امن بودن یا نبودن؛ مساله این است!

انقلاب اینترنت و تبدیل آن به یک پدیده اجتماعی تاثیرگرفته از محتوا و خدماتی ا‌ست که از این زیرساخت منحصربه‌فرد بهترین بهره را برده‌اند.

همه بخش‌های اقتصاد در حال حاضر به نوعی وابسته به جریان اطلاعات مبتنی بر اینترنت هستند و بر اساس تخمین‌ها، ترافیک جهانی اینترنت در سال ۲۰۲۰ معادل ۹۸ برابر سال ۲۰۰۵ خواهد بود. تعداد تجهیزات متصل به شبکه‌های مبتنی بر IP در سال ۲۰۲۰ نیز به سه برابر جمعیت جهان خواهد رسید. اما در عین حال، محتوای موجود و نحوه استفاده از اینترنت همواره مخاطرات و تهدیدهایی به همراه دارد که باعث شده سیاست‌گذاران در سراسر دنیا و در سطوح و مقاطع مختلف زمانی وادار به محدودسازی دسترسی‌ها برای حفظ امنیت ملی و اجتماعی باشند.

هنگامی که محدودیت دسترسی به اینترنت در سطح ملی مطرح می‌شود، چه این محدودیت در سطح برخی سایت‌ها و سرویس‌ها و چه دسترسی به خود اینترنت باشد، از دیدگاه امنیت اطلاعات عواقبی در بر خواهد داشت که گاهی هزینه آنها از هزینه دلیل اصلی اعمال محدودیت، سنگین‌تر و دارای خسارت‌های بیشتری است.

در حقیقت، تهدیدات و ریسک‌های قطعی اینترنت یا محدودیت دسترسی خود می‌تواند از دیدگاه امنیت فناوری اطلاعات، تهدیدی باشد برای امنیت ملی!

از آنجا که بخش‌های بزرگی از اقتصاد را مقوله ارتباطات، خدمات و زیرساخت‌های وابسته به آن تشکیل می‌دهند، در زمان عدم دسترسی به اینترنت افراد برای حل مشکل به سرعت به راه‌های جایگزین و البته غیرامن دستیابی به اینترنت روی می‌آورند تا به نوعی عدم دسترسی را دور بزنند؛ پدیده‌ای که نه تنها به سادگی قابل کنترل و مدیریت نیست، بلکه خود، مولد مشکلاتی بزرگ‌تر از مشکل اولیه محسوب می‌شود که از دیدگاه امنیت فضای تولید و تبادل اطلاعات، بسیار زیانبار است.

به عبارت دیگر، هر نوع تکنیک مسدودسازی، خطر مسدودسازی بیش از حد مورد نیاز و کمتر از حد مورد نیاز را به دنبال دارد. پس بدون شک، در چنین شرایطی بسیاری از کاربران می‌کوشند تا بر این محدودیت و مسدودسازی غلبه کنند؛ موضوعی که در نهایت منجر به کاهش شفافیت، افزایش بی‌اعتمادی در اینترنت، فضاسازی برای ایجاد خدمات زیرزمینی و خدشه‌دار شدن حریم خصوصی افراد خواهد شد.

در واقع اولین و مشهودترین آسیب سرویس‌های زیرزمینی و روش‌های معمول غلبه بر مسدودسازی‌ها مانند فیلترشکن‌ها، افزایش آسیب‌پذیری و ایجاد دسترسی غیرمجاز روی سیستم کاربرانی است که نه تنها در مورد این آسیب‌ها آگاهی ندارند، بلکه در توقف فعالیت‌های روزمره کاری و شخصی خود مستاصل مانده‌اند و حتی ممکن است با آگاهی از ریسک استفاده از این خدمات، به سادگی، استفاده از آنها را ترجیح دهند؛ تهدیدی که قطعاً دارای آثاری طولانی‌مدت، غیرقابل پیش‌بینی و غیرقابل مدیریت است!

مدت‌هاست در کشورمان به دنبال بروز مشکلات امنیتی هدفمند همچون بدافزارهای استاکس‌نت و دوکو، تلاش فراوانی در راستای مدیریت مخاطرات و به ویژه فرهنگ‌سازی در حوزه امنیت اطلاعات صورت گرفته است؛ اما باید بپذیریم که با قطع شدن اینترنت و نداشتن راه ارتباطی مناسب، عملاً بخشی از این نوع تلاش‌ها به دلیل توسعه استفاده از مدل‌های ناامن تبادل اطلاعات بی‌اثر می‌شود!

قطع شدن دسترسی به سرورهای آپدیت و اختلال در به‌روزرسانی‌ها به عنوان نمونه‌ای دیگر، پیچیدگی‌هایی را رقم زد و مخاطرات مربوط به آپدیت نشدن و قطع شدن دسترسی به سرورهای آپدیت، تاثیر مشهودی در ارائه سرویس‌های فناوری و امنیت اطلاعات به دنبال داشت!

این موارد، همگی نمونه‌های بارزی از تاثیر مستقیم مسدودسازی اینترنت بر امنیت فضای تولید و تبادل اطلاعات است که در نهایت منجر به بی‌اعتماد کردن کاربران به صحت روش‌ها و آموخته‌های قبلی، تصمیم‌گیری در لحظه بر حسب شرایط و نادیده گرفتن سیاست‌های امن‌سازی و بهروش‌های قبلی است که ناامنی‌هایی بلندمدت و جبران‌ناپذیر در پی خواهد داشت.

اما برای به حداقل رساندن تبعات منفی این‌گونه تصمیم‌گیری‌ها و سیاست‌های ملی که گاهی غیرقابل اجتناب هستند چه باید کرد؟

هر فرایندی شامل ریسک‌ها و مخاطراتی می‌شود که بدون شک تا حد زیادی قابل اندازه‌گیری، اولویت‌بندی و مدیریت است. مسدود و محدودسازی دسترسی نیز از این قاعده مستثنی نیست. تشکیل کمیته ارزیابی ریسک متشکل از نمایندگان کلیه این ذی‌نفعان و بررسی تهدیدات، مخاطرات، ارزیابی و اولویت‌بندی و در نظر گرفتن روش‌های صحیح کنترل و مدیریت ریسک، مهم‌ترین کاری است که باید انجام داد تا امنیت هر فرایند و هر دارایی باارزشی به درستی و با کمترین تبعات منفی حفظ شود.

اینترنت و محتوای اینترنت نیز باید از همین قاعده پیروی کند. آثار منفی عدم دسترسی به وضعیت امنیت اطلاعات شبکه‌های کشور به دلیل طبیعت قابل مدیریت نبودن رفتار کاربران بی‌شک جبران‌ناپذیر است! ناامنی‌ای که این سیاست به دنبال خواهد داشت در برخی شرایط از دلیل اولیه تهدیدکننده امنیت ملی نیز بزرگ‌تر و بسیار بلندمدت‌تر است.

بی‌توجهی نسبت به پیاده‌سازی مناسب امنیت فناوری اطلاعات و تربیت و به‌کارگیری نیروی متخصص در بسیاری از سازمان‌ها و زیرساخت‌های حیاتی به رغم بخشنامه‌ها و آیین‌نامه‌های مختلف موجود و بودجه‌های اختصاص‌یافته نیز از جمله مواردی است که مخاطره‌ای بسیار پرهزینه‌تر از محدودسازی اینترنت رقم زده و دغدغه اصلی این روزهای کارشناسان و متخصصان امنیت اطلاعات برای رسیدن به امنیت مطلوب ملی است.

رسیدن به امنیت مطلوب ملی یعنی سرمایه‌گذاری برای تولید سرویس‌های قابل اعتماد داخلی، پرورش و نگهداشت نیروی کارآمد متخصص، حمایت از تحقیق و پژوهش و تولید دانش، تولید راه‌حل‌های بومی امنیتی و حمایت از محصولات داخلی با راه‌اندازی بازار مناسب با هدف نهایی امن‌سازی بستری که استفاده از آن اجتناب‌ناپذیر و غیرقابل حذف است.

کلام آخر اینکه پاک کردن صورت‌مساله راه رسیدن به امنیت نیست! هر محدودسازی‌ای باید کاملاً با بررسی همه جوانب، با برنامه‌ریزی، با در نظر گرفتن راه‌های جایگزین، با آگاهی‌رسانی مناسب و به دور از هر نوع تصمیم‌گیری شتابزده‌ی حساب‌نشده یا سلیقه‌ای و با مورد توجه قرار دادن نظر کارشناسان صورت پذیرد. شرایط بحرانی در هر کشوری می‌تواند نمود یابد، مهم این است که تصمیمی اتخاذ شود که نتیجه آن به راستی رسیدن به امنیت مطلوب ملی و تداوم آن باشد!