مصاحبه با مارك برگمن
مدیر بخش فناوری شركت Symantec

اغلب افراد، شركت Symantec را به عنوان شركتی می‌شناسند كه از كامپیوتر در برابر ویروس‌ها و كرم‌های اینترنتی محافظت می‌كند و یا اگر یك مدیر سیستم باشید، به عنوان ارائه دهنده نرم‌افزار برای تهیه نسخه پشتیبان از فایل‌های كامپیوتر در شركت از محصولات Symantec استفاده می‌كنید. اما این شركت خود را در زمره شركت‌هایی قرار داده است كه به كنترل خطرات در زیر ساخت‌های IT به موسسات كمك می‌كنند. طبق اظهارات برگمن، مدیریت هویت، یك عنصر حیاتی در مدیریت خطرات است. در این مصاحبه، برگمن در خصوص مدیریت محتوا و نیز سایر دغدغه‌های امنیتی از قبیل روبات‌های جست‌وجوگر وب و افزایش روزافزون هرزنامه‌ها سخن می‌گوید.

- در سخنرانی‌های خود، در خصوص نقش حـائز اهمیت هویت در مقوله امنیت بسیار سخن گفته‌اید. در صورت امكان، در این مورد بیشتر توضیح دهید.

آنچه ما در 12 ماه گذشته مشاهده كردیم آن بود كه لایه دیگری در بالای اطلاعات وجود دارد كه از لحاظ امنیتی حائز اهمیت بیشتری است. اگر شما بخواهید به وب‌سایت یك بانك یا یك سایت تجارت الكترونیكی دسترسی یابید، باید با آن سرویس به تبادل اطلاعات بپردازید. از كجا باید دانست آنها همان اشخاصی هستند كـه ادعا می‌كنند؟ و آنـها از كـجا اطمینان یابند كه شـما همان فردی هستید كه ادعای آن را دارید؟

مارك برگمن مدیر بخش فناوری شركت Symantec

- شــركـت Symantec چگونه بر این مشـكل فائق آمده است؟

مشكل اصلی در دنـیای شـبكه ایـن نـیسـت كه چـگونه هویت شخص را پس از ایجاد كنترل كنیم؛ بلكه مشكل حقیقی، چگونگی ایجاد هویت در ابتدای امر است.

در دنیای فیزیـكی، هـنگامی كه برای انـجام كـاری بـه شـركتی مـراجـعه می‌كـنید (بـا پـرسـنل انسانی آن روبه‌رو می شوید)، آنها سوابق شما را بررسی و به صورت رو در رو با شما صحبت می‌كنند؛ همچنین برخی از اسناد هویتی شما را نیز به صورت فیزیكی مشاهده و بررسی می‌كنند. سپس بعد از انجام تمامی این امور، اعتبارنامه‌ای را صادر خواهند كرد و با استفاده از این اعتبارنامه می‌توانید تبادلات موردنظر را انجام دهید.

ما سعی داریم كه به واسطه‌ای در زمینه هویت بدل شویم، در نتیجه هر فرد می‌تواند از طریق انجام مراحلی،‌ هویت خود را نزد ما ایجاد كند و هنگامی كه یك بار این كار را انجام داد، می‌تواند از آن اعتبارنامه‌ها در هر كجای فضای مجازی كه خواست استفاده كند، زیرا سایر شركت‌ها به ما اطمینان دارند.

- این حالت همانند پاسپورت است و این تلاشی بود كه شركت مایكروسافت قصد انجام آن را داشت و می‌خواست یك سرویس ورود به سیستم جهانی ایجاد كند.

می‌توان گفت هم بلی و هم خیر. مدیریت پاسپورت‌ها اندكی بدون تفكر بود. مایكروسافت قصد داشت هویت را كنترل كند. اما تصور می‌كنم مسئله مهم آن است كه افراد باید هویت خود را كنترل كنند. این هویت متعلق به شماست نه شركت Symantec، در نتیجه ما در برابر مالك آن هویت، یك واسطه محسوب می‌شویم.

- آیا در جست‌وجوی داده‌های دولتی هستید؟

در بعضی مواقع، منبع اصلی هویت مربوط به دولت است، اما این كار به زمان بیشتری نیاز دارد. در این فاصله، مكانیسم‌هایی وجود دارند كه می‌توانیم آنها را مورد استفاده قرار دهیم. این مكانیسم‌ها مشابه درجه‌بندی اعتبار هستند. فرضاً اگر قصد دارید وامی را دریافت كنید، بانك به Equifax مراجعه خواهد كرد تا در مورد اعتبار شما اطلاعاتی كسب كند. در این حالت، Equifax اعتبار شما را تائید نخواهد كرد، بلكه مجموعه‌ای از داده‌های عمومی موجود مربوط به هم را ارائه خواهد داد كه تصویری كلی از شما ارائه می‌كنند.

همین مسأله در خصوص هویت نیز صادق است. بدون صدور هویت از سوی دولت، فرضاً من می‌توانم اعلام كنم كه این نام متعلق به من است. من می‌توانم آدرسی را ارائه دهم كه شما بتوانید آن را جست‌وجو كرده و بیابید. من مداركی را در اختیار دارم كه نشان می‌دهد در گذشته در كجا زندگی كرده‌ام و اگر من مارك برگمن نباشم، ممكن است شما از این آدرس‌ها مطلع نشوید. شما می‌توانید فرضاً از من سوال كنید كه آخرین كالایی كه با كارت اعتباری خود خریداری كرده‌ای چه بوده است؟ درنتیجه با محدود ساختن فرآیند تائید اعتبار و یا ایجاد هویت، می‌توان این كار را انجام داد.

اكنون این شیوه،‌ ممكن است بهتر از كارت‌های تائید هویت دولتی باشد. حتی در دنیای فیزیكی نیز ایجاد یك هویت جعلی كار چندان سختی نیست. كافی است یك گواهی ولادت داشته باشید. گواهی ولادت، كاغذی است كه در آن ذكر شده است فردی با آن نام در تاریخ موردنظر متولد شده است. اما این گواهی حاوی DNA، اثر انگشت و یا هیچ اطلاعات دیگری نیست. فرد باید دارای همان جنسیت و همان سن باشد و همین كافی است اما ما می‌توانیم تاریخچه‌ای از زندگی فرد ایجاد كنیم كه شیوه بهتری برای تائید هویت وی است.

- در مقوله امـنیت، مـا مـطالب بـسیاری در خـصوص روبـات‌های جـست‌وجوگر وب و یـا شـبكه‌هایی از كـاربران كامپیوتر كه به صورت پنهانی توسط ارسال كنندگان هرزنامه‌ها كنترل می‌شوند، شنیده‌ایم. شركت Symantec در این عرصه چه مواردی را مشاهده كرده است؟

یكی از گرایشات كلی آن است كه اكثریت خطرات ظرف چند سال گذشته از حالت آشكار به نامحسوس بدل شده‌اند.

این خطرات از حالت مخرب به جرائم مالی حقیقی تبدیل شده‌اند. مجرمان افراد كم هوشی نیستند. بهترین روش برای ورود مخفیانه به یك خانه وسرقت وسایل آن، این شیوه است كه شما ندانید سارقان در داخل خانه هستند، مگر آنكه بفهمید چیزی گم شده است... مجرمان فضای مجازی با ظرافت بیشتری این كار را انجام می‌دهند و هدف‌گیری دقیق‌تری دارند.

به این دلیل است كه شاهد تغییراتی در كرم‌ها و ویروس ها كه به صورت آشكار هستند و سبب بروز مشكلاتی نا‌محسوس در كامپیوترها می‌شوند، هستیم. این اقدامات در بهترین حالت خود، اصلاً محسوس نیستند و اگر ندانید كه آنها در آنجا حضور دارند، نمی‌توانید از شر آنها خلاص شوید.

من با شخصی كه شركت كوچكی داشت، صحبت كردم. او می‌گفت: « من این موضوع را متوجه نمی‌شوم. تنها سیستم‌هایی كه در شركت من دچار ویروس شده‌اند، كه روی آنها نرم‌افزار ضد ویروس نصب بوده است و سیستم‌های دیگر هیچ‌گاه مشكلی نداشته‌اند.» من نیز از وی پرسیدم، آیا هیچ‌گاه دقت كرده‌ای كه آنها روزبه‌روز كندتر می‌شوند؟ و او جواب داد: «بلی، پس از 9 ماه مجبور شدم آنها را عوض كنم. اما این بدان علت بود كه آنها كهنه شده بودند.»

البته آن كامپیوترها فقط كهنه نشده بودند، بلكه از انبوهی از موارد بیهوده انباشته شده بودند. من تصور می‌كنم افراد در این خصوص چندان نمی‌اندیشند. آنها فقط به این امر توجه دارند كه میزان هرزنامه‌ها 80 در صد افزایش یـافته اسـت، اما هنوز متوجه نشده‌اند كه هرزنامه تنها مشكل نیست، بلكه روبات‌های جست‌وجوگر و مواردی از این قـبیل هستند كه ایـجاد مشكل می‌كنند.

منبع: ماهنامه وب