نقش و جایگاه امنیت سایبری در دنیای امروزی اکوسیستم‌های دیجیتال

در گذشته کارکنان از طریق تماس‌های تلفنی، ایمیل یا برگزاری جلسات در محیط‌های فیزیکی با یکدیگر ارتباط برقرار می‌کردند؛ ولی امروزه شرکت‌ها جهت خرید و فروش محصولات و خدمات به اکوسیستم‌های دیجیتال[1] رو آورده‌اند. در دنیای اکوسیستم‌های دیجیتال هیچ‌گونه محدودیتی وجود نداشته و فعالیت‌های مختلف را می‌توان از طریق آن انجام داد.

در سال‌های قبل، مخاطرات امنیتی فقط محدود به مشتریان، کارکنان، میزان اطلاعات به اشتراک‌گذاری شده میان همکاران و همچنین تعداد محصولات و خدمات ارایه شده توسط شرکت‌ها بود؛ اما امروزه حجم حملات سایبری ناشی از اتصال سیستم‌های سازمانی به سیستم‌های سایر شرکت‌ها و شرکای تجاری افزایش بسیار زیادی یافته است. بنابراین شرکت‌ها باید مخاطرات امنیتی که در پی چنین اتصالات و ارتباطاتی ایجاد می‌شوند را به خوبی درک کرده و به صورت اثربخش با آنها مقابله کنند.

شرکت‌ها باید برای حفظ امنیت‌شان در دنیایی که متشکل از انواع اکوسیستم‌های دیجیتالی است، علاوه بر تغییر شیوه تعامل‌شان با سایر شرکت‌ها، فروشندگان، مشتریان و غیره اصول امنیت زیرساخت‌های دیجیتال، سیستم‌ها و داده‌هایی که در اختیار شرکت‌های ارایه‌دهنده خدمات ابری قرار می‌دهند را نیز تغییر داده و بهبود بخشند.

 

جابه‌جایی بین اکوسیستم‌ها

خوشبختانه شرکت‌ها و سازمان‌های پیش‌رو به استفاده از اکوسیستم‌های دیجیتالی گرایش زیادی پیدا کرده‌اند و تقریباً این موضوع در حال تبدیل به یک امر متداول است. به همین خاطر عدم اتصال به این اکوسیستم‌ها را نمی‌توان به عنوان یک راه‌حل کاربردی برای مدیریت مخاطرات ناشی از چنین اتصالاتی در نظر گرفت.

برای مثال شرکت چینی پینگ‌ان که با حدود 30 سال سابقه فعالیت در زمینه صنعت بیمه، بزرگترین شرکت بیمه‌ای در سطح جهان محسوب می‌شود با ایجاد کسب‌وکارهای فناوری‌محور در کنار سرویس‌های مالی سنتی خود در حال حرکت به سمت یک محیط کاملاً متفاوت است. در حال حاضر این شرکت به یک «هماهنگ‌کننده اکوسیستم» تبدیل شده و حدود یک درصد از درآمد سالیانه‌اش (حدود 1.5 میلیارد دلار) را برای ایجاد یک پلتفرم فناورانه صرف می‌کند.

پینگ‌ان از هوش مصنوعی، بزرگ داده‌ها (بیگ دیتا) و ابزارهای خودکار و همچنین تحلیل پلتفرم‌های موجود برای ارایه خدمات مختلف مثل خدمات مالی، بازار خودرو و سرویس مشاوره پزشکی آنلاین برای بیماران چینی استفاده می‌کند. در نتیجه این شرکت حتی یک منبع درآمد جدید و روشی جهت جذب مشتری برای کسب‌وکار بیمه و صنعت بانکداری خود هم ایجاد نموده است. برای مثال در سال 2017 میلادی حدود 40 درصد از مشتریان خدمات مالی پینگ‌ان از طریق اکوسیستم جدید، جذب این شرکت شده‌اند. شاید هیچ فردی تصور نمی‌کرد که پینگ‌ان ممکن است روزی وارد حوزه کسب‌وکارهای مرتبط با پزشکی هم شود. بنابراین کاملاً مشهود است که در دنیای اکوسیستم‌های دیجیتال چنین مدل کسب‌وکاری رو به گسترش و توسعه باشد.

لازم به ذکر است بر اساس تحقیقاتی که در سال 2018 بر روی بیش از هزار شرکت آمریکایی و اروپایی انجام شد، پیشگامان عرصه دیجیتال حدود 60 درصد از درآمد سالیانه خود را به خدمات و محصولات دیجیتالی یا کسب‌وکار دیجیتال خود اختصاص داده‌اند.

دوست یا دشمن؟ پیامدهای پیوستن به یک اکوسیستم دیجیتال

از آنجا که رقبا نیز در شبکه‌های اکوسیستم دیجیتال حضور دارند بنابراین نمی‌توان آنها را به عنوان شبکه‌های متشکل از دوستان در نظر گرفت. همچنین اگرچه مدتها است که شرکت‌ها با رقبای خود در حال همکاری هستند اما روش‌های همکاری امروزی با آنچه در دوره پیش از عصر دیجیتال وجود داشت، کاملاً متفاوت است.

امروزه وقتی دو شرکت در یک اکوسیستم که در آن مالکیت و مدیریت بخش‌های مختلف یک سیستم تعامل‌پذیر، تحت اختیار چندین سازمان قرار دارد با یکدیگر ارتباط برقرار می‌کنند لازم است یکسری از اطلاعات مهم‌شان را با یکدیگر به اشتراک بگذارند. اگرچه چنین نوآوری در دنیای دیجیتال یک تحول بزرگ محسوب می‌شود ولی از طرفی منجر به افزایش مخاطرات امنیتی و تحولات سایبری هم شده است.

در حالت عادی و در دنیای فیزیکی همه شرکت‌ها اطلاعات مشتریان را جمع‌آوری کرده و در صورت برخورداری از راهکارهای دفاعی مناسب می‌توانند امنیت داده‌های‌شان را تأمین کنند. هنگامی که این شرکت‌ها در یک اکوسیستم به هم پیوسته همکاری خود را آغاز می‌کنند میزان مخاطرات امنیتی ناشی از این همکاری به نحو چشم‌گیری افزایش می‌یابد؛ به دلیل آنکه شرکت‌ها در محیط‌های دیجیتال دیگر هیچ کنترلی بر روی سیستم‌ها و محیط شبکه‌شان ندارند.

شرکت‌ها باید به سازوکارهای امنیتی شرکت‌های همکار از جمله تأمین‌کنندگان قطعات، سرویس‌های ابری، مشتریان، بخش بازاریابی و سایر ارایه‌دهندگان کالا و خدمات اعتماد کنند. بر اساس شواهد موجود، سازمان‌ها برای مقابله با مشکلات امنیتی نوظهور با چالش‌های بسیار زیادی مواجه شده‌اند. در سال 2018 میلادی بنا بر یافته‌های مرکز منابع سرقت هویت که در زمینه حوادث مربوط به کلاهبرداری، سرقت سایبری و جعل و تقلب فعالیت می‌کند، نفوذهای اطلاعاتی متعددی رخ داده است. همچنین تعداد سوابق افشا شده مشتریان که شامل اطلاعات حساس و هویتی آنها بوده در این سال حدود 300 میلیون رتبه نسبت به سال گذشته افزایش داشته است.

بسیاری از محققان امنیتی علل افزایش حملات سایبری در سال‌های پیش‌رو را به دو گروه زیر تقسیم کرده‌اند:

  1. سرعت رشد و پیشرفت بدافزارها و سایر فناوری‌های هک کامپیوتری به قدری زیاد است که از سرعت پیاده‌سازی راهکارهای دفاعی سازمان‌ها پیشی خواهد گرفت. روزانه حدود 350 هزار نرم‌افزار مخرب و برنامه ناخواسته توسط شرکت‌های امنیت سایبری ثبت و گزارش می‌شود. به محض اینکه شرکت‌ها راهکاری را برای مسدوسازی یک حفره امنیتی پیدا می‌کنند، به سرعت حفره جدیدی کشف می‌شود.
  2. همچنین کشورهای مختلف از روش‌های متفاوتی برای واکنش، تحقیق و بررسی و پیگیری حوادث امنیت سایبری استفاده می‌کنند. برای مثال در سال 2015 میلادی دیوان دادگستری اروپا با توجه به ترس ناشی از نظارت‌های دولت آمریکا ماده مربوط به «اقدامات رافع مسئولیت» از قانون حفاظت از داده‌های سال 1995 را لغو کرد. بر اساس این قانون، شرکت‌های خارج از اتحادیه اروپا می‌توانستند داده‌های شهروندان اروپایی را ذخیره و پردازش کنند.

اتحادیه اروپا و آمریکا با همکاری یکدیگر در حال تلاش هستند تا شرایط جدیدی را ایجاد کرده و امکان انتقال داده‌های مورد نیاز را در بین این دو قاره فراهم کنند. راهکار جدید که تحت عنوان سپر حریم خصوصی اروپا – آمریکا نام‌گذاری شده، شرکت‌های آمریکایی که قصد انتقال داده‌ها از اروپا به آمریکا را دارند ملزم به پیروی از قوانین جدید در زمینه پردازش داده‌های شخصی و حفاظت از حقوق بشر می‌کند. با این حال بنا بر شواهد موجود، این عدم یکپارچگی قوانین می‌تواند مدیریت مخاطرات را برای مدیران سازمانی تا حدودی پیچیده‌تر کند.

 

چگونه مخاطرات امنیتی مرتبط با اکوسیستم‌های دیجیتال را کاهش دهیم؟

در صورت دیجیتالیزه شدن هر چه بیشتر کسب‌وکارها شرکت‌هایی که مشتریان، رقبا و شرکای تجاری خود را از زاویه یک صنعت واحد در نظر بگیرند توانایی کمتری برای شناسایی مشتریان، رقبا و شرکت‌های همکار جدید خواهند داشت. بنابراین عدم مشارکت در اکوسیستم‌های دیجیتال، مخاطرات بسیار زیادی را با خود به همراه دارد. ممکن است از خودتان بپرسید پس مدیران کسب‌وکارها چگونه می‌توانند به مخاطرات امنیتی ناشی از مشارکت در اکوسیستم‌های دیجیتال رسیدگی کرده و آنها را کاهش دهند؟

بر اساس توصیه کارشناسان امنیتی شرکت‌ها باید جهت تقویت و بهبود توانمندی‌های امنیت سایبری خود اقدامات زیر را انجام دهند:

  1. شرکت‌ها باید پیش از پیوستن به یک اکوسیستم دیجیتال، ارزیابی‌های کامل را از همکاران‌شان به ویژه آنهایی که به عنوان رقیب در نظر گرفته می‌شوند، به عمل آورند. این ارزیابی‌ها شامل بررسی شیوه‌های کسب‌وکار شرکت‌های همکار و نیز مخاطراتی هستند که احتمال دارد برای آن شرکت ایجاد شود. همچنین می‌توان مخاطرات همه اجزای اکوسیستم که به شرکت متصل بوده یا داده‌هایی را با آن به اشتراک می‌گذارند، ارزیابی کرد. از آنجا که بعضی شرکت‌ها از مدتی پیش امکان دسترسی به سیستم‌های فناوری اطلاعات‌شان را برای بعضی از فروشندگان فراهم کرده‌اند بنابراین یکسری ارزیابی مخاطرات در گذشته انجام شده است.
  2. شرکت‌ها باید در هنگام بررسی شرایط همکاران جدید، راهکارهای حفاظتی نوینی را که امکان مبادله خودکار داده‌ها به روش امن را فراهم می‌کنند در نظر بگیرند. در قلب هر اکوسیستم دیجیتال، ارتباطات ماشین به ماشین (یعنی ارتباط بین حسگرهای دیجیتال و رایانه‌ها) وجود دارد. از آنجا که در محیط به هم پیوسته‌ای که در آن رقبا می‌توانند از هوش مصنوعی و یادگیری ماشینی برای ربودن گوی سبقت از یکدیگر استفاده کنند، دیگر راهکارهای متداول امنیتی مثل احراز هویت دومرحله‌ای و کلمات عبور کافی نیستند. بنابراین این امر منجر به افزایش سطح امنیت مورد انتظار خواهد شد.
  3. شرکت‌ها باید درگاه‌های جدیدی که ماشین‌ها را ملزم به ارایه اطلاعات هویتی صحیح می‌کنند (مثل یک نوع شناسه دیجیتال) ایجاد نمایند. در این صورت یک ماشین می‌تواند دسترسی‌های ماشین دیگر را بررسی و تأیید کند. در صورت استفاده از رمزنگاری برای انجام چنین کاری دو ماشین می‌توانند با مبادله امضاهای دیجیتال، یکدیگر را احراز هویت کنند.
  4. فرایند احراز هویت برای هر شرکت، مختص به همان شرکت است. شرکت‌های متصل به اکوسیستم‌های دیجیتال باید از راهکارهای احراز هویت شرکت‌های همکار اطمینان یابند زیرا هکرها می‌توانند به راحتی از دارایی‌هایی که چندان مورد توجه واقع نشده‌اند به عنوان یک در پشتی برای ورود به کل شبکه سوءاستفاده کنند.
  5. سازمان‌ها باید از هوش مصنوعی و یادگیری ماشینی برای طراحی سیستم‌هایی که تهدیدات مختلف مانند نفوذ به شبکه، حملات محروم‌سازی از سرویس توزیع شده (DDoS)، پیوست ایمیل‌های آلوده به بدافزار و فیشینگ را تحلیل نموده و الگوهای رفتاری مخرب را تشخیص می‌دهند، استفاده کنند.

انجام چنین اقدامات پیشگیرانه‌ای نقش مهمی در حفاظت از شرکت‌ها دارد. مشتریان و شرکای تجاری همواره در پی اطمینان از وجود کنترل‌هایی هستند که از داده‌های حساس تجاری و اطلاعات هویتی مشتریان و کارکنان محافظت می‌کند. در نتیجه مدیران اجرایی باید یک بازبینی بیرونی از کنترل‌های گزارش‌دهی غیرمالی‌شان که شامل امنیت، دسترس‌پذیری، جامعیت، محرمانگی و حریم خصوصی هر سیستم است، داشته باشند. چنین بررسی یک گزارش جامع را درباره وضعیت کنترل‌ها ایجاد کرده و نوع طراحی و پیاده‌سازی آنها را بررسی می‌نماید. همچنین این اطمینان را ایجاد می‌کند که حداقل برای یک دوره مشخص، آیا آن شرکت عملکرد کارا و قابل قبولی داشته است یا خیر؟

شرکت‌ها می‌توانند با اجرای راهکارهای درست حفاظتی و ممیزی‌های بیرونی که توانایی شناسایی نقاط ضعف احتمالی را دارند، قدم‌های مهمی در رسیدگی به چالش‌های امنیتی موجود در اکوسیستم‌های دیجیتال بردارند. البته این واقعیت همچنان وجود دارد که حتی با اجرا و پیاده‌سازی راهکارهای مختلف امنیتی باز هم همچنان احتمال از دست رفتن و افشای یکسری داده‌های حساس وجود دارد.

 

اکوسیستم‌های دیجیتال، یک پدیده ماندگار هستند و شرکت‌ها باید فعالانه در آنها مشارکت داشته باشند.

شرکت‌ها با توجه به اهمیت فعالیت و شرکت در اکوسیستم‌های دیجیتال باید برای شرایط پس از وقوع یک حمله، از طرحی قوی که شامل سه عنصر کلیدی زیر است برخوردار باشند:

  1. افزایش توانایی جرم‌یابی دیجیتال جهت جمع‌آوری، حفظ و تحلیل دارایی‌های دیجیتال به نحوی که بتوان از آنها در پرونده‌های قانونی آتی استفاده کرد.
  2. استفاده از طرح‌های درست و سنجیده جهت تداوم کسب‌وکار
  3. استفاده از طرح‌های از پیش آماده شده برای جلب دوباره اعتماد کاربران

جمع‌بندی

از اکوسیستم‌های دیجیتال به عنوان پدیده‌های ماندگار یاد می‌شود. در نتیجه شرکت‌ها باید جهت ایجاد ارزش برای سهام‌داران‌شان در این اکوسیستم‌ها حضوری فعال داشته باشند. هر اکوسیستم، یک سیستم تعامل‌پذیر است. مشارکت در هر اکوسیستمی مستلزم واگذار کردن یکسری اختیارات و همچنین اعتماد به شرکای تجاری برای پیروی از تعهدات‌شان در زمینه استفاده از داده‌ها، سیستم‌ها و سایر دارایی‌های در اختیارشان است.

خوشبختانه اقدامات مؤثری وجود دارد که شرکت‌ها می‌توانند برای مدیریت مخاطرات امنیتی ناشی از مشارکت در اکوسیستم‌های دیجیتال آنها را سپری کنند. شرکت‌ها می‌توانند با مراقبت و توجه مداوم، مانع سوءاستفاده هکرها و وقوع حملات سایبری بر ضد خود شوند. اگرچه انجام چنین کاری مستلزم صرف زمان و منابع زیادی است اما بدون شک در طولانی‌مدت اثربخش واقع خواهد شد.

 

[1] اکوسیستم‌های دیجیتال شامل انسان‌ها، ماشین‌ها، ابزارها و نرم‌افزارهایی هستند که بدون هیچ‌گونه مرز و محدودیتی بر روی زیرساخت‌های دیجیتال و بر پایه ارتباطات با مبدأ یا (و) مقصد دیجیتالی با یکدیگر در تعامل هستند.

 

منبع: tcs

خروج از نسخه موبایل