اگر بخواهیم واقع بین باشیم باید بپذیریم که همان قدری که تكنولوژي و تیم های فنی پیشرفت می کنند و موارد امنیتی روز به روز بیشتر و بهتر میشن، تیم های هک هم در کار خودشون پیشرفت می کنن. اول از همه باید بپذیریم که این اتفاق برای هر کسب و کاری ممکن هست رخ بده. همونطور که بزرگان حوزه تکنولوژی همچون گوگل و لینکدین و بقیه هم از دست اینجور حملات و آسیب ها در امان نبودن.
بنظر من هک تنها یک نوع از اتفاقات ناخوشایند برای یک کسب و کار آنلاین هست که می تونه اتفاق بیفته. اما بخاطر شناختی که در عامه به خاطر اسمش وجود داره خیلی بیشتر می تونه دیده بشه و سروصدا کنه و توجهات رو به خودش جلب کنه. بعنوان مثال بخوام بگم در کسب و کارهای فینتکی هم اشتباهات فاحش مالی و تراکنشی رخ می ده که اغلب هیچ کاربری حتی از اون مطلع نمیشه.
پس از هک اسنپ فود چالشی بود که اگر مدیر ارشد اسنپ بودم چه اقدامی می کردم. همون زمان نوشتم و الان می تونم به اشتراک بذارم
********/*******/*********
توجه: می دونم که از بیرون گود تماشا کردن و برنامه دادن چیزی هست که شاید پذیرفته نباشه و حتی من در موقعیت واقعی اگر باشم احتمال اینکه فعالیت هایی متفاوت از اون چیزی که الان در آرامش دارم می نویسم انجام بدم هست. پس بهتره اینجوری بهش نگاه کنیم که فقط دارم افکارم رو می نویسم.
********/*******/*********
معمولا زمانی که اولین بار چنین خبری را می شنویم، شوکه کننده ترین زمان در کل ماجرا است. هرکسی به نحوی دنبال این میره که ببینه چه چیزی می تونه متوجه بشه. افراد شروع به سرچ در اینترنت می کنند که ببینند سایت ها و رسانه های مختلف چه حرفی درباره این اتفاق زدن. احتمالا هم همه سراغ بچه های دواپس می رن و از اون ها می خوان که یه بررسی عمیق روی اتفاقات عجیب چند مدت گذشته داشته باشن. در این بین من به عنوان وی پی اسنپ یکسری نگرانی های شاید متفاوت نسبت به بچه های فنی و زیرساخت دارم که باید سراغ اون ها برم. نگرانی های کلیدی شامل:
همه ما میدونیم که یکی از مبناهای ارزش گذاری کسب و کارهای آنلاین، داده هایی است که در اختیار دارد. حال که این داده ها به خطر افتاده باید بتونیم به کاربرامون این اطمینان رو بدیم که متوجه داستان هستیم، در حال شناسایی مشکلات پیش آمده هستیم و همچنین داریم برای حفظ داده های اون ها عمل می کنیم و حاضریم هر کاری برای این موضوع انجام بدیم. اینجاست که به سراغ بچه های تیم روابط عمومی خواهم رفت و از نگرانی هام برای اون ها صحبت خواهم کرد. همچنین به اون ها اهمیت این داده ها و کارهای خطرناک و مشکل سازی که افراد نادرست می تونن با اون ها انجام بدن رو گوشزد می کنم و آماده ارائه یک بیانیه برای اطمینان خاطر بخشیدن به کاربران می شویم.
مرز بین موفقیت و ورشکست شدن یک کسب و کار آنلاین می تواند در اعتماد کاربرانش نهفته باشد. کافی است تا کاربرانی که تا به امروز از خدمات ما استفاده می کردند از امروز تصمیم بگیرند و دیگر از ما سرویس نگیرند. به همین راحتی وارد مسیر سقوط می شویم. البته در حالتی که واقعا جایگزینی داشته باشند. شاید مهم ترین اقدامی که می توانیم انجام دهیم این هست که به کاربرانمون اعلام کنیم که ما متوجه مشکل بوجود اومده هستیم و در حال رایزنی برای حل مشکل و پیشگری از به فروش رفتن اون هستیم.
البته یک نکته وجود داره و اون این هست که در بازاری که رقیبی وجود نداره این ریسک کمتر هست. چرا که کاربران چاره دیگه ای جز استفاده از خدمات اسنپ فود برای سفارش آنلاین غذا و … ندارند. از یک طرف هم همه کاربران اسنپ فود که از ماجرا مطلع نیستند و خبردار نشدند. پس عده بسیار زیادی همچنان در حال انجام کارهای عادی خود هستند. اینجا اون جایی هست که شاید اتفاق خاصی برای محصول من نمیفته اگر به موقع و شفاف عمل کنم. همین!
متاسفانه در ایران هیچ نهاد یا سازمانی که پیگیر حقوق کاربران در فضای آنلاین در حوزه داده باشد نداریم. پلیس فتا هست اما فعالیتش در پیدا کردن مجرمین یا خلافکاران در حوزه کلاهبرداری آنلاین هست. اگر همونطور که در اروپا و امریکا قوانین خاصی در این زمینه وجود داره، اگر ایران هم این قوانین وجود داشت هزینه زیادی بر من وارد می شد و پس از پرداخت هزینه ها هم بایستی از یکسری آزمون های جدید و …. گذر کنم تا دوباره بتونم به فعالیت خودم ادامه بدم. اما در ایران نداریم چنین چیزی و عملا هیچ به هیچ!
بلافاصله پس از اطلاع پیدا کردن از این اتفاق، تیم واکنش به حادثه خود را فعال می کنیم. این تیم متشکل از کارشناسانی در زمینه امنیت سایبری، زیرساخت، حقوقی و ارتباطات است. احتمالا یک هکتون جدی برگزار خواهیم کرد تا به طور دقیق متوجه اتفاق رخ داده شویم. همچنین به بررسی دیگر بخش ها می پردازیم تا دوباره سورپرایز نشویم.
یک ممیزی کامل برای شناسایی وسعت این اتفاق انجام خواهیم داد. ممیزی که به کمک آن ابعاد ماجرا دستمان بیاید. چرا که احتمال اینکه تیم هکر همه چیز را نگفته باشد وجود دارد. احتمال اینکه همچنان هم دسترسی داشته باشند وجود دارد. احتمال اینکه بخواهند دوباره ما را سورپرایز کنند وجود دارد. پس باید بصورت دقیق و با دقت بسیار زیاد به این اتفاق توجه کرد و متوجه جنبه های مختلف پیش آمده شد.
همانطور که کمی بالاتر درباره اهمیت داشتن شفافیت با کاربران خود صحبت کردم، قطعا یکی از کارهایی که انجام می دهم ایجاد این ارتباط شفاف با کاربران خواهد بود. چرا که شفافیت در حفظ اعتماد کاربران حیاتی است. بدون شک با همه این اوصاف همچنان افرادی خواهند بود که شروع به تخریب و زیر سوال بردن برند ما بکنند. اینجا کار تیم روابط عمومی سخت تر خواهد شد.
بدون شک تا قبل از این اتفاق، تیم امنیت زیرساخت ما بهترین و بیشترین تلاش خود برای ایجاد امنیت در محصول را انجام داده است. چرا که همیشه بحث امنیت داده ها در کسب و کاری در این ابعاد پررنگ و با اهمیت بوده است. اما به نظر می رسد که هنوز جای بهبود دارد. از این روی اقدامات امنیت سایبری خود را با اجرای لایههای اضافی حفاظت، رمزگذاری و کنترل دسترسی ها افزایش خواهیم داد. همچنین ممیزی های امنیتی منظم و تست نفوذ در فرآیندهای جاری ما باید نسبت به گذشته افزایش یابد.
تا اینجا که ما نتوانسته ایم داده های در اختیار خود را محافظت کنیم، اگر متوجه شویم که این داده ها به دست افراد نا اهل خود رسیده است، وظیفه خود می دانیم که با کاربران خود صحبت کنیم و آموزش های لازم برای جلوگیری از بوجود آمدن مشکل برای انها را منتشر می کنیم. حتما درباره حالت های مختلفی که ممکن است از داده های انها سو استفاده شود اطلاع رسانی می کنیم تا کسی در دام کلاهبرداری نیفتد. هرچند که این کار هزینه زیادی از نظر اعتبار برای ما خواهد داشت اما به عنوان وی پی اسنپ ل تمام تلاش خود را خواهم کرد تا این اتفاق رخ دهد.
اگر با استاندارد ISMS آشنا باشید می دانید که حتی در لایه کار با کامپیوترهای درون یک سازمان هم دخالت دارد. چه برسد به زمانی که خیلی از افراد به صورت ریموت در حال کار کردن بر روی پروژه هستند. جالب این هست که خیلی از هک ها بخاطر سهل انگاری های ساده ای که توسط افراد فنی و غیر فنی غیر مرتبط با بحث امنیت یک سیستم نرم افزاری اتفاق می افتد. پس قطعا یکی از کارهایی که سعی می کنم تا در فرایندهای کل سازمان اضافه کنم مباحث ساده و ابتدایی امنیتی می باشد. این مباحث ساده از طریق آموزش دادن افراد مختلف صورت می گیرد.
پیاده سازی سیستم های نظارت بر تهدید پیشگیرانه برای شناسایی و پاسخگویی به تهدیدات امنیتی بالقوه در زمان واقعی. این تغییر از اقدامات امنیتی واکنشی به اقدامات پیشگیرانه برای جلوتر ماندن از تهدیدات سایبری در حال انجام ضروری است. همین که گروه هکر توانسته این حجم زیاد از داده را منتقل کند، بدون اینکه ما حتی متوجه آن شویم نشان از ضعف در سیستم های مانیتورینگ و نظارت ما دارد.
همکاری نزدیکتر بین تیمهای مدیریت محصول، مهندسی و امنیتی را تقویت خواهم کرد. ایجاد یک مسئولیت مشترک برای امنیت که در کل چرخه عمر توسعه محصول ریشه دوانده باشد. احتمالا با برگزاری جلسات مدون ماهیانه موضوعات مختلف را با تیم های مختلف به هدف ارتقا امنیت پیگیری خواهم کرد.
از امروز به بعد به صورت مدون از تیم های امنیتی مختلف درخواست ممیزی خواهم داشت. همچنین با تیم های هکری کلاه سفید همکاری خواهم داشت (چه میشه اگه بشه) که به صورت منظم بررسی هایی روی فعالیت های ما داشته باشند و در صورت مشاهده رخنه های امنیتی ما را مطلع سازند. انجام این کار برای ما هزینه بسیار زیادی خواهد داشت اما قطعا بدون منفعت نخواهد بود.
طرح واکنش به حادثه خود را بر اساس درسهای آموخته شده از این اتفاق بهبود خواهم بخشید. سناریوهایی که به طور منظم تمرین می شوند و فرایندهای اصلاح شده، این اطمینان را ایجاد میکنند که تیم به خوبی برای رسیدگی مؤثر به هرگونه رویداد این چنینی در آینده آماده است.
به عنوان وی پی اسنپ ، پاسخ به نقص پایگاه داده مستلزم یک استراتژی چند وجهی است که شامل تقویت فنی، اصلاح فرآیند و تعهد به امنیت کاربر است. با انجام اقدامات قاطع، اجرای تغییرات در فرآیندها و اتخاذ رویکردی جامع، نه تنها به چالشهای فوری می پردازیم، بلکه اسنپ فود را به عنوان یک پلتفرم انعطاف پذیر و امن برای آینده هدایت خواهیم کرد.
توجه اول: این مطلب را من در آرامش کامل و به دور از استرس نوشته ام. پس ممکن است در فضای پر استرس دنیای واقعی همین کارها را هم نتوانم انجام دهم.
توجه دوم: این اولین باری نیست که هک اطلاعات کاربران در ایران و دنیا اتفاق افتاده است. برای هرکدام از دیگر کسب و کارهای اینترنتی نیز ممکن است اتفاق بیفتد. تا به امروز که تپ سی و اسنپ فود بود. شاید بعدی ها یکی از پلتفرم هایی باشد که خود ما درگیر فعالیت در آن هستیم. پس از الان که در فضای آرامش هستیم بحث امنیت را جدی بگیریم.
توجه سوم: تفاوت کسب و کاری که داده های کاربرانش براش اهمیت داره با اونی که نداره رو در تعامل اسنپ فود با گروه هکرا و همچنین شرکتی مثل تپسی با همین هکرها میشه متوجه شد.
