کارشناسان در گفت و گو با «ایران»:
مدیران امنیت سایبری باید در مقابل هر «هک» پاسخگو باشند
سوسن صادقی
خبرنگار
«عیسی زارعپور» وزیر ارتباطات و فناوری اطلاعات در برنامه اعلامی خود به افزایش قابل توجه جرایم سایبری مرتبط با فضای خصوصی و زیرساختی اشاره کرده و گفته این افزایش جرایم سایبری به خاطر نبود متولی مشخص در نظام امنیت سایبری زیرساختی کشور است. روزنامه ایران نظر کارشناسان امنیت سایبری را جویا شده که ارزیابی آنها در باره این گفته چیست؟
کافی نبودن طرح متولی
امید توکلی طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات معتقد است در آبانماه سال 96 شورای عالی فضای مجازی، نظام ملی پیشگیری و مقابله با حوادث فضای مجازی را تصویب کرد و این نظام مشخصکننده نهادهای متولی امنیت در حوزههای مختلف فضای مجازی ازجمله فضای خصوصی و امنیت زیرساختهاست.
توکلی گفت: متأسفانه پس از گذشت 4 سال از تصویب این نظام و براساس گزارشهای منتشرشده از حوادث سایبری در کشور، سازوکارهای این بخش اثربخش نبوده و نقشآفرینی مطلوبی در آن مشاهده نمیشود. بهعنوان مثال در یک سال گذشته اخبار نفوذ به دستگاههای اجرایی نظیر سازمان بنادر و دریانوردی، راهآهن، وزارت راه، پلیس راهور و اخیراً زندان اوین بهعنوان یکی از زیرمجموعههای سازمان زندانها و اقدامهای تأمینی کشور در رسانهها منتشر شده که هر یک از این دستگاههای اجرایی، تحت نظارت یکی از دستگاههای هماهنگ کننده در نظام ملی پیشگیری و مقابله با حوادث فضای مجازی فعالیت میکردند.
وی با اشاره به اینکه بروز حملات و حوادث سایبری در قویترین نظامهای سایبری دنیا نیز محتمل و حتی متداول است، افزود: به عنوان مثال اردیبهشتماه سال جاری خط لوله «کلونیال» بهعنوان بزرگترین خط لوله انتقال سوخت در امریکا به طول 8800 کیلومتر دچار حمله باجافزاری شد؛ حتی اعلام شد که مبلغ 5 میلیون دلار بهعنوان باج به هکرها پرداخت شده اما ردپایی (که مطالبه صنعت امنیت در کشور است) از مؤلفههای نظام ملی پیشگیری و مقابله با حوادث فضای مجازی قبل، حین و پس از حادثه مشاهده نمیشود.
توکلی گفت: دپارتمان مدیریت امنیت حمل ونقل در وزارت امنیت داخلی امریکا (DHS) کمتر از یک هفته پس از حادثه خط لوله کلونیال، دستورالعملی صادر کرد مبنی بر اینکه گزارشدهی وضعیت سایبری خطوط لوله به مقامات فدرال که تا پیش از این حادثه به شکل اختیاری دنبال میشد، الزامی شد. این در حالی است که شرکتهای مدیریت خطوط لوله در امریکا عموماً از سوی بخش خصوصی اداره میشوند.
وی افزود: در وضعیتی که اثری از اقدامهای پیشینی و پسینی دستگاههای هماهنگکننده نظام ملی در مواجهه با حوادث سایبری در دستگاههای اجرایی و دولتی مشاهده نمیشود، آیا میتوان به همکاری زیرساختهای حیاتی در اختیار بخش خصوصی مانند مجتمعهای پتروشیمی با این نظام امیدوار بود؟
این طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات با بیان اینکه تعیین متولی به تنهایی منجر به ارتقای سطح امنیت و افزایش تابآوری کشور در برابر حوادث سایبری نمیشود، گفت: صنعت امنیت کشور نیازمند متولیان کارآزموده و پاسخگو است که به استفاده از ظرفیتها و توانمندیهای بخش خصوصی در صنعت امنیت اعتقاد داشته باشد و از آن جهت ایجاد سازوکارهای تسلط سایبری، افزایش تابآوری و مدیریت ریسک بهرهبرداری کند.
پاسخگو کردن مدیران
کاظم فلاحی کارشناس امنیت سایبری نیز معتقد است، مطرح شدن نبود متولی مشخص در نظام امنیت زیر ساختی کشور از سوی وزیر جدید ارتباطات و فناوری اطلاعات به لمس شدن جرایم عمومی و خصوصی در قوه قضائیه از سوی ایشان برمی گردد.
فلاحی با بیان اینکه عیسی زارع پور مسئول فناوری اطلاعات و آمار قوه قضائیه بود، گفت: در این بخش جرایمی که در بخش عمومی و خصوصی بیشتر دیده میشود ، به مردم مربوط است. مردم بیشتر درگیر فیشینگ و کلاهبرداریهایی هستند که در برخی از پلتفرمها هر روزه رخ میدهد و قربانی میشوند به همین دلیل به نظر میرسد وزیر جدید ارتباطات و فناوری اطلاعات این موضوع را از نزدیک درک کرده از اینرو در برنامه خود چنین بحثی را مطرح کرده است.
وی با اشاره به اینکه گذاشتن متولی واحد، اقدام خوب و مثبتی است، افزود: ولی پیش از آن باید گفت که امنیت سایبری اکنون در سه حوزه مختلف سه متولی دارد. از سوی شورای عالی فضای مجازی، امنیت سایبری بخش عمومی به پلیس فتا، امنیت سایبری دستگاههای حساس و زیرساختهای حیاتی کشور به مرکز افتای نهاد ریاست جمهوری و امنیت سایبری دستگاههای غیرحساس به مرکز ماهر سازمان فناوری اطلاعات واگذار شده است.
این کارشناس امنیت سایبری در ادامه گفت: موضوع اصلی این است که با اینکه متولی هر بخش مشخص است اما دستگاههای مربوطه بعد هک شدن و آسیب پذیریها پاسخگو نیستند.
این کارشناس به هک وزارت راه و شهرسازی اشاره کرد و گفت: حمله سایبری به عینه رخ داده بود و حتی شرکت «چک پوینت» گزارش تحلیلی مفصلی درباره این هک ارائه داد به صورتی که نشان داد چقدر کامل به بحث امنیتی کشور ما اشراف دارند اما از سوی مسئولان مربوطه این هک تکذیب شد و حتی متولیان امر هم گزارش درستی از این هک ارائه ندادند و ما از یک گزارش خارجی متوجه شدیم که از کدام منبع این هک صورت گرفته، چگونه رخ داده و چه دادههایی از دست رفته، راههای مقابله با آن چیست و... تا در دیگر دستگاهها آنها را رعایت کنیم.
وی افزود: مشکل اصلی مسئولیت پذیر نبودن مدیران دستگاه هاست و باید مدیرانی برای امنیت سایبری دستگاهها و نهادها انتخاب شوند که مسئولیت پذیر بوده و در برابر حملات پاسخگو باشند چرا که تأیید هک بد و زشت نیست و در دنیا مرسوم است و این کار باعث میشود که با اشتراک گذاری، دیگر وزارتخانهها نیز سریع دست به کار شوند و جلوی حملات احتمالی را بگیرند.
این کارشناس از وزیر ارتباطات دولت سیزدهم خواست از افراد متخصص در دستگاهها برای بخش امنیت سایبری استفاده کنند و اگر واقعاً راهی نیست حداقل به این افراد آموزش داده شود.
خلأ قانونی
رضا اکبری دیگر کارشناس امنیت سایبری نیز معتقد است که اکنون سه متولی مرکز ماهر، مرکز افتا و پلیس فتا در حوزه امنیت سایبری در کشور وجود دارد ولی اگر این سه بخش زیر نظر یک متولی بالا دستی باشند شاید بهتر باشد.
اکبری گفت: اما مشکل اصلی در متولی نیست بلکه در مدیران بخشهای امنیت سایبری دستگاههای دولتی است. آنها دارای دانش کافی نیستند و بارها به این موضوع تأکید شده ولی اصولاً ترتیب اثر داده نشده است. از سوی دیگر متخصصان امنیت سایبری در دستگاهها حضور ندارند به همین دلیل این دسته از مشکلها باید حل شود.
وی نیز به پاسخگو نبودن مدیران دستگاهها هنگام هک اشاره کرد و افزود: باید مدیران را نسبت به هکهایی که اتفاق میافتد پاسخگو کرد اگر این الزام بهوجود آید آنها نیز بر امنیت سایبری دستگاههای خود با جذب متخصصان بیشتر نظارت میکنند. مدیران دغدغهای ندارند و در برابر نشت اطلاعات احساس مسئولیت نمیکنند و پاسخگو نیستند از اینرو به نظر میرسد در اینجا بیشتر خلأ قانونی وجود دارد و متولی باید با تصویب قانونی مدیران را بازخواست ، جریمه و... کرد.
اکبری در ادامه گفت: در دنیا هکهای زیادی البته بیشتر از نوع حرفهای آن اتفاق میافتد و امری اجتنابناپذیر است ولی مدیر باید پاسخگو باشد و گزارش کاملی از آنچه اتفاق افتاده ارائه دهد چیزی تاکنون در کشور ندیدهایم.این کارشناس امنیت سایبری در ادامه گفت: بارها آسیب پذیریها از سوی هر سه متولی به همراه راههای مقابله با آن نیز به دستگاهها اطلاعرسانی شده ولی ترتیب اثری ندادهاند و هک شدهاند.
وی معتقد است باید در زمینه انتخاب مدیران امنیت سایبری دستگاهها وسواس و حساسیت به خرج داد ولی تاکنون این اتفاق نیفتاده و افراد با رابطه سر کار آمدهاند و بهدلیل نداشتن دانش کافی در این حوزه شاهد هکهایی هستیم که پیش پا افتاده ترین موارد امنیتی را رعایت نکردهاند.
درج تاریخ تولد در اینستاگرام الزامی شد
اینستاگرام در راستای قابلیتهای ایمنی جدید برای کاربران جوان، کاربرانش را ملزم خواهد کرد تاریخ تولدشان را تأیید کنند.
بهگزارش ایسنا، اینستاگرام بهدنبال ساخت نسخه ویژه کودکان پایین ۱۳ سال بوده که باعث شده قانونگذاران امریکایی از فیس بوک - شرکت مادر این شبکه اجتماعی- بخواهند از برنامه مذکور صرفنظر کند بخصوص که این شرکت سابقه روشنی در زمینه کوتاهی در حفاظت از کودکان در پلتفرمهایش دارد.اینستاگرام در یک پست وبلاگ اعلام کرد از این اطلاعات برای اطمینان از این که تجربه درست برای گروه سنی درست فراهم میشود، استفاده خواهد کرد. این شرکت ماه گذشته اعلام کرده بود بهصورت پیش فرض حساب کاربری کاربران پایین ۱۶ سال را در هنگام ایجاد شدن آنها در حالت خصوصی قرار میدهد.
این اپلیکیشن اعلام کرد از کاربران زمانی که اینستاگرام را باز میکنند خواهد خواست تاریخ تولدشان را تأیید کنند و اگر کاربر تاریخ تولدش را وارد نکند، چندین پیام نمایش داده خواهد شد و در نهایت از کاربران خواسته میشود برای امکان ادامه استفاده از این اپلیکیشن، تاریخ تولدشان را درج کنند. این تغییرات شامل کاربران اینستاگرام میشود که پیش از این تاریخ تولدشان را در این اپلیکیشن وارد نکرده بودند. بر اساس گزارش رویترز، اینستاگرام اعلام کرد از این موضوع مطلع است که بعضی از کاربران ممکن است تاریخ تولد غیرواقعی را وارد کنند و سرگرم طراحی فناوری جدیدی برای رسیدگی به این مسأله است.
ارتقای وضوح تصاویر تا 16 برابر با هوش مصنوعی گوگل
فناوری جدید گوگل در زمینه ارتقای کیفیت تصاویر آنچنان جذاب عمل میکند که میتواند دستاوردی اساسی در حوزه بهینهسازی تصاویر باشد. در این روش از یک مدل یادگیری ماشینی برای تبدیل تصاویر کمکیفیت به تصاویر باکیفیت استفاده میشود و وضوح تصاویر را ۱۶ برابر میکند.به گزارش دیجیتاتو، گوگل در پست جدیدی در وبلاگ واحد هوش مصنوعی خود اطلاعات جذابی را درباره پروژه جدید تیم Brain منتشر کرده که موجب ارتقای کیفیت تصاویر میشود. یادگیری ماشینی در فناوری جدید این تیم که از اعضای آن میتوان به «محمد نوروزی»، دانشمند ایرانی ساکن تورنتو اشاره کرد، در حوزههای مختلفی از بازیابی تصاویر خانوادگی قدیمی تا بهینهسازی تصویربرداریهای پزشکی استفاده خواهد شد.
گوگل از سال ۲۰۱۵ در حال آزمایش مفهومی به نام «مدلهای انتشار» (Diffusion Models) بود ولی تا همین چند وقت پیش در میان سایر روشهای یادگیری ماشینی موسوم به «مدلهای زایای عمیق» به این روش توجهی نمیکرد. این شرکت حالا دریافته است که با کمک مدلهای انتشار میتواند نتیجه عملکردهای فنی خود را تا حد چشمگیری ارتقا بخشد.
تلگرام به کلوب میلیاردیها پیوست
پیام رسان تلگرام به کلوب اپلیکیشنهایی پیوست که بیش از یک میلیارد بار در سراسر جهان دانلود شدهاند.بهگزارش ایسنا، شرکت سنسور تاور به تک کرانچ اعلام کرد تلگرام که در اواخر سال ۲۰۱۳ راهاندازی شد، روز جمعه از مرز یک میلیارد دانلود عبور کرد. مانند واتساپ، بزرگترین بازار تلگرام هند است و ۲۲ درصد سهم از دانلودهای این اپلیکیشن دارد.
طبق اعلام سنسور تاور، پس از هند، کشور روسیه با سهم ۱۰ درصد از دانلودها و اندونزی با 8 درصد در رتبههای دوم و سوم قرار دارند. نصب تلگرام در سال ۲۰۲۱ شتاب بیشتری گرفت و بهحدود ۲۱۴.۷ میلیون نصب جدید در نیمه اول سال ۲۰۲۱ رسید که ۶۱ درصد در مقایسه با ۱۳۳ میلیون نصب در مدت مشابه سال ۲۰۲۰ رشد داشت.
شایان ذکر است که شمار نصب تلگرام با کاربران فعال این اپلیکیشن برابر نیست. تلگرام تا اوایل سال میلادی جاری حدود ۵۰۰ میلیون کاربر فعال در ماه داشته است اما افزایش دانلودهای تلگرام با عملکرد ضعیف واتساپ در خصوص سیاستهای حریم خصوصی مصادف بود و باعث شد در ماههای اخیر سرویس پیام رسان تلگرام توجه بیشتری را به خود جلب کند.بر اساس گزارش تک کرانچ، شرکت تلگرام که در دوبی مستقر است، اوایل سال میلادی جاری بیش از یک میلیارد دلار سرمایه جذب کرد و پانزدهمین اپلیکیشنی در جهان است که بیش از یک میلیارد بار دانلود شده است.