اين گفتگو حول موضوع رمزنگاري (CRYptographer*) با او انجام شده است وي به عنوان موسس امنيت اينترنت در Counterpane co نسبت به مطبوعات واکنشي مهاجمانه داشته و به سختي با آن کنار مي آيد اما وقتي هم که okدهد، مي توان دنياي تحولات امنيتي در اينترنت و شبکه هاي رايانه اي را از کلامش در مصاحبه اي کوتاه گرفت.

بروس در کتاب جديد خود به نام Beyond fear: Thinking sensibly About Security in an uncertain world به عنوان بت شکن نگاهي غير آي تي آنه (Non IT) به امنيت سيستم ها دارد و چالش هاي امنيت فيزيکي را به عنوان ترمي جديد (New Term) در سيستم ها و شبکه ها بررسي مي کند و از آن شمايي کلي در اختيار خواننده قرار مي دهد. در اين راستا حرکتي بلند پروازانه از infosecurity به دنياي جديدي (که در تخيل خود ساخته) دارد که در اين گفتگو چنين شرح مي دهد:

شما از دوران رمزنويسي فاصله بسيار گرفته ايد و حالا در دنياي متکامل تري از امنيت سيستم ها سير مي کنيد.
«امنيت» يک «سيستم» است و مقوله عمده اي که روي آن کار کرده ام همين موضوع بوده و بيشتر از اين منظر به امنيت نگريسته ام.

ابتدا با رمزنويسي شروع کردم و بعد براي مقابله با حملات هوشمندانه به امن کردن سيستم ها از طريق رياضيات پرداختم و بعدها که بيشتر روي امنيت رايانه متمرکز شدم ، به «خوب طراحي کردن» نرم افزار و سخت افزارها براي شکست نفوذگران بها دادم و سرمايه گذاري فکري بزرگي روي آن کردم.

بعدها در طول تحقيقات و تجربه هاي کاري فهميدم که شبکه هاي امن نيز با خطاهاي انساني دچار شکست و نقض مي شوند و در اين ميان امنيت به عنوان يک زنجيره با توسعه رمزنويسي با حلقه هاي قوي تر، محکم تر مي شود. به اين فکر افتادم که مشابه همين داستان را مي توان در دنياي امنيت غيررايانه اي (معادل همان تکنيک هاي رمزنويسي رايانه اي) ارزش سازي کرد و همان مراحل توسعه و تکامل رمزنويسي را براي امنيت سيستم ها در بعد فيزيکي پياده کرد و اين بود که در کتاب جديدم از آن به عنوان ترمي جديد در امنيت ياد کرده و براي آن تعاريف جديدي ارائه کردم.

در واقع انگيزه اي هم که باعث نوشتن کتاب جديد شد ادراک من از چشم انداز جديد درباره «امنيت» است که از لابه لاي موضوعات گيج کننده و پيچيده استنتاج شده است.

و حتما شما براي سروسامان دادن به آن هنوز در آشفتگي فکري به سر مي بريد. فرهنگ سازي براي ادغام امنيت فيزيکي و آي تي سخت بنظر مي رسد و قطعا با استثناهاتي در عقايد خود روبه رو مي شويد که شايد نتوان از آن به عنوان ترمي جديد نام برد!
انفصال فرهنگي بزرگي در عقايد کساني که به امنيت فيزيکي فکر مي کنند و کساني که به امنيت رايانه اي بها مي دهند ، هست که از امنيت به عنوان ترمي جديد ياد نمي کنند. اما من همه اين عقايد و افکار را يک کاسه کرده و در زير مجموعه اي به نام سيستم هاي امنيتي جمع کرده ام.

گروهي که روي امنيت فيزيکي کار مي کنند وقت بسياري صرف کارتهاي آي دي ملي مي کنند که اگر موفق شوند مي توانند آن را در سطح ملي اجرا کنند اما هرگز نمي توانند آن را در مورد همه خارجيان (خارج از امريکا) اعمال کنند. آنها فکر مي کنند توقيف يک چاقو از مادربزرگ موفقيت به شمار مي رود و دقيقا به همين خاطر است که من شکست در اين عقيده را با چشم خود مي بينم.

امنيت ما دچار سردرگمي فراوان در تعاريف است که دائما با حفره ها و آسيب پذيريهاي عمده و غيرعمده دست و پنجه نرم مي کند و به همين خاطر است که تاکيد مي کنم که گروه طرفداران امنيت فيزيکي به موضوع به عنوان يک ترم سيستماتيک نمي انديشند.

به فرضيه تکاملي شما مي توان به عنوان جهاني کمپرس شده (که ما آنرا مي بينيم) نگاه کرد که در آن اطلاعات و امنيت فيزيکي دو تاکتيک (share) شده بوسيله انضباط امنيتي است با اين نوع نگرش آيا مقاومتي از سوي گروه طرفداران امنيت فيزيکي در برابر خود مي بينيد و برعکس ، طرفداران امنيت آي تي ، رمزنويسان و کساني که با اين نوع نگاه کار مي کنند ، به چه فکر مي کنند؟
امنيت فيزيکي بطور سنتي در کشورهاي قديمي رايج است و مقاومت سرسختانه اي هم براي عوض شدنش صورت مي گيرد. در اينجا نيز من کشف کرده ام که بيشتر کارمندان و شاغلان قادر نيستند با راههاي جديد درباره مشکلات سنتي خود فکر کنند (اين موضوع را مي توانيم در ژانويه 2003 زماني که مت بليز درباره نحوه شکستن قفل دربها به طريقه فيزيکي نوشت ، ببينيم). قفل سازان حرفه اي نسبت به کتاب بليز واکنش خشم آلودي نشان دادند و اعتراض کردند که چرا «اسرار مگو» بايد توسط وي فاش شود آنها مي گفتند نبايد اين اسرار در دست عموم بيفتد. من عقيده دارم که اين اسرار مگو هميشه در دست بچه هاي بد است و کمتر افراد خوب سعي مي کنند بدان دسترسي يابند و به همين دليل است که چنين مشکلاتي هنوز حل ناشده باقي مانده است.

در آن طرف ميدان حرفه اي هاي آي تي بيشتر مشتاق هستند تا با متدلوژي و راههاي تفکر در دنياي واقعي امنيت ، با موضوع برخورد کنند (من در بسياري از مواقع از استعاره هاي فيزيکي براي تبيين امنيت رايانه اي بهره برده ام). از اين رو اسلوب شناسان امنيت رايانه مشکلات امنيت فيزيکي را با متدلوژي خودشان نگريسته و دنبال چاره جويي مي روند.
يک طرفدار امنيت فيزيکي استدلال مي کند که دار و دسته امنيت رايانه اي هميشه زماني که وقت مناسب نيست ، در تلاش براي حل مشکلات خود از تکنولوژي مدد مي گيرند و گامهاي برداشته شده کاملا برخلاف گام هايي است که قوم امنيت فيزيکي دنبال آن مي روند.
دوستداران امنيت آي تي هميشه ترجيح داده اند که بوسيله تکنولوژي مشکلاتشان را حل کنند و همين موضوع مي تواند توضيح دهنده بسياري از شکست ها در اين حيطه باشد. و در اينجاست که من از ترم سيستماتيک امنيت دفاع مي کنم ، کمااين که از بي فکري براي اجراي تکنولوژي نيز پرهيز مي کنم.

تجربه نشان داده که در بسياري مواقع مشکلات امنيتي ذاتا مبهم هستند و تکنولوژي نمي تواند در اين زمينه کمک نمايد. چک کردن فتو آي دي مثال خوبي در اين باره است.

تکنولوژيست ها مي خواهند اين کيس را اضافه کنند تا بوسيله آن مانع از جعل آي دي شوند اما من ناراحت مي شوم از اين که فردي مي تواند با دادن رشوه يک آي دي جعلي بگيرد (پس مشکلات را اينطور نيز مي توان حل کرد). بنابراين با سخت تر کردن ساخت آي دي نمي توان جلوي جعل را گرفته و مشکلات مردم را حل کرد.
بت شکني که از آن نام بردم در کتاب شما با عنوان «انديشه معقول درباره امنيت در يک دنياي نامعلوم» شروع مي شود با ضربه اي تلويحي مي توان گفت طرز فکرهاي مزخرف زيادي است که نياز به اصلاح دارد برخي از مواردي که شما ديده ايد يا شنيده ايد را بگوييد؟
داستان هاي استاپيدسيکيوريتي مانند يک سکه ده سنتي در ميان يک دوجين سکه درشت است که در سايت www.stupidsecurity.com با جايزه اي بزرگ براي متخلفان خودنمايي مي کند ترس من از اينجا ناشي مي شود که بسياري از اين معيارهاي غلط از نظر مردم نکته هاي مثبت به شمار مي رود. در اين راستا بسياري معتقدند افزايش تقاضا براي Identification باعث ارتقاي امنيت مي شود و بسياري معتقدند که توقيف چاقوي جيبي در هواپيما خطر هواپيماربايي را کاهش مي دهد. اما من مي گويم امنيت هر دو بعد احساس و واقعيت را در بر مي گيرد و انشعاب ميان اين دو باعث بروز مزاحمت ها و رنج هاي بيشتر مي شود.

ثمره 2 سال «سايبر تروريسم» چه بوده است؟
به نظر من اين روزها مقدار زيادي چرنديات درباره اين مقوله به زبان رانده شده و به صورت نوشتاري ضبط و منتشر مي شود. قبل از آن که مردم از شما چشم بپوشند شما مانند گرگ جيغ مي زنيد و حالا پس از 2 سال مردم نسبت به تهديدات بر زبان رانده شده و نوشته شده بي تفاوت شده اند. شخصا عقيده دارم درصد ريسک درباره «سايبر تروريسم» بسيار اغراق آميز است.

شرکت من (counterpane) روزانه هزاران وب سايت و سرور را در دنيا چک مي کند و ما هر روز جنايات الکترونيکي را به وفور مي بينيم اما آنچه تروريسم را تيتر يک روزنامه ها کرده به واقع اتفاق نيفتاده است و اين دقيقا معادل انحراف و عدول از پاسخگويي مثبت به مردم و مخاطبان است که ساعت ها درباره اين خطرها فقط شنيده اند و چيزي نديده اند! اگر مشکل «سايبر تروريسم» است ، حکومت درباره آن اقدامات لازم را انجام دهد ؛ اگر مشکل جنايات سايبر است ، صاحبان شبکه هاي رايانه اي مشکلاتشان را حل کنند تا چنين اتفاقي نيفتد. پس مي بينيم که اين موضوع (سايبر تروريسم) جذابيت خاصي براي انحراف از پاسخگويي مناسب به مردم از سوي مسوولان به شمار مي رود و حکومت نيز به سايبر تروريسم به عنوان مفري براي عدم حل مشکلات دامن مي زند. (به تازگي دانشجوي دانشگاه جورج ميسون تزي درباره در دسترس بودن اطلاعات مردم در ورودي هاي ارتباطاتي امريکا مطرح کرد اما فورا به وي گفته شد با نوت بوکش جلسه را ترک کرده تا با خطر اتهام تروريسم روبه رو نشود). امروز پريشاني ميان رازداري (secrecy) و امنيت (security) کاملا مشهود شده است.

امن کردن فراساختارهاي ارتباطاتي اقدامي ارتجاعي (جهنده) در برابر امنيت تلقي مي شود. فراساختارها امن نيستند و اين را همگان جار مي زنند بدون اين که از اين صحبت کنند که مطرح کردن همين موضوع براي مخالفان جذابيت دارد. بنابراين رازداري نيست ، امنيت گم شده و شما نيز ديگر نمي توانيد به عقب برگرديد.

چرا بايد روي اين نکته پاي بفشاريم که اگر اطلاعاتمان را مخفي نگه داريم و آن را دور از دسترس قرار دهيم ، بچه هاي بد از به دست آوردن آن منصرف مي شوند؟
اين يک عقيده شايع است که رازداري معادل امنيت است اين تصوري غلط ميان مردم است و بسيار شبيه همان داستان زدن تير به پيام آوري است که خبر بد آورده است.

اين مشکل روحي در بين مردم هست ، رازداري به سوي يک نقطه منعطف است اما امنيت بسيار شکننده است.

چه مفهومي از اصطلاح ترد و شکننده (brittle) داريد؟
من از اين واژه به عنوان ترمي جديد استفاده مي کنم که با آن تعداد و کيفيت شکسته شدن و نقض در سيستم هاي امنيتي را توضيح مي دهم.

سيستم هاي بريتل (ترد و شکننده) سيستم هايي هستند که به آساني ، به طور کامل و مصيبت بار نقض و شکسته مي شوند. خانه اي ساخته شده از کارتها يک بريتل است که وقتي يکي از کارتها را که به صورت قطاري چيده شده اند برداريم ، کل ساختار مي شکند. اکنون بيشتر سيستم هاي رايانه اي بريتل هستند و وقتي امنيت در آنها نقض مي شود به طور کامل از بين مي رود. در اين ميان سيستم هاي جهنده (Resilient) امن مي مانند و نقض کوچک باعث نقض بزرگ در کل سيستم نمي شود. در فصل نهم کتاب جديدم درباره تردي و ارتجاعي بودن سيستم ها بحث کرده ام (يعني سيستم هاي بريتل و جهنده). راههاي وصول به سيستم جهنده را نيز شرح داده ام که دفاع در عمق ، قسمت قسمت کردن سيستم و انعطاف پذيري سيستم از جمله آنها است آنها همه مشخصات يک سيستم امن به طور طبيعي است که اغلب در سيستم هاي رايانه اي کنوني يافت نمي شوند.
نظريات کنگره درباره امنيت چگونه است؟
من چندين بار در جلسات آنها به عنوان صاحب کلام حرف زده ام آنها هر تصميمي که مي گيرند با رضايت عمومي است اما امنيت واقعي انتخاب ها را بسيار سخت مي کند چرا که به منافع شرکت ها و صنايع آسيب وارد مي کند. امنيت واقعي مي گويد چه چيز درست است نه اين که بگويد چيزي که سياستمداران مي گويند ، صحيح است!.

نظرات مردم درباره ريسکهاي امنيتي چگونه است؟
من فکر مي کنم سوال اصلي را اين طور مطرح کنيم که چرا مردم در ارزيابي ها و پيش بيني ها و پذيرش ريسک اينقدر (Lousy) هستند. اين سوال پيچيده اي است که من در فصل دوم کتابم بدان پرداخته ام.

ارزيابي ريسک يکي از فانکسيون هاي داخل مغز است که از مفتولي سخت در يک پروسه جا مي گيرد. انديشه هاي ما خطرساز است و مبتني بر آزمايش اما همچنان 2 فاکتور احساس و شهود نيز بدان افزوده مي شود. علوم مدرن چيزهايي را مي سازد که توضيحش براي يک فرد متوسط نيز دشوار است.