'%3e%3crect%20width='24'%20height='24'%20transform='translate(1568%20947)'%20fill='%23dbdbdb'/%3e%3cg%20transform='translate(1466%20765)'%3e%3cpath%20d='M2.875,5.75A2.875,2.875,0,1,1,5.75,2.875,2.879,2.879,0,0,1,2.875,5.75Zm0-5A2.125,2.125,0,1,0,5,2.875,2.13,2.13,0,0,0,2.875.75Z'%20transform='translate(111.125%20188.625)'%20fill='%230b032d'/%3e%3cpath%20d='M8.965,4.25a.378.378,0,0,1-.375-.375C8.59,2.15,6.83.75,4.67.75S.75,2.15.75,3.875a.378.378,0,0,1-.375.375A.378.378,0,0,1,0,3.875C0,1.74,2.095,0,4.67,0S9.34,1.74,9.34,3.875A.378.378,0,0,1,8.965,4.25Z'%20transform='translate(109.33%20195.125)'%20fill='%230b032d'/%3e%3cpath%20d='M0,0H12V12H0Z'%20transform='translate(108%20188)'%20fill='none'%20opacity='0'/%3e%3c/g%3e%3c/g%3e%3c/svg%3e){kind=small}
هر ساله میزان رخنه و نفوذ در اپلیکیشنها یا همان چیزی که آن را تحت عنوان هک میشناسیم از نظر اندازه، تعداد و شدت رشد میکند و این در حالی است که جای خالی استعدادهای امنیت سایبری بیشتر به چشم میآید و متخصصین کافی برای پر کردن پستهای خالی در این زمینه وجود ندارد!
در سرویسها و خدمات مبتنی بر اینترنت که به تمامی جنبههای زندگی ما نفوذ کردهاند، هر روز نقاط آسیبپذیر جدیدی جوانه میزند؛ نقاطی که برای بازیگران مخرب دنیای مجازی فرصتی برای حملات تازه و اجرای نقشههای غیراخلاقیشان فراهم میکند. هر شخص، هر دیوایس متصل شده به اینترنت و هر بخشی از یک اپلیکیشن که به یک شبکهٔ کامپیوتری وصل میشود، میتواند به عنوان یک فرصت برای نفوذکنندگان تلقی شده و مورد سوءاستفاده قرار گیرد.
یک راه که میتواند به صورت فوقالعاده بر این مشکلات غلبه کند استفاده از Gamification (بازیسازی) است. بازیسازی در حقیقت به خدمت گرفتن ابزار بازی (یا مفاهیم مربوط به بازی) برای اهدافی غیر از بازی و سرگرمی است. استفاده از مفاهیم مربوط به بازیها از بسیاری جهات به ما کمک میکند تا پیچیدگی وظایف امنیت سایبری را از میان برداشته و انگیزهای برای تلاشهای جمعی در مسیر کنار آمدن با چالشهای روز افزون آن ایجاد کنیم و این همان چیزی است که در ادامه مورد بررسی قرار خواهد گرفت که چگونه بازی و بازیسازی میتواند منجر به ارتقاء امنیت سایبری گردد.
افزایش آگاهی در میان کارمندان و مدیران
خطای انسانی یکی از دلایل اصلی حوادث سایبری در سازمانها و شرکتها به حساب میآید. بسیاری از مخاطراتی که برای اطلاعات حساس سازمانها پیش میآید در نتیجهٔ ناآگاهی کارمندی رخ میدهد که یک بدافزار آلوده پیوست شده به یک ایمیل را باز میکند، بر روی لینکی به یک سایت مخرب کلیک میکند یا با بیدقتی، یک ویروس آلوده را به سمت دیگر کامپیوترهای شرکت میفرستد.
در هر صورت، آموزش کارمندان و مدیران دربارهٔ قوانین امنیتی چالشهای خاص خود را ایجاد میکند. بسیاری از شرکتها به این دلیل که در تأمین آموزشهای مؤثر به کارکنان خود ناکام میمانند و نمیتوانند تغییری در رفتار خطرآفرین آنها ایجاد کنند، قربانی حملات سایبری میشوند.
کارشناسان شرکت مشاوره بینالمللی است PWC، معتقدند که گیمیفیکیشن (بازیسازی) میتواند نقشی مؤثر در اصلاح این شرایط داشته باشد. گیم Game of Threats (بازی تهدیدات) نرمافزاری است که با هدف آموزش اصول و مفاهیم امنیت سایبری به مدیران ارشد ساخته شده است. این نرمافزار از طریق ارائهٔ یک محیط بازی که در آن میتوان امنیت سایبری در دنیای واقعی را شبیهسازی کرد، به آموزش در این زمینه میپردازد.
شرکتکنندگان در این بازی میتوانند نقش مهاجم یا مدافع در یک حملهٔ سایبری را بازی کنند و با تواناییها، تاکتیکها، استعداد و ابزار خود بر علیه یکدیگر بجنگند. با این شبیهسازی، شرکتکنندگان اجازه مییابند هر دو سوی یک حملهٔ سایبری را ببینند و در نتیجه واکنش بهتری در برابر تهدیدات امنیتی داشته باشند.
بهبود در اجرای اصول و قوانین امنیتی
بسیاری از کارمندان حتی زمانی که به صورت کامل آموزش دیدهاند، به نادیده گرفتن قوانین و اصول امنیتی ادامه میدهند. این مسئله به ویژه زمانی که کارمند با فرا رسیدن مهلت مقرر برای انجام یک تَسک روبهرو میشود، بیشتر خود را نشان میدهد.
در واقع، مشکل آنجا است که قوانین امنیتی معمولاً دست و پا گیر تلقی میشوند؛ احتیاطی بیش از حد و بدون پاداش که میتواند به خاطر فشار مسائل دیگر نادیده گرفته شود. بیانگیزگی برای به دوش کشیدن سختیهای رعایت مسائل امنیتی بهانهای است برای کارمندان و مدیران تا با آغوش باز به استقبال حملات سایبری بروند.
شرکت امنیتی Digital Guardian که برای ارائهٔ راهکارهای DPL مشهور است (راهکارهایی که به شرکتها در امن نگاه داشتن دادههایشان کمک میکند)، ابزار و مفاهیم بازیها را با معیارهای امنیتی ترکیب کرده است. راهکاری که این شرکت ارائه داده است تلاش میکند تا با استفاده از تجربهٔ گرفتن پاداش در بازی، کارمندان را برای تعهد به برنامههای امنیتی در تمامی سطوح تشویق کرده و اینگونه از سازمان آنها در برابر تهدیدهای امنیتی محافظت کند.
Data Defender (مدافع داده) عنوانی است که این شرکت برای خوب جلوه دادن مفهوم سنتی امنیت سایبری انتخاب کرده است که تنها بر شناسایی، گزارش و تنبیه رفتارهای ناایمن دلالت میکند. این شرکت امنیتی اینگونه بیان میکند که علیرغم تنبیه رفتارهای نادرست در زمینهٔ امنیت سایبری، میتوان با تشویق رفتارهای صحیح، انگیزهٔ بیشتری برای رعایت پایدار و همیشگی قوانین امنیتی در کارمندان ایجاد کرد؛ انگیزهای که میتواند باعث رعایت کردن قوانین امنیتی حتی در شرایطی باشد که کارمند تحت فشار عوامل دیگر مانند زمان قرار دارد.
کاربران این روش با هر بار تطبیق دادن فعالیتهایشان با شیوههای امنیتی و رعایت قوانینی که به امنیت سایبری سازمان کمک میکند (مانند ارسال ایمیل بدون فراموش کردن سیاستهای امنیتی یا استفاده از سرویسهای ابری مورد تأیید شرکت) یک امتیاز کسب میکنند و در نتیجه جدولهای ردهبندی و امتیازدهی به کارمندان میتواند بر رقابت میان آنها بیفزاید. کاربران با رسیدن به نقاطی خاص، مثل ارسال ۱۰۰۰ ایمیل امن، نشانهای مخصوصی دریافت میکنند و نهایتاً با جمع کردن امتیازات کافی میتوانند برندهٔ جوایز این رقابت شوند.
یافتن و استخدام استعدادهای امنیت
یکی از تحقیقات شرکت سیسکو نشان میدهد که دنیا با کمبود بیش از ۱ میلیون متخصص امنیت اطلاعات روبهرو است و این کمبود تا سال ۲۰۱۹ به ۱/۵ میلیون نفر خواهد رسید! در نتیجهٔ چنین کمبودی، بسیاری از سازمانها با صندلیهای خالی در پستهای حساس امنیتی روبهرو خواهند شد که به آسیبپذیری بیشتر آنها در برابر رخنههای اطلاعاتی خواهد انجامید.
سازمان غیرانتفاعی Cyber Security Challenge در بریتانیا با برگزاری سالیانهٔ رقابتهای بازیهای کامپیوتری که شرکت در آنها برای همگان آزاد است، به یافتن و استخدام استعدادهای نوظهور این حوزه کمک میکند. در این رقابت، هر شرکتکننده میتواند با تواناییهای خود به مقابله با تهدیدهای شبیهسازی شده بپردازد و شانس خود را برای اثبات تواناییهایش امتحان کند.
این سازمان از یک محیط بازی به نام CySphinx برای آزمودن و استخدام استعدادهای امنیت سایبری طراحی شده استفاده میکند. محیط سهبعدی این بازی بازیکنان را قادر به تعامل با یکدیگر میسازد و در این محیط، تواناییهای مختلف شرکتکنندگان مانند تواناییهای تکنیکی، کار تیمی، قدرت ارائه و برقراری ارتباط بررسی و ارزیابی میشود.
دور مقدماتی این رقابتها به صورت آنلاین و از طریق یک پلتفرم اینترنتی برگزار میشود، اما دور نهایی به صورت حضوری انجام شده و به برندگان علاوه بر جوایز مسابقه، فرصتهای شغلی در سازمانهای دولتی و شرکتهای بزرگ حوزهٔ تکنولوژی پیشنهاد میشود. این سازمان غیرانتفاعی فرصتی برای هر کس که تجربهای در زمینهٔ برنامهنویسی و فناوری اطلاعات دارد فراهم میآورد تا شغل خود را به عنوان متخصص امنیت سایبری آغاز کند.
ریشهکن کردن آسیبپذیری در نرمافزار
هر ساله نقاط آسیبپذیر در نرمافزارها باعث بروز موارد بسیاری در حوزهٔ نفوذ در اطلاعات میشود. مهم نیست که یک نرمافزار را چندبار در زمان ساخت تست کرده باشید، همیشه باگها (مشکلات و خطاهای موجود در نرمافزار) و شاید نقاط ضعف جدی وجود دارند که از چشم توسعهدهنده پنهان مانده و پس از انتشار پیدا خواهند شد!
برای اطمینان از کشف نقاط آسیبپذیر نرمافزار، قبل از سوءاستفاده از آنها توسط خرابکارها، شرکتهای بزرگ و سازمانهای دولتی برنامههایی با عنوان Bug Bounty برگزار میکنند. این برنامهها به هکرهای اخلاقمدار (یا کلاه سفید) و همچنین محققین امنیتی اجازه میدهد در ازای یافتن باگها و نقاط ضعف امنیتی نرمافزار، جوایزی دریافت کنند. فیسبوک، گوگل و مایکروسافت از معروفترین شرکتهایی هستند که برنامههای Bug Bounty برگزار میکنند و البته وزارت دفاع ایالات متحده نیز یکی از برگزارکنندگان اینگونه برنامهها است.
یکی از جذابترین برنامههای Bug Bounty متعلق به شرکت Uber است؛ جایی که محققین امنیت برای یافتن هر باگ بحرانی مربوط به امنیت تا ۱۰ هزار دلار پاداش دریافت میکنند. این برنامه شامل یک نقشهٔ گنج است که به محققین برای یافتن راهشان در پلتفرم Uber و تمرکز بر پیدا کردن باگها در ناحیههای بحرانی و حساس نرمافزار کمک میکند. این برنامه همچنین به پژوهشگرانی که در دورهٔ زمانی مشخص بیش از ۴ باگ پیدا کنند، به پاس وفاداری آنها، جوایز دیگری نیز اهدا میکند تا با این وسیله آنها را به تعهد بیشتری برای تلاش فعالانه در برنامه تشویق کند.
به نظر شما به غیر از گیمیفیکیشن، از چه راهکار یا راهکارهای دیگری میتوان برای پر نمودن خلاء آموزش مسائل امنیتی در سازمانها، شرکتها و ... استفاده نمود؟ نظرات، دیدگاهها و تجربیات خود را با ما و سایر کاربران سکان آکادمی به اشتراک بگذارید.