سِر شدن به هک شدن، حلقه مفقوده امنیت چیست

بهمن ۱۳, ۱۴۰۳

به نظر میرسد تعدد اخبار هک شدن کسب و کارها و نبود قانونی قاطع در زمینه حمایت از داده‌های کاربران باعث نوعی بی‌تفاوتی در میان کسب و کارها شده است. تعدد نهادهای ناظر امنیتی باعث شده است شرکت‌های دولتی و استارت‌‌آپی، مجبور شوند نیروی انسانی زیادی برای نوشتن گزارش‌ها و پاسخگویی به رگولاتورها تخصیص دهند، بدون اینکه این اقدامات به بهبود عملکرد واقعی امنیت سازمان‌ کمک کند.

`میزگرد تخصصی «سِر شدن به هک شدن»، که توسط شرکت زرین پال برگزار گردید`

سرشدن به هک شدن

در `میزگرد تخصصی «سِر شدن به هک شدن»، که توسط شرکت زرین پال برگزار گردید`، رویا دهبسته، مدیرعامل باگدشت، به بررسی چالش‌های امنیت سایبری در ایران پرداخت. به گفته او، تهدیدات سایبری یک پدیده جهانی است که ایران نیز از آن مستثنی نیست. با این حال، شرایط خاص کشور، این موضوع را پیچیده‌تر کرده است. مدیرعامل باگدشت، «سِر شدن» یا عادت کردن به هک‌ها را به عنوان یکی از مشکلات اصلی در لایه‌های پایین‌تر سازمان‌ها مطرح کرد و اظهار داشت که برای درک این موضوع باید از نیروی انسانی سازمان شروع کرد.

به گفته وی، حجم بالای اخبار منفی در زمینه‌های مختلف اجتماعی، اقتصادی و غیره، باعث ایجاد نوعی بی‌تفاوتی و انفعال در نیروی کار جوان شده است. به طوری که اخبار متعدد در زمینه هک نیز باعث ایجاد همین رویکرد شده است. به طور کلی، می‌توان گفت که دهبسته در این میزگرد، بر لزوم توجه به نیروی انسانی و ایجاد حساسیت نسبت به مسائل امنیتی در سازمان‌ها تاکید کرده است.

در ادامه میزگرد، رویا دهبسته به بررسی نهادهای ناظر امنیتی و عملکرد آنها پرداخت و گفت: ایده اولیه این بود که هر صنعتی مرکز تخصصی خود را داشته باشد، اما به دلیل تفکیک نادرست، این نهادها به صورت پراکنده و موازی عمل کردند. در نتیجه، هر کدام از آنها الزامات مشابهی را به شرکت‌ها اعلام می‌کنند. این موضوع باعث شده است که شرکت‌ها، اعم از دولتی و استارت‌آپی، مجبور به تخصیص نیروی انسانی زیادی برای تهیه گزارش‌ها و پاسخگویی به رگولاتورها شوند، بدون آنکه این اقدامات به بهبود عملکرد واقعی سازمان‌ها کمکی کند.

حقوق قانونی کاربران

هانیه کارخانه، مدیرعامل یارا ۷۲۴، علت اصلی حملات سایبری در ایران را نبود حقوق قانونی برای قربانیان هک می‌داند. صنعت بیمه و بانکداری اطلاعات حساس کاربران را ذخیره می‌کنند، اما پس از هک، حقوق کاربران و نحوه پیگیری قانونی آن مشخص نیست. این مسئله باعث بی‌توجهی شرکت‌ها به امنیت کاربران شده است.

هانیه کارخانه هم در ادامه از سرنوشت داده‌ها پس از نشت اطلاعات می‌گوید: اگر داده‌ها فروخته هم نشود و شرکت‌ها با هکرها به توافق برسند، اینگونه نیست که این داده‌ها از بین برود. در بهترین حالت، داده‌ها هر یک بنا به کارکرد خود بدون لیبل در پروژه‌های تحلیلی، هوش مصنوعی و برای انجام اقدامات بازاریابی به کار گرفته می‌شوند.

رمزارزی‌های ریسک‌پذیر

پویا قاسمی، مدیر ارشد فنی مزدکس، معتقد است که کاربران حوزه رمزارز با وجود ریسک‌پذیری بالا، به دلیل آشنایی بیشتر با ابزارهای امنیتی و فناوری‌های روز دنیا، از سطح سواد امنیتی بالاتری برخوردارند و لزوما بی‌احتیاط نیستند. وی در ادامه با اشاره به امنیت بالای بلاک‌چین به دلیل ویژگی‌های چندجانبه‌اش، بر لزوم رویکرد چندلایه به امنیت و انجام تست‌های مختلف در سطوح گوناگون تاکید کرد.

باگ بانتی و تاثیرات آن

محمدرضا شعبانی، مدیر فنی اسنپ‌مارکت، باگ‌بانتی را ابزاری مفید برای شناسایی سریع‌تر مشکلات امنیتی می‌داند، اما تاکید می‌کند که این ابزار باید پس از طراحی و پیاده‌سازی کامل لایه‌های امنیتی مورد استفاده قرار گیرد و جایگزین روش‌های پیشگیرانه نباشد. هانیه کارخانه باگ‌بانتی را شمشیری دولبه توصیف می‌کند و معتقد است که جوایز زیاد برای کشف آسیب‌پذیری‌ها می‌تواند انگیزه‌های مالی را در هکرها برای حمله عمدی به سیستم ایجاد کند، در حالی که عدم وجود چنین جوایزی می‌تواند منجر به حملات ناگهانی و بدون گزارش شود. بنابراین، اتخاذ رویکردی منطقی و حساب‌شده در این زمینه ضروری است.

هرم مازلو

سهند حبیبی، مدیر پلتفرم و زیرساخت زرین‌پال، معتقد است که اولویت بسیاری از سازمان‌ها و به ویژه استارت‌آپ‌ها، رشد سریع و تأمین نقدینگی است و به همین دلیل، امنیت به دلیل نگرانی از هزینه‌ها در اولویت قرار نمی‌گیرد. به گفته وی، شرکت‌ها در تأمین نیازهای اولیه و حتی مشکلات با رگولاتوری با چالش روبرو هستند و اگرچه شرایط نسبت به گذشته بهتر شده، اما نحوه برخورد با امنیت سایبری نیازمند فرهنگ‌سازی و آگاهی‌بخشی بیشتری در سازمان‌ها است. حبیبی همچنین نقش انجمن‌ها و نهادهای صنفی را در این حوزه مهم دانسته و معتقد است که این نهادها می‌توانند با کمک از قوانین و رگولاتوری، شرکت‌ها را به توجه بیشتر به امنیت ترغیب کنند و از انتشار مشکلات جلوگیری کنند.

پنهان‌کاری سازمانها

رویا دهبسته، مدیرعامل باگدشت، در ادامه صحبت‌های خود، به موضوع پنهان‌کاری شرکت‌ها پس از وقوع حملات سایبری پرداخت و این رویکرد را ناشی از تصمیمات اتخاذ شده در سطوح بالای سازمان‌ها دانست. به گفته وی، در سازمان‌های بزرگ، به ویژه سازمان‌هایی که اطلاعات حساسی را در اختیار دارند یا دامنه مشتریان آنها در سطح وسیعی از کشور پراکنده است، هرگونه تصمیمی در مورد انتشار اطلاعات مربوط به رخداد امنیتی، می‌تواند تأثیرات گسترده‌ای بر جامعه داشته باشد. در چنین شرایطی، تصمیم‌گیری در این خصوص تنها بر عهده مدیرعامل سازمان نیست، بلکه نهادهای نظارتی نیز در این فرآیند نقش دارند و تصمیم‌گیرنده هستند.

با این حال، دهبسته به چالش دیگری نیز اشاره کرد و افزود که بسیاری از سازمان‌های سنتی‌تر، هنوز به بلوغ کافی در زمینه امنیت سایبری نرسیده‌اند و فاقد چرخه امنیتی مناسب برای حفظ اطلاعات و داده‌ها هستند. این موضوع می‌تواند یکی از دلایل اصلی اجتناب این سازمان‌ها از اشتراک‌گذاری اطلاعات مربوط به هک‌ها و عدم رعایت صحیح اصول امنیتی باشد. به عبارت دیگر، این سازمان‌ها به دلیل ضعف در زیرساخت‌های امنیتی و ترس از تبعات منفی ناشی از افشای اطلاعات، ترجیح می‌دهند که موضوع هک را پنهان کرده و از پرداختن شفاف به آن خودداری کنند.

در مسیر فیلترشکن‌ها

پویا قاسمی همچنین درباره تأثیر استفاده از فیلترشکن‌ها و حملات سایبری در سال‌های اخیر توضیح می‌دهد: «این موضوع به‌ویژه زمانی مشکل‌ساز می‌شود که وقتی تلاش می‌کنیم دسترسی‌ها را محدود یا فیلتر کنیم. این باعث می‌شود که در برخی مواقع نظارت بر دسترسی‌ها کارآمد نباشد و ممکن است تهدیداتی که از این طریق وارد می‌شود، به‌راحتی شناسایی و متوقف نشوند.

نقشه راه امنیت سایبری

رویا دهبسته، مدیرعامل باگدشت، با اشاره به گزارش کورسرا مبنی بر افزایش کاربران علاقه‌مند به یادگیری مهارت‌های سایبری، به مقایسه وضعیت ایران با سایر کشورها پرداخت و اظهار داشت که امنیت سایبری را نمی‌توان به طور کامل از امنیت سایر کشورها جدا دانست، زیرا فعالان این حوزه در سراسر جهان باید به طور مداوم دانش خود را به‌روز کرده و ترندهای جهانی را دنبال کنند.

با این حال، وی خاطرنشان کرد که در ایران محدودیت‌هایی در این زمینه وجود دارد. برای مثال، متخصصان ایرانی که قصد دریافت گواهینامه‌های معتبر بین‌المللی را دارند، ممکن است به برخی از فناوری‌ها و منابع روز دنیا دسترسی نداشته باشند. این موضوع می‌تواند باعث شود که آنها در مقایسه با همتایان بین‌المللی خود دچار عقب‌ماندگی شوند. به عبارت دیگر، در حالی که دانش و مهارت‌های سایبری در سطح جهانی به سرعت در حال پیشرفت است، متخصصان ایرانی به دلیل محدودیت‌های موجود، ممکن است نتوانند به طور کامل از این پیشرفت‌ها بهره‌مند شوند و در نتیجه، در رقابت با سایر متخصصان بین‌المللی با چالش‌هایی روبرو شوند.

سهند حبیبی، مدیر پلتفرم و زیرساخت زرین‌پال، با اشاره به تغییرات و چالش‌های موجود، جذب و پرورش نسل جدیدی از نیروهای جوان و بااستعداد را به عنوان یکی از مهم‌ترین راه‌ها برای بهبود وضعیت منابع انسانی و امنیت در ایران پیشنهاد کرد. وی خاطرنشان کرد که اگرچه مهاجرت نیروهای با تجربه به خارج از کشور تأثیراتی بر بازار کار داشته، اما این شرایط می‌تواند فرصت‌هایی را برای نسل جوان، به ویژه دهه ۸۰، فراهم کند.

حبیبی در ادامه، حلقه مفقوده امنیت در شرکت‌های مالی و پرداخت را عدم انتقال دانش دانست و خواستار الزام سازمان‌ها به انجام آپدیت امنیتی سالانه، صرف نظر از فرهنگ و فرآیندهای داخلی آنها شد. علاوه بر این، وی از سازمان‌ها خواست که هزینه‌های مربوط به امنیت را جدی گرفته و بودجه مناسبی برای آن اختصاص دهند. با این حال، وی خاطرنشان کرد که بسیاری از شرکت‌ها به دلیل محدودیت‌های مالی قادر به اجرای این برنامه‌ها نیستند و حتی از پرداخت هزینه‌های تست نفوذ و برگزاری کارگاه‌های آموزشی امنیتی نیز امتناع می‌کنند که این موضوع نگران‌کننده و غیرقابل توجیه است.

جزییات بیشتر این رویداد را میتوانید در وب سایت ماهنامه یپوست مطالعه بفرمایید.

وبلاگ

آخرین مطالب

سِر شدن به هک شدن، حلقه مفقوده امنیت چیست

پنجمین رویداد سالانه امنیتی باگدشت با نام CTB در مرداد ماه سال ۱۴۰۳ برگزار شد

پنجمین رویداد امنیتی CTB با حمایت شرکتهای خدمات ارتباطی ایرانسل، دیجی‌کالا، سفرهای علی‌بابا، تپسی، بانک توسعه و تعاون و رسانه پیوست از هشتم تا هفدهم مرداد ماه برگزار شد.

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.