استفاده از VPNها بحران امنیت سایبری ایران را به فاجعه تبدیل کرده است
به گزارش کسپرسکی شرکت نرمافزاری امنیت و اینترنت، در ۳ سال پیاپی و تا سال…
۲۴ آبان ۱۴۰۳
۹ آبان ۱۴۰۲
زمان مطالعه : ۱۰ دقیقه
ضعف امنیت سامانهها، پلتفرمها و اپلیکیشنها که در ماههای اخیر دوباره خودنمایی کرده است، پایهای در کمبود نیروی انسانی در حوزه امنیت سایبری دارد. موضوعی که نمایندگان مجلس تلاش کردند در برنامه هفتم توسعه به آن بپردازند؛ اما کارشناسان و مدیران صنعت ICT میگویند این مشکل بیش از هرچیز به مهاجرت گستره نیروی انسانی بازمیگردد. موضوعی که ریشههای اقتصادی دارد و مقابله با آن در توان شرکتهای خصوصی نیست.
به گزارش پیوست، در حال حاضر بحران نیروی انسانی متخصص در این حوزه، معضلی است که باید چارهای برای آن اندیشیده شود. مجلس در جریان بررسی برنامه هفتم توسعه دو مصوبه در خصوص نیروهای انسانی حوزه سایبری را تصویب کرد. یکی از مصوبهها در رابطه با تربیت ۵۰۰ هزار نفر نیروی متخصص به منظور توسعه اقتصاد دیجیتال بود و دومی نیز تکلیف وزارت ارتباطات به تمهید شکلگیری اپراتورهای امنیت تشخیص صلاحیت شده برای ارائه خدمات امنیت سایبری با همکاری نهادهای امنیتی در طول برنامه هفتم.
به گفته کارشناسان چه بخش خصوصی و چه دولت ضرورت تربیت و استفاده از نیروی انسانی در حوزه امنیت سایبری را آنگونه که باید جدی نمیگیرد. ناآشنایی و بیتوجهی مدیران سنتی در راس نهادها به هشدارها و نیازمندیهای نرمافزاری، سختافزاری و آموزشی اعلام شده از سوی مسئولان امنیت سایبری نهادها، یکی دیگر از پرتکرارترین عوامل نارضایتی این نیروها و وقوع حملات سایبری است.
یکی از اصلیترین دلایل کمبود نیروی امنیت سایبری در ایران، مهاجرت نیروهای متخصص است. عاملی که هیچ نهاد و ارگانی توانایی جلوگیری از آن را ندارد چرا که دستمزد بالاتر و ثبات اقتصادی به همراه تقاضای بالای شرکتهای اروپایی برای نیروهای متخصص ایرانی، شرایطی را فراهم کرده که نیروهای متخصص به راحتی مهاجرت کرده و در شرایط مناسبی فعالیت میکنند.
در این رابطه گفت: نیروی انسانی متخصص و ماهر در تمامی زمینهها در کشورمان مهاجرت میکند و این مساله مختص به امنیت سایبری نیست. اما این زمینه در امنیت سایبری پررنگتر است. علت اصلی نیز تفاوت درآمد و حقوق نیروی انسانی در ایران و سایر کشورهاست.
او افزود: حتی اگر نیروی انسانی در کشوری دیگر دو هزار دلار حقوق بگیرد نیز به پول ملی ایران میشود ۱۰۰ میلیون تومان و قطعاً متخصصان در سازمانها و شرکتهای ایرانی چنین حقوقی را دریافت نمیکنند. از سویی دیگر جذب نیروهای متخصص امنیت سایبری نیز بسیار راحتتر از متخصصین در دیگر حوزههاست. شرکتهای خارجی با یک رزومه ساده به راحتی نیروهای امنیت سایبری را جذب کرده و بهترین امکانات را در اختیارشان قرار میدهند.
وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک با اشاره به معضل مهاجرت نیروهای نخبه گفت: مشکلات زمینهای کشور مانند معضلات اقتصادی موجب شده نیروهای متخصص کشور به فکر مهاجرت باشند. از سویی دیگر تقاضا برای نیروی کار ماهر در زمینه امنیت سایبری در دیگر کشورها به ویژه کشورهای اروپایی بسیار زیاد بوده و ویزای کاری به راحتی برای این قشر صادر میشود. تقاضا به حدی افزایش یافته که حتی نیروهای متوسط و تازهکار نیز به راحتی میتوانند با دریافت ویزای کار و تقاضای اشتغال توسط شرکتهای اروپایی، مهاجرت کنند.
حدادی، مدیرعامل بریدسامانه نیز در این باره تاکید کرد: مهاجرت در این تخصص بسیار بیشتر از سایر حوزههای تخصصی دیگر است. به هرروی مهاجرت حقیقتی است که وجود دارد. نمیتوانیم با آن مقابله کنیم.
مشکل دیگر نیروهای متخصص در حوزه امنیت سایبری، این است که نه توسط دولت و نه بنگاههای اقتصادی بخش خصوصی چنان که باید جدی گرفته نمیشوند. بسیاری از شرکتهای خصوصی تصور میکنند استخدام یک نیروی امنیت سایبری ضروری نبوده و هزینه اضافه است. از سویی دیگر هنوز این مساله که دستمزد نیروی سایبری باید بالاتر از دیگر نیروها باشد رواج نیافته است.
رویا دهبسته، مدیرعامل باگدشت گفت: به طور کلی در ایران از نیروهای متخصص امنیت سایبری حمایت نمیشود، در رابطه با آموزش نیروی زبده و ماهر در این زمینه نیز اقدامات چندانی صورت نگرفته است. از سویی دیگر در شرایط اضطراری قرار داریم و نیاز شدید به پرورش نیروی انسانی ماهر در زمینه امنیت سایبری داریم. ضرورت استفاده از نیروی متخصص در امنیت سایبری به ویژه در سازمانهای مختلف دولتی نیز به شدت احساس میشود.
او با اشاره به حقوق کم نیروهای متخصص امنیت سایبری در سازمانهای دولتی بیان کرد: حقوق نیروی انسانی در سازمانها برای نیروی کار امنیت سایبری کافی نیست و از سویی دیگر سازمانها نیز تصور میکنند که سرمایهگذاری و آموزش نیروی انسانی امنیت سایبری به صرفه نیست چراکه به زودی شرکت را ترک خواهند کرد و سرمایهگذاری هدر خواهد رفت. از سویی دیگر در زمینه امنیت سایبری نیاز داریم به نیروهای ماهر و این مساله باید جدی گرفته شود.
دهبسته با اشاره به اینکه مدیران سازمانها و کسبوکارها امنیت سایبری را جدا از کسبوکار خود میبینند، بیان کرد: مدیران تصور میکنند باید حتما ارزش افزوده و منفعت در کسب و کار ایجاد شود تا موضوع امنیت سایبری جدی گرفته شود. حوزه امنیت سایبری از کسبوکارها و محصولات جدا افتاده و در بازار امنیت سایبری دیده نشده است.
نوربخش با تایید این امر که چه سازمانهای دولتی و چه شرکتهای خصوصی حوزه امنیت سایبری را آنگونه که باید جدی نمیگیرند، بیان کرد: امنیت سایبری باید به طور مداوم بهروزرسانی شده و باگهای امنیتی رفع شود و این یک کار مستمر است که پایانی ندارد. بنابراین وجود یک متخصص سایبری به طور مداوم در شرکتها و سازمانها ضروری است اما چه سازمانهای دولتی و چه خصوصی این امر را جدی نمیگیرند.
رئیس کمیسیون تحول، نوآوری و بهرهوری اتاق بازرگانی تهران تاکید کرد: تقریبا هرماه خبرهایی از هک و حملات سایبری به سازمانهای دولتی منتشر میشود اما حتی این حملات مستمر نیز موجب نشده نهادهای دولتی آنگونه که باید امنیت سایبری و استفاده از نیروی متخصص در این زمینه را جدی بگیرند.
اما مدیر ریسک و امنیت شاپرک معتقد است که به تازگی شرکتها و نهادهای دولتی دریافتهاند که وجود نیروی امنیت سایبری تا چه حد مهم است.
وحید خدابخشی گفت: تا پیش از این، شرکتها و سازمانهای کشور اهمیت امنیت سایبری را درک نمیکردند اما اکنون مدتی است که متوجه شدهاند، امنیت سایبری و وجود نیروی متخصص در این زمینه تاچه میزان مهم است.
حدادی، مدیرعامل بریدسامانه در رابطه با این تصور شرکتها که یک نیروی فناوری اطلاعات میتواند اقدامات مربوط به امنیت سایبری را نیز انجام دهد، گفت: یک کارشناس فناوری اطلاعات نمیتواند مشکلات مربوط به امنیت سایبری را حل کند. حفاظت از امنیت محیط فناوری نیاز به متخصص ویژه و تخصصی دارد. اما ضرورت استفاده از متخصصین امنیت سایبری توسط شرکتها درک نشده است. خود امنیت سایبری هم تقسیم میشود به متخصصان مختلف. در هرحوزه باید متخصص خاص آن حوزه مورد استفاده قرار بگیرد.
بسیاری از کارشناسان امنیت سایبری نیز براین باورند که دولت اراده جدی برای تربیت نیروی انسانی به میزان کافی ندارد و از این رو، قانونگذاری و نظارت کافی برروی فعالیت آموزشگاهها ندارد.
علیرضا قهرود، مشاور، ممیز و مدرس امنیت سایبری گفت: در برنامههای قبلی نیز، لزوم تربیت سه هزار نیروی متخصص امنیت سایبری آمده بود اما زمانی که دولتها عزم راسخی ندارند، اگر در ۱۰ برنامه بعدی هم بر لزوم آموزش نیروی انسانی متخصص تاکید شود، بازهم اتفاقی رخ نخواهد داد.
او در پاسخ به اینکه تربیت نیروهای متخصص امنیت سایبری وظیفه دولت است یا شرکتهای خصوصی، بیان کرد: در دنیا دولتها سیاستگذاری کرده و شرایط تشویقی و مزایا برای آموزش نیروهای انسانی متخصص در نظر میگیرند. دولت ایران هم باید قانونگذاری کرده و برروی شیوه آموزش آموزشگاهها و المانهای وابسته و برونسپاری بخش دولتی نظارت برخط کند. در وزارت دفاع آمریکا فریمورکی داریم به نام نایس. در حوزه امنیت سایبری میتوان مشاهده کرد که در ایالتهای مختلف چه میزان موقعیت شغلی و چقدر نیروی انسانی ویژه امنیت سایبری داریم.
قهرود، مدرس سایبری با اشاره به بازار غیر اخلاقی آموزشی گفت: آموزشگاهها تنها در پی کسب درآمد هستند و آموزشهای باکیفیتی ارائه نمیکنند. به نیروهای جوان وعده میدهند که دوره امنیت سایبری را یاد بگیرند اما در عمل هزینه بالایی دریافت میکنند و آموزش اثربخشی ارائه نمیکنند. بسیاری از دانشپژوهان این آموزشگاهها حتی الفبای اولیه امنیت برای بازار کار را نیز نمیدانند و مناسب استخدام نیستند.
بسیاری از سازمانهایی که وجود نیروهای سایبری متخصص را ضروری میدانند برای تربیت نیروی انسانی متخصص هزینه میکنند، هرچند که پس از چندسال نیروی مورد نظر ممکن است از سازمان مربوطه یا حتی از کشور مهاجرت کرده و در جایی دیگر از تخصص خود استفاده کند.
خدابخشی، مدیر ریسک و امنیت شاپرک در رابطه با راهکار رفع مشکل کمبود نیروی انسانی در حوزه امنیت سایبری، گفت: ما در نظام پرداخت کشور و شاپرک، نیروهای تازهکار را تربیت کرده و از آنها استفاده میکنیم با علم به اینکه پس از چندسال و کسب تجربه، این نیرو مهاجرت خواهد کرد. اما باید تغییرات را بپذیریم تا بتوانیم نیروی مورد نیاز خود را تربیت کنیم.
او افزود: راهکار دیگر استفاده از سیستمهای اتوماسیون است. برای تشخیص و مقابله با حملات سایبری از سیستمهای اتوماسیون استفاده میکنیم که وابستگیمان را به نیروهای انسانی کمتر میکند. از سویی دیگر میتوانیم از نیروهای انسانی استفاده مفیدتری کنیم.
خدابخشی دررابطه با تاثیر هوش مصنوعی در مقابله با حملات سایبری گفت: هوش مصنوعی کمک بسیار خوبی در خودکارسازی تشخیص و مقابله با حملات سایبری میکند. با استفاده از سازوکار هوش مصنوعی، تشخیص حملات و دفع آنها بسیار سادهتر شده و شیوه کار نیز جذابتر شده است. همچنین هوش مصنوعی بخش زیادی از فعالیتهای روتین را که برای نیروی کار خستهکننده است، انجام میدهد و به این ترتیب میتوانیم از نیروی انسانی در موارد بهتری استفاده کنیم.
بسیاری از کارشناسان بر این باورند که تربیت نیروهای متخصص امنیت سایبری در شرکتها و سازمانها به حدی ضروری است که باید مرکزی مشترک توسط بخش خصوصی برای تربیت و پرورش نیروهای متخصص در حوزه سایبری تشکیل شود.
محمدرضا حدادی، مدیرعامل بریدسامانه گفت: راهکار اصلی و عملی برای رفع این مشکل این است که شرکتهای متقاضی استفاده از نیروهای متخصص امنیت سایبری گردهم آیند و مرکزی ایجاد کنند که در آن نیروهای آموزشدیده تجربه عملی پیدا کنند. مشکل اصلی دانشگاهها این است که دانشجویان تجربه عملی کسب نمیکنند و آموزشهایی که در دانشگاهها ارائه میشوند، کاربردی نیست. بسیاری از آموزشهای عملی و اصلی در دانشگاهها به دانشجویان ارائه نمیشود. باید مراکزی ایجاد کنیم که نیروهای آموزش دیده تربیت شوند، ریسکها را بشناسند، آنچه آموزش دیدهاند را به طور عملی تجربه کنند و کار تیمی را بیاموزند.
اما برخی از کارشناسان امنیت سایبری براین باورند که دوره کارآموزی گذشته و نیروی انسانی میتواند به طور عملی هرآنچه را لازم است در لابراتورهای آموزشگاهها بیاموزد.
قهرود، مدرس امنیت سایبری با رد این موضوع که نیروی انسانی آموزشدیده نیاز به کارآموزی و انجام عملی آموختههای خود دارد، بیان کرد: مدرک آموزشی موسسه و دانشگاه Edu SANS در آمریکا از دانشگاههای برتر کشورهای توسعهیافته و شناخته شده هم باارزشتر است. در حوزه فناوری اطلاعات کارآموزی بیمعناست. بیشتر آموزشگاههایی که امنیت سایبری آموزش میدهند دارای لابراتوار بوده و در آنجا فعالیتهای عملی و کارگاه محور را به دانشپژوهان باید یاد میدهند.