مازیار نوربخش
رئیس کمیسیون تحول، نوآوری و بهره‌وری اتاق تهران، معتقد است: امنیت سایبری را نمی‌توان در قالب یک مناقصه خرید، با چند تجهیز تضمین کرد یا با صدور چند بخشنامه به دست آورد. امنیت، محصول حکمرانی است؛ حکمرانی‌ای که بر شایسته‌سالاری، اعتماد به نخبگان، رقابت سالم، شفافیت، نوسازی مستمر و یادگیری دائمی استوار باشد.

مازیار نوربخش، رئیس کمیسیون تحول، نوآوری و بهره‌وری اتاق تهران در نگاه نو شماره 128 ماهنامه نسل چهارم آورده است:

امنیت سایبری دیگر یک موضوع صرفاً فناورانه نیست، امروز به یکی از ارکان امنیت اقتصادی و اعتماد عمومی تبدیل شده است. هر اختلال یا حمله سایبری، علاوه بر خسارت‌های مالی، سرمایه‌ای را هدف قرار می‌دهد که بازسازی آن بسیار دشوارتر است، اعتماد مردم به نظام مالی کشور.
با این حال، هر بار که حادثه‌ای رخ می‌دهد، معمولاً نخستین واکنش‌ها معطوف به یافتن مقصر، معرفی یک فناوری جدید یا خرید تجهیزات بیشتر می‌شود. فضای رسانه‌ای نیز مملو از تحلیل‌هایی است که گاه بدون اطلاع از جزئیات فنی، با قاطعیت درباره علت رخداد یا راهکار مقابله با آن اظهار نظر می‌کنند. این در حالی است که امنیت سایبری از پیچیده‌ترین حوزه‌های تخصصی جهان است و حتی پیشرفته‌ترین کشورها نیز برای تحلیل یک رخداد امنیتی، هفته‌ها و گاهی ماه‌ها زمان صرف می‌کنند.

نخستین واقعیتی که باید بپذیریم این است که امنیت را نمی‌توان خرید. تجهیزات، نرم‌افزارها، سامانه‌های پایش، مراکز عملیات امنیت و راهکارهای تشخیص نفوذ، تنها ابزار هستند. آنچه این ابزارها را به امنیت تبدیل می‌کند، کیفیت حکمرانی، تصمیم‌گیری حرفه‌ای، فرآیندهای صحیح و مهم‌تر از همه، سرمایه انسانی است.

به اعتقاد من، بزرگ‌ترین دارایی امنیت سایبری هر سازمان، نه تجهیزات آن، بلکه متخصصانی هستند که سال‌ها تجربه، دانش و شناخت عمیق از سامانه‌های حیاتی را با خود حمل می‌کنند. امنیت سایبری برخلاف بسیاری از حوزه‌ها، بر تجربه استوار است. معماران سامانه‌های بانکی، مدیران عملیات امنیت، متخصصان پاسخ به رخداد و کارشناسانی که بحران‌های واقعی را تجربه کرده‌اند، محصول سال‌ها آموزش، آزمون و خطا و تجربه‌اند؛ سرمایه‌هایی که با چند مدرک دانشگاهی یا چند گواهینامه حرفه‌ای جایگزین نمی‌شوند.

متأسفانه گاهی تصور می‌کنیم هر فرد متخصصی به راحتی قابل جایگزینی است. گاهی نیز به بهانه افزایش کنترل یا ملاحظاتی که ارتباط مستقیمی با شایستگی حرفه‌ای ندارند، مهم‌ترین سرمایه‌های انسانی خود را از چرخه تصمیم‌گیری یا اجرا کنار می‌گذاریم. اما حذف یک متخصص، به معنای ظهور متخصصی دیگر نیست. در بسیاری از موارد، سازمان بدون آنکه متوجه باشد، بخشی از حافظه فنی، تجربه انباشته و قدرت تحلیل خود را از دست می‌دهد؛ خسارتی که هیچ تجهیز یا نرم‌افزار گران‌قیمتی قادر به جبران آن نیست.
در کنار سرمایه انسانی، لازم است در نگاه خود به فناوری نیز بازنگری کنیم. در برخی حوزه‌های حساس، این ذهنیت شکل گرفته که امنیت بیشتر، الزاماً در گرو اتکا به یک فناوری، یک معماری یا یک تأمین‌کننده خاص است. در حالی که تجربه جهانی دقیقاً خلاف این موضوع را نشان می‌دهد. امنیت از رقابت، تنوع، امکان انتخاب و ارزیابی مستمر حاصل می‌شود، نه از وابستگی مطلق.

یکی از موضوعاتی که کمتر درباره آن سخن گفته می‌شود، وابستگی برخی زیرساخت‌های حیاتی به معماری‌های انحصاری و فناوری‌های میراثی  (Legacy)است. فناوری‌هایی که در بسیاری از کشورها جای خود را به معماری‌های باز، چابک و مقیاس‌پذیر داده‌اند، اما در بازار ایران همچنان به‌عنوان تنها گزینه قابل اتکا معرفی می‌شوند.

نتیجه چنین رویکردی، شکل‌گیری بازاری است که رقابت در آن به حداقل رسیده است. تجهیزات، لایسنس‌ها، قطعات و خدمات پشتیبانی، گاه با قیمت‌هایی عرضه می‌شوند که فاصله آنها با ارزش واقعی‌شان در بازار جهانی قابل تأمل است. در برخی موارد، محصولاتی که دیگر در زمره فناوری‌های روز دنیا محسوب نمی‌شوند، با هزینه‌هایی چندین برابر ارزش واقعی وارد کشور شده و همچنان به‌عنوان تنها انتخاب ممکن به سازمان‌ها پیشنهاد می‌شوند. طبیعی است که در چنین فضایی، انگیزه نوآوری، ارتقای کیفیت و کاهش هزینه نیز تضعیف شود.

هیچ فناوری صرفاً به دلیل گران‌تر بودن، امن‌تر نیست، همان‌گونه که هیچ معماری صرفاً به دلیل قدیمی‌تر بودن، قابل اعتمادتر نیست. امنیت حاصل رقابت، به‌روزرسانی مستمر، ارزیابی مستقل و امکان انتخاب است، نه تداوم بازارهای انحصاری که در آنها گاه منافع اقتصادی برخی بازیگران، ناخواسته بر منافع بلندمدت کشور غلبه می‌کند.
چالش دیگر، فرسودگی بخشی از زیرساخت‌های فناوری اطلاعات در نظام بانکی است. بسیاری از سامانه‌های حیاتی کشور، با وجود به‌روزرسانی‌های مقطعی، همچنان بر بستر فناوری‌هایی فعالیت می‌کنند که عمر آنها از استانداردهای متداول جهانی فراتر رفته است. هرچه عمر فناوری بیشتر شود، دریافت اصلاحیه‌های امنیتی دشوارتر، هزینه نگهداری بیشتر و احتمال بروز آسیب‌پذیری‌های ناشناخته نیز بالاتر خواهد رفت.
این وضعیت با محدودیت‌های ناشی از تحریم‌ها نیز پیچیده‌تر شده است. دشواری همکاری مستقیم با شرکت‌های معتبر امنیت سایبری، محدودیت در دریافت خدمات تخصصی، کاهش دسترسی به اطلاعات جهانی تهدیدات، دشواری استفاده از برخی خدمات ابری، تأخیر در دریافت اصلاحیه‌های امنیتی و محدودیت‌های ناشی از اختلال یا قطع ارتباطات اینترنتی، همگی موجب شده‌اند فاصله ما با چرخه جهانی امنیت سایبری افزایش یابد. امنیت سایبری، ذاتاً یک موضوع جهانی است و هیچ کشوری بدون تعامل مستمر با جامعه بین‌المللی امنیت، نمی‌تواند همگام با تهدیدهای روز حرکت کند.

البته در این میان باید یک واقعیت مهم را نیز پذیرفت؛ امنیت مطلق وجود ندارد. حتی بزرگ‌ترین بانک‌های جهان، پیشرفته‌ترین شرکت‌های فناوری و حساس‌ترین نهادهای امنیتی نیز هدف حملات سایبری قرار می‌گیرند. تفاوت آنها با دیگران در نفوذناپذیر بودن نیست، در آمادگی، سرعت تشخیص، کیفیت پاسخ، توان بازیابی خدمات و یادگیری از هر رخداد است. آنچه امروز در دنیا اهمیت پیدا کرده، تاب‌آوری سایبری است؛ یعنی توانایی ادامه ارائه خدمات حیاتی حتی در شرایط وقوع حمله.

موضوع مهم دیگر، حکمرانی امنیت سایبری است. امنیت در اتاق سرور تولید نمی‌شود، در اتاق تصمیم‌گیری شکل می‌گیرد. اگر تصمیم‌های کلیدی درباره معماری فناوری، خرید تجهیزات، مدیریت ریسک، برون‌سپاری، نگهداشت سرمایه انسانی و پاسخ به بحران، بدون اتکا به نظر متخصصان واقعی و صرفاً بر مبنای ملاحظات غیرتخصصی اتخاذ شوند، حتی بزرگ‌ترین سرمایه‌گذاری‌ها نیز الزاماً امنیت بیشتری ایجاد نخواهند کرد.

در بسیاری از سازمان‌ها، مشکل اصلی کمبود تجهیزات نیست، ضعف حکمرانی است. نبود دانش کافی در مدیران فناوری، فاصله گرفتن مدیران ارشد از بدنه کارشناسی، مداخله افراد غیرمتخصص در تصمیم‌های فنی، فقدان نظام پاسخ‌گویی شفاف و نگاه کوتاه‌مدت به امنیت، می‌توانند به اندازه یک حمله سایبری خسارت‌آفرین باشند.
اگر بخواهیم از تجربه سال‌های اخیر نتیجه‌ای عملی بگیریم، به نظر می‌رسد پنج اولویت باید در دستور کار قرار گیرد.

نخست، حفظ و جذب سرمایه انسانی متخصص و ایجاد نظام شایسته‌سالاری در انتخاب مدیران و کارشناسان حوزه امنیت. دوم، خروج تدریجی از وابستگی به بازارهای انحصاری و فراهم کردن امکان رقابت سالم میان فناوری‌ها و تأمین‌کنندگان مختلف. سوم، تدوین یک برنامه ملی برای نوسازی تدریجی زیرساخت‌های حیاتی بانکی به‌جای ادامه اتکای بلندمدت به فناوری‌های فرسوده. چهارم، تقویت تعاملات علمی و فنی با مراکز معتبر بین‌المللی، در چارچوب الزامات و منافع ملی، برای بهره‌گیری از دانش روز، اطلاعات تهدیدات و تجربیات جهانی. و نهایتاً، استقرار یک نظام حکمرانی امنیت سایبری که در آن تصمیم‌های کلیدی بر پایه شواهد، ارزیابی‌های مستقل و نظر متخصصان اتخاذ شود، نه صرفاً بر اساس ملاحظات کوتاه‌مدت یا اداری.

امنیت سایبری را نمی‌توان در قالب یک مناقصه خرید، با چند تجهیز تضمین کرد یا با صدور چند بخشنامه به دست آورد. امنیت، محصول حکمرانی است؛ حکمرانی‌ای که بر شایسته‌سالاری، اعتماد به نخبگان، رقابت سالم، شفافیت، نوسازی مستمر و یادگیری دائمی استوار باشد.
اگر امروز می‌خواهیم نظام بانکی کشور در برابر تهدیدهای پیچیده و روزافزون سایبری مقاوم‌تر باشد، باید بیش از آنکه نگران خرید تجهیزات جدید باشیم، نگران از دست دادن متخصصان، استمرار انحصار، فرسودگی زیرساخت‌ها و فاصله گرفتن از دانش روز دنیا باشیم.

انتهای پیام

تازه ها