استفاده از Gamification (بازی‌‌سازی) در بهبود امنیت سایبری شرکت‌ها

استفاده از Gamification (بازی‌‌سازی) در بهبود امنیت سایبری شرکت‌ها

هر ساله میزان رخنه و نفوذ در اپلیکیشن‌ها یا همان چیزی که آن‌ را تحت عنوان هک می‌شناسیم از نظر اندازه، تعداد و شدت رشد می‌کند و این در حالی است که جای خالی استعدادهای امنیت سایبری بیشتر به چشم می‌آید و متخصصین کافی برای پر کردن پست‌های خالی در این زمینه وجود ندارد! 

در سرویس‌ها و خدمات مبتنی بر اینترنت که به تمامی جنبه‌های زندگی ما نفوذ کرده‌اند، هر روز نقاط آسیب‌پذیر جدیدی جوانه می‌زند؛ نقاطی که برای بازیگران مخرب دنیای مجازی فرصتی برای حملات تازه و اجرای نقشه‌های غیراخلاقی‌شان فراهم می‌کند. هر شخص، هر دیوایس متصل شده به اینترنت و هر بخشی از یک اپلیکیشن که به یک شبکه‌ٔ کامپیوتری وصل می‌شود، می‌تواند به عنوان یک فرصت برای نفوذکنندگان تلقی شده و مورد سوء‌استفاده قرار گیرد. 

یک راه که می‌تواند به صورت فوق‌‌العاده بر این مشکلات غلبه کند استفاده از Gamification (بازی‌‌سازی) است. بازی‌سازی در حقیقت به خدمت گرفتن ابزار بازی (یا مفاهیم مربوط به بازی) برای اهدافی غیر از بازی و سرگرمی است. استفاده از مفاهیم مربوط به بازی‌ها از بسیاری جهات به ما کمک می‌کند تا پیچیدگی وظایف امنیت سایبری را از میان برداشته و انگیزه‌ای برای تلاش‌های جمعی در مسیر کنار آمدن با چالش‌های روز افزون آن ایجاد کنیم و این همان چیزی است که در ادامه مورد بررسی قرار خواهد گرفت که چگونه بازی و بازی‌سازی می‌تواند منجر به ارتقاء امنیت سایبری گردد.

افزایش آگاهی در میان کارمندان و مدیران 
خطای انسانی یکی از دلایل اصلی حوادث سایبری در سازمان‌ها و شرکت‌ها به حساب می‌آید. بسیاری از مخاطراتی که برای اطلاعات حساس سازمان‌ها پیش می‌آید در نتیجه‌ٔ ناآگاهی کارمندی رخ می‌دهد که یک بدافزار آلوده پیوست شده به یک ایمیل را باز می‌کند، بر روی لینکی به یک سایت مخرب کلیک می‌کند یا با بی‌دقتی، یک ویروس آلوده را به سمت دیگر کامپیوترهای شرکت می‌فرستد.

در هر صورت، آموزش کارمندان و مدیران دربارهٔ قوانین امنیتی چالش‌های خاص خود را ایجاد می‌کند. بسیاری از شرکت‌ها به این دلیل که در تأمین آموزش‌های مؤثر به کارکنان خود ناکام می‌مانند و نمی‌توانند تغییری در رفتار خطرآفرین آنها ایجاد کنند، قربانی حملات سایبری می‌شوند.

کارشناسان شرکت مشاوره بین‌المللی است PWC، معتقدند که گیمیفیکیشن (بازی‌سازی) می‌تواند نقشی مؤثر در اصلاح این شرایط داشته باشد. گیم Game of Threats (بازی تهدیدات) نرم‌افزاری است که با هدف آموزش اصول و مفاهیم امنیت سایبری به مدیران ارشد ساخته شده است. این نرم‌افزار از طریق ارائهٔ یک محیط بازی که در آن می‌توان امنیت سایبری در دنیای واقعی را شبیه‌‌سازی کرد، به آموزش‌ در این زمینه می‌پردازد.

شرکت‌کنندگان در این بازی می‌توانند نقش مهاجم یا مدافع در یک حمله‌ٔ سایبری را بازی کنند و با توانایی‌ها، تاکتیک‌ها، استعداد و ابزار خود بر علیه یکدیگر بجنگند. با این شبیه‌سازی، شرکت‌کنندگان اجازه می‌یابند هر دو سوی یک حمله‌ٔ سایبری را ببینند و در نتیجه واکنش بهتری در برابر تهدیدات امنیتی داشته باشند.

بهبود در اجرای اصول و قوانین امنیتی 
بسیاری از کارمندان حتی زمانی که به صورت کامل آموزش دیده‌اند، به نادیده‌ گرفتن قوانین و اصول امنیتی ادامه می‌دهند. این مسئله به ویژه زمانی که کارمند با فرا رسیدن مهلت مقرر برای انجام یک تَسک روبه‌رو می‌شود، بیشتر خود را نشان می‌دهد.

در واقع، مشکل آنجا است که قوانین امنیتی معمولاً دست و پا گیر تلقی می‌شوند؛ احتیاطی بیش از حد و بدون پاداش که می‌تواند به خاطر فشار مسائل دیگر نادیده گرفته شود. بی‌انگیزگی برای به دوش کشیدن سختی‌های رعایت مسائل امنیتی بهانه‌ای است برای کارمندان و مدیران تا با آغوش باز به استقبال حملات سایبری بروند.

شرکت امنیتی Digital Guardian که برای ارائه‌ٔ راهکارهای DPL مشهور است (راهکارهایی که به شرکت‌ها در امن نگاه داشتن داده‌هایشان کمک می‌کند)، ابزار و مفاهیم بازی‌ها را با معیارهای امنیتی ترکیب کرده است. راه‌کاری که این شرکت ارائه داده است تلاش می‌کند تا با استفاده از تجربه‌ٔ گرفتن پاداش در بازی، کارمندان را برای تعهد به برنامه‌های امنیتی در تمامی سطوح تشویق کرده و این‌گونه از سازمان آنها در برابر تهدید‌های امنیتی محافظت کند.

Data Defender (مدافع داده) عنوانی است که این شرکت برای خوب جلوه دادن مفهوم سنتی امنیت سایبری انتخاب کرده است که تنها بر شناسایی، گزارش و تنبیه رفتارهای ناایمن دلالت می‌کند. این شرکت امنیتی این‌گونه بیان می‌کند که علیرغم تنبیه رفتارهای نادرست در زمینهٔ امنیت سایبری، می‌توان با تشویق رفتارهای صحیح، انگیزه‌ٔ بیشتری برای رعایت پایدار و همیشگی قوانین امنیتی در کارمندان ایجاد کرد؛ انگیزه‌ای که می‌تواند باعث رعایت کردن قوانین امنیتی حتی در شرایطی باشد که کارمند تحت فشار عوامل دیگر مانند زمان قرار دارد.

کاربران این روش با هر بار تطبیق دادن فعالیت‌هایشان با شیوه‌های امنیتی و رعایت قوانینی که به امنیت سایبری سازمان کمک می‌کند (مانند ارسال ایمیل بدون فراموش کردن سیاست‌های امنیتی یا استفاده از سرویس‌های ابری مورد تأیید شرکت) یک امتیاز کسب می‌کنند و در نتیجه جدول‌های رده‌بندی و امتیازدهی به کارمندان می‌تواند بر رقابت میان آنها بیفزاید. کاربران با رسیدن به نقاطی خاص، مثل ارسال ۱۰۰۰ ایمیل امن، نشان‌های مخصوصی دریافت می‌کنند و نهایتاً با جمع کردن امتیازات کافی می‌توانند برندهٔ جوایز این رقابت شوند.

یافتن و استخدام استعدادهای امنیت 
یکی از تحقیقات شرکت سیسکو نشان می‌دهد که دنیا با کمبود بیش از ۱ میلیون متخصص امنیت اطلاعات روبه‌رو است و این کمبود تا سال ۲۰۱۹ به ۱/۵ میلیون نفر خواهد رسید! در نتیجه‌ٔ چنین کمبودی، بسیاری از سازمان‌ها با صندلی‌های خالی در پست‌های حساس امنیتی روبه‌رو خواهند شد که به آسیب‌پذیری بیشتر آنها در برابر رخنه‌های اطلاعاتی خواهد انجامید.

سازمان غیرانتفاعی Cyber Security Challenge در بریتانیا با برگزاری سالیانه‌ٔ رقابت‌های بازی‌های کامپیوتری که شرکت در آنها برای همگان آزاد است، به یافتن و استخدام استعدادهای نوظهور این حوزه کمک می‌کند. در این رقابت، هر شرکت‌کننده می‌تواند با توانایی‌های خود به مقابله با تهدید‌های شبیه‌سازی شده بپردازد و شانس خود را برای اثبات توانایی‌هایش امتحان کند.

این سازمان از یک محیط بازی به نام CySphinx برای آزمودن و استخدام استعدادهای امنیت سایبری طراحی شده استفاده می‌کند. محیط سه‌بعدی این بازی بازیکنان را قادر به تعامل با یکدیگر می‌سازد و در این محیط، توانایی‌های مختلف شرکت‌کنندگان مانند توانایی‌های تکنیکی، کار تیمی، قدرت ارائه و برقراری ارتباط بررسی و ارزیابی می‌شود.

دور مقدماتی این رقابت‌ها به صورت آنلاین و از طریق یک پلتفرم اینترنتی برگزار می‌شود، اما دور نهایی به صورت حضوری انجام شده و به برندگان علاوه بر جوایز مسابقه، فرصت‌های شغلی در سازمان‌های دولتی و شرکت‌های بزرگ حوزهٔ تکنولوژی پیشنهاد می‌شود. این سازمان غیرانتفاعی فرصتی برای هر کس که تجربه‌ای در زمینهٔ برنامه‌نویسی و فناوری اطلاعات دارد فراهم می‌آورد تا شغل خود را به عنوان متخصص امنیت سایبری آغاز کند.

ریشه‌کن کردن آسیب‌پذیری در نرم‌افزار 
هر ساله نقاط آسیب‌پذیر در نرم‌افزارها باعث بروز موارد بسیاری در حوزهٔ نفوذ در اطلاعات می‌شود. مهم نیست که یک نرم‌افزار را چندبار در زمان ساخت تست کرده باشید، همیشه باگ‌ها (مشکلات و خطاهای موجود در نرم‌افزار) و شاید نقاط ضعف جدی وجود دارند که از چشم توسعه‌دهنده پنهان مانده و پس از انتشار پیدا خواهند شد!

برای اطمینان از کشف نقاط آسیب‌پذیر نرم‌افزار، قبل از سوء‌استفاده از آنها توسط خرابکارها، شرکت‌های بزرگ و سازمان‌های دولتی برنامه‌هایی با عنوان Bug Bounty برگزار می‌کنند. این برنامه‌ها به هکرهای اخلاق‌مدار (یا کلاه سفید) و همچنین محققین امنیتی اجازه می‌دهد در ازای یافتن باگ‌ها و نقاط ضعف امنیتی نرم‌افزار، جوایزی دریافت کنند. فیسبوک، گوگل و مایکروسافت از معروف‌ترین شرکت‌هایی هستند که برنامه‌های Bug Bounty برگزار می‌کنند و البته وزارت دفاع ایالات متحده نیز یکی از برگزارکنندگان این‌گونه برنامه‌ها است.

یکی از جذاب‌ترین برنامه‎‌های Bug Bounty متعلق به شرکت Uber است؛ جایی که محققین امنیت برای یافتن هر باگ بحرانی مربوط به امنیت تا ۱۰ هزار دلار پاداش دریافت می‌کنند. این برنامه شامل یک نقشه‌ٔ گنج است که به محققین برای یافتن راهشان در پلتفرم Uber و تمرکز بر پیدا کردن باگ‌ها در ناحیه‌های بحرانی و حساس نرم‌افزار کمک می‌کند. این برنامه همچنین به پژوهشگرانی که در دورهٔ زمانی مشخص بیش از ۴ باگ پیدا کنند، به پاس وفاداری آنها، جوایز دیگری نیز اهدا می‌کند تا با این وسیله آنها را به تعهد بیشتری برای تلاش فعالانه در برنامه تشویق کند.

به نظر شما به غیر از گیمیفیکیشن، از چه راه‌کار یا راه‌کارهای دیگری می‌توان برای پر نمودن خلاء آموزش مسائل امنیتی در سازمان‌ها، شرکت‌ها و ... استفاده نمود؟ نظرات، دیدگاه‌ها و تجربیات خود را با ما و سایر کاربران سکان آکادمی به اشتراک بگذارید.

منبع