با توجه به افزایش این حملات و اثرات مخرب آن، جلوگیری از تکرار این موارد به یک اولویت اساسی تبدیل شده است. در این شرایط، برای سازمانها و کسبوکارها ضروری است که رویکردی هوشمندانه و چندلایه به امنیت سایبری داشته باشند تا بتوانند با تهدیدات نوظهور مقابله کنند و از اطلاعات حساس کاربران خود محافظت کنند.
بودجه محدود در برابر تهدیدات عظیم
امنیت سایبری نه تنها در کشور ما بلکه در سراسر جهان به یکی از مهم ترین دغدغه های سازمان ها و نهادهای دولتی تبدیل شده است. گاهی حتی درگیری ها و جنگ های سیاسی به این حوزه سرایت می کند. با رشد سریع تهدیدات سایبری و پیچیده شدن حملات، سازمان ها باید زیرساخت های امنیتی خود را تقویت کنند. اما با وجود افزایش تهدیدها و البته در سایه تأثیرات مستقیم و غیرمستقیم تحریم ها، بودجه های اختصاص یافته به امنیت سایبری ناکافی و ناچیز به نظر می رسد. ماجرا زمانی پیچیدهتر میشود که با پیشرفتهتر شدن روشهای نفوذ، هر ساله فشار بودجه بیشتری بر سازمانها وارد میشود و در نتیجه، نسبت امنیت سایبری در بودجه نیز کاهش مییابد. در حالی که اهمیت حفاظت از داده ها و زیرساخت های حیاتی دوچندان شده است، مهاجرت نیروهای متخصص در این زمینه را نیز باید به فهرست عوامل تشدید کننده تهدیدات اضافه کرد.
نقش سیاست های غیر واقعی در امنیت سایبری
یکی از چالش های اصلی در حوزه امنیت سایبری، سیاست ها و دستورالعمل های محدودکننده نهادهای نظارتی مانند سازمان های معتبر مانند افتا است. هر از گاهی این سازمان ها محصولات امنیتی خاصی را ممنوع می کنند، به این امید که امنیت کلی سازمان ها را افزایش دهند. اما مشکل اینجاست که این محدودیت ها اغلب فقط بر روی محصول تمرکز می کنند، نه بر عوامل انسانی و نحوه استفاده از آن محصول. بسیاری از محصولاتی که در لیست ابزارهای ممنوعه قرار می گیرند در واقع به دلیل استفاده نادرست یا نصب نادرست مشکل دارند، نه به دلیل ضعف ذاتی خود محصول. در نتیجه با بخشنامه چند خطی یک دستگاه دولتی، بخش بزرگی از زیرساختهای حیاتی ارتباطی کشور از برخی امکانات و فناوریهای نوین محروم میشوند و گاه عواقب زیانباری به دنبال دارد.
بهره برداری مسئولانه؛ حلقه مفقوده امنیت سایبری
بسیاری از تهدیدها و آسیب های سایبری به سازمان ها به دلیل نصب نادرست یا سوء استفاده از محصولات امنیتی رخ می دهد. گاهی اوقات پیمانکاران بدون دانش و تجربه کافی در این زمینه فعالیت می کنند و این بدان معناست که بهترین محصولات نیز نمی توانند آنطور که انتظار می رود عمل کنند. این مشکل با انتخاب پیمانکاران مجرب و آموزش کاربران به راحتی قابل حل است. همانطور که در قسمت قبل اشاره شد، هدف بخشنامه ها، غیرقانونی بودن محصولات به جای بررسی صلاحیت شرکت ها یا کارشناسان مجری آن است.
نیاز به رویکرد چند لایه در امنیت سایبری
با همه این ویژگی ها و با وجود مشکلات ذکر شده، نمی توان امنیت را به آینده موکول کرد و یا مانع تحقق شرایط شد. برای ایجاد یک زیرساخت امنیتی موثر، لازم است امنیت سایبری به عنوان یک رویکرد جامع و چند لایه در نظر گرفته شود. این رویکرد باید شامل انتخاب مناسب محصول، نصب حرفه ای و استفاده آگاهانه باشد. انتخاب پیمانکاران خبره و آموزش کاربران در مورد محصول مناسب بسیار مهم است. در واقع امنیت سایبری فرآیندی جامع است که با هماهنگی عوامل فنی و انسانی می تواند به نتایج بهتری منجر شود.
تمرکز را از محصولات به انتخاب های هوشمندانه تغییر دهید
حرف آخر این است که نظارت و مقررات در حوزه امنیت سایبری به جای محدود کردن محصولات، باید بر استفاده آگاهانه، انتخاب و طبقه بندی پیمانکاران خبره متمرکز شود. سیاستها و مقررات نظارتی در صورتی میتوانند امنیت پایدار و مؤثری را برای سازمانها فراهم کنند که به انتخاب صحیح کاربران و پیمانکاران و نه ممنوعیتهای محصول محور بستگی داشته باشند. با این رویکرد نه تنها بهره وری افزایش می یابد، بلکه توانایی مقابله موثر با تهدیدات سایبری نیز تقویت می شود.
انتخاب شرکتهای با تجربه و دانش در این زمینه اگرچه ممکن است هزینه اولیه بیشتر به نظر برسد، اما در بلندمدت با کاهش ریسک و جلوگیری از هزینههای کلی ناشی از مسائل امنیتی، میتوان بسیار مقرون به صرفهتر بود.
* فاطمه مشرفه، عضو سازمان صنف رایانه ای تهران