امنیت بیش از اینکه در زمان بودنش احساس شود، در زمان نبودنش به چشم می‌آید. وقتی با افراد راجع به موضوعات امنیتی صحبت می‌کنیم، می‌بینیم دغدغه چندانی برای آن ندارند، چون تا امروز از این نقطه دچار بحران نشده‌اند و معتقدند قبل از صرف انرژی و منابع برای امنیت، چیزهای واجب‌تر دیگری برای مصرف منابع و انرژی وجود دارد و در زمان مواجهه با بحران، می‌خواهند یک‌شبه امنیت را ایجاد کنند. این درحالی است که باید برای برقراری امنیت سایبری هزینه کرد و این مهم به یکی از دغدغه‌های اصلی کسب‌وکارهای اینترنتی بدل شده است.

هک‌های دردسرساز

در این بخش گذری به خبری مهم در اوایل دی۱۴۰۲ می‌زنیم. «اسنپ فود هک شد»؛ خبری که ۱۰ دی مانند ترکیدن بمبی در رسانه‌ها صدا کرد. اوایل شهریور نیز مدیرعامل تپسی در فضای مجازی خبر داد که تپسی موردنفوذ هکرها قرار گرفته و بخشی از اطلاعات کاربران به‌دست هکرها افتاده است. درست پس از ۴ ماه اسنپ‌فود نیز در دام این گروه هکری افتاد. این در حالی است که کمی پس از هک تپسی روابط عمومی اسنپ اعلام کرد: تیم امنیت سایبری اسنپ در تازه‌ترین اقدام خود برای تقویت ساختار امنیت داده‌، برنامه‌ «باگ بانتی» یا مسابقه ارزیابی امنیتی و شناسایی باگ خود را گسترش داده است. برنامه‌ باگ‌بانتی اسنپ، ۴ سطح از Medium تا Vital دارد که برای آن پاداش‌های جدیدی تا سقف ۱۵۰ میلیون تومان تعیین شد. اما براساس اطلاعات به‌دست‌آمده پس از ارزیابی، اسنپ حاضر نشد به وعده خود عمل کند و کلاه‌سفیدها نیز متناسب با مبلغ ناچیز دریافتی باگ‌ها را شناسایی کردند. همچنین اطلاعات ۲۰ میلیون کاربر اسنپ‌فود به‌واسطه یک گروه هکری در ازای ۳۰ هزار دلار به فروش رسید. حفاظت از داده‌های کاربران وظایف دولت نیست و هر کسب‌وکاری وظیفه دارد زیرساخت‌های خود را تقویت و از داده‌های مشتریان حفاظت کند.با این حال اسنپ که به‌ویژه در بخش اسنپ‌فود با قرارداد انحصاری با رستوران‌ها جولان می‌دهد، تنها مسئولیت این اتفاق را پس از درز اطلاعات ۲۰ میلیون کاربر پذیرفت.

برخی شرکت‌ها اهمیتی برای کاربران قائل نیستند

رضا ممبنی - یک هکر کلاه‌سفید: فیلترینگ عامل اصلی افزایش هک سایت‌های مختلف نیست، زیرا پس از فیلترینگ، سایت‌‌های داخلی به‌منظور حفظ امنیت، دسترسی خود را تنها برای کاربران داخلی امکان‌پذیر می‌کنند که همین موضوع تا حدودی از امکان حمله‌های هکری می‌کاهد. متاسفانه این شرکت‌ها برای اطلاعات و حریم شخصی کاربران خود اهمیتی قائل نیستند.

 عامل اصلی اتفاقاتی چون هک اسنپ‌فود، استفاده از افراد کم‌تجربه و بی‌تخصص در بخش‌های مهم این شرکت‌ها است. بی‌شک سایت‌ شرکت‌های بزرگ فروش اینترنتی چند باری هک شده، اما در این باره اطلاع‌رسانی نشده است.

مدتی پیش از این اتفاق هکرهای کلاه‌سفید درباره باگ‌های موجود در اسنپ‌فود هشدار دادند. در نتیجه این هشدار و شناسایی باگ‌ها باید مبلغی به هکرهای کلاه‌سفید پرداخت شود که پیشنهاد آنها ۱۵۰ میلیون تومان برای ارائه جزئیات حفره‌های امنیتی سایت بود، اما اسنپ تنها مایل به پرداخت ۵ میلیون تومان بود؛ در نتیجه کلاه‌‌سفیدها نیز در محدوده همین مبلغ اطلاعاتی را ارائه دادند. این در حالی است که اسنپ شهریور امسال خبری مبنی بر پرداخت پاداش ۱۵۰ میلیون تومانی در ازای شناسایی باگ‌های سایت منتشر کرد. این یعنی شرکت یادشده به وعده خود عمل نکرد.

قبل از اینکه یک سایت هک شود، تیمی تخصصی محتوای آن را در حفره‌‌‌های متعددی بررسی و مشکلات را شناسایی می‌کنند. اگر تیم امنیتی شرکت قادر به رفع این حفره‌ها نباشد، هکرهای کلاه‌سفید در شرکت‌های داخلی و خارجی مشکلات را اعلام و حل می‌کنند. هک یک سایت، بسته به امنیت و تیم پشتیبانی آن از یک تا ۱۲ ساعت زمان می‌برد.

از سوی دیگر هزینه‌های متفاوتی برای حفظ امنیت سایت می‌شود، گاهی تیم امنیتی سایت قوی است و از عهده برخی از کارها برمی‌آید؛ در غیر این صورت با شرکت‌های امنیتی داخلی یا خارجی قرارداد بسته می‌شود تا از سایت محافظت شود.  هزینه این پشتیبانی مبلغ مشخصی نیست، زیرا برای سایت‌های معروفی مانند دیجی‌کالا، اسنپ و... که تعداد کاربران بیشتری دارند، زمان بیشتری برای امنیت صرف خواهد شد. در هر صورت تیم امنیتی متناسب با عملکرد خود به‌صورت ماهانه، سالانه یا پروژه‌ای هزینه‌های مختلفی دریافت می‌کند.

امنیت سایبری مولفه‌ای لوکس نیست

محمدامین کریمان- کارشناس فناوری: امنیت یک موضوع پنهان نیست. متأسفانه خیلی‌ها امنیت سایبری را یک کالای لوکس تلقی می‌کنند، در حالی که امنیت یک زیرساخت و یک الزام به‌شمار می‌رود. اگر بخواهید پایه‌های درستی برای کسب‌وکار آنلاین شکل دهید، نمی‌توانید امنیت را نادیده بگیرید. جامعه ما در یک دوره‌گذار از خدمات آفلاین به خدمات آنلاین است و هر روز نقش این سرویس‌ها در زندگی مردم بیشتر می‌شود. در این میان هر مجموعه‌ای که الزامات امنیتی را نادیده بگیرد، نه‌تنها به کسب‌وکار خود، بلکه می‌تواند به آحاد جامعه آسیب بزند.

اتفاقی که در مورد حادثه پمپ‌ بنزین‌ها افتاد، تنها نمونه کوچکی بود که میزان تأثیر ناامنی در فضای سایبری روی زندگی مردم را نمایان کرد.متأسفانه در رخدادهای سایبری معمولا حجم بالایی از نشت داده داریم که تأثیر مستقیمش در جامعه عمومی به چشم نمی‌آید. همین نشت داده‌‌ها منشاء خسارت‌ها و رخداد‌های آتی سایبری می‌شوند. برای مشخص‌شدن تأثیر رخداد‌های سایبری، تعیین میزان خسارت عامل بسیار مهمی است که متأسفانه مکانیسم درستی برای اندازه‌گیری ارزش داده‌ها و برآورد میزان خسارت نداریم. این مشکل فقط مربوط به ایران نیست؛ در سطح جهانی نیز ضعف قانون و رگولاتوری برای تعیین ارزش اطلاعات و برآورد میزان خسارت با چالش بزرگی مواجه است و این ضعف باعث شده تا بیشتر رخداد‌های سایبری آن‌گونه که باید، مورد توجه قرار نگیرند.

لزوم حذف قوانین زائد

محمد خلج- کارشناس خدمات تاکسی‌های اینترنتی: یکی از دغدغه‌های اصلی هر شرکت و کسب‌وکاری این است که با بالاترین میزان امنیت، اطلاعات کاربران خود را حفظ کند چون مزیت یک شرکت یا هر کسب‌ و کاری این است که هم از داده‌ای که ایجاد شده به درستی محافظت و هم از آن: طبق گفتمان انقلاب صنعتی چهارم و مباحثی که تحت عنوان انقلاب صنعتی پنجم مطرح می‌شود، تعریف مشخصی از اقتصاد دیجیتال و حوزه فناوری در کشور و دنیا دارد، این است که این حوزه را به سه قسمت مجزا و مشخص تقسیم‌بندی می‌کنند. یک بخش مربوط به بحث‌های زیرساخت‌های حوزه اقتصاد دیجیتال مانند شرکت‌هایی است که به‌صورت اپراتوری بستر و زیرساخت اینترنت را فرهم می‌کنند که اینها همان‌ حلقه‌های اولیه اقتصاد دیجیتال و زیربنای فعالیت کسب‌وکارهایی می‌شوند که می‌توانند بر روی این بستر بیایند و ارزش افزوده‌ای ایجاد کنند. اما حلقه دوم عملا شرکت‌ها و مجموعه‌هایی هستند که به عنوان پلتفرم شناخته می‌شوند و بستری را فراهم می‌کنند تا کسب‌ و کارهای مختلف بر بستر اینترنت و سکوهای پلتفرم‌ها فعالیت کنند.  در این مرحله نیز اقتصاد مشارکتی مشخص و ظرفیتی فراهم می‌شود تا کسب و کارهای مختلف از طریق سکوها خدماتی ارائه یا اینکه بستری را فراهم کنند و به عنوان حلقه سوم اقتصاد دیجیتال بتوانند ارائه سرویس کنند.  حلقه سوم اقتصاد دیجیتال نیز معمولا به عنوان بخشی از فضای اقتصادی کشور مطرح می‌شود که به صورت سنتی فعالیت می‌کنند اما ظرفیتی دارند که بتوانند از زیرساخت‌های موجود در حلقه اول و دوم ایجاد شده بهره‌مند شوند و بهره‌وری خود را بالا ببرند. معمولا در این بخش مفاهیمی مانند شرکت‌های دانش‌بنیان، مؤسسه‌ها، پلتفرم‌ها و سکوها مطرح می‌شوند که می‌توانند در بخش سنتی اقتصاد یک کشور فعال شود و به بالا رفتن بهره‌وری کمک کنند. این حوزه عملا جایی است که باعث می‌شود هم سهم اقتصاد دیجیتال از تولید ناخالص داخلی افزایش پیدا کند و هم در ضریب دادن به توسعه بخش اقتصاد دیجیتال کشور نقش مؤثری داشته باشد.  مهم‌ترین اتفاق در آینده حرکت به سویی است که جایگاه کسب‌ و کارها در اقتصاد کشور تبیین شود. بخش دیگر زیرساخت شرکت‌های فعال این حوزه است به گونه‌ای که این شرکت‌ها خود ذاتا می‌توانند به‌دست آورند یا خلق کنند بنابراین به نظرم نباید به حمایت‌هایی از جنس غیر ارگانیک برای اینکه یک کسب و کار را توسعه و رشد بدهد زیاد پرداخته شود اما زیرساختی که شرکت‌ها بتوانند تولید دانش، فناوری انجام دهند و نیروی انسانی خود را رشد دهند بسیار مهم است.  بحث امنیت سایبری شاید فقط به کسب‌ و کارها مربوط نشود. ما شاهدیم با توجه به شرایطی که وجود دارد مثلا مراکز داده‌ای که خصوصی نیستند عملا با این حملات مواجه هستند. طبیعتا یکی از دغدغه‌های اصلی هر شرکت و کسب‌وکاری این است که با بالاترین میزان امنیت، اطلاعات کاربران خود را حفظ کند چون مزیت یک شرکت یا هر کسب‌ و کاری این است که هم از داده‌ای که ایجاد شده به درستی محافظت و هم از آن برای توسعه خود استفاده کند.

دلایل ضعف امنیت سایبری

حسام اسدی - عضو سازمان نظام صنفی رایانه‌ای تهران : از نظر امنیتی اقدامات بسیاری انجام گرفته اما اینکه چقدر به نتیجه رسیده‌ است، باید مورد بررسی قرار گیرد؛ به عبارتی دست‌اندرکاران این حوزه به دنبال ساختار امنیتی بودند و این موضوع مورد بررسی قرار داشته است اما با مشکلاتی که در این حوزه پیش آمده، باید دید آیا به هدف مورد نظر دست یافته شده یا خیر. زمانی که مشکلاتی در زمینه امنیت سایبری وجود دارد، به این معناست که قطعا تعدادی موانعی هم در این بخش وجود داشته که دست‌اندرکاران امنیت سایبری نتواسته‌اند به اهداف مورد نظر برسند. برای اعمال فرآیند امنیت سایبری باید هزینه لازم صورت گیرد. اگر سازمان‌ها این هزینه‌ها را نپردازند، قطعا در این حوزه به مشکلاتی برخواهند خورد.  با این‌همه مشاهده می‌شود برخی شرکت‌های سرویس دهنده اینترنت و میزبانی سایت، فقط بر کمیت تمرکز کرده‌اند و به دنبال مشتری و ارائه سرویس بیشتر و افزایش سرورهای خود بودند، این شرکت‌ها بیشتر به دلیل هزینه‌های دیگری که دارند، سعی می‌کنند قیمت‌ها را پایین‌تر بیاورند و درنتیجه مجبورند کیفیت را کاهش دهند و به تبع آن به کمیت اهمیت بدهند. از سوی دیگر برای اینکه در این موقعیت بتوانند با همردیف‌های خود رقابت کنند، مجبورند که قیمت‌ها را کاهش دهند و کاهش نرخ هم دلیل بر این است که حتما کیفیت مقداری پایین آمده است. هر سازمان باید یک تیم امنیتی دائمی و مستقر در سازمان خود داشته باشد تا بتواند مرتبا مسائل امنیتی و نکات ضعف را رصد، گزارش‌گیری و حل کند. در این زمینه هم اگر سازمان‌ها بخواهند تیم امنیتی قوی داشته باشند، باید در مواردی مانند آموزش و فرهنگ‌سازی نیروها هزینه کنند. خود موضوع فرهنگ‌سازی در مجموعه‌ها، عامل مهمی است تا نیروهایی تربیت شوند که از نظر فنی و درک مسائل امنیتی بالا باشند و بتوانند امنیت سایبری را حفظ را کنند. سازمان‌هایی که از نظر امنیت سایبری به مشکل برمی‌خورند، احتمالا برای بخش‌های خود در حوزه امنیت فناوری اطلاعات، به اندازه مورد نیاز هزینه نمی‌کنند.

سخن پایانی

امنیت در حوزه فناوری اطلاعات و هزینه‌های مربوط به آن برای جامعه ملموس نیست، ولی هزینه امنیت فیزیکی کاملاً ملموس است؛ مثلاً وقتی از ساختمانی سرقت بشود، نخستین کاری که می‌کنید، نصب حفاظ برای پنجره‌ها و در ضدسرقت و قفل‌های پیچیده‌تر و گاوصندوق محکم‌تر است. تمام این مدل‌ها در حوزه امنیت اطلاعات نیز مطرح هستند، ولی بخش بزرگی از جامعه شخصی و سازمانی ما مفهوم حفظ دارایی‌های نرم را کمتر درک می‌کند. این تعلل به یکی از دغدغه‌های اصلی کسب‌وکارهای اینترنتی بدل شده است.