مصاحبه با مارك برگمن
مدیر بخش فناوری شركت Symantec
اغلب افراد، شركت Symantec را به عنوان شركتی میشناسند كه از كامپیوتر در برابر ویروسها و كرمهای اینترنتی محافظت میكند و یا اگر یك مدیر سیستم باشید، به عنوان ارائه دهنده نرمافزار برای تهیه نسخه پشتیبان از فایلهای كامپیوتر در شركت از محصولات Symantec استفاده میكنید. اما این شركت خود را در زمره شركتهایی قرار داده است كه به كنترل خطرات در زیر ساختهای IT به موسسات كمك میكنند. طبق اظهارات برگمن، مدیریت هویت، یك عنصر حیاتی در مدیریت خطرات است. در این مصاحبه، برگمن در خصوص مدیریت محتوا و نیز سایر دغدغههای امنیتی از قبیل روباتهای جستوجوگر وب و افزایش روزافزون هرزنامهها سخن میگوید.
- در سخنرانیهای خود، در خصوص نقش حـائز اهمیت هویت در مقوله امنیت بسیار سخن گفتهاید. در صورت امكان، در این مورد بیشتر توضیح دهید.
آنچه ما در 12 ماه گذشته مشاهده كردیم آن بود كه لایه دیگری در بالای اطلاعات وجود دارد كه از لحاظ امنیتی حائز اهمیت بیشتری است. اگر شما بخواهید به وبسایت یك بانك یا یك سایت تجارت الكترونیكی دسترسی یابید، باید با آن سرویس به تبادل اطلاعات بپردازید. از كجا باید دانست آنها همان اشخاصی هستند كـه ادعا میكنند؟ و آنـها از كـجا اطمینان یابند كه شـما همان فردی هستید كه ادعای آن را دارید؟- شــركـت Symantec چگونه بر این مشـكل فائق آمده است؟
مشكل اصلی در دنـیای شـبكه ایـن نـیسـت كه چـگونه هویت شخص را پس از ایجاد كنترل كنیم؛ بلكه مشكل حقیقی، چگونگی ایجاد هویت در ابتدای امر است.
در دنیای فیزیـكی، هـنگامی كه برای انـجام كـاری بـه شـركتی مـراجـعه میكـنید (بـا پـرسـنل انسانی آن روبهرو می شوید)، آنها سوابق شما را بررسی و به صورت رو در رو با شما صحبت میكنند؛ همچنین برخی از اسناد هویتی شما را نیز به صورت فیزیكی مشاهده و بررسی میكنند. سپس بعد از انجام تمامی این امور، اعتبارنامهای را صادر خواهند كرد و با استفاده از این اعتبارنامه میتوانید تبادلات موردنظر را انجام دهید.
ما سعی داریم كه به واسطهای در زمینه هویت بدل شویم، در نتیجه هر فرد میتواند از طریق انجام مراحلی، هویت خود را نزد ما ایجاد كند و هنگامی كه یك بار این كار را انجام داد، میتواند از آن اعتبارنامهها در هر كجای فضای مجازی كه خواست استفاده كند، زیرا سایر شركتها به ما اطمینان دارند.
- این حالت همانند پاسپورت است و این تلاشی بود كه شركت مایكروسافت قصد انجام آن را داشت و میخواست یك سرویس ورود به سیستم جهانی ایجاد كند.
میتوان گفت هم بلی و هم خیر. مدیریت پاسپورتها اندكی بدون تفكر بود. مایكروسافت قصد داشت هویت را كنترل كند. اما تصور میكنم مسئله مهم آن است كه افراد باید هویت خود را كنترل كنند. این هویت متعلق به شماست نه شركت Symantec، در نتیجه ما در برابر مالك آن هویت، یك واسطه محسوب میشویم.
- آیا در جستوجوی دادههای دولتی هستید؟
در بعضی مواقع، منبع اصلی هویت مربوط به دولت است، اما این كار به زمان بیشتری نیاز دارد. در این فاصله، مكانیسمهایی وجود دارند كه میتوانیم آنها را مورد استفاده قرار دهیم. این مكانیسمها مشابه درجهبندی اعتبار هستند. فرضاً اگر قصد دارید وامی را دریافت كنید، بانك به Equifax مراجعه خواهد كرد تا در مورد اعتبار شما اطلاعاتی كسب كند. در این حالت، Equifax اعتبار شما را تائید نخواهد كرد، بلكه مجموعهای از دادههای عمومی موجود مربوط به هم را ارائه خواهد داد كه تصویری كلی از شما ارائه میكنند.
همین مسأله در خصوص هویت نیز صادق است. بدون صدور هویت از سوی دولت، فرضاً من میتوانم اعلام كنم كه این نام متعلق به من است. من میتوانم آدرسی را ارائه دهم كه شما بتوانید آن را جستوجو كرده و بیابید. من مداركی را در اختیار دارم كه نشان میدهد در گذشته در كجا زندگی كردهام و اگر من مارك برگمن نباشم، ممكن است شما از این آدرسها مطلع نشوید. شما میتوانید فرضاً از من سوال كنید كه آخرین كالایی كه با كارت اعتباری خود خریداری كردهای چه بوده است؟ درنتیجه با محدود ساختن فرآیند تائید اعتبار و یا ایجاد هویت، میتوان این كار را انجام داد.
اكنون این شیوه، ممكن است بهتر از كارتهای تائید هویت دولتی باشد. حتی در دنیای فیزیكی نیز ایجاد یك هویت جعلی كار چندان سختی نیست. كافی است یك گواهی ولادت داشته باشید. گواهی ولادت، كاغذی است كه در آن ذكر شده است فردی با آن نام در تاریخ موردنظر متولد شده است. اما این گواهی حاوی DNA، اثر انگشت و یا هیچ اطلاعات دیگری نیست. فرد باید دارای همان جنسیت و همان سن باشد و همین كافی است اما ما میتوانیم تاریخچهای از زندگی فرد ایجاد كنیم كه شیوه بهتری برای تائید هویت وی است.
- در مقوله امـنیت، مـا مـطالب بـسیاری در خـصوص روبـاتهای جـستوجوگر وب و یـا شـبكههایی از كـاربران كامپیوتر كه به صورت پنهانی توسط ارسال كنندگان هرزنامهها كنترل میشوند، شنیدهایم. شركت Symantec در این عرصه چه مواردی را مشاهده كرده است؟
یكی از گرایشات كلی آن است كه اكثریت خطرات ظرف چند سال گذشته از حالت آشكار به نامحسوس بدل شدهاند.این خطرات از حالت مخرب به جرائم مالی حقیقی تبدیل شدهاند. مجرمان افراد كم هوشی نیستند. بهترین روش برای ورود مخفیانه به یك خانه وسرقت وسایل آن، این شیوه است كه شما ندانید سارقان در داخل خانه هستند، مگر آنكه بفهمید چیزی گم شده است... مجرمان فضای مجازی با ظرافت بیشتری این كار را انجام میدهند و هدفگیری دقیقتری دارند.
به این دلیل است كه شاهد تغییراتی در كرمها و ویروس ها كه به صورت آشكار هستند و سبب بروز مشكلاتی نامحسوس در كامپیوترها میشوند، هستیم. این اقدامات در بهترین حالت خود، اصلاً محسوس نیستند و اگر ندانید كه آنها در آنجا حضور دارند، نمیتوانید از شر آنها خلاص شوید.
من با شخصی كه شركت كوچكی داشت، صحبت كردم. او میگفت: « من این موضوع را متوجه نمیشوم. تنها سیستمهایی كه در شركت من دچار ویروس شدهاند، كه روی آنها نرمافزار ضد ویروس نصب بوده است و سیستمهای دیگر هیچگاه مشكلی نداشتهاند.» من نیز از وی پرسیدم، آیا هیچگاه دقت كردهای كه آنها روزبهروز كندتر میشوند؟ و او جواب داد: «بلی، پس از 9 ماه مجبور شدم آنها را عوض كنم. اما این بدان علت بود كه آنها كهنه شده بودند.»
البته آن كامپیوترها فقط كهنه نشده بودند، بلكه از انبوهی از موارد بیهوده انباشته شده بودند. من تصور میكنم افراد در این خصوص چندان نمیاندیشند. آنها فقط به این امر توجه دارند كه میزان هرزنامهها 80 در صد افزایش یـافته اسـت، اما هنوز متوجه نشدهاند كه هرزنامه تنها مشكل نیست، بلكه روباتهای جستوجوگر و مواردی از این قـبیل هستند كه ایـجاد مشكل میكنند.
منبع: ماهنامه وب
مطالب مرتبط:
پیر امیدیار؛ موسس ایرانی eBay - قسمت اول
با موسس ایرانی eBay - قسمت دوم
ابلهانه ترین سوالات كاربران كامپیوتر در انگلیس