در پنل «انتظارات امنیتی کاربران از پلتفرم‌ها» مطرح شد: بودجه کم و واکنش مقطعی، امنیت نمی‌سازد

به گزارش پیوست، در پنل انتظارات امنیتی کاربران از پلتفرم‌ها که در ششمین رویداد باگدشت برگزار شد، فعالان حوزه امنیت به بیان شرایط خود پس از جنگ ۱۲ روزه پرداختند. از نگاه آنها مسئله کاربران امروز دیگر صرفاً امنیت نیست. آنها راحتی در تجربه کاربری و امنیت را هم‌زمان را مدنظر دارند. در سمت مقابل، فعالان امنیت در پلتفرم‌ها، سطح زیرساخت و معماری امنیتی خود را با این رویکرد ارتقا داده‌اند. یعنی به‌گونه‌ای که کاربر حس ناخوشایندی نداشته باشد. اما در پس‌زمینه، چالش‌هایی چون مهاجرت نیرو، بودجه نامتناسب برای امنیت و آموزش ضعیف نیز به چشم می‌آید که به نظر می‌رسد مدیران فناوری باید با دیدی استراتژیک به آنها بپردازند.

تغییر در انتظارات کاربران و چرخش رویکرد پلتفرم‌ها

هلالات، مدیر امنیت فناوری اطلاعات دیجی‌کالا در این پنل گفت: کاربران اکنون انتظار ندارند صرفاً از سامانه‌ای امن استفاده کنند، بلکه می‌خواهند بدون احساس «زحمت برای امنیت» از خدمات استفاده کنند. ما در دیجی‌کالا تلاش می‌کنیم در حالی که امنیت پلتفرم را حفظ می‌کنیم، تجربه کاربری را پیچیده نکنیم. بخش عمدهٔ تغییرات در سطح بک‌اند و مانیتورینگ صورت گرفته، به گونه‌ای که کاربر متوجه آن نمی‌شود؛ با این حال داده‌های بیشتری از کاربر گرفته می‌شود تا بتوانیم امنیت را در سطحی بالاتر تضمین کنیم.

نوید حسینیان تهرانی، معاون فناوری کافه‌بازار در ادامه گفت: پیش از شروع جنگ، پروژهٔ حذف ۱۱۰ هزار اپلیکیشن که به‌روزرسانی نشده بودند یا استانداردهای امنیتی را رعایت نمی‌کردند، آغاز شد. کاربران با این اقدام موافقت نشان دادند؛ در فضایی که کاربر اندروید با مشکلات متعدد مواجه است، هدف ما حذف اپ‌هایی بود که امنیت بالایی ندارند. برخی اپ‌های ایرانی نیز با راهنمایی ما به‌روزرسانی شدند.

همچنین شهاب احمدی، مدیر فنی تارا با اشاره به حملات همیشگی که کسب‌وکارهای فین‌تکی تجربه می‌کنند گفت: جنگ این واقعیت را به ما یادآوری کرد که حملات از رگ گردن به ما نزدیک‌تر هستند؛ به‌ویژه در فین‌تک‌ها که این وضعیت را به صورت ۳۶۵ روزه تجربه می‌کنن. اهمیت داده‌ها در این میان پررنگ شد. در معماری سامانه‌ها نیاز به تجدیدنظر داریم: بکاپ ایزوله، محافظت در قبال جعل هویت و فیشینگ و تمرکز جدی‌تر بر نرم‌افزار و سخت‌افزار. مشتریان سازمانی ما، با وسواس بیشتری داده می‌دهند و ما موظفیم حتی در نبود داده‌ها، نگرش منطبق‌پذیر و راه‌حل‌محور ارائه دهیم.

مهدی زرجویی، مدیر امنیت چارگون به ابعاد مختلف امنیت در سازمان‌ها اشاره کرد و گفت: دارایی سازمان‌ها اطلاعاتی است که روی سرورها ذخیره می‌شود. پس از جنگ، گرچه سازمان‌ها ابتدا گارد گرفتند، اما اکنون تلاش می‌کنیم اعتماد بهتری ایجاد کنیم و مطمئن شویم که تمامی قواعد و استانداردها رعایت می‌شوند. در برخی سازمان‌های دولتی، دانش امنیتی به‌روز نیست؛ لذا علاوه‌بر شبکه، منابع انسانی و سخت‌افزار نیز باید تقویت شود. یکی از مهم‌ترین چالش‌ها ایجاد تعادل میان امنیت و راحتی کاربر است.

مهاجرت نیروهای متخصص و اثر آن بر امنیت

هلالات در پاسخ به این پرسش که آیا بعد از جنگ ۱۲ روزه تغییری در روند مهاجرت منابع انسانی دیجی‌کالا مشاهده شده گفت: در چند ماه گذشته، مهاجرت نیروهای امنیتی نخبه در دیجی‌کالا مشهود نبوده است.

این در حالی بود که حسینیان دیدگاه متفاوتی داشت. به گفته او، در کافه بازار و در سطح توسعه‌دهندگان بیرونی نیز، مهاجرت دیده شده و به‌ویژه پس از جنگ این روند افزایش یافته است.

همچنین احمدی در این رابطه گفت: مهاجرت پس از هر موج چالش ملی دیده می‌شود. در حوزه امنیت، حقوقی که در کشور پرداخت می‌شود معمولاً حدود ۱۰۰۰ دلار است، در حالی که همان فرد در خارج تا ۵ هزار دلار دریافت می‌کند. پس مهاجرت گزینه‌ای منطقی برای آن‌هاست. اگر شرکت نتواند رقم بالاتری بدهد، باید دیدگاهش را تغییر دهد: امنیت را سرمایه‌گذاری بداند، محیط کاری جذاب‌تر ایجاد کند، مسیر مالی بلندمدت تعریف کند و خود را آماده کند که نیرویش هر لحظه ممکن است برود؛ لذا مستندسازی، اتوماسیون، تست‌های خودکار و تحلیل مبتنی بر هوش مصنوعی ضروری است. شرکت ما در ماه‌های اخیر نیز مهاجرت داشته است.

زرجویی هم با تاکید بر اینکه روند مهاجرت وجود داشته و جنگ دوازده روزه آن را تشدید کرده گفت: در سازمان‌ها از چند سال قبل این موج دیده می‌شد و بعد از جنگ تشدید شد. وقتی توسعه‌دهنده با تجربه می‌رود، دانش او نیز می‌رود و استخدام نفر جدید با دانش کمتر زمان‌بر می‌شود. این شرایط روی کیفیت کار و افزایش سرعت آسیب‌پذیری تأثیر منفی دارد.

بلوغ امنیتی، بودجه و نقش مدیران

مدیر امنیت فناوری اطلاعات دیجی‌کالا در مورد تغییران نگاه شرکت به بخش امنیتی بعد از جنگ دوازده روزه اعلام کرد: در مرحله خوبی از بلوغ امنیتی هستیم؛ نباید منتظر وقوع حادثه باشیم تا مدیران به این بخش توجه کنند. در ساختار سازمانی، واحد امنیت به اندازه سایر واحدهای IT مهم است؛ بودجه آن نباید کمتر از دیگر بخش‌ها باشد. دیده شده که در برخی شرکت‌ها بودجه تیم توسعه دو تا سه برابر تیم امنیتی بوده است که این نادرست است.

معاون فناوری کافه‌بازار هم در این رابطه گفت: تیم پشتیبانی توسعه‌دهنده ما فعال بوده است. چالش اصلی در شرکت‌ها، کمبود آموزش در حوزه امنیت است. ضمن اینکه شرکت ما در سطح هلدینگ تفاوت بودجه داشته، اما تلاش شده کمبودی در بخش امنیت گذاشته نشود.

مدیر فنی تارا هم با انتقاد از واکنش‌های لحظه‌ای و نیاز به داشتن برنامه بلند مدت گفت: جنگ باعث شد دیدگاه‌ها نسبت به امنیت تغییر کند. معمولاً در کشور ما واکنش‌هایی صورت می‌گیرد که مقطعی است و بعد از مدتی انرژی و بودجه کاهش می‌یابد. وظیفه مدیران فناوری این است که امنیت را برای هیئت‌مدیره شفاف و قابل درک کنند؛ چراکه بسیاری از هیئت‌مدیره‌ها درکی از امنیت ندارند.

همچنین مدیر امنیت چارگون در این رابطه توضیح داد: پس از حوادث اخیر، حساسیت‌ها بیشتر شد و همکاری با سازمان‌ها نیز افزایش یافت؛ حتی در مواردی که خارج از قرارداد بود. در حوزه آموزش نیز دوره‌هایی برای ادمین‌های سازمان‌ها برگزار شده تا پیشگیرانه عمل شود. شرکت ما «رودمپ امنیتی» دارد و براساس آن پیش می‌رود؛ گواهی‌های افتا و مجوزهای مربوطه تهیه شده‌اند، اما قانع نشده‌ایم و رویکرد شرکت سرمایه‌گذاری در این حوزه است.