امنیت در عصر حملات پی‌درپی؛ چرا ایران هنوز آماده جنگ سایبری نیست؟

به گزارش پیوست، پنل تخصصی «جنگ در سایه؛ آینده امنیت سایبری ایران» در نمایشگاه ایران ایتکس با حضور فعالان حوزه امنیت سایبری برگزار شد. در این پنل ایمان فرهی، مدرس رسمی مایکروسافت و متخصص DevOps، محمدمحسن خاشعی‌نژاد، مشاور امنیت صداوسیما، حسن اصغری کارشناس ارشد امنیت سایبری، مهرداد چاوشیان کارشناس امنیت تجهیزات فیزیکی شرکت HPE و حامد رازانی رئیس دپارتمان زیرساخت و امنیت نیکان سپهر برگزار شد.

اشکان فرهنگ‌مهر مشاور امنیت سایبری نیکان سهپر پنل را با مرور تجربه «جنگ دوازده‌روزه سایبری» آغاز کرد. جنگی که از زیرساخت‌های بانکی تا صنایع حیاتی کشور را درگیر کرد و پرسشی بنیادین پیش روی کارشناسان گذاشت. آیا ایران در برابر موج‌های بعدی چنین حملاتی تاب‌آور است؟

نبرد در سایه آمادگی‌نداشتن

ایمان فرهی، مدرس رسمی مایکروسافت و متخصص امنیت و DevOps، ریشه ضعف ایران در جنگ سایبری اخیر را در یک کلمه خلاصه کرد: «آمادگی». به گفته او، ساختار امنیت کشور در ظاهر استاندارد است اما در عمل، تمرینی برای بحران ندارد. او معتقد است در کشور برای همه‌چیز مانور برگزار می‌کنیم، جز برای بحران سایبری.

فرهی گفت: ایجاد سازمان افتا یکی از بهترین اتفاقات حوزه امنیت بوده، چون این سازمان توانست مسیر امنیت را از روابط شخصی به سمت ضوابط حرفه‌ای ببرد. اما مشکل از جایی آغاز شد که مقررات و استانداردها فقط روی کاغذ ماندند.

به گفته او سازمان‌ها هنوز نمی‌دانند در زمان حمله چه کسی باید تصمیم بگیرد و چه واکنشی باید نشان دهند. در برخی موارد حتی کارشناسان از ترس گسترش ویروس، «با چکش به هارد سیستم زده‌اند» تا جلوی انتشار را بگیرند. رفتاری که نشان می‌دهد واکنش‌ها نه فنی، بلکه احساسی است.

فرهی معتقد است بزرگ‌ترین ضعف کشور در «آمادگی ذهنی» است؛ ما استاندارد داریم، اما تمرین نداریم. او با اشاره به مدل چارچوب امنیت سایبری NIST گفت: اولین گام امنیت، آمادگی است؛ یعنی تمرین، مستندسازی و مانور پیش از بحران.

به باور او، در ایران واحدهای SOC و SIEM در سازمان‌ها بیشتر جنبه تشریفاتی دارند تا عملیاتی. در نتیجه وقتی بحران رخ می‌دهد، هیچ هماهنگی واقعی بین تیم‌ها وجود ندارد و تجربه‌ها هم ثبت نمی‌شود. او جمع‌بندی کرد: ما آماده نبودیم، مانور نداشتیم، ارتباط تیمی نداشتیم و از اتفاقات قبلی درس نگرفتیم. به همین دلیل در بحران بعدی دوباره همان خطاها تکرار می‌شوند.

او در پاسخ به این سوال پیوست که چرا در برخی نهادها یا بانک‌ها، با وجود داشتن زیرساخت‌های لازم و هزینه‌های هنگفت، هنوز رخدادهای جدی امنیتی اتفاق می‌افتد گفت: مسئله اصلی این است که «فرآیند» پذیرفته نمی‌شود و ذهنیتی وجود دارد که «ما بهتر از همه می‌دانیم». این خود باعث انکار مشکل می‌شود. من بارها دیده‌ام وقتی به کسی می‌گویم دلیل آسیب‌پذیری نداشتن دستورالعمل و فرآیند بوده است، واکنش او این است که «اصلا به ما حمله نشده‌» و مسئله را کتمان می‌کنند. این انکار و خودبزرگ‌بینی مانع از اجرای درست فرآیندها می‌شود. تا وقتی که یاد نگیریم و رفتارمان را اصلاح نکنیم، دوباره همین اشتباه‌ها تکرار خواهد شد. اگر این موضوع را نپذیریم هزینه‌های سنگینی از جیب مردم و سازمان‌ها تحمیل می‌شود و اتفاقات مشابه باز هم رخ خواهد داد.

خطای انسانی و جزیره‌های امنیت؛ تهدید از درون

در ادامه پنل، محمدمحسن خاشعی‌نژاد، مشاور امنیت سازمان صداوسیما، بحث را از سطح فنی به سطح انسانی برد. او گفت: بزرگ‌ترین تهدید امنیت سایبری در ایران نه از بیرون، بلکه از درون سازمان‌هاست. مشکل اصلی ما منابع انسانی است، نه فقط تکنولوژی.

خاشعی‌نژاد با ذکر مثال‌هایی از پروژه‌های واقعی گفت: بارها دیده شده که سامانه‌های حساس با تجهیزات گران‌قیمت و تیم‌های حرفه‌ای، فقط با یک رمز عبور ضعیف یا اشتراک‌گذاری اشتباه داده‌ها از کار افتاده‌اند.
در یکی از نمونه‌ها، نفوذگر با پرداخت چندصد دلار توانسته بود از طریق رمز عبور یک کارمند ساده، وارد شبکه‌ای حیاتی شود. آن هم بدون نیاز به هیچ حمله پیچیده‌ای.

به گفته او، حتی در سازمان‌های بزرگ، هنوز فرهنگ گزارش‌دهی وجود ندارد. کارکنان از ترس مواخذه، آلودگی‌ها را پنهان می‌کنند یا شواهد را از بین می‌برند، در حالی‌که همین تاخیر در گزارش، منشا نفوذ را از بین می‌برد و تحلیل حمله را ناممکن می‌کند.

خاشعی‌نژاد تأکید کرد که بسیاری از سامانه‌ها بدون مستند طراحی و بدون پایش دوره‌ای فعالیت می‌کنند. او گفت: وقتی از تیم توسعه می‌پرسی این سیستم بانکی را بر چه اساسی ساخته‌اید، می‌گویند بر اساس تجربه شخصی و دیده شده نه اسناد شاپرک را می‌شناسند، نه OWASP را.

به باور او، نبود ممیزی امنیتی واقعی، تکرار حملات را به یک عادت تبدیل کرده است. او در پایان گفت: مشکل ما این است که هنوز امنیت را یک هزینه می‌بینیم، نه سرمایه و وقتی سازمانی هک می‌شود، دنبال مقصر می‌گردد، نه راه اصلاح.

خاشعی در پاسخ به این پرسش پیوست که نوشتن فرآیند و دستورالعمل که نباید کار سختی باشد، پس چرا این‌ها اجرا نمی‌شود گفت:مساله از منظر سازمانی اغلب به نحوه تصمیم‌گیری و تخصیص منابع برمی‌گردد. مدیرعامل ممکن است بگوید برای امن‌سازی بیست میلیارد لازم است، اما وقتی پای عمل می‌رسد مدیر IT توان یا منابع انسانی لازم را ندارد و حرفی زده نمی‌شود. اینجا جای چالش داریم. راه‌حل من این است که به‌جای آنکه مستقیما وارد خرید تجهیزات گران‌قیمت شویم، اول مشکلات زیرساخت را با کمترین هزینه شناسایی و برطرف کنیم. ببینید در شبکه چه مشکلاتی هست، در لایه‌های مختلف چه ضعف‌هایی وجود دارد و ابتدا آن‌ها را اصلاح کنید. واقعیت این است که بخش اعظم سازمان‌های حساس کشور در معرض تهدیدات داخلی (insider) و خطاهای انسانی‌اند. نمونه‌هایی وجود دارد که بک‌آپ‌ها در چند لوکیشن ذخیره شده‌اند و اطلاعات آنها درز کرده یا آلوده شده‌اند. در نتیجه وقتی اتفاقی می‌افتد، بک‌آپ‌ها هم قابل استفاده نیستند. اگر بخواهم یک مورد اخیر را مثال بزنم در یکی از وزارتخانه‌ها اطلاعات ۳ میلیون‌ها کاربر با یک اشتباه در پیکربندی یا نوبت‌بندی بکاپ عملا پاک شده بود که خوش‌بختانه نسخه‌های پشتیبان روزانه‌ای وجود داشت و توانستند سریع اطلاعات را برگردانند، اما اگر فرآیندها ضعیف بود، فاجعه رخ می‌داد.

در ادامه، حسن اصغری، کارشناس ارشد امنیت سایبری، نگاه کلان‌تری به مسئله داشت. او گفت: ایران هنوز درک درستی از دشمن سایبری و رفتار او ندارد. ما همیشه بعد از حمله تازه می‌فهمیم ضعف کجاست. در حالی‌که باید قبل از حمله، تهدید را بشناسیم.

اصغری توضیح داد که در کشورهای پیشرفته، تحلیل رفتار گروه‌های APT یک فعالیت دائمی است، اما در ایران هنوز حتی شناخت دقیقی از دارایی‌های دیجیتال سازمان‌ها وجود ندارد. بسیاری از مدیران نمی‌دانند دقیقا چه سرورها و نرم‌افزارهایی دارند، چه نسخه‌هایی فعال‌اند و چه بخش‌هایی آسیب‌پذیرند.

او ادامه داد که تصور غلط رایجی در کشور وجود دارد: داشتن واحد SOC یا SIEM را معادل امنیت می‌دانند، در حالی‌که این ابزارها بدون تحلیل‌گر و فرآیند مؤثر، فقط ظاهر کارند. به گفته او، در ایران هر سازمان داده‌هایش از حمله‌هایی که تجربه کرده را پنهان نگه می‌دارد، در نتیجه تجربه‌ها منتقل نمی‌شوند و هیچ همکاری ملی در تبادل تهدیدات (Threat Intelligence) وجود ندارد.

اصغری گفت: امنیت زمانی شکل می‌گیرد که سه مؤلفه کنار هم باشند: شناخت، هماهنگی و اقدام. ما امنیت را در ابزارها می‌جوییم، در حالی‌که باید در رفتار، آموزش و همکاری دنبالش بگردیم.

تاب‌آوری و اخلاق؛ چهره انسانی امنیت

در بخش سوم، مهرداد چاوشیان، کارشناس امنیت تجهیزات فیزیکی شرکت HPE، با ذکر مثالی گفت: امنیت سایبری درست مثل کمربند ایمنی خودرو است، شاید ۹۹ درصد مواقع به کار نیاید، اما همان یک درصد، نجات‌بخش سازمان است.

او تأکید کرد: مهم‌ترین دارایی هر سازمان «داده» است؛ دارایی‌ای که اگر از بین برود، هیچ فناوری نمی‌تواند جای آن را بگیرد.

از نگاه او، همه‌چیز از شبکه تا نرم‌افزار برای حفاظت از داده است. اما آیا واقعا می‌دانیم داده‌هایمان کجاست و در صورت از بین رفتن، توان بازگردانی داریم؟

چاوشیان گفت: در بسیاری از سازمان‌ها حتی نسخه پشتیبان فیزیکی یا آفلاین وجود ندارد. بک‌آپ‌ها روی همان سروری ذخیره می‌شوند که آلوده می‌شود و وقتی حمله رخ می‌دهد، هم داده اصلی و هم نسخه پشتیبان از بین می‌رود.

او یادآور شد قانونی ساده اما حیاتی وجود دارد که اغلب نادیده گرفته می‌شود. از هر داده سه نسخه داشته باشید، روی دو مدیای متفاوت ذخیره کنید و یکی را خارج از محل سازمان نگهدارید.

چاوشیان تأکید کرد که تاب‌آوری یعنی فرض کنیم «قطعاً حمله خواهیم شد» و از پیش برای آن برنامه‌ریزی کنیم. سازمانی که زیرساخت خود را می‌شناسد، نسخه پشتیبان سالم دارد و سناریوی ریکاوری را تمرین کرده است، حتی در شدیدترین حملات هم دوام می‌آورد. آن هم نه به خاطر ابزار، بلکه به خاطر آمادگی ذهنی و انضباط فنی.

اما شاید متفاوت‌ترین لحن پنل را حامد رازانی رئیس دپارتمان زیرساخت و امنیت نیکان سپهر داشت؛ او بحث را از تکنولوژی به اخلاق کشاند و گفت: امنیت واقعی از رفتار انسان‌ها آغاز می‌شود، نه از دیوار آتش (Firewall). امنیت سایبری فقط مجموعه‌ای از ابزارها نیست؛ امنیت، رفتار انسانی و مسئولیت اجتماعی است.

رازانی یادآور شد: در روزهای نخست جنگ سایبری اخیر، دو چهره متفاوت از جامعه امنیت کشور دیده شد، گروهی که داوطلبانه و بی‌منت به سازمان‌ها کمک کردند و گروهی که در همان روزها قیمت خدمات‌شان را چند برابر کردند.

به باور او، این تضاد فقط مسئله اقتصادی نیست، بلکه ریشه در وجدان حرفه‌ای دارد. رازانی گفت: دانش فنی در حوزه امنیت، سرمایه‌ای شخصی نیست، بلکه مسئولیتی اجتماعی است.

رازانی در پایان گفت: امنیت بدون اخلاق، مانند شهری است با دیوارهای بلند اما ساکنانی ناآگاه؛ اگر اخلاق نباشد، فناوری به تنهایی ما را نجات نمی‌دهد.