در حال بار گذاری
امروز: سه شنبه ۲۸ آبان ۱۳۹۸

فناوری > رشد استارتاپ‌ها وابسته به امنيت سايبري است

گروه فناوري:کسب‌وکارهاي اينترنتي زماني گسترش مي‌يابند که امنيت اطلاعات و زيرساخت‌هاي سايبري قابل اتکايي در کشور وجود داشته‌باشد. اوايل هفته جاري بود که به دنبال ارسال پيامک‌هاي ناخواسته به کاربران اسنپ، اين شرکت با انتشار بيانيه‌اي، اعلام کرد که اسنپ مورد سوءقصد قرار گرفته‌است.

    گروه فناوري:کسب‌وکارهاي اينترنتي زماني گسترش مي‌يابند که امنيت اطلاعات و زيرساخت‌هاي سايبري قابل اتکايي در کشور وجود داشته‌باشد.
    اوايل هفته جاري بود که به دنبال ارسال پيامک‌هاي ناخواسته به کاربران اسنپ، اين شرکت با انتشار بيانيه‌اي، اعلام کرد که اسنپ مورد سوءقصد قرار گرفته‌است. البته اين نخستين‌بار نيست چنين اتفاقي براي يک استارتاپ شناخته‌شده رخ داد. پيش از اين نيز به يکي از سرورهاي جانبي تپسي حمله‌اي صورت گرفته‌بود. شرکت کافه بازار نيز چنين حمله‌اي به زيرساخت‎ها را تجربه کرده‌بود. اين در حالي بود که وزير ارتباطات و فناوري اطلاعات در رونمايي از پروژه سپر امنيتي شبکه ملي اطلاعات (دژفا) براي جلوگيري از حملات سايبري شبکه، زيرساخت و اپليکيشن‌هاي بومي به مناسبت روز جهاني ارتباطات از شناسايي 30 ميليون حمله سايبري به زيرساخت‌هاي کسب‌وکارهاي کشور خبر داد.
    اگرچه هک يا نشت اطلاعات کاربران استارتاپ‎ها در سال 98 جدي شده‌است، اما پيش از اين نيز اخباري از حمله سايبري جدي مانند استاکس‌نت به سيستم هسته‎اي ايران، هک اطلاعات کاربران ايرانسل  باج‌افزار واناکراي به کسب‌وکارهاي ايراني در سال‎هاي گذشته مطرح بود. براي نمونه  در حمله باج‎افزار واناکراي، طبق آمار وزارت ارتباطات، تاکنون بيش از 2000 مورد ابتلا به باج افزار واناکراي در ايران گزارش شده‌است. بيشترين آلودگي متعلق به اپراتورهاي ارتباطي، سلامت و پزشکي و دانشگاهي در استان‌هاي تهران و اصفهان بوده‌است. اين در حالي است که بارها در رسانه‎ها به نقل از پليس فتا يا نيروهاي انتظامي نيز اخبار مختلفي از هک حساب‎هاي بانکي منتشر شد.
    به هر حال، توسعه الکترونيکي شدن کسب‎وکارها، دولت‎ها، سيستم‎هاي بانکي و ديجيتالي شدن شهروندان حاکي از آن است اين حملات سايبري با نرخ فزاينده‎اي در حال رشد خواهند‌بود. به‌ويژه در سال‌هاي اخير که ديجيتال بستر مناسب براي ايجاد شرکت‎هاي کوچک که عمدتا از سيستم‌هاي امنيت ضعيفي برخوردارند، بيش از ساير شرکت‎هاي بزرگ و شناخته‌شده آسيب مي‎بيند. به‌طوري که براساس تحقيقات مجله فوربس آمده‌است، بالغ بر 45 درصد از حملات سايبري و بدافزاري که هرروزه در جهان اتفاق مي‌افتد، شرکت‌هاي کوچک و متوسط را هدف قرار مي‌دهد. از طرف ديگر  حساب‌هاي کاربري مورد استفاده مديران اجرايي و مقامات اين شرکت‌ها 12 برابر بيشتر از مديران اجرايي شرکت‌هاي بزرگ و معروف جهان هک شده و مورد سوءاستفاده کاربران قرار گرفته‌است.
    به نظر مي‌رسد اين همان مشکلي است که استارتاپ‌هاي کشور با آن مواجه شدند. استارتاپ‎هايي که زماني يک شرکت کوچک با کاربران کمي بودند که به لطف توسعه اينترنت و تغيير سبک زندگي کاربران و روي آوردن آنها به استفاده از خدمات ديجيتالي باعث شد اين شرکت‎ها رشد جهشي داشته‌باشند و در سال‎هاي اخير به بيش از 40 ميليون کاربر خدمات بدهند. هم‌زمان با رشد کاربران، اين شرکت‎ها نيز حجم بالايي از اطلاعات کاربران، اطلاعات که از نام و نام خانوادگي، شماره موبايل کاربران است گرفته تا مکان‌يابي و رفتارهاي مصرفي آنها در اين برنامه‎ها را در مراکز داده‌ها نگهداري مي‎کنند. اگرچه بسياري از اين شرکت‎ها با استخدام افراد متخصص درصددند بتوانند امنيت حفظ اين داده‎ها را تضمين کنند. با اين حال، بخشي از اين امنيت مشمول زيرساخت‎ها و مراکز داده‌اي است که استارتاپ‌ها از آنها استفاده مي‌کنند و تامين آنها بسيار پرهزينه بوده و نياز به تيم‎هاي تخصصي قوي‌تري دارد.
    در واقع در سطح جهاني برخي از شرکت‌ها به شکل تخصصي و با استخدام نيروي متخصص به شکل ويژه روي تامين امنيت سايبري متمرکز هستند و اين خدمات را براي استارتاپ‎ها و حتي شرکت‎هاي بزرگ تامين مي‎کنند. آمازون يکي از اين شرکت‌هاي در حوزه امنيت سايبري است که خدماتي از اين دست را در سطوح کيفي و قيمتي مختلف به شرکت‎ها و استارتاپ‎ها ارائه مي‎کند. در مقابل، شرکت‎هاي متقاضي نيز مي‎توانند متناسب با ابعاد فعاليت و مدل کسب‌وکاري که دارند سطح اين خدمات را انتخاب کنند. به هر حال، تامين امنيت سايبري نه‌فقط يکي از چالش‎هاي اصلي شرکت‎ها، حتي دغدغه دولت‎ها است  به‌طوري که بنا بر گزارش‌هاي گارتنر، هزينه جهاني در زمينه امنيت سايبري در سال 2018 با رشد 12/4 درصدي نسبت به سال گذشته از مرز 114 ميليارد دلار فراتر رفته است. همچنين پيش‎بيني کرده در سال 2019 اين رقم با رشد 8/7 درصدي به 124 ميليارد دلار مي‌رسد.
    در فضايي که استارتاپ‎هاي کشور در حال توسعه هستند و تعداد کاربران آنها از مرز 40 ميليون مي‌گذرد، ضرورت حفظ داده‎هاي کلان نيازمند سطح تخصص و تجربه در ابعاد ملي است؛ زيرا پيامدهاي عدم حضور اين شرکت‌هاي تخصصي صرفا به نشت اطلاعات استارتاپ‌ها ختم نمي‌شود، بلکه بسياري از اطلاعاتي که در مراکز داده اين استارتاپ‎ها وجود دارد به مثابه سرمايه ملي است که افشاي آنها مي‎تواند براي کشور تهديدهاي امنيتي، اقتصادي و اجتماعي به بار آورد. در حالي که انتظار مي‌رفت همزمان با شکل‌گيري و توسعه استارتاپ‎ها، شرايط براي ايجاد شرکت‎هاي تخصصي حوزه امنيت فراهم مي‌شد. اما هنوز جاي چنين شرکت‎هايي در سطح ملي که بتواند از امنيت استارتاپ‌هاي پرکاربر ايراني پشتيباني کند  خالي است. از آنجا که شرکت‎هاي بزرگي در سطح آمازون نداريم، شرکت‌ها مجبورند تمهيدات امنيتي را به همراه تخصص در داخل شرکت و در ابعاد بسيار کوچک و ناکافي فراهم کنند. در حالي که دولت مي‌تواند قبل از بروز چنين اتفاقاتي و پيگيري آن با تسهيل فضاي کسب‌و‌کار مانند حذف قوانين دست‌وپاگير، کاهش ريسک سرمايه‎گذاري در اين حوزه و کمک به رشد استارتاپ‎هاي حوزه امنيت، اقدامات موثرتري داشته‌باشد. نبود يک اکوسيستم امنيت در حالي فضاي استارت‌آپي را تهديد مي‌کند که به تازگي پروژه‌اي از سوي وزارت ارتباطات رونمايي شده که دسترسي به برخي داده‌هاي دولتي را براي استارت‌آپ‌ها فراهم مي‎کند. در اين راستا، امير ناظمي، رئيس سازمان فناوري اطلاعات ايران، گفت: در اين پروژه درگاهي ايجاد شده که از طريق آن داده‎هاي دولتي به استارتاپ‌ها ارائه مي‌شود. البته هنوز ليست سرويس‎هاي ارائه شده  تکميل نشده و به مرور زمان کامل مي‌شود. هم اکنون خدمات شامل شاهکار (سرويس احراز هويت و بررسي تطبيق شماره تلفن همراه با اطلاعات هويتي صاحب خط)  جي‎نف( استانداردسازي نشاني‌ها)، سامانه آدرس‌ياب براي کمک به اورژانس و ثبت احوال براي استعلام است. البته اين خدمات از بهمن سال گذشته مطرح بود و فاز يک که اتصال فيزيکي بود الان ايجاد شده است. وي در ادامه با توجه به هک اخير استارتاپ‎ها و تامين امنيت اين داده‎ها گفت: اين تامين امنيت دو جنبه دارد.
    نخست جنبه قانوني است يعني وجود قانوني که شرکت‎ها را در صورت حفظ نکردن امنيت داده کاربران محکوم کند. براي اين منظور لايحه صيانت از داده تدوين و به دولت ارائه شده و انتظار مي‎رود دولت تا يک ماه آينده آن را تصويب کرده و به مجلس تقديم کند. اما از آنجا که حفظ داده کاربران براي خود استارتاپ‌ها مهم است، به‌صورت داوطلبانه شروع کردند. هم اکنون وزارت ارتباطات در حال تدوين يک پروتکل امنيتي است تا به تمام استارتاپ‌هاي پرکاربر ابلاغ شود. وي افزود: بنابر اين لايحه، در صورت هک، دادستان يا مدعي‌العموم مي‌تواند از شرکت شکايت کند. البته دولت و کاربران نيز از اين حقوق در صورت تصويب اين لايحه و تبديل شدن آن به قانون برخوردارند.
    معاون وزير ارتباطات در صورتي از لايحه و قانون‌گذاري براي تامين امنيت ياد مي‌کند که در حال حاضر مشکل استارت‎آپ‎ها صرفا اين موضوع نيست. به هر حال، شرکت‎هاي استارتاپي نسبت به ارزش و اهميت داده‌هاي کاربران‌شان آگاه هستند و همواره براي حفظ آن تلاش مي‌کنند. همان‌طور که اشاره شد هم‌اکنون نبود يک شرکت بزرگ متخصص در حوزه امنيت يا يک اکوسيستم امنيت بيش از هر عامل و هر زماني اين استارتاپ‌ها را تهديد مي‎کند. در اين باره ناظمي معتقد است: امنيت امر ارزان قيمتي نيست ولي براي همه شرکت‎ها ضرورت دارد. با اين حال  تامين آنها براي همه به لحاظ اقتصادي و از نظر هزينه-فايده، به صرفه نخواهدبود. هرچند دولت بايد يک بخشي را تامين کند، اما اصل ماجرا مربوط به وزارت ارتباطات نيست.
    حفظ امنيت برعهده کسب‌و‌کار است. چرا که حضور دولت مداخله به حساب مي‌آيد. وي خاطرنشان کرد: زماني که استارتاپ از يک حدي بزرگ‌تر شد؛ بايد اين زيرساخت‌ها را خودش داشته‌باشد. ايجاد زيرساخت‌هاي امنيتي از سوي دولت به لحاظ فني معنادار نيست. در حال حاضر وزارت ارتباطات مي‌تواند يک‌سري ابزارهايي به آنها بدهد، ولي اينکه اين خدمات جامع باشد، وجود ندارد. به هر حال  بخشي از اين امنيت توسط دولت تامين مي‎شود و استارتاپ‌ها نيز بايد برنامه‌اي براي توسعه آن داشته‌باشند.
    نبود زيرساخت امنيت اطلاعات در فضاي استارتاپي با بروز اتفاقاتي ناخوشايند مانند نشت اطلاعات کاربران اين استارتاپ‎ها همراه خواهدبود. در واقع، تامين امنيت براي توسعه آنها يک ضرورت است. اما در حال‌حاضر، چالش اصلي درخصوص آن  تامين اين اکوسيستم است که دولت و استارت‎آپ‎ها معتقدند طرف مقابل بايد آن را تامين کند. در اين راستا، وحيد معصومي  معاون مهندسي فني کافه بازار گفت: مسئوليت نهايي امنيت محصولات و خدمات ارائه شده توسط شرکت‌ها با خود آنهاست و هر ميزان هم که خدمات ميزباني امن ارائه شود، چيزي از مسووليت نهايي شرکت‌ها کم نمي‌کند.
    با اين حال، نبود سرويس‌هاي ميزباني بزرگ و آزمايش‌شده قطعا يکي از عوامل بالا بودن نسبي آسيب‌پذيري سرويس‌هاي حوزه IT است. البته شايد بتوان از طريق برخي نهادهاي تخصصي نظير سازمان IT هر از چند گاهي يکسري پروتکل جديد تعريف و به پلتفرم‌هاي کشور ابلاغ کرد.
    وي افزود: شرکت‌هاي IT ايراني که ابعاد آنها از حدي بزرگ‌تر مي‌شود و در مسير رشد حرکت مي‌کنند، معمولا به سمت پياده‌سازي و نگهداري زيرساخت خاص خود حرکت مي‌کنند؛ زيرا استفاده از مدل‌هاي قديمي خدمات ميزباني، به‌صرفه و به اندازه کافي انعطاف‌پذير نيست و خدمات ابري در دسترس نيز به اندازه کافي جا افتاده و آزمايش‌شده و قابل اتکا نيستند. اين کار بسيار پرهزينه است. از ديدگاه امنيت نه تنها همه شرکت‌ها بايد حجم زيادي از ملاحظات امنيتي مشترک و زيرساختي را پياده کنند که مي‌توانند توسط يک ارائه‌کننده خدمات ميزباني ارائه شود، بلکه بايد متوجه بخش بزرگ‌تر مسووليت خود، يعني ملاحظات مربوط به محصولشان نيز باشند. در حالي که در شرايط رقابتي بازار IT ايران کمتر شرکتي توان انجام توامان اين کارها را پيدا مي‌کند.
    به گزارش امانت به نقل از افتانا،به گفته وي، هک و حملات سايبري بخش جدا نشدني شرکت‎هاي IT است. در واقع  شرکت‌ها چه بخواهند چه نخواهند هميشه مورد تهديد مهاجم‌ها هستند. بنابراين بهتر است بستري را مهيا کنند تا افراد خبره حوزه امنيت ترجيح دهند تحت حمايت قانون از پوشش هکر کلاه‌سياه خارج شوند و تحت عنوان هکرهاي کلاه‌سفيد و کارشناسان امنيت به کمک کسب‌و‌کارها بيايند.

نظر خود را بنویسید ...

نظر سنجی