گفت و گو
امنیت اطلاعات و آمادگی شبکههای ایرانی
همان طور که زندگی انسان در دنیای فیزیکی همواره در معرض تهدیدات گوناگون قرار دارد، این روزها دیگر دنیای مجازی هم مکان امنی برای انسانها محسوب نمیشود.
سونیتا سرابپور
همان طور که زندگی انسان در دنیای فیزیکی همواره در معرض تهدیدات گوناگون قرار دارد، این روزها دیگر دنیای مجازی هم مکان امنی برای انسانها محسوب نمیشود. روزانه خبرهای متعددی مبنی بر هک شدن چندین سایت، کلاهبرداریهای اینترنتی و ... به گوش میرسد که این مساله باعث شده است که به امنیت در شبکههای اطلاعرسانی توجه ویژهای شود. هر ساله کشورهای بزرگ دنیا برای برقراری امنیت در این دنیای مجازی برنامه و سیاستگذاریهای ویژهای را اجرا میکنند تا درصد ناامنی در این شبکهها را کاهش دهند. برای بررسی وضعیت امنیت شبکههای اطلاعرسانی ایران گفتوگویی با بهرنگ فولادی دارای مدرک CISSP انجام دادهایم که در ادامه میخوانید:
به عنوان پرسش نخست مایلیم تفاوت دو ترکیبی که معمولا روزانه میشنویم یعنی «امنیت اطلاعات» و «امنیت شبکه» را بدانیم؟
امنیت اطلاعات مفهوم گستردهای است که محافظت از اطلاعات (مستقل از نحوه نگهداری، انتقال و پردازش آنها) با اولویت بندی براساس «ارزش» آن اطلاعات را شامل میشود. به طور کلی امنیت اطلاعات شامل دامنهای از فعالیتهایی است که امنیت شبکههای رایانهای یکی از آنها محسوب میشود. فعالیتهای دیگر مانند امنیت فیزیکی و امنیت عوامل انسانی در کنار امنیت شبکه ساختار یک سیستم امنیت اطلاعات را تشکیل میدهند.
شبکههای کامپیوتری و سرویسهای اینترنتی در کشور ما روزبهروز در حال رشد هستند، آیا این رشد حجم اطلاعات از نظر امنیت اطلاعات نگرانکننده است؟
رشد حجم اطلاعات الزاما بیانگر بالا رفتن ارزش آن اطلاعات نیست. در بررسی امنیت اطلاعات، ارزش اطلاعات ملاک تصمیمگیری است. حال با توجه به بودجه پایین راههای امنیتی در سازمانها و مجموعههای عظیم کشور، به نظر میرسد این اطلاعات برای مدیران و مالکان بهرغم حجم آن چندان حیاتی محسوب نمیشود.
به نظر میرسد که نگرانیهای امنیتی حداقل بخشی از دلایل سرعت کمتوسعهیافتن ما در حوزه دیجیتال باشد. مثلا بسیاری از مدیران بانکها به دلیل ترس از حملات اینترنتی به سمت بانکداری الکترونیکی نمیروند، آیا شما نگرانیها را به اندازهای جدی تلقی میکنید که نتوان سیستم را توسعه داد؟
عوامل اصلی عدم توسعهیافتگی در حوزه دیجیتال، از دید کلان، بیشتر مربوط به مسائل سیاسی و اقتصادی است تا مسائل فنی و تکنیکی. در مورد بانکها و موسسات مالی، مشکل اصلی نبود زیرساختهای مناسب، کمبود فناوریهای نرمافزاری و سختافزاری امنیت سیستمها است. درحالحاضر میزان ضرر و زیان بانکها از بابت تخلفات داخل و جرمهای سنتی رقمی بسیار بالاتری از سوءاستفادههای احتمالی ممکن از سیستمهای بانکداری الکترونیکی است.
برخی از کشورها سیاستهای امنیت اطلاعاتی مشخصی را همه ساله تدوین و به اجرا میگذارند. آیا ما نیز هماکنون به چنین سیاستگذاریهایی نیاز داریم؟
در کشور ما نیز چندی پیش، سیاستی مبنیبر امنیت فضای تبادل اطلاعات (افتا) تدوین شد که از ابلاغ آن به تمام دستگاههای دولتی، بیش از ۳سال سپری میشود. در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمانهای دولتی برای اجرای سیاستهای طرح (افتا) انجام و مناقصاتی نیز در این زمینه آماده و اعلام شد، اما هماکنون یا این طرحها به فراموشی سپرده شدهاند و یا اینکه مسیر دیگری جز طرح (افتا) را طی کردهاند.
در زمینه آموزش به نظر میرسد که اساسا کار چندانی صورت نگرفته و حتی گاهی راه به خطا رفته، چرا که کلاسهایی که عمدتا به اسم امنیت برگزار میشود بیشتر حالت ضدامنیتی و تخریبی دارند که پوشش امنیتی گرفتهاند. در دولت و سازمانهای بزرگ هم به نظر میرسد که آموزش دچار همین مشکل است. آیا ما در ایران به شرکتهای بزرگ امنیتی برای پوشش، نیازهای کلان احتیاج نداریم؟
امکان دسترسی به مطالب و نرمافزارهای تخریبی از طریق اینترنت، بخشی از فرآیند جریان آزاد اطلاعات در این شبکه به شمار میآید که در این میان عدهای نیز با گردآوری این منابع و برگزاری کلاسهای آموزشی به بهرهبرداری مالی از آن میپردازند. در مورد امکان دسترسی به مطالب مرتبط با ضعفهای امنیتی، کشورهای پیشرفته صنعتی هر یک قوانین داخلی خود را وضع و اعمال میکنند. به عنوان مثال از چند ماه پیش در کشور آلمان قانونی به مرحله اجرا گذاشته شد که انتشار هرگونه مطلب یا نرمافزار مرتبط با ضعفهای امنیتی و نفوذ به سیستمها را برای سایتهای آلمانی ممنوع و مجازاتهایی برای آن وضع کرده است. در صورتی که در کشورهای صنعتی دیگر این امر بخشی از جریان آزاد اطلاعات تلقی میشود و در مقابل برای پیشگیری از جرایم در این حوزه تمهیدات و قوانین وضع شده است. لذا از نظر من با بحث آموزش در این زمینه میتوان از نظر ارزش علمی و کاربردی آنها مورد ارزیابی و قضاوت قرار گیرد تا نحوه استفاده افراد از تکنیکهای آموزشی داده شده. در مورد نیازهای امنیتی در دولت و سازمانهای بزرگ، ابتدا باید این نیازها بر اساس الزامات امنیتی از سوی مدیریتهای ارشد تعریف و ابلاغ شوند. به طور مثال هماکنون بانکها یا موسسات مالی، برای خرید تجهیزات فایروال (شبکه تجهیزاتی که در برابر تهدیدات مرتبط با سیستمهای مورد نظر آنها، کارآیی چندانی نخواهد داشت.) به راحتی مبالغ هنگفتی را هزینه میکند اما برای انجام یک «تست نفوذپذیری» حرفهای روی این سیستمها که بسیاری از مشکلات امنیتی آنها را مشخص خواهد کرد، حاضر نیستند، مبلغی در حدود یکسوم هزینههای یاد شده را مصرف کنند.
عموما مشکل امنیتی اطلاعاتی کشور ما در حوزه مجازی چیست؟
در حال حاضر در کشور ما خدمات الکترونیکی رواج و گستردگی جدی ندارند و حجم تبادلات مالی در این بخش در حدی نیست که توجه مهاجمین و نفوذگران را به خود جلب نماید. از طرفی از بعد فنی نیز توانایی ما و تجارت اکثریت نفوذگران پایینتر از حد لازم برای نفوذ به سیستمهای جدی موجود است. عمده مشکلات و نگرانیها، مربوط به تخریب اطلاعات به طور غیرعمدی یا تخزیب عمدی وبسایتها است.
به عنوان آخرین سوال وضعیت امنیتی ایران را در مقایسه با سایر کشورها چگونه ارزیابی میکنید؟
بخشهای دولتی و خصوصی کشور از نظر آمادگی برای مقابله با حملات یا وقایع امنیتی در سطح پایینی هستند و میتوان گفت عمدهترین تمهید امنیتی اکثریت قریب به اتفاق آنها پیادهسازی سیستمها برای مقابله با تخریب اطلاعات است ولی این شبکهها در برابر نفوذگرهای حرفهای از پشتیبانی (back up) اطلاعاتی برخوردار نیستند.
ارسال نظر