آموزش و سرمایه‌گذاری، کلید سازمان‌ها برای مقابله با تهدیدات سایبری

نویسنده: زهرا قربانی انتشار: 26 آبان سال 1404 ساعت 15:15 0

رویداد CTB باگدشت روز ۲۵ آبان ماه در هتل اسپیناس با محوریت تجربه سازمان‌ها پس از جنگ و اهمیت آموزش و سرمایه‌گذاری در امنیت اطلاعات برگزار شد. در این رویداد پنلی با حضور؛ هلالات، مدیر امنیت دیجی‌کالا؛ حسینیان تهرانی، معاون فناوری کافه بازار؛ احمدی، معاون فناوری تارا و زرجویی، مدیر امنیت چارگون و با راهبری سمانه سمیع، خبرنگار پیوست با موضوع تجربه سازمان‌ها پس از جنگ و اهمیت آموزش و سرمایه‌گذاری در امنیت اطلاعات برگزار شد. در این نشست هلالات از دیجی‌کالا تأکید کرد که بودجه امنیت نباید وابسته به بحران باشد، حسینیان تهرانی از کافه بازار بر اهمیت آموزش و پشتیبانی توسعه‌دهندگان تأکید کرد، احمدی از تارا هشدار داد که ریسک و تهدید همیشه نزدیک‌تر از آن چیزی است که تصور می‌شود و حفاظت از دیتا نیازمند سرمایه‌گذاری مستمر است، و زرجویی از چارگون بر نقش آموزش و پاداش در باگ‌بانتی برای تقویت امنیت سازمان‌ها تأکید کرد.

بودجه امنیت نباید وابسته به بحران باشد

هلالات، مدیر امنیت فناوری اطلاعات دیجی‌کالا، در خصوص توقعات کاربران در حوزه امنیت پس از جنگ توضیح داد: «این توقعات مستقیماً از سمت کاربر مطرح نمی‌شود؛ کاربران در درجه اول از پلتفرم‌ها انتظار سهولت و راحتی دارند. آنچه برای آن‌ها اهمیت دارد این است که دیتایی که در اختیار ما قرار می‌دهند، نزد پلتفرم‌ها امن بماند و منتشر نشود. پس از جنگ، سطح مانیتورینگ در پلتفرم‌ها افزایش یافت، اما این افزایش به سخت‌تر شدن تجربه کاربری منجر نشد. تنها میزان داده‌های امنیتی که از کاربر دریافت می‌شود بیشتر شده است، در حالی که تغییر قابل‌توجهی در ظاهر یا عملکرد سامانه مشاهده نمی‌شود.»

هلالات، مدیر امنیت فناوری اطلاعات دیجی‌کالا، درباره تغییرات در تیم‌های امنیت گفت: «اطلاعات آماری دقیقی در این زمینه نداریم؛ اما متأسفانه بسیاری از نیروهای نخبه کشور در سال‌های اخیر مهاجرت کرده‌اند و این موضوع روی تیم‌های تخصصی تأثیر گذاشته است.»

او در ادامه، درباره این‌که آیا جنگ موجب افزایش بودجه یا اختیارات بیشتر برای تیم امنیت شده است، توضیح داد: «در دیجی‌کالا نیازی نداریم که برای افزایش بودجه یا اختیارات، وارد چالش یا بحران شویم. واحد امنیت هم‌رده تیم آیتی سازمان نیست، اما ارزش آن کمتر از سایر واحدها هم نیست و نباید بودجه آن کمتر از سایر بخش‌ها باشد. با توجه به بلوغ تیم امنیت، باید بودجه مناسب و متناسب اختصاص یابد. شنیده‌ام که پس از ماجرای جنگ، در برخی شرکت‌ها بودجه امنیت افزایش یافته و اختیارتشان بیشتر شده است؛ اما در دیجی‌کالا ما نیازی به چنین تغییراتی نداشتیم.»

هلالات درباره ضرورت استفاده از باگ‌بانتی نیز توضیح داد: «اغلب باگ‌هایی که در رویدادها گزارش می‌شود مربوط به اپلیکیشن‌ها یا وب است. دلیل اینکه سازمان‌ها از باگ‌بانتی استفاده می‌کنند این است که دیدگاه‌های متفاوتی از سوی متخصصان بیرونی وجود دارد و شرکت‌ها به اندازه کافی نیرو ندارند که همه تست‌های نفوذ را به‌صورت کامل انجام دهند. این رویدادها کمک می‌کند تعداد زیادی متخصص به سامانه‌ها نگاه کنند، آن‌ها را تست کنند، باگ‌ها را پیدا کنند و در نهایت به سازمان گزارش دهند.»

ترکیب تیم‌های امنیت و باگ‌بانتی دو رویکرد مکمل‌اند

در ادامه حسینیان تهرانی، معاون فناوری کافه بازار درباره تغییراتی که در بازار پس از جنگ ایجاد شد گفت:
«ما در کافه بازار پروژه دو و نیم ‌ماهه‌ا‌ی را قبل از جنگ آغاز کردیم و حدود ۱۱۰ هزار اپلیکیشن به‌روز نشده و کم‌نصب را از پلتفرم حذف کردیم. مکانیزم‌های ما به عملکرد برخی اپ‌ها مشکوک شد و بررسی‌ها نشان داد که تصمیم درستی بوده است. این فرآیند حدود دو ماه طول کشید و در مردادماه رسانه‌ای شد. به‌نظر می‌رسد این اقدام مورد پسند کاربران بوده و کمک کرد اکوسیستم اپلیکیشن‌ها را سامان‌دهی کنیم. در شرایطی که کاربران اندروید با مشکلات مختلف روبه‌رو هستند، ما تلاش کردیم اپلیکیشن‌هایی که از نظر امنیتی سطح پایینی دارند در بخش دانلود و به‌روزرسانی در دسترس نباشند.»

او درباره وضعیت توسعه‌دهندگان نیز گفت: «تعدادی از توسعه‌دهندگان حذف شدند. مهاجرت هم اثر خودش را روی کافه‌بازار گذاشته است. انواع مختلف آن را دیده‌ایم؛ از کاهش تعداد دوستانی که با ما همکاری می‌کردند تا کسانی که دورکاری یا مهاجرت کرده‌اند. بعد از جنگ هم این وضعیت تشدید شد.»

تهرانی ادامه داد: «ما تیم پشتیبانی توسعه‌دهندگان را داریم که همیشه تلاش می‌کنند، اما مشکل آموزش جدی است. در بین توسعه‌دهندگان افرادی داریم که مهاجرت کرده‌اند اما همچنان برنامه می‌سازند. از نظر بودجه نیز تغییر ویژه‌ای نسبت به سال گذشته نداشته‌ایم؛ تنها هلدینگ بالادستی تغییر کرده است. اوضاع بد نبوده، اما همچنان در تلاش هستیم ضریب مواجهه‌مان را بهتر کنیم.»

تهرانی درباره ترکیب تیم‌های امنیت و باگ‌بانتی نیز توضیح داد: «هرچقدر هم در داخل شرکت یک تیم منسجم تشکیل دهیم، در نهایت ذهنیت تیم داخلی این است که یک فیچر جدید ارائه کند یا فیچر قبلی را بررسی کند. اما وقتی گروه بزرگی از افراد توانمند بیرون از سازمان، به‌صورت متمرکز روی بسترهای ما کار می‌کنند، نتیجه متفاوتی حاصل می‌شود. این دو رویکرد مکمل یکدیگر هستند.»

ریسک و تهدید از رگ گردن نزدیک‌تر است

احمدی، معاون فناوری تارا، درباره تجربه پس از جنگ توضیح داد: «جنگ یک اصل مهم را به ما یادآوری کرد: ریسک و تهدید همیشه از رگ گردن به ما نزدیک‌تر است، به‌ویژه در اکوسیستم فین‌تک. ما ۱۲ روز جنگ نداریم؛ ۳۶۵ روز سال درگیر جنگ هستیم. این تجربه دیدگاه‌ها را تغییر داد و نشان داد که دیتا چقدر ارزشمند است. جایی که رقیب دست بالا داشت، دقیقاً همان نقطه‌ای بود که دیتا در اختیار او بود. دیتا مهم‌ترین دارایی ماست و باید از آن محافظت شود.»

او درباره اهمیت محافظت از دیتا توضیح داد: «حملات مبتنی بر رفتارشناسی، فیشینگ هدفمند و جعل هویت همگی با تکیه بر دیتا انجام می‌شوند. بنابراین باید هات‌ساید و کلدساید، بک‌آپ ایزوله و اصول حداقل دسترسی رعایت شود؛ در غیر این‌صورت همیشه آسیب‌پذیر خواهیم بود. در حوزه سخت‌افزار عقب هستیم و عملاً روی زمین رقبا بازی می‌کنیم، بنابراین در طراحی‌ها، سیاست‌های دسترسی و مدیریت دیتا باید دقت بیشتری داشته باشیم. از دست دادن دیتا یعنی از دست دادن اعتبار و اعتماد کاربران، به‌ویژه شرکت‌هایی که با میلیون‌ها کاربر در ارتباط هستند.»

احمدی در ادامه درباره تعامل با سازمان‌ها پس از جنگ گفت: «بسیاری از مشتریان ما سازمانی هستند و امروز دیتا را با وسواس بیشتری ارائه می‌دهند. ما تلاش کردیم انعطاف بیشتری در همکاری با سازمان‌ها داشته باشیم، داده‌هایی که واقعاً نیاز نبود را حذف کنیم و سطح دریافت دیتا را مرحله‌به‌مرحله پیش ببریم.»

احمدی درباره مهاجرت نیروها و اثر آن بر تیم‌ها پس از جنگ توضیح داد: «از چند سال پیش موج مهاجرت نیروها را در سازمان‌ها مشاهده می‌کنیم و در تیم‌های IT این موضوع پررنگ‌تر است. جنگ و پس از آن، این روند تشدید شد. وقتی توسعه‌دهنده مهاجرت می‌کند، دانش خود را هم با خود می‌برد و این باعث می‌شود فرآیند جذب و آماده‌سازی نیروهای جدید طولانی و پرهزینه شود. این چرخه هم کیفیت کار را تحت تأثیر قرار می‌دهد و هم آسیب‌پذیری سازمان را افزایش می‌دهد. بنابراین آگاهی‌رسانی، آموزش مداوم و تولید دانش ضروری است و سازمان‌ها مجبور به سرمایه‌گذاری بیشتر می‌شوند.»

امنیت یک هزینه مقطعی نیست

احمدی درباره بودجه و نگرش به امنیت گفت: «پس از جنگ، دیدگاه‌ها تغییر کردند. معمولاً یک چالش بزرگ باعث می‌شود برای مدتی امنیت جدی گرفته شود، اما بعد از آن توجه به امنیت کاهش می‌یابد. امنیت یک هزینه مقطعی نیست؛ سرمایه‌گذاری مستمر است. بسیاری از مدیران شناخت کافی از امنیت ندارند و وظیفه ماست که این موضوع را شفاف کنیم تا در بودجه دیده شود. در تارا تعاملات بیشتری برقرار کردیم، برخی الزامات امنیتی را تدوین و در قراردادها اضافه کردیم.»

احمدی درباره مدیریت ریسک نیروی انسانی پس از مهاجرت گفت: «بعد از هر موج چالش، تعداد زیادی از متخصصان کشور را ترک می‌کنند. واقعیت این است که با حقوق محدود نمی‌توان در رقابت ماند، وقتی همان فرد در خارج از کشور درآمد بیشتری دارد. اما نکته مهم این است که نگرش شرکت به امنیت باید سرمایه‌گذاری محور باشد، نه هزینه‌ای قابل چشم‌پوشی. اگر امکان افزایش حقوق نیست، باید مزایای دیگری ایجاد کنیم، مسیرهای مالی بلندمدت طراحی کنیم و برای روزی که نیرو تصمیم به رفتن گرفت، آماده باشیم. مستندسازی و مستمر کردن دانش، کمترین آسیب را از خروج نیرو تضمین می‌کند. هوش مصنوعی جایگزین نیست اما می‌تواند در تحلیل‌ها کمک کند. همچنین مدل همکاری با شرکت‌های تخصصی امنیت و باگ‌بونتی را در نظر داریم تا در مواقع نیاز از ظرفیت آن‌ها بهره ببریم.»

احمدی همچنین در خصوص رویداد باگ‌بانتی گفت: «هر اقدامی که در حوزه کشف اشکالات انجام شود و باعث افزایش امنیت شود به ما در شناسایی نقاط ضعف کمک می‌کند و باگ‌بانتی از این قاعده مستثنی نیست.»

آموزش و ارتقای دانش، کلید کاهش آسیب‌پذیری

زرجویی، مدیر امنیت چارگون، درباره تغییرات امنیتی پس از جنگ توضیح داد: «دارایی اصلی سازمان در سرورها و نرم‌افزارها قرار دارد. بعد از جنگ، سازمان‌ها حساسیت بیشتری پیدا کردند و قوانین و مقررات گسترده‌تر شد، اما ما سعی کردیم کمک کنیم تا امنیت در بخش محصول ما رعایت شود. تلاش ما این است که اطمینان حاصل شود قوانین، استانداردها و ضوابط رعایت شده و اطمینان خاطر ایجاد شود. یکی از نکات مهم این بود که دانش تیم‌های امنیتی سازمان‌های دولتی به‌روز نبود؛ بنابراین ما سعی کردیم آنها را آگاه‌تر کنیم و چالش‌های موجود در زیرساخت را شناسایی کنیم.»

او درباره نحوه مدیریت امنیت و تجربه کاربری گفت: «ما قابلیت‌های امنیتی را مرحله‌به‌مرحله اضافه می‌کنیم؛ بایدها و حداقل‌ها رعایت شوند و احراز هویت دو عاملی جایگزین فرآیندهای پیچیده چندمرحله‌ای می‌شود. هدف ما این است که امنیت دیده شود اما تجربه کاربری کند نشود؛ یعنی تعادل بین امنیت و سهولت استفاده حفظ شود.»

زرجویی درباره هزینه‌ها و حساسیت‌های سازمان‌ها توضیح داد: «پس از جنگ، شرکت‌ها نسبت به نرم‌افزارهای خود حساس‌تر شدند و این حساسیت هزینه‌هایی را به سازمان‌ها تحمیل کرد. ما تلاش کردیم همراهی بیشتری با سازمان‌ها داشته باشیم و امنیت را به‌عنوان یک حلقه مشترک ببینیم؛ نمی‌توانیم فقط نرم‌افزار را امن بدانیم و سایر بخش‌ها را نادیده بگیریم. برای افزایش آگاهی، دوره‌های امنیت سایبری برای ادمین‌ها برگزار کردیم و بودجه و سرمایه‌گذاری انجام دادیم تا پیشگیری و تبعات احتمالی مدیریت شود. علاوه بر الزامات و گواهی‌های افتا، تیم امنیت را تقویت کرده‌ایم و سرمایه‌گذاری مستمری در این بخش انجام می‌شود.»

زرجویی درباره باگ‌بانتی و انگیزه تیم‌ها گفت: «تیم داخلی ما همیشه در حال تست و نفوذ است، اما تجربه و ترفندهای متخصصان مختلف و انگیزه پاداش در رویدادهای باگ‌بانتی، عملکرد را قوی‌تر و جذاب‌تر می‌کند. این موضوع کمک زیادی به ما کرده است.»