روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سازمان‌ها به امنیت سایبری اعتماد زیادی دارند اما این راهبرد «امنیت ناشی از ابهام[1]» هنوز هم بین‌شان رایج است چراکه می‌دانیم شرکت‌ها هنوز هم با آگاهی امنیتی کلنجار می‌روند و از برنامه‌های اعضای جایزه در قبال پیدا کردن باگ[2] دوری می‌کنند. به نقل از داده‌های پژوهشی که HackerOne انجام داده است، 65 درصد سازمان‌ها ادعا داشتند دوست دارند خطاناپذیر دیده شوند. با این حال 64 درصد نیز گفته‌اند به فرهنگ امنیت ناشی از ابهام اعتقاد دارند؛ جایی که محرمانگی بعنوان متود اولیه و اصلی محافظت از سیستم‌ها و دارایی‌های حساس استفاده می‌شود. با ما همراه بمانید.

چالش آگاهی امنیتی

وقتی صحبت از آنچه دارد در واقع داخل سازمان‌ها اتفاق می‌افتد می‌شود 57 درصد پاسخ‌دهندگان در این نظرسنجی به «دام امنیت سازمانی[3]» اشاره می‌کنند. این یعنی گذار فرهنگ امنیتی از محرمانگی به شفافیت. گویی سازمان‌ها در تقلا هستند فرهنگ امنیت سایبری را ایجاد کنند و این درحالیست که تنها 26 درصد مطمئنند کارکنان اقدامات امنیتی را دنبال می‌کنند. بدتر اینکه تنها 12 درصد دپارتمان‌های خارج از بخش امنیتی و آی‌تی، آگاهی سایبری دارند و در این خصوص به طور ویژه آموزش دیده‌اند. تعبیر این جمله «دردسر» است: حدود 63 درصد گفته‌اند نقض امنیتی‌شان در نتیجه‌ی نادیده گرفتن اقدامات امنیتی از سوی کارمندان بوده است. برخی از مسائل نیز به دلیل کاستی‌ها مقامات بالا بوده است:  تنها 29 درصد هیئت مدیره‌ها عمیقاً خود را درگیر استراتژی امنیت سایبری می‌کنند و 65 درصد نیز گفته‌اند مدام بدان‌ها گفته شده بوده که امنیت از نوآوری می‌کاهد و آن‌ها نیز از این روی خیلی به این مقوله نپرداختند. 63 درصد سازمان‌ها هم معتقد بودند امنیت سایبری به اندازه انتخاب تأمین‌کننده و هزینه‌ای که باید برای آن شود اهمیت دارد. 62 درصد سازمان‌ها نیز گفتند اگر تأمین‌کننده دچار نقض داده شود کسب و کار خود را جای دیگر خواهند برد.

مشکل محرمانگی

از این رو، شاید جای تعجبی هم نباشد که 38 درصد پاسخ‌دهندگان متفق‌القول بودند که سازمان‌هایشان هنوز پذیرای اقدامات امنیتی‌ آن‌ها نیستند. اما طبق آنچه نویسندگان این گزارش گفته‌اند، «این نوع رویکرد آسیب‌زننده است زیرا اگر خطا و ضعف اعتراف نشود و سازمان‌ها در چنین موقعیتی کمک نخواهند در نهایت به برند خود خدشه وارد کرده‌اند؛ خدشه‌ای بس قابل‌توجه‌تر از آنچه یک حمله سایبری می‌توانست وارد کند». الکس رایس مؤسس شریک HackerOne بر مبحث شفافیت تأکید دارد و می‌گوید شفافیت راه‌گشاست. باید جلوی ایجاد امنیت ناشی از ابهام را گرفت و راه را برای شفافیت باز کرد. همچنین در این گزارش پیشنهاداتی هم در این راستا به سازمان‌ها شده است: نقض‌ها را به سهامداران گزارش دهند، گزارشاتی ارائه دهند مبنی بر اقدامات امنیتی که هم‌اکنون در چنته دارند. راه دیگر اتخاذ استراتژی افشای آسیب‌پذیری (vdp) است. همینطور برنامه‌های اعطای جایزه برای کشف باگ و یک سری تست نفوذهای منظم که در آن از محققین طرف سوم کمک گرفته می‌شود. با این حال همین آسیب‌پذیری‌های طرف‌سوم نیز خود پیچیدگی‌هایی دارد.

بحث بر سر جوایز کشف باگ

شرکت‌های بزرگی مانند گوگل و اینتل هزاران دلار - حتی میلیون‌ها دلار در هر سال - برای برنامه‌های جوایز کشف باگ می‌کنند. با انگیزه مالی برای انجام این کار، محققین خارجی و هکرهای دوستانه به شرکت‌ها کمک می‌کنند تا آسیب‌پذیری‌های روز صفر را زودتر، قبل از اینکه مهاجمین انجام دهند، پیدا کنند. با این حال، این داده‌های جدید نشان می‌دهد همه افراد هیئت مدیره هم با این برنامه‌ها موافق نیستند. همه متخصصان امنیتی نیز پذیرای بررسی‌هایی از سوی نیروهای خارج سازمانی نمی‌باشند. 67 درصد از پاسخ دهندگان گفتند که ترجیح می‌دهند آسیب‌پذیری‌های نرم افزاری را بپذیرند تا با هکرها کار کنند! تردید در هر دو سنگر وجود دارد: هکرهای اخلاقی اغلب از گزارش آسیب‌پذیری‌ها به فروشندگان منصرف می‌شوند، زیرا اغلب نادیده گرفته می‌شوند یا برای انجام این کار مستقیماً مورد حمله قرار می‌گیرند. برای مثال، در ماه اکتبر، فرماندار میسوری تحقیقات جنایی را علیه روزنامه‌نگاری که گزارش داده بود وب‌سایت این ایالت صدها هزار شماره امنیت اجتماعی را در وب افشا می‌کند، آغاز کرد. پس جای تعجب نیست که 50 درصد هکرها «به دلیل تجربه منفی قبلی یا نداشتن کانال‌هایی که از طریق آن گزارش می‌دهند، باگی را فاش نکرده‌اند.

سازمان‌ها باید چه کنند؟

برای ایجاد اعتماد و استقبال بیشتر سازمان‌ها از امنیت سایبری HackerOne چهار اصل را معرفی کرده است:

• تشویق شفافیت در سطح صنعتی برای ایجاد اعتماد و به اشتراک گذاری اطلاعات
• پرورش فرهنگ همکاری در سطح صنعتی که ابزارهایی را برای کنترل کاهش خطرات سایبری به همگان ارائه می‌دهد
• ترویج نوآوری با الهام بخشیدن به تیم‌های توسعه برای ایجاد امنیت در ذهن و ارائه سریعتر محصولات ایمن به بازار
• و مسئول نگه داشتن خود و تأمین‌کنندگان برای پیروی از بهترین شیوه‌های توسعه امنیت به عنوان یک نقطه تمایز آسان.

خطرات، بسیار است: حدود 53 درصد از پاسخ‌دهندگان این نظرسنجی اعتراف کردند که در نتیجه‌ی نقض داده مشتریان خود را از دست داده‌اند. نتیجه‌گیری؟ اینکه هر قدر سازمان‌ها زودتر پذیرای شفافیت باشند و در خصوص امنیت مشارکتی عمل کنند راندمان اجرایی‌شان بهتر خواهد شد.

[1] security by obscurity، اتکای مهندسی امنیت به محرمانه بودن طراحی یا پیاده سازی به عنوان روش اصلی تامین امنیت یک سیستم یا جزء است.

[2] bug-bounty programs

[3] The Corporate Security Trap

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.