روزانه بسیاری از نهادها و سازمانها مورد حملات سایبری قرار میگیرند که تعداد زیادی از آنها با استفاده از سامانههای امنیتی بومی موفق به نفوذ نمیشوند؛ اما برخی از آنها مانند هک اخیر سامانه جایگاههای سوخت مشکلات متعددی را برای کشور به وجود میآورند؛ هرچند که این اتفاقات در سراسر جهان رخ میدهد و امری غیرعادی نیست؛ اما باید با توجه به شرایط خاص کشور این رخدادها به حداقل برسد.
با توجه به اهمیت این موضوع به سراغ هاشم حبیبی، کارشناس امنیت اطلاعات و مدیرعامل شرکت امنافزار گستر شریف رفتیم و با او گفتگو کردیم.
به تازگی سیستم جایگاههای پمپ بنزین دچار حمله سایبری شد، برای مقابله با این حملات باید چه کرد؟
حبیبی: زیرساختهایی مانند سیستم کارت سوخت و پمپ بنزین که حیاتی و حساس هستند و در صورت رخداد حادثه و هک برای کشور بحران ایجاد میکنند از اینرو باید برای امنیت آن ساختار حقوقی ایجاد شود. اگر فکر کنیم یک واحد فناوری اطلاعات و ارتباطات و یک واحد کوچک امنیت ایجاد کنیم و این واحد امنیت شروع به بستن قراردادها و مناقصههای متعدد کند نهایتا امنیت برقرار میشود. پیشنهادی که شورای عالی فضای مجازی سال گذشته مصوب کرد و الان هم در وزارت ارتباطات و فناوری اطلاعات دنبال میشود این است که اپراتورهای امنیتی راه بیفتد.
سازمانهایی که بزرگ هستند یا خیلی مسائل امنیتی دارند مثل وزارت دفاع یک شرکت امنیتی ایجاد میکنند. شرکتی که در کنار سازمان خودشان وظیفه امنیت سایبری را برعهده دارد، ولی برخی از سازمانها مانند وزارت نفت یا وزارتخانههای دیگر شاید نتوانند شرکت ایجاد کنند؛ البته من توصیه هم نمیکنم که این کار را انجام دهند، چون ایجاد چنین شرکتی یعنی کار دولتی کردن.
امکان کاهش ضریب وقوع ناامنی با اقدامات امنیتی
پس توصیه شما چیست؟
حبیبی: برای اینکه بتوانند این موضوع را حل کنند باید یک ساختار حقوقی برای خود داشته باشند. در این راستا نیاز است به سراغ شرکتهای بزرگ حوزه امنیت بروند، شرکتهایی که توان مالی و سابقه کاری زیاد داشته و به صورت همه جانبه کار کرده باشند. به عبارتی راهکار جامع داشته باشند و تمام اختیارات امنیتی به آن شرکت واگذار شود و این شرکت دیگر مسئولیت امنیت سازمان مربوطه را برعهده بگیرد. اگر اختیار کامل به آن شرکت داده نشود اصلاً ارزشی ندارد.
چه ضرورتی دارد که اپراتور امنیتی اختیار کامل داشته باشد؟
حبیبی: اگر برای سازمان مربوطه مشکل امنیتی ایجاد شود این شرکت هم باید در کنار ریاست و مدیران ارشد سازمان جوابگوی امنیت باشد. وقتی این اتفاق بیفتد که شما اختیارات و مسئولیت لازم را بدهی و به وقتش پاسخگویی بخواهی شرکت موظف است تا از تمام اختیارات، توان و نیروی خود استفاده کند که آن سازمان را امن نگه دارد و به عبارتی این شرکت برای آبرو و بیزینس خود موظف است همه تلاش خود را به کار گیرد تا سازمان مربوطه دچار ناامنی نشود، این باعث میشود که سازمان کمتر دچار ناامنی شود. هرچند که امنیت صد درصد نیست و ممکن است با همه این اوصاف باز هم ناامنی اتفاق بیفتد، ولی میتوانیم ضریب و احتمال وقوع آن را کمتر کنیم.
هر شرکتی نمیتواند اپراتور امنیتی بشود
اپراتور امنیتی باید چه ویژگیهایی داشته باشد؟
حبیبی: البته هر شرکتی نمیتواند اپراتور امنیتی بشود. داشتن راهکار جامع و محصول و خدمت مرتبط، فعالیت در حوزه امنیت کشور و داشتن نیروی انسانی قوی و ... لازمه این شرکتهای اپراتور امنیت است. این شرکتها میتوانند از توانمندی شرکتهای خصوصی، استارتآپها و نیروی انسانی داخل بازار استفاده کنند و سازمان مربوطه را امن نگه دارند.
از حملات سایبری اتفاق افتاده درس نمیگیریم!
علت اینکه این روزها بیشتر درگیر حملات سایبری میشویم را چه میدانید؟
حبیبی: من فکر میکنم اینکه ما از هکهای اتفاق افتاده درس نمیگیریم و باز هم به سراغ همان راهکارهای قدیمی میرویم، این مشکل از ریشه حل نمیشود. یعنی به عبارتی وقتی هک میشویم تازه قراردادی را امضا میکنیم و به دنبال امنسازی هستیم.
مدیریت کردن این قراردادها و تضادهایی که ایجاد میشود، امنسازی یکپارچه نمیشود. مثلا شرکت اول راجع امنیت نرمافزار صحبت میکند و شرکت دوم راجع امنیت شبکه، این دو باهم در یک مواردی تناقض دارند؛ اما اگر یک شرکت اپراتوری بالا سر این دو شرکت باشد و شرکت اپراتور فهم دقیقی از امنیت داشته باشد میتواند این تناقضها را حل کند. به عبارتی بگوید که نرمافزار، شبکه، ارتباطات و نیروی انسانی امن باشد و همه اینها را در کنار هم میبیند و احتمال وقوع ناامنی کمتر میشود.
منبع: آنا