الزامات امنیت سایبری در زیرساختهای حیاتی کشور
تاریخ انتشار
چهارشنبه ۲۹ آذر ۱۴۰۲ ساعت ۱۴:۳۱
آیتیمن- تجربه تلخ اختلال در سوخت رسانی جایگاههای سوخت که پیش از این در سال ۱۴۰۰ نیز رخ داده بود، روز گذشته بار دیگر تکرار شد و این بار یک گروه هکری که رسانههای عبری از جمله «تایمز اسرائیل» آن را مرتبط با رژیم صهیونیستی اعلام کردند، مدعی حمله سایبری به سیستم هوشمند پمپبنزینها در ایران شد.
ستاد بحران دقایقی پس از این اتفاق در شرکت ملی پالایش و پخش تشکیل شد و مسوولان وزارت نفت با تأیید این خرابکاری به مردم وعده دادند مشکل به زودی برطرف و سرویسدهی به زودی از سر گرفته خواهد شد.
جلیل سالاری، معاون وزیر نفت، در این رابطه اعلام کرد: چالشی را در مسیر کارت خوانهای برخی از جایگاه عرضه سوخت در سراسر کشور داشتیم که طبق پیگیریهای ما ۶۰ درصد جایگاه را شامل میشد.
وی با یادآوری تجربه سال ۱۴۰۰ گفت: ما از تجربه گذشته استفاده کردیم و برای اینکه اخلال ایجاد نشود فرایند ارتباط را با جایگاههایی که دچار مشکل شده بودند قطع کردیم.
در این میان اما سازمان پدافند غیرعامل که متولی امنیت سایبری در بخش انرژی کشور است با صدور اطلاعیهای اعلام کرد: تمامی احتمالها در خصوص دلایل اختلال درسامانه سوخت تحت بررسی است لذا نمیتوان ادعاهای مطرحشده دشمن را تأیید کرد.
مرور این رخداد و واکنش مسوولان در مواجهه با آن نشان میدهد طی دو سال اخیر در راستای ارتقای امنیت زیرساختهای حیاتی به ویژه در بخش انرژی اقدام جدی صورت نگرفته و زیرساختهای امنیت سایبری در این بخش با ضعفها و مشکلاتی مواجهاند که برای ارتقا و بروزرسانی آنها باید بیش از پیش تلاش کرد.
همچنین به نظر میرسد جایگاه نهادهای اصلی و دستگاههای متولی همچون افتا، ماهر، سازمان پدافند غیرعامل در پذیرفتن مسوولیت شفاف نیست و کشور درتأمین امنیت فضای مجازی دچار ضعفهایی است و درموقع بروز مشکلات دقیقاً معلوم نیست که مقام پاسخگوی امنیت سایبری کیست و در مقابل چه چیزی باید پاسخگو باشد.
رضا جعفر قلی زاد، کارشناس امنیت سایبری، با اشاره به اختلال روز گذشته در جایگاههای سوخت و لزوم ارتقای امنیت سایبری گفت: در خصوص ایجاد امنیت در زیرساختهای حیاتی آنچه که اهمیت دارد بحث نگهداشت یکپارچگی داراییهای اطلاعاتی و شناسایی ارتباط این داراییها با یکدیگر و همچنین نحوه ارتباط این داراییهای اطلاعاتی با یکدیگر است که هر کدام از این داراییها برای هر کدام از اجزایی که در حوزه امنیت اطلاعات یا در حوزه فناوری اطلاعات مشغول به ارائه خدمت هستند باید امنیت شأن به صورت جزئی و به صورت کلی تأمین شود.
وی با بیان اینکه ما دیدگاه یکپارچهای در مورد داده اطلاعاتی نداریم و به صورت جزئی به آن نگاه میکنیم، افزود: وقتی که دادههای اطلاعاتی با هم در ارتباط هستند و یک اکوسیستم فناوری اطلاعات را تشکیل میدهند برای آن اکوسیستم انگار هیچ الزام امنیتی نداریم برای مثال برای یک کامپیوتر تمام الزامات امنیتی را رعایت میکنید؛ اما برای آن شبکهای که تمام کامپیوترها را به هم وصل میکند و برای اکوسیستم شبکه دیدگاه امنیتی وجود ندارد.
نقض این یکپارچگی باعث میشود دو موضوع به وجود میآید که یکی نگهداشت دادهها و نشر اطلاعات است ودیگری موضوعی است که آسیب پذیریهای ما از آن اکوسیستم از چشم ما دور میماند و نمیتوانیم آسیب پذیریهای آن اکوسیستم را شناسایی کنیم. این دو عامل باعث میشود کسب و کارها دچار آسیب شوند.
استفاده از محصولات بومی برای ارتقای زیرساختهای امنیتی
این کارشناس امنیت سایبری با بیان اینکه در خصوص نقاط ضعفها و راههای تقویت امنیت سایبری تصریح کرد: الزامات امنیتی ما باید سختگیرانهتر باشد وهمچنین موضوع حمایتهای دولت از محصولات بومی باید بیشتر شود که هر چقدر محصولات بومی را تقویت کنیم و برای آنها ارزش بیشتری قائل شویم میتوان از این آسیب پذیریها دور بمانیم.
وی در ادامه در خصوص تدابیر حاکمیت برای جلوگیری از حملات سایبری افزود: لازم است حاکمیت شرکتهای دانش بنیان در حوزه امنیت اطلاعات را تقویت کند و بودجه تحقیقاتی بیشتری در اختیار آنها قرار دهد وهمانطور که در الزامات امنیتی داریم، زیرساختهای امنیتی سازمانها و همچنین تجهیزات همیشه باید به روز باشند و همچنین لازم است سازمانها از بخش خصوصی در حوزه ارتقا، تأمین نیروی انسانی و آموزش نیروی انسانی و به روز رسانی تجهیزات و فرایندهای امنیت اطلاعات استفاده کند تا در حفظ و نگهداشت سازمان نقش مؤثری داشته باشند.
این کارشناس در حوزه امنیت سایبری در ادامه به موضوع متولی امنیت سایبری در کشور اشاره کرد و گفت: واقعیت این است که برای خیلیها هنوز مشخص نیست متولی امنیت سایبری دستگاهها کدام نهاد است. اگرحمله سایبری یا نشر اطلاعات برای دستگاه یا نهادی رخ دهد باید چه سازمانی پاسخ دهد و چه سازمانی قراراست به این سیستم رسیدگی کند. به طور کلی میتوان گفت موضوع مدیریت رخداد خیلی در کشور شفاف نیست.
راهاندازی بیمه امنیت سایبری
جعفر قلی زاد به خسارتهای سازمانی که مورد حمله سایبری قرار میگیرد اشاره کرد و افزود: اگر موضوع بیمه امنیت سایبری در کشور راهاندازی شود، شاید بتواند مواضع سختگیرانهتری نسبت به حوزه امنیت داشته باشد و بتواند بخشی از آن خسارت سازمان را در حوزه فرایندی و مالی جبران کند.
عدم یکپارچگی فرایندهای امنیتی
وی تصریح کرد: واقعیت این است که کشور ما در حوزه فنی در وضعیت مطلوبی است اما از لحاظ فرایندهای امنیتی مطلوب نیست. فرایندهای امنیتی، فرایندهایی هستند که از ابتدای اکوسیستم تا جایی که خدمت ارائه میشود را در بر میگیرد و همه موارد از جمله ارتباطات، داراییها، آسیب پذیریها در این فرایند باید به صورت یکپارچه مد نظر قرار گیرد. ما متأسفانه در سازمانها یکپارچگی نداریم. میتوان گفت بزرگترین بخش پر ریسک سازمانهای ما عدم وجود یکپارچگی فرایندهای امنیتی است.
جعفر قلی زاد در پایان گفت: اگر نهادهای حاکمیتی فرایندهای امنیتی را درست پوشش دهند و مشخص شود که متولی مدیریت رخداد در کشور چه کسی است، نقش و مسوولیت هر کدام از حوزههای مدیریت رخداد سایبری مشخص شود، تکلیف سازمانها هم مشخص میشود.
وی افزود: یکی دیگر از کارهایی که حاکمیت میتواند انجام دهد این است که ترافیک شبکه کسب و کارهای حیاتی در کشور شناسایی شود و همه از نقطه محلهای خاص عبور داده شود. الزامات حاکمیت دسترسی هم فقط روی ترافیک شبکه اعمال شود به این ترتیب شاید بتوان ازاین طریق مانع حملات سایبری شد.
محمدرضا مرادی، دانشجوی دکتری مدیریت راهبردی فضای سایبر در دانشگاه عالی دفاع ملی نیز چالشهای مدیریت امنیت سایبری را در کشور به این شرح اعلام کرد:
۱- به دلیل گستردگی و فراگیر شدن فضای مجازی، این نهادها، دارای شرح وظایف متنوع و بعضاً مشابهی شدهاند. لیکن دارای برداشتهای یکسان و تعاریف استاندارد بومی در مفاهیم پایه نیستند.
۲- به علت تعدد ذینفعان و متولیان در این حوزه، روابط حمایت شونده / حمایتکننده مناسب نیست و مسوولان وکارشناسان باید چندین رابطه را که هر یک آزادیها و محدودیتهای خاص خود را دارند درک و مدیریت کنند.
۳- فقدان جهتگیری واحد و مواضع اصولی اقدام کنندگان در فضای سایبر موجب شده مسوولین ضمن انجام اقدامات سلیقهای و حرکات موازی، ناخواسته مسبب پدید آمدن چالش در فرآیند دفاعی امنیتی سایبری شوند.
۴- کارکنان عملیات سایبری، باید هدف فرمانده را به خوبی بشناسند و قادر باشند اثرات تصمیمها وتوصیههای خودی را بهسرعت ارزیابی کنند. همچنین باید بدانند که اغلب ممکن است هنگام اتخاذ تصمیمها فرصتی برای مشورت با مسوولان ارشد وجود نداشته باشد و زمانی که حفظ سرعت عملیاتی ضروری است وف رمانده اختیار عمل لازم را اعطا کرده، لازم باشد تصمیمها بهطور مستقل اتخاذ شوند.
عدم کفایت مصوبات شورای عالی فضای مجازی
این پژوهشگر همچنین اظهار داشت: در سال ۱۳۹۰شورای عالی فضای مجازی به تشخیص مقام معظم رهبری بهعنوان بالاترین نهاد حاکمیتی، در شرایطی شکل گرفت که دستگاهها دارای ناهماهنگی در مدیریت فضای مجازی کشور بودند. هرچند برخی از نهادهای دفاعی امنیتی عضو این شورا هستند اما مصوبات این شورابهتنهایی رافع نیازمندیهای این حوزه نیست.
وی گفت: مدیریت راهبردی دفاعی امنیتی منسجم فضای سایبر، ضمن کسب بهرهمندی حداکثری از فرصتهای موجود در این فضا و ایجاد بازدارندگی در سطح منطقه وبینالملل، موجب میشود آمادگی دفاع و واکنش به هنگام واثربخش در مقابل هر تهدیدی را داشته باشیم. عدم انسجام کافی و یکپارچگی در مدیریت این فضا، موجب نقصان در بهرهبرداری از فرصتهای پدید آمده در آن و ناتوانی در پاسخگویی به تهدیدات فضای سایبر میشود.
دکترین سایبری؛ حلقه مفقوده مدیریت فضای سایبر
مرادی تصریح کرد: در راستای برطرف کردن چالشهای یادشده، ابزاری که در دنیا بهعنوان اصول راهنمای جهتگیری یکپارچه اقدامات به کار میرود، «دکترین» است. تغییر شیوه مدیریت از وضعیت فعلی به مدیریت مبتنی بر دکترین و اصول فراتر از یک تاکتیک است. این یک روش جدید فکر کردن درباره مدیریت است.
به گفته وی، ایجاد یک دکترین مبتنی بر اصول برای دیگران، آنها را قادر میسازد برای خود تصمیم بگیرند، بهجای آنها که برای آنها تصمیم گرفته شود یا تصمیمهای (سطح کلان) به آنها تفویض شود. اینیک مدل حکمرانی توزیعشده برای سازمانهای شبکه است.
این پژوهشگر تاکید کرد: چابکی از طریق توانمندسازی تصمیمگیری، دستیابی به هماهنگی به همراه استقلال درسازمان، عملیاتی کردن راهبرد از طریق شبکه، سازگاری سریع با شرایط پیشبینینشده از اثرات دکترین است. نقش اصلی دکترین ایجاد زبان واحد، هدف مشترک و وحدت رویه در اقدامها و فعالیتها است. دکترین هدایتگر اقدامها در سطوح مختلف است و درک مشابهی در اذهان، بدون در نظر گرفتن جایگاه، رتبه و تخصص آنها ایجاد میکند.
مرجع : مهر