برآورد ریسک‌های سایبری

نویسندگان: توماس ج. پرنتی, جک ج. دومت

ابتدا تمرکز خود را بر تهدیدهای وارد بر فعالیت‌های کلیدی سازمان بگذارید، نه روی خودِ فناوری

طی دهه‌ی گذشته، هزینه‌ها و عواقب حملات سایبری به‌طرز هشداردهنده‌ای افزایش یافته‌اند. به‌عنوان نمونه، مجموع خسران‌های مالی و اقتصادی حمله‌ی واناکرای در سال 2017 را 8 میلیارد دلار برآورد می‌کنند. در سال 2018 بود که مجموعه هتل‌های زنجیره‌ای ماریوت، از حمله سایبری به سیستم رزرو استاروود (یکی از زیرمجموعه‌های این کمپانی) و در معرض خطر قرار گرفتن اطلاعات شخصی ومالی 500 میلیون نفر از مهمان این هتل خبر داد. ظاهراً هکرها حرفه‌ای‌تر شده‌اند. اما بر اساس تجربیات حاصل از مشاوره‌های خود به مشتریان جای‌جای دنیا، یکی از دلایل دیگر آسیب‌پذیری دوچندان کمپانی‌ها دربرابر تهدید هکرها را پیدا کردیم: آن‌ها اساسی‌‌ترین ریسک‌های سایبری سازمان را نمی‌شناسند، زیرابیش‌ازحد بر نقاط ضعف تکنولوژیکشان تمرکز می‌کنند.

وقتی تمرکز تلاش‌های امنیت سایبری منحصر بر مسائل فناوری باشد، اطلاعات کافی به دست رهبران کمپانی نمی‌رسد و امنیت سازمان نیز تأمین نخواهد شد. گفتمان‌های تهدید سایبری سازمان نیز پر از اصطلاحات تخصصی فناوری خواهند شد و مدیران ارشد قادر به مشارکت صحیح در آن‌ها نیستند. بنابراین مسئولیت برطرف کردن ریسک‌ها منحصراً به پرسنل فناوری اطلاعات و امنیت سایبری سپرده می‌شود و آن‌ها هم توجه خود را عمدتاً معطوف به سیستم‌های کامپیوتری شرکت می‌کنند. در نتیجه‌ی این فعل‌وانفعال، یک فهرست بلندبالا و نامتناسب از تلاش‌های تعدیل ریسک حاصل می‌گردند. ازآنجایی‌که هیچ‌‌ کمپانی‌ای منابع لازم برای رفع تمامی مشکلات امنیت سایبری را ندارد، احتمال عدم رسیدگی به تهدیدهای مهم وجود خواهد داشت.

بهتر است که سازمان در تلاش برای امنیت سایبری، تمرکز بیشتری را معطوف به تاثیر احتمالی تهدیدهای وارده بر فعالیت‌های کسب‌وکار خود کند. فرض کنید مدیر یک کمپانی صنایع شیمیایی هستید. به‌جای تلاش برای شناسایی حملات سایبری احتمالی بر سیستم‌های کامپیوتری سازمان، بپرسید که یک حمله‌ی سایبری چه اختلالاتی در زنجیره‌ی تأمین شما ایجاد خواهد کرد؟ آیا اسرار تجاری شما را افشا خواهد کرد؟ آیا موجب ناتوانی شما برای برآورده‌سازی تعهداتتان می‌شود؟ آیا تهدیدی برای نیروهای انسانی شما خواهد بود؟ شاید تطبیق با شرایط را یک امر ساده قلمداد کنید، اما تمرکز رهبرها بر فعالیت‌های حیاتی باعث می‌شود که اولویت‏‌بندی بهتری برای توسعه‌ی اقدامات دفاعی خود داشته باشند.


خلاصه ایده

چالش

باوجود میلیاردها دلار هزینه‌ی سازمان‌ها روی امنیت سایبری، کماکان شاهد افزایش آسیب‌های ناشی از به سرقت رفتن اطلاعات افراد هستیم – که می‌توان عمده دلیل آن را ناتوانی سازمان‌ها در تشخیص یا درک اساسی‌ترین ریسک‌های سایبری‌شان دانست.

رویکرد قدیمی

خیلی از شرکت‌ها، تمرکز خود را صرفاً بر آسیب‌های تکنولوژیک می‌گذارند. بنابراین به‌صورت پیش‌فرض مسئولیت امنیت سایبری را به متخصصان فناوری اطلاعات سازمان می‌سپارند. آ‌ن‌ها هم فهرستی نامتناسب از حملات احتمالی را گردآوری خواهند کرد. متعاقباً گفتمان‌های ریسک سازمان نیز آکنده از اصطلاحات تخصصی فناوری خواهند شد، به‌گونه‌ای که رهبران ارشد و هیئت‌مدیره‌ها قادر به مشارکت صحیح در این گفتگوها نیستند.

یک راهکار بهتر

شناسایی فعالیت‌های حیاتی کسب‌وکار، ریسک‌های وارد بر آ‌ن‌ها، سیستم‌های پشتیبان آن‌ها، نقاط ضعف آن سیستم‌ها و مهاجم‌های احتمالی به آن‌ها، مفیدتر خواهد بود. امکان مشارکت رهبران و کل پرسنل شرکت در این فرایند وجود دارد و مسئولیت همه‌جانبه‌ی امنیت سایبری به مدیران ارشد و هیئت‌مدیره‌ی سازمان سپرده می‌شود.


یکی از مدیرعامل‌هایی که با او کار کردیم، ریچارد لنکستر از سی‌ال‌پی بود که سومین تأمین‌کننده‌ی بزرگ برق در آسیا است. او تغییر ذهنیت سازمانش را بدین شکل توصیف کرد:

با این دیدگاه، مسئولیت امنیت سایبری از واحد فناوری اطلاعات به مدیران ارشد و هیئت‌مدیره‌ها منتقل می‌شود که باید یک نقش فعال داشته باشند و تمهیدی بیندیشند تا تیم‌های امنیت سایبری، تمرکز خود را معطوف به تهدیدهای واقعی کنند.

توسعه‌ی روایت برای تهدیدهای سایبری

شناسایی و رفع ریسک‌های سایبری، یک پروسه‌ی اجتماعی است. به‌منظور ارزیابی دقیق منشأ مهم‌ترین مشکلات، باید به دیدگاه‌ها و نگرش‌های گستره‌ای از کارکنان توجه کنید. با مشارکت گروه گسترده‌ای از افراد، درک مشترکی از حقایق و جزئیات کلیدی سازمان ایجاد خواهید کرد و در هنگام مدیریت ریسک‌های متعاقب، راحت‌تر از گذشته به اجماع می‌رسید.

به‌منظور کمک به کمپانی‌ها در زمینه‌ی ساماندهی و اشتراک‌گذاری اطلاعات مرتبط با گستره‌ای از مخاطبان، ابزاری را توسعه داده‌ایم که آن را «روایت تهدید سایبری» می‌نامیم. این روایت، چهار بخش از داستان یک حمله‌ی سایبری احتمالی را پوشش می‌دهد: فعالیت کلیدی کسب‌وکار و ریسک‌های مرتبط با آن؛ سیستم‌های پشتیبان آن فعالیت؛ انواع حملات احتمالی و عواقب بالقوه‌ی آن‌ها؛ و محتمل‌ترین دشمنانی که این حملات را ترتیب خواهند داد. تبیین جزئیات مرتبط با هر 4 بخش، به کمپانی‌ها کمک می‌کند تا ریسک‌هایشان را شناسایی و اولویت‌بندی کرده و اقدامات اصلاح‌کننده‌ی خود را آماده کنند.

مسئولیت توسعه‌ی روایت‌های سایبری بر عهده‌ی اعضای گروه امنیت سایبری سازمان است، هرچند باید از افراد و واحدهای زیر هم کمک بگیرند:

  • رهبری: مدیرعامل، تیم مدیریت و سایر مدیران ارشد. جلسه با رهبران اجرایی سازمان حیاتی است، اما لزوماً نباید زمان زیادی به این کار اختصاص داد؛ نگارش دقیق متن مصاحبه‌ها و گفتگوها، موجب افزایش بهره‌وری و ثبت راحت‌تر آن‌ها خواهد شد.
  • عملیات: پرسنل درگیر در فعالیت‌های روزمره‌ی کسب‌وکار.
  • سیستم‌های فناوری اطلاعات: افرادی که مسئولیت سیستم‌های کامپیوتری موردنیاز برای اجرای این فعالیت‌ها را بر عهده دارند.
  • متخصصان مرتبط: کارکنانی که تخصصشان هم‌راستا با نوع تهدید احتمالی و عواقب ناشی از آن است. به‌عنوان نمونه می‌توان به واحدهای حقوقی، روابط عمومی، منابع انسانی و کارکنان تأمین امنیت فیزیکی سازمان اشاره نمود. فرضاً اگر روایت شما درباره‌ی حمله‌ای است که موجب افشای داده‌های شخصی می‌شود، باید تیم حقوقی را هم در گفتگوهای خود دخیل کنید؛ زیرا احتمال تخطی‌های قانونی وجود خواهد داشت.

بیایید هم‌اکنون المان‌های گوناگون روایت تهدید سایبری، نحوه‌ی توسعه‌‌ و افراد درگیر در فرایند آن را بررسی کنیم.

فعالیت‌های کلیدی کسب‌وکار و ریسک‌ها

به‌منظور شناسایی این فعالیت‌ها، باید گفتمان‌هایی میان تیم امنیت سایبری و رهبران کمپانی شکل گیرد؛ همچنین این گروه باید بیانیه‌های مکتوب سازمان در زمینه‌ی قدرت تحمل ریسک نظیر آیتم‌های موجود در گزارش سالانه‌ی آن را بررسی کند؛ و مأموریت‌های کمپانی نظیر اهداف درآمدی یا رشد در بازارهای جدید را در نظر بگیرد. فرضاً امکان دارد یکی از اهداف درآمدی کمپانی وابسته به توسعه‌ی یک محصول جدید یا گسترش سرویس‌‌های کنونی سازمان باشد. شاید نیاز باشد که برای افزایش پایگاه مشتریان، وارد یک کشور جدید شوند. ممکن است فعالیت‌های حیاتی در خارج از سازمان رخ دهند، مرتبط با عملیات داخلی آن باشند یا شامل آینده‌ی استراتژیک کمپانی شوند. فرضاً می‌توان فعالیت حیاتی یک کمپانی صنایع شیمیایی را تولید رزین‌های پلی‌استر دانست که یکی از محصولات اختصاصی و پرتقاضای آن‌ها است.

میزان اهمیت هر فعالیت، وابسته به شرایط هر صنعت و کمپانی است. در صنایعی نظیر نرم‌افزار مصرفی یا خرده‌فروشی همواره‌تخفیف، می‌توان پشتیبانی از مشتریان را در زمره‌ی فعالیت‌های کم‌خطر جای داد. درحالی‌که دسته‌ی دیگری از صنایع نظیر صنعت بازی، اهمیت ویژه‌ای برای رابطه با مشتریان قائل می‌شوند. مثلاً کازینوهای ماکائو به عده‌ی محدودی از مشتریان وی‌آی‌پی متکی هستند، به‌گونه‌ای که 54 درصد از درآمد خالص بازی‌های آن‌ها از همین افراد حاصل می‌شود. همچنین ریسک‌های وارد بر مدیریت رابطه با مشتریان، تهدیدی برای سود و زیان نهایی کازینوها خواهد بود.


امنیت سایبری در حوزه‌ی مسئولیت‌های هیئت‌مدیره است

ازآنجایی‌که هیئت‌مدیره‌ها حافظ منافع مالکان کمپانی و مسئول تضمین عملکرد بلندمدت کمپانی هستند، به باور ما اختیارات و مسئولیت‌های کامل برای نظارت بر فرایند شناسایی ریسک‌های سایبری سازمان نیز بر عهده‌ی خودشان است. مداخله‌ی هیئت‌مدیره‌ها، تفاوت‌های اساسی را رقم خواهد زد: مدیران می‌توانند با طرح پرسش درباره‌ی چهار المان تهدید سایبری، کمپانی‌‌ها را ترغیب کنند تا توجه بیشتری به ریسک‌های اساسی سازمان داشته باشند.

فرضاً اگر عضو هیئت‌مدیره هستید، محض اطمینان بپرسید که آیا کمپانی توانسته حیاتی‌ترین فعالیت‌های کسب‌وکار، عواید حاصل از این فعالیت‌ها و اساسی‌ترین ریسک‌های آن‌ها را شناسایی و ثبت کند. همچنین باید مطمئن شوید که مدیرانتان هم در این فرایند شرکت کنند.

به همین ترتیب باید مطمئن شوید که کمپانی، فهرست سیستم‌های کامپیوتری موردنیاز برای فعالیت‌های کسب‌وکارش را به‌روز کرده است. هرچند نیازی نیست شخصاً جزئیات این فهرست‌ها را مرور کنید، اما می‌توانید با درایت خود نوعی اعتبارسنجی غیرمستقیم بر این فهرست انجام دهید یا از مدیران ارشدتان بخواهید که ارزیابی‌های خودشان را انجام دهند. همچنین باید مطمئن شوید که ابزارها و فرایندهای لازم برای به‌روز نگه‌داشتن فهرست‌هایتان را در اختیار دارید و شخصاً چند نمونه را ارزیابی کنید تا نحوه‌ی به‌کارگیری فرایندها را مشاهده نمایید.

و در انتها: مدیران باید رهبران کمپانی را تحت فشار بگذارند تا انواع حملات احتمالی بر فعالیت‌های حیاتی کسب‌وکار، تاثیر احتمالی آن‌ها بر کمپانی و ذی‌نفعان، و دشمنان سایبری احتمالی و توانایی‌‌ها و انگیزه‌هایشان را در نظر بگیرند. کمپانی باید دیدگاه کنونی خود درباره‌ی ریسک‌های سایبری وارد بر هر فعالیت کلیدی کسب‌وکار را به اطلاع هیئت‌مدیره برساند.


تعداد فعالیت‌های کلیدی هر کمپانی و متعاقباً تعداد روایت‌های تهدید سایبری لازم برای آن‌ها، به شرایط هر کمپانی بستگی دارد.

به‌منظور برآورد ریسک‌های سازمان، نارسایی‌های احتمالی هر فعالیت کلیدی و آسیب‏‌های آن بر کمپانی را در نظر بگیرید. مجدداً همان کمپانی صنایع شیمیایی را در نظر بگیرید که هرگونه اختلال در عملیات کارخانه‌ی آن می‌تواند مانع تولید رزین و در نتیجه کاهش درآمد آن‌ها شود. همچنین خطر صدمات جانبی این مشکل برای مشتریان و سایر ذی‌نفعان را در نظر بگیرید – به‌عنوان نمونه می‌توان به انتشار مواد شیمیایی سمی در محیط زیست یا افشای اطلاعات محرمانه‌ی مشتریان نظیر رمز عبور و داده‌های کارت اعتباری آن‌ها اشاره کرد.

به خاطر داشته باشید که هر کمپانی، عوامل خطرساز مختص خودش را دارد. هرچند اختلال در تولید رزین می‌تواند یک کمپانی صنایع شیمیایی را متضرر کند، اما شاید خللی در عملکرد یک تولیدکننده‌ی دیگر وارد نکند. زیرا رزین‌های آن تولیدکننده چندان پرتقاضا نیستند، تنها بخش کوچکی از عوایدش را به خود اختصاص می‌دهند یا می‌تواند تولیدشان را به سایر کارخانه‌‏ها بسپارد.

سیستم‌‏های پشتیبان

وقتی کمپانی شما اهداف حفاظتی خود را نشناسد، نمی‌تواند یک دفاع سایبری مستحکم ارائه دهد. بنابراین باید سیستم‌های کامپیوتری خود و خدمات و کاربرد آن‌ها برای هر یک از فعالیت‌های مورد بحث را فهرست کنید. این فرایند باید توسط کارکنان اجرایی و درگیر در هر فعالیت آغاز شود، زیرا آن‌ها نرم‌افزار مورد استفاده و عواقب احتمالی ناشی از سوءعملکرد آن را می‌دانند. ضمناً مشارکت مسئولان نگه‌داری سیستم‌های کامپیوتری نیز الزامی است، زیرا آن‌ها شناخت بهتری از فناوری پشتوانه‌ی این نرم‌افزار دارند. در بحث کامپیوترهای عمومی، عموماً اعضای واحد فناوری اطلاعات هستند که مسئولیت نگه‌داری‌شان را بر عهده دارند؛ اما نگه‌داری سیستم‌های کنترل صنعتی، بر عهده‌ی مهندسان است. همچنین باید موقعیت فیزیکی سیستم‏‌ها نیز ذکر شود تا مسئولان پاسخگویی به یک رخداد سایبری، مقاصد خود در هنگام وقوع یک حمله را بدانند.

هرچند ابزارهایی برای اتوماسیون فرایند تهیه‌ی فهرست کامپیوترها و نرم‌افزارها وجود دارند که کمک‌حال واحدهای فناوری اطلاعات سازمان‌ها هستند، اما نمی‌توانند مهم‌ترین دارایی‌ها را تعیین کنند. کمپانی می‌تواند با تهیه‌ی فهرست اختصاصی برای هر فعالیت کسب‌وکار، فرایند ترمیم آسیب‌های کامپیوتری سازمان را اولویت‌بندی کند و کیفیت محافظت‌‌های خود را ارتقا دهد.

انواع حملات سایبری و عواقب آن‌ها

سپس باید انواع حملات مختل‌کننده‏‌ی فعالیت‌های کلیدی سازمان، عوامل موفقیت آن یورش‌ها و عواقب بالقوه‌ی هر یک از آن‌ها را شرح دهند.

اساساً حملات سایبری از نقاط ضعف سیستم‌های کامپیوتری بهره می‌گیرند. مثلاً حملات بدافزار با بهره‌گیری از یک نرم‌افزار مخرب، اشتباهات برنامه‌نویسی اپلیکیشن‌ها را هدف می‌گیرند (در رخداد واناکرای، هکرها از همین تکنیک بهره گرفتند). پرسنل امنیت سایبری می‌توانند انواع تکنیک‌های احتمالی برای هدف‌گیری نقاط ضعف مهم‌ترین سیستم‌های کامپیوتری سازمان را شناسایی کنند و باید این کار را انجام دهند.

لزومی ندارد که تمامی حملات صورت‌گرفته به سازمان‌ها بسیار پیچیده یا فنی باشند. یکی از نقاط ضعف مشترک در میان تمامی سیستم‌های کامپیوتری، کنترل قریب‌‌به‌اتفاق اطلاعات و اپلیکیشن‌ها توسط یک مدیر است. هرچند این قدرت از لازمه‌های عملکرد و نگه‌داری صحیح یک سیستم است، اما احتمال سوءاستفاده‌ی آن مدیر وجود دارد.

شیوه‌های بسیاری برای یک حمله‌ی سایبری وجود دارند و تهیه‌ی فهرست از تمامی آن‌ها، ممکن نیست و فایده‌ای هم نخواهد داشت. کافی است اساسی‌ترین انواع حملات نظیر هک از سوی عوامل بیرون از سازمان و نصب بدافزار روی سیستم‌ها یا سوءاستفاده‌ی یک کارمند از دسترسی‌های کامپیوتری‌اش را در نظر بگیرید.

لزوما تمامی حملات به سازمان، پیچیده نیستند. یکی از نقاط ضعف مشترک در میان تمامی سیستم‌‏های کامپیوتری، کنترل کامل یک مدیر بر اطلاعات آن‌ها است.

ملزومات حمله: شناسایی نیازهای دشمن برای آغاز یک حمله‌ی سایبری، از لازمه‌های توسعه‌ی تاکتیک‌های دفاعی سازمان است. هرچند تعیین ملزومات ویژه‌ی هر حمله از وظایف گروه امنیت سایبری و پرسنل اجرایی هر یک از فعالیت‌های کلیدی سازمان است، اما اکثر آن‌ها در یکی از سه دسته‌ی زیر جای می‌گیرند:

  1. دانش: اطلاعات موردنیاز دشمن – مثلاً نحوه‌ی برنامه‌نویسی یک بدافزار یا نحوه‌ی عملکرد سدهای هیدروالکتریک.
  2. ابزارها و تجهیزات: دستگاه‌های موردنیاز دشمن – نه صرفاً ابزارهای کمکی برای هک نظیر رمزشکن و تحلیلگرهای شبکه، بلکه سخت‌افزارهایی نظیر لپ‌تاپ و فرستنده‌ی رادیویی.
  3. موقعیت: محل حضور دشمن – مثلاً آیا لزومی دارد که شخصاً در کنار ساختمان حضور بیاید یا باید که دستیارانش را به آنجا بفرستد یا در نقش پیمانکار وارد سازمان شود؟

یکی از بانک‌های جنوب شرق آسیا که با آن همکاری کردیم، پیش‌تر با یک حمله‌ی سایبری مواجه شده بود که تخلف‌های گسترده‌ای در زمینه‌ی کارت‌های اعتباری را به دنبال داشت. بررسی‌های متعاقب نشان دادند که هکرها، اطلاعات کافی درباره‌ی فرمت کدهای تایید ویزا و مسترکارت و نحوه‌ی پیکربندی یک پایانه‌ی کارت اعتباری را داشتند. ابزارهای موردنیاز آن‌ها شامل چندین پایانه و یک پایگاه داده‏ از شمار‌ه‌حساب‌های کارت‌های اعتباری می‌شد. همچنین باید شخصاً در آن منطقه حضور می‌یافتند تا هماهنگی‌های لازم با فروشندگان همدست خود را داشته باشند، هرچند لزومی به کار در بانک یا ورود فیزیکی به ساختمان بانک نبود.

عواقب حمله: رهبران اجرایی و مدیران ارشد، در جایگاهی هستند که می‌توانند پیامدهای اختلالات احتمالی بر فعالیت‌های کلیدی کسب‌وکارشان را تشخیص دهند و باید هدایتگر گروه امنیت سایبری سازمان در این زمینه باشند. پرسنل عملیات و سیستم‌ها هم می‌توانند عواقب فرعی را تشخیص دهند؛ ضمناً متخصصان سایر بخش‌ها نظیر واحدهای حقوقی، امور مالی و تطبیق هم می‌توانند آسیب‌های جانبی بالقوه را شناسایی نمایند. یک مجموعه‌ی ساده از پرسش‌های «چه می‌شود اگر…؟»، بهره‌وری مکالمه با این نقش‌آفرین‌ها را افزایش خواهد داد. مثلاً در صورت حمله‌ی یک باج‌افزار و عدم دسترسی به پرونده‌های بیماران، چه بر سر روند مراقبت‌های درمانی یک بیمارستان می‌آید؟ اتفاقی که پس از حمله‌ی واناکرای برای «سرویس بهداشت ملی» انگلستان رخ داد و نتیجه‌ای جز لغو هزاران وقت ملاقات و عمل جراحی نداشت.

برخی از عواقب حملات نیز فراتر از ضررهای مالی مستقیم هستند. حمله‌ی سایبری نات‌پتیا در سال 2017، عملیات‌های تعداد قابل توجهی از کمپانی‌های بزرگ دنیا را مختل کرد، به‌گونه‌ای که مجموع خسارت‌های ای‌پی مالر-مرسک را حدود 300 میلیون دلار و ضررهای فدکس را 400 میلیون دلار برآورد می‌کنند. مجموع هزینه‌های مستقیم و درآمد ازدست‌رفته‌ی مرک (یکی از غول‌های داروسازی دنیا) بر اثر نات‌پتیا را حدود 870 میلیون دلار برآورد می‌کنند. همچنین تعطیلی حاصل از این بحران، موجب کاهش موجودی واکسن مرک شد که مانع ایجاد برخی از انواع خاص سرطان می‌شود.

دشمنان سایبری

چه کسی در کمین شما است؟ شناسایی مجرمان احتمالی و انگیزه‌ها و توانمندی‌های آن‌ها به شما کمک خواهد کرد تا احتمال وقوع یک حمله را ارزیابی کنید و ابزارهای کنترلی لازم برای جلوگیری از آن را توسعه دهید. ازجمله دشمنان شما می‌توان به کشورها، سازمان‌های جنایتکار، رقبا، کارکنان ناراضی، تروریست‌ها یا گروه‌های ذی‌نفوذ اشاره کرد. کارکشتگی آن‌ها را دست‌کم نگیرید: هم‌اکنون ابزارهای هک پیشرفته در اختیار عموم افراد قرار دارند.
رهبران کمپانی و کارکنان اجرایی در فعالیت‌های حیاتی کسب‌وکار، بیشترین صلاحیت ممکن را برای شناسایی دشمنان احتمالی دارند، زیرا انگیزه‌های مهاجمان و عواید احتمالی آن‌‌ها را می‌شناسند. یک نقطه‌ی شروع خوب می‌تواند بررسی داشته‌‏های کمپانی و ارزش احتمالی آن‌ها برای اعضای خارج از سازمان باشد. فرضاً یک رقیب می‌تواند به دنبال آگاهی از اسرار تجاری و یافته‌های تحقیق و توسعه‌ی شما باشد، درحالی‌که یک سازمان جنایتکار بیشتر به دنبال سرقت پرونده‌های مالی مشتریان و فروش آن‌ها در بازار سیاه است.

ضمناً کمپانی‌ها باید چارچوب عملکرد دشمنان احتمالی خود را در نظر بگیرند. مدیران کازینو در ماکائو، شبکه‌های ارتباطی برای انتقال داده‌های مشتریان ویژه‌ی سازمان به مرکز عملیات را رمزنگاری نمی‌کردند، زیرا این اقدام را لازم نمی‌دانستند. اما وقتی از مدیران کازینو خواستیم که ذی‌نفعان حملات احتمالی را شناسایی کنند، متوجه شدند که شبکه‌ی ارتباطات از راه دور تحت مالکیت یک هولدینگ بزرگ قرار دارد که بزرگ‌ترین رقیب کازینو هم ازجمله زیرمجموعه‌های آن است.

حتی مشتریان هم می‌توانند دشمن سایبری شما باشند. مدیران ای‌ام‌اس‌سی، یک توسعه‌دهنده‌ی نرم‌افزار کنترل توربین‌های باد، متحیر شدند که چرا سینوول، یکی از بزرگ‌ترین مشتریان سازمان، ناگهان تمام پرداختی‌های خود برای قراردادهای کنونی و آتی با ارزش حدوداً 800 میلیون دلار را لغو کرده است. اما بررسی‌ها نشان دادند که سینوول، نرم‌افزار ای‌اس‌ام‌سی را دزدیده و آن را در بیش از هزار توربین جدید خود به کار گرفته است. در نتیجه‌ی این سرقت فکری، میزان ضررهای مالی ای‌ام‌اس‌سی در سال مالی 2010 به بیش از 186 میلیون دلار رسید. گزارش‌ها می‌گویند که مجموع خسران‌های کمپانی از این سرقت، 550 میلیون دلار بود – تنها بخشی از آن بازیابی شد. همین امر موجب کاهش 1 میلیارد دلاری ارزش سهامداران ای‌ام‌اس‌سی شد و سازمان را مجبور کرد تا 700 نفر از نیروهایش – بیش از نیمی از پرسنل بین‌المللی – را تعدیل کند. در پی این سرقت، هنوز هم عملیات کمپانی به سوددهی نرسیده است.

گاهی اوقات صنعت کمپانی یا رویکرد آن برای کسب‌وکار، بستر حمله را ایجاد خواهد کرد. فرضاً امکان حمله‌ی گروه‌های زیست‌محیطی به کمپانی‌های بدسابقه در زمینه‌ی آلایندگی وجود دارد. ادوارد اسنودن، یکی از پیمانکارهای پیشین NSA، اطلاعات آژانس را دزدید تا برنامه‌های جاسوسی آن‌ها را افشا کند، آن‌هم درحالی‌که سازمان علناً این اتهام را تکذیب می‌کرد. اقداماتی نظیر تعدیل نیرو یا تعطیلی کارخانه هم کارکنان را ترغیب می‌کند تا با سوءاستفاده از مجوزهای کامپیوتری خود، جبران مافات کنند. و همواره افراد کاملاً بی‌ربط هم هستند که بنا به دلایل شخصی یا به‌منظور افزایش شهرت و اعتبار، حملاتی را ترتیب می‌دهند.

حتی شاید کمپانی شما هدف مستقیم یک حمله نباشد، اما کماکان آسیب ببیند. به‌عنوان نمونه، زیرساخت‌ها بیش‌ازپیش تحت حملات سایبری قرار می‌گیرند. حملات صورت‌گرفته به زیرساخت‌های نیروگاهی ایوانو-فرانکیفسک در سال 2015 را در نظر بگیرید. اگر گمانه‌های مطرح‌شده درست بوده و روس‌ها پشت این حملات باشند، احتمالاً انگیزه‌ی اصلی آن‏‌ها هیچ ربطی به خودِ کمپانی‌های تأمین برق – یا مشتریان متضرر از این مداخلات – نداشته است. بلکه علت حمله به این کمپانی‌ها، صِرف حضورشان در کشور اوکراین بوده که روابط خصمانه‌ای با کشور روسیه دارد. در حین ارزیابی حملات احتمالی به سیستم‌های کمپانی، باید دیدگاهی فراتر از چارچوب کمپانی داشته باشید و دنیای تجاری یا سیاسی پیرامون آن را هم در نظر بگیرید.

بحرانی که می‌توان از آن جلوگیری کرد

بیایید هم‌اکنون بررسی عمیق‌تری بر یک حمله‌ی سایبری داشته باشیم و نقش چهار المان روایت تهدید سایبری در کسب اطلاعات مرتبط و احتمال جلوگیری از آن حمله را در نظر بگیریم.

منطقه‌ی ماروچی، یک مقصد گردشگری است که در فاصله‌ی حدوداً 100 کیلومتری از شمال بریزبنِ استرالیا قرار دارد. این منطقه با سواحل سفید، جنگل‌های بارانی نیمه‌گرمسیری و نهرها و آبشارهای خود، یکی از زیبایی‌های طبیعی خارق‌العاده‌ است که اهمیت اکولوژیک فراوانی دارد.


روایت تهدید سایبری ماروچی

حمله‌ی سایبری به سیستم آب و فاضلاب منطقه‌ی ماروچی استرالیا در سال 2000، هرج‌ومرج‌هایی را ایجاد کرد. اگر مسئولان این سازمان، روایت خود از حمله‌ی احتمالی و چهار المان آن را ترسیم می‌کردند، شرایط بهتری برای جلوگیری از آن داشتند.

الماننمونه
فعالیت کلیدی کسب‌وکار و ریسک‌هاتصفیه‌ی پساب
نقصان در ایستگاه پمپاژ
سیستم‌های پشتیبانسیستم مرکزی مدیریت عملیات
تجهیزات کنترل ایستگاه‌های پمپاژ
انواع حملات سایبری و عواقب آن‌هاسوءاستفاده از شبکه‌ی ناامن ارتباطات و عدم احراز هویت کاربران در تجهیزات کنترل ایستگاه‌های پمپاژ
انتشار فاضلاب تصفیه نشده به میزان انبوه
دشمن سایبریکارکنان ناراضی داخل سازمان

.


در ابتدای هزاره‌ی جدید، سیستم آب و فاضلاب منطقه تحت نظارت سازمان «خدمات آبی ماروچی» بود که روزانه 35 میلیون لیتر پساب را جمع‌آوری، تصفیه و تخلیه می‌کرد. در اواخر ژانویه‌ی سال 2000، سیستم مدیریت ایستگاه‌های پمپاژ پساب به مشکل خورد، کنترل پمپ‌ها را از دست داد و هشدارهای نادرستی صادر ‌کرد. شرکت‌ تأمین‌کننده متوجه شد که به کامپیوترهای سیستم حمله شده است، فاضلاب تصفیه نشده به سمت ایستگاه‌ها برگشته و در سرتاسر منطقه ازجمله زمین گلف مسابقات PGA جاری شده است، مکانی که پیش‌تر یک اقامتگاه 5 ستاره‌ی هایت محسوب می‌شد. نهرهای پارک‌‌های محلی، بوی تعفن گرفتند و سیاه شدند، و آبزیان هم جان خود را از دست می‌دادند. این حملات سه ماه ادامه یافتند تا اینکه خاطیان پس از یک تعقیب‌وگریز در نزدیکی یکی از ایستگاه‌های پمپاژ دستگیر شدند.

نگاهی به گذشته، نشان می‌دهد که چه اشتباهاتی رخ داده‌اند. اما بیایید یک روایت احتمالی برای تهدید سایبری وارد بر این تشکیلات را بازسازی کنیم (کادر «روایت تهدید سایبری ماروچی» را ببینید).

تصفیه‌ی پساب، یکی از فعالیت‌های کلیدی سازمان بود. سیستم‌های ماروچی دارای 142 ایستگاه پمپاژ فاضلاب به تصفیه‌خانه بودند. به‌واسطه‌ی تغییر ارتفاع منطقه، احتمال آن زیاد بود که در صورت نقصان در عملکرد پمپ‌ها، پساب‌ها به سمت پارک‌های بکر و مناطق توریستی منطقه برگردند.

سیستم‌های کامپیوتری ناظر بر عملکرد پمپ‌ها، یک سیستم مرکزی برای مدیریت عملیات داشتند و تجهیزات کنترلی نیز در ایستگاه‌های پمپاژ نصب شده بودند. اپراتورهای سیستم مرکزی می‌توانستند هر کدام از ایستگاه‌های پمپاژ را خاموش یا روشن کنند و میزان پمپاژشان را تغییر دهند. همچنین امکان مدیریت محلی ایستگاه‌های پمپاژ وجود داشت که این کار با بهره‌گیری از تجهیزات ویژه‌ برای کنترل سیستم مرکزی صورت می‌گرفت.

امنیت سایبری این سیستم‌های پشتیبان، دو نقطه‌ضعف داشت.

یک مهاجم احتمالی می‌توانست با شناخت نحوه‌ی عملکرد تجهیزات که از طریق تجربه یا با مطالعه‌ی دفترچه‌ راهنمای آن‌ها به دست می‌آمد و با آگاهی از فرکانس رادیویی مورد استفاده برای ارتباط با دستگاه‌ها که در اسناد شرکت وجود داشت، یک حمله‌ی موفقیت‌آمیز را ترتیب دهد. مهاجم به چند کامپیوتر (ازجمله یک کامپیوتر مشابه با سیستم‌های مورد استفاده در ایستگاه‌های پمپاژ)، کابل‌های شبکه و تجهیزات رادیویی دوطرفه نیاز داشت. و به‌منظور برقراری ارتباط با سیستم‌های کنترل هر ایستگاه پمپاژ، باید در محدوده‌ی رادیویی آن قرار می‌گرفت، هرچند نیازی به حضور فیزیکی او در ایستگاه‌ها نبود.

دشمن سایبری در این واقعه، یکی از کارمندهای سابق شرکت تأمین‌کننده محسوب می‌شد که تجهیزات کنترل ایستگاه‌های پمپاژ را تأمین کرده بود. پس از دوران حضور بحث‌برانگیز در شرکت، دو بار درخواست حضور در سازمان «خدمات آبی ماروچی» را ارائه داد، اما او را استخدام نکردند. بنابراین از آن‌ها ناراضی بود و می‌خواست انتقام خود را از هر دو کمپانی یگیرد. او یکی از کامپیوترهای ایستگاه پمپاژ را دزدید و با توجه به آشنایی با نحوه‌ی عملکرد سیستم‌های کنترل، از آن کامپیوتر و تجهیزات رادیویی بهره گرفت و به تک‌تک ایستگاه‌های پمپاژ متصل شد. سپس کنترل سیستم مرکزی مدیریت عملیات را در دست گرفت و خرابکاری‌های مدنظر خود را ایجاد کرد.

درحالی‌که در صورت همکاری مدیران خدمات ماروچی با پرسنل سازمان و توسعه‌ی روایت تهدیدهای وارد بر عملیات تصفیه‌ی پساب، می‌توانستند ریسک‌‌های اساسی وارد بر سیستم را شناسایی کنند. هرچند احتمالاً نقش حیاتی تصفیه‌ی پساب برای سازمانشان را می‌دانستند، اما می‌توانستند با تحلیل و بررسی در حین فرایند توسعه‌ی روایت، نقش حملات سایبری در تضعیف سیستم‌های کامپیوتری و نقصان در عملکرد پمپ‌ها و سایر تجهیزات تصفیه را تشخیص دهند. همچنین می‌توانستند لازمه‌های موفقیت حملات سایبری و مهاجمان احتمالی را شناسایی کنند.

آن‌ها، شالوده‌ی لازم برای کاهش آن ریسک‌ها را داشته‌اند. پرسنل واحد امنیت فناوری اطلاعات در «خدمات آبی ماروچی»، نیز می‌توانستند دو ‌ضعف سیستم برای جلوگیری از بحران پساب را شناسایی کنند و به زبان ساده و بدون هرگونه اصطلاح تخصصی، این موضوع را به گوش مدیران و هیئت‌مدیره‌ی سازمان برسانند: «به‌منظور جلوگیری از حمله‌ی سایبری به ایستگاه‌های پمپاژ، باید تمهیدی بیندیشیم تا افراد تنها پس از ورود رمز عبور، وارد کامپیوترهای ایستگاه‌هایمان شوند و قابلیت اتصال به شبکه‌هایمان را محدود کنیم».

شناسایی ریسک‌های سایبری، یک پروسه‌ی مستمر است

اما شناسایی مهم‌ترین نقاط ضعف سایبری سازمان، صرفاً اولین گام شما خواهد بود. اطلاع از این ریسک‌ها، اجازه‌ی اولویت‌بندی حملات احتمالی، شناسایی اقدامات لازم برای جلوگیری از آن‌ها، و تدوین و اجرای برنامه‌های اصلاح‌کننده (در صورت نیاز) را خواهد داد. حفاظت دیجیتال مناسب، نیازمند جانمایی ریسک‌های کسب‌وکار – و رهبران آن – در محور این گفتگوها است.


توماس ج. پرنتی، کارشناس امنیت سایبری بین‌المللی است که سابقه‌ی کار در آژانس امنیت ملی و مشاوره به سایر سازمان‌های دنیا را دارد.

جک ج. دومت، کارشناس مدیریت است که به شرکت‌های بین‌المللی کمک می‌کند تا خود را با تغییرات فناوری، جهانی‌سازی و مصرف‌گرایی تطبیق دهند. دومت و پرنتی، هم‌بنیان‌گذارهای شرکت امنیت سایبری آرچی‌فکت گروپ و مؤلفان کتاب «راهنمای رهبران برای امنیت سایبری» (انتشارات دانشکده‌ی کسب‌وکار هاروارد، 2019) هستند که این مقاله از آن استخراج شده است.

این مقاله در شماره ی زیر منتشر شده است:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *