فاطمه نیلی دانشجوی MBA دانشگاه صنعتی شریف مرور حملات سایبری گزارش شده در سال 2014 و ادامه این روند در سال جاری، ضرورت به‌کارگیری روش‌های موثر در جهت ارتقای امنیت سایبری را بیش از پیش به ما یادآور می‌شود. کسب‌و‌کارهای زیادی از جمله Sony Pictures،JP Morgan و Los Vegas Sands در سال‌های اخیر مورد حمله هکرها قرار گرفته‌اند و به دلیل این حملات رقمی حدود 400 میلیارد دلار در سال 2014 به اقتصاد جهان ضربه وارد شده است.
نبود قوانین لازم برای تحت پیگرد قرار دادن عاملان این حملات، به گونه‌ای که تنها 2 درصد از مجرمان سایبری تحت پیگرد قانونی قرار می‌گیرند و همچنین هزینه پایین و حاشیه سود بالای این حملات و از سوی دیگر دفاع پرهزینه قربانیان، حملات سایبری را برای مهاجمان به شدت جذاب کرده است.
اهمیت مساله امنیت سایبری و رشد در دنیای امروز تا به حدی هست که به یکی از موضوعات مورد بحث در نشست سال ۲۰۱۵ مجمع جهانی اقتصاد در داووس سوئیس تبدیل شد؛ این نشست هر سال با هدف گسترش روابط بین‌المللی و بررسی امور جهانی اقتصادی برگزار می‌شود.
حملات سایبری به گونه‌های مختلف و با اهداف متفاوتی صورت می‌گیرند، اما طبق گزارش اخیر اداره اطلاعات امنیت ملی آمریکا (US Intelligence Community)، این حملات در سال‌های آینده زیرساخت کلی کشورها را هدف قرار نمی‌دهند، بلکه این تهدیدات از منابع مختلف، با تنوع رو به رشد و با شدت کم تا متوسط، پیش‌بینی می‌شوند که علیه اهداف بخش‌های خصوصی صورت گیرند. طبق این گزارش حمله به زیرساخت اصلی کشورها از اهدف هکرها نیست، زیرا این ساختارها سیستم‌های پیچیده‌ای دارند و همواره تامین امنیت آنها مورد توجه بوده، در واقع اهداف بی‌دفاع (Soft Targets) که در کسب‌وکارهای معمولی مشغول هستند، در آینده بیشتر مورد توجه هکرهای باهوش خواهند بود؛ زیرا مساله امنیت عموما برای این کسب‌وکارها اولویت بالایی ندارد و نفوذ به این سیستم‌ها برای هکرها ساده‌تر است، از سوی دیگر به دلیل به‌کارگیری تکنولوژی‌های پیشرفته از جمله سیستم‌های محاسبات ابری (Cloud Computing) که به سبب به‌صرفه بودن از لحاظ هزینه روزبه‌روز در حال گسترش هستند، شرکت‌ها با مسائل امنیتی بسیار پیچیده‌ای روبه‌رو هستند.
به‌طور کلی حملات هکرها، معضلاتی همچون از دست رفتن بخشی از اطلاعات، فاش شدن اطلاعات محرمانه شرکت‌ها و نقض حریم خصوصی کاربران یا تخریب زیرساخت‌های اطلاعاتی را در پی دارد، اما در آینده پیش‌بینی می‌شود این حملات، بدون آنکه کل سیستم را دچار اختلال کنند، صحت اطلاعات و قابلیت اطمینان به آنها را در معرض خطر قرار دهند که این موضوع موجب اختلال در روند تصمیم‌گیری مدیران می‌شود، زیرا آنها با عدم آگاهی از نفوذ هکرها و تغییر اطلاعات، با تکیه بر داده‌های غلط تصمیم خواهند گرفت.
بی‌شک پس از به نتیجه رسیدن مذاکرات هسته‌ای ایران و آمریکا و برداشته‌شدن تحریم‌ها، فرصت‌های جدیدی برای فعالان اقتصادی کشور فراهم می‌‌شود و میزان روابط بین‌المللی ایران و به تبع آن روابط سایبری و همبستگی سیاسی و اقتصادی با کشورهای جهان افزایش خواهد یافت و مساله تامین امنیت سایبری برای کسب‌وکارها به دلیل همین روابط گسترده، بیش از پیش اهمیت می‌یابد و درصورتی‌که بخش خصوصی در تامین امنیت شبکه‌های مجازی ناموفق عمل کند و نتواند اطمینان کشورهای دیگر را جلب کند، عملا برداشته شدن تحریم‌ها در راستای گسترش روابط اقتصادی بین‌المللی حاصلی نخواهد داشت. از سوی دیگر می‌توان انتظار داشت موضوع امنیت سایبری زمینه‌ای را برای مخالفان این توافق فراهم کند تا از طریق این حملات به ایران ضربه بزنند، بنابراین لازم است کشور ملاحظات امنیت سایبری را بیش از پیش مورد توجه قرار دهد.
حملات سایبری صورت گرفته طی چند سال اخیر علیه ایران، موجب ارتقای امنیت سایبری زیرساخت‌های حیاتی کشور شده است، به عقیده کارشناسان این حوزه، نفوذ ویروس استاکس‌نت به تاسیسات هسته‌ای نطنز در سال ۲۰۰۹ یکی از عوامل هوشیاری کشور و تلاش برای بالا بردن ضریب امنیت سایبری بوده است. از سوی دیگر در گزارش اخیر اداره اطلاعات (امنیت ملی) آمریکا نام ایران در بخش تروریسم این گزارش به چشم نمی‌خورد، اما در بخش سایبری اشاره شده دولت ایران در حال افزایش توان سایبری خود است؛ با این حال ضروری است مدیران بخش خصوصی نیز دست به کار شوند و همگام با بخش دولتی گام‌های موثرتری در راستای ارتقای امنیت سایبری و مدیریت ریسک در فضای سایبری بردارند. هر چند جای خالی استانداردهای قانونی سایبری در سطح بین‌المللی، همچنین پوشش بیمه‌ای منسجم در فضای سایبری ایران حس می‌شود، اما کسب‌وکارهای خصوصی می‌توانند از درون خود تمهیدات لازم را برای ارتقای امنیت سایبری فراهم کنند.
به شرکت‌های خصوصی توصیه می‌شود، این مفهوم را که مساله امنیت سایبری یک معضل مدیریت ریسک در سطح بنگاهی است درک کنند، البته نه تنها در طراحی سیستم‌های سایبری باید ملاحظات امنیتی و تخصصی در نظر گرفته شود، بلکه داشتن یک چارچوب مدیریت ریسک سایبری در سطح بنگاه ضروری است. یکی دیگر از اقدامات موثر سازمان‌ها در این زمینه، شکل‌دهی دپارتمان امنیت سایبری است که در رأس آن مدیر ارشد امنیت سایبری
(Chief Cyber Security Officer) با اختیارات کافی منصوب می‌شود که تنظیم برنامه‌های کلان سازمان در جهت حفظ امنیت سایبری از وظایف این مدیر است، همچنین تشکیل تیمی متخصص در زمینه امنیت سایبری و نظارت مستمر بر حفظ این امنیت و شناسایی حملات احتمالی هکرها از وظایف این بخش خواهد بود.
در انتها لازم است این نکته را متذکر شد که هرچقدر هم که سازمان‌ها در راستای ارتقای امنیت سایبری سیستم‌های خود بکوشند نمی‌توانند این حملات را از بین ببرند، بلکه حملات هکرها امری اجتناب‌ناپذیر در فضای دیجیتال است و تنها می‌توان با تمهیدات لازم ریسک آنها را مدیریت کرد.