امنیت استارت‌آ‍‌پ‌ها در خطر

مدیران امنیت سازمان‌های مختلف در پنل چالش‌های امنیت سایبری کشور، یکی از مشکلات جدی حوزه امنیت را نگه‌داشت نیروی انسانی با وجود سیل مهاجرت و ناتوانی در دستیابی به فناوری‌های روز در تجهیزات دانستند. اختتامیه چهارمین رویداد ( CTB (Capture the Bug باگدشت برگزار شد.

در این اختتامیه، سعید کاظمی، مدیر ارشد امنیت IT در نشستی با عنوان «چالش‌های امنیت سایبری کشور از دید صنایع مختلف» با بیان اینکه بیشتر حوادث امنیتی این پلتفرم از جنس حملات دیداس است، گفت: در یک سال گذشته، تهدید‌های داخلی و مشکلات کلاهبرداری و سوءاستفاده از حساب‌های کاربران هم وجود داشت که اغلب آنها به دلیل پسوردهای ضعیف کاربران بوده است. کاظمی با بیان اینکه به دلیل وجود دیتای آنلاین در این زمینه چالش جدی در زمینه آموزش وجود ندارد، گفت: مشکل جدی بحث حفظ نیرو با وجود سیل مهاجرت است.

بعضا ایده‌هایی وجود دارد مانند اینکه کسب و کارها در نقاط مختلفی از جهان نیز امکان ارایه سرویس یا ایجاد دفتر داشته باشند تا مهاجرت نیروی انسانی به آنها ضربه نزند هرچند ممکن است این برای بسیاری از کسب و کارها مقدور نباشد. او راهکار پیشگیری از وقوع حملات را در بررسی رخدادهای امنیتی شرکت‌های مشابه دانست و افزود: باید ببینیم در شرکت‌های مشابه رخدادهای امنیتی به چه علتی رخ داده و بعد برای آن تهدیدها، کنترل‌هایی را که می‌توان اعمال کرد بررسی کنیم. همچنان هم باید ریسک را بر مبنای دیتای واقعی ببینیم.

    فرهنگ امنیت باید از بالا به پایین اشاعه شود

در ادامه این پنل، وحید خدابخشی، مدیر ریسک و امنیت شاپرک گفت: مقوله امنیت و تیم‌سازی در این حوزه به گونه‌ای است که فرهنگ آن باید از بالا به پایین اشاعه پیدا کند. او با بیان اینکه تعداد حملات، معیار خوبی برای بررسی وضعیت امنیت نیست درباره تغییر نگاه به مقوله امنیت در سازمان‌ها گفت: همچنان نگاه کلان به امنیت این است که این حوزه دست‌و‌پاگیر است. اما در حوزه پرداخت بحث متفاوت است و بلوغ بالاتری ایجاد شده است.

امنیت با نگاه سنتی پیشگیرانه تغییر کرده و مدیران ارشد این شرکت‌ها می‌دانند که امنیت، تاب‌آوری مجموعه را بالا می‌برد. مدیر ریسک و امنیت شاپرک ادامه داد: علت اصلی اینکه هنوز بسیاری از نهادها واحد امنیت ندارند به این دلیل است که نمی‌دانند کار حوزه امنیت چیست. امنیت مدیریت ریسک برای تداوم کسب‌وکار است. خدابخشی در پاسخ به سوالی درباره مشکلات مربوط به مهاجرت منابع انسانی در حوزه امنیت گفت: در سال‌های گذشته هم موضوع مهاجرت وجود داشت. شاید بیش از اینکه دستمزد نیروها در این موضوع اثرگذار باشد بحث بی‌عدالتی در سازمان‌ها برای آنها آزاردهنده‌است و می‌تواند یکی از علل مهاجرت باشد. او تاکید کرد: مجموعه را باید اکوسیستم زنده ببینیم. اگر الان خروجی زیاد دارد باید نیروی بیشتری تربیت شود و این امر نیاز به انسجام بین لایه‌های مختلف دارد.

مدیر ریسک و امنیت شاپرک در ادامه به موضوع کاهش سن نیروهای حوزه امنیت پرداخت و گفت: زمانی که من وارد شاپرک شدم، میانگین سن نیروی انسانی بخش امنیت ۳۴ سال بود و الان به ۲۲ سال رسیده است. در حال حاضر، چند نیروی ‌۱۸ ساله داریم که هنوز دانشگاه نرفته‌اند. در واقع تابوی داشتن نیرویی با مدرک ارشد و دکتری را شکسته‌ایم. خدابخشی به نهادهای نظارتی توصیه کرد ریل‌هایی که قبلا گذاشته شده‌اند را تخریب نکنند و درس‌آموخته‌های خود از حملات امنیتی به سیستم‌های سازمان‌ها را با دیگران به اشتراک گذارند. او بیان کرد: یکی از کمک‌های حاکمیت می‌تواند این باشد که دست ما را در استفاده از فناوری‌های روز حوزه امنیت باز بگذارد.

    مهم‌ترین هنر مدیر امنیت  تبیین حساسیت‌ها برای مدیر بالادستی است

حامد سنجری، مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه در این پنل گفت: مهم‌ترین هنر مدیر امنیت این است فرهنگ امنیت و حساسیت این حوزه را برای مدیران بالادستی تبیین کند. ساختار و الزاماتی در سازمان بورس وجود دارد که باعث تسلط این سازمان بر شرکت‌ها می‌شود به نوعی که هر سامانه معاملاتی که کارگزار بخواهد آن را ایجاد کند، باید از واحد امنیت سازمان بورس مجوز بگیرد با این حال باگ‌های زیادی وجود دارد و نشت اطلاعات هم رخ می‌دهد اما اگر چنین الزاماتی نبود وضعیت دشوارتر می‌شد.

او درباره تخلف‌هایی که در این حوزه انجام می‌شود گفت: سه کارگزاری به این دلیل که بعد از دو سال الزامات مکنا را رعایت نکردند، به کمیته تخلفات معرفی شدند. از سوی دیگر، برخی کارگزاری‌ها هم به این دلیل که بدون مجوز معاملات الگوریتمی انجام می‌دادند، جریمه شدند. سنجری ادامه داد: در حوزه امنیت معمولا سنتی برخورد می‌شود یعنی توصیه می‌شود که شرکت صد میلیارد تجهیزات بخرد تا امن شود اما راهکار ما این بوده که در الزامات در حوزه سخت‌افزار و برندینگ دخالت نمی‌کنیم. شرکت‌ها فقط ملزمند از حملات جلوگیری کنند.

در حوزه امنیت، راه‌اندازی زیرساخت‌ها به صورت کلود هنوز جا نیفتاده است. متاسفانه بسیاری از افراد و مدیران در استخدام به دنبال این هستند که نیروهای باتجربه جذب کنند و مسوولیت را به او بسپارند که در شرایط فعلی ممکن نیست. منعطف کردن فضای کار و برگزاری دوره‌های آموزشی از مواردی بوده که ما در دستور کار قرار دادیم. مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه دلیل به اشتراک نذاشتن تجربه حملات را مربوط به ناآگاهی سازمان‌ها از نقاط ضعفی دانست که موجب نفوذ شده‌اند و افزود: لازم است تا یک سال آینده موضوع دفاع در عمق به صورت جدی‌تری در دستور کار واحدهای امنیت قرار گیرد.

    اعتماد بر مبنای سابقه

هوشیار سبک‌تکین، رییس اداره امنیت بیمه‌مرکزی با بیان اینکه در این سازمان، پیمانکارها براساس تجربه کاری انتخاب می‌شوند گفت: بسیاری از نیروها تغییر می‌کنند ولی در تامین تجهیزات و نیروی انسانی فقط می‌توان به سابقه افراد و سازمان‌ها اعتماد کرد. او ادامه داد: در بیمه مرکزی با سیاست‌گذاری‌ها و قوانین حداقلی، هیچ استارت‌آپی نمی‌تواند فعالیتی را آغاز کند مگر اینکه مجوز لازم را از ما اخذ کند. نباید جلوی بیزینس دوستان را گرفت اما مسوولان این کسب‌وکارها هم باید بدانند دیتای مهمی دارند و باید از آن حفاظت کند. سبک‌تکین با بیان اینکه لازم است در حوزه امنیت نیروهای بیشتری جذب و تربیت شوند گفت: توجه به این حوزه باعث می‌شود مشکلات سایز حوزه‌ها نیز برطرف شود.