خطای انسانی یکی از دلایل اصلی حوادث سایبری در سازمانها و شرکتها به حساب میآید. بسیاری از مخاطراتی که برای اطلاعات حساس سازمانها پیش می آید در نتیجهی ناآگاهی کارمندی رخ میدهد که یک بدافزار آلوده پیوست شده به یک ایمیل را باز میکند، بر روی لینکی به یک سایت مخرب کلیک میکند یا با بیدقتی، یک ویروس آلوده را به سمت دیگر کامپیوترهای شرکت میفرستد.
در هر صورت آموزش کارمندان و مدیران درباره قوانین امنیتی چالشهای خاص خود را ایجاد میکند. بسیاری از شرکتها به این دلیل که در تامین آموزشهای موثر به کارکنان خود ناکام میمانند و نمیتوانند تغییری در رفتار خطرآفرین آنها ایجاد کنند، از حملات سایبری رنج میبرند.
کارشناسان شرکت مشاوره بینالمللی است PwC، معتقدند که بازی کردن میتواند نقشی موثر در اصلاح این شرایط داشته باشد. گیم Game of Threats (بازی تهدیدات) نرمافزاری است که با هدف آموزش اصول و مفاهیم امنیت سایبری به مدیران ارشد ساخته شده است. این نرمافزار از طریق ارائه یک محیط بازی که در آن میتوان امنیت سایبری در دنیای واقعی را شبیه سازی کرد به این آموزشها میپردازد.
شرکتکنندگان در این بازی میتوانند نقش مهاجم یا مدافع در یک حملهی سایبری را بازی کنند و با تواناییها، تاکتیکها، استعداد و ابزار خود بر علیه یکدیگر بجنگند. با این شبیهسازی، شرکتکنندگان اجازه مییابند هر دو سوی یک حملهی سایبری را ببینند و در نتیجه واکنش بهتری در برابر تهدیدات امنیتی داشته باشند.
بهبود در اجرای اصول و قوانین امنیتی
بسیاری از کارمندان حتی زمانی که به صورت کامل آموزش دیدهاند به نادیده گرفتن قوانین و اصول امنیتی ادامه میدهند. این مسئله به ویژه زمانی که کارمند با فرا رسیدن مهلت مقرر برای انجام یک وظیفه روبرو میشود بیشتر خود را نشان میدهد. مشکل آنجا است که قوانین امنیتی معمولا دست و پا گیر تلقی میشوند، احتیاطی بیش از حد و بدون پاداش که میتواند به خاطر فشار مسائل دیگر نادیده گرفته شود. بیانگیزگی برای به دوش کشیدن سختیهای رعایت مسائل امنیتی بهانهای است برای کارمندان و مدیران تا با آغوش باز به استقبال حملات سایبری بروند.
شرکت امنیتی Digital Guardian که برای ارائهی راهکارهای «پیشگیری از فقدان اطلاعات» یا DPL مشهور است (راهکارهایی که به شرکتها در امن نگه داشتن دادههایشان کمک میکند)، ابزار و مفاهیم بازیها را با معیارهای امنیتی ترکیب کرده است. راهکاری که این شرکت ارائه داده است تلاش دارد تا با استفاده از تجربهی گرفتن پاداش در بازی، کارمندان را برای تعهد به برنامههای امنیتی در تمامی سطوح تشویق کرده و اینگونه از سازمان آنها در برابر تهدیدهای امنیتی محافظت کند.
Data Defender (مدافع داده) عنوانی است که این شرکت برای این تغییر از امنیت سایبری سنتی انتخاب کرده است (که تنها بر شناسایی، گزارش و تنبیه رفتارهای نامطمئن دلالت میکرد.) این شرکت امنیتی اینگونه بیان میکند که علیرغم تنبیه رفتارهای نادرست در زمینه امنیت سایبری، میتوان با تشویق رفتارهای صحیح انگیزهی بیشتری برای رعایت پایدار و همیشگی قوانین امنیتی در کارمندان ایجاد کرد. انگیزهای که میتواند باعث رعایت کردن قوانین امنیتی حتی در شرایطی باشد که کارمند تحت فشار عوامل دیگر مانند زمان قرار دارد.
کاربران این روش با هر بار تطبیق دادن فعالیتهایشان با شیوههای امنیتی و رعایت قوانینی که به امنیت سایبری سازمان کمک میکند، مانند ارسال ایمیل بدون فراموش کردن سیاستهای امنیتی یا استفاده از سرویسهای ابری مورد تایید شرکت، امتیازاتی برای خود جمع میکنند.
جدول های ردهبندی و امتیازدهی به کارمندان میتواند بر رقابت میان آنها بیفزاید. کاربران با رسیدن به نقاطی خاص، مثل ارسال ۱۰۰۰ ایمیل امن، نشانهای مخصوصی دریافت میکنند و نهایتا با جمع کردن امتیازات کافی میتوانند برنده جوایز این رقابت شوند.
یافتن و استخدام استعدادهای امنیت
یکی از تحقیقات شرکت سیسکو نشان میدهد که دنیا با کمبود بیش از ۱ میلیون متخصص امنیت اطلاعات رو به رو است و این کمبود تا سال ۲۰۱۹ به ۱/۵ میلیون نفر خواهد رسید. در نتیجهی چنین کمبودی، بسیاری از سازمانها با صندلیها خالی در پستهای حساس امنیتی روبرو خواهند شد که به آسیبپذیری بیشتر آنها در برابر رخنههای اطلاعاتی خواهد انجامید.
سازمان غیر انتفاعی Cyber Security Challenge در بریتانیا با برگزاری سالیانهی رقابتهای بازیهای کامپیوتری، که شرکت در آن برای همگان آزاد است، به یافتن و استخدام استعدادهای نوظهور این حوزه کمک میکند. در این رقابت هر شرکتکننده میتواند با تواناییهای خود به مقابله با تهدیدهای شبیهسازی شده بپردازد و شانس خود را برای اثبات تواناییهایش امتحان کند.
این سازمان از یک محیط بازی به نام CySphinx برای آزمودن و استخدام استعدادهای امنیت سایبری طراحی شده استفاده میکند. محیط سه بعدی این بازی، بازیکنان را قادر به تعامل با یکدیگر میسازد. در این محیط، تواناییهای مختلف شرکتکنندگان مانند تواناییهای تکنیکی، کار تیمی، قدرت ارائه و برقراری ارتباط بررسی و ارزیابی میشود.
دور مقدماتی این رقابتها به صورت آنلاین و از طریق یک پلتفرم اینترنتی برگزار میشود، اما دور نهایی به صورت رو در رو و حضوری انجام شده و به برندگان علاوه بر جوایز مسابقه، فرصتهای شغلی در آژانسهای دولتی و شرکتهای بزرگ حوزه تکنولوژی پیشنهاد میشود. این سازمان غیرانتفاعی فرصتی برای هر کس که تجربهای در زمینه برنامهنویسی و فناوری اطلاعات دارد فراهم میآورد تا شغل خود را به عنوان متخصص امنیت سایبری آغاز کند. نکته جالب این که آخرین برندهی این رقابت یک مهندس شبکه بود که برای یک فروشندهی خودرو کار میکرد!
ریشهکن کردن آسیبپذیری در نرمافزار
هر ساله نقاط آسیبپذیر در نرمافزارها باعث بروز موارد بسیاری نفوذ و رخنه در اطلاعات میشود. مهم نیست که یک نرمافزار را چندبار در زمان ساخت تست کرده باشید، همیشه باگها (مشکلات و خطاهای موجود در نرمافزار) و شاید نقاط ضعف جدی وجود دارد که از چشم توسعه دهنده پنهان مانده و پس از انتشار پیدا خواهند شد!
برای اطمینان از کشف نقاط آسیبپذیر نرمافزار قبل از سوء استفاده از آنها توسط خرابکارها، شرکتهای بزرگ و آژانسهای دولتی برنامههایی با عنوان Bug Bounty برگزار میکنند. این برنامهها به هکرهای اخلاقمدار (یا کلاه سفید) و همچنین محققین امنیتی اجازه میدهد در ازای یافتن باگها و نقاط ضعف امنیتی نرمافزار جوایزی دریافت کنند. فیسبوک، گوگل و مایکروسافت از معروفترین شرکتهایی هستند که برنامههای Bug Bounty برگزار میکنند و البته وزارت دفاع ایالات متحده نیز یکی از برگزارکنندگان این گونه برنامهها است.
یکی از جذابترین برنامههای Bug Bounty متعلق به شرکت Uber است، جایی که محققین امنیت برای یافتن هر باگ بحرانی مربوط به امنیت تا ۱۰ هزار دلار پاداش دریافت میکنند. این برنامه شامل یک نقشهی گنج است که به محققین برای یافتن راهشان در پلتفرم Uber و تمرکز بر پیدا کردن باگها در ناحیههای بحرانی و حساس نرمافزار کمک میکند. این برنامه همچنین به پژوهشگرانی که در دوره زمانی مشخص بیش از ۴ باگ پیدا کنند، به پاس وفاداری آنها، جوایز دیگری نیز اهدا میکند تا با این وسیله آنها را به تعهد بیشتری برای تلاش فعالانه در برنامه تشویق کند.
به نظر شما به غیر از بازی های کامپیوتری، از چه راه کار یا راه کارهای دیگری می توان برای پر نمودن خلاء آموزش مسائل امنیتی در سازمان ها و … استفاده نمود؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.