گر مؤسسۀ امنیت ملی امریکا گذرواژههایی ایمن به کار برده بود میتوانست لااقل آسیبهای ناشی از افشای اطلاعات توسط اسنودن را محدودتر سازد.
همه میدانند که گذرواژه را نباید با دیگران به اشتراک گذاشت. گذرواژهها برای حفاظت از اطلاعات شما و کارفرمای شماست و کارشان جلوگیری از دسترسی غیر و آسیبهای ناشی از آن است. به همین دلیل است که باید بر اطلاعات بانکداری خود گذرواژههای قدرتمند بگذارید.
پس اسنودن چگونه توانست به گذرواژههایی دست یابد که امکان دسترسی او به مدارک سری را فراهم کرد؟ بنا به گزارش رویترز، او این کار را به آسانترین شیوه انجام داد: درخواست کرد.
اما موضوع مفصلتر از اینهاست. کاری که اسنودن کرد این بود که به همکارانش گفت در مقام مدیر سیستم به گذرواژههای آنان نیاز دارد. همکاران وی نیز با اطلاع از این که وی شناخته شده است، بدون احساس ناامنی گذرواژههایشان را به او میدادند. اسنودن از این اعتماد برای حمله به تمام انواع فایلهای NSA استفاده کرد.
جدا از ظرافت کار اسنودن، این واقعیت که او توانست با اطلاعات ورودی سایرین به اطلاعات دست یابد خود مؤید خیلی چیزهاست. شاید مهمترین نکتهاش مستقیماً به شما و کارفرمایتان مربوط باشد.
اسنودن از نقطه ضعفی استفاده کرد که تقریباً در تمام شرکتها و سازمانها وجود دارد و تنها با اتخاذ سیاستهای امنیتی درست و آموزش مناسب میتوان بر آن غلبه کرد. این نقطه ضعف عبارت است از اعتماد به افراد نامناسب در زمانی نامناسب.
پرسش بسیار مشهود این است که این نکات به چه درد شما و سازمانتان میخورد. از این گذشته، به احتمال زیاد شما حجم عظیمی از اطلاعات محرمانۀ دولتی را در اختیار ندارید. اما احتمال آن هست که شرکتتان اطلاعات فراوانی در اختیار داشته باشد که برای رقیبتان، مجرمان، یا افراد دیگری با اهداف مشکوک باارزش تلقی شود. آیا واقعاً مایل اید در دنیای بیرون از سازمانتان همه از فهرست مشتریان، گزارشهای مالی، زنجیرۀ عرضه، یا جزییات تولیدتان اطلاع داشته باشند؟ احتمالاً خیر.
متأسفانه اگر کنترل گذرواژههای سازمانتان را از دست بدهید، در واقع همان اتفاقات بالا افتاده است. اما میتوانید مشکل را با چند کار بنیادی به حداقل برسانید و مطمئن شوید که کارکنانتان آموزش دیده اند و هر چند وقت یک بار بازآموزی میشوند. بعضی از کارهای که میتوانید انجام دهید عبارتاند از:
1. همه را ملزم به استفاده از گذرواژههایی کنید که حدس زدنشان دشوار باشد اما در این زمینه زیادهروی نکنید. اگر گذرواژههایی ایجاد کنید که بیش از حد دشوار باشند، هیچکس آنها را به یاد نخواهد سپرد. میدانید که بعد از آن چه اتفاقی میافتد- یادداشت روی برچسبهای زردِ روی مونیتورها. این کار به افزایش امنیت کمکی نمیکند.
2. اتفاقات ناشی از به اشتراک گذاشتن گذرواژهها را کنترل کنید. راحت میشود گفت که کارکنان هرگز نباید تحت هیچ شرایطی گذرواژههایشان را به دیگران اعلام کنند. اما در دنیای واقعی همه چیز این طور پیش نمیرود. بعضی وقتها مدیر سیستم واقعاً دلیل موجهی برای پرسیدن اطلاعات ورودی کاربران دارد.
3. وقتی این اتفاق میافتد، کاربر باید چه کار کند؟ به خیلی چیزها بستگی دارد اما لااقل باید بدانند که لازم است گذرواژه را فوراً عوض کنند. همچنین ممکن است لازم شود که درخواست تغییر گذرواژه در قالب فرمی متداول و ساده گزارش شود تا کسی که مسوول آن است، مثلاً مدیر آیتی، از این تغییر مطلع شود.
4. اعمال تغییر در گذرواژه را آسان کنید و فرایند گزارشدهی را خودکار کنید تا این نوع تغییرات همگی در سیستم ثبت و اعلام شود.
5. به نرم افزارهای پیچیده کنترل به منزلۀ ابزار شناسایی کاربر متکی نشوید. این کار ممکن است مفید باشد، اما هیچ چیز به اندازۀ پیروی از روشی خوب جوابگو نیست.
بنا بر اعلام سایت مرکز ماهر، برای دسترسی به اطلاعاتی که واقعاً مهم است استفاده از سیستم احراز هویت دو عاملی را الزامی کنید. بسیاری از شرکتها از کارت هوشمندی استفاده میکنند که هم کارتی برای دسترسی است و هم کارت شناسایی سازمانی. این روش مشکل سرقت اطلاعات ورودی را کاهش میدهد. یقیناً راههای پیچیدهتری نیز برای کنترل دسترسی وجود دارد و در موقعیتهای استثنایی باید از آنها استفاده کرد اما این روشها همیشه مناسب نیستند.
به یاد داشتن این نکته مهم است که حفظ امنیت دسترسی مستلزم همکاری کارکنان است. این بدان معنی است که باید به آنها بگویید که از چه چیزهایی باید حفاظت کرد، روشهای حفظ اطلاعات کدام است و در صورت تردید در ایمنی اطلاعات – حتی وقتی کسی در مورد قابل اعتماد بودنِ خود دلیلی قابل قبول میآورد- چه کار باید کرد.