یک کارشناس امنیت سایبری مطرح کرد:
اصرار بر استفاده از محصولات بومی ریسک امنیتی را افزایش میدهد
عارف ملائی، مدیر فنی یک شرکت امنیت سایبری در گفتوگو با ۲۴نیوز با تاکید بر اینکه محصولات بومی امنیت سایبری هنوز توان رقابت با نمونههای جهانی را ندارند، خاطرنشان کرد که که استفاده از محصولات و تجهیزات بومی بدون برنامهریزی، سرمایهگذاری و ایجاد محیطهای واقعی برای توسعه و آزمون میتواند به افزایش ریسکهای امنیتی منجر شود.
۱۷ روز از اختلال در خدمات بانکهای ملی، صادرات، تجارت و توسعه صادرات میگذرد و هنوز علت رسمی این رخداد اعلام نشده است. عارف مولایی، مدیر فنی گروه دادهورز جویا، معتقد است تا زمانی که گزارش فنی این حادثه منتشر نشود، نمیتوان درباره منشأ آن با قطعیت اظهار نظر کرد.
با این حال، همزمان با داغ شدن دوباره بحث تحریمها و ضرورت استفاده از محصولات بومی در حوزه امنیت سایبری، او در گفتوگو با ۲۴نیوز به ارزیابی این محصولات، موانع ارتقای امنیت سایبری، ضرورت نوسازی زیرساختها و اهمیت رعایت استانداردهای امنیتی پرداخت.
در ادامه، مشروح گفتوگوی ۲۴نیوز با عارف ملائی، مدیر فنی یک شرکت امنیت سایبری، را میخوانید.
هنوز علت اصلی اختلال اخیر بانکها مشخص نشده است. با این وجود، تا چه اندازه میتوان درباره منشأ این رخداد با اطمینان صحبت کرد؟
تا زمانی که گزارش رسمی منتشر نشود و جزئیات فنی حادثه در اختیار صاحبنظران قرار نگیرد، نمیتوان با قطعیت درباره علت اصلی این رخداد اظهار نظر کرد. ابتدا باید گزارش فنی منتشر شود تا امکان بررسی دقیق آن فراهم باشد. حتی این احتمال نیز وجود دارد که ماجرا صرفاً یک حمله هکری نبوده باشد. بنابراین، در شرایط فعلی هرگونه قضاوت درباره منشأ حادثه، زودهنگام و فاقد پشتوانه فنی است.
در روزهای اخیر دوباره بحث استفاده از محصولات بومی امنیت سایبری مطرح شده است. از نظر شما، این محصولات تا چه اندازه توان رقابت با نمونههای خارجی را دارند؟
موضوع تجهیزات بومی، بحثی گسترده و چندوجهی است. با این حال، واقعیت این است که از آنجا که مالک فناوریهای پایه و اصلی نیستیم، محصولات بومی معمولاً از نظر فناوری نسبت به نمونههای روز دنیا با فاصله مواجهاند. اگر قرار باشد این محصولات از نظر فنی با نمونههای بینالمللی رقابت کنند، شرکتهای فعال در این حوزه باید فعالیتی منسجمتر و سرمایهگذاری گستردهتری در توسعه فناوری داشته باشند.
از سوی دیگر، این شرکتها برای توسعه محصول به شرایطی پایدار و ایدهآل نیاز دارند تا بتوانند با تمرکز کافی روی تحقیق و توسعه کار کنند. علاوه بر این، دسترسی به محیطهای عملیاتی بزرگ و واقعی برای آزمایش محصولات نیز ضروری است؛ در حالی که چنین فرصتهایی در عمل بهندرت فراهم میشود. بسیاری از تولیدکنندگان و ارائهدهندگان راهکارهای بومی با منابع مالی محدود فعالیت میکنند و به همین دلیل، جذب و حفظ نیروهای متخصص برای آنها از نظر اقتصادی دشوار است.
در نتیجه، فاصله ما با فضای رقابتی جهانی افزایش یافته است. به نظر من، اگر صرفاً بر استفاده از محصولات بومی اصرار شود، ممکن است حتی آسیبپذیری بیشتری ایجاد شود، زیرا این محصولات هنوز در بسیاری از حوزهها توان رقابت کامل با نمونههای خارجی را ندارند؛ مگر آنکه از نظر زمان، بلوغ فناوری و میزان سرمایهگذاری به سطحی قابل مقایسه برسند. این موضوع بارها در ارزیابیها و آزمونهای مختلف نیز مشاهده شده است. گاهی ادعاهایی درباره توانمندی برخی محصولات مطرح میشود، اما این ادعاها در عمل و در آزمونهای فنی به اثبات نمیرسند.
بزرگترین موانع توسعه و رقابتپذیری محصولات بومی امنیت سایبری چیست؟
اگر قرار است به سمت استفاده از محصولات بومی حرکت کنیم، باید برنامهریزی دقیق و بلندمدتی برای توسعه آنها وجود داشته باشد تا از نظر فناوری بتوانند با نمونههای جهانی رقابت کنند. این موضوع اهمیت زیادی دارد. هرچند استفاده از محصولات بومی در برخی شرایط میتواند مزایایی به همراه داشته باشد، اما در بسیاری از موارد این محصولات نمیتوانند همگام با فناوریهای نوین بهروزرسانی شوند و همین مسئله ایجاب میکند تیمهای توسعه با چابکی بیشتری عمل کنند.
در نتیجه، نمیتوان صرفاً بر اساس بومی یا خارجی بودن یک محصول درباره امنیت آن قضاوت کرد. همانطور که استفاده از محصول بومی لزوماً به معنای امنیت بیشتر نیست، استفاده از محصول خارجی نیز الزاماً به معنای افزایش ریسک نیست. امنیت سایبری موضوعی بسیار پیچیدهتر از چنین قضاوتهای دوگانهای است.
اگر بخواهم بر اساس تجربه صحبت کنم، در مجموعههایی مانند شرکت خدمات انفورماتیک و شبکه بانکی، سازوکارهای امنیتی تا حدی وضعیت بهتری دارند و تا جایی که اطلاع دارم، تلاش میشود بسیاری از استانداردهای امنیتی رعایت شوند. با این حال، به نظر من مهمترین چالش، فارغ از بومی یا غیربومی بودن تجهیزات، نبود چابکی در بهروزرسانی و انطباق با فناوریهای جدید است. همین کندی در تطبیق با تحولات فناوری میتواند زمینهساز بروز چنین رخدادهایی باشد و اگر این روند ادامه پیدا کند، احتمال وقوع حوادث مشابه در آینده نیز وجود خواهد داشت.
البته این نبود چابکی خود ریشههای مختلفی دارد که یکی از مهمترین آنها، کمبود بودجه است. زمانی که منابع مالی کافی در اختیار سازمانها قرار نگیرد، امکان نوسازی زیرساختها، جذب نیروی متخصص و افزایش چابکی در سطوح مختلف نیز محدود خواهد شد. این موضوع ابعاد گستردهای دارد و از تأمین بودجه گرفته تا تدوین و اجرای راهبردهای کلان امنیت سایبری، همه در بهبود این وضعیت نقش دارند.
یکی دیگر از مباحث مطرحشده، استفاده از مینفریمهاست. بارها عنوان شده که بانکها میتوانند بهتدریج وابستگی خود را به این زیرساختها کاهش دهند و به سمت راهکارهای نوینتری مانند HCI حرکت کنند.
بحث جایگزینی مینفریمها با زیرساختهای جدید مانند HCI تا چه اندازه ضروری است؟
سالهاست بحث مهاجرت سازمانها از زیرساختهای مبتنی بر مینفریم به معماریهای نوین، از جمله HCI، مطرح میشود، اما این روند هنوز بهطور جدی محقق نشده است. فارغ از این موضوع، تجهیزات و سامانهها باید بهموقع بهروزرسانی، ارتقا و در نهایت جایگزین شوند تا به زیرساختهایی فرسوده و آسیبپذیر تبدیل نشوند.
از سوی دیگر، اگر قرار است ادعا کنیم محصولات بومی توان رقابت با نمونههای خارجی را دارند، باید پیشنیازهای آن نیز فراهم باشد. در شرایط فعلی، چنین ادعایی بیش از آنکه بر واقعیتهای فنی استوار باشد، به شعار شباهت دارد. توسعه محصولی که بتواند با نمونههای بینالمللی رقابت کند، مستلزم یک راهبرد کلان، سرمایهگذاری گسترده و صرف هزینههای قابل توجه است؛ موضوعی که تاکنون بهطور کامل محقق نشده است.
به نظر من، راهکار اصلی افزایش چابکی سازمانها، حرکت به سمت معماریهای نوین و بهروزرسانی مستمر زیرساختهاست. فناوری بهسرعت در حال تحول است و هر چند سال یکبار معماریهای جدید، رویکردهای نوین امنیت سایبری و محصولات تازهای وارد بازار میشوند. اگر سازمانها نتوانند خود را با این تغییرات همگام کنند، احتمال تکرار رخدادهای مشابه در آینده همچنان وجود خواهد داشت.
در حالی که تجهیزات IBM سالهاست تحت تحریم هستند، چرا این موضوع اکنون تا این اندازه پررنگ شده است؟
اگر بخواهیم صرفاً تحریمها را عامل اصلی این وضعیت بدانیم، با این نگاه موافق نیستم. حدود ۱۵ سال است که در این حوزه فعالیت میکنم و تجربه نشان داده هر زمان تجهیز، راهکار یا محصولی مورد نیاز باشد، با وجود تحریمها در نهایت راهی برای تأمین آن پیدا میشود و شرکتهایی نیز این فرآیند را انجام میدهند. به نظر من، بروکراسی داخلی در بسیاری از موارد بیش از خود تحریمها باعث اتلاف زمان میشود.
از سوی دیگر، واقعیت این است که بخش عمده محصولات مورد استفاده در این حوزه، بیش از ۹۰ درصد، خارجی هستند. برای مثال، آیا یک محصول داخلی امروز میتواند با استوریجهای ردهبالای Dell EMC رقابت کند؟ اگر هم قرار باشد رقیبی برای این محصولات مطرح شود، معمولاً نام NetApp به میان میآید که آن نیز یک شرکت بزرگ خارجی است. این فناوریها بهقدری پیچیده و سرمایهبر هستند که حتی فعالان داخلی این صنعت نیز میدانند ورود به این حوزه و رقابت با بازیگران جهانی، کار سادهای نیست.
اگر بخواهیم از تکرار چنین اتفاقاتی جلوگیری کنیم، چه تغییراتی در معماری، فرآیندها و رویکردهای امنیتی لازم است؟
یکی از چالشهای اصلی این است که فرآیندهایی مانند تحلیل شکاف (Gap Analysis) بهصورت منظم انجام نمیشوند. به نظر من، ممیزی امنیتی باید دستکم سالی دو بار انجام شود و پیش از آن نیز فرآیند تحلیل شکاف اجرا شود تا آسیبپذیریها و نقاط ضعف زیرساختها شناسایی و برطرف شوند. حتی اگر این ارزیابیها هر دو سال یکبار انجام شوند، باز هم بهمراتب بهتر از انجام ندادن آنهاست.
نبود چابکی، پایش مستمر و ارزیابیهای دورهای، در نهایت به بروز چنین مشکلاتی منجر میشود. ما حرف تازهای نمیزنیم؛ استانداردهای بینالمللی در این حوزه مشخص هستند و کافی است سازمانها بر اساس همان استانداردها عمل کنند.
البته این مسئله فقط به شرکت خدمات انفورماتیک محدود نمیشود. بسیاری از سازمانهای بزرگ کشور، اگر استراتژی مشخص، یکپارچگی در مدیریت امنیت و چابکی در بهروزرسانی زیرساختها را جدی بگیرند، میتوانند از وقوع بخش قابل توجهی از این حوادث پیشگیری کنند.
فناوری منتظر ما نمیماند؛ این ما هستیم که باید خود را با سرعت تحولات فناوری هماهنگ کنیم. امروز دنیا به سمت فناوریهایی مانند Micro Segmentation، معماریهای یکپارچه، استقرار سرویسها بر بستر رایانش ابری و راهکارهای نوین امنیت سایبری حرکت کرده است. در مقابل، این پرسش مطرح است که چه تعداد محصول بومی در حوزه امنیت سایبری داریم که بتوانند در این عرصه با نمونههای جهانی رقابت کنند؟ اگر چنین محصولاتی وجود دارند، لازم است توانمندی آنها بهصورت مستند و در میدان عمل نیز اثبات شود.