نشت اطلاعات و خطای انسانی

نشت اطلاعات و داده‌ها سال‌های زیادی است برای سازمان‌ها و شرکت‌ها وجود داشته است. این مشکل امنیتی در سال‌های اخیر و با همه‌گیری شبکه‌های اجتماعی نمود بیشتری پیدا کرده است. شیطنت‌های رسانه‌ای و همینطور استفاده رقبای تجاری از این نقص امنیتی باعث شده است حساسیت‌ها در این خصوص بیشتر شود. در مطلب داده‌های بی‌حیا در خصوص این مشکل پیشتر نوشته‌ام.
اما نشت اطلاعات به تنهایی مشکل حیاتی برای سازمان‌ها نیست. هر چند برخی از اطلاعات منتشر شده میتواند باعث به خطر افتادن حریم شخصی و یا اطلاعات خصوصی افراد شود، اما در طراحی سامانه‌های تجاری و دولتی، روند احراز هویت و شناسایی مشتریان باید به شیوه‌ای اتفاق بیفتد که مانع از سوءاستفاده از اطلاعات شخصی افراد و سرقت هویت (Identity Theft) باشد.
مهمترین مشکل در خصوص نشت اطلاعات، به خطر افتادن اعتبار سازمان و یا شرکتی است که نشتی داده از آن صورت گرفته است. برخی اوقات این رخداد باعث عواقب سختی مانند تحت تاثیر قرار گرفتن اعتماد مشتریان و واکنش بازار سرمایه به آن شرکت می‌باشد. برخی اوقات نشت اطلاعات میتواند باعث زیر سوال رفتن فعالیت‌های حفاظت از داده‌ها در شرکت‌ها و سازمان‌ها و حتی منجر به اخراج کادر اجرایی مرتبط شود.
در بیشتر اوقات، اما نشر اطلاعات پس از یک ماجراجویی خبری، فراموش میشود و مشتریان به ادامه مسیر در طول چرخه‌ی عمر مشتری می پردازدند. خیلی از شرکت‌های مطرح دنیا در سالیان گذشته دچار نشر اطلاعات گسترده شده‌اند. برخی از این شرکت‌ها عبارتند از Adobe، Adult Friend Finder، Canva، Dubsmash، eBay، Equifax، Heartland، Payment Systems، LinkedIn، Marriott International، My Fitness Pal، MySpace، NetEase، Yahoo، Zynga. در تعدادی از این نشتی‌ها گستردگی به حدی بوده است که سازمان‌های مختلفی از FBI تا ناظران مالی در ماجرا وارد شده‌اند و ابعاد ماجرا را بررسی کرده‌اند. داستان این 14 شرکت را در The 14 biggest data breaches of the 21st century می‌توانید بخوانید.

مقصر نشت اطلاعات کیست؟

از سال 2004 List of data breaches در ویکیپدیا و همینطور Balloon Race: Data Breaches نگهداری می‌شود. بر اساس این فهرست و از حدود 29 میلیارد رکورد داده نشت شده از میان 358 رخداد خطاهای انسانی مستقیم و غیرمستقیم یکی از مهمترین دلایل نشت اطلاعات است. استفاده از اسکریپت‌ها و برنامه‌های آماده، عدم رعایت زون‌بندی‌های امنیتی (DMZ) در زمان تست درون سازمانی، استفاده از برنامه‌های آماده در قالب کانتینرهای Docker و مانند آن در سال‌های اخیر شدت همه‌گیری نشت داده را بیشتر کرده است.

دلایل نشت اطلاعات
سهم روش‌های نشت اطلاعات – Data Breaches

بر اساس اطلاعاتی که از Data Breaches وجود دارد، حدود 40 درصد از نشت اطلاعات، بدون Hack اتفاق افتاده است و علت اصلی نشت داده، خطای انسانی عمد و یا غیر عمد بوده است. از میان سهم 10 درصدی دزدی اطلاعات در هنگام حمل و نقل فیزیکی (Lost/Stolen Media) قابل توجه است.

همچنین کمتر از 1% موارد مربوط به انتشار عمدی داده‌ها از طریق عوامل درونی سازمان بوده است:

آیا خطر سرقت هویت جدی است؟

سرقت هویت در دنیای جدید تعریف متفاوتی دارد. پیشتر در زمانی که کسب و کارهای دیجیتال ارزش فعلی را نداشتند و امکان احراز هویت به صورت آنی نبود، سرقت هویت یکی از مشکلات جدی پس از نشت اطلاعات بود. این موضوع به حدی جدی است که در آمریکا سازمان فدرالی برای کمک به شهروندان تحت عنوان IdentityTheft.gov وجود دارد.

در ایران هم پلیس فضای تولید و تبادل اطلاعات سعی به آموزش در این خصوص دارد. خوشبختانه (البته متاسفانه) به علت دوری فضای کسب و کار ایران از جامعه جهانی روش‌های متداول سرقت هویت ممکن است به سادگی در ایران قابل استفاده نباشد و از این رو آسیب به کاربران ایرانی کمتر است. هر چند خطر به خطر افتادن حریم شخصی اطلاعات در موارد متعددی وجود دارد.

در پاسخ به سوال «آیا خطر سرقت هویت جدی است؟» باید گفت همواره این ریسک می‌تواند وجود داشته باشد، هر چند مکانیزیم‌های اعتبار و هویت‌سنجی مختلفی برای پیشگیری از آسیب در این خصوص وجود دارد. جمله‌ی قدیمی “رفع خطر احتمالی” را باید همواره در نظر داشت.

داده‌های بی‌حیا

مطلب داده‌های بی‌حیا برای انتشار در ماهنامه‌ی پیوست نوشته شده است و در شماره‌ی ۶۸ این مجله چاپ شده است.

یکی از مهم‌ترین تفاوت‌های داده‌ها با سیستم‌ها، بی‌حیایی آنهاست. بویی از حجب و حیا و رعایت مصالح نبرده‌اند و به سختی مراعات جایگاه صاحب داده را می‌کنند. داده‌ها بدون در نظر گرفتن جایگاه خود، هر آنچه هستند را به نمایش می‌گذارند. در سال‌های آتی نقش اقتصاد اشتراکی هر روز بیشتر خواهد شد و این نقش تناسب مستقیم با میزان دیجیتالی شدن سازمان‌ها دارد. سازمان‌های دیجیتالی سازمان‌هایی هستند که جریان درآمدی و خدماتی‌شان ارتباط مستقیم با داده دارد. یا از داده برای تسریع‌ خدمات استفاده می‌کنند یا کسب درآمد آنها از طریق عملیات روی داده و جابه‌جایی داده‌ها انجام می‌شود. این داده‌های بی‌رحم و البته بی‌حیا می‌توانند خطرناک نیز باشند. یکی از بهترین روش‌های دفع خطر، طراحی سیستم‌ها بر اساس مدل رایج Secure by design در مهندسی نرم‌افزار است. هرچند فاصله زیادی میان دقت و جزئیات زیرسیستم‌ها در مهندسی نرم‌افزارها و کسب‌وکارهای رایج ایرانی وجود دارد، اما حداقل در حوزه کسب‌وکارهای نوپا (استارت‌آپ) و سازمان‌هایی که در حال تجربه حرکت یا پیاده‌سازی بخشی از تحول دیجیتالی (Digital Transformation) هستند می‌توان نقاط اشتراک بسیاری یافت.
برندهای بزرگ و کوچک در نقاط مختلف دنیا با نوعی Data Breach مواجه می‌شوند. آمار و نظرسنجی‌های مختلف از میان فعالان کسب‌وکار در شرایط مختلف نشان از ۴۷ تا ۶۴ درصد درگیری سازمان‌ها با معضلات امنیتی در طول سال‌های اخیر دارد. استفاده از راه‌حل‌های ابری، حرکت به سمت Digital Transformation در سازمان‌ها و بهره‌گیری از پلتفرم‌های مختلف مانند موبایل و IoT نقاط حساس‌پذیر را بیشتر کرده است و داده‌ها در نقاط بیشتری تولید و منتشر می‌شوند.


اوضاع در ایران کمی پیچیده‌تر است. با توجه به عدم حضور رسمی بسیاری از صاحبان جهانی فناوری‌های نو در حوزه ICT کشور، چرخه آموزش و به‌کارگیری فناوری‌های نو و ابزارهای جدید ناقص است. سرعت ورود فناوری‌ها به شدت بالاست و هم‌اکنون در بسیاری از شرکت‌ها، سازمان‌ها و استارت‌آپ‌ها از همان سرورها و ابزارهایی استفاده می‌شود که در بسیاری از نقاط دنیا استفاده می‌شود. اما عدم حضور رسمی برندها و آموزش‌های سیستماتیک باعث شده است ابزارها برخی اوقات با حداقل بازبینی امنیتی (Security Audit) وارد مرحله‌ کاربردی (Production) شوند. همچنین استفاده نکردن از Licenseهای قانونی و مناسب برای زیرساخت‌های نرم‌افزاری و شبکه‌ باعث شده است سامانه‌های بسیاری با تاخیر به‌روزرسانی امنیتی شوند و همواره آسیب‌پذیر باشند.

یکی از روش‌های مقابله با افزایش این مخاطرات در شرایط فعلی کشور، علاوه بر تلاش برای طراحی امن سیستم‌ها از ابتدا (Secure by design)، استفاده از ترکیبی از این چهار روش است:
۱- پیاده‌سازی امنیت چندلایه
۲- بودجه اختصاصی برای آموزش‌های مدون و ممتد امنیتی در کلیه سطوح سازمان
۳- الزام بازبینی امنیتی برای به‌کارگیری هر سامانه جدید در سازمان و همچنین بازبینی‌های دوره‌ای
۴- تدوین و برنامه‌ریزی برای سناریوهای مواجه با نشت اطلاعات و رخدادهای امنیتی.


امنیت چند لایه یکی از مواردی است که به دو دلیل عمده در سامانه‌های ایرانی کمتر به آن توجه شده است: اول، محدودیت‌های بودجه‌ای و عملیاتی برای پیاده‌سازی و نگهداری ساخت‌یافته و دوم محدودیت‌های زمانی و اجرایی با توجه به رشد سازمان‌ها و نیاز بازار. محدودیت بودجه‌ای به خصوص با توجه به وضعیت نرخ برابری ارز خرید تجهیزات آماده را مشکل‎تر کرده است. برای این موضوع دو راهکار قابل پیاده‌سازی وجود دارد: استفاده از محصولات داخلی و تربیت نیروی متخصص برای استفاده از محصولات Open Source. هرچند هر دو روش به علت دوری از بازار جهانی ممکن است نقاط ضعفی داشته باشند اما در مقابل عدم استفاده از لایه‌های امنیتی بدون شک راهکارهای بهتری هستند. و در خصوص محدودیت‌های زمانی، تنها تشریح نتایج نشت کدملی و شماره تلفن کاربران برای مدیران سازمان می‌بایست محدودیت را برطرف کند.
به صورت معمول بودجه آموزشی به خصوص در کسب‌وکارهای نوپا در بهترین حالت برای مهارت‌های مرتبط کاری ارائه می‌شود و کمتر دیده شده که امنیت (در لایه‌های مختلف) در سطح سازمان به صورت عام و دوره‌ای آموزش داده شود. آموزه‌های امنیتی برخی اوقات باعث سختی انجام کارهای روزمره و عدم آزادی نشر اطلاعات می‌شود و این مورد برای بسیاری از کسب‌وکارهای نوپا، که از نیروهایی با تجربه کمتر استفاده می‌کنند، می‌تواند یکی از نقاط ضعف و آسیب به شمار رود. همین موضوع به گونه‌ای دیگر در سازمان‌های بزرگ و سنتی که به سمت دیجیتالی شدن در حرکت هستند نیز وجود دارد و باعث از بین رفتن عادات سنتی و سختی کارها خواهد شد.
با توجه به کمبود نیروی متخصص و همچنین هزینه‌بر بودن نتایج، بازبینی‌های امنیتی نیز، چه به صورت داخل سازمان و چه از خارج از سازمان، تبدیل به موضوعی نایاب در سازمان‌های ایرانی شده است و اغلب به صورت تشریفاتی انجام می‌شود. همچنین به علت نبود قوانین شفاف، فعالیت تجاری و شخصی افراد در این حوزه با مشکلاتی مواجه است و اغلب سازمان‌ها به اخطارهای افراد توجه کافی نمی‌کنند. تشویق سازمان‌ها به راه‌اندازی برنامه «گزارش رخدادهای امنیتی» یکی از روش‌های بسیار کم‌هزینه برای فرهنگ‌سازی و به‌کارگیری بازبینی‌های امنیتی موثر در سازمان‎هاست.
در پایان، لازم است سازما‌ن‌ها همواره برنامه‌ای برای لحظه‌ نشت اطلاعات یا بروز رخداد امنیتی داشته باشند. مشخص کردن و تدوین روال پاسخگویی به افکار عمومی و ذی‌نفعان، نحوه ردگیری و جلوگیری از ادامه نشر و برنامه‌های مورد نیاز برای برطرف کردن مشکل، حداقل کارهایی است که هر سازمان و کسب‌وکار نیازمند تدوین برنامه‌ای قابل اجرا برای آن است. انکار و رفع نکردن مشکل یا سکوت در مقابل رخداد، تنها متعلق به کسب‌وکارهایی واهی است.