شعار سال: تپسی، شرکت‌های بیمه و اپلیکیشن هفت‌هشتاد، سه موردی بودند که با فاصله کم هک شدند. شاهین نورصالحی مشاور و طراح سیستم‌های پیشرفته علم و فناوری در پاسخ به پرسشی مبنی براینکه آیا امنیت سایبری کشور در وضعیت ضعیفی قرار دارد، گفت: «متاسفانه باید گفت که پیش فرض شما در ارتباط با ضعیف‌تر شدن امنیت سایبری کشور صحت داشته و در وضعیت بسیار بغرنجی قرار دارد. وقتی به بررسی دقیق مستندات افشا شده از سازمان‌های هدف نگاه می‌کنیم، تقریبا این مستندات طیف وسیعی از همه داشته‌های الکترونیکی یک سازمان، از کد منبع نرم افزاری که به مشتری نهایی ارائه می‌دهد، تا سابقه بروز رسانی‌ها و بانک اطلاعاتی اصلی و پشتیبان و حتی پرسنل فنی و اداری را شامل می‌شود و این حالت مشابه کاسبی است که در انتهای روز کاری، گاو صندوق خود را بدون قفل کردن در خیابان بگذارد و برود!»

وی ادامه داد: «در نتیجه شما با یک بحران از نوع انسانی و سلامت کار مواجه هستید و کمتر می‌توان از عبارت "ضعف فناورانه" برای توصیف آن استفاده کرد؛ بنابراین عدم رعایت نکات عملیاتی مرتبط با امنیت سایبری در سازمان‌ها که تحت عنوان استاندارد ISO-۲۷۰۰۰ شناخته می‌شود، اولویت بالاتری در حملات موفق به سازمان‌ها بازی کرده است.»

نورصالحی درخصوص منشا این حملات سایبری عنوان کرد: «شاید در نگاه اول اینطور به نظر برسد که به مرور زمان تجهیزات و سخت افزار‌های بسیار پیشرفته‌ای وارد سازمان‌ها شده و سیستم‌های عامل در مقایسه با سال‌های قبل از توانایی بالاتری برخوردار شده اند، ولی عامل شماره یک در همه نفوذ‌های موفق هکر‌ها به سیستم‌های رایانه‌ای در عدم آگاهی پرسنل و در درجه دوم، اشتباه کردن افراد آگاه، طبقه‌بندی شده است. در نتیجه شما ریشه‌های اصلی وقوع این شکل گسترده از نفوذ به سیستم‌های رایانه‌ای را در بحرانی مدیریتی و ناتوانی در برخورد با منابع انسانی سازمان‌ها جستجو کنید.»

این کارشناس فناوری اطلاعات ادامه داد: «به هر اندازه که نیروی انسانی شما در هر رده سازمانی با پدیده‌هایی مثل کلافگی در ترافیک صبحگاهی، هدر رفت زمان در صف بنزین، آلودگی هوا، عدم شایسته سالاری در سازمان‌ها، هزینه‌های بالای زندگی و سایر موارد مشابه درگیر باشد، احتمال اشتباه کردن و نادیده گرفتن نکات امنیتی بالا می‌رود.»

نورصالحی در پاسخ به این پرسش که حملات سایبری به دلیل چه کم‌کاری‌هایی صورت می‌گیرد، مطرح کرد: «فقر فرهنگ سازمانی در عدم ایجاد نظام Request For Comment برای امنیت سایبری، بدترین غفلت صورت گرفته در کشور است. ما به این دلیل که فکر می‌کنیم امنیت سایبری باید صرفا توسط بخش کوچکی از افراد امین تامین شود، آن را در یک دایره بسته نگه می‌داریم و همین باعث می‌شود رویکرد ضد ارزش "قایم کردن" در قبال داده‌های حساس با روال‌های شفاف و عمومی "ایمن کردن" آن‌ها جایگزین شده و با اولین دسترسی غیر مجاز مجرم سایبری به مخزن داده‌های حساس، به یکباره همه آن‌ها افشا شوند.»

وی افزود: «با این تفاصیل برای اینکه همه افراد جامعه قابلیت دسترسی، بازبینی و ارائه ایده‌های نوآورانه در نحوه تامین امنیت برای داده‌های حساس و سازمان‌ها را داشته و بتوانند نحوه دریافت، ذخیره و بازیابی داده‌های کاربران را به اطلاع ایشان برسانند، لازم است عملا نشان دهند که مطابق کدام مرجع RFC اقدام به این کار کرده‌اند و به این ترتیب در صورت گزارش هر آسیب‌پذیری به سرعت مشخص شود که آیا نقص در نوع رویه‌های تعریف شده در RFC بوده یا در اجرای آن نقص بوجود آمده است.»

نورصالحی ضمن تاکید براینکه پیاده کردن نظام RFC در کشور، الزام دیگری هم دارد، گفت: «آن الزام این است که مطابق آخرین بحث‌های امنیت سایبری در دنیا، طراحی محصولات نرم‌افزاری از این پس می‌بایستی تابع مقررات secure by design باشند. این به آن معناست که تا جایی که امکان دارد باید بتوانیم در مرحله طراحی انواع تمهیدات امنیتی را دخالت دهیم تا بزرگترین خطای انسانی باعث بروز کم‌ترین آسیب به امنیت سیستم‌ها گردد. بنابراین، از آنجایی که رگولاتور شبکه بانکی در کشور دارای بالاترین نرخ ذخیره تجربیات و دانش در نگهداری از داده‌های حساس است و ذاتا در کانون حملات مجرمان سایبری در دستیابی به منابع مالی قرار دارد، به نظر می‌رسد بانک مرکزی به عنوان رگولاتور شبکه بانکی، بهترین محل برای تاسیس و مدیریت مرکز RFC برای کل فضای سایبری کشور باشد.»

وی در پایان خاطرنشان کرد: «به نظر می‌رسد این تنها راهی باشد که مارا به هدف "همواره یک قدم جلوتر بودن از مجرم سایبری" نزدیک کرده و راه میانبر دیگری برای آن متصور نیستیم.»

شعار سال، با اندکی تلخیص و اضافات برگرفته از سایت دیدبان ایران، تاریخ انتشار:۱۴ شهریور ۱۴۰۲، کدخبر: ۱۶۳۵۳۶، www.didbaniran.ir