محصولات بومی به‌سختی پاسخگوی نیازهای امنیتی سازمان‌ها هستند

در دنیای امروز، حملات سایبری به یکی از تهدیدات جدی برای امنیت کشورها تبدیل شده است. ایران نیز به دلیل موقعیت ژئوپلیتیکی خاص خود، همواره هدف این‌گونه حملات بوده است. در گفت‌وگو با مدیرعامل شرکت نرم‌افزاری امن‌پرداز، دلایل اصلی بروز این حملات، میزان آمادگی سازمان‌ها در مقابله با این تهدیدات و نقش تولیدات بومی در تقویت امنیت سایبری کشور بررسی شده است.

عباس حسینی بیش از یک دهه تجربه فعال در اکوسیستم امنیت سایبری را دارد و به تولید نرم‌افزارهای امنیتی می‌پردازد. گفت‌وگوی او را در ادامه بخوانید:

به نظر شما اصلی‌ترین دلیل بروز حملات سایبری در کشور چیست؟

بهتر است میان حمله سایبری با تهدیدات امنیتی در داده تفاوت‌هایی قائل شویم. حمله زمانی رخ می‌دهد که میان دو گروه یا دو کشور تخاصم و دشمنی وجود داشته باشد و درنهایت عملیات هجوم از سوی یکی از طرفین رخ دهد. برای مثال وقتی ارتش سایبری یک کشور به زیرساخت‌های سایبری کشوری دیگر هجوم ببرد و بخواهد آسیب بزند درواقع حمله سایبری رخ داده است؛ بنابراین یک زورآزمایی نرم به‌حساب می‌آید. چند سالی می‌شود که عبارت جنگ‌های سایبری در روابط دیپلماتیک کشورها عنوان شده است و می‌توان جنگ‌های سایبری را پیش‌زمینه جنگ‌های فیزیکی دانست.

علت به وجود آمدن حملات سایبری اغلب تعارضات سیاسی و اختلافات ژئوپلیتیکی و در کل مسائل کلان سیاسی کشورها است که درنهایت روابط میان آن‌ها را به آستانه جنگ سایبری می‌کشاند. ایران ‌هم به دلیل موقعیت ژئوپلیتیکی، در معرض حملات و تهدیدات سایبری زیادی از سوی برخی کشورهایی است که با آن‌ها تعارضات سیاسی دارد.

... و کدام عامل به دشمن انگیزه می‌دهد که حمله سایبری خود را تدارک ببیند؟

به اعتقاد من، نقاط ضعف و آسیب‌پذیری‌ها و عدم پرداختن صحیح به تأمین امنیت سازمان‌ها، زمینه اصلی حمله دشمنان است؛ چراکه دشمن و یا هر گروه متخاصم دیگر از این طریق به‌راحتی می‌تواند ضربه بزند و نفوذ کند.

در جنگ سایبری تنها نفوذ به سیستم‌های امنیتی مطرح نیست در اصل هدف دشمن، تسلیم کردن کشور مورد هجوم قرار گرفته در مقابل خواسته‌های خودش است. نفوذ معمولاً در مراحل قبل از جنگ اتفاق می‌افتد و نفوذگران شرایط را برای یک حمله سایبری فراهم می‌کنند. آن‌ها با جمع‌آوری اطلاعات و شناخت از مطرح است ما وقتی حمله صورت می‌گیرد در حقیقت قصد حمله‌کننده و تصمیم آن سازمانی است که به آن حمله می‌شود.

ارزیابی شما از میزان آمادگی سازمان‌ها نسبت به تهدیدات و حملات سایبری چیست و چرا خسارات حملات سایبری در کشور ما بالاست؟  

یکی از مهم‌ترین عواملی که در آسیب‌پذیری سایبری سازمان‌ها اثرگذار است، فقدان استاندارد مشخص در بحث به‌کارگیری فناوری‌های جدید است. درواقع هیچ قید و شرطی برای استفاده از فناوری‌های جدید برای سازمان‌ها وجود ندارد. تجربه نشان داده است که در برخی موارد استفاده از یک فناوری جدید بدون هیچ سازوکار و استاندارد مشخص خود منجر به بروز یک تهدید امنیتی می‌شود و آسیب‌پذیری سازمانی را بالا می‌برد. هنوز هیچ استاندارد مشخصی برای کاربرد فناوری‌های سخت‌افزاری و نرم‌افزاری جدید تدوین نشده است که در راستای حفظ امنیت سازمان‌ها باشد و هر فناوری که در دنیا مطرح می‌شود و بدون دستورالعمل مشخص و بدون در نظر گرفتن آسیب‌های امنیتی در کشور مورداستفاده قرار می‌گیرد. این اتفاق به دلیل مطرح نبودن سرمایه‌گذاری‌های خصوصی، در سازمان‌های دولتی بیشتر رخ می‌دهد.

دلیلش چیست؟

تبلیغات بازرگانی و تجاری از فناوری‌های نوین، به‌قدری در مدیران و تصمیم‌گیران اثرگذار است که در اغلب موارد تهدیدات امنیتی این فناوری‌ها در نظر گرفته نمی‌شود. در این شرایط الزام شکل‌گیری یک رگولاتوری فناورانه به‌شدت احساس می‌شود به‌گونه‌ای که بر اساس یک سازوکار مشخص ارزیابی ریسک داشته باشیم. با توجه به بروز برخی چالش‌های امنیتی که ممکن در اثر استفاده از فناوری‌هایی رخ دهد که از کشورهای متخاصم تولید شده است، نباید خود را وابسته آن‌ها کنیم. می‌توان برخی از فناوری‌ها را از کشورهایی که متخاصم نیستند و اتفاقاً کیفیت بالایی هم دارند استفاده کرد اما معمولاً در پس‌زمینه ذهنی همه فعالان در عرصه فناوری اطلاعات این است که محصولات آمریکایی و اروپایی از درجه کیفی بالاتری برخوردارند.

با توجه به اینکه به‌کارگیری فناوری‌های روز در سازمان‌ها مستلزم وجود نیروی متخصص و آموزش‌دیده است تا چه میزان نیروی انسانی موجود پاسخگوی نیازهای سازمانی است؟  

شاید در چند دهه گذشته با یک آموزش حداقلی یک فرد در جایگاه اپراتور مرتبط با آن فناوری قرار می‌گرفت، اما امروز اغلب کالاهای فناورانه نیازمند یک نیروی متخصص هستند. هرچقدر فناوری جدید باشد کاربرد آن‌هم پیچیده‌تر می‌شود بنابراین نیروی انسانی نیازمند آموزش بیشتری است از طرفی هم هرچه فناوری به‌روزتر می‌شود امکانات آن فناوری برای کنترل کاربر بیشتر می‌شود درواقع کار به‌جایی رسیده است که فناوری‌ها انسان را کنترل می‌کند تا اینکه انسان بخواهد آن را در زیر سیطره خود داشته باشد. درنتیجه تسلط نیروی انسانی به‌منظور کار با آن فناوری یک شرط لازم است. متأسفانه نیروی انسانی کافی در اختیار سازمان‌ها نیست و همین امر موجب بروز مشکلات امنیتی می‌شود.  

درواقع شمار زیادی از آسیب‌های امنیتی به دلیل عدم استفاده درست و اصولی از محصولات خارجی است.

برای مثال پیکره‌بندی‌های ابتدایی، به‌روز نشدن‌ و لو رفتن نام کاربری و رمز عبور در بسیاری موارد از کانال استفاده از محصولات خارجی به بدنه امنیتی یک سازمان آسیب زده است. یکی دیگر از چالش‌های این حوزه مشخص نبودن وظایف و اختیارات افراد و تصمیم‌گیران است. همین دلیل موجب شده است که از تکامل باز بماند. باید وظایف و اختیارات در سازمان‌ها دقیق‌تر و شفاف‌سازی شود. در کل پیشرفت امنیت سایبری در کشور باید به بخش خصوصی واگذار شود.

نقش تولیدات بومی در کاهش خطراتی نظیر استفاده از محصولات خارجی و تهدیدات حاصل از آن و کمبود نیروی انسانی متخصص چقدر است و چقدر در جهت پاسخگویی به نیازهای امنیتی کشور به کار گرفته می‌شوند؟

 به اعتقاد من تاکنون اساساً به صنعت بومی امنیت سایبری در کشور کم‌توجهی شده است. زمان آن رسیده است که در یک رقابت جهانی قرار بگیریم اما این رقابت نباید تنها در تولید محصولات خلاصه شود بلکه باید در اندیشه‌ها رقابت کرد؛ یعنی باید بدانیم که جامعه جهانی کدام نقطه را در امنیت سایبری متصور است و ما هم به همان نقطه بیندیشیم و برای رسیدن به آن برنامه‌ریزی کنیم. متأسفانه با وجود تحریم‌ها و منع واردات محصولات خارجی و ضعف در نیروی انسانی محصولات بومی پاسخگوی نیازهای امنیتی سازمان‌ها نبودند.

ازنظر شما ارتقای کیفی محصولات بومی چه روندی دارد؟

ازآنجاکه تولیدات بومی در امنیت سایبری بخش‌های مختلفی دارد باید دید کدام محصول و بخش موردنیاز اکوسیستم سایبری کشور است. آن دسته از محصولاتی که سازمان‌ها نیاز جدی‌تری به آن‌ها داشتند و از طرفی تحت نظارت‌های شدیدتری از سوی رگولاتورهایی نظیر افتا و سازمان پدافند غیرعامل قرار گرفتند، با کیفیت بسیار قابل قبولی تولید شدند و بالعکس هرچقدر محصولات فانتزی تر و جانبی‌تر بوده‌اند، بازار نیاز کمتری به آن داشت. معمولاً این محصولات در اکوسیستم امنیت سایبری کشور و به‌عنوان یک نیاز حیاتی شناخته نشده‌اند و عمق تولید در آن‌ها وجود ندارد؛ بنابراین در وهله نخست باید محصولات موردنیاز به تعمق تولید برسند و بعد نظارت‌های مؤثر اعمال شود.

شما آینده را چگونه ارزیابی می‌کنید؟

به‌طورکلی راهبرد خروج از برخی بحران‌های سایبری در کشور توجه به تولیدات بومی است و راه دومی وجود ندارد. اگر خواهان ارتقای تخصص در نیروی انسانی هستیم، باید تولیدات بومی بیشتری داشته باشیم و اگر می‌خواهیم تحریم‌ها را از سر راه کشور برداریم، باید توان تولید را بالا ببریم. بی‌شک تحریم زمانی بی‌اثر می‌شود که تولید جوابگوی نیازها باشد. در این شرایط دیگر تحریم معنا ندارد. تأمین امنیت سازمانی هم از تولید می‌‎گذرد؛ اما برای تولید نیازمند یک نقشه راه هستیم درواقع باید بدانیم که در یک دهه یا دو دهه آینده نیازمند چه میزان از تولیدی هستیم. ازآنجایی‌که هر صنعتی دارای یک ساختار تدریجی و تکاملی است، بنابراین اگر قرار است در ایران تولیدات بومی امنیت سایبری شکل بگیرد باید بر اساس یک نقشه راه جلو برویم.

آیا چنین نقشه‌ای وجود دارد؟

 من تاکنون ندیدم که یک نقشه راه مدونی وجود داشته باشد اما برخی مدیران از تولید حمایت می‌کنند و نقش محصولات داخلی در اکوسیستم امنیت سایبری کشور را ارزشمند می‌دانند. بی‌شک تدوین این سند کار ساده‌ای نیست و نباید آن را به بخش دولتی واگذار کرد. در این نقشه راه حفظ تعادل در اجزای اکوسیستم امنیت سایبری باید به‌عنوان یک موضوع مهم تلقی شود. همچنین فضای فنی این اکوسیستم باید از یک قاعده‌ای برخوردار باشد تا بتوانیم با محصولات روز رقابت کنیم. باید بتوان حداقل نیازها را رفع کنیم و برای حداکثر رساندن توانمان برنامه‌ریزی داشته باشیم.