مدیران سازمانهای مختلف همیشه نگران حملات سایبری هکرها به کسب و کارهای تجاری خود بودهاند؛ به همین دلیل سرمایهگذاریهای زیادی در مقیاس فنی صورت دادهاند تا داراییهای خود را از این حملات مصون بدارند.
یکی از مشکلات اصلی اعضای هیئت مدیرهی سازمانها، طریقهی تأمین امنیت سایبری سازمانها است. در کل به جنبههای مختلف امنیت سایبری مربوط به خطاهای انسانی و کارکنان، کمتر رسیدگی و مورد عنایت قرار داده میشود.
· در یک پژوهش میدانی مشخص گشت که 36 درصد از رخنههای امنیت سایبری سازمانها، ناشی از بیمبالاتی خودِ کارکنان و 57 درصد از شرکتهای کوچک تجاری که دچار رخنههای سایبری در سال گذشته شده بودند، عامل انسانیِ درونسازمانی، علت اصلی آن بود.
· خطاهای سایبری سازمانی کارکنان، به سه دسته تقسیم میشود: 1 ـ غیرعمدی و غیر برنامهریزی شده 2 ـ عمدی و غیر برنامهریزی شده 3 ـ عمدی و با سوءنیت.
· هر سازمانی بنا به ملزومات و نیازهای خاص تجاری خود، باید پاسخ درخور توجه و مناسبی به تهدیدات سایبری داخلی و سازمانی خویش بدهد و با این حال قطع نظر از اندازه، بخش و مدل تجاری، موضوعات مشترکی هستند که برای تمامی سازمانها یکسان میباشد. این موضوعات مشترک را میتوان «10 گام برای حفاظت سایبری داخلی» نام داد.
· این 10 گام عبارتاند از: نوع برخورد با مشکل سایبری و هدایت آن، نقش و نوع پاسخدهی هیئت مدیره به مشکلات سایبری درونسازمانی، دستهبندی داراییهای شرکت، رصد خطرهای امنیت سایبری درونسازمانی که در کمین شرکت هستند، فرهنگ ایمنی، تجزیه و تحلیل تأثیراتی که خطاهای سایبری انسانی بر سازمان وارد میکنند، شفافیت و هشداردهی، زنجیرهی تأمین و بازرسی مداوم و پویا است.
یکی از مشکلات اصلی اعضای هیئت مدیرهی سازمانها، طریقهی تأمین امنیت سایبری سازمانها است. عموماً به تهدیدات سایبری درونسازمانی[1] کمتر توجه میشود. به عبارتی، جنبههای مختلف امنیت سایبری مربوط به خطای انسانی، کمتر مورد دغدغهی دفاع سایبری سازمانها بوده است، ولی با این حال [همیشه] عامل خدشهدار شدن اعتبار و حساسیت پذیر شدن سازمانها و هیئت مدیره آنان بوده است. این مقاله به موضوع تهدیدات سایبری داخلی و آن دسته از اقداماتی که تمام اعضای هیئت مدیره باید انجام دهند تا سازمانهای خود را به نحو شایستهای از اینگونه خطرات حفظ بدارند، پرداخته است.
مقدمه:
اعضای هیئت مدیره همیشه نگران حملات سایبری هکرها به کسب و کارهای تجاری خود بودهاند. سازمانهای تجاری، سرمایهگذاریهای زیادی در مقیاس فنی صورت دادهاند تا داراییهای خود را از این حملات مصون بدارند. آنها متخصصان خبره و فنیِ چیرهدستی را استخدام کردهاند تا زمینههای حفاظتی خود را تقویت نمایند. به علاوه آنها تمامی مشکلات خود را با بقیه به اشتراک میگذارند تا حمایت آنان را به نفع خود خریداری کنند. میشود گفت استفاده از ابزارهای فنی و کمکهای باارزش، نقش مهمی در امنیت سایبری آنها بازی میکند ولی این همه سرمایهگذاری ممکن است از طرف یک منبعِ دیگر، بیاثر شود و آن منبعی نیست جز ـ کارکنان سازمانها.
دادههای زیادی این موضوع را تائید میکند ولی پژوهش میدانی «اطلاعات رخنههای امنیتی PWC» در 2013، نشان میدهد که 36 درصد از رخنههای امنیتی در سال، ناشی از خطاهای انسانی غیرعمدی است (و بیش از 10 درصد ناشی از سوءاستفادههای عمدی از سامانهها توسط کارکنان سازمانها) و 57 درصد از کسب و کارهایی کوچک در سال گذشته دچار رخنههای امنیتی شده بودند که ناشی از نقایص انسانی کارکنان خودشان بود. پس میبینیم که این مسئله جزئی و پیشپا افتاده نیست و هیئت مدیرههایی که از آن غفلت مینمایند، خود را در معرض خطر قرار میدهند.
کارکنان به منزله تهدیدات سایبری درونسازمانی:
واقعاً این کارکنان دردسرساز چه کسانی هستند؟ تهدیدات سایبری درون سازمان میتواند از هر بخشی از سازمان ناشی بشود (حتی خودِ اعضای هیئت مدیره!) و در سه گونهی مختلف ظاهر میشوند:
غیرعمدی و غیر برنامهریزیشده: این دسته از کارکنان، به واقع تمام کارهای خود را از سر اشتباه انجام نمیدهند. در حقیقت، سبب مشکلات آنان، کژ کارکردیهای سازمان است. عواملی مانند استفاده از کارکنان تازه استخدامشدهی فاقد صلاحیت برای این کار، آموزشهای ناقص و نامناسب برای کارکنان، فرهنگ امنیتی نامناسب، قصور سازمانها در عدم اتخاذ یک خطمشی پایدار و مناسب برای هشدارهای مداوم امنیت سایبری به کارکنان و غفلتها و بیتوجهی مدیران سازمانها به مقوله امنیت سایبری کارکنان خود، از دلایل به وجود آورندهی اینگونه از مشکلات هستند. باید گفت در این نوع، کارکنان مقصر نیستند.
برنامهریزیشده ولی عمدی: مطالعهی اینگونه از کارمندان کار مشکلی است زیرا در بین آنها هستند کسانی که به غایت وفادار، متعهد و سختکوش هستند ولی فرآیندها و فرهنگ سازمانی در این سازمانها، فاقد کارایی لازم برای مدیریت خطرات سایبری است. در اینگونه از سازمانها، کارمندانی وجود دارند که به ایمیل سازمانی خود، از منزل دسترسی دارند لذا کارهای خود را در روز تعطیل از طریق این ایمیلها و از منزل انجام میدهند یا رمز عبور خود را به اشتراک میگذارند چرا که غیر از این راه نمیتوانند به کارهای اداری خود سروسامانی بدهند. این کارمندان مجبور شدهاند بستهای از خطرات را برای سازمان خود بیافرینند زیرا سازمان آنها در اتخاذ رویکردی برای اداره و جوابگویی به کارهای آنها کوتاهی کرده است. گاهی اوقات روند کاری این کارکنان منجر به خطا و ناکامی میشود. بار دیگر هم باید بگوییم: آنان مقصر نیستند.
عمدی و با سوءنیت: این دسته از کارکنان، مخصوصاً با دسترسی به دستهی عظیمی از فناوریهای سایبری، بسیار مضر برای سازمانهای کارفرمای خود هستند ولی خوشبختانه تعداد آنها کم است. در این باره مرکز حفاظت زیرساختهای ملی، یک پژوهش انجام داد. این پژوهش، بر روی تهدیدات داخلی تمرکز کرده است نه صرفاً بر روی تهدیدات سایبری داخلی و فقط اقدامات برنامهریزیشده و با سوءنیت را مورد بررسی قرار میدهد. مرحلهای از این پژوهش در سال 2007 کلید خورد و همچنان ادامه دارد. این پژوهش کمیتی نیست و به اصطلاح «به مقیاس و اندازهگیری تعداد تهدیدات» نمیپردازد بلکه پژوهش کیفی است. متخصصان پژوهش مزبور، در عمق حدود 120 مورد از آسیبهای داخلی و سازمانی از بخشهای مختلف دولتی و خصوصی غور و تمرکز کردهاند. آنها خصوصیات کارمندانی که اَعمال خسارت ساز را مرتکب شدهاند را مورد مطالعه قرار دادند و علیالخصوص بر ویژگیهای سازمانهایی که اجازه دادند این چنین اتفاقاتی رخ دهد، تمرکز کاملی نمودهاند.
گزارش نشان میدهد بین خطاهای داخلی و سازمانی و فرآیندهای قابل بهرهبرداری ضعیف مدیریتی و امنیتیِ کارمندان، رابطه واضح و مشخصی وجود دارد.
9 فاکتور سازمانی در این پژوهش مشخص گشت که در کل عبارتاند از:
· ارتباط ضعیف بین نواحی مختلف یک بنگاه تجاری
· فقدان هشدارها و آموزشهای لازم برای شناسایی خطاهای انسانی در یک سطح جدی و کارآمد و طرز آموزش ناکافی ادارهی جمعی و اشتراکی شرکتها.
در مورد این کارکنانی که عامداً و با سوءنیت اقدامات خسارت آور و صدمه زنندهی خود را اعمال مینمایند باید گفت که آنان مقصر هستند. اما در اینجا نیاز است به اقدامات و مسئولیتپذیری شرکتها و سازمانهایی که اجازه میدهند این اقدامات صورت گیرد نیز پرداخته شود. اگر به زمینهی شکلگیری این اتفاقات، توجه و آنها را مورد بررسی قرار دهیم، آنها تقلیل خواهند یافت.
مشخص است که تهدیدات و خطرات سایبری درونسازمانی در هر سه گونهی تعریفشدهی بالا، میتوانند در هر بخشی از کسب و کارهای تجاری اتفاق بیفتند لذا رسیدگی به این مشکلِ پیچیده، در کل برای تجاری مفید و مؤثر خواهد بود. در این باره لازم است طوری به مشکل پرداخته شود که تأثیر منفی بر روی کسب و درآمدهای تجاری نگذارد. این مشکلی نیست که بخواهد به دیگران تسری پیدا کند و نمیتواند منحصراً با کمک راهحلها و استفاده از فناوریهای نوین [سختافزاری و نرمافزاری] آن را حل کرد (حتی اگر در این زمینه استفاده از تکنولوژی، کمک عمدهای به کاهش خطرات سایبری درونسازمانی داشته باشد) مشکلات مربوط به تهدیدات سایبری سازمانی و درونیِ بنگاههای تجاری، باید از سوی هیئت مدیره رسیدگی و مدیریت شود.
پاسخهای هیئت مدیره:
هر سازمانی بنا به ملزومات و نیازهای خاص تجاری خود، باید پاسخ درخور توجه و مناسبی به تهدیدات سایبری داخلی و سازمانی خویش بدهد و با این حال قطع نظر از اندازه، بخش و مدل تجاری، موضوعات مشترکی هستند که برای تمامی سازمانها مشترک میباشند. این موضوعات مشترک را میتوان «10 گام برای حفاظت سایبری داخلی» نام داد و عبارتاند از:
1. طرز هدایت و برخورد با مشکل: تشخیص چگونگی برخورد، پاسخگویی و عکسالعمل در برابر جنبههای مختلف خطاهای کارکنان نباید فقط منحصر به هیئت مدیره شود. در این زمینه باید در سازمان، هیئت مدیرهی ویژهای تشکیل شود تا تمامی خطاهای انسانی را تحت پوشش قرار دهد و برای آنان چارهاندیشی کند.
2. نقش، پاسخدهی و تأمین منابع: اهمیت داشتن و شناسایی نقطه نظرات مشخص برای مواجه با خطاهای انسانی در هیئت مدیره، نقش و عکسالعمل هیئت مدیره در برابر مدیریت جنبههای مختلف خطاهای انسانی برای همگان مشخص شده است. در این باره رویهها و معیارهای درگیر، کاملاً به هم آمیخته و هم منبع هستند.
3. داراییها: هیئت مدیره به طور کامل از وضعیت داراییهای عمده سازمان خود و آسیبپذیریهای آنان مطلع است. تشخیص داراییهای عمده سازمانها، بسته به موقعیت و شرایط خاص در هر زمان، متفاوت و مختلف از یکدیگر لیست بندی میشوند. به عبارت دیگر در هر زمان و موقعیتی، سازمان با یک نوع داراییهای مشخص روبرو است. (مانند دادههای مربوط به فعالیتهای ادغام سازمانها با یکدیگر یا فعالیتهای کسب و تحصیل در زمان تعقیب یک هدف خاص). ما به یک بازنگری مداوم نیاز داریم تا به طور مرتب لیست داراییهای خاص سازمان را بهروز نماییم.
4. خطرات: سازمان در هر سال، یک بازنگری رسمی از خطرات داخلی و درونسازمانی انجام میدهد. خطرات داخلی در صدر لیست خطرات قرار دارند و هیئت مدیره به طور کامل بر کارمندانی که مستعد ارتکاب بالاترین خطرات هستند تمرکز مینماید. هیئت مدیره به دنبال معیارهایی است که خطرات موجود را تقلیل دهد. هیئت مدیره فعالانه تاب تحمل خود را برای مواجه شدن با خطرات داخلی رصد مینماید و همین امر به نوبهی خود خوراکی خواهد شد برای فرهنگ ایمنی.
5. فرهنگ: هیئت مدیره، فرهنگ ایمنی مطلوبی برای سازمان خود ترتیب میدهد و نقشهای مناسب تدوین خواهد شد تا به آن فرهنگ ایمنی دست یابد. سابقاً، دستیابی به این هدف، نشان از موفقیت، کارایی و رسیدن به منافع کارکردی سازمان ارزیابی میشد.
6. تأثیرات: هیئت مدیره از اهمیت تأثیرات سوانح داخلی بر سازمان و خودِ هیئت مدیره به خوبی آگاه است (تأثیرات از جنبهی مالی، قانونی، کارکردی و تأثیر بر نام و آوازهی سازمان).
7. پاسخدهی: سازمان باید به طور کامل آمادهی واکنش به رخدادهای داخلی باشد تا خسارتها و مضرات آن را به حداقل ممکن برساند و در صورت پیشامد خطر، بهترین پاسخ را به آن دهند. عمل پاسخ، از دل یک برنامه عملیاتی کپیبرداری و اجرا میشود. (این برنامه، در سطح هیئت مدیره تدوین شده است)
8. شفافیت و هشداردهی: تمام معیارها و رویهها (شامل پایش کارکنان (البته اگر نیاز باشد)، سدِ فعالیتهای غیرقانونی، ارزیابی اقداماتی کارکنان و...) که با چارچوبهای تنظیمی و قانونی هماهنگ هستند باید پاس داشته شوند و کاملاً از سوی کارکنان حیاتی و مهم ارزیابی شوند. کارکنان از پیامدهای بالقوه عملیاتهای داخلی باید آگاه شوند.
9. زنجیره تأمین: نباید بگذاریم خطر از بیرون، سازمان را مورد هجمهی خویش قرار دهد. شخص هیئت مدیره مسئول کاهش خطاهای انسانی و مدیریت داراییها و به عبارتی زنجیرهی تأمین است. برنامههایی که برای کارکنان اتخاذ و طرحریزی میشود (مانند غربالگری کارکنان قبل از استخدام، مراقبت و تمرکز بر کارکنان پس از استخدام و...) برای زنجیرهی تأمین نیز قابل اجرا است (به خصوص آن دسته از جنبههای امنیتی که از بیرون به سازمان تحمیل میشوند). این برنامهها در قراردادها درج میشود و نحوهی اجرای آن مدیریت و ممیزی میشود.
10. بازرسی: بازرسی، کل برنامههای مدیریت تهدیدات داخلی را سالیانه یکجا مورد تجدیدنظر قرار میدهد. در این زمینه، بازرسی، تضمین حاصل میکند که خطرات و داراییها با هم مشترک هستند و با هم مورد بازنگری قرار میگیرند. سیاستها و رویههای موجود نیز به خوبی عمل میکنند، به درستی با هم هماهنگ هستند و با چارچوبهای قانونی و تنظیمی در تفاهم باقی خواهند ماند.
نتیجهگیری
سازمانهایی با کارکردهای بالا، از برنامههای مؤثری برای کاهش خطرات انسانی برخوردار هستند. در این برنامه، اعضای هیئت مدیره در چگونگی پاسخدهی و مسئولیت در برابر خطرات داخلی به تفاهم رسیدهاند و در داخل سازمان رهیافت جامعی برای مدیریت جنبههای مختلف فرآیندها، فناوریها و کارکنان تدوین و طراحی شده است. مدیریت قدرتمندِ برنامه، باعث تقویت فرهنگ ایمنی در سازمان میشود و از ارتکاب خیل عظیمی از خطرات سازمانی جلوگیری میکند. با علم به اینکه صدمات ناشی از تهدیدات داخلی هیچگاه به صفر نخواهد رسید، باید هیئت مدیره از برنامهای جامع برخوردار باشد تا مضرات را به حداقل ممکن برساند و عملیاتها، داراییها و شهرت سازمان را مصون نگاه دارد. ضمناً برای کشف این خطرات، باید تهدیدات را شناسایی و در تعقیب آنها از هیچ کوششی فروگذار ننماید.
بلعکس، سازمانهایی که در آن هیئت مدیره ظاهراً و به تظاهر از خطرات داخلی و درونسازمانی حمایت میکنند و عوامفریبانه دادِ سخن از شناسایی تهدیدات سازمانی سر میدهند، اقدامات امنیتی آنها مبهم و نامشخص باقی میماند و جایی در میانهی رتبهبندی امنیت حرفهای قرار میگیرند. عملکرد امنیتی این دسته از سازمانها مانند پیپی روشن در انبار غله است که فاقد شفافیت متقابل است و هیئت مدیره درک اندکی از داراییهای عمده سازمان و آسیبپذیریهای آنان دارد. داراییهای آنان در برابر تهدیدات داخلی و درونسازمانی بسیار شکننده است. تهدیدات درونسازمانی، ضررهای مصیبت انگیزی به عملکرد، داراییها و شهرت سازمان وارد میکند و به نوبهی خود پای هیئت مدیره را در برابر چالشها و عواقب قانونی و حتی عواقبی که ناشی از بیتوجهی خودشان است درگیر میکند.
نویسنده: چریس هوران؛ عضو دستیار شورای آموزشی بنیاد مطالعات امنیت و ترمیمپذیری در دانشگاه کالج لندن؛ بدون تاریخ نگارش