روش های کاهش هزینه نفوذهای امنیتی
حجم و گسترش نفوذهای امنیتی و همچنین هزینههای مربوط به آنها با سرعت چشمگیری رو به رشد است. بر اساس گزارش مؤسسه پژوهشی Cybersecurity Ventures، انتظار میرود در سال 2021 میلادی جرایم سایبری در سطح جهان 6 تریلیون دلار خسارت به کسب و کارها وارد کنند. برآورد شده که در 5 سال آینده این هزینهها همچنان به روند رشد خود ادامه داده و سالانه به صورت میانگین 15 درصد افزایش یابند. به این ترتیب این عدد تا سال 2025 میلادی به مبلغ 10.5 تریلیون دلار خواهد رسید.
اگرچه این هزینه بین قربانیان مختلف در سطح جهان پراکنده میشود اما هر سازمانی که مورد هدف حملات قرار میگیرد با خسارتهای سنگین قانونی نیز روبرو خواهد شد. بر اساس مطالعهای که توسط شرکت مشاوره امنیتی Infosys درباره هزینههای سنگین نفوذهای امنیتی انجام شده، حدود 65 درصد از مشتریان پس از وقوع یک نفوذ امنیتی اعتمادشان را به کسبوکار مربوطه از دست میدهند. 85 درصد از آنها هم اعلام کردهاند که در آینده دیگر با چنین شرکتی همکاری نخواهند کرد.
بی توجهی به این شرایط می تواند باعث بالاتر رفتن این اعداد و ارقام شود. بر اساس نتایج تحقیقات انجام شده، فقط 32 درصد از سازمانها احساس میکنند که برای مقابله با حملات سایبری از سطح آمادگی نسبتاً قابل قبولی برخوردارند. محققان سایبری معتقدند مدیران ارشد امنیت اطلاعات که اقدام های لازم را برای مقابله با رخدادهای سایبری انجام دادهاند، نه تنها توانایی مقابله با حملات را خواهند داشت بلکه میتوانند هزینههای ناشی از آنها را نیز کاهش دهند.
در این مطلب از فراست، گامهای اساسی که مدیران ارشد امنیت اطلاعات میتوانند برای کاهش هزینه نفوذهای امنیتی در آینده انجام دهند را مرور میکنیم.
1. با پیچیدگیهای محیط سازمانی تان آشنا شده و بدانید شرکت شما چگونه درآمدزایی میکند.
اگرچه پیچیدگی سیستمهای فناوری اطلاعات به سازمانها این امکان را میدهد که کسبوکارشان را بیشتر توسعه دهند اما از طرفی شرایط مقابله با حملات و بازیابی اوضاع را سختتر میکند. بنابراین همان طور که Andreas Wuchner مدیر ارشد امنیت یکی از مؤسسات مالی جهانی و مؤسس شرکت خدمات مشاورهای Cybovate میگوید باید همیشه جلوتر از مهاجمان حرکت کنید!
او میگوید: «هر چقدر چشمانداز فعلی را بهتر درک کرده و با منابع درآمدزایی سازمانتان آشنایی بیشتری داشته باشید، در مدت زمان کوتاهتری میتوانید شرایط را به حالت قبل برگردانده و پیامدهای مخرب نفوذهای امنیتی را بر کسبوکارتان کمتر کنید». مثلاً در حادثه ای که برای شرکت خط لوله Colonial رخ داد تیم امنیتی این شرکت ابتدا تصور می کرد سیستمهای فناوری عملیاتی آن هک شدهاند اما خبرگزاری CNN به نقل از منابع مختلف گزارش داد که به سیستم صدور قبض این شرکت حمله باج افزاری شده است.
2. افراد مفید و مؤثر را شناسایی کنید.
یک نفر به تنهایی نمیتواند با نفوذهای امنیتی مقابله کند. تیم امنیت سایبری در چنین مواقعی نیاز به کمک و همکاری افراد شاغل در بخشهای مختلف سازمان دارد. مدیران ارشد امنیت اطلاعات باید بدانند در چنین مواقعی لازم است به چه افرادی مراجعه کنند. همچنین می بایست توافقنامههای لازم برای آمادگی افراد مسئول در چنین شرایطی از پیش تهیه و تدوین و به اطلاع آنها رسیده باشد.
به این ترتیب می توانید اطمینان کسب کنید که سازمانتان برای مقابله با آسیب ها و هزینههای ناشی از نفوذهای امنیتی، سریعترین واکنش را نشان خواهد داد. همچنین با این اقدام مطمئن خواهید شد در چنین مواقعی کارشناسان امنیتی با هزینه از پیش توافق شده در دسترس خواهند بود و از شما درخواست مبلغ ویژه و هزینه اضافه ای نخواهند داشت. علاوه بر این، همه مهارتهای لازم برای واکنش به رخدادهای سایبری را در اختیار خواهید داشت.
Alex Holden مدیر ارشد امنیت اطلاعات شرکت Hold Security LLC میگوید: «وقتی قربانیان، نیروی لازم برای مقابله با مجرمان سایبری را نداشته باشند با پرداخت باج به آنها موافقت میکنند. همین عدم آمادگی آنها میلیونها دلار خسارت به بار خواهد آورد».
3. در خصوص تقسیم وظایف، شفاف عمل کنید.
مدیران ارشد امنیت اطلاعات باید از پیش در جریان اختیارات و مهارتهای افراد قرار داشته و مسئولیتهای آنها را در هنگام وقوع نفوذ امنیتی به صورت دقیق و کامل مستندسازی کنند.
Siobhan MacDermott از مدیران همکار شرکت خدمات مشاورهای Tata میگوید: «همه افراد باید یک نقش تعریف شده داشته باشند. در چنین مواقعی فرصت بحث درباره اینکه چه شخصی مسئول چه کاری است، وجود ندارد».
4. واکنش به نفوذهای سایبری را تمرین کنید.
برای کمتر شدن احتمال ترس و وحشت در هنگام بروز رخدادهای واقعی، کارکنان شما باید از قبل این حوادث را تمرین کنند. بنابر گفته Holden: «همانطور که مانورهای آتشنشانی طراحی و پیادهسازی میشوند، در حوزه امنیت سایبری هم ما باید چنین تمرینهایی را اجرا کنیم».
سازمانهایی که به طور منظم چنین تمرینهایی را اجرا میکنند، مهارت لازم برای مقابله با حملات واقعی و واکنش راهبردی به آنها را در بین کارکنان شان ایجاد کرده و از بروز تأخیر و اقدام های اشتباهی که ممکن است منجر به افزایش آسیب و هزینهها به سازمان شود، جلوگیری میکنند.
5. کارشناسانی را استخدام کنید که تجربه مواجه شدن با نفوذ امنیتی را دارند.
پس از وقوع نفوذهای امنیتی خبرساز، عدهای فرض میکردند که کارشناسان امنیت سایبری چنین شرکتهایی برای همیشه شغل خود را از دست خواهند داد اما هرگز چنین اتفاقی نیفتاد؛ چون چنین اشخاصی تجربههای ارزشمندی کسب کرده بودند.
مدیران ارشد امنیت سایبری باید کارشناسانی را استخدام کنند که چنین تجربههایی دارند. MacDermott در این خصوص گفته: «شما نیاز به شخصی دارید که تجربه انجام چنین جراحی مهمی را داشته باشد!».
6. استانداردهای قانونی را مشخص کرده و برای آنها آماده شوید.
نهادهای دولتی معمولاً قوانینی را پیادهسازی کردهاند که نحوه مواجهه با نفوذهای امنیتی از جمله سرعت اطلاعرسانی به افراد درباره افشای اطلاعاتشان، خدماتی که باید به چنین افرادی ارایه کنند و اینکه این اقدام ها را در چه شرایطی باید انجام دهند، مشخص میکنند.
مثلاً مقررات عمومی حفاظت از داده اتحادیه اروپا ([1]GDPR) الزامات خاصی را برای گزارش به موقع نفوذهای امنیتی مشخص کرده و شرکتهایی که این قانون را نقض کنند باید جریمههای سنگینی را بپردازند که ممکن است حداکثر حدود 4 درصد درآمد سالیانه آنها را نیز شامل شود. MacDermott میگوید: «مدیران ارشد امنیت اطلاعات باید با سایر مدیران سازمان همکاری کنند تا از اینکه چه قوانینی در چه شرایطی به آنها قابل اعمال است مطلع شده و خودشان را برای کار در شرایط و موقعیتهای مختلف آماده نمایند».
او میگوید: «سازمانها هر نفوذ را به عنوان رویدادی مجزا در نظر میگیرند در حالی که حدود 80 درصد از رویکردهایی را که در این رخدادها و برای رفع مشکلات امنیتی مورد استفاده قرار میگیرند در موارد دیگر نیز میتوان به کار برد و فقط 20 درصد از آنها نیاز به اصلاح و بازسازی دارند». سازمانها با بیتوجهی به چنین موضوعی، زمان و منابعشان را به هدر خواهند داد.
7. مراقب زنجیره تأمین باشید.
هکرها همواره بیش از پیش از سازمانهای هک شده برای حمله به سایر شرکتها استفاده میکنند. Tom Kellermann مدیر راهبردی امنیت سایبری شرکت VMware و از همکاران سیاست سایبری مرکز بینالمللی دانشوران وودرو ویلسون معتقد است به زودی شاهد افزایش شکایتهای سازمانها از شرکتهایی خواهیم بود که از آنها برای حمله به سایر سازمانها استفاده شده است. او پیشبینی میکند در سال جاری شاهد باز شدن پروندههای قانونی و جریمههایی بر ضد چنین شرکتهایی خواهیم بود.
مدیران ارشد امنیت اطلاعات باید برای پیشگیری از چنین نبردهای دادگاهی پرهزینهای اطمینان حاصل کنند که کارشان به این مرحله نمیرسد و اگر هم چنین اتفاقی افتاد میتوانند در اسرع وقت به آن واکنش مناسب نشان دهند. آنها همچنین باید مراقب حملاتی باشند که از سازمانهای دیگر به عنوان سکوی پرتاب استفاده میکنند حتی اگر تجربه همکاری با آنها را هم ندارند.
8. تواناییهای تشخیص و ظرفیت مقابله با این رخدادها را در سازمانتان تقویت کنید.
یکی از روشهای مؤثر برای مقابله با رخدادهای سایبری پرهزینه، کاهش فرصت هکرها برای فعالیت در شبکههای سازمانی است. مدیران ارشد امنیت اطلاعات میتوانند با سرمایهگذاری بر روی قابلیتهای تشخیص نقاط انتهایی شبکه، تحلیل لحظهای دادهها، قابلیتهای تحلیلی، تشخیص تهدید و سایر روشهای امنیتی پیشرفته به این هدف دست یابند.
شناسایی زودهنگام مهاجمان به خنثیسازی فعالیتهای آنها و محدود کردن یا حتی پیشگیری از آسیب کمک میکند. هر چند انجام این کار از اهمیت بسیار زیادی برخوردار است ولی در شرایط فعلی باید این کار را به گونهای انجام دهید که مهاجمان متوجه نشوند آنها را شناسایی کردهاید. بر اساس گفته های Kellermann: «هکرهایی که معمولاً زیرنظر دولتها فعالیت کرده و مورد حمایت و پشتیبانی آنها قرار دارند وقتی به عمد از شبکهها و سیستمهای سازمانی بیرون رانده شوند، به انتقام فکر میکنند». او میگوید: «ما باید تا حد امکان واکنش به رخدادهای سایبری و شکار تهدید را مخفیانه انجام دهیم».
9. اطلاعات سیاسیتان را افزایش دهید.
مدیران ارشد امنیت اطلاعات که به دنبال واکنش سریع به نفوذهای امنیتی هستند باید درک خود از خبرهای جغرافیایی سیاسی را افزایش دهند. همانطور که کارشناسان میگویند، بسیاری از مهاجمانی که مورد حمایت دولتها قرار داشته و از جانب آنها کار میکنند، علاوه بر سوءاستفاده از ضعفهای فنی سازمانها از عدم آگاهی آنها از آسیبپذیر بودن خود در برابر تنشهای بینالمللی نیز بهره می برند.
MacDermott میگوید: «شما باید با چشمانداز جغرافیای سیاسی آشنا باشید. به رویدادهایی که در دنیای اطرافتان و بین کشورها میگذرد توجه کرده و آنها را با موقعیت و شرایط خودتان بسنجید. اگرچه معمولاً انجام این کار بر عهده مدیر ارشد مخاطرات سازمان است ولی مدیران ارشد امنیت اطلاعات هم باید به این موضوع توجه لازم را داشته باشند. اگر با آنچه که در بازی شطرنج سیاست میگذرد آشنا باشید، ممکن است بتوانید سریعتر به آن واکنش نشان داده و برای مقابله با مشکلات احتمالی آماده شوید».
10. مدیران عامل را برای مقابله با چنین شرایطی آماده کنید.
Rob T. Lee رئیس دانشکده و مدیر ارشد برنامه های درسی مؤسسه SANS میگوید: «مدیران ارشد امنیت اطلاعات باید از قبل مدیران عامل را با تصمیمات سختی که باید در هنگام حمله بگیرند، آشنا کنند. مثلاً ممکن است نیاز به از کار انداختن یک بخش از سازمان و قطع نمودن ارتباط سایر بخشها با آن باشد. در صورت وقوع نفوذ امنیتی، هیچ راهی برای رسیدن به پیروزی کامل وجود ندارد».
او در ادامه میگوید: «چگونه آسیب ناشی از چنین حملاتی را میتوان کاهش داد تا وقوع یک نفوذ، پایان عمر سازمان شما نباشد؟». او به این موضوع اشاره میکند که پس از وقوع یک نفوذ امنیتی فرصتی برای ناراحتی، اتهام زنی به یکدیگر و حدس زدنهای پیدرپی وجود ندارد، بلکه «در چنین شرایطی حتی یک دقیقه هم از اهمیت ویژهای برخوردار است چون احتمال دارد ظرف چند روز، آسیبهای جبرانناپذیری بر ضد سازمان شما وارد شود».
[1] General Data Protection Regulation
منبع: csoonline