ایجاد زیرساخت امنیت اطلاعات وظیفه دولت، نه استارت‌آپ‌ها

حمید مهینی در گفت‎وگو با «دنیای‌اقتصاد» گفت: در گذشته هم شرکت‌ها و سازمان‌های دیگری اعم از دولتی و غیردولتی و به طور مشخص بانک‌های کشور مورد حمله‌های هکری قرار گرفته‌اند؛ اما بعد از یک بازه زمانی این حادثه فراموش و فعالیت‌های مجموعه یاد‌شده ادامه می‌یابد. در مورد تپسی و کسب‌و‌کارهای مانند آن اما وضعیت کمی متفاوت است. محور اصلی پویایی و توسعه کسب و کارهایی مانند ما، اعتماد مشتریان است و چنانچه این اعتماد خدشه دار شود، هزینه و زمان زیادی صرف بازگرداندن اعتماد از دست‌رفته مشتریان خواهد شد. وی افزود: در جلسه‌ای که با رئیس سازمان فناوری اطلاعات ایران داشتیم، به این نتیجه رسیدیم که باید با صرف قدرت، زمان و هزینه بیشتر نسبت به گذشته به موضوع امنیت اطلاعات بپردازیم. بنابراین شروع به ارائه طرح و برنامه‌های کوتاه‌مدت و بلند‌مدت کردیم.

معاون فنی شرکت تپسی با اشاره به درس‌آموزی‌های این مجموعه از حمله به یکی از سرورهای جانبی این شرکت گفت: مهم‌ترین درس آموزی مجموعه تپسی از این اتفاق که اردیبهشت ماه سال جاری اتفاق افتاد، مدیریت بحران و نحوه برخورد با افکار عمومی است. اما اگر بخواهم دقیق‌تر و با جزئیات بیشتری به این درس آموزها اشاره کنم، امنیت شبکه و زیرساخت، امنیت محصول ، فرهنگ و فرآیند (نهادینه کردن فرهنگ «امنیت به عهده‌ همه»)، سه سرفصل اصلی است که بعد از حمله هکری برای خود تدوین کردیم. در بخش نخست (امنیت شبکه و زیرساخت)، سرمایه‌گذاری روی فایروال شبکه، گسترش فایروال وب و به‌طور مشخص افزایش امنیت لایه‌ کاربرد با پایش و مسدودسازی ترافیک HTTP فیلتر کردن محتوای خاص، کنترل متمرکز دسترسی‌های مدیریتی، چک‌لیست انتشار و مقاوم‌سازی سرورها و تقویت مکانیزم‌های مانیتورینگ و لاگینگ، از جمله اقداماتی است که انجام شد.

مهینی ادامه داد: در بحث امنیت محصول نیز سعی کردیم با شبیه‌سازی حملات سایبری به سرورها به صورت منظم و مداوم (تست نفوذ)، داشتن یک چک‌لیست کامل از نکات ایمنی مربوط به فرآیند برنامه‌نویسی و شناسایی آسیب‌پذیری نرم‌افزار و کتابخانه‌ها، اشکالات و حفره‌های امنیتی را پیدا کنیم. وی افزود: سومین سرفصل و درس آموز مهم تپسی (فرهنگ و فرآیند یا نهادینه کردن فرهنگ «امنیت به عهده همه»)، در ایمن‌سازی چرخه‌ تولید نرم‌افزار و راه‌اندازی تیم یا کمیته‌ امنیت خلاصه می‌شود. به این معنا که سیاست‌های امنیتی در فرآیندهای تولید نرم‌افزار مانند بازبینی کد و کنترل خودکار در فرآیند CI/ CD اعمال می‌شود. همچنین فرآیند مشخصی به منظور شروع یا اتمام همکاری، سیاست‌های انتخاب کلمه عبور و کنترل دسترسی‌ها در شرکت ایجاد شد.

مهینی اعلام کرد: نکته‌ای که لازم می‌دانم در اینجا به آن اشاره کنم، نقش دولت در قبال ایجاد و توسعه زیرساخت‌های امنیت اطلاعات در کشور است. در هیچ یک از کشورهای‌ توسعه‌یافته یا در حال توسعه، استارت‌آپ‌ها وظیفه ایجاد زیرساخت را ندارند و نباید هم داشته باشند؛ زیرا افراد متخصص در این زمینه اندک و هزینه این کار بالا است. دولت یا شرکت‌های ارائه‌دهنده خدمات امنیتی مانند آمازون این مسوولیت را بر عهده می‌گیرند و استارت‌آپ‌ها روی توسعه کسب و کار خود متمرکز می‌شوند. وی در تشریح سلسله اقدامات برای ایجاد زیرساخت‌های اطلاعات امنیت در کشور گفت: به نظرم توسعه خدمات‌رسانی مرکز داده و سرویس‌های ابری مهم‌ترین موردی است که وزارت ارتباطات و فناوری اطلاعات باید به آن توجه کند. اگر بخواهیم کمی ساده‌تر در این مورد صحبت کنیم، شرکت‌ها یا مراکز ارائه‌دهنده سرویس‌ها و خدمات امنیتی، باید توسعه پیدا کنند.

وی ضمن اشاره به  وند مجهول پروتکل‌های حقوقی و قضایی در زمان وقوع بحران‌های اطلاعاتی گفت: در روز وقوع حادثه حمله به یکی از سرورهای جانبی تپسی، پروتکل مشخصی برای ما وجود نداشت که باید به چه شخص یا ارگانی پاسخگو باشیم یا این رخداد چه عواقب حقوقی برای ما در پی خواهد داشت و آیا دولت از ما حمایت خواهد کرد و... بنابراین وزارت ارتباطات باید با هم‌اندیشی استارت‌آپ‌ها، پلیس فتا، فعالان حوزه دیجیتال و... یک منشور یا دستور‌العملی را مبنی بر روشن شدن روندهای حقوقی در زمان بروز چنین بحران‌های تدوین کند. مهینی درباره استفاده از باگ‌بانتی‌ها برای یافتن حفره‌های امنیتی و بالا بردن سطح امنیت اطلاعات استارت‌آپ‌ها و کسب‌وکارهای اینترنتی گفت: استفاده از باگ‌بانتی‌ها نکته‌ای بود که پیش از این از نگاه ما دور مانده بود و هیچ وقت آن‌طور که باید به آن نپرداختیم؛ اما به‌طور حتم در آینده از این روش نیز به منظور ارتقای سطح امنیت مجموعه خود استفاده خواهیم کرد.