گزارش گرداب

سیاست های پیشنهادی برای امنیت سایبری سازمان ها در دوران کرونا

سیاست های پیشنهادی برای امنیت سایبری سازمان ها در دوران کرونا
تاریخ انتشار : ۱۴ دی ۱۳۹۹

افزایش دورکاری در دوران کرونا در کنار مزیت‌های فراوان ازجمله شکسته شدن حلقه انتقال این ویروس، تهدیدات امنیتی بسیاری را نیز به شرکت‌ها و سازمان‌ها تحمیل کرده است.

به گزارش گرداب، افزایش دورکاری در دوران کرونا در کنار مزیت‌های فراوان ازجمله شکسته شدن حلقه انتقال این ویروس، تهدیدات امنیتی بسیاری را نیز به شرکت‌ها و سازمان‌ها تحمیل کرده است. از این رو، آیین‌نامه و دستورالعمل‌های مختلفی برای کاهش این تهدیدات در این سازمان‌ها تدوین شده‌اند و مدیران نیز رویکردهای مختلفی را برای حصول اطمینان از اجرایی شدن این تدابیر در بین کارکنان اتخاذ کرده‌اند. در این پرونده، به بررسی برخی از این مصادیق می‌پردازیم.

رابطه دورکاری و مشاغل

با شروع بحران کرونا و مطرح‌شدن فاصله‌گذاری اجتماعی به‌عنوان یکی از مؤثرترین راه‌های پیشگیری از ابتلا به این بیماری، شرکت‌های خصوصی و سازمان‌های دولتی دورکاری بخشی از کارمندان خود را در دستور کار قرار دادند. در کشور آمریکا، 45 درصد کارمندان دفتری مشغول دورکاری هستند که در این میان، 66 درصد آن‌ها به دلیل بحران کرونا به دورکاری رفته‌اند.  در داخل کشور نیز با شروع بحران کرونا، نیمی از کارکنان دولت در اسفندماه 1398 و یک‌سوم کارکنان با شروع سال جدید به دورکاری فرستاده شدند. 

در این میان کارکنان در مشاغلی که بیشتر با کامپیوتر و اینترنت سروکار دارند، ظرفیت بیشتری برای دورکاری دارند. به عبارت دیگر، مشاغلی که امکان منتقل کردن خدمات خود به بستر آنلاین را دارند و نیازی به حضور فیزیکی مردم ندارند، فرصت مناسبی را برای اجرای طرح فاصله‌گذاری اجتماعی در جامعه فراهم آورده‌اند. مشاغلی چون برنامه‌نویسی، حسابداری، مشاوره، امنیت شبکه، بازاریابی و مدیریت پروژه سردمداران این جبهه هستند. از سوی دیگر، برخی مشاغل ظرفیت پایینی برای دورکاری دارند ازجمله خدمات درمانی، آموزش عالی، پشتیبانی از مشتری و وکالت.

سیاست‌گذاری امنیت سایبری در دوران کرونا
ظرفیت مشاغل مختلف در ارسال کارکنان به دورکاری به‌صورت موقت یا تمام‌وقت

سیاست‌گذاری امنیت سایبری در دوران کرونا

با این وجود، این فرصت تهدیدهایی را نیز به همراه خود دارد. همان‌طور که عنوان شد، نقطه مشترک مشاغل با ظرفیت بالای دورکاری استفاده از کامپیوتر و اینترنت است. با فرستادن برخی کارمندان به دورکاری، این افراد باید از طریق دستگاه‌هایی که خارج از محدوده فیزیکی سازمان هستند به تبادل اطلاعات با دیگر کارمندان بپردازند. درنتیجه، نه‌تنها تعداد دستگاه‌های حاوی اطلاعات سازمان افزایش پیدا می‌کند، بلکه به‌شدت به پراکندگی فیزیکی آن‌ها نیز افزوده می‌شود. این به آن معناست که حفظ امنیت سایبری سازمان دیگر با پروتکل‌های پیشین امکان‌پذیر نیست و این پروتکل‌ها باید مورد بازبینی قرار بگیرند. 

سیاست‌گذاری امنیت سایبری در دوران کرونا
نفوذ به یک دستگاه می‌تواند کل سازمان را تحت تأثیر قرار دهد 

سیاست‌گذاری امنیت سایبری در دوران کرونا

همان‌طور که عنوان شد، با افزایش خطرات سایبری، شرکت‌ها به بازبینی پروتکل‌های امنیتی خود روی آورده‌اند. طبق یک نظرسنجی در کشور بریتانیا ، 65 درصد شرکت‌ها تغییرات اساسی را در سیاست‌های امنیت سایبری خود در دوران کرونا اعمال کرده‌اند. این سیاست‌ها از کشوری به کشور دیگر تفاوت چندانی نداشته و برای تمام شرکت‌ها و سازمان‌ها لازم‌الاجرا هستند. ازجمله این سیاست‌ها می‌توان به موارد ذیل اشاره کرد.

1- دسترسی به برنامه‌ها
با منتقل شدن برخی کارمندان به بیرون از محیط سازمان، که تدابیر امنیتی لازم در آنجا اجرایی نیست، باید سطح دسترسی به برنامه‌ها طبقه‌بندی شوند. به عبارت دیگر، دسترسی به برنامه‌ها منوط به میزان ریسک اتصال است، اینکه درنتیجه اتصال چقدر احتمال نفوذ به سیستم و سرقت اطلاعات وجود دارد. بر این اساس، برنامه‌ها به چند گروه تقسیم می‌شوند، از برنامه‌ها با درجه حساسیت پایین که از هرکجا قابل‌استفاده و دسترسی هستند (مانند برنامه‌های ثبت ساعات کاری) تا برنامه‌های با درجه حساسیت بالاتر که تنها از طریق وی‌پی‌ان‌ها قابل دسترسی هستند (مانند برنامه‌های مورد استفاده برای برگزاری ویدئوکنفرانس‌ها) و درنهایت، برنامه‌ها با بالاترین درجه حساسیت که فقط در داخل سازمان باید از آن‌ها استفاده کرد (مانند برنامه‌های آرشیوسازی اسناد سازمان).

2- احراز هویت چندعاملی
طبق یک نظرسنجی، 57 درصد کارکنانی که دورکاری می‌کنند رمز عبور خود را در مرورگرها ذخیره می‌کنند و 89 درصد از رمز عبوری یکسان در برنامه‌ها و سایت‌های مختلف استفاده می‌کنند.  به همین دلیل، حتی دسترسی کارکنان به برنامه‌های با حساسیت پایین از خارج از محیط سازمان نیز باید کنترل‌شده باشد. استفاده از احراز هویت چندعاملی می‌تواند یکی از الزامات ورود به این برنامه‌ها از خارج از محیط سازمان در نظر گرفته شود. در این نوع احراز هویت، به‌عنوان مثال، کاربر ابتدا با وارد کردن یک رمز عبور در برنامه درخواست اجازه دسترسی را به سرور مرکزی ارسال می‌کند و سرور با ارسال یک کد موقت به شماره تلفن همراه شخص، رمز نهایی برای دسترسی به برنامه را برای شخص ارسال می‌کند. 

عوامل قابل‌استفاده در این نوع احراز هویت به 4 دسته تقسیم می‌شوند: مالکیت (مانند تلفن همراه یا کارت‌بانکی)، دانش (مانند رمز عبور یا اطلاعات شخصی)، زیست‌سنجی (اثرانگشت، صدا یا الگوی تایپ کردن) و مکان (مختصات جغرافیایی). استفاده حداقل دو عاملِ متمایز از میان این عوامل در احراز هویت چندعاملی الزامی است.

سیاست‌گذاری امنیت سایبری در دوران کرونا
احراز هویت چندعاملی یکی از راهکارهای مؤثر در امنیت سایبری است 

3- استفاده از دستگاه‌های شخصی
کار در منزل عمدتاً به کار با وسایل شخصی منتهی می‌شود که عواملی چون عدم امکان خارج کردن سیستم کاری از محیط سازمان و سهولت استفاده از دستگاه‌های شخصی از سوی کارکنان به افزایش این گرایش دامن می‌زنند. به همین دلیل، بسته به میزان حساسیت مسئولیت‌های محوله به هر کارمند، سازمان‌ها باید امکان استفاده از دستگاه‌های شخصی را برای کارمندان مشخص کنند. به‌عنوان مثال، یک سازمان می‌تواند امکان استفاده از دستگاه‌های شخصی برای ارسال اطلاعات سازمان از سوی حسابدار خود را به‌طور کامل منع کرده و دورکاری وی را منوط به استفاده از دستگاه‌هایی مقرر کند که سازمان در اختیار وی قرار داده است.

4- استفاده از برنامه‌های شخصی
یکی از موارد اجتناب‌ناپذیر دورکاری، نیاز کارکنان در خارج از سازمان به تبادل اطلاعات سازمانی با کارکنان مستقر در سازمان است. بسته به میزان حساسیت این اطلاعات، سازمان‌ها باید برنامه‌های مورد استفاده کارکنان برای انتقال اطلاعات را محدود کنند. به‌عنوان مثال، سازمان می‌تواند برنامه‌های مورداستفاده مدیران مالی را محدود به برنامه‌های مورد تأیید سازمان کند. از سوی دیگر، در صورتی که کارمندی ملزم به استفاده از سیستم سازمانی در زمان دورکاری شده است، باید از نصب برنامه‌های شخصی بر روی آن سیستم منع شود.

سیاست‌گذاری امنیت سایبری در دوران کرونا
استفاده کارکنان از برنامه‌های شخصی یکی از راه‌های نفوذ هکرها به سامانه‌های سازمانی هستند

سیاست‌گذاری امنیت سایبری در دوران کرونا

پایبندی به پروتکل‌ها

طبق آمار، حدود 60 درصد کارمندانی که از منزل و به‌صورت دورکاری به فعالیت خود ادامه می‌دهند، تمایل به دور زدن پروتکل‌های امنیتی و رعایت حداقلی آن‌ها دارند.  این گرایش رایج در میان کارکنان علل مختلفی دارد :

  • کارمندان به جهت دشواری مراحل احراز هویت یا پیچیدگی برنامه‌های سازمانی، ترجیح می‌دهند از برنامه‌های شخصی برای تبادل اطلاعات استفاده کنند.
  • کارمندان به‌منظور سختی استفاده هم‌زمان از دو سیستم برای پیگیری کارهای شرکتی و شخصی، ترجیح می‌دهند تمام کارهای خود را بر روی همان سیستم شخصی خود انجام دهند.
  • کارمندان به‌منظور سختی استفاده هم‌زمان از دو برنامه برای پیگیری کارهای شرکتی و شخصی، ترجیح می‌دهند تمام کارهای خود را بر روی همان برنامه شخصی خود انجام دهند.
  • کارمندان به‌منظور زمان‌بر بودن پایبندی به پروتکل‌های امنیتی از یک‌سو و جو روانی حاکم بر منزل که وی را ترغیب به انجام کارهای شخصی می‌کند، ترجیح می‌دهند تا حد ممکن این پروتکل‌ها را دور زده و کارهای اداری خود را هر چه سریع‌تر به اتمام برسانند.

این عوامل سبب می‌شوند تا سازمان‌ها در کنار تدوین پروتکل‌های امنیتی، راهکارهایی نیز برای تضمین پایبندی به آن‌ها در سیاست‌گذاری خود در نظر بگیرند. الزام کارکنان به نصب برنامه‌های نظارتی یکی از اولین گام‌های تضمین پایبندی به پروتکل‌های امنیتی است. مدیران امنیت اطلاعات سازمان با مراجعه به این برنامه‌ها و نظارت بر فعالیت کارکنان، می‌توانند پایبندی کارکنان به پروتکل‌ها را ارزیابی کنند.

گام بعدی اما تعیین مجازات عدم پایبندی به پروتکل‌ها است. طبق آمار، 39 درصد شرکت‌های بریتانیایی اعلام کرده‌اند که کارکنان خود را به دلیل عدم پایبندی به پروتکل‌های امنیتی اخراج کرده‌اند!  با این حال، اخطار دادن به متخلفان، کسر از حقوق یا منع امکان دورکاری به‌عنوان مجازات عدم پایبندی به پروتکل‌های امنیتی می‌توانند بیشتر به نفع سازمان باشند.

البته این نکته را نباید از قلم انداخت که سخت‌گیری‌های غیرضروری و عدم انعطاف‌پذیری در قبال دورکاری، می‌تواند بهره‌وری کارمندان را تحت تأثیر قرار دهد. طبق آمار، حدود نیمی از کارکنانی که به دورکاری فرستاده می‌شوند دچار کاهش نرخ بهره‌وری برای سازمان می‌شوند که در این میان، مشکل در برقراری ارتباط با 54 درصد، حواس‌پرتی در محیط خانه به دلیل حضور اعضای خانواده یا عوض شدن محیط کار با 49 درصد، و سختی‌های پایبندی به تعهدات امنیت سایبری با 31 درصد ازجمله مهم‌ترین دلایل این کاهش نرخ بهره‌وری هستند.  از این رو، مدیران امنیت اطلاعات در سازمان‌ها باید تا حد ممکن از دشواری‌های پروتکل‌های امنیتی بکاهند و حتی در مواردی، قبول ریسک اندک را به حفظ نرخ بهره‌وری کارکنان ترجیح بدهند. 

سیاست‌گذاری امنیت سایبری در دوران کرونا
مجازات‌های سخت‌گیرانه، شمشیر دولبه تضمین پایبندی به پروتکل‌های امنیتی هستند

سیاست‌گذاری امنیت سایبری در دوران کرونا

نتیجه‌گیری

طبق آمار، حدود 57 درصد مدیران امنیت اطلاعات در شرکت‌های بزرگ اعتراف کرده‌اند که با شروع بحران کرونا و افزایش دورکاری در میان کارکنان، تدابیر امنیتی خود را ارتقا نداده‌اند که نبود بودجه و عدم احصاء راهکارهای متناسب با شرایط جدید ازجمله دلایل این سهل‌انگاری هستند.  نکته‌ای که این آمار را ترسناک‌تر می‌کند این است که طبق آمار موجود پیش از کرونا، 45 درصد شرکت‌های جهان پستی برای مدیریت امنیت سایبری در چارت سازمانی خود ندارند.  درنتیجه، می‌توان این‌گونه نتیجه‌گیری کرد که حدود دوسوم شرکت‌های جهان در برابر تهدیدات ایجادشده در دوران کرونا آسیب‌پذیر هستند.

با توجه به اینکه دورکاری در ایران با شروع بحران کرونا همگام با جریان جهانی آن افزایش چشمگیری داشته است، این اقدام ضروری به نظر می‌رسد که دولت با همکاری بخش خصوصی، بیش از پیش شرکت‌ها و سازمان‌ها را به توجه بیشتر به امنیت سایبری ترغیب کند.


  https://slack.com/blog/collaboration/report-remote-work-during-coronavirus

  https://www.isna.ir/news/98121411768

https://www.cyberdefensemagazine.com/conducting-risk-prioritization

  https://www.securityroundtable.org/wp-content/uploads/2018/05/AdobeStock_94982455-1.jpeg

  https://www.centrify.com/about-us/news/press-releases/2020/almost-40-businesses-have-sacked-staff-due-breach-company

  Multi-factor authentication

  https://www.infosecurity-magazine.com/news/employee-work-from-home-habits

  https://xypro.com/wp-content/uploads/2020/04/MultiFactor-Authentication.jpg

https://www.infosecurity-magazine.com/news/employee-work-from-home-habits

  https://www.mckinsey.com/business-functions/risk/our-insights/cybersecuritys-dual-mission-during-the-coronavirus-crisis

  https://cisomag.eccouncil.org/uk-firms-sack-emploees

  https://www.prnewswire.com/news-releases/85-of-organizations-fear-increased-risk-to-business-due-to-work-from-home-changes-301063264.html

  https://www.infosecurity-magazine.com/news/employee-work-from-home-habits

  https://cisomag.eccouncil.org/45-companies-dont-cybersecurity-leader-study