امنیت سایبری اکنون مساله همه ماست / نگاهی به کتاب امنیت سایبری که به زودی توسط انتشارات راه پرداخت منتشر خواهد شد

نویسنده: قاسم سرافرازی در تاریخ 3 تیر سال 1399 ساعت 16:18 0

این یک حقیقت تلخ است؛ اهمیتی ندارد که سازمان شما چه مقدار برای جدیدترین سخت‌افزارها و نرم‌افزارها، آموزش و همچنین منابع انسانی در حوزه امنیت سایبری هزینه کرده یا اینکه سیستم‌های پایه‌ای خود را از سایر سیستم‌ها جدا کرده باشد. اگر سیستم‌های حیاتی که در راستای ماموریت سازمانتان قرار دارند، دیجیتالی و به طریقی به اینترنت متصل باشند (به احتمال زیاد متصل هستند، حتی اگر شما طور دیگری فکر کنید)، آنها هرگز نمی‌توانند کاملا ایمن شوند.

اینترنت که همه مردم جهان را به‌هم‌پیوسته و متصل کرده می‌تواند خطراتی هم به دنبال داشته باشد. سه ماه از سال ۹۹ گذشته و حداقل دو نشت اطلاعاتی و رخنه سایبری عمده در کشور اتفاق افتاده است. یکی نشت اطلاعات بیش از ۴۰ میلیون کاربر ایرانی تلگرام و دیگری نشت اطلاعات مشترکان رایتل. هر چند نمی‌توان از نشت اطلاعات کاربران سیب‌اپ، بیمه ایران و دانشگاه آزاد هم به سادگی گذشت. وقوع چنین حوادثی بار دیگر اهمیت موضوع امنیت سایبری را گوشزد می‌کند. موضوعی که عدم توجه به آن می‌تواند زمینه‌ساز بحران‌های جدی در سطح شرکتی و ملی شود.

هرچند مدیریت ریسک‌های امنیتی از قدیم به عهده کارشناسان و تکنیسین‌ها بوده است، اما دیگر نمی‌توان حوزه امنیت سایبری را به متخصصان فناوری اطلاعات محدود کرد. در عوض همه مدیران، چه در سازمان‌های خصوصی و چه در سازمان‌های دولتی، باید به نقش امنیت سایبری در وظایف و مسئولیت‌هایمان پی برده و خود را در زمینه تغییرات ریسک‌ها در امنیت سایبری به‌روز نگه دارند.

کتاب امنیت سایبری با عنوان «Cyber Security» توسط انتشارات مجله کسب و کار هاروارد در سال ۲۰۱۹ منتشر شده است. این کتاب به افراد غیرحرفه‌ای کمک می‌کند تا به‌سرعت، درکی عمیق از حوزه امنیت سایبری به دست آورند. این کتاب چند موضوع بسیار مهم را پوشش می‌دهد و مطالعه آن دو مزیت برای شما دارد؛ اول اینکه با مسائل فعلی و مسائل آتی در حوزه امنیت سایبری آشنا می‌شوید؛ مسائلی که با نقش، سازمان و صنعت شما مطابقت دارند. دوم اینکه متوجه خواهید شد که هم بخشی از مشکلات امنیتی سازمان هستید و هم نقشی کلیدی در شناسایی و مدیریت راه‌حل‌های امنیتی ایفا می‌کنید.

نویسندگان این کتاب هم به موضوع حمله بدافزار استاکس‌نت به تاسیسات هسته‌ای ایران اشاره کرده‌اند و هم حمله سایبری به تاسیسات نفتی عربستان سعودی که آمریکا معتقد است از سوی ارتش سایبری ایران صورت گرفته مورد توجه قرار گرفته است..

در این کتاب سعی شده ابعاد مختلف امنیت سایبری به خصوص در سطح شرکتی مورد بررسی قرار گیرد و راهکارهایی که شرکت‌ها می‌توانند آنها را به کار گیرند تا کمتر در معرض خطرات ناشی از حملاتی که روز به روز در حال افزایش است، واقع شوند.

در ادامه بخش‌ کوتاهی از کتاب امنیت سایبری که در آینده نزدیک توسط انتشارات راه پرداخت منتشر خواهد شد، ارائه شده است.

امنیت سایبری بهتر با اصلاح عادات بد کارکنان آغاز می‌شود

جرائم سایبری به موضوعی عادی تبدیل شده و در حال تحمیل هزینه‌های سنگینی به شرکت‌های آمریکایی است. متوسط هزینه سالانه جرائم سایبری برای شرکت‌های جهانی از سال ۲۰۱۳ حدود ۶۲ درصد افزایش پیدا کرده است؛ یعنی از ۷.۲ میلیون دلار به ۱۱.۷ میلیون دلار رسیده است. شرکت تارگت که در سال ۲۰۱۳ یک نشت اطلاعاتی گسترده را تجربه کرد، گزارش داد که هزینه کلی این نشت اطلاعاتی فراتر از ۲۰۰ میلیون دلار بوده است. با توجه به این هزینه‌ها، شرکت‌ها چه کاری می‌توانند انجام دهند؟

دولت‌ها و صنایع در حال انجام همان کارهایی هستند که پیش از این هم انتظار می‌رفت؛ یعنی صرف میلیاردها دلار به‌منظور توسعه و پیاده‌سازی فناوری‌های جدیدی که با هدف متوقف‌ساختن افراد خرابکار پیش از نفوذ به سیستم‌ها طراحی شده‌اند. با این حال، حتی اگر ما برخی از بهترین و درخشان‌ترین افراد متخصص را نیز در اختیار داشته باشیم، باز هم محدودیت‌های بزرگی در مورد آنچه می‌توانیم با سیلیکون‌ها و کدها انجام دهیم، وجود خواهد داشت. با وجود تمایل ما به استفاده از فناوری برای رفع مشکلاتی که فناورانه به نظر می‌رسند، دغدغه اصلی در محافل امنیت اطلاعات این است که اقدامات کافی برای رفع بزرگ‌ترین و مزمن‌ترین تهدید امنیت سایبری یعنی «خطای انسانی» را انجام نداده‌ایم.

در سال 2014، «آی‌بی‌ام» گزارش داد که «در بیش از ۹۵ درصد از حوادث [امنیتی] بررسی‌شده «خطای انسانی» به‌عنوان یک عامل موثر شناخته شده است». در واقع، مجموعه حملات بدافزاری با عناوین سایبرپانکی (Cyberpunk) مثل «واناکرای» (WannaCry)، «پتیا» (Petya) و «میرای» (Mirai) و همچنین حملات با پشتیبانی آشکار از سوی دولت‌ها علیه «آکوئیفاکس» و سیستم انتخاباتی آمریکا، همگی به‌دلیل تصمیمات و اقدامات ضعیف کاربران نهایی آغاز شده‌اند.

اگر منشاء این حوادث را یک مهندس که به‌صورت ناخواسته یک نقطه آسیب‌پذیر را وارد بخشی از نرم‌افزار کرده، ندانیم؛ پس این کاربر نهایی بوده است که روی یک لینک بد کلیک کرده، قربانی یک حمله فیشینگ شده، از یک رمز عبور ضعیف استفاده کرده یا نسبت به نصب به‌موقع یک به‌روزرسانی امنیتی غفلت کرده است. مهاجمان نیازی به شکستن دیواری از صفر و یک‌ها یا خرابکاری در قطعه‌ای از یک سخت‌افزار پیچیده ندارند؛ در عوض، باید به‌دنبال فرصتی باشند که از رفتار قابل پیش‌بینی یک کاربر ضعیف نهایت استفاده را ببرند.

وقتی شرکت‌ها تمرکز خود را روی رفع مشکلات فناورانه با به‌کارگیری راهکارهای فناورانه می‌گذارند، آنها نسبت به تشخیص اقداماتی که به‌سادگی می‌تواند به کاهش بروز رفتارهای بد و تقویت رفتارهای خوب کمک کند، غفلت می‌کنند. البته بعضی سرمایه‌گذاری‌ها در حوزه فناوری، به‌منظور جلوگیری از این رفتارها، در درجه اول با واگذاری تصمیم‌گیری‌های انسانی به سیستم‌های هوش مصنوعی و یادگیری ماشین انجام شده است؛ با این وجود این نوآوری‌ها هنوز راه زیادی در پیش دارند.

همان‌طور که حادثه عجیب سقوط یک ربات امنیتی به درون آب‌نمای یک مرکز خرید که به ما هشدار داد که هوش مصنوعی و نوآوری‌های مرتبط با آن هنوز فناوری‌های کاملا توسعه‌یافته‌ای نیستند. برای مثال، چند بار برای شما اتفاق افتاده که یک هرزنامه از فیلتر اسپم ایمیل‌تان رد شده باشد؟ در نبود هوش مصنوعی خطاناپذیر، همچنان برای پر کردن شکاف بین فناوری‌های امنیتی و نیازهای امنیتی ما، تشخیص انسان لازم است، اما اگر تشخیص انسان کامل نباشد و فناوری کافی وجود نداشته باشد، شرکت‌ها برای کاهش ریسک‌های رفتاری چه کاری می‌توانند انجام دهند؟

یک آموزه مهم در زمینه‌ اقتصاد و روان‌شناسی رفتاری این است که سوگیری‌های رفتاری ما کاملا قابل پیش‌بینی هستند. برای مثال، متخصصان امنیتی ما بارها و بارها تاکید کرده‌اند که به‌روز نگه‌داشتن نرم‌افزارها و نصب پچ‌های امنیتی تا حد ممکن، یکی از بهترین روش‌ها برای حفاظت از سیستم‌های امنیت اطلاعات در برابر حمله است. با این حال، اگرچه نصب به‌روزرسانی‌ها امری نسبتا بدیهی است، اما بسیاری از کاربران و حتی مدیران فناوری اطلاعات در انجام این اقدام حیاتی تعلل می‌کنند. چرا؟ بخشی از این مشکل به این دلیل است که دستورالعمل‌ها و پچ‌های به‌روزرسانی اغلب در زمان نامناسبی ارائه می‌شوند؛ مثلا در هنگامی که فرد مسئول نصب به‌روزرسانی، پرمشغله و تحت ‌فشار است.

به‌علاوه، وقتی صحبت از به‌روزرسانی کامپیوترها و دستگاه‌های شخصی‌مان در میان است، اغلب با گزینه «بعدا به من یادآوری کن» به‌راحتی از آن چشم‌پوشی می‌کنیم. به احتمال زیاد، به‌دلیل همین جزئیات زمینه‌ای کوچک، کاربران به‌روزرسانی‌ها را، صرف‌نظر از اهمیت‌شان، به تعویق می‌اندازند. چند بار پیش از انجام به‌روزرسانی روی گزینه «فردا به من یادآوری کن» کلیک کرده‌اید؟

در شرکت تحقیق و طراحی علوم رفتاری ideas42، ما شرایط مختلفی که کاربران و مدیران را به تصمیم‌گیری (و فعالیت) با شیوه‌های کمتر از حد بهینه سوق داده و آنها و شرکت‌هایشان را در معرض ریسک حملات سایبری قرار می‌داد، ثبت کردیم و از این طریق در مورد اینکه چرا افراد رمز عبورهای نامناسبی تعیین می‌کنند، نسبت به نصب به‌روزرسانی‌ها غفلت می‌کنند و روی لینک‌های نامناسب کلیک می‌کنند و قربانی حملات فیشینگ می‌شوند، به بینش‌های متعددی دست یافتیم. همچنین توضیح دادیم که سازمان‌ها و مدیران چه اقداماتی می‌توانند به‌منظور بهبود رفتار کاربران خود انجام دهند (برای کسب اطلاعات بیشتر، می‌توانید رمان جنایی مبتنی بر پژوهش ما با عنوان «افکار عمیق: داستانی در مورد امنیت سایبری» را مطالعه کنید).

پیش‌فرض‌های قوی تنظیم کنید

یکی از تاثیرگذارترین بینش‌های برگرفته از علوم رفتاری این است که هر چیزی در موقعیت «پیش‌فرض» باشد، معمولا پایدار باقی می‌ماند. این بینش پیش از این در حوزه‌ پس‌انداز بازنشستگی و اهدای عضو نتایج خوبی به‌دنبال داشت؛ حوزه‌هایی که در آنها، اقدام تغییر پیش‌فرض «عدم رضایت» به پیش‌فرض «رضایت» (در پرسش‌نامه‌هایی که در این خصوص طراحی شده بود)، نرخ مشارکت افراد را به‌طور چشم‌گیری افزایش داد. همین منطق می‌تواند در زمینه حق انتخاب در مورد امنیت سیستم‌های یک شرکت اعمال شود.

کارفرمایان به جای اینکه کارکنان را به مشارکت در اقدامات امنیتی مشخصی مانند نصب و استفاده از یک وی‌پی‌ان، فعال‌کردن فرایند احراز هویت دومرحله‌ای، فعال‌کردن رمزگذاری کامل دیسک یا دادن اجازه به سیستم برای به‌روزرسانی خودکار فرابخوانند، می‌توانند برای راه‌اندازی کامپیوترها و سیستم‌هایی وقت بگذارند که این ویژگی‌ها را به‌صورت پیش‌فرض فعال می‌کنند. انجام چنین کاری، نسبت به اینکه این اقدامات بر عهده خود کارکنان باشد، می‌تواند به نرخ انطباق بالاتری منجر شود.

از تقویم تعهدی برای یادآوری به‌روزرسانی سیستم استفاده کنید

گاهی فعال‌سازی به‌روزرسانی خودکار برای نرم‌افزار سیستم امکان‌پذیر نیست و انجام این کار به کارکنان واگذار می‌شود. با این حال، اگر لازم باشد کارکنان روند کار خود را به‌منظور به‌روزرسانی بعضی نرم‌افزارها متوقف کنند، ممکن است تصمیم بگیرند که این کار را به زمان نامعلوم بهتری موکول کنند.

مشکل این است که اگر به این «سوگیری زمان حال» (Present biased) ادامه دهیم و تنها روی امور فعلی خود متمرکز باشیم، این «زمان بهتر» ممکن است هیچ‌گاه فرانرسد. راهکاری که پژوهشگران برای رفع مساله سوگیری زمان حال ارائه کرده‌اند، این است که کارکنان را به انجام تعهدات مشخصی ملزم کنند؛ گفتنی است هرچه این تعهدات اختصاصی‌تر باشد، بهتر است.

در مورد به‌روزرسانی‌های نرم‌افزار، کارفرمایان می‌توانند به کارکنان در ایجاد تعهدات مشخص برای این به‌روزرسانی‌ها کمک کنند. برای مثال، وقتی یک به‌روزرسانی منتشر می‌شود، مدیر می‌تواند یک ایمیل دستوری به کارکنان جهت متوقف‌کردن کارشان در زمان مشخصی از تقویم خود برای انجام این به‌روزرسانی‌ ارسال کند. این اقدام ساده می‌تواند چرخه ادامه‌دار اهمال‌کاری را متوقف سازد.

کارکنان را با همتایان‌شان مقایسه کنید

افراد تمایل دارند برای انجام کارهایشان از دیگران، به‌خصوص کسانی که به آنها شباهت دارند، تقلید و الگوبرداری کنند. این پدیده که «اثبات اجتماعی» نامیده می‌شود، می‌تواند بر رفتار افراد تاثیر داشته و به‌خصوص وقتی رفتار مطلوب، مبهم باشد، نامشخص‌بودن رفتار مطلوب در خصوص سلامت سایبری نیز صدق می‌کند.

«اوپاور» (Opower)، یک پلتفرم مشارکتی برای ارائه‌دهندگان خدمات، مفهوم اثبات اجتماعی را مورد استفاده قرار داده است. این شرکت اینفوگرافیک کوچکی از قبوض خدماتی خانوارها را که میزان مصرف انرژی هر خانوار نسبت به میانگین و بهینه‌ترین میزان مصرف در آن محله را نشان می‌دهد، برای مشتریان ارسال می‌کند. این شاخص کوچک از نحوه عملکرد دیگر خانوارها، میانگین مصرف انرژی را تا دو درصد کاهش داده که در این مقیاس، تغییر بزرگی است.

آنچه این اقدام و دیگر اقدامات مشابه نشان می‌دهد این است که در واقع نیازی نیست افراد از نزدیک ببینند که دیگران یک رفتار خاص را چگونه انجام می‌دهند، در عوض می‌توان نحوه عملکرد دیگر افراد را به آنها توضیح داد. در محیط یک شرکت، مدیران می‌توانند از اثبات اجتماعی برای کمک به کارکنان در شناسایی رفتارهای مطلوب و ترغیب آنها به الگوبرداری از این رفتارها استفاده کنند.

برای مثال، می‌توان از کارکنان در مورد رفتارها و راه‌های محافظتی مختلف آنها در هنگام استفاده از اینترنت، نظرسنجی کرد و بر اساس این رفتارها به آنها امتیاز داد. سپس می‌توان گزارش‌هایی از نحوه عملکرد هر فرد در مقایسه با متوسط کارکنان و همچنین با سختکوش‌ترین کارکنان، تهیه و به افراد برای افزایش امتیاز خود گام‌های عملی ارائه داد. این اقدام مبتنی بر اثبات اجتماعی ساده می‌تواند به انطباق بیشتر با دستورالعمل‌های امنیتی در یک سازمان منجر شود.

آموزش‌های آگاهی‌بخشی را به یک سیستم بازخورد دائمی تبدیل کنید

یکی از مهم‌ترین بینش‌های برگرفته از علوم رفتاری این است که اگر شما به افراد آموزش دهید، ممکن است دانش آنها را افزایش دهید، اما احتمالا نمی‌توانید رفتارشان را تغییر دهید. اغلب آموزش‌های آگاهی‌بخشی به این شکل رخ می‌دهند: سالی یک‌ بار، کارکنان برای یکی، دو ساعت وارد اتاقی می‌شوند و یک مربی حرفه‌ای برای آنها سخنرانی می‌کند، سپس همگی به میز کارهای خود بازمی‌گردند و بیشتر مواردی که به آنها آموزش داده شده را نادیده می‌گیرند.

دلایل زیادی وجود دارد که چرا چنین اتفاقی رخ می‌دهد؛ از جمله اینکه افراد توجه محدودی دارند و نمی‌توانند تمام اطلاعاتی که تازه آموخته‌اند را به خاطر بسپارند؛ آنها ممکن است نسبت به اینکه چگونه مواردی را که آموخته‌اند، عملی کنند، درک خاصی نداشته باشند و بنابراین رفتار خود را تغییر ندهند؛ آنها ممکن است اعتمادبه‌نفس کاذب داشته باشند که هیچ‌یک از این ریسک‌هایی که آموخته‌اند، در مورد آنها اعمال نمی‌شود («این موارد هرگز برای من اتفاق نخواهد افتاد!») و دیگر دلایلی که در این زمینه وجود دارد.

یکی از راه‌هایی که شرکت‌ها می‌توانند کارایی آموزش‌های آگاهی‌بخشی خود را بهبود بخشند، تبدیل‌کردن این کار به یک فرایند مستمر است تا کارکنان بیاموزند در چه موقعیت‌هایی مرتکب اشتباه می‌شوند و چه کاری می‌توانند برای جلوگیری از وقوع دوباره این اشتباه در آینده انجام دهند. برای مثال، شما ممکن است جهت مقاوم‌تر ساختن نیروی کار خود در برابر حملات فیشینگ، تصمیم به استفاده از نرم‌افزاری مانند «فیشمی» بگیرید تا به‌صورت منظم ایمیل‌های فیشینگ جعلی را به کارکنان ارسال کند تا در صورتی که کاربران در دام این حمله افتادند، بتوان آنان را اصلاح کرد.

همچنین فرایندهای مشابهی می‌توانند جهت کمک‌رسانی به کارکنان در اجتناب از کلیک روی لینک‌های بد، یادآوری به‌روزرسانی نرم‌افزارشان و به‌کارگیری رفتارهای مفید مانند استفاده از فرایند احراز هویت دومرحله‌ای، فعال‌کردن وی‌پی‌ان خود در هنگام دسترسی به یک شبکه ناامن و به‌کارگیری رمز عبورهای ایمن‌تر، اجرا شوند.

اگر به استفاده از فناوری برای رفع مشکلاتی که در حقیقت ناشی از خطای انسانی هستند، ادامه دهیم، همچنان در برابر حملات آسیب‌پذیر خواهیم بود. با این حال، اگر رویکردی اتخاذ کنیم که به حوزه‌هایی که انسان‌ها مستعد اشتباه‌کردن هستند توجه کند، به احتمال زیاد راهکارهای پایداری خواهیم یافت که شما و شرکت‌تان را به لحاظ امنیتی در وضعیت مناسبی قرار می‌دهد.