در هفته گذشته اعلام شد که اسنپ مورد سوءقصد قرار گرفته است. پیش از این نیز به یکی از سرورهای تپسی حمله شده بود.
اگرچه حمله هک یا نشت اطلاعات کاربران استارتآپها در سال ۹۸ جدی شده است، اما پیش از این نیز اخباری از حمله سایبری جدی مانند استاکسنت به سیستم هستهای ایران، هک اطلاعات کاربران ایرانسل، باج افزار واناکرای به کسب وکارهای ایرانی در سالهای گذشته مطرح بود. برای نمونه، در حمله باجافزار واناکرای، طبق آمار وزارت ارتباطات، تاکنون بیش از ۲۰۰۰ مورد ابتلا به باج افزار واناکرای در ایران گزارش شده است. بیشترین آلودگی متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی در استانهای تهران و اصفهان بوده است. این در حالی بوده است که بارها در رسانهها به نقل از پلیس فتا یا نیروهای انتظامی نیز اخبار مختلفی از هک حسابهای بانکی منتشر شد.
به هر حال، توسعه الکترونیکی شدن کسبوکارها، دولتها، سیستمهای بانکی و دیجیتالی شدن شهروندان حاکی از آن است این حملات سایبری با نرخ فزایندهای در حال رشد خواهند بود. به ویژه، در سالهای اخیر که دیجیتال بستر مناسب برای ایجاد شرکتهای کوچک که عمدتا از سیستمهای امنیت ضعیفی برخوردارند، بیش از سایر شرکتهای بزرگ و شناختهشده آسیب میبیند. بهطوری که براساس تحقیقات مجله فوربس آمده است، بالغ بر ۴۵ درصد از حملات سایبری و بدافزاری که هرروزه در جهان اتفاق میافتد، شرکتهای کوچک و متوسط را هدف قرار میدهد. از طرف دیگر، حسابهای کاربری مورد استفاده مدیران اجرایی و مقامات این شرکتها ۱۲ برابر بیشتر از مدیران اجرایی شرکتهای بزرگ و معروف جهان هک شده و مورد سوءاستفاده کاربران قرار گرفته است.
به نظر میرسد این همان مشکلی است که استارتآپهای کشور با آن مواجه شدند. استارتآپهایی که زمانی یک شرکت کوچک با کاربران کمی بودند که به لطف توسعه اینترنت و تغییر سبک زندگی کاربران و روی آوردن آنها به استفاده از خدمات دیجیتالی باعث شد این شرکتها رشد جهشی داشته باشند و در سالهای اخیر به بیش از ۴۰ میلیون کاربر خدمات بدهند. همزمان با رشد کاربران، این شرکتها نیز حجم بالایی از اطلاعات کاربران، اطلاعات که از نام و نام خانوادگی، شماره موبایل کاربران است گرفته تا مکانیابی و رفتارهای مصرفی آنها در این برنامهها را در مراکز دادهها نگهداری میکنند. اگرچه بسیاری از این شرکتها با استخدام افراد متخصص درصددند بتوانند امنیت حفظ این دادهها را تضمین کنند. با این حال، بخشی از این امنیت مشمول زیرساختها و مراکز دادهای است که استارتآپها از آنها استفاده میکنند و تامین آنها بسیار پرهزینه بوده و نیاز به تیمهای تخصصی قویتری دارد.
در واقع، در سطح جهانی برخی از شرکتها به شکل تخصصی و با استخدام نیروی متخصص به شکل ویژه روی تامین امنیت سایبری متمرکز هستند و این خدمات را برای استارتآپها و حتی شرکتهای بزرگ تامین میکنند. آمازون یکی از این شرکتهای در حوزه امنیت سایبری است که خدماتی از این دست را در سطوح کیفی و قیمتی مختلف به شرکتها و استارتآپها ارائه میکند. در مقابل، شرکتهای متقاضی نیز میتوانند متناسب با ابعاد فعالیت و مدل کسب و کاری که دارند سطح این خدمات را انتخاب کنند. به هر حال، تامین امنیت سایبری نهتنها یکی از چالشهای اصلی شرکتها، حتی دغدغه دولتها است، بهطوری که بنا بر گزارشهای گارتنر، هزینه جهانی در زمینه امنیت سایبری در سال ۲۰۱۸ با رشد ۴/ ۱۲درصدی نسبت به سال گذشته از مرز ۱۱۴ میلیارد دلار فراتر رفته است. همچنین پیشبینی کرده در سال ۲۰۱۹ این رقم با رشد ۷/ ۸ درصدی به ۱۲۴ میلیارد دلار میرسد.
در فضایی که استارتآپهای کشور در حال توسعه هستند و تعداد کاربران آنها از مرز ۴۰ میلیون میگذرد، ضرورت حفظ دادههای کلان نیازمند سطح تخصص و تجربه در ابعاد ملی است؛ زیرا پیامدهای عدم حضور این شرکتهای تخصصی صرفا به نشت اطلاعات استارتآپها ختم نمیشود، بلکه بسیاری از اطلاعاتی که در مراکز داده این استارتآپها وجود دارد به مثابه سرمایه ملی است که افشای آنها میتواند برای کشور تهدیدهای امنیتی، اقتصادی و اجتماعی به بار آورد. در حالی که انتظار میرفت همزمان با شکلگیری و توسعه استارتآپها، شرایط برای ایجاد شرکتهای تخصصی حوزه امنیت فراهم میشد. اما هنوز جای چنین شرکتهایی در سطح ملی که بتواند از امنیت استارتآپهای پرکاربر ایرانی پشتیبانی کند، خالی است. از آنجا که شرکتهای بزرگی در سطح آمازون نداریم، شرکتها مجبورند تمهیدات امنیتی را به همراه تخصص در داخل شرکت و در ابعاد بسیار کوچک و ناکافی فراهم کنند. در حالی که دولت میتواند قبل از بروز چنین اتفاقاتی و پیگیری آن با تسهیل فضای کسبوکار مانند حذف قوانین دست و پاگیر، کاهش ریسک سرمایهگذاری در این حوزه و کمک به رشد استارتآپهای حوزه امنیت، اقدامات موثرتری داشته باشد.
اماواگرهای آزادسازی دادههای دولتی
نبود یک اکوسیستم امنیت در حالی فضای استارتآپی را تهدید میکند که به تازگی پروژهای از سوی وزارت ارتباطات رونمایی شده که دسترسی به برخی دادههای دولتی را برای استارتآپها فراهم میکند. در این راستا، امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران، به «دنیای اقتصاد» گفت: در این پروژه درگاهی ایجاد شده که از طریق آن دادههای دولتی به استارتآپها ارائه میشود. البته هنوز لیست سرویسهای ارائه شده، تکمیل نشده و به مرور زمان کامل میشود. هم اکنون خدمات شامل شاهکار (سرویس احراز هویت و بررسی تطبیق شماره تلفن همراه با اطلاعات هویتی صاحب خط)، جینف( استانداردسازی نشانیها)، سامانه آدرس یاب برای کمک به اورژانس و ثبت احوال برای استعلام است. البته این خدمات از بهمن سال گذشته مطرح بود و فاز یک که اتصال فیزیکی بود الان ایجاد شده است. وی در ادامه با توجه به هک اخیر استارتآپها و تامین امنیت این دادهها گفت: این تامین امنیت دو جنبه دارد.
نخست جنبه قانونی است یعنی وجود قانونی که شرکتها را در صورت حفظ نکردن امنیت داده کاربران محکوم کند. برای این منظور لایحه صیانت از داده تدوین و به دولت ارائه شده و انتظار میرود دولت تا یک ماه آینده آن را تصویب کرده و به مجلس تقدیم کند. اما از آنجا که حفظ داده کاربران برای خود استارتآپها مهم است، بهصورت داوطلبانه شروع کردند. هم اکنون وزارت ارتباطات در حال تدوین یک پروتکل امنیتی است تا به تمام استارتآپهای پرکاربر ابلاغ شود. وی افزود: بنابر این لایحه، در صورت هک، دادستان یا مدعیالعموم میتواند از شرکت شکایت کند. البته دولت و کاربران نیز از این حقوق در صورت تصویب این لایحه و تبدیل شدن آن به قانون برخوردارند.
معاون وزیر ارتباطات در صورتی از لایحه و قانونگذاری برای تامین امنیت یاد میکند که در حال حاضر مشکل استارتآپها صرفا این موضوع نیست. به هر حال، شرکتهای استارتآپی نسبت به ارزش و اهمیت دادههای کاربرانشان آگاه هستند و همواره برای حفظ آن تلاش میکنند. همانطور که اشاره شد هماکنون نبود یک شرکت بزرگ متخصص در حوزه امنیت یا یک اکوسیستم امنیت بیش از هر عامل و هر زمانی این استارتآپها را تهدید میکند. در این باره ناظمی معتقد است: امنیت امر ارزان قیمتی نیست ولی برای همه شرکتها ضرورت دارد. با این حال، تامین آنها برای همه به لحاظ اقتصادی و از نظر هزینه-فایده، به صرفه نخواهد بود. هرچند دولت باید یک بخشی را تامین کند، اما اصل ماجرا مربوط به وزارت ارتباطات نیست.
حفظ امنیت برعهده کسب و کار است. چرا که حضور دولت مداخله به حساب میآید. وی خاطرنشان کرد: زمانی که استارتآپ از یک حدی بزرگتر شد؛ باید این زیرساختها را خودش داشته باشد. ایجاد زیرساختهای امنیتی از سوی دولت به لحاظ فنی معنادار نیست. در حال حاضر وزارت ارتباطات میتواند یکسری ابزارهایی به آنها بدهد. ولی اینکه این خدمات جامع باشد، وجود ندارد. به هر حال، بخشی از این امنیت توسط دولت تامین میشود و استارتآپها نیز باید برنامهای برای توسعه آن داشته باشند.
دولت یا استارتآپ
نبود زیرساخت امنیت اطلاعات در فضای استارتآپی با بروز اتفاقاتی ناخوشایند مانند نشت اطلاعات کاربران این استارتآپها همراه خواهد بود. در واقع، تامین امنیت برای توسعه آنها یک ضرورت است. اما در حالحاضر، چالش اصلی درخصوص آن، تامین این اکوسیستم است که دولت و استارتآپها معتقدند طرف مقابل باید آن را تامین کند. در این راستا، وحید معصومی، معاون مهندسی فنی کافه بازار به «دنیای اقتصاد» گفت: مسوولیت نهایی امنیت محصولات و خدمات ارائه شده توسط شرکتها با خود آنهاست و هر میزان هم که خدمات میزبانی امن ارائه شود، چیزی از مسوولیت نهایی شرکتها کم نمیکند. با این حال، نبود سرویسهای میزبانی بزرگ و آزمایششده قطعا یکی از عوامل بالا بودن نسبی آسیبپذیری سرویسهای حوزه IT است. البته شاید بتوان از طریق برخی نهادهای تخصصی نظیر سازمان IT هر از چند گاهی یکسری پروتکل جدید تعریف و به پلتفرمهای کشور ابلاغ کرد.
وی افزود: شرکتهای IT ایرانی که ابعاد آنها از حدی بزرگتر میشود و در مسیر رشد حرکت میکنند، معمولا به سمت پیادهسازی و نگهداری زیرساخت خاص خود حرکت میکنند؛ زیرا استفاده از مدلهای قدیمی خدمات میزبانی، بهصرفه و به اندازه کافی انعطافپذیر نیست و خدمات ابری در دسترس نیز به اندازه کافی جا افتاده و آزمایششده و قابل اتکا نیستند. این کار بسیار پرهزینه است. از دیدگاه امنیت نه تنها همه شرکتها باید حجم زیادی از ملاحظات امنیتی مشترک و زیرساختی را پیاده کنند که میتوانند توسط یک ارائهکننده خدمات میزبانی ارائه شود، بلکه باید متوجه بخش بزرگتر مسوولیت خود، یعنی ملاحظات مربوط به محصولشان نیز باشند. در حالی که در شرایط رقابتی بازار IT ایران کمتر شرکتی توان انجام توامان این کارها را پیدا میکند.
این کارشناس فنی بااشاره به بحث قانونی در این حوزه اشاره کرد: نخست آنکه در قوانین ما مباحث مربوط به تامین امنیت به وسیله ارائه دهندگان خدمات میزبانی آمده است و با توجه به اینکه تعریف مستقلی برای پلتفرمها در قوانین ایران نداریم، همین مقررات را به پلتفرمها تسری میدهیم. اما امکان تعیین یکسری پروتکل امنیتی در قانون وجود ندارد؛ چون این پروتکلها بسیار سریع تغییر میکنند؛ اما روند قانونگذاری بسیار کند است و درج چنین پروتکلهایی در قانون سبب عقبماندگی همیشگی قانون نسبت به وقایع روز دنیای تکنولوژی میشود. دوم اینکه در قوانین ایران هرگونه دسترسی به اطلاعات یا آموزش دسترسی غیرمجاز به اطلاعات یا افشای این اطلاعات و افشای اسرار تجاری جرمانگاری شده است. سوم اینکه باید توجه داشته باشیم که تعدد قانوننویسی و تصویب مقررات متعدد وپراکنده آسیب بسیار بیشتری به بدنه کسبوکارها و حقوق مردم خواهد زد. به گفته وی، هک و حملات سایبری بخش جدا نشدنی شرکتهای IT است. در واقع، شرکتها چه بخواهند چه نخواهند همیشه مورد تهدید مهاجمها هستند. بنابراین بهتر است بستری را مهیا کنند تا افراد خبره حوزه امنیت ترجیح دهند تحت حمایت قانون از پوشش هکر کلاهسیاه خارج شوند و تحت عنوان هکرهای کلاهسفید و کارشناسان امنیت به کمک کسب و کارها بیایند.
منبع: دنیای اقتصاد