نقش سیاست Zero Trust در حفظ امنیت اطلاعات

جلال روحانی کارشناس رشد دیجیتال در گفتگو با خبرنگار «نبض فناوری» در رابطه موضوع حملات سایبری و هک برخی از سایت‌های سازمان‌ها و نهادها، اظهار کرد: این بحث را می توان در سه حوزه دسته‌بندی کرد؛ نخست اینکه چگونه می‌توان با دنیا تعامل برقرار کرد تا جلو قسمتی از این اتفاقاتی که در تمام دنیا می‌افتد، را گرفت. دسته دوم عملیاتی که به صورت هدفمند انجام می‌شود همانطور که برای خیلی از کشورها، سازمان‌ها و شرکت‌ها به صورت هدفمند اتفاق می‌افتد. دسته سوم طراحی سیستم‌ها و سازمان‌ها بر اساس منطق Zero Trust است. سیاست و مفهوم طراحی Zero Trust یا اعتماد صفر بدین معنی است که هر چیزی درون یا بیرون سازمان غیرقابل اعتماد است و هر تلاشی برای اتصال و یا استفاده از منابع می‌بایست صحت‌سنجی و ارزیابی شود. به صورت خلاصه در مفهوم امنیتی اعتماد صفر هیچ فرد و یا منبعی به صورت پیش‌فرض قابل اطمینان نیست. با بررسی و برنامه‌ریزی مناسب برای فعالیت‌های جداگانه در هر کدام از این دسته‌بندی‌ها می‌توان ضریب پایداری امنیت را افزایش داد. لازم به ذکر است مفهومی به عنوان امنیت مطلق وجود ندارد.
وی افزود: وضعیت امنیت در دنیا مشخص است، اما ما در ایران با دو محدودیت تحریم و سیاست داخلی مواجه هستیم. محدودیت تحریم باعث شده که سازمان‌ها، شرکت‌ها و متخصصان از بازار امنیت دنیا دور باشند. اگر به‌عنوان مثال پایگاه اطلاعاتی (Database Engine) در سطح دنیا تحت پوشش و رصد آسیب‌پذیری‌های امنیتی است و تمام سامانه‌های نرم‌افزاری براساس رصدهای امنیتی و کدهای CVE بروزسانی و امن‌سازی می‌شوند، در ایران به واسطه تحریم مستقیم، بسیاری از سامانه‌های اطلاعاتی تحت پوشش امنیتی مناسب نیستند و کارشناسان مجبور هستند از روش‌های میانبر برای نگهداری سامانه‌ها استفاده کنند. همچنین سیاست داخلی ایران، مبنی بر عدم استفاده از سیستم‌های امنیتی وابسته به دولت متخاصم، باعث ایجاد برخی حفره‌های آسیب‌پذیری عمومی در سطح سیستم‌های عمومی ‌می‌شود. به عنوان مثال برخی از بهترین محصولات امنیت شبکه در اختیار آمریکا و اسرائیل است که بر اساس سیاست داخلی کشور از این محصولات استفاده عام نمی‌شود.
عدم استفاده از محصولات امنیتی رایج، منجر‌ به گسترش دسته دوم حملات می‎شود. حملاتی که به صورت هدفمند بر‌ ضد کشور، سازمان‌ها و یا اشخاص اتفاق می‌افتند. برای مبارزه با این دسته از حملات به صورت عمده از محصولات امنیت شبکه و امنیت اطلاعات بومی استفاده می‎‌کنیم. در برخی از این محصولات بخصوص سیستم‌های امنیتی سمت کلاینت دارای محصولات قوی و قابل اطمینانی مانند پادویش هستیم. اما در برخی نقاط، مانند امنیت شبکه در گلوگاه‌ها و نقاط حساس دچار ضعف‌هایی هستیم. بر‌اساس اکوسیستم بین‌المللی بازار امنیت اطلاعات، تقریبا به جز اسرائیل اکثر محصولات جهانی حاصل سرمایه‌گذاری‌های بلند مدت انسانی و سرمایه‌ی نقدی است که در این خصوص ضعیف هستیم. حتی بسیاری از محصولات در کشور روسیه و یا چین نیز همگام با اکوسیستم جهانی امنیت اطلاعات پیش می‌روند که ضعف‌هایی در این خصوص در کشور وجود دارد.
روحانی گفت: برای جلوگیری مطلوب حملات دسته دوم با هدف مشخص، روش بهبود پیش‌نیازهای امنیتی نیازمند سرمایه‌گذاری قابل‌توجه در سه ضلع نیروهای انسانی، بودجه و روش‌هاست. ناآگهی و کمبود تجربه‌ی نیروی انسانی متخصص به صورت عمومی و نیز محدودیت‌های بودجه‌ای طی سال‌های گذشته تاثیر خاصی در این خصوص گذاشته است. در کشور همچنان سیستم‌های زیادی وجود دارد که از لحاظ امنیتی در جایگاه مطلوب نیستند و هنوز مورد بازرسی، بازبینی و نگهداری مناسب قرار نگرفته‌اند.

سیاست اعتماد صفر یا Zero Trust

دسته سوم و روش مناسب برای جلوگیری از بروز مشکلات امنیتی سیاست و مفهوم اعتماد صفر یا Zero Trust است. بر‌اساس رویکرد Zero Trust، هیچ سیستم، فرد و یا روشی به صورت پیش فرض قابل اعتماد نیست و هر تراکنشی با فرض عدم اعتماد می‌بایست طراحی، توسعه و نگهداری شود. در حال حاضر به جز سامانه‌های امنیتی و دفاعی، سامانه‌های محدودی با رویکرد Zero Trust طراحی و پیاده‌سازی شده‌اند و شاید بسیاری از سیستم‌های خدمات عمومی (دولتی) و یا سازمانی به دلایل مختلف بودجه‌ای، زمان طراحی، تخصص نیروی انسانی و محدودیت ابزارها هنگامی که در بلندمدت وارد پروسه نگهداری می‌شوند از این رویکرد فاصله بسیار زیادی دارند. این موضوع با توجه به فاصله اکوسیستم اطلاعاتی و امنیتی ایران از دنیا در درازمدت باعث انباشت آسیب‌پذیری‌ها و تشکیل حفره‌های امنیتی و ریسک می‌شود.
در دنیا ممکن است شرکت‌های بزرگی مانند سونی و یا خطوط کشتیرانی مرسک و یا شرکت‌های بیمه‌ای بسیار بزرگ و یا سایر شرکت‌ها دچار حملات سایبر و هک شوند و در ایران نیز همین موضوع حتما اتفاق خواهد افتاد. اما تفاوت این اتفاقات در ایران ممکن است افزوده شدن چاشنی حکومتی به موضوع باشند و اصل موضوع امنیت داده‌ با حاشیه رانده شود.
در ایران قانون صیانت از داده‌های شخصی به عنوان یک لایحه معرفی شده است، اما هنوز تصویب نشده است. همچنان در موارد مختلف از کاربران اطلاعات هویتی مانند کارت ملی، شناسنامه و یا سایر اطلاعات شخصی و محرمانه دریافت می‌شود، در حالی که این مدارک شخصی با درجه‎ی اهمیت بالایی است و می‌تواند با انواع حملات اطلاعاتی افشا شوند. در این موارد می‎‌توان از سامانه شاهکار و یا انواع سامانه‌های اعتبارسنجی وابسته به بانک مرکزی و یا تامین اجتماعی استفاده کرد و تنها ترکیب شماره ملی و شماره همراه برای احراز اولیه اشخاص کافی‌ است. همچنین سامانه‌های تصدیق متعددی مانند آلفا ریلتی نیز برای تصدیق هویت احراز شده افراد وجود دارد که بدون انباشت داده و ریسک افشا داده، می‌توانند نسبت به ایجاد دسترسی مناسب اقدام نمایند.
وی خاطرنشان کرد: خوشبختانه در کشور در حوزه نیروی متخصص کمبود نداریم بلکه شاید بخاطر محدودیت تحریم و سیاست داخلی باشد که استفاده مطلوب از این متخصصان نمی‌شود. خوب یا بد، ناقص یا کامل، ما در ایران سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) را داریم که تعدادی شیوه‌نامه و نظام‌نامه دارد؛ متاسفانه در بسیاری از موارد بدون توجه به این نظام سیستم‌هایشان را نگهداری و پیاده‌سازی می‌کنند به خصوص شرکت‌هایی که قدیمی‌تر هستند. هم اکنون در کشور هزاران سیستم اطلاعاتی داریم که هیچ وقت نگهداری و به روز نشدند. چرا تا به حال اتفاقی برای آنها رخ نداده؟ چون هنوز کسی به سراغ آنها نرفته است!