ضرورت ارزیابی تجهیزات ارتباطی/ چگونه از تکرار حوادثی مانند انفجار پیجرها جلوگیری کنیم؟

در گفت‌وگو با آنا مطرح شد؛

به گزارش خبرنگار خبرگزاری آنا، با توجه به اتفاقات اخیر لبنان و انفجار پیجرها در این کشور لزوم بررسی دقیق تجهیزات ارتباطی بیش از پیش احساس می‌شود چرا که دشمن در هرلحظه با اتفاقات جدید و سوء استفاده از تجهیزات ارتباطی می‌تواند ما را شگفت زده کند. گوشی‌های هوشمند، دستگاه‌های ارتباطی و مخابراتی می‌توانند به ابزاری در جهت انجام اقدامات سودجویانه باشد.

در همین راستا هاشم حبیبی نائب رئیس کمیسیون افتا توضیح داد و گفت: اتفاقی که در لبنان افتاد و منجر به منفجر شدن تعداد زیادی از پیجر‌ها شد بحث ارزیابی‌های امنیتی و ایمنی را سر زبان‌ها انداخته است. قبل از اینکه در مورد فرایند ارزیابی تجهیزات صحبت کنیم بهتر است تعریفی از ارزیابی ایمنی و امنیتی داشته باشیم و تفاوت این دو نوع ارزیابی را بیان کنیم.

حبیبی گفت: در ارزیابی امنیتی، ویژگی‌های امنیتی سخت‌افزار یا نرم‌افزار را ارزیابی و بررسی می‌کنیم که این ویژگی‌های امنیتی درست کار کنند. مثلا اگر نرم‌افزاری داریم که برای ورود آن احراز هویت لازم دارد، در ارزیابی امنیتی بررسی می‌شود آیا روال احرازهویت درست و امن کار می‌کند؟ یا اگر سخت‌افزاری داریم که مثلا یک کلید بازگشت به کارخانه دارد، آیا با زدن این کلید تمامی اطلاعات به درستی پاک می‌شود و تنظیمات کارخانه برمی‌گردد؟ 

وب در ادامه افزود: اما در ارزیابی ایمنی باید بررسی شود که تجهیزات یا سامانه‌های نرم‌افزاری کاری را که نباید انجام دهند، انجام ندهند. مثلا در یک تجهیز سخت‌افزاری اگر قرار نیست ارتباط بی‌سیم وجود داشته باشد، باید بررسی شود که آی‌سی بی‌سیم یا بلوتوث وجود نداشته باشد. یا در یک سامانه نرم‌افزاری اگر قرار نیست ارسال داده روی شبکه داشته باشد، داده‌ای برای جایی ارسال نشود.

ارزیابی ایمنی در تجهیزات زیرساختی بر ارزیابی امنیتی تقدم دارد

حبیبی تصریح کرد: با تعریفی که از ارزیابی ایمنی و امنیتی انجام شد، متوجه شدیم که ارزیابی امنیتی یک روال استاندارد و برمبنای مشخصات سامانه یا تجهیز است و ارزیابی ایمنی یک کارخلاقانه برای یافتن چیز‌هایی است که نباید وجود داشته باشد؛ بنابراین می‌توان گفت ارزیابی ایمنی بسیار مهمتر از ارزیابی امنیتی است.

نائب رئیس افتا ادامه داد: هرچند ارزیابی امنیتی قبل از ارزیابی ایمنی باید انجام شود. حال این سوال مطرح می‌شود که چه موقع یا روی چه تجهیزات یا سامانه‌هایی باید ارزیابی امنیتی و یا ایمنی انجام شود؟ بهترین پاسخ به این سوال این است که ارزیابی امنیتی در همه مواقع و بر روی همه تجهیزات یا سامانه‌ها اعم از داخلی یا خارجی باید انجام شود، اما ارزیابی ایمنی باید بر روی تجهیزات یا سامانه‌های خارجی وعلاوه بر آن تجهیزات یا سامانه‌های داخلی که در محیط‌ها یا موقعیت‌های حساس استفاده می‌شوند حتما انجام شود. 

حبیبی گفت: باید درنظر داشت که ارزیابی امنیتی و ایمنی از لحظه تامین تا زمان بهره‌برداری باید انجام شود که گاهی به تمامی این روال‌های ارزیابی، صیانت هم گفته می‌شود. در صیانت باید از زمان تامین کالا یا سامانه تا مراحل ترانزیت و مسیر‌های حمل، تا انبارداری و استفاده از کالا یا سامانه، ارزیابی و مراقبت انجام شود.

اهمیت نیروی انسانی خبره در حوزه امنیت سایبری

وی افزود: یکی از مهمترین موضوعات در ارزیابی ایمنی، وجود نیرو‌های خبره در این حوزه هست. همانطور که خرابکار تلاش می‌کند به گونه‌ای خرابکاری کند که قابل تشخیص برای استفاده کننده نباشد، ارزیاب نیز باید به قدری متبحر و خبره باشد که بتواند مسیر‌ها و روش‌هایی خرابکاری را پیدا کند؛ بنابراین وجود چنین افرادی که حکم کارآگاهان خبره در حوزه امنیت سایبری را دارند، بسیار غنیمت است و باید در حفظ و نگهداشت آنها تلاش کرد.

حبیبی ادامه داد: با توجه به اینکه ارزیابی ایمنی یک کار حساس و بسیار با اهمیت می‌باشد، وظیفه حاکمیت است که آزمایشگاه‌های تخصصی این حوزه را راه‌اندازی کرده و نسبت به تربیت و نگهداشت نیرو‌های متخصص و مجرب در این حوزه اقدام کند.

وی خاطرنشان کرد: همچنین حاکمیت در حدامکان باید در جا‌های حساس از تجهیزات یا سامانه‌های داخلی (البته با ارزیابی امنیتی) استفاده کند. البته این توصیه به معنای آن نیست که خرابکاری در سیستم‌های داخلی امکان‌پذیر نیست، بلکه احتمال وقوع خرابکاری در سیستم‌های تولید داخل، با رعایت الزامات امنیتی کمتر می‌باشد. هرچند امنیت ١٠٠ درصد نیست و یک امر نسبی است.

حبیبی یادآور شد: اما با رعایت تمام این الزامات و مقررات‌ها می‌توان با احتمال بهتری از ایمن و امن بودن سیستم‌های درحال استفاده اطمینان داشت. امید است با تجربه‌هایی که از موضوعاتی مثل انفجار پیجر‌ها بدست آمده، و با تدوین قوانین و مقررات، راه‌اندازی آزمایشگاه‌های تخصصی و تربیت نیروی متخصص در این حوزه‌ها و نظارت عالیه، امنیت و آرامش در حوزه سایبری در کشور عزیزمان همچون گذشته برقرار باشد.