این یک حقیقت تلخ است؛ اهمیتی ندارد که سازمان شما چه مقدار برای جدیدترین سختافزارها و نرمافزارها، آموزش و همچنین منابع انسانی در حوزه امنیت سایبری هزینه کرده یا اینکه سیستمهای پایهای خود را از سایر سیستمها جدا کرده باشد. اگر سیستمهای حیاتی که در راستای ماموریت سازمانتان قرار دارند، دیجیتالی و به طریقی به اینترنت متصل باشند (به احتمال زیاد متصل هستند، حتی اگر شما طور دیگری فکر کنید)، آنها هرگز نمیتوانند کاملا ایمن شوند.
اینترنت که همه مردم جهان را بههم پیوسته و متصل کرده میتواند خطراتی هم به دنبال داشته باشد. هرچند مدیریت ریسکهای امنیتی از قدیم به عهده کارشناسان و تکنیسینها بوده است، اما دیگر نمیتوان حوزه امنیت سایبری را به متخصصان فناوری اطلاعات محدود کرد. در عوض همه مدیران، چه در سازمانهای خصوصی و چه در سازمانهای دولتی، باید به نقش امنیت سایبری در وظایف و مسئولیتهایشان پی برده و خود را در زمینه تغییرات ریسکها در امنیت سایبری بهروز نگه دارند.
کتاب امنیت سایبری با عنوان «Cyber Security» توسط انتشارات مجله کسبوکار هاروارد در سال ۲۰۱۹ منتشر شده است. این کتاب به افراد غیرحرفهای کمک میکند تا بهسرعت، درکی عمیق از حوزه امنیت سایبری به دست آورند. این کتاب چند موضوع بسیار مهم را پوشش میدهد و مطالعه آن دو مزیت برای شما دارد؛ اول اینکه با مسائل فعلی و مسائل آتی در حوزه امنیت سایبری آشنا میشوید؛ مسائلی که با نقش، سازمان و صنعت شما مطابقت دارند. دوم اینکه متوجه خواهید شد که هم بخشی از مشکلات امنیتی سازمان هستید و هم نقشی کلیدی در شناسایی و مدیریت راهحلهای امنیتی ایفا میکنید.
نویسندگان این کتاب هم به موضوع حمله بدافزار استاکسنت به تاسیسات هستهای ایران اشاره کردهاند و هم حمله سایبری به تاسیسات نفتی عربستان سعودی که آمریکا معتقد است از سوی ارتش سایبری ایران صورت گرفته مورد توجه قرار گرفته است..
در این کتاب سعی شده ابعاد مختلف امنیت سایبری به خصوص در سطح شرکتی مورد بررسی قرار گیرد و راهکارهایی که شرکتها میتوانند آنها را به کار گیرند تا کمتر در معرض خطرات ناشی از حملاتی که روز به روز در حال افزایش است، واقع شوند.
در ادامه بخش کوتاهی از کتاب امنیت سایبری که توسط انتشارات راه پرداخت منتشر شده است را میخوانید.
امنیت سایبری بهتر با اصلاح عادات بد کارکنان آغاز میشود
جرائم سایبری به موضوعی عادی تبدیل شده و در حال تحمیل هزینههای سنگینی به شرکتهای آمریکایی است. متوسط هزینه سالانه جرائم سایبری برای شرکتهای جهانی از سال ۲۰۱۳ حدود ۶۲ درصد افزایش پیدا کرده است؛ یعنی از ۷.۲ میلیون دلار به ۱۱.۷ میلیون دلار رسیده است. شرکت تارگت که در سال ۲۰۱۳ یک نشت اطلاعاتی گسترده را تجربه کرد، گزارش داد که هزینه کلی این نشت اطلاعاتی فراتر از ۲۰۰ میلیون دلار بوده است. با توجه به این هزینهها، شرکتها چه کاری میتوانند انجام دهند؟
دولتها و صنایع در حال انجام همان کارهایی هستند که پیش از این هم انتظار میرفت؛ یعنی صرف میلیاردها دلار بهمنظور توسعه و پیادهسازی فناوریهای جدیدی که با هدف متوقفساختن افراد خرابکار پیش از نفوذ به سیستمها طراحی شدهاند. با این حال، حتی اگر ما برخی از بهترین و درخشانترین افراد متخصص را نیز در اختیار داشته باشیم، باز هم محدودیتهای بزرگی در مورد آنچه میتوانیم با سیلیکونها و کدها انجام دهیم، وجود خواهد داشت. با وجود تمایل ما به استفاده از فناوری برای رفع مشکلاتی که فناورانه به نظر میرسند، دغدغه اصلی در محافل امنیت اطلاعات این است که اقدامات کافی برای رفع بزرگترین و مزمنترین تهدید امنیت سایبری یعنی «خطای انسانی» را انجام ندادهایم.
در سال ۲۰۱۴، «آیبیام» گزارش داد که «در بیش از ۹۵ درصد از حوادث [امنیتی] بررسیشده «خطای انسانی» بهعنوان یک عامل موثر شناخته شده است». در واقع، مجموعه حملات بدافزاری با عناوین سایبرپانکی (Cyberpunk) مثل «واناکرای» (WannaCry)، «پتیا» (Petya) و «میرای» (Mirai) و همچنین حملات با پشتیبانی آشکار از سوی دولتها علیه «آکوئیفاکس» و سیستم انتخاباتی آمریکا، همگی بهدلیل تصمیمات و اقدامات ضعیف کاربران نهایی آغاز شدهاند.
اگر منشاء این حوادث را یک مهندس که بهصورت ناخواسته یک نقطه آسیبپذیر را وارد بخشی از نرمافزار کرده، ندانیم؛ پس این کاربر نهایی بوده است که روی یک لینک بد کلیک کرده، قربانی یک حمله فیشینگ شده، از یک رمز عبور ضعیف استفاده کرده یا نسبت به نصب بهموقع یک بهروزرسانی امنیتی غفلت کرده است. مهاجمان نیازی به شکستن دیواری از صفر و یکها یا خرابکاری در قطعهای از یک سختافزار پیچیده ندارند؛ در عوض، باید بهدنبال فرصتی باشند که از رفتار قابل پیشبینی یک کاربر ضعیف نهایت استفاده را ببرند.
وقتی شرکتها تمرکز خود را روی رفع مشکلات فناورانه با بهکارگیری راهکارهای فناورانه میگذارند، آنها نسبت به تشخیص اقداماتی که بهسادگی میتواند به کاهش بروز رفتارهای بد و تقویت رفتارهای خوب کمک کند، غفلت میکنند. البته بعضی سرمایهگذاریها در حوزه فناوری، بهمنظور جلوگیری از این رفتارها، در درجه اول با واگذاری تصمیمگیریهای انسانی به سیستمهای هوش مصنوعی و یادگیری ماشین انجام شده است؛ با این وجود این نوآوریها هنوز راه زیادی در پیش دارند.
همانطور که حادثه عجیب سقوط یک ربات امنیتی به درون آبنمای یک مرکز خرید که به ما هشدار داد که هوش مصنوعی و نوآوریهای مرتبط با آن هنوز فناوریهای کاملا توسعهیافتهای نیستند. برای مثال، چند بار برای شما اتفاق افتاده که یک هرزنامه از فیلتر اسپم ایمیلتان رد شده باشد؟ در نبود هوش مصنوعی خطاناپذیر، همچنان برای پر کردن شکاف بین فناوریهای امنیتی و نیازهای امنیتی ما، تشخیص انسان لازم است، اما اگر تشخیص انسان کامل نباشد و فناوری کافی وجود نداشته باشد، شرکتها برای کاهش ریسکهای رفتاری چه کاری میتوانند انجام دهند؟
یک آموزه مهم در زمینه اقتصاد و روانشناسی رفتاری این است که سوگیریهای رفتاری ما کاملا قابل پیشبینی هستند. برای مثال، متخصصان امنیتی ما بارها و بارها تاکید کردهاند که بهروز نگهداشتن نرمافزارها و نصب پچهای امنیتی تا حد ممکن، یکی از بهترین روشها برای حفاظت از سیستمهای امنیت اطلاعات در برابر حمله است. با این حال، اگرچه نصب بهروزرسانیها امری نسبتا بدیهی است، اما بسیاری از کاربران و حتی مدیران فناوری اطلاعات در انجام این اقدام حیاتی تعلل میکنند. چرا؟ بخشی از این مشکل به این دلیل است که دستورالعملها و پچهای بهروزرسانی اغلب در زمان نامناسبی ارائه میشوند؛ مثلا در هنگامی که فرد مسئول نصب بهروزرسانی، پرمشغله و تحت فشار است.
بهعلاوه، وقتی صحبت از بهروزرسانی کامپیوترها و دستگاههای شخصیمان در میان است، اغلب با گزینه «بعدا به من یادآوری کن» بهراحتی از آن چشمپوشی میکنیم. به احتمال زیاد، بهدلیل همین جزئیات زمینهای کوچک، کاربران بهروزرسانیها را، صرفنظر از اهمیتشان، به تعویق میاندازند. چند بار پیش از انجام بهروزرسانی روی گزینه «فردا به من یادآوری کن» کلیک کردهاید؟
در شرکت تحقیق و طراحی علوم رفتاری ideas42، ما شرایط مختلفی که کاربران و مدیران را به تصمیمگیری (و فعالیت) با شیوههای کمتر از حد بهینه سوق داده و آنها و شرکتهایشان را در معرض ریسک حملات سایبری قرار میداد، ثبت کردیم و از این طریق در مورد اینکه چرا افراد رمز عبورهای نامناسبی تعیین میکنند، نسبت به نصب بهروزرسانیها غفلت میکنند و روی لینکهای نامناسب کلیک میکنند و قربانی حملات فیشینگ میشوند، به بینشهای متعددی دست یافتیم. همچنین توضیح دادیم که سازمانها و مدیران چه اقداماتی میتوانند بهمنظور بهبود رفتار کاربران خود انجام دهند (برای کسب اطلاعات بیشتر، میتوانید رمان جنایی مبتنی بر پژوهش ما با عنوان «افکار عمیق: داستانی در مورد امنیت سایبری» را مطالعه کنید).
پیشفرضهای قوی تنظیم کنید
یکی از تاثیرگذارترین بینشهای برگرفته از علوم رفتاری این است که هر چیزی در موقعیت «پیشفرض» باشد، معمولا پایدار باقی میماند. این بینش پیش از این در حوزه پسانداز بازنشستگی و اهدای عضو نتایج خوبی بهدنبال داشت؛ حوزههایی که در آنها، اقدام تغییر پیشفرض «عدم رضایت» به پیشفرض «رضایت» (در پرسشنامههایی که در این خصوص طراحی شده بود)، نرخ مشارکت افراد را بهطور چشمگیری افزایش داد. همین منطق میتواند در زمینه حق انتخاب در مورد امنیت سیستمهای یک شرکت اعمال شود.
کارفرمایان به جای اینکه کارکنان را به مشارکت در اقدامات امنیتی مشخصی مانند نصب و استفاده از یک ویپیان، فعالکردن فرایند احراز هویت دومرحلهای، فعالکردن رمزگذاری کامل دیسک یا دادن اجازه به سیستم برای بهروزرسانی خودکار فرابخوانند، میتوانند برای راهاندازی کامپیوترها و سیستمهایی وقت بگذارند که این ویژگیها را بهصورت پیشفرض فعال میکنند. انجام چنین کاری، نسبت به اینکه این اقدامات بر عهده خود کارکنان باشد، میتواند به نرخ انطباق بالاتری منجر شود.
از تقویم تعهدی برای یادآوری بهروزرسانی سیستم استفاده کنید
گاهی فعالسازی بهروزرسانی خودکار برای نرمافزار سیستم امکانپذیر نیست و انجام این کار به کارکنان واگذار میشود. با این حال، اگر لازم باشد کارکنان روند کار خود را بهمنظور بهروزرسانی بعضی نرمافزارها متوقف کنند، ممکن است تصمیم بگیرند که این کار را به زمان نامعلوم بهتری موکول کنند.
مشکل این است که اگر به این «سوگیری زمان حال» (Present biased) ادامه دهیم و تنها روی امور فعلی خود متمرکز باشیم، این «زمان بهتر» ممکن است هیچگاه فرانرسد. راهکاری که پژوهشگران برای رفع مساله سوگیری زمان حال ارائه کردهاند، این است که کارکنان را به انجام تعهدات مشخصی ملزم کنند؛ گفتنی است هرچه این تعهدات اختصاصیتر باشد، بهتر است.
در مورد به روزرسانیهای نرمافزار، کارفرمایان میتوانند به کارکنان در ایجاد تعهدات مشخص برای این به روزرسانیها کمک کنند. برای مثال، وقتی یک بهروزرسانی منتشر میشود، مدیر میتواند یک ایمیل دستوری به کارکنان جهت متوقفکردن کارشان در زمان مشخصی از تقویم خود برای انجام این به روزرسانی ارسال کند. این اقدام ساده میتواند چرخه ادامهدار اهمالکاری را متوقف سازد.
کارکنان را با همتایانشان مقایسه کنید
افراد تمایل دارند برای انجام کارهایشان از دیگران، بهخصوص کسانی که به آنها شباهت دارند، تقلید و الگوبرداری کنند. این پدیده که «اثبات اجتماعی» نامیده میشود، میتواند بر رفتار افراد تاثیر داشته و بهخصوص وقتی رفتار مطلوب، مبهم باشد، نامشخصبودن رفتار مطلوب در خصوص سلامت سایبری نیز صدق میکند.
«اوپاور» (Opower)، یک پلتفرم مشارکتی برای ارائهدهندگان خدمات، مفهوم اثبات اجتماعی را مورد استفاده قرار داده است. این شرکت اینفوگرافیک کوچکی از قبوض خدماتی خانوارها را که میزان مصرف انرژی هر خانوار نسبت به میانگین و بهینهترین میزان مصرف در آن محله را نشان میدهد، برای مشتریان ارسال میکند. این شاخص کوچک از نحوه عملکرد دیگر خانوارها، میانگین مصرف انرژی را تا دو درصد کاهش داده که در این مقیاس، تغییر بزرگی است.
آنچه این اقدام و دیگر اقدامات مشابه نشان میدهد این است که در واقع نیازی نیست افراد از نزدیک ببینند که دیگران یک رفتار خاص را چگونه انجام میدهند، در عوض میتوان نحوه عملکرد دیگر افراد را به آنها توضیح داد. در محیط یک شرکت، مدیران میتوانند از اثبات اجتماعی برای کمک به کارکنان در شناسایی رفتارهای مطلوب و ترغیب آنها به الگوبرداری از این رفتارها استفاده کنند.
برای مثال، میتوان از کارکنان در مورد رفتارها و راههای محافظتی مختلف آنها در هنگام استفاده از اینترنت، نظرسنجی کرد و بر اساس این رفتارها به آنها امتیاز داد. سپس میتوان گزارشهایی از نحوه عملکرد هر فرد در مقایسه با متوسط کارکنان و همچنین با سختکوشترین کارکنان، تهیه و به افراد برای افزایش امتیاز خود گامهای عملی ارائه داد. این اقدام مبتنی بر اثبات اجتماعی ساده میتواند به انطباق بیشتر با دستورالعملهای امنیتی در یک سازمان منجر شود.
آموزشهای آگاهیبخشی را به یک سیستم بازخورد دائمی تبدیل کنید
یکی از مهمترین بینشهای برگرفته از علوم رفتاری این است که اگر شما به افراد آموزش دهید، ممکن است دانش آنها را افزایش دهید، اما احتمالا نمیتوانید رفتارشان را تغییر دهید. اغلب آموزشهای آگاهیبخشی به این شکل رخ میدهند: سالی یک بار، کارکنان برای یکی، دو ساعت وارد اتاقی میشوند و یک مربی حرفهای برای آنها سخنرانی میکند، سپس همگی به میز کارهای خود بازمیگردند و بیشتر مواردی که به آنها آموزش داده شده را نادیده میگیرند.
دلایل زیادی وجود دارد که چرا چنین اتفاقی رخ میدهد؛ از جمله اینکه افراد توجه محدودی دارند و نمیتوانند تمام اطلاعاتی که تازه آموختهاند را به خاطر بسپارند؛ آنها ممکن است نسبت به اینکه چگونه مواردی را که آموختهاند، عملی کنند، درک خاصی نداشته باشند و بنابراین رفتار خود را تغییر ندهند؛ آنها ممکن است اعتمادبهنفس کاذب داشته باشند که هیچیک از این ریسکهایی که آموختهاند، در مورد آنها اعمال نمیشود («این موارد هرگز برای من اتفاق نخواهد افتاد!») و دیگر دلایلی که در این زمینه وجود دارد.
یکی از راههایی که شرکتها میتوانند کارایی آموزشهای آگاهیبخشی خود را بهبود بخشند، تبدیلکردن این کار به یک فرایند مستمر است تا کارکنان بیاموزند در چه موقعیتهایی مرتکب اشتباه میشوند و چه کاری میتوانند برای جلوگیری از وقوع دوباره این اشتباه در آینده انجام دهند. برای مثال، شما ممکن است جهت مقاومتر ساختن نیروی کار خود در برابر حملات فیشینگ، تصمیم به استفاده از نرمافزاری مانند «فیشمی» بگیرید تا بهصورت منظم ایمیلهای فیشینگ جعلی را به کارکنان ارسال کند تا در صورتی که کاربران در دام این حمله افتادند، بتوان آنان را اصلاح کرد.
همچنین فرایندهای مشابهی میتوانند جهت کمکرسانی به کارکنان در اجتناب از کلیک روی لینکهای بد، یادآوری بهروزرسانی نرمافزارشان و بهکارگیری رفتارهای مفید مانند استفاده از فرایند احراز هویت دومرحلهای، فعالکردن ویپیان خود در هنگام دسترسی به یک شبکه ناامن و بهکارگیری رمز عبورهای ایمنتر، اجرا شوند.
اگر به استفاده از فناوری برای رفع مشکلاتی که در حقیقت ناشی از خطای انسانی هستند، ادامه دهیم، همچنان در برابر حملات آسیبپذیر خواهیم بود. با این حال، اگر رویکردی اتخاذ کنیم که به حوزههایی که انسانها مستعد اشتباهکردن هستند توجه کند، به احتمال زیاد راهکارهای پایداری خواهیم یافت که شما و شرکتتان را به لحاظ امنیتی در وضعیت مناسبی قرار میدهد.