فاصله بسیار میان رشد فناوری اطلاعات و امنیت سایبری در سازمانها
متخصص امنیت سایبری با «بازار» مطرح کرد

فاصله بسیار میان رشد فناوری اطلاعات و امنیت سایبری در سازمانها

یداللهی، متخصص امنیت سایبری معتقد است با وجودی که سرعت نفوذ فناوری اطلاعات در سازمانها افزایش یافته اما سرعت رشد امنیت سایبری کندتر از آن است.

فرحناز سپهری؛ بازار: حملات سایبری از جمله مسایلی است که در سالهای اخیر و همچنین با بروز پاندمی کرونا افزایش یافته است که شامل مواردی همچون باج افزارها، فیشینگ، مهندسی اجتماعی و بخش نرم افزاری و ... می شود. به طوری که فیشینگ در این مدت ببشترین آمار را به خود اختصاص داده است. هرچند به باور کارشناسان کشور در این حوزه از نظر تجهیزات و افراد متخصص در جایگاه خوبی قرار داریم اما سرعت کند در بحث رگولاتوری و نبود اجبار باعث شده تا حملات سایبری بیشتری در دستگاههای اجرایی و دولتی رخ دهد. به طوری که مرکز ماهر از شناسایی ۴۰ هزار نقطه آسیب پذیر در ۹ ماهه آخر سال ۹۹ و  افزایش تقریبی حملات در ۳ ماهه پایانی سال ۹۹، خبر داده است. در همین راستا برای چرایی افزایش حملات سایبری و راهکارهایی برای پیشگیری از این حملات فرصتی پیش آمد تا با «میلاد یداللهی» دکترای مدیریت فناوری؛ امنیت و مدیرعامل یک شرکت امنیت (آشنا ایمن که از سال ۸۱ در حوزه امنیت فعالیت دارد) گفتگویی انجام دهیم.

امنیت سازمانی تکنولوژی ها، متدها، روشها، فرایندها و رویکردها وجود دارد که روی مهمترین رویکرد تاکید می شود رویکرد استاندارد محور است مثل تمام حوزه ها که در صنایع  است، در امنیت هم استانداردهای  جهانی داریم که سازمانها از آن بهره می گیرند

*در ابتدا درباره اینکه چگونه فناوریهای پیشرفته می توانند روی بهبود امنیت سایبری سازمانها و شرکتها تاثیر بگذارند توضیحی بفرمایید.
در ابتدا بهتر است یک نظر کلی در خصوص امنیت سایبری داشته باشیم. امنیت را در چند سطح داریم اول امنیت در خصوص افرادی که در جامعه هستند در عین حال که مورد بعدی امنیتی است که در سطح شرکتها و سازمانها دولتی و خصوصی داریم. اما در بخش امنیت سازمانی تکنولوژی ها، متدها، روشها، فرایندها و رویکردها وجود دارد که روی مهمترین رویکرد ی تاکید می شود رویکرد استاندارد محور است مثل تمام حوزه ها که در صنایع  است، در امنیت هم استانداردهای  جهانی داریم که سازمانها از آن بهره می گیرند. براین اساس لایه های فناوریهای مختلف و از طرفی روشهای مختلفی داریم به طوری که تنها از منظر تجهیزات و تکنولوژی نباید نگاه بشود که اگر به این صورت باشد نگاه درستی نیست و سازمانها خسارت می ببیند که  اگر فقط روی تکنولوژی و تجهیزات تاکید داشته باشند. استاندارد سازی به صورتی که نیروی انسانی زبده برای بهره گیری و ایجاد فرهنگ امنیتی در سازمان و میان مشتریان باشد که البته مورد اغفال قرار گرفته است چه در کشور ما و چه در دنیا به طوری که  بیشتر نگاه تجهیزاتی وجود دارد.

*کدام حملات سایبری (برای مثال باج افزارها - فیشینگ - بدافزارها و سایر) بیشترین آمار خسارت را به خود اختصاص داده است؟
باید اشاره کنم سازمانها آمارها متنوعی در بازه زمانی مختلف ارایه می دهند این آمار بر مبنای نوع تهدیدات امنیتی انواع ویروسها - کرمها - تروجانها و malware ها یا مهندسی اجتماعی با به شکل فنی تر در حوزه نرم افزارها که بسیار متنوع هستند، ارایه می شود. در حالیکه آخرین آمارها نشان از بیشترین آمار در حوزه فیشینگ دارد به طوری که هر از چندگاهی در رسانه ها می شنویم قربانیان این حملات به سمت درگاه های جعلی هدایت شده و مورد کلاهبرداری واقع شده اند به نظر فیشینگ متداول ترین حملات سایبری در میان هکرها است چراکه پیاده سازی آن آسانتر است و مهاجمان با دانش آی تی کمتر می توانند نسبت به حملات دیگر در زمان کوتاهی طیف گسترده از مشتریان و افراد را مورد حمله قرار دهند.

* درباره اینکه در منطقه، ایران به لحاظ امنیت سایبری در چه جایگاهی قرارد ارد و با چه شاخصهایی می توان این مساله را شنا سایی کرد؟ توضیح بفرمایید.
آمار دقیقی در این حوزه نیست باید بر مبنای حقایق و شاخصهایی انجام شود و چندتا اِلمان  به عنوان شاخص باید در نظر بگیریم که  در کجا قرار داریم برای مثال آمارهای از تعداد حملات ناموفق به نسبت حملات شرکتها  که اتفاق افتاده باشد که هرچه این تعداد بیشتر باشد وضعیت بهتر است و البته از مناظر مختلف دیگر برای نمونه در سال تعداد کلاهبرداری چه میزان سرمایه افراد و سازمانها مورد سوء استفاده قرار گرفته اند. اما به شکل کلی باید بگویم کشور در فناوری اطلاعات امنیت سایبری از نظر زیر ساختها از منظر تجهیزات و تکنولوژی و منابع انسانی و متخصصان افراد جایگاه خوبی دارد. برای مثال افراد متخصص داریم که حتی موارد آسیب پذیر را معرفی و به دنیا می شناسانند در عین حال که نفوذ فناوری اطلاعات میان سازمانها شاخصی دیگر است که طی این مدت در کسب و کارها بیشتر شده اند به طوری که کسب و کارها به دنبال موبایلیزه کردن کارشان و در صدد هستند یک اپلیکیشین موبایل داشته باشند. از طرفی شرکتها و سازمانهای بزرگ این مسیر را بیش از پیش در حوزه فناوری اطلاعات طی می کنند اما متاسفانه رشد امنیت را همراستا با این رشد نمی بینیم و این فاصله بین امنیت و رشد فناوری در سازمانها باعث مشکل می شود و جبران کردن آن نیاز به نگاه ویژه دارد تا به خسارت ناشی از تهدیدات دچار نشویم.

مرکز ماهر ذیل سازمان فناوری اطلاعات قرار دارد به عنوان مرکزی است که حوادث امنیتی در سطوح سازمانها و ادارات دولتی رصد می کند و با بدنه دولتی ارتباط دارد از این رو خیلی سریعتر رخدادها را تشخیص می دهد

* چندی پیش مرکز ماهر اعلام کرده نقاط آسیب پذیر با افزایش روبرو شده است در این باره چه دیدگاهی دارید و باید چه اقدامی انجام شود؟
از آنجایی که مرکز ماهر ذیل سازمان فناوری اطلاعات قرار دارد به عنوان مرکزی است که حوادث امنیتی در سطوح سازمانها و ادارات دولتی رصد می کند و با بدنه دولتی ارتباط دارد از این رو خیلی سریعتر رخدادها را تشخیص می دهد. البته باید اشاره کنم متاسفانه آمارها حاکی از اخبار خوبی نیستند و حاکی از زیاد بودن آسیب پذیری در سطح دستگاههای اجرایی ما است. از این رو نیاز دارد که یک نگاه ویژه ای داشته باشیم. به طوری که الزامات امنیتی از سوی دستگاههای بالا دستی مثل مرکز ماهر یا پدافند غیر عامل که به عنوان دستگاههای مسوول امنیتی هستند باید همراه با یکپارچگی بین آنها باشد و تقسیم وظایف به درستی انجام شود هرچند رگولاتوری در امنیت نسبت به ۵، ۱۰ سال پیش بهتر شده است. مسیر خوبی دارد اما سرعت خوبی ندارد چرا که تهدیدات سرعت شان بیشتر است و ناچار بدنه بوروکراتیک دولتی باعث این مساله شده که سرعت را کم کرده است و از این رو هکرها سریع و به روز عمل می کنند اگر خود را دیر در برابر این تهدیدات ایمن کنیم خسارات جبران ناپذیری خواهد داشت.

*با توجه به اینکه در صحبتهایتان از یکپارچگی میان سازمانهای در حوزه امنیت یاد کردید و این که مقررات تنظیم شده کند پیش می رود حال به نظرتان در این حوزه نقش کدام ارگانها پررنگتر است و چگونه این روند را می توانند سریعتر کنند؟
همانطور که اشاره کردم الزامات متعدد در حوزه های مختلف از سوی سازمان بالادستی ابلاغ می شود. البته در این بخشها هم کم و کاستی هایی داریم نیاز به سریع بودن و بروز بودن است. به نظرم این الزامات باید جنبه اجرایی داشته باشد تنها به سازمانها ابلاغ شود و ارایه گزارش سالیانه، کفایت نمی کند باید در انجام آن اجبار باشد و بایستی سازمانها مسایل را به صورت دقیق پیگیری و گزارشات مبنی  بر بهینه اجرایی شدن شان ارایه کنند که متاسفانه سازمانها امتناع می کنند و یا به شکلی با کیفیت پایین انجام می دهند از این رو باید الزامات امنیتی رویکردی باشد که از بالا به پاین به شکل یهینه باشد تا از ان طرف خساراتی را متحمل نشویم.

از آنجا که شاخص نفوذ در فناوری اطلاعات بیشتر شده از آن طرف با افزایش دیجیتالی شدن کسب و کارها هم روبرو شده ایم که بایستی در حوزه امنیت دقیقتر شد و نکته ای است که با افزایش کسب و کار آنلاین، تعداد اپلیکیشن ها این حوزه هم بیشتر شده است بسیاری از اَپ های موبایل آسیب پذیری دارند

*با بروز پاندمی و افزایش کسب و کارهای آنلاین و خریدهای اینترنتی چه راهکارهایی برای جلوگیری و کاهش از کلاهبرداری در این حوزه پیشنهاد می دهید؟
از آنجا که شاخص نفوذ در فناوری اطلاعات بیشتر شده از آن طرف با افزایش دیجیتالی شدن کسب و کارها هم روبرو شده ایم که بایستی در حوزه امنیت دقیقتر شد و نکته ای است که با افزایش کسب و کار آنلاین، تعداد اپلیکیشن ها این حوزه هم بیشتر شده است بسیاری از اَپ های موبایل آسیب پذیری دارند چراکه به دلیل اینکه کسب و کارها می خواهند سریعتر اَپ ها را وارد بازار کنند کمتر به بحث امنیتی شان می پردازند. بخش دیگر مربوط به مشتریان و افراد است با اینکه روند آگاهی رسانی بهتر شده و صدا و سیما به عنوان رسانه ملی یا تبلیغات به شکل پوسترها سمینارها بیشتر شده است اما آمار پلیس فتا حاکی از صعودی بودن دارد هرچند بهره گیری رمز پویا یک مقداری این بخش را کنترل کرده اما همچنان نیاز داریم در حوزه آگاهی رسانی افراد کار شود. برای مثال در خصوص پیامک های جعلی و این که چه المانهایی در خرید امن از یک صفحه مجاری دخیل هستند به صورت مستمر و روشهای خلاقانه مثلا به صورت کلیپ ها یا فیلم اطلاع رسانی شود به نظرم میتواند در ارتقای امنیتی اطلاعات کمک کنند.

*به عنوان کلام پایانی اگر مطلبی است، بفرمایید.
 در پایان باید تاکید کنم از آنجایی که در کشور عمده اقتصاد و کسب و کارهای ما دولتی هستند اگر بخواهیم معطوف شویم به عمده این بخش باید روی حوزه ها و مراحل مختلف امنیت نگاه ویژه ای داشته باشیم از جمله رگولاتورها و مسوولان که مسوولیت اجرایی و نظارت دارند باید روی این موارد تاکید شود که برای شناسایی موارد آسیب پذیر، قبل از اینکه اتفاق بیفتد، قوانینی داشته باشیم البته باید اشاره کنم در دنیا در این حوزه به دو صورت نگاه می شود ریسک بیس (RISK-BASED)  و مخاطره بیس و در این مورد تحلیل می کنند که قبل از رخ دادن حوادث راهکارهای تقابلی داشته باشند و نگاه ریسک محور که در دنیا از آن به نام GRC یاد می شود باید بتوانیم فرهنگ آن را در سازمانها کسب و کارها جا بیندازیم و به شکل بهبود یافته و مستمر داشته باشیم به طوریکه تهدیدات را شناسایی و راه حل مقابله را ایجاد کنیم بعد از آن بسنجیم آیا درست عمل کرده یا خیر و اگر این چرخه درست طی شود به امینت نگاه خاص دقیقی شده و احتمالا یک امنیت مدیریت شده را داریم متعاقبا رخدادهای تهدیدات کاهش پیدا می کند.

کد خبر: ۹۵٬۹۹۱

اخبار مرتبط

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
  • نظرات حاوی توهین و هرگونه نسبت ناروا به اشخاص حقیقی و حقوقی منتشر نمی‌شود.
  • نظراتی که غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نمی‌شود.
  • captcha

    نظرات

    • نظرات منتشر شده: 1
    • نظرات در صف انتشار: 0
    • نظرات غیرقابل انتشار: 0
    • علی مصطفایی IR ۱۶:۰۲ - ۱۴۰۰/۰۴/۰۹
      0 0
      دکتر یداللهی نامبر وان دنیای امنیت