علیرغم آمارهای پراکنده پیرامون تعداد موارد نقض امنیت و نفوذ غیر قانونی در شرکتهای زیر ساخت حیاتی به عنوان ستون اصلی اقتصاد جهانی، تحقیقات جدید نشان میدهد که شکاف بین نگرانی و آمادگی امنیتی در سازمانهای تولید، انرژی، نفت و گاز، آب، برق و تلفن بیش از حد بزرگ شده است.
تقریباً 70% از شرکتهای زیرساخت براساس تحقیق و نظرسنجی موسسه «Ponemon» با نفوذ غیر قانونی و عبور از سد امنیت اطلاعاتشان در سال گذشته مواجه بوده اند.
67% گفته اند که شرکتهایشان دست کم یکبار با خطر امنیتی مواجه شده که منجر به از دست رفتن اطلاعات محرمانه یا اختلال در عملیاتشان طی سال گذشته شده است. و تقریبا همین تعداد (64%) وقوع یک یا چند حمله جدی را در سالهای آتی پیشبینی کرده اند. ولی تاکنون صرفاً 28% از پاسخدهندهها امنیت را جزء یکی از پنج اولویت راهبردی سازمانشان قرار دادهاند.
به گفته لری پونمون، رئیس و بنیانگذار موسسه Ponemon در یک گزارش:
یافتههای این نظرسنجی بسیار تکان دهنده بود، با فرض اینکه این صنایع ستون
فقرات اقتصاد جهانی را تشکیل داده و هر گونه قطع و اختلال در عملیاتشان
منجر به فاجعه خواهد شد. علیرغم تمایل فاحش برای حفاظت امنیت در این
شرکتها، تقریباً تعداد انگشت شماری در عمل اقدام به اتخاذ و پیادهسازی
راهبردهای مناسب برای حفظ امنیت خود در برابر حملات این زیرساختهای حیاتی
نموده اند.
بعلاوه، آشکار شده است که تعداد اندکی حتی نکات احتیاطی پایه را رعایت
میکند: تنها یکی از هر شش پاسخدهنده برنامه یا فعالیتهای امنیت فناوری
اطلاعات سازمانشان را بالغ توصیف کرده اند. براساس این تحقیق، مرحله بلوغ
عبارت از گسترش کامل اکثر فعالیتهای برنامه امنیت فناوری اطلاعات. اکثر
شرکت ابتکارات عمل امنیتی خود را تعریف کرده اند، ولی گسترش و اجرای آنها
هنوز در ابتدا یا حداکثر میانه راه است.
پاسخدهندههایی که وقوع موارد نقض امنیت اطلاعات را ظرف یک سال گذشته در
سازمانشان گزارش کرده اکثراً آنها را نتیجه اشتباه یا تصادف داخلی
میدانستند و 24% از پاسخدهندهها گفته اند که این موارد بخاطر حمله از
داخل یا قصور کاربران فناوری اطلاعات مجاز در داخل سازمان بوده است؛ با این
اوصاف، صرفاً 6% آموزش امنیت سایبری را برای کلیه کارمندان خود ارائه کرده
اند.
به گفته دیو فریمیر، مدیر ارشد امنیت اطلاعات Unisys به عنوان حامی مالی این نظرسنجی:
خواه تصادفی یا با نیت شوم بوده اند، تهدیداتی که از داخل بوده به اندازه
تهدیدات خارجی مخرب و واقعی هستند. امیدواریم نتایج این نظرسنجی زنگ خطری
برای ارائه دهندگان خدمات در حوزه زیرساختهای حیاتی باشد تا شاید رویکردی
جامع تر و پیشگیرانه تر را برای افزایش امنیت سیستمهای فناوری اطلاعاتشان
در برابر حملات اتخاذ کنند. همانطور که میدانید پیشگیری بهتر از درمان
است.
این نظرسنجی نگرانیهای بسیاری از این مدیران اجرایی را راجع به امنیت
سیستمهای کنترل صنعتی (ICS) و کنترل نظارتی و جمع آوری داده (SCADA) آشکار
ساخت که فرآیندها و عملیات تولید برق و دیگر کارکردهای زیرساخت حیاتی را
کنترل و پایش میکردند؛ و این در حالی است که این سیستمها بطور آشکار در
حال کهنه و فرسوده شده اند و سریعاً و به آسانی در معرض خطر قرار میگیرند.
زمانیکه راجع به احتمال حمله علیه سیستمهای «SCADA» یا «ICS» سازمانشان
سوال شد، 78% از مدیران ارشد امنیت اطلاعات پاسخ دادند که یک حمله موفقیت
آمیز دست کم احتمالاً ظرف 24 ماه آتی رخ خواهد داد. فقط 21% از
پاسخدهندهها فکر میکردند که سطح ریسک تهدیدکننده سیستمهای «SCADA» و
«ICS» بخاطر مقررات و استانداردهای امنیت صنعت به میزان قابل ملاحظهای
کاهش یافته اند؛ به عبارت دیگر، معیارهای کنترل و اتخاذ استانداردهای بهتر
ضروری است.
نقد:
اینکه با حملات سایبری یا نفوذ هکران به سیستم های سازمانی به سادگی برخورد شود و اینگونه سازمان ها در مواجهه با این حملات در جهت رفع مشکلات امنیتی خود بر نیایند میتواند زیان بار باشد.
این زیان نه تنها متوجه خود سازمان است، بلکه باعث نقض حریم خصوصی کاربران نیز میشود. هر سازمانی در جهت حفظ اطلاعات کاربران خود باید مسئول باشد.
باید افکار عمومی بر این سازمان ها فشار وارد کنند تا سازمان ها امنیت درونی خود را افزایش داده و به دنبال بهانه تراشی برای این حفره های امنیتی نباشند.