سه نوع کارمند که برای پیشگیری از درز اطلاعات باید آنها را مهار کنید!

توضیحات: خبات کریمی; دسته: مقالات امنیت; 07 خرداد 1396 19:33

هنگامی که بحث جرائم سایبری به میان آید، بلافاصله ذهن ما به سمت تهدیدهای خارجی می رود اما برخلاف باورهای رایج، تهدیدهای داخلی از جمله کارکنان شرکت ها می توانند به همان اندازه تهدیدهای خارجی خطرناک باشند. در نوشتار پیش رو به معرفی سه نوع از کارکنان می پردازیم که می توانند باعث درز اطلاعات داخلی شرکت یا سازمان شما شوند، پدیده ای که دیگر برای ایرانیان هم آشنا است.

طبق یک پژوهش اجرا شده توسط موسسه امنیتی Haystax Technology،ا74 درصد شرکت ها نسبت به آسیب پذیر بودن در برابر تهدیدهای داخلی نگران هستند. همچنین 56 درصد فعالان امنیتی معتقد هستند تهدیدهای درون سازمانی ظرف سال های اخیر شدت یافته است.

با اینکه برخی از حملاتی که خود کارکنان شرکت ها مسبب آنها بوده اند ناشی از انگیزه های انتقام جویانه است، اما بسیاری دیگر از آنها ناشی از سهل انگاری و احتمالاً نادیده گرفتن هشدارها، بی توجهی به دستور العمل ها یا صرفاً خطاهای انسانی ساده هستند. بررسی و تحلیل رخدادهای درز اطلاعات متعدد پژوهشگران را به سه نوع از کارکنان هدایت کرده که پتانسیل فوق العاده بالایی در درز دادن اطلاعات دارند.

1. سهل انگار

هنگامی که به مقوله درز اطلاعات می رسیم، کارکنان سهل انگار می توانند به اندازه هکرها خسارت به بار بیاورند. نتایج بررسی بیش از 160 رخداد درز اطلاعات در بازه سال 2014 تا 2015 در انگلستان نشان می دهد اغلب آنها ناشی از خطاهای انسانی چون گم شدن تلفن همراه، بی دقتی در نوشتن آدرس نامه ها و حتی فروش فایل اداری حاوی اطلاعات حساس بوده اند!

به عنوان یک نمونه دیگر از نقش خطاهای انسانی در درز اطلاعات می توان به ماجرای درز اطلاعات بیمه شدگان در انگلستان اشاره کرد. در واقعه یاد شده یک کارمند سهواً و بدون اینکه هرگونه نیت خرابکارانه داشته باشد، اطلاعات حساس را بر روی حافظه ذخیره سازی شخصی خود بارگذاری کرده بود که در نهایت به درز اطلاعات شخصی صدها هزار نفر انجامید.

2. بی دقت یا سهل انگار؟

آیا آخرین هشدار امنیتی که بر روی نمایشگر دستگاه مورد استفاده شما ظاهر شد را به یاد دارید، آیا بلافاصله آن را نادیده گرفتید؟ نتایج یک پژوهش که در سال 2013 از سوی گوگل اجرا شد نشان داد 25 میلیون هشدار امنیتی نمایش داده شده از سوی مرورگر گوگل کروم بدون هیچ توجهی از سوی کاربران نادیده گرفته شده که معادل 70.2 درصد مواقع است، به عبارتی دیگر اغلب کاربران هشدارهای امنیتی را نادیده می گیرند اما جالب تر اینکه نادیده گرفتن هشدارها غالباً به دلیل فقدان دانش فنی است. به همین دلیل غول های دنیای فناوری حالا هشدارهای امنیتی را به زبان بسیار ساده تر به اطلاع کاربر می رسانند.

در آن سو در سال 2012 به دلیل تنظیم نادرست سیستم اتوماسیون یک شبکه درمانی بزرگ، اطلاعات پزشکی هزاران بیمار به صورت آنلاین برای همه قابل مشاهده بود.

3. خرابکار

متاسفانه به همان اندازه سهل انگاری، اقدامات خرابکارانه کارکنان نیز در بروز درز اطلاعات نقش دارد. در یک مورد مشهود مشخص شد یکی از کارکنان سابق یک اپراتور تلفن همراه بزرگ در انگلستان به مدت بیش از 6 سال اطلاعات خصوصی مشترکین را در اختیار افراد ثالث می گذاشت. در نمونه دیگری یکی از کارکنان یک شرکت بزرگ با هدف ضربه زدن به آن شرکت، اطلاعات خصوصی نزدیک به 100,000 تن از کارکنان آن را منتشر کرده بود.

اقدامات پیشگیرانه

طبق یک پژوهش که در سال 2016 اجرا شد، 93 درصد شرکت کنندگان رفتار انسان را بزرگ ترین تهدید برای حفاظت از اطلاعات می دانستند. با توجه به تاثیر زیان بار درز اطلاعات و خسارات ناشی از آن، طبیعی است شرکت ها به دنبال یافتن راه هایی برای کاستن از خطر وقوع آن هستند. هم زمان درزهای اطلاعاتی بزرگ باعث شکل گیری حساسیت در سازمان ها شده و بسیاری از آنها کاربران سهل انگار را توبیخ می کنند، چیزی که شاید در گذشته چندان به آن توجه نمی شد.

سطح آگاهی کارکنان را بالا ببرید

احتمالاً معقول ترین گام برای کارفرمایان اطمینان از آگاهی تمامی کارکنان نسبت به تاثیر احتمالی اقدامات آنها و چگونگی جلوگیری از درز ناخواسته اطلاعات است. همچنین بسیار مهم است به جای توصیه های مستیم، تمامی کارکنان در دوره های آموزشی مناسب حضور یابند.

نگه داری امن اطلاعات

به باور صاحب نظران امنیتی، رمزنگاری اطلاعات یکی از موثرترین راه های موجود برای مواجهه با درز اطلاعات است، چرا که در صورت وقوع درز اطلاعات، اطلاعات درز یافته به سادگی قابل استفاده نخواهد بود.

نظارت بر اطلاعات و رفتار کارکنان

نظارت دقیق بر اطلاعات سازمانی و دسترسی کنترل شده می تواند کارفرمایان را نسبت به رفتارهای مخاطره آمیز یا غیر معمول آگاه کند. همچنین قویاً توصیه می شود به کارکنان اجازه ندهید از دستگاه های شخصی چون لپ تاپ و گوشی موبایل برای کارهای سازمانی استفاده کنند.

مواجهه با درز اطلاعات

در صورت مواجهه با به سرقت رفتن اطلاعات از جمله از سوی کارکنان، ضمن دریافت کمک تخصصی از افراد خبره به منظور اطلاع از ابعاد درز اطلاعات، اقدامات قانونی و حقوقی را نیز در پیش بگیرید.