کوین میتنیک در سال ۲۰۰۲ گفت که ضعیفترین حلقه در زنجیره امنیت اطلاعات، عنصر انسانی است و از آن پس ما این حرف به کرات شنیدهایم. بهصورت کلی محیط فعلی ما در بهترین حالت محیطی ناامن است. با یادگیری برخی درسها و آموزشهای روانشناسی سایبری، عامل انسانی میتواند از ضعیفترین حلقه زنجیر به قدرتمندترین بخش آن تبدیل شود.
روانشناسی سایبری چیست؟
روانشناسی سایبری بهعنوان یک نظام به بررسی تعامل میان ذهن و رفتار (انسان) در قالب فرمهای مختلف فناوری ارتباطات و اطلاعات میپردازد. این فرمها نه فقط شامل ایمیل، اینترنت یا رسانههای اجتماعی میشوند که واقعیت مجازی، بازیها و دستگاههای هوشمند را نیز در بر میگیرند.
در عمل، نهایت همه این داستانها درک این موضوع است که انسانها فناوری را چگونه درک میکنند. با یک مثال پیش برویم. همکار شما موهایش را با مدلی تازه کوتاه کردهاست. تعریفکردن از او نشانه ادب شماست. شما میتوانید این موضوع را در اداره بر زبان بیاورید، میتوانید به او پیامک بزنید، میتوانید در صفحه فیسبوکش در این باره بنویسید یا حتی یادداشتی بنویسید و به شیشه ماشیناش بچسبانید.
اگر فقط دادهها را در نظر بگیریم در همه این حالتها شما محتوای واحدی را منتقل کردهاید، اما درک اشارات و دلالتهای ضمنی رسانهای که برای انتقال این پیام انتخاب کردهاید و انتخاب بهترین گزینه ممکن در واقع عصاره و چکیده روانشناسی سایبری است.
اگر بخواهیم با اصطلاحات عملکردی برای حرفهایهای امنیت صحبتکنیم باید انطباق با سیاستهای امنیتی را مدنظر بگیرید. فرض کنیم شما تغییری را در سیاست امنیتی سازمانتان اعمال کردهاید. بهترین راه اطلاعرسانی در این زمینه چیست؟ در بیشتر موارد این کار از طریق ایمیل صورتمیگیرد، اما آیا این واقعاً بهترین شیوه است؟ بهطور مشابهی اگر تصمیم داشتهباشید که افراد واقعاً رفتارشان را عوضکنند، ارسال یک ایمیل به همه کارکنان روش مناسبی برای اعمال تغییر است؟ اولین درس روانشناسی سایبری این است که «بستر انتقال پیام خود پیام است.»
درس دوم هم درست به همین اندازه مهم است. اگر دوباره به مثال چسباندن یادداشت به شیشه ماشین برگردیم، انتخاب بستر انتقال پیام کاملاً به این بستگی دارد که مخاطب شما کیست و توجه به همین نکته برای شما کافی است. روانشناسی به تنوع وسیع رفتارهای آدمی توجه دارد و درنتیجه روانشناسی سایبری توجه به همین موضوع در حوزه فناوری اطلاعات است.
برای داشتن امنیت رو به پیشرفت و مناسب، نیازمند درک و پذیرش از سوی همه اعضای سازمان از مدیرعامل گرفته تا پیمانکاران موقت هستیم. به این ترتیب روانشناسی سایبری یعنی از مرز کاربر نهایی هم فراتر برویم تا به این ترتیب بتوانیم درک کنیم که افراد در دنیای واقعی بهواسطه جنسیت، سن، شخصیت، تجربههای قبلی، فرهنگ و البته میزان حقوق با هم متفاوت هستند.
میدانیم که آنچه در اینترنت اتفاق میافتد بهنوعی متفاوت با دنیای واقعی است، اما در عین حال آنچه در اینترنت روی میدهد کمکم خود زندگی واقعی است. شاید چند مفهوم کلاسیک موضوع را آشکارتر کند.
اول اینکه اینترنت طراحی شده تا ارتباطات را ساده کند به این ترتیب ما کاملاً در آن غرق میشویم. این همان چیزی است که از آن با نام حضور از راه دور یا Telepresence یاد میکنند. یک کارمند معمولی شما به احتمال زیاد نمیداند که چه حجمی از محاسبات پیچیده باید صورتبگیرد تا او بتواند از طریق تلفن هوشمند و شبکههای وایفای عمومی به ایمیل کاری خود دسترسی پیدا کند. از دید مهندسان انجام چنین کاری بسیار ساده و راحت است، اما از دید مدیر امنیت اطلاعات شرکت فرایندی بسیار دشوار خواهدبود.
با توجه به اینکه کارمندان از همه اتفاقاتی که در پسزمینه رخ میدهد غافل هستند، نمیدانند که چنین کاری تا چه حد خطرناک خواهدبود. آگاهی درباره امنیت سایبری مستلزم شکستن این تصور «حضور از راه دور» است.
دوم اینکه در هرجای اینترنت که بگردید، چیزی در حدود ۹۰درصد افرادی که به یک فروم سر میزنند، فقط مطالب را میخوانند و در حد قابل ذکری در مباحث مشارکت نمیکنند. این کار را پاورچین رفتن یا Lurking مینامند. درنتیجه وقتی کارمندی وارد یک سیستم کامپیوتری سازمانی میشود تا زمانی که کسی با او تعاملی انجام ندادهاست خود را نامرئی تصور میکند. این زمانی است که تهدیدات داخلی ظاهر میشوند، چرا که این کارمندان هیچگاه فکر نمیکنند که ممکن است کسی در حال تماشای فعالیتهایشان باشد، اما برای یک مدیر امنیت اطلاعات سؤال اصلی این است که شبکه داخلی شرکتش تا چه حد قابل رویت است. امنیت سایبری مستلزم مدیریت چیزهایی است که ما نامرئی فرض میکنیم.
سوم اینکه در فلسفه سنتی اینترنت همه با هم برابر هستند و هیچ کنترل مرکزی وجود ندارد. این موضوع را کاهش مقام یا Minimization of status مینامیم. تقریباً غیرممکن است که بتوانیم افرادی را که در اینترنت هستند به اجبار به کاری وادار کنیم. در سادهترین حالت، آنها فقط برای سرگرمی هم که شده مقاومت میکنند. نتیجه نهایی این حرف این است که تلاش برای پیادهسازی نظم و قانون در حوزه فناوری اطلاعات کاری دشوار است. امنیت سایبری مستلزم کنترل چیزهایی است که از اساس برای مقاومت در برابر حاکمیت طراحی شدهاند.
مزیتهای روانشناسی سایبری در محیط کسبوکارهای امروزی چیست و چرا به آن احتیاج داریم؟
برای این مشکلات راهحلی وجود دارد. یک فرآیند مدیریت امنیت اطلاعات مبتنی بر روانشناسی سایبری، توقعات زیادی در زمینه کنترل عنصر انسانی سازمان دارد. این توقعات چه هستند؟
این توقعات حداقل به مصالحه در سه مورد احتیاج دارد:
ترغیب احساسی: ما به تسخیر قلبها و ذهنهای بیشتر و ترس کمتر و همدلی نیاز داریم. این کار مستلزم آموزش معمول، متنوع و دائمی است. افراد برخلاف ماشینها بهندرت براساس اطلاعات منطقی تغییر رفتار میدهند. آنها به روابط عمومی و پروپاگاندا احتیاج دارند. گروه امنیت سایبری باید با منابع انسانی سازمان و کارکنان تیمهای عملیاتی دوست شوند.
رهبری توزیعشده: به تیمها اجازه دهید که سیاستهای خاص خودشان را توسعه دهند. اینکه شما نمیتوانید یک کنترل متمرکز داشتهباشید به این معنی نیست که نمیتوانید هیچ کنترلی داشتهباشید. تصمیمگیری در زمینه امنیت اطلاعات را به ردههای پایینتر و بیرونیتر محول کنید تا ماژولهای مقاوم مجزا از هم داشتهباشید.
شهروند شبکه شدن: مدیران امنیت اطلاعات میخواهند تمام شبکه داخلی سازمان را ببینند، اما در عمل این کار غیرممکن است، پس از اعضای شبکه برای این کار کمک بگیرید. افراد علاوهبر اینکه باید درگیر امنیت سایبری شدهباشند، باید مکانیزمهای سرراست گزارشدهی را هم در اختیار داشتهباشند.
چالشهای احتمالی همهگیر شدن این موضوع میان شرکتها چیست؟ آیا هیچ صنعتی وجود دارد که به روانشناسی سایبری نیازمندتر باشد یا راحتتر با آن تطبیق پیدا کند؟
درحالحاضر از دید روانشناسی مشکل اصلی در حلقههای امنیت سایبری، شور و هیجان کاذب زیاد است که بیشتر هم مبتنیبر ترس است درنتیجه کاربران راه چاره را در بیطرفی و سکوت میبینند: زمانی که باید درگیر امنیت سایبری باشند و به آزادی درباره آن صحبت کنند، ترجیح میدهند حرفی نزنند و وانمود کنند که اصلاً اهمیتی ندارد.
به ناگزیر همهگیر شدن سیاستهای امنیت سایبری مبتنیبر روانشناسی سایبری، چالشهایی را با خود به همراه خواهدداشت. مدل رفع تکلیفی آگاهیدهی (کلاس آموزشی نصف روز، یک روز از سال برای کل کارکنان) در لیست بسیاری از مدیران باعث تیکخوردن گزینه امنیت سایبری میشود. همانطور که میدانید چنین مدلی، تأثیر چندانی بر فرهنگ محیط کار نخواهدداشت. مهم نیست آن کلاس نصف روز چقدر خوب برگزار شود به محض این که یکی از کارکنان ردهبالای شرکت در حال تخلف از سیاستهای امنیتی دیدهشود، همه اثرات آن کلاس از بین خواهدرفت. تقلید نکته اصلی است! یک نفر این کار را انجام میدهد، بقیه میبینند و انجام میدهند و بهتدریج به یک روند معمول تبدیل میشود.
پیادهسازی هر شیوهای به جز این کلاسهای نصف روز بهطور ضمنی مبین این است که مشکل بزرگتری در کار است. هرچند روانشناسی سایبری به ما میآموزد که در چنین شرایطی حتماً مشکلات سازمانی بزرگتری وجود دارد.
قانون کانوی (Conway law)قانونی عجیب از دنیای طراحی نرمافزار باقیمانده از دهه ۶۰ است که میگوید: «هر سازمانی که سیستمی را طراحی میکند، ناگزیر درنهایت سیستمی میسازد که شبیه سیستم ارتباطات داخلی خودش است.» به همین ترتیب درنهایت شما هم به یک سیاست امنیت اطلاعاتی خواهیدرسید که نشاندهنده ساختار ارتباطی سازمان شما خواهدبود.
درنتیجه اگر سیستم ارتباطات سازمان شما مشکل داشتهباشد، سیاست امنیت اطلاعات شما آن را منعکس کرده و بنابراین بهدرستی کار نمیکند. مهم است که به ردههای بالای شرکت تاکید کنید که اگر سیاست امنیت اطلاعاتشان ضعیف است، این موضوع نشاندهنده ضعف ساختار سازمان شماست.
نفع مستقیم پیادهسازی یک سیاست امنیت اطلاعات مبتنی بر روانشناسی سایبری چیست و این منفعت چگونه در میان بخشهای مختلف سازمان تقسیم میشود؟
در گزارش Europol IOCTA هم از «عنصر انسانی» امنیت اطلاعات نام برده شده است. آنجا از این عنصر به عنوان محیطی برای جرائم سایبری یاد شده است که مدام تهاجمیتر میشود. تنها راه پیش رو در چنین محیطی همکاری و همراهی بیشتر بهصورت افقی میان بخشهای مختلف کسبوکار و به صورت عمودی میان ردههای مختلف یک سازمان است.
کسبوکارهایی که بتوانند هدفهای سازمانیشان را با سیاستهای امنیت اطلاعات همراستا کنند برای گذر از دهه آینده شانس بیشتری خواهند داشت. صنایعی که چنین کاری با موفقیت بالاتری اتفاق خواهدافتاد قاعدتاً شامل کسبوکارهای مبتنیبر فناوری، مخابرات، سازمانهای مالی و اعتباری و رسانهها خواهدبود. البته همانطور که پیشتر توضیح دادیم، هر سازمانی که به تفکر صحیح و درست بپردازد، ارزش تدوین یک سیاست امنیت اطلاعات سایبری را درک خواه کرد.
در فرایند کار روزمره، امنیت به چه معنی است؟ سازمانهایی که بتوانند اهمیت امنیت اطلاعات را در میان کارکنانشان نهادینه کنند، شرکتهایی که برای آموزش امنیت سایبری و آگاهی رسانی قدمهای جدی برداشتهاند در آینده پیش رو برتری چشمگیری خواهند داشت، چراکه جرایم سایبری به وضوح سودآور و پولساز هستند.