بیتوجهی سازمانها به سطوح امنیتی دسترسی اطلاعات
وزیر ارتباطات و فناوری اطلاعات گفت: «این روزها عدهای مدعی شدهاند که بانکها هک شدهاند. در حالی که بانکها هک نشده بودند، بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت، نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باجگیری است. این مجموعهها به مدیریت سطوح امنیتی دسترسی اطلاعات اهمیت نمیدهند، بعد که دچار مشکل میشوند انتظار دارند که مرکز ماهر تمام مشکلاتشان را حل کند.»
به گزارش وزارت ارتباطات و فناوری اطلاعات، محمدجواد آذری جهرمی روز گذشته در نشست هماهنگی بین مراکز آپا (آگاهیرسانی، پشتیبانی، امداد برای آسیبپذیریها و حوادث امنیتی سایبری)، ادارات کل ارتباطات فناوری استانها و مسوولان فناوری اطلاعات استانداریهای کشور با بیان اینکه برخی تصورشان از حوزه امنیت این است که اگر مجهز به سیستمهای امنیتی شویم دیگر امنیت برقرار میشود، گفت: «معمولاً سازمانهایی با چنین تفکری از جایی ضربه میخورند که تصورشان را ندارند. آیا همه دیوارها و محیط ورودی سازمان را میشود حفاظت کرد؟ متر به متر دیوارهای مجموعه را نگهبان و دوربین و سیستمهای امنیتی گذاشت؟ هزینه اداره مجموعهای با چنین تفکری بسیار زیاد خواهد بود.»
وزیر ارتباطات با بیان اینکه در حوزه امنیت دو نوع تهدید وجود دارد، گفت: «یک تهدید دسترسی افراد غیرمجاز به دادههای سازمان و دوم تهدید دسترسی افراد مجاز به دادههای حساس و محرمانه است که در این زمینه مبحثی وجود دارد تحت عنوان سطوح دسترسی یا مدیریت سطوح دسترسی. بنابراین اولین گام مدیریت امنیتی در هر مجموعهای، مدیریت سطوح دسترسی است. مفهومش این است که در هر سازمانی تمام دادهها و تمام پردازشها باید طبقهبندیشده باشد. تمام افراد هم باید عنوان طبقهبندی داشته باشند. آنوقت مدیریت سطوح دسترسی در سازمان مشخص میکند که آیا این فرد میتواند به این اطلاعات دسترسی داشته باشد یا خیر که بسته به محیطها و مقرراتگذاریها متفاوت خواهد بود.»
آذری جهرمی تصریح کرد: «چند درصد سازمانها از این مدیریت سطوح امنیتی برخوردار هستند. اصلاً در کشور ما مدیریت طبقهبندی اطلاعات یعنی چه؟ این بههمریختگی و بینظمی در مدیریت سطوح دسترسی را در مجموعههای مختلف کشور میبینیم و عمده درز اطلاعات هم ناشی از همین مساله است. این روزها بحث دستبرد به برخی بانکها مطرح شده و عدهای مدعی شدهاند که بانکها هک شدهاند. این در حالی است که بانکها هک نشده بودند بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باجگیری است. اگر برای آن سازمان مدیریت سطوح امنیتی مهم بود، فکر میکنید اجازه میداد که مدیر فنی نسخهای از اطلاعات را در اختیار داشته باشد؟ این مجموعهها به مدیریت سطوح امنیتی دسترسی اطلاعات اهمیت نمیدهند، بعد که دچار مشکل میشوند انتظار دارند که مرکز ماهر تمام مشکلاتشان را حل کند.»
وزیر کابینه دولت دوازدهم با بیان اینکه عمده شکایت عموم مردم و مراجعاتشان به مراکز انتظامی با موضوع کلاهبرداریهای مالی در فضای مجازی است و این مساله رتبه نخست شکایتها در حوزه فضای مجازی را به خود اختصاص داده است، گفت: «اینجا این سوال مطرح میشود که برای مقابله با این کلاهبرداریها چه اقدامات پیشگیرانهای انجامشده است؟ دلایل و علل وجود ناامنی الزاماً به خاطر در اختیار نداشتن سیستم فنی نیست. برخی فکر میکنند مشکلات جامعهشناسی و اجتماعی و سهلانگاریها و درست نبودن فرایندهای اداری را میشود با یک دکمه حل کرد. بسیاری از مسوولان هم همین عادت را پیداکردهاند که هر جا به مشکلی برمیخورند فکر میکنند با یک دکمه یا با یک سامانه میتوانند کل مشکلات مملکت را حل کنند. درحالی که مشکلات امنیتی اینگونه قابلحل نیست. اگر فرایندی به لحاظ فنی خوشساخت نباشد، نباید از آن انتظار داشت که امن و ایمن باشد. از فرایند ناپایدار نمیشود انتظار پایداری داشت. البته این مسائل را مطرح نکردم که ما وظایف فنی خودمان را نادیده بگیریم. برای افزایش ضریب امنیت ما هم مسوولیتهایی بر عهده داریم اما باید بدانیم وجود مشکلات امنیتی در فضای سایبری ناشی از نبود ساختارهای مناسب است.»
آذری جهرمی تأکید کرد: «در یک سازمان به اصول اولیه امنیتی بیاعتنایی کردهاند و اطلاعات حجیمی درز کرده یا دستکاریشده، بعد میخواهند با یک سیستم فنی به مقابله با آن مشکل بپردازند. معلوم است که شدنی نیست؛ بنابراین باید توجه داشته باشیم که اولین نکته پیادهسازی و رفتارهای سازمانی سالم و ایجاد تراکنشهای خوشساخت در سازمانها است.»
وی خاطرنشان کرد: «مدیران آپا در سراسر کشور مسوولیت دشوار امنیت سایبری را بر عهده دارند و باید در رابطه با علل بروز رخدادهای ضدامنیتی و دلایل این موضوعات برای مسوولان مربوطه بهروشنی صحبت کنند تا در سطح استان این مسوولان از آپا انتظار معجزه نداشته باشند. کشوری که دورهای ۳۰۰ هزار مشترک موبایل داشت و امروز رقم به ۷۰ میلیون مشترک رسیده طبیعی است که با افزایش تعداد مشترکان مشکلات مبتلابه آن افزایش یابد. ما میبینیم فلان مسوول میگوید فضای مجازی تبدیل به اولین حوزه شکایتهای مردم تبدیلشده است. خب این دوستان یا نمیدانند از چه حرف میزنند یا خود را به جهالت زدهاند. امروزه همه وارد فضای مجازی شدهاند. خب معلوم است که با حضور بخش زیادی از مردم در این فضا شاهد افزایش بزه هم خواهیم بود؛ اما سوال این است که شما به عنوان منتقد چه ساختاری را برای مقابله با سوءاستفادهها ایجاد کردهاید. اگر این فضا را تعطیل کنیم مسائل حل میشود؟»
وزیر ارتباطات با اشاره به گزارش اخیر مرکز ماهر گفت: «بیش از ۱۷۰۰ اپلیکیشین باجافزار با تعداد نصب بالا کشف شده است که بیشترین این اپلیکیشینها مربوط به فیلترشکنهاست. وقتی دقیق نگاه میکنیم میبینیم یک مافیایی، فیلترشکن درست میکند و عقبه همان مافیا با عقبه مافیای ارزشافزوده یکی است. شک نکنید سایتهای قمار را هم همین جریان راه انداختهاند. بعد که پای صحبت همین افراد مینشینیم میگویند بزرگترین مشکل کنونی کشور اینترنت و فضای مجازی است و باید با آن مقابله کرد. تمام زندگی مردم را میخواهند به هم بزنند تا کاسبی خود را به راه بیندازند. ما در برابر این جریانات هم وظیفه داریم. البته میشود در برابر این افراد مثل خودشان هوچیگری سیاسی کرد ولی با این روشها کار حل نمیشود؛ اما متولیانان امنیت سایبری وظیفه دارند این مساله را در حوزه مسوولیت خود تبیین کنید. عده زیادی در این کشور امیدشان به ما است؛ بنابراین مراکز آپا باید در این باره هم روشنگری کند.»
آذری جهرمی با بیان اینکه ما به عنوان سیاستگذاران حوزه آیسیتی و مدیرانی که در حوزه اجرا هم وظایفی داریم، افزود: « باید یک همافزایی میان مرکز آپا، سازمان فناوری و سایر مراکز امنیت سایبری برقرار کنیم. اساساً در حال حاضر یک حلقه مفقودهای در حوزه اتصال دانش با حوزه امنیت وجود دارد. مثلاً مرکز آپا گزارشی ارایه میکند که ۱۷۰۰ باج افزار وجود دارد که نزدیک به ۱۷ میلیون قربانی گرفته و یک پلتفرم داخلی هم این باج افزارها را برای نصب قرار داده است. خب این گزارشها را تهیه میکنید و پایش را انجام میدهید اما این گزارشها چه ثمرهای برای مردم دارد؟ اینکه اطلاع داده میشود این تعداد باجافزار وجود دارد، تنها باعث افزایش نگرانی مردم میشود. باید حلقههایی ایجاد تا پس از شناسایی امکان برخورد با باج افزارها هم ایجاد شود. باید مردم با مراکز امنیت سایبری ارتباط برقرار کنند و احساس اینکه یکجایی حواسش به امنیتشان هست و در فضای مجازی بیپناه نیستند به وجود بیاید تا یک شرکت ارزشافزوده هم به خود این اجازه را ندهد که دست در جیب مردم کند.»