دستورالعمل‌های امنیتی کامپیوتر؛ کار با اعمال شاقه

یک مطالعۀ اخیر نشان می‌دهد دستورالعمل‌های امنیتی کامپیوتر، اغلب برای کارمندان گیج‌کننده و طاقت‌فرسا هستند

محققان، رویکردی دقیق‌تر را با تأکید بر پیام‌های کلیدی و اولویت‌بندی اطلاعات حیاتی برای افزایش درک و پیاده‌سازی امنیت کامپیوتر، توصیه می‌کنند.

این نگرانی پس از آن مطرح شد که برخی از مؤسسات دولتی یا کسب‎‌وکارهای خصوصی پروتکل‌‎های امنیتی کامپیوتری ارائه کردند که هدف آن‌ها، راهنمایی کارمندان در حفاظت از داده‌های شخصی و سازمانی در برابر خطراتی مانند بدافزارها و حملات فیشینگ است.

برد ریوز، نویسندۀ اصلی مطالعۀ جدید و استادیار علوم کامپیوتر در دانشگاه ایالتی کارولینای شمالی می‌گوید: ” به عنوان یک محقق امنیت کامپیوتر، متوجه شده‌ام که برخی از توصیه‌های امنیتی کامپیوتری که در اینترنت می‌خوانم گیج کننده، گمراه‌کننده یا صرفاً اشتباه محض است. برهمین‌مبنا تصمیم گرفتم تا تحقیق کنم که: « چه کسی این دستورالعمل‌ها را می‌نویسد؟ آن‌ها توصیه‌های خود را بر چه چیزی استوار می‌کنند؟ هدف‌شان چیست؟ و آیا راهی هست که بتوانیم بهتر از این عمل کنیم؟ »

برای این مطالعه، محققان ۲۱ مصاحبۀ عمیق با متخصصانی انجام دادند که مسئول نوشتن دستورالعمل‌های امنیت کامپیوتری برای سازمان‌ها از جمله شرکت‌های بزرگ، دانشگاه‌ها و سازمان‌های دولتی هستند.

ریوز می‌گوید: «نکتۀ کلیدی این است که افرادی که این دستورالعمل‌ها را می‌نویسند سعی می‌کنند تا حدممکن اطلاعات بدهند؛ اما نویسندگان توصیه‌های مهم را در اولویت قرار نمی‌دهند. یا به‌طور خاص‌تر، آن‌ها، نکاتی کم‌اهمیت‌تر را اولویت‌بندی نمی‌کنند و از آنجا که توصیه‌های امنیتی زیادی وجود دارد که باید در نظر گرفته شوند این دستورالعمل‌ها می‌توانند طاقت‌فرسا باشند – و مهم‌ترین نکات در این میان از بین می‌روند.»

محققان دریافتند که یکی از دلایلی که دستورالعمل‌های امنیتی می‌توانند تا این حد طاقت‌فرسا باشند این است که نویسندگان دستورالعمل تمایل دارند هر مورد ممکن را از طیف گسترده‌ای از منابع معتبر ترکیب کنند. به‌عبارت‌دیگر، نویسندگان راهنما به جای محدود‌کردن اطلاعات امنیتی برای خوانندگان خود، در حال گردآوری اطلاعات امنیتی هستند.

محققان دو توصیه برای بهبود دستورالعمل‌های امنیتی ارائه کردند.

ابتدا، نویسندگان راهنما، به مجموعه‌ای واضح از بهترین شیوه‌ها در مورد چگونگی دسته‌بندی اطلاعات نیاز دارند تا دستورالعمل‌های امنیتی به کاربران بگویند که چه چیزی را باید بدانند و چگونه آن اطلاعات را اولویت‌بندی کنند.

دوم، نویسندگان – و جامعه امنیت کامپیوتر به‌عنوان یک کل – به پیام‌های کلیدی نیاز دارند که برای مخاطبان با سطوح مختلف صلاحیت فنی منطقی باشد.

ریوز می‌گوید: « ببینید، امنیت کامپیوتر پیچیده است؛ اما پزشکی حتی پیچیده‌تر است. با‌این‌حال در طول همه‌گیری، کارشناسان بهداشت عمومی توانستند دستورالعمل‌های نسبتاً ساده و مختصری در مورد چگونگی کاهش خطر ابتلا به کووید -۱۹ به مردم ارائه دهند. ما باید بتوانیم همین کار را برای امنیت کامپیوتر انجام دهیم.»

« من هم‌چنین می‌خواهم تأکید کنم که وقتی یک حادثۀ امنیتی کامپیوتری رخ می‌دهد ما نباید یک کارمند را سرزنش کنیم؛ زیرا آن‌ها یکی از هزاران قانون امنیتی را که انتظار داشتیم رعایت‌کنند رعایت نکردند. ما باید کار بهتری برای ایجاد دستورالعمل‌هایی انجام دهیم که درک و اجرای آن‌ها آسان باشد.»