۱۰ آذر ۱۴۰۳
در نشست کارشناسی با حضور مدیران امنیتی چند شرکت استارتآپی مطرح شد:
هر کسی باید در نقش خودش بازی کند
در مدت کوتاهی که از سال ۹۸ گذشته، بارها خبرهایی در مورد هک و نفوذ به زیرساختهای شرکتهای استارتآپی کشور شنیده شده است که شاید مهمترین آنها در رابطه با نفوذ به اطلاعات فاکتور رانندگان تپسی و دسترسی به سورسکد سایت کافهبازار باشد. هر کدام از این شرکتها نیز تاکنون دلایل مختلفی برای بحرانهای امنیتیای که برایشان پیش آمده اعلام کردهاند؛ اما آنچه همه آنها به صورت مشخص عنوان میکنند این است که در شرایطی که شرکتهای استارتآپی تمام توانشان را برای توسعه بازار خود گذاشتهاند و در این زمینه سرعتشان برای توسعه سیستمهایشان به شکل باورنکردنی بالا میرود، اولین چیزی که قربانی میکنند امنیت است. در نشست کارشناسی پیوست با حضور مدیر فناوری شرکت تپسی، معاون مهندسی کافهبازار و مدیر امنیت زرینپال، به بررسی اهمیت یافتن موضوع امنیت در اکوسیستم شرکتهای استارتآپی کشور پرداختیم. در این نشست عوامل گوناگونی برای افزایش حملات امنیتی به شرکتهای استارتآپی اعلام شد؛ از سختی ارتباط با شرکتهای خارجی برای فراهم کردن زیرساختهای امنیتی مناسب گرفته تا قربانی شدن امنیت به خاطر توسعه بازار و نبود قانونهای شفاف در فضای امنیتی برای شرکتهای استارتآپی.
داستان نفوذ به اطلاعات رانندگان تپسی نشان داد نه تنها شرکتهای روبهرشدمان آمادگی امنیتی لازم را ندارند بلکه اکوسیستم امنیتی هم نداریم؛ یعنی اگر یک شرکت ملاحظات امنیتی را رعایت کند، ذینفعانی که با آن درگیر هستند ممکن است نکات امنیتی را به درستی رعایت نکنند. آیا در چنین شرایطی، این انتظار درستی است که فکر کنیم یک شرکت میتواند امنیت قابل قبولی برای خودش فراهم کند؟ محمدجواد ایزدی، مدیر فناوری شرکت تپسی: امنیت یک مفهوم لایهای است؛ یعنی ما لایههای مختلف امنیت داریم. استراتژی امنیتی هم همه جا به این شکل بوده که به سراغ یک لایه امنیت و تقویت آن نروید. کنترل همه لایههای امنیت در دست یک شرکت نیست. اتفاقی که برای ما افتاد به همین شکل بود؛ یعنی چون یکی از سرورهای جانبی ما در افرانت بود و فایروال این سرور برای مدتی غیرفعال شد، نفوذ اتفاق افتاد. اگر بخواهیم نگاه کلی داشته باشیم، بله، مسئولیت یک اتفاق امنیتی بیشتر متوجه آن مجموعهای است که با بحران روبهرو شده است. یک شرکت از شرکتهای مختلف دیگر برای ارائه سرویس خود خدمات دریافت میکند اما موضوع امنیتی موضوعی نیست که به عنوان یک نکته اصلی مذاکره در قراردادها در سطح سرویس مورد توجه قرار گیرد. در قراردادهای خود با شرکتهای دیگر، بیشتر بحث پایداری شبکه و ارائه سرویس باکیفیت و غیره مطرح است. در واقع ناخودآگاه بحثها بیزینسی است تا امنیتی. از طرفی در بحث تولید نرمافزار و برنامهنویسی فاصله ما با شرکتهای خارجی دیگر خیلی کمتر است ولی در بحث زیرساختها این فاصله بسیار زیاد است. در بخش زیرساختی بسیار علاقه داریم که با شرکتهای خارجی و داخلی مشاوره کنیم. تقریباً در بحث شرکتهای خارجی امکان دریافت هیچ مشاورهای را نداریم. فاصله زیادی در این زمینه وجود دارد که باید کم شود. آقای محمدی، با توجه به اینکه در این جمع زرینپال طی یک سال اخیر...