کسبوکارهای اینترنتی زمانی گسترش مییابند که امنیت اطلاعات و زیرساختهای سایبری قابل اتکایی در کشور وجود داشتهباشد.
کسبوکارهای اینترنتی زمانی گسترش مییابند که امنیت اطلاعات و زیرساختهای سایبری قابل اتکایی در کشور وجود داشتهباشد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اوایل هفته جاری بود که به دنبال ارسال پیامکهای ناخواسته به کاربران اسنپ، این شرکت با انتشار بیانیهای، اعلام کرد که اسنپ مورد سوءقصد قرار گرفتهاست. البته این نخستینبار نیست چنین اتفاقی برای یک استارتاپ شناختهشده رخ داد. پیش از این نیز به یکی از سرورهای جانبی تپسی حملهای صورت گرفتهبود. شرکت کافه بازار نیز چنین حملهای به زیرساختها را تجربه کردهبود. این در حالی بود که وزیر ارتباطات و فناوری اطلاعات در رونمایی از پروژه سپر امنیتی شبکه ملی اطلاعات (دژفا) برای جلوگیری از حملات سایبری شبکه، زیرساخت و اپلیکیشنهای بومی به مناسبت روز جهانی ارتباطات از شناسایی ۳۰ میلیون حمله سایبری به زیرساختهای کسبوکارهای کشور خبر داد.
اگرچه هک یا نشت اطلاعات کاربران استارتاپها در سال ۹۸ جدی شدهاست، اما پیش از این نیز اخباری از حمله سایبری جدی مانند استاکسنت به سیستم هستهای ایران، هک اطلاعات کاربران ایرانسل، باجافزار واناکرای به کسبوکارهای ایرانی در سالهای گذشته مطرح بود. برای نمونه، در حمله باجافزار واناکرای، طبق آمار وزارت ارتباطات، تاکنون بیش از ۲۰۰۰ مورد ابتلا به باج افزار واناکرای در ایران گزارش شدهاست. بیشترین آلودگی متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی در استانهای تهران و اصفهان بودهاست. این در حالی است که بارها در رسانهها به نقل از پلیس فتا یا نیروهای انتظامی نیز اخبار مختلفی از هک حسابهای بانکی منتشر شد.
به هر حال، توسعه الکترونیکی شدن کسبوکارها، دولتها، سیستمهای بانکی و دیجیتالی شدن شهروندان حاکی از آن است این حملات سایبری با نرخ فزایندهای در حال رشد خواهندبود. بهویژه در سالهای اخیر که دیجیتال بستر مناسب برای ایجاد شرکتهای کوچک که عمدتا از سیستمهای امنیت ضعیفی برخوردارند، بیش از سایر شرکتهای بزرگ و شناختهشده آسیب میبیند. بهطوری که براساس تحقیقات مجله فوربس آمدهاست، بالغ بر ۴۵ درصد از حملات سایبری و بدافزاری که هرروزه در جهان اتفاق میافتد، شرکتهای کوچک و متوسط را هدف قرار میدهد. از طرف دیگر، حسابهای کاربری مورد استفاده مدیران اجرایی و مقامات این شرکتها ۱۲ برابر بیشتر از مدیران اجرایی شرکتهای بزرگ و معروف جهان هک شده و مورد سوءاستفاده کاربران قرار گرفتهاست.
به نظر میرسد این همان مشکلی است که استارتاپهای کشور با آن مواجه شدند. استارتاپهایی که زمانی یک شرکت کوچک با کاربران کمی بودند که به لطف توسعه اینترنت و تغییر سبک زندگی کاربران و روی آوردن آنها به استفاده از خدمات دیجیتالی باعث شد این شرکتها رشد جهشی داشتهباشند و در سالهای اخیر به بیش از ۴۰ میلیون کاربر خدمات بدهند. همزمان با رشد کاربران، این شرکتها نیز حجم بالایی از اطلاعات کاربران، اطلاعات که از نام و نام خانوادگی، شماره موبایل کاربران است گرفته تا مکانیابی و رفتارهای مصرفی آنها در این برنامهها را در مراکز دادهها نگهداری میکنند. اگرچه بسیاری از این شرکتها با استخدام افراد متخصص درصددند بتوانند امنیت حفظ این دادهها را تضمین کنند. با این حال، بخشی از این امنیت مشمول زیرساختها و مراکز دادهای است که استارتاپها از آنها استفاده میکنند و تامین آنها بسیار پرهزینه بوده و نیاز به تیمهای تخصصی قویتری دارد.
در واقع در سطح جهانی برخی از شرکتها به شکل تخصصی و با استخدام نیروی متخصص به شکل ویژه روی تامین امنیت سایبری متمرکز هستند و این خدمات را برای استارتاپها و حتی شرکتهای بزرگ تامین میکنند. آمازون یکی از این شرکتهای در حوزه امنیت سایبری است که خدماتی از این دست را در سطوح کیفی و قیمتی مختلف به شرکتها و استارتاپها ارائه میکند. در مقابل، شرکتهای متقاضی نیز میتوانند متناسب با ابعاد فعالیت و مدل کسبوکاری که دارند سطح این خدمات را انتخاب کنند. به هر حال، تامین امنیت سایبری نهفقط یکی از چالشهای اصلی شرکتها، حتی دغدغه دولتها است، بهطوری که بنا بر گزارشهای گارتنر، هزینه جهانی در زمینه امنیت سایبری در سال ۲۰۱۸ با رشد ۴/ ۱۲درصدی نسبت به سال گذشته از مرز ۱۱۴ میلیارد دلار فراتر رفته است. همچنین پیشبینی کرده در سال ۲۰۱۹ این رقم با رشد ۷/ ۸ درصدی به ۱۲۴ میلیارد دلار میرسد.
در فضایی که استارتاپهای کشور در حال توسعه هستند و تعداد کاربران آنها از مرز ۴۰ میلیون میگذرد، ضرورت حفظ دادههای کلان نیازمند سطح تخصص و تجربه در ابعاد ملی است؛ زیرا پیامدهای عدم حضور این شرکتهای تخصصی صرفا به نشت اطلاعات استارتاپها ختم نمیشود، بلکه بسیاری از اطلاعاتی که در مراکز داده این استارتاپها وجود دارد به مثابه سرمایه ملی است که افشای آنها میتواند برای کشور تهدیدهای امنیتی، اقتصادی و اجتماعی به بار آورد. در حالی که انتظار میرفت همزمان با شکلگیری و توسعه استارتاپها، شرایط برای ایجاد شرکتهای تخصصی حوزه امنیت فراهم میشد. اما هنوز جای چنین شرکتهایی در سطح ملی که بتواند از امنیت استارتاپهای پرکاربر ایرانی پشتیبانی کند، خالی است. از آنجا که شرکتهای بزرگی در سطح آمازون نداریم، شرکتها مجبورند تمهیدات امنیتی را به همراه تخصص در داخل شرکت و در ابعاد بسیار کوچک و ناکافی فراهم کنند. در حالی که دولت میتواند قبل از بروز چنین اتفاقاتی و پیگیری آن با تسهیل فضای کسبوکار مانند حذف قوانین دستوپاگیر، کاهش ریسک سرمایهگذاری در این حوزه و کمک به رشد استارتاپهای حوزه امنیت، اقدامات موثرتری داشتهباشد.
نبود یک اکوسیستم امنیت در حالی فضای استارتآپی را تهدید میکند که به تازگی پروژهای از سوی وزارت ارتباطات رونمایی شده که دسترسی به برخی دادههای دولتی را برای استارتآپها فراهم میکند. در این راستا، امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران، گفت: در این پروژه درگاهی ایجاد شده که از طریق آن دادههای دولتی به استارتاپها ارائه میشود. البته هنوز لیست سرویسهای ارائه شده، تکمیل نشده و به مرور زمان کامل میشود. هم اکنون خدمات شامل شاهکار (سرویس احراز هویت و بررسی تطبیق شماره تلفن همراه با اطلاعات هویتی صاحب خط)، جینف( استانداردسازی نشانیها)، سامانه آدرسیاب برای کمک به اورژانس و ثبت احوال برای استعلام است. البته این خدمات از بهمن سال گذشته مطرح بود و فاز یک که اتصال فیزیکی بود الان ایجاد شده است. وی در ادامه با توجه به هک اخیر استارتاپها و تامین امنیت این دادهها گفت: این تامین امنیت دو جنبه دارد.
نخست جنبه قانونی است یعنی وجود قانونی که شرکتها را در صورت حفظ نکردن امنیت داده کاربران محکوم کند. برای این منظور لایحه صیانت از داده تدوین و به دولت ارائه شده و انتظار میرود دولت تا یک ماه آینده آن را تصویب کرده و به مجلس تقدیم کند. اما از آنجا که حفظ داده کاربران برای خود استارتاپها مهم است، بهصورت داوطلبانه شروع کردند. هم اکنون وزارت ارتباطات در حال تدوین یک پروتکل امنیتی است تا به تمام استارتاپهای پرکاربر ابلاغ شود. وی افزود: بنابر این لایحه، در صورت هک، دادستان یا مدعیالعموم میتواند از شرکت شکایت کند. البته دولت و کاربران نیز از این حقوق در صورت تصویب این لایحه و تبدیل شدن آن به قانون برخوردارند.
معاون وزیر ارتباطات در صورتی از لایحه و قانونگذاری برای تامین امنیت یاد میکند که در حال حاضر مشکل استارتآپها صرفا این موضوع نیست. به هر حال، شرکتهای استارتاپی نسبت به ارزش و اهمیت دادههای کاربرانشان آگاه هستند و همواره برای حفظ آن تلاش میکنند. همانطور که اشاره شد هماکنون نبود یک شرکت بزرگ متخصص در حوزه امنیت یا یک اکوسیستم امنیت بیش از هر عامل و هر زمانی این استارتاپها را تهدید میکند. در این باره ناظمی معتقد است: امنیت امر ارزان قیمتی نیست ولی برای همه شرکتها ضرورت دارد. با این حال، تامین آنها برای همه به لحاظ اقتصادی و از نظر هزینه-فایده، به صرفه نخواهدبود. هرچند دولت باید یک بخشی را تامین کند، اما اصل ماجرا مربوط به وزارت ارتباطات نیست.
حفظ امنیت برعهده کسبوکار است. چرا که حضور دولت مداخله به حساب میآید. وی خاطرنشان کرد: زمانی که استارتاپ از یک حدی بزرگتر شد؛ باید این زیرساختها را خودش داشتهباشد. ایجاد زیرساختهای امنیتی از سوی دولت به لحاظ فنی معنادار نیست. در حال حاضر وزارت ارتباطات میتواند یکسری ابزارهایی به آنها بدهد، ولی اینکه این خدمات جامع باشد، وجود ندارد. به هر حال، بخشی از این امنیت توسط دولت تامین میشود و استارتاپها نیز باید برنامهای برای توسعه آن داشتهباشند.
نبود زیرساخت امنیت اطلاعات در فضای استارتاپی با بروز اتفاقاتی ناخوشایند مانند نشت اطلاعات کاربران این استارتاپها همراه خواهدبود. در واقع، تامین امنیت برای توسعه آنها یک ضرورت است. اما در حالحاضر، چالش اصلی درخصوص آن، تامین این اکوسیستم است که دولت و استارتآپها معتقدند طرف مقابل باید آن را تامین کند. در این راستا، وحید معصومی، معاون مهندسی فنی کافه بازار گفت: مسئولیت نهایی امنیت محصولات و خدمات ارائه شده توسط شرکتها با خود آنهاست و هر میزان هم که خدمات میزبانی امن ارائه شود، چیزی از مسوولیت نهایی شرکتها کم نمیکند. با این حال، نبود سرویسهای میزبانی بزرگ و آزمایششده قطعا یکی از عوامل بالا بودن نسبی آسیبپذیری سرویسهای حوزه IT است. البته شاید بتوان از طریق برخی نهادهای تخصصی نظیر سازمان IT هر از چند گاهی یکسری پروتکل جدید تعریف و به پلتفرمهای کشور ابلاغ کرد.
وی افزود: شرکتهای IT ایرانی که ابعاد آنها از حدی بزرگتر میشود و در مسیر رشد حرکت میکنند، معمولا به سمت پیادهسازی و نگهداری زیرساخت خاص خود حرکت میکنند؛ زیرا استفاده از مدلهای قدیمی خدمات میزبانی، بهصرفه و به اندازه کافی انعطافپذیر نیست و خدمات ابری در دسترس نیز به اندازه کافی جا افتاده و آزمایششده و قابل اتکا نیستند. این کار بسیار پرهزینه است. از دیدگاه امنیت نه تنها همه شرکتها باید حجم زیادی از ملاحظات امنیتی مشترک و زیرساختی را پیاده کنند که میتوانند توسط یک ارائهکننده خدمات میزبانی ارائه شود، بلکه باید متوجه بخش بزرگتر مسوولیت خود، یعنی ملاحظات مربوط به محصولشان نیز باشند. در حالی که در شرایط رقابتی بازار IT ایران کمتر شرکتی توان انجام توامان این کارها را پیدا میکند.
این کارشناس فنی بااشاره به بحث قانونی در این حوزه اشاره کرد: نخست آنکه در قوانین ما مباحث مربوط به تامین امنیت به وسیله ارائه دهندگان خدمات میزبانی آمده است و با توجه به اینکه تعریف مستقلی برای پلتفرمها در قوانین ایران نداریم، همین مقررات را به پلتفرمها تسری میدهیم. اما امکان تعیین یکسری پروتکل امنیتی در قانون وجود ندارد؛ چون این پروتکلها بسیار سریع تغییر میکنند؛ اما روند قانونگذاری بسیار کند است و درج چنین پروتکلهایی در قانون سبب عقبماندگی همیشگی قانون نسبت به وقایع روز دنیای تکنولوژی میشود. دوم اینکه در قوانین ایران هرگونه دسترسی به اطلاعات یا آموزش دسترسی غیرمجاز به اطلاعات یا افشای این اطلاعات و افشای اسرار تجاری جرمانگاری شده است. سوم اینکه باید توجه داشته باشیم که تعدد قانوننویسی و تصویب مقررات متعدد وپراکنده آسیب بسیار بیشتری به بدنه کسبوکارها و حقوق مردم خواهد زد.
به گفته وی، هک و حملات سایبری بخش جدا نشدنی شرکتهای IT است. در واقع، شرکتها چه بخواهند چه نخواهند همیشه مورد تهدید مهاجمها هستند. بنابراین بهتر است بستری را مهیا کنند تا افراد خبره حوزه امنیت ترجیح دهند تحت حمایت قانون از پوشش هکر کلاهسیاه خارج شوند و تحت عنوان هکرهای کلاهسفید و کارشناسان امنیت به کمک کسبوکارها بیایند.