امنیت استارتآپها در خطر
مدیران امنیت سازمانهای مختلف در پنل چالشهای امنیت سایبری کشور، یکی از مشکلات جدی حوزه امنیت را نگهداشت نیروی انسانی با وجود سیل مهاجرت و ناتوانی در دستیابی به فناوریهای روز در تجهیزات دانستند. اختتامیه چهارمین رویداد ( CTB (Capture the Bug باگدشت برگزار شد.
در این اختتامیه، سعید کاظمی، مدیر ارشد امنیت IT در نشستی با عنوان «چالشهای امنیت سایبری کشور از دید صنایع مختلف» با بیان اینکه بیشتر حوادث امنیتی این پلتفرم از جنس حملات دیداس است، گفت: در یک سال گذشته، تهدیدهای داخلی و مشکلات کلاهبرداری و سوءاستفاده از حسابهای کاربران هم وجود داشت که اغلب آنها به دلیل پسوردهای ضعیف کاربران بوده است. کاظمی با بیان اینکه به دلیل وجود دیتای آنلاین در این زمینه چالش جدی در زمینه آموزش وجود ندارد، گفت: مشکل جدی بحث حفظ نیرو با وجود سیل مهاجرت است.
بعضا ایدههایی وجود دارد مانند اینکه کسب و کارها در نقاط مختلفی از جهان نیز امکان ارایه سرویس یا ایجاد دفتر داشته باشند تا مهاجرت نیروی انسانی به آنها ضربه نزند هرچند ممکن است این برای بسیاری از کسب و کارها مقدور نباشد. او راهکار پیشگیری از وقوع حملات را در بررسی رخدادهای امنیتی شرکتهای مشابه دانست و افزود: باید ببینیم در شرکتهای مشابه رخدادهای امنیتی به چه علتی رخ داده و بعد برای آن تهدیدها، کنترلهایی را که میتوان اعمال کرد بررسی کنیم. همچنان هم باید ریسک را بر مبنای دیتای واقعی ببینیم.
فرهنگ امنیت باید از بالا به پایین اشاعه شود
در ادامه این پنل، وحید خدابخشی، مدیر ریسک و امنیت شاپرک گفت: مقوله امنیت و تیمسازی در این حوزه به گونهای است که فرهنگ آن باید از بالا به پایین اشاعه پیدا کند. او با بیان اینکه تعداد حملات، معیار خوبی برای بررسی وضعیت امنیت نیست درباره تغییر نگاه به مقوله امنیت در سازمانها گفت: همچنان نگاه کلان به امنیت این است که این حوزه دستوپاگیر است. اما در حوزه پرداخت بحث متفاوت است و بلوغ بالاتری ایجاد شده است.
امنیت با نگاه سنتی پیشگیرانه تغییر کرده و مدیران ارشد این شرکتها میدانند که امنیت، تابآوری مجموعه را بالا میبرد. مدیر ریسک و امنیت شاپرک ادامه داد: علت اصلی اینکه هنوز بسیاری از نهادها واحد امنیت ندارند به این دلیل است که نمیدانند کار حوزه امنیت چیست. امنیت مدیریت ریسک برای تداوم کسبوکار است. خدابخشی در پاسخ به سوالی درباره مشکلات مربوط به مهاجرت منابع انسانی در حوزه امنیت گفت: در سالهای گذشته هم موضوع مهاجرت وجود داشت. شاید بیش از اینکه دستمزد نیروها در این موضوع اثرگذار باشد بحث بیعدالتی در سازمانها برای آنها آزاردهندهاست و میتواند یکی از علل مهاجرت باشد. او تاکید کرد: مجموعه را باید اکوسیستم زنده ببینیم. اگر الان خروجی زیاد دارد باید نیروی بیشتری تربیت شود و این امر نیاز به انسجام بین لایههای مختلف دارد.
مدیر ریسک و امنیت شاپرک در ادامه به موضوع کاهش سن نیروهای حوزه امنیت پرداخت و گفت: زمانی که من وارد شاپرک شدم، میانگین سن نیروی انسانی بخش امنیت ۳۴ سال بود و الان به ۲۲ سال رسیده است. در حال حاضر، چند نیروی ۱۸ ساله داریم که هنوز دانشگاه نرفتهاند. در واقع تابوی داشتن نیرویی با مدرک ارشد و دکتری را شکستهایم. خدابخشی به نهادهای نظارتی توصیه کرد ریلهایی که قبلا گذاشته شدهاند را تخریب نکنند و درسآموختههای خود از حملات امنیتی به سیستمهای سازمانها را با دیگران به اشتراک گذارند. او بیان کرد: یکی از کمکهای حاکمیت میتواند این باشد که دست ما را در استفاده از فناوریهای روز حوزه امنیت باز بگذارد.
مهمترین هنر مدیر امنیت تبیین حساسیتها برای مدیر بالادستی است
حامد سنجری، مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه در این پنل گفت: مهمترین هنر مدیر امنیت این است فرهنگ امنیت و حساسیت این حوزه را برای مدیران بالادستی تبیین کند. ساختار و الزاماتی در سازمان بورس وجود دارد که باعث تسلط این سازمان بر شرکتها میشود به نوعی که هر سامانه معاملاتی که کارگزار بخواهد آن را ایجاد کند، باید از واحد امنیت سازمان بورس مجوز بگیرد با این حال باگهای زیادی وجود دارد و نشت اطلاعات هم رخ میدهد اما اگر چنین الزاماتی نبود وضعیت دشوارتر میشد.
او درباره تخلفهایی که در این حوزه انجام میشود گفت: سه کارگزاری به این دلیل که بعد از دو سال الزامات مکنا را رعایت نکردند، به کمیته تخلفات معرفی شدند. از سوی دیگر، برخی کارگزاریها هم به این دلیل که بدون مجوز معاملات الگوریتمی انجام میدادند، جریمه شدند. سنجری ادامه داد: در حوزه امنیت معمولا سنتی برخورد میشود یعنی توصیه میشود که شرکت صد میلیارد تجهیزات بخرد تا امن شود اما راهکار ما این بوده که در الزامات در حوزه سختافزار و برندینگ دخالت نمیکنیم. شرکتها فقط ملزمند از حملات جلوگیری کنند.
در حوزه امنیت، راهاندازی زیرساختها به صورت کلود هنوز جا نیفتاده است. متاسفانه بسیاری از افراد و مدیران در استخدام به دنبال این هستند که نیروهای باتجربه جذب کنند و مسوولیت را به او بسپارند که در شرایط فعلی ممکن نیست. منعطف کردن فضای کار و برگزاری دورههای آموزشی از مواردی بوده که ما در دستور کار قرار دادیم. مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه دلیل به اشتراک نذاشتن تجربه حملات را مربوط به ناآگاهی سازمانها از نقاط ضعفی دانست که موجب نفوذ شدهاند و افزود: لازم است تا یک سال آینده موضوع دفاع در عمق به صورت جدیتری در دستور کار واحدهای امنیت قرار گیرد.
اعتماد بر مبنای سابقه
هوشیار سبکتکین، رییس اداره امنیت بیمهمرکزی با بیان اینکه در این سازمان، پیمانکارها براساس تجربه کاری انتخاب میشوند گفت: بسیاری از نیروها تغییر میکنند ولی در تامین تجهیزات و نیروی انسانی فقط میتوان به سابقه افراد و سازمانها اعتماد کرد. او ادامه داد: در بیمه مرکزی با سیاستگذاریها و قوانین حداقلی، هیچ استارتآپی نمیتواند فعالیتی را آغاز کند مگر اینکه مجوز لازم را از ما اخذ کند. نباید جلوی بیزینس دوستان را گرفت اما مسوولان این کسبوکارها هم باید بدانند دیتای مهمی دارند و باید از آن حفاظت کند. سبکتکین با بیان اینکه لازم است در حوزه امنیت نیروهای بیشتری جذب و تربیت شوند گفت: توجه به این حوزه باعث میشود مشکلات سایز حوزهها نیز برطرف شود.