فعالان امنیت: شرکت‌ها هزینه امنیت را در اولویت خود قرار دهند

به گزارش پیوست، حاضران در پنل «امنیت داده در استارت‌آپ‌ها چالش‌ها و راهکارها» که در جریان شصت و هفتمین نشست سرمایه‌گذاری کارایا با حمایت هلدینگ طرفه‌نگار و مجموعه ۱۰۰ استارت‌آپ برگزار شد، در مورد چالش‌های حوزه امنیت در کسب‌وکارهای اقتصاد دیجیتال کشور صحبت کردند.

مجتبی مددخانی، مدیر انفورماتیک شرکت هلو در این پنل گفت: در چند سال گذشته حمله‌های زیادی به پلتفرم‌های ایرانی باعث نشت داده‌های مشتریان شده است. اسنپ‌فود، تپسی، بیمه‌ها، ماهان، ایران هاست، آروان، ایرانسل، پونیشا از این موارد هستند. همچنین در میان مجموعه‌های دولتی سازمان ثبت احوال، بنیاد شهید، وزارت علوم، وزارت خارجه، بانک ملت و ملی هک شده‌اند. این وضعیت نشان می‌دهد اوضاع امنیت اطلاعات در کشور ما خیلی خوب نیست. وقتی بحث امنیت می‌آید همه فکر می‌کنند هزینه‌ای است که برگردانی ندارد. وقتی دیتا هک می‌شود و هکر بابت آن پول می‌خواهد ساده‌ترین نوع هک اتفاق افتاده است. اما اگر دیتا رمزگذاری شود کسب‌وکار شما نابود می‌شود. ممکن است هک کند و کلید را هم به شما ندهد. حتی ممکن است دیتای بکاپ شما را هم هک کند.

مدیر انفورماتیک هلو ادامه داد: قانونی در این زمینه نداریم اما کمپین‌هایی راه افتاده است که به افراد این امکان را می‌دهد که دیتای شما را پاک کنند. برخی شرکت‌ها عضو این کمپین‌ها شده‌اند. در برخی دیتابیس‌ها حتی اندروید آی‌دی افراد رمزنگاری نشده است. یعنی اگر با یک گوشی در دو پلتفرم ثبت نام کنید با اندروید آی‌دی شناسایی می‌شوید.

خلا قانونی داریم

صابر غفاری مقدم، کارشناس رسمی قوه قضائیه در حوزه فناوری اطلاعات و اینترنت نیز گفت: متاسفانه در کشور ما نگاه به محصول امنیت، شاید اولویت آخر کسب‌وکارها هم باشد، چه کوچک‌ها چه سازمان‌های تجاری بزرگ. همیشه باید اتفاقی بیفتد تا به اهمیت آن پی ببرند.

او به حمله‌های هکتیویسم نیز اشاره کرد و گفت‌: برخی حملات اخیر در کشور در حوزه هکتیویسم است که نشان‌دهنده نوعی اعتراض به یک جامعه و ملتی است. این مورد کمتر شامل کسب‌وکارهای خصوصی است. برخی نیز فقط برای کسب شهرت و اعتبار این کار را انجام می‌دهند. همچنین هدف عده‌ای فقط باج‌گیری است. با نگاه به همه این‌ها باید از همان ابتدای شروع کار استارت‌آپ به امنیت بپردازیم نه زمانی که دیر شده است.

او در مورد خلاهای قانونی نیز توضیح داد:‌ اولین بار در آمریکا در حوزه امنیت سایبری قانون تصویب شد و بعد از آن در سال ۲۰۰۱ کنوانسیون بوداپست تشکیل شد. در ایران در بخش تعزیرات قانون جرایم رایانه‌ای احکامی آمده است. غیر از آن قانون تجارت الکترونیکی نیز به دو جرم‌انگاری جعل و کلاهبرداری داده‌های رایانه‌ای اشاره کرده است اما این قوانین کارآمد نیستند.

غفاری مقدم ادامه داد: در قوانین حوزه‌های امنیت نمی‌توان به قانونی قدیمی مثل جرایم رایانه‌ای مصوب سال ۸۸ تکیه کرد. در این بخش خیلی خلا قانونی داریم. در بخش حریم خصوصی عملا قانونی نداریم مگر اینکه شکایت خصوصی صورت گیرد اما مسئولیتی بر عهده نگهدارنده داده نیست.

این کارشناس امنیت در مورد لزوم تصویب قانون گفت: باید قانون الزام‌آوری تصویب شود که شرکت‌های حقوقی و حقیقی ملزم به نگهداری امن داده‌ها شوند. با اینکه اکثر پلتفرم‌ها در کشور ما احراز هویت نمی‌کند بلکه ابراز هویت‌ انجام می‌دهند اما باز هم افراد آگاه می‌ترسند دیتای خود را به پلتفرم اعلام کنند.

او در مورد مذاکره با هکرها نیز گفت: اگر بخواهیم به موضوع قضایی نگاه کنیم، توصیه می‌شود به هکر باج پرداخت نکنیم و به دنبال شناسایی او باشیم. اما مثلا اگر طرف هکتیویست باشد مذاکره کردن اشتباه است. با همه اینها مذاکره شاید یک جاهایی با رعایت اصول آن گره‌گشا باشد.

هکرها برای نفوذ به سازمان‌های دولتی، شرکت‌های خصوصی را هک می‌کنند

رویا دهبسته، مدیرعامل پلتفرم خدمات امنیتی باگدشت نیز باور داشت رویکرد شرکت برای صرف هزینه‌های امنیتی اهمیت دارد. او در این باره گفت: اگر به شرکت به عنوان یک سیستم نگاه نکنیم، تغییر در یک واحد را صرفا در همان واحد تحلیل می‌کنیم اما در واقعیت، هر تصمیم کوچک در بخش‌های مختلف اثربخش است. امنیت هم همینطور است و بسته به نگاه شرکت هم می‌تواند تبدیل به سرمایه شرکت شود یا صرفا هزینه باشد.

دهبسته افزود: اگر هدف از هزینه برای امنیت تنها این باشد که از نشت داده جلوگیری شود، به نوعی رویکرد آتش‌نشانی وجود دارد. اما درست این است که واحد امنیت برای سوددهی مجموعه کاری کند، در غیر این صورت هزینه‌کرد برای آن با رویکرد اشتباهی صورت گرفته است.

دهبسته در مورد نفوذ به سازمان‌های دولتی با هک شرکت‌های خصوصی توضیح داد: استارت‌آپ‌ها برای هکرها و حتی هکتیویست‌ها اهداف جذاب‌تری هستند. هکرها شاید حتی بدون اینکه خبرش منتشر شود به استارت‌آپ نفوذ می‌کنند و از دیتاهای آن برای نفوذ به جایی مثل ثبت احوال استفاده می‌کنند.

او در مورد مذاکره با هکر نیز گفت: خیلی در دنیای امنیت مذاکره با هکر کلاه‌سیاه مورد قبول نیست. در مورد باج‌افزارها هکرها بیشتر به دنبال مذاکره هستند که پول را بگیرند و کلید را در اختیار قرار دهند. هر چند که برای این مورد نیز تضمینی وجود ندارد.

سهراب بهروزیان، مدیر ارشد زیرساخت و امنیت گروه دیجی‌کالا نیز در مورد اینکه امنیت، صرفا برای شرکت هزینه است یا خیر گفت: آیا سرمایه‌گذاری در قسمت حقوقی، مالی یا منابع انسانی برای کسب‌وکار صرفا هزینه است؟ امنیت را باید در ماژولی نگاه کنیم که هم خدمات و هم محصولاتش گران هستند. اگر امنیت را در لایه‌های مختلف مورد توجه قرار ندهیم، امنیت فقط هزینه است و عایدی ندارد.

به باور او برون‌سپاری خدمات امنیتی می‌تواند یکی از گزینه‌های جدی شرکت‌ها باشد به شرطی که بشود روی آن نظارت کرد.