امنیت بیش از اینکه در زمان بودنش احساس شود، در زمان نبودنش به چشم میآید. وقتی با افراد راجع به موضوعات امنیتی صحبت میکنیم، میبینیم دغدغه چندانی برای آن ندارند، چون تا امروز از این نقطه دچار بحران نشدهاند و معتقدند قبل از صرف انرژی و منابع برای امنیت، چیزهای واجبتر دیگری برای مصرف منابع و انرژی وجود دارد و در زمان مواجهه با بحران، میخواهند یکشبه امنیت را ایجاد کنند. این درحالی است که باید برای برقراری امنیت سایبری هزینه کرد و این مهم به یکی از دغدغههای اصلی کسبوکارهای اینترنتی بدل شده است.
در این بخش گذری به خبری مهم در اوایل دی۱۴۰۲ میزنیم. «اسنپ فود هک شد»؛ خبری که ۱۰ دی مانند ترکیدن بمبی در رسانهها صدا کرد. اوایل شهریور نیز مدیرعامل تپسی در فضای مجازی خبر داد که تپسی موردنفوذ هکرها قرار گرفته و بخشی از اطلاعات کاربران بهدست هکرها افتاده است. درست پس از ۴ ماه اسنپفود نیز در دام این گروه هکری افتاد. این در حالی است که کمی پس از هک تپسی روابط عمومی اسنپ اعلام کرد: تیم امنیت سایبری اسنپ در تازهترین اقدام خود برای تقویت ساختار امنیت داده، برنامه «باگ بانتی» یا مسابقه ارزیابی امنیتی و شناسایی باگ خود را گسترش داده است. برنامه باگبانتی اسنپ، ۴ سطح از Medium تا Vital دارد که برای آن پاداشهای جدیدی تا سقف ۱۵۰ میلیون تومان تعیین شد. اما براساس اطلاعات بهدستآمده پس از ارزیابی، اسنپ حاضر نشد به وعده خود عمل کند و کلاهسفیدها نیز متناسب با مبلغ ناچیز دریافتی باگها را شناسایی کردند. همچنین اطلاعات ۲۰ میلیون کاربر اسنپفود بهواسطه یک گروه هکری در ازای ۳۰ هزار دلار به فروش رسید. حفاظت از دادههای کاربران وظایف دولت نیست و هر کسبوکاری وظیفه دارد زیرساختهای خود را تقویت و از دادههای مشتریان حفاظت کند.با این حال اسنپ که بهویژه در بخش اسنپفود با قرارداد انحصاری با رستورانها جولان میدهد، تنها مسئولیت این اتفاق را پس از درز اطلاعات ۲۰ میلیون کاربر پذیرفت.
رضا ممبنی - یک هکر کلاهسفید: فیلترینگ عامل اصلی افزایش هک سایتهای مختلف نیست، زیرا پس از فیلترینگ، سایتهای داخلی بهمنظور حفظ امنیت، دسترسی خود را تنها برای کاربران داخلی امکانپذیر میکنند که همین موضوع تا حدودی از امکان حملههای هکری میکاهد. متاسفانه این شرکتها برای اطلاعات و حریم شخصی کاربران خود اهمیتی قائل نیستند.
عامل اصلی اتفاقاتی چون هک اسنپفود، استفاده از افراد کمتجربه و بیتخصص در بخشهای مهم این شرکتها است. بیشک سایت شرکتهای بزرگ فروش اینترنتی چند باری هک شده، اما در این باره اطلاعرسانی نشده است.
مدتی پیش از این اتفاق هکرهای کلاهسفید درباره باگهای موجود در اسنپفود هشدار دادند. در نتیجه این هشدار و شناسایی باگها باید مبلغی به هکرهای کلاهسفید پرداخت شود که پیشنهاد آنها ۱۵۰ میلیون تومان برای ارائه جزئیات حفرههای امنیتی سایت بود، اما اسنپ تنها مایل به پرداخت ۵ میلیون تومان بود؛ در نتیجه کلاهسفیدها نیز در محدوده همین مبلغ اطلاعاتی را ارائه دادند. این در حالی است که اسنپ شهریور امسال خبری مبنی بر پرداخت پاداش ۱۵۰ میلیون تومانی در ازای شناسایی باگهای سایت منتشر کرد. این یعنی شرکت یادشده به وعده خود عمل نکرد.
قبل از اینکه یک سایت هک شود، تیمی تخصصی محتوای آن را در حفرههای متعددی بررسی و مشکلات را شناسایی میکنند. اگر تیم امنیتی شرکت قادر به رفع این حفرهها نباشد، هکرهای کلاهسفید در شرکتهای داخلی و خارجی مشکلات را اعلام و حل میکنند. هک یک سایت، بسته به امنیت و تیم پشتیبانی آن از یک تا ۱۲ ساعت زمان میبرد.
از سوی دیگر هزینههای متفاوتی برای حفظ امنیت سایت میشود، گاهی تیم امنیتی سایت قوی است و از عهده برخی از کارها برمیآید؛ در غیر این صورت با شرکتهای امنیتی داخلی یا خارجی قرارداد بسته میشود تا از سایت محافظت شود. هزینه این پشتیبانی مبلغ مشخصی نیست، زیرا برای سایتهای معروفی مانند دیجیکالا، اسنپ و... که تعداد کاربران بیشتری دارند، زمان بیشتری برای امنیت صرف خواهد شد. در هر صورت تیم امنیتی متناسب با عملکرد خود بهصورت ماهانه، سالانه یا پروژهای هزینههای مختلفی دریافت میکند.
محمدامین کریمان- کارشناس فناوری: امنیت یک موضوع پنهان نیست. متأسفانه خیلیها امنیت سایبری را یک کالای لوکس تلقی میکنند، در حالی که امنیت یک زیرساخت و یک الزام بهشمار میرود. اگر بخواهید پایههای درستی برای کسبوکار آنلاین شکل دهید، نمیتوانید امنیت را نادیده بگیرید. جامعه ما در یک دورهگذار از خدمات آفلاین به خدمات آنلاین است و هر روز نقش این سرویسها در زندگی مردم بیشتر میشود. در این میان هر مجموعهای که الزامات امنیتی را نادیده بگیرد، نهتنها به کسبوکار خود، بلکه میتواند به آحاد جامعه آسیب بزند.
اتفاقی که در مورد حادثه پمپ بنزینها افتاد، تنها نمونه کوچکی بود که میزان تأثیر ناامنی در فضای سایبری روی زندگی مردم را نمایان کرد.متأسفانه در رخدادهای سایبری معمولا حجم بالایی از نشت داده داریم که تأثیر مستقیمش در جامعه عمومی به چشم نمیآید. همین نشت دادهها منشاء خسارتها و رخدادهای آتی سایبری میشوند. برای مشخصشدن تأثیر رخدادهای سایبری، تعیین میزان خسارت عامل بسیار مهمی است که متأسفانه مکانیسم درستی برای اندازهگیری ارزش دادهها و برآورد میزان خسارت نداریم. این مشکل فقط مربوط به ایران نیست؛ در سطح جهانی نیز ضعف قانون و رگولاتوری برای تعیین ارزش اطلاعات و برآورد میزان خسارت با چالش بزرگی مواجه است و این ضعف باعث شده تا بیشتر رخدادهای سایبری آنگونه که باید، مورد توجه قرار نگیرند.
محمد خلج- کارشناس خدمات تاکسیهای اینترنتی: یکی از دغدغههای اصلی هر شرکت و کسبوکاری این است که با بالاترین میزان امنیت، اطلاعات کاربران خود را حفظ کند چون مزیت یک شرکت یا هر کسب و کاری این است که هم از دادهای که ایجاد شده به درستی محافظت و هم از آن: طبق گفتمان انقلاب صنعتی چهارم و مباحثی که تحت عنوان انقلاب صنعتی پنجم مطرح میشود، تعریف مشخصی از اقتصاد دیجیتال و حوزه فناوری در کشور و دنیا دارد، این است که این حوزه را به سه قسمت مجزا و مشخص تقسیمبندی میکنند. یک بخش مربوط به بحثهای زیرساختهای حوزه اقتصاد دیجیتال مانند شرکتهایی است که بهصورت اپراتوری بستر و زیرساخت اینترنت را فرهم میکنند که اینها همان حلقههای اولیه اقتصاد دیجیتال و زیربنای فعالیت کسبوکارهایی میشوند که میتوانند بر روی این بستر بیایند و ارزش افزودهای ایجاد کنند. اما حلقه دوم عملا شرکتها و مجموعههایی هستند که به عنوان پلتفرم شناخته میشوند و بستری را فراهم میکنند تا کسب و کارهای مختلف بر بستر اینترنت و سکوهای پلتفرمها فعالیت کنند. در این مرحله نیز اقتصاد مشارکتی مشخص و ظرفیتی فراهم میشود تا کسب و کارهای مختلف از طریق سکوها خدماتی ارائه یا اینکه بستری را فراهم کنند و به عنوان حلقه سوم اقتصاد دیجیتال بتوانند ارائه سرویس کنند. حلقه سوم اقتصاد دیجیتال نیز معمولا به عنوان بخشی از فضای اقتصادی کشور مطرح میشود که به صورت سنتی فعالیت میکنند اما ظرفیتی دارند که بتوانند از زیرساختهای موجود در حلقه اول و دوم ایجاد شده بهرهمند شوند و بهرهوری خود را بالا ببرند. معمولا در این بخش مفاهیمی مانند شرکتهای دانشبنیان، مؤسسهها، پلتفرمها و سکوها مطرح میشوند که میتوانند در بخش سنتی اقتصاد یک کشور فعال شود و به بالا رفتن بهرهوری کمک کنند. این حوزه عملا جایی است که باعث میشود هم سهم اقتصاد دیجیتال از تولید ناخالص داخلی افزایش پیدا کند و هم در ضریب دادن به توسعه بخش اقتصاد دیجیتال کشور نقش مؤثری داشته باشد. مهمترین اتفاق در آینده حرکت به سویی است که جایگاه کسب و کارها در اقتصاد کشور تبیین شود. بخش دیگر زیرساخت شرکتهای فعال این حوزه است به گونهای که این شرکتها خود ذاتا میتوانند بهدست آورند یا خلق کنند بنابراین به نظرم نباید به حمایتهایی از جنس غیر ارگانیک برای اینکه یک کسب و کار را توسعه و رشد بدهد زیاد پرداخته شود اما زیرساختی که شرکتها بتوانند تولید دانش، فناوری انجام دهند و نیروی انسانی خود را رشد دهند بسیار مهم است. بحث امنیت سایبری شاید فقط به کسب و کارها مربوط نشود. ما شاهدیم با توجه به شرایطی که وجود دارد مثلا مراکز دادهای که خصوصی نیستند عملا با این حملات مواجه هستند. طبیعتا یکی از دغدغههای اصلی هر شرکت و کسبوکاری این است که با بالاترین میزان امنیت، اطلاعات کاربران خود را حفظ کند چون مزیت یک شرکت یا هر کسب و کاری این است که هم از دادهای که ایجاد شده به درستی محافظت و هم از آن برای توسعه خود استفاده کند.
حسام اسدی - عضو سازمان نظام صنفی رایانهای تهران : از نظر امنیتی اقدامات بسیاری انجام گرفته اما اینکه چقدر به نتیجه رسیده است، باید مورد بررسی قرار گیرد؛ به عبارتی دستاندرکاران این حوزه به دنبال ساختار امنیتی بودند و این موضوع مورد بررسی قرار داشته است اما با مشکلاتی که در این حوزه پیش آمده، باید دید آیا به هدف مورد نظر دست یافته شده یا خیر. زمانی که مشکلاتی در زمینه امنیت سایبری وجود دارد، به این معناست که قطعا تعدادی موانعی هم در این بخش وجود داشته که دستاندرکاران امنیت سایبری نتواستهاند به اهداف مورد نظر برسند. برای اعمال فرآیند امنیت سایبری باید هزینه لازم صورت گیرد. اگر سازمانها این هزینهها را نپردازند، قطعا در این حوزه به مشکلاتی برخواهند خورد. با اینهمه مشاهده میشود برخی شرکتهای سرویس دهنده اینترنت و میزبانی سایت، فقط بر کمیت تمرکز کردهاند و به دنبال مشتری و ارائه سرویس بیشتر و افزایش سرورهای خود بودند، این شرکتها بیشتر به دلیل هزینههای دیگری که دارند، سعی میکنند قیمتها را پایینتر بیاورند و درنتیجه مجبورند کیفیت را کاهش دهند و به تبع آن به کمیت اهمیت بدهند. از سوی دیگر برای اینکه در این موقعیت بتوانند با همردیفهای خود رقابت کنند، مجبورند که قیمتها را کاهش دهند و کاهش نرخ هم دلیل بر این است که حتما کیفیت مقداری پایین آمده است. هر سازمان باید یک تیم امنیتی دائمی و مستقر در سازمان خود داشته باشد تا بتواند مرتبا مسائل امنیتی و نکات ضعف را رصد، گزارشگیری و حل کند. در این زمینه هم اگر سازمانها بخواهند تیم امنیتی قوی داشته باشند، باید در مواردی مانند آموزش و فرهنگسازی نیروها هزینه کنند. خود موضوع فرهنگسازی در مجموعهها، عامل مهمی است تا نیروهایی تربیت شوند که از نظر فنی و درک مسائل امنیتی بالا باشند و بتوانند امنیت سایبری را حفظ را کنند. سازمانهایی که از نظر امنیت سایبری به مشکل برمیخورند، احتمالا برای بخشهای خود در حوزه امنیت فناوری اطلاعات، به اندازه مورد نیاز هزینه نمیکنند.
امنیت در حوزه فناوری اطلاعات و هزینههای مربوط به آن برای جامعه ملموس نیست، ولی هزینه امنیت فیزیکی کاملاً ملموس است؛ مثلاً وقتی از ساختمانی سرقت بشود، نخستین کاری که میکنید، نصب حفاظ برای پنجرهها و در ضدسرقت و قفلهای پیچیدهتر و گاوصندوق محکمتر است. تمام این مدلها در حوزه امنیت اطلاعات نیز مطرح هستند، ولی بخش بزرگی از جامعه شخصی و سازمانی ما مفهوم حفظ داراییهای نرم را کمتر درک میکند. این تعلل به یکی از دغدغههای اصلی کسبوکارهای اینترنتی بدل شده است.