انعطاف‌پذیری سایبری باید بر افراد به حاشیه رانده‌شده تمرکز کند!

بررسی رویدادهای مهم امنیت سایبری در سال 2023

چهارشنبه 22 آذر 1402

زاویه؛ سال ۲۰۲۳ نقطه عطفی در حوزه امنیت سایبری و سیاست‌گذاری بود. در ۲ مارس ۲۰۲۳، دولت بایدن از «راهبرد ملی امنیت سایبری» خود رونمایی کرد که سندی محوری و بلندمدت است. این راهبرد برنامه‌ای جاه‌طلبانه را برای حفظ برتری ‌‌‌‌‌‌‌ایالات‌متحده آمریکا در فضای مجازی و افزایش امنیت و تاب‌آوری سیستم‌های فنی حیاتی در اقتصاد و جامعه ترسیم می‌کند. پس از انتشار «راهبرد ملی امنیت سایبری»، «طرح اجرایی» و «راهبرد ملی آموزش و توانمندسازی نیروی کار سایبری» در تابستان همان سال منتشر شدند. فراتر از انتشار این استراتژی‌ها، سال ۲۰۲۳ شاهد پیشرفت‌‌های قابل‌توجهی در زمینه امنیت سایبری بود. نقض‌‌های امنیتی قابل‌توجهی رخ داد که منجر به هک‌‌های گسترده علیه سازمان‌‌های مختلف از جمله T‌Mobile، 23andMe، زیرساخت‌‌های حیاتی در گوآم و ارتش اوکراین در درگیری‌‌های جاری با روسیه شد.

برای بررسی وضعیت امنیت سایبری در سال 2023، گروهی از اعضای ارشد شورای آتلانتیک گرد هم آمدند تا در مورد سازمان‌ها و ابتکاراتی که تأثیرات مثبتی داشته‌‌‌اند و همچنین زمینه‌‌‌‌هایی که برای پیشرفت در آینده نیاز به بهبود دارند، بحث و گفتگو کنند.

آمیلی کوران^[1]، پژوهشگر ارشد غیرمقیم شورای آتلانتیک، اظهار داشت که سازمان یا نهادی که بیشترین تأثیر را بر امنیت سایبری در سال ۲۰۲۳ داشت، Progress Software و سرویس انتقال فایل آن معروف به MOVE it بوده است. این سرویس در طول سال با نقض‌های امنیتی متعدد به‌عنوان یک عامل قابل توجه شناخته شد. MOVE it سازمان‌های بخش خصوصی و دولتی را در سراسر جهان تحت تأثیر قرار داد که بیش از ۸۰ درصد از گروه‌های آسیب‌دیده آن در ‌‌‌‌‌‌‌ایالات‌متحده آمریکا مستقر بودند. به‌ندرت در سال ۲۰۲۳ خبری از امنیت سایبری بدون ذکر MOVE it منتشر می‌شد.
جاستین شرمن^[2]، کارشناس ارشد غیرمقیم شورای آتلانتیک، به تأثیر مثبت مرکز ملی امنیت سایبری بریتانیا (NCSC) اشاره کرد. این مرکز همچنان به ارائه حفاظت‌های داوطلبانه و سیستمی برای امنیت اینترنت در شبکه‌ها و سازمان‌های بریتانیا ادامه می‌دهد. بااین‌حال، او همچنین به اقدام دولت چین در ملزم کردن شرکت‌ها به افشای آسیب‌پذیری‌های نرم‌افزاری اشاره کرد که این امر خطرات هک شدن را برای ‌‌‌‌‌‌‌ایالات‌متحده آمریکا و سایر کشورها افزایش می‌دهد.
مگی اسمیت^[3] با مثال مایکروسافت، دوگانگی امنیت سایبری را تشریح کرد. درحالی‌که این شرکت به اوکراین کمک کرد، خود نیز قربانی هک بازیگران چینی شد که به ایمیل‌های دولتی آمریکا دسترسی پیدا کردند. این حادثه نشان داد که هیچ‌کس در دنیای مجازی هرگز کاملاً ایمن نیست.
بابی استمفلی^[4]، تأثیر موسسه ملی استانداردها و فناوری (NIST) ^[5]و انتشار استانداردهای رمزنگاری پسا‌کوانتومی توسط این موسسه را برجسته کرد که پیامدهای قابل‌توجهی برای امنیت ملی دارد.
جان اسپید مایرز^[6] ، تأیید کرد که عدم وجود یک مقیاس استاندارد برای ‌‌اندازه‌گیری امنیت سایبری، ارزیابی‌های عینی را به چالش می‌کشد. بااین‌حال، او با نام بردن از توسعه‌دهندگان نرم‌افزار C و C++، به تأثیر منفی بالقوه‌ی‌ آن‌ها اشاره کرد.

در مورد تأثیرگذارترین سیاست یا ابتکار در حوزه امنیت سایبری در سال ۲۰۲۳، اعضای شورای آتلانتیک دیدگاه‌‌های متنوعی ارائه کردند:

کوران بر اهمیت راهبرد ملی امنیت سایبری ‌‌‌‌‌‌‌ایالات‌متحده آمریکا تأکید کرد. این سند با وجود نواقصی که دارد، به‌عنوان یک نقطه شروع خوب برای حفظ رهبری ‌‌‌‌‌‌‌ایالات‌متحده آمریکا در سیاست‌‌های امنیت سایبری عمل کرده است.
شرمن علاوه بر راهبرد ملی، به اهمیت مقررات مورد تأکید در آن نیز اشاره کرد. این تأکید نشان‌دهنده تغییر در سیاست سایبری ‌‌‌‌‌‌‌ایالات‌متحده آمریکا است که به دنبال رفع ناکارآمدی‌‌های بازار در سرمایه‌گذاری امنیت سایبری می‌باشد.
اسمیت بر اهمیت راهبرد سایبری وزارت دفاع تأکید کرد. این راهبرد به‌طور واضح محدوده‌‌های حقوقی وزارت دفاع را مشخص کرده و شرایط محدودی را که نیروهای سایبری نظامی در دفاع از زیرساخت‌‌های حیاتی غیرنظامی در آن مشارکت خواهند داشت، روشن ساخته است.
استمفلی تأثیر حکم دادگاه استیناف ایالتی دلاور را برجسته کرد که مسئولیت و وظیفه مراقبت را از «مدیران ارشد» به «مدیران اجرایی» گسترش داد. این حکم منجر به گفتگوهای گسترده در کل سازمان‌ها در مورد خطرات تهدیدات سایبری شده است و به احتمال زیاد به استانداردسازی و شفافیت بیشتری در مورد نقش مدیران ارشد و میانی امنیت اطلاعات منجر خواهد شد.

در پایان، کارشناسان و همکاران شورای آتلانتیک در مورد مهم‌ترین حوادث سایبری سال ۲۰۲۳ که به‌‌‌اندازه کافی به آن توجه نشده است، به گفتگو پرداختند.

کوران تأکید کرد که حوادث نقض داده‌های T‌Mobile به خوبی این موضوع را نشان می‌دهند که شرکت نتوانسته از سوابق نقض داده‌های گذشته‌اش درس بگیرد و نظام قانونی کنونی نیز نتوانسته از تکرار و تأثیر این حوادث جلوگیری کند.
شرمن به چندین مورد اشاره کرد، از جمله هک سیستم‌‌های زیرساخت حیاتی ‌‌‌‌‌‌‌ایالات‌متحده آمریکا توسط گروهی تحت حمایت دولت چین، سوءاستفاده هکرها از آسیب‌پذیری log4j برای فروش اطلاعات به سرویس‌‌های «proxy ware» و توسعه بدافزار توسط سازمان اطلاعات نظامی روسیه برای هدف قرار دادن و جاسوسی از دستگاه‌‌های‌‌‌اندروید اوکراینی.
اسمیت بر هک شدن شرکت تست ژنتیک 23and Me تأکید کرد که نگرانی‌ها در مورد امنیت اطلاعات ژنتیکی حساس جمع‌آوری‌شده برای اهداف تجاری و خطرات بالقوه برای گروه‌‌های به حاشیه رانده شده در صورت سرقت این داده‌ها را تأیید کرد.
استمفلی به تأثیر عدم گزارش و پنهان‌کاری در خصوص حملات باج افزار بر امنیت عمومی اشاره کرد و به مطالعه‌ای استناد کرد که نشان می‌داد حملات باج افزار به بیمارستان‌ها و مراکز بهداشتی در 44٪ موارد موردمطالعه، مانع مراقبت از بیماران و منجر به نتایج منفی برای بیماران شده است.

[1] Amélie Koran

[2] Justin Sherman

[3] Maggie Smith

[4] Bobbie Stempfley

[5] National Institute for Standards and Technology

[6] John Speed Meyers