال کپی کردن اطلاعات بر روی این دستگاهها است، پیغام هشدار دهد. او میگوید: «در این صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نیز قابل ردیابی خواهد بود.»
اما فاینی خود را طرفدار بلاک کردن usb در مرکز درمانی dekalb میداند و از نرمافزار vericept برای این منظور استفاده میکند. او همچنین دادن یپغام هشدار به کاربر را نیز ایده جالبی میداند.
در همین حال دانشگاه ایالتی grand Valley میشیگان و برخی دیگر از دانشگاهها به دنبال روشی برای استاندارد کردن رمزگذاری حافظههای فلش برای بالا بردن امنیت این دستگاهها هستند.
4. pdaها و گوشیهای هوشمند
هر روز بر تعداد کسانی که از pdaها استفاده میکنند، افزوده میشود. اما زمانی که آنها میخواهند اطلاعات را از روی pc به آن منتقل کنند یا بالعکس، میتوانند مسبب مشکلاتی شوند. از ایجاد یک اشکال کوچک گرفته تا صفحه آبی ویندوز. «هالبروک» در این خصوص میگوید: «این نوع مشکلات، اشکالات غیررایجی نیستند. اشکالات ناخوشایندی هستند که مدام تکرار می شوند.»
مساله اینجا است که آیا پرسنل باید برای استفاده از این دستگاهها آزاد باشند. یک کارمند میتواند از در خارج شود، در حالی که اطلاعات زیادی از سازمان را در درون pda خود ذخیره کرده است.
مانند بسیاری از سازمان ها، شرکت WebEx خطرات این دستگاهها را از طریق استاندارد کردن استفاده از یک برند خاص pda کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصی از pda را در محل کار دارند که مسائل امنیتی آن به شدت تحت کنترل واحد IT است. این شرکت همین کار را در مورد laptopها نیز انجام داده است که بنا به عقیده «ماشادو» از pdaها بسیار خطرناکترند؛ چرا که میتوانند اطلاعات بیشتری را در خود ذخیره کنند. کارکنان اجازه آوردن laptop با برند دیگر را به درون سازمان ندارند.
5. گوشیهای دوربیندار
یک کارگر بیمارستان در مقابل اتاق پرستاران ایستاده بود و با پرستاران بسیار خودمانی مشغول صحبت بود. هیچ کس متوجه این موضوع نبود که او مدام دکمه کوچک موبایلش را میفشارد. این یک صحنه از دزدی اطلاعات با گوشی دوربیندار میتواند باشد.
«فاینی» در این مورد میگوید: «یکی از این تست ها که من برای مرکز درمانی dekalb انجام داده بودم، رفتن به اتاق پرستاران (در حالی که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها به صورت نامحسوس بود. من میخواستم ببینم که آیا از این طریق میتوان به اطلاعات پروندهها و کاغذهایی که روی میز قرار داشتند، دسترسی داشت یا خیر.»
وقتی او به اتاق کارش باز میگردد، اطلاعات خاصی در مورد آن پروندهها از آن عکس ها به دست نمیآید اما به صورت تصادفی نام کامپیوتر (نه ip) را که بر روی مانیتور نمایش داده شده بود، در یکی از عکس ها میبیند.
«این نوع اطلاعات میتواند در کنار سایر اطلاعات به دست آمده از روش های دیگر باعث ایجاد دیدی روشن برای طرح ریزی یک حمله شود.»
او در این مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض دید قرار دادن اطلاعات کلیدی هشدار داده است.
6. skype و دیگر سرویس های voip
تکنولوژی دیگری که به شدت در حال رشد است skype است، نرمافزاری قابلدانلود که کاربران از طریق آن میتوانند تماس های تلفنی رایگان برقرار کنند. 20درصد از پاسخگویان به این نظرسنجی گفتهاند از این سرویس برای اهداف تجاری استفاده میکنند.
خطری که skype یک سازمان را تهدید میکند، همان خطری است که هر نرمافزار کوچک قابلدانلود دیگر را تهدید میکند. هالبروک در این خصوص میگوید: «نرمافزارهای تجاری برای یک سازمان از لحاظ امنیتی مطمئنتر از برنامههای کوچک قابلدانلود بر روی اینترنت میباشند. بنابراین دانلود هر نرمافزاری میتواند نوعی ریسک برای سازمان محسوب شود.»
skype حداقل 4 مورد مشکل امنیتی را اعلام کرده است و برای آنها آپدیت ارائه کرده است. متاسفانه اغلب بخش های IT سازمان ها آماری در مورد اینکه چه تعداد از پرسنل از این نرمافزار استفاده میکنند و از این تعداد چند نفر از آخرین نسخه استفاده نمیکنند، اطلاعاتی ندارند. لذا نمیتواند کنترل صحیحی را اعمال کند.
بنا به نظر شرکت gartner ایمنترین راه، محدود کردن ترافیک های مربوط به این نرمافزار در شبکه است و اگر قرار شد برخی افراد از آن استفاده کنند، باید ویرایش آخر این نرمافزار را به همراه آپدیتهایش اجرا کنند.
7. برنامههای کوچک قابلدانلود
براساس تحقیق yankee group استفادهکنندگان این برنامهها از دستگاههایی نظیر q و Nokia e62 جهت دسترسی سریع به اینترنت برای دانلود آنها استفاده میکنند. این برنامهها میتوانند به آسانی وارد یک کامپیوتر شوند و این درگاهی دیگر برای ورود اطلاعات ناخواسته به اکوسیستم سازمان است که با معیارهای امنیتی بخش IT سازگار نیست.
مشکل اینجا است که این برنامههای کوچک قدرت پردازش کامپیوتر و پهنای باند شبکه را اشغال میکنند. هالبروک میگوید: «من نمیخواهم بگویم اینها ویروس هستند اما شما در حال دانلود کردن نرم افزاری هستید که اطمینان زیادی به آن ندارید.»
WebEx به کارکنانش در خصوص ریسک های این برنامههای کوچک آموزش میدهد و از reconnex برای مانیتور برنامههای نصب شده بر روی کامپیوترها استفاده میکند، ضمن اینکه برخی از حق دسترسیهایی را که به صورت پیش فرض برای دانلود فعال میباشند نیز غیرفعال کرده است.
8. دنیاهای مجازی (virtual worlds)
کارکنان شرکت های تجاری در حال تجربه کردن زندگی کاری در دنیاهایی مجازی هستند، دنیاهایی که برخی معتقدند زندگی دوم ما انسان ها است. اما وظیفه بخش IT سازمان این است که در خصوص خطرات آن آگاه باشد.
در همان حال ذات این محیط ها براساس دانلود حجم زیادی از اطلاعات و برنامهها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن میکنند.
gartner پیشنهاد میکند که کارکنان حتیالامکان در خارج از شبکه درونی سازمان و یا منزل در حالی که توسط Firewall بیرونی سازمان کامپیوترشان محافظت میشود، از این محیط ها استفاده کنند. در واقع سازمان دارای دو دیواره آتش باشد. اولی از کامپیوترهایی که میخواهند به این محیط ها دسترسی داشته باشند محافظت کند و دومین دیواره آتش بعد از دیواره آتش اول از شبکه داخلی سازمان محافظت کند.
از گوشیهای هوشمند، سیستم های voice-over-ip و حافظههای فلش گرفته تا دنیای آنلاین. این تکنولوژیها پس از مدتی بخشی از زندگی روزمره مردم میشوند به طوری که تصور زندگی بدون آنها غیرممکن میشود. اما سوال اینجاست که آیا کارکنان باید حتما از آنها در محیط کار استفاده کنند یا بالعکس باید از آنها پرهیز کنند.
در نظرسنجی اخیری که مرکز تحقیقاتی yankee group انجام داده است، 86درصد از 500 پاسخدهنده در این نظرسنجی گفتهاند که حداقل از یکی از تکنولوژیهای مورد بحث در این مقاله در محل کار استفاده میکنند.
متاسفانه این تکنولوژیها باعث بروز برخی مشکلات در واحدهای IT سازمان ها هم شدهاند. استفاده از برخی تکنولوژیها نوعی ریسک محسوب میشود. از سوی دیگر کاربران توقع دارند که واحد IT از دستگاهها و سرویس ها به ویژه آنهایی که با آنها در برنامهها سر و کار دارند، پشتیبانی کند.
ممنوع کردن استفاده از برخی تکنولوژیها در بسیاری از شرکت های بر خلاف فرهنگ آن سازمان است ولی از طرفی دیگر نمیتوانند تمام ریسک های امنیتی را نیز نادیده بگیرند.
«من فکر نمیکنم کارکنان وقت این را داشته باشند که در مورد تمام تکنولوژیها مطالعه کنند و همه جنبههای آن را در نظر بگیرند، آنها مشغول کار خودشان هستند و وقت چنین کارهایی را ندارند.» این صحبت های«شارون فاینی»، مدیر بخش امنیت اطلاعات مرکز درمانی dekalb است. او ادامه میدهد: «من فکر میکنم این وظیفه من است که در مورد این تکنولوژیها تحقیق کنم و به صورت ساده به آنها آموزش دهم و در عین حال مسائل امنیتی آن را هم در نظر بگیرم.»
برخی دیگر مانند «مایکل میلر»، معاون بخش امنیت سرویس های ارتباطی شرکت global crossing معتقد است که ابتدا واحد IT باید صبر کند تا ببیند استفاده از این دستگاهها تاثیری مثبت بر روی راندمان کار دارد یا باعث بروز مشکلاتی مانند نفوذ worm و یا افزایش ترافیک شبکه میشود. براساس نظر او واکنش به این تکنولوژیها باید ترکیبی از پیروی از فرهنگ سازمان و دادن حق دسترسی (در حد منطقی) به کارکنان و مطمئن بودن از سطح امنیتی شبکه باشد.
«جاش ها لبروک» تحلیلگر yankee group میگوید: «مقابله با مشکلاتی که این تکنولوژیها باعث آن هستند، منابع زیادی از بخش IT سازمان را به خود اختصاص میدهد. استفاده از برخی تکنولوژیها برای بخش های IT سازمان ها به یک کابوس تبدیل خواهد شد، مگر آنکه کارکنان سیاست های سازمان در خصوص استفاده از تکنولوژیهای جدید را به خوبی بپذیرند. در همان حال بیتوجهی به زیر نظر داشتن تکنولوژیهای جدید خطر بالقوهای در خصوص امنیت اطلاعات سازمان است.»
برای نمونه در زیر به بررسی خطرهای 8 تکنولوژی معروف پرداخته میشود:
1. Instant Messaging
این روزها مردم از IMها (Instant Messaging) برای هر چیزی استفاده میکنند، از مطمئن شدن رسیدن بچهها به منزل تا گفت وگو با همکاران و یا حتی شرکای تجاری. براساس تحقیق y،yankee groupن40 درصد از پاسخگویان گفته بودند که از IM در محل کار استفاده میکنند. IMها مسائل امنیتی متعددی را به چالش میکشاند. به خصوص که تبادل اطلاعات در IM و در محیط اینترنت، خط ارتباطی ناامنی محسوب میشود و چه بسا یک نفوذگر از همین طریق بتواند به اطلاعات محرمانهای که مثلا یک کارمند با یک مشتری در خارج از سازمان و بر روی بستر اینترنت در حال تبادل آن هستند، دسترسی پیدا کند.
یک راه برای مقابله با تهدیدات IMها استفاده از سرورهای IMهای درونسازمانی است. مثلا در اواخر سال 2005، شرکت global crossing از نرمافزار Live Communications Server یا به اختصار lcs، برای این منظور استفاده کرد. این شرکت در ادامه در آگوست 2006، کارکنانش را از استفاده از IMهای شرکت هایی نظیر AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتی که از طریق سرورهای داخلی انجام میشود، رمز شده (ENCRYPTED) و تمامی IM برون سازمانی محافظت شدهاند.
همچنین به کارگیری سرورهای IMهای داخلی به واحد امنیت آن سازمان کنترل بیشتری میدهد. «میلر» میگوید: «از این طریق ما این توانایی را داریم که سیاست های امنیتی را به راحتی اعمال کنیم. برایی نمونه ما میتوانیم تبادل فایل از طریق IM را محدود کنیم یا کاربران اجازه استفاده از urlهای ارسال شده از طریق شخصی که با آن مشغول چت هستند، نداشته باشند. اینها روش های متداولی برای جلوگیری از ورود wormها به درون سازمان است.» او ادامه میدهد: «این روش از اتلاف وقت هم جلوگیری میکند.»
روش های سختگیرانهتری هم وجود دارد. سیاست امنیتی مرکز درمانی dekalb، استفاده از IMها را کلا ممنوع کرده است. «فاینی» برای اطمینان بیشتر نیز اکثر سایت هایی را که از طریق آنها میتوان IMها دانلود کرد را نیز محدود کرده است. اما او نمیتواند سایت های AOL یا Yahoo را هم بلاک کند؛ چرا که بسیاری از پرسنل از این سایت ها برای ایمیل استفاده میکنند. گروه او همچنین از یک نرمافزار کمکی که وظیفه آن پیدا کردن کامپیوترهایی است که بر روی آنها نرمافزار IM نصب شده است نیز استفاده میکنند. در صورتی که این نرمافزار وجود چنین کامپیوتری را اعلام کند، به کارمند خاطی تذکر داده و سیاست امنیتی سازمان به او یادآور میشود. فاینی همچنین متدهای مختلفی را برای بلاک کردن ارسال اطلاعات از درون سازمان به بیرون به کار گرفته است. در حال حاضر او از یک برنامه کمکی متعلق به شرکت vericept برای مانیتور کردن اطلاعات استفاده میکند. همچنین تیم او اکثر پورت های کامپیوترها را بستهاند تا نرمافزارها راهی جز استفاده از پورت 80 (HTTP Port) برای تبادل اطلاعات با بیرون از سازمان را نداشته باشند.
مرکز درمانی dekalb به دنبال یافتن ایدههایی برای استفاده از نرمافزارهایی نظیر ibm Lotus Notes یا حتی نرمافزارهای رایگان IM نظیر jabber برای افرادی که برای امور کاری میخواهند در داخل سازمان چت کنند می گردد. فاینی در آخر میگوید: «هیچ چیز 100درصد نیست. IM هنوز نگرانی بزرگی برای امنیت و همین طور کارایی سازمان است.»
2. web mail
50درصد پاسخگویان نظرسنجی yankee group گفتهاند که آنها از ایمیل ها برای اهداف تجاری سازمان استفاده میکنند. مشکل استفاده از ایمیل های سرویسدهندههایی نظیر g،google gmail، Microsoft hotmail، AOL و Yahoo این است که کاربران به ناامن بودن آنها توجه نمیکنند. چرا که اطلاعات بر روی سرورهای ispها و همان میلسرورها ذخیره میشوند. کارکنان بیتوجه به این مسائل، اطلاعات بسیار مهمی نظیر شمارههای امنیتی، کلمه عبور و بسیاری دیگر از اطلاعات محرمانه سازمان را از این طریق بر روی اینترنت جابه جا میکنند.
یکی از راههای کاهش دادن خطر لو رفتن اطلاعات سازمان از طریق ایمیل ها استفاده از برنامههای مانیتورینگ و اعمال فیلترها برای بررسی محتوای ایمیل ها و بلاک کردن آنها در صورت مغایر بودن با سیاست های امنیتی سازمان است. در این زمینه «مایکل ماشادو» مدیر بخش IT شرکت WebEx از برنامهای متعلق به شرکت reconnex برای مانیتور و فیلتر کردن ایمیل ها استفاده میکند.
همچنین مرکز درمانی dekalb از نرمافزار vericept برای مانیتور کردن تمامی ایمیل ها استفاده میکند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش می دهد و او را از خطرات احتمالی چنین اقداماتی آگاه میسازد.
3. دستگاههای ذخیرهسازی قابلحمل
(Portable storage Devices)
یکی از اصلیترین نگرانیهای مدیران IT، افزایش روزافزون دستگاههای ذخیرهسازی اطلاعات از Apple iPhone و ipodها گرفته تا حافظههای فلش و ورود آنها به سازمان است. «هالبروک» این رابطه میگوید: «مردم براحتی میتوانند با این وسایل تمامی اطلاعات محرمانه سازمان را کپی کنند و آنها را به محلی ناامن منتقل کنند.»
«تنها در این سه هفته اخیر، من 6 مطلب مختلف در مورد خطرات این دستگاهها شنیدم» اینها مطلبی بود که « مارک رودس اوسلی» معمار امنیت اطلاعات و نویسنده کتاب
«Network Security: the complete reference» بیان میکند.
در حالی که بستن پورت های USB کار آسانی است، اما بسیاری از مدیران شبکه این روش را روشی درست نمیدانند. «میلر» در خصوص استفاده از این روش میگوید: «اگر مردم بخواهند اطلاعاتی جابه جا کنند، به هرحال راهی برای آن پیدا میکنند. اگر شما پورت های USB را بلاک کنید، در مورد Infrared، و CD Writer و سایر موارد چه میخواهید بکنید؟»
او پیشنهاد میدهد باید حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجیه کرد که استفاده نادرست از این وسایل چه خطراتی برای سازمان میتواند به همراه داشته باشد. میلر ادامه میدهد: «بسیاری از فاجعههایی که در این رابطه اتفاق میافتد، غیرعمدی بوده است و به همین خاطر است که کارکنان باید آموزش ببینند.»
«ماشادو» هم موافق بلاک کردن usbها در شرکت WebEx نیست. چرا که این موضوع باعث درخواست های بیشمار به واحد IT سازمان میشود و کمکم مسوولان ناچار میشوند در خصوص این درخواست ها استثناهایی را لحاظ کنند و پس از اندک مدتی مدیریت این استثناها غیرکنترل میشود. او میگوید: «همه یک استثنا دارند که از نظر خودشان مهم ترین کار سازمان است. پاسخگویی به این کاربران زمانبر است.»
او معتقد است که بهترین کار استفاده از ابزاری است که به صورت خودکار به کاربری که در حال کپی کردن اطلاعات بر روی این دستگاهها است، پیغام هشدار دهد. او میگوید: «در این صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نیز قابل ردیابی خواهد بود.»
اما فاینی خود را طرفدار بلاک کردن usb در مرکز درمانی dekalb میداند و از نرمافزار vericept برای این منظور استفاده میکند. او همچنین دادن یپغام هشدار به کاربر را نیز ایده جالبی میداند.
در همین حال دانشگاه ایالتی grand Valley میشیگان و برخی دیگر از دانشگاهها به دنبال روشی برای استاندارد کردن رمزگذاری حافظههای فلش برای بالا بردن امنیت این دستگاهها هستند.
4. pdaها و گوشیهای هوشمند
هر روز بر تعداد کسانی که از pdaها استفاده میکنند، افزوده میشود. اما زمانی که آنها میخواهند اطلاعات را از روی pc به آن منتقل کنند یا بالعکس، میتوانند مسبب مشکلاتی شوند. از ایجاد یک اشکال کوچک گرفته تا صفحه آبی ویندوز. «هالبروک» در این خصوص میگوید: «این نوع مشکلات، اشکالات غیررایجی نیستند. اشکالات ناخوشایندی هستند که مدام تکرار می شوند.»
مساله اینجا است که آیا پرسنل باید برای استفاده از این دستگاهها آزاد باشند. یک کارمند میتواند از در خارج شود، در حالی که اطلاعات زیادی از سازمان را در درون pda خود ذخیره کرده است.
مانند بسیاری از سازمان ها، شرکت WebEx خطرات این دستگاهها را از طریق استاندارد کردن استفاده از یک برند خاص pda کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصی از pda را در محل کار دارند که مسائل امنیتی آن به شدت تحت کنترل واحد IT است. این شرکت همین کار را در مورد laptopها نیز انجام داده است که بنا به عقیده «ماشادو» از pdaها بسیار خطرناکترند؛ چرا که میتوانند اطلاعات بیشتری را در خود ذخیره کنند. کارکنان اجازه آوردن laptop با برند دیگر را به درون سازمان ندارند.
5. گوشیهای دوربیندار
یک کارگر بیمارستان در مقابل اتاق پرستاران ایستاده بود و با پرستاران بسیار خودمانی مشغول صحبت بود. هیچ کس متوجه این موضوع نبود که او مدام دکمه کوچک موبایلش را میفشارد. این یک صحنه از دزدی اطلاعات با گوشی دوربیندار میتواند باشد.
«فاینی» در این مورد میگوید: «یکی از این تست ها که من برای مرکز درمانی dekalb انجام داده بودم، رفتن به اتاق پرستاران (در حالی که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها به صورت نامحسوس بود. من میخواستم ببینم که آیا از این طریق میتوان به اطلاعات پروندهها و کاغذهایی که روی میز قرار داشتند، دسترسی داشت یا خیر.»
وقتی او به اتاق کارش باز میگردد، اطلاعات خاصی در مورد آن پروندهها از آن عکس ها به دست نمیآید اما به صورت تصادفی نام کامپیوتر (نه ip) را که بر روی مانیتور نمایش داده شده بود، در یکی از عکس ها میبیند.
«این نوع اطلاعات میتواند در کنار سایر اطلاعات به دست آمده از روش های دیگر باعث ایجاد دیدی روشن برای طرح ریزی یک حمله شود.»
او در این مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض دید قرار دادن اطلاعات کلیدی هشدار داده است.
6. skype و دیگر سرویس های voip
تکنولوژی دیگری که به شدت در حال رشد است skype است، نرمافزاری قابلدانلود که کاربران از طریق آن میتوانند تماس های تلفنی رایگان برقرار کنند. 20درصد از پاسخگویان به این نظرسنجی گفتهاند از این سرویس برای اهداف تجاری استفاده میکنند.
خطری که skype یک سازمان را تهدید میکند، همان خطری است که هر نرمافزار کوچک قابلدانلود دیگر را تهدید میکند. هالبروک در این خصوص میگوید: «نرمافزارهای تجاری برای یک سازمان از لحاظ امنیتی مطمئنتر از برنامههای کوچک قابلدانلود بر روی اینترنت میباشند. بنابراین دانلود هر نرمافزاری میتواند نوعی ریسک برای سازمان محسوب شود.»
skype حداقل 4 مورد مشکل امنیتی را اعلام کرده است و برای آنها آپدیت ارائه کرده است. متاسفانه اغلب بخش های IT سازمان ها آماری در مورد اینکه چه تعداد از پرسنل از این نرمافزار استفاده میکنند و از این تعداد چند نفر از آخرین نسخه استفاده نمیکنند، اطلاعاتی ندارند. لذا نمیتواند کنترل صحیحی را اعمال کند.
بنا به نظر شرکت gartner ایمنترین راه، محدود کردن ترافیک های مربوط به این نرمافزار در شبکه است و اگر قرار شد برخی افراد از آن استفاده کنند، باید ویرایش آخر این نرمافزار را به همراه آپدیتهایش اجرا کنند.
7. برنامههای کوچک قابلدانلود
براساس تحقیق yankee group استفادهکنندگان این برنامهها از دستگاههایی نظیر q و Nokia e62 جهت دسترسی سریع به اینترنت برای دانلود آنها استفاده میکنند. این برنامهها میتوانند به آسانی وارد یک کامپیوتر شوند و این درگاهی دیگر برای ورود اطلاعات ناخواسته به اکوسیستم سازمان است که با معیارهای امنیتی بخش IT سازگار نیست.
مشکل اینجا است که این برنامههای کوچک قدرت پردازش کامپیوتر و پهنای باند شبکه را اشغال میکنند. هالبروک میگوید: «من نمیخواهم بگویم اینها ویروس هستند اما شما در حال دانلود کردن نرم افزاری هستید که اطمینان زیادی به آن ندارید.»
WebEx به کارکنانش در خصوص ریسک های این برنامههای کوچک آموزش میدهد و از reconnex برای مانیتور برنامههای نصب شده بر روی کامپیوترها استفاده میکند، ضمن اینکه برخی از حق دسترسیهایی را که به صورت پیش فرض برای دانلود فعال میباشند نیز غیرفعال کرده است.
8. دنیاهای مجازی (virtual worlds)
کارکنان شرکت های تجاری در حال تجربه کردن زندگی کاری در دنیاهایی مجازی هستند، دنیاهایی که برخی معتقدند زندگی دوم ما انسان ها است. اما وظیفه بخش IT سازمان این است که در خصوص خطرات آن آگاه باشد.
در همان حال ذات این محیط ها براساس دانلود حجم زیادی از اطلاعات و برنامهها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن میکنند.
gartner پیشنهاد میکند که کارکنان حتیالامکان در خارج از شبکه درونی سازمان و یا منزل در حالی که توسط Firewall بیرونی سازمان کامپیوترشان محافظت میشود، از این محیط ها استفاده کنند. در واقع سازمان دارای دو دیواره آتش باشد. اولی از کامپیوترهایی که میخواهند به این محیط ها دسترسی داشته باشند محافظت کند و دومین دیواره آتش بعد از دیواره آتش اول از شبکه داخلی سازمان محافظت کند.
