امنیت سایبری دریایی/ هیچ چیز، جای آزمایش را نمی‌گیرد.

به گزارش کارگروه امنیت سایبربان؛ از آنجایی که تنها زمان مورد حمله قرار گرفتن مهم است و نه خود آن، طبق چند نمونه اخیراً نشان داده شده، هیچ سازمانی از جمله سازمان‌های بین‌المللی، ادارات دولتی و یا شرکت‌های کوچک نمی‌تواند 100 درصد از حملات سایبری در امان باشد؛ بنابراین آمادگی در قالب آزمایش ساختار امنیت سایبری با استفاده از ابزارهای مختلف برای مقابله با حملات بالقوه، در کاهش خطرهای سایبری اهمیت دارد. بررسی‌های اندیشکده چتم‌هاوس انگلیس نشان داده است که این موضوع در بخش دریایی و هر بخش دیگری نیز صادق است؛ چراکه نتایج چنین حمله‌ای ممکن است از ضرر مالی گرفته تا فاجعه زیست‌محیطی و تلفات انسانی را در بر گیرد.

آزمایش، به عنوان یک فرآیند بازخوردی، به دو دلیل ضروری است. از تمرینات شبیه‌سازی در مقیاس کلان تا آزمایش نفوذ و تمرین‌های داخلی، هدف اولیه این است که نقص‌ها، آسیب‌پذیری‌ها و درهای پشتی احتمالی موجود در سامانه‌های تحت آزمایش را شناسایی کنیم. علاوه بر این، آزمایش به تعیین مؤثرترین اصول رفتاری در زمان وقوع حمله کمک می‌کند؛ به عبارت دیگر، این روش طرح مؤثر احتمالی را ایجاد می‌کند؛ به عبارت دیگر به توسعه یک طرح مؤثر احتیاطی کمک می‌کند.

اثرات حملات بدافزار پتیا به شرکت کشتیرانی مرسک مولر دانمارک در ماه ژوئن سال جاری نشان می‌دهد که وابستگی جامعه بین‌المللی دریایی به فضای مجازی به طور قابل ملاحظه‌ای افزایش یافته و بنابراین در معرض آسیب‌پذیری‌های جدید و محاسبه‌نشده‌ای قرار گرفته است. حمله پتیا به مرسک، هدفمند نبود اما با وجود این، مشکلات زیادی در چندین پایانه بندر این شرکت در سراسر جهان ایجاد کرد. این حمله غیرمستقیم منجر به زیان مالی به ارزش حدود 300 میلیون دلار شد. حال حساب کنید اگر حمله از نوع تهدید پیشرفته مستمر بود، مقیاس واقعی عواقب آن تا چه اندازه بود. به نظر می‌رسد فارغ از ادعای شرکت درباره میزان آمادگی آن برای مقابله با این گونه حملات، روند بازخورد آنها ناکارآمد بوده است. این غول حمل و نقل، قادر به احیای عملیات عادی در یک دوره زمانی محدود نبوده و نتوانسته ضرر و زیان مالی را در پایین‌ترین سطح حفظ کند.

مثال مناسب دیگری که درک ضعیف از مشکل را نشان می‌دهد، بحث در مورد این مسئله است که آیا ناو هواپیمابر نیروی دریایی سلطنتی انگلیس که تازه مأموریت خود را آغاز کرده بود، از ویندوز XP به عنوان بستر اصلی نرم‌افزاری خود استفاده می‌کند یا خیر. با توجه به آسیب‌پذیری اخیر این نرم‌افزار در جریان حمله WannaCry، این امر به طور بالقوه مشکل‌ساز خواهد بود. گمانه‌زنی‌های گسترده‌ای در مورد برنامه‌ریزی نیروی دریایی انگلیس صورت گرفته است، زیرا از واحدهای تازه به‌کارگیری شده انتظار می‌رود از نظر حفاظت نرم‌افزاری و سخت‌افزاری، با بهره‌گیری از فناوری پیشرفته که نفوذ بدان سخت است، از آمادگی مطلوبی برخوردار باشند. در هر حال، همان‌طور که وزارت دفاع انگلیس خاطرنشان کرد، باید به این نکته توجه داشت که در ناوهای جنگی تازه به‌کارگیری شده و به ویژه آنهایی که مدل اولیه محسوب می‌شوند، استفاده از نرم‌افزارهای تجاری در زمانی که در حال گذراندن آزمون‌های پذیرش بندر و پذیرش دریا هستند، امر رایجی است. در عوض، باید روی آزمایش سایبری مداوم بر روی نرم‌افزار جدیدی که در زمان عملیاتی شدن کامل هواپیمابر در سال 2023، بر روی سیستم‌عامل نصب خواهد شد، تمرکز کرد.

بدین منظور، با توجه به این که برنامه‌ریزی و اجرای این آزمون‌ها، به سطح بالایی از تخصص در حوزه امنیت سایبری نیاز دارد، شرکت‌ها باید این وظیفه را به شرکت‌های قابل اعتماد ثالث فناوری اطلاعات سپرده و اطمینان حاصل کنند که این شرکت با شرکتی که زیرساخت فناوری اطلاعات و چارچوب امنیت سایبری شرکت را طراحی کرده است، کاملاً متفاوت بوده و با آن ارتباطی ندارد. این ملاحظات به ویژه هنگامی که با بخش‌های دفاعی سروکار داریم، به دلیل خطرات امنیتی قابل توجهی که ممکن است شرکت در هنگام برون‌سپاری سیاست سایبری خود با آن روبه‌رو شود، اهمیت و حساسیت زیادی پیدا می‌کند.

رویه آزمایش، به منظور کاهش خطر مواجهه با حملات سایبری، باید جامع باشد و بر سه پایه اصلی موجود در هر سازمان تجاری و نظامی متمرکز شود: عامل انسانی، زیرساخت و رویه‌ها.

* شرکت‌های فعال در حوزه دریایی، از جمله آنهایی که در بخش دفاع کار می‌کنند، باید کارکنان خود را به گونه‌ای آموزش دهند که یک فرهنگ امنیت سایبری شکل بگیرد. چالش این است که این فرهنگ را مخصوصاً در دریا و زمانی که یک کشتی ممکن است برای طولانی‌مدت در مأموریت باشد، حفظ نمود. این زمانی است که آزمایش و آموزش به مرحله اجرا می‌رسد.

* آنها باید منابع را در نصب مناسب‌ترین تجهیزات امنیت سایبری برای زیرساخت سازمان، از نظر نرم‌افزار و سخت‌افزار سرمایه‌گذاری کنند؛ و این تجهیزات باید به طور دائم توسط کارشناسان داخلی و شخص ثالث مورد آزمایش قرار گیرد.

* رویه‌های معمول در فعالیت‌های روزمره سازمان- از جمله ارسال و دریافت ایمیل، نظارت بر حسگرها و تسلیحات یا استفاده از تراکنش‌های برخط مالی - باید روزبه‌روز به طور دوره‌ای مورد ارزیابی و تجدید نظر قرار گیرد تا انعطاف‌پذیری سایبری حفظ شود.

بخش دریایی که شامل کشتی‌های جنگی، گارد ساحلی، حمل و نقل تجاری و صنعت دریانوردی است، برتری خود را با سرمایه‌گذاری در حوزه تجهیزات و آموزش به دست آورده است. این بخش و شرکت‌های مرتبط با آن، در طول ساعت‌های متمادی آزمایش، رزمایش و تمرین در محیط استریل کشتی و یا در مقیاس گسترده‌ای از اعزام‌هایی با حضور چندین ائتلاف، دائماً در حال سرمایه‌گذاری زمان و منابع هستند تا از اشتباهات درس بگیرند. حفاظت از سازمان در برابر حملات سایبری و حفظ یک محیط کاری منعطف سایبری، هم در ساحل و هم در دریا، به رویکرد مشابهی نیاز دارد.