روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ این اصل معروف که می‌گوید «سری که درد نمی‌کند دستمال نمی‌بندند» از خیلی وقت پیش‌ جهان رایاناشی را به تسخیر خود درآورده. گسترش حملات سایبری شامل حملاتی که به سازمان‌های علمی و دارویی شد هم برای خدمات بخش آی‌تی و هم امنیت اطلاعات به چالش واقعی تبدیل شده است. به منظور محافظت از سخت‌افزارهای مهم در برابر حملات، نرم‌افزارهای آن‌ها باید به روز شوند. علاوه بر این، نرم‌افزار از رده خارج مساوی است با براحتی اکسپلویت کردن آسیب‌پذیری‌ها، عدم رمزگذاری یا رمزگذاری بسیار پیش پا افتاده و کنترل دسترسی سطح پایین. اما به روز کردن نرم‌افزارها اغلب مستلزم پرداخت هزینه‌های سنگین هستند و بعلاوه خطرهات تخریب فرآیندهای تجاری نیز به همراه دارند. حالا سوال این است: آیا مسئله واقعاً به همین پیچیدگی است و یا اساساً می‌شود این مشکل را حل کرد؟

ریسک بروزرسانی

بسیاری از سیستم‌ها سال‌هاست  -حتی دهه‌هاست-روان کار می‌کنند. آن‌ها به روزنشده باقی می‌مانند چون صاحبان تجاری‌شان نگرانند نکند با آپدیت‌ها سیستم‌هایشان به طور غیرقابل‌جبرانی دچار خسارت شوند. چنین ترس‌هایی بی‌اساس هم نیستند: افرادی که سیستم‌ها را نصب و راه‌اندازی کرده‌اند ممکن است مدت‌ها بازنشسته شده باشند و ممکن است اسناد از بین رفته یا اصلاً وجود نداشته باشند. گاهی اوقات این خود را به اشکال شدید نشان می‌دهد; به عنوان مثال، خدمات درآمد داخلی ایالات متحده هنوز از رایانه‌ها و برنامه‌های دهه 1970 به زبان تقریباً ُمرده COBOL استفاده می‌کند. شاید تامین‌کننده سخت‌افزار فروخته شده یا تصاحب شده باشد، کسب‌وکار را تعطیل کرده یا از کار افتاده باشد. این نیز چیز غیرعادی نیست: امسال غول ATM Diebold Nixdorf اعلام ورشکستگی کرد. در چنین شرایطی هیچ پشتیبانی فنی هم وجود ندارد که بشود در صورت خراب بودن به روزرسانی با آن تماس گرفت. افزون بر این، سخت‌افزاری که قدمت داشته باشد با سایر سیستم‌های شرکت ارتباط برقرار می‌کند و این اتصالات می‌توانند مبهم باشد و یا مستندات آن ضعیف عمل کند.  در نتیجه، خرابی سیستم می‌تواند باعث خرابی‌های آبشاری یا نقص در سایر سیستم‌ها شود که پیش‌بینی و جلوگیری از آن دشوار است.  بهبودی پس از چنین رخدادی ممکن است روزها یا هفته ها طول بکشد و هزینه از کار افتادن آن می‌تواند بسیار زیاد باشد.

هزینه‌های محدودکننده‌ی آپگرید

حتی اگر سیستم خیلی به هم متصل نباشد و مستندات آن نیز پیکربندی قوی‌ای داشته باشند، به‌دلیل هزینه‌های گزاف، امکان به‌روزرسانی وجود ندارد. به عنوان مثال، نیاز به از کار انداختن یک سیستم عامل قدیمی در یک دستگاه MRI ممکن است نیاز به خرید یک دستگاه جدید داشته باشد. هزینه (حدود نیم میلیون دلار) به خودی خود بسیار بالا است. اما مشکل به برچسب قیمت اسکنر محدود نمی‌شود. شاید برای درست کردن یک سخت‌افزار نیاز باشد حتی چرتقیل آورد و دیوارها را خراب کرد و سیم‌کشی‌ها را از نو درست کرد. پس از اینجا به بعد پروژه به یک پروژه ساختمانی بزرگ تبدیل می‌شود که بخش آی‌تی دیگر نقشی در آن ندارد. اگر سیستم عمیقاً با تجهیزات قدیمی و نرم‌افزارهای به همان اندازه منسوخ درهم تنیده باشد، جایگزینی سخت افزار نیاز به کدگذاری مجدد یا خرید نرم افزار جدید دارد که می‌تواند پروژه طولانی و پرهزینه دیگری باشد.

اقدامات جبرانی

همانطور که ماشین‌های قدیمی گران‌قیمت در یک گاراژ و نقاشی‌های با ارزش در یک کانتینر مخصوص کنترل‌شده نگهداری می‌شوند، سیستم‌هایی که نه قابل تعویض هستند و نه به طور کامل قابل ارتقا هستند نیز نیازمند رویکرد ویژه‌ای برای نگهداری هستند. هر اقدام ممکن باید برای کاهش سطح حمله انجام شود. در زیر فهرست کوتاهی از اقدامات جبرانی ممکن برای محافظت از سیستم‌های قدیمی فناوری اطلاعات آورده شده است:

تقسیم‌بندی شبکه. تفکیک تجهیزات آسیب پذیر قدیمی در یک بخش شبکه جداگانه به تقلیل خطر حملات سایبری کمک می‌کند.  شما باید برای درجه بالایی از جداسازی تلاش کنید –حتی اگر کار به جداسازی فیزیکی شبکه و تجهیزات سوئیچینگ برسد.  اگر این واقع بینانه نیست، حتماً مرتباً بررسی کنید که فایروال‌ها و روترها برای حفظ ایزوله مناسب از شبکه "عادی" پیکربندی شده‌اند. همچنین مهم است که نقض معمول مقررات توسط کارمندان را ردیابی کنید - مانند دسترسی به شبکه ایزوله و مشترک از طریق رابط های شبکه مختلف از یک کامپیوتر.

رمزگذاری. برای سیستم‌هایی که با استفاده از پروتکل‌های قدیمی با رایانه‌های دیگر تبادل اطلاعات می‌کنند، ایجاد تونل‌های VPN بر اساس آخرین الگوریتم‌های رمزگذاری و احراز هویت توصیه می‌شود. تبادل داده در خارج از تونل باید مسدود شود.

آپگریدها. حتی اگر ارتقاء به یک سیستم مدرن مطرح نباشد، این بدان معنا نیست که اصلاً نمی‌توانید هیچ به روز رسانی را نصب کنید. ارتقای گام به گام به آخرین نسخه‌های موجود نرم‌افزار اصلی و به‌روزرسانی‌های منظم پایگاه داده برای سیستم‌های حفاظتی نصب‌شده، ترجیح داده می‌شود.

جداسازی میکروی فرآیندها. اگر فرآیندی تجاری در یک سیستم قدیمی  جایی برای جداسازی دارد، ایده خوبی است که فقط آن بخش‌هایی از فرآیند را که نمی‌توان به تجهیزات جدیدتر منتقل کرد، روی آن گذاشت. انتقال حتی بخشی از حجم کار به یک پلت‌فرم مدرن قابل ارتقا، محافظت از آنچه باقی مانده را آسان‌تر می‌کند. به عنوان مثال، تصاویر MRI را نمی‌توان خارج از اسکنر گرفت، اما می‌توان آنها را در سرور کلینیک آپلود و در رایانه های جدیدتر مشاهده و تجزیه و تحلیل کرد.

فهرست دقیق از اپ‌ها. نکته قبلی دامنه کار انجام شده روی تجهیزات قدیمی را به حداقل می‌رساند. برنامه‌ها و فرآیندهایی را که بخشی از چنین مشاغلی هستند می‌توان به لیست مجاز اضافه کرد و بقیه را به فهرست رد کردن. این به طور قابل توجهی خطر اجرای بدافزار یا فقط نرم افزار طرف‌سوم را که بر ثبات سیستم تأثیر ‌می‌گذارد، کاهش می‌دهد. چنین سناریوی «انکار پیش‌فرض» را می‌توان با استفاده از راهکارهای امنیتی تخصصی که قادر به کار بر روی سیستم‌هایی با منابع محدود هستند، پیاده‌سازی کرد.

مجازی‌سازی. در مواردی که نرم‌افزارهای قدیمی روی سخت‌افزار قدیمی اجرا می‌شوند، استفاده از ماشین‌های مجازی ممکن است دو مشکل را حل کند: حداقل امکان ارتقای سخت‌افزار و اجرای تعدادی اقدامات جبرانی (مانند کنترل دسترسی مدرن و رمزگذاری) در سیستم مجازی‌سازی را فراهم می‌کند. سطوح سیستم میزبان این نکته حتی برای برخی از سیستم های پردازش اطلاعات بسیار قدیمی می‌تواند به خوبی کار کند.

به حداقل رساندن دسترسی و مزیت‌ها. دسترسی به تجهیزات قدیمی (به طور خاص، به سخت افزار رایانه آن) باید به حداقل تعداد لازم از کارمندان با امتیازات بسیار محدود داده شود. اگر معماری سیستم اجازه پیکربندی مورد نیاز حقوق و کاربران را نمی‌دهد، می‌توانید سعی کنید این محدودیت‌ها را در مرحله دسترسی قبلی (در حین ورود به VPN یا ماشین مجازی و غیره) اجرا و همچنین دسترسی را از طریق اقدامات صرفاً اداری محدود کنید. (قفل و امنیت). البته این امر مستلزم ارزیابی دقیق کاربرد هر اقدام و خطرات مربوط به عملکرد روان و ایمن فناوری در حال اجرا است.

آینده‌نگری

اعمال اقدامات جبرانی برای تجهیزات از رده خارج تماماً کار بخش امنیت اطلاعات نیست. متخصصین اینفوسک به لیست کاملی از تجهیزات منسوخ در شرکت نیاز دارند و نیز باید زمانی را که جایگزینی آن به دلایل تجاری شروع شده ردیابی کنند. این زمان خوبی برای ارتقاء مطابق با آخرین الزامات امنیتی است. مهمتر از آن، باید اطمینان حاصل کنید که سیستم‌هایی که امروز راه‌اندازی می‌شوند - که روزی خود منسوخ می‌شوند - همان مشکلات را به ارث نمی‌برند. برای این کار، هنگام خرید سخت‌افزار و نرم‌افزار، باید تمام الزامات infosec در نظر گرفته شود:

به روز رسانی منظم و آسان اجزای نرم افزار؛ مستندسازی باگ‌ها و آسیب پذیری‌ها؛ و در حالت ایده آل، فلسفه ایمن با طراحی. برای نرم‌افزارهای توسعه‌یافته داخلی یا فورک‌های منبع باز (که در بین شرکت‌ها محبوب‌تر می‌شوند)، تعیین الزامات سختگیرانه برای اسناد کد بسیار مهم است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.