روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ شما می‌توانید میلیون‌ها توصیه برای سرپا نگه داشتن یک استارت‌آپ در جهان اینترنت پیدا کنید. مشاورین معمولاً توجهات را به سمت مسائلی چون برنامه‌ریزی تجاری، استراتژی بازاریابی، سرمایه‌گذاری بیشتر و غیره می‌کشانند اما در مقاله‌ها کمتر به ایجاد سیستم قوی و منسجم امنیت سایبری برای استارت‌آپ‌ها می‌پردازند. در ادامه قصد داریم با شما از اشتباهات معمول امنیت سایبری استارت‌آپ‌ها و از همه مهمتر نحوه جلوگیری از آن‌ها بگوییم. با ما همراه بمانید.

منبع مشکل

بگذارید یک داستان معمول استارت‌آپی تعریف کنیم: یک ایده ناب به ذهن شما و دوستتان خطور می‌کند؛ در مورد آن بحث و گفت و گو می‌کنید و بعد برای آن ایده خود شروع می‌کنید به جمع کردن گروهی از مشتاقان و کم کم تیم رویایی‌تان تشکیل می‌شود. Airbnb، Pinterest، Twitter، Uber و کلی پروژه‌های مشهور دیگر هم از همینجا شروع کردند. با این حال وقتی استارت‌آپی از ایده اولیه به جریان کارهای‌های واقعی حرکت می‌کند و شروع می‌کند به استخدام پرسنل مشکلات تازه شروع می‌شود. در این نقطه، چنین گروه کوچکِ هم‌فکری بسط پیدا کرده و به تیمی تبدیل می‌شود از افراد رندوم با نقطه نگاه‌های مختلف در خصوص زندگی و تجربه زندگی متفاوت. در چنین تیمی، کارمندان ممکن است درک کاملاً متفاوتی از اطلاعات محرمانه و نحوه محافظت از آن داشته باشند. بگذارید مثالی بزنیم: یک کارمند با خود می‌گوید نوشتن پسورد برای یک سرویس آنلاین روی تخته سیاه روش راحتی است- آن‌ها با خود چنین فکر می‌کنند که هر کسی که بدان نیاز داشته باشد می‌تواند راحت و سریع پیدایش کند. عضو دیگر پرسنل در اداره سلفی را روی شبکه مجازی پست می‌کند و می‌نویسد «چه کسی چیزی محرمانه را روی تخته سیاه جایی که همه می‌توانند آن را ببینند می‌نویسد؟». این نوع سوءتفاهم یکی از دلایلی است که استارت‌آپ‌های جوان می‌توانند در بخش امنیت سایبری به مشکل بربخورند. البته می‌شود با ایجاد فرهنگ امنیت سایبری سازمانی این مشکل را برطرف کرد. در عین حال افرادی که در استارت‌آپ‌ها کار می‌کنند اغلب هم مشتاق به این کارند و هم ماجراجو هستند- آن‌ها به سرعت عاشق یک ایده می‌شوند و اغلب هم به سرعت تغییر نظر داده و آن ایده را ترک می‌کنند. افزون بر این، بسیاری از اوقات استارت‌آپ‌های مدرن متکی بر متخصصین آی‌تی هستند که به طور کلی دوست دارند در طول چندین سال از کسب و کاری به کسب و کار دیگر تغییر ماهیت دهند. ترکیبی از این دو حقیقت است که می‌تواند جابجایی بزرگ کارمندان را در پی داشته باشد. در چنین شرایطی ممکن است اشتباهات مختلف براحتی چند برابر شود؛ خصوصاً آن دسته از مشکلاتی که به امنیت سایبری مربوط می‌شوند. از این رو ساده می‌توان از تهدید سایبری که براحتی می‌شود جلو آن را گرفت چشم‌پوشی کرد.

اشتباهات معمول امنیت سایبری

بیایید اینطور تصور کنیم: شما متوجه این نشدید که استارت‌آپ کوچکتان چطور به یک کسب و کار تمام عیار تبدیل شده است. تا اینجای کار چه اشتباهات امنیت سایبری‌ای می‌توانستید انجام داده باشید؟

حقوق دسترسی بیش از حد

اغلب وقتی یک کارمند استارت‌آپ نیاز دارد به منابع یا سرویس‌های سازمان دسترسی داشته باشد فوراً حقوق ادمین را طلب می‌کند. فردی که این حقوق دسترسی را تقسیم می‌کند معمولاً فکر می‌کند بهتر است همه حقوق دسترسی‌ را به او بدهد بدون اینکه از نیازهای واقعی آن کارمند خاص و نیز مسئولیت‌هایش درکی داشته باشد. هر قدر کارمندی حقوق دسترسی بیشتری در اختیار داشته باشد شانس خطا نیز بیشتر می‌شود. اگر می‌خواهید تعداد رخدادهای سایبری را کاهش دهید، هر شرکت‌کننده جریان کاری باید فقط آن دسته از حقوق‌های دسترسی را داشته باشد که برای تسک‌هایش نیاز است.

عدم قوانین سیستم ذخیره‌سازی اطلاعات

به طور کلی، این برای هر کسب و کاری بد است. اما در یک استارت‌آپ به دلیل تغییر نیرو که بالاتر گفتیم یک روز ممکن است دیگر نتوانید فایل‌های مهم کاری را پیدا کنید. به احتمال زیاد آن‌ها جایی هستند که شما از وجودشان خبر ندارید (جایی مخفی). یک توسعه‌دهنده یا کاراموز بازاریابی زمانی از جای فایل‌ها خبر داشته است اما اخیراً بدون اینکه به کسی بگوید شرکت را ترک کرده است.

پسوردهای فراموش‌شده

مشکل رایج دیگر پسوردهای فراموش‌شده مخصوص شبکه‌های اجتماعی سازمانی یا سایر سرویس‌هایی که به ندرت استفاده می‌شوند هستند. شاید عضو جدید یک پرسنل برای پروموت کردن کسب وکار اکانت لینکدین یا فیسبوک راه‌اندازی کند اما نتواند جزئیات اکانت را با سایر اعضای پرسنل به اشتراک بگذارد و بعد هم از سمت خود استعفا دهد. در این صورت اطلاعات از دست رفته است و دیگر هم شانسی برای ریکاوری‌اش نخواهد بود.

پسوردهای به اشتراک‌گذاشته‌شده

برخی از افراد ممکن است فکر کنند با توجه به تعویض نیروی بالا استفاده از حساب‌های اشتراکی می‌تواند ایده خوبی باشد اما هرچه افراد بیشتری رمز عبور را بدانند، احتمال لو رفتن آن به دلیل فیشینگ، سهل انگاری یا داشن نیات مخرب بیشتر خواهد شد.  علاوه بر این، بررسی یک رخداد سایبری نیز بسیار پیچیده خواهد شد. فرض کنید معلوم ‌شود شخصی به یک حساب کاربری دسترسی پیدا کرده است - کارشناسان گمان می‌کنند که رمز عبور توسط بدافزار رهگیری شده است و می‌خواهند کامپیوتر کارمندی را که دسترسی داشته است بررسی کند. و بعدش می‌فهمند همه آن رمزعبور را داشته‌اند!

پسوردهایی در سرویس‌های کلود

یکی دیگر از اشتباهات مربوط به رمز عبور، ذخیره آنها در برخی از فایلها در Google Docs است، زیرا تنظیم نادرست به این معنی است که معمولاً توسط هر کسی که لینک را داشته باشد قابل دسترسی است. مزیت آشکار این است که انتقال اطلاعات لازم به همه کارمندان بسیار راحت است، کافی است تمام پسوردهای لازم را در یک داکیومنت قرار داده و یک لینک ارسال کنید. با این حال، این اسناد گوگل را می‌توان توسط موتورهای جستجو ایندکس کرد. به عبارت دیگر، فایل با تمام رمزهای عبور شما ممکن است به طور بالقوه به دستان افرادی شرور بیافتد.

عدم قابلیت احراز هویت دو عاملی

برخی از مشکلات مربوط به پسورد اگر استارت‌آپ‌ها روی اکانت‌های کاری‌شان احراز هویت دوعاملی را فعال کنند کمتر خطرناک خواهند بود. این کار موجب خواهد شد تا داده‌های مهم را از متودهای سرقت نظیر فیشینگ دور نگه دارید. احراز هویت دوعاملی از همه مهمتر باید برای سرویس‌های مالی مانند Upwork فعال شود.

توصیه‌های جهانی جلوگیری از تهدید سایبری

•         وقتی صحبت از دادن دسترسی به منابع و سرویس‌ها می‌شود باید حداقل مزیت را قائل شوید. بدین‌معنا که یک کارمند می‌بایست اقل مجموعه حقوق را در دسترس داشته باشد تا فقط به تسک‌های محول‌شده به او بتواند بپردازد.
•         دقیقاً بدانید که اطلاعات مهم استارتاپ شما در کجا ذخیره شده و چه کسی به آن دسترسی دارد. از این رو، هنگام استخدام کارمندان جدید، دستورالعمل هایی را تدوین کنید، از جمله اینکه به طور واضح تعریف کنید که کدام اکانت‌ها برای هر کارمند مورد نیاز است و کدام حساب ها باید فقط به نقش‌های خاص محدود شوند.
•         فرهنگ امنیت سایبری شرکت‌های بزرگ به جلوگیری از بسیاری از تهدیدات سایبری کمک می‌کند. برای مثال می‌توانید با ایجاد یک کتابچه راهنمای امنیت سایبری برای کارمندان شروع کنید تا همه از آن تبعیت کنند. بگذارید مثال خوبی بزنیم برای کارمندان جدید:
•         همه رمزهای عبور باید در یک مدیریت رمز عبور ایمن ذخیره شوند. این به کارمندان شما کمک می‌کند تا آنها را فراموش نکنند یا از دست ندهند و همچنین احتمال دسترسی افراد خارجی به حساب‌های شما را به حداقل رسانده شود.  همچنین در صورت امکان از مکانیزم‌های احراز هویت دو مرحله‌ای استفاده کنید.
•         به کارمندان خود توصیه کنید کامپیوتر خود را وقتی از میزشان دورند قفل کنند. آن‌ها می‌بایست در نظر داشته باشند که در یک اداره می‌تواند کلی طرف‌سوم حضور داشته باشند مثلاً پیک، مشتری، متقاضیان کار، پیمانکاران فرعی و غیره.
•         برای محافظت از دستگاه‌های خود در برابر ویروس‌ها، تروجان‌ها و سایر برنامه‌های مخرب سعی کنید نرم‌افزارهای آنتی‌ویروس را نصب کنید.

با راهکار Kaspersky Small Office Security می‌توان جلوی تعداد زیادی از تهدیدها را گرفت. این راهکار نه تنها از دستگاه کارمندان شما در برابر باج‌افزارها و سایر تهدیدهای سایبری رایج محافظت می‌کند که همچنین شامل مدیر کلمه عبور هم می‌شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.