دوشنبه ۳ دی ۱۴۰۳ , 23 Dec 2024
جالب است ۰
مصاحبه با مایکل واتیس درباره ریسک‌های مربوط به خودی‌های نفوذی

اين نفـوذگـــران خـودي

مايکل واتيس، این وکیل باسابقه، برای مدیران IT که تمایل دارند ریسک‌های مربوط به خودی‌های نفوذی را کاهش دهند، توصیه‌هایی دارد.

مايکل واتيس، این وکیل باسابقه، برای مدیران IT که تمایل دارند ریسک‌های مربوط به خودی‌های نفوذی را کاهش دهند، توصیه‌هایی دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مايکل واتيس يکي از کارشناسان شرکت حقوقي Steptoe & Johnson LLP است. وي روي اينترنت، تجارت الکترونيک و مسائل مربوط به تکنولوژي متمرکز است و در مورد مسائل مربوط به حريم خصوصي مشاوره‌هاي قانوني، حقوقي و استراتژيک ارائه مي‌دهد. با او صحبت کرديم تا در مورد جنبه‌هاي مختلف تهديدات مربوط به خودي‌هاي نفوذي و نقض قوانين، اطلاعات بيشتري کسب کنيم.

از ديدگاه شمـــا، مديران امنيتي و در کل، ديگر مديران براي کاهش ريسک مربوط به تهديدات خودي‌هاي نفوذي چه بايد بکنند؟
بايد با کارهاي بنيادين کار را آغاز کرد. نخست آنها بايد يک ارزيابي ريسک انجام دهند که به‌صورت سالانه به‌روز مي‌شود و نوع اطلاعاتي را بررسي مي‌کند که سازمان در اختيار دارد. اين شامل اطلاعات شخصي، مالي و پزشکي؛ بخش‌هايي از شبکه يا دفاتر که اين اطلاعات در آن نگهداري شده؛ نوع خطراتي که اين اطلاعات را تهديد مي‌کند و اقداماتي که هم‌اکنون براي کاهش اين‌گونه ريسک‌ها در حال انجام هستند، مي‌شود.

دوم اينکه بايد يک خط‌مشي امنيتي تدوين کنند که بر اساس ارزيابي ريسک نگارش مي‌شود، و آغازگر فعاليت‌هاي امنيتي اداري، فني و فيزيکي است و اينکه اين فعاليت‌ها هم تهديدات داخلي و هم خارجي را تحت پوشش قرار دهند.

سوم اينکه بايد اطمينان حاصل کنند که زمان نشت داده‌ها برنامه مناسبي براي تعاملات بعدي دارند، برنامه‌اي که براي به حداقل رساندن زيان‌ها، شناسايي عامل نفوذ، تعمير کردن آسيب‌پذيري و تطابق با قوانين و الزامات قانوني، مانند انتشار اعلاميه براي کساني که تحت‌تأثير قرارگرفته‌اند، تدوين‌شده باشد.

زماني که مدارک کافي دال بر انجام کار خطا در شبکه توسط کارمندان وجود داشته باشد، چه مراجع قانونياي وجود دارند؟
کارمنداني که در شبکه سازمان به فعاليت‌هاي مجرمانه دست مي‌زنند يا توسط خود سازمان و يا توسط دولت به مراجع قانوني فراخوانده مي‌شوند.

براي مثال کارمندي که به‌صورت عمدي به شبکه يک سازمان آسيب وارد مي‌کند تحت لايحه کلاه‌برداري و سوءاستفاده کامپيوتري (CFAA) تحت پيگرد قانوني قرار خواهدگرفت.

همچنين کارمندي که بدون اجازه به ارتباطات الکترونيکي دسترسي پيدا کند تا اطلاعات حساس را به سرقت ببرد، بسته به نوع دلايل و مدارک، تحت لايحه‌هاي CFAA يا لايحه حريم خصوصي ارتباطات الکترونيک (ECPA) تحت پيگرد قانوني قرار خواهدگرفت. همچنين بسته به نوع دلايل و مدارک، ديگر قوانين و لايحه‌هاي مرتبط با جرائم رايانه‌اي مي‌تواند موجب شود که فرد خاطي مورد پيگرد قانوني قرار گيرد.

آيا به نظر شما اينکه به کارمندان اجازه دهيم در مورد عواقب نقص امنيت داخلي سازمان اطلاعات کسب کنند و آگاه باشند، يک عامل بازدارنده است؟
بايد به اطلاع کارمندان رسانده شود که هرگونه فعاليت نامناسب روي شبکه شرکت يا استفاده از دارايي‌هاي شرکت مي‌تواند منجر به پيگرد قانوني، شامل اخراج، پرونده حقوقي، يا پرونده مجرمانه شود.

بازداشتن تهديد عوامل داخلي خيلي بهتر از دست‌وپنجه نرم‌کردن با يک نقض واقعي امنيت توسط عوامل داخلي است و هشدارهاي واضح مي‌تواند به تأثير بازدارنده باشند.

اين‌گونه هشدارها بايد در خط‌مشي سازمان لحاظ شده و طي جلسات تمريني متعددي هم به کارمندان منتقل شود.

مديران آي تي و امنيتي بايد چگونه واکنش نشان دهند اگر به يک تهديد داخلي يا نقض امنيت مشکوک باشند؟
اگر يک شرکت مشکوک باشد که يک کارمند در حال آسيب رساندن به شبکه سازمان است يا اطلاعات حساس را به سرقت مي‌برد يا در هر نوع فعاليت مجرمانه و غيرقانوني ديگري مشارکت دارد، مي‌توانيد کارهاي زيادي انجام دهيد.

نخست مي‌توانيد اطلاعات بيشتري را در مورد فعاليت‌هاي فرد موردنظر در شبکه جمع‌آوري کنيد. اين کارها مي‌تواند شامل بررسي لاگ‌هاي فرد روي شبکه، بازبيني ارتباطات فرد روي شبکه، پايش ارتباطات هم‌زمان با برقراري آنها، جست‌وجوي فيزيکي محل کار وي، بازبيني ويدئوهاي امنيتي تمام مناطقي که فرد در آن حضور داشته، بشود.

اين يکي از مزاياي داشتن خط‌مشي حريم خصوصي است، زيرا ديگر کارمندان مي‌دانند که ارتباطات آنها در شبکه مورد پايش قرارگرفته، محل کارشان ممکن است مورد جست‌وجو قرار گيرد، و اينکه کارمندان نبايد انتظار داشته باشند که حريم خصوصي آنها در محل کار رعايت شود و شرکت بايد حتماً تأييد اجازه کارمند را در مورد اين خط‌مشي حريم خصوصي داشته باشد.

واضح است که اين‌گونه بررسي‌ها بسيار حساس بوده و سرشار از ريسک هستند، بنابراين توصيه مي‌شود که قبل از انجام آنها حتماً با فرد متخصص مشورت صورت گيرد. اصلاً توصيه نمي‌شود که سازمان در اين مرحله با کارمندان روبه‌رو شود.

دوم اينکه سازمان مي‌تواند مورد را به مراجع اجراي قانون گزارش دهد. معمولاً FBI در اين زمينه بسيار متخصص است، ولي سرويس مخفي ايالات متحده و همچنين مراجع اجراي قانون محلي هم مي‌توانند گزينه‌هاي ديگر باشند. اين نهادها براي بررسي بيشتر ابزارهايي دارند که شرکت‌ها در اختيار ندارند، مانند حکم تفتيش و احضاريه‌ها يا ردگيري ارتباطات در اينترنت و جايي که کارمند اطلاعات را به آن فرستاده‌است.

اينکه مورد را به اين نهادها گزارش داد يا نه به شرايط پرونده بستگي دارد. گزارش به اين نهادها ممکن است عواقب سنگيني براي شرکت داشته باشد، پس اين کار را بدون مشورت انجام ندهيد.
مرجع: ماهنامه دیده‌بان فناوری- شماره اول

کد مطلب : 9957
https://aftana.ir/vdcb.sb9urhb9ziupr.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی