روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ شاید قبلاً توسط بلاگ یوجین کسپرسکی یا خبرگزاری رسمی این شرکت مطلع شده باشید که ما اخیراً ممیزیِSOC 2 خود را رد کردیم. اگر هم هنوز چیزی از این ماجرا نمیدانید در این خبر همراهمان باشید تا بگوییم اساساً این ممیزی چیست و چرا الزام دارد.
ممیزی SOC 2 چیست؟
SOC 2[1] ممیزیِ روندهای نظارتی روی سازمانهای آیتی است که کارش ارائهی خدمات است. در اصل این ممیزی یک استاندارد بینالمللیِ گزارشدهی برای سیستمهای مدیریت خطرهای سایبری میباشد. این استاندارد را مؤسسهی AICPA[2] ساخته است که در ماه مارس سال 2018 نیز بروزرسانی شد.
مقالهی حاضر در خصوص ممیزی نوع 1 SOC 2 (که البته آن را رد کردیم) است که تأیید میکند مکانیزمهای نظارت امنیت به طور مؤثری در تک تکِ سیستمها راهاندازی شدهاند. این بدان معناست که ممیزهای طرفسوم پیش ما آمدند و سیستم مدیریت خطر ما را مورد رسیدگی و بررسی قرار دادند. همچنین رویکردها و عملکردهایی که اتخاذ کرده بودیم را نیز موشکافانه تحلیل کردند؛ تا مطمئن شوند چقدر به سیاستهای قیدشدهی خود پایبندیم و چطور تغییرات را در این فرآیند ثبت و ضبط میکنیم.
چرا باید پیِ این ممیزیها را به تن مالید؟
هر شرکتی که به نوعی خدمات ارائه میدهد این پتانسیل را دارد تا برای مشتریان خود خطری نیز به همراه داشته باشد. حتی شرکتی که تماماً قانونی است هم میتواند لینکی باشد در زنجیرهی تأمین که بواسطهی آن، حملهای شکل گیرد. اما شرکتهایی که در حوزهی اطلاعات فعالیت میکنند مسئولیتشان سنگینتر است: محصولاتشان باید بالاترین سطح دسترسی را به سیستمهای اطلاعاتی کاربر داشته باشند.
بنابراین، گهگاهی مشتریان (خصوصاً شرکتهای بزرگ) ممکن است سوالاتی در این خصوص برایشان پیش آید. مثل اینکه: تا چد میتوانیم به چنین سرویسهای اعتماد کنیم؟ برای سرویسهایی که استفاده میکنیم چه نوع خطمشیهای داخلی در اختیار داریم؟ آیا کسی میتواند با محصولاتش یا خدمات مربوطهای که ارائه میدهد به ما آسیبی برساند؟
پیچیدگی امر اینجاست که: جوابهای ما به این سؤالات مهم نیست زیرا پاسخهایی که شرکت ما یا هر شرکت دیگر میدهد همیشه میتواند معقول و متقاعدکننده به نظر برسد. برای همین هم هست که از ممیزهای خارجی میخواهیم تا نظرات تخصصی خود را خارج از گود به سمع و نظر ما برسانند. برایمان خیلی اهمیت دارد که مشتریان و شرکای ما ذرهای شک نسبت به محصولات و خدمات ما نداشته باشند و در نهایت اطمینان از آنها استفاده کنند. همچنین بر این باوریم که باید فرآیندهای داخلیمان با استاندارد بینالمللی و بهترین رویکردها تطابق کامل داشته باشد.
کار ممیزها، بررسی و رسیدگی به چیست؟
همیشه بزرگترین دغدغه مکانیزمِ تحویل اطلاعات به کامپیوتر کلاینتهاست. راهحلهای ما بخشهای مختلف بازار و صنعت را پوششدهی کرده و بیشتر آنها از موتور آنتیویروس به عنوان فناوری تدافعیِ مرکزی -برای پاکسازی هر چیزی از خطرهای سایبری- استفاده میکنند. این موتور -از بین کلی فناوری که در اختیار دارد- از هشهای بسیار سریع، امولاسیون در محیطی ایزوله و مدلهای ریاضیاتیِ یادگیری ماشین –که به شدت در برابر جهش و تغییرات ناگهانی مقاوماند- استفاده میکند. همهی این فناوریها نیازمند این هستند که پایگاههای اطلاعاتی برای مؤثر عمل کردن در مقابل تهدیدهای سایبریِ مدرن به طور منظم آپدیت شوند.
ممیزهای مستقل سیستم ما را برای مدیریت این پایگاههای اطلاعاتی مورد بررسی قرار دادند و همچنین متودهای ما را در بخش نظارت یکپارچگی و اعتبار بروزرسانیها (برای پایگاههای اطلاعاتی محصولات آنتیویروس مخصوص ویندوز و سرورهای یونیکس) رسیدگی کردند. آنها دریافتند که شیوههای نظارتی ما دارند بدرستی عمل میکنند. همچنین روند ساخت و عرضهی پایگاههای اطلاعاتی آنتیویروس را نیز برای هر نوع احتمالِ دستکاری مورد بررسی قرار دادند.
چطور بررسیهای خود را انجام میدهند؟
ممیزها به نحوهی تطابقپذیریِ فرآیندهای فروشنده با هر یک از 5 اصل امنیت نگاه میکنند: محفاظت (آیا فرآیند در برابر دسترسی غیرقانونی محافظت میشود؟)، دسترسی (آیا فرآیند به طور کلی کارکردی است؟)، یکپارچگی پروسه (آیا اطلاعات در نهایت اطمینان به دست مشتری میرسد؟)، محرمانه بودن (کس دیگری میتواند به چنین اطلاعاتی دسترسی داشته باشد؟) و حریمخصوصی (آیا دادههای شخصی تنها از جانب ما ذخیره میشود و اگر چنین است چطور؟).
در مورد ما، ممیزها موارد زیر را مورد رسیدگی قرار دادند:
- سرویسهای ما چه چیزهایی ارائه میدهند
- چطور سیستمهای ما با کاربران و شرکای احتمالی تعامل میکند
- چطور نظارت روی پروسهها را عملیاتی میکنیم و در این راستا با چه محدودیتهایی روبرو هستیم
- چه ابزار نظارتی در اختیار کاربران قرار میدهیم و آن ها چطور با این ابزارهای ما ارتباط برقرار میکنند
- سرویس ما با چه خطراتی مواجه است و چه ابزارهای نظارتی میتواند از شدت این خطرها بکاهد؟
برای درک تمام اینها، ممیزها ساختار سازمانی، مکانیزمها و پرسنل ما را مورد بررسی قرار دادند. آنها مایل بودند بدانند ما چطور بررسیهای پسزمینهای را وقتی نیروهای جدید استخدام میکنیم انجام میدهیم. سپس روندهایی را که ما بواسطهی آنها با الزامات امنیتیِ همیشه در حال تغییر دست و پنجه نرم میکنیم تحلیل کردند. همچنین کد منبع مکانیزمی را که برای ارائهی آپدیتهای خودکار پایگاه اطلاعاتی آنتیویروس استفاده میکنیم بررسی کردند و از همه مهمتر اینکه برایشان جالب بود بدانند برای تغییرات غیرقانونی به این کد چه فرصتهایی میتواند وجود داشته باشد. البته مؤلفههای دیگری را نیز لحاظ کردند که پرداختن به آنها از حوصلهی این مقاله خارج است.
چه کسی این بررسی را انجام داد و از کجا میتوانم این گزارش را بخوانم؟
این ممیزی توسط شرکت Big Four صورت گرفت. شاید تا به حال متوجه شده باشید که ما در این بخشها از آوردن اسامی پرهیز میکنیم اما این بدانمعنا نیست که بگوییم ممیزهای ما گمنامند. فقط ترجیح میدهیم برای مقاصد امنیتی و نظارتی اسم افراد را قید نکنیم. البته این گزارش امضا شده است. در نهایت اینکه ممیزها به این نتیجه رسیدند که فرآیندهای ساخت پایگاه اطلاعاتی آنتیویروس و عرضهی آنها به حد کافی در مقابل دستکاریهای غیرقانونی حافظت میشود. برای خواندن این گزارش به صورت کامل به این بخش مراجعه کنید.
[1] The Service and Organization Controls 2
[2] American Institute of Certified Public Accountants
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
