کارشناسان حوزه امنیت سایبری در گفتوگو با «ایران» عنوان کردند
حادثه لبنان، زنگ خطری برای امنیت تجهیزات ارتباطی وارداتی
انفجار پیجرها و بیسیمهای وارداتی در لبنان، بار دیگر امنیت تجهیزات ارتباطی و زیرساختی وارداتی را در کانون توجه قرار داده و برخی هم آن را یک زنگ خطر میدانند و بر افزایش کنترل بیشتر این تجهیزات تأکید دارند؛ امنیتی که برخی کارشناسان معتقدند با توجه به شرایط تحریمی کشور و احتمال دستکاری تجهیزات وارداتی توسط دشمنان، باید ازسوی واردکنندگان کنترل شود و درمقابل، برخی دیگر اعتقاد دارند تأمین این امنیت تنها وظیفه طیف واردکننده نیست و باید جامع باشد و کل زنجیره تأمین را در برگیرد.
میترا جلیلی
دبیر گروه فناوری
امنیت زنجیره تأمین
نایب رئیس کانون هماهنگی امنیت فضای تولید و تبادل اطلاعات «افتا» در گفتوگو با «ایران»، با اشاره به وقوع انفجار پیجرها و دستگاههای بیسیم در لبنان، موضوع اصلی در پیشگیری از چنین اتفاقاتی را امنیت زنجیره تأمین دانست.
علیرضا صالحی افزود: اتفاقاتی که از مرحله تولید تجهیزات تا مصرف یعنی زنجیره تأمین رخ میدهد، میتواند زمینهساز بروز حوادث سایبری شود؛ موضوعی که در کشور ما هم در حمله استاکس نت به تجهیزات اتمی رخ داد و بخشی از تجهیزات در حین انتقال از محل ساخت به محل نصب، با عبور از کشورهای مختلف مورد حمله بدافزاری قرار گرفتند. دراین زنجیره بدافزارها روی تجهیزات نصب شده بودند و درنهایت هم مشکلاتی ایجاد شد.
وی ادامه داد: گفته میشود تجهیزات منفجر شده در لبنان، در کشور دیگری تولید شده و در مسیر انتقال به لبنان یا در همان کارخانه سازنده، دستکاری شده که این موضوع هم به امنیت زنجیره تأمین مربوط میشود.
نایب رئیس کانون هماهنگی افتا یادآورشد: در کشور ما هم تجهیزات زیادی وارد میشود که مقصد تعداد زیادی از آنها مشخص است و به دلیل تحریمها تلاش میشود مقصد برخی ناشناس باقی بماند. به همین دلیل هم این تجهیزات با عبور از بنادر و مسیرهای مختلف، به مقصد میرسند اما مطمئناً با کمی کنکاش و کارهای اطلاعاتی، مقصد محصول مشخص میشود و میتواند هدف حملات قرار بگیرد، بنابراین باید به امنیت زنجیره تأمین توجه بیشتری شود.
صالحی یادآورشد: بخشی از امنیت زنجیره تأمین، در حین تولید و ازطریق ناظرهای فعال در کارخانه و بخشی هم با کنترل، پایش و حراست از محموله در مسیر اتفاق میافتد اما بخش مهمی که کمتر مورد توجه قرار میگیرد، کنترل و نظارتی است که باید در محل مصرف انجام شود.
ضعفهای موجود در کشور
وی با تأکید بر اینکه حتی اگر همه زنجیره تأمین نیز به درستی کنترل شود باز هم از انجام تستهای امنیتی در محل مصرف بینیاز نمیشویم، گفت: این موضوع در کشورما با ضعفهایی همراه است.
بسیاری از شرکتها مجوز ورود و اجازه نصب تجهیزات در زیرساختها را دارند ولی چون به شرکت واردکننده تجهیزات اطمینان دارند، در نقطه پایانی یعنی مصرف کننده نهایی، خود را ملزم به کنترل و چک نهایی نمیدانند. اما مشکل اینجاست که همین شرکت واردکننده ممکن است هدف حمله زنجیره تأمین قرار گرفته باشد و ناخواسته، تجهیزات نرمافزاری یا سختافزاری آلوده را وارد کشور کرده باشد.
این فعال حوزه امنیت سایبری یادآور شد: پس باید هم از امنیت کل زنجیره تأمین حفاظت و حراست شود و هم در نقطه نهایی، کنترلها را درست و بموقع و با تجهیزات استاندارد انجام دهیم تا دچار مشکلاتی همچون تأسیسات نطنز و استاکس نت که ازجنس همین حملات به زنجیره تأمین بود، نشویم.
پایش
شبکه بهرهبردار نهایی
رئیس کمیسیون تأمین نظام صنفی رایانهای تهران درگفتوگو با «ایران»، درباره نحوه نظارت بر تجهیزات وارداتی مخابراتی به کشور گفت: همه مشکلات احتمالی امنیت این تجهیزات به واردکنندگان مربوط نمیشود و در این میان باید به مواردی که مغفول مانده، توجه کرد تا مانع حملات سایبری به زیرساختهای کشور شویم.
مسعود شکرانی افزود: یکی ازاین موارد، بحث پایش شبکه بهرهبردار نهایی است که در این بزنگاه تاریخی، زمان آن فرا رسیده تا این مهم عملیاتی شود.
وی یادآور شد: در روال پایش شبکه بهرهبردار نهایی، مواردی همچون وضعیت شبکه و اصولی بودن آن، به روز بودن نرمافزارها و پچهای امنیتی و همچنین آموزش پرسنل کنترل میشود و در صورت مشاهده هرگونه مشکلی، موضوع بلافاصله حل میشود. از نگاه شکرانی، آموزش پرسنل یکی از مهمترین آیتمها در بحث امنیت به شمار میرود.
وی امنیت را یک چرخه کامل از عملیات مختلف دانست و یادآور شد: در این مسیر همه اقدامات باید به درستی انجام شود، یعنی باید خرید از منابع درست انجام شود و ازسوی دیگر با منابع بینالمللی ارتباط درستی داشته باشیم. همچنین باید واحدهای مختلف حراستی و نظارتی کشور با یکدیگر هماهنگ باشند و حتی جلسات ماهیانه برای اشتراک دانش داشته باشند.
شکرانی تأکید کرد: باید تجهیزات لازم برای کنترلهای دقیقتر برای گمرک خریداری شود و ازسوی دیگر پایش شبکه بهرهبردار نهایی هم قانونمند شود.
وی همچنین یادآور شد: باید استانداردهای بینالملل در زمینه واردات تجهیزات مخابراتی به کشور را بپذیریم و تست و آزمایش را در شبکه بهرهبردار نهایی انجام دهیم.
وی با اشاره به اینکه دستگاه دیپلماسی باید روی سازمانهای جهانی فشار بیاورد، گفت: در تمام حملات سایبری به زیرساخت کشور، نقش سختافزارها کمتر از یک درصد بوده است و بیشتر مشکلات به حوزه نرمافزار و دانش آن مربوط میشود.
ازسوی دیگر فشار بیشتر به تأمینکنندگان تجهیزات مخابراتی عملاً به توسعه قاچاق منجر میشود و قطعاً وضعیت امنیت تجهیزات در غیاب واردکنندگان شناسنامهدار، متزلزل خواهد شد.
بــــرش
جای خالی دستورالعملهای سخت برای تست تجهیزات
صالحی با اشاره به اینکه نباید تنها به واردکننده فشار آورد که تجهیزات را تست کند، گفت: مرکز افتا، پدافند غیرعامل و نهادبالادستی یعنی مرکز ملی فضای مجازی باید دستورالعملهای سختتری برای تست تجهیزات در محل مصرف داشته باشند. البته وظیفه واردکننده برای انجام تستهای امنیتی، نافی مسئولیتهای مصرف کننده در نقطه نهایی مصرف نیست و باید کنترلهای لازم انجام شود.