کارنگ رسانه اقتصاد نوآوری است. در کارنگ ما تلاش داریم کسبوکارهای نوآور ایرانی، استارتاپها، شرکتهای دانشبنیان و دیگر کسبوکارها کوچک و بزرگی که در بخشهای مختلف اقتصاد نوآوری در حال ارائه محصول و خدمت هستند را مورد بررسی قرار دهیم و از آینده صنعت، تولید، خدمات و دیگر بخشهای اقتصاد بگوییم. کارنگ رسانهای متعلق به بخش خصوصی ایران است.
در مدت کوتاهی اپلیکیشن هفهشتاد، تپسی و اطلاعات برخی شرکتهای بیمه هک شدهاند. طبق اخبار حتی بعضی صرافیهای رمزارز نیز تهدید به هک اطلاعاتی شدهاند.
در مورد تپسی و به اعلام خود این سازمان، میدانیم که هکرها از این سازمان درخواست ۳۵۰ هزار دلار کردهاند و مدعی هستند اطلاعات شش میلیون راننده و بیش از ۲۷ میلیون مسافر که شامل نام و نام خانوادگی و کد ملی بوده را هک کردهاند. همچنین اطلاعات ۱۳۶میلیون سفر و برخی سورسکدهای محصولات تپسی در لیست اطلاعات سرقتشده آنها قرار گرفته است.
این حجم از نشست اطلاعات زنگ خطری است برای کسبوکارهای اقتصاد دیجیتال کشور. «کارنگ» با بهناز آریا، مسئول ﻛﺎرﮔﺮوه آﻣﻮزش ﻛﻤﻴﺴﻴﻮن افتا؛ صادق فرامرزی، نایبرئیس نصر تهران و شاهین نورصالحی، مشاور و طراح سیستمهای پیشرفته علم و فناوری، گفتوگو کرده تا ضمن بررسی ابعاد موضوع به ارائه راهحلی برای بعد از رخدادهای امنیتی پرداخته شود.
در این گفتوگو بهناز آریا و صادق فرامرزی به طور مشترک به اقدامات پیشگیرانه و لزوم وجود بیمه سایبری در اینگونه موارد اشاره کردند و شاهین نورصالحی نیز ضمن اشاره به این موضوع که در این وسعت از حملات سایبری کاری از دست سازمانها جز انتظار بر نمیآید، راهحل را اینگونه ارائه داد: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسیشده چاره اصلی کار است.»
ساخت فرهنگ امنیت سایبری در جامعه
بهناز آریا، رئیس ﻛﻤﻴﺴﻴﻮن افتای نصر تهران در پاسخ به این سؤال که بعد از یک رخداد امنیتی چه میتوان کرد، گفت: «آنچه بیشتر در این حوزه مطرح است اقدامات پیشگیرانه است. آسیبپذیریها و تهدیدها باید از پیش شناسایی شوند و برای آنها راهکاری ارائه شود. البته که با هرگونه اقدامات پیشگیرانه، رخدادهای امنیتی باز هم اتفاق میافتند اما بعد از افتادن اتفاق، مجموعههایی که ستاد بحران و cert دارند فعال میشوند و ریشه آسیبپذیری شناسایی میشود.»
او در خصوص ریشهیابی مشکلات امنیتی گفت: «در اینجا باید ریشه اتفاق تحلیل و بررسی شده و در نهایت در اصلاح آن کوشش شود. ممکن است عوامل مختلفی در یک رخداد امنیتی دخیل باشند. ممکن است عامل یک فرد داخلی باشد یا اینکه آسیبپذیری سیستمی و شبکهای و… باشد. همه این موارد باید بررسی شود و اقدام اصلاحی در خصوص آنها صورت بگیرد. علاوه بر اقدامات اصلاحی باید دائم نظارتهای دورهای اتفاق بیفتد. برای مثال اگر یک بار امنسازی صورت گرفت، نباید خیالمان راحت باشد که اقدام لازم انجام گرفته؛ باید پیوسته عملیات امنسازی و نظارت مانند تست نفوذ، باگبانتی و غیره به صورت دورهای تکرار شود زیرا همواره آسیبپذیریهای جدید به وجود میآید.»
او در ادامه تأکید کرد: «مجموعهها مخصوصاً مجموعههایی که خدمات عمومی انجام میدهند حتماً باید برنامهریزی داشته باشند و برنامههایشان را بهصورت مانور پیادهسازی کنند.»
آریا در خصوص مسئولیتپذیری در مقابل دادههای کاربران گفت: «علاوه بر اینها داراییهای اطلاعاتی داراییهای بسیار مهمی هستند. مسئولیت این داراییها علاوه بر اینکه به عهده آن زیرساخت عمومی است باید خود صاحب دارایی هم در ارائه اطلاعات دقت کند که چه اطلاعاتی را در اختیار مجموعه قرار میدهد. یعنی افراد استفادهکننده از خدمات نیز حداقل اطلاعات را در اختیار مجموعهها بگذارند و دسترسی حداقلی به اپلیکیشنها بدهند و همچنین خود اپلیکیشنها باید قابلیت پاک کردن سوابق و تاریخچه و دادن دسترسی و… را به کاربران خود بدهند که کاربران نیز بتوانند در امنسازی سهم خود را انجام دهند.»
او در ادامه توضیح داد که نقطه ورود و آسیبپذیری باید اصلاح شود و تأکید کرد رخدادهای امنیتی اخیر بار اول نیست که اتفاق میافتد و بار آخر هم نخواهد بود و این اتفاق در همه جای جهان نیز وجود دارد و در این شرایط به بیمه امنیت سایبری نیازمندیم.
آریا در ادامه گفتوگو با کارنگ از بیمه امنیت سایبری و فرهنگ امنیت سایبری گفت: «یکی از بزرگترین مواردی که باید به آن توجه کنیم فرهنگ امنیت سایبری است تا تکتک افراد جامعه نگاه امنیتی و سایبری به دادههای خود داشته باشند و اطلاعات خود را بهصورت حداقلی در اختیار صاحبان سرویسهای عمومی قرار دهند. علاوه بر این خود صاحبان سرویسهای عمومی باید به صورت حداقلی از کاربر اطلاعات بگیرند زیرا آنها مسئولیت زیادی در برابر این اطلاعات دارند و باید پاسخگو باشند.»
به بیمه امنیت سایبری نیازمندیم
آریا در بخش دیگری از صحبتهای خود تأکید کرد: «ما اخیراً در خصوص بیمه سایبری با حاکمیت در حال تعاملیم و این به آن معناست که هم دادهها بیمه شوند و هم اینکه آن زیرساخت بیمهپذیر باشد. بیمهپذیر شدن یعنی میزان امنیت کافی را برای زیرساخت خود فراهم کند که امنیت مورد نیاز ایجاد شود. این روزها باید امنیت در رأس استراتژیهای کسبوکارها قرار گیرد و رشد کند و در این راه هم سرویسدهندگان و هم دریافتکنندگان سرویس و همچنین حاکمیت نقش دارند. به نظر من به صنعت افتا در کشور ما بهدرستی پرداخته نمیشود و رشد لازم اتفاق نیفتاده است»
در ادامه او در خصوص چگونگی یافتن سرمنشأ هکهای اطلاعاتی توضیح داد که رشتهای وجود دارد به نام «فارنزیک» که در زمینه جرمشناسی سایبری است و اگر هکر ردپایی از خود به جا گذاشته باشد میتوان او را پیدا کرد. آریا در توضیحاتی بیشتر بیان کرد که البته یافتن هکر در نهایت کمکی به ما نمیکند زیرا تعداد هکرها بسیار زیاد است و آسیبپذیریهای امنیتی هر روز به شکلی دیگر نمود پیدا میکنند.
نشت اطلاعاتی در سطح بحرانی است
صادق فرامرزی، نایبرئیس نصر تهران، در حساب توییتری خود به حجم بالای نشت اطلاعاتی واکنش نشان داده و گفته بود: «حجم اطلاعات لیکشده برای عملیات ساده فیشینگ از طریق مهندسی اجتماعی بیش از کافی هستند؛ بنابراین باید خیلی سریع کمیتههای بحران در صنف، بانک مرکزی و وزارت مربوطه تشکیل شود و با بررسی روشهای مقابله، اطلاعرسانی به شکلی انجام شود که برای افراد عادی نیز ایجاد حساسیت و آگاهی شود.»
او در گفتوگو با کارنگ و در مقدمه صحبتهایش گفت: «هر اتفاقی که ایجاد اختلال در آسایش روانی و مالی مردم کند؛ بهخصوص در وسعت ملی، از جنس بحران تلقی میشود. نشت دادهها نیز وقتی از حدی فراتر میرود در همین دسته قرار میگیرد. ما خیلی نگران کلاهبرداری از طریق مهندسی اجتماعی بعد از بحران هستیم وگرنه شاید در خصوص دادهها باید گفت نمیتوان مستقیماً از خیلی از آنها استفاده سوء کرد. به عبارتی یک متخلف از طریق مهندسی اجتماعی میتواند با ترکیب دادهها کاربران را قانع کند که از مرکز معتبری تماس گرفته یا مراجعه میکند و اقدام به کلاهبرداری کند.»
او درباره چگونگی مقابله با این پدیده گفت: «در چنین موقعیتهایی به دو صورت عمل میکنیم: یکی اینکه این اتفاق از اساس نیفتد یا به این سادگی نباشد و اینکه بعد از رخداد واقعه باید چه کرد؟ در حوزه امنیت کشور نهادهای مشخص و مسئولی در این حوزه وجود دارد، ولی با همه این موارد باز هم این اتفاقات میافتد. وقتی حجم این موارد از یک سطحی عبور میکند به معنای آن است که در جایی سهلانگاری صورت گرفته است.»
او در ادامه بیان کرد: «برخی از موارد نشت اطلاعاتی در شرکتهای بزرگ خصوصی اتفاق افتاده است. البته انصافاً نوع اطلاعرسانی صادقانه بهترین اقدام تپسی در حوزه اطلاعرسانی بود و نکته درخشانی است که کمتر دیدهایم، اما از اصل ماجرا نمیتوان عبور کرد.»
حاکمیت نباید به بهانه امنیت، ورود قهری به بخش خصوصی داشته باشد
فرامرزی افزود: «نکتهای که باید به آن دقت کرد این است که اتفاقاتی از این دست نباید باعث ورود قهری حاکمیت به بخش خصوصی و در حوزه امنیت بشود، بلکه اکنون رگتگهای تخصصی حوزه امنیت مورد نیاز هستند و ما نیز مانند تمام دنیا نیاز به نهادهایی داریم که استانداردهای امنیتی را تهیه کنند و شرکتها متعهد به اجرای آن باشند، آدیت اجرای درست هم برعهده همین نهادهای خصوصی خواهد بود. در این حالت کاربر حق انتخاب دارد از شرکتی که تایید شده «certified» شده است استفاده کند یا نه و ریسک ناشی از انتخاب را خود بپذیرد نه اینکه تبدیل به معضل ملی شود. به طور مثال شرکتهای پیاسپی در ایران که رگولاتور آنها شاپرک است که صفر تا صد امنیت را به شرکتها دیکته میکند و با برنامهریزی و بدون برنامهریزی آدیت میکند، نمونه قابل مطالعهای هستند. سازمانهای خدماتی بزرگ ما نیز باید رویه مطابق استانداردهای جهانی را الگو قرار دهند.»
او در خصوص اقدام نظام صنفی در این موارد گفت: «نظام صنفی در چنین مواردی باید از بخش خصوصی حمایت کند و مانع این شود که بیشتر آسیب ببینند. در این زمان باید اطلاعرسانی دقیق انجام شود؛ مخصوصا آنهایی که اطلاعاتشان در این نشتها وجود دارد.»
در ادامه فرامرزی در خصوص مسئولیت پلتفرمها در مقابل هک شدن اطلاعات کاربرانشان گفت: «به نظر من باید با ساختن پیامها و فیلمهای آموزشی برای تمام مردم و در هر سن و سالی آموزش انجام شود تا مهندسی اجتماعی به قصد کلاهبرداری صورت نگیرد که این حداقل اقدام است. از سویی دیگر جای رگتکها در مقابل چنین اتفاقاتی خالی است. دادن هشدارهای لازم به نهادهای مسئول و قبول بخشی از مسئولیت حتی در حوزه رگولاتوری از کارکردهای صنف است.»
فرامرزی نیز مانند آریا به بحث بیمه سایبری اشاره کرد و این مورد را یکی از موارد جلوگیری از ایجاد رخدادهای امنیتی دانست. او دلیل این موضوع را موظف شدن کسبوکارها در عملکردشان در خصوص نگهداشت اطلاعات کاربران با امنیت بیشتر اعلام کرد. به اعتقاد او شرکتی که فعالیت خود را بیمه میکند به ناچار خیلی از بایدها را با حساسیت بیشتری پیگیری خواهد کرد.
رابطه مستقیم پاسخ به حمله سایبری و محدوده حمله
شاهین نورصالحی، مشاور و طراح سیستمهای پیشرفته علم و فناوری در گفتوگو با کارنگ در خصوص چگونگی برخورد با حملات سایبری گفت: «نحوه پاسخ به یک حمله سایبری رابطه مستقیمی با برآورد ما از scope (محدوده) آن حمله دارد.»
او ادامه داد: «به طور مثال، وقتی برق منزل شما قطع میشود و به خیابان نگاه میکنید، در صورتی که برق خانههای مجاور شما وصل باشد، بیدرنگ به سراغ فیوز کنتور خودتان میروید و تدابیر لازم را تدارک میبینید، ولی در صورتی که کل شهر در خاموشی فرو رفته باشد، کاری بیشتر از انتظار از شما بر نمیآید، صرفاً به این دلیل که شما از محدوده زیرساختی دچار مشکل هستید.»
نورصالحی در ادامه صحبتهایش گفت: «این همان نکته متمایزکننده حملات گسترده اخیر به فضای سایبری کشور، از حملات پیشین است. متأسفانه به این دلیل که در پژوهش، نوآوری و پیادهسازی زیرساختهای متناظر با انواع حملات شناختهشده یا نوین مجرمان سایبری تعلل شده، در نتیجه محدوده گسترده این حمله باعث شده کاری از سازمانها و شرکتهای قربانی برنیاید و صرفاً در انتظار راه حل جامع باقی بمانند.»
او در ادامه با این سؤال ادامه داد: «اما ماهیت این زیرساخت چیست؟» و افزود: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسیشده (به همراه امکان بهروزرسانی دائمی) در حوزه امنیت سایبری که دامنه گستردهای از عملیات پایه همچون طراحی اتاق سرورهای سازمانی، سیاستهای مدیریت شبکه تا اصول رمزنگاری دادهها و تنظیم فایروال را شامل شود.
از آنجا که هدف عمده حملات سایبری به صورت مستقیم یا غیرمستقیم دست پیدا کردن به منابع مالی است، به منظور تحقق اصول secure by design، بانک مرکزی بهعنوان رگولاتور شبکه بانکی، بهترین کاندیدا برای میزبانی از این محیط پژوهشی خواهد بود.»
لینک کوتاه: https://karangweekly.ir/sxa6