
تازه ها
چگونه اینترنت را در شرایط بحرانی امن کنیم
یک استاد دانشگاه گفت: ما بیش از هر زمان دیگری نیازمند استقرار سازوکارهای ممیزی دقیق و مداوم برای ارتقای امنیت سایبری هستیم همچنین باید یک متولی واحد برای این منظور در کشور وجود داشته باشد.
محمد مهدی اثنی عشری استاد دانشگاه و عضو هیئت علمی دانشکده کامپیوتر دانشگاه خواجه نصیر الدین طوسی در گفتوگو با خبرنگار مهر با اشاره به ضرورت بازنگری در شیوه نگارش و ساختار دستورالعملهای صادره از مراجع بالادستی در حوزه امنیت سایبری افزود: باید اینگونه بخشنامهها کاملاً دقیق، سنجیده و مبتنی بر امکان اجراییبودن تدوین شوند. روشن است که در شرایط بحرانی یا اضطراری، اِعمال محدودیتهای شدید امری قابلقبول و حتی ضروری است. بهعنوان مثال، اگر کشور یا سازمانی به مدت ۱۰ تا ۱۲ روز درگیر بحران خاصی شود، قطعاً اتخاذ تمهیدات سختگیرانه در آن بازه زمانی منطقی و موجه خواهد بود. اما اینکه نگاه بسته و محدودکننده بهصورت دائمی و فراگیر تحمیل شود، نهتنها قابل اجرا نیست بلکه اثربخشی لازم را نیز نخواهد داشت.
امنیت سایبری بدون نظارت مداوم و نظاممند تحقق نخواهد یافت
این استاد دانشگاه بر ضرورت شکلگیری نظامهای نظارتی فعال و ارزیابانه تأکید کرد و گفت: ما بیش از هر زمان دیگری نیازمند استقرار سازوکارهای ممیزی دقیق و مداوم هستیم. ممکن است مدیری در حوزه فناوری اطلاعات با دقت و مسئولیتپذیری بالا عمل و تمام الزامات را رعایت کند، اما در نقطهای دیگر از همان سیستم، فردی با این ذهنیت که "چیزی نمیشود" از اجرای برخی بندها سر باز زند. بدون نظارت مؤثر و یکپارچه، این چرخه ناقص خواهد ماند و نتیجهای حاصل نخواهد شد.
وی در ادامه به یکی از تجربههای اخیر در بررسی امنیت سامانههای دانشگاهی اشاره کرد و توضیح داد: در ماههای فروردین و اردیبهشت، پایشهایی بر وبسایتهای دانشگاهها صورت گرفت، اما این اقدامات بسیار محدود و اغلب بهصورت خودکار و سامانهمحور انجام شده است. در حالیکه انتظار میرود اینگونه بررسیها بهصورت میدانی، حضوری و با عمق کارشناسی بیشتر صورت گیرد.
اثنیعشری تأکید کرد: امنیت سایبری، بدون نظارت مداوم و نظاممند تحقق نخواهد یافت. اگر واقعاً برای امنیت دیجیتال ارزش قائل هستیم، باید به سمت استقرار آدیتینگ (ممیزی) ۳۶۰ درجه حرکت کنیم؛ نه صرفاً بررسیهای موردی، بلکه یک چرخه کامل شامل تدوین الزامات، نظارت بر اجرا، آزمون نفوذ، بازخوردگیری و اصلاح مستمر.
ضرورت استقرار نظام منسجم و مستمر برای پیشگیری از رخدادهای امنیتی
وی با اشاره به وضعیت منابع انسانی در حوزه امنیت فناوری اطلاعات تصریح کرد: در بسیاری از سازمانها، اگرچه نیروهای فعال در حوزه فناوری اطلاعات حضور دارند، اما الزاماً تخصص امنیت سایبری ندارند. استخدام، نگهداشت و ارتقای این دسته از متخصصان نیز در شرایط کنونی، چالشهایی دارد. با این حال، از منظر حاکمیتی باید نهادهایی وجود داشته باشند که بهطور جدی و مسئولانه این مأموریت را پیگیری کنند. مراکزی نظیر مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) تا حدی در این زمینه فعالاند، اما در حال حاضر فرایند جامع، فراگیر و اطمینانبخشی که بتواند خیال سازمانها را از منظر امنیت دیجیتال آسوده سازد، هنوز بهصورت مؤثر وجود ندارد.
اثنیعشری در ادامه سخنان خود اظهار داشت: در بسیاری موارد، تنها یک ایمیل دریافت میکنیم با این مضمون که برای مثال، پورت مشخصی باز است یا سامانهای دارای آسیبپذیری امنیتی است. اما آنچه غایب است، یک نظام منسجم برای پیگیری مستمر، انجام تستهای دورهای و ارزیابی ساختاریافته از وضعیت امنیتی سامانههاست؛ ارزیابیای که بتواند سطح امنیت عملیاتی سازمان را تضمین کند. بیتردید، استقرار چنین سیستمی میتواند نقش مهم و مؤثری در پیشگیری از رخدادهای امنیتی ایفا کند.
این عضو هیئت علمی دانشگاه در ادامه با اشاره به توانمندیهای انسانی کشور در حوزه فناوری اطلاعات گفت: خوشبختانه در دانشگاهها، مراکز آپ (آگاهیرسانی، پشتیبانی و پاسخ به رخدادهای امنیتی) و شرکتهای دانشبنیان، نیروی انسانی متخصص و توانمندی حضور دارد. هرچند بخشی از این نیروها مهاجرت کردهاند، اما همچنان سرمایه انسانی قابلتوجهی در کشور فعال است. آنچه ما بهشدت به آن نیاز داریم، وجود یک سیاستگذاری منسجم، مدون، یکپارچه و در عین حال قابل اجراست؛ سیاستی که بتواند این ظرفیتهای پراکنده را در قالب یک زنجیره هماهنگ و هدفمند بهکار گیرد.
وی با اشاره به چالشهای سیاستگذاری امنیت سایبری در کشور، خاطرنشان کرد: متأسفانه در سیاستگذاریها گاه دچار افراط و تفریط میشویم؛ یا دسترسیها و سامانهها را بهطور کامل مسدود میکنیم یا بالعکس، همهچیز را رها میکنیم.
گواهینامهای برای ویترین؛ نه ضمانت واقعی امنیت
عضو هیئت علمی دانشگاه خواجه نصیر به تجربه اخیر صدور گواهی امنیتی "افتا" نیز اشاره کرد و گفت: در یکی دو سال گذشته، خیلی تأکید شده که سازمانها باید فقط با شرکتهایی همکاری کنند که دارای گواهی افتا هستند. این گواهی قرار است تأییدی بر توانایی شرکتها در حفاظت از اطلاعات باشد، اما در عمل، تأثیر آن کمتر از حد انتظار بوده است. بهعنوان نمونه، شرکتها معمولاً فقط برای یک محصول گواهی میگیرند، اما بعد همان گواهی را به دیگر محصولات خود تعمیم میدهند، بدون اینکه فرآیند واقعی ارزیابی برای آنها طی شده باشد. نظارتی هم بر این موضوع وجود ندارد.
وی افزود: از سوی دیگر، اگر بخواهیم سختگیری کنیم و الزام بگذاریم که همه محصولات باید جداگانه گواهی داشته باشند، با چالش نبود ظرفیت کافی برای صدور گواهی مواجه میشویم. فرآیند اخذ گواهی افتا گاهی تا دو سال هم طول میکشد. این موضوع خود به مانعی برای فعالیت شرکتها تبدیل میشود و در نتیجه، نه تنها امنیت افزایش پیدا نمیکند، بلکه اعتماد به فرآیندها هم کاهش مییابد.
لزوم بازنگری در روند ارزیابی و صدور این گواهیها
مدیر فناوری اطلاعات دانشگاه خواجه نصیر همچنین بر لزوم بازنگری در روند ارزیابی و صدور این گواهیها تأکید کرد و گفت: اگر شرکتهای دانشبنیان و مراکز آپ بتوانند در فرایند ارزیابی و صدور گواهی مشارکت داده شوند، هم این روند تسریع میشود و هم کیفیت آن افزایش پیدا میکند. گواهی افتا نباید صرفاً بر اساس ارسال مدارک یا گذراندن یک آزمون صادر شود؛ بلکه باید با ارزیابیهای میدانی و تخصصی همراه باشد.
وی با اشاره به چالشهای عملیاتی همکاری با شرکتها گفت: گاهی شرایط ایجاب میکند که با شرکتی فاقد گواهی افتا قرارداد همکاری منعقد کنیم، چراکه در آن حوزه خاص، جایگزین مناسبی وجود ندارد. در چنین مواردی، هرچند تمام استانداردهای امنیتی را از جانب خود رعایت میکنیم، اما نبود نظام آدیتینگ و ارزیابی مستمر سبب میشود نتوانیم با اطمینان از میزان پایبندی طرف مقابل به الزامات امنیتی سخن بگوییم. اگر واقعاً قرار است امنیت اطلاعات در اولویت قرار گیرد، نظارت دقیق، مستمر و قابل رهگیری نیز باید به همان میزان مورد توجه و اهتمام قرار گیرد.
این استاد دانشگاه تأکید کرد: بدون زنجیره کامل از زیرساخت، نیروی انسانی و سیاست واحد، مقابله با تهدیدات سایبری ممکن نیست.
امنیت سایبری باید متولی واحد در کشور داشته باشد
وی در پاسخ به این پرسش که از نگاه علمی، چه سازوکار یا روشی باید از سوی حاکمیت اتخاذ شود تا بتوان از بروز حملات سایبری جلوگیری کرد، گفت: من اعتقاد دارم اصل مسئله در یکپارچگی است. یعنی ما نیاز داریم یک مغز متفکر و یک متولی واحد در کشور وجود داشته باشد که مسئولیت این حوزه را بهصورت منسجم و متمرکز بر عهده بگیرد.
او ادامه داد: در حال حاضر، نهادهای مختلفی درگیر این حوزه هستند و کشور با تعدد نهادهای موازی در حوزه فضای مجازی مواجه است؛ از مرکز ملی فضای مجازی گرفته تا سازمان فناوری اطلاعات و سایر نهادهایی که هر یک در محدودهای خاص و بعضاً جزیرهای فعالیت میکنند. این پراکندگی نهادی، در مواقع بحران و بروز مسائل امنیتی به سردرگمی در تعیین مسئولیت میانجامد؛ بهگونهای که هر دستگاهی مسئولیت را به نهاد دیگر واگذار میکند و یکی اعلام میدارد که مأموریتش تا مرحلهای مشخص پیش رفته و ادامه مسیر بر عهده نهادی دیگر است. این وضعیت بهوضوح نشان میدهد که نبود یک متولی مرکزی و پاسخگو، یکی از خلأهای اساسی در مدیریت کلان امنیت فضای مجازی کشور است.
این استاد دانشگاه تصریح کرد: در چنین شرایطی، وجود نهادی مقتدر و مسئول، ضرورتی انکارناپذیر است؛ نهادی که نهتنها مسئولیت تدوین دستورالعملهای اجرایی را بر عهده داشته باشد، بلکه توان تطبیق این دستورالعملها با شرایط واقعی و پیچیده اجرایی را نیز دارا بوده و بر حسن اجرای آنها از طریق یک سازوکار نظارتی مؤثر و پیوسته (آدیتینگ) نظارت دقیق اعمال کند.
وی با تأکید بر امکانپذیر بودن تحقق چنین ساختاری تصریح کرد: تدوین دستورالعملهای عملیاتی، گرچه گامی مهم و بنیادین است، اما بهتنهایی کافی نخواهد بود. تحقق امنیت پایدار در فضای مجازی مستلزم فراهمسازی بسترهای مناسب، ایجاد زیرساختهای فنی و بهکارگیری نیروی انسانی متخصص و متعهد است. بهعبارت دیگر، باید یک زنجیره کامل و هماهنگ از تصمیمسازی تا اجرا شکل گیرد؛ زنجیرهای که تمامی اجزای آن بهطور همزمان و هماهنگ فعال باشند. صرف اراده و خواستن، بدون فراهم آوردن سازوکار اجرایی کارآمد، راه به جایی نخواهد برد.
اثنی عشری در ادامه با اشاره به اقدامات صورتگرفته در سالهای گذشته یادآور شد: نمیتوان منکر تلاشها و پیشرفتهای ارزشمندی شد که در سالهای اخیر در این حوزه صورت گرفته است. بیتردید، وضعیت ما نسبت به گذشته بهبود یافته، اما واقعیت آن است که تهدیدات سایبری روزبهروز پیچیدهتر، هدفمندتر و خطرناکتر میشوند و ما ناگزیر از حرکت با شتاب و انسجام بیشتر در این عرصه هستیم. تا زمانی که آن زنجیره یکپارچه و منسجم که پیشتر به آن اشاره کردم، بهطور واقعی شکل نگیرد، نمیتوان انتظار داشت که در برابر امواج روزافزون تهدیدات سایبری مصون بمانیم.
از راهکارهای امنیت شخصی تا چالشهای سازمانی
وی به برخی اقدامات فردی و سازمانی در زمینه حفظ امنیت سایبری اشاره کرد و گفت: در حوزه شخصی، مهمترین نکته پرهیز از نصب نرمافزارهای ناشناس و استفاده از لینکهای مشکوک است. همچنین توصیه میشود از VPNهایی که ناشناخته و رایگان هستند استفاده نشود؛ چرا که اغلب این ابزارها میتوانند دسترسی کامل به اطلاعات کاربران پیدا کنند. بهطور کلی، استفاده از نرمافزارهای داخلی و بومی به جای نمونههای خارجی، اقدامی مؤثر در کاهش تهدیدات امنیتی است.
مدیر فناوری اطلاعات دانشگاه خواجه نصیر در خصوص تدابیر امنیتی دانشگاه اظهار کرد: با توجه به امکانات موجود، تلاش کردیم در وهله نخست دسترسیهای ریموت را کنترل کنیم؛ با استفاده از ابزارهایی مانند FortiClient. همچنین تستهای نفوذ دورهای (پریودیک) روی سامانهها و سرورها انجام میشود و لاگهای سیستمها بهطور مداوم از طریق ابزارهایی نظیر Splunk مورد پایش قرار میگیرند.
او ادامه داد: در کنار این اقدامات، از ظرفیتهای مرکز ماهر نیز بهرهبرداری کردهایم. در مواردی نیز برخی از سرورها را به پشت سرویسدهندههای ابری منتقل کردهایم تا در برابر حملاتی مانند DDoS ایمنتر باشند. همه اینها بخشی از روند نظارت مستمر و تقویت زیرساختهای امنیتی دانشگاه است.
باید از اینترنت جهانی استفاده هوشمند و همراه با نظارت داشت
وی در پایان درباره ضرورت استفاده از اینترنت بینالمللی و چالشهای آن گفت: اینترنت جهانی یک نیاز اجتنابناپذیر است، خصوصاً برای فعالیتهای علمی، پژوهشی و ارتباط با مجلات و مراکز بینالمللی. محدود شدن این دسترسی برای فعالیتهای علمی مشکلاتی را به وجود میآورد. بنابراین، به جای حذف باید استفاده هوشمندانه و همراه با نظارت از این فضا داشته باشیم. فضای مجازی فرصت است، اما تهدید هم هست. باید یاد بگیریم چگونه با دقت و با آگاهی از تهدیدات از این فرصت استفاده کنیم.
ارسال نظرات