چرا اینقدر راحت هک میشویم؟
محمدرضا مستمع
در کشور سامانهها، هر روز یک خبر از هک شدن سامانهای به گوش میرسد؛ یک روز صداوسیما یک روز سازمان زندانها یک روز هم شهرداری. اگر بخواهیم از نگاه کارشناسی حوزه امنیت اطلاعات و با دید فنی به بررسی موضوع بپردازیم، مهمترین پرسشی که مطرح میشود این است: مشکل یا مشکلات اصلی از کجا سرچشمه میگیرند؟
۱- قوانین: وقتی پروژههای امنیتی وارد مناقصههای عمومی میشوند یکی از مهمترین اتفاقاتی که پیش میآید دادن قیمتهای پایینتر به منظور گرفتن پروژه است. نتیجه این رویکرد منجر به گرفتن پروژه توسط افرادی با تخصص کمتر میشود. واقعیت این است که در این حالت شرکتهایی که کار کیفیت انجام میدهند به راحتی از گردونه رقابت خارج میشوند و بعضی اوقات سازمانهایی که صلاحیت کمتری دارند، پروژه را دست میگیرند. این رویکرد دو مشکل دارد؛ اول انجام کار با کیفیت کمتر و نکته دوم اما مهمتر اینکه تیمهای نفوذکننده از کشورهای خارجی به راحتی متوجه میشوند چه پروژهای از سوی چه شرکتی انجام شده و این شرکت برای انجام این پروژه چقدر نقطه ضعف دارد. مساله قانونی دیگری که وجود دارد الزام سازمانهای دولتی به استفاده از محصولات بومی است. همانطور که در صنعت خودرو اختلاف شدید کیفیت و قیمت محصولات داخلی و خارجی مشخص است، مشابه همین مورد در خیلی از محصولات داخلی به چشم میخورد. البته این نکته منکر آن نیست که برخی از محصولات داخلی واقعا عملکرد قوی و قابل قبولی دارند.
۲- فقدان دانش و درک مدیریتی امنیت اطلاعات: سوالاتی که خیلی از سازمانها از کارشناسان امنیت میپرسند این است که «ما اول سیستم مدیریت امنیت اطلاعات (ISMS) را پیادهسازی کنیم یا فایروال بخریم؟! الان SOC روی بورس است و وقتی ما این SOC را راهاندازی کنیم مانند یک عقاب تیزبین میتوانیم تمامی مشکلات امنیتی خودمان را رصد کنیم! به نظر شما این بهترین راهحل نیست؟ ما الان هم فایروال و هم WAF داریم و امنسازی را انجام دادهایم؛ میخواهیم در مرحله آخر یک تست نفوذ نیز انجام بدهیم که دیگر همه مشکلات امنیتی را شناسایی کنیم. بعد به امید خدا برویم برای پیادهسازی سیستم مدیریت امنیت اطلاعات. به نظر شما این راه خوبی است و دیگر هک نمیشویم؟» همه این سوالات نشاندهنده یک چیز است: درک نادرست و نادقیق از امنیت اطلاعات. در دنیای واقعی امنیت اطلاعات وصلهپینه نیست که آن را به هم بدوزیم و یک سپر آهنین برای جلوگیری از هک ایجاد کنیم. امنیت اطلاعات باید یک فرآیند جاری در سازمانها باشد نه یک پروژه. وجود یک فرآیند جاری باعث میشود به همه قسمتهای سازمان و ابعاد کار درست نگاه شود. همانطور که کاپشن یک لباس خوب است، در فصل زمستان کاربرد دارد نه در فصل تابستان. باید با یک نگاه جامع نسبت به سطح بلوغ سازمان نسبت به صنعتی که سازمان در آن فعال است، نسبت به نوع موضوعاتی که یک سازمان را تهدید میکند و نسبت به میزان بودجهای که یک سازمان دارد، لباس امنیت متناسب با شرایط خود را بپوشد.
۳- چطور وضعیت فعلی خود را ارزیابی کنیم: سوالی که برای خیلی از مدیران سازمانهای بزرگی که سالها بابت امنیت هزینه کردهاند و الان نمیدانند چطور وضعیت خود را ارزیابی کنند، پیش میآید این است که اگر همین امروز یک تیم هکری به ما حمله کند، آیا ما هک میشویم یا خیر؟ پاسخ این پرسش را میتوان با استفاده از سرویس Red team پیدا کرد. فرض کنید یکی از بانکهای کشور میخواهد به سوال بالا پاسخ بدهد. این بانک سالهاست برای امنیت اطلاعات خود هزینه کرده و حالا میتواند با یک تیم هکری وارد یک قرارداد شود و مدت آن و تعداد نفرات را مشخص کند؛ مثلا یک تیم ۱۱ نفره به مدت ۹۰ روز. این تیم با نفرات خود در ۹۰ روز هر نوع حملهای از هر نوع را به بانک انجام میدهد تا بتواند به هر شکلی به اطلاعات حسابهای بانکی دسترسی پیدا کند. در این سرویس، متخصصان فناوری اطلاعات بانک هیچ اطلاعی از این قرارداد ندارند و طبق روال عادی کار خود را انجام میدهند. تیم قرمز نیز مجاز به انجام هر کاری است تا بتواند به هدف خود که دسترسی به اطلاعات بانک است دست یابد. پس از ۹۰ روز جلسهای با حضور مدیران بانک تشکیل میشود و تمامی موارد به دست آمده به نمایش گذاشته میشود. در این حالت، مدیران بانک مکانیسم ارزیابیای برای خود دارند که مثلا بعد از چند روز هکرها توانستهاند به شبکه بانک نفوذ کنند یا اینکه بعد از چند روز موفق به استخراج اطلاعات شدهاند. شاید بتوان امیدوار بود که با تصحیح قوانین، پایان دادن به نگاه پروژهای به امنیت اطلاعات و نهایتا استفاده از تیمهای قرمز در میانمدت هزاران سامانهای را که اطلاعات حساس میلیونها ایرانی را در خود دارند به شکل بهینهتری مدیریت کرد.