راه پرداخت
رسانه فناوری‌های مالی ایران

ناظمی: در شرایط بحران امنیتی استارت‌آپ‌ها نمی‌دانند باید به چه کسی پاسخگو باشند

جلسه هم‌اندیشی با شرکت‌های استارت‌آپی با موضوع «حفاظت از داده‌ها در اقتصاد دیجیتال» ۱۴ اردیبهشت‌ماه برگزار شد. در این جلسه معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات خبر از «مصوبه‌ای برای ایجاد کانال ارتباطی مشخص کسب‌وکارهای نوپا در شرایط بحران» با عنوان «حفاظت از داده‌ها در اقتصاد دیجیتال» داد.

به گزارش روزنامه ایران، در جلسه هم‌اندیشی که به بهانه درز اطلاعات یک شرکت تاکسی اینترنتی برگزارشده بود امیر ناظمی با اشاره به اینکه در شرایط بحران‌های امنیتی شرکت‌های استارت‌آپی کشور نمی‌دانند باید به چه کسی پاسخگو باشند اعلام کرد: «باید مصوبه‌ای آماده کنیم که یا به شورای عالی فضای مجازی یا شورای عالی امنیت ملی یا هر مرجع دیگری برود که بر اساس آن مشخص باشد در لحظات حساسی که شرکتی با حمله امنیتی خود مقابله می‌کند، کسی با این شرکت تماس نگیرد و این موضوع به بنگاه‌ها نیز اعلام شود که تنها یک یا دو مرجع مشخص با آنها تماس خواهند گرفت و به سایر تماس‌ها نیز پاسخ ندهند.»

 

هیچ اطلاعاتی از مسافران درز پیدا نکرده است

جلسه هم‌اندیشی فرصتی برای تبادل نظر میان کسب‌وکارهای نوپایی بود که حالا به دلیل گسترش بازار خود و در اختیار داشتن حجم قابل توجهی از دیتا حفظ امنیت اطلاعات در آنها اهمیت قابل توجهی پیدا کرده است. در ابتدای این جلسه میلاد منشی‌پور، مدیرعامل یکی از تاکسی‌های اینترنتی با اشاره به اتفاق امنیتی رخ داده شده برای این شرکت در مورد جزئیات این اتفاق گفت:‌ «در نشت اطلاعات صورت گرفته که اواخر فروردین‌ماه سال جاری اطلاع‌رسانی شد هیچ اطلاعاتی از مسافران درز پیدا نکرد. اطلاعات درز پیدا کرده مربوط به فاکتورهای ۱۸۰ هزار راننده غیر فعال و ۶۰ هزار راننده فعال بود که برای امور دارایی تهیه شده بود.»

بر اساس اظهارات او، اطلاعاتی که تنها مورد نفوذ یک هکر کلاه‌سفید اوکراینی قرارگرفته در نهایت توسط او از فضای مجازی حذف و از دسترس دیگران نیز حذف شد. او در این نشست تأکید کرد که این نفوذ به بخشی از اطلاعات رانندگان این تاکسی اینترنتی به خاطر غیرفعال شدن فایروال یکی از سرورهای جانبی این شرکت رخ داده است.

 

روی امنیت محصول و برنامه‌نویسی خود سرمایه‌گذاری ویژه می‌کنیم

مدیرعامل این تاکسی اینترنتی در ادامه با اشاره به درس‌آموزی که این شرکت از این نشت اطلاعات به دست آورده از سرمایه‌گذاری‌های بیشتر در بخش زیرساخت امنیت خبر داد و اینکه قرار است در این شرکت سند مدیریت بحران نیز تهیه شود. او در این مورد توضیح داد:‌ «پیش از این اتفاق به بحث امنیت توجه ویژه داشتیم؛ اما این اتفاق باعث شد تا بیشتر از پیش به بحث سرمایه‌گذاری در حوزه امنیت توجه کنیم. قرار است روی بخش فایروال شبکه و وب سرمایه‌گذاری مشخصی انجام دهیم و از طرفی نیز دسترسی مدیریتی به اطلاعات را به‌صورت اتوماتیک و نظام‌مند کنترل کنیم. همچنین قرار است روی امنیت محصول و برنامه‌نویسی خود نیز سرمایه‌گذاری ویژه انجام دهیم.»

منشی‌پور همچنین در ادامه به اطلاع‌رسانی به‌موقع و درست در شرایط بحران اشاره کرد و افزود:‌ «یکی دیگر از درس‌آموزی‌های ما در مورد این اتفاق مربوط به روابط عمومی و نحوه ارتباط ما با مردم، رگولاتور و کاربرانمان است. ما مسئول هستیم که واکنش سریع به چنین اتفاقاتی داشته باشیم؛ اما باید قبل از اطلاع‌رسانی سریع نیز مشکل را به‌صورت کامل شناسایی و بعد در مورد آن با مردم و رسانه‌ها صحبت کنیم.»

 

در زمان نشت اطلاعات جز کسب‌وکارها نهاد دیگری نمی‌تواند مشکل را حل کند

از جمله انتقادهایی که در این جلسه بارها توسط مدیران مختلف شرکت‌های استارت‌آپی مطرح شد این مساله بود که در بسیاری از مواقع و در صورت رخ دادن اتفاق‌های امنیتی آنها نمی‌دانند باید به چه نهادی پاسخگو باشند و از سوی دیگر اطلاع‌رسانی از سمت دولت در این زمینه هم چندان منطقی نیست.

ژوبین علاقبند، مدیرعامل یکی دیگر از تاکسی‌های اینترنتی نیز در این جلسه از مدیران وزارت ارتباطات خواست تا به نحوه اطلاع‌رسانی در چنین رخدادهایی دقت کنند. او در این مورد گفت: «زمانی که نشت اطلاعات تپ‌سی رخ داد برخی اعلام کردند که این رخداد یک فاجعه است و باید دادستانی به این موضوع رسیدگی کند و وارد این ماجرا شود؛ در صورتی که در چنین رخدادهایی جز کسب‌وکارها نهاد دیگری نمی‌تواند مشکل را حل کند.»

او تأکید کرد که این یک مساله مهم است که رگولاتور و نهادهای قانون‌گذار اجازه ندهند عده‌ای از آب گل‌آلود ماهی بگیرند و بگویند دادستانی باید وارد شود و برخورد کند.

در همین زمینه علیرضا صادقیان، فعال حوزه فاوا هم به مشخص نبودن پروتکل ارتباطی خاص بین شرکت‌ها و نهاد تصمیم گیر در صورت رخ دادن یک واقعه امنیتی اشاره و اعلام کرد: «هنوز مشخص نیست که اگر حمله یا نفوذی به اطلاعات شرکت‌ها رخ داد کانال ارتباطی ما برای پیگیری از دولت کجاست و از طرفی مشخص نیست ما در این شرایط باید به چه کسی جواب بدهیم.»

 

دستگاه هماهنگ‌کننده برای اتفاقات امنیتی، پلیس فتا است

نازنین دانشور، یکی از مؤسسان سایت فروش اینترنتی هم با اشاره به این معضل از نبود راه ارتباطی مشخص در وزارت ارتباطات انتقاد و گفت: «باید راه ارتباطی کسب‌وکارها با نهادهای بالا دستی برای توضیح در زمینه یک رخداد امنیتی مشخص باشد. از طرف دیگر ما باید بدانیم از چه کسی می‌توانیم کمک بگیریم و نباید شرایط به گونه‌ای رقم بخورد که تنها راه ارتباطی ما در وزارت ارتباطات یک نفر مانند رئیس سازمان فناوری نباشد.»

همچنین در این نشست علی محمد رجبی، رئیس مرکز اطلاعات پلیس فتا اعلام کرد که در زمان‌های بحران، دستگاه هماهنگ‌کننده برای اتفاقات امنیتی، پلیس فتا است. به گفته او، مرکز فوریت‌های پلیس فتا ۲۴ ساعته در خدمت کسب‌وکارهاست. همچنین او تأکید کرد که در پلیس فتا تیم‌های واکنش سریع نیز تشکیل شده است.

امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات نیز بیان کرد: «اینکه نفوذهای امنیتی ماه‌های اخیر برای تپ سی و کافه بازار برای آنها نیز درس‌آموزی‌هایی داشته اعلام کرد در حال حاضر یکی از معضلات اصلی این است که کسب‌وکارها در شرایط بحران نمی‌دانند که باید به چه کسی برای ارائه اطلاعات اطمینان کنند و از طرف دیگر باید از چه نهادی برای حل مشکل خود کمک بگیرند.»

 

تدوین دستورالعمل برای ارتباط کسب‌وکارها در شرایط بحران با دولت باید برای شرکت‌های کوچک با شرکت‌های بزرگ متفاوت باشد

او با اشاره به در نظر گرفتن مصوبه و دستورالعملی مشخص برای حل این معضل اعلام کرد: «باید مصوبه‌ای آماده کنیم که یا به شورای عالی فضای مجازی یا شورای عالی امنیت ملی یا هر مرجع دیگری برود که بر اساس آن مشخص باشد در لحظات حساسی که شرکتی با حمله امنیتی خود مقابله می‌کند، کسی با این شرکت تماس نگیرد و این موضوع به بنگاه‌ها نیز اعلام شود که تنها یک یا دو مرجع مشخص با آنها تماس خواهند گرفت و به سایر تماس‌ها نیز پاسخ ندهند.»

او بر این باور است که مشخص شدن یک پروتکل برای نحوه ارتباط بین شرکت‌ها و دولت در شرایط حساس می‌تواند به مدیریت بحران به وجود آمده نیز کمک کند.

ناظمی همچنین در این جلسه تأکید کرد که نوع تدوین دستورالعمل برای ارتباط کسب‌وکارها در شرایط بحران با دولت باید برای شرکت‌های کوچک با شرکت‌های بزرگ متفاوت باشد. او در این زمینه گفت: «نمی‌توان برای برقراری ارتباط نظام‌مند شرکت‌های استارت‌آپی در شرایط بحران با دولت یک دستورالعمل یکسان در نظر گرفت؛ چرا که نوع ارتباط برای دریافت اطلاعات و اطلاع‌رسانی در زمینه یک اتفاق امنیتی بین شرکت‌های بزرگ و کوچک با توجه به حجم اطلاعات و تعداد کاربرانشان فرق دارد.»

آن‌طور که ناظمی در این جلسه اعلام کرد قرار است تا ۱۵ روز آینده نسخه اولیه پروتکل ارتباطی وزارت ارتباطات با کسب‌وکارها در شرایط بحران‌های امنیتی تدوین و مورد بررسی کارشناسان قرار بگیرد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.