نفوذ غیر قانونی به سیستم‌ های سازمان‌

علیرغم آمارهای پراکنده پیرامون تعداد موارد نقض امنیت و نفوذ غیر قانونی در شرکت‌های زیر ساخت حیاتی به عنوان ستون اصلی اقتصاد جهانی، تحقیقات جدید نشان می‌دهد که شکاف بین نگرانی و آمادگی امنیتی در سازمان‌های تولید،  انرژی، نفت و گاز، آب، برق و تلفن بیش از حد بزرگ شده است.

 تقریباً 70% از شرکت‌های زیرساخت براساس تحقیق و نظرسنجی موسسه «Ponemon» با نفوذ غیر قانونی و عبور از سد امنیت اطلاعاتشان در سال گذشته مواجه بوده اند.

67% گفته اند که شرکت‌هایشان دست کم یکبار با خطر امنیتی مواجه شده که منجر به از دست رفتن اطلاعات محرمانه یا اختلال در عملیاتشان طی سال گذشته شده است. و تقریبا همین تعداد (64%) وقوع یک یا چند حمله جدی را در سال‌های آتی پیش‌بینی کرده اند. ولی تاکنون صرفاً 28% از پاسخ‌دهنده‌ها امنیت را جزء یکی از پنج اولویت راهبردی سازمان‌شان قرار داده‌اند. 

 

به گفته لری پونمون، رئیس و بنیانگذار موسسه Ponemon در یک گزارش:
یافته‌های این نظرسنجی بسیار تکان دهنده بود، با فرض اینکه این صنایع ستون فقرات اقتصاد جهانی را تشکیل داده و هر گونه قطع و اختلال در  عملیاتشان منجر به فاجعه خواهد شد. علیرغم تمایل فاحش برای حفاظت امنیت در این شرکت‌ها، تقریباً تعداد انگشت شماری در عمل اقدام به اتخاذ و پیاده‌سازی راهبردهای مناسب برای حفظ امنیت خود در برابر حملات این زیرساخت‌های حیاتی نموده اند.
بعلاوه، آشکار شده است که تعداد اندکی حتی نکات احتیاطی پایه را رعایت می‌کند: تنها یکی از هر شش پاسخ‌دهنده برنامه یا فعالیت‌های امنیت فناوری اطلاعات سازمان‌شان را بالغ توصیف کرده اند. براساس این تحقیق، مرحله بلوغ عبارت از گسترش کامل اکثر فعالیت‌های برنامه امنیت فناوری اطلاعات. اکثر شرکت ابتکارات عمل امنیتی خود را تعریف کرده اند، ولی گسترش و اجرای آنها هنوز در ابتدا یا حداکثر میانه راه است.
پاسخ‌دهنده‌هایی که وقوع موارد نقض امنیت اطلاعات را ظرف یک سال گذشته در سازمانشان گزارش کرده اکثراً آنها را نتیجه اشتباه یا تصادف داخلی می‌دانستند و 24% از پاسخ‌دهنده‌ها گفته اند که این موارد بخاطر حمله از داخل یا قصور کاربران فناوری اطلاعات مجاز در داخل سازمان بوده است؛ با این اوصاف، صرفاً 6% آموزش امنیت سایبری را برای کلیه کارمندان خود ارائه کرده اند.
به گفته دیو فریمیر، مدیر ارشد امنیت اطلاعات Unisys به عنوان حامی مالی این نظرسنجی:
خواه تصادفی یا با نیت شوم بوده اند، تهدیداتی که از داخل بوده به اندازه تهدیدات خارجی مخرب و واقعی هستند. امیدواریم نتایج این نظرسنجی زنگ خطری برای ارائه دهندگان خدمات در حوزه زیرساخت‌های حیاتی باشد تا شاید رویکردی جامع تر و پیشگیرانه تر را برای افزایش امنیت سیستم‌های فناوری اطلاعاتشان در برابر حملات اتخاذ کنند. همانطور که می‌دانید پیشگیری بهتر از درمان است.
 این نظرسنجی نگرانی‌های بسیاری از این مدیران اجرایی را راجع به امنیت سیستم‌های کنترل صنعتی (ICS) و کنترل نظارتی و جمع آوری داده (SCADA) آشکار ساخت که فرآیندها و عملیات تولید برق و دیگر کارکردهای زیرساخت حیاتی را کنترل و پایش می‌کردند؛ و این در حالی است که این سیستم‌ها بطور آشکار در حال کهنه و فرسوده شده اند و سریعاً و به آسانی در معرض خطر قرار می‌گیرند.
زمانیکه راجع به احتمال حمله علیه سیستم‌های «SCADA» یا «ICS» سازمانشان سوال شد، 78% از مدیران ارشد امنیت اطلاعات پاسخ دادند که یک حمله موفقیت آمیز دست کم احتمالاً ظرف 24 ماه آتی رخ خواهد داد. فقط 21% از پاسخ‌دهنده‌ها فکر می‌کردند که سطح ریسک تهدیدکننده سیستم‌های «SCADA» و «ICS» بخاطر مقررات و استانداردهای امنیت صنعت به میزان قابل ملاحظه‌ای کاهش یافته اند؛ به عبارت دیگر، معیارهای کنترل و اتخاذ استانداردهای بهتر ضروری است.

منبع : شرکت دوران

نقد:

اینکه با حملات سایبری یا نفوذ هکران به سیستم های سازمانی به سادگی برخورد شود و اینگونه سازمان ها در مواجهه با این حملات در جهت رفع مشکلات امنیتی خود بر نیایند میتواند زیان بار باشد.

این زیان نه تنها متوجه خود سازمان است، بلکه باعث نقض حریم خصوصی کاربران نیز میشود. هر سازمانی در جهت حفظ اطلاعات کاربران خود باید مسئول باشد.

باید افکار عمومی بر این سازمان ها فشار وارد کنند تا سازمان ها امنیت درونی خود را افزایش داده و به دنبال بهانه تراشی برای این حفره های امنیتی نباشند.