فعالان فضای مجازی پاک (فمپ) وضعیت تاب آوری امنیتی زیرساختهای فضای مجازی کشور را مورد بررسی قرار دادند که در این نشست اعلام شد ۴۳ درصد حملات سایبری در دنیا به سمت زیرساختهای ایران است.
سیامین محفل آنلاین هم افزایی فعالان فضای مجازی پاک (فمپ) که توسط جمعیت توسعه گران فضای مجازی پاک برگزار میشود این هفته به بررسی وضعیت تابآوری زیرساختهای حیاتی فضای مجازی کشور پرداخت.
ابوالقاسم صادقی معاون امنیت سازمان فناوری اطلاعات در این نشست با اشاره به رخدادهای اخیر سایبری به برخی زیرساختهای حیاتی کشور گفت: رخدادهای سایبری را میتوان در دو گروه طبقه بندی کرد و مورد بررسی قرار داد. برخی حملات به معنای واقعی و توسط گروههایی که فعالیتهای مخرب و هدفمند انجام میدهند، بر اساس یک نقطه ضعف در یک شبکه صورت میگیرد و به آن به اصطلاح APT گفته میشود. گروه دوم مربوط به رخدادهایی میشود که عامل مخرب شروع کننده آن نیست بلکه سهل انگاریها و بی توجهیها باعث این اتفاقات ناخواسته شده و لطماتی را به بار میآورد.
وی ادامه داد: از اسفندماه سال ۹۸ تاکنون که با فراز و نشیبهای بسیاری در زمینه رخدادهای اخیر سایبری مواجه بودیم برآوردهای ما نشان داد که اغلب این رخدادها در طبقه بندی دوم انجام گرفته و به بیان دیگر ما از سهل انگاریهای خودمان بیشتر لطمه خوردیم تا اتفاقات مخرب تیمهای منسجم و هدفمند.
اغلب رویدادها از نوع سهل انگاری است
صادقی با اشاره به اینکه از لحاظ حجم کمی نیز ارزیابی ما نشان میدهد که اغلب رویدادها از نوع سهل انگاری است و خسارت افشای اطلاعات را به وجود آورده است، ریشه این رخدادها را به دلیل وجود خلاهای قانونی عنوان کرد و گفت: در کنار این خلاهای قانونی، یک سری خلاهای عملیاتی، نقصانهای ابزاری و دانشی نیز وجود دارد اما شدت خلاهای قانونی بیشتر است.
وی گفت: اگرچه کوتاهیها و تخلفات در حوزه امنیت در سازمانها را نباید جرم تلقی کرد اما برای مسئولیت حفظ اطلاعات در هر دستگاه ضمانت اجرایی وجود ندارد و در این زمینه مصوبه شورای عالی فناوری اطلاعات که هر دستگاه مسئول صیانت از امنیت خود است، رعایت نمیشود.
صادقی با اشاره به یادآوریها، پیگیریها و تذکرات امنیتی که از سوی مرکز ماهر به دستگاهها و سازمانها ارائه شده است، افزود: از ابتدای امسال تاکنون بالغ بر ۲ هزار هشدار امنیتی در خصوص آسیب پذیری ها و انواع حملات در این حوزه منتشر کردهایم.
وی با بیان اینکه از اسفند ۹۸ تاکنون بحث اسکن در فضای مجازی کشور را نیز در دستور کار قرار دادیم، ادامه داد: مرکز ماهر سامانه اختصاصی خود برای رصد فضای آلوده کشور را دارد و در این زمینه به یک سری از دیتابیسهای باز و حفاظت نشده روی فضای اینترنت دست یافتیم. این موضوع را به صاحبان دیتابیسها اطلاع رسانی کردیم و مواردی را که صاحبان آنها مشخص نبودند به دادستانی و پلیس فتا و ضابطان قضایی برای پیگیری اعلام کردیم.
معاون امنیت سازمان فناوری اطلاعات گفت: شاید درصد رخدادهای سایبری در کشور ما که از نوع APT صورت میگیرد نسبت به برخی کشورهای پیشرو بالاتر نباشد اما درصد اشتباهات ما بیشتر است. از سوی دیگر میتوان گفت که ما نسبت به متوسط دنیا در زمینه حملات هدفمند در یک تراز هستیم و اتفاقات ویژهتری نیز برای ما رخ نمیدهد و حتی شاید زیرساختهای بزرگ آنها بیشتر مورد هدف قرار میگیرند.
وی در خصوص نبود الزامات امنیتی برای زیرساختهای حیاتی کشور تاکید کرد: در انتهای سال ۹۷ مرکز افتای ریاست جمهوری دستورالعمل الزامات امنیتی را زیرساختهای حیاتی تدوین و به تمامی دستگاهها ابلاغ کرد. اگرچه ما در آن زمان نسبت به این دستورالعمل نقد داشتیم و پیش بینی کردیم که این سند با این شرایط قابلیت اجرا پیدا نخواهد کرد اما با این وجود، چارچوبها و الزامات برای همه دستگاهها ابلاغ شده است و ما معتقدیم که اساساً در حوزه امنیت نیاز به دستورالعمل نیست.
صادقی با بیان اینکه مادام نباید به سازمانها توصیه کرد که یوزر و پسورد خود را به روزرسانی کرده و یا فایروال داشته باشند، ادامه داد: اغلب حملات متعارف توسط تیمهای زیرزمینی خیلی متوسط صورت میگیرد و اگر سازمانی با تکنیکهای زیر متوسط مورد حمله قرار میگیرد یا سطح دانش فنی آن به نحو آزاردهندهای پایین است و یا از لحاظ انگیزشی و مادی در آن سازمان اختلالی وجود دارد و نمیتوان روی این نقصان، اسم حمله گذاشت.
وی با انتقاد از اینکه نظام ملی پیشگیری و مقابله با حوادث فضای مجازی با وجود آنکه تمام مخاطبان با سطوح مختلف کسب و کارهای خصوصی و شهروندان را دربرمی گیرد اما برچسب محرمانه دارد، در مورد معماری مقوله امنیت در سطح کشور گفت: حوزه امنیت سایبری خیلی شلوغ و پر از بازیکنان ستاره و پرقدرت در نفوذ و جایگاه است اما این ارکان در کنار اصطکاک ایجاد میکنند و هدررفتهای این حوزه زیاد میشود و باید برای آن کاری کرد.
معاون سازمان فناوری اطلاعات مشکل فعلی در آسیب پذیریها سایبری در کشور را اقتصاد امنیت عنوان کرد و گفت: باید به این سوال پاسخ داده شود که چه میزان تامین مالی برای صنعت امنیت در کشور صورت میگیرد؟ پس از آن باید سطح انتظارات خود را در همین حد تامین مالی قرار دهیم. چرا که صنعت بومی امنیت در کشور ما در حد متوسط است اما توقع رقابت با صنایع خارجی را داریم. در این زمینه دچار یک چرخه منفی ناتمام شدهایم که نتیجه آن آسیب به صنعت بومی، خرید محصولات خارجی و از بین رفتن انگیزه نیروهای داخلی میشود.
وی گفت: ما در سازمان فناوری اطلاعات رفع چالش اقتصاد امنیت را با دو طرح به صورت همزمان پیش میبریم. نخست اینکه در حوزه خریدهای خارجی با هماهنگی مرکز افتا مصوبهای به کمیسیون تنظیم مقررات ارتباطات ارائه دادهایم تا تمامی دستگاههای دولتی از خرید تجهیزات خارجی زیرساختی امنیت از مسیری که پیش بینی شده، منع شده و کنترل خرید محصولات امنیتی به صورت اتوماتیک از این مسیر انجام شود.
صادقی ادامه داد: راهکار دوم این است که با یک ادبیات غیر تحکمآمیز با ایجاد چند آزمایشگاه، محصولات بومی و خارجی را ارزیابی عملکردی کنیم. ما معتقدیم که تستهای فعلی ناقص است. چرا که صرفاً مجوز تست امنیت در حوزه آسیب پذیری صورت میگیرد اما مشکل این است که باید محصول خارجی و بومی را با هم از نظر عملکردی مقایسه کرد. در این زمینه ما باید زیرساخت بنچ مارکینگ را در محصولات امنیت ایجاد کنیم. این موضوع در سازمان فناوری اطلاعات آغاز شده و راه اندازی آزمایشگاه عیارسنجی به عنوان یکی از اجزای برنامههای شبکه ملی اطلاعات در شاخص امنیت در دستور کار قرار دارد. این میتواند یک معیار حرفهای برای مقایسه با محصول بومی و داخلی باشد که ضعف محصولات بومی را نیز رفع میکند. منوط به اینکه شرکتهای داخلی ما مزیت ریالی را روی قیمتهای تمام شده محصولاتشان اعمال کنند.
وی تاکید کرد: این روزها نسلهای جدید حملات دیداس (DDOS ) رو به افزایش است و حملات پروتکلی با اینترفیس چالش بزرگی محسوب میشود که باید روی آن کار کرد. اخیراً نیز ردپاهایی در کشور دیده میشود که برخی حملات منشا داخلی شده و تعجب برانگیز است. در این زمینه نیز ما بر اساس ترندهای بینالمللی به کمک مراکز آپا و هم بر اساس نظارتهایی که داریم در حال طراحی راهکار و معماری هستیم.
وضعیت کشور در تابآوری زیرساختهای امنیتی در حد متوسط رو به بالا است
رسول جلیلی عضو حقیقی شورای عالی فضای مجازی نیز در این نشست در خصوص انتقاداتی که به نبود ضمانت اجرایی مصوبات شورای عالی فضای مجازی در خصوص امنیت سایبری وارد است توضیح داد و گفت: در زمینه امنیت سایبری وجود قانون ضروری است و به همین دلیل شورای عالی فضای مجازی در نظام مقابله با حوادث فضای مجازی تکلیف دستگاهها برای امور مختلف را مشخص کرده است. دسته بندی خوبی در نظام پیشگیری ایجاد شده و تکلیف زیرساختهای حیاتی، غیر حیاتی، بخش خصوصی و آحاد جامعه مشخص شده است. طبق این نظام، مرکز افتا، مرکز ماهر، پلیس فتا و غیره حیطه وظایفشان را میدانند.
وی با بیان اینکه هر قانونی هرچقدر محکم و با خط و مرز مشخص باشد اما باز هم به مواردی برخورد میکنیم که با کاستی و اشکال احتمالی مواجه است و میانگین اجرای قوانین در هیچ کجای دنیا به ۱۰۰ درصد نمیرسد، افزود: عملکرد شورای عالی فضای مجازی در حوزه امنیت خوب بوده است اما با این حال نسبت به نیازمان به قوانین با کاستی مواجه هستیم.
عضو حقیقی شورای عالی فضای مجازی در مورد نیاز کشور به دانشگاهها در حوزه امنیت و کمکی که دانشگاهها میتوانند برای ارتقای تابآوری زیرساختها داشته باشند، تاکید کرد: در بحث امنیت سایبری نیازی به تحصیلات دانشگاهی نداریم بلکه نیازمند آموزش حرفهای و تک درسی و چند درسی هستیم. کما اینکه قبلاً گرایش رایانش امن در مقطع کارشناسی وجود داشت و ۲۰ واحد درسی نیز به آن اختصاص مییافت. اما در ۶ سال اخیر با تلفیق گرایشها، دانشجویان کارشناسی کامپیوتر تنها ۳ واحد امنیت داده و شبکه میخوانند. این موضوع اثر ویژه ای در افزایش توانمندی آنها در حوزه امنیت ندارد و تنها من باب آشنایی است. این واحدهای دانشگاهی هیچ آمادگی را برای کارشناسان سازمانها ایجاد نمیکند.
وی گفت: در حوزه کارشناسی ارشد نیز در گرایش رایانه امن ۱۵ واحد دانشگاهی از مبانی رمزنگاری تا امنیت نرم افزار تدریس میشود که باز هم کفایت نمیکند؛ دانش این حوزه باید حرفهای باشد و توسط یک سری آموزشگاهها که از سازمان پدافند غیرعامل، مرکز ماهر و افتا مجوز میگیرند باید آموزش داده شود.
جلیلی با اشاره به اینکه در حوزه پژوهش نیز اقداماتی که در حال انجام است در این سطح امنیت نیست، ادامه داد: پرورش نیرو وظیفه دانشگاهها است اما یک گسترهای از دانش وجود دارد که باید منطبق با هر نیاز کافرما، آموزش داده شود. سیستم آموزشی ما منطبق با دنیا است اما دانشگاه نمیتواند یک کارشناس ضد حمله برای آماده رزم در فضای مجازی آموزش دهد. بلکه نیاز به آموزش و دوره دارد.
وی در مورد اینکه نمره ما در تابآوری زیرساختها چند است، افزود: در همه جای دنیا بحث آسیب پذیری زیرساختهای حیاتی مطرح از درون و بیرون وجود دارد. ما نیز در مجموع در وضع متوسط به بالا از نظر تابآوری قرار داریم. با توجه به شرایط تحریمهای موجود از طریق فضای مجازی این آسیب پذیری ها متصور است. مبدا این حملات ممکن است از طریق برخی کشورهای منطقه و خصومتها یا رقابتها باشد. به این دلیل نمیتوان نمره تابآوری کشور را با یک سری کشورهایی که دشمن ندارند، قیاس کرد.
عضو شورای عالی فضای مجازی با بیان اینکه در زمینه توان مغزافزاری ما از بهره هوشی و مغزافزاری دنیا سهم داریم و آمادگی پدافندی و افندی نیز در کشور وجود دارد، در مورد نقش سازمانهای بینالمللی در خصوص حملات سایبری گفت: در سطح بینالمللی خیلی از کشورها قوانین حملات سایبری در محدوده حمله سرزمینی دارند و ستاد نیروهای مسلح کشور ما نیز بیانیهای در این خصوص داده که در حد قانون است. به این معنی که حریم فضای مجازی ما به مثابه حریم هوایی ما محسوب میشود. در این زمینه سازمان ملل تا به حال به موضوع حریم امنیت سایبری کشورها ورود نکرده است و شاید منتظر هستند که جنگ جهانی بعدی در فضای مجازی اتفاق بیافتد.
۴۳ درصد حملات سایبری دنیا به مقصد ایران صورت میگیرد
اسماعیل باقری اصل کارشناس امنیت صنعتی نیز در این نشست آنلاین با اشاره به وجود برخی نقصانها در برخی زیرساختهای سایبری کشور، گفت: بررسیها نشان میدهد که ما در حوزه حاکمیتی امنیت سایبری شاهد ضعفهای قانونگذاری، نبود دانش کافی و تحریمها هستیم. به این دلیل شبکه ای که پیاده سازی میشود در آن بحث امنیت به صورت جدی پیگیری نمیشود.
وی با اشاره به اینکه موارد متعدد نشت اطلاعات پیامدهای زیادی برای جامعه دارد و این ناامنی اگر مداوم باشد تبعات اجتماعی به همراه خواهد داشت، در مورد وضعیت زیرساختهای حیاتی کشور و اینکه ناامنی این زیرساختها در چه سطحی است، گفت: زیرساختهای حیاتی بیشتر در تامین تجهیزات متمرکز هستند و با توجه به مقوله تحریمها، شاهد هستیم که به روزرسانی یک سری از فیچرهای امنیتی سختتر شده است. از سوی دیگر شاهد ضعف در ارائه الزامات امنیتی هستیم و سازمانهای بزرگ ما در کشور سند الزامات امنیتی را رعایت نمیکنند.
باقری اصل با تاکید بر اینکه استراتژیهای امنیتی در کشور جدی گرفته نشده و به صدمات این حوزه توجه نمیشود، گفت: طراحی شبکه هم گاهاً ضعفهای خیلی ساده دارد. برای مثال در یکی از رخدادهای صورت گرفته علیه یکی از سازمانهای کشور، چندین سرور در یک پورت قرار داده شده بود و هیچ جداسازی در امنیت شبکه انجام نشده بود. از سوی دیگر شاهد نقصان ابزارهای دانشی هستیم.
وی در مورد وضعیت تابآوری زیرساختهای امنیتی گفت: آمارهای مراکز تحقیقاتی امنیتی مانند NOD۳۲ نشان میدهد که ایران در حوزه حملات بدافزارهای موبایل، رتبه اول دنیا را دارد و کسپرسکی در این زمینه رتبه سوم را به ایران اختصاص داده است. این در حالی است که ۴۳ درصد از حملات سایبری در دنیا به سمت ایران صورت میگیرد. این مساله نشان میدهد که کشورهای متخاصم سعی در نفوذ به کشور ما دارند و طبیعی است که کشور ما را مورد هدف و هجوم قرار دهند.
این کارشناس نبود ساختار مشخص در مدیریت دسترسی را از جمله نقصانهای فعلی عنوان کرد و افزود: نبود مدیریت دسترسی دادههای دیجیتال و نبود ساختار حوزه مسئولیت، میتواند به قانون گریزی کمک کند. در این حوزه امکان اثبات جرم و تخلف وجود ندارد و نیاز داریم به سمت بلوغ برویم. حیطههای مربوط به دادهها را مشخص کنیم تا مسئولیت پذیری برای هر فرد مشخص شود.
وی تاکید کرد: در بحث قانونگذاری نیز مجلس باید ورود کند و نهادهای حاکمیتی مانند شورای عالی فضای مجازی و نیز مراکز افتا، ماهر و پدافند غیرعامل و وزارت ارتباطات نیز اگر نقصی در حوزه وجود دارد را باید اعلام کنند. از سوی دیگر باید در کشور پیمایش امنیت زیرساختهای حیاتی با دقت بیشتری پیگیری شود.