پیدای پنهان / درباره امنیت و نقطه عزیمت آن از درون سازمان در گفت‌وگو با روح‌الله محمدخانی

ماهنامه عصر تراکنش شماره ۳۹ / مقوله امنیت بیش از هر پدیده و مفهوم دیگری با شرایط  و وضعیت جغرافیا پیوند دارد. بخشی از مباحث امنیتی مربوط به ابزارهای سخت‌افزاری و آخرین روش‌ها و فناوری‌های روز می‌شود و بخش مهمی از آن مربوط به انسان است که هدف ابتدایی و غایی بحث امنیت است. یعنی هم نقطه عزیمت بحث درباره امنیت در حوزه پرداخت، حفظ دارایی افراد است و هم تمام روش‌های حفظ امنیت در نهایت مربوط به نیت و عمل افرادی است که می‌خواهند با رسوخ به لایه‌های مختلف بانک‌ها و شرکت‌های دست‌اندرکار تراکنش‌ها برای خود کسب مال کنند.

توجه به ابتدا و انتهای هدف و نیت امنیت نشان می‌دهد که بحث امنیت به‌شدت نیازمند پژوهش‌های میان‌رشته‌ای است، اما در ایران به این مقوله چقدر توجه می‌شود؟ آیا به امنیت به مثابه امری که با انسان سروکار دارد، نگاه می‌کنیم و از علوم انسانی کمک می‌گیریم؟ برای صحبت در این‌باره و بیشتر درباره امنیت به سراغ روح‌الله محمدخانی، مدیر امور امنیت و تداوم کسب‌وکار داتین رفتیم و از نسبت امنیت با مباحث غیرسخت‌افزاری پرسیدیم که در ادامه مشروح این گفت‌وگو را می‌توانید مطالعه کنید.

جناب محمدخانی شما در حوزه «امنیت سازمانی» کارهایی انجام داده‌اید. قبلاً این تجربه را داشته‌ایم که در بعضی سازمان‌های مهم رسوخ امنیتی اتفاق افتاده و به نظر می‌رسیده نشت اطلاعات مشتریان به بیرون از طریق هکر و مهاجم بیرونی نبوده؛ بلکه از درون رخ داده است. به نظر شما کارگزاران و نهادهایی که متولی تراکنش‌های مالی در ایران هستند، باید چه ویژگی‌های امنیت سازمانی مازاد بر دیگر سازمان‌ها داشته باشند؟

هر نهادی که داده‌های محرمانه را مدیریت و مراقبت می‌کند؛ چه کارگزار انتقال پول باشد، چه نهادهای وابسته به آن و چه هر نهادی که داده‌هایی با سطوح محرمانگی مختلف را ردوبدل می‌کند، باید به موضوع امنیت نرم توجه داشته باشد. توجه کل کشور ما در عرصه امنیت سخت بالاست. در عرصه‌های نظامی هم که نگاه کنید، امنیت سخت بیشتر مورد توجه است؛ مثلاً انواع تجهیزات نظامی را فراهم می‌کنیم. در عرصه فناوری اطلاعات نیز بیشتر روی تجهیزات و فناوری‌ها متمرکز شده‌ایم و علاقه‌مندیم که انواع فناوری‌ها را بیاوریم و ضمناً آگاه باشیم که رقبا، اگر بشود اسم‌شان را رقبا گذاشت، از چه فناوری‌هایی بهره می‌گیرند و در دنیا چه کارهایی انجام می‌دهند.

در کشور ما و کشورهای مشابه رویکرد امنیت سخت خیلی رایج است و البته باید هم باشد. هر موضوعی از جنبه سخت‌افزاری یعنی ابزار، دانش و فناوری باید مورد توجه باشد، ولی کافی نیست؛ در حالی که مدیران و متولیان ما تمرکز بر امنیت سخت را کافی می‌دانند. امنیت نرم مربوط به افراد، انگیزه‌های آنها، نحوه حضورشان در سازمان، تعلق خاطرشان به سازمان و میزان اعتماد متقابل بین سازمان و آنهاست. بخشی از این موضوعات به «روان‌شناسی صنعتی» برمی‌گردد. اکنون راجع به متولیان انتقال پول حرف می‌زنیم، ولی هر سازمان دیگری هم که کارهایی از جنس فناوری اطلاعات انجام می‌دهد، باید مراقب امنیت نرم باشد، اما در حوزه انتقال پول، اهمیت مسئله چندبرابر می‌شود.

جنبه‌های نرم امنیت مربوط به انگیزه‌ها و تعلقات افراد است و باید از دو جنبه مورد توجه باشد؛ یکی اینکه مطمئن شویم انتظارات همکاران سازمان را می‌شناسیم. بخشی از این انتظارات نرمال هستند. هر سازمانی که بر مبنای مدل‌های تعالی سازمانی، سازمان متعالی به‌شمار رود، باید به امنیت نرم توجه کند. یکی از مدل‌های ارزیابی تعالی سازمانی EFQM است که در معیار سوم مدل ارزیابی خود راجع به برنامه‌های سازمان برای توجه به نیازمندی‌های همکاران سازمان به‌عنوان یکی از ذی‌نفعان اصلی هر سازمان صحبت می‌کند و هفتمین معیار آن مربوط به دستاوردهایی است که در اجرای برنامه‌های مرتبط در این زمینه برای سازمان حاصل شده است.

یعنی می‌پرسد «برای همکارانی که سازمان را به سمت اهدافش می‌برند، چه باید بکنید و چه کرده‌اید؟» یکسری معیار می‌گذارد و بعد هم در معیار هفت که مربوط به نتایج و دستاوردهای سازمان است، بررسی می‌کند که چیزهایی که در معیار سوم آمده‌اند، چقدر مؤثر بوده‌اند. چنین معیارهایی باید مورد توجه سازمان‌ها باشند. بی‌دلیل نیست که معیارهای مرتبط با جنبه‌های نرم مدیریت موضوعات مرتبط با فناوری را جزئی از تعالی سازمان دانسته‌اند.

در سازمان باید از دستاوردهای علوم انسانی مانند روان‌شناسی صنعتی استفاده شود تا بدانیم چه چیزهایی باعث انگیزه‌هایی می‌شود که حمله امنیتی درون‌سازمانی رخ دهد. سناریوهای مختلفی در دنیا و در ایران برای این موضوع وجود دارد و برخی سازمان‌های ایرانی نیز از آن ضربه خورده‌اند؛ بعضی مثال‌ها هم در بازار معروف شده‌اند، ولی حملاتی رخ داده که هیچ‌وقت در جایی بازگو نشده یا عامل آن را شناسایی نکرده‌اند. تجارب جهانی نشان می‌دهد بعضی مبانی باعث شکل‌گیری اعتماد و امنیت می‌شوند که مرتبط با فلسفه «حق و تکلیف» هستند. بعضی چیزها برای کسی که در یک نهاد کار می‌کند، «حق» به حساب می‌آید و برای برخی «تکلیف». اینها دو پایه رابطه افراد با سازمان را می‌سازند و البته هر چقدر هم که بتوانیم پایه‌ها را محکم کنیم، باز هم به پایش رفتار افراد نیاز داریم. هر روشی را که برای ایجاد احساس تعلق و اعتماد دوطرفه ایجاد کنیم، باز هم نمی‌توانیم احتمال تهاجم درون‌سازمانی را به صفر برسانیم و البته اینجاست که «امنیت سخت» به کمک می‌آید.

در ایران از این بابت هم نقایصی داریم؛ در سازمان‌ها ابزارهایی به نام SIEM می‌گذاریم که «تحلیل لاگ» انجام می‌دهند، ولی عمدتاً روی جنبه‌های سخت متمرکز هستند، یعنی لایه‌های مختلف اطلاعات را از سامانه‌ها و زیرساخت دریافت می‌کنند و تمرکزشان بر هجمه‌های مبتنی بر فناوری است، ولی شناسایی و جلوگیری از تهاجمات رفتاری بسیار سخت است و ما از این قابلیت ابزارهای موجود کمتر بهره برده‌ایم. عمده داشبوردهایی که برای این مقصود گذاشته شده‌اند، فقط جنبه‌های امنیت سخت را تحلیل می‌کنند.

فارغ از اینکه به لحاظ سخت‌افزار چطور سطح دسترسی‌ها را لایه‌بندی و بر آن نظارت کنیم، گاهی پیش آمده که حتی بالاترین مقام یک سازمان از طریق دسترسی که داشته، اطلاعات را به بیرون درز دهد. شما در صحبت‌هایتان به «روان‌شناسی صنعتی» اشاره کردید. ما از کاربرد علوم انسانی در صنعت و کسب‌وکار غافل هستیم. من کمتر دیده‌ام شرکت‌های بزرگ و کسب‌وکارها به دستاوردهای روان‌شناسی توجه نشان دهند.

بعضی تست‌های روان‌شناسی به شما شخصیت آن آدم و میزان ریسک اینکه به سمت رفتارهای خاصی برود را نشان می‌دهند. به نظرتان چرا از این مباحث غافل هستیم؟ به نظر شما کسب‌وکارها و به‌خصوص نهادهای متولی تراکنش و متولی ثروت عمده آدم‌ها چطور می‌توانند از علوم انسانی در راستای ملاحظات امنیتی خود استفاده کنند؟

اتفاقاً در شرکت‌های وابسته به نهادهای مالی ایران و متولیان و راهبران نهادهای مالی مثل بانک‌ها و مؤسسات مالی، اخیراً یکسری دوره‌های mini-MBA برای مدیران یا کلاس‌های شخصیت‌شناسی و تیپ‌شناسی برای اکثر همکاران، به‌خصوص مدیران می‌گذارند، ولی هیچ‌جا ندیده‌ام نتیجه آن دوره‌ها به تغییرات سیستمی و فرایندی در سازمان منجر شود و وضع موجود سازمان بر مبنای آن شخصیت‌شناسی اصلاح شود و مثلاً بر مبنای MBTI بگویند «شخصیت این فرد به جای آنکه از نوع T باشد از نوع F است، پس جای مناسب برای او کجا خواهد بود؟ یا کسی که INFJ است نسبت به کسی که ENTP است چه تفاوت‌هایی دارند و در معرض چه نوع آسیب‌هایی بیشتر قرار می‌گیرند».

البته هیچ‌کس به‌صورت صد درصد در یک تیپ شخصیتی نمی‌گنجد. هیچ‌گاه موضوعات علوم انسانی مطلق نبوده‌اند و نخواهند بود؛ علوم انسانی بسیار پیچیده است، اما به هر حال توصیه‌هایی برای هر تیپ شخصیتی می‌آورند و می‌گویند «برای فلان جایگاه‌ها مناسب نیست». به «مناسب نیست» باید بیش از «مناسب هست» توجه کنیم. در جاهایی که گفته‌اند «شخصیت او برای این کار مناسب است» زیاد پیش می‌آید که خلافش ثابت شود و در جایگاه خودش به موفقیت نرسد، ولی جاهایی که می‌گوید «مناسب نیست» احتمال درست درآمدن این حرف بالاتر به نظر می‌رسد.

اگر تیپ شخصیتی بعضی آدم‌ها آنها را در برابر برخی عوامل ضعیف و آسیب‌پذیر می‌کند، باید جایگاه متناسب را برایشان برگزینیم. شاید این مثال علمی نباشد، ولی فرض کنید در روش MBTI بخواهید بین F و T انتخاب کنید. F مدیری است که دیتا و شواهد را بررسی می‌کند، ولی نهایتاً بر اساس احساسات خود تصمیم می‌گیرد. T کسی است که بر مبنای ارزش‌های سازمانی تصمیم می‌گیرد و احساسات شخصی نسبت به موضوع را کمتر مد نظر دارد. وقتی بین این دو نفر می‌خواهید یکی را در جایی بگذارید که دسترسی‌های امنیتی را کنترل و مدیریت می‌کند، به نظر من T مناسب‌تر است، چون کسی که F باشد، دل او را راحت‌تر می‌توان به دست آورد و ممکن است در معرض آسیب قرار بگیرد و دسترسی بدهد. مهندسی اجتماعی روی او راحت‌تر جواب خواهد داد. این یک مثال خام بود، جنبه علمی نداشت. تاکنون چنین تحلیل‌هایی در سازمان‌های ما انجام نشده‌اند.

فرض کنید ما MBTI را اجرا کنیم و تیپ شخصیت آدم‌ها را با احتمال زیاد بفهمیم. آزمون‌های موجود، تیپ‌های ثانویه شخصیت افراد را نیز به ما می‌دهند. بر مبنای شخصیتی که می‌شناسیم، هر کس را می‌توانیم در جای درست بگذاریم. بدین ترتیب، هم خود آن شخص در مکان ارجح قرار می‌گیرد و هم خیال ما راحت‌تر است که بهره‌وری بالاتری به دست می‌آید. الآن چنین کارهایی انجام نمی‌شود. در مصاحبه‌های استخدام باید به شخصیت افراد توجه کنیم. یکی از مشکلات کشورمان این است که نیروی کار خوب را به‌ندرت می‌توان یافت، در بعضی زمینه‌ها بسیار نادر شده و حتی نیروی کار متوسط را نیز پیدا نمی‌کنیم.

به همین دلیل بعضی سازمان‌ها خود را مجبور می‌بینند که نیرو را بگیرند و مباحث علوم انسانی و شایستگی‌های عمومی را مغفول بگذارند که بعداً روی آن کار کنند تا تقویت شود. همین که فقط دانش وی را مورد ارزیابی قرار می‌دهند و دانش فنی را هنگام جذب نیروها نسبت به شایستگی‌های عمومی در اولویت می‌دانند، یک دغدغه است. البته این به شرطی است که سازمان یک مدل شایستگی‌های عمومی داشته باشد و فرضاً بداند کارشناس تحلیل و پایش لاگ‌های امنیتی و SOC باید شایستگی‌های مشخصی داشته باشد و در زمینه‌های مورد نظر ما نمره خوب بگیرد.

شاید در این جایگاه‌ها یک آدم درون‌گرا، خجالتی و منزوی بیش از افراد اجتماعی به کار آید، چون عادت ندارد با دیگران ارتباط برقرار کند. این موضوعات در دنیا خیلی پیش رفته‌اند؛ گاهی در فیلم‌ها می‌بینیم و فکر می‌کنیم فقط فیلم است، ولی واقعیت دارد. این دانش‌ها در ایران موجودند، ولی هنوز صنعتی نشده‌اند. هنوز هیچ‌یک از صنایع ما از جمله صنعت فناوری اطلاعات به حدی از بلوغ نرسیده‌اند که بتوانند به دیگر عرصه‌های دانش متصل شوند و از آنها در جهت تعالی خود بهره بگیرند.

شخصیت‌شناسی می‌تواند ابزار بسیار مؤثری باشد، ولی در ایران فقط یک مد است؛ فرضاً به مدیران می‌گوییم «وقتی شخصیت‌شناسی را یاد گرفتی، باید این روش را برای همکاران زیرمجموعه به کار ببری تا بفهمی که هر کدام را کجا بگذاری»، در حالی که امثال ما وقتی فقط در یک دوره آموزشی شرکت کنیم مهارت کافی برای شناسایی آدم‌ها به دست نمی‌آوریم و دچار اشتباه می‌شویم؛ آدم‌ها را در جایی که دوست ندارند، می‌گذاریم و به‌زودی بی‌انگیزه می‌شوند و به‌راحتی در معرض آسیب مهندسی اجتماعی قرار می‌گیرند و وسیله‌ای برای هجوم امنیتی درون‌سازمانی می‌شوند.

ما به مشاوره‌های همه‌جانبه سیستماتیک در زمینه روان‌شناسی صنعتی نیاز داریم. نمی‌دانم آیا در ایران چنین کارهایی انجام شده یا نه؛ چند نفر فعال این امور را می‌شناسم، ولی مطلع نیستم که تا چه حد می‌توانند به سازمان‌ها سرویس بدهند. روان‌شناسان فردی در حال حاضر مشتریان خیلی بیشتری دارند، ولی روان‌شناسی صنعتی حالت نابالغ دارد و گاهی هم تعامل آنها با شرکت‌ها به‌صورت بازاری است، نه سیستماتیک و علمی. کسی که مشاوره می‌دهد، باید روش‌های روان‌شناسی صنعتی را در سیستم‌ها و فرایندهای جذب، کارگزینی و مدیریت شرکت ادغام کند. البته هر کاری در دنیا ابتدا از ظواهر شروع می‌شود و ظاهر هم خیلی مهم است. ما هنوز درگیر «شکل» هستیم و به محتوا و عمق نرسیده‌ایم، ولی امیدواریم به‌تدریج برسیم.

وضعیت ما نسبت به استانداردهای جهانی در زمینه تولیدات داخلی در حوزه امنیت سایبری چگونه است؟

از لحاظ امنیت سخت، ما بعضی دسترسی‌ها و ابزارها را نداریم. اسم آن ابزارها را شنیده‌ایم، ولی از طرف نهادهای محدودی در دنیا توزیع می‌شوند و طراحان خاص مربوط به کشورهای خاص دارند که با ما دچار خصومت سیاسی هستند. چنین ابزارهایی برای ما تیغ دولبه به حساب می‌آیند. اگر بخواهیم از آن ابزارها بهره بگیریم، خواهند گفت که «شما تحریم هستید و امکان استفاده از آن را ندارید»، حتی از مبادی غیررسمی امکان تهیه نخواهیم داشت. دوم آنکه حتی اگر تحریم را دور بزنیم، باید ببینیم آیا این ابزارها بعضی دیتاها را مخفیانه به جایی ارسال می‌کنند یا نه.

این ترس همیشه در کشورهایی که وضعیت سیاسی مشابه ما دارند، دیده می‌شود که یکسری راه‌های نفوذ با هماهنگی نهادهای امنیتی کشورهای پرقدرت در حوزه فناوری اطلاعات در ابزارها تعبیه می‌شود که با هیچ ابزاری قابل کشف نیست. به همین دلیل خیلی جاها به سمت استفاده از ابزارهای بومی می‌رویم. الآن هیچ نهادی نیست که الگوریتم‌های رمزنگاری بومی را ارزیابی کند و بگوید که قدرت آن تا چه حد است و چرا می‌تواند جایگزین مناسبی مثلاً برای الگوریتم RSA باشد و چه کسی گفته که این یکی زودتر از آن یکی شکسته نخواهد شد.

دلیل اصلی که ما از مشابه‌های خارجی استفاده نمی‌کنیم، این است که نگران وجود «راه‌های سوءاستفاده مخفی درون ابزارها» (back door) هستیم، در حالی که شاید برای شکستن الگوریتم‌های داخلی اصلاً نیازی به تلاش زیاد هم نباشد! من حدود 15 یا 20 سال در این حوزه فعالیت کرده‌ام و می‌بینم هنوز هم بسیاری از شرکت‌های امنیتی ایرانی باافتخار می‌گویند «این الگوریتم طراحی خودمان است» و البته از لحاظ دانشی و دانشگاهی جای افتخار دارد، ولی هنگامی که می‌خواهیم کار صنعتی با دیتای واقعی انجام دهیم، باید یک نهاد باشد که ارزیابی و آزمایش‌های صنعتی و علمی انجام دهد.

کدام آزمایشگاه در ایران گواهی امنیت این الگوریتم‌ها را صادر می‌کند؟ یکی از عقب‌ماندگی‌های ما نسبت به دنیا همین است که هیچ نهاد گواهی‌کننده محصولات امنیتی نداریم؛ فقط بعضی نهادهای حاکمیتی توصیه می‌کنند که محصولات داخلی مورد استفاده قرار گیرند؛ گاهی با ذکر نام و گاهی هم بدون ذکر نام.

استفاده از محصولات امنیتی داخلی، شاید بعضی تهدیدها و آسیب‌های محتمل را مرتفع سازد، ولی تهدیدها و آسیب‌پذیری‌های جدیدی را ایجاد می‌کند که نمی‌دانم کدام نهاد می‌تواند جلوی آنها را بگیرد. شنیده‌ام که در نهادهای نظامی بعضی کارها را در این زمینه انجام می‌دهند و چند آزمایشگاه هم «مجوز افتا» گرفته‌اند، ولی هیچ‌کدام‌شان به‌صورت پرقدرت و جدی مطرح نیستند و نمی‌توانید بااطمینان به آنها ارجاع دهید.

شاید یک شرکت خصوصی از منظر خودش بگوید «من قواعد بالادستی را رعایت کرده‌ام، فلان دستگاه را از فلان شرکت ایرانی گرفته‌ام»، ولی از دید حاکمیت باید ببینیم که آیا واقعاً مشکل حل شده است؟ آیا مشکل از‌دست‌رفتن دیتا رخ نمی‌دهد؟ اولین دغدغه ما در حوزه فناوری این است که نمی‌توانیم فناوری‌های موجودمان را تصدیق کنیم.

---

---

دومین مسئله ما این است که وقتی یک ابزار را از بیرون می‌گیریم و استفاده می‌کنیم، در سطوح «سخت‌افزاری» آن باقی می‌مانیم. فقط تعداد زیادی مانیتور و داشبورد در یک اتاق می‌گذارند و کلمه SOC را پشت در می‌نویسند. SOC یک مفهوم وسیع است که باید تمام جنبه‌ها اعم از فرایندها، افراد، محصولات و… را دربر بگیرد، ولی الآن بیشتر سازمان‌ها روی محصول متمرکز هستند.

ما فقط یکسری لاگ‌های سیستم‌عامل و المان‌های زیرساختی مثل روتر و سوئیچ را بررسی می‌کنیم و متوجه یکسری هجوم‌های نرمال می‌شویم که عمدتاً توسط «بات‌ها» انجام می‌گیرند، ولی حمله‌های (attack) طراحی‌شده را چطور می‌خواهیم کشف کنیم و بعد از آن چگونه به هجوم‌های درونی می‌رسیم؟ بعضی افراد دارای انگیزه‌های تخلف امنیتی درون‌سازمانی، ذره‌ذره رفتارهایی انجام می‌دهند تا به داده‌های حساس نزدیک شوند و ردگیری این رفتارها در طول زمان است که می‌تواند الگوی حمله را پیش‌بینی کند.

اینکه روحیه افراد چقدر آنها را به سمت نشت اطلاعات سوق دهد، ربطی به سمت آنها ندارد؛ همه در معرض خطا هستند. اتفاقاً در اغلب نهادها برای یکسری دسترسی‌ها که در اختیار مدیرعامل و مدیر امنیتی قرار گرفته، هیچ فکری نشده؛ اینکه خود آنها چطور از هجوم‌های درونی و بیرونی در امان خواهند بود؟ شاید عده‌ای ایشان را تطمیع کنند و برایشان انگیزه‌های غیرسازمانی به وجود بیاورند؛ چون همه می‌دانند که آنها دسترسی‌های بالاتری دارند. مراقبت از چنین اشخاصی در سازمان‌های ما مغفول مانده است.

علاوه بر آن، رفتار افراد درون سازمان در هیچ جا پایش نمی‌شود. در این رابطه فناوری‌هایی در دنیا شکل گرفته که ما از آنها عقب هستیم. الآن در دنیا مانیتورینگ پیش‌بینی‌کننده (Proactive) اتفاق می‌افتد و پیش از واقعه هشدار می‌دهد که «این شخص رفتار مشکوک داشته» یا «این آی‌پی رفتار مشکوکی انجام داده است». گاهی سیستم هشدار می‌دهد که «این شخص با این روند رفتاری، در سه ماه آینده به سمتی خواهد رفت که رفتارهای خلاف سیاست‌های امنیتی سازمان نشان دهد». این مسئله فقط هشدار راجع به هجوم درونی نیست؛ بلکه حتی تسامح در سیاست‌های امنیتی سازمان را گوشزد می‌کند.

مسئله مهم دیگر تحلیل‌های رفتاری نرم است که باید از طریق پیمایش‌های روان‌شناسی صنعتی و پرسش‌های هوشمندانه حس تعلق سازمانی (engagement) توسط مشاوران منابع انسانی صورت گیرد تا بدانیم در بخش‌های مختلف سازمان و از طریق افراد گوناگون چه اتفاقاتی می‌افتد. هر برخورد و هر رفتار می‌تواند یک سرنخ و هشدار باشد.

در شرایط کنونی کشور، حتی مسائل غیرامنیتی را هم امنیتی می‌بینیم، چه رسد به مسائل امنیتی.

کاملاً درست است. به قول مولانا: «منع، جز رغبت را افزون نکند». ماهیت و ذات انسان همین است که هر چیزی در دایره امنیتی و ممنوعه قرار گیرد، دارندگانش احساس قدرت و مباهات می‌کنند. در میان مدیران امنیتی شرکت‌های مختلف دیده‌ام که وقتی می‌پرسیم «چرا باید این کار را کرد» فوراً می‌گویند «به دلایل امنیتی» و موقعی که می‌گویند «به دلایل امنیتی» همه می‌فهمند که نباید توضیح بخواهند؛ انگار «دلایل امنیتی» برهان قاطع است برای آنکه هر کاری دل‌شان می‌خواهد را بدون توضیح انجام دهند.

بعضی مسائل سازمانی اصلاً امنیتی نیستند و برخی در نهادشان امنیتی هستند، ولی در سطح، امنیتی به نظر نمی‌رسند و نیازی نیست در مورد آنها مانور اطلاعاتی زیادی در سازمان صورت گیرد، در حالی که ما به قدری روی امنیتی‌بودن‌شان در سطح عمومی اطلاع‌رسانی داشته‌ایم که حتی کسانی که به اهمیت مسئله واقف نبودند، الآن فهمیده‌اند که از چنین چیزهایی می‌توان سوءاستفاده امنیتی کرد. همین کار یک رفتار خلاف امنیت سازمانی است که در سازمان‌ها رخ می‌دهد.

در شرایط کنونی استفاده از مستشار خارجی سخت است و به لحاظ سخت‌افزاری نیز، به‌خصوص در سخت‌افزارهای امنیتی، تحت تأثیر شدید تحریم‌ها قرار گرفته‌ایم. برای به‌روز نگه‌داشتن خودمان باید چه کار کنیم؟

متأسفانه امروزه اگر جوامع علمی دنیا بخواهند با ایران ارتباط داشته باشند، از تبعات آن می‌ترسند. در واقع در حوزه تبادلات مستقیم علمی کم‌اعتبار شده‌ایم. یک سیاست کلی که باید از بالا رعایت شود، حفظ تبادل علمی با دنیاست. متأسفانه ایرانی‌هایی هم که در جاهای مختلف دنیا هستند، انگیزه‌های خیلی کمی برای کمک دارند. انگیزه‌های غیرمستقیم آنها را نباید سلب کنیم؛ اگر بخواهند در شرکت‌های خصوصی ایرانی رفت‌وآمد و همکاری داشته باشند با حفظ ملاحظات رفتاری و دسترسی‌هایی که قبلاً ذکر کردم، باید به استقبال ایشان برویم. تبادل علمی ضروری است.

اکثر فعالان حوزه امنیت ما از طریق اینترنت به‌روز می‌شوند، نه به واسطه استفاده از ابزارهایی که نمودی از بلوغ صنعتی به‌شمار می‌روند. به نظر من متصل‌بودن به جامعه علمی نباید فقط از طریق اینترنت باشد؛ بلکه باید در قالب تبادل علمی بین‌دانشگاهی رخ دهد و از ابزارهایی که دارای بلوغ صنعتی هستند، به هر نحو ممکن بهره بگیریم. بدین ترتیب به این قدرت می‌رسیم که خلأهای علمی موجود را تا حد زیادی جبران کنیم. البته تحقیق، یا بهتر بگویم R&D، همیشه ضروری است. تحقیق قرار است به توسعه منجر شود، نه اینکه صرفاً منحصر به مراکز پژوهشی متعدد داخل کشور باشد که بودجه می‌گیرند و عمده کارهایشان در حد کتابخانه باقی می‌ماند. به‌ندرت دیده‌ام که ما پژوهش را با هدف توسعه انجام دهیم و نتایج ملموس از آن بگیریم. الآن کمتر پژوهشی است که داده‌های خام خود را صرفاً از اینترنت نگیرد و اصول پژوهشی را به تولید محصول متصل سازد.

 وضعیت دانشگاه‌های ما از این بابت چطور است؟

یادم هست سال 1382 که من از دانشگاه شریف فارغ‌التحصیل شدم، کلاس‌های رمزنگاری تازه شکل گرفته بود. الآن یکسری تخصص‌های امنیت سایبری هم به وجود آمده، ولی محتوای آنها غنی نیست. ما باید به علوم روز دانشگاهی جهان متصل باشیم و چاره‌ای جز این نداریم. هر جایی که در یک علم پیشرو است، باید به آن متصل شویم، ولی دسترسی به چنین دانشمندانی کاملاً انحصاری است و ما فقط می‌توانیم به مطالعه کتاب‌هایشان بسنده کنیم. واجب است چیزهایی را که این اشخاص منتشر می‌کنند، بشناسیم، گرچه بسیاری چیزها را هرگز منتشر نمی‌سازند.

اطلاع دقیق ندارم، ولی وقتی فارغ‌التحصیلان دانشگاه به شرکت‌هایی مثل ما می‌آیند و با آنها مصاحبه فنی انجام می‌دهیم، احساس نمی‌کنیم که گام بزرگی در دانشگاه‌ها برداشته شده باشد. در واقع افرادی که با آنها مصاحبه می‌کنیم، اگر معلوماتی داشته باشند که به کار ما بیاید، عمدتاً به خاطر دوره‌هایی است که در بیرون از دانشگاه دیده‌اند یا خودشان با بعضی ابزارها کلنجار رفته‌اند تا یاد بگیرند. در کل من نمی‌توانم ارزیابی دقیقی بکنم، چون از سال 1382 تاکنون، 17 سال می‌شود که از دانشگاه بیرون آمده‌ام، ولی خروجی دانشگاه‌ها را که در مصاحبه‌ها می‌بینم، تفاوت محسوسی نسبت به گذشته احساس نمی‌کنم.

به این موضوع اشاره کردید که سطح دسترسی افراد باید بر اساس نیازمندی آنها باشد. در این‌باره لطفاً توضیح بیشتری دهید.

بهترین راهنما و توصیه‌ای که من در حوزه «کنترل دسترسی» دیده‌ام، شامل دو عبارت در ISMS یا همان ایزو 27001 است که به‌زیبایی می‌گوید «دسترسی را باید مبتنی بر دو چیز بدهید و این دو چیز را باید به‌خوبی در حوزه خودتان بشناسید؛ نیاز به دانستن (need to know) و نیاز به استفاده (need to use) جهت انجام مأموریت سازمانی»؛ یعنی اگر کسی لازم است چیزی را بداند برای اینکه مأموریت سازمانی که برایش تعریف شده را موفق و کامل انجام دهد، باید دسترسی جهت دانستن آن موضوع به وی داده شود، نه دسترسی جهت دست‌کاری.

اطلاعات را به شیوه‌های مختلف می‌توان به افراد رساند. این دسترسی برای دانستن است. از این حیث سازمان‌ها خیلی ضعیف هستند. فرضاً مدیران در سازمان‌ها تصمیماتی می‌گیرند که حاکی از ندانستن برخی داده‌های مالی کاملاً معمولی سازمان است. در شرکت‌ها از بس برچسب امنیتی روی این داده‌های مالی زده می‌شود، تصمیمات مدیران به عدم بهره‌وری و سپس به آسیب‌های امنیتی منجر می‌شود. همین که بدانیم چه آدم‌هایی چه چیزهایی را در چه سطوحی بدانند، مسئله مهمی است. دومین نکته نیاز به استفاده است، یعنی شخص برای مأموریتی که به او داده‌ایم، باید از بعضی دارایی‌ها استفاده کند. ابتدا باید ارتباط مأموریت با دارایی را بشناسیم و سپس دسترسی بدهیم.

شما اشاره کردید که بعضی دسترسی‌ها را فقط مدیران دارند. کار مدیر، اقدام و تحلیل نیست، ولی به مدیر امنیت شرکت دسترسی‌هایی می‌دهند که عجیب به نظر می‌رسد. اگر یک مدیر امنیت، خودش دسترسی به اطلاعات محرمانه نداشته باشد، به نظر عجیب و غیرعادی می‌رسد؛ در حالی که او نباید دسترسی داشته باشد، فقط باید دسترسی‌ها را بشناسد و کنترل کند. هنوز هم توصیه ایزو 27001 را بهترین روش مراقبت در زمینه دسترسی می‌دانم.

باید بدانید چه مأموریت‌های سازمانی به چه دیتاهایی نیاز دارند تا کار خود را خوب انجام دهند و دسترسی به چه دارایی‌هایی در چه سطحی لازم است. تمام توصیه‌های لازم برای این طبقه‌بندی‌ها در ISMS موجود است و باید مورد استفاده قرار گیرد. به نظر من آن دو عبارت ISMS کاملاً گویاست و هیچ ربطی به سمت ندارد، فقط مربوط به مأموریت سازمانی است و می‌تواند مأموریت‌های تمام افراد را شامل شود.

به نظر می‌رسد یک جهش ناگهانی در حال وقوع است و حوزه امنیت به سمتی می‌رود که بار خود را بر دوش هوش مصنوعی بگذارد. شما تا چه حد این وضعیت را پیش‌بینی می‌کنید؟ و اگر رخ دهد به چه چیزی منجر می‌شود؟ شاید از بعضی جهات وضعیت بهتر شود و از بعضی جهات بدتر.

این جهش مدت‌هاست که اتفاق افتاده. همین حالا هم از هوش مصنوعی بهره می‌گیریم و قبلاً هم می‌گرفتیم. ما مرتباً به ابزارهای تحلیلگری تکیه می‌کنیم که قیافه‌شان شبیه روبات نیست، فقط سرور هستند، ولی مثل روبات‌ها تحلیل‌هایی بر مبنای یکسری حسگر انجام می‌دهند. عین آدم‌ها که حسگر دارند، این ابزارها نیز حسگر دارند و سال‌هاست که با حسگرها تحلیل انجام می‌دهند. حسگرها مرتب قوی‌تر می‌شوند و اطلاعات دقیق‌تری را برای شناخت رفتار جمع می‌کنند. وقتی به سمت شناخت رفتار می‌رویم، نهایتاً باز هم انسان است که باید فهم ابزار هوش مصنوعی را تقویت کند. سناریوها و الگوریتم‌هایی که انگیزه افراد را برای انجام رفتارهای مختلف نشان می‌دهند، هنوز هم تا حد زیادی توسط انسان‌ها شناسایی و به ماشین فهمانده می‌شوند و تا مدت‌ها همین وضعیت ادامه خواهد داشت.

چشم‌انداز آینده ما این است که بسیاری از کارها به‌تدریج خودکار و مبتنی بر هوش مصنوعی انجام شود. می‌دانید که نظریه‌پردازان مختلف درباره تاریخ آینده دیدگاه‌های متفاوتی دارند. من طرفدار آن نحله‌ای هستم که در آینده نیز اصالت را به حضور انسان در کنار هوش مصنوعی می‌دهد. شاید هوش مصنوعی به‌مرور بتواند خیلی بهتر عمل کند، ولی نهایتاً انسان است که پارادایم آنها را تعریف می‌کند و متحول می‌سازد. تحقیقات علمی انسان‌هاست که ناگهان جابه‌جایی پارادایم را حاصل می‌کند.

اکنون که بخش قابل توجهی از تراکنش‌ها الکترونیکی شده‌اند، آیا به نظرتان سطح اطلاع‌رسانی امنیتی نباید بیشتر شود؟ بالأخره تراکنش‌ها با تمام لایه‌های جامعه سروکار دارند. آیا آگاهی‌بخشی صرفاً از طریق رسانه‌های جمعی و شبکه‌های جمعی کفایت می‌کند، یا باید از مراجع و نهادهای قوی‌تری مثل آموزش‌و‌پرورش نیز کمک گرفت؟

سیستم‌های مدیریت امنیت اطلاعات، اسم این موضوع را «آگاهی‌رسانی» (awareness) می‌گذارند. این کلمه بی‌دلیل انتخاب نشده و به شکل کاملاً هوشمندانه‌ای در ایزو آمده است. در آنجا می‌گوید که باید «آگاهی» مخاطبان مختلف را افزایش دهید. از کلمه دانش یا اطلاعات استفاده نشده؛ بلکه می‌گوید باید آگاهی را افزایش دهیم. به قول مولانا در «حکایت پادشاه متعصب یهودی»؛ «در برابر هر خلل باید دو قابلیت داشته باشید؛ یکی آگاهی و یکی صاحب ذوق بودن». صاحب ذوق بودن یعنی چشیدن؛ وقتی مزه یک چیز معتبر و درست را چشیده باشید، هنگامی که حرف‌های نادرست را می‌شنوید، می‌بینید که با مذاق جور درنمی‌آید.

در حوزه‌هایی مثل فیشینگ، اگر آدم‌ها آگاهی قبلی داشته باشند، از روی پیامی که برایشان می‌آید، می‌توانند الگوهای درست را بشناسند و الگوی نادرست را تشخیص دهند. برای آدم‌ها زیاد پیش می‌آید که ناگهان با دریافت یک پیامک یا جواب یک سؤال اطلاعاتی را لو دهند. می‌دانید که سناریوهای فیشینگ متعدد هستند و قربانیان زمانی که پیام را مشاهده می‌کنند، اگر احساس اضطرار ناشی از آگاهی قبلی در ایشان بیدار شود، متوجه می‌شوند که این پیام با روال‌های درست همخوان نیست و به اصطلاح یک جای کار می‌لنگد.

به نظرم دوره دبستان برای آموزش این مفاهیم خیلی زود است، ولی به‌مرور باید در حوزه‌های مختلف امنیتی از جمله امنیت روانی و امنیت فناوری اطلاعات به همگان آموزش دهیم. ما حتی در دانشگاه هم به دانشجویان اطلاعات و آگاهی در زمینه‌های امنیتی ارائه نمی‌دهیم، ولی حتماً باید از تمام رسانه‌ها استفاده شود و خصوصاً در شرکت‌های فعال در حوزه‌های مختلف فناوری اطلاعات آموزش کافی به مخاطبان و به‌خصوص همکاران داده شود.

گرچه هنوز هم آگاهی‌رسانی از جنس آموزش مستقیم درصد بهره‌وری بسیار پایینی دارد، ولی ضروری به نظر می‌رسد؛ حتی اگر دو نفر هم از کلاس استفاده کنند و برخی مطالب در ذهن‌شان بماند، باز هم ارزش دارد. برای اینکه آگاهی مخاطبان را نسبت به حوزه‌های امنیتی بالا ببریم، باید بیشترین تمرکز خود را روی استراتژی محتوا بگذاریم، یعنی بدانیم چه محتوایی را با چه استراتژی به افراد برسانیم که کدام حسگر را بیدار یا هوشیار یا به عبارت دقیق‌تر «آگاه» کند.