روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ علی‌رغم آنچه ممکن است فروشندگان امنیتی بگویند، راهی برای حل کامل چالش‌های امنیتی زنجیره تأمین وجود ندارد. فقط می‌شود مدیریتشان کرد. اواخر قرن نوزده بسیاری از شهرهای بزرگ در پی انباشته شدن مدفوع اسب در خیابان‌ها با مخمصه‌ی بدی مواجه شدند. جدا از بحث بوی نامطبوع و منظره زشتی که درست شده بود، این مسئله همچنین منبع آب را نیز سمی و شیوع بیماری را تسریع کرده بود. برای جلوگیری از این انباشت از بیل‌ها و چرخ‌دستی‌ها استفاده می‌کردند اما باز هم مدفوع اسب‌ها همه جا پر می‌شد. بطوریکه دیگر نمی‌شد با متودها و فناوری‌های آن زمان این بحران را رد کرد. تا وقتی وسایل نقلیه موتوری رونمایی نشده بودند شهرها همچنان با این وضعیت وخیم دست و پنجه نرم می‌کردند. به بیانی دیگر، در بهترین حالت ممکن فقط می‌توانستند این وضعیت را مدیریت کنند نه حل. کمابیش این شبیه وضعیت امنیت امروزِ زنجیره تأمین است. اینکه اذعان کنیم امنیت زنجیره تأمین یک مشکل است نشان می‌دهد راه‌حلی نیز برایش وجود دارد. اما امنیت زنجیره تأمین دیگر معضل نیست زیرا برای آن هیچ راهکار ساده یا چک‌لیستی وجود ندارد. حتی راهکارهای پیچیده‌ای هم دیگر در کار نیست. برعکس، می‌شود این وضعیت را یک مخمصه دانست؛ وضعیتی آشفته که امروز تنها می‌شود مدیریتش کرد. این صرفاً یک تفاوت معنایی نیست. کشیدن چنین خطی به ما اجازه می‌دهد بهتر چالش‌هایی را که با آن‌ها مواجه می‌شویم دسته‌بندی کنیم و جلوی ناامیدی برخاسته از اتخاذ رویکرد اشتباه برای چالش مورد نظر را بگیریم.

خرد کافی برای تشخیص تفاوت

ما متخصصین امنیتی می‌بایست دعای آرامش[1] را مدام زیر لب زمزمه کنیم:

«پروردگارا، به من آرامشی عطا بفرما که چیزهایی را که نمی‌توانم تغییر دهم بپذیرم؛ جرأتی بده تا چیزهایی که می‌توانم، تغییر دهم و خردی بده تا تفاوت بین این دو را بدانم».

این دعای ساده تفاوت بین مشکل امنیتی و مخمصه امنیتی را بخوبی نشان می‌دهد. اگر خرد کافی برای تشخیص تفاوت بین این دو وجود نداشته باشد فرد یا سازمان ناامید خواهد شد زیرا برای مخمصه راه‌حلی وجود ندارد و این فقط توجه مدیریتی را هدر می‌دهد.

ابزارهای مختلف برای چالش‌های مختلف

ندانستن این تفاوت همچنین می‌تواند به انتخاب ابزار اشتباه یا انتظارات اشتباه از ابزارهای درست نیز ختم شود. به کار گرفتن ابزارهایی که برای مدیریت مشکلات استفاده می‌کنیم زمین تا آسمان با ابزارهای حمایت تصمیم‌گیری که برای مدیریت مخمصه‌ها استفاده می‌شود فرق دارد. این تفاوت را می‌شود با گفته جان لامبرت خلاصه کرد: «مدافعین تفکر فهرست‌وار دارند و مهاجمین تفکر نموداری. تا زمانیکه منوال این باشد مهاجمین برنده‌اند». وقتی از رعایت بهداشت اولیه و انطباق صحبت می‌کنیم منظو مشکلات حل‌شده و راه‌حل‌هایی که می‌توانند در قالب فهرست‌ها مدون شوند. ابزارهای حل مشکل باید بتوانند براحتی این لیست‌ها را بررسی کرده و تأیید کنند نواقص رایج برطرف شده‌اند. اما وقتی حرف از مخمصه‌ای مانند امنیت زنجیره تأمین می‌شود، پیشنهادات ساده یا تکیه بر پرسشنامه‌های طولانی نمی‌تواند کافی باشد. ریسک‌های زنجیره تأمین ما بعد از دریافت یک پرسشنامه تکمیل‌شده براحتی از میان نمی‌روند.

مخصمه‌ها اغلب برخاسته از تعامل پیچیده اجزای وابسته به همدیگر هستند که منفک کردنشان تقریباً محال است. دلیل واحدی برای مخمصه وجود ندارد و در نتیجه راه‌حل واحدی نیز نمی‌شود برای آن قائل بود. بطور مشابهی، زنجیره‌های تأمین ما به شدت در هم تنیده‌اند. نمی‌شود راحت وابستگی‌مان را به تأمین‌کنندگان خارجی حل کرد و در عین حال توقع داشت در بازار نیز همچنان رقابت کنیم. این وابستگی، عامل ریسک مداومی (یا مخصمه‌ای) را ایجاد می‌کند که تا زمانیکه کلاس جدید فناوری یا فرآیندهایی نیایند که نحوه عملکرد زنجیره‌های تأمین امروز ما را تغییر دهند قابل مدیریت نخواهد بود. شاید خود نمودار مشکل زنجیره تأمین ما را حل نکند اما تفکر نموداری به ما اجازه می‌دهد تا ریسک را درک و مدیریت کنیم. برای مثال، SBOM[2] باعث از بین رفتن مسائل امنیتی زنجیره تأمین نرم‌افزار ما نمی‌شود اما وقتی صحبت از درک وابستگی‌ها و مدیریت ریسک‌های مرتبط با مخمصه‌ای که خود را در آن یافته‌ایم به میان می‌آید می‌تواند بسیار مفید و کارا باشد. جداسازی مشکلات‌مان از مخمصه‌ها شاید کمک‌کننده باشد. اغلب ما سر زمانی که «کار تمام شده» مشکل داریم. در حقیقت نمی‌توانیم بدانیم این زمان، کِی است یا حتی نمی‌توانیم آن را بیان کنیم. وقتی صحبت از مشکلات می‌شود ما زمانی کارمان تمام شده که مطابق با جدیدترین اقدامات و استانداردها عمل کرده باشیم (هدفی سخت اما رسیدنی). اما در مورد مخمصه‌ها (مانند امنیت زنجیره تأمین) می‌شود اینطور گفت که کارمان وقتی تمام شده که توانسته باشیم مثل قرن نوزده مدفوع اسب‌ها را با مشقت بیل بزنیم.

[1] Serenity Prayer

[2] A software bill of materialsلیستی است از اجزای یک تکه نرم‌افزاری.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.