تصورات اشتباه مدیران در مورد امنیت سایبری – قسمت دوم

تاریخ انتشار : دی ۴, ۱۳۹۷
1 ستاره2 ستاره3 ستاره4 ستاره5 ستاره

مهم‌ترین کارهایی که مدیران کسب و کارها برای کاهش آسیب‌پذیری‌های امینیت سایبری شرکت خود می‌توانند انجام دهند کدام هستند؟ ( امنیت سایبری )

مدنیک: اگر به جنبه‌های مدیریتی، سازمانی و استراتژیک امنیت سایبری توجه نکنید، بخش‌های مهمی را از دست می‌دهید. بسیاری از افراد روی توسعه‌ی بهتر سخت‌افزار و نرم‌افزار کار می‌کنند و این، کار خوب و مهمی است اما این کارها فقط تکه‌ای از یک پازل هستند.

تخمین‌ها نشان می‌دهند که حدود ۵۰ تا ۸۰ درصد حملات سایبری با کمک یا تشویق – اغلب ناخواسته‌ی – کارکنان داخلی اتفاق می‌افتند؛ مواردی که می‌توان آن‌ها را از انواع حملات فیشینگ (شامل کلیک کردن روی یک لینک موجود در ایمیل یا پرونده‌ی پیوست‌شده به آن) دسته‌بندی کرد. ایمیل‌های فیشینگ انبوه بی‌هدف با نرخی در حدود ۱ تا ۳ درصد توسط کاربران باز می‌شوند اما پیام‌های هدفمند که با عنوان «spear phishing» شناخته می‌شوند بسیار مؤثرترند و نرخ باز شدن آن‌ها حدود ۷۰ درصد است. با حملات فیشینگ هدفمند، شما ایمیلی مستقیم از یکی از مدیران رده‌بالای شرکت دریافت می‌کنید که از شما انجام کار خاصی مثل اعطای اختیار به یک کارمند جدید یا انتقال وجه به یک فروشنده‌ی جدید را می‌خواهد. ( امنیت سایبری )

بنابراین اگر شما به مسائلی که برای افراد پیش می‌آید توجه نکنید، بخش بسیار مهمی از مشکلات امنیت سایبری را فراموش کرده‌اید. بسیاری از آسیب‌پذیری‌هایی که در سازمان‌ها وجود دارد از فرهنگ صنفی که ما ایجاد می‌کنیم و آداب و رسومی که داریم ناشی می‌شود. در این مورد مثالی می‌زنم.

ما با شرکت‌های انرژی همکاری می‌کنیم. من با یکی از افرادی که از شعبه‌ی اصلی یکی از این شرکت‌ها دیدن کرده‌بود صحبت می‌کردم و او می‌گفت اگر در آن شرکت، بدون نگه داشتن نرده‌ها، از پله‌ها بالا و پایین روید، شخصی شما را متوقف می‌کند و خواهد گفت: «لطفاً برای ایمنی خود، نرده‌ها را نگه دارید». تفکر امنیت در این شرکت به این شکل رشد یافته است. به من گفته شد که اگر در تالار شرکت در حال اس‌ام‌اس دادن با گوشی راه بروید، شخصی خواهد گفت: «ایست! یا پیام بده، یا راه برو. هر دو را با هم انجام نده». به این خاطر که آن‌ها می‌دانند اگر کار اشتباهی در پالایشگاه نفت انجام دهند، کارخانه منفجر خواهد شد و افرادی جان خود را از دست می‌دهند. این تفکر امنیتی در شرکت جا افتاده است.

مثال دیگر این است: وقتی وارد یک کارخانه‌ی صنعتی می‌شوید، معمولاً تابلویی با این مضمون می‌بینید: «۵۲۰ روز از آخرین حادثه‌ی صنعتی». اگر وارد یک دیتاسنتر شوید، آیا تابلویی با مضمون «۵۲۰ میلی‌ثانیه از آخرین حمله‌ی سایبری موفق» مشاهده می‌کنید؟ آیا اصلاً می‌دانید که چه تعداد حمله‌ی سایبری موفق یا ناموفق در یک روز معمولی با هدف شرکت شما انجام می‌گیرد؟

شرکت‌ها باید این نوع فرهنگ ایمنی و تفکر در مورد امنیت سایبری را در خود رشد دهند. به قضیه این طور نگاه کنید: من می‌توانم یک قفل قوی‌تر روی در بگذارم، اما اگر همچنان عادت به گذاشتن کلید زیر پادری داشته باشم، آیا تعویض قفل به بالا رفتن امنیتم کمکی خواهد کرد؟ این مثال خیلی ساده‌سازی شده اما واقعاً در سازمان‌ها همین کار را می‌کنیم: ما درهای قوی‌تر و محکم‌تری می‌سازیم اما کلیدهای آن‌ها را همه‌جا رها می‌کنیم. به همین دلیل است که جنبه‌های سازمانی و مدیریتی امنیت سایبری این قدر حساس هستند. ( امنیت سایبری )

اما امنیت سایبری نیاز به این دارد که در تمام طول زنجیره‌ی تولید ارزش به آن توجه شود، درست است؟ زیرا ایجاد سیاست‌های عالی امنیت سایبری در شرکت بدون توسعه و گسترش آن به فروشندگان و تولیدکنندگان مرتبط، برای ایجاد امنیت کافی نخواهد بود.

مدنیک: حق با شماست. مردم معمولاً از تعبیر «e2e» یا پایانه به پایانه استفاده می‌کنند. شاید شما توانسته باشید تکه‌ی پازل مربوط به خود را کاملاً امن کنید اما امروزه هر کس از طریق یک یا چند راه، به دیگران متصل است. ( امنیت سایبری )

برای مثال، نفوذ اخیر در شرکت تارگت، از طریق یک شرکت تعمیر سامانه‌های گرمایشی، تهویه و خنک‌کننده انجام گرفت که به بعضی از سیستم‌های تارگت دسترسی داشت. همچنین، پلت‌فرم ارتباطی سوییفت برای مؤسسات مالی نیز از طریق یک آسیب‌پذیری در بانک بنگلادش آلوده شد که باعث از دست رفتن ۶۳ میلیون دلار سرمایه شد.

آیا صنعت خاصی وجود دارد که بتوانید به عنوان نمونه‌ای برای مدیریت خوب مسائل امنیت سایبری از آن نام ببرید؟

مدنیک: من شرکت‌ها را از سطح ضعیف، تا وحشتناک رده‌بندی می‌کنم. در این درجه‌بندی، خدمات مالی احتمالاً از بسیاری از بخش‌های دیگر موفق‌تر باشد. از سویی دیگر، این بخش، همان قسمتی است که معمولاً هدف بیشترین تعداد حملات قرار می‌گیرد. بنابراین آن‌ها باید دو برابر دیگران در امنیت سایبری خوب باشند، اما اگر قرار باشد مثلاً چهار برابر دیگران مورد حمله قرار بگیرند، این مقدار آمادگی هم نشان‌دهنده‌ی وضعیت خوبی برای آن‌ها نخواهد بود. ( امنیت سایبری )

من نمی‌دانم کدام بخش از صنعت ضعیف‌ترین امنیت سایبری را دارد، اما به وضوح بیمارستان‌ها به سختی برای این مقام رقابت می‌کنند. طبق یک گزارش، ۸۸ درصد از تمام باج‌افزارهای تشخیص‌داده‌شده (که در آن به نوعی کامپیوترها تا زمان پرداخت وجه، به عنوان گروگان نگه داشته می‌شوند) روی سازمان‌ها، بیمارستان‌ها را هدف می‌گیرند؛ دلیل آن هم این است که آن‌ها هدف آسانی هستند. اگر شما یک بیمارستان باشید و گرفتار باج‌افزار شده باشید، آیا برای خلاصی از آن پول پرداخت می‌کنید یا نه؟ اگر کامپیوترهای بیمارستان شما درگیر این مشکل شده باشند، بیماران بیمارستان در معرض خطر قرار می‌گیرند. دیگر نخواهید توانست به اطلاعات پزشکی به روز مثل نتایج آزمایش‌ها و تغییرات داروها دسترسی داشته باشید. بنابراین مجبور خواهید بود پول باج‌افزار را پرداخت کرده و جان افراد را به خطر نیاندازید. ( امنیت سایبری )

توصیه‌ی شما به مدیران کسب و کارهایی که خواننده‌ی نشریه‌ی ما هستند در زمینه‌ی امنیت سایبری چیست؟

مدنیک: به امنیت سایبری در قالب یک رهیافت سه شعبه توجه کنند: پیشگیری، کشف و بازیابی. گارتنر اخیراً گزارشی با این عنوان منتشر کرده‌است که «پیشگیری در سال ۲۰۲۰ کاری بیهوده خواهد بود». این موضوع با دیدگاه ما نیز منطبق است که می‌گوییم اگر پنتاگون قابل نفوذ باشد، اگر آژانس امنیت ملی ایالات متحده (NSA) قابل نفوذ باشد، اگر ارتش اسرائیل قابل نفوذ باشد، چطور می‌توانید فکر کنید که شما نفوذناپذیر هستید؟

به همین دلیل، شما باید به تمام این سه گام توجه کنید. البته، اگر بخواهید می‌توانید تا اندازه‌ی ممکن روی پیشگیری از حملات و نفوذ کار کنید، اما دو قدم بعدی حتماً باید کشف یا شناسایی و بازیابی باشند. طبق چندین مقاله‌ی منتشرشده، میانگین زمان کشف یک نفوذ سایبری می‌تواند از ۲۰۰ روز هم تجاوز کند. ضمن اینکه من اخیراً گزارشی را مطالعه کرده‌ام که می‌گفت این میزان در کشورهای منطقه شرق آسیا و اقیانوسیه، ۵۲۰ روز – بیش از دو برابر میانگین جهانی – است.

بنابراین توانایی ما در کشف این که چه اتفاقی در حال رخ دادن است، بسیار کم است. تا زمانی که شما حمله را شناسایی نکرده باشید، احتمالاً هکرها در حال گشت و گذار در اطراف، دزدیدن پرونده‌ها و انجام کارهای دیگر خواهند بود. ( امنیت سایبری )

این مثال را معمولاً تعریف می‌کنم: اگر هر روز ساعت ۵، شخصی با یک چرخ دستی پر از پول از بانک خارج شود، به نظر شما پس از چند روز، کسی متوجه این کار او خواهد شد؟ بله، احتمالاً! اما چیزهایی مثل این همیشه در سیستم‌های کامپیوتری اتفاق می‌افتند و هیچ‌کس به آن توجهی نمی‌کند. شاید این مسئله به اندازه‌ی مثالی که زدیم قابل دیدن نباشد، اما اتفاقات جالبی در سیستم‌ها رخ می‌دهد و اغلب هیچ کس حتی نگاهی هم برای دیدن این که آیا چیز مشکوکی وجود دارد یا خیر نمی‌کند.

و در نهایت، بازیابی در بسیاری از اوقات ضروری است. در مجموع، مدیران عامل در موقعیتی که شخصی میکروفونی در برابرشان قرار دهد و در مورد حمله‌ی سایبری که در همان لحظه در شرکتشان کشف شده سؤال کند، بسیار دست‌پاچه و ناآماده دیده می‌شوند. و همین موضوع بخشی از مقوله‌ی بازیابی است. سؤال دیگری که باید پاسخ داده شود این است که واقعاً توانسته‌ایم سیستم را از به وضعیت درست برگردانیم یا اینکه حمله هنوز ادامه دارد؟ چطور اطمینان حاصل کنیم که همین حمله هفته‌ی آینده دوباره اتفاق نمی‌افتد؟

همان طور که در سؤال قبلی صنایع را در زمینه‌ی امنیت سایبری ضعیف تا وحشتناک دسته‌بندی کردم، همین موضوع در مورد سه شعبه‌ای که نام بردم نیز وجود دارد. اکثر سازمان‌ها، در پیشگیری ضعیف، در تشخیص بسیار بد و در بازیابی احتمالاً وحشتناک هستند. ( امنیت سایبری )

من به شوخی می‌گویم که سال‌هایی نه چندان دور، امنیت سایبری کاری بود که به یک کارآموز کمک‌برنامه‌نویس واگذار می‌شد و کار او این بود که کامپیوتر به کامپیوتر رفته و آخرین وصله‌های مایکروسافت را روی آن‌ها نصب کند. اما حالا به جایی رسیده‌ایم که مدیرعامل یک شرکت باید در مورد حمله‌ی سایبری جدیدی که کشف شده، در مقابل خبرگزاری‌ها قرار گرفته و مصاحبه کند. بنابراین اگر شما یکی از بالارتبه‌ترین مقامات سازمان باشید، چنین رخدادی برای شما بسیار گران تمام خواهد شد. تا مدتی پیش، اکثر مدیران عامل به سختی می‌توانستند کلمه‌ی امنیت سایبری (cybersecurity) را درست تلفظ کنند! بنابراین مسائل زیادی است که باید با آن مواجه شوند. در هر سطح از سازمان، چه میزان آموزش در زمینه امنیت سایبری مورد نیاز است؟ به چه آمادگی‌هایی نیاز داریم؟ چطور با این حملات مقابله کنیم؟ مدیران باید به طور جدی روی این سؤالات فکر کنند. ( امنیت سایبری )

سال‌ها پیش در ۱۹۷۹، من به همراه همکارم کتابی با عنوان «امنیت کامپیوتر» نوشتم. چیزی که در نتیجه‌گیری یکی از فصل‌های کتاب وجود داشت و جالب بود این بود که می‌گفت اگر مسائل امنیت کامپیوترها را به افراد نشان ندهیم، از نیمی از مشکلات خلاص شده‌ایم. وقتی در یک دیدار اخیر با مدیران، همین جمله را تکرار کردم و گفت که فکر می‌کنم هنوز هم این جمله درست باشد، توسط یکی از حضار به من انتقاد شد که «شما به شدت نقش انسان در ایجاد مشکل را دست کم گرفته‌اید، این نقش بسیار بیشتر از ۵۰ درصد است!».


نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *