ظهور واقعیت مجازی (VR) و تحول در امنیت سایبری

از زمان شروع عصر طلایی داستان‌های علمی – تخیلی ماجراهای مختلفی از غرق شدن انسان‌ها در دنیاهای مجازی شنیده می‌شد. برای اولین بار در سال 1935 نویسنده‌ای به اسم Stanley Weinbaum در کتاب خودش با نام Pygmalion’s Spectacles طرحی از واقعیت مجازی را به تصویر کشید. Weinbaum در این داستان یک پروفسور عینکی را اختراع می‌کند که کاربران با استفاده از این عینک می‌توانند در فیلمی که امکان دیدن، شنیدن، لمس کردن، بو کردن و چشیدن در آن وجود دارد غرق شوند. در چنین محیطی شما با سایه‌ها (شخصیت‌ها) صحبت نموده و آنها نیز به شما پاسخ می‌دهند. در واقع همه صحنه‌های فیلم و عملیات آن مربوط به شماست و در فیلم غرق شده‌اید.

30 سال بعد از خلق چنین کتابی، فیلمبرداری به اسم Morton Heilig اولین سیستم واقعیت مجازی را ایجاد کرد. او در دهه 60 میلادی سیستمی تحت عنوان Sensorama را که یک دستگاه تلویزیونی تلسکوپی برای استفاده‌های شخصی بود ابداع نمود. این سیستم حس کاملی از واقعیت را برای بیننده ایجاد می‌کند. بیننده با استفاده از آن می‌تواند تصاویر 3 بعدی محرکی را ببینند که حتی ممکن است به صورت رنگی باشند. اگرچه این اختراع موفقیت تجاری چندان زیادی را به همراه نداشت اما راه را برای شکل‌گیری سیستم‌های واقعیت مجازی امروزی باز کرد.

با گذشت زمان فناوری واقعیت مجازی رشد و تکامل یافته و متمرکز بر روی سیستم‌های گیمینگ، کاربردهای نظامی و آموزشی شد.

به تازگی نیز این ابزار موجود در داستان‌های علمی تخیلی با افزایش حجم تقاضای مصرف‌کنندگان و سازمان‌ها تغییر کرده و به واقعیت نزدیک‌تر شده است.

براساس مطالعات صورت گرفته توسط eMarketer حدود 59 میلیون آمریکایی (یا به عبارتی 17.7 درصد از جمعیت این کشور) حداقل یک بار در ماه از واقعیت مجازی استفاده می‌کنند. با توجه به افزایش چشمگیر تقاضای مصرف‌کنندگان چشم‌انداز آینده این فناوری بسیار روشن به نظر می‌رسد. بر اساس پیش‌بینی شرکت PWC از سال‌های 2020 تا 2025 بیشترین رشد را در حوزه محتوا داشته و درآمد آن نیز حدود 30 درصد افزایش خواهد یافت.

چنین رشد و توسعه‌ای بسیار فراتر از بازار مصرف‌کنندگان شخصی است. حدود 75 درصد از سازمان‌ها معتقدند که طی 5 سال آینده مخارج بیشتری را صرف واقعیت مجازی کرده و تمرکز بیشتری بر روی تغییر و تحول آموزش کارمندان و ارتقای بهره‌وری‌شان در حوزه‌هایی مثل زنجیره تأمین و مهندسی خواهند داشت. بنابراین انتظار می‌رود بازارهای سازمانی تحت تأثیر مستقیم واقعیت مجازی قرار خواهند گرفت.

واقعیت مجازی به سازمان‌ها امکان می‌دهد تعاملات و تجربیاتی فراگیر، غنی و نزدیک به واقعیت فراهم نموده و روش‌های کاملاً جدیدی را برای تعامل و ارتباط با انسان‌ها در اختیار داشته باشند.

همچنان با نزدیک شدن به تحقق این عصر جدید، واقعیت مجازی قابلیت‌هایی در اختیارمان قرار می‌دهد که پیش از این وجود نداشتند. سازمان‌های فعال در حوزه امنیت سایبری می‌توانند با خلاقیت و تخیل از این تحول به نفع خودشان استفاده کنند.

استفاده از واقعیت مجازی برای تحول توانمندی‌های امنیت سایبری

سیستم‌های واقعیت مجازی در اکوسیستمی تحت عنوان «متاورس» در حال فعالیت هستند. متاورس‌ها دنیاهایی به هم پیوسته، شامل ابزارهای مختلف و مجهز به سیستم‌های تفکر هوشمندی می‌باشند که دنیاهای مجازی، دیجیتال و بیولوژیک را به یکدیگر پیوند می‌دهند. از طرفی کارمندان حوزه GRC (بخش مدیریت، مخاطرات و پیروی از استانداردهای قانونی) و امنیت سایبری آمادگی مقابله با تغییرات چشمگیری که در اثر این تقابل و توسعه فناوری و سرعت پیشرفت آن ایجاد می‌شوند را ندارند.

براساس مطالعه وضعیت امنیت سایبری 2021 ISACA که این واقعیت را به خوبی به تصویر می‌کشد: «حدود 60 درصد از شرکت‌کنندگان در این نظرسنجی اعلام کرده‌اند که دارای کمبود نیرو در زمینه امنیت سایبری هستند. پر کردن جایگاه‌های فنی در سازمان‌ها سخت شده چون فقط 50 درصد متقاضیان شرایط لازم برای این موقعیت‌های شغلی را دارند. با توجه به اینکه حدود 4 میلیون جایگاه شغلی در حوزه امنیت سایبری در سطح جهان همچنان خالی است، باید شیوه‌های آموزش را تغییر داده و با تمرکزی ویژه بر روی مهارت‌های انسانی و آشنایی با کنترل‌های امنیتی نیروی کار را به مهارت‌های لازم مجهز کنیم».

واقعیت مجازی فرصت مناسبی را فراهم می‌کند تا یک گام به عقب برگشته و یک طراحی جدید برای کارمندان GRC و امنیت سایبری ایجاد کنیم. قابلیت‌های دفاع و حفاظت از امنیت سایبری مانند سایر مهارت‌ها بر اساس یکسری شرایط و الزامات خاص قابل تشخیص هستند.

مهارت: سرعت، تطبیق‌پذیری، دقت و وضعیت

با توجه به گسترش موج پیوستن به متاورس، باید مهارت‌های امنیت سایبری در دنیاهای مجازی نیز توسعه یابند. در چنین شرایطی که صنعت امنیت سایبری به تازگی بحث و گفتگو درباره شیوه تعریف فریم‌ورک‌ها و سمت‌های امنیت سایبری را شروع نموده واقعیت مجازی فرصت‌های واقعی جهت تحول شیوه طراحی، آموزش و عملکردمان فراهم می‌کند.

مهارت و آموزش: یادگیری، سرعت، تطبیق‌پذیری، دقت و وضعیت

سازندگان تجربیات آموزشی در دنیاهای مجازی توانایی نسبتاً نامحدودی برای طراحی و ارایه محتوای تعاملی دارند که امکان درک و به کارگیری سریع اطلاعات را فراهم می‌کنند. پلتفرم‌های متاورس سازمانی مثل EngageVR یک محیط مجازی با قابلیت تنظیم بسیار چشمگیر را در اختیار مربیان GRC و امنیت سایبری قرار داده و باعث می‌شود که فرایند آموزش بسیار فراگیر و جذاب شده و زمان آموزش نیز به صورت چشمگیری کاهش یابد.

نرم‌افزارهای نقشه‌برداری ذهنی و مدل‌سازی 3 بعدی مثل Gravity Sketch و Noda یک پلتفرم فراگیر، آزمایشی و حتی لمسی در اختیار طراحان آموزش قرار می‌دهند و ایده‌های پیچیده 2 بعدی را به صورت 3 بعدی منتقل می‌کنند. کارمندان GRC و امنیت سایبری می‌توانند فعالیت‌هایی مثل مدل‌سازی تهدید، ارزیابی مخاطرات برنامه‌های کاربردی و مدل‌سازی فرایند را مصورسازی نموده و آموزش و تجربه کردن را در محیطی امن انجام دهند.

مراکز عملیات امنیتی

ایجاد مراکز عملیات امنیتی فرایندی پرهزینه است و نیازمند سرمایه‌گذاری بسیار زیادی برای تهیه زیرساخت‌های فیزیکی و سخت‌افزارها می‌باشد. با توجه به انجام بسیاری از نقش‌ها از راه دور، به صورت ترکیبی یا برون‌سپاری شده، نمی‌توانید به راحتی تجربیات مراکز عملیات امنیتی را در منازل فراهم کنید. اگرچه ما با رابط‌های کاربری هولوگرافیکی (مثل آنچه در فیلم مرد آهنی دیدیم) فاصله بسیار زیادی داریم اما تولیدکنندگان محتوا با استفاده از محیط‌های مجازی فعلی به مرحله ایجاد محیط‌های اداری بی‌انتها یا فضای کاری که کاربران می‌توانند در آن بین دنیای مجازی و فیزیکی جابجا گردند، نزدیک‌تر می‌شوند.

پلتفرم‌هایی مثل vSpacial دیدگاه‌های بهتری درباره نحوه کار کردن کاربران با صفحاتی دارای ابعاد مختلف (که کاربر در آنها در مرکز یک سیستم کامپیوتری 360 درجه قرار دارد) فراهم می‌کنند.

ملاحظات و مخاطرات واقعیت مجازی برای امنیت سایبری

نباید موضوع «امنیت سایبری» را که جزو اولین مراحل از طراحی برنامه‌های کاربردی واقعیت مجازی سازمانی است نادیده بگیرید. سازمان‌های فعال در حوزه امنیت و GRC باید در هنگام انتخاب ارایه‌دهنده، راهکار و تصمیم‌گیری درباره سطح دسترسی به محیط‌ها یا اطلاعات حساس تحقیق و مطالعه کامل را انجام دهند.

نکات مهمی که در این زمینه باید به آنها توجه داشته باشید عبارتند از:

• امنیت تأمین‌کنندگان شخص ثالث: فقط تعداد محدودی از ارایه‌دهندگان راهکارهای واقعیت مجازی با فریم‌ورک‌های امنیت سایبری مثل ایزون 27001 یا SOC2 سازگاری دارند. در حالی که میزان ادغام پلتفرم‌های واقعیت مجازی با پلتفرم‌های کاربردی محبوبی مثل مایکروسافت 365، گوگل، اسلک، زوم یا دراپ باکس همچنان رو به افزایش است. باید به اطلاعات محرمانه و مالکیت معنوی موجود در چنین سیستم‌هایی توجه ویژه‌ای داشته و مخاطرات تأمین‌کنندگان شخص ثالث را به صورت کامل ارزیابی کنید. همچنین ارایه‌دهندگان راهکارهای واقعیت مجازی با استفاده از این درخواست‌ها می‌توانند بر روی قابلیت‌ها و طرح‌های مربوط به امنیت سایبری سرمایه‌گذاری کنند.
• مدیریت دسترسی و هویت: با توجه به عدم یکپارچگی مدیریت دسترسی و هویت در سیستم‌های متاورس، محدودیت کنترل دسترسی مبتنی بر نقش و دردسرهای تایپ در محیط واقعیت مجازی، ایجاد کلمات عبور پیچیده و طولانی کار چندان آسانی نیست. در حال حاضر تجربیات احراز هویت در این فضاها کاربرپسند نبوده و به همین دلیل نیاز به سرمایه‌گذاری بیشتر از سوی تأمین‌کنندگان راهکارهای مدیریت هویت سازمانی حس می‌شود.
• حریم خصوصی نیروی کار: محیط‌های متاورسی می‌توانند به انبوهی از اطلاعات هویتی که حجم‌شان همواره رو به افزایش است دسترسی داشته باشند. بهتر است پیش از انتخاب محیط‌های واقعیت مجازی، راهکارهای ثبت اطلاعات در آنها را ارزیابی نموده و بررسی کنید آیا رویکردهای مورد استفاده‌شان با الزامات قانونی همخوانی دارند یا خیر.

Amy Webb مدیرعامل Future Today Institute می‌گوید: «حرکتی وسیع برای شکل‌گیری نسخه‌ای مجازی از دنیای ما شروع شده است. رسانه‌های مصنوعی مثل شخصیت‌هایی که با هوش مصنوعی طراحی می‌شوند، دارای ماجراهای مخصوص خودشان هستند. دستیارهای مجازی شبه انسان وظیفه تنظیم قرارها و تماس‌های‌مان را برعهده دارند. دستیارهای دیجیتال مجهز به هوش مصنوعی منازل و اتومبیل‌ها را کنترل می‌کنند. سرعت پذیرش و استفاده از نسل جدید زیرساخت‌های شبکه نیز افزایش یافته است. هر انسان زنده‌ای تحت نظارت قرار دارد؛ صرفاً با زنده بودنمان داده تولید می‌کنیم. از غذایی که می‌خوریم تا احساسی که داریم همه چیز در دهه بعد ترکیب شده و به این ترتیب مرز بین واقعیت و مجازی کمرنگ‌تر می‌گردد».

جامعه امنیت سایبری و GRC در یک تقاطع قرار دارد. سرعت این شتاب‌ها سازمان‌ها را ملزم به تغییر شیوه دفاع و حفاظت از خودشان می‌کند. طراحی راهکارهای امنیت سایبری برای آینده مستلزم آشنایی با الگوهای جدید فناوری در دنیای آینده و تعریف گام‌های لازم جهت حفاظت و دفاع از خودمان در دنیای متشکل از اکوسیستم‌های هوشمند جدید است.

مهاجمان نسبت به ما در زمینه تطبیق‌پذیری، بهره‌برداری و سوءاستفاده بهتر عمل می‌کنند. ما در دنیایی کار می‌کنیم که با قوانین محدود شده است. چنین قوانینی خلاقیت‌مان را هم محدود می‌کنند.

بکارگیری خلاقیت و تخیل منجر به شکل‌گیری هر چه بهتر دنیای آینده می‌شود.

منبع: infosecurity-magazine