کارشناس فناوری اطلاعات می گوید که ایالات متحده باید برای مقابله با امنیت سایبری گرما را افزایش دهد
امنیت سایبری به صنعتی تریلیون دلاری تبدیل شده است که هر ساله هزینه ها افزایش می یابد. اما به گفته یکی از کارشناسان صنعت فناوری اطلاعات، صرف پول بیشتر برای این مشکل رو به افزایش، پیشرفت کافی را به همراه نخواهد داشت. تنها یک تغییر اساسی در نحوه رویکرد ما به امنیت سایبری، شانسی برای جلوگیری از دسترسی هکرهای بالقوه به اطلاعات آنلاین دارد.
Walt Szablowski، بنیانگذار و رئیس اجرایی Eracent، شرکتی که نرمافزارهای خودکار و راهحلهای مدیریت دارایی فناوری اطلاعات را ارائه میدهد، اظهار میدارد که فقط یک معماری شبکه Zero Trust، که فرض میکند تمام ترافیک شبکه به طور بالقوه مخرب است و هر کاربر را ملزم به تأیید و احراز هویت میکند. تلاش برای دسترسی به داده ها یا سیستم های حساس
سابلوسکی در مصاحبه ای با دیزاین نیوز گفت: “ما هیچ چیزی را که آنها (هکرها) را وارد سیستم کند، متوقف نمی کنیم.” ما کاری را که باید انجام دهیم انجام نمی دهیم.»
مشکلات امنیت سایبری در همه جا فراگیر است، اما به دلیل حملات سایبری مانند نقض اطلاعات فدرال در سال 2020 که توسط دولت روسیه حمایت می شود، به نگرانی خاصی برای امنیت ملی تبدیل شده است. تشدید مسائل امنیت سایبری، پرزیدنت بایدن را مجبور کرد در سال 2021 یک فرمان اجرایی صادر کند که طراحی و اجرای معماریهای Zero Trust را الزامی میکند که دسترسی به دادههای حساس دولتی را به شدت تنظیم میکند.
این اصول Zero Trust به وضوح در دستورالعمل های موسسه ملی استاندارد و فناوری (NIST) بیان شده است. به گفته زابلوسکی، مشکل این است که نهادها آن را دنبال نمی کنند. NIST قدرت اجرای دستورالعمل ها و استانداردهای خود را ندارد.
فرمان اجرایی بایدن از دولت فدرال خواسته است تا خدمات ابری ایمن و معماری بدون اعتماد را اجرا کند و احراز هویت و رمزگذاری چند عاملی را در یک دوره زمانی خاص الزامی میکند.
این دستور همچنین استانداردهای امنیتی پایه را برای توسعه نرم افزارهای فروخته شده به دولت ایجاد می کند، از جمله اینکه توسعه دهندگان را ملزم می کند تا نرم افزار خود را بیشتر مشاهده کنند و داده های امنیتی را در دسترس عموم قرار دهند.
این دستور همچنین یک هیئت بررسی ایمنی سایبری به ریاست مشترک دولت و بخش خصوصی ایجاد میکند و این اختیار را دارد که پس از یک حادثه سایبری مهم برای تجزیه و تحلیل آنچه رخ داده و توصیههای ملموس برای بهبود امنیت سایبری تشکیل جلسه دهد. این تابلو از هیئت ملی ایمنی حمل و نقل الگوبرداری شده است که پس از تصادفات هواپیما و سایر حوادث مورد استفاده قرار می گیرد.
با توجه به این واقعیت که رویکرد مقابله با امنیت سایبری تا حد زیادی مجموعهای از تلاشهای ناهماهنگ بوده است، یک ماه پیش، دولت بایدن استراتژی ملی امنیت سایبری 35 صفحهای را منتشر کرد که در کنار سایر اقدامات، امنیت دستگاههای اینترنت اشیا (IoT) را بهبود میبخشد. گسترش برچسبهای امنیت سایبری اینترنت اشیا، سرمایهگذاری در سیستمهای مقاوم در برابر کوانتومی، توسعه نیروی کار سایبری قویتر، توسعه پلتفرمهای تقویتکننده حریم خصوصی و اتخاذ شیوههای امنیتی که با چارچوب موسسه ملی استاندارد و فناوری (NIST) همسو هستند.
سابلوسکی معتقد است که تنها اقدامات اساسی مانند آنچه در فرمان اجرایی بایدن در سال 2021 و استراتژی امنیت سایبری اخیراً منتشر شده است میتواند شروع به غلبه بر اینرسی کند که مدتها مشخصه رویکرد این کشور به امنیت سایبری بوده است.
مشکل اینجاست که هیچکس نمی خواهد مراحل طراحی و اجرای فرآیند اعتماد صفر را طی کند. شما باید تعیین کنید که چه کسی دسترسی دارد، آپلود را محدود کنید و فقط اجازه دانلود انتخابی اطلاعات را بدهید.”
در حالی که فرمان اجرایی بایدن از آژانسهای فدرال میخواهد تا به اهداف مشخصی از Zero Trust تا پایان سال مالی 2024 دست یابند، Szablowski اذعان میکند که اجرای این حکم کلیدی خواهد بود. “مشکل این است که هیچ کس نمی خواهد این روند را طی کند. شما باید اصرار داشته باشید که روند را دنبال کنید و برای عدم رعایت مجازات اعمال کنید.
زابلووسکی خاطرنشان کرد که نبود عواقب برای رویههای امنیت سایبری شکست خورده این موضوع را تشدید کرده است، زیرا صنعت کمبود کارگران ماهر امنیت سایبری را یکی از موانع در حل مسائل امنیت سایبری میداند.
او افزود: «مردم امنیت سایبری مورد تقاضا هستند. “هیچ کس اخراج نمی شود.”
با توجه به اینکه دولت در اجرای اقدامات امنیت سایبری پیشگام است، آیا صنایع خصوصی نیز تلاش های خود را برای اجرای اقداماتی مانند معماری های Zero Trust افزایش خواهند داد؟ سابلوسکی تا حدودی شک دارد.
«این در صنعت خصوصی اتفاق نخواهد افتاد. آنها این واقعیت را می دانند که هکرها در شبکه های آنها حضور دارند.
منبع: designnews
