کارشناسان حوزه امنیت سایبری در گفت‌و‌گو با «ایران» عنوان کردند

حادثه لبنان، زنگ خطری برای امنیت تجهیزات ارتباطی وارداتی

انفجار پیجرها و بی‌سیم‌های وارداتی در لبنان، بار دیگر امنیت تجهیزات ارتباطی و زیرساختی وارداتی را در کانون توجه قرار داده و برخی هم آن را یک زنگ خطر می‌دانند و بر افزایش کنترل بیشتر این تجهیزات تأکید دارند؛ امنیتی که برخی کارشناسان معتقدند با توجه به شرایط تحریمی کشور و احتمال دستکاری تجهیزات وارداتی توسط دشمنان، باید ازسوی واردکنندگان کنترل شود و درمقابل، برخی دیگر اعتقاد دارند تأمین این امنیت تنها وظیفه طیف واردکننده نیست و باید جامع باشد و کل زنجیره تأمین را در برگیرد.

  میترا جلیلی
دبیر گروه فناوری

امنیت زنجیره تأمین
نایب رئیس کانون هماهنگی امنیت فضای تولید و تبادل اطلاعات «افتا» در گفت‌و‌گو با «ایران»، با اشاره به وقوع انفجار پیجرها و دستگاه‌های بی‌سیم در لبنان، موضوع اصلی در پیشگیری از چنین اتفاقاتی را امنیت زنجیره تأمین دانست.
علیرضا صالحی افزود: اتفاقاتی که از مرحله تولید تجهیزات تا مصرف یعنی زنجیره تأمین رخ می‌دهد، می‌تواند زمینه‌ساز بروز حوادث سایبری شود؛ موضوعی که در کشور ما هم در حمله استاکس نت به تجهیزات اتمی رخ داد و بخشی از تجهیزات در حین انتقال از محل ساخت به محل نصب، با عبور از کشورهای مختلف مورد حمله بدافزاری قرار گرفتند. دراین زنجیره بدافزارها روی تجهیزات نصب شده بودند و درنهایت هم مشکلاتی ایجاد شد.
وی ادامه داد: گفته می‌شود تجهیزات منفجر شده در لبنان، در کشور دیگری تولید شده و در مسیر انتقال به لبنان یا در همان کارخانه سازنده، دستکاری شده که این موضوع هم به امنیت زنجیره تأمین مربوط می‌شود.
نایب رئیس کانون هماهنگی افتا یادآورشد: در کشور ما هم تجهیزات زیادی وارد می‌شود که مقصد تعداد زیادی از آنها مشخص است و به دلیل تحریم‌ها تلاش می‌شود مقصد برخی ناشناس باقی بماند. به همین دلیل هم این تجهیزات با عبور از بنادر و مسیرهای مختلف، به مقصد می‌رسند اما مطمئناً با کمی کنکاش و کارهای اطلاعاتی، مقصد محصول مشخص می‌شود و می‌تواند هدف حملات قرار بگیرد، بنابراین باید به امنیت زنجیره تأمین توجه بیشتری شود.
صالحی یادآورشد: بخشی از امنیت زنجیره تأمین، در حین تولید و ازطریق ناظرهای فعال در کارخانه و بخشی هم با کنترل، پایش و حراست از محموله در مسیر اتفاق می‌افتد اما بخش مهمی که کمتر مورد توجه قرار می‌گیرد، کنترل و نظارتی است که باید در محل مصرف انجام شود.

ضعف‌های موجود در کشور
وی با تأکید بر اینکه حتی اگر همه زنجیره تأمین نیز به درستی کنترل شود باز هم از انجام تست‌های امنیتی در محل مصرف بی‌نیاز نمی‌شویم، گفت: این موضوع در کشورما با ضعف‌هایی همراه است.
بسیاری از شرکت‌ها مجوز ورود و اجازه نصب تجهیزات در زیرساخت‌ها را دارند ولی چون به شرکت واردکننده تجهیزات اطمینان دارند، در نقطه پایانی یعنی مصرف کننده نهایی، خود را ملزم به کنترل و چک نهایی نمی‌دانند. اما مشکل اینجاست که همین شرکت واردکننده ممکن است هدف حمله زنجیره تأمین قرار گرفته باشد و ناخواسته، تجهیزات نرم‌افزاری یا سخت‌افزاری آلوده را وارد کشور کرده باشد.
این فعال حوزه امنیت سایبری یادآور شد: پس باید هم از امنیت کل زنجیره تأمین حفاظت و حراست شود و هم در نقطه نهایی، کنترل‌ها را درست و بموقع و با تجهیزات استاندارد انجام دهیم تا دچار مشکلاتی همچون تأسیسات نطنز و استاکس نت که ازجنس همین حملات به زنجیره تأمین بود، نشویم.

پایش
 شبکه بهره‌بردار نهایی
رئیس کمیسیون تأمین نظام صنفی رایانه‌ای تهران درگفت‌و‌گو با «ایران»، درباره نحوه نظارت بر تجهیزات وارداتی مخابراتی به کشور گفت: همه مشکلات احتمالی امنیت این تجهیزات به واردکنندگان مربوط نمی‌شود و در این میان باید به مواردی که مغفول مانده، توجه کرد تا مانع حملات سایبری به زیرساخت‌های کشور شویم.
مسعود شکرانی افزود: یکی ازاین موارد، بحث پایش شبکه بهره‌بردار نهایی است که در این بزنگاه تاریخی، زمان آن فرا رسیده تا این مهم عملیاتی شود.
وی یادآور شد: در روال پایش شبکه بهره‌بردار نهایی، مواردی همچون وضعیت شبکه و اصولی بودن آن، به روز بودن نرم‌افزارها و پچ‌های امنیتی و همچنین آموزش پرسنل کنترل می‌شود و در صورت مشاهده هرگونه مشکلی، موضوع بلافاصله حل می‌شود. از نگاه شکرانی، آموزش پرسنل یکی از مهم‌ترین آیتم‌ها در بحث امنیت به شمار می‌رود.
وی امنیت را یک چرخه کامل از عملیات مختلف دانست و یادآور شد: در این مسیر همه اقدامات باید به درستی انجام شود، یعنی باید خرید از منابع درست انجام شود و ازسوی دیگر با منابع بین‌المللی ارتباط درستی داشته باشیم. همچنین باید واحدهای مختلف حراستی و نظارتی کشور با یکدیگر هماهنگ باشند و حتی جلسات ماهیانه برای اشتراک دانش داشته باشند.
 شکرانی تأکید کرد: باید تجهیزات لازم برای کنترل‌های دقیق‌تر برای گمرک خریداری شود و ازسوی دیگر پایش شبکه بهره‌بردار نهایی هم قانونمند شود.
وی همچنین یادآور شد: باید استانداردهای بین‌الملل در زمینه واردات تجهیزات مخابراتی به کشور را بپذیریم و تست و آزمایش را در شبکه بهره‌بردار نهایی انجام دهیم.
وی با اشاره به اینکه دستگاه دیپلماسی باید روی سازمان‌های جهانی فشار بیاورد، گفت: در تمام حملات سایبری به زیرساخت کشور، نقش سخت‌افزارها کمتر از یک درصد بوده است و بیشتر مشکلات به حوزه نرم‌افزار و دانش آن مربوط می‌شود.
ازسوی دیگر فشار بیشتر به تأمین‌کنندگان تجهیزات مخابراتی عملاً به توسعه قاچاق منجر می‌شود و قطعاً وضعیت امنیت تجهیزات در غیاب واردکنندگان شناسنامه‌دار، متزلزل خواهد شد.

 

بــــرش

جای خالی دستورالعمل‌های سخت برای تست تجهیزات

صالحی با اشاره به اینکه نباید تنها به واردکننده فشار آورد که تجهیزات را تست کند، گفت: مرکز افتا، پدافند غیرعامل و نهادبالادستی یعنی مرکز ملی فضای مجازی باید دستورالعمل‌های سخت‌تری برای تست تجهیزات در محل مصرف داشته باشند. البته وظیفه واردکننده برای انجام تست‌های امنیتی، نافی مسئولیت‌های مصرف کننده در نقطه نهایی مصرف نیست و باید کنترل‌های لازم انجام شود.

صفحات
آرشیو تاریخی
شماره هشت هزار و پانصد و شصت و دو
 - شماره هشت هزار و پانصد و شصت و دو - ۰۴ مهر ۱۴۰۳