ریال دیجیتال افزونگی شبکه پرداخت ایران / کمبود منابع انسانی در حوزه امنیت سایبری

همایش امنیت سایبری Cash 24 با هدف بالا بردن دانش و مهارت‌های امنیت سایبری در صنعت پرداخت در دو بخش مسابقه CTF و همایش علمی با حضور مدیران ارشد بانک مرکزی، گروه ملی انفورماتیک و متخصصان امنیت سایبری برگزار شد.

نخستین دوره از رقابت‌های تست نفوذ سایبری شاپرک تحت عنوان رقابت‌های فتح پرچم (Capture the Flag (CTF با هدف شناسایی و مقابله با آسیب‌پذیری‌های محصولات نرم‌افزاری و سامانه‌های امنیتی در روزهای 24 و 25 شهریورماه به صورت آنلاین برگزار شد و تیم‌های برنده در بخش همایش، اعلام شدند.

بخش همایش نیز با حضور و سخنرانی مدیران ارشد بانک مرکزی، شاپرک و گروه ملی انفورماتیک، شرکت‌های PSP و سایر شرکت‌های مرتبط با صنعت پرداخت‌ برگزار شد.

در این رویداد، به موضوعات گوناگون از جمله، ضدشکنندگی سایبری، تقویت نوآوری در امنیت سایبری، امنیت مالی، تسلط بر تخلفات سایبری، آشنایی با ترفند هکرها و راهنمای ضد هکری اشاره شد. همچنین، از شرکت‌‌های پرداخت که در یکسال گذشته موفق به کسب نمره بالای امنیت از ممیزی شاپرک شده‌اند نیز تقدیر شد.

ریال دیجیتال افزونگی شبکه پرداخت ایران

امیرحسین شبیری، مدیرعامل شاپرک نخستین سخنران این رویداد بود.

مدیرعامل شاپرک سیستم امنیتی را به سیستم ایمنی بدن انسان تشابه کرد و گفت: امنیت به اشتباه تاب آوری و تحمل تعریف می‌شود اما درحال حاضر سیستم ها باید مانند بدن انسان با هر ضربه و حمله سایبری قوی‌ شوند درنتیجه به مرور سیستم‌ امنیتی قوی‌تر می‌شود.

شبیری مهم‌ترین راه تقویت سیستم امنیت سایبری را افزونگی دانست و ادامه داد: در سازمان ها و شرکت نباید به سخت‌افزارها و افراد محدود شویم بلکه با آموزش افراد متخصص و داشتن دیتاسنترهای مختلف باید همیشه برای خود جایگزینی ایجاد نماییم.

شبیری بر افزونگی در سطح کلان تاکید کرد و گفت: در‌حال حاضر ۹۰ درصد از تراکنش‌های کشور در یک شبکه انجام می‌‌شود، اگر مشکلی برای این شبکه پرداخت پیش بیاید، چه راهی برای جایگزینی آن وجود دارد و نقشه دوم چیست؟ ریال دیجیتال یکی از روش‌های افزونگی در این حوزه است. اکنون در شاپرک روی پروژه‌های مکمل دیگر نیز کار می‌کنیم.

کمبود منابع انسانی در حوزه امنیت سایبری

نسترن حق‌جو، مدیر آکادمی آکادینو (آکادمی ملی انفورماتیک) در ادامه بزرگ ترین چالش شرکت ها و سازمان ها را کمبود منابع انسانی در حوزه امنیت سایبری دانست و گفت: طبق گزارش ‌ها ۹۲ درصد از متخصصین فعال در این حوزه از مهارت و آموزش کافی برخوردار نیستند و علیرغم رشد ۸.۷ درصدی سالیانه شکاف فاحشی بین عرضه و تقاضا وجود دارد.

درنتیجه به منظور کم کردن این شکاف در امریکا و اروپا برنامه‌های اموزشی هدفمند تدوین شده است.

حق جو توضیح داد: نایس برنامه‌ای است که توسط سازمان استانداردهای فناوری اطلاعات ایالات متحده تنظیم شده‌است که دربرگیرنده تمام موقعیت های شغلی امنیت سایبری است و در آن تمام موقعیت های شغلی این حوزه بررسی شده است.

طبق این برنامه موقعیت‌های شغلی این حوزه به طور کلی به ۷ دسته‌بندی، ۳۳ نقطه تخصصی و ۵۲ نقش کاری تقسیم شده‌اند.

برای تمام این نقش‌ها، شرح وظایف روشنی تعریف شده است که به متخصصین کمک می‌کند مسیر شغلی و آموزشی خود را با توجه به علایق و توانایی های خود به درستی انتخاب کنند.

همچنین در اروپا، آژانس امنیتی اروپا به منظور حل بحران منابع انسانی در حوزه امنیت سایبری برنامه ای تدوین کرده است که در آن ۱۲ پروفایل شغلی شناسایی شده است.

مزیت های این دسته بندی را میتوان تدوین فرهنگ لغات مشترک بین عرضه‌کننده و تقاضا کننده، مشخص کردن نقش های حیاتی این حوزه و طراحی رشته های دانشگاهی مبتنی بر نیازها و چالش های صنعت دانست.

رویکردهای نوین دفاع سایبری

سومین سخنران فرشید فرح‌خواه، مدیر مرکز عملیات امنیت شاپرک به ارائه رویکردهای نوین دفاع سایبری پرداخت.

فرح‌خواه به اهمیت پاسخ به حوادث و افزایش تاب‌آوری در برابر حملات سایبری اشاره کرد و تأکید کرد: در سال‌های ۲۰۲۳ و ۲۰۲۴ شاهد افزایش باج‌افزارهای چندلایه و حملات زنجیره تأمین بوده‌ایم.

مدیر مرکز عملیات امنیت شاپرک بیان کرد: شرکت‌ها باید به جای تمرکز صرف بر پیش‌گیری، بر بازیابی سریع و تداوم عملیات پس از حملات توجه کنند. به‌خصوص، استفاده از پشتیبان‌گیری‌های منظم و اجرای شبیه‌سازی‌های سایبری به‌عنوان بخشی از استراتژی تاب‌آوری مورد تأکید است.

در ادامه فرح‌خواه با اشاره به  افزایش بهره گیری از معماری اعتماد صفر توضیح داد: با شیوع ویروس کرونا که دورکاری رواج پیدا کرد حملات سایبری پیچیده بیشتر شد. این رویکرد که بر تأیید مداوم کاربران و دستگاه‌ها تأکید دارد، به یکی از مؤثرترین روش‌ها برای کاهش تهدیدات داخلی و خارجی تبدیل شده است.

فرح‌خواه همچنین به پیشرفت‌های امنیت نقاط انتهایی (Endpoint Security) و EDR پرداخت و گفت: این راه‌حل‌ها اکنون با استفاده از هوش مصنوعی قادر به تشخیص سریع‌تر تهدیدات و اجرای پاسخ‌های خودکار به حملات هستند، که به‌ویژه در محیط‌های کاری از راه دور و ترکیبی نقش حیاتی دارد.

فرح خواه  آموزش مستمر کارکنان را اولین خط دفاعی شرکت‌ها دانست و گفت: شرکت‌هایی که در زمینه آموزش امنیتی مداوم و آگاهی‌رسانی نسبت به فیشینگ سرمایه‌گذاری کرده‌اند، موفق‌تر عمل کرده و نرخ موفقیت حملات در آن‌ها کاهش یافته است.