در گذشته کارکنان از طریق تماسهای تلفنی، ایمیل یا برگزاری جلسات در محیطهای فیزیکی با یکدیگر ارتباط برقرار میکردند؛ ولی امروزه شرکتها جهت خرید و فروش محصولات و خدمات به اکوسیستمهای دیجیتال[1] رو آوردهاند. در دنیای اکوسیستمهای دیجیتال هیچگونه محدودیتی وجود نداشته و فعالیتهای مختلف را میتوان از طریق آن انجام داد.
در سالهای قبل، مخاطرات امنیتی فقط محدود به مشتریان، کارکنان، میزان اطلاعات به اشتراکگذاری شده میان همکاران و همچنین تعداد محصولات و خدمات ارایه شده توسط شرکتها بود؛ اما امروزه حجم حملات سایبری ناشی از اتصال سیستمهای سازمانی به سیستمهای سایر شرکتها و شرکای تجاری افزایش بسیار زیادی یافته است. بنابراین شرکتها باید مخاطرات امنیتی که در پی چنین اتصالات و ارتباطاتی ایجاد میشوند را به خوبی درک کرده و به صورت اثربخش با آنها مقابله کنند.
شرکتها باید برای حفظ امنیتشان در دنیایی که متشکل از انواع اکوسیستمهای دیجیتالی است، علاوه بر تغییر شیوه تعاملشان با سایر شرکتها، فروشندگان، مشتریان و غیره اصول امنیت زیرساختهای دیجیتال، سیستمها و دادههایی که در اختیار شرکتهای ارایهدهنده خدمات ابری قرار میدهند را نیز تغییر داده و بهبود بخشند.
جابهجایی بین اکوسیستمها
خوشبختانه شرکتها و سازمانهای پیشرو به استفاده از اکوسیستمهای دیجیتالی گرایش زیادی پیدا کردهاند و تقریباً این موضوع در حال تبدیل به یک امر متداول است. به همین خاطر عدم اتصال به این اکوسیستمها را نمیتوان به عنوان یک راهحل کاربردی برای مدیریت مخاطرات ناشی از چنین اتصالاتی در نظر گرفت.
برای مثال شرکت چینی پینگان که با حدود 30 سال سابقه فعالیت در زمینه صنعت بیمه، بزرگترین شرکت بیمهای در سطح جهان محسوب میشود با ایجاد کسبوکارهای فناوریمحور در کنار سرویسهای مالی سنتی خود در حال حرکت به سمت یک محیط کاملاً متفاوت است. در حال حاضر این شرکت به یک «هماهنگکننده اکوسیستم» تبدیل شده و حدود یک درصد از درآمد سالیانهاش (حدود 1.5 میلیارد دلار) را برای ایجاد یک پلتفرم فناورانه صرف میکند.
پینگان از هوش مصنوعی، بزرگ دادهها (بیگ دیتا) و ابزارهای خودکار و همچنین تحلیل پلتفرمهای موجود برای ارایه خدمات مختلف مثل خدمات مالی، بازار خودرو و سرویس مشاوره پزشکی آنلاین برای بیماران چینی استفاده میکند. در نتیجه این شرکت حتی یک منبع درآمد جدید و روشی جهت جذب مشتری برای کسبوکار بیمه و صنعت بانکداری خود هم ایجاد نموده است. برای مثال در سال 2017 میلادی حدود 40 درصد از مشتریان خدمات مالی پینگان از طریق اکوسیستم جدید، جذب این شرکت شدهاند. شاید هیچ فردی تصور نمیکرد که پینگان ممکن است روزی وارد حوزه کسبوکارهای مرتبط با پزشکی هم شود. بنابراین کاملاً مشهود است که در دنیای اکوسیستمهای دیجیتال چنین مدل کسبوکاری رو به گسترش و توسعه باشد.
لازم به ذکر است بر اساس تحقیقاتی که در سال 2018 بر روی بیش از هزار شرکت آمریکایی و اروپایی انجام شد، پیشگامان عرصه دیجیتال حدود 60 درصد از درآمد سالیانه خود را به خدمات و محصولات دیجیتالی یا کسبوکار دیجیتال خود اختصاص دادهاند.
دوست یا دشمن؟ پیامدهای پیوستن به یک اکوسیستم دیجیتال
از آنجا که رقبا نیز در شبکههای اکوسیستم دیجیتال حضور دارند بنابراین نمیتوان آنها را به عنوان شبکههای متشکل از دوستان در نظر گرفت. همچنین اگرچه مدتها است که شرکتها با رقبای خود در حال همکاری هستند اما روشهای همکاری امروزی با آنچه در دوره پیش از عصر دیجیتال وجود داشت، کاملاً متفاوت است.
امروزه وقتی دو شرکت در یک اکوسیستم که در آن مالکیت و مدیریت بخشهای مختلف یک سیستم تعاملپذیر، تحت اختیار چندین سازمان قرار دارد با یکدیگر ارتباط برقرار میکنند لازم است یکسری از اطلاعات مهمشان را با یکدیگر به اشتراک بگذارند. اگرچه چنین نوآوری در دنیای دیجیتال یک تحول بزرگ محسوب میشود ولی از طرفی منجر به افزایش مخاطرات امنیتی و تحولات سایبری هم شده است.
در حالت عادی و در دنیای فیزیکی همه شرکتها اطلاعات مشتریان را جمعآوری کرده و در صورت برخورداری از راهکارهای دفاعی مناسب میتوانند امنیت دادههایشان را تأمین کنند. هنگامی که این شرکتها در یک اکوسیستم به هم پیوسته همکاری خود را آغاز میکنند میزان مخاطرات امنیتی ناشی از این همکاری به نحو چشمگیری افزایش مییابد؛ به دلیل آنکه شرکتها در محیطهای دیجیتال دیگر هیچ کنترلی بر روی سیستمها و محیط شبکهشان ندارند.
شرکتها باید به سازوکارهای امنیتی شرکتهای همکار از جمله تأمینکنندگان قطعات، سرویسهای ابری، مشتریان، بخش بازاریابی و سایر ارایهدهندگان کالا و خدمات اعتماد کنند. بر اساس شواهد موجود، سازمانها برای مقابله با مشکلات امنیتی نوظهور با چالشهای بسیار زیادی مواجه شدهاند. در سال 2018 میلادی بنا بر یافتههای مرکز منابع سرقت هویت که در زمینه حوادث مربوط به کلاهبرداری، سرقت سایبری و جعل و تقلب فعالیت میکند، نفوذهای اطلاعاتی متعددی رخ داده است. همچنین تعداد سوابق افشا شده مشتریان که شامل اطلاعات حساس و هویتی آنها بوده در این سال حدود 300 میلیون رتبه نسبت به سال گذشته افزایش داشته است.
بسیاری از محققان امنیتی علل افزایش حملات سایبری در سالهای پیشرو را به دو گروه زیر تقسیم کردهاند:
- سرعت رشد و پیشرفت بدافزارها و سایر فناوریهای هک کامپیوتری به قدری زیاد است که از سرعت پیادهسازی راهکارهای دفاعی سازمانها پیشی خواهد گرفت. روزانه حدود 350 هزار نرمافزار مخرب و برنامه ناخواسته توسط شرکتهای امنیت سایبری ثبت و گزارش میشود. به محض اینکه شرکتها راهکاری را برای مسدوسازی یک حفره امنیتی پیدا میکنند، به سرعت حفره جدیدی کشف میشود.
- همچنین کشورهای مختلف از روشهای متفاوتی برای واکنش، تحقیق و بررسی و پیگیری حوادث امنیت سایبری استفاده میکنند. برای مثال در سال 2015 میلادی دیوان دادگستری اروپا با توجه به ترس ناشی از نظارتهای دولت آمریکا ماده مربوط به «اقدامات رافع مسئولیت» از قانون حفاظت از دادههای سال 1995 را لغو کرد. بر اساس این قانون، شرکتهای خارج از اتحادیه اروپا میتوانستند دادههای شهروندان اروپایی را ذخیره و پردازش کنند.
اتحادیه اروپا و آمریکا با همکاری یکدیگر در حال تلاش هستند تا شرایط جدیدی را ایجاد کرده و امکان انتقال دادههای مورد نیاز را در بین این دو قاره فراهم کنند. راهکار جدید که تحت عنوان سپر حریم خصوصی اروپا – آمریکا نامگذاری شده، شرکتهای آمریکایی که قصد انتقال دادهها از اروپا به آمریکا را دارند ملزم به پیروی از قوانین جدید در زمینه پردازش دادههای شخصی و حفاظت از حقوق بشر میکند. با این حال بنا بر شواهد موجود، این عدم یکپارچگی قوانین میتواند مدیریت مخاطرات را برای مدیران سازمانی تا حدودی پیچیدهتر کند.
چگونه مخاطرات امنیتی مرتبط با اکوسیستمهای دیجیتال را کاهش دهیم؟
در صورت دیجیتالیزه شدن هر چه بیشتر کسبوکارها شرکتهایی که مشتریان، رقبا و شرکای تجاری خود را از زاویه یک صنعت واحد در نظر بگیرند توانایی کمتری برای شناسایی مشتریان، رقبا و شرکتهای همکار جدید خواهند داشت. بنابراین عدم مشارکت در اکوسیستمهای دیجیتال، مخاطرات بسیار زیادی را با خود به همراه دارد. ممکن است از خودتان بپرسید پس مدیران کسبوکارها چگونه میتوانند به مخاطرات امنیتی ناشی از مشارکت در اکوسیستمهای دیجیتال رسیدگی کرده و آنها را کاهش دهند؟
بر اساس توصیه کارشناسان امنیتی شرکتها باید جهت تقویت و بهبود توانمندیهای امنیت سایبری خود اقدامات زیر را انجام دهند:
- شرکتها باید پیش از پیوستن به یک اکوسیستم دیجیتال، ارزیابیهای کامل را از همکارانشان به ویژه آنهایی که به عنوان رقیب در نظر گرفته میشوند، به عمل آورند. این ارزیابیها شامل بررسی شیوههای کسبوکار شرکتهای همکار و نیز مخاطراتی هستند که احتمال دارد برای آن شرکت ایجاد شود. همچنین میتوان مخاطرات همه اجزای اکوسیستم که به شرکت متصل بوده یا دادههایی را با آن به اشتراک میگذارند، ارزیابی کرد. از آنجا که بعضی شرکتها از مدتی پیش امکان دسترسی به سیستمهای فناوری اطلاعاتشان را برای بعضی از فروشندگان فراهم کردهاند بنابراین یکسری ارزیابی مخاطرات در گذشته انجام شده است.
- شرکتها باید در هنگام بررسی شرایط همکاران جدید، راهکارهای حفاظتی نوینی را که امکان مبادله خودکار دادهها به روش امن را فراهم میکنند در نظر بگیرند. در قلب هر اکوسیستم دیجیتال، ارتباطات ماشین به ماشین (یعنی ارتباط بین حسگرهای دیجیتال و رایانهها) وجود دارد. از آنجا که در محیط به هم پیوستهای که در آن رقبا میتوانند از هوش مصنوعی و یادگیری ماشینی برای ربودن گوی سبقت از یکدیگر استفاده کنند، دیگر راهکارهای متداول امنیتی مثل احراز هویت دومرحلهای و کلمات عبور کافی نیستند. بنابراین این امر منجر به افزایش سطح امنیت مورد انتظار خواهد شد.
- شرکتها باید درگاههای جدیدی که ماشینها را ملزم به ارایه اطلاعات هویتی صحیح میکنند (مثل یک نوع شناسه دیجیتال) ایجاد نمایند. در این صورت یک ماشین میتواند دسترسیهای ماشین دیگر را بررسی و تأیید کند. در صورت استفاده از رمزنگاری برای انجام چنین کاری دو ماشین میتوانند با مبادله امضاهای دیجیتال، یکدیگر را احراز هویت کنند.
- فرایند احراز هویت برای هر شرکت، مختص به همان شرکت است. شرکتهای متصل به اکوسیستمهای دیجیتال باید از راهکارهای احراز هویت شرکتهای همکار اطمینان یابند زیرا هکرها میتوانند به راحتی از داراییهایی که چندان مورد توجه واقع نشدهاند به عنوان یک در پشتی برای ورود به کل شبکه سوءاستفاده کنند.
- سازمانها باید از هوش مصنوعی و یادگیری ماشینی برای طراحی سیستمهایی که تهدیدات مختلف مانند نفوذ به شبکه، حملات محرومسازی از سرویس توزیع شده (DDoS)، پیوست ایمیلهای آلوده به بدافزار و فیشینگ را تحلیل نموده و الگوهای رفتاری مخرب را تشخیص میدهند، استفاده کنند.
انجام چنین اقدامات پیشگیرانهای نقش مهمی در حفاظت از شرکتها دارد. مشتریان و شرکای تجاری همواره در پی اطمینان از وجود کنترلهایی هستند که از دادههای حساس تجاری و اطلاعات هویتی مشتریان و کارکنان محافظت میکند. در نتیجه مدیران اجرایی باید یک بازبینی بیرونی از کنترلهای گزارشدهی غیرمالیشان که شامل امنیت، دسترسپذیری، جامعیت، محرمانگی و حریم خصوصی هر سیستم است، داشته باشند. چنین بررسی یک گزارش جامع را درباره وضعیت کنترلها ایجاد کرده و نوع طراحی و پیادهسازی آنها را بررسی مینماید. همچنین این اطمینان را ایجاد میکند که حداقل برای یک دوره مشخص، آیا آن شرکت عملکرد کارا و قابل قبولی داشته است یا خیر؟
شرکتها میتوانند با اجرای راهکارهای درست حفاظتی و ممیزیهای بیرونی که توانایی شناسایی نقاط ضعف احتمالی را دارند، قدمهای مهمی در رسیدگی به چالشهای امنیتی موجود در اکوسیستمهای دیجیتال بردارند. البته این واقعیت همچنان وجود دارد که حتی با اجرا و پیادهسازی راهکارهای مختلف امنیتی باز هم همچنان احتمال از دست رفتن و افشای یکسری دادههای حساس وجود دارد.
اکوسیستمهای دیجیتال، یک پدیده ماندگار هستند و شرکتها باید فعالانه در آنها مشارکت داشته باشند.
شرکتها با توجه به اهمیت فعالیت و شرکت در اکوسیستمهای دیجیتال باید برای شرایط پس از وقوع یک حمله، از طرحی قوی که شامل سه عنصر کلیدی زیر است برخوردار باشند:
- افزایش توانایی جرمیابی دیجیتال جهت جمعآوری، حفظ و تحلیل داراییهای دیجیتال به نحوی که بتوان از آنها در پروندههای قانونی آتی استفاده کرد.
- استفاده از طرحهای درست و سنجیده جهت تداوم کسبوکار
- استفاده از طرحهای از پیش آماده شده برای جلب دوباره اعتماد کاربران
جمعبندی
از اکوسیستمهای دیجیتال به عنوان پدیدههای ماندگار یاد میشود. در نتیجه شرکتها باید جهت ایجاد ارزش برای سهامدارانشان در این اکوسیستمها حضوری فعال داشته باشند. هر اکوسیستم، یک سیستم تعاملپذیر است. مشارکت در هر اکوسیستمی مستلزم واگذار کردن یکسری اختیارات و همچنین اعتماد به شرکای تجاری برای پیروی از تعهداتشان در زمینه استفاده از دادهها، سیستمها و سایر داراییهای در اختیارشان است.
خوشبختانه اقدامات مؤثری وجود دارد که شرکتها میتوانند برای مدیریت مخاطرات امنیتی ناشی از مشارکت در اکوسیستمهای دیجیتال آنها را سپری کنند. شرکتها میتوانند با مراقبت و توجه مداوم، مانع سوءاستفاده هکرها و وقوع حملات سایبری بر ضد خود شوند. اگرچه انجام چنین کاری مستلزم صرف زمان و منابع زیادی است اما بدون شک در طولانیمدت اثربخش واقع خواهد شد.
[1] اکوسیستمهای دیجیتال شامل انسانها، ماشینها، ابزارها و نرمافزارهایی هستند که بدون هیچگونه مرز و محدودیتی بر روی زیرساختهای دیجیتال و بر پایه ارتباطات با مبدأ یا (و) مقصد دیجیتالی با یکدیگر در تعامل هستند.
منبع: tcs