این روزها به برخی از سازمان ها که مراجعه می کنم اثر مشخصی از ضوابط امنیت اطلاعات نمی بینم، حتی بدتر از آن در برخی موارد، عدم اطلاع از وجود روش، استاندارد یا الزام آن است! حداکثر ضوابط امنیتی در حد کلمات عبور و نصب آنتی ویروس و … است. (و این یک زنگ خطر است)!
در برخی از سازمان ها سناریو به گونه دیگریست، روی کاغذ همه چیز خوب است. یک شرکت امنیتی آمده قراردادی بسته، کاغذ ها و دستورالعمل ها مطابق فرمت تدوین و زونکن ها تهیه شده، استانداردها اخذ شده، بیانیه های امنیتی مطابق توصیه نامه روی دیوارها نصب شده، و گواهینامه های امنیتی در اتاق مدیران خودنمایی می کند! همچنین تهیه چند فایروال و یو تی ام و آنتی ویروس و اتاق اختصاصی سرور دارای قفل اثر انگشتی هم مکمل کار است…! پس ما امن هستیم! (و این یک زنگ خطر است)!
شاید اولین فکر خیلی از مدیران و کارشناسان فنی، خریدن فایروال و یو تی ام و آنتی ویروس، قفل برقی اثر انگشتی بوق دار، دوربین مداربسته و آفتابه لگن های مشابه و اخذ گواهینامه امنیتی است تا همه چیز امن شود! وقتی فکر می کنیم امن هستیم، اتفاقا خطر بیشتر می شود.
«امنیت با خریدن فهرست بلند بالای تجهیزات گرانقیمت تامین نمی شود.»
نکته دیگر در ادبیات مکاتباتی نهفته است، آیا «امنیت شبکه» همان «امنیت اطلاعات» است؟ حتی به کار بردن نا به جای این الفاظ نیز به این معنا است که هنوز درک کاملی از معنای «امنیت اطلاعات» وجود ندارد (و این یک زنگ خطر است)!
با شروع اولین بررسی ها می بینید که روح امنیت در متن سازمان جاری نیست! آنچه بی توجه مانده تفکر امنیتی، توجه و درک صحیح (با تاکید زیاد!) استاندارد و توصیه نامه ها، تعهد(قلبی) به اجرای آن، بازنگری (نه بازنگری های روتین و دکوری از ترس ممیز!)، ثبت حوادث و رخدادهای امنیتی (نه ماست مالی واقعه!) و تمرین، تمرین و تمرین است تا زمانی که ملکه ذهن و رفتار پرسنل سازمان شود. «آنچه شما و سازمان شما را -در درجه اول- امن می سازد «آموزش و اصلاح دیدگاه امنیتی» کارکنان کلیه سطوح سازمان است و نه ابزار، زیرا چیدمان و کاربری نادرست از بهترین ابزارها بدترین اثربخشی را خواهد داشت!»عمر فناوری اطلاعات زیاد نیست، اما آنقدر هست که مهندسان فناوری اطلاعات تجارب سختی را دیده و چشیده باشند. مطالعه و تفکر و تفکر و تفکر در تاریخچه حوادث امنیتی کمک زیادی می کند. مطالعه استانداردها نه از سر رفع تکلیف بلکه از سر احساس وظیفه بسیار مهم است. کلمه به کلمه استاندارد ایزو ۲۷۰۰۰ حاصل هزاران تجربه امنیتی ارزشمند در سطح بین المللی است.
به طور مثال، همیشه فکر می کردم که علت این همه سخت گیری های ریز بینانه استاندارد های امنیتی در حوزه حفاظت فیزیکی و حفاظت منابع انسانی در حوزه امنیت اطلاعات چیست؟ استانداردهای امنیتی حتی در مورد استخدام آبدارچی در ساختمان های مرتبط با تجهیزات پردازش اطلاعات و یا زاویه نشستن کارکنان در محل کار هم سختگیر هستند، استانداردها در باره استخدام و ترک کار و حتی حالات روحی پرسنل حساس هستند، استانداردها در باره کف و سقف و دیوار و حتا ترک های به ظاهر ساده روی دیوار، سیستم فاضلاب و روش اطفاء حریق با مواد مخصوص، روش حمل تجهیزات و پایش مستمر وقایع حساس هستند.
در این مورد خاص، تاکید بر تهیه گاو صندوق های نسوز با ویژگی های خاص و توصیه استقرار در مکانی با شرایط ویژه در خارج از ساختمان مرکز داده، تاکید بر استفاده از رسانه های ذخیره سازی خاص، تاکید بر چینش خاص دارایی های اطلاعاتی در گاو صندوق (حتی زاویه استقرار)، نحوه بسته بندی محتوای گاو صندوق، قرار دادن اسناد حساس در پاکت نسوز در گاو صندوق و واقعه نگاری محتویات داخل صندوق و… برای چیست؟ و در بین آوارهای پلاسکو جواب آن را دیدم!
روز واقعه! ساکنان پلاسکو نمی دانستند که امروز نوبت آنهاست!، همانطور که پلاسکو فروریخت، همانطور که برج های دوقلو فرو ریختند، برج های اطلاعاتی ما نیز ممکن است فرو بریزند. الان تمرکز مسئولان بر روی آتش سوزی ساختمان ها و فجایع بوجود آمده است. اما آیا مسئولان فناوری اطلاعات، ساختمان های مجازی و ارتفاء آن را می بینند؟ ارتفاع کدام بیشتر است؟ آیا بحران افشای اطلاعات، تخریب و دستکاری و قطع سیستم های اطلاعاتی رخ نمی دهد؟ آیا زیرساخت های ما در مقابل تهاجم و حوادث طبیعی و غیر طبیعی ایمن است؟ آیا مردم به اندازه کافی آموزش دیده اند؟
«وقتی صحبت از فاجعه امنیت اطلاعات یا مخاطرات امنیتی می کنیم، منظور فعالیت چند دله دزد اینترنتی که صفحه فیشینگ می سازند یا سر برخی مردم بی اطلاع را کلاه می گذارند یا پسورد وای فای را با روش های نخ نما شده کرک می کنند نیست.»
صحبت از دست رفتن صدها ترابایت اطلاعات و اسرار خصوصی یا تجاری، افشای آن یا قطع سرویس های کلیدی و خسارت های سنگین و مدیران رنگ پریده و انگشت به دهان است.
در برخی سازمان ها یک نکته جالب دیگر هم هست، معمولا سر نخ همه روش های کاری به یک نفر خاص ختم می شود. که من وی را «مغز متفکر واحد» می نامم، فردی که همه روش ها را تدوین می کند و الهام بخش همه است، همه سوابق را می داند و همه پاسخ ها و دلایل فنی همه چیز به وی منتهی می شود. در موضوع امنیت دیدگاه یک بعدی «مغز متفکر واحد» خطرناک است. برای تامین امنیت اطلاعات، نیاز به سازمان امنیت اطلاعات و کار تیمی است (فصل اول استاندارد) تا درگیر سلایق و انحصارات مبتنی بر شخص نشویم.
بحث در مورد امنیت اطلاعات موضوعی است که در این مطلب نمی گنجد و هدف من صرفا یک تلنگر کوچک آن است که بهتر است اسناد استاندارد را از آرشیو بیرون آوریم و دوباره ورق بزنیم و کلمه به کلمه بررسی کنیم. امروز از جایتان بلند شوید و ذره بین به دست بگیریم. شاید حادثه بعدی برای ما باشد…
استانداردهای امنیتی را جدی بگیریم، دقیقا درک کنیم، به آن متعهد باشیم، اول تسلط بر مفاهیم بعد تهیه تجهیزات، تجهیزات کارآمد الزاما به معنی اثربخشی نیست، پایش مستمر لازم است، آموزش و تمرین کارکنان و مانورهای ایمنی در امنیت اطلاعات مهم است. امنیت صد در صد قابل دسترس نیست و «همیشه نکته ای هست که ندیده بودیم…» و این همان نقطه شروع حادثه است.
احسان محسن پوریان
کارشناس ارشد تجارت الکترونیک
mohsenpourian@gmail.com