عصر تراکنش ۷۵؛ مینا حاجی، سردبیر ماهنامه عصر تراکنش / «هک» کلمهای است که در یک ماه گذشته در صنعت فناوریهای مالی کشور زیاد درباره آن شنیدهایم؛ موضوعی که امنیت اطلاعات را بار دیگر در اکوسیستم نوآوری و فناوری کشور بر سر زبانها انداخت. در شهریورماه ۱۴۰۲ شرکتهای گوناگونی دچار حمله سایبری شدند. تقریباً طی یک هفته، سیستم اطلاعرسانی اپلیکیشن هفهشتاد، تپسی و اطلاعات برخی شرکتهای بیمه هک شد؛ همچنین در اواخر شهریورماه یک گروه هکری ادعا کرد که دیتاهای سازمان ثبت احوال را هک کرده و به اطلاعات ۱۳۰ میلیون ایرانی دست یافته و از طرف دیگر اول مهرماه خبر از هک سایت وزارت علوم داده شد. اتفاقهایی که در این مدت افتاد، بحث بر سر ارتقای امنیت از سوی سازمانها را بیش از پیش پررنگ کرد و بیش از پیش نگرانیها را در خصوص خلأهای موجود در حوزه امنیت سایبری برانگیخت.
طبق گزارشی که بهتازگی IBM منتشر کرده، ۸۳ درصد از سازمانها بیش از یک نقص داده را در طول سال ۲۰۲۲ تجربه کردهاند. شاید همین آمار تکاندهنده کافی باشد تا کسبوکارها امنیت سایبری را در اولویت کارهایشان قرار دهند و رویکرد بیتوجهی نسبت به این مقوله نداشته باشند.
با توجه به حجم اخباری که اخیراً از هکهای انجامشده در صنعت فناوریهای مالی کشور شنیدیم، به نظر اصلیترین اقدام روبهجلویی که سازمانها و کسبوکارها میتوانند در راستای ارتقای سطح امنیت سایبری خود انجام دهند، این است که فقط قبول کنند که یک بخش قابل توجه از بودجه و وقت خود را روی مقوله امنیت در سازمانهایشان بگذارند. البته امنیت سایبری باید یک اولویت در «کل» سازمانها باشد و صرف اینکه مدیران و اعضای هیئتمدیره یک سازمان و کسبوکار نگاه ویژهای به این مقوله داشته باشند، کافی نیست؛ چراکه کارکنان، مستعد هدف قرار گرفتن حملات مهندسی اجتماعی و اقدامات امنیتی مخاطرهآمیز هستند و دقیقاً به همین دلیل، امنیت سایبری باید بخشی از شرح شغلی هر عضو یک سازمان باشد.
مسائل مالی یا انسانی از جمله مواردی هستند که در بسیاری از موارد ارتقای سطح امنیت سازمانها را به تعویق انداختهاند؛ متأسفانه منشاء بسیاری از آسیبهای امنیتی که به سازمانها وارد شده، در رویکرد سادهانگارانهشان به موضوع امنیت است، چراکه بسیاری از سازمانها و کسبوکارها ترجیح میدهند وقت، انرژی و بودجه خود را به جای ارتقای زیرساختهای امنیتی به مسائل دیگری که نمودهای بیرونی بیشتری دارند و میتوانند بهصورت موقتی برای آن کسبوکار موفقیتی به حساب آیند و عکس یادگاری بگیرند، صرف کنند.
دقیقاً در همین نقطه است که سؤالی پیش میآید؛ اینکه چرا در این دنیای دیجیتال و عصر دادهای که در آن قرار داریم، هنوز هستند مدیرانی که تا وقتی با مشکل امنیتی و نشت دادههای خود مواجه نشدهاند، اهمیت امنیت سایبری را درک نمیکنند؟ این موضوع که حمله سایبری و نشت داده در دنیای کنونی گریزناپذیر است، مسئله درستی است، اما آمادگی قبلی و اتخاذ رویکردهای صحیح امنیتی نیز از اهمیت زیادی برخوردار است تا بتوان از میزان خسارتهای این اتفاقها کاست.
یکی از پیشنهادهایی که در دنیا به کسبوکارها در راستای افزایش امنیت اطلاعاتشان میشود، این است که در ترکیب اعضای هیئتمدیره خود حتماً از فردی با تخصص این حوزه بهره ببرند؛ چراکه این موضوع میتواند بهطور مؤثری ریسک امنیت سایبری را کاهش دهد. دومین تلاشی که کسبوکارها میتوانند در این راستا انجام دهند این است که یک استراتژی بلندمدت امنیت سایبری را به جای یک رویکرد کوتاهمدت و واکنشی اتخاذ کنند. درست است که سرمایهگذاری در حوزه امنیت سایبری ممکن است در ابتدا بر جریان سوددهی کوتاهمدت کسبوکارها تأثیر بگذارد، اما فراموش نکنیم که در بلندمدت میتواند نتیجههای بسیار خوبی داشته باشد.
باید قبول کنیم که فناوریهای امنیتی بهتنهایی برای محافظت از یک سازمان کافی نیستند در نتیجه ایجاد و شکلگیری یک فرهنگ در راستای تقویت امنیت سایبری یک سازمان میتواند به کارمندان سازمانها نیز کمک کند که تا حد چشمگیری از حادثههای سایبری ناخواسته جلوگیری شود؛ در عین حال به کسبوکارها این امکان را میدهد که همزمان از مزایای فناوریهای جدید و پرریسک در سطح کسبوکار و محصولات خود استفاده کنند. اما بخش سخت داستان این است که ساخت و تقویت یک فرهنگ امنیت سایبری نیز قابل اندازهگیری نیست! ولی فراموش نکنیم که منابع انسانی سازمان و آموزش آنان مهمترین سد جهت جلوگیری از وقوع یک حمله سایبری هستند. بهخصوص که این روزها و با توجه به شرایط کنونی کشور، شاید مهمترین و اصلیترین چالش پیش رو برای واحدهای امنیت سایبری سازمانها، کمبود نیروهای متخصص در این حوزه باشد. شاید نشود جلوی مهاجرت نیروهای متخصص را گرفت، اما با سرمایهگذاریهای بلندمدت در آموزش و تربیت نیروهای متخصص، میتوان بخشی از این مشکل را رفع کرد.
فراموش نکنیم دنیای امنیت سایبری تفاوت چندانی با یک بازی شطرنج ندارد؛ در شطرنج و در امنیت سایبری بازیکنان باید از حریفان خود پیشی بگیرند، از نقاط ضعف خود مطلع باشند و بهموقع استراتژی درست را اتخاذ و قدمهای بعدی را نیز پیشبینی کنند. در واقع هر کنش و واکنشی در فضای امنیت سایبری مانند یک حرکت در بازی شطرنج است که طرفین دائماً بهدنبال روشهایی هستند که همدیگر را کیش و مات کنند و حداقل تا امروز اینطور به نظر میرسد که هکرها همیشه یک قدم از سازمانها جلوتر بودهاند و این سازمانها هستند که واکنشی عمل میکنند. شاید زمان آن رسیده باشد که سازمانها دیگر کنشی عمل کنند، نه واکنشی!
