به گزارش ایسنا، مرکز ملی فضای مجازی، مرکز مدیریت راهبردی افتا، سازمان پدافند غیر عامل، پلیس فتا و وزارت ارتباطات و فناوری اطلاعات، برنامه‌ها، چارچوب‌ها، سیاست‌ها و دستورالعمل‌های افزایش تاب آوری و تداوم کسب و کار سایبری سازمان‌ها و زیرساخت‌ها را از مدت‌ها قبل تدوین و ابلاغ کرده‌اند که از جمله این موارد می‌توان به  سند حمایت و تاب آوری سایبری زیرساخت‌های حیاتی کشور، طرح امن سازی زیرساخت‌های حیاتی کشور، دستورالعمل‌های امنیتی و پدافندی و دستورالعمل‌های برگزاری مانورهای سایبری و چندین سند، دستورالعمل و بخشنامه دیگر اشاره کرد و در حوزه بانکی نیز بانک مرکزی آیین‌نامه حفاظت سایبری در نظام بانکی را برای اجرا به بانک‌ها ابلاغ کرده است.

برای افزایش تاب‌آوری سایبری حداکثری، مرکز افتا شش پیشنهاد دارد که اتخاذ رویکرد دفاع در عمق یا (Defense in Depth)، اجرای مداوم ارزیابی‌های امنیتی و تست نفوذ(Penetration Testing) و همچنین آموزش و فرهنگ سازی از جمله آنهاست.

داشتن طرح پاسخ به حادثه و بازیابی فاجعه (IR/DR Plan)، اتخاذ رویکرد اعتماد صفر (Zero Trust)و نظارت و تحلیل مستمر ترافیک شبکه (Continuous Monitoring)با راه اندازی مرکز رصد و پایش سایبری(SOC)  از دیگر راه‌کارهای افزایش تاب‌آوری سایبری حداکثری است.

در این باره علی محمد نوروززاده - رئیس مرکز مدیریت راهبردی افتا  اظهار کرده است که ابلاغ این دستورالعمل‌های اجرایی یک بخش از فرآیند افزایش تاب آوری و ارتقاء سطح امنیت سایبری است اما بخش مهم آن اقداماتی است که دستگاه‌های زیرساختی باید بطور مستمر و مداوم انجام دهند که از مهمترین وظایف آنها می‌توان به اجرایی کردن دستورالعمل‌های ابلاغی و سرمایه‌گذاری بر روی امنیت، ایجاد تیم‌های پاسخ به حوادث سایبری، اجرای دوره‌ای آزمون نفوذ و ارزیابی آسیب‌پذیری، آموزش مستمر پرسنل، راه‌اندازی مراکز داده پشتیبان، پشتیبان‌گیری منظم و استاندارد از داده‌های حیاتی، راه اندازی مرکز عملیات امنیت (SOC)، استفاده از راهکارهای پیشرفته مانند ردیابی، شناسایی و شکار تهدیدات (Threat Hunting) و مواردی دیگر اشاره کرد.

نوروززاده با اعتقاد به اینکه اجرای کامل همه این دستورالعمل‌ها در تمامی اجزای پیچیده یک زیرساخت حیاتی مانند حوزه‌های بانکی، انرژی، ارتباطات، سلامت و غیره یک فرآیند مستمر و چالش برانگیز است می‌گوید: اگر چه هوشیاری و سرمایه‌گذاری در بخش امنیت سایبری افزایش یافته، اما هنوز در برابر حملات پیشرفته و مستمر سایبری، راه درازی برای رسیدن به تاب‌آوری مطلوب وجود دارد و موفقیت در گرو تداوم سرمایه گذاری، آموزش نیروی انسانی، توجه به بخش خصوصی، به‌روزرسانی زیرساخت‌های فرسوده در کنار تمرین مداوم و انجام مانورهای واقعی طرح‌های تاب‌آوری و بازیابی است.

رئیس مرکز مدیریت راهبردی افتا می‌گوید: در حوزه امنیت سایبری، هیچ تضمین صددرصدی وجود ندارد و اگر چه رعایت پروتکل‌ها و استانداردها، احتمال وقوع حادثه و دامنه خسارت را به شدت کاهش می‌دهند، اما آن را به صفر نمی‌رسانند. دلیل این امر نیز پیچیدگی ذاتی تهدیدات سایبری، پیشرفت دائمی ابزارها و روش‌های حمله و وجود عوامل انسانی است.

نوروززاده با بیان اینکه بدیهی است که اغلب مهاجمان سایبری راه‌های جدیدی پیدا می‌کنند که در فهرست‌های کنترل استاندارد(چک لیست) و مقررات و الزامات(پروتکل‌های) اعلامی امنیتی، پیش‌بینی نشده‌اند و یا عامل نیروی انسانی ممکن است باعث قربانی شدن یک سازمان شود، گفت: مثلا یک سازمان ممکن است فایروال و آنتی ویروس قوی داشته باشد (مطابق با پروتکل) اما کارمندان آن آموزش ندیده باشند و قربانی یک حمله فیشینگ پیشرفته یا آلودگی از طریق ایمیل شوند.

وی افزود: از طرف دیگر حملات پیچیده و هدفمند یا(Advanced Persistent Threat)APT  مورد حمایت دولت‌ها، حملاتی بسیار هدفمند، با برنامه‌ریزی بلندمدت و با استفاده از ابزارهای سفارشی هستند که از حاشیه امنیتی پروتکل‌های عادی فراتر می‌روند.

 به‌گفته رئیس مرکز مدیریت راهبردی افتا موضوع بسیار مهم دیگر در خصوص تضمین سیاست‌ها و پروتکل‌های ابلاغی، عدم توجه جدی به زنجیره تامین است چون زنجیره تامین ناامن اعث می شود تمام الزامات اجرایی فنی بی اثر شود و سازمانی مورد حمله موفق سایبری قرار گیرد.

 نوروززاده می‌گوید: سازمان‌های نگهدارنده اطلاعات حساس مردم (به ویژه مالی) در معرض بالاترین سطح تهدید قرار دارند و باید فراتر از استانداردهای پایه عمل کنند. این سازمان‌ها(دولتی و خصوصی) باید به این درک برسند که حفظ اعتماد عمومی بالاترین دارایی آن‌ها است، سرمایه‌گذاری در امنیت سایبری نه یک هزینه، بلکه یک سرمایه‌گذاری برای حفظ اعتماد و بقای کسب‌وکار است، بنابراین حفظ داده‌های مردم باید مهمترین دغدغه آنها در کسب و کار خودشان باشد.

وی پیشنهاد داد که سازمان‌های نگهدارنده اطلاعات مالی مردم به جای استفاده از داده‌های واقعی، از داده‌های ماسکه شده، در محیط‌های تست و توسعه، استفاده کنند و توکن‌های بی‌معنی را برای پرداخت‌ها جایگزین داده‌های کارت اعتباری کنند تا در صورت نفوذ، داده‌های واقعی به سرقت نروند.

رئیس مرکز مدیریت راهبردی افتا با تاکید بر طبقه‌بندی داده‌ها(Data Classification) گفت: داده‌ها باید بر اساس میزان حساسیت (مثلاً عمومی، محرمانه، بسیار محرمانه) به دقت طبقه‌بندی شوند و سیاست‌های حفاظتی برای هر طبقه به صورت جداگانه تعریف و اجرا شود و طبق همه دستورالعمل‌های مرکز افتا همچنان بر پشتیبان‌گیری منظم و تست بازیابی (Backup ‌Recovery) تاکید می‌کنیم.  

انتهای پیام