در گفت وگو با سیبكس بررسی شد چالش مهم امنیت سایبری در کشور به گزارش سیبکس، به اعتقاد یک کارشناس، نیروی انسانی، مهره ایجاد امنیت در زیرساخت شبکه ها به حساب می آید که با فقدان آن هرچه قدر تجهیزات مناسب هم برای شبکه فراهم گردد اما همه هزینه های انجام شده به هدر خواهد رفت. آیدین عدالت - عضو هیأت مدیره و رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی کامپیوتر ای- در گفت و گو با ایسنا، در رابطه با اینکه دست اندرکاران امنیت سایبری طی سالهای اخیر چقدر بطور جدی بدنبال سازوکارها و اقدامات پیش گیرانه و محافظتی از شبکه های زیرساختی بودند؟ اظهار داشت: واقعیت این است تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید بوده است. اشکال هم آنجاست که امنیت در زمینه فناوری اطلاعات بیشتر با فرآیندها و روش ها پیاده می شود نه با تجهیزات. وی اضافه کرد: اشتباهی که عمدتا در بین مصرف کنندگان چه دولتی و خصوصی دراین زمینه وجود دارد، این است که گمان می کنند اگر تجهیزات خوب و تأیید شده بگیرند، امنیت شبکه ها تأمین خواهد شد؛ مثلاً یک اشتباه سالهاست درحال تکرار است که تجهیزات وارداتی برای زیرساخت شبکه را برای تست امنیت و تأیید نمونه به لابراتوار ها می فرستند اما بعد از آن، دیگر پیگیری برای نصب بهینه، تنظیم و پیاده سازی فرآیندهای صحیح روی آن انجام نشده یا به حدی که لازم است تمرکزی روی آن نمی گردد. در صورتیکه لازم است در همه سازمان ها امنیت زیرساخت شبکه چک و پس از ورود تجهیزات به شبکه در داخل سازمان، به درستی نصب و تنظیم شود. او با اعلان اینکه اصطلاحی در سیستم های شبکه به نام سخت سازی وجود دارد و زمانی که تجهیزات برای زیرساخت شبکه خریداری می شود، ابتدا باید هنگام ورود به سازمان سخت سازی و مقاوم سازی در مقابل حملات بیرونی صورت گیرد، اظهار داشت: این کار در بسیاری از موارد به درستی انجام نمی شود؛ همین طور به سبب تحریم ها، تجهیزات و نرم افزارهای آنها به روز نمی شوند و قدیمی هستند و در نهایت این عوامل سبب می شود نسبت به حملات جدید بسیار صدمه پذیر باشند. عدالت با تکیه بر این که امنیت مبحث گران و هزینه بری است، تشریح کرد: بودجه هایی که در سازمان ها وجود دارد، قدیمی هستند که هر سال حداکثر به اندازه تورم رشد دارند اما دو مبحث مهم در این زمینه وجود دارد؛ اول این که قیمت تجهیزات امنیتی در دنیا، بغیر از نرخ ارز، به سبب کمبود چیپ ست طی سه سال اخیر، به سبب بیماری کرونا بیشتر از سه برابر افزایش داشته است. او افزود: نکته دوم این است که طی سال های اخیر به علل مختلف، تخصص امنیت و متخصصان آن در کشور ما هم محدود و معدود شده است، بدین سبب سازمان ها انتظار دارند یک تکنسین متخصص شبکه که فقط کارهای ابتدایی را انجام می دهد و حقوق آن به صورت مثال ۱۰ میلیون تومان است، بتواند امنیت زیرساخت یک وب سایت دولتی را تأمین کند. در صورتیکه حقوق همین متخصص در دنیا ماهیانه به صورت مثال ۵۰۰۰ هزار دلار است و این اصلا با بودجه ای که سازمان دارد، سنخیت ندارد و سازمان ها باید فردی که حقوقش ۱۵۰ میلیون تومان است را استخدام کنند اما کسی استخدام می شود که حقوقش ۱۰ میلیون تومان است و بنا بر این امنیت شبکه و سایت آنطور که باید تأمین نمی شود. وی با اعلان اینکه نقش و میزان استفاده از کارشناسان فنی که توانایی امن سازی یک شبکه و سایت داخلی سازمان یا شرکت را نداشته و از اطلاعات به روز شده ای استفاده نمی کنند، در مبحث امنیت سایبری بسیار زیاد است، اشاره کرد: شاید مهم ترین مبحث بحث نیروی انسانی است که مهره ایجاد امنیت در زیرساخت شبکه بشمار می رود و هرچه قدر هم تجهیزات مناسب فراهم باشد، با فقدان نیروی انسانی متخصص و متناسب با آن سازمان، تمام هزینه های قبلی به هدر می رود. عدالت اشاره کرد: به عقیده من بزرگ ترین پاشنه آشیل امنیت سایبری در ایران بحث نیروی انسانی در زمینه فناوری اطلاعات است و باید به مشکلات موجود در این بخش توجه گردد. رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی کامپیوتری در رابطه با عدم رعایت ساده ترین نکات امنیتی و پشتیان گیری در طول سالهای قبل در بحث امنیت سایبری، اظهار داشت: وضعیت زیر ساخت های شبکه های ما به دو دلیل یکی به سبب تحریم ها و دیگری گران شدن نرخ برای ارز در زمینه زیرساختی با مشکل مواجه است؛ یعنی شبکه با رشد تقاضا و سرویس ها رشد نکرده و سرمایه گذاری لازم برایش انجام نشده است. در خیلی از دیتاسنترها، سرورها و وب سایت ها صرفاً هزینه نگه داری برای زنده نگه داشتن آن انجام شده و به اندازه ای سرمایه گذاری نشده که قابلیت اطمینان این سرویس ارتقا پیدا کند؛ در نتیجه باید برای خدمات پشتیان گیری و تجهیزات امنیتی، تأمین سخت افزار و نرم افزار، نیروی انسانی و برای به روز رسانی آنها بصورت مستمر هزینه شود. عدالت افزود: متأسفانه این هزینه ها در گذشته انجام نشده و تجهیزات نه فقط به روز نمی شود بلکه به سمت استهلاک هم می روند و کارایی خویش را از دست می دهند. به ویژه در حوزه امنیت که هر روز حملات جدید با روش های جدید به وجود می آید و اگر بروزرسانی انجام نشود، متأسفانه بسیار صدمه پذیر خواهند بود. وی تاکید کرد: یک اتفاقی که در دنیا رخ داده این است که زیرساخت فناوری اطلاعات از حالت یک ابزار خارج شده و عملا به یکی از پایه های حکمرانی سازمانی تبدیل گشته اما در کشور ما هنوز به آن توجه نشده است. زمانی بود که شمول فناوری اطلاعات به کامپیوتر، پرینتر و این که شبکه ای سرپا باشد، لحاظ می شد اما حالا فناوری اطلاعات در تار و پود تمام سازمان ها گسترده شده و همه را به خود وابسته کرده است و این نیاز دارد که این رشد و اهمیت در ساختار سازمانی شرکت های دولتی و خصوصی بزرگ دیده شود. او اشاره کرد: یکی از موارد مورد توجه این است که در همه سازمان ها، معاونت فناوری اطلاعات وجود داشته باشد اما اینطور نیست؛ معتقدم مساله ای که باید حداقل در سازمان های دولتی اتفاق بی افتد این است که اهمیت دادن به حوزه فاوا در سطح معاونت ارتقاء پیدا کند. مدیران ارشد هم بطور قطع اگر در سطح معاونت افراد متخصصانی داشته باشند که به زیرساخت فناوری و امنیت آن اهمیت دهند، خود به خود به مبحث توجه می کنند هم آگاه تر می شوند و از نزدیک در جریان مبحث قرار می گیرند. این کارشناس با اعلان اینکه در سازمان های دولتی بحث امنیت به حراست مربوط می شود، اظهار داشت: گاها واحد حراست در سازمان ها وجود دارد و به سبب این که حراست از ساختار سازمانی سنتی برخوردار است، بطور معمول به حفاظت فیزیکی، ورود و خروج افراد و حداکثر نظارت بر دوربین های مدار بسته ورود می کند اما حراست و امنیت در زمینه فناوری اطلاعات مبحث پیچیده و تخصصی است و در خیلی از مواقع به طراحی معماری زیرساخت شبکه و نرم افزار سازمان برمی گردد. الزاما اینگونه نیست که ساختار سازمانی نامرتب و غیر استاندارد برپا و بعد تیم امنیتی آورده شود که آنرا بیمه کند. بدین سبب خود واحد فنائوری اطلاعات بطور قطع باید یک تیم امنیتی داشته باشد و یکی از ارکان فناوری اطلاعات چه در حوزه تأمین تجهیزات، پیاده سازی و پشتیبانی، امنیت است و در کنار نگه داری شبکه و دیگر موارد لازم است که متخصص امنیت در تیم فناوری هم وجود داشته باشد. عدالت در ادامه سخنانش با تکیه بر این که یکی از اتفاقات مخل امنیت، عدم سیاستگذاری درست در ارتباط با اینترنت است، اشاره کرد: این که شبکه ملی اطلاعات داشته باشیم خیلی اتفاق خوبی است و سبب کاهش هزینه و افزایش دسترسی و به طبع افزایش امنیت می شود ولی متأسفانه اتفاقی که گاها در حوزه اینترنت رخ داده بخصوص در مواقعی که مشکل امنیت در جای دیگر جامعه وجود دارد، بستن پهنای باند اینترنت، یا مسدود و محدودسازی سایت هاست؛ در صورتیکه این مساله کاربران را به سمت استفاده از ابزاری مانند وی پی ان سوق می دهد و استفاده از وی پی ان هم تمام پیش بینی ها و الزامات دیده شده در شبکه دیده شده را، میان بر زده و از آن عبور می کند. وی اضافه کرد: به عبارتی زمانی که در یک سازمان یا منزلی تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به صورت کلی الزامات در معماری شبکه رعایت شود اما کاربر با وی پی ان به یک سایت خارجی متصل شود، همه رشته هایی که برای امنیت سازمان چیده شده، پنبه می شود. بدین سبب برخلاف چیزی که شاید در ذهن تصمیم گیران وجود دارد و با بستن اینترنت امنیت ارتقاء پیدا می کند این مساله بصورت برعکس درحال رخ دادن است، یعنی هرچه قدر دسترسی به سایت های بیرونی، رسانه های اجتماعی محدود یا فیلتر شود، مـتأسفانه با روش های دور زدن فیلترینگ امنیت بیشتر به خطر می افتد. او در رابطه با این که خدمات خوب ایرانی نداریم و این سبب می شود خیلی از شرکتها و سایت ها به سراغ سرورهای ارزان بروند، اظهار داشت: این که ما به سمت بومی سازی و عدم وابستگی به برندهای خارجی حرکت نماییم، خوب است اما باید دقت شود که هیچ کشوری در دنیا نیست که همه چیز را خودش تولید نماید، باید حواسمان باشد زمانی که بحث بومی سازی و تعمیم پذیری داخلی مطرح شده باید بر چه چیزهایی تمرکز نماییم. خیلی از فناوری ها در دنیا توسط چهار و پنج کشور تأمین می شود و اگر بخواهیم آنرا بومی نماییم نه صرفه اقتصادی دارد و نه از نظر تکنولوژیک به ما برتری می دهد. عدالت افزود: دراین زمینه باید نیاز سنجی نماییم و متوجه شویم در کشور به چه مواردی نیاز است و در مرحله بعد بررسی نماییم که کدام قسمت ها را می توان در داخل تأمین نماییم و کدام قسمت ها م باید از خارج کشور تأمین نماییم. این که هم اکنون خیلی از کشورها به سمت تأمین تجهیزات دست دوم حرکت می کنند، بیشتر به سبب قیمت تمام شده است که تبعات بسیار جدی به همراه دارد چونکه چند برابر هزینه ای که صرفه جویی شده از دست می دهند. خدمات قدیمی نقاط نفوذی دارند که بسته یا بروزرسانی نشده اند و هر سازمانی که از این سرورها استفاده می نماید، در مقابل حملات خارجی صدمه پذیر است. این امر موضوعی است که باید به آن ورود شود یعنی صرفاً باتوجه به برابری نرخ ارز نمی توان انتظار داشت بخش خصوصی یا شرکت های عرضه دهنده خدمات خود به خود به سمت خرید تجهیزات گران تر بروند و تجهیزاتی که بصورت قاچاق وارد می شود را نخرند. وی در رابطه با عدم تخصیص بودجه مناسب در حوزه امنیت زیرساخت شبکه به سازمان ها توضیح داد: این مساله در قسمت دولتی یا خصوصی فرقی نمی کند؛ مساله این است که هرچه قدر هزینه و سرمایه گذاری شود، به همان میزان امنیت را می توان ارتقاء داد. وقتی سازمان پول و بودجه نداشته باشد، از یک جایی آغاز به کاهش هزینه ها می کند، نیرو تعدیل می شود یا هزینه های حاشیه ای یا جاری کاهش می یابد تا در وضعیت اقتصادی رکود بتوان دوام آورد و یکی از بخش ها امنیت است و متأسفانه چاره میان بر کوتاه مدتی ندارد. منبع: sibex.ir 1401/08/11 09:58:54 5.0 / 5 627 تگهای خبر: آنتی ویروس , ارتباطات , اینترنت , بیمه این مطلب سیبکس را پسندیدید؟ (1) (0) تازه ترین مطالب مرتبط بومی سازی ساعت اتمی برای اندازه گیری زمان با دقت صدم نانوثانیه رفع فیلترینگ به معنای رها کردن فضای مجازی نیست تماس خروجی با همکال حضور همراه اول در کیش اینوکس۱۴۰۳باهدف گسترش فرصت های سرمایه گذاری نظرات بینندگان در مورد این مطلب نظر شما در مورد این مطلب نام: ایمیل: نظر: سوال: = ۲ بعلاوه ۳