مسئولان حاضر به انجام هزینه‌های پیشگیرانه برای مقابله با هک نیستند

به گزارش پیوست، کارشناسان حاضر در دومین نشست رویداد شناسایی باگ‌های امنیتی، «CTB» یا «Capture The Bug» معتقدند پیش از اینکه نفوذی به سامانه‌های دولتی صورت گیرد باید برای آن هزینه شود اما متاسفانه معمولان هزینه‌ها پس از بروز حادثه صورت می‌گیرد.

علیرضا پورابراهیمی، رئیس کمیته پدافند غیرعامل وزارت ارتباطات به عنوان یکی از سخنران در این رویداد گفت: «باید اهمیت حوزه باگ‌بانتی برای مسئولان مشخص شود و این دانش را به افراد مسئولی که در این زمینه اطلاعات کافی ندارند برسانیم. متخصصان امنیت کشور زمانی می‌توانند مفید باشند، که سازمان‌ها و مدیران بالادستی برای این کار بودجه درنظر بگیرند.»

او با انتقاد از این که مسئولان حاضر به پرداخت هزینه‌های پیش‌گیرانه نیستند اعلام کرد: «متاسفانه بعد از رخداد حادثه که خیلی از مواقع غیرقابل جبران هم است، همه حاضر به پرداخت هزینه برای رفع مشکل می‌شوند؛ اما پیش از وقوع حادثه کسی برای این موضوع هزینه نمی‌کند.»

مساله دیگری که پورابراهیمی به آن پرداخت، اشتباه در ارزش‌گذاری اطلاعات بود. به گفته او مشکل آنجاست که ارزش‌گذاری‌ها براساس سازمان صورت می‌گیرد. در حالی که بسیاری از مواقع، ممکن است اطلاعاتی که برای ما اهمیت بالایی دارد، برای فرد نفوذگر و سازمان پشت آن اهمیتی نداشته باشد و یا برعکس، اطلاعاتی که برای سازمان اهمیت چندانی ندارد، از نظر نفوذگران، بسیار بااهمیت باشد.

نیازمند GDPR داخلی هستیم

علیرضا قهرود، مشاور و ممیز حوزه امنیت با رویکرد دفاع سایبری، یکی دیگر از سخنرانان این رویداد بود که در یک ارائه تخصصی به بررسی راهکار‌ها و چالش های نشت اطلاعات سازمان‌ها پرداخت. قهرود  اعلام کرد، نشت اطلاعاتی در سال‌های اخیر بسیار زیاد شده و ما نیازمند قانونی مشابه قانون GDPR اروپا هستیم تا علاوه بر جلوگیری از اتفاقات این چنینی، امکان پرداخت خسارت از سوی شرکت‌ها و سازمان‌ها وجود داشت باشد. او همچنین اعلام کرد که بارها این مساله به وزارت ارتباطات و مخصوصا شخص آذری جهرمی، وزیر سابق ارتباطات گفته شده و تنها جوابی که برای پیگیری‌های متعدد گرفتند، عبارت «در دست بررسی قرار دارد» بوده است.

لایحه حفاظت از داده‌ها جزو لوایحی است که در دولت دوازدهم به سرانجام نرسید و با وجود اینکه وزارت ارتباطات و فناوری اطلاعات آن را به دولت ارائه کرده بود و بررسی آن نیز در کمیسیون‌های مختلف دولت نهایی شده بود اما عمر دولت دوازدهم به بررسی و تصویب آن نرسید.

او گفت: «قانونی به نام GDPR یا مقررات عمومی حفاظت از داده اتحادیه اروپا قانونی است که از سال ۲۰۱۶ در اروپا تصویب شده و به‌طور خلاصه عنوان می‌کند که اگر به هر علتی اطلاعات شهروندان اروپایی توسط یک شرکت یا سازمان نشت پیدا کند و مشخص شود که آن شرکت‌ قوانین GDPR را به‌درستی رعایت نکرده و داده‌هایش به صورت غیرقانونی درز پیدا کرده، بین ۲ الی ۵ درصد درآمد سالیانه‌‌ش یا تا سقف ۲۰ میلیون یورو جریمه خواهند شد. ما هم در داخل کشور به این قانون نیاز داریم تا شرکت‌های داخلی که اطلاعات مهم کاربران خود را در پایگاه‌های داده خود ذخیره می‌کنند، برای حفاظت از این اطلاعات هزینه کنند و در برابر آن پاسخگو باشند.»

امنیت همراه‌کارت را محک بزنید

کاوه رعدی، مدیرعامل همراه‌کارت، یکی از حامیان این رویداد و یکی از سامانه‌هایی که تست نفوذ مسابقه روی آنها انجام گرفت، در خصوص علت شرکت در این رویداد و رویکرد مجموعه همراه کارت به مقوله امنیت گفت: «همکاری همراه‌کارت و باگدشت محدود به این رویداد نیست و ما پیش از این هم با مجموعه باگدشت همکاری داشتیم. رویکرد ما نسبت به موضوعات امنیتی به‌گونه‌ای است که این همکاری‌ها به‌صورت بلندمدت ادامه خواهد داشت.»

رعدی در ادامه توضیح داد: «سیستم‌های فناوری مالی و فین‌تک‌ها در دنیا برای نفوذگران و هکر‌ها جذاب است. تفاوت عمده‌ای که میان حوزه فناوری‌های مالی با سایر حوزه‌های وجود دارد این است که نگاه فین‌تک‌ها به مساله امنیت نگاهی فانکشنال و کارکردی است. فارغ از آن، چیزی که این صنعت را در داخل ایران برای هکر‌ها جذاب‌تر می‌کند، سرعت گردش پول است که باعث می‌شود زمینه بیشتری برای تقلب و سواستفاده مالی از حساب کاربران وجود داشته باشد.»

مدیرعامل همراه‌کارت اعلام کرد رویکرد این مجموعه در قبال مسائل امنیتی پیشگیرانه‌ست. او از متخصصان امنیتی که قصد شناسایی نقاط ضعف و مقابله با نفوذ را دارند دعوت کرد که اپلیکیشن همراه کارت را محک بزنند و باگ‌های موجود را شناسایی و در قبال گزارش آن پاداش دریافت کنند.

فپنا درحال تولید جایگزین برای نرم‌افزار اسرائیلی

شرکت فپنا، یا فناوری پردازش نوین اطلاعات خوارزمی، یکی دیگر از حامیان این رویداد بود. این شرکت در زمینه جرم‌یابی قانونی دیجیتال فعالیت می‌کند و در حوزه جرم‌یابی موبایل، رایانه و سرویس‌های ابری، محصول بومی داشته و ارائه سرویس می‌کند.

حجت کهندل، عضو هیات‌مدیره شرکت فپنا در خصوص حضور در این رویداد گفت: «با توجه به این که اغلب ابزار‌های موجود در حوزه جرم‌یابی خارجی و مخصوصا متعلق به شرکت‌های آمریکایی یا اسرائیلی هستند، ما با هدف کمک‌گیری از متخصصان امنیت برای تولید این محصولات در داخل، در این رویداد شرکت کردیم.»

کهندل در توضیح این مساله گفت: « شرکت اسرائیلی Cellebrite نرم‌افزاری به نام UFED دارد که در حوزه جرم‌یابی برای نفوذ به گوشی‌های تلفن همراه توسط دولت‌ها مورد استفاده قرار می‌گیرد. این نرم‌افزار اولین ابزاری است که در دنیا برای جرم‌یابی تلفن همراه تولید شد و از لحاظ پوشش گوشی‌های تلفن همراه، تقریبا هیچ رقیبی در بازار ندارد و ما هم در ایران به ناچار از این برنامه استفاده می‌کنیم که خود می‌تواند مشکلات امنیتی به همراه داشته باشد. به همین دلیل در تلاشیم تا با همکاری متخصصان امنیتی، جایگزین‌های بومی این نرم‌افزار‌ها را تهیه کنیم.»

به گفته کهندل، شرکت فپنا به مدت سه سال است که روی ابزار بومی به نام «مصباح» کار می‌کند که نسخه اول آن سال گذشته تهیه شده و نسخه دوم آن هم در حال توسعه قرار دارد. این ابزار نمونه بومی نرم‌افزار Cellebrite است که هم از روش مهندسی معکوس و هم از روش RnD توسعه پیدا کرده است.