امنیت حلقه مفقود شده فضای سایبری

در دوهفته اخیر حمله گسترده باج‌افزار Wanna Cry و از کار افتادن سایت‌های برخی نهادها مانند پست، وزارت کار، بانک مرکزی و... باعث شد تا بحث بر سر جدی نگرفتن امنیت اطلاعات در سازمان‌ها و نهادهای مختلف دولتی مورد توجه قرار بگیرد.

به گزارش عطنا،  روزنامه ایران در مطلبی که در روز چهارشنبه ۱۷ خرداد ماه به چاپ رسانده است به شرایط حاکم بر فضای سایبری و عدم امنیت موجود در آن پرداخته است که در ادامه با هم می‌خوانیم.

در دوهفته اخیر حمله گسترده باج‌افزار Wanna Cry و از کار افتادن سایت‌های برخی نهادها مانند پست، وزارت کار، بانک مرکزی و... باعث شد تا بحث بر سر جدی نگرفتن امنیت اطلاعات در سازمان‌ها و نهادهای مختلف دولتی مورد توجه قرار بگیرد. تاکنون دستورالعمل‌ها، ابلاغیه‌ها و فرآیند‌های مختلفی برای افزایش امنیت اطلاعات در فضای مجازی استخراج شده است که در آخر هیچ‌کدام از آنها مانع از به خطر افتادن اطلاعات مهم و حیاتی سازمان‌ها و در نهایت کاربران نشده است.

 برای نمونه هفته گذشته و با توجه به اطلاع‌رسانی‌های وسیع و ارائه راهنمایی‌های لازم برای رفع آسیب‌پذیری مرتبط حمله باج‌افزار Wanna Cry به دلیل تعلل برخی از سازمان‌ها و کاربران، این باج‌افزار در سه روز توانست دو هزار قربانی جدید را در کشور به دام بیندازد. اما چرا با وجود اهمیت بالای حفاظت از اطلاعات در فضای مجازی و تشکیل ارتشی به نام ارتش سایبری در ایران همچنان سازمان‌ها و نهادهای دولتی کشور خسارت‌های زیادی را به دلیل تعلل در بالا بردن امنیت اطلاعات خود متحمل می‌شوند؟

برنامه‌هایی که اجرا نمی‌شود

هک وب سایت‌های عمومی و خدماتی دستگاه‌های اجرایی، حمله به سایت سازمان فضایی ایران توسط یک گروه هکر ایرانی به نام Persian Boys، هک یکی از بانک‌های کشور توسط گروه ISCN، حمله ویروس اینترنتی «استاکس نت» به رایانه‌های صنعتی، حمله بدافزار جاسوسی «استارس» به رایانه‌های کشور، حمله ویروسی به نام وایپر به سیستم رایانه‌ای وزارت نفت، جمع‌آوری اطلاعات خصوصی از کشورهایی مانند ایران از طریق بد افزاری به نام Flame، هک چندباره سایت ایسنا توسط هکرهای خارجی و داخلی، نفوذ هکرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمره‌ها و... تنها بخشی از حملات سایبری به وب سایت‌های دولتی و آموزشی کشور در سال‌های اخیر است.

به باور کارشناسان و فعالان امنیت فضای مجازی، بی‌توجهی و باور نداشتن مدیران سازمان‌ها و نهاد‌های دولتی و نبود یک فرآیند مشخص و استاندارد در حوزه امنیت سایبری باعث شده تا ایران به‌عنوان یکی از آسیب‌پذیرترین کشورها در زمینه امنیت سایبری شناخته شود.
مهم‌ترین سند بالادستی نظام در حوزه امنیت سایبر، سند راهبردی امنیت فضای تبادل اطلاعات (افتا) است که در برنامه پنجم و ششم توسعه گنجانده شده است. در این سند که کلیه ارکان نظام موظف به اجرای آن شده‌اند، الزاماتی در حوزه امنیت فضای تبادل اطلاعات برای دولت در نظر گرفته شده است.

 استقرار نظام مدیریت امنیت اطلاعات( ISMS)در دستگاه‌های حکومتی، استانداردسازی محصولات امنیتی در حوزه سایبر، راه‌اندازی مراکزی چون مرکز عملیات امنیت (SOC )و مرکز ماهر از جمله این الزامات است. اما آمارها نشان می‌دهد که تاکنون هیچ‌کدام از این الزامات مورد توجه ارکان‌ اجرایی کشور قرار نگرفته‌است.

اما آمارهای منتشر شده در وب‌سایت پایش شاخص‌های فناوری اطلاعات کشور در خصوص سند راهبردی افتا گویای این موضوع است که کشور در اجرای این سند از برنامه‌ها بسیار عقب است. برای نمونه وضعیت مورد انتظار در انتهای برنامه پنجم(سال 94) برای استقرار نظام مدیریت امنیت اطلاعات (ISMS) 53درصد در نظر گرفته شده بود که براساس آخرین آمار منتشر شده در این وب سایت تا پایان سال 92 تنها 39 درصد این هدف محقق شده است. در خصوص راه‌اندازی مرکز عملیات امنیت یا SOC نیز از ۱۰۰ درصد انتظار تا پایان سال 94، ‌تنها ۲۰ درصد طرح تا سال 92محقق شده و طرح گوهر (گروه واکنش هماهنگ رخدادهای امنیتی) نیز از ۱۰۰ درصد اجرا (تا سال 94) تنها ۳۵ درصد به مرحله عملیاتی رسیده است.

در حوزه استانداردسازی و ارزیابی محصولات امنیتی نیز با وجودی که انتظار می‌رفت ۲۹ آزمایشگاه ارزیابی محصولات امنیتی در این بخش ایجاد شود، راه‌اندازی تنها ۸ آزمایشگاه در این زمینه محقق شده است. ذکر این نکته ضروری است که آمار اشاره شده در خصوص سند راهبردی افتا، آخرین و به روزترین آمار قابل مشاهده در وب‌سایت پایش شاخص‌های فناوری اطلاعات کشور است.
ممنوعیت خرید نرم‌افزارهای امنیتی خارجی و الزام به خرید نرم‌افزارهای داخلی برای دستگاه‌های اجرایی نیز از دیگر مواردی است که از سوی دولت به تمام دستگاه‌های اجرایی ابلاغ شده است اما این مورد نیز از سوی دستگاه‌های اجرایی مورد توجه قرار نمی‌گیرد.

مشکل کجاست؟

حملات سایبری و به خطر افتادن اطلاعات مهم سازمان‌ها و کاربران مختص ایران نیست و معضلی است که جامعه جهانی را درگیر خود کرده است. اما در ایران به دلیل استفاده از نرم‌افزارهای امنیتی قفل شکسته، نبود برنامه منسجم و مشخص، موازی‌کاری، نبود آموزش مناسب و افراد متخصص و... خسارات ناشی از یک هک یا حمله سایبری بسیار چشمگیر‌تر است. علی امیری، مشاوره امنیتی در گفت‌و‌گو با «ایران»، بزرگ‌ترین مشکل بر سر راه امنیت اطلاعات فضای سایبر را نبود نیروی انسانی کارآمد و بی‌توجهی به فرآیند‌های خاص و تعیین شده عنوان می‌کند.

 او در این خصوص می‌گوید: «داشتن نیروی انسانی متخصص در حوزه امنیت از بسیاری مشکلات می‌تواند جلوگیری کند. علاوه بر اینکه در سازمان‌ها و دستگاه‌های اجرایی دولتی جای چنین افراد متخصصی خالی است یکی دیگر از مشکلات بزرگ بر سر راه حفظ امنیت اطلاعات این است که در حال حاضر بخش بزرگی از نهادهای دولتی ما همچنان از نرم‌افزارهای قفل شکسته استفاده می‌کنند.

در واقع عدم رعایت قانون کپی‌رایت در کشور ریسک‌های امنیتی را نیز افزایش داده است. برای مثال در خصوص حمله باج افزار اخیر Wanna Cry کشورها با مشکل بیشتری همراه شده‌اند که نرخ عدم رعایت کپی‌رایت در آنها بالاتر بوده است» وی در ادامه می‌افزاید: «جای خالی متخصصان امنیتی و در نظر نگرفتن بخشی مجزا برای اجرای فرآیند‌های امنیتی در سازمان‌ها نیز از دیگر مسائلی است که باعث می‌شود با یک حمله کوچک بخش بزرگی از اطلاعات یک سازمان ایرانی دچار خطر شود. نگاه بسیاری از مدیران دولتی به موضوع امنیت یک نگاه کلیدی نیست و بسیاری از آنها بر این باورند که در نظر گرفتن بودجه برای افزایش امنیت اطلاعات یک هزینه اضافه و بی‌فایده است و به همین دلیل شاهد هستیم که اطلاعات در کشور براحتی مورد سوء استفاده قرار می‌گیرد.»

به باور وی نبود یک سازمان مسئول و مستقل در زمینه امنیت سایبری که هشدارها و سیاست‌هایش مورد توجه قرار بگیرد از دیگر ضعف‌ها بر سر امنیت فضای سایبری کشور است. براساس اظهارات امیری در حال حاضر تنها «مرکز ماهر» (مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای) است که بعد از اعلام حمله‌ها به صورت جهانی، خبرها و اظهاراتی مطرح می‌کند که بیشتر مردم نه این سازمان و وظایفش را می‌شناسند و نه هشدارهای آن را جدی می‌گیرند.

در همین زمینه بهناز آریا، ‌کارشناس امنیتی نیز در گفت‌و‌گو با «ایران»، ‌اعلام می‌کند که بزرگترین مشکل بر سر راه امنیت سایبری کشور، جدی نگرفتن این موضوع از سمت مدیران است. او در این خصوص می‌گوید: «بسیاری از حملات سایبری براحتی قابل پیش‌بینی و پیشگیری هستند اما متأسفانه بسیاری از سازمان‌های ما باوری به امنیت اطلاعات و مشخص کردن فرآیند برای آن ندارند.

 برای مثال با یک به روز‌رسانی نرم‌افزار می‌توان جلوی آن را گرفت. برای مثال در خصوص باج‌افزار Wanna Cry از ماه پیش با به روز‌رسانی که مایکروسافت برای برخی برنامه‌های خود داده بود و همچنین اطلاع‌رسانی که به خود سازمان‌ها شده بود براحتی می‌توانستیم جلوی درز هرگونه اطلاعاتی را بگیریم اما متأسفانه بسیاری از سازمان‌های ما به هشدارهای ارائه شده توجهی نشان ندادند.»

 آریا بخش دیگر مشکل در این حوزه را استفاده از نرم‌افزارهای قفل‌شکسته می‌داند و می‌افزاید: «استفاده از نرم‌افزارهای اصل این مزیت را دارد که در صورت بروز مشکل با هر به روزرسانی از سمت شرکت توسعه‌دهنده مشکل به وجود آمده حل خواهد شد همچنین وجود سیستم پشتیبانی برای این نرم‌افزارها حل و پیشگیری از مشکلات را نیز راحت‌تر می‌کند. اما متأسفانه در ایران به دلیل عدم اجرای قانون کپی رایت اکثر سازمان‌ها و دستگاه‌های اجرایی دولتی از نرم‌افزارهای قفل شکسته استفاده می‌کنند.

حتی در شرایطی هم که نماینده یک شرکت‌نرم افزاری در کشور وجود دارد سازمان‌ها ترجیح می‌دهند برای پرداخت پول کمتر از نرم‌افزار قفل شکسته استفاده کنند این در حالی است که خسارتی که از سمت همین نرم‌افزار قفل شکسته می‌تواند به سازمان‌ها وارد شود هزینه‌ای بالاتر از خرید یک نرم‌افزارسالم دارد.»

 آریا اعلام می‌کند که در بحث امنیت سایبری در کشور، قوانین و برنامه‌های مشخصی وجود دارد اما مشکل اینجاست که هیچ‌کدام از این برنامه‌ها و الزامات به اجرا گذاشته نمی‌شود. وی پیشنهاد می‌کند که در کنار اجرای سیاست‌های تعیین شده در حوزه امنیت سایبری بهتر است همان‌طور که تمام بخش‌های یک سازمان دارای برنامه استراتژیک هستند، امنیت اطلاعات نیز در هر سازمان و دستگاه اجرایی دارای برنامه استراتژیک و بودجه مشخص باشد. به باور وی نظارت دقیق و استفاده از متخصصان با تجربه در سازمان‌ها و دستگاه‌های اجرایی تا حدود زیادی می‌تواند خسارت ناشی از یک حمله اینترنتی را کاهش دهد.