حجم نشت اطلاعات کاربران ایرانی طبیعی نیست
مجتبی مصطفوی - با دنبال کردن اخبار و اتفاقات رخ داده در زمینه نشت اطلاعات شرکتها و سازمانهای مختلف در ماههای اخیر، شاید اولین نکتهای که جلب توجه میکند، رشد تعداد این اتفاقات با شیب نسبتا بالا در همین مدت کوتاه باشد. رخ دادن حملات سایبری در دنیای الکترونیکی امروز به یک امر بدیهی تبدیل شده، اما آیا نشت این حجم از اطلاعات در یک بازه زمانی چند ماهه هم امری بدیهی محسوب میشود؟
قطعا اینگونه نیست، یا سرقت حداقل این حجم از اطلاعات با آسیبپذیریهایی که به سادگی قابل پیشگیری هستند خیلی طبیعی نیست.
یکی از دلایل افزایش این اتفاقات در کشور این است که تجربه و دانش نفوذگران کلاه سیاه افزایش پیدا کرده، روش ارتباط با شبکههای زیرزمینی را آموختهاند و همچنین یاد گرفتهاند به جای استفاده از آسیبپذیریها برای Deface کردن میتوانند اطلاعات مهم را استخراج کرده و از آن برای کسب درآمد یا شهرت استفاده کنند.
این درآمدها به آنها انگیزه بیشتری میدهد تا دانش خود را به روز کرده و از روشهای پیچیدهتری در حملات خود بهره ببرند.
در طرف مقابل، در کشور ما در بخش دولتی اصرار بر بهرهبرداری از راهکارهای قدیمی، سنتی و همچنین استفاده از تجهیزات بیشتر به جای تربیت نیروی انسانی متخصص در زمینه امنیت سایبری وجود دارد. اغلب شرکتهای بخش خصوصی نیز یا هنوز اهمیت امنیت سایبری را درک نکردهاند یا به دلایل مختلف هزینه در بخش امنیت سایبری را به صرفه نمیداند.
به عنوان مثال یکی از راهکارهای موفق در زمینهی افزایش امنیت سایبری که در بسیاری از کشورهای توسعه یافته پیادهسازی شده اما هنوز در کشور ما با آن به سختی مقابله میکنند، تربیت هکرهای کلاه سفید است. در حالیکه امروزه در بسیاری از کشورها هزاران هکر کلاه سفید به صورت قانونی در حال فعالیت هستند و به افزایش امنیت کسبوکارها کمک میکنند و خودشان نیز از درآمد خوبی بهرهمند هستند، در ایران حتی با آموزش هکرهای کلاه سفید نیز مقابله میشود. افراد معدودی هم که با تلاش شخصی به این دانش دست مییابند، با مشکل اشتغال یا حتی کسب درآمد از راههای قانونی مواجه هستند.
عدم حمایت یا بعضا مقابله با تربیت هکرهای کلاهسفید، سبب شده خدمات ارزیابی امنیتی در ایران طی سالهای اخیر پای خود را از تست نفوذهای ساده فراتر نگذاشته و تقریبا هیچ پیشرفتی را در این زمینه شاهد نیستیم. حتی برخی از شرکتهای خصوص اقدام به راهاندازی زیرساختهای باگبانتی کردهاند اما با یک نگاه به پنلهای آنها میتوان متوجه شد که میزان استقبال سازمانها و شرکتها از این برنامهها به نسبت نیاز موجود در کشور چقدر پایین بوده است. کیفیت پایین در ارزیابی امنیتی، سبب میشود تا ایرادهای اساسی در زیرساختهای امنیت سایبری کشور باقی بماند و مرتفع نشود. نتیجهی نهایی افزایش حملات سایبری موفق خواهد بود که کم کم شاهد آن هستیم.
به طور خلاصه میتوان گفت علیرغم تلاشهای پراکندهای که برخی از افراد و شرکتها برای تغییر این شرایط انجام میدهند، عزم جدی در سطح کشور مشاهده نمیشود. (ایرنا)