چرا امنیت سایبری در ایران تبدیل به صنعت نشده است؟ شبیه هیچکجای جهان
به گزارش کارگروه امنیت سایبربان ؛ در فضای بحثبرانگیز و پرمساله امنیت سایبری ایران، دیدگاهها گاه بهشدت متفاوت است. برخی معتقدند بخش خصوصی ایران در این حوزه ضعیف و ناتوان است و عدهای دیگر معتقدند ضعف فقط در شرکتهای امنیت سایبری نیست، بلکه موضوع به کمکاری و بیتوجهی شرکتها به مسائل امنیتی برمیگردد.
رویا دهبسته، مدیرعامل شرکت «باگدشت» که سالها در حوزه تست نفوذ و امنیت اطلاعات فعالیت کرده، از پایه با این نظر که «شرکتهای امنیتی متناسب با غولهای فناوری ایران وجود ندارد» موافق نیست. او تجربه شخصی و مشاهداتش از کار با دهها شرکت و سازمان را به یاد میآورد و تصویر متفاوتی ترسیم میکند و میگوید: «اتفاقاً ما شرکتهای خصوصی باسابقهای در کشور داریم که سالهاست خدمات، تجهیزات، آموزش و نرمافزارهای امنیتی باکیفیتی ارائه میکنند؛ شرکتهایی که مشتریانشان از شرکتهای خصوصی بزرگ مثل دیجیکالا، تپسی و علیبابا گرفته تا سازمانهای دولتی بزرگ گستردهاند.»
در واقع دهبسته مساله اصلی امنیت در ایران را ضعف یا نبود شرکت امنیتی توانمند نمیداند بلکه رویکرد برنامهریزی کلان امنیت سازمانها را ناکارآمد برمیشمرد. او میگوید: «مدیران باید بپذیرند که ابتدا نیازمندیهای کسبوکار خود را شناسایی و بعد شرکت تخصصی مناسب را بر اساس نیازمندی سازمان خود و سابقه و تجربه آن پیمانکار انتخاب کنند. اما آنچه در عمل اتفاق میافتد چیز دیگری است و بسیاری از سازمانهای بزرگ، بهویژه در حوزه فناوری، همچنان با رویکردی سنتی و بسته اداره میشوند.»
ماهیت بازار امنیت متفاوت است
فاطمه مشرفی مدیرعامل دمسان رایانه نیز که سالهاست در زمینه امنیت سایبری فعالیت میکند معتقد است در ایران بسیاری از صنایع فناوری، بهویژه در حوزه امنیت شبکه، برخلاف نمونههای جهانی، مسیر رشد و تبدیل شدن به شرکتهای بزرگ و اثرگذار را طی نکردهاند. بخش مهمی از این مشکل هم به ساختار بازار، محدودیتهای بینالمللی، شیوههای خرید خدمات و نگاه نادرست به امنیت برمیگردد.
مشرفی دراینباره توضیح میدهد: «صنعت امنیت شبکه اساساً یک بازار B۲B یا B۲G است و برخلاف شرکتهایی مانند دیجیکالا یا اسنپ که در حوزه B۲C فعالیت میکنند و با کاربران نهایی در ارتباطاند، این حوزه فرصت شهرت و رشد سریع ندارد و در تمام جهان شرکتهای امنیتی به میزان شرکتهای تجاری مرتبط با کاربران نهایی شناختهشده نیستند. صنایع بزرگ معمولاً با مصرفکننده نهایی سروکار دارند و قابلیت اسکیلآپ پیدا میکنند، اما امنیت شبکه عموماً در یک میزان خاص قابلیت شناخته شدن و رشد دارد و بخشهای امنیتی در بسیاری از کشورها در اختیار دولتها، زیرساختها یا نهادهای نظامی است. اما با این تفاوت که رویکرد دولتهای پیشرو و پیشرفته با دولتهای تحت فشار و تحریمی مثل ما متفاوت است.»
درونسازمانی یا برونسپاری
دهبسته راجع به درونسازمانی یا برونسپاری تیمهای امنیتی هم میگوید: «سازمانها بهجای تمرکز بر تعیین استراتژیهای کلان امنیتی و نظارت دقیق بر پیمانکاران، وقت و منابعشان را صرف اقدامات اجرایی و عملیاتی میکنند و به دلیل ماهیت فناورمحور بودنشان، ترجیح میدهند حتی با صرف زمان، انرژی و بودجه بیشتر، هر خدمت یا محصولی را حتی در حوزه امنیت با تیم داخلی خود اجرا کنند؛ اقدامی که میتواند این فرایند را بینتیجه کند. مدیران سازمان با تصورِ کماحتمال بودن وقوع رخداد امنیتی و نداشتن تبعات جدی برای خودشان، ترجیح میدهند با همان تیم فنی داخلی، که لزوماً امنیتی هم نیست، به روش آزمون و خطا به کار خود ادامه دهند.»
مشرفی اما نظر دیگری دارد و میگوید: «بهترین حالت این است که سازمانهای بزرگ تیم امنیت داخلی قدرتمندی داشته باشند. وقتی امنیت برونسپاری میشود، در واقع بخشی از کنترل از دست سازمانها خارج میشود. شرکتهای امنیتی باید در قالب تیمهای مقیم و یکپارچه زیر یک پرچم مشترک با سازمانها کار کنند.»
گرچه طبق گفته مشرفی، فشار اقتصادی و محدودیت منابع انسانی متخصص، مانع شکلگیری چنین تیمهایی شده است: «ما نیروهای مقیم خوبی داریم، اما در تمدید قراردادها بهجای بحث کیفیت باز هم بحث قیمت مطرح میشود؛ اینجاست که دست مدیران IT کوتاه میشود و در بخش خرید یا قرارداد هم بدون لحاظ کردن کیفیت، فقط قیمت مد نظر قرار میگیرد. در دنیا، شرکتهای امنیتی بزرگی مانند سوفوس، یا برادکام (سیمنتک) و غیره محصولات خود را میفروشند و به سازمانها آموزش میدهند تا بتوانند از آنها به صورت حرفهای استفاده کنند. اما در ایران چنین تولیدکنندگانی وجود ندارد. ما نه تجهیزات مناسب با تستهای جهانی را تولید میکنیم و نه سیستم آموزشی درخور برای استفاده حداکثری از آنها داریم.»
از مناقصههای دولتی تا تحریمها
علیرضا قهرود، مدیرعامل شرکت امنیتی «دیاکو»، اما در پاسخ به این سوال که چرا شرکتهای خصوصی بزرگ و شناختهشدهای برای ارائه سرویسهای امنیتی به غولهای فناوری ایران وجود ندارد، به ساختارهای معیوب تصمیمگیری و سیاستگذاری کلان کشور اشاره میکند و توضیح میدهد: «ساختارهایی که بهجای شایستگی و تجربه، بر معیارهای ایدئولوژیک یا منافع شخصی تکیه دارند باعث شدهاند بسیاری از تصمیمگیریهای حوزه امنیت حداقل معیارهای ارزیابی علمی و عملی را نداشته باشند. نتیجه این رویکرد، نبود تفکر سیستمی و استراتژیک و فقدان فرهنگ کار تیمی در بدنه حاکمیت به بدنه شرکتهای خصوصی هم سرایت کرده است. بسیاری از شرکتهای امنیتی زیر لوای حمایت حاکمیت نه به دلیل توانمندی واقعی، بلکه با استفاده از رانت و روابط خاص رشد کردهاند.»
یکی از بزرگترین موانع، به گفته قهرود، سیستم مجوزدهی و تصمیمگیری است که بر پایه روابط و سلیقه شکل گرفته است. او ادامه میدهد: «حتی برای یک تفاهمنامه ساده، ممکن است پس از دو سال رفتوآمد و مذاکرات در نهایت پروژه به مجموعهای خاص واگذار شود که ارتباطات قویتری دارد. تیمهای متخصصی که ارتباطات سیاسی یا اقتصادی ندارند، از چرخه پروژههای کلان حذف میشوند. مخالفت با طرحهای اشتباه نیز منجر به حذف شرکتها از چرخه امنیتی میشود، حتی از سوی نهادهایی که باید حامی امنیت باشند هم این اتفاق نمیافتد.»
مسیر ناپیموده صنعتی شدن امنیت سایبری در ایران
نکتهای که در حوزه امنیت سایبری ایران وجود دارد این است که این بخش همچنان به صورت یک صنعت درنیامده و در نتیجه اقتصاد هم ایجاد نکرده است. شرکتهای امنیتی که امروز در دنیا معتبر و شناختهشده هستند ابتدای امر یک ایده، خدمت، تجهیز یا محصول امنیتی را به کمک تیم باتجربه و متخصص خود در قالب شرکت خصوصی کوچک توسعه داده و بازارشان را طی حداقل ۱۰ سال تاسیس و تثبیت کردهاند. سپس با بیشتر شدن سطح درآمدی، شرکتهای فناور و پیشرو بهنوعی اقدام به یکپارچهسازی، خرید یا ادغام آنها با شرکت خود کردهاند. حال آنکه در ایران این روند طی نشده است.
دهبسته دراینباره بیشتر توضیح میدهد: «شرکتهای تولیدکننده فناوری برای تکمیل بخشی از منطق کسبوکار خود نیازمند خدمات شرکتهای امنیتی به صورت سریع و چابک هستند. بنابراین منطقی است که یک شرکت امنیتی بخرند یا تیم آن را در خود ادغام کنند تا هم درآمد بالاتری کسب کنند و هم تخصصیتر خدمت ارائه دهند. چون به این ترتیب مجبور نیستند زمان و انرژی نیروهای فعلی و متخصص سازمان خود را صرف تولید دوباره آن محصول کنند و دست به آزمون و خطا بزنند. اصلاً این روال کسبوکاری یا صنعتی شدن امنیت سایبری است که در غیاب شرکتهای تولیدکننده فناوری در ایران طی نمیشود.»
دهبسته ادامه میدهد: «بازار خدمات امنیتی، برخلاف کسبوکارهای B۲C، در کوتاهمدت زودبازده و پرسود نیست. به همین دلیل شتابدهندهها و سرمایهگذاران خطرپذیر کشور کمتر به آن ورود میکنند. این بازار مبتنی بر اعتماد، سابقه و اعتبار است و مشتریانش اغلب سازمانها و شرکتهای بزرگ هستند نه عموم مردم. بنابراین بدیهی است و نباید شرکتهای امنیتی به بزرگی شرکتهای B۲C بشوند، زیرا چابکی و همراه بودن با تغییرات امنیتی فناوری را از دست خواهند داد.»
رانت، سلیقهگرایی و نادیده گرفتن هشدارها
در واقع یکی دیگر از چالشهای اساسی این حوزه، شیوه خرید خدمات امنیتی از طریق مناقصات دولتی است. مدیرعامل دمسان رایانه دراینباره میگوید: «در مناقصه کیفیت و دانش فنی جایگاهی ندارد، قیمت حرف اول را میزند. از همین رو شرکتهایی که نه زیرساخت دارند و نه دانش کافی، وارد پروژهها میشوند. شرکتهایی که هک میشوند و هزینههای زیادی میدهند، لزوماً پیش از آن استانداردهای لازم را رعایت نکردهاند و بعد از آن تازه صدایشان درمیآید که شرکتهای امنیتی خوبی در ایران وجود ندارد. البته تحریمها نیز نقش مهمی در عقبماندگی ایران از فناوریهای روز ایفا میکنند. مثل این است که شما بخواهید با جت جنگی ۴۰ سال پیش مقابل یک اف-۳۵ مقاومت کنید. حتی بهترین خلبانها هم با ابزار ناکارآمد نمیتوانند موفق شوند. در امنیت شبکه نیز ایران از تجهیزات روز دنیا در حوزههایی مثل فایروال، آنتیویروس و استوریج و غیره محروم است. ضمناً تغییر IP برای دور زدن محدودیتها، سرعت و کیفیت کار را کاهش میدهد و دفاع سایبری را دشوارتر میکند.»
دهبسته در اینجا به تجربههای خود در سالهای قبل اشاره میکند و میگوید: «تجربهام در کار با سازمانهای مختلف نشان داده مشکلات امنیتی در برخی از سازمانها بارها از طرف شرکتهای امنیتی تذکر داده شده، اما تامین امنیت سیستمها در اولویت برخی از مدیران بالادستی نیست یا از اثر منفی آن در اعتبار سازمان غافل هستند. این بیتوجهی، مجموعهای از پیامدهای زنجیرهای را به بار میآورد. انتخاب پیمانکار بدون دقت و معیار فنی، کوتاهی در جذب نیروی متخصص و متعهد امنیت، واگذاری مسئولیت امنیت به تیمهای غیرمرتبط در سازمان و صرفاً ایجاد نگرانی و اضطراب در بین آنها، تخصیصنیافتن بودجه بهموقع برای ایمنسازیها، نبود برنامهریزی شفاف و نتیجهمحور سازمانها را متحمل هزینه و خسارت سنگین ناشی از حوادث امنیتی کرده است.»
البته دهبسته خود شرکتهای امنیتی را هم از چالشها بینصیب نمیداند و اضافه میکند: «کمبود نیروی متخصص و متعهد، مشکلات زیرساختی مثل قطعی اینترنت یا دسترسی محدود به سرویسها بخشی از چالشهای ماست اما تاکید میکنم مشکل امنیت سایبری در ایران بیش از آنکه ناشی از کمبود شرکتهای توانمند باشد، به نبود برنامهریزی دقیق و بیتوجهی به امنیت به عنوان یک اولویت کلان کسبوکار برمیگردد.»
الزاماتی که رعایت نمیشوند
قهرود همنظر با دهبسته ادامه میدهد: «بررسی روند مناقصات و سوابق پروژهها نشان میدهد خروجیها با انتظارات امنیتی فاصله زیادی دارد. آمار سه سال اخیر که بر اساس ارزیابی بیش از ۲۰ سازمان بزرگ به دست آمده، تصویر نگرانکنندهای دارد. بیش از ۷۰ درصد این سازمانها با الزامات فنی امنیتی منطبق نبودهاند. البته باید تاکید کنم این عدد بااحتیاط اعلام شده و در واقعیت حتی ممکن است بدتر باشد. در طول سالها فعالیتم و در جریان پروژههای مختلف، هشدارهای متعددی درباره آسیبپذیریهای حیاتی به مسئولان داده شد؛ هشدارهایی که گاه نهتنها پیگیری نشد، بلکه در مواردی همان آسیبپذیریها یک سال بعد به نشت گسترده اطلاعات انجامید. در واقع ما نهفقط حداقلهای امنیت سایبری را نداریم. بلکه آموزشها هم ناقص ارائه میشود و ارزیابیها اغلب صوری هستند.»
به گفته مشرفی، با این اوصاف حتی شرکتهای بزرگ هم تابآوری کمی در برابر حملات سایبری دارند: «نمیخواهم خیلی منفی باشم، اما واقعیت این است که شاید ۹۰ درصد شرکتهای بزرگ ایران زیرساختهای لازم را برای مقابله با تهدیدات روز ندارند. اما با وجود همه این مشکلات، میتوان با استفاده بهتر از منابع انسانی متخصص، آسیبها را کاهش داد. اگر قرار است صد درصد آسیب ببینیم، میتوان این عدد را به ۳۰ درصد رساند، به شرط اینکه امنیت در دل سازمانها نهادینه شود.»
قهرود در نهایت معتقد است چالش اصلی ایران نه کمبود دانش و نه نبود فناوری است؛ بلکه مشکل این است که قوانین درست، شفاف، قابل اجرا و نظارت وضع نشده است؛ برخورد قانونی با تخلفات جدی گرفته نمیشود و تخصص و آگاهی امنیتی، چه در سمت کارفرما و چه پیمانکار، در سطح مطلوبی قرار ندارد. به عقیده او راهکار این است که همین نقاط ضعف برطرف شوند تا مشکلات امنیتی بیشتری کشور را تهدید نکند.
