به گفته یک کارشناس، نیروی انسانی کلید ایجاد امنیت در زیرساخت های شبکه است و بدون آن حتی اگر تمام تجهیزات مناسب برای شبکه فراهم شود، تمام هزینه ها به هدر می رود.
آیدین عدالت -عضو هیات مدیره و رئیس اداره سخت افزار و ارتباطات سازمان نظام صنفی رایانه ای – در گفت وگو با ICTNN، درباره جدیت دست اندرکاران امنیت سایبری به دنبال سازوکارها و اقدامات پیشگیرانه و حفاظتی از شبکه های زیرساختی در این کشور است. سالهای اخیر؟ وی گفت: واقعیت این است که تمرکز بر امنیت کافی نیست و شاید کمتر از آنچه باید باشد. مشکل اینجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرآیندها و روش ها اجرا می شود تا با تجهیزات.
وی افزود: اشتباه عمومی مصرف کنندگان اعم از دولتی و خصوصی این است که فکر می کنند در صورت دریافت تجهیزات با کیفیت و مورد تایید، امنیت شبکه تامین می شود. به عنوان مثال اشتباهی که سال ها تکرار شده این است که تجهیزات وارداتی زیرساخت شبکه برای تست ایمنی و تایید نمونه به آزمایشگاه ها ارسال می شود اما پس از آن پیگیری برای نصب بهینه، تنظیم و اجرای صحیح فرآیندها انجام نمی شود. در یا به میزان لازم اگرچه در تمامی سازمان ها بررسی امنیت زیرساخت شبکه ضروری است و پس از ورود تجهیزات به شبکه در داخل سازمان باید به درستی نصب و تنظیم شود.
وی با بیان اینکه در سیستم های شبکه اصطلاحی به نام سخت شدن وجود دارد و زمانی که تجهیزاتی برای زیرساخت شبکه خریداری می شود باید در هنگام ورود به شبکه ابتدا سختی و مقاومت در برابر حمله خارجی انجام شود و گفت: این کار در بسیاری از موارد به درستی انجام می شود. ‘t; همچنین به دلیل تحریم ها تجهیزات و نرم افزارهای آنها به روز نمی شوند و قدیمی هستند و در نهایت این عوامل آنها را در برابر حملات جدید بسیار آسیب پذیر می کند.
عدالت با تاکید بر اینکه امنیت موضوع پرهزینه ای است، تصریح کرد: بودجه هایی که در سازمان ها وجود دارد قدیمی است و هر سال حداکثر به اندازه تورم در حال افزایش است، اما دو موضوع مهم در این زمینه وجود دارد. اول اینکه قیمت تجهیزات امنیتی در دنیا به غیر از نرخ ارز به دلیل کمبود چیپست در سه سال گذشته به دلیل بیماری کرونا بیش از سه برابر شده است.
وی ادامه داد: نکته دوم این است که در سال های اخیر به دلایل مختلف، تخصص های امنیتی و متخصصان آن در کشور ما محدود و کم بوده است، به طوری که سازمان ها از تکنسین شبکه های تخصصی انتظار دارند که فقط کارهای ابتدایی را انجام دهد و حقوق او برای مثلا 10 میلیون تومان برای تامین امنیت زیرساخت یک سایت دولتی. در حالی که حقوق این متخصص در دنیا مثلاً 5000 هزار دلار در ماه است و این با بودجه سازمان همخوانی ندارد و سازمان ها باید فردی را استخدام کنند که حقوقش 150 میلیون تومان است، اما فردی را استخدام کنند. حقوق 10 میلیون تومان است و به همین دلیل امنیت شبکه و سایت آنطور که باید تامین نمی شود.
وی با بیان اینکه نقش و میزان استفاده از کارشناسان فنی که قادر به ایمن سازی شبکه داخلی و سایت سازمان یا شرکت نیستند و از اطلاعات به روز استفاده نمی کنند در بحث امنیت سایبری بسیار مهم است، تصریح کرد: شاید مهمترین آنها موضوع بحث نیروی انسانی کلید ایجاد امنیت در زیرساخت شبکه تلقی می شود و هر چقدر هم تجهیزات مناسب در دسترس باشد، با کمبود نیروی انسانی متخصص و مناسب برای این سازمان، تمام هزینه های قبلی انجام می شود. هدر رفت
عدالت خاطرنشان کرد: به نظر من بزرگترین پاشنه آشیل امنیت سایبری در ایران بحث نیروی انسانی در حوزه فناوری اطلاعات است و باید به مشکلات این بخش توجه شود.
رئیس اداره سخت افزار و ارتباطات سازمان انفورماتیک سازمان نظام صنفی درباره عدم رعایت ساده ترین و همراه با نکات امنیتی در سال های اخیر در بحث امنیت سایبری، تصریح کرد: وضعیت زیرساخت شبکه ما به دو دلیل است. دلایل یکی ناشی از تحریم ها و دیگری به دلیل بالا بودن نرخ ارز در بخش زیرساخت ها با مشکل مواجه است. این بدان معناست که شبکه با رشد تقاضا و خدمات رشد نکرده و سرمایه گذاری لازم برای این امر صورت نگرفته است. در بسیاری از مراکز داده، سرورها و وب سایت ها، تنها هزینه های نگهداری برای زنده نگه داشتن آن انجام می شود و سرمایه گذاری کافی برای بهبود قابلیت اطمینان این سرویس وجود ندارد. بر این اساس، باید صرف خدمات پشتیبانی و تجهیزات امنیتی، تهیه سخت افزار و نرم افزار، نیروی کار و به روز نگه داشتن آنها شود.
دادگستری ادامه داد: متأسفانه در گذشته این هزینه ها انجام نشده و نه تنها تجهیزات به روز نمی شود بلکه مستهلک شده و کارایی خود را از دست می دهد. به خصوص در حوزه امنیت که هر روز حملات جدیدی با روش های جدید بروز می کند و در صورت عدم به روز رسانی متاسفانه بسیار آسیب پذیر خواهند بود.
وی خاطرنشان کرد: اتفاقی که در دنیا افتاده این است که زیرساخت های فناوری اطلاعات از ابزاری شدن به یکی از پایه های حاکمیت سازمانی تبدیل شده است اما هنوز در کشورمان به آن توجه نکرده ایم. زمانی که گنجاندن فناوری اطلاعات به عنوان یک کامپیوتر، چاپگر و یک شبکه دائمی تلقی می شد، اما اکنون فناوری اطلاعات در تار و پود همه سازمان ها نفوذ کرده و همه را به آن وابسته کرده است و می طلبد که این رشد و برجستگی در ساختار سازمانی را می توان از شرکت های بزرگ دولتی و خصوصی مشاهده کرد.
وی بیان کرد: یکی از موارد مهم این است که در هر سازمانی باید دستیار فناوری اطلاعات وجود داشته باشد اما وجود ندارد. من معتقدم موضوعی که حداقل در سازمان های دولتی نباید اتفاق بیفتد اهمیت دادن به حوزه فاوا در سطح نمایندگان مجلس است. مدیران ارشد اگر متخصصانی در سطح دستیار داشته باشند که به زیرساخت های فناورانه و امنیت آن اهمیت می دهند، قطعاً به تنهایی به این موضوع توجه می کنند و بهتر در جریان موضوع قرار می گیرند.
این کارشناس با بیان اینکه در سازمان های دولتی امنیت با امنیت ارتباط دارد، گفت: گاهی در سازمان ها یک واحد حراست وجود دارد و چون امنیت ساختار سازمانی سنتی دارد معمولا حفاظت فیزیکی، ورود و خروج افراد و نظارت حداکثری را شامل می شود. از مدار بسته بین، اما حفاظت و امنیت در حوزه فناوری اطلاعات امری پیچیده و تخصصی است و در بسیاری از موارد به طراحی زیرساخت شبکه و معماری نرم افزاری سازمان برمی گردد. لزوماً اینطور نیست که یک ساختار سازمانی نامنظم و غیراستاندارد ایجاد شود و سپس یک تیم امنیتی برای اطمینان از آن وارد شود. بنابراین خود واحد فناوری اطلاعات باید کاملاً دارای تیم امنیتی باشد و یکی از ارکان فناوری اطلاعات چه در زمینه تأمین تجهیزات، پیاده سازی و پشتیبانی، امنیت است و در کنار تعمیر و نگهداری شبکه و سایر موارد، داشتن یک کارشناس امنیتی در تیم فناوری .
عدالت در ادامه سخنان خود با اشاره به اینکه یکی از اتفاقاتی که امنیت را مختل می کند، نبود سیاست مناسب در خصوص اینترنت است، گفت: وجود شبکه ملی اطلاعات امر بسیار خوبی است و باعث کاهش هزینه ها و افزایش دسترسی می شود. و بالطبع امنیت را افزایش خواهد داد، اما متأسفانه اتفاقی که گاهی در حوزه اینترنت رخ داده است، مخصوصاً زمانی که در جای دیگری از جامعه مشکل امنیتی وجود دارد، قطع شدن پهنای باند اینترنت یا مسدود شدن و درنگ کردن سایت است. اگرچه این مشکل کاربران را به سمت استفاده از ابزاری مانند VPN سوق می دهد و استفاده از VPN نیز تمام پیش بینی ها و الزامات دیده شده در شبکه دیده شده را دور زده و دور می زند.
وی اضافه کرد: به عبارت دیگر زمانی که در یک سازمان یا در خانه تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به طور کلی الزامات معماری شبکه رعایت می شود، اما کاربر با VPN به یک سایت خارجی متصل می شود، تمام کانال هایی که برای امنیت بدن گذاشته شده اند که پنبه می شود. بنابراین، برخلاف تصور تصمیم گیرندگان و بهبود امنیت با بستن اینترنت، این مشکل در جهت عکس رخ می دهد، یعنی دسترسی به سایت های خارجی، شبکه های اجتماعی محدود یا فیلتر می شود، متاسفانه با روش های دور زدن فیلتر. امنیت بیشتر به خطر افتاده است.
وی با توجه به اینکه خدمات ایرانی خوبی نداریم و همین امر باعث می شود بسیاری از شرکت ها و سایت ها سرورهای ارزان قیمت را انتخاب کنند، گفت: خوب است که به سمت بومی سازی پیش می رویم نه بر اساس برندهای خارجی، اما باید توجه داشت. اینکه هیچ کشوری در دنیا همه چیز را به تنهایی تولید نمی کند، باید بدانیم که وقتی بحث بومی سازی و تعمیم داخلی مطرح می شود باید روی چه چیزی تمرکز کنیم. بسیاری از فناوری ها در دنیا توسط چهار یا پنج کشور ارائه می شود و اگر بخواهیم آن را بومی سازی کنیم نه اقتصادی است و نه از نظر تکنولوژی برتر.
دادگستری ادامه داد: در این زمینه باید نیازسنجی کنیم و مشخص کنیم که در کشور چه نیازی است و در مرحله بعد بررسی کنیم که کدام قطعات را می توان در داخل و کدام قطعات را از خارج تامین کرد. این واقعیت که اکنون بسیاری از کشورها به خرید تجهیزات دست دوم روی می آورند عمدتاً به دلیل هزینه است که عواقب بسیار جدی دارد زیرا هزینه های صرفه جویی شده را چندین برابر از دست می دهند. سرویسهای قدیمیتر دارای آسیبپذیریهایی هستند که اصلاح یا بهروزرسانی نشدهاند و هر سازمانی که از این سرورها استفاده میکند در برابر حملات خارجی آسیبپذیر است. این مشکلی است که باید برطرف شود، یعنی صرفاً به دلیل برابری نرخ ارز، نمیتوانیم انتظار داشته باشیم که بخش خصوصی یا ارائهدهندگان خدمات تجهیزات گرانتر خود را خریداری کنند و تجهیزات قاچاق نخرند.
وی درباره عدم تخصیص اعتبارات مناسب در حوزه امنیت زیرساخت شبکه به سازمان ها توضیح داد: این موضوع در بخش دولتی و خصوصی اهمیتی ندارد. مشکل این است که هر چه پول و سرمایه گذاری بیشتر باشد، امنیت بیشتری را می توان بهبود بخشید. وقتی سازمان پول و بودجه نداشته باشد شروع به کاهش هزینه ها می کند، نیرو تعدیل می شود یا هزینه های حاشیه ای یا جاری کاهش می یابد تا بتواند در شرایط اقتصادی رکود دوام بیاورد و یک حوزه امنیت است و متاسفانه هیچ راه حل کوتاه مدتی وجود ندارد .
ICTNN
تیم تحرریه شبکه خبری فناوری اطلاعات و ارتباطات
