امنیت حلقه مفقود شده فضای سایبری
در دوهفته اخیر حمله گسترده باجافزار Wanna Cry و از کار افتادن سایتهای برخی نهادها مانند پست، وزارت کار، بانک مرکزی و… باعث شد تا بحث بر سر جدی نگرفتن امنیت اطلاعات در سازمانها و نهادهای مختلف دولتی مورد توجه قرار بگیرد.
تاکنون دستورالعملها، ابلاغیهها و فرآیندهای مختلفی برای افزایش امنیت اطلاعات در فضای مجازی استخراج شده است که در آخر هیچکدام از آنها مانع از به خطر افتادن اطلاعات مهم و حیاتی سازمانها و در نهایت کاربران نشده است. برای نمونه هفته گذشته و با توجه به اطلاعرسانیهای وسیع و ارائه راهنماییهای لازم برای رفع آسیبپذیری مرتبط حمله باجافزار Wanna Cry به دلیل تعلل برخی از سازمانها و کاربران، این باجافزار در سه روز توانست دو هزار قربانی جدید را در کشور به دام بیندازد. اما چرا با وجود اهمیت بالای حفاظت از اطلاعات در فضای مجازی و تشکیل ارتشی به نام ارتش سایبری در ایران همچنان سازمانها و نهادهای دولتی کشور خسارتهای زیادی را به دلیل تعلل در بالا بردن امنیت اطلاعات خود متحمل میشوند؟
برنامههایی که اجرا نمیشود
به گزارش بازتاب به نقل از ایران ، هک وب سایتهای عمومی و خدماتی دستگاههای اجرایی، حمله به سایت سازمان فضایی ایران توسط یک گروه هکر ایرانی به نام Persian Boys، هک یکی از بانکهای کشور توسط گروه ISCN، حمله ویروس اینترنتی «استاکس نت» به رایانههای صنعتی، حمله بدافزار جاسوسی «استارس» به رایانههای کشور، حمله ویروسی به نام وایپر به سیستم رایانهای وزارت نفت، جمعآوری اطلاعات خصوصی از کشورهایی مانند ایران از طریق بد افزاری به نام Flame، هک چندباره سایت ایسنا توسط هکرهای خارجی و داخلی، نفوذ هکرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمرهها و… تنها بخشی از حملات سایبری به وب سایتهای دولتی و آموزشی کشور در سالهای اخیر است. به باور کارشناسان و فعالان امنیت فضای مجازی، بیتوجهی و باور نداشتن مدیران سازمانها و نهادهای دولتی و نبود یک فرآیند مشخص و استاندارد در حوزه امنیت سایبری باعث شده تا ایران بهعنوان یکی از آسیبپذیرترین کشورها در زمینه امنیت سایبری شناخته شود.
مهمترین سند بالادستی نظام در حوزه امنیت سایبر، سند راهبردی امنیت فضای تبادل اطلاعات (افتا) است که در برنامه پنجم و ششم توسعه گنجانده شده است. در این سند که کلیه ارکان نظام موظف به اجرای آن شدهاند، الزاماتی در حوزه امنیت فضای تبادل اطلاعات برای دولت در نظر گرفته شده است. استقرار نظام مدیریت امنیت اطلاعات( ISMS)در دستگاههای حکومتی، استانداردسازی محصولات امنیتی در حوزه سایبر، راهاندازی مراکزی چون مرکز عملیات امنیت (SOC )و مرکز ماهر از جمله این الزامات است. اما آمارها نشان میدهد که تاکنون هیچکدام از این الزامات مورد توجه ارکان اجرایی کشور قرار نگرفتهاست.
اما آمارهای منتشر شده در وبسایت پایش شاخصهای فناوری اطلاعات کشور در خصوص سند راهبردی افتا گویای این موضوع است که کشور در اجرای این سند از برنامهها بسیار عقب است. برای نمونه وضعیت مورد انتظار در انتهای برنامه پنجم(سال 94) برای استقرار نظام مدیریت امنیت اطلاعات (ISMS) 53درصد در نظر گرفته شده بود که براساس آخرین آمار منتشر شده در این وب سایت تا پایان سال 92 تنها 39 درصد این هدف محقق شده است. در خصوص راهاندازی مرکز عملیات امنیت یا SOC نیز از ۱۰۰ درصد انتظار تا پایان سال 94، تنها ۲۰ درصد طرح تا سال 92محقق شده و طرح گوهر (گروه واکنش هماهنگ رخدادهای امنیتی) نیز از ۱۰۰ درصد اجرا (تا سال 94) تنها ۳۵ درصد به مرحله عملیاتی رسیده است. در حوزه استانداردسازی و ارزیابی محصولات امنیتی نیز با وجودی که انتظار میرفت ۲۹ آزمایشگاه ارزیابی محصولات امنیتی در این بخش ایجاد شود، راهاندازی تنها ۸ آزمایشگاه در این زمینه محقق شده است. ذکر این نکته ضروری است که آمار اشاره شده در خصوص سند راهبردی افتا، آخرین و به روزترین آمار قابل مشاهده در وبسایت پایش شاخصهای فناوری اطلاعات کشور است.
ممنوعیت خرید نرمافزارهای امنیتی خارجی و الزام به خرید نرمافزارهای داخلی برای دستگاههای اجرایی نیز از دیگر مواردی است که از سوی دولت به تمام دستگاههای اجرایی ابلاغ شده است اما این مورد نیز از سوی دستگاههای اجرایی مورد توجه قرار نمیگیرد.
مشکل کجاست؟
حملات سایبری و به خطر افتادن اطلاعات مهم سازمانها و کاربران مختص ایران نیست و معضلی است که جامعه جهانی را درگیر خود کرده است. اما در ایران به دلیل استفاده از نرمافزارهای امنیتی قفل شکسته، نبود برنامه منسجم و مشخص، موازیکاری، نبود آموزش مناسب و افراد متخصص و… خسارات ناشی از یک هک یا حمله سایبری بسیار چشمگیرتر است. علی امیری، مشاوره امنیتی ، بزرگترین مشکل بر سر راه امنیت اطلاعات فضای سایبر را نبود نیروی انسانی کارآمد و بیتوجهی به فرآیندهای خاص و تعیین شده عنوان میکند. او در این خصوص میگوید: «داشتن نیروی انسانی متخصص در حوزه امنیت از بسیاری مشکلات میتواند جلوگیری کند. علاوه بر اینکه در سازمانها و دستگاههای اجرایی دولتی جای چنین افراد متخصصی خالی است یکی دیگر از مشکلات بزرگ بر سر راه حفظ امنیت اطلاعات این است که در حال حاضر بخش بزرگی از نهادهای دولتی ما همچنان از نرمافزارهای قفل شکسته استفاده میکنند. در واقع عدم رعایت قانون کپیرایت در کشور ریسکهای امنیتی را نیز افزایش داده است. برای مثال در خصوص حمله باج افزار اخیر Wanna Cry کشورها با مشکل بیشتری همراه شدهاند که نرخ عدم رعایت کپیرایت در آنها بالاتر بوده است» وی در ادامه میافزاید: «جای خالی متخصصان امنیتی و در نظر نگرفتن بخشی مجزا برای اجرای فرآیندهای امنیتی در سازمانها نیز از دیگر مسائلی است که باعث میشود با یک حمله کوچک بخش بزرگی از اطلاعات یک سازمان ایرانی دچار خطر شود. نگاه بسیاری از مدیران دولتی به موضوع امنیت یک نگاه کلیدی نیست و بسیاری از آنها بر این باورند که در نظر گرفتن بودجه برای افزایش امنیت اطلاعات یک هزینه اضافه و بیفایده است و به همین دلیل شاهد هستیم که اطلاعات در کشور براحتی مورد سوء استفاده قرار میگیرد.»
به باور وی نبود یک سازمان مسئول و مستقل در زمینه امنیت سایبری که هشدارها و سیاستهایش مورد توجه قرار بگیرد از دیگر ضعفها بر سر امنیت فضای سایبری کشور است. براساس اظهارات امیری در حال حاضر تنها «مرکز ماهر» (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) است که بعد از اعلام حملهها به صورت جهانی، خبرها و اظهاراتی مطرح میکند که بیشتر مردم نه این سازمان و وظایفش را میشناسند و نه هشدارهای آن را جدی میگیرند.
در همین زمینه بهناز آریا، کارشناس امنیتی نیز ، اعلام میکند که بزرگترین مشکل بر سر راه امنیت سایبری کشور، جدی نگرفتن این موضوع از سمت مدیران است. او در این خصوص میگوید: «بسیاری از حملات سایبری براحتی قابل پیشبینی و پیشگیری هستند اما متأسفانه بسیاری از سازمانهای ما باوری به امنیت اطلاعات و مشخص کردن فرآیند برای آن ندارند. برای مثال با یک به روزرسانی نرمافزار میتوان جلوی آن را گرفت. برای مثال در خصوص باجافزار Wanna Cry از ماه پیش با به روزرسانی که مایکروسافت برای برخی برنامههای خود داده بود و همچنین اطلاعرسانی که به خود سازمانها شده بود براحتی میتوانستیم جلوی درز هرگونه اطلاعاتی را بگیریم اما متأسفانه بسیاری از سازمانهای ما به هشدارهای ارائه شده توجهی نشان ندادند.» آریا بخش دیگر مشکل در این حوزه را استفاده از نرمافزارهای قفلشکسته میداند و میافزاید: «استفاده از نرمافزارهای اصل این مزیت را دارد که در صورت بروز مشکل با هر به روزرسانی از سمت شرکت توسعهدهنده مشکل به وجود آمده حل خواهد شد همچنین وجود سیستم پشتیبانی برای این نرمافزارها حل و پیشگیری از مشکلات را نیز راحتتر میکند. اما متأسفانه در ایران به دلیل عدم اجرای قانون کپی رایت اکثر سازمانها و دستگاههای اجرایی دولتی از نرمافزارهای قفل شکسته استفاده میکنند. حتی در شرایطی هم که نماینده یک شرکتنرم افزاری در کشور وجود دارد سازمانها ترجیح میدهند برای پرداخت پول کمتر از نرمافزار قفل شکسته استفاده کنند این در حالی است که خسارتی که از سمت همین نرمافزار قفل شکسته میتواند به سازمانها وارد شود هزینهای بالاتر از خرید یک نرمافزارسالم دارد.» آریا اعلام میکند که در بحث امنیت سایبری در کشور، قوانین و برنامههای مشخصی وجود دارد اما مشکل اینجاست که هیچکدام از این برنامهها و الزامات به اجرا گذاشته نمیشود. وی پیشنهاد میکند که در کنار اجرای سیاستهای تعیین شده در حوزه امنیت سایبری بهتر است همانطور که تمام بخشهای یک سازمان دارای برنامه استراتژیک هستند، امنیت اطلاعات نیز در هر سازمان و دستگاه اجرایی دارای برنامه استراتژیک و بودجه مشخص باشد. به باور وی نظارت دقیق و استفاده از متخصصان با تجربه در سازمانها و دستگاههای اجرایی تا حدود زیادی میتواند خسارت ناشی از یک حمله اینترنتی را کاهش دهد.