امنیت

امنیت باید یکپارچه باشد

حملات و تهدیدهای اینترنتی در گفت‌وگو با مدیرعامل امن افزار گستر شریف

سونیتا سراب‌پور - دنیای اقتصاد : برخی سازمان‌های ما هزینه‌های میلیاردی برای توسعه شبکه خود انجام می‌دهند، اما آن را با یک غفلت ساده امنیتی از دست می‌دهند

اگر اخبار امنیتی در فضای مجازی را طی چند سال گذشته بررسی کنید شاهد حمله انواع مختلفی از ویروس‌هایی می‌شوید که هر کدام یکی از سازمان‌ها و نهادهای مهم دولتی کشور را هدف قرار داده‌اند. اوج داستان نفوذ به سیستم‌های سازمان‌های مهم کشوری به انتشار ویروسی به نام استاکس‌نت بازمی‌گردد ویروسی که بعد از انتشارش باعث توجه مسوولان کشور به مقوله امنیت و ارائه راهکارهایی برای بالا بردن سطح امنیت در فضای مجازی کشور شد. علیرضا منافی فعال در بخش امنیت شبکه‌‌های کامپیوتری و مجازی اما این پرسش را مطرح می‌کند که نهادها، سازمان‌ها و حتی شرکت‌های بزرگ و کوچک فعال درکشور تا چه اندازه در برابر حملات سایبری آمادگی دارند؟ با منافی، مدیرعامل شرکت امن افزار گستر شریف، در خصوص وضعیت امنیت شبکه‌ای در کشور گفت‌‌وگویی انجام داده‌ایم که می‌خوانید.
 
بسیاری از کارشناسان معتقدند که توجه به امنیت در فضای ارتباطات و فناوری اطلاعات یک کلید مفقود شده است. این در حالی است که طی چند سال گذشته و با افزایش حملات سایبری به ایران، شاهد حضور شرکت‌های امنیتی و برنامه‌های متنوع دولت برای افزایش امنیت در بخش ارتباطات و فناوری اطلاعات کشور بوده‌ایم. با این حال هیچ کدام از این راه‌ها باعث افزایش امنيت در این بخش و کاهش حملات سایبری نشده است. به نظر شما علت به وجود آمدن این شرایط چه می‌تواند باشد؟
منظورتان این است که امنیت در فضایIT معنی نمی دهد؟
نه منظورم این است که با اینکه طی چند سال تلاش‌هایی برای افزایش امنیت در این بخش انجام شده اما به نظر می‌رسد این تلاش‌ها نتیجه‌ای نداشته است. شما این موضوع را قبول دارید؟
در حال حاضر بیشترین حراست فیزیکی از سازمان‌هاي حساس کشور می‌شود. به طوری که اشخاص و کارمندان برای فعالیت در آن گزینش مي‌شوند و شبکه‌های آن کاملا ایزوله شده است. امنیت یک سلسله اقداماتی را مي‌طلبد. حال سوال من این است که ما در این سلسله اقدامات در چه مرحله‌اي هستیم؟ يكي از این اقدامات، فراهم کردن امنیت فیزیکی است که سازمان‌ها در این مورد در بهترین وضعیت قرار دارند. اما چرا این سازمان‌ها با یک حمله ویروسی مانند استاکس‌نت دچار اختلال شدند؟ 
در شرح حال ویروس استاکس‌نت همین قدر بس که از این ویروس به عنوان اولین ویروس در دنیای آی‌تی یاد می‌شود که با هدف تخریب زیرساخت‌هاي حیاتی یک کشور ساخته شده است، موضوعي كه اخيرا از سوي اتحاديه اروپا به آن صحه گذاشته شده است. این ویروس این توان را داشت که زيرساخت‌هاي حياتي كشور را از كار بيندازد.
چه شرایطی باعث شد که این ویروس بتواند به این سیستم رخنه کند ؟
ما اعتقاد داریم که در دنیای آی‌تی مرزی وجود ندارد حتی اگر شبکه‌ها از هم جدا باشند. استاکس‌نت کنترل‌هاي دور متغیر موتورهای زیمنس را نشانه گرفت. یعنی PLCهايی را که برای کنترل دور موتورهای متغیر بودند مورد نفوذ قرار داد. PLC یک مدار کنترلی است که کاربرد‌هاي فراوانی دارد. مثلا شما از یک PLC برای اینکه درب را به صورت اتوماتیک باز و بسته کند استفاده می‌کنید. PLCها دو نوع هستند یا مي‌توانید روی آن برنامه‌نویسی انجام دهید که این نوع منعطف هستند یا دسته‌ای دیگر از PLCها فیکس هستند و تنها قابلیت انجام یک کار را دارند.
چگونه ویروس استاکس‌نت شبکه سازمان‌هاي حساس را آلوده کرد؟
آلودگی از سیستم‌های PLC شروع شد و ما حدس می‌زنیم لپ‌تاپ‌های آلوده مهندسان هندی که برای راه‌اندازی نرم‌افزار اسکادا به سیستم متصل شده‌ بودند عامل این آلودگی بود. در واقع کد آلوده از لپ‌تاپ به داخل سیستم وارد شد و از تبعات آن این بود که از وقتی که متوجه شدیم تا یک سال کسی جرات نمی‌کرد دست به کاری بزند و چون هنوز داخل PLCها آلوده بود و نگرانی تخريب وجود داشت. 
کاری که این ویروس بعد از نفوذ به شبکه‌ها انجام داد چه بود؟
وقتی شبکه توسط این ویروس آلوده شد ابتدا دور موتور را دوبرابر مي‌کند ودر گام بعدی دور موتور را نصف کرد و نهایتا دور موتور را روی صد هرتز بالاتر از آنچه برنامه‌ریزی شده است فیکس کرد. تصور کنید یک ماشین با سرعتی بیشتر از حد مجازش حرکت کند. مثلا در نیروگاه‌ها این کار می‌توانست باعث استهلاک موتورها شود. 
چرا بر این باور هستید که ویروس استاکس‌نت قصد تخریب گسترده نداشت؟
استهلاک موتور‌های مثلا يك نیروگاه در مرحله بعد باعث تخريب آن می‌شد و تخريب نیروگاه تنها به کشور ایران صدمه وارد نمی‌کرد، بلکه باعث ایجاد ضرر و صدمه به کل کشورهای جهان می‌شد. طراحان و منتشرکنندگان ویروس استاکس‌نت نمی‌خواستند این تنها ویروسی باشد که به این بخش صدمه می‌زند. جالب است بدانید که همزمان با کشف ویروس استاکس‌نت پیش‌بینی شد که ویروس‌هایی شبیه به استاکس‌نت هر شش ماه منتشر خواهند شد که پیش‌بینی هم درست از آب در آمد و بعد از چند ماه شاهد حضور ویروسی‌هایی همچون دوکوو، وایپرو فليم بودیم. تمام این ویروس‌ها با برنامه ریزی وارد شبکه‌های داخلی کشور شدند و هركدام ماموريت خاصي بر عهده داشتند یعنی اگر هدف استاکس‌نت اختلال در مثلا موتور نیروگاه‌ها بود دوکو هدفش جاسوسی از شبکه‌های کشور بود.
به نظر شما امنیت پایین شبکه‌های کامپیوتری در داخل کشور باعث نفوذ و ایجاد صدمه توسط این ویروس‌ها به کشور شد یا دلایل دیگری در این امر دخیل است؟
اول این که امنیت ۱۰۰ درصد وجود ندارد. اما به‌رغم آن، به طور کلی امنیت در کشور ما جدی گرفته نمی‌شود. یعنی شاید سازمان‌ها و شرکت‌های مختلف در کشور هزینه‌های میلیونی برای بالا بردن امنیت شبکه‌ای خود پرداخت کنند ولی این هزینه‌ها با یک بی‌توجهی به هدر می‌رود. در واقع در کشور ما هزینه نفوذ به شبکه‌ها بسیار پایین است و همین مساله را بدتر می‌کند. در جریان نفوذ ویروس استاکس‌نت هم همین بی‌توجهی باعث نفوذ ویروس به شبکه شد؛ یعنی هنگام نصب نرم‌افزار خاص( نرم‌افزار اسکادا) روی شبکه نیروگاه، هیچ کدام از مهندسان ما پسورد پیش فرض نرم‌افزار را تغییر نداده بودند. 
اگر این حداقل کار انجام شده بود از آنجا که ویروس برای نفوذ به شبکه نیاز به «لاگین» داشت نمی‌توانست روی 
PLCها قرار گيرد.
در حال حاضر با توجه به اهمیت امنیت در فضای مجازی، شرکت‌های زیادی در کشور مشغول به ارائه خدمات در بخش امنیت شبکه و... هستند و هر کدام نیز با انتخاب یک شعار خاص سعی می‌کنند کاربران را به سمت خود جذب کنند، اما رفته رفته این نوع فعالیت‌ها باعث سردرگمی متقاضیان این خدمات شده به نوعی که نمی‌دانند واقعا کدام خدمات‌دهنده سرویس بهتری به آنها ارائه می‌کند. پیشنهاد شما برای انتخاب یک خدمات دهنده مناسب در بخش امنیت مجازی چیست؟
راه‌حل برای جلوگیری از سردرگمی کاربران در این بخش تهیه و اجرای استانداردهای این صنعت است. خوشبختانه در این زمینه ایران به این بلوغ رسیده است و دارای آزمایشگاه‌هایی است که کیفیت و استاندارد محصولات و خدمات امنیتی را مورد سنجش قرار می‌دهد. با این کار هر شرکتی که ادعای اول بودن در این حوزه را دارد باید تاییدیه لازم را داشته باشد.
یک کاربر شاید چندان تخصصی در خصوص بررسی این نوع تاییدیه‌ها نداشته باشد از طرف دیگر شرکت‌های فعال در این بخش هر کدام ادعای داشتن تاییدیه و استاندارد داخلی و حتی بین‌المللی را هم دارند.
باید عادت کرد و پرسید که تاییدیه‌ای که یک شرکت ادعا می‌کند دارد از کجا به دست آمده و نشانه چیست؟ چطور این کار را افراد در مورد محصولات غذایی انجام می‌دهند؟ از ابتدا هم مردم چندان توجهی به داشتن استاندارد در مواد غذایی نداشتند اما با گذشت زمان و فرهنگ سازی مناسب به این سطح رسیدند مواد غذایی را که فاقد استاندارد است خریداری نکنند.
تا چه اندازه می‌توان به محصول ایرانی و تاییدیه‌هایی که دارد اعتماد کرد؟
خوشبختانه در حال حاضر سازمان فناوری اطلاعات در حال ارائه تاییدیه لازم به محصولات و خدمات امنیتی است. از سوی دیگر مرکز ریشه در حوزه امضای دیجیتال هم در این بخش فعالیت می‌کند. برای مثال توکن امن‌افزار در آزمایشگاه‌های این مرکز در بین 15 توکن داخلی و خارجی رتبه اول را به دست آورده است. این رتبه بندی براساس 500 شاخص به دست می‌آید و به این راحتی‌ها نیست. برای اعتماد به این تاییدیه‌ها کافی است به سایت مرکز ریشه مراجعه و گزارش مربوط به محصول خریداری شده را دریافت کنید.
استاندارد مورد استفاده در این آزمایشگاه از چه طریق مورد تایید قرار می‌گیرد. با توجه به مسائل سیاسی و تحریمی به نظر نمی‌رسد که استاندارد‌های این آزمایشگاه‌ها مورد تایید نهاد‌های بین‌المللی مربوطه قرار بگیرد.
در کشور ما متولی استاندارد موسسه ملی استاندارد ایران است. برای محصولی مانند UTM یک شرکت، این محصول از سازمان فناوری اطلاعات تاییدیه دارد. استاندارد ارزيابي و تایید این محصول
ISO/IEC 15408 است.این استاندارد در موسسه استاندارد ایران نيز به صورت ملي تدوین شده است. این تایید به معنای یک مرجع ملی است. در حال حاضر سه آزمایشگاه در کشور داریم که بر اساس این استانداردها محصولات را ارزیابی امنیتی مي‌کنند.
با توجه به تمامی نکاتی که به آن اشاره می‌کنید، اما بسیاری از کارشناسان حوزه آی تی بر این باورند که محصولات ایرانی کیفیت لازم را نداشته و از نظر امنیتی قابل رقابت با محصولات خارجی نیستند.
باید دید در چه زمینه‌اي این ادعا مطرح می‌شود.محصولات ایرانی برای به کارگیری در بخش small و medium کاملا جوابگوی نیاز شرکت‌ها و نهادهای فعال در کشور است.
وقتی شما با هیچ نهاد بین المللی برای دریافت تاییدیه ارتباط ندارید چگونه می‌توان به این محصولات اعتماد کرد؟
مراجع و ابزارهای سنجش محصولات در آزمایشگاه‌هاي ما بین‌المللی است.برای مثال مرکز ریشه جمهوری اسلامی کاملا استاندارد و با هزینه بسیار بالایی تاسیس شده است. اما مانند ترکیه به ریشه بین‌المللی وصل نیست، زیرا این مرکز بین‌المللی یک شرکت آمریکایی است که به ما اجازه اتصال نمی‌دهد.اما این به معنی غیر قانونی بودن محصولات ما و ناامن بودن آنها نیست.ما در سطح ملی قانونی هستیم، اما این محصولات به دلیل تحریم‌ها در سطح بین المللی هنوز معتبر نيست.
پیشنهاد شما به یک شرکت یا سازمان در رده کوچک یا بزرگ برای بالا بردن امنیت شبکه‌ای چیست؟
در حال حاضر مسوولان سازمان‌ها و شرکت‌ها به بحث امنیت در فضای مجازی بهای خاصی می‌دهند برای آن ممکن است ردیف بودجه تعیین کنند و این بخش را جزو برنامه‌های استراتژیک بلند مدت خود 
به حساب می‌آورند.
اما به بخش امنیت در لایه‌های پایین که شامل امضای دیجيتال، استفاده از محصولات امنیتی مطمئن مانند فایروال، یو تی ام و... است توجه نمی‌کنند. چند سال پیش یک شرکتی برای دریافت مشاوره در بخش امنیت فضای مجازی به ما مراجعه و اعلام کرد که یک میلیارد بودجه به این شرکت اختصاص داده شده و سازمان پدافند غیر عامل هم به آنها دستور داده که باید یک کار امنیتی صورت بگیرد بنابراین آنها تصمیم دارند فقط 10 میلیون از این بودجه را صرف بخش امنیت شبکه‌ کامپیوتری و مجازی خود کنند و اكثر اين مبلغ را هم صرف خرید سرور کنند. 
نقش دولت در این بین چقدر می‌تواند تاثیر‌گذار باشد؟
اخیرا مصوبه‌اي از طرف دولت اعلام شده است که بر اساس سند افتا همه دستگاه‌هاي دولتی تا آخر برنامه پنجم باید استاندارد ISMS 27001 را پیاده کنند. دولت برای این کار بودجه در نظر گرفته که این بودجه اختصاص رقمی در حدود 3 تا 5 میلیون به شرکت‌ها و سازمان‌ها برای پیاده کردن ISMS است و این در حالی است که پیاده‌سازی استاندارد ISMS نیاز به هزینه‌ای در حدود 50 میلیون دارد. کل قضیه با این برنامه‌ریزی نامناسب بودجه‌ای از طرف دولت آسيب مي‌بيند.
مسوولان وزارت ارتباطات یکی از راه‌های بالا بردن امنیت اطلاعات در کشور را منوط به راه‌اندازی رسمی شبکه ملی اطلاعات می‌دانند آيا واقعا این پروژه کمکی به افزایش امنیت شبکه‌‌ای کشور می‌کند؟
پروژه خوبی است، اما برای توضیح باز بر می‌گردم به مثال همان خانه با ده اتاق که درب یک اتاق آن خراب است بنابراین با اینکه 9 اتاق دارای درب امن هست امکان نفوذ به آن به خاطر باز بودن یک درب همچنان هست. ویروس استاکس‌نت به شبکه‌ای نفوذ کرد که خصوصی‌تر و قطعا امن تر از شبکه ملی اطلاعات بود.
با افزایش حملات اینترنتی به کشور اظهارنظرهاي گوناگونی از سوی مسوولان دولتی منتشر شده است. برای مثال رضا تقی‌پور وزیر سابق ارتباطات و اطلاعات پیوسته با نگاهی منفی اینترنت را یک  تکنولوژی جاسوس و مضر برای کشور معرفی می‌کرد و خواستار راه‌اندازی هرچه سریع‌تر اینترنت ملی بود در حالی که ویروسی مانند استاکس نت نه از طریق اینترنت که همانطور که گفتید از طریق یک فلش منتقل شد. چقدر دانش و اطلاعات مسوولان دولتی، مدیران سازمان‌ها و شرکت‌های مختلف در کشور می‌تواند به رشد بحث امنیت در کشور کمک کند.
متاسفانه برخورد مسوولان ما درخصوص هر مساله‌ای سیاسی  است و برخورد فنی مناسبی در این زمینه تا کنون دیده نشده است. IT تنها حوزه‌ای است که برخورد سیاسی در آن جواب نمی‌دهد. با دانش باید برخورد دانشی داشت. با فناوری مخرب باید با فناوری جنگید. گاهی وقت‌ها مسوولان ما نظرات اشتباهي را مطرح می‌کنند که حتی مشاوران آنها نیز تلاشی برای تصحیح آن انجام نمی‌دهند.
اما در کنار نبود برنامه دقیق و جامع در بخش امنیت شاهد متولیان بی‌شماری نیزدر این بخش هستیم از جمله سازمان فناوری اطلاعات، سازمان پدافند غیرعامل، سازمان رخدادهای یارانه‌ای و... وجود چنین سازمان‌هاي مختلفی ضروری است؟
تعدد سازمان‌ها خوب است اما  به شرطی که سر منشا آنها به هم وصل باشد. وقتی حرکت‌ها در این بخش، استراتژیک و همراه با یک برنامه‌ریزی یکپارچه نباشد و دستگاه‌هاي مختلف نیز یکدیگر را قبول نداشته باشند بنابراین هر بخش  مجزا عمل خواهد کرد. 
اتفاقی که متاسفانه درحال حاضر در کشور در حال رخ دادن است و این تعدد سازمان و عدم هماهنگی بین آنها سبب شده که  شاهد  برنامه ریزی متمرکز در حوزه امنیت کشور نباشیم.
پارلمان اروپا چندی پیش قانونی را تصویب کرد که هر حمله اینترنتی که در بخش امنیت رخ مي‌دهد سریعا باید به صورت عمومی گزارش شود. در ایران اطلاع رسانی در زمینه حملات پراکنده است و گاه یکی تکذیب و دیگری تایید می‌کند. آیا اطلاع رسانی در زمینه چنین حملاتی باید عمومی شود یا خیر؟
متاسفانه در این بخش  عمق جریانات مورد بررسی قرار نمی‌گیرد. مسوولان سازمان‌هاي ما با حجم زيادي از اطلاعات روبه‌رو هستند  که نمی‌دانند این اطلاعات را چگونه بررسی و آنها را اعلام کنند.
 همین امر سبب پنهان‌کاری می‌شود. طبیعتا همه اطلاعات را نباید فاش کرد اما برخی موضوعات را باید به صورت فنی و روشن برای کاربران بازگو کرد. لزومی ندارد که کاربران از تک تک اتفاقات باخبر شوند، اما همین که به صورت روشن مسائل برای آنها بازگو شود، این کار باعث آرامش خاطر آنها می‌شود. 

​​