مديران امنيتي شركتهاي فناوري ايراني باور دارند شركتهاي ايراني، هزينه براي حفظ امنيت سايبري را در اولويتهاي خود قرار نميدهند. به گفته آنها هزينه در اين بخش اگر با رويكرد درستي انجام نشود، عايدياي به دنبال نخواهد داشت. به گزارش پيوست، حاضران در پنل «امنيت داده در استارتآپها چالشها و راهكارها» كه در جريان شصت و هفتمين نشست سرمايهگذاري كارايا با حمايت هلدينگ طرفهنگار و مجموعه ۱۰۰ استارتآپ برگزار شد، در مورد چالشهاي حوزه امنيت در كسبوكارهاي اقتصاد ديجيتال كشور صحبت كردند. مجتبي مددخاني در اين پنل گفت: در چند سال گذشته حملههاي زيادي به پلتفرمهاي ايراني باعث نشت دادههاي مشتريان شده است. همچنين در ميان مجموعههاي دولتي سازمان ثبت احوال، بنياد شهيد، وزارت علوم، وزارت خارجه، بانك ملت و ملي هك شدهاند. اين وضعيت نشان ميدهد اوضاع امنيت اطلاعات در كشور ما خيلي خوب نيست. وقتي بحث امنيت ميآيد همه فكر ميكنند هزينهاي است كه برگرداني ندارد. وقتي ديتا هك ميشود و هكر بابت آن پول ميخواهد سادهترين نوع هك اتفاق افتاده است. اما اگر ديتا رمزگذاري شود كسبوكار شما نابود ميشود. ممكن است هك كند و كليد را هم به شما ندهد. حتي ممكن است ديتاي بكاپ شما را هم هك كند. او ادامه داد: قانوني در اين زمينه نداريم اما كمپينهايي راه افتاده است كه به افراد اين امكان را ميدهد كه ديتاي شما را پاك كنند. برخي شركتها عضو اين كمپينها شدهاند. در برخي ديتابيسها حتي اندرويد آيدي افراد رمزنگاري نشده است. يعني اگر با يك گوشي در دو پلتفرم ثبت نام كنيد با اندرويد آيدي شناسايي ميشويد.
خلأ قانوني داريم
صابر غفاري مقدم، كارشناس رسمي قوه قضاييه در حوزه فناوري اطلاعات و اينترنت نيز گفت: متاسفانه در كشور ما نگاه به محصول امنيت، شايد اولويت آخر كسبوكارها هم باشد، چه كوچكها چه سازمانهاي تجاري بزرگ. هميشه بايد اتفاقي بيفتد تا به اهميت آن پي ببرند. او به حملههاي هكتيويسم نيز اشاره كرد و گفت: برخي حملات اخير در كشور در حوزه هكتيويسم است كه نشاندهنده نوعي اعتراض به يك جامعه و ملتي است. اين مورد كمتر شامل كسبوكارهاي خصوصي است. برخي نيز فقط براي كسب شهرت و اعتبار اين كار را انجام ميدهند. همچنين هدف عدهاي فقط باجگيري است. با نگاه به همه اينها بايد از همان ابتداي شروع كار استارتآپ به امنيت بپردازيم نه زماني كه دير شده است. او در مورد خلأهاي قانوني نيز توضيح داد: اولينبار در امريكا در حوزه امنيت سايبري قانون تصويب شد و بعد از آن در سال ۲۰۰۱ كنوانسيون بوداپست تشكيل شد. در ايران در بخش تعزيرات قانون جرايم رايانهاي احكامي آمده است. غير از آن قانون تجارت الكترونيكي نيز به دو جرمانگاري جعل و كلاهبرداري دادههاي رايانهاي اشاره كرده است اما اين قوانين كارآمد نيستند. غفاري مقدم ادامه داد: در قوانين حوزههاي امنيت نميتوان به قانوني قديمي مثل جرايم رايانهاي مصوب سال ۸۸ تكيه كرد. در اين بخش خيلي خلأ قانوني داريم. در بخش حريم خصوصي عملا قانوني نداريم مگر اينكه شكايت خصوصي صورت گيرد اما مسووليتي بر عهده نگهدارنده داده نيست. اين كارشناس امنيت در مورد لزوم تصويب قانون گفت: بايد قانون الزامآوري تصويب شود كه شركتهاي حقوقي و حقيقي ملزم به نگهداري امن دادهها شوند. با اينكه اكثر پلتفرمها در كشور ما احراز هويت نميكند بلكه ابراز هويت انجام ميدهند اما باز هم افراد آگاه ميترسند ديتاي خود را به پلتفرم اعلام كنند. او در مورد مذاكره با هكرها نيز گفت: اگر بخواهيم به موضوع قضايي نگاه كنيم، توصيه ميشود به هكر باج پرداخت نكنيم و به دنبال شناسايي او باشيم. اما مثلا اگر طرف هكتيويست باشد مذاكره كردن اشتباه است. با همه اينها مذاكره شايد يك جاهايي با رعايت اصول آن گرهگشا باشد.
هكرها براي نفوذ به سازمانهاي دولتي شركتهاي خصوصي را هك ميكنند
رويا دهبسته، نيز باور داشت رويكرد شركت براي صرف هزينههاي امنيتي اهميت دارد. او در اين باره گفت: اگر به شركت به عنوان يك سيستم نگاه نكنيم، تغيير در يك واحد را صرفا در همان واحد تحليل ميكنيم اما در واقعيت، هر تصميم كوچك در بخشهاي مختلف اثربخش است. امنيت هم همينطور است و بسته به نگاه شركت هم ميتواند تبديل به سرمايه شركت شود يا صرفا هزينه باشد. دهبسته افزود: اگر هدف از هزينه براي امنيت تنها اين باشد كه از نشت داده جلوگيري شود، به نوعي رويكرد آتشنشاني وجود دارد. اما درست اين است كه واحد امنيت براي سوددهي مجموعه كاري كند، در غير اين صورت هزينهكرد براي آن با رويكرد اشتباهي صورت گرفته است. دهبسته در مورد نفوذ به سازمانهاي دولتي با هك شركتهاي خصوصي توضيح داد: استارتآپها براي هكرها و حتي هكتيويستها اهداف جذابتري هستند. هكرها شايد حتي بدون اينكه خبرش منتشر شود به استارتآپ نفوذ ميكنند و از ديتاهاي آن براي نفوذ به جايي مثل ثبت احوال استفاده ميكنند. او در مورد مذاكره با هكر نيز گفت: خيلي در دنياي امنيت مذاكره با هكر كلاهسياه مورد قبول نيست. در مورد باجافزارها هكرها بيشتر به دنبال مذاكره هستند كه پول را بگيرند و كليد را در اختيار قرار دهند. هر چند كه براي اين مورد نيز تضميني وجود ندارد. سهراب بهروزيان، نيز در مورد اينكه امنيت، صرفا براي شركت هزينه است يا خير گفت: آيا سرمايهگذاري در قسمت حقوقي، مالي يا منابع انساني براي كسبوكار صرفا هزينه است؟ امنيت را بايد در ماژولي نگاه كنيم كه هم خدمات و هم محصولاتش گران هستند. اگر امنيت را در لايههاي مختلف مورد توجه قرار ندهيم، امنيت فقط هزينه است و عايدي ندارد. به باور او برونسپاري خدمات امنيتي ميتواند يكي از گزينههاي جدي شركتها باشد به شرطي كه بشود روي آن نظارت كرد.
