This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟

1230

آن‌چه می‌خوانید به نقل از راه‌پرداخت و به قلم رسول قربانی ست.

عصر تراکنش ۵۲ / در طول دو ماه گذشته حداقل دو رخداد امنیتی یکی در سطح بین‌المللی و دیگری در سطح ملی باعث شد دوباره نگاه‌ها به سمت امنیت در حوزه فناوری اطلاعات و ارتباطات جلب شود. اولی قطع‌شدن چندین‌ساعته تمام سرویس‌های فیس‌بوک از جمله فیس‌بوک، اینستاگرام و واتس‌اپ بود و دیگری حمله سایبری به سامانه مدیریت سوخت ایران که تقریباً دو روز قطعی پمپ‌بنزین‌ها را با خود به همراه داشت. تجربه نشان داده این رخدادهای امنیتی باعث می‌شوند مدیران نهادها و کسب‌وکارها برای مدت کوتاهی دوباره به مسائل امنیت اطلاعات و استانداردهای پیرامون آن توجه کنند و بعد از افتادن آب‌ها از آسیاب، دوباره همان آش و همان کاسه! همین نگاه باعث شد با حضور سه تن از متخصصان و چهره‌های شناخته‌شده افتای ایران میزگردی داشته باشیم و ریشه‌های این نگاه در مدیران ایرانی و به‌طور کلی مسائل و چالش‌های افتا در ایران را بررسی کنیم.

این میزگرد با حضور بهناز آریا، رئیس کمیسیون افتا در سازمان نظام صنفی رایانه‌ای استان تهران و مدیرعامل گروه شرکت‌های کهکشان؛ علیرضا عابدی‌نژاد، مدیرعامل شرکت داده‌پردازان دوران و عضو هیئت‌مدیره نظام صنفی رایانه‌ای استان تهران و عضو شورای مرکزی نظام صنفی رایانه‌ای کشور و محمدامین کریمان، راهبر اجرایی و هم‌بنیان‌گذار پلتفرم باگ‌بانتی راورو به شکل آنلاین برگزار شد. متن این میزگرد را در ادامه می‌خوانید.

امنیت بیش از اینکه در زمان بودنش احساس شود، در زمان نبودنش به چشم می‌آید. وقتی با افراد راجع به موضوعات امنیتی صحبت می‌کنیم، می‌بینیم دغدغه چندانی برای آن ندارند، چون تا امروز از این نقطه دچار بحران نشده‌اند و معتقدند قبل از صرف انرژی و منابع برای امنیت، چیزهای واجب‌تر دیگری برای مصرف منابع و انرژی وجود دارد و در زمان مواجهه با بحران، می‌خواهند یک‌شبه امنیت را ایجاد کنند. نظر شما در خصوص این فرضیه چیست؟

آن‌چه در این بلاگ‌پست خواهید خواند:

• چالش عدم درک حفظ دارایی‌های نرم

• مکانیسم درستی برای اندازه‌گیری ارزش داده‌ها نداریم.

• کسی پاسخگوی مسئولیت‌های ناشی از عدم اجرای قانون نیست.

• کار امنیت، کار آتش‌نشانی نیست، کار پیشگیرانه است.

• امنیت دغدغه چندم مدیرعامل یک بانک است؟

• امنیت فقط با تخصیص تیم و بودجه به ‌دست نمی‌آید؛ یک اتفاق جمعی است.

• امنیت هر سازمانی به اندازه ضعیف‌ترین حلقه زنجیره خودش است.

• در حوزه مالی تا‌به‌حال فقط شانس آورده‌ایم که اتفاقات جدی‌تری نیفتاده.

• صنایع مالی یقیناً در افتا از سایر صنایع جلوتر هستند، ولی وضعیت مطلوبی ندارند.

• نهادهای رگولاتور باید تغییر رویکرد دهند.

• محصولات خارجی را نمی‌توان یک‌شبه کنار گذاشت.

• مشکل اکوسیستم امنیت سایبری، نگاه بسیار بسته حاکمیت است.

• بخش خصوصی؛ مهم‌ترین بازوی اجرایی حاکمیت برای رسیدن به امنیت مطلوب

• اشتراک‌گذاری اطلاعات رخدادهای امنیتی را جدی بگیریم.

• آموزش، آموزش، آموزش

چالش عدم درک حفظ دارایی‌های نرم

علیرضا عابدی‌نژاد: به نظر من فرضیه درستی را مطرح کردید. امنیت نسبی است. پس سطحی از امنیت را در هر جا می‌بینید ولی طبیعتاً می‌تواند فاصله زیادی تا سطح لازم امنیت داشته باشد. اجازه بدهید هزینه‌کردن در خصوص امنیت را با هزینه‌کردن در خصوص بیمه مقایسه کنیم. امنیت از یک جهت مثل بیمه می‌ماند. وقتی ماشین‌تان را بیمه می‌کنید طبیعتاً دنبال جلوگیری از بحران نیستید، فقط می‌خواهید خسارت بحران را کاهش دهید. حال آنکه در کل در خصوص امنیت موضوع فراتر از اینهاست. هر چقدر در حوزه امنیت بیشتر هزینه کنید، هم می‌توانید تا حدودی جلوی بحران را گرفته و هم خسارات آن را کاهش دهید. خیلی اوقات ماشین‌تان را بیمه می‌کنید و تا ۱۰ سال هزینه می‌پردازید و اتفاقی هم برایش نمی‌افتد و دائم به خودتان می‌گویید «هزینه بیمه، زائد است»، در حالی که این‌طور نیست؛ اگر همان سال اول اتفاقی برایتان می‌افتاد، احتمالاً سال‌های بعدی با رضایت خاطر بیمه را تمدید می‌کردید. بنابراین افراد هزینه می‌کنند که خیال‌شان راحت باشد.

امنیت در حوزه فناوری اطلاعات و هزینه‌های مربوط به آن برای جامعه ملموس نیست، ولی هزینه امنیت فیزیکی کاملاً ملموس است؛ مثلاً وقتی از ساختمانی سرقت بشود، اولین کاری که می‌کنید، نصب حفاظ برای پنجره‌ها و در ضدسرقت و قفل‌های پیچیده‌تر و گاوصندوق محکم‌تر است. تمام این مدل‌ها در حوزه امنیت اطلاعات نیز مطرح هستند، ولی بخش بزرگی از جامعه شخصی و سازمانی ما مفهوم حفظ دارایی‌های نرم را کمتر درک می‌کند. همه می‌دانند که خانه و خودروی آنها دارایی‌های مهمی به‌شمار می‌رود که باید حفظ شود، ولی آیا داده سازمان هم دارایی مهمی به‌شمار می‌رود؟ آیا سرویس‌هایی که الآن به‌خوبی کار می‌کنند و منبع درآمد هستند یا وظایف سازمانی را پیش می‌برند، دارایی باارزشی به حساب می‌آیند؟ متأسفانه این دارایی‌ها برای جامعه ملموس نیستند و به همین دلیل است که متأسفانه در بسیاری از موارد امنیت جدی گرفته نمی‌شود.

مکانیسم درستی برای اندازه‌گیری ارزش داده‌ها نداریم.

محمدامین کریمان: امنیت یک موضوع پنهان نیست. متأسفانه خیلی‌ها امنیت سایبری را یک کالای لوکس تلقی می‌کنند، در حالی که امنیت یک زیرساخت و یک الزام به‌شمار می‌رود. اگر بخواهید پایه‌های درستی برای کسب‌وکار آنلاین شکل دهید، نمی‌توانید امنیت را نادیده بگیرید. جامعه ما در یک دوره گذار از خدمات آفلاین به خدمات آنلاین است و هر روز نقش این سرویس‌ها در زندگی مردم بیشتر می‌شود. در این میان هر مجموعه‌ای که الزامات امنیتی را نادیده بگیرد، نه‌تنها به کسب‌وکار خود، بلکه می‌تواند به آحاد جامعه آسیب بزند.

اتفاقی که در مورد حادثه پمپ‌ بنزین‌ها افتاد، تنها نمونه کوچکی بود که میزان تأثیر ناامنی در فضای سایبری روی زندگی مردم را نمایان کرد.متأسفانه در رخدادهای سایبری معمولاً حجم بالایی از نشت داده داریم که تأثیر مستقیمش در جامعه عمومی به چشم نمی‌آید. همین نشت داده‌‌ها منشاء خسارت‌ها و رخداد‌های آتی سایبری می‌شوند.

برای مشخص‌شدن تأثیر رخداد‌های سایبری، تعیین میزان خسارت عامل بسیار مهمی است که متأسفانه مکانیسم درستی برای اندازه‌گیری ارزش داده‌ها و برآورد میزان خسارت نداریم. این مشکل فقط مربوط به ایران نیست؛ در سطح جهانی نیز ضعف قانون و رگولاتوری برای تعیین ارزش اطلاعات و برآورد میزان خسارت با چالش بزرگی مواجه است و این ضعف باعث شده تا اکثر رخداد‌های سایبری آن‌گونه که باید، مورد توجه قرار نگیرند.

کسی پاسخگوی مسئولیت‌های ناشی از عدم اجرای قانون نیست.

بهناز آریا: وقتی با یک مسئله ناملموس مثل داده مواجه هستیم که بزرگ‌ترین دارایی سازمان‌های امروز به حساب می‌آید؛ در مرحله اول به‌طور طبیعی آن را مورد توجه قرار نمی‌دهیم. در سازمان‌ها عادت کرده‌ایم که هر جا صحبت از هزینه و امنیت به میان می‌آید، به فکر خرید تجهیزات قابل لمسی بیفتیم که امنیت را برایمان تأمین می‌کنند، در حالی که حوزه امنیت جنبه‌های ناملموسی دارد که سازمان‌ها کمتر به سراغ آن می‌روند. امروزه در دنیا افتا تبدیل به صنعت شده و دنیا روی آن سرمایه‌گذاری زیادی می‌کند، در حالی که در کشور ما مغفول مانده است.

چرا تا زمانی که سناریوی وحشت شکل نگیرد، سازمان‌ها اهمیت امنیت را درک نمی‌کنند؟ بعد از اتفاق هم یکی، دو هفته تب‌وتاب دارند و دوباره یادشان می‌رود. حتی وقتی اتفاقی می‌افتد، هیچ‌کس درباره آن پاسخگو نیست. قوانین و مقررات وجود دارند، ولی کسی پاسخگوی مسئولیت‌های ناشی از عدم اجرای قانون نیست. در دنیا نمودار حمله و سطح آسیب‌پذیری مرتب در حال تغییر و بزرگ‌تر شدن است و ما باید به‌طور دائم آگاه باشیم و مسائل را رصد کنیم. یعنی باید به‌دنبال پیشگیری برویم. در صورتی که ما فقط منتظر می‌مانیم که اتفاقی بیفتد و به نحوی آن را لاپوشانی کنیم؛ هیچ شفاف‌سازی انجام نمی‌دهیم و دوباره مسئله فراموش می‌شود تا اتفاق بعدی.

انسان همیشه به‌دنبال کسب ارزش و افزودن ارزش‌های زندگی خود است. همین رویکرد در سازمان‌ها نیز دیده می‌شود. اگر مشکل امنیتی پیش بیاید، ارزش را از دست می‌دهیم. این ارزش می‌تواند مالی، اعتبار و آبرو یا مشتریان باشند. از دست دادن ارزش‌ها، مهم‌ترین مخاطره امنیتی به حساب می‌آید. در این‌باره باید فرهنگ‌سازی، ریشه‌یابی و شفاف‌سازی اتفاق بیفتد تا موضوع امنیت جایگاه واقعی خود را بیابد و به اولویت کشور تبدیل شود. با توجه به موقعیت ژئوپلیتیک ایران، امنیت باید دغدغه تمام صنایع کشور باشد، نه فقط فناوری اطلاعات.

قربانی: چه راهکاری برای انتقال اهمیت امنیت اطلاعات به جامعه و تصمیم‌گیران و تصمیم‌سازان دارید؟ چطور می‌توان افراد را به وقت‌گذاشتن و صرف هزینه و انرژی در حوزه امنیت اطلاعات ترغیب کرد؟

کار امنیت، کار آتش‌نشانی نیست، کار پیشگیرانه است.

آریا: به‌عنوان کسی که سال‌ها در کمیسیون افتا در سازمان نظام صنفی فعالیت می‌کند، مهم‌ترین مسئله را تعامل با بخش‌های حاکمیتی می‌دانم. بخش خصوصی باید بازوی مشورتی و اجرایی حاکمیت باشد. الآن بخش عمده دانش و تخصص کشور در بخش خصوصی تجمیع شده است. امنیت ملی یک دغدغه مهم و درست مملکت است و باید آن را به بخش خصوصی بسپاریم. بخش خصوصی به‌عنوان بازوی اجرایی حاکمیت می‌تواند امنیت را تأمین کند. تربیت نیروی متخصص، تولید دانش، تولید محصول داخلی، ارائه سرویس، همه اینها در بخش خصوصی اتفاق می‌افتد. اما حاکمیت فقط با بخش خصوصی از جایگاه «ابلاغ‌کننده» تعامل می‌کند، یعنی انواع آیین‌نامه‌ها، قوانین و مقررات زمانی به بخش خصوصی اطلاع‌رسانی می‌شود که فقط چند روز به تصویب آن مانده و اظهارنظر نهایی را از آنها می‌خواهند یا حتی گاهی نظرخواهی هم انجام نمی‌شود. سازمان نظام صنفی به‌عنوان نماینده بخش خصوصی در دولت، در حوزه امنیت اطلاعات کرسی ندارد و در زمان لازم کرسی مشورتی و اجرایی به آنها داده نمی‌شود.

Image

تعامل مناسب باید در زمان مناسب صورت گیرد. متأسفانه همیشه رویکرد آتش‌نشانی داریم؛ منتظر می‌مانیم تا اتفاقی بیفتد و سپس به سراغ مجموعه‌های متخصص برویم. کار امنیت، کار آتش‌نشانی نیست، کار پیشگیرانه است. پس باید در زمان مناسب با شرکت‌ها و افراد مناسب تعامل شود و برای اتفاقات از قبل برنامه‌ریزی کنیم. وقتی هم اتفاقی بیفتد، باید از آن درس بگیریم و ریشه‌هایش را شفاف کنیم. متخصصان باید در این‌باره بحث کنند که چه آسیب‌پذیری، چه راه‌های پیشگیری و چه قوانین مرتبطی وجود دارد.

می‌دانید که رگ‌تک چقدر در حوزه مالی اهمیت دارد. تعامل به‌موقع با متخصصان می‌تواند جلوی اتفاقات بزرگ را بگیرد. قبل از اینکه زیرساخت‌های حیاتی مختل شوند، باید به امنیت آنها توجه کنیم. وقتی هم اتفاقی رخ دهد، باید برای مدیریت بحران و تداوم کسب‌وکار آماده باشیم. به نظر من برنامه‌ریزی و تعامل با متخصصان بخش خصوصی می‌تواند از شدت آسیب بکاهد.

امنیت دغدغه چندم مدیرعامل یک بانک است؟

عابدی‌نژاد: ما در کشوری زندگی می‌کنیم که بخش زیادی از اقتصاد، دولت‌محور است و نقش بخش خصوصی را کمرنگ کرده‌ایم. بخش خصوصی واقعی همیشه حواسش را به تمام دارایی‌هایش جمع می‌کند و می‌داند که اگر ماشین او را دزد ببرد، چقدر خسارت می‌بیند؛ پس مسئولیت محافظت از آن را می‌پذیرد و برای محافظت از آن تدابیر لازم را می‌اندیشد. ولی بخش دولتی، هم اطلاعات کافی راجع به ارزش داده‌هایش ندارد و هم به اندازه دارایی‌های شخصی خودش نسبت به دارایی عمومی دغدغه نشان نمی‌دهد.

اگر بخواهیم بهای بیشتری به امنیت بدهیم، چاره کار در شفاف‌سازی برای مدیران ارشد است. مدیران فناوری اطلاعات در همه جا کم‌وبیش اهمیت امنیت را می‌دانند، اما دغدغه چند درصد از مدیران ارشد مربوط به امنیت است؟ مدیرعامل یک بانک چند درصد از فکر خود را صرف امنیت می‌کند؟ دغدغه درجه چندم اوست؟ شاید دغدغه بیستمش هم نباشد. شاید مدیر بانک هنوز متوجه ریسک‌های پیش روی خود نباشد. هر چقدر که حاکمیت، بخش خصوصی و رسانه‌هایی مثل راه پرداخت و عصر تراکنش دغدغه‌های امنیتی را بیشتر مطرح کنند، جامعه آگاه‌تر خواهد شد.

به‌عنوان مثال، اتفاقی که برای کارت سوخت افتاد، چه خسارتی به کشور وارد کرد؟ شاید چندصدمیلیارد تومان یا چندهزار میلیارد تومان خسارت دیدیم که الآن دولت به‌دنبال جبران خسارت است. این فقط رقم خسارت مستقیم ریالی بوده، در حالی که خسارت‌های معنوی و اعتباری زیادی نیز وارد شده که قابل تبدیل به ارقام مالی هستند. این اطلاعات باید در اختیار مدیران قرار گیرد. آیا مدیران مربوطه می‌دانند که چه میزان خسارت به صنعت نفت وارد شده؟ درباره پیگیری حقوقی خسارت‌ها صحبت نمی‌کنم؛ اهمیت شفاف‌سازی را می‌گویم. الآن هیچ مرجعی در ایران گزارش خسارت نمی‌دهد و کسی نسبت به داشته‌های خودش آگاه نیست. تمام سازمان‌ها و شرکت‌ها داشته‌های فیزیکی خود را قیمت‌گذاری می‌کنند و از موجودی مطلع هستند، ولی داشته‌های غیرفیزیکی قیمت‌گذاری نمی‌شوند.

من به‌عنوان یک مدیر ارشد باید بدانم ارزش سازمانی که تحویل گرفته‌ام، چقدر است. الآن در بورس این عدد و رقم‌ها را تا حدی مشخص می‌کنند. به‌عنوان مثال داشته‌های فیزیکی یک شرکت پتروشیمی معلوم است، ولی می‌بینیم که با ارزش کل شرکت اختلاف فاحشی دارد؛ مثلاً داشته‌های فیزیکی پنج هزار میلیارد تومان، ولی ارزش کل شرکت ۲۰ هزار میلیارد تومان تخمین زده می‌شود. این فاصله ناشی از چیست؟ از همان استمرار کسب‌وکار که خانم آریا اشاره کردند. داشته‌های غیرفیزیکی شامل برند شرکت، اعتبار شرکت، دانش شرکت و روند مداوم کسب درآمد شرکت هستند که همگی در معرض آسیب امنیتی قرار دارند. آیا هیچ مرجعی این آمارها را به‌طور شفاف اعلام می‌کند؟ رسانه مسئولیت سنگینی در این رابطه دارد و نباید اتفاقاتی را که در کشور می‌افتد، رها کند. شاید اطلاعات محرمانه را رسانه‌ها نتوانند منتشر سازند، ولی می‌توانند اطلاعات مالی داده‌های عمومی را تخمین بزنند. میزان مصرف سوخت در کشور، تعداد جایگاه‌های سوخت و… موجود است و می‌توان بر اساس آنها تخمین خسارت را انجام داد. مدیران ارشد ما از این واقعیت‌ها آگاهی ندارند.

اگر قرار باشد اتفاق خوبی در حوزه امنیت بیفتد، از طریق بالا بردن آگاهی‌های امنیتی مدیران ارشد خواهد بود. شاید لازم باشد دوره‌های ویژه برای آنها بگذاریم تا اهمیت دارایی‌هایشان را بهتر درک کنند. در یک سازمان خدمت‌محور دولتی که خدمات عمومی ارائه می‌دهد، ارزش‌ها ملموس نیست و مدیر می‌گوید: «نهایتش این است که سرویس ما چند روز قطع شود یا داده‌ها لو برود.»

دغدغه ما شفاف‌سازی، آموزش و فرهنگ‌سازی است. اینها اگر اتفاق بیفتد، خود مدیران می‌دانند که چطور بهای بیشتری به امنیت بدهند و اینکه داده‌های خود را چطور حفظ کنند و چقدر ارزش دارد. فرضاً اگر شما بدانید مجموعه خدمات و استمرار کسب‌وکار سازمان ۱۰۰۰ میلیارد تومان ارزش دارد، حاضر می‌شوید برایش ۱۰ یا ۲۰ میلیارد تومان هزینه کنید، ولی وقتی تصور کنید «ارزشی نداره، رفت که رفت»، حتی ۱۰۰ میلیون تومان هم نمی‌پردازید. مشکل اینجاست.

امنیت فقط با تخصیص تیم و بودجه به ‌دست نمی‌آید؛ یک اتفاق جمعی است.

کریمان: سرکار خانم آریا به نکته درستی اشاره کردند. اکثر سازمان‌ها در مواجهه با تهدیدات سایبری به سمت خرید تجهیزات، راه‌اندازی تیم‌های امنیت و… می‌روند، در حالی که این اقدامات الفبای آغازین این حوزه ‌است. سازمان‌ها نباید به این اقدامات بسنده کنند، چون علاوه بر رشد سریع تهدیدات سایبری، راهکارهای مقابله با آن به‌سرعت تغییر می‌کند. قبل از هر چیز باید صورت‌مسئله را بشناسیم و بدانیم سازمان و کسب‌وکار ما چه دارایی‌هایی دارد و این دارایی‌ها در معرض چه تهدیدهایی قرار می‌گیرند. این یک گام بسیار مهم است برای اینکه نگاه درست نسبت به امنیت در سازمان شکل بگیرد.

اکثر تیم‌های امنیتی در سازمان‌ها دغدغه‌ها را به‌درستی درک می‌کنند، ولی مدیران بالادستی توجیه نیستند که تهدیدات سایبری چه مخاطراتی را برای کل سازمان ایجاد می‌کند. باید مدیران و تصمیم‌گیران سازمانی را نسبت به آسیب‌های گسترده و طولانی‌مدت حملات سایبری آگاه کنیم. امنیت فقط متکی به دانش فنی یک تیم نیست و با اختصاص بودجه به دست نمی‌آید؛ یک کار جمعی است که به همراهی تک‌تک اجزای سازمان نیاز دارد.

در حوزه امنیت یک گزاره معروف هست که می‌گوید: «شما یا هک شده‌اید و آگاه هستید نسبت به اتفاقی که افتاده، یا هک شده‌اید و آگاه نیستید». گزاره سومی نداریم. امنیت مطلق نیست و همه آسیب می‌بینند. تنها راهکار، پیش‌بینی، افزایش تاب‌آوری و کاهش سطح آسیب است. مؤسسه PwC هر سال گزارشی از مدیران ارشد C-Levelهای سازمان‌ها در سطح جهانی ارائه می‌دهد و در بخشی از این گزارش به تهدیدات و مخاطرات سالیان آتی کسب‌وکارها اشاره می‌کند. جالب این است که در سال ۲۰۲۰ تهدیدات سایبری مقام چهارم از منظر تهدیدات بالقوه برای چشم‌انداز رشد سازمان به حساب آمده و در سال ۲۰۲۱ به رتبه دوم رسیده است. کسب‌وکارها در سطح جهانی متوجه شده‌اند که یکی از نخستین تهدیدهای بقا و رشد کسب‌وکار آنها حملات سایبری است.

حملات سایبری را بر اساس میزان تهدید برای سازمان می‌توان دسته‌بندی کرد؛ حملاتی که می‌توان جلوی آنها را گرفت، این حملات معمولاً توسط تجهیزات و نرم‌افزارهای به‌روز قابل شناسایی هستند. حملاتی که می‌توان آسیب آنها را کاهش داد، این حملات روش مقابله مشخص ندارند، اما با پیاده‌سازی سازوکار درست می‌توان آنها را پایش و شناسایی کرد و در نهایت حملات پیشرفته‌ای که سال‌ها می‌گذرد تا متوجه شویم که جزء قربانیان آن بوده‌ایم. متأسفانه در کشور ما بسیاری از سازمان‌ها نسبت به حملاتی که می‌توان جلوی آنها را گرفت، آسیب‌پذیر هستند. این وضعیت امنیت سایبری اصلاً مطلوب نیست.

امنیت یک طیف است و حالت صفر و یکی ندارد. مخاطرات را باید به‌درستی بشناسید، شناخت خوبی از دارایی‌های دیجیتال سازمان‌ داشته باشید و برای هر کدام از این تهدید‌ها برنامه‌ریزی کنید تا مخاطرات را بعضی جاها از بین ببرید، بعضی جاها اثرش را کاهش دهید و برخی جاها خود را برای بدترین حالت‌ها آماده کنید تا سازمان بتواند با کمترین آسیب از رخدادها عبور کند.

امنیت هر سازمانی به اندازه ضعیف‌ترین حلقه زنجیره خودش است.

قربانی: آیا صنایع مالی ایران که شامل بانک‌ها، کارگزاری‌های بورس، هسته معاملات بورس، بیمه‌ها، شرکت‌های پی‌اس‌پی و پرداخت و… می‌شوند، از نظر افتا در نقطه مطلوبی قرار دارند؟

کریمان: بزرگ‌ترین ریسکی که نهادهای مالی را نیز درگیر می‌کند، تحریم‌هایی هستند که تهیه برخی تجهیزات و نرم‌افزارها را دشوار می‌سازند. این خلاء بسیار بزرگی است. سرعت رشد تهدیدات از شناسایی آنها بسیار بیشتر است و در این میان سرعت واکنش عامل مهمی محسوب می‌شود.

بررسی‌های ما در مورد دیگر کشورهای دنیا نشان می‌دهد همواره حوزه مالی و بانکی جزء پیشگامان در امنیت سایبری هستند، چون ارزش دارایی‌ها را بهتر درک می‌کنند. در کشور ما نیز صنایع مالی نسبت به سایر حوزه‌ها بیشترین توجه را به امنیت نشان می‌دهد.

در عرصه امنیت سایبری یک طیف از اقدامات داریم که باید زیرساخت مورد نیاز آن را بسازیم. پیاده‌سازی و مراقبت از این زیرساخت، پایش و رصد مداوم، به‌روزرسانی سریع و حفظ آمادگی در کنار هم می‌تواند راهگشا باشد. ضعیف‌ترین حلقه در این زیرساخت می‌تواند کل زنجیره را زیر سؤال ببرد.

نقطه خیلی مهم که در چند سال گذشته کمبود آن حس می‌شود و مورد توجه فراوان بوده، استفاده مفهوم Threat Sharing در حوزه‌ مالی و بانکی است که باید فراسازمانی به آن نگاه کرد. ISAC و ISAS دو پیش‌نیاز لازم برای این حوزه است. این پروژه‌ها قرار است روی تهدید‌ها متمرکز باشند؛ نه اینکه صرفاً مقابل یکسری نفوذهای پیش پا افتاده را بگیرند. آنها باید جلوی حملات پیشرفته‌ای را بگیرند که تاکنون شناسایی نشده‌اند. اگر پروژه‌های ISAS و ISAC در حوزه مالی و بانکی اجرا شود که خبر دارم الآن تا حد زیادی جلو رفته است، به یک نقطه اتصال خوب بین مجموعه‌های مختلف و شبکه بانکی تبدیل می‌شود که می‌تواند رویدادهای سامانه را با مکانیسم مشخصی با سایرین تسهیم و از دانش به وجود آمده برای ارتقای امنیت در کل ساختار استفاده کند.

یکی دیگر از دغدغه‌های ما برای ارتقای امنیت مربوط به مهاجرت نیروی متخصص است؛ هر چقدر هم تجهیزات خوبی داشته باشید، بدون نیروی انسانی و دانش، قابل استفاده نخواهد بود.

در حوزه مالی تا‌به‌حال فقط شانس آورده‌ایم که اتفاقات جدی‌تری نیفتاده.

آریا: بنده هم در پاسخ به سؤال شما می‌گویم مطمئناً در وضعیت مناسبی از این لحاظ نیستیم. تابه‌حال شانس آورده‌ایم که اتفاقات جدی‌تری نیفتاده؛ گرچه برخی اتفاقات رخ داد که به اطلاع عموم نرسید. همیشه یکی از نگرانی‌های عمده افتا مربوط به دارایی‌های مالی است که ارزش زیادی دارند. در ایران باید فعالیت زیادی در این حوزه انجام دهیم. الآن، با افزایش احتمال بروز خطر در سیستم‌های مالی مواجهیم. ابزارهای حمله بسیار پیچیده‌تر و انگیزه‌ها بیشتر شده‌اند. این انگیزه‌ها می‌تواند انگیزه مالی، اعتباری یا حاکمیتی باشد. هر روز با احتمال بروز رخدادهای بیشتری مواجهیم؛ به‌خصوص در حوزه مالی که برای هر کشوری به‌عنوان گلوگاه و پاشنه‌آشیل مطرح است. ما به‌شدت به سرمایه‌گذاری در این حوزه نیاز داریم. وقتی از سرمایه‌گذاری حرف می‌زنیم، شاید این‌طور تصور شود که منظور فقط خرید تجهیزات و صرف هزینه است، ولی یکی از مهم‌ترین سرمایه‌هایی که داریم از دست می‌دهیم، سرمایه انسانی است. مهاجرت نیروی انسانی متخصص باعث کمبود جدی در کشور شده است. یکی از سرمایه‌گذاری‌های جدی ما باید روی نیروی انسانی باشد. از آموزش تا نگهداشت نیروی انسانی اهمیت دارند. تأمین زیرساخت، فناوری و نیروی انسانی در کنار قوانین و مقررات اهمیت دارند. بانک مرکزی باید در حوزه رگولیشن مناسب ورود کند. الآن در «کاشف» و «شاپرک» سیستم‌های مختلفی داریم و نیازمند رگولیشن متمرکز و دقیق همراه با ممیزی، ارزیابی درست و ضمانت اجرایی هستیم. باز هم روی ضمانت اجرایی تأکید می‌کنم.

هر چقدر قوانین و مقررات، طرح امن‌سازی، انواع استاندارد و آیین‌نامه بیاوریم، وقتی ضمانت اجرایی وجود نداشته و هیچ‌کس در قبال اتفاقات پاسخگو نباشد، رگولیشن سودی برایمان به‌ ارمغان نمی‌آورد. هر چقدر صنعتی که با آن مواجه هستیم، حساس‌تر باشد، مثل صنعت مالی، این پاسخگویی باید جدی‌تر باشد. باز هم به اهمیت شفاف‌سازی و پاسخگویی اشاره می‌کنم. آنچه در حوزه امنیت انجام می‌دهیم، باید کاربردی باشد و ما را به سطح مطلوب امنیت نزدیک سازد. ما هرگز نمی‌توانیم امنیت مطلوب صد درصدی را فراهم کنیم. مهم ارزیابی موقعیتی است که در آن قرار داریم و تلاش برای رسیدن به موقعیت مطلوب‌تر و ماندن در وضعیت مطلوب و بهبود مستمر. در این زمینه کارهای فرایندی، مستمر و نظارتی درستی انجام نمی‌دهیم. در هیچ‌کدام از صنایع وضعیت مطلوب نیست، ولی در حوزه مالی حساسیت بیشتر است. ما به سرمایه‌گذاری روی جوانب مختلف امنیتی در صنایع مالی احتیاج داریم، به نحوی که فقط روی تجهیزات متمرکز نباشیم یا صرفاً دنبال یک رگولیشن خاص نرویم. تمام این دیدگاه‌ها نیازمند اصلاح هستند.

استانداردها حداقل‌ها را نشان می‌دهند و فقط نقطه شروع هستند. ما حتی همین نقطه شروع را هم انجام نمی‌دهیم. در دنیا، به‌خصوص در حوزه‌های مالی و اعتباری، انواع و اقسام رگولیشن وجود دارد. من همین الآن دبیر کمیته فنی سازمان جهانی استاندارد در ایران در حوزه امنیت به نام SC27 هستم. در خانواده استانداردهای امنیت ما فقط ۲۷۰۰۱ و ۲۷۰۰۲ را می‌شناسیم، به علاوه یکی، دو استاندارد مربوط به ریسک؛ در حالی که استانداردهای متعددی مرتبط با تک‌تک فناوری‌ها و سرویس‌ها وجود دارند که در ایران حتی یک بار هم آنها را نخوانده‌ایم.

اگر در سایت سازمان ملی استاندارد جست‌وجو کنید، می‌بینید تمام این استانداردها ملی شده‌اند. ملی شده یعنی چه؟ یعنی ترجمه و پذیرفته شده‌اند؛ در حالی که در ایران حتی اسم این استاندارد‌ها هم شنیده نمی‌شود. در تمام دنیا این استانداردها مورد استفاده عملی به‌عنوان مدل‌های حداقلی هستند. تأکید می‌کنم اینها حداقل و نقطه شروع هستند. رگولیشن و رگ‌تک‌ها نقش جدی در امنیت صنعت مالی اعتباری ایفا می‌کنند. سرمایه‌گذاری روی پیاده‌سازی و ممیزی استانداردها حائز اهمیت است و نیروی انسانی در کشور ما باید اولویت صفر باشد، یعنی از اولویت یک هم بالاتر.

باز هم بر جایگاه بخش خصوصی تأکید می‌کنم. بسیاری از بانک‌ها و مراکز مالی – اعتباری ما تعامل و برون‌سپاری خوبی با بخش خصوصی دارند، ولی کافی نیست. این تعاملات باید افزایش چشم‌گیری نشان دهد تا به دیدگاه کل‌نگر و جامع در سیستم‌های مالی – اعتباری برسیم. چاره همه مشکلات را نباید در ابزارها و سرویس‌های امنیتی جست‌وجو کرد؛ بلکه به تغییر معماری به‌عنوان یک مکمل حوزه امنیت نیاز داریم. تغییر معماری قدیمی و استفاده از زیرساخت‌های به‌روز نیز کمک شایانی به ارتقای سطح امنیت می‌کند.

صنایع مالی یقیناً در افتا از سایر صنایع جلوتر هستند، ولی وضعیت مطلوبی ندارند.

عابدی‌نژاد: چند وقت پیش تحقیقی از گارتنر می‌خواندم در مورد صنایعی که در حوزه آی‌‌سی‌تی هزینه می‌کنند. این دسته‌بندی نشان می‌داد کدام صنایع درصد بیشتری از درآمدشان را صرف آی‌سی‌تی می‌کنند. بالاترین هزینه آی‌سی‌تی مربوط به صنایع خدمت‌محور بود. صنایع مالی نیز ذیل همان دسته خدمت‌محور هستند که شامل بورس، بانک، بیمه و… می‌شوند.

صنایع مخابراتی نیز در همین دسته قرار می‌گیرند. علت هزینه بیشتر آنها روی آی‌سی‌تی چیست؟ علت مشخص است؛ آنها هر چقدر که فرایندها و روش‌های خود را بیشتر مکانیزه کنند، درآمدزایی مؤثرتری دارند. بخش عمده کارخانجات صنعتی شامل تجهیزات و ملک آنهاست، ولی در مورد بانک، شرکت بورسی، شرکت بیمه‌ای و کارگزاری بیشتر دارایی‌ها از نوع ناملموس است. در تمام دنیا این وضعیت را می‌بینیم و در ایران نیز همین‌طور است. می‌دانیم که بانک‌های ایران نیز خیلی بیش از دیگر بخش‌ها در آی‌سی‌تی هزینه می‌کنند؛ پس به همین نسبت باید هزینه امنیتی بیشتری هم بپردازند. هر جا دارایی‌های نرم‌افزاری و داده بیشتری داریم، آسیب‌پذیری بیشتری نیز داریم. صنایع مالی نسبت به سایر صنایع بیشترین دارایی نرم را دارند. به نظر من یکی از مهم‌ترین اولویت‌های ملاحظات امنیتی، صنایع مالی هستند. آیا این صنایع الآن در وضعیت مطلوبی هستند؟ قطعاً خیر؛ ولی شاید این بازار جلوتر از دیگر صنایع باشد.

ما نمی‌توانیم وظایف صنایع مالی را عوض کنیم. وظیفه صنایع مالی مشخص است، پس باید مدام با تکنیک‌ها و ابزارهای جدید به مقابله با حملات برخیزیم. سرکار خانم آریا به‌درستی اشاره کردند که متأسفانه الآن در تمام صنایع و به‌خصوص صنایع مالی، مدیران فکر می‌کنند تمام مقوله‌های امنیتی را می‌توان به‌صورت in-source مدیریت کنند. در هیچ جای دنیا این کار شدنی نیست؛ چون ایمن‌سازی یک شبکه بانکی از جنبه‌ها و زاویه‌های مختلف نیازمند دانش زیادی است و هیچ سازمانی تمام این دانش را در اختیار ندارد. اکنون همه بانک‌ها برای خودشان SOC راه می‌اندازند، ولی وقتی به آنها می‌گویی «همین سرویس را از بیرون بانک بگیر»، یا بانک مرکزی اجازه نمی‌دهد، یا شاپرک جلویشان را می‌گیرد یا افتا مانع می‌تراشد. هیچ سازمانی این‌قدر متخصص ندارد که برای خودش یک SOC راه بیندازد. مقوله امنیت فقط به تجهیزات محدود نمی‌شود. تجهیزات لازم‌اند، ولی کافی نیستند. ۵۰ درصد امنیت به تجهیزات وابستگی دارد و ۵۰ درصد مربوط به فرایندها و نیروی انسانی می‌شود.

در تمام دنیا MSSPهای متعددی برای تأمین امنیت شکل گرفته‌اند. مالزی چهار ام‌اس‌اس‌پی درست‌وحسابی دارد که تمام صنایع را پوشش می‌دهند و همه شرکت‌ها امنیت خود را به آنها برون‌سپاری می‌کنند. سازمان‌های نظارتی هم فقط روی همین ام‌اس‌اس‌پی‌ها نظارت می‌کنند که نشت داده نداشته باشند و امنیت به‌درستی برقرار شود. مدل فعلی امنیتی صنایع مالی و دیگر صنایع این است که همه کار را خودشان انجام دهند. این مدل ما را با چالش بزرگی به نام فقر نیروی انسانی مواجه کرده که در کنار مهاجرت‌های فراوان به‌مرور به بحران نیروی انسانی تبدیل می‌شود.

نهادهای رگولاتور باید تغییر رویکرد دهند.

قربانی: آیا شرکت‌های فعال حوزه افتا در ایران پاسخگوی تمام نیازهای کسب‌وکارها و نهادها از لحاظ امنیتی هستند یا خیر؟ این سؤال را، هم از دید نرم‌افزاری و هم سخت‌افزاری پاسخ دهید.

عابدی‌نژاد: اکنون اکثر محصولات مورد نیاز بازار امنیت در شرکت‌های متعدد کشور موجودند و تعدادی هم در داخل کشور تولید می‌شوند. طبیعتاً در بعضی شرکت‌ها محصولات ضعیف‌تری وجود دارد و در برخی قوی‌تر؛ اما آیا این محصولات قابل رقابت با تمام محصولات درجه یک دنیا هستند؟ طبیعتاً ضعف‌هایی از این لحاظ داریم. ما هم‌تراز با محصولات جهانی نیستیم. طبیعتاً وقتی اقتصاد کل کشور ما کمتر از نیم درصد اقتصاد دنیاست، انتظارات ما نیز باید محدود باشند. ما شرکت‌های بین‌المللی واقعی نداریم و اگر هم داشته باشیم، اجازه فعالیت به آنها نمی‌دهیم. اگر شما تولیدکننده یک محصول امنیتی بین‌المللی باشید، یا سازمان پدافند جلوی کارتان را می‌گیرد، یا افتا، یا یک جای دیگر. بدین ترتیب هرگز امکان صدور محصول را به عرصه‌های بین‌الملل نداریم. در این شرایط باید توقع خود را متناسب با توانمندی‌های کشور تنظیم کنیم.

آیا محصولات کنونی جوابگوی نیاز کشور هستند؟ به عقیده من هستند. به هر حال الآن خیلی‌ها به‌دنبال ضربه‌زدن به کشور هستند و در اکوسیستمی زندگی می‌کنیم که آسیب‌پذیری را بالا می‌برد. کشوری مثل آمریکا یا اسرائیل تمام توان خود را به کار می‌گیرد که به ما از جهات مختلف ضربه بزند. در این شرایط طبیعتاً نمی‌توانیم انواع تجهیزات آمریکایی را برای حوزه امنیت خریداری و استفاده کنیم و در شرایط بحران مطمئن باشیم که هیچ آسیبی نمی‌بینیم. این دیدگاه اشتباه است. در یکی، دو سال گذشته در اخبار شنیده‌اید که کشور آمریکا راجع به استفاده از تجهیزات شرکت هواوی در اروپا حساسیت نشان داده است؛ چه رسد به خود آمریکا. آنها کلی رگولیشن گذاشته‌اند که مثلاً اگر برای 5G به سراغ فناوری هواوی بروند، تحت تحریم و فشار قرار می‌گیرند و معاهده با آنها امضا نمی‌شود. چرا هواوی این‌قدر برایشان مهم است؟ چون وقتی خودت را وابسته به تجهیزات یک کشور دیگر کنی، در شرایط بحران ممکن است آسیب‌پذیر شوی. نمی‌گویم تجهیزات آنها بک‌دور دارد یا ندارد، ولی به هر حال این وابستگی یک جنس از آسیب‌پذیری است. همین که نتوانی یک دستگاه را به‌موقع آپدیت و آپگرید کنی آسیب‌پذیر می‌شوی.

در مقوله امنیت باید توقع خود را در داخل کشور پایین‌تر بیاوریم و در عین حال شرکت‌های بومی را تقویت کنیم که محصولات و خدمات داخلی را ارائه دهند. فرض کنید شما به‌عنوان یک شرکت یا سازمان قرار باشد یک خزانه‌دار استخدام کنید. برای این کار دو راه دارید؛ استخدام خزانه‌دار متعهد یا استخدام خزانه‌دار متخصص. در مورد متعهد بودن یا امانت‌داری این متخصص اطمینان ندارید. از کدام‌یک استفاده می‌کنید؟ من شخصاً در سازمان خودم به سراغ خزانه‌دار متعهد می‌روم، ولی تخصص را نیز به او آموزش می‌دهم و در کنارش هستم تا به سطح کیفی مطلوب برسد. خیالم از او راحت است که امانت‌دار خوبی به‌شمار می‌رود. کسی که متخصص است، ولی متعهد نیست، همیشه برای ما نگرانی و آسیب‌پذیری ایجاد می‌کند. در حوزه امنیت نیز همین وضعیت را می‌بینیم. شما قرار است دارایی‌های خود را در اختیار یکسری محصولات خارجی بگذارید، پس طبیعتاً باید نگران باشید. شاید شرکت‌های کوچک نگرانی جدی از این بابت نداشته باشند، چون در حملات بزرگ هدف حمله به‌شمار نمی‌روند، ولی صنایع بزرگ مالی و بانک‌های بزرگ اگر دچار آسیب جدی شوند، طی چند دقیقه خبرش در دنیا می‌پیچد. هر کدام از بانک‌های ما میلیون‌ها کاربر را تحت پوشش دارند، پس آسیب‌پذیری آنها اثر وسیعی دارد. اگر از نگاه امنیت ملی به موضوع ننگریم، دارایی اقتصادی بانک‌ها همان کاربران آنهاست. اگر یک بانک در طول یک ماه پنج بار دچار اختلال شود یا مشتریان او نگران نفوذ و نشت و امنیت حساب‌های بانکی شوند و به بانک دیگر کوچ کنند، دچار هزاران میلیارد خسارت می‌شود.

Image

راه‌حل چیست؟ راه‌حل تقویت شرکت‌ها و محصولات بومی است. باید به سراغ خزانه‌دار متعهد برویم و او را به سطح خزانه‌دار متخصص برسانیم. باید شرکت‌هایی را شکل دهیم که در تأمین امنیت توانمند و قابل اتکا باشند. تمام جنبه‌های امنیت را نمی‌توان به‌صورت درون‌سازمانی فراهم کرد. اکنون با چنین فقر نیروی متخصص که در کشور می‌بینیم، غیرممکن است یک سازمان تمام جنبه‌های امنیت خود را فراهم سازد. تعداد شرکت‌ها و سازمان‌های بزرگ کشور که به امنیت نیاز دارند، بی‌شمار است. اگر هر کدام از آنها بخواهد یک تیم حداقل ۷ یا ۱۰نفره امنیتی را در سطح حرفه‌ای استخدام کند، هزینه سنگینی برمی‌دارد. آیا این تعداد متخصص در مملکت داریم؟ به نظر من قطعاً نه؛ هنوز فاصله زیادی تا وضع مطلوب می‌بینیم. برای برقراری امنیت نیازمند بازنگری در روش‌ها هستیم.

با توجه به شرایط و نیروهای موجود در کشور، بازنگری در روش‌ها گریزناپذیر است. خطاب به بانک مرکزی و افتا و دیگر رگولاتورها می‌گویم که برای این قضیه فکر اساسی کنند. با نیروی انسانی موجود در بازار نمی‌توان امنیت کشور را در حوزه فناوری اطلاعات تأمین کرد؛ لااقل با مدل‌های موجود نمی‌شود؛ مگر اینکه مدل را تغییر دهیم.

محصولات خارجی را نمی‌توان یک‌شبه کنار گذاشت.

آریا: شاید تصور کنید که ما به این دلیل که فعال حوزه افتا هستیم، این اعتقاد را داریم ، ولی به نظر من واقعیت این است که امنیت اطلاعات باید جزء اولویت‌های نخست کشور باشد. کشور ما در وضعیت عادی به سر نمی‌برد. وضعیت ژئوپلیتیک ما، شرایط سیاسی، تحریم‌ها، جنگ‌های سایبری و شرایط سخت اقتصادی دائماً ما را وادار می‌سازد که امنیت سایبری را یکی از اولویت‌های نخست کشور به حساب آوریم. آیا شرکت‌های کنونی کشور در حوزه افتا برای برآورده‌کردن این نیاز استراتژیک کافی هستند؟ به نظر من خیر. حتماً نیازمند ارتقای سطح محصولات و خدمات هستیم. این ارتقا باید با شتاب صورت گیرد. نمی‌توان ۱۰ یا ۲۰ سال منتظر کسب تجربه ماند تا محصولات بهتری توسعه یابند. شرکت‌های بخش خصوصی تلاش فراوانی می‌کنند. همان‌طور که جناب عابدی‌نژاد اشاره کردند، محصولات و خدمات داخلی تعهد بهتری دارند و برای امنیت ملی، تعهد حرف اول را می‌زند، اما آیا می‌توان منتظر ماند که شرکت‌های داخلی، در شرایطی که مجبورند همه چیزشان را خودشان فراهم کنند و هیچ کمکی از هیچ جا نگیرند، در شرایطی که رابطه‌شان با بازار جهانی نیز قطع است و با هیچ جا نمی‌توانند مراوده دانشی و محصولی و آزمایشی و بنچمارکی کنند، محصولی در کلاس جهانی ارائه دهند، در حالی که به جای دغدغه تولید، هر روز تحت فشار مضیقه‌های بیمه و مالیات و شرایط سخت اقتصادی و فقر نیروی انسانی و رقابت‌ها و انحصارهای عجیب‌وغریب هستند. این شرکت‌ها چطور می‌توانند در کوتاه‌مدت محصولی در کلاس جهانی ارائه دهند که تمام نیازهای کشور را برآورده سازد؟

در دنیا پارامترهای فراوان دست به دست هم می‌دهند تا محصولی را به موفقیت برسانند؛ از حمایت حاکمیت و دولت گرفته تا ارتباطات سیاسی و بین‌المللی. این حمایت فقط از جنس مالی نیست و جنبه‌های متعددی دارد. حمایت جامعه، همراهی متخصصان و بسیاری عوامل باید کنار هم قرار گیرد تا یک محصول باکیفیت را برای رفع نیاز کشور خلق کند. می‌خواهم بر خلاف آقای عابدی‌نژاد بگویم که توقعات خود را نباید پایین بیاوریم. در حوزه امنیت نمی‌توان ریسک کرد. ما باید خودمان را به‌سرعت ارتقا دهیم و با تجمیع پارامترهای حمایتی متعدد به تولید محصولات بهتر بپردازیم. وقتی امنیت اطلاعات را اولویت بدانیم و درک کنیم که در دوره بحران به سر می‌بریم، اهمیت جهاد در حوزه امنیت را می‌فهمیم. ما در جلسات خودمان عبارت «نهضت امنیت اطلاعات» را به کار می‌بریم. توان کشور در این حوزه باید تجمیع شود. باید بودجه و سرمایه و پارامترهای مختلفی در کنار هم متمرکز شوند تا محصولات مطلوب امنیت اطلاعات را در زمان مناسب به دست آوریم. به‌عنوان مثال وقتی یک محصول بیرون می‌آید، متخصصان باید با آن همراهی کنند و بازخورد مؤثر بدهند یا وقتی نیروی انسانی نداریم، چگونه دانش و محصول تولید کنیم؟ از تحریم‌ها گرفته تا کمبود مواد اولیه، قوانین و مقررات، بیمه، مالیات و مشکلات اقتصادی دست به دست هم داده‌اند تا ما را عقب نگه دارند و جز با حمایت همه ارکان کشور به امنیت اطلاعات مطلوب ملی نخواهیم رسید.

من از ۲۳ سال قبل کار آموزشی می‌کنم. روزی که مایکروسافت، سیسکو و دیگر صاحبان فناوری، محصول تولید کردند، فوراً برای آنها دوره‌های آموزشی و گواهینامه ارائه دادند. چرا؟ چون این یکی از بهترین روش‌ها برای خلق پایگاه دانش و دریافت بازخورد بود؛ به نحوی که جامعه دانش‌محور به بهبود محصولات آنها کمک کند. محصولات ما نیز به همین رویکرد نیاز دارند. واقعیت را نمی‌توان نادیده گرفت. اکنون محصولات خارجی در کنار محصولات داخلی استفاده می‌شوند و نمی‌توان یک‌شبه محصولات خارجی را کنار گذاشت. در کنار محصولات خارجی باید به بهبود محصولات داخلی کمک کرد، همچنین متخصصان باید همراهی کنند تا محصولات به سطح مطلوبی برسند.

به اعتقاد من نهضت جهاد امنیت اطلاعات یکی از ضرورت‌های جدی برای رسیدن به محصول و خدمت بومی مناسب است. این جهاد نیازمند تخصیص بودجه و تغییر نگاه حاکمیت خواهد بود. همیشه تغییر از بالا به پایین رخ می‌دهد. نگاه حاکمیت در حوزه امنیت اطلاعات باید تغییر کند. اینکه فقط شعار دهیم که دنبال محصول بومی هستیم، کفایت نمی‌کند. باید بسترها را فراهم سازیم. اکنون تولیدکنندگان ما به بستر مناسب نیاز دارند. اگر شرکت‌های داخلی نتوانسته‌اند جایگزین محصولات خارجی شوند تا حد زیادی به خاطر ضعف حمایت‌های حاکمیتی و بسترهای موجود است. امنیت مطلوب ملی، هدف هر کشوری است و این امر جز با همراهی تک‌تک اجزای کشور اتفاق نمی‌افتد. شرکت‌ها و تولیدکنندگان و بخش خصوصی فقط یکی از حلقه‌های زنجیره امنیت هستند. بنابراین به همراهی جمعی نیاز داریم.

مشکل اکوسیستم امنیت سایبری، نگاه بسیار بسته حاکمیت است.

کریمان: جواب من هم یک «نه» محکم است و برایش چند دلیل دارم. همان‌طور که دوستان گفتند، امنیت سایبری یک صنعت جدید است و حتی در دنیا نیز قدمت زیادی ندارد. این صنعت از ۲۰ سال پیش مورد توجه بوده است. خدمات افتا در داخل کشور را می‌توان در سه حوزه دسته‌بندی کرد؛ یکی محصولات است که شامل تجهیزات و دستگاه‌‌های افتا می‌شود؛ دوم نیروی انسانی است و سوم سرویس و خدمات در این حوزه. در حوزه محصول، کشور ما بسیار عقب است. اگر قرار باشد اتفاقی در حوزه افتا بیفتد، حتماً باید با همراهی و توجه ویژه حاکمیت باشد. همان‌طور که خانم آریا گفتند، در این حوزه به جهاد نیاز داریم تا گام مثبتی برداریم. حوزه امنیت هزینه‌های سنگینی دارد و تحقیق و توسعه زیادی را می‌طلبد، در حالی در توان شرکت‌های خصوصی نیست که در یک بازه زمانی ۱۰ساله تحقیق و توسعه انجام دهند و سپس ببینند آیا به نتیجه‌ای می‌رسند یا نه. تاکنون یکسری کارها انجام شده و نمی‌توان همه را نادیده گرفت، ولی بسیار عقب هستیم.

اگر آمار جهانی حقوق مشاغل را مطالعه کنید، می‌بینید یکی از بالاترین حقوق را به کارکنان امنیت در سازمان‌ها اختصاص می‌دهند، ولی در ایران چطور؟ آیا قدر نیروی متخصصی را که مسیر طولانی را پشت سر گذاشته و همه‌روزه با چالش‌های پیچیده و جدید همراه است، می‌دانند؟ نه! تمام حلقه‌های زنجیره باید کنار هم قرار گیرند تا وضعیت مطلوب را بسازند. تأمین امنیت به مثابه یک هرم، لایه‌های مختلفی دارد که این لایه‌ها در کنار هم معنی می‌دهند. این لایه‌ها از سطح پایین به بالا شامل Secure Framework، Automated Testing Tools و Peer&Design Reviws و بعد هم Red Team و BugBounty باید کنار هم قرار گیرند تا زنجیره امنیت تکمیل شود. بسیاری از این خدمات باید برون‌سپاری شوند. الآن شرکت‌هایی هستند که توان انجام کار را دارند، ولی نگاه‌ها باید تغییر کند و از ظرفیت جدید در بازار استفاده شود.

Image

به اعتقاد من حوزه امنیت سایبری مشابه یک اکوسیستم است. بزرگ‌ترین مشکل این اکوسیستم نگاه بسیار بسته حاکمیت است. این نگاه بسته، نه‌تنها شرکت‌ها را اذیت می‌کند، بلکه هر کس بخواهد از شرکت‌ها خدمت بگیرد، دچار مشکل می‌شود.

برای ارتقای شرکت‌های حوزه افتا علاوه بر سروسامان‌دادن به وضعیت قانون‌گذاری و رگولاتوری در کشور باید بازار درستی هم شکل بگیرد. اگر بازار پویا و روبه‌رشدی نداشته باشیم – آن هم در شرایط تحریم – نمی‌توانیم به آینده‌ این حوزه امیدوار باشیم. سازمان‌های موازی و قوانین دست‌وپاگیر در حوزه رگولاتوری به قدری سختی و پیچیدگی جلویمان می‌گذارد که شرکت‌های امنیتی داخلی قادر به استفاده از ظرفیت‌های بین‌المللی نمی‌شوند. وقتی تمام عوامل را کنار هم بگذاریم، می‌بینیم که حاکمیت باید قدر کسانی را که در حوزه امنیت سایبری کار می‌کنند – در هر زمینه‌ای که فعال هستند – بداند، چون چالش‌های این حوزه فراتر از هر حوزه دیگری است. نیروهای متخصص ما وقتی پیشنهاد درآمد دلاری را ببینند، هرگز داخل کشور نمی‌ماند. همین الآن در کشورمان متخصصانی با ما همکاری می‌کنند که به‌طور همزمان به فیس‌بوک و گوگل و دیگر غول‌های فناوری نیز خدمات امنیت اطلاعات ارائه می‌دهند. ما از لحاظ دانشی کمبود نداریم، ولی نمی‌توانیم و نمی‌گذارند از توان متخصصان داخلی استفاده کنیم. برخوردهای قهری مشکلات زیادی ایجاد می‌کند. باید به شرکت‌های بومی اعتماد کنیم و ظرفیت‌هایی برایشان ایجاد شود که اکوسیستم و بستری شکل بگیرد. در حال حاضر برخی مجموعه‌های داخلی در حوزه افتا خوب کار می‌کنند، ولی فاصله زیادی تا شرایط مطلوب داریم و اگر توجه ویژه حاکمیت برای رفع مشکلات این حوزه صورت نگیرد، همه‌ آسیب جدی می‌بینیم. خلأهای قانونی و نهادهای موازی یکی از مشکلات بزرگ مربوط به حاکمیت است که رفع آنها با لَختی زیادی صورت می‌گیرد.

بخش خصوصی؛ مهم‌ترین بازوی اجرایی حاکمیت برای رسیدن به امنیت مطلوب

قربانی: از هر سه عزیز خواهشمندم جمع‌بندی و نکات نهایی خود را بفرمایند.

آریا: انتظار ما این است که برای پیشرفت در حوزه امنیت، به مشکلات کسب‌وکارهای افتا توجه جدی شود، چون بخش خصوصی مهم‌ترین بازوی اجرایی حاکمیت برای رسیدن به امنیت مطلوب به‌شمار می‌رود. امنیت مطلوب حاصل عوامل گوناگونی چون شفاف‌سازی، تعامل با متولیان، برنامه‌ریزی و اجرا و وجود ضمانت اجرایی و… است که در سالیان اخیر به‌تدریج و تا حدودی انجام شده، ولی بخش خصوصی باید یک کرسی ثابت مشورتی و عملیاتی در نهادهای تصمیم‌گیرنده حاکمیتی داشته باشد، ضعف قوانین و مقررات و کمبود بودجه حوزه افتا، همچنین ضعف نیروی انسانی نیز باید جبران شود، به‌علاوه باید فرهنگ‌سازی و آگاهی‌رسانی در حوزه امنیت اتفاق بیفتد و به‌طور کلی اهمیت صنعت افتا در کشور باید درک شود. از بهترین تجارب جهانی و ملی باید درس گرفت. همین رخدادهای امنیتی بهترین فرصت‌های آموختن هستند. این فرصت‌ها را نباید از دست داد. باید برنامه‌ریزی کرد تا به نتیجه مطلوب برسیم. وقتی بحرانی اتفاق می‌افتد، باید از قبل برایش برنامه داشته باشیم و بحران‌ها را مدیریت کنیم.

ما به‌عنوان بخش خصوصی خواستار ارتقای جایگاه و نقش خود در تأمین امنیت هستیم. امنیت اطلاعات یک عرصه بسیار سخت به‌شمار می‌رود. افرادی که می‌توانستند مهاجرت کنند و کارهای خیلی آسان‌تری انجام دهند، ولی در کشوری با شرایط اقتصادی سخت، ضعف قوانین، تحریم و… ماندند و سال‌های سال تلاش کردند. حداقل انتظار این است که به ما اعتماد شود. این متخصصان، جهادگرهای حوزه امنیت اطلاعات هستند و ما به‌عنوان نماینده بخش خصوصی انتظار اعتماد، مشارکت و اختصاص کرسی بخش خصوصی در نهادهای تصمیم‌ساز را داریم. ما در صف اول مقابله با بحران ایستاده‌ایم. بحران‌های ملی متعددی رخ می‌دهد و خواهد داد که اولین صف مقابله با آنها متخصصان بخش خصوصی هستند. همه ما دغدغه‌مند هستیم. ما به‌عنوان بخش خصوصی متخصص، با همه مشکلات و کاستی‌ها و ارزش‌های بی‌نظیری که آفریده‌ایم، دست‌مان برای همکاری به سوی حاکمیت دراز است. امیدواریم به‌موقع و در زمان و جایگاه درست، این همکاری و تعامل شکل بگیرد تا با ارائه محصولات و خدمات خوب شرکت‌های داخلی به نتیجه مطلوب برسیم. متشکرم.

اشتراک‌گذاری اطلاعات رخدادهای امنیتی را جدی بگیریم.

کریمان: با توجه به اینکه ماهنامه شما بیشتر در حوزه خدمات پرداخت فعالیت می‌کند، لازم است یک نکته را یادآوری کنم. در دنیا تسهیم دانش در حوزه افتا خیلی رایج است. این درخواست ماست. وقتی سازمان شما مورد حمله سایبری قرار می‌گیرد، شما متهم و مجرم نیستید و فقط یک قربانی هستید و این اتفاق برای همه می‌تواند پیش بیاید. اگر از آن رخداد گزارشی ارائه دهید، به سایر قربانیان احتمالی هشدار می‌دهید و جلوی خسارت‌های آتی را خواهید گرفت. مخاطبان شما باید حملات متعددی را که در حوزه‌های مختلف کشور مرتباً تکرار می‌شود، گزارش دهند تا بتوانیم با کمک همدیگر جلوی آن حملات را بگیریم. اگر منتظر حاکمیت بایستیم، با لَختی که همه حاکمیت‌ها و دولت‌ها دارند، هرگز این اتفاق نخواهد افتاد. تغییر را باید از خودمان شروع کنیم. از طریق اشتراک‌گذاری دانش، Threat Sharing و همفکری می‌توانیم به یکدیگر کمک کنیم. ساده شروع کنیم؛ حتی نوشتن یک پست بلاگ مختصر، مطمئناً مؤثر خواهد بود.

ما در ابتدای راه تهدیدات سایبری هستیم و مسیر طولانی و پرمخاطره‌ای را پیش رو داریم. اگر بازیگران این مسیر خودشان به فکر خود نباشند، بعید می‌دانم اتفاق خاصی از جای دیگری بیفتد. شما به‌عنوان کارشناس یا مدیر یا تصمیم‌گیر یک سازمان باید خودتان را موظف بدانید تا نسبت به امنیت دیگران بی‌توجه نباشید. مؤثرترین گام از طریق اطلاع‌رسانی عمومی در خصوص رخداد‌هایی است که درگیرشان بودیم. این نشانه ضعف مجموعه شما نیست، بلکه نشان‌دهنده قوت شماست که نسبت به آسیب‌پذیری‌هایتان آگاه هستید. قبول دارم که نگاه‌های مدیریتی در این زمینه بسته و محدود هستند، ولی اگر این کار شروع شود، برکاتش را همه می‌بینند.

تا زمانی که اشتراک‌گذاری اطلاعات اتفاق نیفتد، باز هم گاهی داستانی مشابه پمپ بنزین‌ها رخ می‌دهد، یکی، دو هفته موج رسانه‌ای ایجاد می‌کند و به فراموشی سپرده می‌شود. اگر هر روز تهدیدها و اتفاق‌هایی که رخ می‌دهد، بازگو شود، کمک می‌کند که مردم نسبت به حقوق‌شان حساس‌تر شوند و متولیان را نیز وادار به تصمیمات بهتری می‌کند. از وقتی که به ما دادید و از همراهی تیم خوب ماهنامه عصر تراکنش ممنونم.

آموزش، آموزش، آموزش

عابدی‌نژاد: به نظر من یکی از اتفاق‌های مهمی که باید بیفتد شفاف‌سازی، آموزش و فرهنگ‌سازی برای مدیران است تا ارزش دارایی‌های غیرملموس و خسارت‌های احتمالی را که می‌تواند به آن وارد شود، بشناسند. این موضوع تاکنون مغفول بوده است. هر چقدر مدیران ارشد از حوزه امنیت حمایت کنند و آگاه باشند اولویت امنیت بالا می‌رود و اتفاقات بهتری در این رابطه می‌افتد. نکته دوم مربوط به رگولاتورها؛ اعم از بانک مرکزی و افتا و دیگر نهادهای قانون‌گذار است که باید روش‌ها و الزامات خود را در رابطه با تأمین امنیت تغییر دهند. با توجه به منابع کنونی داخل کشور اتفاق بزرگی نمی‌تواند بیفتد. ما هم باید مثل تمام دنیا ام‌اس‌اس‌پی‌ها را شکل دهیم و شرکت‌های تخصصی تأمین امنیت را فعال سازیم. حمایت از شرکت‌های بومی بسیار مهم است. خانم آریا اشاره درستی به اهمیت شرکت‌های بومی داشتند. حمایت از شرکت‌های بومی باید هوشمندانه باشد. من اصلاً قائل به این نیستم که جلوی محصولات خارجی را بگیریم، ولی در بلندمدت، حمایت هوشمندانه و گام‌به‌گام از شرکت‌های بومی باید کمک کند که امنیت را بر عهده آنها بگذاریم. این اتفاق دیر یا زود خواهد افتاد؛ به شرطی که حمایت لازم صورت گیرد.

تمام حرف‌هایم را در یک کلمه خلاصه می‌کنم؛ آموزش، آموزش، آموزش. این آموزش باید در سطوح مختلف باشد؛ آموزش برای مدیران ارشد، آموزش برای تربیت نیروهای متخصص، آموزش برای مدیران میانی. هر کدام از اینها آموزش‌های خاص خود را می‌طلبند. برای سامان‌دهی این اقتصاد بزرگ نیازمند آموزش هستیم. واقعیت این است که دارایی‌های هنگفتی در کل کشور در معرض تهدید قرار دارند. برای حفاظت از این دارایی‌ها، اقتصاد بزرگی برای امنیت اطلاعات می‌تواند شکل بگیرد؛ به شرطی که به آن بها دهیم. نیروی متخصص کافی در این حوزه نداریم. باید آموزش بدهیم؛ گرچه مهاجرت هم آزاردهنده است. به‌هرحال آموزش می‌تواند بسیاری از مشکلات ناشی از مهاجرت را برطرف سازد.

همان‌طور که خانم آریا هم اشاره کردند، در نظام صنفی رایانه‌ای آمادگی تعامل همه‌جانبه با رگولاتورها را داریم. آنچه می‌تواند حلال مشکلات باشد، بخش خصوصی است که باید در تعامل نزدیک با رگولاتور، در سیاست‌گذاری‌ها بر مبنای واقعیت‌های بازار مؤثر واقع شود. متأسفانه تاکنون این تعامل وجود داشته، ولی کم بوده است.

بلاگ‌پست‌های مرتبط:

راورو در همشهری روزهفتم

گفت‌وگو با احسان عدالت؛ کارشناس و مشاور امنیت سایبری معاونت علم و فناوری ریاست جمهوری

راورو در خبرنامه‌ی شماره‌‌ی ۳۴ پادیوم

تفاهم‌نامه‌ی راورو و تریگ آپ