وقتی اقتصاد روزمره هدف قرار می‌گیرد؛ از قلعه‌های شنی تا سپر دیجیتال برای مقابله با حملات سایبری

به گزارش گروه اقتصاد خبرگزاری آنا؛ بهبود بشیری، کارشناس اقتصاد- سه‌شنبه‌ای معمولی بود. خیابان‌ها مثل همیشه شلوغ، مردم در حال رفت‌وآمد و زندگی در جریان. اما ناگهان، چیزی از کار افتاد. ابتدا یک پمپ بنزین، سپس دومی، و در عرض چند ساعت، یک اختلال سراسری. صف‌های طولانی مقابل جایگاه‌های سوخت شکل گرفت، رانندگان کلافه و سردرگم بودند و کسی به درستی نمی‌دانست چه اتفاقی افتاده است. آیا مشکل فنی بود؟ آیا سوخت تمام شده بود؟ پاسخ، بسیار نگران‌کننده‌تر بود؛ این یک حمله بود. یک حمله سایبری.

برای میلیون‌ها ایرانی، آن روز اولین تجربه ملموس از یک جنگ جدید بود. جنگی که در آن نه از تانک و موشک، بلکه از کد و الگوریتم استفاده می‌شود. جنگی که هدفش نه تصرف خاک، بلکه فلج کردن زندگی روزمره، از کار انداختن اقتصاد و پاشیدن بذر بی‌اعتمادی در جامعه است. مهاجمان با فشار یک دکمه، شریان حیاتی حمل‌ونقل کشور را هدف گرفتند و به همه ما نشان دادند که در عصر دیجیتال، چقدر آسیب‌پذیر هستیم.

این فقط یک نمونه بود. چندی قبل، کوره‌های ذوب در بزرگترین کارخانه‌های فولاد کشور، قلب تپنده صنعت ایران، به شکلی مرموز خاموش شدند. همزمان، حساب‌های بانکی مردم در برخی از بزرگترین بانک‌ها از دسترس خارج شد و یک صرافی بزرگ رمزارز، شاهد به سرقت رفتن میلیون‌ها دلار دارایی کاربرانش بود. اینها حوادثی پراکنده و بی‌ارتباط با هم نیستند. اینها شلیک‌های هماهنگ در یک نبرد تمام‌عیار و ترکیبی علیه اقتصاد ایران هستند. دشمن، با هوشمندی، نقاط اتصال شکننده میان فناوری، صنعت و جامعه ما را شناسایی کرده و دقیقاً به همان‌جا ضربه می‌زند.

اینجاست که سوال بزرگ مطرح می‌شود: سپر دفاعی ما کجاست؟ چرا قلعه‌های دیجیتالی که برای حفاظت از زیرساخت‌هایمان ساخته‌ایم، این‌قدر راحت فرو می‌ریزند؟

تشخیص بیماری؛ چرا دفاع سنتی دیگر جواب نمی‌دهد؟

برای سال‌ها، تفکر ما در مورد امنیت سایبری شبیه ساختن یک قلعه محکم با دیوار‌های بلند و یک خندق عمیق در اطراف آن بود. ما تمام تلاشمان را می‌کردیم تا دشمن را بیرون نگه داریم. اما این روش، در دنیای امروز منسوخ شده است. چرا؟

۱. دشمن از قبل داخل است: مهاجمان دیگر پشت دروازه‌ها منتظر نمی‌مانند. آنها از طریق یک ایمیل فیشینگ ساده به یک کارمند، یک نرم‌افزار به‌روزنشده یا حتی یک پیمانکار شخص ثالث، به راحتی وارد شبکه می‌شوند. حمله به صنایع فولاد احتمالاً از طریق یک نرم‌افزار صنعتی آسیب‌پذیر که در بسیاری از کارخانه‌ها استفاده می‌شد، صورت گرفته است. این یعنی دشمن دیگر نیازی به شکستن دیوار ندارد؛ او کلید دروازه را در دست دارد.

۲. شبکه‌ها دیگر جزیره نیستند: ما با این تصور غلط که سیستم‌های حیاتی ما (مثل شبکه برق یا آب) کاملاً از اینترنت جدا و "آفلاین" هستند، خودمان را گول زده‌ایم. حمله به سامانه سوخت ثابت کرد که همیشه یک راه اتصال پیش‌بینی‌نشده وجود دارد. در دنیای امروز، مرز بین شبکه‌های اداری (IT) که با آنها ایمیل چک می‌کنیم، و شبکه‌های عملیاتی (OT) که توربین‌های یک نیروگاه را کنترل می‌کنند، به شدت کم‌رنگ شده است. مهاجمان از همین شکاف استفاده می‌کنند: از شبکه اداری که امنیت کمتری دارد، به شبکه صنعتی که فوق‌العاده حساس است، نفوذ می‌کنند و فاجعه می‌آفرینند.

۳. رزمایش‌های نمایشی، امنیت کاذب می‌آورند: ما به برگزاری رزمایش‌های پدافند غیرعامل عادت کرده‌ایم. سناریو‌هایی از پیش تعیین‌شده که در آن همه می‌دانند قرار است چه اتفاقی بیفتد و چگونه باید واکنش نشان دهند. این رزمایش‌ها، بیش از آنکه توانایی ما را بسنجند، شبیه یک تئاتر از پیش تمرین‌شده هستند و یک حس امنیت کاذب و خطرناک ایجاد می‌کنند. مهاجم واقعی، طبق سناریوی ما عمل نمی‌کند.

حقیقت تلخ این است که قلعه‌های ما، قلعه‌هایی شنی در برابر یک طوفان دیجیتال هستند. زمان آن رسیده که پارادایم و طرز فکرمان را به طور کامل تغییر دهیم. ما باید این واقعیت را بپذیریم که نفوذ، اتفاق خواهد افتاد. سوال این نیست که “آیا” به ما حمله می‌شود یا نه؛ سوال این است که “چه زمانی” حمله می‌شود و ما چقدر برای آن روز آماده‌ایم. استراتژی جدید نباید بر “جلوگیری از نفوذ” متمرکز باشد، بلکه باید بر “تاب‌آوری و بقا با فرض وقوع نفوذ” استوار گردد.

این گزارش، یک مدل اجرایی ساده و عملی برای ساختن این “سپر دیجیتال” جدید پیشنهاد می‌دهد. مدلی که بر دو پایه اصلی استوار است: اول، یاد بگیریم چگونه بعد از زمین خوردن، سریع بلند شویم و دوم، ارتشی از بهترین مغز‌های خودمان را برای پیدا کردن نقاط ضعف، پیش از آنکه دشمن پیدایشان کند، به کار بگیریم.

گام اول: آمادگی برای روز مبادا (طرح تداوم کسب‌وکار)

تصور کنید در یک ساختمان بلند کار می‌کنید. آیا مدیر ساختمان فقط به محکم بودن در‌ها و پنجره‌ها برای جلوگیری از ورود دزد اکتفا می‌کند؟ یا اینکه برای روزی که ممکن است آتش‌سوزی رخ دهد هم برنامه‌ریزی می‌کند؟ قطعاً دومی. مانور‌های آتش‌نشانی، نصب کپسول‌های اطفاء حریق و تعیین مسیر‌های خروج اضطراری، همه برای آمادگی در برابر حادثه است.

در دنیای کسب‌وکار دیجیتال، این آمادگی “طرح تداوم کسب‌وکار” (BCP) و “طرح بازیابی از فاجعه” (DRP) نام دارد. این دو طرح، نقشه راه شما برای زنده ماندن در یک بحران هستند.

طرح تداوم کسب‌وکار (BCP): این طرح به سوال استراتژیک “چگونه کسب‌وکار را سرپا نگه داریم؟ ” پاسخ می‌دهد. ۶ اگر اپلیکیشن بانک شما به خاطر حمله از کار افتاد، BCP مشخص می‌کند که چگونه مشتریان می‌توانند کار‌های ضروری خود را از طریق تلفن یا شعبه انجام دهند. این طرح فقط مربوط به تکنولوژی نیست؛ مربوط به کل فرآیند‌های کسب‌وکار است.

طرح بازیابی از فاجعه (DRP): این طرح فنی‌تر است و به سوال “چگونه سیستم‌های کامپیوتری را برگردانیم؟ ” می‌پردازد. آیا از اطلاعات مشتریان نسخه پشتیبان (Backup) داریم؟ آیا این نسخه‌های پشتیبان در یک مکان امن و جداگانه نگهداری می‌شوند؟ چقدر طول می‌کشد تا سرور‌ها دوباره آنلاین شوند؟

داشتن این طرح‌ها روی کاغذ کافی نیست. درست مثل مانور آتش‌نشانی، این طرح‌ها باید به طور مداوم و به شکلی واقع‌گرایانه آزمایش شوند. یک مانور واقعی این نیست که از قبل به همه خبر بدهیم و یک سناریوی ساده را تمرین کنیم. یک مانور واقعی یعنی ناگهان شبیه‌سازی کنیم که یکی از سرور‌های اصلی از کار افتاده و ببینیم آیا تیم فنی واقعاً می‌تواند در زمان تعیین‌شده، سیستم جایگزین را فعال کند یا نه.

شرکت‌هایی که این طرح‌ها را جدی می‌گیرند، حتی پس از یک حمله بزرگ، می‌توانند به سرعت به کار خود ادامه دهند و اعتماد مشتریانشان را از دست ندهند. در مقابل، سازمانی که طرح مدونی ندارد، ممکن است برای هفته‌ها فلج شود، مشتریانش را از دست بدهد و خسارت‌های جبران‌ناپذیری ببیند، همانطور که در اختلال طولانی‌مدت برخی بانک‌ها پس از حملات اخیر شاهد بودیم.

این گام، شالوده و فونداسیون سپر دیجیتال ماست. بدون این آمادگی اولیه، صحبت از روش‌های پیشرفته‌تر بی‌معناست.

گام دوم: از رزمایش نمایشی تا شکار واقعی (انقلاب باگ‌بانتی)

حالا به بخش هیجان‌انگیز ماجرا می‌رسیم. گفتیم که رزمایش‌های سنتی و از پیش تعیین‌شده، کارایی لازم را ندارند. راهکار جایگزین چیست؟ یک تغییر نگرش ۱۸۰ درجه‌ای: برگزاری یک شکار بزرگ و دائمی برای پیدا کردن “باگ”ها (آسیب‌پذیری‌های امنیتی). این رویکرد در دنیا با نام “باگ‌بانتی” (Bug Bounty) شناخته می‌شود.

ایده به طرز شگفت‌انگیزی ساده است: به جای اینکه یک تیم کوچک و محدود، آن هم سالی یک بار، به دنبال حفره‌های امنیتی بگردد، از یک ارتش جهانی متشکل از هزاران هکر کلاه سفید و متخصص امنیت دعوت می‌کنیم تا به طور ۲۴ ساعته سیستم‌های ما را زیر و رو کنند. در ازای هر آسیب‌پذیری معتبری که پیدا و گزارش کنند، به آنها پاداش مالی می‌دهیم.

چرا این روش یک انقلاب است؟

- در رزمایش سنتی، شما چه ضعفی پیدا کنید و چه نکنید، هزینه هنگفتی را پرداخت کرده‌اید. در باگ‌بانتی، شما فقط به ازای نتیجه واقعی پول می‌دهید (Pay-per-bug). این یعنی یک سرمایه‌گذاری هوشمند و بسیار کارآمد.بطوری که تیم امنیتی داخلی شما یا شرکتی که برای تست نفوذ استخدام می‌کنید، هرچقدر هم که ماهر باشد، دیدگاه و تخصص محدودی دارد. اما در یک برنامه باگ‌بانتی، هزاران چشم با هزاران تخصص مختلف (از امنیت شبکه و وب گرفته تا هک سخت‌افزار) به سیستم شما نگاه می‌کنند. این تنوع، شانس پیدا کردن آسیب‌پذیری‌های پیچیده و غیرمنتظره را به شدت بالا می‌برد.

از سوی دیگردنیای تهدیدات هرگز نمی‌خوابد. یک آسیب‌پذیری جدید ممکن است همین امشب کشف شود. باگ‌بانتی یک فرآیند مستمر است که به شما اجازه می‌دهد همیشه یک قدم از مهاجمان جلوتر باشید.شاید فکر کنید این ایده زیادی جسورانه است. چطور می‌توانیم به هکر‌ها اعتماد کنیم؟  حقیقت این است که بزرگترین و حساس‌ترین سازمان‌های جهان سال‌هاست که این کار را انجام می‌دهند و نتایج شگفت‌انگیزی گرفته‌اند.

همچنین شرکت‌هایی مانند گوگل، اپل و مایکروسافت سالانه میلیون‌ها دلار جایزه به شکارچیان باگ پرداخت می‌کنند. گوگل در سال ۲۰۲۴ به تنهایی ۱۲ میلیون دلار پاداش پرداخت کرده است. آنها فهمیده‌اند که این بهترین راه برای امن نگه داشتن محصولاتشان است.شاید باورش سخت باشد، اما پنتاگون برنامه‌ای به نام پنتاگون را هک کن راه‌اندازی کرد و از هکر‌های کلاه سفید دعوت کرد تا به سیستم‌هایش نفوذ کنند. نتیجه؟ کشف بیش از ۲۱۰۰ آسیب‌پذیری که تیم‌های داخلی هرگز پیدا نکرده بودند. این نشان می‌دهد که این مدل حتی برای امنیتی‌ترین نهاد‌های جهان نیز کار می‌کند.

زیرساخت‌های حیاتی رویکرد دیگر محدود به وب‌سایت‌ها و نرم‌افزار‌ها نیست. شرکت‌های فعال در حوزه امنیت صنعتی، از برنامه‌های مشابه باگ‌بانتی برای تست امنیت سیستم‌های کنترل صنعتی (ICS) که در نیروگاه‌ها، پالایشگاه‌ها و کارخانه‌ها استفاده می‌شوند، بهره می‌برند. این دقیقاً همان چیزی است که زیرساخت‌های ما به آن نیاز دارند.خوشبختانه، این حرکت در ایران نیز آغاز شده است. پلتفرم‌های داخلی مانند “راورو” در حال اتصال کسب‌وکار‌های ایرانی به جامعه هکر‌های کلاه سفید هستند و نتایج موفقی در همکاری با شرکت‌هایی مانند فلایتیو داشته‌اند. رویداد هک زنده‌ای که اخیراً توسط “بلوبانک” برگزار شد و در آن ده‌ها هکر برای یافتن آسیب‌پذیری‌های این نئوبانک با یکدیگر رقابت کردند، نمونه درخشان دیگری از این تغییر پارادایم در داخل کشور است.

ناگفته نماند اتاق بازرگانی و بخش خصوصی می‌تواند نقش یک کاتالیزور را در این میان ایفا کند؛ با فرهنگ‌سازی، ایجاد چارچوب‌های قانونی برای حمایت از هکر‌های کلاه سفید و تشویق صنایع برای پیوستن به این جنبش.

گام سوم: تجهیز به سلاح‌های مدرن (فناوری‌های پیشرو)

برای پیروزی در این نبرد، علاوه بر تغییر استراتژی، به ابزار‌ها و سلاح‌های جدید هم نیاز داریم. دنیا منتظر ما نمی‌ماند و فناوری‌های دفاع سایبری با سرعت نور در حال پیشرفت هستند. دو فناوری کلیدی که باید در مرکز سپر دیجیتال ما قرار گیرند.

۱. معماری اعتماد صفر (Zero Trust) 

به همان مثال قلعه برگردیم. در مدل سنتی، وقتی کسی از دروازه اصلی رد می‌شد، دیگر تقریباً به تمام اتاق‌های قلعه دسترسی داشت. معماری اعتماد صفراین منطق را کاملاً برعکس می‌کند. در این مدل، ما فرض می‌کنیم که دشمن همیشه در داخل قلعه حضور دارد. بنابراین، برای ورود به هر اتاق، باید هویت خود را دوباره ثابت کنید. مهم نیست کی هستید، برای دسترسی به هر بخش از شبکه، باید مجوز لازم را داشته باشید و هویت شما به طور مداوم راستی‌آزمایی می‌شود.

این رویکرد، به طور مستقیم جلوی تکنیک اصلی مهاجمان یعنی حرکت جانبی را می‌گیرد. اگر آنها به یک سیستم نفوذ کنند، در همان‌جا زندانی می‌شوند و نمی‌توانند به سایر بخش‌های حیاتی شبکه سرک بکشند. شرکت‌های پیشرو جهانی مانند Xage Security با استفاده از همین معماری، از حساس‌ترین زیرساخت‌های جهان، از خطوط لوله نفت و گاز گرفته تا دارایی‌های نیروی فضایی آمریکا، محافظت می‌کنند.

۲. هوش مصنوعی (AI) در خدمت امنیت 

این نبرد، به طور فزاینده‌ای به یک نبرد الگوریتمی تبدیل شده است. مهاجمان از هوش مصنوعی برای ساخت بدافزار‌های هوشمند که می‌توانند خود را پنهان کنند و ایمیل‌های فیشینگ فوق‌العاده متقاعدکننده استفاده می‌کنند. برای مقابله با هوش مصنوعی دشمن، ما به هوش مصنوعی خودمان نیاز داریم. سیستم‌های دفاعی مبتنی بر هوش مصنوعی می‌توانند حجم عظیمی از داده‌های شبکه را در لحظه تحلیل کنند، الگو‌های مشکوک را که از چشم انسان پنهان می‌مانند شناسایی کرده و به طور خودکار به تهدیدات پاسخ دهند. چراکه یک مسابقه تسلیحاتی است و ما نباید از آن عقب بمانیم.

گام چهارم: حیاتی‌ترین رکن، سرمایه انسانی

بهترین استراتژی‌ها و پیشرفته‌ترین فناوری‌ها، بدون وجود انسان‌های متخصص برای استفاده از آنها، توده‌ای از فلز و کد بی‌فایده هستند. بزرگترین آسیب‌پذیری ما شاید فنی نباشد؛ بزرگترین آسیب‌پذیری ما، بحران سرمایه انسانی است.

ما در یک جنگ بر سر استعدادها قرار داریم و متأسفانه در حال شکست خوردن هستیم. بهترین متخصصان امنیت سایبری ما، جوانان باهوش و نخبه‌ای که باید خط مقدم دفاع دیجیتال ما باشند، در حال ترک کشور هستند. چرا؟ پاسخ ساده است: نبودن فرصت، نظام‌های پرداخت ناکارآمد و بوروکراسی خسته‌کننده.

چگونه برای پیروزی در این جنگ اقدام کنیم؟

جبران خدمات واقعی: باید بپذیریم که یک متخصص امنیت سایبری، یک مهره حیاتی و گران‌قیمت است. نظام‌های پرداخت دستوری و سقف حقوق باید برای این مشاغل کلیدی برداشته شود و بسته‌های رقابتی واقعی به آنها پیشنهاد گردد.

بورسیه برای خدمت: می‌توانیم از مدل‌های موفق جهانی مانند بورسیه برای خدمت الگوبرداری کنیم. دولت و بخش خصوصی روی تحصیلات تکمیلی و دوره‌های تخصصی نخبگان سرمایه‌گذاری می‌کنند و در مقابل، آنها متعهد می‌شوند چند سال از تخصص خود را برای حفاظت از زیرساخت‌های حیاتی کشور به کار گیرند. این یک معامله برد-برد است.

آموزش ۴.۰: نظام آموزشی ما باید از مدرک‌گرایی به سمت مهارت‌محوری حرکت کند. ما به بوت‌کمپ‌های فشرده و عملی نیاز داریم که در عرض چند ماه، جوانان علاقه‌مند را به تحلیلگران امنیتی و شکارچیان تهدید تبدیل کنند؛ و در نهایت، قدرتمندترین ابزار ما برای پیروزی در جنگ استعدادها، همان اکوسیستم باگ‌بانتی است. تصور کنید به یک جوان نخبه و عاشق هک، به جای اینکه برچسب مجرم بزنیم یا او را نادیده بگیریم تا استعدادش را به خارج از کشور ببرد، یک پیشنهاد شگفت‌انگیز بدهیم، بیا به صورت قانونی بزرگترین شرکت‌های ایران را هک کن. به ازای هر ضعفی که پیدا کنید، پاداش خوبی می‌گیرید و به قهرمان امنیت کشور خودت تبدیل می‌شوید. این برنامه، یک مسیر شغلی هیجان‌انگیز، قانونی و پردرآمد در داخل کشور ایجاد می‌کند. این برنامه، انرژی و هیجان جامعه هکر‌ها را در مسیری سازنده هدایت می‌کند. این برنامه، به طور مستقیم انگیزه مهاجرت را کاهش می‌دهد و به ما کمک می‌کند تا ارتش سایبری خودمان را بسازیم و حفظ کنیم.

تبدیل تهدید به فرصت

روزی که پمپ بنزین‌ها از کار افتادند، یک زنگ خطر جدی برای همه ما بود. این حملات نشان داد که در دنیای جدید، امنیت ملی و قدرت اقتصادی، دو روی یک سکه هستند و این سکه، دیجیتال است.ما نمی‌توانیم با ابزار‌های دیروز، در جنگ‌های فردا پیروز شویم. مدل اجرایی پیشنهاد شده در این یادداشت، یک نقشه راه برای ساختن “سپر دیجیتال ایران” است. سپری که تنها یک ابزار دفاعی نیست، بلکه یک موتور توسعه اقتصادی است.

با جدی گرفتن تداوم کسب‌وکار، ما به دنیا و به خودمان ثابت می‌کنیم که در برابر ضربات، شکننده نیستیم. با ابراز کردن انقلاب باگ‌بانتی، ما امنیت را به یک فرآیند هوشمند، مستمر و اقتصادی تبدیل می‌کنیم. با سرمایه‌گذاری روی فناوری‌های پیشرو، خود را به جدیدترین سلاح‌ها مجهز می‌کنیم؛ و از همه مهم‌تر، با سرمایه‌گذاری روی سرمایه‌های انسانی و ایجاد فرصت برای نخبگانمان، ارتشی وفادار و ماهر برای حفاظت از آینده دیجیتال خود می‌سازیم.

این یک فرصت تاریخی است. فرصتی برای تبدیل یک تهدید وجودی به یک مزیت راهبردی. فرصتی برای ایجاد یک صنعت امنیت سایبری بومی و در کلاس جهانی که برای جوانان ما شغل و برای کشور ما، امنیت و شکوفایی به ارمغان بیاورد. اتاق بازرگانی، به عنوان قلب تپنده بخش خصوصی، می‌تواند و باید رهبری این تحول بزرگ را بر عهده بگیرد و با ایجاد یک همکاری قدرتمند با دولت، این چشم‌انداز را به واقعیت تبدیل کند. زمان ساختن قلعه‌های شنی به پایان رسیده است. اکنون زمان ساختن یک سپر دیجیتال انعطاف‌پذیر، هوشمند و پایدار برای ایران است.