ITanalyze

على شمیرانى –عصر ارتباط - یک روز صبح گروهى تروریستى اعلام مى کند که شبکه برق شمال غربى اقیانوس آرام را به مدت 6 ساعت از ساعت 4 بعدازظهر قطع خواهد کرد و همین کار را هم مى کند. سپس همان گروه اعلام مى‌کنند که مدارهاى اصلى مخابرات بین شرق و غرب ایالت متحده را به مدت نصف روز از کار خواهد انداخت و همین کار را هم علیرغم کوشش ها جهت مبارزه علیه آنها انجام مى دهد. سپس تهدید مى کند که سیستم کنترل ترافیک هوایى شهر نیویورک را از کار انداخته، مانع پروازها شده و مسیر پروازهاى داخلى را منحرف مى سازد و این کار را هم انجام مى دهد. تهدیدها به طور پیاپى ادامه یافته و با موفقیت اجرا مى شود که این نمایانگر توانایى دشمن براى حمله به زیرساخت هاى حیاتى ماست.

نهایتاً این گروه تهدید مى کند این گروه که اگر خواسته هایشان برآورده نشود، تجارت الکترونیکى و سرویس کارت اعتبارى را به وسیله چند صدهزار هویت ربوده شده در میلیون ها معامله تقلبى، از کار خواهد انداخت. هراس و آشوب و اغتشاش عمومى را پس از این تهدید تجسم کنید.

چیزى که باعث مى شود این سناریو جالب و هشدار دهنده شود، این است که همه این حوادث قبلاً اتفاق افتاده اند، ولو نه به طور همزمان و نه همگى با مقاصد تخریبی. همگى به صورت حوادث انفرادى به مرور زمان روى دادند؛ برخى در خلال خرابى هاى فنى، برخى در مانورهاى تمرینى ساده و برخى در حملات واقعى اینترنتی.به هر حال مسأله قابل توجه این است که همه این حملات به وسیله حملات اینترنتى از راه دور قابل اجرا هستند.

(برگزیده اى از نامه اى به بوش از سوى 50 دانشمند، متخصص کامپیوتر و مأموران سابق اطلاعات)
اشاره

گزارش حاضر ترجمه و تلخیص بخشى از استراتژى جدید دولت امریکا در زمینه امنیت اطلاعات و اینترنت است. دولت امریکا با توجه دقیق به اهمیت نقش استراتژیک و بسیار حیاتى فناورى ارتباطات و اطلاعات، توسعه کاربرى این فناورى را به عنوان محور امنیت ملى اعلام و در این راه هزینه بسیارى را براى تمهید زیرساخت هاى مورد نیاز صرف کرده است. یکى از مهمترین این زیرساخت ها که خصوصاً در شرایط بسیار متفاوت و متحول شده پس از حادثه یازدهم سپتامبر توجه مضاعفى رابه خود معطوف نموده است، امنیت اطلاعات و اینترنت است دولت آمریکا در این گزارش فرآیند شکل گیرى استراتژى ملى خود در این زمینه را تشریح کرده است که بخش هایى از این گزارش مهم از نظرتان مى گذرد:

»استراتژى ملى امنیت داخلی” امریکا که اوائل امسال اعلام شد به یک تهدید بسیار خاص و جدى یعنى تروریسم در ایالت متحده مى پردازد و چارچوبى جامع براى ساماندهى تلاش سازمان هاى فدرال، ایالتى، محلى و خصوصى که غالباً کارکردهاى اصلى آنها ارتباطى با امنیت ملى ندارد ارائه مى دهد. اینترنت براى امنیت داخلى و امنیت ملى، حیاتى است. امنیت و قابلیت اطمینان اینترنت ضامن اقتصاد، زیرساخت هاى حیاتى، و تشکیلات دفاعى ملى است. ”استراتژى ملى امنیت اینترنتى استراتژى اجرایى جهت پشتیبانى استراتژى ملى امنیت داخلى و استراتژى ملى امنیت ایالات متحده” است.

”استراتژى ملى امنیت اینترنتی” طرح هایى باهدف تامین و امنیت سیاست هاى اطلاعات امریکا در مقابل اختلال و تخریب عمدى و خطرناک و افزایش آمادگى ملى در این خصوص را شامل مى شود. این استراتژى به همراه استراتژى تکمیلى »حفاظت فیزیکى امنیت داخلى«، مبناى استراتژیک تلاش هاى ملت براى حفاظت از زیر ساخت هایش تشکیل مى دهد.

اجزاى این استراتژى توسط ذى نفعان و کاربران اینترنت تهیه و تنظیم شده است. نمایندگان شرکت هاى صاحب زیرساخت هاى حیاتى و شرکت هاى اداره کننده این زیرساخت ها گرد هم آمده و پیش نویس طرح چگونگى تأمین امنیت اینترنتى را در بخش هاى مربوطه، اعم از بانکدارى و امور مالى، برق، راه آهن و سایر بخش ها تهیه کرده اند. کالج هاى محلى و دانشگاه هاى بزرگ به همراه یکدیگر براى تأمین امنیت اینترنتى در مؤسسات آموزش عالى برنامه ریزى کرده اند. پلیس شهرهاى بزرگ و کلانترى هاى شهرهاى کوچک دست به دست یکدیگر داده و به همکارى در تأمین نیازمندى هاى امنیت اینترنتى براى نیروى انتظامى پرداخته اند. کمیسیون هاى هر دو مجلس، جلساتى درباره امنیت اینترنت و عناوین مربوطه برگزار کرده اند. انجمن هاى ملى جلسات متعددى داشته و هزاران ساعت وقت خود را در جهت تلاش براى تکامل این استراتژى وقف کرده اند.
تهدید و آسیب پذیرى هاى اینترنت

یک هفته بعد از حملات یازدهم سپتامبر، حمله دیگرى به شرکت‌هاى خدمات مالى که فاصله چندانى با محل مرکز تجارت جهانى نداشتند، صورت گرفت؛ حمله اى با تخریب فیزیکى کمتر، اما با اهمیت اقتصادى فراوان. اهمیت آن درخسارات مالى قابل ملاحظه ایجاد شده نبود بلکه این حمله هشدارى بود از آنچه ممکن است در آینده رخ دهد. نام این حمله NIMDA (کلمه ADMIN با املاى برعکس) بود و براى ملتى که به شبکه هاى کامپیوترى وابسته شده هشدارى بیدار کننده بود. NIMDA یک حمله اینترنتى خودکار بود؛ آمیخته اى از یک کرم کامپیوترى (WORM) و یک ویروس کامپیوترى که با سرعت وحشتناکى در سراسر کشور منتشر شد و از راه هاى مختلفى براى آلوده کردن سیستم هاى کامپیوترى وارد مى شد. آلوده شدن کامپیوتر به معنى نابودى فایل هاى آن بود. این حمله در عرض یک ساعت به بلایى همگانى مبدل شد و پس از چندین روز به 86 هزار کامپیوتر حمله کرد.

NIMDA مشکلات فراوانى در صنایع امنیتى ایجاد کرد. شرکت‌ها بخش OnLine خود را تعطیل کردند، دسترسى مشتریان به خدمات On Line قطع شد و حتى برخى شرکت ها مجبور شدند سیستم هاى شان را به طور کامل از نو بسازند.

هزینه مالى واقعى حمله NIMDA مشخص نیست؛ زیرا روش همسانى براى ارزیابى این خسارات وجود ندارد. اما منابع موثق صنعتى، هزینه مالى حملات اینترنتى ناشى از کدهاى آلوده را در سال 2001 مبلغ 13 میلیارد دلار برآورده کرده اند.

دو ماه قبل از حمله NIMDA، حمله اینترنتى دیگرى به نام Code Red (رمز قرمز)، 150 هزار سیستم کامپیوترى را در عرض 14 ساعت آلوده کرد و موجب میلیاردها دلار خسارت شد. این حملات نمایانگر رشد قدرت تخریب و پیچیدگى حملات اینترنتى است. حجم این قبیل حملات هم قابل ملاحظه است . .
. ملتى کاملاً وابسته به اینترنت

»انقلاب فناورى اطلاعات« روش عملکرد و خدمات دهى شرکت‌ها و دولت را در ایالات متحده بى سروصدا عوض کرد. کشور ما (آمریکا ) بدون تأمل کافى درباره امنیت، کنترل فرایندهاى کلیدى در تولید، تسهیلات، بانکدارى ، و مخابرات را به شبکه هاى کامپیوترى محول کرد. در نتیجه، هزینه هاى کار تنزل یافت و بهره‌ورى چندین برابر شد. این روش همچنان در جهت استفاده بیشتر از سیستم هاى شبکه کامپیوترى ادامه دارد.

در حال حاضر (سال 2002) اقتصاد و امنیت ملى کاملاً وابسته به فناورى اطلاعات و زیرساخت اطلاعاتى است. شبکه اى از شبکه ها عملیات تمامى بخش هاى اقتصاد اعم از انرژى (برق، نفت وگاز) ، حمل و نقل ، بهداشت ، خدمات اضطرارى ، آب ، صنایع شیمیایى ، صنایع دفاع، فرآورده هاى غذایى، کشاورزى ، و پست را مستقیماً کنترل و پشتیبانى مى کند. حوزه این شبکه هاى کامپیوترى از مرزهاى فضاى مجازى هم فراتر مى رود. این شبکه ها همچنین تجهیزات فیزیکى از قبیل ترانسفورماتورهاى برق، قطارها، پمپ‌هاى خط لوله ، مخازن شیمیایى، رادارها و بازارهاى بورس را کنترل مى کنند.

محور اصلى زیرساخت اطلاعاتى که ما (آمریکایى ها) به آن کنترل وابسته هستیم، اینترنت است؛ سیستمى که در ابتدا براى تبادل اطلاعات غیر سرى بین دانشمندان طراحى شد و البته فرض بر این بود که این افراد علاقه اى به سوء استفاده از این شبکه ندارند. همان اینترنت، امروزه میلیون ها شبکه کامپیوترى را به یکدیگر وصل مى کند و این شبکه ها بخش عمده خدمات حیاتى کشور را تأمین مى کنند. همراه با رشد فزاینده و حیرت انگیز اینترنت در جهان، امنیت آن هم پیوسته تنزل یافته است افراد تقریبا از هر کشورى روى کره زمین به این شبکه دسترسى دارند و این شبکه هم به نوبه خود به شبکه هاى اداره کننده خدمات حیاتى در ایالات متحده متصل است.

حمله هاى اینترنتى به شبکه هاى اینترنتى ایالت متحده مرتباً رخ مى دهد و مى تواند نتایجى وخیم همچون مختل کردن عملیات حیاتى، از دست رفتن درآمدها و دارایى هاى فکرى و خسارات جانى در پى داشته باشد. مقابله با چنین حملاتى، مستلزم توسعه قابلیت هاى ویژه درجاهایى است که امروزه فقدان آنها احساس مى شود و این در کاهش نقاط ضعف ، شناسایى و بازداشتن افراد و سازمان هاى داراى این قابلیت ها و اهداف خرابکارانه علیه زیر ساخت هاى ملى ضرورى است.
حوزه هاى تهدید

مهاجمان همواره مشغول تهیه برنامه هایى براى صدمه زدن به اقتصاد و تضعیف یا به دست گرفتن کنترل سیستم هاى فیزیکى و اینترنتى در نبرد هاى آینده با ایالات متحده هستند و اینجاست که ایالات متحده باید به مقابله با این مهاجمین برخیزد.

شناسایى کسانى که حمله کرده اند و یا ممکن است حمله کنند، فرصتى را که نه تنها براى بازداشتن آنها و محاکمه کردن آنان (براى مثال دستگیرى جنایتکاران ، یا توسل به نیروى نظامى در حملات از نوع جنگ اطلاعات) فراهم مى کنند، بلکه باعث مى شود تا ما سلسله مهارت هاى آنان را آموخته و بهتر روى برنامه هاى حفاظت ملى متمرکز شویم.
امنیت اینترنتى و هزینه فرصت

براى شرکت هاى به طور خاص و براى اقتصاد ملى به طور کلى، ارتقاى امنیت کامپیوترى غالباً محتاج سرمایه گذارى زمان، توجه و پول است. به همین منظور بوش از کنگره درخواست کرد سرمایه گذارى روى ایمن سازى کامپیوترهاى دولت را در سال مالى 2003 به میزان 64 درصد افزایش دهد.

سرمایه گذارى بوش روى ایمن سازى شبکه هاى کامپیوترى دولت نهایتاً به واسطه ارائه ابزارهاى کامپیوترى دولت الکترونیکى مدیریت نوین شرکت ها و کاهش ضایعات ، تقلب و کلاهبردارى موجب کاهش هزینه ها خواهد شد.

سرمایه گذارى روى امنیت اینترنتى به معنى هزینه بالا سرى اضافى نیست. سود این سرمایه گذارى به ما باز مى گردد. نظر سنجى ها مکرراً نشان داده است که:

هزینه هاى ناشى از این حمله مخرب کامپیوترى به احتمال قوى از سرمایه گذارى پیشگیرانه در برنامه امنیت اینترنتى سنگین تر هستند.

طراحى ساختار امنیتى قدرتمند در معمارى سیستم هاى اطلاعاتى شرکت ها مى تواند هزینه هاى عمومى عملیات رابه واسطه امکان پذیر ساختن رویه هاى کاهش هزینه از قبیل دسترسى از راه دور و تعاملات با زنجیره عرضه یا مشتریان کاهش دهد. این رویه هاى کاهش هزینه در شبکه هایى که فاقد امنیت مناسب باشند امکان پذیر نیست.
مدیریت ریسک در سطح ملى و فردى

هر روز در آمریکا یک شرکت یا کاربر خانگى کامپیوتر در اثر حملات اینترنتى دچار خسارت شده و متضرر مى شود. میزان این خسارات در سطح شخصى بسیار چشمگیر و حتى شاید فاجعه آمیز است. شرایط وقوع چنین حوادثى در سطح ملى براى شبکه ها و سیستم هایى که کشور به آنها وابسته است فراهم است:

- دشمنان بالقوه چنین قصدى دارند.

- ابزارهاى تخریبى درسطح وسیع در دسترس هستند.

- نقاط ضعف سیستم هاى کشور، فراوان و شناخته شده هستند.

این عوامل بدین معنى هستند که هیچ استراتژى نمى تواند به طور کامل خطر را دفع کند، اما کشور مى تواند و باید براى مدیریت ریسک وارد عمل شده و صدمات بالقوه سوء استفاده از نقاط آسیب‌پذیر را به حداقل خود برساند.

دولت به تنهایى قادر به ایمن سازى فضاى اینترنت نخواهد بود

دولت فدرال نباید و در واقع نمى تواند امنیت شبکه هاى کامپیوترى بانک هاى خصوصى ، شرکت هاى بخش انرژى ، مؤسسات حمل و نقل یا سایر قسمت هاى بخش خصوصى را تأمین نماید. دولت فدرال نبایست وارد خانه ها و کسب و کارهاى کوچک، دانشگاه ها یا ادارات و سازمان هاى محلى شود که امنیت شبکه هاى کامپیوترى آنها را تأمین کند.

هر آمریکایى که به اینترنت، یعنى مادر شبکه هاى اطلاعاتى وابسته است ، باید امنیت بخش مربوط به خود را تأمین کند.

دولت فدرال مى تواند به وسیله تدابیر زیر به ایجاد این توانایى ها در ملت آمریکا کمک کند:

افزایش سطح آگاهى و هوشیارى

در اختیار قرار دادن اطلاعات مربوط به نقاط آسیب پذیر و راه حل آنها

ترویج مشارکت و همکارى دولت با بخش خصوصى، گروه‌هاى بخش خصوصى با یکدیگر و سایرین

ترغیب به ارتقاى فناورى در سازمان ها

افزایش تعداد افراد ماهر و آموزش دیده

انجام تحقیقات و پیگیرى جنایات اینترنتى

حفاظت از کامپیوترهاى دولتى

ارتقاى امنیت شبکه هایى که اقتصاد و امنیت ملى به آنها وابسته است.
مشارکت هاى خصوصى – دولتى

حفاظت از زیرساخت هاى حیاتى لزوماً یک مسوولیت مشترک است؛ زیرا تقریباً 85 درصد تسهیلات زیر ساخت هاى حیاتى کشور تحت مالکیت و مدیریت بخش خصوصى است و بسیارى از عملیات حیاتى دولت وابسته به این تسهیلات خصوصى است. از آنجا که تسهیلات دولت و بخش اقتصاد، هر دو هدف حملات دشمنان به زیر ساخت هاى حیاتى ملى هستند، رسیدگى به نقاط ضعف بالقوه نیاز به رویکردهاى انعطاف پذیر و تکاملى دارد که هر دو بخش خصوصى و دولتى را تحت پوشش قرار داده و از هر دو جنبه داخلى و بین المللى، امنیت منافع کشور را تأمین مى کند. عزم دولت بر آن است که این مشارکت و همکارى مؤثر و مفید همچنان ادامه یابد.
اجتناب از وضع مقررات

دولت فدرال چنین تشخیص داده است که به منظور جلب همکارى همه جانبه بخش خصوصى ، مشارکت مالکان و متصدیان بخش خصوصى در مشارکت خصوصى-دولتى باید به صورت داوطلبانه صورت گیرد. دولت امریکا براى تشویق بخش خصوصى به مشارکت هر چه بیشتر، تا حد ممکن به دنبال راه هایى است که از تحمیل مقررات دولتى یا تکلفات اضافى از سوى دولت بر بخش خصوصى بدون تأمین پشتوانه مالى اجتناب کند.
اصول راهبردى امنیت

براى ایجاد یک شبکه اینترنتى امن و انعطاف پذیر ، کشور باید دو اصل راهبردى امنیت را پذیرفته و اجرا کند.

1) امنیت کل زیرساخت به امنیت هر یک از اجزا بستگى دارد.

2) تهدیدات و نقاط آسیب پذیر پیشرفت مى کنند و امنیت هم طبعاً باید همگام با آنها یا سریع تر از آنها پیشرفت نماید.

تأمین امنیت در اجزاى دنیاى اینترنت منجر به تأمین امنیت کل مجموعه خواهد شد

امنیت اینترنت به امنیت تمام اجزاى آن وابستگى دارد. در دنیاى اینترنت، مهاجمان مى توانند با سرعت نور به هر مکانى برسند. هیچ گونه ایمنى جغرافیایى وجود ندارد. شبکه ها ممکن است هم در مقابل حملات از داخل شبکه و هم در مقابل حملات از خارج آن آٍسیب پذیر باشند. اجزاى شبکه که به نظر ایمن هستند، ممکن است توسط کارکنان داخلى (خودى ها)، نرم افزارهاى داونلود شده (پیاده شده) ، یا شبکه هاى آلوده همسایه مورد تهاجم قرار بگیرند. کشیدن دیوار دور شبکه براى رسیدن به امنیت کافى نیست. به محض اینکه یک کامپیوتر یا جزئى از شبکه مورد تهاجم قرار گرفت، آن جزء مى تواند براى تهاجم به سایر اجزاء مورد استفاده قرار گیرد.

به منظور مبارزه با این نقاط آسیب پذیر سیستم ها بایدطورى طراحى شوند که امنیت زیر ساخت به یک لایه یا گروه واحد و یا نقطه مرکزى وابسته نباشد؛ بلکه باید در چندین لایه شکل بگیرد، سیستم هاى دفاعى توزیعى (پراکنده) باشد و توانایى ترمیم سریع پس از هر مرحله را داشته باشد. براى بهبود امنیت اینترنتى، کشور باید در تمامى سطوح فعالیت در دنیاى اینترنت، امنیت لازم را تأمین کند.
پیش دستى بر فناورى ها و نقاط ضعف جدید

نقاط ضعف جدید در سیستم ها با سرعت نگران کننده اى در حال افزایش است. این نقاط ضعف با نوشته شدن نرم افزارهاى جدید و پیدایش فناورى هاى جدید به وجود مى آیند و نقاط ضعف با گذشت زمان و به کارگیرى نرم افزارها مشخص مى شوند. این در حالى است که ابزارهاى جدید و بسیار پیشرفته ترى براى بهره بردارى از این نقاط ضعف ساخته مى شود. سیاست ها، رویه ها و فناورى هاى امنیتى هم باید خود را همگام باآنها به هنگام سازد. کشور باید زیرساخت امنیتى ایجادکند که بتواند همواره یک گام جلوتر از جهان احتمالى باشد.