25 مارس 2022 توسط The Manufacturer
بر کسی پوشیده نیست که تولیدکنندگان در طول همهگیری آسیب جدی دیدهاند. از آنجایی که اگر زنجیرههای تامین محدود و تورم مارپیچی کافی نباشد، تهدید حملات سایبری در حال افزایش است.
این بخش تقریباً یک چهارم (23٪) از حملات باج افزار را در سال 2021 به خود اختصاص داده است که بیش از هر مورد دیگری است. اما در حالی که رهبران امنیت سایبری ممکن است خطرات موجود در گسترش پروژههای تحول دیجیتال را به خوبی درک کنند، گاهی اوقات اعضای هیئت مدیره کمتر هماهنگ هستند.
این امر باید تغییر کند. تنها با یک استراتژی امنیتی فعال که توسط رهبری ارشد هدایت میشود، تولیدکنندگان میتوانند امیدوار باشند که ریسکهای حیاتی را برای کسبوکار خود کاهش دهند و از تمام آنچه نوآوری دیجیتال ارائه میکند سود ببرند. تا زمانی که هیات به کار خود ادامه دهد، این مزایای دگرگون کننده دور از دسترس باقی خواهند ماند.
سرمایه گذاری دیجیتال به معنای ریسک دیجیتال است
بر اساس گزارش آیبیام، بخش تولید پس از مدتها از خدمات مالی پیشی گرفت و بیشترین حمله در سال گذشته به این بخش وارد شد . چرا؟ زیرا بازیگران تهدید شرط میبندند که اختلال ناشی از باجافزار چنان تأثیر بالقوهای بر زنجیرههای تامین پاییندستی خواهد داشت که تولیدکنندگان چارهای جز پرداخت باجهای کلان نخواهند داشت. نظر آنها منطقی است. در واقع، این بخش به طور فزاینده ای در معرض تهدیداتی از این دست قرار می گیرد زیرا سازمان ها به دنبال مدرنیزه کردن محیط های IT خود هستند.
بر اساس مطالعه جداگانه ای که توسط The Manufacturer منتشر شده است، تحول دیجیتال در صنعت به سرعت در حال رخ دادن است. بیش از دو سوم (67٪) از پاسخ دهندگان به یک نظرسنجی ادعا کردند که پذیرش فناوری های دیجیتال را به دلیل همه گیری تسریع کرده اند و تنها 16٪ چنین پروژه هایی را متوقف کرده اند. آنها پیشرفت های فناوری را کلیدی برای باز کردن کارایی عملیاتی، انعطاف پذیری و بهره وری می دانند.
اما با افزایش سطح حملات سایبری شرکتی، با این ابتکارات، خطر بیشتری نیز به همراه دارد. بخشی از این به اضافه شدن اتصال به تجهیزات قدیمی OT مربوط می شود. به طور معمول، چنین سیستم هایی هم برای وصله چالش برانگیز هستند و هم چرخه های طولانی جایگزینی محصول دارند. تحقیقات Trend Micro در سال 2019 نشان داد که برای مثال، 69٪ از تولیدکنندگان جهانی از پلتفرم های قدیمی استفاده می کنند. چرا این مهم است؟ زیرا آسیبپذیریهای نرمافزاری وصلهنشده یک عامل اصلی تهدید هستند. مطالعه آیبیام نشان داد که تقریباً نیمی (47 درصد) از حملات باجافزار به تولیدکنندگان در سال 2021 ناشی از اشکالاتی است که شرکت مورد نظر نتوانسته یا نمیتوانست آنها را اصلاح کند.
زمانی که سیستمهای عملیاتی OT آفلاین بودند، این کمبودها تا حد زیادی نادیده گرفته شدند. اما به لطف اتصال به اینترنت، مهاجمان اکنون می توانند ماشین ها را به طور ناشناس از راه دور بررسی کنند. این باعث افزایش خطر برای صاحبان کارخانه می شود. آنها همچنین با پروتکل های منسوخ و ناامن ارتباط برقرار می کنند و راه بالقوه دیگری را برای سازش برجسته می کنند.
بسیاری موارد دیگر وجود دارد. همانطور که تولیدکنندگان دیجیتالی می شوند، سیستم های بیشتری را به زیرساخت های ابری متصل می کنند تا کارایی و بهره وری فرآیند را بهبود بخشند. اما این محیط ها اغلب به اشتباه پیکربندی می شوند و همچنین ممکن است بدون اصلاح باقی بمانند. دستگاههای اینترنت اشیا (IoT) نیز به طور فزایندهای در کارخانههای هوشمند محبوب هستند، اما آنها نیز میتوانند راههای جدید حمله را به همین دلایل معرفی کنند. این یک صنعت به سرعت در حال رشد است که در آن محافظت از امنیت سایبری کافی همیشه در دستگاه ها تعبیه نشده است.
همه اینها می تواند منجر به قطع تولید فلج کننده به دلیل به خطر افتادن در دام باج افزار شود. اما این تنها تهدید نیست، و به همان اندازه جدی است. امروزه اکثر این حملات شامل یک عنصر سرقت اطلاعات نیز می شود. این می تواند باعث شود که طرحهای های بسیار حساس، طرح های تولید و سایر IP ها به دست فرد اشتباه بیفتند. شرکت اپل، Quanta Computer، زمانی که سال گذشته پس از نقض جدی اطلاعات، با تقاضای 50 میلیون دلاری باج مواجه شد، متوجه این موضوع شد.
آیا هیئتها خطر سایبری را دریافت میکنند؟
همانطور که در مطالعه اخیر Trend Micro نشان داده شده است، تناقضی در قلب نحوه واکنش تولیدکنندگان به این تهدیدات وجود دارد. از یک طرف، به نظر می رسد آن را دریافت می کنند. حدود 93 درصد از پاسخ دهندگان تولیدی به ما گفتند که رهبران ارشد آنها بر اساس رویدادهای بازار نگران باج افزار هستند. و یک سوم گفتند که فکر می کنند امنیت سایبری بزرگترین خطر تجاری امروز است. علاوه بر این، تقریباً دو سوم (63٪) ادعا کردند که حملات سایبری بیشترین تأثیر هزینه را در مورد ریسک تجاری دارند.
با این حال، از سوی دیگر، 88 درصد از تصمیمگیرندگان فناوری اطلاعات و کسبوکار ITDMs/BDMs در تولیدکنندگان گفتند که سازمان آنها مایل است امنیت سایبری را به نفع سایر اولویتهای تجاری مانند تسریع تحول دیجیتال و بهرهوری کسبوکار در اولویت انتخاب کند. این به طور کامل نقش امنیت را در سازمان های آینده نگر درک نمی کند. این به عنوان یک فعال کننده برای تبدیل عمل می کند، نه به عنوان یک بلوک یا بررسی آن. این یک انتخاب یا/یا نیست. در عوض، امنیت موثر یک پیش نیاز ضروری برای موفقیت هر ابتکار تجاری است و باید از همان ابتدا طراحی شود.
این واقعیت که هیاتمدیره این را دریافت نمی کند ممکن است نشان دهنده یک ضعف عمیق تر باشد – اینکه رهبران چیزی بیش از یک خدمت ساده به مفهوم مدیریت استراتژیک ریسک سایبری پرداخت می کنند. در واقع، فقط نیمی از ITDM/BDM هایی که ما در نظرسنجی انجام دادیم، گفتند که فکر می کنند هیات کاملاً خطر سایبری را درک می کند. مهمترین دلایل ذکر شده این بود که این یک موضوع پیچیده و همیشه در حال تغییر است – که قطعاً همینطور است. اما سایر پاسخ دهندگان به مشکلات جدی تری اشاره کردند. بیش از یک چهارم ادعا کردند که آنها به اندازه کافی برای درک سایبر تلاش نمی کند، و تعداد مشابهی استدلال کردند که آن را به عنوان یک مشکل اتاق هیئت مدیره نمی بینند.
تاثیر یک هیئت مدیره غیر فعال
بنابراین، این در واقع به چه معناست؟ تحقیقات جداگانه نشان میدهد که وقتی اعضای هیئت مدیره درگیر هستند و در مورد فضای سایبر آموزش میبینند، سؤالات سختتری از CISO خود میپرسند، مسائل را عمیقتر میکنند و به وضوح بین مسائل امنیت سایبری و کسبوکار میپیوندند. اگر هیات بدون درگیری باقی بماند، چنین بینشی وجود ندارد. ما متوجه شدیم که در نیمی از سازمانهای تولیدی، موضوع سایبر همچنان بهعنوان یک فناوری اطلاعات و نه یک ریسک تجاری در نظر گرفته میشود. تعداد مشابهی از پاسخ دهندگان ITDM/BDM موافق بودند که نگرش سازمان آنها نسبت به ریسک سایبری ماه به ماه متناقض است.
این امر به قلب چالش می رسد. حتی یک هیئت مدیره غیر درگیر نمی تواند یک حادثه سایبری جدی را نادیده بگیرد. اما حقیقت این است که بدون آگاهی از چشمانداز تهدید و بهروزرسانیهای منظم سطوح خطر، آنها نمیخواهند برای جلوگیری از وقوع چنین حوادثی فکر و برنامهریزی کنند. در عوض، آنها به شکلی نامنظم و مقطعی به آنها واکنش نشان خواهند داد. این باعث استفاده موثر از منابع شرکت نمی شود.
ما شواهد بیشتری برای حمایت از این نظریه پیدا کردیم. نزدیک به نیمی (47٪) از پاسخ دهندگان تولیدی در سراسر جهان به ما گفتند که سایبر حوزه اصلی سرمایه گذاری به منظور کاهش ریسک تجاری است. و تعدادی مشابه گفتند که سازمان آنها با توجه به رویدادهای اخیر این سرمایه گذاری را افزایش داده است. اما این نکته کلیدی است: این یک اقدام تا حد زیادی واکنشی است به جای تصمیم گیری استراتژیک و فعالانه که تولیدکنندگان به آن نیاز دارند. نتیجه این است که پول روی مشکل ریخته می شود و به ناچار بسیاری از آن پول برای فناوری های تکراری و برنامه های شتابزده نوشته شده هدر می رود.
بعد چه اتفاقی می افتد؟
با این حال، کارهایی وجود دارد که می توان برای اصلاح وضعیت انجام داد. بهبود تعامل و آگاهی باید با ارتباط بهتر بین امنیت فناوری اطلاعات و رهبران کسب و کار آغاز شود. متأسفانه در حال حاضر این دیالوگ نه به اندازه کافی مکرر است و نه تأثیری بر هیات می گذارد.
فقط 56 درصد از تیم های تولیدی فناوری اطلاعات، خطرات سایبری را حداقل به صورت هفتگی با آنها در میان می گذارند، که به 14 درصد کاهش می یابد که روزانه این کار را انجام می دهند. تقریباً یک پنجم (17%) این کار را هر سه ماه یا کمتر انجام می دهند. با توجه به تغییرات چشمگیر در چشم انداز تهدیدات سایبری، به روز رسانی های سه ماهه بسیار ناکافی است. “کم و اغلب” باید کلیدواژه رهبران فناوری اطلاعات باشد. اعضای هیئت مدیره نمی خواهند غرق در اطلاعات شوند. اما اگر ریسک تجاری جدی در حال افزایش است، نباید آنها را در تاریکی نگه داشت.
متأسفانه، 77 درصد از رهبران فناوری اطلاعات و تجارت ادعا کردند که در جلسات هیئت مدیره برای کم اهمیت جلوه دادن شدت خطرات سایبری تحت فشار قرار گرفته اند. آنها به طور موثر خودسانسوری می کنند از ترس اینکه بیش از حد تکراری یا خیلی منفی به نظر برسند، و یک چهارم آنها ادعا می کنند که این یک فشار ثابت است. این کار چیزی جز ایجاد یک دور باطل انجام نمی دهد، جایی که هیات مدیره از قرار گرفتن در معرض خطر واقعی خود نادیده گرفته می شود.
نکته اصلی این است که امنیت سایبری صنعتی است که به سرعت در حال تغییر است، دقیقاً به این دلیل که مدافعان و مهاجمان در یک مسابقه تسلیحاتی دائمی درگیر شده اند. ریسک شرکت با این تغییرات همراه با مجموعه ای از عوامل خارجی کاهش می یابد. این بدان معناست که تابلوها باید به طور منظم در مورد مشخصات ریسک سازمان خود به روز شوند. اما این اطلاعات باید به زبانی که آنها می توانند آن را بفهمند نیز منتقل شود.
تولیدکنندگان میتوانند تمام پول دنیا را برای تحول دیجیتال خرج کنند، اما چه سودی دارد که فناوری جدید فلش آنها پس از عرضه هک شود و به زانو درآید؟ امنیت باید با این شرایط مطرح شود – به عنوان وسیله ای برای اطمینان از اینکه هر گونه ابتکار دیجیتال بر پایه ای ثابت ساخته شده است. در وهله اول، این باید به معنای بهبود انعطافپذیری از طریق برنامههای مدیریت پیکربندی و اصلاح مبتنی بر ریسک، کنترلهای دسترسی سختتر و سایر بهترین شیوههای سلامت سایبری باشد. اما همچنین باید شامل شناسایی و پاسخ سریع تهدید برای زمانی که تهدیدها به طور اجتناب ناپذیری از بین می روند، برای اطمینان از دستگیری عوامل تهدید و ارسال بسته قبل از اینکه بتوانند آسیبی وارد کنند، باشد.
سفر آسانی نخواهد بود، اما برای همه سازندگان یک سفر ضروری است. این از CISO ها می خواهد که راهی متفاوت برای صحبت در مورد ریسک پیدا کنند. اما ابتدا، آنها نیاز به یک هیئت آماده برای گوش دادن دارند.