پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
هادی سنجانی؛ گرهخوردن زندگی روزمره با فناوریهای ارتباطی و اطلاعاتی تا حدی است که تصور عدم وجود آن را سخت مینماید. بسیاری از دغدغههای مردم برای انجام امور جاری با استفاده از بستر مهیاشده توسط فناوری رفع شده است. امروزه بسیاری از فعالیتها شامل و نه محدود به خدمات دولت الکترونیکی، اطلاعرسانی، امور مالی، خدمات آموزشی و خدمات بهداشتی و درمانی با استفاده از بستر ارتباطی و اطلاعاتی به انجام میرسند. در سطحی دیگر بسیاری از زیرساختهای حساس ملی مانند صنایع نفت و گاز، در چرخه تولید خود به صورت گسترده از فناوریهای ارتباطی و اطلاعاتی استفاده میکنند. این استفاده روزافزون از فناوری هرچند مزایای بسیار زیادی را دربرداشته است اما زوایای پنهانمانده از دید عوام و خواص آن میتواند پاشنه آشیل برای تهدید منافع ملی باشد.
با توجه به ضریب نفوذ بالای فناوری در زندگی امروزه، پرواضح است که ایجاد و استفاده از زیرساختها و راهکارهای کارآمد برای محافظت از این بسترها و همچنین استفادهکنندگان آنها ضروری و حیاتی است.
زمانی این مهم آشکارتر میشود که نگاهی به روند روبهرشد حملههای سایبری در دنیا و بالاخص در ایران داشته باشیم. این حملهها در دو دسته عمده حملههای داخلی و خارجی هر کدام خسارات بسیاری را در سطوح مختلف به مردم و دولت وارد کردهاند. در حوزه داخلی میتوان به حملههایی با هدف نفوذ و ایجاد اختلال در سیستمهای بانکداری الکترونیکی اشاره کرد که خساراتی جدی به مراکز ارائهکننده چنین خدماتی تحمیل کرده است و علاوه بر آن مشترکان مراکز بانکی هم متحمل خسارتهای مالی شدهاند. از طرف دیگر حملههای خارجی تهدیدی به مراتب جدیتر محسوب میشوند چراکه علاوه بر خساراتی که در ابعاد وسیع وارد میکنند قادرند تبدیل به ابزاری برای فشار در مقاطع زمانی حساس شوند.
.
مروری بر رخدادهای امنیتی مهم
رخدادهای امنیتی زیادی در سالهای گذشته گریبانگیر فضای دیجیتال در کشور ما شدهاند. بسیاری از آنها پس از کشف و رفع، به فراموشی سپرده شدهاند تا عدم توجه جدی به چرایی و چگونگی به وقوع پیوستن آنها مانع واکاوی و رسیدگی موثر در راستای ممانعت از به وقوع پیوستن مجدد آن رخدادها شود. به سختی میتوان آمار درستی از میزان چنین رخدادهایی به دست آورد چراکه سازمانها با ترس کاهش اعتبار ناشی از علنی شدن مورد حمله قرار گرفتن، مانع اطلاعرسانی در این زمینه میشوند فارغ از اینکه تا چه اندازه سازمانها مجاز به ممانعت از انتشار این اطلاعات هستند، عدم اطلاعرسانی و ارجاع چنین مواردی به مراجع ذیصلاح، امکان درک صحیح از شرایط را از برنامهریزان در سطح کشور میگیرد. به عبارت دیگر تصمیمگیران برای اتخاذ تصمیمات صحیح در سطح کلان، نیاز به اطلاعات صحیح و جامع دارند و در همین راستا، همکاری موثر و سازنده تمام سازمانهای کوچک و بزرگ، دولتی و خصوصی، کمک بسزایی در امر تصمیمسازی و در نهایت تصمیمگیری صحیح و اصولی خواهد کرد.
علاوه بر این، همهساله در ایران حملههای سایبری خسارتهای قابل توجهی به سازمانها وارد میکنند. سیستمهای بانکی بارها مورد حمله و نفوذ قرار گرفتهاند و هرچند اطلاعات رسمی کمی در این زمینه وجود دارد اما میتوان گفت بسیاری از حملهها موفق بوده و بعد از آنکه حملهکننده به نتیجه مطلوب رسیده است، کشف و رفع شدهاند. در حوزههای غیربانکی نیز شرایط مشابهی حاکم است. برای نمونه اپراتورهای تلفن همراه نیز به عنوان هدفی جذاب برای هر دو گروه حملهکنندگان داخلی و خارجی، مورد هجوم حملههای سایبری قرار گرفتهاند. شاید ملموستر باشد اگر موارد مشخصی را بررسی و نتایج آن را مرور کنیم.
.
حوزه مالی
شرکت انیاک که با بانکهای متعددی در زمینه پرداخت الکترونیکی همکاری میکند در سال ۹۱ با مشکلی خبرساز روبهرو شد. فردی با افشای بخشی از اطلاعات سه میلیون کارت بانکی، مدعی وجود نقص امنیتی جدی در سیستمهای این شرکت شد. اما تبعات گسترده این خبر و برخورد ویژه با آن شاید چیزی بود که کمتر کسی انتظار آن را داشت. جدا از اینکه ریشه مشکل کجا و واکنش اصولی به آن چه بوده است، حرکتی که بعد از آن با ورود بانک مرکزی و دیگر مراجع قانونی شکل گرفت، هزینه قابل توجهی را بر انیاک و دیگر PSPها تحمیل کرد. این هزینهای بود که PSPها باید از نخستین گامهای راهاندازی کسب و کارشان، به صورت تدریجی صرف ایجاد و حفظ امنیت آن میکردند.
به عنوان نمونه دیگری از تهدیدات مرتبط با حوزه مالی میتوان از بدافزار Narilam نام برد. این بدافزار طی چند ماه گذشته بر سر زبانها افتاد در حالی که بر اساس تحلیلهای موجود خیلی پیش از این (خرداد ۸۹) کشف شده بود . بر اساس اطلاعات موجود این بدافزار با هدف قرار دادن نرمافزارهای مالی مشخص (شامل نرمافزارهای امین، شهد و مالیران مربوط به شرکت طراح سیستم) به تخریب اطلاعات پایگاه دادههای این نرمافزارها میپردازد. عملکرد این بدافزار به گونهای است که نشان از تسلط نویسنده این بدافزار بر ساختار این نرمافزارها و هدفمند بودن این حمله دارد.
.
حوزه انرژی
سال ۹۱ سالی پرماجرا برای این حوزه بوده است. در این سال صنایع مرتبط با این حوزه مانند صنایع نفت، گاز و تاسسیات هستهای ایران هدف بدافزارهای مختلفی قرار گرفتند. بدافزارهایی که با نامهای Stuxnet، Duqu، Wiper، Flameو Gauss آنها را میشناسیم (نامگذاریشده توسط مراکزی که به تحلیل این بدافزارها پرداختهاند). تحلیلهای زیادی در مورد این بدافزارها وجود دارد که ارتباط آنها را با یکدیگر تایید و علاوه بر آن پیچیدگی آنها را در سطحی ارزیابی میکند که بیانگر وجود یک حمله برنامهریزی شده است (برای نمونه CrySyS Labبیان میکند flame پیچیدهترین بدافزاری است که تاکنون تحلیل کرده و اعتقاد دارد پیچیدهترین بدافزاری بوده که تاکنون کشف شده است)، آنچنان که بسیاری از گمانهزنیها در خصوص منبع این بدافزار حاکی از نقش یک یا چند دولت در تولید آن است. با نگاهی به آمار مربوط به توزیع آلودگی به برخی از این بدافزارها در کشورهای مختلف (نمودار ۱ و نمودار ۲) میتوان دو نتیجه کلی گرفت:
- ایران به صورت مشخص یکی از اهداف اصلی این بدافزارها بوده است که با توجه به شرایط کنونی و تعارضات روزافزون دنیای غرب با ایران، دور از ذهن نیست.
- ایران در زمینه محافظت از داراییهای مرتبط با فناوریهای ارتباطی و اطلاعاتی سرمایهگذاری لازم را نکرده و به تبع آن آمادگی کافی برای مواجهه با آنها را ندارد.
هر کدام از نتایج فوق به تنهایی میتوانند انگیزه کافی و محرکی برای نگاه و تمرکز بیشتر و جدیتر به موضوع امنیت در فضای سایبری کشور باشند.
.
فناوریهای نوین، تهدیدهای نوین
با توجه به مطالب بیانشده، در سالهای اخیر، میزان حملههای وارده به سازمانهای متولی زیرساختهای حیاتی ملی و بانکی در ایران افزایش پیدا کرده است. این حملهها در اغلب موارد عملکرد سازمانها را مختل کرده و باعث سرقت اطلاعات محرمانه، از بین رفتن جامعیت دادهها و از دسترس خارج شدن سرویسهای سازمانها میشوند. تبعات این حملهها احساس نیاز روزافزون به ایجاد زیرساختهای امنیتی ویژه برای بالا بردن سطح امنیت است. در این راستا و با در نظر داشتن این نیازمندی در کشور، ایجاد و استقرار زیرساختهای امنیتی و پیادهسازی راهکارهای امنیتی به سازمانها کمک میکند تا با استفاده از یک تیم متخصص، آمادگی مواجهه با رخدادهای امنیتی با سطح پیچیدگی بالا را داشته باشند و در صورت وقوع چنین رخدادهایی در حداقل زمان و با کمترین خسارت وارده جهت برطرف کردن آن اقدام کنند.
به تجربه ثابت شده است در اغلب موارد مادامی که درگیر بحرانی نشدهایم به سراغ پیشگیری نمیرویم. با کمی جستوجو میتوان نوشتارهای زیادی در باب تهدیدهای ناشی از بهکارگیری گسترده فناوری یافت. شاید قدمت این نوشتارها در بسیاری موارد بیشتر از خود فناوری مورد بحث باشد. متون علمی و تخیلی بسیاری موجودند که از تسخیر یا به نابودی کشاندن بشر توسط فناوریهای تولیدشده به دست خود او سخن گفتهاند. علاوه بر این دسته از متون، کم نیستند کتابهایی که با انگیزه آگاهیرسانی در خصوص خطرهای عدم توجه به امنیت در فضای سایبری به بررسی حملههای سایبری به وقوع پیوسته پرداختهاند.
با وجود متونی اینچنین و امکان استفاده از تجربههای سایر کشورها در سیر تکاملی استفاده از فناوری، شاید هیچگاه توجه شایانی در سطح کشور ما به موضوع امنیت نشده است و هرچند سیر صعودی رسیدگی به دغدغههای امنیت سایبری در دو سال گذشته به واسطه حملههای سایبری کشفشده قابل توجه بوده است اما کافی نبوده و نیازمند برنامهریزی بلندمدت و تدوین استراتژی در زمینه امنیت فضای سایبری در سطح کشور است.
رویکرد چندساله اخیر مراجع مختلف متولی این امور به گونهای بوده است که سعی در پوشش مسائل مربوط به امنیت فضای سایبری داشتهاند اما به نظر میرسد آنچنان که باید فضای شفاف، رویکرد مشخص و ضمانت اجرایی لازم وجود نداشته و تهدیدهای ملی ناشی از حملههای سایبری میتواند در مقاطع حساس زمانی، مانند انتخابات ریاست جمهوری، تهدیدی به مراتب خطرناکتر باشد. حملههای سایبری در این ایام به زیرساختهای ارتباطی مانند اپراتورها، سایتهای خبری و همچنین سایتهای وب وزارتخانههای متولی اطلاعرسانی، میتواند اهداف جذابی برای نفوذگران داخلی و خارجی باشد.
.
معرفی CSIRT
استقرار CSIRT در سازمانها به عنوان یک زیرساخت امنیتی شامل نیروی انسانی ماهر، فناوریهای امنیتی و روالهای مرتبط، به سازمانها اجازه میدهد در برابر حملههای سایبری، آسیبپذیری کمتری داشته باشند و در صورت وقوع رخداد، خسارت وارده به سازمان را به حداقل میزان ممکن برسانند. در سازمانهایی که چنین زیرساختی فراهم باشد، هر نوع رخداد امنیتی به این مرکز گزارش میشود که خودبهخود باعث کاهش سربار بخشهای غیرمرتبط و همچنین احاطه بهتر یک تیم متمرکز برای واکنش به رخدادها میشود. علاوه بر این با سازوکارهایی پیشبینیشده برای رسیدگی به فارنزیک دیجیتال در این مراکز میتوان مشکلات قضایی را نیز از طریق مراجع قضایی به درستی پیگیری کرد و به نتیجه رساند.
.
تاریخچه
عبارتCERT Computer Emergency Response Team) ) برای اولین بار در دانشگاهCarnegie Mellon و پس از انتشار کرم Morris در ARPANET که موفق شد نیمی از این شبکه نوپا را در آن زمان فلج کند، به وجود آمد. وظیفه این گروه ایجاد هماهنگی برای واکنش مناسب به رخدادهای شبکهای و تامین امنیت هنگام وقوع حوادثی از این دست بود. در حال حاضرCERT یک نشان تجاری ثبتشده برای دانشگاه (computer Security Incident Response Team) نیز معنای مشابهی دارد و معمولا به جای CERT به کار برده میشود، اما باید توجه داشت CERT نشان تجاری ثبتشده دانشگاه Carnegie Mellon است و این دو عبارت نباید به جای یکدیگر به کار برده شوند.
در ایران نیز این نوع مراکز با تعریفی مشابه، با پشتیبانی مرکز تحقیقات مخابرات در سال ۱۳۸۶ با نام آپا شروع به کار کردند:
آپا مخفف آگاهیرسانی، پشتیبانی و امداد رایانهای است که نامی بومی معادل CERT یا CSIRT است. طرح آپا به منظور ارتقای دانش فنی کشور و توسعه دانش مدیریت حوادث امنیتی از سال ۱۳۸۴ در پژوهشکده امنیت ارتباطات و فناوری اطلاعات مرکز تحقیقات مخابرات ایران شروع و بهرهبرداری آن اواخر سال ۱۳۸۶ آغاز شده است. ماموریت آپا که در پژوهشکده امنیت ارتباطات و فناوری اطلاعات مرکز تحقیقات مخابرات ایران راهاندازی شده است بیشتر جنبه پژوهشیتخصصی در حوزه مدیریت پاسخ به حوادث را مد نظر قرار داده و با ایجاد چندین مرکز آپای تخصصی در دانشگاههای کشور هم به مساله فرهنگسازی، ترویج و تربیت نیروی انسانی متخصص در حوزه پاسخ به حوادث توجه دارد و هم انتقال دانش و فناوری این حوزه را در داخل کشور و برای شروع این جریان، هدف خود قرار داده است. (http://www.emsrt.ir)
با فاصله کمی در سال ۱۳۸۷ سازمان فناوری اطلاعات اقدام به راهاندازی مرکز ماهر به عنوان مرکز هماهنگکننده کرد و علاوه بر آن تلاش کرد تا مراکز CSIRT با نام بومیشده گوهر: گروه واکنش هماهنگ رخداد در سازمانهای دولتی راهاندازی شوند.
شرکت فناوری اطلاعات ایران مطابق با وظایف حاکمیتی و اسناد بالادستی (سند افتا و اساسنامه خود) و به منظور ایجاد ساختار مناسب جهت پاسخگویی، ایجاد هماهنگیهای لازم مدیریت رخدادهای رایانهای اقدام به ایجاد و راهاندازی مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانهای) کرده است. (http://www.itc.ir)
علاوه بر این مراکز دیگری مانند مهار و کاشف نیز در حوزههای مشخص تعریف و در جهت راهاندازی آنها گام برداشته شده است:
بانک مرکزی جمهوری اسلامی ایران به منظور لزوم حفظ و ارتقای امنیت نظام پرداخت و بانکداری الکترونیکی و مواجهه درست با تهدیدات درونی و بیرونی نظام بانکی کشور، مرکز کنترل امنیت شبکه و فوریتهای بانکی (کاشف) را ایجاد کرد. آذر ۱۳۹۱ http://www.cbi.ir/showitem/9971.aspx))
.
ساختارهای مختلف CSIRT
ساختارهای مختلفی برای تشکیل تیم CSIRT در یک سازمان وجود دارد. این تیم میتواند به روشهای زیر ساختاربندی شود:
تیم امنیتی: در این مدل هیچ گروه مشخصی مسوولیت مستقیم مدیریت رخداد را بر عهده ندارد، بلکه از پرسنل بر اساس نیازهایی که به وجود میآید استفاده میشود.
CSIRT داخلی توزیعشده: این تیمها در محلهای جغرافیایی و سازمانی مختلف توزیع شدهاند. مدیر تیم، وظیفه هماهنگ کردن اعضای گروه را بر عهده دارد. این اعضا در حقیقت افرادی در سازمانها هستند که تخصصهای مختلفی در زمینه تکنولوژیها، سیستمعاملها و برنامههای گوناگون دارند و به تناسب و در زمان مورد نیاز از آنها استفاده میشود. این افراد در بقیه اوقات، کار معمول خود را انجام میدهند.
CSIRT داخلی متمرکز: تیمی است که در یک محل مشخص از سازمان قرار دارد و مسوول مستقیم مدیریت رخداد است.
CSIRTداخلی ترکیبی توزیعشده و متمرکز: این مدل ترکیبی از دو مدل قبلی محسوب میشود. در این مدل، یک گروه متمرکز برای مدیریت رخداد وجود دارد ولی از سایر کارکنان نیز در محلهای استراتژیک به صورت توزیعشده استفاده میشود.
CSIRTهماهنگکننده: در این مدل که یک مدل متمرکز محسوب میشود CSIRT مسوول هماهنگ کردن عملیات مدیریت رخداد سازمانها یا بخشهای مختلف است. به عنوان نمونه میتوان از شاخههای مختلف یک سازمان یا سازمانهای مختلف یک استان نام برد.
پیش از استقرار مرکز CSIRT در سازمان، به دلیل عدم وجود یک سیستم یکپارچه و متمرکز، رخدادها یا تشخیص داده نشده یا با تاخیر قابل توجهی تشخیص داده میشوند و از آنجایی که معمولا سطح آگاهی در مورد مسائل امنیتی در سازمان با سطح ایدهآل فاصله دارد، کارکنان هنگام روبهرو شدن با یک اتفاق غیرمعمول سعی در رفع انفرادی رخداد یا چشمپوشی از آن میکنند. این رویکرد در بسیاری از موارد نهتنها مشکلی را حل نمیکند بلکه باعث میشود مهاجم به هدف خود دست پیدا کرده و حمله را به انجام برساند و مدتها شناسایینشده باقی بماند.
پس از استقرارCSIRT ، هر رویداد غیرمعمول به این تیم گزارش یا از طریق سامانههای پیشرفته به کارگرفتهشده توسط CSIRT شناسایی میشود و در نتیجه وقوع یک رخداد در کمترین زمان ممکن کشف شده و اقدامات لازم برای رسیدگی به رخداد و جلوگیری از رخدادهای مشابه در آینده انجام میشود. این رویه باعث میشود خسارات وارده به سازمان به حداقل میزان ممکن تقلیل پیدا کند. علاوه بر این، کاهش سربار بخشهای مختلف سازمان که به هر نوعی ممکن است درگیر رخدادهای امنیتی شوند نیز ارزش افزوده وجود CSIRT در سازمان به شمار میرود.
.
جمعبندی
از آنجایی که ماهیت مراکز CSIRT به گونهای است که همکاری نزدیکی بین آنها میطلبد، هرچه تعداد سازمانهایی که دارای مراکز CSIRT عملیاتی هستند بیشتر شود، توان مقابله با حملههای سایبری پیچیده و گسترده در سطح ملی افزایش مییابد. به عبارت دیگر این مراکز با همکاری و تبادل اطلاعات در مورد رخدادهای امنیتی قادرند بار حملهها را بین خود تقسیم کرده و در واکنش به رخدادهای امنیتی همافزایی قابل توجهی داشته باشند. ساختاری را تصور کنید که در آن تمام بانکها مرکز CSIRT داشته باشند و توسط یک CSIRT مرکزی هماهنگ میشوند، مشابه آن تمام وزارتخانهها و دیگر سازمانهای بزرگ کشور چنین ساختاری داشته باشند. تمام این مراکز CSIRT میتوانند تحت یک ساختار مش با یکدیگر همکاری و تبادل اطلاعات داشته باشند در حالی که در مواقع لازم تحت یک ساختار سلسله مراتبی برای واکنش به رخدادهای امنیتی با سطح پیچیدگی بالا و گسترده در سطح کشور توسط CSIRTهای هماهنگکننده، به واکنش موثر و سریع بپردازند.
منبع: ماهنامه پیوست؛ شماره سوم
