به گزارش خبرگزاری حوزه، با توجه به گسترش استفاده از فناوری اطلاعات در حوزههای مختلف، شفاف شدن میزان پایبندی به اصول پدافند غیرعامل و آمادگی مواجهه با حملاتی از این دست که در زمره تهدیدات نوین غیرعامل به شمار میرود، ضروری است.با توجه به اینکه مرکز مدیریت حوزههای علمیه خواهران از مراکز پیشرو در عرصه فناوری اطلاعات نه تنها در میان مراکز حوزوی بلکه در میان بسیاری از موسسات و نهادهای عمومی و دولتی بوده است و علاوه بر مکانیزه کردن بسیاری از فرایندهای خود از طریق راهاندازی سامانههای جدید، زیرساختهای قابل توجهی چون مرکز داده اینترنتی را راهاندازی کرده است، برای روشن شدن این مساله گفتوگویی با مهندس محسن شاکر مدیرکل ایجاد و گسترش سامانههای حوزههای علمیه خواهران انجام دادهایم که حاصل آن در ادامه میآید:
اگر بخواهیم به بحث پدافند غیرعامل در حوزه فناوری اطلاعات اشاره کنیم، به نظر شما پدافند غیرعامل در چه زمینههایی در این حیطه مطرح میشود و چه حوزههایی را در فناوری اطلاعات درگیر میکند؟
قبل از اینکه وارد این شویم که در حوزه فناوری اطلاعات مشخصاً چه حوزههایی درگیر میشوند و اهدافش را بررسی کنیم، میتوانیم دقیقتر صحبت کنیم؛ پنج هدف عمده در پدافند غیرعامل در همه عرصهها شامل «استمرار فعالیتهای زیربنایی»، «تأمین نیازهای حیاتی»، «تداوم ارائه خدمت به سرویسگیرندگان»، «کاهش آسیبپذیری» و «فرهنگسازی» وجود دارد.
وقتی صحبت از این ۵ هدف می شود و در حوزه IT هم همین عرصهها را بررسی میکنیم، باید ببینیم فعالیتهای زیربنایی در حوزه IT چه چیزهایی است و چه چیزهایی نیازهای حیاتی است که IT به آن سرویس میدهد؟ تداوم خدمات در این حوزه چه معنی میتواند داشته باشد و آسیبپذیریها در کدام یک از بخشها وجود دارد که میتواند بهبود پیدا کند؟
مشخصاً چون در حوزه خواهران صحبت میکنیم، به طور طبیعی در همین اسکیل بحث خود را باز میکنیم، وگرنه میتوان گفت حوزه IT در تأمین آب کشور، برق کشور هم میتواند اثرگذار باشد؛ ولی چون در حوزه خواهران صحبت میکنیم، خدمات IT که در حوزه ارائه میشود را بحث میکنیم.
اولین بحث، بحث زیرساختهای IT هست؛ یکی از مراکزی که در پدافند غیر عامل در بحث IT خیلی مهم است، مراکز داده یک سازمان است، جایی که سرورهای آن زیرساختهای شبکه و پوینتهای ارتباطی آن، آنجا تأمین میشود؛ که در مراکز داده، اتاقهای سرور، سوئیچها و جاهایی که اتاقهای سوئیچها هست به عنوان زیرساختها هست.
یک سری زیرساختها هم طبیعتاً خارج از اینجا وجود دارد، مانند لینکهای ارتباطی که وجود دارد؛ لینک ارتباطی با شرکت زیرساخت یا تأمین کنندگان اینترنت با مخابرات و جاهای مختلفی که ارتباطات یک سازمان را تشکیل میدهند که طبیعتاً بخش زیادی از اینها هم خارج از این سازمان میشوند و ممکن است که در سراسر کشور پراکنده باشد و حتی وقتی بحث اینترنتی پیدا میشود بحث بینالمللی هم پیدا میکند.
اما اگر بخواهیم در حوزه خواهران صحبت کنیم، قطعاً یکی از بحثهای زیرساختی مرکز دادهای است که سرورها و نقاط ارتباطی حوزه آنجا تجمیع میشود. این یک مؤلفه است.
مؤلفه دوم سامانههایی است که خدمت میدهند، هستند که آنها هم از اجزایی است که باید در حوزه پدافند غیرعامل مورد بررسی قرار گیرند و پلنهایی برایشان وجود داشته باشد.
مورد بعدی فرآیندهایی است که در کار وجود دارد؛ فرآیندهایی که دسترسی به داده، دسترسی به زیرساختها هست و بحث بعدی آن هم انسانها هستند؛ از انسانهای فنی که این خدمات را توسعه و نگهداری میکنند تا انسانهای ادمین که به دیتاها دسترسی دارند تا انسانهای عادی اعم از طلاب، اساتید و کادر که قرار است از این خدمات استفاده کنند؛ اینها اجزایی است که در بخشهای مختلف باید مورد بررسی قرار بگیرند و برای هر کدام باید پلنهایی وجود داشته باشد.
با توجه به این ضرورتها و حوزههایی که در بحث پدافند غیرعامل وجود دارد چقدر ضرورت پرداختن به این مسأله در حوزههای علمیه فهمیده و شناخته شده است؟
در حوزههای علمیه خواهران مشخصاً اولین اقدامی که انجام شد وقتی مرکز جدید داده آن تأسیس شد، دریافت گواهینامه پدافند غیرعامل بود؛ جایی که قرار است به عنوان زیرساخت خدمات الکترونیک حوزههای علمیه باشد، باید گواهینامه پدافند غیرعامل را داشته باشد؛ بنابراین در حوزه خواهران فهم این مسأله وجود داشت.
هر چند طبیعتاً اگر بخواهیم علاوه بر فهم به اجرا برسیم، طبیعتاً محدودیتهای بودجهای یا مسائلی از این دست تأثیرگذار است، اما اینکه چقدر این موضوع اهمیت داشته است، از ابتدای راهاندازی مرکز داده، اولین مدرک اخذ شده، مدرک پدافند غیرعامل بوده است؛ حتی مدارک دیگر بعد از این دریافت شد.
در طراحی مرکز داده، بحث حملات الکترومغناطیس و مسائلی از این دست طراحی شد و طراحی فیزیکی ساختارهایی انجام شده که بتوانند در مقابل این نوع حملات مقاوم باشند.
در هر مجموعه و ساختار، مسئول فناوری اطلاعات تنها یکی از اجزای سازمان است، اما پرداختن به پدافند غیرعامل نیازمند فهم کلانتری است. به نظر شما چه اندازه این فهم وجود دارد که تهدیدات مبتنی بر پدافند غیرعامل مهم است و باید به آن پرداخته شود؟
در لایه مدیریتی حوزههای علمیه خواهران خارج از مرکز فناوری اطلاعات صحبت کنیم، مجموعه صیانت چند سالی است که در حوزه پدافند غیرعامل فعال شده است و از جانب مدیر مرکز در این بخش هدایت میشود که بتواند برنامههای خود را پیش ببرد؛ اما اتفاق و مهمترین چالشی که میبینم بیشتر بحثهای آموزشی و فرهنگسازی در بین کاربران است؛ این کاربر میتواند طلبه، مدیر یا کارمند ادمین حوزه های علمیه خواهران باشد که اینجا با سامانه کار میکند؛ در حوزه فرهنگسازی و آموزش، ضعفهایی را داریم که باید پوشش دهیم، هر چند گاهی اوقات در بحثهای مدیریتی بحثهایی تشخیص داده میشود ولی محدودیتهای بودجهای نمیگذارد که همه این برنامهها و اولویتهایی که تشخیص داده شده است عملیاتی شود.
از این جهت برنامههایی وجود دارد، پیشنهاد و تأیید هم شده است، اما با توجه به اینکه سازمانهای بالاسری داریم و محدودیتهای بودجهای کشوری داریم، نمیتواند آن مجموعه کارا شود، وگرنه زمانی که آن برنامهها مطرح میشود، معمولاً موافقت مدیران را دارد، هر چند محدودیت بودجهای و بحث فرهنگسازی آموزش در کاربران ما نقاطی است که میتواند بحث پدافند را دچار چالش کند.
در صورت پیاده نشدن فرهنگسازی و همچنین بقیه مواردی که لازم است در پدافند غیرعامل در حوزه فناوری اطلاعات رعایت شود، به صورت مصداقی چه تهدیدهایی ممکن است متوجه فعالیت ها شود؟
اگر بخواهم دو مصداق عمده را عرض کنم، یکی خود اطلاعات است؛ مخاطبان حوزههای علمیه خواهران بیشتر خواهران هستند و اطلاعات ارتباطی و اطلاعات شخصی و اطلاعات تحصیلیشان اطلاعات فرهنگی و پژوهشی و سوابق و کارهایی که از طریق مرکز مدیریت انجام میدهند معمولاً در سامانهها ذخیره میشود، اگر اقدامات مناسبی در این حوزه صورت نگیرد، یکی از اتفاقاتی که میافتد نشر این اطلاعات یا احیاناً سوء استفاده از این اطلاعات به وسیله افراد غیرمجاز است؛ این در مورد حوزه.
حوزه دوم خدماتی است که ارائه میشود؛ به عنوان مثال وقتی که آموزشها مجازی است، کلاسهای آنلاین یکی از ابزارهای برگزاری آموزش هستند؛ یا سالهاست که خدماتی مانند ثبت نام در حوزههای علمیه خواهران، انتخاب واحد، مشاهده نمرات و مواردی از این دست به صورت الکترونیکی انجام میشود.
اگر هر گونه اختلالی به واسطه عدم رعایت بحث پدافند غیرعامل اینجا اتفاق بیفتد این خدمات دچار اختلال میشوند، تمام امور دستی انجام میشود؛ الان که کرونا هست اصل آموزش متوقف میشود و اینها به صورت مصداقی دو مورد از مسائل مهم حوزه است.
غیر از استدانداردهایی که باید از سوی فناوری اطلاعات انجام شود؛ چه سهلانگاریهایی ممکن است از جانب عناصر سازمانی مانند ادمینهای تخصصی و کاربران منجر به اختلال شود؟
همانطور که فرمودید اقدامات را اگر بخواهیم یک نوع دستهبندی کنیم در دو دسته قرار میگیرند؛ اقداماتی که مراکز فناوری و صیانت باید انجام دهند؛ اینها خودشان مجری هستند، مانند امنسازی سامانهها و امنسازی زیرساختها؛ یک سری از اقدامات هم هست که مخاطبان و بهرهبرداران از این خدمات باید انجام دهند که مجریان بخش اول غالباً اینها را از طریق آموزش منتقل میکنند؛ اینکه رعایت دسترسیهایی که بایستی به کاربران مختلف بدهند را مبتنی بر استانداردها انجام دهند، مبتنی بر اصول حفاظت امنیتی انجام دهند؛ کسانی که این دسترسیها را دریافت میکنند آن آموزشهایی را که در حوزه نحوه دسترسی به دادهها هست را درست انجام دهند.
به عنوان مثال فرض کنید که شما یک امنسازی سامانه را انجام دادهاید، اما به فردی دسترسی دادهاید که مجاز است بتواند اطلاعات طلبهها را بگیرد، برای مثال یک مسئولی در معاون آموزش است؛ اگر این فرد از اطلاعات خروجی بگیرد و این فایل را بدون محافظت هر جایی ببرد، برای هر کسی ارسال کند، از طریق شبکههای اجتماعی ارسال کند یا رمز کامپیوتر خود را به افراد مختلف بدهد یا اینها را پرینت کند یا جاهای مختلف ببرد، نشر اطلاعاتی که دچارش بودیم اینجا اتفاق میافتد.
یا اگر فرد مهم باشد و دسترسیهای مهمی داشته باشد، اگر این دسترسی در اختیار افراد غیرمجاز قرار بگیرد، با تغییر در دادهها میشود خدمات مختلف فناوری اطلاعات را متوقف کرد؛ یعنی یک مدیر سامانه با تغییر دادههایی که انجام میدهد، امکان انتخاب واحد را بگیرد، یا امکان پذیرش را بگیرد، بدون اینکه اختلال فنی در سامانه رخ داده باشد با تغییر اطلاعاتی که از طریق آن کاربر هست بیاید و آن فعالیتهای اصلی را دچار اختلال کند.
تحلیل حضرتعالی از اتفاقی که در مورد سامانه کارت هوشمند سوخت افتاد چیست و چه ضعفهای منجر به آن شد؟
نکته اول اینکه هنوز از مراجع رسمی به طور دقیق اعلام نشده است که ریشه دقیق مشکل چه چیزی بوده است؛ اما با اطلاعات مختلفی که از جاهای مختلف پخش شده است، به فرض صحت آنها؛ یکی از بحثها بحث عوامل انسانی است که چه در حوزه فناوری اطلاعات و چه در حوزه افرادی که دسترسی مختلف دارند بوده است، اینها طبیعتاً باید طبق اصول پدافند غیرعامل جذب شده باشند و آموزش دیده باشند و دسترسی داشته باشند.
نکته بعدی بحث فرآیندها و اتفاقاتی است که حوزه فناوری اطلاعات باید در حوزه زیرساختهای خود بدهد.
یکی از اهدافی که وجود دارد کاهش آسیبپذیری و بحث بعدی تداوم خدمات است؛ اقدام اولی که باید صورت میپذیرفته است و دچار چالش شده است وجود آسیبپذیری در این حوزه است که آن آسیبپذیریها باید کاهش پیدا میکرده است و اتفاق دوم با فرض انجام حمله باید فرآیندهایی برای تداوم ارائه خدمات با فرض حمله و خرابکاری صورت میگرفته است؛ اینکه اطلاعات پشتیبان، سیستمهای پشتیبان در کمترین زمان بتوانند خدمت اصلی را ارائه دهند از جمله فرآیندهایی است که از طریق پدافند غیرعامل هم مورد توجه قرار میگیرد؛ اینها بخش هایی است که باید مناسبتر مورد استفاده قرار میگرفت و اگر در مانورها نیز به صورت عملیاتی و واقعی این موارد مورد اجرا قرار می گرفت، احتمالاً بازگشت به خدمات میتوانست سریعتر باشد.
آیا چنین مانورهایی در حوزههای علمیه خواهران برگزار شده است؟ و آیا اصلا این مانورها برای حوزههای علمیه خواهران موضوعیت است؟
نخست اینکه یک سری مانورها در حوزه IT در حال انجام است.
برای مثال همین مشکلی که در حوزه بنزین پیش آمد، این از مصادیقی است که از سالیان گذشته در حوزههای علمیه خواهران مانورهای آن انجام میشود؛ مانورهایی همچون بازیابی اطلاعاتی که در تایمهای مختلف انجام شده و پشتیبان گرفته میشود و اینکه مطمئن باشید این پشتیبان در موقع نیاز میتواند به کمک شما بیاید و مورد استفاده قرار بگیرد، خیلی مهم است؛ خیلی از سازمانها بک آپ و پشتیبان میگیرند ولی اینکه اطمینان پیدا کنند که این بک آپ در آن موقع در تایمی که برآورد کردند میتواند مورد استفاده قرار گیرد خیلی مهم است و این علاوه بر اینکه نیاز به پلن کردن دارد، اجرایش خیلی مهم است، این مانور از مانورهایی است که سالیان سال است که در حوزه در خصوص سامانهها انجام میشود.
همچنین مانورهایی که در مرکز داده انجام میشود، اینها معمولاً چیزهایی است که خیلی دیده نمیشود؛ دید بیرونی ندارد و داخل فرآیندهای سازمانی این اتفاقات میافتد؛ معمولاً ایام تعطیل، ایام شب و زمانهایی از این دست این اتفاق میافتد.
اما صحبت شما که مانور نسبت به کاربران هم میتواند اتفاق بیفتد، درست است و در دستور کار هم هست.
یکی دیگر از مسائل مبتلابه حوزههای علمیه خواهران، نفوذ در پایگاههای اطلاع رسانی است، یعنی رخنه و اختلالی در اطلاعرسانی. با توجه به اینکه حوزههای علمیه خواهران مرجعیت اجتماعی و فرهنگی دارند، آیا در حال حاضر پایگاه یا اطلاعرسانی ما آن استانداردهای لازم را دارند؟
حملات دیفیس خیلی جنبه آبرویی دارد؛ جنبه نشر اطلاعات ندارد، جنبه توقف خدمات ندارد و جنبه آبرویی دارد؛ این است که دی فیس انجام میشود؛ مانند اتفاقی که در مساله بنزین در تابلوها افتاد، دیتایی نشر نکرد، خدمتی هم متوقف نشد، اما اگر یک عبارتی که متناسب نیست، در سایت اطلاعرسانی قرار بگیرد؛ حملهای از نوع دیفیس صورت گرفته است و طبیعتاً اطلاعاتی نیست، اما یک آبرویی از یک سازمان است.
یکی از اتفاقات و مانورهایی هم که معمولاً انجام میشود و جدای از آن جزو فرآیندهای توسعه ما هم هست، بحث تستهای نفوذ است که در دورههای متفاوت، همچنین در توسعههایی که انجام میشود در سیستمها؛ یکی از فرآیندهای ما اطلاعات نفود است. این کار معمولاً در سامانه پراهمیت ما انجام میشود.
نکته دوم اینکه امنیت نسبی است؛ شما میتوانید گواهینامههای متفاوت از جاهای مختلف داشته باشید و به سامانه شما نفوذ انجام شود، کما اینکه شرکتهای بزرگ بارها مورد حمله قرار گرفتهاند؛ اینجا یک ضرب المثلی هم هست؛ اگر شما میخواهید امنیت داشته باشید، باید اطلاعات را روی رایانهای قرار دهید که از شبکه جدا باشد و آن را در گاوصندوقی قرار دهید که در قعر دریا باشد و باز هم از امنیت قطعی اطمینان نخواهید داشت.
وقتی خدمات میدهید و مجبور هستید که کانکشنهای متفاوت داشته باشید یعنی بازیگران متفاوتی در این عرصه هستند، پس مدام باید روی آن تلاش انجام دهید و بروزرسانی داشته باشید مانند علم که مدام در راه پیشرفت است و مدام باید اطلاعاتی که در آنجا اتفاق میافتد هم در راه پیشرفت باشد.