سایبر ریکاوری و آینده امنیت داده

در ادامه سلسله گفت‌وگوهای تخصصی که به بهانه دومین رویداد زیرساخت دیجیتال با فعالان و کارشناسان این حوزه انجام می‌شود، با مسعود مقیمی، مدیرعامل داروگ کلاود، به گفت‌وگو نشستیم. مقیمی در این گفت‌وگو توضیح می‌دهد چرا اتکای صرف به بک‌آپ‌های سنتی دیگر پاسخگوی تهدیدهای امروز نیست، چگونه نفوذهای سایبری جدید حتی نسخه‌های پشتیبان را هم از بین می‌برند و چرا راهکارهای مبتنی بر سایبر ریکاوری و هوش مصنوعی به یک ضرورت استراتژیک برای سازمان‌ها، به‌ویژه کسب‌وکارهای بزرگ و برندمحور، تبدیل شده‌اند. او مسیر گذار از بک‌آپ سنتی به امنیت لایه‌مند و کلاودی را ترسیم می‌کند که تأخیر در آن می‌تواند هزینه‌ای جبران‌ناپذیر داشته باشد.

اگر بخواهیم از منظر تاریخی نگاه کنیم، مفهوم امنیت و سلامت داده چه دوره‌ها و تحولاتی را پشت سر گذاشته است؟ در هر یک از این دوره‌ها، به‌ویژه در ۲۰ تا ۳۰ سال گذشته، چه راهکارهایی برای آن طراحی شده؟

با تجربه ۲۰ ساله‌ام در زیرساخت دیجیتال، چه در مشاوره به سطوح ارشد و چه در حوزه فنی، مشاهده کرده‌ام که برخی بحران‌ها مستقیماً سلامت و پایداری کسب‌وکار را تهدید می‌کنند. امروزه همه سازمان‌ها الکترونیکی هستند و بدون زیرساخت دیجیتال، سامانه‌ها و داده، سازمان عملاً کارایی ندارد. تصور کنید صبح به محل کار بیایید و داده‌هایتان در دسترس نباشد؛ آن‌وقت مدیرعامل با این سؤال مواجه می‌شود که کسب‌وکار را از فردا چگونه ادامه دهد. از نظر سلامت داده، ۷۰ درصد سازمان‌هایی که نتوانسته‌اند داده‌هایشان را در زمان منطقی بازگردانند، ظرف دو سال کاملاً ورشکسته شده‌اند. در گذشته، متخصصان برای تضمین سلامت داده‌ها، بودجه می‌گرفتند تا تجهیزات مثل استوریج خریداری و سامانه‌ها روی آن مستقر شود. داده‌ها در یک یا چند نقطه ذخیره می‌شد و در سازمان‌های بزرگ‌تر، در چند سایت پشتیبان‌گیری انجام می‌شد و در صورت خرابی یا نفوذ، بک‌آپ ریستور می‌شد تا داده حفظ شود. این رویکرد در دهه اخیر رایج بود، اما در سه تا چهار سال اخیر با تغییرات فناوری، دیگر تنها اتکا به بک‌آپ برای حفظ کسب‌وکار کافی نیست.

دوره‌ای را توضیح دادید که در آن با اتکا به بک‌آپ، همه‌چیز قابل بازگشت بود و کسب‌وکارها دوباره به شرایط عادی برمی‌گشتند. در آن مقطع، زیرساخت‌های سخت‌افزاری‌ای که این راهکار را معتبر و امکان‌پذیر می‌کردند چه بودند و این زیرساخت‌ها تا چه حد در ایران در دسترس قرار داشتند؟

برای بک‌آپ‌گیری چند روش وجود داشت که از نظر سخت‌افزاری مبتنی بر دیسک، مبتنی بر نوار و مبتنی بر فناوری‌های نوری و بلوری بودند. هرکدام از این روش‌ها در برابر برخی اتفاقات مقاومت بیشتری داشتند. مثلاً در برابر پدیده‌ای مثل بمب الکترومغناطیسی یک روش مقاوم‌تر بود، در برابر خرابی یا آتش‌سوزی روش دیگری عملکرد بهتری داشت و در مواقعی مثل قطع برق سایت یا بروز حوادث فیزیکی، یک فناوری نسبت به بقیه مزیت داشت.

در ایران، تحریم‌ها واردات این تجهیزات را دشوار کرده بود، اما با وجود همه سختی‌هایی که شرکت‌های بازرگانی در حوزه‌های مختلف متحمل می‌شدند، این موضوع مدیریت می‌شد. به‌طور کلی، در تأمین این تجهیزات چالش یا مشکل جدی و غیرقابل‌حلی وجود نداشت و امکان واردات آن‌ها فراهم بود. بخش دیگری از این راهکارها به نرم‌افزارها و سامانه‌ها مربوط می‌شد؛ یعنی نرم‌افزارهای بک‌آپ‌گیری. در این حوزه هم، با توجه به تلاش‌هایی که برای کاهش اثرات تحریم‌ها انجام می‌شد، سازمان‌ها می‌توانستند به‌نوعی شرایط را مدیریت کنند و فناوری‌های موردنیاز را وارد کشور کنند.

چرا معتقدید بک‌آپ‌گیری به شکل سنتی دیگر پاسخگوی دغدغه امنیت و سلامت داده نیست؟ از مدیرعامل گرفته تا مهندسان و ادمین‌های شبکه، چه کسی در سازمان باید این تغییر را ببیند و آن را درک کند و به سمت راهکارهای جایگزین برود؟ چه تغییر فرهنگی‌ باید در سازمان ایجاد شود تا پذیرفته شود که این دوره به پایان رسیده است؟

از آنجا که وجود یا عدم وجود داده می‌تواند کل کسب‌وکار را تهدید کند، اولین فردی که باید حساس باشد، مدیرعامل است. فرقی نمی‌کند سازمان در چه صنعتی باشد؛ کافی است یک روز اطلاع داده شود که هیچ داده‌ای وجود ندارد. در این شرایط مشخص می‌شود کدام لایه‌های سازمان باید حساس شوند. توصیه می‌کنم در سطح هیئت‌مدیره کمیته‌ای تشکیل شود و بودجه مشخصی اختصاص یابد، زیرا موضوع بسیار حساس است و ریسک‌های بالایی دارد؛ برخی از اتفاقات ناخوشایند ناشی از این ریسک‌ها رسانه‌ای شده‌اند، اما بسیاری از آن‌ها رسانه‌ای نشده‌اند. ما آمارها را دقیق رصد می‌کنیم، زیرا نوع و موفقیت نفوذها تأثیر مستقیمی بر تصمیمات در حوزه زیرساخت دیجیتال و امنیت دارد.

آمارهای چهار تا پنج سال اخیر نشان می‌دهد که بیشتر خرابی‌های داده ناشی از نفوذهای جدید سایبری بوده و بنابراین شناخت رفتارهای جدید نفوذ سایبری اهمیت زیادی دارد. به طور خلاصه، در بسیاری از موارد نفوذگر ظرف یک ساعت هم داده‌های اصلی و هم نسخه‌های بک‌آپ را تخریب کرده است. آمارها نشان می‌دهد حدود ۶۰ درصد نفوذهایی که منجر به خرابی داده شده‌اند، بک‌آپ را هم از بین برده‌اند. بنابراین بک‌آپ امروز خود در معرض خطر است و نیاز به روش‌های جدیدی دارد که آن را محافظت کنند.

به‌صورت کلی، مفهوم این راهکارها چیست و بر چه فناوری‌ها و رویکردهایی استوارند؟ پس از عبور از مدل سنتی بک‌آپ، راهکار حفظ سلامت و امنیت داده بر چه اساسی تعریف می‌شود؟

برای توضیح این موضوع می‌توان از مثال گاوصندوق بانکی استفاده کرد؛ جایی که با مجموعه‌ای از لایه‌های ایمنی، سرقت بسیار دشوار می‌شود. در این رویکرد، نفوذگر شبیه یک سارق در نظر گرفته می‌شود و راهکار «سایبر ریکاوری» مانند یک گاوصندوق یا قلعه امن در زیرساخت دیجیتال عمل می‌کند. سایبر ریکاوری مجموعه‌ای از فناوری‌های سخت‌افزاری و نرم‌افزاری است که در آن داده‌ها در بازه‌های زمانی مشخص به یک محیط کاملاً امن منتقل می‌شوند و پس از انتقال، دسترسی به این محیط به‌طور کامل قفل می‌شود.

در این رویکرد، مشابه قلعه‌های قدیمی با خندق و پل قطع‌شدنی، فناوری «ایرگپ» به‌کار می‌رود؛ داده‌های بک‌آپ از طریق شبکه به گاوصندوق دیجیتال منتقل و سپس اتصال شبکه کاملاً قطع می‌شود. در داخل این محیط، فناوری‌ها با چند مرحله اسکن امنیتی و هوش مصنوعی داده‌ها را تحلیل می‌کنند و نسخه‌های بک‌آپ بازبینی و پایش می‌شوند تا سلامت داده تضمین شود. در این روش که طی سه تا چهار سال اخیر جهانی شده و در ایران کمتر استفاده شده، حتی اگر نفوذگر چند نسخه داده و چند سایت سازمان را تخریب کند، یک نسخه امن در سایبر ریکاوری باقی می‌ماند و تداوم کسب‌وکار حفظ می‌شود.

آیا سایبر ریکاوری نیازمند فناوری و تجهیزات سخت‌افزاری خاص و اختصاصی است یا بیشتر یک راهکار نرم‌افزاری است که می‌توان آن را روی سخت‌افزارهای مشخص پیاده‌سازی کرد؟

سایبر ریکاوری الزاماً به سخت‌افزار خاص‌منظوره نیاز ندارد. البته اگر از سخت‌افزارهای خاص‌منظوره در کنار آن استفاده شود، می‌تواند مزایایی مثل کاهش هزینه ایجاد کند، اما در اصل وابسته به سخت‌افزار اختصاصی نیست. تفاوت اصلی آن با بک‌آپ، بیشتر به تغییراتی برمی‌گردد که در راهکار نرم‌افزاری سایبر ریکاوری وجود دارد، به‌علاوه استفاده از مکانیزم‌های امنیتی متنوع‌تر.

در این راهکار، چندین لایه اسکن امنیتی وجود دارد و از اسکن مبتنی بر هوش مصنوعی استفاده می‌شود؛ چیزی که در بک‌آپ‌های سنتی وجود نداشت. همچنین فرایندهای بسیار پیچیده و پیشگیرانه‌ای در آن تعریف شده و به همین دلیل، این رویکرد بیشتر مغزافزارمحور است تا سخت‌افزارمحور. به‌دلیل همین پیچیدگی‌ها که عمدتاً مبتنی بر هوش مصنوعی، نرم‌افزار و فرایندهایی است که باید با دقت و نظم بالا اجرا شوند، برندهای بزرگ فعال در حوزه بک‌آپ در سطح جهانی، مانند شرکت‌هایی که در این حوزه شناخته‌شده هستند، اصلی‌ترین گزینه‌ای که برای سایبر ریکاوری ارائه می‌دهند، مدل مبتنی بر کلاود است.

در این مدل، کل این چرخه توسط خود وندور مدیریت می‌شود. از آن‌جا که پیاده‌سازی و مدیریت این سطح از فرایند و پیچیدگی می‌تواند فشار زیادی به سازمان وارد کند، انجام کامل آن توسط تیم‌های داخلی سازمان کار ساده‌ای نیست. با این حال، سازمان‌ها همچنان می‌توانند این راهکارها را به‌صورت داخلی پیاده‌سازی کنند یا همان‌طور که در دنیا رایج شده، اجرای آن را به یک وندور بسپارند. وندوری که ممکن است ارائه‌دهنده بک‌آپ کلاودی باشد یا یک ارائه‌دهنده خدمات کلاود که سرویس سایبر ریکاوری ارائه می‌دهد.

راهکار سایبر ریکاوری اصولاً یک راهکار کلاودی محسوب می‌شود؟

سایبر ریکاوری می‌تواند به‌صورت کلاودی ارائه شود و همچنین این امکان وجود دارد که خود سازمان آن را پیاده‌سازی کند. اما در حالتی که سازمان بخواهد این راهکار را به‌صورت داخلی اجرا کند، همان نکته‌ای که شما اشاره کردید اهمیت زیادی پیدا می‌کند؛ یعنی نیاز به سطح بالایی از دانش و توان فنی. البته راه‌های آن در کشور وجود دارد؛ چه از طریق برون‌سپاری و استفاده از ظرفیت شرکت‌های دیگر و چه با اتکا به توان داخلی خود سازمان. هر دو مسیر امکان‌پذیر است، اما اگر سازمان امروز تصمیم بگیرد خودش این راهکار را پیاده‌سازی کند، به احتمال زیاد نیاز به خرید تجهیزات و طی کردن فرایندهایی مانند مناقصه و خرید خواهد داشت که ممکن است یک تا دو سال زمان ببرد. به همین دلیل می‌خواهم تأکید کنم که حتی در کوتاه‌مدت، استفاده از کلاود می‌تواند کمک قابل‌توجهی به سازمان‌ها بکند؛ حتی برای سازمان‌هایی که در نهایت قصد دارند این راهکار را به‌صورت داخلی پیاده‌سازی کنند.

با توجه به اینکه این راهکار نسبتاً جدید و پیچیده است، در حال حاضر توصیه شما چیست؟ چه سازمان‌هایی و با چه مقیاسی باید به سمت آن بروند و چرا تأخیر، به‌ویژه برای سازمان‌های بزرگ، می‌تواند هزینه‌های سنگینی داشته باشد؟

سازمان‌های بزرگ با گردش مالی بالا، مانند بانک‌ها، بورس، بیمه‌های بزرگ، تلکام و هلدینگ‌ها، ضروری است که به این راهکار روی بیاورند و حتی اکنون هم دیر شده است. هرجا پول زیاد باشد، نفوذگر انگیزه بیشتری برای تخریب داده یا باج‌گیری دارد. دسته دیگری سازمان‌هایی با مخاطب زیاد هستند که هدف حملات «هک اکتیویستی» برای ضربه زدن به برند قرار می‌گیرند؛ مانند برخی فین‌تک‌ها یا اینشورتک‌ها با جامعه مخاطب گسترده. بنابراین سازمان‌های دارای گردش مالی یا برند شناخته‌شده حتماً باید این راهکار را مدنظر قرار دهند.

اگر سازمان برند شناخته‌شده‌ای دارد، همین توصیه صادق است، حتی اگر گردش مالی بالا نداشته باشد. هر سازمانی که از دست رفتن داده برایش بحرانی باشد، باید موضوع را جدی بگیرد. آمارها نگران‌کننده‌اند و نشان می‌دهند در کشورهایی با حساسیت‌های سیاسی بالا، میزان خرابی داده چند برابر دیگر کشورهاست. این عوامل نشان می‌دهند که برای پرداختن به این موضوع، حتی اکنون هم دیر است.

به‌عنوان سؤال پایانی، با توجه به اهمیت منابع انسانی متخصص در استانداردها و چارچوب‌های امنیت و سلامت داده، سرمایه‌گذاری در این حوزه تا چه حد ضروری است و سازمان‌ها، به‌ویژه فعالان زیرساخت دیجیتال، تا چه اندازه باید برای پرورش این متخصصان زمان و هزینه صرف کنند؟

در ایران در همه حوزه‌ها، از جمله امنیت سایبری و بک‌آپ، کمبود نیروی متخصص وجود دارد، اگرچه شرکت‌های فعال و مؤثر هم هستند. در مجموعه هلدینگی که شرکت داروگم دارد، مجموعه ارژنگ سال‌ها تخصص داشته و نقش مهمی در افزایش دانش و تجربه کشور ایفا می‌کند. آموزش می‌تواند نقش پررنگی در ارتقای توان کشور داشته باشد و لازم است هم در کوتاه‌مدت و هم میان‌مدت دیده شود. در میان‌مدت، سرمایه‌گذاری روی نیروی انسانی بسیار مهم است و در کوتاه‌مدت، سازمان‌ها باید با شرکت‌های بازرگانی دارای رویکرد سولوشنی همکاری کنند و همزمان نیروهای داخلی خود را آموزش دهند.

دنیا منتظر آمادگی کامل ما نمی‌ماند و باید سریع عمل کرد. سازمان‌ها می‌توانند هم از شرکت‌های بازرگانی با نگاه سولوشنی و هم از شرکت‌های کلاودی که راهکارهای مطمئن ارائه می‌دهند، در کوتاه‌مدت استفاده کنند تا زمان بخرند. در میان‌مدت و بلندمدت، در صورت تمایل، می‌توانند این راهکارها را به‌صورت داخلی پیاده‌سازی کنند. با توجه به طولانی بودن فرایند واردات، تخصیص ارز و بروکراسی، خرید و استقرار یک راهکار سایبر ریکاوری ممکن است یک تا دو سال طول بکشد و ریسک بالایی داشته باشد. بنابراین، پیشنهاد می‌شود در کوتاه‌مدت از سرویس‌های کلاودی استفاده و سپس پروژه داخلی اجرا شود.