رئیس سابق مرکز ماهر گفت: برای امنیت سایبری به بازنگری و تدوین سند استراتژی مطابق با استاندارهای جدید بین‌المللی نیاز داریم.

 

«محمد تسلیمی» گفت: در طی دو دهه گذشته، میلیاردها انسان در سراسر جهان از رشد نمایی و پذیرش سریع فناوری های اطلاعات و ارتباطات و فرصت‌های اقتصادی و اجتماعی مرتبط بهره‌مند شده‌اند.

رئیس سابق مرکز ماهر افزود: از زمان ایجاد اینترنت، این شبکه از بستر ساده تبادل اطلاعات به محوری اصلی برای تجارت مدرن، خدمات و زیرساخت‌های حیاتی، شبکه های اجتماعی و اقتصاد جهانی مبدل شده است. در نتیجه، سران کشورهای مختلف شروع به راه اندازی استراتژی های دیجیتالی و تأمین بودجه برای پروژه های گوناگونی کرده‌اند که اتصال به اینترنت را افزایش می دهد و از مزایای ناشی از استفاده از فناوری اطلاعات و ارتباطات مانند افزایش بهره‌وری و کارایی، بهبود خدمات و ظرفیت و گسترش آموزش الکترونیکی بهره می‌برد.  

 

او افزود: در حالی که اعتماد جوامع به زیرساخت‌های دیجیتال رو به رشد است، فناوری ذاتاً آسیب‌پذیر است. تهدیدهای سایبری از جمله کلاهبرداری الکترونیکی، سرقت حقوق مالکیت فکری و اطلاعات شناسایی شخصی و اختلال در خدمات، سه اصل مهم امنیت زیرساخت‌های فناوری اطلاعات و ارتباطات یعنی، محرمانگی، یکپارچگی و  دسترس پذیری را به چالش کشیده‌اند.

 

رئیس سابق مرکز ماهر اضافه کرد:اکنون قدرت تحولی فناوری اطلاعات و ارتباطات و اینترنت به عنوان واکنش‌گرهای رشد اقتصادی و توسعه اجتماعی در یک نقطه بسیار مهم و حیاتی قرار دارد زیرا ممکن است اعتماد مردم به استفاده از فناوی اطلاعات و ارتباطات به دلیل ناامنی سایبری خدشه دار شود.

مشاور رئیس سازمان فناوری اطلاعات ایران اشاره کرد: از این رو، برای تحقق کامل پتانسیل فناوری، کشورها باید چشم اندازهای اقتصادی ملی خود را با اولویت‌های امنیتی ملی خود همسو کنند. اگر مخاطرات امنیتی مرتبط با گسترش زیرساخت‌های دارای فناوری اطلاعات و ارتباطات و برنامه‌های کاربردی اینترنت با استراتژی های جامع امنیت سایبری ملی و برنامه‌های تاب آوری در تعادل نباشد، کشورها قادر به دستیابی به رشد اقتصادی و اهداف امنیت ملی مورد نظر خود نخواهند بود.  

 

وی اظهار داشت: هر کشوری می تواند با تدوین و اجرای استراتژی ملی امنیت سایبری، امنیت زیرساخت‌های دیجیتالی خود را بهبود بخشد و در نهایت در گسترش آرمان های اقتصادی-اجتماعی خود سهیم باشد.  

 

رئیس سابق مرکز ماهر خاطر نشان کرد: کشور ما نیز از این امر مهم غافل نبوده است و پس از تشکیل شورای عالی افتا در اسفندماه ۸۲، تدوین سند راهبرد ملی امنیت فضای تبادل اطلاعات کشور (افتا) در دستور کار قرار گرفت و اولین نسخه آن در دیماه ۱۳۸۳ ارائه و به بحث گذاشته شد. در نهایت در اسفندماه ۱۳۸۷، سند راهبردی امنیت فضای تولید و تبادل اطلاعات کشور با تصویب هیات وزیران و تایید ریاست جمهوری ابلاغ شد. این سند که در ۶ راهبرد کلی تدوین شده است به اقدامات ذیل هر راهبرد و دستگاه‌های مجری و همکاری برای هر اقدام اشاره دارد.  

 

مشاور رئیس سازمان فناوری اطلاعات ایران گفت: البته با توجه به زمان سپری شده از تاریخ تصویب و ابلاغ سند و با عنایت به تحول روزافزون حوزه سایبری، بازنگری سند افتا که از آن به عنوان سند استراتژی ملی امنیت سایبری یاد می‌شود، می‌تواند موضوعات و دغدغه‌های جدید را نیز پوشش دهد. براساس بند ۹-۱۱ سند مذکور، سند از تاریخ ابلاغ هر دو سال یکبار به پیشنهاد وزارت ارتباطات و فناوری اطلاعات باید مورد بازنگری و تصویب قرار گیرد.

 

تسلیمی اشاره کرد: آنچه مسلم است امروز بیش از گذشته نیاز به یک استراتژی دقیق و سیاستگذاری درست در حوزه امنیت سایبری داریم. خوشبختانه در حوزه امنیت سایبری مخصوصا در لایه استراتزیک، همگرایی و هم‌افزایی خوبی شکل گرفته است.

 

وی اضافه کرد: در حال حاضر و با توجه به نقش حاکمیتی و فراسازمانی مرکز ملی فضای مجازی که انجام مستمر مطالعات راهبردی و آینده پژوهی در جهت مواجهه عالمانه و پیشتاز با تحولات فضای مجازی ایران و جهان است و همچنین تدوین نقشه جامع توسعه فاوا، برنامه‌های پنج‌ساله توسعه فضای مجازی و تعیین اولویت‌های علمی و فناوری فضای مجازی از جمله وظایف مندرج در اساسنامه آن است، پیشنهاد می‌شود این بازنگری با هماهنگی و مدیریت مرکز ملی فضای مجازی صورت پذیرد. سازمان فناوری اطلاعات ایران به عنوان یکی از ذینفعان این موضوع، این پتانسیل و آمادگی را دارد که نسبت به تهیه پیش‌نویس سند بازنگری اقدام کند.

وقتی آسیبی واقعی -در صورت وقوع یک رخداد- بیش از چند هزار دلار خرج برنمی‌دارد پس مسلم است که هیچ کس دلش نمی‌خواهد میلیون‌ها دلار خرج محافظت از شرکتش کند (این کار تا حدی احمقانه است). و اگر هم خسارات احتمالی نشت داده در شرکتی بتواند صدها هزار دلار هزینه بردارد پس صرفه‌جویی افراطی در بخش امنیت نیز می‌تواند درست به همان اندازه احمقانه باشد. اما برای محاسبه‌ی خسارات تقریبی وارد آمده به یک شرکت باید از چه قِسم اطلاعاتی استفاده کرد و چطور می‌شود میزان احتمال وقوع چنین رخدادی را سنجید؟

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)، در کنفرانس 2020 بلک‌هت دو محقق با نام‌های وید بیکر استاد دانشکده فنی ویرجینیا و دیوید سوروسکی تحلیلگر ارشد مؤسسه‌ی ساینشیا دیدگاه خود را در خصوص ارزیابی ریسک ارائه دادند که در این خبر قصد داریم نظرات آن‌ها را مورد بررسی قرار دهیم. با ما همراه بمانید.

در هر دوره‌ی امنیت سایبری اینطور آموزش داده می‌شود که ارزیابی خطر بر دو عامل اصلی متکی است: احتمال وقوع رخداد و خسارات بالقوه‌اش. اما این دست داده‌ها از کجا می‌آید؟ و مهمتر اینکه چطور باید آن‌ها را تفسیر و تعبیر کرد؟ از اینها گذشته، ارزیابی نادرست خسارات احتمالی به نتیجه‌گیری‌های نادرستی نیز منتهی می‌شود و همین خود استراتژی‌های محافظتی غلط را در پی خواهد داشت.

ریاضی شاقل درستی برای گرفتن میانگین خطرات و خسارات نیست

بسیاری از شرکت‌ها روی خسارات مالی ناشی از رخدادهای نقض داده بررسی کرده‌اند. «یافته‌های کلیدی» آن‌ها معمولاً متوسط خسارات شرکت‌هایی با اندازه‌ی قابل‌مقایسه هستند. نتیجه به لحاظ ریاضیاتی معتبر است و این رقم می‌تواند حتی در سرخط خبرها جذاب و چشم‌گیر هم به نظر بیاید؛ اما آیا واقعاً می‌شود در محاسبه‌ی خطرات روی چنین یافته‌هایی حساب باز کرد؟ همان داده‌ها را اگر با نمودار نشان دهیم –با خسارات در محور افقی و تعداد رخدادهایی که علت چنین خساراتی بودند- درخواهیم یافت که حساب و ریاضی نمی‌تواند شاخص درست و مناسبی باشد.

در 90 درصد از رخدادها، متوسط خسارات کمتر از میانگین ریاضیاتی هستند.

اگر داریم در مورد خساراتی می‌گوییم که یک کسب و کار متوسط متحمل شده است پس عقل حکم می‌کند به سایر شاخص‌ها نگاه کنیم- خصوصاً میانگین (عددی که نمونه را به دو بخش مساوی تقسیم می‌کند بطوریکه نیمی از ارقام گزارش‌شده بالاتر و نیمی از آن‌ها کمتر باشد) که در واقع حالت عددی متناسبی است.

بیشتر شرکت‌ها دقیقاً چنین خساراتی را متحمل می‌شوند. میانگین حسابی می‌تواند -به دلیل تعداد اندک رخدادهای دور از مرکز با خساراتی به طور غیرطبیعی نجومی- رقم بسیار گیج‌کننده‌ای را تولید کند.

 

متوسط هزینه‌ی ثبت داده‌های نشت‌شده

نمونه ‌دیگری از یک میانگین مشکوک می‌تواند نمونه‌ای باشد برگرفته از متود محاسبه‌ی خسارات ناشی از رخدادهای نشت، آن هم با ضرب تعداد سوابق اطلاعات آلوده‌شده با میزان متوسط خسارات یکی از موارد نشت داده. تمرینات اینطور نشان داده که در این متود، خسارات رخدادهای کوچک را دست‌کم و به طور جدی‌ای خسارات رخدادهای بزرگ دست بالا گرفته می‌شود. بگذارید مثالی بزنیم: چندی پیش، خبری در کل سایت‌های تحلیلی پیچید. در این خبر ادعا شده بود که سرویس‌های کلود با تنظیماتی نادرست حدود 5 تریلیون دلار هزینه روی دست شرکت‌ها گذاشته‌اند. اگر هم سرچ کنید که چنین رقم نجومی از کجا سر و کله‌اش پیدا شده اس متوجه خواهید شد که این 5 تریلیون دلار فقط با ضرب تعداد سوابق نشت‌شده با متوسط خسارات ناشی از یک پرونده (150 دلار) محاسبه شده است.

با این حال، باید به ماجرا از چندین بعد نگاه کرد. اول از همه اینکه این مطالعه تمامی رخدادها را مد نظر قرار نداده است. دوم اینکه حتی وقتی تنها نمونه‌ی بکارگرفته‌شده را هم لحاظ می‌کنیم، میانگین حسابی باز تصویر واضح و مشخصی در مورد این خسارات ندارد به ما نمی‌دهد؛ تنها مواردی را که خسارتی کمتر از 10 هزار دلار و بیش از یک سنت داشته‌اند لحاظ کرده است. افزون بر این، از متودولوژی این تحقیق معلوم است که این متوسط برای رخدادهایی که در آن‌ها بیش از 100 هزار مورد آلوده وجود دارد معتبر نیست. بنابراین، ضرب تعداد کل سوابق نشت‌شده در نتیجه‌ی تنظیمات نادرست سرویس‌های کلود با 150 از اساس اشتباه بوده است. اگر این متود قرار است ارزیابی ریسک واقعی تولید کند باید شاخص دیگری را نیز شامل شود: شاخص احتمال خسارات بسته به مقیاس رخداد. چنین شاخصی به طور تقریبی از قرار زیر خواهد بود:

 

اثر موجی

عامل دیگر که اغلب موقع محاسبه‌ی هزینه یک رخداد نادیده گرفته می‌شود این است که نشتی‌های مدرن اطلاعاتی روی منافع بیش از یک شرکت واحد تأثیر می‌گذارند. در بسیاری از رخدادها، مجموع خسارات واردشده به شرکت‌های طرف‌سوم (شرکا، پیمانکاران و تأمین‌کنندگان) از میزان خسارات واردشده به خود شرکت که در اصل داده از همانجا نشت شده بیشتر می‌شود. تعداد چنین رخدادهایی هر سال رو به افزایش است؛ ترند کلی دیجیتاسیون فقط سطح وابستگی متقابل را میان فرآیندهای شرکت در سازمان‌های مختلف افزایش می‌دهد. بر طبق نتایج مطالعه‌ی Ripples Across the Risk Surface–مشترکاً انجام‌شده توسط RiskRecon و Cyentia Institute- 813 رخداد از این دست منجر برای 5437 سازمان خسارت به بار آورد. بدین‌معنا که برای هر شرکت که از نشت داده رنج می‌برد –به طور متوسط- بیش از 4 شرکت آلوده‌ی چنین رخدادی می‌شوند. 

توصیه عملی

نکته مهم: آن کارشناس معقولی که ریسک‌های سایبری را ارزیابی می‌کند باید موارد زیر را لحاظ کند:

• به عنوان‌های خبری جذاب و فریبنده اعتماد نکند. حتی اگر بسیاری از سایت‌ها اطلاعات مشخصی دادند این لزوماً به معنای اعتبار و صحت آن خبر نیست. همیشه نگاهش به منبعی باشد که این ادعا را حمایت کرده و خودش متودولوژی محققین را تحلیل ‌کند.

• تنها از نتایج محققی استفاده کند که تماماً در ارزیابی ریسک خودش آن را درک می‌کند.

• در نظر داشته باشد که رخدادی در شرکت شما ممکن است برای سایر شرکت‌ها نیز خساراتی در پی داشته باشد. اگر نشتی صورت گیرد –در صورتی که مقصرش شما باشید- پس سایر طرف‌ها ممکن است به دنبال مراجع قانونی برای شکایت از شما بروند (و این حتی خسارات شما را بیشتر نیز می‌کند).

• همینطور فراموشش نشود که شرکا و پیمانکاران نیز می‌توانند در رخدادهایی که نمی‌توانید رویشان تأثیر بگذارید داده‌های شما را نشت کنند.

 

 

ستاد کل نیروهای مسلح در بیانیه ای مفاهیم سیاست های کلان و چارچوب های اقدامات نیروهای مسلح در مقابله با تهدیدات متنوع و متکثر فضای سایبری را تبیین کرد.

 

متن کامل بیانیه ستاد کل نیروهای مسلح به شرح زیر است:

 

مقدمه

 

ستاد کل نیروهای مسلح جمهوری اسلامی ایران در گفتمان امنیت ملی برای بازدارندگی و دفاع سایبری در مواجهه و مقابله با تهدیدات متنوع و متکثر فضای سایبری ماموریت دارد.

 

تمامی سازمان‌ها و نهادهای ذیربط در کشور با توجه به واگذاری ماموریت دفاعی به نیروهای مسلح و وفق فرمان مقام معظم رهبری و فرماندهی معزز کل قوا «مدظله العالی»، می‌بایستی با ستاد کل نیروهای مسلح هماهنگی و هم‌افزایی داشته باشند و از آنجا که فضای سایبری به اذعان متخصصین امر قلمرو جدیدی در حوزه دفاعی و امنیتی است، سند پیش رو به عنوان «بیانیه ستاد کل نیروهای مسلح جمهوری اسلامی ایران در قبال حقوق بین‌الملل فضای سایبری»، مفاهیم، سیاست‌های کلان و چارچوب اقدامات نیروهای مسلح در مقابله با تهدیدات متنوع و متکثر فضای سایبری را تبیین می‌کند.

 

ماده ۱: کلیات

 

۱_ معتقدیم، حقوق بین‌الملل قابل اعمال بر فضای سایبری باید توزیع کننده عادلانه منافع و امتیازات یک فضای صلح‌آمیز سایبری و متضمن «دسترسی» و «حاکمیت منصفانه» برای تمام دولت‌ها باشد.

 

۲_ تاکید می‌نماییم، هر چند تمامی دولت‌ها باید در برخورد با فضای سایبری مسئولانه عمل کنند، ولی به اقتضای امکانات و فناوری‌های موجود در هر کشوری، دولت‌ها مسئولیت مشترک ولی متفاوت دارند.

 

۳_ بر این باوریم، طیف وسیعی از اصول حقوقی بین‌المللی موجود، شامل اصول برابری حاکمیت دولت‌ها و ممنوعیت توسل به زور و عمل تجاوزکارانه می‌تواند در استفاده از فضای سایبری قابل اجرا باشد.

 

ماده ۲: سیاست‌های حاکمیتی نیروهای مسلح جمهوری اسلامی ایران

 

۱_ جمهوری اسلامی ایران حوزه‌های حاکمیتی خود را با تمرکز و در انطباق با قابلیت‌های لازم برای حراست از اقتدار راهبردی نظامی، اقتصادی، اجتماعی، فرهنگی و سیاسی ملی توسعه داده است، در این مسیر، توسعه تخصص‌ها و ابزارهای پیشرفته سایبری، برای دفاع فعال و بازدارنده سایبری، از جمله اولویت‌های مهم برای تحقق و حفظ اقتدار راهبردی نظام است.

 

۲_ قواعد حقوق بین‌الملل معاصر حکایت از وجود قلمرو محصور در مرزهای جغرافیایی دولت‌هایی دارد که حاکمیت یا لااقل صلاحیت خود را درون آن مرزهای جغرافیایی اعمال می‌کنند. به باور نیروهای مسلح جمهوری اسلامی ایران حاکمیت سرزمینی و صلاحیت دولت، بر تمامی اجزای فضای سایبری نیز تسری دارد.

 

۳_ هرگونه استفاده عامدانه از زور سایبری با پیامدهای فیزیکی یا غیرفیزیکی که تهدیدی برای امنیت ملی بوده یا منجر به بی‌ثباتی آن به واسطه بی‌ثباتی سیاسی، اقتصادی، اجتماعی و فرهنگی شود، ناقض حاکمیت دولت است.

 

۴_ عملیات بهره‌برداری سایبری در مواقعی که مستلزم نفوذ غیرمجاز به زیرساخت‌های سایبری (دولتی یا خصوصی) تحت کنترل دولت دیگری باشد، می‌تواند نقض حاکمیت دولت هدف تلقی شود.

 

۵_ حاکمیت دولت‌ها واقعیتی فراحقوقی نیست و باید در کنار و با توجه به سایر اصول بنیادین حقوقی مانند اصل عدم مداخله، اصل حسن نیت، اصل حق تعیین سرنوشت و سایر اصول اساسی تفسیر گردد، باید توجه داشت که اصل حاکمیت دولت‌ها اصلی برابرگرا و مساوات طلب است و حاکمیت هیچ دولتی برتر از حاکمیت دولت دیگر نیست، لذا اقدامات محدودساز، مسدودساز و تحریم‌ها، نقض حاکمیت دولت‌های مستقل تلقی می‌شود، چرا که منجر به نادیده گرفته شدن حاکمیت دولت هدف می‌شود.

 

ماده ۳: مداخله در امور داخلی از منظر نیروهای مسلح جمهوری اسلامی ایران

 

۱_ تردیدی نیست که اصل عدم مداخله یک اصل مستقل حقوق عرفی است و اعمالی با هدف تغییر رژیم سیاسی دولت‌ها مانند مداخله قهرآمیز سیاسی، نقض آشکار این اصل است. مواردی مانند دستکاری سایبری انتخابات یا مهندسی افکار عمومی در آستانه انتخابات را می‌توان از مصادیق آشکار مداخله تلقی کرد. همچنین مداخله شامل وضعیت‌هایی است که در آنت مداخله غیرسایبری در فعالیت‌های سایبری مربوط به امور داخلی و خارجی دولت دیگر صورت می‌گیرد. عملیات سایبری که وب سایت‌ها را به منظور دامن زدن به نزاع و تنش‌های داخلی در یک دولت از کار می‌اندازند یا به منظور تاثیرگذاری بر نتیجه انتخابات در دولت دیگر پیام هایی را به صورت گسترده در بستر سایبری به رای دهندگان ارسال می‌کنند را نیز می‌توان نمونه‌ای از مداخله ممنوعه تلقی کرد.

 

۲_ مداخله مسلحانه و تمامی اشکال دیگر مداخله یا اقدام به تهدید علیه شخصیت دولت یا علیه عناصر سیاسی، اقتصادی، اجتماعی و فرهنگی آن با توسل به ابزار سایبری و غیرسایبری غیرقانونی است و هیچ دولتی نمی‌تواند دولت دیگری را با توسل به ابزار سایبری یا غیر آن به استفاده یا تشویق به استفاده از اقدامات اقتصادی، سیاسی یا هرگونه اقدام دیگری به منظور تحصیل تبعیت آن در اعمال حقوق حاکمیتی‌اش یا تضمین کسب امتیازاتی از آن، از هر نوع وادار نماید.

 

۳_ تمامی اشکال آشکار، ظریف و تکنیک‌های بسیار پیچیده اجبار، براندازی و هتک حرمت (اعم از سایبری و غیرسایبری) با هدف اخلال در نظم سیاسی، اجتماعی یا اقتصادی سایر دولت‌ها یا بی‌ثباتی سازی حکومت‌هایی که در صدد آزادسازی نظام اقتصادی و سیاسی و فرهنگی خود از کنترل یا دست اندازی خارجی هستند، غیرقانونی است.

 

۴_ دولت‌ها حق ذاتی بر توسعه کامل سیستم اطلاعات و رسانه‌های جمعی، بدون مداخله و استفاده از رسانه‌های اطلاعاتی، به منظور پیشبرد منافع و آرمان‌های سیاسی، اجتماعی، اقتصادی و فرهنگی خود دارند. اقداماتی که منجر به ممانعت، قطع و یا محدود شدن عملکرد سیگنال‌ها و ابزار انتقال اطلاعات و سیستم‌های تامین کننده کنترل و عمال حاکمیت دولت می‌شود غیرقانونی است.

 

۵_ برنامه‌های ظرفیت سازی در حوزه سایبر باید براساس برنامه‌ها و نیازهای ملی دولت‌ها و در انطباق با وضعیت اقتصادی، اجتماعی و فرهنگی آنها طراحی و اجرا شود و خود وسیله‌ای برای مداخله در امور داخلی آنها نباشد.

 

ماده ۴: توسل به زور و حمله سایبری از منظر نیروهای مسلح جمهوری اسلامی ایران

 

۱_ به باور نیروهای مسلح جمهوری اسلامی ایران تردیدی نیست که آن دسته از عملیات سایبری که منتج به ایراد خسارات مادی به اموال یا صدمه به افراد در گستره و شدت لازم می‌شود یا به طور منطقی احتمال زیادی دارد که چنین آثاری را به بار آورد، توسل به زور محسوب می‌شود. اگر این نوع از عملیات زیرساخت‌های حیاتی ملی، شامل زیرساخت های دفاعی را متاثر سازند، طبیعتا ناقض قاعده توسل به زور تلقی خواهند شد، اعم از این که در مالکیت حکومت یا بخش خصوصی باشند.

 

۲_ به باور نیروهای مسلح جمهوری اسلامی ایران چنانچه شدت عملیات سایبری به زیرساخت‌های حیاتی کشور به آستانه حمله مسلحانه متعارف ارتقاء یابد، حق دفاع مشروع برای نیروهای مسلح جمهوری اسلامی ایران محفوظ است.

 

جمع‌بندی:

 

نیروهای مسلح جمهوری اسلامی ایران به سان دکترین قابل اعمال خود در فضای فیزیکی، در فضای سایبری نیز آغازگر هیچ منازعه‌ای نیستند و خط مشی تبیین شده در این سند را به عنوان چارچوب اقدام خود در مواجهه و مقابله با تهدیدات متنوع و متکثر فضای سایبری قلمداد می‌کنند.

 

بدیهی است نیروهای مسلح جمهوری اسلامی ایران در صورت نقض هر یک از خط مشی‌ها و سیاست‌های تبیین شده، از سوی دولت، یا فردی که تحت حمایت، هدایت یا کنترل دولتی باشد، این حق را برای خود قائل هستند که تهدیدات را در هر سطحی با قدرت و پشیمان کننده پاسخ دهند.