الزامات امنیت سایبری در زیرساخت‌های حیاتی کشور

تجربه تلخ اختلال در سوخت رسانی جایگاه‌های سوخت که پیش از این در سال ۱۴۰۰ نیز رخ داده بود، روز گذشته بار دیگر تکرار شد و این بار یک گروه هکری که رسانه‌های عبری از جمله «تایمز اسرائیل» آن را مرتبط با رژیم صهیونیستی اعلام کردند، مدعی حمله سایبری به سیستم هوشمند پمپ‌بنزین‌ها در ایران شد.

ستاد بحران دقایقی پس از این اتفاق در شرکت ملی پالایش و پخش تشکیل شد و مسوولان وزارت نفت با تأیید این خرابکاری به مردم وعده دادند مشکل به زودی برطرف و سرویس دهی به زودی از سر گرفته خواهد شد.

جلیل سالاری معاون وزیر نفت در این رابطه اعلام کرد: چالشی را در مسیر کارت خوان‌های برخی از جایگاه عرضه سوخت در سراسر کشور داشتیم که طبق پیگیری‌های ما ۶۰ درصد جایگاه را شامل می‌شد.

وی با ذکر یادآوری تجربه سال ۱۴۰۰ گفت: ما از تجربه گذشته استفاده کردیم و برای اینکه اخلال ایجاد نشود فرایند ارتباط را با جایگاه‌هایی که دچار مشکل شده بودند قطع کردیم.

در این میان، اما سازمان پدافند غیرعامل که متولی امنیت سایبری در بخش انرژی کشور است با صدور اطلاعیه‌ای اعلام کرد: تمامی احتمال‌ها در خصوص دلایل اختلال در سامانه سوخت تحت بررسی است لذا نمی‌توان ادعا‌های مطرح‌شده دشمن را تأیید کرد.

مرور این رخداد و واکنش مسوولان در مواجهه با آن نشان می‌دهد طی دو سال اخیر در راستای ارتقای امنیت زیرساخت‌های حیاتی به ویژه در بخش انرژی اقدام جدی صورت نگرفته و زیرساخت‌های امنیت سایبری در این بخش با ضعف‌ها و مشکلاتی مواجه اند که برای ارتقا و بروزرسانی آن‌ها باید بیش از پیش تلاش کرد.

همچنین به نظر می‌رسد جایگاه نهاد‌های اصلی و دستگاه‌های متولی همچون افتا، ماهر، سازمان پدافند غیرعامل در پذیرفتن مسوولیت شفاف نیست و کشور در تأمین امنیت فضای مجازی دچار ضعف‌هایی است و در موقع بروز مشکلات دقیقاً معلوم نیست که مقام پاسخگوی امنیت سایبری کیست و در مقابل چه چیزی باید پاسخگو باشد.

رضا جعفر قلی زاد؛ کارشناس امنیت سایبری با اشاره به اختلال روز گذشته در جایگاه‌های سوخت و لزوم ارتقای امنیت سایبری گفت: در خصوص ایجاد امنیت در زیرساخت‌های حیاتی آنچه که اهمیت دارد بحث نگهداشت یکپارچگی دارایی‌های اطلاعاتی و شناسایی ارتباط این دارایی‌ها با یکدیگر و همچنین نحوه ارتباط این دارایی‌های اطلاعاتی با یکدیگر است که هر کدام از این دارایی‌ها برای هر کدام از اجزایی که در حوزه امنیت اطلاعات یا در حوزه فناوری اطلاعات مشغول به ارائه خدمت هستند باید امنیت شأن به صورت جزئی و به صورت کلی تأمین شود.

وی با بیان اینکه ما دیدگاه یکپارچه‌ای در مورد داده اطلاعاتی نداریم و به صورت جزئی به آن نگاه می‌کنیم افزود: وقتی که داده‌های اطلاعاتی باهم در ارتباط هستند و یک اکوسیستم فناوری اطلاعات را تشکیل می‌دهند برای آن اکوسیستم انگار هیچ الزام امنیتی نداریم برای مثال برای یک کامپیوتر تمام الزامات امنیتی را رعایت می‌کنید، اما برای آن شبکه‌ای که تمام کامپیوتر‌ها را به هم وصل می‌کند و برای اکوسیستم شبکه دیدگاه امنیتی وجود ندارد.

نقض این یکپارچگی باعث می‌شود دو موضوع به وجود می‌آید که یکی نگهداشت داده‌ها و نشر اطلاعات است و دیگری موضوعی است که آسیب پذیری‌های ما از آن اکوسیستم از چشم ما دور می‌ماند و نمی‌توانیم آسیب پذیری‌های آن اکوسیستم را شناسایی کنیم. این دو عامل باعث می‌شود کسب و کار‌ها دچار آسیب شوند.

بیشتربخوانید

استفاده از محصولات بومی برای ارتقا زیرساخت‌های امنیتی

این کارشناس امنیت سایبری با بیان اینکه در خصوص نقاط ضعف‌ها و راه‌های تقویت امنیت سایبری تصریح کرد: الزامات امنیتی ما باید سختگیرانه‌تر باشد و همچنین موضوع حمایت‌های دولت از محصولات بومی باید بیشتر شود که هر چقدر محصولات بومی را تقویت کنیم و برای آن‌ها ارزش بیشتری قائل شویم می‌توان از این آسیب پذیری‌ها دور بمانیم.

وی در ادامه در خصوص تدابیر حاکمیت برای جلوگیری از حملات سایبری افزود: لازم است حاکمیت شرکت‌های دانش بنیان در حوزه امنیت اطلاعات را تقویت کند و بودجه تحقیقاتی بیشتری در اختیار آن‌ها قرار دهد و همانطور که در الزامات امنیتی داریم، زیرساخت‌های امنیتی سازمان‌ها و همچنین تجهیزات همیشه باید به روز باشند و همچنین لازم است سازمان‌ها از بخش خصوصی در حوزه ارتقا، تأمین نیروی انسانی و آموزش نیروی انسانی و به روز رسانی تجهیزات و فرایند‌های امنیت اطلاعات استفاده کند تا در حفظ و نگهداشت سازمان نقش مؤثری داشته باشند.

این کارشناس در حوزه امنیت سایبری در ادامه به موضوع متولی امنیت سایبری در کشور اشاره کرد و گفت: واقعیت این است که برای خیلی‌ها هنوز مشخص نیست متولی امنیت سایبری دستگاه‌ها کدام نهاد است. اگر حمله سایبری یا نشر اطلاعات برای دستگاه یا نهادی رخ دهد باید چه سازمانی پاسخ دهد و چه سازمانی قرار است به این سیستم رسیدگی کند. به طور کلی می‌توان گفت موضوع مدیریت رخداد خیلی در کشور شفاف نیست.

راه اندازی بیمه امنیت سایبری در کشور

جعفر قلی زاد به خسارت‌های سازمانی که مورد حمله سایبری قرار می‌گیرد اشاره کرد و افزود: اگر موضوع بیمه امنیت سایبری در کشور راه اندازی شود، شاید بتواند مواضع سختگیرانه‌تری نسبت به حوزه امنیت داشته باشد و بتواند بخشی از آن خسارت سازمان را در حوزه فرایندی و مالی جبران کند.

عدم یکپارچگی فرایند‌های امنیتی

وی تصریح کرد: واقعیت این است که کشور ما در حوزه فنی در وضعیت مطلوبی است، اما از لحاظ فرایند‌های امنیتی مطلوب نیست. فرایند‌های امنیتی، فرایند‌هایی هستند که از ابتدای اکوسیستم تا جایی که خدمت ارائه می‌شود را در بر می‌گیرد و همه موارد از جمله ارتباطات، دارایی‌ها، آسیب پذیری‌ها در این فرایند باید به صورت یکپارچه مد نظر قرار گیرد. ما متأسفانه در سازمان‌ها یکپارچگی نداریم. می‌توان گفت بزرگترین بخش پر ریسک سازمان‌های ما عدم وجود یکپارچگی فرایند‌های امنیتی است.

جعفر قلی زاد در پایان گفت: اگر نهاد‌های حاکمیتی فرایند‌های امنیتی را درست پوشش دهند و مشخص شود که متولی مدیریت رخداد در کشور چه کسی است، نقش و مسئولیت هر کدام از حوزه‌های مدیریت رخداد سایبری مشخص شود، تکلیف سازمان‌ها هم مشخص می‌شود.

وی افزود: یکی دیگر از کار‌هایی که حاکمیت می‌تواند انجام دهد این است که ترافیک شبکه کسب و کار‌های حیاتی در کشور شناسایی شود و همه از نقطه محل‌های خاص عبور داده شود. الزامات حاکمیت دسترسی هم فقط روی ترافیک شبکه اعمال شود به این ترتیب شاید بتوان از این طریق مانع حملات سایبری شد.

محمدرضا مرادی، دانشجوی دکتری مدیریت راهبردی فضای سایبر در دانشگاه عالی دفاع ملی نیز چالش‌های مدیریت امنیت سایبری را در کشور به شرح زیر اعلام کرد:

۱- به دلیل گستردگی و فراگیر شدن فضای مجازی، این نهادها، دارای شرح وظایف متنوع و بعضاً مشابهی شده‌اند. لیکن دارای برداشت‌های یکسان و تعاریف استاندارد بومی در مفاهیم پایه نیستند.

۲- به علت تعدد ذی‌نفعان و متولیان در این حوزه، روابط حمایت شونده / حمایت‌کننده مناسب نیست و مسئولان و کارشناسان باید چندین رابطه را که هریک آزادی‌ها و محدودیت‌های خاص خود را دارند درک و مدیریت کنند.

۳- فقدان جهت‌گیری واحد و مواضع اصولی اقدام کنندگان در فضای سایبر موجب شده مسئولین ضمن انجام اقدامات سلیقه‌ای و حرکات موازی، ناخواسته مسبب پدید آمدن چالش در فرآیند دفاعی امنیتی سایبری شوند.

۴- کارکنان عملیات سایبری، باید هدف فرمانده را به‌خوبی بشناسند و قادر باشند اثرات تصمیم‌ها و توصیه‌های خودی را به‌سرعت ارزیابی کنند. همچنین باید بدانند که اغلب ممکن است هنگام اتخاذ تصمیم‌ها فرصتی برای مشورت با مسئولان ارشد وجود نداشته باشد و زمانی که حفظ سرعت عملیاتی ضروری است و فرمانده اختیار عمل لازم را اعطا کرده، لازم باشد تصمیم‌ها به‌طور مستقل اتخاذ شوند.

مصوبات شورای عالی فضای مجازی رافع نیازمندی‌ها نیست

این پژوهشگر همچنین اظهار داشت: در سال ۱۳۹۰ شورای عالی فضای مجازی به تشخیص مقام معظم رهبری به‌عنوان بالاترین نهاد حاکمیتی، در شرایطی شکل گرفت که دستگاه‌ها دارای ناهماهنگی در مدیریت فضای مجازی کشور بودند. هرچند برخی از نهاد‌های دفاعی امنیتی عضو این شورا هستند، اما مصوبات این شورا به‌تن‌هایی رافع نیازمندی‌های این حوزه نیست.

وی گفت: مدیریت راهبردی دفاعی امنیتی منسجم فضای سایبر، ضمن کسب بهره‌مندی حداکثری از فرصت‌های موجود در این فضا و ایجاد بازدارندگی در سطح منطقه و بین‌الملل، موجب می‌شود آمادگی دفاع و واکنش به هنگام و اثربخش در مقابل هر تهدیدی را داشته باشیم. عدم انسجام کافی و یکپارچگی در مدیریت این فضا، موجب نقصان در بهره‌برداری از فرصت‌های پدید آمده در آن و ناتوانی در پاسخگویی به تهدیدات فضای سایبر می‌شود.

دکترین سایبری؛ حلقه مفقوده مدیریت راهبردی فضای سایبر

مرادی تصریح کرد: در راستای برطرف کردن چالش‌های یادشده، ابزاری که در دنیا به‌عنوان اصول راهنمای جهت‌گیری یکپارچه اقدامات به کار می‌رود، «دکترین» است. تغییر شیوه مدیریت از وضعیت فعلی به مدیریت مبتنی بر دکترین و اصول فراتر از یک تاکتیک است. این‌یک روش جدید فکر کردن درباره مدیریت است.

به گفته وی، ایجاد یک دکترین مبتنی بر اصول برای دیگران، آن‌ها را قادر می‌سازد برای خود تصمیم بگیرند، به‌جای آن‌ها که برای آن‌ها تصمیم گرفته شود یا تصمیم‌های (سطح کلان) به آن‌ها تفویض شود. این‌یک مدل حکمرانی توزیع‌شده برای سازمان‌های شبکه است.

این پژوهشگر تاکید کرد: چابکی از طریق توانمندسازی تصمیم‌گیری، دستیابی به هماهنگی به همراه استقلال در سازمان، عملیاتی کردن راهبرد از طریق شبکه، سازگاری سریع با شرایط پیش‌بینی‌نشده از اثرات دکترین است. نقش اصلی دکترین ایجاد زبان واحد، هدف مشترک و وحدت رویه در اقدام‌ها و فعالیت‌ها است. دکترین هدایت‌گر اقدام‌ها در سطوح مختلف است و درک مشابهی در اذهان، بدون در نظر گرفتن جایگاه، رتبه و تخصص آن‌ها ایجاد می‌کند.

در شرایطی که کشور‌های مختلف برای مقابله با قدرت جنگ نرم و تهدیدات سایبری روزبه روز خود را قوی‌تر می‌کنند و جنگ سایبری به یکی از میدان‌های نبرد دنیای امروز تبدیل شده است، به نظر می‌رسد امنیت سایبری زیرساخت‌های حیاتی کشور نیازمند تقویت و ارتقا بیشتر است.

همچنین اگرچه با تکلیف برنامه هفتم توسعه، فرماندهی امنیت فضای مجازی و راهبری آن بر عهده مرکز ملی فضای مجازی گذاشته شده است و نظام پیشگیری و مقابله با حوادث فضای مجازی نیز باید توسط این مرکز تهیه شود، اما بهتر است تا زمان اجرای برنامه، دستگاه‌های اجرایی اهتمام بیشتری به ارتقا زیرساخت‌های امنیت داده خود داشته باشند و پاسخگویی شفاف و موثرتری نسبت به این دست رخداد‌ها از سوی نهاد‌های متولی امنیت سایبری صورت گیرد.

منبع: مهر