پیشنهادهایی برای ارتقای امنیت سایبری در 1403

وب‌گاه دنیای اقتصاد 1402/12/27 - 00:00 مشاهده در مرجع

شاید بتوانیم سال 1402 را سال حملات سایبری بدانیم؛ سالی که بسیاری از سازمان‌های دولتی و خصوصی از حمله هکرها در امان نبودند و اطلاعات مردم حراج شد. مسوولان ذی‌ربط در این زمینه نه‌تنها پاسخگو نبودند، بلکه بعضی هک‌ها را هم تکذیب کردند. رئیس سازمان فناوری اطلاعات اخیرا ضمن تشریح اقدامات این سازمان برای ارتقای امنیت سایبری، مرکز ماهر را به سازمان‌های دولتی برای دریافت سرویس‌های امنیت سایبری...

جولان هکرها در سایه بی‌عملی

در سالی که روزهای پایانی خود را سپری می‌کند، هر چند وقت یکبار، نام یک نهاد دولتی یا خصوصی به فهرست قربانیان حملات سایبری اضافه شد. اپلیکیشن به‌نما، اپلیکیشن هف‌هشتاد، 18 شرکت بیمه، تپسی، سازمان ثبت احوال، وزارت علوم، اسنپ‌فود و سامانه مدیریت پرونده‌های قوه‌قضائیه از جمله سازمان‌هایی هستند که در این یک سال هک شدند و اطلاعات کاربران آن در اینترنت منتشر شد.

واکنش مسوولان مربوطه به هر یک از این هک‌ها و نقض حریم خصوصی مردم در تکذیب، انکار یا انتشار بیانیه خلاصه شد. این در حالی است که کارشناس‌های حقوقی از لزوم ورود دادستانی به حملات سایبری متعدد و مکرر می‌گفتند. در این زمینه، محمدجواد نعناکار، حقوقدان در گفت‌وگویی مطرح کرده بود که زمانی که ابعاد هک، گسترده است و میلیون‌ها فقره اطلاعات منتشر شده باشد، باید مدعی‌العموم یعنی دادستانی به این قضیه ورود و در صورت خسارت، مطالبه جبران خسارت کند.

البته پس از هک اسنپ‌فود در دی‌ماه، وزیر ارتباطات از ارسال لایحه حفاظت از داده به کمیسیون حقوقی و قضایی دولت خبر داد؛ تا اینکه سرانجام پس از سال‌ها مسکوت ماندن وضعیت این لایحه، مرکز ملی فضای مجازی دستورالعمل جدید حفاظت از داده‌های مردم در سکوها و سامانه‌ها را ابلاغ کرد. طبق این دستورالعمل، کلیه ارائه‌دهندگان خدمات در بستر فضای مجازی باید پس از دو ماه از ابلاغیه، داده‌های خود را رمزنگاری کنند. اکنون و با اتمام این مهلت، نه مرکز ملی فضای مجازی و نه کسب‌وکارها، اطلاعاتی از سرنوشت اجرای این دستورالعمل منتشر نکرده‌اند.

اما حالا که سال 1402 روزهای پایانی خود را سپری می‌کند، تاکنون هیچ نهاد و مسوول دولتی و خصوصی درباره تعیین تکلیف هک‌های امسال به‌خصوص هک شرکت‌های بیمه، سازمان ثبت‌احوال و قوه‌قضائیه که اطلاعات شخصی مردم در بستر اینترنت منتشر شد و حریم خصوصی آنها را نقض کرد، توضیحاتی منتشر نکردند. از سوی دیگر، این سازمان‌ها گزارشی از اقدامات و برنامه‌های خود برای ارتقای امنیت اطلاعات و اطمینان خاطر به کاربران از تکرار نشدن آن حملات نیز ارائه نکردند.

البته در هفته‌های اخیر محمد خوانساری، رئیس سازمان فناوری اطلاعات، برنامه‌های این سازمان را برای ارتقای امنیت فضای مجازی در کشور اعلام و تاکید کرد که سازمان‌ها و مراکز دولتی می‌توانند سرویس‌های امنیت سایبری را از مرکز ماهر دریافت کنند. او در بخش دیگری از صحبت‌های خود فعالیت مراکز آپا در بیش از 40 دانشگاه برای امنیت فضای مجازی را از جمله برنامه‌های این سازمان برای ارتقای امنیت سایبری نام برد و گفت: «امنیت مدیریت شده یا خدمات امنیت مدیریت شده برنامه دیگر سازمان است؛ به این معنی که یک مجموعه سازمان اداری و سازمان دولتی می‌تواند تامین امنیتش را با هماهنگی مراکز ماهر که در حال حاضر شکل گرفته به شکل خدمت خریداری و استفاده کند.»

لزوم تنوع مراکز امنیتی

اما ارتقای امنیت سایبری سازمان‌های دولتی از طریق خدمات مرکز ماهر با انتقاد کارشناس‌های این حوزه مواجه شد و آنها این مرکز را گزینه مناسبی ندانستند. به اعتقاد سعید سوزنگر، کارشناس امنیت سایبری، مرکز ماهر امکانات مورد نیاز برای امنیت سایبری را در اختیار ندارد. او با بیان این مطلب به «دنیای اقتصاد» می‌گوید: «مرکز ماهر نمی‌تواند در مقابل اهداف هکرها به‌خوبی عمل کند و اقدامی هم‌زمان با رخداد داشته باشد. بنابراین بهتر است فقط در ارائه گزارش‌های تحلیلی و اطلاع‌رسانی در حوزه امنیت سایبری عمل کند.»

پیش از این، شورای عالی فضای مجازی مشخصات پایگاه‌های حیاتی اطلاعاتی را منتشر کرده بود که به اعتقاد کارشناس‌ها از آن زمان به بعد شاهد هک‌های دقیقی در کشور هستیم. حالا هم برخی می‌گویند که نباید اطلاعات و اسمی از مراکز امنیت سایبری منتشر شود؛ زیرا هکرها آن را مورد هدف قرار می‌دهند و نقاط ضعف آن را شناسایی می‌کنند. شاهین نورصالحی در گفت‌وگو با «دنیای اقتصاد» با اشاره به این موضوع می‌گوید که هر نوع هویت دادن به این‌گونه مراکز، به‌طور کلی اشتباه است و به شکل ضد امنیت سایبری عمل خواهد کرد. به اعتقاد این کارشناس، زمانی که اطلاعات و اسمی از منبع امنیت اطلاعات منتشر می‌شود، هکرها از سطح آمادگی، نقاط ضعف و اقدامات شما مطلع می‌شوند. به عبارت دیگر، شما با این کار به هکر آدرس می‌دهید که از کجا به شما حمله کند. به گفته حمیدرضا ولی‌زاده، یک کارشناس حوزه امنیت سایبری نیز با هویت‌بخشی به مرکز ماهر و سایر مراکز، این مراکز مورد حملات سایبری قرار می‌گیرند.

تعدد و تنوع در مراکز ارائه‌دهنده سرویس و خدمت در حوزه امنیت سایبری یکی از ملزومات ارتقای آن است. نورصالحی با بیان این مطلب می‌گوید: «هر چقدر از تعداد و لایه‌های متنوع و متعدد برای امنیت سایبری استفاده شود، به همان میزان امنیت سایبری نیز تقویت خواهد شد. بنابراین باید به‌صورت پیش‌فرض چند مرکز برای امنیت سایبری فعالیت کنند تا دست سازمان‌های برای ارتقای امنیت اطلاعات باز باشد.» او در ادامه صحبت‌های خود با اشاره به مرکز ماهر بیان می‌کند: «اگر مرکز ماهر تنها مرکز ارائه‌دهنده سرویس‌های امنیت سایبری باشد، در صورتی که کوچک‌ترین موضوع از دید این مرکز نادیده بماند، هکرها می‌توانند به تمام زیرساخت‌های امنیت سایبری و کسب‌وکارهای مجازی کشور دسترسی پیدا کنند.»

گره کور فیلترینگ

حالا وضعیت امنیت سایبری به گونه‌ای است که با فهرستی طولانی از هک‌های بلاتکلیف وارد سال جدید می‌شویم و به همین خاطر کارشناس‌ها پیشنهادهایی برای ارتقای امنیت سایبری در سال 1403 ارائه می‌دهند. نورصالحی در این زمینه معتقد است که سازمان‌های دولتی و خصوصی باید فراتر از استانداردهای امنیتی عمل کنند. او در این خصوص توضیح می‌دهد: «زمانی که بتوان نقاط کوری برای هکرها تعریف کرد و سرویس‌های امنیت سایبری خود را از چند منبع و مرکز گرفت، وقت هکر گرفته می‌شود و این‌گونه هکر دست از سر سازمان شما برمی‌دارد.»

از سوی دیگر، جدیدترین آمار رخدادها و آسیب‌پذیری‌های کشور در یک ماه گذشته بیانگر صدرنشینی بدافزارها با 145 مورد است. حمیدرضا ولی‌زاده، کارشناس امنیت سایبری در گفت‌وگو با «دنیای اقتصاد» درباره اهمیت آموزش در امنیت سایبری توضیح می‌دهد: «آموزش در امنیت سایبری از این جهت اهمیت دارد که یک کارمند ناآگاه می‌تواند با یک فلش آلوده، بدافزارها را وارد سیستم‌های سازمان کند و در پی آن داده‌ها در اختیار سوءاستفاده‌گران قرار بگیرد. همچنین تقویت سخت‌افزاری و نرم‌افزاری سازمان‌ها در امنیت سایبری مهم است و تحریم‌ها ممکن است تامین این تجهیزات را مشکل کند.»

او در بخش دیگری از صحبت‌های خود با بیان اینکه عدم هماهنگی زیرساخت کشور با پیشرفت‌های تکنولوژیک و فضای مجازی، هک‌های امسال را رقم زد، به «دنیای اقتصاد» می‌گوید: «گسترش فرهنگ و آموزش استفاده از فضای مجازی در سازمان‌ها و شرکت‌های خصوصی و دولتی باید یکی از اولویت‌های ارتقای امنیت سایبری در سال جدید باشد.» پیشنهاد ولی‌زاده برای ارتقای امنیت سایبری، استفاده از ابزارهای رمزنگاری داده است. او درباره مزایای این ابزارها می‌گوید: «با رمزنگاری داده‌های حساس و مهم یک سازمان، در صورت دسترسی فرد دیگری به این اطلاعات، آنها دیگر قابل استفاده نیستند. بنابراین در کنار نصب آنتی‌ویروس، فایروال و تدوین دستورالعمل، می‌توان با رمزنگاری داده‌ها، امنیت اطلاعات را تا صد درصد افزایش داد.» فارغ از این‌ها، با فیلترینگ گسترده اینترنت در دو سال اخیر و افزایش محدودیت‌های فضای مجازی، اکثر پروتکل‌های ایمن‌سازی مخدوش شده‌اند و به اعتقاد کارشناس‌ها تا زمانی که فیلترینگ و استفاده از فیلترشکن همچنان پابرجا باشد، ایران برای هکرها هدف آسانی برای حمله سایبری خواهد بود. بنابراین در شرایطی که توصیه‌هایی برای ارتقای امنیت سایبری از طریق تدوین دستورالعمل، رمزنگاری داده و گسترش آموزش داده می‌شود؛ اما گره اصلی امنیت سایبری در سال جدید مانند سالی که گذشت، در همان ترکش‌های فیلترینگ بر اطلاعات و داده‌ها خواهد بود.

--> اخبار مرتبط