یادداشت از حسین خوش‌رفتار

ناآرامی‌های اجتماعی، سیاسی یا هر رخدادی که گروهی را در مقابل گروهی دیگر قراردهد، در عرصه‌های مختلف با توجه به مقتضیات آن عرصه خود را عیان می‌کند. سالهاست که عرصه سایبری محل تسویه حساب‌های سیاسی و اجتماعی شده است و به نوعی فتح سایبری یک طرف منازعه، به منزله شکست یا ضربه کاری محسوب می‌شود. این تلاش با چند انگیزه صورت می‌گیرد. از جمله انگیزه‌های امنیتی به این معنا که بتوان اطلاعات محرمانه و مهمی را سرقت یا افشا کرد، انگیزه‌های اطلاع رسانی به این معنا که بتوان جامعه مخاطب قربانی را از موضوعی مطلع کرد، انگیزه‌های انتقام جویانه به این معنا که در پاسخ به یک کنش طرف مقابل چه در فضای سایبر و چه در غیر آن واکنش نشان داد، انگیزه‌های فنی به این معنا که قدرت و هیمنه فنی طرف مقابل را متزلزل نشان داد و غیره.

همه انگیزه‌های مذکور ذیل رویکردهای سیاسی، اجتماعی، امنیتی و … قرار می‌گیرند. پس هک شدن یا هک کردن صرفا ابزاری فنی برای پیاده سازی امری غیر فنی است. در موارد معدودی انگیزه‌های فنی پشت هک کردن قرار دارد.

در علم مدیریت امنیت اطلاعات، دو نوع سازمان بیشتر وجود ندارد. سازمانی که هک شده و سازمانی که هک می‌شود. یا به روایت دیگر سازمانی که هک شده و سازمانی که نمی‌داند هک شده. پس هک شدن امری قهری با فعالیت در حوزه سایبری است. بماند تعابیر عامیانه و روایت‌های پر از اشکالی که کارکردهای رسانه‌ای و اجتماعی دارند و هیچ ما به ازای فنی ندارند. چند جمله اخیر البته هیچ‌گاه از دردی که بعد از هک شدن مستولی می‌شود نخواهد کاهید. رخدادهای حوزه سایبر که اخیرا با آن مواجه بودیم از جمله خبرهای هک شدن صداوسیما، هک شدن دادستانی، هک شدن خبرگزاری فارس و… مهم هستند. به این دلیل که این اقدام به نفوذ و هک اولین اقدامات نبوده و حتما آخرین آن ها هم نیست و به نظر نگارنده این سطور ابعاد آن به زودی عمیق‌تر و ضربه آن مهلک‌تر هم خواهد شد.

اما چرا هک می‌شویم؟

اینکه انتظار داشته باشیم با توسعه فعالیت در حوزه سایبر، مخاطرات آن دامن‌گیر ما نشود مثل این می‌ماند که انتظار داشته باشیم با  توسعه جاده و محورهای مواصلاتی و افزایش تولید خودرو تصادفات جاده‌ای صفر شود. تصادف جاده‌ای هرقدر هم که بتواند کم باشد جزئی اجتناب ناپذیر از حمل و نقل جاده‌ای است. همینطور وجود مخاطرات امنیتی در فعالیت حوزه سایبر جزئی جدانشدنی از آن است. پس ابتدا باید بپذیریم که هک شدن در سطوح مختلف ممکن است اتفاق بیافتند حتی با رعایت بیشترین و بالاترین استانداردها. حتما اینطور نبوده که سازمان‌های که هک شده‌اند بعد از هک شدن به امکان هک شدن پی برده باشند و حتما قبل از آن اقداماتی برای جلوگیری از آن انجام داده‌اند و تصور عموم این است که اگر اقدامات لازم صورت گرفته حتما کافی نبوده که هک شده اند.

اقداماتی که برای کاهش مخاطرات سایبری صورت میگیرد چند دسته هستد:

-اقدامات در لایه نیروی انسانی -اقدامات در لایه تجهیزات -اقدامات در لایه سیاستگذاری و استانداردسازی -اقدامات در لایه روابط به ضرس قاطع می‌توان گفت خلا یا کوتاهی در مدیریت هریک از لایه‌های مذکور اقدامات کافی است تا دیگر لایه‌ها را خنثی یا مخدوش کند. به این معنا که عدم مدیریت صحیح استخدام، آموزش، ارتقا و نگهداری نیروی انسانی هرگونه اقدام استاندارد و پرهزینه را در لایه تهیه تجهیزات خنثی می‌کند. یا عدم سیاستگذاری و استاندارد سازی صحیح حتی با صرف هزینه گزاف برای نیروی انسانی متخصص و تجهیزات پیشرفته کار به جایی نخواهد برد. یا حتی عدم به‌کارگیری نیروی متخصص روی تجهیزات پیشرفته خود باعث بروز آسیب پذیری‌های بیشتر و جبران ناپذیر خواهد بود.

باید قبول کنیم از لحظه‌ای که یک سیستم رایانه‌ای به شبکه‌ای متصل می‌شود (هرشبکه‌ای) از همان لحظه امکان هک و آسیب برای آن مهیا است پس تا قبل از اتصال به شبکه می‌بایست فکری به حال همه لایه‌های بالا کرد و الا زودتر از آنچه که فکر کنیم مخاطرات سایبری گریبان گیرمان خواهد شد. نباید فراموش کرد در عین این که استانداردهای جهانی وجود داشته و مفید نیز هستند، نسخه‌ای بومی و ساخته شده با مقتضیات و نیازهای کشور می‌بایست طراحی و پیاده سازی گردد

در سالهای اخیر موج مهاجرت متخصصین و فعالین حوزه سایبر مخصوصا دانش آموختگان برتر و نخبگان علمی ضربه‌ای غیرقابل کتمان به توسعه زیرساخت و خدمات این حوزه وارد کرده است. که البته این موضوع ثانویه در بررسی مشکل امنیت سایبری است. موضوع اصلی در این حوزه رویکرد است. رویکردی که حاصل آن توسعه محصولات و زیرساخت بدون محاسبه ابعاد امنیتی و بدون اولویت قرار دادن آن است. طبق اصل پارتو یا قاعده ۸۰/۲۰ تقریبا با ۲۰ درصد عملکرد استاندارد می توان از ۸۰ درصد از مخاطرات جلوگیری کرد. اما متاسفانه رویکرد اطلاق فورس ماژور به پروژه‌ها مخصوصا پروژه‌هایی با رنگ و بوی دولتی که در مدت زمان محدودی می‌بایست به جمع بندی و نتیجه برسند، خود سرمنشا بسیاری از آسیب پذیری‌ها و اختلالات امنیتی است. نه فقط این نکته بلکه تغییر سیاستگذاری‌های دوره‌ای توسط مسئولینی که در یک دوره ۴ ساله یا کمتر با شعاع اثر بالا، چندگانگی مهلکی بر سیاست‌های امنیتی زیرساخت و محصولات دارد. این وضعیت نیاز به یک سازوکار قانونی، تخصصی و با ثبات دارد که با تغییرات پیاپی در سطوح مختلف دچار تزلزل نشده و آتوریتی خود را حفظ کند. هرچند نفس استاندارد سازی در کوتاه مدت بازدهی را کاهش می‌دهد اما در میان مدت اثرات مطلوب آن مشخص و در بلند مدت ثبات رویه و امنیت پایدار به همراه دارد.

تجربیات دیگر کشورها مخصوصا کشورهای در حال توسعه حائز اهمیت است. هرچند شرایط سیاسی و امنیتی ایران قابل مقایسه با دیگر کشورهای همسایه نیست اما مجموع تجربیات دیگر بازیگران می‌تواند کارگشا باشد. این نکته را نباید فراموش کرد در عین این که استانداردهای جهانی وجود داشته و مفید نیز هستند، نسخه‌ای بومی و ساخته شده با مقتضیات و نیازهای کشور می‌بایست طراحی و پیاده سازی گردد.

وجود نهادها و سازمان‌هایی همچون مرکز ماهر، پدافند غیرعامل و … می‌بایست بصورت فعالانه دارای مسئولیت اجرایی باشد، نه فقط در حد مشاوره و هشداردهی به دیگران. فلذا کشور نیازمند نهاد و سازمانی حاکمیتی در حوزه مشاوره، اجرا و پیاده سازی راهکارهای امنیتی است که تغییر دولت‌ها در آن اختلال ایجاد نکرده و ضمن ایجاد مسئولیت برای افراد دخیل در پروژه‌ها و شرکت‌های پیمانکاری، برنامه‌ای جامع برای ارتقا و آموزش در این زمنیه تدوین شود. شاید مدل FISMA و NIST در ایالات متحده اما با تغییراتی که منجر به بومی شدن آن باشد، برای شروع رگوولاتوری و عملیات در این حوزه مدل خوبی باشد.