امنیت ایمیل و راهکارهای بهبود امنیت ایمیل

امروزه مدیران و کارشناسان امنیتی در شرکت‌های بزرگ تمرکز اصلی خود را بر ایجاد سیاست‌های امنیت ایمیل گذاشته‌اند تا بتوانند با ایجاد بستری امن، فرهنگ استفاده از ایمیل را بین کارکنان برقرار کنند.

سهل‌انگاری هیلاری کلینتون در تبادل اطلاعات محرمانه با ایمیل شخصی و شکست در انتخابات

پس از درز این خبر که هیلاری کلینتون، وزیر سابق امور خارجه آمریکا از یک سرور شخصی ایمیل جهت انجام برخی از فعالیت‌های مربوط به وزارت امور خارجه، استفاده می‌کرد، این خبر همه کارشناسان امنیتی را شوکه کرد. آنها فکر می‌کردند که دوره‌ی این گونه رفتارهای خودسرانه و پر ریسک مدیران سرآمده باشد و سیاست‌های بازدارنده و امنیتی به خوبی به همه کارکنان و مدیران آموزش داده شده باشد. این اشتباه -که شاید یکی از دلایل اصلی شکست وی در انتخابات آن دوره آمریکا بود- کارشناسان را بر آن داشت تا درصدد یافتن راهکارهایی برای جلوگیری از اینگونه رفتارهای اشتباه کاربران و خطرات ناشی از آن باشند.

امنیت ایمیل؛ راهکاری اجتناب ناپذیر کسب و کار

یکی از اولین گامهای فعالیت در یک سازمان یا شرکت، تعریف حساب رسمی و ایمیل سازمانی برای کارکنان است که همواره تمام فعالیت‌های رسمی در حوزه‌ی کسب و کار سازمان باید از طریق آن حساب رسمی انجام شود. در غیر این صورت سازمان قادر نخواهد بود تنظیمات و دستوالعمل‌های مصوب را پیگیری و پشتیانی کرده و یا اقدام به ثبت فعالیت‌های انجام شده در کسب و کار سازمان نماید.

برای این که فشار مسئولیت امنیت ارتباطات سازمان از دوش کاربران سازمان‌ها و کارکنان بخش فن‌آوری اطلاعات کاسته شود باید بهترین راهکارها را در حوزه‌ بالا بردن امنیت ایمیل پیدا کرد و آنرا در سازمان پیاده کرد. مسائلی چون لزوم استفاده از دو دستگاه مجزا برای کارهای شخصی و سازمانی –دلیلی که هیلاری کلینگتون به عنوان علت دور زدن سیاست‌های وزارت خارجه ذکر کرد- دیگر قدیمی شده است و این امر به لطف نرم‌افزارهایی که دسترسی امن به چندین حساب توسط یک دستگاه را پشتیبانی می‌کنند، فراهم شده است.

از سوی دیگر، امروزه هکرها سازمانهایی با بالاترین سطح دانش در حوزه‌ی امنیت ایمیل دارند و سازمانها باید سیاست‌های امنیتی و راه‌کارهای پیش‌گیرانه خود را بر اساس پوشش انواع خطرات و تهدیدهای روز تنظیم کنند. اگرچه پیش از این بیشتر نگرانی‌هادر حوزه تبادل نرم‌افزارهای مخرب توسط ایمیل بود ولی آنتی‌ویروس‌های مربوط به ایمیل این مشکل را حل کردند و حالا تهدید بزرگتر خطر حملات فیشینگ است.

حملات فیشینگ چیست؟

فیشینگ نوعی از حملات مبتنی بر مهندسی اجتماعی است که در آن حمله کننده با فریب دادن هدف یا اهداف، اطلاعات حساسی مثل رمزهای عبور، مشخصات کارت اعتباری و غیره را از وی می‌گیرد. برخلاف سایر روش‌های هک و ورود به سیستم، در روش فیشینگ معمولا هیچ نفوذی انجام نشده و از رخنه‌ها و آسیب‌پذیری‌های سیستم استفاده نمی‌شود.برای اطلاعات بیشتر در مورد این حمله‌ها به مقاله “فیشینگ چیست؟” مراجعه کنید.

تبیین سیاست‌های صحیح برای بهبود امنیت ایمیل

شاید برخی از مهمترین سیاست‌ها در بهبود امنیت ایمیل را بتوانیم به طور خلاصه در موارد زیر ببینیم:

• بررسی مجدد نقش ایمیل در سازمان
• بازبینی قوانین امنیت ایمیل در سازمان
• کاربردی کردن سیاست‎های امنیت ایمیل
• آموزش کاربران؛ بهترین راه مبارزه با سارقان دیجیتال
• برقراری امکان استفاده از ایمیلهای شرکتی و شخصی به طور همزمان روی یک دستگاه

در ادامه این بخش، به راهکارهای بسیار کارامدی که توسط متخصصین امنیت ایمیل ارائه شده است، می‌پردازیم.

راهکارهای بهبود امنیت ایمیل

ایجاد بستری امن و اطمینان از عملکرد کارکنان سازمان‌ها در استفاده‌ صحیح از ایمیل از ملزومات امنیتی هر سازمانی به حساب می‌آید. در این بخش شما با پیشنهادات ارائه شده از سوی بهترین‌های امنیت ایمیل سازمانی دنیا در خصوص حفظ امنیت ایمیل آشنا خواهید شد. این افراد از بهترین مدیران امنیتی دنیا هستند و راه‌‌هایی که در این مقاله مطالعه می‌کنید را برای به بهبود راهکارهای امنیتی ایمیل سازمانی پیشنهاد داده‌اند:

پیش از ارائه راه حل با این محققان آشنا شوید:

• John Pescatore مدیر روالهای امنیتی نو‌ظهور در موسسه‌ی SANS
• Craig Gormé مدیر امنیت اطلاعات در مرکز بهداشت دانشگاه فلوریدا
• Seth Robinson، مدیر ارشد تجزیه و تحلیل فن‌آوری در شرکت CompTIA
• Duke Prestridge، مدیر مالی جامعه بانکی در کارولینای شمالی
• Peter Firstbrook معاون مدیرعامل شرکت تحقیقاتی Gartner
• Osterman، مدیرعامل مرکز پژوهشی Osterman

این محققان پنج راهکار کلیدی زیر را برای بهبود امنیت ایمیل سازمانی ارائه کرده‌اند:

1- بررسی مجدد نقش ایمیل در سازمان

علیرغم این که همه افراد در سازمانها و شرکت‌ها امنیت ایمیل را درک می‌کنند ولیکن همچنان به صورت نا امن ایمیل می‌فرستند. سازمانها باید چگونگی استفاده از ایمیل در بین کارکنان خود را بررسی کرده تا اطمینان حاصل کنند که منطبق بر سیاست‌های امنیتی برای رویارویی با خطرات و ریسک‌های سازمان است. این بررسی باید شامل روش‌های محافظت از تمام سیستم از جمله برنامه، سرور و نحوه‌ی اتصال به اینترنت باشد، چرا که بسیاری از سازمان‌ها زیرساخت‌های ایمیل خود را مدتها پیش ساخته و آسیب‌پذیری خود را به تازگی بررسی نکرده‌اند.

به عنوان مثال، قوانینی مانند “قانون انتقال و پاسخ گويي الکترونيک بيمه سلامت آمریکا” سازمان مرکز بهداشت دانشگاه فلوریدا را به ویژه در مواردی که مربوط به اطلاعات سلامت شخصی بود مجبور به بازبینی دستورالعمل ایمیل کرد.

بر اساس دستورالعمل‌های جدید کاربران موظفند ایمیل‌های حاوی اطلاعات سلامت شخصی را فقط به صورت داخلی ارسال کنند و ارسال این‌گونه ایمیل‌ها به خارج از سازمان و یا از طریق سرویس‌های ایمیل دیگر ممنوع است. در صورتی که در مکاتبات نیاز به اطلاعات سلامت شخصی است، آنها باید از روشهای امن‌تر دیگری مانند پیام رمزگذاری شده و یا انتقال امن فایل استفاده کنند.

سازمان‌ها باید با کاربران خود بسیار شفاف و قاطع باشند. ایمیل شرکتی صرفا برای مکاتبات مربوط به شرکت است و نباید آن را برای استفاده شخصی بکار برد. با نظارت دقیق بر نحوه کاربری، سازمان‌ها باید توان خود را در جهت کنترل و محدودیت کاربری ایمیل و در نتیجه حفظ کاربران از شرایط منجر به خطرات امنیتی معطوف کنند. به عنوان مثال، سازمان باید چگونگی برخورد با تبادل ویدئوها و فایل‌های پیوست شده را تعیین کنند و سیاست واضحی در خصوص چگونگی اداره‌ی این موارد داشته باشند.

2-بازبینی حاکمیت سازمان

سیاست‌های مربوط به ایمیل باید به اصطلاح “تا بن دندان مسلح” باشند و تنها راه انجام این کار ایجاد حاکمیت مناسب، اجرای سیاست‌ها و پشتیبانی قدرتمند [b]مدیریت فنی[/b] سازمان است. بسیاری از مدیران امنیتی معتقدند که وضعیت پیش آمده برای خانم هیلاری کلینتون می‌تواند ریشه در حمایت ضعیف مدیران فنی از سیاست‌های مربوط به استفاده از ایمیل داشته باشد.

معمولا در ابتدای کار، پایه‌گذاری دستورالعملهای نظارتی بر اساس استانداردها با مقاومت مواجه خواهند شد، ولی به مرور مقاومت از بین خواهد رفت. مدیران فنی باید تمام موقعیت‌ها را هم در حوزه‌ مدیریت فنی هم در حوزه مدیریت ریسک در نظر بگیرند. این احتمال وجود دارد که بر اثر حمله‌های هوشمندانه‌ای که از نقص‌های عمومی استفاده می‌کنند، همه چیز تغییر کند. بنابراین موقعیت مدیر فنی باید قدرتمندتر شده ومجوزهای مورد نیاز برای حفاظت از سازمان را داشته باشد.

در صورتی ‌که بدنه‌ حاکمیت قدرتمند و دقیق باشد، می‌تواند در یک وضعیت نامطلوب -مانند زمانی که مدیری به طور خودسر بخواهد از منابع استفاده کند- مداخله کند. یک بدنه قدرتمند با عملکرد متقابل (که مسئولانی از واحدهای مختلف سازمان مثل حقوقی، فنی، و منابع انسانی داشته باشد) قادر خواهد بود خطرات مربوط به استفاده‌ غیر اصولی از منابع را به مدیران توضیح دهد درحالی‌که همزمان بخش فنی را برای یافتن روش‌های امن‌تر تشویق میکند.

در نهایت، با توجه تغییرات روز افزون تکنولوژی‌ها در استفاده از خدمات نوینی مانند سرویس‌های ابری سازمان باید درک صحیحی از فرآیندها و تست فرآیندهای معادل در سیستم ابری داشته باشد. بدنه حاکمیت قدرتمند قادر است انتقال خدمات ایمیل سازمان به سرویس ایمیل مبتنی بر ابر را به درستی مدیریت کند و فرآیندهای رویارویی با رخدادها نیز به طور منظم تست شوند.

3-اجرا کردن سیاست‎‌های امنیت ایمیل

حاکمیت سازمان باید سیاست‌ها و دستورالعمل‌های کاربری معینی برای استفاده از تکنولوژی‌های نوین نظیر متحرک بودن، سیستم ابری، شبکه‌های‌ اجتماعی و سایر سرویس‌های روز دنیا ارائه دهد.

متخصصان امنیتی معتقدند بیشتر سازمان‌ها دستورالعمل‌های کاربری قابل قبولی ندارند و یا کاربران را در مورد سیاست‌های امینتی به اندازه کافی آموزش نداده‌‌، یا به اندازه کافی اهمیت این دستورالعمل‌ها را یادآوری نکرده‌اند. سیاست‌های امنیتی باید سالیانه تجدید شده و باید کاربر پسندتر شود. مشتریان باید به وضوح درک کنند که چه کاری بکنند و چه کاری نکنند و از همه مهمتر اینکه دلیل این سیاست‌ها را بدانند.

امروزه بسیاری از دستورالعمل‌های کاربری تنها در یک وب‌سایت و یا بر روی کاغذ بصورت مشروح ارائه شده است. حال آنکه لازم است در آینده کاربران این دستورها را از طریق کانالهای ارتباطی متداول خود دریافت کنند (مانند متن‌های به اشتراک گذاشته شده). همچنین بهتر است کاربران طی یک آزمون، میزان درک خود از سیاست‌های امنیتی را نشان دهند که این کار به تیم فنی در شناسایی نقصان در دانش کاربران و برطرف کردن آن کمک شایانی خواهد کرد.

در دستورالعمل‌های کاربری، آگاهی دادن در خصوص تغییرات به کاربران بسیار مهم است. کاربران باید بدانند که به چه دلیل کسب و کاری و خطرات احتمالی، دیگر نمی‌توانند کارهای خاصی با ایمیل انجام دهند. به عنوان مثال، کاربران ممکن است متوجه نباشند زمانی که یک ایمیل را فروارد می‌کنند، ممکن است موضوعی شامل اطلاعات حساس و محرمانه را جابجا کنند. با اشاره‌ به این موضوع در سیاست کاربری تبیین شده، کاربران احتمالا خطر را درک کرده و از انجام آن اجتناب می‌کنند.

4-کاربران آموزش دیده؛ بهترین راه مبارزه با سارقان دیجیتال

درکنار تبیین دستورالعمل‌های کاربری؛ باید آموزشهای لازم در مورد حمله‌های فیشینگ به کاربران داده شود. اکثر کاربران اینترنت هنوز هم به راحتی گول می‌خورند و به اندازه‌ی کافی محتویاتی که دریافت می‌کنند را بررسی نمی‌کنند. بنابراین زمانی که تکنولوژی‌هایی چون جلوگیری از از بین رفتن داده‌ها می‌تواند برای کشف اقدام به حمله‌ی فیشینگ کمک کند، کاربران باید خط مقدم در دفاع باشند.

تجمع ایمیل‌های مختلف و اشتراک‌گذاری فایل‌ها در محیط‌های اجتماعی منجر به بالا رفتن احتمال وقوع اتفاقات ناخوشایند شده است. کاربران آموزش‌دیده کمک می‌کنند تا چاله‌های امنیتی بیشتری با بودجه‌ی کمتر پوشانده شود. اغلب اوقات سازمان‎ها آموزش را بسیار هزینه‌بر میدانند درحالیکه آموزش کارکنان سازمان با پیشگیری از یک واقعه‌ی فیشینگ متوسط در هر 5 سال، از نظر هزینه برد محسوب می‌شود.

5-امکان استفاده از ایمیل شرکتی و شخصی به طور همزمان روی یک دستگاه

همانند مشکلی که برای هیلاری کلینتون و استفاده از ایمیل شخصی‌اش وجود داشت، بسیاری از مدیران هم مشکل استفاده از چندین دستگاه مجزا برای حسابهای کاربری شخصی و سازمانی خود دارند. کمتر کسی حاضر است که دو تبلت یا تلفن هوشمند حمل کند ولی در عین حال هیچ کسی نمی‌خواهد ایمیل‌های شخصی و ایمیل‌های محرمانه کاری او به صورت ناامن در کنار هم قرار گیرند.

تکنولوژی Good برای پاسخ به همین نیاز توسعه داده شد. این راهکار ابتدا با همکاری یکی از متخصصین امنیت و شرکت بلکبری و سرویس شرکت بلکبری راه‌اندازی شد. در ادامه، برای سهیم شدن کاربران آیفون و اندروئید نیز هزینه‌ای را برای نصب برنامه ی Good روی دستگاه‌شان درنظر گرفته شد.

برای دسترسی به داده‌های شرکتی، کاربران باید برنامه‌ی Good را روی گوشی خود دانلود کنند. این برنامه تضمین می‌کند که ایمیل‌های شخصی از ایمیل‌های شرکتی و خصوصی کاملا جدا می‌مانند. کاربران قادر به کپی کردن یا فروارد کردن ایمیل‌های شرکتی نخواهند بود. Good همچنین فعالیت‌های کاربران را ره‌گیری و ثبت می‌کند تا درصورت انتشار یا دزدیده شدن اطلاعات کارشناسان فنی بتوانند آنرا ردیابی و کشف کنند. همچنین در صورتی که دستگاهی گم شده یا به سرقت رود، می‌توان آنرا به سرعت ردیابی کرده یا اطلاعات آنرا پاک کرد.به‌علاوه، کاربران می‌توانند از تمام امکانات دستگاه خود استفاده کنند بدون این که امنیت اطلاعاتی به خطر افتد.

و در آخر یک توصیه مهم برای مدیران:

البته در کنار این موارد، باید توجه داشت که کارهای بسیاری وجود دارند که برای انجام دادن آنها ایمیل اصلا کانال مناسبی نیست. مثلا زمانی که یک هیات مدیره بخواهد در مورد آخرین تصمیمات مالی و یا اجرایی با مدیران بحث و گفتگو کند و همزمان، مدیران مالی مجبور به تعامل با یک شرکت رقیب در خصوص خرید باشد، ایمیل اصلا گزینه‌ی امنی برای تعامل به حساب نمی‌آید. در این مورد کاربران باید با یک پرتال خصوصی یا چهارچوب محرمانه با هم مرتبط شوند به طوری که در پایان جلسه تمام اطلاعات را پاک‌سازی و حذف کند و اجازه‌ی کپی‌برداری و یا ارسال اطلاعات را ندهد.