امن‌سازی زیرساخت‌های فناوری اطلاعات در شرایط بحرانی و جنگی

زمان مطالعه : 12 دقیقه

در دنیای پر تغییر امروز، جایی که تهدیدات امنیتی هر لحظه در حال تکامل هستند، امنیت سایبری در شرایط بحرانی به یکی از حیاتی‌ترین جنبه‌های حفظ پایداری و تداوم فعالیت سازمان‌ها تبدیل شده است. آمادگی برای سناریوهای اضطراری، از حملات سایبری گسترده گرفته تا تهدیدات فیزیکی به زیرساخت‌ها، دیگر یک گزینه نیست، بلکه یک ضرورت مطلق است. وب‌سایت متخصص شو، در این مقاله جامع، راهنمایی‌های کلیدی را برای تقویت تاب‌آوری دیجیتال شما در دوران بحران ارائه می‌دهد.

این راهنما بر اقدامات فوری برای حفاظت فیزیکی، کنترل دقیق دسترسی‌ها، امن‌سازی شبکه، پشتیبان‌گیری موثر، پایش بی‌وقفه و آماده‌سازی نیروی انسانی تمرکز دارد. هدف اصلی، حفظ امنیت در شرایطی است که ممکن است ارتباطات محدود یا حتی قطع شوند، و تاکید بر جداسازی سیستم‌ها و کاهش وابستگی به اتصال به اینترنت است.

حفاظت فیزیکی و آماده‌سازی زیرساخت‌های حیاتی

حفاظت از تجهیزات و زیرساخت‌های فیزیکی در شرایط اضطراری، اولویتی بی‌چون و چراست. اقدامات زیر باید بی‌درنگ انجام شوند:

• جداسازی سیستم‌ها: تمامی سیستم‌های غیرضروری را به صورت فیزیکی از شبکه‌های بیرونی جدا کنید. کابل‌های شبکه را از آنها قطع کنید تا هیچ ارتباطی با خارج وجود نداشته باشد.
• جابجایی تجهیزات: تجهیزات حیاتی را به مکان‌های امن‌تر منتقل کنید؛ مکان‌هایی مانند زیرزمین‌ها، اتاق‌های داخلی بدون پنجره، یا پناهگاه‌ها. در صورت امکان، سرورهای بسیار مهم را به مراکز داده مقاوم در برابر انفجار منتقل نمایید.
• بررسی و آماده‌سازی زیرساخت‌های پشتیبان: اطمینان حاصل کنید که سیستم‌های برق اضطراری (UPS) کاملاً شارژ شده‌اند. ژنراتورهای اضطراری را آزمایش کرده و سوخت کافی برای حداقل ۷۲ ساعت کارکرد را ذخیره کنید. کابل‌های برق و شبکه اضافی را تهیه کرده و در مکانی امن نگهداری نمایید.
• مقاوم‌سازی و نظارت: تجهیزات مهم را در قفسه‌های ضد لرزش قرار دهید و سیستم‌های خنک‌کننده اضطراری را بررسی و آماده کنید. دوربین‌های مداربسته و سیستم‌های کنترل دسترسی فیزیکی را تقویت کنید و درب‌ها و پنجره‌های اتاق سرور را با مواد مقاوم، مستحکم نمایید.
• چندین مکان فیزیکی: برای تجهیزات حیاتی، حداقل دو مکان فیزیکی مجزا را در نظر بگیرید تا در صورت آسیب به یک مکان، امکان ارائه خدمات ضروری از مکان دیگر وجود داشته باشد.

اقدامات اضطراری در زمان برخورد پرتابه‌های انفجاری: به محض شنیدن صدای خطر، تمامی سیستم‌های حیاتی را به حالت ایمن (Safe Mode) ببرید. در صورت امکان، فوراً از سیستم‌های مهم پشتیبان تهیه کنید. برق اصلی را قطع کرده و به سیستم‌های UPS متکی شوید. تجهیزات قابل حمل را به پناهگاه منتقل کنید. پس از پایان حمله، محیط را از نظر خطرات ثانویه مانند آتش‌سوزی یا نشت گاز بررسی کنید و از ورود به ساختمان‌های آسیب‌دیده بدون تایید مسئولین ایمنی خودداری کنید. پس از تایید ایمنی، بررسی آسیب‌ها را آغاز کرده و سیستم‌ها را طبق اولویت‌بندی بازیابی کنید.

کنترل دقیق دسترسی‌های از راه دور

افزایش حملات سایبری در شرایط بحرانی، کنترل دقیق دسترسی‌های از راه دور را حیاتی می‌سازد. تمامی دسترسی‌های از راه دور غیرضروری باید قطع شده و دسترسی‌های ضروری تحت نظارت شدید قرار گیرند.

• غیرفعال‌سازی پروتکل‌ها: تمامی پروتکل‌های دسترسی از راه دور غیرضروری مانند RDP، SSH و VPN را غیرفعال کنید.
• تغییر پورت‌ها: درگاه‌های استاندارد دسترسی از راه دور (مانند پورت ۳۳۸۹ برای RDP و پورت ۲۲ برای SSH) را تغییر دهید.
• ایجاد لیست سفید IP: فقط برای دسترسی‌های از راه دور ضروری، لیست‌های سفید IP ایجاد کنید.
• محدودیت نشست و قفل خودکار: حداکثر زمان نشست (Session Timeout) را به ۱۵ دقیقه یا کمتر محدود کنید. سیستم قفل خودکار پس از چند تلاش ناموفق (مثلاً ۳ تلاش) را فعال کنید.
• بازبینی دسترسی‌ها و تاریخچه: تمامی دسترسی‌های فعال از راه دور را بررسی کرده و موارد مشکوک را قطع کنید. تاریخچه دسترسی‌های ۳۰ روز گذشته را بررسی کرده و الگوهای مشکوک را شناسایی کنید.
• مدیریت حساب‌های کاربری و نظارت: تمامی حساب‌های کاربری با دسترسی از راه دور را بازبینی و حساب‌های غیرضروری را غیرفعال کنید. برای دسترسی‌های ضروری، سیستم‌های Jump Box یا Bastion Host را راه‌اندازی کنید و ثبت کامل تمامی فعالیت‌های از راه دور (Screen Recording) را فعال نمایید.
• روند قطع دسترسی‌ها: ابتدا فهرستی از تمامی سرویس‌های دسترسی از راه دور فعال (RDP، VPN، SSH، وب‌کنسول‌ها) تهیه کنید. کاربران مجاز که نیاز به دسترسی از راه دور دارند را شناسایی و مستند کنید. حداقل ۲۴ ساعت قبل به کاربران اطلاع دهید که دسترسی‌ها محدود خواهد شد. سپس، تمامی درگاه‌های مرتبط با دسترسی از راه دور را در فایروال مسدود کرده و سرویس‌های دسترسی از راه دور را در سرورها و سیستم‌ها غیرفعال کنید. برای دسترسی‌های ضروری، یک سیستم VPN اختصاصی با احراز هویت چند مرحله‌ای راه‌اندازی کنید. تمامی نشست‌های فعال را قطع کنید و کاربران را مجبور به خروج نمایید. در نهایت، سیستم هشدار خودکار برای تلاش‌های دسترسی غیرمجاز راه‌اندازی کنید و لاگ‌های دسترسی را به صورت منظم (حداقل هر ۴ ساعت) بررسی کنید.

افزایش امنیت شبکه داخلی

در شرایط قطع کامل اینترنت، تمرکز اصلی باید بر امن‌سازی شبکه داخلی باشد تا از گسترش آلودگی‌های احتمالی جلوگیری شود.

• تقسیم‌بندی شبکه: شبکه را به بخش‌های مجزا (VLAN) تقسیم کرده و سیستم‌های حساس را در VLANهای جداگانه قرار دهید.
• فایروال داخلی و پورت‌ها: فایروال داخلی را بین بخش‌های مختلف شبکه با اصل حداقل دسترسی مورد نیاز فعال کنید. تمامی پورت‌های غیرضروری در سوییچ‌ها و روترها را غیرفعال کنید.
• سیستم‌های تشخیص نفوذ: سیستم‌های تشخیص نفوذ شبکه (NIDS) و سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS) داخلی را برای شناسایی فعالیت‌های مشکوک درون شبکه نصب کنید.
• غیرفعال‌سازی پروتکل‌های ناامن: پروتکل‌های ناامن مانند Telnet، FTP و HTTP را غیرفعال کنید و به جای آنها از HTTPS استفاده کنید.
• تقویت کنترل دسترسی لایه ۲: قابلیت MAC Filtering را در سوییچ‌ها فعال کنید تا فقط دستگاه‌های مجاز به شبکه متصل شوند. پروتکل ARP استاتیک را برای سیستم‌های حیاتی تنظیم کنید تا از حملات ARP Spoofing جلوگیری شود. قابلیت DHCP Snooping را فعال کنید تا از سرورهای DHCP جعلی جلوگیری شود.
• محدودسازی اشتراک فایل: سرویس‌های اشتراک فایل غیرضروری را غیرفعال کرده یا محدود به کاربران خاص نمایید. پروتکل‌های مسیریابی داخلی را با رمزنگاری تقویت کنید.
• نقشه‌برداری و پیکربندی شبکه: یک نقشه کامل از شبکه فعلی تهیه کرده و تمامی ارتباطات بین سیستم‌ها را مستند نمایید. سیستم‌ها را بر اساس سطح حساسیت و نوع کاربری دسته‌بندی کنید و سوییچ‌های شبکه را برای پشتیبانی از VLAN پیکربندی کنید.
• پیکربندی فایروال و پایش: قابلیت VLANهای جداگانه برای سرورها، سیستم‌های مدیریتی، کاربران عادی و سیستم‌های حیاتی ایجاد کنید. قوانین فایروال داخلی را تنظیم کنید تا فقط ترافیک ضروری بین VLANها مجاز باشد. اسکن پورت داخلی انجام دهید تا از بسته بودن پورت‌های غیرضروری اطمینان حاصل کنید. سیستم مانیتورینگ ترافیک داخلی نصب کنید و آستانه‌های هشدار را تنظیم نمایید.
• کنترل دسترسی شبکه (NAC): قابلیت Network Access Control (NAC) را فعال کنید تا فقط دستگاه‌های مجاز به شبکه متصل شوند. پیکربندی‌های سوییچ‌ها و روترها را ذخیره کرده و در مکان امن نگهداری کنید.
• تست نفوذ داخلی و بازبینی: تست نفوذ داخلی انجام دهید تا از اثربخشی اقدامات امنیتی اطمینان حاصل کنید. توصیه می‌شود در شرایط بحرانی از اصل امنیت در عمق استفاده شود و چندین لایه دفاعی برای شبکه داخلی در نظر گرفته شود. همچنین، حداقل هفته‌ای یک بار پیکربندی‌های امنیتی شبکه بازبینی شوند و قوانین محدودکننده‌تری اعمال گردد.

پشتیبان‌گیری اضطراری و آفلاین

در شرایط بحرانی، پشتیبان‌گیری منظم و نگهداری آفلاین داده‌ها می‌تواند تنها راه بازیابی سیستم‌ها پس از حملات سایبری یا آسیب‌های فیزیکی باشد. تمامی سازمان‌ها باید فرایند پشتیبان‌گیری اضطراری را با دقت و جدیت انجام دهند.

• نسخه‌های پشتیبان کامل و قاعده ۱-۲-۳: از تمامی سرورها و سیستم‌های حیاتی، نسخه پشتیبان کامل (Full Backup) تهیه کنید. داده‌های مهم را روی حداقل سه رسانه مختلف ذخیره کنید (اصل ۱-۲-۳). حداقل یک نسخه از پشتیبان‌ها را در مکان فیزیکی کاملاً جداگانه نگهداری کنید.
• پشتیبان‌گیری آفلاین و رمزنگاری: حداقل یک نسخه از پشتیبان‌ها را به صورت آفلاین (قطع از شبکه) نگهداری کنید. از رمزنگاری قوی (مانند AES-256) برای محافظت از فایل‌های پشتیبان استفاده کنید. کلیدهای رمزنگاری را در مکانی امن و جدا از پشتیبان‌ها نگهداری نمایید.
• تست بازیابی: صحت پشتیبان‌ها را با انجام تست بازیابی سریع بررسی کنید. پشتیبان تنظیمات تجهیزات شبکه (روترها، سوییچ‌ها، فایروال‌ها) را تهیه کنید.
• مستندسازی و زمان‌بندی: مستندات کامل پیکربندی‌های سیستم را به صورت کاغذی نگهداری کنید. برنامه زمان‌بندی پشتیبان‌گیری منظم (حداقل روزانه برای داده‌های حیاتی) تنظیم کنید.
• روند پشتیبان‌گیری: سیستم‌ها و داده‌های حیاتی را اولویت‌بندی کنید. نرم‌افزار پشتیبان‌گیری مناسب (ترجیحاً بومی و مورد تایید) را نصب و پیکربندی کنید. رسانه‌های پشتیبان‌گیری (هارد اکسترنال، درایوهای قابل حمل، نوارهای مغناطیسی، SSD) را آماده کنید. از سیستم‌عامل‌ها و نرم‌افزارهای پایه، تصویر کامل (Image) تهیه کنید. پایگاه‌های داده را به حالت سازگار درآورده و سپس پشتیبان بگیرید.
• برچسب‌گذاری و ذخیره‌سازی: برچسب‌گذاری دقیق روی رسانه‌های پشتیبان (نام سیستم، تاریخ، محتوا) انجام دهید. یک نسخه از پشتیبان‌ها را به مکان فیزیکی امن دیگر (ترجیحاً با فاصله حداقل ۵ کیلومتر) منتقل کنید و یک نسخه را در گاوصندوق ضد حریق و ضد انفجار نگهداری نمایید. فرایند بازیابی را آزمایش کنید تا از صحت پشتیبان‌ها و کارایی فرایند بازیابی اطمینان حاصل کنید.
• پشتیبان‌گیری روزانه و تست منظم: تهیه نسخه پشتیبان افزایشی (Incremental) از داده‌های حیاتی در پایان هر روز کاری و رمزگذاری فایل‌های پشتیبان و نگهداری کلیدها در مکانی امن و جداگانه از اهمیت بالایی برخوردار است. توصیه می‌شود در شرایط بحرانی، حداقل هر ۲۴ ساعت یک بار از سیستم‌های حیاتی پشتیبان کامل تهیه شود و این پشتیبان‌ها به صورت آفلاین نگهداری شوند. همچنین، باید فرایند بازیابی سریع را تمرین کرده و زمان مورد نیاز برای بازیابی هر سیستم را مستند نمایید.

پایش و شناسایی تهدید در زمان واقعی

در شرایط بحرانی و با فرض قطع کامل اینترنت، توانایی تشخیص سریع تهدیدات داخلی و فعالیت‌های مشکوک، دوچندان می‌شود. سیستم‌های پایش داخلی باید ۲۴ ساعته فعال بوده و توسط کارشناسان متخصص بررسی شوند.

• سیستم مدیریت رویدادها و اطلاعات امنیتی (SIEM): سیستم SIEM را نصب و پیکربندی کنید و لاگ‌های تمامی سیستم‌های حیاتی را به سرور لاگ مرکزی ارسال کنید. هشدارهای فوری برای فعالیت‌های مشکوک (مانند ورودهای غیرمعمول، تغییر فایل‌های سیستمی) تنظیم کنید.
• سیستم تشخیص نفوذ شبکه (NIDS) و آنتی‌ویروس : NIDS را در نقاط حساس شبکه نصب کنید. آنتی‌ویروس و سیستم تشخیص و پاسخ نهایی (EDR) نصب کنید.
• مانیتورینگ یکپارچگی فایل (FIM) و رفتار کاربران (UEBA): سیستم مانیتورینگ یکپارچگی فایل (FIM) را برای شناسایی تغییرات غیرمجاز راه‌اندازی کنید. آستانه‌های ترافیک شبکه داخلی را تعیین و هشدارهای مربوطه را تنظیم نمایید. سیستم تشخیص ناهنجاری‌های رفتاری کاربران (UEBA) را فعال کنید.
• مانیتورینگ منابع سیستم و هشدار سریع: مانیتورینگ استفاده از منابع سیستم (CPU، حافظه، دیسک) را برای شناسایی فعالیت‌های غیرعادی فعال کنید. سیستم هشدار سریع را برای اطلاع‌رسانی به تیم امنیتی (پیامک، پیام‌رسان داخلی) راه‌اندازی کنید.
• روند راه‌اندازی مانیتورینگ: یک سرور مرکزی مانیتورینگ در شبکه‌ای ایزوله‌شده راه‌اندازی کنید. ابزارهای مانیتورینگ بومی مورد تایید را نصب کنید. تمامی سیستم‌ها را برای ارسال لاگ به سرور مرکزی پیکربندی کنید. قوانین همبستگی رویدادها (Correlation Rules) را برای شناسایی الگوهای حمله تنظیم کنید. رخدادهای مهم امنیتی را اولویت‌بندی کرده و سطوح هشدار تعریف کنید.
• تیم پایش و گزارش‌دهی: کارشناسان مانیتورینگ را در شیفت‌های ۲۴ ساعته سازماندهی کنید. مسیر اسکالیشن (Escalation Path) برای رویدادهای مهم امنیتی تعریف کنید. داشبوردهای مانیتورینگ را برای نمایش وضعیت کلی امنیت شبکه طراحی کنید.
• تمرین و بهبود مستمر: تمرین پاسخگویی به رویدادهای امنیتی را به صورت منظم انجام دهید. گزارش‌های روزانه وضعیت امنیتی تهیه کرده و به مدیران ارشد ارائه دهید. در شرایط بحرانی باید حساسیت سیستم‌های تشخیص تهدید را افزایش داد و حتی رویدادهای با ریسک پایین را نیز بررسی کرد. همچنین، توصیه می‌شود از محصولات بومی امنیتی مورد تایید استفاده شود تا وابستگی به سرویس‌های خارجی که ممکن است در شرایط بحرانی قطع شوند، کاهش یابد.
• روند پاسخ به حادثه: شناسایی، اعلام هشدار، تحلیل و بررسی، پاسخ و مقابله، و مستندسازی و گزارش، مراحل اصلی پاسخ به حادثه هستند.

احراز هویت چند مرحله‌ای (MFA) برای تمامی مدیران

حفاظت از حساب‌های کاربری با دسترسی مدیریتی در شرایط بحرانی، حیاتی است. تمامی دسترسی‌های مدیریتی باید با سیستم احراز هویت چند مرحله‌ای محافظت شوند تا حتی در صورت افشای گذرواژه‌ها، مهاجمان نتوانند به سیستم‌ها دسترسی پیدا کنند.

• فعال‌سازی MFA و توکن‌های فیزیکی: سیستم احراز هویت چند مرحله‌ای (MFA) را برای تمامی حساب‌های مدیریتی فعال کنید. از توکن‌های فیزیکی امنیتی (بدون نیاز به اینترنت) استفاده کنید.
• نرم‌افزارهای تولید رمز یک‌بار مصرف و پیچیدگی رمز عبور: از نرم‌افزارهای تولید رمز یک‌بار مصرف (OTP) بومی آفلاین استفاده کنید. سیاست‌های پیچیدگی رمز عبور را تقویت کنید (حداقل ۱۶ کاراکتر ترکیبی از حروف، اعداد و نمادها).
• مدیریت حساب‌ها و قفل خودکار: تمامی حساب‌های کاربری قدیمی و بدون استفاده را شناسایی و غیرفعال کنید. سیستم قفل خودکار حساب پس از چند تلاش ناموفق را فعال کنید.
• محدودیت‌های زمانی و مکانی و اصل چهار چشم: محدودیت زمانی و مکانی برای ورود به سیستم‌های حساس اعمال کنید. مکانیزم تایید دو نفره (Four Eyes Principle) را برای تغییرات حساس ایجاد کنید.
• پایش فعالیت مدیران و بازبینی مجوزها: سیستم ثبت و بررسی تمامی فعالیت‌های مدیران را فعال کنید. فرایند منظم بازبینی مجوزها و دسترسی‌ها را اجرا کنید (حداقل هفتگی).
• روند راه‌اندازی MFA: فهرستی از تمامی حساب‌های کاربری با دسترسی مدیریتی تهیه کنید. حساب‌ها را بر اساس سطح دسترسی و حساسیت سیستم‌ها اولویت‌بندی کنید. راه‌کار مناسب احراز هویت چند مرحله‌ای (ترجیحاً سیستم‌های بومی مورد تایید) را انتخاب کنید. توکن‌های فیزیکی یا نرم‌افزارهای تولید رمز یک‌بار مصرف را تهیه و آماده کنید.
• پیکربندی و آموزش: سیستم‌های هدف را برای پذیرش احراز هویت چند مرحله‌ای پیکربندی کنید. کاربران را آموزش دهید و فرایند استفاده از MFA را به آن‌ها آموزش دهید. توکن‌های پشتیبان برای شرایط اضطراری تهیه کرده و در مکان امن نگهداری کنید.
• تست و مانیتورینگ: فرایند بازیابی دسترسی در صورت از دست رفتن توکن را مستند و آزمایش کنید. سیستم مانیتورینگ را برای شناسایی تلاش‌های ورود بدون MFA فعال کنید.
• انواع MFA و عملکرد آفلاین: از توکن فیزیکی، نرم‌افزار OTP آفلاین، کارت هوشمند یا بیومتریک می‌توان به عنوان عوامل دوم احراز هویت استفاده کرد. توصیه می‌شود سیستم‌های احراز هویت به گونه‌ای پیکربندی شوند که در صورت قطع کامل شبکه نیز کار کنند.

ایزوله‌سازی یا خاموشی موقت سیستم‌های غیرضروری

در شرایط بحرانی، کاهش سطح حمله (Attack Surface) از طریق خاموشی یا ایزوله‌سازی سیستم‌های غیرضروری می‌تواند خطر حملات سایبری را به طور قابل توجهی کاهش دهد. سازمان‌ها باید فوراً به شناسایی و خاموش کردن سیستم‌هایی بپردازند که برای عملیات اصلی ضروری نیستند.

• شناسایی و اولویت‌بندی: سیستم‌های غیرضروری را شناسایی و اولویت‌بندی کنید. سرویس‌های غیرضروری روی سرورهای ضروری را غیرفعال کنید.
• خاموشی سیستم‌های پرخطر و ابر: سیستم‌های با ریسک بالا (مانند سرورهای وب رو به اینترنت) را خاموش کنید. دسترسی به سامانه‌های ابری غیرضروری را قطع کنید.
• جداسازی IoT و مدیریت از راه دور: سیستم‌های اینترنت اشیاء (IoT) را از شبکه جدا کنید. سرویس‌های مدیریت از راه دور را در صورت عدم نیاز غیرفعال کنید.
• غیرفعال‌سازی پورت‌های فیزیکی و مجازی: پورت‌های شبکه بلااستفاده را در سوییچ‌ها غیرفعال کنید. پورت‌های USB و دیگر درگاه‌های فیزیکی غیرضروری را مسدود کنید. سیستم‌های مهمان و آزمایشی را خاموش کنید. محیط‌های توسعه و تست غیرضروری را ایزوله یا خاموش کنید.
• روند ایزوله‌سازی و خاموشی: یک فهرست کامل از تمامی سیستم‌ها، سرورها و سرویس‌های فعال تهیه کنید. هر سیستم را از نظر میزان اهمیت برای عملیات اصلی سازمان ارزیابی کنید. سیستم‌ها را به سه دسته «حیاتی»، «مهم» و «غیرضروری» تقسیم‌بندی کنید. قبل از خاموشی یا ایزوله‌سازی، از تمامی سیستم‌ها پشتیبان کامل تهیه کنید.
• اجرای خاموشی ایمن و جداسازی فیزیکی/منطقی: فرایند خاموشی ایمن را برای هر سیستم مستند کرده و اجرا کنید. پس از خاموشی، اتصالات فیزیکی شبکه سیستم‌های غیرضروری را جدا کنید. برای سیستم‌های مهم که باید فعال بمانند، ایزوله‌سازی منطقی (VLAN جداگانه) انجام دهید.
• پیکربندی فایروال و مستندسازی: فایروال‌های داخلی را برای محدودسازی ارتباطات بین سیستم‌های باقی‌مانده پیکربندی کنید. مستندات دقیقی از وضعیت فعلی سیستم‌ها تهیه کنید تا بتوانید بعداً آن‌ها را بازگردانید. بررسی کنید که خاموشی سیستم‌ها تاثیر منفی بر عملکرد سیستم‌های حیاتی نداشته باشد.
• دسته‌بندی سیستم‌ها و توصیه نهایی: سیستم‌های مهم (فعال با محدودیت دسترسی، مانند مدیریت اسناد، ایمیل داخلی)، سیستم‌های غیرضروری (خاموش یا کاملاً ایزوله)، و سیستم‌های حیاتی (همیشه فعال با حداکثر امنیت، مانند پایگاه‌های داده اصلی، کنترل صنعتی، مالی کلیدی) را متمایز کنید. کاهش سطح حمله از طریق خاموشی سیستم‌های غیرضروری یکی از موثرترین روش‌ها برای کاهش ریسک است. پس از خاموشی سیستم‌ها، اتصالات فیزیکی آن‌ها نیز باید قطع شود و سیستم‌های حیاتی باقی‌مانده با دقت بیشتری محافظت و پایش شوند. همچنین، باید مستندات دقیقی از تنظیمات سیستم‌ها قبل از خاموشی تهیه شود تا در زمان مناسب بتوان آن‌ها را به سرعت راه‌اندازی مجدد کرد.

آموزش اضطراری کارکنان و واکنش به حادثه

در شرایط بحرانی، آگاهی و هوشیاری کارکنان نقش کلیدی در پیشگیری از حوادث امنیتی دارد. همچنین، داشتن تیم واکنش اضطراری و سند پاسخ به حادثه از الزامات اساسی است. آماده‌سازی تیم واکنش و آموزش اضطراری کارکنان باید به صورت همزمان انجام شود.

• آموزش کارکنان: جلسات آموزشی فوری برای تمامی کارکنان برگزار کنید. هشدارهای امنیتی درباره حملات فیشینگ و مهندسی اجتماعی ارسال کنید. دستورالعمل‌های مقابله با ایمیل‌های ناشناس و مشکوک را ارائه دهید. کانال ارتباطی اضطراری برای گزارش موارد مشکوک ایجاد کنید و نحوه شناسایی و گزارش رفتارهای مشکوک را آموزش دهید.
• به‌روزرسانی سیاست‌ها و تمرین: قوانین استفاده از تجهیزات شخصی در محل کار را به‌روزرسانی کنید. آموزش‌های کوتاه و منظم درباره نکات امنیتی ضروری برگزار کنید. پوسترهای هشدار امنیتی در نقاط پرتردد نصب کنید. آزمون‌های شبیه‌سازی حملات فیشینگ برگزار کنید. دستورالعمل اقدامات امنیتی در شرایط دورکاری را ارائه دهید.
• تشکیل تیم واکنش اضطراری: یک تیم واکنش اضطراری با مشخص کردن نقش‌ها و مسئولیت‌ها تشکیل دهید. مسئولین حوزه فیزیکی و ارتباطی را مشخص کنید.
• مستندسازی و برنامه‌ریزی: رویه‌های پاسخ به انواع حوادث را مستند کنید. فرایند اسکالیشن و اطلاع‌رسانی به مدیران ارشد را تعریف کنید. لیست نمایه‌های اضطراری مدیران کلیدی تهیه و به‌روزرسانی کنید. دستورالعمل قطع اضطراری اینترنت، Failover و Disaster Recovery را تهیه کنید.
• تجهیز و تمرین تیم: شرح وظایف هر عضو تیم را در شرایط بحرانی مشخص کنید. کیت ابزارهای پاسخ به حادثه را آماده کنید. تمرین‌های شبیه‌سازی پاسخ به حادثه برگزار کنید. سند پاسخ به حادثه را در دسترس تیم قرار دهید (هم دیجیتال و هم کاغذی).
• روند پاسخ به حادثه: شامل شناسایی و تایید وقوع حادثه، ارزیابی اولیه (نوع، شدت، گستره)، مهار (جلوگیری از گسترش، ایزوله کردن، حفظ شواهد دیجیتال)، ریشه‌کنی (حذف تهدید، بازگرداندن سیستم‌ها به حالت امن)، تحلیل و بررسی ریشه‌ای، گزارش‌دهی (مستندسازی کامل)، بهبود (اعمال اصلاحات)، و اطلاع‌رسانی به مراجع ذی‌صلاح طبق الزامات قانونی است.
• یادگیری و بهبود مستمر: پس از هر حادثه، جلسات بررسی برگزار کنید تا علت حادثه و نحوه وقوع آن مشخص شود. برنامه‌های امنیتی را به‌روزرسانی کنید و به مراجع ذی‌صلاح گزارش دهید. آمادگی کارکنان و تیم واکنش مهم‌ترین عامل در مقابله موفق با حوادث امنیتی است. علاوه بر آموزش‌های رسمی، تمرین‌های عملی واکنش به حوادث مختلف (از جمله حملات سایبری همزمان با حملات فیزیکی) باید به صورت منظم انجام شود. همچنین، باید ارتباط نزدیکی با مراکز عملیاتی و امنیتی مربوطه برقرار شده و گزارش‌های منظم وضعیت امنیتی به این مراکز ارسال گردد.

آمادگی شامل: آموزش کارکنان، تهیه برنامه‌های اضطراری، انجام تمرین‌های معلم (مانند جلسات آموزشی ماهانه)، تهیه و به‌روزرسانی سند پاسخ به حادثه، تجهیز تیم واکنش به ابزارهای لازم، تشخیص سریع حوادث و اجرای اقدامات اولیه برای مهار تهدید.

بازیابی شامل: استفاده از نسخه‌های پشتیبان، بررسی کامل سیستم‌ها قبل از بازگرداندن و اطمینان از حذف کامل تهدید.

همانطور که گفته شد، امنیت سایبری در شرایط بحرانی یک فرآیند ایستا نیست، بلکه نیازمند رویکردی جامع، پویا و مستمر است. با پیاده‌سازی این دستورالعمل‌ها، سازمان‌ها می‌توانند تاب‌آوری زیرساخت‌های فناوری اطلاعات خود را به میزان قابل توجهی افزایش دهند و در مواجهه با شدیدترین تهدیدات نیز، تداوم کسب‌وکار و امنیت داده‌های خود را تضمین کنند. آمادگی امروز، ضامن بقای فرداست.