فرحناز سپهری؛ بازار: با توجه به اهمیت داشتن یک شبکه داده ای امن و حفاظت افراد و سازمانها در برابر حملات سایبری، دولتها در این خصوص راهکارهایی از جمله آگاهی رسانی، اختصاص دادن بودجه در این زمینه و بروز کردن سیستمها و فراهم کردن زیر ساخت های مناسب را در دستور کار خود قرار می دهند.

این در حالی است که در ایران همچنان چالشهایی در حوزه امنیت شبکه وجود دارد. به طوری که به گفته محمد شروین جعفرزاده، مشاور و مدرس سیستم های مدیریت فناوری اطلاعات افزایش هزینه و سختی های تامین تجهیزات، نبود ساختار و تحریمها و عدم دسترسی به دانش روز از مهمترین چالشهای ایجاد یک زیرساخت شبکه داده ای امن در ایران است.

در همین راستا گفتگویی با «محمد شروین جعفرزاده»، کارشناس ارشد مدیریت فناوری اطلاعات، مشاور و مدرس سیستم های مدیریت فناوری اطلاعات و سرممیز سیستم مدیریت امنیت اطلاعات انجام داده ایم که در ادامه از نظر می گذرد.

*با توجه به افزایش کلاهبرداریها و سوء استفاده از افراد در این مدت به نظرتان علت آن چه بوده است؟
یکی از معضلات امروز در همه جوامع افزایش کلاهبرداری در فضای سایبری است که این میزان در کشور ما نیز رشد قابل توجهی نشان داده است. اصولا میتوان دلایل این روند فزاینده را در سه گروه دسته بندی نمود:

نخست - مهندسی اجتماعی

اصولا واژه کلاهبرداری با سوءاستفاده از اعتماد افراد همراه است. امروزه شاهد گسترش سایتها و نرم افزارهای هستیم که با رویکردهای مختلف کسب و کار، که تراکنشهای حساس و حیاتی را در بستر خود دارند وارد بازار میشوند و با ارائه خدمات متنوع شروع به جذب مخاطبین می کنند، دسترسی به این سیستمها و سامانه ها به سادگی گرفتن یک شماره تلفن است. این در حالی است که بسیاری از کاربران این سیستمها از دانش و آگاهی لازم نسبت به فضای مجازی و خطرات آن برخوردار نیستند و همین موضوع زمینه ساز سوء استفاده کلاهبرداران در این فضا می باشد.

باید پذیرفت که سرعت توسعه سیستمها، فرصت آموزش و آگاهی رسانی به کاربران از مخاطرات سیستمها را گرفته است و صاحبان کسب و کار میان ارائه سرویسهای بیشتر نسبت به رقبا و فرهنگ سازی و ارتقای دانش کاربران موضوع اول را ترجیح می دهند. این در حالی است که در کنار ارائه هر محصولی می بایست آموزش و فرهنگ استفاده از آن ابزار با توجه به هدف ارائه آن مطرح شود. در نمونه های فیشینگ عدم توجه و دانش کاربران به شدت مشاهده می شود.

دوم - عدم توجه به زیرساخت مناسب

در همین چند سال اخیر و با شروع پاندمی کرونا ، شاهد بودیم که بسیاری از کسب و کارها از فضای سنتی خارج شده و به سرعت به فضای دیجیتال ورود نمودند. این اتفاق در حالیکه نقاط قوت بسیاری داشت اما به دلیل سرعت اجرا و تلاش برای حفظ بازار از رقبا با پذیرفتن مخاطراتی از سوی صاحبان کسب و کارها صورت گرفت و بدون در نظر گرفتن زیرساختهای لازم و کافی نسبت به تغییر محیط فضای کار از سنتی به دیجیتال اقدام نمودند. این اتفاق میتواند فرصتهای مناسبی را در اختیار کلاهبرداران قرار داده تا از خلاهای موجود سوءاستفاده نمایند.

سوم - نبود قوانین بازدارنده

یکی دیگر از مشکلات افزایش کلاهبرداری های سایبری نبود قوانین کامل و شفاف بازدارنده در این فضا است. با یک بررسی دقیق میتوان دریافت قوانین و مقررات عمدتا در فضای سنتی و طی سالیان سال تدوین و اصلاح شده اند، همینطور تجربه مجریان و متولیان برخورد با کلاهبرداری سنتی به قدری است که می تواند نسبت به پیشگیری از بروز برخی کلاهبرداری ها واکنش نشان دهد حال آنکه کلاهبرداری سایبری هر روز به یک شکل نمایان شده و سختی کار را برای مقابله دوچندان می کند.

پس از آنجاکه قوانین مشخص ،تجربه متولیان و مجریان و کمبود ظرفیت سازمانهای متولی در مقابله با کلاهبرداری های سایبری به حد کافی نبوده، موجب کندی در برخورد با کلاهبرداران و جرائم سایبری شده و میتواند زمان کافی را برای فرار کلاهبرداران ایجاد نماید. آن هم در فضای سریع سایبری!

*دولت ها برای جلوگیری از این مساله چه باید بکنند؟
در پاسخ به این سوال میتوانم به این موارد اشاره کنم:

-ایجاد برنامه های آموزشی مدون

مهمترین و اصلی ترین راهگشا ایجاد آموزش و اگاهی رسانی در جامعه است. نپذیرفتن توسعه مدرنیته و همه گیری آن در تمامی جامعه امری محال است. به خصوص دیدیم که با شروع پاندمی کرونا همین فضای مجازی و مدرنیته با ارائه راهکارهای خود به داد کسب و کارها، آموزش و برقراری ارتباطات رسید.

اما لازمه آن همانطور که قبلا گفتم موضوع آموزش و اطلاع رسانی از این فضاست. دولت ها می بایست امر آموزش کاربران در فضا مجازی را از وظایف اصلی خود بدانند. ارائه خدمات آموزشی رایگان و متنوع برای تمام سطوح سنی در جامعه از مهمترین اقدامات یک دولت است. در کنار آموزشهای کاربری، می بایست آموزشهای امنیتی، آشنایی با روشهای کلاهبرداران و همینطور راههای اعلام حوادث و مشکلات به مراجع ذیصلاح، به کاربران آموزش داده شود.

در نظر بگیرید سازمانی که به بازنشستگان خدماتی را ارائه میدهد بدون اطلاع قبلی و صرفا با یک آگهی به تمامی کاربران اعلام می نماند از فردا ارائه کلیه خدمات به صورت الکترونیکی خواهد بود !! و یک گروه از جامعه را که طبیعتا با رویکرد سنتی سالها امورات خود را گذرانده اند را با چالشی سنگین روبرو خواهد کرد.

این فضا یک موقعیت مناسب برای کلاهبرداران است ، که میتوانند در قالب ارائه خدمات به بازنشستگان به اهداف خود دست یابند. پس آموزش های کاربری و در کنار آن آموزشهای امنیتی، همینطور پاسخگویی نسبت به سوالات و ابهامات از اهم وظایف سازمانهای دولتی است.

-تعریف قوانین و خط مشیهای قابل اجرا

در بسیاری از دستگاهها و سازمانهای اجرایی هنوز شاهد قوانین و خط مشیهایی اطلاعاتی و سیستمی هستیم که از طول عمر آنها بیش از ۱۰ سال است که میگذرد و عملا امروزه دیگر کاربردی ندارد و به کناری گذاشته شده اند.

به عنوان مثال در سازمانی دیدم حداکثر پهنای باند مجاز کاربران ۵۶kدر نظر گرفته شده بود و تصویب آن سند به سال ۸۶ بر میگشت و با گذشت بیش از ۱۴ سال همچنان به عنوان یک سند مرجع در سازمان قلمداد می شد.

حال آنکه در سازمان به هیچکدام از بندهای آن عمل نمیشد چرا که به دلیل قدمت آن دیگر مقدور نبود! این امر نشان میدهد که در این زمینه دچار ضعف و کندی بیش از حد هستیم. این موضوع صرفا محدود به کاربران داخلی نیست و سازمانهای دولتی در قوانین ذینفعان خارجی هم کمابیش با این مشکل روبرو هستند.

در حالیکه بسیاری از شرکتهای نرم افزاری و استارت آپها سعی در استفاده از بروزترین تکنولوژی ها و متدولوژی ها در توسعه سیستمهای خود دارند، قوانین و سیاستگزاریهای دولتی به کندی بروز می شود، این مشکل زمانی ایجاد حادثه میکند که تکنولوژی بدون در نظر گرفتن جوانب مخاطره آمیز و پیش بینی خطرات و تدوین قوانین متناسب با جرایم احتمالی آن در دسترس عموم قرار گرفته و کلاهبرداران از این فضا سوءاستفاده می نمایند.

در واقع به نوعی میتوان گفت شاید در توسعه سیستمها به بلوغ خوبی رسیدیم، اما در ایجاد قوانین و سیاستگزاری در این حوزه دچار ضعف و سستی مشهودی هستیم و بعد از وقوع حادثه به دنبال راههای مقابله با آن خواهیم بود.

*از دیدگاه شما امنیت سایبری چگونه می تواند بر اقتصاد تأثیر گذارد؟
ابتدا تعریفی داشته باشیم از مفهوم امنیت سایبری که از نظر بنده هدف و مفهوم غایی آن حفظ و تداوم کسب و کار است. اینکه صاحبان کسب و کار اطمینان از این داشته باشند که با رعایت خط مشی ها و الزامات قانونی، وقفه در کسب و کارشان به حداقل خواهد رسید. اما متاسفانه همچنان در برخی از سازمانها و حتی متخصصان امنیت، امنیت را با محدودسازی و بستن و حذف برخی امکانات اشتباه می گیرند.

این یعنی پاک کردن صورت مساله که قطعا تاثیرات سوء قابل توجهی بروی کسب و کارها خواهد داشت. لذا در مبحث امنیت رویکرد ما نباید حذف و قطع دسترسی باشد بلکه ایجاد فضای امن و مطمئن.

زمانیکه شبکه اطلاعاتی دارای پایداری و دوام قابل قبولی باشد و همزمان با حفظ ارائه سرویسهای خود با خطرات امنیتی، هکرها، کلاهبرداریهای سایبری مقابله میکند و کاربران به خصوص کاربران نهایی آن، به هیچ وجه متوجه این خطرات نباشند.

طبیعتا سرمایه گزاران به آسودگی خاطر بیشتری در این فضا اقدام به سرمایه گزاری کرده و میتواند بازارهای مختلفی را نه تنها در سطح خرده فروشی، بلکه در سطوح بالاتر و ارائه خدمات متنوع تجاری و صنعتی در این فضا شاهد بود.

*آماری از کلاهبرداری ها در دنیا دارید؟
مرکز تحقیقات سرقت هویت (ITRC) گزارش می دهد که در سال ۲۰۲۱ تعداد داده ها در ایالات متحده به خطر افتاده است که ۶۸ درصد نسبت به سال ۲۰۲۰ افزایش داشته است.

صنعت بیمه بیشترین هدف حملات باج افزار در نیمه اول سال ۲۰۲۱ بوده است و تقریباً ۲۵ درصد از کل حملات باج افزار به مشتریانAccenture را شامل می شود. بر اساس Accenture، کالاها و خدمات مصرفی و مخابرات در رتبه های دوم و سوم قرار گرفتند.

بر اساس گزارش Aite-Novarica Group، ۴۷ درصد از آمریکایی ها سرقت هویت مالی را در سال ۲۰۲۰ تجربه کردند.

یک مطالعه جهانی که توسط IBM Securityانجاد شده استو توسط موسسه Ponemon انجام شده است، بیان می کند که میانگین هزینه تخلف و سوء استفاده از داده ها از ۳.۸۶ میلیون دلار در سال ۲۰۲۰ به ۴.۲۴ میلیون دلار در سال ۲۰۲۱ رسیده است.

بر اساس گزارش جنایات اینترنتیFBI در سال ۲۰۲۱، رکورد ۸۴۷۳۷۶ شکایت از جرایم سایبری توسط مردم به FBI گزارش شده است که نسبت به سال ۲۰۲۰ افزایش ۷ درصدی داشته است.

کمیسیون تجارت فدرال (FTC) بیش از ۵.۷ میلیون گزارش را در سال ۲۰۲۱ دریافت کرد که ۴۹ درصد آن برای تقلب و ۲۵ درصد برای سرقت هویت بود.

در عین حال باید اشاره کنم مرجع آمار فوق این سایت است: https://www.iii.org/fact-statistic/facts-statistics-identity-theft-and-cybercrime

*چالش های ایجاد یک زیرساخت برای یک شبکه داده ای امن در ایران چیست؟ به نظر شما راهکار آن چیست؟
از نظر من مهمترین چالش راه اندازی یک شبکه داده ای امن در ایران ، موضوع هزینه است. چرا که در هر کسب و کاری موضوع بازگشت سرمایه از اولیتهای سرمایه گزاری میباشد. متاسفانه در سالهای اخیر و با توجه به افزایش نرخ ارز و تحریمهای ظالمانه علیه ایران، هزینه تامین تجهیزات زیرساختی در ایران به شدت افزایش یافته است که این عامل موجب شده تا بسیاری از سازمانها نسبت به روزرسانی تجهیزات جاری و راه اندازی سرویسهای جدید با مشکلات جدی روبرو شوند.

سازمانها به منظور کاهش هزینه های خود، مجبور شده اند بخشی از بودجه سرمایه گزاری در فضای ICT را کاهش دهند. همینطور در برخی سازمانهای دولتی متاسفانه فرآیند تامین تجهیزات به دلیل بروکراسی های طولانی با کندی روبرو میشود که همین امر موجب ایجاد وقفه های طولانی در پیاده سازی طرحهای امنیتی میگردد.

نبود ساختار سازمانی مناسب برای جذب افراد متخصص هم یکی دیگر از چالشها میباشد. هنوز در بسیاری از سازمانها تصمیم گیری در خصوص موضوعات کاملا تخصصی حوزه IT توسط افراد غیر متخصص این حوزه صورت میگیرد. این موضوع به دلیل نبود دانش کافی افراد تصمیمگیر و به جهت رفع نگرانی از وقوع خطرات احتمالی نسبت به حذف راهکارها و عدم حمایت از طرحهای فناورانه منتج می شود.

متاسفانه باید گفت که هنوز در بسیاری از سازمانهای نگاه به واحد فناوری اطلاعات همان نگاه به واحد خدمات اداری و ماشینی است که صرفا مسئول نگهداری دستگاههای کپی بودند! و به بخش IT با این گستره نفوذ در ارائه خدمات و راهکارها، به عنوان یک واحد صرفا خدماتی کوچک در سازمان برای تعمیرات دستگاهها مینگرند.

البته تحریمهای ظالمانه غرب و عدم دسترسی ایران به دانش روز نیز مزید بر علت شده است و متخصصان این حوزه در ایران به سختی به منابع روز دسترسی دارند. که این موضوع با سرعت رشد توسعه دانش در فضای IT میتواند حتی در کوتاه مدت تاثیرات منفی داشته باشد.

افزایش هزینه و سختی های تامین تجهیزات، نبود ساختار و جایگاه مناسب متخصصان حوزه فناوری اطلاعات، تحریمها و عدم دسترسی به دانش روز از مهمترین چالشهای ایجاد یک زیرساخت یک شبکه داده ای امن میباشد.

لذا به منظور ارائه راهکار، در گام اول ایجاد یک برنامه راهبردی با چشم اندازی روشن و دسترس پذیر میباشد. اینکه کجا هستیم و قرار است به کجا برویم . ایجاد شاخصهای مشخص کوتاه مدت به منظور پایش و کنترل برنامه راهبردی تا تحقق به رسیدن به تمامی اهداف. بررسی مشکلات قانونی ایجاد یک زیرساخت امن و بازنگری قوانین و مقررات فضای سایبری.

حمایت دولت از طرحهای زیرساختی که بخش عمده آن حمایت در تامین هزینه های زیرساختی است آنهم با نگاهی بلند مدت، در واقع سرمایه گزاران میبایست زمان مناسب برای رسیدن به اهداف را داشته باشند. همینطور حمایت دولت از شرکتها در دسترسی به منابع جهانی به منظور تامین تجهیزات ریزساختی .

فراهم نمودن بسترهای روابط پژوهشی با کشورهای و شرکتهای صاحب تکنولوژی و دانش روز به منظور تقویت دانش متخصصان داخلی. تقویت ارائه خدمات دولتی به صورت الکترونیک با حمایت از جایگاه متخصصان فناوری اطلاعات از مهمترین اقدامات میباشد