ایران‌اکسس، راهکاری بلندمدت برای حفظ امنیت نیست / جنگ سایبری تمام عیار

حامد سنجری، رئیس مرکز نظارت بر امنیت اطلاعات بازار سرمایه / همین ابتدای یادداشت باید بگویم که تنظیم ایران‌اکسس قطعاً نمی‌تواند به‌صورت کامل نفوذ یا حمله سایبری را از بین ببرد؛ چه‌بسا که اکثر حملات سایبری امروزه از داخل شبکه‌های سازمان‌ها و با آلوده‌سازی سیستم‌های داخلی با APT‌ها و بدافزار‌ها انجام می‌گیرد، اما این موضوع می‌تواند برخی حملات سایبری را تا حدود زیادی کاهش دهد؛ حملاتی مانند  DDoS یا DOS.

در مورد مبحث ایران‌اکسس لازم است چند نکته را در نظر داشته باشیم؛ قطعاً اجرای ایران‌اکسس باید با بررسی نیاز ذی‌نفعان سامانه، تعداد ذی‌نفعان سامانه در خارج از کشور و دستاورد‌های ایران‌اکسس‌شدن برای آن سامانه صورت بگیرد. ما در مباحث امنیتی، اصلی به‌عنوان اصل حداقل دسترسی (Least Privilege) را باید در تمام دسترسی‌ها، چه در داخل شبکه‌های سازمانی و چه در ارتباطات خارج از شبکه‌های سازمانی رعایت کنیم؛ به این معنا که دسترسی به یک دارایی برای هر کاربر باید فقط بر اساس و میزان نیاز کاربر باشد.

با این تفاسیر چه در زمان‌های بحرانی و چه در زمان‌هایی که هشدارهای سایبری وجود ندارد، سامانه‌ای که ذی‌نفع خارج از کشور ندارد، نباید دارای دسترسی از اینترنت خارج کشور باشد، اما سامانه‌هایی مانند سامانه‌های معاملات برخط کارگزاری‌ها که قطعاً برخی از این کارگزاری‌ها مشتریانی در خارج از کشور دارند، باید بتوانند نیاز مشتریان خارج از کشور را تأمین کنند و با ایران‌اکسس‌شدن آن سامانه‌ها امکان ایجاد نارضایتی در مشتریان آنها وجود دارد.

این موضوع حتی در زمان‌های بحرانی و هشدارباش‌های نهاد‌های بالادستی و نظارتی تحت اختیار کارگزاری است؛ به این معنی که کارگزار با وجود اینکه در ساعت بازگشایی بازار باید نیاز مشتریان خود را تأمین کند، با بررسی تعداد مشتریان داخل کشور نسبت به مشتریان خارج از کشور خود، یا ریسک امنیتی باز بودن دسترسی را می‌پذیرد و سامانه را مسدود نمی‌کند، یا ریسک آن را نمی‌پذیرد و مسدودسازی را انجام می‌دهد.

لازم است به این موضوع هم اشاره شود که در برخی هشدارباش‌های نظارتی از نهاد‌های بالادستی، سازمان‌ها و شرکت‌ها باید این اقدام را انجام دهند. دیگر موضوعی که این حساسیت روی سامانه‌های معاملاتی را افزایش می‌دهد، محدودیت زمانی معاملات است؛ در واقع در یک بازه زمانی مشخصی سامانه دارای عملکرد اصلی و حیاتی است و در صورت حمله سایبری منع سرویس (DDoS) به سامانه‌ها، قطعاً معاملات سهام‌داران با مشکل مواجه خواهد شد.

سامانه‌های معاملاتی با تمام سامانه‌های موجود در کشور متفاوت است و به گونه‌ای نیست که اگر یک یا دو ساعت در دسترس نباشد، کاربر فعالیت خود را به ساعت یا روز دیگری موکول ‌کند؛ به همین دلیل برخی شرکت‌های کارگزاری که مشتریان محدودی در خارج از کشور دارند، در زمان‌های بحرانی اقدام به ایران‌اکسس‌کردن دسترسی می‌کنند.

موضوع دیگری که برخی کاربران را از مسدود بودن دسترسی یک سامانه آزرده‌خاطر می‌کند، استفاده همزمان از سرویس‌های شبکه‌های اجتماعی فیلترشده و سامانه‌های ایران‌اکسس‌شده است. کاربر همزمان می‌خواهد هم به شبکه‌های اجتماعی دسترسی داشته باشد، هم با سامانه یا وب‌سایت مورد نظر خود فعالیت کند، اما به علت فیلتر بودن شبکه‌های اجتماعی از وی‌پی‌ان یا ابزارهایی برای دور زدن فیلتر استفاده می‌کند و به علت تغییر آدرس IP خود به یک کشور خارجی دیگر، نمی‌تواند با سامانه مورد نظر خود کار کند. مبحث ایران‌اکسس به نظر بنده برای سامانه‌ای که مشتری یا ذی‌نفع خارج از کشور ندارد، باید به‌صورت همیشگی وجود داشته باشد، اما در مورد حفظ امنیت برای سامانه‎‌های دیگر قطعاً راهکار بلندمدتی به حساب نمی‌آید و این یک ضعف امنیتی برای یک شرکت یا سازمان به حساب می‌آید.

قطعاً متولیان سامانه‌ها وظیفه دارند با برطرف‌سازی مشکلات امنیتی سامانه‌ها در تمامی لایه‌ها و استفاده از ابزار‌های امنیتی با تنظیم مناسب و همچنین ارتقای امن زیرساخت ارتباطی، سامانه‌های خود را در دسترس تمامی ذی‌نفعان در دنیا قرار دهند.

با توجه به تمام موارد بیان‌شده باید به این مورد توجه شود که کشور ما در یک جنگ سایبری تمام‌عیار قرار دارد و ما هر چقدر هم در حوزه Offensive یا Attack قوی باشیم، در حوزه Defensive ضعیف هستیم و نفوذ‌های انجام‌شده در کشور طی دو سال اخیر گواه این موضوع است که به‌ناچار برخی تصمیمات در برخی زمان‌های بحرانی بابت کاهش ریسک حملات سایبری گرفته می‌شود.

لازم است به این نکته اشاره شود که بازار سرمایه از سال ۱۳۹۹ تاکنون در بازه‌های زمانی متفاوت زیر حملات سنگین سایبری قرار گرفته که تاکنون این حملات کنترل شده، اما هیچ زمانی در هیچ زیرساختی امنیت به‌صورت صد درصد وجود نخواهد داشت و در هر زمانی امکان نفوذ به یک سامانه یا یک شبکه متصور است.

مرکز نظارت بر امنیت اطلاعات بازار سرمایه با تهیه دستورالعمل‌های فنی و امنیتی و ابلاغ آن به نهاد‌های مالی شرکت‌های ارکان و تابعه در بازار سرمایه و سپس با ممیزی فنی و امنیتی از این زیرساخت‌ها، سعی در کاهش ریسک‌های امنیتی بازار سرمایه داشته است، اما به‌شدت با اجرای برخی روش‌های مسدود‌سازی به‌صورت دائمی که باعث اختلال در عملکرد یک سامانه یا کاربر شود، مخالف است. البته موارد امنیتی که در دوره اخیر اتفاق افتاده‌، به‌دلیل ازدیاد حملات در سطح کشور در سه ماه اخیر و ابلاغ‌های امنیتی نهاد‌های بالا‌دستی لازم‌الاجراست و امیدواریم به‌زودی برخی از این محدودیت‌ها با اجرای اقدامات امنیتی لازم در شرکت‌های مربوطه رفع شود.