مازیار نوربخش، رئیس کمیسیون تحول، نوآوری و بهرهوری اتاق تهران در نگاه نو شماره 128 ماهنامه نسل چهارم آورده است:
امنیت سایبری دیگر یک موضوع صرفاً فناورانه نیست، امروز به یکی از ارکان امنیت اقتصادی و اعتماد عمومی تبدیل شده است. هر اختلال یا حمله سایبری، علاوه بر خسارتهای مالی، سرمایهای را هدف قرار میدهد که بازسازی آن بسیار دشوارتر است، اعتماد مردم به نظام مالی کشور.
با این حال، هر بار که حادثهای رخ میدهد، معمولاً نخستین واکنشها معطوف به یافتن مقصر، معرفی یک فناوری جدید یا خرید تجهیزات بیشتر میشود. فضای رسانهای نیز مملو از تحلیلهایی است که گاه بدون اطلاع از جزئیات فنی، با قاطعیت درباره علت رخداد یا راهکار مقابله با آن اظهار نظر میکنند. این در حالی است که امنیت سایبری از پیچیدهترین حوزههای تخصصی جهان است و حتی پیشرفتهترین کشورها نیز برای تحلیل یک رخداد امنیتی، هفتهها و گاهی ماهها زمان صرف میکنند.
نخستین واقعیتی که باید بپذیریم این است که امنیت را نمیتوان خرید. تجهیزات، نرمافزارها، سامانههای پایش، مراکز عملیات امنیت و راهکارهای تشخیص نفوذ، تنها ابزار هستند. آنچه این ابزارها را به امنیت تبدیل میکند، کیفیت حکمرانی، تصمیمگیری حرفهای، فرآیندهای صحیح و مهمتر از همه، سرمایه انسانی است.
به اعتقاد من، بزرگترین دارایی امنیت سایبری هر سازمان، نه تجهیزات آن، بلکه متخصصانی هستند که سالها تجربه، دانش و شناخت عمیق از سامانههای حیاتی را با خود حمل میکنند. امنیت سایبری برخلاف بسیاری از حوزهها، بر تجربه استوار است. معماران سامانههای بانکی، مدیران عملیات امنیت، متخصصان پاسخ به رخداد و کارشناسانی که بحرانهای واقعی را تجربه کردهاند، محصول سالها آموزش، آزمون و خطا و تجربهاند؛ سرمایههایی که با چند مدرک دانشگاهی یا چند گواهینامه حرفهای جایگزین نمیشوند.
متأسفانه گاهی تصور میکنیم هر فرد متخصصی به راحتی قابل جایگزینی است. گاهی نیز به بهانه افزایش کنترل یا ملاحظاتی که ارتباط مستقیمی با شایستگی حرفهای ندارند، مهمترین سرمایههای انسانی خود را از چرخه تصمیمگیری یا اجرا کنار میگذاریم. اما حذف یک متخصص، به معنای ظهور متخصصی دیگر نیست. در بسیاری از موارد، سازمان بدون آنکه متوجه باشد، بخشی از حافظه فنی، تجربه انباشته و قدرت تحلیل خود را از دست میدهد؛ خسارتی که هیچ تجهیز یا نرمافزار گرانقیمتی قادر به جبران آن نیست.
در کنار سرمایه انسانی، لازم است در نگاه خود به فناوری نیز بازنگری کنیم. در برخی حوزههای حساس، این ذهنیت شکل گرفته که امنیت بیشتر، الزاماً در گرو اتکا به یک فناوری، یک معماری یا یک تأمینکننده خاص است. در حالی که تجربه جهانی دقیقاً خلاف این موضوع را نشان میدهد. امنیت از رقابت، تنوع، امکان انتخاب و ارزیابی مستمر حاصل میشود، نه از وابستگی مطلق.
یکی از موضوعاتی که کمتر درباره آن سخن گفته میشود، وابستگی برخی زیرساختهای حیاتی به معماریهای انحصاری و فناوریهای میراثی (Legacy)است. فناوریهایی که در بسیاری از کشورها جای خود را به معماریهای باز، چابک و مقیاسپذیر دادهاند، اما در بازار ایران همچنان بهعنوان تنها گزینه قابل اتکا معرفی میشوند.
نتیجه چنین رویکردی، شکلگیری بازاری است که رقابت در آن به حداقل رسیده است. تجهیزات، لایسنسها، قطعات و خدمات پشتیبانی، گاه با قیمتهایی عرضه میشوند که فاصله آنها با ارزش واقعیشان در بازار جهانی قابل تأمل است. در برخی موارد، محصولاتی که دیگر در زمره فناوریهای روز دنیا محسوب نمیشوند، با هزینههایی چندین برابر ارزش واقعی وارد کشور شده و همچنان بهعنوان تنها انتخاب ممکن به سازمانها پیشنهاد میشوند. طبیعی است که در چنین فضایی، انگیزه نوآوری، ارتقای کیفیت و کاهش هزینه نیز تضعیف شود.
هیچ فناوری صرفاً به دلیل گرانتر بودن، امنتر نیست، همانگونه که هیچ معماری صرفاً به دلیل قدیمیتر بودن، قابل اعتمادتر نیست. امنیت حاصل رقابت، بهروزرسانی مستمر، ارزیابی مستقل و امکان انتخاب است، نه تداوم بازارهای انحصاری که در آنها گاه منافع اقتصادی برخی بازیگران، ناخواسته بر منافع بلندمدت کشور غلبه میکند.
چالش دیگر، فرسودگی بخشی از زیرساختهای فناوری اطلاعات در نظام بانکی است. بسیاری از سامانههای حیاتی کشور، با وجود بهروزرسانیهای مقطعی، همچنان بر بستر فناوریهایی فعالیت میکنند که عمر آنها از استانداردهای متداول جهانی فراتر رفته است. هرچه عمر فناوری بیشتر شود، دریافت اصلاحیههای امنیتی دشوارتر، هزینه نگهداری بیشتر و احتمال بروز آسیبپذیریهای ناشناخته نیز بالاتر خواهد رفت.
این وضعیت با محدودیتهای ناشی از تحریمها نیز پیچیدهتر شده است. دشواری همکاری مستقیم با شرکتهای معتبر امنیت سایبری، محدودیت در دریافت خدمات تخصصی، کاهش دسترسی به اطلاعات جهانی تهدیدات، دشواری استفاده از برخی خدمات ابری، تأخیر در دریافت اصلاحیههای امنیتی و محدودیتهای ناشی از اختلال یا قطع ارتباطات اینترنتی، همگی موجب شدهاند فاصله ما با چرخه جهانی امنیت سایبری افزایش یابد. امنیت سایبری، ذاتاً یک موضوع جهانی است و هیچ کشوری بدون تعامل مستمر با جامعه بینالمللی امنیت، نمیتواند همگام با تهدیدهای روز حرکت کند.
البته در این میان باید یک واقعیت مهم را نیز پذیرفت؛ امنیت مطلق وجود ندارد. حتی بزرگترین بانکهای جهان، پیشرفتهترین شرکتهای فناوری و حساسترین نهادهای امنیتی نیز هدف حملات سایبری قرار میگیرند. تفاوت آنها با دیگران در نفوذناپذیر بودن نیست، در آمادگی، سرعت تشخیص، کیفیت پاسخ، توان بازیابی خدمات و یادگیری از هر رخداد است. آنچه امروز در دنیا اهمیت پیدا کرده، تابآوری سایبری است؛ یعنی توانایی ادامه ارائه خدمات حیاتی حتی در شرایط وقوع حمله.
موضوع مهم دیگر، حکمرانی امنیت سایبری است. امنیت در اتاق سرور تولید نمیشود، در اتاق تصمیمگیری شکل میگیرد. اگر تصمیمهای کلیدی درباره معماری فناوری، خرید تجهیزات، مدیریت ریسک، برونسپاری، نگهداشت سرمایه انسانی و پاسخ به بحران، بدون اتکا به نظر متخصصان واقعی و صرفاً بر مبنای ملاحظات غیرتخصصی اتخاذ شوند، حتی بزرگترین سرمایهگذاریها نیز الزاماً امنیت بیشتری ایجاد نخواهند کرد.
در بسیاری از سازمانها، مشکل اصلی کمبود تجهیزات نیست، ضعف حکمرانی است. نبود دانش کافی در مدیران فناوری، فاصله گرفتن مدیران ارشد از بدنه کارشناسی، مداخله افراد غیرمتخصص در تصمیمهای فنی، فقدان نظام پاسخگویی شفاف و نگاه کوتاهمدت به امنیت، میتوانند به اندازه یک حمله سایبری خسارتآفرین باشند.
اگر بخواهیم از تجربه سالهای اخیر نتیجهای عملی بگیریم، به نظر میرسد پنج اولویت باید در دستور کار قرار گیرد.
نخست، حفظ و جذب سرمایه انسانی متخصص و ایجاد نظام شایستهسالاری در انتخاب مدیران و کارشناسان حوزه امنیت. دوم، خروج تدریجی از وابستگی به بازارهای انحصاری و فراهم کردن امکان رقابت سالم میان فناوریها و تأمینکنندگان مختلف. سوم، تدوین یک برنامه ملی برای نوسازی تدریجی زیرساختهای حیاتی بانکی بهجای ادامه اتکای بلندمدت به فناوریهای فرسوده. چهارم، تقویت تعاملات علمی و فنی با مراکز معتبر بینالمللی، در چارچوب الزامات و منافع ملی، برای بهرهگیری از دانش روز، اطلاعات تهدیدات و تجربیات جهانی. و نهایتاً، استقرار یک نظام حکمرانی امنیت سایبری که در آن تصمیمهای کلیدی بر پایه شواهد، ارزیابیهای مستقل و نظر متخصصان اتخاذ شود، نه صرفاً بر اساس ملاحظات کوتاهمدت یا اداری.
امنیت سایبری را نمیتوان در قالب یک مناقصه خرید، با چند تجهیز تضمین کرد یا با صدور چند بخشنامه به دست آورد. امنیت، محصول حکمرانی است؛ حکمرانیای که بر شایستهسالاری، اعتماد به نخبگان، رقابت سالم، شفافیت، نوسازی مستمر و یادگیری دائمی استوار باشد.
اگر امروز میخواهیم نظام بانکی کشور در برابر تهدیدهای پیچیده و روزافزون سایبری مقاومتر باشد، باید بیش از آنکه نگران خرید تجهیزات جدید باشیم، نگران از دست دادن متخصصان، استمرار انحصار، فرسودگی زیرساختها و فاصله گرفتن از دانش روز دنیا باشیم.
انتهای پیام






این وب سایت در دیتاسنتر آسیاتک میزبانی می شود