مجرمان سایبری در حملاتی که به تازگی بر ضد سازمانهای دولتی اجرا کرده اند از ابزارهای شخص ثالث برای نفوذ به سیستمها استفاده نموده اند. بخش پشتیبانی سازمانها هم علاوه بر مواجه شدن با تهدیدات امنیتی معمول از جمله حملات محرومسازی از سرویس توزیع شده (DDoS)، شاهد افزایش حملاتی است که دادههای شخصی مشتریان را هدف خود قرار می دهند.
اگر شما از یک راهکار مرکز تماس مبتنی بر ابر استفاده میکنید که اطلاعات آن در یک مرکز داده نگهداری میشود، ممکن است این تهدیدات بر ضد شما شدت بیشتری یابند. این موضوع به خصوص در صورت برونسپاری فرایندهای کارهای مرکز پشتیبانی و همچنین حوزه مسئولیت و نقاط دسترسی افزایش نیز خواهد یافت.
یکی از بزرگترین اشتباهاتی که یک سازمان ممکن است مرتکب شود، عدم پیادهسازی راهکارهای حفاظتی مناسب برای مرکز پشتیبانی خود است. بخش پشتیبانی، دادههای حساسی در اختیار دارد که باید همچون یک پایگاه داده یا سیستم CRM/ERP از آن حفاظت شود. از این رو سازمانها باید رویکرد دفاع عمقی را در پیش گرفته و برای مرکز پشتیبانی یا محیط CCaaS[1]، اصول امنیتی را اجرا و پیاده سازی کنند.
پیادهسازی کنترلهای فیزیکی
مراکز داده مدرن معمولاً دارای گواهینامه ISO/IEC 27001[2] هستند. از این رو به اجزای امنیت فیزیکی خاصی نیاز دارند. در صورت وجود نداشتن چنین اجزای امنیتی، اقدام های زیر باید پیادهسازی شوند:
- یک سیاست دقیق برای تأمین امنیت فیزیکی در سطح سازمان باید وجود داشته باشد و تمام کارمندان داخلی و پیمانکار، با اهمیت رعایت آن به خوبی آشنا بوده و از آن پیروی کنند.
- دوربینهای امنیتی باید در همه مکانهای مهم سازمان به منظور جلوگیری از ایجاد نقاط کور یا کاهش آنها نصب شوند. ویدیوهای ضبط شده نیز می بایست به صورت طولانی مدت نگهداری شوند.
- برای همه بخشها یک نقطه واحد ورودی در نظر گرفته شود. به منظور دسترسی به سرورها نیز محدودیتهای فیزیکی لازم اعمال شود.
- سیستمهای کنترل دسترسی فیزیکی با درگاههای امنیتی قوی که هر کارمند فقط پس از احراز هویت امکان عبور از آنها را داشته باشد، نصب و نظارت شوند.
- رویکردها و سیاستهای مستندسازی شده مشخصی در خصوص گم شدن یا سرقت کارت های پرسنلی یا کلیدهای دسترسی کارمندان وجود داشته باشد.
- در صورت استفاده از یک راهکار CCaaS در سازمان، ارایهدهنده آن مسئول اجرای کنترلهای امنیتی و آمادهسازی مستندات لازم درباره کنترلهای فیزیکی موجود است.
کنترلهای فنی مناسب
منابع یا سیستمهای شبکه در مرکز پشتیبانی باید توسط فایروال، سیستمهای تشخیص و جلوگیری از نفوذ، ابزارهای مدیریت دسترسی و سایر کنترلهای فنی امنسازی شوند. از جمله کنترلهای پیشرفتهای که بایستی پیادهسازی شوند میتوان به موارد زیر اشاره کرد:
- احراز هویت چندمرحلهای تطبیقپذیر
- سیاست اعتماد صفر برای دسترسی به شبکه
- خدمات امنیت فیزیکی به عنوان یک سرویس
- مدیریت سراسری نقاط انتهایی.
کنترلهای مدیریتی مناسب
در هر سازمان باید کنترلها و سیاستهای مناسبی برای نحوه مدیریت اطلاعات حساس وجود داشته باشد. همچنین دستورالعملهایی نیز می بایست در خصوص نحوه برچسب گذاری اطلاعات حساس از جمله تعیین اطلاعات محرمانه در مرکز پشتیبانی یا نرمافزار CCaaS تعریف شده باشد.
حفاظت مناسب از نقاط انتهایی
همه نقاط انتهایی باید به نحو مناسبی حفاظت شوند. دستیابی به این هدف مستلزم انجام اقدام هایی فراتر از نصب راهکارهای حفاظت در برابر بدافزارها، نرم افزار آنتی ویروس و راهکارهای تشخیص و واکنش در نقاط انتهایی است. بنابر آمار و نتایج تحقیقات مؤسسه SANS، راهکارهای تشخیص و واکنش در نقاط انتهایی فقط 26 درصد از روش های اولیه حمله را شناسایی میکنند.
از سوی دیگر با توجه به حجم بالای اعلانهای صادر شده توسط ابزارهای تشخیص و واکنش در نقاط انتهایی، معمولاً حدود 55 درصد از کارشناسان امنیت سایبری هشدارهایی را که نیاز به بررسی دارند نادیده میگیرند. با استفاده از ابزارهای تشخیص و واکنش توسعه یافته می توان از لایههای مختلف حفاظت نموده و نظارت کاملتری بر وضعیت فعلی داشت.
پیروی از استاندارد امنیت داده صنعت کارت های پرداخت (PCI DSS[3])
هیچ مرکز پشتیبانی قادر نیست انطباق کاملی با استاندارد PCI DSS داشته باشد چون حوزه این استاندارد بسیار فراتر از یک مرکز پشتیبانی می باشد. هدف از اجرای این استاندارد ایجاد اطمینان از آن است که هیچگونه اطلاعات مالی مهم و حساسی در دسترس افراد غیرمجاز یا خرابکار قرار نمیگیرد. ایجاد محدودیت در دسترسی و ذخیره امن رکوردهای مرکز پشتیبانی، به حفاظت از دادهها و پیشگیری از دغدغههای مربوط به استاندارد امنیتی PCI DSS کمک میکند.
یک روش برای دستیابی به این هدف، ایجاد رابط کاربری مناسب است. در این صورت پشتیبان باید تماس گیرندهها را به سمت رابط کاربری، هدایت کرده و دادههای پرداخت از طریق آن دریافت و پردازش شوند. پس از تکمیل تراکنش نیز دوباره تماس با پشتیبان برقرار شود. اگر امکان انجام این کار توسط راهکارهای برونسپاری شده وجود داشته باشد، بهتر است از این روش استفاده کنید تا هیچ وقت دادههای مالی مشتریان را ذخیره نکرده و این دادهها فقط با درگاه پرداخت به اشتراک گذاشته شوند.
این روش نسبت به دریافت اطلاعات مالی مشتری و درگیر شدن با اطلاعات حساس بهتر است و مانع از ایجاد مخاطراتی مثل نوشته شدن اطلاعات حساس توسط کارمندان و دسترسی آنها به گزارشهای حاوی اطلاعات مالی حساس میشود.
مدیریت دادهها
دادههایی که ذخیره و منتقل میشوند همیشه باید رمزنگاری شوند. چنین کاری یک لایه امنیتی بسیار مهم محسوب میشود. به این ترتیب امکان مشاهده دادههای حساس، بدون در اختیار داشتن کلیدهای رمزنگاری وجود نداشته و تعهد سازمان به حفاظت از امنیت دادههای مشتریان بیشتر نشان داده میشود.
سازمانها باید تا حد امکان از ذخیره یا انتقال اطلاعات حساس مشتریان شان خودداری کنند. اگر ذخیره این دادهها ضروری است، سعی کنید آنها را برای حداقل مدت زمان ممکن نگهداری کرده و سپس آنها را به طور دائم حذف یا به روشی امن آرشیو کنید. هر سازمانی باید بررسی و ارزیابی کند که آیا واقعاً نیاز به ذخیره این اطلاعات وجود دارد یا خیر؟
سازمانهای بسیاری از سیستم مدیریت ارتباط با مشتری (CRM) استفاده می کنند. این سیستم، اطلاعات را به صورت بلادرنگ دریافت می نماید. همچنین اگر بنابر دلایل امنیتی، ضبط تماسها ضروری است باید روشی را برای ذخیره این تماسها جهت تفکیک دادههای حساس پیدا کنید. آنگاه با استفاده از یک فرایند دستی یا خودکار، این دادهها را حذف یا به صورت امن آرشیو کنید.
سازمانها بایستی این موضوع را هم بررسی کنند که آیا روشی امنتر (مثل ارسال این دادهها از طریق سیستمی امن یا دریافت حداقل اطلاعات ممکن از مشتری) برای دسترسی به این دادهها وجود دارد یا خیر؟
گاهی وقت ها فایروالها بدترین دشمن بخش پشتیبانی هستند!
اینکه یک برنامه امنیتی خودکار یا یکی از کارشناسان امنیتی سرویس مهمی را غیرفعال کند تقریباً موضوع غیرمتداولی نیست. مطالعات نشان میدهد که حداقل 30 درصد از اعلانها و هشدارهای امنیتی توسط فایروالها انجام میشود.
واقعیت تلخ این است که معمولاً کارمندان مرکز پشتیبانی و کارشناسان امنیت IT از این حلقه خارج هستند. اگر یک سیستم تلفن گویا دارید که متصل به یک پایگاه داده بیرونی است یا اینکه یکی از پشتیبانهای شما با استفاده از یک کلاینت تحت وب به مشتریان خوشامد میگوید، ممکن است کارمندان بخش امنیت از دسترسیهای مورد نیاز برای انجام این کار بی خبر بوده و بدون اینکه خودشان متوجه باشند، در این سرویسها اختلال ایجاد کنند.
روش توصیه شده بعدی این است که وقتی تغییری در پیکربندیها یا سیاستهای امنیتی یکی از ابزارهای امنیتی ایجاد میشود، این تغییرات را به صورت شفاف به بخش پشتیبانی اطلاع دهید تا درباره این تغییر و احتمال ایجاد وقفه توسط آن راحتتر به نتیجه گیری برسید.
نکته پایانی
پیادهسازی الزامات گفته شده باعث شکست ناپذیر شدن بخش پشتیبانی نمیشود اما میتوان با در پیش گرفتن یک رویکرد دفاع در عمق، از سازمان در برابر حملات سایبری محافظت کرده و سریعتر تهدیدات را شناسایی کرده و برطرف نمایید. با توجه به حجم انبوه و تعداد بی شمار تهدیدات امنیتی در دنیای امروزی باید برای امن سازی بخش پشتیبانی از روشهایی فراتر از راهبردهای معمولی و همیشگی استفاده کرد.
[1] Contact Center as a Service: ارایه خدمات مرکز پشتیبانی به عنوان سرویس.
[2] استاندارد ISO/IEC 27001 به سازمانها این اطمینان را میدهد که اطلاعاتشان کاملاً محرمانه بوده و تا زمان لزوم در اختیار شخص دیگری قرار داده نخواهد شد.
[3]Payment Card Industry Data Security Standard: یک استاندارد امنیت اطلاعات برای شرکت هایی است که خدمات تراکنشی کارتهای اعتباری را انجام می دهند.
منبع: helpnetsecurity