چگونه میزان زیان ناشی از حملات سایبری در سیستم‌های سایبر فیزیکی را با کم‌ترین خطا محاسبه کنیم؟

شرکت نبض‌افزار در کارگاه «کمی‌سازی ابعاد اقتصادی زیان حملات سایبری در سیستم‌های سایبر فیزیکی» به ارائه روش‌های نوین برای کمی‌سازی زیان اقتصادی حملات سایبری، تحلیل اثرات آن بر الگوی کسب‌وکار و ارائه راهکارهای عملی برای کاهش زیان‌ها پرداخت

نویسنده: نیلوفر نادری انتشار: 5 دی سال 1403 ساعت 18:36 به‌روز‌رسانی: 5 دی سال 1403 ساعت 18:36 0

بیست‌ویکمین کنفرانس بین‌المللی انجمن رمز ایران در روزهای ۲۵ و ۲۶ مهرماه ۱۴۰۳ در دانشگاه تربیت مدرس برگزار و همزمان در روزهای ۲۳ و ۲۴ مهرماه، کارگاه‌های آموزشی آن نیز ارائه شد. این رویداد سالانه، فضایی را برای تبادل آخرین یافته‌های علمی و عملی در حوزه امنیت اطلاعات، رمزنگاری و مدیریت زیرساخت‌های دیجیتال فراهم کرد و میزبان فعالانی از مراکز پژوهشی، دانشگاه‌ها، شرکت‌های خصوصی و سازمان‌های مرتبط بود. در میان مجموعه شرکت‌های حاضر، شرکت نبض‌افزار رایان‌اندیش با تیم خود متشکل از محمدرضا جمالی، هومن رضوی، علیرضا صفرزاده و محسن عابدی در روز ۲۴ مهرماه کارگاهی با عنوان «کمی‌سازی ابعاد اقتصادی زیان حملات سایبری در سیستم‌های سایبر فیزیکی مبتنی بر الگوی فعالیت کسب‌وکار» برگزار کرد. در ادامه مروری بر جزئیات این کارگاه خواهیم داشت.

چالش‌های محوری کارگاه

این کارگاه به یکی از مهم‌ترین چالش‌های امنیت سایبری، یعنی توازن میان هزینه‌های امنیت و زیان‌های اقتصادی حملات سایبری پرداخت. با گسترش دیجیتالی ‌شدن سیستم‌ها و اتصال آنها به یکدیگر، حملات سایبری اثرات زنجیره‌ای گسترده‌ای بر سیستم‌های سایبر فیزیکی (CPS) دارند که ارزیابی زیان‌های اقتصادی آنها را پیچیده‌تر می‌کند. همچنین، نبود روش‌های دقیق ارزیابی زیان، طراحی مناسب توافق‌نامه‌های سطح خدمات (SLA) و ابزارهای کاهش ریسک را دشوار می‌کند.

این کارگاه چه دستاوردهایی داشت؟

هدف از برگزاری این کارگاه ارائه روش‌های نوین برای کمی‌سازی زیان اقتصادی حملات سایبری، تحلیل اثرات آن بر الگوی کسب‌وکار و ارائه راهکارهای عملی برای کاهش زیان‌ها بود. شرکت‌کنندگان با موضوعاتی نظیر محاسبه زیان ناشی از حملات سایبری بر اساس ارزش الگوی کسب‌وکار، طراحی SLAهای مؤثر برای کاهش اثرات اقتصادی، ایمنی و امنیت سایبری و نقش آنها در زیان و ریسک عملیاتی و تحلیل اثرات حملات بر تحول دیجیتال در این کارگاه حاضر شدند.

هزینه مناسب بین امنیت و زیان ناشی از حملات سایبری در سیستم‌های سایبر فیزیکی از مسائل چالش‌بر‌انگیز در سال‌های اخیر است که فعالیت‌های تحقیقاتی زیادی در این زمینه صورت گرفته است. باید توجه داشت که با توسعه دیجیتالی سیستم‌ها و اتصال آنها به یکدیگر و با توجه به اثر سلسله‌وار، حمله به یک سیستم می‌تواند باعث اختلال در سیستم‌های دیگر و در نتیجه فرآیندهای اجتماعی و سایبر فیزیکی شود که محاسبه زیان‌های اقتصادی حمله را با توجه به انتشار آن پیچیده‌تر می‌کند. این پیچیدگی و عدم امکان محاسبه مناسب ریسک و زیان عملیاتی باعث می‌شود که طراحی درستی در توافق‌نامه‌های سطح خدمات صورت نگیرد و نه‌فقط اندازه‌گیری ابعاد ریسک، بلکه مشخص کردن ابعاد اقتصادی و ایجاد بازی مناسب بین ارائه‌دهندگان خدمت و دریافت‌کنندگان خدمت در گراف‌های خدمت وجود نداشته باشد.‌ عدم امکان ارزیابی مناسب از زیان حمله باعث اتلاف منابع یا عدم اختصاص منابع لازم برای برقراری امنیت می‌شود.

شرکت نبض افزار رایان‌اندیش با شناسایی، مدل‌سازی، شبیه‌سازی و همچنین بازسازی الگوی فعالیت کسب‌و‌کار با استفاده از روش‌های آماری، تحلیل داده‌های بزرگ و همچنین پردازش هوشمند داده‌ها، نرم‌افزارها و داشبوردهای دقیقی را در مقیاس بزرگ تولید کرده است که با اندازه‌گیری شاخص‌های اساسی سنجش کیفیت مانند دسترس‌پذیری، قابلیت اعتماد و دسترسی‌پذیری حس‌شده می‌تواند میزان زیان ناشی از حمله‌های سایبری در سیستم‌های سایبر فیزیکی را با کمترین میزان هشدار اشتباه و هشدار ازدست‌رفته محاسبه کند. در این کارگاه تجربیات و نتایج حاصل از فعالیت‌های موفق شرکت نبض‌افزار در هفده سال فعالیت تحقیق‌وتوسعه، تهیه بیش از دو هزار گزارش و انجام بیش از ۱۵۰ قرارداد و بیش از بیست مقاله علمی و تحقیقاتی در سطح ملی و جهانی، در اندازه‌گیری ایمنی و امنیت سایبری در سیستم‌های سایبر فیزیکی مانند دوربین‌های نظارت شهری، شرکت‌های پرداخت، بانک‌ها و خدمات بهداشتی ارائه شد. همچنین، زیان مالی با توجه به ارزش کسب‌وکار محاسبه و روش‌های مناسب طراحی توافق‌نامه سطح خدمات در این فعالیت‌ها ارائه شد. به گفته ارائه‌دهندگان این کارگاه، نتایج حاصل از این تجربه‌ها می‌تواند در حوزه‌های مختلف دیگر به کار گرفته شود و باعث کاهش زیان و ریسک عملیاتی شرکت‌ها، سازمان‌ها و بهبود کیفیت ارائه خدمات مختلف شود.

سرفصل‌های کارگاه

محمدرضا جمالی، هومن رضوی، علیرضا صفرزاده و محسن عابدی این کارگاه آموزشی را با موضوعات سیستم‌های سایبر فیزیکی و نقش آن‌ها در صنعت ۴.۰، تحلیل ریسک عملیاتی و اثرات اقتصادی حملات سایبری، تغییرات الگوی کسب‌وکار در اثر حملات سایبری، شاخص‌های سنجش کیفیت و ارزیابی سیستم‌ها، طراحی توافق‌نامه‌های SLA برای کاهش زیان اقتصادی، نمونه‌های عملی موفق در صنایع گوناگون و تحلیل زیان‌های سایبری و تحول دیجیتال در شش ساعت ارائه کردند.

بهبود کیفیت خدمات سایبری با مدل‌سازی دقیق

این کارگاه تخصصی نشان داد که بهره‌گیری از مدل‌سازی دقیق و ابزارهای مبتنی بر داده‌های بزرگ می‌تواند اثرات اقتصادی حملات سایبری را اندازه‌گیری کند و با هزینه مناسب و ایجاد قراردادهای توافق‌نامه سطح خدمات زیان‌های ناشی از حملات سایبری را کاهش داده و کیفیت خدمات سایبری را بهبود ببخشد. نتایج ارائه‌شده در این رویداد، گامی در مسیر ارتقای امنیت و ایمنی سایبری و مدیریت زیان‌های اقتصادی در سیستم‌های سایبر فیزیکی و دیجیتالی بود. در سطح جهانی نیز تحقیقات و فعالیت‌هایی توسط محققان در این حوزه انجام شده و مورد توجه قرار گرفته است.