نوآوری در مدیریت برای توسعه پایدار

Kolnegar Private Media (Management Innovation for Sustainable Development)

10 فروردین 1403 10:48 ق.ظ

چرا هیات مدیره ها باید ریسک سایبری را درک کنند

25 مارس 2022 توسط The Manufacturer

بر کسی پوشیده نیست که تولیدکنندگان در طول همه‌گیری آسیب جدی دیده‌اند. از آنجایی که اگر زنجیره‌های تامین محدود و تورم مارپیچی کافی نباشد، تهدید حملات سایبری در حال افزایش است.

این بخش تقریباً یک چهارم (23٪) از حملات باج افزار را در سال 2021 به خود اختصاص داده است که بیش از هر مورد دیگری است. اما در حالی که رهبران امنیت سایبری ممکن است خطرات موجود در گسترش پروژه‌های تحول دیجیتال را به خوبی درک کنند، گاهی اوقات اعضای هیئت مدیره کمتر هماهنگ هستند.

این امر باید تغییر کند. تنها با یک استراتژی امنیتی فعال که توسط رهبری ارشد هدایت می‌شود، تولیدکنندگان می‌توانند امیدوار باشند که ریسک‌های حیاتی را برای کسب‌وکار خود کاهش دهند و از تمام آنچه نوآوری دیجیتال ارائه می‌کند سود ببرند. تا زمانی که هیات به کار خود ادامه دهد، این مزایای دگرگون کننده دور از دسترس باقی خواهند ماند.

سرمایه گذاری دیجیتال به معنای ریسک دیجیتال است

بر اساس گزارش آی‌بی‌ام، بخش تولید پس از مدت‌ها از خدمات مالی پیشی گرفت و بیشترین حمله در سال گذشته به این بخش وارد شد . چرا؟ زیرا بازیگران تهدید شرط می‌بندند که اختلال ناشی از باج‌افزار چنان تأثیر بالقوه‌ای بر زنجیره‌های تامین پایین‌دستی خواهد داشت که تولیدکنندگان چاره‌ای جز پرداخت باج‌های کلان نخواهند داشت. نظر آنها منطقی است. در واقع، این بخش به طور فزاینده ای در معرض تهدیداتی از این دست قرار می گیرد زیرا سازمان ها به دنبال مدرنیزه کردن محیط های IT خود هستند.

بر اساس مطالعه جداگانه ای که توسط The Manufacturer منتشر شده است، تحول دیجیتال در صنعت به سرعت در حال رخ دادن است. بیش از دو سوم (67٪) از پاسخ دهندگان به یک نظرسنجی ادعا کردند که پذیرش فناوری های دیجیتال را به دلیل همه گیری تسریع کرده اند و تنها 16٪ چنین پروژه هایی را متوقف کرده اند. آنها پیشرفت های فناوری را کلیدی برای باز کردن کارایی عملیاتی، انعطاف پذیری و بهره وری می دانند.

اما با افزایش سطح حملات سایبری شرکتی، با این ابتکارات، خطر بیشتری نیز به همراه دارد. بخشی از این به اضافه شدن اتصال به تجهیزات قدیمی OT مربوط می شود. به طور معمول، چنین سیستم هایی هم برای وصله چالش برانگیز هستند و هم چرخه های طولانی جایگزینی محصول دارند. تحقیقات Trend Micro در سال 2019 نشان داد که برای مثال، 69٪ از تولیدکنندگان جهانی از پلتفرم های قدیمی استفاده می کنند. چرا این مهم است؟ زیرا آسیب‌پذیری‌های نرم‌افزاری وصله‌نشده یک عامل اصلی تهدید هستند. مطالعه آی‌بی‌ام نشان داد که تقریباً نیمی (47 درصد) از حملات باج‌افزار به تولیدکنندگان در سال 2021 ناشی از اشکالاتی است که شرکت مورد نظر نتوانسته یا نمی‌توانست آن‌ها را اصلاح کند.

زمانی که سیستم‌های عملیاتی  OT آفلاین بودند، این کمبودها تا حد زیادی نادیده گرفته شدند. اما به لطف اتصال به اینترنت، مهاجمان اکنون می توانند  ماشین ها را به طور ناشناس از راه دور بررسی کنند. این باعث افزایش خطر برای صاحبان کارخانه می شود. آنها همچنین با پروتکل های منسوخ و ناامن ارتباط برقرار می کنند و راه بالقوه دیگری را برای سازش برجسته می کنند.

بسیاری موارد دیگر وجود دارد. همانطور که تولیدکنندگان دیجیتالی می شوند، سیستم های بیشتری را به زیرساخت های ابری متصل می کنند تا کارایی و بهره وری فرآیند را بهبود بخشند. اما این محیط ها اغلب به اشتباه پیکربندی می شوند و همچنین ممکن است بدون اصلاح باقی بمانند. دستگاه‌های اینترنت اشیا (IoT) نیز به طور فزاینده‌ای در کارخانه‌های هوشمند محبوب هستند، اما آنها نیز می‌توانند راه‌های جدید حمله را به همین دلایل معرفی کنند. این یک صنعت به سرعت در حال رشد است که در آن محافظت از امنیت سایبری کافی همیشه در دستگاه ها تعبیه نشده است.

همه اینها می تواند منجر به قطع تولید فلج کننده به دلیل به خطر افتادن در دام باج افزار شود. اما این تنها تهدید نیست، و به همان اندازه جدی است. امروزه اکثر این حملات شامل یک عنصر سرقت اطلاعات نیز می شود. این می تواند باعث شود که طرحهای های بسیار حساس، طرح های تولید و سایر IP ها به دست فرد اشتباه بیفتند. شرکت اپل، Quanta Computer، زمانی که سال گذشته پس از نقض جدی اطلاعات، با تقاضای 50 میلیون دلاری باج مواجه شد، متوجه این موضوع شد.

آیا هیئت‌ها خطر سایبری را دریافت می‌کنند؟

همانطور که در مطالعه اخیر Trend Micro نشان داده شده است، تناقضی در قلب نحوه واکنش تولیدکنندگان به این تهدیدات وجود دارد. از یک طرف، به نظر می رسد آن را دریافت می کنند. حدود 93 درصد از پاسخ دهندگان تولیدی به ما گفتند که رهبران ارشد آنها بر اساس رویدادهای بازار نگران باج افزار هستند. و یک سوم گفتند که فکر می کنند امنیت سایبری بزرگترین خطر تجاری امروز است. علاوه بر این، تقریباً دو سوم (63٪) ادعا کردند که حملات سایبری بیشترین تأثیر هزینه را در مورد ریسک تجاری دارند.

با این حال، از سوی دیگر، 88 درصد از تصمیم‌گیرندگان فناوری اطلاعات و کسب‌وکار ITDMs/BDMs در تولیدکنندگان گفتند که سازمان آنها مایل است امنیت سایبری را به نفع سایر اولویت‌های تجاری مانند تسریع تحول دیجیتال و بهره‌وری کسب‌وکار در اولویت انتخاب کند. این به طور کامل نقش امنیت را در سازمان های آینده نگر درک نمی کند. این به عنوان یک فعال کننده برای تبدیل عمل می کند، نه به عنوان یک بلوک یا بررسی آن. این یک انتخاب یا/یا نیست. در عوض، امنیت موثر یک پیش نیاز ضروری برای موفقیت هر ابتکار تجاری است و باید از همان ابتدا طراحی شود.

این واقعیت که هیاتمدیره این را دریافت نمی کند ممکن است نشان دهنده یک ضعف عمیق تر باشد – اینکه رهبران چیزی بیش از یک خدمت ساده به مفهوم مدیریت استراتژیک ریسک سایبری پرداخت می کنند. در واقع، فقط نیمی از ITDM/BDM هایی که ما در نظرسنجی انجام دادیم، گفتند که فکر می کنند هیات کاملاً خطر سایبری را درک می کند. مهمترین دلایل ذکر شده این بود که این یک موضوع پیچیده و همیشه در حال تغییر است – که قطعاً همینطور است. اما سایر پاسخ دهندگان به مشکلات جدی تری اشاره کردند. بیش از یک چهارم ادعا کردند که آنها به اندازه کافی برای درک سایبر تلاش نمی کند، و تعداد مشابهی استدلال کردند که آن را به عنوان یک مشکل اتاق هیئت مدیره نمی بینند.

تاثیر یک هیئت مدیره غیر فعال

بنابراین، این در واقع به چه معناست؟ تحقیقات جداگانه نشان می‌دهد که وقتی اعضای هیئت مدیره درگیر هستند و در مورد فضای سایبر آموزش می‌بینند، سؤالات سخت‌تری از CISO خود می‌پرسند، مسائل را عمیق‌تر می‌کنند و به وضوح بین مسائل امنیت سایبری و کسب‌وکار می‌پیوندند. اگر هیات بدون درگیری باقی بماند، چنین بینشی وجود ندارد. ما متوجه شدیم که در نیمی از سازمان‌های تولیدی، موضوع سایبر همچنان به‌عنوان یک فناوری اطلاعات و نه یک ریسک تجاری در نظر گرفته می‌شود. تعداد مشابهی از پاسخ دهندگان ITDM/BDM موافق بودند که نگرش سازمان آنها نسبت به ریسک سایبری ماه به ماه متناقض است.

این امر به قلب چالش می رسد. حتی یک هیئت مدیره غیر درگیر نمی تواند یک حادثه سایبری جدی را نادیده بگیرد. اما حقیقت این است که بدون آگاهی از چشم‌انداز تهدید و به‌روزرسانی‌های منظم سطوح خطر، آنها نمی‌خواهند برای جلوگیری از وقوع چنین حوادثی فکر و برنامه‌ریزی کنند. در عوض، آنها به شکلی نامنظم و مقطعی به آنها واکنش نشان خواهند داد. این باعث استفاده موثر از منابع شرکت نمی شود.

ما شواهد بیشتری برای حمایت از این نظریه پیدا کردیم. نزدیک به نیمی (47٪) از پاسخ دهندگان تولیدی در سراسر جهان به ما گفتند که سایبر حوزه اصلی سرمایه گذاری به منظور کاهش ریسک تجاری است. و تعدادی مشابه گفتند که سازمان آنها با توجه به رویدادهای اخیر این سرمایه گذاری را افزایش داده است. اما این نکته کلیدی است: این یک اقدام تا حد زیادی واکنشی است به جای تصمیم گیری استراتژیک و فعالانه که تولیدکنندگان به آن نیاز دارند. نتیجه این است که پول روی مشکل ریخته می شود و به ناچار بسیاری از آن پول برای فناوری های تکراری و برنامه های شتابزده نوشته شده هدر می رود.

بعد چه اتفاقی می افتد؟

با این حال، کارهایی وجود دارد که می توان برای اصلاح وضعیت انجام داد. بهبود تعامل و آگاهی باید با ارتباط بهتر بین امنیت فناوری اطلاعات و رهبران کسب و کار آغاز شود. متأسفانه در حال حاضر این دیالوگ نه به اندازه کافی مکرر است و نه تأثیری بر هیات می گذارد.

فقط 56 درصد از تیم های تولیدی فناوری اطلاعات، خطرات سایبری را حداقل به صورت هفتگی با آنها در میان می گذارند، که به 14 درصد کاهش می یابد که روزانه این کار را انجام می دهند. تقریباً یک پنجم (17%) این کار را هر سه ماه یا کمتر انجام می دهند. با توجه به تغییرات چشمگیر در چشم انداز تهدیدات سایبری، به روز رسانی های سه ماهه بسیار ناکافی است. “کم و اغلب” باید کلیدواژه رهبران فناوری اطلاعات باشد. اعضای هیئت مدیره نمی خواهند غرق در اطلاعات شوند. اما اگر ریسک تجاری جدی در حال افزایش است، نباید آنها را در تاریکی نگه داشت.

متأسفانه، 77 درصد از رهبران فناوری اطلاعات و تجارت ادعا کردند که در جلسات هیئت مدیره برای کم اهمیت جلوه دادن شدت خطرات سایبری تحت فشار قرار گرفته اند. آنها به طور موثر خودسانسوری می کنند از ترس اینکه بیش از حد تکراری یا خیلی منفی به نظر برسند، و یک چهارم آنها ادعا می کنند که این یک فشار ثابت است. این کار چیزی جز ایجاد یک دور باطل انجام نمی دهد، جایی که هیات مدیره از قرار گرفتن در معرض خطر واقعی خود نادیده گرفته می شود.

نکته اصلی این است که امنیت سایبری صنعتی است که به سرعت در حال تغییر است، دقیقاً به این دلیل که مدافعان و مهاجمان در یک مسابقه تسلیحاتی دائمی درگیر شده اند. ریسک شرکت با این تغییرات همراه با مجموعه ای از عوامل خارجی کاهش می یابد. این بدان معناست که تابلوها باید به طور منظم در مورد مشخصات ریسک سازمان خود به روز شوند. اما این اطلاعات باید به زبانی که آنها می توانند آن را بفهمند نیز منتقل شود.

تولیدکنندگان می‌توانند تمام پول دنیا را برای تحول دیجیتال خرج کنند، اما چه سودی دارد که فناوری جدید فلش آنها  پس از عرضه هک شود و به زانو درآید؟ امنیت باید با این شرایط مطرح شود – به عنوان وسیله ای برای اطمینان از اینکه هر گونه ابتکار دیجیتال بر پایه ای ثابت ساخته شده است. در وهله اول، این باید به معنای بهبود انعطاف‌پذیری از طریق برنامه‌های مدیریت پیکربندی و اصلاح مبتنی بر ریسک، کنترل‌های دسترسی سخت‌تر و سایر بهترین شیوه‌های سلامت سایبری باشد. اما همچنین باید شامل شناسایی و پاسخ سریع تهدید برای زمانی که تهدیدها به طور اجتناب ناپذیری از بین می روند، برای اطمینان از دستگیری عوامل تهدید و ارسال بسته قبل از اینکه بتوانند آسیبی وارد کنند، باشد.

سفر آسانی نخواهد بود، اما برای همه سازندگان یک سفر ضروری است. این از CISO ها می خواهد که راهی متفاوت برای صحبت در مورد ریسک پیدا کنند. اما ابتدا، آنها نیاز به یک هیئت آماده برای گوش دادن دارند.

آیا این نوشته برایتان مفید بود؟

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *