دهم اسفندماه پلیس فتا در پیامکی به صاحبان کسبوکارهای مجازی هشدار داد تا به قید فوریت نسبت به قطع و جداسازی سیستم اتوماسیون اداری بومی چارگون از بستر اینترنت اقدام کنند. پلیس فتا در این پیامک از وجود بحرانی در سیستم اتوماسیون اداری چارگون خبر داد. این اقدام و شیوه اطلاعرسانی از سوی فتا، واکنشهای زیادی را در پی داشت. محمدرضا جمالی، مدیرعامل شرکت نبضافزار و عضو کمیسیون اقتصاد دیجیتال اتاق بازرگانی بینالمللی در گفتوگو با راه پرداخت این موضوع را از ابعاد گوناگون بررسی کرد. او معتقد است که مأموریت و مسئولیت پلیس فتا در حوزه جرم سایبری است و شرکت چارگون جرمی مرتکب نشده است. چارگون شرکتی با مدل کسبوکاری B2B است و این هشدار نباید به این صورت اطلاعرسانی میشد.
نگاه حاکمیت باید ریسک محور باشد
محمدرضا جمالی با اشاره به بحث امنیت در دنیا توضیح داد: «در همه جای جهان کسبوکارها مورد حمله سایبری قرار میگیرند و سعی میکنند با آن مقابله کنند. مسئله امنیت به قدری مهم است که اتاق بازرگانی بینالمللی که در پاریس قرار دارد سال ۲۰۲۳ و ۲۰۲۴ به مقوله امنیت سایبری توجه ویژهای دارد و کشورها و کسبوکارها را با شعار جریان اطلاعات در بستر امن به حرکت در مسیر تبدیل دیجیتال (تحول دیجیتال) تشویق میکند.»
او ادامه داد: «لازم است نگاه ما به مقوله امنیت نگاهی ریسک محور باشد. به عنوان مثال کمیته بال ۲ در ریسک عملیاتی دو مبحث تداوم عملیات و امنیت زیرساختها را با هم در نظر میگیرد. سیاست امنیتی که باعث شود تداوم عملیات صورت نگیرد و با چالش مواجه شود با حمله سایبری تفاوتی ندارد و سطح امنیت از حدی بالاتر رود ریسک تداوم عملیات و در نتیجه ریسک عملیاتی بهشدت افزایش مییابد. وقتی نگاه ما ریسک محور باشد برای صدهزار تومان گاوصندوق ۵ تنی نمیخریم.»
جمالی با اشاره به فلسفه دیجیتالیشدن توضیح داد: «سازمانهایی مانند پلیس فتا، پدافند غیرعامل و شورای عالی فضای مجازی بهخصوص در دولت جدید بهشدت از نظر دانش تهی شدهاند و متخصصان، صاحبنظران و فرهیختگان زیادی را میبینیم که از این سازمانها کنار گذاشته شدهاند. دولت جدید با فلسفه دیجیتالیشدن آشنا نیست. من وقتی عملکرد این دوستان را میبینم یاد جنگ دوم خلیجفارس میافتم که عراقیها به جای اینکه با روشهای رمزنگاری مناسب و استفاده از روشهای انتقال داده دیگر، اطلاعات را ردوبدل کنند از موتورسیکلت استفاده میکردند که شنود نشوند! این روش جدید آنها به خاطر تجربه بد آنها در جنگ اول خلیج فارس بود که به جای تقویت دانش مخابراتی و اطلاعاتی خود به روشهایی روی آوردند که به سریعتر شدن پروسه شکست آنها کمک شایانی کرد.»
او گفت: «شرایطی را تصور کنید که حملهای به یک سازمان صورت گرفته و شرکت پیمانکار آن سازمان از این حمله مطلع میشود. تیم امنیت آن شرکت با دسترسی امن از راه دور وارد عمل میشود و سریع مسئله را مدیریت میکند. حالا دوستان آمدهاند و این دسترسی را قطع میکنند. چه اتفاقی میافتد. چطور این حمله دفع میشود؟ نتیجه این میشود که هکرها سریعتر به نتیجه دلخواه خود میرسند و شرایطی که میخواستهاند توسط نهادها و تنظیم گران در ظاهر دلسوز ولی بیدانش فراهم میشود.»
حاکمیت عامل ایجاد بسیاری از مشکلات کسبوکارهاست
محمدرضا جمالی گفت: «حاکمیت باعث ایجاد بسیاری از چالشها و مشکلات کسبوکارهاست. مورد اول اینکه باید توجه کنیم که اقدامات سازمانیافته زیادی در سالهای قبل و هم اکنون توسط نهادهای خاص مدیریت میشود و حمله به تأسیسات سایبر فیزیکی و شهری کشورهای دیگر مصداق حملات تروریستی است. وقتی سدی یا شبکه برق کشوری هک میشود جان میلیونها انسان ممکن است از بین برود و مسلماً این بیاخلاقیها بیپاسخ نمیماند که نمونههای زیادی را در تلافی این حملهها به کشور میبینیم. مورد دوم اینکه فیلترینگ هم باعث شده که استفاده از فیلترشکنهای بسیار زیاد شود و این فیلترشکنها که اغلب آلوده هستند باعث ایجاد مشکلات امنیتی زیادی برای مردم، کسبوکارها و سازمانها میشوند. شایعات زیادی را میشنویم که وابستگان به دولت در فروش فیلترشکنها نقش دارند و درآمدهای کلانی دارند. این درآمدهای سمی به ضرر کشور است. این موضوع باعث شده که هر ریال درآمد آن هزاران ریال تولید ناخالص ما را کاهش میدهد. مورد سوم اینکه بسیاری از سامانههای ما درست طراحی نشدهاند و فوق متمرکز هستند. اختلال در یک سامانه در بقیه نیز اثرات شدیدی ایجاد میکند که نمونه آن را چندین بار در رابطه با پمپبنزینها شاهد بودهایم. شاپرک، شتاب، شبکه زیرساخت و بسیاری از موارد دیگر میتوانسته معماری مناسبتری داشته باشد که مقاومت و تابآوری بیشتری در اختلالات و اخلالهای ایجاد شده داشته باشند. چهارم اینکه ما از فضای ابری جهانی استفاده نمیکنیم. وقتی از فضای ابری استفاده شود ریسک تداوم عملیات و ریسک امنیتی و در نهایت ریسک عملیاتی بهشدت کاهش مییابد. این ساختارها بسیار امن هستند و همچنین قابلیت اعتماد بسیار بالایی دارند.»
از دنیا درس بگیریم و امنیت را به شرکتها بسپاریم
به گفته مدیرعامل نبضافزار، چند روز پیش کاخ سفید از شرکتها خواست که زبانهای C و C++ که از نظر حافظهای امن نیستند بهمرور بهخصوص در سامانههای نهفته کنار گذاشته شوند. ببینید این دو زبان نقش بسیار زیادی در توسعه سامانهها در دهههای گذشته داشتهاند و کنار گذاشتن این زبانها به راحتی صورت نمیگیرد. کشوری که زادگاه شرکتهای بزرگ مایکروسافت، اوراکل، اپل و صدها شرکت نرمافزاری و سختافزاری است امنیت را به شرکتها میسپارد و از آنها میخواهد از زبانهایی مانند RUST ،Swift و Go استفاده کنند. این زبانها با تست موارد زیاد بهخصوص در زمان کامپایل از بسیاری از مشکلات نفوذ و باگها بالقوه جلوگیری میکنند.
فناوری اطلاعات کشور دچار بیماری خود ایمنی است
این عضو کمیسیون اقتصاد دیجیتال اتاق بازرگانی بینالملل با اشاره به نگاه امنیتی حاکمیت بیان کرد: «شاید شما هم اسم بیماری خودایمنی را زیاد شنیده باشید. بیماری که گلبولهای سفید به گلبولهای قرمز حمله میکنند. این اشخاص بهشدت ضعیف میشوند و رنج بسیار زیادی را در زندگی متحمل میشود. در کشورها نیز وقتی نگاه امنیتی حاکم میشود کسبوکارها به سختی فعالیت میکنند. به قدری که راهبردهای امنیتی غلط توسط افتا، فتا و قطعی دسترسی مشتریان به ما آسیبزده است کمبود نیروی خبره برنامهنویس به ما فشار نیاورده است و بیش از ۸۰ درصد انرژی، توسعه و زمان ما صرف موارد امنیتی بی مورد و همچنین رفتن به محیط مشتری میشود. اکنون شرایطی به وجود آمده که نرمافزارها به سمت ناپایداری میروند. رویههای طراحی، پیادهسازی، تست و انتشار نسخه بهخوبی صورت نمیگیرد و حضور برنامهنویس در محیط مشتری بدون انجام فرایندهای توسعه علاوه بر ناپایداری میتواند ریشه اخلالهای امنیتی شود و کنترل توسعه و پشتیبانی از دست شرکتهای پیمانکار خارج شده است.»
مجوز افتا بهتنهایی کافی و کارساز نیست
جمالی در خصوص روال دریافت مجوز افتا گفت: «پروسه گرفتن این مجوز به سادگی نیست و صف زیادی برای آن وجود دارد. همچنین هزینههای بسیار زیادی را به شرکتها بهخصوص شرکتهای متوسط و کوچک تحمیل میکند که این شرکتها توان پوشش چنین هزینههایی را ندارند و مفسده زیادی هم در دادن مجوز ایجاد میشود. در اختیار قراردادن کل کد به آزمایشگاهها هم ریسکها و مخاطرات زیادی دارد. نرمافزار ماهیت زنده و پویا دارد و فرایندهای زیادی برای رسیدن به سطح مناسب امنیت از استفاده از سکوهای توسعه تا تستهای سفید و سیاه لازم است به صورت مداوم و با فرکانسهای مختلف صورت گیرد.»
او در ادامه بیان کرد: «در سالهای قبل ما تجربههای عالی خوبی داشتیم. مشتریان ما تستهای دورهای انجام میدادند و از خدمات شرکتهایی مانند امن افزار شریف و شرکتهای دیگر برای ارزیابی امنیتی نرمافزارهای ما استفاده میکردند. ما به بهبود تداوم عملیات کمک میکردیم و آن شرکتها نیز به بهبود امنیت شرکتها کمک میکردند و در مجموع ریسک عملیاتی مشتری کاهش مییافت. بهمراتب آن روشها مؤثر بودند.»
حاکمیت نگاهی نابالغ به امنیت دارد
محمدرضا جمالی با اشاره به نگاه حاکمیت به امنیت گفت: «نگاه نابالغ حاکمیت به مقوله امنیت ظاهراً ادامه دارد. جوانهایی که شبها همه شما و ما دیدهایم که سر راه میایستند، با چراغقوه درون ماشینها را نگاه میکنند و صف طولانی ایجاد میکنند تا کنون چقدر به امنیت کشور کمک کردهاند؟ چقدر دزدیها کم شده و ما هفتهای نداریم که حداقل یک خبر از اشکال مختلف جرم از دزدی موبایل تا بزهکاری نبینیم. شاهد بودیم که چند ماه پیش چگونه همین تجمعها که نتیجه جمعشدن مردم پشت گیتهای امنیتی بود در حادثه تروریستی کرمان فاجعه آفرید. این نگاه نادرست به امنیت چه پشت آن کسبوکارهای کثیفی وجود دارد و ذینفعان خاصی دارد چه آسیبهایی به کشور نزد و حتی درگذشتهای نه چندان دور چه خانوادههایی به خاطر نگاه امنیتی نادرست به مقوله کرونا داغدار شدند و چه مرگهای سختی را شاهد بودیم که با سیاستگذاری درست قابل حل بود.»
جمالی معتقد است که در فضای سایبری نیز حاکمیت به همان شکل میخواهند امنیت برقرار کند. سامانه قطع شود، صف ایجاد شود، ما تک تک را چک کنیم و روشهایی که حتی به صورت واقعی و فیزیکی با به دستگرفتن بیسیم جواب نداده را در فضای سایبری اعمال میکند. امنیتی که به صورت غیرفعال (Passive) انجام شود به تداوم عملیات ضربه نمیزند و در شرایطی خیلی بحرانی لازم است امنیت ظاهری فعال (Active) بگیرد. اینجا هم حاکمیت به جز مرگ چیزی نمیآفریند. مرگی نرم که باعث اتلاف میلیاردها ساعت اتلاف وقت مردم کشور میشود. فقط ۱۰ دقیقه اختلال در خدمات باعث هدررفتن ۴۰۰ میلیون دقیقه از وقت نیروی فعال کشور است که با عمر کاری ۲۱ نفر معادل است. این مرگهای نرم هر روز اتفاق میافتد و اقتصاد کشور ضعیف و ضعیفتر میشود.
او ادامه داد: «حاکمیت نه بلوغ لازم در تداوم سامانههای حاکمیتی را دارد و نه بهگونهای مناسب در حوزه امنیت سیاستگذاری میکند و ریسک عملیاتی و زیان ناشی از آن را بهشدت در کشور افزایش داده است. اینها همه هزینه است که به کاهش تولید ناخالص، گران ادارهشدن کشور، تورم، اسراف در منابع میانجامد. در حالی که کشورهای حوزه خلیج فارس با انتقال دیجیتال (تحول دیجیتال) باعث کاهش هزینهها تا ۳۰ درصد در حوزههای نفت و گاز شدهاند. فقط در همین پروژه سوخت نگاه کنید چقدر با صفهای ایجاد شده بهخاطر طولانیشدن پروسه سوختگیری تداوم عملیات را با مشکل مواجه کردهاند و صفهای طولانی و نیاز کاذب به افزایش تعداد پمپبنزینها ایجاد شده است. در رابطه با امنیت هم ببینید چند بار تا الان در همین دو سال اخیر این سامانه سوخت مشکلآفرین شده است. اینجاست که میگویم حاکمیت بلوغ لازم را در طراحی، پیادهسازی و امنیت سامانهها ندارد و با حرکت به سمت اقتصاد دیجیتال و اتصال بیشتر سامانهها مشکلات بیشتر میشود.»
لزوم توجه به ریسک برند و شهرت شرکتها
به گفته مدیرعامل شرکت نبضافزار ریسکهایی مانند ریسک عملیاتی، حقوقی، بازار، اعتباری و نقدینگی شناختهشدهتر از ریسکهایی مانند ریسک برند و شهرت است. فرض را بر این بگذاریم که مشکلاتی در محصولات شرکت چارگون وجود دارد که صد البته در بقیه شرکتها هم هست و بارها دیدهایم سایت سازمانها و نهادها مانند ثبتاحوال هک شدهاند. مطرحکردن این مسئله در فضای عمومی چه مشکلی را بر طرف میکند؟ همینالان سه بانک که مشتری شرکت من هستند از نرمافزار چارگون استفاده میکنند. چقدر زمان لازم است که این محصول اصلاح شود و اعلام عمومی آن چه مشکلی را از کشور بر طرف میکند. آگاهسازی عمومی باعث ایجاد مشکلات بیشتری میشود.
جمالی با بیان خسارتی که به شرکت چارگون وارد شده است، گفت: «من جای این شرکت بودم از پلیس فتا شکایت میکردم و زیان سو شهرت و خسارتی که به شرکت خورده است را مطالبه میکردم.همین الان دامنه این مسئله ما را هم که با فاصله دور از این شرکت هستیم و از هیچ سرویس این شرکت استفاده نمیکنیم گرفته و فرایند اداری نامههای ما امروز در یکی از مشتریان که از محصول چارگون استفاده میکند با مشکل مواجه شده است و ما به خاطر تأخیر در پرداخت صورتحسابها با مشکل مالی مواجه خواهیم شد. به عبارتی مشکلی امنیتی که اتفاق هم نیفتاده یا ابعاد آن خیلی محدود بوده باعث ایجاد مشکل در تداوم عملیات در بسیاری از سازمانهای بزرگ کشور شده است. لازم است تنظیمگری از جنبههای مختلف بهخصوص امنیت صورت گیرد ولی وقتی این تنظیمگریها به روش درست انجام نمیشود، نتیجه معکوس میگیریم. برقراری امنیت به شیوه نادرست خودش موجب ایجاد ناامنی میشود.»
او در پایان بیان کرد: «وقتی به مقوله ریسک توجه درست داشته باشیم میبینیم که یک ریسک در یک سطح میتواند به ریسک دیگری در سطوح دیگر شود. قطعی سامانه سوخت که ریسکی عملیاتی است در سطح کشور تبدیل به یک مسئله امنیت ملی میشود. به طور مسلم ایجاد مشکل برای شرکتی مثل چارگون حالت دومینو دارد و ما شاهد عواقب و خسارتهای ناشی از ریسکهای مختلف در آینده نزدیک برای کارمندان، شرکای تجاری چارگون، بانکها، شرکتها و کل کشور خواهیم بود.»
راه پرداخت – رسانه فناوریهای مالی ایران
ثبت دیدگاه