امنیت اطلاعات در کسبوکارها یک محصول است
در رویداد ۶۷ سرمایهگذاری کارایا، پنلی با عنوان «امنیت داده در استارتاپها» برگزار شد که متخصصین در این پنل به بررسی نگاه سرمایهگذاران به مسئله امنیت اطلاعات پرداختند.
به گزارش ایران دکونومی، در این پنل، سهراب بهروزیان، مدیر ارشد زیرساخت و امنیت دیجیکالا، رویا دهبسته، مدیرعامل پلتفرم خدمات امنیتی باگدشت، مجتبی مددخانی، مدیر انفورماتیک شرکت فناوری اطلاعات هلو و صابر غفاری مقدم، کارشناس رسمی قوه قضاییه در رشته کامپیوتر، فناوری اطلاعات و ارتباطات و فضای مجازی حضور داشتند و مدیریت پنل بر عهده احمدرضا صادقی، مدیر اجرایی نیک ونچرز بود.
در ابتدای پنل، پس از اشاره به حملات سایبری اخیر و تکرار آن در استارتاپهای مختلف، این بحث پیش آمد که استارتاپها هدف خوبی برای هکرها هستند. در همین راستا، مددخانی توضیح داد: «وضعیت امنیت اطلاعات در ایران خوب نیست و استارتاپها هدف خوبی برای هکرها محسوب میشوند. متاسفانه سرمایهگذاران نگاه به زیرساخت و امنیت ندارند و هکرها قادرند حتی کسبوکار را داون کنند، با این حساب بحث امنیت یک هزینه نیست و باید در سرمایهگذاری لحاظ شود.»
غفاری مقدم ادامه داد: «تا زمانیکه نگاه به امنیت، محصول محور نباشد، این قضیه مشکل دارد. نگاه به محصول امنیت، نباید آخرین اولویت یک کسبوکار باشد. بسیاری از استارتاپها سر همین موضوع شکست خوردند. البته در ایران حملات سایبری بیشتر ابعاد سیاسی و اجتماعی دارد و به منظور شهرت و اعتبار و یا باجگیری اتفاق میافتد.»
بهروزیان در خصوص این مورد که هزینه برای امنیت، سرمایهگذاری است یا هزینه، توضیح داد: «باید همانطور که به بخشهای مختلف کسبوکار مثل بخش حقوقی، بازاریابی و… نگاه میکنیم، به امنیت نگاه کنیم. امنیت در ماژولی بررسی میشود که محصولات و خدمات کسبوکار به هیچوجه ارزان نیستند و باید به سمت راهکارهای متفاوتتری پیش برویم. امنیت باید جامع باشد و در لایههای مختلف در نظر گرفته شود.»
دهبسته اضافه کرد: «به کسب و کار باید دید سیستمی داشت. در دیدگاه سنتی این مسئله هزینه است، اما اگر رویکرد سیستمی باشد، امنیت باید بتواند به سوددهی کسبوکار کمک کند.»
غفاری مقدم در خصوص وضعیت حقوقی فضای سایبری تشریح کرد: «اولین قوانین امنیت سایبری در دنیا توسط امریکا وضع شد و سپس اروپا نیز در سال ۲۰۰۱ این قوانین را تصویب کرد. در ایران نیز در سال ۱۳۸۸، در بخش تعزیرات در ۵۵ ماده به آن پرداخته شده است. اما نکتهای که وجود دارد این است که این فضا در حال تغییر است و البته بسیاری از پیشنویسها نیز تصویب نشدهاند.»
مددخانی در خصوص خلا قانون در این رابطه اذعان داشت: «هنوز قانونی که کاربر بتواند از پلتفرمی به دلیل افشای اطلاعات خود شکایت و درخواست خسارت کند نداریم، اما کمپینهای مختلفی در این راستا راهاندازی شدهاند که برخی از شرکتها به این کمپینها پیوستند و تعهد دادند که برخی از اطلاعات را رمزنگاری کنند، چرا که باعث صدمات جبران ناپذیری میشود.»
دهبسته در خصوص راهکار این چالش تصریح کرد: «این یک طیف وسیع است و باید ببینیم که کسبو کار در کدام سر طیف قرار میگیرد. هر چه به سمت دادهها نزدیکتر شود، امنیت و قوانین آن نمود بیشتری پیدا میکند و البته راهحلها نیز بسته به شرایط شرکتها باید انتخاب شوند.»
بهروزیان در رابطه به این مسئله که آیا بحث امنیت باید توسط سرمایهگذاران در نظر گرفته شود، توضیح داد: «باید تکلیف را با خودمان روشن کنیم تا بتوانیم تصمیم بگیریم که امنیت را برونسپاری کنیم یا خیر و بعد در سرمایهگذاری و دودلیجنس هزینههایش را در نظر بگیریم. قصه فراتر از این است و باید اطلاعات دقیقی در این خصوص داشته باشیم، اگر این مسئله که امنیت چطور باید انجام شود را دقیق ندانیم، هر تصمیمی ممکن است خطرناک باشد.»