باشگاه خبرنگاران جوان - سازمان‌ها در برابر تهدید‌های پیچیده و سیستماتیک سایبری آسیب‌پذیر هستند و تجربه‌های مختلف نشان می‌دهد که تمرکز بر پیشگیری دیگر کافی نیست و حتی پیشرفته‌ترین ابزار‌ها هم نمی‌توانند جلوی همه حملات را بگیرند. در این شرایط، تاب‌آوری سایبری به‌عنوان توانایی سازمان برای ادامه فعالیت و بازیابی سریع پس از حمله اهمیت پیدا می‌کند؛ رویکردی که از سطح فنی فراتر می‌رود و نیازمند رهبری قوی، فرهنگ سازمانی و فرآیند‌های مشخص است.

گزارش «قطب‌نمای تاب‌آوری سایبری ۲۰۲۵» توسط مجمع جهانی اقتصاد (WEF) با همکاری مرکز امنیت سایبری دانشگاه آکسفورد و با مشارکت بیش از ۴۰ سازمان بین‌المللی از صنایع مختلف تهیه شده است. هدف اصلی این گزارش ارائه چارچوبی عملی برای درک و بهبود تاب‌آوری سایبری در سازمان‌ها و دولت‌هاست.

تاب‌آوری سایبری چیست

تاب‌آوری سایبری (Cyber Resilience) به معنای توانایی یک سازمان برای کاهش تأثیر رویداد‌های سایبری بر اهداف اصلی و مأموریت‌های حیاتی خود است. این مفهوم بر این اصل استوار است که دستیابی به «امنیت مطلق» ناممکن است؛ بنابراین سازمان باید بپذیرد که حملات رخ خواهند داد و تمرکز خود را بر حداقل‌سازی اثرات، حفظ تداوم خدمات و بازیابی سریع قرار دهد.

باید توجه داشته تاب‌آوری سایبری از امنیت سایبری متفاوت است. امنیت سایبری سنتی تلاش برای پیشگیری از نفوذ، با تأکید بر ابزار‌ها و کنترل‌های فنی است، اما تاب‌آوری سایبری رویکردی جامع است که علاوه بر پیشگیری، بر پایداری سازمان پس از وقوع حمله تأکید دارد.

اصول کلیدی در تاب‌آوری سایبری

بر اساس یافته‌های خط مقدم، سازمان‌ها برای تقویت تاب‌آوری باید پنج اصل زیر را در نظر بگیرند:

پذیرش حتمی بودن حملات: نگاه واقع‌بینانه که رویداد‌های بزرگ رخ خواهند داد.

پیش‌بینی و برنامه‌ریزی: شناسایی سناریو‌های تهدید و آمادگی برای مواجهه با آنها.

ایجاد ظرفیت جذب و بازیابی: طراحی فرایند‌ها و سیستم‌هایی که بتوانند سریعاً به حالت عادی بازگردند.

یادگیری و سازگاری: تحلیل رویداد‌های گذشته، چه داخلی و چه در سایر صنایع، و تبدیل آنها به فرصت بهبود.

نگاه جامع به ریسک: توجه هم‌زمان به جنبه‌های فنی، سازمانی، حقوقی، فرهنگی و اکوسیستمی.

چارچوب «قطب‌نمای تاب‌آوری سایبری»

قطب‌نمای تاب‌آوری سایبری که توسط مجمع جهانی اقتصاد و دانشگاه آکسفورد طراحی شده است، به سازمان‌ها کمک می‌کند تا درک کنند تاب‌آوری سایبری تنها با ابزار‌های فنی حاصل نمی‌شود، بلکه نیازمند رویکردی چندلایه و جامع است. این چارچوب هفت حوزه کلیدی را مشخص می‌کند که در کنار یکدیگر مسیر دستیابی به تاب‌آوری پایدار را ترسیم می‌کنند.

رهبری

نخستین حوزه، نقش رهبری است. بدون تعهد مدیران ارشد، تاب‌آوری سایبری به سطحی عملیاتی و محدود باقی می‌ماند. رهبران سازمان باید دارایی‌های حیاتی را شناسایی و منابع لازم برای حفاظت از آنها را تأمین کنند. با این حال، یکی از چالش‌های اصلی، ترجمه مسائل فنی پیچیده به زبان قابل‌فهم برای مدیران غیرتخصصی است.

تجربه شرکت Mærsk پس از حمله NotPetya در سال ۲۰۱۷ نمونه‌ای روشن از اهمیت این موضوع است. این شرکت توانست با تبدیل ریسک‌های سایبری به مقادیر مالی ملموس، هیات‌مدیره را متقاعد کند تا سرمایه‌گذاری گسترده‌ای در امنیت و تاب‌آوری انجام دهد.

حکمرانی، ریسک و انطباق

دومین حوزه، حکمرانی و انطباق است. تاب‌آوری زمانی معنا پیدا می‌کند که ریسک سایبری به‌عنوان بخشی جدایی‌ناپذیر از ریسک‌های کلی کسب‌وکار دیده شود. بسیاری از سازمان‌ها هنوز مسئولیت این حوزه را صرفاً بر دوش CISO می‌گذارند، در حالی که مالکیت ریسک باید بین واحد‌های مختلف توزیع شود.

نمونه موفق در این زمینه شرکت Schneider Electric است که با طراحی «کنترل‌های داخلی کلیدی» ساختاری سه‌لایه ایجاد کرد: مسئولیت اولیه در کسب‌وکار، نظارت تخصصی در بخش امنیت، و حسابرسی مستقل. این مدل باعث شد مسئولیت‌پذیری روشن‌تر شود و تاب‌آوری سازمانی تقویت گردد.

کارکنان و فرهنگ

سومین حوزه به منابع انسانی و فرهنگ سازمانی مربوط است. هیچ فناوری پیشرفته‌ای بدون کارکنان آگاه و مسئول کارآمد نخواهد بود. ایجاد فرهنگ گزارش‌دهی بدون ترس، آموزش‌های هدفمند و پرورش استعداد‌های جدید، همگی از عناصر حیاتی هستند. مشکل بزرگ در این حوزه کمبود نیروی متخصص و تمرکز بیش از حد بر آموزش‌های عمومی است.

شرکت Engro در پاکستان با تمرین‌های شبیه‌سازی بحران توانست کارکنان بخش‌های مختلف از مدیریت ارشد تا روابط عمومی را درگیر کند و نقاط ضعف در ارتباط و تصمیم‌گیری را آشکار سازد. در اسپانیا، شرکت Repsol با ترکیب تمرین‌های واقعی و شبیه‌سازی حملات توانست سرعت واکنش کارکنان را بهبود بخشد و فرهنگ تاب‌آوری را در سراسر سازمان تقویت کند.

فرایند‌های کسب‌وکار

چهارمین حوزه مربوط به فرایند‌های کسب‌وکار است. تاب‌آوری واقعی زمانی شکل می‌گیرد که فرایند‌ها از ابتدا با فرض وقوع بحران طراحی شوند. این یعنی سازمان باید بتواند حتی در شرایط حمله، خدمات حیاتی خود را ادامه دهد. یکی از مشکلات این حوزه، تغییر اولویت‌ها در شرایط مختلف است؛ چیزی که امروز کم‌اهمیت تلقی می‌شود، ممکن است فردا حیاتی شود.

بانک UBS با درک همین واقعیت، فرایند‌های خود را به‌گونه‌ای بازطراحی کرد که حتی در صورت بروز حملات گسترده، داده‌های حیاتی در ذخیره‌ساز‌های ایزوله باقی بمانند و سرویس‌دهی به مشتریان دچار وقفه جدی نشود.

سیستم‌های فنی

پنجمین حوزه، سیستم‌های فنی است که قلب عملیات سایبری محسوب می‌شود. با این حال، نکته مهم این است که فناوری باید در خدمت اولویت‌های کسب‌وکار باشد، نه صرفاً نمایش ابزار‌های جدید. بسیاری از سازمان‌ها هنوز در اجرای اصول ابتدایی مانند احراز هویت چندمرحله‌ای یا پشتیبان‌گیری ایمن ضعف دارند.

نمونه‌ای آموزنده در این زمینه شرکت Splunk است که به‌جای انباشت ابزار‌های متعدد، بر کیفیت خروجی مرکز عملیات امنیتی تمرکز کرد و توانست زمان شناسایی تهدید‌های بحرانی را به کمتر از هفت دقیقه برساند. تجربه دیگر مربوط به Siemens Energy است که با ارائه خدمات شناسایی و پاسخ مدیریت‌شده به یک نیروگاه، سرعت تشخیص تهدید‌ها و توان پاسخگویی آن را افزایش داد.

مدیریت بحران

حتی بهترین سامانه‌های دفاعی نیز نمی‌توانند از همه حملات جلوگیری کنند؛ بنابراین سازمان باید آمادگی لازم برای واکنش سریع، مدیریت شفاف بحران و بازیابی عملیات را داشته باشد. این حوزه شامل تشکیل تیم‌های واکنش چندرشته‌ای، تدوین برنامه‌های از پیش آماده و طراحی پروتکل‌های تصمیم‌گیری است.

یکی از نمونه‌های برجسته در این زمینه شرکت Henkel است که با ایجاد «شبکه سبز» امکان بازیابی سریع عملیات را مستقل از سامانه‌های آلوده فراهم کرد. همچنین با استفاده از نسخه‌های پشتیبان تغییرناپذیر توانست در برابر حملات باج‌افزاری ایمنی بیشتری به دست آورد.

تعامل با اکوسیستم

هفتمین و آخرین حوزه، تعامل با اکوسیستم است. در دنیای به‌هم‌پیوسته امروز، هیچ سازمانی به‌تنهایی مقاوم نیست و ضعف یک تأمین‌کننده می‌تواند کل زنجیره را مختل کند. تعامل فعال با رقبا، مشتریان، دولت‌ها و مراکز اشتراک‌گذاری اطلاعات، از پیش‌شرط‌های تاب‌آوری محسوب می‌شود.

تجربه شورای تاب‌آوری کسب‌وکار (Business Resilience Council) در سال ۲۰۲۴ نمونه‌ای روشن است؛ این شورا توانست در کمتر از چند ساعت علت یک اختلال جهانی را شناسایی کرده و راهکار‌های مشترک ارائه دهد. در بنگلادش نیز مرکز BGD e-GOV CIRT با رصد حملات فیشینگ و اشتراک‌گذاری فوری اطلاعات توانست تاب‌آوری نهاد‌های دولتی و آموزشی را به‌طور چشمگیری افزایش دهد.

پیشنهاد‌های راهبردی

نخستین پیشنهاد این است که سازمان‌ها تاب‌آوری سایبری را از سطح فنی به سطح راهبردی ارتقا دهند. این یعنی موضوع امنیت و تاب‌آوری باید در دستور کار هیات‌مدیره و مدیران ارشد قرار گیرد و بخشی از برنامه‌ریزی کلان سازمان باشد.

پیشنهاد دوم به توسعه سرمایه انسانی و فرهنگ سازمانی مربوط است. فناوری هرچقدر پیشرفته باشد، بدون کارکنانی آگاه و مسئول به نتیجه نمی‌رسد؛ بنابراین سازمان‌ها باید در کنار استخدام متخصصان، برنامه‌های آموزشی مداوم و تمرین‌های شبیه‌سازی بحران را جدی بگیرند.

پیشنهاد سوم بر همکاری و هم‌افزایی میان بازیگران مختلف تأکید دارد. هیچ سازمانی نمی‌تواند به‌تنهایی در برابر تهدید‌های پیچیده امروزی ایستادگی کند. ایجاد شبکه‌های اشتراک‌گذاری اطلاعات، مشارکت در ابتکار‌های صنفی یا ملی و همکاری نزدیک با نهاد‌های نظارتی می‌تواند تاب‌آوری کل اکوسیستم را افزایش دهد.

جمع‌بندی

قطب‌نمای تاب‌آوری سایبری نشان می‌دهد که تاب‌آوری نه یک مفهوم صرفاً فنی، بلکه ترکیبی از رهبری، فرهنگ، ساختار، فرایند، فناوری و همکاری بین‌سازمانی است. تنها سازمان‌هایی که در همه این هفت حوزه سرمایه‌گذاری متوازن انجام دهند، می‌توانند در برابر تهدید‌های پیچیده دوام بیاورند و اعتماد ذی‌نفعان خود را حتی در شرایط بحرانی حفظ کنند.

منبع: وبسایت پیوست