تیر ۲۵
حسین استهدادی
دبیر خبر | ۲۷ فروردین ۱۳۹۹

مصاحبه اختصاصی سایبربان با دکتر مهدی آژ، مدیرعامل شرکت رویال پرداز تیام

امنیت اطلاعات باید اولویت اول سایبری کشور باشد

مهندس مهدی آژ، مدیرعامل شرکت رویال پرداز تیام، در ابتدای سخنان خود در رابطه با حوزه‌های دفاعی و پدافندی کشور گفت:

اگر بخواهیم کلیت کشور را در حوزه‌های دفاعی و پدافندی در نظر بگیریم، ما با مشکلات بزرگی مواجه هستیم. من احساس می‌کنم سطح دسترسی دشمن در این حوزه میزان قابل توجهی باشد و اگر رویکردهای منفی را از سمت کشورهای متخاصم متوجه نمی‌شویم، به این دلیل است که این اطلاعات مدام در حال سرقت است و نیازی به نشان دادن واکنش ندارند. اگر سندی که اسنودن منتشر کرد در نظر بگیرید، این سند سطح جمع‌آوری اطلاعات را به خوبی نشان می‌داد و بر اساس آن ایران در صدر جدول قرار داشت. این همان مسئله‌ای به حساب می‌آید که در حال رخ دادن است و من احساس می‌کنم دولت‌مردان و مسئولین این حوزه با چنین موضوع بسیار مهمی جناحی و سیاسی برخورد می‌کنند. این در حالی است که در هیچ جای دنیا این چنین سطحی از در اختیار گذاشتن داده‌ها به خارج از نظام وجود ندارد. همچنین این سطح از ولنگاری دفاعی نیز وجود ندارد.

آژ در رابطه با این موضوع که ایران را چهارمین قدرت سایبری جهان می‌شناسند اظهار کرد:

آن‌ها ما را بیشتر تهاجمی احساس می‌کنند. ما از لحاظ تهاجمی (Offensive) می‌توانیم خود را در میان کشورهای رده بالا در نظر بگیریم. محلی وجود ندارد که نیروهای ایرانی بخواهند به آن دسترسی پیدا کنند و موفق نشوند. تجربه من از همکاری با افرادی که در حوزه تهاجمی هستند نشان می‌دهد، تقریباً هر مکانی را که اراده کنند، با هر نوع سختی به آن دست می‌یابند. کار نشدنی اتفاق نیفتاده است. در مقابل در حوزه‌های تهاجمی داخلی که به آن پن‌تست یا تست نفوذ نیز می‌گویند، محلی وجود ندارد که دسترسی به آن به راحتی کسب نشود.

مدیرعامل شرکت رویال پرداز تیام نسبت به سطح آمادگی ایران و نزدیک بودن به استانداردهای جهانی در زمینه امنیت سایبری توضیح داد:

اگر بخواهم نمره دهم، از 100 به آن 10 می‌دهم؛ زیرا مدیران ارشد سازمان‌ها در این حوزه توجیه نیستند. به این معنی که به هیچ عنوان احساس خطر از دست دادن داده‌ها را ندارند؛ مگر سازمان‌هایی که تداوم کسب‌وکار آن‌ها به خطر می‌افتد. البته آن‌ها نیز تنها درصد کمی به این سو حرکت کرده‌اند. برای مثال، اگر بخواهیم اپراتور همراه اول را به عنوان الگویی در نظر بگیریم که بالاترین هزینه را در بخش امنیت اطلاعات در داخل کشور دارد، شاید بتوان به آن 70 از 100 داد؛ اما سازمان‌های دیگر فاصله‌های بسیار زیادی با این عدد دارند. تجمیع اطلاعات برای NSA فوق‌العاده مهم و اثربخش است. شاید اگر از بیرون نگاه کنیم، داده‌ها به صورت جداگانه اهمیت چندانی نداشته باشند؛ اما اگر با اطلاعات دیگر تجمیع شوند، می‌توان گفت آن‌ها من را بهتر از خانواده‌ام و خودم می‌شناسند. متأسفانه در این حوزه‌ها مدیران ارشد نظام توجیه نیستند.

البته پس از حملاتی که به پتروشیمی‌ها و چندین مورد دیگر در ماه‌های اخیر رخ داد، افتا و پدافند فشار خود را در این حوزه بیشتر کردند. ما در سال 98 مشاهده کردیم این دو سازمان در زمینه نفت و گاز فشار بیشتری در حوزه تأمین امنیت می‌آورند؛ اما فاصله‌ی ما بسیار زیاد است و من همچنان بیشتر از 10 از 100 نمره نمی‌دهم.

به علاوه دانشی که در شرکت‌های خصوصی در حال تولید شدن است، یک دانش سطح بالا است. برای مثال ما CERT، SOC، DDOS Protection بومی را داریم که حرکت‌های رو به رشد خوبی هستند. چیزی که تولید دانش به حساب می‌آید و از سوی شرکت‌های خصوصی و امنیتی در حال رخ دادن است؛ از سطح بالایی برخوردار است. تا جایی که می‌توانم بگویم بالاترین آمار خروج نخبگان از کشور به حوزه امنیت اطلاعات مربوط می‌شود. بنابراین دانش در حال تولید شدن است. این دانش باید در سمت مشتری دولتی به ثمر برسد که متأسفانه اتفاق نمی‌افتد. در نتیجه نرخ بالایی از خروج نخبگان را در این حوزه داریم.

وی نسبت به این موضوع که آیا عقب‌ماندگی ایران در زمینه امنیت سایبری به علت تنبلی است یا دلایل سیاسی تشریح کرد:

ترکیبی از هر دو موضوع است. امنیت و کاربر پسند بودن همواره به مانند دو سوی یک الاکلنگ می‌مانند. به این معنی که هر چه بیشتر به یک سمت فشار بیاورید، طرف دیگر کاهش پیدا می‌کند. شما خدمات را راه‌اندازی می‌کنید و پیش خود می‌گویید این خدمات در حال کار هستند. بنابراین چرا باید برای تأمین حداکثری امنیت آن برای خود دردسر ایجاد کنم و به علت سیاست‌های سازمان کار برایم سخت‌تر شود. این یک سمت موضوع است که باعث ایجاد تنبلی می‌شود. از طرف دیگر هیچ درکی از اهمیت داده‌ای که در اختیار داریم، وجود ندارد. سومین نکته این است که بودجه امنیت را نیز در اولویت قرار نمی‌دهیم.

برای نمونه اگر شخصی برود یک پراید 10 میلیون تومانی بخرد، 500 هزار تومان نیز هزینه کرده و روی آن دزدگیر نصب می‌کند؛ زیرا می‌گوید تنها سرمایه من است. متأسفانه این دید در زمینه اطلاعات در کشور وجود ندارد. همچنین امنیت برای سازمان‌ها مشکلاتی به وجود می‌آورد و کار را سخت‌تر می‌کند. برای مثال اگر شما بخواهید یک استاندارد ساده مانند 27001 را در ساختار سازمانی خود اضافه کنید فرآیندهای بسیاری را به کار شما اضافه می‌کند. تعداد زیادی روال مدیریتی که حتی کارشناسان فناوری اطلاعات سازمان نیز آن‌ها را نمی‌پذیرند. بنابراین سری که درد نمی‌کند را دستمال نمی‌بندند.

در نتیجه، این موضوع ترکیبی از تنبلی، عدم درک از اهمیت داده‌ها و اطلاعات و اولویت‌های آخری که برای حوزه امنیت اطلاعات قائل می‌شوند، است.

مدیرعامل شرکت امنیت سایبری رویال پرداز تیام نسبت به برنامه‌ریزی بخش‌های دولتی و خصوصی برای مقابله با تهدیدات احتمالی پیش رو مانند حملات APT و این که آیا برای لایحه‌های اسکادا و کنترل صنعتی برنامه‌ای در نظر گرفته شده است گفت:

برنامه‌ریزی رخ‌داده است؛ اما به شدت برنامه‌ریزی کندی در حال اتفاق افتادن است. برای مثال ما در حوزه تهاجمی از موشک‌سازی نام می‌بریم. شما سرعت ساخت موشک و خودرو را می‌توانید با یکدیگر مقایسه کنید؟ من احساس می‌کنم حوزه‌های دفاعی در امنیت سایبری ما نیز چنین حالتی دارند. آرزو می‌کنم اهمیتی را که به حوزه موشک و دفاع موشکی می‌دهیم و تقوایی که در آن حوزه وجود دارد، در دفاع سایبری نیز اتفاق بیفتد. در حالی که این گونه نیست.

ما در زمینه موشکی نیز از دفاع موشکی صحبت می‌کنیم، نه حمله. نمی‌خواهیم کار آفندی انجام دهیم. کار ما در حوزه پدافند است. ما می‌گوییم باید برای جلوگیری از حملات دشمن، موشک داشته باشیم. این اتفاق در زمینه سایبری رخ نداده یا بسیار کند است.

افتا را در نظر بگیرید. از سال 87 که ابلاغیه مجلس را در اختیار داشت تا امروز شاید بتوانم بگویم که تنها 50 درصد از سازمان‌های دولتی ما افتا را می‌شناسند. تا دو سال قبل همین عدد هم وجود نداشت. عدم تقسیم‌بندی درست وظایف در حوزه پدافندی در مواردی باعث بازدارندگی می‌شود. بخش‌های خصوصی و دولتی نمی‌دانند باید به کجا گزارش بدهند. حتی گاهی مواقع از این مسئله استفاده می‌کنند تا کار جلو نرود.

حرکت ما واقعاً مورچه وار و کند است. من معتقدم اگر قرار است اتفاقی رخ بدهد باید بودجه آن تأمین شود و در اولویت قرار گیرد، در حال حاضر اولویت کدام‌یک از سازمان‌های ما امنیت اطلاعات و تخصیص بودجه برای آن است؟ همچنین خودتان نیز در زمان صحبت به دفاع از حوزه اسکادا اشاره می‌کنید؛ اما من دفاع را از جنبه دیگری مشاهده می‌کنم. دفاع از اسکادا باید اتفاق بیفتد؛ اما اگر من خود را در نقش آمریکایی‌ها قرار دهم، به جای حمله به شبکه برق، کمی صبوری کرده و جهت نظام و افکار عمومی را عوض می‌کنم. ما هیچ‌گونه فکر عملی در حوزه افکار عمومی که از حوزه سایبری رخ می‌دهد، پیاده‌سازی نکرده‌ایم. منظور من حوزه شناختی است.

زمانی که می‌توان رییس جمهور یک نظام را عوض کرد یا افکار مدیران یک نظام را تحت کنترل در آورد؛ چرا باید نیروگاه برق را هدف قرار داد؟ هنگامی که می‌توان بر تک‌تک افراد یک جامعه اثر گذار بود، چرا باید زیرساخت‌ها را هدف قرار داد؟ این زیرساخت‌ها را در آینده نیز می‌توان هدف گرفت؛ حتی می‌توان یک یا 2 زیرساخت را هدف قرار داد تا جامعه هدف حواس خود را جمع کند. به علاوه معمولاً قابلیتی در ایران وجود دارد که در زمان حمله یک دشمن نظامی، اتحادی ملی در میان همه مردم ایجاد می‌گردد.

بنابراین به جای حمله به زیرساخت‌های حیاتی –که البته مانند موشکی باید تقویت شود و باید روی آن فکر کرد.-  ما در حوزه جمع‌آوری اطلاعاتی که برایمان اتفاق می‌افتد، اصلاً فکر نکرده و برایمان مهم نیست.

دوباره به سند اسنودن اشاره می‌کنم. اسنودن این مدارک را در سال 2011 منتشر کرد. 9 سال از آن زمان گذشته است. ضریب فناوری اطلاعات در آن زمان و هم‌اکنون در کشور ما چقدر است؟ در آن زمان ما در حوزه شبکه‌های اجتماعی تنها با یک فیس‌بوک مواجه بودیم که معمولاً کارشناسان فناوری اطلاعات به آن مراجعه می‌کردند؛ اما امروزه نمی‌توان شبکه اجتماعی را از مردم جدا کرد. همچنین سازمان‌های ما در آن زمان تا چه میزان مبتنی بر فناوری اطلاعات عمل می‌کردند و امروز تا چه میزان به آن وارد شده‌اند.

من معتقدم مسئله دفاع یا حملات APT که شما مطرح می‌کنید، خیلی وقت پیش اتفاق افتاده است. هم‌اکنون نیز کمی نگرانی ما افزایش یافته و به اسکادا می‌پردازیم. در حوزه اسکادا در بعضی مواقع بسیار عقب هستیم. برای مثال ما می‌گوییم شبکه برق ما هیچ‌گاه مورد حمله قرار نمی‌گیرد؛ زیرا زیرساخت‌های آن بسیار قدیمی بوده و معمولا قابل وصل شدن به یک ساختار فناوری اطلاعات نیست که بخواهد به آن حمله شود. مانند این است که بگویید شما از یک سامانه مالی استفاده می‌کنید که آسیب‌پذیر است یا همچنان با چرتکه حساب می‌کنید.

اگر به یک چرتکه حمله شود، در بدترین حالت این ابزار و سندهای حساب داری به صورت فیزیکی از بین می‌روند و هیچ‌گونه جنبه فناوری اطلاعاتی ندارد. یا می‌توانید بگویید من کل شبکه خود را به هر شیوه ممکنی از اینترنت جدا می‌کنم که متأسفانه این مسئله نیز رخ نداده و حتی همه درگاه‌های USB باز است.

اما در زمینه جمع‌آوری اطلاعات، باید خدمت شما بگوییم که از همه سازمان‌های دولتی ما تا تمام افراد در حوزه‌های اجتماعی و انسانی و مشابه انجام می‌گیرد. نتیجه این اقدامات باعث می‌شود تا بتوان متوجه شد مهدی آژ، چگونه آدمی است؟ در کجا کار می‌کند؟ با چه افرادی ارتباط دارد؟ چه نقاط ضعفی دارد که حتی همسرش هم نمی‌تواند آن‌ها را شناسایی کند؟ چه ساعت‌هایی به چه مسائلی فکر می‌کند؟ سطح دانش وی چقدر است؟ سطح اثرگذاری وی چقدر است؟ بنابراین زمانی که بخواهیم از این اطلاعات استفاده کنیم می‌دانیم با چه ترفندهایی طرز تفکر و رفتار افراد را تغییر دهیم. می‌توان متوجه شد از چه روش‌هایی می‌توان افراد را برای روی دادن به یک فرد خاص ترغیب کرد.

این مسائل در حوزه سایبری رخ می‌دهد و متأسفانه ما به شدت از آن‌ها غافل هستیم.

مهدی آژ نسبت به حمله APT27 و احتمال دست داشتن چین در آن اظهار کرد:

اولین بار آن را در CERT همراه اول شناسایی کردیم؛ زیرا در حقیقت مرکز پاسخگویی و رخدادهای امنیتی همراه اول در اختیار مجموعه ما قرار دارد که در حوزه عملیاتی بزرگ‌ترین مرکز سرت کشور هم به حساب می‌آید.

مرکز ماهر حالت حاکمیتی دارد؛ اما در اپراتورها ما حالتی عملیاتی داریم. ما این حمله و روش مقابله با آن را شناسایی کردیم. من در رابطه با حمله‌کننده و چین اطلاعی ندارم.

آژ با بیان این که با سپر دفاعی دژفا آَشنایی ندارد، ادامه داد:

با توجه به مواردی که امروزه من مشاهده می‌کنم. بسیاری از ابزارهای که هم‌‍اکنون از آن‌ها رونمایی می‌شود، بومی نیستند؛ بلکه نمونه‌های متن بازی هستند که تنها سفارشی‌سازی شده‌اند. برای مثال ما هم‌اکنون حدود 15 «SIEM» بومی در کشور داریم. اگر تمام برندهای بزرگ دنیا را در نظر بگیرید 5 یا 6 SIEM وجود دارد؛ اما ما مدعی دارا بودن 15 عدد از آن‌ها هستیم. هیچ‌یک از آن‌ها به صورت واقعی بومی نیستند؛ بلکه تنها نمونه‌های منبع بازی هستند که تغییر داده شده و دارای ضعف هستند. علت این موضوع سرمایه‌گذاری است. سرمایه‌گذاری در حوزه دفاعی از لحاظ مالی، در ابتدا سرمایه‌گذاری مثبتی نیست و بسیار عظیم است. شما در آینده می‌توانید آن را با 10 درصد احتمال به سوددهی برسانید؛ بنابراین نباید انتظار داشته باشیم شرکت‌های خصوصی و خصولتی ما که به جای دغدغه فناورانه، نگرانی‌های مالی دارند، دنبال این موضوع نیستند؛ زیرا قرار نیست سوددهی مالی داشته باشد؛ بلکه سوددهی دفاعی خواهد داشت.

من به عنوان شرکت رویال پرداز تیام اگر بخواهم یک لیوان بومی برای شما ایجاد کنم، به دنبال کسب سود از آن هستم. این دغدغه را ندارم که چایی داخل آن را برای من به صورت اورگانیک نگه دارد. این مسئله هدف دوم است.

در حال حاضر حوزه بومی، تنها یک دستاویز خوب تجاری در کشور به حساب می‌آید. این موضوع با اصل دفاع در تناقض است. شما اگر در جمهوری اسلامی یک تانک بسازید، دنبال فروختن آن به کشورهای دیگر نیستید تا از آن سود به دست آورید. ما آمریکا نیستیم که با راه‌اندازی جنگ میان دو کشور و فروش سلاح سود کنیم. ما نظام جمهوری اسلامی هستیم که با ساخت اسلحه، تانک و موشک، می‌خواهیم برای تأمین امنیت خود هزینه کنیم. زمانی که شما دنبال این هدف هستید، دیگر سودآوری معنی ندارد. متأسفانه همه نهادهای ما مانند سازمان‌های امنیتی و نظامی شرکت‌هایی را با هدف تأمین امنیت خود به وجود آورده‌اند؛ اما همه‌ی آن‌ها امروزه به دنبال سودآوری بیشتر هستند که شرکت‌های خصوصی کوچک‌تری که می‌توانند بر مبنای دانش کار کنند را زیر چرخ‌های قدرتمند خود خرد می‌کنند. این باعث می‌شود تا محصول بومی یا به طور واقعی بومی نباشد یا اگر هم هست بسیار ضعیف عمل می‌کند.

منبع: سایبربان

نظرات