بازتعریف امنیت سازمانی در عصر باگ‌بانتی و هوش مصنوعی

در نشستی تخصصی به میزبانی بلوبانک و با مدیریت آرش برهمند، جمعی از مدیران امنیت اطلاعات از سازمان‌های بزرگ فناوری و مالی گرد هم آمدند تا درباره تجربیات، چالش‌ها و آینده معماری امنیت در سازمان‌های ایرانی گفت‌وگو کنند. آن‌ها از تحول رویکردها در برخورد با آسیب‌پذیری‌ها سخن گفتند و نقش فزاینده هوش مصنوعی را در معادلات آینده امنیت سایبری مورد بررسی قرار دادند.

به گزارش اقتصادآنلاین، پنل «معماری امنیت در سازمان‌ها با اجرای برنامه باگ‌بانتی» که به میزبانی بلوبانک و با اجرای آرش برهمند، مدیر استودیو رسانه‌ای پیوست برگزار شد. امیرحسین قاسمی، مدیرکل امنیت گروه اسنپ، وحید خدابخشی، مدیر امنیت و ریسک شاپرک، سعیده زینالی، مدیر معماری امن داتین و اسماعیل ملااحمدی، مدیر ارشد امنیت اطلاعات بلوبانک در این پنل شرکت کردند و درباره ضرورت تغییر رویکرد امنیت از انفعال به تعامل، صحبت کردند.

قاسمی با اشاره به آغاز برنامه باگ‌بانتی در اسنپ از سال ۱۳۹۷، این تصمیم را حاصل بلوغ تدریجی سازمان دانست و تأکید کرد که قرار گرفتن دارایی‌های دیجیتال یک مجموعه در معرض آزمون عمومی، نیازمند جسارت و اطمینان بالا به زیرساخت فنی است. او اجرای چنین برنامه‌هایی را عاملی مؤثر در ارتقای تاب‌آوری سایبری دانست و تأکید کرد که اسنپ با در اختیار داشتن هزاران دامنه و آی‌پی، ناچار است به‌جای نگاه دفاعی صرف، ساختار خود را به‌صورت پیوسته در معرض بازبینی و آسیب‌شناسی قرار دهد.

در ادامه، خدابخشی با انتقاد از برخی برداشت‌های نادرست درباره جایگاه شاپرک در اکوسیستم پرداخت، تأکید کرد که این مجموعه با وجود آنکه جزو ساختار بانکی نیست، اما به‌عنوان نقطه تمرکز تبادلات مالی کشور، مسئولیت امنیتی بسیار گسترده‌ای دارد. او تصریح کرد: «هرچند بسیاری از تهدیدات در لایه‌های بانکی رخ می‌دهند، اما نقطه تجمیع وجوه و تسویه‌ها، شاپرک است، بنابراین نه‌تنها جدا از شبکه بانکی نیستیم، بلکه بخشی از معماری امنیتی پولی کشور محسوب می‌شویم.»

فناوری به تنهایی کافی نیست، اهمیت زیرساخت انسانی

سعیده زینالی از شرکت داتین با تأکید بر این‌که نگاه معماری‌محور به امنیت، باید با توجه به محدودیت‌های بومی و نیاز‌های صنعت بومی شکل بگیرد، گفت: «ما در داتین تلاش کرده‌ایم همگام با استاندارد‌های جهانی، زیرساختی چندلایه برای امنیت طراحی کنیم. اما کمبود نیروی انسانی متخصص و موج مهاجرت، باعث شده فشار مضاعفی بر تیم‌های امنیت داخلی وارد شود.»

او به تجربه شرکت خود در طراحی ساختار‌های تشخیص تهدید درون‌سازمانی نیز اشاره کرد و گفت که برخی از تهدیدات سایبری، نه از بیرون بلکه از درون شبکه آغاز می‌شوند و لازم است سازمان‌ها ابزار‌هایی برای تحلیل رفتار کاربران و تحلیل داده‌های منابع انسانی در اختیار داشته باشند. زینالی تأکید کرد که استفاده از سیستم‌های یادگیری ماشین می‌تواند در پیش‌بینی رفتار‌های پرریسک مفید باشد، مشروط بر آن‌که داده‌های دقیق و قابل اتکایی برای آموزش این مدل‌ها وجود داشته باشد.

رویکرد بلوبانک، بلوغ، نه ضعف

اسماعیل ملااحمدی، با اشاره به فضای متفاوت بلوبانک نسبت به نهاد‌های مالی سنتی، گفت: «ما در بلوبانک به نقطه‌ای رسیده‌ایم که معتقدیم امنیت نه‌تنها نباید مانع توسعه باشد، بلکه می‌تواند و باید به‌عنوان یکی از عوامل پیش‌ران توسعه عمل کند. همین‌که امروز سازمان ما آماده است در چنین فضایی خود را در معرض نقد عمومی قرار دهد، نشان از پذیرش بلوغ فرهنگی و فنی است، نه ضعف.»

او همچنین هشدار داد که استفاده غیرهدفمند و سطحی از ابزار‌های هوش مصنوعی، می‌تواند برخلاف تصور اولیه، به ریسک‌های جدی منجر شود. به‌گفته او، هر فناوری نو، آداب خود را دارد و بدون داشتن هدف مشخص، استفاده از AI صرفاً به دنباله‌روی کور از موج فناوری تبدیل می‌شود.

یکی از محور‌های مهم این پنل، بررسی نسبت هوش مصنوعی با ساختار‌های امنیتی بود. قاسمی توضیح داد که تیم‌های امنیتی اسنپ از AI در حوزه‌هایی، چون کدریویو، تست نفوذ، تحلیل ریسک و تشخیص ناهنجاری بهره می‌برند و این ابزار‌ها کمک شایانی به افزایش سرعت و دقت تصمیم‌گیری فنی کرده‌اند. او گفت: «هوش مصنوعی نه جایگزین انسان، بلکه ابزار تقویت توانمندی‌های انسانی است.».

اما از سوی دیگر، خدابخشی نسبت به خطر تعمیم داده‌های مخدوش در الگوریتم‌های یادگیری ماشین هشدار داد. وی گفت: «داده‌هایی که در سال‌های گذشته مبنای تسهیلات مالی بوده‌اند، گاه بر پایه رانت و تصمیمات غیرفنی تولید شده‌اند. اگر این داده‌ها بدون پالایش، مبنای تصمیم‌گیری الگوریتم‌ها قرار گیرند، همان بی‌عدالتی‌های گذشته بازتولید خواهد شد.»

زینالی نیز افزود که یکی از مزایای استفاده از هوش مصنوعی در حوزه امنیت، توانایی در تشخیص الگو‌های رفتاری غیرعادی است، به‌ویژه در مقابله با تهدیدات داخلی یا آنچه «اینسایدر تریت» نامیده می‌شود. او اشاره کرد که برخی سامانه‌ها حتی بر پایه داده‌های منابع انسانی، می‌توانند پیش‌بینی کنند که کارمندی با احتمال بالا در آستانه ترک سازمان است یا ممکن است دست به اقدام پرریسک بزند.

به‌جای تقابل، هم‌افزایی کنیم

آنچه مدیران ارشد امنیتی به آن اذعان کردند، نیاز به «همگرایی ساختاری» میان فناوری، فرهنگ سازمانی، رگولاتوری و منابع انسانی بود. آنها تأکید کردند که اگر امنیت همچنان به‌عنوان یک واحد واکنشی و مانع‌تراش دیده شود، نه‌تنها کارآمد نخواهد بود، بلکه به حاشیه رانده خواهد شد. اما اگر در ساختار توسعه، تاب‌آوری و تصمیم‌سازی مشارکت داده شود، می‌تواند خود تبدیل به یکی از ابزار‌های کلیدی رشد در اقتصاد دیجیتال ایران شود.