امنیت اطلاعات و آمادگی شبکه های ایرانی

امنیت اطلاعات و آمادگی شبکه های ایرانی

همان طور که زندگی انسان در دنیای فیزیکی همواره در معرض تهدیدات گوناگون قرار دارد، این روزها دیگر دنیای مجازی هم مکان امنی برای انسان ها محسوب نمی شود .
روزانه خبرهای متعددی مبنی بر هک شدن چندین سایت، کلاهبرداری های اینترنتی و . . . به گوش می رسد که این مساله باعث شده است که به امنیت در شبکه های اطلاع رسانی توجه ویژه ای شود . هر ساله کشورهای بزرگ دنیا برای برقراری امنیت در این دنیای مجازی برنامه و سیاستگذاری های ویژه ای را اجرا می کنند تا درصد ناامنی در این شبکه ها را کاهش دهند . برای بررسی وضعیت امنیت شبکه های اطلاع رسانی ایران گفت وگویی با بهرنگ فولادی دارای مدرک cissp انجام داده ایم که در ادامه می خوانید:
به عنوان پرسش نخست مایلیم تفاوت دو ترکیبی که معمولا روزانه می شنویم یعنی «امنیت اطلاعات» و «امنیت شبکه» را بدانیم؟امنیت اطلاعات مفهوم گسترده ای است که محافظت از اطلاعات (مستقل از نحوه نگهداری، انتقال و پردازش آنها) با اولویت بندی براساس «ارزش» آن اطلاعات را شامل می شود . به طور کلی امنیت اطلاعات شامل دامنه ای از فعالیت هایی است که امنیت شبکه های رایانه ای یکی از آنها محسوب می شود . فعالیت های دیگر مانند امنیت فیزیکی و امنیت عوامل انسانی در کنار امنیت شبکه ساختار یک سیستم امنیت اطلاعات را تشکیل می دهند . شبکه های کامپیوتری و سرویس های اینترنتی در کشور ما روز به روز در حال رشد هستند، آیا این رشد حجم اطلاعات از نظر امنیت اطلاعات نگران کننده است؟
رشد حجم اطلاعات الزاما بیانگر بالا رفتن ارزش آن اطلاعات نیست . در بررسی امنیت اطلاعات، ارزش اطلاعات ملاک تصمیم گیری است . حال با توجه به بودجه پایین راه های امنیتی در سازمان ها و مجموعه های عظیم کشور، به نظر می رسد این اطلاعات برای مدیران و مالکان به رغم حجم آن چندان حیاتی محسوب نمی شود .
به نظر می رسد که نگرانی های امنیتی حداقل بخشی از دلایل سرعت کم توسعه یافتن ما در حوزه دیجیتال باشد . مثلا بسیاری از مدیران بانک ها به دلیل ترس از حملات اینترنتی به سمت بانکداری الکترونیکی نمی روند، آیا شما نگرانی ها را به اندازه ای جدی تلقی می کنید که نتوان سیستم را توسعه داد؟
عوامل اصلی عدم توسعه یافتگی در حوزه دیجیتال، از دید کلان، بیشتر مربوط به مسائل سیاسی و اقتصادی است تا مسائل فنی و تکنیکی . در مورد بانک ها و موسسات مالی، مشکل اصلی نبود زیرساخت های مناسب، کمبود فناوری های نرم افزاری و سخت افزاری امنیت سیستم ها است . در حال حاضر میزان ضرر و زیان بانک ها از بابت تخلفات داخل و جرم های سنتی رقمی بسیار بالاتری از سوء استفاده های احتمالی ممکن از سیستم های بانکداری الکترونیکی است .
برخی از کشورها سیاست های امنیت اطلاعاتی مشخصی را همه ساله تدوین و به اجرا می گذارند . آیا ما نیز هم اکنون به چنین سیاست گذاری هایی نیاز داریم؟
در کشور ما نیز چندی پیش، سیاستی مبنی بر امنیت فضای تبادل اطلاعات (افتا) تدوین شد که از ابلاغ آن به تمام دستگاه های دولتی، بیش از 3سال سپری می شود . در آغاز ابلاغ این طرح، اقداماتی از سوی برخی سازمان های دولتی برای اجرای سیاست های طرح (افتا) انجام و مناقصاتی نیز در این زمینه آماده و اعلام شد، اما هم اکنون یا این طرح ها به فراموشی سپرده شده اند و یا اینکه مسیر دیگری جز طرح (افتا) را طی کرده اند .
در زمینه آموزش به نظر می رسد که اساسا کار چندانی صورت نگرفته و حتی گاهی راه به خطا رفته، چرا که کلاس هایی که عمدتا به اسم امنیت برگزار می شود بیشتر حالت ضدامنیتی و تخریبی دارند که پوشش امنیتی گرفته اند . در دولت و سازمان های بزرگ هم به نظر می رسد که آموزش دچار همین مشکل است . آیا ما در ایران به شرکت های بزرگ امنیتی برای پوشش، نیازهای کلان احتیاج نداریم؟
امکان دسترسی به مطالب و نرم افزارهای تخریبی از طریق اینترنت، بخشی از فرآیند جریان آزاد اطلاعات در این شبکه به شمار می آید که در این میان عده ای نیز با گردآوری این منابع و برگزاری کلاس های آموزشی به بهره برداری مالی از آن می پردازند . در مورد امکان دسترسی به مطالب مرتبط با ضعف های امنیتی، کشورهای پیشرفته صنعتی هر یک قوانین داخلی خود را وضع و اعمال می کنند . به عنوان مثال از چند ماه پیش در کشور آلمان قانونی به مرحله اجرا گذاشته شد که انتشار هرگونه مطلب یا نرم افزار مرتبط با ضعف های امنیتی و نفوذ به سیستم ها را برای سایت های آلمانی ممنوع و مجازات هایی برای آن وضع کرده است