آشنایی با مدل سازی تهدید

مقاله از EFF و ترجمه از جنسیت. استفاده‌ از این مطلب با قید کرییتیو کامنز. (CC BY-NC-SA 4.0) آزاد است.

می‌دانیم که هيچ راه‌حّل واحدی برای حفظ امنيت انلاين شما وجود ندارد. امنیت دیجیتال فقط وسایل و ابزار مورد استفاده‌تان مثل لپ‌تاپ و یا آی‌پد شما را در بر نمی‌گیرد، و بیشتر مرتبط با درک تهدیدهایی است که با آنها روبه‌رو می‌شوید و باید با آنها مقابله کنید. برای امن‌تر بودن، باید بدانید که از چه چیزی مراقبت می‌کنید و حواس‌تان باشد که مال و اموال‌ آنلاین‌تان ازدسترس چه کسانی باید محافظت شود. این تهدیدها بسته به محل شما و نوع کار و حرفه‌تان تغییر می‌کند. در نتیجه، برای اینکه ببینید چه راه‌حل‌هایی برای حفظ امنیت‌تان وجود دارد، باید به سراغ مدل‌سازی تهدید بروید و وضعیت‌‌تان را ارزیابی کنید.

به‌هنگام ارزیابی، باید ۵ سوال مهم را از خودتان بپرسید:

۱. از چه چیزی می‌خواهید محافظت کنید؟

۲. این چیز را از دسترس چه کسانی می‌خواهید دور نگاه دارید؟

۳. احتمال اینکه بخواهید از این چیز مراقبت کنید، چقدر است؟

۴. عواقب شکست شما در محافظت از این چیز چقدر بد خواهد بود؟

۵. برای محافظت این چیز، حاضرید تا کجا پیش بروید و خودتان را به زحمت بیاندازید؟

یک فهرست از داده‌های خود تهیه کنید و یادتان هم باشد که این داده‌ها را کجا نگه‌داری می‌کنید، چه کسی به این داده‌ها دسترسی دارد و چه چیزی مانع دست‌یابی بقیه به این اطلاعات است.

برای جواب به سؤال دوم یعنی «چیزهایی که دارید را از چه کسانی می‌خواهید محافظت کنید» مهم است بدانید که چه کسی ممکن است شما و اطلاعات شما را هدف قرار داده باشد و چه کسی دشمن شما محسوب می‌شود. دشمن، فرد یا نهادی است که تهدیدی برای دارایی آنلاین شما به حساب می‌آید. دشمن باالقوه شما می‌تواند رئیس‌‌تان، دولت و یا هکرهای شبکه‌های عمومی باشد.

وقتی در مورد سوال اول سخن می‌گوییم، اشاره‌مان به دارایی (asset) یا همان چیزهایی است که نیاز به محافظت ما دارند. دارایی (asset) چیزی است که برای شما با ارزش است و می‌خواهید از آن مراقبت و محافظت کنید. زمانی که در مورد امنیت دیجیتال صحبت می‌کنیم، دارایی‌های مورد نظر معمولاً اطلاعات و داده‌ها هستند. برای مثال، ایمیل‌ها، فهرست تماس، پیام‌های فوری و تمامی فایل‌ها، دارایی‌های شما محسوب می‌شود. ابزارهای‌تان، از جمله لپ‌تاپ و کامپیوتر و هارد درایو و فلش‌درایو هم می‌توانند دارایی‌های شما به حساب آید.

فهرستی از کسانی که ممکن است به دنبال داده‌ها و یا مکاتبات شما باشند تهیه کنید، که این لیست می‌تواند افراد، نهادهای دولتی یا یک شرکت‌ها و موسسات مختلف را در بر گیرد.

یک تهدید به خودی خود می‌تواند برای دارایی شما عین کابوس باشد. دشمن می‌تواند از راه‌های مختلفی داده‌ها و دارایی‌های آنلاین شما را تهدید کند. به‌عنوان مثال، دشمن‌تان می‌تواند مکاتبات خصوصی‌تان را زمانی که شبکه می‌گذرد بخواند، و یا دارایی‌های دیجیتالی‌تان را خراب کرده و یا از بین ببرد. دشمن هم‌چنین می‌تواند مانع دسترسی‌تان به اطلاعات خودتان بشود.

انگیزه دشمنان، درست مانند روش‌های مختلف حمله‌شان به داده‌های شما، می‌تواند متفاوت باشد و با هم فرق کند. تلاش دولت برای جلوگیری از پخش ویدیوی خشونت‌بار پلیس ممکن است فقط برای پاک کردنش و یا کاهش دسترسی مردم به آن ویدیو باشد، در حالی که یک رقیب و مخالف سیاسی‌تان ممکن است به دنبال دسترسی به داده‌های سّری شما و انتشارشان بدون اطلاع واجازه‌تان باشد.

کارهایی که دشمن‌تان ممکن است بر سر داده‌های خصوصی‌تان بیاورد را بنویسید.

توانایی دشمن و کسی که به شما حمله می‌کند، مساله مهمی‌است که باید مدّ نظر قرار دهید و جدی‌اش بگیرید! به‌عنوان مثال، شرکت مخابراتی‌ای که از آن خط موبایل‌تان را گرفته‌اید، به تمامی داده‌ها و سابقه تماس‌های‌تان دسترسی دارد و می‌تواند از این اطلاعات، علیه خود شما استفاده کند. یک هکر می‌تواند به تمامی مکاتبات محافظت نشده شما در فضایی که WI-Fi آن کاملا باز است، دسترسی داشته باشد. دولت‌تان هم می‌تواند از توانایی‌های بیشتری برخوردار باشد.

مورد نهایی که باید به آن توجه شود، ریسک است. ریسک، احتمال وقوع خطری است که می‌تواند از سوی یک تهدید کننده خاص، متوجه یک دارایی مشخص شما شود و کاملا بستگی به میزان توانایی دشمن‌تان دارد. به‌عنوان مثال، با اینکه شرکت مخابراتی‌ای که خط موبایل‌تان را از آن گرفته‌اید، توانایی دسترسی به اطلاعات شما را دارد، اما ریسک انتشار این اطلاعات برای آسیب رساندن به شهرت شما از سوی این شرکت، بسیار کم است(چون دیگر کسی به این شرکت اعتماد نخواهد کرد)*.

درک تفاوت‌های موجود میان ریسک‌ها و توانایی‌ها بسیار مهم است. در حالی‌که یک تهدید، اتفاق بدی است که ممکن است رخ بدهد، ریسک، احتمال عملی شدن آن تهدید است. برای مثال، خطر فرو ریختن ساختمان شما اگر در سانفرانرانسیسکو (که شهری زلزله‌خیز است) باشد، بیشتر از استکهلم است.

تجزیه و تحلیل ریسک، فرایندی فردی و ذهنی است، و اولویت‌ها و نگاه‌های افراد مختلف به این تهدیدها یکسان نیست. خیلی‌ها، تهدیدهای معینی را غیر قابل قبول می‌دانند، حالا ریسک هرچه می‌خواهد باشد، چون از نظر آنها، وجود تهدید در هیچ شرایطی برای‌شان قابل پذیرش نیست و تحمل تهدید ارزشش را ندارد. در موقعیت‌های دیگر، مردم شرایط با ریسک بالا را نادیده می‌گیرند، چرا وجود تهدیدها، مساله‌ای برای‌شان نیست.

برای مثال در موارد نظامی، ترجیح شاید با نابود کردن یک دارایی باشد تا اینکه به دست دشمن بیافتد. در مقابل، در بسیاری از موارد غیرنظامی، حفظ دارایی‌ها مانند برقرار ماندن سرویس‌های ایمیلی بر محرمانه نگه داشتن‌شان ارجحیت دارد
*مترجم