اعتماد دیجیتال، واژه‌ای آشنا اما غریب

گسترش فناوری اطلاعات در حوزه‌های مختلف کشور موجب طرح مسائلی در بحث امنیت، اعتماد به افراد و همچنین سیستم‌ها را به‌وجود آورده که با وجود آشنا بودن این الفاظ، اجرای این مهم با کمی تأخیر و بعضاً احتیاط روبه‌رو شده است. 

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در سال‌های اخیر ایجاد حوزه اعتماد دیجیتال به موضوعی چالش‌برانگیز و پر‌اهمیت بدل شده و سئوالاتی کلیدی در این حوزه طرح کرده است. آیا افرادی که در شبکه سازمانی از اطلاعات موجود استفاده می‌کنند، واقعاً مورد تأیید هستند؟ آیا تجهیزات سخت‌افزاری موجود قطعاً از دارایی‌های سازمانی هستند و یا تجهیزی خارج از لیست ادوات شناخته‌شده در شبکه مشغول فعالیت است؟ و به‌طور‌کلی آیا معماری امنیتی موجود کافی است؟ 

بدین منظور و برای پاسخ به این سئوالات، بهتر است در معماری امنیتی سازمان خود کندوکاو بیشتری داشته باشیم. اصولاً در طراحی معماری امنیت دو دیدگاه مشخص وجود دارد، یکی امنیت محیط‌محور و دیگر امنیت برمبنای اطلاعات. در تعریف امنیت محیط‌محور از امنیت فیزیکی و حراست ورودی تا لایه‌های مختلف امنیت شبکه مثل دیواره‌های آتش، آنتی‌ویروس‌های سخت‌افزاری، سیستم‌های تشخیص نفوذ و همچنین دسترسی فیزیکی به اتاق‌های خاص پیش‌بینی و پیاده‌سازی می‌شود. 

در این نوع از نگاه با انجام مصاحبه‌های ویژه و حساسیت‌های بالا روی تردد درگاه‌های ورودی می‌توان اطمینان بالایی از حضور افراد مورد تأیید در سازمان داشت. این موضوع باعث ایجاد حس امنیت در افراد شده و همین امر از نگاه مهندسی اجتماعی و در ارتباط بین کارمندان به نقطه‌ای خطرناک برای اعتماد تبدیل خواهد شد. بدین معنا که این تصور اطمینان از افراد داخل مجموعه باعث ایجاد حس کاذب اعتماد شده و عمدتاً در گفتگوهای دوستانه و یا رفع مشکلات رایانه‌ای موجبات افشای اطلاعات و یا دریافت حق دسترسی به محتوای طبقه‌بندی شده را فراهم می‌سازد. 

از طرف دیگر کارکنان حوزه شبکه نیز باید همیشه از به‌روز بودن تجهیزات اطمینان داشته‌باشند و بتوانند با دانش بالایی از انواع حملات شناخته‌شده به سیستم جلوگیری به‌عمل‌آورند. حال با همه این تفاصیل اگر حمله موفقی به سیستم صورت‌پذیرد، عملاً نمی‌توان اطمینانی حاصل کرد که آیا تنها بخشی از اطلاعات افشا‌شده و یا تمامی آن؟!!! از طرف دیگر شناخت فرد یا افراد خاطی نیز بسیار دشوار خواهد‌بود، چراکه به‌دلیل اعتماد به‌وجود‌آمده در امنیت محیط‌محور و ضعف در شخصیت روانی انسان، ممکن است برخی اطلاعات به‌صورت ناخواسته و یا تحت شرایط اضطرار در اختیار افراد نامحرم نسبت به موضوع قرار گرفته باشد. در جدول زیر، خلاصه‌ای از آنچه که در این ارتباط گفته شد، آورده شده است: 

با تغییر دیدگاه از امنیت محیط‌محور به داشتن نگاهی امنیتی به اطلاعات، باید این‌گونه گفت که آنچه به‌عنوان مهم‌ترین دارایی یک سازمان محسوب می‌شود اطلاعات آن است؛ بنابراین حفظ و حراست از آن با اهمیت‌ترین ماموریتی خواهد بود که باید به آن توجه ویژه شود. در نگاه امنیت اطلاعات، فرض بر آن قرارمی‌گیرد که در‌حال‌حاضر، نامحرمان در سازمان حضور داشته و اساساً هیچ فردی قابل‌اعتماد نیست! و هرگونه حمله‌ای ممکن است به شبکه انجام‌شود. 

راهکار ارائه‌شده در این نگرش استفاده از زیرساخت کلید عمومی در ایجاد حوزه‌ای قابل‌اعتماد به سیستم نهفته است. بدین صورت که با احراز هویت دوعامله در تشخیص هویت، رمزنگاری اطلاعات و بازکردن آن تنها برای فرد یا افراد مجاز و همچنین مدیریت کلید و دسترسی به اطلاعات می‌توان این تضمین را به‌وجود‌آورد که حتی درصورت افشای بخشی از اطلاعات، تمامی دارایی در دسترس قرار‌نگرفته باشد. از دیگر مزیت‌های این روش در مشخص‌شدن فرد خاطی است، چراکه تنها وی قادر به بازخوانی محتوای رمز‌شده بوده و بر‌ این اساس مظنونان پرونده بسیار محدود و مشخص خواهند‌شد؛ بنابراین جدول فوق را بار دیگر برای این دیدگاه تکمیل می‌کنیم:
 

البته در این مقاله نگاه اصلی در سمت سازمان متمرکز شده‌بود. در نگاهی جامع‌تر می‌توان مشتریان سازمان، اعم از دولتی و یا خصوصی و حتی شهروند را نیز اضافه‌کرد که با‌ استفاده از بحث اعتماد به‌واسطه زیرساخت کلید عمومی می‌توان احراز هویت را به‌صورت دوطرفه انجام داد و یا صحت‌سنجی اسناد ارسالی توسط طرفین یک پیمان‌نامه را در هر سمت به شکل مستقل بررسی کرد. در این نگاه جامع، کانال ارتباطی نیز اهمیت ویژه‌ای پیدا خواهد کرد، چراکه یکی از حملات قابل‌انجام توسط هکرهای حرفه‌ای به‌واسطه بررسی نقل‌وانتقال اطلاعات شبکه صورت‌پذیرفته و عمدتاً آنها را موفق به دست‌یابی به اطلاعات ارزشمندی می‌کند. این موضوع نیز با استفاده از امکانات حوزه اعتماد قابل‌حل بوده و می‌توان کانال‌های امنی ایجاد کرد تا نفوذ به آن را غیرممکن ساخت. 

همان‌گونه که قبلاً نیز گفته شد، اطلاعات، باارزش‌ترین دارایی هر سازمانی است، خواه خصوصی و یا دولتی، چه کوچک و چه بزرگ. ازاین‌رو افشای اطلاعات محرمانه می‌تواند ضررهای جبران‌ناپذیری را به پیکره آن وارد کند. این ضربه در سطح یک شرکت خصوصی می‌تواند به از‌دست‌دادن اعتبار و حتی تجارت آن منتهی شود و برای یک سازمان دولتی می‌تواند تأثیرات نامطلوبی را در سطح روابط بین‌المللی پدیدار سازد. ازاین‌رو می‌توان ضمن داشتن نگاه حفاظت فیزیکی که البته به‌لحاظ روانی بسیار مؤثر است از دارایی اصلی که همانا اطلاعات سازمانی است با بهره‌گیری از ادوات و تجهیزات حوزه زیرساخت کلید عمومی و مهم‌تر از آن انجام معماری صحیح این حوزه حفاظت و پاسداری کرد.