به گزارش
گرداب، افزایش دورکاری در دوران کرونا در کنار مزیتهای فراوان ازجمله شکسته شدن حلقه انتقال این ویروس، تهدیدات امنیتی بسیاری را نیز به شرکتها و سازمانها تحمیل کرده است. از این رو، آییننامه و دستورالعملهای مختلفی برای کاهش این تهدیدات در این سازمانها تدوین شدهاند و مدیران نیز رویکردهای مختلفی را برای حصول اطمینان از اجرایی شدن این تدابیر در بین کارکنان اتخاذ کردهاند. در این پرونده، به بررسی برخی از این مصادیق میپردازیم.
رابطه دورکاری و مشاغل
با شروع بحران کرونا و مطرحشدن فاصلهگذاری اجتماعی بهعنوان یکی از مؤثرترین راههای پیشگیری از ابتلا به این بیماری، شرکتهای خصوصی و سازمانهای دولتی دورکاری بخشی از کارمندان خود را در دستور کار قرار دادند. در کشور آمریکا، 45 درصد کارمندان دفتری مشغول دورکاری هستند که در این میان، 66 درصد آنها به دلیل بحران کرونا به دورکاری رفتهاند. در داخل کشور نیز با شروع بحران کرونا، نیمی از کارکنان دولت در اسفندماه 1398 و یکسوم کارکنان با شروع سال جدید به دورکاری فرستاده شدند.
در این میان کارکنان در مشاغلی که بیشتر با کامپیوتر و اینترنت سروکار دارند، ظرفیت بیشتری برای دورکاری دارند. به عبارت دیگر، مشاغلی که امکان منتقل کردن خدمات خود به بستر آنلاین را دارند و نیازی به حضور فیزیکی مردم ندارند، فرصت مناسبی را برای اجرای طرح فاصلهگذاری اجتماعی در جامعه فراهم آوردهاند. مشاغلی چون برنامهنویسی، حسابداری، مشاوره، امنیت شبکه، بازاریابی و مدیریت پروژه سردمداران این جبهه هستند. از سوی دیگر، برخی مشاغل ظرفیت پایینی برای دورکاری دارند ازجمله خدمات درمانی، آموزش عالی، پشتیبانی از مشتری و وکالت.
ظرفیت مشاغل مختلف در ارسال کارکنان به دورکاری بهصورت موقت یا تماموقت
با این وجود، این فرصت تهدیدهایی را نیز به همراه خود دارد. همانطور که عنوان شد، نقطه مشترک مشاغل با ظرفیت بالای دورکاری استفاده از کامپیوتر و اینترنت است. با فرستادن برخی کارمندان به دورکاری، این افراد باید از طریق دستگاههایی که خارج از محدوده فیزیکی سازمان هستند به تبادل اطلاعات با دیگر کارمندان بپردازند. درنتیجه، نهتنها تعداد دستگاههای حاوی اطلاعات سازمان افزایش پیدا میکند، بلکه بهشدت به پراکندگی فیزیکی آنها نیز افزوده میشود. این به آن معناست که حفظ امنیت سایبری سازمان دیگر با پروتکلهای پیشین امکانپذیر نیست و این پروتکلها باید مورد بازبینی قرار بگیرند.
نفوذ به یک دستگاه میتواند کل سازمان را تحت تأثیر قرار دهد
سیاستگذاری امنیت سایبری در دوران کرونا
همانطور که عنوان شد، با افزایش خطرات سایبری، شرکتها به بازبینی پروتکلهای امنیتی خود روی آوردهاند. طبق یک نظرسنجی در کشور بریتانیا ، 65 درصد شرکتها تغییرات اساسی را در سیاستهای امنیت سایبری خود در دوران کرونا اعمال کردهاند. این سیاستها از کشوری به کشور دیگر تفاوت چندانی نداشته و برای تمام شرکتها و سازمانها لازمالاجرا هستند. ازجمله این سیاستها میتوان به موارد ذیل اشاره کرد.
1- دسترسی به برنامهها
با منتقل شدن برخی کارمندان به بیرون از محیط سازمان، که تدابیر امنیتی لازم در آنجا اجرایی نیست، باید سطح دسترسی به برنامهها طبقهبندی شوند. به عبارت دیگر، دسترسی به برنامهها منوط به میزان ریسک اتصال است، اینکه درنتیجه اتصال چقدر احتمال نفوذ به سیستم و سرقت اطلاعات وجود دارد. بر این اساس، برنامهها به چند گروه تقسیم میشوند، از برنامهها با درجه حساسیت پایین که از هرکجا قابلاستفاده و دسترسی هستند (مانند برنامههای ثبت ساعات کاری) تا برنامههای با درجه حساسیت بالاتر که تنها از طریق ویپیانها قابل دسترسی هستند (مانند برنامههای مورد استفاده برای برگزاری ویدئوکنفرانسها) و درنهایت، برنامهها با بالاترین درجه حساسیت که فقط در داخل سازمان باید از آنها استفاده کرد (مانند برنامههای آرشیوسازی اسناد سازمان).
2- احراز هویت چندعاملی
طبق یک نظرسنجی، 57 درصد کارکنانی که دورکاری میکنند رمز عبور خود را در مرورگرها ذخیره میکنند و 89 درصد از رمز عبوری یکسان در برنامهها و سایتهای مختلف استفاده میکنند. به همین دلیل، حتی دسترسی کارکنان به برنامههای با حساسیت پایین از خارج از محیط سازمان نیز باید کنترلشده باشد. استفاده از احراز هویت چندعاملی میتواند یکی از الزامات ورود به این برنامهها از خارج از محیط سازمان در نظر گرفته شود. در این نوع احراز هویت، بهعنوان مثال، کاربر ابتدا با وارد کردن یک رمز عبور در برنامه درخواست اجازه دسترسی را به سرور مرکزی ارسال میکند و سرور با ارسال یک کد موقت به شماره تلفن همراه شخص، رمز نهایی برای دسترسی به برنامه را برای شخص ارسال میکند.
عوامل قابلاستفاده در این نوع احراز هویت به 4 دسته تقسیم میشوند: مالکیت (مانند تلفن همراه یا کارتبانکی)، دانش (مانند رمز عبور یا اطلاعات شخصی)، زیستسنجی (اثرانگشت، صدا یا الگوی تایپ کردن) و مکان (مختصات جغرافیایی). استفاده حداقل دو عاملِ متمایز از میان این عوامل در احراز هویت چندعاملی الزامی است.
احراز هویت چندعاملی یکی از راهکارهای مؤثر در امنیت سایبری است
3- استفاده از دستگاههای شخصی
کار در منزل عمدتاً به کار با وسایل شخصی منتهی میشود که عواملی چون عدم امکان خارج کردن سیستم کاری از محیط سازمان و سهولت استفاده از دستگاههای شخصی از سوی کارکنان به افزایش این گرایش دامن میزنند. به همین دلیل، بسته به میزان حساسیت مسئولیتهای محوله به هر کارمند، سازمانها باید امکان استفاده از دستگاههای شخصی را برای کارمندان مشخص کنند. بهعنوان مثال، یک سازمان میتواند امکان استفاده از دستگاههای شخصی برای ارسال اطلاعات سازمان از سوی حسابدار خود را بهطور کامل منع کرده و دورکاری وی را منوط به استفاده از دستگاههایی مقرر کند که سازمان در اختیار وی قرار داده است.
4- استفاده از برنامههای شخصی
یکی از موارد اجتنابناپذیر دورکاری، نیاز کارکنان در خارج از سازمان به تبادل اطلاعات سازمانی با کارکنان مستقر در سازمان است. بسته به میزان حساسیت این اطلاعات، سازمانها باید برنامههای مورد استفاده کارکنان برای انتقال اطلاعات را محدود کنند. بهعنوان مثال، سازمان میتواند برنامههای مورداستفاده مدیران مالی را محدود به برنامههای مورد تأیید سازمان کند. از سوی دیگر، در صورتی که کارمندی ملزم به استفاده از سیستم سازمانی در زمان دورکاری شده است، باید از نصب برنامههای شخصی بر روی آن سیستم منع شود.
استفاده کارکنان از برنامههای شخصی یکی از راههای نفوذ هکرها به سامانههای سازمانی هستند
پایبندی به پروتکلها
طبق آمار، حدود 60 درصد کارمندانی که از منزل و بهصورت دورکاری به فعالیت خود ادامه میدهند، تمایل به دور زدن پروتکلهای امنیتی و رعایت حداقلی آنها دارند. این گرایش رایج در میان کارکنان علل مختلفی دارد :
- کارمندان به جهت دشواری مراحل احراز هویت یا پیچیدگی برنامههای سازمانی، ترجیح میدهند از برنامههای شخصی برای تبادل اطلاعات استفاده کنند.
- کارمندان بهمنظور سختی استفاده همزمان از دو سیستم برای پیگیری کارهای شرکتی و شخصی، ترجیح میدهند تمام کارهای خود را بر روی همان سیستم شخصی خود انجام دهند.
- کارمندان بهمنظور سختی استفاده همزمان از دو برنامه برای پیگیری کارهای شرکتی و شخصی، ترجیح میدهند تمام کارهای خود را بر روی همان برنامه شخصی خود انجام دهند.
- کارمندان بهمنظور زمانبر بودن پایبندی به پروتکلهای امنیتی از یکسو و جو روانی حاکم بر منزل که وی را ترغیب به انجام کارهای شخصی میکند، ترجیح میدهند تا حد ممکن این پروتکلها را دور زده و کارهای اداری خود را هر چه سریعتر به اتمام برسانند.
این عوامل سبب میشوند تا سازمانها در کنار تدوین پروتکلهای امنیتی، راهکارهایی نیز برای تضمین پایبندی به آنها در سیاستگذاری خود در نظر بگیرند. الزام کارکنان به نصب برنامههای نظارتی یکی از اولین گامهای تضمین پایبندی به پروتکلهای امنیتی است. مدیران امنیت اطلاعات سازمان با مراجعه به این برنامهها و نظارت بر فعالیت کارکنان، میتوانند پایبندی کارکنان به پروتکلها را ارزیابی کنند.
گام بعدی اما تعیین مجازات عدم پایبندی به پروتکلها است. طبق آمار، 39 درصد شرکتهای بریتانیایی اعلام کردهاند که کارکنان خود را به دلیل عدم پایبندی به پروتکلهای امنیتی اخراج کردهاند! با این حال، اخطار دادن به متخلفان، کسر از حقوق یا منع امکان دورکاری بهعنوان مجازات عدم پایبندی به پروتکلهای امنیتی میتوانند بیشتر به نفع سازمان باشند.
البته این نکته را نباید از قلم انداخت که سختگیریهای غیرضروری و عدم انعطافپذیری در قبال دورکاری، میتواند بهرهوری کارمندان را تحت تأثیر قرار دهد. طبق آمار، حدود نیمی از کارکنانی که به دورکاری فرستاده میشوند دچار کاهش نرخ بهرهوری برای سازمان میشوند که در این میان، مشکل در برقراری ارتباط با 54 درصد، حواسپرتی در محیط خانه به دلیل حضور اعضای خانواده یا عوض شدن محیط کار با 49 درصد، و سختیهای پایبندی به تعهدات امنیت سایبری با 31 درصد ازجمله مهمترین دلایل این کاهش نرخ بهرهوری هستند. از این رو، مدیران امنیت اطلاعات در سازمانها باید تا حد ممکن از دشواریهای پروتکلهای امنیتی بکاهند و حتی در مواردی، قبول ریسک اندک را به حفظ نرخ بهرهوری کارکنان ترجیح بدهند.
مجازاتهای سختگیرانه، شمشیر دولبه تضمین پایبندی به پروتکلهای امنیتی هستند
نتیجهگیری
طبق آمار، حدود 57 درصد مدیران امنیت اطلاعات در شرکتهای بزرگ اعتراف کردهاند که با شروع بحران کرونا و افزایش دورکاری در میان کارکنان، تدابیر امنیتی خود را ارتقا ندادهاند که نبود بودجه و عدم احصاء راهکارهای متناسب با شرایط جدید ازجمله دلایل این سهلانگاری هستند. نکتهای که این آمار را ترسناکتر میکند این است که طبق آمار موجود پیش از کرونا، 45 درصد شرکتهای جهان پستی برای مدیریت امنیت سایبری در چارت سازمانی خود ندارند. درنتیجه، میتوان اینگونه نتیجهگیری کرد که حدود دوسوم شرکتهای جهان در برابر تهدیدات ایجادشده در دوران کرونا آسیبپذیر هستند.
با توجه به اینکه دورکاری در ایران با شروع بحران کرونا همگام با جریان جهانی آن افزایش چشمگیری داشته است، این اقدام ضروری به نظر میرسد که دولت با همکاری بخش خصوصی، بیش از پیش شرکتها و سازمانها را به توجه بیشتر به امنیت سایبری ترغیب کند.
https://slack.com/blog/collaboration/report-remote-work-during-coronavirus
https://www.isna.ir/news/98121411768
https://www.cyberdefensemagazine.com/conducting-risk-prioritization
https://www.securityroundtable.org/wp-content/uploads/2018/05/AdobeStock_94982455-1.jpeg
https://www.centrify.com/about-us/news/press-releases/2020/almost-40-businesses-have-sacked-staff-due-breach-company
Multi-factor authentication
https://www.infosecurity-magazine.com/news/employee-work-from-home-habits
https://xypro.com/wp-content/uploads/2020/04/MultiFactor-Authentication.jpg
https://www.infosecurity-magazine.com/news/employee-work-from-home-habits
https://www.mckinsey.com/business-functions/risk/our-insights/cybersecuritys-dual-mission-during-the-coronavirus-crisis
https://cisomag.eccouncil.org/uk-firms-sack-emploees
https://www.prnewswire.com/news-releases/85-of-organizations-fear-increased-risk-to-business-due-to-work-from-home-changes-301063264.html
https://www.infosecurity-magazine.com/news/employee-work-from-home-habits
https://cisomag.eccouncil.org/45-companies-dont-cybersecurity-leader-study