نزدیک به یک سال پیش، روزنامهنگار مارتین بنکس «پنج قانون امنیت سایبری» را تدوین کرد. امنیت سایبری زمینهای پیچیده است و هر راهی برای سادهسازی جنبههای متعدد آن به مفاهیم کوتاه و آسان برای به خاطر سپردن همیشه مورد استقبال قرار میگیرد.
این پنج قانون شروع بسیار خوبی برای توسعه برنامه امنیتی قوی است. قوانین عبارتند از:
- با هر چیزی طوری رفتار کنید که انگار آسیب پذیر است.
- همیشه فرض کنید افراد از قوانین پیروی نمیکنند.
- اگر به چیزی نیاز ندارید، از شر آن خلاص شوید.
- همه چیز را مستند کنید و مرتباً رسیدگی کنید.
- برای شکست برنامه ریزی کنید.
البته، رعایت قوانین واقعی لزوماً برابر با امنیت نیست اما این قوانین برای امنیت سایبری مرجع مناسبی هستند. با این حال، مانند مقررات واقعی، برخی از آنها بسیار حیاتی و مهم هستند. در برخی موارد، منشأ قوانین غیررسمی میتواند به بحثهای پر جنب و جوش حتی توسط سرسختترین متخصصان امنیت سایبری بیفزاید.
اولین قانون : با هر چیزی طوری رفتار کنید که آسیبپذیر است.
اولین قانون امنیت سایبری این است که با همه چیز به گونه ای رفتار کنید که گویی آسیب پذیر است زیرا هرچیزی میتواند آسیب پذیر باشد. در هر دوره مدیریت ریسکی همیشه تاکید میشود که چیزی به نام سیستم ۱۰۰٪ امن وجود ندارد. مسلماً کل حوزه امنیت سایبری بر این اصل بنا شده است. از آنجایی که بسیاری از سازمانها نمیتوانند این استاندارد را به طور کامل رعایت کنند، افزایش امنیت اعتماد صفر به معیار جدیدی از عملکرد امنیت سایبری تبدیل شده است. اعتماد صفر، بر اساس طراحی، دسترسی به همه چیز را بدون تأیید اعتبار آن رد میکند. این شبیه چیزی است که ممکن است در یک فیلم جاسوسی ببینید، جایی که دسترسی به هر اتاقی نیاز به مجوز دارد. اعتماد صفر، با بررسی مجدد مجوز در مراحل مختلف جلسه، حتی فراتر میرود. مدیریت دسترسی به هویت (IAM) هم برای کاربران و هم برای دستگاهها و همچنین مراحلی مانند تأیید بهروزرسانی، محیطی بدون اعتماد است. هیچ دستگاه، برنامه یا کاربری نباید بدون تأیید و تأیید مجدد به چیزی دسترسی داشته باشد.
قانون دوم : فرض کنید افراد از قوانین پیروی نمیکنند.
متخصصان امنیتی ترجیح دادهاند که قانون «مردم ممکن است قوانین را دور بزنند» را دوباره تنظیم کنند، زیرا این قانون بیش از حد خوشبینانه است. این طرز فکر قانونگذار در ارتباط با کامیپیوترها به حلقههای اصلی «هکرها» برمیگردد که در MIT Model Railroad Club آغاز شد. از آنجایی که پیروی از برخی از پروتکلهای امنیتی اغلب ناخوشایند است، کارمندان ممکن است راههایی برای دور زدن این حفاظتها پیدا کنند که منجر به آسیبپذیریها میشود.
آمارها این اصل را تأیید میکنند، به طوری که ۹۴ درصد از سازمانهای ایالات متحده و بریتانیا در سال ۲۰۲۰ از نقض اطلاعات داخلی رنج میبرند. به طور مشابه، ۸۴ درصد از رهبران فناوری اطلاعات خطای انسانی را شایعترین علت حوادث جدی ذکر میکنند. همانطور که حملات مهندسی اجتماعی رایج تر شدهاند، ضرورت وجود این قانون بیشتر احساس میشود. اقدامات ضد فیشینگ، الزامات رمز عبور و قوانین مشابه تنها در صورتی مؤثر هستند که افراد ازآنها پیروی کنند.
کسبوکارها باید از اجرای سیاستهای سختگیرانهتر امنیت سایبری فراتر بروند. این بدان معناست که با استفاده از ابزارهایی مانند مدیریت رمز عبور، این قوانین را اجرا کنیم و در عین حال رعایت آنها آسانتر میشود. با این حال، همانطور که این قانون خاص بیان میکند، متخصصان امنیتی باید درک کنند که کنترلهای فنی نیز برای تقویت امنیت مورد نیاز است. محدودیتهای دسترسی و حفاظتهای مشابه برای کاهش نقضهای داخلی ضروری است.
قانون سوم : اگر به آن نیاز ندارید، از شر آن خلاص شوید.
قانون سوم امنیت سایبری، که در ابتدا به عنوان یکی از ۳ قانون برایان کربس برای امنیت آنلاین رایج شد، هدف آن به حداقل رساندن سطوح حمله و به حداکثر رساندن دید است. در حالی که کربس فقط به نرمافزارهای نصب شده اشاره میکرد، ایده این قانون گسترش یافته است. برای مثال، بسیاری از کسبوکارها دادهها، سیستمها و دستگاههایی را که دیگر از آنها استفاده نمیکنند یا به آنها نیاز ندارند، حفظ میکنند، بهویژه زمانی که مقیاس گسترش مییابند. این کار مانند این است که کفش کهنه و دوست داشتنی در کمد قرار میگیرد. این انباشتن میتواند آسیبپذیریهای غیرضروری را ایجاد کند، مانند سوءاستفاده چند دههای که در برخی از نرمافزارهای منبع باز کشف شده است.
اکثر شرکتها تقریباً تنها ۷۵ درصد از عملیات OT خودشان را میبینند. حفظ داراییهای زائد یا نامربوط از دیده شدن ۱۰۰% وظایفشان جلوگیری میکند. اگر سیستمها و دادههای قدیمی را رها کنند، میتوانند بینش بیشتری در مورد وظایفشان به دست آورند که میتواند آسیبپذیری و تشخیص نقض را تسریع کند.
قانون چهارم: همه چیز را مستند کنید و مرتباً رسیدگی کنید.
این قانون در واقع دو قانون در یک قانون است. بخشی از آن به حداکثر رساندن دید و کشف آسیب پذیریها و بخشی از آن رسیدگی داخلی منظم و مداوم است. برای اکثر متخصصان امنیتی، رسیدگی فرآیندی خسته کننده است. رسیدگی نه تنها باید شامل بررسی پیکربندی، بلکه آزمایش فعال برای بررسی آسیبپذیریهای کمنظیر یا جدید باشد. مستندسازی که اغلب به عنوان یکی از سختترین وظایف امنیت سایبری اعلام میشود، هم برای کارکنان فعلی و هم برای نفرات بعد ضروری است. اغلب، مهندسان برای راهاندازی سیستم تحت فشار قرار میگیرند و مستندات را به زمان دیگری محول میکنند. متأسفانه، این اتفاق هرگز رخ نمیدهد، زیرا کار روزانه به عنوان جزیی از سیستم پیچیده است. مدیریت تغییر نیز تحت این عنصر قرار میگیرد. هرچه کسبوکارها بیشتر ثبت کنند، ردیابی و اصلاح فعالیتهای مشکوک و پیادهسازی سیستمهای جدید آسانتر است.
قانون پنجم: برنامه ریزی برای شکست.
قانون نهایی امنیت سایبری بیان میکند که سازمانها باید برای بدترین شرایط آماده شوند. با توجه به سرعت پیشرفت جرایم سایبری، این اتفاق باید حتما به آن توجه ویژه شود. خطرات بهرهبرداری روز صفر برای کسب و کارها بسیار زیاد است؛ اینکه تصور کنند هرگز قربانی نقض نخواهند شد.
همه اینها نشان میدهد که سازمانها باید اقدامات پیشگیرانه قوی و همچنین برنامههای دقیق بازیابی را اعمال کنند. میانگین هزینه یک حمله باج افزار هفت برابر بیشتر از خود باج است، بنابراین پیشگیری بهتر از درمان است. کسب و کارها باید هر دو را متعادل کنند تا اطمینان حاصل کنند که تا حد ممکن امن هستند.
پشتیبانگیری و طرحهای واکنش اضطراری باید بخشی از استاندارد امنیتی هر شرکت باشد. با این حال، مهم است که اطمینان حاصل شود که اینها در واقع برنامههای پشتیبان هستند و کسبوکارها در دفاع پیرامونی خود کوتاهی نمیکنند.
۵ قانون امنیت سایبری لیست قطعی نیستند.
ممکن است تعجب کنید که چرا نیاز به بازنگری و بازنگری این پنج قانون است؛ برای یک چیز، پنج قانون امنیت سایبری مانند همیشه مرتبط با یکدیگر هستند. همچنین، مهم است که بدانیم امنیت سایبری هرگز یک فعالیت ثابت نیست. سازمانها باید به طور مستمر و با دقت این شیوهها را بررسی و اعمال کنند.
جرایم سایبری به طور مداوم در حال تحول است و خطرات آن برای نادیده گرفتن آسیبپذیریهای احتمالی بسیار شدید است. این پنج دستورالعمل به عنوان راهنما برای سازمانها تلقی میشود. این راهبردها به ما کمک میکنند تا به ما یادآوری کنند که یک برنامه امنیتی قابل اعتماد باید شامل چه مواردی باشد، سازمانها باید جزئیات دقیقتری را توجه کنند و برای امن ماندن باید دستورات را اجرا کنند.