امنیت اطلاعات شماره دهم

اعتماد عمومي به فضاي سايبری درخطر است

نوشته شده توسط admin

حملات سایبری علیه سایت‌های دولتی؛ جنگ سایبری یا جنگ روانی

اعتماد عمومي به فضاي سايبري درخطر است

 

خردادماه بود که سايت‌هاي اينترنتي برخي سازمان‌هاي دولتي آماج حملات سايبري قرار گرفت که البته به‌زعم کارشناسان در سطحي بسيار پايين اما آزاردهنده بود. ولي به‌گفته همين کارشناسان امنيتي چنين حملاتي بر اعتماد جامعه نسبت به فضاي مجازي کشور تاثيرگذار خواهدبود و اين اتفاق هزينه‌هاي گزاف مادي و معنوي براي کشور به بار خواهد‌آورد. از سوي ديگر دنياي نوين با پيشرفت شتابنده تکنولوژي به‌سوي مفهوم جديدي از مبارزه به‌نام جنگ سايبري مي‌رود و کشور ما به‌لحاظ موقعيت جغرافيايي و سياسي از جنگ‌هاي سايبري مصون نيست پس توان امنيتي بالا در پيشگيري از حملات و يا مقابله با چنين رويدادهايي ضرورت دارد تا ديگر تجربه‌اي مانند استاکس‌نت چندين و چندسال مخفيانه بلاي جان اطلاعات ارزشمند کشورمان نشود. همه اينها باعث‌شد تا ماهنامه ديده‌بان فناوري طي ميزگردي به بررسي برخي جنبه‌هاي اين موضوع با حضور کارشناسان امنيت کشور بپردازد. مهندس محمد جواهري، مديرعامل شرکت پندار کوشک ايمن و مهندس حميد بابادي‌نيا، مديرعامل شرکت گيلاس کامپيوتر در اين ميزگرد همراه ما بودند. هدايت ميزگرد را نيز سردبير ماهنامه برعهده داشت.

 

پس از بروز حملات به وب‌سايت‌هاي دولت، واکنش‌هاي مختلفي در اين مورد اتفاق افتاد. برخي جبهه‌گيري‌ها و انکارها در کنار برخي انتقادها اين موضوع را دچار حواشي مختلفي‌کرد. شما وضعيت امنيت سايبري کشور را چگونه مي‌بينيد و به‌طور‌کلي چه نظري درباره اين مسائل داريد؟

بابادي‌نيا: يکي از وظايف ما به‌عنوان کارشناسان امنيت،‌ رصد ميزان توانايي‌هاي امنيت کشور در زمينه ديتاهاي مبادله‌شده است و ديگر اينکه وظيفه داريم هشدار دهيم و بسيار جدي اين مسائل را اطلاع‌رساني کنيم. کمااينکه اگر در يک بررسي ميداني امنيت سايت‌هاي موجودمان را با برخي کشورهاي منطقه مقايسه کنيم شايد بتوان گفت که سطح نسبتاً خوبي هم نسبت به کشورهاي حاشيه خليج فارس داريم اما موقعيت خاص ژئوپولتيک ايران و اينکه درست نقطه مقابل ايالات متحده ايستاده‌است موقعيت آن را نسبت به ساير کشورها متفاوت‌تر و حساس‌تر مي‌کند؛ مثلاً امارات که متحد آمريکاست در اين زمينه تهديدي احساس نمي‌کند اما ما بايد به‌دليل اينکه در معرض دشمني‌هايي قرار داريم وضعيت امنيتي خود را منفک از ساير کشورها بدانيم.

ما هميشه مي‌گوييم که بايد روي اين مسائل کارهاي اساسي انجام‌دهيم و طي اين سال‌ها نيز تاکنون کارهايي در کشور انجام شده‌است. تمام صحبت‌هايي که ما در سازمان نظام صنفي و کميسيون افتا داشتيم اين بود که سر و ساماني به حوزه امنيت بدهيم و کشور را از اين شرايط نابه‌سامان خارج‌کنيم. اين امر منجر به خريد تجهيزات امنيتي فراواني شد. البته اين کاري اصولي است و حفاظت از فضاي سايبري بدين شيوه کار درستي است اما بايد اين تجهيزات را رصد کنيم که آيا به طريق مناسب پيکربندي شده و لايسنس‌هاي مربوطه به‌روز شده‌اند يا خير.

اين تجهيزات امنيتي پيشرفته‌ترين تکنولوژي‌هاي روز دنيا را  با خود به‌همراه دارند و ما نمي‌توانيم خودمان را از اين فناوري‌هاي جديد محروم کنيم اما موضوع اين است که کشور ايالات متحده از سرويس‌دهي اين تجهيزات ممانعت مي‌کند لذا بايد يک دانش فني در کشور باشد که بتواند اين تجهيزات را سرپا نگه‌دارد. خوش‌بختانه ما اين دانش را در کشور داريم. در نقطه مقابل، دانش فني ساخت تجهيزات بومي است که ما اين را هم کسب‌کرده و توانسته‌ايم تجهيزات بومي را در داخل کشور با کمک مهندسان خودمان توليد کنيم ولي بايد بپذيريم که در ابتداي راهيم و تحقيقات در اين مسير در حال انجام است تا به سطح قابل‌قبولي مي‌رسيم. در‌حال‌حاضر سطحي که به آن دست‌يافتيم از لحاظ توليد تجهيزات بومي معادل با کشورهاي اروپايي است؛ يعني در حد و اندازه‌اي هستيم که مي‌توانيم خود را در حد برخي کشورهاي اروپايي ببينيم.

 

اگر موافق‌ايد بحث تجهيزات بومي را بيشتر ادامه بدهيم اما ابتدا از آقاي جواهري هم خواهش مي‌کنم که مقداري به ارزيابي وضعيت امنيت سايبري کشور بپردازند تا بعد به سراغ اين مقوله برويم.

جواهري: وضعيت امنيت مسئله‌اي نيست که بتوان شاخص دقيقي براي آن بگذاريم که بر آن اساس بگوييم اکنون در وضعيت خوبي به سر‌مي‌بريم و يا نه. در واقع يک مسئله صفر و يک نيست. همان‌طور که هميشه دزد يک قدم جلوتر از پليس است؛ ما هر اتفاقي که در حوزه امنيت بيفتد و هر پيشرفتي که داشته‌باشيم بايد بدانيم که همواره کساني به‌دنبال هک سيستم‌هاي سايبري هستند و مطمئنا هميشه يک قدم جلوتر از ما.

با تمام اين اوصاف مي‌توان‌ گفت که ايران در منطقه وضعيت بدي ندارد. در حوزه و منطقه‌اي که ما هستيم از نظر امنيت سايبري وضعيت‌مان بد نيست و در زمينه دانش و تکنولوژي نيز وضعيت نسبتاً خوبي داريم اما موضوعي که وجود دارد اين است که موقعيت خيلي خاص ايران آن را متمايز مي‌کند. به عقيده من، ما در وضعيت جنگي هستيم. از وقتي که انقلاب اسلامي پيروز شد ما در ابتدا جنگ تحميلي را داشتيم و بعد موضوع تحريم‌هاي اقتصادي پيش آمد و اکنون حملات کشورهاي ديگر به ايران از جنس جنگ سايبري هستند؛ پس با اين وصف هرچند که در مقايسه با کشورهاي منطقه در وضعيت مناسبي هستيم اما وضعيت ما مطلقاً وضعيت مناسبي نيست. فکر مي‌کنم که اکنون بايد نگاه مديران ارشد کشور به اين مسئله باشد که ما در جنگ سايبري به‌سر مي‌بريم.

 

  جنگ سايبري چه مؤلفه‌هايي دارد؟ چگونه مي‌توان آن را تعريف کرد. اينکه يک گروهي خودشان را منسوب به کشوري مثل عربستان معرفي‌مي‌کند که البته اين هم خيلي قابل اثبات نيست و فقط ادعا‌مي‌کنند که چنين است و اين حملاتي که عليه وب‌سايت‌هاي دولتي اتفاق‌افتاد، آيا مصداق اين است که ما در جنگ سايبري به‌سر‌مي‌بريم؟

جواهري: نه. مصداق اين نيست که ما در جنگ سايبري به‌سر‌مي‌بريم. اين اتفاقي که افتاد خيلي ابتدايي و در حد ديفيس‌شدن سايت بود و اين بحث‌ها در آن نمي‌گنجيد. اتفاقي که در حوزه جنگ سايبري مي‌افتد و در آن اطلاعات به سرقت برده‌مي‌شود، مثل استاکس‌نت، به اين روال است که شايد ما حتي از آن خبردار نشويم. وقتي کسي وارد سايت شما مي‌شود و آن را ديفيس مي‌کند درواقع دارد به شما درباره سطح امنيت سايت‌تان هشدار مي‌دهد و اصلاً بايد از او قدرداني‌کرد؛ اما کسي که جاسوسي مي‌کند ممکن است چندسال مشغول اين کار باشد و شما حتي متوجه نشويد. در خبرها ديديم که پليس فتا اعلام کرد فردي را دستگير کرده که اطلاعات چند سازمان را برداشته و به آنها دسترسي يافته‌است و اينجاست که جنگ سايبري آغاز مي‌شود. اگر بخواهيم کمي بيشتر نگران باشيم بايد نگران حمله به زيرساخت‌هاي حياتي کشور باشيم. چون مي‌بينيم که آنها طي چندسال متوالي اين اطلاعات را از زيرساخت‌هاي حياتي ما برمي‌دارند و ما تازه از يک نقطه متوجه مي‌شويم که چنين اتفاقي در جريان است.

 

  شما نشانه‌هايي داريد که بگويد ما اکنون در جنگ سايبري هستيم؟

بابادي‌نيا: سؤال خيلي خوبي مطرح کرديد؛ اينکه مؤلفه‌هاي اين جنگ سايبري چيست و چه اتفاقاتي بايد بيفتد تا متوجه شويم که ما در يک فضاي جنگ سايبري قرار داريم. يک‌سري اتفاقات مي‌تواند به‌صورت هم‌زمان بيفتد و يا به‌صورت گسسته، ولي در هر دو حالت ما مي‌توانيم ادعا کنيم که در فضاي جنگ سايبري هستيم. حمله به زيرساخت‌هاي حياتي کشور يکي از اين مؤلفه‌هاست. مثلاً حمله به سازمان انرژي اتمي و از کار انداختن ساتريفيوژها و يا حمله‌اي که به وزارت نفت مي‌شود و فرايندهاي مربوط به آن را مختل مي‌کند. اينها زيرساخت‌هاي ما هستند. همچنين حمله به سايت‌هايي که وظيفه اطلاع‌رساني را برعهده دارند يا دسترسي به مراکز مهم حاوي اطلاعات طبقه‌بندي‌شده و يا دستکاري اطلاعات. اگر اين قبيل فعاليت‌ها در فضاي سايبر به‌طور هم زمان يا گسسته انجام‌شود، مي‌توان گفت که کشور ما در جنگ سايبري قرار دارد.

اگر دقت کنيد يک‌سري هکر در دنيا هستند که چه جنگ باشد و چه نباشد در هر صورت حملات هکري خود را انجام مي‌دهند. در ايالات متحده هم هک در حوزه بانکي به ثانيه در‌حال انجام است و نمي‌شود گفت که چون قدرت سايبري بالا دارند گرفتار اينها نيستند. جنگ سايبري بيشتر در جايي مفهوم پيدا مي‌کند که هکرهايي خارج از مرزهاي کشور قصد ورود به فضاي سايبري آن کشور را داشته‌باشند وگرنه در کشور ما هم ديديد که در همين حملات اخير يک‌سري از هکرهاي ديگر فعال در کشور هم توسط سپاه شناسايي و دستگير شدند. پس ما نمي‌توانيم اين را جزء جنگ سايبري به حساب بياوريم و اينها در همه جوامع و کشورها وجود دارند. چيزي که مهم است اينکه ما به‌عنوان کارشناسان امنيت سايبري تحليل‌مان از اين جنگ چيست. چه آسيب‌هاي احتمالي وارد شده و براي جبران آن بايد چه‌کار کنيم. بايد ببينيم چه تخريب‌هايي در چه سطحي صورت گرفته و راه مقابله با اين تخريب‌ها چيست.

چيزي که ما بررسي کرديم و چيزي که اطلاع‌رساني شده اين است که به هيچ سطحي از اطلاعات دسترسي پيدا نشده و دسترسي در سطح بسيار پاييني صورت‌گرفته و صرفاً عمل ديفيسينگ در صفحه اول سايت‌ها صورت گرفته و در واقع يک چيزي در حد ابراز وجود بوده که يعني ما هم مي‌توانيم و يک تيم هکري داريم. البته يک جاهايي ما حتي اجازه همين ابراز وجود  را  هم به آنها نداده‌ايم.

 

در جنگ سايبري يک‌سري مؤلفه‌ها وجود دارد. به‌هرحال جنگ که بدون اسلحه نمي‌شود. اينکه کسي سايتي را مورد حمله ديفيس قرار دهد که اسلحه حساب نمي‌شود. اسلحه‌اي که شما در جنگ سايبري مي‌بينيد، چيست؟ البته استاکس‌نت در اين مورد مثال خوبي به‌نظر مي‌رسد.

جواهري: بدافزارهايي که امروزه به‌خاطر رشد تکنولوژي خيلي زياد هم شده‌اند به‌نوعي همين سلاح‌ها را تشکيل‌مي‌دهند که هکرها از آنها بهره مي‌گيرند. اتفاقاً چند‌روز پيش کسپرسکي اعلام کرده‌بود با تله‌گذاري توانسته تعدادي از اين بدافزارها را شناسايي کند.

 

 و اينها صرفا شامل بدافزارهاي ساده نيستند و بدافزارهاي پيچيده‌اي هستند که دولت‌ها پشت آنها ايستاده‌اند.

جواهري: بله. شما صحبت از مؤلفه‌هاي جنگ سايبري کرديد. من معتقدم که شما در حمله سايبري حتي ممکن است که از همسايه خودتان هم آسيب ببينيد و فقط خارج از مرزها را شامل نمي‌شود. همين شخصي که داخل کشور اين کار را  انجام داده و دستگير مي‌شود دارد به‌نوعي به جنگ سايبري ما مي‌آيد. لزوماً قرار نيست چنين جنگي از خارج شروع شود و مي‌تواند در داخل کشور هم اتفاق بيفتد. مطلبي که وجود دارد اين است که در آمريکا و کشورهاي اروپايي شايد صدها حمله سايبري اتفاق بيفتد اما کشورها استراتژي که دارند سپرهاي دفاعي و سيستم‌هاي اطلاعاتي خود را محکم بنا کردند و اگر اتفاقي بيفتد در چندلحظه برخورد مي‌کنند و از همين‌رو کسي خود را در معرض اين شناسايي و دستگيري قرار نمي‌دهد يا اتفاق‌هاي خاصي روي زيرساخت‌هاي آنها نمي‌افتد؛ کمااينکه ما اتفاقاتي از اين دست را هم در کشورهايي مثل کانادا و آمريکا شاهد بوديم.

کاري که ما بايد در اين نقطه بکنيم اين است که در کمترين زماني و در لحظه بتوانيم اين اتفاقات را پاسخ‌دهيم يا بتوانيم آنها را دفع يا شناسايي‌کنيم. اجازه ندهيم حمله‌اي که در‌حال رخ‌دادن است به اطلاعات حياتي ما دسترسي پيدا کند. ما بايد روي اين مقولات کار کنيم و به تجهيزات خود توجه داشته‌باشيم. اکنون در اروپا خيلي به اين موضوعات توجه مي‌شود و حتي آلمان در‌حال وضع قانوني است که طبق آن تجهيزات امنيتي کشورشان حتماً بايد بومي باشد.

  اگر ما اين‌قدر در معرض حمله قرار داريم چرا نتوانستيم اين حملات اخير را که تا اين حد ساده و پيش پاافتاده بوده شناسايي کنيم. چرا وقتي‌که مي‌دانيم در وضعيت جنگي قرار داريم وضعيت‌مان اين‌قدر آسيب‌پذير است ؟

جواهري: من اسم اين اتفاقات را حمله نمي‌گذارم، اينها بيشتر از يک شوخي نبود. شايد بايد خوشحال باشيم که چنين اتفاقاتي مي‌افتد. اين اتفاقات پيچيدگي خاصي نداشته و دسترسي به اطلاعات خاصي پيدا نکردند. بيشتر زنگ خطري بود براي مديران سازمان‌ها.

که من ترجيح مي‌دهم اسم آن را نوعي «جنگ رواني» بگذارم…

بابادي‌نيا: من اعتقاد دارم که بررسي روي زيرساخت‌ها انجام گرفت. جاهايي که اين به‌قول شما «جنگ رواني» اتفاق افتاد جاهايي بودند که از دست کارشناسان امنيت در رفته بود و خيلي از اين سازمان‌ها با کارنامه مثبت از اين قضيه بيرون آمدند و زياد هم نبايد نگاه ‌منفي به قضيه داشته‌باشيم. چيزي که هست اينکه در بحث جنگ سايبري تعاريف مختلفي وجود دارد. گاهي شما صحبت از جنگ سايبري مي‌کنيد با کشورهاي متخاصم مثل آمريکا و گاهي جنگي است ميان احزاب مختلف و اين يک جنگ داخلي است. چيزي که ما الان با آن روبه‌رو هستيم و از لحاظ امنيتي در‌حال تحليل است يک جنگ سايبري بين دولت‌هاست. اينجا حرف از جنگ سايبري است که عربستان با ايران شروع کرده‌است. اين اتفاق هر‌لحظه ممکن است بيفتد. به‌خاطر روحيه آزادمنشي ايراني‌ها که جلوي حرف زور مي‌ايستند و بالاخره ممکن است جايي حرفي گفته‌شود که ما جلوي آن بايستيم، بنابراين ممکن است امروز عربستان باشد و فردا کشور ديگري بخواهد دست به چنين حمله‌اي عليه ما بزند پس عقل حکم مي‌کند که شما زيرساخت‌هاي خود را طوري ايمن بکنيد که سطح معقولي از امنيت را در ارگان‌هاي دولتي و سازمان‌هايمان داشته‌باشيم. چيزي که من در حملات اخير ديدم همان زنگ خطري است که به‌صدا درآمد ولي ما بايد بهترين استفاده را از آن بکنيم. يکي از استفاده‌هايي که من مي‌خواهم به‌عنوان کارشناس امنيتي از اين موضوع بکنم اين است که ضرورت به‌وجود آمدن تيم‌هاي واکنش سريع به رخدادهاي امنيتي را مورد تاکيد قرار دهم. البته اين تيم‌ها در کشور وجود دارند اما کافي نيستند و کشوري با اين وسعت بايد از بخش خصوصي کمک بگيرد و بخش خصوصي به‌عنوان بازوي اجرايي دولت در اين کار کمک برساند. اينجا کشور ماست و ما بايد اين کار را بکنيم؛ مگر دولت چقدر نيروي انساني دارد. در همه جاي دنيا هم دولت سياست‌گذار و رگولاتور است و هرآنچه را لازم است از بخش خصوصي بخواهد؛ پس به‌وجود آوردن اين تيم‌ها با استفاده از بخش خصوصي و يا اصلاً سازماني به‌عنوان واکنش سريع به رخدادهاي امنيتي در فضاي سايبري ضروري است. ما چنين بخشي را در وزارت ارتباطات داريم. بايد تشکيلات منسجمي به‌وجود بيايد که سازوکارهاي آن در بخش خصوصي مي‌تواند سامان يابد و بهترين جا هم براي آن شوراي عالي فضاي مجازي است که متولي فضاي سايبري کشور در بحث تبادل اطلاعات است و مي‌تواند کارگروه ويژ‌ه‌اي ايجاد کند که کار آن بررسي اين رخدادهاست.

بحث ديگر آزمون نفوذ است که متاسفانه سازمان‌هاي دولتي و ارگان‌هاي ما تا اين لحظه آن را به‌عنوان يک ضرورت حس‌نکردند. اين آزمون‌ها بايد به‌صورت زمان‌بندي‌شده و منظم صورت‌بگيرد و حفره‌هاي امنيتي به کمک کارشناسان شناسايي ‌شود و کارشناسان امنيت در جهت اصلاح آنها انجام وظيفه کنند. اين مسئله‌اي است که ما بايد به‌صورت خاص به‌ آن نگاه کنيم.

موضوع ديگر اينکه ما در زماني کامپيوتر را تقسيم‌بندي کرده‌بوديم به دنياي سخت‌افزار و نرم‌افزار و چيزي فراتر از اين نبود. ما در دنياي کنوني و با توجه به تخصصي‌شدن مسائل به کارشناسان امنيت نياز داريم که براي تهيه اين خيل عظيم مي‌توانيم دو کار  انجام دهيم. يکي اينکه به کمک آموزش‌هاي بخش خصوصي، کارشناس متبحر در حوزه امنيت تربيت کنيم تا در شرکت‌ها استخدام شوند. تا چندسال پيش اگر يک شرکت صنعتي در ايران تأسيس مي‌شد شايد کسي فکر نمي‌کرد که سيستم خود را از طريق استفاده از کامپيوتر و شبکه‌هاي کامپيوتري تجهيز کند اما کم‌کم به اين فکر افتادند که کامپيوتر خريداري کنند. بعدها به اين فکر افتادند که کارشناس کامپيوتر و مدير شبکه استخدام کنند که وظيفه‌اش مانيتورينگ و پايش شبکه باشد. اين فرهنگ بايد در سازمان‌ها و ارگان‌هاي بزرگ به وجود بيايد که يک جايگاه، پست و دپارتمان مشخص به فراخور سازمان براي اين موضوع ايجاد شود. مثلاً در وزارت نفت بايد دپارتمان امنيت داده و در يک شرکت، کارشناس امنيت داشته‌باشيد.

ديگر اينکه، بايد رسالت آموزش عالي ما در تربيت نيروي متخصص در دانشگاه‌ها درنظر گرفته‌شود. اکنون کارشناس امنيت از نان شب هم واجب‌تر شده‌است و نمي‌توان منتظر ماند تا کارشناس ارشد امنيت از دانشگاه خارج‌شود بلکه دانشگاه مي‌تواند کارشناس امنيت در سطح ليسانس هم تربيت‌ کند. ما بيشتر به‌صورت رسمي تحصيلات تکميلي مخابرات امن و امثال اينها آموزش مي‌دهيم که حال اينها تا چه حد هم به لحاظ عملي آموزش ديده‌باشند جاي بحث است. مثل اينکه من در دانشگاه مباحث امنيتي تئوريک را بياموزانم يک چيز است و اينکه مباحث پويا و عملي به او بياموزم که بعد بيايد در سازمان‌هاي کشورم از هک‌کردن جلوگيري کند يک مسئله ديگر است. در اين شرايط مي‌توانيم امنيت سايبري را ايجاد کنيم.

ديگر اينکه ما بحثي داريم به نام سيستم مديريت امنيت اطلاعات که اگر در سازمان‌ها و ارگان‌هاي بزرگ ما پياده‌سازي شود و سازمان‌ها قانون را دور نزنند که فقط گواهي‌نامه‌هاي امنيتي بگيرند اتفاق مثبتي خواهد افتاد؛ اما متاسفانه اسکوپ‌هايي که طراحي مي‌شود فقط در اين سطح است که بيايند يک گواهي‌نامه بگيرند، مثلاً کسب‌وکار اصلي ارگاني مثل بانک که اسکوپ آن در آي‌تي خلاصه نمي‌شود بلکه بايد براي تمامي فرايندهاي آن سطوح و استاندارد خاص تعريف‌کرد. متاسفانه تاکنون حرکتي در اين زمينه نشده‌است. البته يک‌سري فعاليت‌هايي انجام شده و شرکت‌ها را در سازمان فناوري اطلاعات دسته‌بندي کرده‌اند و مجوز نظام مديريت امنيت مي‌دهند اما در صدور اين مجوز هم بايد فرايند طولاني‌مدتي را گذراند.

به نظر من همه اينها بايد زير نظر شوراي عالي فضاي مجازي سامان‌دهي شوند. شرکت‌هايي که در اين حوزه فعال هستند، مشخص‌اند. سازمان و ارگان‌هاي رسمي هم بايد ملزم به گرفتن گواهي‌نامه‌ها و تمديد آنها شوند و هر سال ارزيابي مجدد صورت‌گيرد. اگر متولي خاص اين امر در کشور اينها را سازماندهي کند ما ديگر شاهد چنين مشکلاتي نخواهيم بود.

ما بايد بدانيم که امنيت در خريد تجهيزات خلاصه نمي‌شود. تکنولوژي را در سخت‌افزار ديدن مشکل بزرگي است. تکنولوژي جنبه‌هاي نرمي هم دارد. بايد فرهنگ به‌کارگيري، بازنگري و چگونگي کاربرد و ارتقاي اين تجهيزات را مدنظر قرارداد. مشکلي که در بحث اخير به‌وجود آمد اين بود که متأسفانه سازمان‌هايي مورد حمله قرار گرفتند که مجهز به تجهيزات امنيتي بودند اما کارشناسان زبده‌اي در اختيار نداشتند تا اين تجهيزات را به  شکل مناسبي براي آنها پيکربندي کنند.

  آقاي جواهري به نظر شما ما در مقوله امنيتي کمبود کارشناس داريم يا تجهيزات و يا هر دو؟

جواهري: ابتدا در ادامه بحث‌هاي قبلي بگويم که بيايد اين تئوري جديد سايبري را بپذيريم که ما در موقعيت جنگ به‌سر مي‌بريم، کماينکه در دهه 60 و زمان جنگ تحميلي تمام سازوکارهاي کشور را براي پاسخ دادن به حملات مرزها قرار داده‌بوديم و ساير برنامه‌ريزي‌ها و بودجه‌بندي ما بر همين اساس شرايط جنگي بود اکنون هم بايد همين کار را بکنيم. يک اتفاق نرمي در کشور در‌حال روي‌دادن است.

اگر اتفاقات و حملاتي از اين دست که شاهد بوديم، ادامه پيدا کند بحث از بين رفتن اعتماد عمومي به بخش سايبر اتفاق مي‌افتد. ما داريم بخشي از هزينه‌هاي کشور را کم مي‌کنيم تا مردم از خدمات الکترونيکي استفاده‌کنند، از حوزه بانکي که بسيار هم گسترده شده‌است تا فرايندهاي ديگري که روي درگاه‌هاي الکترونيکي درحال انجام است. اگر اين مسائل ادامه پيدا کند، مردم به بانکداري و خدمات الکترونيکي کشور بي‌اعتماد مي‌شوند و ما برمي‌گرديم به يک دهه پيش که مردم پشت باجه صف مي‌کشيدند و براي همه کارهاي اداري مجبور بودند يک ترافيک سنگين را پشت‌سر بگذارند و به اداره و سازمان موردنظر مراجعه‌کنند.  اين براي ما بسيار خطرناک است. به نظر من اين حمله‌هاي اخير جز اينکه شوخي بچگانه‌اي بيش نبود تکرار آن باعث از دست رفتن اين اعتماد مي‌شود. اين اتفاق هزينه زيادي براي کشور خواهد‌داشت.

حمله به خاک هر کشوري باعث مي‌شود که مردم آن برخيزند و دفاع‌کنند اما مردم در حمله سايبري، فضاها و زيرساخت‌هاي خودشان را از دست مي‌دهند و چشم اميدشان به کارشناسان کشور است و اينجا آسيب چندين برابر است.

اگر بخواهيم از منظر ديگري به موضوع نگاه کنيم بايد ببينيم ما در فضاي کلان کشور چقدر براي جنگ سايبري برنامه‌ريزي کرديم. مديران اجرايي ما چقدر با سيستم‌هاي مديريتي آشنا هستند. مديران کلان ما چقدر در اين مورد تصميم‌سازي کردند؟! مديران کلان ما براي موقعيت جنگ سايبري چه تصميماتي دارند؟!

نزديک به 40 سال از انقلاب گذشته و 8 سال جنگ داشتيم و مي‌بينيم که هرسال کشور يک برنامه منظمي را به بخش دفاعي اختصاص مي‌دهد و با تکنولوژي‌هاي روز دنيا همگام است و بودجه مشخصي را براي آن تدوين کرده‌است اما براي جنگ سايبري چقدر برنامه ديديم و چه اندازه به آن توجه‌کرديم؟! اگر به آن اهميت بدهيم براي اين بخش هم برنامه‌ريزي خواهيم داشت. آن‌وقت دولت ملزم مي‌شود که در اين زمينه برنامه داشته‌باشد. من مي‌خواهم اين مسئله را از بالا و به‌صورت خيلي کلان ببينم. بايد سازماني اين کار به‌عهده بگيرد، بودجه آن مشخص شود و برنامه‌هايي براي براي آن به تدوين برسد. طبيعتاً در اين شرايط بخش خصوصي بازوي اجرايي دولت خواهد‌بود. در سطح و لايه پايين‌تر تربيت کارشناسان و افراد زبده قرار مي‌گيرد. در اين حوزه خيلي با مشکلات جدي مواجه نيستيم؛ نه‌اينکه مشکل نداشته‌باشيم اما جدي نيستند و دانشگاه‌هاي ما ظرفيت اين را دارند که خود را به سطح مناسب برسانند و نيروي مناسب را براي به‌کارگيري آموزش دهند. دانش کافي در اين زمينه حرف اول را مي‌زند. پيشنهادم اين است که در سطح مديران کلان اين بحث جنگ سايبري جدي گرفته شود. مديران اجرايي هم ملزم شوند که در اين مورد آموزش کافي ببينند تا با جديت بيشتري با مسائلي از اين دست آمادگي مواجهه داشته‌باشند.

 

در تأييد حرف شما بگويم که در برخي کشورها مثل روسيه و آمريکا تا جايي پيش رفته‌اند که قرارگاه دفاع سايبري با يک برنامه کامل و مدون تشکيل داده‌اند.

جواهري: بله. همان‌طور که اشاره‌کردم آلمان طرح کامل و مدوني در اين مورد ارائه داده‌است که بر اساس حتي تجهيزات امنيتي خود را حتماً ساخت داخل کشور داشته‌باشند. کشورهاي پيشرفته خيلي جدي با اين قضيه برخورد مي‌کنند و خيلي راحت هم کنار نمي‌روند. ما هم سازمان پدافند غيرعامل را در کشور داريم که تاکنون تلاش‌هاي زيادي در زمينه قرارگاه سايبري کرده و بخش افتاي رياست جمهوري هم همينطور. سند افتاي کشور جامع و کامل است اما يک جاهاي خالي در مديران بالاي کشور داريم. به نظر من به‌جاي اينکه به اين بپردازيم که ‌آيا دانش آن را داريم يا خير و  اينکه بخش خصوصي توان آن را دارد يا نه، برويم سراغ اين اولويت که آموزش مديران اجرايي کشور ضروري‌تر به‌نظرمي‌رسد. اغلب مديران ما با اين قضيه که کارشناسي بيايد و اين نقاط‌ضعف را ببيند و به آنها گوشزد کند کاملاً مخالف‌اند و اجازه آن را نمي‌دهند.

بابادي‌نيا: نبود اين فرهنگ شايد ناشي از اين است که مديران فکر مي‌کنند کارشناسان امنيتي که بيايند و نقاط ضعف را بگويند جايگاه و موقعيت مديريتي او زيرسؤال مي‌رود.

جواهري: در ارزيابي‌هاي مديريتي امتياز يک مدير به راه‌اندازي سيستم‌ها در آن مجموعه است تا به ميزان امنيت و ثباتي که مدير توانسته در آنها ايجاد‌کند.درواقع  به کيفيت کمتر اهميت مي‌دهند. بايد به‌جاي اينکه چندين درگاه نامطمئن داشته‌باشيد يک درگاه ايجاد‌کنيد اما امن.

بابادي‌نيا: ما دراقتصاد يک ديدگاه سنتي داريم که معايب زيادي دارد. حالا با همان ديد سنتي در دنياي سايبري هم کار انجام مي‌شود؛ مثلاً صحبت مي‌شود که ديتاسنترهاي شبکه ملي اطلاعات در‌حال راه‌اندازي است. من به‌عنوان کارشناس امنيت اطلاعات اين سؤال برايم پيش مي‌آيد که براي راه‌اندازي اين سايت‌ها از کدام ارگان‌هاي بخش خصوصي استفاده شده و آيا دولت ما اين‌قدر توان و قدرت دارد که همه اينها را پوشش دهد. اگر اين قدر توان دارد پس ما در بخش خصوصي ديگر نبايد وجود داشته‌باشيم. دست‌کم اطلاع‌رساني کنيد اين ديتاسنتري که از آن رونمايي هم کرديد با کدام کارشناسان و چه امکاناتي و تحت چه شرايطي ايجاد کرديد. بعدها که مشکلي به‌وجود بيايد بايد تازه به‌دنبال اين باشيم که چگونه آن را حل‌کنيم. دولت‌ها در تمامي جوامع بشري چه در آمريکا و چه اروپا کمک‌گرفتن از کارشناسان بخش خصوصي را به‌عنوان يک اصل اساسي در نظر دارند. ما اصل 144 قانون اساسي و بيانات مقام معظم رهبري را در اين مورد داريم اما در حد شعار باقي مانده‌است. دولت هميشه خودش در اين راه به‌تنهايي قدم‌ برداشته و از کمک بخش خصوصي استفاده نکرده‌است و همين امر خودش يکي از دلايل رکود در حوزره امنيت است. همين رکود باعث دلسردي و کاهش دانش امنيتي من کارشناس امنيتي شده است و نيروي تازه نفس باهوش و بااستعداد کشور ما را از کشور خارج مي‌کند؛ يعني نيرويي که در کشور من آموزش ديده و روي او سرمايه‌گذاري شده به همين سادگي در اختيار کشوري ديگر قرار مي‌گيرد. بايد کارشناسان خود را در اين زمينه دلگرم کنيم و از تخصص آنها استفاده بهره‌گيريم تا چنين شرايطي هم به‌وجود نيايد که با چنين حمله‌هايي خداي ناکرده حيثيت کشور زير سؤال برود. در همين موضوع مثلاً شما ديديد که کسي خود را مسئول اعلام کند و از اين بابت عذرخواهي کند؟

  اصلا ما در کشور کسي را داريم که متولي فضاي سايبري به‌طور عام باشد؟

جواهري: نداريم، چون اگر داشتيم چنين متولي مي‌آمد و بابت هک آن سازمان‌ها عذرخواهي مي‌کرد و مي‌گفت که در تلاش براي رفع حفره‌هاي موجود هستيم؛ اما چنين اتفاقي نيفتاد. ما به مديران قوي احتياج داريم که شرح وظايف مشخصي داشته‌باشند و براي مسئوليت‌هايشان هم کار و فعاليت بکنند.

بيشتر مشکل ما همان عدم فرهنگ‌سازي مناسب است يعني وقتي مديران عالي خيلي اعتقادي به اين مسائل ندارند و بعد در همين اتفاقات مي‌شنويم که درنهايت با مسئول سايت اينترنتي به‌عنوان مقصر برخورد مي‌شود که پيکربندي را درست انجام نداده‌است و اين تقليل دادن يک مسئله مهم در سطح يک کارشناس است. خيلي وقت‌ها هم پيش آمده که آن کارشناس از مديران خود درخواست بودجه براي ارتقاي امنيت سايت کرده اما مدير به او گفته که نيازي نيست و نرم‌ا‌فزار اوپن سورس آن هست و کرک‌شده آن را رايگان اينترنت از دانلود کن.

بابادي نيا: بله و درنهايت همه مسئوليت به‌عهده کارشناس ساده است. البته ما در اسم، متولي داريم. در سال‌هاي گذشته ما در حاکميت، سازمان فناوري اطلاعات را به‌عنوان بخش حاکميتي در حوزه آي‌تي داشتيم. اخيراً هم رهبري در سخنان خود همه اينها را در شوراي عالي فضاي مجازي تجميع کرده‌است و ما بايد اکنون از اين شورا بخواهيم و سازمان فناوري اطلاعات به‌عنوان بازوي اجرايي شورا و در زير چتر وزارت ارتباطات به اين بپردازند. خوش‌بختانه شوراي عالي فضاي مجازي ارتباط خوبي هم با سازمان نظام صنفي دارد و اکنون موقع آن است که ساختارهاي اصلي خود را تشکيل بدهد که ديگر مشکلاتي از اين دست براي فضاي مجازي کشور پيش‌نيايد.

جواهري: ما در کشور متولي داريم. بخش‌هاي زيادي در اين حوزه فعاليت کرده‌اند و به پيشرفت آي‌تي کشور خدمت کرده‌اند اما اين برنامه‌ريزي‌ها خيلي منسجم و يکپارچه نبود. اگر بحث کارشناسي بر روي پياده‌سازي و اجراي سند بالادستي و افتاي کشور صورت‌گيرد و اگر بودجه براي اين امور تخصيص پيدا کند همه‌چيز روال بهتري مي‌يابد. بايد براي مديران دولتي و اجرايي ما يادگيري اين مفاهيم تفهيم و الزام شود تا در سال‌هاي آينده به مشکلات جدي برنخوريم. اتفاق جنگ سايبري چيزي نيست که در لحظه متوجه آن شويم و ما بايد قبل از اينکه حرکات خيلي کوچکي به افکار و اعتماد عمومي لطمه بزند کاري بکنيم. ما راهي جز آموزش نداريم و تدوين قوانيني که همه را ملزم کند تا با اين مفاهيم آشنا شوند.

اگر زياد از مفهوم جنگ استفاده‌کردم به‌خاطر اين است که اين واژه باعث افزايش هوشياري و تلنگر‌زدن مي‌شود. يک مدير ممکن است در مورد مسائل امنيتي حوزه کاري خود بي‌توجه باشد چون با ميزان خسارتي که مي‌تواند با اين کار به کشور بزند، آگاه نيست اما وقتي عبارت جنگ را به‌کار مي‌بريم همه‌چيز در وضعيت هشدار قرار مي‌گيرد و نگاه جدي‌تري به آن مي‌شود.

مديران کشور بايد به حوزه اعتماد عمومي خيلي بيشتر توجه‌کنند و مطمئن ‌باشيد که بخش خصوصي ما در اين حوزه به‌لحاظ دانشي فاصله چنداني با دنيا ندارد و پر کردن اين فاصله براي کارشناسان زبده کشور ما کار سختي نيست.

درباره نویسنده

admin

دیدگاهتان را بنویسید