2 فوریه 2021
توضیح کل نگار : این مطلب با توجه به مناسبت شرایط موجود در کسب و کارها در یادداشت روز منتشر می شود .
دستور کار هیئت مدیره ها در سرتاسر جهان از ابتدای شیوع بیماری همه گیر کرونا بسیار شلوغ بوده و بسیاری از موضوعات فوریت جدیدی پیدا کرده اند. در این قسمت مدیرخدمات هیئت مدیره ما ، با دو کارشناس امنیت سایبری در مورد چگونگی کمک هیئت مدیره به سازمان های خود برای اطمینان از آمادگی در برابر حملات سایبری بالقوه صحبت می کند. جان نوبل مدیر سابق مرکز امنیت سایبری انگلستان و عضو هیئت مدیره NHS Digital ، شریک ملی اطلاعات و فناوری سرویس بهداشت ملی کشور است. ولف ریشتر یک شریک مک کینزی است که به مدیران ارشد اطلاعات (CIO) کمک می کند تا مزایا را بدست آورند و خطرات تحولات فناوری را کاهش دهند.
فریتهوف لوند: مدتی است که امنیت سایبری در دستور کار هیئت مدیره قرار گرفته است. در آخرین نظرسنجی هیئت مدیره جهانی ما ، شرکت کنندگان آن را در میان چهار اولویت اصلی خود ارزیابی کردند. با این حال ، وقتی از اعضای هیئت مدیره در مورد چالش های اساسی امروز آنها می پرسیم ، فقط از هر 5 نفر یکی از آنها به امنیت سایبری اشاره می کند. آیا تغییری در نحوه برخورد شرکت ها با این موضوع مشاهده کرده اید؟
ولف ریشتر: این صنایع عمدتاً صنایع تحت نظارت بودند – به ویژه بانک ها و شرکت های بیمه ، و همچنین خدمات عمومی و نهادهای عمومی در زیرساخت های مهم ملی – که امنیت سایبری را در اولویت خود قرار می دهند. چند سال پیش ، پس از حمله باج افزار WannaCry ، بسیاری دیگر فهمیدند که حتی بدون قرار گرفتن در لیست با هدف بالای امنیت سایبری ، آنها می توانند قربانی یک حمله سایبری شوند. به ویژه خرده فروشان و شرکت های تولیدی نسبت به آسیب پذیری هایی که دیجیتالی شدن در فعالیت های آنها ایجاد می کند ، بسیار آگاه تر شده اند. اکنون که کار در خانه به یک امر عادی تبدیل شده است و با توجه به افزایش گسترده حملات باج افزار که مشاهده می کنیم ، اکثر شرکت ها متوجه می شوند که در محیطی که بیشتر معاملات تجاری و کارمندان آنها از طریق کانال های آنلاین انجام می شود ، چقدر آسیب پذیر هستند.
فریتهوف لوند: شما به افزایش حملات سایبری اشاره کردید. هدایت آن چگونه است؟
جان نوبل: دو چیز وجود دارد. یکی تغییر در مدل کسب و کار در بین افرادی که این حملات را انجام می دهند. جرایم اینترنتی در حال صنعتی شدن است. آسیب پذیری توسط یک گروه از گروه ها مشخص می شود و سپس اطلاعات را با گروه های جنایتکار به اشتراک می گذارند. در واقع این گروه های جنایتکار می توانند باج افزار را در ازای درصدی از سود اجاره کرده و در برابر قربانیان به کار گیرند. این امر باعث افزایش چشمگیر حملات و هم پیچیدگی آنها شده است . Ransomware نه تنها می تواند در دسترس بودن سیستم شما تأثیر بگذارد بلکه منجر به انتشار داده های حساس نیز می شود.
فریتهوف لوند: آیا شرکت ها برای مقابله با این تهدیدهای رو به افزایش آمادگی کافی را دارند؟
ولف ریشتر : این یک بسته ی مخلوط از موارد مختلفی است. این که چه کسی به طور سیستماتیک به فکر امنیت سایبری است و تازه بیدار شده و شروع به بداهه پردازی می کند ، آشکار می شود. از یک طرف ، ما شاهد شتاب گسترده دیجیتالی شدن هستیم زیرا شرکت ها عملیات خود را به فضای ابری منتقل کرده و دسترسی از راه دور به کارمندان را داده اند. نیازی به گفتن نیست که تعداد کمی از افراد وقت داشتند که به مفاهیم مربوط به امنیت سایبری فکر کنند. از طرف دیگر ، کسانی که دو سال گذشته را برای آماده سازی صرف کرده اند – شناسایی دارایی ها و فرآیندهای حیاتی خود ، آزمایش رویه ها با کارمندان ، اجرای برنامه های اضطراری و سناریوهای برگشت – در حال بازده این سرمایه گذاری ها هستند.
- هیئت مدیره چه رویکردی را باید در این موضوع اتخاذ کند ، خصوصاً آنهایی که شرکتهایشان آمادگی کمتری دارند؟
ولف ریشتر: هیئت مدیره و رهبر اجرایی باید در یک گفتگوی انتقادی شرکت کنند. مسئولیت هیئت مدیره این است که اطمینان حاصل کند تیم اجرایی برنامه ای دارد ، آماده است و کل سازمان را برای احتمال حمله آماده می کند. سوال این نیست که آیا حمله قرار است اتفاق بیفتد و چگونه می توان از آن جلوگیری کرد. سوالات واقعی این است که چه موقع فرا می رسد؟ آیا سازمان برای کشف آن آماده است؟ آیا آماده جلوگیری از آن است؟ آیا می تواند اثرات را کاهش داده و در اسرع وقت به کارهای عادی برگردد؟
جان نوبل: امنیت سایبری مسئله کل سازمان است. چه از قبل باشد و چه در حین حادثه ، نباید آن را فقط به مسئول اطلاعات و تیم فنی بسپارید. رهبران باید تصمیم بگیرند که چگونه تنش های بین قابلیت استفاده ، امنیت و هزینه را مدیریت کنند ، و این بسیار در مواردی است که ما به هیئت مدیره احتیاج داریم و مراحل آزمایش را انجام می دهیم.
- وقتی یک حادثه اتفاق می افتد هیئت مدیره چه کاری باید انجام دهد؟ جان ، تو آن را از نزدیک در بسیاری از موقعیت ها دیده ای.
جان نوبل: اگر به آمادگی برگردیم ، تفاوت زیادی بین نحوه واکنش یک سازمان وجود دارد اگر اقدامات خود را در قبال مقابله با حمله از قبل انجام داده باشد و دیگری که این کار را نکرده است. ارتباطات ضروری است. باید یک نسخه واحد از حقیقت وجود داشته باشد ، بنابراین همه افراد در داخل و خارج از سازمان نحوه برخورد با این حادثه را درک می کنند. هیئت مدیره در آنجا نقش مهمی در حمایت از تیم اجرایی دارد. همانطور که در حوادث 800 نفره و در حالی که در مرکز امنیت سایبری ملی بودم دیدم ، تیم های اجرایی تحت فشار فوق العاده ای قرار دارند و آنها به حمایت و راهنمایی هیئت مدیره نیاز دارند.
- نکته قابل توجهی برای هیئت مدیره ها یا تیم های مدیریتی برجسته می کنید؟
جان نوبل: به طور کلی ، اگر فقط به CIO و تیم فنی واگذار شود ، واکنش بد رخ خواهد داد. آنها نقش مهمی در حل حادثه دارند ، اما عواقب آن فراتر از آسیب فوری است. موارد اعتبار ، حقوقی و عملیاتی وجود خواهد داشت. شما به کل تیم مدیریت ارشد نیاز دارید تا دور هم جمع شوند.
ولف رشتر : یک حمله سایبری تمایل به افزایش و تشدید تنش هایی دارد که از قبل در داخل یک سازمان وجود دارد. من دیده ام که در سازمانهای غیرمتمرکز و بدون تیم رهبری مرکزی ، یا در جایی که مشخص نیست چه کسی در یک بحران رهبری می کند ، اوضاع به ویژه ضعیف پیش می رود. وقتی مردم عادت به کار مشترک ندارند ، ایجاد اعتماد در یک بحران بسیار دشوار است. اشاره با انگشت شروع می شود و مردم به جای این که دشمن از بیرون به آنها حمله کند با یکدیگر می جنگند.
- چگونه توانایی های امنیت سایبری را در داخل سازمان ایجاد می کنید؟ مناطق کلیدی که هیئت مدیره باید بر روی آنها تمرکز کند چیست؟
ولف ریشتر: اولین و مهمترین نکته آگاهی در بین تمام تیم رهبری است. ما اغلب یک عضو هیئت مدیره و CIO را می بینیم اما مقدار زیادی ناآگاهی در این بین وجود دارد. باید یک احساس اضطراری مشترک در مورد این موضوع در تیم اجرایی و سطح زیر وجود داشته باشد. این در مورد آگاهی است که این چیزی نیست که دیگران را تحت تأثیر قرار دهد بلکه تهدیدی وجودی برای سازمان در دنیای دیجیتال است.
مرحله دوم توسعه مفاهیم و ابزارها است. این کار سخت و فریبنده ای است و این در مورد بررسی است ، که دارایی ها و فرایندهای مهم کدامند؟ آیا روشهایی در صورت حمله وجود دارد؟ در طول این مرحله ، ایجاد تعادل در کنترل ها و کارنامه ای که قرار داده اید مهم است ، بنابراین نوآوری داخلی را خفه نمی کند ، این امر می تواند شهرت ضعیفی به تلاش های امنیت سایبری بدهد. به همین دلیل است که این ابتکارات باید توسط افرادی با طرز فکر تجاری هدایت شوند ، نه فقط یک ذهنیت کنترل یا فناوری.این امر منجر به قسمت سوم می شود ، یعنی ایجاد قابلیت ها. این مسئله کل شرکت را تحت تأثیر قرار می دهد – معماران فرآیند و بازاریابی و فروشندگان هنگام مذاکره با مشتریانی که بیشتر و بیشتر درباره ویژگی های امنیتی به خصوص در صنایع مهندسی و فناوری پیشرفته سالانه می کنند. همه این افراد باید بدانند که برای کسب اطلاعات به چه کسی مراجعه کنند. وقتی امنیت سایبری به یک قابلیت مشترک تبدیل شود ، کل سازمان از مقاومت سایبری بیشتری برخوردار می شود.
جان نوبل: اضافه می کنم که در مورد باج افزار ، یکی از خطرات بزرگ مربوط به تجهیزات قدیمی است که تقریباً هر سازمانی آن را دارد. این یک آسیب پذیری است که مهاجمان از آن سو استفاده می کنند. ما باید تجهیزات قدیمی را غیرقابل اعتماد بدانیم و کنترل هایی را برای مدیریت آنها انجام دهیم. اما فقط برخی از این کنترل ها فنی هستند و تیم های تجاری و فناوری اطلاعات باید درگیر شوند تا ببینند آیا برخی از ریسک ها از راه های دیگری قابل کنترل است. آیا آن تجهیزات مورد نیاز است؟ آیا می توان آن را تقسیم بندی کرد؟ شاید پاسخ این باشد که به ابر مهاجرت کنید ، که پیامدهای سرمایه گذاری خواهد داشت.
- اگر من یک مدیر هیئت مدیره هستم که نگران امنیت سایبری هستم ، چگونه می توانم به خوبی درک کنم که سازمان من به چه میزان آماده شده است؟
ریشتر: برای اندازه گیری این روش چند روش وجود دارد. در حالت ایده آل ، یک سازمان ارزش کسب و کار در معرض خطر یک حادثه مشخص را اندازه گیری می کند. با این حال ، اکثر شرکت ها فاقد شفافیت یا مدل معتبری برای ترجمه و جمع بندی تأثیرات تجاری یک حادثه هستند. بسیاری از شرکت ها با استفاده از معیارهای خارجی برای ارزیابی سطح نسبی بلوغ کنترل های خود ، به روشی مبتنی بر سررسید روی می آورند. اگرچه این بهتر از عدم مدیریت امنیت سایبری است ، اما گاهی اوقات انگیزه اشتباهی برای سرمایه گذاری در کنترل های بیشتر به دنبال دارد.
جان نوبل: من فکر می کنم این خیلی مهم است. ما نمی توانیم فقط به شاخصهای کلیدی عملکرد KPI ها مانند درصد خدمات به روز شده اعتماد کنیم. راه دیگری که هیئت مدیره می تواند اطمینان بیشتری کسب کند ، عبور از چالش شخص ثالث مانند آزمایش نفوذ دارایی های حیاتی است. آخرین تست نفوذ چه زمانی انجام شد؟ چه چیزی را فاش کرد؟ چه توصیه هایی ارائه شده است؟ اما قبل از انجام این کار ، باید موارد حیاتی را شناسایی کنید و از آنها باید محافظت شود.
- آیا سرمایه گذاری هایی در زمینه امنیت سایبری وجود دارد که می بینید شرکت هایی با استفاده ضعیف از منابع تولید می کنند؟
جان نوبل: بازار امنیت سایبری هنوز نابالغ است و بسیاری از مردم در تلاشند جعبه هایی را بفروشند که نوید می دهند تمام مشکلات امنیت سایبری شما را “برطرف” می کنند. هیچ راه حل واحدی برای امنیت سایبری وجود ندارد. این اقدامات باید طیف وسیعی از اقدامات را شامل شود ، و موثرترین اقدامات مقدماتی است كه باعث آسیب پذیری شركتها در مورد بروزرسانی های امنیتی ، احراز هویت و نحوه دسترسی و پیكربندی سیستم ها می شود.
ولف ریشتر: من اغلب شرکت هایی را می بینم که یک بار سرمایه گذاری می کنند اما از سرمایه گذاری عملیاتی در کارکنان دور هستند. ما یک شرکت بیمه را ارزیابی کردیم که دارای یک مرکز عملیاتی امنیتی زیبا ، تمام مجوزها و حسگرهای موجود بود ، اما آنها برای کار کردن 24 ساعته 7 فاقد کارمند بودند. شما باید فردی را داشته باشید که اطلاعات را پردازش کند ، اما آنها یک نفر را داشتند که وظیفه نیمه وقت ترجمه و به اشتراک گذاری داده ها با بقیه سازمان را داشت. شرکت ها در برخی از بخش ها سرمایه گذاری بیش از حد انجام می دهند اما به این فکر نمی کنند که چگونه این سرمایه گذاری ها را در تصمیم گیری های روزمره انجام دهند.
جان نوبل: برای ادامه این کار ، من مطالعه موردی را دیدم که اخیراً توسط یکی از شرکت های پیشرو در این زمینه ارائه شده است ، در مورد اینکه چگونه سیستم تشخیص آنها که از هوش مصنوعی استفاده می کند سازش سیستم را نشانه گرفته است. معلوم شد که کسی برای تفسیر این داده ها وجود ندارد ، بنابراین با وجود آن همه سرمایه گذاری در یک سیستم تشخیص بسیار گران و پیچیده ، هیچ کس برای جلوگیری از خسارت وارد عمل نشد.
- در مورد قابلیت های موجود در خود هیئت مدیره چطور؟ شکافهای اصلی کجاست؟
جان نوبل: من فکر می کنم لازم است کسی در هیئت مدیره تخصص امنیت سایبری داشته باشد تا چالشی برای CIO و افسر ارشد امنیت [CSO] فراهم کند. آنها همچنین می توانند در ایجاد دانش کلی هیئت مدیره کمک کنند ، زیرا گذاشتن امنیت سایبری به عهده یک شخص جواب نمی دهد. شما برای مشارکت در این زمینه به کل هیئت مدیره احتیاج دارید تا تجربه آنها را در زمینه های دیگر ارائه دهد تا چالش مناسبی را در این فضا فراهم کند.
ولف ریشتر: ما باید ترس امنیت سایبری را از بین ببریم. واکنش معمول هیئت مدیره ای که مهارت های امنیتی سایبری پایینی دارد این است: “اوه ، این برای ما موضوعی نیست. بیایید با CSO یا CIO تماس بگیریم و آنها می توانند آنچه اتفاق می افتد را توضیح دهند. ” اما امنیت سایبری علم موشکی نیست. این کسی است که با فرآیندها ، سیستم ها ، دارایی ها و داده های شما سر و صدا می کند. این تحقق معمولاً آسانتر حاصل می شود اگر یک عضو هیئت مدیره بگوید ، “این وظیفه ما است که از آمادگی سازمان مطمئن شویم. ما انجام می دهیم.
- جان ، شما اشاره کردید که حتی داشتن یک مدیر هیئت مدیره با سواد فضای مجازی می تواند به ایجاد توانایی های کل هیئت مدیره کمک کند. می توانید بیشتر توضیح دهید؟
جان نوبل: من دیده ام که شرکت ها تمریناتی را ترتیب می دهند که هم به عنوان فرصت تدریس و هم به عنوان فرصت هایی برای برجسته کردن خطرات سازمان مورد استفاده قرار می گیرد: ارائه گزارش مختصر در مورد تهدید به هیئت مدیره و سپس بررسی چگونگی رسیدگی شرکت های در کلاس به آن.
ریشتر : ما تمرینات سایبری را در سفرهای سیلیکون ولی که پای تخته انجام می دهیم وارد می کنیم. مدیران از شرکتهای پیشرفته بازدید می کنند و سپس ما به آنها جنبه تاریک دیجیتال سازی نشان می دهیم و نشان می دهیم اگر به خطرات ناشی از فرصت های فناوری توجه نکنید چه اتفاقی می افتد. جلب توجه آنها هنگام انجام کار خاصی خارج از وظایف عادی خود بسیار اثبات شده است که باعث به یاد ماندنی شدن آن می شود.
- گرگ ، شما در آغاز به تسریع حملات اشاره کردید. تهدیدهای بزرگ امنیت سایبری در سال های آینده چه خواهد بود؟
ولف ریشتر: ما شاهد یک حرفه ای سازی گسترده هستیم زیرا جرایم سازمان یافته تری حملات سایبری را به عنوان یک فعالیت سودآور کشف می کند. شما باید انتظار داشته باشید که مهاجمان تقریباً به سلاح های درجه نظامی مجهز شوند. سازمانهای بزرگ نظامی سرمایه گذاری زیادی در ساخت این فناوریهای سایبری انجام داده اند و ما بیش از یک واقعه را دیده ایم که یکی از این حملات درجه نظامی به شبکه تاریک نشت کرده است. این مانند قرار دادن مسلسل در دست سارقین در گوشه گوشه است.
در قسمت فناوری نیز اتفاقات زیادی می افتد. تغییر مسیر به سمت ابر مجموعه ای کاملاً جدید از خطرات است. در حالی که به طور کلی ، زیرساخت های ارائه دهندگان ابری در مقیاس بزرگ بسیار ایمن تر از آنچه بیشتر شرکت ها می توانند در مراکز داده خود نفوذ کنند ، ساده لوحانه است که باور کنیم ارائه دهنده خدمات ابری تمام نیازهای امنیتی شما را برطرف می کند. برعکس: ما شاهد افزایش گسترده ای در نقض برنامه های میزبان ابر به دلیل عدم تنظیمات مناسب هستیم. بخش IT شما برای مدیریت محیط های ابری باید مجموعه ای جدید از مهارت های مهندسی را کسب کند.
جان نوبل: ابر ، همانطور که می گویید ، یک فرصت عالی است ، به ویژه برای خارج شدن از زیرساخت های قدیمی ، اما مواردی مانند احراز هویت به عهده شرکت شما است. این بسیار مهم است که هیئت مدیره درک کند که ارائه دهندگان خدمات ابری هر چقدر ایمن باشند ، این شرکت هنوز هم خطر زیادی را متحمل می شود. و متأسفانه ، ما نقض های بسیار گسترده ای در نتیجه عدم درک ساده عملکرد ابر از سوی مردم می بینیم.
- آیا شما هیچ توصیه ای برای مدیران در هیئت مدیره در مورد اینکه چگونه آنها می توانند در نبرد با مهاجمان سایبری باقی بمانند ندارید؟
ریشتر : هر برنامه دیجیتالی سازی باید بودجه امنیت سایبری داشته باشد. شرکت ها باید دیجیتالی سازی را به روشی ایمن انجام دهند. دیجیتالی سازی Haphazard فقط زیرساخت های میراث آینده را ایجاد می کند ، بنابراین شما باید از بهترین روش ها در حال حاضر از نظر کدگذاری امن ، چابک امن و DevOps امن استفاده کنید. شرکت ها باید اطمینان حاصل کنند که یک ذهنیت امنیتی در کل چرخه زندگی وجود دارد.
جان نوبل: من فکر نمی کنم که شرکت ها در معرض خطر قرار بگیرند. فرصت هایی برای دستیابی به این حق وجود دارد و آنها در اطراف شناخت تهدید واقعی هستند. ما در حال ساخت اقتصاد ملی بر روی چیزی هستیم که ذاتاً ناامن است – اینترنت – و باید با انجام یک سری اقدامات این مسئله را کاهش دهیم. هیئت مدیره باید اطمینان حاصل کند که رهبران اجرایی به حالات بدترین و بهترین حالت ها نگاه می کنند و آمادگی لازم را برای مصالحه برای اطمینان از زیرساخت های امن دارند.
درباره نویسنده (ها)
فریتهوف لوند شریک ارشد دفتر مک کینزی در اسلو است و ولف ریشتر نیز در دفتر برلین شریک است. جان نوبل مشاور ارشد مک کینزی و یک مدیر بدون سابقه در هیئت مدیره NHS Digital ، شریک ملی اطلاعات و فناوری در سیستم بهداشت و مراقبت در انگلستان است.
