با توجه به افزایش این حملات و اثرات مخرب آن ها جلوگیری از تکرار چنین مواردی به یک اولویت اساسی تبدیل شده است. در این شرایط ضروری است که سازمان ها و شرکت ها رویکردی چندلایه و هوشمندانه به امنیت سایبری داشته باشند تا بتوانند با تهدیدات نوظهور مقابله کنند و از اطلاعات حساس کاربران خود محافظت نمایند.
بودجه محدود در مقابل تهدیدات گسترده
امنیت سایبری نه فقط در کشور ما که در سراسر جهان به یکی از مهم ترین نگرانی های سازمان ها و نهادهای دولتی تبدیل شده است. حتی گاهی دامنه منازعات سیاسی و جنگ ها تا این عرصه نیز کشیده می شود. با رشد سریع تهدیدات سایبری و پیچیدگی حملات سازمان ها باید زیرساخت های امنیتی خود را تقویت کنند؛ اما با وجود افزایش تهدیدات و البته در سایه اثرات مستقیم و غیرمستقیم تحریم ها بودجه های اختصاص یافته به امنیت سایبری ناکافی و ناچیز به نظر می رسد. ماجرا وقتی پیچیده تر می شود که با پیشرفته تر شدن روش های نفوذ هر سال فشار بودجه ای بیشتری به سازمان ها وارد می شود و در نتیجه سهم امنیت سایبری در بودجه هم آب می رود. در حالی که اهمیت محافظت از داده ها و زیرساخت های حیاتی دوچندان شده است باید مهاجرت نیروهای متخصص در این عرصه را نیز به سیاهه عوامل تشدیدکننده تهدیدات افزود.
نقش سیاست گذاری های دور از واقعیت در امنیت سایبری
یکی از چالش های عمده در حوزه امنیت سایبری سیاست های محدودکننده و بخشنامه های نهادهای نظارتی مانند سازمان های معتبر از جمله افتاست. این سازمان ها هر چند وقت یک بار برخی محصولات امنیتی را ممنوع اعلام می کنند با این امید که امنیت کلی سازمان ها افزایش یابد. اما مشکل اینجاست که این محدودیت ها اغلب تنها به محصول توجه دارند نه به عوامل انسانی و نحوه استفاده از آن محصول. بسیاری از محصولاتی که در فهرست ابزارهای ممنوعه قرار می گیرند در واقع به خاطر سوءاستفاده یا نصب نادرست دچار مشکل می شوند نه به خاطر ضعف ذاتی خود محصول. در نتیجه با بخشنامه ای چند خطی از سوی یک سازمان دولتی بخش بزرگی از زیرساخت های حیاتی ارتباطات کشور از پاره ای امکانات و فناوری های جدید محروم می شوند که گاه عواقبی خسارت بار در پی خواهد داشت.
بهره برداری مسئولانه؛ حلقه گمشده در امنیت سایبری
بسیاری از تهدیدات سایبری و آسیب ها در سازمان ها به دلیل نصب و راه اندازی غیراصولی یا استفاده نادرست از محصولات امنیتی رخ می دهند. گاهی پیمانکاران بدون دانش و تخصص کافی در این حوزه فعالیت می کنند و این امر باعث می شود که حتی بهترین محصولات هم نتوانند کارایی مورد انتظار را داشته باشند. این مشکل به راحتی با انتخاب پیمانکاران مجرب و آموزش کاربران قابل حل است. همان طور که در بخش قبل اشاره شد تمرکز بخشنامه ها به جای بررسی صلاحیت شرکت های مجری یا کارشناسان بر غیرمجاز اعلام کردن محصولات است.
نیاز به رویکرد چندلایه در امنیت سایبری
با همه این اوصاف و به رغم مشکلات پیش گفته امنیت را نمی شود به آینده موکول و یا بر تحقق شرایطی متوقف کرد. برای ایجاد یک زیرساخت امنیتی مؤثر لازم است به امنیت سایبری به عنوان یک رویکرد چندلایه و جامع نگاه شود. این رویکرد باید هم انتخاب درست محصول هم نصب و راه اندازی حرفه ای و هم استفاده آگاهانه از آن را شامل شود. انتخاب پیمانکاران متخصص و آموزش کاربران در کنار محصول مناسب از اهمیت ویژه ای برخوردار است. در واقع امنیت سایبری یک فرآیند جامع است که با هماهنگی عوامل فنی و انسانی می تواند به نتایج بهتری منجر شود.
تغییر تمرکز از محصولات به انتخاب های هوشمندانه
سخن آخر این که نظارت و رگولاتوری در عرصه امنیت سایبری به جای محدود کردن محصولات باید بر استفاده آگاهانه و انتخاب و رتبه بندی پیمانکاران متخصص متمرکز باشد. سیاست ها و مقررات نظارتی اگر به جای ممنوعیت محصول محور به انتخاب درست کاربران و پیمانکاران تکیه کنند می توانند امنیت پایدار و مؤثری برای سازمان ها فراهم کنند. با این رویکرد نه تنها بهره وری افزایش می یابد بلکه امکان مقابله مؤثر با تهدیدات سایبری نیز تقویت می شود.
انتخاب شرکت های متخصص و دارای دانش در این حوزه هرچند ممکن است هزینه ابتدایی بیشتری به نظر برسد ولی در بلندمدت با کاهش ریسک و جلوگیری از هزینه های سربار ناشی از مشکلات امنیتی می تواند بسیار مقرون به صرفه تر باشد.
* فاطمه مشرفی عضو سازمان نظام صنفی رایانه ای تهران