چه طور اینترنت را در وضعیت بحرانی امن نماییم
به گزارش الف دانلود، یک استاد دانشگاه اظهار داشت: ما بالاتر از هر زمان دیگری نیازمند استقرار سازوکارهای ممیزی دقیق و مداوم برای پیشرفت امنیت سایبری هستیم همین طور باید یک متولی واحد برای این منظور در کشور وجود داشته باشد.
محمد مهدی اثنی عشری استاد دانشگاه و عضو هیات علمی دانشکده کامپیوتر دانشگاه خواجه نصیر الدین طوسی در گفتگو با خبرنگار مهر با اشاره به ضرورت بازبینی در شیوه نگارش و ساختار دستورالعمل های صادره از مراجع بالادستی در عرصه امنیت سایبری اضافه کرد: باید اینگونه بخش نامه ها بطورکامل دقیق، سنجیده و مبتنی بر امکان اجرائی بودن تدوین شوند. روشن است که در وضعیت بحرانی یا اضطراری، اِعمال محدودیت های شدید امری قابل قبول و حتی ضرورت دارد. به عنوان مثال، اگر کشور یا سازمانی به مدت ۱۰ تا ۱۲ روز درگیر بحران خاصی شود، بطور قطع اتخاذ تمهیدات سخت گیرانه در آن بازه زمانی منطقی و موجه خواهد بود. اما این که نگاه بسته و محدودکننده بصورت دائمی و فراگیر تحمیل شود، نه فقط قابل اجرا نیست بلکه اثربخشی لازم را نیز نخواهد داشت.
امنیت سایبری بدون نظارت مداوم و نظام مند تحقق نخواهد یافت
این استاد دانشگاه بر ضرورت ایجاد نظام های نظارتی فعال و ارزیابانه تاکید کرد و اظهار داشت: ما بالاتر از هر زمان دیگری نیازمند استقرار سازوکارهای ممیزی دقیق و مداوم هستیم. ممکنست مدیری در عرصه فناوری اطلاعات با دقت و مسئولیت پذیری بالا عمل و تمام الزامات را رعایت کند اما در نقطه ای دیگر از همان سیستم، فردی با این ذهنیت که "چیزی نمی شود" از اجرای برخی بندها سر باز زند. بدون نظارت مؤثر و یکپارچه، این چرخه ناقص خواهد ماند و نتیجه ای حاصل نخواهد شد. ایشان سپس به یکی از تجربه های اخیر در بررسی امنیت سیستم های دانشگاهی اشاره نمود و توضیح داد: در ماه های فروردین و اردیبهشت، پایش هایی بر وب سایت های دانشگاه ها صورت گرفت، اما این اقدامات بسیار محدود و اغلب بصورت خودکار و سامانه محور انجام شده است. در صورتیکه انتظار می رود اینگونه بررسی ها بصورت میدانی، حضوری و با عمق کارشناسی بیشتر صورت گیرد. اثنی عشری تاکید کرد: امنیت سایبری، بدون نظارت مداوم و نظام مند تحقق نخواهد یافت. اگر واقعا برای امنیت دیجیتال ارزش قائل هستیم، باید به سوی استقرار آدیتینگ (ممیزی) ۳۶۰ درجه حرکت کنیم؛ نه فقط بررسی های موردی، بلکه یک چرخه کامل شامل تدوین الزامات، نظارت بر اجرا، آزمون نفوذ، بازخوردگیری و اصلاح مستمر.
ضرورت استقرار نظام منسجم و مستمر برای پیش گیری از رخدادهای امنیتی
وی با اشاره به وضعیت منابع انسانی در عرصه امنیت فناوری اطلاعات اشاره کرد: در خیلی از سازمان ها، بااینکه نیروهای فعال در عرصه فناوری اطلاعات حضور دارند، اما الزاماً تخصص امنیت سایبری ندارند. استخدام، نگهداشت و پیشرفت این دسته از متخصصان نیز در وضعیت فعلی، چالش هایی دارد. با این وجود، از نظر حاکمیتی باید نهادهایی وجود داشته باشند که بطور جدی و مسئولانه این ماموریت را پیگیری کنند. مراکزی نظیر مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) تا حدی دراین خصوص فعال اند، اما هم اکنون پروسه جامع، فراگیر و اطمینان بخشی که بتواند خیال سازمان ها را از نظر امنیت دیجیتال آسوده سازد، هنوز بصورت مؤثر وجود ندارد. اثنی عشری در ادامه سخنان خود گفت: در بسیاری موارد، تنها یک ایمیل دریافت می نماییم با این مضمون که بعنوان مثال، پورت مشخصی باز است یا سامانه ای دارای لطمه پذیری امنیتی است. اما آن چه غایب است، یک نظام منسجم برای پیگیری مستمر، انجام تست های دوره ای و ارزیابی ساختاریافته از وضعیت امنیتی سامانه هاست؛ ارزیابی ای که بتواند سطح امنیت عملیاتی سازمان را تضمین کند. بی تردید، استقرار چنین سیستمی می تواند نقش برجسته و مؤثری در پیش گیری از رخدادهای امنیتی ایفا کند. این عضو هیات علمی دانشگاه در ادامه با اشاره به قابلیتهای انسانی کشور در عرصه فناوری اطلاعات اظهار داشت: خوشبختانه در دانشگاه ها، مراکز آپ (آگاهی رسانی، پشتیبانی و پاسخ به رخدادهای امنیتی) و شرکت های دانش بنیان، نیروی انسانی متخصص و قابلیت حضور دارد. هرچند قسمتی از این نیروها مهاجرت کرده اند اما بازهم سرمایه انسانی قابل توجهی در کشور فعال است. آن چه ما به شدت به آن نیاز داریم، وجود یک سیاستگذاری منسجم، مدون، یکپارچه و در عین حال قابل اجراست؛ سیاستی که بتواند این ظرفیتهای پراکنده را در قالب یک زنجیره هماهنگ و هدفمند به کار گیرد. وی با اشاره به چالش های سیاستگذاری امنیت سایبری در کشور، اشاره کرد: متاسفانه در سیاستگذاری ها گاه گرفتار افراط و تفریط می شویم؛ یا دسترسی ها و سامانه ها را بطور کامل مسدود می نماییم یا بالعکس، همه چیز را رها می نماییم.
گواهی نامه ای برای ویترین؛ نه ضمانت واقعی امنیت
عضو هیات علمی دانشگاه خواجه نصیر به تجربه اخیر صدور گواهی امنیتی "افتا" نیز اشاره نمود و اظهار داشت: در یکی دو سال گذشته، خیلی تاکید شده که سازمان ها باید فقط با شرکت هایی همکاری کنند که دارای گواهی افتا هستند. این گواهی مقرر است تأییدی بر توانایی شرکتها در صیانت از اطلاعات باشد اما در عمل، تأثیر آن کمتر از حد انتظار بوده است. به عنوان نمونه، شرکتها به طور معمول فقط برای یک محصول گواهی می گیرند، اما بعد همان گواهی را به دیگر محصولات خود تعمیم می دهند، بدون این که پروسه واقعی ارزیابی برای آنها طی شده باشد. نظارتی هم بر این امر وجود ندارد. وی ادامه داد: از طرف دیگر، اگر بخواهیم سخت گیری نماییم و الزام بگذاریم که همه محصولات باید جداگانه گواهی داشته باشند، با چالش نبود ظرفیت کافی برای صدور گواهی مواجه می شویم. پروسه گرفتن گواهی افتا گاهی تا دو سال هم طول می کشد. این مساله خود به مانعی برای فعالیت شرکتها تبدیل می شود و در نتیجه، نه فقط امنیت افزایش پیدا نمی کند، بلکه اعتماد به فرآیندها هم کاهش پیدا می کند.
لزوم بازبینی در روند ارزیابی و صدور این گواهی ها
مدیر فناوری اطلاعات دانشگاه خواجه نصیر همین طور بر لزوم بازبینی در روند ارزیابی و صدور این گواهی ها تاکید کرد و اظهار داشت: اگر شرکت های دانش بنیان و مراکز آپ بتوانند در پروسه ارزیابی و صدور گواهی مشارکت داده شوند، هم این روند تسریع می شود و هم کیفیت آن افزوده می شود. گواهی افتا نباید فقط برمبنای ارسال مدارک یا گذراندن یک آزمون صادر شود؛ بلکه باید با ارزیابی های میدانی و تخصصی همراه باشد. وی با اشاره به چالش های عملیاتی همکاری با شرکتها اظهار داشت: گاهی شرایط ایجاب می کند که با شرکتی فاقد گواهی افتا قرارداد همکاری منعقد نماییم، چونکه در آن حوزه خاص، جایگزین مناسبی وجود ندارد. در چنین مواردی، هرچند تمام استانداردهای امنیتی را از جانب خود رعایت می نماییم، اما نبود نظام آدیتینگ و ارزیابی مستمر سبب می شود نتوانیم با اطمینان از میزان پایبندی طرف مقابل به الزامات امنیتی سخن بگوییم. اگر واقعا مقرر است امنیت اطلاعات در اولویت قرار گیرد، نظارت دقیق، مستمر و قابل رهگیری نیز باید به همان میزان مورد توجه و اهتمام قرار گیرد. این استاد دانشگاه تاکید کرد: بدون زنجیره کامل از زیرساخت، نیروی انسانی و سیاست واحد، رویارویی با تهاجمات سایبری ممکن نیست.
امنیت سایبری باید متولی واحد در کشور داشته باشد
وی در جواب این پرسش که از دید علمی، چه سازوکار یا روشی باید از طرف حاکمیت اتخاذ شود تا بتوان از بروز اقدامات مخرب سایبری جلوگیری کرد، اظهار داشت: من اعتقاد دارم اصل مسئله در یکپارچگی است. یعنی ما نیاز داریم یک مغز متفکر و یک متولی واحد در کشور وجود داشته باشد که مسئولیت این حوزه را بصورت منسجم و متمرکز بر عهده بگیرد. او اضافه کرد: هم اکنون، نهادهای مختلفی درگیر این حوزه هستند و کشور با تعدد نهادهای موازی در عرصه فضای مجازی مواجه است؛ از مرکز ملی فضای مجازی گرفته تا سازمان فناوری اطلاعات و سایر نهادهایی که هر یک در محدوده ای خاص و بعضاً جزیره ای فعالیت می نمایند. این پراکندگی نهادی، در مواقع بحران و بروز مسایل امنیتی به سردرگمی در تعیین مسئولیت می انجامد؛ به شکلی که هر دستگاهی مسئولیت را به نهاد دیگر واگذار می کند و یکی اعلام می دارد که مأموریتش تا مرحله ای مشخص پیش رفته و ادامه مسیر بر عهده نهادی دیگر است. این وضعیت به وضوح نشان میدهد که نبود یک متولی مرکزی و پاسخگو، یکی از خلأهای اساسی در مدیریت کلان امنیت فضای مجازی کشور است. این استاد دانشگاه اشاره کرد: در چنین شرایطی، وجود نهادی مقتدر و مسئول، ضرورتی انکارناپذیر است؛ نهادی که نه فقط مسئولیت تدوین دستورالعمل های اجرائی را بر عهده داشته باشد، بلکه توان تطبیق این دستورالعمل ها با شرایط واقعی و پیچیده اجرائی را نیز دارا بوده و بر حسن اجرای آنها بوسیله یک سازوکار نظارتی مؤثر و پیوسته (آدیتینگ) نظارت دقیق اعمال نماید. وی با تکیه بر ممکن بودن تحقق چنین ساختاری اشاره کرد: تدوین دستورالعمل های عملیاتی، گرچه قدمی مهم و بنیادین است، اما به تنهایی کافی نخواهد بود. تحقق امنیت پایدار در فضای مجازی مستلزم فراهم سازی زمینه های مناسب، ایجاد زیرساخت های فنی و به کارگیری نیروی انسانی متخصص و متعهد است. بعبارت دیگر، باید یک زنجیره کامل و هماهنگ از تصمیم سازی تا اجرا شکل گیرد؛ زنجیره ای که تمامی اجزای آن بطور هم زمان و هماهنگ فعال باشند. صرف اراده و خواستن، بدون فراهم آوردن سازوکار اجرائی کارآمد، راه به جایی نخواهد برد. اثنی عشری در ادامه با اشاره به اقدامات انجام شده در سالهای قبل تصریح کرد: نمی توان منکر تلاش ها و پیشرفت های ارزشمندی شد که در سالیان اخیر در این زمینه انجام شده است. بی تردید، وضعیت ما نسبت به گذشته بهبود یافته، اما واقعیت آنست که تهاجمات سایبری روزبه روز پیچیده تر، هدفمندتر و خطرناک تر می شوند و ما ناگزیر از حرکت با شتاب و انسجام بیشتر در این حوزه هستیم. تا آن زمان که آن زنجیره یکپارچه و منسجم که قبل تر به آن اشاره کردم، بطور واقعی شکل نگیرد، نمی توان انتظار داشت که در مقابل امواج بیش از پیش تهاجمات سایبری مصون بمانیم.
از راهکارهای امنیت شخصی تا چالش های سازمانی
وی به برخی اقدامات فردی و سازمانی در حوزه حفظ امنیت سایبری اشاره نمود و اظهار داشت: در عرصه شخصی، مهم ترین نکته پرهیز از نصب نرم افزارهای ناشناس و استفاده از لینک های مشکوک است. همین طور سفارش می شود از VPNهایی که ناشناخته و رایگان هستند استفاده نشود؛ چونکه اغلب این ابزارها می توانند دسترسی کامل به اطلاعات کاربران پیدا کنند. بطور کلی، استفاده از نرم افزارهای داخلی و بومی بجای نمونه های خارجی، اقدامی مؤثر در پایین آوردن تهدیدات امنیتی است. مدیر فناوری اطلاعات دانشگاه خواجه نصیر درباب تدابیر امنیتی دانشگاه اظهار داشت: باتوجه به امکانات موجود، سعی کردیم در وهله نخست دسترسی های ریموت را کنترل کنیم؛ با بهره گیری از ابزارهایی مانند FortiClient. همین طور تست های نفوذ دوره ای (پریودیک) روی سامانه ها و سرورها به انجام می رسد و لاگ های سیستم ها بطور مداوم بوسیله ابزارهایی نظیر Splunk مورد پایش قرار می گیرند. او اضافه کرد: در کنار این اقدامات، از ظرفیتهای مرکز ماهر نیز بهره برداری کرده ایم. در مواردی نیز تعدادی از سرورها را به پشت سرویس دهنده های ابری منتقل کرده ایم تا در مقابل حملاتی مانند DDoS ایمن تر باشند. همه این ها قسمتی از روند نظارت مستمر و تقویت زیرساخت های امنیتی دانشگاه است.
باید از اینترنت جهانی استفاده هوشمند و همراه با نظارت داشت
او در آخر درباره ی ضرورت استفاده از اینترنت بین المللی و چالش های آن اظهار داشت: اینترنت جهانی یک نیاز اجتناب ناپذیر است، بویژه برای کارهای علمی، پژوهشی و ارتباط با مجلات و مراکز بین المللی. محدود شدن این دسترسی برای کارهای علمی مشکلاتی را به وجود می آورد. بنابراین، بجای حذف باید استفاده هوشمندانه و همراه با نظارت از این فضا داشته باشیم. فضای مجازی فرصت است، اما تهدید هم هست. باید یاد بگیریم چه طور با دقت و با آگاهی از تهدیدات از این فرصت استفاده نمائیم.
این پست الف دانلود را می پسندید؟
(0)
(0)
تازه ترین پستهای مرتبط
نظرات خوانندگان الف دانلود در مورد این مطلب