راهکار مقابله با تهدیدات دورکاری چیست؟

راهکار مقابله با تهدیدات دورکاری چیست؟
تاریخ انتشار : ۱۵ دی ۱۳۹۹

شیوع بیماری کرونا و پیشگیری از ابتلای عموم جامعه، کافی بود تا بخش خصوصی و دولتی در کشورهای درگیر کرونا، به دورکاری برای کاهش حضور کارکنان در محل کار روی بیاورند.

افزایش دورکاری به واسطه شیوع ویروس کرونا و نیاز به حفظ ارتباط کارکنان با یکدیگر و تداوم جریان تبادل اطلاعات در زمان دورکاری باعث می‌شود تا کارکنان به استفاده از بسترهای آنلاین برای تبادل اطلاعات روی بیاورند. این گرایش در کنار مؤثر بودن برای مقابله با بحران کرونا، تهدیدات سایبری جدی را نیز به دنبال دارد. افزایش حملات و تهدیدات سایبری در نیمه ابتدایی سال 2020 در جهان گواهی بر این مدعا است. به همین دلیل، توسعه دوره‌های آموزشی آشنایی با تهدیدات سایبری و راه‌های مقابله با آنها نیز به یکی از گرایش‌های مهم در دنیا تبدیل شده است که نیاز آن در داخل کشور نیز احساس می‌شود. در این پرونده، به بررسی تبعات دورکاری در دوران پساکرونا و گرایشات مرتبط با آن می‌پردازیم.

کرونا و افزایش دورکاری

شروع بحران کرونا در چین و گسترش سرسام‌آور آن به کل دنیا در عرض چند ماه سبب شد تا تمام ملت‌ها، بیش از درمان، بر روی راهکارهای پیشگیری از ابتلا به این ویروس خطرناک متمرکز شوند. در کنار استفاده از ماسک و مواد ضدعفونی، رعایت فاصله‌گذاری اجتماعی و اجتناب از تجمعات یکی از راهکارهای مؤثر برای پیشگیری از ابتلا به کروناویروس معرفی شد. همین علت کافی بود تا بخش خصوصی و دولتی در کشورهای درگیر کرونا، به دورکاری برای کاهش حضور کارکنان در محل کار روی بیاورند. طبق نظرسنجی انجام‌شده توسط مؤسسه گارتنر،  74 درصد مدیران مالی شرکت‌های بزرگ اعلام کرده‌اند که حداقل 5 درصد نیروی کار مستقر خود را به بطور دائمی به دورکاری منتقل می‌کنند. طبق این گزارش، 6 درصد شرکت‌ها تصمیم دارند تا بیش از 50 درصد کارکنان خود را به دورکاری منتقل کنند. 

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری
گزارش گارتنر از تمایل شرکت‌ها به افزایش دورکاری کارکنان‌شان

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری

شرکت‌های بزرگ پیشتاز این جریان بوده‌اند. شرکت اوبر  اعلام کرده که کارکنانش کمک هزینه 500 دلاری برای تأمین تجهیزات لازم در منزل برای دورکاری دریافت خواهند کرد. گوگل نیز عنوان کرده که برنامه دورکاری کارکنانش را تا ژوئن 2021 تمدید خواهد کرد. توییتر نیز پروازهای کاری و برنامه‌های حضوری مربوط به شرکت را تا پایان سال 2020 لغو کرده است. مایکروسافت هم بازگشایی دفاتر خود در واشنگتن را از ماه اکتبر 2020 به ژانویه 2021 موکول کرده است. 

تهدیدات دورکاری

در مسیر تصمیم به انتقال کارکنان به دورکاری تا عملیاتی کردن این برنامه موانعی وجود دارد. نیاز به حفظ ارتباط کارکنان با یکدیگر و تداوم جریان تبادل اطلاعات در زمان دورکاری باعث می‌شود تا کارکنان به استفاده از بسترهای آنلاین برای تبادل اطلاعات روی بیاورند. درصورت عدم کنترل این جریان اما، احتمال به سرقت رفتن اطلاعات شرکت توسط هکرها بالا می‌رود. برخلاف تصور عموم، تحقیقات نشان می‌دهد که بیش از 90 درصد هک‌ها و حملاتی که به درز اطلاعات منجر شده‌اند نه از طریق عملیات‌های هک پیچیده، بلکه از طریق فیشینگ، ایمیل‌های حاوی لینک یا فایل‌های آلوده یا ارسال اطلاعات به منابع ناشناس توسط کارمندان رخ داده‌اند.  آمارهای از این دست نشان می‌دهند که کارکنان یک شرکت جزو اهداف اولیه هکرها برای نفوذ به و دزدیدن اطلاعات شرکت‌ها به حساب می‌آیند. دلیل این گرایش بالا نیز پایین بودن سطح سواد کارکنان در موضوعات مربوط به امنیت سایبری است.

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری

به عنوان نمونه، طبق یک گزارش منتشرشده از شرکت‌های حاضر در کشورهای عربی خلیج فارس،  کارکنان در رعایت نکات امنیت سایبری نمره قبولی نگرفته‌اند: 
  • عمده کارکنان – شامل 58 درصد کارکنان در امارات و 59 درصد در عربستان – اعتراف کرده‌اند که از برنامه‌های غیرکاری بر روی سیستم‌های شرکتی استفاده می‌کنند.
  • حدود نیمی از کارکنان – شامل 42 درصد در امارات و عربستان – عنوان کرده‌اند که داده‌های شرکت را بر روی برنامه‌های غیرکاری بارگذاری می‌کنن
  • 40 درصد کارکنان اعتراف کرده‌اند که از لپ‌تاپ‌های کاری خود برای جستجوهای شخصی نیز استفاده می‌کنند.
  • 33 درصد کارکنان اعلام کرده‌اند که از سیستم‌های شخصی خود برای دسترسی به اطلاعات شرکتی استفاده می‌کنند.
همین آمارها سبب شده تا حملات و تهدیدهای سایبری در دوران شیوع کرونا رشد چشمگیری داشته باشند. در ایالات متحده، 35 درصد کارکنانی که بصورت دورکاری به کار خود ادامه می‌دادند، از هک شدن سیستم یا به سرقت رفتن اطلاعات خود متضرر شده‌اند.  بریتانیا نیز در ماه آوریل رشد 33 درصدی در کلاهبرداری‌های مالی را تجربه کرده است.  ثبت بیش از 121 میلیون حمله باج‌افزار در نیمه ابتدایی سال 2020 در جهان نیز رشد 20 درصدی در این حوزه را به ثبت رسانده است.  در گزارش شورای همکاری خلیج فارس از نیمه اول سال 2020 بیش از 163 هزار تهدید امنیتی گزارش شده است که از این تعداد، 36 هزار ایمیل آلوده، 127 هزار آدرس مخرب و 47 مورد به بدافزارها اختصاص داشته‌اند. همه این اعداد و ارقام از بازار جذاب دورکاری برای سوءاستفاده هکرها و کلاهبرداران اینترنتی خبر می‌دهند.

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری
افزایش حملات فیشینگ در دوران کرونا

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری

توسعه آموزش‌های امنیتی

افزایش تهدیدات امنیتی اما یک روی سکه افزایش دورکاری در سال 2020 بوده‌اند. افزایش دورکاری و به تبع آن افزایش تهدیدات امنیتی کاتالیزورهایی بودند که به توسعه آموزش‌های امنیتی سرعت بخشیدند. تا پایان سال 2014 ارزش بازار آموزش تدابیر امنیتی حدود 1 میلیارد دلار بود. اما پیش‌بینی می‌شود این رقم تا سال 2027 به بیش از 10 میلیارد دلار افزایش پیدا کند. پیش‌بینی می‌شود تا سال 2021 آموزش تدابیر امنیتی به کارکنان در شرکت‌های بزرگ (Fortune 500 و Forbes Global 2000) به یک الزام تبدیل می‌شود و شرکت‌های کوچک نیز به مرور مسیر این شرکت‌ها را دنبال می‌کنند.  

یکی از دلایل این توجه ویژه، تأثیرگذاری بالای آموزش‌ها در افزایش آگاهی کارکنان و امنیت اطلاعات شرکت‌ها بوده است. به عنوان نمونه، آموزش کارکنان در زمینه امنیت سایبری در شرکت خدمات مالی Wells Fargo، آسیب‌پذیری این شرکت به حملات فیشینگ را تا 40 درصد کاهش داده است. در مثالی دیگر، توسعه برنامه‌های آموزشی درزمینه آگاهی امنیتی در فضای سایبری در شهر سَن دیگو ایالت کالیفرنیا، به کاهش 15 تا 20 درصدی حملات موفقیت‌آمیز فیشینگ منجر شده است. 

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری
عدم رعایت نکات امنیتی در فضای سایبر در میان شهروندان آمریکایی

حال این سوال مطرح می‌شود که آموزش‌های امنیتی به چه مواردی اطلاق می‌شود؟ این آموزش‌ها عمدتاً تحت عنوان Security Awareness Training یا همان آموزش آگاهی امنیتی مطرح می‌شوند و عبارتند از هرگونه آموزش و افزایش اطلاعات اعضای یک سازمان با هدف محافظت اعضا از خود و سرمایه‌های سازمان در مقابل ضرر و زیان. در صورتی که این آموزش‌ها به استفاده از فضای سایبری معطوف باشد، تحت عنوان Computer Based Training یا بطور اختصار CBT شناخته می‌شوند. 

در این دوره‌های آموزشی، افراد با انواع تهدیدات سایبری ازجمله مهندسی اجتماعی، فیشینگ و فیشینگ نیزه‌ای و باج‌افزارها آشنا می‌شوند و راه‌های پیشگیری یا مقابله با آنها را می‌آموزند. از سوی دیگر، افراد در این دوره‌ها بطور شبیه‌سازی‌شده در معرض چنین حملاتی قرار می‌گیرند تا بطور عملیاتی مقابله با آنها را بیاموزند.

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری
مزایای شرکت در دوره‌های آموزشی آگاهی امنیتی

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری

دورکاری و امنیت سایبری در ایران

با اجرای طرح دورکاری، نیمی از کارمندان دولت در اسفندماه و به دنبال آن یک‌سوم کارمندان با شروع سال جدید به دورکاری فرستاده شدند. این بدان معناست که فقط چند صدهزار نفر فقط در بدنه دولت در مقابل حملات سایبری آسیب‌پذیر هستند. بخش خصوصی نیز همگام با دولت، بخش قابل توجهی از کارکنان خود را به دورکاری فرستادند.
با این وجود، دولت همچنان برنامه‌ای برای آموزش امنیت سایبری به کارکنان در دوران کرونا اعلام نکرده است. به عنوان مثال، در ابلاغیه اسفند ماه 1398 سازمان اداری و استخدامی کشور با موضوع «ابلاغ دوره‌های آموزشی عمومی تکمیلی کارکنان دولت»  و همچنین «برگزاری دوره‌های آموزشی کارکنان و مدیران به شیوه الکترونیکی»  در خردادماه 1399 هیچ دوره‌ای با موضوع امنیت سایبری در نظر گرفته نشده است. حتی در تفاهم نامه ارایه آموزش مهارت‌های دورکاری ویژه شرایط کرونا به ۱۰ هزار نفر از برگزیدگان چهارمین آزمون استخدامی بخش خصوصی نیز اشاره‌ای به موضوع امنیت سایبری نشده است. 

دورکاری و لزوم افزایش آموزش‌های امنیت سایبری
آموزش مهارت‌های دورکاری ویژه بخش خصوصی و بی‌توجهی به موضوع امنیت سایبری

درواقع رویکرد دولت در مواجهه با این دست مسائل اشتباه است. به عنوان مثال، راه‌اندازی سامانه رمز پویا از سوی بانک مرکزی و توسعه افزونه ضدفیشینگ از سوی مرکز ماهر برای مقابله با پدیده فیشینگ، راهکارهای موثری بودند بطوری که با شروع سال 1399، حملات فیشینگ با کاهشی 80 درصدی مواجه شدند اما، هیچ یک از این راهکارها سطح دانش کاربران فضای مجازی نسبت به نکات امنیتی را بالا نمی‌برد و صرفاً مکانیزم‌هایی هستند برای مقابله با کلاهبرداران. این به آن معناست که کلاهبرداران همچنان می‌توانند با دور زدن این راهکارها یا استفاده از روش‌های دیگر، خساراتی را به کاربران و کشور تحمیل کنند.

نتیجه‌گیری

توسعه روزافزون دسترسی کاربران بیشتر به فضای مجازی و به موازات آن توسعه راهکارهای پیچیده کلاهبرداران برای دزدی اطلاعات و اموال، نیاز به توجه بیشتر به آموزش‌های مرتبط با رسانه و امنیت سایبری در کشور را گوشزد می‌کند. با گنجاندین دوره‌های آموزشی عملی در دوران تحصیلی و همچنین حمایت از استارت‌آپ‌های آموزشی و کمک به توسعه آنها، نه تنها این صنعت در داخل کشور همگام با رشد جهانی آن پیشرفت خواهد کرد، بلکه سطح سواد رسانه‌ای و امنیت سایبری نسل‌های آینده و مقاومت آنها در برابر تهدیدات اینترنتی بالا خواهد رفت.


Gartner

https://www.gartner.com/en/newsroom/press-releases/2020-04-03-gartner-cfo-surey-reveals-74-percent-of-organizations-to-shift-some-employees-to-remote-work-permanently2

Uber

https://www.businessinsider.com/companies-asking-employees-to-work-from-home-due-to-coronavirus-2020#twitter-based-in-san-francisco-told-employees-in-may-that-they-could-work-from-home-indefinitely-the-company-suspended-business-travel-and-in-person-events-for-the-rest-of-2020-7

https://cybersecurityventures.com/security-awareness-training-report

https://cisomag.eccouncil.org/security-training-middle-east

https://www.cyberdefensemagazine.com/the-future-of-security

https://www.infosecurity-magazine.com/news/surge-financial-fraud-lockdown

https://www.sonicwall.com/news/sonicwalls-mid-year-cyber-threat-report/

https://cybersecurityventures.com/security-awareness-training-report

https://cybersecurityventures.com/security-awareness-training-report

https://shenasname.ir/subjects/edu/6246-668320

https://shenasname.ir/subjects/edu/6763

tabnak.ir/004AJ3