کد QR مطلبدریافت صفحه با کد QR

متاسفانه نان سازمان‌ها مهم‌تر از امنیت سایبری‌ آنهاست

3 فروردين 1402 ساعت 10:00

مدیر امنیت سیستم‌های کنترل صنعتی شرکت مدبران و کارشناس ‏امنیت اطلاعات، سال ۱۴۰۱ را یکی از سال‌های پرحادثه امنیت سایبری کشور می‌داند و موازی‌کاری‌ها، مهاجرت نیروهای زبده و بودجه ناکافی امنیت سایبری در سازمان‌ها و محدویت‌های بی‌شمار ایجاد‌شده در فضای مجازی را ازجمله چالش‌های موجود برمی‌شمرد.

اختصاصی افتانا: مدیر امنیت سیستم‌های کنترل صنعتی شرکت مدبران و کارشناس ‏امنیت اطلاعات، سال ۱۴۰۱ را یکی از سال‌های پرحادثه امنیت سایبری کشور می‌داند و موازی‌کاری‌ها، مهاجرت نیروهای زبده و بودجه ناکافی امنیت سایبری در سازمان‌ها و محدویت‌های بی‌شمار ایجاد‌شده در فضای مجازی را ازجمله چالش‌های موجود برمی‌شمرد.

بدترین نوع امنیت، امنیتی است که وجود ندارد. شاید شنیدن هیچ واژه‌ای در دنیا به اندازه واژه امنیت سایبری احساس ناامنی و نگرانی را به کارشناسان امنیت سایبری منتقل نکند؛ مخصوصا در سرزمینی که هر روز و هر لحظه در آن نظاره‌گر حملات متعدد، اشتباهات انسانی، آموزش‌های ناکافی و سیل مهاجرت افراد توانمند این حوزه هستیم. علی‌کیایی‌ فر، مدیر امنیت سیستم‌های کنترل صنعتی شرکت مدبران و کارشناس ‏امنیت اطلاعات، سال ۱۴۰۱ را یکی از سال‌های پرحادثه امنیت سایبری کشور می‌داند و موازی‌کاری‌ها، مهاجرت نیروهای زبده و بودجه ناکافی امنیت سایبری در سازمان‌ها و محدویت‌های بی‌شمار ایجاد‌شده در فضای مجازی را ازجمله چالش‌های موجود برمی‌شمرد.

مهم‌ترین رویداد امنیتی سال ۱۴۰۱ از نظر شما چیست؟
سال ۱۴۰۱ پرحادثه‌ترین سال در تاریخ امنیت سایبری کشور است. حمله سایبری به شهرداری تهران، شرکت‌های فولادسازی، خبرگزاری فارس، صدا‌وسیما، چندین دانشگاه ازجمله دانشگاه امام صادق(ع)، یکی از زیرمجموعه‌های سازمان انرژی اتمی، حملات DDoS گسترده به وب‌سایت‌های دولتی تنها نمونه‌هایی از این حملات هستند. بعد از حوادثی که از ابتدای پاییز در کشور رخ داد و همزمان با اعتراضات خیابانی، موج حملات سایبری در کشور نیز شدت گرفت. اگر بخواهم از میان این اتفاقات، یکی را به عنوان رویداد سال انتخاب کنم ترجیح می‌دهم حمله همزمان به چند کارخانه فولاد سازی ازجمله فولاد خوزستان در تیرماه ۱۴۰۱ را انتخاب کنم؛ زیرا این حمله فصل جدیدی در حملات چندوجهی را رقم زد. هکرها هم به شبکه IT نفوذ کردند و هم به شبکه صنعتی و توانستند در خط تولید کارخانه اختلال ایجاد کنند و هم‌زمان با هک کردن دوربین‌های کارخانه از عملیات تخریبی خود، فیلم گرفتند و فیلم‌ها را منتشر کردند. سابقا این نوع حملات را فقط می‌شد در فیلم‌های هالیوودی دید.

تعامل بین بخش خصوصی و دولتی در حملات سایبری به‌ویژه به زیرساخت‌های کشور را چگونه ارزیابی می‌کنید؟
متاسفانه تعامل بخش دولتی و خصوصی در حوزه امنیت نه فقط نسبت به سال‌های گذشته بهبود پیدا نکرده بلکه شرایط سخت‌تر هم شده است. عملا شاهد هستیم که بخش زیادی از بخش خصوصی به‌دلیل نگاه‌های انحصارگرایانه در حال حذف شدن از بازار امنیت است. در سال‌های اخیر نه فقط شرکت‌های جدید مطرحی در بازار امنیت سایبری کشور ظهور نکرده‌اند بلکه شرکت‌های قدیمی و با سابقه فراوان هم برای ادامه کار خود با بحران روبرو شده‌اند و حتی در موضوعات ساده‌ای مانند تمدید مجوزهای فعالیت خود با مشکل مواجه‌اند. فرض کنید تعدادی دانشجوی نخبه فارغ‌التحصیل از دانشگاه‌های امیرکبیر و شریف بخواهند در قالب یک شرکت تازه تاسیس در بازار امنیت سایبری کشور ارائه خدمات کنند. با قوانینی که در حال حاضر در کشور وجود دارد هرگز نمی‌توانند موفق شوند و اجازه فعالیت پیدا نمی‌کنند و در هزارخم اخذ مجوزهای فراوان، فقط چندسال باید هزینه کنند تا بلکه بتوانند مجوزهای لازم را اخذ کنند. درحالی که در کشورهای دیگر برای شرکت‌های تازه تاسیس و فارغ‌التحصیلان نخبه، مشوق‌ها و حمایت‌هایی درنظر می‌گیرند تا بتوانند بدون دغدغه به بلوغ کاری برسند و بتوانند با شرکت‌های باسابقه رقابت کنند. متاسفانه در سال‌های اخیر، نه فقط از ورود بازیگران جدید به حوزه امنیت حمایت نشده است بلکه بازیگران قدیمی نیز با چالش روبرو شده‌اند.

نکته دیگر این است که در برخی پروژه ها، شرکت‌های شبه‌دولتی که از امتیازات مالی و معنوی دولتی برخوردارند رقیب بخش خصوصی شده‌اند و در مناقصات شرکت می‌کنند و کارفرمایان نیز برای آنها امتیازات ویژه‌تری درنظر می‌گیرند.

آیا لازم است هزینه‌های بومی‌سازی هر محصولی را در حوزه افتا به خود تحمیل کنیم حتی اگر به کیفیت نمونه مشابه خارجی نرسیم؟
قطعا در برخی محصولات که پشت آنها توجیه استراتژیک دفاعی منطقی وجود دارد باید نمونه داخلی و بومی داشته باشیم حتی اگر نتوانیم قوی‌تر از نمونه خارجی بسازیم. اما اینکه برویم و همه محصولات را بومی کنیم نه در توان ماست و نه نتیجه مطلوب را در پی خواهد داشت. اگر قرار باشد برویم و همه چرخ‌ها را از اول اختراع کنیم همیشه از لبه تکنولوژی عقب خواهیم ماند و درنهایت، زمانی موفق به اختراع چرخ می‌شویم که آن چرخ در دنیا منسوخ شده و کاربردی نخواهد داشت. نکته مهم دیگر این است که نباید برای محصولات بومی، بازار انحصاری و غیررقابتی ایجاد کرد. اگر محصول بومی دارای یک بازار غیررقابتی باشد انگیزه‌ای برای رشد نخواهد داشت و کیفیت آن بهبود نخواهد یافت.

وضعیت امنیت سایبری ایران از تجربه استاکس‌نت تا به امروز را چگونه می‌بینید؟
۱۳ سال از تجربه Stuxnet می‌گذرد و هنوز هم در سمینارهای سالانه معتبر دنیا از این حمله تاریخی در مقالات یاد می‌شود. آن زمان که Stuxnet به تاسیسات هسته‌ای ایران حمله کرد ما هیچ زیرساخت دفاعی مناسبی نداشتیم؛ نه مرکز ماهر داشتیم، نه مرکز افتا، نه پدافند غیرعامل و نه مرکز ملی فضای مجازی. اما امروز خوشبختانه به حوزه امنیت سایبری نگاه ویژه‌ای می شود و زیرساخت‌های مناسبی در سازمان‌ها و زیرساخت‌های حیاتی برای این مقوله به‌وجود آمده است. اما از آن طرف هم باید بپذیریم که تعداد و تنوع حملات نسبت به ۱۳ سال قبل بسیار بیشتر شده است و ما همچنان بسیار آسیب‌پذیر هستیم.

در سال ۱۴۰۱ همه دیدند که چه حملاتی به زیرساخت‌های ارتباطی کشور صورت گرفت، اما واقعیت این است که هکرها در این حملات اغلب گروه‌های کوچکی بودند و ما ردی از هکرهای دولتی در حملات اخیر ندیدیم. ولی آیا باید فرض را بر این بگذاریم که هکرهای دولتی نتوانسته‌اند به جایی نفوذ کنند؟! قطعا این فرض اشتباه است و همین نگرانی را دوچندان می‌کند. اگر این چهار واقعیت را کنار هم بگذاریم که:

۱- ما آسیب‌پذیریم؛

۲- هکرهای دولتی دشمن متخصص هستند و روی زیرساخت‌های ما تمرکز دارند، اما نیروهای متخصص ما در حال مهاجرت و خروج از کشور هستند؛

۳- هکرهای دولتی دشمن بودجه زیادی هزینه می‌کنند، اما بودجه‌ها و تجهیزات دفاعی ما بسیار کم است؛

۴- هکرهای دولتی به‌صورت خاموش و بی‌سروصدا و طولانی‌مدت نفوذ کرده و معمولا اهداف بزرگی را انتخاب می‌کنند و نفوذشان به راحتی قابل تشخیص نیست؛

نتیجه‌ای که می‌گیریم این است که در این نبرد نابرابر شرایط خوبی نداریم و باید نگران باشیم.

ارزیابی شما از چشم‌انداز امنیت سایبری ایران چیست؟
متاسفانه چشم‌انداز مثبتی وجود ندارد. با وجود نرخ بالای تورم و مشکلات معیشتی مردم و کمبود بودجه در سازمان‌ها نمی‌شود چشم‌انداز مثبتی را ترسیم کرد. وقتی با مدیر یک سازمان دولتی در خصوص اجرای پروژه‌های امن‌سازی صحبت می‌کنیم می‌گوید «بودجه من محدود است و در همین حد است که حقوق کارمندان را بدهیم. به نظر شما پرداخت حقوق کارمندان در این شرایط اقتصادی مهم‌تر است یک خرید تجهیزات امنیتی؟!». حقیقت این است که در این شرایط سخت اقتصادی آنچه همیشه خیلی زود خط می‌خورد بودجه امنیت سازمان‌هاست. با ادامه این روند و همچنین مشکلاتی که بر سر راه فعالیت شرکت‌های فعال در حوزه امنیت سایبری پیش آمده نمی‌شود به بهبود شرایط امیدی داشت. نان سازمان‌ها مهم‌تر از امنیت آنهاست.

بزرگ‌ترین چالش امنیت سایبری کشور چیست؟
امنیت سایبری کشور با چالش‌های مهمی روبروست که از مله آنها می توان به موارد زیر اشاره کرد:

- وجود دستگاه‌های متولی و تصمیم‌گیر موازی در حوزه امنیت سایبری در کشور که عملا گاهی تصمیماتی متضاد یکدیگر می‌گیرند و به سازمان‌ها ابلاغ می‌کنند و باعث سردرگمی و بلاتکلیفی سازمان‌ها می‌شوند.

- تصمیمات نامناسب و لحظه‌ای برای فضای مجازی و اعمال محدودیت شدید روی ارتباطات و زیرساخت‌ها و ترسیم افقی مبهم از آینده برای کسب‌و‌کارها و متخصصان.

- عدم تخصیص بودجه لازم به حوزه امنیت سایبری.

- موج مهاجرت متخصصان امنیت سایبری از کشور

- پایین بودن حقوق و مزایای استخدام متخصصان امنیت سایبری در دستگاه‌های دولتی و نبودن متقاضیان داوطلب استخدام

- سخت و نفس‌گیر شدن فضا برای فعالیت شرکت‌های فعال بخش خصوصی در بازار امنیت سایبری

کد مطلب: 20554

آدرس مطلب :
https://www.aftana.ir/interview/20554/متاسفانه-نان-سازمان-ها-مهم-تر-امنیت-سایبری-آنهاست

افتانا
  https://www.aftana.ir