شان کانوک در یادداشتی که موسسه بین المللی مطالعات راهبردی آن را منتشر کرد؛ نوشت: در 25 اکتبر، مجلس نمایندگان آمریکا خطر محصولات کاسپراسکای برای دولت فدرال را بررسی کردند. درخواست وزارت امنیت داخلی آمریکا از سازمان های فدرال برای حذف محصولات با برند کاسپراسکای از سیستم های کامپیوتری خود، و ظاهرا سوء استفاده عوامل دولتی اسرائیل و یا روسیه از شبکه های کاسپراسکای، احتمالا تحقیق و تفحص کنگره را درپی خواهد داشت. با این حال، بحث و بررسی مفصل در مورد مدیریت ریسک مربوط به سیستم های فن آوری اطلاعات (IT) در هر دو سوی آتلانتیک لازم است. دولت ها و شرکت هایی که محصولات یک فروشنده بی اعتبار را در لیست سیاه قرار می دهند، به جای مبارزه با بیماری با علائم مبارزه کرده و خطرات ذاتی محصولات سایبری را نادیده می گیرند.
من در ارائه شواهد خود در این جلسه، تاکید کردم که ویژگی های تکنیکی راه حل های نرم افزاری و سخت افزاری مورد استفاده در زیرساخت های حساس در بخش خصوصی و عمومی، باید مورد ارزیابی قرار گیرد. محصولات کاسپراسکای (همانند تعدادی از دیگر شرکت های تامین کننده تجهیزات امنیتی تجاری) برای کنترل کامل و از راه دور کلیه فعالیت های یک شبکه مشتری، طراحی و ارائه شده اند.
این واقعیت برای دولت ها و دیگر سازمان ها، دو پیامد مهم به همراه دارد:
- فروشندگان وسایل امنیتی سایبری به اندازه مشتریان به هزاران شبکه مشتری دسترسی دارند و در واقع اطلاعات سایبری را جمع آوری کرده و می توانند فرایندها را تجزیه و تحلیل کرده و نواقص را تشخیص دهند.
- این دسترسی آشکار به شبکه های مشتری، نیاز به افراد یا سازمان های سودجود برای معرفی روزنه های مخفی را برطرف ساخته و این محصولات را به روزنه هایی ایده آل برای جمع آوری اطلاعات تبدیل کرده است.
من همچنین در شواهد خود به این نکته مهم اشاره کردم که همکاری عمدی کاسپراسکای با سرویس های جاسوسی خارجی احتمالا ایده ای نادرست است و سازمان های اجرای قانون و ضد-جاسوسی یقینا مراقب چنین دسیسه هایی هستند. اما این مراقبت، از دیدگاه مدیریت ریسک اطلاعات، کافی نیست. اگر شخص ثالثی بتواند از این روزنه های تجاری نفوذ کند، دراین صورت، دسترسی طبیعی شرکت ارائه کننده خدمات [به اطلاعات مشتری] به طور غیرقابل انکاری مشتری را آسیب پذیر خواهد کرد.
علاوه بر این، رقبایی که از عزم راسخ و منابع کافی برخوردار هستند، به دنبال دست کاری در محصولات کاربردی فن آوری اطلاعات، صرفنظر از کشور تولید کننده این محصولات، خواهند بود. تحریم محصولات کاسپراسکای تنها مسیر فعالیت های سودجویانه را تغییر می دهد و این تهدید را از بین نخواهد برد. اعضای کنگره و بطور کلی دولت ها باید تهدید ناشی از هکرهای جنایتکار مورد حمایت دولت ها، از جمله روسیه، را جدی بگیرند.
اگر مسئولان ماهیت این عوامل تهدیدآمیز را درک نکنند، مقابله با این روش های تهدیدآمیز (نظیر حذف و تحریم محصولات کاسپراسکای) بلافاصله به بازی «زدن موش کور» تبدیل خواهد شد که حملات متعدد آنها همانند موش ها از روزنه ها سر بیرون می آورد. هیچ سیستم آی تی از امنیت کامل برخوردار نیست، بنابراین، دولت ها باید بر بهبود مقاومت سازمان های دولتی در برابر چالش های مداوم سایبری متمرکز شوند. این مقاومت، از یک طرف به دفاع بهینه در برابر نفوذ می پردازد و از طرف دیگر شامل اقدامات پشتیبانی کننده می شود تا عملیات در صورت نقص سیستم های اولیه، متوقف نشود.
0 Comments