راهکارهای امنیتی در فناوری و صنایع

دنیای اقتصاد : کارشناس‌ها و فعالان حوزه امنیت سایبری در نشست گروه رسانه‌ای «دنیای اقتصاد» در دومین روز از بیست‌وهشتمین دوره الکامپ درباره چالش‌ها و راهکارهای امنیت سایبری در حوزه فناوری اطلاعات و صنایع صحبت کردند. از نظر آنها، امنیت سایبری فرآیندی مستمر و پویاست که نیازمند برنامه‌ریزی دقیق، شناخت کامل محیط و همکاری تمامی بخش‌های سازمان است. هیچ پروژه‌ای به تنهایی نمی‌تواند تضمین‌کننده امنیت کامل باشد و باید این مسیر با دیدی بلندمدت و اصلاح مداوم دنبال شود.

اهمیت امن‌سازی

دومین نشست گروه رسانه‌ای «دنیای اقتصاد» در دومین روز از بیست‌وهشتمین دوره الکامپ با موضوع امن‌سازی سیستم‌های آی‌تی و اوتی با حضور عارف ملایی، حسن ابراهیمی یزدی، رویا دهبسته و محسن امیری برگزار شد. امن‌سازی سیستم‌ها در یک سازمان فناوری اطلاعات یا صنعت اهمیت قابل‌توجهی دارد و در دنیا و کشور ما هم نسبت به این موضوع اقدامات متنوعی در استانداردسازی مدل‌های متعدد انجام شده است، اما همچنان خطرهای امنیتی تهدیدی برای شرکت‌هاست. عارف ملایی، مدیر فنی گروه داده‌ورزی جویا با بیان این مطلب از محسن امیری، سرپرست تیم تست نفوذ شرکت اسپارا درخواست کرد تا درباره اهمیت امن‌سازی سیستم‌ها به‌خصوص در حوزه فناوری اطلاعات صحبت کند.

او امنیت در سازمان‌ها را به نقش درب خانه‌ها تشبیه کرد و توضیح داد: « فرض کنید که صاحب یک خانه هستید و آن خانه در نداشته باشد. در این شرایط هر لحظه امنیت شما تهدید می‌شود. در مرحله اول، تصمیم می‌گیرید برای خانه در بگذارید. هر چند امنیت با این کار به‌صورت نسبی تامین شده، اما همچنان مورد تهدید قرار دارد. به این دلیل که ممکن است شما دارایی با ارزشی در خانه نگهداری کنید. در این صورت به گاو صندوق و تجهیزات امنیتی دیگری هم نیاز دارید. امنیت در دنیای فناوری اطلاعات هم به همین شکل است. سازمان‌های این حوزه شبکه و ساختاری دارند که باید تهدید‌ها و ریسک‌های امنیتی مرتبط با آنها شناسایی و مدیریت شود.»

او در ادامه صحبت‌های خود مطرح کرد: «در مسیر طراحی و اجرای یک سیستم به‌خصوص در حوزه آی.تی و داده‌ها، لازم است بر اساس مجموعه‌ای از استانداردهای مشخص پیش برویم. این استانداردها خودشان دسته‌بندی‌شده و استاندارد شده تدوین شده‌اند، و بسته به نوع پروژه یا کسب‌وکار، از آنها استفاده می‌کنیم. هنگامی که قصد راه‌اندازی یک دیتابیس یا سیستم را داریم، باید مشخص کنیم که این سیستم تحت چه نوع استانداردی باید طراحی شود.

این انتخاب باعث می‌شود که در ادامه، فرآیند پیاده‌سازی، کنترل تهدیدها، حفظ پایداری و مدیریت ریسک، به‌شکل هدفمندتری انجام شود.» البته این کارشناس معتقد است که کنترل تهدیدها و دستیابی به پایداری یک روند مداوم است و نقطه پایان ندارد، اما برای شروع مسیر، استفاده از این استانداردها بسیار ضروری است. او همچنین بر اهمیت شناخت دقیق دارایی‌ها و محیط عملیاتی تاکید و بیان کرد که بدون درک صحیح از دارایی‌ها، انتخاب استانداردهای امنیتی و اجرای آنها بی‌نتیجه خواهد بود.

او همچنین افزود که امنیت سایبری باید از مرحله طراحی و توسعه سیستم‌ها در نظر گرفته شود و نباید تنها به عنوان یک الزام پسینی و چک‌لیست اجرا شود. همچنین خاطرنشان کرد که بدون تحلیل وضعیت موجود، پروژه‌های امنیتی معمولا شکست می‌خورند و منابع سازمان هدر می‌رود.

ملزومات امنیت

در ادامه نشست، رویا دهبسته، مدیرعامل شرکت باگدشت درباره انتخاب محصولات امنیتی و ابزارهای مرتبط سخن گفت و تاکید کرد که ابزارها باید براساس نیاز واقعی سازمان، قابلیت پشتیبانی و تطابق با ساختار سازمانی انتخاب شوند، نه صرفا به دلیل برند یا تبلیغات. او همچنین بر اهمیت تعریف دقیق نقش‌ها و سطوح دسترسی کاربران و پیمانکاران تاکید کرد و آن را از مهم‌ترین عوامل کاهش آسیب‌پذیری‌های امنیتی دانست. دهبسته در بخش دیگری از صحبت‌های خود درباره نحوه انتخاب و پیاده‌سازی استانداردهای امنیتی در سازمان‌ها توضیح داد: « هر استانداردی در زمان پیاده‌سازی، نیازمند در نظر گرفتن ملاحظات و احتیاط‌های خاص خود است. نکته مهم این است که بسیاری از سازمان‌ها در کشور ما به سطحی از بلوغ رسیده‌اند که نیاز به همکاری با شرکای تخصصی در این زمینه را درک کرده‌اند. این گامی بسیار مثبت و ارزشمند است.

با این حال، اما در کنار آن باید به نکاتی هم توجه کرد. اینکه بعضی از سازمان‌ها هنوز در سطوح پایین‌تری از بلوغ قرار دارند. گاهی انتخاب استاندارد بدون درک کامل از نیازها و سطح آمادگی سازمان انجام می‌شود. اجرای ناقص یا سطحی می‌تواند منجر به صرف هزینه بدون اثربخشی واقعی شود.» در بخش دیگری از نشست هم حسن ابراهیمی یزدی، مدیرعامل شرکت ایورد آریا به تفاوت‌های بنیادین میان فضای آی.تی و او.تی اشاره کرد و گفت: در حوزه آی.تی، حفاظت از محرمانگی داده‌ها اولویت است، اما در سیستم‌های صنعتی، پایداری و دسترسی اهمیت بیشتری دارد.»

او هشدار داد که ارتباط ناایمن میان این دو حوزه، تهدیدهای جدی ایجاد می‌کند و لزوم رعایت دقیق استانداردها را یادآور شد. این کارشناس همچنین بر ضرورت همکاری میان تیم‌های فنی، حراست و مدیریت سازمان تاکید کرد تا امنیت به شکل جامع تامین شود. او در این خصوص توضیح داد: « در حوزه آی.‌تی معماری امنیتی معمولا مثل یک دروازه‌بان است؛ یعنی ما با دیوارهای امنیتی تلاش می‌کنیم ورود تهدیدها را کنترل کنیم. اما در صنایع وضعیت متفاوت است. دارایی‌ها پراکنده‌اند و نمی‌شود فقط با روش‌های معمول آی.تی از آنها محافظت کرد. این موضوع پیچیدگی‌های زیادی ایجاد می‌کند. حوزه امنیت آی.تی طی سال‌ها بالغ شده و استانداردهای متعددی دارد، اما امنیت او.تی جوان‌تر است و هنوز مسیر طولانی‌ای برای رسیدن به بلوغ واقعی دارد.»

این کارشناس معتقد است که تنوع بسیار زیاد فناوری‌ها و محصولات در او.تی باعث می‌شود تا تدوین استانداردهای جامع امنیتی سخت باشد. به علاوه، تلاش برای یکپارچه‌سازی امنیت در این فضا با چالش‌های زیادی روبه‌رو است و نیازمند ایجاد یک اکوسیستم امنیتی ملی است. همچنین از نظر او، تعامل سازنده بین بخش‌های آی.تی و او.تی در سازمان‌ها اهمیت زیادی دارد و باید نگاه امنیتی را از صرفا فنی به سطح استراتژیک و سازمانی ارتقا داد تا بتوان امنیت واقعی و پایدار در این حوزه‌ها ایجاد کرد.