در حوزه امنیت سیستم‌ها با مشکل نیروی متخصص مواجهیم

نرگس چهرقانی، روزنامه‌نگار: اخیرا سامانه‌های سوخت در استان‌ها و شهرهای مختلف دچار اختلالاتی شد. این اختلالات ناشی‌از هک این سامانه بود. این حادثه ابعاد بسیاری دارد که نمی‌توان به‌سادگی از آنها عبور کرد. یکی از مهم‌‌‌ترین این ابعاد، بعد فنی و امکان نفوذ به سیستم هوشمند سوخت‌رسانی است. پیرامون این مباحث فنی با یعقوب فرجامی، دانشیار گروه کامپیوتر و آی‌تی دانشگاه قم به گفت‌وگو پرداختیم که در ادامه می‌خوانید.

اخیرا سامانه سوخت هک شد و پیش‌تر نیز ما چنین حمله‌‌های سایبری را داشتیم. به‌نظر شما مشکل اصلی سیستم امنیتی ما از فرسودگی زیرساخت‌های شبکه‌ای است یا ناکارآمد بودن مدیریت این سیستم‌ها؟ مشکل اصلی در کجاست؟

باتوجه به گسترده بودن شبکه‌ها، ما شبکه‌هایی داریم که بسیار کلان و بزرگ هستند و وجود اجزای بسیار متعدد در شبکه‌ها، بعضی از این اجزا و سخت‌افزارها به‌روزرسانی نشده و دارای فریمورهای(سفت‌افزارها) قدیمی هستند. این فریمورها معمولا آسیب‌پذیری دارند، لذا بعضی از این ابزارها و اجزا محل ایجاد اختلال در کل شبکه می‌شوند. برای نمونه می‌توان بحث لوازم خانگی را مثال زد؛ لوازم خانگی قدیمی (مانند بعضی تلویزیون‌های هوشمند یا مودم‌روترهای اتصال به اینترنت) به‌علت قدیمی بودن اجزایشان به‌راحتی قابل‌ هک هستند.

در همین زمینه سوالی که برای بنده پیش می‌آید، این است که وقتی اجزای شبکه‌های امنیتی قدیمی می‌شوند، آیا امکان تعویض‌شان وجود ندارد یا اینکه ما نمی‌توانیم این اجزا را در داخل کشور تولید کنیم؟

این اجزا قابلیت جایگزینی، اصلاح و طراحی مجدد دارند. درباره قسمت دوم سوال‌تان باید بگویم هیچ کشوری در جهان نمی‌تواند بگوید من همه‌چیز را می‌توانم بسازم. مثلا شما ژاپن یا آلمان یا فرانسه یا... را اگر نگاه کنید، در بعضی بخش‌ها از فناوری‌های کشورهای دیگر استفاده می‌کنند. ما هم بعضی از قطعات را می‌توانیم در داخل طراحی کنیم و بسازیم و بعضی را از کشورهای دیگر وارد کنیم. مثلا موارد مربوط به میکروکنترلرها را می‌توانیم در حد بالایی در کشور خودمان تولید کنیم. ولی در بعضی قسمت‌ها مانند بردهای هوشمند برنامه‌پذیر یا تولید سرورهای اختصاصی معمولا همه قطعات‌شان در ایران تولید نمی‌شود.

وارد کردن این قطعات از کشورهای دیگر آیا باعث نمی‌شود سیستم‌های امنیتی ما آسیب‌پذیرتر شود؟ چون این قطعات ساخت آن کشورهاست و ممکن است این قطعات را به‌شکلی تعبیه کنند که بعدها بتوانند هکش کنند.

ما وقتی داریم یک شبکه کلان امنیتی طراحی می‌کنیم، باید با یک دید کلان و استراتژی و معماری امنیتی آن‌را طراحی کنیم، سپس استحکام آن را اثبات و درنهایت آن را استقرار داده و اجرایی کنیم. در طراحی شبکه‌های کلان، باتوجه به اینکه اجزای متعدد از کشورهای مختلف تهیه شده‌اند، باید چیدمان و تنظیمات اجزا را طوری قرار دهیم که طراحی برخی از اجزا موجب آسیب‌پذیری‌های احتمالی کل شبکه نشود، به این نوع طراحی و استقرار آزمون استحکام امنیتی، اندیشه معماری امنیتی کلان گفته می‌شود و این شدنی است.

آیا کارشناسان شبکه و امنیت به‌درستی آموزش می‌بینند یا در حوزه هک و امنیت سیستم‌ها نیروهای کارآمدی به اندازه کافی وجود دارد؟

در حوزه امنیت سیستم‌ها، ما در بعضی حوزه‌ها به میزان کافی نیرو تربیت کردیم، ولی در بعضی حوزه‌های خاص نیروی کافی آموزش‌دیده نداریم. مثلا در حوزه شبکه کامپیوتری تعداد زیادی نیروی کارآزموده و مسلط داریم. ولی در بعضی حوزه‌های دیگر مانند سیستم‌های تعبیه‌شده یا امبدد ضرورت دارد که بیشتر موردتوجه واقع شود تا از حوادث اختلالات کارکردی و فرصت‌های تهاجم سایبری مانند هک سامانه سوخت یا گسترده‌تر از آن جلوگیری شود.

تا جایی‌که بنده مطالعه کردم، سیستم امنیتی همه سازمان‌ها به یک سرور اصلی وصل است و سیستم‌های امنیتی مجزا ندارد، به همین علت سیستم امنیتی سازمان‌های مختلف کشور ما آسیب‌پذیر شده است. می‌خواستم بدانم اگر سیستم امنیتی سازمان‌های مختلف مثلا همین سامانه سوخت را به‌طور مجزا تعبیه کنند، به‌طوری‌که اگر سرور اصلی هک شد، سرورهای جزئی قابل‌هک نباشد، ازلحاظ هزینه‌ای زیاد می‌شود و به چه‌صورت است؟

فرمایش شما درست است؛ اینکه تامین امنیت بدون ضرورت به یک سیستم مرکزی فرماندهی و کنترل یک بخشی از طراحی معماری امنیتی است. یعنی ما در طراحی معماری امنیتی باید به‌گونه‌ای عمل کنیم که تک‌نقطه(های) شکست نداشته باشد. به‌علاوه در تمامی شبکه‌های کلان، اعم‌از گاز، سوخت، برق، بانک و حتی سیستم آموزش باید سناریوهای بازیابی از حادثه و سناریوهای بسیار حیاتی آفلاین که اصطلاحا آفلاین سناریو (آمادگی و توانایی سامانه‌های کلان شبکه‌ای برای پاسخگویی در هنگام غیربرخط) گفته می‌شود، تدبیر شود. به‌عبارت دیگر، پاسخ‌دهی سیستم‌ها حداقل در یک مدت‌زمان چندروزه بتواند تداوم و پایداری سرویس را به‌شکل خودگردان و بدون ضرورت اتصال به سیستم‌های مرکزی تضمین و تامین کند. در همه سیستم‌ها باید آفلاین سناریو اعمال شود.