واکاوی خلأ‌های موجود در تأمین امنیت سایبری/ برای جلوگیری از حملات هکری به چه اقداماتی نیاز داریم؟

به گزارش گروه وبگردی باشگاه خبرنگاران جوان، پس از هر حمله سایبری یا نفوذ، بحث درباره اهمیت امنیت فضای تبادل اطلاعات و فضای سایبر بالا می‌گیرد.

مدتی این موضوع، در صدر اخبار قرار می‌گیرد، درباره آن بحث‌ها می‌شود و کمی بعد رنگ کهنه‌گی به خود می‌گیرد و بار دیگر به فراموشی سپرده می‌شود تا حمله دیگری اتفاق افتاد و باز این چرخه تکرار می‌شود.

در رخداد‌های رایانه ای، مسیر اصلی کسب اطلاع و دریافت اطلاعات موثق از طریق سازمان‌های متولی و مسئول است و اطلاعات صحیح را باید از سازمان‌های ذیصلاح گرفت. اما کارشناسان و متخصصان حوزه امنیت از دید خود، همواره نگاهی ریزبینانه و موشکافانه به وضعیت جاری دارند و حتی گاهی بیشتر آنچه که در پاسخ‌های مقام‌های مسئول دیده می‌شود را نمایان می‌کنند و درباره آن‌ها هشدار می‌دهند.

این بار پس از وقوع حمله سایبری اخیر به سامانه هوشمند سوخت کشور، برای واکاوی و بررسی نقاط ضعف در مقوله امنیت فضای تبادل اطلاعات و سایبر در وضعیت فعلی کشور با «محمد کاشی»، کارشناس حوزه فناوری اطلاعات و ارتباطات گفتگو کرده ایم.

در این گفتگو تلاش کرده ام که به احصاء خلا‌های موجود در حوزه امنیت زیرساخت‌ها بپردازیم و در مسیر شناسایی علل آن‌ها گام برداریم.

علت خلا‌های موجود در امنیت زیرساخت‌ها چیست؟

همواره گفته شده و مشخص است که در کشور در حوزه امنیت زیرساخت‌ها با خلا‌هایی مواجه هستیم که این خلا‌ها چندین علت اصلی مهم دارند و می‌توان ریشه این مشکلات را در چند گروه تقسیم بندی کرد.

بخشی از این نقاط ضعف از گذشته وجود داشته اند و رفع نشده اند و برخی هم محصول وضعیت فعلی هستند که در شرایط ویژه ناشی از شیوع ویروس کرونا و زیر بار رفتن بخش عمده‌ای از تجهیزات و زیر ساخت و رشد چند برابری ترافیک در کشور تشدید شده اند. تا زمانی که این خلا‌ها برطرف نشود، نمی‌توان فرآیند کاملی را برای آمادگی در برابر حملات، پیشگیری از آسیب‌ها و نحوه مقابله را انتظار داشت.

در دولت قبل ساختار پدافند غیرعامل در کشور تضعیف شد

یکی از علت‌های مهم در این باره را می‌توان در تغییر ساختار پدافند غیرعامل در سال‌های قبل جست وجو کرد.

در دولت قبل نگاه به حوزه پدافند غیرعامل، سیاسی شد و در نتیجه در مجموع ساختار پدافند غیرعامل تضعیف شد؛ حتی بودجه پدافند غیرعامل که پیش از این به صورت متمرکز توزیع می‌شد، از این مجموعه گرفته شد و بین دستگاه‌ها پخش شد.

به این ترتیب به هر دستگاه به صورت جداگانه بودجه تخصیص داده شد تا براساس نیاز‌ها و فعالیت هایشان، هزینه کنند. اما باید در نظر داشت که حوزه سایبری یکی از حوزه‌های مهم در حوزه پدافند غیرعامل است و اقدامات این چنینی در نهایت منجر به تضعیف ساختار و توان کلی کشور در مواجه با تهدیدات سایبری در بخش پدافند غیر عامل شود.

مثل همه کشور‌ها آماده مواجه با مشکلی مثل کرونا نبودیم و رشد ترافیک نبودیم

این موضوع که در مواجه غیرقابل پیش بینی و ناگزیر با شیوع ویروس کرونا در کشور دچار آشفتگی شدیم، موضوع تازه‌ای نیست و اتفاقا یکی از حوزه‌هایی که از شرایط خاص ناشی از کرونا دچار آسیب شده، حوزه سایبری است. اما چطور؟

بعد از کرونا دچار بار ترافیکی سنگینی در همه زیرساخت‌های کشور از جمله حوزه‌های بانکی، فیبر‌ها و دیتاسنتر‌ها و شبکه‌های ارتباطی شدیم و همه امورات و فرآیند‌ها به نوعی به سمت مدل‌های آنلاین سوق پیدا کردند. این تحمیل بار جدید به شبکه در حدی بود که برای مثال برخی زیرساخت‌ها که قبلا در حد ۳۰-۴۰ درصد استفاده می‌شدند به اندازه ۶۰-۷۰ درصد زیربار رفتند. در بخش‌های زیر ساختی بسیاری از شرکت‌های ارتباطی و اپراتور‌ها به دلیل تسریع در جریان عملیات شبکه مجبور شدند بسیاری از زیرساخت‌ها رو به صورت کامل زیر بار ببرند. در برخی موارد دچار کمبود قطعات یدکی و مشکلات نبود پشتیبان‌های لازم باشند.

همچنان که این رشد ترافیک حتی برای کاربران عادی هم ملموس بوده است. در ماه‌های اخیر در نتیجه همه این تغییرات، میزان مصرف ترافیک توسط مردم و پلتفرم‌ها صعودی شده است؛ که نیازمند سرمایه گذاری دولت در بخش زیر ساختی و تعرفه گذاری صحیح برای کمک به اپراتور‌های ثابت و سیار برای بازسازی و نوسازی زیر ساخت‌های خود می‌باشد.

رشد بسیار ترافیک شبکه در کرونا، حتی در مواقعی سرویس دهی شرکت‌ها را هم با اختلال مواجه می‌کند

تحریم، دسترسی به تجهیزات به روز را سخت کرده است

یکی از ابزار‌های مهم در مقابله مناسب با تهدیدات سایبری، برخورداری از تجهیزات و امکانات فنی سخت افزاری و نرم افزاری مناسب است. از همین رو یکی دیگر از کاستی‌های موجود در حوزه سایبری در کشور، نبود برخی تجهیزات و مشکلات سخت تهیه تجهیزات در شرایط تحریم است.

به دلیل شرایط تحریم‌های موجود علیه کشور، ورود بسیاری از تجهیزات فنی به داخل کشور سخت شده است و می‌توان این طور گفت که در مجموع کالای فناوری، سخت به دست ایرانی‌ها می‌رسد. البته بخش‌های مختلف درحال بومی سازی برخی زیرساخت‌ها در کشور هستند، ولی نیاز بازار بسیار گسترده هست.

بودجه لازم برای خرید تجهیزات، نیست.

اما علاوه بر سخت بودن خرید و تامین تجهیزات به روز فناورانه برای کشور، با مشکل مهم دیگری یعنی نبود بودجه لازم هم رو به رو هستیم.

به عبارت دیگر، در حال حاضر بسیاری از دستگاه‌ها و سازمان‌ها بودجه لازم برای خرید این تجهیزات را ندارند. زیرا برای مثال یک زمانی در چند سال قبل دلار ۴ هزار تومان بود و دستگاه‌ها می‌توانستند تجهیزاتی را خریداری کنند؛ اکنون با دلار بالای ۲۰ هزار تومان دستگاه‌ها اساسا توان خرید تجهیزات را ندارند.

در شرایط نبود بودجه کافی، دستگاه‌ها ناگزیر به انتخاب راه‌های جایگزین برای رفع نیاز‌های فعلی خود هستند. آن‌ها به ناچار از تجهیزات قبلی و قدیمی استفاده می‌کنند و با نگهداری و به روز رسانی دستگاه‌های موجود، تلاش می‌کنند نیاز روز خود را برآورده کنند. این امر در طولانی مدت سبب کاهش کیفیت تجهیزات و مشکلات متعدد نگهداری و قطع شدن ارتباطات و یا مشکلات سایبری در زیرساخت‌ها می‌شود.

تقسیم کار ملی در حوزه افتا، هنوز کارآمد نیست

یکی از انتقاد‌هایی که همواره به ساختار صیانت از فضای سایبری کشور گرفته می‌شد، نبود متولی واحد در حوزه مقابله با تهدیدات سایبری است.

چندی پیش مرکز ملی فضای مجازی برای حل این مشکل، تقسیم کار ملی در حوزه افتا را مشخص کرد و هر نهاد مسئول حفاظت از بخش‌هایی شد.

اما با این حال باوجود تنوع نهاد‌های مسئول و اقدام کننده در حوزه امنیت فاوا از جمله مرکز افتای ریاست جمهوری، مرکز ماهر وزارت ارتباطات، گروه‌های cert و واکنش سریع زیرمجموعه مرکز ماهر سازمان فناوری اطلاعات ایران، دستورات برای هیچ یک از این نهاد‌ها از یک مرجع متمرکز ابلاغ نمی‌شود.

همچنین در برخی مواقع هم ابلاغ‌ها دیرهنگام است و دیگر فایده‌ای ندارد. زیرا اساسا در دنیا سناریو‌های متعددی برای نفوذ وجود دارد و حتما این طور نیست که برای مثال سناریو ورود از شبکه شناخته شده اینترنت باشد؛ بلکه راه‌های ساده مثل دانلود فایل از اینترنت، بعد ذخیره کردن آن در فلش و سپس دیدن آن روی یک کامیپوترمتصل به شبکه داخلی دیگر، از راه‌های انتشار آلودگی است و الزاما نفوذ‌ها همیشه از راه‌های پیچیده یا دور از ذهن نیست. با توجه به شرایط عامل انسانی یا خطای فردی نیز در این گونه مسایل باعث تسریع جریان نفوذ و ایجاد مشکلات بعدی می‌شود.

بنابراین، به یک متولی واحد در حوزه امنیت نیاز داریم که دستورات را دقیق به طور یکسان به دستگاه‌ها ابلاغ کند.

حوزه سایبری مثل موجودات زنده هستند و سناریو‌های هک و نفوذ دائما تغییر می‌کنند. در هر دو طرف موضوع هک و نفوذ، انسان وجود دارد و هر روز در قالب جدیدی و با فکر جدیدی اجرا می‌شود؛ بنابراین نمی‌توان با این موضوعات مانند امور ثابت و ساکن برخورد کرد و برای آن‌ها بخش نامه و ابلاغیه‌های تکراری و بدون تغییر داشت و هر روز باید متناسب با تهدید روز و شرایط همان روز اقدام کرد و به روز بود.

البته باید به نکته هم توجه داشت که همه این اقدامات به معنی صفر شدن یا رفع کامل تهدیدات سایبری نیست. بلکه این موضوع در واقع مثل دزد و دزدگیر است. اگرچه جلوگیری از حملات سایبری و نفوذ به صورت صد درصدی مقدور نیست بلکه می‌توان احتمال نفوذ را کم کرد یا از صدمات آسیب‌های آن کاست. این امری است که در همه کشور‌های دنیا به صورت مدام در حال تحقیق و توسعه است و آزمایشگاه‌های تخصصی در حال بررسی هستند.

شورایعالی فضای مجازی بالاترین نهاد در موضوع امنیت فضای مجازی است

کمبود آزمایشگاه تخصصی تست داریم

یکی از خلاء‌های مهم دیگر در حوزه سایبری کشور، کمبود یا نبود آزمایشگاه‌های تخصصی حاکمیتی سایبری است.

در حال حاضر، با کمبود آزمایشگاه‌های تخصصی حاکمیتی برای بررسی و کنترل محصولات سایبری مواجه هستیم. برای مثال در کشور روسیه، شرکت‌های متعدد بزرگ امنیتی مانند کسپرسکی را داریم که این شرکت‌ها آزمایشگاه‌های پیشرفته و مجهز سایبری دارند و متعلق به همان کشور هم هستند و همیشه هم در حال رصد و پایش مسایل مرتبط با امنیت سایبری هستند.

در این آزمایشگاه‌ها هم تجهیزات و هم نرم افزار‌ها کنترل می‌شوند و شرایط از بین رفتن خطرات یا کم کردن خطرات در نظر گرفته می‌شود.

مقابله با تهدید علاوه بر فرمانده، تامین مالی و ضمانت اجرا هم می‌خواهد

همه آنچه که به عنوان نیاز‌ها و خلا‌های موجود در بحث سایبری مطرح شد، نیاز به یک اصل اولیه و مهم دارد و آن هم تامین مالی و بودجه است.

تا وقتی که بودجه لازم در اختیار نباشد، فقط با تاکید بر ضرورت اهمیت پدافند غیرعامل یا حتی ابلاغ دستورالعمل و بخش نامه‌های مقابله با آسیب پذیری، موضوع قابل حل نیست. باید وقتی توصیه و راه کاری به دستگاهی ابلاغ می‌شود، روش تامین مالی پروژه‌های ابلاغی برای رفع آسیب پذیری هم دیده شوند؛ بنابراین باید یک نظام گسترده برای بازبینی فرآیند‌ها و بررسی برای ضمانت اجرایی پروژه‌ها حاصل شود.

نمی‌توان به دستگاهی راه کار اجرایی داد و توصیه کرد که چه باید کند، اما بودجه لازم و کافی برای اجرای راه کار‌ها را در اختیارش نگذاشت و سپس توقع بازدهی و به نتیجه رسیدن هم داشت. زیرا بدیهی است که در این صورت دستگاه هم می‌تواند بگوید به دلیل نبود بودجه، دچار آسیب پذیری شدیم.

کمک بخش خصوصی را قبول کنیم

در حالی که به تاکید تمامی کارشناسان، جنگ‌های آینده و اخیر در حوزه‌های سایبری است که هدف آن‌ها هم از کار انداختن زیرساخت‌ها است، اما حاکمیت تنها بازیگران و نقش آفرینان در این جنگ‌ها نیستند.

اگرچه موضوع امنیت در ظاهر مسئله حاکمیتی است، اما موضوع امنیت و بازار محصولات امنیتی همواره مورد توجه بخش خصوصی هم بوده است و تجربه کشور‌های دیگر هم نشان می‌دهد بخش خصوصی می‌تواند نقش مهم و بزرگی در این میان داشته باشد. برای مثال کشور‌هایی مثل روسیه، چین و آمریکا، ده‌ها شرکت امنیتی بزرگ و فعال، فعالیت دارند. این شرکت‌ها محصولاتی در رده‌های جهانی تولید می‌کنند، آزمایشگاه‌های بزرگی را در اختیار دارند که محصولات را تست می‌کنند و بازار بزرگی برای فروش محصولات خود کسب کرده اند.

در واقع می‌توان گفت بخش دولتی موتور یا پیشران در این حوزه است که برای مثال می‌تواند در زمینه‌های تامین بازار، ایجاد مشوق و خرید تضمینی نقش آفرینی کند و بخش خصوصی برای ایجاد محصول عهده دار مسئولیت شود.

بخش خصوصی علاوه بر تولید محصول، در حوزه آموزش هم می‌تواند فعال باشد و با یک نگاه درست یک زیست بوم مناسب برای کارآفرینی در حوزه زیرساخت‌های سایبری ایجاد کرد.

براساس یک معماری واحد در حوزه سایبری، جلو برویم

در مجموع می‌توان گفت که باید یک معماری واحد در حوزه سایبر داشته باشیم و براساس آن برنامه ریزی کنیم.

چند سالی است که موج ایجاد کسب و کار‌های اقتصاد دیجیتال در کشور به راه افتاده است، یکی از نیاز‌هایی که در این حوزه به شدت احساس می‌شود این است که از همین اکنون فکری برای حوزه امینت سایبری با کمک کسب و کار‌ها و پتانسیل‌های دانش بنیان اندیشیده شود.

در حال حاضر، یک سری شرکت دانش بنیان در کشور داریم که در حوزه امنیت سایبری کار کرده اند، اما نمی‌توانند محصولات خود را به سازمان‌های متقاضی بفروشند. زیرا موانع زیادی در این راه وجود دارد و یکی از آن‌ها نگاه مدیران به محصولات خارجی است که هنوز به محصول امنیتی داخلی اطمینان کافی ندارند. بخش امنیت سایبری در کشور، بدون حمایت حاکمیتی و قول صد درصدی بازار به بخش خصوصی راه نمی‌افتاد.

در نتیجه ساختار فعلی، شاهد وضعیت کج دار و مریز در این حوزه هستیم که هرازچندگاهی دچار تهدید و آسیب می‌شویم. در اغلب حوزه‌ها وضع همین است؛ حوزه سوخت که اخیرا دچار تهدید شد و در بنادر و کشتیرانی هم فضا دقیقا همین است؛ زیرا نسبت به تهدیدات نگاه صحیح نداریم و به طور مداوم از تهدید‌ها آسیب می‌بینیم. البته که با بسیاری از خرابکاری‌هایی که علیه کشور می‌شود هم مقابله شده است که در رسانه‌های رسمی و خبرگزاری‌ها گزارشات آن منتشر می‌شود؛ بنابراین در حوزه سایبر، نیاز به یک متولی داریم که هم از نظر اجرایی و هم نظارتی کارآمد باشد و بتواند در عین حال که ناظر است، دستوراتی صادر کند که ضمانت اجرایی هم داشته باشند.

همچنین در این مسیر، نیاز به آماده بودن زیرساخت‌ها داریم که هم مسیر سرمایه گذاری درست باشد هم سرمایه‌ها را به سمت نیاز‌ها جذب کنیم. توجه کنیم که اگر طرح، طرح صحیحی باشد می‌توان از مسیر‌های موجود مانند بانک‌ها یا سایر روش های‌ها برای تامین مالی آن اقدام کرد و محصول مناسب را در زمان مناسب به بازار هدف رساند.

منبع: فارس

انتهای پیام/