و حالا پس از بحران ... فقدان!

عنوان این نوشتار «فقدان» است. نبودن همه‌ چیزهایی که سال‌هاست در امنیت سایبری به پاشنه‌ آشیل ما تبدیل شده و سال‌هاست که گوش شنوایی برای آن نیست. اما واقعیت این کمبودها در جنگ 12 روزه، چنان به صورت‌مان خورد که امیدواریم باعث بیداری‌مان شود.

فقدان درک لازم از لزوم رعایت استانداردها، روال‌ها و رویه‌ها. امنیت فناوری اطلاعات را اگر از منظر people-process-technology نگاه کنیم، می‌بینیم که پایه‌ فرایندها که به نیروی انسانی و فناوری هم متصل است، به شدت در کشورمان لنگ می‌زند. انبوه توضیحات، مستندات و زونکن‌هایی که در طبقات کتابخانه‌ها جا خوش کرده و روی آنها عناوین جذابی مانند ISMS یا BCP دیده می‌شود. همه می‌دانیم که در اغلب سازمان‌ها این روال‌ها را به صورت مجموعه‌ای تزئینی و دست‌وپاگیر از دستورالعمل‌ها می‌بینند که لاجرم باید برای اخذ گواهی مربوطه تهیه و بعد بایگانی شود. رعایت استانداردها را اغلب امری تشریفاتی می‌دانیم که کمکی به کسب‌وکار سازمان نمی‌کند ولی ناچاریم برای حفظ ظاهر آن را تحمل کنیم. ولی در همین آسیب‌هایی که به بانک‌ها و صرافی‌ها وارد شد دیدیم که حتی اگر اندکی از استانداردها رعایت می‌شد، هم برای چنین موقعیتی آمادگی و طرح جایگزین داشتیم و هم برای چاره‌اندیشی می‌توانستیم بهتر عمل کنیم. مثلا بانک سپه که در نخستین نفوذی که فروردین‌ماه به آن انجام شد، نه فقط مشکل پیش آمده را نپذیرفت، بلکه حتی رسانه‌ها را به اقدام قضایی تهدید کرد، متاسفانه در پیام‌هایی که برای مشتریان فرستاد همچنان سخنی از حمله سایبری به بانک نمی‌کند و اقدامات خود را ذیل روزآمدسازی زیرساخت‌ها طبقه‌بندی می‌کند. البته و خوشبختانه، صرافی نوبیتکس با مسئولیت‌پذیری بیشتری اعلام کرد که در حال مبارزه با نفوذگران است و سعی کرد فهرستی از اقدامات درحال انجام را اطلاع‌رسانی کند.

فقدان دانش فنی لازم. در همین چند فقره نفوذ اخیر، اثبات شد که عدم پیکربندی مناسب تجهیزات و نرم‌افزارها یکی از راه‌های مهم نفوذ بوده است. این فقدان دانش در ارتباط مستقیم با سیل مهاجرت نخبگان و کارشناسان است و حقیقتا کشور از این لحاظ در مضیقه است. متاسفانه دانش فنی لازم در سازمان‌های ما وجود ندارد. موضوعی غیر قابل انکار که هنوز هیچ طرح ملی مهمی برای ترمیم این آسیب‌پذیری وجود ندارد.

فقدان عزم لازم برای مبارزه با تجهیزات قاچاق. در حالی که عدم توجه به امنیت زنجیره‌ تامین تجهیزات امنیت سایبری و زیرساختی به وضوح دیده می‌شود، سیل دستگاه‌های دست دوم (شما بخوانید دست چندم) که عامدانه یا غیرعامدانه وارد کشور می‌شوند به آسیب‌پذیری بزرگ دیگری تبدیل شده‌است. دستگاه‌هایی که نمی‌دانیم پیش از نصب در زیرساخت‌های کشورمان، در کدام دیتاسنتر و کدام کشور و تحت چه شرایطی کار کرده‌اند و چرا الان به کار گرفته نمی‌شوند؛ آیا سخت‌افزارها دست‌کاری شده‌اند؟ آیا کد یا چیپ‌ست خاصی به آنها تزریق شده و آیا آسیب‌پذیری امنیتی داشتند که غیر قابل رفع بوده و به همین لحاظ از رده خارج شده‌اند؟
و این یعنی بی‌توجهی آشکار به امنیت زنجیزه تامین.

در کنار این‌ها، انبوه لایسنس‌های نرم‌افزاری که به صورت غیرمجاز، اشتراکی یا کرک‌شده در سازمان‌ها هستند... . این‌ها را به ده‌ها VPN بی‌نام و نشان اضافه کنید که سازمان‌ها ناچار به استفاده از آنها هستند. این حجم از بی‌توجهی به امنیت واقعا حیرت‌آور است!

فقدان بودجه‌ کافی. این نیز گفتنی‌ است که بودجه‌های امنیت اطلاعات صرف خرید سایر تجهیزات می‌شود و پولی برای امنیت باقی نمی‌ماند. بدیهی است که این حوزه به شدت به بودجه وابسته است و وقتی نتوان فناوری‌های جدید را به کار گرفت، فناوری قدیمی می‌ماند و ده‌ها حفره‌ی امنیتی.

فقدان ایجاد و به کارگیری درس آموخته‌های حملات. هر چقدر در این سال‌ها گفته شده که پس از هر هک و نفوذ و نشت اطلاعات لازم است که درس‌آموخته‌های آن در چندین سطح از عمومی تا غیر قابل انتشار عمومی، آماده و تولید شود، همان‌قدر هم به این موضوع کم‌توجهی شده است. لزوم انجام این کار بدیهی است ولی همین امر بدیهی تقریبا در مورد هیچ‌کدام از نفوذ‌های صورت‌گرفته انجام نشده و یا بسیار محدود بوده است. جالب است که کارشناسان ما دانش خود را از مطالعه‌ همین گزارش‌هایی که در سطح جهان تولید می‌شود افزایش می‌دهند اما از درس‌آموخته‌های داخلی خبری نیست. شکی نیست که این موضوع ارتباط مستقیمی با فقدان دانش فنی و تا حدی کمبود بودجه دارد.

فقدان شبکه به اشتراک‌گذاری اطلاعات تهدید و نفوذ. اینکه گزارش فنی هر نفوذ تولید نمی‌شود تا حدی مرتبط با فقدان شبکه‌ به اشتراک‌گذاری اطلاعات تهدید و نفوذ نیز هست. در نفوذهای اخیر کار به جایی رسید که کارشناسان به صورت تلفنی به همتایان خود هشدار می‌دادند که مراقب باشید! این موضوع را نمی‌توان بیش از این توضیح داد.

فقدان به کارگیری کارشناسان مجرب و استفاده از دانش و خرد جمعی. در کنار این که سازمان‌ها توان مالی استخدام کارشناسان فنی مجرب را ندارند و یا کارشناسان مجرب از همکاری با بخشی از سازمان‌ها اجتناب می‌کنند، باید به نوعی ضدیت در همکاری با کارشناسان متخصص نیز توجه کرد. زیرا به همان دلیل فقدان دانش فنی لازم کارشناس یا مدیر یک مجموعه، تمایل به استفاده از دیگرانی که از او به‌مراتب مطلع‌تر و باسوادتر هستند، ندارد و این می‌شود که پس بروز رخداد سایبری، تیم رسیدگی به حادثه متوجه می‌شود که فایروالی در مجموعه بوده که به صورت پیش‌فرض پیکربندی شده یا حتی دارای تنظیمات ابتدایی متناسب با سازمان نیز نبوده است.

فقدان کارایی روش‌های مجوزدهی و اعتبارسنجی. نه تنها در جنگ 12 روزه، بلکه پیش از آن هم مشخص شده بود که روال‌های اعتبارسنجی در خصوص شرکت‌ها، نیروی انسانی و محصولات در کشور کارایی لازم را ندارد و مجوزهایی که صادر می‌شود کمکی به بهبود شرایط سازمان‌هایی که مورد حمله یا نفوذ واقع شدند نکرده و تنها یک چرخ‌دنده‌ای به چرخه‌ معیوب امنیت فناوری اطلاعات کشور افزوده‌اند. نظرسنجی که افتانا که پیش از این در همین رابطه برگزار کرده و نتایج آن به‌زودی منتشر می‌شود نیز نشان داده که روال اعتبارسنجی و مجوزدهی در این زمینه نیازمند تغییرات اساسی و بنیادی است و روش فعلی فقط به ایجاد حس امنیت کاذب می‌انجامد که خود آسیب دیگری را در پی دارد.

فقدان حکمرانی امنیت سایبری در کشور. ایجاد حکمرانی امنیت سایبری می‌تواند با تعریف مسئولیت‌ها، تدوین قوانین، ایجاد هماهنگی بین نهادها، و هدایت سرمایه‌گذاری‌ها و آموزش‌ها به‌طور مستقیم سطح آمادگی و مقاومت کشور را در برابر تهدیدات سایبری افزایش دهد. این حکمرانی، بستری برای تصمیم‌گیری کلان، توزیع منابع، و پاسخ منسجم ملی در برابر تهدیدات ایجاد می‌کند. در غیاب این چارچوب، ضعف در پاسخ به بحران‌های سایبری و نبود شفافیت یا هماهنگی میان نهادها و سوءاستفاده بازیگران خارجی و داخلی از خلأ نظارتی و سیاست‌گذاری امری متداول است.

فقدان‌های دیگری هم هست. عدم توجه به فناوری بومی که می‌توان در ذیل کمبود دانش فنی و عدم به‌کارگیری متخصصان دانشمند و عدم کارایی سامانه‌های اعتبارسنجی دسته‌بندی کرد. یا فقدان الزام اطلاع‌رسانی و پاسخگویی نهادها و سازمان‌هایی که مورد نفوذ قرار می‌گیرند که می‌توان آن را ناشی از عدم درک صحیح از ماموریت‌ها و وظایف ضعف نهاد ناظر و مهم‌تر از آن فقدان حکمرانی امنیت سایبری در کشور دانست.

اجازه دهید این «فقدان‌نامه» را در همین جا به پایان ببرم و تاکید کنم که نوشتن این دردها بارها و بارها ما را به جایی رسانده که انگار گوش شنوایی نیست و انگار تنها برای خودمان می‌گوییم و می‌نویسیم. این بار اما با واقعیت چنان گریبانمان را گرفت که به نظر می‌رسد اندکی بیدار شده‌ایم. با این امید که این هشدارها دوباره فراموش نشود و یا به انجام اقدامات موردی و مقطعی ختم نشود. حقیقتا این بار جور دیگر باید دید!