شش پیشنهاد مرکز افتا برای افزایش تاب‌آوری سایبری

داشتن طرح پاسخ به حادثه و بازیابی فاجعه، اتخاذ رویکرد اعتماد صفر و نظارت و تحلیل مستمر ترافیک شبکه با راه اندازی مرکز رصد و پایش سایبری از دیگر راه‌کارهای افزایش تاب‌آوری سایبری حداکثری است.

تاب آوری سایبری در نگاهی کلی نیازمند توجه بنیادین به مسائل فضای سایبر، افزایش بودجه امنیت این فضا، جذب و استفاده‌ حداکثری از شیوه‌های نگه‌داشت نیروی متخصص امنیت سایبری است.

سال‌هاست که کشورها علاوه بر نیروهای نظامی خود در زمین، دریا و هوا، برای مقابله و ضربه به دشمنان و مخالفان خود از نیروی چهارمی کمک گرفته‌اند که بی‌سر و صدا، با اثرگذاری فراوان و سریع به اهداف مشخصی حمله کرده و در خدمات رسانی بویژه برای عموم مردم منطقه مورد نظر، اختلال جدی ایجاد می‌کند تا از این طریق و افزایش نارضایتی‌های عمومی، رقیب، حریف و یا دشمن خود را از صحنه خارج و یا حتی نابود کنند، در مقابل تهاجم سایبری، همه کشورها سازمان‌هایی را راه‌اندازی کرده‌اند که وظیفه اصلی آنان دفاع سایبری، افزایش امنیت سایبری و بهبود روزافزون تاب آوری سایبری است تا هم از نشت داده‌ها و اطلاعات جلوگیری شود و هم به روند خدمات رسانی خللی وارد نشود.

مرکز مدیریت راهبردی افتا یکی از سازمان‌هایی است که در کشور ما وظیفه پیشگیری و مقابله با حوادث سایبری را در سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی به‌عهده دارد، وظیفه‌ای که بر اساس نظام ملی پیشگیری و مقابله با حوادث فضای مجازی و مصوبه شورای عالی فضای مجازی به مرکز افتا محول شده است.

برای آشنایی هر چه بیشتر با فعالیت‌های مرکز مدیریت راهبردی افتا، با علی محمد نوروززاده رئیس این مرکز گفت‌وگویی را انجام داده‌ایم که در ادامه آمده است.

با توجه به حملات سایبری در دوران جنگ 12 روزه و مشکلاتی که برای زیرساخت بانکی و بعضا سایر حوزه‌های کشور پیش آمد، این سوال در اذهان عمومی مطرح است که وظایف سازمان ها و نهادهای مختلف در راستای تاب آوری شبکه و بالا بردن امنیت فضای سایبری چه بوده است؟

ضمن تشکر از «سیتنا» برای فرصتی که در اختیار مرکز مدیریت راهبردی افتا قرار داده است، ابتدا عرض می کنم که حملات سایبری به زیرساخت‌های حیاتی مانند بانک‌ها، ارتباطات، انرژی و غیره یکی از وجوه اصلی جنگ‌های مدرن است و در پاسخ به سوال شما، باید به ابعاد مختلف آن اشاره شود. اول اینکه آیا نظام آمادگی دفاع سایبری و افزایش تاب آوری را همزمان با جنگ نظامی داشته است یا خیر؟ دوم اینکه آیا سازمان‌ها برنامه‌ای برای مقابله با این نوع جنگ ترکیبی را داشته‌اند یا خیر؟

در مورد وظایف حاکمیت و نهادهای متولی امنیت سایبری برای افزایش تاب‌آوری سایبری باید عرض کنم که قبل از دفاع مقدس 12 روزه، نهادهای متولی از جمله مرکز ملی فضای مجازی، مرکز مدیریت راهبردی افتا، سازمان پدافند غیر عامل، پلیس فتا و وزارت ارتباطات و فناوری اطلاعات برنامه‌ها، چارچوب‌ها، سیاست‌ها و دستورالعمل‌های افزایش تاب آوری و تداوم کسب و کار سایبری سازمان‌ها و زیرساخت‌ها را تدوین و ابلاغ کرده بودند؛ از جمله این موارد می‌توان به «سند حمایت و تاب آوری سایبری زیرساخت‌های حیاتی کشور»، «طرح امن سازی زیرساخت‌های حیاتی کشور»، «دستورالعمل‌های امنیتی و پدافندی» و «دستورالعمل‌های برگزاری مانورهای سایبری» و چندین سند، دستورالعمل و بخشنامه دیگر اشاره کرد.

از طرف دیگر در حوزه بانکی نیز بانک مرکزی «آیین‌نامه حفاظت سایبری در نظام بانکی»را برای اجرا به بانک‌ها ابلاغ کرده بود.

ابلاغ این دستورالعمل‌های اجرایی یک بخش از فرآیند افزایش تاب آوری و ارتقاء سطح امنیت سایبری است، اما بخش مهم آن اقداماتی است که دستگاه‌های زیرساختی باید بطور مستمر و مداوم انجام دهند.

از مهمترین وظایف دستگاه‌های زیرساختی می‌توان به اجرایی کردن دستورالعمل‌های ابلاغی و سرمایه‌گذاری بر روی امنیت، ایجاد تیم‌های پاسخ به حوادث سایبری، اجرای دوره‌ای آزمون نفوذ و ارزیابی آسیب‌پذیری، آموزش مستمر پرسنل، راه‌اندازی مراکز داده پشتیبان، پشتیبان‌گیری منظم و استاندارد از داده‌های حیاتی، راه اندازی مرکز عملیات امنیت (SOC)، استفاده از راهکارهای پیشرفته مانند ردیابی، شناسایی و شکار تهدیدات (Threat Hunting) و مواردی دیگر اشاره کرد.

آیا این دستورالعمل‌هایی که شما اشاره کردید، از سوی بخش‌هایی که مورد هجوم سایبری قرار گرفته‌اند رعایت شده است یا خیر؟

پاسخ به این سوال که آیا سازمان‌های دارای زیرساختِ‌ حیاتی، به این دستورالعمل‌ها  توجه کرده‌اند یا خیر بسیار سخت است و باید واقع‌بینانه به آن پاسخ داد؛ در ابتدا باید گفت دستورالعمل‌ها و چارچوب‌های نظارتی قطعاً مورد توجه قرار گرفته و اقدامات قابل قبولی در سطح کلان و در بسیاری از سازمان‌ها انجام شده است، اما اجرای کامل تمام این دستورالعمل‌ها در تمامی اجزای پیچیده یک زیرساخت حیاتی مانند حوزه‌های بانکی، انرژی، ارتباطات، سلامت و غیره یک فرآیند مستمر و چالش‌برانگیز است.

در چند سال اخیر با سیاست گذاری‌های بسیار موثر مرکز ملی فضای مجازی و اقدامات شبانه روزی دستگاه‌های هماهنگ کننده و دستگاه‌های دارای زیرساخت حیاتی، سطح امنیت سایبری و تاب آوری سازمان‌ها افزایش یافته است، اما باید بپذیریم که دفاع مقدس 12 روزه تجربه جدیدی در مقابله با جنگ ترکیبی بود که همه متولیان این حوزه به آن توجه کرده و بر اساس این تجربه، برنامه‌های کوتاه مدت و میان مدت خوبی همچون توجه جدی به بخش خصوصی، به روز کردن فناوری‌های زیرساختی، توجه جدی‌تر به نیروی انسانی متخصص، تمرکز بر پیشگیری به جای تاب‌آوری و غیره در دست اجرا دارند که در آینده نزدیک اثرات آنها را مردم عزیز خواهند دید.

هوشیاری و سرمایه‌گذاری افزایش یافته، اما هنوز راه درازی برای رسیدن به تاب‌آوری مطلوب در برابر حملات پیشرفته و مستمر وجود دارد.

به عنوان جمع بندی این بخش از سوال می‌توان اینگونه گفت که هوشیاری و سرمایه‌گذاری افزایش یافته، اما هنوز راه درازی برای رسیدن به تاب‌آوری مطلوب در برابر حملات پیشرفته و مستمر وجود دارد.

موفقیت در گرو تداوم سرمایه‌گذاری، آموزش نیروی انسانی، توجه به بخش خصوصی، به‌روزرسانی زیرساخت‌های فرسوده در کنار تمرین مداوم و انجام مانورهای واقعی طرح‌های تاب‌آوری و بازیابی است.

اگر نیاز باشد وظایف سازمان‌های ناظر بر امنیت سایبری را توضیح دهید، علاوه بر مرکز مدیریت راهبردی افتا، چه سازمان ها و با چه مسئولیت‌های ویژه‌ای در این حوزه وجود دارند و آیا وظایف این سازمان‌ها در راستای تکمیل امنیت سایبری است یا بعضا با “هم پوشانی” مواجه است؟

بر اساس حکم مقام معظم رهبری، فرماندهی این حوزه بر عهده مرکز ملی فضای مجازی است و دستگاه‌های هماهنگ کننده باید بر اساس سیاست‌های شورای عالی و مرکز ملی فضای مجازی به وظایف خود عمل کنند.

تقسیم کار ملی برای مقابله با حوادث فضای مجازی مطابق با مصوبه شورای عالی فضای مجازی، شکل گرفته است و برای مرکز مدیریت راهبردی افتا، سازمان پدافند غیرعامل، پلیس فتا و سازمان فناوری اطلاعات  کشور وظایف و حوزه کاری مشخص تعیین شده است، در حال حاضر تعامل خوبی بین دستگاه‌های هماهنگ کننده برقرار است که بر اساس تجارب کسب شده، اندک تداخلاتی که بین دستگاه‌های هماهنگ کننده وجود دارد، در راستای بهبود فرایندها با مدیریت مرکز ملی فضای مجازی حل خواهد شد.

یادآوری می‌کنم که بر اساس تقسیم کار ملی برای مقابله با حوادث فضای مجازی، مرکز مدیریت راهبردی افتا، نقش حلقه واسط را بین سه بخش اصلی یعنی مراجع حاکمیتی، دستگاه‌های اجرایی دارای زیرساخت حیاتی و بخش خصوصی فعال در دو حوزه تولید محصولات فتایی و ارائه خدمات افتایی برعهده دارد.

آیا در جریان حملات سایبری خردادماه امسال، از سوی مرکز مدیریت راهبردی افتا در راستای بررسی حملات سایبری و تاکید بر اصلاح روند و بازگشت سریع تر بانک‌ها به شبکه بانکی اقدامی صورت گرفت؟

تیم‌های عملیاتی مرکز مدیریت راهبردی افتا، سه مأموریت اصلی پیشگیری، مقابله و رسیدگی به حوادث سایبری در دستگاه‌های حیاتی کشور را برعهده دارند. اولین گام در رسیدگی به حادثه، ایجاد مرحله آمادگی است که شامل رصد و اطلاع‌رسانی از وقوع حادثه، تشکیل کمیته بحران و هماهنگی تیم‌های عملیاتی و ظرفیت‌های موردنیاز برای مدیریت بحران است.

ذکر این نکته ضروری است که در حوادث سایبری، تیم امداد و فارنزیک افتا به‌منظور مدیریت و رسیدگی به حادثه در محل حاضر می‌شود و مراحل استاندارد مدیریت حادثه شامل شناسایی، مهار و مستندسازی را انجام می‌دهد و سازمان قربانی حمله سایبری باید با راهنمایی کارشناسان مرکز  افتا، سامانه‌ها و زیرساخت‌های خود را پاکسازی و بازیابی کند.

کارشناسان مرکز افتا، راهکارهای لازم فنی و اجرایی را در اختیار تیم فنی بانک سپه قرار دادند تا ضمن بازگرداندن سرویس‌ها، برای جلوگیری از حملات آینده پیشگیری لازم انجام شود.

پس از شناسایی حمله به بانک سپه، واحد رسیدگی به رخدادهای سایبری مرکز افتا بلافاصله در محل حادثه حاضر شد و نسبت به شناسایی منبع حمله، قطع دسترسی مهاجم، محدود کردن گسترش آسیب و جمع آوری شواهد دیجیتال را برای بررسی‌های حقوقی از سیستم‌های آلوده، اقدام کرد.

علاوه بر این، کارشناسان مرکز افتا، راهکارهای لازم فنی و اجرایی را در اختیار تیم فنی بانک سپه قرار دادند تا ضمن بازگرداندن سرویس‌ها، برای جلوگیری از حملات آینده پیشگیری لازم انجام شود.

یکی از مشکلات اصلی بانک سپه پس از حمله سایبری 27 خردادماه، پرداخت حقوق بخشی از کارکنان دولت و بخش خصوصی و همچنین پرسنل نظامی بود، آیا مرکز افتا در این باره اقدامی را انجام داده است؟

به مشکل خوبی اشاره کردید، مرکز افتا برای حل چالش پرداخت حقوق برخی کارکنان دولت، بخش خصوصی و همچنین پرسنل نظامی مشتری بانک سپه، با ارائه و پیگیری راه‌حل‌هایی به بانک مرکزی و مدیران بانک سپه، توانست در کمترین زمان ممکن، واریز حقوق را در چرخه خدمات بانکی قرار دهد.

برخی از شنیده‌ها حاکی از اختلال در حوزه سخت افزاری بانک های سپه و پاسارگاد بوده است، آیا به صورت خاص، اختلالات این چنینی نیز در پروتکل‌های افتا تعریف شده است یا سایر نهادها باید در این حوزه ورود کنند؟

اگر چه مرکز افتا بر رویکرد سامانه‌ها و سرویس‌ها نظارت دارد و در مباحث سخت افزاری و امنیت سخت افزار بعنوان یار کمکی دیگر نهادها عمل می‌کند، اما با این حال در طرح‌هایی خاص، این چنین مواردی را پیش بینی کرده و برای آن راه حل‌هایی نیز تهیه کرده است.

امنیت یک مسئله فراگیر و تیمی است و موفقیت آن مستلزم مشارکت همه سازمان‌های هم عرض و نهادهای بالادستی است.

ضروری است که بدانیم، مرکز مدیریت راهبردی افتا و هیچ یک از دیگر سازمان‌های همکار در امنیت سایبری، نمی‌توانند امنیت زیرساخت را به تنهایی و به طور کامل تأمین کنند و نیاز به هماهنگی و همکاری با سایر بخش‌های سازمانی و نهادهای نظارتی دارند؛ چون امنیت یک مسئله فراگیر و تیمی است و موفقیت آن مستلزم مشارکت همه سازمان‌های هم عرض و نهادهای بالادستی است.

چه تضمینی وجود دارد که در صورت رعایت پروتکل‌های سایبری، سایر سازمان‌ها و نهادها در صورت وقوع حملات مخرب سایبری با حداکثر تاب آوری مواجه شوند؟ آیا حملات سایبری اخیر نشان نداد که پروتکل‌های فعلی برای امنیت شبکه کافی نیست و نیاز به تغییر یا اصلاح روند دارد؟

واقعیت این است که در حوزه امنیت سایبری، هیچ تضمین صددرصدی وجود ندارد. رعایت پروتکل‌ها و استانداردها، احتمال وقوع حادثه و دامنه خسارت را به شدت کاهش می‌دهند، اما آن را به صفر نمی‌رسانند. دلیل این امر پیچیدگی ذاتی تهدیدات سایبری، پیشرفت دائمی ابزارها و روش‌های حمله و وجود عوامل انسانی است.

در خصوص رعایت الزامات و پروتکل‌های ابلاغی، دو مفهوم مجزای «انطباق» یا  Compliance و «امنیت واقعی» یا Actual Security داریم. بدین معنا که ممکن است یک سازمان تمام چک‌لیست‌های پروتکل ابلاغی را اجرا کرده و تیک بزند و انطباق کامل داشته باشد، اما این لزوماً به معنای آن نیست که در عمل این سازمان از هر تهدید و حمله سایبری در امان است. بدیهی است که اغلب حمله‌کنندگان راه‌های جدیدی پیدا می‌کنند که در چک‌لیست‌های استاندارد و پروتکل‌های اعلامی، پیش‌بینی نشده‌اند و یا عامل نیروی انسانی ممکن است باعث قربانی شدن سازمان شود.

مثلا یک سازمان ممکن است فایروال و آنتی‌ویروس قوی داشته باشد (مطابق با پروتکل) اما کارمندان آن آموزش ندیده باشند و قربانی یک حمله فیشینگ پیشرفته یا آلودگی از طریق ایمیل شوند.

از طرف دیگر حملات پیچیده و هدفمند یا APT (Advanced Persistent Threat) مورد حمایت دولت‌ها، حملاتی بسیار هدفمند، با برنامه‌ریزی بلندمدت و با استفاده از ابزارهای سفارشی هستند که از حاشیه امنیتی پروتکل‌های عادی فراتر می‌روند.

موضوع بسیار مهم دیگر در خصوص عدم تضمین سیاست‌ها و پروتکل‌های ابلاغی، عدم توجه جدی به زنجیره تامین است. زنجیره تامین ناامن باعث می شود تمام الزامات اجرایی فنی بی اثر شده و سازمان مورد حمله موفق قرار گیرد.

پیشنهاد شما برای ایجاد تاب آوری سایبری حداکثری چیست؟

برای افزایش تاب آوری سایبری حداکثری، مرکز مدیریت راهبردی افتا شش پیشنهاد دارد که اتخاذ رویکرد دفاع در عمق یا Defense in Depth، اجرای مداوم ارزیابی‌های امنیتی و تست نفوذ (Penetration Testing) و همچنین آموزش و فرهنگ سازی از جمله آنهاست.

داشتن طرح پاسخ به حادثه و بازیابی فاجعه (IR/DR Plan)، اتخاذ رویکرد  اعتماد صفر (Zero Trust) و نظارت و تحلیل مستمر ترافیک شبکه (Continuous Monitoring) با راه اندازی مرکز رصد و پایش سایبری(SOC) از دیگر راه‌کارهای افزایش تاب‌آوری سایبری حداکثری است.

دقت کنیم که تاب آوری سایبری نیازمند توجه بنیادین به مسائل فضای سایبر است، ما نیازمند افزایش بودجه امنیت فضای سایبر، جذب و استفاده‌ حداکثری از شیوه‌های نگه‌داشت نیروی متخصص امنیت سایبری و افزایش آگاهی مدیران دستگاه‌های دارای زیر ساخت حیاتی در باره فضای سایبر نیز هستیم.

با گذشت بیش از دو ماه از حملات سایبری به زیرساخت‌های دو بانک ‌سپه و پاسارگاد، مشتریان از وجود برخی مشکلات در خدمات دهی بانک سپه شکایت داشته و گله‌مندند، در خصوص این مشکلات و تاکید بر ارتقای بیشتر امنیت سایبری باشد، چه نکاتی باید مدنظر گیرد؟

طبق ادعای بانک پاسارگاد، مخاطرات و مشکلات مرتبط با حمله سایبری اخیر به این بانک رفع شده است، ولی در بانک سپه با توجه به تغییرات در سیستم متمرکز بانکداری، برگشت به حالت معمول قبل از حمله سایبری، زمان بر خواهد بود و نیاز به توسعه دوباره برخی سامانه‌های اینترنتی و موبایلی و وارد کردن دیتاهای قدیمی از پرونده‌های بانکی دارد.

نکاتی که برای حفظ داده‌های هر سازمانی اولویت دارد تا از بروز چنین اتفاقاتی جلوگیری شود، رعایت دستورالعمل های امنیتی ابلاغی مرکز مدیریت راهبردی افتا مبنی بر تهیه نسخه ‎های پشتیبان از تمامی داده‌ها و اطلاعات خود و نگه‌داری آنها در مرکز داده پشتیبان بصورت مجزا از شبکه اینترنتی است و ضرورت دارد تا این داده‌ها به صورت هفتگی یا ماهانه بروز شود.

آموزش پرسنل بانک‌ها و سازمان‌ها برای آشنایی با امنیت سایبری، دیگر راهکار لازم برای پیشگیری از وقوع حادثه سایبری است.

پیشنهاد شما به سازمان‌ها و نهادهایی که به صورت خاص دیتابیس مردم را در اختیار دارند و بعضا اطلاعات مالی کاربران نیز در اختیارشان است، استفاده از چه روش‌ها و پروتکل‌هایی افزون بر پروتکل‌های فعلی است تا در راستای امنیت اقتصادی، مردم با خیالی آسوده‌تر به این سازمان‌ها و نهادها اعتماد و اتکا کنند؟

سازمان‌های نگهدارنده اطلاعات حساس مردم (به ویژه مالی) در معرض بالاترین سطح تهدید قرار دارند و باید فراتر از استانداردهای پایه عمل کنند. این سازمان‌ها (دولتی و خصوصی) باید به این درک برسند که حفظ اعتماد عمومی بالاترین دارایی آن‌ها است. سرمایه‌گذاری در امنیت سایبری نه یک هزینه، بلکه یک سرمایه‌گذاری برای حفظ اعتماد و بقای کسب‌وکار است. بنابراین حفظ داده‌های مردم باید مهمترین دغدغه آنها در کسب و کار خودشان باشد.

سازمان‌های نگهدارنده اطلاعات حساس مردم (به ویژه مالی) در معرض بالاترین سطح تهدید قرار دارند و باید فراتر از استانداردهای پایه عمل کنند.

برای دستیابی به هدف مهم حفظ داده‌های حساس مردم (به ویژه مالی)، سازمان‌های نگهدارنده اطلاعات باید اصول مدل اعتماد صفر (Zero Trust)را به صورت تمام عیار پیاده‌سازی، از فناوری‌های امن احراز هویت چندعاملی قوی استفاده، شبکه‌ها را جدا و میکروسگمنتیش(Micro-Segmentation) کنند.

سازمان‌های نگهدارنده اطلاعات باید از فناوری‌های مربوط به محافظت پیشرفته از داده (Data-Centric Security) استفاده کنند که در این روش بجای “محافظت از محیط” باید “محافظت از خود داده” هدف اصلی باشد.

رمزنگاری همه جانبه از داده‌ها در دو حالت ذخیره و انتقال (Encryption at Rest and in Transit) و ماسکه‌سازی و توکن‌سازی داده (Data Masking & Tokenization) از دیگر روش‌های حفاظت از داده‌ها و اطلاعات حساس مردم است.

پیشنهاد می‌شود در محیط‌های تست و توسعه، به جای استفاده از داده‌های واقعی، از داده‌های ماسکه شده استفاده شود. برای پرداخت‌ها، می‌توان داده‌های کارت اعتباری را با توکن‌های بی‌معنی جایگزین کرد تا در صورت نفوذ، داده‌های واقعی به سرقت نروند.

مرکز مدیریت راهبردی افتا همچنان به طبقه‌بندی داده‌ها (Data Classification) توصیه اکید دارد، داده‌ها باید بر اساس میزان حساسیت (مثلاً عمومی، محرمانه، بسیار محرمانه) به دقت طبقه‌بندی شوند و سیاست‌های حفاظتی برای هر طبقه به صورت جداگانه تعریف و اجرا شود و طبق همه دستورالعمل‌های مرکز افتا همچنان بر پشتیبان‌گیری منظم و تست بازیابی (Backup & Recovery) تاکید می‌کنیم.

/سیتنا