نیروی انسانی متخصص، چالش مهم امنیت سایبری کشور

45

آیدین عدالت، عضو هیأت مدیره و رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی رایانه‌ای درباره این که دست اندرکاران امنیت سایبری طی سال‌های اخیر چقدر به‌طور جدی به دنبال سازوکارها و اقدامات پیش‌گیرانه و محافظتی از شبکه‌های زیرساختی بودند؟ اظهار کرد: واقعیت این است تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید بوده است. اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرآیندها و روش‌ها پیاده می‌شود نه با تجهیزات.

وی افزود: اشتباهی که عموما در میان مصرف‌کنندگان چه دولتی و خصوصی در این زمینه وجود دارد، این است که گمان می‌کنند اگر تجهیزات خوب و تأیید شده بگیرند، امنیت شبکه‌ها تأمین خواهد شد؛ مثلا یک اشتباه سالهاست در حال تکرار است که تجهیزات وارداتی برای زیرساخت شبکه را برای تست امنیت و تأیید نمونه به آزمایشگاه‌ها می‌فرستند اما پس از آن، دیگر پیگیری برای نصب بهینه، تنظیم و پیاده‌سازی فرآیندهای صحیح روی آن انجام نشده یا به حدی که لازم است تمرکزی روی آن نمی‌شود. در حالی که لازم است در همه سازمان‌ها امنیت زیرساخت شبکه چک و بعد از ورود تجهیزات به شبکه در داخل سازمان، به درستی نصب و تنظیم شود.

او با بیان اینکه اصطلاحی در سیستم‌های شبکه به نام سخت‌سازی وجود دارد و زمانی که تجهیزات برای زیرساخت شبکه خریداری می‌شود، ابتدا باید هنگام ورود به سازمان سخت‌سازی و مقاوم‌سازی در برابر حملات بیرونی انجام شود، گفت: این کار در خیلی از موارد به درستی انجام نمی‌شود؛ همچنین به دلیل تحریم‌ها، تجهیزات و نرم‌افزارهای آنها به روز نمی‌شوند و قدیمی هستند و در نهایت این عوامل سبب می‌شود نسبت به حملات جدید بسیار آسیب‌پذیر باشند.

عدالت با تأکید بر اینکه امنیت موضوع گران و هزینه‌بری است، تشریح کرد: بودجه‌هایی که در سازمان‌ها وجود دارد، قدیمی هستند که هر سال حداکثر به اندازه تورم رشد دارند اما دو موضوع مهم در این باره وجود دارد؛ اول اینکه قیمت تجهیزات امنیتی در دنیا، جدای از نرخ ارز، به دلیل کمبود چیپ‌ست طی سه سال اخیر، به دلیل بیماری کرونا بیش از سه برابر افزایش داشته است.

او ادامه داد: نکته دوم این است که طی سالهای اخیر به دلایل مختلف، تخصص امنیت و متخصصان آن در کشور ما هم محدود و معدود شده است، بنابراین سازمان‌ها انتظار دارند یک تکنسین متخصص شبکه که فقط کارهای ابتدایی را انجام می‌دهد و حقوق آن به طور مثال ۱۰ میلیون تومان است، بتواند امنیت زیرساخت یک وب‌سایت دولتی را تأمین کند. در حالی که حقوق همین متخصص در دنیا ماهیانه به طور مثال ۵۰۰۰ هزار دلار است و این اصلا با بودجه‌ای که سازمان دارد، سنخیت ندارد و سازمان‌ها باید فردی که حقوقش ۱۵۰ میلیون تومان است را استخدام کنند اما کسی استخدام می‌شود که حقوقش ۱۰ میلیون تومان است و به همین دلیل امنیت شبکه و سایت آنطور که باید تأمین نمی‌شود.

وی با بیان اینکه نقش و میزان استفاده از کارشناسان فنی که توانایی امن‌سازی یک شبکه و سایت داخلی سازمان یا شرکت را نداشته و از اطلاعات به روز شده‌ای استفاده نمی‌کنند، در موضوع امنیت سایبری بسیار زیاد است، تصریح کرد: شاید مهم‌ترین موضوع بحث نیروی انسانی است که مهره ایجاد امنیت در زیرساخت شبکه به شمار می‌رود و هرچه قدر هم تجهیزات مناسب فراهم باشد، با فقدان نیروی انسانی متخصص و متناسب با آن سازمان، تمام هزینه‌های قبلی به هدر می‌رود.

عدالت خاطر نشان کرد: به عقیده من بزرگ‌ترین پاشنه آشیل امنیت سایبری در ایران بحث نیروی انسانی در حوزه فناوری اطلاعات است و باید به مشکلات موجود در این بخش توجه شود.

رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی رایانه‌ای درباره عدم رعایت ساده‌ترین نکات امنیتی و پشتیان‌گیری در طول سال‌های گذشته در بحث امنیت سایبری، اظهار کرد: وضعیت زیر ساخت‌های شبکه‌های ما به دو دلیل یکی به دلیل تحریم‌ها و دیگری گران شدن نرخ برای ارز در حوزه زیرساختی با مشکل مواجه است؛ یعنی شبکه با رشد تقاضا و سرویس‌ها رشد نکرده و سرمایه‌گذاری لازم برایش انجام نشده است. در بسیاری از دیتاسنترها، سرورها و وب‌سایت‌ها صرفا هزینه نگه‌داری برای زنده نگه داشتن آن انجام شده و به اندازه‌ای سرمایه گذاری نشده که قابلیت اطمینان این سرویس ارتقا پیدا کند؛ در نتیجه باید برای سرویس‌های پشتیان‌گیری و تجهیزات امنیتی، تأمین سخت افزار و نرم افزار، نیروی انسانی و برای به روز رسانی آنها به صورت مستمر هزینه شود.

عدالت ادامه داد: متأسفانه این هزینه‌ها در گذشته انجام نشده و تجهیزات نه تنها به روز نمی‌شود بلکه به سمت استهلاک هم می‌روند و کارایی خود را از دست می‌دهند. به خصوص در زمینه امنیت که هر روز حملات جدید با روش‌های جدید  به وجود می‌آید و اگر به‌روزرسانی انجام نشود، متأسفانه بسیار آسیب‌پذیر خواهند بود.

وی تأکید کرد: یک اتفاقی که در دنیا رخ داده این است که زیرساخت فناوری اطلاعات از حالت یک ابزار خارج شده و عملا به یکی از پایه‌های حکمرانی سازمانی تبدیل شده اما در کشور ما هنوز به آن توجه نشده است. زمانی بود که شمول فناوری اطلاعات به رایانه، پرینتر و اینکه شبکه‌ای سرپا باشد، لحاظ می‌شد اما اکنون فناوری اطلاعات در تار و پود تمام سازمان‌ها گسترده شده و همه را به خود وابسته کرده است و این نیاز دارد که این رشد و اهمیت در ساختار سازمانی شرکت‌های دولتی و خصوصی بزرگ دیده شود.

او تصریح کرد: یکی از موارد مورد توجه این است که در همه سازمان‌ها، معاونت فناوری اطلاعات وجود داشته باشد اما اینگونه نیست؛ معتقدم مسئله‌ای که باید حداقل در سازمان‌های دولتی اتفاق بی‌افتد این است که اهمیت دادن به حوزه فاوا در سطح معاونت ارتقاء پیدا کند. مدیران ارشد هم قطعا اگر در سطح معاونت افراد متخصصانی داشته باشند که به زیرساخت فناوری و امنیت آن اهمیت دهند، خود به خود به موضوع توجه می‌کنند هم مطلع‌تر می‌شوند و از نزدیک در جریان موضوع قرار می‌گیرند.

این کارشناس با بیان اینکه در سازمان‌های دولتی بحث امنیت به حراست مربوط می‌شود، گفت: بعضا واحد حراست در سازمان‌ها وجود دارد و به دلیل اینکه حراست از  ساختار سازمانی سنتی برخوردار است، معمولا به حفاظت فیزیکی، ورود و خروج افراد و حداکثر نظارت بر دوربین‌های مدار بسته ورود می‌کند اما حراست و امنیت در حوزه فناوری اطلاعات موضوع پیچیده و تخصصی است و در بسیاری از مواقع به طراحی معماری زیرساخت شبکه و  نرم‌افزار سازمان برمی‌گردد. الزاما این گونه نیست که ساختار سازمانی نامرتب و غیر استاندارد برپا و بعد تیم امنیتی آورده شود که آن را بیمه کند. بنابراین خود واحد فنائوری اطلاعات قطعا باید یک تیم امنیتی داشته باشد و یکی از ارکان فناوری اطلاعات چه در زمینه تأمین تجهیزات، پیاده‌سازی و پشتیبانی، امنیت است و در کنار نگه‌داری شبکه و دیگر موارد لازم است که متخصص امنیت در تیم فناوری هم وجود داشته باشد.

عدالت در ادامه سخنانش با تأکید بر اینکه یکی از اتفاقات مخل امنیت، عدم سیاست‌گذاری درست در رابطه با اینترنت است، تصریح کرد: اینکه شبکه ملی اطلاعات داشته باشیم خیلی اتفاق خوبی است و سبب کاهش هزینه و افزایش دسترسی و به طبع افزایش امنیت می‌شود ولی متأسفانه اتفاقی که بعضا در زمینه اینترنت رخ داده مخصوصا در مواقعی که مشکل امنیت در جای دیگر جامعه وجود دارد، بستن پهنای باند اینترنت، یا مسدود و محدودسازی سایت‌هاست؛ در حالی که این موضوع کاربران را به سمت استفاده از ابزاری مانند وی پی ان سوق می‌دهد و استفاده از وی پی ان هم تمام پیش‌بینی‌ها و الزامات دیده شده در شبکه دیده شده را، میان‌بر زده و از آن عبور می‌کند.

وی افزود: به عبارتی زمانی که در یک سازمان یا منزلی تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به طور کلی الزامات در معماری شبکه رعایت شود اما کاربر با وی پی ان به یک سایت خارجی متصل شود، همه رشته‌هایی که برای امنیت سازمان چیده شده، پنبه می‌شود. بنابراین برخلاف چیزی که شاید در ذهن تصمیم‌گیران وجود دارد و با بستن  اینترنت امنیت ارتقاء پیدا می‌کند این موضوع به صورت برعکس در حال رخ دادن است، یعنی هرچه قدر دسترسی به سایت‌های بیرونی، شبکه‌های اجتماعی محدود یا فیلتر شود، مـتأسفانه با روش‌های دور زدن فیلترینگ امنیت بیشتر به خطر می‌افتد.

او درباره اینکه سرویس‌های خوب ایرانی نداریم و این سبب می‌شود بسیاری از شرکت‌ها و سایت‌ها به سراغ سرورهای ارزان قیمت بروند، اظهار کرد: اینکه ما به سمت بومی‌سازی و عدم وابستگی به برندهای خارجی حرکت کنیم، خوب است اما باید دقت شود که هیچ کشوری در دنیا نیست که همه چیز را خودش تولید کند، باید حواسمان باشد زمانی که بحث بومی‌سازی و تعمیم پذیری داخلی مطرح شده باید بر چه چیزهایی تمرکز کنیم. بسیاری از فناوری‌ها در دنیا توسط چهار و پنج کشور تأمین می‌شود و اگر بخواهیم آن را بومی کنیم نه صرفه اقتصادی دارد و نه از نظر تکنولوژیک به ما برتری می‌دهد.

عدالت ادامه داد: در این زمینه باید نیاز سنجی کنیم و متوجه شویم در کشور به چه مواردی نیاز است و در مرحله بعد بررسی کنیم که کدام قسمت‌ها را می توان در داخل تأمین کنیم و کدام قسمت‌ها م باید از خارج کشور تأمین کنیم. اینکه در حال حاضر بسیاری از کشورها به سمت تأمین تجهیزات دست دوم حرکت می‌کنند، بیشتر به دلیل قیمت تمام شده است که تبعات بسیار جدی به همراه دارد زیرا چند برابر هزینه‌ای که صرفه جویی شده از دست می دهند. سرویس‌های قدیمی نقاط نفوذی دارند که بسته یا به‌روزرسانی نشده‌اند و هر سازمانی که از این سرورها استفاده می‌کند، در برابر حملات خارجی آسیب‌پذیر است. این امر موضوعی است که باید به آن ورود شود یعنی صرفا با توجه به برابری نرخ ارز نمی‌توان انتظار داشت بخش خصوصی یا شرکت‌های ارائه دهنده خدمات خود به خود به سمت خرید تجهیزات گران‌تر بروند و تجهیزاتی که به صورت قاچاق وارد می شود را نخرند.

وی درباره عدم تخصیص بودجه مناسب در زمینه امنیت زیرساخت شبکه به سازمان‌ها توضیح داد: این موضوع در بخش دولتی یا خصوصی فرقی نمی‌کند؛ مسئله این است که هرچه قدر هزینه و سرمایه‌گذاری شود، به همان میزان امنیت را می‌توان ارتقاء داد. وقتی سازمان پول و بودجه نداشته باشد، از یک جایی شروع به کاهش هزینه‌ها می‌کند، نیرو تعدیل می‌شود یا هزینه‌های حاشیه‌ای یا جاری کاهش پیدا می‌کند تا در شرایط اقتصادی رکود بتوان دوام آورد و یکی از بخش‌ها امنیت است و متأسفانه راه حل میان‌بر کوتاه مدتی ندارد.