صبا رضایی – کارشناسان امنیت سایبری بر این باورند که نبود اینترنت ملی با زیرساختهای مناسب و استفاده از زیرساختهای خارجی، راه را چنان برای هکرها و حملات سایبری باز میکند که گویی به آنها خوشامد میگویند.
بر اساس برخی اخبار، از سویی دیگر سازمانهای دولتی و نهادها که به تازگی و بعد از بارها حملات سایبری به فکر تقویت زیرساختها و تامین نیروی انسانی متخصص در این بخش افتادهاند، با کمبود و عدم استقبال متخصصان این حوزه مواجه شدهاند.
مشکل اینجاست که از یک سو کارشناسان فناوری اطلاعات از توجیه نبودن مدیران بخش خصوصی و محول کردن وظایف کارشناس امنیت سایبری به مدیران IT گلایه دارند و از سویی دیگر بر این باورند که وجود برخی ضعفها در زیرساختهای کشور موجب افزایش حملات سایبری شده است.
این در حالیست که به عقیده بسیاری از کارشناسان، اگر اینترانت ملی تکمیل شود و در کنار اینترنت بین المللی، بکار گرفته شود، حملات سایبری شدیدا کاهش مییابد. اما مشکلات حوزه سایبری کشور تنها به مسایل فوق محدود نمیشود. چراکه بسیاری از فعالان صنعت فناوری اطلاعات کشور، از مهاجرت گسترده نیروهای ماهر نه فقط در حوزه امنیت سایبری که در تمامی حوزههای آی تی خبر میدهند و معتقدند در زمینه منابع انسانی، ما به نوعی دچار قحطی شدهایم.
به اعتقاد این کارشناسان، دولتها نیز همسو با تحولات کشور به فکر پرورش و تربیت نیروی انسانی ماهر به میزان کافی نبودهاند و از این مهم غلفت کردهاند.
لذا مجموع این عوامل یعنی کمبود نیروی انسانی ماهر، مهاجرت نیروهای معدود و متخصص، نبود استراتژی کلان، نامشخص بودن تقسیم دقیق مسوولیتها در این حوزهها و در نهایت افزایش حملات سایبری به کشور، منجر شده تا اکنون با مشکلات ملموس و زیادی مواجه شویم.
موقعیتهای استخدامی بدون متقاضی در حوزه امنیت
این روزها اگر پای درد دل مدیران فناوری اطلاعات سازمانهای دولتی بنشینید اغلب آنها از این موضوع گلایه دارند که سازمان آنها توان جذب کارشناس شبکه و امنیت با تخصص مورد انتظار آنها را ندارد!
یک علت این مشکل اینجاست که طبق مقررات این نهادها، پرداخت حقوق تابع مقررات پرداخت هماهنگ است و مطابق با این مقررات، حقوق پرداختی به يک کارشناس شبکه و امنیت حدود 8 میلیون تومان است. این در حالیست که همین کارشناس اگر جذب بخش خصوصی شود حقوقی 2 تا 3 برابر دریافت خواهد کرد.
این اختلاف فاحش باعث شده برخی پستهای شبکه و امنیت در سازمانهای دولتی بدون متقاضی استخدام باقی بماند!️
پرداخت حقوق کم به کارشناسان متخصص امنیت سایبری در برخی سازمانهای دولتی اما چند عارضه جدی بدنبال دارد:
1- سازمانها در جذب کارشناسان جدید و نخبه ناکام میمانند و به مرور سطح فنی آنها بخصوص در حوزه امنیت کاهش مییابد و سازمان بیش از پیش آسیب پذیرتر میشود.
2- کارشناسان فعلی شاغل در دستگاههای دولتی هم برای تامین حقوق مورد انتظار خود ناچار به ورود به مشاغل پاره وقت دوم و سوم میشوند. به این ترتیب بخش زیادی از توان و انرژی خود را خارج از سازمان بکار میگیرند. این در حالیست که گاه متاسفانه برخی هم به کسب درآمد از روشهای ناسالم تشویق میشوند.
3- در نتیجه سطح بیانگیزگی در سازمان به شدت افزایش مییابد تا جایی که نیروهای فعلی هم استعفا میدهند و بحران نیروهای متخصص در این نهادها تشدید میشود.
تکمیل اینترنت ملی
کارشناسان فناوری اطلاعات بر این باورند که بهترین راهکار برای مقابله با حملات سایبری آن است که اینترانت ملی یا همان شبکه ملی اطلاعات برای تامین مقاصد خاص باید تکمیل شود.
در همین رابطه خاطره ترکی، مدیر فناوری اطلاعات یک هلدینگ گردشگری در گفت و گو با عصر ارتباط میگوید: زمانی که بخش عمده فناوری و زیرساختهای پایه کشورمان را از خارج از کشور تامین میکنیم، حملات سایبری رخ میدهد و این امر مسیرها و دسترسیهایی ایجاد میکند تا حملات سایبری به راحتی ممکن شود.
او افزود: باید زیرساختهای خود را استانداردسازی کنیم. مثلا سرور شبکههای اجتماعی که استفاده میکنیم در خارج از کشور قرار دارد و این امر آسیبپذیریمان را در حوزه امنیت سایبری بیشتر میکند. باید حتما زیرساختهای اینترنت داخلی را استانداردسازی و تکمیل کنیم.
ترکی راهکار مقابله با حملات سایبری را ارتقای اینترانت ملی در کنار استفاده از اینترنت بینالمللی دانست و گفت: با اینکه افراد بسیاری با ارتقا و تکمیل زیرساختهای شبکه ملی اطلاعات مخالف هستند اما راهحل مهم برای کاهش خطرات و ریسک حملات سایبری، ارتقای همین مسیر است. اگر روزی به دلیل تحریمها یا هر دلیل دیگری دچار قطعی اینترنت شدیم، نباید زیرساختهای دولتی از کار افتاده و فعالیتهای اداری، تجاری و اقتصادی متوقف شود.
او افزود: البته ارتقای اینترانت ملی گاه این امکان و نگرانی را ایجاد میکند که در برخی موارد امکان فیلترینگ شبکههای اجتماعی و سایتهای خارجی راحتتر شود. زمانی بود که مسیر تمامی تراکنشهای بانکی از خارج از کشور عبور میکرد اما اکنون شاهد چنین وضعی در شبکه بانکی کشور نیستیم.
این مدیر فناوری اطلاعات در نمونهای دیگر در رابطه با نبود ایمیل داخلی میگوید: اگر روزی و به هر دلیل جیمیل قطع شود، تمام ارتباط ما با خارج از کشور به کلی قطع میشود در حالیکه برخی کشورها نظیر چین هم ایمیل داخلی دارند و هم شبکه اجتماعی داخلی.
نمایندگی شبکههای اجتماعی در داخل کشور
او در پاسخ به این پرسش که آیا بهتر نیست به جای راهاندازی یک شبکه اجتماعی داخلی و افزایش احتمال فیلترینگ شبکههای اجتماعی بینالمللی، از شبکههای اجتماعی مانند اینستاگرام درخواست کنیم که نمایندهای در داخل کشور داشته باشند، بیان کرد: اگر هم شبکههای اجتماعی بینالمللی نمایندهای در داخل کشور داشته باشند، باز هم خطراتی برای امنیت سایبری ایجاد خواهند کرد. به طور نمونه، هک کردن دوربینهای یک نهاد مربوط به یک شرکت زیرساختی خارجی بوده است.
ترکی گفت: تا زمانی که مستقل عمل نکنیم، مسیرهای دسترسی بسیار راحت و سادهای برای حملات سایبری خواهیم داشت. در حال حاضر اینترانت ملی ما زیرساختهای ناقصی داشته و ابزارهای لازم را ندارد، شبکه اجتماعی داخلی نداریم و این امر راه را برای هکرها باز میکند. او در پاسخ به این پرسش که بسیاری از کشورهای دنیا با شبکههای اجتماعی بینالمللی، مایکروسافت و ابزارها و زیرساختهای بینالمللی فعالیت میکنند و مشکلی ندارند، گفت: کشورهای اروپایی که از شبکههای اجتماعی بینالمللی استفاده میکنند و با مشکلی مواجه نمیشوند، و به عبارتی کشورهای اروپایی با یکدیگر هم پیمان هستند. به همین روی با حملات سایبری خطرناک کمتری مواجه شده یا در صورت وقوع حملات سایبری، راههای مقابله با آن را میدانند. به طور مثال به روسیه هم حملات سایبری بسیاری میشود اما این کشور بزرگترین آنتیویروسهای دنیا را دارد. پلتفرمهای ملی خود را دارد.
وی ادامه داد: حرف من این نیست که از پلتفرمهای خارجی استفاده نشود، اما کشورهایی که در مقابله با حملات سایبری موفق هستند، پلتفرمهای داخلی با زیرساختهای داخلی قوی دارند. هر زمان هم که بخواهند، دسترسی پلتفرمهای داخلی را محدود میکنند اما ما نه زیرساخت قوی داخلی داریم و نه پلتفرمهای داخلی مناسب. بسیاری از نخبگان کشور نرمافزارهای بسیار خوبی طراحی کردند اما نرمافزارها مورد سواستفادههایی قرار گرفتند و به دلیل مداخلات دولت، مردم از آنها استفاده نمیکنند.
ترکی گفت: بسیاری گفتند اینترانت رایگان داخلی اما از آن استقبال نشد. در داخل بدنه دولت حتی وزرا نیز نیز از توییتر استفاده میکنند.
او در پاسخ به این پرسش که توییتر شبکه اجتماعی سیاسی است که جایگزینی برای آن وجود ندارد، اینستاگرام نیز تقریبا هیچ جایگزینی ندارد و چرا باید بخواهیم برایش جایگزینی پیدا کنیم، پاسخ داد: باید یک شبکه اجتماعی داخلی در حد عالی داشته باشیم که نداریم. البته نه به عنوان جایگزینی برای شبکههای اجتماعی بین المللی معروف، بلکه زیرساختهای داخلی بسیاری نیز باید داشته باشیم.
کمبود نیروی ماهر
ترکی در رابطه با مشکلات سازمانهای دولتی در استخدام و بکارگیری کارشناسان امنیت سایبری گفت: در زمان شیوع کرونا بسیاری از همکاران من از ایران مهاجرت کردند. افرادی که بسیار با تجربه بوده و تخصص بسیار خوبی داشتند. لذا ما در صنف فناوری اطلاعات و امنیت سایبری با کمبود نیروی جدی مواجه هستیم. از سویی دیگر، استخدام در سازمانهای دولتی محدودیتهایی ایجاد میکند، کارمندان نمیتوانند در جای دیگری استخدام شوند، اگر شرکتهای دولتی متقاضی، امنیتی باشند، مشکلاتی را برای مهاجرت کارمندان از کشور ایجاد کرده و در رزومه آنها امتیاز منفی محسوب میشود.
او در رابطه با عدم استخدام یک کارشناس برای انجام کارهای تخصصی امنیت سایبری در شرکتها و محول کردن وظیفه امینت سایبری به کارشناسان فناوری اطلاعات، گفت: فناوری اطلاعات معمولا در زمینه سایبری به رعایت موضوعات عام و کلی میپردازد، مواردی مانند آنتیویروس، بکآپهای پیوسته، به روزرسانیهای آنتیویروسها و ویندوزها، در حالیکه وظایف یک کارشناس امنیت سایبری فراتر از این موارد است.
عدم درک لزوم استفاده از کارشناسان امنیت سایبری
این مدیر فناوری اطلاعات افزود: در ایران نیاز مبرم به استفاده از کارشناس امنیت سایبری درک نشده است. یکی از کارهای امنیت سایبری، مانیتورینگ پیوسته و دائمی است تا اگر احساس خطر کرد و دریافت قرار است حملات سایبری رخ دهد، پیش از وقوع حملات اقدام کند. لذا کارشناس امنیت سایبری باید صرفا فعالیتهای حوزه امنیت را به طور تخصصی انجام دهد و نباید درگیر فعالیتهای دیگر شود. اما کارشناس فناوری اطلاعات وظایف بسیار زیادی دارد و معمولا در ایران، امنیت سایبری نیز یکی از وظایفش است.
ترکی گفت: امنیت سایبری هم فایروالهای نرم افزاری و هم فایروالهای سختافزاری را در بر میگیرد و باید ماینتورینگ دائمی روی آنها صورت بگیرد تا مشکلی پیش نیاید، اما در ایران، اهمیت این امر درک نمیشود.
او در پاسخ به این پرسش که چرا در ایران از هکرهای کلاه سفید استفاده نمیشود و در بسیاری از شرکتهای فناوری دنیا از آنها استفاده میشود، بیان کرد: در شرکتهای فناوری اطلاعات، تکنولوژی و استارتاپهای بینالمللی دنیا از حضور هکرهای کلاه سفید استقبال بسیاری میشود. به طور کلی این افراد بسیار باهوش بوده و علاقه بسیاری به امنیت سایبری و تکنولوژی دارند. معمولا پیش از اینکه یک محصول تکنولوژی یا نرمافزاری لانچ شود، از هکرهای کلاه سفید دعوت به همکاری میشود. اما در ایران اینگونه نیست و حتی نسبت به هکرهای کلاه سفید موضع گیری شده و گاه با آنها برخورد میشود.
قحطی نیروی انسانی
در همین رابطه عادل طالبی دبیر انجمن صنفی کسب و کارهای اینترنتی بر این باور است که با قحطی نیروی انسانی نخبه در اثر مهاجرت مواجه شده ایم. آن هم نه فقط در زمینه امنیت سایبری بلکه در تمامیحوزههای فناوری اطلاعات.
وی در گفت و گو با «عصر ارتباط» اظهار کرد: در حال حاضر با مسائل حادی در رابطه با نیروی انسانی مواجهایم. نه تنها در زمینه امنیت سایبری، در رابطه با توسعه، مهندسی نرم افزار، برنامه نویسی، فناوری اطلاعات و دیگر مشکلات نیز با کمبود نیرو مواجهایم.
وی افزود: در حوزه کارشناسی فناوری اطلاعات با کمبود نیرو مواجه نیستیم بلکه با قحطی نیرو مواجهایم. در دورهای به صورت هدفمند در حوزه فناوری اطلاعات سرمایهگذاریهایی انجام شد. در دوره روحانی نیز در برخی حوزهها، مثلا در معاونت علمی سرمایهگذاری و هدفگذاری شد.
البته عمدتا روی استارتاپها و نه زیرساختهای فناوری اطلاعات. اما در هیچ یک از این دورهها در رابطه با منابع نیروی انسانی، برنامهریزی صورت نگرفته است. تنها زمانی که روی تربیت نیروی انسانی سرمایهگذاری و هدفگذاری شده است، به طور مقطعی و سالها قبل بوده است.
طالبی گفت: بخش عمده ای از نخبگان و افراد متخصص نه به خاطر برنامههای دولتی بلکه به خاطر آموزشهای شخصی، موسسات خصوصی و علاقمندی خود تربیت میشوند. زمانی که نیروی انسانی ماهر و زبدهای تربیت میشود، گزینههای بسیار بهتری برای کارکردن دارند. کارشناسان فناوری اطلاعات هم به صورت دورکاری و هم حضوری، پیشنهادهای کاری بسیاری در خارج از کشور دارند.
او افزود: تخصصهای مربوط به فناوری اطلاعات در دنیا متقاضیان بسیاری دارد.
طبیعی است که در این شرایط مملکت، کارشناسان فناوری اطلاعات در حوزههای مختلف از جمله امنیت سایبری از کشور مهاجرت میکنند. بیشتر متخصصان فناوری اطلاعات زبان خارجی را به خوبی میدانند. همین امر مهاجرت آنها را آسان میکند.
دبیر انجمن کسب و کارهای اینترنتی گفت: در ایران به خاطر شرایط اقتصادی، تحریمها و تصمیمات نادرست، آینده نامعلوم است. به همین دلیل برخی ناامید شدهاند و زمانی که فرصتی برای مهاجرت دارند، از آن استفاده میکنند. زمانی که وزیر کار میگوید با یک میلیون تومان شغل ایجاد میکند، مشخص است که کارشناسان از کشور مهاجرت میکنند. این بحث ممکن است برای قشر خاصی مفید باشد اما متخصصان و نخبگان چنین گفتههایی را نمیتوانند بپذیرند. در کنار آن ناامیدی و تقاضای بالای کاری در خارج از کشور نیز وجود دارد.
او افزود: این عوامل همگی دست به دست هم دادهاند و نخبگان را تشویق و ترغیب کردهاند که از کشور مهاجرت کنند. به همین روی اکنون با قحطی نیروی انسانی مواجه شدهایم.
طالبی در رابطه با راهکار تامین و پرورش نیروی انسانی در حوزه امنیت سایبری و فناوری اطلاعات بیان کرد: در حال حاضر کاری نمیتوان کرد. تربیت نیروی انسانی در زمینه امنیت سایبری و برنامه نویسی، یک پروسه بلند مدت است و حداقل 2 سال زمان نیاز دارد. باید برنامه ریزی 5 ساله و سرمایه گذاری کرد. باید مشارکت بخش خصوصی را جلب کرده و استعدادها را جذب کرد.
او با اشاره به سیاستهای اشتباه آموزش و پرورش کشور گفت: اشتباه بزرگ و مصیبت ما این است که آموزش و پرورش ما بخش بزرگی از دانش آموزان را به رشته تجربی هدایت میکند. در حالی که بیشتر این دانش آموزان مناسب رشته ریاضی و فیزیک هستند اما دانش آموزان به خاطر عنوان دکتر رشته تجربی را انتخاب میکنند. تربیت و آموزش مهندسی IT نیاز به دانش ریاضی دارد. باید قبل از ورود به دانشگاه، روی دانش و تربیت دانش آموزان سرمایه گذاری کرد. اگر امروز برنامه ریزی کنیم، 6 سال آینده خروجی دانشگاهی خواهیم داشت و 10 سال دیگر نیازهای بازار فناوری اطلاعاتمان تکمیل میشود.
کلام پایانی
مخلص کلام اینکه کمبود نیروهای انسانی ماهر، مهاجرت نیروهای ماهر فعلی و افزایش روزافزون حملات سایبری به نهادهای دولتی، کشور را در شرایط نابسامانی قرار داده است. با اینهمه همچنان شاهد آن هستیم که مسوولان نه در زمینه تربیت نیروی انسانی ماهر و نه در ارتقای امنیت سایبری کشور، اقدامات کلان، شفاف، زیربنایی و فوری در دستور کار ندارند.