نیروی انسانی متخصص، چالش مهم امنیت سایبری کشور
آیدین عدالت، عضو هیأت مدیره و رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی رایانهای درباره این که دست اندرکاران امنیت سایبری طی سالهای اخیر چقدر بهطور جدی به دنبال سازوکارها و اقدامات پیشگیرانه و محافظتی از شبکههای زیرساختی بودند؟ اظهار کرد: واقعیت این است تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید بوده است. اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرآیندها و روشها پیاده میشود نه با تجهیزات.
وی افزود: اشتباهی که عموما در میان مصرفکنندگان چه دولتی و خصوصی در این زمینه وجود دارد، این است که گمان میکنند اگر تجهیزات خوب و تأیید شده بگیرند، امنیت شبکهها تأمین خواهد شد؛ مثلا یک اشتباه سالهاست در حال تکرار است که تجهیزات وارداتی برای زیرساخت شبکه را برای تست امنیت و تأیید نمونه به آزمایشگاهها میفرستند اما پس از آن، دیگر پیگیری برای نصب بهینه، تنظیم و پیادهسازی فرآیندهای صحیح روی آن انجام نشده یا به حدی که لازم است تمرکزی روی آن نمیشود. در حالی که لازم است در همه سازمانها امنیت زیرساخت شبکه چک و بعد از ورود تجهیزات به شبکه در داخل سازمان، به درستی نصب و تنظیم شود.
او با بیان اینکه اصطلاحی در سیستمهای شبکه به نام سختسازی وجود دارد و زمانی که تجهیزات برای زیرساخت شبکه خریداری میشود، ابتدا باید هنگام ورود به سازمان سختسازی و مقاومسازی در برابر حملات بیرونی انجام شود، گفت: این کار در خیلی از موارد به درستی انجام نمیشود؛ همچنین به دلیل تحریمها، تجهیزات و نرمافزارهای آنها به روز نمیشوند و قدیمی هستند و در نهایت این عوامل سبب میشود نسبت به حملات جدید بسیار آسیبپذیر باشند.
عدالت با تأکید بر اینکه امنیت موضوع گران و هزینهبری است، تشریح کرد: بودجههایی که در سازمانها وجود دارد، قدیمی هستند که هر سال حداکثر به اندازه تورم رشد دارند اما دو موضوع مهم در این باره وجود دارد؛ اول اینکه قیمت تجهیزات امنیتی در دنیا، جدای از نرخ ارز، به دلیل کمبود چیپست طی سه سال اخیر، به دلیل بیماری کرونا بیش از سه برابر افزایش داشته است.
او ادامه داد: نکته دوم این است که طی سالهای اخیر به دلایل مختلف، تخصص امنیت و متخصصان آن در کشور ما هم محدود و معدود شده است، بنابراین سازمانها انتظار دارند یک تکنسین متخصص شبکه که فقط کارهای ابتدایی را انجام میدهد و حقوق آن به طور مثال ۱۰ میلیون تومان است، بتواند امنیت زیرساخت یک وبسایت دولتی را تأمین کند. در حالی که حقوق همین متخصص در دنیا ماهیانه به طور مثال ۵۰۰۰ هزار دلار است و این اصلا با بودجهای که سازمان دارد، سنخیت ندارد و سازمانها باید فردی که حقوقش ۱۵۰ میلیون تومان است را استخدام کنند اما کسی استخدام میشود که حقوقش ۱۰ میلیون تومان است و به همین دلیل امنیت شبکه و سایت آنطور که باید تأمین نمیشود.
وی با بیان اینکه نقش و میزان استفاده از کارشناسان فنی که توانایی امنسازی یک شبکه و سایت داخلی سازمان یا شرکت را نداشته و از اطلاعات به روز شدهای استفاده نمیکنند، در موضوع امنیت سایبری بسیار زیاد است، تصریح کرد: شاید مهمترین موضوع بحث نیروی انسانی است که مهره ایجاد امنیت در زیرساخت شبکه به شمار میرود و هرچه قدر هم تجهیزات مناسب فراهم باشد، با فقدان نیروی انسانی متخصص و متناسب با آن سازمان، تمام هزینههای قبلی به هدر میرود.
عدالت خاطر نشان کرد: به عقیده من بزرگترین پاشنه آشیل امنیت سایبری در ایران بحث نیروی انسانی در حوزه فناوری اطلاعات است و باید به مشکلات موجود در این بخش توجه شود.
رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی رایانهای درباره عدم رعایت سادهترین نکات امنیتی و پشتیانگیری در طول سالهای گذشته در بحث امنیت سایبری، اظهار کرد: وضعیت زیر ساختهای شبکههای ما به دو دلیل یکی به دلیل تحریمها و دیگری گران شدن نرخ برای ارز در حوزه زیرساختی با مشکل مواجه است؛ یعنی شبکه با رشد تقاضا و سرویسها رشد نکرده و سرمایهگذاری لازم برایش انجام نشده است. در بسیاری از دیتاسنترها، سرورها و وبسایتها صرفا هزینه نگهداری برای زنده نگه داشتن آن انجام شده و به اندازهای سرمایه گذاری نشده که قابلیت اطمینان این سرویس ارتقا پیدا کند؛ در نتیجه باید برای سرویسهای پشتیانگیری و تجهیزات امنیتی، تأمین سخت افزار و نرم افزار، نیروی انسانی و برای به روز رسانی آنها به صورت مستمر هزینه شود.
عدالت ادامه داد: متأسفانه این هزینهها در گذشته انجام نشده و تجهیزات نه تنها به روز نمیشود بلکه به سمت استهلاک هم میروند و کارایی خود را از دست میدهند. به خصوص در زمینه امنیت که هر روز حملات جدید با روشهای جدید به وجود میآید و اگر بهروزرسانی انجام نشود، متأسفانه بسیار آسیبپذیر خواهند بود.
وی تأکید کرد: یک اتفاقی که در دنیا رخ داده این است که زیرساخت فناوری اطلاعات از حالت یک ابزار خارج شده و عملا به یکی از پایههای حکمرانی سازمانی تبدیل شده اما در کشور ما هنوز به آن توجه نشده است. زمانی بود که شمول فناوری اطلاعات به رایانه، پرینتر و اینکه شبکهای سرپا باشد، لحاظ میشد اما اکنون فناوری اطلاعات در تار و پود تمام سازمانها گسترده شده و همه را به خود وابسته کرده است و این نیاز دارد که این رشد و اهمیت در ساختار سازمانی شرکتهای دولتی و خصوصی بزرگ دیده شود.
او تصریح کرد: یکی از موارد مورد توجه این است که در همه سازمانها، معاونت فناوری اطلاعات وجود داشته باشد اما اینگونه نیست؛ معتقدم مسئلهای که باید حداقل در سازمانهای دولتی اتفاق بیافتد این است که اهمیت دادن به حوزه فاوا در سطح معاونت ارتقاء پیدا کند. مدیران ارشد هم قطعا اگر در سطح معاونت افراد متخصصانی داشته باشند که به زیرساخت فناوری و امنیت آن اهمیت دهند، خود به خود به موضوع توجه میکنند هم مطلعتر میشوند و از نزدیک در جریان موضوع قرار میگیرند.
این کارشناس با بیان اینکه در سازمانهای دولتی بحث امنیت به حراست مربوط میشود، گفت: بعضا واحد حراست در سازمانها وجود دارد و به دلیل اینکه حراست از ساختار سازمانی سنتی برخوردار است، معمولا به حفاظت فیزیکی، ورود و خروج افراد و حداکثر نظارت بر دوربینهای مدار بسته ورود میکند اما حراست و امنیت در حوزه فناوری اطلاعات موضوع پیچیده و تخصصی است و در بسیاری از مواقع به طراحی معماری زیرساخت شبکه و نرمافزار سازمان برمیگردد. الزاما این گونه نیست که ساختار سازمانی نامرتب و غیر استاندارد برپا و بعد تیم امنیتی آورده شود که آن را بیمه کند. بنابراین خود واحد فنائوری اطلاعات قطعا باید یک تیم امنیتی داشته باشد و یکی از ارکان فناوری اطلاعات چه در زمینه تأمین تجهیزات، پیادهسازی و پشتیبانی، امنیت است و در کنار نگهداری شبکه و دیگر موارد لازم است که متخصص امنیت در تیم فناوری هم وجود داشته باشد.
عدالت در ادامه سخنانش با تأکید بر اینکه یکی از اتفاقات مخل امنیت، عدم سیاستگذاری درست در رابطه با اینترنت است، تصریح کرد: اینکه شبکه ملی اطلاعات داشته باشیم خیلی اتفاق خوبی است و سبب کاهش هزینه و افزایش دسترسی و به طبع افزایش امنیت میشود ولی متأسفانه اتفاقی که بعضا در زمینه اینترنت رخ داده مخصوصا در مواقعی که مشکل امنیت در جای دیگر جامعه وجود دارد، بستن پهنای باند اینترنت، یا مسدود و محدودسازی سایتهاست؛ در حالی که این موضوع کاربران را به سمت استفاده از ابزاری مانند وی پی ان سوق میدهد و استفاده از وی پی ان هم تمام پیشبینیها و الزامات دیده شده در شبکه دیده شده را، میانبر زده و از آن عبور میکند.
وی افزود: به عبارتی زمانی که در یک سازمان یا منزلی تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به طور کلی الزامات در معماری شبکه رعایت شود اما کاربر با وی پی ان به یک سایت خارجی متصل شود، همه رشتههایی که برای امنیت سازمان چیده شده، پنبه میشود. بنابراین برخلاف چیزی که شاید در ذهن تصمیمگیران وجود دارد و با بستن اینترنت امنیت ارتقاء پیدا میکند این موضوع به صورت برعکس در حال رخ دادن است، یعنی هرچه قدر دسترسی به سایتهای بیرونی، شبکههای اجتماعی محدود یا فیلتر شود، مـتأسفانه با روشهای دور زدن فیلترینگ امنیت بیشتر به خطر میافتد.
او درباره اینکه سرویسهای خوب ایرانی نداریم و این سبب میشود بسیاری از شرکتها و سایتها به سراغ سرورهای ارزان قیمت بروند، اظهار کرد: اینکه ما به سمت بومیسازی و عدم وابستگی به برندهای خارجی حرکت کنیم، خوب است اما باید دقت شود که هیچ کشوری در دنیا نیست که همه چیز را خودش تولید کند، باید حواسمان باشد زمانی که بحث بومیسازی و تعمیم پذیری داخلی مطرح شده باید بر چه چیزهایی تمرکز کنیم. بسیاری از فناوریها در دنیا توسط چهار و پنج کشور تأمین میشود و اگر بخواهیم آن را بومی کنیم نه صرفه اقتصادی دارد و نه از نظر تکنولوژیک به ما برتری میدهد.
عدالت ادامه داد: در این زمینه باید نیاز سنجی کنیم و متوجه شویم در کشور به چه مواردی نیاز است و در مرحله بعد بررسی کنیم که کدام قسمتها را می توان در داخل تأمین کنیم و کدام قسمتها م باید از خارج کشور تأمین کنیم. اینکه در حال حاضر بسیاری از کشورها به سمت تأمین تجهیزات دست دوم حرکت میکنند، بیشتر به دلیل قیمت تمام شده است که تبعات بسیار جدی به همراه دارد زیرا چند برابر هزینهای که صرفه جویی شده از دست می دهند. سرویسهای قدیمی نقاط نفوذی دارند که بسته یا بهروزرسانی نشدهاند و هر سازمانی که از این سرورها استفاده میکند، در برابر حملات خارجی آسیبپذیر است. این امر موضوعی است که باید به آن ورود شود یعنی صرفا با توجه به برابری نرخ ارز نمیتوان انتظار داشت بخش خصوصی یا شرکتهای ارائه دهنده خدمات خود به خود به سمت خرید تجهیزات گرانتر بروند و تجهیزاتی که به صورت قاچاق وارد می شود را نخرند.
وی درباره عدم تخصیص بودجه مناسب در زمینه امنیت زیرساخت شبکه به سازمانها توضیح داد: این موضوع در بخش دولتی یا خصوصی فرقی نمیکند؛ مسئله این است که هرچه قدر هزینه و سرمایهگذاری شود، به همان میزان امنیت را میتوان ارتقاء داد. وقتی سازمان پول و بودجه نداشته باشد، از یک جایی شروع به کاهش هزینهها میکند، نیرو تعدیل میشود یا هزینههای حاشیهای یا جاری کاهش پیدا میکند تا در شرایط اقتصادی رکود بتوان دوام آورد و یکی از بخشها امنیت است و متأسفانه راه حل میانبر کوتاه مدتی ندارد.