تشریح چالش های امنیت فضای مجازی؛ رسیدن مرز سایبری کشور به گیت وی سازمان ها
به گزارش سئو مئو یک پژوهشگر حوزه امنیت فضای مجازی با اعلان اینکه متاسفانه مرز سایبری کشور به پشت گیت وی سازمان ها و شرکتها رسیده است، اظهار داشت: دستگاه واحدی باید مسئول جریان داده ای و امنیت سایبری کشور شود.
دکتر احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی در گفتگو با خبرنگار مهر به تشریح چالش های حوزه امنیت سایبری پرداخت و به این پرسش پاسخ داد که آیا قوانین فعلی در زمینه امنیت داده در کشور کفایت می کند و یا این که نیازمند تدوین قوانین و مقررات در زمینه حکمرانی داده هستیم. وی با اعلان اینکه در زمینه امنیت داده در فضای مجازی، مسئولیت ها نه برای ناظر و نه برای دارنده داده، معین نمی باشد، گفت: اصولاً محور امنیت حراست از دارایی نامشهود یا داده است. یعنی مقرر است داده مورد نیاز برای هدفی خاص توسط ذی نفعان مشخص، تحت سیاست های دقیق و رفتارهای اصولی، به اشتراک و توسعه گذاشته شود و نظامات کنترلی متقن برای آن برقرار شود. کیانخواه با اشاره به این که هر سازمان دارای یک ساختار تقسیم وظایف است که هر بخش و جایگاهی کار خودرا انجام می دهد و این وجه سخت سازمان است، افزود: سازمان دارای یک وجه نرم است که فرآیندها و کارها را به پیش می برد. این همان مفهوم حکمرانی است. وی با اعلان اینکه اشکال وضعیت جاری در زمینه سازمان های ما، وظیفه گرا شدن است افزود: یعنی مفهوم حکمرانی ناظر به نتیجه یا پیامد کار صورت نمی گیرد. همانند مثل معروف کندن چاله! یعنی دغدغه مدیران، مجریان زیرساخت و شبکه، متصدیان امنیت سایبری و ناظران حوزه امنیت توجه به جریان و برآیند این فعالیت ها نیست. بلکه مساله انجام فقط وظیفه مشخص شده، بدون توجه به گام قبل و بعد آن و نتیجه و پیامد مورد انتظار است. نظام جامع امنیت سایبری برای توسعه اقتصاد دیجیتال ایجاد شود این پژوهشگر حوزه امینت و حکمرانی فضای مجازی اشاره کرد: نیازمند برقراری نظام جامع هستیم تا شاکله جریان امنیت را در امتداد توسعه دولت الکترونیکی و اقتصاد دیجیتال مشخص نماید. عموماً دو نوع نظارت وجود دارد، نظارت مبتنی بر نتیجه که گذشته نگر است و با رخداد، خسارت آن شاید اصلاً قابل جبران نباشد و نظارت آینده نگرانه که به رصد لحظه ای و پیش بینی ها استوار است. وی با اعلان اینکه در این راستا مراکز نظارتی باید یکپارچه شوند و مراکز داده با حفظ محرمانگی باید شناسنامه دار باشند، اشاره کرد: شبکه اینترنت داخل کشور از لحاظ شکل جریان داده ای نیازمند نظارت مستمر است. جریان های ناهنجار باید رصد و کشف و متوقف شود. این که مرز سایبری کشور به پشت دروازه ( GateWay) سازمان ها و شرکتها رسیده جای تأسف و بازبینی را دارد. کیانخواه با اشاره به این که اکنون مراکز داده که نیاز به ارائه خدمات برخط دارند، بدون کمک و پناه مطمئن رها شده اند و در حد پیامک و اطلاع رسانی های سایت محور به آنها توجه می شود افزود: نیازمند سازماندهی متمرکز جهت استفاده از توان بخش عمومی، دولتی و خصوصی برای ارتقا مستمر امنیت سایبری کشور هستیم. از طرفی دستگاه واحدی باید در زمینه امنیت سایبری مسئولیت پذیر باشد که در عین سازماندهی متمرکز و رصد مستمر شبکه و جریان داده ای کشور، هم گام و هم یار دستگاهها در حفظ امنیت سایبری کشور که هم ردیف امنیت سرزمینی قرارگرفته، باشد. باید برای دهه های آینده از همین امروز آماده شد. چالش جدی دو مرکز ماهر و افتا وی در پاسخ به این پرسش که نهادهایی مانند مرکز افتا، مرکز ماهر، سازمان پدافند غیرعامل و پلیس فتا طبق مصوبه شورای عالی فضای مجازی دارای مسئولیت هایی دراین زمینه هستند اما با این وجود چرا شاهد تعدد اتفاقات در زمینه درز اطلاعات و افشای داده و تهدیدات در فضای مجازی هستیم که هیچیک از این نهادها مسئولیت آنرا بر عهده نمی گیرند، اظهار داشت: اصل وجود قانون اقدام مثبتی است. دستگاه های مختلفی در زمینه امنیت فعال می باشند و این تقسیم کاری برای ایجاد هم افزایی خوب است. اما مسئله این است که آیا امنیت و مقابله با حوادث سایبری در این قانون به درستی دیده شده است؟ این پژوهشگر حوزه امنیت و حکمرانی فضای مجازی با اشاره به این که شبکه اینترنت کشور از لحاظ دسترسی Flat است، توضیح داد: یعنی درخواست (Request) به یک سرور در مرکز داده داخلی از نقطه ای خارج از کشور با مسیریابی های بدون مانع وارد می شود. البته ذات دسترسی در اینترنت و مسیریابی در شبکه نیز همین است. یعنی با کمترین هزینه دسترسی و حرکت روی گره های شبکه، پاسخ (Response) به درخواست ارسال می شود. وی افزود: این سهولت مسیر دسترسی به محتوای درون سرورها، برای خرابکاری اینترنتی نیز سهولت برقرار می کند. یعنی با کمترین مانع و شاید بدون مانعی، هکرهای اینترنتی به سرور ارائه دهنده محتوا دسترسی پیدا می کنند. حال برمبنای معماری شبکه ارائه دهنده سرویس و توان هکر یا گروه های هکری، میزان تاب آوری مرکز داده مشخص می شود. کیانخواه با اشاره به این که امنیت دستگاهها برمبنای سطح اهمیت بین دو مرکز ماهر و افتا تقسیم شده است، اشاره کرد: وظیفه این دو مرکز ارتقا، توانمندسازی و مقاوم سازی دستگاهها است. ابزار انجام این وظایف، اطلاع رسانی، آموزش و نظارت های دوره ای است. وی با اعلان اینکه ابتدا باید بپذیریم هرگونه حادثه سایبری غیرقابل جبران بوده یا سخت قابل جبران است، اضافه کرد: بطور مثال نشت داده هویتی، مالی یا رفتاری کاربران یا از دسترس خارج شدن خدمات حیاتی روزمره مردم قابل جبران است؟ پاسخ خیر است. این پژوهشگر با اشاره به این که اشکالات و باگ های نرم افزاری و سخت افزاری سامانه ها عموماً بعد از لطمه پذیری آشکار می شود، افزود: یعنی اول تهدید بالقوه یا بالفعل عملی شده بعد از آن فکر چاره می شود. حال چقدر هشدارها دقیق است؟ این هشدارها چگونه تشخیص داده می شود؟ آیا فقط با رصد سامانه های امنیتی خارجی هشدارها صادر می شود؟ سوالاتی است که باید پاسخ داده شود. بعضاً هم مشاهده شده با چند روز تأخیر از اعلام جهانی، هشداری صادر می شود. این چالش جدی دو مرکز افتا و ماهر است. دلایل ناکارآمدی مراکز افتا و ماهر بگفته کیانخواه، مراکز داده کمتر همراهی مستمر و سایه به سایه این مراکز را مشاهده می کنند و با وجود کوشش های زیاد کارکنان مراکز در رابطه با قانون «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» حداقل در یک سال قبل ضربات جبران ناپذیری به فضای سایبر کشور با نشت داده و اطلاعات رخ داده است. وی یکی از دلیلهای اصلی ناکارآمدی این مراکز را شفاف نبودن مسئولیت ها در مقابل احتمال حادثه عنوان نمود و اظهار داشت: اول این که این مراکز خودرا پشتیبان می بینند و برای خود نقش لجستیکی قائل هستند (حداقل در عمل) و دوم این که به سبب حجم بالای نفوذ حملات سایبری حساسیت ها در کنترل کاهش پیداکرده درصورتی که نشت حتی یک بیت داده جبران ناپذیر است. نگاه را باید فراتر از حال و قدرت سایبری را در آینده جستجو کرد. یعنی همین یک بیت اطلاعات نیز ممکنست منجر به استثمار سده های آینده شود. ارزیابی ریسک امنیت سایبری به درستی انجام نمی شود وی در پاسخ به این پرسش که چرا سامانه های نظارتی سازمان های دولتی و حاکمیتی که مسئولیت حفاظت از اطلاعات را دارند امن نیستند؟ اظهار داشت: در مورد این که چرا سامانه های نظارتی یا غیر نظارتی، امنیت لازم را ندارند، چند نکته مدنظر است. البته عموماً سامانه های نظارتی به شبکه اینترنت متصل نیستند و از امنیت نسبی برخوردار می باشند اما با این وجود حوادث نشان میدهد ارزیابی ریسک امنیت سایبری به درستی صورت نمی گیرد، یعنی مخاطره به دقت کشف نمی گردد و احتمال وقوع و دارایی در معرض خطر آن مشخص نمی گردد. کیانخواه اظهار داشت: وقتی مدلهای ارزیابی ریسک دستگاه های ناظر بررسی می شود، این بی توجهی و بی دقتی قابل مشاهده می باشد. انواع و اقسام ریسک ها برای سازمان ها از تجربیات و استانداردهای مرتبط استخراج می شود. این مساله فقط حساسیت دستگاهها نسبت به کشف ریسک های حقیقی و حیاتی را کم می کند. هزینه تجهیزات امنیتی بالاست وی با اشاره به این که هزینه تجهیزات امنیتی بالا است و پروسه خرید و آموزش و عملیاتی سازی تجهیزات سازمان ها حتی اگر در بودجه مصوبشان باشد، ماه ها طول می کشد، اظهار داشت: مدیریت سازمان ها عموماً تمایلی به هزینه در زمینه امنیت ندارند. هزینه برای امنیت در سازمان قابل مشاهده نیست. چون در زمان صحت کارکرد، هزینه کرد برای امنیت هدر رفت منابع توصیف می شود. وقتی هم که حادثه ای رخ می دهد عملاً رخ داده است و مدیریت ها نیز مسئولیت قبول نمی کنند. البته بروزرسانی نرم افزاری تجهیزات امنیتی و هزینه برای آن هم مغفول است. این پژوهشگر امنیت فضای مجازی اظهار داشت: آموزش مستمر و اثربخش هم در زمینه امنیت صورت نمی پذیرد و با همان سهل انگاری ذکرشده به این حوزه توجه نمی گردد. چالش اتکا به تکنولوژی های حوزه شبکه و امنیت کیانخواه اظهار داشت: اتکا به صرف تکنولوژی های حوزه شبکه و امنیت هم چالش جدی است. بطوریکه مدیران شبکه و زیرساخت عموماً Vlanبندی، فایروالینگ و اتکا به دستورالعمل های صاحبان تکنولوژی را اصل می دانند. بنظر می رسد علاوه بر توجه به این دستورالعمل ها، ارزیابی ریسک دقیق دارایی های سازمانی و توجه به امنیت بالا همراه با سهولت در ارائه سرویس و معماری دقیق و نظارت پذیری شبکه هم لازم است. اتکا بیش از حد به تکنولوژی ها منجر به کاهش توجه به لطمه پذیرهای واقعی شبکه و زیرساخت می شود. این پژوهشگر حوزه امینت و حکمرانی فضای مجازی معتقد می باشد که سلامت و صلابت سایبری کشور به متخصصان بخش شبکه و امنیت شبکه گره خورده است و بی توجهی به مسئله جبران هزینه مبتنی بر عملکرد آنها و کاهش تمرکز تیم های توسعه و نگهداری شبکه و زیرساخت منجر به افزایش خطر های امنیتی می شود. وی اظهار داشت: ذات فعالیت در زمینه خدمات زیرساختی همراه با استرس بالا است. وقتی جبران خدمت نیز به درستی انجام نشود مسئولیت پذیری کم شده و شاکله شبکه یک سازمان که همانند موجودی زنده و ارگانیک نیازمند پایش سلامتی و برطرف نمودن مشکلات و چالش ها است، به نابودی می رود. مسائل سایبر نوبه نو می شود و نیاز به تمرکز و نگهداشت مستمر دارد و جبران خدمت متخصصان این حوزه متناسب با بازار کار و شرایط جهانی، ضرورتی برای ارائه خدمات اثربخش به جامعه است. کیانخواه با اشاره به این که سازمان ها و کسب وکارهای خصوصی و دولتی به آسانی خدمات مختلفی را با یک خط اینترنت، یک سرور و یک فایروال ارزان برای ذی نفعان خود برقرار می کنند، اشاره کرد: در صورتیکه بدون داشتن معماری دقیق شبکه مبتنی بر وضعیت جاری و توسعه پیش رو، تجهیزات مربوطه و نیروی انسانی موردنیاز، نمی توان سرویس و خدمتی را دایر کرد. به آسانی نباید خدمات داده محور را بدون رعایت دستورالعمل های مناسب برقرار کرد. روح دستورالعمل ها باید گویای خبرگی و ناظر بر شرایط اجرا باشد و نباید حس بیگانگی با شرایط اجرا و اقتضائات حرفه ای را داشته باشد. همیاری لازم است و نه نظارت خشک.
منبع: seomeo.ir