چه طور اینترنت را در وضعیت بحرانی امن نماییم
به گزارش رهاتل، یک استاد دانشگاه اظهار داشت: ما بالاتر از هر زمان دیگری نیازمند استقرار سازوکارهای ممیزی دقیق و مداوم برای پیشرفت امنیت سایبری هستیم همین طور باید یک متولی واحد برای این منظور در کشور وجود داشته باشد.
محمد مهدی اثنی عشری استاد دانشگاه و عضو هیات علمی دانشکده کامپیوتر دانشگاه خواجه نصیر الدین طوسی در گفتگو با خبرنگار مهر ضمن اشاره به لزوم بازبینی در شیوه نگارش و ساختار دستورالعمل های صادره از مراجع بالادستی در حوزه امنیت سایبری اضافه کرد: باید این گونه بخش نامه ها کاملا دقیق، سنجیده و مبتنی بر امکان اجرایی بودن تدوین شوند. روشن است که در شرایط بحرانی یا اضطراری، اِعمال محدودیت های شدید امری قابل قبول و حتی ضروری می باشد. بعنوان مثال، اگر کشور یا سازمانی به مدت ۱۰ تا ۱۲ روز درگیر بحران خاصی شود، بطور قطع اتخاذ تمهیدات سخت گیرانه در آن بازه زمانی منطقی و موجه خواهد بود. اما این که نگاه بسته و محدودکننده به شکل دائمی و فراگیر تحمیل شود، نه تنها قابل اجرا نیست بلکه اثربخشی لازم را نیز نخواهد داشت.
امنیت سایبری بدون نظارت مداوم و نظام مند تحقق نخواهد یافت
این استاد دانشگاه بر لزوم تشکیل نظام های نظارتی فعال و ارزیابانه تاکید کرد و اظهار داشت: ما بیشتر از هر زمان دیگری نیازمند استقرار سازوکارهای ممیزی دقیق و مداوم هستیم. امکان دارد مدیری در حوزه فناوری اطلاعات با دقت و مسئولیت پذیری بالا عمل و تمام الزامات را رعایت کند اما در نقطه ای دیگر از همان سیستم، فردی با این ذهنیت که "چیزی نمی شود" از اجرای برخی بندها سر باز زند. بدون نظارت مؤثر و یکپارچه، این چرخه ناقص خواهد ماند و نتیجه ای حاصل نخواهد شد. ایشان در ادامه به یکی از تجربه های اخیر در بررسی امنیت سامانه های دانشگاهی اشاره نمود و توضیح داد: در ماه های فروردین و اردیبهشت، پایش هایی بر وبسایت های دانشگاه ها صورت گرفت، اما این اقدامات بسیار محدود و اغلب به شکل خودکار و سامانه محور انجام شده است. در حالیکه انتظار می رود این گونه بررسی ها به شکل میدانی، حضوری و با عمق کارشناسی بیشتر صورت گیرد. اثنی عشری تاکید کرد: امنیت سایبری، بدون نظارت مداوم و نظام مند تحقق نخواهد یافت. اگر واقعا برای امنیت دیجیتال ارزش قائل هستیم، باید بسمت استقرار آدیتینگ (ممیزی) ۳۶۰ درجه حرکت کنیم؛ نه صرفا بررسی های موردی، بلکه یک چرخه کامل شامل تدوین الزامات، نظارت بر اجرا، آزمون نفوذ، بازخوردگیری و اصلاح مستمر.
ضرورت استقرار نظام منسجم و مستمر برای جلوگیری از رخدادهای امنیتی
وی ضمن اشاره به وضعیت منابع انسانی در حوزه امنیت فناوری اطلاعات خاطرنشان کرد: در خیلی از سازمان ها، بااینکه نیروهای فعال در حوزه فناوری اطلاعات حضور دارند، اما الزاماً تخصص امنیت سایبری ندارند. استخدام، نگهداشت و ارتقاء این دسته از متخصصان نیز در شرایط کنونی، چالش هایی دارد. با این وجود، از منظر حاکمیتی باید نهادهایی وجود داشته باشند که به شکل جدی و مسئولانه این مأموریت را پیگیری کنند. مراکزی نظیر مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) تا حدی در این حوزه فعال اند، اما هم اکنون فرآیند جامع، فراگیر و اطمینان بخشی که بتواند خیال سازمان ها را از منظر امنیت دیجیتال آسوده سازد، هنوز به شکل مؤثر وجود ندارد. اثنی عشری در ادامه سخنان خود عنوان کرد: در بسیاری موارد، تنها یک ایمیل دریافت می نماییم با این مضمون که برای نمونه، پورت مشخصی باز است یا سامانه ای دارای لطمه پذیری امنیتی است. اما آن چه غایب است، یک نظام منسجم برای پیگیری مستمر، انجام تست های دوره ای و ارزیابی ساختاریافته از وضعیت امنیتی سامانه هاست؛ ارزیابی ای که بتواند سطح امنیت عملیاتی سازمان را تضمین کند. بی تردید، استقرار چنین سیستمی می تواند اهمیت بالای و مؤثری در جلوگیری از رخدادهای امنیتی ایفا کند. این عضو هیات علمی دانشگاه در ادامه ضمن اشاره به توانمندیهای انسانی کشور در حوزه فناوری اطلاعات اظهار داشت: خوشبختانه در دانشگاه ها، مراکز آپ (آگاهی رسانی، پشتیبانی و پاسخ به رخدادهای امنیتی) و شرکتهای دانش بنیان، نیروی انسانی متخصص و توانایی حضور دارد. هرچند بخشی از این نیروها مهاجرت کرده اند اما همچنان سرمایه انسانی قابل توجهی در کشور فعال است. آن چه ما بشدت به آن نیاز داریم، وجود یک سیاستگذاری منسجم، مدون، یکپارچه و در عین حال قابل اجراست؛ سیاستی که بتواند این ظرفیتهای پراکنده را در چارچوب یک زنجیره هماهنگ و هدفمند به کار گیرد. وی ضمن اشاره به چالش های سیاستگذاری امنیت سایبری در کشور، تصریح کرد: متاسفانه در سیاستگذاری ها گاه گرفتار افراط و تفریط می شویم؛ یا دسترسی ها و سامانه ها را به صورت کامل مسدود می نماییم یا بالعکس، همه چیز را رها می نماییم.
گواهی نامه ای برای ویترین؛ نه ضمانت واقعی امنیت
عضو هیات علمی دانشگاه خواجه نصیر به تجربه اخیر صدور گواهی امنیتی "افتا" نیز اشاره نمود و اظهار داشت: در یکی دو سال گذشته، خیلی تاکید شده که سازمان ها باید فقط با شرکت هایی همکاری کنند که دارای گواهی افتا هستند. این گواهی مقرر است تأییدی بر توانایی شرکت ها در محافظت از اطلاعات باشد اما در عمل، تأثیر آن کمتر از حد انتظار بوده است. بعنوان نمونه، شرکت ها معمولا فقط برای یک محصول گواهی می گیرند، اما بعد همان گواهی را به دیگر محصولات خود تعمیم می دهند، بدون این که فرایند واقعی ارزیابی برای آنها طی شده باشد. نظارتی هم بر این امر وجود ندارد. وی ادامه داد: از طرفی، اگر بخواهیم سخت گیری نماییم و الزام بگذاریم که همه محصولات باید جداگانه گواهی داشته باشند، با چالش نبود ظرفیت کافی برای صدور گواهی مواجه می شویم. فرایند گرفتن گواهی افتا گاهی تا دو سال هم طول می کشد. این مورد خود به مانعی برای فعالیت شرکت ها تبدیل می شود و در نتیجه، نه تنها امنیت افزایش پیدا نمی کند، بلکه اعتماد به فرآیندها هم کاسته می شود.
لزوم بازبینی در روند ارزیابی و صدور این گواهی ها
مدیر فناوری اطلاعات دانشگاه خواجه نصیر همینطور بر لزوم بازبینی در روند ارزیابی و صدور این گواهی ها تاکید کرد و اظهار داشت: اگر شرکتهای دانش بنیان و مراکز آپ بتوانند در فرآیند ارزیابی و صدور گواهی مشارکت داده شوند، هم این روند تسریع می شود و هم کیفیت آن افزوده می شود. گواهی افتا نباید صرفا بر مبنای ارسال مدارک یا گذراندن یک آزمون صادر شود؛ بلکه باید با ارزیابی های میدانی و تخصصی همراه باشد. وی ضمن اشاره به چالش های عملیاتی همکاری با شرکت ها اظهار داشت: گاهی شرایط ایجاب می کند که با شرکتی فاقد گواهی افتا قرارداد همکاری منعقد نماییم، چونکه در آن حوزه خاص، جایگزین مناسبی وجود ندارد. در چنین مواردی، هرچند تمام استانداردهای امنیتی را از طرف خود رعایت می نماییم، اما نبود نظام آدیتینگ و ارزیابی مستمر سبب می شود نتوانیم با اطمینان از میزان پایبندی طرف مقابل به الزامات امنیتی سخن بگوییم. اگر واقعا مقرر است امنیت اطلاعات در اولویت قرار گیرد، نظارت دقیق، مستمر و قابل رهگیری نیز باید به همان میزان مورد توجه و اهتمام قرار گیرد. این استاد دانشگاه تاکید کرد: بدون زنجیره کامل از زیرساخت، نیروی انسانی و سیاست واحد، مواجهه با تهدیدات سایبری ممکن نیست.
امنیت سایبری باید متولی واحد در کشور داشته باشد
وی در جواب این پرسش که از نگاه علمی، چه سازوکار یا روشی باید از جانب حاکمیت اتخاذ شود تا بتوان از بروز تهاجمات سایبری جلوگیری کرد، اظهار داشت: من اعتقاد دارم اصل مساله در یکپارچگی است. یعنی ما نیاز داریم یک مغز متفکر و یک متولی واحد در کشور وجود داشته باشد که مسئولیت این حوزه را به شکل منسجم و متمرکز بر عهده بگیرد. او افزود: هم اکنون، نهادهای مختلفی درگیر این حوزه هستند و کشور با تعدد نهادهای موازی در حوزه فضای مجازی مواجه است؛ از مرکز ملی فضای مجازی گرفته تا سازمان فناوری اطلاعات و سایر نهادهایی که هر یک در محدوده ای خاص و بعضاً جزیره ای فعالیت می نمایند. این پراکندگی نهادی، در مواقع بحران و بروز مسایل امنیتی به سردرگمی در تعیین مسئولیت می انجامد؛ بگونه ای که هر دستگاهی مسئولیت را به نهاد دیگر واگذار می کند و یکی اعلام می دارد که مأموریتش تا مرحله ای مشخص پیش رفته و ادامه مسیر بر عهده نهادی دیگر است. این وضعیت به وضوح نشان داده است که نبود یک متولی مرکزی و پاسخگو، یکی از خلأهای اساسی در مدیریت کلان امنیت فضای مجازی کشور است. این استاد دانشگاه خاطرنشان کرد: در چنین شرایطی، وجود نهادی مقتدر و مسئول، ضرورتی انکارناپذیر است؛ نهادی که نه تنها مسئولیت تدوین دستورالعمل های اجرایی را بر عهده داشته باشد، بلکه توان تطبیق این دستورالعمل ها با شرایط واقعی و پیچیده اجرایی را نیز دارا بوده و بر حسن اجرای آنها از راه یک سازوکار نظارتی مؤثر و پیوسته (آدیتینگ) نظارت دقیق اعمال نماید. وی با تاکید بر امکانپذیر بودن تحقق چنین ساختاری خاطرنشان کرد: تدوین دستورالعمل های عملیاتی، گرچه قدمی مهم و بنیادین است، اما به تنهایی کافی نخواهد بود. تحقق امنیت پایدار در فضای مجازی مستلزم فراهم سازی بسترهای مناسب، ایجاد زیرساخت های فنی و به کارگیری نیروی انسانی متخصص و متعهد است. به بیانی دیگر، باید یک زنجیره کامل و هماهنگ از تصمیم سازی تا اجرا شکل گیرد؛ زنجیره ای که تمامی اجزای آن به صورت هم زمان و هماهنگ فعال باشند. صرف اراده و خواستن، بدون فراهم آوردن سازوکار اجرایی کارآمد، راه به جایی نخواهد برد. اثنی عشری در ادامه ضمن اشاره به اقدامات صورت گرفته در سالهای گذشته خاطرنشان کرد: نمی توان منکر تلاش ها و پیشرفت های ارزشمندی شد که در سالهای اخیر در این عرصه صورت گرفته است. بی تردید، وضعیت ما نسبت به گذشته بهبود یافته، اما حقیقت آن است که تهدیدات سایبری روزبه روز پیچیده تر، هدفمندتر و خطرناک تر می شوند و ما ناگزیر از حرکت با شتاب و انسجام بیشتر در این حوزه هستیم. تا وقتی که آن زنجیره یکپارچه و منسجم که پیشتر به آن اشاره کردم، به صورت واقعی شکل نگیرد، نمی توان انتظار داشت که در مقابل امواج روز افزون تهدیدات سایبری مصون بمانیم.
از راهکارهای امنیت شخصی تا چالش های سازمانی
وی به برخی اقدامات فردی و سازمانی در زمینه حفظ امنیت سایبری اشاره نمود و اظهار داشت: در حوزه شخصی، مهم ترین نکته پرهیز از نصب نرم افزارهای ناشناس و استفاده از لینک های مشکوک است. همینطور سفارش می شود از VPNهایی که ناشناخته و مجانی هستند استفاده نشود؛ چون که اغلب این ابزارها می توانند دسترسی کامل به اطلاعات کاربران پیدا کنند. به صورت کلی، استفاده از نرم افزارهای داخلی و بومی به جای نمونه های خارجی، اقدامی مؤثر در کاهش تهدیدات امنیتی است. مدیر فناوری اطلاعات دانشگاه خواجه نصیر در مورد تدابیر امنیتی دانشگاه اظهار نمود: با عنایت به امکانات موجود، سعی کردیم در وهله نخست دسترسی های ریموت را کنترل کنیم؛ با استفاده از ابزارهایی مانند FortiClient. همینطور تست های نفوذ دوره ای (پریودیک) روی سامانه ها و سرورها صورت می گیرد و لاگ های سیستم ها به صورت مداوم از راه ابزارهایی نظیر Splunk مورد پایش قرار می گیرند. او افزود: در کنار این اقدامات، از ظرفیتهای مرکز ماهر نیز بهره برداری کرده ایم. در مواردی نیز بعضی از سرورها را به پشت سرویس دهنده های ابری منتقل کرده ایم تا در مقابل حملاتی مانند DDoS ایمن تر باشند. همه این ها بخشی از روند نظارت مستمر و تقویت زیرساخت های امنیتی دانشگاه است.
باید از اینترنت جهانی استفاده هوشمند و همراه با نظارت داشت
او در آخر در رابطه با لزوم استفاده از اینترنت بین المللی و چالش های آن اظهار داشت: اینترنت جهانی یک نیاز اجتناب ناپذیر است، به ویژه برای فعالیتهای علمی، پژوهشی و ارتباط با مجلات و مراکز بین المللی. محدود شدن این دسترسی برای فعالیتهای علمی مشکلاتی را به وجود می آورد. بنابراین، به جای حذف باید استفاده هوشمندانه و همراه با نظارت از این فضا داشته باشیم. فضای مجازی فرصت است، اما تهدید هم هست. باید یاد بگیریم چه طور با دقت و با آگاهی از تهدیدات از این فرصت استفاده نماییم.
منبع: رهاتل
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان رهاتل در مورد این مطلب