متخصص امنیت و فناوری‌های مالی

امنیت سایبری در کسب‌وکارهای دیجیتال به‌خصوص در فناوری‌های مالی (فین‌تک) و همچنین زیرساخت‌های حیاتی ملی، امروزه دیگر با نصب قوی‌ترین کنترل‌ها و تجهیزات امنیت سایبری برای محافظت از نفوذ هکرها از مبداء شبکه‌های غیرقابل اعتماد بیرونی، مانند اینترنت، محقق نمی‌شود.

دیگر حتی معماری امن نرم‌افزار و کدنویسی امن بدون باگ امنیتی هم کافی نیست، البته که لازم است؛ اما به‌نظرم دلیل این اتفاق سیر تحول حملات و تهدیدات امنیت سایبری از مدل‌های سوءاستفاده از نقاط آسیب‌پذیر فنی یا لایه شبکه و اینترنت به سوءاستفاده از جریان‌های کاری داخل سازمان یا دسترسی‌های سطح بالای کارکنان و افراد قابل اعتماد داخلی است. یعنی دقیقاً محدوده شبکه قابل اعتماد داخلی که حتی با قوی‌ترین کنترل‌های فنی و دیواره‌های آتش و… نیز قابل امن‌سازی نیستند.

چراکه این‌گونه تهدیدات منشأ در خطاهای انسانی نیز دارد، خطاهای کارمندان و کارکنان به‌خصوص در لایه کارکنان حوزه فنی و عملیات فناوری اطلاعات با سطوح دسترسی بالا به منابع و دارایی‌های کسب‌وکار شامل اطلاعات و داده‌های محرمانه که ممکن است خطای عمدی باشند یا خطای ناخواسته و غیرعمدی.

در هر دو حالت اما از تصور قابل اعتماد بودن کاربران و کارمندان داخل سازمان یا شرکای تجاری که سطوح دسترسی بالا دارند و منابع در اختیار آنها مانند کامپیوتر ایستگاه‌های کاری که عملیات حساس با آنها انجام می‌پذیرد سوءاستفاده می‌شود. البته که عامل یا همان عنصر اصلی تهدید ممکن است فرد یا گروه سازمان‌یافته‌ای از خارج سازمان یا حتی کشور دیگری باشند اما آنچه آنها را موفق به یک حمله یا خربکاری امنیتی سازمان‌یافته می‌کند همین بی‌توجهی به طراحی و استقرار لایه‌های دفاعی و عمیق در شبکه و منابع قابل اعتماد داخلی است.

لایه‌های دفاعی که لزوماً فنی یا نرم‌افزاری نیستند بلکه از منطقه قوی و امن در جریان‌های کاری و عملیات کسب‌وکار به‌ویژه در نقاط وابسته به منابع انسانی بهره خواهند برد. زمان زیادی از جنگ ۱۲روزه در ایران نگذشته است و دو واقعه تلخ حمله سایبری را به یاد داریم و هر دو به‌نوعی متوجه کسب‌وکارهای مالی و بانکی بودند. وقایع نام‌برده حملاتی با تصمیم‌گیری و پیاده‌سازی لحظه‌ای یا کوتاه‌مدت از طرف عوامل آنها نبودند، سازمان‌یافته بودند با سوء‌استفاده از نقاط ضعف در جریان‌های کاری و عملیاتی داخل سازمان و منابع قابل اعتماد داخلی و احتمالاً بی‌دقتی و خطای‌های انسانی البته غیرعمدی و ناخواسته. این حملات را ابزارهای مدرن ضد بدافزار و فایروال‌ها و سیستم‌های تشخیص نفوذ تحت شبکه و… به‌موقع تشخیص نمی‌دهند. مقابله با این تهدیدات نوظهور و پیچیده دیگر نه‌تنها به امنیت سایبری بلکه به «تاب‌آوری سایبری» نیاز دارد؛ به رویکردی سخت‌گیرانه با نام «Zero-Trust Environment» که یعنی در یک کسب‌وکار حیاتی، به هیچ‌کس و هیچ منبعی اعتماد نداریم حتی کارکنان و مدیران داخلی!

مدل «اعتماد صفر» به‌جای اینکه باور داشته باشد همه‌چیز پشت فایروال شبکه یا اینترنت امن است، فرض می‌کند که هر درخواستی از یک شبکه و مبداء کنترل‌نشده سرچشمه گرفته است و آن را تایید یا رد می‌کند.
صرف نظر از اینکه درخواست از کجا سرچشمه می‌گیرد یا به چه منبعی دسترسی پیدا می‌کند، مدل Zero Trust به ما می‌آموزد که «هرگز اعتماد نکنید، همیشه هر درخواست یا عملیاتی را تایید کنید». در چنین محیط‌های عملیاتی معمولاً از مدل‌های تایید عملیات یا یک درخواست به‌صورت چندمرحله‌ای یا چند‌وجهی و به‌اصطلاح مکانیسم‌های تایید و اعتبارسنجی M of N استفاده می‌شود؛ مثلاً الزام می‌شود برای انجام یک تراکنش یا عملیات حساس باید حداقل سه نفر از پنج نفر از اعضای یک تیم، درخواست مربوطه را از طریق ابزارهای امن مانند سازوکارهای رمزنگاری قوی، بررسی و تایید کنند تا آن عملیات با موفقیت انجام شود