قوانین سایبری

براساس پیش بینی های موسسه CyberSecurity Venture جرایم سایبری مبلغ نجومی ای بالغ بر شش تریلیون دلار را در سال ۲۰۲۱ به جهان تحمیل خواهد کرد که این مبلغ رشدی سه تریلیون دلاری نسبت به سال ۲۰۱۵ را خواهد داشت. این پیش بینی ها رشد وسعت و پیچیدگی های جرایم سایبری در آینده و نیاز به بهره گیری از استانداردهای ایمن سازی و استراتژی های دقیق دفاع سایبری را بر فعالان و تصمیم گیران این صنعت بیش از پیش آشکار میسازد.

در این زمینه استانداردهای متفاوتی برای طراحی و تبیین سیاست های ایمن سازی و دفاعی سازمانها و موسسات طراحی گردیده که یکی از شناخته شده ترین آنها استاندارد ISO 27001 است. برای درک بهتر ابعاد این استاندارد شناخت سیستم مدیریت امنیت اطلاعات یا Information Security Management Systems ضروری است.

به زبان ساده ISMS روشی سیستماتیک برای مدیریت و حفاظت از اطلاعات و داده های حساس با استفاده از استانداردهای مختلف برای سازمانها و موسسات است. سیستم مدیریت امنیت اطلاعات نیازهای سازمانهایی با ابعاد مختلف را پوشش میدهد. ایمن سازی و مدیریت و کنترل ریسک سازمانها گستره وسیعی  شامل افراد، سیستم های سخت افزاری و نرم افزاری و پردازش ها در بخشهای مختلف سازمانها را در برمیگیرد. سیستم ISMS  با طراحی ای دقیق توانایی مواجه با تهدیدات جدید و تغییرات لازم با توجه به رشد نیازهای سازمان مربوطه و حفظ محرمانگی (Confidentiality) یکپارچگی (Integrity) و دسترسی(Availability)  اطلاعات را دارا است.

در این میان استاندارد بین المللی  ISO/IEC 27001 (ISO 27001) که مشترکا توسط موسسات ISO  و IEC توسعه داده شده  بهترین و شناخته شده ترین روش برای پیاده سازی و ممیزی سیستم مدیریت امنیت اطلاعات یا  ISMS برای یکپارچه سازی و حفاظت از اطلاعات حیاتی و حساس در سازمانها و موسسات و به تبع آن برنامه ریزی برای جلب اطمینان و اعتماد مشتریان است. نسخه های مختلف استانداردهایISO  توسط اعضای موسسات ISO  و IEC از سراسر دنیا توسعه و بهینه سازی میشود که شرکتها و سازمانهای مختلف میتوانند بعد از اعمال و ممیزی این استاندارد گواهینامه آن را دریافت نمایند.

استاندارد ISO 27001 برای پیاده سازی و اجرایی کردن سیاستهای ایمن سازی چک لیست یا سیستم مرحله به مرحله ای را ارائه نمیکند، در عوض با ارائه راهکارها و چهارچوب های مدون تصحیحی (Corrective Actions) و جلوگیری کننده (Preventive Actions ) تقویت سیستمهای امنیت اطلاعات سازمانها را ممکن میسازد. شایان ذکر است پیاده سازی صحیح این استاندارد مستلزم همکاری و هماهنگی در تمام بخشهای سازمان است. استاندارد ISO 27001 بخشهای مختلفی را پوشش میدهد که در ذیل به مهمترین آنها اشاره میکنیم:

• ایمن سازی نرم افزاری و سخت افزاری زیرساختهای مهم سازمان
• ارائه راهکارهایی برای امنیت منابع انسانی و دارایی ها
• ارائه راهکار برای پیشگیری از انواع جرایم سایبری
• پیشگیری از خراب کاری در اطلاعات حساس و حیاتی سازمان
• ایمن سازی اطلاعات و پیشگیری از سرقت درون سازمانی
• ایمن سازی در مقابل از دست دادن اطلاعات
• پیشگیری از سو استفاده از اطلاعات حساس و حیاتی
• پیشگیری از نفوذ در شبکه
• پیشگیری از درز اطلاعات شخصی کارکنان و مشتریان

در پایان ذکر این نکته ضروری است که گرچه کسب گواهینامه های استاندارد ISO 27001 نشان دهنده اهمیت حفظ امنیت اطلاعات برای سازمان کسب کننده گواهی است، ولی این به معنای امنیت صد در صدی آن سازمان نخواهد بود و بهره گیری از دیگر راهکارهای ایمن سازی در کنار این استاندارد کاملا ضروری و حیاتی خواهد بود.

تنظیمات اولیه یا پیش فرض اکثریت سیستم عاملها، نرم افزارها و سخت افزار ها با اولویت قرار دادن راحتی استفاده و کاربر پسند بودن به شکلی تنظیم گردیده است که نیازهای ابتدایی بخش وسیعی از کاربران را فراهم نموده و از پیچیدگی های فراوان خودداری کنند. این رویه باعث بوجود آمدن مشکلات امنیتی فراوانی برای سیستمهایی میشود که در تعامل با دیگر سیستمها یا کاربران نیازمند برخورداری از بالاترین سطح امنیت هستند خواهد شد. در این مطلب به صورت مختصر با شناخته شده ترین استانداردهای امنیتی بین المللی آشنا میشویم.

سیاستهای امنیتی یا استانداردهای ایمن سازی (Hardening Standards and Security Policy) از اصول اولیه ای است که هر مهندس سیستم یا شبکه باید به آنها اشراف کامل و دقیق داشته و با نحوه پیاده سازی و بکارگیری آنها آشنایی کامل داشته باشد.  این استانداردها توصیه های مهمی برای تنظیم بخشهای مختلف سیستم های مورد نظر از قبیل نحوه صحیح انتخاب رمزهای عبور (Passwords Length and Age)، تنظیمات کنترل (Access Right Assignment)، سیاستهای بازرسی  و ممیزی (Audit Policy) و تنظیمات لاگ های مختلف سیستم را در برمیگیرد.

در این میان شرکتهای فراوانی استانداردها و ابزارهای مختلفی را برای مقاوم سازی سیستم های مختلف معرفی کرده که  سازمان ها و موسسات مختلف برای بهبود سطح امنیتی سامانه های خود و در امان بودن از مشکلات امنیتی باید با مطالعه دقیق و اعمال این تنظیمات و استانداردها از رخ دادن مشکلات امنیتی جلوگیری نمایند.

مرکز امنیت اینترنت یا CIS Security یکی از پیشگامان توسعه این استانداردها است که با توجه به نیازهای امنیتی رو به افزایش در سیستم عاملها و سامانه های مختلف اقدام به طراحی سیاستهای ایمن سازی گسترده ای برای بخشهای مختلف صنعت آی تی کرده است. گستره استانداردهای تحت پوشش این مرکز طیف وسیعی از سیستم عاملها از قبیل نسخه های مختلف ویندوز، لینوکس، مک، آی آو اس، اندروید و برنامه های کاربردی مانند مرورگرهای کروم، فایر فاکس و غیره را شامل میشود.

سرویسهای ارائه شده CIS در دو نسخه رایگان که به صورت فایلهای پی دی اف و نسخه پولی که به همراه اسکریپتهای مورد نیاز برای اعمال اتوماتیک تنظیمات مورد نیاز و نرم افزارهای بنچ مارک در اختیار مشتریان قرار میگیرند. سی آی اس کت (CIS Configuration Assessment Tool) نرم افزار بنچمارک این شرکت است که با بررسی سیستم و مقایسه تنظیمات فعلی سیستم با استاندارد های طراحی شده توسط CIS توصیه هایی را در جهت بهبود و ارتقای امنیت سیستم ارائه میکند. پکیجها و نسخه های پولی که CIS CAT را شامل میشود معمولا شرکتها و موسسات بزرگ را هدف قرار میدهند، که حق عضویت سالانه ای بیش از یک هزار دلار را برای مشتری در بر خواهند داشت.

موسسه ملی استاندارد و تکنولوژی یا NIST یکی دیگر از موسساتی است که شهرت جهانی دارد و شرکتهای فراوانی از استانداردهای این شرکت بهره گیری میکنند. گرچه استانداردهای ایمن سازی ارائه شده توسط NIST به صورت رایگان در اختیار مشتریان قرار میگیرد ولی گستردگی این استانداردها به وسعت استانداردهای ارائه شده توسط CIS نیست و تنها بخشی از سیستم عاملهای مایکروسافت و لینوکس ردهت را تحت پوشش قرار میدهد.

دیگر موسسه فعال در این زمینه  موسسه IASE است که استانداردهای ایمن سازی مختلفی را برای سیستم عاملها دسکتاپ و موبایل ارائه میکند. استانداردهای موسسه IASE با فرمت XML در اختیار مشتریان قرار میگیرد که با استفاده از نرم افزار STIG Viewer ارائه شده توسط این شرکت امکان مطالعه و بهره گیری از استانداردهای این موسسه فراهم است.

در زمینه مقاوم سازی سیستم عاملها، شرکت مایکروسافت نیز سالها پیش ابزار رایگان مایکروسافت بیسلاین (Microsoft Baseline) را ارائه داده است که با اسکن سیستم عامل و بررسی تنظیمات انجام گرفته توصیه هایی را به کاربر برای بهبود سطح امنیتی سیستم عامل انجام میدهد. از جمله توصیه های ابزار مایکروسافت بیسلاین میتوان به تنظیمات آپدیت سیستم عامل و برنامه های اجرایی متعلق به این شرکت همچون آفیس و مایکروسافت اس کیو ال  سرور و تنظیمات رمزهای عبور مختلف سیستم اشاره کرد. با توجه به عدم پشتیبانی این ابزار بعد از سال ۲۰۱۳ توسط مایکروسافت و عدم پوشش وسیع تنظیمات بخشهای مختلف سیستم عامل، تنها مزیت استفاده از این ابزار نسبت به دیگر رقبا راحتی استفاده و رایگان بودن این ابزار است.

نکته مهم در استفاده و بکارگیری استانداردهای مختلف ارائه شده توسط شرکتهای مختلف انطباق نیازهای موسسه هدف با نحوه بکارگیری و بهره مندی از این سیاست های ایمن سازی است. مسلما شرکتهای مختلف با توجه به نیازهای خاص خود باید به بومی سازی این استانداردها برای حصول بهترین نتایج اقدام کنند.

قوانین جرایم سایبری از جدیدترین قوانین قضایی مصوب در اکثر کشورهای  پیشرفته جهان است. سرعت فوق العاده پیشرفت تکنولوژی های مرتبط با اینترنت و شبکه، اهمیت داشتن قوانین سایبری دقیق و کامل را برای تمام کشورهای پیشرو در صنعت آی تی واضح و مبرهن مینماید. آشنایی و درک ابعاد قوانین سایبری برای تمام کاربران فضای سایبری خصوصا متخصصین و فعالین امنیت سایبری الزامی است. قوانین دقیق سایبری تضمین کننده امنیت کاربران در برابر جرایم سایبری خصوصا جرایم سایبری سازمان یافته ای است که طبق آمار منتشر شده روز به روز در حال افزایش است.

قانون جرائم رایانه‌ای ایران در اواخر دهه هشتاد هجری شمسی به تصویب مجلس شورای اسلامی ایران رسید. قوانین سایبری ایران در بخشی از زمینه ها از تکامل قوانین سایبری کشورهای پیش رو در امنیت سایبری برخوردار نیست و با توجه به تغییر ماهیت و پیچیدگی جرایم سایبری نیاز به بازنگری و تکامل این قوانین محسوس است.

مشخص نبودن جزییات قوانین جرایم سایبری میتواند مشکلات فراوانی برای کاربران و فعالین این رشته بوجود آورد. در بعضی از کشورها حتی اسکن غیر فعال شبکه (Passive Scanning) غیرقانونی است و خاطی با مشکلات قضایی فراوانی گریبان گیر خواهد شد. به طور مثال در اسکن شبکه در مرحله شناسایی (Reconnaissance) و به فرض حضور اسکن کننده در کشور A  و سرورهای سیستم اسکن شونده در کشور B، در این صورت قوانین کشور  A ملاک عمل خواهد بود یا قوانین کشور B یا کشورهایی که تراقیک برای رسیدن به کشور  Bاز آنها عبور میکند؟ جواب، همه این کشورها خواهد بود!  گرچه به باور خیلی از فعالین امنیت سایبری این قوانین دست و پا گیر هستند، ولی برای احترام به قوانین و در امان بودن از مشکلات قانونی و حقوقی، درک دقیق این قوانین و پایبندی به آنها کاملا الزامی است. در مسیر جهانی شدن و در تعامل با دیگر کشورها نیازمند شناختی کامل و دقیق از قوانین کشورهای هدف هستیم. قوانین سایبری بیش از صد کشور دنیا از جمله کشورمان ایران در بخش قوانین جرایم سایبری سایت سازمان ملل (UNODC Database of Legislation)  قابل دسترسی است. مطالعه و بررسی و مقایسه این قوانین قطعا میتواند کمک شایانی به بهبود شناخت و نگرش ما به قوانین دیگر کشورها و اصلاح و بروز رسانی قوانین جاری سایبری کشورمان گردد.

در کنار قوانین سایبری لازم الاجرایی که سیستم قضایی هر کشوری برای محافظت از کاربران اینترنت در مقابل جرایم سایبری تصویب و اجرا مینماید، شرکتها و متخصصین امنیت هم نیازمند طراحی و اجرای قوانینی برای حفاظت از حقوق خود هستند. مفاد و جزییات این قوانین معمولا قبل از عقد قرارداد های همکاری بین شرکتهای و موسسات متقاضی سرویس و متخصصین ارائه دهنده این خدمات تصویب و بر جزییات آن توافق میگردد. از مهمترین این توافقات Non-disclosure agreement و Get out of jail free است.

توافقنامه محافظت از حقوق متخصصین امنیتی یا اصطلاحا Get Out of Jail Free، توافقنامه ای است که معمولا درخواست کنندگان سرویسهای امنیتی قبل از انجام تست های نفوذ باید بر جزییات آن توافق نموده و به متخصصین امنیت ارائه نمایند. این توافق نامه شامل اجازه کتبی برای انجام تستهای امنیتی، محدوده تحت پوشش (Test Scope)، مدت زمان و شرایط دقیق انجام قرارداد خواهد بود. در قراردادهایی که محدوده تست خارج از تجهیزات درخواست کننده است مثلا سرورهای مجازی ای که بر فضای ابری دیگر شرکتها قرار دارند، اجازه کتبی سرویس دهنده فضای ابری نیز لازم است. این توافق نامه ضامن و تعیین کننده حقوق متخصص امنیتی است و میتواند تا حدود زیادی از پیش آمدن مشکلات حقوقی جلوگیری نماید.

در طرف دیگر همچنان که نفوذ گران قانونی و متخصصین امنیت نیازمند قوانین مدونی برای محافظت از خود در مقابل مشکلات قانونی و حقوقی هستند، شرکتها و موسسات سرویس گیرنده نیز نیازمند قوانین و قراردادهایی برای محافظت از حقوق قانونی خود هستند. توافقنامه عدم افشا یا NDA  جزو ابتدایی ترین و مهمترین توافقنامه هایی است که درخواست کنندگان خدمات امنیتی برای محافظت از عدم نشر اطلاعات امنیتی و حساس خود که معمولا در هنگام انجام تست نفوذ (Penetration Testing) یا بررسی امنیتی (Vulnerability Assessment) بدست می آید، اهمیت فراوانی قائل میشوند. این توافق نامه حافظ حقوق درخواست کنندگان سرویس های امنیتی است و سرویس دهندگان امنیتی را قانوناً ملزم به عدم افشا و نشر یافته ها و نقص هایی میکند که در هنگام انجام تستهای مختلف ممکن است با آن مواجه شوند.

مسلما عدم پایبندی به قوانین جرایم سایبری و عدم انعقاد این توافق نامه های الزام آور یا عدم التزام کامل به آنها میتواند مشکلات حقوقی و قضایی فراوانی را برای طرفین ایجاد نماید.