در نشست فعالان فضای مجازی مطرح شد؛
وضعیت تاب آوری امنیتی زیرساخت های فضای مجازی چگونه است
لینك بگیر: فعالان فضای مجازی پاك (فمپ) وضعیت تاب آوری امنیتی زیرساخت های فضای مجازی كشور را مورد بررسی قرار دادند كه در این جلسه اعلام گردید 43 درصد حملات سایبری در دنیا به سمت زیرساخت های ایران است.
به گزارش لینک بگیر به نقل از مهر، سی امین محفل آنلاین هم افزایی فعالان فضای مجازی پاک (فمپ) که توسط جمعیت توسعه گران فضای مجازی پاک برگزار می گردد این هفته به بررسی وضعیت تاب آوری زیرساخت های حیاتی فضای مجازی کشور پرداخت.
ابوالقاسم صادقی معاون امنیت سازمان فناوری اطلاعات در این جلسه با اشاره به رخدادهای اخیر سایبری به برخی زیرساخت های حیاتی کشور اظهار داشت: رخدادهای سایبری را می توان در دو گروه طبقه بندی کرد و مورد بررسی قرار داد. برخی حملات به معنای واقعی و توسط گروه هایی که کارهای مخرب و هدفمند انجام می دهند، برمبنای یک نقطه ضعف در یک شبکه صورت می گیرد و به آن به اصطلاح APT گفته می شود. گروه دوم مربوط به رخدادهایی می شود که عامل مخرب شروع کننده آن نیست بلکه سهل انگاری ها و بی توجهی ها موجب این اتفاقات ناخواسته شده و لطماتی را به بار می آورد.
وی افزود: از اسفندماه سال ۹۸ تا حالا که با فراز و نشیب های بسیاری در زمینه رخدادهای اخیر سایبری مواجه بودیم برآوردهای ما نشان داد که اغلب این رخدادها در طبقه بندی دوم انجام گرفته و به بیان دیگر ما از سهل انگاری های خودمان بیشتر لطمه خوردیم تا اتفاقات مخرب تیم های منسجم و هدفمند.
اغلب رویدادها از نوع سهل انگاری است
صادقی با اشاره به اینکه از لحاظ حجم کمی نیز ارزیابی ما نشان میدهد که اغلب رویدادها از نوع سهل انگاری است و خسارت افشای اطلاعات را به وجود آورده است، ریشه این رخدادها را به علت وجود خلاهای قانونی عنوان نمود و اظهار داشت: در کنار این خلاهای قانونی، یک سری خلاهای عملیاتی، نقصان های ابزاری و دانشی نیز وجود دارد اما شدت خلاهای قانونی بیشتر است.
وی اظهار داشت: بااینکه کوتاهی ها و تخلفات در حوزه امنیت در سازمان ها را نباید جرم تلقی نمود اما برای مسئولیت حفظ اطلاعات در هر دستگاه ضمانت اجرائی وجود ندارد و دراین زمینه مصوبه شورای عالی فناوری اطلاعات که هر دستگاه مسئول صیانت از امنیت خود است، رعایت نمی گردد.
صادقی با اشاره به یادآوری ها، پیگیری ها و تذکرات امنیتی که از طرف مرکز ماهر به دستگاه ها و سازمان ها ارائه شده است، اضافه کرد: از شروع امسال تا حالا بیش از ۲ هزار هشدار امنیتی درباب لطمه پذیری ها و انواع حملات در این عرصه منتشر نموده ایم.
وی با اشاره به اینکه از اسفند ۹۸ تا حالا بحث اسکن در فضای مجازی کشور را نیز در دستور کار قرار دادیم، افزود: مرکز ماهر سامانه اختصاصی خود برای رصد فضای آلوده کشور را دارد و دراین زمینه به یک سری از دیتابیس های باز و حفاظت نشده روی فضای اینترنت دست یافتیم. این مساله را به صاحبان دیتابیس ها اطلاع رسانی کردیم و مواردی را که صاحبان آنها مشخص نبودند به دادستانی و پلیس فتا و ضابطان قضایی برای پیگیری اعلام کردیم.
معاون امنیت سازمان فناوری اطلاعات اظهار داشت: شاید درصد رخدادهای سایبری در کشور ما که از نوع APT صورت می گیرد نسبت به برخی کشورهای پیشرو بالاتر نباشد اما درصد اشتباهات ما بیشتر است. از طرف دیگر می توان اظهار داشت که ما نسبت به متوسط دنیا در زمینه حملات هدفمند در یک تراز هستیم و اتفاقات ویژه تری نیز برای ما رخ نمی دهد و حتی شاید زیرساخت های بزرگ آنها بیشتر مورد هدف قرار می گیرند.
وی درباب نبود الزامات امنیتی برای زیرساخت های حیاتی کشور اشاره کرد: در انتهای سال ۹۷ مرکز افتای ریاست جمهوری دستورالعمل الزامات امنیتی را زیرساخت های حیاتی تدوین و به تمامی دستگاه ها ابلاغ نمود. بااینکه ما در آن زمان نسبت به این دستورالعمل نقد داشتیم و پیش بینی کردیم که این سند با این شرایط قابلیت اجرا پیدا نخواهد کرد اما با وجود این، چارچوب ها و الزامات برای همه دستگاه ها ابلاغ گردیده است و ما معتقدیم که اساساً در حوزه امنیت نیاز به دستورالعمل نیست.
صادقی با اشاره به اینکه مادام نباید به سازمان ها سفارش کرد که یوزر و پسورد خودرا به روزرسانی کرده و یا فایروال داشته باشند، افزود: اغلب حملات متعارف توسط تیم های زیرزمینی خیلی متوسط صورت می گیرد و اگر سازمانی با تکنیک های زیر متوسط مورد حمله قرار می گیرد یا سطح دانش فنی آن به نحو آزاردهنده ای پایین است و یا از لحاظ انگیزشی و مادی در آن سازمان اختلالی وجود دارد و نمی توان روی این نقصان، اسم حمله گذاشت.
وی با انتقاد از اینکه نظام ملی پیشگیری و مقابله با حوادث فضای مجازی با وجود آنکه تمام مخاطبان با سطوح مختلف کسب و کارهای خصوصی و شهروندان را دربرمی گیرد اما برچسب محرمانه دارد، در مورد معماری مقوله امنیت در سطح کشور اظهار داشت: حوزه امنیت سایبری خیلی شلوغ و پر از بازیکنان ستاره و پرقدرت در نفوذ و جایگاه است اما این ارکان در کنار اصطکاک ایجاد می کنند و هدررفت های این حوزه زیاد می شود و باید برای آن کاری کرد.
معاون سازمان فناوری اطلاعات مشکل فعلی در لطمه پذیری ها سایبری در کشور را اقتصاد امنیت عنوان نمود و اظهار داشت: باید به این پرسش پاسخ داده شود که چه میزان تامین مالی برای صنعت امنیت در کشور صورت می گیرد؟ بعد از آن باید سطح انتظارات خودرا در همین حد تامین مالی قرار دهیم. چونکه صنعت بومی امنیت در کشور ما در حد متوسط است اما توقع رقابت با صنایع خارجی را داریم. دراین زمینه گرفتار یک چرخه منفی ناتمام شده ایم که نتیجه آن لطمه به صنعت بومی، خرید محصولات خارجی و از بین رفتن انگیزه نیروهای داخلی می شود.
وی اظهار داشت: ما در سازمان فناوری اطلاعات رفع چالش اقتصاد امنیت را با دو طرح به صورت همزمان پیش می بریم. نخست اینکه در حوزه خریدهای خارجی با هماهنگی مرکز افتا مصوبه ای به کمیسیون تنظیم مقررات ارتباطات عرضه کرده ایم تا تمامی دستگاه های دولتی از خرید تجهیزات خارجی زیرساختی امنیت از مسیری که پیش بینی شده، منع شده و کنترل خرید محصولات امنیتی به صورت اتوماتیک از این مسیر صورت گیرد.
صادقی افزود: راهکار دوم این است که با یک ادبیات غیر تحکم آمیز با ایجاد چند آزمایشگاه، محصولات بومی و خارجی را ارزیابی عملکردی نماییم. ما معتقدیم که تست های فعلی ناقص است. چونکه فقط مجوز تست امنیت در حوزه لطمه پذیری صورت می گیرد اما مشکل این است که باید محصول خارجی و بومی را با هم از نظر عملکردی مقایسه کرد. دراین زمینه ما باید زیرساخت بنچ مارکینگ را در محصولات امنیت ایجاد نماییم. این مساله در سازمان فناوری اطلاعات شروع شده و راه اندازی آزمایشگاه عیارسنجی بعنوان یکی از اجزای برنامه های شبکه ملی اطلاعات در شاخص امنیت در دستور کار قرار دارد. این می تواند یک معیار حرفه ای برای مقایسه با محصول بومی و داخلی باشد که ضعف محصولات بومی را نیز رفع می کند. منوط به اینکه شرکت های داخلی ما مزیت ریالی را روی قیمت های تمام شده محصولاتشان اعمال کنند.
وی اشاره کرد: این روزها نسل های جدید حملات دیداس (DDOS ) رو به افزایش است و حملات پروتکلی با اینترفیس چالش بزرگی شمرده می شود که باید روی آن کار کرد. اخیراً نیز ردپاهایی در کشور دیده می شود که برخی حملات منشا داخلی شده و تعجب برانگیز است. دراین زمینه نیز ما برمبنای ترندهای بین المللی به کمک مراکز آپا و هم برمبنای نظارت هایی که داریم در حال طراحی راهکار و معماری هستیم.
وضعیت کشور در تاب آوری زیرساخت های امنیتی در حد متوسط رو به بالا است
رسول جلیلی عضو حقیقی شورای عالی فضای مجازی نیز در این جلسه درباب انتقاداتی که به نبود ضمانت اجرائی مصوبات شورای عالی فضای مجازی درباب امنیت سایبری وارد است توضیح داد و اظهار داشت: در زمینه امنیت سایبری وجود قانون لازم است و بنا بر این شورای عالی فضای مجازی در نظام مقابله با حوادث فضای مجازی تکلیف دستگاه ها برای امور مختلف را مشخص کرده است. دسته بندی خوبی در نظام پیشگیری به وجود آمده و تکلیف زیرساخت های حیاتی، غیر حیاتی، بخش خصوصی و آحاد جامعه مشخص شده است. طبق این نظام، مرکز افتا، مرکز ماهر، پلیس فتا و غیره حیطه وظایفشان را می دانند.
وی با اشاره به اینکه هر قانونی هرچقدر محکم و با خط و مرز مشخص باشد اما باز هم به مواردی برخورد می نماییم که با کاستی و اشکال احتمالی مواجه می باشد و میانگین اجرای قوانین در هیچ کجای دنیا به ۱۰۰ درصد نمی رسد، اضافه کرد: عملکرد شورای عالی فضای مجازی در حوزه امنیت خوب بوده است اما با این وجود نسبت به نیازمان به قوانین با کاستی مواجه هستیم.
عضو حقیقی شورای عالی فضای مجازی در مورد نیاز کشور به دانشگاه ها در حوزه امنیت و کمکی که دانشگاه ها می توانند برای ارتقای تاب آوری زیرساخت ها داشته باشند، اشاره کرد: در بحث امنیت سایبری نیازی به تحصیلات دانشگاهی نداریم بلکه نیازمند آموزش حرفه ای و تک درسی و چند درسی هستیم. کما اینکه قبلاً گرایش رایانش امن در مقطع کارشناسی وجود داشت و ۲۰ واحد درسی نیز به آن اختصاص می یافت. اما در ۶ سال اخیر با تلفیق گرایش ها، دانشجویان کارشناسی کامپیوتر تنها ۳ واحد امنیت داده و شبکه می خوانند. این مساله اثر ویژه ای در افزایش توانمندی آنها در حوزه امنیت ندارد و تنها من باب آشنایی است. این واحدهای دانشگاهی هیچ آمادگی را برای کارشناسان سازمان ها ایجاد نمی نماید.
وی اظهار داشت: در حوزه کارشناسی ارشد نیز در گرایش کامپیوتر امن ۱۵ واحد دانشگاهی از مبانی رمزنگاری تا امنیت نرم افزار تدریس می شود که باز هم کفایت نمی کند؛ دانش این حوزه باید حرفه ای باشد و توسط یک سری آموزشگاه ها که از سازمان پدافند غیرعامل، مرکز ماهر و افتا مجوز می گیرند باید آموزش داده شود.
جلیلی با اشاره به اینکه در حوزه پژوهش نیز اقداماتی که در حال انجام می باشد در این سطح امنیت نیست، افزود: پرورش نیرو وظیفه دانشگاه ها است اما یک گستره ای از دانش وجود دارد که باید منطبق با هر نیاز کافرما، آموزش داده شود. سیستم آموزشی ما منطبق با دنیا است اما دانشگاه نمی تواند یک کارشناس ضد حمله برای آماده رزم در فضای مجازی آموزش دهد. بلکه نیاز به آموزش و دوره دارد.
وی در مورد اینکه نمره ما در تاب آوری زیرساخت ها چند است، اضافه کرد: در همه جای دنیا بحث لطمه پذیری زیرساخت های حیاتی مطرح از درون و بیرون وجود دارد. ما نیز در مجموع در وضع متوسط به بالا از نظر تاب آوری قرار داریم. باتوجه به شرایط تحریم های موجود بوسیله فضای مجازی این لطمه پذیری ها متصور است. مبدا این حملات ممکنست بوسیله برخی کشورهای منطقه و خصومت ها یا رقابت ها باشد. به این علت نمی توان نمره تاب آوری کشور را با یک سری کشورهایی که دشمن ندارند، قیاس کرد.
عضو شورای عالی فضای مجازی با اشاره به اینکه در زمینه توان مغزافزاری ما از بهره هوشی و مغزافزاری دنیا سهم داریم و آمادگی پدافندی و افندی نیز در کشور وجود دارد، در مورد نقش سازمان های بین المللی درباب حملات سایبری اظهار داشت: در سطح بین المللی بسیاری از کشورها قوانین حملات سایبری در محدوده حمله سرزمینی دارند و ستاد نیروهای مسلح کشور ما نیز اطلاعیه ای در این خصوص داده که در حد قانون است. به این معنا که حریم فضای مجازی ما به مثابه حریم هوایی ما شمرده می شود. دراین زمینه سازمان ملل تابحال به موضوع حریم امنیت سایبری کشورها ورود نکرده است و شاید منتظر هستند که جنگ جهانی بعدی در فضای مجازی اتفاق بیافتد.
۴۳ درصد حملات سایبری دنیا به مقصد ایران صورت می گیرد
اسماعیل باقری اصل کارشناس امنیت صنعتی نیز در این جلسه آنلاین با اشاره به وجود برخی نقصان ها در بعضی زیرساخت های سایبری کشور، اظهار داشت: بررسی ها نشان میدهد که ما در حوزه حاکمیتی امنیت سایبری شاهد ضعف های قانونگذاری، نبود دانش کافی و تحریم ها هستیم. به این علت شبکه ای که پیاده سازی می شود در آن بحث امنیت به صورت جدی پیگیری نمی گردد.
وی با اشاره به اینکه موارد گوناگون نشت اطلاعات نتایج زیادی برای جامعه دارد و این ناامنی اگر مداوم باشد تبعات اجتماعی به همراه خواهد داشت، در مورد وضعیت زیرساخت های حیاتی کشور و اینکه ناامنی این زیرساخت ها در چه سطحی است، اظهار داشت: زیرساخت های حیاتی بیشتر در تامین تجهیزات متمرکز هستند و باتوجه به مقوله تحریم ها، شاهد می باشیم که به روزرسانی یک سری از فیچرهای امنیتی سخت تر شده است. از طرف دیگر شاهد ضعف در ارائه الزامات امنیتی هستیم و سازمان های بزرگ ما در کشور سند الزامات امنیتی را رعایت نمی کنند.
باقری اصل با تاکید بر اینکه استراتژی های امنیتی در کشور جدی گرفته نشده و به صدمات این حوزه توجه نمی گردد، اظهار داشت: طراحی شبکه هم گاهی ضعف های خیلی ساده دارد. برای مثال در یکی از رخدادهای صورت گرفته مقابل یکی از سازمان های کشور، چندین سرور در یک پورت قرار داده شده بود و هیچ جداسازی در امنیت شبکه انجام نشده بود. از طرف دیگر شاهد نقصان ابزارهای دانشی هستیم.
وی در مورد وضعیت تاب آوری زیرساخت های امنیتی اظهار داشت: آمارهای مراکز تحقیقاتی امنیتی مانند NOD۳۲ نشان میدهد که ایران در حوزه حملات بدافزارهای موبایل، رتبه اول دنیا را دارد و کسپرسکی دراین زمینه رتبه سوم را به ایران مختص کرده است. این در شرایطی است که ۴۳ درصد از حملات سایبری در دنیا به سمت ایران صورت می گیرد. این مساله نشان میدهد که کشورهای متخاصم اهتمام در نفوذ به کشور ما دارند و طبیعی است که کشور ما را مورد هدف و هجوم قرار دهند.
این کارشناس نبود ساختار مشخص در مدیریت دسترسی را همچون نقصان های فعلی عنوان نمود و اضافه کرد: نبود مدیریت دسترسی داده های دیجیتال و نبود ساختار حوزه مسئولیت، می تواند به قانون گریزی کمک نماید. در این عرصه امکان اثبات جرم و تخلف وجود ندارد و نیاز داریم به سمت بلوغ برویم. حیطه های مربوط به داده ها را مشخص نماییم تا مسئولیت پذیری برای هر فرد مشخص شود.
وی اشاره کرد: در بحث قانونگذاری نیز مجلس باید ورود کند و نهادهای حاکمیتی مانند شورای عالی فضای مجازی و نیز مراکز افتا، ماهر و پدافند غیرعامل و وزارت ارتباطات نیز اگر نقصی در حوزه وجود دارد را باید اعلام کنند. از طرف دیگر باید در کشور پیمایش امنیت زیرساخت های حیاتی با دقت بیشتری پیگیری شود.
منبع: linkbegir.ir
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب