معاون فنی شرکت تپسی ضمن تاکید بر اهمیت مفهوم اعتماد در شکوفایی یک کسبوکار اینترنتی تصریح کرد: در هیچیک از کشورهای توسعهیافته یا در حال توسعه، استارتاپها وظیفه ایجاد زیرساخت را ندارند و دولت یا شرکتهای ارائهدهنده خدمات امنیتی این مسئولیت را برعهده میگیرند و استارتاپها روی توسعه کسبوکار خود تمرکز میکنند.
معاون فنی شرکت تپسی ضمن تاکید بر اهمیت مفهوم اعتماد در شکوفایی یک کسبوکار اینترنتی تصریح کرد: در هیچیک از کشورهای توسعهیافته یا در حال توسعه، استارتاپها وظیفه ایجاد زیرساخت را ندارند و دولت یا شرکتهای ارائهدهنده خدمات امنیتی این مسئولیت را برعهده میگیرند و استارتاپها روی توسعه کسبوکار خود تمرکز میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، حمید مهینی، معاون فنی شرکت تپسی، گفت: در گذشته هم شرکتها و سازمانهای دیگری اعم از دولتی و غیردولتی و بهطور مشخص بانکهای کشور مورد حملههای هکری قرار گرفتهاند؛ اما بعد از یک بازه زمانی این حادثه فراموش و فعالیتهای مجموعه یادشده ادامه مییابد. در مورد تپسی و کسبوکارهای مانند آن اما وضعیت کمی متفاوت است. محور اصلی پویایی و توسعه کسبوکارهایی مانند ما، اعتماد مشتریان است و چنانچه این اعتماد خدشه دار شود، هزینه و زمان زیادی صرف بازگرداندن اعتماد از دسترفته مشتریان خواهد شد. وی افزود: در جلسهای که با رئیس سازمان فناوری اطلاعات ایران داشتیم، به این نتیجه رسیدیم که باید با صرف قدرت، زمان و هزینه بیشتر نسبت به گذشته به موضوع امنیت اطلاعات بپردازیم. بنابراین شروع به ارائه طرح و برنامههای کوتاهمدت و بلندمدت کردیم.
معاون فنی شرکت تپسی با اشاره به درسآموزیهای این مجموعه از حمله به یکی از سرورهای جانبی این شرکت گفت: مهمترین درس آموزی مجموعه تپسی از این اتفاق که اردیبهشت ماه سال جاری اتفاق افتاد، مدیریت بحران و نحوه برخورد با افکار عمومی است. اما اگر بخواهم دقیقتر و با جزئیات بیشتری به این درس آموزها اشاره کنم، امنیت شبکه و زیرساخت، امنیت محصول ، فرهنگ و فرآیند (نهادینه کردن فرهنگ «امنیت به عهده همه»)، سه سرفصل اصلی است که بعد از حمله هکری برای خود تدوین کردیم. در بخش نخست (امنیت شبکه و زیرساخت)، سرمایهگذاری روی فایروال شبکه، گسترش فایروال وب و بهطور مشخص افزایش امنیت لایه کاربرد با پایش و مسدودسازی ترافیک HTTP فیلتر کردن محتوای خاص، کنترل متمرکز دسترسیهای مدیریتی، چکلیست انتشار و مقاومسازی سرورها و تقویت مکانیزمهای مانیتورینگ و لاگینگ، از جمله اقداماتی است که انجام شد.
مهینی ادامه داد: در بحث امنیت محصول نیز سعی کردیم با شبیهسازی حملات سایبری به سرورها به صورت منظم و مداوم (تست نفوذ)، داشتن یک چکلیست کامل از نکات ایمنی مربوط به فرآیند برنامهنویسی و شناسایی آسیبپذیری نرمافزار و کتابخانهها، اشکالات و حفرههای امنیتی را پیدا کنیم. وی افزود: سومین سرفصل و درسآموز مهم تپسی (فرهنگ و فرایند یا نهادینه کردن فرهنگ «امنیت به عهده همه»)، در ایمنسازی چرخه تولید نرمافزار و راهاندازی تیم یا کمیته امنیت خلاصه میشود. به این معنا که سیاستهای امنیتی در فرایندهای تولید نرمافزار مانند بازبینی کد و کنترل خودکار در فرایند CI/ CD اعمال میشود. همچنین فرایند مشخصی به منظور شروع یا اتمام همکاری، سیاستهای انتخاب کلمه عبور و کنترل دسترسیها در شرکت ایجاد شد.
مهینی اعلام کرد: نکتهای که لازم میدانم در اینجا به آن اشاره کنم، نقش دولت در قبال ایجاد و توسعه زیرساختهای امنیت اطلاعات در کشور است. در هیچ یک از کشورهای توسعهیافته یا در حال توسعه، استارتاپها وظیفه ایجاد زیرساخت را ندارند و نباید هم داشته باشند؛ زیرا افراد متخصص در این زمینه اندک و هزینه این کار بالا است. دولت یا شرکتهای ارائهدهنده خدمات امنیتی مانند آمازون این مسوولیت را بر عهده میگیرند و استارتآپها روی توسعه کسب و کار خود متمرکز میشوند.
وی در تشریح سلسله اقدامات برای ایجاد زیرساختهای اطلاعات امنیت در کشور گفت: به نظرم توسعه خدماترسانی مرکز داده و سرویسهای ابری مهمترین موردی است که وزارت ارتباطات و فناوری اطلاعات باید به آن توجه کند. اگر بخواهیم کمی سادهتر در این مورد صحبت کنیم، شرکتها یا مراکز ارائهدهنده سرویسها و خدمات امنیتی، باید توسعه پیدا کنند.
وی ضمن اشاره به وند مجهول پروتکلهای حقوقی و قضایی در زمان وقوع بحرانهای اطلاعاتی گفت: در روز وقوع حادثه حمله به یکی از سرورهای جانبی تپسی، پروتکل مشخصی برای ما وجود نداشت که باید به چه شخص یا ارگانی پاسخگو باشیم یا این رخداد چه عواقب حقوقی برای ما در پی خواهد داشت و آیا دولت از ما حمایت خواهد کرد و... بنابراین وزارت ارتباطات باید با هماندیشی استارتاپها، پلیس فتا، فعالان حوزه دیجیتال و... یک منشور یا دستورالعملی را مبنی بر روشن شدن روندهای حقوقی در زمان بروز چنین بحرانهای تدوین کند.
مهینی درباره استفاده از باگبانتیها برای یافتن حفرههای امنیتی و بالا بردن سطح امنیت اطلاعات استارتاپها و کسبوکارهای اینترنتی گفت: استفاده از باگبانتیها نکتهای بود که پیش از این از نگاه ما دور ماندهبود و هیچوقت آنطور که باید به آن نپرداختیم؛ اما بهطور حتم در آینده از این روش نیز بهمنظور ارتقای سطح امنیت مجموعه خود استفاده خواهیمکرد.