مسئولان در زمینه حملات سایبری باید پاسخگو باشند
تهران (پانا) - چندی پیش خبر حمله سایبری به برخی دستگاههای دولتی، خبرساز شد. اما به راستی ریشه این دسته از مشکلات کجاست و چه اقدامهایی در دستگاههای دولتی باید صورت بگیرد تا شاهد بهحداقل رسیدن این دسته از حملات سایبری باشیم.
بهگزارش ایران، علیرضا جباریان، کارشناس امنیت سایبری اعتقاد دارد متأسفانه دستگاههای دولتی در سه حوزه اصلی امنیت سایبری که شامل پیشگیری، اقدام و پیگیری است، ضعیف عمل کردهاند. جباریان گفت: در حوزه پیشگیری نهادهای خوبی مانند مراکز آپا و ماهر در کشور داریم ولی به نظر میرسد بهدلیل مشتریان زیادی که این مراکز دارند ارائه خدمات تخصصی هم در این مراکز دچار مشکل شده، مهمتر اینکه سازمانها برای حوزه پیشگیری هزینه نمیکنند و توجه به این بخش در سازمانها جذاب نیست و بیشتر آن را اتلاف منابع مالی میدانند.
وی افزود: در حوزه اقدام هم در حوزه ساختاری و فنی آن مشکل وجود دارد. گرچه در سالهای اخیر تعداد نیروهای انسانی و استفاده از تکنولوژیها افزایش یافته ولی کمبود نیروی متخصص در حوزههای کاملاً تخصصی مانند Incident Response بسیار کم و محدود است و این محدودیتها موجب میشود که در حین رخداد هک و... با دستپاچگی و عدم مدیریت مناسب بحران روبهرو شویم.این کارشناس امنیت سایبری به حوزه پیگیری رخداد هم اشاره کرد و گفت: مهمترین دلایل ضعف در این حوزه هم مربوط به نبود متخصصان کافی در این حوزه و نیز نبود امکان گسترش ارتباطات بین مراکز داخلی با سازمانهای بینالمللی است. در بسیاری از موارد رخداد از یک منبع خارج از سرزمین اصلی اتفاق میافتد که پیگیری چنین رخدادهایی نیازمند ارتباطات بینالمللی است.وی پاسخگو نبودن مدیران ارشد دستگاهها و سازمانهای دولتی را از دیگر مشکلات رخدادهای امنیت سایبری عنوان کرد و افزود: در بسیاری از سازمانها بهجای اینکه مدیران ارشد پاسخگو باشند، برخی از مدیران ردههای میانی و پایینتر مجبور به پاسخگویی و در برخی موارد استعفا میشوند، در حالی که فضای رخدادهای امنیتی و ریسکهای این حوزه مربوط به بالاترین مقام سازمانی مسئول است.
جباریان یکی دیگر از دلایل وجود مشکلات امنیت سایبری را کاربرد پذیری پایین برخی از دستورالعملهای سازمانهای ناظر عنوان کرد و گفت: صدور دستورالعملهایی که منطبق با شرایط سازمانها نباشد، منجر به اجرا نشدن آن دستورالعملها در سازمان میشود.
وی با بیان اینکه مرکز ماهر (در حوزه پیشگیری)، مرکز افتا (در حوزههای پیشگیری و اقدام) و مرکز افتا (در حوزه پیشگیری و پیگیری) انجام وظیفه میکنند، افزود: ولی اگر یک مرکز بالا دستی واحد ایجاد شود بهتر است تا شاید بتوانند در این حوزه مفیدتر واقع شوند.
این کارشناس امنیت سایبری معتقد است برای کاهش حملات سایبری دستگاههای دولتی باید اقدامهای سریع در حوزه پیشگیری، یکسانسازی حداکثری تکنولوژیهای مورد استفاده در دستگاهها و شناسایی هرچه سریعتر نقاط آسیب پذیر و آنالیز ریسک کاربردی، اقدام برای کاهش ریسک به هر میزان ممکن با امکانات موجود را در اولویت کاری خود قرار دهند.
ریشهیابی و رفع مشکل با تصویب قانون
کاظم فلاحی دیگر کارشناس امنیت سایبری نیز اعتقاد دارد دستوری بودن دستورالعملها برای رعایت اصول امنیتی در دستگاههای دولتی کارساز نیست بنابراین نباید تنها به رعایت دستورالعملها اکتفا کرد.
فلاحی با بیان اینکه باید برای رعایت نشدن دستورالعملهای امنیت سایبری جریمههای سنگین تعیین کرده و مسئولان ارشد امنیتی سازمانها را به پاسخگو بودن ملزم کرد، گفت: بهنظرم مرکز شاپرک بانک مرکزی در پاسخگو بودن شرکت های ارائه دهنده درگاه، خوب عمل و به آنها تأکید کرده است اگر شرکتی اطلاعاتش از نظر امنیت سایبری لو برود و هک بشود باید مدیر مربوطه پاسخگو بوده و جریمه میشوند، همین موضوع باعث شده در این حوزه کمترین رخدادها را شاهد باشیم.
این کارشناس امنیت سایبری معتقد است مراکز امنیت سایبری مانند افتا، ماهر و فتا وظایف خود را انجام میدهند و در زمینه پیشگیری، پیگیری و اقدام فعالیت میکنند ولی دستگاهها به آنچه آنها میگویند اهمیتی نمیدهند و پاسخگو نیستند. مهم این است که دستگاههای اجرایی را در اجرای دستورالعملها الزام کرده و در صورت روی دادن هر اتفاقی جریمه و پاسخگو کرد.
فلاحی مشکل اصلی در پاسخگو نبودن مدیران ارشد سازمان و دستگاههای دولتی و نبود جریمههای سنگین برای این دستگاهها را متوجه مجلس و سیاستگذاران میداند.
وی گفت: چرا تاکنون مجلس برای لو رفتن اطلاعات کاربران و حفاظت قانونی از اطلاعات کاربران و... اقدام قانونی نکرده، چرا قانون سفت و سختی را تصویب و اجرایی نکرده، چرا سیاستگذاران هنوز برای این مشکل که بارها تکرار شده و میشود هیچ راهکار قانونی ارائه ندادهاند. مشکل را باید ریشهیابی و قانونی حل کرد در غیر این صورت این اتفاقها کماکان ادامه مییابد.این کارشناس امنیت سایبری افزود: اگر قانون بود و دستگاهها را ملزم به پاسخگو بودن میکرد، وزارت راه و شهرسازی چندسال قبل که دچار هک و اختلال هکری شد اصول امنیتی را جدی میگرفت، امروز شاهد این رخداد نبودیم که با وجود مستندات آن را تکذیب کند.به اعتقاد فلاحی، باید پیگیری و پاسخگو کردن مسئولان در زمینه حملات سایبری به مطالبه عمومی مردمی تبدیل و بررسی شود. چرا هک صورت گرفته و نتیجه بررسی را منتشر نمیکنند تا مشخص شود که هکر تا کجا پیش رفته و برای پیشگیری اقدامهای قانونی را اعمال کنند تا مسئولان دستگاهها از کنار این رخدادهای مهم بیتفاوت نگذرند.
این کارشناس در ادامه گفت: متأسفانه افرادی که در بخش امنیت اطلاعات در دستگاههای دولتی فعالیت میکنند دارای دانش کافی نیستند و تنها با رانت بر سرکار آمدهاند بههمین دلیل تا در این بخشها دگرگونی رخ ندهد، شاهد تغییراتی نخواهیم بود.
بهکارگیری کارشناسان متخصص و دلسوز
مرتضی نکویی، دیگر کارشناس افتا نیز معتقد است که وجود مدیران ارشد و معاونتهای امنیت فناوری اطلاعات دستگاههای دولتی و اجرایی مشکل اصلی هستند، چرا که آنها صلاحیت تصمیمگیری در این حوزه را ندارند به همین دلیل متأسفانه هرچند وقت یکبار زیرساختهای آنها مورد حمله سایبری قرار میگیرد.نکویی گفت: باید رویکرد حاکمیت و دولتها در زمینه انتخاب مدیران ارشد بخشهای امنیت اطلاعات دستگاهها تغییر کند در غیر این صورت با وجود افراد مسن با دیدگاه سنتی و رفتار سلیقهای و رفع مسئولیت این فرایند ادامه دار خواهد بود.
وی افزود: انتخاب و فیلتر افراد و کارشناسانی که در دستگاههای دولتی در بخش امنیت سایبری فعالیت میکنند هم دارای اهمیت بالایی است اما معمولاً افرادی که در این بخشها کار میکنند به واسطه رابطه و رانت به این بخشها راه یافتهاند و در عین حال دانش کافی هم در این حوزهها ندارند.
نکویی با بیان اینکه مراکزی مانند افتا، ماهر، فتا و... همگی به شکلی در حال انجام وظایف خود هستند، گفت: ولی معضل بزرگ در نبود دلسوزی در دستگاهها برای کشور است، افراد مرتبط با بحثهای امنیتی در شهرستانها سرکار نیستند و فرایندهای دیکته شده هم پاسخگو نیست بنابراین اگر به فکر نجات کشور در حملات سایبری هستند باید افراد متخصص دانشگاهی و غیردانشگاهی توانمند در بحث امنیت سایبری را بکار بگیرند تا هم بدانند و دانش لازم را داشته باشند و هم از کارشناسان متخصص استفاده کنند.
وی افزود: شرکتهایی هم که در حوزه امنیت سایبری فعالیت میکنند به خوبی فیلترهایی که باید رعایت شود را رعایت نمیکنند و از آنجایی که خود در زمینه اخذ گواهی فعالیت داشتم به چشم خود این موارد را از نزدیک مشاهده کردم و شرکتها محصولاتی را تأیید و گواهی صادر کردند که دارای شرایط فنی نبودند.بهگفته این کارشناس امنیت سایبری، افرادی هم که در سازمانها مشغول به فعالیت هستند توانمندی فنی ندارند و با روابط دوستانه بین پیمانکار و مسئول فاوای وزارتخانه و ایجاد لابی، سخت افزارها و نرم افزارهایی منتشر میکنند که فقط باعث پرشدن جیب شرکتها میشود و خدمات مناسب و راه حلهای متعارف و درست داده نمیشود.
وی افزود: حتی به چشم دیدهام محصولات امنیتی ای که در دستگاههای کشور استفاده میشود، آسیب پذیریهای آن با وجود ارزیابیها رفع نشده و وارد دستگاهها شده و استفاده از آنها به طور حتم دارای ناامنی امنیتی سایبری است.
ارسال دیدگاه