ریشه‌های بحران نیروی انسانی در حوزه امنیت سایبری؛ مهاجرت آسان و آموزش ناکافی

ضعف امنیت سامانه‌ها، پلتفرم‌ها و اپلیکیشن‌ها که در ماه‌های اخیر دوباره خودنمایی کرده است، پایه‌ای در کمبود نیروی انسانی در حوزه امنیت سایبری دارد. موضوعی که نمایندگان مجلس تلاش کردند در برنامه هفتم توسعه به آن بپردازند؛ اما کارشناسان و مدیران صنعت ICT می‌گویند این مشکل بیش از هرچیز به مهاجرت گستره نیروی انسانی بازمی‌گردد. موضوعی که ریشه‌های اقتصادی دارد و مقابله با آن در توان شرکت‌های خصوصی نیست.

به گزارش پیوست، در حال حاضر بحران نیروی انسانی متخصص در این حوزه، معضلی است که باید چاره‌ای برای آن اندیشیده شود. مجلس در جریان بررسی برنامه هفتم توسعه دو مصوبه در خصوص نیروهای انسانی حوزه سایبری را تصویب کرد. یکی از مصوبه‌ها در رابطه با تربیت ۵۰۰ هزار نفر نیروی متخصص به منظور توسعه اقتصاد دیجیتال بود و دومی نیز تکلیف وزارت ارتباطات به تمهید شکل‌گیری اپراتورهای امنیت تشخیص صلاحیت شده برای ارائه خدمات امنیت سایبری با همکاری نهادهای امنیتی در طول برنامه هفتم.

به گفته کارشناسان چه بخش خصوصی و چه دولت ضرورت تربیت و استفاده از نیروی انسانی در حوزه امنیت سایبری را آن‌گونه که باید جدی نمی‌گیرد. ناآشنایی و بی‌توجهی مدیران سنتی در راس نهادها به هشدارها و نیازمندی‌های نرم‌افزاری، سخت‌افزاری و آموزشی اعلام شده از سوی مسئولان امنیت سایبری نهادها، یکی دیگر از پرتکرارترین عوامل نارضایتی این نیروها و وقوع حملات سایبری است.

مهاجرت نیروهای نخبه

یکی از اصلی‌ترین دلایل کمبود نیروی امنیت سایبری در ایران، مهاجرت نیروهای متخصص است. عاملی که هیچ نهاد و ارگانی توانایی جلوگیری از آن را ندارد چرا که دستمزد بالاتر و ثبات اقتصادی به همراه تقاضای بالای شرکت‌های اروپایی برای نیروهای متخصص ایرانی، شرایطی را فراهم کرده که نیروهای متخصص به راحتی مهاجرت کرده و در شرایط مناسبی فعالیت می‌کنند.

در این رابطه گفت: نیروی انسانی متخصص و ماهر در تمامی زمینه‌ها در کشورمان مهاجرت می‌کند و این مساله مختص به امنیت سایبری نیست. اما این زمینه در امنیت سایبری پررنگ‌تر است. علت اصلی نیز تفاوت درآمد و حقوق نیروی انسانی در ایران و سایر کشورهاست.

او افزود: حتی اگر نیروی انسانی در کشوری دیگر دو هزار دلار حقوق بگیرد نیز به پول ملی ایران می‌شود ۱۰۰ میلیون تومان و قطعاً متخصصان در سازمان‌ها و شرکت‌های ایرانی چنین حقوقی را دریافت نمی‌کنند. از سویی دیگر جذب نیروهای متخصص امنیت سایبری نیز بسیار راحت‌تر از متخصصین در دیگر حوزه‌هاست. شرکت‌های خارجی با یک رزومه ساده به راحتی نیروهای امنیت سایبری را جذب کرده و بهترین امکانات را در اختیارشان قرار می‌دهند.

معضلات اقتصادی، عامل مهاجرت نیروها

وحید خدابخشی، مدیر ریسک و امنیت شرکت شاپرک با اشاره به معضل مهاجرت نیروهای نخبه گفت: مشکلات زمینه‌ای کشور مانند معضلات اقتصادی موجب شده نیروهای متخصص کشور به فکر مهاجرت باشند. از سویی دیگر تقاضا برای نیروی کار ماهر در زمینه امنیت سایبری در دیگر کشورها به ویژه کشورهای اروپایی بسیار زیاد بوده و ویزای کاری به راحتی برای این قشر صادر می‌شود. تقاضا به حدی افزایش یافته که حتی نیروهای متوسط و تازه‌کار نیز به راحتی می‌توانند با دریافت ویزای کار و تقاضای اشتغال توسط شرکت‌های اروپایی، مهاجرت کنند.

حدادی، مدیرعامل بریدسامانه نیز در این باره تاکید کرد: مهاجرت در این تخصص بسیار بیشتر از سایر حوزه‌های تخصصی دیگر است. به هرروی مهاجرت حقیقتی است که وجود دارد. نمی‌توانیم با آن مقابله کنیم.

عدم درک ضرورت امنیت سایبری

مشکل دیگر نیروهای متخصص در حوزه امنیت سایبری، این است که نه توسط دولت و نه بنگاه‌های اقتصادی بخش خصوصی چنان که باید جدی گرفته نمی‌شوند. بسیاری از شرکت‌های خصوصی تصور می‌کنند استخدام یک نیروی امنیت سایبری ضروری نبوده و هزینه اضافه است. از سویی دیگر هنوز این مساله که دستمزد نیروی سایبری باید بالاتر از دیگر نیروها باشد رواج نیافته است.

رویا دهبسته، مدیرعامل باگدشت گفت: به طور کلی در ایران از نیروهای متخصص امنیت سایبری حمایت نمی‌شود، در رابطه با آموزش نیروی زبده و ماهر در این زمینه نیز اقدامات چندانی صورت نگرفته است. از سویی دیگر در شرایط اضطراری قرار داریم و نیاز شدید به پرورش نیروی انسانی ماهر در زمینه امنیت سایبری داریم. ضرورت استفاده از نیروی متخصص در امنیت سایبری به ویژه در سازمان‌های مختلف دولتی نیز به شدت احساس می‌شود.

او با اشاره به حقوق کم نیروهای متخصص امنیت سایبری در سازمان‌های دولتی بیان کرد: حقوق نیروی انسانی در سازمان‌ها برای نیروی کار امنیت سایبری کافی نیست و از سویی دیگر سازمان‌ها نیز تصور می‌کنند که سرمایه‌گذاری و آموزش نیروی انسانی امنیت سایبری به صرفه نیست چراکه به زودی شرکت را ترک خواهند کرد و سرمایه‌گذاری هدر خواهد رفت. از سویی دیگر در زمینه امنیت سایبری نیاز داریم به نیروهای ماهر و این مساله باید جدی‌ گرفته شود.

دهبسته با اشاره به اینکه مدیران سازمان‌ها و کسب‌وکارها امنیت سایبری را جدا از کسب‌وکار خود می‌بینند، بیان کرد: مدیران تصور می‌کنند باید حتما ارزش افزوده و منفعت در کسب و کار ایجاد شود تا موضوع امنیت سایبری جدی گرفته شود. حوزه امنیت سایبری از کسب‌وکارها و محصولات جدا افتاده و در بازار امنیت سایبری دیده نشده است.

 امنیت سایبری جدی گرفته نمی‌شود

نوربخش با تایید این امر که چه سازمان‌های دولتی و چه شرکت‌های خصوصی حوزه امنیت سایبری را آن‌گونه که باید جدی نمی‌گیرند، بیان کرد: امنیت سایبری باید به طور مداوم به‌روزرسانی شده و باگ‌های امنیتی رفع شود و این یک کار مستمر است که پایانی ندارد. بنابراین وجود یک متخصص سایبری به طور مداوم در شرکت‌ها و سازمان‌ها ضروری است اما چه سازمان‌های دولتی و چه خصوصی این امر را جدی نمی‌گیرند.

رئیس کمیسیون تحول، نوآوری و بهره‌وری اتاق بازرگانی تهران تاکید کرد: تقریبا هرماه خبرهایی از هک و حملات سایبری به سازمان‌های دولتی منتشر می‌شود اما حتی این حملات مستمر نیز موجب نشده نهادهای دولتی آن‌گونه که باید امنیت سایبری و استفاده از نیروی متخصص در این زمینه را جدی بگیرند.

اکنون نهادها به اهمیت امنیت سایبری پی برده‌اند

اما مدیر ریسک و امنیت شاپرک معتقد است که به تازگی شرکت‌ها و نهادهای دولتی دریافته‌اند که وجود نیروی امنیت سایبری تا چه حد مهم است.

وحید خدابخشی گفت: تا پیش از این، شرکت‌ها و سازمان‌های کشور اهمیت امنیت سایبری را درک نمی‌کردند اما اکنون مدتی است که متوجه شده‌اند، امنیت سایبری و وجود نیروی متخصص در این زمینه تاچه میزان مهم است.

تصور اشتباه سازمان‌ها درباره امنیت سایبری

حدادی، مدیرعامل بریدسامانه در رابطه با این تصور شرکت‌ها که یک نیروی فناوری اطلاعات می‌تواند اقدامات مربوط به امنیت سایبری را نیز انجام دهد، گفت: یک کارشناس فناوری اطلاعات نمی‌تواند مشکلات مربوط به امنیت سایبری را حل کند. حفاظت از امنیت محیط فناوری نیاز به متخصص ویژه و تخصصی دارد. اما ضرورت استفاده از متخصصین امنیت سایبری توسط شرکت‌ها درک نشده است. خود امنیت سایبری هم تقسیم می‌شود به متخصصان مختلف. در هرحوزه باید متخصص خاص آن حوزه مورد استفاده قرار بگیرد.

دولت دغدغه‌ای برای تربیت نیروی متخصص سایبری ندارد

بسیاری از کارشناسان امنیت سایبری نیز براین باورند که دولت اراده جدی برای تربیت نیروی انسانی به میزان کافی ندارد و از این رو، قانون‌گذاری و نظارت کافی برروی فعالیت آموزشگاه‌ها ندارد.

علیرضا قهرود، مشاور، ممیز و مدرس امنیت سایبری گفت: در برنامه‌های قبلی نیز، لزوم تربیت سه هزار نیروی متخصص امنیت سایبری آمده بود اما زمانی که دولت‌ها عزم راسخی ندارند، اگر در ۱۰ برنامه بعدی هم بر لزوم آموزش نیروی انسانی متخصص تاکید شود، بازهم اتفاقی رخ نخواهد داد.

او در پاسخ به اینکه تربیت نیروهای متخصص امنیت سایبری وظیفه دولت است یا شرکت‌های خصوصی، بیان کرد: در دنیا دولت‌ها سیاستگذاری کرده و شرایط تشویقی و مزایا برای آموزش نیروهای انسانی متخصص در نظر می‌گیرند. دولت ایران هم باید قانون‌گذاری کرده و برروی شیوه آموزش آموزشگاه‌ها و المان‌های وابسته و برون‌سپاری بخش دولتی نظارت برخط کند. در وزارت دفاع آمریکا فریم‌ورکی داریم به نام نایس. در حوزه امنیت سایبری می‌توان مشاهده کرد که در ایالت‌های مختلف چه میزان موقعیت شغلی و چقدر نیروی انسانی ویژه امنیت سایبری داریم.

بازار غیراخلاقی آموزشی در ایران

قهرود، مدرس سایبری با اشاره به بازار غیر اخلاقی آموزشی گفت: آموزشگاه‌ها تنها در پی کسب درآمد هستند و آموزش‌های باکیفیتی ارائه نمی‌کنند. به نیروهای جوان وعده می‌دهند که دوره امنیت سایبری را یاد بگیرند اما در عمل هزینه بالایی دریافت می‌کنند و آموزش اثربخشی ارائه نمی‌کنند. بسیاری از دانش‌پژوهان این آموزشگاه‌ها حتی الفبای اولیه امنیت برای بازار کار را نیز نمی‌دانند و مناسب استخدام نیستند.

تربیت نیروی انسانی متخصص، راهکار اصلی است

بسیاری از سازمان‌هایی که وجود نیروهای سایبری متخصص را ضروری می‌دانند برای تربیت نیروی انسانی متخصص هزینه می‌کنند، هرچند که پس از چندسال نیروی مورد نظر ممکن است از سازمان مربوطه یا حتی از کشور مهاجرت کرده و در جایی دیگر از تخصص خود استفاده کند.

خدابخشی، مدیر ریسک و امنیت شاپرک در رابطه با راهکار رفع مشکل کمبود نیروی انسانی در حوزه امنیت سایبری، گفت: ما در نظام پرداخت کشور و شاپرک، نیروهای تازه‌کار را تربیت کرده و از آنها استفاده می‌کنیم با علم به اینکه پس از چندسال و کسب تجربه، این نیرو مهاجرت خواهد کرد. اما باید تغییرات را بپذیریم تا بتوانیم نیروی مورد نیاز خود را تربیت کنیم.

استفاده از سیستم‌های اتوماسیون

او افزود: راهکار دیگر استفاده از سیستم‌های اتوماسیون است. برای تشخیص و مقابله با حملات سایبری از سیستم‌های اتوماسیون استفاده می‌کنیم که وابستگی‌مان را به نیروهای انسانی کمتر می‌کند. از سویی دیگر می‌توانیم از نیروهای انسانی استفاده مفیدتری کنیم.

خدابخشی دررابطه با تاثیر هوش مصنوعی در مقابله با حملات سایبری گفت: هوش مصنوعی کمک بسیار خوبی در خودکارسازی تشخیص و مقابله با حملات سایبری می‌کند. با استفاده از سازوکار هوش مصنوعی، تشخیص حملات و دفع آنها بسیار ساده‌تر شده و شیوه کار نیز جذاب‌تر شده است. همچنین هوش مصنوعی بخش زیادی از فعالیت‌های روتین را که برای نیروی کار خسته‌کننده است، انجام می‌دهد و به این ترتیب می‌توانیم از نیروی انسانی در موارد بهتری استفاده کنیم.

راهکار اصلی، ایجاد مرکز مشترک پرورش نیروی انسانی است

بسیاری از کارشناسان بر این باورند که تربیت نیروهای متخصص امنیت سایبری در شرکت‌ها و سازمان‌ها به حدی ضروری است که باید مرکزی مشترک توسط بخش خصوصی برای تربیت و پرورش نیروهای متخصص در حوزه سایبری تشکیل شود.

محمدرضا حدادی، مدیرعامل بریدسامانه گفت: راهکار اصلی و عملی برای رفع این مشکل این است که شرکت‌های متقاضی استفاده از نیروهای متخصص امنیت سایبری گردهم آیند و مرکزی ایجاد کنند که در آن نیروهای آموزش‌دیده تجربه عملی پیدا کنند. مشکل اصلی دانشگاه‌ها این است که دانشجویان تجربه عملی کسب نمی‌کنند و آموزش‌هایی که در دانشگاه‌ها ارائه می‌شوند، کاربردی نیست. بسیاری از آموزش‌های عملی و اصلی در دانشگاه‌ها به دانشجویان ارائه نمی‌شود. باید مراکزی ایجاد کنیم که نیروهای آموزش دیده تربیت شوند، ریسک‌ها را بشناسند، آنچه آموزش دیده‌اند را به طور عملی تجربه کنند و کار تیمی را بیاموزند.

دوره کارآموزی گذشته است

اما برخی از کارشناسان امنیت سایبری براین باورند که دوره کارآموزی گذشته و نیروی انسانی می‌تواند به طور عملی هرآنچه را لازم است در لابراتورهای آموزشگاه‌ها بیاموزد.

قهرود، مدرس امنیت سایبری با رد این موضوع که نیروی انسانی آموزش‌دیده نیاز به کارآموزی و انجام عملی آموخته‌های خود دارد، بیان کرد: مدرک آموزشی موسسه و دانشگاه Edu SANS در آمریکا از دانشگاه‌های برتر کشورهای توسعه‌یافته و شناخته شده هم با‌ارزش‌تر است. در حوزه فناوری اطلاعات کارآموزی بی‌معناست. بیشتر آموزشگاه‌هایی که امنیت سایبری آموزش می‌دهند دارای لابراتوار بوده و در آنجا فعالیت‌های عملی و کارگاه محور را به دانش‌پژوهان باید یاد می‌دهند.