پاشنه آشیل امنیت سایبری ایران، نیروی انسانی است

آیدین عدالت

طی سال‌های اخیر تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید بوده است. اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشت ر با فرآیندها و روش‌ها پیاده می‌شود نه با تجهیزات. اشتباهی که عموما در میان مصرف‌کنندگان چه دولتی و خصوصی در این زمینه وجود دارد، این است که گمان می‌کنند اگر تجهیزات خوب و تایید شده بگیرند، امنیت شبکه‌ها تامین خواهد شد؛ مثلا یک اشتباه سال‌هاست در حال تکرار است که تجهیزات وارداتی برای زیرساخت شبکه را برای تست امنیت و تایید نمونه به آزمایشگاه‌ها می‌فرستند اما پس از آن دیگر پیگیری برای نصب بهینه، تنظیم و پیاده‌سازی فرآیندهای صحیح روی آن انجام نشده یا به حدی که لازم است تمرکزی روی آن نمی‌شود. در حالی که لازم است در همه سازمان‌ها امنیت زیرساخت شبکه چک و بعد از ورود تجهیزات به شبکه در داخل سازمان، به درستی نصب و تنظیم شود. همچنین به دلیل تحریم‌ها، تجهیزات و نرم‌افزارهای آنها به‌روز نمی‌شوند و قدیمی هستند و در نهایت این عوامل سبب می‌شود نسبت به حملات جدید بسیار آسیب‌پذیر باشند. امنیت موضوع گران و هزینه‌بری است، بودجه‌هایی که در سازمان‌ها وجود دارد، کافی نیستند که هر سال حداکثر به اندازه تورم رشد دارند اما دو موضوع مهم در این باره وجود دارد؛ اول اینکه قیمت تجهیزات امنیتی در جهان، جدای از نرخ ارز، به دلیل کمبود چیپ‌ست طی سه سال اخیر به دلیل بیماری کرونا بیش از سه برابر افزایش داشته است. نکته دوم اینکه طی سال‌های اخیر به دلایل مختلف، تخصص امنیت و متخصصان آن در کشور ما هم محدود و معدود شده، بنابراین سازمان‌ها انتظار دارند یک تکنیسین متخصص شبکه که فقط کارهای ابتدایی را انجام می‌دهد و حقوق آن به‌ طور مثال ۱۰ میلیون تومان است، بتواند امنیت زیرساخت یک وب‌سایت دولتی را تامین کند. در حالی که حقوق همین متخصص در دنیا ماهیانه به ‌طور مثال 5 هزار دلار است و این اصلا با بودجه‌ سازمانی سنخیت ندارد. 

همچنین نقش و میزان استفاده از کارشناسان فنی که توانایی امن‌سازی یک شبکه و سایت داخلی سازمان یا شرکت را نداشته و از اطلاعات به‌روز شده‌ای استفاده نمی‌کنند. در موضوع امنیت سایبری بسیار زیاد است؛ شاید مهم‌ترین موضوع بحث نیروی انسانی است که مهره ایجاد امنیت در زیرساخت شبکه به شمار می‌رود و هرچه قدر هم تجهیزات مناسب فراهم باشد با فقدان نیروی انسانی متخصص و متناسب با آن سازمان، تمام هزینه‌های قبلی به هدر می‌رود. به عقیده من بزرگ‌ترین پاشنه آشیل امنیت سایبری در ایران بحث نیروی انسانی در حوزه فناوری اطلاعات است و باید به مشکلات موجود در این بخش توجه شود. وضعیت زیرساخت‌های شبکه‌های ما به دو دلیل، یکی به دلیل تحریم‌ها و دیگری گران شدن نرخ برای ارز در حوزه زیرساختی با مشکل مواجه است. یعنی شبکه با رشد تقاضا و سرویس‌ها رشد نکرده و سرمایه‌گذاری لازم برایش انجام نشده است. در بسیاری از دیتاسنترها، سرورها و وب‌سایت‌ها صرفا هزینه نگهداری برای زنده نگه داشتن آن انجام شده و به اندازه‌ای سرمایه‌گذاری نشده که قابلیت اطمینان این سرویس ارتقا پیدا کند؛ در نتیجه باید برای سرویس‌های پشتیان‌گیری و تجهیزات امنیتی، تأمین سخت‌افزار و نرم‌افزار، نیروی انسانی و برای به‌روز‌رسانی آنها به صورت مستمر هزینه شود. متاسفانه این هزینه‌ها در گذشته انجام نشده و تجهیزات نه تنها به‌روز نمی‌شود بلکه به سمت استهلاک هم می‌روند و کارایی خود را از دست می‌دهند. به خصوص در زمینه امنیت که هر روز حملات جدید با روش‌های جدید به وجود می‌آید و اگر به‌روزرسانی انجام نشود، متاسفانه بسیار آسیب‌پذیر خواهند بود. یک اتفاقی که در دنیا رخ داده این است که زیرساخت فناوری اطلاعات از حالت یک ابزار خارج شده و عملا به یکی از پایه‌های حکمرانی سازمانی تبدیل شده اما در کشور ما هنوز به آن توجه نشده است. زمانی بود که شمول فناوری اطلاعات به رایانه، پرینتر و اینکه شبکه‌ای سرپا باشد، لحاظ می‌شد. اما اکنون فناوری اطلاعات در تار و پود تمام سازمان‌ها گسترده شده و همه را به خود وابسته کرده است و این نیاز دارد که این رشد و اهمیت در ساختار سازمانی شرکت‌های دولتی و خصوصی بزرگ دیده شود. یکی از موارد مورد توجه این است که در همه سازمان‌ها، معاونت فناوری اطلاعات وجود داشته باشد اما این گونه نیست؛ معتقدم مساله‌ای که باید حداقل در سازمان‌های دولتی اتفاق بیفتد این است که اهمیت دادن به حوزه فاوا در سطح معاونت ارتقا پیدا کند. مدیران ارشد هم قطعا اگر در سطح معاونت افراد متخصصانی داشته باشند که به زیرساخت فناوری و امنیت آن اهمیت بدهند، خود به خود به موضوع توجه می‌کنند هم مطلع‌تر می‌شوند و از نزدیک در جریان موضوع قرار می‌گیرند.