افشای اطلاعات

در هر صنعت اسامی زیاد و معروفی وجود دارد که نامشان جهت افشای اطلاعات ثبت گردیده است از جمله می توان به بانک Lexis Nexis آمریکا, Time Warner, DSW Shoe Warehouse, T Mobile و دانشگاه برکلی کالیفرنیا اشاره کرد که اخیرا شکافهای امنیتی اطلاعات را تجربه کرده اند بعضی از متخصصین می گویند صدها مورد بازگو نشده دیگری نیز وجود دارند که در آن اطلاعات محرمانه و حساس افراد به خطر افتاده است

آیا می‌دانید چطور باید در مقابل یک شکاف امنیتی اجتناب ناپذیر عمل کنید؟ شما بهتر می‌دانید.

در هر صنعت اسامی زیاد و معروفی وجود دارد که نامشان جهت افشای اطلاعات ثبت گردیده است از جمله می‌توان به بانک Lexis Nexis آمریکا، Time Warner، DSW Shoe Warehouse، T-Mobile و دانشگاه برکلی کالیفرنیا اشاره کرد که اخیرا شکافهای امنیتی اطلاعات را تجربه کرده‌اند. بعضی از متخصصین می‌گویند صدها مورد بازگو نشده دیگری نیز وجود دارند که در آن اطلاعات محرمانه و حساس افراد به خطر افتاده است. Diana McKenzie رئیس گروه IT در شرکت قانونی Neal, Gerber & Eisenberg LLP در شیکاگو می‌گوید، “در آنجا بیمارستانی وجود دارد که بطور اتفاقی چندین بیمار ایدزی را لوداده یا حتی بانکی که سوابق مالی یک شخص را بطور کامل و غیرعمدی در اختیار یک طلبکار قرار داده است و همینطور موارد مشابه بسیار دیگر.

این‌ رویه برای مدیران ارشد اطلاعات به ۲ معنا است: یکی اینکه آیا شرکت شما نیز یک شکاف امنیتی داده را تجربه خواهد کرد و چه زمانی و دیگر اینکه اگر شما یکی از آن ۱۰ درصد یا حتی کمتر از ۱۰ درصد افراد بدشانسی هستید که ماجرای آنها در تمام رسانه‌های خبری ملی پخش شده است، پس بهتر است از قبل بدانید که چطور باید در هنگام مواجهه با چنین شکافی عمل کنید.

● یک واقعیت جدید

Sortt Sobel، معاون بخش Levick Strategic Communication در واشنگتن می‌گوید، “در گذشته وقتی از چیزی می‌ترسیدید بطور ناگهانی و اتفاقی کلمه چیز را به زبان می‌آوردید ولی اکنن دیگر افراد با فرآیندهای IT بیشتر آشنا شده‌اند و معتقدند اگر کنترل بجای بموقع روی آن صورت نگیرد آن شخص بی‌توجه بوده و اینکار را از روی عمد انجام داده است. به همین دلیل واکنش فوری شما در مقابل یک شکاف امنیتی بسیار مهم است و تنها تکیه بر آفریند‌های بموقع و فوری شما برای پاسخ به این تهدیداتی که از قدیم مرسوم بوده مثل نفوذ هکرها و ویروسها، کافی نمی‌باشد. امروزه این تهدیدات بیشتر از منابعی غیر از شرکتهای بازرگانی ساختگی یا سارقان نوار نشات می‌گیرند. Rich Baich، مدیر عامل Price water house Cooper و مقام امنیت اطلاعات سابق شرکت Choice Point در ایالت جورجیا می‌گوید، “شکستی که امسال در فرآیندهای بازرگانی رخ داد سازمانها را وادار به تغییر روش خود در پاسخ‌گویی به رویدادها و بی‌نظمی‌های آتی نمود. همچنین در ابتدای سال جاری معلوم شد که Choice Point اطلاعات محرمانه مالی مصرف کنندگان را برای سارقین اطلاعاتی که خود را بعنوان شرکتها، بازرگانی قانونی معرفی کرده بودند، فاش کرده است.

Biach می‌گوید یک تغییر مهم و با ارزش، ایجاد و تبلیغ یک مکانسیم اساسی برای کارمندان یا عموم افراد جهت اعلام شکافهای موجود است از جمله رویدادهایی که ادامات و عملیات با تکنولوژی پایین را در برمی‌گیرند مثل کلاهبرداری یا سرقت نوار. در اینصورت باید یک تیم مسئول و پاسخگو وجود داشته باشد که از مجموعه پروتوکلهای موجود پیروی نماید و نه برخلاف آن دسته از خطوط مستقیم تلفنی سرویس مشتری باشد که گروه تعلیم در آن از یک درخت تصمیم‌گیری تبعیت می‌کنند و بسته به ماهیت مشکل پاسخ خود را بیان می‌کنند. پروتوکل مخصوص پاسخ دقیق برای هر سازمان، منحصر به خود آن است. ممکن است بعضی‌ها بخواهند بطور مستقیم به وکیل خود گزارش دهند یا عده‌ای دیگر به CISO و بعضی دیگر به رئیس شرکت، بهرحال هر کدام که باشد باز باید روش پاسخگویی تعریف شده و مورد تایید باشد. Sabel می‌گوید، “مثلا باید اینطور بگوییم در زمان کریسمس یعنی از این ساعت تا امروز جان براون رئیس گروه است، او به این وکیل و این شخص PR تصمیم گیرنده و نماینده انجمن دسترسی دارد.”

وجود یک نقطه تماس مرکزی برای جلوگیری از بروز اشکال در عدم دریافت گزارشات و اطلاعات مربوط به وقایع مفید است. McKenzie می‌گوید، “اگر شخصی در محیط بیرون از شرکت با یک مدیر پر مشغله تماس بگیرد که کار چندان مهمی نداشته باشد یا حتی شخص دیگری در طبقات پایین‌تر همان سازمان که گمان می‌کند اتفاقات عجیبی در شرف وقوع است، احتمال این وجود دارد که مدیر تماس تلفنی او را نادیده گرفته و بدون پاسخ بگذارد. او می‌گوید، “بخاطر ندارم چندبار تاکنون شماره تلفن یا حتی نام شخصی را که با من تماس گرفته فراموش کرده‌ام.”

● کار گروهی

McKenzie می‌گوید، نمی‌توان روی کلمه تیم و کار بصورت گروهی چندان پافشاری و تاکید کرد. چرا که IT خود در مواجهه با مسائل و درگیریهای امنیتی ایام بسیاری را به تنهایی سپری کرد. به مخص اینکه شما به عمق و وسعت یک مشکل پی‌می‌برید اداره حقوقی و روابط عمومی باید برای رفع این مشکل به یکدیگر ملحق شوند. McKenzie می‌گوید، “وقتی شروع به حل مشکل می‌کنید و گزارش مستند تهیه کرده و به وجود مشکل پی‌می‌برید ابتدا از وکلا می‌خواهید که خطر را رفع کرده و سپس بدنبال برقراری ارتباط با افراد روابط عمومی و شایسته جهت رفع مشکل می‌گردید. او همچنین می‌گوید، “اگر یکی از اعضای IT این مشکل را نزد خود نگه دارد کار ناشایستی مرتکب شده است.” چون نه تنها در بعضی موارد افشای مطلب ضروری است بلکه گروه روابط عمومی شما برای اطلاع دقیق از مشکل و تهیه یک پاسخ مناسب برای حل آن به یک زمان کافی ناز دارند.

Eric Welz بنیانگذار اصلی و ارشد این روش و راه‌حل می‌گوید، در Varguard Managed Solutions LLC، IT در مواقع بحرانی با ادارات حقوقی و بازاریابی بطور متحد و هماهنگ کار می‌کند. حتی سرویس دهنده‌ای که در مانسفیلد ماساچوست توسط ۳۰۰ کارمند اداره و کنترل می‌شود، در هنگام بروز حوادث امنیتی به کارمندان سطح مدیریت در مرکز عملکرد شبکه نیز نیاز پیدا کرده و از آنها هم کمک گرفته می‌شود. اگر معلوم شود که این حادثه جدی بوده در اینصورت IT، اداره حقوقی و بازاریابی همگی با هم برای تشخیص نحوه انتقال و اطلاع آن به سرویس گیرنده همکاری می‌کنند. اکنون نقش وکلا در تفسیر و پاسخ‌گویی صحیح به قوانین اختصاصی رسمی و فدرال نسبت به گذشته اهمیت بیشتری پیدا کرده است برای مثال لایحه مجلس سنای کالیفرنیا در سال۱۳۸۶ را در نظر بگیرید که سازمانها را ملزم به افشای شکافهای امنیتی در برگیرنده اطلاعات محرمانه ساکنین کالیفرنیا یا لایحه مجلس کالیفرنیا در سال۱۹۵۰ که کنترل امنیت اطلاعات ساکنن کالیفرنیا را واجب داشت. دولت رسمی واشنگتن نیز اخیرا چندین لایحه در رابطه با شکافهای امنیتی موجود تصویب کرده و ایالتهای دیگر نیز بزودی از این رویه پیروی خواهند کرد.

Baich می‌گوید، شاید لازم باشد اداره حقوقی شما چندین قانون محلی را به اجرا در آورد که نشان می‌دهد آیا شرکت شما مجاز به افشای اطلاعات مربوط به این شکافها خواهد بود یا نه. اگر پلیس بنا به تشخیص خود مبنی‌بر اینکه افشای علنی اطلاعات مانع تحقیقات و بازجویی می‌شود از شما بخواهد ساکت مانده و مطلبی را بازگو نکنید، حتما طی نامه‌ای برای اجتناب از بروز هر گونه مشاجره و درگیری بعدی از شما چنین تقاضای را خواهد کرد. بعضی از متخصصین تصور می‌کنند شرکتها زبان تکرار بیانات خود را توسعه داده‌اند تا امکان پاسخ دهی سریعتری را فراهم آورند. پیترگرگوری، مدیر اصلی امنیت در بخش Vantage Point Security LLC در بلویر واشنگتن می‌گوید، “گاهی افشای اطلاعات باید بطور فوری صورت گیرد و نیازی به شروع مطلب با ایجاد یک فضای خالی در کاغذ نمی‌باشد.”

● سرعت ملایم و سنجیده

گرگوری می‌گوید، عجله نکنید “لازم نیست ۲ روز صبر کنید فقط ۲۰ دقیقه منتظر بمانید.” باید از روشهای فوری و اضطراری پیروی کنید بطوریکه وقتی شخص PR در مقابل میکروفون قرار گرفته اطلاعات بطور صحیح از همان نقطه بدست آمده از طریق مدیریت IT و اطرافیان برای PR و اداره حقوقی ارسال می‌شود. McKenzie آنرا “پاسخ با طمانینه و محتاطانه می‌نامد. به عبارت دیگر گرچه ممکن است تاخیر در این پاسخ‌گویی آزار دهنده باشد ولی این پاسخ باید مناسب و منطقی باشد چون در سراسر کشور پخش خواهد شد.”McKenzie معتقد است برای جلوگیری از بستن اتهام دیگران نسبت به خود در عدم رفع سریع مشکل باید علاوه‌بر اعضای IT هوشیار و با استعداد در تجزیه و تحلیل وب لاگها یا رکوردهای دیگر از یک مشاور قانونی IT نیز کمک گرفت. او می‌گوید، “این نشان میدهد که شما این موضوع را جدی گرفته‌اید: ما این فرد مسلح را برای حل سریع این مشکل بکار گرفته‌ایم.”

“اگر کسی قصد آسیب رساندن و تعقیب قانونی شما را داشته باشد از دیدگاه PR کمک گرفتن فوری از چنین شخصی برای رفع این مشکل بجا بوده است.”

Baich می‌گوید، برای ثبت عملیاتی که تیم امنیتی و افراد در ارتباط با آن انجام می‌دهند باید وقایع را بطور واقعی ثبت کرد و برای هر عملکرد زمان دقیقی را مشخص نمود. “وقتی تمام وقایع ثبت شد بهتر و ساده‌تر می‌توان این وقایع را برای دیگران بازگو نمود.” McKenzie می‌گوید، بالاخره وقتی زمان برقراری ارتباط با مشتریان یا عامه بردم فرا می‌رسد آگاهانه برخورد کنید و به آنها اطمینان و دلگر می‌دهید. چون باید کسانی را که از بابت این وقایع دچار آسیب شده‌اند و رنج تنهایی را لمس کرده‌اند درک کنید بنابراین یک برخورد مناسب و دلسوزانه از طرف شما احتمال بروز هر گونه دعوای حقوقی یا دیگر رفتارهای زمینه ساز برای داد خواهی را گاهش می‌دهد. گرگوری می‌گوید، “یک فاجعه امنیتی بسیاری از افراد را در ادامه فعالیت شرکت به شک می‌اندازد به بنابراین باید با بیانی معقولانه و متفکرانه پاسخ دهید تا اعتماد مشتریان و رسانه‌ها را از بابت کنترل بموقع خود جلب نمایید.

نویسنده: Mary Boandel

مترجم: شراره حداد