در حوزه امنیت سایبری شرایط مناسبی نداریم

به گزارش رویترز، براساس نامه‌ای وزارت خزانه‌داری آمریکا به قانونگذاران این کشور ارائه کرده و به رؤیت رویترز رسیده، هکرهایی که این نهاد آنها را تحت حمایت چین توصیف کرده است، به اسنادی دست یافته‌اند. این نهاد حمله سایبری مذکور را «حادثه‌ای بزرگ» توصیف کرده است.

به گزارش روابط عمومی سازمان نظام صنفی رایانه‌ای استان تهران، پلتفرم‌ها و سامانه‌های ایران همواره مورد حملات سایبری قرار می‌گیرند اما اکنون با وجود پیشرفت ابزارها و قوی‌تر شدن حملات سایبری، کسب و کارهای داخلی رویکرد با کیفیتی را دربرابر حملات نمیتوانند در پیش بگیرند و بخش اعظم آن مرتبط با تحریم های دوطرفه ای است که موجب ضعف های فراوان در حوزه امنیت سایبری کشور ایجاد کرده است.

مهدی فرجی، عضو کمیسیون افتای سازمان نظام صنفی رایانه‌ای استان تهران گفت: متاسفانه در ایران با وجود تمامی تلاش‌هایی که داشته‌ایم، خروجی مناسبی در زمینه امنیت سایبری نداشته و اگر به همین سبک و سیاق پیش برویم نیز نخواهیم داشت. نه به دلیل این‌که دانش کافی در این زمینه وجود ندارد، بلکه به خاطر این‌که شرایط اجرایی کردن بخوبی فراهم نمی‌شود.

او افزود: مسائل مختلفی در این زمینه تاثیرگذارند. از محدودیت‌های سرمایه‌گذاری برای بخش خصوصی گرفته تا نبود صرفه اقتصادی در تولید و توسعه و محدود شدن مارکت به بازار ایران. نخست باید این مساله بررسی شود که آیا تولید و عرضه محصولات فناوری ایمن، به‌روز و قابل رقابت، برای تولیدکننده ایرانی صرفه اقتصادی دارد که برروی آن مانور دهد؟

این عضو کمیسیون افتای سازمان نظام صنفی رایانه‌ای کشور تاکید کرد: آیا حاکمیت و مدیران بالادستی برای امنیت سایبری و توسعه آن توسط بخش واقعاً خصوصی، به معنای واقعی ارزش قائل هستند یا در عمل تنها محدود به صحبت، نظر و گاها سنگ اندازی ناخواسته میشود؟

رویکرد اطلاعاتی به امنیت سایبری

او با اشاره به رویکردی امنیتی اطلاعاتی به مساله امنیت سایبری بیان کرد: متاسفانه جو غالب فکری در صاحبان و مالکان و تولیدکنندگان و توسعه دهنگان کاملاً خصوصی حوزه امنیت این است که موفقیت پیشرفت امنیت سایبری در کشور ما وابسته به رویکرد امنیتی اطلاعاتی شده است نه فناوری امنیت اطلاعات و کسی که در این حوزه فعالیت می‌کند، بعد از مدتی درمی‌یابد که در پشت پرده، این حوزه به نظر اینگونه سازمان ها گره خورده است درصورتی که رسالت آنها تولید بدون وابستگی و طبق استانداردهای بین المللی است و برای بخش خصوصی این امر یک ترمز استرس‌زا است.

فرجی گفت: زمانی که مساله به نگاه سازمان های امنیتی مربوط می‌شود، زنگ خطر بخش خصوصی به صدا درمی‌آید و ترجیح می‌دهد در این زمینه مانور ندهد و وقت و انرژی خود را معطوف به سایر حوزه هایی کند که کمتر در معرض باشند. در نهایت وقتی در جلسات پای صحبت تولیدکنندگان این حوزه هستیم، به صراحت میشنویم که حوزه‌هایی که به فناوری امنیت اطلاعات مرتبطند در زمره حوزه‌هایی قرار میگیرند که بخش خصوصی علاقه ای به فعالیت جدی در آن را ندارد. بطور مثال تولیدکننده بجای صرف زمان و هزینه های سنگین در راستای تولید واقعی و ارزشمند و ریسک زیاد بازگشت سرمایه و نگرانی بابت ادامه حیات و فعالیت، به سراغ ویرایش معمولی نسخ متن باز می‌رود تا علاوه کسب درآمد احتمالا از طریق رانت، درصورت عدم استقبال حاکمیت، وقت و هزینه زیادی صرف نکرده باشد و با حداقل ضرر، امکان تغییر زمینه تولید را داشته باشد. بنابراین بدیهی است که محصولی که برای تولید و توسعه آن تعصبی وجود نداشته باشد، تعهدی نیز برای توسعه امنیتی آن وجود ندارد و تنها منجر به نگاه درامدی می‌شود.

او تاکید کرد: مساله مهاجرت نیروهای انسانی نیز از دیگر مشکلاتی است که در زمینه امنیت سایبری با آن مواجه هستیم. زمانی که نیروهای انسانی مقایسه می‌کنند که با توجه به تخصص خود در فناوری اطلاعات چه آینده‌ای از نظر مالی و علمی در دنیا دارند و آن را با آینده شغلی‌شان در ایران از نظر مالی و علمی مقایسه می‌کنند، روشن است که ترجیح می‌دهند مهاجرت کنند.

این عضو کارگروه امنیت افتای اتاق بازرگانی ایران گفت: نبود چشم‌انداز روشن در ایران و وجود آینده شغلی متفاوت در دنیا موجب شده در جذب و نگهداشت نیروهای انسانی متخصص با مشکل مواجه شویم.

او تاکید کرد: متاسفانه در یک نگاه کلان و جامع، مسیری که در زمینه امنیت سایبری در پیش گرفته‌ایم عواقب خوبی به همراه ندارد. البته اظهار نظر در یک برش کوتاه و اجمالی از این زمینه نیز شاید منطبق بر این نگاه نباشد چراکه هرکسی متناسب با جایگاه، بهره مندی از منابع، کیفیت حمایت و... می‌تواند برداشت و نظر مقطعی متفاوتی داشته باشد.

فرجی درباره عدم اطلاع رسانی پلتفرم‌های داخلی در هنگام حملات سایبری به کاربران، بیان کرد: مساله اینجاست که زمانی که حملات سایبری به سامانه‌ها و پلتفرم‌های دولتی یا خصولتی رخ می‌دهد، فعالان بخش خصوصی در حوزه فناوری اطلاعات یا اعضای سازمان یا شرکت مربوطه که محصول و خدمات آن مورد حمله قرار گرفته است جزو آخرین افرادی هستند که در جریان جزئیات اسناد، روش های اصلاح و روش های نفوذ سایبری قرار می‌گیرند و شاید اصلا در جریان قرار نگیرند.

عضو انجمن افتای ایران افزود: متاسفانه در زمینه حملات سایبری، حق بررسی و هرگونه اظهارنظر یا کنترل ماجرا کاملا از دست افراد و بخش خصوصی خارج شده و به نهادهای مشخص حاکمیتی سپرده می‌شود. در نهایت آن نهاد است که تصمیم می‌گیرد چه زمانی اطلاعات حمله سایبری رخ داده منتشر شود یا نه و آیا سایر فعالان امنیت شبکه باید در جریان روش حمله و روش جلوگیری از آن قرار بگیرند یا خیر. شاید همواره حاکمیت این مساله را مد نظر قرار می‌دهد که جامعه آمادگی شنیدن این اخبار را دارد یا خیر و این‌که مردم ذهنیت و قابلیت پذیرش چنین اتفاقاتی را دارا هستند یا خیر و انتشار آن چه عواقب اجتماعی می‌تواند در پیش داشته باشد، اما به هر حال باید مانند سایر کشورهای موفق عمل کرد و حداقل با تغییر اسامی و مدارک خطرساز، به انتشار یه نمونه کوچک از آن بسنده کرد.

او افزود: ممکن است سازمان یا پلتفرمی که مورد حمله سایبری قرار گرفته اصلا تصمیم‌گیرنده نباشد. زمانی که حملات سایبری رخ می‌دهد حتی اگر بخش خصوصی و نهادهای دیگر مورد حمله قرار نگرفته و یا تحت تاثیر آن قرار نگیرند، بازهم باید در جزئیات حمله قرار بگیرند. بطور مثال طی حملات انجام شده در مدت اخیر، بسیاری از حملات از یک روش یکسان بهره برده‌اند که اگر در مورد ان اطلاع رسانی می‌شد شاید شاهد حملات بعدی نبودیم و کار نفوذگران برای نفوذهای بعدی دشوارتر می‌شد.

فرجی تاکید کرد: نکته مهم دیگر این است که در دنیا، برندها و سرویس دهندگان خصوصی برای کاربران خود ارزش و بهای زیادی قایل هستند چراکه اگر کاربر نباشد و از آن‌ها استقبال نکند آن کسب و کار محکوم به نابودی است. اما اگر پلتفرم یا سرویس دهنده‌ای کاملا کاربرمحور نباشد، درآمد و بقای اقتصادی آن به کاربران وابسته نباشد، از حمایت کامل دولتی و حاکمیتی برخوردار باشد، رقبای جدی در بازار نداشته باشد، دیگر اهمیتی نمی‌دهد کاربران از چه رفتاری خوششان می‌آید یا به استفاده از پلتفرمشان علاقمند هستند یا خیر و می‌دانند که در نهایت کاربر محکوم به استفاده از این پلتفرم‌ها، ابزارها و خدمات است.

او افزود: اگر فضای مناسب برای توسعه بازار فراهم بود و طی تلاش و فعالیت علمی، تنوع رقبا در بازار وجود داشت و کسب‌وکارها می‌دانستند چند خدمات دهنده دیگر نیز وجود دارند، به خواسته و امنیت کاربران اهمیت بیشتری می‌دادند.