لیزاردوب شمارا به خواندن قسمت دوم مقاله ی امنیت اطلاعات با محوریت ریسک و تروریسم سایبری دعوت میکند.

با ریسک های امنیتی چگونه برخورد کنیم ؟

بصورت کلی در برخورد با ریسک های امنیت اطلاعات سه عمل بایستی انجام شود. در وهله اول ما ریسک را Accept یا قبول می کنیم ، یعنی اینکه می پذیریم که این ریسک در مجموعه ما وجود داشته باشد چون توانایی کاهش دادن یا انتقال این ریسک را نداریم . برای مثال بیشتر سازمان ها ریسک وقوع زلزله و سیل را می پذیرند و در برنامه های امنیتی خود برنامه ای برای مقابله با چنین حوادثی پیشبینی نمی شود. در وهله دوم ما ریسک ها را کاهش یا Diminish می کنیم ، در این حالت ما تا جایی که می توانیم اقدام های پیشگری و احتیاط های لازم برای جلوگیری از بروز خطر را انجام می دهیم . در مبحث امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات ، بیشترین کاری که بایستی با ریسک ها انجام شود کاهش دادن یا Diminish کردن ریسک می باشد. در وهله سوم ما ریسک ها را منتقل یا Transfer می کنیم ، بدین معنا که به جای اینکه ریسک را مایه دردسر خودمان قرار دهیم ، مسئولیت پذیرش آن را به یک شخص یا سازمان جانبی واگذار می کنیم و تمامی موارد مرتبط با ریسک را از آنها خواهیم خواست. برای مثال استفاده از مزیت های بیمه و تامین اجتماعی به معنی انتقال یک سری مسئولیت های مراقبتی به ارگانی غیر از ارگان خودمان می باشد.

درک اهمیت امنیت اطلاعات

همیشه ما ایرانی ها عادت داریم تا مشکلی به وجود نیاید به فکر پیشگری از آن نیستیم ، زمانی که اتفاقی که نباید بیافتد تازه متوجه اهمیت موضوع می شویم . در بحث امنیت اطلاعات شما بایستی اهمیت موضوع را به خوبی درک کنید تا بتوانید از بوجود آمدن مشکلات آینده جلوگیری کنید. با وجود کنترل های امنیت اطلاعات شما از سرقت اطلاعات سازمانی خود در امان خواهید بود ، اطلاعات سازمانی شما در حوزه امنیت اطلاعات دارایی های شما به حساب می آیند که برای سازمان دارای ارزش می باشند. برای مثال در یک شرکت داروسازی ، اطلاعات مربوط به فرمول ساخت داروها سرمایه شرکت محسوب می شوند و یا در یک شرکت بازاریابی ، اطلاعات مربوط به مشتری ها جزو دارایی های شرکت محسوب می شود. سرقت کارت های اعتباری و سوء استفاده از کارت های شناسایی یکی دیگر از مواردی است ک با پیاده سازی درست کنترل های امنیت اطلاعات از بروزشان جلوگیری می شود.

امنیت اطلاعات نیز خود دارای یک سری استانداردها می باشد ، در صورتیکه شما به درستی کنترل های مناسب امنیتی را پیاده سازی نکنید قادر نخواهید بود به این قوانین و استانداردها دست پیدا کنید. شاید با خود بپرسید که چه نیازی به این هست که ما یک سری استانداردها یا قوانین امنیت اطلاعاتی را در سازمان خود داشته باشیم ؟ پاسخ در این است که مشتریان شما با مشاهده رعایت شدن این قوانین توسط شما ، اعتماد بیشتری در برقراری همکاری با شما خواهند داشت . برخی از قوانینی که تا کنون در خصوص حفاظت از حریم خصوصی داده های الکترونیکی در دنیا در خصوص تجارت های مختلف وجود دارند به شرح زیر می باشند :

• HIPAA | Health Insurance Portability and Accountability Act : این قانون در خصوص بیمه ها و سازمان هایی مثل تامین اجتماعی می باشد که اطلاعات سلامتی و بیماری مشتریان خود که کاملا محرمانه می باشد را بصورت الکترونیکی رد و بدل می کنند.HIPPA قوانین حفاظتی مربوط به حفظ محرمانگی و امنیت اطلاعات سلامت بیماران از لحاظ حفاظت در مقابل دسترسی های غیرمجاز و افشای اطلاعات را تدوین کرده است. HIPPA به این موضوع اشاره دارد که یک فرآیند مدیریت امنیت بایستی برای محافظت از اطلاعات سلامتی بیماران وجود داشته باشد که بتوان در آن تلاش برای دسترسی غیرمجاز ، دسترسی های غیرمجاز ، استفاده ، افشاء ، دستکاری و مواردی از این قبیل را به درستی بتوان کنترل و مدیریت کرد.

• Act SOX | Sarbanes Oxley : این قانون برای تمامی شرکت های عمومی و حسابرسی تدوین شدن است و در آن به صراحت عنوان شده است که شرکت هایی از این نوع بایستی اطلاعات مالی خود را بصورت گزارش های دقیق و دارای صحت به بازرسان مربوطه ارائه دهند. معمولا در تمامی این قانون ها گزینه ای به نام Act وجود دارد که به معنای انجام می باشد ، در این قانون هم منظور از Act در این است که شرکت های مربوطه بایستی فرآیند ها و کنترل هایی را پیاده ازی کنند که بتوانند اطلاعات مالی مشتریان خود را به درستی حفاظت کنند. تمامی شرکت ها موظف هستند که یک گزارش SOX از شرکت خود داشته باشند که در آن ریز عملیات امنیت انجام شده برای محافظت از اطلاعات مالی مشتریان ذکر شده باشد.

• GLBA | Gramm-Leach-Bliley Act : این قانون نیز برای هر شرکتی که در زمینه مالی فعالیت می کند صادق است و بیانگر این است که ، بایستی هر شرکت که محدوده فعالیت های آن امور مالی می باشد دستورالعمل ها و خط مشی هایی داشته باشد که بتواند اطلاعات غیر عمومی را از تهدیداتی که آنها را در بر گرفته اند محاظفت کند. این موضوع بسیار مهم است که یک فرآیند مدیریت امنیت وجود داشته باشد که بتواند کلیه اقدامات انجام شده مانند تلاش های دسترسی موفق و غیر موفق ، استفاده ، افشاء و دستکاری اطلاعات مشتریان را بررسی کرده و از دسترسی های غیر مجاز حفاظت کند. به زبانی دیگر شما اگر بخواهید این قانون را اجرا کنید بایستی بتوانید تمامی دسترسی های مجاز و غیر مجاز و کلیه فعالیت هایی که بر روی رکوردهای مشتریان شما انجام می شود را مانیتور یا پایش کرده و بتوانید از آنها گزارش تهیه کنید.

امنیت اطلاعات قسمت دوم – مقابله با ریسک ها و تروریسم سایبری

این قوانین در بیشتر نقاط دنیا مرسوم و رایج هستند و مورد استفاده قرار می گیرند ، قوانین دیگری را می توانید به این موارد اضافه کنید که از جمله آنها می توان به FISMA Federal Information Security Management Act و PCI DSS Payment Card Industry – Data Security Standards و همچنین California’s Database Security Breach Notification Act اشاره کرد که فقط در این مقاله قصد معرفی اهداف آنها را داشتیم ، مشابه این قوانین در کشور ما ایران ، نیز وجود دارد و دولت برای هر یک از سازمان های مختلفی که داده های الکترونیکی دارند چنین قوانینی را منظور کرده است. تنها با پیاده سازی راهکارهای درست امنیت اطلاعات است که می توان به این قوانین به درستی عمل کرد .

یکی دیگر از دلایل اهمیت امنیت اطلاعات این است که باعث ادامه روند کسب و کار شما می شود. زمانی که یک رخداد امنیتی در حوزه امنیت اطلاعات پیش می آید ممکن است باعث از بین رفتن منابع یا سرویس ها شود و همین دلیل باعث از کار افتادن و یا به تعویق افتادن روند کاری شرکت یا سازمان می شود . از کار افتادن سازمان یعنی هدر رفتن منابع و زمان و البته هزینه های زیاد ، بنابراین امنیت اطلاعات باعث صرفه جویی در زمان و منابع مالی شما می شود ، برخلاف تصوری که امنیت اطلاعات هزینه است در واقع یک سرمایه گذاری است . اگر بر اثر وقوع یک رخداد امنیتی شبکه یک بانک دچار اختلال شود قطعا ضررهای هنگفتی هم از نظر اعتباری و هم از نظر مالی به بانک وارد می شود ، اگر دیدگاه امنیتی در حوزه دسترسی پذیری از قبل برای این بانک دیده شود دیگر هدر رفتن منابع را نخواهند دید.

امنیت اطلاعات را صرفا در سطح سازمان یا شرکت خود نبینید . این موضوع یک اولویت ملی و بین المللی محسوب می شود . با پیشرفت همه روزه حوزه های مختلف فناوری اطلاعات ، تکنولوژی های جدید در عرصه های مختلفی از جمله نیروگاه ها ، سد ها ، ریاکتور های هسته ای ، سیستم های بانکی ، سیستم های نظامی ، سیستم های حمل و نقل و سیستم های آبرسانی مورد استفاده قرار می گیرند. همانطور که قبلا هم اشاره کردیم همین تکنولوژی ها می توانند مورد حملات متععدی قرار بگیرند و باعث بروز فجایع ملی شوند. برخی از گروه های تروریستی هستند که به صورت فیزیکی شخصی را ترور نمی کنند بلکه با تکنولوژی باعث بروز وحشت و ترس در میان مردم می شوند. یکی از حملاتی که بصورت گسترده در بین کشورها وجود دارد به عنوان تروریسم سایبری یا Cyber terrorism شناخته می شود. در این نوع از حملات سازمان ها یا گروه های تروریستی از کارشناسان و نخبگان عملی در حوزه تکنولوژی استفاده کرده و به کشورها و اهداف مورد نظر خود حمله می کنند. اینگونه حملات معمولا بسیار پیچیده و بصورت برنامه ریزی شده انجام می شود. در بیشتر اوقات هدف از اینگونه حملات کاملا سیاسی بوده و بیشتر در راستای تخریب اطلاعات و داده های کشور مورد هجوم فعالیت می کنند. ایجاد رعب و وحشت ( Panic ) ، خشمگین کردن و آزار دادن و به وجود آوردن فجایع مالی و اطلاعاتی از دیگر اهداف تروریسم سایبری است ، همانطور که اشاره شد اهداف اصلی اینگونه حملات معمولا بانک ها ، ارگان ها نظامی ، نیروگاه ها ، سیستم های حمل و نقل و سیستم های آبرسانی و اتمی هستند.

در سالهای اخیر اینگونه حملات به شدت افزایش یافته است و کشور عزیز ما ایران نیز همه روزه مورد هجوم حملات تروریستی زیادی از این قبیل قرار میگیرد ، نمونه ای از حملاتی که می توان به آنها اشاره کرد ویروس هایی بوده که تا کنون با هدف تخریب منابع اطلاعاتی و تاسیسات اتمی ایران طراحی و ایجاد شده است ، Stuxnet و Wiper فقط نمونه ای از اینگونه حملات سایبری تروریستی بودند که بر روی تاسیسات اتمی ایران و همچنین شرکت ملی نفت ایران به وجود آمدند اما خوشبختانه موفقیت چندانی نداشتند.