مدیرکل سامانه‌های حوزه‌های علمیه خواهران:

پدافند غیرعامل نیازمند بودجه و فرهنگ‌سازی است/ کاربران آموزش‌ندیده طعمه نفوذ اطلاعاتی هستند

شناسه خبر : 113667

1400/08/19

تعداد بازدید : 35

پدافند غیرعامل نیازمند بودجه و فرهنگ‌سازی است/ کاربران آموزش‌ندیده طعمه نفوذ اطلاعاتی هستند
نفوذ به سامانه توزیع سوخت کشور و اختلال در آن و مشکلات پدیدآمده ناشی از آن همزمان با هفته پدافند غیرعامل،‌ ضرورت توجه به این موضوع را بیش از پیش به محل توجه افکار عمومی تبدیل کرد.

به گزارش پایگاه خبری و رسانه ای حوزه های علمیه خواهران، با توجه به گسترش استفاده از فناوری اطلاعات در حوزه‌های مختلف، شفاف شدن میزان پایبندی به اصول پدافند غیرعامل و آمادگی مواجهه با حملاتی از این دست که در زمره تهدیدات نوین غیرعامل به شمار می‌رود،‌ ضروری است.با توجه به اینکه مرکز مدیریت حوزه‌های علمیه خواهران از مراکز پیشرو در عرصه فناوری اطلاعات نه تنها در میان مراکز حوزوی بلکه در میان بسیاری از موسسات و نهادهای عمومی و دولتی بوده است و علاوه بر مکانیزه کردن بسیاری از فرایندهای خود از طریق راه‌اندازی سامانه‌های جدید، زیرساخت‌های قابل توجهی چون مرکز داده اینترنتی را راه‌اندازی کرده است،‌ برای روشن شدن این مساله گفت‌وگویی با مهندس محسن شاکر مدیرکل ایجاد و گسترش سامانه‌های حوزه‌های علمیه خواهران انجام داده‌ایم که  حاصل آن در ادامه می‌آید:

ـ اگر بخواهیم به بحث پدافند غیرعامل در حوزه فناوری اطلاعات اشاره کنیم، به نظر شما پدافند غیرعامل در چه زمینه‌هایی در این حیطه مطرح می‌شود و چه حوزه‌هایی را در فناوری اطلاعات درگیر می‌کند؟

 قبل از اینکه وارد این شویم که در حوزه فناوری اطلاعات مشخصاً چه حوزه‌هایی درگیر می‌شوند و اهدافش را بررسی کنیم، می‌توانیم دقیق‌تر صحبت کنیم؛ پنج هدف عمده در پدافند غیرعامل در همه عرصه‌ها شامل «استمرار فعالیت‌های زیربنایی»، «تأمین نیازهای حیاتی»، «تداوم ارائه خدمت به سرویس‌گیرندگان»، «کاهش آسیب‌پذیری» و «فرهنگ‌سازی» وجود دارد.

وقتی صحبت از این ۵ هدف می شود و در حوزه IT هم همین عرصه‌ها را بررسی می‌کنیم، باید ببینیم فعالیت‌های زیربنایی در حوزه IT چه چیزهایی است و چه چیزهایی نیازهای حیاتی است که IT به آن سرویس می‌دهد؟ تداوم خدمات در این حوزه چه معنی می‌تواند داشته باشد و آسیب‌پذیری‌ها در کدام یک از بخش‌ها وجود دارد که می‌تواند بهبود پیدا کند؟

مشخصاً چون در حوزه خواهران صحبت می‌کنیم، به طور طبیعی در همین اسکیل بحث خود را باز می‌کنیم، وگرنه می‌توان گفت حوزه IT در تأمین آب کشور، برق کشور هم می‌تواند اثرگذار باشد؛ ولی چون در حوزه خواهران صحبت می‌کنیم، خدمات IT که در حوزه ارائه می‌شود را بحث می‌کنیم.

اولین بحث، بحث زیرساخت‌های IT هست؛ یکی از مراکزی که در پدافند غیر عامل در بحث IT خیلی مهم است، مراکز داده یک سازمان است، جایی که سرورهای آن زیرساخت‌های شبکه و پوینت‌های ارتباطی آن، آنجا تأمین می‌شود؛ که در مراکز داده، اتاق‌های سرور، سوئیچ‌ها و جاهایی که اتاق‌های سوئیچ‌ها هست به عنوان زیرساخت‌ها هست.

یک سری زیرساخت‌ها هم طبیعتاً خارج از اینجا وجود دارد، مانند لینک‌های ارتباطی که وجود دارد؛ لینک ارتباطی با شرکت زیرساخت یا تأمین کنندگان اینترنت با مخابرات و جاهای مختلفی که ارتباطات یک سازمان را تشکیل می‌دهند که طبیعتاً بخش زیادی از این‌ها هم خارج از این سازمان می‌شوند و ممکن است که در سراسر کشور پراکنده باشد و حتی وقتی بحث اینترنتی پیدا می‌شود بحث بین‌المللی هم پیدا می‌کند.

اما اگر بخواهیم در حوزه خواهران صحبت کنیم، قطعاً یکی از بحث‌های زیرساختی مرکز داده‌ای است که سرورها و نقاط ارتباطی حوزه آنجا تجمیع می‌شود. این یک مؤلفه است.

مؤلفه دوم سامانه‌هایی است که خدمت می‌دهند، هستند که آن‌ها هم از اجزایی است که باید در حوزه پدافند غیرعامل مورد بررسی قرار گیرند و پلن‌هایی برایشان وجود داشته باشد.

مورد بعدی فرآیندهایی است که در کار وجود دارد؛ فرآیندهایی که دسترسی به داده، دسترسی به زیرساخت‌ها هست و بحث بعدی آن هم انسان‌ها هستند؛ از انسان‌های فنی که این خدمات را توسعه و نگهداری می‌کنند تا انسان‌های ادمین که به دیتاها دسترسی دارند تا انسان‌های عادی اعم از طلاب، اساتید و کادر که قرار است از این خدمات استفاده کنند؛ این‌ها اجزایی است که در بخش‌های مختلف باید مورد بررسی قرار بگیرند و برای هر کدام باید پلن‌هایی وجود داشته باشد.

ـ با توجه به این ضرورت‌ها و حوزه‌هایی که در بحث پدافند غیرعامل وجود دارد چقدر ضرورت پرداختن به این مسأله در حوزه‌های علمیه فهمیده و شناخته شده است؟

در حوزه‌های علمیه خواهران مشخصاً اولین اقدامی که انجام شد وقتی مرکز جدید داده آن تأسیس شد، دریافت گواهینامه پدافند غیرعامل بود؛ جایی که قرار است به عنوان زیرساخت خدمات الکترونیک حوزه‌های علمیه باشد، باید گواهینامه پدافند غیرعامل را داشته باشد؛ بنابراین در حوزه خواهران فهم این مسأله وجود داشت.

هر چند طبیعتاً اگر بخواهیم علاوه بر فهم به اجرا برسیم، طبیعتاً محدودیت‌های بودجه‌ای یا مسائلی از این دست تأثیرگذار است، اما اینکه چقدر این موضوع اهمیت داشته است، از ابتدای راه‌اندازی مرکز داده، اولین مدرک اخذ شده، مدرک پدافند غیرعامل بوده است؛ حتی مدارک دیگر بعد از این دریافت شد.

در طراحی مرکز داده، بحث حملات الکترومغناطیس و مسائلی از این دست طراحی شد و طراحی فیزیکی ساختارهایی انجام شده که بتوانند در مقابل این نوع حملات مقاوم باشند.

ـ در هر مجموعه و ساختار، مسئول فناوری اطلاعات تنها یکی از اجزای سازمان است، اما پرداختن به پدافند غیرعامل نیازمند فهم کلان‌تری است. به نظر شما چه اندازه این فهم وجود دارد که تهدیدات مبتنی بر پدافند غیرعامل مهم است و باید به آن پرداخته شود؟

 در لایه مدیریتی حوزه‌های علمیه خواهران خارج از مرکز فناوری اطلاعات صحبت کنیم، مجموعه صیانت چند سالی است که در حوزه پدافند غیرعامل فعال شده است و از جانب مدیر مرکز در این بخش هدایت می‌شود که بتواند برنامه‌های خود را پیش ببرد؛ اما اتفاق و مهمترین چالشی که می‌بینم بیشتر بحث‌های آموزشی و فرهنگ‌سازی در بین کاربران است؛ این کاربر می‌تواند طلبه، مدیر یا کارمند ادمین حوزه های علمیه خواهران باشد که اینجا با سامانه کار می‌کند؛ در حوزه فرهنگ‌سازی و آموزش، ضعف‌هایی را داریم که باید پوشش دهیم، هر چند گاهی اوقات در بحث‌های مدیریتی بحث‌هایی تشخیص داده می‌شود ولی محدودیت‌های بودجه‌ای نمی‌گذارد که همه این برنامه‌ها و اولویت‌هایی که تشخیص داده شده است عملیاتی شود.

از این جهت برنامه‌هایی وجود دارد، پیشنهاد و تأیید هم شده است، اما با توجه به اینکه سازمان‌های بالاسری داریم و محدودیت‌های بودجه‌ای کشوری داریم، نمی‌تواند آن مجموعه کارا شود، وگرنه زمانی که آن برنامه‌ها مطرح می‌شود، معمولاً موافقت مدیران را دارد، هر چند محدودیت بودجه‌ای و بحث فرهنگ‌سازی آموزش در کاربران ما نقاطی است که می‌تواند بحث پدافند را دچار چالش کند.

ـ در صورت پیاده نشدن فرهنگ‌سازی و همچنین بقیه مواردی که لازم است در پدافند غیرعامل در حوزه فناوری اطلاعات رعایت شود، به صورت مصداقی چه تهدیدهایی ممکن است متوجه فعالیت ها شود؟

 اگر بخواهم دو مصداق عمده را عرض کنم، یکی خود اطلاعات است؛ مخاطبان حوزه‌های علمیه خواهران بیشتر خواهران هستند و اطلاعات ارتباطی و اطلاعات شخصی و اطلاعات تحصیلی‌شان اطلاعات فرهنگی و پژوهشی و سوابق و کارهایی که از طریق مرکز مدیریت انجام می‌دهند معمولاً در سامانه‌ها ذخیره می‌شود، اگر اقدامات مناسبی در این حوزه صورت نگیرد، یکی از اتفاقاتی که می‌افتد نشر این اطلاعات یا احیاناً سوء استفاده از این اطلاعات به وسیله افراد غیرمجاز است؛ این در مورد حوزه.

حوزه دوم خدماتی است که ارائه می‌شود؛ به عنوان مثال وقتی که آموزش‌ها مجازی است، کلاس‌های آنلاین یکی از ابزارهای برگزاری آموزش هستند؛ یا سال‌هاست که خدماتی مانند ثبت نام در حوزه‌های علمیه خواهران، انتخاب واحد، مشاهده نمرات و مواردی از این دست به صورت الکترونیکی انجام می‌شود.

اگر هر گونه اختلالی به واسطه عدم رعایت بحث پدافند غیرعامل اینجا اتفاق بیفتد این خدمات دچار اختلال می‌شوند، تمام امور دستی انجام می‌شود؛ الان که کرونا هست اصل آموزش متوقف می‌شود و این‌ها به صورت مصداقی دو مورد از مسائل مهم حوزه است.

ـ غیر از استدانداردهایی که باید از سوی فناوری اطلاعات انجام شود؛ چه سهل‌انگاری‌هایی ممکن است از جانب عناصر سازمانی مانند ادمین‌های تخصصی و کاربران منجر به اختلال شود؟

 همانطور که فرمودید اقدامات را اگر بخواهیم یک نوع دسته‌بندی کنیم در دو دسته قرار می‌گیرند؛ اقداماتی که مراکز فناوری و صیانت باید انجام دهند؛ اینها خودشان مجری هستند، مانند امن‌سازی سامانه‌ها و امن‌سازی زیرساخت‌ها؛ یک سری از اقدامات هم هست که مخاطبان و بهره‌برداران از این خدمات باید انجام دهند که مجریان بخش اول غالباً این‌ها را از طریق آموزش منتقل می‌کنند؛ اینکه رعایت دسترسی‌هایی که ‌بایستی به کاربران مختلف بدهند را مبتنی بر استانداردها انجام دهند، مبتنی بر اصول حفاظت امنیتی انجام دهند؛ کسانی که این دسترسی‌ها را دریافت می‌کنند آن آموزش‌هایی را که در حوزه نحوه دسترسی به داده‌ها هست را درست انجام دهند.

به عنوان مثال فرض کنید که شما یک امن‌سازی سامانه را انجام داده‌اید، اما به فردی دسترسی داده‌اید که مجاز است بتواند اطلاعات طلبه‌ها را بگیرد، برای مثال یک مسئولی در معاون آموزش است؛ اگر این فرد از اطلاعات خروجی بگیرد و این فایل را بدون محافظت هر جایی ببرد، برای هر کسی ارسال کند، از طریق شبکه‌های اجتماعی ارسال کند یا رمز کامپیوتر خود را به افراد مختلف بدهد یا این‌ها را پرینت کند یا جاهای مختلف ببرد، نشر اطلاعاتی که دچارش بودیم اینجا اتفاق می‌افتد.

یا اگر فرد مهم باشد و دسترسی‌های مهمی داشته باشد، اگر این دسترسی در اختیار افراد غیرمجاز قرار بگیرد، با تغییر در داده‌ها می‌شود خدمات مختلف فناوری اطلاعات را متوقف کرد؛ یعنی یک مدیر سامانه با تغییر داده‌هایی که انجام می‌دهد، امکان انتخاب واحد را بگیرد، یا امکان پذیرش را بگیرد، بدون اینکه اختلال فنی در سامانه رخ داده باشد با تغییر اطلاعاتی که از طریق آن کاربر هست بیاید و آن فعالیت‌های اصلی را دچار اختلال کند.

ـ تحلیل حضرتعالی از اتفاقی که در مورد سامانه کارت هوشمند سوخت افتاد چیست و چه ضعف‌های منجر به آن شد؟

 نکته اول اینکه هنوز از مراجع رسمی به طور دقیق اعلام نشده است که ریشه دقیق مشکل چه چیزی بوده است؛ اما با اطلاعات مختلفی که از جاهای مختلف پخش شده است، به فرض صحت آن‌ها؛ یکی از بحث‌ها بحث عوامل انسانی است که چه در حوزه فناوری اطلاعات و چه در حوزه افرادی که دسترسی مختلف دارند بوده است، این‌ها طبیعتاً باید طبق اصول پدافند غیرعامل جذب شده باشند و آموزش دیده باشند و دسترسی داشته باشند.

نکته بعدی بحث فرآیندها و اتفاقاتی است که حوزه فناوری اطلاعات باید در حوزه زیرساخت‌های خود بدهد.

یکی از اهدافی که وجود دارد کاهش آسیب‌پذیری و بحث بعدی تداوم خدمات است؛ اقدام اولی که باید صورت می‌پذیرفته است و دچار چالش شده است وجود آسیب‌پذیری در این حوزه است که آن آسیب‌پذیری‌ها باید کاهش پیدا می‌کرده است و اتفاق دوم با فرض انجام حمله باید فرآیندهایی برای تداوم ارائه خدمات با فرض حمله و خرابکاری صورت می‌گرفته است؛ اینکه اطلاعات پشتیبان، سیستم‌های پشتیبان در کمترین زمان بتوانند خدمت اصلی را ارائه دهند از جمله فرآیندهایی است که از طریق پدافند غیرعامل هم مورد توجه قرار می‌گیرد؛ این‌ها بخش هایی است که باید مناسب‌تر مورد استفاده قرار می‌گرفت و اگر در مانورها نیز به صورت عملیاتی و واقعی این موارد مورد اجرا قرار می گرفت، احتمالاً بازگشت به خدمات می‌توانست سریع‌تر باشد.

ـ آیا چنین مانورهایی در حوزه‌های علمیه خواهران برگزار شده است؟ و آیا اصلا این مانورها برای حوزه‌های علمیه خواهران موضوعیت است؟

نخست اینکه یک سری مانورها در حوزه IT در حال انجام است.

برای مثال همین مشکلی که در حوزه بنزین پیش آمد، این از مصادیقی است که از سالیان گذشته در حوزه‌های علمیه خواهران مانورهای آن انجام می‌شود؛ مانورهایی همچون بازیابی اطلاعاتی که در تایم‌های مختلف انجام شده و پشتیبان گرفته می‌شود و اینکه مطمئن باشید این پشتیبان در موقع نیاز می‌تواند به کمک شما بیاید و مورد استفاده قرار بگیرد، خیلی مهم است؛ خیلی از سازمان‌ها بک آپ و پشتیبان می‌گیرند ولی اینکه اطمینان پیدا کنند که این بک آپ در آن موقع در تایمی که برآورد کردند می‌تواند مورد استفاده قرار گیرد خیلی مهم است و این علاوه بر اینکه نیاز به پلن کردن دارد، اجرایش خیلی مهم است، این مانور از مانورهایی است که سالیان سال است که در حوزه در خصوص سامانه‌ها انجام می‌شود.

همچنین مانورهایی که در مرکز داده انجام می‌شود، این‌ها معمولاً چیزهایی است که خیلی دیده نمی‌شود؛ دید بیرونی ندارد و داخل فرآیندهای سازمانی این اتفاقات می‌افتد؛ معمولاً ایام تعطیل، ایام شب و زمان‌هایی از این دست این اتفاق می‌افتد.

اما صحبت شما که مانور نسبت به کاربران هم می‌تواند اتفاق بیفتد، درست است و در دستور کار هم هست.

ـ یکی دیگر از مسائل مبتلابه حوزه‌های علمیه خواهران، نفوذ در پایگاه‌های اطلاع رسانی است، یعنی رخنه و اختلالی در اطلاع‌رسانی. با توجه به اینکه حوزه‌های علمیه خواهران مرجعیت اجتماعی و فرهنگی دارند، آیا در حال حاضر پایگاه یا اطلاع‌رسانی ما آن استانداردهای لازم را دارند؟

حملات دیفیس خیلی جنبه آبرویی دارد؛ جنبه نشر اطلاعات ندارد، جنبه توقف خدمات ندارد و جنبه آبرویی دارد؛ این است که دی فیس انجام می‌شود؛ مانند اتفاقی که در مساله بنزین در تابلوها افتاد، دیتایی نشر نکرد، خدمتی هم متوقف نشد، اما اگر یک عبارتی که متناسب نیست، در سایت اطلاع‌رسانی قرار بگیرد؛ حمله‌ای از نوع دیفیس صورت گرفته است و طبیعتاً اطلاعاتی نیست، اما یک آبرویی از یک سازمان است.

یکی از اتفاقات و مانورهایی هم که معمولاً انجام می‌شود و جدای از آن جزو فرآیندهای توسعه ما هم هست، بحث تست‌های نفوذ است که در دوره‌های متفاوت، همچنین در توسعه‌هایی که انجام می‌شود در سیستم‌ها؛ یکی از فرآیندهای ما اطلاعات نفود است. این کار معمولاً در سامانه پراهمیت ما انجام می‌شود.

نکته دوم اینکه امنیت نسبی است؛ شما می‌توانید گواهینامه‌های متفاوت از جاهای مختلف داشته باشید و به سامانه شما نفوذ انجام شود، کما اینکه شرکت‌های بزرگ بارها مورد حمله قرار گرفته‌اند؛ اینجا یک ضرب المثلی هم هست؛ اگر شما می‌خواهید امنیت داشته باشید، باید اطلاعات را روی رایانه‌ای قرار دهید که از شبکه جدا باشد و آن را در گاوصندوقی قرار دهید که در قعر دریا باشد و باز هم از امنیت قطعی اطمینان نخواهید داشت.

وقتی خدمات می‌دهید و مجبور هستید که کانکشن‌های متفاوت داشته باشید یعنی بازیگران متفاوتی در این عرصه هستند، پس مدام باید روی آن تلاش انجام دهید و بروزرسانی داشته باشید مانند علم که مدام در راه پیشرفت است و مدام باید اطلاعاتی که در آنجا اتفاق می‌افتد هم در راه پیشرفت باشد.