نصیری‌زاده با اشاره به اینکه بزرگ‌ترین مشکل ما در ایران استفاده از افراد توانمند و با استعداد در سازمان و سیستمی است که می‌خواهد سرویس یا محصول اثربخش داشته باشد، به اهمیت فرهنگ و استعداد پرداخت و گفت: با بهره‌مندی از فرهنگ درست و نیروی بااستعداد می‌توانیم استراتژی را شفاف و سیستم را بهره‌ور و بهترین محصولات حوزه خود را عرضه کنیم. آریا نیز با ذکر تعدادی مثال در نهایت یادآور شد که براساس پیش‌بینی گارتنر هیچ چاره و راه حلی نداریم، جز توجه به آموزش و آگاهی‌رسانی و گفت: راه‌های زیادی برای مقابله با تهدیدات سایبری پیشنهاد می‌کنند، اما مهم‌ترین آن ها آموزش و آگاهی‌رسانی است و پایان این داستان باز است، آیا در امنیت سایبری می‌توانیم جلوی اقدام بشریت علیه بشریت را بگیریم یا خیر؟ امیدوارم بتوانیم.

خدابخشی بر این نکته تاکید کرد که در کنار آموزش مهارت‌های نرم، فرهنگ‌سازی‌ و به‌روزرسانی دانش، حتماْ باید مطلع شوید به شما حمله شده است یا خیر؟ و افزود: مواجهه و پیشگیری حرف دیگری است. از همه مهم‌تر با توجه به پیچیدگی ابعاد حوزه امنیت شما را به تعمق بیشتر در رابطه با دیتکشن دعوت می‌کنم. تمام آنچه می‌گوییم، ای.آی و… ما را در لحظه اتفاق افتادن آگاه می‌کند. سلطانی پس از مرور مولفه‌های تشکیل دهنده امنیت یادآور شد: وقتی مدیران امنیتی سازمان تصمیم می‌گیرند سازمان را امن کنند با یک‌سری چالش مواجه می‌شوند. مهم‌ترین آن ها چالش خرید تجهیزات است که صرفاْ بحث خرید ابزار در آن مطرح نیست. چالش دوم نیاز ما به افراد دارای دانش و مهارت کافی است. در کنار اینها با چالش حمله‌ها مواجه می‌شویم؛ حمله‌هایی که روز به روز پیشرفته‌تر و حرفه‌ای‌تر می‌شوند. اسپانسر این نشست شرکت امن‌پردازان کویر بود و گزارش مشروح سخنرانی‌های آن پیش روی شماست.

نصیری‌زاده: چالش‌های فرهنگ سازمانی

ما در این نشست قرار است درباره ابعاد گوناگون امنیت سایبری با همدیگر صحبت کنیم و ان‌شاءلله بتوانیم نشست خیلی خوبی برگزار کنیم. من ابتدا در رابطه با بحث سرمایه انسانی هوشمند و بهره‌وری و چالش‌ها صحبت می‌کنم، خانم دکتر در رابطه با بشریت علیه بشریت در حوزه امنیت سایبری، جناب آقای خدابخشی در رابطه با معماری‌های پیشرفته در حوزه امنیت سایبری و در نهایت دکتر مهدی سلطانی در رابطه با یک سرویس پایدار و اثربخش صحبت خواهند کرد.

ما مشکل یا سوالی در ایران داریم. سوال این است که چه اتفاقی می‌افتد که آدم‌های باهوش ما در ایران وسیله نقلیه ایرانی تولید می‌کنند و همین افراد اگر به سیستم خارجی و بهره‌ور بروند، می‌بینیم که می‌توانند خروجی فوق‌العاده خوبی ارائه دهند. ما با ابعاد علمی و جاهای مختلف تحلیل کردیم که بدانیم دلیل این اتفاق چیست و دوست دارم که نقد شویم و با همدیگر همفکری کنیم که چرا خروجی افراد در دو سیستم این‌قدر با هم تفاوت دارد؟ برای موفقیت یک بیزینس سه بعد اصلی داریم؛ افی‌شنسی، بهره‌وری و فرهنگ سازمانی. این سه بعد اصلی یک بیزینس است برای اینکه آن اتفاق خوب بیفتد، چرا یک نیروی انسانی می‌تواند در یک سیستم درست بنشیند، خروجی فوق‌العاده خوب داشته باشد و در سیستم اشتباه هم خروجی بد داشته باشد؟ در بحث اثرگذاری می‌گوییم که اف‌اکتیکنس  می‌خواهیم، ما در هر بیزینسی، باید چه کاری انجام دهیم؟ نیازی داریم، نیاز را شناسایی می‌کنیم که نیاز مشتری  واقعی چیست و چرایی را می‌فهمیم و براساس آن نیاز و چرایی آن، استراتژی را می‌چینیم. استراتژی به چه معناست؟ به این معنا که ما قرار است به کجاها نه بگوییم و چه اتفاقی قرار است بیفتد؟ و با نه گفتن‌های مختلف رایت تو د پوینت می‌رویم سراغ اصل موضوع و خروجی‌ای که می‌خواهیم داشته باشیم.

به‌طور مثال؛ در دی.پی.کی به دنبال هدف یک نیاز هستیم و دنبال اینیم که دغدغه سازمان امنیت را حل کنیم و خیال مشتری را راحت کنیم که ما دغدغه تو را فهمیده‌ و توانسته‌ایم آن دغدغه را برای تو رفع کنیم ولی دغدغه و امنیت به چه معناست؟ یعنی سازمان و یا آن بیزینس دیسیبل‌های مختلف دارد پس سعی کردیم جامعیتی ایجاد کنیم و با آن جامعه و راهکارهای جامع سعی کردیم تجربه هوشمندانه و ساده‌ای ایجاد کنیم و وقتی در آن سازمان موفقیم که بتوانیم دغدغه امنیت سازمان را ایجاد کنیم. این چیزی است که برای خودمان تعریف کردیم و به دنبال رفع این نیاز در آن بیزینس هستیم. برای موفقیت یک بیزینس در هر حوزه‌ای از جمله امنیت سایبری قبل از هر چیز دیگر یک بعد آن اف.ای.تیونس و اثرگذاری و استراتژی و نیاز است و بعد دیگر هم بهره‌وری است.

ما چگونه می‌توانیم سازمان را بهره‌ور کنیم؟ دنیا در حال تغییر است و شرایط محیطی هم در حال تغییر. چه اتفاقی می‌افتد؟ اولین نقطه در اصل بهره‌وری ماتریس اولویت‌بندی آیزنهاور است. همه ما ماتریس را می‌شناسیم که می‌گوید ما چهار منطقه داریم و همیشه هم می‌گوید منطقه یک خیلی مهم است و دو بعد دیگر مهم یا غیرمهم و فوری یا غیرفوری است، منطقه یک منطقه مهم و فوری است. ولی وقتی کار مهم و فوری شد چه اتفاقی افتاده است؟ یعنی کار از کار گذشته است و مدیریت بحران می‌کنیم. یعنی اتفاقی افتاده است باید به داد آن برسیم و این مشکل بزرگی است که ما در ایران هم خیلی زیاد داریم. هنر ما این است که بتوانیم در منطقه دو باشیم. این به چه معناست؟ یعنی کارهای مهم را انجام دهیم که فوری نشده است و هنوز زمان داریم و می‌توانیم برای آن برنامه‌ریزی کنیم و بر روی آن خروجی می‌چینیم پس برای سیستم بهره‌وری قوی این است که ما بتوانیم در منطقه دو کار کنیم و این اصلی برای موفقیت است که سیستم بهره‌ور داشته باشیم.

سیستم‌های عامل در دنیا چه می‌گویند؟ می‌گویند نقشه راه (رود مپ) کلان سازمان را در بیاور که چه نیازی و با چه تمرکزی است؟ می‌گوید این درست (اوکی) است من می‌گویم بله درست (اوکی) است و می‌گویم کل سازمان را با این هماهنگ کرده‌اید؟ یعنی چه که کل سازمان را با این هماهنگ کرده‌اید؟ تمام محصولات، تمام واحدهای سازمانی و تمام ساختارها با این هماهنگ‌اند. و من می‌گویم پس سعی کردم نقشه راه‌های واحدهای مختلف را بر روی همان استراتژی هماهنگ کنم و بر روی همان بحثی که گفتیم که از افکتیکنس‌ها از آن می‌خواهیم و در اینجا نقشه راه (رود مپی) را بیش از یکسال دارم که خیلی هم شفاف نیست، اما نمی‌گذارم گم شود و سعی می‌کنم در راستای نقشه راه (رود مپ) سالیانه و یا بیش از یک‌ساله من که تا حدی هم شفاف و هم عدم شفاف است آن را شفاف‌تر کنم، چرا؟ چون شرایط هم در ایران و هم در همه جای دنیا در حال تغییر است. نقشه راه (رود مپ) را که شفاف کردم، در کلیه واحدهایم به صورت الا کلنگی با همان استراتژی کار می‌کنم در اینجا اهداف فصلی من به همان ترتیب است و بعد اهداف ماهیانه من و بعد اسپرینت‌های دو هفته‌ای من و بعد دیلی. مشاهده می‌کنید که از بیش از یک‌سال به دیلی رسیدم و هر چه بالاتر می‌آید شفاف‌تر شود. دیلی من باید دقیقاً شفاف شود، تیم‌ها باید جلسات دیلی با همدیگر داشته باشند و بتوانند در جلسات دیلی بلاکرها را حذف کنند که این کار موجب افزایش بهره‌وری است، چرا؟ چون کل اعضای تیم با همدیگر هماهنگ‌اند و در راستای استراتژی‌ای در حال حرکتند که بتوانند سیستم را با بهره‌وری بیشتر جلو ببرند.

چالش‌های این کار چیست؟ در مورد اثرگذاری و بهره‌وری این روش توضیح دادیم. آیا با این اثرگذاری و بهره‌وری به محصول تاپ می‌رسیم؟ خیر. و این یکی از ضعف‌های اصلی فرهنگ سازمان است، از این جهت که اگر بتوانیم در سازمانی فرهنگ سازمانی را درست ایجاد کنیم، محصول آن هم به صورت اتوماتیک درست در می‌آید و اگر استراتژی درست، سیستم بهره‌وری درست و فرهنگ درست را بتوانیم به صورت مثلث در کنار همدیگر بنشانیم، خروجی فوق‌العاده خوبی خواهیم داشت. فرهنگ سازمانی چیست؟ سازمان موفق باید هفت کالچر اصلی داشته باشد. ما در ایران هم متاسفانه یا خوشبختانه این مشکل را به جد داریم که البته ما یزدی‌ها اوضاعمان بدتر است. اولین حوزه می‌گوید اف.ای.تی.اف کامینوکیشن است. یعنی سازمان و افراد باید به خوبی با همدیگر صحبت و تعامل کنند. شنوندگی را باید به خوبی یاد بگیرند که ما در ایران و در سازمان‌هایمان در ابعاد مختلف و حتی سطح بیزینس‌ها هم خیلی این مشکل را داریم. اولویت یا کالچر دوم تیم ورکی است. به این معنا که تیم‌ها بتوانند با همدیگر کار کنند. همه ما می‌دانیم که هر فردی یک تیپ شخصیتی دارد و هر شخصی یک مقدار مزیت و عیب دارد و وقتی شخصی موفق است می‌گوییم که یک نفر به تنهایی نمی‌تواند موفق باشد، چرا؟ چون این مقدار مزیت و این مقدار اشکال دارد و چه زمانی شخص می‌تواند موفق باشد؟ زمانی که یک تیم موفق باشد و اینها بتوانند نقاط قوت و ضعف همدیگر را به خوبی پوشش دهند و خروجی قوی و توانمندی داشته باشند. کالچر کد سوم کاستیمر دریون است. چه‌قدر سازمان و کالچر آن سازمان کاستیمر دریون است و چه‌قدر می‌تواند بر روی خروجی‌های درست و نیاز واقعی مشتری تمرکز کند؟ در ابعاد مختلف در رده سازمانی و کد افراد ما بنشیند؟ همیشه راهکار برای نشدن‌ها وجود دارد، اما هنر ما چیست؟ هنر ما این است که بتوانیم روشی برای حل مسئله پیدا کنیم و هر طور شده بتوانیم به راه حل مسئله‌مان برسیم و افراد بتوانند به هر نحوی شده بجنگند و مسئله را حل کنند و به خروجی مسئله برسند. ما در هر صورت باید در سازمان‌هایمان این کالچر را داشته باشیم.

دیتا دیرون؛ چه‌قدر تصمیمات و استاری ویس است یا چه‌قدر تصمیماتمان براساس دیتاست؟ در ایران هم به شدت این مشکل را داریم؛ اینکه تصمیماتی که در سازمان برای مشتری و برای اثربخشی و اثرگذاری و بهره‌وری گرفته می‌شود، چه‌قدر براساس دیتا و آنالیز دیتاست؟ چه‌قدر ما براساس دیتا تصمیم می‌گیریم؟ و دیتا است که واقعیت‌ها را به ما می‌گوید، نه استوری‌ها. اکت لاینر اونری؛ پنجمین عامل است. مشکل دیگری که داریم کم بودن اونر شیپ ما در سازمان و کالچر سازمان است. چه کار کنیم که بتوانیم اونر شیپ را در سازمان تقویت کنیم؟ چه کار کنیم که هر فردی درواقع مانند مالک برای دغدغه سازمان بدود، دغدغه داشته باشد و بتواند مسئله حل کند. در نهایت بزرگ‌ترین مشکلی که الان ما در ایران داریم این است که در سازمان و سیستمی که قرار است سرویس یا محصول اثربخش داشته باشد، باید روی هر صندلی آدمی فوق‌العاده، توانمند و پر از استعداد نشسته باشد. آدمی که پر از کالچر درست و استعداد قوی باشد. ما می‌دانیم کسی که کالچر درست و استعداد خوبی داشته باشد، فردا روزی متخصصی اثرگذار و اثربخش خواهد شد. اگر همه اینها را در کنار همدیگر داشته باشیم و این سه پارامتر اثرگذاری که استراتژی ما می‌گوید، اینکه استراتژی را شفاف کنیم و سیستم را بتوانیم بهره‌ور به آن سمت ببریم، در کالچر درست می‌توانیم بهترین محصولات حوزه خودمان را در دنیا ایجاد کنیم.

آریا: اقدام بشریت علیه بشریت

با توجه به وقت ۱۰ دقیقه‌ای، من امروز تعدادی مثال می‌زنم و چند آمار می‌گویم و در انتها هم پایان باز می‌گذارم برای اینکه خودتان تصمیم بگیرید. مثال اول من تسلا است؛ فکر می‌کنم خیلی از شماها با تسلا آشنایی دارید. این غول ماشین‌های بدون راننده در دنیا دچار مشکل امنیتی شد، از این جهت که چند سال قبل یکی از کارمندان در حال خروجِ تسلا فایلی را در اختیار رقیب قرار داد که اطلاعات ۷۵ هزار کارمند تسلا شامل اسم، آدرس، اطلاعات بانکی و همه مشخصاتشان در این فایل قرار داشت و عملاً در این اتفاقی که افتاد، تسلا چند ماه بعد متوجه این خروج دیتا شد و اقدامات قانونی انجام شد، ولی این اطلاعات افشا شده بود و لکه ننگی بر مدل امنیتی تسلا ایجاد کرده بود.

مثال بعدی یاهو است. در مورد یاهو هم اتفاق جالبی افتاد از این منظر که یکی از محققین یاهو یک جاب آفر گرفت و چند دقیقه بعد از دریافت این جاب آفر ۵۷۰ هزار صفحه فایل بر روی لپ‌تاپ شخصی خود دانلود کرد و اطلاعات اسرار تجاری یاهو و اطلاعات کارمندان یاهو را برداشت و آن را به‌عنوان مزیت رقابتی با خود به کمپانی رقیب برد و چند هفته بعد یاهو متوجه این اتفاق شد. اگر چه یاهو تلاش کرد این فرد را سو کند، اما متاسفانه اسرار تجاری او در اختیار رقیب قرار گرفت و با هر نوع سو کردنی هم موفق نشد کاری را انجام دهد. مثال سوم از مایکرو سافت است. یکی،دو کارمند بی‌توجه فایلی را در گیتاب مایکرو سافت قرار دادند که در این فایل اطلاعات لاگین بسیار مهمی قرار داشت، از جمله اطلاعات لاگین به سرورهای آژور از جمله امکان دسترسی به خیلی از سیستم‌های داخلی مایکرو سافت و در نهایت به سورس کویدرهای مایکرو سافت. خوبی این کار این بود که یکی از شرکت‌های سیکوریتی توانست خیلی سریع تشخیص دهد که چنین اتفاقی افتاده است و قبل از اینکه کسی به این فایل دسترسی پیدا کند و بتواند از آن استفاده کند، این فایل از دسترس خارج شد. این نشان داد که چه بی‌مبالاتی خطرناکی توسط کارمند و علیه مایکروسافت داشت اتفاق می‌افتاد.

پروف فوینت؛ خودش شرکت سیکوریتی است، دی.ال.پی تولید می‌کند و امنیت ای‌.میل‌ها را تامین می‌کند. اما خود شرکت امنیتی هم نتوانست با دی.ال.پی خود جلوی انتقال فایل را توسط یکی از کارمندان در حال خروج بگیرد. این فرد هم هزاران فایل را بر روی یک فایل یو.اس.پی ریخت و برای شرکت رقیب برد. اگر بخواهیم عملاً مقایسه کنیم، شرکت مجبور شد به دلیل نقض جی.دی.پی.آر پروف فوینت، معادل حدود ۲۰ میلیون یورو برای اطلاعات کاربرانی که تحت جی.دی.پی.آر بودند، پرداخت کند و با اینکه موضوع را به دادگاه برد، ولی عملاً اتفاق افتاده بود. در مورد توئیتر هم مهندسی اجتماعی جواب داد. عملاً بحث اسپیری فیشینگ اتفاق افتاد. اسپیری فیشینگ فیشینگی برای تعدادی خاصی از افراد با تارگت خاص است. در این اسپیری فیشینگ به صورت تلفنی تعدادی از کارمندان توئیتر را تارگت کرد و با دادن وعده بیت‌کوینی به آنها، تعدادی دیتا گرفت و توانست به سیستم ساپورت اکانت‌ها فرد دست پیدا کند. در نتیجه ۱۳۰ مورد از اکانت‌های خیلی های لول توئیتر را به دست آورد. اگرچه این کار ضرر مالی در پی نداشت، اما خیلی بد آبروی توئیتر رفت که موفق نشده است از اکانت‌هایش محافظت کند.

یک زمانی گوگل روی پروژه‌ای به نام پروژه شوفر برای خودروهای بدون سرنشین کار می‌کرد. در اینجا هم فردی که در حال خروج از گوگل بود، تعداد زیادی فایل به کمپانی رقیب منتقل ‌کرد و عملاً کل اسرار تجاری گوگل را در این پروژه، از گوگل خارج ‌کرد که به نام پروژه ویمو در گوگل مطرح است و باعث شد تمام اسرار تجاری گوگل به شرکت رقیبش منتقل شود.

فکر نکنید فقط شرکت‌های آی.تی دچار این مسئله هستند، نه. احتمالاً هتل‌های ماریوت را می‌شناسید. از طریق لپ‌تاپ دو نفر از کارمندانی که عملاً اسپلویت شدند، توانستند وارد سیستم این مجموعه هتل‌ها شوند و به اطلاعات پنج میلیون میهمان ماریوت دست پیدا کنند. اطلاعات از نوع اطلاعات شخصی و بانکی بود؛ همه اطلاعاتی که در هتل ثبت می‌شود و عملاً هتل مجبور شد که ۴/۱۸ میلیون یورو برای نقض دی.جی.پی.آر و نشر اطلاعات خسارت بدهد؛ اطلاعاتی که روی نرم‌افزارش داشت و با کمک آن ساپورت پذیرش را انجام می‌داد. اپل هم دچار این مسئله شده است. کاری در بیزینس به نام پوچینگ داریم، به معنای اینکه تعدادی از کارمندان متعلق به شرکت دیگر را جذب می‌کنید و آن‌قدر روی آن ها کار می‌کنید تا بالاخره از آن ها دیتا می‌گیرید. بر همین اساس شرکت رقیبی ۴۰ نفر از افراد اپل را استخدام کرد و در نهایت توانست به اسرار تجاری یکی از پروژه‌های اس.او.سی اپل به نام سیستم آن چیپ دست پیدا کند و حاصل کار ۱۰ ساله اپل بر روی چیپ‌هایش را از طریق دو نفر از مهندسان در هزارها گیگا بایت دیتا منتقل کند. اپل جنگ دادگاهی چند میلیارد دلاری با این رقیب دارد، ولی به هر حال این دیتا به آن شرکت منتقل شده است.

در بوئینگ یکی از کارکنان قرار بود در اکسل کاری انجام دهد، اما بلد نبود. فایل اکسل را از ای‌میل شخصی برای همسرش می‌فرستد و به او می‌گوید کمک کن این کار را در اکسل انجام دهم. جریان از این قرار بود که این فایل اکسل یک سری ستون هیدن داشته و عملاً آن کارمند آن ستون‌ها را نمی‌دیده است. آن ستون‌ها پر از اطلاعات بانکی و شخصی آن افراد بوده است که به سادگی از بوئینگ خارج شد و اگرچه اتفاقی برای آن اشخاص نیفتاد و دزدی‌ای انجام نشد، اما عملاً بوئینگ مجبور شد برای دو سال مانیتورینگ کریدیت‌های این افراد را برعهده بگیرد و برای این کار معادل هفت میلیون دلار هزینه بپردازد. برای شرکت ردیت هم دقیقاً موردی مشابه دیگر موارد پیش آمده بود. این دفعه لندینگ جعلی برای یکی از کارکنان ارسال شد و با کلیک آن کارمند بر روی لینکی که در لندینگ جعلی وجود داشت، اکسس به فایل‌هایی که دیتای کارکنان و مشتریان از سال ۲۰۰۷ تا سال ۲۰۲۳ میلادی، به‌علاوه اسرار تجاری شرکت در آن ها نگه‌داری می‌شد دسترسی پیدا کرد. شرکت استرادیس در حوزه تامین تجهیزات پزشکی فعالیت می‌کند. در زمان همه‌گیری کووید ۱۹، عملاً ۸۱ درصد افراد در دنیا ریموتی کار کردن را شروع کردند و ‌به صورت ریموت به افراد دسترسی داده شد. نایب‌رئیس این کمپانی دچار موضوع لی.آف شده بود. یعنی به علت اینکه خیلی از افراد کار خود را در همه‌گیری کووید از دست دادند، روی لج افتاد و دیتای حمل و نقل شیپینگ تعدادی از این تجهیزات مانند ماسک و… را به‌طور کلی پاک کرد؛ تجهیزاتی که برای جلوگیری از کووید به بیمارستان‌ها فرستاده می‌شد و این دریوری کاملاً دچار مشکل شد و در آن زمان عملاً دیتا ریمووال باعث شد که در اوج کووید بخش زیادی از این تجهیزات به بیمارستان‌ها نرسد.

در همه این اسلایدها من کلمه کارمند را قرمز کرده بودم. جهان تا سال ۲۰۲۵ میلادی، یک تریلیارد گیگابایت داده، ذخیره خواهد کرد، اما دستیابی به این دیتایی که احتمالاً ارزش بی‌نظیری هم خواهد داشت کار خیلی سختی خواهد بود. ما اکنون سرویس‌هایی مانند رند سام از ا سرویس داریم که خیلی راحت شما می‌توانید رند سام از ا سرویس را از جایی دریافت کنید و با او کار خود ر انجام دهید و حتی ساپورت و گارانتی هم دارند که اگر درست کار نکرد پول شما را برگردانند. ای.آی و بقیه موارد هم در کنار این سرویس‌ها قرار دهید، دانش آنچنانی و تکنیکالی لازم ندارد که شخصی بخواهد نفوذ کند و از دیتایی که به نظر می‌آید ارزش بسیاری دارد استفاده کند. یکی از بدترین اشتباه‌های بشریت دیوار چین بود. چرا دیوار چین به‌عنوان اشتباه درنظر گرفته می‌شود؟ دیواری با این هزینه وحشتناک و نیروی انسانی و این همه تلاش ساخته شد و در زمانی که قرار بود مقابل مهاجمین را بگیرد، نگهبانی کنار مانده بود، از مردم پول می‌گرفت و به آن ها اجازه ورود می‌داد و دیوار هم هیچ فایده‌ای نداشت. عملاً بیش از ۸۲ درصد از کل نقض داده‌ها در دنیا شامل یک عنصر انسانی است، یعنی همان نگهبان بغل دیوار چین را به‌خاطر بیاورید. زمانی که ۱۰ فایروال و هزار چیز دیگر در سازمانمان نصب می‌کنیم، بدانیم که عنصر انسانی را نباید نادیده بگیریم، عنصر انسانی که احساسات او به سادگی تحریک می‌شود. اگر او را اخراج کنید، با او بد حرف بزنید، دچار مشکل احساسی شود، یا کنجکاوی داشته باشد، به دروغ به کسی اعتماد کند، یا تحت فشار قرار بگیرد و بخواهد قدرت خود را نشان دهد و حال کسی را بگیرد، یا بخواهد بگوید من چگونه می‌توانم به شما کمک کنم، اجازه بدهید این اطلاعات را به شما بدهم و یا درخواست مالی از او شود و یا تحت فشار مالی قرار بگیرد و یا بخواهد چاپلوسی و خودشیرینی کند، تمام این موارد فایروال و ویروس و… را که کنار بگذارید اینها می‌توانند به مواردی که گفته شود اوورال داشته باشد.

در سال ۲۰۲۵ میلادی بعد از آمریکا و چین، جرایم سایبری سومین اقتصاد بزرگ جهان است که معادل ۵/۱۰ تریلیارد است و بیش از کل ترافیکینگ مواد مخدر در دنیاست. یعنی حجم پولی کل حوزه مواد مخدر و تجارت مواد مخدر روی هم از امنیت سایبری کمتر خواهد بود. هشت تریلیون در سال و ۶۶۷ تریلیون در ماه و ۱۵۴ در هفته و روز و ۲۵۵ هزار دلار در ثانیه برای جرایم رایانه‌ای صرف می‌شود. پس جرایم سایبری بحران شماره یک بشریت به‌شمار می‌آیند. نگران سلاح‌های هسته‌ای هستیم. هرچند تقریباً همه در دنیا در حال جنگ‌اند برای اینکه یکی به دیگری می‌گوید تو سلاح هسته‌ای نداشته باش یا تو اینجا این کار را انجام نده، خطر جرایم سایبری برای بشریت از سلاح هسته‌ای هم بالاتر است. عملاً پیش‌بینی گارتنر براساس آنچه که اتفاق می‌افتد نشان می‌دهد که هیچ چاره و راه حلی نداریم، جز اینکه آموزش بدهیم و آگاهی‌رسانی کنیم و امیدوار باشیم که میزان خطر کمتر شود. سرمایه‌گذاری برای هوش تهدید، برای اینکه بتوانیم از قبل پیش‌بینی کنیم و بتوانیم در مقابل حملات فعالیت‌ها و اقدامات پیشگیرانه داشته باشیم، شاید در آینده بتواند کمک کند و در مقابل ترت وکتور و عامل تهدید جدی انسانی که با او مواجهیم شاید بتواند کمک کند. راه‌های زیادی برای حفاظت اقتصادی در مقابل تهدیدات سایبری پیشنهاد می‌کنند؛ از جمله استفاده از هوش تهدید، اشتراک دانش و تجربه با همدیگر، هوش مصنوعی و برنامه‌های ماشین و برنامه‌های پاسخ به رخداد تا بتوانیم به درستی عکس‌العمل نشان دهیم و مدیریت ریسک انجام دهیم و به شرکت‌های کوچک‌تر حتماً اهمیت بدهیم که نفوذها از آنجا اتفاق می‌افتد، اما مهم‌ترین آنها آموزش و آگاهی‌رسانی و همان پایان بازی است که می‌خواهم برای شما بگذارم اینکه آیا در امنیت سایبری می‌توانیم جلوی اقدام بشریت علیه بشریت را بگیریم؟ آیا با آموزش و آگاهی‌رسانی می‌شود این کار را انجام داد؟ امیدوارم.

خدابخشی: بررسی پیش‌نیازهای امنیت

بعد از نگاه کل‌نگر و استراتژیک راجع به مقوله امنیت و بحث دوم تحت عنوان بشریت علیه بشریت یا بیم‌ها و انذارهای حوزه امنیت، فکر می‌کنم بتوانیم این بحث را ادامه دهیم و پیش‌نیازهایی را با همدیگر بررسی کنیم که به‌عنوان متولیان امنیت باید در مجموعه‌مان داشته باشیم.

امروز با توجه به زمان کمی که در اختیار دارم، بیشتر قصد دارم در نگاهی کلی نکاتی راجع به بحث‌های فنی‌ای عرض کنم که مدیر امنیت یا مجموعه متولی امنیت باید در نظر داشته باشد؛ از جمله بحث اتفاقاتی که در سال‌های اخیر در حوزه معماری امنیتی افتاده است. اگر بخواهیم خیلی سریع اتفاقات یا تکاملی که در حوزه امنیت بخصوص امنیت شبکه افتاده است را مرور کنیم، باید به این اشاره کنیم که در ابتدا امنیت فیزیکی بود و بستن پورت‌ها و ورود بحث آتنتی کیشن یا اصالت‌سنجی و پسوردها بود که طبیعتاً خیلی ضعیف و غیرقابل اعتماد بود، اما حدود ۴۰ الی ۵۰ سال قبل، زمانی که نت‌ورک به شکل فعلی وجود نداشت، کار می‌کرد. تمام عکس‌هایی که در اسلایدها هستند با ای.آی ساخته شده‌اند و با توجه به چیزهایی که در یک سال گذشته با ای‌.آی کار می‌کردم خیلی در این حوزه پیشرفت می‌کند.

بعد از گام‌های اولیه بحث فایر والینگ مطرح شد. ظهور فایر وال‌ها به‌عنوان نقاطی که بتوانند دسترسی‌ها را در شبکه و اکسس‌ها کنترل کنند و اینکه ما در نهایت بتوانیم جلوی دسترسی‌های غیرمجاز را بگیریم. بعد از آن به دلیل ظهور نرم‌افزارها، بحث آنتی ویروس و یا آنتی ملویرها به میان آمد. یعنی بعد از اینکه حوزه سخت‌افزار را دچار انقلاب دیدیم و تغییرات خیلی عمده‌ای در فرآیندهای محاسباتی و کانکتیویتی ایجاد شد نرم‌افزارها خیلی گسترش یافتند. بنابراین تهدیدها به سمت نرم‌افزار و اپلیکیشن رفت و بعد از آن بحث‌های شناسایی تهدیدات مجدد در حوزه شبکه بود. یعنی بحث آی.دی.اس و آی.پی.اس بود که مجدداً در حوزه اکسس تاکید داشت. بحث ظهور تکنولوژی‌های افیشن در حوزه رمزنگاری هم مطرح شد؛ رمزنگاری شاید به اندازه هزاران سال قدمت دارد، اما چیزی که بخواهد در عمل در حوزه تکنولوژی استفاده شود، شاید بیشتر به جنگ جهانی دوم و اتفاقات مربوط به آن جنگ برمی‌گردد که باعث رقم خوردن یک‌سری تکنولوژی‌ها و یک‌سری انقلاب‌های حوزه رمزنگاری شد. رمزنگاری به‌عنوان عنصر اصلی برای حفاظت از دیتا و انتقال امن دیتا، نقش خیلی مهمی بازی کرد و بعد از آن بحث وی.پی.ان به میان آمد. در این هنگام شبکه‌ها و نرم‌افزارها وجود داشتند، اکسس‌ها کنترل می‌شد که مشکلاتی از جمله بحث‌های جغرافیایی پیش آمد. یعنی ما ناچار بودیم به‌خاطر فاصله‌ای که وجود داشت، سازمان‌ها و افراد را از نقاط مختلف به هم متصل کنیم. و در نهایت بحث وی.پی.ان به میان آمد، ولی می‌دانید که وی.پی.ان چیزی نیست جز اتصال لایه دو و لایه سه و حتی لایه‌های دیگر بین دو سایت و یا یک فرد به یک سایت. یعنی مانند این می‌ماند که شما در محیط دیگری نشسته‌اید و این کار را انجام می‌دهید.

بحث بعدی ما بحث کلود سکوریتی بود که عملاً بحث افیشنسی در استفاده از منابع شبکه‌ای و پردازشی و استوریج بود که نکات سکوریتی خیلی زیادی دارد و من صرفاً می‌خواهم اولوشنی را که در این حوزه‌ها داشتیم مرور کنم. بحث بعدی در مورد ای.آی و اینتگریشن بین ای.آی و ماشین لرنینگ و حوزه امنیت سایبری است. ما ای.آی.یو سکوریتی داریم و یک سکوریتی این ای.آی داریم، یعنی بحث امن‌سازی خود فرآیندهای هوش مصنوعی و مدل‌سازی و استفاده از خود هوش مصنوعی برای امنیت شبکه و داده‌ها مطرح است. موضوع اصلی و نقطه تمرکز اصلی هم روی بحث مدل‌های مبتنی بر بی‌اعتمادی کامل است که بحث‌های مختلفی در آن مطرح است و شاید یکی از مهم‌ترین‌ها و مانترایی که در این حوزه مطرح است، بحث نیولتراست آنتراست وریفای است، به معنای اینکه هیچ وقت اعتماد نکن و همیشه اصالت‌سنجی و راستی‌آزمایی و درستی‌سنجی را انجام بده و در نهایت ما یک فیوچر ترندی داریم. بحث بعدی ما اصول اولیه زیرو تراکس آکوتکچر است که به‌عنوان مولفه ترکیب کننده تمام تکنولوژی‌های امنیتی در حال حاضر مطرح است. زمان زیادی هم از این بحث نمی‌گذرد به دلیل اینکه قبلاً به‌عنوان یک کانسپت مطرح بود، ولی شاید قبل‌تر، پیش‌نیازهای لازم برای استفاده از آن خیلی مهیا نبود.

من می‌خواهم مولفه‌های مختلف امنیت شبکه را در حال حاضر به همدیگر متصل کنم و تحت عنوان زیرو تراس خدمت شما ارائه دهم. بحث اول ما آخرین تکنولوژی حوزه آتن تیکیشن آتروزیشن یا یم است. در واقع ابزارهایی که شما را از مرحله آیدین تیکیشن تا آتی تیکیشن و بعد از آن در مرحله ارائه دسترسی‌ها به ماژورها یا آتروزیشن کاملاً اینها را اینترگریت می‌کند و یم محصولی است که طبیعتاً در سازمان بالغ باید وجود داشته باشد و متاسفانه هنوز خیلی جای خود را باز نکرده است. بحث نت‌ورک سگمنتیشن هم هست؛ ما مولفه‌های اساسی یک مدل بی‌اعتمادی روی شبکه را در کنار همدیگر قرار می‌دهیم، این بحث از گذشته هم مطرح بوده است. بحث بعدی در مورد دیتا سکوریتی است که مولفه‌هایی مانند دیتا گاورننس، مدیریت داده و حوزه‌های مختلفی را شامل می‌شود و شاید از همه مهم‌تر بحث جلوگیری از نشر اطلاعات و گم شدن اطلاعات و خرابی دیتا و… است که در ارائه قبلی هم بحث نشر داده‌ها مطرح شد. روش‌های مختلفی مطرح است، از جمله مهندسی اجتماعی یکی از روش‌های خوبی است که در حوزه تکنولوژی، در کنار تعمیق بحث‌های فرهنگی و آگاهی‌رسانی می‌توانیم به آن بپردازیم. یعنی به صورت اینفورسمنت تکنولوژیکال بحث دی.ال.پی است و البته بحث‌های دیجیتال رایت منیجمنت یا دی.آر.ام هم مطرح است.

همین الان اینکریپشن به صورت ان.تو.ام و بحث ترنزمیشن دیتا در حوزه شبکه و دیتایی که در محیط پردازش می‌شود هم مد نظر است.

بحث استفاده از ای.آی در خودکارسازی فرآیندهای تشخیص و قابله و بازیابی است، نورتراست آلوز فریفای در فاندامنتال مانترای حوزه زیرو تراست است. بحث لیز پریویج را در اینجا مطرح کردیم، در کنار اهمیت حوزه فرهنگ‌سازی ما همیشه باید ابزارهایی داشته باشیم که از اهمیت دروس مراقبت کند، یعنی قانون باید حتماً ضمانت اجرایی داشته باشد. بخشی از این ضمانت اجرایی در ابزارهایی مانند یم، دی.ال.پی، دی.آر.ام و ابزارهایی از این دست خلاصه می‌شود. بحث میکرو سگمنتیشن که موضوع جدیدی است، میکرو سگمنتیشن یعنی تا جایی دسترسی‌ها را بشکن و شبکه را ایزوله کن که کار مشخصی انجام دهند و ما بین این شبکه‌ها از ابزارهای کنترلی و ارائه دسترسی و کنترل دسترسی استفاده کن. بحث ام.اف.ای یا اصالت‌سنجی چندگانه هم فاکتور خیلی اساسی است که به‌عنوان پیش‌نیاز این حوزه مطرح است و بعد از آن هم بحث کانتی نیوز مانیتورینگ و ولیدیشن است. در مورد اس.دی.ان هم می‌خواهم صحبت کنم، چون دوستان احتمالاً می‌دانند اس.دی.ان شاید علی‌رغم تصور عام خیلی در حوزه زیرو ترانست نیاز است ما باید اس.تی.ان و اس.دی.ون داشته باشیم و باید کلود و میکرو سرویس آرکیتکشن داشته باشیم تا بتوانیم از مزایای درونی زیرو ترانس استفاده کنیم. در غیر این صورت فقط ملغمه‌ای از تکنولوژی‌های قدیمی و راهبردهای قدیمی هستند.

اگر بخواهیم نگاهی کلی به مقوله اس.دی.ان بیندازیم با این معماری روبه‌رو می‌شویم؛ در سوئیچ و روتر و در تمام دیوایس‌ها و اپرویس‌های امنیتی طبیعتاً این سه لایه را داریم. در لایه اپلیکیشن که اصطلاحاً به آن منیجمنت پلین می‌گویند لایه کنترل است که نقشی اساسی به نام کنترل پنل را ایفا می‌کند و در انتها دیتا دیل است؛ جایی که عملاً دیتا منتقل و پردازش و احیاناً ذخیره‌سازی می‌شود. ما در معماری اس.دی.ان به جای اینکه کنترل پلین و منیجمنت پلین و دیتا پلین در یک جا مشترک باشند اینها را از همدیگر جدا کردیم، یعنی منیجمنت را در یک نقطه متمرکز انجام می‌دهیم و از طریق کنترل پلین مجزا قوانین را اجرا می‌کنیم که همه هم با ای.پی.آی به همدیگر وصلند، و حتی می‌توانیم شبکه‌مان را منیج کنیم و در واقع دید هول استیک و یکپارچه و یونی فاید و انتزاعی از کل شبکه را می‌توانیم در لحظه داشته باشیم. در گذشته ما ناچار بودیم مانیتورینگ راه‌اندازی کنیم و دیتاهای اینها را جداگانه بگیریم و نمایش دهیم. این امر به‌عنوان عنصر اساسی در این حوزه مطرح است.

شاید تا الان سسی، به‌عنوان یک تکنولوژی مطرح شده، ولی واقعیت این است که این بحث سکیور اکسس، یعنی سرویس ارائه دسترسی به صورت عمد در لبه‌ها مجموعه‌ای از فرآیندها و تکنولوژی و افراد هستند. یعنی مانند یک اس.او.سی مجموعه‌ای سه‌گانه از اینها را همیشه با همدیگر دارید و ابزارها به تنهایی در این حوزه به شما کمک نمی‌کند. شرکت گارتنر که در حوزه رتبه‌بندی شرکت‌ها فعال است، سسی را به‌عنوان یک تکنولوژی در سال ۲۰۱۹ میلادی مطرح کرد و خیلی زود بروز و ظهور پیدا کرد و سی.دی.کو به سمت آن رفت. به همه دوستان پیشنهاد می‌کنم که در حد آشنایی در مورد این موضوع مطالعه کنند، به این دلیل که یک مسیر غیرقابل رهاکردن و اجتناب‌ناپذیر در حوزه توسعه زیرساخت‌های امنیتی شبکه است. خلاصه، سسی کانورژنس یا ترکیب و ادغام نت‌ورک سیکوریتی در ون است، یعنی همان‌طور که در ون تکنولوژی‌های جدید مانند اس.تی.ون و اینتلجت نت‌ورک را دارید و در شبکه اس.دی.ام می‌توانید دید یکپارچه‌ای فراهم کنید، در نت‌ورک سکوریتی طبیعتاْ باید این عمل ادغام شود تا بتوانید اور نیور امنیتی داشته باشید که وظیفه یک سیزو یا مدیر امنیت طبیعتاْ همین است.

موضوع دیگری که مطرح است طبیعتاْ شما باید کلود نیتیو باشید. یعنی اگر سازمانتان کلود و میکرو سرویس  مبتنی بر سرویس هستند، طبیعتاْ باید این حوزه را کنار بگذارید، ولی باز هم حوزه کلود نیتیو حوزه اجتناب‌ناپذیری است. بحث نت‌ورک آپتونیزیشن هم مطرح است، ممکن است سسی به شما دید یکپارچه بر روی لن و ون و ارتباطات خارجی و بر روی مدیریت حوزه امنیت بدهد، یعنی هر جایی که شما بر لبه مانند یک دیوایس ارائه می‌دهید، به صورت یکپارچه همه اینها را جمع کنید و رول روی آن بگذارید و اینفورسمنت بر پالی سیاه انجام دهید. دیسیبت اکسس را بر روی اج می‌دهیم به جای اینکه به صورت متمرکز اکسس منیجمنت را انجام دهید، یک‌سری پالیسی را بر روی دستگاه‌های مختلف و زیرساخت‌ها اینفورس می‌کنیم و از آنجا دسترسی‌ها را به صورت غیرمجتمع مدیریت می‌کنیم ولی تصویر یکپارچه است. در نهایت بحث آیدینتی دیروینت پالیسی بر روی ای.آی می‌ماند که ما مطرح می‌کنیم.

من برای اینکه به موضوع اصلی که زد.تی.ان.ای است بپرازم باید به این اشاره کنم که تا به حال به اس.دی.ان و کلود و سسی اشاره کردیم، به نظر من اینها مولفه‌های اساسی میل به اهداف امنیتی در آینده هستند. من بر روی ای.آی هم یک نکته را عنوان می‌کنم، ای.آی حتماْ باید یک راهبرد اساسی باشد و اگر شما هم بخواهید آن را رد کنید، حتماْ شما را به سمت و سویی خواهد کشید. همان‌طور که ای.آی ابزارهایی را در حوزه کامپیوتینگ و اپلیکیشن‌ها و دیتا انلیسیس و بحث‌های دیگر عنوان می‌کند، امنیت هم از این قافله عقب نیفتاده است و اگر هم نخواهیم به آن بپردازیم طبیعتاْ دچار خسارت‌های زیادی می‌شویم. من از بحث امنیت در هوش مصنوعی صرف نظر می‌کنم، چون مقوله خیلی جدایی است که شما چگونه مدلتان را نسبت به ادورتری اتک‌ها ترین کنید و جلوی آن ها را بگیرید و…

موضوع دیگر استفاده از تکنولوژی‌های ای.آی است و صرفاْ هم راجع به جنرایتیو ای.آی و ال.ام و… صحبت نمی‌کنم. من در مورد یک ترند صحبت می‌کنم و راجع به گذار از ماشین لینینگ سنتی به سمت ام.آی‌های جنرایتیو و اینکه در آینده ممکن است چه اتفاقاتی بیفتد، صحبت می‌کنم. عمده کاربردهای ای.آی بحث‌های پرودکتیو است، بحث دیتا دریون بودن سازمان اگر بخواهید باشید باید دیتا را جمع‌آوری و تحلیل کنید، دیتا را تمیز کنید و تحلیل کنید و از آن برای تصمیم‌گیری و تصمیم‌سازی استفاده کنید. برای رسیدن به این هدف با این حجم زیاد از دیتا و نویز طبیعتاْ دیگر عامل انسانی به تنهایی نمی‌تواند این کار را انجام دهد و ای.آی به شکلی می‌تواند کتگوری کردن را برای شما انجام دهد. پردیتیو بودن چیست؟ به معنای پیش‌بینی آینده است که این کار هم از روی رفتارهای گذشته و هم از روی مدل‌های محاسباتی که می‌تواند فرآیندهای جاری سازمان را شبیه‌سازی کند، رخ می‌دهد. نکات جالب و جدید دیگری هم وجود دارد مانند ای.آر دیریون پالیسی منیجمنت، شما پالیسی‌ها را می‌نوشتید و طبق استراتژی در سازمان اینفورس و ممیزی می‌کردید و انجام می‌دادید. در حال حاضر ای.آی برای ما تصویر با رزولوشن بالا ایجاد کرده است و شما می‌توانید در اج و در نقاط انتهایی و در سرورها و در تمام سازمان از طریق تکنولوژی‌هایی که نام بردم دیتا را بگیرید و ترید کنید و در لحظه تصویر انتزاعی سازمان را داشته باشید. یعنی به جای این که سیمولیت کنید همان لحظه بتوانید یک ایمولیشن خوب داشته باشید و در نهایت از طریق ای.آی پالیسی‌ها را بنویسید که این موضوع جدیدی است که محصولاتی هم روی آن در دنیا وجود دارد.

موضوع بعدی بحث ریسک اسسمنت است که بحث ای.آی خیلی به آن کمک کرده و خیلی آن را تغییر داده است و بحث ایسریس ریسمانس مانند سور، بحث‌های اتوماتیک کردن فرآیندهای واکنشی و بحث کانتیومینیس مانیتور است. ما اگر بخواهیم در سازمان خود زیر تراست آر.تی تکچ داشته باشیم، باید چند کار را انجام دهیم که به ترتیب ابتدا نت‌ورک سگمنتیشن است، باید شبکه را بتوانید به یک‌سری سکیوری زون تقسیم کنید و دیگر مانند قبل نمی‌توانید یک دی.ان.زی داشته باشید. باید به ازای هر اپلیکیشن و تسک و سرویس، زون‌های مجزا به صورت سلسله مراتب داشته باشید و بعد از آن باید بتوانید آی.دن.تی.تی را شناسایی کنید. شناسایی کردن آی.دن.تی.تی از مرحله آتی.تی کیشن و آتروزیشن و… تا مراحل پروسس بیسی مانند زیرو تراست و لیس پیلیبیلیز اکسس و… و در نهایت همه اینها را که انجام دهید از طریق ای.آی یا از طریق نیروهای انسانی یا ابزارهای دیگر شما باید کانتی نیوز مانیتورینگ داشته باشید و این است که سازمان شما را از حوادثی آگاه می‌کند که همین الان اتفاق افتاده است و ممکن است از آن مطلع نباشید.

شما در کنار مهارت‌های نرمی که باید در سازمان پرورش دهید، انجام فرهنگ‌سازی‌ و دانشی که باید به‌روز باشد، حتماْ باید مطلع شوید به شما حمله شده است یا خیر؟ بنابراین مواجهه و پیشگیری حرف دیگری است و از همه مهم‌تر در حال حاضر با توجه به پیچیدگی ابعادی حوزه امنیت من شما را به تعمق بیشتر در رابطه با دیتکشن دعوت می‌کنم. تمام چیزهایی که ما می‌گوییم و تمام ای.آی و… ما را در لحظه اتفاق افتادن آگاه می‌کند.

سلطانی: مولفه‌های امنیت

موضوع صحبت بنده ارائه سرویس امنیت پایدار و اثربخش و اجاکت است و در این ارائه سعی می‌کنم در سه مبحث مختلف پایه‌های اس.او.سی و ارکان تشکیل دهنده اس.او.سی و چالش‌های برقراری یک سرویس امن در سازمان‌ها، مخصوصاْ شبکه‌های بانکی و سازمان‌های بانکی و همین‌طور اثربخش کردن اس.او.سی‌ها با همدیگر صحبت کنیم.

بحث اول بحث ستون‌ها و مولفه‌های تشکیل دهنده یک اس.او.سی یا سرویس امن است. همان‌طور که دوستان حاضر در جلسه مطلعند هر اس.او.سی و سرویس امنیت از سه رکن اصلی تشکیل شده است، رکن اول تکنولوژی است. همان‌طور که دوستان اشاره کردند تکنولوژی‌های مختلفی در حوزه امنیت شبکه وجود دارد که برای بهبود کیفیت سرویس از آن ها استفاده می‌شودُ مانند حوزه‌هایی مثل آی.دی.اس و فایر وال و فور و اس.دی.آی.ان و تولزهای مختلف امنیتی دیگر که می‌تواند برای ما در حوزه امنیت اثر بخشی ایجاد کند و سازمان ما را امن کند. اینجا سوالی مطرح می‌شود که آیا ما با خرید یک‌سری تجهیزات امنیتی، با خرید یک‌سری تولزهای امنیتی، می‌توانیم ادعا کنیم که امنیت اثربخشی داریم و توانسته‌ایم ضریب بالایی از اطمینان و امنیت سازمان را برای خودمان حاصل کنیم؟ مطمئناْ در نظر صاحب‌نظران در کنار حوزه تکنولوژی به حوزه‌های دیگری مانند پیپر و پراپس هم نیاز داریم. پیپیر افراد ماهری می‌شوند که ترنینگ خوبی دارند و به صورت خاص می‌توانیم در مورد آن جاب اکسپری ینز صحبت کنیم و کسانی که مهارت خوبی در به‌کارگیری امنیت دانش خود در حوزه تشخیص و پاسخ و مشاوره امنیتی دارند.

پس ما در کنار تولزهای امنیتی، به افرادی نیاز داریم که می‌توانند دانش و مهارت امنیتی مناسبی داخل سازمان ما ایجاد کنند و در کنار این افراد و تکنولوژی، فرآیندها را داریم،. فرآیندها چکیده دانش و تجربه نسل‌های مختلفی از تیم‌های امنیتی است که می‌خواهد داخل سازمان ما رفتارها را استانداردسازی کند و تعیین می‌کند که رفتار سازمان ما در مقابل اینسیدینگ هندلینگ و مدیریت رخداد به چه نحوی استانداردسازی شود؟ مثلاْ در حوزه سرت یا پاسخ به رخدادها می‌خواهیم چه روش استانداردسازی پیش بگیریم و همین‌طور در حوزه اسکیدیشن. یکی از مهم‌ترین فرآیندها، فرآیندهای اطلاع‌رسانی و اسکیت کردن رخدادهای امنیتی است، اینکه بسته به درجه اهمیت رویداد امنیتی چه افرادی باید درگیر شوند که اطلاع‌رسانی انجام شود و تا چه لولی باید اسکیدیشن انجام شود؟ اینها فرآیندهایی هستند که باید داخل سازمان پیاده‌سازی شوند.

آیا ما با داشتن این سه رکن و نظریه می‌توانیم اعلام کنیم که به امنیت قابل قبولی رسیده‌ایم؟ وقتی مدیران امنیتی سازمان تصمیم می‌گیرند سازمان را امن کنند با یک‌سری چالش مواجه می‌شوند و مهم‌ترین چالشی که در ابتدا مطرح می‌شود، چالش خرید تجهیزات است. یک مدیر امنیتی بودجه مشخصی دارد. من به‌عنوان مدیر سازمان چه میزان تولز و ابزار متنوع امنیتی قرار است خریداری کنم؟ در خرید هر ابزاری، صرفاْ بحث خرید ابزار مطرح نیست، بلکه بحث آمار، مدیریت، نگه‌داشت ابزار و به‌روزرسانی هم مطرح است و کانفیکت کردن و تیون کردن و کلی موارد دیگر مطرح است که باجت‌های دیگری است. پس ما به‌عنوان مدیران امنیتی در سازمان چالش مدیریت باجت داریم. حوزه دوم حوزه پیپل است. همان‌طور که می‌دانیم ما به افراد دارای دانش و مهارت کافی نیاز داریم که امنیت ما را در داخل سازمان تامین کنند. در آمار جهانی در سال ۲۰۲۱ میلادی نزدیک به ۵/۳ میلیون جاب یونیک برای حوزه سایبر سیکوریتی پیشنهاد شده بود. البته ما مدعیان دانش در این حوزه نیستیم، درهمان ونچ مارک فقط ۵۳ درصد سازمان‌ها توانستند به افراد کوالی فای مد نظر خودشان دست پیدا کنند. یعنی نزدیک به نیمی از سازمان‌ها با اینکه در جستجوی افراد سایبر سیکوریتی هستند، نمی‌توانند این افراد را استخدام کنند و نگه دارند. پس این چالش دوم برای مدیران امنیتی می‌شود که برای تامین امنیت علاوه بر باجت با مشکلی در حوزه پیپل مواجهند و در کنار این دو چالش مهم چالش حمله‌ها را دارند. ما روز به روز با حملات پیشرفته‌تر و حرفه‌ای‌تر مواجه می‌شویم که کمترین رد پا را از خود به جای می‌گذارند و بیشترین تاثیر را دارند و با ارگان‌هایی برای حمله به بانک‌ها و سازمان‌های کشورهای متخاصم آن ها همکاری می‌کنند.  با توجه به وضعیت ایران می‌دانیم ما هم یکی از همین تارگت‌ها هستیم و مدیران امنیتی ما دغدغه این اتک‌ها را دارند و در کنار آن چالش باجت و چالش منابع انسانی را دارند. ادعای سرویس امن برایشان چالش است که سرویس امن را تامین کنیم و ما داخل این موضوع می‌گوییم امنیت اثربخش و اس.او.سی اثربخش است.

خاطرنشان می شود که محتوای این نشست به همراه ۱۵ نشست دیگر برگزار شده در نهمین نمایشگاه تراکنش ایران، به زودی در قالب کتاب”گفتگوی متخصصان” تدوین و در اختیار علاقمندان قرار می‌گیرد.

نهمین نمایشگاه تراکنش ایران به مدت ۳ روز، از ۱۸ تا ۲۰ دی‌ماه ۱۴۰۲ برگزار شد. این دوره با استقبال حدود ۱۲ هزار نفر از مدیران، متخصصان و فعالان فناوری های مالی، ۱۷ نشست تخصصی،۶۰ کارگاه معرفی محصول، دهها نشست‌ گفتگوی B2B، با حدود ۱۰۰ سخنرانی و با همراهی ۲۰۰ عضو کمیته علمی و داوری و ۳ جشنواره تخصصی و ..، میزبان اکوسیستم صنایع مالی، بانکی، پرداخت و فناوری بود.

گفتنی است، دهمین رویداد تراکنش ایران با موضوع محوری “آینده با هوش است” دی ماه ۱۴۰۳ با برنامه های متنوع و مختلفی میزبان اکوسیستم صنایع مالی، بانکی، پرداخت و فناوری ایران و سایر کشورها خواهد بود.

گزارش تصویری نشست تخصصی “دردها و درمان های امنیت سایبری” 

گزارش تصویری از تراکنش نهم ایران