تصورات اشتباه مدیران در مورد امنیت سایبری

تصورات اشتباه مدیران در مورد امنیت سایبری

اگر فکر می‌کنید که بزرگ‌ترین تهدیدات حوزه‌ی امنیتی سایبری در کسب و کارها، سرقت اطلاعات کارت اعتباری است و مهم‌ترین راه حل برای این تهدیدات، استفاده از فناوری‌های بهتر برای جلوگیری از آن‌هاست، بهتر است تفکر خود را اصلاح کنید.
حملات سایبری این روزها تبدیل به بخش ثابت اخبار جهان شده‌اند. انواع و اقسام سازمان‌ها، از شرکت تارگت، یاهو و سونی پیکچرز گرفته تا بانک بنگلادش و کمیته‌ی ملی دموکرات‌های ایالات متحده‌ی امریکا در سال‌های اخیر قربانی این حملات شده‌اند. برای درک بهتر در مورد تهدیدات امنیت سایبری و این‌که مدیران باید در این زمینه برای محافظت از شرکت‌های خود چه کاری انجام دهند، نشریه‌ی مدیریت اسلون دانشگاه MIT با کارشناس امنیت سایبری، استوارت مَدنیک گفتگو کرده است.
مَدنیک برای مدتی طولانی، در حوزه‌ی امنیت کامپیوتر به تحصیل پرداخته است. او اولین کتاب خود را در این زمینه در سال ۱۹۷۹ منتشر کرده و حالا سرپرست کنسرسیوم بین رشته‌ای MIT برای بهبود زیرساخت حساس امنیت سایبری (IC) است. این کنسرسیوم توانسته محققان دانشگاهی، شرکت‌ها و کارشناسان دولتی را برای رسیدن به یک هدف گرد هم آورد. مدنیک که استاد رشته‌ی فناوری اطلاعات در دانشکده‌ی مدیریت اسلون MIT و استاد سامانه‌های مهندسی در دانشکده‌ی مهندسی MIT است، در مورد موضوعات روز امنیت سایبری با سردبیر نشریه‌ی مدیریت اسلون MIT، خانم مارتا منگلزدُرف به گفت و گو نشسته است. مطالبی که در ادامه می‌آید نسخه‌ی ویرایش‌شده و خلاصه‌ی این مکالمه است.

نشریه‌ی مدیریت اسلون MIT:

چرا کنسرسیوم امنیت سایبری MIT که تحت هدایت شماست، تصمیم گرفته‌است که روی زیرساخت‌های حساس کشورها تمرکز کند؟

مدنیک: بخش زیادی از توجهات در مورد امنیت سایبری، روی مواردی مثل سرقت کارت‌های اعتباری مترکز شده‌است؛ موضوعی که مهم است و ما قصد نداریم آن را نادیده بگیریم. اما جالب این‌جاست که در مجموع به حملات سایبری روی زیرساخت‌های حساس، توجه بسیار کمی شده‌است. وقایعی مثل انفجار خطوط نفتی در ترکیه یا ذوب شدن کارخانه‌ی فولاد در آلمان چندان در اخبار پوشش داده نمی‌شوند. شاید اندکی در مورد حمله‌ی سایبری به شبکه‌ی برق اوکراین که حوالی کریسمس سال ۲۰۱۵ اتفاق افتاده بود شنیده باشید. عموماً اتفاقات این‌چنینی که شامل حملات به زیرساخت‌ها می‌شوند توجه چندانی را به خود جلب نمی‌کنند. این اخبار به اندازه‌ی فاش شدن ایمیل‌های شخصی یک بازیگر معروف، جذابیت ندارند؛ اما اثری که می‌گذارند، بسیار وسیع‌تر از خیلی از خبرهای جذاب رسانه‌هاست.
ما احساس کردیم که نیاز به افزایش توجه عمومی به امنیت سایبری در زیرساخت‌های حساس وجود دارد. منظورم این نیست که ما همه‌ی موضوعات دیگر را نادیده می‌گیریم، اما بعضی مسائل وجود دارند که به طور خاص، فقط به این نوع حملات مربوط می‌شوند.
در مورد آمادگی فکر کنید. برای مثال، اگر یک حمله‌ی سایبری رخ دهد که باعث شود شبکه‌ی برق نیوانگلند از کار بیفتد و این اتفاق مثلاً برای سه ماه به همین شکل باقی بماند، چه پیش خواهد آمد؟ دولت ایالتی ماساچوست، شهرداری بوستون یا دانشگاه MIT چقدر برای سه ماه بدون برق آمادگی دارند؟ پاسخ احتمالاً «نه به اندازه‌ی کافی» خواهد بود.
قطع برق برای زمانی طولانی موضوعی غیرممکن نیست. چطور ممکن است؟ اگر صفحه‌ی کامپیوتر شما تاریک شود، شما چه واکنشی نشان می‌دهید؟ ری‌استارت می‌کنید. اگر اوضاع بدتر باشد، اطلاعات آن را پاک کرده و مجدداً برنامه‌ها را نصب می‌کنید. اما فرض کنید اگر توربین شما به خاطر یک حمله‌ی سایبری از کار بیفتد. نمی‌توانید به یک مغازه‌ی توربین‌فروشی محلی رفته و یک جایگزین تهیه کنید. برای مثال، کارخانه‌ی تولید برق و گرمای MIT اخیراً با خرابی یک توربین مواجه شده‌بود، که البته به خاطر حمله‌ی سایبری نبود و یک گلوگاه خراب باعث نقص مکانیکی آن شده‌بود. سه ماه طول کشید تا این توربین تعمیر شود. قطعات توربین‌ها بسیار عظیم هستند و بسیاری از آن‌ها به آسانی قابل تهیه نیستند.
اجازه دهید داستان جالب حمله به شبکه‌ی برق اوکراین در ۲۰۱۵ را تعریف کنم. شبکه‌ی برق اوکراین به سه بخش مجزا تقسیم می‌شود، درست مانند سه شبکه‌ی برق ایالات متحده که مورد حمله قرار گرفت و حدود ۲۲۵٫۰۰۰ نفر را برای چندین ساعت در خاموشی فرو برد.
من خلاصه‌ای از این حمله را مطالعه کرده‌ بودم. تعداد زیادی از افراد، به خصوص از امریکا، به اوکراین سفر کردند تا به طور دقیق مسئله را بررسی کنند و من با دو نتیجه‌گیری از مسئولین این تحقیقات بسیار شگفت‌زده شدم.
اولین نتیجه‌گیری دو بخش داشت:
حمله از نظر فنی بسیار ضعیف بود. مهاجمان از هفت تکنیک مختلف برای پایین آوردن شبکه استفاده کرده‌ بودند، اما تمام این تکنیک‌ها، روش‌هایی بودند که به آسانی در اینترنت قابل خرید بودند. نیاز به ساخت هیچ اسلحه‌ی جدیدی وجود نداشت؛ در اینترنت محیط وسیعی در اختیار مجرمان سایبری قرار دارد.
اما حمله در بخش سازمانی، پیشرفته بود. هکرها باید هفت سلاحی که بدست آورده بودند را به خوبی سر هم می‌کردند. آن‌ها با چند حرکت هوشمندانه، علاوه بر پایین آوردن شبکه‌ی برق، توانسته بودند سامانه‌ی پشتیبان را نیز از کار بیاندازند، بنابراین حتی خود شرکت برق هم برای برگشت به وضعیت آنلاین دچار مشکل شده‌بود. ضمن اینکه آن‌ها تمام دیسک‌ها را نیز پاک کرده‌بودند و به همین دلیل فهمیدن کاری که انجام داده‌بودند، سخت‌تر شده بود. و برای سنگین‌تر کردن ضربه به قربانی، اضافه بار زیادی را به مرکز تماس شرکت برق وارد کردند که باعث می‌شد مشتریان نتوانند با شرکت تماس گرفته و قطعی خود را اطلاع دهند. می‌بینید چقدر حساب‌شده و البته شیطانی عمل شده‌است؟ این حمله با کار یک نوجوان که هک‌های بی‌اهمیت انجام می‌دهد متفاوت است.
دومین نتیجه‌ای که بررسی‌کنندگان پس از مطالعه‌ی حمله به آن رسیدند این بود:
این فقط یک نمایش بود. هکرها می‌توانستند خسارت بسیار بسیار بزرگ‌تری وارد کنند. این یک بیانیه‌ی سیاسی بود که به طور مؤثر اعلام می‌کرد: «ما این‌جا هستیم. ما از این‌جا نخواهیم رفت». و در این مورد، انگشت اشاره به سمت روس‌ها بود.
اما ما نمی‌توانیم در این مورد با اطمینان صحبت کنیم. من شخصی را ملاقات کردم که برای دولت به هک کردن دیگران دست می‌زد. او فقط برای امریکا، روسیه یا چین کار نمی‌کرد. او می‌گفت در تمام برنامه‌هایی که او و همکارش توسعه می‌دهند، تمام توضیحات به زبان چینی نوشته می‌شود. نکته این‌جاست که اگر در هک کردن خوب باشید، سعی خواهید کرد که تمام شواهد را به نحوی سامان دهید که به شخص دیگری به غیر از شما اشاره کنند. بنابراین اگر فکر می‌کنید که می‌دانید چه کسی پشت یک حمله‌ی سایبری است، به احتمال زیاد، آن شخص مسئول این حمله نیست.

مهم‌ترین کارهایی که مدیران کسب و کارها برای کاهش آسیب‌پذیری‌های امینیت سایبری شرکت خود می‌توانند انجام دهند کدام هستند؟

مدنیک: اگر به جنبه‌های مدیریتی، سازمانی و استراتژیک امنیت سایبری توجه نکنید، بخش‌های مهمی را از دست می‌دهید. بسیاری از افراد روی توسعه‌ی بهتر سخت‌افزار و نرم‌افزار کار می‌کنند و این، کار خوب و مهمی است اما این کارها فقط تکه‌ای از یک پازل هستند.
تخمین‌ها نشان می‌دهند که حدود ۵۰ تا ۸۰ درصد حملات سایبری با کمک یا تشویق – اغلب ناخواسته‌ی – کارکنان داخلی اتفاق می‌افتند؛ مواردی که می‌توان آن‌ها را از انواع حملات فیشینگ (شامل کلیک کردن روی یک لینک موجود در ایمیل یا پرونده‌ی پیوست‌شده به آن) دسته‌بندی کرد. ایمیل‌های فیشینگ انبوه بی‌هدف با نرخی در حدود ۱ تا ۳ درصد توسط کاربران باز می‌شوند اما پیام‌های هدفمند که با عنوان «spear phishing» شناخته می‌شوند بسیار مؤثرترند و نرخ باز شدن آن‌ها حدود ۷۰ درصد است. با حملات فیشینگ هدفمند، شما ایمیلی مستقیم از یکی از مدیران رده‌بالای شرکت دریافت می‌کنید که از شما انجام کار خاصی مثل اعطای اختیار به یک کارمند جدید یا انتقال وجه به یک فروشنده‌ی جدید را می‌خواهد.
بنابراین اگر شما به مسائلی که برای افراد پیش می‌آید توجه نکنید، بخش بسیار مهمی از مشکلات امنیت سایبری را فراموش کرده‌اید. بسیاری از آسیب‌پذیری‌هایی که در سازمان‌ها وجود دارد از فرهنگ صنفی که ما ایجاد می‌کنیم و آداب و رسومی که داریم ناشی می‌شود. در این مورد مثالی می‌زنم.
ما با شرکت‌های انرژی همکاری می‌کنیم. من با یکی از افرادی که از شعبه‌ی اصلی یکی از این شرکت‌ها دیدن کرده‌بود صحبت می‌کردم و او می‌گفت اگر در آن شرکت، بدون نگه داشتن نرده‌ها، از پله‌ها بالا و پایین روید، شخصی شما را متوقف می‌کند و خواهد گفت: «لطفاً برای ایمنی خود، نرده‌ها را نگه دارید». تفکر امنیت در این شرکت به این شکل رشد یافته است. به من گفته شد که اگر در تالار شرکت در حال اس‌ام‌اس دادن با گوشی راه بروید، شخصی خواهد گفت: «ایست! یا پیام بده، یا راه برو. هر دو را با هم انجام نده». به این خاطر که آن‌ها می‌دانند اگر کار اشتباهی در پالایشگاه نفت انجام دهند، کارخانه منفجر خواهد شد و افرادی جان خود را از دست می‌دهند. این تفکر امنیتی در شرکت جا افتاده است.
مثال دیگر این است: وقتی وارد یک کارخانه‌ی صنعتی می‌شوید، معمولاً تابلویی با این مضمون می‌بینید: «۵۲۰ روز از آخرین حادثه‌ی صنعتی». اگر وارد یک دیتاسنتر شوید، آیا تابلویی با مضمون «۵۲۰ میلی‌ثانیه از آخرین حمله‌ی سایبری موفق» مشاهده می‌کنید؟ آیا اصلاً می‌دانید که چه تعداد حمله‌ی سایبری موفق یا ناموفق در یک روز معمولی با هدف شرکت شما انجام می‌گیرد؟
شرکت‌ها باید این نوع فرهنگ ایمنی و تفکر در مورد امنیت سایبری را در خود رشد دهند. به قضیه این طور نگاه کنید: من می‌توانم یک قفل قوی‌تر روی در بگذارم، اما اگر همچنان عادت به گذاشتن کلید زیر پادری داشته باشم، آیا تعویض قفل به بالا رفتن امنیتم کمکی خواهد کرد؟ این مثال خیلی ساده‌سازی شده اما واقعاً در سازمان‌ها همین کار را می‌کنیم: ما درهای قوی‌تر و محکم‌تری می‌سازیم اما کلیدهای آن‌ها را همه‌جا رها می‌کنیم. به همین دلیل است که جنبه‌های سازمانی و مدیریتی امنیت سایبری این قدر حساس هستند.

اما امنیت سایبری نیاز به این دارد که در تمام طول زنجیره‌ی تولید ارزش به آن توجه شود، درست است؟ زیرا ایجاد سیاست‌های عالی امنیت سایبری در شرکت بدون توسعه و گسترش آن به فروشندگان و تولیدکنندگان مرتبط، برای ایجاد امنیت کافی نخواهد بود.

مدنیک: حق با شماست. مردم معمولاً از تعبیر «e2e» یا پایانه به پایانه استفاده می‌کنند. شاید شما توانسته باشید تکه‌ی پازل مربوط به خود را کاملاً امن کنید اما امروزه هر کس از طریق یک یا چند راه، به دیگران متصل است.
برای مثال، نفوذ اخیر در شرکت تارگت، از طریق یک شرکت تعمیر سامانه‌های گرمایشی، تهویه و خنک‌کننده انجام گرفت که به بعضی از سیستم‌های تارگت دسترسی داشت. همچنین، پلت‌فرم ارتباطی سوییفت برای مؤسسات مالی نیز از طریق یک آسیب‌پذیری در بانک بنگلادش آلوده شد که باعث از دست رفتن ۶۳ میلیون دلار سرمایه شد.

آیا صنعت خاصی وجود دارد که بتوانید به عنوان نمونه‌ای برای مدیریت خوب مسائل امنیت سایبری از آن نام ببرید؟

مدنیک: من شرکت‌ها را از سطح ضعیف، تا وحشتناک رده‌بندی می‌کنم. در این درجه‌بندی، خدمات مالی احتمالاً از بسیاری از بخش‌های دیگر موفق‌تر باشد. از سویی دیگر، این بخش، همان قسمتی است که معمولاً هدف بیشترین تعداد حملات قرار می‌گیرد. بنابراین آن‌ها باید دو برابر دیگران در امنیت سایبری خوب باشند، اما اگر قرار باشد مثلاً چهار برابر دیگران مورد حمله قرار بگیرند، این مقدار آمادگی هم نشان‌دهنده‌ی وضعیت خوبی برای آن‌ها نخواهد بود.
من نمی‌دانم کدام بخش از صنعت ضعیف‌ترین امنیت سایبری را دارد، اما به وضوح بیمارستان‌ها به سختی برای این مقام رقابت می‌کنند. طبق یک گزارش، ۸۸ درصد از تمام باج‌افزارهای تشخیص‌داده‌شده (که در آن به نوعی کامپیوترها تا زمان پرداخت وجه، به عنوان گروگان نگه داشته می‌شوند) روی سازمان‌ها، بیمارستان‌ها را هدف می‌گیرند؛ دلیل آن هم این است که آن‌ها هدف آسانی هستند. اگر شما یک بیمارستان باشید و گرفتار باج‌افزار شده باشید، آیا برای خلاصی از آن پول پرداخت می‌کنید یا نه؟ اگر کامپیوترهای بیمارستان شما درگیر این مشکل شده باشند، بیماران بیمارستان در معرض خطر قرار می‌گیرند. دیگر نخواهید توانست به اطلاعات پزشکی به روز مثل نتایج آزمایش‌ها و تغییرات داروها دسترسی داشته باشید. بنابراین مجبور خواهید بود پول باج‌افزار را پرداخت کرده و جان افراد را به خطر نیاندازید.

توصیه‌ی شما به مدیران کسب و کارهایی که خواننده‌ی نشریه‌ی ما هستند در زمینه‌ی امنیت سایبری چیست؟

مدنیک: به امنیت سایبری در قالب یک رهیافت سه شعبه توجه کنند: پیشگیری، کشف و بازیابی. گارتنر اخیراً گزارشی با این عنوان منتشر کرده‌است که «پیشگیری در سال ۲۰۲۰ کاری بیهوده خواهد بود». این موضوع با دیدگاه ما نیز منطبق است که می‌گوییم اگر پنتاگون قابل نفوذ باشد، اگر آژانس امنیت ملی ایالات متحده (NSA) قابل نفوذ باشد، اگر ارتش اسرائیل قابل نفوذ باشد، چطور می‌توانید فکر کنید که شما نفوذناپذیر هستید؟
به همین دلیل، شما باید به تمام این سه گام توجه کنید. البته، اگر بخواهید می‌توانید تا اندازه‌ی ممکن روی پیشگیری از حملات و نفوذ کار کنید، اما دو قدم بعدی حتماً باید کشف یا شناسایی و بازیابی باشند. طبق چندین مقاله‌ی منتشرشده، میانگین زمان کشف یک نفوذ سایبری می‌تواند از ۲۰۰ روز هم تجاوز کند. ضمن اینکه من اخیراً گزارشی را مطالعه کرده‌ام که می‌گفت این میزان در کشورهای منطقه شرق آسیا و اقیانوسیه، ۵۲۰ روز – بیش از دو برابر میانگین جهانی – است.
بنابراین توانایی ما در کشف این که چه اتفاقی در حال رخ دادن است، بسیار کم است. تا زمانی که شما حمله را شناسایی نکرده باشید، احتمالاً هکرها در حال گشت و گذار در اطراف، دزدیدن پرونده‌ها و انجام کارهای دیگر خواهند بود.
این مثال را معمولاً تعریف می‌کنم: اگر هر روز ساعت ۵، شخصی با یک چرخ دستی پر از پول از بانک خارج شود، به نظر شما پس از چند روز، کسی متوجه این کار او خواهد شد؟ بله، احتمالاً! اما چیزهایی مثل این همیشه در سیستم‌های کامپیوتری اتفاق می‌افتند و هیچ‌کس به آن توجهی نمی‌کند. شاید این مسئله به اندازه‌ی مثالی که زدیم قابل دیدن نباشد، اما اتفاقات جالبی در سیستم‌ها رخ می‌دهد و اغلب هیچ کس حتی نگاهی هم برای دیدن این که آیا چیز مشکوکی وجود دارد یا خیر نمی‌کند.
و در نهایت، بازیابی در بسیاری از اوقات ضروری است. در مجموع، مدیران عامل در موقعیتی که شخصی میکروفونی در برابرشان قرار دهد و در مورد حمله‌ی سایبری که در همان لحظه در شرکتشان کشف شده سؤال کند، بسیار دست‌پاچه و ناآماده دیده می‌شوند. و همین موضوع بخشی از مقوله‌ی بازیابی است. سؤال دیگری که باید پاسخ داده شود این است که واقعاً توانسته‌ایم سیستم را از به وضعیت درست برگردانیم یا اینکه حمله هنوز ادامه دارد؟ چطور اطمینان حاصل کنیم که همین حمله هفته‌ی آینده دوباره اتفاق نمی‌افتد؟
همان طور که در سؤال قبلی صنایع را در زمینه‌ی امنیت سایبری ضعیف تا وحشتناک دسته‌بندی کردم، همین موضوع در مورد سه شعبه‌ای که نام بردم نیز وجود دارد. اکثر سازمان‌ها، در پیشگیری ضعیف، در تشخیص بسیار بد و در بازیابی احتمالاً وحشتناک هستند.
من به شوخی می‌گویم که سال‌هایی نه چندان دور، امنیت سایبری کاری بود که به یک کارآموز کمک‌برنامه‌نویس واگذار می‌شد و کار او این بود که کامپیوتر به کامپیوتر رفته و آخرین وصله‌های مایکروسافت را روی آن‌ها نصب کند. اما حالا به جایی رسیده‌ایم که مدیرعامل یک شرکت باید در مورد حمله‌ی سایبری جدیدی که کشف شده، در مقابل خبرگزاری‌ها قرار گرفته و مصاحبه کند. بنابراین اگر شما یکی از بالارتبه‌ترین مقامات سازمان باشید، چنین رخدادی برای شما بسیار گران تمام خواهد شد. تا مدتی پیش، اکثر مدیران عامل به سختی می‌توانستند کلمه‌ی امنیت سایبری (cybersecurity) را درست تلفظ کنند! بنابراین مسائل زیادی است که باید با آن مواجه شوند. در هر سطح از سازمان، چه میزان آموزش در زمینه امنیت سایبری مورد نیاز است؟ به چه آمادگی‌هایی نیاز داریم؟ چطور با این حملات مقابله کنیم؟ مدیران باید به طور جدی روی این سؤالات فکر کنند.

سال‌ها پیش در ۱۹۷۹، من به همراه همکارم کتابی با عنوان «امنیت کامپیوتر» نوشتم. چیزی که در نتیجه‌گیری یکی از فصل‌های کتاب وجود داشت و جالب بود این بود که می‌گفت اگر مسائل امنیت کامپیوترها را به افراد نشان ندهیم، از نیمی از مشکلات خلاص شده‌ایم. وقتی در یک دیدار اخیر با مدیران، همین جمله را تکرار کردم و گفت که فکر می‌کنم هنوز هم این جمله درست باشد، توسط یکی از حضار به من انتقاد شد که «شما به شدت نقش انسان در ایجاد مشکل را دست کم گرفته‌اید، این نقش بسیار بیشتر از ۵۰ درصد است!».

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.