بهترین راهکار پس از حمله سایبری چیست؟ دوراهی باج

به گزارش پیوست، حمله سایبری و نشت اطلاعات سازمان‌ها در سال‌های اخیر و باج‌خواهی هکرها پس از آن به یکی از جدی‌ترین تهدیدات سازمان‌ها تبدیل شده است، در حالی که برخی کارشناسان حوزه امنیت، دادن باج به هکرها و حفظ امنیت داده‌های کاربران را بهترین راهکار پس از هک و نشت اطلاعات می‌دانند، برخی کارشناسان هم کاملا این عقیده را رد کرده و می‌گویند باج دادن نه تنها تضمینی برای افشا نکردن اطلاعات یا بازگشت داده‌ها نیست، بلکه ممکن است سازمان به عنوان یک هدف تکراری برای حملات آینده شناخته شود.

رسول لطفی آذر معاون فناوری اطلاعات بانک ملت در این باره می‌گوید: بحث هک دو مقوله دارد، یک مقوله این است که هکرها تهدید به قطع سرویس می‌کنند که در این مرحله وظایف تیم امنیتی متفاوت است و در وهله دوم پای نشر دیتا در میان است و هکرهایی که انگیزه‌های سیاسی ندارند، فقط باج می‌خواهند. مضاف بر اینکه قرارداد سازمان‌ها با پیمانکاران یا شرکت‌های امنیتی که سرویس‌های امنیتی ارائه می‌دهند باید کاملا سفت و سخت و قانونمندانه باشد تا ایجاد تعهد و احساس مسئولیت بیشتری در قبال داده‌های کاربران ایجاد شود.

دهبسته ادامه می‌دهد: اولویت این است که شرکت‌ها پس از هک به هکرها باج ندهند، اما زمانی که پای برند و اعتبار سازمان و از سویی داده‌های کاربران در میان است، نمی‌توان راجع به این موضوع به سادگی تصمیم گرفت. اما ضعف جدی قانون در این باره شرکت‌ها را به سمت رفتارهای سلیقه‌ای و عدم توجه کافی به داده‌های کاربران سوق داده است.

پوراعظم ادامه می‌دهد: پیش نویس قانون صیانت از داده‌ها تهیه شده است، اما همچنان به قانون تبدیل نشده است. اما وجه اشتراک شرکت‌های معتبر در جهان بحث پذیرش است، تمام دنیا بر این امر واقفند که امنیت امری صد در صدی نیست.

او ادامه می‌دهد: اما در ایران کمی بحث متفاوت است و امنیتی برخورد کردن با مسائل برخی برخوردها را تغییر داده است، ممکن است درباره شرکت‌هایی که داده‌های حاکمیتی در اختیار دارند حتی هیات مدیره با علنی کردن موضوع مشکلی نداشته باشند، اما نهادهای امنیتی این اجازه را ندهند اما همه اینها بسته به بلوغ شرکت‌ها دارد. در رابطه با دادن باج یا ندادن باج، ریسک این موضوع باید با میزان محرمانگی داده‌ها و طبقه‌بندی آنها، نوع باج‌گیری، ادعای باجگیر، هدف نفوذگران و تاثیر آن در کسب و کار مشخص شود، اما به هر حال شرکت‌ها باج بدهند یا ندهند، داده‌های کسب و کار، اطلاعات مشتریان و سایر داده ها در بلک مارکت هکرها موجود است و ممکن است در آینده از آن سواستفاده‌های دیگری شود و این تصمیم‌گیری به صدها مولفه بستگی دارد و نمی‌توان پاسخ قاطعانه‌ای به آن داد.

پنهان‌کاری راهکار نیست

فرشید فرح خواه متخصص امنیت هم درباره این موضوع توضیح می‌دهد:  در مواجهه با این نوع حملات سازمان باید در ابتدا، حساسیت داده‌های تهدیدشده و میزان آسیب به برند یا موقعیت قانونی را بررسی کند.در اکثر موارد، توصیه می‌شود که باج پرداخت نشود، چرا که نه تنها تضمینی برای افشا نکردن اطلاعات یا بازگشت داده‌ها وجود ندارد، بلکه ممکن است سازمان به عنوان یک هدف تکراری برای حملات آینده شناخته شود. برخی سازمان‌ها ممکن است نیاز به همکاری با شرکت‌های تخصصی در زمینه مذاکره با باج‌افزارها داشته باشند و در این مرحله، مشاوره با تیم حقوقی و متخصصان امنیت سایبری برای تصمیم‌گیری صحیح ضروری است.

او ادامه می‌دهد: اگر اطلاعات حساس افشا شود، برنامه‌ای برای مدیریت بحران باید تدوین شود تا تاثیرات منفی بر برند سازمان و روابط عمومی کاهش پیدا کند.

به گزارش پیوست، حمله سایبری و نشت اطلاعات سازمان‌ها در سال‌های اخیر و باج‌خواهی هکرها پس از آن به یکی از جدی‌ترین تهدیدات سازمان‌ها تبدیل شده است، در حالی که برخی کارشناسان حوزه امنیت، دادن باج به هکرها و حفظ امنیت داده‌های کاربران را بهترین راهکار پس از هک و نشت اطلاعات می‌دانند، برخی کارشناسان هم کاملا این عقیده را رد کرده و می‌گویند باج دادن نه تنها تضمینی برای افشا نکردن اطلاعات یا بازگشت داده‌ها نیست، بلکه ممکن است سازمان به عنوان یک هدف تکراری برای حملات آینده شناخته شود.

رسول لطفی آذر معاون فناوری اطلاعات بانک ملت در این باره می‌گوید: بحث هک دو مقوله دارد، یک مقوله این است که هکرها تهدید به قطع سرویس می‌کنند که در این مرحله وظایف تیم امنیتی متفاوت است و در وهله دوم پای نشر دیتا در میان است و هکرهایی که انگیزه‌های سیاسی ندارند، فقط باج می‌خواهند. قاعده در ایران این است که بابت تخلف پرداختی انجام نشود، اما در دنیا این روال مرسوم است و آن را به رسمیت شناخته‌اند.

لطفی آذر ادامه می‌‌دهد: واقعیت این است وقتی یک شرکت ضعف امنیتی دارد و داده‌‌های خوبی هم در اختیار دارد، بدیهی است که طعمه خوبی برای هکرها باشند. اگر هک برای بانک‌ها اتفاق بیفتد، صلاح بر این است که امنیت دیتای مشتریان را فراهم کرده و باج‌گیرها را متقاعد کنند، چون دیتای بانک‌ها بسیار متفاوت از سایر سازمان‌هاست.

باج راه حل نیست، تقاص اشتباه سازمان‌هاست

رویا دهبسته مدیرعامل باگدشت هم در این باره می‌گوید: راهکار ثابتی در شرکت‌ها وجود ندارد، سطح محرمانگی داده‌ها، اطلاعات حاکمیتی و بسیاری از فاکتورهای دیگر در رابطه با تصمیم‌گیری شرکت‌ها درباره باج دادن یا رسانه‌ای کردن خبر هک وجود دارد. طبیعتا نمی‌توان هک یک بانک، شرکت نظامی یا حاکمیتی را با یک شرکت خرده‌فروشی و ریتیل، برابر دانست. اما نکته مشترک مسئله اینجاست که شرکت‌ها باید از قبل برای چنین اتفاقاتی برنامه‌ریزی کرده باشند و دیتاهای خود را طبقه‌بندی کنند. مضاف بر اینکه قرارداد سازمان‌ها با پیمانکاران یا شرکت‌های امنیتی که سرویس‌های امنیتی ارائه می‌دهند باید کاملا سفت و سخت و قانونمندانه باشد تا ایجاد تعهد و احساس مسئولیت بیشتری در قبال داده‌های کاربران ایجاد شود.

دهبسته ادامه می‌دهد: اولویت این است که شرکت‌ها پس از هک به هکرها باج ندهند، اما زمانی که پای برند و اعتبار سازمان و از سویی داده‌های کاربران در میان است، نمی‌توان راجع به این موضوع به سادگی تصمیم گرفت. در واقع شرکت‌ها بهتر است قبل از هر چیز مسائل امنیتی خود را افزایش دهند تا دچار چنین بحران‌هایی نشوند.

حال خوب هکرها در خلا قانون

پویا پوراعظم متخصص امنیت و ریسک فناوری درباره دادن یا ندادن باج به هکرها، رسانه‌ای کردن یا نکردن خبر هک می‌گوید: این عکس‌العمل ارتباط مستقیم به قوانین و الزامات موجود در شرکت‌ها دارد. اما در واقع چیزی که در این نقطه می‌تواند تاثیرگذار باشد و مانع برخورد سلیقه‌ای شرکت‌ها در این باره شود، قانونی شبیه به قانون GDPR اروپا است که شرکت‌ها را پس از هک وادار به انجام اقدامات لازم و مشخص و همچنین پرداخت به جرائم سنگین می‌کند. اما ضعف جدی قانون در این باره شرکت‌ها را به سمت رفتارهای سلیقه‌ای و عدم توجه کافی به داده‌های کاربران سوق داده است.

پوراعظم ادامه می‌دهد: پیش نویس قانون صیانت از داده‌ها تهیه شده است، اما همچنان به قانون تبدیل نشده است. اما اگر بخواهم از بعد جهانی به موضوع نگاه کنم، مخفی‌کاری در هیچ مدلی در جهان در زمینه محافظت از داده‌ها و اطلاعات مشتریان و کاربران پذیرفته نیست و اولین قدم پس از هک و افشای داده‌ها، اطلاع‌رسانی شفاف توسط سازمان یا شرکت مورد حمله قرار گرفته به کاربران خود و انجام تغییرات لازم برای کاربران و یا پرداخت جرائم مالی در صورت ضرر مالی کاربران است.

پوراعظم در رابطه با باج‌خواهی هکرها هم توضیح می‌دهد: باج دادن یا ندادن وقتی پای امنیت داده‌های کاربران در میان باشد، انتخاب نیست، اجبار است و باید بهای آن را پرداخت کرد. این منطق که هکرها به هر حال اطلاعات را در اختیار خود دارند و از آن استفاده می‌کنند، رویکرد مناسبی نیست. منبع درآمد هکرهایی که باج‌خواهی می‌کنند، انگیزه‌های سیاسی نیست و اگر بیایند باج را بگیرند و پس از آن هم اطلاعات را بفروشند، برند خود را در بازار سیاه یا زیرزمینی خراب می‌کنند و نمی‌توانند مشتریان بعدی را طعمه قرار دهند. از این رو اگر سازمانی نتوانسته محافظ داده‌های کاربران خود باشد، حداقل باید بهای اشتباهات خود را بپردازد.

خبری از نظام پاسخگویی نیست

علیرضا قهرود دیگر متخصص حوزه امنیت سایبری هم در این باره می‌گوید: در اغلب شرکت‌های منسجم بین المللی این رویکرد از قبل مشخص شده و سیاست‌گذاری شده است که شرکت‌ها پس از هک شدن، نشت اطلاعات، باج خواهی سایبری( باج افزار)و موضوعات هم‌تراز چه عکس‌العملی از خود بروز دهند، این رخدادها در کارگروه‌های مشتمل از مدیریت ریسک کسب و کار(ERM)، مدیریت ارشد امنیت(CISO)، روابط عمومی (PR) و سایر مدیران مرتبط به موضوع تعیین شده است که شرکت‌ها چطور برخورد کنند. اما وجه اشتراک شرکت‌های معتبر در جهان بحث پذیرش است، تمام دنیا بر این امر واقفند که امنیت امری صد در صدی نیست.

او ادامه می‌دهد: اما در ایران کمی بحث متفاوت است و امنیتی برخورد کردن با مسائل برخی برخوردها را تغییر داده است، ممکن است درباره شرکت‌هایی که داده‌های حاکمیتی در اختیار دارند حتی هیات مدیره با علنی کردن موضوع مشکلی نداشته باشند، اما نهادهای امنیتی این اجازه را ندهند اما همه اینها بسته به بلوغ شرکت‌ها دارد. در رابطه با دادن باج یا ندادن باج، ریسک این موضوع باید با میزان محرمانگی داده‌ها و طبقه‌بندی آنها، نوع باج‌گیری، ادعای باجگیر، هدف نفوذگران و تاثیر آن در کسب و کار مشخص شود، اما به هر حال شرکت‌ها باج بدهند یا ندهند، داده‌های کسب و کار، اطلاعات مشتریان و سایر داده ها در بلک مارکت هکرها موجود است و ممکن است در آینده از آن سواستفاده‌های دیگری شود و این تصمیم‌گیری به صدها مولفه بستگی دارد و نمی‌توان پاسخ قاطعانه‌ای به آن داد.

پنهان‌کاری راهکار نیست

فرشید فرح خواه متخصص امنیت هم درباره این موضوع توضیح می‌دهد:  در مواجهه با این نوع حملات سازمان باید در ابتدا، حساسیت داده‌های تهدیدشده و میزان آسیب به برند یا موقعیت قانونی را بررسی کند.در اکثر موارد، توصیه می‌شود که باج پرداخت نشود، چرا که نه تنها تضمینی برای افشا نکردن اطلاعات یا بازگشت داده‌ها وجود ندارد، بلکه ممکن است سازمان به عنوان یک هدف تکراری برای حملات آینده شناخته شود.  برخی سازمان‌ها ممکن است نیاز به همکاری با شرکت‌های تخصصی در زمینه مذاکره با باج‌افزارها داشته باشند و در این مرحله، مشاوره با تیم حقوقی و متخصصان امنیت سایبری برای تصمیم‌گیری صحیح ضروری است.

او ادامه می‌دهد: اگر اطلاعات حساس افشا شود، برنامه‌ای برای مدیریت بحران باید تدوین شود تا تاثیرات منفی بر برند سازمان و روابط عمومی کاهش پیدا کند. انتشار جزئیات این نوع حملات با شرکای تجاری و همکاران مرتبط باید یکی از اولویت‌های اصلی سازمان قربانی باشد. چرا که اطلاعات سرقت شده ممکن است زمینه‌ساز حملات دیگری علیه سازمان‌های همکار شود. رویکرد پنهان‌کاری یا کتمان حادثه، نه تنها به اعتبار سازمان قربانی آسیب بیشتری وارد می‌کند، بلکه به مهاجمان فرصتی برای گسترش حملات به سایر بسترها خواهد داد.

صفا صفری هکر کلاه سفید اما نظر جالب توجهی در این باره دارد و به پیوست می‌گوید: هکرها قاعدتا داده‌هایی را که پس از مدت‌ها زمان و انرژی به دست آورده‌اند، پاک نمی‌کنند و از بین نمی‌برند. اما اگر هدفشان اقتصادی باشد و انگیزه‌های سیاسی نداشته باشند و باج بخواهند، بدیهی است که پس از دریافت باج، داده‌ها را نمی‌فروشند و اعتبار خود را خراب نمی‌کنند تا بازار آینده خود را از دست ندهند. اما این داده‌ها را نگه می‌دارند و ممکن است درصورت لزوم و همکاری‌های رفاقتی از آن به شکل محدود در مقاطع زمانی مختلف استفاده کنند.