قاصدک 24
بلیط هواپیما سفرمارکت

رعایت استانداردهای امنیتی راه مقابله با تهدیدات سایبری است

سوسن صادقی
خبرنگار
 جایگاه ایران در ارزیابی شاخص‌های جهانی امنیت سایبری، 6 رتبه ارتقا یافت و در بین 194 کشور در جایگاه 54 ایستاد. درباره ارتقای وضعیت امنیت سایبری کشورمان در جهان با «بیتا کیامهر»، مدیر کل نظام مدیریت امنیت اطلاعات (نما) سازمان فناوری اطلاعات ایران گفت‌و‌گو کرده‌ایم که می‌خوانید.
ارزیابی شاخص‌های جهانی امنیت سایبری شامل چه مواردی است؟

اتحادیه بین‌المللی مخابرات (ITU) به‌صورت دوره‌ای و دوسالانه از طریق پرسشنامه‌هایی با بیش از 80 سؤال شاخص امنیت (global cyber security index) کشورهای جهان را از نظر امنیت سایبری ارزیابی می‌کند که این ارزیابی‌ها در 5 محور قانونی، فنی، ظرفیت سازی، سازمانی و تعاملی صورت می‌گیرد. سازمان فناوری اطلاعات ایران با انجام دقیق فعالیت‌های کارشناسی موفق شد که به درستی سیاست‌های این 5 محور را به مسئولان دستگاه‌های اجرایی منعکس کند تا شاهد ارتقای 6 پله‌ای در جهان باشیم.
در رده‌بندی ارزیابی شاخص‌های جهانی امنیت سایبری بالاتر از چه کشورهایی قرار گرفته‌ایم؟
 در سطح جهانی کشور ما در بین 194 کشور در جایگاه 54 و بالاتر از کشورهایی مانند کویت، بحرین، سودان، آفریقای جنوبی، سنگال، میانمار، جامائیکا و... ایستاد. در منطقه آسیا و اقیانوسیه هم رتبه 12 را در بین 37 کشور به‌ دست آورد و بالاتر از کشورهایی چون فیلیپین، پاکستان، سریلانکا و... پایین‌تر از کشورهای کره جنوبی، سنگاپور، مالزی، چین، هند و... قرار گرفت.
امتیازهای کشورمان نسبت به رده بندهای قبلی چقدر تغییر داشته است؟
در سال‌های 2017 و 2018 کشور ما رتبه 60 و به ترتیب494 هزارم و 641 هزارم امتیاز به‌ دست آورد. این در حالی است که امتیاز ما در این رده‌بندی اخیر یعنی در سال 2021 به81.06 درصد ارتقا یافته است.
به انجام فعالیت‌های کارشناسی و اقدام‌های مؤثر از سوی سازمان فناوری اطلاعات اشاره کردید دقیقاً چه نوع اقدام‌هایی صورت گرفته است؟
 از جمله اقدام‌هایی که با مشارکت سازمان فناوری اطلاعات ایران و دستگاه‌های اجرایی صورت گرفت و در بالا رفتن امتیاز کشورمان در این رتبه‌بندی نقش داشت، هوشمندسازی مدارس، فعالیت کودکان در اینترنت، ارائه سیم کارت دانش‌آموزی، راه‌اندازی پیام رسان بومی ویژه کودکان مانند شبکه شاد، تهیه دستورالعمل‌ها و الزام‌های حوزه امنیت، توسعه استانداردسازی فنی و...بود. از سوی دیگر بومی‌سازی استانداردهای حوزه امنیت برای تمام افراد جامعه، حتی افراد کم توان نیز انجام شد. همچنین دستورالعمل‌ها و الزام‌های امنیت سایبری مانند دستورالعمل‌های امن‌سازی پایگاه اطلاعاتی به دستگاه‌های اجرایی ابلاغ شد. در حوزه امنیت سایبری برای بخش خصوصی هم امکان مشاوره، پیاده‌سازی و ممیزی سیستم مدیریت امنیت اطلاعات در سازمان‌ها از طریق ارزیابی، اعتباربخشی و اعطای پروانه‌ حوزه‌های خدمات و محصولات امنیت فضای تولید و تبادل اطلاعات فراهم شد. بسترهای متعدد تعاملات امن اطلاعاتی مانند سیستم‌های ارتباطی جهت دریافت لاگ رخدادهای رایانه‌ای ایجاد شد. بسیاری از طرح‌های مطالعاتی و پژوهشی را با همکاری بخش‌های دولتی و خصوصی نیزعملیاتی کرد که منجر به بومی‌سازی دستورالعمل و استانداردهای حوزه امنیت شد.
بیشترین تهدیدات امنیت سایبری که در کشور رخ می‌دهد از چه نوع تهدیداتی است؟
فضای تولید و تبادل اطلاعات کشورهر روزه با حملات و تهدیدات سایبری مختلفی روبه‌رو می‌شود که برخی از حملات بسیار پیچیده و هوشمندانه توسط انسان و ماشین انجام می‌شود. برخی حملات هم از طریق هکرها و بدافزارها رخ می‌دهند. (که معمولاً اطلاعات آنها به‌صورت عمومی از طریق مرکز ماهر سازمان فناوری اطلاعات در اختیار عموم قرار می‌گیرد.) ولی در کل می‌توان گفت حملات از جنس باج افزارها، باگ‌ها، ویروس‌ها، بک دورها، جاسوسی‌های سایبری و... است.
چارچوب اصلی مقابله با تهدیدات سایبری را چه ارکانی تشکیل می‌دهد؟
 از دو رکن مدیریت و موارد فنی تشکیل شده است. ارکان مدیریتی و فنی هم شامل پرورش نیروهای انسانی متخصص، تدوین راهبردهای امنیتی و ارتقای نرم افزار، مغزافزار و سخت افزارهای حوزه امنیت است. البته در این میان نباید اتخاذ تدابیر پیشگیرانه و راه‌اندازی مرکز آموزش مجازی و خودکفایی کشور در طراحی متدولوژی فناورانه، کنترل و رصد حملات و تهدیدات سایبری را فراموش کرد، چرا که این موارد باید در رأس امور قرار بگیرند.
در مسیر حرکت امنیت سایبری، سازمان فناوری اطلاعات، اصلاحاتی را انجام داده است. درباره این اصلاحات توضیح می‌دهید که چه روش و تکنیک‌هایی را اجرایی کرده‌اید؟
سازمان فناوری اطلاعات ایران برای ارتقای فرهنگ امنیت کاربران و طراحان حوزه‌های فناوری اطلاعات دوره‌های آموزشی برگزار می‌کند. از سوی دیگر سیستم مدیریتی امنیت اطلاعات ISMS را طراحی و اجرایی کرده است. با مشارکت سازمان ملی استاندارد ایران، بومی‌سازی استانداردهای تخصصی این حوزه را تدوین و تعامل و ارتباط مؤثری را با نمایندگان فنی سازمان و دستگاه‌های اجرایی کشور در حوزه امنیت برقرار کرده تا روند حرکت کشور را در حوزه امنیت سایبری بهبود بخشد. البته باید گفت اقدام‌هایی که امروز در حوزه امنیت سایبری انجام می‌شود، بیشتر بر اساس پیش‌بینی‌های فنی ارزیابی مخاطرات و شناسایی آسیب‌پذیری و نقاط ضعف بالقوه برنامه‌ریزی شده است. دیگر امروزه نمی‌توان منتظر بروز حملات و انجام اقدام‌های اصلاحی و پیشگیرانه ماند، بلکه در شرایط عادی باید به فکر مدیریت بحران و استقرار طرح‌های بازیافتی پس از فاجعه و تداوم خدمات‌رسانی بود. بر این اساس روش‌ها و تکنیک‌های امروزی نسبت به سابق پیشرفته‌تر و پیچیده‌تر شده است. به‌هر حال با برداشتن گام‌های اصلی که عنوان شد، می‌توان باعث امن‌سازی فضای سایبری شد ولی مهم این است که میان اقدام‌ها و هدفگرا بودن فرایندهای امنیت، هم‌افزایی وجود داشته و مطابق با سناریو و راهبردهای کلان این حوزه باشد تا در زمان وقوع حملات از اطلاعات و داده‌ها بخصوص داده‌های شخصی کاربران و حریم خصوصی آنان محافظت کنیم.
به رعایت ملاحظات و الزامات امنیت سایبری امنیتی اشاره کردید دراین باره توضیح می‌دهید؟
الزامات امنیتی شامل موارد بسیاری است؛ به‌عنوان مثال باید از برنامه‌های کاربردی استفاده کرد. شبکه‌های محلی را امن‌سازی کرد. آزمون‌های نفوذپذیری منظم دوره‌ای انجام شود. آسیب پذیرهای بحرانی شناسایی و رفع شود. نرم افزارها به‌روزرسانی شوند. به وصله‌های امنیتی توجه شود. دسترسی‌ها کنترل و مدیریت شوند. از رمزهای عبور با ساختار پیچیده و نرم افزارهای بومی استفاده شود و... مهمتر اینکه دستگاه‌ها باید از محصولات و خدمات شرکت‌های دارای مجوز و پروانه معتبر که لیست آنها در سایت سازمان فناوری اطلاعات درج شده استفاده کنند.
چه نوع استانداردهای فنی و مدیریتی در امنیت سایبری در کل کشور باید رعایت شود؟
 یکی از مهم‌ترین استانداردها، استانداردهای امنیتی خانواده ایزو 27000، بخصوص ایزو 27001 (سیستم مدیریت امنیت اطلاعات)، استانداردهای مدیریت مخاطرات و به‌ روش‌ها و متدولوژی‌های امنیت است. البته باید گفت که با استقرار تنها یک استاندارد  یا صرفاً با استفاده از یک روش و یا یک ابزار خاص مثل آنتی ویروس، نمی‌توان امنیت سایبری را در کل سامانه‌ها برقرار کرد. بنابراین باید در این میان، به برقراری امنیت در تمام اجزای شبکه توجه کرد.
برای ارتقای رتبه وضعیت امنیت سایبری کشورمان در منطقه و جهان چه مواردی باید در دستور کار قرار بگیرد؟
برای پایداری این روند و ارتقای بیشتر نیاز به عزم ملی و همکاری بیشتر دستگاه‌های اجرایی در فضای تولید و تبادل اطلاعات داریم، چرا که بدون همکاری سازمان‌ها و دستگاه‌های اجرایی ارتقا ممکن نیست. دستگاه‌های اجرایی باید استانداردهای حوزه امنیت مانند ایزو 27001 را برای پیاده‌سازی سیستم مدیریت امنیت اطلاعات در دستگاه خود مستقر کنند. افرادی که در حوزه امنیت سایبری فعالیت می‌کنند باید دانش تخصصی خود را به‌رورزسانی کنند تا ضریب تاب‌آوری امنیت سایبری در کشور افزایش یابد و خسارت ناشی از حملات تعدیل شود. از سوی دیگر تمام کاربران حقیقی و حقوقی فضای سایبری، طراحان و توسعه دهندگان سامانه‌ها به همراه پشتیبانی کننده‌ها نیاز است که ملاحظات و الزامات امنیت اطلاعات مانند دستورالعمل‌ها و الزامات امنیتی پورتال‌ها، مراکز داده و سایر الزاماتی را که بیشتر آنها در زمان استقرار سیستم مدیریت امنیت مختص هر سازمانی تدوین می‌شود به‌صورت جدی رعایت کنند تا شاهد بلوغ در این حوزه و کاهش آسیب پذیری‌های احتمالی باشیم و بتوانیم رتبه خود را در جهان و منطقه ارتقا دهیم.