کارشناسان امنیت سایبری در گفت و گو با «ایران» :
مسئولان در زمینه حملات سایبری باید پاسخگو باشند
سوسن صادقی
خبرنگار
چندی پیش خبر حمله سایبری به برخی دستگاههای دولتی، خبرساز شد. اما به راستی ریشه این دسته از مشکلات کجاست و چه اقدامهایی در دستگاههای دولتی باید صورت بگیرد تا شاهد بهحداقل رسیدن این دسته از حملات سایبری باشیم. کارشناسان امنیت سایبری در این زمینه به «ایران» میگویند.
ضعف عملکرد در سه بخش
علیرضا جباریان، کارشناس امنیت سایبری اعتقاد دارد متأسفانه دستگاههای دولتی در سه حوزه اصلی امنیت سایبری که شامل پیشگیری، اقدام و پیگیری است، ضعیف عمل کردهاند.جباریان گفت: در حوزه پیشگیری نهادهای خوبی مانند مراکز آپا و ماهر در کشور داریم ولی به نظر میرسد بهدلیل مشتریان زیادی که این مراکز دارند ارائه خدمات تخصصی هم در این مراکز دچار مشکل شده، مهمتر اینکه سازمانها برای حوزه پیشگیری هزینه نمیکنند و توجه به این بخش در سازمانها جذاب نیست و بیشتر آن را اتلاف منابع مالی میدانند.
وی افزود: در حوزه اقدام هم در حوزه ساختاری و فنی آن مشکل وجود دارد. گرچه در سالهای اخیر تعداد نیروهای انسانی و استفاده از تکنولوژیها افزایش یافته ولی کمبود نیروی متخصص در حوزههای کاملاً تخصصی مانند Incident Response بسیار کم و محدود است و این محدودیتها موجب میشود که در حین رخداد هک و... با دستپاچگی و عدم مدیریت مناسب بحران روبهرو شویم.این کارشناس امنیت سایبری به حوزه پیگیری رخداد هم اشاره کرد و گفت: مهمترین دلایل ضعف در این حوزه هم مربوط به نبود متخصصان کافی در این حوزه و نیز نبود امکان گسترش ارتباطات بین مراکز داخلی با سازمانهای بینالمللی است. در بسیاری از موارد رخداد از یک منبع خارج از سرزمین اصلی اتفاق میافتد که پیگیری چنین رخدادهایی نیازمند ارتباطات بینالمللی است.وی پاسخگو نبودن مدیران ارشد دستگاهها و سازمانهای دولتی را از دیگر مشکلات رخدادهای امنیت سایبری عنوان کرد و افزود: در بسیاری از سازمانها بهجای اینکه مدیران ارشد پاسخگو باشند، برخی از مدیران ردههای میانی و پایینتر مجبور به پاسخگویی و در برخی موارد استعفا میشوند، در حالی که فضای رخدادهای امنیتی و ریسکهای این حوزه مربوط به بالاترین مقام سازمانی مسئول است.
جباریان یکی دیگر از دلایل وجود مشکلات امنیت سایبری را کاربرد پذیری پایین برخی از دستورالعملهای سازمانهای ناظر عنوان کرد و گفت: صدور دستورالعملهایی که منطبق با شرایط سازمانها نباشد، منجر به اجرا نشدن آن دستورالعملها در سازمان میشود.
وی با بیان اینکه مرکز ماهر (در حوزه پیشگیری)، مرکز افتا (در حوزههای پیشگیری و اقدام) و مرکز افتا (در حوزه پیشگیری و پیگیری) انجام وظیفه میکنند، افزود: ولی اگر یک مرکز بالا دستی واحد ایجاد شود بهتر است تا شاید بتوانند در این حوزه مفیدتر واقع شوند.
این کارشناس امنیت سایبری معتقد است برای کاهش حملات سایبری دستگاههای دولتی باید اقدامهای سریع در حوزه پیشگیری، یکسانسازی حداکثری تکنولوژیهای مورد استفاده در دستگاهها و شناسایی هرچه سریعتر نقاط آسیب پذیر و آنالیز ریسک کاربردی، اقدام برای کاهش ریسک به هر میزان ممکن با امکانات موجود را در اولویت کاری خود قرار دهند.
ریشهیابی و رفع مشکل با تصویب قانون
کاظم فلاحی دیگر کارشناس امنیت سایبری نیز اعتقاد دارد دستوری بودن دستورالعملها برای رعایت اصول امنیتی در دستگاههای دولتی کارساز نیست بنابراین نباید تنها به رعایت دستورالعملها اکتفا کرد.
فلاحی با بیان اینکه باید برای رعایت نشدن دستورالعملهای امنیت سایبری جریمههای سنگین تعیین کرده و مسئولان ارشد امنیتی سازمانها را به پاسخگو بودن ملزم کرد، گفت: بهنظرم مرکز شاپرک بانک مرکزی در پاسخگو بودن شرکت های ارائه دهنده درگاه، خوب عمل و به آنها تأکید کرده است اگر شرکتی اطلاعاتش از نظر امنیت سایبری لو برود و هک بشود باید مدیر مربوطه پاسخگو بوده و جریمه میشوند، همین موضوع باعث شده در این حوزه کمترین رخدادها را شاهد باشیم.
این کارشناس امنیت سایبری معتقد است مراکز امنیت سایبری مانند افتا، ماهر و فتا وظایف خود را انجام میدهند و در زمینه پیشگیری، پیگیری و اقدام فعالیت میکنند ولی دستگاهها به آنچه آنها میگویند اهمیتی نمیدهند و پاسخگو نیستند. مهم این است که دستگاههای اجرایی را در اجرای دستورالعملها الزام کرده و در صورت روی دادن هر اتفاقی جریمه و پاسخگو کرد.
فلاحی مشکل اصلی در پاسخگو نبودن مدیران ارشد سازمان و دستگاههای دولتی و نبود جریمههای سنگین برای این دستگاهها را متوجه مجلس و سیاستگذاران میداند.
وی گفت: چرا تاکنون مجلس برای لو رفتن اطلاعات کاربران و حفاظت قانونی از اطلاعات کاربران و... اقدام قانونی نکرده، چرا قانون سفت و سختی را تصویب و اجرایی نکرده، چرا سیاستگذاران هنوز برای این مشکل که بارها تکرار شده و میشود هیچ راهکار قانونی ارائه ندادهاند. مشکل را باید ریشهیابی و قانونی حل کرد در غیر این صورت این اتفاقها کماکان ادامه مییابد.این کارشناس امنیت سایبری افزود: اگر قانون بود و دستگاهها را ملزم به پاسخگو بودن میکرد، وزارت راه و شهرسازی چندسال قبل که دچار هک و اختلال هکری شد اصول امنیتی را جدی میگرفت، امروز شاهد این رخداد نبودیم که با وجود مستندات آن را تکذیب کند.به اعتقاد فلاحی، باید پیگیری و پاسخگو کردن مسئولان در زمینه حملات سایبری به مطالبه عمومی مردمی تبدیل و بررسی شود. چرا هک صورت گرفته و نتیجه بررسی را منتشر نمیکنند تا مشخص شود که هکر تا کجا پیش رفته و برای پیشگیری اقدامهای قانونی را اعمال کنند تا مسئولان دستگاهها از کنار این رخدادهای مهم بیتفاوت نگذرند.
این کارشناس در ادامه گفت: متأسفانه افرادی که در بخش امنیت اطلاعات در دستگاههای دولتی فعالیت میکنند دارای دانش کافی نیستند و تنها با رانت بر سرکار آمدهاند بههمین دلیل تا در این بخشها دگرگونی رخ ندهد، شاهد تغییراتی نخواهیم بود.
بهکارگیری کارشناسان متخصص و دلسوز
مرتضی نکویی، دیگر کارشناس افتا نیز معتقد است که وجود مدیران ارشد و معاونتهای امنیت فناوری اطلاعات دستگاههای دولتی و اجرایی مشکل اصلی هستند، چرا که آنها صلاحیت تصمیمگیری در این حوزه را ندارند به همین دلیل متأسفانه هرچند وقت یکبار زیرساختهای آنها مورد حمله سایبری قرار میگیرد.نکویی گفت: باید رویکرد حاکمیت و دولتها در زمینه انتخاب مدیران ارشد بخشهای امنیت اطلاعات دستگاهها تغییر کند در غیر این صورت با وجود افراد مسن با دیدگاه سنتی و رفتار سلیقهای و رفع مسئولیت این فرایند ادامه دار خواهد بود.
وی افزود: انتخاب و فیلتر افراد و کارشناسانی که در دستگاههای دولتی در بخش امنیت سایبری فعالیت میکنند هم دارای اهمیت بالایی است اما معمولاً افرادی که در این بخشها کار میکنند به واسطه رابطه و رانت به این بخشها راه یافتهاند و در عین حال دانش کافی هم در این حوزهها ندارند.
نکویی با بیان اینکه مراکزی مانند افتا، ماهر، فتا و... همگی به شکلی در حال انجام وظایف خود هستند، گفت: ولی معضل بزرگ در نبود دلسوزی در دستگاهها برای کشور است، افراد مرتبط با بحثهای امنیتی در شهرستانها سرکار نیستند و فرایندهای دیکته شده هم پاسخگو نیست بنابراین اگر به فکر نجات کشور در حملات سایبری هستند باید افراد متخصص دانشگاهی و غیردانشگاهی توانمند در بحث امنیت سایبری را بکار بگیرند تا هم بدانند و دانش لازم را داشته باشند و هم از کارشناسان متخصص استفاده کنند.
وی افزود: شرکتهایی هم که در حوزه امنیت سایبری فعالیت میکنند به خوبی فیلترهایی که باید رعایت شود را رعایت نمیکنند و از آنجایی که خود در زمینه اخذ گواهی فعالیت داشتم به چشم خود این موارد را از نزدیک مشاهده کردم و شرکتها محصولاتی را تأیید و گواهی صادر کردند که دارای شرایط فنی نبودند.بهگفته این کارشناس امنیت سایبری، افرادی هم که در سازمانها مشغول به فعالیت هستند توانمندی فنی ندارند و با روابط دوستانه بین پیمانکار و مسئول فاوای وزارتخانه و ایجاد لابی، سخت افزارها و نرم افزارهایی منتشر میکنند که فقط باعث پرشدن جیب شرکتها میشود و خدمات مناسب و راه حلهای متعارف و درست داده نمیشود.
وی افزود: حتی به چشم دیدهام محصولات امنیتی ای که در دستگاههای کشور استفاده میشود، آسیب پذیریهای آن با وجود ارزیابیها رفع نشده و وارد دستگاهها شده و استفاده از آنها به طور حتم دارای ناامنی امنیتی سایبری است.
وزیر ارتباطات:
طراحان طرح صیانت از کاربران فضای مجازی به اهداف مدنظر نمیرسند
وزیر ارتباطات و فناوری اطلاعات گفت: ضرر پیشنویس طرح صیانت از کاربران فضای مجازی که روی میز است، بسیار زیاد است و طراحان آن به اهداف مدنظر نمیرسند. امیدوارم آنچه تصویب میشود به سود ملت باشد.
به گزارش ایرنا محمد جواد آذری جهرمی درباره فعالیتهای این وزارتخانه گفت: برای ما همین بس بود که توفیق داشتیم در شرایطی که کرونا دنیا را تحت تأثیر خود قرار داده و مشکلات زیادی ایجاد کرده بود، فضای مجازی، کورسوی امیدی برای فعالیتهای ۱۴ میلیون معلم و دانشآموز و ۴ میلیون استاد و دانشجو، بسیاری از کسب و کارها، مدافعان سلامت و مبلغان دینی فراهم آورد تا خلأهای ناشی از فراگیری کرونا را در کشور پر کند.وی افزود: با وجود همه ایرادهایی که میگیرند، این زیرساخت ارتباطی فراهم شد؛ البته ایرادات را روی چشم می گذاریم و امیدواریم مسائل حل شود اما نمیتوان از تحولات بزرگ و اتفاقاتی که در زمینه ارتباطات و فضای مجازی روی داده و خدماتی که برای مردم فراهم کرد، چشمپوشی کرد.وزیر ارتباطات و فناوری اطلاعات در پاسخ به سؤالی درباره طرح صیانت از کاربران فضای مجازی گفت: من نظراتم را درباره این طرح بهطور کاملاً شفاف در فضای مجازی نوشتم و نظر وزارتخانه را منعکس کردم. ضرر این پیشنویسی که روی میز است، بسیار زیاد است و طراحان آن به اهداف مدنظر نخواهند رسید. امیدوارم آنچه درنهایت تصویب میشود به سود ملت باشد.
صورتحساب تلفن ثابت یک ماهه شد
به گفته مدیرکل ارتباطات و امور بینالملل شرکت مخابرات ایران، صورتحساب تلفن ثابت یک ماهه شده است و اگر قبض پایان یک دوره بیش از ۲۰ هزار تومان باشد و پرداخت نشود، تلفن بهصورت یکطرفه قطع میشود.
بهگزارش ایسنا، محمدرضا بیدخام اظهار کرد: با توجه به اینکه صورتحساب تلفن ثابت در دورههای یک ماهه صادر میشود، ضروری است برای جلوگیری از یکطرفه شدن خطوط تلفن، مبالغ صورتحساب بهصورت ماهانه و در مهلت زمانی تعیینشده از طریق سامانه تلفنی ۲۰۰۰ و یا سایت شرکت مخابرات ایران و یا همچنین از طریق تلفن همراه با کد دستوری ستاره ۲۰۲۰ مربع پرداخت شود.
وی خاطرنشان کرد: چنانچه قبض پایان یک دوره بیش از ۲۰ هزار تومان باشد و یا اینکه در دو دوره متوالی مبلغ صورتحساب کمتر از ۲۰ هزار تومان باشد و ما شاهد پرداخت نکردن صورتحساب در این دو شرایط باشیم تلفن بهصورت یکطرفه قطع میشود.
تحقیق اتحادیه اروپا از فیسبوک بهعلت خرید انحصارطلبانه
فیسبوک قصد دارد یک شرکت فعال را در زمینه خدمات ارتباط با مشتریان به نام کاستومر خریداری کند، اما رگولاتورهای اتحادیه اروپا معتقدند این خرید به رقبای فیسبوک آسیب میزند.
به گزارش فارس فیسبوک امیدوار است با خرید این استارتاپ امریکایی بتواند قدرت بیشتری در دنیای مجازی کسب کند،در مقابل رگولاتورهای اتحادیه اروپا بیم دارند که تصاحب کاستومر توسط فیسبوک هم رقبای این شرکت را تضعیف کند و هم قدرت فیسبوک را در بازار تبلیغات آنلاین بیشتر کند. قرار است تحقیقات دامنهداری توسط اتحادیه اروپا در این زمینه انجام شود. پیش از این گمانهزنیهایی در این زمینه شده بود و حالا خبر تحقیقات یادشده قطعی شده است.بسیاری از غولهای فناوری امریکایی با خرید استارتاپهای خلاق قدرت بیشتری در بازار خدمات آنلاین کسب میکنند و بدین شیوه رقبای خود را تضعیف میکنند. کمیسیون اروپا وابسته به اتحادیه اروپا معتقد است این خرید جلوی رقابت بسیاری از شرکتهای اینترنتی با فیسبوک را میگیرد.
شرکت کاستومر یک نرمافزار پیشرفته ارتباط با مشتری به فروش میرساند که ارتباط با مشتریان را از طریق گوشی، ایمیل، پیامک، واتس اپ، اینستاگرام و غیره ممکن میکند.