توسعه دهندگان
در نشست فعالان فضای مجازی مطرح شد؛

وضعیت تاب آوری امنیتی زیرساخت های فضای مجازی چگونه است

وضعیت تاب آوری امنیتی زیرساخت های فضای مجازی چگونه است

فعالان فضای مجازی پاك (فمپ) وضعیت تاب آوری امنیتی زیرساخت های فضای مجازی كشور را مورد بررسی قرار دادند كه در این جلسه اعلام گردید ۴۳ درصد حملات سایبری در دنیا به سمت زیرساخت های ایران است.



به گزارش توسعه دهندگان به نقل از مهر، سی امین محفل آنلاین هم افزایی فعالان فضای مجازی پاک (فمپ) که توسط جمعیت توسعه گران فضای مجازی پاک برگزار می گردد این هفته به بررسی وضعیت تاب آوری زیرساخت های حیاتی فضای مجازی کشور پرداخت.
ابوالقاسم صادقی معاون امنیت سازمان فناوری اطلاعات در این جلسه با اشاره به رخدادهای اخیر سایبری به برخی زیرساخت های حیاتی کشور اظهار داشت: رخدادهای سایبری را می توان در دو گروه طبقه بندی کرد و مورد بررسی قرار داد. برخی حملات به معنای واقعی و توسط گروه هایی که فعالیتهای مخرب و هدفمند انجام می دهند، بر مبنای یک نقطه ضعف در یک شبکه صورت می گیرد و به آن به اصطلاح APT گفته می شود. گروه دوم در ارتباط با رخدادهایی می شود که عامل مخرب شروع کننده آن نیست بلکه سهل انگاری ها و بی توجهی ها سبب این اتفاقات ناخواسته شده و لطماتی را به بار می آورد.
وی افزود: از اسفندماه سال ۹۸ تابحال که با فراز و نشیب های بسیاری در زمینه رخدادهای اخیر سایبری مواجه بودیم برآوردهای ما نشان داد که اغلب این رخدادها در طبقه بندی دوم انجام گرفته و به بیان دیگر ما از سهل انگاری های خودمان بیشتر لطمه خوردیم تا اتفاقات مخرب تیم های منسجم و هدفمند.
اغلب رویدادها از نوع سهل انگاری است
صادقی با اشاره به اینکه از لحاظ حجم کمی هم ارزیابی ما نشان داده است که اغلب رویدادها از نوع سهل انگاری است و خسارت افشای اطلاعات را به وجود آورده است، ریشه این رخدادها را به علت وجود خلاهای قانونی عنوان نمود و اظهار داشت: در کنار این خلاهای قانونی، یک سری خلاهای عملیاتی، نقصان های ابزاری و دانشی هم وجود دارد اما شدت خلاهای قانونی بیشتر است.
وی اظهار داشت: باآنکه کوتاهی ها و تخلفات در حوزه امنیت در سازمان ها را نباید جرم تلقی نمود اما برای مسئولیت حفظ اطلاعات در هر دستگاه ضمانت اجرایی وجود ندارد و در این حوزه مصوبه شورایعالی فناوری اطلاعات که هر دستگاه مسئول صیانت از امنیت خود است، رعایت نمی گردد.
صادقی با اشاره به یادآوری ها، پیگیری ها و تذکرات امنیتی که از جانب مرکز ماهر به دستگاه ها و سازمان ها عرضه شده است، اضافه کرد: از آغاز سال جاری تابحال بالغ بر ۲ هزار اخطار امنیتی در مورد صدمه پذیری ها و انواع حملات در این عرصه منتشر نموده ایم.
وی با اشاره به اینکه از اسفند ۹۸ تابحال بحث اسکن در فضای مجازی کشور را هم در دستور کار قرار دادیم، افزود: مرکز ماهر سامانه اختصاصی خود برای رصد فضای آلوده کشور را دارد و در این حوزه به یک سری از دیتابیس های باز و حفاظت نشده روی فضای اینترنت دست یافتیم. این مورد را به صاحبان دیتابیس ها اطلاع رسانی کردیم و مواردی را که صاحبان آنها مشخص نبودند به دادستانی و پلیس فتا و ضابطان قضایی برای پیگیری اعلام کردیم.
معاون امنیت سازمان فناوری اطلاعات اظهار داشت: شاید درصد رخدادهای سایبری در کشور ما که از نوع APT صورت می گیرد نسبت به برخی کشورهای پیشرو بالاتر نباشد اما درصد اشتباهات ما بیشتر است. از طرفی می توان اظهار داشت که ما نسبت به متوسط دنیا در زمینه حملات هدفمند در یک تراز هستیم و اتفاقات ویژه تری هم برای ما رخ نمی دهد و حتی شاید زیرساخت های بزرگ آنها بیشتر مورد هدف قرار می گیرند.
وی در مورد نبود الزامات امنیتی برای زیرساخت های حیاتی کشور تصریح کرد: در انتهای سال ۹۷ مرکز افتای ریاست جمهوری دستورالعمل الزامات امنیتی را زیرساخت های حیاتی تدوین و به تمامی دستگاه ها ابلاغ نمود. باآنکه ما در آن زمان نسبت به این دستورالعمل نقد داشتیم و پیشبینی کردیم که این سند با این شرایط قابلیت اجرا پیدا نخواهد کرد اما با این حال، چارچوب ها و الزامات برای همه دستگاه ها ابلاغ گردیده است و ما معتقدیم که اساساً در حوزه امنیت احتیاج به دستورالعمل نیست.
صادقی با اشاره به اینکه مادام نباید به سازمان ها سفارش کرد که یوزر و پسورد خویش را به روزرسانی کرده و یا فایروال داشته باشند، افزود: اغلب حملات متعارف توسط تیم های زیرزمینی خیلی متوسط صورت می گیرد و اگر سازمانی با تکنیک های زیر متوسط مورد حمله قرار می گیرد یا سطح دانش فنی آن به نحو آزاردهنده ای پایین است و یا از لحاظ انگیزشی و مادی در آن سازمان اختلالی وجود دارد و نمی توان روی این نقصان، اسم حمله گذاشت.
وی با انتقاد از اینکه نظام ملی پیشگیری و مقابله با حوادث فضای مجازی با وجود آنکه تمام مخاطبان با سطوح مختلف کسب و کارهای خصوصی و شهروندان را دربرمی گیرد اما برچسب محرمانه دارد، در مورد معماری مقوله امنیت در سطح کشور اظهار داشت: حوزه امنیت سایبری خیلی شلوغ و پر از بازیکنان ستاره و پرقدرت در نفوذ و جایگاه است اما این ارکان در کنار اصطکاک ایجاد می کنند و هدررفت های این حوزه زیاد می شود و باید برای آن کاری کرد.
معاون سازمان فناوری اطلاعات مشکل فعلی در صدمه پذیری ها سایبری در کشور را اقتصاد امنیت عنوان نمود و اظهار داشت: باید به این سؤال پاسخ داده شود که چه میزان تأمین مالی برای صنعت امنیت در کشور صورت می گیرد؟ بعد از آن باید سطح انتظارات خویش را در همین حد تأمین مالی قرار دهیم. چون که صنعت بومی امنیت در کشور ما در حد متوسط است اما توقع رقابت با صنایع خارجی را داریم. در این حوزه گرفتار یک چرخه منفی ناتمام شده ایم که نتیجه آن صدمه به صنعت بومی، خرید محصولات خارجی و از بین رفتن انگیزه نیروهای داخلی می شود.
وی اظهار داشت: ما در سازمان فناوری اطلاعات رفع چالش اقتصاد امنیت را با دو طرح به صورت همزمان پیش می بریم. نخست اینکه در حوزه خریدهای خارجی با هماهنگی مرکز افتا مصوبه ای به کمیسیون تنظیم مقررات ارتباطات عرضه کرده ایم تا تمامی دستگاههای دولتی از خرید تجهیزات خارجی زیرساختی امنیت از مسیری که پیشبینی شده، منع شده و کنترل خرید محصولات امنیتی به صورت اتوماتیک از این مسیر صورت گیرد.
صادقی افزود: راهکار دوم این است که با یک ادبیات غیر تحکم آمیز با ایجاد چند آزمایشگاه، محصولات بومی و خارجی را ارزیابی عملکردی نماییم. ما معتقدیم که تست های فعلی ناقص است. چون که صرفا مجوز تست امنیت در حوزه صدمه پذیری صورت می گیرد اما مشکل این است که باید محصول خارجی و بومی را با هم از نظر عملکردی مقایسه کرد. در این حوزه ما باید زیرساخت بنچ مارکینگ را در محصولات امنیت ایجاد نماییم. این مورد در سازمان فناوری اطلاعات شروع شده و راه اندازی آزمایشگاه عیارسنجی بعنوان یکی از اجزای برنامه های شبکه ملی اطلاعات در شاخص امنیت در دستور کار قرار دارد. این می تواند یک معیار حرفه ای برای مقایسه با محصول بومی و داخلی باشد که ضعف محصولات بومی را هم رفع می کند. منوط به اینکه شرکت های داخلی ما مزیت ریالی را روی قیمت های تمام شده محصولاتشان اعمال کنند.
وی تصریح کرد: این روزها نسل های جدید حملات دیداس (DDOS ) رو به افزایش است و حملات پروتکلی با اینترفیس چالش بزرگی به حساب می آید که باید روی آن کار کرد. اخیراً هم ردپاهایی در کشور دیده می شود که برخی حملات منشا داخلی شده و تعجب برانگیز است. در این حوزه هم ما بر مبنای ترندهای بین المللی به کمک مراکز آپا و هم بر مبنای نظارت هایی که داریم در حال طراحی راهکار و معماری هستیم.
وضعیت کشور در تاب آوری زیرساخت های امنیتی در حد متوسط رو به بالا است
رسول جلیلی عضو حقیقی شورایعالی فضای مجازی هم در این جلسه در مورد انتقاداتی که به نبود ضمانت اجرایی مصوبات شورایعالی فضای مجازی در مورد امنیت سایبری وارد است توضیح داد و اظهار داشت: در زمینه امنیت سایبری وجود قانون ضروریست و بنابراین شورایعالی فضای مجازی در نظام مقابله با حوادث فضای مجازی تکلیف دستگاه ها برای امور مختلف را مشخص کرده است. دسته بندی خوبی در نظام پیشگیری بوجود آمده و تکلیف زیرساخت های حیاتی، غیر حیاتی، بخش خصوصی و آحاد جامعه مشخص شده است. طبق این نظام، مرکز افتا، مرکز ماهر، پلیس فتا و غیره حیطه وظایفشان را می دانند.
وی با اشاره به اینکه هر قانونی هرچقدر محکم و با خط و مرز مشخص باشد اما باز هم به مواردی برخورد می نماییم که با کاستی و اشکال احتمالی مواجه می باشد و میانگین اجرای قوانین در هیچ کجای دنیا به ۱۰۰ درصد نمی رسد، اضافه کرد: عملکرد شورایعالی فضای مجازی در حوزه امنیت خوب بوده است اما با این وجود نسبت به نیازمان به قوانین با کاستی مواجه هستیم.
عضو حقیقی شورایعالی فضای مجازی در مورد نیاز کشور به دانشگاه ها در حوزه امنیت و کمکی که دانشگاه ها می توانند برای ارتقای تاب آوری زیرساخت ها داشته باشند، تصریح کرد: در بحث امنیت سایبری نیازی به تحصیلات دانشگاهی نداریم بلکه نیازمند آموزش حرفه ای و تک درسی و چند درسی هستیم. کما اینکه قبلاً گرایش رایانش امن در مقطع کارشناسی وجود داشت و ۲۰ واحد درسی هم به آن اختصاص می یافت. اما در ۶ سال گذشته با تلفیق گرایش ها، دانشجویان کارشناسی کامپیوتر تنها ۳ واحد امنیت داده و شبکه می خوانند. این مورد اثر ویژه ای در افزایش توانمندی آنها در حوزه امنیت ندارد و تنها من باب آشنایی است. این واحدهای دانشگاهی هیچ آمادگی را برای کارشناسان سازمان ها ایجاد نمی نماید.
وی اظهار داشت: در حوزه کارشناسی ارشد هم در گرایش کامپیوتر امن ۱۵ واحد دانشگاهی از مبانی رمزنگاری تا امنیت نرم افزار تدریس می شود که باز هم کفایت نمی کند؛ دانش این حوزه باید حرفه ای باشد و توسط یک سری آموزشگاه ها که از سازمان پدافند غیرعامل، مرکز ماهر و افتا مجوز می گیرند باید آموزش داده شود.
جلیلی با اشاره به اینکه در حوزه پژوهش هم اقداماتی که در حال انجام می باشد در این سطح امنیت نیست، افزود: پرورش نیرو وظیفه دانشگاه ها است اما یک گستره ای از دانش وجود دارد که باید منطبق با هر نیاز کافرما، آموزش داده شود. سیستم آموزشی ما منطبق با دنیا است اما دانشگاه نمی تواند یک کارشناس ضد حمله برای آماده رزم در فضای مجازی آموزش دهد. بلکه احتیاج به آموزش و دوره دارد.
وی در مورد اینکه نمره ما در تاب آوری زیرساخت ها چند است، اضافه کرد: در همه جای دنیا بحث صدمه پذیری زیرساخت های حیاتی مطرح از درون و بیرون وجود دارد. ما هم در مجموع در وضع متوسط به بالا از نظر تاب آوری قرار داریم. با عنایت به شرایط تحریم های موجود از راه فضای مجازی این صدمه پذیری ها متصور است. مبدا این حملات امکان دارد از راه برخی کشورهای منطقه و خصومت ها یا رقابت ها باشد. به این علت نمی توان نمره تاب آوری کشور را با یک سری کشورهایی که دشمن ندارند، قیاس کرد.
عضو شورایعالی فضای مجازی با اشاره به اینکه در زمینه توان مغزافزاری ما از بهره هوشی و مغزافزاری دنیا سهم داریم و آمادگی پدافندی و افندی هم در کشور وجود دارد، در مورد نقش سازمان های بین المللی در مورد حملات سایبری اظهار داشت: در سطح بین المللی بسیاری از کشورها قوانین حملات سایبری در محدوده حمله سرزمینی دارند و ستاد نیروهای مسلح کشور ما هم اطلاعیه ای در این خصوص داده که در حد قانون است. به این مفهوم که حریم فضای مجازی ما به مثابه حریم هوایی ما به حساب می آید. در این حوزه سازمان ملل تاکنون به مبحث حریم امنیت سایبری کشورها ورود نکرده است و شاید منتظر هستند که جنگ جهانی بعدی در فضای مجازی اتفاق بیافتد.
۴۳ درصد حملات سایبری دنیا به مقصد ایران صورت می گیرد
اسماعیل باقری اصل کارشناس امنیت صنعتی هم در این جلسه آنلاین با اشاره به وجود برخی نقصان ها در بعضی زیرساخت های سایبری کشور، اظهار داشت: بررسی ها نشان داده است که ما در حوزه حاکمیتی امنیت سایبری شاهد ضعف های قانونگذاری، نبود دانش کافی و تحریم ها هستیم. به این علت شبکه ای که پیاده سازی می شود در آن بحث امنیت به صورت جدی پیگیری نمی گردد.
وی با اشاره به اینکه موارد مختلف نشت اطلاعات نتایج زیادی برای جامعه دارد و این ناامنی اگر مداوم باشد تبعات اجتماعی به همراه خواهد داشت، در مورد وضعیت زیرساخت های حیاتی کشور و اینکه ناامنی این زیرساخت ها در چه سطحی است، اظهار داشت: زیرساخت های حیاتی بیشتر در تأمین تجهیزات متمرکز هستند و با عنایت به مقوله تحریم ها، شاهد می باشیم که به روزرسانی یک سری از فیچرهای امنیتی سخت تر شده است. از طرفی شاهد ضعف در عرضه الزامات امنیتی هستیم و سازمان های بزرگ ما در کشور سند الزامات امنیتی را رعایت نمی کنند.
باقری اصل با تاکید بر اینکه استراتژی های امنیتی در کشور جدی گرفته نشده و به صدمات این حوزه توجه نمی گردد، اظهار داشت: طراحی شبکه هم گاهی ضعف های خیلی ساده دارد. برای مثال در یکی از رخدادهای صورت گرفته ضد یکی از سازمان های کشور، چندین سرور در یک پورت قرار داده شده بود و هیچ جداسازی در امنیت شبکه انجام نشده بود. از طرفی شاهد نقصان ابزارهای دانشی هستیم.
وی در مورد وضعیت تاب آوری زیرساخت های امنیتی اظهار داشت: آمارهای مراکز تحقیقاتی امنیتی مانند NOD۳۲ نشان داده است که ایران در حوزه حملات بدافزارهای موبایل، رتبه اول دنیا را دارد و کسپرسکی در این حوزه رتبه سوم را به ایران مختص کرده است. این در شرایطی است که ۴۳ درصد از حملات سایبری در دنیا به سمت ایران صورت می گیرد. این مسئله نشان داده است که کشورهای متخاصم تلاش در نفوذ به کشور ما دارند و طبیعی است که کشور ما را مورد هدف و هجوم قرار دهند.
این کارشناس نبود ساختار مشخص در مدیریت دسترسی را همچون نقصان های فعلی عنوان نمود و اضافه کرد: نبود مدیریت دسترسی داده های دیجیتال و نبود ساختار حوزه مسئولیت، می تواند به قانون گریزی کمک نماید. در این عرصه امکان اثبات جرم و تخلف وجود ندارد و نیاز داریم به سمت بلوغ برویم. حیطه های در ارتباط با داده ها را مشخص نماییم تا مسئولیت پذیری برای هر فرد مشخص شود.
وی تصریح کرد: در بحث قانونگذاری هم مجلس باید ورود کند و نهادهای حاکمیتی مانند شورایعالی فضای مجازی و هم مراکز افتا، ماهر و پدافند غیرعامل و وزارت ارتباطات هم اگر نقصی در حوزه وجود دارد را باید اعلام کنند. از طرفی باید در کشور پیمایش امنیت زیرساخت های حیاتی با دقت بیشتری پیگیری شود.


منبع:

1399/08/08
23:11:01
5.0 / 5
1563
این مطلب را می پسندید؟
(1)
(0)
X

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۸ بعلاوه ۴
میخواهید برنامه ای برای شما نوشته شود؟ سفارش توسعه نرم افزار


pcdevelopers.ir - مالکیت معنوی سایت توسعه دهندگان متعلق به مالکین آن می باشد