مریم یعقوبی:
طی چند روز گذشته برخی از سایت های دولتی در کشورمان مورد حمله قرارگرفته و از دسترس خارج شدند. این اتفاق نگرانیهایی را در جامعه بوجود آورده است. اگر چه مسئولان با توضیح و تشریح علل و ابعاد این حملات تا حدودی دغدغههای عمومی را برطرف کردهاند ولی به نظر می رسد ارائه توضیحات بیشتر ضروری است.
ضرورت ارائه این توضیحات و آشنا کردن مردم با جوانب مختلف امنیت در فضای مجازی از آن رو اهمیت فوق العادهای دارد که ضریب نفوذ استفاده از از روشها و ابزارهای الکترونیکی روز به روز در جامعه افزایش می یابد و به دنبال آن احتمال بروز مخاطرات هم.
علاوه بر مردم، مسئولان در ردههای مختلف سازمانها و نهادها هم باید دقت و وسواس بیشتری در انتخاب و بکارگیری ابزارهای ارائه خدمات و اطلاعات در فضای مجازی و سایبری به خرج دهند تا ضمن حفظ امنیت اطلاعات، اعتماد و اعتبار نهادهای حاکمیتی کشور از ناحیه سایبری نیز لطمه نبیند.
شاهین نوروزی کارشناس حوزه امنیت اطلاعات در اینباره به خبرآنلاین گفت: "واقعیت این است که مشابه این اتفاقات را تقریبا در تمامی کشورهای دنیا و در ارتباط با بسیاری از سایتها شاهد بوده و هستیم و از این منظر اتفاق نادر و بی سابقه ای در کشور ما رخ نداده است. طی همین چند هفته به دفعات اخباری درباره حمله به سایت سوئیفت منتشر شد که در مواردی هم موفق بود بنا بر این نباید از وقوع چنین اتفاقاتی چندان تعجب کرد. بلکه مهم این است که علاوه بر ارتقای سطح دانش و آگاهی در حوزه امنیت اطلاعات در فضای مجازی چه برای عموم مردم و چه برای لایههای مختلف تصمیم گیر و مجری در سازمان و نهادهای حاکمیتی و ختی خصوصی، شیوه برخورد با این قبیل اتفاقات را نیز تمرین کرد تا نه بی جهت نگران شویم و نه از سر کم اطلاعی، ساده انگارانه با مقوله امنیت سایبری برخورد کنیم".
وی ادامه داد:" سایتهایی که در کشور ما مورد حمله قرار گرفته اند، پورتالهایی هستند که تنها اطلاعات عمومی و فاقد طبقه بندی یا حساسیت بر روی آن ها بارگذاری شده بود. به همین دلیل ما دچار مخاطره خاصی از ناحیه امنیت اطلاعات نشدیم. با این حال مسئله از زاویه دیگری باید مورد توجه ویژه قرار بگیرد چرا که مخاطره اصلی در هک شدن پورتال های عمومی که حاوی مطالب حساس نیستند، لو رفتن اطلاعات نیست بلکه در چنین مواردی درگیر مخاطرات اجتماعی هستیم؛ این مخاطره در حقیقت از جنس مخاطرات اعتباری است. به عبارت دیگر اگر چه اطلاعات محرمانه و طبقه بندی شده ای با هک شدن پورتال یک سازمان لو نرفته اما اعتبار سازمانی که سایت آن هک شده قطعا از منظر عمومی خدشه دار شده است. در ادبیات امنیت اطلاعات به این پدیده " مخاطره اعتباری" گفته می شود که پیامدهای آن از منظر سرمایه اجتماعی کمتر از لو رفتن اطلاعات ارزشمند و طبقه بندی شده نیست. به همین خاطر باید حتی المقدور جلوی تکرار این اتفاقات را گرفت چرا که اعتبار یک سازمان و اعتماد به آن، مقوله ای نیست که براحتی بتوان آن را بازسازی کرد".
این کارشناس حوزه امنیت اطلاعات گفت:" بررسی سایت هایی که مورد حمله قرار گرفته اند نشان می دهد وجه مشترک همه آن ها استفاده از سازه های عمومی یا همان Cms"" های عمومی و "متن باز" (Open sorce) است. این قبیل سازه ها در حالی از سوی متولیان سفارش سایت در نهادهای حاکمیتی ما انتخاب شده که حتی افراد تازه کار در طراحی سایت های اینترنتی هم می دانند استفاده از سازه های متن باز که اشراف کاملی نسبت به کدهای آن وجود ندارد مخاطرات فراوانی به دنبال خواهد داشت که نمونه آن را در هک شدن پورتال های عمومی چند دستگاه حاکمیتی و دولتی شاهد بودیم".
وی افزود: "ما پیش از این هم چنین ضرباتی را متحمل شده ایم و در همه این موارد کارشناسان امنیت اطلاعات تأکید کرده بودند که استفاده از سازه های متن باز بسیار پرمخاطره و اشتباه است. اکثر سایت هایی که طی چند هفته اخیر مورد حمله و هک قرارگرفته اند، سایت هایی بودند که از سیستم "دات نت نیوک"، "وردپرس" یا سایر سازه های متن باز استفاده کرده بودند. این سازه ها به خاطر رایگان بودن، ارزان بودن خدمات یا بکارگیری کارشناسان ارزان قیمتی که تنها در استفاده از همین سازه های عمومی و ساده تبحر دارند، جذابیت های زیادی برای سازمان ها و ارگان های ما دارد غافل از اینکه این صرفه جویی ظاهری ، مخاطرات فراوانی به دنبال دارد که چندین برابر صرفه جویی اولیه به اعتبار و جایگاه و حتی بودجه سازمان ضربه می زند".
نوروزی گفت: "استفاده از سازه های متن باز عمومی همواره با چنین مخاطراتی مواجه است و حتی اگر سایت هایی که هک شده اند دوباره بازسازی و بارگذاری شوند تا زمانی که شرکت سازنده حفره امنیتی را برطرف نکند، باز هم احتمال هک شدنشان وجود دارد".
این کارشناس امنیت اطلاعات افزود: " اگرچه سازمان ها و نهادهای ما به این نکته اشراف دارند که نباید اطلاعات طبقه بندی شده و مهم را روی چنین بسترهای ناامنی قراردهند ولی واقعیت این است که هک شدن پورتال های حاکمیتی و دولتی حتی اگر حاوی اطلاعات مهمی نباشند، اعتماد عمومی را خدشه دار می کند بنا بر این توصیه اکید می کنم برای جلوگیری از تکرار این مخاطرات و مشکلات از دانش و ظرفیتی که در داخل کشور به آن دسترسی داریم، بهترین استفاده را ببریم. متولیان در صورت بهره گیری از توان داخلی علاوه بر اینکه سطح امنیت را بالا می برند با استفاده از ظرفیت های بالا و قابل اتکای شرکت های دانش بنیان و کارشناسان داخلی علاوه بر ارتقای سطح امنیت فضای مجازی کشور، اعتماد به نفس و خوداتکایی را نیز در بدنه کارشناسی کشورمان تقویت خواهندکرد".
وی ادامه داد: "حداقل حسن استفاده از ظرفیت های داخلی این است که اگر مشکل امنیتی یا هر مشکل دیگری در این سازه های بومی اتفاق بیفتد، مسئول این اتفاق مشخص است و متولی رفع آن هم در دسترس قرار دارد نه اینکه مانند اتفاقات اخیر استفاده کنندگان از سازه های عمومی متن باز نتوانند سراغ افراد مشخصی برای رفع این حفره های امنیتی بروند".
22339
نظر شما