امنیت اطلاعات و آمادگی شبکه‌های ایرانی

سونیتا سراب‌پور

همان طور که زندگی انسان در دنیای فیزیکی همواره در معرض تهدیدات گوناگون قرار دارد، این روزها دیگر دنیای مجازی هم مکان امنی برای انسان‌ها محسوب نمی‌شود. روزانه خبرهای متعددی مبنی بر هک شدن چندین سایت، کلاهبرداری‌های اینترنتی و ... به گوش می‌رسد که این مساله باعث شده است که به امنیت در شبکه‌های اطلاع‌رسانی توجه ویژه‌ای شود. هر ساله کشورهای بزرگ دنیا برای برقراری امنیت در این دنیای مجازی برنامه و سیاستگذاری‌های ویژه‌ای را اجرا می‌کنند تا درصد ناامنی در این شبکه‌ها را کاهش دهند. برای بررسی وضعیت امنیت شبکه‌های اطلاع‌رسانی ایران گفت‌وگویی با بهرنگ فولادی دارای مدرک CISSP انجام داده‌ایم که در ادامه می‌خوانید:

به عنوان پرسش نخست مایلیم تفاوت دو ترکیبی که معمولا روزانه می‌شنویم یعنی «امنیت اطلاعات» و «امنیت شبکه» را بدانیم؟

امنیت اطلاعات مفهوم گسترده‌ای است که محافظت از اطلاعات (مستقل از نحوه نگهداری، انتقال و پردازش آنها) با اولویت بندی‌ براساس «ارزش» آن اطلاعات را شامل می‌شود. به طور کلی امنیت اطلاعات شامل دامنه‌ای از فعالیت‌هایی است که امنیت شبکه‌های رایانه‌ای یکی از آنها محسوب می‌شود. فعالیت‌های دیگر مانند امنیت فیزیکی و امنیت عوامل انسانی در کنار امنیت شبکه‌ ساختار یک سیستم امنیت اطلاعات را تشکیل می‌دهند.

شبکه‌های کامپیوتری و سرویس‌های اینترنتی در کشور ما روز‌به‌روز در حال رشد هستند، آیا این رشد حجم اطلاعات از نظر امنیت اطلاعات نگران‌کننده است؟

رشد حجم اطلاعات الزاما بیانگر بالا رفتن ارزش آن اطلاعات نیست. در بررسی امنیت اطلاعات، ارزش اطلاعات ملاک تصمیم‌گیری است. حال با توجه به بودجه پایین راه‌های امنیتی در سازمان‌ها و مجموعه‌های عظیم کشور، به نظر می‌رسد این اطلاعات برای مدیران و مالکان به‌رغم حجم آن چندان حیاتی محسوب نمی‌شود.

به نظر می‌رسد که نگرانی‌های امنیتی حداقل بخشی از دلایل سرعت کم‌توسعه‌یافتن ما در حوزه دیجیتال باشد. مثلا بسیاری از مدیران بانک‌ها به دلیل ترس از حملات اینترنتی به سمت بانکداری الکترونیکی نمی‌روند، آیا شما نگرانی‌ها را به اندازه‌ای جدی تلقی می‌کنید که نتوان سیستم را توسعه داد؟

عوامل اصلی عدم توسعه‌یافتگی در حوزه دیجیتال، از دید کلان، بیشتر مربوط به مسائل سیاسی و اقتصادی است تا مسائل فنی و تکنیکی. در مورد بانک‌ها و موسسات مالی، مشکل اصلی نبود زیرساخت‌های مناسب، کمبود فناوری‌های نرم‌افزاری و سخت‌افزاری امنیت سیستم‌ها است. در‌حال‌حاضر میزان ضرر و زیان بانک‌ها از بابت تخلفات داخل و جرم‌های سنتی رقمی بسیار بالاتری از سوء‌استفاده‌های احتمالی ممکن از سیستم‌های بانکداری الکترونیکی است.

برخی از کشورها سیاست‌های امنیت اطلاعاتی مشخصی را همه ساله تدوین و به اجرا می‌گذارند. آیا ما نیز هم‌اکنون به چنین سیاست‌گذاری‌هایی نیاز داریم؟

در کشور ما نیز چندی پیش، سیاستی مبنی‌بر امنیت فضای تبادل اطلاعات (افتا) تدوین شد که از ابلاغ آن به تمام دستگاه‌های دولتی، بیش از ۳سال سپری می‌شود. در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمان‌های دولتی برای اجرای سیاست‌های طرح (افتا) انجام و مناقصاتی نیز در این زمینه آماده و اعلام شد، اما هم‌اکنون یا این طرح‌ها به فراموشی سپرده‌ شده‌اند و یا اینکه مسیر دیگری جز طرح (افتا) را طی کرده‌اند.

در زمینه آموزش به نظر می‌رسد که اساسا کار چندانی صورت نگرفته و حتی گاهی راه به خطا رفته، چرا که کلاس‌هایی که عمدتا به اسم امنیت برگزار می‌شود بیشتر حالت ضدامنیتی و تخریبی دارند که پوشش امنیتی گرفته‌اند. در دولت و سازمان‌های بزرگ هم به نظر می‌رسد که آموزش دچار همین مشکل است. آیا ما در ایران به شرکت‌های بزرگ امنیتی برای پوشش، نیازهای کلان احتیاج نداریم؟

امکان دسترسی به مطالب و نرم‌افزارهای تخریبی از طریق اینترنت، بخشی از فرآیند جریان آزاد اطلاعات در این شبکه به شمار می‌آید که در این میان عده‌ای نیز با گردآوری این منابع و برگزاری کلاس‌های آموزشی به بهره‌برداری مالی از آن می‌پردازند. در مورد امکان دسترسی به مطالب مرتبط با ضعف‌های امنیتی، کشورهای پیشرفته صنعتی هر یک قوانین داخلی خود را وضع و اعمال می‌کنند. به عنوان مثال از چند ماه پیش در کشور آلمان قانونی به مرحله اجرا گذاشته شد که انتشار هرگونه مطلب یا نرم‌افزار مرتبط با ضعف‌های امنیتی و نفوذ به سیستم‌ها را برای سایت‌های آلمانی ممنوع و مجازات‌هایی برای آن وضع کرده است. در صورتی که در کشورهای صنعتی دیگر این امر بخشی از جریان آزاد اطلاعات تلقی می‌شود و در مقابل برای پیشگیری از جرایم در این حوزه تمهیدات و قوانین وضع شده است. لذا از نظر من با بحث آموزش در این زمینه می‌توان از نظر ارزش علمی و کاربردی آنها مورد ارزیابی و قضاوت قرار گیرد تا نحوه استفاده افراد از تکنیک‌های آموزشی داده شده. در مورد نیازهای امنیتی در دولت و سازمان‌های بزرگ، ابتدا باید این نیازها بر اساس الزامات امنیتی از سوی مدیریت‌های ارشد تعریف و ابلاغ شوند. به طور مثال هم‌اکنون بانک‌ها یا موسسات مالی، برای خرید تجهیزات فایروال (شبکه تجهیزاتی که در برابر تهدیدات مرتبط با سیستم‌های مورد نظر آنها،‌ کارآیی چندانی نخواهد داشت.) به راحتی مبالغ هنگفتی را هزینه می‌کند اما برای انجام یک «تست نفوذ‌پذیری» حرفه‌ای روی این سیستم‌ها که بسیاری از مشکلات امنیتی آنها را مشخص خواهد کرد، حاضر نیستند، مبلغی در حدود یک‌سوم هزینه‌های یاد شده را مصرف کنند.

عموما مشکل امنیتی اطلاعاتی کشور ما در حوزه مجازی چیست؟

در حال حاضر در کشور ما خدمات الکترونیکی رواج و گستردگی جدی ندارند و حجم تبادلات مالی در این بخش در حدی نیست که توجه مهاجمین و نفوذگران را به خود جلب نماید. از طرفی از بعد فنی نیز توانایی ما و تجارت اکثریت نفوذگران پایین‌تر از حد لازم برای نفوذ به سیستم‌های جدی موجود است. عمده مشکلات و نگرانی‌ها، مربوط به تخریب اطلاعات به طور غیرعمدی یا تخزیب عمدی وب‌سایت‌ها است.

به عنوان آخرین سوال وضعیت امنیتی ایران را در مقایسه با سایر کشورها چگونه ارزیابی می‌کنید؟

بخش‌های دولتی و خصوصی کشور از نظر آمادگی برای مقابله با حملات یا وقایع امنیتی در سطح پایینی هستند و می‌توان گفت عمده‌ترین تمهید امنیتی اکثریت قریب‌ به اتفاق آنها پیاده‌سازی سیستم‌ها برای مقابله با تخریب اطلاعات است ولی این شبکه‌ها در برابر نفوذگرهای حرفه‌ای از پشتیبانی (back up) اطلاعاتی برخوردار نیستند.