آیا اپلیکیشنی که برای کار استفاده می‌کنید یک تهدید امنیتی است؟

چند نفر از شما بازی Pokemon Go را روی گوشی همراه کاری‌تان دانلود کرده‌اید؟ 

اگر متعجب بودید که دپارتمان IT اجازه چنین کاری را به شما داده است، تعجب نکنید - به نظر می‌آید بسیاری از شرکت‌ها ذهنیتی درباره آنچه کارمندانشان انجام می‌دهند، ندارند.

برای مثال، وقتی شرکت امنیت سایبری Imperva از یک مشتری بانکی خود در مورد حدس او از تعداد اپلیکیشن‌هایی که کارمندانش استفاده می‌کنند، سؤال پرسید، عدد تخمینی شرکت بین ۷۵ تا ۱۰۰ بود. اما عدد آماری در حقیقت چیزی نزدیک ۸۰۰ بود.

چرا این موضوع اهمیت دارد

اپلیکیشن‌های ابری (Cloud-based apps) اغلب به دوربین، موقعیت جغرافیایی، داده‌ها و اطلاعات تماس موجود روی گوشی شما دسترسی دارند. بنابراین شما نمی‌دانید چه میزان از اطلاعات حساس شرکت ممکن است در معرض سرقت‌های زیرکانه آن‌ها باشد.

ما می‌توانیم کلید درِ پشتی شرکت خود را در اختیار هکرها، افراد شیاد و جاسوس‌ها قرار دهیم؛ مخصوصا اگر به‌طور ناشیانه‌ای از همان اطلاعات ورود به اپلیکیشن‌های داخلی (کاری) در ورود به اپلیکیشن‌های خارجی (غیر کاری) استفاده کنیم.

 Ryan Kalember نایب‌رئیس ارشد بخش استراتژی امنیت سایبری در ProofPoint گفت: « اگر ندانید کدام اپلیکیشن ثالث (third-party) به اطلاعات شما دسترسی دارد، این یک مشکل حیاتی در عملکرد صحیح است. »

شرکت‌های بزرگ تکنولوژی مانند LinkedIn، MySpace و Dropbox به دلیل سرقت‌های اطلاعاتی، مشکلات بزرگی را متحمل شده‌اند؛ به‌طوری‌که شرکت مطالعات امنیتی Ponemon میانگین هزینه هر نفوذ غیرقانونی را ۴ میلیون دلار ارزیابی کرده که معادل ۱۵۸ دلار به ازای هر رکورد سرقت‌شده است. از نظر متخصصان، عدم توجه کافی به اپلیکیشن‌های مورداستفاده در کار، نوعی مشارکت در بروز مشکل است.

Jon Huberman مدیر اجرایی ارشد شرکت اشتراک فایل Syncplicity گفت: «اگر یک تجارت برای کاربران خود ابزار لازم را فراهم نکند؛ خود آن‌ها این ابزار را پیدا می‌کنند، اما این یک مسئله بزرگ برای شرکت‌ها است- انتشار غیرقانونی اطلاعات مشکل بزرگی است.»

اسکلتی در گنجه

با وجود اینکه اپلیکیشن‌هایی مثل Slack، Evernote، WhatsApp و Dropbox می‌توانند -در داخل محل کار و بیرون از آنجا- در بهتر انجام دادن کار‌ها به ما کمک کنند؛ اما ما اغلب چیزی در مورد تائید این برنامه‌ها توسط بخش IT شرکت خود یا میزان اطلاعاتی که -به طور نوشته شده و نشده- در این فضای ابری به اشتراک می‌گذاریم، نمی‌دانیم.

Terry Ray مدیر ارشد استراتژی تولید Imperva گفت:

کارکنان اغلب درباره امنیت فکر نمی‌کنند یا نمی‌دانند اطلاعات حساس و غیر‌حساس کدام هستند.ریسک مربوط به نفوذ و نشر اطلاعات، به وسیله محیط ابری بسیار بدتر و توسعه‌پذیرتر می‌شود؛ اگرچه اپلیکیشن‌های ابری مانند Microsoft Office 365 به‌طور فزاینده محبوب و معروف می‌شوند چراکه این برنامه‌‌ها هزینه‌های IT را بسیار کاهش می‌دهند.»

یک نگرانی برای دپارتمان IT این است که این اپلیکیشن‌های ثالث ممکن است از پروتکل‌های امنیتی قوی استفاده نکرده باشند؛ زیرا هدف اصلی و اولیه در توسعه این برنامه‌ها جذب حداکثر مصرف‌کننده بوده است و خود دیتا ممکن است در کشوری دیگر ذخیره شود که با قوانین ضعیف‌تری در زمینه حفاظت اطلاعات اداره می‌شود.

Cesar Garlati مدیر ارشد استراتژی امنیتی در بنیاد Prpl، که یک نهاد غیرانتفاعی ارتقای استاندارد‌های نرم‌افزار کد باز است، می‌گوید:

 امنیت اپلیکیشن مانند اسکلت درون گنجه (اصطلاحی به معنای رازی قدیمی و ناخوشایند که فاش شدن آن به سود صاحبش نیست) است. این روزها نرم‌افزارها نوشته نمی‌شوند بلکه تجمیع (assembled) می‌شوند‌. برنامه‌نویس‌ها از کتابخانه‌ها استفاده می‌کنند، بنابراین شما نمی‌دانید چه میزان از کدهای معیوب ممکن است در یک برنامه پنهان باشند و امنیت آن را به خطر بیاندازند.

آوردن تجهیزات شخصی (‌مانند گوشی هوشمند، تبلت و لپ‌تاپ برای مصارف کاری) همواره یک تهدید برای مدل امنیتی بوده است. سازمان‌ها کنترل را از دست می‌دهند.

در حالی که شرکت‌ها برای محافظت از اطلاعات قابل‌شناسایی افراد مانند شماره‌های تأمین اجتماعی و کارت اعتباری‌، تلاش زیادی می‌کنند؛ اما اغلب به نظر می‌رسد این اطلاعات بی‌خطر و ساده هستند که به شیادان کمک می‌کنند یک ایمیل فیشینگ قابل‌باور‌تر یا یک درخواست پرداخت صورتحساب موجه‌تر بسازند.

سایر تهدیدها

بسیاری از اپلیکیشن‌ها همچنین مملو از کدهای مخرب (malware) هستند که تهدید دیگری برای امنیت شرکت محسوب می‌شود.

Kalember می‌گوید:

اغلب برنامه‌های موبایل آلوده به کدهای مخرب، از طریق فروش اطلاعات کاربران و فیشینگ اطلاعات بانکی درآمد کسب می‌کنند.

سازمان‌های بسیاری به وسیله این اپلیکیشن‌های فیشینگ (phishing) متضرر شده‌اند؛ اپلیکیشن‌هایی که خود را به شکل برنامه دیگری مثل Flash Player یا یک اپلیکیشن انجیل (Bible app) معرفی می‌کنند. این اتفاق زمانی رخ می‌دهد که شرکت‌ها به افراد شاغل در بخش مالی اجازه دسترسی به حساب‌های بانکی شرکت از طریق دستگاه‌های قابل‌حمل می‌دهند.

Huberman از Syncplicity اشاره می‌کند که اگر شرکتی درباره اپلیکیشن‌هایی که کارمندانش استفاده می‌کنند یا داده‌هایی که به اشتراک گذاشته می‌شوند، اطلاع نداشته باشد؛ این خود می‌تواند زمانی که کارمندان به شرکت دیگری منتقل می‌شوند مشکل‌ساز باشد.

او دراین‌باره می‌گوید: تمام اطلاعات همراه این کارمندان منتقل می‌شوند و احتمالا به دست شرکت‌های رقیب می‌افتند.»

همچنین برنامه‌های ایمیل بر پایه وب نیز می‌توانند خطرآفرین باشند.

Huberman چنین می‌گوید که پزشک‌ها قبل از اینکه محیط امنی برای به اشتراک‌گذاری اطلاعات بیماران در اختیار داشته باشند، از برنامه‌های ایمیل باز مانند Gmail که همراه با نقض آشکار قوانین حریم خصوصی اطلاعات است، استفاده می‌کنند.

جامعه پزشکی متوجه این موضوع شد؛ اما بحث آن‌ها این بود که برای نجات جان انسان‌ها نیازمند مشاوره با همکاران بودند. ما قادر بودیم ابزار درست را برای به اشتراک گذاشتن اطلاعات به‌طور امن و روی هر دستگاهی‌، بدون نقض هیچ قانونی در اختیار آن‌ها قرار دهیم.

بستن راه ‌های نفوذ‌

پس شرکت‌های تجاری در رابطه با این مسئله چه‌کاری باید انجام دهند؟

توصیه متخصصان امنیت بسیار محکم و استوار است و می‌توان آن را به چند بخش تقسیم کرد:

• ضروری کردن استفاده از یک برنامه مدیریت دستگاه موبایل که قادر است اپلیکیشن‌های نصب‌شده روی دستگاه‌های کاربران و چگونگی قوانین حریم خصوصی و امنیت آن‌ها را شناسایی کند
• مطمئن بودن از اینکه تمام دستگاه‌های مربوط به شرکت، رمز‌نگاری (encrypted) شده‌اند.
• شفاف‌سازی برای کارکنان درباره اینکه کدام دسته از اطلاعات را نمی‌توانند با اپلیکیشن‌های ثالث به اشتراک بگذارند و کدام مورد را می‌توانند
• نظارت بر برنامه‌ها و داده‌های روی شبکه شرکت که مورد دسترسی قرار می‌گیرند
• آموزش کارمندان برای شناختن رفتار خطرآفرین و تشخیص ایمیل‌های فیشینگ
• ابزار‌های موردنیاز کارمندان برای عملکرد بهتر را در اختیارشان قرار بدهیم تا نسبت به دانلود اپلیکیشن‌های تائید نشده احساس وسوسه نکنند

البته که هیچ یک از این‌ موارد آسان نیست و برای بسیاری از شرکت‌ها کار از کار گذشته است، با این حال هنوز هم دیر نشده؛ هر زمان که شرکت‌ها و سازمان‌ها احساس کنند که اطلاعات‌شان در معرض خطر است باید نسبت به امنیت اطلاعات اقدام کنند.