راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

یادداشت

درباره سکوت و مخفی‌کاری بنگاه‌های آسیب‌دیده از حوادث سایبری

نویسنده: راه پرداخت 0

بر خلاف نظر عده‌ای از افراد مبتلا به خودخوارانگاری که ایرانیان را به انواع بدی‌ها و ناتوانی‌ها متهم می‌کنند، من ایرانیان را عموماً افرادی توانمند از نظر شخصی و سخت‌کوش و به‌روز و مطلع می‌دانم.

آنچه باعث ظهور وضعیت ناجور کنونی شده، مربوط به لایه فردی نبوده و با توانمندی‌های فردی اشخاص ارتباط مستقیمی برقرار نمی‌کند، بلکه مقوله‌ای مربوط به لایه اجتماعی است.

نحوه چفت و بسط ما ایرانیان به یکدیگر، شیوه ارتباط‌ گرفتنمان و قواعد حاکم بر ارتباطاتی که با هم برقرار می‌کنیم آفت‌زده و بیمار است. ما در سطح اجتماعی و در نهادهایی که قرار است تلاش‌های اشخاص در کنار یکدیگر را سامان‌دهی کند مشکل داریم و ضعف نهادی نه ناشی از ضعف عموم مردم که ناشی از ناتوانی و ضعف جامعه نخبگانی در نهادسازی و تقویت نهادها است. این توانمندی کلید توسعه نیز هست.

حملات سایبری و مخفی‌کاری آسیب‌دیدگان

از جمله موضوعاتی که طی دو سه سال اخیر شاهد رخ‌دادن مکرر آن بوده‌ایم حمله و نفوذ موفق به سامانه‌های کامپیوتری و پایگاه‌های اطلاعاتی سازمان‌ها و بانک‌ها و دستگاه‌های اجرایی مختلف است. کثرت این حملات موفق، باعث شده که رفتار ناصوابی که از مدت‌ها قبل وجود داشت، ظهور و نمود بیشتری بیابد. این رفتار ناشیانه که دلایل ظهور آن را بررسی خواهیم کرد، پنهان‌کاری و نپذیرفتن وقوع حمله و یا متحمل شدن آسیب از حمله است.

به‌وقوع‌پیوستن یک تهدید و آسیب‌دیدگی از آن، بدون آنکه بتوان بلافاصله شخص یا اشخاصی را به‌عنوان عامل آن شناسایی کرد، قطعاً موجب ایجاد تنش زیادی در افراد مسئول حفظ امنیت خواهد شد و انکار و نادیده‌انگاشتن، واکنش طبیعی و بدیهی افراد است. واکنشی که برای سازمان، مشتریان و جامعه مطلوب نیست.

اگر به دنبال آن هستیم که روال اتفاقات به نحو دیگری باشد نیازمند نهادسازی هستیم. غلبه بر انکار و نادیده‌گرفتن که واکنش بدیهی در لایه فردی است، با یک نظم نهادی در لایه اجتماعی ممکن است. مشابه آنکه همه ما دوست داریم به‌سرعت طی مسیر کنیم و نظمی نهادی شامل نصب چراغ‌راهنما و جریمه پلیس باعث می‌شود که از خواسته فردی خود به بهای خیر اجتماعی چشم‌پوشی کنیم.

تا جایی که بنده بررسی کردم بررسی دقیقی در زمینه نظم و ساختار نهادی مواجهه با حملات سایبری در سایر کشورها و نظم نهادی مطلوب برای کشور در این مقوله، صورت نپذیرفته است. آنچه در ایران رخ‌داده است، سال‌ها تلاش برای راه‌اندازی سازوکارهایی بوده است که در دهه هشتاد میلادی قرن گذشته در آمریکا و سایر کشورهای توسعه‌یافته وجود داشته است که در استقرار کامل آن هم ناکام مانده‌ایم؛ و تحولات صورت پذیرفته از ۱۹۹۰ به بعد در این زمینه در کشور انعکاسی نیافته است.

تنها یک‌لحظه به وضعیت کامپیوتر و اینترنت در سال ۱۳۶۹ بیندیشیم و از این مطلب تلخ عبور کنیم.

مراکز گوهر وابسته به مرکز ماهر ایده‌ای برگرفته از سازوکار CERT است. در سال ۱۹۸۸ مرکز هماهنگی تیم‌های پاسخ فوری به حوادث کامپیوتری

 Computer Emergency Response Team- Coordination Center (CERT-CC)

در دانشگاه کارنگی ملون آمریکا تأسیس شده است. اقدامی که با استقبال مواجه شده و به‌سرعت در دنیا تکثیر شده و کشورهای مختلف، در مواجهه با حوادث رایانه‌ای دست به تأسیس و راه‌اندازی تیم‌های واکنش سریع زدند. تسری این جنبش در ایران دست‌مایه وضع مقرره و اقدام دولت مبنی بر راه‌اندازی مرکز ماهر شد.

تأسیس مراکز واکنش سریع ابتدای یک مسیر طولانی بود، پس از آن، انبوهی از نهادها شامل سازمان‌ها، قوانین، مقررات و عرف‌ها در رابطه‌ با حوادث سایبری به وجود آمد که ما در ایران از این روند جا مانده‌ایم.

مقابله با مخفی‌کاری

تشریح نهادها و اقدامات در کشورهای توسعه‌یافته در زمینه امنیت سایبری کتابی چند صدصفحه‌ای خواهد شد و در این مجال حتی فهرست کردن آنها میسر نیست. در این مقاله، تنها نهادسازی‌ها در حوزه امنیت سایبری که با موضوع مقابله با پنهان‌کاری در حوادث سایبری در ارتباط هستند را بررسی کرده و تنها کشور ایالات متحده مدنظر ما است. البته توجه به این نکته ضروری است که این سازوکارها مختص کشور آمریکا نیست و سایر کشورهای توسعه‌یافته وضعیتی کمابیش مشابه دارند و تنها عناوین و جزئیات در آنها ممکن است متفاوت باشد.

یک) مرکز تجمیع CERT در دانشگاه کارنگی ملون به زیر نظر انستیتو مهندسی نرم‌افزار درآمده و تبدیل به یک مرکز تحقیقاتی در زمینه حوادث رایانه‌ای شد.

دو) دولت ابتدا دست به تأسیس مراکز واکنش سریع CERT زده و US-CERT پدیدار شد. طی سال‌ها سه نهاد تخصصی در این عرصه تأسیس شدند. در سال ۲۰۲۳ این سه مؤسسه، در نهاد CISA زیر نظر وزارت امنیت داخلی آمریکا تجمیع شدند. CISA مخفف عبارت زیر است:

Cybersecurity & Infrastructure Security Agency

این نهاد در زمینه حوادث رایانه‌ای در نهادهای دولتی ورود کرده و الزاماتی را درباره مقابله با حوادث سایبری از جمله اطلاع‌رسانی دقیق حوادث سایبری را الزام می‌کند.

سه) قانون الزام اطلاع‌رسانی در مواقع نشت داده (Data breach Notification Law): این قانون الزام می‌کند که هنگامی که اطلاعات اشخاص در اختیار افراد و بنگاه‌ها مورد دسترسی غیرمجاز قرار می‌گیرد، باید به او اطلاع دهد. بسته به اینکه اطلاعات درباره افراد که در اختیار بنگاه هستند شامل چه مواردی هستند، شدت و گستره اطلاعات متفاوت است. طبقات مختلف شامل اطلاعات درباره افراد، اطلاعات هویتی افراد، اطلاعات حساس درباره افراد و اطلاعات پزشکی و درمانی افراد است.

چهار) شورای رقابت تجاری که یک راهنما برای نحوه مقابله کسب‌وکارها با نشت داده منتشر کرده و بنگاه‌ها را ملزم می‌کند که اطلاع‌رسانی کند.

پنج) بنیاد سرقت هویت (Identity theft.org) که به‌صورت پسینی به رصد نشت داده‌ها پرداخته و موضوع اطلاع‌رسانی به افراد توسط کسب‌وکار تحت حمله را بررسی و راست آزمایی می‌کند.

شش) برنامه ارزشیابی مواجهه با حوادث فدرال (Federal Incident Response Evaluation) پاسخ دستگاه‌های اجرایی به حوادث سایبری با یک مدل ایده‌آل سنجیده و گزارش آن منتشر می‌شود. در گزارش نحوه افشای حادثه توسط دستگاه اجرایی مذکور بررسی می‌شود.

هفت) شبکه آزاد تبادل درباره تهدیدات آزمایشگاه‌های آلین (Alien Labs Open Threat Exchange) یک شبکه تبادل آزاد اطلاعات که طی آن افراد مشغول در حوزه امنیت تجربیات خود در زمینه تهدیدات و حوادث را به اشتراک گذاشته، درباره آنها تبادل دانش می‌کنند. این سرویس با نظارت CISA ارائه می‌شود و در آن متخصصان حوزه امنیت درباره حوادث از سر گذرانده گفت‌وگو می‌کنند.

نه) مستندسازی و مشاوره درباره استراتژی‌های آزمون و برنامه‌ریزی پاسخ به حوادث سایبری

Incident Response Planning & Testing Strategies Consultation & Documentation

سرویسی که توسط CISA ارائه می‌شود و به سازمان‌های دولتی در زمینه آزمون و آمادگی و مقابله با حوادث سایبری مشاوره می‌دهد. این مشاوره شامل راهنمایی به سازمان‌ها جهت تهیه مستندات زیر است:

  •  include Incident Response Plan (IRP)
  •  Incident Response Exercise Plan
  •  After-Action Report

دو مورد آخری ابزارهایی برای افشای دقیق حادثه و مقابله صورت‌گرفته با آن هستند.

ده) EthicsFIRST یک دستورالعمل رفتاری و آداب شغلی است که توسط

(Forum of Incident Response and Security Teams (FIRST)) منتشر شده و دربردارنده اخلاق و آداب افشای صادقانه و اطلاع‌رسانی به اشخاص در معرض تهدید را است. FIRST یک مؤسسه بین‌المللی در زمینه همکاری‌های تخصصی درباره حوادث سایبری بااهمیت است.

یازده) باتوجه‌به گسترش خدمات بیمه سایبری (Cybersecurity Insurance) و استفاده از این بیمه‌نامه توسط بسیاری از شرکت‌ها، در مواقع بروز بسیاری از حوادث سایبری، کسب‌وکار به‌منظور بهره‌مندی از بیمه ناگزیر است که ترتیب حضور یک Cybercrime Forensic Investigator (بازپرس تحقیقات قانونی جرایم سایبری) را فراهم کند. او یک مقام شبه قضایی است که با اف‌بی‌آی در ارتباط است و یا کارمند آنجاست. این مؤسسه نیز بر اساس مراجعات صورت‌گرفته توسط بازپرس‌ها و حوادث گزارش شده، گزارش‌ها ادواری منتشر کرده است.

نتیجه‌گیری

تحت چنین سازوکار نهادی و وجود انواع سازمان‌ها و وضع انواع قوانین و مقررات، پنهان‌کاری بسیار به‌ندرت صورت پذیرفته و دارای عواقب بدی برای پنهان‌کاران است.

در ایران نیز تا زمانی که بستر نهادی لازم فراهم نشود، شاهد استمرار پنهان‌کاری‌ها خواهیم بود، چرا که پنهان‌کاری و نادیده‌انگاشتن واکنش بدیهی و طبیعی افراد مسئول امنیت در سازمان است.

راه پرداخت

تحریریه راه پرداخت ۲۴ ساعت شبانه‌روز و هفت روز هفته تلاش می‌کنند شما را در جریان مهم‌ترین روندها و رویدادهای فناوری و نوآوری قرار دهند. راه پرداخت از دوم اردیبهشت ماه ۱۳۹۰ به صورت پیوسته در سپهر رسانه‌ای ایران فعالیت می‌کند.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.