کارشناسان حوزه سایبری در گفت وگو با «ایران» عنوان کردند
موازی کاری ، مانع تأمین امنیت سایبری در کشور
سوسن صادقی
خبرنگار
رئیسجمهور بتازگی در جلسه شورای عالی فضای مجازی خواستار اصلاح و تقویت تا ساختارهای موجود حوزه امنیت سایبری شد. در این جلسه مقرر شد تا سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» بازنگری و کاستیهای موجود در حوزه امنیت سایبری کشور رفع شود. روزنامه ایران نظر دو کارشناس حوزه امنیت سایبری را درباره بازنگری این سند و نحوه تحکیم این ساختار را جویا شده است.
پایان دادن به تداخل وظایف
سیامک رضوانی کارشناس امنیت سایبری معتقد است؛ حملات جدید سایبری به زیرساختهای حیاتی کشور ،رئیسجمهور را بر آن داشت تا دستور پیگیری در زمینه اصلاح و تقویت ساختارهای موجود حوزه امنیت سایبری را بدهند که باید این اقدام را به فال نیک گرفت.رضوانی به «ایران» گفت: حجم حملات سایبری بالاست و با شروع پاندمی کرونا بر این حجم حملات افزوده شده بهطوری که در سال 99 جهان با رشد 300 درصدی حملات سایبری مواجه بوده است؛ از سوی دیگر حملات سایبری اخیر به زیرساختهای حیاتی کشور مانند جایگاههای سوخت صورت گرفته و همین امر ،توجه به بازنگری در زمینه اسناد امنیت سایبری را دوچندان کرده است.
وی افزود: برای مقابله با حوادث سایبری در کشور دستگاههایی بهصورت موازی برای مقابله با حوادث سایبری ورود کردهاند اما در مواقع حساس وجود همین دستگاههای موازی خود باعث مشکلاتی مانند تداخل وظایف شده از این جهت نتیجه درخوری در مقابله با حملات سایبری مشاهده نمیشود.
به گفته رضوانی؛ برای اینکه تداخل وظایف دستگاههای مرتبط با حوزه امنیت سایبری کاسته شود، مرکز ملی فضای مجازی در سال 96 سند راهبردی مقابله با حوادث را تدوین کرد ولی بهنظر میرسد این سند هم نتوانسته مشکلات حوزه امنیت سایبری در کشور را بخصوص در زمان حملات سایبری بدرستی رفع کند.
این کارشناس امنیت سایبری در پاسخ به این سؤال که به نظر شما چه بخشهایی از سند نیاز به بازنگری دارد؟ گفت: بهنظر میرسد این سند بهطور کلی از نظر مفهومی دارای ایرادهایی است و باید این موضوع در سند جدید مورد بازبینی قرار بگیرد.به گفته وی، وجود نهادهای موازی مانند پدافند غیرعامل، افتای ریاست جمهوری، مرکز ماهر وزارت ارتباطات، پلیس فتا و همچنین تفکیک وظایف عمودی این نهادها در سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب شورای عالی فضای مجازی موجب بهبود وضعیت امنیت فضای مجازی در سالهای اخیر نشده، بلکه خود منجر به ایجاد نوعی فضای رقابتی بین نهادهای مسئول و تقسیم پتانسیل آنها شده تا جایی که امکان همکاری و همافزایی در این حوزه را بشدت کاهش داده است. رضوانی افزود: بهعنوان نمونه تقسیمبندی دستگاهها در سه حوزه حیاتی و حساس (افتای ریاست جمهوری)، سازمانی (مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای- ماهر) و عمومی (پلیس فتا) از پنج حوزه کلی موجود دارای ضعفهایی است که باعث کاهش ضمانت اجرایی و اقدام مؤثر در زمان وقوع رخدادهای سایبری میشود که نمونه بارز آن را در حمله اخیر به سامانه سوخت مشاهده کردیم. بهعبارت دیگر در انتخاب دستگاه هماهنگ کننده به نظر میرسد کمی سلیقهای عمل شده است.بهعقیده وی، اگر مخاطرات امنیتی مرتبط با گسترش زیرساختهای دارای فناوری اطلاعات بخصوص در حوزههای حساس و حیاتی نظیر انرژی با استراتژیهای جامع امنیت سایبری ملی و برنامههای تابآوری در تعادل نباشد، دستیابی به رشد اقتصادی و اهداف امنیت ملی با چالشهای فراوانی رو به رو خواهد شد بنابراین بهنظر میرسد مهمترین مسأله در حال حاضر در حوزه امنیت، تدوین استراتژی ملی امنیت سایبری در کشور است.
جای خالی نهاد برتر
کاظم فلاحی دیگر کارشناس امنیت سایبری نیز معتقد است اینکه رئیس جمهور دستور به پیگیری بحث مدیریت امنیت سایبری دادهاند و قرار است در سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» بازنگری صورت بگیرد اقدام خوب و مثبتی است چون قطعاً این سند دارای کاستیهایی است ؛ چرا که به عینه دیدیم حملات سایبری به زیرساخت کشور دفع نشد و بخش سوخت را هدف گرفت.فلاحی با بیان اینکه سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» سند محرمانهای بوده و متن آن منتشر نشده، به «ایران» گفت: نمیتوان درباره این سند نظر شفافی داد اما میتوان گفت که حملات سایبری جدید نشان میدهد که حتماً در این سند نواقصی وجود داشته که نتوانستند با حملات مقابله کنند از اینرو دستور به اصلاح و تقویت و بازنگری دادهاند.وی افزود: این سند برای رفع مشکلاتی که در حوزه مدیریت امنیت سایبری کشور وجود داشت، تدوین شد و بین چند نهاد هم تقسیم وظایف انجام شد بهطوریکه مقرر شده بود امنیت سایبری زیرساختهای حیاتی کشور را افتای ریاست جمهوری، سازمانها و دستگاههای اجرایی را مرکز ماهر و بخش عمومی را پلیس فتا پیگیری کند ولی نبود مدیریت واحد موجب شد این تقسیم وظایف هم راه به جایی نبرد.بهگفته این کارشناس، امنیت سایبری در این روزها بسیار حساستر از قبل شده و این را رئیسجمهور بخوبی و درستی درک کردهاند از اینرو پیگیری و در اولویت قرار دادن مدیریت این حوزه بسیار حیاتی است.فلاحی در پاسخ به این سؤال که بزرگترین مشکل سند چیست، گفت: بهنظرم و با توجه به تجربیاتی که در این مدت در بحث حملات سایبری به کشور شاهد بودیم، بزرگترین مشکل اتکا به هشدارها و نداشتن قابلیت پیگیری است؛ این در حالی است که اگر مشکلات امنیت سایبری زیرساختهای حساس و حیاتی کشور یا دستگاهها ، سازمانها و... با مانور یا هر روش دیگری شناسایی میشود، نباید تنها به هشدارها بسنده کرد و باید تا آخرین لحظه بر پیگیری رفع ایرادهای موجود مبنی بر وجود باگ، بدافزار، باج افزار و... تأکید کنند و تا رفع نشود دست از پیگیری برندارند.بهگفته وی از سوی دیگر هیچ قانون و نهادی نیز وجود ندارد که اگر سازمانی به هشدار توجه نکرد و اقدامهای لازم را انجام نداد آن سازمان را پاسخگو کند.
به باور این کارشناس نیز بحث امنیت سایبری موضوعی ملی و فراقوهای است بنابراین باید از موازی کاری جلوگیری کرده و تمام دستگاهها را پاسخگو کنند، چرا که وجود نهادهای موازی در حوزه امنیت سایبری باعث شده دستگاهها پاسخگو نباشند.
به اعتقاد فلاحی، وجود متولیان متعدد در امنیت سایبری باعث کم اهمیت جلوه دادن این حوزه شده است. از سوی دیگر اگر به دستگاه یا سازمانی حمله سایبری صورت گرفت متولی امنیتی هر بخش هم تا جایی میتواند پیگیری کند و از یک جایی به بعد دیگر هیچ کدام از نهادهای درگیر در امنیت سایبری قدرتی ندارند و نمیتوانند دستگاهها را پاسخگو کنند.به باور وی، جای خالی یک نهاد برتری که بتواند این ضعف را رفع کند، احساس میشود و امید میرود در بازنگری سند «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» به این موضوع توجه ویژهای شود.
دستورالعمل مرکز «ماهر» برای ارتقای امنیت سازمان ها
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) دستورالعمل اقدامات پایه جهت ارتقای امنیت و پیشگیری از نشت اطلاعات سازمانها و کسب و کارها را منتشر کرد.
بهگزارش «ایران»، در این دستورالعمل آمده است : وقوع رخدادهای متعدد نشت اطلاعات از پایگاههای داده شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی عمدتاً متأثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است. لذا بهمنظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها اکیداً توصیه میشود تا حد امکان دسترسی مستقیم به پایگاههای داده ازطریق اینترنت برقرار نشود. یکی از مواردی که باعث این اشتباه بزرگ میشود پشتیبانی شرکتهای ارائه دهنده راهکارهای نرمافزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را ملزم به دسترسی مستقیم راه دور از بستر اینترنت به بانکهای اطلاعاتی میکنند. در صورت اجبار شرکتها و سازمانها به این مسأله، این دسترسی حتماً باید روی یک بستر امن و با استفاده از VPN ایجاد شود. دقت در راهاندازی پایگاههای داده بویژه انواع پایگاههای داده NoSQL و اطمینان از نبود دسترسی حفاظت نشده نیز اهمیت زیادی دارد.لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاههای دادهای است که به طور موقت و جهت انجام فعالیتهای موردی و کوتاه مدت راهاندازی شده است.
لازم است اهمیت و حساسیت این نوع پایگاههای داده، همتراز پایگاههای اصلی در نظر گرفته شود. بررسی و غیرفعالسازی قابلیت Directory Listing غیرضروری در سرویس دهندههای وب برای جلوگیری از دسترسی به فایلها نیز ضرورت دارد. در وضعیت دسترسی به دایرکتوریهای محل بارگذاری دادهها و اسناد توسط کاربران وبسایت نظیر دایرکتوریهای uploads و temp و … نیز باید دقت شود.
علاوه بر لزوم کنترل دسترسیها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.همچنین باید از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و … اطمینان حاصل شود. این دسترسیها لازم است از طریق سرویس VPN اختصاصی یا براساس آدرس IP مبدأ مجاز محدود شوند.
همچنین باید از نگهداری هرگونه نسخه پشتیبان از سیستمها روی سرور وب خودداری شود. جهت اطمینان از نبود دسترس به سرویسها و سامانهها بهصورت ناخواسته، نسبت به اسکن ساده سرویسهای فعال روی بلوکهای IP سازمان خود بهصورت مداوم اقدام کرده و سرویسهای مشاهده شده غیرضروری را از دسترسی خارج کنید. مرکز ماهر تأکید کرد: این موارد به هیچ عنوان جایگزین فرایندهای کامل امنسازی و ارزیابی امنیتی نبوده و صرفاً برطرف کننده شماری از ضعفهای جدی هستند.
معاونوزیر ارتباطات :
ارائهدهندگان اینترنت بیکیفیت معرفی میشوند
معاون وزیر ارتباطات و فناوری اطلاعات با بیان اینکه ارتقای کیفیت اینترنت و افزایش رضایت کاربران از اولویتهای وزارت ارتباطات است، گفت: اپراتورهایی که کمترین و بیشترین میزان پیشرفت در رفع مشکلات را داشته باشند، به مردم معرفی میشوند.
بهگزارش«ایران»، صادق عباسی شاهکوه رئیس سازمان تنظیم مقررات و ارتباطات رادیویی(رگولاتوری) در جلسه کمیته ویژه بررسی کیفیت اینترنت که با حضور مدیران عامل اپراتورهای ثابت و سیار و شرکت ارتباطات زیرساخت و مدیران رگولاتوری برگزار شد، با بیان اینکه ارائه اینترنت باکیفیت نیازمند همکاری است، گفت: هر کدام از فعالان زنجیره تأمین اینترنت شامل شرکت ارتباطات زیرساخت، شرکت مخابرات ایران، اپراتورهای ثابت و سیار مشکل یا کاستی داشته باشند، بر تجربه مشترکان اینترنت از کیفیت سرویس دریافتی، مؤثر خواهند بود.
وی افزود: جلسات کمیته ویژه پایش و بررسی کیفیت اینترنت با هدف بررسی دقیق وضعیت موجود و احصای مشکلات و ارائه برنامه زمانبندی برای رفع آنها از سوی اپراتورها بهصورت مستمر در رگولاتوری برگزار میشود.