تحلیل باگدشت از وضعیت زیرساخت امنیت سازمان ها در رسانه پیوست

با افزایش روز افزون استفاده همگانی از اینترنت و منتقل شدن بخش زیادی از اطلاعات کاربران به این شبکه ، امنیت بیشتر از هر زمان دیگری با اهمیت شده است. از این رو به گزارش رسانه پیوست می پردازیم.

زمین لرزه ای به قدرت چند ریشتر

اگر فقط مهمترین نشت‌های اطلاعاتی صورت گرفته طی یک سال و نیم گذشته ۱۱ عدد باشد، خود به تنهایی مشخص می‌کند کــه دولت باید هرچه ســریعتر اقدام به برنامه‌ریزی دقیق و ایجاد بسترهایی برای افزایش امنیت سامانه‌ها کند.درست زمانی که همه فرایندها و ارائه خدمات دولتی به ســمت الکترونیکی شدن پیش میرود و زندگی افراد روی بســترهای اینترنت قــرار می‌گیرد، انتشــار اخبار مبنی بر نشــت اطلاعات از ســازمان‌های دولتی می‌تواند نقش زلزله‌هایی را بازی کندکه هرکدام با ریشترهای مختلف خانه افراد را به لــرزه درمی‌آوردند و گاها از آن تنها ویرانه‌ای بر جــای می‌گذارد. هرچند در شرایط فعلی اخباری که از نشت اطلاعات یا نفوذ به ســامانه‌‎های دولتی منتشر می‌شود جزو اخبار موثق، یعنی اخباری که از ســمت مسئولان تایید شده باشد، به شــمار نمیرود اما نمی‌توان ازکنار این اخبار نیز به سادگی گذشت.

علل نشت اطلاعات سازمان‌ها از نگاه باگدشت

رویا دهبســته، مدیرعامل مجموعه باگدشت، فعال در زمینه باگ بانتی یا شناســایی باگ‌های امنیتــی، در خصوص علل نشــت اطلاعات در سامانه‌های دولتی می‌گوید: «سازمان‌های دولتی معمولاً به ســامانه‌های زیادی متصل هستند. هر خدمتی کــه دولت به صــورت الکترونیکی ارائه می‌کند مجموعه‌ای از ســامانه‌های نرم افزاری را داراست که هرکدام از این ســامانه‌ها به صورت مجــزا و با پیمانکار مجــزا راه‌اندازی شده است. بسیاری از این ســامانه‌ها ازیک خط مشی امنیتی یکســان پیروی نمی‌کنند و هــرکدام بنا بر نظر پیمانکار توســعه دهنده پیاده سازی شده اســت. یکی از اصولی که باید رعایت شود وجود یک کارشــناس یا یک تیم امنیتی واحد در مجموعــه دولتی اســت تا بــا ایجاد و بررســی Policyهای امنیتی مد نظر سازمان از چند دسته شدن سیاست‌های امنیتی یک سامانه جلوگیری شــود و پیمانکارهای مختلف، بر اســاس نیاز آن سازمان، پروتکل‌های امنیتی را رعایت کنند.

در ادامه دهبسته توضیح می‌دهد که اکثــر همکاری‌های ســازمان‌های دولتی بــا پیمانــکاران از طریق مناقصات انجام می‌شــود و تنها موضوعی که در مناقصات برای سازمان‌های دولتی اهمیت دارد هزینه اســت. در حالیکه به هیچ عنوان به دانش فنی، مــواردی که پیمانکار بــرای اجرا تعهــد می‌دهد و موضوعاتــی از این دســت کمتر اهمیت داده می‌شود. انعقاد قرارداد با شرکت‌هایی که واقعاً از لحاظ فنی و امنیتی کامل نیســتند خودش یکی از عواملی اســت که باعث آسیب‌پذیر بودن سازمان های دولتی می‌شود.

مساله بعدی نبود ارزیابی‌هــای امنیتی متداوم اســت. ســامانه‌های دولتی دســت‌کم بایــد دو بار در ســال ارزیابــی امنیتی شــوند تا نســبت به آسیب‌پذیری‌هایی که هر روز نسخه های جدیدی از آن ظهور می‌کند بروز باشند. از نظــر دهبســته مهمترین اقدامــی که در ســازمان‌های دولتی باید مــورد توجه قــرار گیرد، بروز بودن‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌‌کارکنان ســازمان‌های دولتی است. شــاید دوره‌های آموزشــی برای این کارکنان برگزار شــود اما معمولاً یــا این دوره‌ها کاربردی نیســت یا به کارکنان فضا و زمان کافی داده نمیشــود تا از این دانش بــه صورت عملی استفاده کنند.

موضوع پرداخت خســارت یا جبران خسارت یکی از مواردی اســت کــه این روزهــا در بین شــرکت‌های ایرانی بیشــتر از گذشــته شنیده می‌شــود. مدیرعامل باگدشــت در مورد وجود قوانین SLA ( موافقتنامه ســطح خدمات که در صورت بروز مشــکل یا از دست رفتن اطلاعات یا نقض حریــم خصوصی، مشــمول پرداخت یا جبران خسارت به کاربر می‌شود) در سازمان‌های دولتــی توضیح می‌دهــد: «این قوانین در ســند راهبردی افتای ریاست جمهوری آمده است که در آن بالاترین مقام یک سازمان را در قبال حفظ امنیت و جلوگیری از نشــت اطلاعات مسئول می‌داند اما متاســفانه لازمه اجرایی ندارد. همانطورکه دیده‌ایم بارها نشــت اطلاعات در سازمان‌های دولتی اتفــاق میافتد و به دلیــل نبود شواهد کافی، این مسایل در ســازمان‌ها جدی گرفته نمیشود».

مسئولان حاضر به پرداخت هزینه‌های پیشگیرانه نیستند

علیرضــا پورابراهیمــی، رئیس کمیتــه پدافند غیرعامل وزارت ارتباطات و کارشــناس امنیت، در مورد اهمیت مدیریــت و نگهداری اطلاعات میگوید: « باید افراد مســئولی را که در این زمینه اطلاعات کافی ندارنــد از اهمیت این حوزه و این دانش آگاه کنیم. متخصصان امنیت کشور زمانی میتوانند مفید باشــندکه ســازمان‌ها و مدیران بالادستی‌ برای این کار بودجه تعیین کنند.» او بــا انتقــاد از اینکــه مســئولان حاضر به پرداخت هزینه‌های پیشگیرانه نیستند میگوید: « متاسفانه بعد از رخداد حادثه که خیلی از مواقع جبران‌ناپذیر هم اســت، همه حاضر به پرداخت هزینه برایرفع مشــکل می‌شــوند؛ اما پیش از وقوع حادثه کسی بابت اینکار هزینه نمی‌کند.»

مســاله دیگری، اشــتباه در ارزشگــذاری اطلاعات اســت. به گفته پورابراهیمی مشکل در ارزشگذاری‌ها که بر اساس نظر ســازمان صورت می‌گیرد. در حالی که بســیاری ازمواقع ممکن اســت اطلاعاتی‌که برای ما اهمیت بالایی دارد بــرای فرد نفوذگر و سازمان پشت آن اهمیتی نداشته باشد یا برعکس، اطلاعاتی که برای سازمان اهمیت چندانی ندارد از نظر نفوذگران بسیار با اهمیت باشد. او معتقد اســت اگــر بتوانیم اطلاعــات را به درستی ارزش‌گذاری کنیم، امکان جذب بودجه برای این حوزه بیشتر خواهد بود.

وقتی پروژهایی در ابعاد ملی شروع می‌شود چند موضوع دارای اهمیت است. یکی خود موضوع و هدف اصلی پروژه اســت ویکی هم فعالیت‌های پشتیبانی کننده و بررســی پیامدهای اجرای آن طرح است. از آنجا که در حوزه فناوری اطلاعات، پیامدها و اتفاقات چندان ملموس نیست، طراحی فعالیت‌های پشــتیبانی کننده و بررسی پیامدها دشوارتر است.» پورابراهیمی ادامه می‌دهد: «اگر قرار است یک سیســتم اطلاعات مهمی از مردم، سازمان‌های دولتی و غیره در خــودش نگهداری کند، اهمیت فعالیت‌های پشتیبانی کننده دوچندان می‌شود. از طرفی نیز اهمیت اطلاعات یک سامانه با بالا رفتن تعداد کاربران و حجم اطلاعات رابطه مســتقیم دارد. زمانیکه سیســتمی را طراحی میکنیم، میدانیم که اطلاعاتی اهمیت بالایی دارد و از ابتدا باید به پیامدهای امنیتی آن توجه شود. »

 او معتقــد اســت در حــال حاضر در بیشــتر ســامانه‌های موجود اصلاً به این موضوعات فکر نکرده‌اند و تمام تمرکز فقط روی خدمات بوده است.

قانونی مشابه GDPR اروپا نیاز داریم

از نظر برخی فعالان حوزه امنیت نبود فرهنــگ، حمایت نکردن مدیران ارشــد و نبود درک صحیــح از اهمیــت حوزه امنیــت و تاثیر مستقیم آن در کسب‌وکار ســازمان، مولفه‌های اصلی فقــدان امنیــت در ســازمان‌های دولتی اســت و راهکار آن هــم ایجاد قانــون مدون و لازم الاجرا اســت. به همین خاطر است که تمامی کارشناســان به لزوم تدوین قانونی مشابه قانون GDPR اتحادیه اروپا اشاره می‌کنند.

علیرضا قهرود، مشــاور و ممیز حوزه امنیت با رویکرد دفاع ســایبری، در خصوص مشکلات امنیتی در ســازمان‌های دولتی و شــرکت‌های ایرانی میگوید: «قانونی به نام GRPR یا مقررات عمومــی حفاظــت از داده اتحادیــه اروپا وجود داردکه از ســال۲۰۱۶در اروپا تصویب شــده و به‌طورخلاصه عنــوان می‌کندکه اگر به هر علتی اطلاعــات‌ شــهروندان اروپایی به وســیله‌ یک شرکت یاسازمان نشت پیدا کند و مشخص شود که آن شرکت قوانینGDPRرا به درستی رعایت نکرده و داده‌هایش به صورت غیرقانونی درز پیدا کرده، بین دو الی پنج درصد درآمد سالانه یا تا سقف۲۰میلیون یورو جریمه خواهد شد. ما هم در داخل کشور به این قانون نیاز داریم تا سازمان‌های داخلی‌ای که اطلاعات مهــم کاربران خود را در پایگاه‌های داده‌شان ذخیره میکنند بابت حفاظت از این اطلاعات هزینه کنند و در برابر آن پاسخگو باشند». او می‌گوید بزرگترین مشــکل سازمان‌های دولتی این اســت که هنوز اهمیت حوزه امنیت را به خوبی درک نکرده‌اند وبه هزینه‌های امنیتی به چشم هزینه اضافه‌ یا به چشم هزینه‌های لاکچری نگاه می‌کنند. مشــکل دیگری که قهرود عنوان می‌کنــد نبود قوانین مشــخص و مدون در حوزه امنیت و پرداخت خســارت است.

مولفه دوم انجام ندادن مدیریت ریســک اســت. او در این باره می‌گویــد: «در کشــورهای خارجی اولین قدم بــرای مدیریت ریسک، بحث آموزش است و پس از آن رعایت اســتانداردهای بین المللی قــرار دارد. در درجه ســوم برای جلوگیری از هرگونه خطر احتمالی، خرید محصولات امنیتی در دستورکار سازمان‌ها قــرار می‌گیرد تا اگر با وجــود آموزش و رعایت اســتانداردهای مشخص، باز هم ســازمانی در معرض ریســک قرار گرفت، محصولات امنیتی جلوی بــه خطر افتــادن اطلاعات ســازمان را بگیرند». به گفته قهرود، مشــکلی که درکشور ما وجود دارد این اســت کــه دو قــدم اول در مدیریت ریســک،یعنی آمــوزش و اســتاندارد، رعایت نمی‌شــود.

نکته دیگری که قهرود برمی‌شمرد پیکربندی نرم‌افزارها و محصولاتی اســت که روی سیستم نصب میشوند. اودر این باره می‌گوید نرم‌افزارها باید به درستی پیکربندی شوند. اینکه همینطور پشــت هم چند بارNextبزنیم و نرم‌افزار نصب کنیم هیچ فایدهای ندارد. پیکربندی بر اساس نیاز سازمان بهترین اقدام برای نصب نرم‌افزار است. قهرود گام بعدی در رعایــت نکات فنی را چنین توضیح می‌دهد: «هر سرویس، سرور و محصولی که داریم باید به‌ صورت مستمر وصله‌های امنیتی دریافت کند. »

قهرود معتقد اســت پس از آنکه محصول را از مرجع قانونی و رسمی دریافت‌کردیم، به درستی پیکربندی کردیم، و وصله‌های امنیتی مســتمر را روی آن اعمــال کردیم، باید مقاومســازی و امن‌ســازی کنیم. از نظر قهرود علاوه بر موارد ذکرشده، اقدامات امنیتی بسیاری وجود داردکه ســازمان‌ها باید باکمک مشاوران و متخصصان امنیتی به آنها عمل کنند و ریســک هک و نشت اطلاعات را به حداقل برسانند.

درخواست مجوز امنیتی پیش از عقد قرارداد با شرکتهای نرم‌افزاری

اما نکته‌ای که شــاید تاکنون مغفول مانده باشد پرداخت نکردن خســارت از سوی کسانی است که دیتاها یــا اطلاعات کاربرانشــان از طریق سامانه آنان نشــت پیداکرده است. در تمامی مواردی  که نشــت اطلاعات صورت گرفته خســارتی از ســوی گردآورندگان دیتا بابت آن نیز پرداخت نشده است.

حجت کهندل، عضو هیات مدیره شرکت فپنا، شــرکتی که در زمینه جرم یابی قانونی دیجیتالی فعالیــت میکند، در مورد پاســخگویی و جبران خسارت شــرکت‌ها و ســازمان‌هایی که نشت اطلاعاتــی در آنها صورت گرفتــه می‌گوید در این زمینه هــم قانون وجود دارد و هــم ندارد. او می‌گوید درخصوص نشــت اطلاعــات یا نقض حریم خصوصــی از ســوی کاربــر حقیقی این قانون وجود دارد وکاربــر می‌تواند با مراجعه به پلیس فتا شــکایت تنظیم کند. امــا کهندل میگویــد در مورد ســازمان‌ها و شــخصیتهای حقوقی چندان قانــون مدونی وجود ندارد و اینطور نیســت که سازمان‌ها پس ازنشــت اطلاعات محرمانه یا نشــت اطلاعات کاربــران،مــورد ارزیابی خســارت یــا مورد بازخواســت قرار گیرند.

او می‌گوید ســازمان‌ها و ارگان‌هــای امنیتی کشور در صورت استفاده از راهکارهای سازمانی بیرونی، از این شرکت‌ها درخواستCertificate ومجوز امنیتی می‌کنند. اما اگر خود این سازمان‌ها مربوط‌ به نهادهای امنیتی‌کشور نباشند، خیلی به مساله دریافت گواهی امنیتی اهمیتی نمی‌دهند. کهندل می‌گویــد درخواســت Certificate از شــرکت‌های نرم‌افزاری هنــگام عقد قرارداد باعث می‌شــود پس از وقوع حادثه، بازخواست شــرکت ارائه‌ دهنده مجوز و گواهی امکانپذیر باشد. عضو هیات مدیره شــرکت فپنا درباره مجرم شناخته شدن یا نشدن نیروی سازمانی که نشت اطلاعات از طریق او انجام شــده میگوید: «این مساله پارامترهای متفاوتی دارد. اینکه آیا نیروی سازمان پیش از نشــت اطلاعات به طور صحیح آموزش داده شده یا نه؟ اینکه آیا نشست اطلاعات از روی ناآگاهی و سهواً انجام شده یا عمدی بوده؟ و مسائل مختلف دیگر همه در مجرم شناخته شدن یا نشدن نیروی سازمان دخیل است».

به عقیده کهندل، این مســاله بســیار پیچیده است و باید بررســی‌های دقیقی صورت بگیرد تا مشخص شود شخص به صورت آگاهانه مرتکب اشتباه شــده یا فقط از روی ناآگاهی چنین اتفاقی را موجب شده اســت. به گفته او، به‌طورکلی اگر نیروی سازمانی آموزش درســت ندیده باشد و ســهواً باعث نشت اطلاعات شــده باشد، مقصر نیست. اما اگرآموزش دیده باشد و به طور سهوی باعث نشت اطلاعات شده باشد، سازمان می‌تواند برای او جریمه شخصی از جمله توبیخ، تنزل رتبه یا کسر از حقوق تعیین کند. از طرفی اگر ثابت شود که نیروی انســانی، فــارغ از اینکه آموزش دیده یا ندیــده، به‌طور عمدی و آگاهانه باعث نشــت اطلاعات شــده و این اطلاعات، محرمانه، حیاتی، مهم یا ملی باشــد، فرد مجرم شــناخته شده و به مراجع قضایی تحویل داده می‌شود.

به نظــر می‌رســد چنان کــه کارشناســان زمین شناسی سال‌هاســت منتظر زمین لرزهای به قدرت هشــت ریشــتر در تهران هســتند، کارشناســان امنیــت نیز ایــن روزهــا نگران احتمال وقوع زلزله در هــر لحظه با افزایش میزان داده‌ها در ســامانه‌های مختلف و شفاف نبودن نحوه دسترسی و چگونگی نگهداری داده‌ها در ســامانه‌های مختلف افزایش می‌یابد. زلزله‌ای که نه تنها می‌تواند ساختار یک سامانه را ویران کند بلکه زندگی افراد را نیز تحت تاثیر قرار خواهد داد.

برای مطالعه کامل این مطلب میتوانید به رسانه خبری پیوست مراجعه فرمائید.

در صورت تمایل به اشتراگ بگذارید