يکشنبه ۲ دی ۱۴۰۳ , 22 Dec 2024
جالب است ۰
استاکس‌نت؛ نقطه عطفی برای امنیت سایبری جهان

با کمبود شدید متخصصان امنیت سایبری مواجه‌ایم

عضو هیئت‌علمی پژوهشگاه ارتباطات و فناوری اطلاعات عقیده دارد که استاکس‌نت یک نقطه‌ عطف در تاریخ حملات سایبری جهان بود که حتی سایر کشورها توجه‌شان به این نکته جلب شد که چگونه ممکن است مورد یک حمله‌ سیستماتیک قرار بگیرند و زیرساخت‌هایشان آسیب جدی ببینند.
اختصاصی افتانا: عضو هیئت‌علمی پژوهشگاه ارتباطات و فناوری اطلاعات عقیده دارد که استاکس‌نت یک نقطه‌ عطف در تاریخ حملات سایبری جهان بود که حتی سایر کشورها توجه‌شان به این نکته جلب شد که چگونه ممکن است مورد یک حمله‌ سیستماتیک قرار بگیرند و زیرساخت‌هایشان آسیب جدی ببینند.

به گفته دکتر محمدحسام تدین، عضو هیئت‌علمی پژوهشگاه ارتباطات و فناوری اطلاعات، استاکس‌نت یک نقطه‌ عطف در تاریخ حملات سایبری جهان بود که حتی سایر کشورها توجه‌شان به این نکته جلب شد که چگونه ممکن است مورد یک حمله‌ سیستماتیک قرار بگیرند و زیرساخت‌هایشان آسیب جدی ببینند. او معتقد است که بزرگ‌ترین چالش امنیت سایبری کشور به موضوع کمبود شدید نیروی انسانی و ضعف در آموزش حرفه‌ای نیروی انسانی برمی‌گردد و لازم است که در کشور ما هم، مانند بسیاری نقاط جهان، استانداردهای آموزشی و سرفصل‌های به‌روز در حوزه آموزش و آگاهی‌رسانی جامعه از بخش عمومی تا سطح تخصصی اعمال شود تا بتوانیم ار سطح خطرات امنیت سایبری در کشور بکاهیم.


مهم‌ترین رویداد امنیتی سال ۱۴۰۱ از نظر شما چیست؟
از مهم‌ترین حوادث سایبری کشور اطلاع ندارم، ولی می‌توان به بعضی از مهم‌ترین آنها در جهان اشاره داشت. حمله‌ای در ۱۷ ژانویه ۲۰۲۲ رخ داد و تقریباً ۵۰۰ کیف پول ارزهای دیجیتال را هدف قرار داد. در این مورد، هکرها تقریباً ۱۸ میلیون دلار بیت‌کوین و ۱۵ میلیون دلار اتریوم و سایر ارزهای رمزنگاری‌شده را سرقت کردند. این در درجه اول به لطف توانایی هکرها برای دور زدن احراز هویت دومرحله‌ای و دسترسی به کیف پول کاربران، ممکن شد. و این مثال دیگری از اهمیت استفاده از مدیریت رمز عبور است.

در ۲۰ مارس ۲۰۲۲، مایکروسافت توسط یک گروه هکر مورد هدف قرار گرفت. این گروه، یک اسکرین‌شات در تلگرام منتشر کرد که نشان می‌داد مایکروسافت را هک کرده‌اند و در این فرایند کورتانا، بینگ و چندین محصول دیگر را به خطر انداخته‌اند. هکرها برخی از مطالب را از مایکروسافت بازیابی کردند، اما تا ۲۲ مارس مایکروسافت اعلام کرد که به‌سرعت تلاش هکرها را متوقف کرده و تنها یک حساب در معرض خطر قرار گرفته است.

یک حمله MEGA Web DDoS هم بر روی سرورهای گوگل رخ داد که برخی آن را بزرگ‌ترین حمله هکری تا کنون توصیف می‌کنند. مدت‌زمان حمله در سطح برنامه بیش از یک ساعت بود و با ۴۶ میلیون درخواست در ثانیه به اوج خود رسید. همچنین بیش از ۵۰۰۰ آدرس IP مبدا را در بیش از ۱۳۰ کشور پیاده‌سازی کرد.

آیا لازم است هزینه‌های بومی‌سازی هر محصولی را در حوزه افتا به خود تحمیل کنیم حتی اگر به کیفیت نمونه مشابه خارجی نرسیم؟
شاید اگر به سمتی حرکت کنیم که توانایی پایش و ارزیابی دقیق محصولات خارجی حوزه افتا را داشته باشیم، بتوانیم تا درصد بالایی از اطمینان، آنها را مورد استفاه قرار بدهیم. مثلا استفاده موازی از محصولات باکیفیت و آزمون‌شده خارجی در کنار محصولات داخلی را می‌توان پذیرفت تا بتوان هم کسب تجربه داشت و هم بازار را رقابتی پیش برد. ولی در کل بومی‌سازی محصولات افتا یک اصل بسیار مهم است و باید تا جای ممکن، حمایت‌های لازم از آن انجام شود تا محصولات امنیتی به‌صورت بومی در کشور تولید شوند و مورد استفاده قرار بگیرند.‌ امنیت، یک مسئله‌ حیاتی است که هیچ‌وقت نمی‌توان آن را صد درصد تضمین‌شده دانست. به‌ویژه اگر بنا باشد برای بحث امن‌سازی، سیستم‌هایی را به‌صورت یکپارچه در نظر بگیریم و لازم باشد بخش‌هایی را از خارج کشور تهیه کنیم آن‌گاه این امر می‌تواند منجر به رخنه‌ یا نشت اطلاعات شود. حتی با فرض اینکه در نود درصد موارد توانسته‌ایم امن‌سازی را ایجاد کنیم، ولی همان ده درصد محصولاتی که از بیرون وارد می‌کنیم می‌تواند برای ما مشکلاتی ایجاد کند. پس بومی‌سازی از نیازمندی‌های اساسی و غیرقابل گذشت در امنیت سایبری بوده و توجه و صرف هزینه برای این مسئله‌ حیاتی، کار عاقلانه‌ای ‌است که همه‌ بخش‌ها اعم از خصوصی، دولتی و همه ذی‌نفعان باید در این خصوص تلاش‌ بکنند. حال ممکن است در یک برنامه‌ کوتاه‌مدت، میان‌مدت و یا بلندمدت به این اهداف برسیم ولی به هرحال هر کشوری باید برای آن هزینه کند، سوبسید بپردازد و حمایت کند تا بومی‌سازی اتفاق بیفتد.

تعامل بین بخش خصوصی و دولتی در حملات سایبری به‌ویژه به زیرساخت‌های کشور را چگونه ارزیابی می‌کنید؟
خوشبختانه، مسئولان به این نتیجه رسیده‌اند که همکاری با بخش خصوصی داخل کشور می‌تواند امنیت خوبی برای زیرساخت‌های حیاتی کشور ایجاد کند. غیر از این، ما اسناد بالادستی هم داریم که مسئولان زیرساخت‌های حیاتی را به این سمت رهنمون شوند تا از بخش خصوصی کشور برای افزایش امنیت این زیرساخت‌ها استفاده کنند. از این رو، هم از بعد سیاست‌گذاری و هم از بعد تقاضا، این نیاز و حمایت وجود دارد که بخش خصوصی در زیرساخت‌های حیاتی مشغول فعالیت شود. ولی بخش خصوصی، مشکلات خاص خود را دارد که نیاز به حمایت‌های چندبعدی برای آنها احساس می‌شود. یکی از ابعاد مهم، موضوع نیروی انسانی حرفه‌ای است. ما با مشکلاتی در زمینه‌ کمبود نیروی انسانی خبره در شرکت‌های فناور مواجه هستیم. بعد دیگر اینکه نیازمند انتقال دانش فنی یا تحقیق و توسعه محصول در شرکت‌های بخش خصوصی هستیم تا بتوانند پاسخگوی نیازهای روزافزون زیرساخت‌های حیاتی و بخش حاکمیتی باشند. مسئله دیگر بحث‌های حمایتی مالی، مالیاتی، تعرفه‌ای و قانون و مقرراتی است. از این رو لازم است از این شرکت‌ها به‌صورت سیستماتیک حمایت شود. البته جسته‌گریخته پروژه‌ها یا حمایت‌هایی وجود دارد ولی با توجه به مسائل اقتصادی حاکم بر کشور، باید این بودجه‌ها را به‌صورت متمرکزتر، همگراتر و هدفمندتر در اختیار بخش خصوصی و به‌ویژه شرکت‌های مرتبط با حوزه‌ سایبری قرار داد تا بتوانند نیازهای اساسی زیرساخت‌های
حیاتی را برطرف کنند.

وضعیت امنیت سایبری ایران از تجربه استاکس‌نت تا به امروز را چگونه می‌بینید؟
به نظر می‌رسد که بعد از حادثه‌ استاکس‌نت، یک هم‌افزایی و همراهی در بخش‌های مختلف خصوصا زیرساخت‌های حیاتی شکل گرفته است. هم در زمینه قانون‌گذاری و اسناد بالادستی و الزامات و هم استفاده از توانمندی بخش خصوصی به موضوع امنیت سایبری توجه جدی‌تری صورت گرفته و هماهنگی‌ها بیشتر شده است. اگرچه این حمله لطمه‌های زیادی به کشور زد ولی می‌توانم بگویم که خودش موجب توجه به موضوع امنیت سایبری در همه بخش‌ها شد و نه فقط در ایران بلکه در دنیا توجه به امنیت سایبری افزایش یافت. می‌توانم بگویم که استاکس‌نت یک نقطه‌ عطف در جهان بود که حتی سایر کشورها توجه‌شان به این نکته جلب شد که چگونه ممکن است مورد یک حمله‌ سیستماتیک قرار بگیرند و زیرساخت‌های حیاتی آنها آسیب جدی ببیند. پس این حمله خصوصا در ایران منشاء اثرهای مختلفی بود که موجب شد موضوع امنیت سایبری تا حد زیادی برای متولیان امر به یک موضوع بسیار مهم و حیاتی تبدیل شود.

ارزیابی شما از چشم‌انداز امنیت سایبری ایران چیست؟
همان‌طور که در جهان برای شرکت‌های فعال، چشم‌انداز خوبی به وجود آمده‌است، امنیت سایبری در ایران هم چشم‌انداز خوبی دارد. به هرحال ما شاهد رشد اینترنت، افزایش استفاده از سامانه‌های هوشمند همراه، اینترنت اشیا، رایانش ابری و فناوری‌هایی نظیر متاورس و هوش مصنوعی هستیم و به نظر می‌رسد که این رشد خیره‌کننده ادامه‌دار باشد. شاهد هستیم که حمایت‌های مختلف حاکمیتی هم تا جای ممکن از این موضوع در کشور وجود دارد. اکنون بازار کار بسیار خوبی برای متخصصان امنیت فراهم است.

بزرگ‌ترین چالش امنیت سایبری کشور چیست؟
اگر بخواهم به بزرگ‌ترین چالش حوزه‌ سایبری اشاره کنم موضوع نیروی انسانی است. موضوع نیروی انسانی از چند بعد قابل نگاه است. یکی کم‌تعداد بودن متخصصان امنیت سایبری است که در شرکت‌های خصوصی و بخش‌های دولتی مشغول فعالیت هستند و متاسفانه شاهد این هستیم که همین نیروهای اندک هم برای فعالیت در جاهایی که از نظر درآمدی و معیشتی وضعیت بهتری دارند یا مهاجرت کرده‌اند و یا در فکر مهاجرت هستند. توجه داشته‌باشید که این موضوع مهاجرت نیروی متخصص امنیت سایبری، لزوما دامن‌گیر کشور ما نیست. بر اساس بررسی که انجام داده‌ام سطح دستمزدهایی که در کشورهای پیشرفته به متخصصان امنیت سایبری پرداخت می‌شود باعث شده که حتی در کشورهایی نظیر هند، سنگاپور، چین و بسیاری دیگر از کشورها شاهد سیل مهاجرت متخصصان سایبری به کشورهای پیشرفته باشیم که دستمزد بالاتری پرداخت می‌کنند. همچنین شاهد هستیم که متخصصان امنیت سایبری از شرکت‌های دانش‌بنیان و شرکت‌های کوچک‌تر به شرکت‌های بزرگ‌تر منتقل می‌شوند که این موضوع برای رشد و پیشرفت شرکت‌های کوچک‌تر مشکلات بزرگی ایجاد کرده است. بحث دیگر، موضوع آموزش دانشگاهی است که به نظر می‌رسد ما در این خصوص دچار ضعف‌های زیادی هستیم. از تعداد اندک مدرسان گرفته تا به‌روز نبودن سرفصل‌های درسی دانشگاهی‌مان که منطبق با استانداردهای جهانی مانند چارچوب به‌کارگیری نیروی انسانی متخصص امنیت NICE نیستند. این موضوعات موجب شده که ما نتوانیم بازار کار را به‌خوبی با بخش دانشگاهی تغذیه کنیم. بخش‌های آموزشی حرفه‌ای نیز دارای مشکلات متعددی هستند و با سیستم‌های نوین آموزشی همگام نبوده و یا از امکانات قوی و نوین آموزش امنیت، برخوردار نیستند. ضمن این که آموزش‌های امنیت سایبری گران‌قیمت هستند یا کیفیت آموزش به‌خوبی ارزیابی نمی‌شود.

چالش مهم دیگر، سطح سواد رسانه‌ای و آگاهی‌رسانی در جامعه است که توسط متولیان مربوطه به‌خوبی پشتیبانی نمی‌شود و همین موجب شده است که طیف وسیع از جامعه‌ مخاطب ما که شامل افراد عادی و عمومی هستند با امنیت سایبری آشنا نشوند و ندانند که چگونه باید از خودشان در برابر تهدیدات و حملات سایبری دفاع کنند. یکی از حوزه‌هایی که خیلی از کشورهای دیگر روی آن کار کردند بحث آموزش سایبری از مهد کودک تا پایان دوره‌ متوسطه تحصیلی است. اکثر کشورهای پیشرو به این سمت رفته اند که موضوع آموزش امنیت سایبری را باید از مدارس شروع کرد و مدارس باید دانش‌آموز، معلم و والدین را از نظر آموزش امنیت سایبری پوشش دهند و ضمنا دانش‌آموز را با حوزه‌های کاری و فعالیت آینده در زمینه امنیت سایبری‌ آشنا نمود (برای نمونه برنامه K12 آمریکا قابل توجه است). درنتیجه دانش‌آموز متوجه می‌شود حوزه‌های سایبری هم می‌تواند آینده‌ خوبی از نظر بازار کار داشته باشد. بازاری که هم اکنون در کشورهای پیشرو دستمزد سالانه بین ۸۰ هزار دلار تا ۱۵۰ هزار دلار سالانه را تجربه می کند. یکی از مشکلات دیگری که داریم این است موضوع امنیت سایبری یک حوزه‌ بین‌رشته‌ای است و این چالش هم متاسفانه در کشور ما به‌خوبی پاسخ داده نشده‌است. قانون‌گذاری در این حوزه‌ به کسانی نیاز دارد که در زمینه حقوقی ،مسائل اجتماعی و سایر حوزه‌های امنیت سایبری متخصص باشند و این خودش منجر به مشکلات و چالش‌های متعددی در قانون گذاری و یا جرم انگاری تهدیدات شده‌است. با این اوصاف، تاکید می‌کنم که بزرگ‌ترین چالش از نظر من بحث کمبود نیروی انسانی و ضعف در آموزش حرفه‌ای نیروی انسانی است به طوری که بتوانیم نیازهای بخش خصوصی را پوشش بدهیم و بتوانیم کمک کنیم که تهدیدات سایبری در بخش‌های مختلف کاهش یابد. برای کمک به این موضوع پروژه‌ای در پژوهشگاه ارتباطات و فناوری اطلاعات برای ارائه طرح آموزش امنیت سایبری در کشور در حال انجام است. هدف این طرح شناسایی متولیان آموزش در کشور و درگیر نمودن همه متولیان آموزش در کشور است تا بتوان به خوبی اگر بخش تقاضا را از نظر آموزش امنیت سایبری پوشش داد. مثلا نزدیک ۲۰ میلیون کسبه دارای پروانه کسب لازم است دوره ای ۳ تا ۶ ساعته در زمینه استفاده امن از فضای مجازی آموزش ببینند تا بتوان از خیلی از آسیب ها و مشکلات این قشر کم نمود. از طرف دیگر این کار منجر به کاهش مراجعات به پلیس و قوه قضاییه می شود. پس می توانید مشاهده کنید که با یک نگاه مناسب و سرمایه گذاری اندک در آموزش، چگونه می توان از هدر رفتن میلیاردها تومان پول و وقت و انرژی بخش های مختلف کاست. امیدواریم همه متولیان آموزش و غیره با جدیدت به این طرح ملی کمک نمایند.
کد مطلب : 20557
https://aftana.ir/vdciywar.t1auw2bcct.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی