نظر کارشناسی در پاسخ به پرسش چرا شرکت خصوصی توانمند برای ارائه سرویس‌های امنیتی به غول‌های فناوری ایران وجود ندارد؟

با در نظر گرفتن شرایط فعلی کشور، هرچند موج خروج متخصصان امنیت سایبری در پنج سال اخیر فاجعه‌آمیز بوده، تجربه ۱۸ ساله‌ام، شامل بیش از دو دهه تعامل نزدیک با نهادهای دولتی، حاکمیتی و شرکت‌های بزرگ، نشان می‌دهد ریشه مسئله بسیار فراتر از کمبود تکنولوژی یا نیروی انسانی است.

بزرگ‌ترین چالش‌ها را می‌توان در چند محور خلاصه کرد
1. ضعف شایسته‌سالاری همه گیر:
2. نبود تفکر سیستمی، استراتژیک و کار تیمی در ساختارهای حاکمیتی:
3. عدم درک ارزش واقعی اطلاعات و داده:
4. نظارت‌های غیرسالم و غیرشفاف:
5. کمبود آموزش درست و بستر شایسته‌سالار:
۶.نبود قوانین دقیق:
۷. کمبود متخصص سالم:
۸.تحریم و‌فسا‌د هار!

بخش خصوصی نیز بی‌تقصیر نیست.
چند شرکت امنیتی رتبه‌یک داریم، اما پرسش اینجاست: آیا ظرفیت واقعی برای اجرای پروژه‌های سنگین دارند یا صرفاً به‌خاطر رانت و ارتباطات خاص به این جایگاه رسیده‌اند؟ کافی است سوابق مدیران، روند برنده‌شدن در مناقصات و خروجی واقعی پروژه‌ها بررسی شود؛ بدون تهمت یا افتراء، شفافیت این فرآیند خود گویای درصد بالایی از فساد و ناکارآمدی خواهد بود.

در ارزیابی بیش از ۲۰ سازمان بزرگ طی سه سال گذشته، بیش از ۷۰ درصد عدم انطباق فنی با الزامات امنیتی مشاهده شده است ، این آمار با ملاحظه و احتیاط اعلام می‌شود وگرنه واقعیت حتی تلخ‌تر است

در بخش خصوصی هم مشکل وجود دارد.
اگر فهرست چند بانک بزرگ یا چند شرکت پرداخت کشور را بررسی کنیم، کافی است رزومه مدیران امنیت آن‌ها را با شفافیت منتشر کنیم. بخش قابل‌توجهی از این رزومه‌ها در حد همان چیزی است که خودشان ثبت کرده‌اند و به‌سختی می‌توان شایستگی حرفه‌ای را احراز کرد. اگر بررسی بی‌طرفانه‌ای انجام شود، خروجی‌ها و کیفیت واقعی پروژه‌ها به‌وضوح مشخص خواهد شد.

با گروهی از دوستان متخصص، که متأسفانه امروز اکثر آن‌ها مهاجرت کرده‌اند، روی پروژه‌ای برای اتصال سامانه‌های ملی و داده‌های کشور کار می‌کردیم. هشدارها و گزارش‌های امنیتی متعددی، از جمله آسیب‌پذیری‌های حیاتی در زیرساخت‌های حساس، به مسئولان ارائه شد. برای نمونه: ترافیک یک نهاد قضایی مهم به سمت وزارتخانه‌ای دیگر قابل شنود و دستکاری بود. این موضوع را مستند، ارائه و گزارش کردیم. اگر حمایت معدود افرادی در سازمان پدافند غیرعامل و چند فرد دلسوز خارج از ساختار رسمی نبود، شاید همان شب به‌جای تشویق، بازداشت می‌شدیم‌ در برخی موارد، یک سال بعد همان آسیب‌پذیری‌ها منجر به نشت گسترده اطلاعات شد.

بانک های وجود دارد که پیمانکار خودش سند مناقصه‌را می‌نویسد، خودش در مناقصه برنده و در نهایت نیروی متخصص کافی برای اجرا ندارد.

فارغ از بحث‌های کلان مربوط به مالکیت فناوری، وجود بک‌دورهای ذاتی یا ریسک‌های زنجیره تأمین، ما در ایران حداقل‌های امنیت سایبری را نداریم، با صراحت اگر ۱۰۰ مشتری طی این ۳ سال بهشون طیف متنوعی از خدمات و راهکار های مورد نیازشون در جهت بهبود امنیت سایبری با در نظر گرفتن مدیریت ریسک ارائه کرده باشیم ۹۸٪ اشون نه از ما درصد خواستند و نه ما شیرینی دادیم! امدن سراغ ما بواسطه دانش و تجربه و خروجی کارهایمان آن ۲ درصد هم در دل کار خواستند که از سهم خودمان دادیم! از شرکت های دیگر استعلام کنید لمس کنید شرایط رانت و فساد افسار گسیخته و پرتقال فروش؟!
https://peivast.com/p/240760


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.08.31

In the name of the father, the strongest mountain.
Father, you are dearer than life. Maybe life made me bad-tempered, but it never succeeded in making me bad-natured, Because of you.

به نام پدر…استوارترین کوه زندگی من.
من هیچ‌وقت اهل بروز احساساتم نبودم، کمتر گفتم، کمتر نوشتم ازت اما همیشه ته قلبم بهت افتخار کردم.‌ پدری که نامش خودش یک سرمایه است؛ سرمایه‌ای که با هیچ پول و ثروتی عوض نمی‌شود. گاهی می‌گویند (ارث فقط پول نیست) و من به چشم دیدم که اعتبار و اسم پاک تو برای من از هر ارثی باارزش‌تر است.

تو مردی بودی که هشت سال جنگیدی، پرواز کردی، سختی‌ها و فشارهایی رو تحمل کردی که شاید کمتر کسی می‌تونست تاب بیاره. این فشارها اثر گذاشت روی روحیه‌ات، روی زندگی‌ات… ولی هیچ‌وقت اجازه ندادی !

پدر عزیزم،
شاید گاهی سختگیر بودی، شاید خسته و خاموش، اما من همیشه می‌دونستم پشت این همه سختی، یک دل بزرگ هست…‌دلی که برای ما تپید، برای ما جنگید و برای ما ایستاد. تو از جان هم برای من عزیزتری. هر جا که می‌روم، با افتخار می‌گویم: (من فرزند توام)ً و این خودش بزرگ‌ترین ثروت دنیاست.

بودنت، پدر… بزرگ‌ترین موهبت زندگی من است.❤️‌بابا…
من همیشه فرصتِ دزدیدن داشتم، می‌تونستم راه آسون‌تر رو انتخاب کنم،‌ اما تو یادم دادی سر سفره‌ی بی‌قصد و سالم بشینم.‌ تو منو ساختی… مخصوصاً اون روزایی که ۱۸–۱۹ ساله بودم و سرکشی‌هام گاهی برات دردسر می‌شد.‌از انضباط تک رقمی ۹‌🙃 گرچه با میانگین معدل ۱۷–۱۸، تا بمبند ها😁همه و همه فقط برای این بود که از من آدمی بسازی که پایبند باشه، مقاوم باشه، درستکار باشه و اگر ظلم و‌نا حقی بود بایسته حتا تنها در میدان کار زار!

از بچگی (پادشاه و کینگ )من بودی و هنوزم هستی. نه به خاطر درجه‌ات، نه به خاطر اینکه تیمسار و امیر بودی، نه واسه رانتی که می تونستی بهره برداری کنی اما نکردی و نه چیزی! بلکه چون برای من آزادترین آزاده‌ی دنیا بودی. پدری که پول هیچ‌وقت براش ارزش نداشت،
و من هر چی دارم، چکیده‌ای از توئه. بودنت، برای من همیشه بزرگ‌ترین افتخارم بوده. ♥️

امشب بعد از جلسه، وقتی از گرند حیات به سمت هوم وسط بیزینس‌بی برگشتم، یک لحظه با خودم فکر کردم ساعت ۲:۳۰ بامداد شاید خیلی وقت‌ها ننوشتم، شاید خیلی چیزها رو مستقیم بهت نگفتم. شاید گاهی حتی آزارت دادم با سکوت‌هام یا رفتارام.

اما حقیقت اینه که همه‌ی اون‌چه که امروز هستم، ریشه در تو داره.
از سختی‌ها، از نظم و انضباطی که برام گذاشتی، تا ارزش‌هایی که یادم دادی؛ سالم زندگی کردن، آزاده بودن، پای نامت ایستادن. بابا… شاید هیچ‌وقت بلد نباشم همه‌چی رو بی‌پرده بگم، ولی تو برای من همیشه کوه بودی و من فقط می‌خوام بگم: ممنونم، بابت همه‌چی. ♥️

دیروز… یونیفرم، پرواز، جنگ و تمام سختی‌ها.
امروز… لبخند، تجربه و پدری که هنوز کوه منه

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.01

#DiyakoSecureBow
————————————
CISO as A Service (vCISO)

"From CVE Entries to Verifiable Exploits: An Automated Multi-Agent Framework for Reproducing CVEs", Sep. 2025.

automated, LLM-based multi-agent framework to reproduce real-world vulnerabilities, provided in CVE format, to enable creation of high-quality vulnerability datasets. Given a CVE entry as input, CVE-GENIE gathers the relevant resources of the CVE, automatically reconstructs the vulnerable environment, and (re)produces a verifiable exploit.

See also:
From Attack Descriptions to Vulnerabilities: A Sentence Transformer-Based Approach
https://arxiv.org/pdf/2509.02077v1

Special Thanks to 🙏 😇 ❤️
All

-Secure Business Continuity-
2025.09.05
————————————————
#CyberSecurity #AIinSecurity #Darktrace #AIOps
#Threat_Research #Blue_Team_Techniques

https://www.linkedin.com/posts/diyako-secure-bow_from-cve-to-exploit-2025-activity-7369597592076218369-AMBX

Most data leaks aren’t hacks.

They’re mistakes. Misconfigurations. Emails sent to the wrong inbox. DeepSeek’s 1M leaked logs are just the latest reminder: one slip can expose secrets, crush trust, and cost millions.

Here’s how it happens
→ https://thehackernews.com/2025/09/detecting-data-leaks-before-disaster.html

بگذریم، دوستی‌هایی هستند که مثل الماس ارزشمندند

از دوران اون دبستان تا امروز، سی سال گذشت…قدیما انگار راحت‌تر می‌شد دوست پیدا کرد و رفاقت‌ها عمق می‌گرفت. امروز، مرز بین همکاری ساده و دوستی عمیق سخت‌تر شده.اما بعضی رابطه‌ها چیزی فراتر از زمان و فاصله‌ست. می‌مونن توی قلب آدم، توی حافظه‌اش، مثل یک سرمایه واقعی.

دلم برای رفاقت‌های بی‌ریا و خالص تنگ شده…برای دوستی‌هایی که با فاصله کم یا زیاد هیچ‌وقت کمرنگ نمی‌شن.

بهترین دارایی ما همین رفاقت‌های ماندگارند عزت😍

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.06

https://www.linkedin.com/posts/alirezaghahrood_friendship-life-memories-activity-7369953750440017920-mVKW

Social Media Policy: A Global Best Practice

In today’s digital era, employees are often the strongest brand ambassadors of any organization. But without a clear framework, even well-intentioned posts on LinkedIn or other platforms can create legal, reputational, and security risks. That’s why leading organizations worldwide define a Social Media Policy as part of their governance and compliance programs.

به قول خیلی از شرکت‌های بین‌المللی
“You represent yourself, but you also reflect us.”

سیاست شبکه‌های اجتماعی: یک بهترین‌رویۀ جهانی
در عصر دیجیتال امروز، کارکنان اغلب قوی‌ترین سفیران برند یک سازمان هستند. اما بدون چارچوب مشخص، حتی پست‌های خیرخواهانه در لینکدین یا سایر شبکه‌ها می‌توانند ریسک‌های حقوقی، اعتباری و امنیتی ایجاد کنند. به همین دلیل سازمان‌های پیشرو در دنیا، سیاست شبکه‌های اجتماعی (Social Media Policy) را به‌عنوان بخشی از برنامه‌های راهبری و انطباق تعریف می‌کنند.

بهترین‌ رویه‌های جهانی در این حوزه:
1. حفظ محرمانگی – حفاظت از اطلاعات حساس سازمان، مشتری و پروژه‌ها.
2. هماهنگی با برند – یکپارچگی لحن، سبک و هویت بصری با هویت سازمانی.
3. شفافیت و سلب مسئولیت – تشویق به اشتراک دانش، همراه با ذکر توضیحاتی مانند دیدگاه‌ها شخصی هستند.
4. تعریف نقش‌ها – تفکیک افراد مجاز به نمایندگی رسمی سازمان از کسانی که صرفاً دیدگاه شخصی‌شان را بیان می‌کنند.
5. آموزش و آگاهی‌بخشی – ارائه دستورالعمل‌ها و کارگاه‌های منظم برای کارکنان.
6. مدیریت تخلفات – تعیین رویه برای برخورد سریع و عادلانه با موارد نقض سیاست.
۷.پرهیز از مجادله، مذهبی و …، توهین، افترا و سایر موضوعات مرتبط!

چارچوب‌هایی مانند ISO 27001 (A.13.2.1)، چارچوب امنیت سایبری NIST (بخش آموزش و آگاهی PR.AT) و کدهای راهبری شرکتی، همگی بر اهمیت امنیت ارتباطات و حفاظت از اعتبار برند در فضای دیجیتال تأکید دارند. یک سیاست شبکه‌های اجتماعی خوب، کارکنان را محدود نمی‌کند؛ بلکه آن‌ها را توانمند می‌سازد تا مسئولانه تعامل کنند، دانش خود را به اشتراک بگذارند و همزمان اعتماد به برند سازمان را تقویت نمایند.

در ایران هم (و خیلی کشورهای دیگه) ممکنه یا سانسور باشه یا رها باشه، یعنی یا نظارت صفر یا بیش‌ازحد.
• اعتبار سازمان: وقتی پرسنل اسم شرکت رو توی پروفایل دارن، هر پست سطحی یا غیراخلاقی ناخودآگاه به حساب اون برند نوشته میشود.
• اندازه و شهرت: هرچه شرکت بزرگ‌تر و شناخته‌شده‌تر باشه، حساسیت عمومی بالاتر.
• حفظ حرفه‌ای‌گری: حتی در محیط‌هایی که سانسور وجود داره، این سیاست به کارکنان کمک می‌کنه مرز بین فعالیت شخصی و حرفه‌ای رو روشن نگه دارند.
• جلوگیری از سوءاستفاده: وقتی سیاست مشخص وجود نداره، یک رفتار اشتباه می‌تونه کل سازمان رو زیر سوال ببره.

در واقع، در دنیا
• آزادی فردی محترمه
• اما وقتی نام سازمان کنارش میاد، باید چارچوب حرفه‌ای رعایت بشه

https://lnkd.in/dZFJ9Kn8

https://lnkd.in/dKvQdYjV

https://lnkd.in/dVAPqbu2

آزادی بیان حق اساسی: بتونی آزادانه حرفت رو بزنی و عقیده‌ات رو منتشر کنی و مسئولیت همراهش: باید طوری از این حق استفاده بشه که حقوق و امنیت دیگران آسیب نبینه!

https://www.linkedin.com/posts/alirezaghahrood_social-media-policy-a-global-best-practice-activity-7370353354797043712-D6an

این چیزی که تو ایران (و راستش فقط ایران هم نیست، جاهای دیگه هم میشه دید) در حوزه امنیت شبکه‌های صنعتی (ICS/SCADA) پیش اومده، چندتا ریشه داره:

1. بازار تازه و جذاب بودن موضوع
امنیت صنعتی تازه چند ساله تو ایران به‌عنوان ترند جا افتاده. هر بازاری که نو باشه، سریع آدمایی پیدا میشند که بدون عمق فنی خودشون رو کارشناس جا بزنند، چون کسی هنوز معیارهای ارزیابی رو خوب بلد نیست.

2. نبود استاندارد مرجع و ممیزی واقعی
برخلاف حوزه‌هایی مثل شبکه‌های IT یا حتی ISO 27001 که ممیزی و گواهینامه مشخص داره، تو ICS در ایران بیشتر ادعا کار می‌کنه تا استاندارد. همین باعث میشه هر کی با یکی‌دو اصطلاح OT/ICS آشنا بشه خودش رو کارشناس جا بزنه.

3. کمبود متخصص واقعی
کار روی سیستم‌های صنعتی نیازمند تجربه میدانی روی PLC، DCS، پروتکل‌هایی مثل Modbus، Profibus، OPC و … هست. خیلی از متخصصای امنیت IT چنین تجربه‌ای ندارن. اما چون فاصله پر کردنش سخته، بعضیا ترجیح میدن با نمایش ، مصاحبه،‌ ترجمه چک لیست و ژست علمی جای اون خلأ رو پر کنند!

4. فرهنگ “شوآف” و مارکتینگ فیک
تو ایران هنوز رزومه‌ی آنلاین و رسانه‌ای گاهی بیشتر از تخصص اثر داره. یعنی کسی که زیاد کنفرانس بره یا …، بیشتر به چشم میاد تا آدمی که واقعا توی اتاق کنترل یک پتروشیمی یا نیروگاه سختی کشیده.

5. پروژه‌های دولتی و پیمانکاری مبهم
خیلی وقت‌ها کارفرما (چه دولتی چه نیمه‌دولتی) دقیق نمی‌دونه چه چیزی نیاز داره، و صرفاً با عنوان (امنیت صنعتی) قرارداد می‌بنده. همین فضا رو برای افراد کم‌دانش ولی پرادعا باز می‌کنه.

6. شکاف بین مهندسی برق/کنترل و امنیت IT
مهندسای برق و کنترل معمولاً امنیت سایبری بلد نیستن، امنیت‌کارای IT هم از پروسه‌های صنعتی سر در نمیارند. این وسط آدمایی که یه کم از هر دو طرف شنیدن، خودشون رو اکسپرت OT Security‌جا می‌زنند، بدون اینکه عملاً تو هیچکدوم عمیق باشن.

خلاصه ریشه های اصلی: بازاری که داغه، خلأ دانشی که پر نشده و نبود مکانیزم تشخیص کارشناس واقعی از جعلی‌+ضعف نظارتی و حکمرانی هم پیش فرض هست.

چک‌لیست تشخیص متخصص واقعی ICS Security
1. سابقه کار با سیستم‌های صنعتی واقعی
• آیا روی PLC, DCS, SCADA, HMI کار کرده؟
• تجربه‌ی حضور در سایت‌های عملیاتی (نیروگاه، پتروشیمی، پالایشگاه) داشته؟
• یا فقط توی لَب و مقاله خونده؟
2. دانش پروتکل‌های صنعتی
• می‌تونه تفاوت Modbus, DNP3, Profibus, OPC DA/UA رو توضیح بده؟
• امنیت این پروتکل‌ها رو با مثال واقعی بیان می‌کنه یا فقط شعار کلی مثل network segmentation می‌گه؟
3. ارتباط OT با IT
• آیا می‌فهمه DMZ صنعتی، jump server و historian چه نقشی دارند؟
• بلد هست بین شبکه‌های IT و ICS مرز درست بکشه؟
4. شناخت استانداردها و چارچوب‌ها
• آیا به ISA/IEC 62443, NIST 800-82, MITRE ATT&CK for ICS مسلطه؟
• صرفاً اسم‌ها رو می‌گه یا می‌تونه کاربردشون رو در پروژه واقعی مثال بزنه؟
5. درک فرآیندهای ایمنی (Safety) و عملیات (Operations)
6. نمونه کار یا پروژه مستند
• می‌تونه از پروژه‌های واقعی (بدون افشای محرمانه) تجربه بیاره؟
• یا فقط اسلاید و سخنرانی داشته؟
7. توانایی کار تیمی با مهندسین برق و کنترل
• آیا بلدِ با زبان مهندسان کنترل و اپراتور صحبت کنه؟
• یا فقط اصطلاحات سایبری می‌گه که هیچکس اون‌طرف خط نمی‌فهمه؟

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_%D8%A7%DB%8C%D9%86-%DA%86%DB%8C%D8%B2%DB%8C-%DA%A9%D9%87-%D8%AA%D9%88-%D8%A7%DB%8C%D8%B1%D8%A7%D9%86-%D9%88-%D8%B1%D8%A7%D8%B3%D8%AA%D8%B4-%D9%81%D9%82%D8%B7-%D8%A7%DB%8C%D8%B1%D8%A7%D9%86-%D9%87%D9%85-activity-7370483263120945152-nGZL

The Missing Link in Workplaces: Why Win–Win Is Rare

Many companies break promises on pay, benefits, or leave while some employees cut corners or secretly benefit elsewhere. This cycle of mistrust kills collaboration.

The root causes: unclear contracts, weak culture, unfair rewards, short-term thinking, and lack of professional skills.
The solution: transparency, fair performance systems, accountability, open dialogue, and long-term commitment.

When trust and long-term vision align, both employees and organizations truly win.

#Leadership #HR #Trust #OrganizationalCulture #EmployeeEngagement

چند مرتبه ای همکاران ‌‌و دوستان از سیاست های شرکت استارت اپی دیاکو از من پرسیده بودند و براشون نوع نگرش و‌تعامل امون جالب بوده
واقعا نمیفهمم سیستم برده داری هنوز هست و رنگ مدرنیته گرفته!؟ چرا عدم شفافیت و‌سر هم کلاه گذاشتن! خدا قوت همه هم آشنا مخصوصا شرکت ها! شرم نمیکنید!

چرا برد–برد بین سازمان و پرسنل کمیاب است؟

در بسیاری از سازمان‌ها چرخه‌ای از بی‌اعتمادی شکل می‌گیرد:
• کارفرما در پرداخت، مزایا یا وعده‌های شغلی شفاف عمل نمی‌کند.
• کارکنان هم گاهی با کم‌کاری، انتقال پروژه‌ها یا رفتار غیرحرفه‌ای اعتماد سازمان را مخدوش می‌کنند.

نتیجه؟ رابطه دوطرفه به‌جای همکاری، به تقابل و واکنش متقابل تبدیل می‌شود.

ریشه‌های اصلی
1. نبود شفافیت در قراردادها و سیاست‌ها.
2. فرهنگ سازمانی ضعیف.
3. سیستم ارزیابی و پاداش غیرعادلانه.
4. کوتاه‌مدت‌نگری هر دو طرف.
5. کمبود آموزش و مهارت‌های تعاملی، مسمومیت، حرف ببر حرف بیار کم کاری، غیبت و …
مسیر به سمت اعتماد و برد–برد
• پایبندی عملی به تعهدات قرارداد.
• استقرار سیستم شفاف پاداش و ارزیابی عملکرد.
• فرهنگ پاسخگویی و احترام متقابل.
• گفت‌وگوی منظم بین مدیریت و کارکنان.
• نگاه بلندمدت: رشد کارکنان = رشد سازمان.

منابع پیشنهادی برای مطالعه بیشتر
1.Stephen R. Covey – The Speed of Trust
درباره نقش اعتماد در روابط سازمانی و شخصی.
2.Patrick Lencioni – The Five Dysfunctions of a Team
راهنمایی در زمینه فرهنگ تیمی و چالش‌های اصلی همکاری.
3.Daniel Pink – Drive: The Surprising Truth About What Motivates Us
تحلیل علمی انگیزه‌های کارکنان فراتر از پول.
4.Harvard Business Review (HBR) – “Building a Culture of Trust”
مقاله‌های تحلیلی درباره سیاست‌های منابع انسانی و اعتماد.
5.SHRM (Society for Human Resource Management) Reports
گزارش‌های معتبر درباره مشارکت کارکنان و سیاست‌های HR.

حلقه مفقوده در همه این منابع یک چیز مشترکه: اعتماد واقعی و نگاه بلندمدت. در بسیاری از مواقع، شرکت‌ها و کارکنان در دو سوی تقابل قرار می‌گیرند؛ یک‌سو وعده‌هایی که عملی نمی‌شوند و سوی دیگر کم‌تعهدی یا رفتارهای غیرحرفه‌ای. حلقهٔ مفقوده دیگر اینجاست: درک و آگاهی مشترک

زمان آن رسیده برای برگزاری جلسات هم‌اندیشی و کارگاه‌های مشترک؛ جایی که مدیران و کارکنان در کنار هم بنشینند، دیدگاه‌هایشان را بیان کنند و آگاهی متقابل را ارتقا دهند.در صورت تمایل سازمان‌ها یا متخصصان HR، شرکت Diyako Secure Bow آمادگی دارد اسپانسر جلسات آنلاین رایگان در زمینه راهکارهای عملی برای اعتماد، شفافیت و رشد پایدار باشد.
Diyako Secure Bow
با هم می‌توانیم تعارض‌های محیط کار را به برد–برد واقعی تبدیل کنیم

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_leadership-hr-trust-activity-7370728531154165760-hwMP

🚀 $1100+ Cybersecurity Certifications — Now Free!

Thrilled to share an incredible Black Hat USA 2025 offer from OPSWAT Academy

Use coupon OPSBH-25USA (valid until Oct 31, 2025) to unlock these certifications for free:
• ICIP – Intro to Critical Infrastructure Protection
•OOSE – OT Security Expert
•PSCE (Schneider & Siemens) – File Security Expert

This bundle is worth over $1100, now available at zero cost. A rare chance to upskill in OT & Critical Infrastructure Security and add globally recognized certificates to your journey.

👉 Redeem here:
https://opswatacademy.com/blackhat-usa-2025-opswat-ot-cyber-defense-bundle

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.08

https://www.linkedin.com/posts/alirezaghahrood_1100-cybersecurity-certifications-activity-7370803944803090432-oDh1

رسوایی اصلی در همرنگی بدون اندیشه و‌ خردورزی است که حماقت جمعی را پدید خواهد آورد. پدیده ای که در انتخاب ها و همه گیر شدن یک موضوع در شبکه های اجتماعی به تصمیماتمان تقدس می بخشد

آیا واقعاً می‌توان کسی را تغییر داد؟
آیا آدم‌ها واقعاً تغییر می‌کنند؟ و اگر بله، در چه سطحی و با چه هزینه‌ای؟

۱- انسان موجودی تغییرپذیر است، اما نه در هر بُعدی
تحقیقات طولی نشان داده‌اند که برخی ویژگی‌ها با گذر زمان و تجربه تغییر می‌کنند، اما اغلب این تغییرات آهسته، محدود و در نتیجهٔ انتخاب‌های آگاهانهٔ فرد هستند، نه فشارهای بیرونی.
بنابراین اگر منظورتان از تغییر، رشد فردی یا یادگیری مهارت‌های اجتماعی باشد، بله، این شدنی است.
اما اگر بخواهید جوهرهٔ درونی فرد را که امضای روانی اوست دگرگون‌کنید، معمولاً با دیوار مواجه می‌شوید.

۲- فرق بزرگی بین تغییر رفتار و تغییر شخصیت وجود دارد

افراد ممکن است در پاسخ به شرایط خاص، رفتار خود را تغییر دهند. مثلاً مردی که تا دیروز بی‌نظم بود، به‌خاطر حضور در محیط کاری جدید، منظم‌تر عمل کند. این تغییر در سطح «رفتار»رخ می‌دهد.
اما شخصیت چیزی پایدارتر و عمیق‌تر است که به‌سختی دگرگون می‌شود.

۳- برخی از تغییرات تنها با ارادهٔ خود فرد ممکن‌اند، نه با خواست ما
پژوهش‌ها نشان داده‌اند که هر نوع تغییر پایدار، نیازمند انگیزهٔ درونی است. یعنی فرد باید خود بخواهد که تغییر کند.
روان‌شناسان بالینی تأکید می‌کنند که «پیش‌نیاز هر دگرگونی، پذیرش و خواست شخصی است».شما می‌توانید منبع الهام باشید، حمایت‌کننده یا آینه‌ای صادق؛ اما نمی‌توانید محرک اصلی باشید اگر طرف مقابل تمایلی نداشته باشد.

۴- تمایز بین تغییر شخصیت و درمان اختلال روانی را جدی بگیرید

۵- رمان‌ها و فیلم‌ها تصویری اغراق‌شده از تغییر شخصیت ارائه می‌دهند

۶- مغز انسان ظرفیت یادگیری دارد، اما شخصیت الگوهای پایدارتری دارد بله، ممکن است کسی مهارت جدیدی بیاموزد یا واکنش‌های عاطفی خود را بهتر کنترل کند، اما این تغییرات لزوماً به معنای دگرگونی شخصیت نیستند. آن‌چه عوض می‌شود رفتار است، نه ماهیت وجودی فرد.

۷- برخی تغییرات نمایشی‌اند و برای تطبیق موقت با شرایط صورت می‌گیرند

۸- فرهنگ و جامعه می‌توانند چارچوب‌هایی بسازند که مسیر تغییر را تسهیل یا محدود کنند

۹- در روان‌درمانی‌های مدرن، هدف «تغییر بنیادین» نیست؛ بلکه تنظیم بهتر با واقعیت است

۱۰- گاهی تغییر، به‌معنای رهایی از نقاب است؛ نه افزودن ویژگی جدید

۱۱- تغییر شخصیت در بزرگسالی نادر، اما ممکن است

۱۲- «تغییر برای دیگران» اغلب به نارضایتی درونی منجر می‌شود
روان‌شناسان وجود «اصالت» را برای رضایت از زندگی حیاتی می‌دانند و معتقدند تغییر موفق، تنها زمانی رخ می‌دهد که در هماهنگی با هویت فردی باشد، نه تقلیدی از خواسته‌های دیگران.

۱۳- برخی ویژگی‌ها به‌قدری ژرف‌اند که تغییر آن‌ها به‌معنای ازبین‌بردن هویت است

۱۴- اغلب افراد تغییر را با کنترل اشتباه می‌گیرند

۱۵- بهترین نوع تغییر، با الگوسازی و الهام‌گیری آغاز می‌شود
مطالعات رفتاری نشان می‌دهند که افراد وقتی کسی را می‌بینند که در مسیر مشخصی رشد کرده، بیشتر از طریق «مشاهده» ترغیب به تغییر می‌شوند تا نصیحت مستقیم. به‌جای آنکه از کسی بخواهیم مطالعه کند، اگر خودمان اهل کتاب باشیم، احتمالاً به‌مراتب اثربخش‌تر خواهد بود.

گر می نخوری طعنه مزن مستان را
بنیاد مکن تو حیله و دستان را

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.09

https://www.linkedin.com/posts/alirezaghahrood_%D8%B1%D8%B3%D9%88%D8%A7%DB%8C%DB%8C-%D8%A7%D8%B5%D9%84%DB%8C-%D8%AF%D8%B1-%D9%87%D9%85%D8%B1%D9%86%DA%AF%DB%8C-%D8%A8%D8%AF%D9%88%D9%86-%D8%A7%D9%86%D8%AF%DB%8C%D8%B4%D9%87-%D9%88-%D8%AE%D8%B1%D8%AF%D9%88%D8%B1%D8%B2%DB%8C-activity-7370942326699028480-VD2j

🔺 چرا امنیت سایبری در ایران تبدیل به صنعت نشده است؟ شبیه هیچ‌کجای جهان

⬅️ اگر امروز یک حمله سایبری گسترده به زیرساخت‌های حیاتی ایران رخ دهد، به نظر شما چند سازمان تاب می‌آورند؟ کارشناسان حوزه امنیت خیلی به این موضوع خوش‌بین نیستند و مشکل اصلی را نه‌فقط در نبود شرکت‌های امنیتی قدرتمند در ایران بلکه در بی‌برنامگی، رانت و نگاه کوتاه‌مدت مدیران در موضوع امنیت سایبری می‌دانند.

⬅️ البته باید به این نکته توجه کرد که ماهیت شرکت‌های امنیتی با کسب‌وکارهای B۲C کاملاً متفاوت است و به همین دلیل نمی‌توان از آنها انتظار رشد و شهرت سریع داشت. رویا دهبسته، فاطمه مشرفی و علیرضا قهرود متخصصان حوزه امنیت سایبری هر کدام از زوایای متفاوت مشکلات بنیادین این حوزه را بررسی کرده‌اند.


🖥برای تهیه اشتراک ماهنامه پیوست می‌توانید به سایت پیوست و بخش اشتراک ماهنامه مراجعه کرده و پس از عضویت در سایت، اقدام به تهیه اشتراک یک‌ماهه تا یک‌ساله کنید.

🆔 @peivast
#پیوست۱۳۷

🔗متن کامل این گفت‌وگو را در سایت و ماهنامه پیوست بخوانید:
https://pvst.ir/m64

Honoring a Colleague:
Friendship, Ethics, and the Future of Cybersecurity

Reza Rashidi
Hadess | حادث
Diyako Secure Bow
my dear friend and valued colleague❤️🙏, has moved to Germany to continue his studies and gain international experience. I can confidently say he is one of the rare individuals who embodies both deep expertise and genuine integrity a combination many lack. His absence is truly felt; from project meetings and joint work to the laughter and memories we shared.

I still remember the Forensic analysis of a ransomware case worth several hundred thousand dollars a heavy challenge that, through teamwork and perseverance, turned into an unforgettable experience.

This journey left me with a timeless reminder: higher authorities, including the Passive Defense Organization and the Presidential ICT Security Office, must drive cybersecurity culture from the top down. Such an approach not only ensures compliance with essential security controls but also makes a significant contribution to strengthening risk management at both national and organizational levels.

رضا رشیدی، دوست و همکار ارزشمندم، برای ادامه تحصیل و کسب تجربه‌های بین‌المللی راهی آلمان شد. با اطمینان می‌گویم او از معدود افرادی است که در کنار دانش و تخصص، اخلاق‌مداری واقعی را به نمایش می‌گذارد؛ ویژگی نادری که بسیاری از افراد فاقد آن هستند. نبودنش واقعاً احساس می‌شود؛ از جلسات پروژه‌ها و کارهای مشترک گرفته تا خنده‌ها و خاطراتی که در ذهنم ماندگار شده‌اند.

هنوز هم یاد ماجرای تحلیل Forensic روی باج‌افزار چندصدهزار دلاری لبخند به لبم می‌آورد؛ چالشی سنگین که با همکاری و تلاش، به تجربه‌ای فراموش‌نشدنی تبدیل شد.

این مسیر برای من یک یادآوری تکرار درس نامه ای از درس کلیدی داشت: نهادهای بالادستی، از جمله پدافند غیرعامل و افتای ریاست جمهوری و …، باید فرهنگ‌سازی امنیت سایبری را از بالا به پایین هدایت کنند. چنین رویکردی نه تنها اجرای حداقل کنترل‌های امنیتی را تضمین می‌کند، بلکه به ارتقای مدیریت ریسک در سطح ملی و سازمانی کمک شایانی خواهد کرد.


— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.10

AI Is Reshaping Careers, Not Replacing Them

•Young workers (22–25) are hit hardest: most entry-level, routine tasks are the first to be automated.
•Experienced professionals (30+) gain more value: strategic thinking, networks, and decision-making can’t be easily replaced.
•Hands-on jobs (repairs, caregiving, physical work) remain safer for now.
•Future warning for youth: success will depend on hybrid skills → technical + business knowledge, AI fluency + problem-solving, and strong soft skills.

The Stanford findings show AI isn’t killing jobs, it’s changing their nature. Companies no longer want just “task-doers” they need people who can design, guide, and create value beyond the routine.

https://digitaleconomy.stanford.edu/publications/canaries-in-the-coal-mine/

چرا جوان‌ها بیشتر تحت فشار AI هستند؟
بیشتر ورودی‌های جدید بازار کار (۲۲ تا ۲۵ سال) معمولاً روی کارهای روتین، کم‌ریسک و تکراری متمرکز می‌شن. همین‌ها دقیقاً اولین جاهایی هستن که هوش مصنوعی می‌تونه سریع‌تر، ارزون‌تر و با خطای کمتر انجام بده. مثال روشنش تو بازاریابی دیجیتال و خدمات مشتریان هست: تولید محتوای ساده، پاسخ‌گویی اولیه به مشتری یا تحلیل داده‌های سطحی، همگی به‌راحتی اتوماسیون می‌شند،

چرا افراد باتجربه سود بردند؟
افراد بالای ۳۰ سال معمولاً تجربه عملی، شبکه ارتباطی و قدرت تصمیم‌گیری استراتژیک دارند. این ویژگی‌ها به‌سادگی قابل جایگزینی با AI نیست. شرکت‌ها متوجه شدند که ترکیب تجربه انسانی با ابزارهای AI بهره‌وری رو چند برابر می‌کنه. در نتیجه تقاضا برای افراد مید-لِوِل و سینیور بیشتر شده.

چه مشاغلی هنوز امن‌ترند؟
حوزه‌های فیزیکی و عملی مثل تعمیرات صنعتی، مراقبت‌های پزشکی/اجتماعی و کارگری هنوز دور از دسترس هوش مصنوعی هستند. چون AI می‌تونه تحلیل کنه ولی نمی‌تونه پیچیدگی محیط واقعی یا کارهای دستی رو جایگزین کنه. البته رباتیک و اتوماسیون صنعتی در آینده این بخش‌ها رو هم هدف می‌گیرند، ولی سرعت نفوذش به اندازه بخش‌های اداری نیست.

هشدار اصلی برای جوان‌ها
ورود به بازار کار در آینده بدون مهارت‌های ترکیبی (Hybrid Skills) سخت‌تر می‌شه:
• دانش تکنیکی + درک کسب‌وکار
• کار با ابزارهای AI + مهارت حل مسئله و خلاقیت
• مهارت‌های نرم (ارتباط، تیم‌ورک، مذاکره)
اگر نسل جوان فقط روی وظایف روتین تکیه کنه، به‌سرعت توسط AI کنار زده می‌شه. اما اگه بتونه نقش خودش رو از “انجام‌دهنده” به “طراح و هدایت‌کننده” ارتقا بده، فرصت‌های جدید براش باز می‌شوند.

تحلیل
یافته‌های استنفورد درست می‌گه که AI شکاف بین نسل تازه‌وارد و نیروهای باتجربه رو بیشتر کرده. اما اصل ماجرا اینه که AI کارها رو از بین نمی‌بره، بلکه ماهیت اون‌ها رو تغییر می‌ده. سازمان‌ها دیگه به دنبال “نیروی تازه‌کار برای کارهای تکراری” نیستن، بلکه دنبال کسایی هستن که از همون ابتدا توانایی کار با AI و ارزش‌افزایی فراتر از روتین رو داشته باشند.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.11

Nothing Yet Everything … Flight Beyond Bounds.

گوی منی و می‌دوی در چوگانِ حکمِ من
در پی تو همی ‌دَوَم گرچه که می‌دوانمت

از ابتدا به انتها

چنین قفس نه سزای چو من خوش الحانیست ،
روم به گلشن رضوان که مرغ آن چمنم

+رومی مولانا و حافظ بزرگ

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.13

https://lnkd.in/d_C4nw2t

https://www.linkedin.com/posts/alirezaghahrood_nothing-yet-everything-flight-beyond-bounds-activity-7372436970653835264-MKj_

Massive Leak of China’s Great Firewall or … Contractors

Over 500–600 GB of internal documents, source code, and technical logs allegedly from Geedge Networks and the MESA laboratory (part of the Chinese Academy of Sciences) have been leaked online.

The files reportedly reveal details of censorship tools including the Tiangou Secure Gateway (TSG) capable of filtering encrypted traffic, blocking VPN/V2Ray usage, shaping traffic, and marking suspicious connections.
Evidence suggests similar surveillance technology has been exported to countries such as Myanmar, Pakistan, Ethiopia, and Kazakhstan under China’s Belt & Road framework. Analyses by cybersecurity researchers and journalists (e.g., Wired, GFW Report) are ongoing, and legal/ethical implications remain significant.

شاید بزرگ‌ترین نشت تاریخ (دیوار آتش بزرگ چین)
چه چیزی لو رفت؟

به‌تازگی بیش از ۵۰۰ تا ۶۰۰ گیگابایت اسناد داخلی، کد منبع، لاگ‌های فنی و ارتباطات داخلی شرکت Geedge Networks و آزمایشگاه MESA وابسته به مؤسسه مهندسی اطلاعات آکادمی علوم چین افشا شده‌اند.

نکات اولیه:
• نام‌ها و مراجع
Geedge Networks تحت نظارت فانگ بینگ‌سینگ، صاحب نفوذی که اغلب به‌عنوان پدر دیوار آتش بزرگ چین شناخته می‌شود. MESA نیز
بخشی از مؤسسه مهندسی اطلاعات چین است.

• ابزارها و پروژه‌ها
مهم‌ترین محصول در مرکز این افشا، Tiangou Secure Gateway (TSG) است؛ سیستمی که قابلیت فیلتر‌کردن ترافیک، مسدودکردن VPN‌ها، مشاهده و تجزیه و تحلیل نشست‌های کاربران و حتی تزریق بدافزار دارد.
• استفاده بین‌المللی
این تکنولوژی‌ها نه فقط در خود چین، بلکه در کشورهایی مثل میانمار، پاکستان، اتیوپی‌… و چند کشور بصورت ناشناخته تحت پروژه کمربند و جاده (Belt & Road) به کار رفته‌اند یا در حال استقرار هستند.
• چالش‌ها و نگرانی‌ها
• کنترل و نظارت گسترده بر کاربران عادی، شامل رصد فعالیت‌های آنلاین هر فرد.
• نفوذ به ترافیک رمزگذاری شده (TLS / QUIC) با تحلیل متادیتا و یادگیری ماشین.
• احتمالاً توانایی مسدودسازی کاربران VPN یا ابزارهای مشابه که برای حفظ حریم خصوصی استفاده می‌شوند.

پیامدها
• این افشا نشان می‌دهد که ابزارهای نظارت و سانسور اینترنتی به محصولاتی تجاری تبدیل شده‌اند که به سرعت در سطح بین‌المللی گسترش می‌یابند.
• کشورها و شرکت‌هایی که از این نوع تکنولوژی‌ها استفاده می‌کنند یا خریداری می‌کنند، ممکن است تحت فشارهای حقوق بشری و بین‌المللی قرار گیرند.
• برای فعالان امنیت سایبری، رسانه‌ها‌ و کاربران معمولی هم زمان آن رسیده که درباره ابزارها، قراردادها، و زیرساخت فنی این سیستم‌ها مطالبه‌گر باشند.

پیشنهاد برای اقدام
• روزنامه‌نگاران و تحلیل‌گران: این داده‌ها را بررسی 😃 و ضعف‌ها و نقاط آسیب‌پذیر را شناسایی کنید.
• سازمان‌های حقوق بشری: پیگیری قانونی برای مسئولیت‌پذیری بازیگران این حوزه.
• کاربران: آگاهی از ابزارهایی که دسترسی به اینترنت را تحت نظارت قرار می‌دهند، و استفاده از راه‌کارهای حفظ حریم شخصی.

— CISO as a Service —
| Strategic Cyber Defense & GRC
Resilient Through Knowledge
2025.09.15

#DiyakoSecureBow
————————————
CISO as A Service (vCISO)

Celebrating the Backbone of Technology
Today we honor IT professionals who keep our digital world secure, connected, and running smoothly. From solving complex challenges to protecting organizations against cyber threats, their dedication drives innovation and resilience every single day.
The third Tuesday of September is recognized as IT Professionals Day, a special moment to acknowledge their critical role in shaping the future of technology.
At Diyako, we are proud to celebrate the incredible work of IT experts and thank them for being the true backbone of modern technology.
Happy IT Professionals Day! 🚀💻

-Secure Business Continuity-
2025.09.16
————————————————
#CyberSecurity #IT #Professionals #IT_Professionals

https://www.linkedin.com/posts/diyako-secure-bow_diyakosecurebow-cybersecurity-it-activity-7373573886128500736-oSAX