چگونه اینترنت را در شرایط بحرانی امن کنیم

یک استاد دانشگاه گفت: ما بیش از هر زمان دیگری نیازمند استقرار سازوکار‌های ممیزی دقیق و مداوم برای ارتقای امنیت سایبری هستیم همچنین باید یک متولی واحد برای این منظور در کشور وجود داشته باشد.

محمد مهدی اثنی عشری استاد دانشگاه و عضو هیئت علمی دانشکده کامپیوتر دانشگاه خواجه نصیر الدین طوسی در گفت‌و‌گو با خبرنگار مهر با اشاره به ضرورت بازنگری در شیوه نگارش و ساختار دستورالعمل‌های صادره از مراجع بالادستی در حوزه امنیت سایبری افزود: باید این‌گونه بخش‌نامه‌ها کاملاً دقیق، سنجیده و مبتنی بر امکان اجرایی‌بودن تدوین شوند. روشن است که در شرایط بحرانی یا اضطراری، اِعمال محدودیت‌های شدید امری قابل‌قبول و حتی ضروری است. به‌عنوان مثال، اگر کشور یا سازمانی به مدت ۱۰ تا ۱۲ روز درگیر بحران خاصی شود، قطعاً اتخاذ تمهیدات سخت‌گیرانه در آن بازه زمانی منطقی و موجه خواهد بود. اما اینکه نگاه بسته و محدودکننده به‌صورت دائمی و فراگیر تحمیل شود، نه‌تنها قابل اجرا نیست بلکه اثربخشی لازم را نیز نخواهد داشت.

امنیت سایبری بدون نظارت مداوم و نظام‌مند تحقق نخواهد یافت

این استاد دانشگاه بر ضرورت شکل‌گیری نظام‌های نظارتی فعال و ارزیابانه تأکید کرد و گفت: ما بیش از هر زمان دیگری نیازمند استقرار سازوکار‌های ممیزی دقیق و مداوم هستیم. ممکن است مدیری در حوزه فناوری اطلاعات با دقت و مسئولیت‌پذیری بالا عمل و تمام الزامات را رعایت کند، اما در نقطه‌ای دیگر از همان سیستم، فردی با این ذهنیت که "چیزی نمی‌شود" از اجرای برخی بند‌ها سر باز زند. بدون نظارت مؤثر و یکپارچه، این چرخه ناقص خواهد ماند و نتیجه‌ای حاصل نخواهد شد.

وی در ادامه به یکی از تجربه‌های اخیر در بررسی امنیت سامانه‌های دانشگاهی اشاره کرد و توضیح داد: در ماه‌های فروردین و اردیبهشت، پایش‌هایی بر وب‌سایت‌های دانشگاه‌ها صورت گرفت، اما این اقدامات بسیار محدود و اغلب به‌صورت خودکار و سامانه‌محور انجام شده است. در حالی‌که انتظار می‌رود این‌گونه بررسی‌ها به‌صورت میدانی، حضوری و با عمق کارشناسی بیشتر صورت گیرد.

اثنی‌عشری تأکید کرد: امنیت سایبری، بدون نظارت مداوم و نظام‌مند تحقق نخواهد یافت. اگر واقعاً برای امنیت دیجیتال ارزش قائل هستیم، باید به سمت استقرار آدیتینگ (ممیزی) ۳۶۰ درجه حرکت کنیم؛ نه صرفاً بررسی‌های موردی، بلکه یک چرخه کامل شامل تدوین الزامات، نظارت بر اجرا، آزمون نفوذ، بازخوردگیری و اصلاح مستمر.

ضرورت استقرار نظام منسجم و مستمر برای پیشگیری از رخداد‌های امنیتی

وی با اشاره به وضعیت منابع انسانی در حوزه امنیت فناوری اطلاعات تصریح کرد: در بسیاری از سازمان‌ها، اگرچه نیرو‌های فعال در حوزه فناوری اطلاعات حضور دارند، اما الزاماً تخصص امنیت سایبری ندارند. استخدام، نگهداشت و ارتقای این دسته از متخصصان نیز در شرایط کنونی، چالش‌هایی دارد. با این حال، از منظر حاکمیتی باید نهاد‌هایی وجود داشته باشند که به‌طور جدی و مسئولانه این مأموریت را پیگیری کنند. مراکزی نظیر مرکز ماهر (مدیریت امداد و هماهنگی رخداد‌های رایانه‌ای) تا حدی در این زمینه فعال‌اند، اما در حال حاضر فرایند جامع، فراگیر و اطمینان‌بخشی که بتواند خیال سازمان‌ها را از منظر امنیت دیجیتال آسوده سازد، هنوز به‌صورت مؤثر وجود ندارد.

اثنی‌عشری در ادامه سخنان خود اظهار داشت: در بسیاری موارد، تنها یک ایمیل دریافت می‌کنیم با این مضمون که برای مثال، پورت مشخصی باز است یا سامانه‌ای دارای آسیب‌پذیری امنیتی است. اما آنچه غایب است، یک نظام منسجم برای پیگیری مستمر، انجام تست‌های دوره‌ای و ارزیابی ساختاریافته از وضعیت امنیتی سامانه‌هاست؛ ارزیابی‌ای که بتواند سطح امنیت عملیاتی سازمان را تضمین کند. بی‌تردید، استقرار چنین سیستمی می‌تواند نقش مهم و مؤثری در پیشگیری از رخداد‌های امنیتی ایفا کند.

این عضو هیئت علمی دانشگاه در ادامه با اشاره به توانمندی‌های انسانی کشور در حوزه فناوری اطلاعات گفت: خوشبختانه در دانشگاه‌ها، مراکز آپ (آگاهی‌رسانی، پشتیبانی و پاسخ به رخداد‌های امنیتی) و شرکت‌های دانش‌بنیان، نیروی انسانی متخصص و توانمندی حضور دارد. هرچند بخشی از این نیرو‌ها مهاجرت کرده‌اند، اما همچنان سرمایه انسانی قابل‌توجهی در کشور فعال است. آنچه ما به‌شدت به آن نیاز داریم، وجود یک سیاست‌گذاری منسجم، مدون، یکپارچه و در عین حال قابل اجراست؛ سیاستی که بتواند این ظرفیت‌های پراکنده را در قالب یک زنجیره هماهنگ و هدفمند به‌کار گیرد.

وی با اشاره به چالش‌های سیاست‌گذاری امنیت سایبری در کشور، خاطرنشان کرد: متأسفانه در سیاست‌گذاری‌ها گاه دچار افراط و تفریط می‌شویم؛ یا دسترسی‌ها و سامانه‌ها را به‌طور کامل مسدود می‌کنیم یا بالعکس، همه‌چیز را رها می‌کنیم.

گواهی‌نامه‌ای برای ویترین؛ نه ضمانت واقعی امنیت

عضو هیئت علمی دانشگاه خواجه نصیر به تجربه اخیر صدور گواهی امنیتی "افتا" نیز اشاره کرد و گفت: در یکی دو سال گذشته، خیلی تأکید شده که سازمان‌ها باید فقط با شرکت‌هایی همکاری کنند که دارای گواهی افتا هستند. این گواهی قرار است تأییدی بر توانایی شرکت‌ها در حفاظت از اطلاعات باشد، اما در عمل، تأثیر آن کمتر از حد انتظار بوده است. به‌عنوان نمونه، شرکت‌ها معمولاً فقط برای یک محصول گواهی می‌گیرند، اما بعد همان گواهی را به دیگر محصولات خود تعمیم می‌دهند، بدون اینکه فرآیند واقعی ارزیابی برای آنها طی شده باشد. نظارتی هم بر این موضوع وجود ندارد.

وی افزود: از سوی دیگر، اگر بخواهیم سخت‌گیری کنیم و الزام بگذاریم که همه محصولات باید جداگانه گواهی داشته باشند، با چالش نبود ظرفیت کافی برای صدور گواهی مواجه می‌شویم. فرآیند اخذ گواهی افتا گاهی تا دو سال هم طول می‌کشد. این موضوع خود به مانعی برای فعالیت شرکت‌ها تبدیل می‌شود و در نتیجه، نه تنها امنیت افزایش پیدا نمی‌کند، بلکه اعتماد به فرآیند‌ها هم کاهش می‌یابد.

لزوم بازنگری در روند ارزیابی و صدور این گواهی‌ها

مدیر فناوری اطلاعات دانشگاه خواجه نصیر همچنین بر لزوم بازنگری در روند ارزیابی و صدور این گواهی‌ها تأکید کرد و گفت: اگر شرکت‌های دانش‌بنیان و مراکز آپ بتوانند در فرایند ارزیابی و صدور گواهی مشارکت داده شوند، هم این روند تسریع می‌شود و هم کیفیت آن افزایش پیدا می‌کند. گواهی افتا نباید صرفاً بر اساس ارسال مدارک یا گذراندن یک آزمون صادر شود؛ بلکه باید با ارزیابی‌های میدانی و تخصصی همراه باشد.

وی با اشاره به چالش‌های عملیاتی همکاری با شرکت‌ها گفت: گاهی شرایط ایجاب می‌کند که با شرکتی فاقد گواهی افتا قرارداد همکاری منعقد کنیم، چراکه در آن حوزه خاص، جایگزین مناسبی وجود ندارد. در چنین مواردی، هرچند تمام استاندارد‌های امنیتی را از جانب خود رعایت می‌کنیم، اما نبود نظام آدیتینگ و ارزیابی مستمر سبب می‌شود نتوانیم با اطمینان از میزان پایبندی طرف مقابل به الزامات امنیتی سخن بگوییم. اگر واقعاً قرار است امنیت اطلاعات در اولویت قرار گیرد، نظارت دقیق، مستمر و قابل رهگیری نیز باید به همان میزان مورد توجه و اهتمام قرار گیرد.

این استاد دانشگاه تأکید کرد: بدون زنجیره کامل از زیرساخت، نیروی انسانی و سیاست واحد، مقابله با تهدیدات سایبری ممکن نیست.

امنیت سایبری باید متولی واحد در کشور داشته باشد

وی در پاسخ به این پرسش که از نگاه علمی، چه سازوکار یا روشی باید از سوی حاکمیت اتخاذ شود تا بتوان از بروز حملات سایبری جلوگیری کرد، گفت: من اعتقاد دارم اصل مسئله در یکپارچگی است. یعنی ما نیاز داریم یک مغز متفکر و یک متولی واحد در کشور وجود داشته باشد که مسئولیت این حوزه را به‌صورت منسجم و متمرکز بر عهده بگیرد.

او ادامه داد: در حال حاضر، نهاد‌های مختلفی درگیر این حوزه هستند و کشور با تعدد نهاد‌های موازی در حوزه فضای مجازی مواجه است؛ از مرکز ملی فضای مجازی گرفته تا سازمان فناوری اطلاعات و سایر نهاد‌هایی که هر یک در محدوده‌ای خاص و بعضاً جزیره‌ای فعالیت می‌کنند. این پراکندگی نهادی، در مواقع بحران و بروز مسائل امنیتی به سردرگمی در تعیین مسئولیت می‌انجامد؛ به‌گونه‌ای که هر دستگاهی مسئولیت را به نهاد دیگر واگذار می‌کند و یکی اعلام می‌دارد که مأموریتش تا مرحله‌ای مشخص پیش رفته و ادامه مسیر بر عهده نهادی دیگر است. این وضعیت به‌وضوح نشان می‌دهد که نبود یک متولی مرکزی و پاسخگو، یکی از خلأ‌های اساسی در مدیریت کلان امنیت فضای مجازی کشور است.

این استاد دانشگاه تصریح کرد: در چنین شرایطی، وجود نهادی مقتدر و مسئول، ضرورتی انکارناپذیر است؛ نهادی که نه‌تنها مسئولیت تدوین دستورالعمل‌های اجرایی را بر عهده داشته باشد، بلکه توان تطبیق این دستورالعمل‌ها با شرایط واقعی و پیچیده اجرایی را نیز دارا بوده و بر حسن اجرای آنها از طریق یک سازوکار نظارتی مؤثر و پیوسته (آدیتینگ) نظارت دقیق اعمال کند.

وی با تأکید بر امکان‌پذیر بودن تحقق چنین ساختاری تصریح کرد: تدوین دستورالعمل‌های عملیاتی، گرچه گامی مهم و بنیادین است، اما به‌تنهایی کافی نخواهد بود. تحقق امنیت پایدار در فضای مجازی مستلزم فراهم‌سازی بستر‌های مناسب، ایجاد زیرساخت‌های فنی و به‌کارگیری نیروی انسانی متخصص و متعهد است. به‌عبارت دیگر، باید یک زنجیره کامل و هماهنگ از تصمیم‌سازی تا اجرا شکل گیرد؛ زنجیره‌ای که تمامی اجزای آن به‌طور هم‌زمان و هماهنگ فعال باشند. صرف اراده و خواستن، بدون فراهم آوردن سازوکار اجرایی کارآمد، راه به جایی نخواهد برد.

اثنی عشری در ادامه با اشاره به اقدامات صورت‌گرفته در سال‌های گذشته یادآور شد: نمی‌توان منکر تلاش‌ها و پیشرفت‌های ارزشمندی شد که در سال‌های اخیر در این حوزه صورت گرفته است. بی‌تردید، وضعیت ما نسبت به گذشته بهبود یافته، اما واقعیت آن است که تهدیدات سایبری روزبه‌روز پیچیده‌تر، هدفمندتر و خطرناک‌تر می‌شوند و ما ناگزیر از حرکت با شتاب و انسجام بیشتر در این عرصه هستیم. تا زمانی که آن زنجیره یکپارچه و منسجم که پیش‌تر به آن اشاره کردم، به‌طور واقعی شکل نگیرد، نمی‌توان انتظار داشت که در برابر امواج روزافزون تهدیدات سایبری مصون بمانیم.

از راهکار‌های امنیت شخصی تا چالش‌های سازمانی

وی به برخی اقدامات فردی و سازمانی در زمینه حفظ امنیت سایبری اشاره کرد و گفت: در حوزه شخصی، مهم‌ترین نکته پرهیز از نصب نرم‌افزار‌های ناشناس و استفاده از لینک‌های مشکوک است. همچنین توصیه می‌شود از VPN‌هایی که ناشناخته و رایگان هستند استفاده نشود؛ چرا که اغلب این ابزار‌ها می‌توانند دسترسی کامل به اطلاعات کاربران پیدا کنند. به‌طور کلی، استفاده از نرم‌افزار‌های داخلی و بومی به جای نمونه‌های خارجی، اقدامی مؤثر در کاهش تهدیدات امنیتی است.

مدیر فناوری اطلاعات دانشگاه خواجه نصیر در خصوص تدابیر امنیتی دانشگاه اظهار کرد: با توجه به امکانات موجود، تلاش کردیم در وهله نخست دسترسی‌های ریموت را کنترل کنیم؛ با استفاده از ابزار‌هایی مانند FortiClient. همچنین تست‌های نفوذ دوره‌ای (پریودیک) روی سامانه‌ها و سرور‌ها انجام می‌شود و لاگ‌های سیستم‌ها به‌طور مداوم از طریق ابزار‌هایی نظیر Splunk مورد پایش قرار می‌گیرند.

او ادامه داد: در کنار این اقدامات، از ظرفیت‌های مرکز ماهر نیز بهره‌برداری کرده‌ایم. در مواردی نیز برخی از سرور‌ها را به پشت سرویس‌دهنده‌های ابری منتقل کرده‌ایم تا در برابر حملاتی مانند DDoS ایمن‌تر باشند. همه اینها بخشی از روند نظارت مستمر و تقویت زیرساخت‌های امنیتی دانشگاه است.

باید از اینترنت جهانی استفاده هوشمند و همراه با نظارت داشت

وی در پایان درباره ضرورت استفاده از اینترنت بین‌المللی و چالش‌های آن گفت: اینترنت جهانی یک نیاز اجتناب‌ناپذیر است، خصوصاً برای فعالیت‌های علمی، پژوهشی و ارتباط با مجلات و مراکز بین‌المللی. محدود شدن این دسترسی برای فعالیت‌های علمی مشکلاتی را به وجود می‌آورد. بنابراین، به جای حذف باید استفاده هوشمندانه و همراه با نظارت از این فضا داشته باشیم. فضای مجازی فرصت است، اما تهدید هم هست. باید یاد بگیریم چگونه با دقت و با آگاهی از تهدیدات از این فرصت استفاده کنیم.