مدیر کل نظام مدیریت امنیت اطلاعات (نما) سازمان فناوری اطلاعات در گفت و گو با «ایران»:
رعایت استانداردهای امنیتی راه مقابله با تهدیدات سایبری است
سوسن صادقی
خبرنگار
جایگاه ایران در ارزیابی شاخصهای جهانی امنیت سایبری، 6 رتبه ارتقا یافت و در بین 194 کشور در جایگاه 54 ایستاد. درباره ارتقای وضعیت امنیت سایبری کشورمان در جهان با «بیتا کیامهر»، مدیر کل نظام مدیریت امنیت اطلاعات (نما) سازمان فناوری اطلاعات ایران گفتوگو کردهایم که میخوانید.
ارزیابی شاخصهای جهانی امنیت سایبری شامل چه مواردی است؟
اتحادیه بینالمللی مخابرات (ITU) بهصورت دورهای و دوسالانه از طریق پرسشنامههایی با بیش از 80 سؤال شاخص امنیت (global cyber security index) کشورهای جهان را از نظر امنیت سایبری ارزیابی میکند که این ارزیابیها در 5 محور قانونی، فنی، ظرفیت سازی، سازمانی و تعاملی صورت میگیرد. سازمان فناوری اطلاعات ایران با انجام دقیق فعالیتهای کارشناسی موفق شد که به درستی سیاستهای این 5 محور را به مسئولان دستگاههای اجرایی منعکس کند تا شاهد ارتقای 6 پلهای در جهان باشیم.
در ردهبندی ارزیابی شاخصهای جهانی امنیت سایبری بالاتر از چه کشورهایی قرار گرفتهایم؟
در سطح جهانی کشور ما در بین 194 کشور در جایگاه 54 و بالاتر از کشورهایی مانند کویت، بحرین، سودان، آفریقای جنوبی، سنگال، میانمار، جامائیکا و... ایستاد. در منطقه آسیا و اقیانوسیه هم رتبه 12 را در بین 37 کشور به دست آورد و بالاتر از کشورهایی چون فیلیپین، پاکستان، سریلانکا و... پایینتر از کشورهای کره جنوبی، سنگاپور، مالزی، چین، هند و... قرار گرفت.
امتیازهای کشورمان نسبت به رده بندهای قبلی چقدر تغییر داشته است؟
در سالهای 2017 و 2018 کشور ما رتبه 60 و به ترتیب494 هزارم و 641 هزارم امتیاز به دست آورد. این در حالی است که امتیاز ما در این ردهبندی اخیر یعنی در سال 2021 به81.06 درصد ارتقا یافته است.
به انجام فعالیتهای کارشناسی و اقدامهای مؤثر از سوی سازمان فناوری اطلاعات اشاره کردید دقیقاً چه نوع اقدامهایی صورت گرفته است؟
از جمله اقدامهایی که با مشارکت سازمان فناوری اطلاعات ایران و دستگاههای اجرایی صورت گرفت و در بالا رفتن امتیاز کشورمان در این رتبهبندی نقش داشت، هوشمندسازی مدارس، فعالیت کودکان در اینترنت، ارائه سیم کارت دانشآموزی، راهاندازی پیام رسان بومی ویژه کودکان مانند شبکه شاد، تهیه دستورالعملها و الزامهای حوزه امنیت، توسعه استانداردسازی فنی و...بود. از سوی دیگر بومیسازی استانداردهای حوزه امنیت برای تمام افراد جامعه، حتی افراد کم توان نیز انجام شد. همچنین دستورالعملها و الزامهای امنیت سایبری مانند دستورالعملهای امنسازی پایگاه اطلاعاتی به دستگاههای اجرایی ابلاغ شد. در حوزه امنیت سایبری برای بخش خصوصی هم امکان مشاوره، پیادهسازی و ممیزی سیستم مدیریت امنیت اطلاعات در سازمانها از طریق ارزیابی، اعتباربخشی و اعطای پروانه حوزههای خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات فراهم شد. بسترهای متعدد تعاملات امن اطلاعاتی مانند سیستمهای ارتباطی جهت دریافت لاگ رخدادهای رایانهای ایجاد شد. بسیاری از طرحهای مطالعاتی و پژوهشی را با همکاری بخشهای دولتی و خصوصی نیزعملیاتی کرد که منجر به بومیسازی دستورالعمل و استانداردهای حوزه امنیت شد.
بیشترین تهدیدات امنیت سایبری که در کشور رخ میدهد از چه نوع تهدیداتی است؟
فضای تولید و تبادل اطلاعات کشورهر روزه با حملات و تهدیدات سایبری مختلفی روبهرو میشود که برخی از حملات بسیار پیچیده و هوشمندانه توسط انسان و ماشین انجام میشود. برخی حملات هم از طریق هکرها و بدافزارها رخ میدهند. (که معمولاً اطلاعات آنها بهصورت عمومی از طریق مرکز ماهر سازمان فناوری اطلاعات در اختیار عموم قرار میگیرد.) ولی در کل میتوان گفت حملات از جنس باج افزارها، باگها، ویروسها، بک دورها، جاسوسیهای سایبری و... است.
چارچوب اصلی مقابله با تهدیدات سایبری را چه ارکانی تشکیل میدهد؟
از دو رکن مدیریت و موارد فنی تشکیل شده است. ارکان مدیریتی و فنی هم شامل پرورش نیروهای انسانی متخصص، تدوین راهبردهای امنیتی و ارتقای نرم افزار، مغزافزار و سخت افزارهای حوزه امنیت است. البته در این میان نباید اتخاذ تدابیر پیشگیرانه و راهاندازی مرکز آموزش مجازی و خودکفایی کشور در طراحی متدولوژی فناورانه، کنترل و رصد حملات و تهدیدات سایبری را فراموش کرد، چرا که این موارد باید در رأس امور قرار بگیرند.
در مسیر حرکت امنیت سایبری، سازمان فناوری اطلاعات، اصلاحاتی را انجام داده است. درباره این اصلاحات توضیح میدهید که چه روش و تکنیکهایی را اجرایی کردهاید؟
سازمان فناوری اطلاعات ایران برای ارتقای فرهنگ امنیت کاربران و طراحان حوزههای فناوری اطلاعات دورههای آموزشی برگزار میکند. از سوی دیگر سیستم مدیریتی امنیت اطلاعات ISMS را طراحی و اجرایی کرده است. با مشارکت سازمان ملی استاندارد ایران، بومیسازی استانداردهای تخصصی این حوزه را تدوین و تعامل و ارتباط مؤثری را با نمایندگان فنی سازمان و دستگاههای اجرایی کشور در حوزه امنیت برقرار کرده تا روند حرکت کشور را در حوزه امنیت سایبری بهبود بخشد. البته باید گفت اقدامهایی که امروز در حوزه امنیت سایبری انجام میشود، بیشتر بر اساس پیشبینیهای فنی ارزیابی مخاطرات و شناسایی آسیبپذیری و نقاط ضعف بالقوه برنامهریزی شده است. دیگر امروزه نمیتوان منتظر بروز حملات و انجام اقدامهای اصلاحی و پیشگیرانه ماند، بلکه در شرایط عادی باید به فکر مدیریت بحران و استقرار طرحهای بازیافتی پس از فاجعه و تداوم خدماترسانی بود. بر این اساس روشها و تکنیکهای امروزی نسبت به سابق پیشرفتهتر و پیچیدهتر شده است. بههر حال با برداشتن گامهای اصلی که عنوان شد، میتوان باعث امنسازی فضای سایبری شد ولی مهم این است که میان اقدامها و هدفگرا بودن فرایندهای امنیت، همافزایی وجود داشته و مطابق با سناریو و راهبردهای کلان این حوزه باشد تا در زمان وقوع حملات از اطلاعات و دادهها بخصوص دادههای شخصی کاربران و حریم خصوصی آنان محافظت کنیم.
به رعایت ملاحظات و الزامات امنیت سایبری امنیتی اشاره کردید دراین باره توضیح میدهید؟
الزامات امنیتی شامل موارد بسیاری است؛ بهعنوان مثال باید از برنامههای کاربردی استفاده کرد. شبکههای محلی را امنسازی کرد. آزمونهای نفوذپذیری منظم دورهای انجام شود. آسیب پذیرهای بحرانی شناسایی و رفع شود. نرم افزارها بهروزرسانی شوند. به وصلههای امنیتی توجه شود. دسترسیها کنترل و مدیریت شوند. از رمزهای عبور با ساختار پیچیده و نرم افزارهای بومی استفاده شود و... مهمتر اینکه دستگاهها باید از محصولات و خدمات شرکتهای دارای مجوز و پروانه معتبر که لیست آنها در سایت سازمان فناوری اطلاعات درج شده استفاده کنند.
چه نوع استانداردهای فنی و مدیریتی در امنیت سایبری در کل کشور باید رعایت شود؟
یکی از مهمترین استانداردها، استانداردهای امنیتی خانواده ایزو 27000، بخصوص ایزو 27001 (سیستم مدیریت امنیت اطلاعات)، استانداردهای مدیریت مخاطرات و به روشها و متدولوژیهای امنیت است. البته باید گفت که با استقرار تنها یک استاندارد یا صرفاً با استفاده از یک روش و یا یک ابزار خاص مثل آنتی ویروس، نمیتوان امنیت سایبری را در کل سامانهها برقرار کرد. بنابراین باید در این میان، به برقراری امنیت در تمام اجزای شبکه توجه کرد.
برای ارتقای رتبه وضعیت امنیت سایبری کشورمان در منطقه و جهان چه مواردی باید در دستور کار قرار بگیرد؟
برای پایداری این روند و ارتقای بیشتر نیاز به عزم ملی و همکاری بیشتر دستگاههای اجرایی در فضای تولید و تبادل اطلاعات داریم، چرا که بدون همکاری سازمانها و دستگاههای اجرایی ارتقا ممکن نیست. دستگاههای اجرایی باید استانداردهای حوزه امنیت مانند ایزو 27001 را برای پیادهسازی سیستم مدیریت امنیت اطلاعات در دستگاه خود مستقر کنند. افرادی که در حوزه امنیت سایبری فعالیت میکنند باید دانش تخصصی خود را بهرورزسانی کنند تا ضریب تابآوری امنیت سایبری در کشور افزایش یابد و خسارت ناشی از حملات تعدیل شود. از سوی دیگر تمام کاربران حقیقی و حقوقی فضای سایبری، طراحان و توسعه دهندگان سامانهها به همراه پشتیبانی کنندهها نیاز است که ملاحظات و الزامات امنیت اطلاعات مانند دستورالعملها و الزامات امنیتی پورتالها، مراکز داده و سایر الزاماتی را که بیشتر آنها در زمان استقرار سیستم مدیریت امنیت مختص هر سازمانی تدوین میشود بهصورت جدی رعایت کنند تا شاهد بلوغ در این حوزه و کاهش آسیب پذیریهای احتمالی باشیم و بتوانیم رتبه خود را در جهان و منطقه ارتقا دهیم.
وزیر ارتباطات:
صیانت از دادهها در فضای مجازی نباید تکبعدی باشد
وزیر ارتباطات و فناوری اطلاعات گفت: تبیین یک نظام حکمرانی سایبری درست، بدون تبیین نظامهای هویت و مالکیت ممکن نیست. شاید بتوان گفت صیانت از دادهها مسأله آخر است و نمیتواند تک بعدی باشد و تنها به بیان حقوق حاکمیت بر مردم بپردازد.به گزارش ایرنا، «محمدجواد آذری جهرمی» در کانال تلگرامی خود با انتشار مطلبی با عنوان «سخن آخر در باب حکمرانی سایبری» نوشت: شاید مهمترین نقصی که این روزها در برخی نگاهها و قوانین به چشم میخورد، نبود یک تعریف کامل، جامع و درست از حکمرانی سایبری است. نگاه ابتری که به راهحلهای ابتر میانجامد و آنگاه نتیجهاش میشود موجود ناقصالخلقهای که آن را حکمرانی مینامیم.
وزیر ارتباطات افزود: حکمرانی، از یک نگاه یعنی تنظیم قواعد بین فاعلها (Subjects) و مفعولها (Objects). پس اولین مسأله در تبیین نظام حکمرانی سایبری، تشخیص و تعریف دقیق اجزا است. کاربران فضای مجازی فاعل و اطلاعات و دادهها مفعول هستند. در این بین پردازشگرها در تعاریف امروزی هم میتوانند فاعل باشند و هم مفعول. جهرمی خاطرنشان کرد: حال اگر بخواهیم یک چارچوب حکمرانی درست تبیین کنیم باید به تک تک این اجزا بپردازیم و بعد روابط و ضوابطشان را مشخص کنیم، نه اینکه به دلخواه یکی را انتخاب و با عینکی خاص به آن نگاه کنیم.وی تصریح کرد: ما هنوز در بحث هویت کاربران فضای مجازی با مشکل مواجه ایم. چرایش شاید جالب باشد! هویت یک ایرانی در فضای حقیقی توسط سازمان ثبت احوال ثبت و گواهی میشود. برای اتباع خارجی مقیم ایران، وزارت خارجه ویزا صادر میکند. وزارت کشور نیز کارت هویتی خاصی صادر میکند. نیروی انتظامی هم برای دستهای دیگر مدرک هویتی صادر میکند.در بحث هویت در فضای حقیقی، کشور دارای متولیان چند گانه است. حال حساب کنید که همه این موازیکاریها و مدیریتهای چندگانه در بحث هویت در فضای مجازی میخواهد یکجا تجمیع شود. بحث امضای دیجیتال نیز یک نمونه دیگر از این موازیکاریها است و البته از این مثالها بسیار.وی با بیان اینکه درباره به رسمیت شناختن پردازشگرها، هنوز در هیچ قانون مصوب یا حتی رد پایی هم وجود ندارد، افزود: اما مالکیت یکی از قواعد مهم در دنیای حقیقی است. آیا تبیین یک نظام حکمرانی سایبری درست، بدون تبیین نظامهای هویت و مالکیت ممکن است؟
جهرمی در ادامه بیان داشت: با نگاهی جامع و با توجه به آنچه که پیشتر گفته شد، در سال ۹۶ با درک ضرورت تبیین حکمرانی سایبری، پنج لایحه تقدیم دولت کردیم. در تضاد منافع بین سازمانها و بعضاً قوا، این مصوبات در پیچ و خم کمیسیونهای فرعی و اصلی دولت رفت و آمد کرد و حالا دست آخر تنها یکی از آنها، پس از فراز و نشیبهای فراوان در دستور طرح در صحن دولت قرار گرفته است.
هک ویندوز در ایران توسط اسرائیل
گروه مایکروسافت در گزارشی اعلام کرد که یک گروه وابسته به رژیم صهیونیستی نرم افزاری را برای نفوذ به سیستم عامل ویندوز در کشورهایی از جمله ایران، به فروش رسانده است.
به گزارش ایسنا به نقل از خبرگزاری رویترز، گروه «مایکروسافت و فناوری حقوق بشری» اعلام کرد گروهی به نام کاندیرو، نرمافزاری ساخته و فروخته است که میتواند به سیستم عامل ویندوز نفوذ کند و این یکی از چندین محصولات جاسوسی به فروش رسیده توسط صنعتی سری است که ضعفهای موجود در نرم افزارهای متداول را شناسایی کرده و از این طریق نفوذ میکند.
طبق گزارش گروه مایکروسافت و فناوری حقوق بشری، تحلیل و بررسی فنی محققان امنیتی شرح میدهد که چگونه نرمافزار هک کاندیرو به دست مشتریان ناشناسی در سراسر جهان رسیده که در آنجا برای هدف قرار دادن چندین سازمان غیرنظامی مورد استفاده قرار گرفته است.
رویترز میگوید تلاشها برای دسترسی به کاندیرو برای ارائه توضیحاتی در این باره ناموفق بوده است.بنابه گزارشی که گروه مایکروسافت و فناوری حقوق بشری ارائه کرده است، بررسیهای فنی شرکت مایکروسافت نشان داده که این نرمافزار علیه کاربرانی در چندین کشور از جمله ایران، لبنان، اسپانیا و انگلیس مورد استفاده قرار گرفته است.