استراتژى امنيت اطلاعات و اينترنت آمريكا در سال 2003
عصر ارتباط – يك روز صبح گروهى تروريستى اعلام مى كند كه شبكه برق شمال غربى اقيانوس آرام را به مدت 6 ساعت از ساعت 4 بعدازظهر قطع خواهد كرد و همين كار را هم مى كند. سپس همان گروه اعلام مىكنند كه مدارهاى اصلى مخابرات بين شرق و غرب ايالت متحده را به مدت نصف روز از كار واهد انداخت و همين كار را هم عليرغم كوشش ها جهت مبارزه عليه آنها انجام مى دهد. سپس تهديد مى كند كه سيستم كنترل ترافيك هوايى شهر نيويورك را از كار انداخته، مانع پروازها شده و مسير پروازهاى داخلى را منحرف مى سازد و اين كار را هم انجام مى دهد. تهديدها به طور پياپى ادامه يافته و با موفقيت اجرا مى شود كه اين نمايانگر توانايى دشمن براى حمله به زيرساخت هاى حياتى ماست.
نهايتاً اين گروه تهديد مى كند اين گروه كه اگر خواسته هايشان برآورده نشود، تجارت الكترونيكى و سرويس كارت اعتبارى را به وسيله چند صدهزار هويت ربوده شده در ميليون ها معامله تقلبى، از كار خواهد انداخت. هراس و آشوب و اغتشاش عمومى را پس از اين تهديد تجسم كنيد.
چيزى كه باعث مى شود اين سناريو جالب و هشدار دهنده شود، اين است كه همه اين حوادث قبلاً اتفاق افتاده اند، ولو نه به طور همزمان و نه همگى با مقاصد تخريبي. همگى به صورت حوادث انفرادى به مرور زمان روى دادند؛ برخى در خلال خرابى هاى فنى، برخى در مانورهاى تمرينى ساده و برخى در حملات واقعى اينترنتي.به هر حال مسأله قابل توجه اين است كه همه اين حملات به وسيله حملات اينترنتى از راه دور قابل اجرا هستند.
(برگزيده اى از نامه اى به بوش از سوى 50 دانشمند، متخصص كامپيوتر و مأموران سابق اطلاعات)
اشاره
گزارش حاضر ترجمه و تخيص بخشى از استراتژى جديد دولت امريكا در زمينه امنيت اطلاعات و اينترنت است. دولت امريكا با توجه دقيق به اهميت نقش استراتژيك و بسيار حياتى فناورى ارتباطات و اطلاعات، توسعه كاربرى اين فناورى را به عنوان محور امنيت ملى اعلام و در اين راه هزينه بسيارى را براى تمهيد زيرساخت هاى مورد نياز صرف كرده است. يكى از مهمترين اين زيرساخت ها كه خصوصاً در شرايط بسيار متفاوت و متحول شده پس از حادثه يازدهم سپتامبر توجه مضاعفى رابه خود معطوف نموده است، امنيت اطلاعات و اينترنت است دولت آمريكا در اين گزارش فرآيند شكل گيرى استراتژى ملى خود در اين زمينه را تشريح كرده است كه بخش هايى ا اين گزارش مهم از نظرتان مى گذرد:
»استراتژى ملى امنيت داخلي” امريكا كه اوائل امسال اعلام شد به يك تهديد بسيار خاص و جدى يعنى تروريسم در ايالت متحده مى پردازد و چارچوبى جامع براى ساماندهى تلاش سازمان هاى فدرال، ايالتى، محلى و خصوصى كه غالباً كاركردهاى اصلى آنها ارتباطى با امنيت ملى ندارد ارائه مى دهد. اينترنت براى امنيت داخلى و امنيت ملى، حياتى است. امنيت و قابليت اطمينان اينترنت ضامن اقتصاد، زيرساخت هاى حياتى، و تشكيلات دفاعى ملى است. ”استراتژى ملى امنيت اينترنتى استراتژى اجرايى جهت پشتيبانى استراتژى ملى امنيت داخلى و استراتژى ملى امنيت ايالات متحده” است.
”استراتژى ملى امنيت اينترنتي” طرح هايى باهدف تامين و امنيت سياست هاى اطلاعات امريكا در مقابل اختلال و تخريب عمدى و خطرناك و افزايش آمادگى ملى در اين خصوص را شامل مى شود. اين استراتژى به همراه استراتژى تكميلى »حفاظت فيزيكى امنيت داخلى«، مبناى استراتژيك تلاش هاى ملت براى حفاظت از زير ساخت هايش تشكيل مى دهد.
اجزاى اين استراتژى توسط ذى نفعان و كاربران اينترنت تهيه و تنظيم شده است. نمايندگان شركت هاى صاحب زيرساخت هاى حياتى و شركت هاى اداره كننده اين زيرساخت ها گرد هم آمده و پيش نويس طرح چگونگى تأمين امنيت اينترنتى را در بخش هاى مربوطه، اعم از بانكدارى و امر مالى، برق، راه آهن و ساير بخش ها تهيه كرده اند. كالج هاى محلى و دانشگاه هاى بزرگ به همراه يكديگر براى تأمين امنيت اينترنتى در مؤسسات آموزش عالى برنامه ريزى كرده اند. پليس شهرهاى بزرگ و كلانترى هاى شهرهاى كوچك دست به دست يكديگر داده و به همكارى در تأمين نيازمندى هاى امنيت اينترنتى براى نيروى انتظامى پرداخته اند. كميسيون هاى هر دو مجلس، جلساتى درباره امنيت اينترنت و عناوين مربوطه برگزار كرده اند. انجمن هاى ملى جلسات متعددى داشته و هزاران ساعت وقت خود را در جهت تلاش براى تكامل اين استراتژى وقف كرده اند.
تهديد و آسيب پذيرى هاى اينترنت
يك هفته بعد از حملات يزدهم سپتامبر، حمله ديگرى به شركتهاى خدمات مالى كه فاصله چندانى با محل مركز تجارت جهانى نداشتند، صورت گرفت؛ حمله اى با تخريب فيزيكى كمتر، اما با اهميت اقتصادى فراوان. اهميت آن درخسارات مالى قابل ملاحظه ايجاد شده نبود بلكه اين حمله هشدارى بود از آنچه ممكن است در آينده رخ دهد. نام اين حمله NIMDA (كلمه ADMIN با املاى برعكس) بود و براى ملتى كه به شبكه هاى كامپيوترى وابسته شده هشدارى بيدار كننده بود. NIMDA يك حمله اينترنتى خودكار بود؛ آميخته اى از يك كرم كامپيوترى (WORM) و يك ويروس كامپيوترى كه با سرعت وحشتناكى در سراسر كشور منتشر شد و از راه هاى مختلفى براى آلوده كردن سيستم ها كامپيوترى وارد مى شد. آلوده شدن كامپيوتر به معنى نابودى فايل هاى آن بود. اين حمله در عرض يك ساعت به بلايى همگانى مبدل شد و پس از چندين روز به 86 هزار كامپيوتر حمله كرد.
NIMDA مشكلات فراوانى در صنايع امنيتى ايجاد كرد. شركتها بخش OnLine خود را تعطيل كردند، دسترسى مشتريان به خدمات On Line قطع شد و حتى برخى شركت ها مجبور شدند سيستم هاى شان را به طور كامل از نو بسازند.
هزينه مالى واقعى حمله NIMDA مشخص نيست؛ زيرا روش همسانى براى ارزيابى اين خسارات وجود ندارد. اما منابع موثق صنعتى، هزينه مالى حملات اينترنتى ناشى از كدهاى آلوده را در سال 2001 مبلغ 13 ميليارد دلار برآورده كرده اند.
دو ماه قبل از حمله NIMDA، حمله اينترنتى ديگرى به نام Code Red (رمز قرمز)، 150 هزار سيستم كامپيوترى را در عرض 14 ساعت آلوده كرد و موجب ميلياردها دلار خسارت شد. اين حملات نمايانگر رشد قدرت تخريب و پيچيدگى حملات اينترنتى است. حجم اين قبيل حملات هم قابل ملاحظه است . .
. ملتى كاملاً وابسته به اينترنت
»انقلاب فناورى اطلاعات« روش عملكرد و خدمات دهى شركتها و دولت را در ايالات متحده بى سروصدا عوض كرد. كشور ما (آمريكا ) بدون تأمل كافى درباره امنيت، كنترل فرايندهاى كليدى در توليد، تسهيلات، بانكدارى ، و مخابرات را به شبكه هاى كامپيوترى محول كرد. در نتيجه، هزينه هاى كار تنزل يافت و بهرهورى چندين برابر شد. اين روش همچنان در جهت استفاده بيشتر از سيستم هاى شبكه كامپيوترى ادامه دارد.
در حال حاضر (سال 2002) اقتصاد و امنيت ملى كاملاً وابسته به فناورى اطلاعات و زيرساخت اطلاعاتى است. شبكه اى از شبكه ها عمليات تمامى بخش هاى اقتصاد اعم از انرژى (برق، نفت وگاز) ، حمل و نقل ، بهداشت ، خدمات اضطرارى ، آب ، صنايع شيميايى ، صنايع دفاع، فرآورده هاى غذايى، كشاورزى ، و پست را مستقيماً كنترل و پشتيبانى مى كند. حوزه اين شبكه هاى كامپيوترى از مرزهاى فضاى مجازى هم فراتر مى رود. اين شبكه ها همچنين تجهيزات فيزيكى از قبيل ترانسفورماتورهاى برق، قطارها، پمپهاى خط لوله ، مخازن شيميايى، رادارها و بازارهاى بورس را كنترل مى كنند.
محور اصلى زيرساخت اطلاعاتى كه ما (آمريكايى ها) به آن كنترل وابسته هستيم، اينترنت است؛ سيستمى كه در ابتدا براى تبادل اطلاعات غير سرى بين دانشمندان طراحى شد و البته فرض بر اين بود كه اين افراد علاقه اى به سوء استفاده از اين شبكه ندارند. همان اينترنت، امروزه ميليون ها شبكه كامپيوترى را به يكديگر وصل مى كند و اين شبكه ها بخش عمده خدمات حياتى كشور را تأمين مى كنند. همراه با رشد فزاينده و حيرت انگيز اينترنت در جهان، امنيت آن هم پيوسته تنزل يافته است افراد تقريبا از هر كشورى روى كره زمين به اين شبكه سترسى دارند و اين شبكه هم به نوبه خود به شبكه هاى اداره كننده خدمات حياتى در ايالات متحده متصل است.
حمله هاى اينترنتى به شبكه هاى اينترنتى ايالت متحده مرتباً رخ مى دهد و مى تواند نتايجى وخيم همچون مختل كردن عمليات حياتى، از دست رفتن درآمدها و دارايى هاى فكرى و خسارات جانى در پى داشته باشد. مقابله با چنين حملاتى، مستلزم توسعه قابليت هاى ويژه درجاهايى است كه امروزه فقدان آنها احساس مى شود و اين در كاهش نقاط ضعف ، شناسايى و بازداشتن افراد و سازمان هاى داراى اين قابليت ها و اهداف خرابكارانه عليه زير ساخت هاى ملى ضرورى است.
حوزه هاى تهديد
مهاجمان همواره مشغول تهيه برنامه هايى براى صدمه زدن به اقتصاد و تضعيف يا به دست گرفتن كنترل سيستم هاى فيزيكى و اينترنتى در نبرد هاى آينده با ايالات متحده هستند و اينجاست كه ايالات متحده بايد به مقابله با اين مهاجمين برخيزد.
شناسايى كسانى كه حمله كرده اند و يا ممكن است حمله كنند، فرصتى را كه نه تنها براى بازداشتن آنها و محاكمه كردن آنان (براى مثال دستگيرى جنايتكاران ، يا توسل به نيروى نظامى در حملات از نوع جنگ اطلاعات) فراهم مى كنند، بلكه باعث مى شود تا ما سلسله مهارت هاى آنان را آموخته و بهتر روى برنامه هاى حفاظت ملى متمركز شويم.
امنيت اينترنتى و هزينه فرصت
براى شركت هاى ه طور خاص و براى اقتصاد ملى به طور كلى، ارتقاى امنيت كامپيوترى غالباً محتاج سرمايه گذارى زمان، توجه و پول است. به همين منظور بوش از كنگره درخواست كرد سرمايه گذارى روى ايمن سازى كامپيوترهاى دولت را در سال مالى 2003 به ميزان 64 درصد افزايش دهد.
سرمايه گذارى بوش روى ايمن سازى شبكه هاى كامپيوترى دولت نهايتاً به واسطه ارائه ابزارهاى كامپيوترى دولت الكترونيكى مديريت نوين شركت ها و كاهش ضايعات ، تقلب و كلاهبردارى موجب كاهش هزينه ها خواهد شد.
سرمايه گذارى روى امنيت اينترنتى به معنى هزينه بالا سرى اضافى نيست. سود اين سرمايه گذارى به ما باز مى گردد. نظر سنجى ها مكرراً نشان داده است كه:
هزينه هاى ناشى از اين حمله مخرب كامپيوترى به احتمال قوى از سرمايه گذارى پيشگيرانه در برنامه امنيت اينترنتى سنگين تر هستند.
طراحى ساختار امنيتى قدرتمند در معمارى سيستم هاى اطلاعاتى شركت ها مى تواند هزينه هاى عمومى عمليات رابه واسطه امكان پذير ساختن رويه هاى كاهش هزينه از قبيل دسترسى از راه دور و تعاملات با زنجيره عرضه يا مشتريان كاهش دهد. اين رويه هاى كاهش هزينه در شبكه هايى كه فاقد امنيت مناسب باشند امكان پذير نيست.
مديريت ريسك در سطح ملى و فردى
هر روز در آمريكا يك شركت يا كاربر خانگى كامپيوتر در اثر حملات اينترنتى دچار خسارت شده متضرر مى شود. ميزان اين خسارات در سطح شخصى بسيار چشمگير و حتى شايد فاجعه آميز است. شرايط وقوع چنين حوادثى در سطح ملى براى شبكه ها و سيستم هايى كه كشور به آنها وابسته است فراهم است:
– دشمنان بالقوه چنين قصدى دارند.
– ابزارهاى تخريبى درسطح وسيع در دسترس هستند.
– نقاط ضعف سيستم هاى كشور، فراوان و شناخته شده هستند.
اين عوامل بدين معنى هستند كه هيچ استراتژى نمى تواند به طور كامل خطر را دفع كند، اما كشور مى تواند و بايد براى مديريت ريسك وارد عمل شده و صدمات بالقوه سوء استفاده از نقاط آسيبپذير را به حداقل خود برساند.
دولت به تنهايى قادر به ايمن سازى فضاى اينترنت نخواهد بود
دولت فدرال نبايد و در واقع نمى تواند امنيت شبكه هاى كامپيوترى بانك هاى خصوصى ، شركت هاى بخش انرژى ، مؤسسات حمل و نقل يا ساير قسمت هاى بخش خصوصى را تأمين نمايد. دولت فدرال نبايست وارد خانه ها و كسب و كارهاى كوچك، دانشگاه ها يا ادارات و سازمان هاى محلى شود كه امنيت شبكه هاى كامپيوترى آنها را تأمين كند.
هر آمريكايى كه به اينترنت، يعنى مادر شبكه هاى اطلاعاتى وابسته است ، بايد امنيت بخش مربوط به خود را تأمين كند.
دولت فدرال مى تواند به وسيله تدابير زير به ايجاد اين توانايى ها در ملت آمريكا كمك كند:
افزايش سطح آگاهى و هوشيارى
در اختيار قرر دادن اطلاعات مربوط به نقاط آسيب پذير و راه حل آنها
ترويج مشاركت و همكارى دولت با بخش خصوصى، گروههاى بخش خصوصى با يكديگر و سايرين
ترغيب به ارتقاى فناورى در سازمان ها
افزايش تعداد افراد ماهر و آموزش ديده
انجام تحقيقات و پيگيرى جنايات اينترنتى
حفاظت از كامپيوترهاى دولتى
ارتقاى امنيت شبكه هايى كه اقتصاد و امنيت ملى به آنها وابسته است.
مشاركت هاى خصوصى – دولتى
حفاظت از زيرساخت هاى حياتى لزوماً يك مسووليت مشترك است؛ زيرا تقريباً 85 درصد تسهيلات زير ساخت هاى حياتى كشور تحت مالكيت و مديريت بخش خصوصى است و بسيارى از عمليات حياتى دولت وابسته به اين تسهيلات خصوصى است. از آنجا كه تسهيلات دولت و بخش اقتصاد، هر دو هدف حملات دشمنان به زير ساخت هاى حياتى ملى هستند، رسيدگى به نقاط ضعف بالقوه نياز به رويكردهاى انعطاف پذير و تكاملى دارد كه هر دو بخش خصوصى و دولتى را تحت پوشش قرار داده و از هر دو جنبه داخلى و بين المللى، امنيت منافع كشور را تأمين مى كند. عزم دولت بر آن است كه اين مشاركت و همكارى مؤثر و مفيد همچنان ادامه يابد.
اجتناب از وضع مقررات
دولت فدرال چنين تشخيص داده است كه به منظور جلب همكارى همه جانبه بخش خصوصى ، مشاركت مالكان و متصديان بخش خصوصى در مشاركت خصوصى-دولتى بايد به صورت داوطلبانه صورت گيرد. دولت امريكا براى تشويق بخش خصوصى به مشاركت هر چه بيشتر، تا حد ممكن به دنبال راه هايى است كه از تحميل مقررات دولتى يا تكلفات اضافى از سوى دولت بر بخش خصوصى بدون تأمين پشتوانه مالى اجتناب كند.
اصول راهبردى امنيت
براى ايجاد يك شبكه اينترنتى امن و انعطاف پذير ، كشور بايد دو اصل راهبردى امنيت را پذيرفته و اجرا كند.
1) امنيت كل زيرساخت به امنيت هر يك از اجزا بستگى دارد.
2) تهديدات و نقاط آسيب پذير پيشرفت مى كنند و امنيت هم طبعاً بايد همگام با آنها يا سريع تر از آنها پيشرفت نمايد.
تأمين امنيت در اجزاى دنياى اينترنت منجر به تأمين امنيت كل مجموعه خواهد د
امنيت اينترنت به امنيت تمام اجزاى آن وابستگى دارد. در دنياى اينترنت، مهاجمان مى توانند با سرعت نور به هر مكانى برسند. هيچ گونه ايمنى جغرافيايى وجود ندارد. شبكه ها ممكن است هم در مقابل حملات از داخل شبكه و هم در مقابل حملات از خارج آن آٍسيب پذير باشند. اجزاى شبكه كه به نظر ايمن هستند، ممكن است توسط كاركنان داخلى (خودى ها)، نرم افزارهاى داونلود شده (پياده شده) ، يا شبكه هاى آلوده همسايه مورد تهاجم قرار بگيرند. كشيدن ديوار دور شبكه براى رسيدن به امنيت كافى نيست. به محض اينكه يك كامپيوتر يا جزئى از شبكه مورد تهاجم قرار گرفت، آن جزء مى تواند براى تهاجم به ساير اجزاء مورد استفاده قرار گيرد.
به منظور مبارزه با اين نقاط آسيب پذير سيستم ها بايدطورى طراحى شوند كه امنيت زير ساخت به يك لايه يا گروه واحد و يا نقطه مركزى وابسته نباشد؛ بلكه بايد در چندين لايه شكل بگيرد، سيستم هاى دفاعى توزيعى (پراكنده) باشد و توانايى ترميم سريع پس از هر مرحله را داشته باشد. براى بهبود امنيت اينترنتى، كشور بايد در تمامى سطوح فعاليت در دنياى اينترنت، امنيت لازم را تأمين كند.
پيش دستى بر فناورى ها و نقاط ضعف جديد
نقاط ضعف جديد در سيستم ها با سرعت نگران كننده اى در حال افزايش است. اين نقاط ضعف با نوشته شدن نرم افزارهاى جديد و پيدايش فناورى هاى جديد به وجود مى آيند و نقاط ضعف با گذشت زمان و به كارگيرى نرم افزارها مشخص مى شوند. اين در حالى است كه ابزارهاى جديد و بسيار پيشرفته ترى براى بهره بردارى از اين نقاط ضعف ساخته مى شود. سياست ها، رويه ها و فناورى هاى امنيتى هم بايد خود را همگام باآنها به هنگام سازد. كشور بايد زيرساخت امنيتى ايجادكند كه بتواند همواره يك گام جلوتر از جهان احتمالى باشد.