روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حتی شرکت‌هایی با سطح بالای بلوغ امنیت سایبری و سرمایه‌گذاری‌های چشمگیر در حفاظت از داده، از گزند رخدادهای سایبری مصون نیستند. مهاجمان می‌توانند از آسیب‌پذیری‌های روز صفر سوءاستفاده کنند یا زنجیره تأمین را به خطر بیندازند. کارکنان ممکن است قربانی کلاهبرداری‌های پیچیده‌ای شوند که برای نفوذ به دفاع‌های شرکت طراحی شده‌اند. حتی تیم امنیت سایبری نیز ممکن است در پیکربندی ابزارهای امنیتی یا هنگام واکنش به رخداد، مرتکب خطا شود. با این حال، هر یک از این رخدادها فرصتی برای بهبود فرآیندها و سامانه‌ها و کارآمدتر کردن دفاع‌هاست. این فقط یک شعار نیست؛ بلکه رویکردی عملی است که در حوزه‌هایی مانند ایمنی هوانوردی موفقیت خود را ثابت کرده است.

در صنعت هوانوردی، تقریباً همه فعالان این حوزه — از مهندسان طراحی هواپیما گرفته تا مهمانداران — موظف‌اند برای جلوگیری از بروز حادثه، اطلاعات خود را به اشتراک بگذارند. این امر محدود به سقوط‌ها یا خرابی‌های سیستم نیست؛ بلکه مشکلات بالقوه نیز گزارش می‌شوند. این گزارش‌ها به‌طور مداوم تحلیل می‌شوند و تدابیر امنیتی بر اساس یافته‌ها به‌روزرسانی می‌شوند. بنا بر آمار شرکت  Allianz Commercial، این اجرای پیوسته اقدامات و فناوری‌های جدید باعث کاهش چشمگیر حوادث مرگبار شده است — از ۴۰ مورد در هر یک‌میلیون پرواز در سال ۱۹۵۹ به ۰٫۱ مورد در سال ۲۰۱۵.

همچنین در هوانوردی، سال‌ها پیش مشخص شد این مدل زمانی کارآمد است که افراد از گزارش تخلفات رویه‌ای، مشکلات کیفی و سایر علل حوادث نترسند. به همین دلیل، استانداردهای هوانوردی شامل الزاماتی برای گزارش‌گری غیرتنبیهی و فرهنگ عادلانه می‌شود؛ به این معنا که گزارش مشکلات و تخلفات نباید به مجازات منجر شود. مهندسان DevOps نیز اصل مشابهی با عنوان «فرهنگ ضد ملامت[1]‌» دارند که در تحلیل رخدادهای عمده به کار می‌گیرند. این رویکرد در امنیت سایبری نیز ضروری است.

آیا هر اشتباهی، نامی دارد؟
مفهوم متضاد فرهنگ ضد ملامت این است که «برای هر اشتباهی مقصری وجود دارد»، یعنی شخص مشخصی مسئول شناخته می‌شود. در این رویکرد، هر خطا می‌تواند منجر به اقدامات انضباطی، از جمله اخراج، شود. این اصل زیان‌آور شناخته شده و به بهبود امنیت نمی‌انجامد. کارکنان از پاسخگویی می‌ترسند و هنگام بررسی رخدادها، اغلب حقایق را تحریف کرده یا حتی مدارک را نابود می‌کنند. تحریف یا نابودی جزئی مدارک، پاسخگویی به حادثه را دشوار کرده و نتیجه کلی را وخیم‌تر می‌کند، زیرا تیم‌های امنیتی نمی‌توانند سریع و دقیق دامنه حادثه را ارزیابی کنند. تمرکز بر مقصر دانستن یک نفر در بررسی حادثه، مانع از تمرکز تیم روی تغییر سیستم برای جلوگیری از بروز حوادث مشابه در آینده می‌شود. کارکنان از گزارش تخلفات در سیاست‌های فناوری اطلاعات و امنیت می‌ترسند و این باعث از دست رفتن فرصت‌های اصلاح نقص‌های امنیتی پیش از وقوع حادثه بحرانی می‌شود.
آن‌ها انگیزه‌ای برای بحث درباره مسائل امنیت سایبری، آموزش یکدیگر یا اصلاح اشتباهات همکاران ندارند. برای اینکه همه کارکنان بتوانند واقعاً در امنیت شرکت نقش ایفا کنند، باید رویکرد متفاوتی اتخاذ کرد.

اصول بنیادین فرهنگ عادلانه
چه اسمش را «گزارش‌دهی غیرتنبیهی» بگذارید چه «فرهنگ ضد ملامت»، اصول اصلی یکسان است:

انسان جایز الخطاست. ما از اشتباهات خود می‌آموزیم؛ نه اینکه مدام دنبال تقصیرکار باشیم. با این حال، تشخیص میان یک اشتباه صادقانه و یک تخلف عمدی اهمیت حیاتی دارد.

هنگام بررسی رخدادهای امنیتی، باید به کلیت موضوع، نیت کارکنان و هرگونه مشکلات ساختاری که ممکن است به وقوع حادثه کمک کرده باشد توجه شود. برای مثال، اگر نرخ جابه‌جایی بالای کارکنان فصلی فروشگاه مانع از تخصیص حساب‌های کاربری جداگانه به آنها شود، ممکن است از یک حساب مشترک برای ورود به سیستم فروش استفاده کنند. آیا مدیر فروشگاه مقصر است؟ احتمالاً خیر. فراتر از بررسی داده‌های فنی و گزارش‌ها، باید گفت‌وگوهای عمیقی با همه افراد درگیر حادثه انجام شود. برای این کار باید فضایی سازنده و امن ایجاد شود که افراد با اطمینان دیدگاه‌های خود را بیان کنند. هدف از بررسی حادثه باید بهبود رفتار، فناوری و فرآیندها در آینده باشد. در مورد موارد جدی، باید دو مرحله در نظر گرفته شود: واکنش فوری برای کاهش خسارت و تحلیل پس از حادثه برای بهبود سیستم‌ها و روش‌ها. مهم‌ترین نکته، شفافیت و صداقت است. کارکنان باید بدانند چگونه گزارش مشکلات و حوادث مدیریت می‌شود و تصمیمات چگونه گرفته می‌شوند. آنها باید دقیقاً بدانند به چه کسی باید مراجعه کنند اگر مشکلی در امنیت مشاهده یا حتی شک کنند. آنها باید اطمینان داشته باشند که هم مدیران و هم متخصصان امنیتی از آنها حمایت خواهند کرد.  حفظ محرمانگی و حمایت: گزارش یک مشکل امنیتی نباید برای گزارش‌دهنده یا حتی فردی که ممکن است باعث آن شده باشد مشکلی ایجاد کند — تا زمانی که هر دو با حسن نیت عمل کرده باشند.

چگونه این اصول را در فرهنگ امنیتی خود پیاده‌سازی کنیم؟

•          کسب حمایت رهبری امن. فرهنگ امنیتی نیازمند سرمایه‌گذاری مستقیم کلان نیست، اما حمایت مستمر از سوی تیم‌های منابع انسانی، امنیت اطلاعات و ارتباطات داخلی ضروری است. کارکنان باید ببینند که مدیریت ارشد به‌صورت فعال این رویکرد را تأیید و حمایت می‌کند.
•          مستندسازی رویکرد. فلسفه فرهنگ ضد ملامت باید در اسناد رسمی شرکت ثبت شود — از سیاست‌های امنیتی دقیق گرفته تا راهنمای ساده و کوتاهی که همه کارکنان واقعاً آن را بخوانند و بفهمند. این سند باید موضع شرکت را درباره تفاوت میان اشتباه و تخلف عمدی به‌وضوح بیان کند. همچنین باید رسماً اعلام کند که کارکنان برای خطاهای صادقانه شخصاً مسئول نیستند و اولویت جمعی، بهبود امنیت شرکت و جلوگیری از تکرار حوادث است.
•          ایجاد کانال‌های گزارش‌دهی مشکلات. چندین راه برای گزارش مسائل به کارکنان ارائه دهید: بخشی اختصاصی در اینترانت، آدرس ایمیل مشخص یا امکان گزارش مستقیم به سرپرست. ایده‌آل این است که یک خط تلفن ناشناس برای گزارش نگرانی‌ها بدون ترس نیز فراهم شود.
•          آموزش کارکنان. آموزش به کارکنان کمک می‌کند فرآیندها و رفتارهای ناامن را بشناسند. از مثال‌های واقعی مشکلاتی که باید گزارش شوند استفاده کنید و آنها را با سناریوهای مختلف رخداد آشنا کنید. می‌توانید از پلت‌فرم آموزش امنیت سایبری کسپرسکی برای برگزاری این دوره‌ها بهره ببرید. کارکنان را تشویق کنید نه تنها رخدادهای سایبری را گزارش دهند، بلکه به پیشنهاد بهبود و پیشگیری از مشکلات امنیتی در کار روزمره فکر کنند.
•          آموزش رهبری. هر مدیر باید بداند چگونه به گزارش‌های تیم خود پاسخ دهد. باید بداند گزارش‌ها را چگونه و کجا ارسال کند و چگونه از ایجاد جزیره‌های سرزنش در دریای فرهنگ عادلانه جلوگیری کند. به رهبران آموزش دهید واکنشی نشان دهند که همکاران را حمایت‌شده و محافظت‌شده احساس کنند. واکنش‌های آنها به گزارش‌ها باید سازنده باشد. همچنین باید بحث درباره مسائل امنیتی را در جلسات تیمی تشویق کنند تا این موضوع طبیعی شود.
•          توسعه روند بازبینی منصفانه برای رخدادها و گزارش‌های امنیتی. لازم است گروهی متنوع از کارکنان از تیم‌های مختلف تشکیل یک «هیئت بازبینی بدون سرزنش» را دهند. این هیئت مسئول رسیدگی سریع به گزارش‌ها، اتخاذ تصمیمات و ایجاد برنامه‌های عملیاتی برای هر مورد خواهد بود.
•          تشویق پیش‌دستی و مشارکت. کارکنانی که تلاش‌های فیشینگ هدفمند را گزارش می‌کنند، نقص‌های تازه کشف شده در سیاست‌ها یا پیکربندی‌ها را می‌یابند یا دوره‌های آگاهی‌بخشی را بهتر و سریع‌تر از دیگران در تیم خود به پایان می‌رسانند، باید به‌صورت عمومی تحسین و پاداش داده شوند. این افراد باید در ارتباطات منظم فناوری اطلاعات و امنیت مانند خبرنامه‌ها معرفی شوند.
•          تجمیع یافته‌ها در فرآیندهای مدیریت امنیتی
  نتایج و پیشنهادهای هیئت بازبینی باید اولویت‌بندی شده و در برنامه تاب‌آوری سایبری شرکت گنجانده شوند. برخی یافته‌ها ممکن است صرفاً بر ارزیابی‌های ریسک تأثیر بگذارند، در حالی که برخی دیگر می‌توانند مستقیماً منجر به تغییر سیاست‌های شرکت، پیاده‌سازی کنترل‌های امنیتی جدید یا بازپیکربندی ابزارهای موجود شوند.
•          استفاده از اشتباهات به عنوان فرصت‌های یادگیری
  برنامه آگاهی‌بخشی امنیتی شما زمانی مؤثرتر خواهد بود که از مثال‌های واقعی سازمان خود استفاده کند. نیازی نیست افراد خاصی نام برده شوند، اما می‌توان به تیم‌ها و سیستم‌ها اشاره کرد و سناریوهای حمله را شرح داد.
•          اندازه‌گیری عملکرد
  برای اطمینان از کارآمدی این فرآیند، باید از شاخص‌های امنیت اطلاعات و همچنین معیارهای منابع انسانی و ارتباطات استفاده کنید. زمان میانگین رفع مشکل (MTTR)، درصد مشکلات کشف شده از طریق گزارش‌های کارکنان، میزان رضایت کارکنان، تعداد و ماهیت مشکلات امنیتی شناسایی شده و تعداد کارکنان مشارکت‌کننده در پیشنهاد بهبودها باید رصد شود.

برخی موارد مهم از این قاعده مستثنی هستند
فرهنگ امنیت یا فرهنگ ضد ملامت به این معنا نیست که هیچ‌کس مسئول شناخته نمی‌شود. برای مثال، اسناد ایمنی هواپیمایی درباره گزارش‌دهی غیرتنبیهی شامل استثنائات مهمی می‌شود. حفاظت شامل حال کسی  که عمداً و با نیت خرابکارانه از قوانین تخطی کند نمی‌شود. این استثنا مانع از آن می‌شود که فردی که داده‌ها را به رقبا لو داده پس از اعتراف کاملاً مصون بماند.

استثنای دوم زمانی است که قوانین ملی یا صنعتی الزام می‌کنند کارکنان به صورت شخصی مسئول حوادث و تخلفات باشند. حتی در این موارد هم حفظ تعادل حیاتی است. تمرکز باید روی بهبود فرآیندها و پیشگیری از حوادث آینده باشد — نه یافتن مقصر. اگر تحقیقات عینی باشد و مسئولیت تنها در مواقع ضروری و موجه اعمال شود، می‌توان فرهنگ اعتماد را حفظ کرد.

[1]محیطی که در آن وقتی اشتباهی رخ می‌دهد، به جای اینکه دنبال مقصر بگردند و کسی را سرزنش کنند، به دنبال فهمیدن دلیل اشتباه و اصلاح سیستم‌ها هستند. هدف این فرهنگ، یادگیری از خطاها و بهبود مستمر است، نه تنبیه افراد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.