فعالان امنيت: شركت‌ها هزينه امنيت را در اولويت خود قرار دهند

مديران امنيتي شركت‌هاي فناوري ايراني باور دارند شركت‌هاي ايراني، هزينه براي حفظ امنيت سايبري را در اولويت‌هاي خود قرار نمي‌دهند. به گفته آنها هزينه در اين بخش اگر با رويكرد درستي انجام نشود، عايدي‌اي به دنبال نخواهد داشت. به گزارش پيوست، حاضران در پنل «امنيت داده در استارت‌آپ‌ها چالش‌ها و راهكارها» كه در جريان شصت و هفتمين نشست سرمايه‌گذاري كارايا با حمايت هلدينگ طرفه‌نگار و مجموعه ۱۰۰ استارت‌آپ برگزار شد، در مورد چالش‌هاي حوزه امنيت در كسب‌وكارهاي اقتصاد ديجيتال كشور صحبت كردند. مجتبي مددخاني در اين پنل گفت: در چند سال گذشته حمله‌هاي زيادي به پلتفرم‌هاي ايراني باعث نشت داده‌هاي مشتريان شده است. همچنين در ميان مجموعه‌هاي دولتي سازمان ثبت احوال، بنياد شهيد، وزارت علوم، وزارت خارجه، بانك ملت و ملي هك شده‌اند. اين وضعيت نشان مي‌دهد اوضاع امنيت اطلاعات در كشور ما خيلي خوب نيست. وقتي بحث امنيت مي‌آيد همه فكر مي‌كنند هزينه‌اي است كه برگرداني ندارد. وقتي ديتا هك مي‌شود و هكر بابت آن پول مي‌خواهد ساده‌ترين نوع هك اتفاق افتاده است. اما اگر ديتا رمزگذاري شود كسب‌وكار شما نابود مي‌شود. ممكن است هك كند و كليد را هم به شما ندهد. حتي ممكن است ديتاي بكاپ شما را هم هك كند. او ادامه داد: قانوني در اين زمينه نداريم اما كمپين‌هايي راه افتاده است كه به افراد اين امكان را مي‌دهد كه ديتاي شما را پاك كنند. برخي شركت‌ها عضو اين كمپين‌ها شده‌اند. در برخي ديتابيس‌ها حتي اندرويد آي‌دي افراد رمزنگاري نشده است. يعني اگر با يك گوشي در دو پلتفرم ثبت نام كنيد با اندرويد آي‌دي شناسايي مي‌شويد.

خلأ قانوني داريم

صابر غفاري مقدم، كارشناس رسمي قوه قضاييه در حوزه فناوري اطلاعات و اينترنت نيز گفت: متاسفانه در كشور ما نگاه به محصول امنيت، شايد اولويت آخر كسب‌وكارها هم باشد، چه كوچك‌ها چه سازمان‌هاي تجاري بزرگ. هميشه بايد اتفاقي بيفتد تا به اهميت آن پي ببرند. او به حمله‌هاي هكتيويسم نيز اشاره كرد و گفت‌: برخي حملات اخير در كشور در حوزه هكتيويسم است كه نشان‌دهنده نوعي اعتراض به يك جامعه و ملتي است. اين مورد كمتر شامل كسب‌وكارهاي خصوصي است. برخي نيز فقط براي كسب شهرت و اعتبار اين كار را انجام مي‌دهند. همچنين هدف عده‌اي فقط باج‌گيري است. با نگاه به همه اينها بايد از همان ابتداي شروع كار استارت‌آپ به امنيت بپردازيم نه زماني كه دير شده است. او در مورد خلأهاي قانوني نيز توضيح داد: اولين‌بار در امريكا در حوزه امنيت سايبري قانون تصويب شد و بعد از آن در سال ۲۰۰۱ كنوانسيون بوداپست تشكيل شد. در ايران در بخش تعزيرات قانون جرايم رايانه‌اي احكامي آمده است. غير از آن قانون تجارت الكترونيكي نيز به دو جرم‌انگاري جعل و كلاهبرداري داده‌هاي رايانه‌اي اشاره كرده است اما اين قوانين كارآمد نيستند. غفاري مقدم ادامه داد: در قوانين حوزه‌هاي امنيت نمي‌توان به قانوني قديمي مثل جرايم رايانه‌اي مصوب سال ۸۸ تكيه كرد. در اين بخش خيلي خلأ قانوني داريم. در بخش حريم خصوصي عملا قانوني نداريم مگر اينكه شكايت خصوصي صورت گيرد اما مسووليتي بر عهده نگهدارنده داده نيست. اين كارشناس امنيت در مورد لزوم تصويب قانون گفت: بايد قانون الزام‌آوري تصويب شود كه شركت‌هاي حقوقي و حقيقي ملزم به نگهداري امن داده‌ها شوند. با اينكه اكثر پلتفرم‌ها در كشور ما احراز هويت نمي‌كند بلكه ابراز هويت‌ انجام مي‌دهند اما باز هم افراد آگاه مي‌ترسند ديتاي خود را به پلتفرم اعلام كنند. او در مورد مذاكره با هكرها نيز گفت: اگر بخواهيم به موضوع قضايي نگاه كنيم، توصيه مي‌شود به هكر باج پرداخت نكنيم و به دنبال شناسايي او باشيم. اما مثلا اگر طرف هكتيويست باشد مذاكره كردن اشتباه است. با همه اينها مذاكره شايد يك جاهايي با رعايت اصول آن گره‌گشا باشد.

هكرها براي نفوذ به سازمان‌هاي دولتي  شركت‌هاي خصوصي را هك مي‌كنند

رويا دهبسته، نيز باور داشت رويكرد شركت براي صرف هزينه‌هاي امنيتي اهميت دارد. او در اين باره گفت: اگر به شركت به عنوان يك سيستم نگاه نكنيم، تغيير در يك واحد را صرفا در همان واحد تحليل مي‌كنيم اما در واقعيت، هر تصميم كوچك در بخش‌هاي مختلف اثربخش است. امنيت هم همين‌طور است و بسته به نگاه شركت هم مي‌تواند تبديل به سرمايه شركت شود يا صرفا هزينه باشد. دهبسته افزود: اگر هدف از هزينه براي امنيت تنها اين باشد كه از نشت داده جلوگيري شود، به نوعي رويكرد آتش‌نشاني وجود دارد. اما درست اين است كه واحد امنيت براي سوددهي مجموعه كاري كند، در غير اين صورت هزينه‌كرد براي آن با رويكرد اشتباهي صورت گرفته است. دهبسته در مورد نفوذ به سازمان‌هاي دولتي با هك شركت‌هاي خصوصي توضيح داد: استارت‌آپ‌ها براي هكرها و حتي هكتيويست‌ها اهداف جذاب‌تري هستند. هكرها شايد حتي بدون اينكه خبرش منتشر شود به استارت‌آپ نفوذ مي‌كنند و از ديتاهاي آن براي نفوذ به جايي مثل ثبت احوال استفاده مي‌كنند. او در مورد مذاكره با هكر نيز گفت: خيلي در دنياي امنيت مذاكره با هكر كلاه‌سياه مورد قبول نيست. در مورد باج‌افزارها هكرها بيشتر به دنبال مذاكره هستند كه پول را بگيرند و كليد را در اختيار قرار دهند. هر چند كه براي اين مورد نيز تضميني وجود ندارد. سهراب بهروزيان، نيز در مورد اينكه امنيت، صرفا براي شركت هزينه است يا خير گفت: آيا سرمايه‌گذاري در قسمت حقوقي، مالي يا منابع انساني براي كسب‌وكار صرفا هزينه است؟ امنيت را بايد در ماژولي نگاه كنيم كه هم خدمات و هم محصولاتش گران هستند. اگر امنيت را در لايه‌هاي مختلف مورد توجه قرار ندهيم، امنيت فقط هزينه است و عايدي ندارد. به باور او برون‌سپاري خدمات امنيتي مي‌تواند يكي از گزينه‌هاي جدي شركت‌ها باشد به شرطي كه بشود روي آن نظارت كرد.