راه کارهای مقابله با تهدیدات
تهدیدات تلفن های همراه هوشمند
قسمت چهارم (پایانی)
در قسمت قبل (سوم) چند مورد از مهمترین گونه های تهدیدات تلفن های هوشمند از جمله: میزبانی بیگانگان برای دسترسی از راه دور، رشد فزآینده منابع و نرم افزارهای نامعتبر، عکاسی، فیلمبرداری، ضبط صدا، اینترنت همراه … به عنوان ابزاری برای کپی برداری و اسکن غیر مجاز و … مطرح گردید.
در قسمت پایانی این یادداشت به برخی از راه کارهای سازمانی برای مقابله با تهدیدات تلفن های هوشمند همراه اشاره می شود.
راه حل چیست ؟
حال که به مهمترین تهدیدات گوشی های تلفن همراه هوشمند اشاره گردید این سوال به ذهن متبادر می گردد :
چرا با وجود بهره برداری بیگانگان از لایه پنهان سیستم ها، همچنان از گوشی های تلفن همراه هوشمند، مانند یک دوست و دستیار صمیمی استفاده می شود؟
برخی از دلایل:
1- کاربر یا کاربران اطلاعات کافی از عملکرد واقعی و پنهان سیستم ها ندارند.
2- سرویس و خدمات ارائه شده در سیستم آنقدر زیاد، مهم یا ارزان است که کاربران از آفت های آن چشم پوشی می کنند.
3- عادت به استفاده از یک سیستم نوعی نگاه اعتماد زا ایجاد می کند.
4- استفاده از برخی سیستم ها در عرف بعنوان نوعی پرستیژ یا شخصیت والای اجتماعی محسوب می شود.
5- برخی کاربران نوعاً ریسک پذیری بالایی داشته و سریعاً تحت تأثیر تبلیغات قرار می گیرند.
6- شکل ظاهری سیستم ها اغلب موجب فریب کاربر از تحریک و کنکاش در مورد عملکرد پنهان می گردد.
7- عموم کاربران عیوب سیستم ها را در زیان های مستقیم یا کوتاه مدت جستجو می کنند و با واژه تهدید به معنای تخصصی آن بیگانه اند.
به راستی چه باید کرد؟ آیا باید قید استفاده از تلفن همراه را زد ؟ یا به ناچار با این شتاب بی وقفه تکنولوژی کنار آمد و وضعیت را هرگونه که پیش می آید پذیرفت؟
سئوالات فوق در واقع همان چالش بزرگی است که امروزه جهان با آن روبرو است.
تجربه نشان داده؛ ارائه راهکارهای مبتنی بر حذف صورت مسئله؛ عملاً در اجرا ناموفق است.
برای اینکه بتوانیم به درک بهتری از یک راه حل منطقی و کارآمد برسیم، ضرورت دارد کمی با سیستم مدیریت امنیت اطلاعات (ISMS)آشنا شویم.
سیستم مدیریت امنیت اطلاعات یا ISMS چیست؟
ISMS مخفف عبارت Information Security Management System به معناي سيستم مديريت امنيت اطلاعات است و استانداردهايي ( ISO 27001 ) را براي ايمن سازي فضاي تبادل اطلاعات در سازمان ها ارائه مي دهد. اين استانداردها شامل مجموعه اي از دستورالعمل هاست تا فضاي تبادل اطلاعات يک سازمان را با اجراي يک طرح مخصوص به آن سازمان ايمن نمايد.
این اقدامات شامل تهيه طرح ها و برنامه هاي امنيتي مورد نياز سازمان، تشکيلات مورد نياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان و نیز اجراي طرح ها و برنامه هاي امنيتي سازمان است.
بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات، هر دستگاه(سازمان، بايد مجموعه ایی از مستندات مديريت امنيت اطلاعات و ارتباطات خود را به شرح زير، تدوين نمايد:
- اهداف، راهبردها و سياست هاي امنيتي فضاي تبادل اطلاعات دستگاه
- طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
- طرح امنيت فضاي تبادل اطلاعات دستگاه
- طرح مقابله با حوادث امنيتي و ترميم خرابي هاي فضاي تبادل اطلاعات دستگاه
- برنامة آگاهي رساني امنيتي به پرسنل دستگاه
- برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
تشکيلات امنيت در این سیستم، متشکل از سه جزء اصلي به شرح زير است :
- در سطح سياستگذاري: کميته راهبري امنيت فضاي تبادل اطلاعات دستگاه
- در سطح مديريت اجرائي: مدير امنيت فضاي تبادل اطلاعات دستگاه
- در سطح فني: واحد پشتيباني امنيت فضاي تبادل اطلاعات دستگاه
فراموش نکنیم ISMS یک سیستم است و سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند.
در واقع سیستم مدیریت امنیت اطلاعات نیز؛ مجموعه ای از اجزائی است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت است، در کنار هم جمع شده اند.
نبود هر یک از این اجزا به معنای کاهش عملکرد این سیستم مدیریتی نیست بلکه به معنای عدم کارکرد آن است. دقیقا مشابه ماشینی که یک چرخ نداشته باشد یا سوخت نداشته باشد.
سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا است که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند.
می بایست یک معیار و پایه و اساس برای اینکار تعریف شود.
بعنوان مثال مدیریت ریسک ( Risk Management) باید تهدیدات و آفت هایی را که یک تلفن همراه هوشمند می تواند با خود به همراه داشته باشد را ارزیابی، تحلیل و کاهش دهد و این ممکن است حسب نوع تهدید، عوامل تهدید، منابع و دارایی ها، و میزان آسیب پذیری و ریسک در هر سازمان با توجه به سیاست ها و راهبردهای آن سازمان متفاوت باشد.
افق و چشم انداز امنیتی و حفاظت ارتباطات در یک سازمان؛ در قبال وضعیت امنیت اطلاعات و اسناد آن؛ مشخص می گردد، اما موارد ذیل هر چند کوتاه، می تواند توصیه هایی مؤثر و حداقلی جهت افزایش ضریب ایمنی اطلاعات در گوشی های تلفن همراه و محافظت از گوشی باشد:
- یک گذر واژه قوی؛ به عنوان قفل صفحه نمایش برای گوشی همراهتان بکار ببرید.
- از ورود تلفن همراه به مکانهای حساس؛ بخصوص جلسات مهم جلوگیری بعمل آید.
- ایجاد اختلالات الکترونیکی در نوع آنتن دهی مناطق مهم و حساس جهت عدم برقراری ارتباط یک اقدام پیشگیرانه است.
- پرهیز از خرید گوشیهای دست دوم و کارکرده یا دریافت گوشی های هدیه شده بصورت نامتعارف
- بررسی حفرههای سختافزاری و نرمافزاری گوشی، قبل و بعد از خرید توسط افراد مورد اعتماد و آشنا به مسائل تخصصی امنیتی با محوریت فناوری (این مورد بخصوص در خریدهای انبوه یا سازمانی و نیز مسئولین و مدیران ارشد ضروری است.)
- باتری تلفن همراه را بررسی نمایید و مطمئن شوید در آنها دستگاههای شنود جاسازی نشده باشند.
- تماسهای ورودی و خروجی در تلفن همراه خود را از طریق فهرست مکالماتی که شرکت مخابرات ارائه می دهد دائماً چک نمایید.
- از قرار دادن اطلاعات و اسناد دارای طبقه بندی روی گوشی همراه هوشمند و نیز ابرهای پردازشی و ذخیره سازی اطلاعات اکیداً خودداری کنید.
- از نقاط دسترسی (access point) نا امن جهت اتصال به اینترنت بپرهیزید. چنانچه این طرف و آن طرف از گوشی هوشمند استفاده می کنید؛ پس می بایست یا از نقطه دسترسی بیسیم قابل انتقال یا ارائه شده به وسیله گوشی تان یا یک نقطه امن، محافظت شده با گذرواژه استفاده نمایید. شبکه های باز می توانند کندویی از نرم افزارهای مخرب از آب در آیند.
- برنامههای کاربردی را تنها از منابع و وب سایتهای معتبر دریافت کرده و قبل از دانلود کردن، نظرات کاربران در مورد آنها، امتیازاتی که گرفتهاند و اطلاعاتی در مورد توسعه دهندهی مربوطه را بررسی کنید.
- به حق دسترسی که برنامه از شما درخواست میکند به دقت توجه کنید. یک برنامه نباید تقاضای حق دسترسی برای انجام کارهایی فراتر از لیست کارهایی که به صورت رسمی ارائه میدهد، داشته باشد.
- در مورد مبالغ نامعمول در صورتحساب موبایل خود دقیق و هوشیار باشید زیرا ممکن است نشاندهنده آلوده شدن موبایل شما به برنامههای خرابکار باشد.
- یک برنامه کاربردی امنیتی مطمئن را برای محافظت از گوشی خود نصب کنید. دارندگان گوشیهای اندروید در معرض خطر بیشتری هستند، زیرا همان طور که روز به روز محبوبیت این نوع گوشیها افزایش پیدا میکند، سازندگان بدافزار نیز علاقه بیشتری به هدف قرار دادن این سیستم عامل پیدا میکنند. لذا به سازمان ها توصیه میشود که اولاً به کاربران خود آموزش دهند تا گوشیهای خود را امن سازند و ثانیاً از شبکههای بیسیم امن استفاده کرده و سیاستهای مناسب کنترل و دسترسی را به کار گیرند.
- از در اختیار دادن گوشی های همراه خود به غیر؛ بدون شناسائی قبلی جدا خود داری نمائید.
- از فعال نمودن پیامک ها و باز کردن ایمیل های ناشناس بر روی گوشی خود پرهیز کنید.
- همیشه از بودن گوشی در نزد خود به صورت فیزیکی اطمینان پیدا کرده و آن را از جلوی چشمتان دور نسازید.
- گوشی را در مکان های نا امن و شلوغ همچون پیادره روها، متروها، و ایستگاه های اتوبوس یا داخل اتوبوس در دست نگیرید.
- در صورت ضروت مکالمه در معابر، همیشه گوشی را در سمت دیوار یا حائل خود بگیرید.
- مکالمات را در میان جمع و جمعیت بر اساس اهمیت و ضروت؛ بسیار کوتاه نمائید.
- مشخصات فنی گوشی خود را در جایی بجز داخل گوشی و در محل امنی نگهداری نمائید. تا در مواقع ضروری از آن استفاده کنید.
- هیچگاه در مکان و محیط های ناشناس گوشی همراه را نشان ندهید و تعریف از مدل آن نپردازید.
- در صورت ضرورت بیه همراه داشتن شماره تماس های مهم و اطلاعات حساس در گوشی همراه حتما از دو یا چند گوشی با چند خط استفاده نمائید و همه شماره ها را در گوشی واحدی نگه داری ننمائید.(همه تخم مرغ ها را در یک سبد نگه ندارید)
نتیجه گیری :
امنيت و مدیریت آن، یک تخصص است اما وقتي امنيت فرهنگ نباشد نمي توان آن را در جامعه، پیاده سازی نمود.
حال اگر این جامعه آماری یک مجموعه خاص؛ همچون نهادی دولتی یا حاکمیتی باشد؛ پایبندی به فرهنگ امنیتی آن نهاد، عزم جدی تری را می طلبد. متأسفانه تساهل و سهل انگاری در مراقبت، نگهداری و حمل گوشی های همراه يکي از اصلي ترين موانع؛ در پياده سازي استانداردهاي مديريت امنيت شده است.
باید توجه نمود نا امنی در همه عرصه ها امری همیشگی و مداوم است لذا ضرورت تداوم مقابله با نا امنی و ایجاد امنیت نیز امری بدیهی خواهد بود. لیکن از آنجا که برقراری امنیت نا محسوس است، همیشه خطر ایجاد انحراف و مسامحه در اجرای امنیت به عنوان آسیب پذیری امنیت و حفاظت وجود دارد.
لذا امنيت تداوم مي خواهد. حتي اگر موفق شويم در قدم اول؛ در يک سازمان، سيستم مديريت امنيت را پياده نمائيم، عدم تداوم آن هيچ آورده اي را از نظر امنيتي براي یک سازمان در بر نخواهد داشت. زیرا نا امني همچنان تداوم دارد و چون ناامني تداوم دارد بايستي امن سازي و تفکر امنيتی در همه شئون سازمان ها تداوم داشته باشد و از اعتبار مداوم و ساليانه برخوردار باشد.
از طرفی چون امنيت نا محسوس است. لذا وقتي يک پروژه امنيتي (از نوع مديريت امنيت) انجام مي شود؛ ممکن است مديريت و کارشناسان احساس کنند که هيچ اتفاق جديدي نيفتاده است و حتی گلايه نمایند چرا در یک امر بیهوده؛ هزينه شده است. در پاسخ به اين گلايه بايد فکرکرد: اگر روي امنيت کار نشود چه اتفاقي ممکن است بيفتد. پس بايد در هر زمان و مکان بخصوص در فضاي تبادل اطلاعات سازماني، به فکر امنيت بود.
در این خصوص عملکرد، آسیب پذیری ها، آفت ها و امنیت تلفن های همراه هوشمند و تهدیدات مربوط به آن را باید بیش از پیش مورد توجه کارکنان یک سازمان بخصوص مسئولان و مدیران ارشد آن قرار داد.
والسلام
برخی منابع
- استاندارد مدیریت امنیت اطلاعات (ISMS) و ISO 27001
- Dulaney ، Emmett (2008) ، “CompTIA Security+” – Publisher: Sybex
- اسکندری ، حمید (1390) ، ” دانستنی های پدافند غیرعامل ” – چاپ پنجم ، انتشارات : بوستان حمید
- باقری ، مسعود (1393) ، مقاله “ارائه الگوی تدوین نقشه راهبرد دفاع سایبری”
- موسوی ، سید ابراهیم (1393) ، مقاله ” ارائه مدل دفاع سایبری در سازمان ها با تأکید بر کاهش تهدیدات و آسیب پذیری های سایبری “
- فاوا نیوز : پایگاه خبری و اطلاع رسانی فناوری اطلاعات و ارتباطات
- سایت انجمن امنیت اطلاعات و ارتباطات
- سایت سازمان فناوری اطلاعات ایران – مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ( ماهر)
- سایت پلیس فتا