۰
plusresetminus
پنجشنبه ۲۳ دی ۱۳۸۹ ساعت ۱۰:۲۰

آینده امنیت فناوری اطلاعات نگران کننده است

گفت‌وگوی اختصاصی با کاستین رایو، مدیر گروه تحقیق و تحلیل و کارشناس ارشد ویروس‌شناسی در آزمایشگاه کسپرسکی
گفت‌و‌گو از شرکت ایدکو تنها نماینده فروش آنلاین محصولات کسپرسکی
آینده امنیت فناوری اطلاعات نگران کننده است
نظر شما در خصوص آینده امنیت در فضای سایبر چیست؟ به تازگی یوجین کسپرسکی (مدیرعامل شرکت) اظهارنظر کرده است که آینده را خطرناک می‌بیند.
واقعیت این است که ترکیب اینترنت به علاوه مردم معادل امنیت نخواهد شد. سیستم‌های امنیتی از استحکام لازم برخوردار نیستند و راهکارهایی مانند پاسیورت الکترونیک (e-passport)) نیز آنقدر عمومی نخواهند شد که توسط همگان قابل استفاده باشند. در نتیجه پیش‌بینی می‌شود که تبهکاران رایانه‌ای همچنان به فعالیت‌های مخرب و شرورانه خود ادامه خواهند داد.

هم اکنون نقش کاربران خانگی را در توسعه ناامنی در فضای سایبر چقدر مهم ارزیابی می‌کنید؟
متاسفانه اغلب کاربران خانگی نسبت به مقوله امنیت کم توجه یا بی‌توجه هستند. مثلا معمولا ویندوز خود را روزآمد نمی‌کنند، از نرم‌افزارهای غیر اصلی استفاده می‌کنند و حتی بیشتر آنها از برنامه‌های حفاظتی و ضدویروس هم استفاده نمی‌کنند. این کاربران یکی از عوامل مهم خطرآفرین در فضای وب هستند که به نظر من نیمی از کاربران اینترنت را هم تشکیل می‌دهند!

در مورد سازمان‌ها چطور؟ نقش پیاده‌سازی استانداردهایی نظیر مدیریت امنیت اطلاعات (ISO۲۷۰۰۱) را در حفظ امنیت سازمان‌ها چقدر موثر می‌دانید؟
استانداردهای
متاسفانه اغلب کاربران خانگی نسبت به مقوله امنیت کم توجه یا بی‌توجه هستند. مثلا معمولا ویندوز خود را روزآمد نمی‌کنند، از نرم‌افزارهای غیر اصلی استفاده می‌کنند و حتی بیشتر آنها از برنامه‌های حفاظتی و ضدویروس هم استفاده نمی‌کنند.
ایزو مانند ایزو۲۷۰۰۱ بسیار مفید و لازم هستند اما همانگونه که می‌دانید نمی‌توانند راهکار امنیتی محسوب شوند. درواقع وقتی شما یک راهکار امنیتی را می‌خواهید انتخاب کنید مهم است که با نیازهای فنی خودتان و توانایی‌های محصول توجه کنید. سپس استانداردهایی مانند آنچه که گفته شد می‌توانند در پیاده‌سازی آن به شما کمک کنند. بسیاری از مردم هنوز نمی‌توانند حجم و عمق حملاتی که متوجه آنها و سازمان آنها می‌شود را درک کنند.

در یکی از گفت‌وگوها خواندیم که یوجین کسپرسکی پیشنهاد داده بود که برای ورود به اینترنت باید گذرنامه طراحی شود. این ایده را چقدر عملی می‌دانید؟
خوب این ایده را باید از منظر پیاده‌سازی فنی نگاه کرد هرچند که به نظر نمی‌آید برای عموم مردم قابل استفاده یا پیاده‌سازی باشد. بسیاری از مردم ناشناس بودن و ناامن بودن را به شناخته شدن بودن و امن بودن ترجیح می‌دهند. ضمن آنکه فعلا هم ناشناس بودن وجه غالب در کاربری اینترنت است.

همواره تضادی بین آزادی کاربران و امنیت آنها وجود دارد. یعنی هرچقدر امنیت را بالاتر می‌بریم آزادی عمل آنها را محدود می‌کنیم. چگونه می‌توان این تضاد را از میان برد؟
من فکر می‌کنم که در آینده با پیشرفت فناوری و ایجاد تغییر در فکر و نگرش مردم این مشکل از میان خواهد رفت. شاید بین ۲۰ تا ۵۰ سال طول بکشد ولی این مسئله مرتفع خواهد شد. البته فکر هم نمی‌کنم که بین ۵ تا ۱۰ سال آینده هیچ راه حل خاصی در این زمینه ارائه شود.

همانگونه که شما هم مطلع هستید تبهکاران فضای سایبر به تازگی به سمت تلفن‌های هوشمند به عنوان یک سکوی کاری جدید متمایل شده‌اند و بدافزارهای جدیدی برای آن ابزارها می‌نویسند. این مسئله تا چه حدی اهمیت دارد یا نگران کننده است؟
همانطور که شما اشاره کردید، این مسئله بسیار
اسمارت فون‌ها در حال توسعه و کاربرد آنها در حال همه‌گیر شدن است. به خصوص که هم اکنون وب گردی و انجام کارهای حساس و مالی نیز از طریق آنها صورت می‌گیرد. ولی اهمیت امنیت در آنها برخلاف پی پی‌ ها جدی گرفته نشده است.
جدی است. اسمارت فون‌ها در حال توسعه و کاربرد آنها در حال همه‌گیر شدن است. به خصوص که هم اکنون وب گردی و انجام کارهای حساس و مالی نیز از طریق آنها صورت می‌گیرد. ولی اهمیت امنیت در آنها برخلاف پی پی‌ ها جدی گرفته نشده است. به وِیژه محصولاتی مانند آیفون در این زمینه آسیب‌پذیر هستند.

سیستم عامل‌هایی مانند سیمبیان یا آندرویید چقدر در مقابل نفوذ بدافزارها ایمن هستند؟
اغلب این سیستم‌ها نفوذپذیر هستند. اما مسئله نفوذپذیری آنها مورد توجه سازندگان قرار گرفته و مشغول بررسی و رفع نقاط ضعف هستند. به ویژه سکویی مانند آندرویید از این نقیصه دچار مشکل خواهد شد.

و به عنوان سئوال آخر درمورد استاکس‌نت سئوال می‌کنم. این کرم اینترنتی اولین بدافزاری بود که شبکه‌های صنعتی را هدف گرفت. در این خصوص نظرتان چیست؟
قطعا استاکس نت یکی از نقاط مهم در تاریخ امنیت اطلاعات خواهد بود. تکنیک‌های پیشرفته‌ای در طراحی این بدافزار به کار گرفته شده بود. مثلا یکی از آسیب‌پذیری‌های ناشناخته ویندوز که از آن استفاده شد، در بازار سیاه به قیمت ۲۵۰هزار دلار به فروش رفته بود. همچنین اطلاعات دستگاه‌های PLC زیمنس و سیستم‌های WinCC و نرم‌افزار S۷ که مورد نیاز بود نیز بالغ بر یک میلیون دلار ارزش داشت و حتی برخی تحلیلگران ارزش آن اطلاعات را بیش از سه میلیون دلار برآورد می‌کنند. (می‌توانید به این گزارش هم مراجعه کنید: http://www.tomsguide.com/us/stuxnet-cyber-weapon-worm-trojan,news-۸۱۲۲.html))
با چنین بدافزاری امکان تعطیل کردن یک سایت بزرگ صنعتی و وارد آوردن خساراتی چندصد میلیون دلاری وجود داشت. همین امر ما را مصمم می‌کند که نسبت به وقوع حوادثی این چنین در آینده هوشیار باشیم و سیاست‌های امنیت ملی را بازتعریف کنیم.
کد مطلب: 16557
نام شما
آدرس ايميل شما

بنظر شما مهم‌ترین وظیفه دولت جدید در حوزه IT چیست؟
حمایت از بخش خصوصی حوزه فاوا
افزایش سرعت اینترنت
کاهش تعرفه اینترنت
رفع فیلترینگ