عامل‌های انسانی در امنیت اطلاعات/چارچوبی برای مدلسازی انسان در سیستم‌های سایبر

درمدل‌های سنتی امنیت سایبری به افراد (عامل انسانی) دخیل در سیستم توجهی نمی‌گردید یا مجموعه ثابتی از نحوه رفتار برای آنها در نظر گرفته شده بود. با توجه به سیستم‌های امروزی و اهمیت امنیت داده‌ها و لزوم کاهش آسیب‌پذیری، عامل انسانی می‌تواند نقش مهمی در ایجاد امنیت و حذف آسیب‌پذیری‌ها ایفا نماید. در نتیجه نیاز به ابزاری برای سنجش امنیت فضای سایبری وجود دارد که بتواند در حساب کاربری سیستم کاربر رفتارها و تصمیم‌های فرد را تحلیل نماید.

در این مقاله به سنجش میزان اهمیت تصمیم‌های کاربر در سیستم امنیتی می‌پردازیم. در مقاله پیش رو ابتدا به معرفی سیستم سایبری فرد (Cyber Human System) و عوامل داخلی آن می‌پردازیم و سپس به بررسی نقطه تصمیم فرد(Human Decision Point) خواهیم پرداخت. در انتها به ساختاری جهت تحلیل مشکلات امنیتی فضای سایبر که خروجی آن که تحت تاثیر نحوه عملکرد کاربر است، ارائه خواهد شد. امنیت سایبری را چنین تعریف می‌کنیم«برآورد خصوصیات مرتبط با تمامی عامل‌های دخیل در پیشگیری، تشخیص و پاسخ به حملات در هر سیستم پیچیده‌ای که کامپیوتر در آن نقش کلیدی ایفا می‌کند.» و عامل انسانی را به عنوان یک عنصر مهم در امنیت سایبری معرفی می‌نماییم. و سیستم‌های سایبری- انسان با نام (CHS(Syber-Human System شناخته می‌شوند که در آنها سیستم‌های کامپیوتری (رایانه ای) و عامل انسانی هر دو نقش کلیدی را بازی می‌کنند که به عنوان نمونه می‌توان از سیستم‌های تجارت الکترونیکی و چهار چوب‌های مبتنی برفناوری اطلاعات در دانشگاه‌ها و و یا حتی نحوه رابطه یک تلفن هوشمند و کاربر آن اشاره نمود. به طور معمول در سنجش امنیت سازمانی به دستگاه‌های فیزیکی، دیواره‌های آتش، نرم افزار‌ها، کنترل‌های ادمین، روال‌ها و قوانین امنیتی حاکم بر سازمان توجه شده و عامل انسانی به عنوان یک عامل تبعیت کننده از قوانین امنیتی و کنترل‌های مدیر شبکه فرض می‌شود، که چنین برداشتی کاملا اشتباه و بسیار غیر منطقی است. در این مقاله تاثیر رفتار و تصمیمات عامل انسانی مورد بررسی قرار می‌گیرد و خواهیم دید که حتی رفتار و عملکرد گروهی از عامل‌های انسانی مثل مدیران سازمان و مدیران شبکه و پشتیبانان سیستم، در تصمیم گیری گروهی دیگر از عامل‌های انسانی مثل کارمندان بخش‌های اداری تاثیر گذار است. یک CHS به چهار بخش عمده تقسیم می‌شود:

• اجزا (Components): اجزاء فیزیکی که سیستم از آنها تشکیل گردیده‌است. مانند سرورها، استگاه‌های کاری کاربران، اتصالات شبکه و نرم افزارها
• مشارکت گران (Participants): موجودیت‌هایی که با سیستم در ارتباط هستند. غالبا عامل انسانی و عامل‌های غیر انسانی مثل پروسه‌های امنیتی و نظاره گر
• فعالیت های پردازشی (Processes): اهداف سازمانی و اطلاعاتی که مورد پردازش قرار می‌گیرد. مجموعه Task‌ها که توسط Participant‌ها انجام می‌شود.
• ریز وظایف (Tasks): ریزترین واحد کاری که توسط یک یا چند Participant انجام می‌شود.

با ارائه سناریو ای از یک CHS ادامه مبحث را پی می‌گیریم. استفاده از فلش مموری در یک سازمان تجاری که اطلاعات حساس سازمان در آن قرار می‌گیرد و در جلسه‌های تجاری و یا موسسات مرتبط با سازمان یا مشتریان به نمایش در می‌آید و جابجایی این اطلاعات بین مکان‌های مختلف را می‌توان به عنوان یک ریسک امنیتی شناسایی کرد. قوانین امینتی سازمان حاکی از این است که اطلاعات حساسی که قرار است روی فلش مموری ذخیره شوند، باید حتما به صورت رمزنگاری شده ذخیره شوند. کاربران می‌توانند از این قوانین پیروی یا سرپیچی نمایند. اما مدیریت امنیت گاهی اوقات به بررسی این حافظه‌ها پرداخته و کاربران خاطی را جریمه می‌نماید. همچنین قسمتی با نام پشتیبانی IT در موارد مرتبط با رمز نگاری حافظه‌ها راهنمای کاربران سازمان است. که از کل بودجه دپارتمان IT، بودجه‌ای معین به قسمت پشتیبانی و کنترل و بررسی حافظه‌ها اختصاص یافته‌است. هدف بخش امنیت اطلاعات سازمان، سنجش دسترس پذیری و محرمانگی در حافظه‌ها است. اما کاربران حافظه‌ها هدف و برداشت دیگری دارند که دسترس پذیری اطلاعات را در عدم استفاده از رمز نگاری، و در نتیجه رو در رو نشدن با بخش پشتیبانی برای رفع مشکلات احتمالی ناشی از فراموش کردن کلید رمز نگاری یا عدم توانایی رمزگشایی اطلاعات و شرمندگی ناشی از این موارد می‌دانند. و تنها عامل نگرانی آنها بررسی مدیریت و کشف سرپیچی آنها است. حال عناصر CHS را در سناریو بالا بررسی می‌نماییم.

• Components: فلش مموری، نرم افزار مربوط به رمز نگاری و ...
• Participants: کاربران ارائه کننده اطلاعات سازمان و نرم افزار مربوط به کنترل وضعیت داده‌های روی فلش
• Processes: انتقال اطلاعات سازمانی به وسیله فلش مموری، اجرای سیاست‌های امنیتی
• Tasks: رمزگذاری و رمز گشایی اطلاعات از روی فلش مموری، استفاده از کمک بخش پشتیبانی.

قسمت Task حاوی تمامی عملیاتی است که باید صورت پذیرد. حال به بررسی عوامل دخیل در میزان کارایی Task‌ها می‌پردازیم. که این عوامل شامل فرصت‌ها (Opportunity)، رضایت و تمایل (Willingness) و قابلیتها(Capability) فرض می‌کنیم. و به اختصار OWC می‌نامیم. با استفاده از هستی شناسی OWC می‌توانیم، شرایط عملکرد وظایف (Task Performance) را دسته بندی و بررسی نماییم. برای سادگی تحلیل Task را به دو دسته ساده مناسب یا نا مناسب تقسیم نموده. شرایط مناسب را وضعیت انتهایی دلخواه معرفی می‌کنیم. که با توجه به سناریو بالا، نوشتن اطلاعات رمزگذاری شده در مموری وضعیت مناسب خواهد بود. با توجه به تصویر زیر، اشتراک سه دایره OWC فضای مناسب برای ۴ عامل CHS را فراهم می‌آورد. برای تخمین زدن Opportunity باید مجموعه Task‌های داخلی آن را که با نام Opportunity Elements) OEs) در نظر گرفت و تابع ${\displaystyle f_{o}}$ عناصر داخل OE را بر {۰٬۱} منطبق می‌سازد که در سناریو مموری، {OE={E,L,U که E نماد نرم افزار رمزنگاری، L مکان کاربر،U خود حافظه‌است و برای نمونه OE برای E عبارت است از{E.state∈{available,not available و ${\displaystyle f_{o}}$ حاصل ضرب حالات مطلوب OE‌ها است تا به همان اشتراک نشان داده شده در تصویر نزدیک شویم. با درنظر گرفتن متغیر‌های تصادفی برنولی سایر عناصر W و C را نیز به مدل اضافه می‌نماییم.

حال که با تصمیم گیری عامل انسانی فضای حالت و توابع مدل کننده دارای خروجی‌های گوناگون می‌شوند و CHS مستقیما به تصمیم عامل انسانی وابسته‌است، عاملی به نام نقطه تصمیم انسان را نیز معرفی می‌نماییم و آن را با HDP نشان می‌دهیم.

چارچوب مدلسازی Multiple Asymmetric utility system یا ابزار سیستمی چندگانه نامقتارن را معرفی می‌نماییم. چهار بخش اصلی

1. مدل سیستم
2. مجموعه‌ای از توابع عملکردی
3. مجموعه تنظیمات سیستمی
4. مجموعه احتمالات مربوط به تمایل عامل انسانی یا HDP

تشکیل شده‌است.

تنظمیات سیستمی، قابلیت‌ها و امکانات (capabilities) سیستم را تشکیل می‌دهند. احتمال تمایلات مورد انتظار از کاربر را صفر فرض نموده و با توجه به مقداری تابع احتمال تمایلات، احتمال تمایلات مورد انتظار از کاربر(Expected Willingness Probality) و سودمندی کاربر یا به عبارتی (participant utility) مقداردهی می‌شوند و در نهایت میزان سودمندی امنیت با توجه به عوامل فوق محاسبه می‌گردد.

• عنوان انگلیسی مقاله:

• دریافت مقاله اصلی