در حال بار گذاری
امروز: سه شنبه ۱۵ آذر ۱۴۰۱

فناوری > چالش مهم امنيت سايبري در کشور

گروه فناوري: به اعتقاد يک کارشناس، نيروي انساني، مهره ايجاد امنيت در زيرساخت شبکه‌ها محسوب مي‌شود که با فقدان آن هرچه قدر تجهيزات مناسب هم براي شبکه فراهم شود اما همه هزينه‌هاي انجام شده به هدر خواهد رفت.

    گروه فناوري: به اعتقاد يک کارشناس، نيروي انساني، مهره ايجاد امنيت در زيرساخت شبکه‌ها محسوب مي‌شود که با فقدان آن هرچه قدر تجهيزات مناسب هم براي شبکه فراهم شود اما همه هزينه‌هاي انجام شده به هدر خواهد رفت.
     آيدين عدالت - عضو هيأت مديره و رئيس رسته سخت افزار و ارتباطات سازمان نظام صنفي رايانه‌اي درباره اين که دست اندرکاران امنيت سايبري طي سال‌هاي اخير چقدر به‌طور جدي به دنبال سازوکارها و اقدامات پيش‌گيرانه و محافظتي از شبکه‌هاي زيرساختي بودند؟ اظهار کرد: واقعيت اين است تمرکز بر امنيت نه به اندازه کافي و شايد کمتر از مقداري که بايد بوده است. اشکال هم آنجاست که امنيت در حوزه فناوري اطلاعات بيشتر با فرآيندها و روش‌ها پياده مي‌شود نه با تجهيزات.
    وي افزود: اشتباهي که عموما در ميان مصرف‌کنندگان چه دولتي و خصوصي در اين زمينه وجود دارد، اين است که گمان مي‌کنند اگر تجهيزات خوب و تأييد شده بگيرند، امنيت شبکه‌ها تأمين خواهد شد؛ مثلا يک اشتباه سالهاست در حال تکرار است که تجهيزات وارداتي براي زيرساخت شبکه را براي تست امنيت و تأييد نمونه به آزمايشگاه‌ها مي‌فرستند اما پس از آن، ديگر پيگيري براي نصب بهينه، تنظيم و پياده‌سازي فرآيندهاي صحيح روي آن انجام نشده يا به حدي که لازم است تمرکزي روي آن نمي‌شود. در حالي که لازم است در همه سازمان‌ها امنيت زيرساخت شبکه چک و بعد از ورود تجهيزات به شبکه در داخل سازمان، به درستي نصب و تنظيم شود. 
     او با بيان اينکه اصطلاحي در سيستم‌هاي شبکه به نام سخت‌سازي وجود دارد و زماني که تجهيزات براي زيرساخت شبکه خريداري مي‌شود، ابتدا بايد هنگام ورود به سازمان سخت‌سازي و مقاوم‌سازي در برابر حملات بيروني انجام شود، گفت: اين کار در خيلي از موارد به درستي انجام نمي‌شود؛ همچنين به دليل تحريم‌ها، تجهيزات و نرم‌افزارهاي آنها به روز نمي‌شوند و قديمي هستند و در نهايت اين عوامل سبب مي‌شود نسبت به حملات جديد بسيار آسيب‌پذير باشند.
    عدالت با تأکيد بر اينکه امنيت موضوع گران و هزينه‌بري است، تشريح کرد: بودجه‌هايي که در سازمان‌ها وجود دارد، قديمي هستند که هر سال حداکثر به اندازه تورم رشد دارند اما دو موضوع مهم در اين باره وجود دارد؛ اول اينکه قيمت تجهيزات امنيتي در دنيا، جداي از نرخ ارز، به دليل کمبود چيپ‌ست طي سه سال اخير، به دليل بيماري کرونا بيش از سه برابر افزايش داشته است.
    او ادامه داد: نکته دوم اين است که طي سالهاي اخير به دلايل مختلف، تخصص امنيت و متخصصان آن در کشور ما هم محدود و معدود شده است، بنابراين سازمان‌ها انتظار دارند يک تکنسين متخصص شبکه که فقط کارهاي ابتدايي را انجام مي‌دهد و حقوق آن به طور مثال 10 ميليون تومان است، بتواند امنيت زيرساخت يک وب‌سايت دولتي را تأمين کند. در حالي که حقوق همين متخصص در دنيا ماهيانه به طور مثال 5000 هزار دلار است و اين اصلا با بودجه‌اي که سازمان دارد، سنخيت ندارد و سازمان‌ها بايد فردي که حقوقش 150 ميليون تومان است را استخدام کنند اما کسي استخدام مي‌شود که حقوقش 10 ميليون تومان است و به همين دليل امنيت شبکه و سايت آنطور که بايد تأمين نمي‌شود.
    وي با بيان اينکه نقش و ميزان استفاده از کارشناسان فني که توانايي امن‌سازي يک شبکه و سايت داخلي سازمان يا شرکت را نداشته و از اطلاعات به روز شده‌اي استفاده نمي‌کنند، در موضوع امنيت سايبري بسيار زياد است، تصريح کرد: شايد مهم‌ترين موضوع بحث نيروي انساني است که مهره ايجاد امنيت در زيرساخت شبکه به شمار مي‌رود و هرچه قدر هم تجهيزات مناسب فراهم باشد، با فقدان نيروي انساني متخصص و متناسب با آن سازمان، تمام هزينه‌هاي قبلي به هدر مي‌رود. 
     عدالت خاطر نشان کرد: به عقيده من بزرگ‌ترين پاشنه آشيل امنيت سايبري در ايران بحث نيروي انساني در حوزه فناوري اطلاعات است و بايد به مشکلات موجود در اين بخش توجه شود.
    رئيس رسته سخت افزار و ارتباطات سازمان نظام صنفي رايانه‌اي درباره عدم رعايت ساده‌ترين نکات امنيتي و پشتيان‌گيري در طول سال‌هاي گذشته در بحث امنيت سايبري، اظهار کرد: وضعيت زير ساخت‌هاي شبکه‌هاي ما به دو دليل يکي به دليل تحريم‌ها و ديگري گران شدن نرخ براي ارز در حوزه زيرساختي با مشکل مواجه است؛ يعني شبکه با رشد تقاضا و سرويس‌ها رشد نکرده و سرمايه‌گذاري لازم برايش انجام نشده است. 
    در بسياري از ديتاسنترها، سرورها و وب‌سايت‌ها صرفا هزينه نگه‌داري براي زنده نگه داشتن آن انجام شده و به اندازه‌اي سرمايه گذاري نشده که قابليت اطمينان اين سرويس ارتقا پيدا کند؛ در نتيجه بايد براي سرويس‌هاي پشتيان‌گيري و تجهيزات امنيتي، تأمين سخت افزار و نرم افزار، نيروي انساني و براي به روز رساني آنها به صورت مستمر هزينه شود.
    عدالت ادامه داد: متأسفانه اين هزينه‌ها در گذشته انجام نشده و تجهيزات نه تنها به روز نمي‌شود بلکه به سمت استهلاک هم مي‌روند و کارايي خود را از دست مي‌دهند. به خصوص در زمينه امنيت که هر روز حملات جديد با روش‌هاي جديد  به وجود مي‌آيد و اگر به‌روزرساني انجام نشود، متأسفانه بسيار آسيب‌پذير خواهند بود.
    وي تأکيد کرد: يک اتفاقي که در دنيا رخ داده اين است که زيرساخت فناوري اطلاعات از حالت يک ابزار خارج شده و عملا به يکي از پايه‌هاي حکمراني سازماني تبديل شده اما در کشور ما هنوز به آن توجه نشده است. زماني بود که شمول فناوري اطلاعات به رايانه، پرينتر و اينکه شبکه‌اي سرپا باشد، لحاظ مي‌شد اما اکنون فناوري اطلاعات در تار و پود تمام سازمان‌ها گسترده شده و همه را به خود وابسته کرده است و اين نياز دارد که اين رشد و اهميت در ساختار سازماني شرکت‌هاي دولتي و خصوصي بزرگ ديده شود.
    او تصريح کرد: يکي از موارد مورد توجه اين است که در همه سازمان‌ها، معاونت فناوري اطلاعات وجود داشته باشد اما اينگونه نيست؛ معتقدم مسئله‌اي که بايد حداقل در سازمان‌هاي دولتي اتفاق بي‌افتد اين است که اهميت دادن به حوزه فاوا در سطح معاونت ارتقاء پيدا کند. 
    مديران ارشد هم قطعا اگر در سطح معاونت افراد متخصصاني داشته باشند که به زيرساخت فناوري و امنيت آن اهميت دهند، خود به خود به موضوع توجه مي‌کنند هم مطلع‌تر مي‌شوند و از نزديک در جريان موضوع قرار مي‌گيرند.
    اين کارشناس با بيان اينکه در سازمان‌هاي دولتي بحث امنيت به حراست مربوط مي‌شود، گفت: بعضا واحد حراست در سازمان‌ها وجود دارد و به دليل اينکه حراست از  ساختار سازماني سنتي برخوردار است، معمولا به حفاظت فيزيکي، ورود و خروج افراد و حداکثر نظارت بر دوربين‌هاي مدار بسته ورود مي‌کند اما حراست و امنيت در حوزه فناوري اطلاعات موضوع پيچيده و تخصصي است و در بسياري از مواقع به طراحي معماري زيرساخت شبکه و  نرم‌افزار سازمان برمي‌گردد.
     الزاما اين گونه نيست که ساختار سازماني نامرتب و غير استاندارد برپا و بعد تيم امنيتي آورده شود که آن را بيمه کند. بنابراين خود واحد فنائوري اطلاعات قطعا بايد يک تيم امنيتي داشته باشد و يکي از ارکان فناوري اطلاعات چه در زمينه تأمين تجهيزات، پياده‌سازي و پشتيباني، امنيت است و در کنار نگه‌داري شبکه و ديگر موارد لازم است که متخصص امنيت در تيم فناوري هم وجود داشته باشد.
    عدالت در ادامه سخنانش با تأکيد بر اينکه يکي از اتفاقات مخل امنيت، عدم سياست‌گذاري درست در رابطه با اينترنت است، تصريح کرد: اينکه شبکه ملي اطلاعات داشته باشيم خيلي اتفاق خوبي است و سبب کاهش هزينه و افزايش دسترسي و به طبع افزايش امنيت مي‌شود ولي متأسفانه اتفاقي که بعضا در زمينه اينترنت رخ داده مخصوصا در مواقعي که مشکل امنيت در جاي ديگر جامعه وجود دارد، بستن پهناي باند اينترنت، يا مسدود و محدودسازي سايت‌هاست؛ در حالي که اين موضوع کاربران را به سمت استفاده از ابزاري مانند وي پي ان سوق مي‌دهد و استفاده از وي پي ان هم تمام پيش‌بيني‌ها و الزامات ديده شده در شبکه ديده شده را، ميان‌بر زده و از آن عبور مي‌کند.
    وي افزود: به عبارتي زماني که در يک سازمان يا منزلي تمام اقدامات امنيتي مانند آنتي ويروس، فايروال و به طور کلي الزامات در معماري شبکه رعايت شود اما کاربر با وي پي ان به يک سايت خارجي متصل شود، همه رشته‌هايي که براي امنيت سازمان چيده شده، پنبه مي‌شود.
     بنابراين برخلاف چيزي که شايد در ذهن تصميم‌گيران وجود دارد و با بستن  اينترنت امنيت ارتقاء پيدا مي‌کند اين موضوع به صورت برعکس در حال رخ دادن است، يعني هرچه قدر دسترسي به سايت‌هاي بيروني، شبکه‌هاي اجتماعي محدود يا فيلتر شود، مـتأسفانه با روش‌هاي دور زدن فيلترينگ امنيت بيشتر به خطر مي‌افتد.
    او درباره اينکه سرويس‌هاي خوب ايراني نداريم و اين سبب مي‌شود بسياري از شرکت‌ها و سايت‌ها به سراغ سرورهاي ارزان قيمت بروند، اظهار کرد: اينکه ما به سمت بومي‌سازي و عدم وابستگي به برندهاي خارجي حرکت کنيم، خوب است اما بايد دقت شود که هيچ کشوري در دنيا نيست که همه چيز را خودش توليد کند، بايد حواسمان باشد زماني که بحث بومي‌سازي و تعميم پذيري داخلي مطرح شده بايد بر چه چيزهايي تمرکز کنيم. بسياري از فناوري‌ها در دنيا توسط چهار و پنج کشور تأمين مي‌شود و اگر بخواهيم آن را بومي کنيم نه صرفه اقتصادي دارد و نه از نظر تکنولوژيک به ما برتري مي‌دهد.
    عدالت ادامه داد: در اين زمينه بايد نياز سنجي کنيم و متوجه شويم در کشور به چه مواردي نياز است و در مرحله بعد بررسي کنيم که کدام قسمت‌ها را مي توان در داخل تأمين کنيم و کدام قسمت‌ها م بايد از خارج کشور تأمين کنيم.
     اينکه در حال حاضر بسياري از کشورها به سمت تأمين تجهيزات دست دوم حرکت مي‌کنند، بيشتر به دليل قيمت تمام شده است که تبعات بسيار جدي به همراه دارد زيرا چند برابر هزينه‌اي که صرفه جويي شده از دست مي دهند. سرويس‌هاي قديمي نقاط نفوذي دارند که بسته يا به‌روزرساني نشده‌اند و هر سازماني که از اين سرورها استفاده مي‌کند، در برابر حملات خارجي آسيب‌پذير است.
     اين امر موضوعي است که بايد به آن ورود شود يعني صرفا با توجه به برابري نرخ ارز نمي‌توان انتظار داشت بخش خصوصي يا شرکت‌هاي ارائه دهنده خدمات خود به خود به سمت خريد تجهيزات گران‌تر بروند و تجهيزاتي که به صورت قاچاق وارد مي شود را نخرند.
    به گزارش امانت به نقل از ايسنا،وي درباره عدم تخصيص بودجه مناسب در زمينه امنيت زيرساخت شبکه به سازمان‌ها توضيح داد: اين موضوع در بخش دولتي يا خصوصي فرقي نمي‌کند؛ مسئله اين است که هرچه قدر هزينه و سرمايه‌گذاري شود، به همان ميزان امنيت را مي‌توان ارتقاء داد. وقتي سازمان پول و بودجه نداشته باشد، از يک جايي شروع به کاهش هزينه‌ها مي‌کند، نيرو تعديل مي‌شود يا هزينه‌هاي حاشيه‌اي يا جاري کاهش پيدا مي‌کند تا در شرايط اقتصادي رکود بتوان دوام آورد و يکي از بخش‌ها امنيت است و متأسفانه راه حل ميان‌بر کوتاه مدتي ندارد.

نظر خود را بنویسید ...

نظر سنجی