امنیت باید یکپارچه باشد

اوج داستان نفوذ به سیستم‌های سازمان‌های مهم کشوری به انتشار ویروسی به نام استاکس‌نت بازمی‌گردد ویروسی که بعد از انتشارش باعث توجه مسوولان کشور به مقوله امنیت و ارائه راهکارهایی برای بالا بردن سطح امنیت در فضای مجازی کشور شد. علیرضا منافی فعال در بخش امنیت شبکه‌‌های کامپیوتری و مجازی اما این پرسش را مطرح می‌کند که نهادها، سازمان‌ها و حتی شرکت‌های بزرگ و کوچک فعال درکشور تا چه اندازه در برابر حملات سایبری آمادگی دارند؟ با منافی، مدیرعامل شرکت امن افزار گستر شریف، در خصوص وضعیت امنیت شبکه‌ای در کشور گفت‌‌وگویی انجام داده‌ایم که می‌خوانید.

بسیاری از کارشناسان معتقدند که توجه به امنیت در فضای ارتباطات و فناوری اطلاعات یک کلید مفقود شده است. این در حالی است که طی چند سال گذشته و با افزایش حملات سایبری به ایران، شاهد حضور شرکت‌های امنیتی و برنامه‌های متنوع دولت برای افزایش امنیت در بخش ارتباطات و فناوری اطلاعات کشور بوده‌ایم. با این حال هیچ کدام از این راه‌ها باعث افزایش امنیت در این بخش و کاهش حملات سایبری نشده است. به نظر شما علت به وجود آمدن این شرایط چه می‌تواند باشد؟
منظورتان این است که امنیت در فضایIT معنی نمی دهد؟
نه منظورم این است که با اینکه طی چند سال تلاش‌هایی برای افزایش امنیت در این بخش انجام شده اما به نظر می‌رسد این تلاش‌ها نتیجه‌ای نداشته است. شما این موضوع را قبول دارید؟
در حال حاضر بیشترین حراست فیزیکی از سازمان‌های حساس کشور می‌شود. به طوری که اشخاص و کارمندان برای فعالیت در آن گزینش می‌شوند و شبکه‌های آن کاملا ایزوله شده است. امنیت یک سلسله اقداماتی را می‌طلبد. حال سوال من این است که ما در این سلسله اقدامات در چه مرحله‌ای هستیم؟ یکی از این اقدامات، فراهم کردن امنیت فیزیکی است که سازمان‌ها در این مورد در بهترین وضعیت قرار دارند. اما چرا این سازمان‌ها با یک حمله ویروسی مانند استاکس‌نت دچار اختلال شدند؟
در شرح حال ویروس استاکس‌نت همین قدر بس که از این ویروس به عنوان اولین ویروس در دنیای آی‌تی یاد می‌شود که با هدف تخریب زیرساخت‌های حیاتی یک کشور ساخته شده است، موضوعی که اخیرا از سوی اتحادیه اروپا به آن صحه گذاشته شده است. این ویروس این توان را داشت که زیرساخت‌های حیاتی کشور را از کار بیندازد.
چه شرایطی باعث شد که این ویروس بتواند به این سیستم رخنه کند ؟
ما اعتقاد داریم که در دنیای آی‌تی مرزی وجود ندارد حتی اگر شبکه‌ها از هم جدا باشند. استاکس‌نت کنترل‌های دور متغیر موتورهای زیمنس را نشانه گرفت. یعنی PLCهایی را که برای کنترل دور موتورهای متغیر بودند مورد نفوذ قرار داد. PLC یک مدار کنترلی است که کاربرد‌های فراوانی دارد. مثلا شما از یک PLC برای اینکه درب را به صورت اتوماتیک باز و بسته کند استفاده می‌کنید. PLCها دو نوع هستند یا می‌توانید روی آن برنامه‌نویسی انجام دهید که این نوع منعطف هستند یا دسته‌ای دیگر از
PLCها فیکس هستند و تنها قابلیت انجام یک کار را دارند.
چگونه ویروس استاکس‌نت شبکه سازمان‌های حساس را آلوده کرد؟
آلودگی از سیستم‌های PLC شروع شد و ما حدس می‌زنیم لپ‌تاپ‌های آلوده مهندسان هندی که برای راه‌اندازی نرم‌افزار اسکادا به سیستم متصل شده‌ بودند عامل این آلودگی بود. در واقع کد آلوده از لپ‌تاپ به داخل سیستم وارد شد و از تبعات آن این بود که از وقتی که متوجه شدیم تا یک سال کسی جرات نمی‌کرد دست به کاری بزند و چون هنوز داخل PLCها آلوده بود و نگرانی تخریب وجود داشت.
کاری که این ویروس بعد از نفوذ به شبکه‌ها انجام داد چه بود؟
وقتی شبکه توسط این ویروس آلوده شد ابتدا دور موتور را دوبرابر می‌کند ودر گام بعدی دور موتور را نصف کرد و نهایتا دور موتور را روی صد هرتز بالاتر از آنچه برنامه‌ریزی شده است فیکس کرد. تصور کنید یک ماشین با سرعتی بیشتر از حد مجازش حرکت کند. مثلا در نیروگاه‌ها این کار می‌توانست باعث استهلاک موتورها شود.
چرا بر این باور هستید که ویروس استاکس‌نت قصد تخریب گسترده نداشت؟
استهلاک موتور‌های مثلا یک نیروگاه در مرحله بعد باعث تخریب آن می‌شد و تخریب نیروگاه تنها به کشور ایران صدمه وارد نمی‌کرد، بلکه باعث ایجاد ضرر و صدمه به کل کشورهای جهان می‌شد. طراحان و منتشرکنندگان ویروس استاکس‌نت نمی‌خواستند این تنها ویروسی باشد که به این بخش صدمه می‌زند. جالب است بدانید که همزمان با کشف ویروس استاکس‌نت پیش‌بینی شد که ویروس‌هایی شبیه به استاکس‌نت هر شش ماه منتشر خواهند شد که پیش‌بینی هم درست از آب در آمد و بعد از چند ماه شاهد حضور ویروسی‌هایی همچون دوکوو، وایپرو فلیم بودیم. تمام این ویروس‌ها با برنامه ریزی وارد شبکه‌های داخلی کشور شدند و هرکدام ماموریت خاصی بر عهده داشتند یعنی اگر هدف استاکس‌نت اختلال در مثلا موتور نیروگاه‌ها بود دوکو هدفش جاسوسی از شبکه‌های کشور بود.
به نظر شما امنیت پایین شبکه‌های کامپیوتری در داخل کشور باعث نفوذ و ایجاد صدمه توسط این ویروس‌ها به کشور شد یا دلایل دیگری در این امر دخیل است؟
اول این که امنیت ۱۰۰ درصد وجود ندارد. اما به‌رغم آن، به طور کلی امنیت در کشور ما جدی گرفته نمی‌شود. یعنی شاید سازمان‌ها و شرکت‌های مختلف در کشور هزینه‌های میلیونی برای بالا بردن امنیت شبکه‌ای خود پرداخت کنند ولی این هزینه‌ها با یک بی‌توجهی به هدر می‌رود. در واقع در کشور ما هزینه نفوذ به شبکه‌ها بسیار پایین است و همین مساله را بدتر می‌کند. در جریان نفوذ ویروس استاکس‌نت هم همین بی‌توجهی باعث نفوذ ویروس به شبکه شد؛ یعنی هنگام نصب نرم‌افزار خاص( نرم‌افزار اسکادا) روی شبکه نیروگاه، هیچ کدام از مهندسان ما پسورد پیش فرض نرم‌افزار را تغییر نداده بودند.
اگر این حداقل کار انجام شده بود از آنجا که ویروس برای نفوذ به شبکه نیاز به «لاگین» داشت نمی‌توانست روی PLCها قرار گیرد.
در حال حاضر با توجه به اهمیت امنیت در فضای مجازی، شرکت‌های زیادی در کشور مشغول به ارائه خدمات در بخش امنیت شبکه و... هستند و هر کدام نیز با انتخاب یک شعار خاص سعی می‌کنند کاربران را به سمت خود جذب کنند، اما رفته رفته این نوع فعالیت‌ها باعث سردرگمی متقاضیان این خدمات شده به نوعی که نمی‌دانند واقعا کدام خدمات‌دهنده سرویس بهتری به آنها ارائه می‌کند. پیشنهاد شما برای انتخاب یک خدمات دهنده مناسب در بخش امنیت مجازی چیست؟
راه‌حل برای جلوگیری از سردرگمی کاربران در این بخش تهیه و اجرای استانداردهای این صنعت است. خوشبختانه در این زمینه ایران به این بلوغ رسیده است و دارای آزمایشگاه‌هایی است که کیفیت و استاندارد محصولات و خدمات امنیتی را مورد سنجش قرار می‌دهد. با این کار هر شرکتی که ادعای اول بودن در این حوزه را دارد باید تاییدیه لازم را داشته باشد.
یک کاربر شاید چندان تخصصی در خصوص بررسی این نوع تاییدیه‌ها نداشته باشد از طرف دیگر شرکت‌های فعال در این بخش هر کدام ادعای داشتن تاییدیه و استاندارد داخلی و حتی بین‌المللی را هم دارند.
باید عادت کرد و پرسید که تاییدیه‌ای که یک شرکت ادعا می‌کند دارد از کجا به دست آمده و نشانه چیست؟ چطور این کار را افراد در مورد محصولات غذایی انجام می‌دهند؟ از ابتدا هم مردم چندان توجهی به داشتن استاندارد در مواد غذایی نداشتند اما با گذشت زمان و فرهنگ سازی مناسب به این سطح رسیدند مواد غذایی را که فاقد استاندارد است خریداری نکنند.
تا چه اندازه می‌توان به محصول ایرانی و تاییدیه‌هایی که دارد اعتماد کرد؟
خوشبختانه در حال حاضر سازمان فناوری اطلاعات در حال ارائه تاییدیه لازم به محصولات و خدمات امنیتی است. از سوی دیگر مرکز ریشه در حوزه امضای دیجیتال هم در این بخش فعالیت می‌کند. برای مثال توکن امن‌افزار در آزمایشگاه‌های این مرکز در بین ۱۵ توکن داخلی و خارجی رتبه اول را به دست آورده است. این رتبه بندی براساس ۵۰۰ شاخص به دست می‌آید و به این راحتی‌ها نیست. برای اعتماد به این تاییدیه‌ها کافی است به سایت مرکز ریشه مراجعه و گزارش مربوط به محصول خریداری شده را دریافت کنید.
استاندارد مورد استفاده در این آزمایشگاه از چه طریق مورد تایید قرار می‌گیرد. با توجه به مسائل سیاسی و تحریمی به نظر نمی‌رسد که استاندارد‌های این آزمایشگاه‌ها مورد تایید نهاد‌های بین‌المللی مربوطه قرار بگیرد.
در کشور ما متولی استاندارد موسسه ملی استاندارد ایران است. برای محصولی مانند UTM یک شرکت، این محصول از سازمان فناوری اطلاعات تاییدیه دارد. استاندارد ارزیابی و تایید این محصول
ISO/IEC 15408 است.این استاندارد در موسسه استاندارد ایران نیز به صورت ملی تدوین شده است. این تایید به معنای یک مرجع ملی است. در حال حاضر سه آزمایشگاه در کشور داریم که بر اساس این استانداردها محصولات را ارزیابی امنیتی می‌کنند.
با توجه به تمامی نکاتی که به آن اشاره می‌کنید، اما بسیاری از کارشناسان حوزه آی تی بر این باورند که محصولات ایرانی کیفیت لازم را نداشته و از نظر امنیتی قابل رقابت با محصولات خارجی نیستند.
باید دید در چه زمینه‌ای این ادعا مطرح می‌شود.محصولات ایرانی برای به کارگیری در بخش small و medium کاملا جوابگوی نیاز شرکت‌ها و نهادهای فعال در کشور است.
وقتی شما با هیچ نهاد بین المللی برای دریافت تاییدیه ارتباط ندارید چگونه می‌توان به این محصولات اعتماد کرد؟
مراجع و ابزارهای سنجش محصولات در آزمایشگاه‌های ما بین‌المللی است.برای مثال مرکز ریشه جمهوری اسلامی کاملا استاندارد و با هزینه بسیار بالایی تاسیس شده است. اما مانند ترکیه به ریشه بین‌المللی وصل نیست، زیرا این مرکز بین‌المللی یک شرکت آمریکایی است که به ما اجازه اتصال نمی‌دهد.اما این به معنی غیر قانونی بودن محصولات ما و ناامن بودن آنها نیست.ما در سطح ملی قانونی هستیم، اما این محصولات به دلیل تحریم‌ها در سطح بین المللی هنوز معتبر نیست.
پیشنهاد شما به یک شرکت یا سازمان در رده کوچک یا بزرگ برای بالا بردن امنیت شبکه‌ای چیست؟
در حال حاضر مسوولان سازمان‌ها و شرکت‌ها به بحث امنیت در فضای مجازی بهای خاصی می‌دهند برای آن ممکن است ردیف بودجه تعیین کنند و این بخش را جزو برنامه‌های استراتژیک بلند مدت خود
به حساب می‌آورند.
اما به بخش امنیت در لایه‌های پایین که شامل امضای دیجیتال، استفاده از محصولات امنیتی مطمئن مانند فایروال، یو تی ام و... است توجه نمی‌کنند. چند سال پیش یک شرکتی برای دریافت مشاوره در بخش امنیت فضای مجازی به ما مراجعه و اعلام کرد که یک میلیارد بودجه به این شرکت اختصاص داده شده و سازمان پدافند غیر عامل هم به آنها دستور داده که باید یک کار امنیتی صورت بگیرد بنابراین آنها تصمیم دارند فقط 10 میلیون از این بودجه را صرف بخش امنیت شبکه‌ کامپیوتری و مجازی خود کنند و اکثر این مبلغ را هم صرف خرید سرور کنند.
نقش دولت در این بین چقدر می‌تواند تاثیر‌گذار باشد؟
اخیرا مصوبه‌ای از طرف دولت اعلام شده است که بر اساس سند افتا همه دستگاه‌های دولتی تا آخر برنامه پنجم باید استاندارد ISMS 27001 را پیاده کنند. دولت برای این کار بودجه در نظر گرفته که این بودجه اختصاص رقمی در حدود 3 تا 5 میلیون به شرکت‌ها و سازمان‌ها برای پیاده کردن ISMS است و این در حالی است که پیاده‌سازی استاندارد ISMS نیاز به هزینه‌ای در حدود 50 میلیون دارد. کل قضیه با این برنامه‌ریزی نامناسب بودجه‌ای از طرف دولت آسیب می‌بیند.
مسوولان وزارت ارتباطات یکی از راه‌های بالا بردن امنیت اطلاعات در کشور را منوط به راه‌اندازی رسمی شبکه ملی اطلاعات می‌دانند آیا واقعا این پروژه کمکی به افزایش امنیت شبکه‌‌ای کشور می‌کند؟
پروژه خوبی است، اما برای توضیح باز بر می‌گردم به مثال همان خانه با ده اتاق که درب یک اتاق آن خراب است بنابراین با اینکه 9 اتاق دارای درب امن هست امکان نفوذ به آن به خاطر باز بودن یک درب همچنان هست. ویروس استاکس‌نت به شبکه‌ای نفوذ کرد که خصوصی‌تر و قطعا امن تر از شبکه ملی اطلاعات بود.
با افزایش حملات اینترنتی به کشور اظهارنظرهای گوناگونی از سوی مسوولان دولتی منتشر شده است. برای مثال رضا تقی‌پور وزیر سابق ارتباطات و اطلاعات پیوسته با نگاهی منفی اینترنت را یک تکنولوژی جاسوس و مضر برای کشور معرفی می‌کرد و خواستار راه‌اندازی هرچه سریع‌تر اینترنت ملی بود در حالی که ویروسی مانند استاکس نت نه از طریق اینترنت که همانطور که گفتید از طریق یک فلش منتقل شد. چقدر دانش و اطلاعات مسوولان دولتی، مدیران سازمان‌ها و شرکت‌های مختلف در کشور می‌تواند به رشد بحث امنیت در کشور کمک کند.
متاسفانه برخورد مسوولان ما درخصوص هر مساله‌ای سیاسی است و برخورد فنی مناسبی در این زمینه تا کنون دیده نشده است. IT تنها حوزه‌ای است که برخورد سیاسی در آن جواب نمی‌دهد. با دانش باید برخورد دانشی داشت. با فناوری مخرب باید با فناوری جنگید. گاهی وقت‌ها مسوولان ما نظرات اشتباهی را مطرح می‌کنند که حتی مشاوران آنها نیز تلاشی برای تصحیح آن انجام نمی‌دهند.
اما در کنار نبود برنامه دقیق و جامع در بخش امنیت شاهد متولیان بی‌شماری نیزدر این بخش هستیم از جمله سازمان فناوری اطلاعات، سازمان پدافند غیرعامل، سازمان رخدادهای یارانه‌ای و... وجود چنین سازمان‌های مختلفی ضروری است؟
تعدد سازمان‌ها خوب است اما به شرطی که سر منشا آنها به هم وصل باشد. وقتی حرکت‌ها در این بخش، استراتژیک و همراه با یک برنامه‌ریزی یکپارچه نباشد و دستگاه‌های مختلف نیز یکدیگر را قبول نداشته باشند بنابراین هر بخش مجزا عمل خواهد کرد.
اتفاقی که متاسفانه درحال حاضر در کشور در حال رخ دادن است و این تعدد سازمان و عدم هماهنگی بین آنها سبب شده که شاهد برنامه ریزی متمرکز در حوزه امنیت کشور نباشیم.
پارلمان اروپا چندی پیش قانونی را تصویب کرد که هر حمله اینترنتی که در بخش امنیت رخ می‌دهد سریعا باید به صورت عمومی گزارش شود. در ایران اطلاع رسانی در زمینه حملات پراکنده است و گاه یکی تکذیب و دیگری تایید می‌کند. آیا اطلاع رسانی در زمینه چنین حملاتی باید عمومی شود یا خیر؟
متاسفانه در این بخش عمق جریانات مورد بررسی قرار نمی‌گیرد. مسوولان سازمان‌های ما با حجم زیادی از اطلاعات روبه‌رو هستند که نمی‌دانند این اطلاعات را چگونه بررسی و آنها را اعلام کنند.
همین امر سبب پنهان‌کاری می‌شود. طبیعتا همه اطلاعات را نباید فاش کرد اما برخی موضوعات را باید به صورت فنی و روشن برای کاربران بازگو کرد. لزومی ندارد که کاربران از تک تک اتفاقات باخبر شوند، اما همین که به صورت روشن مسائل برای آنها بازگو شود، این کار باعث آرامش خاطر آنها می‌شود.