چاره حفظ امنیت کسب‌وکارهای اقتصاد دیجیتال در مقابل هکرها چیست؟ / پیشگیری بهتر از درمان است

در مدت کوتاهی اپلیکیشن‌ هف‌هشتاد، تپسی و اطلاعات برخی شرکت‌های بیمه هک شده‌‌اند. طبق اخبار حتی بعضی صرافی‌های رمزارز نیز تهدید به هک اطلاعاتی شده‌اند.

در مورد تپسی و به اعلام خود این سازمان، می‌دانیم که هکرها از این سازمان درخواست 350 هزار دلار کرده‌اند و مدعی هستند اطلاعات شش میلیون راننده و بیش از 27 میلیون مسافر که شامل نام و نام خانوادگی و کد ملی بوده را هک کرده‌اند. همچنین اطلاعات 136میلیون سفر و برخی سورس‌کدهای محصولات تپسی در لیست اطلاعات سرقت‌شده آنها قرار گرفته است.

این حجم از نشست اطلاعات زنگ خطری است برای کسب‌وکارهای اقتصاد دیجیتال کشور. «کارنگ» با بهناز آریا، مسئول ﻛﺎرﮔﺮوه آﻣﻮزش ﻛﻤﻴﺴﻴﻮن افتا؛ صادق فرامرزی، نایب‌رئیس نصر تهران و شاهین نورصالحی، مشاور و طراح سیستم‌های پیشرفته علم و فناوری، گفت‌وگو کرده تا ضمن بررسی ابعاد موضوع به ارائه راه‌حلی برای بعد از رخدادهای امنیتی پرداخته شود.

در این گفت‌وگو بهناز آریا و صادق فرامرزی به طور مشترک به اقدامات پیشگیرانه و لزوم وجود بیمه سایبری در این‌گونه موارد اشاره کردند و شاهین نورصالحی نیز ضمن اشاره به این موضوع که در این وسعت از حملات سایبری کاری از دست سازمان‌ها جز انتظار بر نمی‌آید، راه‌حل را این‌گونه ارائه داد: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسی‌شده چاره اصلی کار است.»

---

ساخت فرهنگ امنیت سایبری در جامعه

---

بهناز آریا، رئیس ﻛﻤﻴﺴﻴﻮن افتای نصر تهران در پاسخ به این سؤال که بعد از یک رخداد امنیتی چه می‌توان کرد، گفت: «آنچه بیشتر در این حوزه مطرح است اقدامات پیشگیرانه است. آسیب‌پذیری‌ها و تهدید‌ها باید از پیش شناسایی شوند و برای آنها راه‌کاری ارائه شود. البته که با هرگونه اقدامات پیشگیرانه، رخدادهای امنیتی باز هم اتفاق می‌افتند اما بعد از افتادن اتفاق، مجموعه‌هایی که ستاد بحران و cert دارند فعال می‌شوند و ریشه آسیب‌پذیری شناسایی می‌شود.»

او در خصوص ریشه‌یابی مشکلات امنیتی گفت: «در اینجا باید ریشه اتفاق تحلیل و بررسی شده و در نهایت در اصلاح آن کوشش شود. ممکن است عوامل مختلفی در یک رخداد امنیتی دخیل باشند. ممکن است عامل یک فرد داخلی باشد یا اینکه آسیب‌پذیری سیستمی و شبکه‌ای و… باشد. همه‌ این موارد باید بررسی شود و اقدام اصلاحی در خصوص آنها صورت بگیرد. علاوه‌ بر اقدامات اصلاحی باید دائم نظارت‌های دوره‌ای اتفاق بیفتد. برای مثال اگر یک بار امن‌سازی صورت گرفت، نباید خیال‌مان راحت باشد که اقدام لازم انجام گرفته؛ باید پیوسته عملیات امن‌سازی و نظارت مانند تست نفوذ، باگ‌بانتی و غیره به صورت دوره‌ای تکرار شود زیرا همواره آسیب‌پذیری‌های جدید به وجود می‌آید.»

او در ادامه تأکید کرد: «مجموعه‌ها مخصوصاً مجموعه‌هایی که خدمات عمومی انجام می‌دهند حتماً باید برنامه‌ریزی داشته باشند و برنامه‌هایشان را به‌صورت مانور پیاده‌سازی کنند.»

آریا در خصوص مسئولیت‌پذیری در مقابل داده‌های کاربران گفت: «علاوه‌ بر اینها دارایی‌های اطلاعاتی دارایی‌های بسیار مهمی هستند. مسئولیت این دارایی‌ها علاوه بر اینکه به عهده آن زیرساخت‌ عمومی است باید خود صاحب دارایی هم در ارائه اطلاعات دقت کند که چه اطلاعاتی را در اختیار مجموعه قرار می‌دهد. یعنی افراد استفاده‌کننده از خدمات نیز حداقل اطلاعات را در اختیار مجموعه‌ها بگذارند و دسترسی حداقلی به اپلیکیشن‌ها بدهند و همچنین خود اپلیکیشن‌ها باید قابلیت پاک کردن سوابق و تاریخچه و دادن دسترسی و… را به کاربران خود بدهند که کاربران نیز بتوانند در امن‌سازی سهم خود را انجام دهند.»

او در ادامه توضیح داد که نقطه ورود و آسیب‌پذیری باید اصلاح شود و تأکید کرد رخدادهای امنیتی اخیر بار اول نیست که اتفاق می‌افتد و بار آخر هم نخواهد بود و این اتفاق در همه جای جهان نیز وجود دارد و در این شرایط به بیمه امنیت سایبری نیازمندیم.

آریا در ادامه گفت‌وگو با کارنگ از بیمه امنیت سایبری و فرهنگ امنیت سایبری گفت: «یکی از بزرگ‌ترین مواردی که باید به آن توجه کنیم فرهنگ امنیت سایبری است تا تک‌تک افراد جامعه نگاه امنیتی و سایبری به داده‌های خود داشته باشند و اطلاعات خود را به‌صورت حداقلی در اختیار صاحبان سرویس‌های عمومی قرار دهند. علاوه بر این خود صاحبان سرویس‌های عمومی باید به صورت حداقلی از کاربر اطلاعات بگیرند زیرا آنها مسئولیت زیادی در برابر این اطلاعات دارند و باید پاسخگو باشند.»

---

به بیمه امنیت سایبری نیازمندیم

---

آریا در بخش دیگری از صحبت‌های خود تأکید کرد: «ما اخیراً در خصوص بیمه سایبری با حاکمیت در حال تعاملیم و این به آن معناست که هم داده‌ها بیمه شوند و هم اینکه آن زیرساخت بیمه‌پذیر باشد. بیمه‌پذیر شدن یعنی میزان امنیت کافی را برای زیرساخت خود فراهم کند که امنیت مورد نیاز ایجاد شود. این روزها باید امنیت در رأس استراتژی‌های کسب‌وکارها قرار گیرد و رشد کند و در این راه هم سرویس‌دهندگان و هم دریافت‌کنندگان سرویس و همچنین حاکمیت نقش دارند. به نظر من به صنعت افتا در کشور ما به‌درستی پرداخته نمی‌شود و رشد لازم اتفاق نیفتاده است»

در ادامه او در خصوص چگونگی یافتن سرمنشأ هک‌های اطلاعاتی توضیح داد که رشته‌ای وجود دارد به نام «فارنزیک» که در زمینه جرم‌شناسی سایبری است و اگر هکر ردپایی از خود به جا گذاشته باشد می‌توان او را پیدا کرد. آریا در توضیحاتی بیشتر بیان کرد که البته یافتن هکر در نهایت کمکی به ما نمی‌کند زیرا تعداد هکر‌ها بسیار زیاد است و آسیب‌پذیری‌های امنیتی هر روز به شکلی دیگر نمود پیدا ‌می‌کنند.

---

نشت اطلاعاتی در سطح بحرانی است

---

صادق فرامرزی، نایب‌رئیس نصر تهران، در حساب توییتری خود به حجم بالای نشت اطلاعاتی واکنش نشان داده و گفته بود: «حجم اطلاعات لیک‌شده برای عملیات ساده فیشینگ از طریق مهندسی اجتماعی بیش از کافی هستند؛ بنابراین باید خیلی سریع کمیته‌های بحران در صنف، بانک مرکزی و وزارت مربوطه تشکیل شود و با بررسی روش‌های مقابله، اطلاع‌رسانی به شکلی انجام شود که برای افراد عادی نیز ایجاد حساسیت و آگاهی شود.»

او در گفت‌وگو با کارنگ و در مقدمه صحبت‌هایش گفت: «هر اتفاقی که ایجاد اختلال در آسایش روانی و مالی مردم کند؛ به‌خصوص در وسعت ملی، از جنس بحران تلقی می‌شود. نشت داده‌ها نیز وقتی از حدی فراتر می‌رود در همین دسته قرار می‌گیرد. ما خیلی نگران کلاهبرداری از طریق مهندسی اجتماعی بعد از بحران هستیم وگرنه شاید در خصوص داده‌ها باید گفت نمی‌توان مستقیماً از خیلی از آن‌ها استفاده سوء کرد. به عبارتی یک متخلف از طریق مهندسی اجتماعی می‌تواند با ترکیب داده‌ها کاربران را قانع کند که از مرکز معتبری تماس گرفته یا مراجعه می‌کند و اقدام به کلاهبرداری کند.»

او درباره چگونگی مقابله با این پدیده گفت: «در چنین موقعیت‌هایی به دو صورت عمل می‌کنیم: یکی اینکه این اتفاق از اساس نیفتد یا به این سادگی نباشد و اینکه بعد از رخداد واقعه باید چه کرد؟ در حوزه امنیت کشور نهادهای مشخص و مسئولی در این حوزه وجود دارد، ولی با همه این موارد باز هم این اتفاقات می‌افتد. وقتی حجم این موارد از یک سطحی عبور می‌کند به معنای آن است که در جایی سهل‌انگاری صورت گرفته است.»

او در ادامه بیان کرد: «برخی از موارد نشت اطلاعاتی در شرکت‌های بزرگ خصوصی اتفاق افتاده است. البته انصافاً نوع اطلاع‌رسانی صادقانه بهترین اقدام تپسی در حوزه اطلاع‌رسانی بود و نکته درخشانی است که کمتر دیده‌ایم، اما از اصل ماجرا نمی‌توان عبور کرد.»

---

حاکمیت نباید به بهانه امنیت، ورود قهری به بخش خصوصی داشته باشد

---

فرامرزی افزود: «نکته‌ای که باید به آن دقت کرد این است که اتفاقاتی از این دست نباید باعث ورود قهری حاکمیت به بخش خصوصی و در حوزه امنیت بشود، بلکه اکنون رگ‌تگ‌های تخصصی حوزه امنیت مورد نیاز هستند و ما نیز مانند تمام دنیا نیاز به نهادهایی داریم که استانداردهای امنیتی را تهیه کنند و شرکت‌ها متعهد به اجرای آن باشند، آدیت اجرای درست هم برعهده همین نهادهای خصوصی خواهد بود. در این حالت کاربر حق انتخاب دارد از شرکتی که تایید شده «certified» شده است استفاده کند یا نه و ریسک ناشی از انتخاب را خود بپذیرد نه اینکه تبدیل به معضل ملی شود. به طور مثال شرکت‌های پی‌اس‌پی در ایران که رگولاتور آنها شاپرک است که صفر تا صد امنیت را به شرکت‌ها دیکته می‌کند و با برنامه‌ریزی و بدون برنامه‌ریزی آدیت می‌کند، نمونه قابل مطالعه‌ای هستند. سازمان‌های خدماتی بزرگ ما نیز باید رویه مطابق استانداردهای جهانی را الگو قرار دهند.»

او در خصوص اقدام نظام صنفی در این موارد گفت: «نظام صنفی در چنین مواردی باید از بخش خصوصی حمایت کند و مانع این شود که بیشتر آسیب ببینند. در این زمان باید اطلاع‌رسانی دقیق انجام شود؛ مخصوصا آنهایی که اطلاعات‌شان در این نشت‌ها وجود دارد.»

در ادامه فرامرزی در خصوص مسئولیت پلتفرم‌ها در مقابل هک شدن اطلاعات کاربران‌شان گفت: «به نظر من باید با ساختن پیام‌ها و فیلم‌های آموزشی برای تمام مردم و در هر سن و سالی آموزش انجام شود تا مهندسی اجتماعی به قصد کلاهبرداری صورت نگیرد که این حداقل اقدام است. از سویی دیگر جای رگ‌تک‌ها در مقابل چنین اتفاقاتی خالی است. دادن هشدارهای لازم به نهادهای مسئول و قبول بخشی از مسئولیت حتی در حوزه رگولاتوری از کارکردهای صنف است.»

فرامرزی نیز مانند آریا به بحث بیمه سایبری اشاره کرد و این مورد را یکی از موارد جلوگیری از ایجاد رخدادهای امنیتی دانست. او دلیل این موضوع را موظف شدن کسب‌وکارها در عملکردشان در خصوص نگهداشت اطلاعات کاربران با امنیت بیشتر اعلام کرد. به اعتقاد او شرکتی که فعالیت خود را بیمه می‌کند به ناچار خیلی از بایدها را با حساسیت بیشتری پیگیری خواهد کرد.

---

رابطه مستقیم پاسخ به حمله سایبری و محدوده حمله

---

شاهین نورصالحی، مشاور و طراح سیستم‌های پیشرفته علم و فناوری در گفت‌وگو با کارنگ در خصوص چگونگی برخورد با حملات سایبری گفت: «نحوه پاسخ به یک حمله سایبری رابطه مستقیمی با برآورد ما از scope (محدوده) آن حمله دارد.»

او ادامه داد: «به طور مثال، وقتی برق منزل شما قطع می‌شود و به خیابان نگاه می‌کنید، در صورتی که برق خانه‌های مجاور شما وصل باشد، بی‌درنگ به سراغ فیوز کنتور خودتان می‌روید و تدابیر لازم را تدارک می‌بینید، ولی در صورتی که کل شهر در خاموشی فرو رفته باشد، کاری بیشتر از انتظار از شما بر نمی‌آید، صرفاً به این دلیل که شما از محدوده زیرساختی دچار مشکل هستید.»

نورصالحی در ادامه صحبت‌هایش گفت: «این همان نکته متمایزکننده حملات گسترده اخیر به فضای سایبری کشور، از حملات پیشین است. متأسفانه به این دلیل که در پژوهش، نوآوری و پیاده‌سازی زیرساخت‌های متناظر با انواع حملات شناخته‌شده یا نوین مجرمان سایبری تعلل شده، در نتیجه محدوده گسترده این حمله باعث شده کاری از سازمان‌ها و شرکت‌های قربانی برنیاید و صرفاً در انتظار راه حل جامع باقی بمانند.»

او در ادامه با این سؤال ادامه داد: «اما ماهیت این زیرساخت چیست؟» و افزود: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسی‌شده (به همراه امکان به‌روزرسانی دائمی) در حوزه امنیت سایبری که دامنه گسترده‌ای از عملیات پایه همچون طراحی اتاق سرورهای سازمانی، سیاست‌های مدیریت شبکه تا اصول رمزنگاری داده‌ها و تنظیم فایروال را شامل شود.

از آنجا که هدف عمده حملات سایبری به صورت مستقیم یا غیرمستقیم دست پیدا کردن به منابع مالی است، به منظور تحقق اصول secure by design، بانک مرکزی به‌عنوان رگولاتور شبکه بانکی، بهترین کاندیدا برای میزبانی از این محیط پژوهشی خواهد بود.»