امنیت اطلاعات شماره اول

تهدیدات سایبری از سوی نفـوذگـــران خـودی

تهدیدات سایبری
نوشته شده توسط rahimirad

مایکل واتیس یکی از کارشناسان شرکت حقوقی Steptoe & Johnson LLP است. وی روی اینترنت، تجارت الکترونیک و مسائل مربوط به تکنولوژی متمرکز است و در مورد مسائل مربوط به حریم خصوصی مشاوره‌های قانونی، حقوقی و استراتژیک ارائه می‌دهد.  با او صحبت کردیم تا در مورد جنبه‌های مختلف تهدیدات سایبری مربوط به خودی‌های نفوذی و نقض قوانین، اطلاعات بیشتری کسب کنیم.

از دیدگاه شمـــا، مدیران امنیتی و در کل، دیگر مدیران برای کاهش ریسک مربوط به تهدیدات خودی‌های نفوذی چه باید بکنند؟

باید با کارهای بنیادین کار را آغاز کرد. نخست آن‌ها باید یک ارزیابی ریسک انجام دهند که به‌صورت سالانه بروز می‌شود، و نوع اطلاعاتی که سازمان در اختیار دارد را بررسی می‌کند. این شامل اطلاعات شخصی، مالی و پزشکی؛ بخش‌هایی از شبکه یا دفاتر که این اطلاعات در آن نگهداری شده؛ نوع خطراتی که این اطلاعات را تهدید می‌کند؛ و اقداماتی که هم‌اکنون برای کاهش این‌گونه ریسک‌ها در حال انجام هستند می‌شود.

دوم اینکه باید یک خط‌مشی امنیتی تدوین کنند، که بر اساس ارزیابی ریسک نگارش می‌شود، و آغازگر فعالیت‌های امنیتی اداری، فنی، و فیزیکی است، و اینکه این فعالیت‌ها هم تهدیدات داخلی و هم خارجی را تحت پوشش قرار دهند.

سوم اینکه باید اطمینان حاصل کنند که زمان نشت داده‌ها برنامه‌ی مناسبی برای تعاملات بعدی دارند، برنامه‌ای که برای به حداقل رساندن زیان‌ها، شناسایی عامل نفوذ، تعمیر کردن آسیب‌پذیری، و تطابق با قوانین و الزامات قانونی، مانند انتشار اعلامیه برای کسانی که تحت تأثیر قرارگرفته‌اند، تدوین‌شده باشد.

 زمانی که مدارک کافی دال بر انجام کار خطا در شبکه توسط کارمندان وجود داشته باشد، چه مراجع قانونی‌ای وجود دارند؟

مایکل: کارمندانی که در شبکه‌ی سازمان به فعالیت‌های مجرمانه دست می‌زنند، یا توسط خود سازمان و یا توسط دولت به مراجع قانونی فراخوانده می‌شوند.

برای مثال کارمندی که به‌صورت عمدی به شبکه‌ی یک سازمان آسیب وارد می‌کند تحت لایحه‌ی کلاه‌برداری و سوءاستفاده‌ی کامپیوتری (CFAA) تحت پیگرد قانونی قرار خواهد گرفت.

 همچنین کارمندی که بدون اجازه به ارتباطات الکترونیکی دسترسی پیدا کند تا اطلاعات حساس را به سرقت ببرد، بسته به نوع دلایل و مدارک، تحت لایحه‌های CFAA یا لایحه‌ی حریم خصوصی ارتباطات الکترونیک (ECPA) تحت پیگرد قانونی قرار خواهد گرفت. همچنین بسته به نوع دلایل و مدارک، دیگر قوانین و لایحه‌های مرتبط با جرائم رایانه‌ای می‌تواند موجب شود که فرد خاطی مورد پیگرد قانونی قرار گیرد.

آیا به نظر شما این‌که به کارمندان اجازه دهیم در مورد عواقب نقص امنیت داخلی سازمان اطلاعات کسب‌کنند و آگاه باشند، یک عامل بازدارنده است؟

باید به اطلاع کارمندان رسانده شود که هرگونه فعالیت نامناسب روی شبکه‌ی شرکت یا استفاده از دارایی‌های شرکت می‌تواند منجر به پیگرد قانونی، شامل اخراج، پرونده‌ی حقوقی، یا پرونده‌ی مجرمانه شود.

بازداشتن تهدید عوامل داخلی خیلی بهتر از دست‌وپنجه نرم‌کردن با یک نقض واقعی امنیت توسط عوامل داخلی است و هشدارهای واضح می‌تواند به تأثیر بازدارنده باشند.

این‌گونه هشدارها باید در خط‌مشی سازمان لحاظ شده و طی جلسات تمرینی متعددی هم به کارمندان منتقل شود.

مدیران آی‌تی و امنیتی باید چگونه واکنش نشان دهند اگر به یک تهدید داخلی یا نقض امنیت مشکوک باشند؟

اگر یک شرکت مشکوک باشد که یک کارمند در حال آسیب‌رساندن به شبکه‌ی سازمان است، یا اطلاعات حساس را به سرقت می‌برد یا در هر نوع فعالیت مجرمانه و غیرقانونی دیگری مشارکت دارد، می‌توانید کارهای زیادی انجام دهید.

 نخست می‌توانید اطلاعات بیشتری را در مورد فعالیت‌های فرد موردنظر در شبکه جمع‌آوری کنید.

این کارها می‌تواند شامل بررسی لاگ‌های فرد روی شبکه، بازبینی ارتباطات فرد روی شبکه، پایش ارتباطات همزمان با برقراری آن‌ها، جست‌وجوی فیزیکی محل کار وی، بازبینی ویدئوهای امنیتی تمام مناطقی که فرد در آن حضورداشته، بشود.

این‌یکی از مزایای داشتن خط‌مشی حریم خصوصی است. زیرا دیگر کارمندان می‌دانند که ارتباطات آن‌ها در شبکه مورد پایش قرارگرفته، محل کارشان ممکن است مورد جست‌وجو قرار گیرد، و اینکه کارمندان نباید انتظار داشته باشند که حریم خصوصی آن‌ها در محل کار رعایت شود. و شرکت باید حتماً تأیید اجازه‌ی کارمند در مورد این خط‌مشی حریم خصوصی را داشته باشد.

پرواضح است که این‌گونه بررسی‌ها بسیار حساس بوده و سرشار از ریسک هستند، بنابراین توصیه می‌شود که قبل از انجام آن‌ها حتماً با فرد متخصص مشورت صورت گیرد. اصلاً توصیه نمی‌شود که سازمان در این مرحله با کارمندان روبرو شود.

دوم اینکه سازمان می‌تواند مورد را به مراجع اجرای قانون گزارش دهد. معمولاً FBI در این زمینه بسیار متخصص است، ولی سرویس مخفی ایالات‌متحده و همچنین مراجع اجرای قانون محلی هم می‌توانند گزینه‌های دیگر باشند. این نهادها برای بررسی بیشتر ابزارهایی دارند که شرکت‌ها در اختیار ندارند، مانند حکم تفتیش و احضاریه‌ها، یا ردگیری ارتباطات در اینترنت و جایی که کارمند اطلاعات را به آن فرستاده است.

این‌که مورد را به این نهادها گزارش داد یا نه به شرایط پرونده بستگی دارد. گزارش به این نهادها ممکن است عواقب سنگینی برای شرکت داشته باشد، پس این کار را بدون مشورت کردن انجام ندهید.

درباره نویسنده

rahimirad

دیدگاهتان را بنویسید