اختصاصی افتانا: عضو هیئتعلمی پژوهشگاه ارتباطات و فناوری اطلاعات عقیده دارد که استاکسنت یک نقطه عطف در تاریخ حملات سایبری جهان بود که حتی سایر کشورها توجهشان به این نکته جلب شد که چگونه ممکن است مورد یک حمله سیستماتیک قرار بگیرند و زیرساختهایشان آسیب جدی ببینند.
به گفته دکتر محمدحسام تدین، عضو هیئتعلمی پژوهشگاه ارتباطات و فناوری اطلاعات،
استاکسنت یک نقطه عطف در تاریخ حملات سایبری جهان بود که حتی سایر کشورها توجهشان به این نکته جلب شد که چگونه ممکن است مورد یک حمله سیستماتیک قرار بگیرند و زیرساختهایشان آسیب جدی ببینند. او معتقد است که بزرگترین چالش امنیت سایبری کشور به موضوع کمبود شدید نیروی انسانی و ضعف در آموزش حرفهای نیروی انسانی برمیگردد و لازم است که در کشور ما هم، مانند بسیاری نقاط جهان، استانداردهای آموزشی و سرفصلهای بهروز در حوزه آموزش و آگاهیرسانی جامعه از بخش عمومی تا سطح تخصصی اعمال شود تا بتوانیم ار سطح خطرات امنیت سایبری در کشور بکاهیم.
مهمترین رویداد امنیتی سال ۱۴۰۱ از نظر شما چیست؟ از مهمترین حوادث سایبری کشور اطلاع ندارم، ولی میتوان به بعضی از مهمترین آنها در جهان اشاره داشت. حملهای در ۱۷ ژانویه ۲۰۲۲ رخ داد و تقریباً ۵۰۰ کیف پول ارزهای دیجیتال را هدف قرار داد. در این مورد، هکرها تقریباً ۱۸ میلیون دلار بیتکوین و ۱۵ میلیون دلار اتریوم و سایر ارزهای رمزنگاریشده را سرقت کردند. این در درجه اول به لطف توانایی هکرها برای دور زدن احراز هویت دومرحلهای و دسترسی به کیف پول کاربران، ممکن شد. و این مثال دیگری از اهمیت استفاده از مدیریت رمز عبور است.
در ۲۰ مارس ۲۰۲۲،
مایکروسافت توسط یک گروه هکر مورد هدف قرار گرفت. این گروه، یک اسکرینشات در تلگرام منتشر کرد که نشان میداد مایکروسافت را هک کردهاند و در این فرایند کورتانا، بینگ و چندین محصول دیگر را به خطر انداختهاند. هکرها برخی از مطالب را از مایکروسافت بازیابی کردند، اما تا ۲۲ مارس مایکروسافت اعلام کرد که بهسرعت تلاش هکرها را متوقف کرده و تنها یک حساب در معرض خطر قرار گرفته است.
یک حمله MEGA Web DDoS هم بر روی سرورهای گوگل رخ داد که برخی آن را بزرگترین حمله هکری تا کنون توصیف میکنند. مدتزمان حمله در سطح برنامه بیش از یک ساعت بود و با ۴۶ میلیون درخواست در ثانیه به اوج خود رسید. همچنین بیش از ۵۰۰۰ آدرس IP مبدا را در بیش از ۱۳۰ کشور پیادهسازی کرد.
آیا لازم است هزینههای بومیسازی هر محصولی را در حوزه افتا به خود تحمیل کنیم حتی اگر به کیفیت نمونه مشابه خارجی نرسیم؟شاید اگر به سمتی حرکت کنیم که توانایی پایش و ارزیابی دقیق محصولات خارجی حوزه افتا را داشته باشیم، بتوانیم تا درصد بالایی از اطمینان، آنها را مورد استفاه قرار بدهیم. مثلا استفاده موازی از محصولات باکیفیت و آزمونشده خارجی در کنار محصولات داخلی را میتوان پذیرفت تا بتوان هم کسب تجربه داشت و هم بازار را رقابتی پیش برد. ولی در کل بومیسازی محصولات افتا یک اصل بسیار مهم است و باید تا جای ممکن، حمایتهای لازم از آن انجام شود تا محصولات امنیتی بهصورت بومی در کشور تولید شوند و مورد استفاده قرار بگیرند. امنیت، یک مسئله حیاتی است که هیچوقت نمیتوان آن را صد درصد تضمینشده دانست. بهویژه اگر بنا باشد برای بحث امنسازی، سیستمهایی را بهصورت یکپارچه در نظر بگیریم و لازم باشد بخشهایی را از خارج کشور تهیه کنیم آنگاه این امر میتواند منجر به رخنه یا نشت اطلاعات شود. حتی با فرض اینکه در نود درصد موارد توانستهایم امنسازی را ایجاد کنیم، ولی همان ده درصد محصولاتی که از بیرون وارد میکنیم میتواند برای ما مشکلاتی ایجاد کند. پس بومیسازی از نیازمندیهای اساسی و غیرقابل گذشت در امنیت سایبری بوده و توجه و صرف هزینه برای این مسئله حیاتی، کار عاقلانهای است که همه بخشها اعم از خصوصی، دولتی و همه ذینفعان باید در این خصوص تلاش بکنند. حال ممکن است در یک برنامه کوتاهمدت، میانمدت و یا بلندمدت به این اهداف برسیم ولی به هرحال هر کشوری باید برای آن هزینه کند، سوبسید بپردازد و حمایت کند تا بومیسازی اتفاق بیفتد.
تعامل بین بخش خصوصی و دولتی در حملات سایبری بهویژه به زیرساختهای کشور را چگونه ارزیابی میکنید؟خوشبختانه، مسئولان به این نتیجه رسیدهاند که همکاری با بخش خصوصی داخل کشور میتواند امنیت خوبی برای زیرساختهای حیاتی کشور ایجاد کند. غیر از این، ما اسناد بالادستی هم داریم که مسئولان زیرساختهای حیاتی را به این سمت رهنمون شوند تا از بخش خصوصی کشور برای افزایش امنیت این زیرساختها استفاده کنند. از این رو، هم از بعد سیاستگذاری و هم از بعد تقاضا، این نیاز و حمایت وجود دارد که بخش خصوصی در زیرساختهای حیاتی مشغول فعالیت شود. ولی بخش خصوصی، مشکلات خاص خود را دارد که نیاز به حمایتهای چندبعدی برای آنها احساس میشود. یکی از ابعاد مهم، موضوع نیروی انسانی حرفهای است. ما با مشکلاتی در زمینه کمبود نیروی انسانی خبره در شرکتهای فناور مواجه هستیم. بعد دیگر اینکه نیازمند انتقال دانش فنی یا تحقیق و توسعه محصول در شرکتهای بخش خصوصی هستیم تا بتوانند پاسخگوی نیازهای روزافزون زیرساختهای حیاتی و بخش حاکمیتی باشند. مسئله دیگر بحثهای حمایتی مالی، مالیاتی، تعرفهای و قانون و مقرراتی است. از این رو لازم است از این شرکتها بهصورت سیستماتیک حمایت شود. البته جستهگریخته پروژهها یا حمایتهایی وجود دارد ولی با توجه به مسائل اقتصادی حاکم بر کشور، باید این بودجهها را بهصورت متمرکزتر، همگراتر و هدفمندتر در اختیار بخش خصوصی و بهویژه شرکتهای مرتبط با حوزه سایبری قرار داد تا بتوانند نیازهای اساسی زیرساختهای حیاتی را برطرف کنند.
وضعیت امنیت سایبری ایران از تجربه استاکسنت تا به امروز را چگونه میبینید؟به نظر میرسد که بعد از حادثه استاکسنت، یک همافزایی و همراهی در بخشهای مختلف خصوصا زیرساختهای حیاتی شکل گرفته است. هم در زمینه قانونگذاری و اسناد بالادستی و الزامات و هم استفاده از توانمندی بخش خصوصی به موضوع امنیت سایبری توجه جدیتری صورت گرفته و هماهنگیها بیشتر شده است. اگرچه این حمله لطمههای زیادی به کشور زد ولی میتوانم بگویم که خودش موجب توجه به موضوع امنیت سایبری در همه بخشها شد و نه فقط در ایران بلکه در دنیا توجه به امنیت سایبری افزایش یافت. میتوانم بگویم که استاکسنت یک نقطه عطف در جهان بود که حتی سایر کشورها توجهشان به این نکته جلب شد که چگونه ممکن است مورد یک حمله سیستماتیک قرار بگیرند و زیرساختهای حیاتی آنها آسیب جدی ببیند. پس این حمله خصوصا در ایران منشاء اثرهای مختلفی بود که موجب شد موضوع امنیت سایبری تا حد زیادی برای متولیان امر به یک موضوع بسیار مهم و حیاتی تبدیل شود.
ارزیابی شما از چشمانداز امنیت سایبری ایران چیست؟همانطور که در جهان برای شرکتهای فعال، چشمانداز خوبی به وجود آمدهاست، امنیت سایبری در ایران هم چشمانداز خوبی دارد. به هرحال ما شاهد رشد اینترنت، افزایش استفاده از سامانههای هوشمند همراه، اینترنت اشیا، رایانش ابری و فناوریهایی نظیر متاورس و هوش مصنوعی هستیم و به نظر میرسد که این رشد خیرهکننده ادامهدار باشد. شاهد هستیم که حمایتهای مختلف حاکمیتی هم تا جای ممکن از این موضوع در کشور وجود دارد. اکنون بازار کار بسیار خوبی برای متخصصان امنیت فراهم است.
بزرگترین چالش امنیت سایبری کشور چیست؟اگر بخواهم به بزرگترین چالش حوزه سایبری اشاره کنم موضوع نیروی انسانی است. موضوع نیروی انسانی از چند بعد قابل نگاه است. یکی کمتعداد بودن متخصصان امنیت سایبری است که در شرکتهای خصوصی و بخشهای دولتی مشغول فعالیت هستند و متاسفانه شاهد این هستیم که همین نیروهای اندک هم برای فعالیت در جاهایی که از نظر درآمدی و معیشتی وضعیت بهتری دارند یا مهاجرت کردهاند و یا در فکر مهاجرت هستند. توجه داشتهباشید که این موضوع مهاجرت نیروی متخصص امنیت سایبری، لزوما دامنگیر کشور ما نیست. بر اساس بررسی که انجام دادهام سطح دستمزدهایی که در کشورهای پیشرفته به متخصصان امنیت سایبری پرداخت میشود باعث شده که حتی در کشورهایی نظیر هند، سنگاپور، چین و بسیاری دیگر از کشورها شاهد سیل مهاجرت متخصصان سایبری به کشورهای پیشرفته باشیم که دستمزد بالاتری پرداخت میکنند. همچنین شاهد هستیم که متخصصان امنیت سایبری از شرکتهای دانشبنیان و شرکتهای کوچکتر به شرکتهای بزرگتر منتقل میشوند که این موضوع برای رشد و پیشرفت شرکتهای کوچکتر مشکلات بزرگی ایجاد کرده است. بحث دیگر، موضوع آموزش دانشگاهی است که به نظر میرسد ما در این خصوص دچار ضعفهای زیادی هستیم. از تعداد اندک مدرسان گرفته تا بهروز نبودن سرفصلهای درسی دانشگاهیمان که منطبق با استانداردهای جهانی مانند چارچوب بهکارگیری نیروی انسانی متخصص امنیت NICE نیستند. این موضوعات موجب شده که ما نتوانیم بازار کار را بهخوبی با بخش دانشگاهی تغذیه کنیم. بخشهای آموزشی حرفهای نیز دارای مشکلات متعددی هستند و با سیستمهای نوین آموزشی همگام نبوده و یا از امکانات قوی و نوین آموزش امنیت، برخوردار نیستند. ضمن این که آموزشهای امنیت سایبری گرانقیمت هستند یا کیفیت آموزش بهخوبی ارزیابی نمیشود.
چالش مهم دیگر، سطح سواد رسانهای و آگاهیرسانی در جامعه است که توسط متولیان مربوطه بهخوبی پشتیبانی نمیشود و همین موجب شده است که طیف وسیع از جامعه مخاطب ما که شامل افراد عادی و عمومی هستند با امنیت سایبری آشنا نشوند و ندانند که چگونه باید از خودشان در برابر تهدیدات و حملات سایبری دفاع کنند. یکی از حوزههایی که خیلی از کشورهای دیگر روی آن کار کردند بحث آموزش سایبری از مهد کودک تا پایان دوره متوسطه تحصیلی است. اکثر کشورهای پیشرو به این سمت رفته اند که موضوع آموزش امنیت سایبری را باید از مدارس شروع کرد و مدارس باید دانشآموز، معلم و والدین را از نظر آموزش امنیت سایبری پوشش دهند و ضمنا دانشآموز را با حوزههای کاری و فعالیت آینده در زمینه امنیت سایبری آشنا نمود (برای نمونه برنامه K12 آمریکا قابل توجه است). درنتیجه دانشآموز متوجه میشود حوزههای سایبری هم میتواند آینده خوبی از نظر بازار کار داشته باشد. بازاری که هم اکنون در کشورهای پیشرو دستمزد سالانه بین ۸۰ هزار دلار تا ۱۵۰ هزار دلار سالانه را تجربه می کند. یکی از مشکلات دیگری که داریم این است موضوع امنیت سایبری یک حوزه بینرشتهای است و این چالش هم متاسفانه در کشور ما بهخوبی پاسخ داده نشدهاست. قانونگذاری در این حوزه به کسانی نیاز دارد که در زمینه حقوقی ،مسائل اجتماعی و سایر حوزههای امنیت سایبری متخصص باشند و این خودش منجر به مشکلات و چالشهای متعددی در قانون گذاری و یا جرم انگاری تهدیدات شدهاست. با این اوصاف، تاکید میکنم که بزرگترین چالش از نظر من بحث کمبود نیروی انسانی و ضعف در آموزش حرفهای نیروی انسانی است به طوری که بتوانیم نیازهای بخش خصوصی را پوشش بدهیم و بتوانیم کمک کنیم که تهدیدات سایبری در بخشهای مختلف کاهش یابد. برای کمک به این موضوع پروژهای در پژوهشگاه ارتباطات و فناوری اطلاعات برای ارائه طرح آموزش امنیت سایبری در کشور در حال انجام است. هدف این طرح شناسایی متولیان آموزش در کشور و درگیر نمودن همه متولیان آموزش در کشور است تا بتوان به خوبی اگر بخش تقاضا را از نظر آموزش امنیت سایبری پوشش داد. مثلا نزدیک ۲۰ میلیون کسبه دارای پروانه کسب لازم است دوره ای ۳ تا ۶ ساعته در زمینه استفاده امن از فضای مجازی آموزش ببینند تا بتوان از خیلی از آسیب ها و مشکلات این قشر کم نمود. از طرف دیگر این کار منجر به کاهش مراجعات به پلیس و قوه قضاییه می شود. پس می توانید مشاهده کنید که با یک نگاه مناسب و سرمایه گذاری اندک در آموزش، چگونه می توان از هدر رفتن میلیاردها تومان پول و وقت و انرژی بخش های مختلف کاست. امیدواریم همه متولیان آموزش و غیره با جدیدت به این طرح ملی کمک نمایند.
دریافت صفحه با کد QR