بحران‌هایی که از درون شکل می‌گیرند، نه بیرون

در تحلیل حملات سایبری اخیر، معمولاً نگاه‌ها به‌سمت مهاجم خارجی، بدافزار پیچیده یا ضعف فنی زیرساخت‌ها می‌رود. اما تجربه من در بررسی رخدادهای امنیتی سازمان‌های بزرگ کشور نشان می‌دهد ریشه بسیاری از بحران‌ها در قالب یک حمله داخلی شکل می‌گیرد، حمله‌ای که یا ناشی از سوءنیت فردی است، یا حاصل مجموعه‌ای از بی‌نظمی‌های رفتاری، تصمیمات اشتباه مدیریتی و شکاف‌های ساختاری. به‌بیان صریح‌تر، بسیاری از بحران‌ها پیش از آنکه از سمت یک مهاجم خارجی آغاز شوند، مدت‌ها قبل در دل سازمان ما کاشته شده‌اند.

نخستین مساله، ضعف درک مدیریتی از امنیت است. بخش مهمی از مدیران ارشد و اعضای هیات‌مدیره هنوز اهمیت داده و امنیت را یک ریسک جدی برای تداوم کسب‌وکار به حساب نمی‌آورند. از نظر بسیاری، امنیت یعنی داشتنِ یک گواهی استاندارد، تهیه یک گزارش یا خرید یک ابزار جدید. در‌حالی‌که استانداردها، بدون درک معنای عملی و بدون ضمانت اجرایی، عملاً به یک پوسته کاغذی تبدیل شده‌اند. استانداردها و الزامات امنیتی وجود دارند، اما ضمانت اجرا ندارند و همین باعث شده شکاف‌ها سال‌ها باقی بمانند.

از طرف دیگر، بسیاری از سازمان‌ها نظارت موثر ندارند. ساختارهای کنترل دسترسی، سیاست تغییر، مدیریت وصله چابک، امن‌سازی مستمر، تفکیک نقش‌ها یا تدوین نشده یا صوری پیاده شده است. در نتیجه، بسیاری از حملات داخلی بدون نیاز به تکنیک‌های پیچیده رخ می‌دهند، کافی است فردی با دسترسی زیاد اما نظارت کم، تنها یک خطا یا یک اقدام عمدی انجام دهد، در چنین موقعیتی ابزارهای متعدد امنیتی عملاً کارایی محدودی دارند.

بازار نیروی انسانی نیز به معضل دیگری تبدیل شده است. از یک طرف افزایش متخصص‌نماها سطح کیفی اجرای پروژه‌ها را کاهش داده و از طرف دیگر، نیروهای متخصص واقعی چه تازه‌کار و چه باتجربه در غیاب مسیر رشد، محدودیت‌های محیطی، مهاجرت، تحریم و نبود ارتباط موثر با دانش جهانی، در چرخه‌ای از نارضایتی قرار گرفته‌اند.

مساله مهم‌تر فقدان شایسته‌سالاری و حقوق متناسب است. در کشوری که تورم بر زندگی افراد فشار وارد می‌کند، نمی‌توان انتظار داشت کارمندان سطح بالایی از تعهد و دقت از خود نشان دهند. این نارضایتی پنهان یکی از ریشه‌های کمتردیده‌شده تهدید داخلی است.

در سمت سازمان نیز مشکلات بنیادی دیده می‌شود: نبود برنامه‌های مدون آگاهی‌رسانی، نبود KPI برای اندازه‌گیری بلوغ امنیتی، برگزارنشدن مانورهای سایبری، فقدان گزارش‌های دوره‌ای شفاف و تصمیم‌گیری‌های کاملاً سلیقه‌ای. کمی راحت‌تر صحبت کنیم؛ بسیاری از کارفرمایان آگاهی کافی از امنیت ندارند و همین باعث می‌شود پروژه‌ها یا بی‌جهت پرهزینه شوند یا در نهایت ناقص و خطرناک اجرا شوند. پیمانکاران بی‌تعهد و کم‌دانش نیز در موارد زیادی خود به ریسکی جدی تبدیل شده‌اند.

در نهایت نباید اثر تحریم‌ها و قطع ارتباط با جریان دانش جهانی را نادیده گرفت. بسیاری از ابزارها، آپدیت‌ها و Best Practiceهای روز دنیا در دسترس نیستند یا دیر می‌رسند، درحالی‌که سرعت و پیچیدگی تهدیدات جهانی هر روز بیشتر می‌شود.

واقعیت این است که حمله داخلی نتیجه یک ضعف تکنیکی نیست بلکه ماحصل مجموعه‌ای از ضعف‌های رفتاری، ساختاری و مدیریتی است. تا زمانی که امنیت به یک تعهد سازمانی تبدیل نشود و سازوکار بازدارنده و پاسخگویی شفاف وجود نداشته باشد، بحران‌ها ادامه خواهند یافت، بحرانی که ریشه‌اش در خود ماست، نه در بیرون.

اگر حجم آسیب‌پذیری‌های موجود، میزان نشت اطلاعات سازمانی که در گروه‌های فضای مجازی، فضای وب‌سیاه (دارک وب) خریدوفروش و به‌صورت خصوصی به اشتراک گذاشته می‌شوند عمومی شوند، واقعیت فاجعه ملموس خواهد بود.