حقایقی از خطرات سایبری برای کسب‌وکارها

مترجم: فریبا ولیزاده

منبع: revelian

انجمن استراتژی‎های امنیت سایبری که اخیرا توسط دولت استرالیا راه‎اندازی شده است، با بسیاری از سازمان‎های کوچک و بزرگی که بر بازسازی استراتژی‎های خطرات سایبری تمرکز دارند، تعامل دارد. در مقاله پیش‎رو، مورگان اسلوپر، موسس و مدیراجرایی گروه مشاوره InScope به برخی ملاحظات عملی مورد نیاز کسب‎وکارها به‌منظور کاهش احتمال بروز تهدیدات مجازی اشاره می‎کند.خطرات سایبری در سال‎های اخیر به‌دلیل کاربرد گسترده فناوری، به‌خصوص فناوری‎های موبایلی و پیچیدگی‎های روزافزون تهدیدات مجازی، موضوع داغ محافل گوناگونی در استرالیا و سراسر جهان بوده است. بدون شک با توجه به سهولت تحمیل آسیب سایبری در دنیای به هم پیوسته امروز، این موضوع به‌نظر در آینده نزدیک حل نخواهد شد.

سازمان‌ها در هر جایی که باشند در معرض حمله هکرهایی هستند که به‌طور مداوم نوآوری‎هایی را در روش‎های مورد استفاده خود اعمال می‎کنند. بر اساس گزارش سال ۲۰۱۶ PwC در خصوص وضعیت جهانی امنیت اطلاعات، در سال ۲۰۱۵ میلادی، میزان جرائم و حوادث امنیتی در مقایسه با ۲۰۱۴ میلادی به میزان ۳۸ درصد رشد داشته است. علاوه‌بر این، حوادث امنیتی در فضای مجازی برای کسب‌وکارهای استرالیایی شایع بوده و به صورت مکرر به‌روزرسانی می‎شوند. CERT Australia، یکی از سازمان‌هایی که با مرکز امنیت سایبری دولت استرالیا همکاری می‌کند، در سال ۲۰۱۵ به ۱۱ هزار و ۷۳۳ حمله مجازی به کسب وکارهای این کشور رسیدگی کرده است، ۲۱۸ مورد از این حملات زیرساخت‏های حیاتی و منافع ملی این کشور را هدف قرار داده بوده‌اند.در چنین شرایطی، سازمان‏ها باید ماهیت تهدید را درک کرده و نقاط آسیب‎پذیر خاص خود و تهدیداتی را که امنیت سایبری سازمان را هدف قرار می‌دهند، به‌خوبی شناسایی کنند و مهمتر از همه، اقدامات تاثیرگذاری را که منجر به کاهش تهدیدات و بهبود سطح تحمل خطر می‎شوند، در نظرداشته باشند.

پنچ نکته مهمی که باید بدانیم

1- تهدیدات امنیت سایبری واقعی هستند و تمامی کسب‌وکارها را فارغ از اندازه آنها هدف قرار می‌دهند: براساس گزارش مرکز امنیت سایبری دولت استرالیا در سال ۲۰۱۵، ۵۰ درصد از شرکت‎کنندگان در نظرسنجی دست‎کم یک حمله سایبری را در طول یک سال گذشته تجربه کرده‌اند. مهم‎تر اینکه، ۸ درصد از کسب‎وکارها مطمئن نیستند که آیا مورد حمله سایبری قرار گرفته‌اند یا خیر! ۹۲ درصد از شرکت‎کنندگان در نظرسنجی، حادثه‌ای سایبری را تجربه کرده‌اند که توسط سازمان‎های مسوول و پیگیر شناسایی شده‌اند. این رقم در مقایسه با سال ۲۰۱۳، بیش از دو برابر شده است. همچنین افزایش ۴ برابری تعداد حوادث سایبری از نوع باج‎افزار1 قابل مشاهده بوده است و از ۱۷ درصد در سال ۲۰۱۳ به ۷۲ در سال ۲۰۱۵ تغییر کرده است.

۲- تهدیدات سایبری دغدغه‌ای اجرایی هستند: امنیت سایبری مساله‎ای نیست که صرفا به واحد فناوری اطلاعات سازمان مربوط باشد. تاثیرات امنیت مجازی می‎تواند به وسعت یک سازمان باشد، از این‌رو عواقب مالی آن نیز بسیار قابل توجه خواهد بود. امنیت سایبری باید به‌صورت مرکزی و به کمک بازوی اجرایی سازمان‎ها مدیریت و کنترل شود. در سال ۲۰۱۵، کمیسیون اوراق بهادار و سرمایه‌گذاری استرالیا با انتشار گزارشی مفید به نقش تاثیرگذار هیات‌مدیره و مدیران ارشد اجرایی در کنترل تهدیدات مجازی پرداخته و همچنین به اهمیت توجه این بخش از سازمان نسبت به رعایت تعهدات قانونی و آشنایی با ماهیت و پیچیدگی‏های کسب‎وکار و تهدیدات پیش روی آن اشاره کرده است. تعداد زیادی از هیات‌مدیره‎ها و تیم‎های اجرایی در حال حاضر رویکردی مشترک اتخاذ کرده‌اند: هجدهمین نظرسنجی سالانه جهانی مدیران ارشد اجرایی PwC در سال ۲۰۱۵ نشان می‌دهد که ۶۱ درصد از مدیران اجرایی دغدغه‎هایی در زمینه امنیت سایبری دارند که این میزان در مقایسه با سال گذشته (۴۸ درصد) افزایش داشته است. ۷۸ درصد مدیران نیز از فناوری‎های امنیت سایبری به‌عنوان استراتژی مهمی برای کسب‌وکار خود یاد می‎کنند. بر اساس گزارش جهانی نظرسنجی امنیت اطلاعاتPwC، ۴۵ درصد مدیران اجرایی از استراتژی‌های جامع امنیتی استفاده می‎کنند.

۳- حملات سایبری تنها به معنای از دست دادن اطلاعات حساس نیست: حملات مجازی قادر هستند به طرق مختلف به سازمان‎ آسیب برسانند و حتی منجر به آسیب‎های فیزیکی نیز شوند. در کنار سرقت اطلاعات و خارج از دسترس کردن سیستم‌های مختلف، این تهدیدات می‎تواند چالش‏های متعددی برای سازمان‌ها به بار آورد:

- مسائل مربوط به کارکنان: کارکنان همواره منبع اصلی سازش تلقی می‎شوند. بر اساس نظرسنجی امنیت اطلاعات سال ۲۰۱۵ شناسایی «خودی‌های قابل اعتماد» دغدغه ۶۰ درصد کارکنان است. گزارش جهانی PwC در سال ۲۰۱۶ نیز کارکنان را مهم‌ترین منبع مصالحه اطلاعاتی در سازمان قلمداد می‎کند.

- تعهدات قانونی و نظارتی: از قبیل قوانین و تعهدات مربوط به قانون رعایت حریم خصوصی

- نقض توافقات انجام شده با مشتری

- قوانین مربوط به هیات اجرایی: مسوولیت‌پذیری مدیریت ارشد اجرایی سازمان‎ها درخصوص تهدیدات سایبری

- آسیب‎های وارده به شهرت سازمان: موضوع همدردی با سازمان‎هایی که در معرض تهدیدات سایبری بوده‏اند روز‎به‎روز کم‎رنگ‎تر می‎شود، علاوه‎براین چنین سازمان‎هایی به‌دلیل رعایت نکردن اقدامات احتیاطی، به باور عموم مجرم هستند.

تهدیدات مجازی علاوه‌بر این می‎توانند آسیب‎های فراوانی به دنیای واقعی و افراد وارد آورند. برای مثال، در حملات بدافزاری به شرکت آرامکو در سال ۲۰۱۲، به تمام ۳۵ هزار رایانه این شرکت آسیب وارد شد. شرکت هواپیمایی دولتی LOT لهستان در سال ۲۰۱۵ با حمله یک هکر به سیستم‎های زمینی خود مواجه شد که در پی آن ۱۰ پرواز داخلی و بین‌المللی کنسل شده و ۱۴۰۰ مسافر سرگردان شدند. پیامدهای این حوادث و نمونه‌های دیگر بسیار تاثیر‎گذار و بعضا غیر‌قابل جبران هستند.

۴-از تهدیدات جدید حاصل از گسترش فناوری‎های مبتنی بر پردازش‎های ابری غافل نشوید: کسب‎وکارها در حال انتقال اطلاعات خود به فضای ابری به‌ویژه محیط‎های ابر عمومی هستند که منجر به صرفه‎جویی‎های مالی قابل توجهی نیز می‎شود. با این حال، امنیت هم‎چنان یک دغدغه اصلی است. امنیت در فضای ابر یکی از مهمترین چالش‎های پیش‎روی کسب‎وکارهاست. ماهیت فناوری‎های یبه اشتراک‎گذاری، خطرات مشترکی را نیز دربر دارد. سرویس‎های ابر عمومی زیرساخت‎ها، پلت‌فرم‏ها و اپلیکیشن‎هایی را با کاربران خود به اشتراک می‎گذارند. مشتریان و کاربران خدمات ابر با اعتماد به رابط‎های برنامه‎نویسی کاربردی و رابط‎های کاربری نرم‌افزارها به مدیریت و تعامل با سرویس‎های ابری اقدام می‎کنند. به این ترتیب، امنیت و دسترسی به سرویس‎های عمومی ابری به امنیت رابط‎های کاربری و رابط‎های برنامه‎نویسی بستگی دارد. با این حال، در چنین شرایطی و با وجود تهدیدات مذکور فرصت‎هایی نیز پیش‎روی کسب وکارهایی که اقدام به انتقال داده‎های خود به فضای ابری کرده‎اند، قرار دارد و این فرصت چیزی نیست جز زمینه‎های توسعه بیشتر و کوشش مداوم برای کسب‌‎وکارها که فراهم شده است.

۵- امنیت سایبری مبتنی بر اطلاعات امکان شناسایی و واکنش سریع را فراهم می‎کند: با ترکیب کلان داده و سیستم‎های امنیت مجازی در سازمان‎ها، فضای بهتری برای آشنایی و درک بهتر اقدامات شبکه‎های غیرعادی و ناشناس به وجود می‎آید. به این ترتیب، امکان واکنش سریع‎تر به تهدیدات سایبری برای سازمان‎ها فراهم می‎شود. این همان فرصت بی‎نظیر است!

پنج اقدام مهمی که باید انجام دهیم

۱- کسب اطمینان از پوشش حداقلی اصول اولیه

اقداماتی وجود دارند که هر سازمانی می‎تواند به واسطه اجرای آنها خطر تهدیدات سایبری را به اندازه قابل‏توجهی کاهش دهند. براساس گزارش Heimdal Security، سوءاستفاده از مرورگرها و نرم‌افزار Adobe Flash تقریبا در ۹۹ درصد حملات سایبری قابل مشاهده است. نرم‌افزاری که به روز نباشد آسیب‌پذیرتر خواهد بود. این بیانگر غفلت سازمان‎ها از انجام اقدامات اساسی و بنیادین در زمینه امنیت سایبری است.

۲- اتخاذ چارچوب انعطاف‎پذیر سایبری مبتنی بر خطر

استانداردها و چارچوب‎های شناخته شده، سازمان‎ها را در پیاده سازی سیستم‎های داخلی برای شناسایی و اولویت‎دهی به تهدیدات و واکنش موثر به‌منظور کاهش آسیب‎های وارده یاری می‎رسانند. با اتخاذ رویکردی مبتنی بر ریسک، سازمان می‎تواند از انتخاب ترکیب موثری از اقدامات برای مقابله تهدیدات اطمینان حاصل کند. رایج‌ترین دستورالعمل‎ها، استانداردهای ISO ۲۷K هستند که در قالب چارچوب‎های امنیت سایبری و کنترل‎های بحرانی از آنها یاد می‎شود.براساس رویکرد مبتنی بر ریسک، سازمان باید آمادگی رویارویی با هرگونه تهدید سایبری را داشته باشد، طراحی یک برنامه واکنش به تهدیدات سایبری را در دستور کار خود قرار دهد و نیروی انسانی خود را به این منظور آموزش دهد. سازمان‎ها باید به‌صورت مستمر بر عملکرد و توان تحمل تهدیدات خود نظارت داشته باشند.

۳-تهدیدات افراد را نادیده نگیرید

تاکید فراوانی بر استانداردها و دستورالعمل‎های متداول مرتبط با کنترل و امنیت فنی وجود دارد. علاوه‌بر خطر تخلفات عمدی، براساس گزارش شاخص هوشمندی امنیت سایبری IBM در سال ۲۰۱۴ معادل ۹۵ درصد حوادث سایبری به‌دلیل خطای انسانی روی داده است. طیف گسترده‎ای از مقیاس‎های سازمانی برای کمک به سازمان‎ها در کاهش احتمال بروز حوادث سایبری و کاهش تهدیدات سایبری مرتبط با نیروی انسانی وجود دارد که می‎تواند به صورت ترکیب‎های مختلف بسته به نتیجه ارزیابی‎های تهدید سایبری و با در نظر گرفتن توان سازمان در تحمل تهدیدات اعمال شود.

۴- بررسی شرایط پوشش بیمه

فناوری‎های مربوط به امنیت سایبری مسلما یارای مقابله با تمامی تهدیدات را ندارند. بنابراین، بسیاری از سازمان‎ها و شرکت‎ها با خرید بیمه‎های امنیت سایبری نسبت به کاهش عواقب مالی این قبیل تهدیدات اقدام می‎کنند.با این حال، مقابله مطلق با خطرات به واسطه تحت پوشش قرارگرفتن بیمه سایبری برای تمامی تهدیدات کارساز نیست.رویکرد مبتنی بر ریسک، اطلاعاتی را در این خصوص در اختیار سازمان قرار می‎دهد. بنابراین برخی اشکال سیاست‎های مدیریت مسوولیت‎های سازمانی شامل بررسی انواع و میزان پوشش تهدیدات سایبری است.از این‌رو پوشش سایبری گسترده‎تر و خاص موضوعی است که مدیریت ارشد سازمان به کمک مشاوران خود درباره آن تصمیم می‌گیرد.

۵- نیاز به تلاش بیشتر

پیش از پیاده سازی هر تکنولوژی جدید و یا انتقال هر اپلیکیشن یا زیرساختی به فضای ابر، به تهدیدات سایبری مرتبط با آن و آسیب‎پذیری‎های داخلی توجه کنید. با توجه به ساختار عملیاتی و معماری سازمان خود سعی کنید نسبت به انتخاب ارائه‌دهنده خدمات و پیاده‎سازی استانداردهای امنیتی و فرآیندهای به‌روزرسانی شده و موقعیت‎های مالی مناسب اقدام کنید. بنابراین با نگاهی نزدیک‎تر به شرایط قراردادی، به‌ویژه مسوولیت‎های شرکت طرف قرارداد در صورت بروز حادثه، از آنها بخواهید به جزئیات پوشش بیمه خود درخصوص تهدیدات سایبری توجه بیشتری کنند.

تهدید سایبری فقط مساله‎ای مختص واحد فناوری اطلاعات سازمان نیست، بلکه چالشی است که هیات‌مدیره، تیم اجرایی و تمامی بخش‌های سازمان را درگیر خود می‎کند. زمان و سرمایه بسیاری برای تقویت موقعیت سازمان در برابر تهدیدات سایبری مورد نیاز است. هیات‌مدیره و تیم ارشد اجرایی هر سازمانی باید نسبت به توسعه مداوم و پایدار سازمان در قبال تهدیدات مجازی اقدام کنند.

اتخاذ رویکردی هوشمند و آگاهانه نسبت به امنیت سایبری بدون شک سازمان شما را در رویارویی با تهدیدات و پیاده سازی اهرم‎های رو به جلو از نظر زمانی، فناوری، بیمه و کسب آمادگی‌های مالی برای بهینه‎سازی برنامه‎های مقابله با خطرات دنیای مجازی یاری می‎رسانند.

پی‌نوشت:

۱- باج‌افزارها گونه ای از بدافزارها هستند که داده‌ها را به شیوه‌ای نامطلوب رمزگذاری و دسترسی به سیستم را محدود می‌کنند.