بحثى پیرامون دغدغه هاى امنیتى موجود در رابطه با فناورى تبادل بى سیم
دو یا سه سال پیش، اگر یک رایانه قابل حمل در محوطه یک دانشکده یا آموزشگاه دزدیده مى شد، تنها نگرانى صاحب آن این بود که چطور پول نسبتاً هنگفت مورد نیاز براى خرید یک رایانه جایگزین را تهیه کند. امروزه اما نخستین دغدغه او این است که «چه داده یا اطلاعات حساسى ممکن است دزدیده شده باشد؟»
رایانه هاى قابل حمل در صورت گم شدن یا دزدیده شدن مى توانند امکان دسترسى به اطلاعاتى از قبیل شماره هاى تلفن یا موبایل، شماره هاى مخصوص کارت هاى اعتبارى، یا رمزهاى عبور انواع سیستم هاى خودکار را در اختیار یابنده یا دزد مورد نظر قرار دهد. دانشجویان جوان یا کارکنان یک موسسه آموزشى ممکن است اطلاع چندانى از اهمیت بحث حراست از داده هاى اینچنینى نداشته باشند یا اصولاً اهمیت چندانى به آن ندهند. فراتر از بحث دزدهاى اطلاعات رایانه اى، مسئولان موسسات آموزشى و دانشگاه ها در آمریکا از توانایى هاى هکرها یا حمله کنندگان به سیستم هاى الکترونیکى رایانه اى نیز در هراس اند. این هکرها با توسل به شیوه هاى مخصوص خود قادرند رایانه هاى یک آموزشگاه را دچار اختلال کرده و با فرستادن هرزنامه هاى الکترونیکى یا تهاجم به منابع خدماتى شبکه (Web servers) ارتباطات برقرار شده در قالب شبکه را به طور کلى معیوب سازند.
• خطر در کمین است
به موازات نزدیک شدن به آغاز دوره جدید تحصیلات تکمیلى در آمریکا گردانندگان دانشکده ها، آموزشگاه ها و دانشگاه ها بیشتر به اهمیت و لزوم حراست از اطلاعات محرمانه موجود پیرامون اساتید دانشگاه، کارکنان حوزه هاى ستادى، دانشجویان و حامیان مالى موسسات آموزشى مربوطه پى مى برند. براساس گزارش منتشر شده از سوى پژوهشگران «موسسه پشتیبانى از حقوق خصوصى افراد» (PRC) بیش از ۵۰ میلیون نفر که بیشتر آنها را دانشجویان موسسات آموزشى مختلف تشکیل مى دهند از شش ماه پیش تاکنون در معرض دستبرد سارقان اطلاعات رایانه اى قرار گرفته اند. این در حالى است که ChoicePoint Inc. به عنوان متولى ذخیره سازى آمار مالى کاربران به تازگى فاش ساخت که دزدها به اطلاعات رایانه اى حدود ۱۴۵ هزار نفر دستبرد زده اند. با اعلام این خبر، دور تازه اى از افشاگرى هاى مشابه در ایالات متحده آغاز شده و نگاه هاى زیادى به بحث تضمین امنیت پایگاه هاى مسئول ارائه داده هاى تجارى، حکومتى و سایر انواع داده ها دوخته شده است.
در هفت ماه گذشته، بیش از ۳۰ موسسه آموزشى و دانشگاه در آمریکا خبر از نفوذ سارقان به منابع اطلاعات رایانه اى خود داده اند. دزدى داده ها و ایجاد اختلال در عملکرد سیستم هاى الکترونیکى رایانه اى در زمره مواردى بوده است که گردانندگان کالج بوستون، نورث وسترن، کارنگى ملون، پوردو و استانفورد از وقوع آن در حوزه فعالیت ستادى خویش خبر داده اند.
• ارزیابى دقیق از خطر
مسئولان موسسات آموزشى مختلف در سراسر ایالات متحده هم اینک مشغول ارزیابى دقیق خطرپذیرى شبکه هاى رایانه اى خویش هستند تا ببینند کدامین اقدامات امنیتى را باید براى مقابله با تهدیدات جارى و بالقوه در این حوزه انجام دهند، ضمن اینکه آنها قصد دارند به این پرسش مهم نیز پاسخ دهند که آیا سیاست هاى موجود در زمینه حراست از داده هاى محرمانه اساساً به مورد اجرا گذاشته مى شوند یا خیر؟ «رادنى پترسن» کارشناس آمریکایى فعال در زمینه داده هاى رایانه اى ضمن بیان این مطلب بر اهمیت ترویج استفاده از کامپیوتر در سطوح عالیه آموزشى، البته با رعایت نکات ایمنى لازم در رابطه با پشتیبانى داده ها، تأکید مى کند.
«گرى کسلر» آموزشیار یک برنامه نوین پژوهشى در حوزه امنیت اطلاعات در Champlain College در برلینگتون آمریکا بر این باور است که فناورى اطلاعات (Information Technology) غالباً در فضاهاى آموزشى ایالات متحده «با یک دست آهنین» کنترل نمى شوند و این مى تواند یک نقطه ضعف اساسى قلمداد شود. وى تمایل گردانندگان شبکه هاى رایانه اى در آموزشگاه هاى آمریکا را به باز عمل کردن و ارائه همه رقم اطلاعات به کاربران خود به پشتوانه آکادمیک بودن فضاى آنها بالقوه خطرناک مى داند.
این سنت آزادى آکادمیک به گفته «کسلر» مى تواند آسیب هاى جبران ناپذیرى را به پیکره نظام اطلاعاتى دانشگاه ها وارد آورد. فرض کنید که یک استاد دانشگاه بدون اهمیت قائل شدن به بحث امنیت اطلاعات یا حتى آگاه ساختن مسئولان دپارتمان فناورى اطلاعات به راه اندازى یک سرور وب براى کلاس درس خود اقدام کند. بدیهى است که دود این بى احتیاطى به چشم همه مسئولان و دانشجویان موسسه آموزشى مربوطه خواهد رفت.
• یک نمونه تمام عیار
Darmouth College در هانوور در نیوهمپشایر آمریکا یکى از مجهزترین فضاهاى آموزشى را به لحاظ برخوردارى از خدمات شبکه در سراسر ایالات متحده در اختیار دارد. دسترسى به رایانه تقریباً در همه جاى آن اعم از درون یا بیرون ساختمان ها از طریق یک اتصال بى سیم Wi-Fi امکانپذیر است. گردانندگان این موسسه دائماً دانشجویان را به استفاده از کامپیوتر در همه جا تشویق مى کنند. استادان نیز به شیوه هاى گوناگون از خدمات شبکه از قبیل انتشار متون برگزیده تحصیلى، ارائه مواد درسى لازم براى گذراندن یک دوره آموزشى، برگزارى آزمون هاى مختلف و پُست کردن مدارک تحصیلى فارغ التحصیلان بهره مند مى شوند.با اینکه دانشجویان Darmouth College مجبور نیستند با فناورى بى سیم به شبکه آموزشگاه محل تحصیل خود متصل شوند، اما تقریباً همه آنها اینگونه عمل مى کنند. «رابرت برنتراپ» عضو هیات مدیره خدمات فنى این آموزشگاه ضمن بیان این مطلب به این نکته بسیار مهم نیز اشاره مى کند که اگر پشتیبانى لازم از داده هاى موجود در شبکه هاى بى سیم به عمل نیاید امکان تهدید شدن آنها توسط هکرها یا اخلالگران سیستم هاى رایانه اى وجود دارد. این خطر به اندازه اى جدى است که گردانندگان آموزشگاه هایى که تا پیش از این اجازه دسترسى بى حد و حصر به اتصالات بى سیم خود را مى دادند هم اینک کاربران را به استفاده از انگاره هاى هویتى براى ورود به شبکه و دسترسى به اطلاعات موجود در آن مکلف مى سازند.
براى حراست از سیستم بى سیم مورد استفاده در Darmouth College گردانندگان این موسسه آموزشى درصدد برآمده اند تا یک سیستم پنهانکارى اطلاعات را که اصطلاحاً WEP2 نام نهاده شده است توسعه دهند، ضمن اینکه تقویت تکنیک هاى پنهانکارى را نیز مورد توجه قرار داده اند. به گفته «برنتراپ»، علاوه بر مأموریت آموزشى موسسه یاد شده طرحى نیز براى ارائه سطوح متنوع دسترسى بى سیم در حال آماده سازى است: «هر چه ما بیشتر درباره شما بدانیم، اجازه دسترسى به اطلاعات بیشترى را خواهید داشت.» به عنوان مثال، کاربران مهمان در کتابخانه فقط قادر خواهند بود که به جست وجو در وب پرداخته و به متون ارائه شده در قالب کتابخانه آن لاین دسترسى داشته باشند.
به همان اندازه که مسئولان Darmouth College تلاش مى کنند تا آموزش هاى لازم را در رابطه با موضوع حراست از داده هاى محرمانه یا خصوصى به دانشجویان خود ارائه دهند، آنها تلاش مى کنند تا کارکنان ستادى خود را نیز از مخاطرات ناشى از غفلت هاى احتمالى در زمینه امنیت اطلاعات رایانه اى آگاه سازند. به عنوان مثال، به آنها آموزش داده مى شود که اگر قرار نیست برنامه اى را تا چند دقیقه دیگر مورد استفاده قرار دهند پنجره مربوط به آن را کلاً ببندند تا خطر سوء استفاده هاى احتمالى از بین برود. علاوه بر این، Darmouth College دپارتمان منابع انسانى خود را که اطلاعات و آمار حساس در آن نگهدارى مى شوند روى یک شبکه فرعى محرمانه قرار داده است تا داده هاى مربوطه را همه وقت از دسترس غریبه ها دور نگه دارد.
• آسیب پذیرى شبکه هاى رایانه اى
طى بیش از یک دهه، گردانندگان موسسه آموزشى Ivy League دانشجویان این موسسه را مجبور ساخته اند تا یک رایانه شخصى را با خود همراه بیاورند. همانند بسیارى از موسسات آموزشى دیگر، Darmouth College نیز اقدام به فروش رایانه به دانشجویان خود مى کند. امسال، حدود ۷۰۰ دانشجو از مجموع ۱۰۰۰ دانشجوى تازه وارد این موسسه رایانه هاى شخصى را همراه خود مى آورند که این به نوبه خود باعث ایجاد اطمینان بیشتر در رابطه با تجهیز رایانه هاى مورد اشاره به برنامه هاى ضدویروس، فایروال، اسپاى وار، یا به طور کلى انواع برنامه هاى حراست کننده از ایمنى اطلاعات شبکه خواهد شد.در کل، گردانندگان این قبیل موسسات آموزشى وسواس زیادى در رابطه با حراست از اطلاعات مالى دانشجویان به خرج مى دهند. با این حال، همانطورى که «جک سوئس» نایب رئیس فناورى اطلاعات در دانشگاه «مریلند بالتیمورکانتى» (UMBC) مى گوید، یک رایانه که سوابق مربوط به دانشجویان ورودى جدید یا فارغ التحصیلان موسسه را در خود جاى داده و در گوشه اى از یک دپارتمان به حال خود رها شده است مى تواند در برابر حملات هکرها یا همان اخلالگران شبکه هاى رایانه اى آسیب پذیر باشند. UMBC پائیز امسال ۱۱ الى ۱۲ هزار کامپیوتر را در فضاى آموزشى خود خواهد داشت، اما به گفته «سوئس»، «شاید فقط ۲۰۰ تا ۲۵۰ تا از آنها به لحاظ امنیتى مشکل ساز شوند.» مسئولان آموزشگاه ها تلاش مى کنند تا رایانه هایى را که داده هاى حساس را در خود جاى داده اند به رمزهاى عبور مجهز سازند تا استفاده از آن فقط براى افرادى که مجوز دارند امکانپذیر باشد، ضمن اینکه ملاحظات اضافى نیز در رابطه با تضمین امنیت اطلاعات در نظر گرفته خواهد شد.
• پژوهش در خفا
برخى دانشگاه ها در ایالات متحده آمریکا بى سر و صدا مشغول انجام پژوهش هایى پیرامون شبکه هاى رایانه اى و راهکارهاى مقابله با تهدیدات امنیتى احتمالى در آینده هستند. «سوئس» ضمن بیان این مطلب بر «ثمربخش بودن این پژوهش ها و کارآمد بودن راهکارهاى مربوطه» تأکید مى کند.در عین حال، گردانندگان Champlain College درصدد افزودن یک دوره آموزشى نوین در زمینه امنیت اطلاعات به دوره هاى تحصیلات تکمیلى خویش هستند تا بدین وسیله دانشجویان را براى خدمت کردن در مشاغل مربوط به حراست از شبکه هاى رایانه اى آماده سازند. به ادعاى «کسلر»، بر خلاف برخى مشاغل دیگر در صنعت فناورى هاى نوین ارتباطى (Hi-Tech) بعید به نظر مى رسد که در آینده شاهد واگذارى مشاغل مربوط به حوزه امنیت اطلاعات به کارکنان ساکن در کشورهاى دیگر باشیم. «کسلر» در پایان به رقابت شدید احتمالى بین شرکت هاى بزرگ فعال در این زمینه اشاره مى کند و با لحنى جالب مى گوید: «غول ها از لقمه هاى تدارک دیده شده بر سر سفره هفت رنگ حوزه امنیت اطلاعات بى نصیب نخواهند ماند.»
The Christian Science Monitor,1Sep. 2005
گریگورى لامب -- ترجمه: على عبدالمحمدى
- ۸۴/۰۶/۳۰