سرویس اقتصاد دیجیتال 7 دقیقه 14 شهریور 1402

چاره امنیت کسب‌وکارهای آنلاین در مقابل هکرها چیست؟

در مدت کوتاهی اپلیکیشن‌ هف‌هشتاد، تپسی و اطلاعات برخی شرکت‌های بیمه هک شده‌اند. بر اساس اخبار حتی بعضی صرافی‌های رمزارزی نیز تهدید به هک اطلاعاتی شده‌اند.

به گزارش ایران دکونومی، در مورد تپسی و به اعلام خود این سازمان، می‌دانیم که هکرها از این سازمان درخواست ۳۵۰ هزار دلار کرده‌اند و مدعی هستند اطلاعات ۶ میلیون راننده و بیش از ۲۷ میلیون مسافر که شامل نام و نام خانوادگی و کدملی بوده است، هک کرده‌اند. همچنین اطلاعات ۱۳۶میلیون سفر و برخی سورس کدهای محصولات تپسی در لیست اطلاعات سرقت شده آن‌ها قرار گرفته است.

این حجم از لیک اطلاعات زنگ خطری است برای کسب‌وکارهای اقتصاد دیجیتال کشور؛ کارنگ با بهناز آریا (مسئول ﻛﺎرﮔﺮوه آﻣﻮزش ﻛﻤﻴﺴﻴﻮن افتا)، صادق فرامرزی (نایب‌رئیس نصر تهران) و شاهین نورصلاحی، مشاور و طراح سیستم‌های پیشرفته علم و فناوری، گفت‌وگو کرده است تا ضمن بررسی ابعاد موضوع به ارائه راه‌حلی برای بعد از رخدادهای امنیتی پرداخته شود.

در این گفت‌وگو بهناز آریا و صادق فرامرزی به طور مشترک به اقدامات پیشگیرانه و لزوم وجود بیمه سایبری در اینگونه موارد اشاره کردند و شاهین نورصلاحی نیز ضمن اشاره به این موضوع که در این وسعت از حملات سایبری کاری از دست سازمان‌ها جز انتظار بر نمی‌آید راه‌حل را اینگونه ارائه داد: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسی شده چاره اصلی کار است.»

فهرست محتوا

ساخت فرهنگ امنیت سایبری در جامعه

بهناز آریا، رئیس ﻛﻤﻴﺴﻴﻮن افتای نصر تهران در پاسخ به این سوال که بعد از یک رخداد امنیتی چه می‌توان کرد، گفت: «آن چه که بیشتر در این حوزه مطرح است اقدامات پیشگیرانه است. آسیب‌پذیری‌ها و تهدید‌ها باید از پیش شناسایی شوند و برای آن‌ها راه‌کاری ارائه شود. البته که با هرگونه اقدامات پیشگیرانه، رخدادهای امنیتی باز هم اتفاق می‌افتند اما بعد از افتادن اتفاق مجموعه‌هایی که ستاد بحران و cert دارند فعال می‌شوند و ریشه آسیب‌پذیری شناسایی می‌شود.»

او در خصوص ریشه‌یابی مشکلات امنیتی گفت: «در اینجا باید ریشه اتفاق تحلیل و بررسی شود و در نهایت در اصلاح آن کوشش شود. ممکن است که عوامل مختلفی در یک رخداد امنیتی دخیل باشند. ممکن است که عامل یک فرد داخلی باشد و یا اینکه آسیب‌پذیری در سیستمی و شبکه‌ای و … باشد همه‌ این موارد باید بررسی شود و اقدام اصلاحی در خصوص آن‌ها صورت بگیرد. علاوه‌بر اقدامات اصلاحی باید دائماً نظارت‌های دوره‌ای اتفاق بیفتد. برای مثال اگر یک بار امن‌سازی صورت گرفت نباید خیالمان راحت باشد که اقدام لازم انجام گرفته؛ باید دائماً عملیات امن‌سازی و نظارت مانند تست نفوذ، باگ‌بانتی و غیره به صورت دوره‌ای تکرار شود، زیرا همواره آسیب‌پذیری‌های جدید به وجود می‌آید.»

او در ادامه تاکید کرد: «مجموعه‌ها مخصوصاً مجموعه‌هایی که خدمات عمومی انجام می‌دهند حتماً باید برنامه‌ریزی داشته باشند و برنامه‌هایشان را دائماً به صورت مانور پیاده‌سازی کنند.»

آریا در خصوص مسئولیت‌پذیری در مقابل داده‌های کاربران گفت: «علاوه‌بر این‌ها دارایی‌های اطلاعاتی دارایی‌های بسیار مهمی هستند. مسئولیت این دارایی‌ها علاوه بر اینکه به عهده آن زیرساخت‌عمومی است، باید خود صاحب دارایی هم در ارائه اطلاعات دقت کند که چه اطلاعاتی را در اختیار مجموعه قرار می‌دهد. یعنی افراد استفاده کننده از خدمات نیز حداقل اطلاعات را در اختیار مجموعه‌ها بگذارند و دسترسی حداقلی به اپلیکیشن‌ها بدهند و همچنین خود اپلیکیشن‌ها نیز باید قابلیت پاک کردن سوابق و تاریخچه و دادن دسترسی و … را به کاربران خود بدهند که کاربران نیز بتوانند در امن‌سازی سهم خود را انجام دهند.»

او در ادامه توضیح داد که نقطه ورود و آسیب پذیری باید اصلاح شود و تأکید کرد رخدادهای امنیتی اخیر بار اول نیست که اتفاق می‌افتد و بار آخر هم نخواهد بود و این اتفاق در همه جای جهان نیز وجود دارد و در این شرایط به بیمه امنیت سایبری نیازمندیم؛ آریا در ادامه گفت‌وگو با کارنگ از بیمه امنیت سایبری و فرهنگ امنیت سایبری گفت: «یکی از بزرگ‌ترین مواردی که باید به آن توجه کنیم فرهنگ امنیت سایبری است تا تک‌تک افراد جامعه نگاه امنیتی و سایبری نسبت به داده‌های خود داشته باشند و اطلاعات خود را به صورت حداقلی در اختیار صاحبان سرویس‌های عمومی قرار دهند. علاوه بر این خود صاحبان سرویس‌های عمومی باید به صورت حداقلی از کاربر اطلاعات بگیرند زیرا آن‌ها مسئولیت زیادی در برابر این اطلاعات دارند و باید پاسخگو باشند.»

به بیمه امنیت سایبری نیازمندیم

آریا در بخش دیگری از صحبت‌های خود تأکید کرد: «ما اخیراً در خصوص بیمه سایبری با حاکمیت در حال تعاملیم و این به آن معنا است که هم داده‌ها بیمه شوند و هم اینکه آن زیرساخت بیمه‌پذیر باشد. بیمه‌پذیر شدن یعنی میزان امنیت کافی را برای زیرساخت خود فراهم کند که امنیت مورد نیاز ایجاد شود. این روزها باید امنیت در رأس استراتژی‌های کسب‌وکارها قرار گیرد و رشد کند در این راه نیز هم سرویس‌دهندگان هم دریافت‌کنندگان سرویس و همچنین حاکمیت نقش دارند. به نظر من به صنعت افتا در کشور ما به درستی پرداخته نمی‌شود و رشد لازم اتفاق نیفتاده است»

در ادامه او در خصوص چگونگی یافتن سرمنشأ هک‌های اطلاعاتی توضیح داد که رشته‌ای وجود دارد به نام فارنزیک که در زمینه جرم‌شناسی سایبری است و اگر هکر ردپایی از خود به جا گذاشته باشد می‌توان او را پیدا کرد. او در توضیحاتی بیشتر بیان کرد که البته یافتن هکر در نهایت کمکی به ما نمی‌کند زیرا تعداد هکر‌ها بسیار زیاد است و آسیب‌پذیری‌های امنیتی هر روز به شکلی دیگر نمود پیدا ‌می‌کنند.

لیک اطلاعاتی در سطح بحرانی است

صادق فرامرزی، نایب‌رئیس نصر تهران، در حساب توییتری خود به حجم بالای لیک اطلاعاتی واکنش نشان داده و گفته بود: «حجم اطلاعات لیک شده بیش از کافی هستند برای عملیات ساده فیشینگ از طریق مهندسی اجتماعی، لذا باید خیلی سریع کمیته‌های بحران در صنف، بانک مرکزی و وزارت مربوطه تشکیل شده روش‌های مقابله بررسی و اطلاع‌رسانی به شکلی انجام شود که برای افراد عادی نیز ایجاد حساسیت و آگاهی شود.»

او در مقدمه صحبت‌هایش گفت: «اساساً هر اتفاقی که ایجاد اختلال در آسایش روانی و مالی مردم کند به خصوص در وسعت ملی، از جنس بحران تلقی می‌شود. لیک داده‌ها نیز وقتی از حدی فراتر می‌رود در همین دسته قرار میگیرد. ما خیلی نگران کلاهبرداری از طریق مهندسی اجتماعی بعد از بحران هستیم وگرنه شاید در خصوص داده‌ها باید گفت نمی‌توان مستقیما ازخیلی از آن‌ها استفاه سوء کرد. به عبارتی یک متخلف از طریق مهندسی اجتماعی می‌تواند با ترکیب داده‌ها کاربران را قانع کند که از مرکز معتبری تماس گرفته یا مراجعه میکند و اقدام به کلاهبرداری کند.»

او درباره چگونگی مقابله با این پدیده گفت: «در چنین موقعیت‌هایی به دو صورت عمل می‌کنیم. یکی این که این اتفاق از اساس نیفتد و یا به این سادگی نباشد و اینکه بعد از رخداد واقعه باید چه کرد؟ در حوزه امنیت، کشور نهادهای مشخص و مسئولی در این حوزه وجود دارد ولی با همه این موارد باز هم این اتفاقات می‌افتد. وقتی حجم این موارد از یک سطحی عبور می‌کند به معنای آن است که در جایی سهل‌انگاری صورت گرفته است.»

او در ادامه بیان کرد: «برخی از موارد لیک اطلاعاتی در شرکت‌های بزرگ خصوصی اتفاق افتاده است. البته انصافاً نوع اطلاع رسانی صادقانه بهترین اقدام تپسی در حوزه اطلاع‌رسانی بود که نکته درخشانی است که کمتر دیده‌ایم، اما از اصل ماجرا نمی‌توان عبور کرد.»

حاکمیت نباید به بهانه امنیت ورود قهری به بخش خصوصی داشته باشد

فرامرزی افزود: « نکته‌ای که باید به آن دقت کرد این است که اتفاقاتی از این دست نباید باعث ورود قهری حاکمیت در بخش خصوصی و در حوزه امنیت بشود بلکه اکنون رگ‌تگ‌های تخصصی حوزه امنیت مورد نیاز هستند و ما نیز مانند تمام دنیا نیاز به نهادهایی داریم که استانداردهای امنیتی را تهیه کنند و شرکت‌ها متعهد به اجرای آن باشند، آدیت اجرای درست هم بر عهده همین نهادهای خصوصی خواهد بود، در این حالت کاربر حق انتخاب دارد که از شرکتی که سرتیفای شده است استفاده کند یا نه و ریسک ناشی از انتخاب را خود بپذیرد نه اینکه تبدیل به معضل ملی شود. به‌طور مثال شرکت‌های psp در ایران که رگولاتور آن‌ها شاپرک است که صفر تا صد امنیت را به شرکت‌ها دیکته می‌کند و با برنامه ریزی و بدون برنامه ریزی آدیت می‌کند نمونه قابل مطالعه‌ای هستند. سازمان‌های خدماتی بزرگ ما نیز باید رویه مطابق استانداردهای جهانی را الگو قرار دهند.»

او در خصوص اقدام نظام صنفی در این موارد گفت: «نظام صنفی در چنین مواردی باید از بخش خصوصی حمایت کند و مانع این شود که بیشتر آسیب ببینند. در این زمان باید اطلاع رسانی دقیق انجام شود مخصوصا آنهایی که اطلاعاتشان در این لیک ها وجود دارد.»

در ادامه فرامرزی در خصوص مسئولیت پلتفرم‌ها در مقابل هک شدن اطلاعات کاربرانشان گفت: «به نظر من با ساختن پیام‌ها و فیلم‌های آموزشی برای تمام مردم و در هر سن و سالی آموزش صورت بگیرد تا مهندسی اجتماعی به قصد کلاهبرداری صورت نگیرد که این حداقل اقدام است. از سویی دیگر جای رگ‌تک ها در مقابل چنین اتفاقاتی خالیست. انجام هشدارهای لازمه به نهادهای مسئول و قبول بخشی از مسئولیت حتی در حوزه رگولاتوری از کارکردهای صنف است.»

فرامرزی نیز مانند آریا به بحث بیمه سایبری اشاره کرد و این مورد را یکی از موارد جلوگیری از ایجاد رخدادهای امنیتی دانست. او دلیل این موضوع را موظف شدن کسب‌وکارها در عملکردشان در خصوص نگهداشت اطلاعات کاربران با امنیت بیشتر اعلام کرد. به اعتقاد او شرکتی که فعالیت خود را بیمه می‌کند به ناچار خیلی از بایدها را با حساسیت بیشتری پیگیری خواهد کرد.

رابط مستقیم پاسخ به حمله سایبری و محدوده حمله

شاهین نورصلاحی، مشاور و طراح سیستم‌های پیشرفته علم و فناوری در خصوص چگونگی برخورد با حملات سایبری گفت: «نحوه پاسخ به یک حمله سایبری رابطه مستقیمی با برآورد ما از scope (محدوده) آن حمله دارد.»

او ادامه داد: «به طور مثال، وقتی برق منزل شما قطع می‌شود و به خیابان نگاه می‌کنید، در صورتی که برق خانه‌های مجاور شما وصل باشد، بی درنگ به سراغ فیوز کنتور خودتان می‌روید و تدابیر لازم را تدارک می‌بینید، ولی در صورتی که کل شهر در خاموشی فرو رفته باشد، کاری بیشتر از انتظار از شما بر نمی‌آید، صرفاً به این دلیل که شما از محدوده زیر ساختی دچار مشکل هستید.»

نورصلاحی در ادامه صحبت‌هایش گفت: «این همان نکته متمایز کننده حملات گسترده اخیر به فضای سایبری کشور، از سایر حملات پیشین است. متاسفانه به این دلیل که در پژوهش، نوآوری و پیاده سازی زیر ساخت‌های متناظر با انواع حملات شناخته شده یا نوین مجرمان سایبری تعلل شده است، در نتیجه محدوده گسترده این حمله باعث شده است کاری از سازمان‌ها و شرکت‌های قربانی بر نیاید و صرفا در انتظار راه حل جامع باقی بمانند.»

او در ادامه با این سوال ادامه داد: «اما ماهیت این زیر ساخت چیست؟» و افزود: «پیاده کردن یک سیستم RFC برای دریافت، تدوین و ارائه انواع استانداردهای نوآورانه و کارشناسی شده (به همراه امکان به‌روزرسانی دائمی) در حوزه امنیت سایبری که دامنه گسترده‌ای از عملیات پایه همچون طراحی اتاق سرورهای سازمانی، سیاست های مدیریت شبکه تا اصول رمزنگاری داده ها و تنظیم فایروال را شامل شود.

از آنجایی که هدف عمده حملات سایبری به صورت مستقیم یا غیر مستقیم برای دست پیدا کردن به منابع مالی است، به منظور تحقق اصول secure by design، بانک مرکزی به عنوان رگولاتور شبکه بانکی، بهترین کاندیدا برای میزبانی از این محیط پژوهشی خواهد بود.»

منبع: کارنگ

دیدگاه کاربران