مهمترین چالش امنیت سایبری تعدد مراجع قانونگذاری است

فرحناز سپهری؛ بازار: امنیت سایبری از جمله الزامات مهم برای هر دولت و هر سازمانی است. به طوری که به این منظور بایستی اقدامات زیرساختی و آموزشهای لازم اتخاذ شود. درحالی که به گفته نادر ایرانپور متخصص امنیت شبکه مهمترین چالش در ایران تعدد مراجع قانونگذاری در این زمینه و اتخاذ تصمیمات عمدتا متناقض از سوی آنها است که مخاطبان را دچار سردرگمی کرده و باعث ایجاد فضای مناسبی برای سوء استفاده متخلفان می گردد.

برای آگاهی از چالشها و راهکارها در زمینه امنیت سایبری گفتگویی با نادر ایرانپور انجام داده ایم که در ادامه آمده است.

نادر ایرانپور دکترای مدیریت بازرگانی – DBAو کارشناسی ارشد مدیریت بازرگانی - MBA و لیسانس مهندسی برق و کامپیوتر – سخت افزار دارد . وی بیش از ۲۵ سال تجربه در طراحی و پیاده سازی امنیت اطلاعات و راهکارهای شبکه و بیش از ۱۵ سال تجربه در ارائه آموزش در مباحث شبکه را داراست. در سازمانها و موسسات مهم همچون بانک مرکزی ، پست بانک ایران، وزارت بهداشت شرکت مپنا، شرکت توانیر، ایران خودرو دیزل، وزارت علوم و آموزش عالی، وزارت جهاد کشاورزی، شرکت فولاد خوزستان به عنوان مشاور و طراح و اجرای شبکه امنیت ، مدرس و ارایه دهنده راه حل در حوزه شبکه و امنیت و تجزیه و تحلیل نیازهای شبکه فعالیت داشته است. وی همچنین در مجلات مختلف مقالاتی را به چاپ رسانده و در همایشهای مختلف داخلی و بین المللی شرکت کرده است.

*کدام تهدیدهای سایبری (مانند مهندسی اجتماعی، فیشینگ، باج افزار و غیره) در سال های اخیر رایج تر بوده اند؟ چرا؟
البته به نظر من فیشینگ و حتی باج افزارها را می توان در زمره حملات مهندسی اجتماعی قرار داد و در سالهای اخیر حملات باج افزاری و فیشینگ افزایش زیادی داشته است که دلیل آن مسائل اقتصادی است. مهمترین عامل در انجام هر جرم از جمله جرایم سایبری انگیزه است و عمده انگیزه‌هایی که می‌توان به آنها اشاره نمود مالی و کسب پول، سیاسی، نمایش قدرت و انتقام و تسویه حساب است که انگیزه مالی بیشترین عامل انجام حملات سایبری است.

عامل دیگر در انجام جرایم، هدف حمله است. با توجه به اینکه هدف حملات فیشینگ و باج افزاری عموم افراد حقیقی و حقوقی می تواند باشد، جذابیت زیادی برای انجام دارد. عامل دیگر ابزار ارتکاب است که ابزار این نوع حملات بسیار سهل الوصول است.

*دولت ها برای جلوگیری از تهدیدات سایبری چه باید بکنند؟
با توجه به اهمیت امنیت اطلاعات، تقریباً همه دولت ها الزاماتی در مورد امنیت اطلاعات سازمانهای خود وضع نموده اند، اما متأسفانه این الزامات معمولاً به طور کامل اجرا نمی شوند زیرا اجرای کامل آنها کار چندان ساده ای نیست. بسیاری از سازمان ها در پیاده سازی سیستمها و راهکارهای امنیت اطلاعات با مشکلات زیادی مواجه می‌شوند که منجر به توقف اجرای پروژه یا تاخیر و تحمیل هزینه های پیش بینی نشده می گردد. حتی اکثریت قریب به اتفاق کسانی که در نهایت سیستم را پیاده سازی کرده و حتی گواهینامه آن را نیز دریافت نموده اند، از سطح امنیتی مناسبی برخوردار نیستند.

در حالی که هکرها مرتب روش های خود را برای انجام حملات توسعه می دهند، کسب و کارها هم باید از روش های مختلفی برای ایمن نگه داشتن اطلاعات خود استفاده کنند. معمولا امنیت در بسیاری از کسب‌وکارها به دلیل اتکای آنها به راه‌حل‌هایی که هر کدام فقط بخشی از پازل امنیتی را فراهم می‌کنند، به چالش کشیده می‌شود. متأسفانه، اکثر این راهکارهای جزیره‌ای برای کار با هم طراحی نشده‌اند، و با گذشت زمان باعث تشدید مشکلات در برنامه امنیتی سازمان می شوند.

مهمترین کاری که دولتها می توانند انجام دهند، تدوین قوانین دقیق و نظارت قانونمند بر فضای سایبری و آگاهی‌رسانی عمومی در این زمینه است. در واقع دولتها باید هزینه ارتکاب جرایم سایبری را بالا برده و شانس موفقیت آنرا کاهش دهند.

* امنیت سایبری چگونه بر اقتصاد تأثیر می گذارد؟
با توجه به این مهم که حجم بسیار بالایی از تراکنشهای مالی و فعالیتهای اقتصادی در فضای سایبری انجام می پذیرد، عدم وجود امنیت باعث عدم تمایل به انجام فعالیتهای اقتصادی در این بستر می شود. به عبارت دیگر میزان امنیت سایبری نقش مستقیمی بر میزان فعالیتهای اقتصادی دارد.

* چالش های ایجاد زیرساخت در حوزه امنیت سایبری در ایران چیست؟
مهمترین چالش تعدد مراجع قانونگذاری در این زمینه و اتخاذ تصمیمات عمدتا متناقض از سوی آنها است که مخاطبان را دچار سردرگمی کرده و باعث ایجاد فضای مناسبی برای سوء استفاده متخلفان می گردد. چالش دیگر برداشتهای متفاوت از مفهوم ناملموسی به نام امنیت است. به این ترتیب ایجاد امنیت در اکثر سازمانهای ایرانی بصورت رفع تکلیف انجام می شود و بارها برای این موضوع هزینه می شود بدون آنکه اثر بخشی لازم را داشته باشد. اما اگر بخواهم تمام چالشهای ممکن را نام ببرم می توانم به موارد زیر اشاره نمایم:

نخست الویت نداشتن امنیت در اهداف و نادیده گرفتن آن در استراتژی سازمان؛ برای پیاده‌سازی موفق سیستم مدیریت امنیت اطلاعات باید تمام اجزای سازمان درگیر شوند و این سیستم بعلت ایجاد تغییرات در ساختار و نوع عملکرد سازمان احتمالا" با مقاومتهای زیادی مواجه خواهد شد. در صورتی که اجرای این سیستم از اولویتهای سازمان نباشد و حمایت لازم مدیریت را پشت سر خود نداشته باشد، نمی‌توان انتظار موفقیت آنرا داشت.

دومین نگاه پروژه محور به پیاده‌سازی سیستم مدیریت امنیت اطلاعات؛ در صورتیکه نگاه سازمان به مقوله امنیت اطلاعات پروژه محور باشد و پس از اجرای سیستم و احتمالا" اخذ گواهینامه در نگهداری سیستم و گرداندن دوباره چرخه PDCA تلاشی صورت نپذیرد، طبیعتا" با بروز آسیب‌پذیریهای جدید و انجام حملات پیشرفته‌تر، امنیت سازمان به مخاطره جدی خواهد افتاد.

سومین عدم وجود الزام برای اجرای کامل سیستم مدیریت امنیت اطلاعات، برخی از سازمانها انجام طراحی و تدوین طرح مقابله با مخاطرات را پایان کار دانسته و هیچ الزامی در خود برای اجرای طرح نمی‌بینند. پر واضح است که صرف داشتن نسخه بدون مصرف دارو نخواهد توانست بیماری را برطرف سازد.

چهارم عدم تمایل به اجرای ممیزی، بسیاری از سازمانها پس از اتمام پیاده‌سازی سیستم مدیریت امنیت اطلاعات، تمایلی برای انجام ممیزی ندارند. انجام ممیزی مانند امتحان است که عیار کار انجام شده را مشخص می‌سازد. در صورت عدم وجود الزام برای ممیزی، نه کارفرما و نه پیمانکار آنچنان که باید در انجام وظایف خود اهتمام نخواهند ورزید.

پنجمین مورد عدم ارائه آموزشهای لازم به پرسنل، مبحث امنیت اطلاعات بدلیل ناملموس بودن آن جای چالش زیادی بین کارفرما و پیمانکار می‌گذارد و در واقع هر کسی از ظن خود ممکن است یار شود. برای انجام بهتر امور و همکاری بیشتر بین طرفین و ایجاد همزبانی لازم ارائه برخی دوره‌های آموزشی در سطوح مختلف از مدیریتی تا کارشناسی الزامی است.

ششمین پیاده‌سازی ISMS ناممکن‌ها را ممکن می‌سازد، یک عبارت خیلی معروف در زمینه امنیت وجود دارد که می‌گوید: اگر یک سیستم را خاموش کرده و از برق بکشید و آنرا در یک گودال بتون آرمه که پر از گاز اعصاب است و توسط نیروهای مسلح محافظت می‌شود قرار دهید باز هم حاضر نیستم سر زندگیم شرط ببندم که اطلاعات درون آن در امنیت کامل خواهد بود. پس امنیت مطلق وجود ندارد و نباید انتظار داشته باشیم که پس از اجرای سیستم مدیریت امنیت اطلاعات دیگر هیچ مشکلی وجود نخواهد داشت. در این زمینه باید هدف‌گذاری نمود و شاخصها و ابزارهای اندازه‌گیری میزان تحقق اهداف را تعریف کرده و بصورت مرتب آنها را پایش نمود و میزان بازگشت سرمایه‌گذاری امنیت (ROSI) را کنترل کرد.

هفتم مورد عدم اختصاص بودجه کافی برای پیاده‎‌سازی، مبحث ایجاد امنیت یک تفاوت اساسی با سایر مباحث مانند اجرای شبکه دارد و آن این است که در اجرای شبکه شاید بتوان بخشی از آنرا الان انجام داد و بخشی دیگر را در زمان دیگر ولی در امنیت این مطلب مصداق ندارد. در واقع در صورتی که منزل ما مثلا ۴ در و پنجره دارد نمی‌توان گفت الان که پول کافی ندارم فقط برای ۲ در و پنجره حفاظ می‌گذارم و بقیه را در زمانی که بودجه لازم فراهم شد تامین می‌کنم.

هشتم عدم تعیین متولی استقرار سیستم در سازمان، عدم تعیین متولی استقرار سیستم در سازمان در تعامل با پیمانکار سازمان را دچار چالشهای متعددی خواهد ساخت. اختلاف سلیقه و ارائه درخواستهای متفاوت و بعضا متناقض از سوی بخشهای مختلف سازمان و عدم وجود یک نقطه تماس معین باعث سردرگمی پیمانکار در انجام امور خواهد شد.

نهم مورد عدم آمادگی سازمان برای شروع پروژه، درصورتی که سازمان موارد زیر را انجام نداده باشد در اجرای پروژه با چالشهای جدی روبرو می‌شود: که شامل تعریف قلمرو پروژه از نظر ( ساختار سازمانی - جغرافیائی - فناوریهای مورد استفاده- دارائیهای نرم‌افزاری - دارائیهای سخت‌افزاری- دارائیهای مستنداتی و اطلاعاتی - دارائیهای خدماتی - دارائیهای انسانی)؛ ساختار سازمانی سازمان و واحدهای قلمرو پروژه به همراه شرح وظایف ؛ ماموریت، چشم‌انداز و اهداف میان‌مدت قابل سنجش سازمان(Objectives) و واحدهای قلمرو پروژه ؛ فرآیندهای مربوط به واحدهای قلمرو پروژه ؛ شناسائی ذینفعان مختلف ؛ الزامات و تعهدات سازمان در زمینه امنیت اطلاعات که از مراجع بالادستی ابلاغ شده و یا در قراردادها تعهد شده‌اند ؛ برگزاری دوره‌های آموزشی مرتبط برای پرسنل سازمان

دهم کمبود نیروی متخصص در زمینه امنیت اطلاعات و عدم تعیین افراد مختص اجرای پروژه در سازمان؛ یک شرط اساسی اجرا و نگهداری موفق سیستم مدیریت امنیت اطلاعات در هر سازمانی وجود نیروهای متخصص کافی در آن سازمان چه در زمان اجرا و چه پس از آن می‌باشد..

یازدهم عدم همکاری و هماهنگی واحدهای درگیر پروژه در سازمان، ارائه یک راهکار مطلوب امنیتی مستلزم همکاری همه اجزای سازمان در ارائه اطلاعات دقیق و سریع به مشاور بوده و تامین امنیت مطلوب نیازمند اجرای طرح امنیتی ارائه شده توسط پیمانکار توسط تمامی ارکان سازمان است. بدین ترتیب همکاری و هماهنگی واحدهای مختلف سازمان یک اصل انکارناپذیر در موفقیت پیاده‎سازی سیستم مدیریت امنیت اطلاعات است.

دوازدهم مورد ابزارگرایی در مقابل هدف‌محوری و تمرکز به روشها به جای توجه به نتایج، نکته مهم دیگر در پیاده‌سازی موفق سیستم مدیریت امنیت اطلاعات، تعیین اهداف مورد نظر از اجرای این سیستم و مشخص نمودن دقیق شرایطی است که در انتهای کار، کارفرما انتظار حصول آنرا دارد. در واقع با این ترتیب خط‌کشی برای اندازه‌گیری تعیین میزان موفقیت کار ایجاد کرده‌ایم که از بروز چالش میان کارفرما و پیمانکار در انتهای کار اجتناب می‌نماید. پس به جای اجبار مشاور در انجام کار به روش مورد نظر کارفرما و تمرکز بر روشها و یا تعیین ابزار خاص، باید به نتایج مورد نظر و تحقق اهداف توجه نمود.

سیزدهم سازماندهی نامناسب پروژه، سازماندهی مناسب رمز موفقیت هر پروژه‌ای است. برای موفقیت اجرای پروژه سیستم مدیریت امنیت اطلاعات موارد زیر در سازماندهی و مدیریت پروژه باید لحاظ گردد: که شامل اهداف پروژه - محدوده پروژه - استراتژی مدیریت پروژه - تیم اجرائی پروژه - ذینفعان - زمانبندی پروژه - کنترل کیفیت - مدیریت ریسک- برنامه ارتباطات - فعالیت های پشتیبانی - خروجیهای مورد انتظار - راهبری پروژه = شرایط و ضوابط و فرضیات است.

چهاردهم تعریف دامنه نامناسب، یکی دیگر از دلایل شکست پروژه‌های پیاده‌سازی سیستم مدیریت امنیت اطلاعات، تعریف نامناسب دامنه آنها است. درصورتی که دامنه بزرگتر از توانائی سازمان در اجرا تعریف گردد، قطعا کار با چالش مواجه خواهد شد. توصیه می‌شود برای شروع، دامنه محدود در نظر گرفته شود تا فرهنگ امنیت در سازمان نهادینه گردد و سپس این دامنه توسعه داده شود.

پانزدهم مورد برآورد نادرست زمان و هزینه، یکی از عوامل اصلی شکست هر پروژه‌ای از جمله پروژه پیاده‌سازی سیستم مدیریت امنیت اطلاعات، برآورد نادرست زمان و هزینه اجرا است. در واقع درصورتیکه کارفرما برآورد مناسبی از زمان و هزینه اجرا متناسب با توقعات خود از خروجی کار نداشته باشد و در این زمینه اشتباه کرده باشد در تحویل کار از پیمانکار با چالشهای زیادی مواجه خواهد شد. طبیعتا" هیچ پیمانکاری فراتر از میزان دریافتی خود هزینه نخواهد نمود و این امر در کیفیت کار تاثیر سو خواهد داشت.

شانزدهم تقلیل مفهوم ISMS به پروژه امنیت شبکه، مفهوم ISMS بسیار فراتر از امنیت شبکه است و تقلیل آن به امنیت شبکه باعث تقلیل اثرگذاری آن و عدم امکان صدور گواهینامه ISO۲۷۰۰۱ می‌شود.

هفدهم مورد برداشت غلط پیمانکار از اهداف سازمان در زمینه پیاده‎‌سازی، همانطور که کارفرما باید برای اجرای این سیستم هدفگذاری کرده باشد، پیمانکار هم باید در این زمینه توجیه شده و بداند که در پایان کار چه اهدافی را باید محقق ساخته و چگونه تحقق این اهداف سنجیده می‌شود.

هجدهم عدم بلوغ فناوری اطلاعات، درصورتی که سازمان به سطح بلوغ مناسبی از نظر فناوری اطلاعات و همسوئی آن با اهداف و استراتژی سازمانی نرسیده باشد، مشکلات زیادی بین فناوری اطلاعات و مدیریت ارشد سازمان بوجود آمده که بر کلیه سیستمهای مدیریتی از جمله مدیریت امنیت اطلاعات تاثیر نامطلوب خواهد گذاشت.

شاخصهای بلوغ فناوری اطلاعات عبارتند از:

بلوغ ارتباطات: اینکه چگونه کارکنان فنی و کسب و کار یکدیگر را درک کنند؟ آیا آنها به آسانی و به گونه مکرر با هم در تماس‌اند؟ آیا شرکت به گونه موثر با مشاوران، خریداران و شرکا ارتباط برقرار می کند؟ آیا شرکت، یادگیری سازمانی را به طور طبیعی اشاعه می دهد؟

بلوغ سنجش ارزش و شایستگی: اینکه شرکت چگونه باید به درستی عملکرد و ارزشهای پروژه اش را اندازه گیری کند؟ آیا آنها بعد از اتمام پروژه، ارزیابی می کنند که چه اندازه درست رفته اند و چه اندازه اشتباه ؟ آیا آنها فرایند درونی شان را بهبود می‌دهند به گونه‌ای که پروژه بعدی بهتر شود؟

بلوغ نظارتی: آیا پروژه هایی که به عهده گرفته می شوند از درک استراتژی کسب و کار ناشی می شوند؟ آیا آنها آن استراتژی را حمایت می کنند؟

بلوغ مشارکتی : تا چه اندازه بخش های کسب و کار و IT مشارکت واقعی را براساس اعتماد متقابل و سهیم شدن در ریسک و پاداش ایجاد کرده‌اند.

بلوغ معماری و حوزه پوشش: تا چه اندازه تکنولوژی برای حمایت از کسب و کار و فراتر از آن، تکامل یافته است؟ چگونه به رشد، تکمیل و سودمند کردن کسب و کار کمک می کند؟

بلوغ مهارتها: آیا کارکنان، مهارت مورد نیاز را برای موثر بودن دارند؟ تا چه اندازه کارکنان فنی کسب و کار را می دانند و به زبان کسب و کار صحبت می کنند؟ تا چه اندازه کارکنان مفاهیم تکنولوژی مربوطه را می فهمند

نوزدهم توجیه نبودن مدیریتهای مختلف در مورد چرایی اجرای امنیت اطلاعات در سازمان

بیستمین مورد نگاه تک‌بعدی و غیرمتوازن به امنیت اطلاعات، درک ناقص از ماهیت مدیریت امنیت اطلاعات

بیست و یکم بر ارزشها و منافع مدیریت امنیت اطلاعات تمرکز نمی‌گردد

o اخذ گواهینامه صرفا بدلیل رفع تکلیف

o نداشتن هدف مشخص از پیاده‌سازی سیستم و نداشتن پاسخ برای سئوال ساده "چرا مدیریت امنیت اطلاعات"

بیست و دوم سیستم مدیریت امنیت اطلاعات مستقل از سایر برنامه‌های توسعه‌ای سازمان است، که شامل این موارد است : طراحی و اجرای برنامه بدون مشارکت واحدهای مختلف سازمان و عدم تعیین رابطه مدیریت امنیت اطلاعات با سایر برنامه‌های سازمان

* به نظر شما راهکارهای توسعه ای ان شامل چه مواردی است؟
برای رفع این چالشها ما مدلی را تدوین کرده ایم که شامل مراحل زیر است:

• ارزیابی میزان آمادگی برای اجرای موفقیت آمیز سیستم مدیریت امنیت اطلاعات

• ایجاد آمادگی و رفع چالش‌ها برای اجرای موفقیت آمیز سیستم مدیریت امنیت اطلاعات

پیاده‌سازی حاکمیت امنیت اطلاعات شامل:

o شناسایی نیازهای امنیتی و تعریف اهداف امنیت اطلاعات

o انتخاب معماری امنیتی مناسب

o انتخاب بهترین استانداردها، مدل ها و بهترین تجارب امنیتی متناسب با کسب و کار شما

o برآورد بودجه مناسب

o ارائه RFP استاندارد و دقیق برای پیاده سازی هر سیستم امنیتی

• طراحی و پیاده سازی سیستم های امنیت اطلاعات شامل:

o ارزشگذاری امنیتی انواع دارایی ها با استفاده از یک روش بسیار پیشرفته

o ارزیابی وضعیت امنیتی سازمان با استفاده از چندین شاخص

o ارزیابی ریسک با استفاده از یک روش بسیار پیشرفته (کمی و کیفی)

o تهیه طرح مدیریت ریسک با در نظر گرفتن اهداف امنیتی شما و اثربخشی راه حل های مختلف برای مخاطرات شناسایی شده و همچنین در نظر گرفتن هزینه، مدت زمان و سایر منابع مورد نیاز برای اجرای آنها.

o تعریف اهداف امنیت اطلاعات بر اساس اهداف تجاری

o تجزیه و تحلیل شکاف امنیتی بر اساس بسیاری از مدل های بلوغ امنیتی و متناسب با وضعیت فعلی امنیت و اهداف امنیتی

o محاسبه ROSI (میزان بازگشت سرمایه گذاری امنیتی)

o تعریف هوشمندانه ساختار مناسب امنیت اطلاعات برای سازمان شما

o تعریف هوشمند دوره های آموزشی و آگاهی رسانی برای هر پرسنل به طور جداگانه

o توسعه طرح تداوم کسب و کار و طرح بازگشت از حوادث.