واحدهای امنیت سازمان‌ها با مهاجرت منابع انسانی و گرانی تجهیزات چه می‌کنند؟

به گزارش پیوست، صبح امروز (۱۸ مرداد ماه) اختتامیه چهارمین رویداد CTB (Capture the Bug) باگدشت برگزار شد. در این اختتامیه، سعید کاظمی، مدیر ارشد امنیت IT دیجی کالا در نشستی با عنوان «چالش‌های امنیت سایبری کشور از دید صنایع مختلف» با بیان این که بیشتر حوادث امنیتی این پلتفرم از جنس حملات دیداس است گفت: در یک سال گذشته،  تهدید‌های داخلی و مشکلات کلاهبرداری و سواستفاده از حساب‌های کاربران هم وجود داشت که اغلب آنها به دلیل پسوردهای ضعیف کاربران بوده است.

او با اشاره به این که در سال گذشته از سوی گروهی که خود را وابسته به گروه هکری «انانیموس» معرفی کرده بودند اعلام شد دیتای دیجیکالا را منتشر کرده‌اند، گفت: در همان زمان، ما بررسی کردیم و دیدیم اصلا این دیتا متعلق به دیجی‌کالا نیست. البته در همین حد هم برخی شرکت‌ها وارد عمل نمی‌شوند چون احتمال می‌دهند به نوعی حمله جدی‌تری انجام شود.

کاظمی با بیان اینکه به دلیل وجود دیتای آنلاین در این زمینه چالش جدی در زمینه آموزش وجود ندارد گفت: مشکل جدی بحث حفظ نیرو با وجود سیل مهاجرت است. بعضا ایده‌هایی وجود دارد مانند این که کسب و کارها در نقاط مختلفی از جهان نیز امکان ارائه سرویس یا ایجاد دفتر داشته باشند تا مهاجرت نیروی انسانی به آنها ضربه نزند هرچند ممکن است این برای بسیاری از کسب و کارها مقدور نباشد.

مدیر ارشد امنیت دیجی‌کالا راهکار پیشگیری از وقوع حملات را در بررسی رخدادهای امنیتی شرکت‌های مشابه دانست و افزود: باید ببینیم در شرکت‌های مشابه رخدادهای امنیتی به چه علتی رخ داده و بعد برای آن تهدیدها، کنترل‌هایی را که می‌توان اعمال کرد بررسی کنیم. همچنان هم باید ریسک را بر مبنای دیتای واقعی ببینیم.

فرهنگ امنیت باید از بالا به پایین اشاعه شود

در ادامه این پنل، وحید خدابخشی، مدیر ریسک و امنیت شاپرک گفت: مقوله امنیت و تیم‌سازی در این حوزه به گونه‌ای است که فرهنگ آن باید از بالا به پایین اشاعه پیدا کند.

او با بیان این که تعداد حملات، معیار خوبی برای بررسی وضعیت امنیت نیست درباره تغییر نگاه به مقوله امنیت در سازمان‌ها گفت: همچنان نگاه کلان به امنیت این است که این حوزه دست‌و‌پاگیر است. اما در حوزه پرداخت بحث متفاوت است و بلوغ بالاتری ایجاد شده است. امنیت با نگاه سنتی پیشگیرانه تغییر کرده و مدیران ارشد این شرکت‌ها می‌دانند که امنیت، تاب‌آوری مجموعه را بالا می‌برد.

مدیر ریسک و امنیت شاپرک ادامه داد: علت اصلی این که هنوز بسیاری از نهادها واحد امنیت ندارند به این دلیل است که نمی‌دانند کار حوزه امنیت چیست. امنیت مدیریت ریسک برای تداوم کسب‌وکار است.

خدابخشی در پاسخ به سوالی درباره مشکلات مربوط به مهاجرت منابع انسانی در حوزه امنیت گفت: در سال‌های گذشته هم موضوع مهاجرت وجود داشت. شاید بیش از این که دستمزد نیروها در این موضوع اثرگذار باشد بحث بی‌عدالتی در سازمان‌ها برای آنها آزاردهنده‌ست و می‌تواند یکی از علل مهاجرت باشد.

او تاکید کرد: مجموعه را باید اکوسیستم زنده ببینیم. اگر الان خروجی زیاد دارد باید نیروی بیشتری تربیت شود و این امر نیاز به انسجام بین لایه‌های مختلف دارد.

مدیر ریسک و امنیت شاپرک در ادامه به موضوع کاهش سن نیروهای حوزه امنیت پرداخت و گفت: زمانی که من وارد شاپرک شدم، میانگین سن نیروی انسانی بخش امنیت ۳۴ سال بود و الان به ۲۲ سال رسیده است. در حال حاضر، چند نیروی ‌۱۸ ساله داریم که هنوز دانشگاه نرفته‌اند. در واقع تابوی داشتن نیرویی با مدرک ارشد و دکتری را شکسته‌ایم.

خدابخشی در پایان سخنان خود به نهادهای نظارتی توصیه کرد ریل‌هایی که قبلا گذاشته شده‌اند را تخریب نکنند و درس‌آموخته‌های خود از حملات امنیتی به سیستم‌های سازمان‌ها را با دیگران به اشتراک گذارند.

او بیان کرد: یکی از کمک‌های حاکمیت می‌تواند این باشد که دست ما را در استفاده از فناوری‌های روز حوزه امنیت باز بگذارد.

مهم‌ترین هنر مدیر امنیت، تبیین حساسیت‌ها برای مدیر بالادستی است

حامد سنجری، مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه در این پنل گفت: مهم‌ترین هنر مدیر امنیت این است فرهنگ امنیت و حساسیت این حوزه را برای مدیران بالادستی تبیین کند. ساختار و الزاماتی در سازمان بورس وجود دارد که باعث تسلط این سازمان بر شرکت‌ها می‌شود به نوعی که هر سامانه معاملاتی که کارگزار بخواهد آن را ایجاد کند، باید از واحد امنیت سازمان بورس مجوز بگیرد با این حال باگ‌های زیادی وجود دارد و نشت اطلاعات هم رخ می‌دهد اما اگر چنین الزاماتی نبود وضعیت دشوارتر می‌شد.

او درباره تخلف‌هایی که در این حوزه انجام می‌شود گفت: سه کارگزاری به این دلیل که بعد از دو سال الزامات مکنا را رعایت نکردند، به کمیته تخلفات معرفی شدند. از سوی دیگر، برخی کارگزاری‌ها هم به این دلیل که بدون مجوز معاملات الگوریتمی انجام می‌دادند، جریمه شدند.

سنجری ادامه داد: در حوزه امنیت معمولا سنتی برخورد می‌شود یعنی توصیه می‌شود که شرکت صد میلیارد تجهیزات بخرد تا امن شود اما راهکار ما این بوده که در الزامات در حوزه سخت‌افزار و برندینگ دخالت نمی‌کنیم. شرکت‌ها فقط ملزمند از حملات جلوگیری کنند. در حوزه امنیت، راه‌اندازی زیرساخت‌ها به صورت کلود هنوز جا نیفتاده است. متاسفانه بسیاری از افراد و مدیران در استخدام به دنبال این هستند که نیروهای باتجربه جذب کنند و مسئولیت را به او بسپارند که در شرایط فعلی ممکن نیست. منعطف کردن فضای کار و برگزاری دوره‌های آموزشی از مواردی بوده که ما در دستور کار قرار دادیم.

مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه دلیل به اشتراک نذاشتن تجربه حملات را مربوط به ناآگاهی سازمان‌ها از نقاط ضعفی دانست که موجب نفوذ شده‌اند و افزود: لازم است تا یک سال آینده موضوع دفاع در عمق به صورت جدی‌تری در دستور کار واحدهای امنیت قرار گیرد.

اعتماد بر مبنای سابقه

هوشیار سبک‌تکین، رئیس اداره امنیت بیمه‌مرکزی با بیان این که در این سازمان، پیمانکارها براساس تجربه کاری انتخاب می‌شوند گفت: بسیاری از نیروها تغییر می‌کنند ولی در تامین تجهیزات و نیروی انسانی فقط می‌توان به سابقه افراد و سازمان‌ها اعتماد کرد.

او ادامه داد: در بیمه مرکزی با سیاستگذاری‌ها و قوانین حداقلی، هیچ استارت‌آپی نمی‌تواند فعالیتی را آغاز کند مگر این که مجوز لازم را از ما اخذ کند. نباید جلوی بیزینس دوستان را گرفت اما مسئولان این کسب‌وکارها هم باید بدانند دیتای مهمی دارند و باید از آن حفاظت کند.

سبک‌تکین با بیان این که لازم است در حوزه امنیت نیروهای بیشتری جذب و تربیت شوند گفت: توجه به این حوزه باعث می‌شود مشکلات سایز حوزه‌ها  نیز برطرف شود.

در بخش پایانی این رویداد، رویا دهبسته، مدیرعامل باگدشت درباره تجربه خود از حضور در این پلتفرم گفت: بعد از جدا شدن از بدنه دولت و سازمان‌های حاکمیتی، متوجه شدم که سینرژی و همکاری می‌تواند رخ دهد و ماحصل آن ایجاد باگ‌بانتی بود. الان به نقطه‌ای رسیده‌ایم که بازی برد برد ایجاد شده است.

او با تقدیر از گروه باگدشت، محصول سونار که جدید‌ترین محصول این گروه است را معرفی کرد و گفت: به مرور این سامانه تکمیل می‌شود و در اختیارهای سازمان‌های دیگر نیز قرارمی‌گیرد.

در پایان این رویداد، از افرادی که باگ‌های سازمان‌های اسپانسر این رویداد را شناسایی کرده بودند، تقدیر شد.