قحطی متخصصان امنیت سایبری در کشور

صبا رضایی – کارشناسان امنیت سایبری بر این باورند که نبود اینترنت ملی با زیرساخت‌های مناسب و استفاده از زیرساخت‌های خارجی، راه را چنان برای هکرها و حملات سایبری باز می‌کند که گویی به آن‌ها خوشامد می‌گویند.
بر اساس برخی اخبار، از سویی دیگر سازمان‌های دولتی و نهادها که به تازگی و بعد از بارها حملات سایبری به فکر تقویت زیرساخت‌ها و تامین نیروی انسانی متخصص در این بخش افتاده‌اند، با کمبود و عدم استقبال متخصصان این حوزه مواجه شده‌اند.
مشکل اینجاست که از یک سو کارشناسان فناوری اطلاعات از توجیه نبودن مدیران بخش خصوصی و محول کردن وظایف کارشناس امنیت سایبری به مدیران IT گلایه دارند و از سویی دیگر بر این باورند که وجود برخی ضعف‌ها در زیرساخت‌های کشور موجب افزایش حملات سایبری شده است.
این در حالیست که به عقیده بسیاری از کارشناسان، اگر اینترانت ملی تکمیل شود و در کنار اینترنت بین المللی، بکار گرفته شود، حملات سایبری شدیدا کاهش می‌یابد. اما مشکلات حوزه سایبری کشور تنها به مسایل فوق محدود نمی‌شود. چراکه بسیاری از فعالان صنعت فناوری اطلاعات کشور، از مهاجرت گسترده نیروهای ماهر نه فقط در حوزه امنیت سایبری که در تمامی ‌حوزه‌های آی تی خبر می‌دهند و معتقدند در زمینه منابع انسانی، ما به نوعی دچار قحطی شده‌ایم.
به اعتقاد این کارشناسان، دولت‌ها نیز همسو با تحولات کشور به فکر پرورش و تربیت نیروی انسانی ماهر به میزان کافی نبوده‌اند و از این مهم غلفت کرده‌اند.
لذا مجموع این عوامل یعنی کمبود نیروی انسانی ماهر، مهاجرت نیروهای معدود و متخصص، نبود استراتژی کلان، نامشخص بودن تقسیم دقیق مسوولیت‌ها در این حوزه‌ها و در نهایت افزایش حملات سایبری به کشور، منجر شده تا اکنون با مشکلات ملموس و زیادی مواجه شویم.

موقعیت‌های استخدامی ‌بدون متقاضی در حوزه امنیت

این روزها اگر پای درد دل مدیران فناوری اطلاعات سازمان‌های دولتی بنشینید اغلب آنها از این موضوع گلایه دارند که سازمان آنها توان جذب کارشناس شبکه و امنیت با تخصص مورد انتظار آنها را ندارد!
یک علت این مشکل اینجاست که طبق مقررات این نهادها، پرداخت حقوق تابع مقررات پرداخت هماهنگ است و مطابق با این مقررات، حقوق پرداختی به يک کارشناس شبکه و امنیت حدود 8 میلیون تومان است. این در حالیست که همین کارشناس اگر جذب بخش خصوصی شود حقوقی 2 تا 3 برابر دریافت خواهد کرد.
این اختلاف فاحش باعث شده برخی پست‌های شبکه و امنیت در سازمان‌های دولتی بدون متقاضی استخدام باقی بماند!️
پرداخت حقوق کم به کارشناسان متخصص امنیت سایبری در برخی سازمان‌های دولتی اما چند عارضه جدی بدنبال دارد:
1- سازمان‌ها در جذب کارشناسان جدید و نخبه ناکام می‌مانند و به مرور سطح فنی آنها بخصوص در حوزه امنیت کاهش می‌یابد و سازمان بیش از پیش آسیب پذیرتر می‌شود.
2- کارشناسان فعلی شاغل در دستگاه‌های دولتی هم برای تامین حقوق مورد انتظار خود ناچار به ورود به مشاغل پاره وقت دوم و سوم می‌شوند. به این ترتیب بخش زیادی از توان و انرژی خود را خارج از سازمان بکار می‌گیرند. این در حالیست که گاه متاسفانه برخی هم به کسب درآمد از روش‌های ناسالم تشویق می‌شوند.
3- در نتیجه سطح بی‌انگیزگی در سازمان به شدت افزایش می‌یابد تا جایی که نیروهای فعلی هم استعفا می‌دهند و بحران نیروهای متخصص در این نهادها تشدید می‌شود.
تکمیل اینترنت ملی
کارشناسان فناوری اطلاعات بر این باورند که بهترین راهکار برای مقابله با حملات سایبری آن است که اینترانت ملی یا همان شبکه ملی اطلاعات برای تامین مقاصد خاص باید تکمیل شود.
در همین رابطه خاطره ترکی، مدیر فناوری اطلاعات یک هلدینگ گردشگری در گفت و گو با عصر ارتباط می‌گوید: زمانی که بخش عمده فناوری و زیرساخت‌های پایه کشورمان را از خارج از کشور تامین می‌کنیم، حملات سایبری رخ می‌دهد و این امر مسیرها و دسترسی‌هایی ایجاد می‌کند تا حملات سایبری به راحتی ممکن شود.
او افزود: باید زیرساخت‌های خود را استانداردسازی کنیم. مثلا سرور شبکه‌های اجتماعی که استفاده می‌کنیم در خارج از کشور قرار دارد و این امر آسیب‌پذیری‌مان را در حوزه امنیت سایبری بیشتر می‌کند. باید حتما زیرساخت‌های اینترنت داخلی را استانداردسازی و تکمیل کنیم.
ترکی راهکار مقابله با حملات سایبری را ارتقای اینترانت ملی در کنار استفاده از اینترنت بین‌المللی دانست و گفت: با اینکه افراد بسیاری با ارتقا و تکمیل زیرساخت‌های شبکه ملی اطلاعات مخالف هستند اما راه‌حل مهم برای کاهش خطرات و ریسک حملات سایبری، ارتقای همین مسیر است. اگر روزی به دلیل تحریم‌ها یا هر دلیل دیگری دچار قطعی اینترنت شدیم، نباید زیرساخت‌های دولتی از کار افتاده و فعالیت‌های اداری، تجاری و اقتصادی متوقف شود.
او افزود: البته ارتقای اینترانت ملی گاه این امکان و نگرانی را ایجاد می‌کند که در برخی موارد امکان فیلترینگ شبکه‌های اجتماعی و سایت‌های خارجی راحت‌تر شود. زمانی بود که مسیر تمامی‌ تراکنش‌های بانکی از خارج از کشور عبور می‌کرد اما اکنون شاهد چنین وضعی در شبکه بانکی کشور نیستیم.
این مدیر فناوری اطلاعات در نمونه‌ای دیگر در رابطه با نبود ایمیل داخلی می‌گوید: اگر روزی و به هر دلیل جی‌میل قطع شود، تمام ارتباط ما با خارج از کشور به کلی قطع می‌شود در حالیکه برخی کشورها نظیر چین هم ایمیل داخلی دارند و هم شبکه اجتماعی داخلی.

نمایندگی شبکه‌های اجتماعی در داخل کشور

او در پاسخ به این پرسش که آیا بهتر نیست به جای راه‌اندازی یک شبکه اجتماعی داخلی و افزایش احتمال فیلترینگ شبکه‌های اجتماعی بین‌المللی، از شبکه‌های اجتماعی مانند اینستاگرام درخواست کنیم که نماینده‌ای در داخل کشور داشته باشند، بیان کرد: اگر هم شبکه‌های اجتماعی بین‌المللی نماینده‌ای در داخل کشور داشته باشند، باز هم خطراتی برای امنیت سایبری ایجاد خواهند کرد. به طور نمونه، هک کردن دوربین‌های یک نهاد مربوط به یک شرکت زیرساختی خارجی بوده است.
ترکی گفت: تا زمانی که مستقل عمل نکنیم، مسیرهای دسترسی بسیار راحت و ساده‌ای برای حملات سایبری خواهیم داشت. در حال حاضر اینترانت ملی ما زیرساخت‌های ناقصی داشته و ابزارهای لازم را ندارد، شبکه اجتماعی داخلی نداریم و این امر راه را برای هکرها باز می‌کند. او در پاسخ به این پرسش که بسیاری از کشورهای دنیا با شبکه‌های اجتماعی بین‌المللی، مایکروسافت و ابزارها و زیرساخت‌های بین‌المللی فعالیت می‌کنند و مشکلی ندارند، گفت: کشورهای اروپایی که از شبکه‌های اجتماعی بین‌المللی استفاده می‌کنند و با مشکلی مواجه نمی‌شوند، و به عبارتی کشورهای اروپایی با یکدیگر هم پیمان هستند. به همین روی با حملات سایبری خطرناک کمتری مواجه شده یا در صورت وقوع حملات سایبری، راه‌های مقابله با آن را می‌دانند. به طور مثال به روسیه هم حملات سایبری بسیاری می‌شود اما این کشور بزرگ‌ترین آنتی‌ویروس‌های دنیا را دارد. پلتفرم‌های ملی خود را دارد.
وی ادامه داد: حرف من این نیست که از پلتفرم‌های خارجی استفاده نشود، اما کشورهایی که در مقابله با حملات سایبری موفق هستند، پلتفرم‌های داخلی با زیرساخت‌های داخلی قوی دارند. هر زمان هم که بخواهند، دسترسی پلتفرم‌های داخلی را محدود می‌کنند اما ما نه زیرساخت قوی داخلی داریم و نه پلتفرم‌های داخلی مناسب. بسیاری از نخبگان کشور نرم‌افزارهای بسیار خوبی طراحی کردند اما نرم‌افزارها مورد سواستفاده‌هایی قرار گرفتند و به دلیل مداخلات دولت، مردم از آن‌ها استفاده نمی‌کنند.
ترکی گفت: بسیاری گفتند اینترانت رایگان داخلی اما از آن استقبال نشد. در داخل بدنه دولت حتی وزرا نیز نیز از توییتر استفاده می‌کنند.
او در پاسخ به این پرسش که توییتر شبکه اجتماعی سیاسی است که جایگزینی برای آن وجود ندارد، اینستاگرام نیز تقریبا هیچ جایگزینی ندارد و چرا باید بخواهیم برایش جایگزینی پیدا کنیم، پاسخ داد: باید یک شبکه اجتماعی داخلی در حد عالی داشته باشیم که نداریم. البته نه به عنوان جایگزینی برای شبکه‌های اجتماعی بین المللی معروف، بلکه زیرساخت‌های داخلی بسیاری نیز باید داشته باشیم.

کمبود نیروی ماهر

ترکی در رابطه با مشکلات سازمان‌های دولتی در استخدام و بکارگیری کارشناسان امنیت سایبری گفت: در زمان شیوع کرونا بسیاری از همکاران من از ایران مهاجرت کردند. افرادی که بسیار با تجربه بوده و تخصص بسیار خوبی داشتند. لذا ما در صنف فناوری اطلاعات و امنیت سایبری با کمبود نیروی جدی مواجه هستیم. از سویی دیگر، استخدام در سازمان‌های دولتی محدودیت‌هایی ایجاد می‌کند، کارمندان نمی‌توانند در جای دیگری استخدام شوند، اگر شرکت‌های دولتی متقاضی، امنیتی باشند، مشکلاتی را برای مهاجرت کارمندان از کشور ایجاد کرده و در رزومه آن‌ها امتیاز منفی محسوب می‌شود.
او در رابطه با عدم استخدام یک کارشناس برای انجام کارهای تخصصی امنیت سایبری در شرکت‌ها و محول کردن وظیفه امینت سایبری به کارشناسان فناوری اطلاعات، گفت: فناوری اطلاعات معمولا در زمینه سایبری به رعایت موضوعات عام و کلی می‌پردازد، مواردی مانند آنتی‌ویروس، بک‌آپ‌های پیوسته، به روزرسانی‌های آنتی‌ویروس‌ها و ویندوزها، در حالیکه وظایف یک کارشناس امنیت سایبری فراتر از این موارد است.

عدم درک لزوم استفاده از کارشناسان امنیت سایبری

این مدیر فناوری اطلاعات افزود: در ایران نیاز مبرم به استفاده از کارشناس امنیت سایبری درک نشده است. یکی از کارهای امنیت سایبری، مانیتورینگ پیوسته و دائمی ‌است تا اگر احساس خطر کرد و دریافت قرار است حملات سایبری رخ دهد، پیش از وقوع حملات اقدام کند. لذا کارشناس امنیت سایبری باید صرفا فعالیت‌های حوزه امنیت را به طور تخصصی انجام دهد و نباید درگیر فعالیت‌های دیگر شود. اما کارشناس فناوری اطلاعات وظایف بسیار زیادی دارد و معمولا در ایران، امنیت سایبری نیز یکی از وظایفش است.
ترکی گفت: امنیت سایبری هم فایروال‌های نرم افزاری و هم فایروال‌های سخت‌افزاری را در بر می‌گیرد و باید ماینتورینگ دائمی‌ روی آن‌ها صورت بگیرد تا مشکلی پیش نیاید، اما در ایران، اهمیت این امر درک نمی‌شود.
او در پاسخ به این پرسش که چرا در ایران از هکرهای کلاه سفید استفاده نمی‌شود و در بسیاری از شرکت‌های فناوری دنیا از آن‌ها استفاده می‌شود، بیان کرد: در شرکت‌های فناوری اطلاعات، تکنولوژی و استارتاپ‌های بین‌المللی دنیا از حضور هکرهای کلاه سفید استقبال بسیاری می‌شود. به طور کلی این افراد بسیار باهوش بوده و علاقه بسیاری به امنیت سایبری و تکنولوژی دارند. معمولا پیش از اینکه یک محصول تکنولوژی یا نرم‌افزاری لانچ شود، از هکرهای کلاه سفید دعوت به همکاری می‌شود. اما در ایران اینگونه نیست و حتی نسبت به هکرهای کلاه سفید موضع گیری شده و گاه با آن‌ها برخورد می‌شود.

قحطی نیروی انسانی

در همین رابطه عادل طالبی دبیر انجمن صنفی کسب و کارهای اینترنتی بر این باور است که با قحطی نیروی انسانی نخبه در اثر مهاجرت مواجه شده ایم. آن هم نه فقط در زمینه امنیت سایبری بلکه در تمامی‌حوزه‌های فناوری اطلاعات.
وی در گفت و گو با «عصر ارتباط» اظهار کرد: در حال حاضر با مسائل حادی در رابطه با نیروی انسانی مواجه‌ایم. نه تنها در زمینه امنیت سایبری، در رابطه با توسعه، مهندسی نرم افزار، برنامه نویسی، فناوری اطلاعات و دیگر مشکلات نیز با کمبود نیرو مواجه‌ایم.
وی افزود: در حوزه کارشناسی فناوری اطلاعات با کمبود نیرو مواجه نیستیم بلکه با قحطی نیرو مواجه‌ایم. در دوره‌ای به صورت هدفمند در حوزه فناوری اطلاعات سرمایه‌گذاری‌هایی انجام شد. در دوره روحانی نیز در برخی حوزه‌ها، مثلا در معاونت علمی ‌سرمایه‌گذاری و هدفگذاری شد.
البته عمدتا روی استارتاپ‌ها و نه زیرساخت‌های فناوری اطلاعات. اما در هیچ یک از این دوره‌ها در رابطه با منابع نیروی انسانی، برنامه‌ریزی صورت نگرفته است. تنها زمانی که روی تربیت نیروی انسانی سرمایه‌گذاری و هدفگذاری شده است، به طور مقطعی و سال‌ها قبل ‌بوده است.
طالبی گفت: بخش عمده ای از نخبگان و افراد متخصص نه به خاطر برنامه‌های دولتی بلکه به خاطر آموزش‌های شخصی، موسسات خصوصی و علاقمندی خود تربیت می‌شوند. زمانی که نیروی انسانی ماهر و زبده‌ای تربیت می‌شود، گزینه‌های بسیار بهتری برای کارکردن دارند. کارشناسان فناوری اطلاعات هم به صورت دورکاری و هم حضوری، پیشنهادهای کاری بسیاری در خارج از کشور دارند.
او افزود: تخصص‌های مربوط به فناوری اطلاعات در دنیا متقاضیان بسیاری دارد.
طبیعی است که در این شرایط مملکت، کارشناسان فناوری اطلاعات در حوزه‌های مختلف از جمله امنیت سایبری از کشور مهاجرت می‌کنند. بیشتر متخصصان فناوری اطلاعات زبان خارجی را به خوبی می‌دانند. همین امر مهاجرت آنها را آسان می‌کند.
دبیر انجمن کسب و کارهای اینترنتی گفت: در ایران به خاطر شرایط اقتصادی، تحریم‌ها و تصمیمات نادرست، آینده نامعلوم است. به همین دلیل برخی ناامید شده‌اند و زمانی که فرصتی برای مهاجرت دارند، از آن استفاده می‌کنند. زمانی که وزیر کار می‌گوید با یک میلیون تومان شغل ایجاد می‌کند، مشخص است که کارشناسان از کشور مهاجرت می‌کنند. این بحث ممکن است برای قشر خاصی مفید باشد اما متخصصان و نخبگان چنین گفته‌هایی را نمی‌توانند بپذیرند. در کنار آن ناامیدی و تقاضای بالای کاری در خارج از کشور نیز وجود دارد.
او افزود: این عوامل همگی دست به دست هم داده‌اند و نخبگان را تشویق و ترغیب کرده‌اند که از کشور مهاجرت کنند. به همین روی اکنون با قحطی نیروی انسانی مواجه شده‌ایم.
طالبی در رابطه با راهکار تامین و پرورش نیروی انسانی در حوزه امنیت سایبری و فناوری اطلاعات بیان کرد: در حال حاضر کاری نمی‌توان کرد. تربیت نیروی انسانی در زمینه امنیت سایبری و برنامه نویسی، یک پروسه بلند مدت است و حداقل 2 سال زمان نیاز دارد. باید برنامه ریزی 5 ساله و سرمایه گذاری کرد. باید مشارکت بخش خصوصی را جلب کرده و استعدادها را جذب کرد.
او با اشاره به سیاست‌های اشتباه آموزش و پرورش کشور گفت: اشتباه بزرگ و مصیبت ما این است که آموزش و پرورش ما بخش بزرگی از دانش آموزان را به رشته تجربی هدایت می‌کند. در حالی که بیشتر این دانش آموزان مناسب رشته ریاضی و فیزیک هستند اما دانش آموزان به خاطر عنوان دکتر رشته تجربی را انتخاب می‌کنند. تربیت و آموزش مهندسی IT نیاز به دانش ریاضی دارد. باید قبل از ورود به دانشگاه، روی دانش و تربیت دانش آموزان سرمایه گذاری کرد. اگر امروز برنامه ریزی کنیم، 6 سال آینده خروجی دانشگاهی خواهیم داشت و 10 سال دیگر نیازهای بازار فناوری اطلاعاتمان تکمیل می‌شود.

کلام پایانی
مخلص کلام اینکه کمبود نیروهای انسانی ماهر، مهاجرت نیروهای ماهر فعلی و افزایش روزافزون حملات سایبری به نهادهای دولتی، کشور را در شرایط نابسامانی قرار داده است. با این‌همه همچنان شاهد آن هستیم که مسوولان نه در زمینه تربیت نیروی انسانی ماهر و نه در ارتقای امنیت سایبری کشور، اقدامات کلان، شفاف، زیربنایی و فوری در دستور کار ندارند.


نوشته های مرتبط

اخبار روز