امنيت اطلاعات و آمادگی شبکه های ايرانی

نام نویسنده: سونيتا سراب‌پور

دنیای اقتصاد – همان طور كه زندگي انسان در دنياي فيزيكي همواره در معرض تهديدات گوناگون قرار دارد، اين روزها ديگر دنياي مجازي هم مكان امني براي انسان‌ها محسوب نمي‌شود.

روزانه خبرهاي متعددي مبني بر هك شدن چندين سايت، كلاهبرداري‌هاي اينترنتي و … به گوش مي‌رسد كه اين مساله باعث شده است كه به امنيت در شبكه‌هاي اطلاع‌رساني توجه ويژه‌اي شود. هر ساله كشورهاي بزرگ دنيا براي برقراري امنيت در اين دنياي مجازي برنامه و سياستگذاري‌هاي ويژه‌اي را اجرا مي‌كنند تا درصد ناامني در اين شبكه‌ها را كاهش دهند. براي بررسي ضعيت امنيت شبكه‌هاي اطلاع‌رساني ايران گفت‌وگويي با بهرنگ فولادي از فعالان امنیت وب انجام داده‌ايم كه در ادامه مي‌خوانيد:

به عنوان پرسش نخست مايليم تفاوت دو تركيبي كه معمولا روزانه مي‌شنويم يعني «امنيت اطلاعات» و «امنيت شبكه» را بدانيم؟
امنيت اطلاعات مفهوم گسترده‌اي است كه محافظت از اطلاعات (مستقل از نحوه نگهداري، انتقال و پردازش آنها) با اولويت بندي‌ براساس «ارزش» آن اطلاعات را شامل مي‌شود. به طور كلي امنيت اطلاعات شامل دامنه‌اي از فعاليت‌هايي است كه امنيت شبكه‌هاي رايانه‌اي يكي از آنها محسوب مي‌شود. فعاليت‌هاي ديگر مانند امنيت يزيكي و امنيت عوامل انساني در كنار امنيت شبكه‌ ساختار يك سيستم امنيت اطلاعات را تشكيل مي‌دهند.

شبكه‌هاي كامپيوتري و سرويس‌هاي اينترنتي در كشور ما روز‌به‌روز در حال رشد هستند، آيا اين رشد حجم اطلاعات از نظر امنيت اطلاعات نگران‌كننده است؟
رشد حجم اطلاعات الزاما بيانگر بالا رفتن ارزش آن اطلاعات نيست. در بررسي امنيت اطلاعات، ارزش اطلاعات ملاك تصميم‌گيري است. حال با توجه به بودجه پايين راه‌هاي امنيتي در سازمان‌ها و مجموعه‌هاي عظيم كشور، به نظر مي‌رسد اين اطلاعات براي مديران و مالكان به‌رغم حجم آن چندان حياتي محسوب نمي‌شود.

به نظر مي‌رسد كه نگراني‌هاي امنيتي حداقل بخشي از دلايل سرعت كم‌توسعه‌يافتن ما در حوزه ديجيتال باشد. مثلا بسياري از مديران بانك‌ها به دليل ترس از حملات اينترنتي به سمت بانكداري الكترونيكي نمي‌روند، آيا شما نگراني‌ها را به اندازه‌اي جدي تلقي مي‌كنيد كه نتوان سيستم را توسعه داد؟
عوامل اصلي عدم توسعه‌يافتگي در حوزه ديجيتال، از ديد كلان، بيشتر مربوط به مسائل سياسي و اقتصادي است تا مسائل فني و تكنيكي. در مورد بانك‌ها و موسسات مالي، مشكل اصلي نبود زيرساخت‌هاي مناسب، كمبود فناوري‌هاي نرم‌افزاري و سخت‌افزاري امنيت سيستم‌ها است. در‌حال‌حاضر ميزان ضرر و زيان بانك‌ا از بابت تخلفات داخل و جرم‌هاي سنتي رقمي بسيار بالاتري از سوء‌استفاده‌هاي احتمالي ممكن از سيستم‌هاي بانكداري الكترونيكي است.

برخي از كشورها سياست‌هاي امنيت اطلاعاتي مشخصي را همه ساله تدوين و به اجرا مي‌گذارند. آيا ما نيز هم‌اكنون به چنين سياست‌گذاري‌هايي نياز داريم؟
در كشور ما نيز چندي پيش، سياستي مبني‌بر امنيت فضاي تبادل اطلاعات (افتا) تدوين شد كه از ابلاغ آن به تمام دستگاه‌هاي دولتي، بيش از 3سال سپري مي‌شود. در آغاز ابلاغ اين طرح، اقداماتي از سوي برخي سازمان‌هاي دولتي براي اجراي سياست‌هاي طرح (افتا) انجام و مناقصاتي نيز در اين زمينه آماده و اعلام شد، اما هم‌اكنون يا اين طرح‌ها به فراموشي سپرده‌ شده‌اند و يا اينكه مسير ديگري جز طرح (افتا) را طي كرده‌اند.

در زمينه آموزش به نظر مي‌رسد كه اساسا كار چنداني صورت نگرفته و حتي گاهي راه به خطا رفته، چرا كه كلاس‌هايي كه عمدتا به اسم امنيت برگزار مي‌شود بيشتر حالت ضدامنيتي و تخريبي دارند كه پوشش امنيتي گرفته‌اند. در دولت و سازمان‌هاي بزرگ هم به نظر مي‌رسد كه آموزش دچار همين مشكل است. آيا ما در ايران به شركت‌هاي بزرگ امنيتي براي پوشش، نيازهاي كلان احتياج نداريم؟
امكان دسترسي به مطالب و نرم‌افزارهاي تخريبي از طريق اينترنت، بخشي از فرآيند جيان آزاد اطلاعات در اين شبكه به شمار مي‌آيد كه در اين ميان عده‌اي نيز با گردآوري اين منابع و برگزاري كلاس‌هاي آموزشي به بهره‌برداري مالي از آن مي‌پردازند. در مورد امكان دسترسي به مطالب مرتبط با ضعف‌هاي امنيتي، كشورهاي پيشرفته صنعتي هر يك قوانين داخلي خود را وضع و اعمال مي‌كنند. به عنوان مثال از چند ماه پيش در كشور آلمان قانوني به مرحله اجرا گذاشته شد كه انتشار هرگونه مطلب يا نرم‌افزار مرتبط با ضعف‌هاي امنيتي و نفوذ به سيستم‌ها را براي سايت‌هاي آلماني ممنوع و مجازات‌هايي براي آن وضع كرده است.

در صورتي كه در كشورهاي صنعتي ديگر اين امر بخشي از جريان آزاد اطلاعات تلقي مي‌شود و در مقابل براي پيشگيري از جرايم در اين حوزه تمهيدات و قوانين وضع شده است. لذا از نظر من با بحث آموزش در اين زمينه مي‌توان از نظر ارزش علمي و كاربردي آنها مورد ارزيابي و قضاوت قرار گيرد تا نحوه استفاده افراد از تكنيك‌هاي آموزشي داده شده. در مورد نيازهاي امنيتي در دولت و سازمان‌هاي بزرگ، ابتدا بايد اين نيازها بر اساس الزامات امنيتي از سوي مديريت‌هاي ارشد تعريف و ابلاغ شوند. به طور مثال هم‌اكنون بانك‌ها يا موسسات مالي، براي خريد تجهيزات فايروال (شبكه تجهيزاتي كه در برابر تهديدات مرتبط با سيستم‌هاي مورد نظر آنها،‌ كارآيي چنداني نخواهد داشت.) به راحتي مبالغ هنگفتي را هزينه مي‌كند اما براي انجام يك «تست نفوذ‌پذيري» حرفه‌اي روي اين سيستم‌ها كه بسياري از مشكلات امنيتي آنها را مشخص خواهد كرد، حاضر نيستند، مبلغي در حدود يك‌سوم هزينه‌هاي ياد شده را مصرف كنند.

عموما مشكل امنيتي اطلاعاتي كشور ما در حوزه مجازي چيست؟
در حال حاضر در كشور ما خدمات الكترونيكي رواج و گستردگي جدي ندارند و حجم تبادلات مالي در اين بخش در حدي نيست كه توجه مهاجمين و نفوذگران را به خود جلب نمايد. از طرفي از بعد فني نيز توانايي ما و تجارت اكثريت نفوذگران پايين‌تر از حد لازم براي نفوذ به سيستم‌هاي جدي موجود است. عمده مشكلات و نگراني‌ها، مربوط به تخريب اطلاعات به طور غيرعمدي يا تخزيب عمدي وب‌سايت‌ها است.

به عنوان آخرين سوال وضعيت امنيتي ايران را در مقايسه با ساير كشورها چگونه ارزيابي مي‌كنيد؟
بخش‌هاي دولتي و خصوصي كشور از نظر آمادگي براي مقابله با حملات يا وقايع امنيتي در سطح پاييني هستند و مي‌توان گفت عمده‌ترين تمهيد امنيتي اكثريت قريب‌ به اتفاق آنها پياده‌سازي سيستم‌ها براي مقابله با تخريب اطلاعات است ولي اين شبكه‌ها در برابر نفوذگرهاي حرفه‌اي از پشتيباني (back up) اطلاعاتي برخوردار نيستند.