تهدیدات سایبری درون‌سازمانی: مشکلی برای هیئت مدیره

یکی از مشکلات اصلی اعضای هیئت مدیره‌ی سازمان‌ها، طریقه‌ی تأمین امنیت سایبری سازمان‌ها است. در کل به جنبه‌های مختلف امنیت سایبری مربوط به خطاهای انسانی و کارکنان، کمتر رسیدگی و مورد عنایت قرار داده می‌شود.

· در یک پژوهش میدانی مشخص گشت که 36 درصد از رخنه‌های امنیت سایبری سازمان‌ها، ناشی از بی‌مبالاتی خودِ کارکنان و 57 درصد از شرکت‌های کوچک تجاری که دچار رخنه‌های سایبری در سال گذشته شده بودند، عامل انسانیِ درون‌سازمانی، علت اصلی آن بود.

· خطاهای سایبری سازمانی کارکنان، به سه دسته تقسیم می‌شود: 1 ـ غیرعمدی و غیر برنامه‌ریزی شده 2 ـ عمدی و غیر برنامه‌ریزی شده 3 ـ عمدی و با سوءنیت.

· هر سازمانی بنا به ملزومات و نیازهای خاص تجاری خود، باید پاسخ درخور توجه و مناسبی به تهدیدات سایبری داخلی و سازمانی خویش بدهد و با این حال قطع نظر از اندازه، بخش و مدل تجاری، موضوعات مشترکی هستند که برای تمامی سازمان‌ها یکسان می‌باشد. این موضوعات مشترک را می‌توان «10 گام برای حفاظت سایبری داخلی» نام داد.

· این 10 گام عبارت‌اند از: نوع برخورد با مشکل سایبری و هدایت آن، نقش و نوع پاسخ‌دهی هیئت مدیره به مشکلات سایبری درون‌سازمانی، دسته‌بندی دارایی‌های شرکت، رصد خطرهای امنیت سایبری درون‌سازمانی که در کمین شرکت هستند، فرهنگ ایمنی، تجزیه و تحلیل تأثیراتی که خطاهای سایبری انسانی بر سازمان وارد می‌کنند، شفافیت و هشداردهی، زنجیره‌ی تأمین و بازرسی مداوم و پویا است.

یکی از مشکلات اصلی اعضای هیئت مدیره‌ی سازمان‌ها، طریقه‌ی تأمین امنیت سایبری سازمان‌ها است. عموماً به تهدیدات سایبری درون‌سازمانی[1] کمتر توجه می‌شود. به عبارتی، جنبه‌های مختلف امنیت سایبری مربوط به خطای انسانی، کمتر مورد دغدغه‌ی دفاع سایبری سازمان‌ها بوده است، ولی با این حال [همیشه] عامل خدشه‌دار شدن اعتبار و حساسیت پذیر شدن سازمان‌ها و هیئت مدیره آنان بوده است. این مقاله به موضوع تهدیدات سایبری داخلی و آن دسته از اقداماتی که تمام اعضای هیئت مدیره باید انجام دهند تا سازمان‌های خود را به نحو شایسته‌ای از این‌گونه خطرات حفظ بدارند، پرداخته است.

اعضای هیئت مدیره همیشه نگران حملات سایبری هکرها به کسب و کارهای تجاری خود بوده‌اند. سازمان‌های تجاری، سرمایه‌گذاری‌های زیادی در مقیاس فنی صورت داده‌اند تا دارایی‌های خود را از این حملات مصون بدارند. آن‌ها متخصصان خبره و فنیِ چیره‌دستی را استخدام کرده‌اند تا زمینه‌های حفاظتی خود را تقویت نمایند. به علاوه آن‌ها تمامی مشکلات خود را با بقیه به اشتراک می‌گذارند تا حمایت آنان را به نفع خود خریداری کنند. می‌شود گفت استفاده از ابزارهای فنی و کمک‌های باارزش، نقش مهمی در امنیت سایبری آن‌ها بازی می‌کند ولی این همه سرمایه‌گذاری ممکن است از طرف یک منبعِ دیگر، بی‌اثر شود و آن منبعی نیست جز ـ کارکنان سازمان‌ها. 

داده‌های زیادی این موضوع را تائید می‌کند ولی پژوهش میدانی «اطلاعات رخنه‌های امنیتی PWC» در 2013، نشان می‌دهد که 36 درصد از رخنه‌های امنیتی در سال، ناشی از خطاهای انسانی غیرعمدی است (و بیش از 10 درصد ناشی از سوءاستفاده‌های عمدی از سامانه‌ها توسط کارکنان سازمان‌ها) و 57 درصد از کسب و کارهایی کوچک در سال گذشته دچار رخنه‌های امنیتی شده بودند که ناشی از نقایص انسانی کارکنان خودشان بود. پس می‌بینیم که این مسئله جزئی و پیش‌پا افتاده نیست و هیئت مدیره‌هایی که از آن غفلت می‌نمایند، خود را در معرض خطر قرار می‌دهند.

واقعاً این کارکنان دردسرساز چه کسانی هستند؟ تهدیدات سایبری درون سازمان می‌تواند از هر بخشی از سازمان ناشی بشود (حتی خودِ اعضای هیئت مدیره!) و در سه گونه‌ی مختلف ظاهر می‌شوند:

غیرعمدی و غیر برنامه‌ریزی‌شده: این دسته از کارکنان، به واقع تمام کارهای خود را از سر اشتباه انجام نمی‌دهند. در حقیقت، سبب مشکلات آنان، کژ کارکردی‌های سازمان است. عواملی مانند استفاده از کارکنان تازه استخدام‌شده‌ی فاقد صلاحیت برای این کار، آموزش‌های ناقص و نامناسب برای کارکنان، فرهنگ امنیتی نامناسب، قصور سازمان‌ها در عدم اتخاذ یک خط‌مشی پایدار و مناسب برای هشدارهای مداوم امنیت سایبری به کارکنان و غفلت‌ها و بی‌توجهی مدیران سازمان‌ها به مقوله امنیت سایبری کارکنان خود، از دلایل به وجود آورنده‌ی این‌گونه از مشکلات هستند. باید گفت در این نوع، کارکنان مقصر نیستند.

برنامه‌ریزی‌شده ولی عمدی: مطالعه‌ی این‌گونه از کارمندان کار مشکلی است زیرا در بین آن‌ها هستند کسانی که به غایت وفادار، متعهد و سخت‌کوش هستند ولی فرآیندها و فرهنگ سازمانی در این سازمان‌ها، فاقد کارایی لازم برای مدیریت خطرات سایبری است. در این‌گونه از سازمان‌ها، کارمندانی وجود دارند که به ایمیل سازمانی خود، از منزل دسترسی دارند لذا کارهای خود را در روز تعطیل از طریق این ایمیل‌ها و از منزل انجام می‌دهند یا رمز عبور خود را به اشتراک می‌گذارند چرا که غیر از این راه نمی‌توانند به کارهای اداری خود سروسامانی بدهند. این کارمندان مجبور شده‌اند بسته‌ای از خطرات را برای سازمان خود بیافرینند زیرا سازمان آن‌ها در اتخاذ رویکردی برای اداره و جوابگویی به کارهای آن‌ها کوتاهی کرده است. گاهی اوقات روند کاری این کارکنان منجر به خطا و ناکامی می‌شود. بار دیگر هم باید بگوییم: آنان مقصر نیستند.

عمدی و با سوءنیت: این دسته از کارکنان، مخصوصاً با دسترسی به دسته‌ی عظیمی از فناوری‌های سایبری، بسیار مضر برای سازمان‌های کارفرمای خود هستند ولی خوشبختانه تعداد آن‌ها کم است. در این باره مرکز حفاظت زیرساخت‌های ملی، یک پژوهش انجام داد. این پژوهش، بر روی تهدیدات داخلی تمرکز کرده است نه صرفاً بر روی تهدیدات سایبری داخلی و فقط اقدامات برنامه‌ریزی‌شده و با سوءنیت را مورد بررسی قرار می‌دهد. مرحله‌ای از این پژوهش در سال 2007 کلید خورد و همچنان ادامه دارد. این پژوهش کمیتی نیست و به اصطلاح «به مقیاس و اندازه‌گیری تعداد تهدیدات» نمی‌پردازد بلکه پژوهش کیفی است. متخصصان پژوهش مزبور، در عمق حدود 120 مورد از آسیب‌های داخلی و سازمانی از بخش‌های مختلف دولتی و خصوصی غور و تمرکز کرده‌اند. آن‌ها خصوصیات کارمندانی که اَعمال خسارت ساز را مرتکب شده‌اند را مورد مطالعه قرار دادند و علی‌الخصوص بر ویژگی‌های سازمان‌هایی که اجازه دادند این چنین اتفاقاتی رخ دهد، تمرکز کاملی نموده‌اند.

گزارش نشان می‌دهد بین خطاهای داخلی و سازمانی و فرآیندهای قابل بهره‌برداری ضعیف مدیریتی و امنیتیِ کارمندان، رابطه واضح و مشخصی وجود دارد.

9 فاکتور سازمانی در این پژوهش مشخص گشت که در کل عبارت‌اند از:

· ارتباط ضعیف بین نواحی مختلف یک بنگاه تجاری

· فقدان هشدارها و آموزش‌های لازم برای شناسایی خطاهای انسانی در یک سطح جدی و کارآمد و طرز آموزش ناکافی اداره‌ی جمعی و اشتراکی شرکت‌ها.

در مورد این کارکنانی که عامداً و با سوءنیت اقدامات خسارت آور و صدمه زننده‌ی خود را اعمال می‌نمایند باید گفت که آنان مقصر هستند. اما در اینجا نیاز است به اقدامات و مسئولیت‌پذیری شرکت‌ها و سازمان‌هایی که اجازه می‌دهند این اقدامات صورت گیرد نیز پرداخته شود. اگر به زمینه‌ی شکل‌گیری این اتفاقات، توجه و آن‌ها را مورد بررسی قرار دهیم، آن‌ها تقلیل خواهند یافت.

مشخص است که تهدیدات و خطرات سایبری درون‌سازمانی در هر سه گونه‌ی تعریف‌شده‌ی بالا، می‌توانند در هر بخشی از کسب و کارهای تجاری اتفاق بیفتند لذا رسیدگی به این مشکلِ پیچیده، در کل برای تجاری مفید و مؤثر خواهد بود. در این باره لازم است طوری به مشکل پرداخته شود که تأثیر منفی بر روی کسب و درآمدهای تجاری نگذارد. این مشکلی نیست که بخواهد به دیگران تسری پیدا کند و نمی‌تواند منحصراً با کمک راه‌حل‌ها و استفاده از فناوری‌های نوین [سخت‌افزاری و نرم‌افزاری] آن را حل کرد (حتی اگر در این زمینه استفاده از تکنولوژی، کمک عمده‌ای به کاهش خطرات سایبری درون‌سازمانی داشته باشد) مشکلات مربوط به تهدیدات سایبری سازمانی و درونیِ بنگاه‌های تجاری، باید از سوی هیئت مدیره رسیدگی و مدیریت شود.

هر سازمانی بنا به ملزومات و نیازهای خاص تجاری خود، باید پاسخ درخور توجه و مناسبی به تهدیدات سایبری داخلی و سازمانی خویش بدهد و با این حال قطع نظر از اندازه، بخش و مدل تجاری، موضوعات مشترکی هستند که برای تمامی سازمان‌ها مشترک می‌باشند. این موضوعات مشترک را می‌توان «10 گام برای حفاظت سایبری داخلی» نام داد و عبارت‌اند از:

1. طرز هدایت و برخورد با مشکل: تشخیص چگونگی برخورد، پاسخگویی و عکس‌العمل در برابر جنبه‌های مختلف خطاهای کارکنان نباید فقط منحصر به هیئت مدیره شود. در این زمینه باید در سازمان، هیئت مدیره‌ی ویژه‌ای تشکیل شود تا تمامی خطاهای انسانی را تحت پوشش قرار دهد و برای آنان چاره‌اندیشی کند.

2. نقش، پاسخ‌دهی و تأمین منابع: اهمیت داشتن و شناسایی نقطه نظرات مشخص برای مواجه با خطاهای انسانی در هیئت مدیره، نقش و عکس‌العمل هیئت مدیره در برابر مدیریت جنبه‌های مختلف خطاهای انسانی برای همگان مشخص شده است. در این باره رویه‌ها و معیارهای درگیر، کاملاً به هم آمیخته و هم منبع هستند.

3. دارایی‌ها: هیئت مدیره به طور کامل از وضعیت دارایی‌های عمده سازمان خود و آسیب‌پذیری‌های آنان مطلع است. تشخیص دارایی‌های عمده سازمان‌ها، بسته به موقعیت و شرایط خاص در هر زمان، متفاوت و مختلف از یکدیگر لیست بندی می‌شوند. به عبارت دیگر در هر زمان و موقعیتی، سازمان با یک نوع دارایی‌های مشخص روبرو است. (مانند داده‌های مربوط به فعالیت‌های ادغام سازمان‌ها با یکدیگر یا فعالیت‌های کسب و تحصیل در زمان تعقیب یک هدف خاص). ما به یک بازنگری مداوم نیاز داریم تا به طور مرتب لیست دارایی‌های خاص سازمان را به‌روز نماییم.

4. خطرات: سازمان در هر سال، یک بازنگری رسمی از خطرات داخلی و درون‌سازمانی انجام می‌دهد. خطرات داخلی در صدر لیست خطرات قرار دارند و هیئت مدیره به طور کامل بر کارمندانی که مستعد ارتکاب بالاترین خطرات هستند تمرکز می‌نماید. هیئت مدیره به دنبال معیارهایی است که خطرات موجود را تقلیل دهد. هیئت مدیره فعالانه تاب تحمل خود را برای مواجه شدن با خطرات داخلی رصد می‌نماید و همین امر به نوبه‌ی خود خوراکی خواهد شد برای فرهنگ ایمنی.

5. فرهنگ: هیئت مدیره، فرهنگ ایمنی مطلوبی برای سازمان خود ترتیب می‌دهد و نقشه‌ای مناسب تدوین خواهد شد تا به آن فرهنگ ایمنی دست یابد. سابقاً، دستیابی به این هدف، نشان از موفقیت، کارایی و رسیدن به منافع کارکردی سازمان ارزیابی می‌شد.

6. تأثیرات: هیئت مدیره از اهمیت تأثیرات سوانح داخلی بر سازمان و خودِ هیئت مدیره به خوبی آگاه است (تأثیرات از جنبه‌ی مالی، قانونی، کارکردی و تأثیر بر نام و آوازه‌ی سازمان).

7. پاسخ‌دهی: سازمان باید به طور کامل آماده‌ی واکنش به رخدادهای داخلی باشد تا خسارت‌ها و مضرات آن را به حداقل ممکن برساند و در صورت پیشامد خطر، بهترین پاسخ را به آن دهند. عمل پاسخ، از دل یک برنامه عملیاتی کپی‌برداری و اجرا می‌شود. (این برنامه، در سطح هیئت مدیره تدوین شده است)

8. شفافیت و هشداردهی: تمام معیارها و رویه‌ها (شامل پایش کارکنان (البته اگر نیاز باشد)، سدِ فعالیت‌های غیرقانونی، ارزیابی اقداماتی کارکنان و...) که با چارچوب‌های تنظیمی و قانونی هماهنگ هستند باید پاس داشته شوند و کاملاً از سوی کارکنان حیاتی و مهم ارزیابی شوند. کارکنان از پیامدهای بالقوه عملیات‌های داخلی باید آگاه شوند.

9. زنجیره تأمین: نباید بگذاریم خطر از بیرون، سازمان را مورد هجمه‌ی خویش قرار دهد. شخص هیئت مدیره مسئول کاهش خطاهای انسانی و مدیریت دارایی‌ها و به عبارتی زنجیره‌ی تأمین است. برنامه‌هایی که برای کارکنان اتخاذ و طرح‌ریزی می‌شود (مانند غربالگری کارکنان قبل از استخدام، مراقبت و تمرکز بر کارکنان پس از استخدام و...) برای زنجیره‌ی تأمین نیز قابل اجرا است (به خصوص آن دسته از جنبه‌های امنیتی که از بیرون به سازمان تحمیل می‌شوند). این برنامه‌ها در قراردادها درج می‌شود و نحوه‌ی اجرای آن مدیریت و ممیزی می‌شود.

10. بازرسی: بازرسی، کل برنامه‌های مدیریت تهدیدات داخلی را سالیانه یکجا مورد تجدیدنظر قرار می‌دهد. در این زمینه، بازرسی، تضمین حاصل می‌کند که خطرات و دارایی‌ها با هم مشترک هستند و با هم مورد بازنگری قرار می‌گیرند. سیاست‌ها و رویه‌های موجود نیز به خوبی عمل می‌کنند، به درستی با هم هماهنگ هستند و با چارچوب‌های قانونی و تنظیمی در تفاهم باقی خواهند ماند.

سازمان‌هایی با کارکردهای بالا، از برنامه‌های مؤثری برای کاهش خطرات انسانی برخوردار هستند. در این برنامه، اعضای هیئت مدیره در چگونگی پاسخ‌دهی و مسئولیت در برابر خطرات داخلی به تفاهم رسیده‌اند و در داخل سازمان رهیافت جامعی برای مدیریت جنبه‌های مختلف فرآیندها، فناوری‌ها و کارکنان تدوین و طراحی شده است. مدیریت قدرتمندِ برنامه، باعث تقویت فرهنگ ایمنی در سازمان می‌شود و از ارتکاب خیل عظیمی از خطرات سازمانی جلوگیری می‌کند. با علم به اینکه صدمات ناشی از تهدیدات داخلی هیچ‌گاه به صفر نخواهد رسید، باید هیئت مدیره از برنامه‌ای جامع برخوردار باشد تا مضرات را به حداقل ممکن برساند و عملیات‌ها، دارایی‌ها و شهرت سازمان را مصون نگاه دارد. ضمناً برای کشف این خطرات، باید تهدیدات را شناسایی و در تعقیب آن‌ها از هیچ کوششی فروگذار ننماید.

بلعکس، سازمان‌هایی که در آن هیئت مدیره ظاهراً و به تظاهر از خطرات داخلی و درون‌سازمانی حمایت می‌کنند و عوام‌فریبانه دادِ سخن از شناسایی تهدیدات سازمانی سر می‌دهند، اقدامات امنیتی آن‌ها مبهم و نامشخص باقی می‌ماند و جایی در میانه‌ی رتبه‌بندی امنیت حرفه‌ای قرار می‌گیرند. عملکرد امنیتی این دسته از سازمان‌ها مانند پیپی روشن در انبار غله است که فاقد شفافیت متقابل است و هیئت مدیره درک اندکی از دارایی‌های عمده سازمان و آسیب‌پذیری‌های آنان دارد. دارایی‌های آنان در برابر تهدیدات داخلی و درون‌سازمانی بسیار شکننده است. تهدیدات درون‌سازمانی، ضررهای مصیبت انگیزی به عملکرد، دارایی‌ها و شهرت سازمان وارد می‌کند و به نوبه‌ی خود پای هیئت مدیره را در برابر چالش‌ها و عواقب قانونی و حتی عواقبی که ناشی از بی‌توجهی خودشان است درگیر می‌کند.

نویسنده: چریس هوران؛ عضو دستیار شورای آموزشی بنیاد مطالعات امنیت و ترمیم‌پذیری در دانشگاه کالج لندن؛ بدون تاریخ نگارش

منبع:گرداب