سازمان اقدام آشکار جهانی

راهنمای ایمنی و امنیت در فضای دیجیتال و شبکه‌های اجتماعی (بخش اول)

راهنمای ایمنی و امنیت در فضای دیجیتال و شبکه‌های اجتماعی (بخش اول)

راهنمای ایمنی و امنیت

این جزوه در موضوع اطلاعات فن‌آوری (آی‌تی)، متمرکز بر سوژه ایمنی و امنیت در فضای دیجیتال و شبکه‌های اجتماعی است. در نگاهی حداقلی، امیدواریم که این راهنما به شما کمک کند تا ردپای دیجیتال خودتان را بهتر بشناسید و در عین حال متوجه باشید دستگاه‌هایی که روزانه استفاده می‌کنید، چه تاثیری بر ایمنی و امنیت فردی و یا حرفه‌ای‌تان می‌گذارند.

در اطلاعات فن‌آوری (آی‌تی)، امنیت یعنی بتوان از اطلاعات دیجیتال و منابع آی‌تی در مقابله با خطرهای داخلی و خارجی، همچنین تهدیدهای تصادفی یا شرورانه دفاع کرد. این سیستم دفاعی شامل بر ردیابی، منع و پاسخ به تهدیدها با استفاده از تنظیمات ایمنی، نرم‌افزارهای کمکی و خدمات آی‌تی به سازمان‌ها یا افراد است.

توجه داشتید قرار نیست یک پاسخ برای همه‌چیز وجود داشته باشد، بلکه توصیه‌های اینجا بعضا و در حین عمل به کمک شما بیایند. چون درنهایت امر، امنیت یک فرآیند است تا اینکه یک خرید یا تولید باشد. حمله‌ها و تهدیدهای امنیت دیجیتال، همیشه بدنبال یافتن نقاط ضعف عملکردهای امنیتی شما هستند. برای همین هم برنامه‌های ایمنی و امنیت، متمرکز بر کاهش خطر چنین تهدیدها و حملاتی خواهند بود.

بررسی وضعیت کنونی دستگاه‌های دیجیتال، دارای‌ها و اطلاعات موجودتان

اولین گام در دفاع، بررسی وضعیت فعلی دارایی‌های دیجیتال و اطلاعات‌تان در فضای دیجیتال، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی است. (درحقیقت این کار شبیه به این است که امنیت خانه‌تان را بسنجید و از خودتان بپرسید که آیا در عقب و جلوی خانه را و همچنین پنجره‌های رو به خیابان را قفل کرده‌ام یا که نه.)

یک راه انجام این کار، از طریق یک ممیزی است. شما می‌توانید خودتان و خانواده یا دوست‌تان‌تان را (مثلا اطلاعات والدین، برادر و خواهر، همسرهایشان و غیره،) همچنین محل کار را نسبت به نفوذشان بر اطلاعات دیجیتال‌تان بسنجید و می‌توانید سوال‌هایی به همین سادگی را بپرسید:

–          فهرست دستگاه‌ها، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی که استفاده می‌کنم

–          چه کسی به این دستگاه‌ها، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی به جز خودم دسترسی دارد؟

–          این دستگاه‌ها، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی کجا هستند؟

–          چه زمان‌هایی (با چه نظمی) سراغ این دستگاه‌ها، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی می‌روم؟

–          چگونه از این دستگاه‌ها، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی استفاده می‌کنم؟

–          چرا از این دستگاه‌ها، شبکه‌های مجازی، فن‌آوری‌های ارتباطات و شبکه‌های اجتماعی استفاده می‌کنم یا آنها را دارم؟

این تمرین می‌تواند به شما کمک کند تا بتوانید فرآیند برنامه‌ریزی برای یک طرح دفاعی یا ایمنی / امنیتی را کارآمدتر و موثرتر انجام بدهید و در کنارش، زمان ورود دیجیال‌تان به داده‌ها و دستگاه‌هایتان را هم ثبت کنید.

معیارهای ارزیابی

معیارهای گوناگونی برای ارزیابی وضعیت‌ موجودتان وجود دارد. یک سنجش مرسوم ایمنی و امنیت، نظام امتیازدهی پیشنهادهای متخصص‌های آی‌تی است که نمونه‌ای از آن، در اینجا موجود است:

 

تهدیدها آسیب‌پذیری‌ها مدیریت خطرها

خطرها

مدیریت‌ها

آسیب‌پذیری‌ها

تهدیدها

اینکه چطور خطرها به سوءاستفاده از آسیب‌پذیری‌ها می‌پردازند تا صاحب دارایی‌ای بشوند یا اینکه آن دارایی را خراب کنند یا بهش آسیب بزنند

مواردی که بهشان دسترسی دارید یا به گونه‌ای در محدوده کنترل شما هستند و می‌توانند برای دفاع یا پیشگیری کمک کنند

هرگونه ضعف یا فضای باز در مراقبت از دارایی‌ها یا اطلاعات دیجیتال‌ شما

هرگونه ضعف یا فضای باز در مراقبت از دارایی‌ها یا اطلاعات دیجیتال‌ شما

 

این معیارها همانند ذره‌بین‌هایی برای مرور دستگاه‌های دیجیتال، دارایی‌ها و اطلاعات‌تان استفاده می‌شوند. به شکل‌های مختلفی مثل برگه‌های لیست یا فهرست می‌توان این مرور را انجام داد. هیچ راه درست و غلطی هم برای انجامش وجود ندارد.

هدف این سنجش استفاده از این اطلاعات است تا بتوانید تاکتیک‌های ردگیری، منع و پاسخ به خطرهای موجود را ابداع کنید. اینکه چگونه و یا کی از این امکان استفاده کنید، تنها به خود شما یا سازمان کاری‌تان بستگی دارد.

اول مرور دستگاه‌هایتان

امنیت فیزیکی دستگاه‌هایی که در آن اطلاعات دیجیتال روزمره‌تان را ذخیره می‌کنید به همان اندازه امنیت دستگاه‌هایتان اهمیت دارد. هنگامی که موضوع ایمنی و امنیت فردی و یا سازمانی‌تان را در نظر می‌گیرید، بایستی هر دو وضعیت فیزیکی و مجازی را بایستی مد نظر داشت.

در ابتدای این راهنما، از شما خواستیم تا فهرستی از دستگا‌ه‌هایی تهیه کنید که به شکل مرتب اطلاعات‌تان را در آنها ذخیره می‌کنید، همچنین از طریق آنها به اینترنت دسترسی پیدا می‌کند و با دیگران ارتباط برقرار می‌کنید. از این فهرست استفاده کنید تا تهدیدها، آسیب‌پذیری‌ها، مدیریت‌ها و خطرهای استفاده از این دستگاه‌ها را پیدا کنید.

این فهرست یک مثال (کلی) از یک مرور پایه‌ای دستگاه‌هایتان است:

تهدیدها

آسیب‌پذیری‌ها

مدیریت‌ها[1]*

خطرها

رایانه‌های خانه و محل کار

یورش، حریم خصوصی، سرقت

دسترسی، سرقت، تعداد مصرف‌کننده‌ها (خانواده و یا افرادی که در یک مکان زندگی می‌کنند)، اختلال در برق، ارتباط‌ها / شبکه‌ها، ارتباط تلفنی یا کابلی، نرم‌افزارها

امنیت / ایمنی خانه،

دسترسی به رایانه،

تنظیمات، نرم‌افزاد،

ابزارهای ملحق به دستگاه

حداقلی تا متوسط

لپ‌تاپ‌ها

سرقت، حریم خصوصی، سازمان‌های دولتی، مسافرت

ضبط، گم شدن، مشهود بودن، عمر باطری، وای‌فای، بلوتوث، خرابی / سقوط، دسترسی اینترنتی، نرم‌افزارها، امنیت فردی

تجهیزات بیشتر، تنظیم رایانه‌ای برای دسترسی، نرم‌افزار ثبت پسورد

متوسط

تبلت‌ها

سرقت، حریم خصوصی، سازمان‌های دولتی، مسافرت

ضبط، گم شدگی، مشهود بودن، عمر باطری، شبکه‌های اجتماعی، خرابی / سقوط، دسترسی اینترنتی، نرم‌افزارها، امنیت فردی

تجهیزات بیشتر، تنظیم رایانه‌ای برای دسترسی، نرم‌افزار ثبت پسورد

متوسط به بالا

تلفن‌های هوشمند

شرکت‌های ارتباطاتی، سرقت، حریم خصوصی، سازمان‌های دولتی، مسافرت

ضبط، گم شدن، مشهود بودن، عمر باطری، وای‌فای، بلوتوث، خرابی / سقوط، دسترسی اینترنتی، نرم‌افزارها، امنیت فردی

تجهیزات بیشتر، تنظیم رایانه‌ای برای دسترسی، نرم‌افزار ثبت پسورد

بالا تا متوسط

تلویزیون‌ها، ساعت‌ها، دستگاه‌های پخش موسیقی هوشمند و یا ابزارهای خانگی هوشمند

تولیدکنندگان، شبکه‌ها، سازمان‌های دولتی، حریم خصوصی، سرقت

ضبط، گم شدن، مشهود بودن، عمر باطری، وای‌فای، بلوتوث، خرابی / سقوط، دسترسی اینترنتی، نرم‌افزارها، امنیت فردی، داده‌های دستکاری شده، قوانین

تجهیزات بیشتر، تنظیم رایانه‌ای برای دسترسی، نرم‌افزار ثبت پسورد

نامعلوم

این جدول گام نخست برای شناسایی مهم‌ترین خطرها و تهدیدها برابر نوع استفاده، برنامه‌ریزی‌ها و محیط شما است. این مثالی دست بالا و تنها یک مثال است. تمرکز بر جزییات کلید این تمرین است و ممکن است خطرهای ناشناخته‌ای هم وجود داشته باشند. کاهش خطرها و افزایش آگاهی هدف اصلی این تمرین است.

سنجش خطرها

این تصویرسازی گرافیکی یک مدل مرسوم است که برای ارزیابی خطرها می‌تواند مورد استفاده قرار بگیرد. این جدول شدت خطر و تعدد روی دادن آن را در نظر می‌گیرد.

تفاوت بین آسیب‌پذیری‌ها و مدیریت‌ها می‌توان احتمال روی دادن این خطرها را کمتر یا بیشتر کند. در موضوع شدت خطرها، خطرها هر چیزی می‌توانند باشند که بایستی خودتان را در مقابلش محافظت کنید و این موضوع بستگی به وضعیت خودتان یا سازمان کاری‌تان دارد. با استفاده از جدول بالا، بگذارید به عنوان مثالی از خطرهای کلی، استفاده از تلفن همراه را بررسی کنیم… می‌توان مشاهده کرد ابزاری که مردم مرتب همراه‌شان جابه‌جا می‌کنند، آنها را بشدت آسیب‌پذیر می‌کند و آنها را در مقابل تعدد خطرها قرار می‌دهد و کنترل کمتری در مقابل امنیت فردی بهشان می‌دهد. این متفاوت از رایانه‌های خانگی یا کاری است که لایه افزوده امنیتی خانه/ اداره را نصب کرده‌اند. به عنوان مثال، در خانه یا اداره نیازمند باز کردن قفل‌ها یا کارت‌های الکترونیکی برای ورود به ساختمان هستید. همین می‌توان از تعدد یا شدت خطرها و آسیب‌پذیری‌ها بکاهد و همچنین مدیریت‌ها را بیشتر از پیش ممکن سازد.

امنیت و بازداری

عادت‌ها و رفتارهای افراد و سازمان‌ها در استفاده از ابزارهای دیجیتال برای ذخیره اطلاعات و ارتباط یافتن، پایه‌های شکل‌گیری نظامی دفاعی در مقابل ردیابی، بازداری و پاسخ به خطرها است. با استفاده از دانش و اطلاعاتی که در بالا ذکر شدند، حالا وقت آن رسیده تا تاکتیک‌ها و چگونگی‌ انجام کارها را مرور کنید. این به شما کمک می‌کند تا یک برنامه دفاعی شکل دهید که برابر نیازمندی‌های حقیقی فردی‌تان باشد و به شما کمک کند تا از خودتان، داده‌هایتان دفاع کنید و اگر اتفاقی رخ بدهد، به شما کمک کند تا در موارد اضطراری نقشه عمل داشته باشید.

فن‌آوری اطلاعات البته مرتب در حال تکامل هستند. بنابراین، مروری منظم را بایستی تکرار کنید و عکس‌العمل‌تان تنها نباید به پاسخ به یک موقعیت خاص محدود شود، بلکه در نگاهی حداقلی، بایستی سالی یک مرتبه این مرور را انجام بدهید. عادت کنید تا آپ‌دیت‌های سخت‌افزاری، آپ‌دیت‌های نرم‌افزاری، تغییر پسوردها، مرور ذخیره فایل‌ها و غیره را انجام بدهید.

در موضوع مرور و اینکه چگونه تاکتیک‌ها و چگونگی‌هایتان را انتخاب کنید، متمرکز بر این باشید که چه کسانی خواستار دسترسی به داده‌هایتان هستند و احتمالا دنبال چه می‌گردند و چگونه می‌توانند به این اطلاعات دسترسی پیدا کنند.

نکته‌های عمومی امنیتی

این روزها، بیشتر مردمان ابزارهایی را همراه‌شان دارند که خانه‌ای برای گستره‌ای از اطلاعات خصوصی‌ و روزمره‌شان هستند و این داده‌ها خواه بر روی تلفن‌های همراه ذخیره شده‌اند و خواه بر روی تبلت‌ها، مچ‌بندهای هوشمند، لپ‌تاپ‌ها و دیگر ابزارها قرار گرفته‌اند. این موضوع را مد نظر داشته باشید و حالا فرصت خوبی است تا نسبت به امنیت فردی آگاهی بیشتری پیدا کنید و نکته‌های عمومی و عملی امنیتی را تا حد ممکن فرا بگیرید:

–          همیشه آگاه به محیط اطراف‌تان باشید. یعنی: اغلب نگاهی به اطراف بیاندازید، متوجه باشید چه کسی و در چه شرایطی در محیط نزدیک به شما است، مراقب کسانی باشید که حواس‌شان جلب به شما است، برخی تا آنجا پیش می‌روند که متوجه دوربین‌های موجود در محیط و همچنین مکان‌های آشنا می‌شوند تا بعد بتوان به آنها ارجاع داد.

–          وقت‌هایی که می‌شود از دستگاه‌هایتان استفاده نکنید. یعنی: مشابه تغییر ایستگاه‌های رادیو وقتی رانندگی می‌کنید، وقتی راه می‌روید و از دستگاهی برای ارتباط یا دسترسی به اطلاعات‌تان استفاده می‌کنید، این از توانایی شما برای آگاهی به محیط اطراف‌تان می‌کاهد. در نتیجه هر زمان که ممکن است، در مکان‌هایی از دستگاه‌هایتان استفاده نکیند که به دیگران این فرصت را می‌دهد تا از جاهایی مثل پشت دیوار یا آن طرف یک پیچ از پشت‌سرتان بیایند و غافل‌گیرتان کنند.

–          جی‌پی‌اس دستگاه‌هایتان را خاموش کنید و فقط به وقت نیاز ازشان استفاده کنید. البته هنوز شرکت‌های فن‌آوری می‌توانند تلفن‌هایتان را ردگیری کنند، ولی با این کارتان، نظارت آنها را برای دسترسی به اطلاعات‌تان مقداری سخت‌تر کرده‌اید.

–          اگر نگران نظارت دولتی یا سازمانی هستید، ابزارهایتان را خاموش و باتری‌هایشان را جدا کنید. هرگز دستگاه‌هایتان را به مکان‌هایی نبرید که در آن حریم خصوصی برای حفظ امنیت‌تان حیاتی محسوب می‌شود.

–          بسیاری از تاکتیک‌های امنیتی می‌گویند همراه یک نفر مسافرت کنید تا اینکه تنها سفر بروید. اگر نظارت دولتی یا سازمانی در این میانه تبدیل به یک معزل بشود، حداقل مکان‌های توقف و جزییات سفرتان را به افراد معتمد بازگو کنید.

–          رفتارها و عادت‌ها را جدی بگیرید. نظارت سازمانی و دولتی تنها برای دسترسی به داده‌ها نیست. نظارت همچنین رفتارها و عادت‌ها را تحت نظر می‌گیرد. یعنی افزایش ناگهانی سنجش‌های امنیتی می‌تواند مشکل‌ساز باشد و نشانه‌ای از این باشد که فرد مورد نظر متفاوت از پیش شده است. به عنوان مثال، استفاده از وی‌پی‌ان‌ها در ایران، روسیه و چین محبوب است ولی در دیگر نقاط افزایش استفاده از وی‌پی‌ان‌ها می‌تواند هشداری به شرکت‌ها و سازمان‌های دولتی باشد.

 

______________________________________________________________________________________________
[1] مدیریت‌ها مواردی هستند که می‌توان در محدوده منابعی مشخص مدیریت‌شان کرد. فهرست کردن این موارد که می‌توان کنترل‌شان کرد یا «کنترل‌شدنی» هستند می‌تواند کمک به شناسایی سطوح خطرها و کارهای لازم برای کاهش این خطرها بکند. همچنین کمک می‌کند که بتوان به یک نظام دفاعی مناسب و یک استراتژی جلوگیری خوب رسید.