مدیرعامل یک شرکت امنیت سایبری: سازمان‌های بالادستی روال اجرای پروژه‌های امنیت سایبری را متفاوت ببینند؛ به تجربه جوانان و شرکت‌های داخلی اعتماد شود

دکتر هاشم حبیبی، مدیرعامل یک شرکت دانش بنیان حوزه امنیت سایبری در گفت‌وگو با خبرنگار سیتنا پیرامون نقش سازمان‌ها و نهادهای بالادستی در مقابله با حملات سایبری، گفت: یک جمله در حوزه امنیت وجود دارد که می‌گویند «امنیت ۱۰۰ درصد نیست» یعنی هر کاری انجام دهید باز هم ممکن است فردی باهوش‌تر و زرنگ‌تر پیدا شود و با کشف یک آسیب‌پذیری وارد سیستم‌ها شود و به اطلاعات دست پیدا کند. اکنون این سوال مطرح می‌شود که اگر امنیت مطلق نیست، پس چرا باید برای امن‌سازی هزینه کنیم؟ شاید ساده‌ترین پاسخ این باشد که در نبرد هکر و کارشناس امنیت، همیشه کارشناس امنیت تلاش می‌کند راه‌های نفوذ کشف شده را ببندد که حداقل از راه‌های موجود کسی نتواند دستبرد بزند.

وی، ادامه داد: برای بستن راه‌های نفوذ و امن کردن سیستم‌ها، نیاز است هزینه‌هایی انجام شود. با امن‌سازی سیستم‌ها، می‌توان تا حد زیادی اطمینان حاصل کرد که هر فرد مبتدی و تازه واردی نتواند به اطلاعات دسترسی پیدا کند. یک ضرب‌المثل وجود دارد که می‌گوید «مرگ مال همسایه است»، در حوزه امنیت نیز اکثر مدیران ارشد سازمان‌ها، فکر می‌کنند نفوذ و دسترسی به اطلاعات فقط برای بقیه اتفاق می‌افتد و فکر نمی‌کنند ممکن است این شتر روزی هم درب سازمان آنها بخوابد! بنابراین از موضوع امن‌سازی و نگهداری از اطلاعات مهم سازمان غفلت می‌کنند.

حبیبی، افزود: دلیل دیگری که سازمان‌ها را در نگهداری از اطلاعات سست می‌کند، عدم پاسخگو بودن مدیران ارشد سازمان‌ها در زمان نفوذ و افشا اطلاعات است. در اکثر مواقع این مدیر فناوری اطلاعات یا مدیر امنیت است که باید پاسخگو باشد و مدیر ارشد که بر اساس قانون، مسولیت امنیت اطلاعات سازمان را دارد، اصولا کمتر اتفاق می‌افتد که به مراجع رسمی برای پاسخگویی احضار شود! در کشور ما متخصصان امنیت و شرکت‌های خصوصی خوبی وجود دارند، اما به دلیل اینکه مدیران سازمان‌ها امنیت اطلاعات را اولویت حتی دهم خود هم نمی‌دانند، از این متخصصان و شرکت‌ها استفاده مناسبی نمی‌شود. نکته جالب‌تر اینکه اصولا سازمان‌ها بعد از حملات سایبری به سراغ این افراد و شرکت‌ها می‌روند و با توجه به اینکه در فشار رسانه‌ها و مردم هستند، تلاش می‌کنند زودتر سامانه‌ها را بازیابی کنند، اما به محض رسیدن به ساحل آرامش، این افراد و شرکت‌ها را فراموش می‌کنند!

وی ادامه داد: به عنوان نمونه در یکی از سازمان‌های دولتی که حمله سایبری شده بود، شرکتی که حضور داشت بعد از مدتها فعالیت، با توجیه اینکه هزینه‌ای که برای امنیت می‌شود زیاد است و حضور این شرکت تاثیری ندارد، قرارداد با شرکت تمدید نشد و کمتر از چند ماه اولین اختلال سایبری در سازمان اتفاق افتاد! متاسفانه هنوز مدیران ارشد و متاسفانه گاهی مدیران فناوری اطلاعات، امنیت را هزینه می‌دانند. تا روزی که این تفکر در بدنه کارشناسی و مدیریتی وجود داشته باشد، امنیت سایبری رشد و توسعه نخواهد داشت. البته در حوزه فنی نیز متاسفانه، در اکثر مواقع کارشناسان امنیت دو اشتباه را مرتکب می‌شوند، یکی اعتماد بیش از حد به محصول امنیتی و دیگری تاکید بیش از حد به داشتن محصول خارجی است.

این مدیرعامل شرکت دانش بنیان حوزه امنیت سایبری، تشریح کرد: در مورد اول باید توجه داشت که هرچند برای امن‌سازی باید از محصولات نرم‌افزاری و سخت‌افزاری در حوزه امنیت استفاده کرد، این محصولات برای امن‌سازی لازم هستند اما کافی نیستند. شرط کافی این است که حضور، پایش و رصد شبکه و سامانه‌ها توسط افراد باید بصورت ۲۴*۷ انجام شود. این موضوعی است که در اکثر سازمان‌ها غفلت می‌شود که شاید دلیل اصلی آن، هزینه زیاد نیروی انسانی (اعم از هزینه مادی و هزینه‌های مدیریتی) باشد.

وی، توضیح داد: در خصوص تاکید بیش از حد به داشتن محصول خارجی، باید توجه شود که یکی از استراتژی‌های امنیتی، دفاع در عمق می‌باشد. منظور از دفاع در عمق ایجاد لایه‌های مختلف امنیتی در شبکه‌ها می‌باشد. هرچند محصولات امنیتی داخلی در اکثر موارد از نظر کیفیت و قابلیت قابل مقایسه با محصولات خارجی نیستند، اما باید توجه داشت که هکری که قرار است به سامانه‌ها نفوذ کند، کسی است که دسترسی وی به محصولات امنیتی خارجی احتمالا راحت‌تر می‌باشد تا دسترسی به محصولات ایرانی! پس راه دور زدن این محصولات خارجی در مواقع خطر برای هکرها ساده‌تر است. بنابراین از نظر امنیتی توصیه می‌شود ترکیبی از محصولات مختلف در شبکه‌ها استفاده شده و محصولات ایرانی نیز در لبه‌ شبکه‌ها قرار گیرند.

حبیبی، تاکید کرد: سازمان‌ها و نهادهای بالادستی دو وظیفه اصلی در این حوزه برعهده دارند، اول اینکه با وضع قوانین و مقررات راه را برای سازمان‌ها و متخصصان امنیت هموار کنند و دوم اینکه نظارت بر عملکرد سازمان‌ها را با دقت و حساسیت انجام دهند. یکی از مشکلات سازمان‌ها وجود قوانین و مقررات دست و پاگیر برای عقد قرارداد و دریافت خدمات امنیتی است. طبق آیین‌نامه معاملات در دولت، پیمانکاران پروژه‌های متوسط به بالا باید از طریق مناقصه محدود یا عمومی و از طریق سامانه ستاد انتخاب شوند. این کار برای حوزه امنیت دو مشکل ایجاد کرده است، اول اینکه حوزه امنیت به دلیل حساسیتی که دارد در اغلب موارد باید پروژه‌ها بصورت چراغ خاموش اجرا شوند و نباید اعلان عمومی شود که مثلا در سازمان A پروژه‌ای با مشخصات بیان شده در RFP و توسط شرکت B انجام شده است، در صورتی که در مناقصه عمومی باید RFP پروژه منتشر شده و نهایتا مشخصات و نام شرکت B و سازمان A هم که همانند RFP در شبکه جهانی اینترنت اعلام می‌شوند، باید پروژه را به انجام برسانند. پس مناقصه‌های عمومی در حوزه امنیت راه را برای فهمیدن نقطه ضعف سازمان‌ها باز می‌کند و هکرها متوجه می‌شوند که فلان سازمان در چه حوزه یا حوزه‌هایی ضعف دارد و به دنبال چه پیمانکاری می‌گردد.

وی ادامه داد: مشکل دوم برگزاری مناقصه در حوزه امنیت این است که تعداد زیادی از پروژه‌های این حوزه بعد از رخداد امنیتی و به ناچار بدون انجام تشریفات قانونی شروع می‌شوند. شروع این نوع همکاری‌ها توسط مدیریت فناوری اطلاعات یا امنیت است، اما برای عقد قرارداد باید از طریق تدارکات و مدیریت ارشد انجام شود که آنها متاسفانه تاکید بر طی روال قانونی دارند. بنابراین الان سازمان‌ها اکثرا به این مشکل برخورد کرده‌اند که اگر مورد حمله قرار گیرند، کمتر شرکتی حاضر به کمک به آنها می‌باشد. پس نهادهای بالادستی و خود سازمان‌ها باید در حوزه امنیت روال‌های اجرای پروژه‌ها را متفاوت ببینند و قوانین و مقرراتی که برای خرید تجهیزات یا انجام پروژه‌های غیرامنیتی دارند، در مورد پروژه‌های امنیتی بکار نگیرند.

این مدیرعامل شرکت دانش بنیان حوزه امنیت سایبری، خاطرنشان کرد: وظیفه اصلی سازمان‌ها در کنار دادن بودجه و اعتبار، در حوزه امنیت تخصیص نیروی متعهد و متخصص به این حوزه می‌باشد، همچنین باید توجه داشته باشند که نیروی امنیتی نباید سرش را شلوغ کنند. یکی از مشکلات در سازمان‌ها این است که به محض اینکه می‌بینند نیرویی کمی آزاد است برایش کارهای متفرقه تعریف می‌کنند، در حوزه امنیت نیز همین مشکل به مراتب بدتر وجود دارد، درصورتی که نیروی امنیتی مانند آتش‌نشان است و در عین اینکه باید مواظبت کند که داده‌ها و سامانه‌های سازمان مورد حمله قرار نگیرد اما در زمان‌های آزاد باید واقعا آزاد باشد و فکر و مشغولیت دیگری نداشته باشد.

وی، گفت: اولین و تنها پیشنهادی که می‌توان داد این است که سازمان‌ها و دستگاه‌هایی که اطلاعات حساس کشور را در اختیار دارند باید به بخش خصوصی و جوانان این کشور اعتماد کرده و با تعریف پروژه‌های امنیت اطلاعات، هم تخصص و تجربه جوانان و شرکت‌های داخلی را به خدمت بگیرند و هم اطلاعات خودشان را از دسترس افراد غیرمجاز حفظ کنند.

حبیبی در پایان اشاره کرد: نهادهای بالادستی با تصویب و ابلاغ قوانین و آیین‌نامه‌های تسهیل‌کننده می‌توانند دست سازمان‌ها را در بستن راحت‌تر قراردادها باز کنند. یادمان باشد که هزینه کردن در حوزه امنیت، سرمایه‌‌گذاری است.

انتهای پیام

گفت‌وگو از فرزانه احمدی منش