امنیت شبکه در کسب و کار
بزرگترین خطر برای امنیت سایبری شما ممکن است فروشنده یا کارمند شما باشد.
By David Upton/ Sadie Creese
The Danger from Within
دیوید آپتون: استاد مدیریت عملیات دانشکده کسب و کار دانشگاه آکسفورد است.
سادی کریس: استاد امنیت سایبری در دانشگاه آکسفورد و مدیر مرکز امنیت سایبری جهانی است
همه ما درباره حمله سایبری ۲۰۱۳ به شرکت تارگت شنیدهایم که طی آن مجرمان شماره کارت های بانکی چهل میلیون مشتری را به همراه اطلاعات شخصی حدود هفتاد میلیون نفر دزدیدند. این رویداد، اعتبار شرکت را لکه دار کرد و موجب کاهش شدید سود آن شد. مدیر ارشد اطلاعات و مدیرعامل آن شغلشان را از دست دادند. آن چیزی که کاملا مشخص است این است که اگرچه سارقین بیرونی بودند، به سیستم های فروشگاه ها با استفاده از هویت یک فرد داخلی (یک فروشنده مواد غذایی یخچالی) وارد شدند. بداقبالی تارگت یکی از مثال های اخیر از پدیده ای رو به ارشد است.
حمله های خارجی (هک کردن فراگیر دارایی های معنوی از چین، ویروس استاکسنت، ماجراجویی های گروه “گانگسترهای شرق اروپا” به اندازه کافی توجه به خود جلب می کند. اما حمله هایی که توسط شرکت های مرتبط با کارمندان مستقیم صورت می گیرند، تهدیدی زیان آور تر هستند. داخلی ها می توانند آسیب جدی تری نسبت به هکرهای خارجی وارد کنند، زیرا دسترسی راحت تری به سیستم ها و فرصت بیشتری دارند. آسیبی که آنها می توانند وارد سازند شامل تعلیق عملیات، از دست دادن دارایی معنوی، لطمه به شهرت، کاهش اعتماد سرمایه گزار و مشتری و نشت اطلاعات حساس شامل منابع چندرسانه ای به اشخاص ثالث است.
بر اساس تخمین های مختلف، حداقل هشتاد میلیون حمله داخلی هر ساله در آمریکا رخ می دهد. اما چون اغلب گزارش نمی شوند تعداد شاید خیلی بیشتر باشد. پر واضح است که تاثیر آنها اکنون بیش از دهها میلیارد دلار در سال است. خیلی از سازمانها قبول دارند که هنوز یک دیواره دفاعی مناسبی برای تشخیص یا جلوگیری حمله ها از جمله حملات داخلی ک دلیل، انکار آنها درباره اهمیت تهدید است. طی دو سال اخیر، پروژه تحقیقی بین المللی را انجام داده ایم که هدفش بهبود توانمندی سازمانها برای آشکار کردن و خنثی سازی تهدیدهای داخلی میباشد، این پروژه توسط مرکز حفاظت از زیرساخت های ملی (س ی.پی.ان.آی) حمایت می شود که بخشی از سرویس امنیتی ام آی فایو انگلستان است.
تیم شانزده نفره ما شامل متخصصین امنیت کامپیوتر، دانشگاهیان رشته مدیریت بازرگانی با تخصص حاکمیت شرکتی، اساتید مدیریت، متخصصین مصورسازی اطلاعات، روانشناسان جرم شناسان از دانشگاه های آکسفورد، لستر کاردیف است. رویکرد چند رشته ای منجر به یافته هایی شده که نگرش ها و تجربه های سنتی را چالش قرار می دهد (کنار نوشت «اقدامات رایجی که کارایی ندارند» را ببینید). برای مثال، خیلی از شرکت ها اکنون تلاش دارند مانع کارمندان از استفاده اینترنت برای موارد غیر مرتبط با کارشان مانند فیس بوک، سایت های همسریابی و سیاسی با کامپیوترهای سازمان شوند. ما فکر می کنیم برعکس باید بگذارند هر سایتی می خواهند بروند اما از نرم افزارهای امنیتی نظارت فعالیت ها استفاده کنند که بدین ترتیب اطلاعات مهمی درباره رفتارها و شخصیت ها به دست می آید که به شناسایی خطر کمک می کند. در این مقاله، یافته هایمان درباره راه های موثر کاهش احتمال حمله خودی ها را به مطرح می سازیم.
خطر مفقودی:
تهدیدهای خودی، از طرف افرادی است که دسترسی مشروع به دارایی های سایبری برای اهداف غیر مجاز و از روی عناد دارند و یا یا از طرف کسی که ناخودآگاه آسیب ایجاد می کند. آنها ممکن است کارمندان مستقیم از نظافتچیان گرفته تا مدیران ارشد)، پیمانکاران، با تامین کنندگان ثالث خدمات اطلاعاتی و رایانشی باشند. (ادوارد اسنودن که مشهور به سرقت اطلاعات حساس سازمان امنیت آمریکا است)، با این دسترسی قانونی آنها می توانند سیستم های کامپیوتری و اطلاعات را بدون شناسایی توسط راه حل های معمول امنیتی که کنترل هایی هستند که بر نقطه ورود متمرکزند تا این که بر افرادی که داخل هستند، بدزدند، آسیب بزنند یا در هم گسیخته کنند.
طبق گزارش وورمتریک (یک شرکت پیشرو در امنیت کامپیوتر)، ۵۴ درصد مدیران سازمان های بزرگ و متوسط می گویند که شناسایی و جلوگیری از حمله های خودی ها امروزه سخت تر از سال ۲۰۱۱ است. به علاوه، هم میزان و هم نسبت چنین حمله هایی در حال رشد است: مطالعه کی.پی.ام.جی می گوید سهم و آنها از چهار درصد در سال ۲۰۰۷ به بیست و درصد در سال ۲۰۱۰ افزایش یافته است.
طبق گزارش وورمتریک (یک شرکت پیشرو در امنیت کامپیوتر)، ۵۴ درصد مدیران سازمان های بزرگ و متوسط می گویند که شناسایی و جلوگیری از حمله های خودی ها امروزه سخت تر از سال ۲۰۱۱ است. به علاوه، هم میزان و هم نسبت چنین حمله هایی در حال رشد است: مطالعه کی.پی.ام.جی می گوید سهم و آنها از چهار درصد در سال ۲۰۰۷ به بیست و درصد در سال ۲۰۱۰ افزایش یافته است.
زمانیکه بدافزاری را در شبکه مییابید، در نظر بگیرید که شاید یک خودی باشد، تحلیل این که بد افزار چگونه استفاده میشود ممکن است سرنخهایی برای تشخیص هویت و اهداف حمله کننده ارائه کند.
مطالعه ما نشان می دهد این درصد در حال مورد رشد است، ضمن این که حمله های بیرونی ممکن است همکاری خواسته یا ناخواسته از سوی داخل را به همراه داشته باشد. رویداد تارگت مصداقی برای این قضیه است.
دلایل افزایش حملهها:
چند عامل در تغییر عرصه فناوری این تهدید را توضیح می دهد. این عوامل لزوما موجب شگفتی نمی شوند و نکته هم همین جاست، درهایی که سازمان را برای حمله های خودی ها آسیب پذیر می گذارند، معمولی و در همه جا وجود دارند.
رشد چشمگیر در اندازه و پیچیدگی فناوری اطلاعات. آیا می دانید چه کسانی خدمات مبتنی بر رایانش ابری را مدیریت می کنند، اطلاعات شما در مجاورت اطلاعات چه کسانی است و چه قدر این خدمات مطمئن هستند؟ چه قدر آنهایی که برای شما کارهای برون سپاری شده را انجام میدهند (مانند مراکز تماس، حمل و نقل، نظافت، منابع انسانی و مدیریت روابط مشتری) مطمئن هستند؟
در سال ۲۰۰۵ حدود ۳۵۰هزار دلار از حساب چهار مشتری سیتی بانک در نیویورک توسط کارکنان مرکز تماس واقع در پونای هند سرقت شد. متهمین کارکنان یک شرکت خدمات رسانی و نرم افزاری بودند که سیتی بانک کار را به آن برون سپاری کرده بود. آنها اطلاعات شخصی، حساب و رمز مشتریان را جمع آوری کرده بودند.
سایت های خلاف یا Dark Web که دلالهای ی وجدان حجم زیادی از اطلاعات مهم را می فروشند، اکنون فراوانند. همه چیز از رمزهای مشتری ها و اطلاعات کارت اعتباری تا حقوق معنوی در این سایت های زیر زمینی به فروش می رسند. خودی های خلافکار سعی دارند این اطلاعات را به دست آورند تا در مقابل رقمی بسیار ناچیز بفروشند و به «جرایم اینترنتی به عنوان یک صنعت خدماتی» دامن بزنند.
کار کنانی که از وسایل شخصی را برای کار استفاده می کنند. به طور فزاینده، خودی ها اغلب از روی بی توجهی به خاطر استفاده از وسایل الکترونیک باعث می شوند کارفرما هایشان در معرض خطر قرار گیرند. تیم ما دریافت که گروه های امنیتی سازمانها نمی توانند پابه پای خطر احتمالی این دستگاهها بهترین راه پیش روند. طبق آخرین گزارش آلکاتل لوسنت، برای ورود ۱۱٫۶ میلیون دستگاه موبایل در سرتاسر جهان | به یک شرکت و آلوده هستند و کرم های موبایل تا بیست درصد ناآماده، انداختن در سال ۲۰۱۳ افزایش یافته اند.
تنها تلفن های هوشمند و تبلت ها نیستند که مورد سرزنش واقع می شوند: دستگاههای فلش آلوده آلوده می توانند یک کارت حافظه یا فلش با آرم شرکت هم باشند.
بهترین راه ورود به یک شرکت نا آماده، انداختن چند فلش آلوده با آرم شرکت در اطراف محل پارک خودروها است.
این سخن را مایکل گولداسمیت که عضو تیم ما و مدیر مرکز امنیت سایبری آکسفورد است، با اشاره به حمله ۲۰۱۲ به شرکت شیمیایی دی.اس.ام ب هلند می گوید. «بی تردید یکی از کارکنان یکی از آنها را آزمایش کرده است.» به طور گسترده گزارش شد که نمایندگان حاضر در نشست سران جی بیست در سن پترزبورگ روسیه در ۲۰۱۳ فلش ها و شارژرهایی دریافت کردند که پر از بدافزار برای سرقت اطلاعات بودند.
کرم کامپیوتری استاکس نت که تجهیزات پالایش اورانیوم ایران را در سال 2008 تا 2010 آلوده کرد، از طریق اتصال فلش به سیستمی که به اینترنت هم وصول نبود عمل کرده بود.
کار کنانی که از وسایل شخصی را برای کار استفاده می کنند. به طور فزاینده، خودی ها اغلب از روی بی توجهی به خاطر استفاده از وسایل الکترونیک باعث می شوند کارفرما هایشان در معرض خطر قرار گیرند. تیم ما دریافت که گروه های امنیتی سازمانها نمی توانند پابه پای خطر احتمالی این دستگاهها بهترین راه پیش روند. طبق آخرین گزارش آلکاتل لوسنت، برای ورود ۱۱٫۶ میلیون دستگاه موبایل در سرتاسر جهان | به یک شرکت و آلوده هستند و کرم های موبایل تا بیست درصد ناآماده، انداختن در سال ۲۰۱۳ افزایش یافته اند.
تنها تلفن های هوشمند و تبلت ها نیستند که مورد سرزنش واقع می شوند: دستگاههای فلش آلوده آلوده می توانند یک کارت حافظه یا فلش با آرم شرکت هم باشند.
بهترین راه ورود به یک شرکت نا آماده، انداختن چند فلش آلوده با آرم شرکت در اطراف محل پارک خودروها است.
این سخن را مایکل گولداسمیت که عضو تیم ما و مدیر مرکز امنیت سایبری آکسفورد است، با اشاره به حمله ۲۰۱۲ به شرکت شیمیایی دی.اس.ام ب هلند می گوید. «بی تردید یکی از کارکنان یکی از آنها را آزمایش کرده است.» به طور گسترده گزارش شد که نمایندگان حاضر در نشست سران جی بیست در سن پترزبورگ روسیه در ۲۰۱۳ فلش ها و شارژرهایی دریافت کردند که پر از بدافزار برای سرقت اطلاعات بودند. کرم کامپیوتری استاکس نت که تجهیزات پالایش اورانیوم ایران را در سال 2008 تا 2010 آلوده کرد، از طریق اتصال فلش به سیستمی که به اینترنت هم وصول نبود عمل کرده بود.
خلاصه ایدهها:
حمله های سایبری خودی ها (کارمندان، تامین کنندگان و دیگر شرکت ها باید شرکت هایی که مجاز به وصل شدن به سیستم های کامپیوتری شرکت هستند) بسیار زیان آور و رو افزایش هستند.
آنها بیست درصد از تمام حمله های سایبری را شامل می شوند، استفاده از روشهای حفاظتی معمول بر علیه آنها بی تاثیر است.
برای کاهش آسیب پذیری در برابر حمله خودیها، رویکردی مشابه با رویکردهای افزایش کیفیت و امنیت را در پیش گیرند، آن را بخشی از وظیفه همه قرار دهند.
کارمندان باید به صورت جدی مانیتور شوند و تهدیدهای احتمالی را به آنها بشناسانند تا موارد مشکوک را گزارش دهند. از تامین کنندگان و توزیع کنندگان باید خواسته شود ریسک را کم کنند و به صورت منظم بازرسی شوند.
رهبران باید از نزدیک با بخش های فناوری اطلاعات خود کار کنند تا مطمئن شوند منابع حیاتی مورد حفاظت هستند.
در حقیقت همه ما در برابر رشد انفجاری رسانه های اجتماعی آسیب پذیر هستیم.
رسانه های اجتماعی امکان هر نوع نشت اطلاعات از شرکت و پخش در سرتاسر جهان را می دهند، دون این که حتا شرکت بفهمد. آنها همچنین این موقعیت را پیش می آورند که از داخلی ها استفاده کنند و توسط آنها به دارایی های شرکت دست یابند. «کلاهبرداری عشقی» روش بسیار موثری است. در این روش، کارمندی توسط کلاهبردار خبره ای که به عنوان یک «عاشق دلباخته» در سایت های همسریابی عمل می کند، مورد فریب قرار می گیرد تا اطلاعات حساس را به اشتراک بگذارد. استراتژی های دیگر شامل استفاده از دانش به دست آمده از طریق شبکه های اجتماعی برای فشار بر کارکنان است: تهدید کننده سایبری ممکن است تهدید کند فایل های کامپیوتر را پاک می کند یا تصاویر غیر اخلاقی روی کامپیوتر اداری فرد ذیربط نصب می کند، مگر اینکه وی اطلاعات حساس مورد نظر را تحویل دهد.
برخی از موردهای دولتی و غیردولتی نشان داده اند که خودی هایی که آگاهانه در حمله های سایبری شرکت می کنند، بازه گسترده ای انگیزه ها دارند: نفع مالی، انتقام، میل به شهرت و قدرت، پاسخ به تهدید کننده، وفاداری به دیگران در سازمان و باورهای سیاسی مثالی که در زمان تحقیق مان شنیدیم و حمله سال ۲۰۱۴ توسط یک عاشق ردشده در یک شرکت به نسبت کوچک آموزش مجازی در حال رشد بود. یکی از مدیران ش کایت فردی (یک اداره کننده (ادمین) سیستم را به ریاست کرده بود که در محیط کار برایش گل و پیغام های متنی بی ربط می فرستد و مدام با خودرو در حوالی خانه اش پرسه می زند، زمانی که عاشق دلخسته کاملا ناامید شد، بانک ویدیوهای آموزشی شرکت را تخریب کرد و بازیابی نسخه های پشتیبان را غیر ممکن ساخت. شرکت او را اخراج کرد. وی که می دانست شرکت نمی تواند جرم او را اثبات کند، تهدید کرد اگر دهها هزار یورو ندهند، ضعف امنیت اطلاعات شرکت را علنی خواهد ساخت (افشای این اطلاعات می توانست به عرضه اولیه سهام شرکت در بورس لطمه بزند.) این رویداد پرهزینه (همانند شركت بفهمد. بیشتر جرائم خودی ها) بدون گزارش بسته شد.
رسانه های اجتماعی امکان هر نوع نشت اطلاعات از شرکت و پخش در سرتاسر جهان را می دهند، بدون اینکه حتی شرکت متوجه شود.
همکاری داخلی ها با جرائم سازمان یافته و گروه های فعال همواره در حال رشد بوده است. اکنون در خیلی از کشورها تیم های واکنش سریع رایانه سرت (CERTs) راه افتاده اند تا در مقابل چنین حملاتی حفاظت کنند. از 150 موردی که توسط مرکز تهدید خودی های سرت دانشگاه کانگی ملون در گزارش سازمانها دیگر نمی توانند همه خطرها را پیش بینی کنند، زیرا محیط فناوری خیلی پیچیده و در حال تغییر است.
سال ۲۰۱۲ تحلیل شده، یک نکته جلب توجه می کند: خودی های خلافکار و فعالیت مجرمانه سازمان یافته، شانزده درصد جرائم سازمان یافته را به خود اختصاص داده اند.
برخی یک مورد، دزدی س ال ۲۰۱۲ خلافکاران روسی بود که اطلاعات حساب های بانکی ۳٫۸ میلیون نفر (که رمز گذاری نشده بودند) به همراه چهار میلیون اظهارنامه مالیاتی از بخش درآمدهای ایالت کارولینای جنوبی است. تحقیقات جنایی نشان داد که این حمله به خاطر کلیک یک کارمند روی لینکی در یک ایمیل تسهیل شده و خلافکاران را قادر ساخته اطلاعات کارمند را بدزدند و به سرورهای اطلاعاتی ایالتی دست یابند.
مونیکا ویتی (یک روانشناس در دانشگاه لستر و عضو گروه ما) به همراه خیلی دیگر معتقد است که داخلی ها که از روی میل در حمله های س ایبری مشارکت دارند از یک یا چندین شرایط «تثلیث تاریک dark triad» رنج می برند.
اخلاق ماکیاولیستی، خودشیفتگی و جامعه ستیزی. مطالعه سال ۲۰۱۳ سی. پی. آن. آی هم این دیدگاه را تقویت می کند که حمله کنندگان داخلی ترکیبی از این ویژگی ها را دارند: عدم بلوغ، اعتماد به نفس پایین، رعایت نکردن اصول اخلاقی یا فقدان اخلاقیات، ساده انگاری، تمایل به توهم، بی قراری و تکانشگری impulsiveness، بی مبالاتی، زرنگ بازی و بی ثباتی.
راجر درونیو، اداره کننده (ادمین) سیستم های کامپیوتری شرکت مدیریت ثروت یو.بی.اس که متهم به استفاده از یک بدافزار «بمب منطقی logic bomb» برای آسیب رساندن به شبکه کامپیوتری این شرکت در ۲۰۰۶ است، برخی از این ویژگی ها را از خود نشان داد. دورونیو درباره امنیت شغلش نگران بود و زمانی که تنها ۳۲ هزار دلار از پنجاه هزار دلاری را که انتظار داشت دریافت کرد، به شدت عصبانی شد. بنابراین سهم شرکت را کم کرد و بمب را فرستاد. حدود ۲۰۰۰ سرور کامپیوتر را در دفاتر یو.بی.اس در سرتاسر آمریکا از کار انداخت، برخی از آنها تا هفته ها نتوانستند معامله ای انجام دهند.
شرکت ۳٫۱میلیون دلار مستقیم و میلیونها دلار متحمل ضرر شد و دورونیو به ۹۷ ماه زندان گردید.
چگونه درباره مشکل بیاندیشیم؟
مدیریت تهدیدهای امنیت سایبری داخلی ها، شبیه مدیریت کیفیت و حراست است. زمانی همه این مسئولیت ها با یک بخش خاص بود. اما سازمانها دیگر نمی توانند همه خطرها را پیش بینی کنند، زیرا محیط فناوری خیلی پیچیده و در حال تغییر است. بدین ترتیب، رهبران بنگاه های اقتصادی بزرگ و کوچک نیازمند کسی در سازمان هستند که درگیر این کار شود. پنج گامی که آنها باید به سرعت بردارند از این قرار است:
اتخاذ یک خط مشی قوی درباره خودی ها این خط مشی آن چه را که افراد باید انجام دهند یا ندهند را برای بازداشتن خودی ها از ریسک بی دقتی، غفلت یا اشتباه، تعریف این خط مشی باید برای همه (و نه فقط متخصصین امنیت و فناوری اطلاعات موجز و آسان باشد تا آن را درک کنند، دسترسی پیدا کنند و به آن وفادار بمانند.
این قواعد باید برای همه سطوح سازمان شامل مدیریت ارشد به کار رود. چارچوب فراهم شده توسط دولت ایالتی ایلینویز (۱) مدل خوبی است.
www . illinois . gov / ready / SiteCollectionDocuments / Cyber _ SOSSamplePolicy , pdf
به کارکنان باید ابزارهایی داده شود تا به آنها کمک کند به این خط مشی وفادار بمانند. برای مثال، سیستم ها می توانند به گونه ای طراحی شوند تا زمانی که یک نفر قصد ورود زیرسیستم یا اطلاعات مهم را دارد، پیغام هشداری را روی صفحه نمایش ببیند. سیستم ببیند آیا فرد اجازه دارد آنجا باشد وگرنه ردیابی شود.
عدم رعایت خط مشی باید همراه با جریمه باشد. به طور مشخص یک کارمند که تهاجم جدی را انجام داده باشد (مانند فروش اطلاعات شخصی مشتری یا وارد سازی عمدی بدافزار در سیستم های ش رکت باید اخراج و مورد تعقیب قرار گیرد. حمله اولی که خیلی مهم نباشد مانند اشتراک گذاری رمزها توانمندسازی همکاران برای دسترسی به سیستم های شرکت، ممکن است منتج به تذکری با درج در پرونده شود. هم چنین باید به کارکنان کمک کنید بفهمند چگونه به صورت امن وظایف روزمره را انجام دهند. خط مشی باید به صورت منظم با جلسات اطلاع رسانی و کمپین های ارتباط داخلی مورد تاکید قرار گیرد که می تواند شامل نصب پوسترها در محل کار باشد. برخی فیلم های ضبط شده شرکت ها نشان می دهند که چگونه تخطی از خط مشی ها می تواند موجب حمله های سایبری شود و این که چگونه عملکردهای ایمن تر می تواند از آنها ممانعت به کند.
مدیران در تاریکی:
ما از هشتاد مدیر ارشد درباره آگاهی شان از تهدیدهای امنیت سایبری پرسیدیم و به صورت موردی موارد حقیقی را مورد مطالعه عمیق قرار دادیم.
این خلاصه ای از یافته های ماست:
مدیران تمام کشورها و اكثر صنایع (بانکها و شرکت های انرژی استثنا هستند) اغلب از تهدید خودی ها غافل هستند، آنها امنیت را وظیفه فرد دیگری (اغلب بخش فناوری اطلاعات می دانند. تعداد کمی از مدیران اهمیت مشاهده رفتار عجیب کارمندان (مانند باز کردن افراطی صفحات وب یا کار کردن در ساعات غیر معمول) را هشدار برای جلوگیری از حمله می دانند. کم و بیش دوسوم حرفه ای های امنیت داخلی و خارجی، تشویق هیات مدیره ها به توجه به خطرات ناشی از غفلت از تهدیدهای داخلی را سخت می یابند. تعداد اندکی از گروه های فناوری در رابطه با این که چه اطلاعاتی مهم هستند، چه سطحی از خطر قابل پذیرش است یا چه قدر باید برای جلوگیری از خطرها سرمایه گذاری کرد، راهنمایی می شوند.
باید مطمئن شوید تامین کنندگان و توزیع کنندگان شما را در معرض خطر قرار نخواهند داد.
ارتقای آگاهی، در رابطه با تهدیدهای می تواند، احتمالی علنی بگویید تا افراد بتوانند آنها را تشخیص دهند و در مقابل هر کسی که تلاش می کند از آنها برای کمک به حمله استفاده کند، هشیار باشند. آموزش را طوری تنظیم کنید که شامل نوع حمله خاص هر واحد باشد. رمزخواهی (فیشینگ) راهی رایج برای نفوذ است: ایمیل های قلابی کارکنان را وسوسه شود که می کنند جزئیات فردی یا رمز دسترسی خود را به اشتراک بگذارند یا روی لینکی حاوی برای بدافزار کلیک کنند. (خیلی از افراد نمی دانند که نشانی «فرستنده» یک ایمیل به راحتی قابل جعل است.
می توان آسیب پذیری کارکنان را نسبت به این حمله ها آزمود: چه به وسیله خودتان یا اقدامات رایجی که با استفاده از سرویس امنیتی بیرونی حتی در این صورت هم دفاع از خودی های متخلف در برابر غريبه خلافکار، أما مصمم دشوار است. در آوریل ۲۰۱۳، یک شرکت چند ملیتی فرانسوی هدف حمله ای هوشمندانه شد. یک منشی معاون اداری ایمیلی دریافت کرد که به پیش فاکتوری در رایانش ابری یک سرویس اشتراک اینترنتی ارجاع داده بود. او این حس را داشت که فایل را باز نکند، اما کمی بعد تماسی داشت که مدعی بود دیگر معاون شرکت است و به او تکلیف کرد پیش فاکتور را دریافت (دانلود) و تکمیل کند. او هم این کار را انجام داد. پیش فاکتور شامل تروجان کنترل از راه دوری بود که شرکت مجرم را که به ظاهر در اکراین بود قادر می ساخت کنترل کامپیوترهای شرکت را در دست گیرد و دارایی معنوی شرکت را به سرقت ببرد.
کارکنان را تشویق کنید تا فناوری های عجیب یا ممنوعه (مانند هارد قابل حمل در دفتری که عموما کارکنان به اطلاعات و نرم افزارها از طریق شبکه دسترسی دارند) یا رفتار منع شده مانند درخواست یک کارمند یا نماینده غیر مجاز به دسترسی به فایل اطلاعات محرمانه) را گزارش کنند، همانطور که جا ماندن ساک خود در فرودگاه را گزارش میکنند.
از همان زمان استخدام مراقب خطر باشید. بیش از همه وقت ضروری است تا از فرایندهای پایش و تکنیکهای مصاحبه طراحی شده برای ارزیابی صداقت داوطلبان استخدام استفاده شود. مثال ها شامل بررسی عدم سوء پیشینه، بررسی صحت رزومه و سوال های مصاحبه که مستقیم قدرت قضاوت داوطلب را هدف می گیرند. تیم ما در حال تدوین آزمون هایی است که به کارفرمایان امکان می دهند مشخص س ازند آیا کارکنان آینده دارای ویژگی های شخصیتی خطرناک مانند مواردی که توسط سی.پی.ان.آی مشخص شده اند، هستند یا خیر.
اقدامات رایجی که کارایی ندارند:
رایج ترین محافظان امنیت سایبری کم تر در مقابل خودی ها به نسبت بیرونی ها موثرند.
کنترل دسترسیها:
قواعدی که مانع استفاده افراد از استفاده وسایل شرکت برای موارد شخصی می شود، آنها را از سرقت دارایی ها استفاده از بازنمی دارند.
مدیریت آسیب پذیری:
نرم افزارهای امنیتی و کنترل ویروس مانع از دسترسی یا شناخت کارمندان مجاز بدخواه یا اشخاص ثالث که از هویت سرقتی استفاده می کنند نمی شوند.
حفاظت پر قدرت از مرزها:
قرار دادن دارایی های حیاتی در محیط حفاظت شده، مانع از سرقت توسط آنهایی که مجاز به دسترسی نمی شود.
خط مشی رمز:
اجبار به رمزهای پیچیده یا تغییر منظم آنها بدان معناست که به ناچار باید روی کاغذی یادداشت کرد که برداشتن آن را برای کسی که دسترسی فیزیکی دارد آسان می کند.
برنامههای آگاهی دهنده:
تنها خواندن خط مشی امنیت شبکه آی.تی به طور معجزه آسایی آگاهی سایبری برای کارکنان ایجاد نمی کند و همچنین مانع از حرکت های زیانبار آنها نمی شود.
اثر بخشترین استراتژی برای از بین بردن تهدید سایبری توسط خودیها، استفاده از فناوریهای حفاظتی در دسترس و رفع نقاط ضعف است. اما باید بر وادار ساختن خودیها به رفتار به گونهای که شرکت را ایمن سازد، تمرکز کرد. افراد باید بدانند چه رفتارهایی قابل قبول یا غیر قابل قبول هستند. به یاد آنها بیندازید که حفاظت از شرکت، حفاظت از شغل خود آنها است.
در طی فرایند مصاحبه، هم چنین باید آگاهی داوطلبان از امنیت سایبری را بسنجید. آیا داوطلب می داند خطر تهدید داخلی چیست؟ چه زمانی ممکن است رمزی را با هم تیمی به اشتراک بگذارد؟ تحت چه شرایطی ممکن است به همکارش اجازه دهد از کامپیوترش استفاده کند؟ اگر از لحاظ های دیگر داوطلب مناسب است، ممکن است شما مستقیم او را استخدام کنید، اما مطمئن شوید فوری دوره های آموزش خط مشی و اقدامات شرکت را می گذرانند. اما اگر قرار است کسی برای شغلی در محیط خیلی حساس انتخاب شود، باید به دقت درباره استخدام وی تامل کنید.
چه می توانید انجام دهید؟
برخی از مهم ترین فعالیت ها که رهبران غیر فنی باید از بخش فناوری اطلاعات خود بخواهند:
- پایش تمام ترافیک خروجی شبکه های شرکت از طریق اینترنت یا رسانه های قابل حمل و گزارش فوری هر چیز عجیب یا تقابل با خط مشی اطلاع به روز شده از بهترین اقدام ها برای پشتیبانی از استراتژی و خط مشی های امنیت سایبری پیاده سازی جدی فرایندها و پروتکل های دفاع از ش بکه که اولویت های عملیاتی را مورد توجه قرار داده اند.
- به روز کردن مستمر حساب های کاربری برای حصول اطمینان از این که هیچ وقت کارکنان به سیستم های کامپیوتری حساس، دسترسی بیش از نیاز نداشته باشند.
- ارزیابی های منظم از تهدید و آگاه سازی رهبری شرکت از آنها.
- فرایندهای پیمانکار گزینی دقیقی را در پیش گیرید.
همان طور که مورد تارگت نشان می دهد، باید مطمئن شوید تامین کنندگان و توزیع کنندگان ش ما را در معرض خطر قرار نخواهند داد: برای مثال، از طریق کمینه کردن احتمال این که یکی در تامین کننده بیرونی فناوری اطلاعات دری از پشت به سیستم های شما باز کرده باشد. اگر خطر شکست یا تخطی ایک تامین کننده کمتر از شماست، ممکن نیست کنترلی که شما نیاز دارید را اتخاذ کند. همکاران و تامین کنندگانی را جست و جو کنید که میل به ریسک و فرهنگ آنها همانند شرکت شما باشد، زیرا روش مشابهی را به سوی امنیت سایبری موجب می شود.
در مذاکرات قبل از عقد قرارداد از تامین کنندگان بالقوه بخواهید درباره چگونگی مدیریت خودی ها توضیح دهند. اگر آنها رابه خدمت گرفتید، به طور منظم حسابرسی شان کنید تا مطمئن شوید شیوه اقدامشان تغییر نکرده است. روشن سازید که به طور منظم حسابرسی خواهید کرد و هر آنچه را که درگیرش خواهند بود را تصریح کنید.
یک شرکت ممکن است از تامین کنندگان کنترل هایی مشابه خود را بخواهد: بررسی سوابق کیفری کارکنان، بررسی صحت سوابق شغلی داوطلبان استخدام، بررسی دسترسی به اطلاعات و برنامه های خود برای فعالیت های غیر مجاز و ممانعت از ورود غیر مجاز به تاسیسات حساس.
اگر خطر شکست یا تخطی یک تامین کننده کمتر از شماست، ممکن نیست کنترلی که شما نیاز دارید را اتخاذ کند. همکاران و تامین کنندگانی را جست و جو کنید که میل به ریسک و فرهنگ آنها همانند شرکت شما باشد، زیرا روش مشابهی را به سوی امنیت سایبری موجب میشود
پایش کارکنان:
اجازه دهید کارکنان بدانند که تا حدی که قانون اجازه می دهد می توانید فعالیت های سایبری آنها را ببینید و این کار را خواهید کرد. نمی توانید امنیت سایبری را کاملا به متخصصان واگذار کنید، باید آگاهی روزانه خودتان را از آنچه از سیستم هایتان بیرون می رود و آنچه وارد آن می شود، ارتقا دهید.
این بدان معناست که از تیم های امنیتی یا تامین کنندگان خدمات بخواهید ارزیابی های منظمی از میزان ریسک انجام دهند. این ارزیابی ها باید شامل منابع تهدید، کارکنان و شبکه های آسیب پذیر و عواقب وقوع یک ریسک باشد. همچنین باید رفتارهای کاهنده ریسک مانند زمان های پاسخ به هشدارها را اندازه گیری کنید.
اغلب، روترها routers با دیواره های آتش firewall می توانند مجاری خروجی را نظارت کند، اما باید مطمئن شوید این کارکرد در آنها فعال است. اگر تجهیزات نظارت ترافیک خروجی را ندارید، تهیه کنید. همچنین باید روش های دیگر فیلتر زدایی (فلش درایوها و دیگر حافظه های قابل حمل، نسخه های چایی و نظایر آن) را ثبت و پایش کنید و از طریق ایستگاه های بازرسی حتی شبيه بازرسی های معمول در فرودگاه ها به طور مرتب افراد را هنگام ورود و خروج از ساختمان هایتان بازرسی بدنی کنید. (جنرال الکتریک و و نیرو از این روش ها در بنگلور هند استفاده می کنند.)
زمانی که بد افزاری را در شبکه می بایید، در نظر گیرید که شاید یک حمله خودی باشد، تحلیل این که بدافزار چگونه استفاده می شود ممکن است سرنخ هایی برای تشخیص هویت و اهداف حمله کننده به دست دهد. بایش این حد، حجم کاری همه را افزایش می دهد، اما با مقاوم ساختن و کاهش ریسک شرکت، توجیه اقتصادی پیدا می کند.
اثربخش ترین استراتژی برای از بین بردن تهدید سایبری توسط خودی ها، استفاده از فناوری های حفاظتی در دسترس و رفع نقاط ضعف است. اما باید بر وادار ساختن خودی ها به رفتار به گونه ای که شرکت را ایمن سازد. تمرکز کرد. افراد باید بدانند چه رفتارهایی قابل قبول یا غیر قابل قبول هستند. به یاد آنها بیندازید که حفاظت از شرکت، حفاظت از شغل خود آنهاست
زمانی که بد افزاری را در شبکه می بایید، در نظر گیرید که شاید یک حمله خودی باشد، تحلیل این که بدافزار چگونه استفاده می شود ممکن است سرنخ هایی برای تشخیص هویت و اهداف حمله کننده به دست دهد. بایش این حد، حجم کاری همه را افزایش می دهد، اما با مقاوم ساختن و کاهش ریسک شرکت، توجیه اقتصادی پیدا می کند.
اثربخش ترین استراتژی برای از بین بردن تهدید سایبری توسط خودی ها، استفاده از فناوری های حفاظتی در دسترس و رفع نقاط ضعف است. اما باید بر وادار ساختن خودی ها به رفتار به گونه ای که شرکت را ایمن سازد. تمرکز کرد. افراد باید بدانند چه رفتارهایی قابل قبول یا غیر قابل قبول هستند. به یاد آنها بیندازید که حفاظت از شرکت، حفاظت از شغل خود آنهاست.
آمار سازمان کالوپ هشدار دهنده است: در آمریکا نزدیک به سه چهارم کارکنان در کار مشارکت فعال ندارند. و این عدم مشارکت هر ساله هزینه ای بالغ بر ۳۰۰ میلیارد دلار بایت بهره وری از دست رفته، به اقتصاد این کشور تحمیل می کند.
استراتژی سازمان همانند نقشه ای است که برنامه های شرکت و نحوه تحقق اهداف و رویاهای سازمان را به تصویر می کشد. شرکت های موفق برای تدوین استراتژی مناسب منابع زیادی صرف می کنند. با این حال رهبران کسب وکار ادعا می کنند که تدوین استراتژی بخش ساده کار است. بخش چالش برانگیز اجرای استراتژی است. نتیجه سال ها مطالعه نشان داده است که اجرای استراتژی بیشترین تاثیر را در موفقیت سازمان دارد، ولی نرخ موفقیت در اجرای استراتژی حدود ۳۰ درصد است.
در مسیر اجرای استراتژی، سازمان ها با موانع و چالش های مختلفی روبه رو هستند که این موانع موجب ایجاد دو دره عمیق بین تدوین و اجرای استراتژی می شوند. دره عمیق اول زمانی شکل می گیرد که سازمان میخواهد بدون همراهی و مشارکت کارکنان استراتژی را اجرا کند. این دره مانع از درک استراتژی توسط کارکنان و نقش آفرینی موثر کارکنان در عملیاتی کردن و جان بخشیدن به استراتژی می شود. دره عمیق دوم از ناتوانی سازمان در طرح ریزی فرایندی برای اجرای استراتژی و پیوند زدن کارکنان با اجرای استراتژی ناشی می شود. مجموعه تلاش های بیست ساله در شرکت روت لرنینگ نشان می دهد که می توان بر روی این دو دره عمیق پل زد. این کتاب نحوه و فرایند پل زدن روی این دره های عمیق را با بهره گیری از رویکردی هنرمندانه و عینی تشریح می کند.