از SAT تا فراست با مهندس غفاری

امنیت سایبری و چالش های آن در کشورمان، همواره یکی از موضوعاتی بوده که در مطالب مختلف فراست سعی کرده ایم به آن بپردازیم. در این مطلب نیز گفتگویی را با یکی از مدیران شرکت پارس آوان انجام داده ایم که شما را به خواندن آن دعوت می کنیم.

 

لطفا خودتان را معرفی کنید؟

به نام خدا، اینجانب سید محمد حسین غفاری، مدیر تحقیق و توسعه بازار در شرکت پارس آوان هستم و بالغ بر 15 سال مشغول به فعالیت در زمینه امنیت و ادغام آن با روش­ های نوین، جهت توسعه این امر در کنار همکاران در شرکت می باشم.

چرا امنیت و چرا این حوزه را انتخاب کردید؟

با توجه به این که شرکت ­ها در حوزه­ های نرم افزار و سخت افزار، پیشرفت ­های چشم­گیری داشته اند و اکنون شاهد این هستیم که بیشتر اداره­ ها، سازمان­ ها و شرکت­ ها در این دو بخش، تجهیزات کامل و خوبی را تهیه و نصب کرده­ اند، هکرها توجه و نگرش خود را به سمت و سویی متفاوت برده­ اند و امنیت اطلاعات در سازمان­ ها کمتر مورد توجه قرار گرفته است. مهمترین بخش در امنیت سازمانی، کارکنان آن هستند. بیشتر کارمندان سازمان ­ها، دانش کمی در زمینه امنیت سایبری دارند که این امر موجب می­ شود هکرها از این فرصت سوءاستفاده کرده و نهایت بهره های لازم را ببرند. هکرها از روش ­های مختلف مثل فیشینگ، مهندسی اجتماعی و بسیاری از موارد دیگر، استفاده کرده و از این ضعف انسانی به نفع خود سوءاستفاده می ­کنند.

آیا آگاهی­ بخشی امنیتی می­ تواند به عنوان یک اصل برای پیاده ­سازی در سازمان­ ها محسوب شود؟

در هر برهه از زمان، اولویت ­ها تغییر می ­کند. پیش­تر، خرید تجهیزات سخت افزاری و بعد از آن نیز تهیه سامانه های نرم افزاری به عنوان یک اصل به شمار می رفت و اولویت بالایی داشت ولی اکنون دغدغه اصلی سازمان­ ها کم آگاهی کارکنان­ شان است که متأسفانه بیشترین آسیب را هم از آن خواهند خورد. به همین منظور، این بخش به عنوان یک اصل مهم با اولویت بالا محسوب می­ شود که سازمان ­ها در پی ارتقا و پیشرفت آن هستند. بدین ترتیب با برنامه­ ریزی صحیح در خصوص آگاهی بخشی امنیتی به کارکنان می توان جلوی آسیب رساندن به سازمان را گرفت. شایان ذکر است این آسیب، یک آسیب جدی بوده و یکی از اساسی­ ترین دغدغه­ های کسب و کارها در دنیا محسوب می­ شود. به بیانی دیگر، با برنامه­ ریزی مرتب می­ توان سد محکمی را در برابر مجرمان سایبری ایجاد کرد.

امنیت شبکه، امنیت سایبر و آگاهی­ بخشی امنیتی را در ایران چگونه ارزیابی می­ کنید؟

اجازه دهید از چند منظر، این مطلب را بررسی کنیم. دید اول، بازار کار امنیت است. بازار کار امنیت، یک حوزه قطعی مشخص و بسته نیست. چنانچه مشاهده می­ کنید هر روز موجی از اختراع ­ها و نوآوری ­ها در این حوزه به چشم می­ خورد و این حوزه، حوزه ­ای پویا و فعال است. آگاهی­ بخشی امنیت سایبری هم اکنون دوره نوزادی خود را می ­گذراند و در آینده همراه با پیشرفت فناوری های امنیتی، رشد حیرت انگیزی خواهد داشت. از سویی دیگر، دیدگاه دوم درباره رشد و پیشرفت فناوری است. امروزه هنگامی که سایت­ ها و مجله­ های مرتبط با فناوری اطلاعات را مطالعه می­ کنیم، می­ بینیم که اختراع­ های نوین و بدیعی در حوزه امنیت به وقوع پیوسته اند. از سوی دیگر با شکل گیری فناوری 5G و فراگیری اینترنت اشیا و همچنین ورود فضای سایبر به تمام تجهیزات خانگی و اداری، هکرها هم از این فرصت به وجود آمده، به بهترین شکل ممکن به فکر سوءاستفاده هستند. در نتیجه، نیاز است با سرعت پیشرفت فناوری، همزمان امنیت آن و فضای سایبر نیز توسعه یافته و ضرباهنگ رشد آن با رشد توسعه فناوری هماهنگ شود.

درباره مطلب فوق کمی بیشتر توضیح می­ دهید. آیا این موضوع فقط مختص به ایران است؟

خیر، بحث آگاهی­ بخشی امنیتی یکی از الزام ­های اساسی امنیت سایبر است که در بسیاری از استانداردها همچون ایزو 27001، NIST و … به آن اشاره شده است. کشورهای مختلفی هم اقدام به اجرای راهکارهای آن کرده ­اند که این موضوع در کشورهای پیشرفته، در ارکان متفاوتی پیاده­ سازی شده است. فراست، واحدی است که آگاهی ­بخشی امنیت سایبر را به اصطلاح «ایرانیزه» کرده و این موضوع کاملاً سفارشی­ سازی شده است. فراست از ترکیب دو واژه گرفته شده است. SAT در زبان انگلیسی به معنای آگاهی بخشی و امنیت سایبر است و آموزش­ های فراست به معنای ماورای آگاهی ­بخشی است که هدف از آن، توسعه افق یادگیری امنیت سایبر، درک آسان مطالب سایبری و تهدیدهای مربوطه به صورت طولانی مدت در ذهن مخاطبان است.

جناب مهندس، رشد پیشرفت امنیت را در دنیا چگونه ارزیابی می ­کنید؟ مبحث آگاهی بخشی در کشورهای توسعه یافته چگونه است؟

صد البته در این کشورها یکی از دغدغه­ های اساسی، آگاهی­ بخشی امنیت سایبر و توسعه دانش امنیتی کارکنان است. علت اصلی آن هم این است که ما با یک انسان طرف هستیم و ماهیت انسان نیز این گونه است که تا به مقوله­ ای، به صورت ریزبینانه نگاه­ نکرده و دانش آن را فرا نگیرد، به شدت به این مقوله ناآگاه خواهد بود و بالطبع، نسبت به آن آسیب پذیر بوده و این آسیب پذیری مربوط به منطقه خاص ایران، ژاپن و آمریکا نیز نیست؛ بلکه تمام انسان­ ها باید نکته­ های امنیتی را رعایت کرده و مطالب مربوطه را فراگیرند تا طعمه­ های جذابی برای هکرها نباشند. در کشورهای پیشرفته به دلیل ماهیت این کشورها، محتاط بودن به نسبت ایرانی­ ها کمتر است.

آیا برای پیاده­ سازی آگاهی بخشی در ایران، صرفاً از مدل­ های استاندارد آگاهی­ بخشی دنیا و روش ­های موجود در جهان استفاده کرده ­اید یا این که برای ایران، سفارشی­ سازی شده و به قولی این کار را ایرانیزه هم نموده اید؟

برای اجرای موضوع آگاهی بخشی، با استفاده از نخبگان دانشگاهی داخلی، کاملاً به سمت ایرانیزه شدن مسیر را طی می ­کنیم. یکی از دلایل اصلی که در این زمینه وجود دارد وجود حملات سایبری منحصر به فرد در کشورمان است. در ایران به دلیل وجود تحریم ­ها و حملات سایبری و نیز تمرکز قدرت­ های موجود جهان برای ورود به محیط سایبری ایران، به هر شکلی خواهان صدمه زدن به ایران هستند. پس این فضای استثنایی، شرایط ما را تا حدودی خاص کرده است. در مقایسه با کشورهای دنیا ما به صورت پیش­رو هستیم. به ایران، حملات و فشارهایی تحمیل می­ شود که بسیاری از کشورها فارغ از آن هستند. در بعضی از کشورها هک فقط برای کنجکاوی، تفنن و بازی یا بهره ­برداری اقتصادی انجام می شود. در صورتی که ما در ایران، حملات سایبری بزرگی همچون استاکس ­نت را تجربه کرده­ ایم. این حمله فقط برای ایران پی­ ریزی شده بود و اهداف سیاسی عمیقی داشت. بدین ترتیب برای نفوذ به سیستم ­ها توسط کشورهای مخالف ایران، از لایه نیروی انسانی مانند خویشاوندان، فرزندان و دوستان مسئولان و سیاسیون کشور سوءاستفاده کرده و به سامانه ­ها نفوذ می ­کنند. در اینجا اهمیت فراست و آگاهی­ بخشی امنیت سایبر را به خوبی می­ توان درک کرد که چه میزان حساس و مهم به شمار می­ آید.

در وب سایت فراست، مقاله­ ها و خبرهایی به صورت عام­ المنفعه وجود دارد یا مجلات امنیتی به صورت رایگان در اختیار افراد قرار می ­گیرد. هدف از انجام این کارها چیست؟

در درجه اول، برای آگاهی­ بخشی و افزایش اطلاعات در سطح عموم جامعه این کار انجام می شود و اگر بخواهیم از لحاظ فنی بررسی کنیم این نگاشته­ ها فقط 2 درصد از تمامی مطالب و مفاهیمی است که در پایگاه دانش ما وجود دارد. به بیان دیگر، این مطالب، ویترینی برای نمایش توانایی­ ها و قدرت ما در این حوزه است. تهیه بسته­ های متعدد برای بخش ­های مختلف سازمانی و ارایه آن به سطوح متفاوت، کار گسترده­ ای بوده که دو سال است شرکت پارس آوان بر روی آن تمرکز کرده و با اعضای مختلف و تیم ­های متعدد روی آن کار می ­کند. تیم و دپارتمان کاملاً مستقلی هم در این خصوص وجود دارد که مجموعه­ ای از محتواهای آموزشی و ارتقادهنده دانش امنیت سایبری کارکنان را تهیه کرده است.

لطفاً درباره فراست و دپارتمان فراست شرکت پارس آوان کمی توضیح می دهید؟

فراست با این نگاه که اکنون بیشترین تمرکز بر روی ناآگاهی کارکنان سازمان است و هکرها این راه را بسیار مناسب دیده­ اند، ایجاد شده است. در اینجا منظور از کلمه هکر، تمام نفوذگران با اهداف مختلفی همچون تفنن، سرگرمی، بهره­ برداری مالی و سیاسی می باشد. در برخی زمان ­ها، سرمایه ­گذاری ­های میلیاردی وجود دارد که خواهان آسیب رسانی به سازمان هستند. بنابراین با توجه به شناخت فضای سایبر و امنیت آن و تجربه 15 ساله­ ای که در زمینه امنیت سایبری دارم، این امر کاملاً مشهود بود که آسیب پذیری لایه نیروی انسانی ضعفی مهم و اصلی به شمار می­ آید و فقط در زمینه سخت افزار و نرم افزار در سازمان­ ها اقدام­ های مناسبی انجام شده است. با این بررسی، دقیقاً مشخص شد که ارتقای دانش امنیت سایبری کارکنان و مردم، نیاز جدی به توجه و عمل دارد. در ایران به این شکل متمرکز، کار انجام نگرفته بود. با توجه به تحقیق­ ها و تحلیل نیاز، به این نتیجه رسیدیم که بسته­ های آموزشی مشخصی را تهیه کرده و در این بسته­ ها از محتوا و روش­ های نوین آموزشی استفاده کنیم. در این بسته­ ها انیمیشن­ ها، پوسترها، خبرنامه­ ها و … وجود دارد و روش­ های نوین دیگری که بتوان به نحو مؤثری، آگاهی ­بخشی امنیت سایبری را آموزش داده و آن را  نهادینه کرد تا زمینه برای ارتقای دانش کارکنان سازمانی فراهم شود. با این نگاه، فراست تشکیل شد و اکنون در حال ارایه خدمات خود به مشتریان است.

در مسیر حرکت خود چه چالش ­هایی را مشاهده کرده و به چه حمایت ­هایی نیاز دارید؟

یکی از اصلی­ ترین نیازها برای توسعه فراست، اطلاع ­رسانی به سازمان­ ها است که مطلع شوند چنین بسته­ هایی وجود دارد. بسته­ هایی که سال­ ها روی آن زحمت کشیده شده و دانش فنی بسیار بالایی دارد. این بسته­ ها برای رده­ های مختلف سازمان، تفکیک شده­ و به شکل تمرکزیافته برای تمام سطوح سازمانی، با دانش ­های مختلف تهیه شده اند. برای اجرای فرایند فراست، کارشناسان امنیت سایبری ما ابتدا ارزیابی سازمان و نیازسنجی را انجام داده و سپس برای هر سازمان، نسخه امنیتی مختص به خود را می ­نویسند. نیاز است مسئولان و مدیران ضمن آشنایی با این بسته  ها، آنها را به زیرمجموعه­ های خود معرفی کرده تا بدین ­سان، این دانش انتقال یافته و در نهایت هم ضعف­ های دانشی موجود برطرف شود.

با توجه به صحبت شما درباره ارایه این بسته­ ها، گویا یک بسته خاص برای همه ارگان ­ها ندارید بلکه مجموعه کاملی از مطالب در پایگاه اطلاعاتی شرکت شما موجود بوده و کارشناسان شما با بهره ­گیری از این مطالب و ارزیابی سازمان­ ها، بسته جدیدی را تهیه می ­کنند. لطفاً توضیح بیشتری را در این خصوص می دهید؟

هر سازمان؛ سطوح کارکنان، بخش ­های مختلف و مدیران خود را دارد. نگهبان­ ها، کارمندان، مدیران میانی، مدیران عالی و هر کدام از این افراد متناسب با جایگاه سازمانی خود نیازمند یکسری دانش­ های اختصاصی امنیتی در آن حوزه هستند. در فراست، این مطالب شناسایی، تفکیک و نسبت به هر سطح دانش تفکیک شده است. در فراست این آمادگی وجود دارد که برای هر سازمان، به تناسب فعالیت و نوع کار آن، بسته ای کاملاً سفارشی­ سازی شده تهیه شود. در هر سطح نیز مجموعه­ ای از ابزارهای نوین آموزشی و بسته ­های آموزشی وجود دارد.

برنامه کلی فراست را برای چند سال آینده بیان می کنید؟

با توجه به سرعت رشد دنیای فناوری و ظهور ابزارهای الکترونیکی جدید، بالطبع حملات نوظهوری هم شکل گرفته و تهدیدها نیز متناسب با آن نوین می­شوند. در دپارتمان فراست، این امکان فراهم شده که با پیشرفت فناوری و شناسایی تهدیدها، آگاهی­ بخشی امنیت سایبر نیز انجام شده و محتواهای امنیتی آن سطح و آن فناوری را تهیه کنیم و به سرعت، دانش کارکنان و دانش مردم را در سطح جامعه، نسبت به اطلاعات امنیتی که نیازمند آن هستند، ارتقا دهیم.

در آخر اگر نکته­ ای است، بفرمایید.

یک نکته بسیار مهم که دوست دارم به آن اشاره کنم، این است که انتقال اطلاعات یک طرفه نباید باشد و اهمیت موضوع لازم است توسط جامعه درک شده و پیگیری­ های جامعه درباره آن مطلب می ­تواند در انتشار مطلب مربوطه نقش به سزایی داشته باشد. از عزیزان دعوت می ­کنم با ما در لینکدین، اینستاگرام و آپارات، همراه بوده و از وب­ سایت ما دیدن فرمایند. همچنین با انتشار مطالب فراست در کانال­ ها و گروه­ ها به ما کمک کنند، چرا که این امر یک همت ملی می ­خواهد که هر چه سریع­تر ما نسبت به حملات و تهدیدهایی که می­ توانیم در جامعه داشته باشیم، آگاه شویم. این تهدیدها، تهدیدهایی است که در حوزه سایبری، در محل کار، منزل، حوزه شخصی یا خانواده با آن مواجه هستیم. در وب سایت فراست نیز کتاب­ های به­ روزی برای آگاهی­ بخشی امنیت سایبری، به صورت چاپی و الکترونیکی موجود است که علاقمندان می توانند به صورت آنلاین آنها را خریداری کنند.

 

خروج از نسخه موبایل