امنیت وارداتی نیست

به گزارش گروه فضای مجازی «خبرگزاری دانشجو»، در وبلاگ «بزمانه» چنین آمده است: در نمایشگاه الکامپ امسال شعاری دیدم از یک شرکت که خیلی به دلم چسبید: «امنیت وارداتی نیست.» امروزه امنیت فضای مجازی یکی از مهم‌ترین دغدغه‌های هر فرد آگاهی است.

رشد روزافزون کاربردهای رایانه‌ای و ارتباطات شبکه‌ای رایانه‌ای در چرخه کسب و کار مردم از اهمیت فضای مجازی حکایت دارد. طبق آمار بانک جهانی روند رو به رشد کاربران اینترنتی ایران از 93. درصد در سال 2000 م. به 21% در سال 2012 م. رسیده است. جهت تقویت پدافند موثر در امنیت ملی در فضای مجازی، اصلاح زیربنایی فضای مجازی کشور ضروری است.

گام اول در تقویت امنیت در فضای مجازی، اصلاح استفاده از سیستم عامل ملی است. کشورهای زیادی به دنبال سیستم عامل ملی هستند در حالی که در کشور ما غالباً از خانواده مایکروسافت ویندوز و خانواده یونیکس استفاده می‌شود. سیستم‌های نرم‌افزای معمولاً از نظر کارآیی سنجیده می‌شوند. مفهوم کارآیی خود شامل شاخص‌های عاملیت، اطمینان‌پذیری، حریم خصوصی، امنیت، استفاده‌پذیری، انعطاف، قابلیت ارتباط و قابلیت توسعه است. عاملیت کیفیت یا حالتی که قابلیت مشارکت سیستم با نرم‌افزار یا سخت‌افزار یا دستگاهی را ایجاد می‌کند. سیستم‌های عامل نیز از این منظر مورد سنجش واقع می‌شوند.

با این حال با در نظر گرفتن جهات مختلف مهندسی نرم‌افزار نمی‌توان قضاوت درستی درباره سیستم‌های عامل موجود از منظر این شاخص‌ها ارائه نمود زیرا بخش زیادی از اطلاعات این سیستم‌ها مخصوصاً سیستم عامل‌های خانواده ویندوز هنوز اختصاصی بوده و دسترسی به آن بجز محدود اطلاعاتی که توسط شرکت مایکروسافت درباره آن منتشر شده امکان‌پذیر نیست.

با این حال سیستم عامل‌ها وقتی به صورت فراگیر مورد استفاده کاربران فضای مجازی قرار گیرند از حالت یک نرم‌افزار سیستمی صرف، خارج شده و شاخص‌های کارآیی آن ابعاد جدیدی می‌یابد. در واقع کوچک‌ترین نقصان، ضعف و یا آسیب‌پذیری در این نرم‌افزارهای سیستمی می‌تواند ابعاد ملی و فراملی یافته و منافع سازمان‌ها و افراد زیادی را در سراسر جهان به خطر بیندازد.

وابستگی به تنها چند خانواده از این سیستم‌ها نیز مسئله‌ای دیگر است که منافع سازمان‌ها را تهدید می‌کند. عدم حق انتخاب و همچنین عدم توانایی برای تولید سیستم‌های عامل بومی باعث می‌شود تا امنیت سازمان‌ها تنها وابسته به قرارداد تجاری بین آن‌ها و فروشندگان سیستم عامل شود در حالی که ویژگی عاملیت سیستم‌های عامل اعتماد صددرصدی را می‌طلبد. این در حالی است که تحریم اقتصادی متأثر از شرایط سیاسی نیز حاکمیت ملی در حوزه فضای مجازی را مورد تهدید قرار می‌دهد. در واقع هزینه اعتماد به این سیستم‌ها بسیار بالا است. سیستم‌های کاربردی بی‌شماری در دنیا از طریق حفره‌های امنیتی موجود در این سیستم‌ها مورد اقدامات خرابکارانه و بدخواهانه قرار گرفته و هر ساله میلیارد‌ها دلار زیان متوجه صاحبان سرمایه در فضای مجازی می‌نماید.

این خسارت‌ها بجز گزارشاتی است که هر ساله از دست داشتن شرکت‌های تولیدکننده نرم‌افزارهای سیستمی در اقدامات بدخواهانه منتشر می‌شود. نمونه بارز آن گزارشات گوناگونی است که از دست داشتن شرکت مایکروسافت و زیمنس در حمله سایبری معروف در سال 1389 به تأسیسات هسته‌ای ایران موسوم به استاکس‌نت منتشر شد. فضای مجازی را از دید فنی، می‌توان مبتنی بر مدل منطقی OSI شبکه دانست. این مدل به عنوان چارچوبی منطقی دانست که در سال 1994 توسط سازمان جهانی استاندارد (ISO) پیشنهاد شده است. سیستم‌های عامل، امروزه بخش عمده تبادلات داده بجز لایه فیزیکی و لایه پیوند داده‌ها در این مدل را برعهده دارند.

از این گذشته سیستم‌های عامل شبکه رسماً مسئولیت شبکه‌کاری در فضای مجازی یعنی لایه شبکه، لایه انتقال و بخشی از لایه جلسه را بر عهده دارند. تقریباً هیچ ابزار و یا راهی برای اثبات سلامت و کارآیی سیستم‌های عامل در انجام وظایفشان در این چارچوب وجود ندارد و هر چه هست ادعای تولید کنندگان آن است.

با توجه به نقش بنیادی عاملیت این سیستم‌ها، بهترین راه برای ایمن‌سازی و انجام پدافند در برابر حملات احتمالی جایگزین کردن این سیستم‌ها است. البته تولید سیستم عامل بومی تحت عنوان «سیستم عامل ملی» در سالیان گذشته همواره مورد توجه بوده است اما این تلاش‌ها بیشتر متمرکز بر فارسی‌سازی سیستم‌های عامل متن‌باز مبتنی بر یونیکس مانند لینوکس بوده است. در این پروژه‌ها تمرکز بر فارسی‌سازی سیستم عامل یا به عبارتی تنها محلی‌سازی (Localization) است و همه ویژگی‌های کارآیی مخصوصاً مباحث امنیت، عاملیت و قابلیت اطمینان را پوشش نمی‌دهد. توجه به این شاخص‌ها نیازمند تحقیق ریشه‌ای روی مفاهیم پایه سیستم عامل است. هسته سیستم عامل به عنوان اصلیترین بخش سیستم عامل باید کارآیی و امنیت کافی داشته باشد. به همین منظور گام اول در دستیابی به سیستم عامل ملی، بررسی بنیادین معماری هسته سیستم عامل است.

سیستم عامل محصولی نیست که بتوان به آن نگاه تجاری داشت و مستلزم اراده حاکمیتی است. شورای عالی مجازی موظف است پس از استقرار و سازماندهی به عنوان اولین اقدام عملیاتی و می‌دانی، وارد مبحث تولید سیستم عامل ملی شود و در این راستا «سرمایه کافی» را جذب و در اختیار دانشگاه‌ها و نهادهای فناورانه بگذارد تا این مسئله زود‌تر تعیین تکلیف شود. باید بدانیم امروز حیثیت امنیتی نظام در گرو تولید سیستم عامل بومی است و اغماض از آن به هیچ وجه بخشودنی نیست.