چگونه اینترنت را در شرایط بحرانی امن کنیم

امنیت سایبری بدون نظارت مداوم و نظام‌مند تحقق نخواهد یافت

این استاد دانشگاه با تأکید بر لزوم شکل‌گیری نظام‌های نظارتی فعال و ارزیابانه گفت: امروز بیش از هر زمان دیگری به راه‌اندازی سازوکارهای دقیق و پیوسته ممیزی نیاز داریم. ممکن است مدیری در حوزه فناوری اطلاعات با دقت بالا و مسئولیت‌پذیری کامل به اجرای الزامات بپردازد، اما در بخشی دیگر از همان سیستم، فردی با این ذهنیت که “اتفاق خاصی نمی‌افتد” از اجرای برخی دستورالعمل‌ها خودداری کند. در چنین شرایطی، نبود نظارت مؤثر و منسجم باعث می‌شود کل چرخه عملکرد ناقص بماند و نتیجه مطلوب حاصل نشود.

او در ادامه به یکی از تجربه‌های اخیر در بررسی امنیت سامانه‌های دانشگاهی اشاره کرد و گفت: در ماه‌های فروردین و اردیبهشت، ارزیابی‌هایی روی وب‌سایت‌های دانشگاه‌ها انجام شد، اما این بررسی‌ها عمدتاً محدود، خودکار و مبتنی بر سامانه بودند. در حالی‌که انتظار می‌رود این نوع ارزیابی‌ها به صورت میدانی، حضوری و با تحلیل کارشناسی عمیق‌تری انجام شوند.

اثنی‌عشری تصریح کرد: بدون نظارت مداوم و ساختاریافته، نمی‌توان به امنیت سایبری دست یافت. اگر واقعاً برای امنیت دیجیتال اهمیت قائل هستیم، باید به سمت پیاده‌سازی ممیزی ۳۶۰ درجه حرکت کنیم؛ نه صرفاً ارزیابی‌های مقطعی، بلکه یک فرآیند کامل شامل تدوین الزامات، نظارت بر اجرا، انجام آزمون‌های نفوذ، دریافت بازخورد و اعمال اصلاحات مستمر.

ضرورت استقرار نظام منسجم و مستمر برای پیشگیری از رخدادهای امنیتی

وی با اشاره به وضعیت منابع انسانی در حوزه امنیت فناوری اطلاعات تصریح کرد: در بسیاری از سازمان‌ها، هرچند نیروهای فعال در حوزه فناوری اطلاعات حضور دارند، اما این بدان معنا نیست که همگی در زمینه امنیت سایبری دارای تخصص لازم باشند. علاوه بر این، استخدام، حفظ و ارتقای این دسته از متخصصان نیز با چالش‌های قابل توجهی روبروست. با این حال، از منظر حاکمیتی، ضروری است نهادهایی شکل بگیرند که مسئولیت هدایت و پشتیبانی این حوزه را به صورت جدی و پایدار بر عهده بگیرند. هرچند مراکزی مانند مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) در این زمینه فعال هستند، اما هنوز سازوکار جامع، فراگیر و قابل اتکایی که بتواند امنیت دیجیتال سازمان‌ها را به‌طور کامل تأمین کند، به‌صورت مؤثر در کشور مستقر نشده است.

اثنی‌عشری در ادامه افزود: در بسیاری از موارد، سازمان‌ها صرفاً یک ایمیل هشدار دریافت می‌کنند که مثلاً پورت خاصی باز است یا سامانه‌ای دارای آسیب‌پذیری امنیتی شناخته شده است. اما آنچه به‌شدت احساس می‌شود، نبود یک نظام منسجم و پیگیر برای پایش دائمی، تست‌های دوره‌ای و ارزیابی ساختاریافته وضعیت امنیتی سامانه‌هاست. چنین نظامی باید بتواند نه فقط تهدیدات را شناسایی کند، بلکه سطح امنیت عملیاتی سازمان را نیز تضمین و پایدار نگه دارد. بی‌تردید، طراحی و استقرار این چرخه می‌تواند تأثیر بسزایی در کاهش مخاطرات و جلوگیری از وقوع رخدادهای امنیتی ایفا کند.

این عضو هیئت علمی دانشگاه همچنین با اشاره به ظرفیت‌های انسانی کشور در حوزه فناوری اطلاعات گفت: خوشبختانه در دانشگاه‌ها، مراکز آپ (آگاهی‌رسانی، پشتیبانی و پاسخ به رخدادهای امنیتی) و شرکت‌های دانش‌بنیان، نیروهای متخصص و توانمندی مشغول به فعالیت هستند. با وجود آنکه بخشی از این نیروها در سال‌های اخیر مهاجرت کرده‌اند، اما همچنان سرمایه انسانی ارزشمندی در کشور فعال است. نکته مهم این است که این ظرفیت‌ها باید در چارچوب یک سیاست‌گذاری منسجم، هماهنگ و قابل اجرا به کار گرفته شوند؛ سیاستی که بتواند این پتانسیل پراکنده را به‌صورت یک زنجیره منظم و هدفمند سازماندهی کند.

وی در پایان با اشاره به چالش‌های سیاست‌گذاری امنیت سایبری در کشور یادآور شد: متأسفانه در این حوزه گاهی دچار افراط و تفریط می‌شویم؛ یا همه‌چیز را به‌طور کامل محدود و مسدود می‌کنیم، یا در نقطه مقابل، با رهاسازی کامل، عملاً کنترل مؤثری اعمال نمی‌کنیم. آنچه ما نیاز داریم، یک رویکرد متعادل، مبتنی بر واقعیت‌های اجرایی و متکی بر مشارکت همه‌جانبه ذی‌نفعان است؛ رویکردی که بتواند به ایجاد یک اکوسیستم پایدار و امن در فضای سایبری کشور بینجامد.

گواهی‌نامه‌ای برای ویترین؛ نه ضمانت واقعی امنیت

عضو هیئت علمی دانشگاه خواجه نصیر به تجربه اخیر صدور گواهی امنیتی “افتا” نیز اشاره کرد و گفت: در یکی دو سال گذشته، خیلی تأکید شده که سازمان‌ها باید فقط با شرکت‌هایی همکاری کنند که دارای گواهی افتا هستند. این گواهی قرار است تأییدی بر توانایی شرکت‌ها در حفاظت از اطلاعات باشد اما در عمل، تأثیر آن کمتر از حد انتظار بوده است. به‌عنوان نمونه، شرکت‌ها معمولاً فقط برای یک محصول گواهی می‌گیرند، اما بعد همان گواهی را به دیگر محصولات خود تعمیم می‌دهند، بدون اینکه فرآیند واقعی ارزیابی برای آن‌ها طی شده باشد. نظارتی هم بر این موضوع وجود ندارد.

وی افزود: از سوی دیگر، اگر بخواهیم سخت‌گیری کنیم و الزام بگذاریم که همه محصولات باید جداگانه گواهی داشته باشند، با چالش نبود ظرفیت کافی برای صدور گواهی مواجه می‌شویم. فرآیند اخذ گواهی افتا گاهی تا دو سال هم طول می‌کشد. این موضوع خود به مانعی برای فعالیت شرکت‌ها تبدیل می‌شود و در نتیجه، نه تنها امنیت افزایش پیدا نمی‌کند، بلکه اعتماد به فرآیندها هم کاهش می‌یابد.

لزوم بازنگری در روند ارزیابی و صدور این گواهی‌ها

مدیر فناوری اطلاعات دانشگاه خواجه نصیر همچنین بر لزوم بازنگری در روند ارزیابی و صدور این گواهی‌ها تأکید کرد و گفت: اگر شرکت‌های دانش‌بنیان و مراکز آپ بتوانند در فرایند ارزیابی و صدور گواهی مشارکت داده شوند، هم این روند تسریع می‌شود و هم کیفیت آن افزایش پیدا می‌کند. گواهی افتا نباید صرفاً بر اساس ارسال مدارک یا گذراندن یک آزمون صادر شود؛ بلکه باید با ارزیابی‌های میدانی و تخصصی همراه باشد.

وی با اشاره به چالش‌های عملیاتی همکاری با شرکت‌ها گفت: گاهی شرایط ایجاب می‌کند که با شرکتی فاقد گواهی افتا قرارداد همکاری منعقد کنیم، چراکه در آن حوزه خاص، جایگزین مناسبی وجود ندارد. در چنین مواردی، هرچند تمام استانداردهای امنیتی را از جانب خود رعایت می‌کنیم، اما نبود نظام آدیتینگ و ارزیابی مستمر سبب می‌شود نتوانیم با اطمینان از میزان پایبندی طرف مقابل به الزامات امنیتی سخن بگوییم. اگر واقعاً قرار است امنیت اطلاعات در اولویت قرار گیرد، نظارت دقیق، مستمر و قابل رهگیری نیز باید به همان میزان مورد توجه و اهتمام قرار گیرد.

این استاد دانشگاه تأکید کرد: بدون زنجیره کامل از زیرساخت، نیروی انسانی و سیاست واحد، مقابله با تهدیدات سایبری ممکن نیست.

امنیت سایبری باید متولی واحد در کشور داشته باشد

در پاسخ به این پرسش که از منظر علمی چه راهکاری باید از سوی حاکمیت برای پیشگیری از حملات سایبری اتخاذ شود، این استاد دانشگاه گفت: به باور من، اصل مسئله در یکپارچگی است. ما نیازمند وجود یک نهاد مرکزی و یکپارچه هستیم؛ مغز متفکری که با مسئولیت کامل، مدیریت این حوزه را به‌صورت منسجم و متمرکز بر عهده بگیرد.

او با اشاره به وضعیت فعلی ادامه داد: در حال حاضر، نهادهای متعددی به‌طور موازی در حوزه فضای مجازی فعالیت می‌کنند؛ از مرکز ملی فضای مجازی و سازمان فناوری اطلاعات گرفته تا دیگر سازمان‌هایی که هر کدام به‌صورت جزیره‌ای در بخشی خاص از این فضا حضور دارند. این پراکندگی و موازی‌کاری‌ها باعث می‌شود در زمان وقوع بحران‌های امنیتی، مسئولیت‌پذیری به‌درستی انجام نشود. هر نهادی تلاش می‌کند وظیفه را به نهاد دیگر منتقل کند، به‌گونه‌ای که یکی اعلام می‌کند مأموریتش فقط تا مرحله‌ای خاص بوده و ادامه مسیر بر عهده دیگری است. این وضعیت به‌خوبی نشان می‌دهد که نبود یک مرجع تصمیم‌گیر و پاسخگو، یکی از خلأهای بنیادین در مدیریت امنیت سایبری کشور است.

اثنی‌عشری تأکید کرد: در چنین شرایطی، وجود نهادی مقتدر، پاسخگو و مسئول، امری ضروری و انکارناپذیر است؛ نهادی که علاوه بر تدوین دستورالعمل‌های اجرایی، توانایی تطبیق این دستورالعمل‌ها با شرایط واقعی و پیچیده اجرایی را نیز داشته باشد. همچنین باید از طریق سازوکارهای نظارتی دقیق و پیوسته (نظیر آدیتینگ مستمر)، بر حسن اجرای این مقررات نظارت کند و نقاط ضعف را شناسایی و اصلاح نماید.

وی در ادامه افزود: طراحی و تدوین دستورالعمل‌های عملیاتی، هرچند گامی اساسی و مهم است، اما به‌تنهایی نمی‌تواند ضامن تحقق امنیت پایدار باشد. این هدف، نیازمند بسترسازی‌های گسترده‌تر است؛ از ایجاد زیرساخت‌های فنی لازم گرفته تا جذب و نگهداشت نیروی انسانی متخصص، متعهد و آموزش‌دیده. در حقیقت، باید زنجیره‌ای کامل و منسجم از فرآیند تصمیم‌سازی تا اجرا شکل گیرد؛ زنجیره‌ای که تمامی اجزای آن هماهنگ، فعال و در تعامل با یکدیگر باشند.

او در پایان تأکید کرد: تنها با صدور بخشنامه یا اعلام اراده، نمی‌توان امنیت فضای مجازی را تضمین کرد. آنچه اهمیت دارد، ایجاد سازوکارهای اجرایی اثربخش، بهره‌گیری از ظرفیت‌های واقعی کشور و حرکت بر مبنای برنامه‌ای دقیق، عملیاتی و قابل ارزیابی است.

اثنی عشری در ادامه با اشاره به اقدامات صورت‌گرفته در سال‌های گذشته یادآور شد: نمی‌توان منکر تلاش‌ها و پیشرفت‌های ارزشمندی شد که در سال‌های اخیر در این حوزه صورت گرفته است. بی‌تردید، وضعیت ما نسبت به گذشته بهبود یافته، اما واقعیت آن است که تهدیدات سایبری روزبه‌روز پیچیده‌تر، هدفمندتر و خطرناک‌تر می‌شوند و ما ناگزیر از حرکت با شتاب و انسجام بیشتر در این عرصه هستیم. تا زمانی که آن زنجیره یکپارچه و منسجم که پیش‌تر به آن اشاره کردم، به‌طور واقعی شکل نگیرد، نمی‌توان انتظار داشت که در برابر امواج روزافزون تهدیدات سایبری مصون بمانیم.

از راهکارهای امنیت شخصی تا چالش‌های سازمانی

وی به برخی اقدامات فردی و سازمانی در زمینه حفظ امنیت سایبری اشاره کرد و گفت: در حوزه شخصی، مهم‌ترین نکته پرهیز از نصب نرم‌افزارهای ناشناس و استفاده از لینک‌های مشکوک است. همچنین توصیه می‌شود از VPNهایی که ناشناخته و رایگان هستند استفاده نشود؛ چرا که اغلب این ابزارها می‌توانند دسترسی کامل به اطلاعات کاربران پیدا کنند. به‌طور کلی، استفاده از نرم‌افزارهای داخلی و بومی به جای نمونه‌های خارجی، اقدامی مؤثر در کاهش تهدیدات امنیتی است.

مدیر فناوری اطلاعات دانشگاه خواجه نصیر در خصوص تدابیر امنیتی دانشگاه اظهار کرد: با توجه به امکانات موجود، تلاش کردیم در وهله نخست دسترسی‌های ریموت را کنترل کنیم؛ با استفاده از ابزارهایی مانند FortiClient. همچنین تست‌های نفوذ دوره‌ای (پریودیک) روی سامانه‌ها و سرورها انجام می‌شود و لاگ‌های سیستم‌ها به‌طور مداوم از طریق ابزارهایی نظیر Splunk مورد پایش قرار می‌گیرند.

او ادامه داد: در کنار این اقدامات، از ظرفیت‌های مرکز ماهر نیز بهره‌برداری کرده‌ایم. در مواردی نیز برخی از سرورها را به پشت سرویس‌دهنده‌های ابری منتقل کرده‌ایم تا در برابر حملاتی مانند DDoS ایمن‌تر باشند. همه این‌ها بخشی از روند نظارت مستمر و تقویت زیرساخت‌های امنیتی دانشگاه است.

باید از اینترنت جهانی استفاده هوشمند و همراه با نظارت داشت

وی در پایان درباره ضرورت استفاده از اینترنت بین‌المللی و چالش‌های آن گفت: اینترنت جهانی یک نیاز اجتناب‌ناپذیر است، خصوصاً برای فعالیت‌های علمی، پژوهشی و ارتباط با مجلات و مراکز بین‌المللی. محدود شدن این دسترسی برای فعالیتهای علمی مشکلاتی را به وجود می آورد. بنابراین، به جای حذف باید استفاده هوشمندانه و همراه با نظارت از این فضا داشته باشیم. فضای مجازی فرصت است، اما تهدید هم هست. باید یاد بگیریم چگونه با دقت و با آگاهی از تهدیدات از این فرصت استفاده کنیم.