دلایل ضعف امنیت سایبری

حسن اسدی – رئیس کمیسیون شبکه سازمان نظام صنفی رایانه ای استان تهران – در گفت وگو با ICTNN، در گفت وگو با ICTNN، با بیان اینکه متخصصان امنیت سایبری در سال های اخیر چقدر جدی به دنبال سازوکارها و اقدامات پیشگیرانه و حفاظتی در این بخش هستند، اظهار کرد: از نظر ایمنی، بسیاری از … اقدامات انجام شده است، اما آنچه به دست آمده باید بررسی شود. یعنی بازیگران این رشته به دنبال ساختار امنیتی بودند و این سوال بررسی شده است اما با مشکلاتی که در این زمینه به وجود آمده باید دید آیا به هدف مورد نظر رسیده است یا خیر.

وی افزود: وقتی در حوزه امنیت سایبری مشکلاتی وجود دارد به این معناست که قطعاً در این بخش موانعی وجود داشته و فعالان امنیت سایبری نتوانسته اند به اهداف مورد نظر دست یابند.

اسدی با بیان اینکه امنیت یک فرآیند است نه یک عملیات و امنیت سایبری فرآیندی است که باید به طور کامل انجام شود تا ساختار امنیتی ایجاد شود، خاطرنشان کرد: حال اگر در مواردی نتوان به ساختار مطلوب دست یافت، ممکن است بحث امنیت ایجاد شود. خطرات خود را دارد در حال حاضر شواهد نشان می دهد که در برخی موارد مسائل و حوادث امنیتی سایبری وجود داشته است.

رئیس کمیسیون شبکه سازمان نصر تهران با بیان اینکه هزینه یکی از ملاک های مهم امنیت سایبری است، خاطرنشان کرد: برای فرآیند امنیت سایبری باید هزینه هایی متحمل شد؛ در حالی که این امر موجب شده است تا هزینه های لازم برای تامین امنیت سایبری در نظر گرفته شود. اگر سازمان ها این هزینه ها را پرداخت نکنند قطعا در این زمینه با مشکل مواجه خواهند شد. بخشی از هزینه این است که سازمان ها مدیران ماهرتری در این زمینه داشته باشند زیرا اگر هزینه را پرداخت نکنند قطعا با مشکل مواجه خواهند شد.

وی ادامه داد: همانطور که گفته شد یکی دیگر از معیارهای مهم در حوزه امنیت سایبری وجود نیروهای توانمند، نخبه و فنی در سازمان ها است تا بتوانند در مواقع ضروری و خاص، به روز رسانی های لازم را انجام دهند و به روز باشند. اطلاعات، و مهمتر از همه قادر به حفظ ساختار امنیتی است.

اسدی معتقد است بحث عدم صرف هزینه برای امنیت سایبری شاید یکی از دلایلی باشد که به همین دلیل ساده ترین نکات امنیتی و حفاظتی در فضای مجازی رعایت نمی شود و اهمیتی ندارد.

رئیس کمیسیون شبکه سازمان نصر تهران در ادامه با اشاره به اینکه برخی از شرکت‌های خدمات اینترنتی و میزبانی وب‌سایت‌ها تنها بر کمیت تمرکز کرده و به دنبال مشتری، ارائه خدمات بیشتر و افزایش سرورهای خود هستند، گفت: این شرکت‌ها عمدتاً به دلیل هزینه‌ها هستند. بقیه که دارند سعی می کنند قیمت ها را پایین بیاورند و بنابراین باید کیفیت را پایین بیاورند و در نتیجه به کمیت توجه کنند. از طرفی برای اینکه در این شرایط بتوانند با هم رده های خود رقابت کنند باید قیمت ها را کاهش دهند و کاهش قیمت دلیل بر این است که کیفیت باید کمی کاهش یافته باشد.

وی با تاکید بر اینکه هر سازمانی باید یک تیم امنیتی دائمی و مستقر در سازمان خود داشته باشد تا بتواند به طور منظم مسائل و ضعف های امنیتی را رصد، گزارش و رفع کند، تاکید کرد: در این زمینه اگر سازمان ها خواهان یک تیم امنیتی امنیت مستحکم هستند باید هزینه های لازم را در این زمینه داشته باشند. مواردی مانند آموزش و فرهنگ سازی نیروها. موضوع فرهنگ سازی در مجموعه ها خود عامل مهمی در ساخت نیروهایی است که از نظر فنی پیشرفته هستند و درک خوبی از مسائل امنیتی دارند و می توانند امنیت سایبری را حفظ کنند.

اسدی افزود: سازمان هایی که با مسائل امنیت سایبری مواجه هستند احتمالاً آنقدر که لازم است برای بخش امنیت فناوری اطلاعات خود هزینه نمی کنند.

رئیس کمیسیون شبکه سازمان نصر تهران در تشریح وضعیت فعلی شبکه ملی اطلاعات در کشور گفت: امسال اقداماتی در زمینه پروژه شبکه ملی اطلاعات در حال انجام است و به خوبی پیش می رود، اما سوال اینجاست. که در هر صورت با کمک شرکت تولید داخل که نیاز دارند و اگر واقعاً سازنده تجهیزات ایمنی و زیرساخت شبکه تجهیزات وجود داشته باشد، این مشکل حل می شود، اما به نظر شخصی من فکر می کنم به اندازه کافی نداشتیم. تجهیزات امنیتی و زیرساخت برای تولید داخلی.

وی در خصوص اینکه چرا بسیاری از شرکت ها به دلیل نبود خدمات خوب در کشور به سمت سرورهای ارزان قیمت خارجی روی می آورند و به همین دلیل هک و از دسترس خارج می شود، گفت: زیرساخت هایی در این زمینه در کشور وجود دارد اما باز هم این اتفاق می افتد. زیرا هزینه های مناسب در این بخش مقرون به صرفه نیست. همچنین برخی این سرورهای داخلی را قبول ندارند و به سمت سرورهای خارجی می روند و در نتیجه با مشکل مواجه می شوند. در صورتی که امکان و پتانسیل این امر در ایران وجود دارد.

اسدی در ادامه سخنان خود گفت: با توجه به مشکلاتی که در حوزه تحریم ها و سایر مسائل وجود دارد، بودجه های موجود سازمان ها تقسیم شده و به همین دلیل ممکن است بودجه لازم به امنیت سایبری و زیرساخت های شبکه نرسد. به همین دلیل این سوال نیز یکی از موضوعاتی است که در حال حاضر در بحث تحریم ها تکرار می شود.

رئیس کمیسیون شبکه سازمان نصر تهران در پایان سخنان خود درباره دلایل به روز نشدن نرم افزارها و وب سرویس ها در حوزه امنیت سایبری خاطرنشان کرد: بخش بزرگی از این مشکل به کادر فنی آنها مربوط می شود زیرا بسیاری از شرکت‌ها در حال به‌روزرسانی هستند و زیرساخت‌های مناسبی دارند، اما در عین حال در برخی شرکت‌ها و سازمان‌ها، چون نیروهای فنی در این زمینه تخصص لازم را ندارند و «هیچ هزینه‌ای برای این کار هزینه نشده است، به کار خود ادامه می‌دهند. به همین ترتیب، و من معتقدم که سایت ها و سرورها از سه سال پیش بر روی نرم افزار و سرویس های وب در حال اجرا هستند. و سن آنها زیاد نیست.

ICTNN