آرش کمانگیر

استفاده از وب برای فعالیت اجتماعی، مستلزم تولید، ذخیره‌سازی و انتقال اطلاعات است. بخش غالب این اطلاعات از جنس دیجیتال است و در محیط‌های دیجیتالی مبادله می‌شود. به این دلیل، توجه به مختصات این فضا، برای ایجاد یک چهارچوب امن الزامی است. هدف این اقدام، تضمین وضعیت امنیتی مناسبی است برای اینکه فعال اجتماعی بتواند وقت و توجه‌اش را صرف کار تخصصی خود کند.

امنیت یک مفهوم نرم است. به عبارت دیگر، رسیدن به امنیت مطلق تنها زمانی ممکن است که فرد از هیچ ابزاری استفاده نکند و در معرض هیچ خطری قرار نگیرد. به این دلیل، هدف ما ایجاد چهارچوبی است که میزان قابل قبولی از امنیت را تأمین کند. نکته‌ی کلیدی این است که این میزان کاملاً تحت تأثیر میزان خطری است که فرد را تهدید می‌کند. به این دلیل، یک کاربر معمولی، یک فعال شناخته شده، و فردی کلیدی در یک نهاد فعال، نیازهای امنیتی متفاوتی دارند و قدم اول در ایجاد امنیت برای آن‌ها، شناسایی نوع و میزان خطر است.

از سوی دیگر، یک چهارچوب امنیتی باید عملی و سبک باشد. این موضوع به این معناست که زمانی که یک مجموعه از اقدامات را به فردی پیشنهاد می‌کنیم، لازم است به این نکته دقت کنیم که این دستورالعمل باید نه فقط در بارهای اول و دوم، که برای کاربرد هرروزه مناسب باشد. به این ترتیب، اگر کاربر برای انجام کاری در فضای دیجیتال کاری را در سه مرحله انجام می‌دهد، نسخه‌ی امن این فعالیت باید حتی‌الامکان شامل بیشتر از سه مرحله نباشد و هیچیک از این مراحل نباید به‌طور ویژه‌ای پیچیده‌تر از مراحلی باشند که کاربر به آن‌ها عادت کرده ‌است.

ایجاد یک نظام امن برای فعالیت در فضای وب شامل اجزای مختلفی است که سه بخش مهم آن عبارت است از: امنیت اطلاعات، امنیت ارتباطات و امنیت در شبکه‌های اجتماعی. در این مقاله،  امنیت اطلاعات مورد بررسی قرار می‌گیرد و دو بخش دیگر، یعنی امنیت ارتباطات و امنیت روی شبکه‌های اجتماعی، در مقالات بعدی بررسی خواهند شد.

امنیت اطلاعات شامل چهار مرحله‌ی کلیدی است: تولید اطلاعات، نگهداری اطلاعات، انتقال اطلاعات، و نابودی اطلاعات.

تولید اطلاعات:

نکته‌ی کلیدی در امنیت تولید اطلاعات این است که تنها باید زمانی اطلاعات را تولید و جمع‌آوری کرد که حتماً الزامی برای این کار باشد. به این ترتیب، برای مثال، ایجاد فهرستی از نشانی ایمیل افرادی که یک فعال اجتماعی با آن‌ها در تماس است، می‌تواند خدمتی ناخواسته به نهادهای امنیتی باشد که درصدد کشف ارتباطات فعال اجتماعی هستند. به‌عنوان یک قاعده‌ی کلی، تا زمانی که لازم نیست، نباید اطلاعات از ذهن فعال اجتماعی روی کاغذ منتقل شود. انتقال اطلاعات به صورت دیجیتال، قدم مهم دیگری است که تنها باید زمانی برداشته شود که حتماً الزامی وجود دارد. در مقایسه با تولید اطلاعات در صورت‌های کاغذی و فیزیکی، اطلاعاتی که به صورت دیجیتال آمده است به‌راحتی می‌تواند نشت کند، دزدیده شود، مورد جست‌وجو قرار گیرد و برای زمان طولانی نگهداری شود. 

نگهداری اطلاعات:

یکی از نکات اساسی در انتخاب روش نگهداری اطلاعات، انتخاب بین سادگی و امنیت است. در موقعیت امروزی، یکی از ساده‌ترین روش‌ها برای نگهداری اطلاعات، ذخیره‌ی آن روی یک سرویس ابری، مانند Google Drive، Drop Box و یا نظایر آن است. اغلب این ابزارها این امکان را می‌دهند که یک پوشه در کامپیوتر شخصی با فضای ابری Sync شود و به این ترتیب، کاربر کافی است فایل‌های خود را در این پوشه ذخیره کند و از گرفتن نسخه‌ی پشتیبان نگرانی نداشته باشد.

نکته‌ی مهم این است که در چنین روشی، امنیت منوط به یک اسم رمز و احتمالاً اقدامات امنیتی مشابهی است. چنین وضعیتی ممکن است برای بعضی فعالان اجتماعی امنیت کافی فراهم کند، اما اگر برای مثال، فعال اجتماعی از کامپیوترهایی استفاده می‌کند که دیگران نیز به آن‌ها دسترسی دارند، استفاده از یک سرویس ابری اقدام مناسبی نیست، زیرا یک بار اشتباه و ترک کردن کامپیوتر در وضعیت لاگین شده کافی است تا اطلاعات نشت کند. یک روش جایگزین برای نگهداری اطلاعات، استفاده از یک هارددیسک خارجی، external است.

نکته‌ی مهم این است که همیشه در یک نظام امن نگهداری اطلاعات باید لایه‌های مختلف امنیت را در نظر داشت. به این ترتیب، برای مثال، باید موقعیتی را تصور کرد که فردی که قصد ضربه‌زدن به فعال اجتماعی را دارد، به فضای ابری یا هارددیسک

TrueCrypt

TrueCrypt

حاوی اطلاعات دسترسی پیدا کرده است. سؤال مهم در این موقعیت این است که چه چیزی این فرد را از دسترسی به اطلاعات حساس باز خواهد داشت؟

یکی از روش‌های مناسب برای ایجاد یک حلقه‌ی نرم‌افزاری برای حفاظت از اطلاعات، استفاده از ابزارهایی نظیر True Crypt است. این ابزارها به کاربر این امکان را می‌دهند که یک پوشه‌ی محافظت‌شده بسازد که برای دسترسی به آن دانستن یک اسم رمز الزامی است. متاسفانه True Crypt از دور خارج شده است و جست‌وجو برای جایگزین مناسب برای آن هنوز به نتیجه‌ی قطعی نرسیده است. در وضعیت فعلی، یک روش قابل پیشنهاد استفاده از یک ابزار فشرده‌سازی است که قابلیت اضافه‌کردن اسم رمز را بدهد. برای مثال، به کمک ۷-zip می‌توان انواع مختلفی از فایل‌های فشرده را ساخت و آن‌ها را با اسم رمز محافظت کرد. حتماً در این روش از یک اسم رمز طولانی استفاده کنید و دقت کنید که شکستن اسم رمز یک فایل بسیار عملی‌تر از یک حساب کاربری است. در مقایسه، محیط‌های آنلاین، نظیر ایمیل، بعد از چندبار دسترسی ناموفق به حساب کاربری، امکان آزمون اسامی رمز جدید را محدود می‌کنند. این در حالی است که کسی که به یک فایل رمزگذاری شده دسترسی دارد می‌تواند صدها هزار بار آن‌را در معرض آزمون‌های مختلف قرار دهد و از این طریق احتمالا موفق به شکستن رمز آن شود.

انتقال اطلاعات:

در مقایسه با خطرهایی که امنیت اطلاعات را در زمان ایستا تهدید می‌کنند، خطرهای موجود در زمان انتقال اطلاعات گسترده‌تر بوده و اقدامات اساسی‌تری را برای ایجاد امنیت طلب می‌کند. مسأله‌ی امنیت ارتباط را در مقاله‌ای مجزا بررسی خواهیم کرد.

winzip 

نابودی اطلاعات:

با کاهش اساسی هزینه‌ی نگهداری اطلاعات، ضرورت نابودی اطلاعات ممکن است مورد بی‌توجهی قرار گیرد. نکته‌ی کلیدی این است که میزان اطلاعاتی که در یک سرویس ابری یا هارد دیسک ذخیره می‌کنیم هرگز نباید صرفاً تابعی از میزان فضای در دسترس باشد. یکی از خطرات مهم برای فعال اجتماعی، و هر کسی که از یک محیط دیجیتال استفاده می‌کند، عواقب این نکته است که اطلاعات در محیط‌های دیجیتال به صورت خودکار پاک نمی‌شود. به این ترتیب، فایلی که حاوی اطلاعات حساسی‌ست، ممکن است به دلیل فراموشی و بی‌توجهی در یک سرویس ابری باقی بماند و فرد تنها زمانی از این نکته آگاه شود که اطلاعات افشا شده است.

ما اطلاعات را به این دلیل تولید می‌کنیم که به آن احتیاج داریم. نکته‌ی کلیدی این است که باید نظامی روشن برای حذف دایم این اطلاعات وجود داشته باشد. در غیراین‌صورت، اطلاعات قدیمی مانند یک بمب ساعتی امنیت فعال اجتماعی را تهدید می‌کند. برای مدیریت این وضعیت، در بازه‌های مشخصی، اطلاعات موجود در ایمیل، سرویس‌های ابری، کامپیوتر شخصی و تلفن همراه، و هارددیسک‌های خارجی را بررسی کنید و در هر مورد از خود بپرسید «آیا هنوز به این اطلاعات نیازی دارم؟» در صورتی که جواب به این سؤال منفی است، این اطلاعات را از بین ببرید.