تشریح چالش های امنیت فضای مجازی؛

رسیدن مرز سایبری کشور به گیت وی سازمان ها

رسیدن مرز سایبری کشور به گیت وی سازمان ها

یک پژوهشگر حوزه امنیت فضای مجازی با اشاره به اینکه متاسفانه مرز سایبری کشور به پشت گیت وی سازمان ها و شرکت ها رسیده است، اظهار داشت: دستگاه واحدی باید مسئول جریان داده ای و امنیت سایبری کشور شود.


دکتر احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی در گفتگو با خبرنگار مهر به تشریح چالش های حوزه امنیت سایبری پرداخت و به این سؤال پاسخ داد که آیا قوانین فعلی در حوزه امنیت داده در کشور کفایت می کند و یا این که نیازمند تدوین قوانین و مقررات در حوزه حکمرانی داده هستیم. وی با اعلان اینکه در حوزه امنیت داده در فضای مجازی، مسئولیت ها نه برای ناظر و نه برای دارنده داده، مشخص نمی باشد، گفت: اصولاً محور امنیت حراست از دارایی نامشهود یا داده است. یعنی مقرر است داده مورد نیاز برای هدفی خاص توسط ذی نفعان مشخص، تحت سیاست های دقیق و رفتارهای اصولی، به اشتراک و توسعه گذاشته شود و نظامات کنترلی متقن برای آن برقرار شود. کیانخواه با اشاره به این که هر سازمان دارای یک ساختار تقسیم وظایف است که هر بخش و جایگاهی کار خویش را انجام می دهد و این وجه سخت سازمان است، افزود: سازمان دارای یک وجه نرم است که فرآیندها و کارها را به پیش می برد. این همان مفهوم حکمرانی است. وی با اعلان اینکه اشکال وضعیت جاری در حوزه سازمان های ما، وظیفه گرا شدن است افزود: یعنی مفهوم حکمرانی ناظر به نتیجه یا پیامد کار صورت نمی گیرد. همانند مثل معروف کندن چاله! یعنی دغدغه مدیران، مجریان زیرساخت و شبکه، متصدیان امنیت سایبری و ناظران حوزه امنیت توجه به جریان و برآیند این فعالیت ها نیست. بلکه مسئله انجام صرفا وظیفه مشخص شده، بدون توجه به گام قبل و بعد آن و نتیجه و پیامد مورد انتظار است. نظام جامع امنیت سایبری برای توسعه اقتصاد دیجیتال ایجاد شود این پژوهشگر حوزه امینت و حکمرانی فضای مجازی تصریح کرد: نیازمند برقراری نظام جامع هستیم تا شاکله جریان امنیت را در جهت توسعه دولت الکترونیکی و اقتصاد دیجیتال مشخص نماید. عموماً دو نوع نظارت وجود دارد، نظارت مبتنی بر نتیجه که گذشته نگر است و با رخداد، خسارت آن شاید اصلاً قابل جبران نباشد و نظارت آینده نگرانه که به رصد لحظه ای و پیشبینی ها استوار است. وی با اعلان اینکه در این راستا مراکز نظارتی باید یکپارچه شوند و مراکز داده با حفظ محرمانگی باید شناسنامه دار باشند، اشاره کرد: شبکه اینترنت داخل کشور از لحاظ شکل جریان داده ای نیازمند نظارت مستمر است. جریان های ناهنجار باید رصد و کشف و متوقف شود. این که مرز سایبری کشور به پشت دروازه ( GateWay) سازمان ها و شرکت ها رسیده جای تأسف و بازبینی را دارد. کیانخواه با اشاره به این که الان مراکز داده که احتیاج به عرضه خدمات برخط دارند، بدون کمک و پناه مطمئن رها شده اند و در حد پیامک و اطلاع رسانی های سایت محور به آنها توجه می شود افزود: نیازمند سازماندهی متمرکز جهت استفاده از توان بخش عمومی، دولتی و خصوصی برای ارتقا مستمر امنیت سایبری کشور هستیم. از طرفی دستگاه واحدی باید در حوزه امنیت سایبری مسئولیت پذیر باشد که در عین سازماندهی متمرکز و رصد مستمر شبکه و جریان داده ای کشور، هم گام و هم یار دستگاه ها در حفظ امنیت سایبری کشور که هم ردیف امنیت سرزمینی قرارگرفته، باشد. باید برای دهه های آینده از همین امروز آماده شد. چالش جدی دو مرکز ماهر و افتا وی در پاسخ به این سؤال که نهادهایی مانند مرکز افتا، مرکز ماهر، سازمان پدافند غیرعامل و پلیس فتا طبق مصوبه شورایعالی فضای مجازی دارای مسئولیت هایی دراین زمینه هستند اما با این وجود چرا شاهد تعدد اتفاقات در حوزه درز اطلاعات و افشای داده و تهدیدات در فضای مجازی هستیم که هیچیک از این نهادها مسئولیت آنرا بر عهده نمی گیرند، اظهار داشت: اصل وجود قانون اقدام مثبتی است. دستگاههای مختلفی در حوزه امنیت فعال می باشند و این تقسیم کاری برای ایجاد هم افزایی خوب است. اما مساله این است که آیا امنیت و مقابله با حوادث سایبری در این قانون به درستی دیده شده است؟ این پژوهشگر حوزه امنیت و حکمرانی فضای مجازی با اشاره به این که شبکه اینترنت کشور از لحاظ دسترسی Flat است، توضیح داد: یعنی درخواست (Request) به یک سرور در مرکز داده داخلی از نقطه ای خارج از کشور با مسیریابی های بدون مانع وارد می شود. البته ذات دسترسی در اینترنت و مسیریابی در شبکه هم همین است. یعنی با کمترین هزینه دسترسی و حرکت روی گره های شبکه، پاسخ (Response) به درخواست ارسال می شود. وی افزود: این سهولت مسیر دسترسی به محتوای درون سرورها، برای خرابکاری اینترنتی هم سهولت برقرار می کند. یعنی با کمترین مانع و شاید بدون مانعی، هکرهای اینترنتی به سرور عرضه دهنده محتوا دسترسی پیدا می کنند. حال بر مبنای معماری شبکه عرضه دهنده سرویس و توان هکر یا گروه های هکری، میزان تاب آوری مرکز داده مشخص می شود. کیانخواه با اشاره به این که امنیت دستگاه ها بر مبنای سطح اهمیت بین دو مرکز ماهر و افتا تقسیم شده است، اشاره کرد: وظیفه این دو مرکز ارتقا، توانمندسازی و مقاوم سازی دستگاه ها است. ابزار انجام این وظایف، اطلاع رسانی، آموزش و نظارت های دوره ای است. وی با اعلان اینکه ابتدا باید بپذیریم هرگونه حادثه سایبری غیرقابل جبران بوده یا سخت قابل جبران است، اضافه کرد: به صورت مثال نشت داده هویتی، مالی یا رفتاری کاربران یا از دسترس خارج شدن سرویسهای حیاتی روزمره مردم قابل جبران است؟ پاسخ خیر است. این پژوهشگر با اشاره به این که اشکالات و باگ های نرم افزاری و سخت افزاری سامانه ها عموماً بعد از صدمه پذیری آشکار می شود، افزود: یعنی اول تهدید بالقوه یا بالفعل عملی شده بعد از آن فکر چاره می شود. حال چقدر هشدارها دقیق است؟ این هشدارها چگونه تشخیص داده می شود؟ آیا صرفا با رصد سامانه های امنیتی خارجی هشدارها صادر می شود؟ سوالاتی است که باید پاسخ داده شود. بعضاً هم مشاهده شده با چند روز تأخیر از اعلام جهانی، هشداری صادر می شود. این چالش جدی دو مرکز افتا و ماهر است. دلایل ناکارآمدی مراکز افتا و ماهر به قول کیانخواه، مراکز داده کمتر همراهی مستمر و سایه به سایه این مراکز را مشاهده می کنند و علیرغم تلاشهای زیاد کارکنان مراکز در رابطه با قانون «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» حداقل در یک سال قبل ضربات جبران ناپذیری به فضای سایبر کشور با نشت داده و اطلاعات رخ داده است. وی یکی از علل اصلی ناکارآمدی این مراکز را شفاف نبودن مسئولیت ها در مقابل احتمال حادثه عنوان نمود و اظهار داشت: اول این که این مراکز خویش را پشتیبان می بینند و برای خود نقش لجستیکی قائل هستند (حداقل در عمل) و دوم این که به سبب حجم بالای نفوذ حملات سایبری حساسیت ها در کنترل کاهش پیداکرده درصورتی که نشت حتی یک بیت داده جبران ناپذیر است. نگاه را باید فراتر از حال و قدرت سایبری را در آینده جستجو کرد. یعنی همین یک بیت اطلاعات هم امکان دارد منجر به استثمار سده های آینده شود. ارزیابی ریسک امنیت سایبری به درستی انجام نمی شود وی در پاسخ به این سؤال که چرا سامانه های نظارتی سازمان های دولتی و حاکمیتی که مسئولیت حفاظت از اطلاعات را دارند امن نیستند؟ اظهار داشت: در مورد این که چرا سامانه های نظارتی یا غیر نظارتی، امنیت لازم را ندارند، چند نکته مدنظر است. البته عموماً سامانه های نظارتی به شبکه اینترنت متصل نیستند و از امنیت نسبی برخوردار می باشند اما با این وجود حوادث نشان داده است ارزیابی ریسک امنیت سایبری به درستی صورت نمی گیرد، یعنی مخاطره به دقت کشف نمی گردد و احتمال وقوع و دارایی در معرض خطر آن مشخص نمی گردد. کیانخواه اظهار داشت: وقتی مدلهای ارزیابی ریسک دستگاههای ناظر بررسی می شود، این بی توجهی و بی دقتی قابل مشاهده می باشد. انواع و اقسام ریسک ها برای سازمان ها از تجربیات و استانداردهای مرتبط استخراج می شود. این مورد فقط حساسیت دستگاه ها نسبت به کشف ریسک های حقیقی و حیاتی را کم می کند. هزینه تجهیزات امنیتی بالاست وی با اشاره به این که هزینه تجهیزات امنیتی بالا است و فرآیند خرید و آموزش و عملیاتی سازی تجهیزات سازمان ها حتی اگر در بودجه مصوبشان باشد، ماه ها طول می کشد، اظهار داشت: مدیریت سازمان ها عموماً تمایلی به هزینه در حوزه امنیت ندارند. هزینه برای امنیت در سازمان قابل مشاهده نیست. چون در زمان صحت کارکرد، هزینه کرد برای امنیت هدر رفت منابع توصیف می شود. وقتی هم که حادثه ای رخ می دهد عملاً رخ داده است و مدیریت ها هم مسئولیت قبول نمی کنند. البته بروزرسانی نرم افزاری تجهیزات امنیتی و هزینه برای آن هم مغفول است. این پژوهشگر امنیت فضای مجازی اظهار داشت: آموزش مستمر و اثربخش هم در حوزه امنیت صورت نمی پذیرد و با همان سهل انگاری ذکرشده به این حوزه توجه نمی گردد. چالش اتکا به تکنولوژی های حوزه شبکه و امنیت کیانخواه اظهار داشت: اتکا به صرف تکنولوژی های حوزه شبکه و امنیت هم چالش جدی است. به صورتی که مدیران شبکه و زیرساخت عموماً Vlanبندی، فایروالینگ و اتکا به دستورالعمل های صاحبان تکنولوژی را اصل می دانند. بنظر می رسد علاوه بر توجه به این دستورالعمل ها، ارزیابی ریسک دقیق دارایی های سازمانی و توجه به امنیت بالا همراه با سهولت در عرضه سرویس و معماری دقیق و نظارت پذیری شبکه هم لازم است. اتکا بیش از حد به تکنولوژی ها منجر به کاهش توجه به صدمه پذیرهای واقعی شبکه و زیرساخت می شود. این پژوهشگر حوزه امینت و حکمرانی فضای مجازی اعتقاد دارد که سلامت و صلابت سایبری کشور به متخصصان بخش شبکه و امنیت شبکه گره خورده است و بی توجهی به مساله جبران هزینه مبتنی بر عملکرد آنها و کاهش تمرکز تیم های توسعه و نگهداری شبکه و زیرساخت منجر به افزایش خطر های امنیتی می شود. وی اظهار داشت: ذات فعالیت در حوزه سرویسهای زیرساختی همراه با استرس بالا است. وقتی جبران خدمت هم به درستی انجام نشود مسئولیت پذیری کاسته شده و شاکله شبکه یک سازمان که همانند موجودی زنده و ارگانیک نیازمند پایش سلامتی و مرتفع ساختن مشکلات و چالش ها است، به نابودی می رود. مسائل سایبر نوبه نو می شود و احتیاج به تمرکز و نگهداشت مستمر دارد و جبران خدمت متخصصان این حوزه متناسب با بازار کار و شرایط جهانی، ضرورتی برای عرضه خدمات اثربخش به جامعه است. کیانخواه با اشاره به این که سازمان ها و کسب وکارهای خصوصی و دولتی به سادگی خدمات مختلفی را با یک خط اینترنت، یک سرور و یک فایروال ارزان برای ذی نفعان خود برقرار می کنند، تصریح کرد: در صورتیکه بدون داشتن معماری دقیق شبکه مبتنی بر وضعیت جاری و توسعه پیش رو، تجهیزات مربوطه و نیروی انسانی موردنیاز، نمی توان سرویس و خدمتی را دایر کرد. به سادگی نباید سرویسهای داده محور را بدون رعایت دستورالعمل های مناسب برقرار کرد. روح دستورالعمل ها باید گویای خبرگی و ناظر بر شرایط اجرا باشد و نباید حس بیگانگی با شرایط اجرا و اقتضائات حرفه ای را داشته باشد. همیاری لازم است و نه نظارت خشک.

1400/06/15
11:16:40
0.0 / 5
239
این مطلب را می پسندید؟
(0)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۹ بعلاوه ۱
مهندس وب
مهندس وب web engineers