سیستم‌های امنیتی برای مقابله با حملات سایبری در جایگاه مطلوب نیستند/ قانون صیانت از داده‌های شخصی همچنان در هاله ای از ابهام

جلال روحانی کارشناس رشد دیجیتال در گفتگو با خبرنگار «نبض فناوری» در رابطه موضوع حملات سایبری و هک برخی از سایت‌های سازمان‌ها و نهادها، اظهار کرد: این بحث را می‌توان در سه حوزه دسته‌بندی کرد؛ نخست اینکه چگونه می‌توان با دنیا تعامل برقرار کرد تا جلوی قسمتی از این اتفاقاتی که در تمام دنیا می‌افتد، را گرفت. دسته دوم عملیاتی که به صورت هدفمند انجام می‌شود همانطور که برای خیلی از کشورها، سازمان‌ها و شرکت‌ها به صورت هدفمند اتفاق می‌افتد. دسته سوم طراحی سیستم‌ها و سازمان‌ها بر اساس منطق Zero Trust است. سیاست و مفهوم طراحی Zero Trust یا امنیت صفر بدین معنی است که هر چیزی درون یا بیرون سازمان غیرقابل اعتماد است و هر تلاشی برای اتصال و یا استفاده از منابع می‌بایست صحت‌سنجی و ارزیابی شود. به صورت خلاصه در مفهوم امنیتی اعتماد صفر هیچ فرد و یا منبعی به صورت پیش‌فرض قابل اطمینان نیست. با بررسی و برنامه‌ریزی مناسب برای فعالیت‌های جداگانه در هر کدام از این دسته‌بندی‌ها می‌توان ضریب پایداری امنیت را افزایش داد. لازم به ذکر است مفهومی به عنوان امنیت مطلق وجود ندارد.

وی افزود: وضعیت امنیت در دنیا مشخص است، اما ما در ایران با دو محدودیت تحریم و سیاست داخلی مواجه هستیم. محدودیت تحریم باعث شده که سازمان‌ها، شرکت‌ها و متخصصان از بازار امنیت دنیا دور باشند. اگر بعنوان مثال پایگاه اطلاعاتی (Database Engine) در سطح دنیا تحت پوشش و رصد آسیب‌پذیری‌های امنیتی است و تمام سامانه‌های نرم‌افزاری بر اساس رصد‌های امنیتی و کد‌های CVE بروزسانی و امن‌سازی می‌شوند، در ایران به واسطه تحریم مستقیم، بسیاری از سامانه‌های اطلاعاتی تحت پوشش امنیتی مناسب نیستند و کارشناسان مجبور هستند از روش‌های میانبر برای نگهداری سامانه‌ها استفاده کنند. همچنین سیاست داخلی ایران، مبنی بر عدم استفاده از سیستم‌های امنیتی وابسته به دول متخاصم، باعث ایجاد برخی حفره‌های آسیب‌پذیری عمومی در سطح سیستم‌های عمومی می‌شود. به عنوان مثال برخی از بهترین محصولات امنیت شبکه در اختیار آمریکا و اسرائیل است که بر اساس سیاست داخلی کشور از این محصولات استفاده عام نمی‌شود.

روحانی ادامه داد: عدم استفاده از محصولات امنیتی رایج، منجر به گسترش دسته دوم حملات می‎شود. حملاتی که به صورت هدفمند بر ضد کشور، سازمان‌ها و یا اشخاص اتفاق می‌افتند. برای مبارزه با این دسته از حملات به صورت عمده از محصولات امنیت شبکه و امنیت اطلاعات بومی استفاده می‎‌کنیم. در برخی از این محصولات بخصوص سیستم‌های امنیتی سمت کلاینت دارای محصولات قوی و قابل اطمینانی مانند پادویش هستیم. اما در برخی نقاط، مانند امنیت شبکه در گلوگاه‌ها و نقاط حساس دچار ضعف‌هایی هستیم. بر اساس اکوسیستم بین‌المللی بازار امنیت اطلاعات، تقریبا به جز رژیم اشغالگر اسرائیل اکثر محصولات جهانی حاصل سرمایه‌گذاری‌های بلند مدت انسانی و سرمایه‌ی نقدی است که در این خصوص ضعیف هستیم. حتی بسیاری از محصولات در کشور روسیه و یا چین نیز همگام با اکوسیستم جهانی امنیت اطلاعات پیش می‌روند که ضعف‌هایی در این خصوص در کشور وجود دارد.

کارشناس رشد دیجیتال گفت: برای جلوگیری مطلوب حملات دسته دوم با هدف مشخص، روش بهبود پیش‌نیاز‌های امنیتی نیازمند سرمایه‌گذاری قابل‌توجه در سه ضلع نیرو‌های انسانی، بودجه و روش‌هاست. ناآگاهی و کمبود تجربه نیروی انسانی متخصص به صورت عمومی و نیز محدودیت‌های بودجه‌ای طی سال‌های گذشته تاثیر خاصی در این خصوص گذاشته است. در کشور همچنان سیستم‌های زیادی وجود دارد که از لحاظ امنیتی در جایگاه مطلوب نیستند و هنوز مورد بازرسی، بازبینی و نگهداری مناسب قرار نگرفته‌اند.

وی تصریح کرد: دسته سوم و روش مناسب برای جلوگیری از بروز مشکلات امنیتی سیاست و مفهوم امنیت صفر یا Zero Trust است. بر اساس رویکرد Zero Trust، هیچ سیستم، فرد و یا روشی به صورت پیش فرض قابل اعتماد نیست و هر تراکنشی با فرض عدم اعتماد می‌بایست طراحی، توسعه و نگهداری شود. در حال حاضر به جز سامانه‌های امنیتی و دفاعی، سامانه‌های محدودی با رویکرد Zero Trust طراحی و پیاده‌سازی شده‌اند و شاید بسیاری از سیستم‌های خدمات عمومی (دولتی) و یا سازمانی به دلایل مختلف بودجه‌ای، زمان طراحی، تخصص نیروی انسانی و محدودیت ابزار‌ها هنگامی که در بلندمدت وارد پروسه نگهداری می‌شوند از این رویکرد فاصله بسیار زیادی دارند. این موضوع با توجه به فاصله اکوسیستم اطلاعاتی و امنیتی ایران از دنیا در دراز مدت باعث انباشت آسیب‌پذیری‌ها و تشکیل حفره‌های امنیتی و ریسک می‌شود.

روحانی افزود: در دنیا ممکن است شرکت‌های بزرگی مانند سونی و یا خطوط کشتیرانی مرسک و یا شرکت‌های بیمه‌ای بسیار بزرگ و یا سایر شرکت‌ها دچار حملات سایبر و هک شوند و در ایران نیز همین موضوع حتما اتفاق خواهد افتاد. اما تفاوت این اتفاقات در ایران ممکن است افزوده شدن چاشنی حکومتی به موضوع باشند و اصل موضوع امنیت داده با حاشیه رانده شود.

کارشناس رشد دیجیتال گفت: در ایران قانون صیانت از داده‌های شخصی به عنوان یک لایحه معرفی شده است، اما هنوز تصویب نشده است. همچنان در موارد مختلف از کاربران اطلاعات هویتی مانند کارت ملی، شناسنامه و یا سایر اطلاعات شخصی و محرمانه دریافت می‌شود، در حالی که این مدارک شخصی با درجه‎ اهمیت بالایی است و می‌تواند با انواع حملات اطلاعاتی افشا شوند. در این موارد می‎‌توان از سامانه شاهکار و یا انواع سامانه‌های اعتبارسنجی وابسته به بانک مرکزی و یا تامین اجتماعی استفاده کرد و تنها ترکیب شماره ملی و شماره همراه برای احراز اولیه اشخاص کافیست. همچنین سامانه‌های تصدیق متعددی مانند آلفا ریلتی نیز برای تصدیق هویت احراز شده افراد وجود دارد که بدون انباشت داده و ریسک افشا داده، می‌توانند نسبت به ایجاد دسترسی مناسب اقدام کنند.

وی خاطرنشان کرد: خوشبختانه در کشور در حوزه نیروی متخصص کمبود نداریم بلکه شاید بخاطر محدودیت تحریم و سیاست داخلی باشد که استفاده مطلوب از این متخصصان نمی‌شود. خوب یا بد، ناقص یا کامل، ما در ایران سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) را داریم که یکسری شیوه نامه و نظام نامه دارد؛ متاسفانه در بسیاری از موارد بدون توجه به این نظام سیستم‌هایشان را نگهداری و پیاده سازی می‌کنند به خصوص شرکت‌هایی که قدیمی‌تر هستند. هم اکنون در کشور هزاران سیستم اطلاعاتی داریم که هیچ وقت نگهداری و به روز نشدند. چرا تا به حال اتفاقی برای آن‌ها رخ نداده؟ چون هنوز کسی به سراغ آن‌ها نرفته است!