امنیت سایبری این روزها به یک کلاف درهمپیچیده تبدیل شده طوری که در جریان وقوع حملات، همه افراد میتوانند همزمان به عنوان مقصر و آسیبدیده تلقی شوند؛ در ایران هم پس از اتفاقهای اخیری که در فضای مجازی رخ داد، هشداری است برای مدیران سایتها، سرورها، شرکتهای ارایهدهنده اینترنت یا خدمات داده و اکنون باید به این سوال پاسخ داده شود که طی سالهای اخیر مسوولان امنیت سایبری چه میزان و به طور جدی به دنبال سازوکارها و اقدامات پیشگیرانه و محافظتی بودهاند؟
به گزارش مردم سالاری آنلاین، در دنیای امروز امنیت سایبری از اهمیت ویژهای برای کاربران و دولتها برخوردار است. سرقت شماره تلفن، کد ملی، رمز عبور و اطلاعات شخصی افراد از طریق سایتهای رسانههای اجتماعی یا بیرون کشیدن اسرار دستگاهها از فضای ابری همه و همه مواردی است که نگرانی کاربران را از امنیت اطلاعاتشان برمیانگیزد.
اما محافظت از شبکهها، دستگاهها و دادهها در برابر دسترسی غیرمجاز یا استفاده مجرمانه به عهده چه کسی است؟ کدام ارگان یا سازمان باید و میتواند محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات را تضمین کند؟
پاسخ به این سوال در این روزها که اخباری از هک برخی سایتهای دولتی، صداوسیما، افشای اطلاعات شخصی افراد یا نمایندگان مجلس و هک صفحات در فضای مجازی و بیش از گذشته به گوش میرسد، اهمیت امنیت را دوچندان کرده و در نتیجه نیاز به حفاظت از اطلاعات محرمانه و امنیت سایبری به یک موضوع اساسی تبدیل شده است.
فارغ از اینکه چه گروهی یا کسانی پشت پرده این حملات سایبری قرار دارند یا این حملات از داخل یا خارج از کشور انجام میشود و جدا از اینکه مدیران سایتها یا صفحات هک شده و آسیبدیده، چه واکنش یا نظری درباره علت این اختلالات یا حملات داشتند، موضوع امنیت زیرساختهای اینترنتی کشور عملا به بروز ابهامهای جدی میان مردم انجامید؛ شرایطی که یک سوی آن شایعات و سوی دیگر آن واقعیات قرار داشت. اکنون این سوال که آیا قرار است در آینده نیز شاهد وقوع چنین اتفاقهایی باشیم، بیشتر از گذشته اذهان را درگیر کرده است.
به اعتقاد کارشناسان زمانی که زیرساختهای مهم یک کشور مورد حمله سایبری قرار میگیرد، به این معناست که نوعی جدید از جنگ در حوزه سایبری شکل گرفته و در این میان مدیران و مسوولان سازمانها باید از حداقل اطلاعات امنیت سایبری برخوردار باشند.
بررسیها نشان میدهد که تراکنشهای مالی بسیاری در بستر اینترنت در حال انجام است و سازمانهای بزرگ دولتی بخشی از خدماتشان را در این بستر به ارباب رجوع ارایه میکنند. در نتیجه با بروز هر نوع اختلال در روند هر یک از این خدمات، ضرر بسیاری به دنبال دارد.
آیا با مشاهده حملات سایبری میتوان به این نتیجه رسید که سادهترین نکات امنیتی و پشتیبانگیری رعایت نشده و به آن اهمیت ندادهاند؟ ضعف فرهنگی و آموزشی چقدر تاثیرگذار است؟ وقتی مدیران رده بالای یک سازمان، سادهترین نکات امنیتی برای حفاظت از اطلاعات سازمانی یا سرویسهای اینترنتی را نمیدانند یا رعایت نمیکنند و یک مدیر درک درستی از مقوله امنیت ندارد؛ طبیعی است که در کل آن سازمان و شرکت، امنیت جدی گرفته نشده و شاهدیم یک مشتری با چندین ساعت کار روی یک سایت، میتواند آن را از دسترس خارج کند.
از سوی دیگر چندین سال است پروژه شبکه ملی اطلاعات کلید خورده اما به اعتقاد کارشناسان، هنوز شاهد خروجی ملموس و عینی کاربردی از آن نیستیم در حالی که چنین زیرساخت و شبکهای اینترانتی باید بتواند بسیاری از سایتها و سرورهای ایرانی را در خود جای داده و از حملات سایبری خارج از کشور محافظت کند.
همچنین باید بررسی شود که چرا بسیاری از شرکتها و سایتها به علت نبود سرویسهای خوب در ایران به سراغ سرورهای ارزانقیمت خارجی میروند و بعد شاهدیم به راحتی هک شده و از دسترس خارج میشوند. در حالی که یکی از اصول مقابله با جنگهای سایبری قدرتمندسازی زیرساختهای داخلی و ظرفیتسازی برای میزبانی سایتها و سرورهای داخلی است.
در این باره آیدین عدالت - عضو هیأت مدیره و رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی رایانهای تهران- معتقد است که طی سال های گذشته تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید باشد، در این حوزه بوده است و اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرآیندها و روشها پیاده میشود نه با تجهیزات.
به اعتقاد او بودجههایی که در سازمانها وجود دارد هم قدیمی هستند و هر سال حداکثر به اندازه تورم رشد دارند اما دو موضوع مهم در این باره وجود دارد؛ اول اینکه قیمت تجهیزات امنیتی در دنیا، جدای از نرخ ارز، به دلیل کمبود چیپست طی سه سال اخیر، به دلیل بیماری کرونا بیش از سه برابر افزایش داشته است. مسئله دیگر محدود و معدود شدن تخصص امنیت و متخصصان آن است یعنی سازمان ها انتظار دارند یک تکنسین متخصص شبکه که فقط کارهای ابتدایی را انجام می دهد و حقوق آن به طور مثال ۱۰ میلیون تومان است بتواند امنیت زیر ساخت یک وب سایت دولتی را تأمین کند. بنابراین شاید مهم ترین موضوع بحث نیروی انسانی باشد که به عنوان مهره ایجاد امنیت در زیر ساخت شبکه به شمار می رود و به عقیده کارشناسان بزرگترین پاشنه آشیل امنتیت سایبری در ایران نیروی انسانی است و باید به مشکلات موجود در این بخش توجه شود.
به گفته این کارشناس، یکی از اتفاقات مخل امنیت، عدم سیاستگذاری درست در رابطه با اینترنت است گفت اینکه شبکه ملی اطلاعات در کشور داشته باشد خیلی اتفاق خوبی است و سبب کاهش هزینه و افزایش دسترسی و به طبع افزایش امنیت میشود ولی متأسفانه اتفاقی که بعضا در زمینه اینترنت رخ داده مخصوصا در مواقعی که مشکل امنیت در جای دیگر جامعه وجود دارد، بستن پهنای باند اینترنت، یا مسدود و محدودسازی سایتهاست؛ در حالی که این موضوع کاربران را به سمت استفاده از ابزاری مانند وی پی ان سوق میدهد و استفاده از وی پی ان هم تمام پیشبینیها و الزامات دیده شده در شبکه دیده شده را میانبر زده و از آن عبور میکند.
به عبارتی زمانی که در یک سازمان یا منزلی تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به طور کلی الزامات در معماری شبکه رعایت شود اما کاربر با وی پی ان به یک سایت خارجی متصل شود، همه رشتههایی که برای امنیت سازمان چیده شده، پنبه میشود.
نکته مهمی که باید به توجه کرد این است امنیت یک فرآیند است نه یک عملیات بنابراین امنیت سایبری فرآیندی است که به صورت کامل باید انجام شود تا بتوان یک ساختار امنیتی را به وجود آورد حال اگر در بعضی از موارد نتوان به ساختاری که مد نظر بوده رسید، موضوع امنیت میتواند مخاطرات خود را داشته باشد.
درکنار موارد ذکر شده هزینه یکی از ملاکهای مهم امنیت سایبری است؛ طبق گفته حسن اسدی - رئیس کمیسیون شبکه سازمان نظام صنفی رایانهای تهران -برای فرایند امنیت سایبری باید هزینه انجام شود؛ اگر سازمانها این هزینهها را نپردازند، قطعا در این حوزه به مشکلاتی برخواهند خورد البته بخشی از هزینه هم برای این است که سازمانها مدیران لایقتری در این بخش داشته باشند چون در صورت نپرداختن هزینه، قطعا با مشکل مواجه خواهند شد. به عبارتی سازمانهایی که از نظر امنیت سایبری به مشکل برمیخورند احتمالا برای بخشهای خود در حوزه امنیت فناوری اطلاعات به اندازه مورد نیاز هزینه نمیکنند.
به اعتقاد این کارشناس، مشاهده میشود برخی شرکتهای سرویس دهنده اینترنت و میزبانی سایت، فقط بر کمیت تمرکز کردهاند و به دنبال مشتری و ارائه سرویس بیشتر و افزایش سرورهای خود بودند، گفت: این شرکتها بیشتر به دلیل هزینههای دیگری که دارند، سعی میکنند قیمتها را پایینتر بیاورند و درنتیجه مجبورند کیفیت را کاهش دهند و به تبع آن به کمیت اهمیت بدهند. از سوی دیگر برای اینکه در این موقعیت بتوانند با همردیفهای خود رقابت کنند، مجبورند که قیمتها را کاهش دهند و کاهش قیمت هم دلیل بر این است که حتما کیفیت مقداری پایین آمده است.
بر این اساس، اگر سازمانها بخواهند تیم امنیتی قوی داشته باشند، باید در مواردی مانند آموزش و فرهنگسازی نیروها هزینه کنند. خود موضوع فرهنگسازی در مجموعهها، عامل مهمی است تا نیروهایی تربیت شوند که از نظر فنی و درک مسائل امنیتی بالا باشند و بتوانند امنیت سایبری را حفظ را کنند.