امنیت کافی نیست، مدیران خواهان اعتمادند

• خبرنامه
• |
• 1399/10/17

امنیت کافی نیست، مدیران خواهان اعتمادند

مهندس شاهین نوروزی، کارشناس ارشد امنیت فناوری اطلاعات، رئیس هیئت مدیره شرکت پندار کوشک ایمن، که حوزه فعالیت آن امنیت و اعتماد در دنیای دیجیتال است تاکید دارد که مفهوم امنیت(security)  و اعتماد (Trust) را با دو تعریف جداگانه که شرط لازم و کافی امنیت یک سیستم الکترونیکی است تعریف کند. از نگاه او مدیران سازمانی از یک کارشناس امنیت انتظار دارند که سیستمی برای سازمان طراحی کند که ضمن رعایت تمامی نکات ایمنی حوزه مجازی بتوان به آن اعتماد کرد.

امنیت در دنیای الکترونیکی را چگونه تعریف می کنید؟

اینجا با دو مفهوم متفاوت امنیت (security) و اعتماد (Trust) مواجه هستیم. اعتماد، تفکر مهمی است که متاسفانه همه کارشناسان حوزه امنیت آن را فراموش کرده اند و نتیجه این شده که هزینه بسیار زیادی در حوزه امنیت رخ می دهد اما همچنان نا امنی های بسیار زیادی وجود دارد و ما بارها در کشور ضربه های آن را متحمل شده ایم که نتیجه جز بی اعتمادی به خدمات الکترونیک ندارد. امنیت و اعتماد از نظر پایه ای تفاوت مفهومی دارند. هر فعالیتی در دنیای امنیت برای این است که بتوان به یک سیستمی اعتماد کرد. پایه همه فعالیت های ما در این دنیا برای اعتماد است. وقتی یک مدیر می گوید که (امنیت سیستم برای من مهم است) در ذهن یک مهندس امنیتی از نظر واژه، تفکر امنیت متبادر میشود در حالی که مقصود مدیریت، اعتماد بوده است.

مفهوم امنیت در حوزه مهندسی سه محور اساسی دارد، یعنی CIA که شامل Confidentiality یعنی محرمانگی، Integrity یا همان تمامیت و availability به مفهوم پایداری سرویس می شود. در صورت وجود این محورها، امنیت شکل میگیرد. دو مفهوم دیگر هم وجود دارد یعنی انکار ناپذیری و نیز اصالت سنجی یا احراز هویت (Authentication). این پنج محور در کنار هم مفهوم اعتماد را می سازند.ما در سه پایه اولیه اصلا مسئله حقوقی نداریم اما در بحث انکارناپذیری و احراز هویت پای مسائل حقوقی و قانونی به میان می آید که در هر جای دنیا مقررات ویژه خود را دارد.

یعنی امنیت یک سیستم دلیل بر اعتماد آن نیست؟

ممکن است روی یک سیستم نرم افزاری انواع تست های امنیتی صورت گیرد و نفوذپذیری و امنیت آن در حد معقول  باشد اما این دلیلی بر قابل اعتماد بودن نیست، چون administrator های سیستم مثل بانک اطلاعاتی، سیستم عامل و ... به آن دسترسی دارد و می تواند اطلاعات را ببیند و حتی تغییر دهد و بعد از انجام آن را انکار کند.

اکثر سیستم هایی که در کشور ما وجود دارند در حوزه اعتماد خود مشکل دارند. طبق امارهای جهانی بین 70 تا 80 درصد حماه های موفق به یک سیستم الکترونیکی از درون سازمان رخ می دهد و فقط 20 تا 30 درصد حملات از بیرون سازمان اتفاق می افتد. دلیل این است که ما سازمان را قابل اعتماد فرض میکنیم. واقعیت عملیاتی دنیا نشان می دهد این تفکر Trust Network (شامل شبکه ارتباطی، متخصصان امر، کاربران، نرم افزارها و ...)  ما اصلا درست نیست و یک دهه است که آن را در دنیا کنار گذاشته اند و میگویند که امنیت در دنیا به تنهایی کارایی ندارد. پس ما باید در یک دامین بالاتر به اسم اعتماد موضوعات خود را بررسی کنیم. امنون در دنیا سیستم های بسیاری را در بستر اینترنت ارائه می دهند در حالی که اینترنت اطلا امن نیست اما میشود سرویس را روی اینترنت به گونه ای ارائه کرد که قابل اعتماد باشد و برعکس در یک شبکه کاملا امن می توان یک سرویس غیر قابل اعتماد ارائه کرد.

آیا در سازمان های ما مدیران به هر دو مفهوم به قدر کافی می پردازند؟

در سطح مدیریتی و کارشناسی باید تفکر و برداشت درست از امنیت و اعتماد شکل بگیرد.البته مدیران هرگاه که می گویند امنیت سیستم تضمین شود در واقع واژه ای که به کار می برند امنیت است اما منظور آنها همان ایجاد اعتماد است. هر نفوذی که در یک سازمان اتفاق می افتد نشان می دهد که آن سازمان غیر قابل اعتماد است. تفاوت اعتماد و امنیت را ابتدا باید مهندسان ما درک کنند تا بتوان ترجمه درستی از خواسته صحیح مدیران بالاسری داشته باشند و در آن صورت است که می توانند با هزینه های فوق العاده پایین، یک سیستم قابل اعتماد ایجاد کنند که ارائه خدمات آن هم راحت تر باشد. در حقیقت اعتماد یعنی آرامش و اگر به یک سیستم بتوان اعتماد کرد آرامش به دست می آید.

به نظر من درک نادرست از تفاوت بین حوزه اعتماد و امنیت در سطح مدیران نیست بلکه در سطح کارشناسان است. مدیران خواسته خود را درست مطرح می کنند چون اعتماد پایه حقوقی دارد و مدیران ما آن را می فهمند و می شماسند ولی مهندسان ما این پایه ها را نمی شناسند و در نتیجه ترجمان غلطی از خواسته مدیران را در سامانه ها پیاده سازی می کنند و نتیجه آن تولید سیستم هایی است که امنیت آن عالی است و از تمام تست های امنیتی سربلند بیرون آمده اما چند سال بعد معلوم می شود که سیستم غیر قابل اعتماد است.

در یک سیستم به جز مدیران آن دیگرانی هم دکه پیاده سازی و پشتیبانی و... انجام میدهند یکسری دسترسی هایی دارند که می توانند و ممکن است که این سیستم را غیر قابل اعتماد می کند. در حوزه امنیت هیچ صد درصدی وجود ندارد ولی ما کار را آن قدر سخت می کنیم که administrator قبل از به نتیجه رسیدن حمله کننده بتواند آن را مهار کند و یا اینکه حمله کننده برای دسترسی به اطلاعات نیاز به تبانی های مختلف و هزینه های گزاف داشته باشد.

فکر میکنید که چه باید کرد؟

باید تفاوت بین امنیت و اعتماد برای فعالان حوزه امنیت کشور تبیین شود و فقط در پی تمهیدات تعریف شده حوزه امنیتی نباشیم که البته منکر آنها نمیشوم و باید حتما به آنها توجه شود اما کافی نیستند. باید همان اعتمادی که از طریق قوانین در زندگی واقعی جامعه جاری می شود در حوزه الکترونیکی هم وجود داشته باشد. شاید مدیران از واژه امنیت برای این درخواست خود استفاده کنند ولی منظور واقعی آنها همان اعتماد است اما چون این واژه را از خود ما که کارشناس امنیتی هستیم یاد گرفته اند با همین مفهوم هم آن را از ما طلب می کنند.

نقش اعتماد در تحقق دولت الکترونیک را چگونه می بینید؟

تحقق دولت الکترونیک هم فقط به شرط امکان پزیر است: درک درست از حوزه اعتماد و امنیت. امنیت به تنهایی برای این حوزه کافی نیست.تحقق اعتماد الزاما هزینه بردار نیست بلکه یک تفکر است که باید محقق شود. مدیران باید این را از کازشناسان مطالبه کنند و از مهندسان امنیت نه فقط امنیت نیاز بلکه اعتماد را هم بخواهند. جامعه ما در دنیای الکترونیک در سطح مردم برای توسعه خدمات الکترونیکی و کاهش هزینه های فیزیکی بیش از امنیت نیاز به اعتماد به خدمات الکترونیکی دارند.