شرایط تاب آوری امنیتی زیرساخت های فضای مجازی چگونه است
به گزارش مجله سرگرمی، به گزارش خبرنگاران، سی امین محفل آنلاین هم افزایی فعالان فضای مجازی پاک (فمپ) که توسط جمعیت توسعه گران فضای مجازی پاک برگزار می گردد این هفته به آنالیز شرایط تاب آوری زیرساخت های حیاتی فضای مجازی کشور پرداخت.
ابوالقاسم صادقی معاون امنیت سازمان فناوری اطلاعات در این نشست با اشاره به رخدادهای اخیر سایبری به بعضی زیرساخت های حیاتی کشور گفت: رخدادهای سایبری را می توان در دو گروه طبقه بندی کرد و مورد آنالیز قرار داد. بعضی حملات به معنای واقعی و توسط گروه هایی که فعالیت های مخرب و هدفمند انجام می دهند، بر اساس یک نقطه ضعف در یک شبکه صورت می گیرد و به آن به اصطلاح APT گفته می گردد. گروه دوم مربوط به رخدادهایی می گردد که عامل مخرب شروع نماینده آن نیست بلکه سهل انگاری ها و بی توجهی ها باعث این اتفاقات ناخواسته شده و لطماتی را به بار می آورد.
وی ادامه داد: از اسفندماه سال 98 تا به امروز که با فراز و نشیب های بسیاری در زمینه رخدادهای اخیر سایبری روبرو بودیم برآوردهای ما نشان داد که اغلب این رخدادها در طبقه بندی دوم انجام گرفته و به بیان دیگر ما از سهل انگاری های خودمان بیشتر لطمه خوردیم تا اتفاقات مخرب تیم های منسجم و هدفمند.
اغلب رویدادها از نوع سهل انگاری است
صادقی با اشاره به اینکه از لحاظ حجم کمی نیز ارزیابی ما نشان می دهد که اغلب رویدادها از نوع سهل انگاری است و خسارت افشای اطلاعات را به وجود آورده است، ریشه این رخدادها را به دلیل وجود خلاهای قانونی عنوان نمود و گفت: در کنار این خلاهای قانونی، یک سری خلاهای عملیاتی، نقصان های ابزاری و دانشی نیز وجود دارد اما شدت خلاهای قانونی بیشتر است.
وی گفت: اگرچه کوتاهی ها و تخلفات در حوزه امنیت در سازمان ها را نباید جرم تلقی کرد اما برای مسئولیت حفظ اطلاعات در هر دستگاه ضمانت اجرایی وجود ندارد و در این زمینه مصوبه شورای عالی فناوری اطلاعات که هر دستگاه مسئول صیانت از امنیت خود است، رعایت نمی گردد.
صادقی با اشاره به یادآوری ها، پیگیری ها و تذکرات امنیتی که از سوی مرکز ماهر به دستگاه ها و سازمان ها ارائه شده است، اضافه نمود: از ابتدای سال جاری تا به امروز بالغ بر 2 هزار هشدار امنیتی در خصوص آسیب پذیری ها و انواع حملات در این حوزه منتشر نموده ایم.
وی با بیان اینکه از اسفند 98 تا به امروز بحث اسکن در فضای مجازی کشور را نیز در دستور کار قرار دادیم، ادامه داد: مرکز ماهر سامانه اختصاصی خود برای رصد فضای آلوده کشور را دارد و در این زمینه به یک سری از دیتابیس های باز و حفاظت نشده روی فضای اینترنت دست یافتیم. این موضوع را به صاحبان دیتابیس ها اطلاع رسانی کردیم و مواردی را که صاحبان آنها تعیین نبودند به دادستانی و پلیس فتا و ضابطان قضایی برای پیگیری اعلام کردیم.
معاون امنیت سازمان فناوری اطلاعات گفت: شاید درصد رخدادهای سایبری در کشور ما که از نوع APT صورت می گیرد نسبت به بعضی کشورهای پیشرو بالاتر نباشد اما درصد اشتباهات ما بیشتر است. از سوی دیگر می توان گفت که ما نسبت به متوسط جهان در زمینه حملات هدفمند در یک تراز هستیم و اتفاقات ویژه تری نیز برای ما رخ نمی دهد و حتی شاید زیرساخت های عظیم آنها بیشتر مورد هدف قرار می گیرند.
وی در خصوص نبود الزامات امنیتی برای زیرساخت های حیاتی کشور تاکید نمود: در انتهای سال 97 مرکز افتای ریاست جمهوری دستورالعمل الزامات امنیتی را زیرساخت های حیاتی تدوین و به تمامی دستگاه ها ابلاغ کرد. اگرچه ما در آن موقع نسبت به این دستورالعمل نقد داشتیم و پیش بینی کردیم که این سند با این شرایط قابلیت اجرا پیدا نخواهد کرد اما با این وجود، چارچوب ها و الزامات برای همه دستگاه ها ابلاغ شده است و ما معتقدیم که اساساً در حوزه امنیت احتیاج به دستورالعمل نیست.
صادقی با بیان اینکه مادام نباید به سازمان ها توصیه کرد که یوزر و پسورد خود را به روزرسانی نموده و یا فایروال داشته باشند، ادامه داد: اغلب حملات متعارف توسط تیم های زیرزمینی خیلی متوسط صورت می گیرد و اگر سازمانی با تکنیک های زیر متوسط مورد حمله قرار می گیرد یا سطح دانش فنی آن به نحو آزاردهنده ای پایین است و یا از لحاظ انگیزشی و مادی در آن سازمان اختلالی وجود دارد و نمی توان روی این نقصان، اسم حمله گذاشت.
وی با انتقاد از اینکه نظام ملی پیشگیری و مقابله با حوادث فضای مجازی با وجود آنکه تمام مخاطبان با سطوح مختلف کسب و کارهای خصوصی و شهروندان را دربرمی گیرد اما برچسب محرمانه دارد، در خصوص معماری مقوله امنیت در سطح کشور گفت: حوزه امنیت سایبری خیلی شلوغ و پر از بازیکنان ستاره و پرقدرت در نفوذ و صندلی است اما این ارکان در کنار اصطکاک ایجاد می نمایند و هدررفت های این حوزه زیاد می گردد و باید برای آن کاری کرد.
معاون سازمان فناوری اطلاعات مشکل فعلی در آسیب پذیری ها سایبری در کشور را اقتصاد امنیت عنوان نمود و گفت: باید به این سوال پاسخ داده گردد که چه میزان تامین اقتصادی برای صنعت امنیت در کشور صورت می گیرد؟ پس از آن باید سطح انتظارات خود را در همین حد تامین اقتصادی قرار دهیم. چرا که صنعت بومی امنیت در کشور ما در حد متوسط است اما توقع رقابت با صنایع خارجی را داریم. در این زمینه دچار یک چرخه منفی ناتمام شده ایم که نتیجه آن آسیب به صنعت بومی، خرید محصولات خارجی و از بین رفتن انگیزه نیروهای داخلی می گردد.
وی گفت: ما در سازمان فناوری اطلاعات برطرف چالش اقتصاد امنیت را با دو طرح به صورت همزمان پیش می بریم. نخست اینکه در حوزه خریدهای خارجی با هماهنگی مرکز افتا مصوبه ای به کمیسیون تنظیم مقررات ارتباطات ارائه داده ایم تا تمامی دستگاه های دولتی از خرید تجهیزات خارجی زیرساختی امنیت از جهتی که پیش بینی شده، منع شده و کنترل خرید محصولات امنیتی به صورت اتوماتیک از این جهت انجام گردد.
صادقی ادامه داد: راه حل دوم این است که با یک ادبیات غیر تحکم آمیز با ایجاد چند آزمایشگاه، محصولات بومی و خارجی را ارزیابی عملکردی کنیم. ما معتقدیم که تست های فعلی ناقص است. چرا که صرفاً مجوز تست امنیت در حوزه آسیب پذیری صورت می گیرد اما مشکل این است که باید محصول خارجی و بومی را با هم از نظر عملکردی مقایسه کرد. در این زمینه ما باید زیرساخت بنچ مارکینگ را در محصولات امنیت ایجاد کنیم. این موضوع در سازمان فناوری اطلاعات شروع شده و راه اندازی آزمایشگاه عیارسنجی به عنوان یکی از اجزای برنامه های شبکه ملی اطلاعات در شاخص امنیت در دستور کار واقع شده است. این می تواند یک معیار حرفه ای برای مقایسه با محصول بومی و داخلی باشد که ضعف محصولات بومی را نیز برطرف می نماید. منوط به اینکه شرکت های داخلی ما مزیت ریالی را روی قیمت های تمام شده محصولاتشان اعمال نمایند.
وی تاکید نمود: این روزها نسل های جدید حملات دیداس (DDOS) رو به افزایش است و حملات پروتکلی با اینترفیس چالش عظیمی محسوب می گردد که باید روی آن کار کرد. اخیراً نیز ردپاهایی در کشور دیده می گردد که بعضی حملات منشا داخلی شده و تعجب برانگیز است. در این زمینه نیز ما بر اساس ترندهای بین المللی به یاری مراکز آپا و هم بر اساس نظارت هایی که داریم در حال طراحی راه حل و معماری هستیم.
شرایط کشور در تاب آوری زیرساخت های امنیتی در حد متوسط رو به بالا است
رسول جلیلی عضو حقیقی شورای عالی فضای مجازی نیز در این نشست در خصوص انتقاداتی که به نبود ضمانت اجرایی مصوبات شورای عالی فضای مجازی در خصوص امنیت سایبری وارد است شرح داد و گفت: در زمینه امنیت سایبری وجود قانون لازم است و به همین دلیل شورای عالی فضای مجازی در نظام مقابله با حوادث فضای مجازی تکلیف دستگاه ها برای امور مختلف را تعیین نموده است. دسته بندی خوبی در نظام پیشگیری ایجاد شده و تکلیف زیرساخت های حیاتی، غیر حیاتی، بخش خصوصی و آحاد جامعه تعیین شده است. طبق این نظام، مرکز افتا، مرکز ماهر، پلیس فتا و غیره حیطه وظایفشان را می دانند.
وی با بیان اینکه هر قانونی هرچقدر محکم و با خط و مرز تعیین باشد اما باز هم به مواردی برخورد می کنیم که با کاستی و اشکال احتاقتصادی روبرو است و میانگین اجرای قوانین در هیچ کجای جهان به 100 درصد نمی رسد، اضافه نمود: عملکرد شورای عالی فضای مجازی در حوزه امنیت خوب بوده است اما با این حال نسبت به احتیاجمان به قوانین با کاستی روبرو هستیم.
عضو حقیقی شورای عالی فضای مجازی در خصوص احتیاج کشور به دانشگاه ها در حوزه امنیت و یاریی که دانشگاه ها می توانند برای ارتقای تاب آوری زیرساخت ها داشته باشند، تاکید نمود: در بحث امنیت سایبری احتیاجی به تحصیلات دانشگاهی نداریم بلکه احتیاجمند آموزش حرفه ای و تک درسی و چند درسی هستیم. کما اینکه قبلاً گرایش رایانش امن در مقطع کارشناسی وجود داشت و 20 واحد درسی نیز به آن اختصاص می یافت. اما در 6 سال اخیر با تلفیق گرایش ها، دانشجویان کارشناسی کامپیوتر تنها 3 واحد امنیت داده و شبکه می خوانند. این موضوع اثر ویژه ای در افزایش توانمندی آنها در حوزه امنیت ندارد و تنها من باب آشنایی است. این واحدهای دانشگاهی هیچ آمادگی را برای کارشناسان سازمان ها ایجاد نمی نماید.
وی گفت: در حوزه کارشناسی ارشد نیز در گرایش رایانه امن 15 واحد دانشگاهی از مبانی رمزنگاری تا امنیت نرم افزار تدریس می گردد که باز هم کفایت نمی نماید؛ دانش این حوزه باید حرفه ای باشد و توسط یک سری آکادمی ها که از سازمان پدافند غیرعامل، مرکز ماهر و افتا مجوز می گیرند باید آموزش داده گردد.
جلیلی با اشاره به اینکه در حوزه پژوهش نیز اقداماتی که در حال اجرا است در این سطح امنیت نیست، ادامه داد: پرورش نیرو وظیفه دانشگاه ها است اما یک گستره ای از دانش وجود دارد که باید منطبق با هر احتیاج کافرما، آموزش داده گردد. سیستم آموزشی ما منطبق با جهان است اما دانشگاه نمی تواند یک کارشناس ضد حمله برای آماده رزم در فضای مجازی آموزش دهد. بلکه احتیاج به آموزش و دوره دارد.
وی در خصوص اینکه نمره ما در تاب آوری زیرساخت ها چند است، اضافه نمود: در همه جای جهان بحث آسیب پذیری زیرساخت های حیاتی مطرح از درون و بیرون وجود دارد. ما نیز در مجموع در وضع متوسط به بالا از نظر تاب آوری قرار داریم. با توجه به شرایط تحریم های موجود به وسیله فضای مجازی این آسیب پذیری ها متصور است. مبدا این حملات ممکن است به وسیله بعضی کشورهای منطقه و خصومت ها یا رقابت ها باشد. به این دلیل نمی توان نمره تاب آوری کشور را با یک سری کشورهایی که دشمن ندارند، قیاس کرد.
عضو شورای عالی فضای مجازی با بیان اینکه در زمینه توان مغزافزاری ما از بهره هوشی و مغزافزاری جهان سهم داریم و آمادگی پدافندی و افندی نیز در کشور وجود دارد، در خصوص نقش سازمان های بین المللی در خصوص حملات سایبری گفت: در سطح بین المللی خیلی از کشورها قوانین حملات سایبری در محدوده حمله سرزمینی دارند و ستاد نیروهای مسلح کشور ما نیز بیانیه ای در این خصوص داده که در حد قانون است. به این معنی که حریم فضای مجازی ما به مثابه حریم هوایی ما محسوب می گردد. در این زمینه سازمان ملل تا به حال به موضوع حریم امنیت سایبری کشورها ورود ننموده است و شاید منتظر هستند که جنگ جهانی بعدی در فضای مجازی اتفاق بیافتد.
43 درصد حملات سایبری جهان به مقصد ایران صورت می گیرد
اسماعیل باقری اصل کارشناس امنیت صنعتی نیز در این نشست آنلاین با اشاره به وجود بعضی نقصان ها در بعضی زیرساخت های سایبری کشور، گفت: آنالیز ها نشان می دهد که ما در حوزه حاکمیتی امنیت سایبری شاهد ضعف های قانونگذاری، نبود دانش کافی و تحریم ها هستیم. به این دلیل شبکه ای که پیاده سازی می گردد در آن بحث امنیت به صورت جدی پیگیری نمی گردد.
وی با اشاره به اینکه موارد متعدد نشت اطلاعات پیامدهای زیادی برای جامعه دارد و این ناامنی اگر مداوم باشد تبعات اجتماعی به همراه خواهد داشت، در خصوص شرایط زیرساخت های حیاتی کشور و اینکه ناامنی این زیرساخت ها در چه سطحی است، گفت: زیرساخت های حیاتی بیشتر در تامین تجهیزات متمرکز هستند و با توجه به مقوله تحریم ها، شاهد هستیم که به روزرسانی یک سری از فیچرهای امنیتی سخت تر شده است. از سوی دیگر شاهد ضعف در ارائه الزامات امنیتی هستیم و سازمان های عظیم ما در کشور سند الزامات امنیتی را رعایت نمی نمایند.
باقری اصل با تاکید بر اینکه استراتژی های امنیتی در کشور جدی گرفته نشده و به صدمات این حوزه توجه نمی گردد، گفت: طراحی شبکه هم گاهاً ضعف های خیلی ساده دارد. برای مثال در یکی از رخدادهای انجام شده علیه یکی از سازمان های کشور، چندین سرور در یک پورت قرار داده شده بود و هیچ جداسازی در امنیت شبکه انجام نشده بود. از سوی دیگر شاهد نقصان ابزارهای دانشی هستیم.
وی در خصوص شرایط تاب آوری زیرساخت های امنیتی گفت: آمارهای مراکز تحقیقاتی امنیتی مانند NOD32 نشان می دهد که ایران در حوزه حملات بدافزارهای موبایل، رتبه اول جهان را دارد و کسپرسکی در این زمینه رتبه سوم را به ایران اختصاص داده است. این در حالی است که 43 درصد از حملات سایبری در جهان به سمت ایران صورت می گیرد. این مساله نشان می دهد که کشورهای متخاصم سعی در نفوذ به کشور ما دارند و طبیعی است که کشور ما را مورد هدف و هجوم قرار دهند.
این کارشناس نبود ساختار تعیین در مدیریت دسترسی را از جمله نقصان های فعلی عنوان نمود و اضافه نمود: نبود مدیریت دسترسی داده های دیجیتال و نبود ساختار حوزه مسئولیت، می تواند به قانون گریزی یاری کند. در این حوزه امکان اثبات جرم و تخلف وجود ندارد و احتیاج داریم به سمت بلوغ برویم. حیطه های مربوط به داده ها را تعیین کنیم تا مسئولیت پذیری برای هر فرد تعیین گردد.
وی تاکید نمود: در بحث قانونگذاری نیز مجلس باید ورود کند و نهادهای حاکمیتی مانند شورای عالی فضای مجازی و نیز مراکز افتا، ماهر و پدافند غیرعامل و وزارت ارتباطات نیز اگر نقصی در حوزه وجود دارد را باید اعلام نمایند. از سوی دیگر باید در کشور پیمایش امنیت زیرساخت های حیاتی با دقت بیشتری پیگیری گردد.
منبع: خبرگزاری مهرchinaro.ir: تور چین ارزان قیمت، تور پکن، هانگزو، شانگهای، تور نوروز چین همگی را در این وبسایت بیابید.
cicagraphic.ir: مجله گرافیک | همه چیز درباره طراحی بصری و گرافیکی
dorezamin.ir: مجله دور زمین | تور ایتالیا اسپانیا، تور اروپا، تور تایلند، تور مالزی، تور دبی