چاره امنیت کسبوکارهای آنلاین در مقابل هکرها چیست؟
در مدت کوتاهی اپلیکیشن هفهشتاد، تپسی و اطلاعات برخی شرکتهای بیمه هک شدهاند. بر اساس اخبار حتی بعضی صرافیهای رمزارزی نیز تهدید به هک اطلاعاتی شدهاند.
به گزارش ایران دکونومی، در مورد تپسی و به اعلام خود این سازمان، میدانیم که هکرها از این سازمان درخواست ۳۵۰ هزار دلار کردهاند و مدعی هستند اطلاعات ۶ میلیون راننده و بیش از ۲۷ میلیون مسافر که شامل نام و نام خانوادگی و کدملی بوده است، هک کردهاند. همچنین اطلاعات ۱۳۶میلیون سفر و برخی سورس کدهای محصولات تپسی در لیست اطلاعات سرقت شده آنها قرار گرفته است.
این حجم از لیک اطلاعات زنگ خطری است برای کسبوکارهای اقتصاد دیجیتال کشور؛ کارنگ با بهناز آریا (مسئول ﻛﺎرﮔﺮوه آﻣﻮزش ﻛﻤﻴﺴﻴﻮن افتا)، صادق فرامرزی (نایبرئیس نصر تهران) و شاهین نورصلاحی، مشاور و طراح سیستمهای پیشرفته علم و فناوری، گفتوگو کرده است تا ضمن بررسی ابعاد موضوع به ارائه راهحلی برای بعد از رخدادهای امنیتی پرداخته شود.
در این گفتوگو بهناز آریا و صادق فرامرزی به طور مشترک به اقدامات پیشگیرانه و لزوم وجود بیمه سایبری در اینگونه موارد اشاره کردند و شاهین نورصلاحی نیز ضمن اشاره به این موضوع که در این وسعت از حملات سایبری کاری از دست سازمانها جز انتظار بر نمیآید راهحل را اینگونه ارائه داد: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسی شده چاره اصلی کار است.»
ساخت فرهنگ امنیت سایبری در جامعه
بهناز آریا، رئیس ﻛﻤﻴﺴﻴﻮن افتای نصر تهران در پاسخ به این سوال که بعد از یک رخداد امنیتی چه میتوان کرد، گفت: «آن چه که بیشتر در این حوزه مطرح است اقدامات پیشگیرانه است. آسیبپذیریها و تهدیدها باید از پیش شناسایی شوند و برای آنها راهکاری ارائه شود. البته که با هرگونه اقدامات پیشگیرانه، رخدادهای امنیتی باز هم اتفاق میافتند اما بعد از افتادن اتفاق مجموعههایی که ستاد بحران و cert دارند فعال میشوند و ریشه آسیبپذیری شناسایی میشود.»
او در خصوص ریشهیابی مشکلات امنیتی گفت: «در اینجا باید ریشه اتفاق تحلیل و بررسی شود و در نهایت در اصلاح آن کوشش شود. ممکن است که عوامل مختلفی در یک رخداد امنیتی دخیل باشند. ممکن است که عامل یک فرد داخلی باشد و یا اینکه آسیبپذیری در سیستمی و شبکهای و … باشد همه این موارد باید بررسی شود و اقدام اصلاحی در خصوص آنها صورت بگیرد. علاوهبر اقدامات اصلاحی باید دائماً نظارتهای دورهای اتفاق بیفتد. برای مثال اگر یک بار امنسازی صورت گرفت نباید خیالمان راحت باشد که اقدام لازم انجام گرفته؛ باید دائماً عملیات امنسازی و نظارت مانند تست نفوذ، باگبانتی و غیره به صورت دورهای تکرار شود، زیرا همواره آسیبپذیریهای جدید به وجود میآید.»
او در ادامه تاکید کرد: «مجموعهها مخصوصاً مجموعههایی که خدمات عمومی انجام میدهند حتماً باید برنامهریزی داشته باشند و برنامههایشان را دائماً به صورت مانور پیادهسازی کنند.»
آریا در خصوص مسئولیتپذیری در مقابل دادههای کاربران گفت: «علاوهبر اینها داراییهای اطلاعاتی داراییهای بسیار مهمی هستند. مسئولیت این داراییها علاوه بر اینکه به عهده آن زیرساختعمومی است، باید خود صاحب دارایی هم در ارائه اطلاعات دقت کند که چه اطلاعاتی را در اختیار مجموعه قرار میدهد. یعنی افراد استفاده کننده از خدمات نیز حداقل اطلاعات را در اختیار مجموعهها بگذارند و دسترسی حداقلی به اپلیکیشنها بدهند و همچنین خود اپلیکیشنها نیز باید قابلیت پاک کردن سوابق و تاریخچه و دادن دسترسی و … را به کاربران خود بدهند که کاربران نیز بتوانند در امنسازی سهم خود را انجام دهند.»
او در ادامه توضیح داد که نقطه ورود و آسیب پذیری باید اصلاح شود و تأکید کرد رخدادهای امنیتی اخیر بار اول نیست که اتفاق میافتد و بار آخر هم نخواهد بود و این اتفاق در همه جای جهان نیز وجود دارد و در این شرایط به بیمه امنیت سایبری نیازمندیم؛ آریا در ادامه گفتوگو با کارنگ از بیمه امنیت سایبری و فرهنگ امنیت سایبری گفت: «یکی از بزرگترین مواردی که باید به آن توجه کنیم فرهنگ امنیت سایبری است تا تکتک افراد جامعه نگاه امنیتی و سایبری نسبت به دادههای خود داشته باشند و اطلاعات خود را به صورت حداقلی در اختیار صاحبان سرویسهای عمومی قرار دهند. علاوه بر این خود صاحبان سرویسهای عمومی باید به صورت حداقلی از کاربر اطلاعات بگیرند زیرا آنها مسئولیت زیادی در برابر این اطلاعات دارند و باید پاسخگو باشند.»
به بیمه امنیت سایبری نیازمندیم
آریا در بخش دیگری از صحبتهای خود تأکید کرد: «ما اخیراً در خصوص بیمه سایبری با حاکمیت در حال تعاملیم و این به آن معنا است که هم دادهها بیمه شوند و هم اینکه آن زیرساخت بیمهپذیر باشد. بیمهپذیر شدن یعنی میزان امنیت کافی را برای زیرساخت خود فراهم کند که امنیت مورد نیاز ایجاد شود. این روزها باید امنیت در رأس استراتژیهای کسبوکارها قرار گیرد و رشد کند در این راه نیز هم سرویسدهندگان هم دریافتکنندگان سرویس و همچنین حاکمیت نقش دارند. به نظر من به صنعت افتا در کشور ما به درستی پرداخته نمیشود و رشد لازم اتفاق نیفتاده است»
در ادامه او در خصوص چگونگی یافتن سرمنشأ هکهای اطلاعاتی توضیح داد که رشتهای وجود دارد به نام فارنزیک که در زمینه جرمشناسی سایبری است و اگر هکر ردپایی از خود به جا گذاشته باشد میتوان او را پیدا کرد. او در توضیحاتی بیشتر بیان کرد که البته یافتن هکر در نهایت کمکی به ما نمیکند زیرا تعداد هکرها بسیار زیاد است و آسیبپذیریهای امنیتی هر روز به شکلی دیگر نمود پیدا میکنند.
لیک اطلاعاتی در سطح بحرانی است
صادق فرامرزی، نایبرئیس نصر تهران، در حساب توییتری خود به حجم بالای لیک اطلاعاتی واکنش نشان داده و گفته بود: «حجم اطلاعات لیک شده بیش از کافی هستند برای عملیات ساده فیشینگ از طریق مهندسی اجتماعی، لذا باید خیلی سریع کمیتههای بحران در صنف، بانک مرکزی و وزارت مربوطه تشکیل شده روشهای مقابله بررسی و اطلاعرسانی به شکلی انجام شود که برای افراد عادی نیز ایجاد حساسیت و آگاهی شود.»
او در مقدمه صحبتهایش گفت: «اساساً هر اتفاقی که ایجاد اختلال در آسایش روانی و مالی مردم کند به خصوص در وسعت ملی، از جنس بحران تلقی میشود. لیک دادهها نیز وقتی از حدی فراتر میرود در همین دسته قرار میگیرد. ما خیلی نگران کلاهبرداری از طریق مهندسی اجتماعی بعد از بحران هستیم وگرنه شاید در خصوص دادهها باید گفت نمیتوان مستقیما ازخیلی از آنها استفاه سوء کرد. به عبارتی یک متخلف از طریق مهندسی اجتماعی میتواند با ترکیب دادهها کاربران را قانع کند که از مرکز معتبری تماس گرفته یا مراجعه میکند و اقدام به کلاهبرداری کند.»
او درباره چگونگی مقابله با این پدیده گفت: «در چنین موقعیتهایی به دو صورت عمل میکنیم. یکی این که این اتفاق از اساس نیفتد و یا به این سادگی نباشد و اینکه بعد از رخداد واقعه باید چه کرد؟ در حوزه امنیت، کشور نهادهای مشخص و مسئولی در این حوزه وجود دارد ولی با همه این موارد باز هم این اتفاقات میافتد. وقتی حجم این موارد از یک سطحی عبور میکند به معنای آن است که در جایی سهلانگاری صورت گرفته است.»
او در ادامه بیان کرد: «برخی از موارد لیک اطلاعاتی در شرکتهای بزرگ خصوصی اتفاق افتاده است. البته انصافاً نوع اطلاع رسانی صادقانه بهترین اقدام تپسی در حوزه اطلاعرسانی بود که نکته درخشانی است که کمتر دیدهایم، اما از اصل ماجرا نمیتوان عبور کرد.»
حاکمیت نباید به بهانه امنیت ورود قهری به بخش خصوصی داشته باشد
فرامرزی افزود: « نکتهای که باید به آن دقت کرد این است که اتفاقاتی از این دست نباید باعث ورود قهری حاکمیت در بخش خصوصی و در حوزه امنیت بشود بلکه اکنون رگتگهای تخصصی حوزه امنیت مورد نیاز هستند و ما نیز مانند تمام دنیا نیاز به نهادهایی داریم که استانداردهای امنیتی را تهیه کنند و شرکتها متعهد به اجرای آن باشند، آدیت اجرای درست هم بر عهده همین نهادهای خصوصی خواهد بود، در این حالت کاربر حق انتخاب دارد که از شرکتی که سرتیفای شده است استفاده کند یا نه و ریسک ناشی از انتخاب را خود بپذیرد نه اینکه تبدیل به معضل ملی شود. بهطور مثال شرکتهای psp در ایران که رگولاتور آنها شاپرک است که صفر تا صد امنیت را به شرکتها دیکته میکند و با برنامه ریزی و بدون برنامه ریزی آدیت میکند نمونه قابل مطالعهای هستند. سازمانهای خدماتی بزرگ ما نیز باید رویه مطابق استانداردهای جهانی را الگو قرار دهند.»
او در خصوص اقدام نظام صنفی در این موارد گفت: «نظام صنفی در چنین مواردی باید از بخش خصوصی حمایت کند و مانع این شود که بیشتر آسیب ببینند. در این زمان باید اطلاع رسانی دقیق انجام شود مخصوصا آنهایی که اطلاعاتشان در این لیک ها وجود دارد.»
در ادامه فرامرزی در خصوص مسئولیت پلتفرمها در مقابل هک شدن اطلاعات کاربرانشان گفت: «به نظر من با ساختن پیامها و فیلمهای آموزشی برای تمام مردم و در هر سن و سالی آموزش صورت بگیرد تا مهندسی اجتماعی به قصد کلاهبرداری صورت نگیرد که این حداقل اقدام است. از سویی دیگر جای رگتک ها در مقابل چنین اتفاقاتی خالیست. انجام هشدارهای لازمه به نهادهای مسئول و قبول بخشی از مسئولیت حتی در حوزه رگولاتوری از کارکردهای صنف است.»
فرامرزی نیز مانند آریا به بحث بیمه سایبری اشاره کرد و این مورد را یکی از موارد جلوگیری از ایجاد رخدادهای امنیتی دانست. او دلیل این موضوع را موظف شدن کسبوکارها در عملکردشان در خصوص نگهداشت اطلاعات کاربران با امنیت بیشتر اعلام کرد. به اعتقاد او شرکتی که فعالیت خود را بیمه میکند به ناچار خیلی از بایدها را با حساسیت بیشتری پیگیری خواهد کرد.
رابط مستقیم پاسخ به حمله سایبری و محدوده حمله
شاهین نورصلاحی، مشاور و طراح سیستمهای پیشرفته علم و فناوری در خصوص چگونگی برخورد با حملات سایبری گفت: «نحوه پاسخ به یک حمله سایبری رابطه مستقیمی با برآورد ما از scope (محدوده) آن حمله دارد.»
او ادامه داد: «به طور مثال، وقتی برق منزل شما قطع میشود و به خیابان نگاه میکنید، در صورتی که برق خانههای مجاور شما وصل باشد، بی درنگ به سراغ فیوز کنتور خودتان میروید و تدابیر لازم را تدارک میبینید، ولی در صورتی که کل شهر در خاموشی فرو رفته باشد، کاری بیشتر از انتظار از شما بر نمیآید، صرفاً به این دلیل که شما از محدوده زیر ساختی دچار مشکل هستید.»
نورصلاحی در ادامه صحبتهایش گفت: «این همان نکته متمایز کننده حملات گسترده اخیر به فضای سایبری کشور، از سایر حملات پیشین است. متاسفانه به این دلیل که در پژوهش، نوآوری و پیاده سازی زیر ساختهای متناظر با انواع حملات شناخته شده یا نوین مجرمان سایبری تعلل شده است، در نتیجه محدوده گسترده این حمله باعث شده است کاری از سازمانها و شرکتهای قربانی بر نیاید و صرفا در انتظار راه حل جامع باقی بمانند.»
او در ادامه با این سوال ادامه داد: «اما ماهیت این زیر ساخت چیست؟» و افزود: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسی شده (به همراه امکان بهروزرسانی دائمی) در حوزه امنیت سایبری که دامنه گستردهای از عملیات پایه همچون طراحی اتاق سرورهای سازمانی، سیاست های مدیریت شبکه تا اصول رمزنگاری داده ها و تنظیم فایروال را شامل شود.
از آنجایی که هدف عمده حملات سایبری به صورت مستقیم یا غیر مستقیم برای دست پیدا کردن به منابع مالی است، به منظور تحقق اصول secure by design، بانک مرکزی به عنوان رگولاتور شبکه بانکی، بهترین کاندیدا برای میزبانی از این محیط پژوهشی خواهد بود.»
منبع: کارنگ