چرا این‌قدر راحت هک می‌شویم؟

در کشور سامانه‌ها، هر روز یک خبر از هک شدن سامانه‌ای به گوش می‌رسد؛ یک روز صداوسیما یک روز سازمان زندان‌ها یک روز هم شهرداری. اگر بخواهیم از نگاه کارشناسی حوزه امنیت اطلاعات و با دید فنی به بررسی موضوع بپردازیم، مهم‌ترین پرسشی که مطرح می‌شود این است: مشکل یا مشکلات اصلی از کجا سرچشمه می‌گیرند؟

۱- قوانین: وقتی پروژه‌های امنیتی وارد مناقصه‌های عمومی می‌شوند یکی از مهم‌ترین اتفاقاتی که پیش می‌آید دادن قیمت‌های پایین‌تر به منظور گرفتن پروژه است. نتیجه این رویکرد منجر به گرفتن پروژه توسط افرادی با تخصص کمتر می‌شود. واقعیت این است که در این حالت شرکت‌هایی که کار باکیفیت انجام می‌دهند به راحتی از گردونه رقابت خارج می‌شوند و بعضی اوقات سازمان‌هایی که صلاحیت کمتری دارند پروژه را دست می‌گیرند.

این رویکرد دو مشکل دارد؛ اول انجام کار با کیفیت کمتر و نکته دوم اما مهم‌تر اینکه تیم‌های نفوذکننده از کشور‌های خارجی به راحتی متوجه می‌شوند چه پروژه‌ای از سوی چه شرکتی انجام شده و این شرکت برای انجام این پروژه چقدر نقطه ضعف دارد.

مساله قانونی دیگری که وجود دارد الزام سازمان‌های دولتی به استفاده از محصولات بومی است. همان‌طور که در صنعت خودرو اختلاف شدید کیفیت و قیمت محصولات داخلی و خارجی مشخص است، مشابه همین مورد در خیلی از محصولات داخلی به چشم می‌خورد. البته این نکته منکر آن نیست که برخی از محصولات داخلی واقعاً عملکرد قوی و قابل قبولی دارند.

۲- فقدان دانش و درک مدیریتی امنیت اطلاعات: سوالاتی که خیلی از سازمان‌ها از کارشناسان امنیت می‌پرسند این است که «ما اول سیستم مدیریت امنیت اطلاعات (ISMS) را پیاده‌سازی کنیم یا فایروال بخریم؟! الآن SOC روی بورس است و وقتی ما این SOC را راه‌اندازی کنیم مانند یک عقاب تیزبین می‌توانیم تمامی مشکلات امنیتی خودمان را رصد کنیم! به نظر شما این بهترین راه‌حل نیست؟ ما الآن هم فایروال و هم WAF داریم و امن‌سازی را انجام داده‌ایم؛ می‌خواهیم در مرحله آخر یک تست نفوذ نیز انجام دهیم که دیگه همه مشکلات امنیتی را شناسایی کنیم بعد به امید خدا برویم برای پیاده‌سازی سیستم مدیریت امنیت اطلاعات (ISMS). به نظر شما این راه خوبی است و دیگر هک نمی‌شویم؟!»

همه سوالات بالا نشان‌دهنده یک چیز است: درک نادرست و نادقیق از امنیت اطلاعات.

در دنیای واقعی امنیت اطلاعات وصله‌پینه نیست که آن را به هم بدوزیم و یک سپر آهنین برای جلوگیری از هک ایجاد کنیم. امنیت اطلاعات باید یک فرایند جاری در سازمان‌ها باشد نه یک پروژه. وجود یک فرایند جاری باعث می‌شود به همه قسمت‌های سازمان و ابعاد کار درست نگاه شود.

همان‌طور که کاپشن یک لباس خوب است، در فصل زمستان کاربرد دارد نه در فصل تابستان. باید با یک نگاه جامع نسبت به سطح بلوغ سازمان نسبت به صنعتی که سازمان در آن فعال است، نسبت به نوع موضوعاتی که یک سازمان را تهدید می کند، و نسبت به میزان بودجه‌ای که یک سازمان دارد لباس امنیت متناسب با شرایط خود را بپوشد.

۳- چطور وضعیت فعلی خود را ارزیابی کنیم: سوالی که برای خیلی از مدیران سازمان‌های بزرگی که سال‌ها بابت امنیت هزینه کرده‌اند و الآن نمی‌دانند چطور وضعیت خود را ارزیابی کنند پیش می‌آید این است که اگر همین امروز یک تیم هکری به ما حمله کند، آیا ما هک می شویم یا خیر؟ پاسخ این پرسش را می‌توان با استفاده از سرویس Red team پیدا کرد.

فرض کنید یکی از بانک‌های کشور می‌خواهد به سوال بالا پاسخ دهد. این بانک سال‌هاست برای امنیت اطلاعات خود هزینه کرده و حالا می‌تواند با یک تیم هکری وارد یک قرارداد شود و مدت آن و تعداد نفرات را مشخص کند؛ مثلاً یک تیم ۱۱ نفره به مدت ۹۰ روز. این تیم با نفرات خود در ۹۰ روز هر نوع حمله‌ای از هر نوع را به بانک انجام می‌دهد تا بتواند به هر شکلی به اطلاعات حساب‌های بانکی دسترسی پیدا کند.

در این سرویس، متخصصان فناوری اطلاعات بانک هیچ اطلاعی از این قرارداد ندارند و طبق روال عادی کار خود را انجام می‌دهند. تیم قرمز نیز مجاز به انجام هر کاری است تا بتواند به هدف خود که دسترسی به اطلاعات بانک است دست یابد. پس از ۹۰ روز جلسه‌ای با حضور مدیران بانک تشکیل می‌شود و کلیه موارد به دست‌آمده به نمایش گذاشته می‌شود. در این حالت، مدیران بانک مکانیسم ارزیابی‌ای برای خود دارند که مثلاً بعد از چند روز هکرها توانسته‌اند به شبکه بانک نفوذ کنند یا اینکه بعد از چند روز موفق به استخراج اطلاعات شده‌اند.

شاید بتوان امیدوار بود که با تصحیح قوانین، پایان دادن به نگاه پروژه‌ای به امنیت اطلاعات و نهایتاً استفاده از تیم‌های قرمز، در میان‌مدت هزاران سامانه‌ای را که اطلاعات حساس میلیون‌ها ایرانی را در خود دارند به شکل بهینه‌تری مدیریت کرد.