راه‌حل مشکل حفاظت از داده‌ها

ابوذر عرب‌سرخی٭

راه‌حل مشکل حفاظت از داده‌ها در کوتاه‌مدت، ارزیابی امنیتی در خدمات و زیرساخت‌هاست. برای حل مشکل حفاظت از داده در کوتاه‌مدت، باید نگاهمان به سمت امن‌سازی خدمات و زیرساخت‌های مبتنی بر ارزیابی امنیتی باشد. داده‌های ما در فضای سایبر اصولاً به اپلیکیشن‌های موبایل و خدمات تحت وب مربوط می‌شود و این کاربردها در یک بستر ارتباطی میزبانی شده و از یک زیرساخت ارتباطی بهره‌برداری می‌کنند. بنابراین اگر بخواهیم از این داده‌ها صیانت کنیم و دغدغه‌مان حریم خصوصی است، یکی از راه‌های موثر و مواجهه کارآمد با این مشکلات، می‌تواند ارزیابی امنیتی مستمر این برنامه‌های کاربردی و زیرساخت‌های ارتباطی باشد. در این راستا باید با شناسایی آسیب‌پذیری‌ها در این حوزه، مانند نشت اطلاعات و نقض سیاست‌های امنیتی در حوزه حریم خصوصی، نسبت به امن‌سازی در این حوزه اقدام کنیم. همچنین تست و تایید محصولات خارجی قبل از به‌کارگیری آنها در سطح زیرساخت‌های حیاتی کشور بسیار حیاتی است. برای مثال، بروز تهدیدات سایبری مانند «استاکس نت» و «فلیم» روی زیرساخت‌های اطلاعاتی و صنعتی کشور نشان داد که فایروال‌های خارجی این حملات را شناسایی نکردند. مشخص است که اغلب حملاتی که به زیرساخت‌های حیاتی و حساس انجام می‌شود، اساساً از نوع حملات سازمان‌یافته است و حاکمیت‌ها و دولت‌ها پشت آن قرار دارند یا از سوی نهادهای تبهکاری انجام می‌شود که تزریق مالی‌شان از طریق دولت‌های متخاصم صورت می‌گیرد. بنابراین ارزیابی امنیتی تمامی محصولات خارجی و داخلی باید در اولویت امر متولیان زیرساخت‌های حیاتی و حساس کشور قرار گیرد. در این زمینه بهترین فضا برای تشخیص قابلیت عملکردی و راندمان سیستم، فضای آزمایشگاهی است که در یک محیط شبیه‌سازی شده، کاربرد مطمئن و امن محصولات و خدمات، مورد ارزیابی قرار می‌گیرد. ازطرفی با وجود بلوغ در حوزه توسعه‌دهندگان اپلیکیشن‌ها، اما متدولوژی توسعه امن اپلیکیشن در کشور مورد استفاده قرار نمی‌گیرد؛ باید به این اصل توجه داشت که هرچه اطلاعات حیاتی‌تر باشند، حفاظت از داده و صیانت آنها برای ما مهم‌تر است و ضریب حساسیت الزامات امنیتی راجع به داده‌های سامانه‌های حساس و حیاتی باید سختگیرانه‌تر باشد اما در حال حاضر این موضوع در کشور رعایت نمی‌شودو همچنان نگاه ما نگاه سیستمی و پیشگیرانه نیست و منفعلانه است. زمانی که اتفاقی رخ داد، شروع به رفع و رجوع و رسیدگی به آن می‌کنیم و این نگاه منفعل است. بنابراین باید سعی شود تا قبل از بروز مشکل و مبتنی بر ارزیابی مخاطرات، نسبت به پیگیری اقدامات امنیتی لازم عمل شود. باید توجه داشت که شبکه ملی اطلاعات فقط زیرساخت اطلاعاتی و ارتباطی نیست. آنچه در اختیار وزارت ارتباطات است، این دو لایه است. اما امنیت لایه خدمات و محتوا در لایه‌ای جدا از امنیت لایه زیرساخت‌های ارتباطی باید تأمین شود. برای مثال در لایه محتوا، رایج‌ترین تهدیدات «فیک نیوز» و «نقض صحت» است و اینها ربطی به سازوکار امنیتی حوزه ارتباطات ندارد. در لایه خدمات نیز ما در فضای سایبری قانون مشخصی نداریم و تکالیف آن نیز به عهده وزارت ارتباطات نیست. شبکه ملی اطلاعات از نظر زیرساخت ارتباطی و اطلاعاتی کارکرد خود را حفظ کرده و پایداری داشته و در سرویس‌دهی عرضه‌کنندگان خدمات، وابستگی به منابع بیرونی را کم کرده است؛ ما بخشی از این لایه را مربوط به استقرار امنیت می‌دانیم که وزارت ارتباطات در این حوزه خوب کار کرده است. باید توجه داشت که مسائل امنیتی لایه محتوا و خدمات، اساساً خارج از کنترل ما است و امنیت شبکه ملی اطلاعات را باید در قالب یک اکوسیستم تعریف کرد. 

تمامی وظایف این اکوسیستم به دوش وزارت ارتباطات نیست و این وزارتخانه تنها در حوزه امنیت زیرساخت‌های اطلاعاتی و ارتباطی مکلف است. این تکلیف مربوط به داده‌هایی می‌شود که در دیتاسنتر وجود دارد و باید حداکثر الزامات امنیتی را تأمین کند. اما در حوزه خدمات و محتوا با مسائلی روبرو هستیم که باید در جای خود حل و فصل شوند و همه موارد را نمی‌توان با یک راه‌حل واحد مدیریت کرد. در این اکوسیستم باید سازمان صداوسیما، رسانه‌ها، بانک‌ها، نیروهای مسلح، پدافند غیرعامل حضور داشته باشند و ملاحظات امنیتی در لایه خدمات و محتوا پیش‌بینی و اجرایی شود.

٭ رییس پژوهشکده امنیت

پژوهشگاه ارتباطات