امنیت سایبری برای استارتاپها؛ توصیههایی آزمایش شده از طرف بنیانگذاران
کاربران شما معمولاً بر این باور هستند که شما حتماً از اطلاعات آن ها محافظت میکنید. با توجه به این که استارتاپها امروزه نقش مهمی در زیستبوم اجتماعی و فناوری دارند، این سؤال مطرح میشود که: به عنوان یک استارتاپ، در صورتی که منابع شما محدود باشد چطور امنیت کاربرانتان را تضمین میکنید؟
استارتاپها بخش مهمی از عناوین خبری را در زمینههایی همچون سرمایهگذاری یا عرضه محصولات جدید به خود اختصاص دادهاند و کاربران اینترنت، همیشه برای انجام کارها به سمت جدیدترین و اثبات شدهترین راهها هجوم میبرند. بنابراین تیمهای کوچک استارتاپی که انگیزه و اشتیاق، محرک اصلی آن ها است باید منابع موجود را برای تولید محصولات، جمعآوری بودجه، تشکیل انجمن، حضور پررنگ در مطبوعات و غیره صرف کنند.
اما امنیت سایبری برای استارتاپها در کدام بخش از لیست اولویتها قرار دارد؟ به عنوان فردی که یک کار جدید و نو را آغاز کرده ممکن است درباره چگونگی ذخیرهسازی و مدیریت دادهها نگرانی داشته باشید. به عنوان یک بنیانگذار، ممکن است با شنیدن خبرهای مربوط به حملات سایبری که هر روزه آن ها را میشنویم، بیشتر و بیشتر نگران شوید. به عنوان یک سرمایهگذار، ممکن است از این بترسید که یک حمله سایبری باعث شود حتی قبل از این که به بازگشت سرمایه تان دست پیدا کنید، تمام زحمات شما تباه شود.
پس بنابراین چگونه امنیت سایبری برای استارتاپها فراهم میشود؟ با توجه به این که ارزش حقیقت برای ما از هر چیزی بالاتر است، با بنیانگذاران چندین استارتاپ مصاحبه کردیم تا کمی بیشتر راجع به نقش امنیت اطلاعات در تولید محصولاتی موفق و کارآمد آشنا شویم.
خوشبختانه متوجه شدیم که این افراد نه تنها از اهمیت مسایل و مشکلات امنیت سایبری آگاه هستند بلکه فعالانه سعی دارند این مسایل را به عنوان بخشی حیاتی از توسعه راهبردها و محصولاتشان در نظر بگیرند.
پاسخ این افراد، منبع بسیار خوبی از توصیههای عملی و سناریوهای واقعی است که در آن ها امنیت، یک سرمایه واقعی و یکی از عوامل مهم در تعیین اعتبار شما نزد مشتریان محسوب میشود. صرفنظر از اندازه یک سازمان، نه فقط رعایت این توصیههای کاربردی و عملی را توصیه میکنیم بلکه اعلام میکنیم که این کار کاملاً ضروری است.
آشنایی با بنیانگذاران چند استارتاپ
- الکساندرا آنجل از بنیانگذاران و مدیر ارشد فناوری در Appticles.com
الکساندرا، پیشینه فنی و تکنیکی قوی دارد و بیشتر در زمینه برنامهنویسی مربوط به سرور یا Backend فعالیت داشته و پیش از این مالک یک شرکت برونسپاری بوده است. او علاقه زیادی به کارهای نو و کارآفرینی داشته و تمایل دارد به خانمها در برنامهنویسی و کدنویسی کمک کند.
Appticles.com وب سایتی است که به وبلاگ نویسان، ناشران و سایر تولیدکنندگان محتوا کمک میکند تا محتوای فعلی خودشان را در پلتفرم های موبایلی چند سکویی درج کنند.
- دراگوس موستسکو، بنیانگذار و مدیرعامل RESTACK
دراگوس، مدت بسیار طولانی توسعهدهنده وب بوده و اکنون بنیانگذار یک استارتاپ است. او در حال تولید یک پلتفرم کامل برای دستگاههای متصل به شبکه است.
RESTACK یک رابط کاربری سراسری برای دستگاههای متصل است که ابزارهای دیباگ و رفع اشکال، امکانات امنیتی، تجزیه و تحلیل، یک بکاند ابری و یک فرانتاند قابل تنظیم ارایه میدهد که برای تولیدکنندهها و تمامی علاقهمندان به فناوری بسیار مناسب و مفید است.
- مایل روسو از بنیانگذاران و مدیر فروش Presslabs
مایل از تبلیغ کسبوکارش و افزایش شهرت آن و همچنین کمک به عملکرد بی عیب و نقص سایت مشتریان و رتبه گرفتن آن لذت میبرد.
Presslabs در سال 2011 میلادی تأسیس شد و هم اکنون سرویسهای میزبانی وردپرس را ارایه میدهد که برای ناشران محتوا در سراسر جهان مناسب و مفید هستند.
- رابرت نپ از بنیانگذاران و مدیرعامل CyberGhost
Robert و تیمش یکی از بهترین و شناختهشدهترین تولیدکنندههای VPN در سطح جهان هستند. شرکت CyberGhost از بیش از 20 کارمند تشکیل شده که در زمان بسیار کوتاهی یک سرویس فوقالعاده با میلیونها کاربر در سطح جهان ایجاد کردند.
شرکت CyberGhost که در سال 2011 میلادی در منطقه Land of no Data Retention کشور رومانی تأسیس شد، یکی از شناختهشدهترین تولیدکنندگان VPN در آلمان و اروپای غربی است. این شرکت در ارایه بهترین و مؤثرترین راهکارها برای امنیت اینترنت یعنی «ناشناس ماندن کاربران» تخصص دارد.
- سورین ویناتورو، مدیر ارشد فناوری و از بنیانگذاران RenderStreet
سورین از سال 2001 تا به امروز، یک کارآفرین سریالی بوده و علاقه زیادی به استفاده از فناوری برای کمک به رشد سازمانها دارد. او با موفقیت هایی که کسب کرده؛ تجربیات و اصول کاری خود را در اختیار سازمان های در حال رشد قرار می دهد.
RenderStreet، سیستم رندر فارم (مزرعه رندر) نسل جدید برای Blender (نرمافزار آزاد و متنباز در زمینه گرافیک سهبعدی و طراحی مدل سهبعدی است. این برنامه میتواند برای مدلسازی یک الگو، باز کردن UV، شبیهسازی مایع، قسمتهای پوستی، مفصلها و استخوانبندی کاراکترها، تحرکبخشی و جان دادن به اشیای پروژه، پردازش کارها و سایر شبیهسازیها استفاده شود.) است که مجموعهای کامل از ابزارها و امکانات مختلف را برای رندر کردن حرفهای V-Ray و Blender فراهم میکند.
- تودور باستیا از بنیانگذاران و مدیر ارشد فناوری در 123contactform
تودور، مغز متفکر ایده 123ContactForm است. او قادر است در هر زمانی از روز، تمام توابع داخل یک کد را در عرض چند ثانیه تشریح کند.
123ContactForm سرویسی است که در سال 2008 میلادی بنیانگذاری شده و برترین تولیدکننده فرمها و نظرسنجیهای آنلاین در سطح جهان است.
در ادامه، بنیانگذاران این استارتاپها، تجربیاتشان را در مورد موضوعاتی که از آن ها پرسیدیم، با ما در میان میگذراند.
1. نگرانیهای کاربران راجع به امنیت دادهها و حفظ حریم خصوصی
- الکساندرا انجل،Appticles:
قطعاً امنیت و حریم خصوصی برای همه افراد مهم است اما سطح نگرانی، بستگی به اندازه کسبوکارها دارد. مثلاً وبلاگنویسی که به تازگی کارش را شروع کرده و وبلاگش هنوز خوانندههای زیادی ندارد، نگرانی کمتری راجع به جنبههای امنیتی کارش دارد. در نقطه مقابل، یک وبلاگ نویس حرفهای علاقه بیشتری به کسب اطلاعات درباره حریم خصوصی و حفظ امنیت کاربران دارد چون قطعاً تمایلی ندارد که با استفاده از ابزارهای نامناسب، وبلاگش در معرض خطر قرار گرفته و خوانندهها و درآمدش را نیز از دست بدهد.
- دراگوس موسِتسکو، Restack.io:
بله، همیشه سؤال های امنیتی اولین سؤالات و دغدغههایی هستند که مطرح میشوند.
- مایل روسو، Presslabs:
بله، قطعاً. امنیت یکی از موضوع های روزمرهای است که همیشه راجع به آن بحث میکنیم، چه با مشتریان جدیدی که بعد از هک شدن به ما مراجعه کرده و تقاضای همکاری با ما را دارند و چه بعد از بازبینی امنیت کدهای نوشته شده توسط تیم توسعهدهنده شرکت مشتری یا وقتی به روزرسانی امنیتی کدهای منبع باز را انجام میدهیم.
از نظر من، میزبانی یا هاستینگ شباهت زیادی به بانکداری دارد. ما تأمین کننده امنیت سرمایههای مشتریان خود هستیم و باید امنیت آن ها را تضمین کنیم. دوربینهای نظارتی، جای خود را به سیستمهای نرمافزاری نظارت آنلاین دادهاند، هشدارهای صوتی تبدیل به سیستمهای نظارت شدهاند و هشدار و اخطار، تبدیل به اقدام های عملی میشوند.
- رابرت نپ، CyberGhost:
با توجه به این که تجارت ما «بالا نگه داشتن سطح امنیت حریم خصوصی کاربران» است، کاربران ما به صورت پیشفرض این تقاضا را از ما داشته و سؤال های زیادی از ما در رابطه با این که چطور اطلاعات را ذخیره و پردازش میکنیم و غیره میپرسند. به همین دلیل، ما در رابطه با این موضوع بسیار شفاف عمل میکنیم: ما روش کارمان با دادههای کاربران را به صورت عمومی اعلام میکنیم، چه در پرسش و پاسخها و چه در گزارش های شفافسازی.
- سورین ویناتورو، RenderStreet:
امنیت دادهها و به خصوص حفظ حریم خصوصی برای کاربران ما اهمیت زیادی دارد چرا که خیلی از آن ها برای پنهانسازی محصولاتی تلاش دارند که هنوز به طور کامل تولید نشدهاند. وجود یک رخنه در تصویر ایجاد شده از محصول، برای آن ها و مشتریانشان دردسرساز است. بارها از ما خواسته شده که خط مشیهای خودمان در زمینه حفظ حریم خصوصی کاربران را مشخص کنیم و بارها با بعضی از مشتریان، پیماننامه عدم افشای اطلاعات (NDA) امضا کردهایم.
- تودور باستیا، 123contactform:
بله، امنیت و حریم خصوصی موضوع هایی هستند که مدام از تیم پشتیبانی ما راجع به آن ها سؤال میشود چون نگرانی طبیعی خیلی از کاربران است. بیشتر سؤال ها، مربوط به رمزنگاری دادهها، پایداری سرور و حفظ حریم خصوصی هستند.
2. اهمیت امنیت سایبری به عنوان یک سرمایه برای استارتاپها، ارزش ایجاد شده توسط امنیت سایبری در نظر مشتریان و اهمیت محافظت از دادهها به عنوان امتیازی برای افزایش فروش
- الکساندرا انجل،Appticles:
اجازه بدهید از این دیدگاه به قضیه نگاه کنیم: امنیت سایبری برای استارتاپها یک ضرورت است. ضعف امنیتی میتواند پیامدهای پیشبینی نشده زیادی داشته باشد و به شهرت و اعتبار یک استارتاپ آسیب برساند.
برخورداری از امنیتی قوی باعث ارزشدهی به محصولات و سرویسهای شما میشود اما نه از آن نوع ارزشهایی که هر شخصی دارد. دلیل این موضوع این است که مشتریان، به صورت پیشفرض انتظار دارند که سیستم از امنیت بالایی برخوردار باشد. بنابراین تأکید بر آن به عنوان یک امتیاز برای فروش، معقولانه نیست. علاوه بر این، مشتریان ما بیشتر غیرفنی هستند؛ بنابراین اکثر وقت ها، زمان و بردباری لازم برای درک این موضوع که چرا روشهای امنیتی ما بهتر از روشهای رقبا هستند را ندارند.
البته این مسأله برای استارتاپهایی که محصول نهایی آن ها یک ابزار امنیتی مثل آنتی ویروس، پویشگر بدافزار و غیره است صدق نمیکند. در چنین استارتاپهایی، افزایش امنیت مهم ترین ارزش افزوده آن ها است.
- دراگوس موسِتسکو، Restack.io:
بعضی از محصولات و استارتاپها باید در ابتدا کارشان را با تمرکز بر امنیت شروع کرده و بعد بر امکانات محصول متمرکز شوند. برای مثال در حوزه اینترنت اشیا، امنیت باید اولین چیزی باشد که به محصولاتتان اضافه میکنید و بعد به سراغ سایر امکانات بروید. این کار باعث ایجاد ارزش برای محصولتان میشود و به این ترتیب مشتریها به شما اعتماد خواهند کرد.
- مایل روسو، Presslabs:
داشتن پروندهای جهت نظارت بر امنیت برای هر استارتاپ یک ضرورت است. از نظر مشتریها نحوه برخورد یک استارتاپ با آسیبپذیریهای امنیتی و چگونگی اطلاعرسانی درباره آن ها بسیار مهم است. صداقت، باعث ایجاد اعتماد میشود.
همانطور که پیش از این اشاره کردم، امنیت کلمه بسیار مهمی در زیست بوم وردپرس است. با توجه به این که این پلتفرم بیشتر منبع باز است، هر فردی بالاخره یک زمانی باید به روزرسانیهای امنیتی مهم را نصب کند. وقتی مشتریان بالقوه ما متوجه مقیاس پروژهشان و به خصوص چالشهای امنیتی و فنی میشوند، به سراغ ارایه دهندگان سرویسهای میزبانی مثل ما میآیند.
- رابرت نپ، CyberGhost:
بعد از افشاگریهای ادوارد اسنودن و تعطیلی شرکتهایی مثل Lavabit در آمریکا، تقریباً مسلم شد که اداره کسبوکارهای مبتنی بر داده در آمریکا بدون انجام نوعی خدمات پنهانی برای آژانس امنیت ملی ایالات متحده آمریکا (NSA) ممکن نیست و این یعنی پیاده سازی آسیبپذیریهای امنیتی در یک سیستم امن به صورت پیشفرض.
در صورتی که استارتاپهای اروپایی متوجه این شرایط شده و شروع به تمرکز بر امنیت دادهها کنند و در عین حال سرویسهای خیلی خوبی به کاربران ارایه دهند، بدون شک میتوانیم برتری بسیار بیشتری نسبت به استارتاپهای آمریکایی یا شرکتهای فعلی داشته باشیم.
با توجه به این که ما سرویسی را ارایه میکنیم که امنیت، حریم خصوصی و آزادی را برای مردم به ارمغان میآورد، امنیت سایبری تمرکز ما است و رشد VPNهای CyberGhost تا میلیونها کاربر فعال نشان میدهد که ما موفق به ایجاد ارزش برای مشتریانمان شدهایم و نه تنها در زمینه تعداد کاربران در حال رشد هستیم بلکه سوددهی خوبی هم داشتهایم. بنابراین بله، امنیت سایبری، کسب وکار خیلی خوبی به نظر میرسد.
- سورین ویناتورو، RenderStreet:
وقتی تازه کسب وکاری را شروع میکنید، شهرت و اعتبار، یکی از جنبههای مهم کار شما محسوب میشود. حداقل برای ما تبلیغ کلامی از سوی مشتریانمان مهم ترین راه جذب مشتری جدید در مراحل اولیه بوده است. تصور کنید که داشتن شهرت بد و بدنامی چه تأثیرات مخربی بر تبلیغات دهان به دهان دارد. از نظر این که آیا امنیت یک سرمایه است یا خیر، قطعاً همینطور است حداقل از نظر ایجاد خوشنامی و اعتبار.
در صورتی که یک بار به سرورها و اطلاعات مشتریان شما حمله شود و به خوبی این قضیه را مدیریت کنید، شاید بتوانید پیامدهای مخرب آن را کم کنید اما اگر چنین اتفاقی بیشتر از یک بار تکرار شود، مشتریان در محلهای تجمعشان (انجمنها، فیسبوک، توییتر و غیره) شروع به شکایت از شما میکنند و این امر منجر به انتشار خبرهای بد درباره کسب وکار شما میشود.
قطعاً امنیت سایبری میتواند منجر به افزایش ارزش برندها شود، حداقل برای ما که این طور است. ما در حال توسعه یک نسخه جدید از RenderStreet هستیم که تأکید زیادی بر امنیت دادهها دارد و همه چیز را روی سرورهای مربوط به مشتری یا سیستم VPC ابری اجرا میکند. یکی از گزارههای فروش منحصربه فرد این راهکار، امنیت بسیار قوی آن است.
- تودور باستیا، 123contactform:
از دید ما پاسخ این بحث به صورت کاملاً قاطع، مثبت است.
در حقیقت هر استارتاپی صرفنظر از ویژگیهای صنعت مربوطه، نیاز به ایجاد ارتباطی بر پایه اعتماد با کاربران مورد نظرش دارد.
به ویژه برای استارتاپهای متمرکز بر محیط آنلاین، امنیت سایبری یک الزام قطعی است. خط مشیهای ما در زمینه امنیت و محافظت از دادهها یک امتیاز فروش منحصربه فرد هستند. برای مثال، وقتی از ما پرسیده میشود که دادههایی که بین فرمهای مختلف منتقل و جابه جا میشوند را چطور باید رمزنگاری کرد، ما به مشتریانمان امکانات SSL بومی خودمان را توصیه میکنیم.
از نظر امنیت سرور، با توجه به این که میزبانی ما در وب سرورهای آمازون انجام میشود، مشتریها اعتماد بیشتری به ما دارند و در نهایت این که داشتن «شرایط خدمات و سیاستهای حفظ حریم خصوصی» مناسب، یک قاعده طلایی است. معمولاً ما به مشتریانی که نگران سرنوشت دادههای ثبت شده خودشان در فرمهای مختلف هستند، اعلام میکنیم که هرگز دادههای آنها را در اختیار اشخاص دیگر قرار نخواهیم داد.
3. محیط استارتاپهایی با خط مشی BYOD (که کارمندان میتوانند دستگاههای دیجیتال خودشان را سر کار ببرند) و مدیریت امن اطلاعات سازمان
- الکساندرا انجل، Appticles :
ما هم از جمله شرکتهایی با خط مشی BYOD هستیم اما محیطهای عملیات و توسعه، کاملاً از هم تفکیک شدهاند و توسعه دهندگان به سرورهای عملیاتی دسترسی ندارند. هر فردی بسته به نقش خود در فرایند توسعه، سطح دسترسی متفاوتی دارد. سطوح دسترسی به راحتی مدیریت میشوند چون زیرساخت مورد استفاده ما به صورت کامل در محیط ابری تنظیم شده است. ما از سرویسهای وب آمازون استفاده میکنیم که ابزارهای زیادی برای مدیریت نقشهای کاربران، گروهها، دسترسی به منابع مختلف و غیره دارند.
وقتی قرار است نسخه جدیدی منتشر کنیم، امکانات جدید تنها وقتی به محصول اضافه میشوند که از فاز تست عبور کنند (هم در محیط تست و هم استقرار) و کد به صورت کامل بازبینی شود.
- مایل روسو، Presslab:
قضیه در این جا کمی متفاوت است. مشتریها کدها را همراه خودشان میآورند. پس بهتر است به این دستگاهها، دستگاه مجازی بگوییم. کاری که ما انجام میدهیم این است که قواعد و قوانین سنگینی بر روی کدهای پایه اعمال کرده ایم که باعث میشود مسیرهای حمله به شدت کاهش پیدا کنند و سپس محصول را در محیط یک شبکه کاملاً کنترل شده قرار میدهیم.
- رابرت نپ، CyberGhost:
شرکت ما در اولین روزهای تأسیس، موفق به اخذ گواهینامه ISO 27001 شد. یعنی فرایندهای داخلی شرکت ما کاملاً با جدیدترین روشها، کنترلها و استانداردهای صنعتی در زمینه امنیت سایبری منطبق هستند. بنابراین در CyberGhost، سیاست BYOD وجود ندارد.
- سورین ویناتورو، RenderStreet:
ما به عنوان یک استارتاپ، دیدگاه مثبت و خوبی در مورد سیاست BYOD داریم. از آن جا که تیم ما تیم خیلی بزرگی نیست، در رابطه با استفاده از تبلت و تلفن همراه هوشمند شخصی در شرکت قانونی نداریم. تنها الزام در این رابطه این است که دسترسی به اطلاعات مربوط به فرایندهای کاری فقط باید از طریق ابزارهایی انجام شود که خودمان به صورت رسمی ارایه کردهایم؛ که این به معنای سیستم های مدیریت مشتری و ارسال تیکت خودمان است.
هیچ یک از این دو سیستم، اطلاعات حیاتی یا دادههای مشتری را افشا نمیکنند و فقط به اندازهای به دادههای کاربران دسترسی دارند که برای مدیریت کسب وکارمان لازم است. بنابراین رویکرد اصلی ما در زمینه امنیت داده، مراقبت بسیار زیاد از اطلاعاتی است که در اینترنت یا سایر دستگاهها افشا میکنیم.
- تودور باستیا، 123contactform:
نه، این طور نیست. ما در این رابطه، قوانین و خط مشیهای سختگیرانهای داریم.
4. میزان اهمیت امنیت سایبری برای مدیران یا سرمایهگذاران
- الکساندرا انجل، Appticles :
ما معمولاً درباره جنبههای امنیتی، به ندرت با سرمایهگذارانمان صحبت میکنیم. معمولاً صحبتهای ما بیشتر در حوزه تجارت هستند. به نظر من به جز داشتن یک متخصص امنیتی در هیأت مدیره، مدیریت امنیت سایبری کلاً وظیفه بنیانگذاران است.
- دراگوس موسِتسکو، Restack.io:
ما تا به حال درباره این موضوع صحبت نکردهایم.
- مایل روسو، Presslab:
همیشه در جلسه های هیأت مدیره، موضوع های امنیتی جزو اولویتها هستند و همین مسأله همه چیز را مشخص میکند.
- رابرت نپ، CyberGhost:
قلب شرکت CyberGhost براساس همین موضوع میتپد.
- سورین ویناتورو، RenderStreet:
این موضوع بسیار مهم است، از این جهت که همیشه مدیران و سرمایهگذاران تمایل دارند که اطمینان حاصل کنند امنیت در همه کارهای ما لحاظ شده و از آن چشم پوشی نمیشود. بنابراین چنین موضوعی یک نگرانی ثابت است و در تمام اقدام ها و تصمیم گیریهای ما در توسعه محصولات مؤثر است.
- تودور باستیا، 123contactform:
این موضوع برای آن ها (مدیران و سرمایهگذاران) بسیار مهم است، به خصوص داشتن نسخههای پشتیبان منظم و پیشگیری از ورود آسیب و از دست رفتن دادهها.
5. استارتاپها چطور باید منابع اختصاص یافته به امنیت سایبری را تعیین کرده و مدیریت کنند و از دادههای کاربرانشان محافظت به عمل آورند؟
- الکساندرا انجل، Appticles :
به نظر من، امنیت سایبری همیشه باید بخشی از توسعه و عملیات باشد. به هر حال، امکانات و محصولات جدید هرگز موفق نخواهند بود مگر این که به خوبی تست و ایمن سازی شده باشند. ما به صورت دورهای و منظم، کارشناسان مختلف را استخدام میکنیم تا پلاگینها و پلتفرمهای ما را تست کرده و آسیبپذیریهای آن ها را شناسایی کنند تا بتوانیم به خوبی آن ها را اصلاح کنیم.
- دراگوس موسِتسکو، Restack.io:
امنیت، همیشه اولویت شماره یک است.
- مایل روسو، Presslab:
برای استارتاپها از جمله خود ما ارزیابی و تعیین بودجه مناسب برای امنیت، کار دشواری است. ما این مسأله را در مورد مشتریانمان هم شاهد بودهایم. معمولاً مشتریان ما بعد از هک شدن تصمیم میگیرند به سمت ما حرکت کرده و هزینه بیشتری را صرف کنند تا از یک سرویس میزبانی امن و مدیریت شده استفاده کنند.
در شرکت ما زمان زیادی صرف طراحی، پیادهسازی و بازبینی زیرساختها می شود. بنابراین هزینههای مربوط به امنیت، جزئی از بودجه تحقیق و توسعه ما هستند.
- رابرت نپ، CyberGhost:
حداقل یک نفر در تیم باید نقش «افسر امنیتی» را داشته و فردی باشد که بر استانداردهایی مثل کنترل دسترسی، مدیریت کلمه عبور، امنیت فیزیکی و غیره نظارت کرده و آن ها را پیاده سازی کند.
با رشد شرکت باید مسئولیت پذیری چنین فردی بیشتر شده و سعی کند شرکت را با استانداردهای صنعتی فعلی همسو کند.
- سورین ویناتورو، RenderStreet:
بستگی به این دارد که استارتاپها چه کارهایی انجام میدهند و در چه مرحلهای قرار دارند. نظر شخصی من است که در مراحل اولیه، عرضه محصول و جذب چند مشتری اهمیت بیشتری دارد. بنابراین در این مراحل میتوان با در نظر داشتن حداقل موارد مورد نیاز، میانبرهایی از جمله در بخشهایی مثل محافظت از دادهها زد. البته باید در اسرع وقت این میانبرها را اصلاح کرد.
لازم به ذکر است که برنامه نویسان خبره و بالغ همیشه هنگام پیاده سازی محصولات، به حریم خصوصی دادهها و امنیت برنامههای کاربردی توجه دارند. بنابراین احتمال این که بخواهند زیاد میانبر بزنند کم است. بنابراین همیشه اطمینان حاصل کنید که در تیمتان برنامه نویس خبره دارید.
6. آموزش کارمندان استارتاپها برای آگاهی از مخاطراتی که امنیت سایبری را تهدید میکنند و آشنایی با اقدام های لازم در خصوص این مخاطرات
- الکساندرا انجل،Appticles :
از آن جا که کارمندان ما بیشتر توسعه دهنده هستند، بسیار مهم است که به آن ها درباره اهمیت کدنویسی امن توضیح بدهیم. چندین استاندارد مختلف هستند که ما رعایت میکنیم اما به باور من مهم ترین قاعده این است که هرگز نباید به ورودی که از سوی یک کاربر یا یک API بیرونی وارد میشود، اعتماد کرد. اکسپلویتهای XSS و تزریق کد به پایگاه داده، پدیدههای جدیدی نیستند و تعداد پلاگینها و سیستمهای مدیریت محتوایی که صرفاً به دلیل نداشتن موفقیت در پیاده سازی یکسری قوانین امنیتی ساده و ابتدایی، دارای حفرههای امنیتی هستند شگفتآور است.
- مایل روسو، Presslab:
بله. ما قوانین و رویههای داخلی شفافی داریم که با سطوح دسترسی مختلفی همراه شدهاند و این قوانین را به کارمندان جدید، آموزش و توضیح میدهیم.
صرفنظر از تجربیات پیشین کارمندانمان، دسترسی آن ها به صورت تدریجی افزایش پیدا میکند. بنابراین زمان لازم برای درک مسئولیتهایشان و آشنایی با منطقی که در پس قوانین ما وجود دارد، ایجاد میشود.
در سطح عملیات زیرساخت، ما به منابعی متصل هستیم که آسیبپذیریهای منبع باز zero-day را به ما گزارش میدهند و ما آن ها را تحلیل کرده و به صورت متقابل بررسی میکنیم.
- رابرت نپ، CyberGhost:
بله، همه این موارد جزو فرایند استاندارد ISO 27001 هستند.
- سورین ویناتورو، RenderStreet:
از آن جا که ما یک تیم کوچک هستیم، این مورد برای ما چندان صدق نمیکند. من در گذشته، آموزشهای کدنویسی برای کارمندان داشتم و سعی میکردم اطمینان حاصل کنم که آن ها را با مخاطرات ناشی از برنامهنویسی بیدقت در محصولات تولیدی، آشنا کنم.
- تودور باستیا، 123contactform:
بله، ما به صورت منظم بررسیهای داخلی را انجام میدهیم و قرارهای ملاقاتی با تیم توسعه برای بحث درباره آسیبپذیریهای جدید و نوظهور و تعیین راههایی برای پیشگیری از آن ها داریم.
7. تجربه کردن یک رخنه امنیتی و آمادگی برای مقابله با حملات سایبری
- الکساندرا انجل،Appticles :
نه، ما هیچوقت تجربه رخنه امنیتی نداشتیم. یکی از پلاگینهایمان دچار یک آسیب پذیری شده بود که اصلاح شد و به خوبی درباره آن اطلاعرسانی کردیم. البته این آسیب پذیری، مربوط به دادههای کاربران یا موارد این چنینی نبود.
ما تا به حال هدف حملات امنیتی نبودهایم ولی از این واقعیت آگاه هستیم که پلتفرم ما روزبه روز رشد میکند و ممکن است در نهایت، هدف چنین حملاتی قرار گیرد. بنابراین همه اقدام های لازم برای پیشبینی چنین لحظهای را انجام میدهیم. به نظرم وقتی برای اولین بار با یک حمله DDoS (محرومسازی از سرویس) مقابله کردید میتوانید بگویید که واقعاً در این کار موفق بودهاید.
- دراگوس موسِتسکو، Restack.io:
نه! نمیتوان برای مقابله با یک حمله سایبری، صددرصد آماده بود اما میتوانیم سعی کنیم که همیشه یک گام از مهاجم جلوتر باشیم.
- مایل روسو، Presslab:
تا به امروز، خیر. ما هر روزه با تلاشهایی برای رخنه مقابله میکنیم که شامل طیف گستردهای از بردارهای حمله مختلف هستند؛ از هرزنامه در زمینه سئو گرفته تا حمله DDoS، آسیبپذیریهای نرمافزاری، تلاش برای حملات جستجوی فراگیر و غیره.
- رابرت نپ، CyberGhost:
هر شرکت و سازمانی که یک سرویس آنلاین دارد، رخنه امنیتی داشته و نمیتوان آن را صددرصد امن سازی کرد. برای مثال، اکسپلویتهای zero-day همیشه وجود دارند و هیچ فردی قادر به پیشبینی آن ها نیست.
مدیریت خوب در زمینه امنیت سایبری مستلزم این است که بدانیم چطور با چنین رخنههایی مقابله کنیم.
وقتی ما مجبور به مقابله با باگ امنیتی Heartbleed در کتابخانه رمزنگاری OpenSSL شدیم که در آوریل 2014 افشا شد، فوراً موضوع را به مشتریانمان اطلاع داده و این باگ را در عرض 24 ساعت اصلاح کردیم؛ سریعتر از سایر سازمانها. بنابراین من فکر میکنم شفافیت و سرعت در مقابله با نشت داده بسیار مهم هستند.
- سورین ویناتورو، RenderStreet:
هرگز چنین مشکلی برای ما پیش نیامده، هر چند در گذشته چندین بار تلاشهایی برای هک صورت گرفته است.
به نظر من استارتاپها باید مراقب چنین حوادثی باشند، به خصوص باید هنگامی متوجه این مشکلات شوند که هنوز تبدیل به رخنه نشده اند.
در مورد پیش آمده برای ما، توانستیم به صورت بلادرنگ متوجه شویم مهاجم سعی به انجام چه کاری داشته و اطمینان حاصل کنیم که سرورها و نرمافزارهای ما به خوبی محافظت شده و امکان دسترسی به آن ها از طریق این حملات وجود ندارد.
- تودور باستیا، 123contactform:
نه چنین مشکلی برای ما پیش نیامده، ما تمام تلاشمان را برای پیشگیری از چنین اتفاق هایی انجام میدهیم.
8. طرح و برنامه برای حفظ امنیت دادههای کاربران، با توجه به افزایش نگرانیهای مربوط به امنیت سایبری و حریم خصوصی
- الکساندرا انجل،Appticles :
ما به استفاده از روش هایی که تا به امروز از آن ها استفاده میکردیم و گسترش این روش ها ادامه خواهیم داد. من معتقدم در صورت پیروی از قواعد میتوان از بیشتر حملات سایبری پیشگیری کرد.
با توجه به این که تاریخ همیشه تکرار میشود میتوانیم درسهایی از سایر استارتاپهایی که پیش از این هدف حملات سایبری بودهاند و علاقمند هستند چنین تجربیاتی را با ما در میان بگذارند، بگیریم.
- دراگوس موسِتسکو، Restack.io:
امنیت، بخش مهمی از نقشه راه ما است و در حال حاضر امکان ارایه جزییات بیشتر در این خصوص وجود ندارد.
- مایل روسو، Presslab:
هر حمله ناموفقی، درسهای زیادی به ما میدهد. ما علاوه بر بازبینی مداوم فرایندهای امنیتی داخلی خودمان براساس این حملات، سعی به ایجاد برنامهای برای پاداش دهی به تستهای اصطلاحاً کلاه سفید خارج از پلتفرممان داریم.
- رابرت نپ، CyberGhost:
بهترین امنیت برای دادههای کاربران این است که هیچ دادهای را ذخیره نکنند! به همین دلیل است که ما فایل گزارش یا سوابق کاربرانمان را ذخیره نمیکنیم. ما فقط دادههایی را ذخیره میکنیم که برای اداره سرویسهایمان لازم باشند و دادههای کاربران، اصلاً جزیی از آن نیست. ما فقط نیاز به نام کاربری مستعار و کلمه عبورشان داریم.
- سورین ویناتورا، RenderStreet:
یکی از اقدام هایی که قصد انجام آن را داریم انتشار نسخهای از محصول است که در آن، مشتریان کنترل کاملی بر محیط سرور دارند. بنابراین با این اقدام میتوانیم یکی از نگرانیهای مربوط به حریم خصوصی که تاکنون شاهد آن بودهایم را از بین ببریم. به جز این مورد، همیشه اطمینان ایجاد میکنیم که وقتی محصولاتمان را تولید میکنیم امنیت، همواره در بالاترین سطح اهمیت قرار داشته باشد.
- تودور باستیا، 123contactform:
ما دائماً به ابزارها و متدهای نظارت بر برنامه کاربردی مان تأکید داریم؛ از جمله نظارت بر سرور، آنتی ویروس و رمزنگاری SSL.
10 واقعیت راجع به امنیت سایبری برای استارتاپها
- بنیانگذاران از مسایل مربوط به امنیت سایبری بیاطلاع نیستند. بلکه در کنار علاقه زیادشان به این مسایل، دانش لازم برای توجه به چنین موضوع هایی در راهبرد استارتاپ را نیز دارند.
- تولید کدهایی امن و قرار دادن ویژگیهای امنیتی در محصولات از روز اول، یک ضرورت است.
- سرمایهگذاران به امنیت سایبری اهمیت میدهند و بنیانگذاران، مسئول آسیبهای بالقوهای هستند که در صورت وقوع حملات سایبری ایجاد میشوند.
- کاربران محصولات مختلف نه فقط از چالشهای امنیتی آگاه هستند، بلکه انتظار دارند دادههای محرمانهشان به خوبی محافظت شده و به صورت امن مدیریت شوند.
- استارتاپها از حملات سایبری یا تلاش برای نفوذ در امان نیستند. به همین دلیل لازم است از همان ابتدا، کاربران را به خوبی محافظت کرد.
- قوانین داخلی و آموزش کارمندان درباره امنیت اطلاعات در محیط هر استارتاپی ضروری است، چه خط مشی BYOD را داشته باشد یا خیر.
- وقتی قرار است برای توسعه کسب وکارتان برنامهریزی کنید، مخارج مربوط به امنیت را از همان ابتدا لحاظ کنید.
- داشتن امنیت سایبری قوی باعث ایجاد اعتماد به خود استارتاپ و محصولات تولیدی آن میشود. وجود چنین رابطهای برای جذب مشتری و رشد پایدار، بسیار حیاتی است.
- اثبات میزان اهمیتی که به مسایل مربوط به امنیت اطلاعات میدهید و نمایش فعالیت های شما در راستای محافظت از کاربران و حفظ حریم خصوصی شان، یک امتیاز فروش مهم محسوب میشود.
- داشتن آمادگی برای هر نوع حمله سایبری، حیاتی است به خصوص برای استارتاپی که کسب وکارش به راحتی با ایجاد یک مشکل در زمینه امنیت یا حریم خصوصی قابل از هم پاشی است.
نتیجهگیری
راه اندازی یک استارتاپ، کار بسیار چالش برانگیزی است. باید از تمام وقایعی که در شرکت شما اتفاق میافتد مطلع باشید، حتی از کوچکترین آن ها، که این کار اصلاً ساده نیست.
در بالاترین سطح از تصمیم های مربوط به کسب وکار و طرح تجاری باید اطمینان حاصل کنید که کاربرانتان در امنیت کامل به سر می برند و حریم خصوصی دادههایشان به خوبی حفظ میشود.
امنیت سایبری برای استارتاپها یک «شاید» نیست، بلکه یک «قطعیت» است.
آیا شما هم بنیانگذار یک کسب وکار هستید و با مسایل مربوط به امنیت سایبری دست و پنجه نرم میکنید؟
لطفاً نظرات و تجربیات خودتان را در کامنتها با ما در میان بگذارید.
منبع: heimdalsecurity