پنج توصیه در زمینه تحول دیجیتال

پس از پاندمی اخیر کسب ­وکارها در مسیر بازگشت به روند نرمال خود با چالش­ های جدیدی مواجه شده ­اند. این یعنی کسب ­وکارها باید در تحول دیجیتال سرمایه­ گذاری کنند اما کمبود منابع مالی این کار را دشوار و گاها غیرممکن می­سازد. کسب­وکارها همچنان با مشکلاتی مانند بکارگیری پلتفرم ­های دیجیتال جدید، تغییر مدل تجاری به منظور حل مشکل تامین محصولات و ایجاد امکان دورکاری درگیر هستند.

عدم توانایی کسب­ وکارها در بکارگیری سریع تکنولوژی­ هایی که به فرآیندهای تحول دیجیتال مانند بخش­بندی مبتنی بر هویت، مجازی ­سازی دسکتاپ (VDI) و فول استک ابری کمک­ می­کنند، از توانایی آنان در مقابله با تهدیدات جدید و حتی آزمایش سیستم ­ها و پروتکل­های امنیتی جدید می ­کاهد.

نیشانت سریواستاوا یکی از کارشناسان و طراحان امنیت سایبری شرکت Cognizant که در زمینه راهکارها و خدمات IT فعالیت می­کند و مسئول طراحی و بکارگیری راهکارهای احراز هویت و دسترسی (IAM) است می­گوید: «ترمیم نقاط ضعف و حفرات امنیتی در سیستم ­های کنونی سازمان­ها، به خصوص از پایه ­ای­ ترین سطح ممکن، بیش از همیشه اهمیت دارد. مسلما بزرگ­ترین مشکلات باید در اولویت باشند اما شرکت­ها نباید فقط به جدیت یا احتمال بروز تهدیدات فکر کنند. آن­ها باید به سایر مزایای تکنولوژی­ های جدید نیز توجه کنند.».

بلو سریواستاوا، یکی از مقامات ارشد مدیریت IAM نکات مهمی درباره حفرات امنیتی دیجیتالی به کسب­ و کارها گوشزد می­کند تا در سایه پاندمی اخیر و افزایش وابستگی دیجیتالی­ شان از خود محافظت کنند. می­توانید با پیروی از این توصیه­ ها از شرکت و مشتریان خود حفاظت کنید.

نقاط ضعف نرم افزارهای مشتری ­مداری

برخی از بزرگترین تهدیدات امنیتی نرم­ افزارهای مشتری­ مداری مبتنی بر وب عبارتند از: حملات پیمایش مسیر، حملات کراس­ سایت اسکریپتینگ (XSS)، حملات تزریق SQL و اجرای کد از راه دور. کاملا واضح است که مهم ترین مسئله امنیتی، تامین امنیت داده ­های مشتریان است. و کمبود منابع انسانی یکی از بزرگترین چالش­هایی ست که در مسیر حل این مشکل وجود دارد. حتی در پیشرفته­ ترین مناطق جهان نیز تعداد کارمندان امنیتی آموزش­ دیده و ماهر محدود است و همین مسئله باعث ایجاد یک فاصله طبقاتی در سطح مهارت­های امنیت سایبری در سطح جهان می­شود. همچنین کاملا مشخص است که  آموزش کارکنان و استخدام نیروهای ماهر یکی از بهترین­ راه­ها برای برقراری، حفظ و تامین امنیت نرم ­افزارهای مشتری ­مداری است. نقاط ضعف، هرقدر هم کوچک باشند می­توانند خسارات و آسیب­ های چشمگیری در پی داشته باشند.

نقاط ضعف تجارت الکترونیک

کسب­ و کارهای اینترنتی که از خطرات امنیتی آگاه هستند از فرآیندهای امن ­تر برای ورود به سایت، خروج خودکار از سایت و تایید هویت دیجیتال مشتریان به صورت تصادفی استفاده می­کنند و به مشتریان اجازه نمی­دهند هنگام سفارش محصولات از دستگاه­ های دیگر برای ورود به سایت استفاده کنند. با انجام این اقدامات می­توان از حملاتی که نام، اطلاعات کارت اعتباری، رمز عبور و سایر اطلاعات شخصی و حساس مشتریان را افشا می­کند جلوگیری به عمل آورد. مشابه این فرآیند در ایران احراز هویت سجام است که در حال حاضر برای دریافت کد بورسی استفاده می شود و همچنین ثبت نام سامانه ثنا .

شرکت­های که در زمینه فروش محصولات یا ارائه خدمات آنلاین فعالیت می­کنند باید در وبسایت خود از اتصال لایه سوکت امن (SSL) استفاده کنند. این تکنولوژی تبادل داده­ها بین سرورهای بک­ اِند شرکت و مرورگر کاربر را رمزگذاری می­کند. اینگونه حتی اگر یک هکر بتواند به ترافیک شبکه نفوذ کند هم نمی­تواند این اطلاعات را سرقت و رمزگشایی کند.

یکی دیگر از استراتژی ­های مفید، اعمال محدودیت در انتخاب رمزعبور است. در رمز عبور باید از ترکیبی از علائم، اعداد و حروف استفاده شود و تا حد ممکن پیچیده باشد.

استفاده از سیستم توکن­سازی نیز بسیار مفید است زیرا زمانی که هکرها به سیستم­های بک ­اند دسترسی یابند می­توانند اطلاعات مهم را بخوانند و سرقت کنند زیرا تمام این اطلاعات در دیتابیس به صورت یک فایل متنی ساده ذخیره می­شوند. برخی از شرکت­های پرداخت آنلاین اطلاعات کارت مشتریان را توکن­سازی می­کنند یعنی توکن جایگزین دیتای خام می­شود و در دیتابیس به جای اطلاعات واقعی، توکن ذخیره می­گردد. اگر کسی آن را بدزدد نیز هیچ­کاری نمی­تواند با آن انجام دهد زیرا فقط و فقط یک توکن است.

تقابل با باج­افزار

حملات باج ­افزار رو به افزایش هستند و به همین دلیل تجارت­های دیجیتالی باید از استراتژی­های امنیتی چندلایه­ ای شامل نرم ­افزارهای پشتیبان­ گیری، رمزگذاری فایل­ها، فایروال شخصی و آنتی­مالور استفاده کنند. این کار از زیرساخت شرکت و اِندپوینت آن محافظت می­کند.

پشتیبان­گیری از داده ­ها بسیار مهم است زیرا حتی با وجود استفاده از تمام راهکارهای امنیتی ذکر شده همچنان احتمال نفوذ به سیستم وجود دارد. آسان­ترین و موثرترین روش کاهش آسیب حملات سایبری، کپی فایل­ها به یک دستگاه دیگر است. با این روش پس از یک حمله سایبری، فایل­ها دست­نخورده باقی می­مانند و می­توان بلافاصله طبق روال گذشته و بدون خاموشی کار را ادامه داد.

مقابله با فیشینگ

سرویس جیمیل هر روز بیش از 100 میلیون ایمیل فیشینگ مربوط به کووید را مسدود می­کند اما تعداد ایمیل­های ارسال­ شده بیش از 240 میلیون است. این یعنی فقط سرویس جیمیل کمتر از نیمی از این ایمیل­ها را مسدود می­کند. کارشناسان توصیه می­کنند باید محدودیت ­هایی در پروتکل­های دسترسی ریموت دسکتاپ (RDP) وضع شود و همچنین از سیستم­های تایید صحت چندمرحله­ای برای دسترسی با VPN، آنالیز دقیق ارتباطات شبکه­ای ریموت و وایت ­لیست (لیست سفید) کردن آدرس­های IP که برخی از بهترین­ روش­های تامین امنیت هستند استفاده شود. علاوه بر این، کسب­وکارها باید با استفاده از سیستم تایید صحت چندمرحله­ای مبتنی بر ریسک، امنیت نرم­ افزارهای مشتری­مداری مانند پرتال تامین­ کنندگان و به ویژه نرم­ افزارهایی را را ارتقاء دهند که ممکن است امکان سرقت تراکنش­های مالی یا تغییر اطلاعات بانکی کاربر را در اختیار مجرمان سایبری بگذارند.

حفاظت از تله­ کنفرانس ­ها

پاندمی اخیر و افزایش میزان دورکاری فرصت­های بیشتری را در اختیار مجرمان سایبری گذاشته است و این مجرمان بیشتر بر وسایلی متمرکز هستند که مردم برای کار استفاده می­کنند. مردم به ویژه زمانی که کار خود را از خانه انجام می­دهند باید نقاط آسیب­ پذیر خود را شناسایی کنند. به عنوان یکی از این نقاط آسیب ­پذیر می­توان به رمزعبور ویدیو کنفرانس و لینک­های محافظت نشده ویدیوکنفرانس اشاره کرد؛ مجرمان می­توانند از این نقاط ضعف برای دسترسی غیرمجاز به شبکه یک سازمان استفاده کنند. بسیاری از افرادی که از خانه کار می­کنند، بدون اطلاع قبلی و کاملا غیرعمدی، از شبکه­ های ناامن استفاده می­کنند. بسیاری از افراد اصلا از خطرات این کار آگاه نیستند.

برای جلوگیری از مشکلات امنیتی تله­ کنفراس، جلسات باید همیشه رمزگذاری شده باشند. یعنی پیام باید فقط توسط گیرنده هدف قابل خواندن باشد و میزبان باید پیش از شروع جلسه حاضر باشد. در این سیستم­ ها باید برای شرکت­ کنندگان اتاق انتظار وجود داشته باشد. همچنین می­ توان از واترمارک در صفحات اشتراکی، قفل­ کردن جلسه و امضاهای صوتی نیز استفاده کرد.

زمانی که از نیشانت پرسیدیم چه پیشنهاداتی برای ارتقاء امنیت دورکاران در نظر دارد، گفت که شرکت­ها باید در وهله اول از آنالیز موارد ابتدایی (مانند مواردی که در بالا ذکر شد) شروع کنند و ببنند وضعیت­شان در مقابل طیف گسترده، روزافزون و در حال تحول تهدیدات سایبری چگونه است. وی افزود «کارمندان باید از سیستم تایید صحت دومرحله­ی استفاده کنند و مطمئن شوند که آخرین نسخه برنامه ­ها و بروزسانی­ها بر روی موبایل و لپ­تاپ­شان نصب شده است. همچنین آن­ها باید مراقب درخواست­های اطلاعات باشند و ابتدا از صحت منبع مطمئن شوند. این درخواست­ها حتی ممکن است یک تماس یا ایمیل ناگهانی از همکاران باشد».

سریواستاوا افزود که برخی از کارکنان شرکت CIO Symposium معتقدند که پاندمی اخیر باعث شد تحول دیجیتالی که به چندین سال زمان نیاز داشت فقط در عرض چند هفته انجام شود. استفاده از منابع غیرسازمانی نیز یکی دیگر از مسائل امنیتی مهم است که باید در نظر گرفته شود. به عنوان مثال برخی از کارمندان خارجی نتوانستند رایانه ­های خود را به خانه ببرند و مدیران این افراد برای آنان تجهیزات جدید خریداری کردند. پروسه راه­اندازی برخی از این تجهیزات به درستی انجام نشد و در نتیجه از نظر امنیتی باعث تضعیف سیستم شده بود. شرکت­ها باید اقدامات بیشتری انجام می­دادند تا مطمئن شوند که افراد از تکنولوژی­ به درستی استفاده می­کنند؛ مثلا آیا کارمندان از تجهیزات شغل خود استفاده غیرکاری نیز می­کنند یا از دستگاه­های شخصی خودشان استفاده می­کنند؟

اگر از جنبه مثبت به این ماجرا نگاه کنیم، افزایش کار از خانه باعث شد استفاده از سیستم­ های تایید صحت چندمرحله ­ای افزایش یابد. این یک موقعیت بی­نظیر است و تجارت­های دیجیتالی باید از آن نهایت استفاده را ببرند.

سریواستاوا توصیه می­کند که به هیچ­کس و هیچ­چیز اعتماد نکنید. او می­گوید: «شاید این کار کمی افراطی به نظر بیاید اما واقعیت این است که نمی­توانید به طور پیش­فرض به دستگاه­ها، افراد و نرم ­افزارها اعتماد کنید. صحت و درستی همه­ چیز ابتدا باید تایید شود. کاربران باید همیشه ابتدا هویت دستگاه و افراد را تایید کنند و هرگز به کسی یا چیزی اعتماد نکنند و کسب­ و کارها نیز باید طوری رفتار کنند که انگار به شبکه نفوذ شده است و باید حفرات امنیتی و نقاط ضعف شبکه­ را بیایند. در آخر، کسب­وکارها باید تا حد ممکن از افشای اطلاعات و داده­ها نزد افراد غیرضروری خودداری کنند – و همچنین مطمئن شوند افرادی که به این داده ­ها و اطلاعات دسترسی دارند آموزش­ های لازم را دریافت کرده باشند تا بتوانند تهدیدات را شناسایی کنند.».

کسب­وکارها می­توانند با پیروی از همه یا برخی از پیشنهادات ذکرشده، همگام با گسترش عصر تحول دیجیتال با اعتماد به نفس و رضایت بیشتری رشد و ترقی کنند.