جمعه - ۷ آذر ۱۳۹۹
داده‌های بی حیا

داده‌های بی‌حیا

مطلب داده‌های بی‌حیا برای انتشار در ماهنامه‌ی پیوست نوشته شده است و در شماره‌ی ۶۸ این مجله چاپ شده است.

یکی از مهم‌ترین تفاوت‌های داده‌ها با سیستم‌ها، بی‌حیایی آنهاست. بویی از حجب و حیا و رعایت مصالح نبرده‌اند و به سختی مراعات جایگاه صاحب داده را می‌کنند. داده‌ها بدون در نظر گرفتن جایگاه خود، هر آنچه هستند را به نمایش می‌گذارند. در سال‌های آتی نقش اقتصاد اشتراکی هر روز بیشتر خواهد شد و این نقش تناسب مستقیم با میزان دیجیتالی شدن سازمان‌ها دارد. سازمان‌های دیجیتالی سازمان‌هایی هستند که جریان درآمدی و خدماتی‌شان ارتباط مستقیم با داده دارد. یا از داده برای تسریع‌ خدمات استفاده می‌کنند یا کسب درآمد آنها از طریق عملیات روی داده و جابه‌جایی داده‌ها انجام می‌شود. این داده‌های بی‌رحم و البته بی‌حیا می‌توانند خطرناک نیز باشند. یکی از بهترین روش‌های دفع خطر، طراحی سیستم‌ها بر اساس مدل رایج Secure by design در مهندسی نرم‌افزار است. هرچند فاصله زیادی میان دقت و جزئیات زیرسیستم‌ها در مهندسی نرم‌افزارها و کسب‌وکارهای رایج ایرانی وجود دارد، اما حداقل در حوزه کسب‌وکارهای نوپا (استارت‌آپ) و سازمان‌هایی که در حال تجربه حرکت یا پیاده‌سازی بخشی از تحول دیجیتالی (Digital Transformation) هستند می‌توان نقاط اشتراک بسیاری یافت.
برندهای بزرگ و کوچک در نقاط مختلف دنیا با نوعی Data Breach مواجه می‌شوند. آمار و نظرسنجی‌های مختلف از میان فعالان کسب‌وکار در شرایط مختلف نشان از ۴۷ تا ۶۴ درصد درگیری سازمان‌ها با معضلات امنیتی در طول سال‌های اخیر دارد. استفاده از راه‌حل‌های ابری، حرکت به سمت Digital Transformation در سازمان‌ها و بهره‌گیری از پلتفرم‌های مختلف مانند موبایل و IoT نقاط حساس‌پذیر را بیشتر کرده است و داده‌ها در نقاط بیشتری تولید و منتشر می‌شوند.


اوضاع در ایران کمی پیچیده‌تر است. با توجه به عدم حضور رسمی بسیاری از صاحبان جهانی فناوری‌های نو در حوزه ICT کشور، چرخه آموزش و به‌کارگیری فناوری‌های نو و ابزارهای جدید ناقص است. سرعت ورود فناوری‌ها به شدت بالاست و هم‌اکنون در بسیاری از شرکت‌ها، سازمان‌ها و استارت‌آپ‌ها از همان سرورها و ابزارهایی استفاده می‌شود که در بسیاری از نقاط دنیا استفاده می‌شود. اما عدم حضور رسمی برندها و آموزش‌های سیستماتیک باعث شده است ابزارها برخی اوقات با حداقل بازبینی امنیتی (Security Audit) وارد مرحله‌ کاربردی (Production) شوند. همچنین استفاده نکردن از Licenseهای قانونی و مناسب برای زیرساخت‌های نرم‌افزاری و شبکه‌ باعث شده است سامانه‌های بسیاری با تاخیر به‌روزرسانی امنیتی شوند و همواره آسیب‌پذیر باشند.

یکی از روش‌های مقابله با افزایش این مخاطرات در شرایط فعلی کشور، علاوه بر تلاش برای طراحی امن سیستم‌ها از ابتدا (Secure by design)، استفاده از ترکیبی از این چهار روش است:
۱- پیاده‌سازی امنیت چندلایه
۲- بودجه اختصاصی برای آموزش‌های مدون و ممتد امنیتی در کلیه سطوح سازمان
۳- الزام بازبینی امنیتی برای به‌کارگیری هر سامانه جدید در سازمان و همچنین بازبینی‌های دوره‌ای
۴- تدوین و برنامه‌ریزی برای سناریوهای مواجه با نشت اطلاعات و رخدادهای امنیتی.


امنیت چند لایه یکی از مواردی است که به دو دلیل عمده در سامانه‌های ایرانی کمتر به آن توجه شده است: اول، محدودیت‌های بودجه‌ای و عملیاتی برای پیاده‌سازی و نگهداری ساخت‌یافته و دوم محدودیت‌های زمانی و اجرایی با توجه به رشد سازمان‌ها و نیاز بازار. محدودیت بودجه‌ای به خصوص با توجه به وضعیت نرخ برابری ارز خرید تجهیزات آماده را مشکل‎تر کرده است. برای این موضوع دو راهکار قابل پیاده‌سازی وجود دارد: استفاده از محصولات داخلی و تربیت نیروی متخصص برای استفاده از محصولات Open Source. هرچند هر دو روش به علت دوری از بازار جهانی ممکن است نقاط ضعفی داشته باشند اما در مقابل عدم استفاده از لایه‌های امنیتی بدون شک راهکارهای بهتری هستند. و در خصوص محدودیت‌های زمانی، تنها تشریح نتایج نشت کدملی و شماره تلفن کاربران برای مدیران سازمان می‌بایست محدودیت را برطرف کند.
به صورت معمول بودجه آموزشی به خصوص در کسب‌وکارهای نوپا در بهترین حالت برای مهارت‌های مرتبط کاری ارائه می‌شود و کمتر دیده شده که امنیت (در لایه‌های مختلف) در سطح سازمان به صورت عام و دوره‌ای آموزش داده شود. آموزه‌های امنیتی برخی اوقات باعث سختی انجام کارهای روزمره و عدم آزادی نشر اطلاعات می‌شود و این مورد برای بسیاری از کسب‌وکارهای نوپا، که از نیروهایی با تجربه کمتر استفاده می‌کنند، می‌تواند یکی از نقاط ضعف و آسیب به شمار رود. همین موضوع به گونه‌ای دیگر در سازمان‌های بزرگ و سنتی که به سمت دیجیتالی شدن در حرکت هستند نیز وجود دارد و باعث از بین رفتن عادات سنتی و سختی کارها خواهد شد.
با توجه به کمبود نیروی متخصص و همچنین هزینه‌بر بودن نتایج، بازبینی‌های امنیتی نیز، چه به صورت داخل سازمان و چه از خارج از سازمان، تبدیل به موضوعی نایاب در سازمان‌های ایرانی شده است و اغلب به صورت تشریفاتی انجام می‌شود. همچنین به علت نبود قوانین شفاف، فعالیت تجاری و شخصی افراد در این حوزه با مشکلاتی مواجه است و اغلب سازمان‌ها به اخطارهای افراد توجه کافی نمی‌کنند. تشویق سازمان‌ها به راه‌اندازی برنامه «گزارش رخدادهای امنیتی» یکی از روش‌های بسیار کم‌هزینه برای فرهنگ‌سازی و به‌کارگیری بازبینی‌های امنیتی موثر در سازمان‎هاست.
در پایان، لازم است سازما‌ن‌ها همواره برنامه‌ای برای لحظه‌ نشت اطلاعات یا بروز رخداد امنیتی داشته باشند. مشخص کردن و تدوین روال پاسخگویی به افکار عمومی و ذی‌نفعان، نحوه ردگیری و جلوگیری از ادامه نشر و برنامه‌های مورد نیاز برای برطرف کردن مشکل، حداقل کارهایی است که هر سازمان و کسب‌وکار نیازمند تدوین برنامه‌ای قابل اجرا برای آن است. انکار و رفع نکردن مشکل یا سکوت در مقابل رخداد، تنها متعلق به کسب‌وکارهایی واهی است.

همچنین ببینید

چالش‌های تحول دیجیتال در شرکت‌های قدیمی

بسیاری از شرکت‌های دیجیتالی و نرم‌افزای نسل قدیم که زمانی پیشتاز صنعت ICT بودند، در …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.