امنیت سایبری و ستونهای اصلی آن را بشناسید
در عصر حاضر، وابستگی اغلب کسبوکارها به دنیای فناوری بر کسی پوشیده نیست. نیاز به ارتباط بر بستر اینترنت و بهرهمندی از فناوریهای سایبری به یک نیاز اولیه در کسبوکارها تبدیل شده است. همین نیاز باعث میشود تا امنیت سایبری هم بهعنوان یکی از مهمترین دغدغههای هر صنعت، شکل تازهای به خود بگیرد. امروز دیگر امنیت سایبری یک مسئلهی مرتبط با علم فناوری اطلاعات نیست و خود را به شکل یک مسئلهی مهم کسبوکاری نشان میدهد. سازمانها مجبور هستند تا برای رسیدن به بهترین پیکربندی امنیتی، ابتدا فرهنگ آن را تحت مدیریت مدیران ردهبالا در شرکت پیادهسازی کنند. فرهنگی که بر پایهی سه ستون مهم فناوری، مدیریت و آگاهی کارمندان استوار میشود.
اهمیت امنیت سایبری برای سازمانها
اخبار و گزارشهای متعددی که دربارهی چالشها و تهدیدهای امنیت سایبری منتشر میشود، برخی اوقات، تأثیری عکس بر طرز تفکر مدیران دارد. در نگاه اول اینگونه تصور میکنیم که یک مدیر با خواندن اخباری همچون نفوذ گسترده به توییتر، باید نگران پیکربندی امنیت سایبری در شرکت خود باشد. درحالیکه بسیاری از مدیران ردهبالا با دیدن چنین اخباری، تصور میکنند که با وجود اهداف بزرگی همچون توییتر و فیسبوک و دیگر غولهای فناوری، دیگر مجرمان سایبری علاقهای به شرکت تحت مدیریت آنها ندارند.
دستهبندی مجرمان سایبری هم مانند مجرمان دنیای واقعی، بسیار متنوع است. در دنیای واقعی هم دستهای از مجرمان بهدنبال کلاهبرداری و سرقت الماس هستند و دستهای دیگر، به سرقت یک کیف دستی راضی میشوند. قطعا این دستهها تفاوتهایی اساسی در رفتار و شخصیت دارند. در دنیای سایبری هم مجرمانی که شرکتهای بزرگ و معتبر را هدف قرار میدهند، علاقهی بسیار کمی به نفوذ و سرقت از شرکتهای متوسط و کوچک پیدا میکنند.
ناآگاهی از اولویتهای امنیتی میتواند به تعطیلی کسبوکار بینجامد
با وجود حقایق بالا، شرکتهای کوچک و متوسط نباید از اهمیت امنیت سایبری غافل شوند، بلکه باید توجه و نگرانی خود را چندین سطح بالاتر ببرند. شاید مجرمان سایبری ردهبالا و بسیار حرفهای، شرکت کوچک یا استارتاپ شما را هدف قرار ندهند، اما دیگر دستهها قطعا به کسبوکار کوچک هم علاقه پیدا میکنند. در مثالی دیگر اگر سارقان حرفهای تنها بهدنبال سرقت از بانکها و جواهرفروشیها هستند، بدان معنا نیست که فروشگاه محلی کوچک شما از گزند دیگر سارقان در امان خواهد بود.
در دنیای جرمهای سایبری، تهدیدهای مرسومی که هرروزه شرکتهای کوچک و متوسط را هم هدف قرار میدهند، متمرکز بر هدف خاصی نیستند. درواقع این حملهها صرفنظر از ابعاد اهداف طراحی شده و بهصورت گسترده توزیع میشوند. مجرمان سایبری، حملههای مرسوم و گسترده را بهگونهای طراحی میکنند که بهصورت خودکار انجام شوند. در این سناریو اگر تعداد قابلتوجهی از شرکتهای کوچک مورد نفوذ قرار بگیرند، مجرمان به هدف خود رسیدهاند.
بزرگترین خطری که شرکتهای کوچک و متوسط را تهدید میکند، بدافزار است. به بیان ساده، بدافزار به نرمافزاری گفته میشود که با هدف انجام کاری به نفع مجرمان سایبری طراحی شده است. بدافزارها فعالیتهای گوناگونی همچون استخراج داده، ضبط دکمههای فشرده شده در کیبورد برای سرقت اطلاعات حساس (مانند کارتهای بانکی یا اطلاعات ورود به حسابهای کاربری) یا باجگیری انجام میدهند. باجافزارها که خصوصا بهصورت گسترده با هدفگیری کسبوکارها طراحی میشوند، دادههای شما را رمزنگاری کرده و اغلب با درخواست پول در شکل رمزارز (مثلا بیتکوین)، آن را رمزگشایی میکنند.
ابزار اصلی که برای توزیع بدافزار استفاده میشود، ایمیل است. ایمیلهای مخرب و نفوذی را میتوان با یک فایل الصاقی مخرب ارسال کرد. نوع دیگر، حاوی لینکی به یک وبسایت ظاهرا معتبر میشود که درنهایت سیستم و شبکهی هدف را آلوده میکند.
سازمانها باید امنیت سایبری را با دیدگاهی جامع مدنظر قرار دهند. امنیت سایبری شامل سه ستون اصلی میشود. هریک از ستونها باید به اندازهی دو ستون دیگر، قدرتمند و ساختارمند باشد. ترکیب ستونها، به ساختن فرهنگ سازمانی با توجه کامل به امنیت میانجامد. درنهایت، نیروی انسانی رشتهی اصلی است که ستونها و کل فرهنگ را به هم متصل میکند.
ستون اول: فناوری
فناوری شامل ابزارهای سختافزاری و نرمافزاری و سیستمهایی میشود که سازمان برای بهبود دیوارهی دفاعی و بستن حفرههای امنیتی بهکار میگیرد. البته فناوری شامل نگرانیها و بحرانهای عمومی و کلی نیز میشود. از میان مهمترین انواع نگرانی و بحران عمومی میتوان به طراحی شبکهی سازمانی اشاره کرد. آیا شبکهی شما بهصورت قطعهبندی شده پیکربندی شده است یا ساختاری تخت دارد؟ آیا یک بدافزار میتواند به تمامی بخشها نفوذ کند یا بهخاطر بخشبندی در یک نقطه محدود میشود؟ مهندسی شبکه در پایهایترین حالت و ساختار، اولین المان مهم ستون فناوری در کسبوکار شما محسوب میشود. جانمایی اصولی و منطقی روترها، سوئیچها و فایروالهای شبکه، بنیادی قدرتمند را برای نصب دیگر ساختارهای امنیت سایبری فراهم میکند.
تمامی سیستمهای عامل و نرمافزارهای سازمانی باید تحت پشتیبانی شرکت توسعهدهنده باشند. همچنین باید بهروزرسانیهای منظم برای همهی آنها نصب شود. بهروزرسانیها شامل فرمور دستگاهها مانند روترها و فایروالها هم میشود. از نکات مهم دیگر میتوان به رمزنگاری داده در دستگاههای ذخیرهسازی قابلحمل و موبایلها اشاره کرد. حتی برخی از مناطق جغرافیایی مانند اروپا، رمزنگاری را جزو قوانین محلی (همچون GDPR) مدنظر قرار میدهند. از مهمترین نکات دیگر میتوان به کنترل دستگاههای USB اشاره کرد که باید جزو اولویتهای اصلی هر سازمان باشد.
هر سازمانی در شبکهی سایبری خود حداقل به یک فایروال نیاز دارد. فایروالها در دو نوع پیادهسازی میشوند. برخی از آنها در لایهی اول شبکه یعنی ورودی سازمانی قرار میگیرند که بدافزارها را در نقطهی ورودی شناسایی میکنند. نوع دیگر بهنام end-point شناخته میشوند که در دستههای آنتی ویروس و برنامههای مشابه، روی کامپیوترهای موجود در شبکه نصب خواهند شد. هیچیک از فایروالها امکان پوشش وظیفهی فایروال دیگر را ندارد. منتهی اگر در سازمان خود مجبور به انتخاب یک نوع فایروال هستید، بهتر است نوع end-point را مدنظر داشته باشید.
ابزارهای محافظت ایمیلی، تا حد زیادی احتمال آلودهشدن به بدافزار را ازطریق ایمیل، کاهش میدهند. البته هیچیک از آنها محافظتی صددرصدی برای شبکه ایجاد نمیکنند. ایمیل مخربی که بهصورت حرفهای طراحی شده و شامل فایل الصاقی هم نباشد، قطعا بهراحتی قابل شناسایی نخواهد بود. زمانی ایمیلهای مخرب نشانههای واضحی داشتند. اشکالات دستور زبانی در متن یا طراحی ناقص، آنها را بهراحتی قابل شناسایی میکرد، اما مجرمان روزبهروز حرفهایتر شدهاند و انواع ایمیل مخرب با ساختارهای متفاوت اکنون شرکتها و افراد را تهدید میکنند.
سیستمهای تشخیص نفوذ (IDS) از روشهایی همچون جمعآوری خودکار گزارش سیستم از سرورها و دستگاههای متصل به شبکه استفاده میکنند. آنها بهدنبال هرگوه فعالیت مشکوک یا رخداد بیسابقه در شبکه میگردند. این بررسیها را میتوان در دورههای زمانی مشخص پیادهسازی کرد. اگر هم با سیستمی پیچیده روبهرو باشیم، میتوان اسکن دائمی و زنده را در سیستم بهکار گرفت. سیستمهای IDS همچنین فایلهای سیستمی کلیدی را در سرورها مورد بررسی قرار میدهند و هرگونه تغییر در آنها نشانهای از نفوذ به شبکه میدانند.
با وجود پیشنیازهای بالا برای ستون فناوری در امنیت سایبری، چگونه باید عملکرد بهینهی هریک از بخشها را مطالعه و بررسی کنیم؟ تستهای نفوذ و اسکن آسیبپذیریها، ابزارهای مناسبی برای بررسی عملکرد هستند. تست نفوذ، لایههای امنیتی سازمانی را از نگاهی خارجی بررسی میکند. این تستها، احتمالا شامل هزاران تست تکی میشوند که هرکدام برای شناسایی یک آسیبپذیری خاص، طراحی شدهاند. تست آسیبپذیری نیز تعریف و عملکرد مشابهی دارد، اما در داخل شبکهی سازمانی و داخل فایروال اجرا میشود. این تست، تمامی دستگاههای متصل به شبکهی شما را اسکن میکند و بهدنبال آسیبپذیریهایی همچون نرمافزارها و سیستمهای عامل تاریخگذشته یا بدون پچ امنیتی میگردد.
تستهای نفوذ و اسکنهای آسیبپذیری، باید در دورههای زمانی منظم اجرا شوند. نتایج آنها باید به چشماندازی برای طراحی و پیکربندی کارهای درمانی بینجامد که درنهایت به وظایف اصلی افراد تبدیل میشوند. درنهایت اگر مجرمان سایبری پیش از شما متوجه آسیبپذیریهای امنیتی شوند، قطعا از آن سوءاستفاده میکنند. پس باید هرچه زودتر آسیبپذیریهای شبکه را شناسایی و رفع کنید.
تهیهی پشتیبان از دادههای سازمانی باید به یکی از وظایف اصلی مدیران و کارمندان تبدیل شود. بکاپهایی که خارج از شبکهی اصلی نگهداری میشوند، امنیت و کاربرد بسیار بیشتری دارند. اگرچه متصل بودن بکاپ به شبکه، بازیابی آن را درصورت نیاز سادهتر میکند، اما نسخههای آفلاین و خارج از شبکه، بالاترین سطح امنیتی ممکن را ایجاد میکنند. درنهایت، کارشناسان امنیتی پیادهسازی هر دو نوع بکاپ را پیشنهاد میکنند. بههرحال رخدادهای غیرمترقبه مانند سیل و آتشسوزی میتواند بکاپهای متصل به شبکه را از بین ببرد و دراختیار داشتن نسخهای دیگر حتی خارج از سازمان، اهمیت بسیار بالایی پیدا میکند.
تهیه نسخه پشتیبان باید به اولویت اصلی سازمان تبدیل شده و حتی بهصورت خودکار انجام شود
نسخههای پشتیبان از سرورها که بهصورت منظم بهروزرسانی میشوند و براساس ساختار ایمیج تهیه شدهاند، امکان بازیابی سریع سرور را فراهم میکنند. بکاپهایی که در ساختار ایمیج تهیه شدهاند، علاوه بر دادهها از سیستمعامل نیز پشتیبان تهیه میکنند. برخی از نرمافزارهای تهیهی نسخهی پشتیبان، امکان تبدیل کردن ایمیج به ماشین مجازی را هم دارند. درنتیجه میتوان همان نسخهی پشتیبان را در سختافزاری دیگر هم اجرا کرد. درنهایت، چنین ساختاری باعث میشود تا در چند دقیقه (بهجای چند ساعت) سرور از دست رفته را بازیابی کنید.
ساختار پشیبان دیگری که برای سرورهای پیشنهاد میشود، از کپی و تکثیر سرور اصلی بهره میبرد. در این ساختار، یک سرور کپی داریم که بهصورت زنده بهروزرسانی میشود. درنتیجه درصورت از دست رفتن سرور اصلی، نسخهی جایگزین و کپی بهسرعت فعالیت آن را ادامه میدهد.
کارشناسان امنیتی درنهایت پیشنهاد میکنند که صرفنظر از هر روش پشتیبانگیری که در سازمان پیاده میکنید، همیشه آن را تحت آزمایش داشته باشید. از نکات مهم دیگر هم میتوان به حذف و تخریب کامل دادهها از دستگاههای IT اشاره کرد که به پایان عمر میرسند.
ستون دوم: مدیریت و نظارت بر ساختار IT
مدیریت ساختار IT، مجموعهای جامع از ساختارهای کنترلی را شامل میشود که برای نظارت بر استفاده از کل داراییهای مرتبط با IT پیادهسازی میکنید. این کنترلها، در فرمهای سیاست و ساختار عملکردی پیادهسازی میشوند. درنهایت، نیروی انسانی شما با رعایت دستورالعملها، بهترین روشهای سازمانی مرتبط با تجهیزات فناوری اطلاعات و خصوصا امنیت آنها را اجرا میکند. بهعلاوه، سیاستها و دستورالعملهای متمرکز بر حفاظت از داده هم روزبهروز مرسومتر شده و حتی شاید الزامی شوند.
دستورالعملهای مدیریتی باید فعالیتهای لازم برای نگهداری، تعمیر و نظارت بر تمامی المانهای فناوری سازمان را بهصورت مستند و جزئی پوشش دهند. بهعنوان مثال، باید در سیاستهای خود به چنین سؤالهایی پاسخ داده باشید: چگونه از پیادهسازی همهی بستههای امنیتی در همهی دستگاهها مطمئن میشوید؟ زمانبندی آزمایش نسخههای پشتیبان چگونه بوده و آخرین بار چه زمانی ازمایش انجام شده است؟ فرایند بازکردن پورت در فایروال چگونه انجام میشود؟ آیا برای بازکردن آن پورت، مورد کسبوکاری مستندی وجود دارد؟ اسناد در چه مکانی نگهداری میشوند؟
تمامی فعالیتهایی که پیرامون ستون فناوری انجام میشوند، باید در دستورالعملها ذکر شده باشند. دستورالعملها و ساختارها نیز باید یک روند تأییدی یا گزارشدهی را ایجاد کنند.
رمزهای عبور هنوز مرسومترین روشهای تأیید هویت هستند. آیا در سازمان خود، سیاست و چارجوبی برای تدوین رمزهای عبور امن دارید؟ آیا در دستورالعملها به کارمندان گفتهاید که از مواردی همچون نام اعضای خانواده، تاریخ تولد و دیگر اطلاعات شخصی (که بهراحتی ازطریق مهندسی اجتماعی یا تحقیق روی یک کارمند قابل دستیابی هستند) برای رمز عبور استفاده نکنند؟ آیا پیچیدگی رمز عبور در موقعیتهای ممکن، الزامی شده است؟ آیا کارمندان را به پیادهسازی ورود دو مرحلهای در موقعیتهای ممکن ملزم کردهاید؟
برخی سازمانها، سیاستهای استفادهی منصفانه را پیادهسازی میکنند. این سیاستها، استفادهی مجاز و غیر مجاز از داراییهای فناوری اطلاعات و مخابرات یک سازمان را به افراد نشان میدهند. کارمندان نباید در استفادهی اشتباه از تجهیزات، بهانهی عدم آموزش یا عدم اطلاعرسانی داشته باشند. همه جیز باید بهصورت مستند در اختیارشان قرار گرفته باشد. برخی سازمانها برای اطمینان هرچه بیشتر از ساختارهای پیادهسازی شده، آنها را با قوانین و دستورالعملهای حقوقی مانند GDPR یا ISO 27001 هماهنگ میکنند.
مدیران سازمانی باید دستورالعملی مشخص برای بررسی نفوذ به ساختار IT یا رخدادهای پیشبینی نشده داشته باشند. همهی دستورالعملها نیز باید در دورههای زمانی مشخص تکرار و تمرین شوند. فراموش نکنید که دستورالعملها تا زمان نوشته نشدن، به دستورالعمل نهایی تبدیل نمیشوند. اینکه بگوییم «همه میدانند که چه وظیفهای دارند» بهمعنای پیادهسازی دستورالعمل نیست. در چنین وضعیتی، هیچگونه نظارت و کنترلی بر ساختارها وجود ندارد. درنهایت، کاملا واضح است که اگر دستورالعملها پیگیری نشوند، هیچ فایدهای نخواهند داشت.
ستون سوم: آگاهی نیروی انسانی
نیروی انسانی، مهمترین المان در امنیت سیستمها و ایمنی دادهها محسوب میشود. برخی اوقات، سازمانها در زمان پیادهسازی تغییر یا اجرای دستورالعملهای امنیتی، با بازخورد منفی نیروی انسانی روبهرو میشوند. حل این چالش، مرحلهی اولیه در بهبود سیستمهای امنیتی است. تغییرها، دستورالعملها و تمامی ساختارهای امنیتی باید در شیوهای جامع و با اطلاعرسانی دقیق پیادهسازی شوند. تنها در چنین روندهایی میتوان انتظار پذیرش و همراهی نیروی انسانی را داشت. نیروی انسانی باید بداند که روندهای امنیتی برای حفاظت از آنها و درنهایت حفاظت از کل مجموعه پیادهسازی میشوند.
قطعا نیروی انسانی بدون آموزش لازم، توانایی درک تهدیدهای امنیتی را ندارد. درواقع نمیتوان از یک کارمند تازهوارد انتظار داشت که بهراحتی، ایمیلهای مخرب و تهدیدهای سایبری را شناسایی کند. از آموزشهای مهم، میتوان به ترویج آگاهی دربارهی امنیت سایبری اشاره کرد. آموزشها حداقل در دورههای سالانه باید بهروزرسانی و تکمیل شوند. هرچه کارمندان توانایی بیشتری در شناسایی تهدیدها داشته باشند، امکان حفاظت بهتری از سازمان خواهند داشت. درنهایت میدانیم که بسیاری از حملههای امنیتی، خصوصا باجافزارها، باعث تعطیلی کسبوکار میشوند. قطعا نیروی انسانی شما ترجیح میدهد که کسبوکار همیشه به فعالیت خود ادامه دهد.
در یک فرهنگ سازمانی با اولویتهای امنیتی، نیروی انسانی شما میداند که باید به همه چیز نگاهی مشکوک داشته باشد. بهعلاوه، آنها باید امکان شککردن به رخدادها را بدون انتقاد ازسوی اطرافیان داشته باشند. حتی تشخیص اشتباه تهدیدها یا نگرانی زیاد کارمندان دربارهی تهدید سایبری نشان میدهد که آنها آمادگی لازم را برای مقابله با تهدیدها دارند و اهمیت آنها را درک میکنند. درواقع در چنین موقعیتی میدانید که کارمند بهدنبال راه میانبر برای انجام وظایف یا خوشبینی در مقابله با رخدادها نیست.
ارزش دادن به نگرانیهای امنیتی باید در کل محیط کار یک سازمان جاری باشد. در تمامی ساختارهای سازمانی، باید به ارزش آگاهیهای امنیتی اشاره شود. درنهایت فرهنگ باید بهگونهای باشد که برای رعایت نکات امنیتی، به گوشزد کردن وظایف به کارمندان نیاز نداشته باشیم. آنها باید بهصورت خودکار و طبیعی وارد چرخهی امنیتی شوند و این رفتار را بین یکدیگر تحسین کنند.
اهمیت بسیار بالای فاکتور انسانی
درک ساختارهای امنیتی و الزام به رعایت نکتهها و دستورالعملها، باید در تمامی سطوح سازمان دیده شود. از مدیران ارشد تا پایینترین ردههای سازمانی، باید بدانند که همه، هدف تهدیدهای سایبری هستند. بیش از همه، مدیران باید نیاز به فعالیت و هزینهکردن برای لایههای امنیتی فناوری را درک کنند. امنیت سایبری، ادامهدار بودن فرایندهای کسبوکاری را تضمین میکند. همین موارد باعث میشود تا تجارت یک کسبوکار، همیشه جاری بماند.
شکست در پیادهسازی ساختارهای امنیتی، هیچگاه نباید جزو گزینههای یک سازمان باشد. فراموش نکنید که هزینه کردن برای تقویت لایههای امنیتی، همیشه ارزانتر از جبران حملهها و خرابیهای نفوذ به شبکههای سازمانی تمام میشود. نکتهی مهمتر اینکه حملههای امنیتی، علاوه بر آسیبهای مالی به تخریب اعتبار سازمان نیز میانجامند.
فناوریهای دفاعی همیشه باید به بهترین نحو نصب، پیکربندی و بهروزرسانی شوند. فعالیتی که به تعهد بالای نیروی انسانی و مدیریت یک ساختار سیستمی نیاز دارد. نیروی انسانی در هر سازمان باید رفتارهای امنیتی آگاهانه داشته باشد و از رمزهای عبور بسیار قوی در حسابهای کاربری استفاده کند. اگرچه دستورالعملها و سیاستها، وظیفهی نظارت و راهنمایی را برعهده دارند، اما تدوین آنها باز هم بر دوش نیروی انسانی است. درنهایت، نیروی انسانی توانمند که در رویکردی با درنظرگرفتن کامل امنیت فعالیت میکند، قابل دستیابی خواهد بود. البته هیچگاه بدون برنامهریزیهای مدیریتی نمیتوان به آن دست یافت. همانطور که دیدید، همهی فرایندها و مراحل، به انسانها وابسته هستند.