مجله آنلاین مگ باز

مشاهدات کلیدی از بازار افتا

مسئله‌ی افتا تقریباً هر هفته روی صفحه‌ی اول روزنامه‌ها ظاهر می‌شود. این همه خبر سرقت آنلاین، کلاه‌برداری، و نفوذ به اطلاعات الکترونیکی دیگران و دیگر جرایم سایبری مشابه، آدم را یاد انبوه پرونده‌های کلانتری‌های شهرهای بزرگ و جرم‌خیز می‌اندازد.
صفحه‌ی اول جراید، مرتب از هزینه‌های صرف‌شده برای دفاع سایبری، همکاری و اشتراک بیشتر اطلاعات، راهحل‌های فنی جدید، تلاش‌های روزافزون بخش تجاری در حوزه‌ی افتا، تصویب قوانین و مقررات افتا به دست دولت، و بسیاری اقدامات دیگر برای هر چه امن‌تر کردن زندگی ما گزارش می‌دهد. این در حالی است که هر روز خبرهای جدیدی از وقوع حملاتی علیه سازمان‌ها و شرکت‌های تجاری می‌شنویم.
به نظر پر از تناقض می‌آید؛ هر هفته چند داستان جدید درباره‌ی مصائب سایبری منتشر می‌شود و در همان هفته چند داستان تازه درباره‌ی هوشیاری بیشتر در نبرد با جرایم سایبری.
تا وقتی که از ارتباط میان پیشرفت‌های حوزه‌ی مبارزه با جرایم سایبری و اخبار هفتگی حملات در دنیای مجازی تحلیل جامعی نداشته باشید، از علت این تناقض سر درنمی‌آورید. آنچه از این اخبار برداشت می‌شود این است که دیر یا زود، همه‌ی ما قربانی جرایم سایبری خواهیم شد و اقدامات ما برای جلوگیری از این امر کافی نیست.
جیسون پولانسیچ، کارشناس حوزه‌ی افتا، طی مطلبی در سایت Security Week، از تجربیات خودش در این حوزه نوشته است. تحلیل وی را در ادامه می‌خوانید:
با آن که بخش اعظم زندگی حرفه‌ای خود را در حوزه‌ی اطلاعات و افتا گذرانده‌ام، به تازگی متوجه شده‌ام که هیچ‌وقت از منظر تجاری به راه‌حل‌های افتا نگاه نکرده‌ام؛ این در حالی است که بخش تجاری استفاده‌کننده‌ی اصلی این راه‌حل‌ها است.
برای همین سعی کردم گزیده‌ای از داده‌های دست اولی را که از جلسات هفتگی چند سال اخیرم با شرکت‌ها و تیم‌های سایبری آن‌ها، برای تبادل اطلاعات و بحث در مورد عملکرد امنیتی درون کسب‌وکارشان، جمع کرده‌ام ارائه کنم تا شاید بتوانم این معما را تا حدی جواب بدهم.
آنچه در ادامه می‌خوانید بخش کوچکی از مشاهدات و تجربیات من است که کمک می‌کند این مسئله را قدری توضیح بدهم تا شاید بتوانیم راهی برای کمک به خودمان پیدا کنیم. این نکته را هم بگویم که مسائلی که اینجا مطرح می‌کنم شاید برایتان خوشایند نباشد، ولی خود مسئله جرایم سایبری هم مسئله‌ی خوشایندی نیست.
مقابله مؤثر با جرایم سایبری، چالش بزرگی پیش روی ما است؛ اما همین چالش هم فرصتی در اختیار ما قرار می‌دهد تا خود را با شرایط موجود تطبیق دهیم و در نهایت، به تکامل برسیم.

عملیات سایبری در تمام صنایع بسیار ناپخته هستند
در خلال ملاقات‌های هفتگی‌ام، تصویر واضحی از افتا در حوزه‌ی کسب‌وکار برایم شکل گرفته است. به غیر از شرکت‌های مالی عظیم (که در جای خودش به مشکلات آن‌ها هم می‌پردازیم) بیشتر شرکت‌های تجاری که من با آن‌ها سروکار داشته‌ام در معضلات زیر مشترک بوده‌اند:
• تیم افتای آن‌ها کوچک است یا کارمندانی با وظایف متعدد دارد که به خوبی برای این کار تربیت نشده‌اند.
• فرایندها و اولویت‌بندی‌های امنیتی آن‌ها به صورت دستی و روزمره انجام می‌شود.
• ترفندهای اطلاعاتی به‌کارگرفته‌شده برای مقابله با تهدیدات و مخاطرات، بسیار کم‌تعداد یا بسیار سطحی هستند.
• از رویکردهایی دفاعی مثل دفاع در عمق استفاده می‌کنند که عموماً فقط از روی رفع تکلیف انجام می‌شوند.
• بودجه را طوری تنظیم می‌کنند که مسئولان IT نمی‌توانند راه‌حل‌های قدرتمندی را اتخاذ کنند.
• بیش از حد لازم به آنتی‌ویروسها و ضدبدافزارها، سیستم شناسایی و پیشگیری از نفوذ و فناوری‌های فایروال اولویت می‌دهند.
• کارهایشان را به دست گروه‌های جدا از هم می‌سپارند که به صورت جزیره‌ای عمل می‌کنند و به همین خاطر با هم هماهنگ نیستند و دوباره‌کاری می‌کنند.
• اعتماد کورکورانه‌ای به برون‌سپاری امنیتی و خدمات مشاوره‌ی امنیتی دارند.
• توجه آن‌ها بیشتر به تحلیل مقدار زیادی داده‌های بی‌اهمیت است و نمی‌توانند داده‌های مهم را بیابند و بر آن‌ها تمرکز کنند.
• مدیریت بخش امنیت را بدون نظارت و سازوکارهای کنترلی در اختیار راهبر امنیتی قرار می‌دهند و با این کار، اجازه می‌دهند شخصیت او تعیین‌کننده‌ی روند امور باشد.
• آنقدر درگیر مهندسی فرایند و روال کار می‌شوند که عملی بودن کار تحت تأثیر قرار می‌گیرد.
• از صفر شروع کردن، اعتراف به شکست یا تلاش مداوم برای بهبود کار را دوست ندارند.
• کُند تصمیم می‌گیرند، به جای این که سریع و از روی اطلاع تصمیم بگیرند.
• به جای این که اعتماد به نفس داشته باشند و خلاف روال معمول کار کنند، محافظه‌کارانه و از روی ترس عمل می‌کنند.
• عملیات امنیتی را از عملیات تجاری مجزا می‌کنند.
• از عمق و گستره‌ی تهدیدات سایبری ناآگاه هستند.
• فکر می‌کنند که «این بلا سر ما نمی‌آید» و «اتفاق مهمی هم نیست».
احتمالاً رایج‌ترین پیش‌فرض اشتباه در این حوزه این است که چون مسئله جرایم سایبری مسئله‌ای کاملاً فراگیر است، حتماً هر واحد و سازمان تجاری خودش را به صورت کامل و مؤثر برای برخورد با آن آماده کرده است. متأسفانه، مسئله اصلاً این‌طور نیست.
در بیشتر موارد، می‌توان به راحتی نشان داد که حتی واحدهای دفاع سایبری بزرگ‌ترین و موفق‌ترین شرکت‌های تجاری هم علی‌رغم تمام هزینه‌هایی که صرف می‌کنند، در مقابل پختگی و پیشرفته بودن خطرات افتا کاملاً ناپخته و ساده هستند. متأسفانه امور آن‌طور که باید و شاید، سریع و هماهنگ پیش نمی‌رود و این رشد ناقص در حوزه‌ی افتا باعث می‌شود که همه هزینه بدهند.

شرکت‌های تجاری بزرگ و دارای «بلوغ سایبری» لزوماً ایمن‌تر نیستند و حتی ممکن است ناخواسته به بقیه شرکت‌ها ضربه بزنند
در بیشتر مواقع، وقتی افراد عبارت «بلوغ سایبری» را برای شرکتی به کار می‌برند منظورشان این است که شرکت مورد نظر برای ابزارها، کارکنان و کنترل روند دفاع سایبری هزینه بیشتری صرف می‌کند. در کل، هر چه شرکت بزرگ‌تر باشد برای افتا بهتر خرج می‌کند. همین‌طور، هر چقدر شبکه‌ی مشتریان ثابت یک شرکت بزرگ پیوند محکم‌تری با جریان اصلی درآمد آن داشته باشد، عملیات افتا بیش از پیش جزو عملیات تجاری عمده شرکت به حساب می‌آید.
مثلاً کسب‌وکارهای خدمات مالی، خرده‌فروشی و بهداشت و درمان را در نظر بگیرید. شاید تصور کنید بزرگ‌ترین شرکت‌های این حوزه‌ها در زمینه دفاع سایبری و افتا خیلی کارآمد هستند. البته درست است که بخش افتای این شرکت‌ها نسبتاً تأمین مالی خوبی می‌شوند، بودجه کلانی دارند و از بهترین ابزارهای فنی در دسترس بهره می‌گیرند. اما آیا لزوماً در مقابل تهدیدات امنیتی، ایمنی بیشتری دارند؟
اطلاعاتی که هر هفته گردآوری می‌کنم من را به این نتیجه رسانده‌اند که وضعیت این شرکت‌ها به همان بدی شرکت‌های کوچک است؛ چه بسا بدتر هم باشد. علت این است که این شرکت‌ها علاوه بر فهرست مشکلاتی که در بالا ذکر کردم، با مسائل زیر هم دست به گریبانند:
• چابکی کمتری دارند: هرچه این شرکت‌ها بزرگ‌تر باشند و اجزاء بیشتری داشته باشند، به نسبت کندتر هستند.
• ارتباط سازمانی کمتری دارند: ساختارهای پیچیده‌ی سازمانی اینرسی بالایی ایجاد می‌کند که روند انتقال اطلاعات باارزش را کند می‌سازد.
• سازماندهی مناسبی ندارند: شاید روی کاغذ، سازماندهی در کار باشد؛ اما در سطح کلان، در این شرکت‌ها حتی واحدهای جاافتاده مثل فروش و پشتیبانی از مشتریان هم دچار آشفتگی هستند.
• اسیر کاغذبازی‌اند: سیستم‌های بزرگ محل رشد ناکارآمدی هستند، به خصوص وقتی پای تصمیم‌گیری و ابتکار به میان می‌آید.
• بیش از حد محافظه‌کارند: چرخه‌ی طولانی ارزیابی و خرید محصولات فنی و تأکید بیش از حد آن‌ها بر جزییات ریز و رویه‌های متعارف باعث بی‌ثمر شدن راهحل‌های جدید می‌شود.
• اعتماد به نفس بالایی دارند: داشتن تجهیزات کامل، احساس امنیت کاذب ایجاد می‌کند و باعث می‌شود کمتر گوش به زنگ باشند.
• معلولیت راهبردی: حتی موفق‌ترین شرکت‌های بزرگ هم آن‌قدر که در مدیریت فروش، بازاریابی یا منابع انسانی موفق‌اند در مدیریت افتا موفق نیستند.
ضمناً شرکت‌های بزرگ، یعنی همان یک درصد بالای حوزه کسب‌وکار، به عنوان خریداران اصلی راه‌حل‌های افتا ممکن است صنعت فناوری اطلاعات را طوری تحت تأثیر قرار دهند که محصولات را مطابق میل آن‌ها طراحی کنند. از این رو، گاهی راه‌حل‌های کم‌هزینه و بدون اتلاف منابع آن‌چنان فراوان نیستند، و بازار هم تعهدی به ارائه‌ی آن‌ها ندارد. بازاریابی، قیمت‌گذاری، ویژگی‌های فنی، صدور مجوز، راه‌اندازی، مشاوره و بسیاری از عملیات دیگر مربوط به این محصولات، تحت نفوذ شرکت‌های بزرگ قرار دارند.
برای شرکت‌های کوچک این روال نه تنها در خرید محصولات افتا، بلکه در مهندسی امنیت و سطوح عملیاتی نیز تأثیر دارد. کسب‌وکارهای کوچک در زنجیره‌ی تأمین از صنایع بالادستی برای مقابله با تهدیدات سایبری الگو می‌گیرند. آن‌ها مو به مو از کار بزرگ‌ترها تقلید می‌کنند.

کسب‌وکارهای متوسط یا کوچکِ رو به متوسط نشان داده‌اند که در تطابق و تکامل، بهتر عمل می‌کنند
علی‌رغم ناپختگی‌های مدیریت افتا که در بالا ذکر شد، مشاهدات من نشان می‌دهد که شرکت‌های متوسط یا شرکت‌های کوچکِ رو به متوسط، در نبردهای سایبری مجهز به تجهیزات درست‌تری هستند. این شرکت‌ها چابک‌ترند، سریع‌تر تصمیم می‌گیرند، نوآورترند و راه‌حل‌هایی را انتخاب می‌کنند که هم منطبق با بودجه‌شان باشد، هم بهینه باشد و هم کارمندانشان از آن به صورت موثری استفاده کنند. این شرکت‌ها هم از «عقل سلیم» کاربردی و هم از رویکردهای نوظهور افتا بهترین استفاده را می‌کنند.
شرکت‌های کوچک از آنجا که اولویت و تمرکز خودشان را به روی امور پایه‌ای قرار می‌دهند، با وضعیت همیشه متغیر افتا راحت‌تر همگام می‌شوند. سرعت آن‌ها در به‌کارگیری رویکردهای جدید نیز این روند را تقویت می‌کند و متعادل می‌سازد.
مثلاً مسئله داده‌های پردازش‌شده‌ی سایبری را در نظر بگیرید. گوش به زنگ بودن در لحظه‌ی درست، چه در سطوح بالا و چه در سطوح پایین، و توانایی واکنش سریع در این حوزه کم‌کم دارد مزایای خودش را نشان می‌دهد. در شرکت‌های کوچک، عملیات سایبری از آنجا که کم‌حجم‌تر است، بر تهدیدهای مشخصی تمرکز دارد و ارتباط میان بخشهای مختلف کمتر دچار لَختی و سکون می‌شود، حتی داشتن اندکی اطلاعات ذی‌قیمت هم در پشتیبانی از اقدامات تاکتیکی مستقیم نقش بسیار مفیدی دارد، و به سرعت هم نتیجه می‌دهد.
این‌ها فقط چند مورد از مشاهداتی هستند که من از دفترچه‌ی یادداشت همکاری‌هایم با شرکت‌های مختلف در طول چند سال گذشته استخراج کرده‌ام. به نظرم اکنون، هم در بازار افتا هم در وضعیت دفاع سایبری کسب‌وکارها، در آستانه‌ی موقعیتی تاریخی هستیم. فرایندها، افراد و فناوری‌ها را باید به صورت مستمر آزمود و سنجید تا برای مقابله با دشمنی که او هم هر روز تواناتر از دیروز می‌شود، آماده‌تر بود. بعضی اوقات، حتی ابزارهای ساده‌ای مثل یک دفترچه‌ی یادداشت هم می‌توانند به ما دید خوبی بدهند.

Add comment

Your Header Sidebar area is currently empty. Hurry up and add some widgets.