امنیت فناوری اطلاعات
چکیده
مقاله حاضر با عنوان امنیت فناوری اطلاعات به بررسی نقش مهم سیاستهای دولتی در مقوله امنیت فناوری میپردازد؛ و بهطور کامل نقش کشورها در جهت تأمین امنیت را مورد بررسی قرار خواهد داد. همچنین در این مقاله در مورد کشورهایی که از امنیت بالایی برخوردار نبودهاند و در این زمینه خساراتی به آنان وارد شده که در پی آن به افزایش سطح امنیت اطلاعات خود پرداختهاند بحث به عمل خواهد آمد. اقداماتی که در جهت تهیه استراتژی ملی امنیت سایبر انجام شده و گروههایی که به وجود آمدهاند را مورد بررسی قرار میگیرد و به بیان قانون جرائم و تخلفات در زمینه امنیت فناوری اطلاعات میپردازیم. در نهایت نیز اقداماتی که در سطح جهانی برای تأمین امنیت اطلاعات انجام شده را توضیح خواهیم داد. تست شد
مقدمه
مشابه سایر زمینههای تأثیرگذار بر اینترنت در مقوله امنیت فناوری اطلاعات نیز سیاستهای دولت نقش مهمی ایفا میکند. امنیت اطلاعات شامل دسترسی افراد مجاز به اطلاعات است، با این حال در این مورد باید با احتیاط اظهار نظر کرد چرا که یک چارچوب عمومی سیاست میتواند امنیت را تقویت کند اما اشکالاتی که در اثر مقررات نادرست دولتی به وجود میآید بیش از مزایای چنین مقرراتی است. فناوری به سرعت در حال تغییر است و تهدیدات سایبر جدید با چنان سرعتی افزایش مییابند که مقررات دولتی به راحتی میتوانند تبدیل به موانعی برای ارائه سریع پاسخهای مبتکرانه شوند. بنابرین بهترین راه این است که میان معیارهای تقنینی و غیر تقنینی یک نقطه تعادل پیدا کنیم. برای دستیابی به چنین تعادلی سیاست گذاران باید به برخی ویژگیهای ذاتی و منحصربهفرد اینترنت توجه کنند. در مقایسه با فناوری اطلاعات پیشین فضای سایبر یک فضای غیر متمرکز است. بخشی از قدرت اینترنت ناشی از این حقیقت است که فاقد دربان است و بیشتر کارایی آن در مرزهای شبکهاست تا در مرکز آن.
در بسیاری از کشورها یک جز یا تمامی اجزای شبکههای ارتباطی و بسیاری از زیرساختهای مهم و حساس تحت تملک و عملکرد بخش خصوصی قرار دارد؛ بنابراین قسمت اعظم مسئولیت کسب اطمینان وابسته به بخش خصوصی است. اما با این وجود مسئولیت امنیت این سیستمها میان دولت و بخش خصوصی تقسیم شدهاست.
کاهش مخاطره زیرساخت اطلاعات حساس
برای توسعه استرتژی کاهش مخاطره زیر ساخت اطلاعات حساس باید اصول زیر مدنظر قرار گیرند:
کشورها باید دارای شبکههای هشدار دهنده اضطراری برای تهدیدات و حوادث دنیای سایبر باشند.
کشورها باید سطح دانش و آگاهی خود را ارتقا دهند تا به درک افراد از ماهیت و وسعت زیر ساخت اطلاعات حساس خود کمک نمایند.
کشورها باید مشارکت میان بخش عمومی و بخش خصوصی را افزایش داده و اطلاعات زیرساختی مهم خود را مورد تجزیه و تحلیل قرار دهند و به اشتراک بگذارند.
کشورها باید اطمینان یابند که سیاستهای در دسترس بودن داده، امنیت زیرساختهای اطلاعات حساس را نیز مدنظر قرار دادهاند.
کشورها باید اطمینان حاصل کنند که برای مقابله با مشکلات امنیتی قوانین مناسب و روالهای قابل قبول دارند و این تحقیقات را با سایر کشورها مطابقت دهند.
کشورها باید در زمان مناسب در همکاریهای بینالمللی شرکت کنند تا زیرساختهای مهم اطلاعاتی خود را ایمن سازند.
کشورها باید تحقیق و توسعه ملی و بینالمللی خود را افزایش دهند و بر اساس استانداردهای بینالمللی، مشوق به کارگیری فناوریهای امنیتی باشند.
کشورها باید در خصوص افزایش قابلیت واکنش آموزشها و تمریناتی داشته باشند و برنامههای خود را برای پیشامدهای احتمالی مورد ارزیابی قرار دهند.
کاهش مخاطره در حوزه خدمات مالی
طبق تخمین شرکت اینترنت دیتا حدود ۵۷٪ نفوذها علیه صنایع سرمایهگذاری صورت گرفتهاست. علاوه بر این با پیچیدهتر شدن روشهای نفوذ سطح مهارت نفوذگران کاهش مییابد، چون تکه برنامههای خرابکارانه برای دانلود و کاربرد در دسترس همگان قرار دارد. حتی کسانی که دانش چندان عمیقی ندارند با این امکانات میتوانند اقدام به نفوذهای بزرگ کنند.
نقش کشورها
نمایندگان اداره مالی هنگ کنگ با مروری بر سه مورد کلاهبرداری بحث خود را آغاز کردند:
نفوذگری با استفاده از یک تراوا به سرقت تعدادی رمز عبور و شناسه اقدام کرد و توانست بیش از ۳۵۰۰۰ دلار آمریکا را به صورت غیرمجاز جابهجا کند.
یک مورد کلاهبرداری به دلیل ضعف آگاهی مشتری در مورد امنیت رمز عبور در سیستم پرداخت الکترونیکی نفوذگران توانستند وارد سیستم شوند و سه میلیون دلار به سرقت ببرند.
در یک کلاهبرداری اینترنتی نفوذگران توانستند حدود پنج میلیون سهم با ارزش ۲۱٫۷ میلیون دلار را فروخته و در قیمت سهام نوسان شدیدی ایجاد کنند.
درسهایی که میتوان از این رویدادها گرفت این است که باید تغییرات حسابهای اشخاص ثالث را ثبت کرد. باید معاملات بانکی الکترونیکی را کنترل کرد و در مورد معاملات و حسابهای مشکوک با صاحبان حسابها هماهنگی مجدد به عمل آید. باید آگاهی مشتری را افزایش داد تا بتوانند از روشها و کانالهای مختلف برای انتقال اطلاعات به صورت امن استفاده کنند.
در یک رخداد، رایانههای مشتریان بزرگترین بانک سنگاپوری آلوده به انواعی از تراواها شد. این تراواها بهطور ناخواسته اطلاعات محرمانه کاربران را دریافت و برای آدرسهای از پیش تعیین شده ارسال میکردند و بدین وسیله سارقین میتوانستند مقادیر عظیمی پول را به سرقت ببرند. این تراوای خاص آنقدر پیشرفته بود که از ضدویروسها و مهاجم یابها به سلامت عبور میکرد. از این موضوع نیز میتوان نتیجه گرفت که ضدویروسها و مهاجم یابها نباید تنها مکانیزمهای دفاعی برای یک محیط اقتصادی باشند.
فناوریهای سیار
با پدید آمدن فناوریهای سیار، دستاوردها و مخاطرات جدیدی به وجود آمد. فناوریهای بیسیم با سرعتی معادل سه برابر سرعت خطوط زمینی در حال رشد است. این فناوری نیز مانند سایر فناوریهای ارتباطی نسبت به تکه برنامههای مخرب مثل تراواها، ویروسها و حملات تخریب سرویس، آسیبپذیر است. معمولاً اتصال بیسیم ضعیفترین حلقه زنجیر امنیتی محسوب میشود. اما با چند گام ساده میتوان حفاظت بیشتری به عمل آورد. فعال کردن رمز عبور راه اندازی، نصب نرمافزار ضدویروس، نصب یک دیواره آتش شخصی با قابلیت رمز گذاری، اطمینان از نگهداری ایمن از وسایل و حفاظت از نرمافزارهای کاربردی با رمزهای عبور از جمله این اقدامات است.
حفاظت از سیستمهای دولتی
تمهید ساختار ملی برای مسئله امنیت رایانهای دولت را با چالشهای سازمانی از جمله چگونگی رهبری این ساختار رو به رو میکند. برای تعیین مسئولیتها در دولت باید ابتدا به این پرسش پاسخ داد که: آیا از نظر اقتصادی، امنیت ملی یا مقررات حاکم، امنیت رایانهای یک مسئله قابل اهمیت محسوب میشود؟
برای پاسخ به این پرسش بد نیست بدانیم:
کانادا اعتبارات زیادی برای امنیت سایبر به وزارت دفاع خود اختصاص دادهاست.
در بریتانیا اداره اقامت که مسئول اجرای قوانین است رهبری را بر عهده دارد.
ایالات متحده این موضوع را در بخش امنیت داخلی خود قرار دادهاست اما به صورت آگاهانه بخش امنیت رایانهای مؤسسه استاندارد و فناوری تحت نظارت دپارتمان تجارت را همچنان حفظ کردهاست.
استرالیا یک گروه همکاری امنیت الکترونیکی را برای هماهنگ سازی سیاست امنیت سایبر ایجاد نموده، یک سازمان اجرایی که توسط اداره ملی برای اقتصاد اطلاعاتی ایجاد شده و تحت نظارت وزارت ارتباطات و فناوری اطلاعات است.
ایتالیا یک کمیته داخلی وزارتی برای استفاده مسئولانه از اینترنت برقرار ساخته که توسط دپارتمان نوآوری و فناوری در دفتر نخست وزیری مدیریت میگردد.
در سال ۲۰۰۰ نخست وزیر ژاپن گروهی را برای پرداختن به مسئله امنیت فناوری اطلاعات در کابینه دولت ایجاد کرد تا بهتر بتواند معیارها و سیاستهای امنیتی را میان وزیران و سازمانها هماهنگ نماید. این گروه متشکل از متخصصانی بود که عضو سازمانها و وزارت خانههای وابسته و نیز بخش خصوصی بودند.
تهیه استراتژی ملی امنیت سایبر
تا به امروز ایالات متحده وسیعترین و بیشترین فرایندهای تهیه استراتژیهای ملی امنیت سایبر را داشته و در عملکرد سایر کشورها و گروههای بینالمللی نیز مطالب و موضوعات مشابهی به چشم میخورد. با اینکه جزئیات این فرایندها و پیامدهای قوانین و ساختارهای سازمانی از کشوری به کشور دیگر متفاوت هستند، فرایند تهیه استراتژی امنیت سایبر مشابه روشی است که بسیاری از کشورها برای تهیه استراتژیهای ملی فناوری اطلاعات و ارتباطات از آن استفاده کردهاند. در حقیقت امنیت یک جز استراتژیهای ملی فناوری اطلاعات و ارتباطات است و استراتژی امنیت سایبر میتواند از طریق اصول حقوقی و روشهای مشابه مورد استفاده در تهیه پیشنویس برنامه ملی توسعه فناوری اطلاعات و ارتباطات به کار گرفته شود.
فاز اول، ارزیابی مفصل آسیبپذیریها و افزایش سطح آگاهی است. به عنوان مثال استرالیا در سال ۱۹۹۷ گزارشی تحت عنوان زیر ساخت اطلاعات ملی استرالیا: تهدیدها و آسیبپذیریها به چاپ رساندهاست. این گزارش که توسط هیئت مدیره شرکت دفنس سیگنالز تنظیم شد خواننده را به این نتیجه میرساند که جامعه استرالیا نسبت به نقائص نسبتاً زیاد شبکههای رایانهای آسیبپذیر است و نیز هیچ ساختار رسمی و مشخصی برای هماهنگی و اجرای سیاستهای دولتی جهت حفظ زیر ساختهای اساسی وجود ندارد. رئیس جمهور ایالات متحده برای مطالعه روی این موضوع در سال ۱۹۹۶ هیئتی به نام مجمع حمایت از زیر ساختهای حیاتی ریاست جمهوری متشکل از بعضی مقامات حقیقی و حقوقی به وجود آورد. این مجمع فاقد هر گونه قدرت قانونگذاری بود و ساختار پایدار و ثابتی نداشت، بلکه محیطی برای گزارش، مصاحبه و تحقیق فراهم کرد و گزارشی منتشر نمود که مورد توجه سیاست گذاران، مقامات حقوقی، رسانههای جمعی و مردم قرار گرفت. این هیئت پیشنهادات قابل توجه دیگری را در اکتبر ۱۹۹۷ ارائه داد و خواستار همکاری صمیمانه تر بخش خصوصی و دولت شد.
فاز دوم، ایجاد ساختارهای ثابت در بخش اجرایی برای همکاری در تهیه و اجرای سیاست هاست. به عنوان مثال در کانادا به دنبال انتشار نتایج یک ارزیابی توسط کمیته داخلی حفاظت از زیر ساختهای حیاتی، دولت یک مرکز همکاری جمعآوری و حفاظت اطلاعات، ارزیابی تهدیدها و بررسی رخدادهای امنیتی و یک دفتر جهت حفاظت از زیر ساختهای حیاتی و آمادگی در شرایط اضطراری برای به وجود آوردن یک فرماندهی در سطح ملی تأسیس کرد.
فاز سوم، شامل تهیه استراتژی هاست. یک استراتژی ملی امنیت سایبر میتواند یک سند مجزا یا قسمتی از استراتژیهای ملی آی سی تی باشد. نکته کلیدی در این فرایند، تبادل نظر دولت و بخش خصوصی است. در ژاپن که امنیت سایبر را در استراتژیهای کلی آی سی تی ادغام کرده، این فرایند با همکاری مرکز استراتژیهای فناوری اطلاعات در کابینه و شورای استراتژی فناوری اطلاعات که از بیست صاحب نظر تشکیل شده بود به انجام رسید و اصالتاً به این منظور تأسیس شد که تواناییهای دولت و بخش خصوصی را ترکیب کند.
فاز چهارم، (با تمرکز بر سیستمهای امنیت دولتی) اعلام خط مشیها و تصویب قوانین مورد نیاز امنیت سایبر است. برخی کشورها مثل ژاپن و ایتالیا از طریق چنین خط مشیهایی به این موضوع پرداختهاند. در ژوئیه سال ۲۰۰۰ کمیته ارتقای امنیت فناوری اطلاعات ژاپن در سطح کابینه راهبردهایی در مورد سیاست امنیت فناوری اطلاعات اتخاذ کرد که در ان از تمامی ادارات و وزارت خانهها خواسته شده بود که تا فوریه ۲۰۰۳ یک ارزیابی در مورد سیاستهای امنیت فناوری اطلاعات انجام دهند و گامهای دیگری نیز برای ارتقای سطح امنیتی بردارند. در مارس ۲۰۰۱ شورای وزارتی گسترش راهبری مکانیزه عمومی برای تمام دست اندر کاران دولتی فناوری اطلاعات خط مشیهای امنیتی منتشر ساخت. در سال ۲۰۰۲ زمانی که کنگره ایالات متحده به این نتیجه رسید که بخش اجرایی دولت، سطح امنیتی سیستمهای رایانهای دولتی را به اندازه کافی ارتقا ندادهاست، مصوبه مدیریت امنیت اطلاعات دولت را ابلاغ کرد تا نیازمندیها و روشهای انجام کار در دولت را روشن کند. در تونس نیز مشابه همین مسئله صورت پذیرفت و دولت در سال ۲۰۰۲ قوانینی در زمینه امنیت تصویب و ابلاغ کرد که طبق آن سازمانهای دولتی موظف بودند به صورت سالیانه مورد ممیزی سالیانه امنیتی قرار گیرند.
ایجاد یک مجموعه هماهنگ
برای ایجاد یک مجموعه موضوعی هماهنگ و یکپارچه از استراتژیهای امنیت سایبر در سطوح ملی، منطقهای و بینالمللی باید موارد زیر مدنظر قرار گیرند:
مشارکت بخشهای عمومی و خصوصی
امنیت سایبر نیازمند همکاری بخشهای عمومی و خصوصی است. بخش خصوصی مسئولیت اصلی اطمینان از امنیت سیستمها و شبکههای خود را بر عهده دارد.
آگاهی عمومی
استفاده کنندگان از شبکه از جمله تولیدکنندگان، راهبران، اپراتورها یا کاربران شخصی باید نسبت به تهدیدات وارده و آسیبپذیریهای شبکه آگاه باشند و مسئولیت حفاظت از شبکه را بر اساس موقعیتها و نقش خود بر عهده گیرند.
تجربیات، راهبردها و استانداردهای بینالمللی
امنیت سایبر باید بر اساس تعداد رو به رشد استانداردها و الگوهای سرآمدی، به صورت داوطلبانه و مبتنی بر وفاق جمعی تهیه شود و تجربیات از طریق موسسات مشاور و سازمانهای استاندارد بینالمللی توسعه یابد. این استانداردها راهنمای مهمی برای سیاستهای داخلی دولت هستند. دولت نیازی ندارد و نباید استانداردهای فنی را برای بخش خصوصی تعیین کند.
اشتراک اطلاعات
کاملاً مشخص شده که تلاش برای ایجاد امنیت سایبر با بیتوجهی کاربران نسبت به آسیبپذیریها و حملات مواجه شدهاست. سازمانهای بخش خصوصی باید تشویق شوند که اطلاعات رخدادهای امنیتی را با سایر سازمانهای این بخش، با دولت، و نیز سایر کشورها به اشتراک بگذارند.
آموزش و پرورش
استراتژیهای سازمان همکاری اقتصادی آسیا میگوید: «توسعه منابع انسانی برای به ثمر رسیدن تلاشها در جهت ارتقای سطح امنیت امری ضروری است. به منظور تأمین امنیت فضای سایبر، دولتها و شرکتهای همکار آنها باید کارکنان خود را در مورد موضوعات پیچیده فنی و قانونی با پشتیبانی از زیر ساختهای حیاتی و جرائم فضای سایبر آموزش دهند.»
اهمیت حریم خصوصی
شبکههای آی سی تی دادههای بسیار حساس شخصی را انتقال میدهند و ذخیره میسازند. حریم خصوصی جز ضروری اعتماد در فضای سایبر است و استراتژیهای امنیت فضای سایبر باید به روشهای سازگار با ارزشهای مهم جامعه پیادهسازی شود.
ارزیابی آسیبپذیری، هشدار و عکس العمل
همانطور که استراتژیهای سازمان همکاری اقتصادی آسیا ابراز داشت: «مبارزه مؤثر با تخلفات فضای سایبر و حفاظت از اطلاعات زیر ساختی، وابسته به اقتصادهایی است که سیستمهایی برای ارزیابی تهدیدها و آسیبپذیریها دارند و هشدارهای لازم را صادر میکنند. با شناسایی و اشتراک اطلاعات در مورد یک تهدید قبل از آن که موجب آسیب گستردهای شود، شبکهها بهتر محافظت میشوند.» استراتژیهای ایالات متحده از عموم صاحب نظران خواسته بود در ایجاد یک سیستم که در سطح ملی پاسخ گوی امنیت سایبر باشد مشارکت کنند تا حملات وارد به شبکههای رایانهای به سرعت شناسایی شوند.
همکاری بینالمللی
برای سادهتر کردن تبادل نظر و همکاری در مورد گسترش یک فرهنگ امنیتی میان دولت و بخش خصوصی در سطح بینالمللی، دولتها باید با یکدیگر همکاری کنند تا برای جرائم دنیای سایبر قوانین سازگاری به تصویب برسانند و نیروهای انتظامی کشورهای مختلف باید از طریق سازمانهای بینالمللی به یکدیگر کمک نمایند.
قانون جرائم
روش دیگری که دولت با آن میتواند از سیستمهای بخش خصوصی پشتیبانی کند قانون جرائم است. موسسات بینالمللی و منطقهای پیشنهاد کردهاند که هر کشور به عنوان بخشی از چارچوب قانونی بهبود اعتماد و امنیت فضای سایبر باید برای مقابله با تخلفاتی که محرمانگی، یکپارچگی، یا در دسترس بودن دادهها را مخدوش میکنند، قوانین خود را سازگار نماید. چارچوب اجرایی قانون جرائم متشکل از قوانین موضوعه و قوانین روال مند است که از مفاهیم حریم خصوصی که در حوزه فضای سایبر کاربرد اختصاصی دارد و نیز از تحقیقات میدانی نشئت میگیرد.
سرپیچی از قوانین موضوعه جرائم
برای ارتکاب جرائم الکترونیکی روشهای مختلفی متصور است و برای قانون شکنیهای مختلف نیز نامهای متفاوتی وجود دارد، اما در مجموع، قوانینی که در مورد جرائم الکترونیکی هستند در یکی از چهار دسته زیر قرار میگیرند:
دزدی دادهها: نسخه برداری تعمدی و غیرمجاز از دادههای خصوصی رایانهای. به عنوان مثال میتوان به نسخه برداری از نامههای الکترونیکی اشخاص اشاره کرد. این قوانین به قصد حفاظت از محرمانگی ارتباطات تهیه میشوند. در این مورد میتوان به این نکته اشاره کرد که بیشتر نظامهای قانونی دنیا، ردیابی بدون مجوز مکالمات تلفنی را جرم میدانند و این مفهوم خوش تعریف در جهان ارتباطات تلفنی میتواند کاربرد مشابهی در حوزه فضای سایبر نیز داشته باشد.
تداخل دادهها: تخریب، حذف، یا تغییر تعمدی و غیرمجاز دادهها در رایانه دیگران. مثلاً ارسال ویروسهایی که فایلها را حذف میکنند، یا به رایانهای نفوذ کرده و باعث تغییر دادهها میشوند، یا به یک پایگاه وب نفوذ کرده و شکل ظاهری آن را تغییر میدهند، همه جز این دسته محسوب میشوند. شناسایی عنصر «قصد» برای تمایز میان فعالیتهای تبهکارانه و صرفاً اشتباهات معمول یا ارسال تصادفی ویروسها بسیار حیاتی است.
تداخل سیستم: جلوگیری غیرمجاز از فعالیت سیستم رایانهای به صورت تعمدی از طریق ورود، انتقال، تخریب، حذف، یا تغییر دادههای رایانهای. این بند شامل مواردی از قبیل حملات تخریب سرویس یا ورود ویروس به یک سیستم به گونهای که با کارکرد طبیعی آن تداخل داشته باشد میشود. «آسیب جدی» عنصری است که فعالیتهای تبهکارانه را از رفتارهای معمولی اینترنتی مثل ارسال یک یا چند نامه الکترونیکی ناخواسته مجزا میسازد.
دسترسی غیرقانونی: دسترسی تعمدی و غیرمجاز به سیستم رایانهای شخصی دیگر که در فضای الکترونیکی میتوان آن را مترادف «تعدی» دانست. (از یک دیدگاه دیگر، دسترسی غیرقانونی، محرمانگی دادههای ذخیره شده را خدشه دار میکند و در نتیجه تهدیدی برای محرمانگی دادهها است) در برخی سیستمهای حقوقی تعریف دسترسی غیرقانونی محدود به موقعیتهایی است که اطلاعات محرمانه (مثل اطلاعات پزشکی یا مالی) دریافت، نسخه برداری یا مشاهده میشوند.
نتایج
یک دولت علاوه بر تأمین امنیت منابع اطلاعاتی خود، باید متعهد باشد که مجموعه سیاستهایی را برای ایمن ساختن اطلاعات زیر ساختی ملی خود تنظیم کند. این سیاستها نقش مهمی در امنیت فناوری اطلاعات دارد، ولی با این حال تناقضی وجود خواهد داشت و آن این که چارچوب سیاست ملی باید قادر به افزایش سطح امنیت باشد اما قوانین ضعیف دولتی بیش از سودی در پی داشته باشد، ضرر به بار خواهند آورد. فناوری به سرعت در حال تغییر است و تهدیدات رایانهای جدید به دلیل همین تغییرات به وجود میآیند. در چنین وضعیتی از قوانین دولتی برای به دام انداختن جنایتکاران و جلوگیری از گسترش شیوههای نوین خلاف کاری استفاده میشود.
منابع
http://www.abanet.org/abapubs/books/cybercrime
https://web.archive.org/web/20140913111913/http://cybersecuritycooperation.org/documents/
Garfinkel, Simson, Gene Spafford, and Alan Schwartz. “Practical Unix and Internet Security”, 3rd Edition. Cambridge,Ma:OReilly and Associates,Inc. ,۲۰۰۳
George Sadowsky, James X. , Alan Greenberg, and Alan Schwartz. “Information Technology Security”, info Dev, world bank. ,۲۰۰۳