مرکز افتای ریاست جمهوری طی ابلاغیهای، استفاده از محصولات شرکت کسپرسکی را در دستگاههای اجرایی بهدلیل ضعف و عدم کارایی لازم در تشخیص نفوذ و مقابله با حملات اخیر سایبری زیرساختهای حیاتی کشور، ممنوع اعلام کرد.
مرکز افتای ریاست جمهوری طی ابلاغیهای، استفاده از محصولات شرکت کسپرسکی را در دستگاههای اجرایی بهدلیل ضعف و عدم کارایی لازم در تشخیص نفوذ و مقابله با حملات اخیر سایبری زیرساختهای حیاتی کشور، ممنوع اعلام کرد.
به گزارش افتانا، طبق ابلاغیه مرکز افتای ریاست جمهوری، خرید و یا تمدید لایسنس محصولات کسپرسکی در دستگاههای اجرایی دارای زیرساختهای حیاتی در کشور ممنوع و منوط به استعلام کتبی از این مرکز شده است.
عدم کارایی و ضعف عملکردی محصولات کسپرسکی در تشخیص نفوذ و مقابله با حملات اخیر سایبری به زیرساختهای حیاتی کشور از دلایلی است که مرکز افتای ریاست جمهوری به آن اشاره کردهاست. مرکز افتا در این ابلاغیه هشدار داد که درصورت رعایت نکردن این دستورالعمل، تبعات حقوقی و امنیتی ناشی از صدمات احتمالی حملات سایبری به زیرساختهای کشور بر عهده دستگاه متبوع خواهد بود.
این در شرایطی است که محصولات شرکت امنیتی روسی کسپرسکی در بخشهای مختلف خصوصی و دولتی کشور کاربرد فراوانی داشته است. گمانهزنیهای متعددی درباره دلایلی که منجر به این ابلاغیه شدهاست از سوی کارشناسان و اهالی آیتی مطرح میشود؛ از ابهام در تبیین چرایی ناکارآمدی این محصولات در محتوای ابلاغیه تا ربط دادن آن به موضوع ترویج محصولات بومی و ...
یک پیام روشن به کسپرسکی!
علی کیاییفر، مدیر امنیت سیستمهای کنترل صنعتی شرکت مدبران، به اطلاعاتی اشاره میکند که به شرکت تولیدکننده آنتیویروس کمک میکند تا تهدیدهای جدید را شناسایی و تحلیل کرده، بهبودهای لازم را در نرمافزار اعمال کنند و همچنین تجربه کاربری بهتری برای مشتریان فراهم کنند و میافزاید: البته، معمولاً شرکتها سیاستهای مشخصی برای حفظ حریم خصوصی کاربران دارند و اطلاعات حساس بهصورت ناشناس یا با رعایت پروتکلهای امنیتی مناسب ارسال میشوند.
وی در مورد اینکه این اطلاعات معمولا شامل چه مواردی هستند و چگونه گردآوری میشوند، توضیح میدهد: آنتیویروسهای سازمانی این قابلیت را دارند که برای بهبود عملکرد و امنیت خودشان برخی اطلاعات را از شبکه سازمان به سرورهای خودشان ارسال کنند. این قابلیت معمولا با یک تیک در آنتیویروسها فعال میشود و این اطلاعات معمولا بهصورت Anonymous ارسال میشود. این اطلاعات میتواند شامل گزارشهای کلی تهدیدات و بدافزارها، نمونههای بدافزارها و فایلهای مشکوک برای تحلیل بیشتر، اطلاعات مربوط به تهدیدات شناسایی شده، ازجمله نوع و روش شناسایی، مشخصات سیستم شامل نسخه سیستمعامل، تنظیمات امنیتی، و مشخصات سختافزاری، طلاعات شبکه مانند آدرسهای IP و تنظیمات شبکه، گزارشهای خطاها و لاگهای نرمافزار برای کمک به رفع مشکلات فنی و بهبود عملکرد، اطلاعات دیباگینگ و لاگهای کرش و مواردی از این دست باشد.
کیاییفر در گفتوگو با افتانا درباره چرایی این ابلاغیه، نظر خود را اینگونه بیان میکند: شرکت کسپرسکی از طرفی از فضای تحریمهای بینالمللی بهوجود آمده برای ایران و غیبت برندهای معتبر خارجی و همچنین ضعف مفرط محصولات آنتیویروس بومی نهایت استفاده را کرده و بازار ایران را قبضه کرده است و از طرفی حاضر نیست هیچگونه لاگی از تهدیدات سایبری کشفشده بهویژه حملات هدفمند و APT را در اختیار دستگاههای نظارتی کشور بگذارد. به نظر من یکی از دلایل اصلی تصمیم بر ممنوعیت استفاده از محصولات کسپرسکی در ایران، ارسال یک پیام روشن به کسپرسکی است که این شرکت برای ادامه فعالیت رسمی در ایران ناچار است همکاریهایی را با دستگاههای نظارتی کشور داشته باشد.
قرار نیست یک آنتیویروس همه چیز را کشف کند!
در افتانا به سراغ روزبه نوروزی، مدرس و معمار ارشد امنیت اطلاعات، هم رفتیم که یکی از معدود ایرانیان دارنده مدرک CISSP، یکی از مدارک عالی حرفهای در حوزه امنیت است. او میگوید: آنتیویروس یکی از الزامات حفاظتی/کشفی امنیت در سازمان است اما کلا هر آنتیویروسی، بخشی از بدافزارها را نمیتواند کشف کند. شخصا در چندین حادثه سایبری در کشور دیدهام که آنتیویروسها از برندهای مختلف نتوانستهاند جلوی حمله را بگیرند یا آن را کشف کنند. اصولا یکی از دلایل اینکه سایتهایی چون virustotal راهاندازی شدهاند، نیاز به اسکن فایل مشکوک توسط چند آنتیویروس بوده است. الزامی نیست که یک آنتیویروس همه چیز را کشف کند و این امر، یک اصل پذیرفته شده است و اصولا یکی از مبانی تاسیس مرکز عملیات امنیت یا همان SOC همین است.
نوروزی ادامه میدهد: در فلسفه ایجاد SOC قبول کردهایم که اولا، هر سنسور به تنهایی توانایی کشف حمله را ندارد و ثانیا، حملات پیچیده سنسورهای کشفی زیادی را دور میزنند. لذا با ایجاد مرکز عملیات امنیت سعی میکنیم با تلفیق لاگ سنسورها و با کمک فرایندها و عامل انسانی، نفوذ را کشف کنیم. ضمنا تنظیم درست ابزارهای امنیتی نظیر آنتیویروسها مسئله مهمی است که در بسیاری از موارد در کشور نادیده گرفته میشود. این مسئله باعث میشود آنتیویروس یا هر ابزار امنیتی به نحو مطلوب به عملکرد خود نرسد، لذا مقابله و کشف مناسبی را از آنتیویروس شاهد نباشیم.
وی صحبتهایخود را این گونه به پایان میبرد: درنهایت اینکه از نظر اینجانب اگر مسئله تصمیم در مورد کسپرسکی صرفا به دلایل فنی باشد بنابر آنچه به آنها اشاره شد زیر سوال است، اما شاید دلایل عملکردی دیگری مطرح باشد که اکنون ما از آنها اطلاع نداریم.
مثل همیشه، «مسئولیت برعهده سازمان است»!
محمدشهاب احمدی، مدیر فناوری اطلاعات شرکت مهندسی و ساختمان صنایع نفت (اویک) با اشاره به اینکه مخاطب این بخشنامه، سازمانها و نهادهای مندرج در ماده ۵ خدمات کشوری است (و نه بیشتر)، به افتانا میگوید: در اینگونه بخشنامههای سلبی، ابتدا هزینههای مشهود و نامشهود ناشی از اجرای آن قبل از صدور بررسی میشود. حجم سرمایهگذاری سازمانهای ایرانی (از ردیف بودجههای جاری و غیرعمرانی) انجام شده در اینخصوص به نظر بسیار قابل توجه است که مشخصا بسیاری از این هزینهکردها هنوز حتی مستهلک هم نشده است. این موضوع در گزارشهای دیوان محاسبات میتواند بهعنوان هزینهکردهای بدون بازده منعکس شود و مشکلاتی را برای دستگاههای اجرایی ایجاد کند. صرف صدور بخشنامه از سوی افتا، رافع مسئولیت این سازمانها در پاسخگویی به بند گزارش دیوان محاسبات نمیشود. نتیجه آنکه دستگاه اجرایی باید چندین کیلو گزارش تولید کند که چرا وچگونه چنین هزینهای کرده و چرا حواسش نبوده وگزارشهای متعددی بدهد تا از خودش رفع تکلیف کند.
او درباره عواقب احتمالی اجرای این ابلاغیه میگوید: سالهاست که هزینههای بسیار برای رشد و تربیت کارشناس متخصص این حوزه چه در بخش خصوصی و چه در بخش دولتی صورت گرفته است. تکلیف این هزینهکرد چیست؟ چه کسی بهای آن را میپردازد؟ آیا قرار است نقطه سر خط شوند و از اول برای محصول دیگری تربیت شوند؟ افتا میتواند هزینه تربیت نیروهای جدید را تقبل کند؟ این یک شوک به بدنه دانشی حوزه IT است که تا مدتها خلاء دانشی برای استقرار محصولات جایگزین حس خواهد شد و چهبسا در مدت این خلاء به سازمانها آسیب وارد شود.
این مدیر فناوری اطلاعات و ارتباطات با اشاره به اینکه بسیاری از سازمانها، تنظیمات شبکه، سیاستهای امنیتی و حتی کد نرمافزارهای تولیدی را بر اساس سازگاری با این محصول تطبیق دادهاند، هشدار میدهد: تغییر به محصولی دیگر ممکن است حتی منجر به بازنویسی کد یا اختلال در اجرا شود که خود گویای هزینه نامشهود دیگری است.
او درباره محتوای این ابلاغیه میگوید: افتای محترم طبق معمول اینگونه بخشنامهها، نه تنها پیشنهادهای جایگزین را مطرح نکرده و مشخص هم نکرده که نکند خدای ناکرده فردا برای یک محصول دیگر نیز همینگونه عمل کند؛ بلکه در انتهای نامه طبق معمول همیشه جمله معروف اینگونه بخشنامهها را ذکر کرده است که«چنانچه سازمان متبوع اقدام نکند مسئولیت برعهده آن سازمان است»!! چیزی که عیان است چه حاجت به بیان است. آیا چنانچه به دستور افتا عمل شد و سازمانها دچار آسیبپذیری شدند، افتا قبول مسئولیت میکند که اینگونه تهدید عدم اجرا را برعهده سازمانها میگذارد؟ مشخص است که همیشه مسئولیت اجرا و عدم اجرا برعهده سازمان است و سازمان پاسخگوست. هزینه ناشی از نگهداری و آسیبپذیری را سازمان میدهد؛ افتا که هزینه نمیدهد! امیدوارم روزی شاهد حذف این جمله زاید بیفایده از ذیل بخشنامهها باشیم.