با گسترش دستگاه‌های مجهز به اینترنت، فرهنگ سایبری با سرعت بیشتری نسبت به امنیت سایبری در حال رشد است. هر چیزی که به فضای مجازی وابسته است به‌طور بالقوه در معرض خطر است. داده‌های خصوصی، مالکیت فکری، زیرساخت‌های سایبری و حتی امنیت نظامی و ملی می‌توانند با حملات عمدی، نقص‌های امنیتی سهوی و آسیب‌پذیری‌های اینترنت جهانی در معرض خطر قرار گیرند. این مجموعه مشکلات پرداختن به مسئلۀ امنیت سایبری cybersecurity (یکی از ارکان انقلاب صنعتی چهارم) را ضروری می‌سازد. در ادامه ابتدا به این پرسش می‌پردازیم که cyber security چیست؟ یا همان امنیت سایبری چیست؟ و بعد به پرسش تهدیدات سایبری چیست؟ می‌پردازیم و در آخر وضعیت امنیت سایبری در ایران را بررسی می‌کنیم.

امنیت سایبری cybersecurity چیست؟

در پاسخ به این پرسش که امنیت سایبری چیست؟ یا cyber security چیست؟ می‌توان چنین گفت: امنیت سایبری cyber security عمل محافظت از سیستم‌های حیاتی و اطلاعات حساس در برابر حملات دیجیتالی است. اقدامات مبتنی بر امنیت سایبری cyber security که با عنوان امنیت فناوری اطلاعات (IT) نیز شناخته می‌شود، برای مقابله با تهدیدات علیه سیستم‌ها و برنامه‌های مبتنی بر شبکه‌ طراحی شده‌اند، خواه این تهدیدات از داخل یا خارج از سازمان سرچشمه بگیرند.

طبق گزارشی از IBM، در سال 2020، میانگین هزینۀ نقض داده‌ها (data breach) 3.86 میلیون دلار در سراسر جهان و 8.64 میلیون دلار در ایالات متحده بود. این هزینه‌ها شامل هزینه‌های کشف و پاسخ به نقض داده‌ها، هزینۀ خرابی و درآمد از دست‌رفته، و آسیب بلندمدت به اعتبار کسب‌وکار و برند می‌شود. مجرمان سایبری اطلاعات شخصی مشتریان (PII) – نام، نشانی، کد ملی، و اطلاعات کارت اعتباری – را هدف قرار می‌دهند و سپس این سوابق را در بازارهای دیجیتالی زیرزمینی می‌فروشند. درز اطلاعات شخصی به ازدست‌دادن اعتماد مشتری، تحمیل جریمه‌های نظارتی و حتی پیگردهای قانونی منجر می‌شود. پیچیدگی سیستم امنیتی‌ (ناشی از استفاده از فناوری‌های متفاوت) و فقدان تخصص درون سازمان‌ها می‌تواند این هزینه‌ها را افزایش دهد. اما سازمان‌هایی که دارای استراتژی جامع امنیت سایبری هستند، با بهترین شیوه‌ها اداره می‌شوند و با استفاده از تحلیل آماری پیشرفته، هوش مصنوعی (AI) و یادگیری ماشینی می‌توانند به‌طور مؤثرتری با تهدیدات سایبری مبارزه کنند و چرخۀ حیات و تأثیر نقض داده‌ها را در صورت وقوع کاهش دهند.

حوزه‌های امنیت سایبری cybersecurity

استراتژی نیرومند امنیت سایبری cybersecurity دارای لایه‌های محافظتی متعددی برای دفاع در برابر جرایم سایبری است؛ علی‌الخصوص برای دفاع در برابر آن دسته از حملات سایبری که سعی دارند به داده‌ها دسترسی پیدا کنند، آن‌ها را تغییر دهند یا از بین ببرند تا از کاربران یا سازمان‌ها اخاذی کنند یا عملیات عادی کسب‌وکار سازمان‌ها را مختل کنند. اقدامات حفاظتی باید شامل موارد زیر باشد:

امنیت زیرساخت‌های حیاتی – اقداماتی برای محافظت از سیستم‌های رایانه‌ای، شبکه‌ها و سایر دارایی‌هایی که جامعه برای امنیت ملی، سلامت اقتصادی یا امنیت عمومی به آن‌ها متکی است.

امنیت شبکه – اقدامات امنیتی برای محافظت از شبکۀ کامپیوتری، از جمله اتصالات سیمی و بی‌سیم (Wi-Fi)، در برابر افرادی که قصد نفوذ به آن را دارند.

امنیت برنامه‌ها (Applications) – فرایندهایی که به محافظت از اپلیکیشن‌هایی کمک می‌کند که درون‌ سازمان و در فضای ابری اجرا می‌شوند. امنیت برنامه‌ها باید در مرحلۀ طراحی، نحوۀ مدیریت داده‌ها، احراز هویت کاربر و مواردی از این دست لحاظ شود.

امنیت فضای ابری – به‌طور خاص، استفادۀ محرمانه از کامپیوتر که داده‌های فضای ابری را در فضای ذخیره‌سازی، در حال انتقال (در حین انتقال به یا از فضای ابری) و در حال استفاده (در حین پردازش) رمزگذاری می‌کند تا از حریم خصوصی مشتری، الزامات کسب‌وکار و استانداردهای انطباق با مقررات حمایت کند.

امنیت اطلاعات – اقدامات لازم برای حفاظت از داده‌ها، مانند مقررات عمومی حفاظت از داده‌ها یا GDPR، که حساس‌ترین داده‌های شما را از دسترسی غیرمجاز یا سرقت محافظت می‌کند.

آموزش کاربر نهایی – ایجاد آگاهی امنیتی در کل سازمان‌ها به‌منظور تقویت امنیت دستگاه‌هایی که در اختیار کاربر است. برای مثال می‌توان به کاربران آموزش داد پیوست‌های مشکوک ایمیل‌ها را حذف کنند یا از دستگاه‌های یواس‌بی (USB) نامعلوم استفاده نکنند.

جبران خسارات/برنامه‌ریزی برای تداوم کسب‌‌وکار – ابزارها و رویه‌هایی برای واکنش به رویدادهای برنامه‌ریزی‌نشده مانند بلایای طبیعی، قطع برق، یا حوادث امنیت سایبری، با حداقل اختلال در عملیات‌های کلیدی سازمان.

امنیت ذخیره‌سازی – افزایش قابلیت تاب‌آوری داده‌ها با استفاده از حفاظ‌های متعدد. این حفاظ‌ها شامل رمزگذاری و تکثیر داده‌ها می‌شود. این‌ داده‌های رمزگذاری‌شده و تکثیرشده همگی در کنار هم نگهداری می‌شوند و می‌توان آن‌ها را به‌سرعت بازیابی کرد و تأثیر حمله‌های سایبری را به حداقل رساند.

امنیت تلفن همراه – ایمنی و مدیریت تلفن همراه با امنیت برنامه‌ها، امنیت برنامه‌های داخلی و ایمیل تلفن همراه.

افسانه‌های نادرست درباره امنیت سایبری

حجم حوادث امنیت سایبری در سرتاسر جهان در حال افزایش است، اما تصورات غلط همچنان پابرجاست، از جمله این باور که:

– مجرمان سایبری خارجی هستند. در واقعیت، نقض امنیت سایبری اغلب نتیجۀ سوءنیت افراد خودی است که یا برای خودشان یا هماهنگ با هکرهای خارجی کار می‌کنند. این خودی‌ها می‌توانند بخشی از گروه‌های سازمان‌یافته‌ای باشند که تحت حمایت دولت‌های ملی هستند.

– همۀ خطرها شناسایی شده‌اند. در واقع، سطح خطر همچنان در حال گسترش است و آسیب‌پذیری‌های متعدد جدیدی در برنامه‌ها و دستگاه‌های قدیمی و جدید گزارش شده است و احتمال خطای انسانی همچنان در حال افزایش است.

– مسیرهای حمله مسدود شده‌اند. مجرمان سایبری همیشه در حال یافتن مسیرهای جدیدی برای حمله هستند، از جمله بهره‌گیری از سیستم‌های لینوکس، فناوری‌های بهره‌برداری، دستگاه‌های مبتنی بر اینترنت اشیا (IoT) و محیط‌های ابری.

– صنایع تحت مدیریت من ایمن هستند. هر صنعتی سهمی از خطرات امنیت سایبری دارد، زیرا مجرمان سایبری از الزامات شبکه‌های ارتباطی موجود در تقریباً هر سازمان دولتی یا بخش خصوصی سوءاستفاده می‌کنند. برای مثال، حملات باج‌افزاری بیش از پیش بخش‌های اداری مختلف از جمله دولت‌های محلی و سازمان‌های غیرانتفاعی را هدف قرار می‌دهند و تهدیدها در زنجیره‌های تأمین، وب‌سایت‌های دولتی و زیرساخت‌های حیاتی نیز افزایش یافته‌اند.

تهدید سایبری چیست؟

اگرچه متخصصان امنیت سایبری cybersecurity سخت تلاش می‌کنند شکاف‌های امنیتی را ببندند، مهاجمان همیشه به‌دنبال راه‌های جدیدی برای فرار از نظارت‌های مبتنی بر فناوری اطلاعات و اقدامات دفاعی و نیز سوءاستفاده از نقاط ضعف در حال ظهور هستند. جدیدترین تهدیدات سایبری چرخش جدیدی در تهدیدات «شناخته‌شده» ایجاد کرده‌اند و از محیط‌های دورکاری، ابزارهای دسترسی از راه دور و خدمات ابری جدید سوءاستفاده می‌کنند. این مسئله باعث شده است پاسخ به این پرسش که «تهدید سایبری چیست؟» دستخوش تحول شود. این تهدیدات در حال تحول عبارت‌اند از:

بد‌افزار

اصطلاح «بدافزار» به انواع نرم‌افزارهای مخرب مانند کرم‌ها، ویروس‌ها، تروجان‌ها و جاسوس‌افزارها اشاره دارد که دسترسی غیرمجاز فراهم می‌کنند یا به کامپیوتر آسیب می‌رسانند. حملات بدافزار به‌شکل فزاینده‌ای «بدون فایل» شده است و برای دورزدن روش‌های کشف و شناسایی آشنایی مانند ابزارهای آنتی‌ویروس طراحی شده‌اند که پیوست‌های مخرب فایل‌ها را اسکن می‌کنند.

باج افزار

باج‌افزار نوعی بدافزار است که فایل‌ها، داده‌ها یا سیستم‌ها را قفل و تهدید می‌کند که داده‌ها را پاک یا نابود می‌کند – یا داده‌های خصوصی یا حساس را در اختیار عموم قرار می‌دهد – مگر اینکه به مجرمان سایبری که حمله را انجام داده‌اند، باج پرداخت شود. حملات باج‌افزاری اخیراً سازمان‌های دولتیِ استانی و محلی را هدف قرار داده‌اند، زیرا آن‌ها در مقایسه با سازمان‌های خصوصی راحت‌تر نقض (breach) می‌شوند و برای پرداخت باج به‌منظور بازیابی برنامه‌ها و وب‌سایت‌هایی که شهروندان به آن‌ها متکی هستند، بیشتر تحت فشار‌ قرار می‌گیرند.

فیشینگ یا مهندسی اجتماعی

فیشینگ نوعی مهندسی اجتماعی است که کاربران را فریب می‌دهد تا اطلاعات شناسایی شخصی یا اطلاعات حساس خود را لو دهند. در کلاهبرداری‌های فیشینگ، علی‌الظاهر ایمیل‌ها یا پیام‌های متنی از طرف یک شرکت قانونی ارسال می‌شوند. این ایمیل‌ها یا پیام‌ها اطلاعات حساسی مانند اطلاعات کارت اعتباری یا اطلاعات ورود به سیستم را از کاربر درخواست می‌کند. در ایالات متحده، پلیس به افزایش کلاه‌برداری‌های فیشینگ مرتبط با بیماری کرونا اشاره کرده است که با رشد دورکاری مرتبط است.

تهدیدهای کارمندان و افراد خودی

کارمندان فعلی یا سابق، شرکای تجاری، پیمانکاران یا هرکسی که در گذشته به سیستم‌ها یا شبکه‌ها دسترسی داشته است، در صورت سوءاستفاده از مجوزهای دسترسی می‌تواند تهدیدی داخلی در نظر گرفته شود. تهدیدهای داخلی می‌توانند در برابر راه‌حل‌های امنیتی مرسوم مانند دیواره‌های آتش و سیستم‌های تشخیص نفوذ نامرئی باشند؛ زیرا این دسته از راه‌حل‌های امنیتی بر تهدیدات خارجی تمرکز دارند.

حملات توزیع‌شده بندآوری خدمات (DDoS)

حملۀ DDoS سعی می‌کند سرور، وب‌سایت یا شبکه را با بارگذاری بیش از حد و ترافیک زیاد، معمولاً از طریق چندین سیستم هماهنگ، از کار بیندازد. حملات DDoS از طریق پروتکل مدیریت شبکۀ ساده (SNMP) که برای مودم‌ها، چاپگرها، سوئیچ‌ها، روترها و سرورها استفاده می‌شود، پهنای باند شبکه‌های سازمانی را پر می‌کنند.

تهدیدات پیشرفته و مستمر (APT)

در تهدید پیشرفته و مستمر APT، مزاحم یا گروهی از مزاحمان به سیستم نفوذ می‌کنند و برای مدت زمانی طولانی شناسایی نمی‌شوند. نفوذی شبکه‌ها و سیستم‌ها را دست‌نخورده باقی می‌گذارد تا متجاوزان بتوانند از فعالیت‌های تجاری جاسوسی کنند و داده‌های حساس را بدزدند و درعین‌حال نفوذی از فعال‌سازی اقدامات متقابل دفاعی جلوگیری می‌کند.

حملات مرد میانی

حمله مرد میانی حمله‌ای با استفاده از استراق سمع است و در آن مجرم سایبری پیام‌های بین دو طرف را به‌منظور سرقت داده‌ها رهگیری و بازپخش می‌کند. برای مثال، در یک شبکۀ وای‌فای ناامن مهاجم می‌تواند داده‌هایی را که بین دستگاه مهمان و شبکه ارسال می‌شود، رهگیری کند.

فناوری‌های کلیدی مرتبط با امنیت سایبری و بهترین شیوه‌ها

آن‌چه در ادامه می‌آید، بهترین روش‌ها و فناوری‌هایی هستند که می‌توانند به سازمان شما کمک کنند امنیت سایبری مطمئنی پیاده‌سازی کنید و به این وسیله آسیب‌پذیری شما را در برابر حملات سایبری کاهش می‌‌دهند و از سیستم‌های اطلاعاتی حیاتی شما محافظت کنند، بدون اینکه در تجربۀ کاربر یا مشتری دخالت کنند:

مدیریت هویت و دسترسی (IAM) نقش‌ها و امتیازهای دسترسی را برای هر کاربر و همچنین شرایطی را تعریف می‌کند که تحت آن‌ها امتیازهایشان به آن‌ها داده یا از آن‌ها گرفته می‌شود. روش‌های IAM شامل یک بار ثبت‌نام است که به کاربر امکان می‌دهد بدون واردکردن مجدد اطلاعات مورد نیاز برای اعتبارسنجی در همان جلسه وارد شبکه شود. همچنین احراز هویت چندعاملی، که نیاز به دو یا چند اعتبار دسترسی دارد، حساب‌های کاربری ویژه که فقط به کاربران خاصی امتیازات مدیریتی می‌دهند و مدیریت چرخه عمر کاربر، که هویت هر کاربر و امتیازات دسترسی آن‌ها را از ثبت نام اولیه تا زمان انقضای عضویت مدیریت می‌کند، از دیگر روش‌های IAM است. ابزار IAM همچنین می‌تواند به متخصصان امنیت سایبری دید عمیق‌تری دربارۀ فعالیت‌های مشکوک در دستگاه‌های کاربر نهایی بدهد، از جمله دستگاه‌های آن دسته از کاربران نهایی که نمی‌توانند به‌صورت فیزیکی به آن‌ها دسترسی داشته باشند. این امر به تسریع بررسی و زمان لازم برای جداسازی و مهار آسیب ناشی از نقض (breach) کمک می‌کند.

پلتفرم جامع امنیت داده از اطلاعات حساس در چندین محیط از جمله محیط‌های چنداَبری ترکیبی محافظت می‌کند. بهترین پلتفرم‌های امنیت داده، دیدی خودکار و در لحظه نسبت به آسیب‌پذیری‌های داده‌ها فراهم می‌کنند و همچنین نظارت مستمری ارائه می‌کنند که آسیب‌پذیری‌ها و خطرات داده‌ها را قبل از نقض آن‌ها به پلتفرم‌های امنیتی هشدار می‌دهد. پشتیبان‌گیری و رمزگذاری نیز برای ایمن‌نگه‌داشتن داده‌ها حیاتی هستند.

اطلاعات امنیتی و مدیریت رویداد (SIEM) داده‌های به‌دست‌آمده از رویدادهای امنیتی را جمع‌آوری و تحلیل می‌کند تا به‌طور خودکار فعالیت‌های مشکوک کاربران را شناسایی کند و واکنشی پیشگیرانه یا اصلاحی به آن‌ها نشان دهد. امروزه راه‌حل‌های SIEM شامل روش‌های تشخیص پیشرفته مانند تحلیل رفتار کاربران و هوش مصنوعی (AI) است. SIEM می‌تواند به‌طور خودکار پاسخ مناسب برای تهدید سایبری را در راستای اهداف مدیریت ریسک سازمان شما اولویت‌بندی کند. بسیاری از سازمان‌ها ابزارهای SIEM خود را با پلتفرم‌های هماهنگ‌سازی امنیتی، اتوماسیون و پاسخ (SOAR) ادغام می‌کنند که واکنش سازمان‌ها به حوادث امنیت سایبری cybersecurity را بیش از پیش خودکار و تسریع می‌کند و بسیاری از حوادث را بدون دخالت انسان حل می‌کند.

استراتژی امنیتی با سطح اعتماد صفر

امروزه کسب‌و‌کارها طوری با هم مرتبط هستند که هیچ‌گاه سابقه نداشته است. سیستم‌ها، کاربران و داده‌ها همگی در محیط‌های مختلفی زندگی و کار می‌کنند. امنیت مبتنی بر محیط نه‌تنها دیگر کافی نیست، بلکه تعبیه کنترل‌های امنیتی در محیط پیچیدگی به بار می‌آورد و در نتیجه حفاظت از مهمترین دارایی‌ها را کاهش می‌دهد. «استراتژی سطح اعتماد صفر» به‌منظور بررسی اصالت و هدف هر کاربر یا دستگاه یا اتصال به هر کسب‌وکار، کنترل‌هایی را برای تأیید اعتبار آن‌ها به کار می‌گیرد. سازمان‌ها برای موفقیت در اجرای استراتژی سطح اعتماد صفر به روشی برای ترکیب اطلاعات امنیتی نیاز دارند تا زمینه‌ای (امنیت دستگاه، مکان و غیره) ایجاد کند که کنترل‌های اعتبارسنجی از آن‌ها خط بگیرد و به اجرا گذاشته شود.

امنیت سایبری cybersecurity در ایران

امروزه فضای مجازی به بخش تفکیک‌ناپذیری از زندگی انسان‌ها تبدیل شده و با سرعت شتابان، تمامی عرصه‌های زیست بشر را تحت تأثیر قرار داده است. از این رو ماهیت‌شناسی این فضا و تشخیص شرایط و الزام‌های تبدیل‌شدن به بازیگری توانمند در این عرصه، نخستین گام است و هرگونه بی‌توجهی و غفلت نسبت به این پدیده، صدمه‌ها و آسیب‌های خطرناکی را متوجه جامعه خواهد کرد.

سال 2019 را می‌توان یکی از پرالتهاب‌ترین سال‌ها از نظر امنیت سایبری در ایران و جهان دانست که شیوع کرونا و دورکاری در آن بی‌تأثیر نبوده است. مرکز تخصصی آپا وابسته به دانشگاه صنعتی اصفهان در جدیدترین گزارش سالانه خود مروری بر وضعیت امنیت سایبری ایران و جهان داشته است که برخی رخدادهای مهم در حوزه فضای مجازی کشور مثل نشت اطلاعات 42 میلیون کاربر ایرانی تلگرام و حمله به زیرساخت‌های ابرآروان پرداخته است. اگرچه به‌دلیل شیوع کرونا و شرایط دورکاری انتظار می‌رفت سال 2019 سالی پرهیاهو در حوزه فناوری اطلاعات باشد، اما شاید کمتر کسی حدس می‌زد که این سال حتی در نخستین روزهای خود در حوزه امنیت سایبری غوغا به پا کند. در اولین روزهای 2019، نه اخبار مربوط به کرونا بلکه خبر نشت اطلاعات 42 میلیون کاربر ایرانی تلگرام در فضای مجازی کشور سروصدای زیادی به پا کرد. این اطلاعات روی سامانه‌ای به نام «سامانۀ شکار» قرار داشت که پایگاه داده‌های الاستیک جست‌وجوی آن، بدون کلمۀ عبور یا سازوکار احزار هویت بود. باب دیاچنکو، کارشناس امنیت سایبری، این سرور را در 26 مارس کشف کرد و تحلیل و بررسی کرد. سپس در 29 مارس مشکل را به صاحبان این پایگاه گزارش کرد و اطلاعات در30 مارس از این پایگاه حذف شد. اما حذف اطلاعات در آن زمان نتوانست جلوی انتشار عمومی داده‌ها را بگیرد و اطلاعات در فروم‌های هکری با قیمت 500 دلار به فروش رفت.

اما یکی از بزرگ‌ترین حملات سایبری سال 2019 که سروصدای زیادی به پا کرد، حملۀ گسترده به زیرساخت‌های ابر آروان بود. هدف از این حمله تخریب و حذف اطلاعات مشتریان گزارش شد. به گزارش وب‌سایت رسمی این شرکت، این حمله در حدود 16 درصد از مشتریان غیررایگان ابرآروان را متأثر کرد. در این حمله، آن گروهی از مشتریان دچار مشکل اساسی شدند که از داده‌های خود نسخه پشتیبان نداشتند یا معماری آن‌ها به شکل ابرزی (Cloud Native)  نبود.

سال‌هاست که متخصصان فضای سایبری در ایران متوجه حملات سایبری شده‌اند و به نهادهای مرتبط هشدارهای لازم را داده‌اند. در این رابطه، افزایش ضریب امنیت فضای سایبری و پیشگیری از حملات سایبری امری ضروری است.