به گزارش نبض بازار،در شرایطی که ایران در رتبه‌بندی جهانی امنیت سایبری (NCSI) در جایگاه ۱۳۳ قرار دارد،رئیس انجمن بلاکچین در گفتگو با خبرنگار نبض بازارمعتقد است که مسئله اصلی نه نبود قانون است، نه فقدان استراتژی؛ بلکه کمبود شدید نیروی متخصص در حوزه امنیت سایبری، مهم‌ترین تهدید و چالش کشور محسوب می‌شود. کاوه مشتاق در ادامه از وضعیت امنیت سایبری کشور، خطراتی که در کمین اطلاعات کاربران است و راه‌حل‌هایی برای بهبود این وضعیت می‌گوید.

کمبود متخصص؛ اصلی‌ترین تهدید علیه امنیت سایبری ایران

او تأکید می‌کند که برخلاف تصور رایج، ایران در زمینه قانون‌گذاری امنیت سایبری عقب نیست. مقررات متعدد و نسبتاً کاملی تدوین شده، اما به‌دلیل فقدان نیروی انسانی متخصص، این قوانین اغلب اجرا نمی‌شوند. بسیاری از شرکت‌ها حتی یک کارشناس امنیت هم در اختیار ندارند، در حالی که وظایف سنگینی برای حفاظت از داده‌ها بر دوش آن‌ها گذاشته شده است.

مشتاق با اشاره به آمارهای جهانی، می‌گوید که در سطح بین‌المللی بین ۵ تا ۸ میلیون متخصص امنیت سایبری کمبود وجود دارد. در چنین فضایی، متخصصان ایرانی که از مهارت بالایی برخوردارند، با استقبال گرم کشورهای دیگر مواجه می‌شوند و طبیعتاً مسیر مهاجرت را در پیش می‌گیرند. به گفته او، هیچ آمار دقیقی از میزان خروج این نیروها از ایران وجود ندارد، اما در عمل، جذب متخصص برای شرکت‌ها به یکی از سخت‌ترین چالش‌ها تبدیل شده است. بسیاری از کارشناسانی که به استخدام شرکت‌ها درمی‌آیند، تنها یک یا دو سال در کشور می‌مانند و سپس مهاجرت می‌کنند.

او تأکید می‌کند که این کمبود متخصص، نه‌تنها اجرای قوانین را مختل کرده، بلکه عملاً ثبات امنیت سایبری در کشور را نیز با اختلال مواجه ساخته است.

اطلاعات مردم در دسترس‌تر از همیشه

مشتاق می گوید: متأسفانه اطلاعات شخصی کاربران، از جمله شماره تلفن، کد ملی، آدرس و حتی عکس کارت ملی، به‌سادگی در اختیار شرکت‌هایی قرار می‌گیرد که بعضاً کوچک‌اند و حتی یک متخصص امنیت هم ندارند. این داده‌ها در برخی موارد به‌راحتی نگهداری می‌شوند، بدون اینکه الزام قانونی یا ضرورت فنی واقعی برای آن وجود داشته باشد.در نتیجه، شاهد افزایش شدید کلاهبرداری‌هایی هستیم که بر اساس همین اطلاعات انجام می‌شود؛ تماس‌های جعلی با والدین در فضای شاد، پیامک‌های جعلی جوایز و تهدیدهای امنیتی تنها نمونه‌هایی از این بحران گسترده‌اند.

هزینه‌های امنیت، نخستین قربانی بحران‌های مالی در شرکت‌ها

کاوه مشتاق، رئیس انجمن بلاکچین، در ادامه تحلیل خود از وضعیت امنیت سایبری کشور، به نکته‌ای نگران‌کننده اشاره می‌کند: شرکت‌ها، به‌ویژه در شرایط اقتصادی نامساعد، نخستین جایی که هزینه‌هایشان را کاهش می‌دهند، حوزه امنیت است. به گفته او، هرگاه کسب‌وکاری با قطع درگاه‌های پرداخت یا کاهش درآمد روبه‌رو می‌شود، احتمال دارد از بودجه امنیت خود بزند؛ اقدامی که می‌تواند تهدیدی برای کل اکوسیستم اطلاعاتی کشور باشد.

او با اشاره به پروژه‌های مبتنی بر بلاکچین در زمینه امنیت می‌گوید این فناوری می‌تواند برای محافظت از داده‌های بسیار حساس کاربردی باشد، اما نگهداری اطلاعات روی بلاکچین هزینه‌بر است و تنها در موارد خاص صرفه اقتصادی دارد. در حالی‌که ایران در اجرای ساده‌ترین استانداردهای امنیتی نیز با مشکل مواجه است، به‌ویژه به دلیل کمبود نیروی انسانی آموزش‌دیده.

مشتاق تأکید می‌کند که استفاده از فناوری‌های پیشرفته زمانی کارآمد است که بستر پایه‌ای امنیت، یعنی اجرای استانداردهای رایج جهانی، فراهم باشد. او می‌گوید اکنون نه‌تنها تعداد متخصصان پایین است، بلکه همین تعداد اندک نیز بین شرکت‌های مختلف تقسیم شده‌اند و برخی از آن‌ها مجبورند هم‌زمان با چند مجموعه همکاری کنند.

فرار از مسئولیت پس از هک؛ مشکلی رایج در ایران

یکی از مسائل مهم، به گفته مشتاق، نحوه مواجهه شرکت‌ها با رخنه‌های امنیتی است. در ایران، شرکت‌ها معمولاً تلاش می‌کنند پس از هک، ماجرا را پنهان کنند، تا جایی که تنها در صورت درز خبر به رسانه‌ها و شبکه‌های اجتماعی، ناچار به واکنش می‌شوند. این پنهان‌کاری، به گفته او، آسیب جدی به اعتماد عمومی وارد می‌کند.
در حالی‌که بسیاری از شرکت‌های بزرگ بین‌المللی با شفافیت کامل نسبت به حوادث امنیتی اطلاع‌رسانی می‌کنند، این روند در ایران معکوس است.

مشتاق معتقد است پذیرش مسئولیت و ارائه گزارش شفاف، نه‌تنها نشانه ضعف نیست، بلکه باعث جلب اعتماد بیشتر کاربران و نهادهای ناظر می‌شود.

فرصتی از جنس تهدید؛ نادیده‌گرفته‌شدن ظرفیت هکرهای کلاه‌سفید

او همچنین بر نقش هکرهای کلاه سفید تأکید می‌کند؛ افرادی که می‌توانند نقاط ضعف را شناسایی کنند و در ازای گزارش آن‌ها، در کشورهای پیشرفته پاداش دریافت می‌کنند. در ایران، هنوز این فرهنگ به‌طور کامل جا نیفتاده و غالباً با بی‌توجهی یا حتی تهدید پاسخ داده می‌شود.

کاوه مشتاق در ادامه صحبت‌های خود، به یکی از فرصت‌های مغفول‌مانده در حوزه امنیت سایبری کشور اشاره می‌کند: هکرهای کلاه‌سفید. به باور او، در شرایطی که کمبود نیروی متخصص در کشور محسوس است، باید از ظرفیت افرادی که به‌صورت داوطلبانه یا انگیزه‌های مالی، حفره‌های امنیتی را شناسایی و به سازمان‌ها اطلاع می‌دهند، استقبال شود.

مشتاق می‌گوید: «هیچ متخصصی نمی‌تواند به‌تنهایی تمام نقاط آسیب‌پذیر یک سیستم را شناسایی کند. حضور جمعی از افراد خارج از سازمان که با انگیزه کسب جایزه یا مشارکت داوطلبانه اقدام به شناسایی تهدیدها می‌کنند، نه‌تنها تهدید نیست، بلکه فرصتی حیاتی برای ارتقاء سطح امنیت است.»

به گفته او، در کشورهای پیشرفته، اعطای جوایز مالی برای گزارش آسیب‌پذیری‌ها، یکی از معیارهای توجه سازمان‌ها به امنیت اطلاعات تلقی می‌شود. اما در ایران، چنین اقداماتی یا بی‌اهمیت شمرده می‌شوند یا حتی با سوءظن مواجه می‌گردند.

او پیشنهاد می‌دهد سازمان‌ها هر ساله گزارشی رسمی منتشر کنند با این مضمون که چه میزان جایزه به هکرهای کلاه‌سفید پرداخت شده است؛ موضوعی که می‌تواند به شاخصی برای میزان توجه آن‌ها به امنیت تبدیل شود.

از فیلترشکن‌ها تا مخاطرات انسانی؛ آگاهی، حلقه گمشده امنیت

به گفته مشتاق، بیش از ۸۰ درصد کاربران ایرانی به‌طور روزانه از وی‌پی‌ان استفاده می‌کنند. این ابزارها، در عین داشتن کاربردهای امنیتی، اگر از منابع نامطمئن تهیه شده باشند، خود می‌توانند درگاهی برای نفوذ، حملات DDoS و افشای اطلاعات کاربران باشند.

او می‌افزاید: «هرچند استفاده از فیلترشکن‌ها یک مسئله امنیتی است، اما اولویت‌های امنیت سایبری کشور چیز دیگری‌ست؛ مثل آموزش نیروی متخصص، احترام به داده‌های کاربران و توسعه فرهنگ پاسخگویی.»

صرافی‌های رمزارز؛ هدفی محبوب برای کلاهبرداران

مشتاق گفت: مراکز تبادل رمزارز (صرافی‌های دیجیتال) به‌دلیل داشتن دارایی مالی کاربران، هدف محبوبی برای هکرها هستند. اما در نبود مسیر شفاف و پایدار مقررات‌گذاری، نه تنها فعالیت این صرافی‌ها محدود می‌شود، بلکه تمرکز اصلی‌شان از امنیت به مسائل بوروکراتیک تغییر می‌یابد. این ضعف ساختاری، یک خطر امنیتی جدی برای دارایی مردم ایجاد کرده است.

مشتاق در پایان به نکته‌ای انسانی‌تر اشاره می‌کند: گستردگی کلاه‌برداری‌های مبتنی بر مهندسی اجتماعی. به گفته او، تماس‌ها و پیام‌هایی که با استفاده از اطلاعات شخصی افراد، آن‌ها را تهدید یا فریب می‌دهند، رو به افزایش است. او مثالی می‌آورد از تجربه شخصی‌اش در یک گروه پیام‌رسان مدرسه‌ای که فردی سودجو با جعل عنوان «معاونت پرورشی» قصد فریب والدین را داشته است.

او تأکید می‌کند: «اینکه اطلاعات افراد در اختیار گروه‌های ناشناس است، خودش نشان از ضعف امنیتی دارد. مردم باید آگاه باشند و به هیچ پیام یا تماس مشکوکی پاسخ ندهند. اطلاع‌رسانی و آموزش عمومی در این زمینه حیاتی‌ست.»