صفحه نخست دانش و فن آوری اطلاعات
  • انتشار : 19 - شهریور - 1404 - ۱۳:۲۷
  • کد خبر : 254648

    • امنیت سایبری در ایران؛ از مناقصه‌های دولتی تا تحریم‌ها!

    اگر امروز یک حمله سایبری گسترده به زیرساخت‌های حیاتی ایران رخ دهد، به نظر شما چند سازمان تاب می‌آورند؟ کارشناسان حوزه امنیت خیلی به این موضوع خوش‌بین نیستند و مشکل اصلی را نه‌فقط در نبود شرکت‌های امنیتی قدرتمند در ایران، بلکه در بی‌برنامگی، رانت و نگاه کوتاه‌مدت مدیران در موضوع امنیت سایبری می‌دانند. البته باید […]

  • انتشار : 19 - شهریور - 1404 - ۱۳:۲۷
  • کد خبر : 254648

    • اگر امروز یک حمله سایبری گسترده به زیرساخت‌های حیاتی ایران رخ دهد، به نظر شما چند سازمان تاب می‌آورند؟ کارشناسان حوزه امنیت خیلی به این موضوع خوش‌بین نیستند و مشکل اصلی را نه‌فقط در نبود شرکت‌های امنیتی قدرتمند در ایران، بلکه در بی‌برنامگی، رانت و نگاه کوتاه‌مدت مدیران در موضوع امنیت سایبری می‌دانند. البته باید به این نکته توجه کرد که ماهیت شرکت‌های امنیتی با کسب‌وکارهای B2C کاملاً متفاوت است و به همین دلیل نمی‌توان از آن‌ها انتظار رشد و شهرت سریع داشت. رویا دهبسته، فاطمه مشرفی و علیرضا قهرود؛ متخصصان حوزه امنیت سایبری هر کدام از زوایای متفاوت مشکلات بنیادین این حوزه را بررسی کرده‌اند. در فضای بحث‌برانگیز و پرمسئله امنیت سایبری ایران، دیدگاه‌ها گاه به‌شدت متفاوت است. برخی معتقدند بخش‌خصوصی ایران در این حوزه ضعیف و ناتوان است و عده‌ای دیگر معتقدند؛ ضعف فقط در شرکت‌های امنیت سایبری نیست، بلکه موضوع به کم‌کاری و بی‌توجهی شرکت‌ها به مسائل امنیتی برمی‌گردد. رویا دهبسته؛ مدیرعامل شرکت «باگدشت» که سال‌‌ها در حوزه تست نفوذ و امنیت اطلاعات فعالیت کرده، از پایه با این نظر که «شرکت‌های امنیتی متناسب با غول‌های فناوری ایران وجود ندارد» موافق نیست. او تجربه شخصی و مشاهداتش از کار با ده‌ها شرکت و سازمان را به یاد می‌آورد و تصویر متفاوتی ترسیم می‌کند و می‌گوید: اتفاقاً ما شرکت‌های خصوصی باسابقه‌ای در کشور داریم که سال‌هاست خدمات، تجهیزات، آموزش و نرم‌افزارهای امنیتی باکیفیتی ارائه می‌کنند؛ شرکت‌هایی که مشتریان‌شان از شرکت‌های خصوصی بزرگ مثل دیجی‌کالا، تپسی و علی‌بابا گرفته تا سازمان‌های دولتی بزرگ گسترده‌اند. در واقع دهبسته؛ مسئله اصلی امنیت در ایران را ضعف یا نبود شرکت امنیتی توانمند نمی‌داند، بلکه رویکرد برنامه‌ریزی کلان امنیت سازمان‌ها را ناکارآمد برمی‌شمرد. او می‌گوید: مدیران باید بپذیرند که ابتدا نیازمندی‌های کسب‌وکار خود را شناسایی و بعد شرکت تخصصی مناسب را براساس نیازمندی سازمان خود و سابقه و تجربه آن پیمانکار انتخاب کنند. اما آنچه در عمل اتفاق می‌افتد چیز دیگری است و بسیاری از سازمان‌های بزرگ، به‌ویژه در حوزه فناوری، همچنان با رویکردی سنتی و بسته اداره می‌شوند.

    ماهیت بازار امنیت متفاوت است

    فاطمه مشرفی؛ مدیرعامل دمسان رایانه نیز که سال‌هاست در زمینه امنیت سایبری فعالیت می‌کند، معتقد است که در ایران بسیاری از صنایع فناوری، به‌ویژه در حوزه امنیت شبکه، برخلاف نمونه‌های جهانی، مسیر رشد و تبدیل ‌شدن به شرکت‌های بزرگ و اثرگذار را طی نکرده‌اند. بخش مهمی از این مشکل هم به ساختار بازار، محدودیت‌های بین‌المللی، شیوه‌های خرید خدمات و نگاه نادرست به امنیت برمی‌گردد. مشرفی؛ در این‌باره توضیح می‌دهد: صنعت امنیت شبکه اساساً یک بازار B2B یا B2G است و برخلاف شرکت‌هایی مانند دیجی‌کالا یا اسنپ که در حوزه B2C فعالیت می‌کنند و با کاربران نهایی در ارتباط‌اند، این حوزه فرصت شهرت و رشد سریع ندارد و در تمام جهان شرکت‌های امنیتی به میزان شرکت‌های تجاری مرتبط با کاربران نهایی شناخته‌شده نیستند. صنایع بزرگ معمولاً با مصرف‌کننده نهایی سروکار دارند و قابلیت اسکیل‌آپ پیدا می‌کنند، اما امنیت شبکه عموماً در یک میزان خاص قابلیت شناخته شدن و رشد دارد و بخش‌های امنیتی در بسیاری از کشور‌ها در اختیار دولت‌ها، زیرساخت‌‌ها یا نهادهای نظامی است. اما با این تفاوت که رویکرد دولت‌های پیشرو و پیشرفته با دولت‌های تحت فشار و تحریمی مثل ما متفاوت است.

    درون‌سازمانی یا برون‌سپاری

    دهبسته؛ راجع به درون‌سازمانی یا برون‌سپاری تیم‌های امنیتی هم، می‌گوید: سازمان‌ها به‌جای تمرکز بر تعیین استراتژی‌های کلان امنیتی و نظارت دقیق بر پیمانکاران، وقت و منابع‌شان را صرف اقدامات اجرایی و عملیاتی می‌کنند و به دلیل ماهیت فناورمحور بودن‌شان، ترجیح می‌دهند حتی با صرف زمان، انرژی و بودجه بیشتر، هر خدمت یا محصولی را حتی در حوزه امنیت با تیم داخلی خود اجرا کنند؛ اقدامی که می‌تواند این فرآیند را بی‌نتیجه کند. مدیران سازمان‌ با تصورِ کم‌احتمال بودن وقوع رخداد امنیتی و نداشتن تبعات جدی برای خودشان، ترجیح می‌دهند با همان تیم فنی داخلی، که لزوماً امنیتی هم نیست، به روش آزمون و خطا به کار خود ادامه دهند. مشرفی؛ اما نظر دیگری دارد و می‌گوید: «بهترین حالت این است که سازمان‌های بزرگ تیم امنیت داخلی قدرتمندی داشته باشند. وقتی امنیت برون‌سپاری می‌شود، در واقع بخشی از کنترل از دست سازمان‌ها خارج می‌شود. شرکت‌های امنیتی باید در قالب تیم‌های مقیم و یکپارچه زیر یک پرچم مشترک با سازمان‌ها کار کنند. گرچه طبق گفته مشرفی، فشار اقتصادی و محدودیت منابع انسانی متخصص، مانع شکل‌گیری چنین تیم‌هایی شده است: ما نیروهای مقیم خوبی داریم، اما در تمدید قرارداد‌ها به‌جای بحث کیفیت باز هم بحث قیمت مطرح می‌شود؛ اینجاست که دست مدیران IT کوتاه می‌شود و در بخش خرید یا قرارداد هم بدون لحاظ کردن کیفیت، فقط قیمت مد نظر قرار می‌گیرد. در دنیا، شرکت‌های امنیتی بزرگی مانند سوفوس، یا برادکام (سیمنتک) و… محصولات خود را می‌فروشند و به سازمان‌ها آموزش می‌دهند تا بتوانند از آن‌ها به ‌صورت حرفه‌ای استفاده کنند. اما در ایران چنین تولیدکنندگانی وجود ندارد. ما نه تجهیزات مناسب با تست‌های جهانی را تولید می‌کنیم و نه سیستم آموزشی درخور برای استفاده حداکثری از آن‌ها داریم.

    از مناقصه‌های دولتی تا تحریم‌ها

    علیرضا قهرود؛ مدیرعامل شرکت امنیتی «دیاکو»، اما در پاسخ به این سؤال که چرا شرکت‌های خصوصی بزرگ و شناخته‌شده‌ای برای ارائه سرویس‌های امنیتی به غول‌های فناوری ایران وجود ندارد، به ساختارهای معیوب تصمیم‌گیری و سیاست‌گذاری کلان کشور اشاره می‌کند و توضیح می‌دهد: ساختارهایی که به‌جای شایستگی و تجربه، بر معیارهای ایدئولوژیک یا منافع شخصی تکیه دارند باعث شده‌اند بسیاری از تصمیم‌گیری‌های حوزه امنیت حداقل معیارهای ارزیابی علمی و عملی را نداشته باشند. نتیجه این رویکرد، نبود تفکر سیستمی و استراتژیک و فقدان فرهنگ کار تیمی در بدنه حاکمیت به بدنه شرکت‌های خصوصی هم سرایت کرده است. بسیاری از شرکت‌های امنیتی زیر لوای حمایت حاکمیت نه به دلیل توانمندی واقعی، بلکه با استفاده از رانت و روابط خاص رشد کرده‌اند. یکی از بزرگ‌‌ترین موانع، به گفته قهرود؛ سیستم مجوزدهی و تصمیم‌گیری است که بر پایه روابط و سلیقه شکل گرفته است. او ادامه می‌دهد: حتی برای یک تفاهم‌نامه ساده، ممکن است پس از دو سال رفت‌وآمد و مذاکرات در نهایت پروژه به مجموعه‌ای خاص واگذار شود که ارتباطات قوی‌تری دارد. تیم‌های متخصصی که ارتباطات سیاسی یا اقتصادی ندارند، از چرخه پروژه‌های کلان حذف می‌شوند. مخالفت با طرح‌های اشتباه نیز منجر به حذف شرکت‌ها از چرخه امنیتی می‌شود، حتی از سوی نهادهایی که باید حامی امنیت باشند هم این اتفاق نمی‌افتد.

    مسیر ناپیموده صنعتی شدن امنیت سایبری در ایران

    نکته‌ای که در حوزه امنیت سایبری ایران وجود دارد، این است که این بخش همچنان به صورت یک صنعت درنیامده و در نتیجه اقتصاد هم ایجاد نکرده است. شرکت‌های امنیتی که امروز در دنیا معتبر و شناخته‌شده هستند ابتدای امر یک ایده، خدمت، تجهیز یا محصول امنیتی را به کمک تیم باتجربه و متخصص خود در قالب شرکت خصوصی کوچک توسعه داده و بازارشان را طی حداقل ۱۰ سال تأسیس و تثبیت کرده‌اند. سپس با بیشتر شدن سطح درآمدی، شرکت‌های فناور و پیشرو به‌نوعی اقدام به یکپارچه‌سازی، خرید یا ادغام آن‌ها با شرکت خود کرده‌اند. حال آنکه در ایران این روند طی نشده است. دهبسته؛ در این ‌باره بیشتر توضیح می‌دهد: شرکت‌های تولیدکننده فناوری برای تکمیل بخشی از منطق کسب‌وکار خود نیازمند خدمات شرکت‌های امنیتی به صورت سریع و چابک هستند. بنابراین منطقی است که یک شرکت امنیتی بخرند یا تیم آن را در خود ادغام کنند تا هم درآمد بالاتری کسب کنند و هم تخصصی‌تر خدمت ارائه دهند. چون به این ترتیب مجبور نیستند زمان و انرژی نیروهای فعلی و متخصص سازمان خود را صرف تولید دوباره آن محصول کنند و دست به آزمون و خطا بزنند. اصلاً این روال کسب‌و‌کاری یا صنعتی شدن امنیت سایبری است که در غیاب شرکت‌های تولیدکننده فناوری در ایران طی نمی‌شود. دهبسته؛ ادامه می‌دهد: بازار خدمات امنیتی، برخلاف کسب‌وکارهای B2C، در کوتاه‌مدت زودبازده و پرسود نیست. به همین دلیل شتاب‌دهنده‌ها و سرمایه‌گذاران خطرپذیر کشور کمتر به آن ورود می‌کنند. این بازار مبتنی بر اعتماد، سابقه و اعتبار است و مشتریانش اغلب سازمان‌ها و شرکت‌های بزرگ هستند نه عموم مردم. بنابراین بدیهی است؛ نباید شرکت‌های امنیتی به بزرگی شرکت‌های B2C بشوند، زیرا چابکی و همراه بودن با تغییرات امنیتی فناوری را از دست خواهند داد.

    رانت، سلیقه‌گرایی و نادیده گرفتن هشدارها

    در واقع یکی دیگر از چالش‌های اساسی این حوزه، شیوه خرید خدمات امنیتی از طریق مناقصات دولتی است. مدیرعامل دمسان رایانه، دراین‌باره می‌گوید: در مناقصه کیفیت و دانش فنی جایگاهی ندارد، قیمت حرف اول را می‌زند. از همین‌رو شرکت‌هایی که نه زیرساخت دارند و نه دانش کافی، وارد پروژه‌ها می‌شوند. شرکت‌هایی که هک می‌شوند و هزینه‌های زیادی می‌دهند، لزوماً پیش از آن استانداردهای لازم را رعایت نکرده‌اند و بعد از آن تازه صدایشان درمی‌آید که شرکت‌های امنیتی خوبی در ایران وجود ندارد. البته تحریم‌ها نیز نقش مهمی در عقب‌ماندگی ایران از فناوری‌های روز ایفا می‌کنند. مثل این است که شما بخواهید با جت جنگی ۴۰ سال پیش مقابل یک اف-۳۵ مقاومت کنید. حتی بهترین خلبان‌‌ها هم با ابزار ناکارآمد نمی‌توانند موفق شوند. در امنیت شبکه نیز ایران از تجهیزات روز دنیا در حوزه‌هایی مثل فایروال، آنتی‌ویروس و استوریج و… محروم است. ضمناً تغییر IP برای دور زدن محدودیت‌ها، سرعت و کیفیت کار را کاهش می‌دهد و دفاع سایبری را دشوارتر می‌کند. دهبسته؛ در اینجا به تجربه‌های خود در سال‌های قبل اشاره می‌کند و می‌گوید: تجربه‌ام در کار با سازمان‌های مختلف نشان داده مشکلات امنیتی در برخی از سازمان‌ها بار‌ها از طرف شرکت‌های امنیتی تذکر داده شده، اما تأمین امنیت سیستم‌‌ها در اولویت برخی از مدیران بالادستی نیست یا از اثر منفی آن در اعتبار سازمان غافل هستند. این بی‌توجهی، مجموعه‌ای از پیامدهای زنجیره‌ای را به بار می‌آورد. انتخاب پیمانکار بدون دقت و معیار فنی، کوتاهی در جذب نیروی متخصص و متعهد امنیت، واگذاری مسئولیت امنیت به تیم‌های غیرمرتبط در سازمان و صرفاً ایجاد نگرانی و اضطراب در بین آنها، تخصیص‌نیافتن بودجه به‌موقع برای ایمن‌سازی‌ها، نبود برنامه‌ریزی شفاف و نتیجه‌محور سازمان‌ها را متحمل هزینه و خسارت سنگین ناشی از حوادث امنیتی کرده است. البته دهبسته؛ خود شرکت‌های امنیتی را هم از چالش‌‌ها بی‌نصیب نمی‌داند و اضافه می‌کند: «کمبود نیروی متخصص و متعهد، مشکلات زیرساختی مثل قطعی اینترنت یا دسترسی محدود به سرویس‌‌ها بخشی از چالش‌های ماست اما تأکید می‌کنم مشکل امنیت سایبری در ایران بیش از آنکه ناشی از کمبود شرکت‌های توانمند باشد، به نبود برنامه‌ریزی دقیق و بی‌توجهی به امنیت به‌عنوان یک اولویت کلان کسب‌وکار برمی‌گردد.

    الزاماتی که رعایت نمی‌شوند

    قهرود هم‌نظر با دهبسته؛ ادامه می‌دهد: بررسی روند مناقصات و سوابق پروژه‌ها نشان می‌دهد خروجی‌‌ها با انتظارات امنیتی فاصله زیادی دارد. آمار سه سال اخیر که براساس ارزیابی بیش از ۲۰ سازمان بزرگ به دست آمده، تصویر نگران‌کننده‌ای دارد. بیش از ۷۰ درصد این سازمان‌ها با الزامات فنی امنیتی منطبق نبوده‌اند. البته باید تأکید کنم این عدد بااحتیاط اعلام شده و در واقعیت حتی ممکن است بدتر باشد. در طول سال‌‌ها فعالیتم و در جریان پروژه‌های مختلف، هشدارهای متعددی درباره آسیب‌پذیری‌های حیاتی به مسئولان داده شد؛ هشدارهایی که گاه نه‌تنها پیگیری نشد، بلکه در مواردی همان آسیب‌پذیری‌‌ها یک سال بعد به نشت گسترده اطلاعات انجامید. در واقع ما نه‌فقط حداقل‌های امنیت سایبری را نداریم. بلکه آموزش‌‌ها هم ناقص ارائه می‌شود و ارزیابی‌‌ها اغلب صوری هستند. به گفته مشرفی؛ با این اوصاف حتی شرکت‌های بزرگ هم تاب‌آوری کمی در برابر حملات سایبری دارند: نمی‌خواهم خیلی منفی باشم، اما واقعیت این است که شاید ۹۰ درصد شرکت‌های بزرگ ایران زیرساخت‌های لازم را برای مقابله با تهدیدات روز ندارند. اما با وجود همه این مشکلات، می‌توان با استفاده بهتر از منابع انسانی متخصص، آسیب‌‌ها را کاهش داد. اگر قرار است صد درصد آسیب ببینیم، می‌توان این عدد را به ۳۰ درصد رساند، به شرط اینکه امنیت در دل سازمان‌ها نهادینه شود. قهرود؛ در نهایت معتقد است چالش اصلی ایران نه کمبود دانش و نه نبود فناوری است؛ بلکه مشکل این است که قوانین درست، شفاف، قابل اجرا و نظارت وضع نشده است؛ برخورد قانونی با تخلفات جدی گرفته نمی‌شود و تخصص و آگاهی امنیتی، چه در سمت کارفرما و چه پیمانکار، در سطح مطلوبی قرار ندارد. به عقیده او راهکار این است که همین نقاط ضعف برطرف شوند تا مشکلات امنیتی بیشتری کشور را تهدید نکند.

    منبع: پیوست

  • منبع : مناقصه مزایده 4440
    • برچسب ها