کلاف درهم پیچیده امنیت سایبری در ایران

امنیت سایبری این روزها به یک کلاف درهم‌پیچیده تبدیل شده طوری که در جریان وقوع حملات، همه افراد می‌توانند همزمان به عنوان مقصر و آسیب‌دیده تلقی شوند؛ در ایران هم پس از اتفاق‌های اخیری که در فضای مجازی رخ داد، هشداری است برای مدیران سایت‌ها، سرورها، شرکت‌های ارایه‌دهنده اینترنت یا خدمات داده و اکنون باید به این سوال پاسخ داده شود که طی سال‌های اخیر مسوولان امنیت سایبری چه میزان و به طور جدی به دنبال سازوکارها و اقدامات پیش‌گیرانه و محافظتی بوده‌اند؟

در دنیای امروز امنیت سایبری از اهمیت ویژه‌ای برای کاربران و دولت‌ها برخوردار است. سرقت شماره تلفن، کد ملی، رمز عبور و اطلاعات شخصی افراد از طریق سایت‌های رسانه‌های اجتماعی یا بیرون کشیدن اسرار دستگاه‌ها از فضای ابری همه و همه مواردی است که نگرانی کاربران را از امنیت اطلاعاتشان برمی‌انگیزد.

اما محافظت از شبکه‌ها، دستگاه‌ها و داده‌ها در برابر دسترسی غیرمجاز یا استفاده مجرمانه به عهده چه کسی است؟ کدام ارگان یا سازمان باید و می‌تواند محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات را تضمین کند؟

پاسخ به این سوال در این روزها که اخباری از هک برخی سایت‌های دولتی، صداوسیما، افشای اطلاعات شخصی افراد یا نمایندگان مجلس و هک صفحات در فضای مجازی و بیش از گذشته به گوش می‌رسد، اهمیت امنیت را دوچندان کرده و در نتیجه نیاز به حفاظت از اطلاعات محرمانه و امنیت سایبری به یک موضوع اساسی تبدیل شده است.

فارغ از اینکه چه گروهی یا کسانی پشت پرده این حملات سایبری قرار دارند یا این حملات از داخل یا خارج از کشور انجام می‌شود و جدا از اینکه مدیران سایت‌ها یا صفحات هک شده و آسیب‌دیده، چه واکنش یا نظری درباره علت این اختلالات یا حملات داشتند، موضوع امنیت زیرساخت‌های اینترنتی کشور عملا به بروز ابهام‌های جدی میان مردم انجامید؛ شرایطی که یک سوی آن شایعات و سوی دیگر آن واقعیات قرار داشت. اکنون این سوال که آیا قرار است در آینده نیز شاهد وقوع چنین اتفاق‌هایی باشیم، بیشتر از گذشته اذهان را درگیر کرده است.

به اعتقاد کارشناسان زمانی که زیرساخت‌های مهم یک  کشور مورد حمله سایبری قرار می‌گیرد، به این معناست که نوعی جدید از جنگ در حوزه سایبری شکل گرفته و در این میان مدیران و مسوولان سازمان‌ها باید از حداقل اطلاعات امنیت سایبری برخوردار باشند.

بررسی‌ها نشان می‌دهد که تراکنش‌های مالی بسیاری در بستر اینترنت در حال انجام است و سازمان‌های بزرگ دولتی بخشی از خدماتشان را در این بستر به ارباب رجوع ارایه می‌کنند. در نتیجه با بروز هر نوع اختلال در روند هر یک از این خدمات، ضرر بسیاری به دنبال دارد.

آیا با مشاهده حملات سایبری میتوان به این نتیجه رسید که ساده‌ترین نکات امنیتی و پشتیبان‌گیری رعایت نشده و به آن اهمیت نداده‌اند؟ ضعف فرهنگی و آموزشی چقدر تاثیرگذار است؟ وقتی مدیران رده بالای یک سازمان، ساده‌ترین نکات امنیتی برای حفاظت از اطلاعات سازمانی یا سرویس‌های اینترنتی را نمی‌دانند یا رعایت نمی‌کنند و یک مدیر درک درستی از مقوله امنیت ندارد؛ طبیعی است که در کل آن سازمان و شرکت، امنیت جدی گرفته نشده و شاهدیم یک مشتری با چندین ساعت کار روی یک سایت، می‌تواند آن را از دسترس خارج کند.

از سوی دیگر چندین سال است پروژه شبکه ملی اطلاعات کلید خورده اما به اعتقاد کارشناسان، هنوز شاهد خروجی ملموس و عینی کاربردی از آن نیستیم در حالی که چنین زیرساخت و شبکه‌ای اینترانتی باید بتواند بسیاری از سایت‌ها و سرورهای ایرانی را در خود جای داده و از حملات سایبری خارج از کشور محافظت کند.

همچنین باید بررسی شود که چرا بسیاری از شرکت‌ها و سایت‌ها به علت نبود سرویس‌های خوب در ایران به سراغ سرورهای ارزان‌قیمت خارجی می‌روند و بعد شاهدیم به راحتی هک شده و از دسترس خارج می‌شوند. در حالی که یکی از اصول مقابله با جنگ‌های سایبری قدرتمندسازی زیرساخت‌های داخلی و ظرفیت‌سازی برای میزبانی سایت‌ها و سرورهای داخلی است.

در این باره آیدین عدالت - عضو هیأت مدیره و رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی رایانه‌ای تهران- معتقد است که طی سال های گذشته تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید باشد، در این حوزه بوده است و اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرآیندها و روش‌ها پیاده می‌شود نه با تجهیزات.

به اعتقاد او بودجه‌هایی که در سازمان‌ها وجود دارد هم قدیمی هستند و هر سال حداکثر به اندازه تورم رشد دارند اما دو موضوع مهم در این باره وجود دارد؛ اول اینکه قیمت تجهیزات امنیتی در دنیا، جدای از نرخ ارز، به دلیل کمبود چیپ‌ست طی سه سال اخیر، به دلیل بیماری کرونا بیش از سه برابر افزایش داشته است. مسئله دیگر محدود و معدود شدن تخصص امنیت و متخصصان آن است یعنی سازمان ها انتظار دارند یک تکنسین متخصص شبکه که فقط کارهای ابتدایی را انجام می دهد و حقوق آن به طور مثال ۱۰ میلیون تومان است بتواند امنیت زیر ساخت یک وب سایت دولتی را تأمین کند. بنابراین شاید مهم ترین موضوع بحث نیروی انسانی باشد که به عنوان مهره ایجاد امنیت در زیر ساخت شبکه به شمار می رود و به عقیده کارشناسان بزرگترین پاشنه آشیل امنتیت سایبری در ایران نیروی انسانی است و باید به مشکلات موجود در این بخش توجه شود.

به گفته این کارشناس، یکی از اتفاقات مخل امنیت، عدم سیاست‌گذاری درست در رابطه با اینترنت است گفت اینکه شبکه ملی اطلاعات در کشور داشته باشد خیلی اتفاق خوبی است و سبب کاهش هزینه و افزایش دسترسی و به طبع افزایش امنیت می‌شود ولی متأسفانه اتفاقی که بعضا در زمینه اینترنت رخ داده مخصوصا در مواقعی که مشکل امنیت در جای دیگر جامعه وجود دارد، بستن پهنای باند اینترنت، یا مسدود و محدودسازی سایت‌هاست؛ در حالی که این موضوع کاربران را به سمت استفاده از ابزاری مانند وی پی ان سوق می‌دهد و استفاده از وی پی ان هم تمام پیش‌بینی‌ها و الزامات دیده شده در شبکه دیده شده را  میان‌بر زده و از آن عبور می‌کند.

به عبارتی زمانی که در یک سازمان یا منزلی تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به طور کلی الزامات در معماری شبکه رعایت شود اما کاربر با وی پی ان به یک سایت خارجی متصل شود، همه رشته‌هایی که برای امنیت سازمان چیده شده، پنبه می‌شود.

نکته مهمی که باید به توجه کرد این است امنیت یک فرآیند است نه یک عملیات بنابراین امنیت سایبری فرآیندی است که به صورت کامل باید انجام شود تا بتوان یک ساختار امنیتی را به وجود آورد حال اگر در بعضی از موارد نتوان به ساختاری که مد نظر بوده رسید، موضوع امنیت می‌تواند مخاطرات خود را داشته باشد.

درکنار موارد ذکر شده هزینه یکی از ملاک‌های مهم امنیت سایبری است؛ طبق گفته حسن اسدی - رئیس کمیسیون شبکه سازمان نظام صنفی رایانه‌ای تهران -برای فرایند امنیت سایبری باید هزینه انجام شود؛ اگر سازمان‌ها این هزینه‌ها را نپردازند، قطعا در این حوزه به مشکلاتی برخواهند خورد البته بخشی از هزینه هم برای این است که سازمان‌ها مدیران لایق‌تری در این بخش داشته باشند چون در صورت نپرداختن هزینه، قطعا با مشکل مواجه خواهند شد. به عبارتی سازمان‌هایی که از نظر امنیت سایبری به مشکل برمی‌خورند احتمالا برای بخش‌های خود در حوزه امنیت فناوری اطلاعات به اندازه مورد نیاز هزینه نمی‌کنند.

به اعتقاد این کارشناس، مشاهده می‌شود برخی شرکت‌های سرویس دهنده اینترنت و میزبانی سایت، فقط بر کمیت تمرکز کرده‌اند و به دنبال مشتری و ارائه سرویس بیشتر و افزایش سرورهای خود بودند، گفت: این شرکت‌ها بیشتر به دلیل هزینه‌های دیگری که دارند، سعی می‌کنند قیمت‌ها را پایین‌تر بیاورند و درنتیجه مجبورند کیفیت را کاهش دهند و به تبع آن به کمیت اهمیت بدهند. از سوی دیگر برای اینکه در این موقعیت بتوانند با همردیف‌های خود رقابت کنند، مجبورند که قیمت‌ها را کاهش دهند و کاهش قیمت هم دلیل بر این است که حتما کیفیت مقداری پایین آمده است.

بر این اساس، اگر سازمان‌ها بخواهند تیم امنیتی قوی داشته باشند، باید در مواردی مانند آموزش و فرهنگ‌سازی نیروها هزینه کنند. خود موضوع فرهنگ‌سازی در مجموعه‌ها، عامل مهمی است تا نیروهایی تربیت شوند که از نظر فنی و درک مسائل امنیتی بالا باشند و بتوانند امنیت سایبری را حفظ را کنند.

ایسنا