هر اطلاعاتی نباید در شبکه‌های اجتماعی رد و بدل شود/ ضرورت حفاظت از زیرساخت‌های ملی در برابر حملات سایبری

به گزارش خبرنگار گروه علم و فناوری خبرگزاری آنا، مریم اویسی- هرچند امروزه فناوری اطلاعات نقاط قوت و مزایای فراوانی دارد که توانسته خدمات بی‌شماری ارایه دهد اما در صورتی که شبکه‌های اجتماعی و نرم افزارهای اطلاعاتی امنیت لازم را نداشته باشند، پیامدها و آسیب‌های زیادی به وجود می‌آورند بنابراین امنیت اطلاعات برای پیشگیری از حملات سایبری امروزه از اهمیت زیادی برخوردار است.

احمد صالحی، دکترای مهندسی برق، پژوهشگر برتر وزارت علوم تحقیقات و فناوری در سال‌های 80 و 90 در این خصوص به آنا می‌گوید: امنیت بر سه پایه "محرمانگی"، "اصالت" و "در دسترس بودن" استوار است. زمانی که می‌گوییم امنیت غذایی نداریم یعنی غذا گیر نمی‌آید یا قلابی است. زمانی می‌گوییم امنیت پزشکی نداریم که پزشک گیر نمی‌آید یا مواد دارویی تقلبی است. امنیت شبکه‌های اجتماعی هم به همین منوال است. شبکه‌های اجتماعی، شبکه‌هایی هستند که مردم گروه‌هایی را ایجاد و اطلاعات‌شان را در آنجا به اشتراک می‌گذارند. اگر این شبکه‌ها امن نباشد یعنی محرمانگی اطلاعاتی که در این شبکه‌ها رد و بدل می‌شود، مورد تردید است. امکان دارد اطلاعات رد و بدل شده توسط افراد غیر مجاز دیده شود. این یک اشکال بزرگ است یعنی سه تا اصل بهم ریخته است. از سوی دیگر امکان دارد این اطلاعات رد و بدل شده به صورت ابزارهای اقتصادی مورد استفاده برخی از سازمان‌ها قرار بگیرد. بر فرض شما با دوست‌تان در گروه اجتماعی که تشکیل داده‌اید، یک سری اطلاعات وعادت‌های روزانه‌تان را به اشتراک می‌گذارید مثلا عنوان می‌کنید به کدام مرکز خرید می‌روید یا چه چیزی را می‌خرید، این اطلاعات امکان دارد جمع آوری شود و مورد استفاده سازمان‌های اقتصادی قرار بگیرند.

وی معتقد است: شبکه‌های اجتماعی هرچند خیلی مفید هستند اما می‌توانند خطراتی را هم برای مردم به ویژه جوانان به همراه داشته باشند زیرا شبکه‌های اجتماعی از انتها به انتها رمز نگاری شده‌اند. تصاویر، متن‌ها و صوت‌ها همگی در شبکه‌های اجتماعی رمز گذاری شده‌اند. در پاره‌ای از موارد امکان دارد این تصاویر و اطلاعات دردسرساز شود و مشکلاتی را به ویژه برای جوانان ایجاد کنند. هرچند مردم عادی دسترسی به این اطلاعات را ندارند اما سازمان‌ها به این اطلاعات دسترسی دارند. بعضی از کشورها هنگام اخذ گرین کارت از مردم می‌پرسند شما جزو کدام شبکه‌های اجتماعی هستید. آنها می‌توانند تمام اطلاعات رد و بدل شده چند سال گذشته شما را رمز نگاری کنند.

بزرگترین مشکل ایران زنجیره تامین است

صالحی می‌گوید: امنیت اطلاعات یا حملات سایبری همگی با یکدیگر ارتباط دارند. اکنون بزرگترین مشکل ما در ایران، زنجیره تامین است. ما یک اصولی را برای امنیت در نظر بگیریم، همه چیز تنها ریاضیات، فرمول، پروتکل‌های استاندارد و رمزنگاری نیست. زنجیره تامین خود بزرگترین مشکل امنیتی است. اگر شما مشاهده کنید طی 5 الی 6 ماه اخیر چقدر به دلیل این مساله صدمه دیده‌ایم. یکی از ناوهای جنگی‌مان غرق شد زیرا یک قطعه از آن کار نکرد. مشخص نیست این قطعه از کجا خریده شده یا از کجا آورده‌اند که معکوس کار کرده است. برفرض اِستاکس‌نِت دور یک سانتریفیوژی که مثلا دورش 1400 است را یک مرتبه به دو هزار دور و پس از آن به شش دور رساند که باعث انفجار سانتریفیوژ شد. همچنین قطعات هواپیمای F4 در بازار آزاد با چند برابر قیمت خریداری می‌شود. در این قطعات ممکن است قطعه‌ای کار گذاشته شود که هواپیما سقوط کند.

اکنون بزرگترین مشکل برای ما حملات سایبری است. این حملات سایبری البته به صورت خیلی محدود انجام می‌شود یعنی شبکه‌ها و زیرساخت‌های حیاتی ما را مورد هدف قرار نمی‌دهند. اگر این شبکه‌ها و زیرساخت‌ها مورد هدف قرار گیرد، جنگ به پا می‌شود. اگر شبکه‌های مخابراتی و برق ما مورد حملات قرار بگیرد، صدمات جبران ناپذیری را متحمل خواهیم شد. در این بین شبکه‌های برق از اهمیت زیادتری برخوردار هستند زیرا اکنون تعداد زیادی کارخانه برق با فازهای مختلف وجود دارد. اگر این حملات یک مرتبه متوجه شبکه‌های برق شود و ولتاژ فازها یکی نباشد، همه چیز منفجر می‌شود.

رادارها و سویچ‌های شبکه‌های ارتباطی و مخابراتی نیز هیچکدام‌شان برای ایران نیست. ما نمی‌دانیم داخل آنها چه چیزی کار شده است. اطلاعات را به کجاها منتقل می‌کنند بنابراین مساله امنیت اطلاعات خیلی موضوع مهم است و زنجیره تامین باید به صورت اصولی هنگام خرید و گذاشتن قطعات رعایت شود. خیلی مهم است که ما چه چیزی می‌خریم، از کجا می‌خریم و کجا نصب می‌کنیم. اکنون امکان دارد این وسایل، قطعات یا نرم افزارها از سوی کارخانه‌های مختلف خریداری و نصب شود برای روزی که دشمن بخواهد حملات درست و حسابی انجام دهد.

هر قطعه یا نرم افزاری نباید خریداری شود

صالحی می‌گوید: چندی پیش نیز شاهد حملات سایبری به زندان‌ها و پمپ بنزین‌ها بوده ایم. این مساله نیز به زنجیره تامین بر می‌گردد یعنی چه کسانی این دوربین‌ها و نرم افزارها را خریداری کرده بودند. اکنون برای حفاظت از زیرساخت‌های ملی در برابر حملات سایبری بیشتر مسایل مدیریتی مطرح است. یکی از مهمترین آنها بحث زنجیره تامین است. دشمن قطعات و نرم افزارهای با قیمت گران‌تر به مشتری خود در ایران عرضه می‌کند. مشتریان هم تصور می‌کنند بهترین و با کیفیت‌ترین قطعه را خریداری کرده‌اند. چک کردن این ابزارها و نرم افزارها بسیار سخت و دشوار است، تخصص خاصی نیاز دارد. پس از خریداری این قطعات یا نرم افزارهای خاص، سیستم‌شان افت امنیتی پیدا می‌کند. بعدها در موقعیت دیگر حملات سایبری انجام می‌شود. هرچند هم اکنون هر سازمانی برای خود حصار امنیتی درست کرده است. گیت‌های امنیتی برای خروج و ورود افراد می‌گذارند، اجازه ورود یا خروج هر اطلاعاتی را نمی‌دهد اما بازهم مکانیزم‌هایی وجود دارد که می‌توانند به آن فایروال و گیت‌های امنیتی نفوذ پیدا کنند. این مباحث بیشتر فنی است، ویژه عموم نیست بنابراین کسانی که مسوول هستند باید حداقل مسایل مدیریت امنیت را که شامل مسایل زنجیره تامین می‌شود را رعایت کنند. هر قطعه یا نرم افزاری را نخرند یا نصب نکنند زیرا تقریبا همه آنها حفره امنیتی دارند. آنها مانند اسب تروا (برنامه نفوذی از نوع بدافزار) عمل می‌کنند.

انتهای پیام/