امنیت زنجیره تأمین معضل نیست، مخمصه است!

14 اسفند 1400 امنیت زنجیره تأمین معضل نیست، مخمصه است!

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ علی‌رغم آنچه ممکن است فروشندگان امنیتی بگویند، راهی برای حل کامل چالش‌های امنیتی زنجیره تأمین وجود ندارد. فقط می‌شود مدیریتشان کرد. اواخر قرن نوزده بسیاری از شهرهای بزرگ در پی انباشته شدن مدفوع اسب در خیابان‌ها با مخمصه‌ی بدی مواجه شدند. جدا از بحث بوی نامطبوع و منظره زشتی که درست شده بود، این مسئله همچنین منبع آب را نیز سمی و شیوع بیماری را تسریع کرده بود. برای جلوگیری از این انباشت از بیل‌ها و چرخ‌دستی‌ها استفاده می‌کردند اما باز هم مدفوع اسب‌ها همه جا پر می‌شد. بطوریکه دیگر نمی‌شد با متودها و فناوری‌های آن زمان این بحران را رد کرد. تا وقتی وسایل نقلیه موتوری رونمایی نشده بودند شهرها همچنان با این وضعیت وخیم دست و پنجه نرم می‌کردند. به بیانی دیگر، در بهترین حالت ممکن فقط می‌توانستند این وضعیت را مدیریت کنند نه حل. کمابیش این شبیه وضعیت امنیت امروزِ زنجیره تأمین است. اینکه اذعان کنیم امنیت زنجیره تأمین یک مشکل است نشان می‌دهد راه‌حلی نیز برایش وجود دارد. اما امنیت زنجیره تأمین دیگر معضل نیست زیرا برای آن هیچ راهکار ساده یا چک‌لیستی وجود ندارد. حتی راهکارهای پیچیده‌ای هم دیگر در کار نیست. برعکس، می‌شود این وضعیت را یک مخمصه دانست؛ وضعیتی آشفته که امروز تنها می‌شود مدیریتش کرد. این صرفاً یک تفاوت معنایی نیست. کشیدن چنین خطی به ما اجازه می‌دهد بهتر چالش‌هایی را که با آن‌ها مواجه می‌شویم دسته‌بندی کنیم و جلوی ناامیدی برخاسته از اتخاذ رویکرد اشتباه برای چالش مورد نظر را بگیریم.

خرد کافی برای تشخیص تفاوت

ما متخصصین امنیتی می‌بایست دعای آرامش[1] را مدام زیر لب زمزمه کنیم:

«پروردگارا، به من آرامشی عطا بفرما که چیزهایی را که نمی‌توانم تغییر دهم بپذیرم؛ جرأتی بده تا چیزهایی که می‌توانم، تغییر دهم و خردی بده تا تفاوت بین این دو را بدانم».

این دعای ساده تفاوت بین مشکل امنیتی و مخمصه امنیتی را بخوبی نشان می‌دهد. اگر خرد کافی برای تشخیص تفاوت بین این دو وجود نداشته باشد فرد یا سازمان ناامید خواهد شد زیرا برای مخمصه راه‌حلی وجود ندارد و این فقط توجه مدیریتی را هدر می‌دهد.

ابزارهای مختلف برای چالش‌های مختلف

ندانستن این تفاوت همچنین می‌تواند به انتخاب ابزار اشتباه یا انتظارات اشتباه از ابزارهای درست نیز ختم شود. به کار گرفتن ابزارهایی که برای مدیریت مشکلات استفاده می‌کنیم زمین تا آسمان با ابزارهای حمایت تصمیم‌گیری که برای مدیریت مخمصه‌ها استفاده می‌شود فرق دارد. این تفاوت را می‌شود با گفته جان لامبرت خلاصه کرد: «مدافعین تفکر فهرست‌وار دارند و مهاجمین تفکر نموداری. تا زمانیکه منوال این باشد مهاجمین برنده‌اند». وقتی از رعایت بهداشت اولیه و انطباق صحبت می‌کنیم منظو مشکلات حل‌شده و راه‌حل‌هایی که می‌توانند در قالب فهرست‌ها مدون شوند. ابزارهای حل مشکل باید بتوانند براحتی این لیست‌ها را بررسی کرده و تأیید کنند نواقص رایج برطرف شده‌اند. اما وقتی حرف از مخمصه‌ای مانند امنیت زنجیره تأمین می‌شود، پیشنهادات ساده یا تکیه بر پرسشنامه‌های طولانی نمی‌تواند کافی باشد. ریسک‌های زنجیره تأمین ما بعد از دریافت یک پرسشنامه تکمیل‌شده براحتی از میان نمی‌روند.

مخصمه‌ها اغلب برخاسته از تعامل پیچیده اجزای وابسته به همدیگر هستند که منفک کردنشان تقریباً محال است. دلیل واحدی برای مخمصه وجود ندارد و در نتیجه راه‌حل واحدی نیز نمی‌شود برای آن قائل بود. بطور مشابهی، زنجیره‌های تأمین ما به شدت در هم تنیده‌اند. نمی‌شود راحت وابستگی‌مان را به تأمین‌کنندگان خارجی حل کرد و در عین حال توقع داشت در بازار نیز همچنان رقابت کنیم. این وابستگی، عامل ریسک مداومی (یا مخصمه‌ای) را ایجاد می‌کند که تا زمانیکه کلاس جدید فناوری یا فرآیندهایی نیایند که نحوه عملکرد زنجیره‌های تأمین امروز ما را تغییر دهند قابل مدیریت نخواهد بود. شاید خود نمودار مشکل زنجیره تأمین ما را حل نکند اما تفکر نموداری به ما اجازه می‌دهد تا ریسک را درک و مدیریت کنیم. برای مثال، SBOM[2] باعث از بین رفتن مسائل امنیتی زنجیره تأمین نرم‌افزار ما نمی‌شود اما وقتی صحبت از درک وابستگی‌ها و مدیریت ریسک‌های مرتبط با مخمصه‌ای که خود را در آن یافته‌ایم به میان می‌آید می‌تواند بسیار مفید و کارا باشد. جداسازی مشکلات‌مان از مخمصه‌ها شاید کمک‌کننده باشد. اغلب ما سر زمانی که «کار تمام شده» مشکل داریم. در حقیقت نمی‌توانیم بدانیم این زمان، کِی است یا حتی نمی‌توانیم آن را بیان کنیم. وقتی صحبت از مشکلات می‌شود ما زمانی کارمان تمام شده که مطابق با جدیدترین اقدامات و استانداردها عمل کرده باشیم (هدفی سخت اما رسیدنی). اما در مورد مخمصه‌ها (مانند امنیت زنجیره تأمین) می‌شود اینطور گفت که کارمان وقتی تمام شده که توانسته باشیم مثل قرن نوزده مدفوع اسب‌ها را با مشقت بیل بزنیم.

 

 

[1] Serenity Prayer

[2] A software bill of materialsلیستی است از اجزای یک تکه نرم‌افزاری.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    11,651,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    3,881,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    15,536,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,823,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,823,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    7,766,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    13,986,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد