مرکز ملی امنیت سایبری (NCSC) و مرکز اعتماد دیجیتال (DTC)، با ارائه پنج اصل اساسیِ بازنگریشده که در پاسخ به استراتژی امنیت سایبری هلند برای سالهای ۲۰۲۸-۲۰۲۲ تدوین شدهاند، دیدگاه خود را برای یک هلند امن و تابآور از نظر دیجیتال برای همگان ارائه میدهند.
در توسعه این پنج اصل اساسی، نه تنها از دستورالعملهای موجود خودشان به عنوان نقطه شروع استفاده شده، بلکه دستورالعملهای سازمانهای دیگر مانند سرویس اطلاعات و امنیت عمومی (AIVD)، اداره ارشد اطلاعات دولت (CIO Rijk)، انجمن سایبرفیلیخ ندرلاند (Cyberveilig Nederland) و بازرسی ملی زیرساخت دیجیتال (RDI) نیز مد نظر قرار گرفتهاند. آنتونی درنت، مشاور امنیت سایبری در NCSC میگوید: «ما دستورالعملها و اصول مختلف را در کنار هم قرار داده و تحلیل کردهایم. بر اساس شباهتها و تفاوتها، مرتبطترین عناصر را انتخاب کرده و آنها را در یک مجموعه مشترک و با پشتوانه گسترده گرد هم آوردهایم.»
با معرفی این مجموعه یکپارچه و جامع از اصول اساسی، اکنون یک دستورالعمل واحد وجود دارد که برای تمام شرکتها و سازمانها در هلند قابل استفاده است. از نظر محتوایی، این مجموعه بهروز شده بر اساس دستورالعملهای موجود مانند NIST CSF و NIS2 بنا شده است.
کاربرد گسترده
برای بهرهبرداری بهینه از امکانات دیجیتالیسازی، تابآوری دیجیتال یک شرط مهم است. واقعیت این است که سازمانهای بزرگ و کوچک هر روز با تهدیدات دیجیتال دستوپنجه نرم میکنند. این تهدیدات میتوانند از یک نشت داده تا، برای مثال، از کار افتادن محیط تولیدی متغیر باشند. تأثیر این موارد میتواند بزرگ باشد؛ از آسیب به اعتبار گرفته تا به خطر افتادن تداوم کسبوکار.
بنابراین، سازمانها باید با کار بر روی تابآوری دیجیتال خود، در برابر این تهدیدات از خود دفاع کنند. پیش از این، DTC و NCSC هر کدام دستورالعملهای جداگانهای برای گروه هدف خود داشتند. دستورالعملهای DTC برای شرکتها و سازمانهای غیرحیاتی و دستورالعملهای NCSC برای دولت مرکزی و سازمانهای فعال در بخشهای حیاتی بود.
واضح و یکپارچه
ماتیس فان املسفورت، مدیر NCSC میگوید: «یک کارآفرین کوچک اغلب ابزارها و ریسکهای متفاوتی نسبت به یک سازمان حیاتی دارد، اما با این اصول اساسی، هر سازمانی یک مبنای واضح و یکپارچه از سوی دولت دریافت میکند. این اصول اساسی به گونهای تدوین شدهاند که هم کاربردی و هم به طور گسترده قابل استفاده باشند. آنها ابزارهای ملموسی را فراهم میکنند که به شرکتها و سازمانهای کوچک و بزرگ، حیاتی و غیرحیاتی، اجازه میدهد تا امنیت دیجیتال خود را بهبود بخشند.»
رویکرد پیشگیرانه (Proactive)
وبسایت NCSC علاوه بر مروری بر اصول اساسی، اطلاعات عمیقتری نیز ارائه میدهد. علاوه بر مشاورههای عملی، برگههای اطلاعاتی و ویدیوهایی نیز وجود دارند که ابزارهایی برای تابآوری دیجیتال فراهم میکنند. سخنگوی NCSC گفت: «ما این اصول را به طور پیشگیرانه نیز ترویج میکنیم. ما تماس منظمی با شرکتها و سازمانهای دولتی داریم و در مشاورههای خود مرتباً به این اصول اساسی بازمیگردیم.» در طول فرآیند توسعه، چندین نهاد دولتی و سازمان امنیت سایبری نیز در شکلگیری آن مشارکت داشتند.
بازخورد مثبت
بازخوردی که NCSC دریافت میکند عموماً مثبت است. «دلیل آن این است که اصول، ساده و واضح هستند، که به ارائه یک ابزار ملموس به سازمانها برای شروع کار با امنیت سایبری کمک میکند. البته انتقاداتی نیز وجود داشت. این انتقادات در این سوال نهفته است: کدام مشاوره زیربنایی را ارائه میدهید و کدام را نه؟ برای مثال، آیا بهروزرسانی نرمافزار همیشه ایده خوبی است یا باید به آن با رویکردی مبتنی بر ریسک نگاه کرد؟ و همچنین: دقیقاً کدام سطح از بلوغ، نقطه شروع این اصول است؟ ما در این مورد بحثهای زیادی داشتیم.»
پنج اصل اساسی :
اصول اساسی به شرح زیر است:
اصل اول: ریسکهای خود را شناسایی کنید
یک مدیریت کسبوکار خوب، به سطح مناسبی از تابآوری دیجیتال بستگی دارد. این بدان معناست که اطلاعات و سیستمهای اطلاعاتی به شیوهای محافظت شوند که با اهداف تجاری شما همخوانی داشته باشد. زمانی که مدیریت ریسک شما به درستی انجام شود، میدانید چه داراییهایی دارید، تهدیدها چه هستند و حاضر به پذیرش کدام ریسکها هستید. مدیریت ریسک خوب با یک تحلیل ریسک آغاز میشود که مشخص میکند کدام منافع باید محافظت شوند و فرصتهای رشد تابآوری کجا نهفته است. همچنین وابستگیهای (فنی) به تأمینکنندگان و ریسکهای مرتبط با آنها نیز میتواند شناسایی شود.
علاوه بر این، مهم است که مدیریت ریسک در فرهنگ شرکت نهادینه شود تا به یک فعالیت جداگانه یا یکباره تبدیل نشود، بلکه تحلیلهای ریسک به صورت دورهای انجام شوند و مشخص باشد که چه اقداماتی، در چه زمانی، توسط چه کسی انجام میشود و چه کسی مالک آن ریسک است.
در اکثر حوادث سایبری، یک انسان دخیل است.
اصل دوم: رفتار ایمن را ترویج دهید
در اکثر حوادث سایبری، یک انسان دخیل است. نمونههای شناختهشده شامل ایمیلهای فیشینگ یا رها کردن یک حافظه USB آلوده است. گاهی نیز کارمندان بدون دخالت مهاجم، به طور ناخواسته باعث نشت داده میشوند. بنابراین، ترویج رفتار ایمن برای رشد در تابآوری دیجیتال ضروری است. این کار میتواند از طریق آگاهسازی کارکنان از ریسکها و آموزش نحوه برخورد با حوادث انجام شود. راهحلهای فنی میتوانند در این زمینه کمککننده باشند. به فیلترهای هرزنامه برای شناسایی فیشینگ، یا ابزارهایی برای ساختن و ذخیره امن رمزهای عبور فکر کنید.
علاوه بر این، به یک فرهنگ گزارشدهی امن نیز توجه کنید. شناسایی به موقع یک حادثه اغلب حیاتی است. با آسانتر کردن گزارشدهی حوادث، تشویق فعالانه کارکنان به گزارش دادن، و پاداش دادن به گزارشدهندگان، موانع را کاهش داده و به یک فرهنگ گزارشدهی امن کمک میکنید.
اصل سوم: از سیستمها، برنامهها و دستگاهها محافظت کنید
نرمافزارها و تجهیزات کامپیوتری و شبکهای اغلب با تنظیمات پیشفرض عرضه میشوند. این تنظیمات معمولاً شامل قابلیتهایی بیشتر از نیاز یک سازمان هستند که به طور غیرضروری فضای بیشتری برای حمله به عاملان مخرب میدهد.
با محدود کردن سطح حمله (Attack Surface)، این احتمال را کاهش میدهید. این کار را با خاموش کردن یا محدود کردن تمام قابلیتها و درگاههای ارتباطی که برای دستیابی به اهداف تجاری ضروری نیستند، انجام میدهید.
علاوه بر این، بهروزرسانی به موقع سیستم و وصله کردن (Patching) سیستمها برای کاهش هرچه سریعتر آسیبپذیریها اهمیت دارد. میتوان از راهحلهای نظارت و تشخیص برای واکنش به موقع به حملات و محدود کردن خسارت استفاده کرد.
اصل چهارم: دسترسی را مدیریت کنید
ریسک حوادث و سوء استفاده را با دادن دسترسی به کارمندان و شرکا فقط به سیستمها و مکانهایی که برای انجام وظایفشان نیاز دارند، کاهش دهید. این محدودسازی دسترسی به زمان و اطلاعات، اصل حداقل امتیاز (Least Privilege) نامیده میشود. دسترسی باید به خوبی مدیریت شود (مدیریت هویت و دسترسی). این امر هم برای دسترسی منطقی و هم فیزیکی صدق میکند. دسترسی به حسابهای خدماتی، حسابهای ماشینی و حسابهای عملکردی نیز باید به آنچه ضروری است محدود شود.
اصل پنجم: برای حوادث آماده شوید
تمرین و آزمایش منظم طرحهای واکنش و بازیابی، بینشی در مورد عواقب و تابآوری پس از یک حادثه فراهم میکند. علاوه بر این، آموزش و تمرین دورهای پرسنل یک نکته قابل توجه است. آنها باید با وظایفی که در فرآیندهای تیم واکنش و بازیابی دارند، آشنا شوند، رویهها را درونی کرده و در اجرای کار خود تجربه عملی کسب کنند.