وضعیت امنیت سایبری در ایران

وضعیت امنیت سایبری در ایران

۴۹۱

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید، متخصصین امنیتی، مسئولین و اعضای تیم راورو ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی، حول محور موضوعات مشترک و مشابهی، با افراد مختلف به گفت‌‌وگو نشستیم. و هر یک از افراد از دیدگاه خود، به جنبه‌ها، موارد و غدغه‌هایی اشاره کرده‌اند. حالا قرار است که موضوع‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم و گفته‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی پاسخ‌هایی به یک پرسش‌ داده شده، می‎‌تواند ارزش‌مند، دارای پیامی جدید و نمودی از خرد جمعی باشد. 

آن‌چه در این بلاگ‌پست خواهید خواند: 

 در این بلاگ‌پست گفته‌هایی از ابوالفضل فهیمی، احسان عدالت، علی امینی، مهدی مرادلو، رامین فرج‌پور و ارغوان کامیار را خواهید خواند که راجع به وضعیت امنیت سایبری در ایران و ،کسب‌وکارها ایرانی از دیدگاه خود گفته‌اند. 

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست. 

_ اوضاع امنیت سایبری را در ایران و در کسب‌وکارهای ایرانی، چطور می‌بینی؟  

ابوالفضل فهیمی

تا چند سال پیش که اوضاع اصلا خوب نبود! کم‌کم خیلی بهتر شده... نسبت به سال‌های پیش بهتر شده و بیش‌تر شرکت‌ها به فکر امنیت افتاده‌اند. باعث خوش‌حالی ست که شرکت‌ها در برنامه‌های باگ بانتی شرکت می‎‌کنند! این خودش یک پیش‌رفت بزرگ محسوب می‌شود. انشاءالله که بهتر هم بشود. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی فعال راورو؛ ابوالفضل فهیمی (Crypton) 

احسان عدالت:

من در سال‌های تجربه‌ام در حوزه‌ی امنیت سایبری، با شرکت های مختلف خصوصی و دولتی سروکار داشته‌ام. به‌طور ملموسی متوجه تفاوت فرهنگ‌های سازمانی شده‌ام. در ایران مقوله‌ی امنیت سایبری نسبت به سال‌های قبل رشد قابل‌توجهی کرده است. آگاهی نسبت به اهمیت بحث امنیت سایبری روزبه‌روز درحال افزایش است. نقطه‌ای که درحال‌حاضر از نظر وضعیت امنیت سایبری در آن قرار داریم، نقطه‌ی مطلوبی نیست. اتفاق‌هایی که اخیرا اتفاق افتاده‌اند، نشان‌دهنده‌ی این وضعیت هستند. اتفاق‌هایی مانند؛ حمله به ابرآروان، حمله به پمپ بنزین‌ها و ... . همه‌ی این‌ها نشان می‌دهند که ما هنوز به نقطه مطلوبی در امنیت سایبری نرسیده‌ایم. لازم است که آگاهی در خصوص امنیت سایبری بیش‌تر شود؛ مخصوصا در لایه‌ی مدیریتی. چون در بسیاری از مواقع، نقص‌های موجود ریشه در عدم آگاهی مدیران دارند. مدیرانی که نمی‌دانند که این قضیه چقدر اهمیت دارد. هم در سطح دولتی، هم در سطح جامعه، نیاز به ارتقای آگاهی و افزایش اقدام‌ لازم در زمینه‌ی امنیت سایبری وجود دارد. 

پیشنهاد خواندنی: گفت‌وگو با احسان عدالت؛ کارشناس و مشاور امنیت سایبری معاونت علم و فناوری ریاست جمهوری 

علی امینی:

باتوجه به تجربه‌ای که من دارم و چیزهایی که از افرادی که در این حوزه فعالیت می‌کنند، شنیده‌ایم و دیده‌ایم ، وضعیت حوزه‌ی امنیت سایبری در ایران را اصلا خوب نمی‌بینم. با توجه به این‌که بچه‌های خیلی بااستعدادی وجود دارند، ولی متاسفانه افرادی که در جایگاه‌های مربوط به امنیت نشسته‌اند، تجربه‌ و دانش لازم را راجع به امنیت ندارند، تصمیم‌گیری می‌کنند. من بسیار شاهد عدم برخورداری از دانش امنیتی بوده‌ام. دوره‌های زیادی در حوزه‌های تحلیل بدافزار، فارنزیک، مهندسی معکوس و ... را برای شرکت‌های مختلفی گذاشته‌ام. واقعا نیروهای امنیتی ضعیفی داشتند! اوج فاجعه را در چنین‌ جاهایی می‌بینم، مثلا؛ از شرکت خفنی درخواست دوره می‌کنند. من باخودم می‌گویم احتمالا چقدر خفن باشند! بعد می‌روم سر کلاس و می‌بینم که اوضاع واقعا متفاوت و ناامیدکننده‌ است! یا شما فرض کن در کشور به یه جایی حمله شده و از طریق بدافزاری آلوده شده؛ جایی را به‌طورمشخص نداریم که بگویند بروید این بدافزار را کشفش کنید، تحلیلش کنید، تا ببینیم از کجا ضربه خورده‌ایم؟ بدافزار چه بوده؟ نهایتش همین چند وقت پیش بود که دیتاهای جاهای مختلف لیک می‌شد؛ شرکت X را زدند، همه‌ی شماره‌ها رفت. دیتابیس تلگرام ملت رفت، دیتابیس ثبت احوال همه‌ی کدملی‌ها کلا رفت و ... . گزارش درست‌وحسابی از تحلیلشان آمد؟ نه! نهایتِ گزارشی که ما می‌خواندیم، از یاشار بود. ولی این‌که نهاد معتبری بیاید از تحلیل حمله و ... بگوید، نه. از طرفی داریم می‌بینیم که خیلی از متخصص‌های کاردرست دارند مهاجرت می‌کنند و از ایران می‌روند. این سیل مهاجرت هم قطعا بر روی وضعیت امنیت سایبری، اثر دارد. 

در خیلی از جاها حتی نگاه درست و عمیقی به امنیت سایبری وجود ندارد. تنها چیزی که هست نگاهی رفع تکلیفی و براساس شنیده‌هاست. مثلا؛ یک بار به من زنگ زدند و گفتند که ما از فلان جاییم ( که جای مهمی هم بود) و متخصص تحلیل بدافزار می‌خواهیم. من گفتم که در خدمتم. صحبت‌های مختصری کردیم و رسیدیم به حقوق. من مبلغی پیشنهاد دادم، ایشان گفت:" آقا بی‌خیال! نیروی با ده سال سابقه‌ی کار ما این‌قدر نمی‌گیرد! ببین ما فقط یکی را می‌خواهیم که وقتی بدافزاری در شبکه می‌آِید، آن را بگیرد و بندازد در ویروس‌توتال و ببیند که این را تشخیص می‌دهد یا نه؟ یک  گزارش هم بعدش بدهد. دیگر ما ته کارمان از تحلیل بدافزار همین است. " گفتم: " ویروس توتال می‌خواهید؟ این که کاری ندارد... بروید یکی را از سر کوچه پیدا کنید، همین کار را با یک‌چهارم قیمت برایتان انجام می‌دهد! چرا دنبال من؟هستید؟ من این‌کاره نیستم، من کارم تحلیل تخصصی بدافزار است!" وقتی یک ویروسی آمده روی سیستم، کارش را هم کرده، رفته و تمام شده، بعضی‌ها می‌گویند: " خب پاکش کردیم، رفت. ما موفق شدیم؛ ما ویروس را پیدا کردیم، پاک کردیم. یک rule هم در فایروال برایش نوشتیم که دیگر نیاید. دیگر تحلیلش را می‌خواهیم چه‌کار؟ " بعضی ‌آدم‌های متخصص در حوزه تخصصی می‌گویند:" خب، برویم ببینیم این ویروس چه‌کار می‌کند؟ این ویروس اصلا چه چیزهایی را برده؟ از کجا آمده؟ اصلا چه‌جوری آمده؟ و ..." در مورد آزمایشگاه بدافزار، حقیقتا من فقط چیزهایی راجع به آپاها شنیده‌ام. درحالی‌که در خارج از کشور این موضوع خیلی خیلی بیش‌تر مورد اهمیت و توجه است! اما در ایران، خیلی از کسب‌وکارها و بخش‌های کشور اصلا برای این بُعد از قضیه اهمیت قائل نیستند و ضرورتش را نمی‌بینند. به همین دلیل است که بر رویش سرمایه‌گذاری هم نمی‌کنند. خیلی ناراحت کننده‌ است. آن روزی که همین حادثه‌ی هک پمپ بنزین بود و خب یه سری شعارهای سیاسی نوشته بودند، من حقیقتا ناراحت شدم! با خودم گفتم: " خدایا، وضعیت امنیت سایبری این‌قدر بد است که 6 ماه پیش وزارت راه و شهرسازی را زدند و هک کردند، بعد سازمان زندان‌ها را زدند، حالا هم این پمپ بنزین‌ها را زده‌اند! این یعنی فاجعه! " من از یک بنده‌خدایی که در جریان این حملات بود، پیگیر اخبار بیش‌تر شدم. از چیزی که بهم گفت، خیلی تعجب کردم. گفت حمله‌ای که به پمپ بنزین ها شد، جنسش مثل حمله‌ای بوده که به وزارت راه و شهرسازی شده بود. یعنی از همان آسیب پذیری، از همان راه آمده‌اند و نفوذ کرده‌اند! خب این یعنی فاجعه! یعنی از یه سوراخ چندبار گزیده‌شدن! ولی مثلا در آفسک امیر رسولی خیلی تلاش می‌کرد، ولی فیدبکی که ما دریافت می‌کردیم، خیلی بد بود؛ تهدیدها و ... . 

جا دارد که یک چیزی را هم راجع به شغلم بگویم؛ در این چند سالی که من کار کرده‌ام، یکی از چالش‌های موجود برای من پیداکردن یک شغل مناسب بود! من از سال نودوپنج هست که دارم کار می‌کنم. از این پنج سال، تا الان دوسالش را تخصصی کار کرده‌ام. بقیه‌اش کارهایی نبوده که بگویم تخصص نداشته‌ام، ولی کار تخصصی موردعلاقه‌‌ام نبوده. من دوست داشتم الان جایی باشم که به‌طور تخصصی تحلیل بدافزار کنم، مهندسی معکوس، اکسپلویت و ... . خیلی هم شرکت‌های مختلفی را گشتم. درنهایت به این نتیجه رسیدم که دو راه داری برای این‌که بتوانی مرزی بین علایقت، کارت و درآمدت ایجاد کنی؛ ۱. این‌که بروی؛ مهاجرت کنی. چون شرکت‌هایی در اروپا هستند که می‌توانی در آن‌ها تخصصی کارت را بکنی و پول هم دربیاوری. ۲. این‌که اگر این‌جا هستی، باید راه درآمدت از یک مسیر دیگر باشد، شب هم برای خودت بیایی سراغ علایقت. 

 پیشنهاد خواندنی: گپ‌وگفتی با متخصص امنیت دنیای صفرویک‌ها؛ علی امینی 

مهدی مرادلو:

احتمالا من نمی‌توانم نظر جامعی در این باره بدهم، اما براساس مشاهدات و تجربه‌ی خودم این ‌طور فکر می‌کنم که وضعیت امنیت سایبری نسبت به گذشته در ایران بهتر شده و بیش‌تر جدی گرفته شده است. 

 پیشنهاد خواندنی: [گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)](## گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo))  

رامین فرج‌پور:

در سمت میدان‌ها این‌طور به نظرم می‌رسد که بسیاری از کسب‌وکارها واقعا به این باور رسیده‌اند که امنیت سایبری را در کنار سایر دغدغه‌های کسب‌وکار خود ببینند و برایش اهمیت قائل شوند. مقوله‌ی امنیت سایبری را به رسمیت می‌شمارند و مبلغی را به آسیب پذیری‌های کشف و گزارش‌شده از سایتشان اختصاص می‌دهند. هم‌چنین اعتمادی به شکارچی ‌ها و هکرهای کلاه‌سفید شکل گرفته. خیلی از کسب‌و‌کارها تا الان توانسته‌اند که تا حد خوبی، از بدترین تهدیدها به دور باشند. چرا؟ چون در زمان مناسب و به‌وقتش این مشکلات را شناسایی کرده‌اند. 

بگذارید مثالی بزنم؛ بیایید کسب و کار را به ماشین و شکارچی را به پلیس تشبیه کنیم، آن‌گاه می‌توان گفت: 

امنیت سایبری همانند ماشینی (کسب‌و‌کار) ست که باسرعت (توسعه‌ی کسب‌و‌کار) در حال عبور از بزرگراه‌ها (رشد کسب‌وکار) ست. وقتی به تابلوی راهنمایی (نکات امنیتی) و پلیس راه (شکارچی) توجه نشود، به یقین باعث تصادف (هک کسب‌و‌کار) می‌شود. این امر باعث ضرر جانی (نابودی کسب‌وکار) می‌شود. در این‌جا اگر به نکات پلیس (شکارچی) توجه شود، دیگر امثال چنین اتفاق‌های ناگواری (هک سایت و نشت داده‌های کاربران) کم‌تر صورت می‌گیرد. همین‌که پلیس (شکارچی آسیب پذیری) در مسیر حرکت جاده‌ها حضور داشته باشد، کمک می‌کند که این تصادفات (هک کسب و کار) تا حدممکن کاهش یابد. 

در حال حاضر روزبه‌روز به تهدیدهای سایبری افزوده می‌شود، و هکرهای کلاه‌سیاه روزبه‌روز مجهزتر از روز گذشته می‌شوند. منابع زیادی در حوزه‌ی هک نیز در اینترنت در دسترس هستند. شخصی که تازه وارد این حوزه شده است نیز می‌تواند پس از مدتی، موفق به دانش و توانمندی لازم برای هک سایت‌ها شود. این که کسب‌وکاری به بلوغ سازمانی رسیده و این نیاز را برای کسب‌وکار خود احساس می‌کند که باید از امنیت کسب‌وکار و از داده های مشتریان خود محافظت کند، موقعیت خوبی ست و امیدبخش است. 

پیشنهاد خواندنی: گپ‌وگفتی با رامین فرج‌پور؛ داور و محقق امنیتی در راورو 

ارغوان کامیار:

به نظر من، ما در حوزه‌ی امنیت سایبری، حلقه‌­‌های گمشده‌ای داریم این حلقه‌های گمشده کم و بیش در شرکت و سازمان‌های مختلف دیده می شود. یکی این است که ما مشاور خوب، خیلی کم داریم. مشاوری که به موضوع مسلط باشد. حلقه‌ی گم‌شده‌ی دیگر هم به نظرم، "اشتراک دانش" است. عدم اشتراک دانش خیلی ضربه می­‌زند. من که دارم در این حوزه کار می­‌کنم، شرکت‌­ها و سازمان­‌های مختلفی را به چشم می­‌بینم که هک می­‌شوند و هیچ اقدامی در راستای اشتراک دانش باهم ندارند. هیچ اطلاعات فنی و مفیدی از حمله‌ها و هک‌ها منتشر نمی‌شوند. همین باعث می‌شود که بارها جاهای دیگری نیز از همان روش دوباره آسیب ب­بینند و خسارت‌­های سنگینی زده شود. 

ما می­‌شنویم که شهرداری، فولاد، بعضی از زندان­‌ها و ... هک شدند و خیلی از سازمان­‌ها هم که هک می­‌شوند و چیزی نمی­‌شنویم و اصلا خبرش در نمی‌­آید! مثلا: بانک X هک شده است ولی هیچ خبری از آن منتشر نمی­‌شود، این موارد را که کنار هم می­‌گذاریم می­‌بینیم جایی که اشتراک دانش را ندارد و به روز نیست و متخصص ندارد، خیلی ضرر کرده است. 

یک بخش دیگر هم برای این است ما متخصص زیادی نداریم، ما متخصص­‌هایمان را داریم کم­‌کم از دست می­‌دهیم. هرسال کم‌تر می­‌شوند. به دلایل مختلف از ایران خارج می­­‌شوند. عده‌­ای دیگر واقعا تحت فشار هستند و از کار کردن می ترسند و دیگر نمی‌­توانند کار کنند. 

موضوع اصلی این است که ما شدیدا نیاز داریم که متخصص تربیت کنیم. این موضوع حادی در شرکت‌­­ها و سازمان‌­ها شده است. این اوضاعی که می­‌گویم در سازمان­‌های دولتی، بیشتر نمود دارد. 

الان در هر چارت سازمانی، یک واحد امنیت هم وجود دارد. ولی این واحد را چطور تشکیل می­‌دهند؟! آقای X را از واحد بی­‌ربط به امنیت که یک عمر کارشان چیز دیگری بوده است، به واحد امنیت می­‌آورند. خانم Y را هم از واحد دیگری به واحد امنیت می‌آورند. فقط برای این‌که واحد امنیتی تشکیل بدهند. این خیلی ضربه­‌زننده است. 

من خیلی از شرکت­‌ها را می­‌بینم که به همین شکل تیم امنیت تشکیل داده‌اند! پیمان‌کار هم دارند و در آخر هک می­‌شوند و اتفاقات خیلی بدی برایشان می‌­افتد. چون متخصص هم ندارند اصلا متوجه نمی­‌شوند چه اتفاقی افتاده است! و اشتراک دانش هم ندارند و این اتفاقات هم دائم تکرار می‌شود! 

واقعا ضعف تخصص بیداد می­‌کند. به نظرم خیلی از نهادها اهمیت امنیت را درک نمی‌­کنند! چون مدیرانی که وجود دارند، مشاور ندارند یا مشاور خوبی ندارند. شاید از مدیر انتظار نداشته باشید که جزئیات فنی را متوجه شود. باید کارشناس یا مشاور امنیتی وجود داشته باشد تا بتواند اهمیت آن مسائل را برای آن مدیر توضیح بدهد. شما خیلی به ندرت سازمان‌ها یا نهادهایی را می‌­بینید که بخش امنیتشان به خوبی کار کنند. 

 پیشنهاد خواندنی: گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark) 

سخن آخر:

آن‌چه خواندید، روایت ما از گفته‌های افرادی بود که هر یک در نقطه‌ای نسبت به امنیت سایبری در ایران ایستاده‌اند و از منظر خود به این مقوله می‌نگرند. همان‌طور که از تاریخ انتشار هریک از گپ‌وگفت‌ها پیداست، این گفته‌ها مربوط به گفت‌وگوهای هم‌زمان و یا به‌روز نیستند. هر یک از افراد نظر خود را نسبت به امنیت سایبری در ایران، در زمان انجام مصاحبه، گفته است. اما با این وجود گمان کردیم که با وجود گذشت زمان، اما باز هم کنارهم قرار دادن این نظرها و نگریستن به مجموعه‌یشان، خالی از لطف و فایده نیست. 

بلاگ‌پست‌های مرتبط:

چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟ 

حریم خصوصی داده‌ها در ایران و کسب‌وکارهای ایرانی 

افزایش حملات سایبری؛ شائبه یا واقعیت؟! 

چرا کسب‌وکارها به امنیت سایبری نیاز دارند؟ 

رفتار کسب‌وکارها نسبت به دریافت گزارش آسیب پذیری