در این دوران جنگ سایبری بیسابقه، سازمانها باید از زندگی دیجیتال شخصی مدیران خود محافظت کنند تا خطر آسیب مستقیم یا جانبی شرکت را کاهش دهند.
تقریباً دو ماه از اولین حمله روسیه به اوکراین می گذرد. از آن زمان، جهان شاهد تراژدی ناگفتنی بوده است. در حالی که اموال آسیب دیده و ویران شده می تواند بازسازی شود و خواهد بود. مرگ و ناامیدی اوکراینی ها برای نسل های آینده اثری ماندگار در سراسر اروپا بر جای خواهد گذاشت.
به همان اندازه که جنگ فیزیکی وحشتناک بوده است، جنگ سایبری مورد انتظار به همان سرعتی که برخی از کارشناسان امنیت سایبری و امنیت ملی فکر می کردند تحقق نیافته است. در اوایل ماه مارس، مشاور کل سابق آژانس امنیت ملی و سرویس امنیت مرکزی، گلن اس. گرستل به گاردین گفت: «ما هنوز شاهد حملات کاملاً مخربی به زیرساختهای اوکراینی نیستیم که برخی پیشبینی میکردند.»
اما نشانه های جدیدی وجود دارد مبنی بر اینکه روسیه ممکن است به زودی تلاش کند تا جنگ سایبری خود را تشدید کند. دو هفته پیش، زیرساختهای فناوری اطلاعات اوکراین مورد حمله هکرهای روسی قرار گرفت. این اولین حمله بزرگ با پیامدهای واقعی از زمانی بود که روس ها بانک های اوکراینی را در اواسط فوریه هدف قرار دادند.
و به گفته فارین افرز، «همه شواهد موجود نشان میدهد که روسیه از یک کمپین سایبری هماهنگ برای ایجاد مزیت اولیه نیروهای خود در طول جنگ خود در اوکراین استفاده کرده است».
چشم انداز تهدید از حرفه ای به شخصی تغییر می کند
در حالی که میزان جاه طلبی های روسیه در زمینه جنگ دیجیتال ناشناخته باقی مانده است، بسیاری از جهان در حال آماده شدن برای اولین جنگ سایبری جهانی هستند.
در آمریکا، رئیس جمهور جو بایدن و آژانس امنیت زیرساخت های حیاتی DHS (CISA) همچنان به صدور هشدارهای امنیتی سایبری دقیق به آژانس ها و مشاغل ایالات متحده ادامه می دهند. اخیراً CISA به مدیران دارایی هشدار داده است که احتمال حملات سایبری روسیه به سازمانها و مشتریان آنها وجود دارد. بیمارستانها، بخش انرژی، و Fortune 1000s در هر صنعت نیز در مورد تهدیدات مستقیم و احتمال آسیبهای جانبی هشدار داده شدهاند.
یکی از بردارهای حمله که به طور قابل توجهی در هشدارهای دولتی و صنعتی وجود ندارد، زندگی دیجیتال شخصی مدیران است - C-Suite، اعضای هیئت مدیره و رهبران ارشد شرکت - با دسترسی مستقیم به اطلاعات مالی، اختصاصی و محرمانه.
اخیراً، مجرمان سایبری ماهر و دولتهای ملی به طور استراتژیک شروع به دور زدن کنترلهای امنیتی دولتی و سازمانی با حمله به آنچه که سازمانهای اطلاعاتی و تیمهای امنیتی نمیتوانند کنترل کنند: حریم خصوصی آنلاین، دستگاههای شخصی و شبکههای خانگی مدیران و خانوادههایشان را آغاز کردهاند.
آسیب پذیری ها در زندگی دیجیتال شخصی بسیار زیاد است
از آنجایی که امنیت سازمانی نمی تواند به زندگی شخصی گسترش یابد، آسیب پذیری های دستگاه شخصی و شبکه خانگی بسیار زیاد است و اغلب به راحتی قابل بهره برداری است.
به گفته BlackCloak، داده های داخلی، 87 درصد از دستگاه های شخصی مدیران فاقد هرگونه کنترل امنیت سایبری هستند و حداقل 27 درصد از دستگاه ها حاوی بدافزارهایی هستند که قبلاً کشف نشده بودند.
علاوه بر این، 75 درصد از دستگاههای شخصی به دلیل گم شدن یا پیکربندی نادرست تنظیمات حریم خصوصی دستگاه، اطلاعات درز میکنند، و 69 درصد از مدیران گذرواژههای شخصی و کاری را در وب تاریک در دسترس دارند.
این آسیبپذیریها، در میان سایر موارد، فضای سبزی را برای مجرمان سایبری و دولتهای ملی نشان میدهد تا با هک کردن مدیران در زندگی شخصیشان، سازمانها را نقض کنند تا متعاقباً به سمت سازمانهایی که هدف نهایی آنها هستند، حرکت کنند.
بر اساس مقاله ای در Bleeping Computer، ماه گذشته، گروه اطلاعاتی تهدید گوگل، عوامل تهدید چینی را شناسایی کرد که سعی در هک کردن حساب های شخصی جیمیل کارکنان دولت ایالات متحده داشتند.
از زندگی دیجیتال شخصی مدیران محافظت کنید، از سازمان محافظت کنید
باید دید که آیا روسیه جنگ سایبری خود را تشدید خواهد کرد و آیا تشدید تنش مستقیماً بر مشاغل و سازمان های دولتی ایالات متحده تأثیر می گذارد یا نه. صرف نظر از این، تیمهای امنیتی اکنون باید برای حملات جانبی که در زندگی دیجیتالی شخصی مدیران آنها ظاهر میشود، آماده شوند.
خوشبختانه، چندین محافظ وجود دارد که اگرچه سنگین هستند، اما تیم های امنیتی می توانند به رهبران شرکت کمک کنند تا در زندگی شخصی خود پیاده سازی کنند. این شامل:
- از احراز هویت چند عاملی اطمینان حاصل کنید در تمام دستگاهها، برنامهها و سیستمهای شخصی (از جمله خانواده) که به آن اجازه میدهند فعال است. CISO ها باید دسترسی به تمام سیستم های شرکتی را از هر دستگاهی که MFA در آن مستقر نیست مسدود کنند.
- درخواستهای انصراف را به تعداد زیادی کارگزار داده آنلاین ارسال کنید تا حد امکان، توانایی دشمنان برای به دست آوردن اطلاعات شخصی مورد نیاز برای راه اندازی حملات مهندسی اجتماعی و نیزه فیشینگ را محدود می کند.
- تنظیم خودکار به روز رسانی سیستم عامل و سیستم عامل در تمام دستگاه های شخصی؛ و امنیت شبکه خانگی را از طریق فایروال های روتر و رمزگذاری شبکه WiFi برای اطمینان از یکپارچگی ارتباطات پیاده سازی کنید.
- از تمام وسایل شخصی اطمینان حاصل کنیداز جمله موارد همسران و فرزندان، ضد بدافزار نصب و به روز شده است.
- امنیت وای فای را نصب کنید برای محافظت از شبکه های خانگی و فعال کردن بازدیدکنندگان خانگی برای اتصال به شبکه مهمان.
متأسفانه، چنین پادمانیها، در میان سایر موارد، میتوانند زمان و منابع مقدسی را برای پیادهسازی نیاز داشته باشند، بدون هیچ تضمینی مبنی بر اینکه افراد یا شرکت را ایمن و ایمن نگه میدارند. اما با ضربات شدیدتر و سختتر طبلهای جنگ سایبری، حفاظت از یک سازمان ممکن است شروع و به پایان برسد چقدر خوب می تواند از مدیران در زندگی دیجیتال شخصی آنها محافظت کند.