اکوسیستم امنیت؛ ضرورت توسعه استارت‌آپی

اگرچه حمله هک یا نشت اطلاعات کاربران استارت‎آپ‎ها در سال ۹۸ جدی شده است، اما پیش از این نیز اخباری از حمله سایبری جدی مانند استاکس‌نت به سیستم هسته‎ای ایران، هک اطلاعات کاربران ایرانسل، باج افزار واناکرای به کسب وکارهای ایرانی در سال‎های گذشته مطرح بود. برای نمونه، در حمله باج‎افزار واناکرای، طبق آمار وزارت ارتباطات، تاکنون بیش از ۲۰۰۰ مورد ابتلا به باج افزار واناکرای در ایران گزارش شده است. بیشترین آلودگی متعلق به اپراتورهای ارتباطی، سلامت و پزشکی و دانشگاهی در استان‌های تهران و اصفهان بوده است. این در حالی بوده است که بارها در رسانه‎ها به نقل از پلیس فتا یا نیروهای انتظامی نیز اخبار مختلفی از هک حساب‎های بانکی منتشر شد.

به هر حال، توسعه الکترونیکی شدن کسب‎وکارها، دولت‎ها، سیستم‎های بانکی و دیجیتالی شدن شهروندان حاکی از آن است این حملات سایبری با نرخ فزاینده‎ای در حال رشد خواهند بود. به ویژه، در سال‌های اخیر که دیجیتال بستر مناسب برای ایجاد شرکت‎های کوچک که عمدتا از سیستم‌های امنیت ضعیفی برخوردارند، بیش از سایر شرکت‎های بزرگ و شناخته‌شده آسیب می‎بیند. به‌طوری که براساس تحقیقات مجله فوربس آمده است، بالغ بر ۴۵ درصد از حملات سایبری و بدافزاری که هرروزه در جهان اتفاق می‌افتد، شرکت‌های کوچک و متوسط را هدف قرار می‌دهد. از طرف دیگر، حساب‌های کاربری مورد استفاده مدیران اجرایی و مقامات این شرکت‌ها ۱۲ برابر بیشتر از مدیران اجرایی شرکت‌های بزرگ و معروف جهان هک شده و مورد سوءاستفاده کاربران قرار گرفته است.

به نظر می‌رسد این همان مشکلی است که استارت‎آپ‌های کشور با آن مواجه شدند. استارت‎آپ‎هایی که زمانی یک شرکت کوچک با کاربران کمی بودند که به لطف توسعه اینترنت و تغییر سبک زندگی کاربران و روی آوردن آنها به استفاده از خدمات دیجیتالی باعث شد این شرکت‎ها رشد جهشی داشته باشند و در سال‎های اخیر به بیش از ۴۰ میلیون کاربر خدمات بدهند. همزمان با رشد کاربران، این شرکت‎ها نیز حجم بالایی از اطلاعات کاربران، اطلاعات که از نام و نام خانوادگی، شماره موبایل کاربران است گرفته تا مکان‌یابی و رفتارهای مصرفی آنها در این برنامه‎ها را در مراکز داده‌ها نگهداری می‎کنند. اگرچه بسیاری از این شرکت‎ها با استخدام افراد متخصص درصددند بتوانند امنیت حفظ این داده‎ها را تضمین کنند. با این حال، بخشی از این امنیت مشمول زیرساخت‎ها و مراکز داده‌ای است که استارت‌آپ‌ها از آنها استفاده می‌کنند و تامین آنها بسیار پرهزینه بوده و نیاز به تیم‎های تخصصی قوی‌تری دارد.

در واقع، در سطح جهانی برخی از شرکت‌ها به شکل تخصصی و با استخدام نیروی متخصص به شکل ویژه روی تامین امنیت سایبری متمرکز هستند و این خدمات را برای استارت‎آپ‎ها و حتی شرکت‎های بزرگ تامین می‎کنند. آمازون یکی از این شرکت‌های در حوزه امنیت سایبری است که خدماتی از این دست را در سطوح کیفی و قیمتی مختلف به شرکت‎ها و استارت‎آپ‎ها ارائه می‎کند. در مقابل، شرکت‎های متقاضی نیز می‎توانند متناسب با ابعاد فعالیت و مدل کسب و کاری که دارند سطح این خدمات را انتخاب کنند. به هر حال، تامین امنیت سایبری نه‌تنها یکی از چالش‎های اصلی شرکت‎ها، حتی دغدغه دولت‎ها است، به‌طوری که بنا بر گزارش‌های گارتنر، هزینه جهانی در زمینه امنیت سایبری در سال ۲۰۱۸ با رشد ۴/ ۱۲درصدی نسبت به سال گذشته از مرز ۱۱۴ میلیارد دلار فراتر رفته است. همچنین پیش‎بینی کرده در سال ۲۰۱۹ این رقم با رشد ۷/ ۸ درصدی به ۱۲۴ میلیارد دلار می‌رسد.

در فضایی که استارت‌آپ‎های کشور در حال توسعه هستند و تعداد کاربران آنها از مرز ۴۰ میلیون می‌گذرد، ضرورت حفظ داده‎های کلان نیازمند سطح تخصص و تجربه در ابعاد ملی است؛ زیرا پیامدهای عدم حضور این شرکت‌های تخصصی صرفا به نشت اطلاعات استارت‎آپ‌ها ختم نمی‌شود، بلکه بسیاری از اطلاعاتی که در مراکز داده این استارت‎آپ‎ها وجود دارد به مثابه سرمایه ملی است که افشای آنها می‎تواند برای کشور تهدیدهای امنیتی، اقتصادی و اجتماعی به بار آورد. در حالی که انتظار می‌رفت همزمان با شکل‌گیری و توسعه استارت‎آپ‎ها، شرایط برای ایجاد شرکت‎های تخصصی حوزه امنیت فراهم می‌شد. اما هنوز جای چنین شرکت‎هایی در سطح ملی که بتواند از امنیت استارت‎آپ‌های پرکاربر ایرانی پشتیبانی کند، خالی است. از آنجا که شرکت‎های بزرگی در سطح آمازون نداریم، شرکت‌ها مجبورند تمهیدات امنیتی را به همراه تخصص در داخل شرکت و در ابعاد بسیار کوچک و ناکافی فراهم کنند. در حالی که دولت می‌تواند قبل از بروز چنین اتفاقاتی و پیگیری آن با تسهیل فضای کسب‌و‌کار مانند حذف قوانین دست و پاگیر، کاهش ریسک سرمایه‎گذاری در این حوزه و کمک به رشد استارت‎آپ‎های حوزه امنیت، اقدامات موثرتری داشته باشد.    

اماواگرهای آزادسازی داده‎های دولتی

نبود یک اکوسیستم امنیت در حالی فضای استارت‌آپی را تهدید می‌کند که به تازگی پروژه‌ای از سوی وزارت ارتباطات رونمایی شده که دسترسی به برخی داده‌های دولتی را برای استارت‌آپ‌ها فراهم می‎کند. در این راستا، امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران، به «دنیای اقتصاد» گفت: در این پروژه درگاهی ایجاد شده که از طریق آن داده‎های دولتی به استارت‌آپ‌ها ارائه می‌شود. البته هنوز لیست سرویس‎های ارائه شده، تکمیل نشده و به مرور زمان کامل می‌شود. هم اکنون خدمات شامل شاهکار (سرویس احراز هویت و بررسی تطبیق شماره تلفن همراه با اطلاعات هویتی صاحب خط)، جی‎نف( استانداردسازی نشانی‌ها)، سامانه آدرس یاب برای کمک به اورژانس و ثبت احوال برای استعلام است. البته این خدمات از بهمن سال گذشته مطرح بود و فاز یک که اتصال فیزیکی بود الان ایجاد شده است. وی در ادامه با توجه به هک اخیر استارت‎آپ‎ها و تامین امنیت این داده‎ها گفت: این تامین امنیت دو جنبه دارد.

نخست جنبه قانونی است یعنی وجود قانونی که شرکت‎ها را در صورت حفظ نکردن امنیت داده کاربران محکوم کند. برای این منظور لایحه صیانت از داده تدوین و به دولت ارائه شده و انتظار می‎رود دولت تا یک ماه آینده آن را تصویب کرده و به مجلس تقدیم کند. اما از آنجا که حفظ داده کاربران برای خود استارت‌آپ‌ها مهم است، به‌صورت داوطلبانه شروع کردند. هم اکنون وزارت ارتباطات در حال تدوین یک پروتکل امنیتی است تا به تمام استارت‌آپ‌های پرکاربر ابلاغ شود. وی افزود: بنابر این لایحه، در صورت هک، دادستان یا مدعی‌العموم می‌تواند از شرکت شکایت کند. البته دولت و کاربران نیز از این حقوق در صورت تصویب این لایحه و تبدیل شدن آن به قانون برخوردارند.

معاون وزیر ارتباطات در صورتی از لایحه و قانون‌گذاری برای تامین امنیت یاد می‌کند که در حال حاضر مشکل استارت‎آپ‎ها صرفا این موضوع نیست. به هر حال، شرکت‎های استارت‎آپی نسبت به ارزش و اهمیت داده‌های کاربرانشان آگاه هستند و همواره برای حفظ آن تلاش می‌کنند. همان‌طور که اشاره شد هم‌اکنون نبود یک شرکت بزرگ متخصص در حوزه امنیت یا یک اکوسیستم امنیت بیش از هر عامل و هر زمانی این استارت‎آپ‌ها را تهدید می‎کند. در این باره ناظمی معتقد است: امنیت امر ارزان قیمتی نیست ولی برای همه شرکت‎ها ضرورت دارد. با این حال، تامین آنها برای همه به لحاظ اقتصادی و از نظر هزینه-فایده، به صرفه نخواهد بود. هرچند دولت باید یک بخشی را تامین کند، اما اصل ماجرا مربوط به وزارت ارتباطات نیست.

حفظ امنیت برعهده کسب و کار است. چرا که حضور دولت مداخله به حساب می‌آید. وی خاطرنشان کرد: زمانی که استارت‎آپ از یک حدی بزرگ‌تر شد؛ باید این زیرساخت‌ها را خودش داشته باشد. ایجاد زیرساخت‌های امنیتی از سوی دولت به لحاظ فنی معنادار نیست. در حال حاضر وزارت ارتباطات می‌تواند یکسری ابزارهایی به آنها بدهد. ولی اینکه این خدمات جامع باشد، وجود ندارد. به هر حال، بخشی از این امنیت توسط دولت تامین می‎شود و استارت‎آپ‌ها نیز باید برنامه‌ای برای توسعه آن داشته باشند.

دولت یا استارت‎آپ

نبود زیرساخت امنیت اطلاعات در فضای استارت‌آپی با بروز اتفاقاتی ناخوشایند مانند نشت اطلاعات کاربران این استارت‎آپ‎ها همراه خواهد بود. در واقع، تامین امنیت برای توسعه آنها یک ضرورت است. اما در حال‌حاضر، چالش اصلی درخصوص آن، تامین این اکوسیستم است که دولت و استارت‎آپ‎ها معتقدند طرف مقابل باید آن را تامین کند. در این راستا، وحید معصومی، معاون مهندسی فنی کافه بازار به «دنیای اقتصاد» گفت: مسوولیت نهایی امنیت محصولات و خدمات ارائه شده توسط شرکت‌ها با خود آنهاست و هر میزان هم که خدمات میزبانی امن ارائه شود، چیزی از مسوولیت نهایی شرکت‌ها کم نمی‌کند. با این حال، نبود سرویس‌های میزبانی بزرگ و آزمایش‌شده قطعا یکی از عوامل بالا بودن نسبی آسیب‌پذیری سرویس‌های حوزه IT است. البته شاید بتوان از طریق برخی نهادهای تخصصی نظیر سازمان IT هر از چند گاهی یکسری پروتکل جدید تعریف و به پلت‌فرم‌های کشور ابلاغ کرد.

وی افزود: شرکت‌های IT ایرانی که ابعاد آنها از حدی بزرگ‌تر می‌شود و در مسیر رشد حرکت می‌کنند، معمولا به سمت پیاده‌سازی و نگهداری زیرساخت خاص خود حرکت می‌کنند؛ زیرا استفاده از مدل‌های قدیمی خدمات میزبانی، به‌صرفه و به اندازه کافی انعطاف‌پذیر نیست و خدمات ابری در دسترس نیز به اندازه کافی جا افتاده و آزمایش‌شده و قابل اتکا نیستند. این کار بسیار پرهزینه است. از دیدگاه امنیت نه تنها همه شرکت‌ها باید حجم زیادی از ملاحظات امنیتی مشترک و زیرساختی را پیاده کنند که می‌توانند توسط یک ارائه‌کننده خدمات میزبانی ارائه شود، بلکه باید متوجه بخش بزرگ‌تر مسوولیت خود، یعنی ملاحظات مربوط به محصولشان نیز باشند. در حالی که در شرایط رقابتی بازار IT ایران کمتر شرکتی توان انجام توامان این کارها را پیدا می‌کند.

این کارشناس فنی بااشاره به بحث قانونی در این حوزه اشاره کرد: نخست آنکه در قوانین ما مباحث مربوط به تامین امنیت به وسیله ارائه دهندگان خدمات میزبانی آمده است و با توجه به اینکه تعریف مستقلی برای پلت‌فرم‌ها در قوانین ایران نداریم، همین مقررات را به پلت‌فرم‌ها تسری می‌دهیم. اما امکان تعیین یکسری پروتکل امنیتی در قانون وجود ندارد؛ چون این پروتکل‌ها بسیار سریع تغییر می‌کنند؛ اما روند قانون‌گذاری بسیار کند است و درج چنین پروتکل‌هایی در قانون سبب عقب‌ماندگی همیشگی قانون نسبت به وقایع روز دنیای تکنولوژی می‌شود. دوم اینکه در قوانین ایران هرگونه دسترسی به اطلاعات یا آموزش دسترسی غیرمجاز به اطلاعات یا افشای این اطلاعات و افشای اسرار تجاری جرم‌انگاری شده است. سوم اینکه باید توجه داشته باشیم که تعدد قانون‌نویسی و تصویب مقررات متعدد و‌پراکنده آسیب بسیار بیشتری به بدنه کسب‌وکارها و حقوق مردم خواهد زد. به گفته وی، هک و حملات سایبری بخش جدا نشدنی شرکت‎های IT است. در واقع، شرکت‌ها چه بخواهند چه نخواهند همیشه مورد تهدید مهاجم‌ها هستند. بنابراین بهتر است بستری را مهیا کنند تا افراد خبره حوزه امنیت ترجیح دهند تحت حمایت قانون از پوشش هکر کلاه‌سیاه خارج شوند و تحت عنوان هکرهای کلاه‌سفید و کارشناسان امنیت به کمک کسب و کارها بیایند.

17 (2)

اخبار مرتبط