ITanalyze

عباس پورخصالیان - روز شنبه هفتم مرداد 96، دو رویدا در وزارت ارتباطات و فناوری اطلاعات، باهم همزمان شدند، دو رویدادی که در عمل هیچ ربطی به هم پیدا نکردند؛ اما اگر درک درستی می‌بود، سخت به هم وابسته می‌شدند:

 1) بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات که با حضور واعظی و با شرکت همه اعضای ستاد، معاونان وزارت، مجریان پروژه‌های اقتصاد مقاومتی وزارت، روسا و دبیران کمیته‌های‌ اقتصاد مقاومتی دستگاه‌های وابسته به منظور پیگیری برنامه‌ها و پروژه‌‌های وزارت ارتباطات، برگزار شد؛ و

 2) انتشار فهرست آسیب‌پذیرترین نرم‌افزارهای پُرکاربُرد در کشور تا تیرماه سال جاری، توسط "ماهر".

در جلسه مذکور، ضمن بررسی پروژه‌ها و برنامه‌های وزارت در سال 1396، بر «اصول حاکم بر ایجاد اپراتور روستایی»، «تمرکز بر ارایه هر چه بهتر خدمات دولت الکترونیکی (آموزش الکترونیکی، سلامت الکترونیکی، کشاورزی الکترونیکی و خدمات مالی- بانکی الکترونیکی) به روستاها»، «تمرکز بر خدمات الکترونیکی دولتی در فاز جدید توسعه شبکه ملی اطلاعات»، «بهبود کیفیت پوشش جاده‏ای شبکه سیار تلفن‌های همراه»، «مدیریت یکپارچه و سیستمی مراکز داده استان‏ها»، «یکپارچه‏‌سازی و تجاری‏‌سازی جویشگر بومی در شبکه ملی اطلاعات» و «حمایت از تولید داخل در شبکه‌های ارتباطی» تأکید شد؛ و این در نظر واعظی و برخی از اعضای آن جلسه، یعنی: تأکید بر پروژه‌های اقتصاد مقاومتیِ وزارت ارتباطات و فناوری اطلاعات در سال 96، بدون تأکید بر اصول اقتصاد مقاومتی که در بطن هر پروژه باید پیاده و رعایت شوند و بدون پیاده‌سازی آگاهانه اصول اقتصاد مقاومتی در هر طرح و پروژه، هیچ اقدامی از سوی وزارت ارتباطات و فناوری اطلاعات در راستای سیاست‌های اقتصاد مقاومتی صورت نخواهد گرفت.

در ادامه این جلسه، با توجه به اهمیت موضوع اقتصاد مقاومتی،  همه مجریان به پیگیری برای نهایی کردن «منشور پروژه‌های اقتصاد مقاومتی» با امور مرتبط در سازمان برنامه و بودجه کشور و درج عملکرد سه ماهه مربوط در سامانه "نیپا" (نظام یکپارچه و پیشبرد و پایش اقتصاد مقاومتی) مکلف شدند؛ نظام و سامانه‌ای که شاخص بین‌المللی اندازه‌گیری اقتصاد مقاومتیِ مؤسسه اف.ام گلوبال را بومی‌سازی نکرده و اصلاً اندازه‌گیری نمی‌کند و از وزراتخانه‌ها، تشکیل "مدیریت دگرگونی"، "مدیریت تداوم کسب‌وکار"، "مدیریت زنجیره تأمین" و "مدیریت مخاطره" را که زیرساخت آماده‌سازی برای "مدیریت بحران" هستند، درخواست نکرده و مطالبه نمی‌کند.

اما آنچه اعضای محترم این جلسه، از آن غافلند، نقاط ضعف و آسیب‌پذیری‌های آشکارشده در سامانه‌های رایانه‌ای و ارتباطی ناشی از نقاط ضعف و حفره‌های امنیتی سخت‌افزاری و نرم‌افزاری است.

نمونه‌ای از آسیب‌پذیری‌های نرم‌افزارهای پُرکاربُرد در ایران

همان روز (شنبه ۷ مرداد ۱۳۹۶)، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای، نیز فهرست آسیب‌پذیرترین نرم‌افزارهای پُرکاربُرد در کشور را تا تیرماه سال جاری منتشر کرد. این آسیب‌پذیری‌ها در بخش‌های مختلفی همچون خدمات وب، پست الکترونیکی، پراکسی، سیستم‌عامل، محیط برنامه‌نویسی، مرورگر اینترنت، سامانه‌ مجازی‌سازی، تجهیزات شبکه، "سپرواره" یا دیواره‌ آتش (فایروال) ضدبدافزار و نیز نرم‌افزارهای کاربُردی منتشر و نحوه دریافت آخرین نسخه پایدار آنها اعلام شده است.

مطابق با جدول اعلام شده توسط ماهر، از جمله نرم‌افزارها با سطح خطر «زیاد» عبارتند از:

•          در میان سرویس‌دهنده‌ها: «وب سرور آپاچی»؛

•          در میان سیستم عامل‌ها: «سیستم عامل‌های لینوکس، ویندوز و IOS »؛

•          در میان محیط‌های برنامه‌نویسی «وردپرس و جملا»؛

•          در میان مرورگرهای اینترنت: «گوگل کروم و اکسپلورر»؛

•          در میان تجهیزات شبکه: «سیسکو»؛ و

•          در میان نرم‌افزارهای کاربردی باز: « وی.پی.اِن و مایکروسافت آفیس ۲۰۱۷».

حفره‌های امنیتی ضدبدافزارها، نمونه‌ای از فاجعه عصر فاوا

اگر اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات، تنها آسیب‌پذیری‌های یک ضدِبدافزار (Anti-Malware) مثلِ: ضدباج‌افزار (Anti-Ransomware) و ضداستثمارگر (Anti-Exploit)  را در نظر می‌گرفتند، فاجعه "ضدتاب‌آورسازِ" همه سامانه‌ها، سازه‌ها، ساختارها و سازمان‌های عصر فاوا را به روشنی درک می‌کردند: مدیران کشور، خیلی به فکر اجرای سیاست‌های اقتصاد مقاومتی در سازمان خود باشند، برای ایمن‌سازی سامانه‌های رایانه‌ای خود یک ضدِبدافزار را می‌خرند و نصب می‌کنند، غافل از این که خود این ضدِبدافزار، آسیب‌پذیر است!

اگر اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات، همین یک نمونه را در نظر می‌گرفتند، به دلیل این آسیب‌پذیری‌های مضاعف، دو نکته حائز اهمیت نیز برای ایشان معلوم و حاصل می‌شد:

 نخستین نکته حائز اهمیت برای اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات، درک اهمیت تاب‌آورسازیِ آگاهانه سامانه‌های رایانه‌ای است:

•          اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات، اغلب فکر می‌کنند که فراهم‌سازی و ارایه خدمات مخابرات و فاوا به‌خودی خود، اقدامی در راستای سیاست‌های اقتصاد مقاومتی و تاب‌آورسازی نظام (Nationwide Resilience ) است. آنها وقتی که پروژه‌هایی را کلید می‌زنند یا خدماتی را عرضه می‌کنند، فراموش می‌کنند که سامانه‌های رایانه‌ای، به شدت آسیب‌پذیرند؛ پس پروژه‌ها و خدمات مخابرات تنها هنگامی در راستای سیاست‌های اقتصاد مقاومتی و در خدمت تاب‌آورسازی نظام هستند که مدیران و طراحان پروژه‌ها، پیشاپیش سیاست‌های اقتصاد مقاومتی را در پروژه‌ها و طرح‌های مخابراتی اجرا کنند و اصول تاب‌آورسازی سامانه‌ها، سازه‌ها، ساختار‌ها و سازمان‌ها را در برابر هر شوک و هر تکانه غیرِمترقبه، بلد باشند و به منظور مصون و ایمن‌سازی نظام، این اصول را رعایت و در همه پروژه‌ها، منظور کرده باشند.

 دومین نکته حائز اهمیت برای اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات، درک اهمیت پاسخ‌دهی سریع و بموقع به رخدادهای فضای تبادل اطلاعات داده‌ها، یعنی اهمیت نهادی موسوم به: "مرکز امداد و هماهنگی رایانه‌ای (ماهر)" است.

به راستی، اگر نهاد "ماهر"، در انجام وظایف خود واقعاً «ماهر» باشد، فعلاً تنها گروهی است که می‌تواند سازمان فناوری اطلاعات ایران را در تاب‌آورسازی پروژه‌هایش، تنها تاحدود کمی کمک کند.

"ماهر"، در سازمان فناوری اطلاعات ایران تشکیل شده است تا در بخش دولتی به تمامی سازمان‌ها و شرکت‌های دولتی زیرمجموعه حوزه وزارت ارتباطات و فناوری اطلاعات؛ در بخش خصوصی به شرکت‌هایی که دارای مجوز و پروانه از وزارت ارتباطات و فناوری اطلاعات؛ و در بخش عمومی به عموم کاربران در موارد ایمنی و امنیت فضای تبادل اطلاعات داده‌ها، پیش از، در حین و پس از وقوع حمله، تهدید یا تکانه‌ای شوک‌آور به سامانه‌ها، پاسخگو باشد و یاری رساند. اما آگاهی از نقاط ضعف و آسیب‌پذیری‌های نرم‌افزارها و سخت‌افزارهای رایانه‌ای تنها گوشه کوچکی از بحث و به نوعی، آغاز بحث رِزیلیَنس (تاب‌آورسازی) و انگیزه و ابتدای اقدام در راستای اجرای سیاست‌های اقتصاد مقاومتی است.

نظام سمبلیک زبان و مشکل درک مضمون «اقتصاد مقاومتی»

حتی وقتی که ما از چیزهای ملموس سخن می‌گوییم یا می‌نویسیم (مثلاً از «آب») برای درک منظور گوینده یا نویسنده از این واژه، از نظام سمبلیک زبان مدد می‌جوییم؛ و در ذهن خود از واژه به مضمون، پُل می‌زنیم. اگر مضمون، ملموس باشد، درک واژه گفته یا نوشته شده مربوط آسان است؛ اما اگر مضمون، ملموس نباشد، فهم واژه گفته یا نوشته شده مربوط برای همه شنوندگان و خوانندگان آسان نیست و درک درست آن نیاز به مطالعه، آموزش و تأمل دارد. 

مشکل اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات که انجام وظیفه روزمره خود را اقدام در راستای سیاست‌های اقتصاد مقاومتی معرفی می‌کنند، همین مطالعه، آموزش و تأمل برای درک درست مضمون «اقتصاد مقاومتی» و ایجاد و تشکیل "مدیریت دگرگونی"، "مدیریت تداوم کسب‌وکار"، "مدیریت زنجیره تأمین" و "مدیریت مخاطره" است که این مدیریت‌ها، زیرساخت‌های آماده‌سازی قوا در روز مبادا، برای "مدیریت بحران" در وزارت ارتباطات و فناوری اطلاعات هستند.

وعده‌ای که وعید شد

در اواخر بهمن‌ماه سال 95، با تلاش و کوشش یکی از دوستان قدیمی ام در وزارت ارتباطات و فناوری اطلاعات، به من وقت دادند تا با یکی از اعضای بلندمرتبه جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات پیرامون نکاتی درباره ضرورت آموزش برای درک درست مضمون «اقتصاد مقاومتی»، ربع ساعتی بحث کنم. ملاقات، انجام شد و در پایان وقت ملاقات با آن معاون محترم وزارتخانه، قرار شد تا در نخستین دهه ماه اسفند 95، جلسه‌ای با حضور ایشان و سایر اعضای محترم جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات (منهای وزیر)، تشکیل شود و من در آن جلسه با استفاده از پاورپوینت‌هایی که قبلاً برای وی فرستاده بودم، به نوبه خود به مضمون و مفهوم درست ایده اقتصاد مقاومتی، آنچنان که در متون مرجعی چون Prologue: Resilience Engineering concepts  از اریک هولناگل (Erik Hollnagel) و چگونگی پیاده‌سازی اصول آن در پروژه‌های مخابراتی و فاوا آمده، اشاره‌ای بکنم. اما به رغم سال‌ها تجربه مثبت از همکاری و مشاهده حُسن رفتار و خُلق و خوی پسندیده‌ای که از آن معاون محترم به یاد دارم، در تعجبم چرا دعوتی از من به عمل نیامد و چنین جلسه‌ای نه در سال گذشته و نه در سال جاری، تاکنون برگزار نشد.

اعضای محترم بیست‌وپنجمین جلسه ستاد اقتصاد مقاومتی وزارت ارتباطات و فناوری اطلاعات! آنچه در ایران «اقتصاد مقاومتی» نامیده شده، نوشدارویی گران‌بهاست که نباید دیر به کام سهراب نظام برسد. (منبع:عصرارتباط)