رئیس کمیسیون افتای نصر تهران: باید به امنیت به چشم اولویت نگاه شود
بهناز آریا، رئیس کمیسیون افتای سازمان نظام صنفی رایانهای استان تهران معتقد است که اگاهیرسانی در حوزه امنیت سایبری میتواند به کاهش حملات سایبری منجر شود.
با گذشت چند روز از اعلام خبر هک شدن پلتفرم تپسی و به سرقت رفتن اطلاعات کاربران، همچنان بحث پیرامون چرایی این اتفاق و تاثیرات مخربی که در پی خواهد داشت گرم است. تپسی به عنوان دومین تاکسی اینترنتی کشور کاربران بسیار زیادی را در این سالها جذب کرده است و حتی توانسته در بازار بورس حضور پیدا کند. در همین خصوص با بهناز آریا، رئیس کمیسیون افتای سازمان نظام نظام صنفی رایانهای استان تهران گفتوگویی انجام شده است.
با توجه به حمله سایبری به شرکت تپسی و به خطر افتادن اطلاعات میلیونها کاربر، به نظر شما آموزش صاحبان مشاغل کوچک و همچنین شرکتهای بزرگ در زمینه آگاهسازی آنها از حملات سایبری تا چه حد میتواند جلوی این موضوع و هک اطلاعات آنها را بگیرد؟
اتفاقی که برای شرکت تپسی و برخی دیگر از سازمانها و مجموعههای نیز رخ داده است منحصر به ایران نیست. اولین بار نیست که اتفاقات اینچنینی رخ میدهد و چالش بزرگی است که تمام دنیا با آن درگیر هستند. طبق آخرین گزارشهایی که وجود دارد از فوریه سال 2022 میزان حملات سایبری در جهان 8 هزار درصد افزایش پیدا کرده است. این درحالی است که در میانه عصر دیجیتال هستیم و تقریبا همه چیز در آینده نزدیک بهم متصل خواهد بود. با توجه به این مساله همه چیز قابلیت هک خواهد داشت. در حال حاضر مهمترین دارایی، دارایی اطلاعاتی است و صاحبان آنها باید از این داراییها محافظت کنند. در واقع هم سازمانها و کسبوکارها و هم خود افراد باید از این داراییها مراقبت کنند و مسوول هستند.
در موضوع امنیت مبحث بسیار مهم آگاهیرسانی را داریم. اهمیت این مساله به این خاطر است که انسانها ضعیفترین حلقهها در زنجیره امنیت هستند. باید تلاش شود تا با آگاهیرسانی دانش افراد در این زمینه افزایش پیدا کند. در این مسیر باید دانش عمومیجامعه را افزایش دهیم و توجه افراد را به این حوزه جلب کنیم. وقتی شرکتهایی مثل تپسی که ارائه دهنده خدمات عمومیهستند از این ناحیه ضربه میخورند، کاربران نسبت به حفظ اطلاعات خود احساس خطر میکنند. در واقع این احساس خطر فرصتی است تا با آگاهی رسانی به کاربران، دانش آنها را در این زمینه افزایش دهیم.
فرایند آگاهیرسانی در این زمینه باید در جامعه از بالا به پایین باشد. حاکمیت نقش بسیار پررنگی در این خصوص دارد و تمام شرکتها و ارگانها نیز باید او را همراهی کنند. در حال حاضر ریسک شماره یک تمامیکسبوکارها در ایران و جهان امنیت سایبری است و در واقع این موضوع باید بیشترین اولویت را برای آنها داشته باشد.
در یک سال گذشته چندین بار خبر حملات سایبری منتشر شده. از سایت شهرداری گرفته تا صداوسیما و برخی شرکتهای خصوصی. نقطه ضعف اصلی و موجود در این میان چیست؟ چه راهکارهایی را برای کم کردن خطر حملات سایبری پیشنهاد میکنید؟
متاسفانه در حملات اخیر شاهد تکرار رخدادها از آسیبپذیریهای رخدادهای پیشین هستیم. در حوزه امنیت سایبری امنیت صددرصدی وجود ندارد اما وقتی یک حمله امنیتی رخ میدهد، اگر اصلاحات و بهروزرسانیهای لازم را انجام ندهیم و دوباره با روش قبلی ضربه بخوریم، یعنی عملکرد مناسبی در حفظ امینت اطلااعات خود نداشتهایم. یکی از مواردی که باعث نگرانی بخش خصوصی شده است همین تکرار آسیبپذیری با روشهای قبلی است.
همچنین یکی دیگر از خواستههای ما در بخش خصوصی این است که در حدی که مسائل محرمانگی رعایت میشود، باید اطلاعات این رخدادها با متخصصان و شرکتهای امنیت سایبری این بخش به اشتراک گذاشته شود. در واقع باید تلاش شود تا بخش خصوصی به عنوان بازوی اجرایی بخش دولتی در این زمینه دیده شود. در گفتوگوهایی که تاکنون با بخش دولتی داشتهایم سعی شده تا راههای این تعامل را افزایش دهیم. در حقیقت بخشی از راهبری حوزه امنیت سایبری به عهده بخش خصوصی است که به آن توجه نشده است و صنعت افتای کشور به درستی شکل نگرفته و بهاندازه کافی به آن بها داده نشده و در حد نیاز کشور رشد نکرده است.
یکی از چالشهای جدی دیگر این حوزه ترک فعل مدیران به ویژه در سازمانهایی دولت دیده نمیشود. وقتی یک سازمان دولتی یا زیرساخت عمومی دچار مشکل امنیتی میشود هیچکس پاسخگو نیست. تنها کسی که در این زمینه معمولا مقصر شناخته میشود بخش خصوصی است. این درحالی است که مقصر اصلی بخشی است که خدمت اصلی را ارائه کرده است، چه در بخش خصوصی چه در سازمان دولتی و دستگاه اجرایی و باید پاسخگو باشد. حاصل این وضعیت این بوده است که امنیت به چشم اولویت دیده نمیشود و صنعت مهم افتا به درستی رشد نمیکند. متاسفانه حملات اینچنینی اتفاق میافتد بدون آنکه ما اصلاحی را در این وضعیت ببینیم.
برای جلوگیری از این اتفاقات، باید در درجه اول صنعت افتا به عنوان یکی از صنایع اولویت دار، پرکاربرد و دارای نقش اقتصادی بسیار مهم دیده شود. همچنین بخش خصوصی باید نقش اجرایی پررنگتری داشته باشد. درعین حال باید روشها و دستورکارهای فعلی را در سازمانهای مختلف اصلاح کنیم و به امنیت در سمت بهرهبردار هم علاوه بر مبادی ورودی تاکید کنیم. باید نظارت مستمر بر امنیت سازمانها و مجموعهها انجام شود و از تست نفوذهای دورهای، باگ بانتی و آموزش افراد و موارد مشابه غافل نشویم.
یکی دیگر از موضوعاتی که با حاکمیت پیرامون آن گفتوگو کردهایم، مبحث بیمه سایبری است که به زودی معرفی خواهد شد. امیدواریم بیمه سایبری هم به مصرف کنندگان و خدمت گیرندگان کمک کند و هم به سازمانها و شرکتها در جهت امنسازی موثر تر و بیمهپذیر کردن خدماتشان کمک کند.
در نمایشگاه الکامپ تفاهمنامه همکاری میان نصر تهران و انجمن صنفی افتا امضا شد. این همکاری چقدر در پیشبرد اهداف و برنامهها موثر در زمینه امنیت اطلاعات موثر است و تا کنون چه اقداماتی در این زمینه انجام شده است؟
تفاهمنامهای که بین سازمان نظام صنفی رایانهای استان تهران و انجمن صنفی افتا منعقد شد نقطه عطفی در این زمینه بود. انجمن صنفی افتا نماینده تولیدکنندگان افتا است و باتوجه به تاکید کشور در بحث تولید، علاقه داریم بتوانیم در یک جبهه فعالیت کنیم. مبحث امنیت شامل تولیدکنندگان، واردکنندگان و ارائهدهندگان خدمات میشود و عملا هر سه در تامین امنیت نقش دارند. هدف هر دو تشکل این است که بتوانیم در جهت بهبود تولید قدم برداریم و درک و همکاری متقابلی هم میان سه حوزه بالا به وجود بیاید. با همکاری این دو تشکل این درک ایجاد خواهد شد و فرصت خوبی است تا بتوانیم راه را برای تولیدکنندگان هموارتر کرده و راه تولید صنعت افتا را با کمک هم تسهیل کنیم. باید به این مساله نیز اشاره شود که هرچقدر محصولات بومیبا کیفیتتری داشته باشیم میتوانیم به بهبود امنیت سایبری کشور کمک کنیم. هدف سازمان نصر تهران و انجمن صنفی افتا (سندیکا) تسهیلگری در راستای رسیدن به امنیت مطلوب ملی است.
باید مجددا تاکید کنم که راهی جز تقویت صنعت افتا برای ارتقای سطح امنیت کشور و داراییهای اطلاعاتی وجود نداشته و نقش بخش خصوصی و تشکلهای بخش خصوصی در این صنعت انکار ناپذیر است.