به گزارش ایسنا، با گسترش وابستگی دولت‌ها و ارتش‌ها به فناوری‌های اطلاعاتی، مفهوم «جنگ سایبری» به‌عنوان بُعدی نوین از درگیری‌های بین‌المللی مطرح شده است. در این میان، حملات سایبری در زمان جنگ اوکراین (۲۰۲۲) نمونه‌ای برجسته از هم‌افزایی میان جنگ فیزیکی و جنگ سایبری بود؛ در جریان این منازعه، گروه‌های وابسته به دولت‌ها حملات گسترده‌ای علیه سامانه‌های بانکی، زیرساخت‌های انرژی و شبکه‌های ارتباطی انجام دادند. پیش‌تر نیز، حمله بدافزار Stuxnet در سال ۲۰۱۰ که تأسیسات هسته‌ای ایران را هدف قرار داد، نقطه عطفی در تاریخ امنیت سایبری محسوب می‌شود؛ زیرا برای نخستین‌بار نشان داد که حمله دیجیتال می‌تواند اثرات فیزیکی مخربی در دنیای واقعی به‌جا بگذارد.

تحلیل الگوهای این حملات جهانی نشان می‌دهد که تهدیدهای سایبری در زمان جنگ معمولاً چند لایه‌اند که شامل حملات اختلالی، جاسوسی اطلاعاتی و عملیات نفوذ بر افکار عمومی است. این ترکیب پیچیده ابزاری برای تضعیف اراده ملی، برهم زدن تصمیمات راهبردی و ایجاد بی‌ثباتی اقتصادی است. در نتیجه، تقویت زیرساخت‌های سایبری، افزایش تاب‌آوری شبکه‌ها و توسعه همکاری‌های بین‌المللی در حوزه دفاع سایبری به یکی از حیاتی‌ترین اقدامات دولت‌ها در دوران بحران تبدیل شده است.

از این رو امنیت سایبری در دوران بحران و جنگ، چالش‌های مضاعفی را برای سازمان‌ها و زیرساخت‌های حیاتی کشورها ایجاد می‌کند. در چنین شرایطی، حملات سایبری نه تنها با هدف کسب اطلاعات یا اختلال در روندها، بلکه با انگیزه‌هایی چون تضعیف روحیه عمومی، ایجاد بی‌ثباتی اقتصادی و اختلال در عملیات ضروری صورت می‌پذیرند. 

متخصصان این حوزه در تحلیل‌های خود با اشاره به رویکرد دشمنان که در صورت شدت گرفتن درگیری‌های فیزیکی، به سرعت آن را به حوزه سایبری تسری می‌دهند، بر ضرورت تهیه نسخه‌های پشتیبان (بکاپ) متعدد و پراکنده جغرافیایی، کاهش حداقلی دسترسی‌ها به سامانه‌ها و ایجاد زیرساخت‌های امن برای دورکاری تأکید می‌ورزند.

کریمان از متخصصان حوزه امنیت سایبری در گفت‌وگو با ایسنا به چالش‌های ناشی از سرعت در مقابل امنیت، به‌ویژه در دوران دورکاری اضطراری و تلاش توسعه‌دهندگان برای حفظ سرویس‌ها و همچنین مخاطرات ناشی از استفاده عامه مردم از ابزارهای غیرمجاز در زمان قطعی اینترنت اشاره می‌کند. وی با تاکید بر اهمیت حضور فیزیکی تیم‌های واکنش سریع در مراکز داده (دیتا سنترها) به صورت شبانه‌روزی، اتخاذ رویکردهای پیشگیرانه مانند خاموش کردن سرویس‌های غیرضروری برای جلوگیری از گسترش حملات را امری ضروری می‌داند.

تصویری جامع از وضعیت کنونی امنیت سایبری ایران در مواجهه با تهدیدات پیچیده و چندوجهی

محمدامین کریمان، متخصص امنیت سایبری در گفت‌وگو با ایسنا، با اشاره به تغییر اولویت‌ها در شرایط بحران و جنگ، بر لزوم انطباق سازمان‌ها با این شرایط تأکید کرد و گفت: اولین و مهمترین کاری که سازمان‌ها باید در این شرایط انجام دهند، حفظ پایداری و بقای ساختارهای خود است.

وی با بیان اینکه دشمن متخاصم شروع به از بین بردن فیزیکی دارایی‌ها کرده و به طبع در اولین فرصت همین رویکرد را در حوزه سایبری نیز پیش خواهد گرفت، افزود: با توجه به اخباری که در خصوص حملات فیزیکی به دیتاسنترها شنیده‌ایم، لازم است سازمان‌ها اهمیت ویژه‌ای به تهیه نسخه پشتیبان (بکاپ) در نقاط جغرافیایی مختلف و متعدد قائل شوند.

کریمان با تاکید بر اینکه داده‌های بسیار حیاتی سازمان‌ها و وزارتخانه‌ها باید علاوه بر بکاپ‌گیری، از نظر جغرافیایی نیز در شهرهای مختلف نگهداری شوند، اظهار کرد: نکته بسیار مهم در این شرایط کاهش دسترسی‌ها به سامانه‌ها به حداقل دسترسی ممکن است و تمام دسترسی‌ها باید قطع شده و تنها دسترسی‌های ضروری باز گذاشته شوند.

این متخصص امنیت سایبری همچنین به موضوع دورکاری اشاره کرد و یادآور شد: در شرایطی که دولت دورکاری کارمندان را اعلام کرده، باید زیرساخت‌های لازم برای آن فراهم شود. عامه مردم با توجه به قطعی اینترنت، از فیلتر شکن‌ها و ابزارهای مختلف استفاده می‌کنند که این امر می‌تواند منجر به آلودگی سیستم‌ها شود.

سرعت بیشتر امنیت کمتر و زیر ساخت‌های دورکاری

کریمان تأکید کرد: مدیران امنیت و کارشناسان IT سازمان‌ها باید در نظر داشته باشند که هرگونه دسترسی از سیستم‌های غیرسازمانی می‌تواند نقطه ورودی برای آلودگی یا امکان دسترسی فراهم کند. اگر قرار است دورکاری به صورت اضطراری فعال شود، بدون داشتن زیرساخت مناسب نباید این کار انجام شود.

وی زیرساخت دورکاری را شامل آموزش کارکنان و پرسنل، و همچنین امکانات نرم‌افزاری و سخت‌افزاری دانست و افزود: ایستگاه‌های کاری که کاربران به آن‌ها متصل می‌شوند باید کاملاً ایزوله و کنترل شده باشند و نظارت‌های امنیتی و سیاست‌های امنیتی کامل اتخاذ شود تا از بروز آلودگی جلوگیری شود.

کریمان اضافه کرد: از سوی دیگر در چنین شرایطی معمولاً توسعه دهندگان و برنامه نویسان تلاش می کنند تا سرویس ها را پایدار نگهدارند که با توجه به نیاز مشتریان، تلاش برنامه نویسان تلاش درستی است و در این راستا آنها از هر ابزار و هر روشی استفاده می‌کنند تا دسترسی‌ها را حفظ کنند. این در حالی است که متاسفانه هرجا سرعت، در اولویت قرار گیرد، دقتِ امنیت، کاهش می یابد و در این وضعیت ممکن است امنیت سامانه ها با چالش‌های به شدت جدی، مواجه شود.

این محقق حوزه امنیت سایبری با تاکید بر اینکه در حال حاضر در شرایط سختی قرار داریم و در این شرایط پایدار نگهداشتن سیستم ها کاری به شدت سخت است، خاطر نشان کرد: در این شرایط لازم است توسعه دهندگان و برنامه نویسان باید به این نکته توجه کنند که به هر قیمتی و با هر روشی، نگهداشتن آن سامانه لزوما کمک کننده نیست و باید حتما در کنار پایدار نگهداشتن سامانه‌ها، به حداقل‌های سیاست‌های امنیتی توجه کنند.

وی اضافه کرد: اگر برنامه نویسان می خواهند سامانه داخلی را توسعه دهند در نظر داشته باشند که تنظیمات آن بر اساس "پیش فرض" ها نباشد و تنظیمات را بر اساس سیاست‌های امنیتی، بهینه کنند.

تشکیل تیم‌های "۷در۲۴

این متخصص حوزه امنیت سایبری افزود: با توجه به تجربه‌ای که ما در جنگ قبلی (۱۲ روزه) داشتیم، زیرساخت‌های نظام بانکی و مالی، زیرساخت‌های حیاتی و زیر ساخت‌های وزارتخانه‌ها باید این آمادگی را داشته باشند که تیم واکنش سریع آنها به صورت «۷ در ۲۴» در محل دیتا سنتر حداقل یک نماینده داشته باشد تا در مواقع حمله سایبری، با خاموش کردن و قطع ناگهانی برق، بتوانند جلوی آسیب‌های بعدی را بگیرند.

وی اضافه کرد: در چنین شرایطی معمولاً نیروهای متخصص دسترسی درستی ندارند و نمی‌توانند خیلی سریع واکنش درستی به حملات سایبری از خود بروز دهند و این تاخیر زمان در واکنش به رخدادهای سایبری می تواند منجر به از دست رفتن داده‌ها شود. از این رو باید حتماً یه نیروی فیزیکی ۷ در ۲۴ در دیتا سنتر حضور داشته باشند با این قابلیت که هر لحظه که هشدار حمله سایبری، کل سیستم‌ها را از برق بکشد تا بتوانند بعدا به صورت پایدار شروع و اوضاع را بررسی کنند.

کریمان تاکید کرد: بر اساس تجربه های قبلی، این نکته را باید عرض کنم که با توجه به حملاتی که دشمن قبلاً داشته است، دسترسی های آنها در زمان حمله اتفاق نیفتاده است بلکه از قبل، این دسترسی ها وجود داشته و در زمان حمله، دستور تخریب سامانه ها صادر می شود.

وی اظهار کرد: ما این تجربه را در دو بانک و برخی وزارتخانه‌ها داشتیم که تمام سرویس‌های غیرضروری را از دسترس خارج کردند؛ به این معنی که حتی در صورت لزوم، آن سرویس را به‌صورت فیزیکی خاموش کردند. می‌دانم این کار بسیار سخت است، به‌ویژه در سیستم‌های بانکی و مالی، چراکه از مدار خارج کردن یا خاموش کردن این ساختار، خود فرایند و مسئولیت خاصی دارد و ممکن است برای مدیر مربوطه تبعات حقوقی یا کسب‌وکاری ایجاد کند. اما این تصمیم در چنین شرایطی این اطمینان را می‌دهد که بتوان در آینده و در شرایط پایدار، سرویس‌های غیرضروری را بازگرداند و دوباره از آن‌ها استفاده کرد.

قطع اینترنت

وی با بیان اینکه این‌ها کلیت کارهایی است که می‌توان در لایه‌های فنی انجام داد، اظهار کرد: مطمئناً متخصصان حوزه امنیت سایبری این نکته را در نظر خواهند داشت که با توجه به قطع دسترسی به اینترنت، سامانه‌ها از نظر دریافت وصله‌های امنیتی دچار اختلال می شوند از این رو آنها باید این نکته را در نظر بگیرند که به محض بازگشت پایدار اینترنت، نباید بلافاصله سیستم‌ها و کاربران را به اینترنت متصل کرد.

وی افزود: در مرحله نخست، لازم است وصله‌های امنیتی به ‌صورت کنترل ‌شده دریافت شوند، روی سیستم‌ها قرار گیرند و سپس فرآیند اتصال و بازگشت شبکه به حالت عادی آغاز شود.

کریمان تأکید کرد: در سازمان‌های بزرگ و دستگاه‌های دولتی، بارها مشاهده کرده‌ایم که کارمندان سیستم خود را ترک می‌کنند و به دلیل نبود سیاست مشخص برای خاموش کردن آن سیستم، دستگاه روشن در سازمان باقی می‌ماند. حتماً باید بررسی و اطمینان حاصل شود که تمام سیستم‌ها یا ورک‌استیشن‌هایی که قرار نیست مورد استفاده قرار گیرند، به ‌صورت کامل خاموش باشند، زیرا در برخی موارد دیده‌ایم که نقاط ورود در همین سیستم‌ها ایجاد شده و مهاجم از آنها برای آغاز حمله استفاده کرده است.

وی با بیان اینکه این‌ها کلیاتی درباره امنیت سایبری است که باید مدنظر قرار گیرد، افزود: در جزئیات نیز کارشناسان این حوزه حتماً باید پلن تیم واکنش سریع را بررسی کنند، دارایی‌های سیستم و نقشه ارتباطات خود را به‌روزرسانی کنند، لاگ‌های سیستم و نسخه‌های پشتیبان را بسیار جدی بگیرند و همه این موارد را در برنامه کاری خود بگنجانند.

حملات سایبری در شرایط جنگی

کریمان در پاسخ به این پرسش که در شرایط فعلی بیشترین نوع حملات سایبری از چه جنسی است، گفت: با توجه به کانالیزه شدن شبکه اینترنت در ایران، در صورت وقوع حمله، احتمالاً این حملات از نوع «تخریب» خواهند بود؛ زیرا تلاش برای دسترسی به شبکه‌های داخلی از خارج از کشور بسیار سخت و پیچیده شده است. البته نمی‌گویم ناممکن است، اما قطعاً میزان پیچیدگی آن افزایش یافته است. 

وی افزود: با توجه به گستردگی شبکه، احتمال وجود آلودگی‌های پیشین در داخل شبکه ملی ایران وجود دارد و همین نقاط آلوده می‌توانند به ‌عنوان منشأ و نقطه آغاز حملات به کسب‌وکارهای داخلی مورد استفاده قرار گیرند. 

این متخصص حوزه امنیت سایبری تأکید کرد: مهمترین تهدیدی که در حال حاضر سازمان‌ها را تحت تأثیر قرار می‌دهد، نابودی کامل کسب‌ و کارها است؛ به این معنا که داده‌های آن سازمان کاملاً پاک یا رمزگذاری می شوند؛ مشابه اتفاقی که در برخی حملات به شبکه بانکی دیده‌ایم. در چنین حملاتی عملاً امکان شناسایی یا جلوگیری در همان لحظه وجود ندارد و تنها راه مقابله، اقدام سریع است. 

وی ادامه داد: تنها اقدام مؤثر در این شرایط، خارج کردن فوری سرورها از دسترس است؛ به این صورت که همه آنها باید به‌ صورت فیزیکی و همزمان خاموش شوند. بهترین روش در چنین شرایطی، شات‌دان کردن و قطع مستقیم برق دستگاه‌هاست، زیرا فرآیند خاموش‌ سازی نرم‌افزاری در بسیاری از موارد با اختلال روبرو می‌شود و می‌تواند منجر به تخریب داده‌ها خواهد شد.

تاب آور بودن کشور در برابر حملات سایبری

کریمان در خصوص وضعیت و سطح آمادگی کشور در برابر حملات سایبری اظهار کرد: با اتفاقی که رخ داده، وضعیت ایران را با رژیم صهیونیستی مقایسه می‌کنم. پروژه شبکه ملی اطلاعات که در دستگاه‌های دولتی ایران آغاز شده، مشابه پروژه‌هایی است که در رژیم صهیونیستی، روسیه و چین پیاده‌سازی شده است. طبیعی است که مسایل مرتبط با حاکمیت ملی ایجاب می‌کند داده‌های هر کشور در اختیار همان کشور باشد.

وی افزود: در شرایط بحران، مشاهده می‌کنیم که تمام این کشورها کنترل‌های لازم را اعمال می‌کنند. این موضوع در شرایط جنگ بسیار طبیعی است. اینکه ما چقدر توانسته‌ایم آمادگی لازم را کسب کنیم، مسئله‌ای قابل تامل است. دنیای سایبری برخلاف دنیای واقعی، حملات در آن متوقف نمی‌شوند و با توجه به رشد مداوم، وقوع حوادث سایبری کاملاً طبیعی است.

کریمان با تاکید بر اینکه در این زمینه نکته اساسی این است که پس از وقوع حمله، چقدر می‌توانیم به وضعیت خدمت‌دهی بازگردیم و این فرآیند با چه هزینه‌ای انجام خواهد شد، تأکید کرد: در سال‌های گذشته، با توجه به تجربیات حاصل شده، راهکارهایی برای عبور از این حملات با کمترین هزینه در نظر گرفته شده است، اما همچنان جای کار بسیار زیادی باقی مانده است. تحریم‌ها و مشکلات اقتصادی، توانایی سازمان‌ها و کسب‌وکارها را برای پیشبرد برنامه‌های خود در حوزه ارتقا امنیت سایبری به شدت محدود کرده است. این عوامل باعث می‌شوند تاب‌آوری کسب ‌و کارها در برابر حملات سایبری روز به روز کاهش یابد.

وی اضافه کرد: با این حال، لازم است واقعاً به تلاش‌های کارشناسان امنیت و کارشناسان IT که در این شرایط سخت پای کار ایستاده‌اند، خسته نباشید گفت. آنها با وجود امکانات محدود و استرس فراوان، در تلاشند تا پایداری شبکه را حفظ کنند.

اینترنت استارلینک و خرید کامفیگ‌ها

کریمان در خصوص دسترسی به شبکه استارلینک توضیح داد: با توجه به اینکه استارلینک زیرساخت ماهواره‌ای دارد، یک شبکه جداگانه است که امکان دسترسی به منابع خارج از ایران را فراهم می‌کند، گویی در خارج از کشور حضور دارید. اما از آنجایی که دسترسی شبکه داخلی به استارلینک از خارج از ایران به شبکه داخلی محدود شده است، حتی کانکشن‌های استارلینک نیز قادر به باز کردن سایت‌های داخلی ایران نیستند.

وی افزود: تلاش شده است با یک‌طرفه کردن دسترسی‌ها، بخشی از این موارد کنترل شود. البته نباید فراموش کرد که در مواردی، دشمنان می‌توانند با استفاده از این زیرساخت‌ها و از طریق راهکارها، این موانع را دور بزنند، اما این امکان برای همه فراهم نیست.

کریمان به مخاطب عام اشاره کرد و یادآور شد: کلاهبرداران در این حوزه با فروش کانکشن‌ها یا سوداگری، سعی در سوءاستفاده از شرایط دارند. در این شرایط، باید به مردم گفت که با توجه به یک‌طرفه شدن اینترنت، امکان راه‌اندازی زیرساختی برای دور زدن این محدودیت‌ها در حال حاضر بسیار پایین است. البته غیرممکن نیست، اما راهکارهایی وجود دارد که نیاز عموم مردم برای استفاده روزمره از اینترنت را برطرف نمی‌کند.

وی اضافه کرد: این وضعیت با توجه به تصمیمات حاکمیتی ایجاد شده است و این دوران باید سپری شود تا مجدداً بتوانیم شاهد باز شدن دسترسی‌ها باشیم و مردم بتوانند از اینترنت آزادتر بهره‌مند شوند.

کریمان در پاسخ به این سوال که آیا فروش فیلترشکن‌هایی با قیمت ۵ میلیون تومان، صرفاً نوعی سوداگری است، گفت: در مواردی مانند استارلینک که فروش آن به معنای دسترسی به اینترنت خارجی و بین‌المللی است، قضیه متفاوت است. اما به غیر از این موارد، اکثر خدماتی که در قالب کانکشن فروخته می‌شوند، بیشتر شبیه کلاهبرداری هستند؛ چرا که شرایط اتصال به اینترنت بسیار پیچیده و سخت شده است. این سرویس‌ها، حتی اگر کار کنند، نهایتاً چند ساعت فعال خواهند بود و نمی‌توانند به صورت مداوم سرویس‌دهی کنند.

این محقق حوزه امنیت سایبری ضمن آرزوی موفقیت و سلامتی برای عموم مردم، اظهار امیدواری کرد که هرچه زودتر از این برهه حساس عبور کرده و دوباره آرامش و امنیت به جامعه بازگردد.

انتهای پیام