کلاف درهم پیچیده امنیت سایبری در ایران
به گزارش کارا پیام، امنیت سایبری این روزها به یک کلاف درهم پیچیده تبدیل گشته طوری که در جریان وقوع حملات، همه افراد می توانند همزمان بعنوان مقصر و صدمه دیده تلقی شوند؛ در ایران هم بعد از اتفاق های اخیری که در فضای مجازی رخ داد، هشداری است برای مدیران سایت ها، سرورها، شرکتهای ارائه دهنده اینترنت یا خدمات داده و الان باید به این سؤال پاسخ داده شود که طی سالهای اخیر مسئولان امنیت سایبری چه میزان و به شکل جدی به دنبال سازوکارها و اقدامات پیش گیرانه و محافظتی بوده اند؟
به گزارش کارا پیام به نقل از ایسنا، در دنیای امروز امنیت سایبری از اهمیت ویژه ای برای کاربران و دولت ها برخوردار می باشد. سرقت شماره تلفن، کد ملی، رمز عبور و اطلاعات شخصی افراد از راه سایت های شبکه های اجتماعی یا بیرون کشیدن اسرار دستگاه ها از فضای ابری همه و همه مواردی است که نگرانی کاربران را از امنیت اطلاعاتشان برمی انگیزد.
اما حفاظت از شبکه ها، دستگاه ها و داده ها در مقابل دسترسی غیر مجاز یا استفاده مجرمانه به عهده چه کسی است؟ کدام ارگان یا سازمان باید و می تواند محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات را تضمین کند؟
پاسخ به این سؤال در این روزها که اخباری از هک برخی سایت های دولتی، صداوسیما، افشای اطلاعات شخصی افراد یا نمایندگان مجلس و هک صفحات در فضای مجازی و بیشتر از گذشته به گوش می رسد، اهمیت امنیت را دوچندان کرده و در نتیجه احتیاج به محافظت از اطلاعات محرمانه و امنیت سایبری به یک مبحث اساسی تبدیل گشته است.
فارغ از این که چه گروهی یا کسانی پشت پرده این حملات سایبری قرار دارند یا این حملات از داخل یا خارج از کشور صورت می گیرد و جدا از این که مدیران سایت ها یا صفحات هک شده و صدمه دیده، چه واکنش یا نظری در رابطه با علت این اختلالات یا حملات داشتند، مبحث امنیت زیرساخت های اینترنتی کشور عملا به بروز ابهام های جدی میان مردم انجامید؛ شرایطی که یک سوی آن شایعات و سوی دیگر آن واقعیات قرار داشت. حالا این سوال که آیا مقرر است در آینده هم شاهد وقوع چنین اتفاق هایی باشیم، بیشتر از گذشته اذهان را درگیر کرده است.
به اعتقاد کارشناسان زمانی که زیرساخت های مهم یک کشور مورد حمله سایبری قرار می گیرد، به این معناست که نوعی جدید از جنگ در حوزه سایبری شکل گرفته و در این میان مدیران و مسئولان سازمان ها باید از حداقل اطلاعات امنیت سایبری برخوردار باشند.
بررسی ها نشان داده است که تراکنش های مالی بسیاری در بستر اینترنت در حال انجام می باشد و سازمان های بزرگ دولتی بخشی از خدماتشان را در این بستر به ارباب رجوع ارائه می کنند. در نتیجه با بروز هر نوع اختلال در روند هر یک از این خدمات، ضرر بسیاری به دنبال دارد.
آیا با مشاهده حملات سایبری می توان به این نتیجه رسید که ساده ترین نکات امنیتی و پشتیبان گیری رعایت نشده و به آن اهمیت نداده اند؟ ضعف فرهنگی و آموزشی چقدر اثرگذار است؟ وقتی مدیران رده بالای یک سازمان، ساده ترین نکات امنیتی برای محافظت از اطلاعات سازمانی یا سرویسهای اینترنتی را نمی دانند یا رعایت نمی کنند و یک مدیر درک درستی از مقوله امنیت ندارد؛ طبیعی است که در کل آن سازمان و شرکت، امنیت جدی گرفته نشده و شاهدیم یک مشتری با چندین ساعت کار روی یک سایت، می تواند آنرا از دسترس خارج کند.
از سوی دیگر چندین سال است پروژه شبکه ملی اطلاعات کلید خورده اما به اعتقاد کارشناسان، هنوز شاهد خروجی ملموس و عینی کاربردی از آن نیستیم در حالیکه چنین زیرساخت و شبکه ای اینترانتی باید بتواند خیلی از سایت ها و سرورهای ایرانی را در خود جای داده و از حملات سایبری خارج از کشور محافظت کند.
همچنین باید بررسی شود که چرا خیلی از شرکت ها و سایت ها به دلیل نبود سرویسهای خوب در ایران به سراغ سرورهای ارزانقیمت خارجی می روند و بعد شاهدیم به سادگی هک شده و از دسترس خارج می شوند. در حالیکه یکی از اصول مقابله با جنگ های سایبری قدرتمندسازی زیرساخت های داخلی و ظرفیت سازی برای میزبانی سایت ها و سرورهای داخلی است.
در این باره آیدین عدالت - عضو هیأت مدیره و رئیس رسته سخت افزار و ارتباطات سازمان نظام صنفی کامپیوتری تهران- اعتقاد دارد که طی سالهای گذشته تمرکز بر امنیت نه به اندازه کافی و شاید کمتر از مقداری که باید باشد، در این عرصه بوده است و اشکال هم آنجاست که امنیت در حوزه فناوری اطلاعات بیشتر با فرآیندها و روش ها پیاده می شود نه با تجهیزات.
به اعتقاد او بودجه هایی که در سازمان ها وجود دارد هم قدیمی هستند و هر سال حداکثر به اندازه تورم رشد دارند اما دو مبحث مهم در اینباره وجود دارد؛ اول این که قیمت تجهیزات امنیتی در دنیا، به غیر از نرخ ارز، به علت کمبود چیپ ست طی سه سال گذشته، به علت بیماری کرونا بیشتر از سه برابر افزایش داشته است. مساله دیگر محدود و معدود شدن تخصص امنیت و متخصصان آن است یعنی سازمان ها انتظار دارند یک تکنسین متخصص شبکه که فقط کارهای ابتدایی را انجام می دهد و حقوق آن به صورت مثال ۱۰ میلیون تومان است بتواند امنیت زیر ساخت یک وبسایت دولتی را تأمین کند. ازاین رو شاید مهم ترین مبحث بحث نیروی انسانی باشد که بعنوان مهره ایجاد امنیت در زیر ساخت شبکه به حساب می آید و به عقیده کارشناسان بزرگترین پاشنه آشیل امنتیت سایبری در ایران نیروی انسانی است و باید به مشکلات موجود در این بخش توجه گردد.
به گفته این کارشناس، یکی از اتفاقات مخل امنیت، عدم سیاستگذاری درست در ارتباط با اینترنت است گفت این که شبکه ملی اطلاعات در کشور داشته باشد خیلی اتفاق خوبی است و سبب کاهش هزینه و افزایش دسترسی و به طبع افزایش امنیت می شود ولی متأسفانه اتفاقی که گاها در زمینه اینترنت رخ داده به خصوص در مواقعی که مشکل امنیت در جای دیگر جامعه وجود دارد، بستن پهنای باند اینترنت، یا مسدود و محدودسازی سایت هاست؛ در حالیکه این مورد کاربران را به سمت استفاده از ابزاری مانند وی پی ان سوق می دهد و استفاده از وی پی ان هم تمام پیشبینی ها و الزامات دیده شده در شبکه دیده شده را میان بر زده و از آن عبور می کند.
به عبارتی زمانی که در یک سازمان یا منزلی تمام اقدامات امنیتی مانند آنتی ویروس، فایروال و به صورت کلی الزامات در معماری شبکه رعایت شود اما کاربر با وی پی ان به یک سایت خارجی متصل شود، همه رشته هایی که برای امنیت سازمان چیده شده، پنبه می شود.
نکته مهمی که باید به توجه کرد اینست امنیت یک فرایند است نه یک عملیات ازاین رو امنیت سایبری فرآیندی است که به صورت کامل باید صورت گیرد تا بتوان یک ساختار امنیتی را به وجود آورد حال اگر در برخی از موارد نتوان به ساختاری که مد نظر بوده رسید، مبحث امنیت می تواند مخاطرات خویش را داشته باشد.
درکنار موارد ذکر شده هزینه یکی از ملاک های مهم امنیت سایبری است؛ طبق گفته حسن اسدی - رئیس کمیسیون شبکه سازمان نظام صنفی کامپیوتری تهران -برای فرآیند امنیت سایبری باید هزینه انجام شود؛ اگر سازمان ها این هزینه ها را نپردازند، بطور قطع در این عرصه به مشکلاتی برخواهند خورد البته بخشی از هزینه هم برای اینست که سازمان ها مدیران لایق تری در این بخش داشته باشند چون در صورت نپرداختن هزینه، بطور قطع با مشکل مواجه خواهند شد. به عبارتی سازمان هایی که از نظر امنیت سایبری به مشکل برمی خورند احیانا برای بخش های خود در حوزه امنیت فناوری اطلاعات به اندازه مورد نیاز هزینه نمی کنند.
به اعتقاد این کارشناس، مشاهده می شود برخی شرکتهای سرویس دهنده اینترنت و میزبانی سایت، فقط بر کمیت تمرکز کرده اند و به دنبال مشتری و عرضه سرویس بیشتر و افزایش سرورهای خود بودند، اظهار داشت: این شرکت ها بیشتر به علت هزینه های دیگری که دارند، تلاش می کنند قیمتها را پایین تر بیاورند و درنتیجه مجبورند کیفیت را کاهش دهند و به تبع آن به کمیت اهمیت بدهند. از طرفی به جهت اینکه در این موقعیت بتوانند با همردیف های خود رقابت کنند، مجبورند که قیمتها را کاهش دهند و کاهش قیمت هم دلیل بر اینست که حتما کیفیت مقداری پایین آمده است.
بر این اساس، اگر سازمان ها بخواهند تیم امنیتی قوی داشته باشند، باید در مواردی مانند آموزش و فرهنگ سازی نیروها هزینه کنند. خود مبحث فرهنگ سازی در مجموعه ها، عامل مهمی است تا نیروهایی تربیت شوند که از نظر فنی و درک مسائل امنیتی بالا باشند و بتوانند امنیت سایبری را حفظ را کنند.
منبع: كارا پیام
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب