در حالی که سال گذشته میلادی اخبار مربوط به حملات باجافزارها و حملات منع سرویس توزیع شده در صدر اخبار قرار داشت و نگاهها را بهسمت خود معطوف ساخته بود، اما در طرف مقابل اخبار دیگری قرار داشتند که نشان میدادند خطر کارکنان سابق سازمانها و شرکتها کمتر از باجافزارها و بدافزارها نیست. در همین ارتباط شرکت امنیتی OneLogin نظرسنجی را انجام داده و از 500 شرکت فعال در حوزه فناوری اطلاعات این سؤال را پرسیده است که به نظر آنها بزرگترین خطری که آنها را تهدید میکند، از جانب چه شخص یا اشخاصی خواهد بود. در کمال تعجب تنها نیمی از شرکتکنندگان در این نظرسنجی اعلام کردهاند که اطمینان دارند کارکنان سابق آنها به نرمافزارها و زیرساختهای شرکت دسترسی ندارند و 20 درصد سازمانها نیز اعلام داشتهاند که حداقل یک بار تجربه نفوذ به دادهها از سوی کارکنان سابق خود را داشتهاند. جالبتر آنکه 48 درصد از سازمانهایی که در این نظرسنجی شرکت کردهاند، اعلام داشتهاند از این موضوع اطلاع دارند که کارکنان اسبق آنها هنوز هم به شبکه سازمانی آنها دسترسی دارند. نیمی از مدیران سازمانها اعلام کردهاند حساب کاربری کارکنان اسبق خود را حداقل برای یک یا چند روز، 32 درصد بهمدت یک هفته و 20 درصد بهمدت یک ماه در وضعیت فعال حفظ کردهاند. در این میان 25 درصد از سازمانها اعلام کردهاند بهدرستی نمیدانند زمانی که کارمندان سازمان آنها را ترک کردهاند این حسابها برای چه مدت بهشکل فعال باقی بوده است. اما حقیقت روشنی که در آمارهای ارائه شده از سوی این مؤسسه وجود دارد این است که کارکنان اسبق یک سازمان یک خطر جدی و بالقوه به شمار میروند. مریت ماکسیم پژوهشگر و تحلیلگر مؤسسه فارستر در این ارتباط گفته است: «این یک حقیقت روشن است که شما با حذف دسترسی کارکنان سابق به سامانهها و زیرساختهای اطلاعاتی خود بهمیزان قابل توجهی سایه تهدیدات امنیتی را از خود و سازمانتان دور میکنید. این یک استراتژی خوب امنیتی است. گزارشی که ژوئن سال گذشته میلادی از سوی سایت Verelox منتشر شد نشان میدهد زمانی که کارمند اسبق این شرکت باعث شد تا اکثر سرویسهای متعلق به سرورهای این شرکت حذف شوند، این شرکت با وقفه بزرگی در خدماترسانی روبهرو شد، اتفاقی که باعث شد این شرکت ضمن آنکه ضرر مالی را تجربه کند، اعتبار آن نزد مشتریانش مخدوش شود. در ماه آوریل نیز شرکت Allegro Microsystems واقع در ایالات متحده نیز اعلام کرد که یکی از مدیران اسبق فناوری اطلاعات خود را بهدلیل نصب نرمافزارهای مخربی که باعث شده بود دادههای مالی بسیار مهم این شرکت حذف شوند، تحت پیگرد قانونی قرار داده است.»
چرا شرکتها درخصوص حذف حسابهای کاربری کارمندان اسبق تعلل میکنند؟
اما سؤالی که در این میان مطرح میشود این است که شرکتها به چه دلیلی پس از اخراج یا خاتمه همکاری با کارمندان، حسابهای آنها را بهسرعت حذف نمیکنند؟ اولین پاسخی که برای این پرسش مطرح میشود این است که فرآیند حذف حسابها فرآیندی زمانبر است. تقریباً 70 درصد تصمیمگیرندگان حوزه فناوری اطلاعات اعلام داشتهاند که به زمان قابل توجهی نیاز دارند تا بتوانند همه حسابهای کاربری کارمندانی که با سرویسها و برنامههای کاربردی شرکت در ارتباط هستند را حذف کنند. AI Sargent مدیر ارشد شرکت OneLogin دلیل دیگری برای کند بودن این فرآیند مطرح میکند و اعلام میدارد: «مدیران فناوری اطلاعات و مدیران منابع انسانی در اغلب موارد ارتباط خوبی با یکدیگر ندارند. این یک مشکل جدی است، بهواسطه آنکه منابع انسانی تنها واحدی در یک سازمان است که بهدرستی میداند چه شخصی کارمند یک سازمان است و چه شخصی دیگر کارمند سازمان نیست. در حالی که واحدهایی همچون فناوری اطلاعات تنها وظیفه دارند تا دسترسی به برنامههای کاربردی سازمان را کنترل کنند. این واحد در اغلب موارد فهرست کاربران را بهروزرسانی نمیکند و اگر تعاملی بین این دو واحد وجود نداشته باشد، دسترسیها بهشکل مدتداری فعال خواهد بود. واقعیت این است که یک شرکت معمولی دهها برنامه کاربردی در اختیار دارد که درباره نحوه استفاده کارکنان از آنها آگاهی کامل دارد، اما در مقابل صدها برنامه وجود دارد که ممکن است از وجود آنها مطلع نباشد و در سایه واحد فناوری اطلاعات سازمان مورد استفاده قرار گیرند. واقعیت این است که شما نمیتوانید دسترسی فردی به یک برنامه کاربردی را حذف کنید که حتی از وجود این شخص در سازمان اطلاعی ندارید. در حالی که واحد فناوری اطلاعات در این زمینه سعی میکند دسترسی افراد خارج شده از سازمان را حذف کند، اما همواره رخنههایی وجود دارد که باعث میشود این کار بهدرستی انجام نشود. همچنین، به این موضوع توجه داشته باشید که در بعضی موارد لازم است تا دسترسیها بهسرعت از میان نروند. در این حالت سازمانها حسابها را به حالت تعلیق درمیآورند، بهدلیل اینکه اطلاعاتی در ارتباط با گزارشهای حسابرسی یا اطلاعات مربوط به مشتریان وجود دارد. در بعضی موارد نیز بهلحاظ قانونی حسابها باید بهشکل موقت فعال باشند.»
مریت ماکسیم در ارتباط با این موضوع میگوید: «توجه داشته باشید که اخراج کارمندی از یک سازمان یا ترک خودخواسته بهواسطه اتمام قرارداد در هر دو حالت تفاوت خاصی با یکدیگر ندارند. همواره این احتمال وجود دارد (هرچند ناچیز) که این کارمندان اقدامات خرابکارانهای را علیه مدیر اسبق خود ترتیب دهند. نکته دیگری که باید به آن توجه داشته باشید این است که کارمندان شما اغلب از نام کاربری و گذرواژه یکسانی در ارتباط با حسابهای خود استفاده میکنند. در نتیجه، اگر یکی از حسابهای آنها بهویژه آنهایی که نام کاربریشان نشانی ایمیل است هک شود، ممکن است هکرها از ترکیب نشانی ایمیل و حمله جستوجوی فراگیر برای به دست آوردن گذرواژهها برای ورود به زیرساختهای شبکه شما استفاده کنند.»
ماکسیم به مدیر سازمانها پیشنهاد میدهد که بهشکل جدی توافقنامه سطح خدمات (SLA) را به کار ببرند. این توافقنامه به شرکتها کمک میکند تا بهشکل صریح مشخص کنند زمانی که کارمندی سازمان را ترک کرد، فرآیند دسترسی او در چه بازه زمانی باید قطع شود. ایدهآلترین حالت در این زمینه 48 تا 72 ساعت کاری است. در این مدت دپارتمانهای فناوری اطلاعات فرصت دارند تا دادههای مورد نیاز را از حساب کاربری کارمند سابق جمعآوری کنند. از جمله مزایای مثبتی که این توافقنامه دارد در این است که فرآیند دسترسی به حسابها و حذف حسابهای کاربری بهشکل سریعتری انجام میشود. این رویکرد به شفافسازی سیاستها و پیادهسازی درست فرآیندها نیز کمک میکند. بهواسطه آنکه به مدیران اجازه میدهد در زمان درست و بهشکل درستی دسترسیها را حذف یا حتی محدود کرده و به تیمهای امنیتی نیز نشان میدهد برمبنای چه خط مشئی دسترسی به حسابها را حذف و مهمتر از آن اطمینان حاصل کنند دسترسی کارکنان خارج شده از سازمان قطع شده است. سارجنت در این خصوص میگوید: «اکثر کارکنانی که یک شرکت را ترک میکنند، بهدرستی میدانند ضوابطی وجود دارد که به سازمانها اجازه میدهد این گروه از کارکنان را اگر بهشکل خرابکارانهای به زیرساختهای سازمان دومرتبه وارد شوند تحت پیگرد قرار دهند، با وجود این تنها یک کارمند خرابکار هم کافی است تا به سازمان صدمات جبرانناپذیری وارد کند.»
استراتژیهایی که از زیرساختهای سازمانی شما محافظت میکنند
در اغلب موارد کارمندان اخراجی از یک سازمان یا شرکت تصمیم میگیرند اقدام تلافیجویانهای انجام داده و به بانکهای اطلاعاتی شرکت نفوذ کنند. اگر به سایت پلیس فتا مراجعه کنید، مشاهده میکنید که پلیس سایبری تاکنون افراد مختلفی را بازداشت کرده است که پس از اخراج از سازمان تصمیم گرفتهاند بهنوعی از مدیر عامل شرکت انتقام بگیرند. درست است که امروزه اکثر سازمانها از راهکارهای مختلف پشتیبانگیری استفاده میکنند، اما واقعیت این است که خبر انتشار نفوذ بهمیزان قابل توجهی به اعتبار یک شرکت خدشه وارد میکند. گزارشی که از سوی مؤسسه FirstData منتشر شده نشان میدهد کسب و کارها بهویژه آنها که در زمینه آنلاین به فعالیت اشتغال دارند سالانه چیزی حدود 9.1 میلیارد دلار فرصت ناب فروش محصولات را از دست میدهند. بهواسطه آنکه خریداران از بابت خریدهای آنلاین هراس دارند. آیا دلیلی برای این نگرانی وجود دارد؟ پاسخ مثبت است. زمانی که شما کارمندی استخدام میکنید که به دادههای مالی و فروش شما دسترسی دارد، در همان حال به جزئیات و مشخصات فردی مشتریان سازمان شما نیز دسترسی دارد. در نتیجه یک نقض دادهای و نفوذ موفق نهتنها باعث میشود تا اطلاعات سازمان بلکه هویت فردی مشتریان سازمان نیز در معرض خطر قرار گیرد. جالب آنکه در بعضی موارد کارمندان عصبانی سعی میکنند صفحات جعلی و بهویژه در ارتباط با امور مالی منتسب به شرکت را طراحی کنند و مشتریان را فریب دهند تا جزئیات مربوط به کارتهای بانکی خود را در این صفحات وارد کنند. تنها در کشور ایالات متحده سرقت اطلاعات در بازه زمانی 2012 تا 2014 از رقم 447 مورد در سال به رقم 783 مورد افزایش پیدا کرده است. آماری که بدون شک اکنون بهمراتب فراتر از این رقم است. اما چه کنیم تا سازمان خود را از این تهدیدات به دور نگه داریم؟
راهکار اول: امنیت باید بهشکل یکپارچه در سازمان شما پیادهسازی شده باشد
اولین اصل امنیتی که باید مد نظر داشته باشید، فراتر از توجه به کارمندان و در اصل در ارتباط با نرمافزارهایی است که از آنها استفاده میکنید. برنامههای کاربردی دارای چرخه توسعه نرمافزار SDLC (سرنام Software Development Life Cycle) هستند. در این چرخه فرآیند طراحی، کدنویسی و توسعه مورد بررسی قرار میگیرد. اما مهمترین عاملی که باعث میشود از این چرخه در زمان طراحی نرمافزارها استفاده کنیم، در ارتباط با اصول امنیتی است. اما برای آنکه نرمافزارها بهشکل ایمنی طراحی شده و بهدرستی مورد استفاده قرار گیرند به یک لایه اضافی دیگر نیاز دارند. لایهای که در ارتباط با توسعه ایمن نرمافزار است و Secure Software Development Life Cycle از آن نام برده میشود. این لایه بهمیزان قابل توجهی سطح امنیتی را افزایش داده و در مقابل راهکاری امنیتی بیشتری را برای محافظت از دادههای حیاتی در اختیار شما قرار میدهد. در نتیجه هکرهای اجیر شده یا کارمندان اخراجی بهراحتی نمیتوانند به نرمافزارها یا زیرساختهای شبکه شما نفوذ کنند، بهواسطه آنکه نرمافزارها بهلحاظ رخنهها بهطور مستمر مورد ارزیابی قرار میگیرد.
تیم امنیتی شما باید بهطور مداوم همهچیز را زیر نظر داشته باشد
تیم امنیتی سازمان یا شرکت باید به طور مداوم تلاشهایی که برای نفوذ به زیرساختهای یک سازمان انجام میشود را زیر نظر بگیرد. در این زمینه گزارشها و هشدارهای ارائه شده از سوی دیوارهای آتش کمککننده هستند.
طبیعی است کارمندی که برای مدتی در سازمانی مشغول به کار بوده سعی میکند در طول زمان کاری خود اطلاعاتی در ارتباط با رخنهها و آسیبپذیریها جمعآوری کند. تیم امنیتی سازمان شما باید پورتها و دستگاههایی که سعی دارند به زیرساختهای شبکه سازمان متصل شوند را مورد بررسی قرار دهد.
بهعنوان یک مدیر عامل یا مدیر بخش فناوری اطلاعات باید همانند یک هکر فکر کنید
اگر کارمند اخراجی سطح بالایی از دانش فنی در اختیار نداشته باشد، سعی میکند هکری را استخدام و از طریق او به سازمان نفوذ کند یا به آن ضربه بزند. بر همین اساس لازم است که نگاه شما در ارتباط با مسائل امنیتی همانند یک هکر باشد. در نتیجه نباید از اقدامات همچون ارزیابیهای مستمر و آزمایشهای تست نفوذ (penetrative testing) غافل شوید. تست نفوذ در اصل یک حمله شبیهسازی شده به سامانههای رایانهای مشکوکی است که تصور میشود ضعف امنیتی دارند. در این آزمایشها سعی میشود از طریق بهکارگیری ابزارهای مختلف به بخشهای مختلف این سامانه و اطلاعات ذخیرهسازی شده روی آن دسترسی پیدا کرد.
در این آزمایش امنیت فیزیکی سرورها، سامانهها و دستگاههای شبکه، آسیبپذیریهای سایتها و برنامههای کاربردی به کار گرفته شده در سازمان بهدقت مورد ارزیابی قرار میگیرند. در این مرحله بسته به بزرگی سازمان میتوانید از آزمونهای تست نفوذ با درجه جعبه سفید، جعبه سیاه یا جعبه خاکستری استفاده کنید.
نتیجه این آزمایشها باید در اختیار تیم فناوری اطلاعات و مدیران ارشد سازمانی قرار گیرد تا در ادامه بتوانند تمهیداتی را برای حذف رخنهها پیادهسازی کنند. فراموش نکنید ممکن است شما از انجام این آزمایشها غفلت کنید، اما کارمندی که در آستانه اخراج است بهسرعت سعی میکند این رخنهها را شناسایی کند.
برای تحلیل آسیبپذیریهای امنیتی زمان مناسب اختصاص دهید
در زمان ارزیابی نتایج به دست آمده نباید شتابزده عمل کنید. مدیران امنیت اطلاعات بهواسطه آنکه بهطور طبیعی با فشار کاری و استرس سر و کار دارند سعی میکنند نتایج به دست آمده را خیلی زود ارزیابی و تحلیل و در ادامه راهکار مناسب را ارائه کنند، اما توجه داشته باشید که اگر در سازمانی بزرگ کار میکنید که از مکانیسمهای ارتباطی مختلفی استفاده میکند به همان نسبت جزئیات بیشتر و پیچیدهتر هستند. در نتیجه شما به زمان بیشتری برای رسیدگی به امور نیاز دارید.
نباید از کنار مبحث امنیت بیتفاوت عبور کنید
قاعده کلی کار این است که ردیف بودجه مشخصی را برای خرید تجهیزات و نرمافزارهای امنیتی باید مشخص کرده باشید. در اغلب موارد تیمهای امنیتی بودجه خود را از سوی مدیران پروژهها دریافت میکنند. اما توجه داشته باشید که تجهیزات و نرمافزارها تنها زمانی از شما در برابر کارمندان انتقامجو محافظت میکنند که بهشکل شبانهروزی به کار گرفته شوند و مهمتر از آن بهدرستی کار کنند.
از دادههای خود با استفاده از برنامههای DLP محافظت کنید
برنامههایی شبیه به McAfee Data Loss Prevention این قابلیت را در اختیار شما قرار میدهند تا بر فرآیند انتقال دادهها با هر فرمتی در شبکه، برنامههای کاربردی و حافظههای فلش بر مبنای قواعد سازمانی خود نظارت کنید. این برنامهها به شما در مقابله با حذف ناخواسته، سرقت یا نشتی دادهها کمک میکنند .