در گفتگوی رادیو اینترنتی عصر پرداخت تلاش شده است به شاخصهای دفاعی- امنیتی فضای سایبری زیرساختهای حیاتی و حساس کشور، با توجه به رویکردهای پدافند غیرعامل پرداخته شود. فراموش نکنیم که هر عصر، محدودیت های خودش را دارد و ما در حال حاضر در عصر فناوری اطلاعات بیش از پیش به تعیین شاخص های دفاعی امنیتی فضای سایبری خود نیاز داریم و پرداختن به این مهم، موجب تقویت زیرساخت ها در برابر تهدید ها میشود.
حیات اجتماعی کشورها بر پایه تداوم زیر ساخت های امنیتی آنها استوار است به همین علت مهاجمین تلاش میکنند تا مانع عملکرد متداوم آن در کشور های هدف شوند. امروزه توسعه فناوری اطلاعات و فضای سایبری باعث شده تا بخش های مهمی از کارکرد زیر ساخت های حیاتی و حساس، وابسته به این فضا شوند. درنتیجه این وابستگی، امنیت زیرساخت ها به فضای سایبری گره خورده است.
در همین راستا دکتر رویا دهبسته، مدیر عامل شرکت باگدشت، دکتر بهناز آریا، رئیس کمیسیون افتا سازمان نظام صنفی رایانه ای استان تهران، و جناب مهندس پویا پور اعظم، رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه، سعی کردهاند در خصوص مشکلات این حوزه در پنل رادیویی عصر پرداخت به بحث و تبادل نظر بپردازند.
بر اساس صحبتهای آقای پور اعظم در خصوص وضعیت بانک ها در خصوص امنیت سایبری و اثربخشی اقدامات انجام شده، در خصوص وضعیت امنیتی بانکها و نهاد های مالی، آمار دقیقی موجود نیست اما وضعیت، وضعیت مطلوبی نیست و فکر میکنم مقداری شانس هم همراه بوده است. بستن دسترسی های اینترنتی به خدمات و زیرساخت های خارج از کشور، راه حل درست و دقیقی نیست، البته به عنوان راه حل موقتی و سریع راه خوبی است. درواقع برخی از تهدید ها از داخل کشور و سازمان ها است. با وجود هزینه های بسیار زیادی که در خصوص امنیت زیر ساختهای ما انجام شده اما میبینیم که همچنان در این باره نگرانی های متعددی وجود دارد و بنابر این من فکر میکنم مشکل اصلی در قسمت دیگری باشد و بهتر است هزینه ها، در راه درست تری انجام شوند.
در ادامه خانم دکتر آریا از دیدگاهشان در خصوص وضعیت امنیت سایبری کشور و نقش کمسیون وضعیت نظام صنفی در ارتقا وضعیت سایبری کشور علیالخصوص در حوزه فناوری مالی صحبت کردند. براساس شرایط کشور، شرایط حساس و منحصر به فردی داریم و با توجه به موقعیتی که کشور در آن قرار دارد وضعیت امنیت سایبری کشور نیز اهمیت بسیار ویژه ای دارد و نیازمند توجه ویژه است. سازمان نظام صنفی رایانه ای، عملا نماینده بخش خوصوصیست و بخش خصوصی یعنی بازوی اجرایی دولت و بخش خصوصی به اندازه کافی نقش خود را ایفا نمیکند و به آن بها داده نمیشود. درواقع بخش خصوصی در شورای عالی فضای مجازی یا در سایر نهاد های تصمیم سازی که در لایه استراتژیک تصمیم میگیرند، کرسی ای ندارد. البته نسبت به سال های گذشته این موضوع پیشرفت فراوانی کرده اما راه خیلی طولانی ای داریم تا به جایگاه واقعی بخش خصوصی برسیم. یکی از بزرگترین مشکلات ما درمورد حوزه مالی و اعتباری، عدم اشتراک دانش لازم و تجارب است. به عنوان بخش خصوصی، انتظار داریم که بتوانیم نقش خود را در این موضوع ایفا کنیم اما متأسفانه بستر مناسب این کار وجود نداشته است.
نقش برنامه های باگ بانتی
خانم دکتر دهبسته در خصوص نقش برنامه های باگ بانتی و نقش آن در امنیت سایبری کشور صحبت فرمودند. علل به وجود آمدن باگ بانتی تعدد آسیب پذیری ها در سامانه ها و از سمت دیگر هزینه بر بودن اجرای پروژه های تست نفوذ به طور سنتی چه از نظر مالی چه از نظر زمانی و انتخاب پیمانکار و فرایند پیچیده عقد قرارداد و در نهایت پیچیده بودن نگه داشتن نیروی متخصص درسازمان است. این فضا، سازمان ها را به سمت باگ بانتی پیش برد که از کمک هکر های متخصص که به عنوان هکر های کلاه سفید میشناسیم در تعداد بالا استفاده کنند. در حال حاضر باگدشت در حال همکاری با بیش از ۸۰ سازمان هست. در خصوص مجوز این حوزه، دو سال است که چارچوبی ایجاد شده و علاوه بر آن پلیس فتا و مرکز پدافند غیرعامل نیز اخیرا ادارات تخصصی باگ بانتی را تشکیل داده اند. او افزود، هرچقدر ما بیشتر درمورد مشکلات و باگهای امنیتی اطلاع داشته باشیم قطعا کمک کننده است. دید سنتی همچنان در بعضی مجموعه های بانکی مالی وجود دارد که قرار دادهای امنیت را با کمترین هزینه انجام میدهند و کیفیت را اولویت قرار نمیدهند.
خانم دکتر آریا، در خصوص اقدامات انجام شده برای نگه داشتن نیروی متخصص و برنامه های آموزشی توضیح دادند. نیروی انسانی یکی از مهمترین عامل هایی است که میتواند به بهبود شرایط کمک کند. متأسفانه در سال های اخیر به شدت موج مهاجرت داریم و هم در تربیت نیروی متخصص و هم در نکه داشتن آن شدیدا دچار چالش هستیم. ما هم بحث نیروی متعهد را داریم و هم متخصص اما متأسفانه فقط درمورد نیروی متعهد سرمایه گذاری میشود.
آقای مهندس پوراعظم، یکی از مشکلات خیلی بزرگ در این حوزه را صرف هزینه های بسیار زیاد و میلیاردی برای تجهیزات دانست و بودجه مناسبی برای نیروی انسانی گذاشته نمیشود. درحالی که بسیاری از این تجهیزات یا ضروری نیستند یا استفاده درست و تخصصی ای از آن ها نمیشود. برای استفاده از تجهیزات به افراد و نیروی انسانی متخصص نیاز است که عدم وجود آنها باعث کاهش کارآمدی آن ها میشود و همچنین در برخی از موارد تجهیزات و فایروال ها برخی از مشکلات را پوشش نمیدهند و دغدغه امنیت برطرف نمیشوند. الان باید هزینه و نیروی بیشتر در ساختار سازمان بگذاریم. چند سال پیش شرکت کاشف و بانک مرکزی سندی در خصوص ساختار سازمانی در خصوص امنیت فناوری اطلاعات داد، که البته بخش نامه و سند دادن کار مفیدی است اما مهم نظارت بر آن است که متأسفانه اتفاق نمیافتد.
خانم دکتر دهبسته میزان سرمایه گذاری حوزه های مختلف توضیح دادند. هرجا برند سازمان مهم باشد و بحث اعتماد مشتری مطرح باشد امنیت بسیار مهم است. متأسفانه هنگامی که مشکلی یا کم کاری در سازمانها اتفاق بیفتد، نهایتا پاسخگویی صورت نمیگیرد. اسناد بالادستی امنیت سازمانها باهم در برخی موارد در تناقض اند، با شرایط کشور هماهنگ نیستند و دید مناسبی به مدیر امنیت نمیدهند. خوشبختانه در گزارش سالانه امسال باگدشت، افزایش خیلی خوبی نسبت به همکاری مجموعه مالی بانکی داشتیم. حدود ۴۰ درصد همکاری ها در حوزه بانکی هست. بعد از آن حدود ۲۳ درصد اپراتورها و بعد پلتفرم های ارائه خدمات به کاربران در حدود ۱۶ درصد قرار میگیرند. این درک در سازمان های مختلف کشور در حال افزایش است اما متأسفانه هنوز به حد لازم نرسیده است و سازمان ها هنوز به بلوغ امنیتی لازم نرسیده اند. در حال حاضر رنج سنی متخصصین در پلتفرم های باگ بانتی بین ۱۸ تا ۲۴ سال است که روی این مساله وقت میگذارند، برای این دوستان وقتی به سطح VIP میرسند، خیلی تمرکز میشود تا بر روی مباحث رفتارهای حرفه ای فعال شوند و سعی میکنیم رویایی با سازمان ها به طور مستقیم به دلیل مشکلات احتمالی جانبی نداشته باشند.
تا چند سال گذشته بحث امنیت، بحثی کاملا نادیده گرفته شده بود و همان طور که گفته شد، هزینه هایی که برای تجهیزات انجام میشد و عدم سرمایه گذاری بر نیروی انسانی مشکلات زیادی به وجود آورده است. از سمتی در مجموعه های استارتاپ، بودجه کافی برای درنظر گرفتن امنیت وجود ندارد و باعث ایجاد تارگتهای سهل الوصول تر برای مهاجم میشود. درواقع این موضوع باعث میشود سازمان، امکانات خود را به درستی نشناسد و به مرور انتقال اطلاعات و کنترل بر آنها وجود نخواهد داشت. همچنین او افزود دلایل وقوع رخدادهای اخیر میتواند، بحث پرسنل باشد که آگاهی خوبی برای اطلاع رسانی موارد مشکوک ندارند. درنهایت سازمانها مانور امنیت سایبری مناسبی ندارند و به طور گسترده اجرا نمیشود.
برای شنیدن کامل این پنل تخصصی در رادیو عصر پرداخت کلیک نمایید.