در وصف امنیت سایبری
حسن اسدی
امنیت یک فرآیند است نه یک عملیات و امنیت سایبری فرآیندی است که به صورت کامل باید انجام شود تا بتوان یک ساختار امنیتی را به وجود آورد، حال اگر در بعضی از موارد نتوان به ساختاری که مدنظر است، رسید. موضوع امنیت میتواند مخاطرات خود را داشته باشد. در حال حاضر شواهد اینگونه نشان میدهد که در مسائل امنیتی سایبری و در بعضی از موارد مشکلاتی وجود داشته و اتفاقاتی افتاده است. دست اندرکاران امنیت سایبری طی سالهای اخیر چه میزان به صورت جدی به دنبال ساز و کارها و اقدامات پیشگیرانه و محافظتی در این بخش بودند و از نظر امنیتی اقدامات بسیاری انجام گرفته اما اینکه چقدر به نتیجه رسیده است، باید مورد بررسی قرار بگیرد؛ به عبارتی دستاندرکاران این حوزه به دنبال ساختار امنیتی بودند و این موضوع مورد بررسی قرار داشته اما با مشکلاتی که در این حوزه پیش آمده، باید دید آیا به هدف مورد نظر دست یافته شده یا خیر. زمانی که مشکلاتی در زمینه امنیت سایبری وجود دارد، به این معناست که قطعا تعدادی موانعی هم در این بخش وجود داشته که دستاندرکاران امنیت سایبری نتواستهاند به اهداف مورد نظر برسند. هزینه یکی از ملاکهای مهم امنیت سایبری است، برای فرایند امنیت سایبری باید هزینه انجام شود؛ اگر سازمانها این هزینهها را نپردازند، قطعا در این حوزه به مشکلاتی برخواهند خورد. بخشی از هزینه هم برای این است که سازمانها مدیران لایقتری در این بخش داشته باشند زیرا در صورت نپرداختن هزینه، قطعا با مشکل مواجه خواهند شد. یکی دیگر از ملاکهای مهم در زمینه امنیت سایبری، وجود نیروهای قابل، زبده و فنی در سازمانهاست تا بتوانند بهروزرسانیهای لازم را در زمانهای لازم و مشخص انجام بدهند، اطلاعات بهروز داشته باشند و مهمتر اینکه برای پابرجا نگه داشتن ساختار امنیتی توانمند باشند. هزینه نکردن در حوزه امنیت سایبری میتواند از جمله دلایلی باشد که در نتیجه آن، سادهترین نکات امنیتی و پشتیبانگیری در فضای مجازی رعایت نشده و به آن اهمیت داده نشده است. برخی شرکتهای سرویسدهنده اینترنت و میزبانی سایت، فقط بر کمیت تمرکز کردهاند و به دنبال مشتری و ارایه سرویس بیشتر و افزایش سرورهای خود بودند، این شرکتها بیشتر به دلیل هزینههای دیگری که دارند، سعی میکنند قیمتها را پایینتر بیاورند و درنتیجه مجبورند کیفیت را کاهش بدهند و به تبع آن به کمیت اهمیت بدهند. از سوی دیگر برای اینکه در این موقعیت بتوانند با همردیفهای خود رقابت کنند، مجبورند که قیمتها را کاهش بدهند و کاهش قیمت هم دلیل بر این است که حتما کیفیت مقداری پایین آمده است. هر سازمان باید یک تیم امنیتی دایمی و مستقر در سازمان خود داشته باشد تا بتواند مرتبا مسائل امنیتی و نکات ضعف را رصد، گزارشگیری و حل کند، در این زمینه هم اگر سازمانها بخواهند تیم امنیتی قوی داشته باشند، باید در مواردی مانند آموزش و فرهنگسازی نیروها هزینه کنند. خود موضوع فرهنگسازی در مجموعهها، عامل مهمی است تا نیروهایی تربیت شوند که از نظر فنی و درک مسائل امنیتی بالا باشند و بتوانند امنیت سایبری را حفظ را کنند. سازمانهایی که از نظر امنیت سایبری به مشکل برمیخورند، احتمالا برای بخشهای خود در حوزه امنیت فناوری اطلاعات، به اندازه مورد نیاز هزینه نمیکنند. امسال در زمینه پروژه شبکه ملی اطلاعات اقداماتی در حال انجام بوده و خوب پیش میرود اما موضوعی که وجود دارد این است که در هر صورت به کمک شرکت تولیدکننده داخلی هم نیاز دارند و اگر واقعا تولیدکننده تجهیزات امنیتی و تجهیزات زیرساخت شبکه وجود داشته باشد، این موضوع کاملا پیش خواهد رفت اما به عقیده شخصی فکر میکنم تجهیزات امنیتی و زیرساختی مناسبی برای تولید داخل نداشتیم. بسیاری از شرکتها به علت نبود سرویسهای خوب در کشور به سراغ سرورهای ارزان قیمت خارجی میروند و در نتیجه به راحتی امکان هک و از دسترس خارج شدنشان وجود دارد. در این زمینه هم در داخل کشور زیرساختهایی وجود دارد اما باز هم به دلیل اینکه هزینه کردن مناسب در این بخش مقرون به صرفه نیست، چنین اتفاقی رخ میدهد. همچنین برخی این سرورهای داخلی را قبول ندارند و به سمت سرورهای خارجی میروند و در نتیجه با مشکل روبرو میشوند؛ در صورتی که در ایران هم امکان و پتانسیل آن وجود دارد. با توجه به مشکلاتی که در زمینه تحریمها وجود دارد و سایر مسائل، بودجههای موجود سازمانها، تقسیمبندی میشود و در نتیجه ممکن است بودجه لازم به امنیت سایبری و زیرساخت شبکه نرسد. به همین دلیل این موضوع هم یکی از معضلهایی است که در حال حاضر علت آن به بحث تحریمها باز میگردد. همچنین موضوع عدم بهروزرسانی نرمافزارها و وب سرویسهای حوزه امنیت سایبری، هم به کادر فنی آنها مربوط میشود زیرا بسیاری از شرکتها درحال بهروزرسانی هستند و زیرساختهای مناسبی هم دارند اما در عین حال در برخی شرکتها و سازمانها به دلیل اینکه نیرویهای فنی در این زمینه تخصص لازم ندارند و هزینهای هم برای این کار انجام نشده است، کار را به همین شکل پیش میبرند و معتقدم سایتها و سرورها با نرمافزارها و وبسرویسهای سه سال قبل کار میکنند و آنقدر هم قدیمی نیستند.