نصیریزاده با اشاره به اینکه بزرگترین مشکل ما در ایران استفاده از افراد توانمند و با استعداد در سازمان و سیستمی است که میخواهد سرویس یا محصول اثربخش داشته باشد، به اهمیت فرهنگ و استعداد پرداخت و گفت: با بهرهمندی از فرهنگ درست و نیروی بااستعداد میتوانیم استراتژی را شفاف و سیستم را بهرهور و بهترین محصولات حوزه خود را عرضه کنیم. آریا نیز با ذکر تعدادی مثال در نهایت یادآور شد که براساس پیشبینی گارتنر هیچ چاره و راه حلی نداریم، جز توجه به آموزش و آگاهیرسانی و گفت: راههای زیادی برای مقابله با تهدیدات سایبری پیشنهاد میکنند، اما مهمترین آن ها آموزش و آگاهیرسانی است و پایان این داستان باز است، آیا در امنیت سایبری میتوانیم جلوی اقدام بشریت علیه بشریت را بگیریم یا خیر؟ امیدوارم بتوانیم.
خدابخشی بر این نکته تاکید کرد که در کنار آموزش مهارتهای نرم، فرهنگسازی و بهروزرسانی دانش، حتماْ باید مطلع شوید به شما حمله شده است یا خیر؟ و افزود: مواجهه و پیشگیری حرف دیگری است. از همه مهمتر با توجه به پیچیدگی ابعاد حوزه امنیت شما را به تعمق بیشتر در رابطه با دیتکشن دعوت میکنم. تمام آنچه میگوییم، ای.آی و… ما را در لحظه اتفاق افتادن آگاه میکند. سلطانی پس از مرور مولفههای تشکیل دهنده امنیت یادآور شد: وقتی مدیران امنیتی سازمان تصمیم میگیرند سازمان را امن کنند با یکسری چالش مواجه میشوند. مهمترین آن ها چالش خرید تجهیزات است که صرفاْ بحث خرید ابزار در آن مطرح نیست. چالش دوم نیاز ما به افراد دارای دانش و مهارت کافی است. در کنار اینها با چالش حملهها مواجه میشویم؛ حملههایی که روز به روز پیشرفتهتر و حرفهایتر میشوند. اسپانسر این نشست شرکت امنپردازان کویر بود و گزارش مشروح سخنرانیهای آن پیش روی شماست.
نصیریزاده: چالشهای فرهنگ سازمانی
ما در این نشست قرار است درباره ابعاد گوناگون امنیت سایبری با همدیگر صحبت کنیم و انشاءلله بتوانیم نشست خیلی خوبی برگزار کنیم. من ابتدا در رابطه با بحث سرمایه انسانی هوشمند و بهرهوری و چالشها صحبت میکنم، خانم دکتر در رابطه با بشریت علیه بشریت در حوزه امنیت سایبری، جناب آقای خدابخشی در رابطه با معماریهای پیشرفته در حوزه امنیت سایبری و در نهایت دکتر مهدی سلطانی در رابطه با یک سرویس پایدار و اثربخش صحبت خواهند کرد.
ما مشکل یا سوالی در ایران داریم. سوال این است که چه اتفاقی میافتد که آدمهای باهوش ما در ایران وسیله نقلیه ایرانی تولید میکنند و همین افراد اگر به سیستم خارجی و بهرهور بروند، میبینیم که میتوانند خروجی فوقالعاده خوبی ارائه دهند. ما با ابعاد علمی و جاهای مختلف تحلیل کردیم که بدانیم دلیل این اتفاق چیست و دوست دارم که نقد شویم و با همدیگر همفکری کنیم که چرا خروجی افراد در دو سیستم اینقدر با هم تفاوت دارد؟ برای موفقیت یک بیزینس سه بعد اصلی داریم؛ افیشنسی، بهرهوری و فرهنگ سازمانی. این سه بعد اصلی یک بیزینس است برای اینکه آن اتفاق خوب بیفتد، چرا یک نیروی انسانی میتواند در یک سیستم درست بنشیند، خروجی فوقالعاده خوب داشته باشد و در سیستم اشتباه هم خروجی بد داشته باشد؟ در بحث اثرگذاری میگوییم که افاکتیکنس میخواهیم، ما در هر بیزینسی، باید چه کاری انجام دهیم؟ نیازی داریم، نیاز را شناسایی میکنیم که نیاز مشتری واقعی چیست و چرایی را میفهمیم و براساس آن نیاز و چرایی آن، استراتژی را میچینیم. استراتژی به چه معناست؟ به این معنا که ما قرار است به کجاها نه بگوییم و چه اتفاقی قرار است بیفتد؟ و با نه گفتنهای مختلف رایت تو د پوینت میرویم سراغ اصل موضوع و خروجیای که میخواهیم داشته باشیم.
بهطور مثال؛ در دی.پی.کی به دنبال هدف یک نیاز هستیم و دنبال اینیم که دغدغه سازمان امنیت را حل کنیم و خیال مشتری را راحت کنیم که ما دغدغه تو را فهمیده و توانستهایم آن دغدغه را برای تو رفع کنیم ولی دغدغه و امنیت به چه معناست؟ یعنی سازمان و یا آن بیزینس دیسیبلهای مختلف دارد پس سعی کردیم جامعیتی ایجاد کنیم و با آن جامعه و راهکارهای جامع سعی کردیم تجربه هوشمندانه و سادهای ایجاد کنیم و وقتی در آن سازمان موفقیم که بتوانیم دغدغه امنیت سازمان را ایجاد کنیم. این چیزی است که برای خودمان تعریف کردیم و به دنبال رفع این نیاز در آن بیزینس هستیم. برای موفقیت یک بیزینس در هر حوزهای از جمله امنیت سایبری قبل از هر چیز دیگر یک بعد آن اف.ای.تیونس و اثرگذاری و استراتژی و نیاز است و بعد دیگر هم بهرهوری است.
ما چگونه میتوانیم سازمان را بهرهور کنیم؟ دنیا در حال تغییر است و شرایط محیطی هم در حال تغییر. چه اتفاقی میافتد؟ اولین نقطه در اصل بهرهوری ماتریس اولویتبندی آیزنهاور است. همه ما ماتریس را میشناسیم که میگوید ما چهار منطقه داریم و همیشه هم میگوید منطقه یک خیلی مهم است و دو بعد دیگر مهم یا غیرمهم و فوری یا غیرفوری است، منطقه یک منطقه مهم و فوری است. ولی وقتی کار مهم و فوری شد چه اتفاقی افتاده است؟ یعنی کار از کار گذشته است و مدیریت بحران میکنیم. یعنی اتفاقی افتاده است باید به داد آن برسیم و این مشکل بزرگی است که ما در ایران هم خیلی زیاد داریم. هنر ما این است که بتوانیم در منطقه دو باشیم. این به چه معناست؟ یعنی کارهای مهم را انجام دهیم که فوری نشده است و هنوز زمان داریم و میتوانیم برای آن برنامهریزی کنیم و بر روی آن خروجی میچینیم پس برای سیستم بهرهوری قوی این است که ما بتوانیم در منطقه دو کار کنیم و این اصلی برای موفقیت است که سیستم بهرهور داشته باشیم.
سیستمهای عامل در دنیا چه میگویند؟ میگویند نقشه راه (رود مپ) کلان سازمان را در بیاور که چه نیازی و با چه تمرکزی است؟ میگوید این درست (اوکی) است من میگویم بله درست (اوکی) است و میگویم کل سازمان را با این هماهنگ کردهاید؟ یعنی چه که کل سازمان را با این هماهنگ کردهاید؟ تمام محصولات، تمام واحدهای سازمانی و تمام ساختارها با این هماهنگاند. و من میگویم پس سعی کردم نقشه راههای واحدهای مختلف را بر روی همان استراتژی هماهنگ کنم و بر روی همان بحثی که گفتیم که از افکتیکنسها از آن میخواهیم و در اینجا نقشه راه (رود مپی) را بیش از یکسال دارم که خیلی هم شفاف نیست، اما نمیگذارم گم شود و سعی میکنم در راستای نقشه راه (رود مپ) سالیانه و یا بیش از یکساله من که تا حدی هم شفاف و هم عدم شفاف است آن را شفافتر کنم، چرا؟ چون شرایط هم در ایران و هم در همه جای دنیا در حال تغییر است. نقشه راه (رود مپ) را که شفاف کردم، در کلیه واحدهایم به صورت الا کلنگی با همان استراتژی کار میکنم در اینجا اهداف فصلی من به همان ترتیب است و بعد اهداف ماهیانه من و بعد اسپرینتهای دو هفتهای من و بعد دیلی. مشاهده میکنید که از بیش از یکسال به دیلی رسیدم و هر چه بالاتر میآید شفافتر شود. دیلی من باید دقیقاً شفاف شود، تیمها باید جلسات دیلی با همدیگر داشته باشند و بتوانند در جلسات دیلی بلاکرها را حذف کنند که این کار موجب افزایش بهرهوری است، چرا؟ چون کل اعضای تیم با همدیگر هماهنگاند و در راستای استراتژیای در حال حرکتند که بتوانند سیستم را با بهرهوری بیشتر جلو ببرند.
چالشهای این کار چیست؟ در مورد اثرگذاری و بهرهوری این روش توضیح دادیم. آیا با این اثرگذاری و بهرهوری به محصول تاپ میرسیم؟ خیر. و این یکی از ضعفهای اصلی فرهنگ سازمان است، از این جهت که اگر بتوانیم در سازمانی فرهنگ سازمانی را درست ایجاد کنیم، محصول آن هم به صورت اتوماتیک درست در میآید و اگر استراتژی درست، سیستم بهرهوری درست و فرهنگ درست را بتوانیم به صورت مثلث در کنار همدیگر بنشانیم، خروجی فوقالعاده خوبی خواهیم داشت. فرهنگ سازمانی چیست؟ سازمان موفق باید هفت کالچر اصلی داشته باشد. ما در ایران هم متاسفانه یا خوشبختانه این مشکل را به جد داریم که البته ما یزدیها اوضاعمان بدتر است. اولین حوزه میگوید اف.ای.تی.اف کامینوکیشن است. یعنی سازمان و افراد باید به خوبی با همدیگر صحبت و تعامل کنند. شنوندگی را باید به خوبی یاد بگیرند که ما در ایران و در سازمانهایمان در ابعاد مختلف و حتی سطح بیزینسها هم خیلی این مشکل را داریم. اولویت یا کالچر دوم تیم ورکی است. به این معنا که تیمها بتوانند با همدیگر کار کنند. همه ما میدانیم که هر فردی یک تیپ شخصیتی دارد و هر شخصی یک مقدار مزیت و عیب دارد و وقتی شخصی موفق است میگوییم که یک نفر به تنهایی نمیتواند موفق باشد، چرا؟ چون این مقدار مزیت و این مقدار اشکال دارد و چه زمانی شخص میتواند موفق باشد؟ زمانی که یک تیم موفق باشد و اینها بتوانند نقاط قوت و ضعف همدیگر را به خوبی پوشش دهند و خروجی قوی و توانمندی داشته باشند. کالچر کد سوم کاستیمر دریون است. چهقدر سازمان و کالچر آن سازمان کاستیمر دریون است و چهقدر میتواند بر روی خروجیهای درست و نیاز واقعی مشتری تمرکز کند؟ در ابعاد مختلف در رده سازمانی و کد افراد ما بنشیند؟ همیشه راهکار برای نشدنها وجود دارد، اما هنر ما چیست؟ هنر ما این است که بتوانیم روشی برای حل مسئله پیدا کنیم و هر طور شده بتوانیم به راه حل مسئلهمان برسیم و افراد بتوانند به هر نحوی شده بجنگند و مسئله را حل کنند و به خروجی مسئله برسند. ما در هر صورت باید در سازمانهایمان این کالچر را داشته باشیم.
دیتا دیرون؛ چهقدر تصمیمات و استاری ویس است یا چهقدر تصمیماتمان براساس دیتاست؟ در ایران هم به شدت این مشکل را داریم؛ اینکه تصمیماتی که در سازمان برای مشتری و برای اثربخشی و اثرگذاری و بهرهوری گرفته میشود، چهقدر براساس دیتا و آنالیز دیتاست؟ چهقدر ما براساس دیتا تصمیم میگیریم؟ و دیتا است که واقعیتها را به ما میگوید، نه استوریها. اکت لاینر اونری؛ پنجمین عامل است. مشکل دیگری که داریم کم بودن اونر شیپ ما در سازمان و کالچر سازمان است. چه کار کنیم که بتوانیم اونر شیپ را در سازمان تقویت کنیم؟ چه کار کنیم که هر فردی درواقع مانند مالک برای دغدغه سازمان بدود، دغدغه داشته باشد و بتواند مسئله حل کند. در نهایت بزرگترین مشکلی که الان ما در ایران داریم این است که در سازمان و سیستمی که قرار است سرویس یا محصول اثربخش داشته باشد، باید روی هر صندلی آدمی فوقالعاده، توانمند و پر از استعداد نشسته باشد. آدمی که پر از کالچر درست و استعداد قوی باشد. ما میدانیم کسی که کالچر درست و استعداد خوبی داشته باشد، فردا روزی متخصصی اثرگذار و اثربخش خواهد شد. اگر همه اینها را در کنار همدیگر داشته باشیم و این سه پارامتر اثرگذاری که استراتژی ما میگوید، اینکه استراتژی را شفاف کنیم و سیستم را بتوانیم بهرهور به آن سمت ببریم، در کالچر درست میتوانیم بهترین محصولات حوزه خودمان را در دنیا ایجاد کنیم.
آریا: اقدام بشریت علیه بشریت
با توجه به وقت ۱۰ دقیقهای، من امروز تعدادی مثال میزنم و چند آمار میگویم و در انتها هم پایان باز میگذارم برای اینکه خودتان تصمیم بگیرید. مثال اول من تسلا است؛ فکر میکنم خیلی از شماها با تسلا آشنایی دارید. این غول ماشینهای بدون راننده در دنیا دچار مشکل امنیتی شد، از این جهت که چند سال قبل یکی از کارمندان در حال خروجِ تسلا فایلی را در اختیار رقیب قرار داد که اطلاعات ۷۵ هزار کارمند تسلا شامل اسم، آدرس، اطلاعات بانکی و همه مشخصاتشان در این فایل قرار داشت و عملاً در این اتفاقی که افتاد، تسلا چند ماه بعد متوجه این خروج دیتا شد و اقدامات قانونی انجام شد، ولی این اطلاعات افشا شده بود و لکه ننگی بر مدل امنیتی تسلا ایجاد کرده بود.
مثال بعدی یاهو است. در مورد یاهو هم اتفاق جالبی افتاد از این منظر که یکی از محققین یاهو یک جاب آفر گرفت و چند دقیقه بعد از دریافت این جاب آفر ۵۷۰ هزار صفحه فایل بر روی لپتاپ شخصی خود دانلود کرد و اطلاعات اسرار تجاری یاهو و اطلاعات کارمندان یاهو را برداشت و آن را بهعنوان مزیت رقابتی با خود به کمپانی رقیب برد و چند هفته بعد یاهو متوجه این اتفاق شد. اگر چه یاهو تلاش کرد این فرد را سو کند، اما متاسفانه اسرار تجاری او در اختیار رقیب قرار گرفت و با هر نوع سو کردنی هم موفق نشد کاری را انجام دهد. مثال سوم از مایکرو سافت است. یکی،دو کارمند بیتوجه فایلی را در گیتاب مایکرو سافت قرار دادند که در این فایل اطلاعات لاگین بسیار مهمی قرار داشت، از جمله اطلاعات لاگین به سرورهای آژور از جمله امکان دسترسی به خیلی از سیستمهای داخلی مایکرو سافت و در نهایت به سورس کویدرهای مایکرو سافت. خوبی این کار این بود که یکی از شرکتهای سیکوریتی توانست خیلی سریع تشخیص دهد که چنین اتفاقی افتاده است و قبل از اینکه کسی به این فایل دسترسی پیدا کند و بتواند از آن استفاده کند، این فایل از دسترس خارج شد. این نشان داد که چه بیمبالاتی خطرناکی توسط کارمند و علیه مایکروسافت داشت اتفاق میافتاد.
پروف فوینت؛ خودش شرکت سیکوریتی است، دی.ال.پی تولید میکند و امنیت ای.میلها را تامین میکند. اما خود شرکت امنیتی هم نتوانست با دی.ال.پی خود جلوی انتقال فایل را توسط یکی از کارمندان در حال خروج بگیرد. این فرد هم هزاران فایل را بر روی یک فایل یو.اس.پی ریخت و برای شرکت رقیب برد. اگر بخواهیم عملاً مقایسه کنیم، شرکت مجبور شد به دلیل نقض جی.دی.پی.آر پروف فوینت، معادل حدود ۲۰ میلیون یورو برای اطلاعات کاربرانی که تحت جی.دی.پی.آر بودند، پرداخت کند و با اینکه موضوع را به دادگاه برد، ولی عملاً اتفاق افتاده بود. در مورد توئیتر هم مهندسی اجتماعی جواب داد. عملاً بحث اسپیری فیشینگ اتفاق افتاد. اسپیری فیشینگ فیشینگی برای تعدادی خاصی از افراد با تارگت خاص است. در این اسپیری فیشینگ به صورت تلفنی تعدادی از کارمندان توئیتر را تارگت کرد و با دادن وعده بیتکوینی به آنها، تعدادی دیتا گرفت و توانست به سیستم ساپورت اکانتها فرد دست پیدا کند. در نتیجه ۱۳۰ مورد از اکانتهای خیلی های لول توئیتر را به دست آورد. اگرچه این کار ضرر مالی در پی نداشت، اما خیلی بد آبروی توئیتر رفت که موفق نشده است از اکانتهایش محافظت کند.
یک زمانی گوگل روی پروژهای به نام پروژه شوفر برای خودروهای بدون سرنشین کار میکرد. در اینجا هم فردی که در حال خروج از گوگل بود، تعداد زیادی فایل به کمپانی رقیب منتقل کرد و عملاً کل اسرار تجاری گوگل را در این پروژه، از گوگل خارج کرد که به نام پروژه ویمو در گوگل مطرح است و باعث شد تمام اسرار تجاری گوگل به شرکت رقیبش منتقل شود.
فکر نکنید فقط شرکتهای آی.تی دچار این مسئله هستند، نه. احتمالاً هتلهای ماریوت را میشناسید. از طریق لپتاپ دو نفر از کارمندانی که عملاً اسپلویت شدند، توانستند وارد سیستم این مجموعه هتلها شوند و به اطلاعات پنج میلیون میهمان ماریوت دست پیدا کنند. اطلاعات از نوع اطلاعات شخصی و بانکی بود؛ همه اطلاعاتی که در هتل ثبت میشود و عملاً هتل مجبور شد که ۴/۱۸ میلیون یورو برای نقض دی.جی.پی.آر و نشر اطلاعات خسارت بدهد؛ اطلاعاتی که روی نرمافزارش داشت و با کمک آن ساپورت پذیرش را انجام میداد. اپل هم دچار این مسئله شده است. کاری در بیزینس به نام پوچینگ داریم، به معنای اینکه تعدادی از کارمندان متعلق به شرکت دیگر را جذب میکنید و آنقدر روی آن ها کار میکنید تا بالاخره از آن ها دیتا میگیرید. بر همین اساس شرکت رقیبی ۴۰ نفر از افراد اپل را استخدام کرد و در نهایت توانست به اسرار تجاری یکی از پروژههای اس.او.سی اپل به نام سیستم آن چیپ دست پیدا کند و حاصل کار ۱۰ ساله اپل بر روی چیپهایش را از طریق دو نفر از مهندسان در هزارها گیگا بایت دیتا منتقل کند. اپل جنگ دادگاهی چند میلیارد دلاری با این رقیب دارد، ولی به هر حال این دیتا به آن شرکت منتقل شده است.
در بوئینگ یکی از کارکنان قرار بود در اکسل کاری انجام دهد، اما بلد نبود. فایل اکسل را از ایمیل شخصی برای همسرش میفرستد و به او میگوید کمک کن این کار را در اکسل انجام دهم. جریان از این قرار بود که این فایل اکسل یک سری ستون هیدن داشته و عملاً آن کارمند آن ستونها را نمیدیده است. آن ستونها پر از اطلاعات بانکی و شخصی آن افراد بوده است که به سادگی از بوئینگ خارج شد و اگرچه اتفاقی برای آن اشخاص نیفتاد و دزدیای انجام نشد، اما عملاً بوئینگ مجبور شد برای دو سال مانیتورینگ کریدیتهای این افراد را برعهده بگیرد و برای این کار معادل هفت میلیون دلار هزینه بپردازد. برای شرکت ردیت هم دقیقاً موردی مشابه دیگر موارد پیش آمده بود. این دفعه لندینگ جعلی برای یکی از کارکنان ارسال شد و با کلیک آن کارمند بر روی لینکی که در لندینگ جعلی وجود داشت، اکسس به فایلهایی که دیتای کارکنان و مشتریان از سال ۲۰۰۷ تا سال ۲۰۲۳ میلادی، بهعلاوه اسرار تجاری شرکت در آن ها نگهداری میشد دسترسی پیدا کرد. شرکت استرادیس در حوزه تامین تجهیزات پزشکی فعالیت میکند. در زمان همهگیری کووید ۱۹، عملاً ۸۱ درصد افراد در دنیا ریموتی کار کردن را شروع کردند و به صورت ریموت به افراد دسترسی داده شد. نایبرئیس این کمپانی دچار موضوع لی.آف شده بود. یعنی به علت اینکه خیلی از افراد کار خود را در همهگیری کووید از دست دادند، روی لج افتاد و دیتای حمل و نقل شیپینگ تعدادی از این تجهیزات مانند ماسک و… را بهطور کلی پاک کرد؛ تجهیزاتی که برای جلوگیری از کووید به بیمارستانها فرستاده میشد و این دریوری کاملاً دچار مشکل شد و در آن زمان عملاً دیتا ریمووال باعث شد که در اوج کووید بخش زیادی از این تجهیزات به بیمارستانها نرسد.
در همه این اسلایدها من کلمه کارمند را قرمز کرده بودم. جهان تا سال ۲۰۲۵ میلادی، یک تریلیارد گیگابایت داده، ذخیره خواهد کرد، اما دستیابی به این دیتایی که احتمالاً ارزش بینظیری هم خواهد داشت کار خیلی سختی خواهد بود. ما اکنون سرویسهایی مانند رند سام از ا سرویس داریم که خیلی راحت شما میتوانید رند سام از ا سرویس را از جایی دریافت کنید و با او کار خود ر انجام دهید و حتی ساپورت و گارانتی هم دارند که اگر درست کار نکرد پول شما را برگردانند. ای.آی و بقیه موارد هم در کنار این سرویسها قرار دهید، دانش آنچنانی و تکنیکالی لازم ندارد که شخصی بخواهد نفوذ کند و از دیتایی که به نظر میآید ارزش بسیاری دارد استفاده کند. یکی از بدترین اشتباههای بشریت دیوار چین بود. چرا دیوار چین بهعنوان اشتباه درنظر گرفته میشود؟ دیواری با این هزینه وحشتناک و نیروی انسانی و این همه تلاش ساخته شد و در زمانی که قرار بود مقابل مهاجمین را بگیرد، نگهبانی کنار مانده بود، از مردم پول میگرفت و به آن ها اجازه ورود میداد و دیوار هم هیچ فایدهای نداشت. عملاً بیش از ۸۲ درصد از کل نقض دادهها در دنیا شامل یک عنصر انسانی است، یعنی همان نگهبان بغل دیوار چین را بهخاطر بیاورید. زمانی که ۱۰ فایروال و هزار چیز دیگر در سازمانمان نصب میکنیم، بدانیم که عنصر انسانی را نباید نادیده بگیریم، عنصر انسانی که احساسات او به سادگی تحریک میشود. اگر او را اخراج کنید، با او بد حرف بزنید، دچار مشکل احساسی شود، یا کنجکاوی داشته باشد، به دروغ به کسی اعتماد کند، یا تحت فشار قرار بگیرد و بخواهد قدرت خود را نشان دهد و حال کسی را بگیرد، یا بخواهد بگوید من چگونه میتوانم به شما کمک کنم، اجازه بدهید این اطلاعات را به شما بدهم و یا درخواست مالی از او شود و یا تحت فشار مالی قرار بگیرد و یا بخواهد چاپلوسی و خودشیرینی کند، تمام این موارد فایروال و ویروس و… را که کنار بگذارید اینها میتوانند به مواردی که گفته شود اوورال داشته باشد.
در سال ۲۰۲۵ میلادی بعد از آمریکا و چین، جرایم سایبری سومین اقتصاد بزرگ جهان است که معادل ۵/۱۰ تریلیارد است و بیش از کل ترافیکینگ مواد مخدر در دنیاست. یعنی حجم پولی کل حوزه مواد مخدر و تجارت مواد مخدر روی هم از امنیت سایبری کمتر خواهد بود. هشت تریلیون در سال و ۶۶۷ تریلیون در ماه و ۱۵۴ در هفته و روز و ۲۵۵ هزار دلار در ثانیه برای جرایم رایانهای صرف میشود. پس جرایم سایبری بحران شماره یک بشریت بهشمار میآیند. نگران سلاحهای هستهای هستیم. هرچند تقریباً همه در دنیا در حال جنگاند برای اینکه یکی به دیگری میگوید تو سلاح هستهای نداشته باش یا تو اینجا این کار را انجام نده، خطر جرایم سایبری برای بشریت از سلاح هستهای هم بالاتر است. عملاً پیشبینی گارتنر براساس آنچه که اتفاق میافتد نشان میدهد که هیچ چاره و راه حلی نداریم، جز اینکه آموزش بدهیم و آگاهیرسانی کنیم و امیدوار باشیم که میزان خطر کمتر شود. سرمایهگذاری برای هوش تهدید، برای اینکه بتوانیم از قبل پیشبینی کنیم و بتوانیم در مقابل حملات فعالیتها و اقدامات پیشگیرانه داشته باشیم، شاید در آینده بتواند کمک کند و در مقابل ترت وکتور و عامل تهدید جدی انسانی که با او مواجهیم شاید بتواند کمک کند. راههای زیادی برای حفاظت اقتصادی در مقابل تهدیدات سایبری پیشنهاد میکنند؛ از جمله استفاده از هوش تهدید، اشتراک دانش و تجربه با همدیگر، هوش مصنوعی و برنامههای ماشین و برنامههای پاسخ به رخداد تا بتوانیم به درستی عکسالعمل نشان دهیم و مدیریت ریسک انجام دهیم و به شرکتهای کوچکتر حتماً اهمیت بدهیم که نفوذها از آنجا اتفاق میافتد، اما مهمترین آنها آموزش و آگاهیرسانی و همان پایان بازی است که میخواهم برای شما بگذارم اینکه آیا در امنیت سایبری میتوانیم جلوی اقدام بشریت علیه بشریت را بگیریم؟ آیا با آموزش و آگاهیرسانی میشود این کار را انجام داد؟ امیدوارم.
خدابخشی: بررسی پیشنیازهای امنیت
بعد از نگاه کلنگر و استراتژیک راجع به مقوله امنیت و بحث دوم تحت عنوان بشریت علیه بشریت یا بیمها و انذارهای حوزه امنیت، فکر میکنم بتوانیم این بحث را ادامه دهیم و پیشنیازهایی را با همدیگر بررسی کنیم که بهعنوان متولیان امنیت باید در مجموعهمان داشته باشیم.
امروز با توجه به زمان کمی که در اختیار دارم، بیشتر قصد دارم در نگاهی کلی نکاتی راجع به بحثهای فنیای عرض کنم که مدیر امنیت یا مجموعه متولی امنیت باید در نظر داشته باشد؛ از جمله بحث اتفاقاتی که در سالهای اخیر در حوزه معماری امنیتی افتاده است. اگر بخواهیم خیلی سریع اتفاقات یا تکاملی که در حوزه امنیت بخصوص امنیت شبکه افتاده است را مرور کنیم، باید به این اشاره کنیم که در ابتدا امنیت فیزیکی بود و بستن پورتها و ورود بحث آتنتی کیشن یا اصالتسنجی و پسوردها بود که طبیعتاً خیلی ضعیف و غیرقابل اعتماد بود، اما حدود ۴۰ الی ۵۰ سال قبل، زمانی که نتورک به شکل فعلی وجود نداشت، کار میکرد. تمام عکسهایی که در اسلایدها هستند با ای.آی ساخته شدهاند و با توجه به چیزهایی که در یک سال گذشته با ای.آی کار میکردم خیلی در این حوزه پیشرفت میکند.
بعد از گامهای اولیه بحث فایر والینگ مطرح شد. ظهور فایر والها بهعنوان نقاطی که بتوانند دسترسیها را در شبکه و اکسسها کنترل کنند و اینکه ما در نهایت بتوانیم جلوی دسترسیهای غیرمجاز را بگیریم. بعد از آن به دلیل ظهور نرمافزارها، بحث آنتی ویروس و یا آنتی ملویرها به میان آمد. یعنی بعد از اینکه حوزه سختافزار را دچار انقلاب دیدیم و تغییرات خیلی عمدهای در فرآیندهای محاسباتی و کانکتیویتی ایجاد شد نرمافزارها خیلی گسترش یافتند. بنابراین تهدیدها به سمت نرمافزار و اپلیکیشن رفت و بعد از آن بحثهای شناسایی تهدیدات مجدد در حوزه شبکه بود. یعنی بحث آی.دی.اس و آی.پی.اس بود که مجدداً در حوزه اکسس تاکید داشت. بحث ظهور تکنولوژیهای افیشن در حوزه رمزنگاری هم مطرح شد؛ رمزنگاری شاید به اندازه هزاران سال قدمت دارد، اما چیزی که بخواهد در عمل در حوزه تکنولوژی استفاده شود، شاید بیشتر به جنگ جهانی دوم و اتفاقات مربوط به آن جنگ برمیگردد که باعث رقم خوردن یکسری تکنولوژیها و یکسری انقلابهای حوزه رمزنگاری شد. رمزنگاری بهعنوان عنصر اصلی برای حفاظت از دیتا و انتقال امن دیتا، نقش خیلی مهمی بازی کرد و بعد از آن بحث وی.پی.ان به میان آمد. در این هنگام شبکهها و نرمافزارها وجود داشتند، اکسسها کنترل میشد که مشکلاتی از جمله بحثهای جغرافیایی پیش آمد. یعنی ما ناچار بودیم بهخاطر فاصلهای که وجود داشت، سازمانها و افراد را از نقاط مختلف به هم متصل کنیم. و در نهایت بحث وی.پی.ان به میان آمد، ولی میدانید که وی.پی.ان چیزی نیست جز اتصال لایه دو و لایه سه و حتی لایههای دیگر بین دو سایت و یا یک فرد به یک سایت. یعنی مانند این میماند که شما در محیط دیگری نشستهاید و این کار را انجام میدهید.
بحث بعدی ما بحث کلود سکوریتی بود که عملاً بحث افیشنسی در استفاده از منابع شبکهای و پردازشی و استوریج بود که نکات سکوریتی خیلی زیادی دارد و من صرفاً میخواهم اولوشنی را که در این حوزهها داشتیم مرور کنم. بحث بعدی در مورد ای.آی و اینتگریشن بین ای.آی و ماشین لرنینگ و حوزه امنیت سایبری است. ما ای.آی.یو سکوریتی داریم و یک سکوریتی این ای.آی داریم، یعنی بحث امنسازی خود فرآیندهای هوش مصنوعی و مدلسازی و استفاده از خود هوش مصنوعی برای امنیت شبکه و دادهها مطرح است. موضوع اصلی و نقطه تمرکز اصلی هم روی بحث مدلهای مبتنی بر بیاعتمادی کامل است که بحثهای مختلفی در آن مطرح است و شاید یکی از مهمترینها و مانترایی که در این حوزه مطرح است، بحث نیولتراست آنتراست وریفای است، به معنای اینکه هیچ وقت اعتماد نکن و همیشه اصالتسنجی و راستیآزمایی و درستیسنجی را انجام بده و در نهایت ما یک فیوچر ترندی داریم. بحث بعدی ما اصول اولیه زیرو تراکس آکوتکچر است که بهعنوان مولفه ترکیب کننده تمام تکنولوژیهای امنیتی در حال حاضر مطرح است. زمان زیادی هم از این بحث نمیگذرد به دلیل اینکه قبلاً بهعنوان یک کانسپت مطرح بود، ولی شاید قبلتر، پیشنیازهای لازم برای استفاده از آن خیلی مهیا نبود.
من میخواهم مولفههای مختلف امنیت شبکه را در حال حاضر به همدیگر متصل کنم و تحت عنوان زیرو تراس خدمت شما ارائه دهم. بحث اول ما آخرین تکنولوژی حوزه آتن تیکیشن آتروزیشن یا یم است. در واقع ابزارهایی که شما را از مرحله آیدین تیکیشن تا آتی تیکیشن و بعد از آن در مرحله ارائه دسترسیها به ماژورها یا آتروزیشن کاملاً اینها را اینترگریت میکند و یم محصولی است که طبیعتاً در سازمان بالغ باید وجود داشته باشد و متاسفانه هنوز خیلی جای خود را باز نکرده است. بحث نتورک سگمنتیشن هم هست؛ ما مولفههای اساسی یک مدل بیاعتمادی روی شبکه را در کنار همدیگر قرار میدهیم، این بحث از گذشته هم مطرح بوده است. بحث بعدی در مورد دیتا سکوریتی است که مولفههایی مانند دیتا گاورننس، مدیریت داده و حوزههای مختلفی را شامل میشود و شاید از همه مهمتر بحث جلوگیری از نشر اطلاعات و گم شدن اطلاعات و خرابی دیتا و… است که در ارائه قبلی هم بحث نشر دادهها مطرح شد. روشهای مختلفی مطرح است، از جمله مهندسی اجتماعی یکی از روشهای خوبی است که در حوزه تکنولوژی، در کنار تعمیق بحثهای فرهنگی و آگاهیرسانی میتوانیم به آن بپردازیم. یعنی به صورت اینفورسمنت تکنولوژیکال بحث دی.ال.پی است و البته بحثهای دیجیتال رایت منیجمنت یا دی.آر.ام هم مطرح است.
همین الان اینکریپشن به صورت ان.تو.ام و بحث ترنزمیشن دیتا در حوزه شبکه و دیتایی که در محیط پردازش میشود هم مد نظر است.
بحث استفاده از ای.آی در خودکارسازی فرآیندهای تشخیص و قابله و بازیابی است، نورتراست آلوز فریفای در فاندامنتال مانترای حوزه زیرو تراست است. بحث لیز پریویج را در اینجا مطرح کردیم، در کنار اهمیت حوزه فرهنگسازی ما همیشه باید ابزارهایی داشته باشیم که از اهمیت دروس مراقبت کند، یعنی قانون باید حتماً ضمانت اجرایی داشته باشد. بخشی از این ضمانت اجرایی در ابزارهایی مانند یم، دی.ال.پی، دی.آر.ام و ابزارهایی از این دست خلاصه میشود. بحث میکرو سگمنتیشن که موضوع جدیدی است، میکرو سگمنتیشن یعنی تا جایی دسترسیها را بشکن و شبکه را ایزوله کن که کار مشخصی انجام دهند و ما بین این شبکهها از ابزارهای کنترلی و ارائه دسترسی و کنترل دسترسی استفاده کن. بحث ام.اف.ای یا اصالتسنجی چندگانه هم فاکتور خیلی اساسی است که بهعنوان پیشنیاز این حوزه مطرح است و بعد از آن هم بحث کانتی نیوز مانیتورینگ و ولیدیشن است. در مورد اس.دی.ان هم میخواهم صحبت کنم، چون دوستان احتمالاً میدانند اس.دی.ان شاید علیرغم تصور عام خیلی در حوزه زیرو ترانست نیاز است ما باید اس.تی.ان و اس.دی.ون داشته باشیم و باید کلود و میکرو سرویس آرکیتکشن داشته باشیم تا بتوانیم از مزایای درونی زیرو ترانس استفاده کنیم. در غیر این صورت فقط ملغمهای از تکنولوژیهای قدیمی و راهبردهای قدیمی هستند.
اگر بخواهیم نگاهی کلی به مقوله اس.دی.ان بیندازیم با این معماری روبهرو میشویم؛ در سوئیچ و روتر و در تمام دیوایسها و اپرویسهای امنیتی طبیعتاً این سه لایه را داریم. در لایه اپلیکیشن که اصطلاحاً به آن منیجمنت پلین میگویند لایه کنترل است که نقشی اساسی به نام کنترل پنل را ایفا میکند و در انتها دیتا دیل است؛ جایی که عملاً دیتا منتقل و پردازش و احیاناً ذخیرهسازی میشود. ما در معماری اس.دی.ان به جای اینکه کنترل پلین و منیجمنت پلین و دیتا پلین در یک جا مشترک باشند اینها را از همدیگر جدا کردیم، یعنی منیجمنت را در یک نقطه متمرکز انجام میدهیم و از طریق کنترل پلین مجزا قوانین را اجرا میکنیم که همه هم با ای.پی.آی به همدیگر وصلند، و حتی میتوانیم شبکهمان را منیج کنیم و در واقع دید هول استیک و یکپارچه و یونی فاید و انتزاعی از کل شبکه را میتوانیم در لحظه داشته باشیم. در گذشته ما ناچار بودیم مانیتورینگ راهاندازی کنیم و دیتاهای اینها را جداگانه بگیریم و نمایش دهیم. این امر بهعنوان عنصر اساسی در این حوزه مطرح است.
شاید تا الان سسی، بهعنوان یک تکنولوژی مطرح شده، ولی واقعیت این است که این بحث سکیور اکسس، یعنی سرویس ارائه دسترسی به صورت عمد در لبهها مجموعهای از فرآیندها و تکنولوژی و افراد هستند. یعنی مانند یک اس.او.سی مجموعهای سهگانه از اینها را همیشه با همدیگر دارید و ابزارها به تنهایی در این حوزه به شما کمک نمیکند. شرکت گارتنر که در حوزه رتبهبندی شرکتها فعال است، سسی را بهعنوان یک تکنولوژی در سال ۲۰۱۹ میلادی مطرح کرد و خیلی زود بروز و ظهور پیدا کرد و سی.دی.کو به سمت آن رفت. به همه دوستان پیشنهاد میکنم که در حد آشنایی در مورد این موضوع مطالعه کنند، به این دلیل که یک مسیر غیرقابل رهاکردن و اجتنابناپذیر در حوزه توسعه زیرساختهای امنیتی شبکه است. خلاصه، سسی کانورژنس یا ترکیب و ادغام نتورک سیکوریتی در ون است، یعنی همانطور که در ون تکنولوژیهای جدید مانند اس.تی.ون و اینتلجت نتورک را دارید و در شبکه اس.دی.ام میتوانید دید یکپارچهای فراهم کنید، در نتورک سکوریتی طبیعتاْ باید این عمل ادغام شود تا بتوانید اور نیور امنیتی داشته باشید که وظیفه یک سیزو یا مدیر امنیت طبیعتاْ همین است.
موضوع دیگری که مطرح است طبیعتاْ شما باید کلود نیتیو باشید. یعنی اگر سازمانتان کلود و میکرو سرویس مبتنی بر سرویس هستند، طبیعتاْ باید این حوزه را کنار بگذارید، ولی باز هم حوزه کلود نیتیو حوزه اجتنابناپذیری است. بحث نتورک آپتونیزیشن هم مطرح است، ممکن است سسی به شما دید یکپارچه بر روی لن و ون و ارتباطات خارجی و بر روی مدیریت حوزه امنیت بدهد، یعنی هر جایی که شما بر لبه مانند یک دیوایس ارائه میدهید، به صورت یکپارچه همه اینها را جمع کنید و رول روی آن بگذارید و اینفورسمنت بر پالی سیاه انجام دهید. دیسیبت اکسس را بر روی اج میدهیم به جای اینکه به صورت متمرکز اکسس منیجمنت را انجام دهید، یکسری پالیسی را بر روی دستگاههای مختلف و زیرساختها اینفورس میکنیم و از آنجا دسترسیها را به صورت غیرمجتمع مدیریت میکنیم ولی تصویر یکپارچه است. در نهایت بحث آیدینتی دیروینت پالیسی بر روی ای.آی میماند که ما مطرح میکنیم.
من برای اینکه به موضوع اصلی که زد.تی.ان.ای است بپرازم باید به این اشاره کنم که تا به حال به اس.دی.ان و کلود و سسی اشاره کردیم، به نظر من اینها مولفههای اساسی میل به اهداف امنیتی در آینده هستند. من بر روی ای.آی هم یک نکته را عنوان میکنم، ای.آی حتماْ باید یک راهبرد اساسی باشد و اگر شما هم بخواهید آن را رد کنید، حتماْ شما را به سمت و سویی خواهد کشید. همانطور که ای.آی ابزارهایی را در حوزه کامپیوتینگ و اپلیکیشنها و دیتا انلیسیس و بحثهای دیگر عنوان میکند، امنیت هم از این قافله عقب نیفتاده است و اگر هم نخواهیم به آن بپردازیم طبیعتاْ دچار خسارتهای زیادی میشویم. من از بحث امنیت در هوش مصنوعی صرف نظر میکنم، چون مقوله خیلی جدایی است که شما چگونه مدلتان را نسبت به ادورتری اتکها ترین کنید و جلوی آن ها را بگیرید و…
موضوع دیگر استفاده از تکنولوژیهای ای.آی است و صرفاْ هم راجع به جنرایتیو ای.آی و ال.ام و… صحبت نمیکنم. من در مورد یک ترند صحبت میکنم و راجع به گذار از ماشین لینینگ سنتی به سمت ام.آیهای جنرایتیو و اینکه در آینده ممکن است چه اتفاقاتی بیفتد، صحبت میکنم. عمده کاربردهای ای.آی بحثهای پرودکتیو است، بحث دیتا دریون بودن سازمان اگر بخواهید باشید باید دیتا را جمعآوری و تحلیل کنید، دیتا را تمیز کنید و تحلیل کنید و از آن برای تصمیمگیری و تصمیمسازی استفاده کنید. برای رسیدن به این هدف با این حجم زیاد از دیتا و نویز طبیعتاْ دیگر عامل انسانی به تنهایی نمیتواند این کار را انجام دهد و ای.آی به شکلی میتواند کتگوری کردن را برای شما انجام دهد. پردیتیو بودن چیست؟ به معنای پیشبینی آینده است که این کار هم از روی رفتارهای گذشته و هم از روی مدلهای محاسباتی که میتواند فرآیندهای جاری سازمان را شبیهسازی کند، رخ میدهد. نکات جالب و جدید دیگری هم وجود دارد مانند ای.آر دیریون پالیسی منیجمنت، شما پالیسیها را مینوشتید و طبق استراتژی در سازمان اینفورس و ممیزی میکردید و انجام میدادید. در حال حاضر ای.آی برای ما تصویر با رزولوشن بالا ایجاد کرده است و شما میتوانید در اج و در نقاط انتهایی و در سرورها و در تمام سازمان از طریق تکنولوژیهایی که نام بردم دیتا را بگیرید و ترید کنید و در لحظه تصویر انتزاعی سازمان را داشته باشید. یعنی به جای این که سیمولیت کنید همان لحظه بتوانید یک ایمولیشن خوب داشته باشید و در نهایت از طریق ای.آی پالیسیها را بنویسید که این موضوع جدیدی است که محصولاتی هم روی آن در دنیا وجود دارد.
موضوع بعدی بحث ریسک اسسمنت است که بحث ای.آی خیلی به آن کمک کرده و خیلی آن را تغییر داده است و بحث ایسریس ریسمانس مانند سور، بحثهای اتوماتیک کردن فرآیندهای واکنشی و بحث کانتیومینیس مانیتور است. ما اگر بخواهیم در سازمان خود زیر تراست آر.تی تکچ داشته باشیم، باید چند کار را انجام دهیم که به ترتیب ابتدا نتورک سگمنتیشن است، باید شبکه را بتوانید به یکسری سکیوری زون تقسیم کنید و دیگر مانند قبل نمیتوانید یک دی.ان.زی داشته باشید. باید به ازای هر اپلیکیشن و تسک و سرویس، زونهای مجزا به صورت سلسله مراتب داشته باشید و بعد از آن باید بتوانید آی.دن.تی.تی را شناسایی کنید. شناسایی کردن آی.دن.تی.تی از مرحله آتی.تی کیشن و آتروزیشن و… تا مراحل پروسس بیسی مانند زیرو تراست و لیس پیلیبیلیز اکسس و… و در نهایت همه اینها را که انجام دهید از طریق ای.آی یا از طریق نیروهای انسانی یا ابزارهای دیگر شما باید کانتی نیوز مانیتورینگ داشته باشید و این است که سازمان شما را از حوادثی آگاه میکند که همین الان اتفاق افتاده است و ممکن است از آن مطلع نباشید.
شما در کنار مهارتهای نرمی که باید در سازمان پرورش دهید، انجام فرهنگسازی و دانشی که باید بهروز باشد، حتماْ باید مطلع شوید به شما حمله شده است یا خیر؟ بنابراین مواجهه و پیشگیری حرف دیگری است و از همه مهمتر در حال حاضر با توجه به پیچیدگی ابعادی حوزه امنیت من شما را به تعمق بیشتر در رابطه با دیتکشن دعوت میکنم. تمام چیزهایی که ما میگوییم و تمام ای.آی و… ما را در لحظه اتفاق افتادن آگاه میکند.
سلطانی: مولفههای امنیت
موضوع صحبت بنده ارائه سرویس امنیت پایدار و اثربخش و اجاکت است و در این ارائه سعی میکنم در سه مبحث مختلف پایههای اس.او.سی و ارکان تشکیل دهنده اس.او.سی و چالشهای برقراری یک سرویس امن در سازمانها، مخصوصاْ شبکههای بانکی و سازمانهای بانکی و همینطور اثربخش کردن اس.او.سیها با همدیگر صحبت کنیم.
بحث اول بحث ستونها و مولفههای تشکیل دهنده یک اس.او.سی یا سرویس امن است. همانطور که دوستان حاضر در جلسه مطلعند هر اس.او.سی و سرویس امنیت از سه رکن اصلی تشکیل شده است، رکن اول تکنولوژی است. همانطور که دوستان اشاره کردند تکنولوژیهای مختلفی در حوزه امنیت شبکه وجود دارد که برای بهبود کیفیت سرویس از آن ها استفاده میشودُ مانند حوزههایی مثل آی.دی.اس و فایر وال و فور و اس.دی.آی.ان و تولزهای مختلف امنیتی دیگر که میتواند برای ما در حوزه امنیت اثر بخشی ایجاد کند و سازمان ما را امن کند. اینجا سوالی مطرح میشود که آیا ما با خرید یکسری تجهیزات امنیتی، با خرید یکسری تولزهای امنیتی، میتوانیم ادعا کنیم که امنیت اثربخشی داریم و توانستهایم ضریب بالایی از اطمینان و امنیت سازمان را برای خودمان حاصل کنیم؟ مطمئناْ در نظر صاحبنظران در کنار حوزه تکنولوژی به حوزههای دیگری مانند پیپر و پراپس هم نیاز داریم. پیپیر افراد ماهری میشوند که ترنینگ خوبی دارند و به صورت خاص میتوانیم در مورد آن جاب اکسپری ینز صحبت کنیم و کسانی که مهارت خوبی در بهکارگیری امنیت دانش خود در حوزه تشخیص و پاسخ و مشاوره امنیتی دارند.
پس ما در کنار تولزهای امنیتی، به افرادی نیاز داریم که میتوانند دانش و مهارت امنیتی مناسبی داخل سازمان ما ایجاد کنند و در کنار این افراد و تکنولوژی، فرآیندها را داریم،. فرآیندها چکیده دانش و تجربه نسلهای مختلفی از تیمهای امنیتی است که میخواهد داخل سازمان ما رفتارها را استانداردسازی کند و تعیین میکند که رفتار سازمان ما در مقابل اینسیدینگ هندلینگ و مدیریت رخداد به چه نحوی استانداردسازی شود؟ مثلاْ در حوزه سرت یا پاسخ به رخدادها میخواهیم چه روش استانداردسازی پیش بگیریم و همینطور در حوزه اسکیدیشن. یکی از مهمترین فرآیندها، فرآیندهای اطلاعرسانی و اسکیت کردن رخدادهای امنیتی است، اینکه بسته به درجه اهمیت رویداد امنیتی چه افرادی باید درگیر شوند که اطلاعرسانی انجام شود و تا چه لولی باید اسکیدیشن انجام شود؟ اینها فرآیندهایی هستند که باید داخل سازمان پیادهسازی شوند.
آیا ما با داشتن این سه رکن و نظریه میتوانیم اعلام کنیم که به امنیت قابل قبولی رسیدهایم؟ وقتی مدیران امنیتی سازمان تصمیم میگیرند سازمان را امن کنند با یکسری چالش مواجه میشوند و مهمترین چالشی که در ابتدا مطرح میشود، چالش خرید تجهیزات است. یک مدیر امنیتی بودجه مشخصی دارد. من بهعنوان مدیر سازمان چه میزان تولز و ابزار متنوع امنیتی قرار است خریداری کنم؟ در خرید هر ابزاری، صرفاْ بحث خرید ابزار مطرح نیست، بلکه بحث آمار، مدیریت، نگهداشت ابزار و بهروزرسانی هم مطرح است و کانفیکت کردن و تیون کردن و کلی موارد دیگر مطرح است که باجتهای دیگری است. پس ما بهعنوان مدیران امنیتی در سازمان چالش مدیریت باجت داریم. حوزه دوم حوزه پیپل است. همانطور که میدانیم ما به افراد دارای دانش و مهارت کافی نیاز داریم که امنیت ما را در داخل سازمان تامین کنند. در آمار جهانی در سال ۲۰۲۱ میلادی نزدیک به ۵/۳ میلیون جاب یونیک برای حوزه سایبر سیکوریتی پیشنهاد شده بود. البته ما مدعیان دانش در این حوزه نیستیم، درهمان ونچ مارک فقط ۵۳ درصد سازمانها توانستند به افراد کوالی فای مد نظر خودشان دست پیدا کنند. یعنی نزدیک به نیمی از سازمانها با اینکه در جستجوی افراد سایبر سیکوریتی هستند، نمیتوانند این افراد را استخدام کنند و نگه دارند. پس این چالش دوم برای مدیران امنیتی میشود که برای تامین امنیت علاوه بر باجت با مشکلی در حوزه پیپل مواجهند و در کنار این دو چالش مهم چالش حملهها را دارند. ما روز به روز با حملات پیشرفتهتر و حرفهایتر مواجه میشویم که کمترین رد پا را از خود به جای میگذارند و بیشترین تاثیر را دارند و با ارگانهایی برای حمله به بانکها و سازمانهای کشورهای متخاصم آن ها همکاری میکنند. با توجه به وضعیت ایران میدانیم ما هم یکی از همین تارگتها هستیم و مدیران امنیتی ما دغدغه این اتکها را دارند و در کنار آن چالش باجت و چالش منابع انسانی را دارند. ادعای سرویس امن برایشان چالش است که سرویس امن را تامین کنیم و ما داخل این موضوع میگوییم امنیت اثربخش و اس.او.سی اثربخش است.
خاطرنشان می شود که محتوای این نشست به همراه ۱۵ نشست دیگر برگزار شده در نهمین نمایشگاه تراکنش ایران، به زودی در قالب کتاب”گفتگوی متخصصان” تدوین و در اختیار علاقمندان قرار میگیرد.
نهمین نمایشگاه تراکنش ایران به مدت ۳ روز، از ۱۸ تا ۲۰ دیماه ۱۴۰۲ برگزار شد. این دوره با استقبال حدود ۱۲ هزار نفر از مدیران، متخصصان و فعالان فناوری های مالی، ۱۷ نشست تخصصی،۶۰ کارگاه معرفی محصول، دهها نشست گفتگوی B2B، با حدود ۱۰۰ سخنرانی و با همراهی ۲۰۰ عضو کمیته علمی و داوری و ۳ جشنواره تخصصی و ..، میزبان اکوسیستم صنایع مالی، بانکی، پرداخت و فناوری بود.
گفتنی است، دهمین رویداد تراکنش ایران با موضوع محوری “آینده با هوش است” دی ماه ۱۴۰۳ با برنامه های متنوع و مختلفی میزبان اکوسیستم صنایع مالی، بانکی، پرداخت و فناوری ایران و سایر کشورها خواهد بود.
گزارش تصویری نشست تخصصی “دردها و درمان های امنیت سایبری”
گزارش تصویری از تراکنش نهم ایران