خانه‌ای با هزاران پنجره بی‌حفاظ

با اطمینان می‌توان گفت که امنیت سایبری در سطح سازمانی برای کشورهای جهان مقوله‌ای کاملا جدی است. پدیده‌ای که در صورت بی‌توجهی به آن باید انتظار هزینه‌های جبران‌ناپذیر زیادی را داشت.

درحال‌حاضر کشورهای پیشرفته سالانه بخشی از بودجه خود را صرف تامین امنیت سایبری سازمان‌ها و شرکت‌های تجاری خود می‌کنند، اما باوجود مشاهده همه تلاش‌های جهانی، این مبحث هنوز هم در ایران چندان جدی گرفته نمی‌شود. بی‌توجهی به پدیده امنیت سایبری را می‌توان در به‌روز نشدن سیستم‌های نرم‌افزاری و جدی نبودن آموزش به کاربران سازمانی جست‌وجو کرد. به نظر می‌رسد به دلیل نبود اطلاعات و دانش کافی، هنوز اهمیت و نیاز به امنیت سایبری در میان سازمان‌ها آنچنان که باید و شاید شناخته نشده است. این نکته علاوه بر سابقه و گستره حملات سایبری در سخنان کارشناسان نیز به چشم می‌خورد و نباید به سادگی از کنار آن گذشت.

در بررسی حملات سایبری ایران می‌توان به حملات سال گذشته اشاره کرد. سال گذشته در طول چند هفته متوالی برخی از سایت‌های سازمان‌های ایرانی مورد هدف حملات ساده قرار گرفت و هرچند که به گفته مسئولان سازمانی خسارت چندانی وارد نشد، اما ثابت کرد که امنیت سایبری در ایران چندان جدی گرفته نمی‌شود. این در حالی است که همگام با رشد فضای کسب و کار در فضای مجازی، توجه به فناوری و یادگیری الفبای امنیت سایبری به یکی از بایدهای زندگی آنلاین تبدیل شده است. درحال‌حاضر بسیاری از سازمان‌ها برای همگام کردن خود با فناوری روز، معاونت فناوری اطلاعات و ارتباطات تشکیل داده‌اند و از طریق این حوزه سعی دارند تا خدمات خود را بر بستر الکترونیک به جریان درآورند. اما سهم امنیت سایبری در برنامه‌ریزی‌های این معاونت‌ها چقدر است؟ واقعیت آن است که امنیت سایبری در سازمان‌های دولتی و خصوصی به حاشیه رانده شده است و آخرین دغدغه آنان به شمار می‌آید. ایران حوزه سایبری با کمبود متخصص مواجه نیست اما در زمینه تولیدات علمی رقابتی در امنیت فضای مجازی ضعف زیادی را تجربه می‌کند و باید با همت جمعی به فکر حل این نقطه‌ضعف باشد. علاوه بر این هرچند که برای تامین امنیت سایبری، توسعه زیرساخت‌های کشور امری حیاتی و انکارناپذیر است، اما در کنار زیرساخت عوامل دیگری نیز وجود دارند که توجه به آن می‌تواند تضمینی بر افزایش امنیت سایبری سازمان‌ها و شرکت‌های تجاری باشد.

نخستین گام، آگاهی از نیاز

علی علی‌اکبری، کارشناس فناوری اطلاعات در گفت‌وگو با گسترش تجارت از چالش‌های امنیتی شرکت‌ها سخن می‌گوید: در بحث امنیت سایبری سازمانی می‌توان گفت در بخش شرکت‌های کوچک و خرد به‌طور تقریبی هیچ پیشگیری خاصی وجود ندارد. در این حوزه به‌طور مطلق نه سیاستی برای ایجاد امنیت وجود ندارد و نه راهکاری اجرا می‌شود. به همه این کاستی‌ها باید نبود آگاهی و اطلاعات را هم اضافه کرد که باعث شده امنیت سایبری به‌عنوان یک نیاز یا ضرورت مطرح نباشد.

وی در ادامه سخنان خود گریزی به وضعیت امنیت سایبری در سازمان‌های بزرگ می‌زند و می‌افزاید: امروزه ضرورت امنیت سایبری در شرکت‌های بزرگ تا حدودی جدی‌تر شده، اما با این وجود اقدام‌هایی که انجام می‌شود به‌طورمعمول نتیجه‌بخش یا کافی نیست. به عبارت دیگر توجه به امنیت سایبری در این شرکت‌ها به‌گونه‌ای است که گویا خانه‌ای دارای هزاران پنجره است و تنها از ۱۰۰ پنجره محافظت می‌شود.

وی در ادامه سخنان خود می‌افزاید: در سازمان‌ها، بخشی به اسم گروه SOC وجود دارد که وظیفه بررسی، پایش و حل مشکلات سایبری را بر عهده دارد. اما به‌طورمعمول درگیر کاغذبازی می‌شود یا وظایف خود را به‌صورت پیمانکاری و از طریق برون‌سپاری به شرکت‌هایی می‌سپارد که چندان خوش‌نام نیستند. این وضعیت در بانک‌ها کمی بهتر است چراکه پروتکل‌های بیشتری برای این موارد وجود دارد. بااین‌حال با توجه به دقیق‌تر شدن حمله‌های اینترنتی این اقدام‌ها هم چالش خاصی برای حمله‌کننده در پی نخواهد داشت و باید به فکر راه‌حل‌های تازه‌تر بود.

علی‌اکبری در پایان سخنان خود به بازتعریف امنیت سایبری پرداخته و می‌گوید: امنیت سایبری چیزی نیست که بتوان آن را به وجود آورد. باید این دید در طول ایجاد یک محصول یا فرآیند حاکم باشد تا بتوان اثرگذاری آن را مشاهده کرد. بااین‌حال به‌طورمعمول ابتدا محصول تولید می‌شود و تازه در مرحله بعد سازندگان به فکر تامین امنیت آن می‌افتند. بر همین اساس هم به نظر می‌رسد نخستین گام ایجاد آگاهی از نیاز است و بعد ایجاد دیدگاهی که طراح یک پروژه باید داشته باشد.

کاربر بیشتر، خطر بیشتر

یاشار بهمند، کارشناس امنیت سایبری درباره وضعیت امنیت سایبری کشورهای جهان به گسترش تجارت می‌گوید: به دلیل ماهیت خاص فناوری اطلاعات و گستره نفوذ بالای آن، نمی‌توان مرزبندی دقیقی برای مصرف آن مشخص کرد. بااین‌حال عواملی وجود دارد که براساس آن می‌توان میزان امنیت سایبری را براساس کشور یا منطقه دسته‌بندی کرد.

وی در ادامه سخنان خود ضمن اشاره به این عوامل می‌گوید: ناگفته پیداست که هرچه تعداد کاربران (چه در سطح کاربران عادی و چه در سطح کاربران حرفه‌ای و سازمانی) افزایش یابد یا به‌اصطلاح تعداد IPها بیشتر شود، خطرهای سایبری نیز به دنبال آن بیشتر می‌شود. در چنین شرایطی بهترین راهکار برای مقابله با خطرات سایبری فرهنگ‌سازی در میان کاربران است.

این کارشناس امنیت سایبری در ادامه سخنان خود به مشکلات امنیت سایبری در ایران اشاره می‌کند و می‌افزاید: درحال‌حاضر کشورهای بسیاری با کمک آموزش و فرهنگ‌سازی در زمینه زندگی آنلاین توانسته‌اند میزان امنیت سایبری را هم در سازمان‌ها و هم در میان کاربران خود افزایش دهند. بااین‌حال کاربران ایرانی هنوز از بسیاری نکات ساده امنیت سایبری بی‌اطلاع هستند. به‌طوری‌که تنها با یک جست‌وجوی ساده در فضای مجازی می‌توان اطلاعات زیادی از آنان به‌دست آورد. کاربران ایرانی هنوز الفبای حفظ اطلاعات هویتی خود در شبکه‌های اجتماعی را بلند نیستند و به همین دلیل مستعد ضربه خوردن از این فضا هستند. به همین دلیل باید در زمینه فرهنگ‌سازی چه در سطح کاربران عادی و چه کاربران سازمانی تلاش بیشتری شود.

سخن پایانی

درباره امنیت سایبری و لزوم توجه به آن، چه از سوی کاربر و چه از سوی سازمان ارائه‌دهنده خدمت تاکنون صحبت‌های زیادی به میان آمده است، بااین‌حال هنوز هم شاهد آن هستیم که امنیت سایبری به‌عنوان یک نیاز از سوی سازمان‌ها شناسایی نمی‌شود و همین بی‌نیازی زمینه‌ساز حملات سایبری متعدد شده است. باید توجه داشت که بی‌نیازی از این پدیده مهم در سایه نبود آگاهی و اطلاعات رشد کرده است. بر همین اساس هم پیش از آنکه در مسیر حملات سایبری هزینه بیشتری پرداخت کنیم، باید به لزوم فرهنگ‌سازی در این زمینه توجه شود.