بخش نخست
ملاحظات و الزامات BYOD از منظر امنیت
کد مطلب: 6064
تاریخ انتشار : پنجشنبه ۲۴ مرداد ۱۳۹۲ ساعت ۱۰:۰۰
 
استفاده از وسائل شخصی برای انجام کارهای سازمانی (BODY) رو به افزایش است. تحقیق انجام گرفته توسط مؤسسه IDC در سال ۲۰۱۱، نشانگر آن است که در آمریکا ۴۰% از وسائل مورد استفاده برای انجام امور کاری در سازمان‌ها، تحت مالکیت شخصی افراد بوده است و این عدد به نسبت سال ۲۰۱۰ افزایش ۱۰ درصدی را نشان می‌دهد. همچنین تعداد واحد‌های فناوری اطلاعاتی که به ارایه خدمات به این دستگاه‌ها می‌پردازند در حال افزایش است، در حالی که نگرانی‌های ایشان در خصوص امنیت اطلاعات سازمانی، توانایی پشتیبانی و بارکاری اضافی ناشی از این امر کماکان حل نشده باقی مانده است
ملاحظات و الزامات BYOD از منظر امنیت
 
 
Share/Save/Bookmark
استفاده از وسائل شخصی برای انجام کارهای سازمانی (BODY) رو به افزایش است. تحقیق انجام گرفته توسط مؤسسه IDC در سال ۲۰۱۱، نشانگر آن است که در آمریکا ۴۰% از وسائل مورد استفاده برای انجام امور کاری در سازمان‌ها، تحت مالکیت شخصی افراد بوده است و این عدد به نسبت سال ۲۰۱۰ افزایش ۱۰ درصدی را نشان می‌دهد.
 
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، همچنین تعداد واحد‌های فناوری اطلاعاتی که به ارایه خدمات به این دستگاه‌ها می‌پردازند در حال افزایش است، در حالی که نگرانی‌های ایشان در خصوص امنیت اطلاعات سازمانی، توانایی پشتیبانی و بارکاری اضافی ناشی از این امر کماکان حل نشده باقی مانده است.

نتایج مطالعات شرکت Juniper Networks حاکی از آن است که تعداد دستگاه‌های BYOD تا سال ۲۰۱۴ به بیش از ۳۵۰ میلیون می‌رسد که عمدتاً به نرم افزارهای امنیتی نیز مجهز نخواهند بود. در نظرسنجی دیگری در انگلستان، ۵۳% از پاسخگویان معتقد بودند واحد فناوری اطلاعات با سرعت مناسبی پیشرفت‌های فناوری و نیازمندی‌های کسب و کار را تعقیب نمی‌کند و ۴۰% از پاسخگویان جهت رفع این مشکل بدون اطلاع یا اجازه واحد فناوری اطلاعات از دستگاه‌ها و نرم افزارهای خود استفاده می‌کردند. 

با توجه به روند افزایشی BYOD، به نظر نمی‌رسد بتوان با منع کردن استفاده از دستگاه‌های شخصی به مقابله با این پدیده پرداخت؛ زیرا تجربه نشان داده است هرگاه مدیریت استفاده از این دستگاه‌ها را منع نموده، استفاده غیرمجاز و "زیر زمینی" آن افزایش پیدا کرده است. در عین حال BYOD می‌تواند جنبه‌های مثبتی مانند افزایش بهره وری پرسنل -به دلیل راحتی استفاده از وسایلی که با سلیقه خود انتخاب نموده اند- و نتیجتاً افزایش رضایت پرسنل را نیز به همراه داشته باشد. 

مشابه این روند در سالهای دهه ۱۹۸۰ نیز با ظهور کامپیوتر‌های شخصی (PC) و تقاضای پرسنل برای جایگزین شدن آن‌ها با سیستم‌های قدیمی (عمدتاً مبتنی بر Main frame) رخ داده بود که نهایتاً منجر به تغییر رویکرد، معماری و ساختار فناوری اطلاعات بسیاری از کسب وکارها شد. بنابراین دور از ذهن نخواهد بود که ترکیب BYOD و رایانش ابری در آینده نزدیک مجدداً معماری فناوری اطلاعات در کسب و کار‌ها را تغییر دهد. 

اگرچه پدیده BYOD امر جدیدی نیست و از سال‌ها پیش بسیاری سازمان‌ها اجازه آوردن لپ تاپ شخصی به سازمان برای مقاصد کاری و یا خارج نمودن لپ تاپ کاری از محل سازمان را به پرسنل داده بودند. لیکن تعداد تقاضاها و گستردگی آن‌ها با ظهور و فراگیر شدن تلفن‌های هوشمند و تبلت‌ها، در کنار افزایش دورکاری در سازمان‌ها، به صورت قابل ملاحظه‌ای افزایش پیدا کرده است.  

بنابراین متخصصین، مدیران و سیاست‌گذاران فناوری اطلاعات باید نحوه استفاده از دستگاه‌های BYOD را مجدداً ارزیابی نمایند و به یک توازن جدید بین ترجیهات کاربران، نیازمندی‌های سازمان و الزامات امنیت اطلاعات برسند. این مقاله به بررسی ملاحظات امنیتی BYOD -خصوصاً مواردی که به افزایش سیار بودن (Mobility) دستگاه‌ها و تغییر زیرساخت و نحوه استفاده آن‌ها مرتبط است- می‌پردازد. 

ملاحظات امنیتی 
تلفن‌های هوشمند و سایر دستگاه‌های کاملاً سیار مانند تبلت‌ها روز به روز بیشتر فراگیر می‌شوند. نظر به دامنه وسیع انتخاب‌ها و عملکردهای گسترده و امکان بالقوه افزایش بهره وری، کاربران به صورت فزاینده‌ای استفاده از این وسایل در محل کار و برای مقاصد کاری را "حق" خود می‌دانند. البته این استفاده مسائلی متفاوت از رویکرد سنتی به BYOD (با استفاده از لپ تاپ) در حوزه امنیت ایجاد می‌نماید.

مشخص نمودن بستر ‌های تحت پشتیبانی
 برخلاف نوت بوک و لپ تاپ‌ها، دستگاه‌های کاملاً سیار (مانند تلفن‌های هوشمند و تبلت‌ها) از نظر سیستم عامل، سخت افزار و بستر متنوع‌تر هستند. این تفاوت و تنوع، اعمال قوانینی که تمامی دستگاه‌ها را پوشش دهد دشوار می‌سازد. خوشبختانه صنعت و بازار در حال همگرایی به سوی تعداد محدودتری بستر شامل Android، iOS، RIM و Windows Phone است. 
در مقایسه با تلفن‌های چندمنظوره قدیمی (پیش از تلفن‌های هوشمند) تعداد بسترهای مورد نیاز برای پشتیبانی توسط واحد فناوری اطلاعات کاهش یافته است. با این وجود لازم است بسترهایی که توسط سازمان برای استفاده به صورت
نتایج مطالعات شرکت Juniper Networks حاکی از آن است که تعداد دستگاه‌های BYOD تا سال ۲۰۱۴ به بیش از ۳۵۰ میلیون می‌رسد که عمدتاً به نرم افزارهای امنیتی نیز مجهز نخواهند بود.
BYOD پشتیبانی می‌گردد، مشخص گردد. قطعاً نیازی به مشخص نمودن دقیق مدل انواع دستگاه‌های تحت پشتیبانی نیست، لیکن ویژگی‌های مهم دستگاه‌ها مانند بستر یا سیستم عامل باید معین گردند. 

" لازم است این نکته مشخص شود که هیچ اجباری برای پشتیبانی از تمام انواع دستگاه‌ها در ابتدای کار وجود ندارد " 

البته رسیدن به فهرست دستگاه‌های تحت پشتیبانی می‌تواند بر اساس بازخورد اخذ شده از طرف کاربران نیز صورت پذیرد؛ ولی لازم است این نکته مشخص شود که هیچ اجباری برای پشتیبانی از تمام انواع دستگاه‌ها در ابتدای کار وجود ندارد و بهتر است سازمان با سیستم‌هایی که می‌تواند به نحو مناسب تری پشتیبانی نماید و ملاحظات و سیاست‌های خود را بهتر اعمال نماید، شروع کند. در گام بعدی اقدامات، برنامه‌ها و کنترل‌ها بر اساس بسترهای پشتیبانی شده باید توسعه داده شوند.
 

دستگاه‌های سرقت شده، جاگذاشته شده و دورانداخته شده 
موارد فراوانی از جاگذاشتن یا سرقت شدن دستگاه‌های سیاری که حاوی اطلاعات محرمانه بوده اند رخ داده است که به صورت بالقوه می‌توانسته است منجر به افشای اطلاعات یا از دست رفتن اطلاعات گردد. وقتی پرسنل از دستگاه‌های شخصی برای مقاصد کاری استفاده می‌کنند، قطعاً اطلاعات مربوط به سازمان بر روی این وسائل ذخیره می‌گردد؛ دسترسی به این تجهیزات، امکان دسترسی به اطلاعات و زیرساخت‌های حساس و محرمانه سازمان را توسط افراد ناشناس یا افراد غیر مجاز فراهم می‌کند.
 
دستگاه‌های کاملاً سیار مانند تلفن‌های هوشمند بسیار بیشتر از لپ تاپ‌ها در معرض جاگذاشته شدن و سرقت هستند. همچنین تعویض و دورانداختن این دستگاه‌ها نیز عموماً در بازه‌های زمانی کوتاه تری (بین شش ماه تا دوسال) به نسبت لپ تاپ‌ها (با دوره عمر سه تا پنج سال) رخ می‌دهد که مشکل پاک کردن اطلاعات دستگاه‌ها و غیرفعال کردن دسترسی‌های تعریف شده را بزرگتر می‌نماید. 

راهکارهایی که برای غلبه بر این مسأله وجود دارد شامل: قفل کردن درلحظه از راه دور، پاک کردن اطلاعات و ردیابی دستگاه است. از آنجا که عمده این دستگاه‌ها اطلاعات دسترسی (اعتبار) را در خود ذخیره و نگهداری می‌کنند، فسخ و حذف دسترسی به برنامه‌های کاربردی و سرویس‌ها نیز باید مد نظر قرار گیرد؛ خصوصاً که باید در نظر داشت دستگاه‌های به سرقت رفته یا گمشده، ممکن است هنوز بتوانند به شبکه سازمان وصل شوند.
 
" دستگاه‌های کاملاً سیار مانند تلفن‌های هوشمند بسیار بیشتر از لپ تاپ‌ها در معرض جاگذاشته شدن و سرقت هستند"
در صورتی که امکان اطمینان از پاک شدن تمامی اطلاعات دستگاه‌ها در هنگام از رده خارج کردن وجود ندارد، تخریب۹ سیستم عامل یا firmware به گونه ای که دستگاه دیگر امکان راه اندازی را نداشته باشد، نیز می‌تواند مد نظر قرار گیرد. 


توجه به انتقال اطلاعات 
در صورت استفاده از هرگونه خدماتی که امکان دسترسی از راه دور به منابع سازمان را فراهم می‌نماید، اطمینان از امنیت لایه انتقال ضرورت خواهد داشت و اکتفا به امنیت واسط نرم‌افزاری کفایت نمی‌کند. در مورد لپ تاپ‌ها (شکل قدیمی‌تر BYOD) استفاده از VPN به عنوان یک راه حل عمومی جهت غلبه بر این مسأله به کار گرفته می‌شد، اگرچه این راه حل می‌تواند برای دستگاه‌های سیار هم استفاده شود، میزان پشتیبانی از انواع VPNها در این تجهیزات کمتر بوده و بنابر مدل معماری ارتباطی مورد استفاده در این وسایل، حتی در صورت برقرار بودن VPN نمی‌توان اطمینان حاصل کرد که تمامی Appها از این کانال استفاده کنند. یکی از بهترین گزینه‌ها برای غلبه به این امر استفاده از پروتکل TLS در Appهای مورد استفاده است تا امکان رمزگذاری سرتاسری اطلاعات را فراهم نماید. 


احراز هویت ضمنی 
اگرچه عمده ابزارهای دسترسی راه دور بر اساس احرازهویت صریح (مثل نام کاربری و گذرواژه، روش‌های بیومتریک، توکن‌ها و ...) عمل می‌کنند، در دستگاه‌های سیار در برخی موارد از روش‌های ضمنی مانند EAP بر مبنای SIM یا GBA استفاده می‌گردد که هنگام دسترسی به اطلاعات نیاز به تعامل احراز هویتی با کاربر ندارد. همچنین با ذخیره اطلاعات روش‌های صریح احرازهویت (مانند گذرواژه) در دستگاه‌های سیار، عملاً این روش‌های صریح تبدیل به روش‌های ضمنی می‌گردند. 

مسأله ای که به این ترتیب رخ می‌دهد این است که کاربر دستگاه تلفن خود را در اختیار دیگری قرار دهد، بدون این که فکر کند این امر منجر به دسترسی شخص دیگر به برنامه‌های کاربردی و اطلاعات سازمان نیز خواهد شد. لذا به جهت حجم بالای اطلاعاتی که از طریق احراز هویت ضمنی می‌تواند در دسترس قرار گیرد، لازم است اهمیت فعال سازی قفل صفحه و استفاده از رمزهای عبور در تجهیزات سیار مورد تأکید قرار گیرد. 


کنترل بر تجهیزات کاربران و حفظ حریم خصوصی 
خارج از مرزهای سازمان کاربران کنترل کاملی بر تجهیزات خود دارند، آنها می‌توانند Appهای مورد نظر خود را نصب کنند و سایت‌های مورد علاقه خود را مرور نمایند، در صورتی که این امر ممکن است با سیاست‌های
با توجه به روند افزایشی BYOD، به نظر نمی‌رسد بتوان با منع کردن استفاده از دستگاه‌های شخصی به مقابله با این پدیده پرداخت؛ زیرا تجربه نشان داده است هرگاه مدیریت استفاده از این دستگاه‌ها را منع نموده، استفاده غیرمجاز و "زیر زمینی" آن افزایش پیدا کرده است. در عین حال BYOD می‌تواند جنبه‌های مثبتی مانند افزایش بهره وری پرسنل -به دلیل راحتی استفاده از وسایلی که با سلیقه خود انتخاب نموده اند- و نتیجتاً افزایش رضایت پرسنل را نیز به همراه داشته باشد.
امنیتی سازمان در تضاد باشد. در عین حال کاربران، خود در مورد سطح مناسب محافظت از دستگاه و تجهیزات متعلق به خود تصمیم گیری می‌نمایند، به عنوان مثال ممکن است یک کاربر تمایلی به استفاده از رمزعبور برای از قفل خارج کردن دستگاه خود نداشته باشد یا رمز عبور کوتاه و ساده‌ای به کار گیرد. 

" لازم است اهمیت فعال سازی قفل صفحه و استفاده از رمزهای عبور در تجهیزات سیار مورد تأکید قرار گیرد" 

به همین دلیل بسیاری سازمان‌ها تنها درصورتی امکان استفاده از تجهیزات BYOD را به کاربران می‌دهند که سازمان کنترل دستگاه را به دست گرفته باشد و بتواند سیاست‌های خود را به صورت کامل اعمال نماید؛ این امر عموماً از طریق استفاده از سیستم‌های مدیریت تجهیزات سیار (MDM) که شامل یک Agent بر روی تجهیز کاربران و نرم افزار متمرکز مدیریت می‌شود، انجام می‌گیرد.
 

این امر در کنار مزایای مدیریتی و امنیتی فراوانی که دارد، دو مسأله مهم ایجاد می‌کند:
۱. آزادی عمل کاربر در نصب نرم افزارها، مرور وب سایت‌ها و ... کاهش یافته و نتیجتاً احساس و تجربه کاربر از مالکیت دستگاه به شکل مطلوب محقق نخواهد شد.

 ۲.به دلیل امکان نظارت و کنترل سازمان بر دستگاه‌های کاربران ممکن است حریم خصوصی کاربران از طریق افشای محتویات خصوصی ذخیره شده و یا فعالیت‌های کاربران (تماس‌های تلفنی، محل‌های تردد و ...) به خطر افتد.

 همچنین ممکن است ترجیحات کاربر و سازمان در برخورد با شرایط پیش آمده متفاوت باشد، مثلاً ممکن است هنگامی که یک تلفن هوشمند در محل شناخته شده‌ای جاگذاشته شود، سازمان به دلیل حساسیت‌های خود بلافاصله بخواهد کل اطلاعات را معدوم نماید، ولی کاربر (مالک دستگاه) ترجیح دهد اطلاعات شخصی خود را –با پذیرش خطر افشای برخی از آن ها- حفظ نماید.


محفظه بندی و دستگاه‌های دوشخصیتی 
راه حلی که می‌تواند پاسخی مؤثر به بسیاری از ملاحظلات فوق باشد اخیراً در صنعت تجهیزات سیار با نام‌های مختلفی ارایه شده است؛ این راه حل بر مجزا کردن محیط و بستر پردازش اطلاعات سازمانی از محیط و بستر پردازش اطلاعات شخصی در یک دستگاه متمرکز است. این فناوری که شباهت هایی به مجازی سازی در رایانه‌ها دارد، یک محیط (محفظه) مجازی پردازشی کاملاً مجزا درون یک دستگاه ایجاد می‌کند که تحت مدیریت سازمان قرار می‌گیرد و مالک دستگاه در آن یک کاربر به شمار می‌رود؛ در عین حال خارج از این محیط مالک دستگاه آزادی عمل برای استفاده از تمام قابلیت‌های دستگاه خود خواهد داشت و خطری نیز از جانب سازمان متوجه حریم خصوصی وی نخواهد شد. 

این فناوری‌ها عموماً علاوه بر برقراری سیاست‌های امنیتی سازمان در محیط کنترل شده، امکان ذخیره محتویات مربوط به سازمان به صورت رمزگذاری شده و برقرای ارتباط از طریق کانال امن را نیز فراهم می‌سازند. 

به این ترتیب رخ می‌دهد این است که کاربر دستگاه تلفن خود را در اختیار دیگری قرار دهد، بدون این که فکر کند این امر منجر به دسترسی شخص دیگر به برنامه‌های کاربردی و اطلاعات سازمان نیز خواهد شد. لذا به جهت حجم بالای اطلاعاتی که از طریق احراز هویت ضمنی می‌تواند در دسترس قرار گیرد، لازم است اهمیت فعال سازی قفل صفحه و استفاده از رمزهای عبور در تجهیزات سیار مورد تأکید قرار گیرد. 



کنترل بر تجهیزات کاربران و حفظ حریم خصوصی 
خارج از مرزهای سازمان کاربران کنترل کاملی بر تجهیزات خود دارند، آنها می‌توانند Appهای مورد نظر خود را نصب کنند و سایت‌های مورد علاقه خود را مرور نمایند، در صورتی که این امر ممکن است با سیاست‌های امنیتی سازمان در تضاد باشد. در عین حال کاربران، خود در مورد سطح مناسب محافظت از دستگاه و تجهیزات متعلق به خود تصمیم گیری می‌نمایند، به عنوان مثال ممکن است یک کاربر تمایلی به استفاده از رمزعبور برای از قفل خارج کردن دستگاه خود نداشته باشد یا رمز عبور کوتاه و ساده‌ای به کار گیرد.
" لازم است اهمیت فعال سازی قفل صفحه و استفاده از رمزهای عبور در تجهیزات سیار مورد تأکید قرار گیرد"
 
به همین دلیل بسیاری سازمان‌ها تنها درصورتی امکان استفاده از تجهیزات BYOD را به کاربران می‌دهند که سازمان کنترل دستگاه را به دست گرفته باشد و بتواند سیاست‌های خود را به صورت کامل اعمال نماید؛ این امر عموماً از طریق استفاده از سیستم‌های مدیریت تجهیزات سیار (MDM) که شامل یک Agent بر روی تجهیز کاربران و نرم افزار متمرکز مدیریت می‌شود، انجام می‌گیرد. 


این امر در کنار مزایای مدیریتی و امنیتی فراوانی که دارد، دو مسأله مهم ایجاد می‌کند:
۱. آزادی عمل کاربر در نصب نرم افزارها، مرور وب سایت‌ها و ... کاهش یافته و نتیجتاً احساس و تجربه کاربر از مالکیت دستگاه به شکل مطلوب محقق نخواهد شد.

 ۲. به دلیل امکان نظارت و کنترل سازمان بر دستگاه‌های کاربران ممکن است حریم خصوصی کاربران از طریق افشای محتویات خصوصی ذخیره شده و یا فعالیت‌های کاربران (تماس‌های تلفنی، محل‌های تردد و ...) به خطر افتد؛ همچنین ممکن است ترجیحات کاربر و سازمان در برخورد با شرایط پیش آمده متفاوت باشد، مثلاً ممکن است هنگامی که یک تلفن هوشمند در محل شناخته شده‌ای جاگذاشته شود، سازمان به دلیل حساسیت‌های خود بلافاصله بخواهد کل اطلاعات را معدوم نماید، ولی کاربر (مالک دستگاه) ترجیح دهد اطلاعات شخصی خود را –با پذیرش خطر افشای برخی از آن ها- حفظ نماید.


محفظه بندی و دستگاه‌های دوشخصیتی
راه حلی که می‌تواند پاسخی مؤثر به بسیاری از ملاحظلات فوق باشد اخیراً در صنعت تجهیزات سیار با نام‌های مختلفی ارایه شده است؛ این راه حل بر مجزا کردن محیط و بستر پردازش اطلاعات سازمانی از محیط و بستر پردازش اطلاعات شخصی در یک دستگاه متمرکز است.
 
این فناوری که شباهت هایی به مجازی سازی در رایانه‌ها دارد، یک محیط (محفظه) مجازی پردازشی کاملاً مجزا درون یک دستگاه ایجاد می‌کند که تحت مدیریت سازمان قرار می‌گیرد و مالک دستگاه در آن یک کاربر به شمار می‌رود؛ در عین حال خارج از این محیط مالک دستگاه آزادی عمل برای استفاده از تمام قابلیت‌های دستگاه خود خواهد داشت و خطری نیز از جانب سازمان متوجه حریم خصوصی وی نخواهد شد. 

این فناوری‌ها عموماً علاوه بر برقراری سیاست‌های امنیتی سازمان در محیط کنترل شده، امکان ذخیره محتویات مربوط به سازمان به صورت رمزگذاری شده و برقرای ارتباط از طریق کانال امن را نیز فراهم می‌سازند. 

مرجع : اینفوامن