مرکز افتا به‌کارگیری کسپرسکی را ممنوع کرد

مرکز افتای ریاست جمهوری طی ابلاغیه‌ای، استفاده از محصولات شرکت کسپرسکی را در دستگاه‌های اجرایی به‌دلیل ضعف و عدم کارایی لازم در تشخیص نفوذ و مقابله با حملات اخیر سایبری زیرساخت‌های حیاتی کشور، ممنوع اعلام کرد.

به گزارش افتانا، طبق ابلاغیه مرکز افتای ریاست جمهوری، خرید و یا تمدید لایسنس محصولات کسپرسکی در دستگاه‌های اجرایی دارای زیرساخت‌های حیاتی در کشور ممنوع و منوط به استعلام کتبی از این مرکز شده است.

عدم کارایی و ضعف عملکردی محصولات کسپرسکی در تشخیص نفوذ و مقابله با حملات اخیر سایبری به زیرساخت‌های حیاتی کشور از دلایلی است که مرکز افتای ریاست جمهوری به آن اشاره کرده‌است. مرکز افتا در این ابلاغیه هشدار داد که درصورت رعایت نکردن این دستورالعمل، تبعات حقوقی و امنیتی ناشی از صدمات احتمالی حملات سایبری به زیرساخت‌های کشور بر عهده دستگاه متبوع خواهد بود.

این در شرایطی است که محصولات شرکت امنیتی روسی کسپرسکی در بخش‌های مختلف خصوصی و دولتی کشور کاربرد فراوانی داشته است. گمانه‌زنی‌های متعددی درباره دلایلی که منجر به این ابلاغیه شده‌است از سوی کارشناسان و اهالی آی‌تی مطرح می‌شود؛ از ابهام در تبیین چرایی ناکارآمدی این محصولات در محتوای ابلاغیه تا ربط دادن آن به موضوع ترویج محصولات بومی‌ و ...

یک پیام روشن به کسپرسکی!
علی کیایی‌فر، مدیر امنیت سیستم‌های کنترل صنعتی شرکت مدبران، به اطلاعاتی اشاره می‌کند که به شرکت تولیدکننده آنتی‌ویروس کمک می‌کند تا تهدیدهای جدید را شناسایی و تحلیل کرده، بهبودهای لازم را در نرم‌افزار اعمال کنند و همچنین تجربه کاربری بهتری برای مشتریان فراهم کنند و می‌افزاید: البته، معمولاً شرکت‌ها سیاست‌های مشخصی برای حفظ حریم خصوصی کاربران دارند و اطلاعات حساس به‌صورت ناشناس یا با رعایت پروتکل‌های امنیتی مناسب ارسال می‌شوند.

وی در مورد اینکه این اطلاعات معمولا شامل چه مواردی هستند و چگونه گردآوری می‌شوند، توضیح می‌دهد: آنتی‌ویروس‌های سازمانی این قابلیت را دارند که برای بهبود عملکرد و امنیت خودشان برخی اطلاعات را از شبکه سازمان به سرورهای خودشان ارسال کنند. این قابلیت معمولا با یک تیک در آنتی‌ویروس‌ها فعال می‌شود و این اطلاعات معمولا به‌صورت Anonymous ارسال می‌شود. این اطلاعات می‌تواند شامل گزارش‌های کلی تهدیدات و بدافزارها، نمونه‌های بدافزارها و فایل‌های مشکوک برای تحلیل بیشتر، اطلاعات مربوط به تهدیدات شناسایی شده، ازجمله نوع و روش شناسایی، مشخصات سیستم شامل نسخه سیستم‌عامل، تنظیمات امنیتی، و مشخصات سخت‌افزاری، طلاعات شبکه مانند آدرس‌های IP و تنظیمات شبکه، گزارش‌های خطاها و لاگ‌های نرم‌افزار برای کمک به رفع مشکلات فنی و بهبود عملکرد، اطلاعات دیباگینگ و لاگ‌های کرش و مواردی از این دست باشد.

کیایی‌فر در گفت‌وگو با افتانا درباره چرایی این ابلاغیه، نظر خود را این‌گونه بیان می‌کند: شرکت کسپرسکی از طرفی از فضای تحریم‌های بین‌المللی به‌وجود آمده برای ایران و غیبت برندهای معتبر خارجی و همچنین ضعف مفرط محصولات آنتی‌ویروس بومی نهایت استفاده را کرده و بازار ایران را قبضه کرده است و از طرفی حاضر نیست هیچ‌گونه لاگی از تهدیدات سایبری کشف‌شده به‌ویژه حملات هدفمند و APT را در اختیار دستگاه‌های نظارتی کشور بگذارد. به نظر من یکی از دلایل اصلی تصمیم بر ممنوعیت استفاده از محصولات کسپرسکی در ایران، ارسال یک پیام روشن به کسپرسکی است که این شرکت برای ادامه فعالیت رسمی در ایران ناچار است همکاری‌هایی را با دستگاه‌های نظارتی کشور داشته باشد.

قرار نیست یک آنتی‌ویروس همه چیز را کشف کند!
در افتانا به سراغ روزبه نوروزی، مدرس و معمار ارشد امنیت اطلاعات، هم رفتیم که یکی از معدود ایرانیان دارنده مدرک CISSP، یکی از مدارک عالی حرفه‌ای در حوزه امنیت است. او می‌گوید: آنتی‌ویروس یکی از الزامات حفاظتی/کشفی امنیت در سازمان است اما کلا هر آنتی‌ویروسی، بخشی از بدافزارها را نمی‌تواند کشف کند. شخصا در چندین حادثه سایبری در کشور دیده‌ام که آنتی‌ویروس‌ها از برند‌های مختلف نتوانسته‌اند جلوی حمله را بگیرند یا آن را کشف کنند. اصولا یکی از دلایل اینکه سایت‌هایی چون virustotal راه‌اندازی شده‌اند، نیاز به اسکن فایل مشکوک توسط چند آنتی‌ویروس بوده است. الزامی نیست که یک آنتی‌ویروس همه چیز را کشف کند و این امر، یک اصل پذیرفته شده است و اصولا یکی از مبانی تاسیس مرکز عملیات امنیت یا همان SOC همین است.

نوروزی ادامه می‌دهد: در فلسفه ایجاد SOC قبول کرده‌ایم که اولا، هر سنسور به تنهایی توانایی کشف حمله را ندارد و ثانیا، حملات پیچیده سنسورهای کشفی زیادی را دور می‌زنند. لذا با ایجاد مرکز عملیات امنیت سعی می‌کنیم با تلفیق لاگ سنسورها و با کمک فرایندها و عامل انسانی، نفوذ را کشف کنیم. ضمنا تنظیم درست ابزارهای امنیتی نظیر آنتی‌ویروس‌ها مسئله مهمی است که در بسیاری از موارد در کشور نادیده گرفته می‌شود. این مسئله باعث می‌شود آنتی‌ویروس یا هر ابزار امنیتی به نحو مطلوب به عملکرد خود نرسد، لذا مقابله و کشف مناسبی را از آنتی‌ویروس شاهد نباشیم.

وی صحبت‌های‌خود را این ‌گونه به پایان می‌برد: درنهایت اینکه از نظر اینجانب اگر مسئله تصمیم در مورد کسپرسکی صرفا به دلایل فنی باشد بنابر آنچه به آنها اشاره شد زیر سوال است، اما شاید دلایل عملکردی دیگری مطرح باشد که اکنون ما از آنها اطلاع نداریم.

مثل همیشه، «مسئولیت برعهده سازمان است»!
محمدشهاب احمدی، مدیر فناوری اطلاعات شرکت مهندسی و ساختمان صنایع نفت (اویک) با اشاره به اینکه مخاطب این بخش‌نامه، سازمان‌ها و نهادهای مندرج در ماده ۵ خدمات کشوری است (و ‌نه بیشتر)، به افتانا می‌گوید: در این‌گونه بخش‌نامه‌های سلبی، ابتدا هزینه‌های مشهود و نامشهود ناشی از اجرای آن قبل از صدور بررسی می‌شود. حجم سرمایه‌گذاری سازمان‌های ایرانی (از ردیف بودجه‌های جاری و غیرعمرانی) انجام شده در این‌خصوص به نظر بسیار قابل توجه است که مشخصا بسیاری از این هزینه‌کردها هنوز حتی مستهلک هم نشده است. این موضوع در گزارش‌های دیوان محاسبات می‌تواند به‌عنوان هزینه‌کردهای بدون بازده منعکس شود و مشکلاتی را برای دستگاه‌های اجرایی ایجاد کند. صرف صدور بخش‌نامه از سوی افتا، رافع مسئولیت این سازمان‌ها در پاسخگویی به بند گزارش دیوان محاسبات نمی‌شود. نتیجه آنکه دستگاه اجرایی باید چندین کیلو‌ گزارش تولید کند که چرا و‌چگونه چنین هزینه‌ای کرده و چرا حواسش نبوده و‌گزارش‌های متعددی بدهد تا از خودش رفع تکلیف کند.

او درباره عواقب احتمالی اجرای این ابلاغیه می‌گوید: سال‌هاست که هزینه‌های بسیار برای رشد و تربیت کارشناس متخصص این حوزه چه در بخش خصوصی و چه در بخش دولتی صورت گرفته است. تکلیف این هزینه‌کرد چیست؟ چه کسی بهای آن را می‌پردازد؟ آیا قرار است نقطه سر خط شوند و از اول برای محصول دیگری تربیت شوند؟ افتا می‌تواند هزینه تربیت نیروهای جدید را تقبل کند؟ این یک شوک به بدنه دانشی حوزه IT است که تا مدت‌ها خلاء دانشی برای استقرار محصولات جایگزین حس خواهد شد و چه‌بسا در مدت این خلاء به سازمان‌ها آسیب وارد شود.

این مدیر فناوری اطلاعات و ارتباطات با اشاره به اینکه بسیاری از سازمان‌ها، تنظیمات شبکه‌، سیاست‌های امنیتی و حتی کد نرم‌افزارهای تولیدی را بر اساس سازگاری با این محصول تطبیق داده‌اند، هشدار می‌دهد: تغییر به محصولی دیگر ممکن است حتی منجر به بازنویسی کد یا اختلال در اجرا شود که خود گویای هزینه نامشهود دیگری است.

او درباره محتوای این ابلاغیه می‌گوید: افتای محترم طبق معمول این‌گونه بخش‌نامه‌ها، نه تنها پیشنهادهای جایگزین را مطرح نکرده و مشخص هم نکرده که نکند خدای ناکرده فردا برای یک محصول دیگر نیز همین‌گونه عمل کند؛ بلکه در انتهای نامه طبق معمول همیشه جمله معروف این‌گونه بخشنامه‌ها را ذکر کرده است که«چنان‌چه سازمان متبوع اقدام نکند مسئولیت برعهده آن سازمان است»!! چیزی که عیان است چه حاجت به بیان است. آیا چنان‌چه به دستور افتا عمل شد و سازمان‌ها دچار آسیب‌پذیری شدند، افتا قبول مسئولیت می‌کند که این‌گونه تهدید عدم اجرا را برعهده سازمان‌ها می‌گذارد؟ مشخص است که همیشه مسئولیت اجرا و‌ عدم اجرا برعهده سازمان است و سازمان پاسخگوست. هزینه ناشی از نگهداری و آسیب‌پذیری را سازمان می‌دهد؛ افتا که هزینه نمی‌دهد! امیدوارم روزی شاهد حذف این جمله زاید بی‌فایده از ذیل بخش‌نامه‌ها باشیم.