امنیت اطلاعات، مهمترین چالش استارتاپها
استارتاپها را کسانی میسازند که ایدهی نابی در سر داشتهاند و میخواستند آن را هر چه سریعتر اجرایی کنند. در چنین مواردی، معمولاً سرمایه کم است و هزینهها بالا (توسعهی محصول، تبلیغ و بقیه ماجرا). استارتآپیهای نوظهور هنگام مدیریت اولویتها اغلب مسائل مربوط به امنیت اطلاعات را نادیده میگیرند. این مقاله به شما توضیح میدهد چرا چشمپوشی از جنبهی امنیت اطلاعات میتواند به استارتآپها آسیب بزند.
هرقدر استارتآپ آسیبپذیرتر باشد، کار هکر آسانتر میشود
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بسیاری از استارتآپها برای صرفهجویی در هزینهها بخش امنیتی را فاکتور میگیرند. عقیدهشان هم این است که چون شرکتی کوچک هستند و منابعشان نیز محدود است مجرمان سایبری رغبتی برای حمله نخواهند داشت. اما حقیقت این است که هر کسی و هر شرکتی میتواند خوراک خوبی برای یک جرم سایبری باشد. اول اینکه چون بسیاری از تهدیدات سایبری در مقیاسهای بزرگ صورت میگیرد، عاملین این تهدیدات اهدافی بزرگ در سر دارند و سعی میکنند تا آنجا که بشود افراد و شرکتها را قربانی کنند (به امید اینکه دستکم چند تای آنها برایشان فایده داشته باشند). دوم اینکه استارتآپهایی که معمولاً دیوارهی حفاظتیِ ضعیفی دارند طعمههای خوبی برای مجرمان سایبریاند.
درحالیکه سازمانها برخی اوقت ماهها وقت را صرف ریکاوریِ یک حملهی سایبری میکنند، یک شرکت کوچک ممکن است یک ماه هم دوام نیاورد. در سال 2014، اقدامات خصومتآمیز مجرمان سایبری منجر به بسته شدن استارتآپی به نام Code Spaces شد؛ میزبانی که برای مدیریت پروژهها مشترک ابزار ارائه میداد. مهاجمین به منابع ابری این شرکت دسترسی پیدا کردند و بخش قابلتوجهی از اطلاعات مشتریران را از بین بردند. صاحبان این سرویس تا آنجا که میشد اطلاعات ریستور کردند اما نهایتاً نتوانستند به راندمان اجرایی همیشگیِ خود بازگردند.
اشتباهاتی که ممکن است به قیمت از بین رفتن شرکتتان تمام شود
برای آنکه از استارتآپ خود نهایت حفاظت را بعمل آورید (با توجه به بودجهی محدودی که در اختیار دارید) بهتر است پیش از راهاندازی استارتآپ، یک مدل تهدیدی بسازید تا بدانید کدام ریسکها به حوزهی کسب و کار شما مربوط میشود. در ادامه با ما همراه شوید تا کمکتان کنیم بتوانید از برخی اشتباهات معمول که خیلی از کارآفرینان تازهکار مرتکب میشوند جلوگیری کنید.
عدم اطلاعات در مورد قوانین ذخیرهسازی و پردازش دادههای شخصی
بسیاری از دولتها سعی دارند امنیت شهروندان خود را حفظ کنند. اروپا که GDPR[1] را دارد. در آمریکا هم که قوانین به فراخور هر صنعت و ایالت تغییر میکنند. همهی این قوانین -صرفنظر از اینکه آنها را قبلاً خواندهاید یا نه- اعمال میشوند.
مجازات نقض چنین الزامات قانونیای ممکن است در هر جایی متفاوت باشد اما به طور کلی چشمپوشی از هر یک از این قوانین میتواند حسابی شما را به دردسر بیاندازد. در بدترین حالت ممکن مجبور خواهید بود عملیات استارتآپ خود را در حالت تعلیق نگه دارید تا هرگونه مغایرت با قوانین مربوطه از میان برداشته شود.
یک چیز مهمتر: برخیاوقات پوششدهی یک قانون میتواند بیش از حد انتظار شما گسترده باشد. برای مثال، GDPR روی اطلاعات تمامی شهروندان اروپایی اعمال میشود حتی آنهایی که از روسیه یا آمریکا هستند. بنابراین، بهترین سیاست این است که هم قوانین داخلی مورد بررسی قرار داده شود و هم مقررات و ضوابط مشتریان و شرکایتان.
حفاظت ضعیف از منابع ابری
بسیاری از استارتآپها به سرویسهای ابری عمومی مانند Amazon AWS یا Google Cloud متکیاند؛ اما همهی آنها هم برای چنین فضاهای ذخیرهای از تنظیمات امنیتی مناسبی استفاده نمیکنند. در بسیاری از موارد، کانتینرهای اطلاعات مشتری یا کدِ اپ وبی به غیر از یک مشت رمزعبور ضعیف با چیز دیگری محافظت نمیشوند. بدینترتیب اسناد و مدارک سازمانی خیلیراحتمیتوانند با لینکهای مستقیم مورد دسترسی قرار گرفته و برای موتورهای جستوجو نیز عیان باشند. در نتیجه، هر کسی میتواند به دادههای حیاتی دسترسی پیدا کند. برخیاوقات استارتآپها که مدام در تلاشند همهچیز را ساده نگه دارند، داکیومنتهای مهم را تا همیشه برای همگان در Google Docs قابل دسترسی میگذارند. دلیل این کار هم فقط این است که آنها یادشان میرود دسترسی به آنها را محدود کنند.
عدم آمادگی در برابر حملات DDoS
DDoS روشی کارامد برای از کار انداختن یک منبع داخلی است. چنین سرویسهایی روی دارکنت[2] بسیار مقرون به صرفه هستند و بنابراین هم رقبا و هم مجرمان سایبری (از چنین سرویسهایی برای پوشش اقدامات پیچیدهتر خود استفاده میکنند) میتوانند این هزینه را تقبل کنند.
در سال 2016، یک سرویس رمزارز e-wallet (کیف پول الکترونیکی) به نام Coinkite مجبور شد بسته شود زیرا مدام مورد حملات DDoS قرار میگرفت. به نقل از توسعهدهندگان از وقتی این سرویس راهاندازی شد یک لحظه روی آرامش را به خود ندیدند. نهایتاً بعد از کلی دست و پا زدن، این شرکت تسلیم شد و تمرکز خود را باری دیگر روی کیفپولهای سختافزاری گذاشت.
آگاهی پایین کارمندان
در هر کسب و کاری اغلب این افراد هستند که میزان آسیبپذیری را بالا میبرند. مهاجمین با استفاده از ترفندهای مهندسی اجتماعی خوب میدانند چطور به یک شبکهی سازمانی نفوذ کنند و یا اطلاعات محرمانه را از شرکت بیرون بکشند.
آگاهی پایین کارمندان میتواند این موضوع را برای شرکتهایی که نیروهایشان بیشتر دورکار هستند چالشبرانگیز کند: دیگر نمیتوان به سادگی روی اینکه کارمندان از کدام دستگاهها و کدام شبکهها برای موارد کاری استفاده میکنند نظارت داشت. بنابراین، خیلی مهم است که کارکنان سازمان نسبت به موارد امنیتی هشیار باشند.
چطور یک استارتآپ میتواند شناور باشد؟
برای اینکه از گزند خطرات و آسیبهای مجرمان سایبری مصون بمانید و همچنان فعالیت تجاری خود را ادامه دهید، هنگام طرحریزی برنامههای کسب و کارتان به موارد زیر توجه کنید:
بگردید ببینید کدام منابع بیشتر به محافظت نیاز دارد و در مراحل اولیه بهتر است از کدام ابزارهای امنیتی استفاده کنید. در حقیقت بسیاری از ابزارهای امنیتی چندان هم گران نیستند.
برای حفاظت از دستگاههای کاری و اکانتهایتان از رمزعبورهای قوی استفاده کنید. راهحل Kaspersky Small Office Security ما شامل بستهی Kaspersky Password Manager است که هم رمزعبورهایی قوی تولید میکند و هم آنها را در کانتینرهای رمزگذاریشدهای قرار میدهد. احراز هویت دوعاملی را نیز فراموش نکنید.... این ترفند خیلی به امنیت اطلاعات کمک میکند.
قوانین ذخیره اطلاعات هر کشوری که در آن قصد فعالیت سازمانی دارید به دقت مرور کنید و مطمئن شوید ذخیرهسازی اطلاعات شخصیتان و همچنین پردازش جریان کاری با این قوانین تطابق داشته باشد. در صورت امکان، در مورد چالشها و ضعفهای بازار مورد نظر با وکیلان متبحر مشورت کنید.
چشمتان را روی هرگونه سرویس امنیتی و نرمافزاری طرفسوم ببندید. سیستم محافظتی مشترکی که از آن استفاده میکنید تا چه حد محافظت میشود؟ آیا میزان شما مطمئن است؟ آیا هیچیک از این آسیبپذیریهای شناختهشده در آرشیو منبع بازی که استفاده میکنید وجود دارند؟
آگاهی امنیت سایبری کارمندان خود را بالا ببرید و آنها را به جستوجو در مورد سوژههای مورد نظر خود ترغیب کنید. اگر شرکت شما هیچ متخصص امنیت سایبری (در اختیار) ندارد، دستکم فردی را پیدا کنید که کمی علاقه داشته باشد متنهای وبلاگ ما را دنبال کند.
حفاظت زیرساختار کامپیوترها را فراموش نکنید. ما برای شکوفا شدن شرکتهای نوپا با بودجهی محدود راهحلی داریم که نظارت امنیتی روی ایستگاههای کار و سرورها را اتوماتیزه کرده و پرداختیهای آنلاین را ایمنتر خواهد نمود. بدینترتیب دیگر نیازی به مهارتهای مدیریتی هم نخواهد بود.
[1]مقررات عمومی حفاظت از داده اتحادیه اروپا
[2] Darknet
منبع: کسپرسکی آنلاین