در گفت و گوی ماه شماره 18 ماهنامه نسل چهارم آمده است:
در سال های اخیر، کشور عزیزمان ایران متحمل حملات سایبری به زیرساخت های مختلف خود بوده است. این حملات در جنگ تحمیلی 12 روزه اسرائیل با مشارکت و حمایت همه جانبه آمریکا و برخی کشورهای اروپایی شدت گرفت.
بر آن شدیم تا با یکی از کارشناسان امنیت سایبری کشور گفتوگویی داشته باشیم که البته ایشان اصرار بر گمنام بودن خویش داشتند که ما هم طبق اصل حفظ محرمانگی، از ذکر نام خودداری کردیم.
سوال اول اینکه عوامل پشت پرده حملات سایبری به زیرساختهای کشور بویژه زیرساختهای حیاتی چه کسانی و یا چه گروههایی هستند؟
عوامل ترتیب دهنده این حملات به صورت عمده از گروه های تحت حمایت کشورها یا نظام های متخاصم و یا گروه های غیرقانونی، تروریستی و هکتیویستی هستند، اگرچه بسیاری از این حملات سایبری در مراحل مختلف حمله از دسترسی اولیه تا اجرای فاز تخریب، شناسایی و خنثی شدهاند، اما برخی از آن ها نیز موفق شدهاند به برخی سرویس ها ضربه بزنند.
آیا امکان دارد آن بخشی از خدماتی عمومی که ازحملات سایبری ضربه خورده اند را نام ببرید؟
حملات سایبری به سامانه هوشمند سوخت، بانک ها، برخی فرودگاه ها، بنادر و پایگاههای اطلاع رسانی و داده ای از این جمله هستند.
چرا این حملات سایبری که اشاره کردید، موفق بوده است؟
آنچه که در بررسی های فنی این حوادث با وجود زحمات و تلاش های تعدادی زیادی از دست اندرکاران حوزه سایبر کشور در سطوح مختلف کاملاً مشهود است، وجود برخی غفلت ها است که باعث بروز یا افزایش تاثیر حملات سایبری به زیرساخت ها میشود. اگر بخواهیم این غفلت ها را دسته بندی کنیم در حوادث چند سال گذشته در دو سرفصل کلی در برخی زیرساخت ها، غفلت هایی صورت گرفته است که بعضا باعث اجرای حملات سایبری با روش های نه چندان پیچیده یا با تکنولوژی بالا است.
چه مسائلی موجب شده است که این غفلتها رخ دهد؟
اولین سرفصل مورد غفلت، ضعف در انجام اقدامات پیشگیرانه موثر است. در این حوزه که بسیاری از اقدامات می توانند با هزینه های قابل قبول انجام پذیرند، اما غفلت باعث شده است اقدامات ساده، موثر و قابل اجرا آن هم به چابکی، منتظر تایید و تصویب پروژه های کلان و زمان بر شوند.
بسیاری موارد ضعف در رویه های کنترل دسترسی، پیکربندی امن تجهیزات و نرم افزارها، وصله کردن بموقع آسیبپذیری ها، قابلیت تقویت و اجرای قابل قبول در برنــامه های کوتاه مدت و مستمر را دارند. در برخی حوادث، ضعف در تدوین سیاست های امنیتی و ممیزی اجرای آن ها (به خصوص سیاست های کنترل دسترسی، کلیدواژه-ها، ارتباط از راه دور، زنجیره تامین امن)، معماری امنیتی تک لایه به جای دفاع در عمق و لایه ای، اتصال ناامن شبکه های با مخاطره امنیتی متفاوت به یکدیگر مانند اتصال شبکه های داخلی به اینترنت، نقص دانش امنیتی در برخی معماران شبکه، آگاهی رسانی امنیتی ناکافی در سازمان و از همه مهم تر عدم توجیه مدیریت کلان مجموعه ها نسبت به مخاطرات سایبری باعث تخریب بیشتر و در بعضی حوادث عبور از مرحله سایبری و تخریب های فیزیکی محدود شد.
با این حملات، آیا خدمات رسانی عمومی به طور کامل مختل شده است یا متخصصان امنیت سایبری توانستهاند مشکلات را رفع کنند؟
وجود اسناد و رهیافت های بازگردانی از حادثه و پشتیبان گیری مناسب در بسیاری از سازمان هایی که قربانی حملات سایبری شدند، باعث شد تا مرحله پاسخ به حوادث سریع تر انجام شود و خدمات حیاتی به مردم شریف ایران پس از وقفه ای، گاه بسیار کوتاه، دوباره از سر گرفته شود که این مطلب در کنار ضعف هایی که وجود داشته و دارد باعث افتخار و حاصل تلاش جهادی در این بحران هاست، اما به نظر می رسد در این موارد نیز با تمرین های مداوم می توان زمان پاسخگویی به حادثه را کمتر کرد.
شما از غفلتها گفتید و سرفصل اول آن را متوجه ضعف در انجام اقدامات پیشگیرانه موثر دانستید، دیگر غفلتها در حفاظت از امنیت سایبری چیست؟
سرفصل بعدی مورد غفلت، ضعف در تقویت زیرساخت های رصد امنیتی به عنوان چشم امنیت سایبری سازمانهاست، این ضعف ها در لایه های تکنولوژی، فرآیندی و بخصوص نیروی انسانی قابل لمس بوده و هست. گاه ضعف در تولید لاگ های امنیتی، پوشش ضعیف جمع آوری و ذخیره لاگ ها، تنوع پایین شواهد و لاگ های ذخیره شده، ضعف یا کمبود تجهیزات و سنسورهای امنیتی در شبکه، نبود فرآیند شکار تهدید در سازمان، ضعف در استفاده از مکانیزم های امنیتی مستقر در نقاط انتهایی مانند EDR و نبود رصد امنیتی مستمر روی شبکه از جمله غفلت هایی هستند که ذیل این سرفصل احصا شدند.
برای افزایش امنیت زیرساخت ها پیشنهاد می شود از تجربیات به دست آمده در مقابله با حوادث سایبری استفاده شده و به عنوان یک وظیفه ملی، از این غفلت ها اجتناب شود؛ این حقیقت قابل انکار نیست که بسیاری از حملات به کسب و کارها (دولتی یا خصوصی) که صاحبان آن ها مدعی پیچیدگی در روش ها و با تکنولوژی بالای آن ها شدند از غفلت های کوچک و ساده سوءاستفاده کردند.
به صورت خاص سازمانهای دولتی و حتی خصوصی، در صورتی که با حمله سایبری مواجه شدند، چه اقداماتی را باید در دستور کار قرار دهند؟
در زمان بروز حادثه ضمن حفظ خونسردی، اطلاع رسانی به موقع به مراجع ذی صلاح، کنترل و محدودیت ورود و خروج ها به زیرساخت، اقدام سریع برای شناسایی دامنه و گستردگی حمله و سپس حتی الامکان محدودسازی و جزیره کردن محدوده ضربه خورده (مثلا قطع دسترسی های راه دور یا اینترنت)، ایجاد میز بحران با حضور افراد موثر (نه تنها فنی مثلا حضور مسئول مالی و اداری جهت تامین سریع نیازمندی ها) مورد تاکید و اجراست. همچنین آماده سازی بستر بازگردانی بر اساس سند بازگردانی از حادثه سازمان، کمک به جمع آوری شواهد توسط تیم فارنزیک و مدیریت اخبار و شایعات از جمله اقدامات لازم و حیاتی هستند که می توانند تا حد زیادی در کنترل و مدیریت حادثه موثر واقع شوند.
برای بعد از گذر از حادثه نیز حتما انجام اقدامات گام به گام بازگردانی با نظر تیم های فارنزیک و امنسازی(شرکتهای دارای گواهی افتا)، اطلاع رسانی دقیق و شفاف و همچنین تدوین درس آموخته های حملات مورد تاکید است.
نکات پایانی را بفرمایید.
اولا از شما سپاسگزارم که چنین فرصتی را در اختیار بنده گذاشتید تا برخی مسایل مربوط به امنیت سایبری را با مردم خوب کشورمان و همچنین راهبران سامانههای سازمانی در دستگاههای دولتی و حتی بخش خصوصی به نمایندگی از همه همکاران فعال در حوزه امنیت سایبری در میان بگذارم و به عنوان خاتمه، عرض کنم که مردم عزیزمان اطمینان داشته باشند که فرزندانشان در حوزه فناوری اطلاعات و امنیت سایبری برای حفظ امنیت و آسایش آنان، از هیچ تلاشی فروگذار نخواهند کرد و استدعا داریم خدمتگزاران خود را از دعای خیر بینصیب نگذارند.
انتهای پیام
این وب سایت در دیتاسنتر آسیاتک میزبانی می شود