ITanalyze

آسیه فروردین – با وجود صنعت امنیت سایبری چندمیلیارد دلاری جهانی، تهدید ناشی از فعالیت‌های مخرب سایبری، هم از سوی مجرمان و هم از سوی بازیگران دولتی، همچنان در حال افزایش است.

جن استرلی* و اریک گلدستین* از مدیران و متخصصان آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، در مجله «فارن افرز»، بر لزوم توجه، تعهد و مسوولیت‌پذیری شرکت‌های فناوری در حوزه تولید و ارایه محصولات فناورانه ایمن به مشتریان تاکید کرده‌اند.

این در حالی است که به اعتقاد آنها، امنیت سایبری در محصولات و خدمات فناوری به حاشیه رانده شده و بعضا منفعت جایگزین امنیت شده است. در این زمینه، تعامل دولت‌ها و صنایع، به‌ویژه بخش خصوصی از طریق اشتراک‌گذاری داده‌ها و تدوین قوانینی که به بستن محکم‌تر کمربند ایمنی سایبری به‌ویژه از سوی تولیدکنندگان و شرکت‌های فناوری می‌انجامد، از جمله راهکارهای ارزشمند برای ایجاد فضای سایبری امن‌تر‌ است.

در حالی که بسیاری از حوادث سایبری هرگز توسط قربانیان گزارش نمی‌شوند، گزارش بررسی‌های نقض داده‌های  Verizon 2022 نشان می‌دهد حملات باج‌افزاری در این سال، 13 درصد، یعنی بیش از مجموع پنج سال گذشته، افزایش یافته است. این نقض‌ها شامل حملاتی می‌شد که سلامت و ایمنی عمومی را تهدید می‌کرد؛ به‌گونه‌ای که چندین بیمارستان در سراسر ایالات متحده مجبور به لغو جراحی‌ بیماران شدند، زیرا سیستم آنها قفل شده بود.

در طول دهه گذشته، دشمنان ایالات متحده قابلیت‌های تهاجمی سایبری پیشرفته‌تری را توسعه داده‌اند.

در این زمینه، دیمیتری آلپروویچ، کارشناس امنیت سایبری می‌گوید: «ما مشکل سایبری نداریم. مشکل ما روسیه، چین، ایران و کره‌شمالی است. اگرچه تمرکز بر بازیگران مخرب، چه دولت- ملت‌ها و چه مجرمان مهم است اما نفوذهای سایبری به جای اینکه دلیلی برای آسیب‌پذیری مداوم فناوری آمریکا باشد، یک نشانه است؛ آنچه ایالات متحده با آن مواجه است، کمتر یک مشکل سایبری محسوب می‌سود و بیشتر یک مشکل فناوری و فرهنگ است.»

• امنیت سایبری در حاشیه
  در حال حاضر، انگیزه‌های توسعه و فروش فناوری، اهمیت ایمنی مشتری را تحت‌الشعاع قرار داده است؛ روندی که منحصر به صنایع نرم‌افزاری و سخت‌افزاری نیست، بلکه به دلیل فراگیر بودن این فناوری‌ها اثرات مخربی دارد.

از آنجایی که آمریکایی‌ها، فناوری را تقریبا در تمام جنبه‌های زندگی خود ادغام کرده‌اند، ناخواسته پذیرفته‌اند که غیرقابل دفاع بودن نرم‌افزارها و دستگاه‌های جدید با طراحی طبیعی است. آنها محصولاتی را می‌پذیرند که با ده‌ها، صدها یا حتی هزاران نقص به بازار عرضه می‌شوند. آنها می‌پذیرند که بار امنیت سایبری به‌طور نامتناسب بر دوش مصرف‌کنندگان و سازمان‌های کوچک قرار می‌گیرد که اغلب کمترین آگاهی از تهدید و کمترین توانایی را برای محافظت از خود دارند.

استفاده گسترده از فناوری‌های ناامن با رویه رایج در بسیاری سازمان‌ها و شرکت‌ها ترکیب می‌شود.

آنها امنیت سایبری را به متخصصان آی‌تی یا به یک افسر ارشد امنیت اطلاعات واگذار می‌کنند و این مسوولیت به آن‌ها داده می‌شود اما منابع، نفوذ یا مسوولیت‌پذیری برای اطمینان از اولویت‌بندی مناسب امنیت در برابر هزینه، عملکرد، سرعت در بازار و ویژگی‌های جدید، به آنها داده نمی‌شود.

وقتی امنیت سایبری به ‌جای یک ریسک اساسی در کسب‌وکار، به عنوان یک موضوع حاشیه‌ای درنظر گرفته می‌شود، سازمان‌ها انگیزه ندارند که بخشی از یک راه‌حل گسترده‌تر باشند. در نتیجه، قربانیان نفوذهای سایبری به ندرت اطلاعات مربوط به فعالیت های مخرب را با دولت یا سایر شرکت‌ها به اشتراک می‌گذارند. این کار به دشمنان اجازه می‌دهد تا از تکنیک‌های مشابه برای به خطر انداختن قربانیان بی‌شمار استفاده مجدد کنند.

آمریکایی‌ها به یک مدل جدید نیاز دارند؛ مدلی که می‌توانند با اطمینان از ایمنی و یکپارچگی فناوری که هر ساعت از روز استفاده می‌کنند، به آن اعتماد کنند. تحت این مدل جدید، امنیت سایبری در نهایت، برعهده مدیرعامل و هیئت‌مدیره خواهد بود. همکاری در این حوزه یک پیش‌نیاز برای حفظ خود است. چنین تغییر فرهنگی مستلزم این است که یک تهدید سایبری برای یک سازمان، تهدیدی برای همه سازمان‌هاست.

در این زمینه، کریس اینگلیس، مدیر ملی سایبری ایالات متحده ، سال گذشته در وزارت خارجه گفت: برای تحقق این هدف، انگیزه‌‌بخشی باید به سرمایه‌گذاری بلندمدت در ایمنی و انعطاف‌پذیری اکوسیستم فضای سایبری کمک کند و مسوولیت دفاع از اکوسیستم باید به نفع افرادی که تواناترین هستند و بهترین موقعیت را برای انجام این کار دارند، توزیع شود.

دولت می‌تواند با فعالیت‌هایی از قبیل شفاف‌سازی انتظارات مانند لزوم طراحی و ساخت فناوری با ایمنی بالا، به عنوان اولویت اصلی و حمایت از اینکه امنیت سایبری یک ریسک تجاری در سطح مدیران ارشد درنظر گرفته شود، شرکت‌ها را تشویق کند تا از این موضوع پیروی نمایند.

همچنین دولت باید با ایجاد فرصت‌هایی برای نهادها به منظور اشتراک‌گذاری اطلاعات تهدیدات سایبری و پاسخگو بودن در حوزه شفافیت و ارزش افزوده، اطمینان دهد با چارچوب‌های نظارتی، راه را هموار می‌کند و از این طریق، شرکت‌ها را به تبعیت از اهمیت امنیت سایبری ترغیب کند.

مسوولیت‌پذیری تولیدکنندگان فناوری
آژانس امنیت سایبری و امنیت زیرساخت (CISA) که توسط کنگره ایالات متحده در سال 2018 برای ارایه سرویس به عنوان آژانس دفاع سایبری این کشور تاسیس شد، بر این اهداف متمرکز است اما دولت نمی‌تواند مشکل را حل کند. تولیدکنندگان فناوری باید مسوولیت نتایج ایمنی مشتریان خود را به عنوان یک موضوع اساسی بپذیرند. در غیر این صورت، زیرساخت‌های حیاتی ایالات متحده، جوامع و شیوه زندگی آن، در معرض خطر غیرقابل دفاع، باقی خواهند ماند.

این اولین بار نیست که صنعت آمریکا، ایمنی را به یک نگرانی ثانویه تبدیل می‌کند. در نیمه اول قرن بیستم، عقل عرفی معتقد بود تصادفات اتومبیل تقصیر رانندگان بد است. به طور مشابه، امروز نیز اگر شرکتی دچار نقض امنیت سایبری شود، چنانچه آسیب‌پذیری شناخته‌شده‌ را اصلاح نکرده باشد، خود آن شرکت سرزنش می‌شود.

اما چنین رویکردی از این پرسش غفلت می‌کند که چرا فروشنده‌ای که این فناوری را تولید کرده، در وهله اول نیاز به انتشار تعداد زیادی وصله داشته یا چرا عدم اجرای وصله باعث می‌شود یک نقض مخرب رخ دهد؟

هر خودرویی که امروزه تولید می‌شود، دارای مجموعه‌ای از ویژگی‌های ایمنی استاندارد مانند کمربند ایمنی، کیسه هوا، ترمز ضدقفل و غیره است. هیچ‌کس به خرید خودرویی که کمربند ایمنی یا کیسه هوا نداشته باشد، فکر نمی‌کند. همچنین کسی برای نصب این عناصر اولیه امنیتی، هزینه اضافه نمی‌پردازد. با این حال، با این خودروها، مشتریان می‌توانند ببینند که آیا ویژگی‌های ایمنی مناسب در آن گنجانده شده یا خیر.

البته این موضوع درباره دستگاه‌ها یا نرم‌افزارهای ناامن صدق نمی‌کند. عواقب استفاده از فناوری ناایمن نیز بسیار دشوارتر است.  ممکن است در مناطقی، مدارس تعطیل شوند، زنجیره تامین مواد غذایی مختل شود یا مواد شیمیایی در کارخانه‌های تصفیه آب دستکاری شوند.

اندیشیدن به مسائل ایمنی آشکار در خودروها نیز به یک راه‌حل ساده منجر شد: اقدام دولت برای اجبار به اتخاذ تدابیر امنیتی خاص با نتایج بهتر، یک امر اثبات‌شده است. چه خودروها و چه بخش‌های دیگر، مانند هوانوردی یا دستگاه‌های پزشکی، برای وادار کردن مردم به تمرکز، بر نیاز به اقدامات ایمنی اضافی، مرحله بحرانی طی می‌کنند.

در حال حاضر، چنین بحران ایمنی در حوزه سایبری وجود دارد و اکنون زمان رسیدگی به آن است. مصرف‌کنندگان و کسب‌وکارها به طور یکسان انتظار دارند که خودروها و سایر محصولاتی را که از ارایه‌دهندگان معتبر خریداری می‌کنند، خطر آسیب را به همراه نداشته باشد. همین امر باید درباره محصولات فناوری نیز صادق باشد. این انتظار، مستلزم یک تغییر اساسی در مسوولیت است. ارایه‌دهندگان فناوری و توسعه‌دهندگان نرم‌افزار، باید مالکیت نتایج امنیتی مشتریان خود را برعهده بگیرند نه اینکه با هر محصول به‌گونه‌ای رفتار کنند که گویی حاوی یک هشدار ضمنی است.

• امنیت فناوری؛ از «پیش‌فرض» تا «طراحی»
  برای دستیابی به این هدف، هر ارایه‌دهنده فناوری باید با ایجاد محصولاتی شروع کند که هم «به‌طور پیش‌فرض» و هم «ایمن بر اساس طراحی» باشند. این مفاهیم، مرتبط اما متمایز هستند. محصولات ایمن به‌طور پیش‌فرض دارای ویژگی‌های امنیتی قوی، در زمان خرید بدون هزینه‌های اضافی هستند مانند کمربند ایمنی و کیسه هوا. امنیت قوی باید دارای یک ویژگی استاندارد برای هر محصول فناوری باشد؛ به‌ویژه آنهایی که زیرساخت‌های حیاتی مانند انرژی، آب، حمل‌ونقل، ارتباطات و خدمات اضطراری را تشکیل می‌دهند.

ویژگی‌های امنیت قوی به‌طور پیش‌فرض در طول زمان تکامل می‌یابند اما حداقل، فروشندگان نرم‌افزار باید ویژگی‌هایی را در قیمت‌گذاری اولیه خود بگنجانند که هویت کاربر را ایمن می‌کند، شواهدی از نفوذهای احتمالی جمع‌آوری می‌نماید و دسترسی به اطلاعات حساس را به جای گزینه‌های گران‌قیمت اضافه می‌کند.

تهدید سایبری برای یک سازمان، تهدیدی برای همه سازمان‌هاست. ایمنی در طراحی در فناوری بسیار مهم  است. انتظار این است که فناوری طراحی، ساخته، آزمایش و نگهداری شود تا به میزان قابل توجهی، تعداد عیوب قابل بهره‌برداری را قبل از معرفی به بازار برای استفاده گسترده کاهش دهد. دستیابی به این نتیجه، مستلزم تغییرات اساسی در نحوه تولید فناوری از جمله کد مورد استفاده برای توسعه نرم‌افزار است.

نقص‌ها اغلب در محصولات فناوری رخ می‌دهند، زیرا سازندگان برای عرضه آنها به مشتریان عجله دارند و اغلب بیشتر بر گسترش ویژگی‌ها تمرکز می‌کنند تا امنیت.

این امر نیز بار امنیت را بر دوش میلیون‌ها سازمان و کاربر نهایی قرار می‌دهد که کمترین آمادگی را برای مقابله با تهدیدات سایبری دارند.

ایجاد این تغییرات و متقاعد کردن شرکت‌ها برای ساخت و ارایه محصولات ایمن‌تر آسان نیست اما دولت ایالات متحده می‌تواند با تعریف ویژگی‌های خاص محصولات فناوری که به طور پیش‌فرض و از نظر طراحی، ایمن هستند، شروع کند.

آمریکا همچنین می‌تواند به شرکت‌هایی که به ایجاد ناامنی در بافت اقتصاد ایالات متحده ادامه می‌دهند، فراخوان هشدار بدهد و شرکت هایی را که در حال پیشرفت هستند، تشویق کند. تعدادی از ارایه‌دهندگان فناوری مانند گوگل، آمازون و Salesforce، در این مسیر حرکت می‌کنند. آنها به طور پیش‌فرض، اقدامات امنیتی قوی برای مشتریان خود ارایه می‌دهند و پیشرفت‌های نوآورانه را در زمینه امنیت از طریق طراحی ارایه می‌کنند. هر سازمانی باید از ارایه‌دهندگان فناوری‌اش درباره اینکه آیا شیوه‌های ایمنی قوی اتخاذ کرده‌اند، شفافیت را درخواست کند.

• امنیت مشتریان: یا تضمین یا هشدار!
  یکی از شیوه‌های تحت‌فشار قرار دادن شرکت‌های فناوری برای اتخاذ ایمنی، این است که هر سازمانی که فناوری را خریداری می‌کند، الزامات ایمنی را به ‌عنوان معیارهای اساسی و قابل درک، قبل از تهیه یا استفاده، لحاظ کند.

در راستای این هدف، دولت بایدن، گام‌های مهمی در جهت ایجاد الزامات امنیتی نرم‌افزار برای پیمانکاران فدرال برداشته است. دولت همچنین از توسعه و پذیرش داوطلبانه برچسب‌هایی حمایت می‌کند که به وضوح و به سادگی، اطلاعات امنیتی اولیه را برای دستگاه‌های مصرف‌کننده متصل به اینترنت، مانند نمایشگرهای کودک و وب‌کم‌ها ارایه می‌دهند. با توجه به این پیشرفت، آژانس‌های ایالات متحده ملزم به تحمیل الزامات سختگیرانه‌تر به‌صورت پیش‌فرض و ایمن به طراحی در فرایند تدارکات فدرال خواهند بود که به تغییرات سریع بازار به سمت ایجاد یک اکوسیستم فضای سایبری ایمن‌تر کمک می‌کند.

فرمان اجرایی امنیت سایبری جو بایدن، رییس جمهور ایالات متحده در سال 2021، این تلاش‌ها را نشان می‌دهد اما تغییر باید از همه زوایا رخ دهد: سازمان‌ها در سراسر بخش‌ها باید متعهد شوند که در هنگام خرید یا ارتقای فناوری، نیاز به اقدامات امنیتی قوی را مطرح کنند و ارایه‌دهندگان فناوری باید متعهد شوند که مسوولیت نتایج امنیتی را برعهده می‌گیرند.

هر ارایه‌دهنده فناوری باید به مشتریان خود تضمین دهد محصولاتش برای استفاده، ایمن هستند و در صورتی که این‌طور نیست به مشتریان هشدار دهد. چنین الزاماتی ممکن است برای شرکت‌های فناوری کوچک‌تر و تازه‌وارد به بازار، چالش‌هایی ایجاد کند.

برای اطمینان از اینکه شرکت‌های نوآور قادرند در محیطی که افزایش سرمایه‌گذاری امنیتی در آن امری عادی است، رشد کنند، توسعه شیوه‌های امنیتی قوی‌تر باید بر نتایج تمرکز داشته باشد تا صرفا بر الزامات دستوری. این امر به شرکت‌های جدید اجازه می‌دهد تا ایده‌های خلاقانه‌ای معرفی کنند؛ ایده‌ای که در آن امنیت به جای هزینه، تمایز مثبتی ایجاد می‌کند.

اگرچه انتقال به فناوری ایمن‌تر، یک تلاش بلندمدت است اما هر سازمانی، امروز می‌تواند اقداماتی را انجام دهد که امنیت سایبری خود را بهبود بخشد. اول از همه، در هر کسب‌وکاری، مسوولیت امنیت سایبری باید از بخش فناوری اطلاعات به هیئت‌مدیره، مدیرعامل و سطوح ارشد اجرایی ارتقا یابد. روندها در اینجا، دلگرم‌کننده هستند.

• بهبود درک مدیران دولتی: 79 درصد
  نظرسنجی انجمن ملی مدیران شرکت‌ها در سال‌های 2019 تا 2020، نشان می‌دهد درک 79 درصد هیئت‌مدیره و مدیران شرکت‌های دولتی از ریسک سایبری طی دو سال گذشته، به طور قابل توجهی بهبود یافته است.

با این حال، همین بررسی، بیانگر این است که تنها 64 درصد معتقد بودند درک هیئت مدیره آنها از ریسک سایبری به اندازه کافی قوی است که بتوانند نظارت موثری ارایه دهند. برای بهبود این آمار، سهامداران باید مدیران عامل و اعضای هیئت‌مدیره را شخصا مسوول مدیریت ریسک سایبری کنند. این، تا حد زیادی یک تغییر فرهنگی است. جایی که امنیت سایبری به عنوان یک موضوع مهم فناوری اطلاعات درنظر گرفته می‌شود، مسوولیت‌پذیری به عهده مدیر ارشد امنیت اطلاعات است.

زمانی که امنیت سایبری به عنوان یک ریسک تجاری اصلی درنظر گرفته شود، مالکیت آن در اختیار مدیرعامل و هیئت‌مدیره خواهد بود. در هر کسب‌وکاری، مسوولیت امنیت سایبری باید افزایش یابد.

اعضای هیئت‌مدیره، قدرت ویژه‌ای برای توسعه فرهنگ مسوولیت سایبری شرکتی دارند. آنها باید اطمینان حاصل کنند خودشان و سایر مدیران ارشد درباره خطرات سایبری به خوبی آموزش دیده‌اند، ملاحظات امنیت سایبری به طور مناسب در هر تصمیم کسب‌وکار و فناوری، اولویت‌بندی شده و تصمیمات مربوط به پذیرش ریسک سایبری، اغلب مورد بررسی و بازبینی قرار می‌گیرند.

آنها باید اطمینان حاصل کنند که ورودی‌های گزارش فعالیت‌های مخرب احتمالی به مدیریت ارشد خیلی بالا نیست؛ چیزی نزدیک به هیچ؛ البته همه موارد باید همراه با تلاش های نفوذی که موفق می‌شوند، گزارش شود.

آنها باید اطمینان حاصل کنند که امکان سرمایه‌گذاری‌های امنیتی بلندمدت کافی، برای رسیدگی به پیامدهای ایمنی فناوری قدیمی وجود دارد. مهم‌تر از همه اینکه اعضای هیئت‌مدیره باید ببینند افسران ارشد امنیت اطلاعات، از نفوذ و منابع لازم برای اتخاذ تصمیمات اساسی درباره امنیت سایبری برخوردارند یا خیر.

• منفعت یا امنیت؟
  تصمیمات برای اولویت منفعت بر امنیت باید شفاف‌سازی و با مالکیت آشکار مدیران عامل و هیئت‌مدیره اتخاذ شود. رویه مقصر دانستن افسر ارشد امنیت اطلاعات یا بخش فناوری اطلاعات به خاطر نقص‌های سازمانی باید پایان یابد. کلید پیشرفت مسوولیت سایبری شرکتی به عنوان یک موضوع حکمرانی خوب، توسعه مجموعه‌ای از شیوه‌های مشترک است که کسب‌وکارها می‌توانند از آن برای تعیین میزان قرار گرفتن در معرض خطر امنیت سایبری استفاده کنند.

چارچوب امنیت سایبری که توسط موسسه ملی استاندارد و فناوری ایجاد شده، نمونه‌ای برای ایجاد و توسعه برنامه امنیت سایبری یک شرکت است. با این حال، بسیاری از سازمان‌ها، به‌ویژه کسب‌وکارهای کوچک و متوسط که زنجیره‌های تامین نهادهای بزرگ‌تر را تشکیل می‌دهند، برآورده کردن این استانداردها را دشوار می‌دانند و اغلب، کمبود منابع را دلیل آن عنوان می‌کنند.

برای رفع این مشکل، اهداف عملکرد امنیت سایبری که توسط CISA در اواخر سال 2022 با مشارکت NIST منتشر شد، می‌تواند به کسب‌وکارها کمک کند تا تعیین کنند کدام اقدامات امنیتی برای کاهش ریسک، بیشتر موردنیاز است.

به ‌طور دلگرم‌کننده، آژانس‌های رتبه‌بندی شروع به ترکیب امنیت سایبری در مدل‌های خود برای ارزیابی اعتبار کرده‌اند؛ اقدامی که می‌تواند بیشتر از همیشه، الهام‌بخش شرکت‌ها برای پذیرش مسوولیت سایبری به عنوان یک موضوع حاکمیتی نهادی باشد.

• امنیت سایبری؛ تعامل دولت‌ها و صنایع
  امنیت سایبری پایدار همچنین نیازمند بازنگری در نحوه تعامل دولت‌ها و صنایع با یکدیگر است. هنگامی که اکثر شرکت‌ها یک نفوذ سایبری را تشخیص می‌دهند، اغلب پاسخ پیش‌فرض آنها این است: با وکلا تماس بگیرید، یک شرکت پاسخگویی به حوادث را در جریان بگذارید و اطلاعات را فقط تا حد نیاز به اشتراک بگذارید. آنها اغلب به دلیل ترس از مسوولیت نظارت و آسیب به اعتبار خود، از ارایه گزارش نفوذهای سایبری به دولت غفلت می‌کنند.

در دنیای بسیار متصل امروز، این، یک مسابقه به سمت نزول است.

ژنرال پل ناکاسون، رییس فرماندهی سایبری ایالات متحده، چند سال پیش درباره دکترین تعامل مداوم نوشت که در آن نیروهای ایالات متحده به صورت پیشگیرانه و مکرر، با دشمنان خارجی رقابت می‌کنند. از منظر تدافعی، دولت ایالات متحده باید به سمت وضعیت همکاری مداوم حرکت کند. چنین تغییر فرهنگی، مستلزم آن است که اشتراک‌گذاری به پاسخ پیش‌فرض تبدیل شود؛ جایی که اطلاعات مربوط به فعالیت‌های مخرب، از جمله نفوذ، برای منافع مشترک، ضروری فرض شده و فورا بین صنعت و دولت، به اشتراک گذاشته می‌شود. دولت و صنعت باید با انتظارات متقابل در حوزه شفافیت و ارزش، همکاری کنند؛ جایی که صنعت، نباید نگران تنبیه باشد.

در نهایت، تعاملات بین دولت و بخش خصوصی باید بدون اصطکاک باشد؛ به‌گونه‌ای‌ که همکاری بر حوزه مقیاس، پلتفرم‌های مشترک و تجزیه و تحلیل مبتنی بر داده‌ها تاکید دارد.

در سال 2021، کنگره برای پیشبرد این موقعیت، با ایجاد یک پلتفرم توسط دولت ایالات متحده برای برنامه‌ریزی و عملیات دفاع سایبری، دفتر «همکاری مشترک دفاع سایبری» (JCDC) را تاسیس کرد. هنوز روزهای آغازین فعالیت JCDC است اما از زمان ایجاد آن، برای اولین بار، دولت، بخش خصوصی و شرکای بین‌المللی ایالات متحده گرد هم آمدند تا برنامه‌های مشترک دفاع سایبری را توسعه دهند و امکان اشتراک‌گذاری اطلاعات در زمان واقعی درباره مسائل مربوط به واکنش ایالات متحده به تهاجم روسیه به اوکراین و تلاش‌ها برای کمک به حفاظت از انتخابات میان‌دوره‌ای 2022 را فراهم کنند.

در طول سال آینده، CISA به این تلاش‌ها شامل ایجاد انعطاف‌پذیری در برابر حملات باج‌افزار با هماهنگی کارگروه ضربت مشترک باج‌افزار و نهاد بین‌المللی مقابله با باج‌افزار ادامه می‌دهد و به علل ریشه‌ای حوادث که توسط هیئت بررسی ایمنی سایبری شناسایی شده، رسیدگی خواهد کرد.

همان‌طور که JCDC به تکامل خود ادامه می‌دهد، CISA و شرکای دولتی، تلاش می‌کنند تا پایان، توافق خود را در قالب شفاف بودن، پاسخگو بودن و ارزش افزوده حفظ کنند اما JCDC تنها در صورتی موفق خواهد شد که شرکای سراسر کشور، در بخش‌های مختلف اقتصاد، به آن بپیوندند.

• کمربند ایمنی سایبری
  حتی در شرایطی که اجتماع امنیت سایبری به منظور ایجاد رویکرد پایدار برای امنیت سایبری از طریق پذیرش گسترده فناوری ایمن، مسوولیت سایبری شرکتی و همکاری مداوم گام برمی‌دارد، باید همچنان به افراد و کسب‌وکارهای کوچک کمک کند تا از خود محافظت کنند و بدانند همه مسوولیت حفظ آن را دارند. همان‌طور که رانندگان همچنان مسوولیت رانندگی ایمن را با کمربند ایمنی و کیسه هوا برعهده دارند، یک محیط ایمن در فضای مجازی نیز باید دارای ویژگی‌های استاندارد باشد.

کریگ نیومارک اخیرا خواستار سرمایه‌گذاری متمرکز در «دفاع غیرنظامی سایبری» برای افزایش آگاهی عمومی از ایمنی آنلاین شده است.

در همین راستا، CISA در زمینه ایجاد امنیت سایبری در برنامه‌های درسی K-12 مشغول بوده است. کار با نهادهای «غنی از منظر هدف، فقیر از منظر سایبر»، مانند مشاغل کوچک، مدارس، تاسیسات آب، بیمارستان‌ها و دفاتر انتخابات محلی برای اطمینان از داشتن ابزارهای موردنیاز برای بهبود امنیت سایبری و رهبری یک کمپین ملی بهداشت سایبری، به همه آمریکایی‌ها، کمک می‌کند با انجام اقدامات ساده مانند تعیین احراز هویت چندعاملی در فضای آنلاین ایمن بمانند.

با این حال، هدف نهایی، بهبود چشمگیر ایمنی محصول است، بنابراین مشتریان فناوری به ندرت نیاز دارند سیستم‌های خود را به تنهایی ایمن کنند. اگرچه استفاده از برخی اقدامات ایمنی مانند کمربند ایمنی آسان خواهد شد اما بیشتر سازمان‌ها باید قبل از بستن کمربند ایمنی، محافظت شوند.

این سطح اولیه از امنیت با ‌مدل شکست‌خورده امروزی به دست نخواهد آمد. زمان رویکرد جدید فرا رسیده و اگر دولت و بخش خصوصی بتوانند اعتماد همدیگر را جلب و با یکدیگر همکاری کنند، فضای سایبری می‌تواند برای همه امن‌تر شود.

درباره نویسندگان
جن استرلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی است. وی پیش از این، رییس جهانی مرکز فیوژن امنیت سایبری در مورگان استنلی بود. او یک کهنه‌سرباز جنگ است که پس از فعالیت در زمینه اطلاعات و عملیات سایبری، از ارتش ایالات متحده بازنشسته شد.

اریک گلدستین، دستیار اجرایی امنیت سایبری در آژانس امنیت سایبری و امنیت زیرساخت است. وی پیش از این، رییس جهانی استراتژی، سیاست و مقررات امنیت سایبری در گلدمن ساکس و همکار مطالعات پیشرفته سایبری در مرکز مطالعات استراتژیک و بین‌الملل بوده است. (منبع: عصر ارتباط)