عصر تراکنش ۵۲ / در طول دو ماه گذشته حداقل دو رخداد امنیتی یکی در سطح بینالمللی و دیگری در سطح ملی باعث شد دوباره نگاهها به سمت امنیت در حوزه فناوری اطلاعات و ارتباطات جلب شود. اولی قطعشدن چندینساعته تمام سرویسهای فیسبوک از جمله فیسبوک، اینستاگرام و واتساپ بود و دیگری حمله سایبری به سامانه مدیریت سوخت ایران که تقریباً دو روز قطعی پمپبنزینها را با خود به همراه داشت. تجربه نشان داده این رخدادهای امنیتی باعث میشوند مدیران نهادها و کسبوکارها برای مدت کوتاهی دوباره به مسائل امنیت اطلاعات و استانداردهای پیرامون آن توجه کنند و بعد از افتادن آبها از آسیاب، دوباره همان آش و همان کاسه! همین نگاه باعث شد با حضور سه تن از متخصصان و چهرههای شناختهشده افتای ایران میزگردی داشته باشیم و ریشههای این نگاه در مدیران ایرانی و بهطور کلی مسائل و چالشهای افتا در ایران را بررسی کنیم.
این میزگرد با حضور بهناز آریا، رئیس کمیسیون افتا در سازمان نظام صنفی رایانهای استان تهران و مدیرعامل گروه شرکتهای کهکشان؛ علیرضا عابدینژاد، مدیرعامل شرکت دادهپردازان دوران و عضو هیئتمدیره نظام صنفی رایانهای استان تهران و عضو شورای مرکزی نظام صنفی رایانهای کشور و محمدامین کریمان، راهبر اجرایی و همبنیانگذار پلتفرم باگبانتی راورو به شکل آنلاین برگزار شد. متن این میزگرد را در ادامه میخوانید.
امنیت بیش از اینکه در زمان بودنش احساس شود، در زمان نبودنش به چشم میآید. وقتی با افراد راجع به موضوعات امنیتی صحبت میکنیم، میبینیم دغدغه چندانی برای آن ندارند، چون تا امروز از این نقطه دچار بحران نشدهاند و معتقدند قبل از صرف انرژی و منابع برای امنیت، چیزهای واجبتر دیگری برای مصرف منابع و انرژی وجود دارد و در زمان مواجهه با بحران، میخواهند یکشبه امنیت را ایجاد کنند. نظر شما در خصوص این فرضیه چیست؟
چالش عدم درک حفظ داراییهای نرم
علیرضا عابدینژاد: به نظر من فرضیه درستی را مطرح کردید. امنیت نسبی است. پس سطحی از امنیت را در هر جا میبینید ولی طبیعتاً میتواند فاصله زیادی تا سطح لازم امنیت داشته باشد. اجازه بدهید هزینهکردن در خصوص امنیت را با هزینهکردن در خصوص بیمه مقایسه کنیم. امنیت از یک جهت مثل بیمه میماند. وقتی ماشینتان را بیمه میکنید طبیعتاً دنبال جلوگیری از بحران نیستید، فقط میخواهید خسارت بحران را کاهش دهید. حال آنکه در کل در خصوص امنیت موضوع فراتر از اینهاست. هر چقدر در حوزه امنیت بیشتر هزینه کنید، هم میتوانید تا حدودی جلوی بحران را گرفته و هم خسارات آن را کاهش دهید. خیلی اوقات ماشینتان را بیمه میکنید و تا ۱۰ سال هزینه میپردازید و اتفاقی هم برایش نمیافتد و دائم به خودتان میگویید «هزینه بیمه، زائد است»، در حالی که اینطور نیست؛ اگر همان سال اول اتفاقی برایتان میافتاد، احتمالاً سالهای بعدی با رضایت خاطر بیمه را تمدید میکردید. بنابراین افراد هزینه میکنند که خیالشان راحت باشد.
امنیت در حوزه فناوری اطلاعات و هزینههای مربوط به آن برای جامعه ملموس نیست، ولی هزینه امنیت فیزیکی کاملاً ملموس است؛ مثلاً وقتی از ساختمانی سرقت بشود، اولین کاری که میکنید، نصب حفاظ برای پنجرهها و در ضدسرقت و قفلهای پیچیدهتر و گاوصندوق محکمتر است. تمام این مدلها در حوزه امنیت اطلاعات نیز مطرح هستند، ولی بخش بزرگی از جامعه شخصی و سازمانی ما مفهوم حفظ داراییهای نرم را کمتر درک میکند. همه میدانند که خانه و خودروی آنها داراییهای مهمی بهشمار میرود که باید حفظ شود، ولی آیا داده سازمان هم دارایی مهمی بهشمار میرود؟ آیا سرویسهایی که الآن بهخوبی کار میکنند و منبع درآمد هستند یا وظایف سازمانی را پیش میبرند، دارایی باارزشی به حساب میآیند؟ متأسفانه این داراییها برای جامعه ملموس نیستند و به همین دلیل است که متأسفانه در بسیاری از موارد امنیت جدی گرفته نمیشود.
مکانیسم درستی برای اندازهگیری ارزش دادهها نداریم
محمدامین کریمان: امنیت یک موضوع پنهان نیست. متأسفانه خیلیها امنیت سایبری را یک کالای لوکس تلقی میکنند، در حالی که امنیت یک زیرساخت و یک الزام بهشمار میرود. اگر بخواهید پایههای درستی برای کسبوکار آنلاین شکل دهید، نمیتوانید امنیت را نادیده بگیرید. جامعه ما در یک دوره گذار از خدمات آفلاین به خدمات آنلاین است و هر روز نقش این سرویسها در زندگی مردم بیشتر میشود. در این میان هر مجموعهای که الزامات امنیتی را نادیده بگیرد، نهتنها به کسبوکار خود، بلکه میتواند به آحاد جامعه آسیب بزند.
اتفاقی که در مورد حادثه پمپ بنزینها افتاد، تنها نمونه کوچکی بود که میزان تأثیر ناامنی در فضای سایبری روی زندگی مردم را نمایان کرد.متأسفانه در رخدادهای سایبری معمولاً حجم بالایی از نشت داده داریم که تأثیر مستقیمش در جامعه عمومی به چشم نمیآید. همین نشت دادهها منشاء خسارتها و رخدادهای آتی سایبری میشوند.
برای مشخصشدن تأثیر رخدادهای سایبری، تعیین میزان خسارت عامل بسیار مهمی است که متأسفانه مکانیسم درستی برای اندازهگیری ارزش دادهها و برآورد میزان خسارت نداریم. این مشکل فقط مربوط به ایران نیست؛ در سطح جهانی نیز ضعف قانون و رگولاتوری برای تعیین ارزش اطلاعات و برآورد میزان خسارت با چالش بزرگی مواجه است و این ضعف باعث شده تا اکثر رخدادهای سایبری آنگونه که باید، مورد توجه قرار نگیرند.
کسی پاسخگوی مسئولیتهای ناشی از عدم اجرای قانون نیست
بهناز آریا: وقتی با یک مسئله ناملموس مثل داده مواجه هستیم که بزرگترین دارایی سازمانهای امروز به حساب میآید؛ در مرحله اول بهطور طبیعی آن را مورد توجه قرار نمیدهیم. در سازمانها عادت کردهایم که هر جا صحبت از هزینه و امنیت به میان میآید، به فکر خرید تجهیزات قابل لمسی بیفتیم که امنیت را برایمان تأمین میکنند، در حالی که حوزه امنیت جنبههای ناملموسی دارد که سازمانها کمتر به سراغ آن میروند. امروزه در دنیا افتا تبدیل به صنعت شده و دنیا روی آن سرمایهگذاری زیادی میکند، در حالی که در کشور ما مغفول مانده است.
چرا تا زمانی که سناریوی وحشت شکل نگیرد، سازمانها اهمیت امنیت را درک نمیکنند؟ بعد از اتفاق هم یکی، دو هفته تبوتاب دارند و دوباره یادشان میرود. حتی وقتی اتفاقی میافتد، هیچکس درباره آن پاسخگو نیست. قوانین و مقررات وجود دارند، ولی کسی پاسخگوی مسئولیتهای ناشی از عدم اجرای قانون نیست. در دنیا نمودار حمله و سطح آسیبپذیری مرتب در حال تغییر و بزرگتر شدن است و ما باید بهطور دائم آگاه باشیم و مسائل را رصد کنیم. یعنی باید بهدنبال پیشگیری برویم. در صورتی که ما فقط منتظر میمانیم که اتفاقی بیفتد و به نحوی آن را لاپوشانی کنیم؛ هیچ شفافسازی انجام نمیدهیم و دوباره مسئله فراموش میشود تا اتفاق بعدی.
انسان همیشه بهدنبال کسب ارزش و افزودن ارزشهای زندگی خود است. همین رویکرد در سازمانها نیز دیده میشود. اگر مشکل امنیتی پیش بیاید، ارزش را از دست میدهیم. این ارزش میتواند مالی، اعتبار و آبرو یا مشتریان باشند. از دست دادن ارزشها، مهمترین مخاطره امنیتی به حساب میآید. در اینباره باید فرهنگسازی، ریشهیابی و شفافسازی اتفاق بیفتد تا موضوع امنیت جایگاه واقعی خود را بیابد و به اولویت کشور تبدیل شود. با توجه به موقعیت ژئوپلیتیک ایران، امنیت باید دغدغه تمام صنایع کشور باشد، نه فقط فناوری اطلاعات.
قربانی: چه راهکاری برای انتقال اهمیت امنیت اطلاعات به جامعه و تصمیمگیران و تصمیمسازان دارید؟ چطور میتوان افراد را به وقتگذاشتن و صرف هزینه و انرژی در حوزه امنیت اطلاعات ترغیب کرد؟
کار امنیت، کار آتشنشانی نیست، کار پیشگیرانه است
آریا: بهعنوان کسی که سالها در کمیسیون افتا در سازمان نظام صنفی فعالیت میکند، مهمترین مسئله را تعامل با بخشهای حاکمیتی میدانم. بخش خصوصی باید بازوی مشورتی و اجرایی حاکمیت باشد. الآن بخش عمده دانش و تخصص کشور در بخش خصوصی تجمیع شده است. امنیت ملی یک دغدغه مهم و درست مملکت است و باید آن را به بخش خصوصی بسپاریم. بخش خصوصی بهعنوان بازوی اجرایی حاکمیت میتواند امنیت را تأمین کند. تربیت نیروی متخصص، تولید دانش، تولید محصول داخلی، ارائه سرویس، همه اینها در بخش خصوصی اتفاق میافتد. اما حاکمیت فقط با بخش خصوصی از جایگاه «ابلاغکننده» تعامل میکند، یعنی انواع آییننامهها، قوانین و مقررات زمانی به بخش خصوصی اطلاعرسانی میشود که فقط چند روز به تصویب آن مانده و اظهارنظر نهایی را از آنها میخواهند یا حتی گاهی نظرخواهی هم انجام نمیشود. سازمان نظام صنفی بهعنوان نماینده بخش خصوصی در دولت، در حوزه امنیت اطلاعات کرسی ندارد و در زمان لازم کرسی مشورتی و اجرایی به آنها داده نمیشود.
تعامل مناسب باید در زمان مناسب صورت گیرد. متأسفانه همیشه رویکرد آتشنشانی داریم؛ منتظر میمانیم تا اتفاقی بیفتد و سپس به سراغ مجموعههای متخصص برویم. کار امنیت، کار آتشنشانی نیست، کار پیشگیرانه است. پس باید در زمان مناسب با شرکتها و افراد مناسب تعامل شود و برای اتفاقات از قبل برنامهریزی کنیم. وقتی هم اتفاقی بیفتد، باید از آن درس بگیریم و ریشههایش را شفاف کنیم. متخصصان باید در اینباره بحث کنند که چه آسیبپذیری، چه راههای پیشگیری و چه قوانین مرتبطی وجود دارد.
میدانید که رگتک چقدر در حوزه مالی اهمیت دارد. تعامل بهموقع با متخصصان میتواند جلوی اتفاقات بزرگ را بگیرد. قبل از اینکه زیرساختهای حیاتی مختل شوند، باید به امنیت آنها توجه کنیم. وقتی هم اتفاقی رخ دهد، باید برای مدیریت بحران و تداوم کسبوکار آماده باشیم. به نظر من برنامهریزی و تعامل با متخصصان بخش خصوصی میتواند از شدت آسیب بکاهد.
امنیت دغدغه چندم مدیرعامل یک بانک است؟
عابدینژاد: ما در کشوری زندگی میکنیم که بخش زیادی از اقتصاد، دولتمحور است و نقش بخش خصوصی را کمرنگ کردهایم. بخش خصوصی واقعی همیشه حواسش را به تمام داراییهایش جمع میکند و میداند که اگر ماشین او را دزد ببرد، چقدر خسارت میبیند؛ پس مسئولیت محافظت از آن را میپذیرد و برای محافظت از آن تدابیر لازم را میاندیشد. ولی بخش دولتی، هم اطلاعات کافی راجع به ارزش دادههایش ندارد و هم به اندازه داراییهای شخصی خودش نسبت به دارایی عمومی دغدغه نشان نمیدهد.
اگر بخواهیم بهای بیشتری به امنیت بدهیم، چاره کار در شفافسازی برای مدیران ارشد است. مدیران فناوری اطلاعات در همه جا کموبیش اهمیت امنیت را میدانند، اما دغدغه چند درصد از مدیران ارشد مربوط به امنیت است؟ مدیرعامل یک بانک چند درصد از فکر خود را صرف امنیت میکند؟ دغدغه درجه چندم اوست؟ شاید دغدغه بیستمش هم نباشد. شاید مدیر بانک هنوز متوجه ریسکهای پیش روی خود نباشد. هر چقدر که حاکمیت، بخش خصوصی و رسانههایی مثل راه پرداخت و عصر تراکنش دغدغههای امنیتی را بیشتر مطرح کنند، جامعه آگاهتر خواهد شد.
بهعنوان مثال، اتفاقی که برای کارت سوخت افتاد، چه خسارتی به کشور وارد کرد؟ شاید چندصدمیلیارد تومان یا چندهزار میلیارد تومان خسارت دیدیم که الآن دولت بهدنبال جبران خسارت است. این فقط رقم خسارت مستقیم ریالی بوده، در حالی که خسارتهای معنوی و اعتباری زیادی نیز وارد شده که قابل تبدیل به ارقام مالی هستند. این اطلاعات باید در اختیار مدیران قرار گیرد. آیا مدیران مربوطه میدانند که چه میزان خسارت به صنعت نفت وارد شده؟ درباره پیگیری حقوقی خسارتها صحبت نمیکنم؛ اهمیت شفافسازی را میگویم. الآن هیچ مرجعی در ایران گزارش خسارت نمیدهد و کسی نسبت به داشتههای خودش آگاه نیست. تمام سازمانها و شرکتها داشتههای فیزیکی خود را قیمتگذاری میکنند و از موجودی مطلع هستند، ولی داشتههای غیرفیزیکی قیمتگذاری نمیشوند.
من بهعنوان یک مدیر ارشد باید بدانم ارزش سازمانی که تحویل گرفتهام، چقدر است. الآن در بورس این عدد و رقمها را تا حدی مشخص میکنند. بهعنوان مثال داشتههای فیزیکی یک شرکت پتروشیمی معلوم است، ولی میبینیم که با ارزش کل شرکت اختلاف فاحشی دارد؛ مثلاً داشتههای فیزیکی پنج هزار میلیارد تومان، ولی ارزش کل شرکت ۲۰ هزار میلیارد تومان تخمین زده میشود. این فاصله ناشی از چیست؟ از همان استمرار کسبوکار که خانم آریا اشاره کردند. داشتههای غیرفیزیکی شامل برند شرکت، اعتبار شرکت، دانش شرکت و روند مداوم کسب درآمد شرکت هستند که همگی در معرض آسیب امنیتی قرار دارند. آیا هیچ مرجعی این آمارها را بهطور شفاف اعلام میکند؟ رسانه مسئولیت سنگینی در این رابطه دارد و نباید اتفاقاتی را که در کشور میافتد، رها کند. شاید اطلاعات محرمانه را رسانهها نتوانند منتشر سازند، ولی میتوانند اطلاعات مالی دادههای عمومی را تخمین بزنند. میزان مصرف سوخت در کشور، تعداد جایگاههای سوخت و… موجود است و میتوان بر اساس آنها تخمین خسارت را انجام داد. مدیران ارشد ما از این واقعیتها آگاهی ندارند.
اگر قرار باشد اتفاق خوبی در حوزه امنیت بیفتد، از طریق بالا بردن آگاهیهای امنیتی مدیران ارشد خواهد بود. شاید لازم باشد دورههای ویژه برای آنها بگذاریم تا اهمیت داراییهایشان را بهتر درک کنند. در یک سازمان خدمتمحور دولتی که خدمات عمومی ارائه میدهد، ارزشها ملموس نیست و مدیر میگوید: «نهایتش این است که سرویس ما چند روز قطع شود یا دادهها لو برود.»
دغدغه ما شفافسازی، آموزش و فرهنگسازی است. اینها اگر اتفاق بیفتد، خود مدیران میدانند که چطور بهای بیشتری به امنیت بدهند و اینکه دادههای خود را چطور حفظ کنند و چقدر ارزش دارد. فرضاً اگر شما بدانید مجموعه خدمات و استمرار کسبوکار سازمان ۱۰۰۰ میلیارد تومان ارزش دارد، حاضر میشوید برایش ۱۰ یا ۲۰ میلیارد تومان هزینه کنید، ولی وقتی تصور کنید «ارزشی نداره، رفت که رفت»، حتی ۱۰۰ میلیون تومان هم نمیپردازید. مشکل اینجاست.
امنیت فقط با تخصیص تیم و بودجه به دست نمیآید؛ یک اتفاق جمعی است
کریمان: سرکار خانم آریا به نکته درستی اشاره کردند. اکثر سازمانها در مواجهه با تهدیدات سایبری به سمت خرید تجهیزات، راهاندازی تیمهای امنیت و… میروند، در حالی که این اقدامات الفبای آغازین این حوزه است. سازمانها نباید به این اقدامات بسنده کنند، چون علاوه بر رشد سریع تهدیدات سایبری، راهکارهای مقابله با آن بهسرعت تغییر میکند. قبل از هر چیز باید صورتمسئله را بشناسیم و بدانیم سازمان و کسبوکار ما چه داراییهایی دارد و این داراییها در معرض چه تهدیدهایی قرار میگیرند. این یک گام بسیار مهم است برای اینکه نگاه درست نسبت به امنیت در سازمان شکل بگیرد.
اکثر تیمهای امنیتی در سازمانها دغدغهها را بهدرستی درک میکنند، ولی مدیران بالادستی توجیه نیستند که تهدیدات سایبری چه مخاطراتی را برای کل سازمان ایجاد میکند. باید مدیران و تصمیمگیران سازمانی را نسبت به آسیبهای گسترده و طولانیمدت حملات سایبری آگاه کنیم. امنیت فقط متکی به دانش فنی یک تیم نیست و با اختصاص بودجه به دست نمیآید؛ یک کار جمعی است که به همراهی تکتک اجزای سازمان نیاز دارد.
در حوزه امنیت یک گزاره معروف هست که میگوید: «شما یا هک شدهاید و آگاه هستید نسبت به اتفاقی که افتاده، یا هک شدهاید و آگاه نیستید». گزاره سومی نداریم. امنیت مطلق نیست و همه آسیب میبینند. تنها راهکار، پیشبینی، افزایش تابآوری و کاهش سطح آسیب است. مؤسسه PwC هر سال گزارشی از مدیران ارشد C-Levelهای سازمانها در سطح جهانی ارائه میدهد و در بخشی از این گزارش به تهدیدات و مخاطرات سالیان آتی کسبوکارها اشاره میکند. جالب این است که در سال ۲۰۲۰ تهدیدات سایبری مقام چهارم از منظر تهدیدات بالقوه برای چشمانداز رشد سازمان به حساب آمده و در سال ۲۰۲۱ به رتبه دوم رسیده است. کسبوکارها در سطح جهانی متوجه شدهاند که یکی از نخستین تهدیدهای بقا و رشد کسبوکار آنها حملات سایبری است.
حملات سایبری را بر اساس میزان تهدید برای سازمان میتوان دستهبندی کرد؛ حملاتی که میتوان جلوی آنها را گرفت، این حملات معمولاً توسط تجهیزات و نرمافزارهای بهروز قابل شناسایی هستند. حملاتی که میتوان آسیب آنها را کاهش داد، این حملات روش مقابله مشخص ندارند، اما با پیادهسازی سازوکار درست میتوان آنها را پایش و شناسایی کرد و در نهایت حملات پیشرفتهای که سالها میگذرد تا متوجه شویم که جزء قربانیان آن بودهایم. متأسفانه در کشور ما بسیاری از سازمانها نسبت به حملاتی که میتوان جلوی آنها را گرفت، آسیبپذیر هستند. این وضعیت امنیت سایبری اصلاً مطلوب نیست.
امنیت یک طیف است و حالت صفر و یکی ندارد. مخاطرات را باید بهدرستی بشناسید، شناخت خوبی از داراییهای دیجیتال سازمان داشته باشید و برای هر کدام از این تهدیدها برنامهریزی کنید تا مخاطرات را بعضی جاها از بین ببرید، بعضی جاها اثرش را کاهش دهید و برخی جاها خود را برای بدترین حالتها آماده کنید تا سازمان بتواند با کمترین آسیب از رخدادها عبور کند.
امنیت هر سازمانی به اندازه ضعیفترین حلقه زنجیره خودش است
قربانی: آیا صنایع مالی ایران که شامل بانکها، کارگزاریهای بورس، هسته معاملات بورس، بیمهها، شرکتهای پیاسپی و پرداخت و… میشوند، از نظر افتا در نقطه مطلوبی قرار دارند؟
کریمان: بزرگترین ریسکی که نهادهای مالی را نیز درگیر میکند، تحریمهایی هستند که تهیه برخی تجهیزات و نرمافزارها را دشوار میسازند. این خلاء بسیار بزرگی است. سرعت رشد تهدیدات از شناسایی آنها بسیار بیشتر است و در این میان سرعت واکنش عامل مهمی محسوب میشود.
بررسیهای ما در مورد دیگر کشورهای دنیا نشان میدهد همواره حوزه مالی و بانکی جزء پیشگامان در امنیت سایبری هستند، چون ارزش داراییها را بهتر درک میکنند. در کشور ما نیز صنایع مالی نسبت به سایر حوزهها بیشترین توجه را به امنیت نشان میدهد.
در عرصه امنیت سایبری یک طیف از اقدامات داریم که باید زیرساخت مورد نیاز آن را بسازیم. پیادهسازی و مراقبت از این زیرساخت، پایش و رصد مداوم، بهروزرسانی سریع و حفظ آمادگی در کنار هم میتواند راهگشا باشد. ضعیفترین حلقه در این زیرساخت میتواند کل زنجیره را زیر سؤال ببرد.
نقطه خیلی مهم که در چند سال گذشته کمبود آن حس میشود و مورد توجه فراوان بوده، استفاده مفهومThreat Sharing در حوزه مالی و بانکی است که باید فراسازمانی به آن نگاه کرد. ISAC و ISAS دو پیشنیاز لازم برای این حوزه است. این پروژهها قرار است روی تهدیدها متمرکز باشند؛ نه اینکه صرفاً مقابل یکسری نفوذهای پیش پا افتاده را بگیرند. آنها باید جلوی حملات پیشرفتهای را بگیرند که تاکنون شناسایی نشدهاند. اگر پروژههای ISAS و ISAC در حوزه مالی و بانکی اجرا شود که خبر دارم الآن تا حد زیادی جلو رفته است، به یک نقطه اتصال خوب بین مجموعههای مختلف و شبکه بانکی تبدیل میشود که میتواند رویدادهای سامانه را با مکانیسم مشخصی با سایرین تسهیم و از دانش به وجود آمده برای ارتقای امنیت در کل ساختار استفاده کند.
یکی دیگر از دغدغههای ما برای ارتقای امنیت مربوط به مهاجرت نیروی متخصص است؛ هر چقدر هم تجهیزات خوبی داشته باشید، بدون نیروی انسانی و دانش، قابل استفاده نخواهد بود.
در حوزه مالی تابهحال فقط شانس آوردهایم که اتفاقات جدیتری نیفتاده
آریا: بنده هم در پاسخ به سؤال شما میگویم مطمئناً در وضعیت مناسبی از این لحاظ نیستیم. تابهحال شانس آوردهایم که اتفاقات جدیتری نیفتاده؛ گرچه برخی اتفاقات رخ داد که به اطلاع عموم نرسید. همیشه یکی از نگرانیهای عمده افتا مربوط به داراییهای مالی است که ارزش زیادی دارند. در ایران باید فعالیت زیادی در این حوزه انجام دهیم. الآن، با افزایش احتمال بروز خطر در سیستمهای مالی مواجهیم. ابزارهای حمله بسیار پیچیدهتر و انگیزهها بیشتر شدهاند. این انگیزهها میتواند انگیزه مالی، اعتباری یا حاکمیتی باشد. هر روز با احتمال بروز رخدادهای بیشتری مواجهیم؛ بهخصوص در حوزه مالی که برای هر کشوری بهعنوان گلوگاه و پاشنهآشیل مطرح است. ما بهشدت به سرمایهگذاری در این حوزه نیاز داریم. وقتی از سرمایهگذاری حرف میزنیم، شاید اینطور تصور شود که منظور فقط خرید تجهیزات و صرف هزینه است، ولی یکی از مهمترین سرمایههایی که داریم از دست میدهیم، سرمایه انسانی است. مهاجرت نیروی انسانی متخصص باعث کمبود جدی در کشور شده است. یکی از سرمایهگذاریهای جدی ما باید روی نیروی انسانی باشد. از آموزش تا نگهداشت نیروی انسانی اهمیت دارند. تأمین زیرساخت، فناوری و نیروی انسانی در کنار قوانین و مقررات اهمیت دارند. بانک مرکزی باید در حوزه رگولیشن مناسب ورود کند. الآن در «کاشف» و «شاپرک» سیستمهای مختلفی داریم و نیازمند رگولیشن متمرکز و دقیق همراه با ممیزی، ارزیابی درست و ضمانت اجرایی هستیم. باز هم روی ضمانت اجرایی تأکید میکنم.
هر چقدر قوانین و مقررات، طرح امنسازی، انواع استاندارد و آییننامه بیاوریم، وقتی ضمانت اجرایی وجود نداشته و هیچکس در قبال اتفاقات پاسخگو نباشد، رگولیشن سودی برایمان به ارمغان نمیآورد. هر چقدر صنعتی که با آن مواجه هستیم، حساستر باشد، مثل صنعت مالی، این پاسخگویی باید جدیتر باشد. باز هم به اهمیت شفافسازی و پاسخگویی اشاره میکنم. آنچه در حوزه امنیت انجام میدهیم، باید کاربردی باشد و ما را به سطح مطلوب امنیت نزدیک سازد. ما هرگز نمیتوانیم امنیت مطلوب صد درصدی را فراهم کنیم. مهم ارزیابی موقعیتی است که در آن قرار داریم و تلاش برای رسیدن به موقعیت مطلوبتر و ماندن در وضعیت مطلوب و بهبود مستمر. در این زمینه کارهای فرایندی، مستمر و نظارتی درستی انجام نمیدهیم. در هیچکدام از صنایع وضعیت مطلوب نیست، ولی در حوزه مالی حساسیت بیشتر است. ما به سرمایهگذاری روی جوانب مختلف امنیتی در صنایع مالی احتیاج داریم، به نحوی که فقط روی تجهیزات متمرکز نباشیم یا صرفاً دنبال یک رگولیشن خاص نرویم. تمام این دیدگاهها نیازمند اصلاح هستند.
استانداردها حداقلها را نشان میدهند و فقط نقطه شروع هستند. ما حتی همین نقطه شروع را هم انجام نمیدهیم. در دنیا، بهخصوص در حوزههای مالی و اعتباری، انواع و اقسام رگولیشن وجود دارد. من همین الآن دبیر کمیته فنی سازمان جهانی استاندارد در ایران در حوزه امنیت به نام SC27 هستم. در خانواده استانداردهای امنیت ما فقط ۲۷۰۰۱ و ۲۷۰۰۲ را میشناسیم، به علاوه یکی، دو استاندارد مربوط به ریسک؛ در حالی که استانداردهای متعددی مرتبط با تکتک فناوریها و سرویسها وجود دارند که در ایران حتی یک بار هم آنها را نخواندهایم.
اگر در سایت سازمان ملی استاندارد جستوجو کنید، میبینید تمام این استانداردها ملی شدهاند. ملی شده یعنی چه؟ یعنی ترجمه و پذیرفته شدهاند؛ در حالی که در ایران حتی اسم این استانداردها هم شنیده نمیشود. در تمام دنیا این استانداردها مورد استفاده عملی بهعنوان مدلهای حداقلی هستند. تأکید میکنم اینها حداقل و نقطه شروع هستند. رگولیشن و رگتکها نقش جدی در امنیت صنعت مالی اعتباری ایفا میکنند. سرمایهگذاری روی پیادهسازی و ممیزی استانداردها حائز اهمیت است و نیروی انسانی در کشور ما باید اولویت صفر باشد، یعنی از اولویت یک هم بالاتر.
باز هم بر جایگاه بخش خصوصی تأکید میکنم. بسیاری از بانکها و مراکز مالی – اعتباری ما تعامل و برونسپاری خوبی با بخش خصوصی دارند، ولی کافی نیست. این تعاملات باید افزایش چشمگیری نشان دهد تا به دیدگاه کلنگر و جامع در سیستمهای مالی – اعتباری برسیم. چاره همه مشکلات را نباید در ابزارها و سرویسهای امنیتی جستوجو کرد؛ بلکه به تغییر معماری بهعنوان یک مکمل حوزه امنیت نیاز داریم. تغییر معماری قدیمی و استفاده از زیرساختهای بهروز نیز کمک شایانی به ارتقای سطح امنیت میکند.
صنایع مالی یقیناً در افتا از سایر صنایع جلوتر هستند، ولی وضعیت مطلوبی ندارند
عابدینژاد: چند وقت پیش تحقیقی از گارتنر میخواندم در مورد صنایعی که در حوزه آیسیتی هزینه میکنند. این دستهبندی نشان میداد کدام صنایع درصد بیشتری از درآمدشان را صرف آیسیتی میکنند. بالاترین هزینه آیسیتی مربوط به صنایع خدمتمحور بود. صنایع مالی نیز ذیل همان دسته خدمتمحور هستند که شامل بورس، بانک، بیمه و… میشوند.
صنایع مخابراتی نیز در همین دسته قرار میگیرند. علت هزینه بیشتر آنها روی آیسیتی چیست؟ علت مشخص است؛ آنها هر چقدر که فرایندها و روشهای خود را بیشتر مکانیزه کنند، درآمدزایی مؤثرتری دارند. بخش عمده کارخانجات صنعتی شامل تجهیزات و ملک آنهاست، ولی در مورد بانک، شرکت بورسی، شرکت بیمهای و کارگزاری بیشتر داراییها از نوع ناملموس است. در تمام دنیا این وضعیت را میبینیم و در ایران نیز همینطور است. میدانیم که بانکهای ایران نیز خیلی بیش از دیگر بخشها در آیسیتی هزینه میکنند؛ پس به همین نسبت باید هزینه امنیتی بیشتری هم بپردازند. هر جا داراییهای نرمافزاری و داده بیشتری داریم، آسیبپذیری بیشتری نیز داریم. صنایع مالی نسبت به سایر صنایع بیشترین دارایی نرم را دارند. به نظر من یکی از مهمترین اولویتهای ملاحظات امنیتی، صنایع مالی هستند. آیا این صنایع الآن در وضعیت مطلوبی هستند؟ قطعاً خیر؛ ولی شاید این بازار جلوتر از دیگر صنایع باشد.
ما نمیتوانیم وظایف صنایع مالی را عوض کنیم. وظیفه صنایع مالی مشخص است، پس باید مدام با تکنیکها و ابزارهای جدید به مقابله با حملات برخیزیم. سرکار خانم آریا بهدرستی اشاره کردند که متأسفانه الآن در تمام صنایع و بهخصوص صنایع مالی، مدیران فکر میکنند تمام مقولههای امنیتی را میتوان بهصورت in-source مدیریت کنند. در هیچ جای دنیا این کار شدنی نیست؛ چون ایمنسازی یک شبکه بانکی از جنبهها و زاویههای مختلف نیازمند دانش زیادی است و هیچ سازمانی تمام این دانش را در اختیار ندارد. اکنون همه بانکها برای خودشان SOC راه میاندازند، ولی وقتی به آنها میگویی «همین سرویس را از بیرون بانک بگیر»، یا بانک مرکزی اجازه نمیدهد، یا شاپرک جلویشان را میگیرد یا افتا مانع میتراشد. هیچ سازمانی اینقدر متخصص ندارد که برای خودش یک SOC راه بیندازد. مقوله امنیت فقط به تجهیزات محدود نمیشود. تجهیزات لازماند، ولی کافی نیستند. ۵۰ درصد امنیت به تجهیزات وابستگی دارد و ۵۰ درصد مربوط به فرایندها و نیروی انسانی میشود.
در تمام دنیا MSSPهای متعددی برای تأمین امنیت شکل گرفتهاند. مالزی چهار اماساسپی درستوحسابی دارد که تمام صنایع را پوشش میدهند و همه شرکتها امنیت خود را به آنها برونسپاری میکنند. سازمانهای نظارتی هم فقط روی همین اماساسپیها نظارت میکنند که نشت داده نداشته باشند و امنیت بهدرستی برقرار شود. مدل فعلی امنیتی صنایع مالی و دیگر صنایع این است که همه کار را خودشان انجام دهند. این مدل ما را با چالش بزرگی به نام فقر نیروی انسانی مواجه کرده که در کنار مهاجرتهای فراوان بهمرور به بحران نیروی انسانی تبدیل میشود.
نهادهای رگولاتور باید تغییر رویکرد دهند
قربانی: آیا شرکتهای فعال حوزه افتا در ایران پاسخگوی تمام نیازهای کسبوکارها و نهادها از لحاظ امنیتی هستند یا خیر؟ این سؤال را، هم از دید نرمافزاری و هم سختافزاری پاسخ دهید.
عابدینژاد: اکنون اکثر محصولات مورد نیاز بازار امنیت در شرکتهای متعدد کشور موجودند و تعدادی هم در داخل کشور تولید میشوند. طبیعتاً در بعضی شرکتها محصولات ضعیفتری وجود دارد و در برخی قویتر؛ اما آیا این محصولات قابل رقابت با تمام محصولات درجه یک دنیا هستند؟ طبیعتاً ضعفهایی از این لحاظ داریم. ما همتراز با محصولات جهانی نیستیم. طبیعتاً وقتی اقتصاد کل کشور ما کمتر از نیم درصد اقتصاد دنیاست، انتظارات ما نیز باید محدود باشند. ما شرکتهای بینالمللی واقعی نداریم و اگر هم داشته باشیم، اجازه فعالیت به آنها نمیدهیم. اگر شما تولیدکننده یک محصول امنیتی بینالمللی باشید، یا سازمان پدافند جلوی کارتان را میگیرد، یا افتا، یا یک جای دیگر. بدین ترتیب هرگز امکان صدور محصول را به عرصههای بینالملل نداریم. در این شرایط باید توقع خود را متناسب با توانمندیهای کشور تنظیم کنیم.
آیا محصولات کنونی جوابگوی نیاز کشور هستند؟ به عقیده من هستند. به هر حال الآن خیلیها بهدنبال ضربهزدن به کشور هستند و در اکوسیستمی زندگی میکنیم که آسیبپذیری را بالا میبرد. کشوری مثل آمریکا یا اسرائیل تمام توان خود را به کار میگیرد که به ما از جهات مختلف ضربه بزند. در این شرایط طبیعتاً نمیتوانیم انواع تجهیزات آمریکایی را برای حوزه امنیت خریداری و استفاده کنیم و در شرایط بحران مطمئن باشیم که هیچ آسیبی نمیبینیم. این دیدگاه اشتباه است. در یکی، دو سال گذشته در اخبار شنیدهاید که کشور آمریکا راجع به استفاده از تجهیزات شرکت هواوی در اروپا حساسیت نشان داده است؛ چه رسد به خود آمریکا. آنها کلی رگولیشن گذاشتهاند که مثلاً اگر برای ۵G به سراغ فناوری هواوی بروند، تحت تحریم و فشار قرار میگیرند و معاهده با آنها امضا نمیشود. چرا هواوی اینقدر برایشان مهم است؟ چون وقتی خودت را وابسته به تجهیزات یک کشور دیگر کنی، در شرایط بحران ممکن است آسیبپذیر شوی. نمیگویم تجهیزات آنها بکدور دارد یا ندارد، ولی به هر حال این وابستگی یک جنس از آسیبپذیری است. همین که نتوانی یک دستگاه را بهموقع آپدیت و آپگرید کنی آسیبپذیر میشوی.
در مقوله امنیت باید توقع خود را در داخل کشور پایینتر بیاوریم و در عین حال شرکتهای بومی را تقویت کنیم که محصولات و خدمات داخلی را ارائه دهند. فرض کنید شما بهعنوان یک شرکت یا سازمان قرار باشد یک خزانهدار استخدام کنید. برای این کار دو راه دارید؛ استخدام خزانهدار متعهد یا استخدام خزانهدار متخصص. در مورد متعهد بودن یا امانتداری این متخصص اطمینان ندارید. از کدامیک استفاده میکنید؟ من شخصاً در سازمان خودم به سراغ خزانهدار متعهد میروم، ولی تخصص را نیز به او آموزش میدهم و در کنارش هستم تا به سطح کیفی مطلوب برسد. خیالم از او راحت است که امانتدار خوبی بهشمار میرود. کسی که متخصص است، ولی متعهد نیست، همیشه برای ما نگرانی و آسیبپذیری ایجاد میکند. در حوزه امنیت نیز همین وضعیت را میبینیم. شما قرار است داراییهای خود را در اختیار یکسری محصولات خارجی بگذارید، پس طبیعتاً باید نگران باشید. شاید شرکتهای کوچک نگرانی جدی از این بابت نداشته باشند، چون در حملات بزرگ هدف حمله بهشمار نمیروند، ولی صنایع بزرگ مالی و بانکهای بزرگ اگر دچار آسیب جدی شوند، طی چند دقیقه خبرش در دنیا میپیچد. هر کدام از بانکهای ما میلیونها کاربر را تحت پوشش دارند، پس آسیبپذیری آنها اثر وسیعی دارد. اگر از نگاه امنیت ملی به موضوع ننگریم، دارایی اقتصادی بانکها همان کاربران آنهاست. اگر یک بانک در طول یک ماه پنج بار دچار اختلال شود یا مشتریان او نگران نفوذ و نشت و امنیت حسابهای بانکی شوند و به بانک دیگر کوچ کنند، دچار هزاران میلیارد خسارت میشود.
راهحل چیست؟ راهحل تقویت شرکتها و محصولات بومی است. باید به سراغ خزانهدار متعهد برویم و او را به سطح خزانهدار متخصص برسانیم. باید شرکتهایی را شکل دهیم که در تأمین امنیت توانمند و قابل اتکا باشند. تمام جنبههای امنیت را نمیتوان بهصورت درونسازمانی فراهم کرد. اکنون با چنین فقر نیروی متخصص که در کشور میبینیم، غیرممکن است یک سازمان تمام جنبههای امنیت خود را فراهم سازد. تعداد شرکتها و سازمانهای بزرگ کشور که به امنیت نیاز دارند، بیشمار است. اگر هر کدام از آنها بخواهد یک تیم حداقل ۷ یا ۱۰نفره امنیتی را در سطح حرفهای استخدام کند، هزینه سنگینی برمیدارد. آیا این تعداد متخصص در مملکت داریم؟ به نظر من قطعاً نه؛ هنوز فاصله زیادی تا وضع مطلوب میبینیم. برای برقراری امنیت نیازمند بازنگری در روشها هستیم.
با توجه به شرایط و نیروهای موجود در کشور، بازنگری در روشها گریزناپذیر است. خطاب به بانک مرکزی و افتا و دیگر رگولاتورها میگویم که برای این قضیه فکر اساسی کنند. با نیروی انسانی موجود در بازار نمیتوان امنیت کشور را در حوزه فناوری اطلاعات تأمین کرد؛ لااقل با مدلهای موجود نمیشود؛ مگر اینکه مدل را تغییر دهیم.
محصولات خارجی را نمیتوان یکشبه کنار گذاشت
آریا: شاید تصور کنید که ما به این دلیل که فعال حوزه افتا هستیم، این اعتقاد را داریم ، ولی به نظر من واقعیت این است که امنیت اطلاعات باید جزء اولویتهای نخست کشور باشد. کشور ما در وضعیت عادی به سر نمیبرد. وضعیت ژئوپلیتیک ما، شرایط سیاسی، تحریمها، جنگهای سایبری و شرایط سخت اقتصادی دائماً ما را وادار میسازد که امنیت سایبری را یکی از اولویتهای نخست کشور به حساب آوریم. آیا شرکتهای کنونی کشور در حوزه افتا برای برآوردهکردن این نیاز استراتژیک کافی هستند؟ به نظر من خیر. حتماً نیازمند ارتقای سطح محصولات و خدمات هستیم. این ارتقا باید با شتاب صورت گیرد. نمیتوان ۱۰ یا ۲۰ سال منتظر کسب تجربه ماند تا محصولات بهتری توسعه یابند. شرکتهای بخش خصوصی تلاش فراوانی میکنند. همانطور که جناب عابدینژاد اشاره کردند، محصولات و خدمات داخلی تعهد بهتری دارند و برای امنیت ملی، تعهد حرف اول را میزند، اما آیا میتوان منتظر ماند که شرکتهای داخلی، در شرایطی که مجبورند همه چیزشان را خودشان فراهم کنند و هیچ کمکی از هیچ جا نگیرند، در شرایطی که رابطهشان با بازار جهانی نیز قطع است و با هیچ جا نمیتوانند مراوده دانشی و محصولی و آزمایشی و بنچمارکی کنند، محصولی در کلاس جهانی ارائه دهند، در حالی که به جای دغدغه تولید، هر روز تحت فشار مضیقههای بیمه و مالیات و شرایط سخت اقتصادی و فقر نیروی انسانی و رقابتها و انحصارهای عجیبوغریب هستند. این شرکتها چطور میتوانند در کوتاهمدت محصولی در کلاس جهانی ارائه دهند که تمام نیازهای کشور را برآورده سازد؟
در دنیا پارامترهای فراوان دست به دست هم میدهند تا محصولی را به موفقیت برسانند؛ از حمایت حاکمیت و دولت گرفته تا ارتباطات سیاسی و بینالمللی. این حمایت فقط از جنس مالی نیست و جنبههای متعددی دارد. حمایت جامعه، همراهی متخصصان و بسیاری عوامل باید کنار هم قرار گیرد تا یک محصول باکیفیت را برای رفع نیاز کشور خلق کند. میخواهم بر خلاف آقای عابدینژاد بگویم که توقعات خود را نباید پایین بیاوریم. در حوزه امنیت نمیتوان ریسک کرد. ما باید خودمان را بهسرعت ارتقا دهیم و با تجمیع پارامترهای حمایتی متعدد به تولید محصولات بهتر بپردازیم. وقتی امنیت اطلاعات را اولویت بدانیم و درک کنیم که در دوره بحران به سر میبریم، اهمیت جهاد در حوزه امنیت را میفهمیم. ما در جلسات خودمان عبارت «نهضت امنیت اطلاعات» را به کار میبریم. توان کشور در این حوزه باید تجمیع شود. باید بودجه و سرمایه و پارامترهای مختلفی در کنار هم متمرکز شوند تا محصولات مطلوب امنیت اطلاعات را در زمان مناسب به دست آوریم. بهعنوان مثال وقتی یک محصول بیرون میآید، متخصصان باید با آن همراهی کنند و بازخورد مؤثر بدهند یا وقتی نیروی انسانی نداریم، چگونه دانش و محصول تولید کنیم؟ از تحریمها گرفته تا کمبود مواد اولیه، قوانین و مقررات، بیمه، مالیات و مشکلات اقتصادی دست به دست هم دادهاند تا ما را عقب نگه دارند و جز با حمایت همه ارکان کشور به امنیت اطلاعات مطلوب ملی نخواهیم رسید.
من از ۲۳ سال قبل کار آموزشی میکنم. روزی که مایکروسافت، سیسکو و دیگر صاحبان فناوری، محصول تولید کردند، فوراً برای آنها دورههای آموزشی و گواهینامه ارائه دادند. چرا؟ چون این یکی از بهترین روشها برای خلق پایگاه دانش و دریافت بازخورد بود؛ به نحوی که جامعه دانشمحور به بهبود محصولات آنها کمک کند. محصولات ما نیز به همین رویکرد نیاز دارند. واقعیت را نمیتوان نادیده گرفت. اکنون محصولات خارجی در کنار محصولات داخلی استفاده میشوند و نمیتوان یکشبه محصولات خارجی را کنار گذاشت. در کنار محصولات خارجی باید به بهبود محصولات داخلی کمک کرد، همچنین متخصصان باید همراهی کنند تا محصولات به سطح مطلوبی برسند.
به اعتقاد من نهضت جهاد امنیت اطلاعات یکی از ضرورتهای جدی برای رسیدن به محصول و خدمت بومی مناسب است. این جهاد نیازمند تخصیص بودجه و تغییر نگاه حاکمیت خواهد بود. همیشه تغییر از بالا به پایین رخ میدهد. نگاه حاکمیت در حوزه امنیت اطلاعات باید تغییر کند. اینکه فقط شعار دهیم که دنبال محصول بومی هستیم، کفایت نمیکند. باید بسترها را فراهم سازیم. اکنون تولیدکنندگان ما به بستر مناسب نیاز دارند. اگر شرکتهای داخلی نتوانستهاند جایگزین محصولات خارجی شوند تا حد زیادی به خاطر ضعف حمایتهای حاکمیتی و بسترهای موجود است. امنیت مطلوب ملی، هدف هر کشوری است و این امر جز با همراهی تکتک اجزای کشور اتفاق نمیافتد. شرکتها و تولیدکنندگان و بخش خصوصی فقط یکی از حلقههای زنجیره امنیت هستند. بنابراین به همراهی جمعی نیاز داریم.
مشکل اکوسیستم امنیت سایبری، نگاه بسیار بسته حاکمیت است
کریمان: جواب من هم یک «نه» محکم است و برایش چند دلیل دارم. همانطور که دوستان گفتند، امنیت سایبری یک صنعت جدید است و حتی در دنیا نیز قدمت زیادی ندارد. این صنعت از ۲۰ سال پیش مورد توجه بوده است. خدمات افتا در داخل کشور را میتوان در سه حوزه دستهبندی کرد؛ یکی محصولات است که شامل تجهیزات و دستگاههای افتا میشود؛ دوم نیروی انسانی است و سوم سرویس و خدمات در این حوزه. در حوزه محصول، کشور ما بسیار عقب است. اگر قرار باشد اتفاقی در حوزه افتا بیفتد، حتماً باید با همراهی و توجه ویژه حاکمیت باشد. همانطور که خانم آریا گفتند، در این حوزه به جهاد نیاز داریم تا گام مثبتی برداریم. حوزه امنیت هزینههای سنگینی دارد و تحقیق و توسعه زیادی را میطلبد، در حالی در توان شرکتهای خصوصی نیست که در یک بازه زمانی ۱۰ساله تحقیق و توسعه انجام دهند و سپس ببینند آیا به نتیجهای میرسند یا نه. تاکنون یکسری کارها انجام شده و نمیتوان همه را نادیده گرفت، ولی بسیار عقب هستیم.
اگر آمار جهانی حقوق مشاغل را مطالعه کنید، میبینید یکی از بالاترین حقوق را به کارکنان امنیت در سازمانها اختصاص میدهند، ولی در ایران چطور؟ آیا قدر نیروی متخصصی را که مسیر طولانی را پشت سر گذاشته و همهروزه با چالشهای پیچیده و جدید همراه است، میدانند؟ نه! تمام حلقههای زنجیره باید کنار هم قرار گیرند تا وضعیت مطلوب را بسازند. تأمین امنیت به مثابه یک هرم، لایههای مختلفی دارد که این لایهها در کنار هم معنی میدهند. این لایهها از سطح پایین به بالا شامل Secure Framework، Automated Testing Tools و Peer&Design Reviws و بعد هم Red Team و BugBounty باید کنار هم قرار گیرند تا زنجیره امنیت تکمیل شود. بسیاری از این خدمات باید برونسپاری شوند. الآن شرکتهایی هستند که توان انجام کار را دارند، ولی نگاهها باید تغییر کند و از ظرفیت جدید در بازار استفاده شود.
به اعتقاد من حوزه امنیت سایبری مشابه یک اکوسیستم است. بزرگترین مشکل این اکوسیستم نگاه بسیار بسته حاکمیت است. این نگاه بسته، نهتنها شرکتها را اذیت میکند، بلکه هر کس بخواهد از شرکتها خدمت بگیرد، دچار مشکل میشود.
برای ارتقای شرکتهای حوزه افتا علاوه بر سروساماندادن به وضعیت قانونگذاری و رگولاتوری در کشور باید بازار درستی هم شکل بگیرد. اگر بازار پویا و روبهرشدی نداشته باشیم – آن هم در شرایط تحریم – نمیتوانیم به آینده این حوزه امیدوار باشیم. سازمانهای موازی و قوانین دستوپاگیر در حوزه رگولاتوری به قدری سختی و پیچیدگی جلویمان میگذارد که شرکتهای امنیتی داخلی قادر به استفاده از ظرفیتهای بینالمللی نمیشوند. وقتی تمام عوامل را کنار هم بگذاریم، میبینیم که حاکمیت باید قدر کسانی را که در حوزه امنیت سایبری کار میکنند – در هر زمینهای که فعال هستند – بداند، چون چالشهای این حوزه فراتر از هر حوزه دیگری است. نیروهای متخصص ما وقتی پیشنهاد درآمد دلاری را ببینند، هرگز داخل کشور نمیماند. همین الآن در کشورمان متخصصانی با ما همکاری میکنند که بهطور همزمان به فیسبوک و گوگل و دیگر غولهای فناوری نیز خدمات امنیت اطلاعات ارائه میدهند. ما از لحاظ دانشی کمبود نداریم، ولی نمیتوانیم و نمیگذارند از توان متخصصان داخلی استفاده کنیم. برخوردهای قهری مشکلات زیادی ایجاد میکند. باید به شرکتهای بومی اعتماد کنیم و ظرفیتهایی برایشان ایجاد شود که اکوسیستم و بستری شکل بگیرد. در حال حاضر برخی مجموعههای داخلی در حوزه افتا خوب کار میکنند، ولی فاصله زیادی تا شرایط مطلوب داریم و اگر توجه ویژه حاکمیت برای رفع مشکلات این حوزه صورت نگیرد، همه آسیب جدی میبینیم. خلأهای قانونی و نهادهای موازی یکی از مشکلات بزرگ مربوط به حاکمیت است که رفع آنها با لَختی زیادی صورت میگیرد.
بخش خصوصی؛ مهمترین بازوی اجرایی حاکمیت برای رسیدن به امنیت مطلوب
قربانی: از هر سه عزیز خواهشمندم جمعبندی و نکات نهایی خود را بفرمایند.
آریا: انتظار ما این است که برای پیشرفت در حوزه امنیت، به مشکلات کسبوکارهای افتا توجه جدی شود، چون بخش خصوصی مهمترین بازوی اجرایی حاکمیت برای رسیدن به امنیت مطلوب بهشمار میرود. امنیت مطلوب حاصل عوامل گوناگونی چون شفافسازی، تعامل با متولیان، برنامهریزی و اجرا و وجود ضمانت اجرایی و… است که در سالیان اخیر بهتدریج و تا حدودی انجام شده، ولی بخش خصوصی باید یک کرسی ثابت مشورتی و عملیاتی در نهادهای تصمیمگیرنده حاکمیتی داشته باشد، ضعف قوانین و مقررات و کمبود بودجه حوزه افتا، همچنین ضعف نیروی انسانی نیز باید جبران شود، بهعلاوه باید فرهنگسازی و آگاهیرسانی در حوزه امنیت اتفاق بیفتد و بهطور کلی اهمیت صنعت افتا در کشور باید درک شود. از بهترین تجارب جهانی و ملی باید درس گرفت. همین رخدادهای امنیتی بهترین فرصتهای آموختن هستند. این فرصتها را نباید از دست داد. باید برنامهریزی کرد تا به نتیجه مطلوب برسیم. وقتی بحرانی اتفاق میافتد، باید از قبل برایش برنامه داشته باشیم و بحرانها را مدیریت کنیم.
ما بهعنوان بخش خصوصی خواستار ارتقای جایگاه و نقش خود در تأمین امنیت هستیم. امنیت اطلاعات یک عرصه بسیار سخت بهشمار میرود. افرادی که میتوانستند مهاجرت کنند و کارهای خیلی آسانتری انجام دهند، ولی در کشوری با شرایط اقتصادی سخت، ضعف قوانین، تحریم و… ماندند و سالهای سال تلاش کردند. حداقل انتظار این است که به ما اعتماد شود. این متخصصان، جهادگرهای حوزه امنیت اطلاعات هستند و ما بهعنوان نماینده بخش خصوصی انتظار اعتماد، مشارکت و اختصاص کرسی بخش خصوصی در نهادهای تصمیمساز را داریم. ما در صف اول مقابله با بحران ایستادهایم. بحرانهای ملی متعددی رخ میدهد و خواهد داد که اولین صف مقابله با آنها متخصصان بخش خصوصی هستند. همه ما دغدغهمند هستیم. ما بهعنوان بخش خصوصی متخصص، با همه مشکلات و کاستیها و ارزشهای بینظیری که آفریدهایم، دستمان برای همکاری به سوی حاکمیت دراز است. امیدواریم بهموقع و در زمان و جایگاه درست، این همکاری و تعامل شکل بگیرد تا با ارائه محصولات و خدمات خوب شرکتهای داخلی به نتیجه مطلوب برسیم. متشکرم.
اشتراکگذاری اطلاعات رخدادهای امنیتی را جدی بگیریم
کریمان: با توجه به اینکه ماهنامه شما بیشتر در حوزه خدمات پرداخت فعالیت میکند، لازم است یک نکته را یادآوری کنم. در دنیا تسهیم دانش در حوزه افتا خیلی رایج است. این درخواست ماست. وقتی سازمان شما مورد حمله سایبری قرار میگیرد، شما متهم و مجرم نیستید و فقط یک قربانی هستید و این اتفاق برای همه میتواند پیش بیاید. اگر از آن رخداد گزارشی ارائه دهید، به سایر قربانیان احتمالی هشدار میدهید و جلوی خسارتهای آتی را خواهید گرفت. مخاطبان شما باید حملات متعددی را که در حوزههای مختلف کشور مرتباً تکرار میشود، گزارش دهند تا بتوانیم با کمک همدیگر جلوی آن حملات را بگیریم. اگر منتظر حاکمیت بایستیم، با لَختی که همه حاکمیتها و دولتها دارند، هرگز این اتفاق نخواهد افتاد. تغییر را باید از خودمان شروع کنیم. از طریق اشتراکگذاری دانش، Threat Sharing و همفکری میتوانیم به یکدیگر کمک کنیم. ساده شروع کنیم؛ حتی نوشتن یک پست بلاگ مختصر، مطمئناً مؤثر خواهد بود.
ما در ابتدای راه تهدیدات سایبری هستیم و مسیر طولانی و پرمخاطرهای را پیش رو داریم. اگر بازیگران این مسیر خودشان به فکر خود نباشند، بعید میدانم اتفاق خاصی از جای دیگری بیفتد. شما بهعنوان کارشناس یا مدیر یا تصمیمگیر یک سازمان باید خودتان را موظف بدانید تا نسبت به امنیت دیگران بیتوجه نباشید. مؤثرترین گام از طریق اطلاعرسانی عمومی در خصوص رخدادهایی است که درگیرشان بودیم. این نشانه ضعف مجموعه شما نیست، بلکه نشاندهنده قوت شماست که نسبت به آسیبپذیریهایتان آگاه هستید. قبول دارم که نگاههای مدیریتی در این زمینه بسته و محدود هستند، ولی اگر این کار شروع شود، برکاتش را همه میبینند.
تا زمانی که اشتراکگذاری اطلاعات اتفاق نیفتد، باز هم گاهی داستانی مشابه پمپ بنزینها رخ میدهد، یکی، دو هفته موج رسانهای ایجاد میکند و به فراموشی سپرده میشود. اگر هر روز تهدیدها و اتفاقهایی که رخ میدهد، بازگو شود، کمک میکند که مردم نسبت به حقوقشان حساستر شوند و متولیان را نیز وادار به تصمیمات بهتری میکند. از وقتی که به ما دادید و از همراهی تیم خوب ماهنامه عصر تراکنش ممنونم.
آموزش، آموزش، آموزش
عابدینژاد: به نظر من یکی از اتفاقهای مهمی که باید بیفتد شفافسازی، آموزش و فرهنگسازی برای مدیران است تا ارزش داراییهای غیرملموس و خسارتهای احتمالی را که میتواند به آن وارد شود، بشناسند. این موضوع تاکنون مغفول بوده است. هر چقدر مدیران ارشد از حوزه امنیت حمایت کنند و آگاه باشند اولویت امنیت بالا میرود و اتفاقات بهتری در این رابطه میافتد. نکته دوم مربوط به رگولاتورها؛ اعم از بانک مرکزی و افتا و دیگر نهادهای قانونگذار است که باید روشها و الزامات خود را در رابطه با تأمین امنیت تغییر دهند. با توجه به منابع کنونی داخل کشور اتفاق بزرگی نمیتواند بیفتد. ما هم باید مثل تمام دنیا اماساسپیها را شکل دهیم و شرکتهای تخصصی تأمین امنیت را فعال سازیم. حمایت از شرکتهای بومی بسیار مهم است. خانم آریا اشاره درستی به اهمیت شرکتهای بومی داشتند. حمایت از شرکتهای بومی باید هوشمندانه باشد. من اصلاً قائل به این نیستم که جلوی محصولات خارجی را بگیریم، ولی در بلندمدت، حمایت هوشمندانه و گامبهگام از شرکتهای بومی باید کمک کند که امنیت را بر عهده آنها بگذاریم. این اتفاق دیر یا زود خواهد افتاد؛ به شرطی که حمایت لازم صورت گیرد.
تمام حرفهایم را در یک کلمه خلاصه میکنم؛ آموزش، آموزش، آموزش. این آموزش باید در سطوح مختلف باشد؛ آموزش برای مدیران ارشد، آموزش برای تربیت نیروهای متخصص، آموزش برای مدیران میانی. هر کدام از اینها آموزشهای خاص خود را میطلبند. برای ساماندهی این اقتصاد بزرگ نیازمند آموزش هستیم. واقعیت این است که داراییهای هنگفتی در کل کشور در معرض تهدید قرار دارند. برای حفاظت از این داراییها، اقتصاد بزرگی برای امنیت اطلاعات میتواند شکل بگیرد؛ به شرطی که به آن بها دهیم. نیروی متخصص کافی در این حوزه نداریم. باید آموزش بدهیم؛ گرچه مهاجرت هم آزاردهنده است. بههرحال آموزش میتواند بسیاری از مشکلات ناشی از مهاجرت را برطرف سازد.
همانطور که خانم آریا هم اشاره کردند، در نظام صنفی رایانهای آمادگی تعامل همهجانبه با رگولاتورها را داریم. آنچه میتواند حلال مشکلات باشد، بخش خصوصی است که باید در تعامل نزدیک با رگولاتور، در سیاستگذاریها بر مبنای واقعیتهای بازار مؤثر واقع شود. متأسفانه تاکنون این تعامل وجود داشته، ولی کم بوده است.
منبع: راه پرداخت
