هادی نیلی: اینروزها زندگی دیگری جز آنچه لمس میکنیم و حس میکنیم در جریان است. وقتی به جای صندوقهای نامه، میلباکسها را چک میکنیم و به جای مراجعههای هرروزه به بانک، به وبسایت بانکها میرویم، زندگی دیگری میان صفرویکها در جریان است. اگر در زندگی واقعی با دو چشم بینا اطراف خود را میپاییم و با قفل و زنجیر، مالمان را میچسبیم که کسی را دزد نکنیم، در فضای وب ماجرا فرق میکند.
امنیت سایبر از همان روزی که فضای سایبر شکل گرفت، مسئله شد. همین صفر و یکها که فضای سایبر را میسازند، میتوانند در برابر کوچکترین حملهها آسیبپذیر شوند و اطلاعاتی که برای راحتی کار ما در این صفر و یکها گنجانده شدهاند، اسباب زحمت و مکافات شوند.
هفته پیش گروه امنیتی «آشیانه» که سابقه جنگهای سایبری علیه وبسایتهای اسرائیلی را در کارنامه دارد، با استناد به آمارهای جرائم رایانهای از کشف حدود 67 مورد مشکوک جرم رایانهای توسط گشتهای اینترنتی در سال گذشته خبر داده و هشدار داده است که سهم سایتهای دولتی از نفوذ غیرمجاز اینترنتی در سال 87، 31 درصد و سایتهای غیردولتی 69 درصد است. این متخصصان که خود به عنوان هکرهایی توانمند شناخته میشوند، نسبت به نفوذ هکرها به فضای سایبر کشور هشدار دادهاند.
ماه پشت ابر نمیماند اما خبر چرا
خبر حملههای سایبری در ایران، معمولاً پنهان میماند مگر آنکه صفحه اول یک وبسایت طوری تغییرشکل دهد که کاربران متوجه آن شوند.
رضا هاشمی، کارشناس ارشد فناوری اطلاعات و شبکههای کامپیوتری که از موسسین اولین سرویس وبلاگنویسی فارسی است، میگوید: حمله به سرویس دهندگان اینترنتی یا ایجاد اختلال در آنها، از سوی مدیران مجموعهها پنهان میشود چون آن را مایه بیاعتباری و بیآبرویی برای مجموعه خود میدانند. به همین دلیل خیلی از حملههای اساسی و گاه خطرساز، به گوش افکار عمومی نمیرسد.
هاشمی همین موضوع را یکی از عوامل کاهش میزان امنیت سایبر در ایران میداند: وقتی خبری درباره ناامنیهای اینترنتی و خسارتها منتشر نمیشود، مدیران درباره میزان خطرهای فضای مجازی بیاطلاع و ناآگاه میمانند و توجه جدی به اهمیت امن کردن مجموعه خود نمی افتند. وقتی خبری درباره حملههای فضای مجازی و ابعادش منتشر نمیشود و مجرای دیگری برای مطلع نگهداشتن مدیران در این باره وجود ندارد، طبیعی است که این حوزه را جدی نگیرند و به ابعاد آن توجه نکنند و توجه نکنند که چه اطلاعاتی آسیبپذیر است و باید از آنها محافظت کنند.
با این حال چند نمونه از خبر حملههای سایبری در ایران از این قرار بوده است: دانشجویان با نفوذ به سایت دانشگاه پیام نور، توانستند نمرههای خود را تغییر دهند. این موضوع باعث واکنش وزارت علوم برای امن کردن سایتهای دانشگاهی شد. البته بعدها گفته شد که این خبر کذب بوده است.
سایت یکی از بانکهای کشور توسط گروه ISCN هک شد. این گروه با قرار دادن صفحه index. htm در شاخه اصلی سایت امکان دسترسی کاربران به صفحات بانک را مسدود کردند.
سایت ماهنامه دنیای کامپیوتر و ارتباطات دستکاری شد. کاربران با مراجعه به سایت ماهنامه به آدرس www. ccwmagazine. com با پیغامی مبنی بر هک شدن سایت روبهرو شدند که مانع دسترسی به صفحات این سایت میشد. هکر یا هکرها، خود را با نام «گروه مافیا» معرفی کردند. سازمان فضایی ایران به آدرس اینترنتی http: //www. isa. ir توسط یک گروه هکری از ایران به نام Persian Boys مورد حمله قرار گرفت.
مدیران از هزینه فراریاند
هاشمی، کارشناس امنیت وب، توضیح میدهد: موضوع امنیت ارتباط در فضای مجازی همیشه جزو بخشهای هزینهبر است؛ چه درباره کاربران، چه درباره شرکتهای خصوصی و چه درباره سازمانهای دولتی و عمومی. به همین دلیل علاوه بر اینکه مدیران به اهمیت امنیت سایبر توجه ندارند و واقف نیستند، چون این بخش جزو ردیفهای هزینهای است و خیلی از مدیران علاقهای به سرمایهگذاری و هزینهکردن در این حوزه ندارند.
رضا هاشمی البته یادآوری میکند: خیلی از جنبههای مفید وب و فضای مجازی در ایران نادیده مانده ودر حال توسعه است همین باعث شده امنیت فضای مجازی جدی گرفته نشود.
این کارشناس ارشد فناوری و شبکههای کامپیوتر میگوید: در ایران، کارشناسان خیلی خوب و متبحری در حوزه امنیت فضای مجازی داریم اما متأسفانه نظام اعتبارسنجی درستی در این حوزه وجود ندارد و صنف مشخصی ندارند. به همین دلیل شرکتها و مدیران معمولاً با توجه به شهرت و توان بازاریابی و ارتباطات افراد فعال در حوزه امنیت وب، به آنها مراجعه میکنند.
ارتباطات حرف اول را میزند، نه تخصص
هاشمی که خود در اولین ارائهدهنده خدمات وبلاگنویسی مشارکت داشته، میگوید: شرکتهای قدرتمندی در حوزه امنیت سایبر داریم اما آنها نه به دلیل صلاحیت و تواناییشان، که به دلیل رانت و ارتباطات رشد کردهاند. مشکلات پیشآمده برای بهخصوص مجموعههای مالی و بانکها محرمانه تلقی میشوند و در خبرها نمیآیند. این، پاککردن صورتمسئله است و باعث میشود مشاوران ناآگاه این مجموعهها در این حوزهها هزینه اقدامات ناکافیشان را ندهند. اما در کشورهای توسعهیافته چنین حملههایی خبرساز میشود، هزینه مدیران برای استفاده از خدمات ناکارآمد بالا میرود و ترغیب میشوند جلوی ضررهای بعدی را بگیرند.
هاشمی توضیح میدهد: فقدان مشاوران کارشناس در این حوزه، باعث میشود همان شرکتها و افرادی که تمایل دارند فضای سایبرشان را امن نگه دارند، باعث میشوند هزینههای بیجا و بیهودهای بکنند. این در حالی است که آنها باید به آنچه نیاز دارند توجه کنند. طبیعی است که فعالان حوزه امنیت وب و شرکتهای مرتبط میل داشته باشند جنس و خدمات خود را به بالاترین قیمت به مشتری بفروشند اما فقدان مشاوران زبده در این باره، باعث میشود بارها در حوزه امنیت سایبر هزینه کنند و دوباره و دوباره برای نرمافزار و سختافزار خرج کنند. اگر از اول درست هزینه کنند و خدمات درست را بخرند، به هزینههای مجدد دچار نمیشوند.
جای خالی پشتیبانی پس از خدمات
یک فعال حوزه وب و امنیت سایبر یادآوری میکند: در کشورهای توسعهیافته که شرکتهای امنیت وب بهخوبی فعالیت دارند و کاربران به آنها اعتماد میکنند، به این خاطر است که این شرکتها، خدماتی که میدهند را پشتیبانی میکنند. این پشتیبانی شکلی قانونی دارد و اگر مجموعهای که از آنها خدمات گرفته، از همان نقطه ضربه بخورد، این شرکتها باید در مقابل آنها پاسخگو باشند.
رضا هاشمی معتقد است در ایران توانایی بهدستآوردن پسورد ایمیل دیگران کافی است تا فرد خودش را کارشناس امنیت وب بداند و تا لایه مشاوران امنیت شبکه ارتقا پیدا کند.به گفته او، برخی از افرادی که این روزها در زمینه تأمین امنیت فضای مجازی فعالیت میکنند، به صورت تجربی از فضای تبهکاران اینترنتی وارد این عرصه شده اند و آموزشهای مرتبط و تخصص در این زمینه برخوردار نیستند و به کارگیری آنها خود میتواند منشا خطرات باشد.
هاشمی خبر میدهد: خیلی از گروههای هک و حمله اینترنتی، همزمان در قالب شرکتهای امنیتی هم فعالیت میکنند اما توانایی مقابله با هک، تنها یکی از جنبههای امنیت شبکه و سایبر است. این گروهها حداکثر میتوانند به عنوان گروه تست نفوذ شناخته میشوند.
این کارشناس حوزه امنیت سایبر به مدیران هشدار میدهد: درست نیست در این موارد از مشاور نااهل استفاده کنید چرا که این مشاوران، شما را به خریدن خدمات گران و بیفایده وادار میکنند.
او یادآوری میکند: لزومی ندارد پولی بهنادرستی جابهجا شود بلکه تقلبهای علمی و آموزشی هم میتواند موضوع حملههای سایبر شود و این موارد هم دستکمی از پول ندارند. متأسفانه بیشتر خدماتدهندههای وب کسانی هستند که در زمینه کاری خودشان متخصص نبودهاند. ویژگیهای مدیر خوب و کارشناس خوب فرق دارد و دلیلی ندارد هر کارشناس خوبی، یک مدیر خوب هم باشد؛ و بالعکس. این میشود که در مواقع بحران که مجموعههای اطلاعاتی با حمله سایبر مواجه میشوند، خیلی ضعیف عمل میکنند.
پاشا ناصرآبادی دبیر همایش امنیت و دولت الکترونیک با تأکید بر اینکه ایران از نظر امینت اطلاعات در وضعیت مناسبی قرار ندارد، گفت: استفاده از CMSهای (سامانههای مدیریتی) مجانی متن باز (Open source) و بیتوجهی نسبت به به روز کردن نرم افزارها از سوی سازمانها باعث شده است تا حفرههای امنیتی گسترش یابند. از این رو سایتهای بسیاری از سازمانها دستخوش حملات سایبری قرار میگیرند.
او با بیان اینکه تاکنون کشور از آسیبهای حملات سایبری در امان بوده است، ادامه داد: با توجه به اقداماتی که در زمینه هک برخی از سایتهای رژیم اشغالگر قدس از سوی هکرهای ایرانی انجام شد، نشان میدهد که کشور پتانسیل نفوذ در شبکههای اطلاعاتی را دارد.
ناصرآبادی به مشخصات سایتهای هک شده اشاره کرد و اظهار داشت: همیشه کاربران از هک شدن یک سایت مطلع نمیشوند چرا که گاهی هک برای یک دقیقه است و یا مثلاً در ساعت 24 اتفاق میافتد که بلافاصله برای رفع آن اقدام میشود. ولی با مراجعه به سایت Zone-h میتوان از هک شدن سایتها در دنیا مطلع شد.
او با اشاره به برخی از اخبار در زمینه هک همزمان 500 سایت گفت: معمولاً بر روی یک سرور بیش از 400 سایت قرار دارد و اگر حتی یکی از این سایتها از نظر امنیتی مشکل داشته باشند به راحتی میتوان همه سایتها را هک کرد.
این کارشناس امنیت اطلاعات با اشاره به اقدام دولت در زمینه ارائه خدمات الکترونیکی اضافه کرد: ما هیچ چارهای به جز الکترونیکی کردن خدمات نداریم، از این رو باید قبل از هر چیز زیرساختهای امنیتی سایتها را فراهم کنیم.
هزینههای خرد خرد به جای هزینه بهجا
سیدمجید علویزاده گرمی نیز که یک شرکت خدمات هاستینگ دارد، میگوید: نیروهای متخصص، نیروهای گرانقیمتی هستند اما چون شرکتها در پی کاهش هزینهها هستند، برایشان مهم نیست که از متخصصها استفاده کنند.
این فعال حوزه وب توضیح میدهد: فقدان بودجه باعث میشود مدیران به جای قدمهای بزرگی که مشکل را بهکلی از پیش پای آنان بر دارد، قدمهای کوچک بر دارند و این باعث میشود هزینههای خرد خرد و در نهایت بیشتر از هزینه اصلی بکنند.
اما فرشاد اسماعیلیان، مدیر سایت هاستایران، نظر دیگری دارد. او به خبر میگوید: شرکتهای ایرانی به سمت استانداردها و سیاستهای خوبی پیش میروند. وضع، خیلی بهتر از قبل شده است. تا پنج سال پیش، متوسط سنی هکرها زیر 18سال بود و هرکس میتوانست وبسایتهای ایرانی را با کمی وقتگذاشتن هک کند اما حالا وضعمان بهتر است.
با این حال او نیز تأیید میکند که هنوز مدیرانی هستند که آموزش لازم درباره امنیت سایبر را ندارند.
اسماعیلیان برخلاف هاشمی و علویزاده معتقد است: هزینه تأمین امنیت وب بالاست اما لزومی هم ندارد این مسئله را اینقدر بزرگ کنیم که یک بودجه جداگانه برایش در نظر گرفته شود. به نظر من اگر از اول به شکل استانداردی هزینه و برنامهریزی شود، امنیت مشکلی پیدا نمیکند. یعنی مثلاً سرور از اول با امنیت بالا بیاید. در این صورت لازم نیست زیر بار هزینههای بعدی بازیابی اطلاعات و امثال آن برویم.
نظر شما