چالش امنیت سایبری

مترجم: زهره همتیان

از بین بردن تهدیدات سایبری امری غیرممکن به نظر می‌رسد، بنابراین حفاظت از اطلاعات و داده‌ها در برابر آنها بدون اینکه اختلالی در رشد و نوآوری ایجاد شود یک مساله مهم مدیریتی به شمار می‌رود. امنیت سایبری به معنی حفاظت از مالکیت معنوی با ارزش و اطلاعات کسب‌وکار به صورت دیجیتال در برابر سرقت و سوءاستفاده است و به طور فزاینده‌ای تبدیل به یک مساله مهم مدیریتی شده است. دولت آمریکا امنیت سایبری را یکی از جدی‌ترین چالش‌های امنیت ملی و اقتصادی برای کشورش برمی‌شمرد.

در حال حاضر شرکت‌ها باید در برابر حملات سایبری آماده باشند و درصدد دفع آنها برآیند. این تهدیدات می‌تواند از طرف مجرمان رایانه‌ای یا حتی از سوی کارمندان ناراضی صورت گیرد؛ کسانی که اطلاعات حساس را منتشر می‌کنند و مالکیت معنوی را در اختیار رقبا قرار می‌دهند یا اینکه در کلاهبرداری‌های آنلاین شرکت می‌کنند. با اینکه شرکت‌های پیشرفته اخیرا متحمل رخنه و نفوذهای بسیاری به محیط‌های تکنولوژی خود شده‌اند، بسیاری از این حملات رایانه‌ای گزارش نمی‌شوند. در واقع، شرکت‌ها تمایل ندارند اعلام کنند که مجبور به پرداخت باج به مجرمان سایبری شده‌اند و نمی‌خواهند در مورد آسیب‌های وارده توضیحی ارائه دهند.با توجه به افزایش سرعت و پیچیدگی تهدیدات، شرکت‌ها باید برای امنیت سایبری شیوه‌هایی را اتخاذ کنند که نیازمند مشارکت بیشتر از سوی مدیرعامل و سایر مدیران ارشد است تا بتوانند اطلاعات حیاتی شرکت را بدون اعمال محدودیت بر رشد و نوآوری حفاظت کنند.

چرا امنیت سایبری مساله بسیار مهمی است؟

اکثر شرکت‌های بزرگ به طرز چشمگیری قابلیت‌های امنیت سایبری خود را در طول پنج سال گذشته تقویت کرده‌اند. فرآیندهای رسمی برای شناسایی و اولویت‌بندی خطرات امنیتی IT و توسعه استراتژی‌های کاهش خطرات به اجرا درآمده‌اند و صدها میلیون دلار برای اجرای این استراتژی‌ها اختصاص یافته است. محیط‌های دسکتاپ نسبت به پنج سال قبل در برابر حمله‌ها بسیار کمتر آسیب‌پذیرند، پورت‌های USB غیرفعال و خدمات پست الکترونیک وب مسدود شده‌اند. همچنین طرح‌ها و تکنولوژی‌های قدرتمند برای مقابله با حملات در نظر گرفته شده‌اند.

به تازگی مصاحبه‌ها و جلسات حل مشکل با مدیران امنیت اطلاعات در ۲۵ شرکت جهانی برگزار شد و نتایج نشان داد که نگرانی‌های گسترده‌ای در این زمینه وجود دارد. ترکیبی از دو عامل پیشرفت تکنولوژی در شرکت‌ها و مهم تر از آن فعالان بدخواه، کار حفاظت از اطلاعات و فرآیندهای کسب وکار را پیچیده می‌سازد. سه نکته مشترک از این مصاحبه‌ها به‌دست آمد:

• جابه‌جایی ارزش (value migration)؛ که به صورت آنلاین انجام می‌شود. چرا برخی موسسات حملات آنلاین بیشتری را نسبت به چند سال پیش تجربه می‌کنند؟ جواب ساده است. هرچه معاملات آنلاین بیشتری انجام شود انگیزه بیشتری برای مجرمان سایبری به وجود می‌آید. به علاوه، شرکت‌ها به دنبال کاوش داده‌هایی مثل معامله و اطلاعات مشتری یا اطلاعات بازار برای ایجاد مالکیت معنوی با ارزش هستند که این به نوبه خود هدف جذابی است.

• انتظار می‌رود که شرکت‌ها بیش از گذشته دارای سیستم «باز» باشند. به طور فزاینده‌ای افراد شاغل در واحد‌های تجاری خواستار دسترسی به شبکه‌های شرکت هستند و این کار را از طریق همان دستگاه‌های قابل حملی (تلفن همراه، تبلت و...) انجام می‌دهند که در زندگی روزمره خود استفاده می‌کنند. در حالی که تلفن‌های همراه هوشمند و تبلت‌ها امکان ارتباط را افزایش می‌دهند، اما در عین حال انواع تهدیدات امنیتی جدید را نیز دربردارند: هنگامی که هکرها دستگاهی را رمزگشایی یا کرک کنند، برای بدافزارها یک مسیر ورود آسان به شبکه‌های شرکت ایجاد می‌شود.

• فعالیت‌های بدخواهانه در حال پیچیده‌تر شدن هستند. سازمان‌های حرفه‌ای جرائم رایانه‌ای، هکرهای سیاسی و گروه‌های تحت حمایت دولت‌های رقیب به لحاظ تکنولوژی پیشرفته تر شده اند و در برخی موارد از مهارت‌ها و منابع تیم‌های امنیتی شرکت‌ها پیش افتاده‌اند. هکرها در ازای هر دستگاهی که مورد نفوذ قرار دهند پول دریافت می‌کنند. در نتیجه، در ۵ سال گذشته حملات هدفمند و پیچیده‌تر شده است. امروزه ردیابی ویروس‌ها بسیار مشکل تر شده است. اغلب این ویروس‌ها اطلاعاتی را می‌دزدند که سود مالی داشته باشد.

به کارگیری مدل جدید امنیت سایبری بر پایه کسب‌وکار

در حال حاضر بیش از هر زمان دیگری، حفاظت از تکنولوژی شرکت‌ها در برابر آسیب‌های مخرب و استفاده نامناسب نیازمند اعمال محدودیت‌های هوشمند بر چگونگی دسترسی کارمندان، مشتریان و شرکا به اطلاعات و برنامه‌های شرکت است. تدابیر امنیتی ناکافی منجر به از دست دادن اطلاعات حیاتی می‌شود، اما کنترل‌های شدید افراطی نیز می‌تواند مانع انجام کار شود یا اثرات نامطلوب دیگری به جای گذارد. برای مثال، به کار بردن یک نرم‌افزار امنیتی در یک بانک سرمایه گذار باعث شده متخصصان ادغام و مالکیت (M&A) مجبور شوند خدمات ایمیل و لپ‌تاپ‌های شرکت را کنار بگذارند و به جای آن از کامپیوترهای شخصی خود و ایمیل تحت وب استفاده کنند.

امنیت سایبری باید در سطوح ارشد مورد توجه قرار گیرد

در بسیاری از سازمان‌ها، امنیت سایبری اساسا یک مساله مربوط به تکنولوژی در نظر گرفته می‌شود. اکثر مصاحبه‌شوندگان معتقدند که مدیران ارشد شرکت برای سبک و سنگین کردن سرمایه‌گذاری‌ها، ریسک‌ها و رفتار کاربر درک بسیار کمی نسبت به مفاهیم تجاری و ریسک‌های امنیتی IT دارند. موسسات بسیار کمی امنیت سایبری را به جای حاکمیت تکنولوژی بخش اصلی استراتژی کسب وکار قرار داده‌اند. مدیرعامل یک شرکت سعی کرد با مشارکت مستقیم خود با مدیران امنیتی ارشد در انجام تصمیم گیری‌های کلیدی، اهمیت امنیت سایبری را نشان دهد. برخی از سازمان‌ها اقدام به، به‌کارگیری ماموران امنیتی اطلاعات در واحدهای کسب‌وکار کرده‌اند تا به طور نزدیک با مدیران ارشد آنجا همکاری داشته باشند.

به جای«پیشبرد تکنولوژی» به فکر «پشتیبانی از کسب‌وکار» باشید

شرکت‌ها بایستی به طور فزاینده برای برخورد با ریسک‌های سایبری تفکرشان را تغییر دهند. به جای پرداختن به آسیب‌پذیری‌های مربوط به تکنولوژی، شرکت‌ها ابتدا باید از مهم‌ترین سرمایه‌ها یا فرآیندهای کسب‌وکار (مانند اطلاعات کارت اعتباری مشتری) حمایت کنند که ما آن را رویکرد «پشتیبانی از کسب‌وکار» می‌نامیم. تاکنون بسیاری از موسسات بزرگ برنامه‌های چندساله را برای طبقه‌بندی اطلاعات شرکت اجرا کرده‌اند، به گونه‌ای که می‌توانند سیاست‌ها و تلاش‌های امنیت سایبری را روی مهم‌ترین سرمایه‌های اطلاعاتی متمرکز کنند. شرکت‌ها شروع به ارزیابی خصوصیات ریسک سایبری در زنجیره ارزش کامل کرده‌اند، در عین حال به شفاف‌سازی انتظارات خود از فروشندگان و ارتقای همکاری با شرکای اصلی کسب وکار می‌پردازند.

حفاظت از اطلاعات به جای حفاظت از محیط

اکثر سازمان‌ها با قرار دادن سیستم‌های حفاظتی پیچیده در محیط اطراف خود سعی بر رسیدن به امنیت سایبری دارند. واقعیت این است که فرد حمله‌کننده احتمالا یک راه نفوذ پیدا می‌کند یا اینکه کارمندی ممکن است سهوا شکافی ایجاد کند، برای مثال اطلاعات حساس یک مشتری را ایمیل کند.

شرکت‌های پیشرو در حال تغییر ساختارهای امنیتی شان از دستگاه‌ها و مکان‌ها به نقش‌ها و داده‌ها هستند. با وصل کردن لپ‌تاپ خود به شبکه در نقطه‌ای از شرکت، تنها ممکن است بتوانید به وب‌سایت‌های در دسترس عموم وارد شوید. اما دستیابی به اطلاعات و برنامه‌های شرکت نیازمند تایید هویت شما است.

امنیت به زودی به یک تصمیم اساسی طراحی در ساختارهای تکنولوژی بنیادین تبدیل می‌شود. برای مثال، اگر اطلاعات کارت اعتباری مشتری در یک پایگاه داده قرار بگیرد، یک مجرم سایبری برای انجام معاملات کلاهبرداری تنها می‌تواند یک بار به آن نفوذ کند. جدا کردن شماره‌های کارت اعتباری و تاریخ‌های انقضا تا حد زیادی کار را پیچیده می‌کند. از آنجا ‌که مسوول پایگاه داده‌ها یا سیستم‌های مخرب می‌توانند حتی خطرناک‌تر از کاربر نهایی بی‌دقت باشند، برخی از سازمان‌های فناوری اطلاعات در اقدامی شروع کرده‌اند به محدود کردن تعداد افرادی که می‌توانند به داده‌ها و سیستم‌های تولید دسترسی داشته باشند.

اقدامات لازم برای اطمینان از امنیت سایبری

در سازمان‌های مهم و برجسته، امنیت سایبری باید یکی از موارد ثابت دستورجلسه هیات‌ها و مدیران عامل قرار گیرد. به منظور پیشی گرفتن از تهدیدات، مدیران باید در گفت‌وگوهای مداوم شرکت داشته باشند تا اطمینان یابند که استراتژی‌شان به طور پیوسته درحال تکامل است و تعادل مناسبی بین ریسک‌ها و فرصت‌های کسب‌وکار ایجاد می‌شود. ما معتقدیم که این گفت‌وگو باید با تعدادی پرسش مهم آغاز شود:

• چه کسی مسوول توسعه و حفظ رویکرد چند کارکردی در امنیت سایبری است؟ تا چه حدی رهبران کسب‌وکار این مساله را مربوط به خود می‌دانند؟

• مهم‌ترین اطلاعات کدامند و «ارزش در معرض خطر» به هنگام نفوذ چیست؟ چه وعده‌هایی به مشتریان یا شرکای خود برای حفاظت از اطلاعات آنها داده‌ایم؟

• اعتماد و امنیت سایبری در پیشنهاد ارزش به مشتری چه نقشی ایفا می‌کنند و چه اقداماتی برای حفظ اطلاعات و حمایت از تجربه مشتری انجام دهیم؟

• چگونه از تکنولوژی و فرآیندهای کسب‌وکار برای حفاظت از اطلاعات مهم خود استفاده می‌کنیم؟ شیوه ما چگونه با شیوه‌های همکاران و بهترین عملکردها برابری می‌کند؟

• آیا شیوه و رویکرد ما در حال رشد و تکامل است و آیا فرآیندهای کسب‌وکار را مطابق آن تغییر می‌دهیم؟

• آیا روابط فروشندگان و شرکای خود را مدیریت می‌کنیم تا از حفاظت دوجانبه اطلاعات اطمینان یابیم؟

• به عنوان یک صنعت، آیا ما برای کاهش تهدیدات امنیت سایبری به طور موثر با یکدیگر و با نهادهای دولتی مرتبط همکاری می‌کنیم؟

از آنجایی‌که ارزش‌ها بیشتر به صورت آنلاین انتقال می‌یابند و شرکت‌ها برای تعامل با مشتریان و سایر شرکای خود شیوه‌های نوآورانه‌تر را اتخاذ می‌کنند، چالش امنیت سایبری تنها افزایش پیدا خواهد کرد.از آنجا که شدت و پیچیدگی حملات و پیشرفته شدن محیط‌های IT به سرعت در حال افزایش است، پرداختن به این چالش نیازمند راه‌‌هایی است که پیمودن مسیر استراتژی، عملکردها، مدیریت ریسک و فعالیت‌های تکنولوژی و قانونی را کوتاه کند. شرکت‌ها باید این امر را به عنوان ابتکار مدیریتی گسترده به کار گیرند تا بتوانند بدون اعمال محدودیت بر رشد و نوآوری کسب‌وکار از سرمایه‌های مهم اطلاعاتی حفاظت و نگهداری کنند.

منبع: Mckinsey