واکاوی هک سازمان‌ها در گفت‌وگوی تفصیلی با آنا؛

اعتماد بیش‌ از حد به محصولات امنیتی خارجی اشتباه است

مدیرعامل یک شرکت دانش‌بنیان گفت: تأکید بیش از اندازه به داشتن محصولات امنیتی خارجی تفکری اشتباه است؛ چراکه امکان دسترسی هکرها به قابلیت‌ها و نقطه ضعف‌های محصول خارجی وجود دارد.

کد خبر : 871879

خبرگزاری علم و فناوری آنا؛ با گسترش تکنولوژی و توسعه فضای مجازی، موضوع تأمین زیرساخت و امنیت سایبری از اهمیت بسیاری برخوردار شده و کشورهای پیشرفته در حال انجام اقدامات مثمری در این زمینه هستند.

با توجه به حملات سایبری و هک‌هایی که به تازگی در سازمان‌های دولتی مانند وزارت علوم، تحقیقات و فناوری، سازمان تأمین اجتماعی و ... شاهد بوده‌ایم، این امر می‌تواند نشان دهنده ضعف زیرساخت‌های امنیتی ما باشد. کشور ما به‌عنوان بخشی از جامعه بزرگ بهره‌مند از فضای مجازی و اینترنت با معضلات و مشکلات متعددی در آگاهی‌رسانی امنیت سایبری، آموزش و نگهداشت نیروی انسانی خبره مواجه شده است.

ایران برای بقا و تداوم پیشرفت اقتصادی و اجتماعی به کارکرد صحیح و رابطه متعادل و سازنده با زیرساخت‌های فناوری اطلاعاتی و سیستم‌های اطلاعاتی کلیدی خود نیاز دارد. برای این منظور باید بین توسعه زیرساخت‌ها و خدمات پایه کاربردی مورد نیاز کشور مندرج در طرح کلان شبکه ملی اطلاعات مصوب شورای عالی فضای مجازی و دولت هوشمند و اقتصاد دیجیتال هماهنگی، تعادل و رابطه سازنده ایجاد شود. در همین راستا با هاشم حبیبی، مدیرعامل و عضو هیئت مدیره یک شرکت دانش‌بنیان در حوزه امنیت به گفت‌وگو پرداخته‌ایم که در ادامه از نظر می‌گذرانید.

داشتن محصول امنیتی شرط لازم هست اما کافی نیست

آنا: با توجه به حملات سایبری که در برخی سازمان‌های دولتی صورت گرفته، این امر نشان دهنده ضعف زیر ساخت‌های امنیتی است؟

حبیبی: بله، درباره زیرساخت امنیتی ما با دو موضوع مواجه هستیم؛ بحث فنی و مدیریتی. در بحث فنی اقداماتی خوبی صورت گرفته و نمی‌توان گفت در این مبحث ضعیف هستیم. اما در بحث مدیریتی، سازمان‌ها در حوزه امنیت کار بزرگی انجام نداده‌اند. به عبارتی ما ظرفیت و توان انجام اقدامات مهمی را در زمینه زیرساخت‌های ارتباطی داریم.

در حوزه فنی یکی از ایرادهای سازمان‌ها این است که به محصول امنیتی، حال چه نرم‌افزار و چه سخت‌افزار خیلی تکیه می‌کنند و بر این باور هستند که دیگر هک نمی‌شوند یا داده‌ها لو نمی‌رود. این نخستین نقطه ضعف سازمان‌هاست. داشتن محصول امنیتی شرط لازم هست؛ اما کافی نیست.

اعتماد بیش از اندازه به محصولات امنیتی خارجی اشتباه است

آنا: شرط کافی برای حوزه امنیت با چه راهی محقق می‌شود؟

حبیبی: شرط کافی برای حوزه امنیت، بحث مدیریت امنیت است. ما نیروی متخصص و متعهد امنیتی باید در سازمان داشته باشیم. شرط کافی این است که علاوه بر محصولات امنیتی، نیروهای امنیتی باید شبکه را پایش و رصد کنند. خب نیروی امنیتی در سازمان برای کار کردن به محصول و ابزار نیاز دارد، بنابراین این دو در کنار هم امنیت را برآورده می‌کنند.

هکرهایی که قرار است یک شبکه را هک کنند احتمال اینکه به نقطه ضعف‌های محصول خارجی دسترسی داشته باشند، خیلی بیشتر از محصول داخلی است

سازمان‌هایی که دچار مشکل شدند، محصول امنیتی را در اختیار داشتند ولی نیروی امنیتی متخصص و کافی نداشتند. یک یا دو نیرو امنیتی در سازمان کفایت نمی‌کند. ممکن است این نیرو در طول ساعت اداری امور دیگری از جمله نصب ویندوز و ... را هم به وی بسپارند و به اصطلاح سرش را شلوغ می‌کنند. شلوغ کردن سر نیروی امنیتی با امور دیگر همانا و هک شدن و از بین رفتن امنیت در سازمان همانا.

ایراد دیگری که در سازمان‌ها وجود دارد، تأکید بیش از اندازه به داشتن محصولات امنیتی خارجی هست، یعنی اعتماد بیش از اندازه به محصولات امنیتی خارجی. قابل انکار نیست که محصول خارجی کیفیت و قابلیت بیشتری دارد؛ اما این یک تصور و تفکر اشتباه است. هکرهایی که قرار است یک شبکه را هک کنند، احتمال اینکه به قابلیت‌ها و نقطه ضعف‌های محصول خارجی دسترسی داشته باشند، خیلی بیشتر از محصول داخلی است یعنی محصول داخلی ناشناخته‌تر هست؛ بنابراین من توصیه می‌کنم سازمان‌ها همیشه ترکیبی کار کنند و استراتژی دفاع در عمق را رعایت کنند.

هاشم حبیبی، مدیرعامل و عضو هیئت مدیره شرکت امن‌افزار گستر شریف

آنا: درباره استراتژی دفاع در عمق بیشتر توضیح می‌دهید؟

حبیبی: سازمان‌ها باید محصول ایرانی را که برای هکرها مبهم‌تر و ناشناخته‌تر هست، لبه شبکه بگذارند. اگر هم سازمانی می‌خواهد از محصول خارجی استفاده کند باید محصول داخلی را در لایه‌های داخلی‌تر و در عمق شبکه استفاده کند که هم دفاع در عمق رعایت می‌شود و هم امنیت بهتری ایجاد می‌کند.

در مسائل امنیتی پیشگیری بهتر از درمان است

آنا: چرا اکثر سازمان‌ها به تدابیر امنیتی اهمیت نمی‌دهند؟

حبیبی: متاسفانه این نکته‌ای است که در اکثر سازمان‌ها وجود دارد و به نظرم این باید روی آن بحث شود و به عبارتی باید بیشتر سازمان‌ها به سمتش بروند. به قول ضرب‌المثل «مرگ برای همسایه است»، خیلی از سازمان‌ها احتمال نمی‌دهند که اطلاعات سازمانشان هک شود؛ اما هرروز شاهد این اتفاقات هستیم.

مدیر سازمان هزار دلیل ردیف می‌کند تا برای امنیت هزینه نکند و این شروع ناامنی است. یعنی رئیس، مدیر ارشد که مسئولیت امنیت اطلاعات سازمان را برعهده دارد باید بداند که امنیت صد درصد نیست و هرلحظه ممکن است، هک شود و اطلاعات روی اینترنت برود. مثلا سایت اطلاع‌رسانی سازمان ثبت احوال هک شد، اتفاق بدی نیفتاد و اطلاعات آن فاش نشد؛ اما صفحه اول این سایت تغییر کرد. این اتفاقی بود که برای هر سازمانی ممکن بود، پیش بیاید. وقتی هجمه‌ای علیه سازمان اتفاق بیفتد، حتی کوچک‌ترین اتفاق امنیتی ممکن است تبعات زیادی به همراه داشته باشد. در هر صورت پیشگیری بهتر از درمان است.

هزینه در راه امنیت سازمان یک سرمایه‌گذاری است

آنا: برای بهبود وضعیت چه راهکاری را باید در پیش بگیریم؟

حبیبی: اگر قرار است ناامنی اتفاق بیفتد باید هک‌های سختی باشد که بگوییم ما همه کار کردیم؛ اما باز هکر قوی‌تر از ما بود، یعنی دلمان نسوزد از اینکه از یک هکر پیش پا افتاده و مبتدی ضربه خوردیم. حداقل اگر ضربه هم خوردیم از یک حریف قدر باشد تا قوی‌تر از قبل پا به عرضه بگذاریم. رئیس یک سازمان باید در نظر بگیرد که در بحث امنیتی لازم است هزینه کند، به جوانان این مملکت اعتماد کنند و به بخش خصوصی باور داشته باشند.

مدیران سازمان همان‌طور که برای حوزه مالی، فنی و عملیاتی شرکت هزینه می‌کنند باید برای حوزه امنیت هم هزینه کنند. هرچه در امنیت هزینه کنند، سرمایه‌گذاری است. ما در حوزه امنیت اگر پولی پرداخت می‌کنیم داریم سرمایه‌گذاری می‌کنیم. به معنای از بین رفتن سرمایه و پول و وقت و انرژی‌مان هزینه نمی‌کنیم.

امنیت یک موضوع درون‌زاست و باید از درون کشور تامین شود؛ آن هم توسط بخش خصوصی و جوانان این مرز و بوم

این‌کار را مدیران ارشد باید انجام دهند و در بودجه‌های سالانه عدد و رقمی برای حوزه امنیت و امن‌سازی و نگه‌داری اطلاعات سازمان خود در نظر بگیرند.

خلاء نیروی انسانی در حوزه امنیت در سراسر دنیا حس می‌شود

آنا: برای بحث کمبود نیروی امنیتی در سازما‌ن‌ها باید چه کرد؟

حبیبی: لازم است در این میان بخش خصوصی از جوانانی که در دانشگاه‌ها تربیت شدند و منتظر اجرای کار هستند، حمایت کنند. اگر امروز ما می‌بینیم در حوزه امنیت فضای تبادل اطلاعات مهاجرت بسیار سریع اتفاق می‌افتد، به این دلیل هست که دنیا به دنبال امنیت است. حوزه امنیت از نیروی انسانی خالیست، این خلا در سراسر دنیا حس می‌شود و نه فقط در ایران.

متاسفانه برای جوانان حوزه امنیت ما پروژه‌های خوبی در کشور تعریف نمی‌شود، درآمدهای مناسبی ندارند و با حمایت کشورهای دیگر به فکر مهاجرت می‌افتند.

امنیت یک موضوع درون‌زاست

آنا: برای رفع چالش مهاجرت چه تدابیری لازم است؟

حبیبی: اگر شرکت‌های خصوصی حمایت شوند، قطعاً می‌توانند جوانان را جذب کنند و درآمدزایی خوبی ایجاد شود. در این صورت این جوانان در کشور خود می‌مانند و به جامعه خود خدمت می‌کنند. در آخر هم همین جوانان ایرانی هستند که امنیت اطلاعات سازمان‌های خودمان را حفظ می‌کنند، هیچکسی از بیرون برای ما دل نمی‌سوزاند و امنیت ایجاد نمی‌کند. امنیت یک موضوع درون‌زا هست، چیزی نیست که از بیرون تامین بشود. امنیت باید از درون کشور تأمین شود؛ آن هم توسط بخش خصوصی و جوانان این مرز و بوم.

بالاترین رده سازمان مسئول امنیت اطلاعات است

آنا: متولی تأمین امنیت سایت‌های داخلی چه کسانی هستند؟

حبیبی: از نظر قانونی مدیر ارشد یا بالاترین رده سازمان، مسئول امنیت آن سازمان است، یعنی اگر اتفاقی در یک سازمان بیفتد بالاترین رده آن سازمان باید جوابگوی آن ناامنی باشد؛ بنابراین مدیران فناوری اطلاعات و مدیران امنیت به‌عنوان بازوی اجرایی مسئول ایجاد زیرساخت‌های فناوری اطلاعات و امنیت سازمان‌ها هستند.

ما باید در دولت هسته دانا و شبکه توانا را جا بیندازیم. دولت باید هسته دانا داشته باشد و شبکه‌ای از شرکت‌های خصوصی توانا در حوزه امنیت ایجاد شود. این هسته دانا و شبکه توانا باید توسط سازمان‌ها تأمین شود. خیلی از سازمان‌ها نیروی‌های امنیتی خوبی دارند، این نیروهای امنیتی باید بتوانند شبکه‌ای از شرکت‌های خصوصی توانا را دور خود جمع کنند که امنیت آن سازمان برقرار شود.

انتهای پیام/