دیتابیس مدیریتشده ابری باعث صرفهجویی ۴۰درصدی برای کسبوکارها میشود
استفاده از خدمات ارایهدهندگان DBaaS (دیتابیس مدیریتشده ابری) برای کسبوکارهای ایرانی بهطور میانگین باعث کاهش…
۲۱ آذر ۱۴۰۳
۱۸ مرداد ۱۴۰۲
زمان مطالعه : ۶ دقیقه
مدیران امنیت سازمانهای مختلف در پنل چالشهای امنیت سایبری کشور از دید صنایع مختلف که در اختتامیه چهارمین رویداد CTB باگدشت برگزار شد، یکی از مشکلات جدی حوزه امنیت را نگهداشت نیروی انسانی با وجود سیل مهاجرت و ناتوانی در دستیابی به فناوریهای روز در تجهیزات دانستند.
به گزارش پیوست، صبح امروز (۱۸ مرداد ماه) اختتامیه چهارمین رویداد CTB (Capture the Bug) باگدشت برگزار شد. در این اختتامیه، سعید کاظمی، مدیر ارشد امنیت IT دیجی کالا در نشستی با عنوان «چالشهای امنیت سایبری کشور از دید صنایع مختلف» با بیان این که بیشتر حوادث امنیتی این پلتفرم از جنس حملات دیداس است گفت: در یک سال گذشته، تهدیدهای داخلی و مشکلات کلاهبرداری و سواستفاده از حسابهای کاربران هم وجود داشت که اغلب آنها به دلیل پسوردهای ضعیف کاربران بوده است.
او با اشاره به این که در سال گذشته از سوی گروهی که خود را وابسته به گروه هکری «انانیموس» معرفی کرده بودند اعلام شد دیتای دیجیکالا را منتشر کردهاند، گفت: در همان زمان، ما بررسی کردیم و دیدیم اصلا این دیتا متعلق به دیجیکالا نیست. البته در همین حد هم برخی شرکتها وارد عمل نمیشوند چون احتمال میدهند به نوعی حمله جدیتری انجام شود.
کاظمی با بیان اینکه به دلیل وجود دیتای آنلاین در این زمینه چالش جدی در زمینه آموزش وجود ندارد گفت: مشکل جدی بحث حفظ نیرو با وجود سیل مهاجرت است. بعضا ایدههایی وجود دارد مانند این که کسب و کارها در نقاط مختلفی از جهان نیز امکان ارائه سرویس یا ایجاد دفتر داشته باشند تا مهاجرت نیروی انسانی به آنها ضربه نزند هرچند ممکن است این برای بسیاری از کسب و کارها مقدور نباشد.
مدیر ارشد امنیت دیجیکالا راهکار پیشگیری از وقوع حملات را در بررسی رخدادهای امنیتی شرکتهای مشابه دانست و افزود: باید ببینیم در شرکتهای مشابه رخدادهای امنیتی به چه علتی رخ داده و بعد برای آن تهدیدها، کنترلهایی را که میتوان اعمال کرد بررسی کنیم. همچنان هم باید ریسک را بر مبنای دیتای واقعی ببینیم.
در ادامه این پنل، وحید خدابخشی، مدیر ریسک و امنیت شاپرک گفت: مقوله امنیت و تیمسازی در این حوزه به گونهای است که فرهنگ آن باید از بالا به پایین اشاعه پیدا کند.
او با بیان این که تعداد حملات، معیار خوبی برای بررسی وضعیت امنیت نیست درباره تغییر نگاه به مقوله امنیت در سازمانها گفت: همچنان نگاه کلان به امنیت این است که این حوزه دستوپاگیر است. اما در حوزه پرداخت بحث متفاوت است و بلوغ بالاتری ایجاد شده است. امنیت با نگاه سنتی پیشگیرانه تغییر کرده و مدیران ارشد این شرکتها میدانند که امنیت، تابآوری مجموعه را بالا میبرد.
مدیر ریسک و امنیت شاپرک ادامه داد: علت اصلی این که هنوز بسیاری از نهادها واحد امنیت ندارند به این دلیل است که نمیدانند کار حوزه امنیت چیست. امنیت مدیریت ریسک برای تداوم کسبوکار است.
خدابخشی در پاسخ به سوالی درباره مشکلات مربوط به مهاجرت منابع انسانی در حوزه امنیت گفت: در سالهای گذشته هم موضوع مهاجرت وجود داشت. شاید بیش از این که دستمزد نیروها در این موضوع اثرگذار باشد بحث بیعدالتی در سازمانها برای آنها آزاردهندهست و میتواند یکی از علل مهاجرت باشد.
او تاکید کرد: مجموعه را باید اکوسیستم زنده ببینیم. اگر الان خروجی زیاد دارد باید نیروی بیشتری تربیت شود و این امر نیاز به انسجام بین لایههای مختلف دارد.
مدیر ریسک و امنیت شاپرک در ادامه به موضوع کاهش سن نیروهای حوزه امنیت پرداخت و گفت: زمانی که من وارد شاپرک شدم، میانگین سن نیروی انسانی بخش امنیت ۳۴ سال بود و الان به ۲۲ سال رسیده است. در حال حاضر، چند نیروی ۱۸ ساله داریم که هنوز دانشگاه نرفتهاند. در واقع تابوی داشتن نیرویی با مدرک ارشد و دکتری را شکستهایم.
خدابخشی در پایان سخنان خود به نهادهای نظارتی توصیه کرد ریلهایی که قبلا گذاشته شدهاند را تخریب نکنند و درسآموختههای خود از حملات امنیتی به سیستمهای سازمانها را با دیگران به اشتراک گذارند.
او بیان کرد: یکی از کمکهای حاکمیت میتواند این باشد که دست ما را در استفاده از فناوریهای روز حوزه امنیت باز بگذارد.
حامد سنجری، مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه در این پنل گفت: مهمترین هنر مدیر امنیت این است فرهنگ امنیت و حساسیت این حوزه را برای مدیران بالادستی تبیین کند. ساختار و الزاماتی در سازمان بورس وجود دارد که باعث تسلط این سازمان بر شرکتها میشود به نوعی که هر سامانه معاملاتی که کارگزار بخواهد آن را ایجاد کند، باید از واحد امنیت سازمان بورس مجوز بگیرد با این حال باگهای زیادی وجود دارد و نشت اطلاعات هم رخ میدهد اما اگر چنین الزاماتی نبود وضعیت دشوارتر میشد.
او درباره تخلفهایی که در این حوزه انجام میشود گفت: سه کارگزاری به این دلیل که بعد از دو سال الزامات مکنا را رعایت نکردند، به کمیته تخلفات معرفی شدند. از سوی دیگر، برخی کارگزاریها هم به این دلیل که بدون مجوز معاملات الگوریتمی انجام میدادند، جریمه شدند.
سنجری ادامه داد: در حوزه امنیت معمولا سنتی برخورد میشود یعنی توصیه میشود که شرکت صد میلیارد تجهیزات بخرد تا امن شود اما راهکار ما این بوده که در الزامات در حوزه سختافزار و برندینگ دخالت نمیکنیم. شرکتها فقط ملزمند از حملات جلوگیری کنند. در حوزه امنیت، راهاندازی زیرساختها به صورت کلود هنوز جا نیفتاده است. متاسفانه بسیاری از افراد و مدیران در استخدام به دنبال این هستند که نیروهای باتجربه جذب کنند و مسئولیت را به او بسپارند که در شرایط فعلی ممکن نیست. منعطف کردن فضای کار و برگزاری دورههای آموزشی از مواردی بوده که ما در دستور کار قرار دادیم.
مدیر مرکز نظارت بر امنیت اطلاعات بازار سرمایه دلیل به اشتراک نذاشتن تجربه حملات را مربوط به ناآگاهی سازمانها از نقاط ضعفی دانست که موجب نفوذ شدهاند و افزود: لازم است تا یک سال آینده موضوع دفاع در عمق به صورت جدیتری در دستور کار واحدهای امنیت قرار گیرد.
هوشیار سبکتکین، رئیس اداره امنیت بیمهمرکزی با بیان این که در این سازمان، پیمانکارها براساس تجربه کاری انتخاب میشوند گفت: بسیاری از نیروها تغییر میکنند ولی در تامین تجهیزات و نیروی انسانی فقط میتوان به سابقه افراد و سازمانها اعتماد کرد.
او ادامه داد: در بیمه مرکزی با سیاستگذاریها و قوانین حداقلی، هیچ استارتآپی نمیتواند فعالیتی را آغاز کند مگر این که مجوز لازم را از ما اخذ کند. نباید جلوی بیزینس دوستان را گرفت اما مسئولان این کسبوکارها هم باید بدانند دیتای مهمی دارند و باید از آن حفاظت کند.
سبکتکین با بیان این که لازم است در حوزه امنیت نیروهای بیشتری جذب و تربیت شوند گفت: توجه به این حوزه باعث میشود مشکلات سایز حوزهها نیز برطرف شود.
در بخش پایانی این رویداد، رویا دهبسته، مدیرعامل باگدشت درباره تجربه خود از حضور در این پلتفرم گفت: بعد از جدا شدن از بدنه دولت و سازمانهای حاکمیتی، متوجه شدم که سینرژی و همکاری میتواند رخ دهد و ماحصل آن ایجاد باگبانتی بود. الان به نقطهای رسیدهایم که بازی برد برد ایجاد شده است.
او با تقدیر از گروه باگدشت، محصول سونار که جدیدترین محصول این گروه است را معرفی کرد و گفت: به مرور این سامانه تکمیل میشود و در اختیارهای سازمانهای دیگر نیز قرارمیگیرد.
در پایان این رویداد، از افرادی که باگهای سازمانهای اسپانسر این رویداد را شناسایی کرده بودند، تقدیر شد.