لازمه های حفظ و ارتقاء امنیت شبکه سازمان های بزرگ
باشگاه خبرنگاران جوان گزارش می دهد؛
به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، اواخر روز پنج شنبه سایت سازمان تامین اجتماعی برای مدت کوتاهی از دسترس خارج و به اصطلاح هک شد. پس از گذشت مدت زمانی این سایت دوباره به حالت اول خود بازگشت، هک شدن چنین سایتی که به طور مستقیم اطلاعات میلیون ها کاربر را در اختیار دارد سبب شد تا کاربران حقوق بگیر و مستمری بگیر این سازمان نگران امنیت اطلاعات بیمه ای خود شوند.
محمدحسن زاد سرپرست سازمان تامین اجتماعی در پی این حمله اینترنتی اعلام کرد: امنیت کامل تمامی سامانه ها، اطلاعات و سوابق بیمه شدگان، مستمری بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست. وی سپس در صفحه رسمی اینستاگرام خود نوشت:
«توضیح ضروری!
لازم است از تلاش و همدلی کارشناسان حوزه راهبری سیستم های سازمان تامین اجتماعی، شرکت خدمات ماشینی تامین و سایر ادارات کل و عزیزانی که در روز گذشته تا بامداد امروز با تلاش خود توانستند از تمامی سامانه های اطلاعاتی سازمان تامین اجتماعی در برابر حملات گروه خرابکار اینترنتی محافظت کنند تقدیر و تشکر کنم. همکاران بنده در کمترین زمان ممکن از این حمله آگاه، در سریعترین زمان ممکن وارد عمل شده و مقابله کرده و ابعاد فنی را بطور کامل بررسی و اقدامات لازم را انجام دادند. البته این گروه برای دقایق بسیار کوتاهی توانست به سایت خبری سازمان؛ تاکید می کنم سایت خبری، نفوذ کرده و اطلاعات مبهم و دستکاری شده خود را منتشر کند که بلافاصله با واکنش کارشناسان سازمان مواجه شد. خوشبختانه بررسی های دقیق تیم های فنی حکایت از صحت و سلامت تمامی سامانه ها، اطلاعات و سوابق بیمه شدگان، مستمری بگیران و کارفرمایان عزیز دارد و جای هیچ نگرانی نیست. در ضمن مراکز و نهادهای مسئول نیز پیگیری های لازم و قانونی را از ساعت های اولیه دیروز آغاز کرده اند که از این عزیزان هم سپاسگزارم.نکته قابل توجه این است که این گروه هکر پیش از این اقدام در کانال تلگرامی خود اعلام کرده بود که قصد چنین کاری را دارد.این گروه که سابقه خرابکاری در سایر سازمان ها از جمله هواپیمایی را در کارنامه خود دارد در پست منتشر شده در کانال تلگرامی خود نوشه بود:« ما گروه تپندگان بزودی با هک یکی از سیستمهای کامپیوتری معتبر نظام مدیریت اقتصادی ناکار آمد دولت را افشا خواهیم کرد.این افشاگری از آینده اقتصادی نامعلوممان و فروپاشی اقشار زحمت کش، جوان و مستمری بگیران پرده بر میدارد.تا کی؟! ما را دنبال کنید و به اشتراک بگذارید.»
گروه خرابکار و ضدانقلابی که ماهیت فعالیت خود را به عنوان فعالان مدنی در مبارزه با فساد حکومتی و نبود عدالت تعریف کرده اند، پس از آنکه سایت تامین اجتماعی برای مدت زمانی از دسترس خارج شد، دست به انتشار تصاویری زدند که نشان می داد این خرابکاری، کار آنها بود. این گروه خرابکار تلاش کردند با انتشار اسناد رسمی سازمان تامین اجتماعی همراه با سیاه نمایی و تاکید بر بدهی های این سازمان، میلیون ها کاربر درگیر این سازمان را نگران کنند. هدف آنان از این امر جا انداختن این موضوع در افکار عمومی است که چنین سازمان بزرگی بر اثر مدیریت سوء و سیاست های کلان اقتصادی ناکارآمد در آستانه فروپاشی قرار دارد.
گفتنی است، دی مال سال ۹۶ این گروه با تسلط بر سیستم کامپیوتری فرودگاه مشهد موجودیت خود را اعلام کردند. این گروه بار دیگر در روز چهارشنبه ۲۱ فروردین ماه با انتشار اطلاعیه ای اعلام کردند که مجددا بر کامپیوترهای فرودگاه مشهد مسلط شدند و تأکید کردند: «ما گروه تپندگان در این لحظات بر سیستم های کامپیوتری فرودگاه مشهد مسلط شده تا اعتراضمان را به گوش همگان برسانیم.»
براساس مصوبه نظام ملی پیشگیری و مقابله با حوادث فضای مجازی که در جلسه شورای عالی فضای مجازی به تصویب رسید، حوادث فضای مجازی در حوزه عمومی به وقوع می پیوندد، باید توسط نیروی انتظامی مورد رسیدگی قرار گیرد و حوادثی که در سازمان ها رخ می دهد از طریق وزارت ارتباطات و فناوری اطلاعات رسیدگی شود. همچنین در این مصوبه همه دستگاه ها موظف شدند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و در این رابطه از امکانات بخش خصوصی استفاده نمایند. طبق این مصوبه مسئولیت جمع آوری ادله دیجیتال در جرائم عمومی فضای مجازی به عهده نیروی انتظامی است و مسئولیت جمع آوری ادله دیجیتال تخلفات اداری در سازمان ها به عهده سازمان حراست کل کشور خواهد بود.
امیر ناظمی معاون وزیر ارتباطات در نخستین واکنش رسمی از طرف وزارت ارتباطات و فناوری اطلاعات به حمله اینترنتی هکرها به سامانه سازمان تامین اجتماعی، در حساب کاربری خود در توییتر تأکید کرد در اطلاع رسانی چالش های امنیتی سامانه های دولتی و خصوصی مداخله نمی کنیم و نوشت:
«نگاه سیستمی و تقسیم مسئولیت به ما حکم می کند در خصوص اطلاع رسانی چالش های امنیتی سامانه ها و سایت های دولتی و خصوصی مداخله نکنیم و این امر تابع سیاست های سازمان مذکور باشد، هرچند از زمان صفر در کنارشان هستیم و گاه پیش از آنکه خودشان متوجه شوند، مرکز ماهر به آنان اطلاع می دهد»
«در این گونه رویدادها نحوه تعامل با جامعه یک تصمیم گیری سخت برای سازمان ها و کسب وکارهاست. ما به خود اجازه مداخله در این امر را نمی دهیم، هرچند بر اساس راهبرد خود همواره پاسخ گویی سریع، شفافیت و مشارکت عمومی را ارکان امنیت بلندمدت می دانیم و پیشنهاد هم می دهیم.»
حسین نوری خواه مدرس دانشگاه، پژوهشگر فضای مجازی و فناوری اطلاعات در گفتگو با خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، در خصوص خلاهای موجود در حوزه امنیت شبکه و اقدامات پیش رو برای ارتقا امنیت شبکه گفت: در کشور ما خدماتی که در حوزه فناوری اطلاعات دریافت می شود معمولا از شرکت های اصلی تولیدکننده دریافت نمی شود؛ به همین دلیل برای موضوع امنیت سامانه ها خلائی وجود دارد، به این معنی که اگر سیستم عاملی برای سرورها، پایگاه داده و زیرساخت های نرم افزاری این ها مورد استفاده قرار می گیرد، از شرکت های اصلی تولیدکننده دریافت نمی شود. به خاطر همین هم خدمات متناسب معمولا یا وجود ندارد یا بعضا توسط شرکت هایی انجام می شود که شاید دانش کافی را ندارند. همین طور نرم افزار و سرورها و خدماتی که عرضه می شوند نیاز به نگهداری مستمر و بررسی مستمر آسیب پذیری ها و ارائه راهکارها دارند، به این معنی که همیشه باید سرورهایی که مورد استفاده قرار می گیرد برای خدمات پراستفاده به روز باشد، جدیدترین راه حل های مقابله با آسیب پذیری ها نصب شده باشد و به طور مستمر هم از ابزارهای پایشی استفاده شود که خطرات احتمالی را بتوان شناسایی کرد.
وی در ادامه با تاکید بر این نکته که تمامی این موارد نیازمند هزینه و پایش مستمر است گفت: مراکزی در کشور وجود دارد برای اینکه این موضوعات را پایش کند. ما در داخل کشور در حال حاضر مرکز ماهر«مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای» را داریم که اگر آسیبی در رایانه ها و نرم افزارها کشف شود این مرکز موظف است که آن ها را گزارش دهد و راهنمایی کند که سازمان های دولتی و همین طور شرکت ها بتوانند خودشان را ارتقا دهند و به نوعی در مقابله با این آسیب ها خودشان را ارتقا دهند. این مرکز در سال ۸۷ ایجاد شد و به نوعی زیر مجموعه وزارت ارتباطات و سازمان فناوری اطلاعات است و سه وظیفه آموزش، مشاوره و اقدام پیشگیرانه برای این مرکز درنظر گرفته شده است.
نوری خواه در ادامه به بیان علت وقوع چنین حوادثی پرداخت و گفت: وضعیت حال حاضر خدمات دهی سرویس های رایانه ای در کشور ما خیلی مطابق با استانداردهای جهانی نیست. ابزارهای مورد استفاده و روند نگهداری و بروزرسانی خیلی از استانداردهایی که در دنیا وجود دارد تبعیت نمی کند به همین دلیل هم آسیب پذیری های بسیاری در سرورها و نرم افزارها و سخت افزارهای مورد استفاده وجود دارد که نفوذگرهای اینترنتی از اینها بهره می گیرند و مثلا صفحه یک سایتی را تغییر می دهند یا اینکه وبسایتی را برای مدتی از دسترس خارج می کنند.
این پژوهشگر فضای مجازی با اشاره به اتفاق پیش آمده برای سایت سازمان تامین اجتماعی بیان کرد: سرپرست سازمان تامین اجتماعی گفت: «امنیت کامل تمامی سامانه ها،اطلاعات و سوابق بیمه شدگان و مستمری بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست» اما اتفاقی که افتاده است این است که صفحه سایت خبری این سازمان دستکاری شده است و اطلاعاتی را مبهم و دستکاری شده منتشر کردند.
نوری خواه در واکنش به این اقدام خرابکارانه این گروه سایبری گفت:من فکر می کنم باید به دقت وضعیت سامانه های این سازمان مورد بررسی قرار بگیرد.چون اگر اطلاعات خبری مورد دستبرد قرار گرفته است به این معنی نیست که لزوما دیگر سامانه هایشان مورد تخریب و سرقت قرار گرفته استو از طرف دیگر هم نمی توان مطمئن بود که این اتفاق نیفتاده است.
وی با بیان مصداق بروز چنین اتفاقی در دنیا گفت : زمانی که چنین اتفاقی در دنیا می افتد باید بررسی دقیقی در تمامی سامانه های این سازمان انجام شود تا اولا مشخص شود در قبال استانداردهای امنیت چقدر به نوعی از استانداردها تبعیت می کنند و چقدر از ابزارهای بررسی خودککار امنیت استفاده می کنند و چقدر سیستم های آن ها به روز است و چقدر ابزارهایی مثل دیوار آتش و ویروس یاب ، اسکنرهای آسیب پذیری تجهیزات و امکاناتی از این دست به خوبی استفاده می کنند و همین طور سامانه هایی کهمورد هجمه قرار گرفته به دقت مورد بررسی قرار بگیرد که احیانا ردپاهایی از مهاجمین به دست بیاسد که البته معمولا خیلی سخت است و اگر آسیب هایی وارد شده به این سامانه ها و اطلاعاتی سرقت شده است و تخریب هایی انجام شده است این ها مستند شود و اگر سامانه های مهم دیگری متصل به این سامانه بودند بالاخره اطمینان حاصل شود که این سامانه ها دچار اشکال نشدند پس اصل مشکل از این جا است که نگهداری این سامانه ها به خوبی انجام نمی شود و به نوعی از استانداردهای کافی در حوزه امنیت اطلاعات برخوردار نیستند.
نوری خواه در ادامه در پاسخ به این سوال که «چگونه امنیت یک شبکه را می توان ارتقا داد» گفت:با بررسی بهتر تحولات در عرصه امنیت، با پایبندی به استانداردهای دقیقی که در این حوزه وجود دارد و در نهایت با استفاده از خدماتی که تولید کننده های اصلی سخت افزار و نرم افزار ارائه می دهند اگر امروز ما تحریم هستیم خوب نرم افزارهای متن باز و کدباز ، open source گزینه بسیار خوبی هستند به عنوان جایگزین برای محصولاتی که برخی از شرکت های آمریکایی و اروپایی می دهند که ممکن است در دسترس ما به طور مستقیم نباشد.
این استاد دانشگاه با تاکید بر این نکته که راه برای امن سازی سامانه های بومی سامانه هایی که در داخل کشور تولید می شوند و یا حداقل از سامانه های متن باز استفاده می کنند فراهم است بیان کرد:در نهایت مدیران فناوری در سازمان های بزرگ کشور باید حتما مسیر و راهکار و برنامه مشخصی را برای امن سازی سامانه های حیاتی کشور داشته باشند و پیاده کنند.
نوری خواه در خصوص وجود تکنولوژی های لازم برای چرکردن خلاهای موجود در حوزه امنیت شبکه گفت: اگر ما به سمت استفاده از ابزاده و نردم افزارهای متن باز یا کدباز که ریزترین اجزای آن دردسترس هست و جزئیات کارکرد آن ها موجود است این امکان را داریم که در سطح قابل قبولی در مقایسه با شرکت ها و مراکز دیگر دنیا فعالیت ایمن و امنی را داشته باشیم اما اگر از نرم افزارها و ابزارهای متن بسته یا کدبسته استفاده کنیم شرایط واقعا سخت است چون از جزئیات و عملکرد این سامانه ها ما با خبر نیستیم و امن سازی چنین سامانه هایی خیلی دشوار است پس در سرورها بالاخره الان ما می بینیم که بسیاری از سرورهای جاهای مهم دنیا از سیتم عامل لینوکس استفاده می کنند که یک سیتم عامل متن باز است که در اختیار همگان است که ما اگر از این دانش و فناوری و این نرم افزاری که این دانش و فناوری را به نوعی کار می برد اگر بتوانیم به خوبی استفاده کنیم در لایه سیستم عامل می توانیم بالخره با خیلی از این چالش ها مقابله کنیم در لایه نرم افزار و لایه ای دیگر ی که مطرح است باز هم گزینه های مناسبی وجود دارد که اگر ما به خوبی بشناسیم و ازآن ها استفاده کنیم کما اینکه در کشور هم در خلیی از جاها استفاده می شود می توانیم در این زمینهها هم موفق باشیم .پس را ه باز است و بستگی به این دارد که ما چقدر از ابزارهایی که که در دنیا وجود دارد به صورت متن باز و در اختار ما هم می تواند باشد به خوبی استفاده کنیم.
او در ادامه با اشاره به طرح دژفا وزارت ارتباطات و توان دفاعی کشور گفت:این طرح ها، طرح های خوبی است حالا پرژه های مختلفی به نوعی در اینجا مورد بهره برداری قرار گرفته است که در زیر پروژه ای را که ذیل رژفا به آن اشاره شده است در رسانه ها از جمله باشگاه خبرنگاران نیز جزئیات آن منتشر شده است سامانه هایی است که ما در در داخل کشئر به آن ها نیاز داریم اما من فکیر می کنم این گام اول است .در راستای تلاش هایی که پیش از این در ۱۰، ۲۰ سال گذشته انجام شده است و نمونه هایی از این محصولات در کشور ایجاد شده است .این که تعداد ؟؟کشف ؟؟ بیشتر شود یک گام از مسئله است کیفیت کار این محصولات هم خیلی مهم است اینکه بالاخره صرف اینکه تعداد کشفیات بیشتر شود نشان دهنده این نیست که ما بخش زیادی از مسیر را رفتیم من فکر می کنم مسیر کماکان پابرجا است و مسئله موضوعی است که ممتد و ادامه دار باید باشد و به نوعی ما بتوانیم در لبه دانش و فناوری در دنیا رقابت کنیم و بتوانیم با محصولات دیگری که در دنیا به روز می شوند و در قبال آسیب های جدید هم خودشان را ایمن می کنند ما هم بتوانیم محصولات مناسبی را ارائه دهیم.
در پایان نیز نوری خواه با اشاره به توییت رئیس سازمن فناوری اطلاعات گفت: ما اگر مقایسه کنیم با سایر مراکز مشابه در دنیا اتفاقا آن ها این مسئولیت را برای خودشان در نظر می گیرند.مثلا در سال ۱۹۸۸ این مفهوم در آمریکا شکل گرفت می بینیم که آن ها این جایگاه را برای خود قائل هستند که تک تک چالش ها و هم راهکارهای ارائه شده را ثبت کنند و ذیل پایگاه داده ای که برای تمامی چالش های به وجود آمده دارند و همین طور ابزارهایی را ارائه بدهند که هرکسی بتواند در دنیا سامانه خود را بررسی کند و اگر مشکلی دارد یا هرکدام از آسیب پذیری ها در سیستم فرد وجود دارد بتواند متوجه شود و جلوی آن را با نصب راه حل ها بگیرد.این مسئولیت را این مراکز در سایر کشورهای دنیا برای خودشان در نظر می گیرند اما بالاخره هر مرکزید در دنیا با توجه به قابلیت ها و امکانات و توانی که دارد بالخره امکانات را در اختیار کشور خود قرار می دهد و بالاخره شاید مراکزی که در کشور ما هست باید خیلی بیشتر تلاش کنند تا به آن توانایی ها برسند و بتوانند خدمات بهتری را به مردم عرضه کنند. شاید با شرایط فعلی ما چیزی که دیدیدم از مرکز ماهر و خروجی هایی که دارد به نظر می رسد با آن چیزی که باید باشد فاصله دارد.
انتهای پیام/
به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، اواخر روز پنج شنبه سایت سازمان تامین اجتماعی برای مدت کوتاهی از دسترس خارج و به اصطلاح هک شد. پس از گذشت مدت زمانی این سایت دوباره به حالت اول خود بازگشت، هک شدن چنین سایتی که به طور مستقیم اطلاعات میلیون ها کاربر را در اختیار دارد سبب شد تا کاربران حقوق بگیر و مستمری بگیر این سازمان نگران امنیت اطلاعات بیمه ای خود شوند.
محمدحسن زاد سرپرست سازمان تامین اجتماعی در پی این حمله اینترنتی اعلام کرد: امنیت کامل تمامی سامانه ها، اطلاعات و سوابق بیمه شدگان، مستمری بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست. وی سپس در صفحه رسمی اینستاگرام خود نوشت:
«توضیح ضروری!
لازم است از تلاش و همدلی کارشناسان حوزه راهبری سیستم های سازمان تامین اجتماعی، شرکت خدمات ماشینی تامین و سایر ادارات کل و عزیزانی که در روز گذشته تا بامداد امروز با تلاش خود توانستند از تمامی سامانه های اطلاعاتی سازمان تامین اجتماعی در برابر حملات گروه خرابکار اینترنتی محافظت کنند تقدیر و تشکر کنم. همکاران بنده در کمترین زمان ممکن از این حمله آگاه، در سریعترین زمان ممکن وارد عمل شده و مقابله کرده و ابعاد فنی را بطور کامل بررسی و اقدامات لازم را انجام دادند. البته این گروه برای دقایق بسیار کوتاهی توانست به سایت خبری سازمان؛ تاکید می کنم سایت خبری، نفوذ کرده و اطلاعات مبهم و دستکاری شده خود را منتشر کند که بلافاصله با واکنش کارشناسان سازمان مواجه شد. خوشبختانه بررسی های دقیق تیم های فنی حکایت از صحت و سلامت تمامی سامانه ها، اطلاعات و سوابق بیمه شدگان، مستمری بگیران و کارفرمایان عزیز دارد و جای هیچ نگرانی نیست. در ضمن مراکز و نهادهای مسئول نیز پیگیری های لازم و قانونی را از ساعت های اولیه دیروز آغاز کرده اند که از این عزیزان هم سپاسگزارم.نکته قابل توجه این است که این گروه هکر پیش از این اقدام در کانال تلگرامی خود اعلام کرده بود که قصد چنین کاری را دارد.این گروه که سابقه خرابکاری در سایر سازمان ها از جمله هواپیمایی را در کارنامه خود دارد در پست منتشر شده در کانال تلگرامی خود نوشه بود:« ما گروه تپندگان بزودی با هک یکی از سیستمهای کامپیوتری معتبر نظام مدیریت اقتصادی ناکار آمد دولت را افشا خواهیم کرد.این افشاگری از آینده اقتصادی نامعلوممان و فروپاشی اقشار زحمت کش، جوان و مستمری بگیران پرده بر میدارد.تا کی؟! ما را دنبال کنید و به اشتراک بگذارید.»
گروه خرابکار و ضدانقلابی که ماهیت فعالیت خود را به عنوان فعالان مدنی در مبارزه با فساد حکومتی و نبود عدالت تعریف کرده اند، پس از آنکه سایت تامین اجتماعی برای مدت زمانی از دسترس خارج شد، دست به انتشار تصاویری زدند که نشان می داد این خرابکاری، کار آنها بود. این گروه خرابکار تلاش کردند با انتشار اسناد رسمی سازمان تامین اجتماعی همراه با سیاه نمایی و تاکید بر بدهی های این سازمان، میلیون ها کاربر درگیر این سازمان را نگران کنند. هدف آنان از این امر جا انداختن این موضوع در افکار عمومی است که چنین سازمان بزرگی بر اثر مدیریت سوء و سیاست های کلان اقتصادی ناکارآمد در آستانه فروپاشی قرار دارد.
گفتنی است، دی مال سال ۹۶ این گروه با تسلط بر سیستم کامپیوتری فرودگاه مشهد موجودیت خود را اعلام کردند. این گروه بار دیگر در روز چهارشنبه ۲۱ فروردین ماه با انتشار اطلاعیه ای اعلام کردند که مجددا بر کامپیوترهای فرودگاه مشهد مسلط شدند و تأکید کردند: «ما گروه تپندگان در این لحظات بر سیستم های کامپیوتری فرودگاه مشهد مسلط شده تا اعتراضمان را به گوش همگان برسانیم.»
براساس مصوبه نظام ملی پیشگیری و مقابله با حوادث فضای مجازی که در جلسه شورای عالی فضای مجازی به تصویب رسید، حوادث فضای مجازی در حوزه عمومی به وقوع می پیوندد، باید توسط نیروی انتظامی مورد رسیدگی قرار گیرد و حوادثی که در سازمان ها رخ می دهد از طریق وزارت ارتباطات و فناوری اطلاعات رسیدگی شود. همچنین در این مصوبه همه دستگاه ها موظف شدند که با حوادث فضای مجازی دستگاه مربوط به خود مقابله کنند و در این رابطه از امکانات بخش خصوصی استفاده نمایند. طبق این مصوبه مسئولیت جمع آوری ادله دیجیتال در جرائم عمومی فضای مجازی به عهده نیروی انتظامی است و مسئولیت جمع آوری ادله دیجیتال تخلفات اداری در سازمان ها به عهده سازمان حراست کل کشور خواهد بود.
امیر ناظمی معاون وزیر ارتباطات در نخستین واکنش رسمی از طرف وزارت ارتباطات و فناوری اطلاعات به حمله اینترنتی هکرها به سامانه سازمان تامین اجتماعی، در حساب کاربری خود در توییتر تأکید کرد در اطلاع رسانی چالش های امنیتی سامانه های دولتی و خصوصی مداخله نمی کنیم و نوشت:
«نگاه سیستمی و تقسیم مسئولیت به ما حکم می کند در خصوص اطلاع رسانی چالش های امنیتی سامانه ها و سایت های دولتی و خصوصی مداخله نکنیم و این امر تابع سیاست های سازمان مذکور باشد، هرچند از زمان صفر در کنارشان هستیم و گاه پیش از آنکه خودشان متوجه شوند، مرکز ماهر به آنان اطلاع می دهد»
«در این گونه رویدادها نحوه تعامل با جامعه یک تصمیم گیری سخت برای سازمان ها و کسب وکارهاست. ما به خود اجازه مداخله در این امر را نمی دهیم، هرچند بر اساس راهبرد خود همواره پاسخ گویی سریع، شفافیت و مشارکت عمومی را ارکان امنیت بلندمدت می دانیم و پیشنهاد هم می دهیم.»
حسین نوری خواه مدرس دانشگاه، پژوهشگر فضای مجازی و فناوری اطلاعات در گفتگو با خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، در خصوص خلاهای موجود در حوزه امنیت شبکه و اقدامات پیش رو برای ارتقا امنیت شبکه گفت: در کشور ما خدماتی که در حوزه فناوری اطلاعات دریافت می شود معمولا از شرکت های اصلی تولیدکننده دریافت نمی شود؛ به همین دلیل برای موضوع امنیت سامانه ها خلائی وجود دارد، به این معنی که اگر سیستم عاملی برای سرورها، پایگاه داده و زیرساخت های نرم افزاری این ها مورد استفاده قرار می گیرد، از شرکت های اصلی تولیدکننده دریافت نمی شود. به خاطر همین هم خدمات متناسب معمولا یا وجود ندارد یا بعضا توسط شرکت هایی انجام می شود که شاید دانش کافی را ندارند. همین طور نرم افزار و سرورها و خدماتی که عرضه می شوند نیاز به نگهداری مستمر و بررسی مستمر آسیب پذیری ها و ارائه راهکارها دارند، به این معنی که همیشه باید سرورهایی که مورد استفاده قرار می گیرد برای خدمات پراستفاده به روز باشد، جدیدترین راه حل های مقابله با آسیب پذیری ها نصب شده باشد و به طور مستمر هم از ابزارهای پایشی استفاده شود که خطرات احتمالی را بتوان شناسایی کرد.
وی در ادامه با تاکید بر این نکته که تمامی این موارد نیازمند هزینه و پایش مستمر است گفت: مراکزی در کشور وجود دارد برای اینکه این موضوعات را پایش کند. ما در داخل کشور در حال حاضر مرکز ماهر«مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای» را داریم که اگر آسیبی در رایانه ها و نرم افزارها کشف شود این مرکز موظف است که آن ها را گزارش دهد و راهنمایی کند که سازمان های دولتی و همین طور شرکت ها بتوانند خودشان را ارتقا دهند و به نوعی در مقابله با این آسیب ها خودشان را ارتقا دهند. این مرکز در سال ۸۷ ایجاد شد و به نوعی زیر مجموعه وزارت ارتباطات و سازمان فناوری اطلاعات است و سه وظیفه آموزش، مشاوره و اقدام پیشگیرانه برای این مرکز درنظر گرفته شده است.
نوری خواه در ادامه به بیان علت وقوع چنین حوادثی پرداخت و گفت: وضعیت حال حاضر خدمات دهی سرویس های رایانه ای در کشور ما خیلی مطابق با استانداردهای جهانی نیست. ابزارهای مورد استفاده و روند نگهداری و بروزرسانی خیلی از استانداردهایی که در دنیا وجود دارد تبعیت نمی کند به همین دلیل هم آسیب پذیری های بسیاری در سرورها و نرم افزارها و سخت افزارهای مورد استفاده وجود دارد که نفوذگرهای اینترنتی از اینها بهره می گیرند و مثلا صفحه یک سایتی را تغییر می دهند یا اینکه وبسایتی را برای مدتی از دسترس خارج می کنند.
این پژوهشگر فضای مجازی با اشاره به اتفاق پیش آمده برای سایت سازمان تامین اجتماعی بیان کرد: سرپرست سازمان تامین اجتماعی گفت: «امنیت کامل تمامی سامانه ها،اطلاعات و سوابق بیمه شدگان و مستمری بگیران و کارفرمایان محرز است و جای هیچ نگرانی نیست» اما اتفاقی که افتاده است این است که صفحه سایت خبری این سازمان دستکاری شده است و اطلاعاتی را مبهم و دستکاری شده منتشر کردند.
نوری خواه در واکنش به این اقدام خرابکارانه این گروه سایبری گفت:من فکر می کنم باید به دقت وضعیت سامانه های این سازمان مورد بررسی قرار بگیرد.چون اگر اطلاعات خبری مورد دستبرد قرار گرفته است به این معنی نیست که لزوما دیگر سامانه هایشان مورد تخریب و سرقت قرار گرفته استو از طرف دیگر هم نمی توان مطمئن بود که این اتفاق نیفتاده است.
وی با بیان مصداق بروز چنین اتفاقی در دنیا گفت : زمانی که چنین اتفاقی در دنیا می افتد باید بررسی دقیقی در تمامی سامانه های این سازمان انجام شود تا اولا مشخص شود در قبال استانداردهای امنیت چقدر به نوعی از استانداردها تبعیت می کنند و چقدر از ابزارهای بررسی خودککار امنیت استفاده می کنند و چقدر سیستم های آن ها به روز است و چقدر ابزارهایی مثل دیوار آتش و ویروس یاب ، اسکنرهای آسیب پذیری تجهیزات و امکاناتی از این دست به خوبی استفاده می کنند و همین طور سامانه هایی کهمورد هجمه قرار گرفته به دقت مورد بررسی قرار بگیرد که احیانا ردپاهایی از مهاجمین به دست بیاسد که البته معمولا خیلی سخت است و اگر آسیب هایی وارد شده به این سامانه ها و اطلاعاتی سرقت شده است و تخریب هایی انجام شده است این ها مستند شود و اگر سامانه های مهم دیگری متصل به این سامانه بودند بالاخره اطمینان حاصل شود که این سامانه ها دچار اشکال نشدند پس اصل مشکل از این جا است که نگهداری این سامانه ها به خوبی انجام نمی شود و به نوعی از استانداردهای کافی در حوزه امنیت اطلاعات برخوردار نیستند.
نوری خواه در ادامه در پاسخ به این سوال که «چگونه امنیت یک شبکه را می توان ارتقا داد» گفت:با بررسی بهتر تحولات در عرصه امنیت، با پایبندی به استانداردهای دقیقی که در این حوزه وجود دارد و در نهایت با استفاده از خدماتی که تولید کننده های اصلی سخت افزار و نرم افزار ارائه می دهند اگر امروز ما تحریم هستیم خوب نرم افزارهای متن باز و کدباز ، open source گزینه بسیار خوبی هستند به عنوان جایگزین برای محصولاتی که برخی از شرکت های آمریکایی و اروپایی می دهند که ممکن است در دسترس ما به طور مستقیم نباشد.
این استاد دانشگاه با تاکید بر این نکته که راه برای امن سازی سامانه های بومی سامانه هایی که در داخل کشور تولید می شوند و یا حداقل از سامانه های متن باز استفاده می کنند فراهم است بیان کرد:در نهایت مدیران فناوری در سازمان های بزرگ کشور باید حتما مسیر و راهکار و برنامه مشخصی را برای امن سازی سامانه های حیاتی کشور داشته باشند و پیاده کنند.
نوری خواه در خصوص وجود تکنولوژی های لازم برای چرکردن خلاهای موجود در حوزه امنیت شبکه گفت: اگر ما به سمت استفاده از ابزاده و نردم افزارهای متن باز یا کدباز که ریزترین اجزای آن دردسترس هست و جزئیات کارکرد آن ها موجود است این امکان را داریم که در سطح قابل قبولی در مقایسه با شرکت ها و مراکز دیگر دنیا فعالیت ایمن و امنی را داشته باشیم اما اگر از نرم افزارها و ابزارهای متن بسته یا کدبسته استفاده کنیم شرایط واقعا سخت است چون از جزئیات و عملکرد این سامانه ها ما با خبر نیستیم و امن سازی چنین سامانه هایی خیلی دشوار است پس در سرورها بالاخره الان ما می بینیم که بسیاری از سرورهای جاهای مهم دنیا از سیتم عامل لینوکس استفاده می کنند که یک سیتم عامل متن باز است که در اختیار همگان است که ما اگر از این دانش و فناوری و این نرم افزاری که این دانش و فناوری را به نوعی کار می برد اگر بتوانیم به خوبی استفاده کنیم در لایه سیستم عامل می توانیم بالخره با خیلی از این چالش ها مقابله کنیم در لایه نرم افزار و لایه ای دیگر ی که مطرح است باز هم گزینه های مناسبی وجود دارد که اگر ما به خوبی بشناسیم و ازآن ها استفاده کنیم کما اینکه در کشور هم در خلیی از جاها استفاده می شود می توانیم در این زمینهها هم موفق باشیم .پس را ه باز است و بستگی به این دارد که ما چقدر از ابزارهایی که که در دنیا وجود دارد به صورت متن باز و در اختار ما هم می تواند باشد به خوبی استفاده کنیم.
او در ادامه با اشاره به طرح دژفا وزارت ارتباطات و توان دفاعی کشور گفت:این طرح ها، طرح های خوبی است حالا پرژه های مختلفی به نوعی در اینجا مورد بهره برداری قرار گرفته است که در زیر پروژه ای را که ذیل رژفا به آن اشاره شده است در رسانه ها از جمله باشگاه خبرنگاران نیز جزئیات آن منتشر شده است سامانه هایی است که ما در در داخل کشئر به آن ها نیاز داریم اما من فکیر می کنم این گام اول است .در راستای تلاش هایی که پیش از این در ۱۰، ۲۰ سال گذشته انجام شده است و نمونه هایی از این محصولات در کشور ایجاد شده است .این که تعداد ؟؟کشف ؟؟ بیشتر شود یک گام از مسئله است کیفیت کار این محصولات هم خیلی مهم است اینکه بالاخره صرف اینکه تعداد کشفیات بیشتر شود نشان دهنده این نیست که ما بخش زیادی از مسیر را رفتیم من فکر می کنم مسیر کماکان پابرجا است و مسئله موضوعی است که ممتد و ادامه دار باید باشد و به نوعی ما بتوانیم در لبه دانش و فناوری در دنیا رقابت کنیم و بتوانیم با محصولات دیگری که در دنیا به روز می شوند و در قبال آسیب های جدید هم خودشان را ایمن می کنند ما هم بتوانیم محصولات مناسبی را ارائه دهیم.
در پایان نیز نوری خواه با اشاره به توییت رئیس سازمن فناوری اطلاعات گفت: ما اگر مقایسه کنیم با سایر مراکز مشابه در دنیا اتفاقا آن ها این مسئولیت را برای خودشان در نظر می گیرند.مثلا در سال ۱۹۸۸ این مفهوم در آمریکا شکل گرفت می بینیم که آن ها این جایگاه را برای خود قائل هستند که تک تک چالش ها و هم راهکارهای ارائه شده را ثبت کنند و ذیل پایگاه داده ای که برای تمامی چالش های به وجود آمده دارند و همین طور ابزارهایی را ارائه بدهند که هرکسی بتواند در دنیا سامانه خود را بررسی کند و اگر مشکلی دارد یا هرکدام از آسیب پذیری ها در سیستم فرد وجود دارد بتواند متوجه شود و جلوی آن را با نصب راه حل ها بگیرد.این مسئولیت را این مراکز در سایر کشورهای دنیا برای خودشان در نظر می گیرند اما بالاخره هر مرکزید در دنیا با توجه به قابلیت ها و امکانات و توانی که دارد بالخره امکانات را در اختیار کشور خود قرار می دهد و بالاخره شاید مراکزی که در کشور ما هست باید خیلی بیشتر تلاش کنند تا به آن توانایی ها برسند و بتوانند خدمات بهتری را به مردم عرضه کنند. شاید با شرایط فعلی ما چیزی که دیدیدم از مرکز ماهر و خروجی هایی که دارد به نظر می رسد با آن چیزی که باید باشد فاصله دارد.
انتهای پیام/
گفتگو با هوش مصنوعی
💬 سلام! میخوای دربارهی «لازمه های حفظ و ارتقاء امنیت شبکه سازمان های بزرگ» بیشتر بدونی؟ من اینجام که راهنماییت کنم.