مشاهده فهرست مطالب شماره 15 پيش درآمدي بر مباحث امنيت ضرورت توجه به امنيت اطلاعات نويسنده: مهدي ميردامادي     استفاده "درست و مشروع" از اطلاعات "صحيح"، يكي از الزامات بسيار مهم براي دستيابي سازمان ها به اهداف سازماني است و قابليت اطمينان، يكپارچگي و در دسترس بودن اين اطلاعات، از مؤلفه­هاي بسيار مهم در كارآيي آنها هستند. مزاياي ذخيره­سازي ساختارمند اطلاعات به صورت الكترونيكي، كاربرد وسيع رايانه­ها در اهداف تجاري را ناگزير كرده و استفاده از شبكه هاي رايانه اي و بويژه اينترنت، تغييرات اساسي را در فرآيندهاي كسب و كار به وجود آورده و باعث شده كه حجم بسيار زيادي از اطلاعات تنها به اندازه يك سر انگشت با ما فاصله داشته باشند؛ و ناگفته پيداست كه در يك محيط پيچيده با اين ارتباطات وسيع، مخاطرات گسترده­اي سيستم هاي رايانه اي، سيستم هاي اطلاعاتي، و فعاليت ها و زيرساخت هاي حياتي وابسته به آنها را تهديد مي­كنند.     سير پيشرفت فناوري اطلاعات و ارتباطات و نوآوري هاي حاصل از آن موجب افزايش چشمگير بهره وري و پيدايش انواع جديدي از كالاها و خدمات شده است. با بهبود روزافزون قدرت، ظرفيت و قيمت تجهيزات ميكروالكترونيكي كه به رشد سالانه تقريباً 30 درصدي بهره وري اين تجهيزات نسبت به قيمت منجر شده، امكان استفاده از اين فناوري براي همه ميسر شده است.     امروزه ما در دنيايي زندگي مي كنيم كه پردازش اطلاعات در آن ارزان و هزينه هاي ارتباطات رو به كاهش است و جهان بطور فزاينده اي در تبادل و تعامل اطلاعات به سر مي برد.     اما فراهم شدن امكانات فني جديد تنها باعث پيدايش محصولات نوين و راه هاي بهتر و كارآمدتر براي انجام امور نشده، بلكه در كنار آن امكان سوء استفاده از فناوري را نيز افزايش داده است. فناوري اطلاعات و ارتباطات نيز همانند ساير فناوري ها حالت ابزاري دارد و مي­توان آن را به گونه اي مورد استفاده قرار داد كه براي همگان مفيد باشد و يا به نحوي از آن استفاده كرد كه نتايج خطرناكي به بار آورد.      سرعت انتقال در فناوري اطلاعات و ارتباطات چيزي در حدود ميكروثانيه است كه باعث مي­شود اطلاعات غيرقابل مشاهده، تحت كنترل نرم افزارهاي تهيه­شده توسط افراد، جابجا شود.     در چنين فضايي اعمال غيرقانوني و مخرب آن قدر سريع صورت مي گيرد كه مي­تواند غيرقابل شناسايي باشد، هرچند شناسايي آن غير ممكن نيست.      اكثر قريب به اتفاق سازمان ها در معرض انواع تهديدات داخلي و خارجي خرابكاران هستند؛ تهديداتي چون دستكاري اطلاعات مرجع و يا سرقت اطلاعات حياتي و سرمايه­هاي اطلاعاتي. در چنين شرايطي، عواملي كه مي­توانند از مزاياي سيستم ها به شمار روند (مثل سرعت و قابليت دسترسي بالا)، اگر تحت كنترل نباشند ممكن است باعث بروز آسيب پذيري شوند و سوء استفاده افراد بد نيت از آنها به نفوذ و خرابكاري، كلاهبرداري، و يا اخاذي بي انجامد. علاوه بر اين، مشكلات طبيعي و خطاهاي غيرعمدي كه توسط كاربران رايانه اي رخ مي­دهد، درصورت فقدان روال صحيح براي حفاظت از اطلاعات مي تواند نتايج مخربي به بار آورد.     در دنياي امروز، اعتبارات مالي بيشتر و بيشتر به صورت الكترونيكي جابجا مي­شوند، اطلاعات مختلف با حساسيتهاي كم و زياد از طريق شبكه­ها منتقل مي­شوند، سامانه­هاي رايانه­اي با سرعت بسيار زيادي پيچيده­تر و مرتبط­تر با دنياي بيروني مي­شوند، و ابزارهاي ساده نفوذ و بهره­برداري از آسيب­پذيري ها بيش از هر زمان ديگري در دسترس ماجراجويان دنياي مجازي قرار دارد؛ و هريك از اين عوامل خود به تنهايي دليل محكمي براي جدي گرفتن موضوع امنيت است.     مشكلات مربوط به امنيت سيستمهاي اطلاعاتي، فرآيندهاي وابسته به آنها و ذخيره و ارسال اطلاعات به شكل الكترونيكي مسائل تازه اي نيستند.     به عنوان مثال، سيستم هاي تجاريِ رايانه اي نزديك به پنجاه سال قدمت دارند و سيستم هاي بانكداري نيز انتقال الكترونيكي پول را تقريباً در همان زمان آغاز كرده­اند. در اين سيستم هاي تجاري، براي ارتكاب جرم از طريق نفوذ به شبكه هاي رايانه اي و سيستم هاي مالي انگيزه­هاي قوي وجود دارد.     انقلاب رايانه هاي شخصي كه در اواسط دهه 70 ميلادي شروع شد، موجب شده درحال حاضر رايانه هاي قدرتمند در دسترس صدها ميليون نفر باشند. علاوه بر آن اينترنت و ديگر انواع شبكه هاي شخصي، ارتباطات بين رايانه اي را ميان بسياري از مردم امكان پذير ساخته اند.      صدها ميليون رايانه براي پردازش هرگونه اطلاعات قابل تصوري به كار مي­روند كه با يك شبكه ارتباطي قوي به نام اينترنت به هم متصل شده­اند. اين شبكه موجب گسترش ارتباطات مردمي شده و همچنين امكان دسترسي آسان و نسبتاً ارزان به داده­هاي ديجيتالي و اسناد تجهيزات فني و محصولات درحال ساخت را به وجود آورده است. عمده كاربران شبكه هاي رايانه اي دهه 70 ميلادي را كارشناسان حرفه اي رايانه تشكيل مي­دادند؛ حال آنكه امروز بيشتر كاربران از افراد غيرحرفه اي هستند و لذا ممكن است عدم اطلاعات كافي آنان باعث شود كه از بسته هاي نرم افزاري ايمن استفاده مناسب نكنند و درنتيجه نفوذگران و تبهكاران رايانه اي صرف نظر از محل جغرافيايي خود و يا كاربر بتوانند به سيستم حمله و از آن سوء استفاده كنند.     در كنار همه اين مسائل، موضوع جرائم سازمان­يافته دنياي مجازي بر پيچيدگي كار دولت ها براي تأمين امنيت زيرساخت هاي حياتي خدمات عمومي مي­افزايد و تبعات سنگين سوء استفاده تبهكاران از منابع دولتي، اهميت پرداختن صحيح و مؤثر آنها به موضوع امنيت را دو چندان مي­كند.      آمارهاي جهاني از رخدادهاي پايگاه هاي وب دولتي و تجاري كه توسط ويروس ، كرم و حملات تخريب سرويس به وقوع پيوسته، آسيب پذيري اين سيستم ها را به خوبي به تصوير مي كشد. به عنوان مثال، طبق تخمين دستگاههاي امنيتي ايالات متحده (كه به عنوان پيشرو در حوزه فناوري هاي اطلاعات و ارتباطات شناخته مي­شود)، تنها در سال 2003 ضررهاي ناشي از خدشه­دار شدن امنيت سازمان ها بالغ بر 10 ميليارد دلار برآورد شده است.     كاربران و راهبران رايانه در كشورهاي توسعه­يافته دسترسي بسيار زيادي به اطلاعات كاربردي و تكنيكي دارند كه مي تواند در زمينه­هاي مختلف كاري به آنها كمك كند.      براي مثال كتابفروشي ها و كتابخانه هاي زيادي وجود دارند كه از رايانه استفاده مي كنند و لذا درخواست كمك از افراد هم­صنف ديگر به راحتي امكانپذير است. زماني كه يك رايانه يا شبكه دچار اشكال مي شود، مجموعه اي غني از كانال هاي اطلاعاتي وجود دارد كه اخبار و اطلاعات امنيتي از طريق آنها ارسال مي شود.     سازمانهايي كه از رايانه ها و شبكه ها استفاده مي كنند داراي مراكز كمك رساني هستند كه توسط متخصصين فني اداره مي شوند و قادر به جلوگيري از كاربرد سوء منابع سازماني و تأمين امنيت آنها هستند.     اما كاربران و راهبران فني در كشورهاي درحال توسعه معمولاً فاقد توانايي ارائه اين سطح از پشتيباني هستند. تعداد كاربران اندك است و به هشدارها و راه­حل هاي ارائه­شده نيز توجه نمي شود. سازمان هايي كه از رايانه استفاده مي كنند غالباً داراي بخش ستادي كوچكي هستند كه توانايي نظارت بر منابع فني داخلي خود را ندارند. بسياري از اوقات اين عدم توجه و ناتواني به دليل عدم وجود اطلاعات و دانش كافي درباره سيستم هاي رايانه اي و امنيت شبكه است و گروه هايي هم كه اصول اساسي را درك كرده اند، معمولاً در فهم چگونگي سازگارسازي راهكارهاي فني با شرايط متغير و غيرقابل پيش بينيِ اين محيط مشكل دارند.      از سوي ديگر فروشگاه ها و مراكز خدمات تعميرات رايانه معمولاً از مشكلاتي كه در ساير نقاط دنيا به وجود مي­آيند مطلع نيستند و درنتيجه كاربران و راهبران، به قربانيان توسعه اطلاعات مربوط به امنيت فناوري تبديل مي شوند. نقص امنيتي شبكه در همه كشورها اتفاق مي افتد و حتي ممكن است موجب تحت فشار قرار گرفتن دولتها نيز بشود؛ به غير از اين، بسياري از اين نقص ها معمولاً گزارش نمي شوند؛ چراكه اطلاع عموم مردم از آنها مي­تواند نتايج نامطلوبي براي سازمان ها به بار آورد.      دولت ها و سازمان هاي موجود در كشورهاي توسعه­يافته عموماً توانايي مقابله با چنين نقص هايي را دارند، ولي نتايج ناشي از بروز نقص ها و اشكالات امنيتي در كشورهاي درحال توسعه مي تواند بسيار وخيم تر از كشورهاي توسعه­يافته باشد.      در كنار همه اين موارد، بازارها، سازمانها و دولت هاي كشورهاي درحال توسعه به دليل عدم توجه به عواقب ناشي از نفوذهاي رايانه اي در حجم وسيع، عدم توانايي تحليل ضررهاي مالي ناشي از اين حملات، و نيز نداشتن تخمين مناسب از زمان لازم براي ترميم خسارات وارده (البته اگر اين خسارات قابل ترميم باشند)، معمولاً تمايل چنداني به رفع نقايص امنيتي ندارند.      بنابراين كسب آگاهي درخصوص امنيت فناوري اطلاعات، در وهله اول براي خوانندگاني در كشورهاي درحال توسعه نياز است؛ هرچند اصول امنيتي - مستقل از اينكه شما در يك كشور توسعه­يافته، درحال توسعه يا توسعه­نيافته باشيد - همواره يكسانند.     كشورهاي درحال توسعه بايد تأمين امنيت را به عنوان اولويت اصلي خود درنظر بگيرند، چراكه خطر فعاليت هاي تبهكارانه بيشتر متوجه مكان هايي است كه از كنترل كافي برخوردار نبوده و ناامن هستند.      تجارت الكترونيكي در كشورهايي كه امنيت فناوري اطلاعات در آنها كمتر تأمين شده، اهداف جذاب­تري براي حمله هستند. كشورهاي درحال توسعه بايد ظرفيت منابع انسانيِ آموزش­ديده و زيرساخت هاي فناوري خود را بهبود بخشند تا اهداف آساني براي حمله تبهكاران فضاي رايانه اي نباشند. در غير اين صورت، كدام سازمان كوچك يا متوسط است كه علي رغم به سرقت رفتن اطلاعات محرمانه مشتريان، فايل هاي تجاري و يا دستكاري شدن اطلاعات كليدي سازمان بتواند همچنان پابرجا بماند؟     با توجه به آنچه گفته شد، تلاش براي حفظ امنيت وظيفه هر فرد است. اين فرد مي تواند يك كاربر عادي، كارشناس فني، راهبر سيستم، راهبر شبكه يا و مدير يك سيستم يا شبكه در سازمان باشد.      اگر در منزل و يا محل كار خود از رايانه استفاده مي كنيد، مسووليت حفاظت از اطلاعات آن بر عهده شما است و بايد نحوه كاركردن ايمن با يك رايانه يا شبكه اي از رايانه هاي متصل به هم را بياموزيد.     توجه به اهميت امنيت باعث مي شود اقدامات ضروري و اطمينان­بخشي براي حفاظت از سيستم ها صورت پذيرد و استفاده از مجموعه­اي مؤثر از سياست هاي امنيتي، گام مهمي در جهت اطمينان از اين مساله است. در آن صورت در بيشتر موارد رايانه ها و اطلاعات شما از دسترسي هاي غيرمجاز ايمن خواهد بود و خواهيد توانست اطلاعات خود را با امنيت كافي با سايرين در شبكه مبادله كنيد.     در مورد نياز به تأمين امنيت ديدگاه هاي متفاوتي وجود دارد. گروهي كه در مورد داده­ها نگراني دارند، به اين مساله به عنوان يك موضوع در حوزه امنيت اطلاعات مي‏نگرند؛ كساني كه با مكانيزم هاي فنيِ ذخيره و ارسال اطلاعات سر و كار دارند، اين مبحث را از ديد امنيت سيستم و شبكه مي بينند؛ حال آن كه ديگراني كه به تجارت مشغول هستند، به آن به عنوان يك حوزه جديد در تجارت و عموماً تحت عنوان امنيت الكترونيكي نگاه مي­كنند.     با اين اوصاف، تدوين و اجراي تدابير امنيتي در قبال اين تهديدات گسترده، ضرورتي اجتناب ناپذير براي سازمان ها محسوب مي­شود. تدابير مناسب مي­توانند احتمال وقوع مخاطرات را به حداقل برسانند؛ درصورت وقوع آنها ميزان خسارتهاي وارده را در حد بسيار ناچيزي نگه دارند؛ و قابليت واكنش سريع و مؤثر به وجود آورند تا سازمان ها براي ترميم خسارت ها از فرآيندهاي از پيش تعيين­شده استفاده كنند، بهره وري و ايمني اطلاعات افزايش يابد و كسب و كار با خيالي آسوده­تر تداوم يابد.                     □ تعداد خوانندگان اين مطلب: 517        مشاهده فهرست مطالب شماره 15

	کليه حقوق محفوظ و متعلق به ماهنامه تحليلگران عصر اطلاعات است.